Siber güvenlik ve hacking

Siber Güvenlik ve Hacking
Alper Başaran
C|EH, E|CSA
basaranalper@gmail.com
@basaranalper

Neden Buradayız?
• Siber Savaş
• Bilgi Güvenliği
• Ethical Hacking
• Sosyal Mühendislik
@basaranalper | www.alperbasaran.com

Siber Savaş Tarihi
• 1984: “Siberuzay” (Cyberspace) terimi ilk defa
kullanılıyor
• 1997: A.B.D. Ordusu ilk siber savaş
senaryosunun tatbikatını yapıyor
• 1998: CIA siber savaş riski konusunda açıklama
yapıyor
• 1998: A.B.D. Ordusu siber savunma güçlerini
tek çatı altında topluyor

Siber Savaş Tarihi
• 2003: Nsa siber güvenlik birimlerini tek çatı
altında topluyor
• 2006: A.B.D. Hava Kuvvetleri Siber Kuvvetler
Komutanlığı’nı kuruyor
• 2007: Rus saldırganlar Estonya’da interneti
durduruyor
• 2008: Pentagon 2007 yılında hacklendiklerini
ve bilgi çaldırdıklarını açıkladı

Siber Savaş
• Siber savaş araçları
– Yazılım tabanlı silahlar
– Donanım tabanlı silahlar

Siber Savaş
• Hükümet / Devlet
• Resmi destek
• Resmi kaynak
• Finansal kaynak
• Uzmanlık

Siber Suç
• Özel
• Suç şebekesi
• Gayri-resmi / gayri-meşru kaynak

Siber Suç Çeşitleri
• Spam
• Sahtecilik / Dolandırıcılık
• Ahlak dışı içerik
• Taciz
• Tehdit
• Uyuşturucu ticareti
• Siber terörizm
• Siber savaş

Bilişim Suçları
• 5651, 5070 ve 5846 Sayılı Kanunlar
• TCK Madde 135 (Kişisel verilerin kaydedilmesi)
• TCK Madde 136 (Verileri hukuka aykırı olarak verme veya ele
geçirme)
• TCK Madde 243 (Bilişim sistemine girme)
• TCK Madde 244 (Sistemi engelleme, bozma, verileri yok etme veya
değiştirme)
• TCK Madde 326 (Devletin güvenliğine ilişkin belgeler)

Bilişim Suçları
• TCK Madde 327 (Devletin güvenliğine ilişkin bilgileri temin etme)
• TCK Madde 328 (Siyasal veya askeri casusluk)
• TCK Madde 329 (Devletin güvenliğine ve siyasal yararlarına ilişkin
bilgileri açıklama)
• TCK Madde 330 (Gizli kalması gereken bilgileri açıklama)
• SPK Bilgi, Belge Ve Açıklamaların Elektronik Ortamda İmzalanarak
Kamuyu Aydınlatma Platformuna Gönderilmesine İlişkin Esaslar
Hakkında Tebliğ

OSI Modeli
• Bilgisayarlar arasındaki iletişim protokoller ile
yapılır
• Protokoller verinin nasıl iletileceğini belirleyen
kurallar dizisidir
• 70’li yılların başında Open System
Interconnection (OSI) geliştirilmiştir

Application
Presentation
Session
Transport
Network
Data Link
Physical

Ali Veli
Application
Presentation
Session
Transport
Network
Data Link
Physical
Application
Presentation
Session
Transport
Network
Data Link
Physical

OSI Katmanları: 1. Katman
• Fiziksel veri iletişimini sağlar
• Hub ve Repeater cihazlar
Application
Presentation
Session
Transport
Network
Data Link
Physical

• Address Resolution Protocol
• MAC adresinin pakete eklenmesi
• Switch ve Bridge cihazlar
Application
Presentation
Session
Transport
Network
Data Link
Physical

• IP, ICMP, BGP, NAT
• Router cihazlar
Application
Presentation
Session
Transport
Network
Data Link
Physical

• TCP, UDP
Application
Presentation
Session
Transport
Network
Data Link
Physical

• Bağlantının kurulmasını sağlar
• Bağlantıyı kur
• Veriyi ilet
• Bağlantıyı kapat
Application
Presentation
Session
Transport
Network
Data Link
Physical

• Veriyi bilgisayarların anlayacağı
dile çevirir
Application
Presentation
Session
Transport
Network
Data Link
Physical

• Protokolleri belirler
• HTTP
• SMTP
• DNS
Application
Presentation
Session
Transport
Network
Data Link
Physical

• Uygulama kullanıcısı!
Application
Application
Presentation
Session
Transport
Network
Data Link
Physical

IP Adresleri
• Internet adresleri
• 1.0.0.0 ile 255.255.255.255 arası
• 10.0.0.0, 127.0.0.0, 172.16.0.0 – 172.31.0.0,
192.168.0.0 özel networkler
• 172.25.156.0 Subnet Mask 255.255.255.224
olursa subnet 172.25.156.1 ile 172.27.165.30
arasındadır

IP adresleri
Web
Sunucusu
Firewall İç Sunucu
Kurumsal
İnternet Ağ

Temel Network cihazları
• Repeater
• Hub
• Bridge
• Switch
• Router

Repeater
• Layer 1
• Aptal
• Gelen elektrik sinyalini tekrar ediyor
• Menzil uzatmakta kullanılır (100-200 metrede
bir kullanılır)

Hub
• Birden fazla portu olan repeater
• Layer 1
• Aptal
• Gelen sinyali bütün portlara tekrarlar

Bridge
• Aynı LAN’nın 2 parçasını birbirine bağlar
• Akıllıdır
• Her iki taraftaki MAC adreslerini öğrenir ve
trafiği nasıl yönlendirmesi gerektiğine karar
verir
• Tarafların kendi içerisindeki trafik bridge
üzerinden geçmez

Switch
• Çok portlu bir bridge
• 24 veya daha fazla portu olur
• Her port’taki MAC adreslerini öğrenir
• Trafiği sadece gönderen ve alan arasında
sınırlandırır, dinlenmesine izin vermez
• Switch sadece belli MAC adreslerine izin
verecek şekilde ayarlanabilir

LAN!
• Bridge, Hub ve Switch ile bağlı cihazlar aynı
LAN’da (Broadcast adresleri aynı)
• Aynı IP ağında olmalılar
• 192.168.1.14 / 255.255.255.0
• 192.168.1.100 / 255.255.255.0
• 192.168.1.28 / 255.255.255.0

