1. Siber Güvenlik ve Hacking
Alper Başaran
C|EH, E|CSA
basaranalper@gmail.com
@basaranalper
2. Neden Buradayız?
• Siber Savaş
• Bilgi Güvenliği
• Ethical Hacking
• Sosyal Mühendislik
@basaranalper | www.alperbasaran.com
3. Siber Savaş Tarihi
• 1984: “Siberuzay” (Cyberspace) terimi ilk defa
kullanılıyor
• 1997: A.B.D. Ordusu ilk siber savaş
senaryosunun tatbikatını yapıyor
• 1998: CIA siber savaş riski konusunda açıklama
yapıyor
• 1998: A.B.D. Ordusu siber savunma güçlerini
tek çatı altında topluyor
@basaranalper | www.alperbasaran.com
4. Siber Savaş Tarihi
• 2003: Nsa siber güvenlik birimlerini tek çatı
altında topluyor
• 2006: A.B.D. Hava Kuvvetleri Siber Kuvvetler
Komutanlığı’nı kuruyor
• 2007: Rus saldırganlar Estonya’da interneti
durduruyor
• 2008: Pentagon 2007 yılında hacklendiklerini
ve bilgi çaldırdıklarını açıkladı
@basaranalper | www.alperbasaran.com
5. Siber Savaş
• Siber savaş araçları
– Yazılım tabanlı silahlar
– Donanım tabanlı silahlar
@basaranalper | www.alperbasaran.com
6. Siber Savaş
• Hükümet / Devlet
• Resmi destek
• Resmi kaynak
• Finansal kaynak
• Uzmanlık
@basaranalper | www.alperbasaran.com
7. Siber Suç
• Özel
• Suç şebekesi
• Gayri-resmi / gayri-meşru kaynak
@basaranalper | www.alperbasaran.com
8. Siber Suç Çeşitleri
• Spam
• Sahtecilik / Dolandırıcılık
• Ahlak dışı içerik
• Taciz
• Tehdit
• Uyuşturucu ticareti
• Siber terörizm
• Siber savaş
@basaranalper | www.alperbasaran.com
9. Bilişim Suçları
• 5651, 5070 ve 5846 Sayılı Kanunlar
• TCK Madde 135 (Kişisel verilerin kaydedilmesi)
• TCK Madde 136 (Verileri hukuka aykırı olarak verme veya ele
geçirme)
• TCK Madde 243 (Bilişim sistemine girme)
• TCK Madde 244 (Sistemi engelleme, bozma, verileri yok etme veya
değiştirme)
• TCK Madde 326 (Devletin güvenliğine ilişkin belgeler)
@basaranalper | www.alperbasaran.com
10. Bilişim Suçları
• TCK Madde 327 (Devletin güvenliğine ilişkin bilgileri temin etme)
• TCK Madde 328 (Siyasal veya askeri casusluk)
• TCK Madde 329 (Devletin güvenliğine ve siyasal yararlarına ilişkin
bilgileri açıklama)
• TCK Madde 330 (Gizli kalması gereken bilgileri açıklama)
• SPK Bilgi, Belge Ve Açıklamaların Elektronik Ortamda İmzalanarak
Kamuyu Aydınlatma Platformuna Gönderilmesine İlişkin Esaslar
Hakkında Tebliğ
@basaranalper | www.alperbasaran.com
11. OSI Modeli
• Bilgisayarlar arasındaki iletişim protokoller ile
yapılır
• Protokoller verinin nasıl iletileceğini belirleyen
kurallar dizisidir
• 70’li yılların başında Open System
Interconnection (OSI) geliştirilmiştir
@basaranalper | www.alperbasaran.com
13. Ali Veli
Application
Presentation
Session
Transport
Network
Data Link
Physical
Application
Presentation
Session
Transport
Network
Data Link
Physical
@basaranalper | www.alperbasaran.com
14. OSI Katmanları: 1. Katman
• Fiziksel veri iletişimini sağlar
• Hub ve Repeater cihazlar
@basaranalper | www.alperbasaran.com
Application
Presentation
Session
Transport
Network
Data Link
Physical
15. OSI Katmanları: 2. Katman
• Address Resolution Protocol
• MAC adresinin pakete eklenmesi
• Switch ve Bridge cihazlar
@basaranalper | www.alperbasaran.com
Application
Presentation
Session
Transport
Network
Data Link
Physical
16. OSI Katmanları: 3. Katman
• IP, ICMP, BGP, NAT
• Router cihazlar
@basaranalper | www.alperbasaran.com
Application
Presentation
Session
Transport
Network
Data Link
Physical
17. OSI Katmanları: 4. Katman
• TCP, UDP
@basaranalper | www.alperbasaran.com
Application
Presentation
Session
Transport
Network
Data Link
Physical
18. OSI Katmanları: 5. Katman
• Bağlantının kurulmasını sağlar
• Bağlantıyı kur
• Veriyi ilet
• Bağlantıyı kapat
@basaranalper | www.alperbasaran.com
Application
Presentation
Session
Transport
Network
Data Link
Physical
19. OSI Katmanları: 6. Katman
• Veriyi bilgisayarların anlayacağı
dile çevirir
@basaranalper | www.alperbasaran.com
Application
Presentation
Session
Transport
Network
Data Link
Physical
20. OSI Katmanları: 7. Katman
• Protokolleri belirler
• HTTP
• SMTP
• DNS
@basaranalper | www.alperbasaran.com
Application
Presentation
Session
Transport
Network
Data Link
Physical
21. OSI Katmanları: 8. Katman
• Uygulama kullanıcısı!
@basaranalper | www.alperbasaran.com
Application
Application
Presentation
Session
Transport
Network
Data Link
Physical
22. IP Adresleri
• Internet adresleri
• 1.0.0.0 ile 255.255.255.255 arası
• 10.0.0.0, 127.0.0.0, 172.16.0.0 – 172.31.0.0,
192.168.0.0 özel networkler
• 172.25.156.0 Subnet Mask 255.255.255.224
olursa subnet 172.25.156.1 ile 172.27.165.30
arasındadır
@basaranalper | www.alperbasaran.com
25. Repeater
• Layer 1
• Aptal
• Gelen elektrik sinyalini tekrar ediyor
• Menzil uzatmakta kullanılır (100-200 metrede
bir kullanılır)
