Bankacılıkta Admin Riskleri ve Bellekte Avcılık

Benzer belgeler
Bankacılıkta Mobil Uygulamaların Geleceği ve Beraberindeki Riskler

Bilgi Güvenliği Açısından Sızma Testlerinin Önemi

Saldırgan Yaklaşımı. Nebi Şenol YILMAZ Danışman / Yönetici Ortak senol.yilmaz@secrove.com. Secrove Information Security Consulting

Mobil Uygulamalarda Güvenlik Denetimi

Web Uygulama Güvenliği Kontrol Listesi 2010

HAZIRLAYAN BEDRİ SERTKAYA Sistem Uzmanı CEH EĞİTMENİ

1 WEB GÜVENLIĞINE GIRIŞ

BT Yönetim Sistemleri. Nil Neli Deadato & Burak Bestel

SQUİD PROXY İLE GERÇEK ZAMANLI WEB TRAFİK KONTROLÜ

SPK Bilgi Sistemleri Tebliğleri

Bilgi Teknolojileri Yönetişim ve Denetim Konferansı BTYD 2010

Metasploit Framework ile Güvenlik Denetimi. Fatih Özavcı Bilgi Güvenliği Danışmanı fatih.ozavci at gamasec.net

Bilgi Güvenliği Denetim Sürecinde Özgür Yazılımlar. Fatih Özavcı Bilgi Güvenliği Danışmanı

Şehmus POLAT Teknoloji Fakültesi

BT Yönetim Sistemleri. Nil Neli Bestel & Burak Bestel

Web Application Penetration Test Report

BT Yönetim Sistemleri. Nil Neli Deadato & Burak Bestel

SPK Bilgi Sistemleri Tebliğleri

Gelişen Tehdit Ortamı ve Senaryolaştırma. İhsan Büyükuğur Garanti Bankası Teftiş Kurulu Program Yöneticisi - Teknoloji ve Kurum Dışı Riskleri

ANET YAZILIM LOG YÖNETİMİ. Karşılaştırma Tablosu ANET YAZILIM

Kurumsal Güvenlik ve Web Filtreleme


Kurumsal Güvenlik ve Web Filtreleme

AG DANIŞMANLIK HAKKINDA

. Standart Profesyonel Kurumsal. Tahsilat Kaynağı Tahsilat Yöntemi Tahsilat Araçları Tahsilat Türü - - -

Web Uygulama Saldırıları ve Klasik Çözümlerin Yetersizliği

Ağ Trafik ve Forensik Analizi

OTURUM AÇMA ADLARI. Tavsiye Edilen Önhazırlık Enterprise Manager'i kullanabilmek.

ÖRÜN (WEB) GÜVENLİĞİ. Hazırlayan: Arda Balkanay

BDDK-Bilgi Sistemlerine İlişkin Düzenlemeler. Etkin ve verimli bir Banka dan beklenenler Bilgi Teknolojilerinden Beklenenler

ANET YAZILIM LOG YÖNETİMİ. Karşılaştırma Tablosu ANET YAZILIM

W3af ile Web Uygulama Güvenlik Testleri

Yazılım-donanım destek birimi bulunmalıdır.


WEB SUNUCU GÜVENLİĞİ: Web Siteleri Neden Hacklenir?

Özgür Yazılımlar ile Kablosuz Ağ Denetimi

Bilgi Teknolojileri Yönetişim ve Denetim Konferansı BTYD 2010

01 Şirket Profili

ITMS DAYS Information Technologies Management Systems Days

Bilgi ve Bilgisayar Sistemleri Güvenliği (Information and Computer Systems Security)

SQLMap ile CSRF Bypass İbrahim BALİÇ

ARiL Veri Yönetim Platformu Gizlilik Politikası

BEYAZ ŞAPKALI HACKER EĞİTİMİ

SOME niz SOC unuz} siber olaylara hazır mı? VOLKAN ERTÜRK C EO & C O F O U N D E R BARİKAT II : Güvenliğin Temelleri

Spring Security Framework Harezmi Bilişim Çözümleri

Kurumsal Ağlarda Web Sistem Güvenliği

İÇİNDEKİLER VII İÇİNDEKİLER

GAZİOSMANPAŞA ÜNİVERSİTESİ MÜHENDİSLİK VE DOĞA BİLİMLERİ FAKÜLTESİ WEB TEMELLİ ÖĞRENME VE İÇERİK YÖNETİM SİSTEMİ

Güvenlik Seviyenizi Arttırmak için Şifreleme Teknolojisinden Yararlanın

Bilgi Teknolojileri Yönetişim ve Denetim Konferansı BTYD 2010


İş Sürekliliği Ve Güvenliği

Metasploit Framework ile Güvenlik Denetimi. Fatih Özavcı Bilgi Güvenliği Danışmanı

Bilgi Teknolojileri ve İş Süreçleri Denetimi

T.C. MEHMET AKİF ERSOY ÜNİVERSİTESİ BİLGİ İŞLEM DAİRE BAŞKANLIĞI AĞ VE SİSTEM ÇALIŞMA GRUBU İŞ TANIM ÇİZELGESİ

ÖZ DEĞERLENDİRME SORU LİSTESİ

BioAffix Ones Technology nin tescilli markasıdır.