LAN!
A
B
Switch
C D
E
Hub
F
G H
I
Switch
J
Bridge

Router
• Misafir sanatçı: VLAN
• Router farklı ağları birbirine bağlar
• Layer 3’te çalışır
• IP adreslerine bakar, MAC adreslerine değil
• Router broadcast mesajlarını iletmez
• Route belirler

Router
A
B
Switch
C D
E
Hub
F
G H
Router
I
J
Switch
K L
Network 1: 192.168.1.0 Network 2: 10.1.2.0

Karmaşık Network cihazları
• Gateway
• Firewall
• Proxy

Gateway
• İki farklı “şeyi” birbirine bağlayan cihaz/yazılım
• Default gateway: Kendi ağınızdan çıkmak için
kullandığınız router
• Email gateway: Exchange ile SMTP arasındaki
geçişi sağlar
• Web gateway

Firewall
• Ağ üzerindeki kuralların yazılmasını ve
uygulanmasını sağlar
• Genellikle ağ girişine gelen / giden trafiği
denetlemek için kullanılır

Firewall
• Örnek Firewall kuralı
– Allow TCP any 192.168.1.20 80

Proxy
• Trafiği A’dan alıp B’ye iletir
• A ve B doğrudan bağlı değildir
• Geçen trafik daha detaylı bir şekilde
denetlenebilir
• NAT = Beleş Proxy

NAT
• İç IP adreslerinin kullanılmasına imkan verir
• Birden fazla iç IP adresinin tek bir dış IP adresi
kullanmasına imkan verir
F Router Internet
10.0.2.13
86.17.123.4
213.1.55.34

Güvenlik Çözümleri
Kullanıcı
IPS
Internet
Firewall URL Anti Spam
Antivirüs

Paket başlıklarına bakar
Zarf: Gönderen, Alıcı
Kullanıcı
IPS
Internet
Antivirüs

Paket içeriğine bakar
Zarf: Mektubu okur
Kullanıcı
IPS
Internet
Antivirüs

URL Filtreler:
Gidilmek istenen sayfa zararlı mı?
Kurumsal politikalara aykırı mı?
Kullanıcı
IPS
Internet
Antivirüs

Anti- Spam:
E-mail spam mi?
Kullanıcı
IPS
Internet
Antivirüs

Anti- Virüs:
Dosya zararlı mı?
Kullanıcı
IPS
Internet
Antivirüs

Bilgi Güvenliği

Bilgi Güvenliği
• Confidentiality - Gizlilik
• Integrity - Bütünlük
• Availability - Erişilebilirlik

Bilgi Güvenliği: Confidentiality
• Herşeyi herkesten gizlemek değil
• Veriye/bilgiye sadece yetkisi olanların
ulaşabilmesini sağlamak
• Örn: Şifreleme

Bilgi Güvenliği: Integrity
• Yetkisiz ve izinsiz değişikliklerin engellenmesi
• Verinin amacına uygun derecede doğru olması

Bilgi Güvenliği: Availability
• Veriyi iletmek, depolamak ve işlemekten
sorumlu hizmetlerin devamlılığının sağlanması

Güvenlik ve Kullanılabilirlik Üçgeni
İşlevsellik
Güvenlik Kullanılabilirlik

Üniversite Hayatının Özeti
İyi Notlar
Sosyal
Hayat
Uyku
İkisi
Seçin

Güvenlik Neden Zor?
• Kullanım kolaylığına odaklı teknolojik gelişme
• Ağ üzerindeki uygulamaların artması
• Altyapının karmaşıklığının artması
• Güvenliğin merkezileştirilememesi
• Güvenlik zafiyetlerinin iş süreçlerine etkisi
• Kanuni zorunluluklar

Güvenlik Tehditleri
• Trojan/Keylogger
• Botnet
• Sızma
• İç Tehditler
• Organize siber suçlar
• Phishing / Sosyal Mühendislik
• Yeni Virüsler
• Siber Casusluk
• Zero-Day
• Kimlik bilgilerinin satılması
• Siber şantaj

Saldırının Etkileri
• Saldırganların bilgisayarı suç işlemek için
kullanması (spam, botnet)
• Veri hırsızlığı veya verinin zarar görmesi
• Müşteri bilgilerinin, kredi kartı bilgilerinin
çalınması
• Eposta, sosyal medya hesabı, vb. Parolalarının
çalınması

Yeri Gelmişken...
• Şifre (Code, Cipher):
– Gizli haberleşme için kullanılan işaretler
• Parola (Password):
– Kimlik belirlemek için önceden belirlenmiş
söz/rakam/cümle

Saldırının Etkisi
Kurban
Ltd. Şti.
Müşteri Bilgilerinin
Çalınması
Ticari Sırların Çalınması
Prestij Kaybı İş Zamanı Kaybı

Bilgi Güvenliği Yönetimi
• Şirket varlıklarını korumak için oluşturulur
• İyi bir güvenlik yönetimi üst yönetim
tarafından desteklenir
• Bilgi güvenliği yönetimi bir nokta değil,
süreçtir

Bilgi Güvenliği Yönetimi
Planla
Yeniden
Başla
Uygula
Kontrol Et
Değerlendir

Bilgi Güvenliği Programı
• Risk yönetimi
• Politika, prosedür ve standartları içerir
• Bilgiyi sınıflandırmayı
• Güvenlik eğitimini
• Güvenlik örgütlenmesini
İçerir

Güvenlik Programının Hedefleri
• Her güvenlik programının amaçları olmalıdır
• Operasyonel hedefler
– Günlük ve kısa süreli hedefleri: İşletim sistemi
güncellenecektir
• Taktik hedefler
– Orta vadeli hedefleri içerir: Bütün makineler
domain yapısına dahil edilecek
• Stratejik hedefler
– Merkezi bir bilgi güvenliği yapısının oluşturulması

Hedefler
• Kurumdan kuruma ve aynı kurum içerisinde
zamanla değişir
• Askeri kurumlar: Gizlilik
• Bankalar: Bütünlük
• Ticari kurumlar (YouTube, Facebook):
Erişilebilirlik

Önemli
• Güvenlik yönetimi ilgilendiren bir konudur

Risk Yönetimi
• Riski
– Belirlemek
– Ölçmek
– Kabul edilebilir seviyeye çekmek
• %100 güvenlik yoktur

%100 Güvenlik Tarifi
• Dosyayı kaydet
• İşletim sistemini kaldır
• Ağ bağlantısını çıkart
• Fişi çek
• 10 m3 beton içerisine göm
• Okyanusun en derin yerine at
• Ama çalınabilir!

Risk Yönetimi
• Riski
– Belirlemek
– Ölçmek
– Kabul edilebilir seviyeye çekmek
• %100 güvenlik yoktur
• Riskler bertaraf edilmeli veya devredilmelidir
• Riski %100 ölçmek de mümkün değildir,
sadece önceliklendirilebilir

Risk Nedir?
• Risk Budur!

Risk Nedir?
• Risk çeşitleri
– Fiziksel tehdit
– İnsan etkeni
– Cihaz hatası
– İç ve dış saldırılar
– Verinin yanlış kullanılması
– Veri kaybı
– Uygulama hatası

Bilgi Güvenliği Risk Yönetimi
• Bilgi Güvenliği Risk Yönetiminin temel amacı
bilgi güvenliği en uygun maliyetle sağlamaktır

Risk Terimleri
• Zafiyet (Vulnerability)
• Tehdit (Threat)
• Tehdit ajanı (Threat Agent)
• Risk (Risk)
• Açıklık (Exposure)
• Karşı önlem ve koruma (Countermeasure)

Zafiyet (Vulnerability)
• Saldırgana fırsat verebilecek, yazılım, donanım
ve prosedür zafiyeti
• Örnekler:
– Güncellenmemiş yazılımlar
– Açık modemler
– Fiziksel güvenlik
– Lisansız (crack) yazılımlar

Tehdit (Threat)
• Şirket veya ağ üzerine olumsuz etkisi
olabilecek insan veya doğa kaynaklı olay
• Tehditin bir etki yaratması için bir zafiyetin
bulunması gerekir

Tehdit ajanı (Threat Agent)
• Zafiyetten faydalanacak kişi veya örgüt

Risk (Risk)
• Tehdit ajanının zafiyetten faydalanma olasılığı
• Bir risk olabilmesi için;
– Zafiyet
– Tehdit ajanı
– İhtimal bir arada olmalı

Açıklık (Exposure)
• Tehdit ajanı eylemlerinin bir kayba neden
olmasını sağlayacak durum
• Güncellenmemiş bir sunucunun internete
açılması bir açıklıktır

Karşı önlem ve koruma
(Countermeasure)
• Potansiyel riski azaltmak için alınan önlem
• Önlem bir tehdit ajanının zafiyeti istismar
etmesini engelleyebilecek bir önlemdir
• %100 önlem olmaz!

Güvenlik Önlemleri
• Güvenlik önlemleri 3 ana başlık altında
toplanabilir
– Önlemeye yönelik
– Tespit etmeye yönelik
– Düzeltmeye/iyileştirmeye yönelik

Güvenlik Önlemleri
• Her başlık altında 3 çeşit önlem olabilir
– İdari
• Politika, prosedür, standart
– Teknik
• Parola, firewall, vs.
– Fiziksel
• Kilit, izleme, çevre kontrolleri

Control Matrix
Önleme Tespit Etme Düzeltme
Geçmiş Kontrolü Yıllık Değerlendirme İşten çıkarmalar
Tel Örgü Hareket sensörü Güvenlik Görevlisi
Firewall IDS Yedekten dönme
İdari
Fiziksel
Teknik

Kontrolleri Kontrol Etmek
• Bütün kontrol mekanizmaları ayrıca
değerlendirilmelidir
• İşlevsel değerlendirme
– Önerilen çözüm işlevi yerine getiriyor mu?
• Güvence
– Güvenlik çözümünün başarısından ne kadar
eminiz?

Risk Analizi
• Varlık, zafiyet ve tehditleri ortaya koymak
• Zararları öngörmek ve gerekli önlemleri almak

Risk Analizi Amaçları
• Varlıkları ve değerlerini belirlemek
• Zafiyetleri ve tehditleri belirlemek
• Zararın maddi boyutunu belirlemek
• Kabul edilebilir maliyetli çözümleri koymak

Kabul Edilebilir Maliyet
• Nicelik (Quantitative)
• Nitelik (Qualitative)

Nicelik (Quantitative)
• Varlık değeri
• Tedbir maliyeti
• Tehdit sıklığı
• Gerçekleşme ihtimali

• Varlığa bir değer atamak
• Potansiyel kaybı hesaplamak
• Tehdit analizi yapmak
• Yıllık kayıp miktarını hesaplamak
• Riski azaltmak, devretmek veya kabul edilebilir
seviyeye indirmek

• Varlığa bir değer atamak
– Satınalma maliyeti
– Varlığın kazandırdığı miktar
– Rakibe faydası
– Yeniden oluşturma maliyeti
– Yasal yükümlülükler
– Vb.

• Potansiyel kaybı hesaplamak
– Fiziksel zarar
– Üretim kaybı
– Tamir etme maliyeti

• Sonuç:
– Riski bertaraf etmek kayıptan daha fazla harcama
gerektiriyorsa: Yapma
– Daha ucuzsa yap

Güvenlik Politikası
• Üst yönetim tarafından ortaya konulan genel bir
ifade
• ISO 9001’deki “vizyon” ve “misyon” gibi
• Kolay anlaşılabilir olmalıdır
• Güvenlik işlevlerini tüm kurum faaliyetlerine
entegre etmeyi amaçlar
• Öneri/tavsiye değil, emir kipi kullanılmalıdır
• Teknik değil
• Şirket değiştikçe değişmeli

Standart
• Yapılması şart olanlar veya kurallar
• Politikanın uygulanmasına yönelik detayları
belirler
• Personel kurum içerisinde “personel tanıtma
kartı” taşımak zorundadır

Temel (Baseline)
• Bir sistem veya ağ için asgari güvenlik
önlemlerini belirler
• Örnek:
– Baseline gereği sistem güncel tutulmalıdır
– Bütün XP sistemlerde SP2 yüklü olmalıdır

Yönerge (Guideline)
• Önerilerdir
• Kural değil, işin daha iyi yapılmasını sağlayacak
yol göstericilerdir

Prosedür
• Belirli bir durumda yapılması gerkenleri adım
adım anlatır
• Politikanın en alt basamağıdır
• Politikanın kullanıcıya yansıyan halidir
• Örnek:
– Windows kurulumu ve konfigürasyonu için
izlenecek adımlar