@basaranalper | www.alperbasaran.com
26. Hub
• Birden fazla portu olan repeater
• Layer 1
• Aptal
• Gelen sinyali bütün portlara tekrarlar
@basaranalper | www.alperbasaran.com
27. Bridge
• Aynı LAN’nın 2 parçasını birbirine bağlar
• Akıllıdır
• Her iki taraftaki MAC adreslerini öğrenir ve
trafiği nasıl yönlendirmesi gerektiğine karar
verir
• Tarafların kendi içerisindeki trafik bridge
üzerinden geçmez
@basaranalper | www.alperbasaran.com
28. Switch
• Çok portlu bir bridge
• 24 veya daha fazla portu olur
• Her port’taki MAC adreslerini öğrenir
• Trafiği sadece gönderen ve alan arasında
sınırlandırır, dinlenmesine izin vermez
• Switch sadece belli MAC adreslerine izin
verecek şekilde ayarlanabilir
@basaranalper | www.alperbasaran.com
29. LAN!
• Bridge, Hub ve Switch ile bağlı cihazlar aynı
LAN’da (Broadcast adresleri aynı)
• Aynı IP ağında olmalılar
• 192.168.1.14 / 255.255.255.0
• 192.168.1.100 / 255.255.255.0
• 192.168.1.28 / 255.255.255.0
@basaranalper | www.alperbasaran.com
30. LAN!
@basaranalper | www.alperbasaran.com
A
B
Switch
C D
E
Hub
F
G H
I
Switch
J
Bridge
31. Router
• Misafir sanatçı: VLAN
• Router farklı ağları birbirine bağlar
• Layer 3’te çalışır
• IP adreslerine bakar, MAC adreslerine değil
• Router broadcast mesajlarını iletmez
• Route belirler
@basaranalper | www.alperbasaran.com
32. Router
@basaranalper | www.alperbasaran.com
A
B
Switch
C D
E
Hub
F
G H
Router
I
J
Switch
K L
Network 1: 192.168.1.0 Network 2: 10.1.2.0
34. Gateway
• İki farklı “şeyi” birbirine bağlayan cihaz/yazılım
• Default gateway: Kendi ağınızdan çıkmak için
kullandığınız router
• Email gateway: Exchange ile SMTP arasındaki
geçişi sağlar
• Web gateway
@basaranalper | www.alperbasaran.com
35. Firewall
• Ağ üzerindeki kuralların yazılmasını ve
uygulanmasını sağlar
• Genellikle ağ girişine gelen / giden trafiği
denetlemek için kullanılır
@basaranalper | www.alperbasaran.com
36. Firewall
• Örnek Firewall kuralı
– Allow TCP any 192.168.1.20 80
@basaranalper | www.alperbasaran.com
37. Proxy
• Trafiği A’dan alıp B’ye iletir
• A ve B doğrudan bağlı değildir
• Geçen trafik daha detaylı bir şekilde
denetlenebilir
• NAT = Beleş Proxy
@basaranalper | www.alperbasaran.com
38. NAT
• İç IP adreslerinin kullanılmasına imkan verir
• Birden fazla iç IP adresinin tek bir dış IP adresi
kullanmasına imkan verir
F Router Internet
@basaranalper | www.alperbasaran.com
10.0.2.13
86.17.123.4
213.1.55.34
40. Güvenlik Çözümleri
Paket başlıklarına bakar
Zarf: Gönderen, Alıcı
@basaranalper | www.alperbasaran.com
Kullanıcı
IPS
Internet
Firewall URL Anti Spam
Antivirüs
41. Güvenlik Çözümleri
Paket içeriğine bakar
Zarf: Mektubu okur
@basaranalper | www.alperbasaran.com
Kullanıcı
IPS
Internet
Firewall URL Anti Spam
Antivirüs
42. Güvenlik Çözümleri
URL Filtreler:
Gidilmek istenen sayfa zararlı mı?
Kurumsal politikalara aykırı mı?
@basaranalper | www.alperbasaran.com
Kullanıcı
IPS
Internet
Firewall URL Anti Spam
Antivirüs
43. Güvenlik Çözümleri
Anti- Spam:
E-mail spam mi?
@basaranalper | www.alperbasaran.com
Kullanıcı
IPS
Internet
Firewall URL Anti Spam
Antivirüs
44. Güvenlik Çözümleri
Anti- Virüs:
Dosya zararlı mı?
@basaranalper | www.alperbasaran.com
Kullanıcı
IPS
Internet
Firewall URL Anti Spam
Antivirüs
47. Bilgi Güvenliği: Confidentiality
• Herşeyi herkesten gizlemek değil
• Veriye/bilgiye sadece yetkisi olanların
ulaşabilmesini sağlamak
• Örn: Şifreleme
@basaranalper | www.alperbasaran.com
48. Bilgi Güvenliği: Integrity
• Yetkisiz ve izinsiz değişikliklerin engellenmesi
• Verinin amacına uygun derecede doğru olması
@basaranalper | www.alperbasaran.com
49. Bilgi Güvenliği: Availability
• Veriyi iletmek, depolamak ve işlemekten
sorumlu hizmetlerin devamlılığının sağlanması
@basaranalper | www.alperbasaran.com
51. Üniversite Hayatının Özeti
İyi Notlar
@basaranalper | www.alperbasaran.com
Sosyal
Hayat
Uyku
İkisi
Seçin
52. Güvenlik Neden Zor?
• Kullanım kolaylığına odaklı teknolojik gelişme
• Ağ üzerindeki uygulamaların artması
• Altyapının karmaşıklığının artması
• Güvenliğin merkezileştirilememesi
• Güvenlik zafiyetlerinin iş süreçlerine etkisi
• Kanuni zorunluluklar
@basaranalper | www.alperbasaran.com
53. Güvenlik Tehditleri
• Trojan/Keylogger
• Botnet
• Sızma
• İç Tehditler
• Organize siber suçlar
• Phishing / Sosyal Mühendislik
• Yeni Virüsler
• Siber Casusluk
• Zero-Day
• Kimlik bilgilerinin satılması
• Siber şantaj
@basaranalper | www.alperbasaran.com
54. Saldırının Etkileri
• Saldırganların bilgisayarı suç işlemek için
kullanması (spam, botnet)
• Veri hırsızlığı veya verinin zarar görmesi
• Müşteri bilgilerinin, kredi kartı bilgilerinin
çalınması
• Eposta, sosyal medya hesabı, vb. Parolalarının
çalınması
@basaranalper | www.alperbasaran.com
55. Yeri Gelmişken...
• Şifre (Code, Cipher):
– Gizli haberleşme için kullanılan işaretler
• Parola (Password):
– Kimlik belirlemek için önceden belirlenmiş
söz/rakam/cümle
@basaranalper | www.alperbasaran.com
56. Saldırının Etkisi
Kurban
Ltd. Şti.
