Sunday, December 30, 2012

Dexter: Bu sefer sizin peşinizde

Dizideki seri katil ile aynı adı taşımasına rağmen bu "Dexter" öldürmek için değil, paranızı çalmak için sizi arıyor. Hatta aradığı bile pek söylenemez, siz ona gidiyorsunuz. Bir süpermarkette, hazır giyim mağazasında veya bir restoranda karşınıza çıkabilir. Şaka bir yana, "Dexter" adı verilen bu zararlı yazılım canınızı gerçekten yakabilir.

Mağazalarda kullanılan POS (Point of Sale) cihazlarını hedef alan bu zararlı 2-3 aydır hızla yayılıyor. Zararlının hedefinde yazarkasaları, ATM makinelerini, kiosklar gibi alışveriş işlemlerinin yapıldığı platformları görmek mümkün. Bu zararlının hedefleri arasında perakendeciler, oteller ve özel otopark işletmecileri gibi kartla işlem yapan sistemler kullanan işletmelerin olduğu bilinmektedir.

“Zeus” olarak adlandırılan ve kişisel bilgisayarlar üzerindeki bankacılık işlemlerini hedef alan zararlı ile benzerlikler göstermesine karşılık, aynı kişilerin “eseri” olduğuna dair henüz bir kanıt bulunamadı.

Dexter bulaştığı cihazın hafızasında bulunan bilgilerini kumanda merkezine gönderiyor. Merkeze gönderilen bilgiler arasında kart numarası, kartın sahibinin adı, PİN kodu gibi bilgiler olduğu için bu kartları kopyalamaya (klonlama) yetecek kadar bilgi saldırganlara ulaştırılmış oluyor.

“Dexter” bulaştığı cihazın hafızasını tarayıp ilgilendiği bilgileri kumanda merkezine gönderdiği için, bu zararlıya karşı en etkili önlem disk şifreleme çözümlerinin kullanılmasıdır. Şifreli bir disk ile karşılaması halinde “Dexter” şifreyi çözemeyeceği için bilgilere ulaşamayacaktır.

Bu zararlının Türkiye’de de görüldüğü bildirilmektedir.

Friday, December 28, 2012

Yılbaşı fiyatları

Sene boyunca yayınlanan çeşitli araştırmalar içerisinde siber suçlara ilişkin bazı fiyatlar yayınlandı. Bu verilerden yola çıkarak aşağıdaki fiyat listesini derledim. “Kredi kartına kaç taksit olur?”, “fiş almazsak ne olur?”, “usta bak yabancı değiliz bize en son kaça olur?” gibi soruları denk gelirseniz Rus mafyasına yöneltebilirsiniz.

Exploit Fiyatları:

Adobe Reader için exploit: 5,000 - 30,000 USD

Android için exploit: 30,000 - 60,000 USD

Tarayıcı için flash veya plug-in için exploit: 40,000 - 100,000 USD

Microsoft Word için exploit: 50,000 - 100,000 USD

Windows için exploit: 60,000 - 120,000 USD

Firefox veya Safari tarayıcısı için exploit: 60,000 - 150,000 USD

Chrome veya Internet Explorer için exploit: 80,000 - 200,000 USD

iOS için exploit: 100,000 - 250,000 USD

Saldırı Fiyatları:

1 günlük DDoS saldırısı: 30 – 70 USD

1 saatlik DDoS saldırısı: 10 USD

1,000,000 spam eposta gönderimi: 10 USD

Sahte web sayfası yayınlamak: 5 – 10 USD

Phishing için kullanılmak üzere domain ve hosting hizmeti: 50 USD

Korsan yazılım lisansı: 4 – 7 USD


Diğer Hizmetler:

Botnet gibi konularda danışmanlık: 350 – 400 USD

Zararlı yazılım yayma hizmeti: 1,000 kurulum için 100 USD

Para transferi hizmeti: %25 komisyon karşılığı

CAPTCHA kırma hizmeti: 1,000 adet için 1 USD

Zeus zararlısının uyarlanması: 500 – 10,000 USD arası

Bunların dışında yeraltından alınabilecek diğer “hizmetler” şunlardır;

Zararlı sitenin arama motorlarında üst seviyelere taşınması

PDF dosyalarına zararlı kod eklemek

Flash animasyonlara zararlı kod eklemek

Sahte anti-virüs yazılması

Kurbanlardan çalınan paranın aklanması için iş modelinin oluşturulması

Fiyatlar Trendmicro ve Fortinet gibi üreticilerin raporlarından alınmıştır.

Görüldüğü gibi siber suçlar kendi ekonomilerini yaratmıştır. Saldırılar internet üzerinden kolayca satınalınabilmektedir. Siber saldırı vektörlerinin giderek diğer suçlular tarafından kiralanan hizmetler arasında yeri artacaktır.

Thursday, December 27, 2012

McAfee'den 2013 yılı tahminleri

Gazetelerde yayınlanan “2013 yılı Kova burcunun yılı olacak” türü yazıların bizdeki karşılığı gibi düşünebileceğimiz 2013 yılı tahminleri üreticiler tarafından yayınlanmaya başladı. McAfee 2013 yılı tehditlerini derlediği raporunu bugün yayınladı, raporun ana başlıklarını paylaşıyorum.

Mobil cihazlara bulaşan zararlıların kullanıcı bilgilerini ve fotoğraflarını çalmasına neredeyse alıştık. 2013 yılında ise bulaştığı cihaz üzerinden izinsiz olarak başka uygulamalar satın alan zararlı yazılımlar göreceğiz.

Mobil cihazlara bulaşan zararlılar NFC (Near Field Communication – Yakın Alan İletişimi) yardımıyla ödeme yapmaya imkan veren veya mobil operatörler tarafından verilen “akıllı cüzdan” hizmetlerini kullanarak kurbanın parasını da çalabilirler.

Zararlı yazılımların mobil cihazların işletim sistemleri için yayınlanan güvenlik güncellemelerinin yapılmasını önleyebilecekleri de düşünülmektedir.

Zararlı yazılımların MAC OS sürümlerinin de daha sık görülebileceği belirtilmektedir.

“Ransomware” (fidye isteme yazılımı) olarak da adlandırılan yazılımlar kurbanın verilerini silmek yerine bunları oldukları yerde şifrelemekte ve belirlenen ödeme yapıldıktan sonra şifreyi çözmektedirler. Bu saldırı türünün mobil cihazlara taşınacağı düşünülmektedir.

Kullanılan güvenlik yazılımları ile birlikte güvenlik seviyesinin artması zararlı yazılımların ve saldırıların BIOS gibi işletim sisteminin altındaki katmanları hedef almasına neden olmuştur. Bu zararlıların sayısında artış görülecektir.

Windows 8’e özel olarak yayınlanmış zararlı yazılımların sayısında artış görülecektir.

Zararlı yazılımlar bir süredir bulaştıkları sistemlere zarar vermek yerine kullanıcı bilgilerini çalmak veya sistem kaynaklarını saldırganların amaçlarına göre kullanmayı amaçlıyordu. Son zamanlarda incelenen bazı saldırılarda ise zararlının amacının sistemi tamamen yok etmek olduğu görülmüştür. Bu yaklaşımın 2013 yılında yaygınlaşacağı düşünülmektedir.

“Citadel” olarak adlandırılan zararlı yazılımın (trojan türüdür) daha da yayılacağı öngörülmektedir. Ek bilgi olarak; “Citadel” ülkemizde henüz “Zeus” ve türevleri kadar yaygın değildir.

HTML5’in internet sitelerine kazandırdığı pek çok yeni özellik beraberinde yeni saldırı vektörlerini de getirmiştir. Saldırganlar HTML5’te bulunan açıklardan faydalanabilecekleri gibi, HTML5’i bir saldırı platformu olarak da kullanabilmektedirler.

DDoS (Distributed Denial of Service) ve spam amacıyla kullanılan botnet’lerin sayısının artacağı düşünülmektedir.

SMS spam ile spam’in yeni bir boyut kazanabileceği kaydedilmektedir.

Uzun süredir forumlar gibi nispeten kapalı ortamlarda hizmetlerini satışa sunan saldırganlar bunu bir iş modelini dökmeye başlamışlardır. Profesyonelce hazırlanmış siteler üzerinden DDoS saldırısı veya rootkit almak artık mümkündür. Bu sitelerin sayısı önümüzdeki yıl artacaktır.

