Zafiyet, Tehdit ve Saldırı


Bilgi güvenliği konusu açıldığında karşımıza çıkan 3 temel terim zafiyet, tehdit ve Saldırıdır.
Terimleri anlamanın güvenlik konusunda atılacak adımların daha doğru planlanmasına faydalı olacağına inandığım için kısaca toparlamak istedim.



Zafiyet: Ağ veya ağa bağlı cihaz üzerinde bulunan bir güvenlik zafiyeti. Sunucular, ağ geçitleri ve hatta güvenlik cihazlarında bile zafiyet bulunabilir.

Tehdit: Mevcut zafiyetin istismar edilmesi (saldırgan tarafından kullanılması) halinde gerçekleşebilecek risktir. İlk akla gelenler sistemin hizmet veremez hale gelmesi veya izinsiz kişilerin sistem üzerindeki verilere ulaşmasıdır.

Saldırı: Ağ veya ağa bağlı sistemlere zarar vermek amacıyla yapılan eylemdir.

Zafiyetler

Herhangi bir ağ üzerinde güvenlik politikası, teknoloji veya kurulum/konfigürasyon eksikliklerinden kaynaklanan 3 temel zafiyet türü bulunabilir.

Güvenlik Politikası Zafiyetleri
Kağıt üzerinde görmeye alışık olduğumuz “güvenlik politikası” bizim için gerçekte nasıl bir zafiyet olabileceği ilk bakışta net olmayabilir. Güvenlik politikasının olmaması ağa bağlı sistemlere izinsiz yazılım yüklenmesi gibi pek çok önemli güvenlik açığına neden olabilir. Benzer şekilde felaket kurtarma veya olağanüstü durum planlarının belli olmaması güvenlik ihlali veya felaket durumunda yanlış veya eksik davranışlara neden olarak durumun daha da kötüleşmesine neden olabilir.

Teknoloji Zafiyetleri
Ağ üzerinde teknolojik zafiyet bulunabilecek sistemleri 3 ana gruba ayırabiliriz bunlar protokol, işletim sistemi ve cihazlardır.
HTTP, FTP veya DNS gibi iletişim protokolleri ve ağ üzerinden hizmet veren yapılar kendi içlerinde zafiyetler barındırmaktadır. Saldırganlar bunları hedef alarak ağ üzerindeki iletişimi aksatabilir, veri alışverişini dinleyebilir/değiştirebilir veya kurumsal ağ kaynaklarını başka hedeflere saldırmak için kullanabilir.
Windows, MAC ve Linux/UNIX gibi işletim sistemlerinin bilinen pek çok zafiyetleri vardır. Saldırganlar bu zafiyetleri sistemleri hizmet dışı bırakmak veya tamamen ele geçirmek için kullanabilmektedir.
Cihazların arayüzlerinin istismar edilebilir zafiyetler barındırması veya ağ üzerinde aktif olarak çalışan cihazların fabrika çıkışı kullanıcı adı/parola bilgilerinin değiştirilmemesi bunları saldırganlar için önemli hedefler haline getirmektedir.

Kurulum/konfigürasyon Zafiyetleri
Ağ ve sistem yöneticilerine en çok görevin düştüğü zafiyetler bu başlık altında toplanabilir. Kullanıcı hesaplarının güvenliğinin sağlanması çok önemlidir. Güçlü parola kullanımı için kurallar belirlenmeli ve kullanıcıların bu kurallara uyduğundan emin olunmalıdır. Ağ ve ağa bağlı sistemler üzerinde çalışmasına izin verilen uygulamaların belirlenmesi çok önemlidir. Bu konu açılmışken; bu sene Mart ayında bulaştığı ağ üzerinden topladığı önemli bilgileri kendi açtığı bir Twitter üzerinden paylaşan bir zararlı yazılım tespit edildi. Günde 100.000 adetten fazla Tweet atan zararlı yazılım, bulaştığı bir perakende zinciri ağı üzerinde bulduğu kredi kartı bilgilerini bu sayede dışarıya göndermişti. Geçtiğimiz ay ise bir grup saldırgan sızdıkları ağdan topladıkları verileri Youtube’a video yükler gibi .mp4 uzantılı dosyalar içerisine saklayıp kurumun güvenlik önlemlerini atlatmayı başardı.


