Cyber warfare and cyber weapons industry

2. • Ben Kimim?
• Siber Silahlar
• Siber Silah nedir?
• Flame & Stuxnet & Black Energy
• Neden Siber Silah?
• Siber Silah Endüstrisi
• Alıcılar ve Satıcılar
• Dengelerin Değişimi
• Yasal Düzenlemeler
• Siber Silah Üretimi
• 0-Days
• Research Lab (0-Day Research)
• Örnekler
• Sorular?
Agenda
1

3. • Güvenlik Araştırmacısı (10 yıldır) @ Baliç Bilişim
• Beyaz Şapkalı Hacker @ Apple, Facebook, Opera, Google etc.
• Misafir Öğretim Görevlisi (1 dönem Android) @ Kocaeli Üniversitesi
• Danışman (3 Ay) @ Savunma Sanayii Müsteşarlığı
Who am I?
2

4. Who am I?
3

5. Who am I?
4

6. Who am I?
5

7. Who am I?
6

8. Who am I?
7
21 GÜN KAPALI KALDI.

9. Who am I?
8

10. Who am I?
9
2013 yılında Google Play’ın
2 gün kapanma vakası

11. Who am I?
10
Zaman içerisinde değişenler

12. 11
Cyber Weapons

13. Siber Silah nedir?
12
“Siber Silah bir sistem üzerinde izleme, bilgi toplama veya
hedef sistemi çalışmaz hale getirebilecek herhangi bir
yöntem veya araç için kullanılan bir tanımdır.”

14. 13
Flame
“2012 yılında tespit edilen Flame, Ortadoğu ülkelerini hedef
alan ve 2008 yılından beri varlığını sürdürdüğü raporlanan
en güçlü siber silahlardan biridir.”

15. 14
Flame

16. 15
Stuxnet
“2010 yılında tespit edilmiş olan Stuxnet, Iran’nın nüklüer
santrellerine yönelik oluşturulmuş, hedef odaklı siber
silahlardan biridir.”

17. 16
Black Energy
“2007 yılında rastlanan ilk varyasyonundan sonra 23 Aralık
2015 günü Ukrayna’da elektriklerin gitmesine sebep
olarak kendini hatırlatmıştır.”

18. Siber Silahlar ve Savunma
17

19. 18
Neden Siber Silah?
• Maliyeti düşüktür.
• Etki alanı yüksektir.
• Kavramsal olarak bir silaha göre daha işlevseldir.
• ...

20. 19
Neden Siber Silah?
600 bin ile 1 milyon dolar
1,550 mi; 2,500 km
Birim fiyatı 40 bin dolar
- km

21. 20
Neden Siber Silah?

22. 21
Neden Siber Silah?
600 bin ile 1 milyon dolar
Birim fiyatı 40 bin dolar

23. 22
Neden Siber Silah?

24. 23
Siber Silah Endüstrisi
“4 Milyar Dollar”
2014-2024
• Defensive Siber Silahlar
• Offensive Siber Silahlar

25. 24
Siber Silah Endüstrisi

26. 25
Siber Silah Endüstrisi

27. 26
Siber Silah Endüstrisi

28. 27
Siber Silah Endüstrisi
Gamma International firmasının HACKLENMESİ.
2014 Yılı Ağustos ayında 40 gb veri paylaşıldı.
Casus yazılımların kaynak kodları, okümanları…

29. 28
Siber Silah Endüstrisi
Gamma International firmasının HACKLENMESİ.
Gamma International ve FinFisher Casus yazılımı.

30. 29
Siber Silah Endüstrisi
Gamma International firmasının HACKLENMESİ.
FinFisher Casus yazılımı Mısır devletinin faturası.

31. 30
Siber Silah Endüstrisi
Hacking Team firmasının HACKLENMESİ.
İtalyan firmasının 2015 Yıl Temmuz ayında 400 GB verisi paylaşıldı.
+Çok sayıda 0day
+Tüm kullanıcı mailleri
+Firma faturaları
+Türk Polis İstihbaratının 440.000 bin Euro civarında fatura kestiği görüldü.