Müşteri Bilgilerinin
@basaranalper | www.alperbasaran.com
Çalınması
Ticari Sırların Çalınması
Prestij Kaybı İş Zamanı Kaybı
57. Bilgi Güvenliği Yönetimi
• Şirket varlıklarını korumak için oluşturulur
• İyi bir güvenlik yönetimi üst yönetim
tarafından desteklenir
• Bilgi güvenliği yönetimi bir nokta değil,
süreçtir
@basaranalper | www.alperbasaran.com
58. Bilgi Güvenliği Yönetimi
Planla
Yeniden
Başla
@basaranalper | www.alperbasaran.com
Uygula
Kontrol Et
Değerlendir
59. Bilgi Güvenliği Programı
• Risk yönetimi
• Politika, prosedür ve standartları içerir
• Bilgiyi sınıflandırmayı
• Güvenlik eğitimini
• Güvenlik örgütlenmesini
İçerir
@basaranalper | www.alperbasaran.com
60. Güvenlik Programının Hedefleri
• Her güvenlik programının amaçları olmalıdır
• Operasyonel hedefler
– Günlük ve kısa süreli hedefleri: İşletim sistemi
güncellenecektir
• Taktik hedefler
– Orta vadeli hedefleri içerir: Bütün makineler
domain yapısına dahil edilecek
• Stratejik hedefler
– Merkezi bir bilgi güvenliği yapısının oluşturulması
@basaranalper | www.alperbasaran.com
61. Hedefler
• Kurumdan kuruma ve aynı kurum içerisinde
zamanla değişir
• Askeri kurumlar: Gizlilik
• Bankalar: Bütünlük
• Ticari kurumlar (YouTube, Facebook):
Erişilebilirlik
@basaranalper | www.alperbasaran.com
62. Önemli
• Güvenlik yönetimi ilgilendiren bir konudur
@basaranalper | www.alperbasaran.com
63. Risk Yönetimi
• Riski
– Belirlemek
– Ölçmek
– Kabul edilebilir seviyeye çekmek
• %100 güvenlik yoktur
@basaranalper | www.alperbasaran.com
64. %100 Güvenlik Tarifi
• Dosyayı kaydet
• İşletim sistemini kaldır
• Ağ bağlantısını çıkart
• Fişi çek
• 10 m3 beton içerisine göm
• Okyanusun en derin yerine at
• Ama çalınabilir!
@basaranalper | www.alperbasaran.com
65. Risk Yönetimi
• Riski
– Belirlemek
– Ölçmek
– Kabul edilebilir seviyeye çekmek
• %100 güvenlik yoktur
• Riskler bertaraf edilmeli veya devredilmelidir
• Riski %100 ölçmek de mümkün değildir,
sadece önceliklendirilebilir
@basaranalper | www.alperbasaran.com
67. Risk Nedir?
• Risk çeşitleri
– Fiziksel tehdit
– İnsan etkeni
– Cihaz hatası
– İç ve dış saldırılar
– Verinin yanlış kullanılması
– Veri kaybı
– Uygulama hatası
@basaranalper | www.alperbasaran.com
68. Bilgi Güvenliği Risk Yönetimi
• Bilgi Güvenliği Risk Yönetiminin temel amacı
bilgi güvenliği en uygun maliyetle sağlamaktır
@basaranalper | www.alperbasaran.com
69. Risk Terimleri
• Zafiyet (Vulnerability)
• Tehdit (Threat)
• Tehdit ajanı (Threat Agent)
• Risk (Risk)
• Açıklık (Exposure)
• Karşı önlem ve koruma (Countermeasure)
@basaranalper | www.alperbasaran.com
70. Zafiyet (Vulnerability)
• Saldırgana fırsat verebilecek, yazılım, donanım
ve prosedür zafiyeti
• Örnekler:
– Güncellenmemiş yazılımlar
– Açık modemler
– Fiziksel güvenlik
– Lisansız (crack) yazılımlar
@basaranalper | www.alperbasaran.com
71. Tehdit (Threat)
• Şirket veya ağ üzerine olumsuz etkisi
olabilecek insan veya doğa kaynaklı olay
• Tehditin bir etki yaratması için bir zafiyetin
bulunması gerekir
@basaranalper | www.alperbasaran.com
72. Tehdit ajanı (Threat Agent)
• Zafiyetten faydalanacak kişi veya örgüt
@basaranalper | www.alperbasaran.com
73. Risk (Risk)
• Tehdit ajanının zafiyetten faydalanma olasılığı
• Bir risk olabilmesi için;
– Zafiyet
– Tehdit ajanı
– İhtimal bir arada olmalı
@basaranalper | www.alperbasaran.com
74. Açıklık (Exposure)
• Tehdit ajanı eylemlerinin bir kayba neden
olmasını sağlayacak durum
• Güncellenmemiş bir sunucunun internete
açılması bir açıklıktır
@basaranalper | www.alperbasaran.com
75. Karşı önlem ve koruma
(Countermeasure)
• Potansiyel riski azaltmak için alınan önlem
• Önlem bir tehdit ajanının zafiyeti istismar
etmesini engelleyebilecek bir önlemdir
• %100 önlem olmaz!
@basaranalper | www.alperbasaran.com
76. Güvenlik Önlemleri
• Güvenlik önlemleri 3 ana başlık altında
toplanabilir
– Önlemeye yönelik
– Tespit etmeye yönelik
– Düzeltmeye/iyileştirmeye yönelik
@basaranalper | www.alperbasaran.com
77. Güvenlik Önlemleri
• Her başlık altında 3 çeşit önlem olabilir
– İdari
• Politika, prosedür, standart
– Teknik
• Parola, firewall, vs.
– Fiziksel
• Kilit, izleme, çevre kontrolleri
@basaranalper | www.alperbasaran.com
78. Control Matrix
Önleme Tespit Etme Düzeltme
Geçmiş Kontrolü Yıllık Değerlendirme İşten çıkarmalar
Tel Örgü Hareket sensörü Güvenlik Görevlisi
Firewall IDS Yedekten dönme
İdari
Fiziksel
Teknik
@basaranalper | www.alperbasaran.com
79. Kontrolleri Kontrol Etmek
• Bütün kontrol mekanizmaları ayrıca
değerlendirilmelidir
• İşlevsel değerlendirme
– Önerilen çözüm işlevi yerine getiriyor mu?
• Güvence
– Güvenlik çözümünün başarısından ne kadar
eminiz?
@basaranalper | www.alperbasaran.com
80. Risk Analizi
• Varlık, zafiyet ve tehditleri ortaya koymak
• Zararları öngörmek ve gerekli önlemleri almak
@basaranalper | www.alperbasaran.com
81. Risk Analizi Amaçları
• Varlıkları ve değerlerini belirlemek
• Zafiyetleri ve tehditleri belirlemek
• Zararın maddi boyutunu belirlemek
• Kabul edilebilir maliyetli çözümleri koymak
@basaranalper | www.alperbasaran.com
83. Nicelik (Quantitative)
• Varlık değeri
• Tedbir maliyeti
• Tehdit sıklığı
• Gerçekleşme ihtimali
@basaranalper | www.alperbasaran.com
84. Nicelik (Quantitative)
• Varlığa bir değer atamak
• Potansiyel kaybı hesaplamak
• Tehdit analizi yapmak
• Yıllık kayıp miktarını hesaplamak
• Riski azaltmak, devretmek veya kabul edilebilir
seviyeye indirmek
@basaranalper | www.alperbasaran.com
85. Nicelik (Quantitative)
• Varlığa bir değer atamak
– Satınalma maliyeti
– Varlığın kazandırdığı miktar
– Rakibe faydası
– Yeniden oluşturma maliyeti
– Yasal yükümlülükler
– Vb.
@basaranalper | www.alperbasaran.com
86. Nicelik (Quantitative)
• Potansiyel kaybı hesaplamak
– Fiziksel zarar
– Üretim kaybı
– Tamir etme maliyeti
@basaranalper | www.alperbasaran.com
87. Nicelik (Quantitative)
• Sonuç:
– Riski bertaraf etmek kayıptan daha fazla harcama
gerektiriyorsa: Yapma
– Daha ucuzsa yap
@basaranalper | www.alperbasaran.com
88. Güvenlik Politikası
• Üst yönetim tarafından ortaya konulan genel bir
ifade
• ISO 9001’deki “vizyon” ve “misyon” gibi
• Kolay anlaşılabilir olmalıdır
• Güvenlik işlevlerini tüm kurum faaliyetlerine
entegre etmeyi amaçlar
• Öneri/tavsiye değil, emir kipi kullanılmalıdır
• Teknik değil
• Şirket değiştikçe değişmeli
@basaranalper | www.alperbasaran.com
89. Standart
• Yapılması şart olanlar veya kurallar
• Politikanın uygulanmasına yönelik detayları
belirler
• Personel kurum içerisinde “personel tanıtma
kartı” taşımak zorundadır
@basaranalper | www.alperbasaran.com
90. Temel (Baseline)
• Bir sistem veya ağ için asgari güvenlik
önlemlerini belirler
• Örnek:
– Baseline gereği sistem güncel tutulmalıdır
– Bütün XP sistemlerde SP2 yüklü olmalıdır
@basaranalper | www.alperbasaran.com
91. Yönerge (Guideline)
• Önerilerdir
• Kural değil, işin daha iyi yapılmasını sağlayacak
yol göstericilerdir
@basaranalper | www.alperbasaran.com
92. Prosedür
• Belirli bir durumda yapılması gerkenleri adım
adım anlatır
• Politikanın en alt basamağıdır
• Politikanın kullanıcıya yansıyan halidir
• Örnek:
– Windows kurulumu ve konfigürasyonu için
izlenecek adımlar
@basaranalper | www.alperbasaran.com
93. Görevler Ayrılığı
• Tek bir kişinin kritik bir süreci tek başına
tamamalayamamasını sağlamak
@basaranalper | www.alperbasaran.com
95. Rotasyon
• Görevler arasında rotasyon olmalıdır
• Süreçlere birden fazla kişinin hakim olmasını
sağlamak
• Tek bir kişinin belirli bir süreç üzerinde fazla
etkiye sahip olmasını engellemek
@basaranalper | www.alperbasaran.com
96. Zorunlu İzin
• Başkalarının süregelen usulsüzlükleri bulması
• Sürecin personelden bağımsız işleyebildiğini
gösterir
@basaranalper | www.alperbasaran.com
97. Bilginin Bölünmesi
• Görevlerin ayrılığı gibi
• Tek bir kişinin kritik süreci tamamlayacak
bilgiye sahip olmasını engeller
• Örnek:
– Kasa parolasının sadece yarısını bilen banka
müdürleri
@basaranalper | www.alperbasaran.com
98. İşten Çıkarmalar
• Personelin işten nasıl ayrılacağı net bir şekilde
belirlenmelidir
• Çıkış mülakatı
• Giriş kartların teslim edilmesi
• Hesaplara erişimlerinin kesilmesi
• İş yerinden çıkmaları
@basaranalper | www.alperbasaran.com
99. Bilgi Güvenliği Farkındalık Eğitimi
• Güvenlik en zayıf halka kadar güçlüdür
• Personel eğitilmezse hata yapmaya
mahkumdur
• En yeni ve en etkili çözümler kullanıcının yanlış
bir kararı ile atıl kalabilir
• Phishing gibi saldırılara kurban olmamanın tek
yolu personelin eğitilmesidir
@basaranalper | www.alperbasaran.com
100. İş Sürekliliği ve FKM
• Güvenlik ihlali
• İş sürekliliği planını devreye almak
• Felaket kurtarma merkezini devreye almak
@basaranalper | www.alperbasaran.com
101. Yapılacaklar
• Proje planlaması
• İş etki analizi
• Devamlılık (süreklilik) planı
• Onay ve Uygulama
@basaranalper | www.alperbasaran.com
102. Proje Planlaması
• Müşterilere sunulan temel hizmetlerden
sorumlu bölümlerin belirlenmesi
• Kritik destek hizmetlerinin belirlenmesi
• Kilit personelin belirlenmesi
@basaranalper | www.alperbasaran.com
103. İş Etki Analizi
• Önceliklerin belirlenmesi
• Risklerin belirlenmesi
• Olasılıkların belirlenmesi
• Etki analizi
• Kaynakların önceliklendirilmesi
@basaranalper | www.alperbasaran.com
104. Devamı
• Önem beyanı
• Önceliklerin beyanı (bkz. Yangında ilk
kurtarılacak)
• Sorumlulukların beyanı
• Devreye almak önceliği beyanı
• Altyapının kurulması
• FKM bakımı
@basaranalper | www.alperbasaran.com
105. Hacker Türleri
• Siyah Şapkalı
• Beyaz Şapkalı
• Gri Şapkalı
• Hacktivist
@basaranalper | www.alperbasaran.com
106. Hacker Türleri
• Siyah Şapkalı
• Beyaz Şapkalı
• Gri Şapkalı
• Hacktivist
• Vejetaryen
• Uzun Boylu
• Kısa Boylu
• Şişman
• Zayıf
• Evli
• Bekar
• Türk
• Arap
• Amerikalı
@basaranalper | www.alperbasaran.com
107. Kim Bize Neden Saldırsın?
• Saldırıların %80’inin kaynağı içeridedir
• Saldırıların %80’inin kaynağı dışarıdadır
• İstatistiklerin %80’i uydurulmuştur
@basaranalper | www.alperbasaran.com
108. Sonuçta...
• Dışarıdan birisi bize saldıralbilir
• İçeriden birisi bize saldırabilir
• Dış Tehditlere karşı önlem almak daha kolaydır
@basaranalper | www.alperbasaran.com
109. İç Tehdit
• Saf İç Tehdit
• İç Tehdit Paydaşı
• İç Tehdit Uzantısı
• Dış Tehdit Uzantısı
@basaranalper | www.alperbasaran.com
110. Saf İç Tehdit
• Personel
• Kurumda çalışmanın sağladığı bütün yetkilere
ve erişim izinlerine sahip
• En çok zarar verebilecek tehdit
• 3 temel faktör: Erişim, Davranış ve Para
• Önceden kendini belli edebilir
@basaranalper | www.alperbasaran.com
111. İç Tehdit Paydaşı
• Sınırlı erişime sahip
• Temizlik/güvenlik görevlisi
• Genellikle fiziksel erişime sahiptir
• Filmlerde gördüğümüz senaryolar
@basaranalper | www.alperbasaran.com
112. İç Tehdit Uzantısı
• İlk 2 türdeki iç tehdit ajanlarının erişim
yetkileri vardı
• Personel eşleri, arkadaşları, akrabaları,
müşterileri...
• Personel her zaman “doğru” kararı ver(e)mez
@basaranalper | www.alperbasaran.com
113. Dış Tehdit Uzantısı
• Yabancıların iç kaynaklara erişim sağlaması
• Kablosuz ağ
• Kilitli olmayan kapılar
@basaranalper | www.alperbasaran.com
114. İç Tehditler neden daha tehlikelidir
• Farkedilmez
• Mevcut güvenlik önlemleri dışarıya dönüktür
• İnkar etmesi kolaydır
• “Adımız kötüye çıkar”
@basaranalper | www.alperbasaran.com
115. İç Tehdit Etkileri
• Para/Gelir kaybı
• Rekabet gücünün azalması
• Müşteri kaybı
• Güven kaybı
@basaranalper | www.alperbasaran.com
116. Yeni Bir Tehdit Değil
• Bilgisayarlardan önce:
– Belgenin çalınması
– Belgenin kopyalanması
– Faks
– Sözlü sızdırma
– Verinin değiştirilmesi
– Verinin yok edilmesi
@basaranalper | www.alperbasaran.com
117. Günümüzde
• Gizli dosya
• Taşınabilir aygıt
• Kablosuz ağ üzerinden sızdırma
• Taşınabilir bilgisayar
• Akıllı telefon
@basaranalper | www.alperbasaran.com
119. Neden Saldırır?
• Terör
• Askeri Casusluk
• Casusluk
• İntikam
• Nefret
• Meşhur olmak
• Açgözlülük
• Cehalet
@basaranalper | www.alperbasaran.com
120. Hacker Türleri
• İç Tehdit
• Hacker
• Suç örgütleri
• Eski çalışanlar
• Casusluk
@basaranalper | www.alperbasaran.com
121. Case Study 1
• Sistem Yöneticisi
– Diploma sahte
– Önceki referanslar sahte
@basaranalper | www.alperbasaran.com
122. Case Study 2
• Medya Takip Şirketi
– Satış temsilcisi rakibe geçiyor
@basaranalper | www.alperbasaran.com
123. Case Study 3
• Bakanlık
– Kurum veri tabanında yetkili “redhack” kullanıcısı
@basaranalper | www.alperbasaran.com
124. Case Study 4
• Kargo Şirketi
– Rakip şirkete satılan müşteri bilgileri
@basaranalper | www.alperbasaran.com
125. KRIEGSPIEL NE KAZANDIRDI?
• Önceki savaşlardan ders çıkartma
• Yeni savaşlar için yeni stratejiler geliştirme
• Subay kademesinin daha iyi eğitilmesi
• “Savaşmadan savaşma” imkanı
@basaranalper | www.alperbasaran.com
127. Tiger Team
A team of undomesticated and uninhibited
technical specialists, selected for their
experience, energy, and imagination, and
assigned to track down relentlessly every
possible source of failure in a spacecraft
subsystem
@basaranalper | www.alperbasaran.com
128. Fiziksel Pen Test
• Müşterinin fiziksel güvenlik seviyesinin tespit
edilmesi
• Mevcut güvenlik sistemlerindeki eksikliklerin
ortaya çıkartılması
• Fiziksel güvenlik sandığımızdan daha kötü
durumda
@basaranalper | www.alperbasaran.com
129. Fiziksel Pen Test
• Süreç:
– Takımın oluşturulması
– Proje yönetimi
– Rules of Engagement
– Önaraştırmanın yapılması
– Riskin ölçülmesi
– Test planı
– Raporlama
@basaranalper | www.alperbasaran.com
130. Fiziksel Pen Test
• Süreç:
– Takımın oluşturulması
• Takım lideri
• Koordinatör
• Sosyal mühendis
• Sızma uzmanı
• Fiziksel güvenlik uzmanı
• Gözetlemeci
@basaranalper | www.alperbasaran.com
131. Fiziksel Pen Test
• Süreç:
– Rules of Engagement
• Müşteri neyi test etmek istiyor
• Müşteri test kapsamına neyin dahil edilmesini istemiyor
• Test süresinin belirlenmesi
• White/grey/black box
• Testin başarılı/başarısız ve iptal durumlarının
belirlenmesi
• Başarılı/başarısız ve iptal edilen testlerde yapılacaklar
• Raporlama sürecinin planlanması
@basaranalper | www.alperbasaran.com
132. Fiziksel Pen Test
• Süreç:
– Önaraştırmanın yapılması
• HUMINT
• SIGINT
• OSINT
• IMINT
@basaranalper | www.alperbasaran.com
133. Fiziksel Pen Test
• Süreç:
– Riskin ölçülmesi
• Kontrat riski: İşi tamamlayamama
• Operasyonel risk: Deneyimsiz ekip üyesi, iletişimde
aksaklık
• Yasal riskler: Tutuklanmak
• Çevre riskleri:
– Yaralanma
– Bekçi köpekleri
– Güvenlik görevlileri
@basaranalper | www.alperbasaran.com
134. Fiziksel Pen Test
• Teknikler:
– Fiziksel sızma testi
– Keşif çalışmaları
– Taktik yaklaşımlar:
• Tailgating
• Giyim
• Olmayan birini ziyaret
– Kart/kimlik kullanımı
– Güvenlik mekanizmaları
@basaranalper | www.alperbasaran.com
135. Hacker Ne Yapar?
Bilgi
Toplama
Tarama
Erişim
Sağlama
Erişim
Koruma
İzleri Yok
Etme
@basaranalper | www.alperbasaran.com
136. 1. Aşama: Bilgi Toplama
• Hedef hakkında bilgi toplama
• Hedef hakkında ne kadar bilgi toplanırsa
saldırı o kadar çeşitlendirilebilir
• Bilgi toplama aşaması hedef ve çalışanları
hakkında geniş bir yelpazeyi kapsayabilir
@basaranalper | www.alperbasaran.com
137. 1. Aşama: Bilgi Toplama
• Pasif Bilgi Toplama
– Hedefle doğrudan temas kurmadan toplanan
bilgiler
• Aktif Bilgi Toplama
– Hedef ile temas kurarak bilgi toplamak
@basaranalper | www.alperbasaran.com
138. 2. Aşama: Tarama
• Saldırı öncesi tarama
– Bilgi toplama aşamasında elde edilen bilgiler
doğrultusunda tarama yapma
• Port tarama
– Port taraması, zafiyet taraması
• Bilgi alma
– IP adresi, kullanıcı hesabı bilgileri
@basaranalper | www.alperbasaran.com
140. 4. Aşama: Erişim Koruma
• Saldırganalrın en sevdiği adım
• Sistemi anlama v amaçlarına ulaşma zamanı
• Saldırının ikinci aşamasını başlatmanın zamanı
@basaranalper | www.alperbasaran.com
142. Bilgi Toplama Terimleri
• Halka açık kaynakları kullanarak bilgi toplama
• Sosyal mühendislik, ziyaret, vb. Yöntemler
kullanarak bilgi toplama
• Kaynağı belli olmayan / Tespit edilemeyen
bilgileri toplamak
• Farklı kaynaklar /isimler kullanılarak
yayınlanan bilgileri toplamak
• Internet üzerinden bilgi toplamak
@basaranalper | www.alperbasaran.com
143. Bilgi Toplamak: Ağ Bilgisi
• Alanadı
• IP adresleri
• Çalışan sistemler
• VPN noktaları
• Doğrulama mekanizmaları
@basaranalper | www.alperbasaran.com
144. Bilgi Toplamak: Sistem Bilgisi
• Kullanıcı ve grup adları
• Sistem bilgileri (Banner – Başlık)