BioAffix Ones Technology nin tescilli markasıdır.

Teknoloji Trendleri, Veri Merkezleri ve Uyum

BİLGİ GÜVENLİĞİ. İsmail BEZİRGANOĞLU İdari ve Mali İşler Müdürü Türkeli Devlet Hastanesi

ADIM ADIM METASPLOIT METERPRETER SHELL DAVRANIŞ ANALİZİ

Web Güvenliği Topluluğu webguvenligi.org Web Uygulama Güvenliği Kontrol Listesi 2012

3. Analytic Workspace Manager ile Oracle OLAP Küpü Tasarımı

TÜRKİYE BİLİMSEL VE TEKNOLOJİK ARAŞTIRMA KURUMU KAMU KURUMLARI ARAŞTIRMA VE GELİŞTİRME PROJELERİNİ DESTEKLEME PROGRAMI (1007 PROGRAMI)

Windows Hacking - II

Ulusal IPv6 Protokol Altyapısı Tasarımı ve Geçişi Projesi. Onur Bektaş (ULAKBİM) Sistem Yöneticisi

BİLGİ GÜVENLİĞİ FARKINDALIK EĞİTİMİ NASIL OLMALI? 28/04/2015 SUNA KÜÇÜKÇINAR İBRAHİM ÇALIŞIR / 9. ULAKNET ÇALIŞTAYI 2015 KUŞADASI - AYDIN 1

Bölüm 10: PHP ile Veritabanı Uygulamaları

Dokuz Eylül Üniversitesi Bilgi İşlem Dairesi Sunum konusu: Web Güvenliği

Vega Web Sipariş Kurulum

Exploit Geliştirme Altyapıları. Fatih Özavcı Bilgi Güvenliği Danışmanı

FINDIK Herkese Açık Filtre

DURMAZSOFT ERP KURULUM VE YAPILANDIRMA

G R fi 1 Adobe AIR E BAfiLANGIÇ

Apache Htaccess Güvenlik Testleri

Google Hacking. Gelişmiş Google Operatörleri

Fırat Üniversitesi Personel Bilgi Sistemi Penetrasyon(Sızma) Testi

DTÜ BİLGİ İŞLEM DAİRE

SOC unuz siber saldırılara hazır mı?

Akademik Bilişim 2009 LOSTAR Bilgi Güvenliği A.Ş. Teknoloji: Kontrol Kimde?

RPMNET WOLVOX REPORTER

Yeni Nesil Güvenlik Duvarlarında Olması Beklenen Özellikler ve Uygulama Bazlı Filtreleme

Yahya YILMAZ Kamu Satış Yöneticisi. Kayıtlı Elektronik Posta ve E-Tebligat

SİBER GÜVENLİK HİZMETLERİ VE ÜRÜNLERİ.

Bilgi Güvenliği Yönetimi. Prof. Dr. Eşref ADALI www. Adalı.net

İş Sağlığı ve Güvenliği Yönetim ve Denetim Sistemi

VERİTABANI LOGLAMA LİSANSI TEKNİK ŞARTNAMESİ

GEOVISION GROUP ÇÖZÜMLERİ

Atılım Üniversitesi Bilgi & Đletişim Teknolojileri Müdürlüğü Sistem Yönetim Uzmanı Görev Tanımı

BTK nın IPv6 ya İlişkin Çalışmaları

YETKİLİ OLUNAN YATIRIM HİZMETLERİ

Selective Framebusting

Icerik filtreleme sistemlerini atlatmak icin kullanacağımız yöntem SSH Tünelleme(SSH in SOCKS proxy ozelligini kullanacagiz).

Kişisel Hazırlık/Yeterlilik TestYapılan Ortamlardaki Problemler Denetimin Planlanması Metodoloji Bilgi Toplama/Keşif Zaafiyet Tespiti ve Penetrasyon

Exploit.CVE Analizi

Güvenlik Araçları. Savunmadan çok saldırı ya yönelik araçlar. Amaç, saldırganlardan önce sistemdeki açıkları ortaya çıkarıp gereken önlemleri almak.

