Siber Dünyada İzleme ve Takip. Huzeyfe ÖNAL Bilgi Güvenliği AKADEMİSİ Twitter:

Ebat: px

Şu sayfadan göstermeyi başlat:

Download "Siber Dünyada İzleme ve Takip. Huzeyfe ÖNAL Bilgi Güvenliği AKADEMİSİ www.bga.com.tr Twitter: @bgakademisi/@huzeyfeonal"

Adem Aksu
8 yıl önce
İzleme sayısı:

1 Siber Dünyada İzleme ve Takip Huzeyfe ÖNAL Bilgi Güvenliği AKADEMİSİ Twitter:

2 Huzeyfe ÖNAL Bilgi Güvenliği Danışmanı & Ağ Güvenliği Penetration Tester Güvenlik Eğitmeni Blogger

3 Amaç Siber dünyanın sadece bir eğlence aracı değil, dünyanın gidişatını değiştirecek, yeni bir düzenin kurulumundaki önemli oyunculardan biri olduğu göstermek ve bu kadar önemli bir yapının başıboş bırakılamayacağının anlaşılması. Internet ortamında yasal/illegal izlemeler nasıl gerçekleştirilir, nasıl korunulur.

göstermek ve bu kadar önemli bir yapının başıboş bırakılamayacağının

4 Önce korunmak için teknoloji üretirsiniz, sonra düşmanlarınız o teknolojiyi kullanır, geliştirdiğiniz teknoloji ile savaşa başlamak zorunda kalır

5 Yeni Dünya Düzeni ve Siber Güvenlik

6 Internet Nasıl Çalışır? Internet, temeli 1970 li yıllarda atılmış askeri bir protokol olan TCP/IP üzerinde çalışır.

7 Internet te Gizlilik Internet ortamında gizlilik (iletişim için) temelde iki şekilde gerçekleştirilir. İletişim protokollerini güvenli şifreli- hale getirerek gizlilik. İletişim protokollerinden bağımsız olarak sadece içeriği özel araçlarla her iki taraf da aynı şifreleme kullanmalı- şifreleyerek gizleme İkinci yöntem daha güvenli kabul edilmektedir.

İletişim protokollerinden bağımsız olarak sadece içeriği özel araçlarla her iki taraf

8 HTTPS/SSL/TLS Güvensiz protokollere şifreleme desteği verme amaçlı geliştirilmiş ara katman protokolleridir. HTTPS=TLS+HTTP veya SSL+HTTP Birbirleri yerine kullanılsada temelde farklı protokollerdir HTTPS/TLS/SSL sadece iletişimde veri gizliliği sağlar, hedef sistemin güvenlik zaafiyetlerine karşı ek bir koruma sağlamaz

HTTPS=TLS+HTTP veya SSL+HTTP Birbirleri yerine kullanılsada temelde farklı

9 SSL Secure Sockets Layer (SSL) Temelleri Netscape firması tarafından 1994 yılında atılan SSL aynı yılda ticari olarak piyasaya sürüldü ve bir sonraki yıl IETF tarafından standart olarak Kabul edildi. Aslında standartın asıl ismi TLS olmasına rağmen genellikle SSL kullanımı tercih edilmektedir. Ilk zamanlar sadece HTTP trafiğini şifreleme amaçlı geliştirilmiş olsa da günümüzde TCP, UDP tabanlı tüm servisleri şifreleme amaçlı kullanılmakta.

Aslında standartın asıl ismi TLS olmasına rağmen genellikle SSL kullanımı tercih edilmektedir.

10 HTTPS WEB trafiğinde şifreleme sağlama amaçlı geliştirilmiş protokol HTTP+TLS veya HTTP+SSL

11 Sertifika Otoritesi PKI altyapısının dayandığı en temel güvenlik bileşeni Sertifika otoritesi SSL kavramının günümüzde güvenilir olarak kabul edilmesi ve yaygınlaşmasındaki en önemli rollerden birine sahiptir. SSL in güvenliğinde sertifika otoritesi tüm gücü elinde bulundurur. Sertifika otoritesinde yaşanacak bir güvenlik problemi sadece o sertifika otoritesini kullanan değil, tüm SSL kullanıcılarını etkileyebilir. Diginotar olayı

SSL in güvenliğinde sertifika otoritesi tüm gücü elinde bulundurur.

12 En önemli kurumlardır Sertifika Otoriteleri Sertifika otoritesinin ele geçirilmesi o otorite tarafından onaylanan tüm sertifikaları güvensiz hale getirir.

13 10 Puanlık Altın Soru Kaçımız yeni aldığı bilgisayarında, tabletinde, mobil cihazında yüklü olan güvenilir olarak kabul edilmiş sertifika otoritelerini(ca) kontrol etti?

14 HTTPS Trafiğinde Araya Girme SSL bağlantılarında araya girme fikri ilk bakışta zor hatta imkansız gibi görülse de gerekli şartlar oluşturulduğunda oldukça kolay başarılabilmektedir Gerekli Şartlar: İlk olarak hedef sistemin trafiği APR ile bizim üzerimiden geçecek şekilde kandırılmalıdır. Hedef sistemin iletişim kurmak istediği HTTPS sayfasına ait sertifika bilgileri ile sahte bir sertifika oluşturulmalıdır. Sahte oluşturulan bu sertifika tüm modern browserlarda kullanıcıya uyarı verecektir. Bazı browserlar bu uyarıyı oldukça kullanıcı yanlısı (rahatsız etmeyici yumusak bir mesaj) bazıları da oldukça rahatsız edici ve problemi belirtici uyarılarla gösterirler. 14

Hedef sistemin iletişim kurmak istediği HTTPS sayfasına ait sertifika bilgileri ile sahte bir sertifika oluşturulmalıdır.

15 HTTPS MITM Uyarıları Firefox Internet Explorer 7

16 İzle(n)meye Karşı Önlemler Çoğu popüler web hizmeti tüm trafiği şifreleyecek şekilde SSL hizmeti sunmaya başlamıştır. Öncüsü Google Facebook Hotmail Twitter Hotmail

17 Twitter Şifreleme Kanalı (SSL) Desteği

18 Facebook Şifreleme Kanalı (SSL) Desteği

19 Gmail Şifreleme Kanalı (SSL) Desteği Gmail SSL e geçiş serüveninin öncülerinden

20 Hotmail Şifreleme Kanalı (SSL) Desteği Öntanımlı olarak SSL açık gelmiyor

21 Internet İzleme Sistemleri Basite indirgersek ağ trafiği analiz araçları Sniffer: tcpdump, Wireshark, Snort, Ngrep Sniffing sistemlerinin işe yaraması için akan trafiğin clear text olması gerekir. Şifreli trafik izlenebilir fakat anlmalı bir bilgi edinilemez.

22 Yasal İzleme/Lawful Interception Kanunlar çerçevesinde yapılan izleme Genellikle ISP seviyesi izleme gerçekleştirilir. Bazı durumlarda son kullanıcı bilgisayarına zararlı yazılım yükleyerek gerçekleştirildiği de olmuştur.

23 Yasal Olmayan İzleme

24 Yasal Olmayan İzleme Tunus Gmail Örneği

25 Paket Başlık Bilgileri Mektup zarf ilişkisi Amaç mektubu meraklı gözlerden Koruyarak hedefe iletilmesini sağlamak. Zarf=header=başlık bilgisi Paketin nereye gideceğini belirler. Mektup=payload=gerçek veri Taşımak istediğimiz veri. Her protokolün header kısmı ve Payload kısmı farklı olabilir. Firewall->Header IPS- >Payload

26 Deep Packet Inspection DPI=Derinlemesine Paket Analizi Paketin ötesinde taşınan protokole ait başlık+gövde(hader+payload) bilgilerini detaylıca incelemeye tabi tutularak paket üzerinde gerekli işlemlerin yapılması Sadece XYZ protokolünde içerisinde ABC geçen paketleri yakala Facebook ta ABC oyununu bu ay tüm abonelere ücretsiz kullanım hakkı ver.

27 DPI(Deep Packet Inspection) Örneği Hatalı IPS Kuralı alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (\ msg:"et P2P ABC Torrent User-Agent (ABC/ABC-3.1.0)"; \ flow:to_server,established; \ content:"user-agent\: ABC/ABC"; nocase; \ sid: ;) Doğru IPS Kuralı alert http $HOME_NET any -> $EXTERNAL_NET any (\ msg:"et P2P ABC Torrent User-Agent (ABC/ABC-3.1.0)"; \ header.useragent:"abc/abc"; \ sid: ;)

28 DPI Kullanım Amaçları Yasal dinleme - lawful intercept, Trafik İzleme, QoS (Hizmet Kalitesi) Güvencesi, Özelleştirilmiş Fiyatlandırma & Faturalandırma, Internet Trafiği Paylaşımı (Peering) Kontrolü, Güvenlik (IPS, DLP)

29 Data Carving Ham veriden orijinal veri elde etme yöntemi Sniffer Data Carving

30 Network Data Carving Sniffer kullanarak kaydedilmiş ikili(binary) dosyalardan(.pcap formatında veya farklı formatlarda) orjinal veri elde etmek Akan ağ trafiği üzerinde belirli şartlara göre izleme yapma Echelon mantığı Günümüzdeki DLP sistemlerinin atası sayılabilir Iki uç haberleşirken aradaki dinleme sistemleri iki uç ne görüyorsa aynısını görebilir, dinleyebilir, kaydedebilir. Network forensic çalışmalarının temelini oluşturur

31 Örnek Uygulama:Eeye Iris 31

32 Örnek Uygulama

33 SSL Nasıl Alt Edilir? SSL güvenliğindeki en önemli bileşen sertifika otoritesidir. Sertifika otoritesi tek başına işe yaramaz, istemci yazılımları tarafından güvenilir olarak kabul edilmelidir. Dünya üzerindeki sertifika otoritelerinden birinin hacklenmesi ve sertifika üretim için kullanılan gizli anahtarın ele geçirilmesi tüm dünyadaki SSL kullanımını anlamsız kılabilir! İstisnalar mevcuttur. Güvenilir bir sertifika otoritesi tarafından onaylanmış sertifikalar hatasız işleme alınır.

34 Tunus Facebook Örneği

35 Tunus Sertifika Otoritesi Kullanımı Tunus hükümeti Detaylar için wikileaks belgeleri

36 Sorunu Kökten Çözen Ülke:İran

37 . Türkiye de Durum

38 Bilgi Güvenliği AKADEMİSİ

Benzer belgeler

Huzeyfe ÖNAL Bilgi Güvenliği AKADEMİSİ www.bga.com.tr TwiZer: @bgasecurity/@huzeyfeonal

SSL, DPI Kavramları Eşliğinde Internet Trafiği İzleme ve Karşı Güvenlik Önlemleri Huzeyfe ÖNAL Bilgi Güvenliği AKADEMİSİ www.bga.com.tr TwiZer: @bgasecurity/@huzeyfeonal CypSec 14 siber Güvenlik Konferansı