Bilişim Suçları D R. M U R A T G Ü N E Ş T A Ş E M N İ Y E T A M İ R İ E M N İ Y E T G E N E L M Ü D Ü R L Ü Ğ Ü B İ L İ Ş İ M S U Ç L A R I Y L A M Ü C A D E L E D A İ R E B A Ş K A N L I Ğ I
Sunu Planı Kavramlar Bilişim suçlarına genel bakış Mücadele Hukuki dayanak Organizasyon Önlemler İzlenimler Zaafiyetler Öneriler Suç Güvenlik döngüsü
Kavramlar Bilişim suçu modern teknolojileri (zaafiyetlerinden) hedef alan veya bu teknolojilerin hız, rahatlık, sınıraşan ve gizlilik imkanlarından faydalanarak işlenen suçlardır Bilişim sistemlerine karşı Bilgisayar veya bilgisayar ağları olmaksızın işlenemez Üst düzey bilgisayar ve network bilgisi gerektirir Üst düzey kapasite gizlenmeyi mümkün kılar Bilişim aracılığı ile işlenen suçlar Çok teknik kapasite gerektirmez Farklı motivasyonlar: dolandırıcılık, hırsızlık, terör,
Motivasyon Suç Dolandırıcılık, hırsızlık, vs. Savaş Rusya Estonya saldırısı İran nükleer santraline Stuxnet saldırısı Terörizm Black Tiger ların Sri Lanka büyükelçiliğine email bombası saldırısı El-kaide nin ABD sistmelerine saldırması Casusluk Ağ ve bilgisayar açıklıklarının suistimali Telekomünikasyon altyapıları ve routing protokollerinin suistimali Aktivizm Anonymous
Bilgisayar ve Network Saldırıları Pasif Tarama Etiketleme - Footprinting Dinleme - Eavesdropping Aktif Erişimin engellenmesi Sürekliliği hedef alır Yetkisiz erişim/silme/değiştirme Gizliliğe ve tutarlılığı hedef alır Sahte kimlik/kaynak, başkasının yerine geçme, ortadaki adam (man-in-the-middle)
Yetkisiz Erişim/Silme/Bozma Şifre Kırma Kaba kuvvet - Brute Forcing Sözlük saldırısı Şifre tahmin etme Zaafiyet suistimali SQL Injection Cross-Site Scripting - XSS Buffer overflow Diğerleri Dinleyiciler Trojanlar Oltalama Siteleri Sosyal Mühendislik
Bilişim Sistemlerine Karşı http://msdn.microsoft.com/en-us/library/ff648664.aspx
Erişimin Engellenmesi (DoS/DDoS) Network Protokollerini suistimal TCP UDP saldırısı Çok fazla ağ kaynağı tüketme TCP SYN saldırısı Yarı açık TCP bağlantıları Sahte kaynak IP si Saldırıları daha karmaşık hale getiren Yansıtılmış versiyonları Smurf saldırısı ICMP ping requests to a target broadcast address using a fake source address via IP address spoofing ICMP baskını Similar to a Smurf except for the broadcasting part Virüs Nükleer santrallerini hedef alan Stuxnet
BotNet http://ritcyberselfdefense.wordpress.com/2011/09/11/the-burgeoning-threat-of-the-
Botnet http://www.social-engineer.org/social-engineering/social-engineering-yourself-a-botnet/
Optima - BotNet
Command & Control Server http://malwareint.blogspot.com/2009/11/ddos-botnet-new-crimeware-
C&C Servers (26.11.2012) http://atlas.arbor.net/worldmap/index
İnteraktif Bankacılık Dolandırıcılığı Genellikle erişim şifrelerinin oltalama gibi metotlarla çalınması İnternet bankacılığı hesaplarının zararlı yazılımla çalınması İnternet bankacılığı hesabına yetkisiz erişerek 3. şahıslar hesabına para aktarımı İllegal-proxyler (bots) kullanımı Çalınmış kartları kullanarak ATM lerden para çekimi One-time-password uygulaması suç oranlarını azalttı Man-in-the-mobile tehlikesine karşı güvenli akıllı telefon kullanımı
Banka ve Kredi Kartı Suçları Sahte kimliklerle kredi kartı alma Sahte kimlikle başkasına ait kredi kartının postada alınması Kredi kartı bilgilerinin; ATM lere yerleştirilen düzenekle çalınması POS makineleri ile kopyalama Kredi kartı bilgilerinin İnternetten satın alınması Kart bilgilerinin suçlular arasında takası POS cihazlarının işlem süreçlerinin suistimali Düşük miktarlar için doğrulamasız işlem suistimali Man-in-the-POS sadece çalınan kartlar için
ATM Düzenekleri
Seste saklanan veri
Man-in-the-POS (Sadece çalınmış kartlar için) http://www.cl.cam.ac.uk/research/security/banking/nopin/
