PowerPoint Sunusu

advertisement
ISE 410
SİBER GÜVENLİĞE GİRİŞ
DR. TUĞRUL TAŞCI
Güvenlik Açık ve Tehditleri



Güvenlik açıkları ve tehditleri birbirleriyle
yakından ilişkilidir.

Tehditler bireylerden, gruplardan ya da
kuruluşlardan gelebilir.

Güvenlik tehdidi, bilişim sistemindeki bir
varlığa zarar verebilecek bir eylemdir.

Sisteme yönelik tehdit kazara ya da kasıtlı
olabilir.

Sistem varlığı donanım, yazılım, veri tabanı,
dosyalar, fiziksel ağ ile ilişkili olabilir.

Bilgisayar güvenliğinin amacı, tehditlere karşı
bir güvenlik stratejisi oluşturmaktır.

Güvenlik açığı, bir tehdit tarafından zarar
verme amaçlı olarak kullanılabilecek sistemin
zayıf bir tarafıdır.

Bu hedefe ulaşmak için bilgisayar ve ağ sistem
yöneticilerine, tasarımcılara, geliştiricilere ve
kullanıcılara yardımcı olacak yönergeler
geliştirilebilir.

Tehditler tespit edilerek önem ve etkilerine
göre öncelik sırasına alınabilir. (Para kaybı,
imaj zararı, parasal güvenilirlik, sıklık)
Tehditler bir ya da daha fazla güvenlik açığını
kullanabilirler.
Sistemde bir güvenlik açığı varsa tehditte var
demektir.
Yaygın Güvenlik Tehditleri
Zararlı yazılım
(Malicious Software)
Donanım veya yazılım
hatası (Hardware or
Software Failure)
İç Saldırgan (Internal
Attacker)
Ekipman hırsızlığı
(Equipment Theft)
Doğal Afet (Natural
Disaster)
Endüstriyel Casusluk
(Industrial Espionage)
Terörizm (Terrorism)
Harici Saldırgan
(External Attacker)
Bilişim Sistemi Güvenlik Alanlarında
Muhtemel Açıklar ve Potansiyel Hedefler
Kullanıcı
Alanı
İş İstasyonu
Alanı
LAN
Alanı
• Bilişim Güvenliğine ilişkin farkındalık
eksikliği
• Kazara yapılan güvenlik ihlalleri
• Zararlı yazılım bulaşması
• Yetkisiz erişim
• Zararlı yazılım bulaşması
• Uygulama yazılımları açıkları
• Yetkisiz ağ erişimi
• Şifresiz veri iletimi
• Zararlı yazılım bulaşması
• Gizli ve özel verilerin genel erişime
açılması ve yetkisiz erişim
• Zararlı yazılım bulaşması
LAN  WAN
Alanı
• Özel verinin şifresiz iletimi
• DoS / DDoS saldırıları
• Uygulama yazılımları açıkları
WAN alanı
• Brute-force tipi sistem ve/veya veri
erişim saldırıları
• Gizli ve özel verilerin genel erişime
açılması ve yetkisiz erişim
Uzak Erişim
Alanı
• Yetkisiz fiziksel veya mantıksal erişim
• İşletim sistemi ya da uygulama
yazılımlarındaki açıklar
• Hata ve felaket kaynaklı veri kaybı
Sistem / Uyg.
Alanı
Bilişim Sistemi Güvenlik Alanlarında
Muhtemel Açıklar ve Potansiyel Hedefler
Kullanıcı Alanı
• Bilgisayarlar, Akıllı Telefonlar, Uygulama
Yazılımları
İş İstasyonu Alanı
• İş İstasyonları, Sunucular, İşletim Sistemi
Yazılımları
LAN Alanı
• Dosya sunucuları, E-posta sunucuları,
Veritabanı sunucuları, Kablosuz Yerel Ağ
sunucuları, Hub, Repeater ve Bridge’ler
LAN  WAN Alanı
•HTTP ve E-posta sunucuları, Terminal sunucuları,
Router ve Firewall’ler
WAN Alanı
•Router, Gateaway, Switch’ler
Uzak Erişim Alanı
•VPN ve VPN yazılımları
Sistem / Uygulama Alanı
•İstemci işletim sistemleri, ERP Uygulamaları, Web
Tarayıcıları
Tehdit Tipleri
Bilgiyi güvenli kılmak için erişilebilirlik, bütünlük
ve gizlilik özelliklerinin sağlanması gerekir.
Bilginin üç özelliğini doğrudan tehdit eden üç
büyük tehdit tipi
Engelleme ve Yok etme tehditleri
(Denial / Destruction)
Değiştirme Tehditleri (Alteration)
İfşa Etme Tehditleri (Disclosure)
Engelleme ve Yok Etme Tehditleri
Örnek - Denial of
service (DoS) Saldırıları
•Kullanıcının bilgisayar ya da
ağ kaynaklarına erişmesini
engelleyen saldırıdır.
Varlıkları ve kaynakları
erişilemez veya
kullanılamaz hale
getiren tehditlerdir.
Bilginin erişilebilirlik
özelliğine tehdittir.
Yetkili kullanıcının
erişebilirliğini geçici
yada kalıcı olarak
engelleyebilir.
Bir saldırganın
sunucudaki belli bir
porta flood saldırısı
yaptığını düşünelim.
•Bu tip bir saldırı kullanıcıların
dakikalarca ya da saatlerce
servislere ulaşmasını
engelleyebilir.
Sunucunun istek
cevaplama süresinin
uzun olması her
zaman DoS saldırısına
işaret etmez.
•Ağ kaynaklarını olması
gerekenden daha fazla
kullanıcının paylaştığı
durumlar
•Bant genişliğinin bilinçli ve
programlı bir şekilde
azaltıldığı durumlar
•Ağ yöneticilerinin
güncelleme çalışmaları
yaptığı durumlar
Değiştirme Tehditleri
Değiştirme
tehditleri
bilginin
bütünlük
özelliğini ihlal
eder.
Sistemdeki
verilerin kasıtlı
şekilde
yetkisiz olarak
ya da kazara
değiştirilmesi
dir.
Değişiklik,
oluşturma,
değiştirme,
silme şeklinde
olabilir.
Değiştirme
işlemi, bilginin
kaynağında
ya da iki
kaynak
arasında
taşınırken
gerçekleştirile
bilir.
Sistem
konfigürasyo
nunda
yapılan
değişiklikler
bütünlüğü
bozabilir.
•Veritabanı
dosyaları, işletim
sistemleri,
uygulama
yazılımları,
bilgisayar
donanımları
Değişikliklerin
planlı olarak
ve yetkili
kurumlar
tarafından
yapılması riski
azaltır.
Veri
yedeklemesi
bu tür
tehditlerin
etkilerini
azaltabilir.
İfşa Etme Tehditleri
Saldırganların
kullandığı yollar:
Ağ kaynağındaki
özel ve gizli
bilgilere yetkisiz
kullanıcılar
tarafından
erişilmesi
durumudur.
Bu durum özel ve
gizli bilgi içeren
donanımın kaybı
ya da çalınmasıyla
da oluşabilir.
•Sabotaj — Varlığın
normal kullanımının
yok edilmesidir.
•Espiyonaj — Gizli
bilgi casusluğudur.
Teröristler ve
düşman ajanları
yapabilir.
•Sabotaj izleri
bulunabilir ancak,
espiyonaj izleri
bulunamayabilir.
Birçok kurumda
kişilerin özel ve gizli
bilgileri bulunabilir.
Bunların ifşası kişilik
haklarının ihlaline
yol açar ve hukuki
sonuçlar
doğurabilir.
Devlete ait
bilgilerin ifşası
durumunda daha
ciddi sonuçlar
ortaya çıkabilir.
Bilgi güvenliği
uzmanları bu tür
tehditleri ortadan
kaldırmak üzere en
çok zaman ve
çabayı harcarlar.
Buradaki en
önemli husus özel
ve gizli bilgilerin
hiçbir iz
bırakmadan ele
geçirilebilmesi
problemidir. Bu
nedenle bu
alanda güvenlik
AR-GE çalışmaları
üzerine
gidilmektedir.
Zararlı Saldırı (Malicious Attack)
Saldırılar 4 kategoride
değerlendirilir (Bu 4 kategorinin
kombinasyonunu da içerebilir)
Saldırı bilgisayar ya da ağ
kaynağındaki bir açıktan
faydalanarak yapılan zararlı
eylemdir.
• Fabrications — Bilgisiz, dikkatsiz kullanıcıyı
aldatmaya dönük uygulamalar
• Interceptions — Trafiğin dinlenmesi ve
yetkisiz kullanıma yönlendirilmesi
• Interruptions — Trafiğin aksatılması veya
durdurulması
• Modifications — Verinin akar halde ya
da yerinde değiştirilmesi
Saldırılar aktif ya da pasif
olabilir.
• Aktif saldırı ağ kaynağına yetkisiz erişim
için akan veri üzerinde değişiklik yapma
eylemidir. Aktif saldırı fiziksel bir saldırı da
olabilir.
• Pasif saldırıda sistem üzerinde değişiklik
yapılmaz sistemin dinlenmesi ve
izlenmesi yapılır.
Zararlı Saldırı Tipleri
Brute-force attacks
