1 / 44

Bilgi Güvenliği Günü Gizli Tehlikeler

Bilgi Güvenliği Günü Gizli Tehlikeler. Murat Eraydın CEH, CISSP, MCSE, MCT meraydin@microsoft.com. 31 Aralık 2005. Türkiye. www.internetworldstats.com. Saldırı İstatistikleri. İstatistikler 1.2M+ web sitesi hack’lendi Günde 1000+ Neden önemli? Hangi ürünler? Hangi domain’ler?

raanan
Download Presentation

Bilgi Güvenliği Günü Gizli Tehlikeler

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Bilgi Güvenliği GünüGizli Tehlikeler Murat Eraydın CEH, CISSP, MCSE, MCT meraydin@microsoft.com

  2. 31 Aralık 2005 Türkiye www.internetworldstats.com

  3. Saldırı İstatistikleri • İstatistikler • 1.2M+ web sitesi hack’lendi • Günde 1000+ • Neden önemli? • Hangi ürünler? • Hangi domain’ler? • Nasıl? http://www.zone-h.org

  4. Hangi İşletim Sistemleri?

  5. Hangi Domain’ler?

  6. Neden?

  7. United Department of Justice

  8. Central Intelligency Agency (CIA)

  9. Başbakanlık...

  10. Türk Telekom...

  11. Sık Yapılan Hatalar

  12. Kaç tane Admin hesabı var?

  13. Attacker Domino Etkisi • Hacker test makinasını ele geçiriyor. “Ali” ilgili makinada admin • Ali’nin hesabını kullanarakSQL Server’ı ele geçiriyor • SQL Server “Mehmet”in hesabı mevcut • “Mehmet” Web Sunucu’da admin • Web sunucuda _Svc isimli service account var • _Svc domain admin! • Hacker Kazanır!

  14. RootKits • Hacker Defender • Port / Process / File / Directory / Registry bazında gizleme • Keylogger ve diğer programları gizlemek için kullanılıyor • Nasıl engelleriz? • Yüklemek için Admin hakkı gerekiyor • “Detailed Tracking” • Kurumsal envanter • Sysinternals.com / RootKitRevealer

  15. KH: Administrator olarak çalışmayın • Domain controller makinalar dışında Domain Admin hesabınızı kullanmayın! • Normal makinanızda Admin olarak çalışmayın • Gerektiğinde • RUNAS • TERMINAL SERVICES

  16. Dahili Tehlike: Kullanıcılar!

  17. Kimlik Gizleme • Her saniye IP adresi değişen bir saldırganı nasıl tesbit edersiniz? • “Online Privacy” aradığınızda yüzlerce çözüm bulabilirsiniz. • Nasıl Engelleriz? • Kurumsal envanter • “Detailed Tracking” • Event ID 592 / 593

  18. “Covert Channels”Bir haberleşme ortamının amacı dışında kullanımı • Firewall ile bloklamanız gereken ancak bloklayamadıklarınız • Her türlü uygulamayı HTTP üzerinden tünellemek mümkün • Ticari gateway’ler mevcut • HTTPS kullandığı için içerik kontrolü mümkün değil • JAP, v.s • Firewall’un arkasından dolaşmak • GPRS, Bluetooth, WIFI, Dialup, ADSL bağlantılarının kontrolü şart • PING, DNS, v.s. Hepsi bu amaçla kullanılabilir • NETCAT (nc.exe) reverse shell • Hash rule ile durdurulabilir

  19. HTTP Tunneling • Kurumsal güvenlik duvarını aşmanın en popüler yolu • HTTP üzerinden her türlü servise bağlanabilme imkanı • Bir çok ücretsiz servis sağlayıcı mevcut • Nasıl Engelleriz? • Sadece geçerli HTTP trafiğine izin vererek

  20. Password Cracking • Dictionary attacks • Brute force attacks • Rainbow Tables! • Çok tehlikeli • Nasıl engelleriz? • Kullanıcı eğitimi • Şifre yerine “pass-phrase” kullanımı • 31 Mart 1965 tarihinde Ankara’da doğdum • 31Mart1ta’d.

  21. Instant Messaging Uygulamaları • MSN Messenger, Yahoo, AOL, GoogleTalk, ... • Tehlike • İş kaybı • Bilgi sızdırma • Log tutmak çok zor ve pahalı • Office Communicator • Log imkanı • Grup Politikaları ile yapılandırma • Şirket içi ve dışı mesajlaşma olanağı

  22. Peer to Peer Uygulamalar • Tehlike? • Worm, virüs, v.s • Lisanssız program • Bilgi sızdırma • Bağlantı yolları • HTTP başta olmak üzere her türlü yöntem • Emule, EDonkey, Kazaa başta olmak üzere tüm bağlantı noktalarının bloklanması • İlgili uygulamaların Grup Politikaları ile durdurulması • Windows 2003 Hash Rule

  23. USB Depolama Araçları • Yüksek güvenlik gerektiren yerlerde yasak • Askeriye, Polis, ... • Loglama imkanı yok • Zararlı uygulamaların kurum/şirket içine alınması • Vulnerability Scanners, Password cracking, sniffers, bootable, v.s. • www.u3.com • Bilgi kaçağı tehlikesi

  24. Mobil Cihazların Güvenliği • Laptop, PDA, Cep Telefonlarının kaybedilmesi / çalınması • Gizli dokümanlar • Saklanmış şifreler • Çözüm? • Exchange 2003 SP2 WIPE ile kaybedilen cihaza hard reset gönderimi • Windows Vista ile tüm diskin şifrelenmesi