• SNMP bilgileri
• Sistem mimarisi
@basaranalper | www.alperbasaran.com
145. Bilgi Toplamak: Hedef bilgisi
• Çalışan detayı
• Şirket rehberi / Fihristi
• Haberler
@basaranalper | www.alperbasaran.com
146. Bilgi Toplama Metodolojisi
• Internet
• Rakip bilgileri
• WHOIS
• DNS
• Ağ
• Web sitesi
• Eposta
• Google
@basaranalper | www.alperbasaran.com
150. Alanadları ve Yapıları Bize Önemli
Bilgiler Verir
• www.hurriyet.com.tr
• hurarsiv.hurriyet.com.tr
• canlimacsonuclari.hurriyet.com.tr
• www.hurriyet.com.tr/gundem
• webtv.hurriyet.com.tr/2/.../rekora-uctu/
@basaranalper | www.alperbasaran.com
153. Hedef ile İlgili Araştırma Yapmak
• Google, Bing, Yahoo! Gibi arama motorlarını
kullanmak
• Hedef ile ilgili anahtar kelimeler kullanarak
arama yapmak önemli
• Arşiv ve web sitesini detaylı incelemek önemli
• Çalışan personeli araştırmak
• İletişim bilgilerini toplamak
@basaranalper | www.alperbasaran.com
168. Ne Gördünüz?
• CISCO marka Router ve Switch
• Checkpoint marka Firewall
• SIP protokolü = SIP sunucu var
• Site-to-site ve SSL VPN var
• Şirket içerisinde IP telefon kullanılıyor
• CISCO marka access pointler var
• SAN switch = Storage var
• VMWARE ESX 4.1, 5.0 ve 5.1 var
• HYPER-V 2012 var
@basaranalper | www.alperbasaran.com
170. Google ile Neler Yapılabilir?
• Zafiyet tespiti
• Hassas bilgi içeren hata mesajlarının
bulunması
• Parola bilgileri
• Hassas klasörler
• Login sayfaları
• Ağ veya sistemler hakkında bilgiler...
@basaranalper | www.alperbasaran.com
172. Google Operatörleri
• Cache: google’ın cache’inde bulunan sayfa
• Link: Sayfaya link veren sayfalar
• Related: Benzer sayfalar
• Info: Sayfa hakkında bilgiler
• Site: Aramaları bu site ile sınırlar
• Intitle: Başlık kısmında arama yapar
• Inurl: URL içerisinde arama yapar
@basaranalper | www.alperbasaran.com
195. Ne Gördünüz?
• CITRIX NETSCALER var
• UBUNTU Linux var
• WINDOWS SERVER 2003 var
• WINDOWS SERVER 2008 var
• APACHE 2.2.8 var
• PHP 5.2.4 var
@basaranalper | www.alperbasaran.com
196. Tarama
• IP adresleri
• Açık sistemler üzerindeki portlar
• İşletim sistemi ve mimarisi bilgisi
• Açık sistemler üzerinde çalışan servisler
@basaranalper | www.alperbasaran.com
197. Tarama
• Port taraması
• Zafiyet taraması
• Ağ taraması
@basaranalper | www.alperbasaran.com
202. Açık Portları Tespit Etme
• Three Way Handshake
• İlk Paket
– Kaynak: 192.168.1.10
– Hedef: 192.168.1.11
– Paket: SYN
• İkinci Paket
– Kaynak: 192.168.1.11
– Hedef: 192.168.1.10
– Paket: SYN/ACK
• Üçüncü Paket
– Kaynak: 192.168.1.10
– Hedef: 192.168.1.11
– Paket: ACK
@basaranalper | www.alperbasaran.com
203. Paket Bayrakları
• SYN: Bağlantı daveti
• ACK: Gelen paketin teslim alındı teyidi
• URG: Verinin acil olduğunu belirtir
• FIN: Bağlantının sonlandığını belirtir
• RST: Bağlantı sıfırlar
• PSH: Buffer’daki bütün bilgiyi gönderme
talimatı
@basaranalper | www.alperbasaran.com
204. TCP Connect Scan
• Three way handshake tamamlanır
• Bağlantı kurulur ve RST paketi gönderilerek
sonlandırılır
SYN
A SYN/ACK
B
ACK/RST
@basaranalper | www.alperbasaran.com
205. Half-open Scan
• Three way handshake tamamlanmaz
• Bağlantı kurulmadan RST paketi gönderilerek
sonlandırılır
SYN
A SYN/ACK
B
RST
@basaranalper | www.alperbasaran.com
206. Port Kapalı
• Port kapalıysa RST paketi döner
SYN
A RST
B
@basaranalper | www.alperbasaran.com
207. UDP Scan
• UDP’de Three Way Handshake yoktur
• UDP port taraması
UDP Paketi
A Port açıksa cevap gelmez
B
Port kapalıysa port ulaşılamaz cevabı gelir
@basaranalper | www.alperbasaran.com
208. Banner Grabbing
• Banner Grabbing hedef hakkında ek bilgi
almamızı sağlar
• İşletim sistemi
• Çalışan sunucu sürümü
• Vs.
@basaranalper | www.alperbasaran.com
213. The quiter you become, the more you
are able to hear
@basaranalper | www.alperbasaran.com
214. Kali?
• Sızma testleri için hazırlanmış bir linux
dağıtımı
• 300’den fazla güvenlik yazılımı içeriyor
• Diğer dağıtımlar:
– Backbox
– Node Zero
– Blackbuntu
– Samurai Web Testing Framework
– Matriux
@basaranalper | www.alperbasaran.com
231. Hacking
• Elimizdekiler
– Hedef hakkında bilgi
– Tarama sonuçları
@basaranalper | www.alperbasaran.com
232. Hacking: Aşamalar ve Amaçlar
Aşama Amaç Yöntem
Erişim sağlamak
Erişim kazanmak için
gerekli bilgilerin
toplanması
Kaba kuvvet, parola
tahmini, dinleme
Yetki yükseltme
Yetkili bir kullanıcı hesabı
oluşturmak
Bilinen zafiyetler
Uygulama çalıştırma
Erişim koruma ve devam
ettirme
Trojan
Dosya saklama
Zararlı dosyaların
saklanması
Rootkit
İzleri yok etme
Sisteme sızıldığının
gizlenmesi
Logların temizlenmesi
@basaranalper | www.alperbasaran.com
233. Sisteme Erişim Sağlama
• Sisteme erişim sağlamak için kullanılabilecek
yöntemler arasında en yaygın olanlar:
– Parola kırma
– Zafiyet istismar etme
@basaranalper | www.alperbasaran.com
234. Erişim Sağlamak: Parola Kırmak
• Saldırgan sisteme erişim sağlamak için parola
kırar/tahmin eder
• Sistemde bulunan bir zafiyetin istismarı da
parola kırıldıktan sonra daha kolay olabilir
• Parola kırma teknikleri zayıf/kolayca tahmin
edilebilir parolalar sayesinde daha başarılı olur
@basaranalper | www.alperbasaran.com
236. Parola Saldırıları
• Elektronik Ortam Dışında
– Bakma
– Sosyal Mühendislik
– Çöp karıştırma
• Offline
– Önceden hesaplanmış hash
– Dağıtık bilgisayar kaynakları
– Rainbow
@basaranalper | www.alperbasaran.com
237. Parola Saldırıları
• Online Aktif
– Parola tahmin etme
– Trojan / Spyware / Keyloger
– Hash injection
• Online Pasif
– Dinleme
– Man-in-the-middle
– Replay
@basaranalper | www.alperbasaran.com
240. Man-in-the-Middle
Saldırgan trafiği üzerine alır
A B
S
@basaranalper | www.alperbasaran.com
Normal Bağlantı
Sadırganın oluşturduğu Bağlantı
241. Parola Kırma Yöntemleri
• Fabrika çıkışlı parolalar
– Cihazların fabrika çıkışlı (default) parolaları ve
kullanıcıları vardır
• Tahmin etme
– Manüel tahmin etme
– Bilgisayar destekli tahmin etme
• Parola çalma
– Keylogger, vb.
