440 likes | 672 Views
Bilgi Güvenliği Günü Gizli Tehlikeler. Murat Eraydın CEH, CISSP, MCSE, MCT meraydin@microsoft.com. 31 Aralık 2005. Türkiye. www.internetworldstats.com. Saldırı İstatistikleri. İstatistikler 1.2M+ web sitesi hack’lendi Günde 1000+ Neden önemli? Hangi ürünler? Hangi domain’ler?
E N D
Bilgi Güvenliği GünüGizli Tehlikeler Murat Eraydın CEH, CISSP, MCSE, MCT meraydin@microsoft.com
31 Aralık 2005 Türkiye www.internetworldstats.com
Saldırı İstatistikleri • İstatistikler • 1.2M+ web sitesi hack’lendi • Günde 1000+ • Neden önemli? • Hangi ürünler? • Hangi domain’ler? • Nasıl? http://www.zone-h.org
Attacker Domino Etkisi • Hacker test makinasını ele geçiriyor. “Ali” ilgili makinada admin • Ali’nin hesabını kullanarakSQL Server’ı ele geçiriyor • SQL Server “Mehmet”in hesabı mevcut • “Mehmet” Web Sunucu’da admin • Web sunucuda _Svc isimli service account var • _Svc domain admin! • Hacker Kazanır!
RootKits • Hacker Defender • Port / Process / File / Directory / Registry bazında gizleme • Keylogger ve diğer programları gizlemek için kullanılıyor • Nasıl engelleriz? • Yüklemek için Admin hakkı gerekiyor • “Detailed Tracking” • Kurumsal envanter • Sysinternals.com / RootKitRevealer
KH: Administrator olarak çalışmayın • Domain controller makinalar dışında Domain Admin hesabınızı kullanmayın! • Normal makinanızda Admin olarak çalışmayın • Gerektiğinde • RUNAS • TERMINAL SERVICES
Kimlik Gizleme • Her saniye IP adresi değişen bir saldırganı nasıl tesbit edersiniz? • “Online Privacy” aradığınızda yüzlerce çözüm bulabilirsiniz. • Nasıl Engelleriz? • Kurumsal envanter • “Detailed Tracking” • Event ID 592 / 593
“Covert Channels”Bir haberleşme ortamının amacı dışında kullanımı • Firewall ile bloklamanız gereken ancak bloklayamadıklarınız • Her türlü uygulamayı HTTP üzerinden tünellemek mümkün • Ticari gateway’ler mevcut • HTTPS kullandığı için içerik kontrolü mümkün değil • JAP, v.s • Firewall’un arkasından dolaşmak • GPRS, Bluetooth, WIFI, Dialup, ADSL bağlantılarının kontrolü şart • PING, DNS, v.s. Hepsi bu amaçla kullanılabilir • NETCAT (nc.exe) reverse shell • Hash rule ile durdurulabilir
HTTP Tunneling • Kurumsal güvenlik duvarını aşmanın en popüler yolu • HTTP üzerinden her türlü servise bağlanabilme imkanı • Bir çok ücretsiz servis sağlayıcı mevcut • Nasıl Engelleriz? • Sadece geçerli HTTP trafiğine izin vererek
Password Cracking • Dictionary attacks • Brute force attacks • Rainbow Tables! • Çok tehlikeli • Nasıl engelleriz? • Kullanıcı eğitimi • Şifre yerine “pass-phrase” kullanımı • 31 Mart 1965 tarihinde Ankara’da doğdum • 31Mart1ta’d.
Instant Messaging Uygulamaları • MSN Messenger, Yahoo, AOL, GoogleTalk, ... • Tehlike • İş kaybı • Bilgi sızdırma • Log tutmak çok zor ve pahalı • Office Communicator • Log imkanı • Grup Politikaları ile yapılandırma • Şirket içi ve dışı mesajlaşma olanağı
Peer to Peer Uygulamalar • Tehlike? • Worm, virüs, v.s • Lisanssız program • Bilgi sızdırma • Bağlantı yolları • HTTP başta olmak üzere her türlü yöntem • Emule, EDonkey, Kazaa başta olmak üzere tüm bağlantı noktalarının bloklanması • İlgili uygulamaların Grup Politikaları ile durdurulması • Windows 2003 Hash Rule
USB Depolama Araçları • Yüksek güvenlik gerektiren yerlerde yasak • Askeriye, Polis, ... • Loglama imkanı yok • Zararlı uygulamaların kurum/şirket içine alınması • Vulnerability Scanners, Password cracking, sniffers, bootable, v.s. • www.u3.com • Bilgi kaçağı tehlikesi
Mobil Cihazların Güvenliği • Laptop, PDA, Cep Telefonlarının kaybedilmesi / çalınması • Gizli dokümanlar • Saklanmış şifreler • Çözüm? • Exchange 2003 SP2 WIPE ile kaybedilen cihaza hard reset gönderimi • Windows Vista ile tüm diskin şifrelenmesi
Sniffers, Trojans, Worms, ... • Trojans, Worms, Virus • Least Privilege User • Bütün uygulamalar admin hakları ile çalışmak ister, normal haklarla logon olan bir kullanıcıya bulaşması çok çok zor • Herkes kendi makinasında admin! • Torpil faktörü • Sniffers • Ethereal ve birçok uygulama ile ağdaki bilginin takibi • Switched Networks? • Problem değil! ARP posioning • Cain-Abel • IPSec çözüm
Quarantine Internet Corpnet Client RRAS IAS Gizli Tehlike: VPN • Kontrolsüz bir makinanın sunucunuzun yanına bağlanmasına ne dersiniz? • Hangi amaçlarla kullanılyor? • Uzaktan yönetim RDP • Dosya Sunucu / Yazıcı’lara erişim RDP • Dahili Web Tabanlı uygulamalar ISA 2004 • Çözüm? • VPN Quarantina (Windows Server 2003 + ISA Server 2004)
Gizli Tehlike: Sunucularda HTTP erişimi • Web, database, etkialanı sunucularında neden dışarıya doğru kısıtlama yok? • Reverse Shell • File download • ...
