Yazılım Güvenliği Yönetimi Eğitimimiz aşağıdaki konu başlıklarını içermektedir:
Güvenli Yazılım Geliştirme Modelleri
-TOUCHPOINTS
-Secure Development Lifecycle (Microsoft)
-CLASP (Comprehensive, Lightweight Application Security Process)
Risk Yönetimi
Güvenlik Gereksinim Analizi
Teknik Riskler
Sızma Testi ve Statik Kod Analizi
Güvenlik Operasyonu
Yazılım Güvenliği Yönetimi Eğitimimiz aşağıdaki konu başlıklarını içermektedir:
Güvenli Yazılım Geliştirme Modelleri
-TOUCHPOINTS
-Secure Development Lifecycle (Microsoft)
-CLASP (Comprehensive, Lightweight Application Security Process)
Risk Yönetimi
Güvenlik Gereksinim Analizi
Teknik Riskler
Sızma Testi ve Statik Kod Analizi
Güvenlik Operasyonu
Window ağlarda saldırganların yatay hareketleri ve bunların tespiti konusunda düzenlediğimiz webinarda kullanılan sunumdur.
Amacımız saldırı ve savunma tarafının bakış açılarını bir arada sunmaktı.
Siber saldırıların tespitinde ve olay müdahalesinde Windows sistemlerin logları bize önemli bilgiler verir. Sistemin ilk ele geçirildiği andan başlayarak siber saldırganların yerel ağda yayılmasına kadar pek çok adıma bu loglar üremektedir.
Webinarda aşağıdaki konuları ele aldık:
1- Siber Ölüm Zinciri: Siber saldırıların 7+1 adımı
2- Yatay hareket (lateral movement): Siber saldırganların yerel ağdaki davranışları
3- Fidye yazılımlardaki rolü: Fidye yazılımların yerel ağda yayılmak için kullandığı teknikler
4- Yaşanılan senaryolardan örnekler
5- Yatay hareket için kullanılan araçlar: Siber saldırganlar tarafından kullanılan araçlar
6- Windows Event Logs: Yatay hareketleri tespit etmek için kullanılabilecek loglar
7- LogonTracer Aracı: Log analizini kolaylaştıracak ücretsiz bir araç
8- Olay tespiti ve müdahalesinde Microsoft Advanced Threat Analytics (ATA) aracı kullanımı
9- Yatay hareket tespiti için öneriler
================
Sorularınız için sparta@sparta.com.tr
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve YönetimiBilgiO A.S / Linux Akademi
Bir siber saldırı gözlemleme sisteminin özellikleri nelerdir, bu konuda ihtiyaçlar nelerdir ve Ossec, Snort, Elasticsearch, Logstash ve Kibana açık kaynak kod uygulamaları ile bu sistemin hayata geçirilmesini anlatan sunum.
Window ağlarda saldırganların yatay hareketleri ve bunların tespiti konusunda düzenlediğimiz webinarda kullanılan sunumdur.
Amacımız saldırı ve savunma tarafının bakış açılarını bir arada sunmaktı.
Siber saldırıların tespitinde ve olay müdahalesinde Windows sistemlerin logları bize önemli bilgiler verir. Sistemin ilk ele geçirildiği andan başlayarak siber saldırganların yerel ağda yayılmasına kadar pek çok adıma bu loglar üremektedir.
Webinarda aşağıdaki konuları ele aldık:
1- Siber Ölüm Zinciri: Siber saldırıların 7+1 adımı
2- Yatay hareket (lateral movement): Siber saldırganların yerel ağdaki davranışları
3- Fidye yazılımlardaki rolü: Fidye yazılımların yerel ağda yayılmak için kullandığı teknikler
4- Yaşanılan senaryolardan örnekler
5- Yatay hareket için kullanılan araçlar: Siber saldırganlar tarafından kullanılan araçlar
6- Windows Event Logs: Yatay hareketleri tespit etmek için kullanılabilecek loglar
7- LogonTracer Aracı: Log analizini kolaylaştıracak ücretsiz bir araç
8- Olay tespiti ve müdahalesinde Microsoft Advanced Threat Analytics (ATA) aracı kullanımı
9- Yatay hareket tespiti için öneriler
================
Sorularınız için sparta@sparta.com.tr
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve YönetimiBilgiO A.S / Linux Akademi
Bir siber saldırı gözlemleme sisteminin özellikleri nelerdir, bu konuda ihtiyaçlar nelerdir ve Ossec, Snort, Elasticsearch, Logstash ve Kibana açık kaynak kod uygulamaları ile bu sistemin hayata geçirilmesini anlatan sunum.
07.12.2013 tarihinde Siber Güvenlik Derneği tarafından gerçekleştirilen Siber Güvenlik Buluşmaları 7. oturum, 1. kısımda anlatılan konularun sunum dosyası
12. Secrove Information Security Consulting 12
Uygulama Denetimi
● Ağ Üzerinde Denetim
● Veriler açık olarak mı iletiliyor?
● Gizli veri sızdırma mevcut mu?
● Veriler manipüle edilebiliryor mu?
● Manipülasyon sunucu tarafında zafiyet
oluşturuyor mu?