Reverse Engineering Bootcamp Eğitim İçeriği

Transkript:

Bankacılıkta Admin Riskleri ve Bellekte Avcılık Nebi Şenol YILMAZ Danışman / Yönetici Ortak senol.yilmaz@secrove.com Secrove Information Security Consulting

Hakkımıda Nebi Şenol YILMAZ, CISA, CEH, 27001 LA Secrove Information Security Consulting Bilgi Güvenliği Danışmanlığı Bilgi Sistemleri Denetimi Penetrasyon Testleri Zafiyet Araştırması Exploit Geliştirme Bilgi Güvenliği Ar-Ge (Tubitak Destekli) Secrove Information Security Consulting 2

Ajanda Bankacılık Admin Riskleri Bellekte Avcılık Secrove Information Security Consulting 3

Bankacılık Regülasyonlar PCI (W) SOX (US) CobIT (BDDK) İlkeler Tebliği (BDDK) İç Sistemler Yönetmeliği (BDDK) Destek Hizmetleri Yönetmeliği (BDDK)... Secrove Information Security Consulting 4

Bankacılık Teknoloji ile birlikte yeni projeler/ürünler oluşuyor. Yeni satış kanalları üretiliyor. ve Her geçen gün regülasyonda değişiklik oluyor. Yeni riskler denetimleri gerektiriyor. Secrove Information Security Consulting 5

Bankacılık Hizmet Regülasyon Secrove Information Security Consulting 6

Bankacılık Özetle: Standartlar çerçevesinde önlem al! Her işlemi kayıt altında tut! Secrove Information Security Consulting 7

Bankacılık Önlemler tamam da, Neler kayıt altına alınacak...? Yetkilendirme logları Uygulama logları Veritabanı logları Trafik logları... Secrove Information Security Consulting 8

Bankacılık Unutulanlar: Admin'in çalıştırdığı komutlar Sniffer'lar Compiler'lar Debugger'lar Tracer'lar... Secrove Information Security Consulting 9

Admin Riskleri Bir sistem yöneticisi, Müşterilerin HTTP ile eriştikleri web sayfasındaki formlara girdikleri bilgileri nasıl görebilir? Sniffer? Secrove Information Security Consulting 10

Bellekte Avcılık Müşterilerin eriştiği web sayfalarını HTTPS yaptık... Yeterli mi? Ya da sistem yöneticisi sisteme SSH ile erişen kişilerin şifrelerini merak ediyorsa?... Encrypted aktarılan bilgilerin riski, uygulama belleğinde devam ediyor... Secrove Information Security Consulting 11

Bellekte Avcılık Process Trace (ptrace) Secrove Information Security Consulting 12

Bellekte Avcılık (ptrace) PTRACE_ATTACH Process'e bağlanmak PTRACE_PEEKTEXT, PTRACE_PEEKDATA Process belleğinden veri okumak PTRACE_POKETEXT, PTRACE_POKEDATA Process belleğine veri yazmak PTRACE_DETACH Process'ten ayrılmak Secrove Information Security Consulting 13

Bellekte Avcılık Syscall Trace (strace) Secrove Information Security Consulting 14

Bellekte Avcılık (strace) Secrove Information Security Consulting 15

Bellekte Avcılık (strace) cat komutunu trace ettik... Peki çalışmakta olan SSL ve SSH process'lerini nasıl trace edeceğiz? Secrove Information Security Consulting 16

Bellekte Avcılık (strace) - Uygulama 1 - SSL olarak çalışan apache processlerini trace edelim: Secrove Information Security Consulting 17

Bellekte Avcılık (strace) - Uygulama 1 - Secrove Information Security Consulting 18

Bellekte Avcılık (strace) - Uygulama 1 - Secrove Information Security Consulting 19

Bellekte Avcılık (strace) - Uygulama 1 - Secrove Information Security Consulting 20

Bellekte Avcılık (strace) - Uygulama 2 - SSH processini trace edelim: Secrove Information Security Consulting 21

Bellekte Avcılık (strace) - Uygulama 2 - Secrove Information Security Consulting 22

Bellekte Avcılık (strace) - Uygulama 2 - Secrove Information Security Consulting 23

Bellekte Avcılık (strace) - Uygulama 2 - Secrove Information Security Consulting 24

Özet Bellekte olan bellekte kalsın :) Standart olarak uygulamaların logları tutulmalı ancak, Bu logların yetersiz olduğu bilinmeli ve daha alt seviyede her işlem (komut vs.) mutlaka kayıt altına alınmalı ve gözden geçirilmelidir. Secrove Information Security Consulting 25

Teşekkürler! senol.yilmaz@secrove.com @nsyilmaz nsyilmaz Secrove Information Security Consulting 26

2024 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim