İstanbul Şehir Üniversitesi - Kablosuz Ağlarda Adli Analiz - Bilgi Güvenliği Mühendisliği Yüksek Lisans Programı Bilgisayar Adli Analizi Dersi
Hazırlayan: Gökhan Karaçay
BGA eğitmenleri tarafından hazırlanan Beyaz Şapkalı Hacker (CEH) Laboratuvar Kitabıdır. Dokümanı https://www.bgasecurity.com/makale/beyaz-sapkali-hacker-ceh-lab-kitabi/ adresimiz üzerinden indirebilirsiniz.
İstanbul Şehir Üniversitesi - Kablosuz Ağlarda Adli Analiz - Bilgi Güvenliği Mühendisliği Yüksek Lisans Programı Bilgisayar Adli Analizi Dersi
Hazırlayan: Gökhan Karaçay
BGA eğitmenleri tarafından hazırlanan Beyaz Şapkalı Hacker (CEH) Laboratuvar Kitabıdır. Dokümanı https://www.bgasecurity.com/makale/beyaz-sapkali-hacker-ceh-lab-kitabi/ adresimiz üzerinden indirebilirsiniz.
Window ağlarda saldırganların yatay hareketleri ve bunların tespiti konusunda düzenlediğimiz webinarda kullanılan sunumdur.
Amacımız saldırı ve savunma tarafının bakış açılarını bir arada sunmaktı.
Siber saldırıların tespitinde ve olay müdahalesinde Windows sistemlerin logları bize önemli bilgiler verir. Sistemin ilk ele geçirildiği andan başlayarak siber saldırganların yerel ağda yayılmasına kadar pek çok adıma bu loglar üremektedir.
Webinarda aşağıdaki konuları ele aldık:
1- Siber Ölüm Zinciri: Siber saldırıların 7+1 adımı
2- Yatay hareket (lateral movement): Siber saldırganların yerel ağdaki davranışları
3- Fidye yazılımlardaki rolü: Fidye yazılımların yerel ağda yayılmak için kullandığı teknikler
4- Yaşanılan senaryolardan örnekler
5- Yatay hareket için kullanılan araçlar: Siber saldırganlar tarafından kullanılan araçlar
6- Windows Event Logs: Yatay hareketleri tespit etmek için kullanılabilecek loglar
7- LogonTracer Aracı: Log analizini kolaylaştıracak ücretsiz bir araç
8- Olay tespiti ve müdahalesinde Microsoft Advanced Threat Analytics (ATA) aracı kullanımı
9- Yatay hareket tespiti için öneriler
================
Sorularınız için sparta@sparta.com.tr
Cyber Kill Chain includes 7 stages that are Reconnaissance, Weaponization, Delivery, Exploitation, Installation, C2 and Actions on Objectives.
Askeri anlamda, "Kill Chain" bir saldırının aşamalarını tanımlayan ve bu saldırıyı gerçekleştirmek/önlemek amacıyla çeşitli yöntemlerin geliştirilmesine yarayan bir modeldir.
Lockheed Martin, Kill Chain modelini siber güvenlik olaylarının analizi ve iyileştirme önlemleri belirleme amacıyla uyarlayarak Cyber Kill Chain modelini oluşturmuştur.
Son yıllarda yaygın olarak kullanılan bu modelde,
siber saldırılar yedi adımda modellenmiştir,
kurumların her bir aşamada siber saldırıları tespit etme ve engelleme için yapabilecekleri tartışılmaktadır.
Cyber Kill Chain model 7 aşamadan oluşmaktadır. Bu aşamalar: Keşif, Silahlanma, İletme, Sömürme, Yükleme, Komuta Kontrol, Eyleme Geçme.
KOBI'ler için 60 Dakikada Ağ Güvenliği DosyasıSparta Bilişim
Bilişim Teknolojileri alt yapısının güvenliğini sağlamak karmaşık ve genellikle tecrübeli siber güvenlik uzmanlarını ilgilendiren bir konu. Ancak günümüzde ağ güvenliğinin sağlanabilmesi için çok daha fazla kişinin ağ yapısının bileşenlerini anlamaya ihtiyacı oluyor. Bu “Ağ Güvenliği Raporu”nu oluştururken elimizden geldiğince tüm bilişim teknolojisi çalışanlarına ve sistem yöneticilerine uygun bir çalışma ile karşılaşılan riskler konusunda bilgi vermeye ve farkındalık yaratmaya çalıştık.
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve YönetimiBilgiO A.S / Linux Akademi
Bir siber saldırı gözlemleme sisteminin özellikleri nelerdir, bu konuda ihtiyaçlar nelerdir ve Ossec, Snort, Elasticsearch, Logstash ve Kibana açık kaynak kod uygulamaları ile bu sistemin hayata geçirilmesini anlatan sunum.
Bilgi Güvenliği ve Ağ Güvenliği //Fırat Üniversitesi Siber Güvenlik KonferansıRaif Berkay DİNÇEL
Bilgi Güvenliği ve Ağ Güvenliği
Ben Kimim ? ? ?
Neler Yaparım
Aldığım Eğitimler ve Sertifikalar
BlinkCursor ??
Konu İçerikleri
Bilgi Güvenliği Kavramı
Bilgi Güvenliğinin Amacı
Tehdit Türleri
Dahili Tehdit Unsurları
Harici Tehdit Unsurları
Saldırı Kavramı
Saldırgan Türleri
Saldırgan Motivasyonu
Ağda Bulunan ve Potansiyel Risk İçeren Sistemler
Saldırı Yöntemleri
Saldırılarda Sıkça Kullanılan Teknikler
Sosyal Mühendislik
Sosyal Mühendislik – Önleme Yöntemleri
Ağ Haritalama
Ağ Haritalamada Ulaşılmak İstenen Bilgiler
Ağ Haritalamada Kullanılan Teknikler
Ağ Haritalama – Önleme Yöntemleri
Uygulama Zayıflıkları
Uygulama Zayıflıkları – Önleme Yöntemleri
Yerel Ağ Saldırıları
Yerel Ağ Saldırılarında Kullanılan Teknikler
Yerel Ağ Saldırıları – Önleme Yöntemleri
Spoofing
Spoofing Teknikleri
Spoofing – Örnek Spoofing İşlemi
Spoofing – Önleme Yöntemleri
Hizmet Aksatma Saldırıları
Dağıtık Hizmet Aksatma Saldırıları
Hizmet Aksatma Saldırıları – Önleme Yöntemleri
Virüs, Worm ve Trojan Tehlikeleri
Virüs, Worm ve Trojan’ları Önleme Yöntemleri
Saldırıya Uğrayabilecek Değerler
Görülebilecek Zararın Boyutu
Güvenlik İhtiyacının Sınırları
Genel Güvenlik Önlemleri
Ağ Güvenlik Duvarı (Firewall)
Internet bağlantısında bir kurumun karşılaşabileceği sorunlar şunlardır;
Bir güvenlik duvarı çözümünde verilebilecek servisler
Paket Filtreleme
Dinamik (Stateful) Filtreleme;
DMZ (Silahtan Arındırılmış Bölge):
Proxy:
Firewall çözümleri:
İçerik Filtreleme (content filtering):
VPN:
Saldırı Tespiti (ID):
Loglama ve Raporlama:
SORULAR ???
Sosyal Medya Hesaplarım:
BENİ DİNLEDİĞİNİZ İÇİN HEPİNİZE ÇOK TEŞEKKÜR EDİYORUM
İletişim veya sorularınız için iletişim adreslerim ;
Gömülü Cihaz Güvenliği ve Zollard Botnet AnaliziIbrahim Baliç
Baliç Bilişim olarak 2014 yılı içerisinde “Gömülü Cihaz Güvenliği” başlığı altında bazı araştırmalar gerçekleştirdik. Bu araştırmalar sayesinde ilginç bulgular elde ettik. İnternet alt yapısının omurgası sayılabilecek router cihazları başta olmak üzere bir çok gömülü cihazın tehdit altında olduğunu tespit ettik.
Google Güvenli Yapay Zeka Framework Yaklaşımı(Türkçe Çeviri)AISecLab
Güvenli Yapay Zeka Frameworku (Secure AI Framework (SAIF)), güvenli yapay zeka (AI) sistemleri için kavramsal bir frameworktur. Google'ın yazılım geliştirmeye uyguladığı tedarik zincirini gözden geçirme, test etme ve kontrol etme gibi en iyi güvenlik uygulamalarından esinlenirken, yapay zeka sistemlerine özgü güvenlik mega trendleri ve riskleri hakkındaki anlayışımızı da dahil etmektedir.
Siber Güvenlik Eğitimleri | SPARTA BİLİŞİMSparta Bilişim
Siber Güvenlik Eğitimi, kurumunuza özel veya genele açık olarak düzenlenebilen bir Sparta Bilişim hizmetidir.
Yöneticiler, IT (Bilgi Teknolojileri) personeli, güvenlik uzmanları ya da kuruluş çalışanlarının tümü için tercih edilebilecek farklı kapsam, süre ve fayda sunan 22 farklı eğitim başlığımız bulunmaktadır.
Bu dokümanda Sparta Bilişim olarak vermekte olduğumuz siber güvenlik eğitimlerinin genel amacı ve eğitim içerikleri yer almaktadır.
SPARTA BİLİŞİM siber güvenlik konusunda ihtiyaç duyduğunuz profesyonel hizmetleri sunmak amacıyla 2013 yılından beri sizinle. Bugüne kadar 300’ün üzerinde kuruluşa sızma testi yaptık, olay müdahalesi gerçekleştirdik, danışmanlık yaptık. 4 kıtada, toplamda yüzlerce kişiye eğitimler verdik. İşbirliği yaptığımız kuruluşların mevcut bilgi teknolojileri ve bilgi güvenliği ekiplerinin bir uzantısı gibi çalışmaya özen gösterdik. Ve güvenliğinizi koruyabilmek için her zaman sizden biri olduk…
Unutmayın! Siber saldırılarda her türde ve büyüklükteki işletme risk altındadır ve en zayıf halka insan faktörüdür! Hem teorik hem pratik örneklerle oluşan içeriğiyle bu eğitim, son savunma hattınız olan çalışanlarınızın güncel siber tehditleri daha iyi anlayıp gerekli önlemleri almasını sağlamada çok faydalı olacaktır.
BGA Security tarafından her yıl yaklasık olarak 200’e yakın
sızma testi projesi gerçeklestirilmektedir. Bu projeler standart
olmayıp müsterilerin taleplerine göre farklı boyutlarda
olabilmektedir. Bu rapor yapılan çalışmalarda karşılaşılan zafiyetler ve istismar yöntemlerinin istatistiklerini paylaşmak amacıyla hazırlanmıştır.
Fidye yazılımı, kurbanın dosyalarını şifreleyen kötü amaçlı bir yazılım türüdür. Saldırgan, ödeme yapıldıktan sonra
verilerine tekrar erişebilmesi için kurbandan fidye talep eder.
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing RaporuBGA Cyber Security
Bu raporda 2020 yılının ilk yarısı için Türkiye'de bulunan bankalar adına açılan sahte alan adları
(domain), bu alan adlarının SSL sertifikası durumları ve kayıt bilgilerine yönelik analizler yer almakta
olup, aylara göre artışları ve saldırganların motivasyonları incelenmiştir.
Aktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi ToplamaBGA Cyber Security
Ağ haritalama (Enumeration), sızma testi metodolojilerinden biridir. Hedef ile aktif bir bağ oluşturulduğunda ve hedefe saldırıda bulunurken giriş noktasını tespit etmek amacıyla sistemin ağ yapısının detaylı belirlenmesidir:
Açık sistemler ve üzerindeki açık portlar, servisler ve servislerin hangi yazılımın hangi sürümü olduğu bilgileri, ağ girişlerinde bulunan VPN, Firewall, IPS cihazlarının belirlenmesi, sunucu sistemler çalışan işletim sistemlerinin ve versiyonlarının belirlenmesi ve tüm bu bileşenler belirlendikten sonra hedef sisteme ait ağ haritasının çıkartılması Ağ haritalama adımlarında yapılmaktadır.
3. NETSEC 2016BGA Bilgi Güvenliği A.Ş
BGA Security Hakkında
@BGASecurity
Siber güvenlik dünyasına yönelik, yenilikçi profesyonel
çözümleri ile katkıda bulunmak amacı ile 2008 yılında
kurulan BGA Bilgi Güvenliği A.Ş. stratejik siber
güvenlik danışmanlığı ve güvenlik eğitimleri
konularında büyük ölçekli çok sayıda kuruma hizmet
vermektedir.
Gerçekleştirdiği vizyoner danışmanlık projeleri ve
nitelikli eğitimleri ile sektörde saygın bir yer kazanan
BGA Bilgi Güvenliği, kurulduğu günden bugüne kadar
alanında lider finans, enerji, telekom ve kamu
kuruluşları ile 1.000'den fazla eğitim ve danışmanlık
projelerine imza atmıştır.
ARGE
EĞİTİM
MSSP
PENTEST
SOME / SOC
SECOPS
4. Ürün Bağımsız
Güvenlik Yaklaşımı”
BGA Security, deneyimli ve uzman kadrosu ile siber saldırılara karşı kurumların ihtiyaç duyacağı desteği, “ürün bağımsız
güvenlik yaklaşımı” vizyonu ile sağlama adına her zaman yanınızda…
5. NETSEC 2016Sunum
Sunum Hakkında
@BGASecurity
Digital varlıklarda, bilgisayar ağlarında ve iletişim teknolojilerinde
yer alan yada olması muhtemel arka kapı risklerini yaşanmış
örnekleri ile ele almaktadır.
Arka kapıların sahip olduğu tehlikeleri ve beraberinde yaşatacakları
riskleri görüp bakış açımızı genişletmek, bu risklere karşı korunma
yöntemlerini tartışmak ve yeni ürün/çözüm önerileri oluşturmaktır.
Sunumda yer alan detaylar her ne kadar paronoya riski taşısada asıl
amaç hem bireysel hem kurumsal önlemlerinizi arttırmanızı
sağlamak hemde olası tehlikelerin varlığını bilerek adım atmak.
7. NETSEC 2016Ark Kapı Türleri
Geleneksel & Alışılmadık Arka Kapılar
Geleneksel
Süre gelen yaşantımızda sık karşılaştığımız klasik
yöntemler
●Gizli parametreler
●İhtiyaç olmayan arabirimler ve kullanıcı
hesapları
●Gizli hesaplar vb.
Alışılmadık
İşte en tehlikeli olanlar, alışılmışlığın dışında ve
dökümante edilmemiş yöntemlerle hayatımızda
olan arka kapılar.
●Uygulama geliştiricileri tarafından dizayn
edilenler.
●Devlet/İstihbarat örgütleri tarafından donanım
yada firmware seviyesinde yerleştirilenler
●Protokol hataları
@BGASecurity
8. NETSEC 2016Kimler İhtiyaç Duyar (?)
Siber saldırılar gerçekleştiren saldırganlar
Arka kapı dizayn eden saldırganlar, zaman zaman farklı yazılım yada servislere bu arka kapıları
yerleştirerek yeni sistemleri ele geçirmeyi hedeflemektedirler. Aynı zamanda ele geçirdikleri
sistemlerde erişimi devam ettirmek, uzaktan kod komut çalıştırmak içinde bu kötücül
yazılımlardan faydalanırlar.