Üretici firmaların risk günleri Müşteri ve kurumlar için "risk günleri." – En önemli süre! Yama Yönetiminin Önemi!
Uygulama Güvenliği • Teknoloji, işletim sistemi, uygulama geliştirme ortamından bağımsız • Dinamik uygulamalardaki en ciddi güvenlik açığı (potansiyel) • Tüm ağ veya sistemin ele geçirilmesi • Maddi, manevi kayıplar
Denetleme • Düzenleyici Standartlar • ISO 27001, ISO/BT 17799, SOX, FISMA, HIPAA • Kontrol mekanizmaları • Kullanıcı ve sistem yöneticilerinin denetlenmesi • Merkezi arşivleme • Kim, ne zaman, nereye, ne ile, nasıl erişti, ne yaptı? • Sunucu ve kullanıcı makinalarının güvenlik loglarının konsolidasyonu ve analizi • Operasyonel Raporlar önemli
E-Posta Güvenliği • Sahte Kimlik Problemi • SMTP güvenlik amaçlanarak geliştirilen bir protokol değil • İçeriden veya dışarıdan başka biri adına mail atmak çok kolay • Sayısal İmza • PKI, PGP • Postanın kimden geldiği ve yolda değiştirilmediğini garantiler • Posta ile bilgi kaçırma • Do not forward? Kimin umrunda? • Rights Management Services
Wireless Teknolojiler • Tehlike • Bilgi kaçağı • Güvenlik açığı • Mevcut Durum • $900 vererek 30km civarında mesafeye çıkabilir • İçindeki DHCP Server mevcut ağda ciddi problemler yaratabilir • Kullanım şart ise • Erişim kontrolü için 802.1X • WEP güvensiz! • WPA ev kullanımı için • Inhibitor AP kullanımı • Diğer cihazlar • IrDA, BlueTooth, Keyboard ve Mouse
Hacker Wireless Güvenli Kablosuz Erişim X • Windows Server 2003 • Kablosuz erişimi güvenli hale getirir • Network saldırı riskini azaltır • Kolay PKI sertifika dağıtımı • Sertifika ile kablosuz erişim Legacy FileSharing Geçerli x509 sertifika kontrolü email Web Apps AD entegre çalışan PKI Sertifikaların otomatik dağıtımı 802.1x for Certificate Auth PEAP for Password-based Auth
OSI model 7. application 6. presentation 5. session 4. transport 3. network 2. link 1. physical
3. transport 2. network Gerçek Dünya • 4 katman yeterli 4. application HTTP, FTP, TFTP, telnet, ping, SMTP, POP3, IMAP4, RPC, SMB, NTP, DNS, … TCP, UDP, IPsec IP, ICMP, IGMP 1. interface ARP, RARP
TCP/IP Güvenliği • TCP/IP V4 güvenli bir protokol değildir • Güvenilir • IP Spoofing (DoS saldırıları) • Sniffing • Hub & Switched networks • ARP problemleri
ARP – Zincirdeki En Zayıf Halka • ARP güvenlik hiç düşünülmeden geliştirilmiş bir protokoldür • TCP/IP’nin en temel öğesi • Tehlikeler? • ARP Poisoning – Sniffing in switched env. • ARP Spoofing / MITM • Packet Avalance! (Chernobly Etkisi)
ARP Man In The Middle attack 1.1.1.1 is-at99:88:77:66:55:44 1.1.1.2 is-at99:88:77:66:55:44 1.1.1.1 who-has 1.1.1.2? 1.1.1.2 is-at 00:11:22:33:44:55:66 1.1.1.2
Source Routing 131.107.0.254 10.0.0.254 10.0.0.1 SA: <farketmez>DA: 10.0.0.1SR: via 131.107.0.254