Mücadele
Suçlar ve Mevzuat Yetkisiz erişim ve sistemde kalma(tck 243-1) Erişimin engellenmesi (TCK 244-1) Yetkisiz olarak sistemleri bozma verileri silme, değiştirme, ekleme, yayma (TCK 244-2) Bilişim aracılığı ile hırsızlık (TCK 142-e) Bilişim aracılığı ile dolandırıcılık (TCK 158-f) Banka ve kredi kartlarının kötüye kullanılması (TCK 245-1) Sahte Kredi kartı (TCK 245-2) (Phishing, Scam Page, Pharming, Skimming etc.) Küçüklerin cinsel istismarı (TCK 246-1) Yasadışı bahis ve online kumar (TCK 228) Kişisel verilerin bilişim sistemlerine sızmak suretiyle çalınması yayınlanması (TCK 132)
Organizasyon İlk defa bilişim suçu birimi 1997 de Emniyet Genel Müdürlüğü altında Adli bilişim incelemeleri kabiliyeti 2003 te EGM altında Yüksek Teknoloji Suçları birimine Adli bilişim yanında suç soruşturmaları 2011 e kadar Organize Suçlarla Mücadele Dairesi (KOM) Bilişim Suçlarıyla Mücadele Daire Başkanlığı (BSM) Temmuz 2011
Uluslararası Partnerler South East European Cooperation Initiative (SELEC) Police Liason Officers from Other Countries INTERPOL FBI United Nations DEPARTMENT OF CYBER CRIME - EGM OSCE UCD & Garda (Dublin University & Irish Police) Council of Europe US Secret Service SOCA EUROPOL
Önlemler CHIP & PIN Chiplerle birlikte kart kopyalama daha da zor PIN numarası mecburiyeti ekstra bir güvenlik Yabancı kartlar? İnteraktif bankacılıkta One-Time-Password Man-in-the-mobile Farkındalık kampanyaları, bilgilendirme broşürleri, uyarı notları Bankalararası Kart Merkezi (BKM) Bankacılık düzenleme ve Denetleme Kurumu (BDDK) Bilgi Teknolojileri ve İletişim Kurumu (BTK)
İzlenimler (Suça maruz kalan bilişim sistemleri) Bilişim sistemerinin (E-posta, Web, veritabanı) sunucularının varsayılan ayarlarında bırakılması güvenlik politikalarına aykırı olarak İnternet e açılması, kullanılan sisteme özel güvenlik ayarlarının yapılmamış olması Kullanıcı ve şifre yönetimi sahipsiz kullanıcıların oluşturulması varsayılan şifrelerinin sabit veya tahmin edilebilir olması Uzak masaüstü hacklemeleri ve online fidyecilik şifre değiştirme zorunlu kılmaması Verilerin gerektiğinde sillinmediği sistemler Örnek; E-posta kullanıcılarının e-postaları kutularında saklama eğilimde olmaları ve anında silmemeleri, Facebook ta çok fazla kişisel veri paylaşımı Hata uyarma yönetimi hata mesajlarının ya da tanımlanan otomatik mesajların sistem hakkında öğrenildiğinde saldırganın işini kolaylaştıracak bilgileri içermesi, (örneğin: yöneticiye başvurun derken yönetici kullanıcı adının ve diğer bilgilerinin verilmesi gibi) SQl injection açığı Güvenlik standartlarının sistem geliştirme süreçlerinde entegre/enforce edilmesi Suç sonrasında eksik süreç yönetimi
Suç Sonrası Suç ve suçluyu bulmaya yarayacak bilgisayar kayıtlarının (log kayıtları) sınırlı sürede tutulmaması, Saldırı anında güvenlik uzmanları ve yetkili kolluk kuvvetlerinden uzman personel talep ederek ortak hareket edilmesi Faillerin Yer ve kimlik tespitini kolaylaştırıcı kayıtların toplanması Kolluk kuvvetleri ve/veya Cumhuriyet Başsavcılıklarına teslim edilmesi Toplanan delillerde Suçu (Modus Operandi) açıklayan/ispatlayan kayıtların bulunmasına özen gösterilmesi Yukarıda bahsedilen delillerin toplanmasının kolaylaştırılması Gelişmiş güvenlik sistemlerinin (Güvenlik Duvarı--Firewall, Saldırı Tespit Sistemi--IDS, veya Saldırı Engelleme Sistemi IPS vb.) kurumlarda bulundurulması Çalışır olduğundan emin olunması Güvenlikte olduğu gibi suç sonrasına hazır olma (Forensicreadiness) sistem ve yazılım geliştirme süreçlerine dahil edilmeli
Suç-Güvenlik Döngüsü suçlular mağdurlar Düzenleyici Kurumlar/ Özel Sektör Suç Bilişim Suçlarıyla Mücadele Dairesi Soruşturma Koğuşturma
Teşekkür ederim!