Görevler Ayrılığı
• Tek bir kişinin kritik bir süreci tek başına
tamamalayamamasını sağlamak

İşe Alım Süreçleri
• Çalışanların geçmişi araştırılmalı
• Çalışanlar gizlilik sözleşmesi imzalamalı
• Eğitim/öğrenim durumununu kontrolü
• Referans kontrolü

Rotasyon
• Görevler arasında rotasyon olmalıdır
• Süreçlere birden fazla kişinin hakim olmasını
sağlamak
• Tek bir kişinin belirli bir süreç üzerinde fazla
etkiye sahip olmasını engellemek

Zorunlu İzin
• Başkalarının süregelen usulsüzlükleri bulması
• Sürecin personelden bağımsız işleyebildiğini
gösterir

Bilginin Bölünmesi
• Görevlerin ayrılığı gibi
• Tek bir kişinin kritik süreci tamamlayacak
bilgiye sahip olmasını engeller
• Örnek:
– Kasa parolasının sadece yarısını bilen banka
müdürleri

İşten Çıkarmalar
• Personelin işten nasıl ayrılacağı net bir şekilde
belirlenmelidir
• Çıkış mülakatı
• Giriş kartların teslim edilmesi
• Hesaplara erişimlerinin kesilmesi
• İş yerinden çıkmaları

Bilgi Güvenliği Farkındalık Eğitimi
• Güvenlik en zayıf halka kadar güçlüdür
• Personel eğitilmezse hata yapmaya
mahkumdur
• En yeni ve en etkili çözümler kullanıcının yanlış
bir kararı ile atıl kalabilir
• Phishing gibi saldırılara kurban olmamanın tek
yolu personelin eğitilmesidir

İş Sürekliliği ve FKM
• Güvenlik ihlali
• İş sürekliliği planını devreye almak
• Felaket kurtarma merkezini devreye almak

Yapılacaklar
• Proje planlaması
• İş etki analizi
• Devamlılık (süreklilik) planı
• Onay ve Uygulama

Proje Planlaması
• Müşterilere sunulan temel hizmetlerden
sorumlu bölümlerin belirlenmesi
• Kritik destek hizmetlerinin belirlenmesi
• Kilit personelin belirlenmesi

İş Etki Analizi
• Önceliklerin belirlenmesi
• Risklerin belirlenmesi
• Olasılıkların belirlenmesi
• Etki analizi
• Kaynakların önceliklendirilmesi

Devamı
• Önem beyanı
• Önceliklerin beyanı (bkz. Yangında ilk
kurtarılacak)
• Sorumlulukların beyanı
• Devreye almak önceliği beyanı
• Altyapının kurulması
• FKM bakımı

Hacker Türleri
• Siyah Şapkalı
• Beyaz Şapkalı
• Gri Şapkalı
• Hacktivist

Hacker Türleri
• Siyah Şapkalı
• Beyaz Şapkalı
• Gri Şapkalı
• Hacktivist
• Vejetaryen
• Uzun Boylu
• Kısa Boylu
• Şişman
• Zayıf
• Evli
• Bekar
• Türk
• Arap
• Amerikalı

Kim Bize Neden Saldırsın?
• Saldırıların %80’inin kaynağı içeridedir
• Saldırıların %80’inin kaynağı dışarıdadır
• İstatistiklerin %80’i uydurulmuştur

Sonuçta...
• Dışarıdan birisi bize saldıralbilir
• İçeriden birisi bize saldırabilir
• Dış Tehditlere karşı önlem almak daha kolaydır

İç Tehdit
• Saf İç Tehdit
• İç Tehdit Paydaşı
• İç Tehdit Uzantısı
• Dış Tehdit Uzantısı

Saf İç Tehdit
• Personel
• Kurumda çalışmanın sağladığı bütün yetkilere
ve erişim izinlerine sahip
• En çok zarar verebilecek tehdit
• 3 temel faktör: Erişim, Davranış ve Para
• Önceden kendini belli edebilir

İç Tehdit Paydaşı
• Sınırlı erişime sahip
• Temizlik/güvenlik görevlisi
• Genellikle fiziksel erişime sahiptir
• Filmlerde gördüğümüz senaryolar

İç Tehdit Uzantısı
• İlk 2 türdeki iç tehdit ajanlarının erişim
yetkileri vardı
• Personel eşleri, arkadaşları, akrabaları,
müşterileri...
• Personel her zaman “doğru” kararı ver(e)mez

Dış Tehdit Uzantısı
• Yabancıların iç kaynaklara erişim sağlaması
• Kablosuz ağ
• Kilitli olmayan kapılar

İç Tehditler neden daha tehlikelidir
• Farkedilmez
• Mevcut güvenlik önlemleri dışarıya dönüktür
• İnkar etmesi kolaydır
• “Adımız kötüye çıkar”

İç Tehdit Etkileri
• Para/Gelir kaybı
• Rekabet gücünün azalması
• Müşteri kaybı
• Güven kaybı

Yeni Bir Tehdit Değil
• Bilgisayarlardan önce:
– Belgenin çalınması
– Belgenin kopyalanması
– Faks
– Sözlü sızdırma
– Verinin değiştirilmesi
– Verinin yok edilmesi

Günümüzde
• Gizli dosya
• Taşınabilir aygıt
• Kablosuz ağ üzerinden sızdırma
• Taşınabilir bilgisayar
• Akıllı telefon

Gizli Dosya

Neden Saldırır?
• Terör
• Askeri Casusluk
• Casusluk
• İntikam
• Nefret
• Meşhur olmak
• Açgözlülük
• Cehalet

Hacker Türleri
• İç Tehdit
• Hacker
• Suç örgütleri
• Eski çalışanlar
• Casusluk

Case Study 1
• Sistem Yöneticisi
– Diploma sahte
– Önceki referanslar sahte

Case Study 2
• Medya Takip Şirketi
– Satış temsilcisi rakibe geçiyor

Case Study 3
• Bakanlık
– Kurum veri tabanında yetkili “redhack” kullanıcısı

Case Study 4
• Kargo Şirketi
– Rakip şirkete satılan müşteri bilgileri

KRIEGSPIEL NE KAZANDIRDI?
• Önceki savaşlardan ders çıkartma
• Yeni savaşlar için yeni stratejiler geliştirme
• Subay kademesinin daha iyi eğitilmesi
• “Savaşmadan savaşma” imkanı

Somut Soyut
Tatbikat
Kriegspiel Simülasyon

Tiger Team
A team of undomesticated and uninhibited
technical specialists, selected for their
experience, energy, and imagination, and
assigned to track down relentlessly every
possible source of failure in a spacecraft
subsystem

Fiziksel Pen Test
• Müşterinin fiziksel güvenlik seviyesinin tespit
edilmesi
• Mevcut güvenlik sistemlerindeki eksikliklerin
ortaya çıkartılması
• Fiziksel güvenlik sandığımızdan daha kötü
durumda

Fiziksel Pen Test
• Süreç:
– Takımın oluşturulması
– Proje yönetimi
– Rules of Engagement
– Önaraştırmanın yapılması
– Riskin ölçülmesi
– Test planı
– Raporlama

Fiziksel Pen Test
• Süreç:
– Takımın oluşturulması
• Takım lideri
• Koordinatör
• Sosyal mühendis
• Sızma uzmanı
• Fiziksel güvenlik uzmanı
• Gözetlemeci

Fiziksel Pen Test
• Süreç:
– Rules of Engagement
• Müşteri neyi test etmek istiyor
• Müşteri test kapsamına neyin dahil edilmesini istemiyor
• Test süresinin belirlenmesi
• White/grey/black box
• Testin başarılı/başarısız ve iptal durumlarının
belirlenmesi
• Başarılı/başarısız ve iptal edilen testlerde yapılacaklar
• Raporlama sürecinin planlanması

Fiziksel Pen Test
• Süreç:
– Önaraştırmanın yapılması
• HUMINT
• SIGINT
• OSINT
• IMINT

Fiziksel Pen Test
• Süreç:
– Riskin ölçülmesi
• Kontrat riski: İşi tamamlayamama
• Operasyonel risk: Deneyimsiz ekip üyesi, iletişimde
aksaklık
• Yasal riskler: Tutuklanmak
• Çevre riskleri:
– Yaralanma
– Bekçi köpekleri
– Güvenlik görevlileri

Fiziksel Pen Test
• Teknikler:
– Fiziksel sızma testi
– Keşif çalışmaları
– Taktik yaklaşımlar:
• Tailgating
• Giyim
• Olmayan birini ziyaret
– Kart/kimlik kullanımı
– Güvenlik mekanizmaları

Hacker Ne Yapar?
Bilgi
Toplama
Tarama
Erişim
Sağlama
Erişim
Koruma
İzleri Yok
Etme

1. Aşama: Bilgi Toplama
• Hedef hakkında bilgi toplama
• Hedef hakkında ne kadar bilgi toplanırsa
saldırı o kadar çeşitlendirilebilir
• Bilgi toplama aşaması hedef ve çalışanları
hakkında geniş bir yelpazeyi kapsayabilir

1. Aşama: Bilgi Toplama
• Pasif Bilgi Toplama
– Hedefle doğrudan temas kurmadan toplanan
bilgiler
• Aktif Bilgi Toplama
– Hedef ile temas kurarak bilgi toplamak

2. Aşama: Tarama
• Saldırı öncesi tarama
– Bilgi toplama aşamasında elde edilen bilgiler
doğrultusunda tarama yapma
• Port tarama
– Port taraması, zafiyet taraması
• Bilgi alma
– IP adresi, kullanıcı hesabı bilgileri

3. Aşama: Erişim sağlama
• Saldırganın sisteme erişim sağladığı nokta

4. Aşama: Erişim Koruma
• Saldırganalrın en sevdiği adım
• Sistemi anlama v amaçlarına ulaşma zamanı
• Saldırının ikinci aşamasını başlatmanın zamanı

5. Aşama: İzleri Silme
• Farkedilmeden erişimi sürdürmek
• Adli makamlardan kaçmak için izleri silmek,
logları değiştirmek, vs.

Bilgi Toplama Terimleri
• Halka açık kaynakları kullanarak bilgi toplama
• Sosyal mühendislik, ziyaret, vb. Yöntemler
kullanarak bilgi toplama
• Kaynağı belli olmayan / Tespit edilemeyen
bilgileri toplamak
• Farklı kaynaklar /isimler kullanılarak
yayınlanan bilgileri toplamak
• Internet üzerinden bilgi toplamak

Bilgi Toplamak: Ağ Bilgisi
• Alanadı
• IP adresleri
• Çalışan sistemler
• VPN noktaları
• Doğrulama mekanizmaları

Bilgi Toplamak: Sistem Bilgisi
• Kullanıcı ve grup adları
• Sistem bilgileri (Banner – Başlık)
• SNMP bilgileri
• Sistem mimarisi

Bilgi Toplamak: Hedef bilgisi
• Çalışan detayı
• Şirket rehberi / Fihristi
• Haberler

Bilgi Toplama Metodolojisi
• Internet
• Rakip bilgileri
• WHOIS
• DNS
• Ağ
• Web sitesi
• Eposta
• Google

Hedef Adresi Bulmak

Hedefi Bulmak

Alanadları ve Yapıları Bize Önemli
Bilgiler Verir
• www.hurriyet.com.tr
• hurarsiv.hurriyet.com.tr
• canlimacsonuclari.hurriyet.com.tr
• www.hurriyet.com.tr/gundem
• webtv.hurriyet.com.tr/2/.../rekora-uctu/

Halka Açık Site

Üyelik ile Girilen Site

Hedef ile İlgili Araştırma Yapmak
• Google, Bing, Yahoo! Gibi arama motorlarını
kullanmak
• Hedef ile ilgili anahtar kelimeler kullanarak
arama yapmak önemli
• Arşiv ve web sitesini detaylı incelemek önemli
• Çalışan personeli araştırmak
• İletişim bilgilerini toplamak

Bilgi Toplama: Whois

Bilgi Toplama: Whois
• Alanadı detayları
– Hurriyet Gazetecilik ve Matbaacılık A.Ş.
– 0 212 677 00 00
• Alanadı sahibinin bilgileri
• DNS sunucuları
– hurdns01.hurriyet.com.tr (212.31.1.1)
– hurgate01.hurriyet.com.tr (212.31.1.11)
– doldns02.dol.com.tr
– doldns03.dol.com.tr
– hurdns02.hurriyet.com.tr (213.243.16.240)

DOL?