Son operasyonlarını doğru koordine edemeyen ve bu operasyonların amaçlarını da net bir şekilde ifade edemeyen Anonymous’un sempatizanlarının bir kısmını kaybettiği düşünülmektedir.

Kurban veya saldırgan olarak devletlerin siber suç ortamında daha aktif rol alacağı düşünülmektedir.

Raporun ana başlıkları bu şekildedir. Detaylı bilgi için rapora http://www.mcafee.com/us/resources/reports/rp-threat-predictions-2013.pdf adresinden ulaşılabilir.

Güvenli parola kullanımı için 15 öneri


2012 yılının Temmuz ayında kendine “D33D” diyen bir grup korsan Yahoo Voice ve Gmail gibi hizmetlerin kullanıcılarına ait yaklaşık 450,000 parola yayınladı. Güvenlik ihlalinin ötesinde bu olay bize kullanıcıların parola seçimlerinde ne kadar özensiz olduğu bir kez daha göstermiş oldu.



Bir CNET çalışanın yayınlanan parolalar üzerinde yaptığı analizin sonuçları aşağıdaki şekilde bloglarda geniş yakın bulmuştu;

2,295: “123456” gibi ardışık rakamlardan oluşan parola kullananların sayısı
160: parola olarak “111111” kullananların sayısı, ayrıca 71 kişinin parolası “000000” olarak seçilmiş
780: “password” kelimesini şifre olarak kullananlar
233: asgari güvenli şifre şartlarına uymak amacıyla “password” kelimesinin sonuna rastgele rakam ekleyenler
437: “welcome” kelimesini parola olarak kullananların sayısı
333: “ninja” kelimesini parola olarak kullananlar
137,559: yayınlanan Yahoo kullanıcı adı ve parolalarının sayısı
106,873: yayınlanan Gmail kullanıcı adı ve parolalarının sayısı

McAfee’nin Blog sayfasına yazan Robert Siciliano yukarıdaki bilgilerin ışığında aşağıdaki bilgileri ve önerileri paylaşmıştır.

Kullanıcı adı ve parolalara yönelik saldırılar

Sözlük saldırıları
Bu saldırılar belli bir sözlük içerisinde bulunan kelimelerin bir yazılım yardımıyla sırayla denenmesine dayanır. Bunlara karşı alınabilecek basit önlemlerin başında “qwerty” veya “asdfg” gibi ardışık klavye karakterlerini veya sözlükte bulunan kelimeleri parola olarak kullanmamaktır.

Güvenlik sorusunu yanıtlamak:
Bazı sitelerde “şifremi unuttum” seçeneğini tıklamak karşımıza kullanıcı tarafından tanımlanmış bir “güvenlik sorusu” getirir. Bu sorunun cevabı kişisel olsa bile özellikle sosyal medyayı aktif olarak kullanan kurbanlar hakkında detaylı bilgi toplayabilen saldırganlar tarafından da tahmin edilebilmektedir.

Basit parola kullanmak:
Geçtiğimiz yıl yayınlanan 32 milyonu aşkın kullanıcı adı ve parola içerisinde en çok kullanılan parolanın “123456” olduğu, ikinci olarak en yaygın kullanılanın ise “12345” olduğu görülmektedir. Bunları “111111” ve “qwerty” gibi diğer basit parolalar kullanılmaktadır.

Aynı parolayı birden fazla sitede kullanmak: 
Yayınlanan parolalarda kurbanların, eposta, bankacılık, online alışveriş siteleri gibi farklı sitelerde aynı parolayı kullanma oranlarının %31 olduğunu görüyoruz. Bu sayede kurbanın parolasına basit bir forum gibi daha az korunan site üzerinden erişebilen saldırganlar daha ciddi  diyebileceğimiz online alışveriş siteleri üzerinden kurbanı mağdur edebilmektedir.

Sosyal mühendislik: 
Parolayı doğrudan kurbana söyletebilmek için kullanılabilecek onlarca farklı sosyal mühendislik yöntemi vardır. Bu nedenle parolanızın ve parolanızla ilgili her şeyin çok özel olduğunu hatırlamakta fayda var.

Parola güvenliğini sağlamak için öneriler

    1.          Her sitede farklı bir parola kullanın
    2.            Parolanızı yazarken kimsenin sizi izlemediğinden emin olun
    3.      Kısa süreliğine de olsa bilgisayarınızın başından kalktığınızda mutlaka kilitleyin. Oturum açıkken parolanızı çalmak, değiştirmek veya bilgisayarınızda yeni bir kullanıcı tanımlamak sadece bir iki dakika sürer.
    4.      “Keylogger” olarak da adlandırılan ve klavye üzerinde basılan her tuşu kaydedip bu bilgiyi dışarıya gönderen yazılımlara karşı gerekli önlemleri alın. Bunun için öncelikle bu tür yazılımları tespit edecek güvenlik yazılımlarının kurulması ve sürekli güncel tutulması önemlidir.
    5.           İnternet kafelerde, okulda veya bir arkadaşınızın evinde, size ait olmayan veya ne kadar güvenilir olduğunu bilmediğiniz bilgisayarlarda parolanızı yazmayın.
    6.      Kafeler gibi halka açık yerlerde güvenilir olmayan bir kablosuz ağ bağlantısı kullanıyorken parolanızı yazmayın. (bkz. bir önceki yazı)
    7.          Parolanızı kimseye söylemeyin. Bugün arkadaşınız olan birisi yarın bunu farklı bir amaç için kullanabilir. Parolanızı bilen tek kişi olmanız parola güvenliği için çok önemlidir.
    8.      Parolalarınızı düzenli olarak değiştirin. Mümkünse aynı parolayı bir yıldan kısa süre içerisinde tekrar kullanmayın.
    9.      Büyük harf, küçük harf, rakam ve sembolden oluşan en az 8 karakterli parolalar kullanın.
    10.      Parolanız kolay hatırlanabilir ama zor tahmin edilir olsun.
    11.      Parolayı klavyeye çizin. Örneğin: “!2wsxdr5&” gibi, dikkatli bakarsanız bir “V” harfi çiziyor
    12.      Kısa cümleler kullanabilirsiniz. Örneğin: “Te!ef10V@r!” veya “1kiL0@yeter”
    13.      Parolanızı bir yere yazabilirsiniz ama bunu bilgisayarınızdan uzakta, başka notlar ile karışık olarak ve parola olduğu anlaşılmayacak şekilde yaptığınızdan emin olun.
    14.      Parolanızı hatırlamanıza yarayacak bir kopya hazırlayabilirsiniz. Yukarıdaki örneklere istinaden: “Ne var?” (Cevap: “Te!ef10V@r!”)
    15.     Çoğu site parolanızın ne kadar güvenli olduğu konusunda size bilgi verecektir. Emin olmadığınız durumlarda internette arayarak parola kontrolü yapan siteler bulabilirsiniz.
Kaynak: http://blogs.mcafee.com/consumer-threat-alerts/yahoo-hacked-15-tips-to-better-password-security

Friday, April 27, 2012

Ali – Veli, 49 – 50

Ekran görüntüsüz, uygulamasız bir IT blogu, defile resmi olmayan bir moda blogu gibidir. Bu nedenle ücretsiz wi-fi hizmeti veren cafelerin müdavimlerini yakından ilgilendiren bir saldırı örneğini göstermek istiyorum. Bu blogun amacı öğretmek değil, o nedenle saldırının detaylarına mümkün oldukça girmeyeceğim. Amacım okuyanlara bu saldırının ne kadar kolay yapılabildiğini göstermek. 

Saldırının anatomisi
Saldırı için iki ayrı makine kullanacağız, birisi Windows işletim sistemi kullanıyor (kurban) diğeri bir Linux sürümü (saldırgan). Saldırı Man In The Middle (ortadaki adam) sınıfı bir saldırıdır ve wi-fi bağlantılarının kalıtsal bir açığından faydalanmaktadır. 

İlk adım
İlk adım kurbanın internet trafiği kendi üzerimize almaktır. ARP Spoofing ile kendimizi ağ üzerindeki gateway olarak tanıtıp kurbanın bize bağlanmasını sağlıyoruz. 



