Ülkemizdeki Üniversite Web Sayfalarının Siber Güvenlik Açısından Hızlı Bir Değerlendirmesi



Benzer belgeler
Ülkemizdeki Üniversite Web Sayfalarının Siber Güvenlik Açısından Hızlı Bir Değerlendirmesi

ORTA DOĞU TEKNİK ÜNİVERSİTESİ BİLGİ İŞLEM DAİRE BAŞKANLIĞI. Güvenlik ve Virüsler. ODTÜ BİDB İbrahim Çalışır, Ozan Tuğluk, Cengiz Acartürk

Kurumsal Ağlarda Web Sistem Güvenliği

Atılım Üniversitesi Bilgi & Đletişim Teknolojileri Müdürlüğü Bilgi Güvenliği ve Ağ Yönetim Uzmanı Görev Tanımı

İçDen Kamu İç Denetim Yazılımı. Euphoria Aegean Resort Hotel Seferihisar / İzmir /88

CELAL BAYAR ÜNİVERSİTESİ KÜTÜPHANE VERİTABANLARINA ÜNİVERSİTE DIŞINDAN ERİŞİM

SAMURAİ FRAMEWORK İLE HACKİNG-1 (FOOTPRINTING)

Saldırgan Yaklaşımı. Nebi Şenol YILMAZ Danışman / Yönetici Ortak senol.yilmaz@secrove.com. Secrove Information Security Consulting

Özgür ve Açık Kaynak Kodlu Yazılımlar Kullanılarak Merkezi Servisler Nasıl Verilebilir?

Web Uygulama Saldırıları ve Klasik Çözümlerin Yetersizliği

Atılım Üniversitesi Bilgi & Đletişim Teknolojileri Müdürlüğü Sistem Yönetim Uzman Yardımcısı Görev Tanımı

BAŞVURUDA İSTENİLEN BELGELER

01 Şirket Profili

Internet te Veri Güvenliği

Sızma Testlerinde İleri Düzey Teknikler. Ozan UÇAR

Atılım Üniversitesi Bilgi & Đletişim Teknolojileri Müdürlüğü Sistem Yönetim Uzmanı Görev Tanımı

Internet te Veri Güvenliği

Yerel Ağlarda Port 139 ve Saldırı Yöntemi

ERİŞİM ENGELLEME DOS VE DDOS:

Sisteminiz Artık Daha Güvenli ve Sorunsuz...

Sızma Testlerinde İleri Düzey Teknikler. Ozan UÇAR

(Bilgisayar ağlarının birbirine bağlanarak büyük bir ağ oluşturmasıdır)

SÜRE BAŞLAMA TARİHİ : 19/12/2018 BİTİŞ TARİHİ : 20/02/2019 KURS SÜRESİ : 144 Saat KURS NO :

aselsan Güvenli Bilgi Paylaşımı ve SAHAB aselsan Ali YAZICI Türk Silahlı Kuvvetlerini Güçlendirme Vakfı nın bir AZERBAYCAN-Temmuz kuruluşudur.

Birbirine bağlı milyarlarca bilgisayar sisteminin oluşturduğu, dünya çapında bir iletişim ağıdır.

HAZIRLAYAN BEDRİ SERTKAYA Sistem Uzmanı CEH EĞİTMENİ

Güvenli İnternet Teknolojileri. Kurumsal Şirket Tanıtımı

BİLGİSAYAR VE AĞ GÜVENLİĞİ

KURUMSAL SİBERGÜVENLİK: Açık Kaynak İstihbaratı ve Sosyal Medya Riski. Muhammer KARAMAN, Hayrettin ÇATALKAYA

5651 ve 5070 Sayılı Kanun Tanımlar Yükümlülükler ve Sorumluluklar Logix v2.3 Firewall. Rekare Bilgi Teknolojileri

Bilgi Güvenliği Açısından Sızma Testlerinin Önemi

Ağ Topolojisi ve Ağ Yazılımları

Zararlı Kodlar& Analiz Temelleri ve Bir Saldırının Anatomisi

Şekilden daha iyi anlaşılacağı gibi kırmızı veriler zararlı olup ateşi ifade ediyorlar. Ortadaki ateş duvarı da zararlı içeriği tanımlayıp ateşin

CSRF (XSRF, Cross Site Request Forgery Cross Site Reference Forgery ) Nedir? Nasıl Kullanılır? ve Nasıl Korunulur?

