TSE AÇIKLIK BİLDİRİM PROGRAMI

Transkript

1 TSE AÇIKLIK BİLDİRİM PROGRAMI

2 İçindekiler 1 Giriş Amaç Kapsam Terim ve Tarifler Kısaltmalar Uygulama Aşama 1: Açıklık Bildirimi ve Açıklık Toplama Bilinen (resmi veya özel) ve güvenilen kaynaklardan açıklıkların toplanması Açıklıkların TSE ye doğrudan bildirilmesi TSE Açıklık Bildirim Programlarına Açıklık Bildirimi Motivasyonları Aşama 2: Analiz ve Karar verme Aşama 3: İşleme Kodlama Dönüştürme Eşleştirme Düzeltme Aşaması Aşama 4 : Yayınlama Aşaması Aşama 5: Açıklıkların Tadili ve Veritabanından Silinmesi Tadil Aşaması Açıklıkların veritabanından silinmesi... 5 Kaynaklar... Hata! Yer işareti tanımlanmamış. EK A... 5 Açıklıkların kritiklik seviyeleri... 6 EK B... 7 Açıklık Yayınlama Formatı

3 TSE AÇIKLIK BİLDİRİM PROGRAMI 1 Giriş Günümüzde siber saldırılar ile sistemlerin ve uygulamaların ele geçirilmesinin ve bu sistem ve uygulamalardan bilgi sızdırılmasının en temel sebebi bu sistem ve uygulamalarda bulunan açıklıklardır. Bu açıklıklar, tasarım hatalarından, kodlama hatalarından veya yapılandırma hatalarından kaynaklanıyor olabilir. Saldırganlar bu açıklıkları kullanarak sistem ve uygulamaları ele geçirirler. Sistem ve uygulamalarda açıklıkların bulunması, dinamik değişen sistem ve uygulamalarda çoğu zaman kaçınılmazdır. Açıklıkların kullanılmasını engellemenin en etkin yollarından biri ise bunları saldırganlardan önce tespit etmek ve kapatılmasına yönelik gerekli tedbirleri almaktır. Bu tedbirlerden bir tanesi ise Ulusal Açıklık Veri Tabanı nın oluşturularak, açıklıkların toplanması, tasnif edilmesi ve yayınlanmasıdır. Bu şekilde açıklıklar ile ilgili olarak genel bir bilgilendirme yapılmış olacak ve üreticiler ve kullanıcılar tarafından açıklıkların kapatılmasına yönelik gerekli tedbirlerin alınması sağlanacaktır. 2 Amaç Bu programın temel amacı TSE bünyesinde bir Ulusal Açıklık Veri Tabanı oluşturulmasına yönelik yöntemleri ve işlemleri tanımlamak, bu program kapsamında genel kullanımda olan ulusal BT ürünlerinde keşfedilen açıklıkların TSE nin Açıklık bildirim programına ne şekilde bildirileceğini, TSE tarafından ne şekilde işleneceğini ve yayınlanacağının düzenlenmesidir. 3 Kapsam Bu program, Ulusal açıklık Veri Tabanı nın oluşturulması ve ulusal ve uluslararası olarak keşfedilen açıklıkları ve bunların programa bildirilmesi, tasnif edilmesi, düzenlenmesi ve yayınlanmasına dair hususları kapsar. 4 Terim ve Tarifler Açıklık (Vulnerability): Bir saldırganın olumsuz bir etki veya sonuca sebep olmak amacıyla doğrudan kullanabileceği yazılım hatası. Açıklık Bildirim Programı: TSE tarafından yayınlanan açıklıkların toplanması ve işlenmesine yönelik program. Açıklık Portalı: TSE tarafından açıklıkların toplanacağı ve yayınlanacağı web portalı. Açıklık Veritabanı: Açıklıkların tasnif edilmiş olarak tutulduğu ve yayınlandığı ortam. İstismar (Exploit): Bir açıklığı kullanmak üzere geliştirilen kod parçası. Kırılganlık (Exposure) : Bir saldırgan tarafından bir sistem veya ağ a yetkisiz erişim için kullanılan sistem yapılandırması veya yazılımdaki zayıflık. Zero day : 0.cı Gün Açıklığı(Zero Day):Üretici tarafından bilinmeyen veya biliniyorsa da üretici tarafından halen herhangi bir önlem alınamayan açıklıklardır. 1

4 5 Kısaltmalar BT : Bilişim teknolojileri CVE SOME TSE : Common Vulnerabilities and Exposures : Siber olaylara müdahale ekibi : Türk Standardları Enstitüsü 6 Uygulama 6.1 Aşama 1: Açıklık Bildirimi ve Açıklık Toplama TSE Açıklık bildirim programı kapsamında açıklıkların toplanması iki şekilde yapılır: Bilinen (resmi veya özel) ve güvenilen kaynaklardan açıklıkların toplanması Hâlihazırda uluslararası olarak açıklıkları tasnif eden ve yayınlayan belirli sayıda açıklık programı bulunmaktadır. Bu programların kendilerine göre açıklık tasnifi ve yayınlama yöntemleri bulunmaktadır. Açıklık programı hazırlanırken diğer yayınlanmış olan programlardan yararlanılmış fakat açıklıklar tasnif edilirken bu programa özgün bir yöntem kullanılmıştır. Buna göre mevcut açıklık veritabanları işlenerek TSE formatına uygun hale getirilecek ve belirli kriterlere göre tasnif edilerek sınıflandırılacaktır. Buna dair detaylar ilerleyen bölümlerde verilmiştir. TSE Açıklık veritabanı, bilinen (resmi veya özel) ve güvenilen kaynaklardan toplanan açıklıklar ve bilinmeyen ve ilk defa keşfedilmiş olan açıklıklar temelinde oluşturulmakta ve bu açıklıkların derecelendirilmesinde TSE Ulusal hassasiyet parametresi kullanılmaktadır. Ulusal hassasiyet parametresi ise aşağıdaki metrikler ve formülasyon kullanılarak belirlenir: Ulusal hassasiyet parametresi = Kritiklik parametresi x Yaygınlık parametresi Yaygınlık parametresi: Ülkemizde yaygın kullanılan BT ürünlerine göre sınıflandırılarak yayınlanmaktadır. (Anketler vb. girdilerden gelebilir). Risk parametresi : (Zero day TSE belirler. ) İstismar kolaylığı parametresi: Açıklığın ne kadar kolay istismar edilebildiğinin seviyesi. (CVSS calculator puanlaması kullanılacaktır) Açıklıkların TSE ye doğrudan bildirilmesi TSE ye doğrudan yapılan açıklık bildirimleri, daha önce yayınlanmamış olan (Zero day) açıklıkların ilk olarak TSE ye bildirilmesi şeklinde gerçekleştirilir. Doğrudan açıklık bildirimleri TSE nin adresinde yer alan Açıklık bildirim formu üzerinden yapılır. Bu formda ilgili alanlar doldurulduktan sonra açıklık TSE ye bildirilir. Açıklık bildirimi ardından bu 2

5 dokümanda yer alan diğer aşamalar izlendikten sonra açıklık uygun formata getirilerek ve belirli kriterlere göre tasnif edilerek sınıflandırılır. TSE açıklık bildirim portalı üzerinde yayınlanır TSE Açıklık Bildirim Programlarına Açıklık Bildirimi Motivasyonları a.) Milli menfaatler ve Siber Güvenlik kapasitesine katkı sağlamak: Yazılım ve uygulama açıklıkları günümüzde Siber savaşlarda kullanılabilmektedir. Bu noktada 0.cı gün açıklıkları kritik öneme sahiptir. Bu program ile bu tür açıklıkların öncelikle ülkemizde kurulu olan kamu ve özel sektör SOME lerine bildirilerek öncelikli olarak önlem almalarının sağlanması hedeflenmektedir. Bu nedenle bu tür açıklıkların TSE Açıklık bildirim programına bildirilmesi tercih edilmelidir. b.) Taltif ve ödüllendirme programı kapsamında ödüllendirme: TSE yapılan açıklık bildirimlerinde bildirimi yapan kişinin istemesi halinde Adı Soyadı ve Kısa özgeçmişi Açıklık Portalında yayınlanacaktır. Ayrıca yapılan bildirimler de puanlanacak ve kişi bazında puan durumu portalden yayınlanacaktır. c.) Sızma Testi Hizmeti Veren Personel Ve Firmalar İçin Yetkilendirme Programı şartlarını karşılamak: TSE tarafından yayınlanan Sızma testi hizmeti veren personel ve firmalar için şartlar standardında Kıdemli Sızma testi uzmanı olma şartlarından biri de Açıklık bildirmiş olmaktır. TSE Açıklık bildirim programına açıklık bildirimi yapmak ile bu şartlardan biri sağlanmış olacaktır. d.) Diğer avantajlar : o Açıklık bildiriminde bulunan kişinin keşfinin yayınlanmadan önce doğrulanması. o Açıklık bildiriminde bulunan kişinin keşfinin tüm detayları ile birlikte TSE açıklık bildirim portalında ve diğer saygın web sitelerinde yayınlanması. Açıklık bildiriminde bulunan kişi tarafından yayınlanan bilgilerin diğer okuyucular nezdinde güvence temin edilmesi. 6.2 Aşama 2: Analiz ve Karar verme Bilinen (resmi veya özel) ve güvenilen kaynaklardan toplanan açıklıklar önceden onaylı olduğu için bunların analiz edilmesinde detaylı bir çalışma yapılmayacaktır. Sadece bu açıklıklar arasında bir sınıflandırma yapılacak ve gerekli görülen açıklıklar veritabanına eklenecektir. Bu açıklıklar işlendikten sonra TSE açıklık veritabanına kaydedilirler. TSE ye doğrudan bildirilen açıklıklar ise öncelikle asgari seviyede kayıtlı sızma testi uzmanı olan personel tarafından incelenir ve analiz edilir. Sonrasında ise Yazılım Test ve Belgelendirme Daire Başkanlığı tarafından karara bağlanır. Analiz işlemi, bildirilen açıklığın TSE güvenlik uzmanlarınca test edilmesi ve teyit edilmesi şeklinde yapılır. Test ve Teyit işlemleri gerçekleştirilirken Açıklık Test Talimatı na uygun hareket edilir. 3

6 6.3 Aşama 3: İşleme Kodlama Kodlama süreci potansiyel bir açıklığın tespit edilmesi ile başlar. Potansiyel bir açıklığın tespit edilmesinden sonra ilk olarak açıklığa geçici bir açıklık kimlik numarası (açıklık ID si) atanır. Tespit edilen bu açıklığın gerçekten bir açıklık olduğu tespit edildikten sonra nihai numara atanır, TSE nin Ulusal Açıklık Veri Tabanı na kaydı yapılır ve sitesinde yayınlanır. Açıklık Kimlik Numarasının atanması: Açıklık Kimlik Numarasının atanması aşağıdaki kodlama düzenine göre gerçekleştirilir. ACKLK-YIL-KRİTİKLİK_SEVİYESİ-SIRA_NO (TSE AÇIKLIK yılında yayınlanmış-geçici açıklık numarası-0.cı gün- ACKLK-2015-G-0001 sıra no) ACKLK-2015-A-0001 sıra no) (TSE AÇIKLIK yılında yayınlanmış-a seviye kritikliğe sahip-0.cı gün- Açıklığın bir CVE kodu olması halinde Açıklık Kimlik numarası bu koddan türetilir. CVE kodu olduğu belirtmek için kritiklik seviyesi olarak Y (Yabancı) kullanılır. Bu durumda, örneğin, CVE koduna sahip bir açıklık ACKLK-2015-Y-0001 numarası ile Ulusal Açıklık Veri Tabanı na eklenir. Kritik seviyelerinin belirlenmesi ile ilgili hususlar Ek A da verilmektedir Dönüştürme Potansiyel bir açıklık tespit edildikten ve bilgi güvenliği açıklığı oluşturduğu doğrulandıktan sonra TSE Bilgi Güvenliği İnceleme Ekibi tarafından uygun bir formata dönüştürülmesi sağlanır. Buradaki formatlamanın amacı, veri tabanında farklı etkileri ve farklı zafiyet oranları olabilen birçok güvenlik açığı bulunabileceğinden ve bu açıklıkların internet sayfasında yayınlandıktan sonra birçok farklı kişi tarafından okunabileceğinden dolayı standartlaştırılmış bir formatta sunulmasının fayda getireceği kanaatidir. Söz konusu açıklık formatı Ek B da verilmiştir Eşleştirme Bir bilgi güvenliği açıklığı tespit edildikten ve sonrasında bir açıklık kimlik numarası atandıktan sonra yapılması gereken işlem, benzer güvenlik açıklıklarının gruplandırılmasıdır. Buradaki gruplandırmanın amacı, aynı ürünleri etkileme potansiyeline sahip açıklıkları aynı kategori altına toplamak, anahtar kelimelere göre açıklık grupları oluşturmak, aynı kişi/kurum tarafından tespit edilen açıklıkları belirleyebilmek vb. olarak açıklanabilir. Bu bağlamda dönüştürme aşamasında geliştirilen ve örnek formatı Ek B da verilmiş olan Açıklık Yayınlama Formatı ndaki alanlardan yararlanılabilir. Burada bahsedilen eşleştirmenin her zaman yüksek performanslı sonuçlar üretemeyebileceği unutulmamalıdır. 4

7 6.3.4 Düzeltme Aşaması Temelde açıkların tanımlanması ve benzer açıklıkların gruplandırılması işlemi sonrasında veritabanında aynı açıklığın birden fazla kez yer alıp almadığının kontrol edilmesi gerekir. Farklı kişi/kurumlar tarafından tespit edilen açıklıklar, aynı açıklık olabileceği gibi hem işlevsellik hem de zafiyet bakımından birbirine çok yakın açıklıklar da olabilir. Aynı açıklığın birden fazla kez veritabanında yer aldığının tespit edilmesi durumunda birbirini tekrarlayan kayıtlar veritabanından çıkarılmalıdır. Benzer açıklıkların tespit edilmesi durumunda ise söz konusu açıklıklar birleştirilerek genişletilmiş bir açıklık tanımı hazırlamak suretiyle veritabanında yayınlanması sağlanmalıdır. Yine düzeltme aşamasında Açıklama Yayınlama Formatı nın kullanılması önerilmektedir. 6.4 Aşama 4: Yayınlama Aşaması Daha önceden tespit edilen bilgi güvenliği açıklığı, açıklık veritabanına eklenir ve TSE Açıklık Veri Tabanı İnternet Sitesi nde yayınlanır. 6.5 Aşama 5: Açıklıkların Tadili ve Veri tabanından Silinmesi Tadil Aşaması Tespit edilen açıklığın zaman zaman tadil edilmesi (örneğin açıklama alanının güncellenmesi, referans eklenmesi, etkileyebileceği uygulamaların değişebilmesi, vb) gerekebilir. Böyle bir ihtiyaç durumunda ilgili değişiklikler kayıt edilerek güncel sürüm Açıklık Veritabanında yayınlanır Açıklıkların Veritabanından silinmesi Yayınlanmış bir açıklığın veritabanından silinmesi için birkaç gerekçe söz konusu olabilir. Bu gerekçelere örnek olarak aşağıdaki hususlar verilebilir: o o Açıklığın, veritabanında yayınlanmış başka bir açıklıkla aynı olduğunun tespit edilmesi, Detaylı yapılan incelemelerde kaydın herhangi bir güvenlik açığı oluşturmadığının tespit edilmesi Yukarıda bahsedilen hususlardan birinin ortaya çıktığı durumda, ilgili açıklık veritabanından silinir. Ancak bu durumda ilgili açıklığın neden silindiği, açıklık kimlik numarasının karşısında yazılmalı ve bu kayıtlar düzenli olarak tutulmalıdır. Silinen açıklığa ait Açıklık Numarası başka bir açıklığa atanmaz. 5

8 EK A Açıklıkların kritiklik seviyeleri SEVİYE A: Ulusal düzeyde yaygın olarak kullanılan yazılımları etkileyebilen, risk seviyesi yüksek, istismar edilebilme olasılığı yüksek açıklıklara atanan kritiklik seviyesi. SEVİYE B: Ulusal düzeyde yaygın olarak kullanılan yazılımları etkileyebilen, risk seviyesi yüksek, istismar edilebilme olasılığı daha düşük açıklıklara atanan kritiklik seviyesi. SEVİYE C: Ulusal düzeyde orta düzeyde yaygın olarak kullanılan yazılımları etkileyebilen, risk seviyesi orta seviyede olan, istismar edilebilme olasılığı daha yüksek açıklıklara atanan kritiklik seviyesi. SEVİYE D: Ulusal düzeyde orta düzeyde yaygın olarak kullanılan yazılımları etkileyebilen, risk seviyesi düşük olan, istismar edilebilme olasılığı düşük olan açıklıklara atanan kritiklik seviyesi. SEVİYE E: Ulusal düzeyde düşük düzeyde yaygın olarak kullanılan yazılımları etkileyebilen, risk seviyesi düşük olan, istismar edilebilme olasılığı düşük olan açıklıklara atanan kritiklik seviyesi. SEVİYE G: Geçici olarak atanmış ve TSE nin değerlendirme süreci boyunca kullanılacak bir numara olduğunu belirtir. Test aşamalarının sonunda TSE nin verdiği karar uygun olarak ilgili kritiklik seviyesi belirlenerek o seviyenin kodu ile değiştirilir. SEVİYE Y: Bir CVE kodu olduğunu belirtir. Örneğin CVE kodu CVE olan bir açıklık ACKLK-2015-Y-0001 kodu ile Ulusal veri tabanına kaydedilir. 6

9 EK B Açıklık Yayınlama Formatı Açıklık Kimlik Numarası Açıklığın Tespit Edildiği Tarih Açıklık Risk Seviyesi Açıklığın Etkileyebileceği Yazılımlar Açıklık Tespitini Gerçekleştiren Kişi/Kurum Kaynaklar Açıklığı Onaylayan/Yayınlayan Kişi 7