Yukarıdaki ekranda görüldüğü üzere kurbanın broadcast isteğine “gateway benim” cevabı göndermeye başlıyoruz.


Aynı zamanda IPTABLES ile 80 numaralı portumu 10000 numaralı porta yönlendiriyorum. Böylece kurbanın https isteklerine http olarak cevap vereceğim. 


Hazır bir yazılım olan SSLSCRIPT kullanıyorum.  Aynı işi yapacak pek çok yazılım var, bu onların içerisinde nispeten basit olanlardan bir tanesi. 

İkinci Adım
Kurban cafede otururken maillerini kontrol etmek için Hotmail sitesine bağlanıyor. Aslında bağlandığını sanıyor, gerçekten bağlandığı yer benim bilgisayarım. 

Dikkat ederseniz kendi tarayıcısı üzerinde gördüğü Hotmail sayfası olması gerektiği gibi HTTPS değil, sadece http. Ayrıca güvenli bir bağlantı havası vermek için adres çubuğunda anahtar ikonunu göreceksiniz. 


Kurban giriş yapmak için kullanıcı adını ve şifresini yazıyor. 


Ancak gerçekten Hotmail.com adresine bağlı olmadığı için kendisine bir hata mesajı geliyor.


Üçüncü adım
Saldırgan şu anda kullanıcı adınıza ve şifrenize sahip. Size ne kadar teşekkür etse azdır. 


Görüldüğü gibi kullanıcı adı aliveli4950@hotmail.com, şifre ise 123456789. 

Sadece mailler mi?
Tabii ki sadece mailler değil, facebook, twitter, üye olduğunu alışveriş siteleri, aklınıza gelen çoğu yer.Bu saldırı size SMS ile bir seferlik şifre gönderen banka sitelerinin bir kısmında da işe yaramaktadır. Şifreyi sizden önce saldırgan girmiş olacağı için siz sorunun nereden kaynaklandığını anlayana kadar istediği işlemi yapma fırsatını bulabilir. 

Ne yapmalı?
Halka açık bağlantılardan bankacılık işlemlerinizi yapmamakla başlayabilirsiniz. Bütün dünya ile paylaşmak istemeyeceğiniz diğer sayfalar, mail, facebook, vb halka açık yerlerde wi-fi üzerinden girilmemesi gereken siteler. 


Thursday, April 26, 2012

Kaç Paralık Güvenlik Lazım?

Güvenlik Yatırımlarına Karar Vermek: “Güvenlik işinde hesabını bilmek” 
Bundan bir süre önce güvenlik yazılımları satarken sıkça karşılaştığım bir soruydu bu: “bir şirket bilgi güvenliğine ne kadar para harcamalıdır?”. Bankacılık ve Finans okuyup üzerine işletme yüksek lisans yaptıysanız “gerektiği kadar” cevabı sizi tatmin etmekten uzaktır. Aklınızın bir köşesini kemirir durur bu soru. Kendimce bu soruya cevap vermemi sağlayan birkaç yaklaşımı sizlerle paylaşmak istiyorum.



 Bilgi Güvenliği Konusunda Karar Vermek Neden Bu Kadar Zor? 
Bilgi güvenliği konusunda net bir karar vermemizi engelleyen en önemli şeylerden birisi kuşkusuz yeterli veriye sahip olmayışımızdır. Geçen sene, geçen ay veya geçen hafta sizinle aynı sektörde kaç firmanın ağına saldırı düzenlendiği, bunun kaçının başarılı olduğunu veya saldırıların türleri konusunda bilgi sahibi olmayışımız bilgi güvenliği konusundaki kararları kendi içimizde vermemizi gerektiriyor. Bütün komşuların alarm ve çelik kapı taktırdığını görsek, biz de aynı önlemleri alırız tabii ki. Ama komşularımızı görmediğimiz bir ortamda karar tamamen bize kalmış oluyor. Yukarıdaki konuya paralel olarak çoğu zaman bize karşı doğrudan yapılan saldırıların bile farkında olmuyoruz. Korumaya çalıştığımız şeylerin somut olmayışı ve hatta kolayca kopyalanır yapıları işimizi çok zorlaştırıyor. Öyle ya, muhasebe programınızın veri tabanının bir kopyası alınsa bunu nasıl fark edeceksiniz? Veri tabanının silindiğini fark ederiz, değiştirildiğini bir ölçüde fark edebiliriz ama kopyalandığını bize açıkça gösterecek bir delil yok. En azından bu delil programı günlük olarak kullananların görebileceği/anlayabileceği türden bir şey değil. Bu durumda risk sadece veriyi kaybetmek değil, veriye başkalarının ulaşması demektir.

 Okulda Gördüklerimiz Gerçek Hayatta İşimize Yarar Mı? 
Okulda gördüğümüz ROI (Return On Investment) veya NPV (Net Present Value) gibi finansal hesaplar işimize yarar mı peki? ROI (Return On Investment – Yatırım Üzerinden Geri Dönüş) bize yaptığımız yatırım karşılığında ne kazandığımızı söyler. Peki, güvenlik gibi bize doğrudan para getirmeyecek bir yatırım kaleminde işi nasıl ele alabiliriz? Her şeyden önce riski ve bu riske karşılık gelecek tutarı ortaya koymamız gerekir. Firmanızın bilgi güvenliğine karşı düzenlenebilecek 1024 farklı saldırı çeşidi olarak ama dikkate almamız gerekenler size doğrudan zarar verebilecek olanlardır. Kusursuz bir dünyada aklınıza gelebilecek bütün açıkları kapatmak ve bütün riskleri örtmek için çabalayabilirsiniz ama gerçek dünyanın kısıtlamaları size bunlardan sadece bazılarına karşı kendinizi koruma imkanı veriyor. Dolayısıyla en kritik olandan başlayarak daha az önemli olanlara doğru giden bir sınırlandırma yapmak zorundayız. Bazı saldırıların maddi sonuçları olabileceği gibi bazılarının sonuçları ne yazık ki tam olarak ölçülebilir değildir.

 Gerçek Tehdit Seviyesini Anlamak 
Tehdit seviyesinin net olarak ortaya konulması yatırımı yapacak yöneticilerin karar vermesini kolaylaştıracaktır. Bilgi güvenliği konusunu daha kolay anlamak için korumamız gereken sunucuları ortaçağı kalelerine benzetebiliriz.
Bu durumda kalemizin gerçekte ne kadar tehdit altında olduğunu anlamak için aşağıdaki göstergeleri göz önünde bulundurmalıyız:
Açıklık: Kalemizin ne kadar açık bir arazide bulunduğu.
Çevre: Kalemizin etrafının özellikleri. Surlarımız geniş ve yüksek mi? Saldırganları koruyabilecek çıkıntılar var mı?
Koruma seviyesi: Kalemizin ne kadar korunduğu. Nöbetçilerimizin sayısı, savunma silahlarımızın durumu, kapılarımızın sağlamlığı ve benzeri savunma yöntemleri.
Tehdit: Civar tepelerde gezen ve bize saldırması muhtemel yağmacı gruplarının sayısı ve yoğunluğu.
Saldırılar: Kalemize atılan ok ve taş sayısı.
Zaaf: Surların ne kadar kolay aşılabilir olduğu.
Değer: Surların aşılması durumunda kaybedilecek altın/hazine/insan değeri.

Risk hesaplamasını kolaylaştırmak için kullandığımız bu benzetmede görülen başlıkları aşağıdaki risk formülüne yerleştirerek gerçekte ne kadar risk altında olduğumuzu anlamamız mümkün olacaktır.



 Risk nedir? 
 Risk budur! 