YAZILIM GÜVENLİK TESTLERİ. H A L D U N T E R A M A N h a l d u n t e r a m a g m a i l. c o m

WAMP SERVER KURULUMU

5651 Sayılı Kanun Hakkında Kanunla ilgili detay bilgiler

Bilgi Güvenliği Eğitim/Öğretimi

Siber Savunma. SG 507Siber Savaşlar Güz 2014 Yrd. Doç. Dr. Ferhat Dikbıyık

BATMAN ÜNİVERSİTESİ BİLGİ İŞLEM DAİRE BAŞKANLIĞI HİZMET ENVANTERİ TABLOSU

HAVELSAN Siber Güvenlik Akademisi. Önlenemiyorsa Korunmak için Eğitim

HAZIRLAYAN BEDRİ SERTKAYA Sistem Uzmanı CEH EĞİTMENİ

KAMU İÇ DENETİM YAZILIMI KULLANICI EĞİTİMİ

Labris LBR-S Labris LBR-S4-100A YILI DEVLET MALZEME OFİSİ ÜRÜN KATALOĞU Labris Güvenlik Programlar

Raptadmin 1.x.x Sürümleri için Kullanım Klavuzu

Dünyanın bilgisine açılan pencere... Ya da sadece yeni çağın eğlencesi...

Venatron Enterprise Security Services W: P: M:

Devletin Kısayolu: e-devlet Kapısı Tuğan AVCIOĞLU e-devlet ve Bilgi Toplumu

BİLGİ İŞLEM DAİRE BAŞKANLIĞI İŞ TANIMLARI SIRA NO ADI SOYADI GÖREV TANIMLARI

Ağ Sızma Testleri ve 2. Katman Saldırıları Türk Standardları Enstitüsü Yazılım Test ve Belgelendirme Dairesi Başkanlığı

Asiston Hizmetleri Bilgilendirme Kitapçığı

Adım Adım Kılavuzu. 1. Adım. 2. Adım. 3. Adım. 4. Adım. 5. Adım. 6. Adım

WebSiteDefender ile Web Uygulama Güvenliği

Web Application Penetration Test Report

Linux Temelli Zararlı Yazılımların Bulaşma Teknikleri, Engellenmesi ve Temizlenmesi

ÖRÜN (WEB) GÜVENLİĞİ. Hazırlayan: Arda Balkanay

Ağ Temelleri. Murat Ozdemir Ondokuz Mayıs Üniversitesi Bilgi İşlem Daire Başkanı 15 Ocak Ref: HNet.23

4. Sunucu ayarları veya ek sunucu türlerinı manüel olarak yapılandır'a tıklayın ve İleri'yi tıklayın.

Güvenlik Duvarı ve İçerik Filtreleme Sistemlerini Atlatma Yöntemleri. Huzeyfe ÖNAL Bilgi Güvenliği AKADEMİSİ

Bilgi Güvenliği Denetim Sürecinde Özgür Yazılımlar. Fatih Özavcı Bilgi Güvenliği Danışmanı

Google Hacking. Gelişmiş Google Operatörleri

Armitage Nedir? Kullanım Öncesi

Üst Düzey Programlama

RSA. Güvenlikte Büyük Veri Yaklaşımları, Teknolojiler ve Operasyon Modeli. Vedat Finz. Copyright 2012 EMC Corporation. All rights reserved.

Aktarımı Çalıştırmak/Geri Almak 146 Alan Seçenekleri 148 Veri Tabanı Şeması 150 Veri Tabanı ile İlgili Bazı Rake Görevleri 162 Modeller 164

1. AMAÇ Bu Prosedürün amacı, Aksaray Üniversitesi bünyesinde yürütülen bilgi işlem hizmetlerinin yürütülmesi ile ilgili esasları belirlemektir.