14. Secrove Information Security Consulting 14
Uygulama Denetimi
● Statik Kod Analizi
● Otomatik araçlar ile kod analizi
● Uzman insan kaynağı ile kod analizi
16. Secrove Information Security Consulting 16
Uygulama Denetimi
● Dinamik Analiz
● Uygulamanın çalışması sırasında manipülasyon
yapmamızı sağlar.
● Client-side kontrollerin hepsi by-pass edilebilir.
● Gizlenmiş fonksiyonların çağrılması
sağlanabilir.
● Gizlenmiş veriler dump olarak alınabilir.
17. Secrove Information Security Consulting 17
Uygulama Denetimi
● Dinamik Analiz
● Debugger (gdb)
● Otool
● Class-dump-z
● Snoop-it
● Cycript
23. Secrove Information Security Consulting 23
Uygulama Denetimi
● Örnek Uygulama
● Cycript
● Görsel özelliklerde işlem yapabiliriz
● SpringBoard üzerinde işlemler gerçekleştirmek
● Fonksiyon özelliklerinde işlem yapabiliriz
● PhotoVault uygulamasında authentication
by-pass gerçekleştirmek
24. Secrove Information Security Consulting 24
Örnek Uygulama - cycript
● İlk olarak jailbreak yapılmış telefonumuza:
● Cycript
● Class-dump-z
kurmalıyız.
25. Secrove Information Security Consulting 25
Örnek Uygulama - cycript
● SSH ile telefona erişip, üzerinde işlem yapacağımız uygulamayı seçeceğiz:
26. Secrove Information Security Consulting 26
Örnek Uygulama - cycript
● Cycript ile, işlem yapacağımız process'e attach olacağız:
● Ağaç yapısında uygulama window görsellerine erişeceğiz:
27. Secrove Information Security Consulting 27
Örnek Uygulama - cycript
● Hedefimizde uygulamaların “icon”ları var.
● Görsel “subview” özelliklerini kullanarak “SBIconView”a erişeceğiz.
28. Secrove Information Security Consulting 28
Örnek Uygulama - cycript
● Uygulama “icon”larına eriştiğimize göre, işlem yapabiliriz.
● Bir uygulama'yi görünmez yapalım.
● İlgili object'in “setHidden”
metodunu çağırıyoruz.
● Metod çağırırken komutları
[.....] içerisinde kullanıyoruz.
29. Secrove Information Security Consulting 29
Örnek Uygulama - cycript
● Object'ler hiyerarşik olduğu için bir üst subview üzerinde işlem yapalım.
● Eriştiğimiz “subview” icon container olduğu için
container içideki bütün “icon”lar kayboldu.
30. Secrove Information Security Consulting 30
Örnek Uygulama - cycript
● Object'lerde daha üste çıktığımızda...
● Artık masaüstünü tamamen gizlemiş olduk.
31. Secrove Information Security Consulting 31
Örnek Uygulama - cycript
● ... ve herşeyi geri getirelim...
● setHidden: NO
32. Secrove Information Security Consulting 32
Örnek Uygulama - cycript
● Şimdi de PhotoVault uygulamasına bir bakalım.
● Uygulama giriş için parola istiyor...
● Bu ekranı by-pass edebilir miyiz?
33. Secrove Information Security Consulting 33
Örnek Uygulama - cycript
● Cycript ile uygulamaya attach olup, bu ekranı geçmeye ilişkin
fonksiyon çağrısı yapabilirsek, by-pass etmiş olacağız.
● Bunun için “Application Delegate”
içerisindeki fonksiyonlara göz atmamız
gerekiyor.
● Bu noktada “class-dump-z” kullanacağız.
34. Secrove Information Security Consulting 34
Örnek Uygulama - cycript
● Uygulamaya attach olup, adım adım ilerleyelim...
● Process ID: 4791
● Application Delegate: “AppDelegate”
● Class-dump-z ile uygulamanın class-dump'ını alıp
işimize yarayacak fonksiyonlara bakabiliriz.
35. Secrove Information Security Consulting 35
Örnek Uygulama - cycript
● Uygulamayı dump edip, “AppDelegate” içindeki fonksiyonları inceleyelim.
36. Secrove Information Security Consulting 36
Örnek Uygulama - cycript
● Bu fonksiyonlar içinde
“pinLockControllerDidFinishUnlocking” isminde bir fonksiyon mevcut.
Denemeye değer...
37. Secrove Information Security Consulting 37
Örnek Uygulama - cycript
● Cycript içinden “pinLockControllerDidFinishUnlocking” fonksiyonunu call
ediyoruz.
38. Secrove Information Security Consulting 38
Örnek Uygulama - cycript
● Fonksiyon çağrımız işe yarıyor ve authentication ekranını by-pass etmiş
oluyoruz
● Peki başka neler yapabiliriz?
● PhotoVault Uygulamasının “iconBadge”ini değiştirelim.
39. Secrove Information Security Consulting 39
Örnek Uygulama - cycript
● Uygulamanın belleğinde işlem yapmamıza iman sağlayan “cycript” ile
● Uygulama arayüzüne ilişkin manipülasyonlar
● Uygulama içindeki değişkenlere ilişkin manipülasyonlar
● Uygulam içindeki fonksiyon çağrılarına ilişkin manipülasyonlar
gerçekleştirilerek, uygulama içerisindeki kontroller by-pass
edilebilmektedir.