Risk = Zaaf x Saldırılar x Tehditler x Açıklık 

Bu sistem alabileceğiniz en yüksek puan 625 ve en düşük puan 1 olacaktır. Puan ne kadar yüksek olursa güvenlik konusunda yapılması gereken o kadar iş vardır.
Örneğin: Uygun fiyatına kanarak hizmet aldığınız veri merkezinin sürekli saldırı alıyor olması ve size ucuz hizmet verdiği için gerekli güvenlik yatırımlarını yapacak parasının olmaması sizin açıklık ve tehdit katsayılarını 5 yapacaktır. Bunun yanında zayıf noktaları hemen herkes tarafından bilinen bir CMS (Content Management System – İçerik Yönetim Sistemi) kullanıyorsanız Zaaf katsayınız 5 olacaktır.
Size özel herhangi bir saldırının olmadığını da varsayarak (rastgele saldırıların artan sıklığı nedeniyle saldırı katsayınızı 3 aldık) Risk durumunuz aşağıdaki gibidir:
Risk = 5 x 3 x 5 x 5 = 375

Bu model kabaca hangi konularda yatırım yapılmasını gerektiğini ve genel güvenlik durumunuzu gösterir. Örneğin yukarıdaki durumda olan bir emlak danışmanlık firması müşteri listesine biçtiği değerle bu yatırımı karşılaştırıp bir karar vermek zorundadır. Müşteri listesinin kaybolması/çalınması/rakibe gitmesi durumunda net bir gelir kaybı yaşamayacaksa bu riski kabul edilebilir olarak değerlendirebilir. Benzer durumdaki bir e-ticaret sitesi doğrudan para kaybedeceği için bu riski kabul edilebilir görmeyecek ve notunu en hızlı şekilde düşürecek yatırımlardan başlayarak risk seviyesini kabul edilebilir düzeye hızla indirecektir.

Puanınız ne kadar yüksek çıkarsa çıksın moralinizi bozmayın. Ne de olsa "%100 güvenlik" yoktur, sadece “daha güvenli” vardır. Hızlı ve basit birkaç iyileştirme ile notunuzu kolayca düşürebilirsiniz. Önümüzdeki günlerde daha detaylı bir risk analizinin nasıl yapılacağını ayrıca ele alacağım.

Wednesday, April 4, 2012

“Baba ben toplum mühendisi olacağım”… “aferin oğluma! Oku mühendis ol!”

Hacker olma fikrinin yavaş ama emin adımlarla filizlendiği yaşlarda karşıma çıkan bu toplum mühendisliği (social engineering) kavramın Türkiye’de dünyanın pek çok diğer ülkesine göre çok daha verimli olduğunu ancak birkaç yıl sonra keşfettim. Kültürümüz “senin işin de zor be abi” cümlesine izin verdiği sürece ayrıca dikkatli olmamız gereken bir konu.

Kimin ne bildiğini biliyor musunuz?

Hacker’in kabul olan duası: Yardımsever bir danışma görevlisi (Şekil 1-A)

Öncelikle sormamız gereken soru bu. Temel düşüncem her şirketin kendi içerisindeki para ve bilgi akışını bir şema üzerinden takip etmesi gerektiğidir. Böylece parayı gerçekte nasıl ve nereden kazandığımızı da açıkça görerek daha verimli ve karlı adımlar atma fırsatımız olacaktır. Bilginin akışı ise öncelikle işimizi kolaylaştıracaktır. Kimin ne bildiğini ve kimin neyi nasıl öğrendiğini takip ederek hangi sorunun çözümü için kime gideceğimizi bilecek ve firmaya yeni katılanların neyi bildiğini takip etme şansımız olacak. Bu tarafı biraz patronları ilgilendiriyor gerçi, beni kimden ne öğrenebileceğim ilgilendiriyor.
“Kurumsal ilk izlenim uzmanı” arkadaş veya nizamiyedeki güvenlik görevlisiyle konuşarak sizin hakkınızda ne öğrenebilirim?

Varan 1: Banka

Eşimle flört ettiğim dönemlerde kendisi özel bir bankada çalışıyordu ve geç saatlere kadar çalışmak zorunda kalıyordu. Benim işim daha erken bittiği için banka şubesinin önünde bir süre beklemek zorunda kalıyordum. “Senin işin de zor be abi” diye başlayan sohbet zamanla derinleşti ve 2 ayın sonunda edindiğim bilgilerin bazıları şunlardı:
Para geliş ve gidiş saatleri
Para nakil prosedürün detayları
Akşam paranın kasaya konmadan önce konulduğu yer
Paranın sayılmayı beklediği bu yere dışarıdan kolayca erişmenin yolu
“Patlar maazallah” diyerek güvenlik görevlisinin silahı boş taşıdığını
Güvenlik görevlisinin hoşlandığı kadın tipini
Şubede bulunan ortalama para miktarı (günlük bilgi verebiliyordu)
Net göstermeyen ve bir nedenden çalışmayan güvenlik kameralarının hangileri olduğu
Şube alarm sisteminin kodu
Kısaca kaliteli bir soygun planlamak için gerekli olacak bilgilerin çoğunu uğraşmadan elde etmiştim.

Varan 2: kullanılmayan x-ray

Devletin ciddi ve güvenlik seviyesi hayli yüksek kurumlarından birisinin kapısından giriyorum. Sakin hareketlerle cebimden anahtarlarımı ve cep telefonumu çıkartıp elimdeki 3 adet kalınca kitapla birlikte metal detektörünün yanındaki bu iş için yapılmış yere koyuyorum ve detektörden geçiyorum.

Kitapları, anahtarlarımı ve cep telefonumu alıp danışma bankosuna yürüyorum. Kendimden emin bir ses tonuyla “başkan bey’e kitap getirdim” diyorum. “Buyurun” diyorlar, bir kart verip beni binanın içerisine tek başıma salıyorlar. Bu arada nüfus cüzdanım yanımda olmadığı için ve ehliyetimi de arabayla otoparka girerken aldıkları için kartvizit vermeyi öneriyorum, yardımsever güvenlik görevlisi kabul ediyor.

Tek başınayım, başkan’ın odasına kadar çıkacak yetkiye sahip bir geçiş kartım var, buna karşılık ellerinde benim olup olmadığını bilmedikleri bir kartvizit var. İşin ilginç tarafı içerisine herhangi bir şey saklayabileceğim kalınlıkta 3 cilt kitaba ne bakan oldu, ne metal detektöründen geçti ne de mevcut x-ray cihazından geçirildi. Bu arada sözünü ettiğim yerin misafir otoparkı olmadığı için ehliyetimi oraya vermiş olma ihtimalim hiç olmadı.

Güvenlik görevlisi varsa, x-ray ve metal detektörü yatırımı da yapıldıysa kullanılsın bir zahmet.

Beni ne mühendisler istedi de varmadım!

Toplum mühendisi: Temsili (Şekil 3-A)

Toplum mühendisliği herhangi bir saldırıdan önce yapılan araştırma (reconnaissance) döneminde önemli bir araçtır. Pasif bilgi toplama kısmını diğer bilgi toplama yöntemlerinden ayıran temel özellik pasif bilgi toplamanın “normal işleyişten” farkının olmaması gerektiğidir. Bu durumda saldıracağınız bir firmanın adını google’a yazmanın fiziksel karşılığı oraya normal şekilde girmek olacaktır. Bir müşteri gibi veya yol sorma bahanesiyle girebilirsiniz, bu normaldir. Ancak bir banka şubesine girip fotoğraf çekmek normal karşılanmayacağı için bu aktif bilgi toplama sınıfına girecektir.

İyi niyetli kişiler olduğu gibi gelenlerin bir kısmının kötü niyetli olabileceğini de hatırlamakta fayda var.

Kimin ne bildiğini bilmek ve bu kişilere karşı oluşabilecek tehditleri doğru analiz etmek ileride başınızın ağrımasını engelleyecektir. Verdiğim ikinci örnek ise konunun tersten ele alınması gibidir. Bu durumda güvenlik görevlisinin neyi bilmediğini bilmek önem kazanmaktadır. Görünen o ki girişteki arkadaşlar dışarıdan gelebilecek tehditlere karşı tamamen bilgisizler.
Korsanları bayraklı gemilerle beklediğimiz dönem bitti; onlar artık güler yüzlü, esprili, konuşkan ve halinizden anladığı için dertlerinizi anlattığınız kişiler.

Korsan: Temsili (Şekil 4-A)

Tuesday, April 3, 2012

Truva Meselesi

Truva atı (Trojan Horse veya Trojan) hikayesi beni hep etkilemiştir. “Yakalım bunu” önerisinde bulunan kişinin sözünün dinlenmemesi ve atın tanrılardan gelen bir hediye olarak şehre alınması. Güvenlik işinin ibretlik lafontaine öykülerinden birisi aslında, ders almamız gereken. Günümüzde Truva Atları tahtadan yapılıp kapımızın önüne bırakılmıyor ne yazık ki, sessizce posta kutunuza sızıyor veya USB belleğinize yerleşiyor.