Ağ Trafik ve Forensik Analizi

BONASUS. Ertuğrul AKBAS [ANET YAZILIM]

Türkiye de Güvenli İnternet ve Uygulamaları

Siber Güvenlik Basın Buluşması. C.Müjdat Altay 15 Haziran 2015

Temel Bilgi Teknolojileri I

ZAFİYET TESPİTİ VE SIZMA YÖNTEMLERİ. Eyüp ÇELİK Bilgi Teknolojileri Güvenlik Uzmanı

Yerel Okul Sunucusu Uygulama Yazılımları Prototipi

Gökhan AKIN. ĐTÜ/BĐDB Ağ Grubu Başkanı ULAK-CSIRT Güvenlik Grubu Üyesi.

Bilgisayar Ağları ve Ağ Güvenliği DR. ÖĞR. ÜYESİ KENAN GENÇOL HİTİT ÜNİVERSİTESİ ELEKTRİK-ELEKTRONİK MÜH.

E-Mükellef Kontrol Programı Kullanım Kılavuzu

Firewall/IPS Güvenlik Testleri Eğitimi

Kurumsal Güvenlik ve Web Filtreleme

SİBER GÜVENLİK HİZMETLERİ VE ÜRÜNLERİ.

Bilgi güvenliği konusunda farkındalık yaratmak. Mobil cihazlardaki riskleri anlatmak. Mobil uygulamaların bilgi güvenliği açısından incelemek 2

GELİŞMİŞ SİBER SİLAHLAR VE TESPİT YÖNTEMLERİ. Bahtiyar BİRCAN Uzman Araştırmacı Siber Güvenlik Enstitüsü

Evrak Tarih ve Sayısı: 30/06/

PHP'ye Giriş Türkiye PHP Grubu - Linux Şenlikleri PHP Eğitim / Tanıtım Seminerleri Ankara, 11 Mayıs 2006 Hidayet Doğan <hdogan@hido.

BİLGİSAYAR VE AĞ GÜVENLİĞİ ÖĞR. GÖR. MUSTAFA ÇETİNKAYA DERS 2 > AĞ VE UYGULAMA GÜVENLİĞİ

BitTorrent İstemci Kullanımı

okulumuzdaki dersliğimizi. BT ekipmanları ile donatarak. eğitimde öğrenci ve öğretmenlerimiz için fırsatları artırma

VS-858(Veri Toplama Terminali)

SOSAM: SANAL ORTAM SAVUNMA MERKEZİ

Trickbot Zararlı Yazılımı İnceleme Raporu

İşletme ve Devreye Alma Planı Yerel Okul Sunucusu Uygulama Yazılımları Prototipi TRscaler Technology Solutions

Dünyada Veri Kaçağı ve Veri Kaçağı Önleme (DLP) Sistemleri Tahsin TÜRKÖZ Bilişim Sistemleri Güvenliği Grubu

Coslat Monitor (Raporcu)

Güvenlik Araçları. Savunmadan çok saldırı ya yönelik araçlar. Amaç, saldırganlardan önce sistemdeki açıkları ortaya çıkarıp gereken önlemleri almak.

Kurumsal Güvenlik ve Web Filtreleme

T.C. MEHMET AKİF ERSOY ÜNİVERSİTESİ BİLGİ İŞLEM DAİRE BAŞKANLIĞI AĞ VE SİSTEM ÇALIŞMA GRUBU İŞ TANIM ÇİZELGESİ

VS-A61. Parmak Okuma Cihazı VİZYOTEK

Berqnet Sürüm Notları Sürüm 4.1.0

Dünyanın bilgisine açılan pencere... Ya da sadece yeni çağın eğlencesi...