@basaranalper | www.alperbasaran.com
242. Parola Kırmak için Kullanılan Araçlar
• John the Ripper
• Kerbcrack
@basaranalper | www.alperbasaran.com
243. Yetki Yükseltme
• Saldırgan basit bir kullanıcı hesabı ele
geçirebilir
• Çeşitli yöntemler kullanılabilir
– Mevcut kullanıcının yetkileri yükseltilir
– Yeni kullanıcı açılır
@basaranalper | www.alperbasaran.com
255. Virüs (Virus)
• Virüsler kendilerini yayar
• Kendini şifreler
• Kendini değiştirir
• Başka programlara bulaşır
• Veri değiştirir
• Dosya ve yazılımları değiştirir
@basaranalper | www.alperbasaran.com
256. Virüs (Virus)
• Virüs yaşam döngüsü
1. Tasarım
2. Kopyalama
3. Lansman
4. Tespit edilme
5. Savunmanın oluşturulması
6. Ortadan kalkması
@basaranalper | www.alperbasaran.com
257. Virüs (Virus)
• Nasıl çalışır?
@basaranalper | www.alperbasaran.com
Başlangıç
Program Başı
Program Sonu
Başlangıç
Program Başı
Program Sonu
Virüs
NORMAL VİRÜSLÜ
258. Virüs (Virus)
• Virüs neden yazılır?
– Rakibe zarar vermek için
– Maddi kazanç
– Araştırma projeleri
– Şaka yapmak
– Zarar vermek
– Siber terör
– Politik mesaj vermek
@basaranalper | www.alperbasaran.com
261. Solucan (Worm)
• Kullanıcı etkisi olmadan çoğalan, çalışan ve
yayılan zararlılardır
• Solucanlar başka programlara eklenmez
@basaranalper | www.alperbasaran.com
262. Truva Atı (Trojan)
• Amaç
– Kredi kartı, parola veya başka önemli bilgiler
çalmak
– Ele geçirilen aynakları DDoS amacıyla kullanmak
– Ortam dinlemesi/özel hayata tecavüz
– İşletim sistemini ele geçirmek
– Güvenlik çözümlerini atlatmak
@basaranalper | www.alperbasaran.com
263. Truva Atı (Trojan)
• Yazanlar ne ister?
– Kredi kartı bilgisi
– Hesap bilgisi (Facebook, eposta, vs.)
– Gizli belge
– Mali bilgi / kayıt
– Takvim ve program bilgileri
– Başka saldırılar gerçekleştirmek için bir araç
@basaranalper | www.alperbasaran.com
265. Saldırı detayları
• DoS
• Web Uygulaması saldırıları
– OWASP Top 10
– SQL injection
@basaranalper | www.alperbasaran.com
266. DoS – Denial of Service
• Sistem ve ağ kaynaklarını tüketir
• Normal kullanıcılar sistemi kullanamaz hale
gelir
@basaranalper | www.alperbasaran.com
267. DDoS – Distributed Denial of Service
• DDoS birden fazla sistem kullanarak sistemin
kaynakları hedef alınır
• Sonuçları:
– İtibar kaybı
– Gelir kaybı
– İş süreçlerinin aksaması
@basaranalper | www.alperbasaran.com
268. DDoS – Distributed Denial of Service
Z Z
Z Z
Z Z Z
@basaranalper | www.alperbasaran.com
Saldırgan
Z
Z
Handler
Zombiler
Z Z
Z
Z Z
Z
Z Z Z
Handler
Zombiler
Kurban
269. roBOTNETwork
• BotNet’ler duruma uyum sağlar
– AV var, AV’yi öldür
• BotNet’ler modülerdir
– 1. modül zafiyeti istismar ederek kendini yükler
– Saldırı modülünü indirir (2. modül)
– Yeni hedefleri bulacak modülü indirir (3. modül)
@basaranalper | www.alperbasaran.com
270. DoS Türleri
• Bant genişliği saldırıları
• SYN Flood
• ICMP Flood
• Uygulama katmanı
@basaranalper | www.alperbasaran.com
271. Bant genişliği saldırıları
• Bant genişiliğini tüketmeye çalışır
• 100 Mbps bir hatta 1 Gbps trafik gelirse hat
“satüre” olur.
@basaranalper | www.alperbasaran.com
272. SYN Flood
• SYN paketleri ile hedef sistem ACK cevabı
bekler durumda bekletilir
@basaranalper | www.alperbasaran.com
273. Web Uygulaması saldırıları
• Web sunucularını istismar etmek
• En bilinen haliyle “site hacklemek”
• Gavurcası “defacement”