Meşhur Truva Atı (Şekil 1-A)

Ne yapar bu beygirler?
Kötü niyetli bir insan olarak bilgisayarınıza trojan yerleştirmemin birkaç nedeni olabilir tabii ama en yaygın kullanım alanları aşağıdakiler gibi gözükmektedir;
•DDoS saldırısının parçası olarak bilgisayarınız işlemci ve bağlantı kaynaklarını kullanmak
•Bir bankaysanız sizden para çalmak
•Sizden bilgi çalmak
•Bilgisayarınıza başka bir amaca hizmet edecek bir yazılım yüklemek
•Dosya yüklemek veya bilgisayarınıza dosya indirmek
•Dosyalarınızı silmek / değiştirmek
•Yazdıklarınızı takip etmek (Keylogger)
•Ekranınızı seyretmek
•Bilgisayarınızı bozmak
•Şu anda aklıma gelmeyen ama canımın çektiği herhangi bir şey.

Trojan’ları asıl tehlikeli yapan büyük ihtimalle çok çeşitli platformlarda varlık gösterebilmeleridir. Hatta akıllı cep telefonlarına uygulama indirmek için kullandığımız “uygulama marketlerin” birer trojan yuvasına döndüğünü gösteren araştırma sonuçları yayınlanmıştır. Konu cep telefonu veya bilgisayar olsun, sizden habersiz açılan bir oturum ve sizin izniniz olmadan paylaşılan bilgiler söz konusudur.

Trojan’ları bu kadar tehlikeli yapan bir diğer unsur ise bireysel bilgisayar kullanıcılarının hedef alınmasıdır. Sunucularınızı ve firewall’larınızı güçlendirebilirsiniz ancak son kullanıcılarda bazı güvenlik reflekslerini oluşturmak zaman alacaktır. Güvenliğe ilişkin bazı reflekslerin oturması ise imkansız gibi görünmektedir. “FWD: kedi resimler… çok Şekerler!!!” konulu bir maili açmamak gerektiğini anlatabilirsiniz belki ama birkaç hafta sonra gelecek “Prada yaz indirimi başladı” konulu mailin de tehlikeli olduğunu ayrıca belirtmenizde fayda olacaktır. Erkek kullanıcılarda durum daha da vahimdir, uyarmadı demeyin.

Danseden tavşanlar sorunu

Gary McGraw ve Edward Felten tarafından yapılan bir yorum “Bilgisayar kullanıcısından danseden bir tavşan ve güvenlik arasında şeçim yapmasını isterseniz, kullanıcı her seferinde danseden tavşanı seçecektir”.

Burada kastedilen temel sorun bilgisayar kullanıcılarının özellik/uygulama ve güvenlik arasında tercih yapmak zorunda kaldıkları her durumda güvenliği ikinci plana atmalarıdır. Oyun oynarken çıkacak bir güvenlik güncellemesi için izin talebi büyük ihtimalle hayır veya “daha sonra hatırlat” cevabını alacaktır.

Danseden tavşanlar: Temsili (Şekil 2-A)

Bilgisayar kullanıcılarının bu ortak özelliği nedeniyle herhangi bir sistem veya ağ tasarımı yapılırken kullanıcının karar verme yetkisinin asgari düzeyde tutulmalıdır. Örneğin sistem güvenlik güncellemelerini kullanıcı onayına gerek duymadan yapmalıdır

Nereden başlamalı?

Başlıca çözümü sisteminizde bulunan kullanıcıların eğitilmesidir. En azından tanımadıkları adreslerden gelen mailleri açmamaları gerektiğini vurgulamanız gerekecek. Bunun yanı sıra USB belleklerin veya akıllı telefonların da tehdit oluşturduğunun anlaşılmasını sağlamak gerekecek.
Kullanıcı kaynaklı sorunlar dışında iş spam ve port/log kontrollerini yaparak anormalliklerin oluşmasını önlemeye kalıyor. Anti-spam yazılımları ve donanımları tehlikeli maili açıp açmama kararını bilgisayar kullanıcısına bırakmama konusunda önemli bir yardımcımız. Anti-spam çözümlerinin belli bir “öğrenme” dönemi olduğunu ve kullanılmaya başlandığı günü tam verim alınamayacağını hatırlamakta fayda var. Server tarafında olduğu gibi kullanıcı bilgisayarlarının loglarını ve açık portlarını düzenli olarak takip etmekte fayda olabilir.
Birisi “FW: Dans eden tavshanlar, muHte$em!!!! :) LOL” konulu o maili açmış olabilir.

Sunday, April 1, 2012

Afrika

Afrika’nın yer altı zenginliklerini duyardık ancak uzmanlar bir süredir Afrika’nın botnet açısından da zengin olabileceğini belirtiyor. “Afrika’daki botnet’lerden bize ne?” demiyor ve sizin için Afrika’lı yaban botnetlerini araştırıyoruz.

Botnet nedir?
Botnet farklı hedefleri olan ama temelde kötü amaçlı yazılımlardır. DoS saldırılarından, spam göndermeye kadar geniş bir yelpazede kullanılabilen botnetlerin en belirgin özelliklerinden birisi grup halinde yönetilebilmeleridir. Kısaca tek bir makineden gelen saldırı yerine yüzlerce, belki binlerce makineden gelen saldırılarla karşı karşıya kalmak demek.

Botnet saldırıların engellenmesi bu yazının konusu olmamakla beraber bu konuda daha fazla bilgi isteyen okuyucularımız basaranalper|@|gmail|.|com adresine “Botnet saldırıları hakkında bilgi istiyorum” konulu bir mail atabilirler. Maile adınızı ve detaylı iletişim bilgilerinizi yazmayı unutmayınız.

Afrika nedir?
Çocukluğumun birkaç yılının geçtiği Dakar dışında Afrika hakkında çok bilgim yok. Oradan aklımda kalanın büyük bölümü aşağıda resmi olan Sandaga Pazar yeri ile ilgili zaten.

Sandaga Pazarı, Dakar, Senegal (Şekil 1-A. Kaynak: salysenegal.net )

Kabile savaşları, sefalet, açlık, insanlığa karşı işenen suçlar gibi genel kültür bilgisi dışında beni, ve sizi, ilgilendiren bir yanı daha var Afrika’nın. Uzmanlar Afrika’nın geleceğin en büyük botnet saldırısının çıkış yeri olabileceğini belirtiyor. Şekil 1-A’da da görüldüğü üzere yoksulluğun pençesinde kıvrılan bu ülke gelişmiş medeniyetler için gerçekten bir tehdit oluşturabilir mi?

Tehlikenin kaynağı nedir?
Tehlikeyi iki ana başlık altında ele alabiliriz; botnet kapmış makineler ve internet erişimi. Şimdiye kadar tehdidin göz ardı edilebilir olmasının nedenlerinden birisi Afrika kıtasının dünyaya çıkış için sınırlı bir bant genişliğine sahip olmasıydı. Sonuçta bütün kıta orta ölçekli bir Avrupa kentinin internet bağlantısına sahipken kimse yıkıcı bir botnet saldırısını aklına getirmiyordu. Ancak son yıllarda SEACOM, TEAMS (The East African Marine System) kablosu, EASSy kablosu gibi yatırımlarla kıtanın internet çıkışı önemli rakamlara ulaşmıştır.

EASSy sistemi (Şekil 2-A. kaynak: Wikipedia)

Bu gelişmelere paralel olarak kıta genelinde artan bilgisayar kullanımı da olası botnet makine sayısının artmasına neden olmaktadır. Makinelerin önemli bir kısmının korsan Windows sürümleri kullandığı, dolayısıyla güvenlik yamalarının olmadığı söyleniyor.

Bu durumda ne olur?
Genel paranoya haline kapılıp Afrika’da bulunan 10 milyon botnet’in ülkemize saldıracağını ve bunun internet altyapımızı çalışamayacak hale getirebileceğini düşünebiliriz. Benzer şekilde 21. Yüzyılın en büyük hacker’larının Afrika’dan çıkabileceğini de hayal edebiliriz. Mauritus kaynaklı bir botmaster’ın Londra Canary Wharf’ta bulunan banka genel merkezlerini bitirdiği bir film bile çekilebilir önümüzdeki günlerde.

Canary Wharf’ta sabah (Şekil 3-A. Kaynak: Alper Başaran)

Her ne olursa olsun, şu anda tehdidin gerçekleşme ihtimali düşük gözüküyor. Ama bu ölçekte profesyonel saldırıların hedefinde kalabileceğimizi unutmamak adına güzel bir felaket senaryosu oluşturuyor.

Biz ne yapalım?
Paniğe kapılmadan kendi sistemimizin güvenliğini sağlayalım. Bunun için sistemin ve kullanıcıların hangi bilinç seviyesinde olduğunu tespit etmek önemlidir. Böylece eğitimlere ve yatırımlara nereden başlayacağımıza karar verebiliriz.
Bilinç seviyelerini kabaca 4 döneme ayırabiliriz, aşağıdaki grafikte görüldüğü gibi zamanla, daha doğrusu güvenlikle ilgili çalışmalar yürütüldükçe sistem içerisindeki bilinç seviyesi artıyor.

Güvenlik bilinci seviyesi (Şeki 4-A. Kaynak: Byrnes & Scholtz, 2005)

Güvenlik bilinci seviyelerinin temel özelliklerini anlamak bulunduğunuz sistemin hangi seviyede olduğunu ve sonraki seviyeye geçmek için yapmanız gerekenleri ortaya koyacaktır.

“Cehalet” dönemi: Bu dönemin özelliği güvenlik konusunda herhangi bir prosedür, süreç, işlem yoktur. Firewall olması iyiye işaret olabilir ama firewall’ın fabrika hala fabrika ayarlarında olması sizi şaşırtmamalı.

“Bilinçlenme” dönemi: Güvenlikle ilgili kıpırdanmaların olduğu dönemdir. Çalıştığınız yerde bu konuda çalışmalar yeni başladıysa büyük ihtimalle bu dönemdesiniz. Bilinçlenme dönemine geçmek için öncellikle mevcut durumun gözden geçirilmesi gerekmektedir. Sonrasında güvenlik konularıyla ilgilenecek bir ekibin kurulması veya bu ekibin kâğıt üzerinde mevcut olduğu durumlarda yeniden düzenlenmesi ve çalışır hale getirilmesi gerekmektedir. Bu ekipler ISO çalışmasının mirası olarak karşımıza çıkabilirler. Son adımda ise bir dizi yeni güvenlik kuralı geliştirilir.

“Düzeltme” dönemi: Bu dönemde yeni strateji şekillenmiş olur. Güvenlik odaklı mimari gözden geçirilir ve oturtulur. Bu dönem ilerlemeye odaklandığı için ve belli bir altyapının oluşmaya başlamış olmasından dolayı en hızlı ilerlemenin görüldüğü dönem olacaktır.

“Mükemmeliyet” dönemi: Çalışmaların tam anlamıyla meyvelerini verdiği dönem. Sürekli iyileştirme hedefiyle yapılacak işlerin olduğu ancak güvenlik bilincinin büyük ölçüde oturduğu bir dönem.
Görüldüğü gibi güvenlik bilincinin oluşturulması, güvenlikle ilgili her konuda olduğu gibi bir süreçtir.
SANS 27000 Uygulama ve Yönetim kursu buna benzer bir örneği log kayıtlarıyla ilgili vermektedir. Logların 3 aşamalı bir model ile hiç izlenmedikleri bir durumdan saatlik izlendikleri bir duruma geçiş gösterilmiştir. İlk aşamada belirli aralıklarla incelenen sunucu ve daha da seyrek olarak incelenmektedir. Üçüncü aşamada ise gerekli yazılım ve donanım yatırımları yapılmış ve loglar anlık olarak incelenip yorumlanmaya başlamıştır.

Afrika’ya dönersek
Şirket firewall’unuzun Kara Kıta kaynaklı milyonlarca botnet’in katıldığı bir siber savaş cephesi haline gelmesi zor. Ancak mevcut yapınızın sizi çok daha basit saldırılara karşı savunmasız bıraktığını hatırlamak için bu tür korku senaryolarını arada hatırlamakta fayda var.

Güvenlik 101

Üniversitede aldığımız ekonomi 101 dersi gibi güvenlik teorisi konusunda harcanan zamana ve bunu anlamak için yitip giden zamana uzun süre anlam veremedim. Bildiğiniz “bunlar gerçek hayatta ne işimize yarayacak?” sorusunu soruyordum kendime ve cevabı bulmam mümkün olmuyordu. Birkaç yıl sonra yine bu konuda karşıma çıkan bir yazıyı okurken fark ettim ki aslında gerçek dünyada en çok işimize yarayan şeyler “güvenlik 101” olarak adlandırabileceğimiz temel bir dersin içeriği.

“Güvenliğe giriş” diye bir ders olsaydı ilk konu CIA olurdu

CIA muhtemelen aklınıza ilk genel CIA değil, kastettiğim CIA; Confidentiality (Gizlilik), Integrity (Bütünlük) ve Availability (Erişilebilirlik) kelimelerin baş harfleridir.

Gizlilik (Confidentiality):
Burada gizlilik bir bilginin saklanması ve bilginin ilgili taraflar dışına sızmaması olarak iki anlam taşımaktadır. Dolayısıyla bilginin veya verinin ilgili sistem içerisinde kalması için alınan bütün önlemler bilginin gizliliği başlığı altında toplanabilir. Bu seviyede gerçekleşecek bir zafiyet bilgi, veri ve duruma göre para kaybı anlamına gelebilir. Gizlilik konusunda aklımıza gelen ilk önlem parola korumasıdır. Genellikle kullanıcı adıyla birlikte kullanılan parolalar kullanıcının kimliğini doğrulamayı amaçlarlar. Retina/parmak izi taraması gibi biometrik çözümler ve akıllı kartlar da aynı işlevi görmektedir.

Bütünlük (Integrity):
Bütünlük verilerin izinsiz olarak değiştirilmesini, yeni bilgiler eklenmesini veya mevcut bilgilerin çıkartılmasını engellemeyi amaçlar. MD5 ve SHA-1 hash yöntemleri veri bütünlüğünü korumak amacıyla geliştirilmiştir.

Erişilebilirlik (Availability):
CIA üçlüsünün bileşenleri arasında en kolay ölçülebilenidir. Sistemlerin ve verilerin ulaşması gereken kişilere ulaşılabilir halde olması erişilebilirliktir.

Hocam bunlar gerçek hayatta ne işimize yarayacak?

Yukarıda belirttiğimiz üç ana başlık saldırganların temel hedeflerini özetlemektedir. Bu saldırıların ortak özellikleri aşağıdaki gibidir. İlk şekilde normal haliyle gerçekleşmesi gereken iletişim gösterilmiştir

Normal iletişim (Şekil 1-A)

Veri gizliliğine karşı saldırı (Şekil 1-B)


Görüldüğü üzere kötü niyetli (bkz. siyah şapkalı adam) üçüncü taraf diğer iki taraf arasında gerçekleşen iletişime dahil olmaktadır. Burada kullanılan başlıca saldırılar paket yakalama, dinleme ve kopyalama modelleri üzerine kuruludur.

Veri bütünlüğüne karşı saldırı (Şekil 1-C)


Bu saldırı türünde kötü niyetli üçüncü taraf paketleri yakalamakla kalmaz, paketleri değiştirerek alıcıya iletir. Böylece iki taraf arasındaki iletişimde veri bütünlüğü bozulmuş olur. Bu saldırı modeli üç aşamalıdır; paketler yakalanır, değiştirilir ve alıcıya gönderilir.

Veri bütünlüğüne karşı saldırı – Kullanıcı taklidi (Şekil 1-D)


Veri bütünlüğüne karşı yapılan saldırıların bir çeşidi de kullanıcının kimliğine bürünerek iletişim kurulmasıdır. Bu saldırı türünde kullanıcı başka bir kullanıcı ile iletişim halinde olduğunu düşünse bile aslında kötü niyetli üçüncü taraf ile temas halindedir.

Sistem ve veri erişilebilirliğine karşı saldırı (Şekil 1-D)


Temel olarak DoS (Denial of Service) türü saldırılardır. DoS saldırıları binlerce zombi bilgisayarın eşzamanlı yürüttüğü saldırılar olabileceği gibi güç veya Ethernet kablosunun sökülmesi gibi basit yöntemler de DoS saldırısı olarak sınıflandırılır. Hedef sisteme veya veriye erişimi engelleyecek her türlü girişim DoS saldırısıdır.

Sınavda çıkacak konular:

Saldırganın neyin peşinde olduğunu bilmek nasıl bir saldırı gelebileceğine dair bize fikir verebilir. Saldırıları kolaylıklarıyla da derecelendirmekte fayda var, örneğin trafiği satüre etmeye yönelik bir DDoS saldırısı trafik üzerinde kolayca görülecektir ve önlem almak mümkün olacaktır. “Man in the middle attack” gibi daha planlı ve sessiz saldırılar ise ancak IDS (Intrusion Detection System) veya firewall yardımıyla tespit edilip engellenebilir. Güvenlik 101 dersinin bir de sınavı olsa başlıca iki konusu olurdu; saldırganların temel olarak neler yapabileceğini bilmek ve bu saldırıların neden olabileceği sorunları anlamak. İstediğiniz sorudan başlayabilirsiniz.

Paranoyak olmam takip edilmediğim anlamına gelmez

Bilgi güvenliği hepimizin gündeminde ama çoğumuz buna bilinçli bir şekilde yaklaşmakta zorlanıyoruz. Bilincin oturması için öncelikle konuyu bütün ciddiyeti ve gerçekliği ile almak gerekiyor ki burada karşılaştığımız engeller teknik bilgimizin/yeterliliğimizin çok dışında. Konuyu ele almak için işin sadece bizlere düşmediğini, şirket içi kullanıcılardan üst yönetime kadar herkesin bunda payı olduğunu kabullenmek gerekir. 90’lı yıllarda ISO belgeleri yaygınlaşmaya başladığı yıllarda Kalite Departmanının “Kalite Hepimizin Görevi!” feryatlarını hatırlıyorum da ; “Güvenlik Hepimizin İşi!” demeye başlamış olmamız iyiye işaret değil gibi geliyor. Bu duruma düşmemek ve bilgi güvenliğimizi sağlayabilmek için güvenlik kararlarını etkileyen başlıca oyuncuları ve şartları anlamamızda fayda var.

En zayıf halkanız kadar güçlüsünüz: İnsan saflığına karşı sizi koruyacak bir firewall yok

Tanıştırayım: Düşman. (Şekil 1-A)


2008 yılında Ortadoğu’da bulunan bir Amerikan askeri üssünün sistemine yukarıda görülen ileri teknoloji ürünü siber saldırı aracı (!) sayesinde girildi. Agent.btz isimli worm halen A.B.D. askeri gizli bilgilerine karşı yapılmış en ciddi saldırı olarak biliniyor. Bu saldırıya karşı başlatılan “Buckshot Yankee” operasyonu kapsamında etkilenen bütün bilgisayarların temizlenmesi 14 ay sürmüş ve bu süreçte USB belleklerin kullanımı yasaklanmıştır. Bu olay aynı zamanda A.B.D. ordusu bünyesinde “U.S. Cyber Command” birimin kurulmasına neden olmuştur.
Bu tür bir saldırıya karşı ne kadar açık olduğunuzu anlamak için toplantı odasına bir USB bellek bırakmanız yeterli olacaktır. Meraklı bir arkadaşınızın eninde sonunda onu bulup ağınıza bağlı bir makinede çalıştıracağından emin olabilirsiniz.

Güvenlik Hepimizin İşi!
Güvenlik konusunda çalışma arkadaşlarımızı eğitmek zorundayız ama her çalışanımızın bizim için eşit derecede tehdit oluşturmadığını veya eşit derecede tehdit oluşturabilecek bilgiye sahip olmadığını anlamamız gerekiyor. Aynı şekilde sistemde bulunan her bileşenin eşit tehdit yaratmadığını da aklımızda tutmakta fayda var.
Aşağıdaki matris bu konuyu çok iyi bir şekilde özetlemektedir.

Risk Analiz Matrisi (Şekil 2-A)




Tehditleri bu matrise yerleştirerek hangilerine karşı daha dikkatli olmamız gerektiğini anlayabiliriz. Aslında “tehdit” dediğimiz şeyin büyüğünün veya küçüğünün, önemlisinin veya önemsizinin olmaması gerekir ama ne yazık ki mükemmel bir dünyada yaşamıyoruz. Mükemmel bir dünyada yaşamadığımız için de %100 güvenliği sağlamak için yeterli kaynaklarımız yok. Dolayısıyla elimizdeki imkânlara göre bir öncelik sırası belirleyip buna göre hareket etmemiz gerekiyor. Riskleri belirleme konusu firmaya göre değişiklik gösterdiği için bu konuda bir matris veya formül vermek doğru olmaz ancak ertesi günün gazetesinde görmek istemeyeceğiniz, kendi ellerinizle rakibe göndermeyeceğiniz ve hemen şu anda silmeyi göze alamayacağınız verileri korumakta fayda var.

Bu matriste sistemleri, çalışanları, tedarikçileri ve bunun gibi güvenliği etkileyen her unsuru değerlendirmekte fayda var. Sonuç olarak olasılığı ve etkisi en yüksek tehditlere karşı hemen önlem anlamakta fayda var. Alınabilecek önlemler kritik bilgilere erişimi olan çalışanların eğitilmesinden yeni güvenlik sistemi yatırımlarına; fiziksel güvenliğin güçlendirilmesinden atık kâğıt politikasının gözden geçirilmesine kadar çok geniş bir yelpaze oluşturmaktadır.
Yukarıdaki matris iki soru soruyor ve hassasiyeti bunlara verilen cevaplara göre sıralıyor;
Tehdidin gerçekleşme olasılığı nedir? Ve bu tehdit gerçekleşirse ne kadar zarar verir?
Daha önce verdiğimiz USB bellek örneğini ele alırsak bu tür bir sızma durumunun gerçekleşme olasılığı nedir? “İşyerinize ziyaret/iş görüşmesi bahanesiyle girip bir USB bellek bırakmayı göze alabilecek kimse var mı?” gibi basit soruların cevapları bize bu konuda ipucu sağlayacaktır.

İkinci aşamada ise bu tehdidin gerçek olması halinde neler kaybedeceğinizi değerlendirmek gerek. Veya online satış yapan bir işletme sanal mağazanın veri tabanını içeride de kullanıyorsa içeride kullanılan sisteme dışarıdan birinin ulaşması ne gibi sonuçlar doğurur? Bu sonuçlar yeni güvenlik yatırımlarını, örneğin bir DMZ (bkz. Demilitarized Zone) kurulmasını, haklı çıkarır mı?

Güvenlik yatırımlarında geri dönüşün hesaplanması
ROI (Return On Investment) veya daha basit bir deyimle “paramı ne kadar zamanda kurtarırım?” sorusu çoğu yöneticinin aklının bir köşesinde vardır. Güvenlik konusunda ceplerinden çıkacak paralar da ne yazık ki aynı süzgeçten geçer. Tam bu noktada bilgi güvenliğinin “uzun ince yolu” karşımıza çıkıyor. Aşağıdaki şekilde yeşil olan kutular bilgi güvenliğinin yolunu çizmektedir. Bu kutulardan yürürseniz başarıya ulaşma ihtimaliniz vardır.

Yürünecek yol (Şekil 3-A)



Her hangi bir güvenlik yatırımında temel olarak 3 taraf vardır; Teknik, Finans ve Yönetim. Bunların her biri ayrı birimler olabileceği gibi KOBİ ölçeğinde Finans ve Yönetim genellikle tek noktada toplanmıştır. Tabloyu özetlersek; güvenlik konusunda bilgisi olan Teknik Birim ne yazık ki olayın Finansal ve Yönetimsel boyutlarını göremez ve/veya bu konuda söz hakkına sahip değildir. Benzer şekilde Finans Birimi işin teknik boyutuna uzaktır. Görüldüğü üzere konuya dahil üç taraf da sadece kendi konuları hakkında bilgi sahibidir. Dolayısıyla bir güvenlik yatırımın yapılabilmesi için üç aşamanın da onayı alınmalıdır. Teknik birimin talebini ve özellikle talebin nedenini açıkça ve diğer birimler tarafından da anlaşılabilecek şekilde dile getirmesi çok önemlidir. Toplantıları seven şirketlerde bunun için bir çalışma grubu kurulabileceği gibi daha verimli çalışmayı tercih eden firmalarda konu Teknik Birimin risk analizi matrisini ve sonuçlarını paylaşması ile kolayca çözülebilecektir.