Tehditler

Saldırgan profiline biraz daha detaylı ele aldığım bir yazıma http://www.alperbasaran.com/2014/11/siber-saldrgan-tanmak.html adresinden ulaşabilirsiniz. Burada basitçe iç ve dış tehdit profillerine değineceğim.

İç Tehdit
Kurumsal ağa ve sistemlere erişim yetkisi olan kişi veya sistemlerin yaptığı saldırılardır. Bu tehdit grubu sadece personelle sınırlı değildir. Sosyal mühendislik saldırısı sonucunda ele geçirilen bir çalışan laptopu saldırganların bir uzantısı olarak, personelin kötü niyeti sonucunda olmasa bile, iç tehdit olarak karşımıza çıkacaktır.

Dış Tehdit
Saldırganların dışarıdan kurumsal ağa ve bağlı sistemlere izinsiz erişim sağlamalarıdır.


Saldırılar

Saldırı konusu, değil blog, başlı başına kitap olabilecek bir konudur, o nedenle sadece yaygın olarak görülen bazı saldırıları ele alabileceğim.

DoS Saldırıları
“Denial of Service” (Hizmet Dışı Bırakma) saldırıları hala yaygın olarak görülmektedir. Çeşitli güvenlik firmaları tarafından geçtiğimiz ay yayınlanan raporların ortak noktalarından birisi de hizmet dışı bırakma saldırılarının sayısında ve etkisinde görülen artıştır. Özellikle 10 Gbps ve üzerinde görülen DDoS (Dağıtık Hizmet Dışı Bırakma) saldırı sayısı, bir önceki 3 aylık döneme göre, %38 oranında artmıştır. Saldırıların önemli bir bölümü ise basit bant genişliği sömürüsünün ötesinde SYN Flood gibi daha “akıllı” saldırılardan oluşmaktadır.
Bant genişliğini tüketmenin dışında kullanıcıların hedef alınan sisteme erişmesini engellemek  için saldırganların kullandığı DoS saldırılarının temel adımları ise aşağıdakilerdir:
Hedef sistem üzerinde çalışan hizmetleri ve uygulamaları tanımak
Bu uygulamaların kaynaklarını sömürmeye yönelik bir zafiyetten faydalanan bir aracın bulunması
Uygulamaya karşı saldırının başlatılması

Sızmalar
Saldırganların ağa ve ağa bağlı sistemlere sızarak veri çalmaları veya değiştirmelerini kapsayan bu saldırılar aşağıdaki ana hatlar üzerinden gerçekleştirilmektedir
DNS veya web sunucusu gibi internet üzerinden erişilebilen bir sistemin bulunması
Çeşitli yöntemler kullanılarak sistem üzerinde oturum açmak veya başka bir uygulama çalıştırmak
Ele geçirilen sistemin iç ağa ve iç ağa bağlı sistemlere erişmek için kullanılması

Arka Kapı
Saldırganlar tarafından hedef sisteme tam veya kısmı erişim kazanmanın ve bu sistemlerin yönetimini ele geçirmek için kullanılabilecek en basit yöntem arka kapı açılmasıdır. Yaygın olarak görülen 3 arka kapı türü Truva atları, arka kapı yazılımları (PHP Shell, vb.) ve duruma özel yazılmış kodlardır.

Kırmalar
Saldırganlar sisteme erişim yetkisi kazanmak veya hedef sistem üzerinde istedikleri kodu çalıştırmak için kaba kuvvet saldırıları düzenlerler. Bu saldırıların en basit örneği kullanıcı adı/parola tahmini için peşpeşe çok sayıda olasılığın denenmesidir.


Phishing
Hedef kurum personelini kandırmaya yönelik hazırlanmış eposta mesajlarının gönderilmesidir. İyi hazırlanmış bir oltalama (phishing) epostasını engelleyebilecek güvenlik önlemi sayısı çok azdır, bunun ötesinde kullanıcının bu maillerde kurulan senaryoya kanmasını engellemek ise neredeyse tamamen imkansızdır.

Comments