@basaranalper | www.alperbasaran.com
280. Sunucular Neden Hacklenir?
• Gerekli güvenlik politikalarının
oluşturulmaması
• Yanlış konfigürasyon ve kurulum
• Sunucuyu fabrika ayarlarıyla kurmak
• Yedek dosyalarının internete alınması
• Default kullanıcı adı ve parola
@basaranalper | www.alperbasaran.com
281. Web Sunucusuna Yapılan Saldırıların
Etkileri
• Ele geçirilen kullanıcı hesapları
• Websitesi değiştirme
• Veri hırsızlığı
• Başka sunucu ve uygulamalara yetkili erişim
• Web sitesi kullanılarak yapılabilecek saldırılar
• Veri değiştirme / bozma
@basaranalper | www.alperbasaran.com
282. OWASP
• Open Web Application Security Project
• Web uygulamalarında en çok görülen ve en
tehlikeli 10 açığın listesini yayınlıyorlar
@basaranalper | www.alperbasaran.com
283. OWASP TOP 10
@basaranalper | www.alperbasaran.com
284. SQL Injection
• SQL injection en yaygın olarak görülen
zafiyettir
• Web uygulamasından kaynaklanan bir
zafiyettir, veri tabanı veya sunucu değil
• Çoğu programcı bu sorunu görmezden gelir
@basaranalper | www.alperbasaran.com
285. SQL Injection
• Tehditler;
– Kayıt değiştirme
– Veri silme
– Veri çalma
– Yetki yükseltme
– Sunucuyu DoS durumuna düşürme
@basaranalper | www.alperbasaran.com
286. SQL Injection
• Saldırılar
– Giriş ekranı atlatma
– Veri çalma
– Veri bütünlüğünü bozma
– Erişilebilirlik etkileme
– Uzaktan komut çalıştırma
@basaranalper | www.alperbasaran.com
291. SQL Injection
“SELECT Count(*) FROM Users WHERE UserName=‘ ” + txtUser.Text + “ ‘ AND
Password=‘ “ + txtPasword.Text + “ ‘ “
SELECT Count(*) FROM Users WHERE UserName=‘Atmasyon’ or 1=1 - - AND
Password=‘Atmasyon’
YANİ= Kullanıcı adı Atmasyon veya 1=1
1=1 doğru mu?
Doğru!
Giriş yapabilir...
@basaranalper | www.alperbasaran.com
292. Neden İstemci?
• Ağ erişimi var
• Sisteme erişimi var
• Veriye erişimi var
• İçeriden Internet’e erişimi var
• Kaynaklara erişimi var
• Yukarıdakilerin hepsine sürekli erişimi var
@basaranalper | www.alperbasaran.com
293. Neden İstemci?
• Tehlikeli
• Yüksek başarı oranı
• Tespit edilmesi zor
• Bugün en çok görülen saldırı türü
@basaranalper | www.alperbasaran.com
295. Sızma Sonrası
• Ele geçirilen makinenin değerini belirlemek
• Makinenin yönetimini korumak
• Değer: Verinin kıymeti + Makinenin başka
saldırılarda işe yaraması
• Birbirine eklenebilecek zafiyetleri göstermek
@basaranalper | www.alperbasaran.com
296. Sosyal Mühendislik Nedir?
• İnsanları kandırarak istediğinizi elde etmek için
kullanılan yöntemlerdir
@basaranalper | www.alperbasaran.com
298. iOS99 Zafiyetleri:
Saldırıya Açık Davranışlar
• Güvenmek
• Saldırılar konusunda bilgi sahibi olmamak
• Tehdit altına girmek
• Kazanç beklentisi ile hareket etmek
@basaranalper | www.alperbasaran.com
299. Şirketleri Sosyal Mühendislik
Saldırılarına karşı zayıflatan etkenler
• Yetersiz bilgi güvenliği eğitimi
• Kullanıcıların bilgiye kolay erişmesi
• Birden fazla bölüm (Satış, Teknik Destek,
Muhasebe, vs.)
• Güvenlik politikalarının olmayışı
@basaranalper | www.alperbasaran.com
300. Sosyal Mühendislik neden etkili bir
yöntem?
• Sosyal mühendislik saldırı girişimlerini tespit
etmek zor
• Sosyal mühendislik saldırılarına karşı
kurulabilecek cihaz/sistemlerin olmaması
• Sosyal mühendislik saldırılarına karşı bilinen
bir savunma yok
@basaranalper | www.alperbasaran.com
301. Sosyal Mühendislik Saldırısı Aşamaları
• Araştırma
• Kurban seçme
• Geliştirme
• İstismar etme
@basaranalper | www.alperbasaran.com
302. Sosyal Mühendislik Saldırılarının
Etkileri
• Maddi kayıp
• Terör
• Gizlilik ihlali
• Prestij kaybı
• Iflas
• ... Bilgi güvenliği ihalinden beklenen bütün
etkiler görülebilir
@basaranalper | www.alperbasaran.com
303. Saldırı yöntemi: Komut verme
• İnternet üzerinden ulaşıp bilgileri elde etme
• Telefonla ulaşıp bilgi elde etme
• Bireysel görüşme ile bilgi elde etme
@basaranalper | www.alperbasaran.com
304. Kurbanlar
• “Rebecca” ve “Jessica”
• Danışma ve resepsiyon personeli
• Teknik destek
• Sistem yöneticileri
• Tedarikçiler
• Kullanıcılar
@basaranalper | www.alperbasaran.com
305. Bilgisayar kullanıcılarından elde
edilebilecek veriler
• Güvenlik politikaları hakkında detaylar
• Hassas bilgi/belge
• Ağ altyapısı hakkında bilgi
• Kullanılan uygulamalar hakkında bilgi
• İş süreçleri hakkında bilgi
• Parola ve kullanıcı bilgileri
@basaranalper | www.alperbasaran.com
306. Sosyal Mühendislik Türleri
• İnsan vektörü
– İletişim ile bilgi elde edilir
– Korku, güven, yardımseverlik gibi duyguları
sömürür
• Bilgisayar vektörü
– Bilgisayar vasıtasıyla yapılan sosyal mühendislik
saldırıları
@basaranalper | www.alperbasaran.com
307. İnsan Vektörünü Kullanan Saldırılar
• Sistem kullanıcısı gibi davranmak
• Önemli bir kullanıcı gibi davranmak
• Teknik destek gibi davranmak
@basaranalper | www.alperbasaran.com
308. İnsan Vektörünü Kullanan diğer
saldırılar
• İzinsiz dinleme
– Konuşma, yazışma veya görüntülerin elde edilmesi
• Bakma
– Parola yazılırken görme
• Çöp karıştırma
– Çöpten çıkan servetler
@basaranalper | www.alperbasaran.com
309. İnsan Vektörünü Kullanan Saldırılar
• Takip (Tailgating)
– Sahte kimlik ve formayla yetkili birinin arkasından
giriş yapma
• Anket
– Anket sorularıyla gerekli bilgileri toplama
• “Hamili kart yakinimdir”
– Yetkili birinin adını kullanarak bilgi alma
@basaranalper | www.alperbasaran.com
310. İnsan Vektörünü Kullanan Saldırılar
• Tersine sosyal mühendislik
– Kurbanın sizden bilgi istemesini sağlamak
• Yardım isteme
– “giriş kartımı evde unutmuşum”
@basaranalper | www.alperbasaran.com
311. Kandırmanın 10 temel direği
1. Bedava bir şey teklif et
2. İnsani yönünü göster
3. Hedefin anlaşılır ve görülür olmasını sağla
4. Ufak adımlarla başla
5. Ara ödüller ver
6. Güven duygusu aşıla
7. Kurbanı hedefe yaklaştır
8. Önemli değilmiş gibi davran
9. Kafalarını karıştır
@basaranalper | www.alperbasaran.com
312. Bilgisayar Vektörü ile Sosyal
Mühendislik
• Pop Up penceresi
• Sahte olay
• Zincir mektuplar
• Anlık mesajlaşma
• İstenmeyen eposta
@basaranalper | www.alperbasaran.com