IP Adresleri Nereden Geliyor?

IP Adreleri Nereden Geliyor?

IP Adresleri Nasıl Dağıtılıyor?
• AfriNIC
• ARIN
• APNIC
• LACNIC
• RIPE NCC

DNS

IP Adresleri

Arşivler...

Ne Gördünüz?
• CISCO marka Router ve Switch
• Checkpoint marka Firewall
• SIP protokolü = SIP sunucu var
• Site-to-site ve SSL VPN var
• Şirket içerisinde IP telefon kullanılıyor
• CISCO marka access pointler var
• SAN switch = Storage var
• VMWARE ESX 4.1, 5.0 ve 5.1 var
• HYPER-V 2012 var

Google

Google ile Neler Yapılabilir?
• Zafiyet tespiti
• Hassas bilgi içeren hata mesajlarının
bulunması
• Parola bilgileri
• Hassas klasörler
• Login sayfaları
• Ağ veya sistemler hakkında bilgiler...

Peki ama Nasıl?

Google Operatörleri
• Cache: google’ın cache’inde bulunan sayfa
• Link: Sayfaya link veren sayfalar
• Related: Benzer sayfalar
• Info: Sayfa hakkında bilgiler
• Site: Aramaları bu site ile sınırlar
• Intitle: Başlık kısmında arama yapar
• Inurl: URL içerisinde arama yapar

Cache

Link

Inurl

Devamı?

Neler Var?

İlk Arama Sonucu: 26 tane Websense Gateway zafiyeti

Netcraft

Ne Gördünüz?
• CITRIX NETSCALER var
• UBUNTU Linux var
• WINDOWS SERVER 2003 var
• WINDOWS SERVER 2008 var
• APACHE 2.2.8 var
• PHP 5.2.4 var

Tarama
• IP adresleri
• Açık sistemler üzerindeki portlar
• İşletim sistemi ve mimarisi bilgisi
• Açık sistemler üzerinde çalışan servisler

Tarama
• Port taraması
• Zafiyet taraması
• Ağ taraması

ICMP Echo Paketleri
• İlk Paket
– Kaynak: 192.168.1.10
– Hedef: 192.168.1.11
– Paket: ICMP Echo
• İkinci Paket
– Kaynak: 192.168.1.11
– Hedef: 192.168.1.10
– Paket: ICMP Echo Reply

Açık Sistemleri Bulma

Açık Portları Tespit Etme
• Three Way Handshake
• İlk Paket
– Kaynak: 192.168.1.10
– Hedef: 192.168.1.11
– Paket: SYN
• İkinci Paket
– Kaynak: 192.168.1.11
– Hedef: 192.168.1.10
– Paket: SYN/ACK
• Üçüncü Paket
– Kaynak: 192.168.1.10
– Hedef: 192.168.1.11
– Paket: ACK

Paket Bayrakları
• SYN: Bağlantı daveti
• ACK: Gelen paketin teslim alındı teyidi
• URG: Verinin acil olduğunu belirtir
• FIN: Bağlantının sonlandığını belirtir
• RST: Bağlantı sıfırlar
• PSH: Buffer’daki bütün bilgiyi gönderme
talimatı

TCP Connect Scan
• Three way handshake tamamlanır
• Bağlantı kurulur ve RST paketi gönderilerek
sonlandırılır
SYN
A SYN/ACK
B
ACK/RST

Half-open Scan
• Three way handshake tamamlanmaz
• Bağlantı kurulmadan RST paketi gönderilerek
sonlandırılır
SYN
A SYN/ACK
B
RST

Port Kapalı
• Port kapalıysa RST paketi döner
SYN
A RST
B

UDP Scan
• UDP’de Three Way Handshake yoktur
• UDP port taraması
UDP Paketi
A Port açıksa cevap gelmez
B
Port kapalıysa port ulaşılamaz cevabı gelir

Banner Grabbing
• Banner Grabbing hedef hakkında ek bilgi
almamızı sağlar
• İşletim sistemi
• Çalışan sunucu sürümü
• Vs.

Telnet ile Banner Grabbing

KALI
192.168.1.55
Kurban
192.168.1.24
Network

The quiter you become, the more you
are able to hear

Kali?
• Sızma testleri için hazırlanmış bir linux
dağıtımı
• 300’den fazla güvenlik yazılımı içeriyor
• Diğer dağıtımlar:
– Backbox
– Node Zero
– Blackbuntu
– Samurai Web Testing Framework
– Matriux

Hacking
• Elimizdekiler
– Hedef hakkında bilgi
– Tarama sonuçları

Hacking: Aşamalar ve Amaçlar
Aşama Amaç Yöntem
Erişim sağlamak
Erişim kazanmak için
gerekli bilgilerin
toplanması
Kaba kuvvet, parola
tahmini, dinleme
Yetki yükseltme
Yetkili bir kullanıcı hesabı
oluşturmak
Bilinen zafiyetler
Uygulama çalıştırma
Erişim koruma ve devam
ettirme
Trojan
Dosya saklama
Zararlı dosyaların
saklanması
Rootkit
İzleri yok etme
Sisteme sızıldığının
gizlenmesi
Logların temizlenmesi

Sisteme Erişim Sağlama
• Sisteme erişim sağlamak için kullanılabilecek
yöntemler arasında en yaygın olanlar:
– Parola kırma
– Zafiyet istismar etme

Erişim Sağlamak: Parola Kırmak
• Saldırgan sisteme erişim sağlamak için parola
kırar/tahmin eder
• Sistemde bulunan bir zafiyetin istismarı da
parola kırıldıktan sonra daha kolay olabilir
• Parola kırma teknikleri zayıf/kolayca tahmin
edilebilir parolalar sayesinde daha başarılı olur

Parola Kırmak
• Sözlük salıdırları
• Kaba kuvvet saldırıları
• Karma saldırılar
• Hece saldırıları
• Kural tabanlı saldırılar

Parola Saldırıları
• Elektronik Ortam Dışında
– Bakma
– Sosyal Mühendislik
– Çöp karıştırma
• Offline
– Önceden hesaplanmış hash
– Dağıtık bilgisayar kaynakları
– Rainbow

Parola Saldırıları
• Online Aktif
– Parola tahmin etme
– Trojan / Spyware / Keyloger
– Hash injection
• Online Pasif
– Dinleme
– Man-in-the-middle
– Replay

Dinleme
Saldırgan LAN ortamını dinler
A B
S

Man-in-the-Middle
A B Normal Bağlantı

Man-in-the-Middle
Saldırgan trafiği üzerine alır
A B
S
Normal Bağlantı
Sadırganın oluşturduğu Bağlantı

Parola Kırma Yöntemleri
• Fabrika çıkışlı parolalar
– Cihazların fabrika çıkışlı (default) parolaları ve
kullanıcıları vardır
• Tahmin etme
– Manüel tahmin etme
– Bilgisayar destekli tahmin etme
• Parola çalma
– Keylogger, vb.