Geri dönüş ise sızabilecek/kaybolabilecek bilgilerin değeri ile kolayca hesaplanabilir ama genel görüşüm konunun doğru anlatılmasının finansal çekinceleri ortadan kaldıracağıdır.

Güvenlik politikası:
Görüldüğü üzere gerek güvenlik zafiyetlerinin sonuçlarından gerekse güvenlik kararlarının alınma sürecinden dolayı bilgi güvenliği gerçekten hepimizin işi. Gerekli analizler yapıldıktan sonra ortaya çıkan sonuçlara göre bir güvenlik politikası belirlenmelidir.
Bu politikayı oluşturacak kuralları güvenlik konusuna genel yaklaşım belirleyecektir. Yaklaşım paranoyaklıkla tamamen boş vermişlik arasında bir skala üzerinde bir yere oturacaktır.

Skala (Şekil 3-A)



Yaptığımız iş veya sahip olduğumuz verilerin hassasiyeti ise düşmanlarımızı belirleyecektir. Filmlerde görmeye alıştığımız siyah ekran üzerine yeşil karakterlerle kod yazan dahi bir “hacker” mı var karşımızda?

Dahi hacker – Temsili (Şekil 3-B)



Yoksa 13-14 yaşında meraklı bir İsveçli çocuk mu? Yoksa tükenmez kaleminin içerisindeki USB bellekle bizden bilgi çalan bir çalışan mı?

Tanıştırayım: Düşman 2.0 (Şekil 3-C)


Kevin Mitnick’in dediği gibi “Güvenlik süregelen bir kedi-fare oyunudur”, güvenlik politikasını oluşturmak ve güncel tutmak, çalışanları akıllarına gelmeyecek tehditlere karşı uyarmak, her an tehdit altında olduğumuzu anlamak ve anlatmak bize bu oyunda az da olsa avantaj sağlayacaktır.

Wednesday, February 8, 2012

Krav Maga

If Krav Maga has ever taught me anything it is the importance of counter-attacks. Of course blocks are effective but a block combined with a punch will give you an advantage you'll be happy to have in any confrontation outside the dojo. A nice and caring opponent that throws you a punch just where and when you want it is something and the guy on the street is something else.


I was thinking if we weren't fooling ourselves in a similar manner on issues related to our information security. Do we only prepare for attacks we want to receive? Can we do more?

Back to Krav Maga then for a possible approach; our response time can determine the outcome of the attack. On a similar note, it's also very difficult to defend yourself against an attack you don't see at all. On the street you will easily spot a potential threat your instincts will provide you with priceless feedback on most situations, all you have to do is to listen.

When it comes to information and physical security some further measures need to be taken. First of all we need a way to "see" the attack; monitoring the incoming internet traffic can easily give you some clues about the type of the attack. On a second level system and network events can also be helpful keeping in mind that attacks can also come from the inside (think end user).

This again doesn't do much on its own, you need to have a plan for when an attack is occurs. Same ideas can be extended to the physical security of your company, how do you know no one has entered your offices, data center or warehouse last night?

Anything of value moves

Anything of value within the company will have tend to be on the move. Money, information and the goods all move in various directions which makes it hard to keep an eye on them and also makes them vulnerable to attacks.

This is a security nightmare as this movement is usually paired with routine. Something moving is easy to get/hit/grab/steal/change as it has lost many advantages realted to stability. Something moving within a pattern and at regular intervals can be a dream for anyone with questionable motives.

Trying to constanly monitor moves and trying to find alternative routes is hard unless the good has a certain value for example a gold mining operation in Russia constantly changes its shipment method between land, rail, sea and air because they can afford it. As we don’t have unlimited ressources we will have to accept certain risks and things moving in a pattern might just be one of them. The least we have to do then is to be aware of the things that move, their values (for us and for the bad guys), when they are most vulnerable, etc…
Because it came up: things don’t always have the same value for us and for others. Your customer list can be taken for granted by your Sales Team and yet be a very valuable asset fort he competitor’s salesman.

Back to prioritization then, what moves and what’s it worth? You will see that even by doing this part of the work you will find movements and exposures you don’t really need thus avoiding the risk related to them altogether.

Incertainty and decisions (2)

After having answered the “what could happen?” question we can move forward by asking ourselves “what can I do?”

In the corporate world this question can be a real nightmare as you (technical knowledge) have to convince the management (decision making) to approve a purchase (financial approval). This in itself would be hard enough, however, to this we need to add the lack of technical knowledge of the management and the already prioritized budget. In summary you are stuck with the below table where everyone has limited knowledge thus creating a very thin path to be navigated for a successful investment decision.




The initial prioritization will avoid the formation of unnecessary bottlenecks. Have you ever met the IT guy who thinks the company never approves his purchase demands? This can be one of the reasons, you ask for too much and you get nothing.

IT, just like any other department should work on “interdepartemental communication”. Sales, Accounting, Human Ressources, Business Development all have different mentalities. A salesman can feel that a discussion on a specific tax form made in a foreign language just as a technical document would be at least “difficult to understand” for someone in Human Ressources. IT should be able to provide concrete threats and simple answers to the Management which in turn should explain Finances why this purchase shouldn’t be trivialized.

The “what can I do?” question should also be reformulated as “what can we do?”, simply because security can NOT be the responsability of IT alone. Everyone who operates a computer within the organization and anyone who has or has access to “sensible knowledge” must take responsability. “Sensible knowledge” about a comany is very easy to spot, it’s anything you wouldn’t like to see on the Frontpage of tomorrow’s newspaper.

A minimum level of security can only be reached if all stakeholders do their part. Otherwise that firewall will only be “another IT purchase” and not the superman you were hoping it to be.

Incertainty and decisions (1)

Security for the majority of us is a decision making game. Unless we are a terrorist or a mercenary we will most likely be on the defensive side of the operations. Being on the defensive side is often trying to fill holes with a limited budget while being everywhere at the same time, it sucks and we all know it. You have a limited budget, uninformed or misinformed managers, ignorant vendors and you’re trying to protect company data.

The limit on the security budget is often parallel to the limit of the support you get from upper management.

Is everything really lost then? Isn’t there anything we can do?
There are many things that can be done but the most important one is to be able to decide correctly. We don’t know who the attacker will be or where he’ll come from, we don’t know when he will attack and we don’t even know what he’s looking for. The only thing we can be sure of is that he’ll attack.

We can look at the company we work for, a 50 employee, family owned shoelace manufacturer for example. Who would attack us and why? Shoelaces aren’t worth much on the black market and the patent drawings you have in the safe… well it’s basically a string right?

Unless you use solid gold machines for the production we can dismiss any physical attack, thus minimize our physical security investments. Today’s technology allows us to have highly effective systems such as motion detectors and alarms at rather low costs which would be enough to stop thieves and delinquents. We can also dismiss any attacks on the personel except for some extreme scenarios like hostage situations or looting, both of which are police business.

The main targets then would be information and financial.
Defacing the company website, stopping all internet communication (mails and VoIP), accessing employee records or gaining access to bank accounts can be the most imminent threats we would have to cover.

These categories would be mainly reversed for a jewelry shop where physical security would be more important. An initial prioritization of threats will help us get better direction for our security investments. We then have to think “what would they go after?”.

A blog on everything?

Yes, this is how you might describe it. This blog is about everything related to security simply because you can NOT have security on a single level. A single level security can easily be described as "locking the door while the windows are open".

To be able to talk about security, even at a very basic level, you have to be sure that you have covered the main bases. Make sure your information is safe, your physical location is safe, your money is safe and you are safe. In other words, this is where you stand;




Or at least this is where you have to stand. Anything less or favoring one side for the other leaves you open to threats.
Today threats are many and different, from a 13 years old "script kiddie" to an old employee who hates you, everyone can be a threat. It would be almost impossible to be prepared for every different potential attack so we will have to keep things very simple.
Just as the great Archilochus said: "the fox knows many tricks, and the hedgehog only one; but that is the best one of all!"