Dictionary threats
Address spoofing
Hijacking
Replay attacks
Man-in-the-middle
attacks
Masquerading
Social engineering
Phishing
Phreaking
Pharming
Zararlı Saldırı Tipleri / Brute-Force Attack
En yaygın olarak kullanılan yöntemlerden birisidir.
Saldırgan bir bilgisayar yazılımı ile giriş yapabilene kadar farklı
şifreler dener.
Bugünkü bilgisayarlar ile yeterli zaman verildiğinde birçok
şifrenin kırılması mümkün olabilir.
Zararlı Saldırı Tipleri / Dictionary Attack
Kullanıcıların zayıf parola oluşturdukları varsayımına dayalı basit
bir saldırı tipidir.
Bu saldırıda bir sözlükteki kelimeler alınarak şifre girişi için
kullanılır.
Şifre oluşturma kuralları kullanmak bu saldırıyı büyük olasılıkla
ortadan kaldırır.
Zararlı Saldırı Tipleri / Address Spoofing
Bir kullanıcı ya da yazılımın farklı bir kimlikle bir kaynağa erişim
kazanmasıdır.
Bu tipteki yaygın saldırılardan birisi farklı bir bilgisayar gibi
görünmek için yanlış bir ağ adresi kullanmaktır.
Router yöneticisi dış trafiği içteki adreslerle filtrelemediği
takdirde bu saldırı başarılı olabilir.
Zararlı Saldırı Tipleri / Hijacking
İki kaynak arasındaki oturumu ele
geçirme ve kendisini bu oturumun
taraflarından birisi olarak gösterme
saldırısıdır.
Man-in-the-middle Hijacking
•Bu tipte, oturumun taraflarından birisi olarak
saldırgan kendini gösterir.
•Saldırgan bilgi toplayıp değiştirebilir.
Browser Hijacking
•Bu tipte, istem yaptığından başka bir siteye
yönlendirilir. Çoğunlukla taklit bir siteye.
•Kullanıcı adı ve parola bilgileri elde edilebilir.
Session Hijacking
•Saldırgan iki ağ bilgisayarı arasındaki bağlantıyı kontrol
altına alır.
•Saldırgan önce LAN’daki bir cihazı (firewall ya da
başka bir bilgisayar) kontol altına alarak bağlantıyı izler.
•Bu saldırganın gönderici ve alıcının kullandığı sıra
numaralarını tespit etmesini mümkün hale getirir.
•Daha sonra saldırgan bu trafiği karşıdan geliyormuş gibi
üretmeye başlar.
•Böylece kullanıcılardan birisinin oturumunu çalmış olur.
•Güçlü erişim kontrol yöntemleri bile oturum çalma
saldırısına çözüm üretemeyebilirler.
•Bu durumda şifreleme kullanmak en uygun çözümdür.
Zararlı Saldırı Tipleri / Replay Attack
Bu saldırı tipinde, ağdaki veri paketleri yakalanıp tekrar
kaynağa gönderilir.
Alma işlemi çoklanır. Bu bazı servislerin bozulmasına sebep
olabilir.
Önceki mesajlar ve ya da mesaj parçaları kullanılarak sistem
kırılıp erişim kazanılabilir.
Zararlı Saldırı Tipleri / Man-in-the-middle Attack
İki uç arasındaki trafik engellenerek başka bir yere yönlendirilir.
Web spoofing buna bir örnektir.
•Kullanıcının yönlendirildiği web sitesi aslında gitmek istediğinin bir taklididir.
Bu tip saldırıda bilgi çalınabilir, DoS saldırısı başlatılabilir, iletilen veri
bozulabilir, kuruluş kaynaklarına erişim kazanılabilir.
Zararlı Saldırı Tipleri / Masquerading
Bu tip saldırıda, bir kullanıcı ya da bilgisayar başka bir kullanıcı ya da bilgisayar gibi görünür.
Bu tip saldırı, address spoofing or replaying gibi diğer saldırı tiplerini içerebilir.
Erişim kontrol bilgilerini içeren paketleri yakalayıp, uygulamaya ya da işletim sistemine bağlanmak için
sonradan kullanma esasına dayanır.
Örneğin, saldırgan güvenliği zayıf bir web uygulamasına gönderilen kullanıcı adı ve parolaları izleyerek