Securi Firmasının 2016 yılının ilk çeyreği için yayınlamış olduğu raporda ele geçirilen web sitelerin
%70’nde arkakapı tespit edilmiş.
Köle bilgisayarlar ile robot ağlar kurmak isteyenler
Ele geçirilen bilgisayarlar, gerektiğinde bir hedefe yönelik saldırının bir parçası yapılmak
istediğinde (örneğin servis dışı bırakma) bu arka kapılar sıklıkla kullanılır. Bilgisayarlarda çalışan
bu zararlılar, saldırganın komuta kontrol merkezinden aldığı emir ile siber saldırılar
gerçekleştirmek için harekete geçer.
9. NETSEC 2016Kimler İhtiyaç Duyar (?)
İstihbarat örgütleri
Digital casusluğun en etkili silahlarından biridir arka kapılar ve devletlere bağlı çalışan istihbarat
örgütleri, hedefleri hakkında bilgi toplamak, sızmak ve hedefleri yok etmek için bu arka kapıları
sıklıkla kullanır. Bu konuda yenilikler için araştır ve geliştirme faliyetleri, satın almalar sıklıkla
yaşanmaktadır.
Bknz. NSA, GCHQ, Mossad ...
Üreticiler
Müşterilerine kolay destek vermek isteyip, yeri geldiğinde sorun çözmek için bu yöntemleri
kullanmaktadırlar. Bu durum açığa çıktığında üreticinin kontrolünden çıkıp saldırganların
suistimaline dönüşebilmektedir. Dökümanın ilerleyen sayfalarında örnekler bulabilirsiniz.
10. NETSEC 2016Hangi Amaçlar ile Kullanılır (?)
Sistemlere uzaktan erişimi sürdürmek
Gerektiğinde ele geçirilmiş sistemlere kimlik doğrulamasız ve gizlice bağlanmak için kullanılır.
Veri sızıntısı
Hedef sistemden hassas verileri almak, veri aktarmak için kullanılır. Örneğin, kredi kartı vb.
finansal veriler, skype, what’sapp vb. anlık iletişim araçlarının verileri, sözleşmeler vb. hassas
dökümanlar ve fotoğraf, video gibi özel veriler …
Sistemleri çalışmaz hale getirmek
Arka kapılar bulaştıkları sistemlere zarar verme, verileri geri dönülemez şekilde (pratik olarak)
bozma gibi hayati risklerde taşımaktadır.
11. NETSEC 2016Hangi Amaçlar ile Kullanılır (?)
Para kazanmak (?)
Sanal para birimlerinin hayatımıza girmesi ile ele geçirilen sistemlerde yaşayan arka kapılar,
saldırganların bu sistemlerin kaynaklarını (cpu,ram,disk vb.) kullanarak işlem yapmasınında
önünü açmıştır.
Bir diğer kazanç kapısı internet reklamcılığı (bknz. adwords) ile köle sistemlerin bu kaynaklarda
aktivite gösterip saldırgana para kazandırması.
Offline parola özeti kırma saldırılarında da arka kapılar hedef sistemde işlem yapması üzere
saldırganlara erişim imkanı sunar.