Parola Kırmak için Kullanılan Araçlar
• John the Ripper
• Kerbcrack

Yetki Yükseltme
• Saldırgan basit bir kullanıcı hesabı ele
geçirebilir
• Çeşitli yöntemler kullanılabilir
– Mevcut kullanıcının yetkileri yükseltilir
– Yeni kullanıcı açılır

Hacking

Zararlı Yazılımlar
• Virüs (Virus)
• Solucan (Worm)
• Truva Atı (Trojan)
• Keylogger

Virüs (Virus)
• Virüsler kendilerini yayar
• Kendini şifreler
• Kendini değiştirir
• Başka programlara bulaşır
• Veri değiştirir
• Dosya ve yazılımları değiştirir

Virüs (Virus)
• Virüs yaşam döngüsü
1. Tasarım
2. Kopyalama
3. Lansman
4. Tespit edilme
5. Savunmanın oluşturulması
6. Ortadan kalkması

Virüs (Virus)
• Nasıl çalışır?
Başlangıç
Program Başı
Program Sonu
Başlangıç
Program Başı
Program Sonu
Virüs
NORMAL VİRÜSLÜ

Virüs (Virus)
• Virüs neden yazılır?
– Rakibe zarar vermek için
– Maddi kazanç
– Araştırma projeleri
– Şaka yapmak
– Zarar vermek
– Siber terör
– Politik mesaj vermek

Virüs (Virus)
• Virüs nasıl bulaşır?
– Güncel antivirüs kullanmamak
– Plug-in güncellememek
– Korsan yazılım kullanmak
– Zararlı eposta eklerini açmak
– İnternet’ten dosya indirmek

Virüs (Virus)
• Virüs türleri
– Sistem virüsü
– Dosya virüsü
– Macro virüs
– Polymorphic virüs
– Cavity virüs

Solucan (Worm)
• Kullanıcı etkisi olmadan çoğalan, çalışan ve
yayılan zararlılardır
• Solucanlar başka programlara eklenmez

Truva Atı (Trojan)
• Amaç
– Kredi kartı, parola veya başka önemli bilgiler
çalmak
– Ele geçirilen aynakları DDoS amacıyla kullanmak
– Ortam dinlemesi/özel hayata tecavüz
– İşletim sistemini ele geçirmek
– Güvenlik çözümlerini atlatmak

Truva Atı (Trojan)
• Yazanlar ne ister?
– Kredi kartı bilgisi
– Hesap bilgisi (Facebook, eposta, vs.)
– Gizli belge
– Mali bilgi / kayıt
– Takvim ve program bilgileri
– Başka saldırılar gerçekleştirmek için bir araç

Truva Atı (Trojan)
• Trojan’lar “wrapper” olarak adlandırılan
“ambalajlarda” gelebilir
calc.exe zararlı.exe
(90 KB) (20 KB)
zararlı.exe
(110 KB)

Saldırı detayları
• DoS
• Web Uygulaması saldırıları
– OWASP Top 10
– SQL injection

DoS – Denial of Service
• Sistem ve ağ kaynaklarını tüketir
• Normal kullanıcılar sistemi kullanamaz hale
gelir

DDoS – Distributed Denial of Service
• DDoS birden fazla sistem kullanarak sistemin
kaynakları hedef alınır
• Sonuçları:
– İtibar kaybı
– Gelir kaybı
– İş süreçlerinin aksaması

DDoS – Distributed Denial of Service
Z Z
Z Z
Z Z Z
Saldırgan
Z
Z
Handler
Zombiler
Z Z
Z
Z Z
Z
Z Z Z
Handler
Zombiler
Kurban

roBOTNETwork
• BotNet’ler duruma uyum sağlar
– AV var, AV’yi öldür
• BotNet’ler modülerdir
– 1. modül zafiyeti istismar ederek kendini yükler
– Saldırı modülünü indirir (2. modül)
– Yeni hedefleri bulacak modülü indirir (3. modül)

DoS Türleri
• Bant genişliği saldırıları
• SYN Flood
• ICMP Flood
• Uygulama katmanı

Bant genişliği saldırıları
• Bant genişiliğini tüketmeye çalışır
• 100 Mbps bir hatta 1 Gbps trafik gelirse hat
“satüre” olur.

SYN Flood
• SYN paketleri ile hedef sistem ACK cevabı
bekler durumda bekletilir

Web Uygulaması saldırıları
• Web sunucularını istismar etmek
• En bilinen haliyle “site hacklemek”
• Gavurcası “defacement”

Web Uygulaması saldırıları

Saldırılar

Sunucular Neden Hacklenir?
• Gerekli güvenlik politikalarının
oluşturulmaması
• Yanlış konfigürasyon ve kurulum
• Sunucuyu fabrika ayarlarıyla kurmak
• Yedek dosyalarının internete alınması
• Default kullanıcı adı ve parola

Web Sunucusuna Yapılan Saldırıların
Etkileri
• Ele geçirilen kullanıcı hesapları
• Websitesi değiştirme
• Veri hırsızlığı
• Başka sunucu ve uygulamalara yetkili erişim
• Web sitesi kullanılarak yapılabilecek saldırılar
• Veri değiştirme / bozma

OWASP
• Open Web Application Security Project
• Web uygulamalarında en çok görülen ve en
tehlikeli 10 açığın listesini yayınlıyorlar

OWASP TOP 10

SQL Injection
• SQL injection en yaygın olarak görülen
zafiyettir
• Web uygulamasından kaynaklanan bir
zafiyettir, veri tabanı veya sunucu değil
• Çoğu programcı bu sorunu görmezden gelir

SQL Injection
• Tehditler;
– Kayıt değiştirme
– Veri silme
– Veri çalma
– Yetki yükseltme
– Sunucuyu DoS durumuna düşürme

SQL Injection
• Saldırılar
– Giriş ekranı atlatma
– Veri çalma
– Veri bütünlüğünü bozma
– Erişilebilirlik etkileme
– Uzaktan komut çalıştırma

SQL Injection

SQL Injection
“SELECT Count(*) FROM Users WHERE UserName=‘ ” + txtUser.Text +
“ ‘ AND Password=‘ “ + txtPasword.Text + “ ‘ “

SQL Injection
“SELECT Count(*) FROM Users WHERE UserName=‘ ” + txtUser.Text + “ ‘ AND
Password=‘ “ + txtPasword.Text + “ ‘ “
SELECT Count(*) FROM Users WHERE UserName=‘Atmasyon’ or 1=1 - - AND
Password=‘Atmasyon’
YANİ= Kullanıcı adı Atmasyon veya 1=1
1=1 doğru mu?
Doğru!
Giriş yapabilir...

Neden İstemci?
• Ağ erişimi var
• Sisteme erişimi var
• Veriye erişimi var
• İçeriden Internet’e erişimi var
• Kaynaklara erişimi var
• Yukarıdakilerin hepsine sürekli erişimi var

Neden İstemci?
• Tehlikeli
• Yüksek başarı oranı
• Tespit edilmesi zor
• Bugün en çok görülen saldırı türü

İstemci Ortamı
• Ofis uygulamaları (doc, pdf, ppt, xls, vb.)
• Tarayıcı (IE, Firefox, Chrome, Dragon, Safari,
vb.)
• Media oynatıcılar (WM Player, iTunes, Real
Player, vb.)
• Anlık mesajlaşma (msn, Skype, vb.)
• Diğer uygulamalar

Sızma Sonrası
• Ele geçirilen makinenin değerini belirlemek
• Makinenin yönetimini korumak
• Değer: Verinin kıymeti + Makinenin başka
saldırılarda işe yaraması
• Birbirine eklenebilecek zafiyetleri göstermek

Sosyal Mühendislik Nedir?
• İnsanları kandırarak istediğinizi elde etmek için
kullanılan yöntemlerdir

Sosyal Mühendislik Sözlüğü
• Saldırgan
• Kurban
• Senaryo
• Amaç

iOS99 Zafiyetleri:
Saldırıya Açık Davranışlar
• Güvenmek
• Saldırılar konusunda bilgi sahibi olmamak
• Tehdit altına girmek
• Kazanç beklentisi ile hareket etmek

Şirketleri Sosyal Mühendislik
Saldırılarına karşı zayıflatan etkenler
• Yetersiz bilgi güvenliği eğitimi
• Kullanıcıların bilgiye kolay erişmesi
• Birden fazla bölüm (Satış, Teknik Destek,
Muhasebe, vs.)
• Güvenlik politikalarının olmayışı

Sosyal Mühendislik neden etkili bir
yöntem?
• Sosyal mühendislik saldırı girişimlerini tespit
etmek zor
• Sosyal mühendislik saldırılarına karşı
kurulabilecek cihaz/sistemlerin olmaması
• Sosyal mühendislik saldırılarına karşı bilinen
bir savunma yok

Sosyal Mühendislik Saldırısı Aşamaları
• Araştırma
• Kurban seçme
• Geliştirme
• İstismar etme

Sosyal Mühendislik Saldırılarının
Etkileri
• Maddi kayıp
• Terör
• Gizlilik ihlali
• Prestij kaybı
• Iflas
• ... Bilgi güvenliği ihalinden beklenen bütün
etkiler görülebilir

Saldırı yöntemi: Komut verme
• İnternet üzerinden ulaşıp bilgileri elde etme
• Telefonla ulaşıp bilgi elde etme
• Bireysel görüşme ile bilgi elde etme

Kurbanlar
• “Rebecca” ve “Jessica”
• Danışma ve resepsiyon personeli
• Teknik destek
• Sistem yöneticileri
• Tedarikçiler
• Kullanıcılar

Bilgisayar kullanıcılarından elde
edilebilecek veriler
• Güvenlik politikaları hakkında detaylar
• Hassas bilgi/belge
• Ağ altyapısı hakkında bilgi
• Kullanılan uygulamalar hakkında bilgi
• İş süreçleri hakkında bilgi
• Parola ve kullanıcı bilgileri

Sosyal Mühendislik Türleri
• İnsan vektörü
– İletişim ile bilgi elde edilir
– Korku, güven, yardımseverlik gibi duyguları
sömürür
• Bilgisayar vektörü
– Bilgisayar vasıtasıyla yapılan sosyal mühendislik
saldırıları

İnsan Vektörünü Kullanan Saldırılar
• Sistem kullanıcısı gibi davranmak
• Önemli bir kullanıcı gibi davranmak
• Teknik destek gibi davranmak

İnsan Vektörünü Kullanan diğer
saldırılar
• İzinsiz dinleme
– Konuşma, yazışma veya görüntülerin elde edilmesi
• Bakma
– Parola yazılırken görme
• Çöp karıştırma
– Çöpten çıkan servetler

• Takip (Tailgating)
– Sahte kimlik ve formayla yetkili birinin arkasından
giriş yapma
• Anket
– Anket sorularıyla gerekli bilgileri toplama
• “Hamili kart yakinimdir”
– Yetkili birinin adını kullanarak bilgi alma

• Tersine sosyal mühendislik
– Kurbanın sizden bilgi istemesini sağlamak
• Yardım isteme
– “giriş kartımı evde unutmuşum”

Kandırmanın 10 temel direği
1. Bedava bir şey teklif et
2. İnsani yönünü göster
3. Hedefin anlaşılır ve görülür olmasını sağla
4. Ufak adımlarla başla
5. Ara ödüller ver
6. Güven duygusu aşıla
7. Kurbanı hedefe yaklaştır
8. Önemli değilmiş gibi davran
9. Kafalarını karıştır

Bilgisayar Vektörü ile Sosyal
Mühendislik
• Pop Up penceresi
• Sahte olay
• Zincir mektuplar
• Anlık mesajlaşma
• İstenmeyen eposta

Nasıl Yapılıyor?

Siber güvenlik ve hacking

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to Siber güvenlik ve hacking

Similar to Siber güvenlik ve hacking (13)

More from Alper Başaran

More from Alper Başaran (20)

Siber güvenlik ve hacking

Editor's Notes