bunları yakalayıp uygulamaya giriş yapmak için kullanır.
Bu tip saldırıların diğer bir biçimi de saldırganın kablosuz iletişimde geçerli müşterilerin paketlerini yakalayarak
ücretsiz erişim sağlamasıdır.
Zararlı Saldırı Tipleri / Eavesdropping
Seçici olmayan modda (Promiscuous mode), çalışan bir ağ cihazı her ağ paketini
içeriğini okur.
Eavesdropping ya da sniffing, ağa giren paketleri filtrelemeyen yalnızca daha
sonra analiz etmek için kopyalayan sistemlerde meydana gelir.
Ağ protokolü, yazılımların paketlerini nasıl tanımlayıp etiketleyeceğini belirler.
Bu da bilgisayarın hedefini belirlemesini mümkün hale getirir.
Ağ protokol özellikleri yaygın kullanıma açık olduğu için herhangi bir saldırgan
da paket dinleyici (sniffer) geliştirebilir.
Paket dinleyici, seçici olmayan modda çalışan bir donanım kullanarak ağın
belli bir segmenti üzerinden geçen tüm paketleri yakalayabilir.
Bu tip saldırı uydu, kablosuz, mobil bağlantılar üzerinde uygulanabilir.
Bazı ağ uygulamaları paketleri sade metin şeklinde dağıttıklarından, paket dinleyici
bunlardan anlamlı ve özel bilgileri elde edebilir. (Kullanıcı adı ve parola gibi)
Zararlı Saldırı Tipleri / Social Engineering
Bu tip saldırıda, insan saldırı aracı olarak kullanılır.
Yetkili kullanıcıların, yetkisiz kullanıcılar için işlem yapmasıyla gerçekleşir.
Yetkili kullanıcıların kimlik kartları ya da bağlantı bilgilerinin saldırganlar tarafından kullanılıp sisteme erişim
sağlanması durumudur.
Bu tip saldırıları önlemek oldukça zor olabilir. Riski azaltmak için bazı yöntemler kullanılabilir.
• İş alımlarında detaylı kriminal geçmiş araştırması yapma
• Güvenlik farkındalığı eğitimleri düzenleme
• İç ve dış teknik destek süreçleri için katı güvenlik yönergeleri oluşturma
• Tüm personel için kimlik teyidi prosedürleri oluşturma
• Veri ve erişim sınırlandırması uygulama
• Uzak erişimler için güçlü güvenlik kontrolleri uygulama
Zararlı Saldırı Tipleri / Phreaking
Geçmişte telefon şebekeleri üzerinden işleyen ağlara yapılan bir saldırı
tipidir.
Günümüzde ise telekomünikasyon ağlarına ve özellikle mobil
şebekelere yönelik saldırıların değerlendirildiği kategoridir.
Telekomünikasyon şirketlerinin uyguladığı güvenlik önlemleri ve kullanılan
donanımlar bu tip saldırıları önemli ölçüde ortadan kaldırmıştır.
Zararlı Saldırı Tipleri / Phishing
Saldırganların, Internet kullanıcılarının erişim bilgilerini ya da kredi kartı bilgilerini elde ederek erişim kazanması
durumudur.
E-posta ya da anlık mesajlar yoluyla özel bilgilerin elde edildiği mesajlara «Phishing Scam» adı verilir.
Güvenilir bir kaynaktan geliyormuş gibi düzenlenen mesajlar yoluyla kullanıcıların aldatılmasına dayanır.
Bu tip saldırının bir şekli de kuruluşun ağına yetkisiz erişimin hedeflendiği durumdur. «Spear Phishing»
Anti-Phishing Working Group (APWG) bu tip saldırıların küresel anlamda ortadan kaldırılması ve yasal
yükümlülüklere tabi olması için çalışan uluslararası bir kuruluştur.
Zararlı Saldırı Tipleri / Pharming
Özel ve gizli bilgilerin «domain spoofing» yoluyla elde edilmesi
durumudur.
Pharming, DNS sunucusuna yapılan saldırı sonucunda, kullanıcının
kendi istediği yerine saldırganın yönlendirdiği siteye erişir.
Kullanıcının web tarayıcısı doğru adresi gösterdiği için bunun tespit
edilmesi oldukça zordur.
Download