13. NETSEC 2016Arka Kapıların Digital Dünyamızı Etkilediği Alanlar
Sosyal Yaşantımızda
Taşınabilir Aygıtlar
Akıllı ev teknolojileri
Modemler ve Kablosuz ağ cihazları
Kameralar
IoT - Internet of Things
Arabalar ve kendilerine özel iletişim protokolleri
Kurumsal Yaşantımızda
Sınır güvenliğini sağlayan cihazlar
İşletim Sistemleri
Taşınabilir Aygıtlar
Donanımlar
Ekipmanlar
İletişim Kanallarında
3. Party yazılımlarda
14. NETSEC 2016Gerçek Dünyadan Örnekler ile Yeni Nesil Arka Kapılar
NSA’in küresel çaplı siber casusluk projesi: ANT
Kaynak: https://nsa.gov1.info/dni/nsa-ant-catalog/usb/index.html
15. NETSEC 2016Sosyal Yaşantımızda
Taşınabilir Aygıtlar
● Mobil aygıtlar için geliştirilen siber istihbarat projesi, https://nsa.gov1.info/dni/nsa-ant-
catalog/mobile-phones/index.html
● Yeniden programlanabilir ve zararlı yazılım taşıyan USB aygıtlar, https://nsa.gov1.info/dni/nsa-
ant-catalog/usb/index.html
Akıllı Cihazlar
● Android Backdoor, http://thehackernews.com/2015/11/android-malware-backdoor.html
● http://thehackernews.com/2014/03/backdoor-found-in-samsung-galaxy.html
● http://thehackernews.com/2014/08/xiaomi-phones-secretly-sending-users.html
Modemler ve Kablosuz ağ cihazları
● Airties Backdoor, https://twitter.com/hackerfantastic/status/533400063348072448
● D-Link Backdoor, http://www.devttys0.com/2013/10/reverse-engineering-a-d-link-backdoor/
Kameralar
● https://nsa.gov1.info/dni/nsa-ant-catalog/room-surveillance/index.html
16. NETSEC 2016Kurumsal Yaşantımızdan
Sınır güvenliğini sağlayan cihazlar
Firewall, switch, router ve trafiği denetleyen diğer sistemler internet ile kurum ağının sınırlarını
belirleyen kritik sistemler oldukları için olası arka kapı tehlikesi suistimal için saldırganlara kolaylık
sağlamaktadır.
Yakın zamanda şahit olduğumuz bazı arka kapılar;
● Juniper Screenos, https://community.rapid7.com/community/infosec/blog/2015/12/20/cve-
2015-7755-juniper-screenos-authentication-backdoor
● Barracuda Networks, https://www.sec-
consult.com/fxdata/seccons/prod/temedia/advisories_txt/20130124-
0_Barracuda_Appliances_Backdoor_wo_poc_v10.txt
● Fortinet Hardwares, http://arstechnica.com/security/2016/01/secret-ssh-backdoor-in-fortinet-
hardware-found-in-more-products/
● Cisco Routers, https://www2.fireeye.com/rs/848-DID-242/images/rpt-synful-knock.pdf
● NSA’in ANT projesinden Firewall için geliştirdiği methodlar, https://nsa.gov1.info/dni/nsa-ant-
catalog/firewalls/index.html
20. NETSEC 2016Geleneksel Korunma Yöntemleri
Gerektiği Kadar Yetki
Uygulamaları kısıtlı
kullanıcı hakları ile yada
minimum yetkiler ile
çalıştırmak.
Erişim Kısıtlamaları
Arka kapıların uzaktan tetiklenmesini
engellemek için erişim kurallarını
sıkılaştırmak, yönetim servislerine sadece
size ait adreslerden erişim tanımlamak etkili
korunma yöntemlerinden biri.
Tehtit istihbaratı
Arka kapı barındıran yada yüklenmesine
olanak sağlayan durumlar zaman zaman
saldırganlar tarafından keşfedilmekte zaman
zamanda istihbari bilgi olarak sızmaktadır
Düzenli Zafiyet Analizi
Arka kapı yüklenmesine
olanak sağlayacak sıfırıncı
gün zafiyetlerini ve bilinen
zafiyetleri keşfedip bildirecek
bir sistem.
Anormallik Tespiti
Tüm ağı gözlemleyebildiğiniz bir sistem ile; ağınızın normal değerlerini bilip, anormal durumlar için alarm üretmek. Davranış tabanlı kolerasyon kuralları
geliştirmek. Tatbik ederek öğrenmek ?