Siber Dünyada İzleme ve Takip Huzeyfe ÖNAL Bilgi Güvenliği AKADEMİSİ www.bga.com.tr Twitter: @bgakademisi/@huzeyfeonal
Huzeyfe ÖNAL Bilgi Güvenliği Danışmanı & Ağ Güvenliği Araştırmacısı @BGA Penetration Tester Güvenlik Eğitmeni www.bga.com.tr Blogger www.lifeoverip.net
Amaç Siber dünyanın sadece bir eğlence aracı değil, dünyanın gidişatını değiştirecek, yeni bir düzenin kurulumundaki önemli oyunculardan biri olduğu göstermek ve bu kadar önemli bir yapının başıboş bırakılamayacağının anlaşılması. Internet ortamında yasal/illegal izlemeler nasıl gerçekleştirilir, nasıl korunulur.
Önce korunmak için teknoloji üretirsiniz, sonra düşmanlarınız o teknolojiyi kullanır, geliştirdiğiniz teknoloji ile savaşa başlamak zorunda kalır
Yeni Dünya Düzeni ve Siber Güvenlik
Internet Nasıl Çalışır? Internet, temeli 1970 li yıllarda atılmış askeri bir protokol olan TCP/IP üzerinde çalışır.
Internet te Gizlilik Internet ortamında gizlilik (iletişim için) temelde iki şekilde gerçekleştirilir. İletişim protokollerini güvenli şifreli- hale getirerek gizlilik. İletişim protokollerinden bağımsız olarak sadece içeriği özel araçlarla her iki taraf da aynı şifreleme kullanmalı- şifreleyerek gizleme İkinci yöntem daha güvenli kabul edilmektedir.
HTTPS/SSL/TLS Güvensiz protokollere şifreleme desteği verme amaçlı geliştirilmiş ara katman protokolleridir. HTTPS=TLS+HTTP veya SSL+HTTP Birbirleri yerine kullanılsada temelde farklı protokollerdir HTTPS/TLS/SSL sadece iletişimde veri gizliliği sağlar, hedef sistemin güvenlik zaafiyetlerine karşı ek bir koruma sağlamaz
SSL Secure Sockets Layer (SSL) Temelleri Netscape firması tarafından 1994 yılında atılan SSL aynı yılda ticari olarak piyasaya sürüldü ve bir sonraki yıl IETF tarafından standart olarak Kabul edildi. Aslında standartın asıl ismi TLS olmasına rağmen genellikle SSL kullanımı tercih edilmektedir. Ilk zamanlar sadece HTTP trafiğini şifreleme amaçlı geliştirilmiş olsa da günümüzde TCP, UDP tabanlı tüm servisleri şifreleme amaçlı kullanılmakta.
HTTPS WEB trafiğinde şifreleme sağlama amaçlı geliştirilmiş protokol HTTP+TLS veya HTTP+SSL
Sertifika Otoritesi PKI altyapısının dayandığı en temel güvenlik bileşeni Sertifika otoritesi SSL kavramının günümüzde güvenilir olarak kabul edilmesi ve yaygınlaşmasındaki en önemli rollerden birine sahiptir. SSL in güvenliğinde sertifika otoritesi tüm gücü elinde bulundurur. Sertifika otoritesinde yaşanacak bir güvenlik problemi sadece o sertifika otoritesini kullanan değil, tüm SSL kullanıcılarını etkileyebilir. Diginotar olayı
En önemli kurumlardır Sertifika Otoriteleri Sertifika otoritesinin ele geçirilmesi o otorite tarafından onaylanan tüm sertifikaları güvensiz hale getirir.
10 Puanlık Altın Soru Kaçımız yeni aldığı bilgisayarında, tabletinde, mobil cihazında yüklü olan güvenilir olarak kabul edilmiş sertifika otoritelerini(ca) kontrol etti?