32. 31
Siber Silah Endüstrisi
Hacking Team firmasının HACKLENMESİ.

33. 32
Siber Silah Endüstrisi
Hacking Team firmasının HACKLENMESİ.

34. 33
Siber Silah Endüstrisi
“Stuxnet için yapılan analiz raporlarında
4 adet farklı 0-Day’e rastlandığı belirtilmektedir.”
CVE-2008-4250
CVE-2010-2568
CVE-2010-2729

35. 34
Wassenaar Arrangement
Siber Silah Endüstrisi
Avrupa Exploit’ten korunabilmek
için dış ticaretini kontrol etmek
istiyor.
Exploit geliştirme eğitimlerini EU
vatandaşı olmayanlara veremiyoruz.
Devletlerin bazı
yasal düzenlemeleri

36. 35
Siber Silah Endüstrisi
Devletlerin bazı
yasal düzenlemeleri
Wassenaar Arrangement

37. 36
0-Day Kavramı

38. 37
0-Day Nedir?
“0-day olarak adlandırılan sıfırıncı gün güvenlik zafiyetleri,
Gün yüzüne çıkmamış yani bilinmeyen güvenlik zafiyetleri
için kullanılan bir tanımdır.”

39. 38
0-days Research Labs
0-Day Nedir?

40. 39
0-days Research Labs

41. 40
0-days Research Labs
0-Day

42. 41
0-Day Nedir?
“Güvenlik raporlarında, FBI’ın Çocuk pornosu
operasyonunda Firefox 0-Day kullanarak suçluları
yakaladığı belirtilmekte.“
CVE-2013-1690

43. 42
0-days Research Labs
Research Lab (0-Day Research)
İhtiyaçlarınız
• 1 Adet Bilgisayar
• 1 Adet Web Browser
• 1 Adet fuzzer (Grinder, Peach vs)
• Olabildiğince çok bilgi ve tecrübe
• Biraz şans 

44. 43
Research Lab (0-Day Research)
“Sistem veya Uygulama Fuzz edilirken kullanılan herhangi bir uygulama veya
script için Fuzzer tanımı kullanılmaktadır.”
Fuzzing
Fuzzer
“Fuzzing, güvenlik araştırmacılarının uygulamalara yönelik; rastgele veya
odaklı olarak oluşturdukları bir test tekniğidir. Bu kapsamda yapılmış
olunan teste Fuzzing veya Fuzz Testing denir.”

45. 44
Research Lab (0-Day Research)
5 Fuzzer

46. 45
Research Lab (0-Day Research)

47. 46
Research Lab (0-Day Research)
Crash Report

48. 47
Research Lab (0-Day Research)
Exploitable Kontrol
Crash Report

49. 48
Research Lab (0-Day Research)
Exploit Development
Exploitable Kontrol
Crash Report

50. 49
Research Lab (0-Day Research)
o artık siber silah...

51. 50
CVE-2010-3962 (Örnek)
Tür : Use-after-free
Etkilenenler : Microsoft Internet Explorer 6, 7 ve 8
Exploitable : Evet

52. 51
CVE-2010-3962 (Örnek)
Exploit : Matteo Memelli, ryujin@offsec.com
Shellcode, sistem
üzerinde çalıştırıldığında
4444 nolu portu açacak
şekilde oluşturuldu.

53. 52
CVE-2010-3962 (Örnek)

54. 53
CVE-2010-3962 (Örnek)
Sızılan sistemdeki
kullanıcılar.
Sızılan sistem.
Sızılan sistemin local ipsi.

55. 54
CVE- 2010-0188 (Örnek)
Tür : Unspecified vulnerability
Etkilenenler : Adobe Reader and Acrobat < 8.x, 8.2.1 ,9.x ,9.3.1
Exploitable : Evet

56. 55
CVE- 2010-0188 (Örnek)

57. 56
Mobil RAT (Örnek)

58. 57
Sorusu Olan?
Teşekkürler 
http://www.ibrahimbalic.com
ibrahim@balicbilisim.com