  25. Sniffers, Trojans, Worms, ... • Trojans, Worms, Virus • Least Privilege User • Bütün uygulamalar admin hakları ile çalışmak ister, normal haklarla logon olan bir kullanıcıya bulaşması çok çok zor • Herkes kendi makinasında admin! • Torpil faktörü • Sniffers • Ethereal ve birçok uygulama ile ağdaki bilginin takibi • Switched Networks? • Problem değil! ARP posioning • Cain-Abel • IPSec çözüm

  26. Sistem Yöneticilerinin Düştüğü Tuzaklar

  27. Quarantine Internet Corpnet Client RRAS IAS Gizli Tehlike: VPN • Kontrolsüz bir makinanın sunucunuzun yanına bağlanmasına ne dersiniz? • Hangi amaçlarla kullanılyor? • Uzaktan yönetim  RDP • Dosya Sunucu / Yazıcı’lara erişim  RDP • Dahili Web Tabanlı uygulamalar  ISA 2004 • Çözüm? • VPN Quarantina (Windows Server 2003 + ISA Server 2004)

  28. Gizli Tehlike: Sunucularda HTTP erişimi • Web, database, etkialanı sunucularında neden dışarıya doğru kısıtlama yok? • Reverse Shell • File download • ...

  29. Üretici firmaların risk günleri Müşteri ve kurumlar için "risk günleri." – En önemli süre! Yama Yönetiminin Önemi!

  30. Uygulama Güvenliği • Teknoloji, işletim sistemi, uygulama geliştirme ortamından bağımsız • Dinamik uygulamalardaki en ciddi güvenlik açığı (potansiyel) • Tüm ağ veya sistemin ele geçirilmesi • Maddi, manevi kayıplar

  31. Kredi Kartları: 18 Şubat 2003, ve diğerleri

  32. Denetleme • Düzenleyici Standartlar • ISO 27001, ISO/BT 17799, SOX, FISMA, HIPAA • Kontrol mekanizmaları • Kullanıcı ve sistem yöneticilerinin denetlenmesi • Merkezi arşivleme • Kim, ne zaman, nereye, ne ile, nasıl erişti, ne yaptı? • Sunucu ve kullanıcı makinalarının güvenlik loglarının konsolidasyonu ve analizi • Operasyonel Raporlar önemli

  33. E-Posta Güvenliği • Sahte Kimlik Problemi • SMTP güvenlik amaçlanarak geliştirilen bir protokol değil • İçeriden veya dışarıdan başka biri adına mail atmak çok kolay • Sayısal İmza • PKI, PGP • Postanın kimden geldiği ve yolda değiştirilmediğini garantiler • Posta ile bilgi kaçırma • Do not forward? Kimin umrunda? • Rights Management Services

  34. Wireless Teknolojiler • Tehlike • Bilgi kaçağı • Güvenlik açığı • Mevcut Durum • $900 vererek 30km civarında mesafeye çıkabilir • İçindeki DHCP Server mevcut ağda ciddi problemler yaratabilir • Kullanım şart ise • Erişim kontrolü için 802.1X • WEP güvensiz! • WPA ev kullanımı için • Inhibitor AP kullanımı • Diğer cihazlar • IrDA, BlueTooth, Keyboard ve Mouse

  35. Hacker Wireless Güvenli Kablosuz Erişim X • Windows Server 2003 • Kablosuz erişimi güvenli hale getirir • Network saldırı riskini azaltır • Kolay PKI sertifika dağıtımı • Sertifika ile kablosuz erişim Legacy FileSharing Geçerli x509 sertifika kontrolü email Web Apps AD entegre çalışan PKI Sertifikaların otomatik dağıtımı 802.1x for Certificate Auth PEAP for Password-based Auth

  36. TCP/IP Üzerine...

  37. OSI model 7. application 6. presentation 5. session 4. transport 3. network 2. link 1. physical

  38. 3. transport 2. network Gerçek Dünya • 4 katman yeterli 4. application HTTP, FTP, TFTP, telnet, ping, SMTP, POP3, IMAP4, RPC, SMB, NTP, DNS, … TCP, UDP, IPsec IP, ICMP, IGMP 1. interface ARP, RARP

  39. TCP/IP Güvenliği • TCP/IP V4 güvenli bir protokol değildir • Güvenilir • IP Spoofing (DoS saldırıları) • Sniffing • Hub & Switched networks • ARP problemleri

  40. ARP – Zincirdeki En Zayıf Halka • ARP güvenlik hiç düşünülmeden geliştirilmiş bir protokoldür • TCP/IP’nin en temel öğesi • Tehlikeler? • ARP Poisoning – Sniffing in switched env. • ARP Spoofing / MITM • Packet Avalance! (Chernobly Etkisi)

  41. ARP Man In The Middle attack 1.1.1.1 is-at99:88:77:66:55:44 1.1.1.2 is-at99:88:77:66:55:44 1.1.1.1 who-has 1.1.1.2? 1.1.1.2 is-at 00:11:22:33:44:55:66 1.1.1.2

  42. Source Routing 131.107.0.254 10.0.0.254 10.0.0.1 SA: <farketmez>DA: 10.0.0.1SR: via 131.107.0.254

  43. Teşekkürler

More Related