HTTPS Trafiğinde Araya Girme SSL bağlantılarında araya girme fikri ilk bakışta zor hatta imkansız gibi görülse de gerekli şartlar oluşturulduğunda oldukça kolay başarılabilmektedir Gerekli Şartlar: İlk olarak hedef sistemin trafiği APR ile bizim üzerimiden geçecek şekilde kandırılmalıdır. Hedef sistemin iletişim kurmak istediği HTTPS sayfasına ait sertifika bilgileri ile sahte bir sertifika oluşturulmalıdır. Sahte oluşturulan bu sertifika tüm modern browserlarda kullanıcıya uyarı verecektir. Bazı browserlar bu uyarıyı oldukça kullanıcı yanlısı (rahatsız etmeyici yumusak bir mesaj) bazıları da oldukça rahatsız edici ve problemi belirtici uyarılarla gösterirler. 14
HTTPS MITM Uyarıları Firefox Internet Explorer 7
İzle(n)meye Karşı Önlemler Çoğu popüler web hizmeti tüm trafiği şifreleyecek şekilde SSL hizmeti sunmaya başlamıştır. Öncüsü Google Facebook Hotmail Twitter Hotmail
Twitter Şifreleme Kanalı (SSL) Desteği
Facebook Şifreleme Kanalı (SSL) Desteği
Gmail Şifreleme Kanalı (SSL) Desteği Gmail SSL e geçiş serüveninin öncülerinden
Hotmail Şifreleme Kanalı (SSL) Desteği Öntanımlı olarak SSL açık gelmiyor
Internet İzleme Sistemleri Basite indirgersek ağ trafiği analiz araçları Sniffer: tcpdump, Wireshark, Snort, Ngrep Sniffing sistemlerinin işe yaraması için akan trafiğin clear text olması gerekir. Şifreli trafik izlenebilir fakat anlmalı bir bilgi edinilemez.
Yasal İzleme/Lawful Interception Kanunlar çerçevesinde yapılan izleme Genellikle ISP seviyesi izleme gerçekleştirilir. Bazı durumlarda son kullanıcı bilgisayarına zararlı yazılım yükleyerek gerçekleştirildiği de olmuştur.
Yasal Olmayan İzleme
Yasal Olmayan İzleme Tunus Gmail Örneği
Paket Başlık Bilgileri Mektup zarf ilişkisi Amaç mektubu meraklı gözlerden Koruyarak hedefe iletilmesini sağlamak. Zarf=header=başlık bilgisi Paketin nereye gideceğini belirler. Mektup=payload=gerçek veri Taşımak istediğimiz veri. Her protokolün header kısmı ve Payload kısmı farklı olabilir. Firewall->Header IPS- >Payload
Deep Packet Inspection DPI=Derinlemesine Paket Analizi Paketin ötesinde taşınan protokole ait başlık+gövde(hader+payload) bilgilerini detaylıca incelemeye tabi tutularak paket üzerinde gerekli işlemlerin yapılması Sadece XYZ protokolünde içerisinde ABC geçen paketleri yakala Facebook ta ABC oyununu bu ay tüm abonelere ücretsiz kullanım hakkı ver.
DPI(Deep Packet Inspection) Örneği Hatalı IPS Kuralı alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (\ msg:"et P2P ABC Torrent User-Agent (ABC/ABC-3.1.0)"; \ flow:to_server,established; \ content:"user-agent\: ABC/ABC"; nocase; \ sid:2003475;) Doğru IPS Kuralı alert http $HOME_NET any -> $EXTERNAL_NET any (\ msg:"et P2P ABC Torrent User-Agent (ABC/ABC-3.1.0)"; \ header.useragent:"abc/abc"; \ sid:2003475;)
DPI Kullanım Amaçları Yasal dinleme - lawful intercept, Trafik İzleme, QoS (Hizmet Kalitesi) Güvencesi, Özelleştirilmiş Fiyatlandırma & Faturalandırma, Internet Trafiği Paylaşımı (Peering) Kontrolü, Güvenlik (IPS, DLP)
Data Carving Ham veriden orijinal veri elde etme yöntemi Sniffer 1010101 1010101 0101010 1010101 0101010 101 Data Carving
Network Data Carving Sniffer kullanarak kaydedilmiş ikili(binary) dosyalardan(.pcap formatında veya farklı formatlarda) orjinal veri elde etmek Akan ağ trafiği üzerinde belirli şartlara göre izleme yapma Echelon mantığı Günümüzdeki DLP sistemlerinin atası sayılabilir Iki uç haberleşirken aradaki dinleme sistemleri iki uç ne görüyorsa aynısını görebilir, dinleyebilir, kaydedebilir. Network forensic çalışmalarının temelini oluşturur
Örnek Uygulama:Eeye Iris 31
Örnek Uygulama
SSL Nasıl Alt Edilir? SSL güvenliğindeki en önemli bileşen sertifika otoritesidir. Sertifika otoritesi tek başına işe yaramaz, istemci yazılımları tarafından güvenilir olarak kabul edilmelidir. Dünya üzerindeki sertifika otoritelerinden birinin hacklenmesi ve sertifika üretim için kullanılan gizli anahtarın ele geçirilmesi tüm dünyadaki SSL kullanımını anlamsız kılabilir! İstisnalar mevcuttur. Güvenilir bir sertifika otoritesi tarafından onaylanmış sertifikalar hatasız işleme alınır.
Tunus Facebook Örneği
Tunus Sertifika Otoritesi Kullanımı Tunus hükümeti Detaylar için wikileaks belgeleri
Sorunu Kökten Çözen Ülke:İran
. Türkiye de Durum
Bilgi Güvenliği AKADEMİSİ