ORDU ÜNİVERSİTESİ BİLGİ İŞLEM DAİRESİ BAŞKANLIĞI HİZMET ENVANTERİ TABLOSU

Transkript:

Ülkemizdeki Üniversite Web Sayfalarının Siber Güvenlik Açısından Hızlı Bir Değerlendirmesi Kadriye HUYSAL ÖZGÖÇMEN kkhuysal[at]gmail.com Baran ÇELİK baran.celik[at]gmail.com Halil Özgür BAKTIR ozgur.baktir[at]gmail.com İstanbul Üniversitesi, FBE Enformatik

İçerik Siber Güvenlik, Bir Saldırının Anatomisi, Keşif Fazı, Çalışmanın Kapsamı ve Yöntemi, HTTP Parmak izi Taraması (HTTP Fingerprinting), E-posta Hasadı (E-mail Harvesting), Sonuç ve Öneriler. 2/15

Siber Güvenlik Ülkemizde Siber Güvenlik ve Ulusal Siber Güvenlik Stratejisi ve 2013-2014 Eylem Planı Eylem Planı dahilinde üniversitelerimizin rolü ve önemi Siber güvenlik konusunda yetkin personel yetiştirilmesi, Bilgi güvenliği farkındalığının artırılması, Siber güvenlik konusunda bilgi üretilmesi ve ürün geliştirilmesi 3/15

Bir Saldırının Anatomisi Hedef hakkında bilgi toplama, Güvenlik açıklarını bulma, Saldırma, sızma, ele geçirme, etkisiz kılma, zarar verme, Kötücül yazılım gizleme, arka kapı açma, İzleri temizleme, logları silme 4/15

Keşif Fazı Pasif Keşif Fazı Keşif Fazı (Reconnaissance) Pasif Keşif: Hedef yapılan işlemden habersiz Hedef ve Saldırgan arasında veri akışı yok (Google Aramaları, Whois Sorgusu, vb.) Yarı-Pasif Keşif: Hedef yapılan işlemden haberdar Hedef ve Saldırgan arasında olağan veri akışı var (HTTP Parmak izi taraması, vb.) Yarı Pasif Keşif Fazı Aktif Keşif Fazı Aktif Keşif: Hedef yapılan işlemden haberdar Hedef ve Saldırgan arasında olağandışı veri akışı var (NMAP Taraması, vb.) 5/15

Kapsam ve Yöntem Üniversite Ana Sayfalarının Web Adresleri Httprint programı ile HTTP Parmak izi Taraması Üniversite E-Posta Etki Alanları The Harvester Python Betiği ile E-Posta Hasadı 6/15

HTTP Parmak izi Taraması (HTTP Fingerprinting) HTTP parmak izi elde etme amacıyla tüm web sayfalarına HEAD metodu kullanılarak bağlantı gerçekleştirilmiş ve cevap başlığındaki temel parametreler incelenmiştir. 7/15

HTTP Parmak izi Taraması (HTTP Fingerprinting) Özellik Tespit Başarı Oranı Sunucu Türü 189 7 96.43% Sunucu Yazılım Sürümü 157 39 80.10% İşletim Sistemi Türü 149 47 76.02% Web Sunucu Türü httprint Parmak izi Tarama Tespit Sonucu İşletim Sistemi Türü Üniversite Sayısı Kullanım Oranı Belirlenemeyen 47 23,98% Microsoft Windows 90 45,92% Unix/Linux/BSD 59 30,10% Üniversitelerin ana sayfalarını barındıran sunucularda kullanılan işletim sistemi türü dağılımı Üniversite Sayısı Kullanım Oranı Belirlenemeyen 7 3,57% Apache 92 46,94% LiteSpeed 1 0,51% Microsoft-IIS 87 44,39% nginx 9 4,59% Üniversitelerin ana sayfalarını barındıran sunucularda kullanılan sunucu yazılım türü dağılımı 8/15

E-posta Hasadı (E-mail Harvesting) E-posta hasası sonucu üniversite tespit edilen e-posta sayısı grafiği (Maks:189, Min:1) 9/15

E-posta Hasadı (E-mail Harvesting) Kullanılan Betik, Google, Google kullanıcı profilleri (Google-profiles), Bing, PGP sunucuları, Linkedin, Shodan gibi farklı arama motorlarından ve sosyal paylaşım sitelerinden 217 farklı domainde toplam 6.236 tekil e-posta adresi toplayabilmiştir. Yapılan çalışmada YÖK veri tabanında kayıtlı olmayan 21 farklı domain tespit edilmiş olup bunların bazılarının veri tabanında yer almayan farklı üniversiteler, bazılarının ise veri tabanında kayıtlı üniversitelerin farklı biçimde yazılan domainleri olduğu görülmüştür. Kayıtlı domainlerden farklı biçimlerde de olsa tamamına ait en az bir adet e-postanın kamuya açık kaynaklar üzerinden erişilebilir olduğu görülmektedir. Ayrıca arama motorlarının sıralaması (ranking), betiği bot olarak algılaması ve erişilen web sayfaların anlık durumu değişebildiğinden betiğin çıktısı ve tespit edilen e-posta sayısı da zamana göre farklılık gösterebilmektedir. 10/15

Sonuç ve Öneriler İşletim sistemi ve sunucu yazılımında sıkılaştırma (hardening) İşletim sistemi ve sunucu yazılımı için güvenlik denetimleri (sızma testleri) Kapsamlı/detaylı güvenlik kontrol listelerinin/kılavuzlarının hazırlanması, paylaşılması ve sürekli olarak güncellenmesi E-posta adres biçimini @ işareti yerine [at],. yerine de [nokta] yazarak sıradan kullanıcıların anlayabileceği şekilde değiştirmek, E-posta adresini metin yerine resim biçimine dönüştürerek kullanmak, İletişim için E-posta adresi yerine iletişim formu kullanmak, JavaScript gibi bir betik dili kullanarak e-posta adreslerini farklı algoritmalar ile kodlayarak gizlemek, 11/15

Sonuç ve Öneriler E-posta adreslerini HTML karakter kod ve etiketleri kullanarak gizlemek, E-posta hasadı yapan robot yazılımları (bot), CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) kullanarak bertaraf etmek, E-posta hasadı amacıyla web sayfasını tarayan robot yazılımlardan (web spider/crawler) kaçınmak için tuzak web sayfaları (spider trap) kullanmak. Siber güvenlik farkındalığını arttırarak kullanıcıların e-posta adreslerini genele açık, güvensiz ortamlarda kullanmamalarını sağlamak, E-posta sunucularında varsayılan ayarların değiştirilerek (TCP port numaralarını değiştirmek, SSL kullanımını zorunlu kılmak vb.) e-posta hasadı gibi vakalara karşı dayanıklı hale getirilmesini sağlamak (hardening), 12/15

Sonuç ve Öneriler Saldırı Tespit ve Önleme Sistemleri (IDS/IPS), Güvenlik Duvarı (Firewall), İçerik Filtreleme (Content Filtering), AntiVirüs/AntiSpam gibi ağ geçidi (gateway) şeklinde konumlandırılabilen güvenlik cihazlarının/ürünlerinin doğru şekilde yapılandırılarak kullanılması, periyodik güvenlik denetimlerinin (penetration testing and auditing) yapılması, sistem loglarının sürekli ve sistematik şekilde gözlenmesi (log monitoring and analysis) de siber güvenliğin sağlanmasında katkı sağlayacaktır. Siber Güvenlik konusunda en zayıf halka insan olduğundan alınması gereken ilk ve en önemli önlem, idari yöneticiler, sistem yöneticileri ve son kullanıcılar gibi tüm seviyelerde kullanıcıların bilgi güvenliği farkındalığının oluşturulmasıdır. 13/15

Kaynaklar Resmi Gazete: http://www.resmigazete.gov.tr/eskiler/2013/06/20130620-1-1.pdf http://www.securitysift.com/passive-reconnaissance/ http://www.zone-h.org/archive/filter=1/domain=edu.tr/fulltext=1/page=1 http://www.yok.gov.tr/web/guest/universitelerimiz http://www.wikiwand.com/en/device_fingerprint Karaarslan, E., Tuglular, T., Sengonca, H., Does Network Awareness Make Difference In Intrusion Detection of Web Attacks, ICHIT 2006 http://isnoop.net/tools/obfuscate.php 14/15

Teşekkürler, Soru/Cevap 15/15

2024 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim