ISE 410 SİBER GÜVENLİĞE GİRİŞ DR. TUĞRUL TAŞCI Güvenlik Açık ve Tehditleri Güvenlik açıkları ve tehditleri birbirleriyle yakından ilişkilidir. Tehditler bireylerden, gruplardan ya da kuruluşlardan gelebilir. Güvenlik tehdidi, bilişim sistemindeki bir varlığa zarar verebilecek bir eylemdir. Sisteme yönelik tehdit kazara ya da kasıtlı olabilir. Sistem varlığı donanım, yazılım, veri tabanı, dosyalar, fiziksel ağ ile ilişkili olabilir. Bilgisayar güvenliğinin amacı, tehditlere karşı bir güvenlik stratejisi oluşturmaktır. Güvenlik açığı, bir tehdit tarafından zarar verme amaçlı olarak kullanılabilecek sistemin zayıf bir tarafıdır. Bu hedefe ulaşmak için bilgisayar ve ağ sistem yöneticilerine, tasarımcılara, geliştiricilere ve kullanıcılara yardımcı olacak yönergeler geliştirilebilir. Tehditler tespit edilerek önem ve etkilerine göre öncelik sırasına alınabilir. (Para kaybı, imaj zararı, parasal güvenilirlik, sıklık) Tehditler bir ya da daha fazla güvenlik açığını kullanabilirler. Sistemde bir güvenlik açığı varsa tehditte var demektir. Yaygın Güvenlik Tehditleri Zararlı yazılım (Malicious Software) Donanım veya yazılım hatası (Hardware or Software Failure) İç Saldırgan (Internal Attacker) Ekipman hırsızlığı (Equipment Theft) Doğal Afet (Natural Disaster) Endüstriyel Casusluk (Industrial Espionage) Terörizm (Terrorism) Harici Saldırgan (External Attacker) Bilişim Sistemi Güvenlik Alanlarında Muhtemel Açıklar ve Potansiyel Hedefler Kullanıcı Alanı İş İstasyonu Alanı LAN Alanı • Bilişim Güvenliğine ilişkin farkındalık eksikliği • Kazara yapılan güvenlik ihlalleri • Zararlı yazılım bulaşması • Yetkisiz erişim • Zararlı yazılım bulaşması • Uygulama yazılımları açıkları • Yetkisiz ağ erişimi • Şifresiz veri iletimi • Zararlı yazılım bulaşması • Gizli ve özel verilerin genel erişime açılması ve yetkisiz erişim • Zararlı yazılım bulaşması LAN WAN Alanı • Özel verinin şifresiz iletimi • DoS / DDoS saldırıları • Uygulama yazılımları açıkları WAN alanı • Brute-force tipi sistem ve/veya veri erişim saldırıları • Gizli ve özel verilerin genel erişime açılması ve yetkisiz erişim Uzak Erişim Alanı • Yetkisiz fiziksel veya mantıksal erişim • İşletim sistemi ya da uygulama yazılımlarındaki açıklar • Hata ve felaket kaynaklı veri kaybı Sistem / Uyg. Alanı Bilişim Sistemi Güvenlik Alanlarında Muhtemel Açıklar ve Potansiyel Hedefler Kullanıcı Alanı • Bilgisayarlar, Akıllı Telefonlar, Uygulama Yazılımları İş İstasyonu Alanı • İş İstasyonları, Sunucular, İşletim Sistemi Yazılımları LAN Alanı • Dosya sunucuları, E-posta sunucuları, Veritabanı sunucuları, Kablosuz Yerel Ağ sunucuları, Hub, Repeater ve Bridge’ler LAN WAN Alanı •HTTP ve E-posta sunucuları, Terminal sunucuları, Router ve Firewall’ler WAN Alanı •Router, Gateaway, Switch’ler Uzak Erişim Alanı •VPN ve VPN yazılımları Sistem / Uygulama Alanı •İstemci işletim sistemleri, ERP Uygulamaları, Web Tarayıcıları Tehdit Tipleri Bilgiyi güvenli kılmak için erişilebilirlik, bütünlük ve gizlilik özelliklerinin sağlanması gerekir. Bilginin üç özelliğini doğrudan tehdit eden üç büyük tehdit tipi Engelleme ve Yok etme tehditleri (Denial / Destruction) Değiştirme Tehditleri (Alteration) İfşa Etme Tehditleri (Disclosure) Engelleme ve Yok Etme Tehditleri Örnek - Denial of service (DoS) Saldırıları •Kullanıcının bilgisayar ya da ağ kaynaklarına erişmesini engelleyen saldırıdır. Varlıkları ve kaynakları erişilemez veya kullanılamaz hale getiren tehditlerdir. Bilginin erişilebilirlik özelliğine tehdittir. Yetkili kullanıcının erişebilirliğini geçici yada kalıcı olarak engelleyebilir. Bir saldırganın sunucudaki belli bir porta flood saldırısı yaptığını düşünelim. •Bu tip bir saldırı kullanıcıların dakikalarca ya da saatlerce servislere ulaşmasını engelleyebilir. Sunucunun istek cevaplama süresinin uzun olması her zaman DoS saldırısına işaret etmez. •Ağ kaynaklarını olması gerekenden daha fazla kullanıcının paylaştığı durumlar •Bant genişliğinin bilinçli ve programlı bir şekilde azaltıldığı durumlar •Ağ yöneticilerinin güncelleme çalışmaları yaptığı durumlar Değiştirme Tehditleri Değiştirme tehditleri bilginin bütünlük özelliğini ihlal eder. Sistemdeki verilerin kasıtlı şekilde yetkisiz olarak ya da kazara değiştirilmesi dir. Değişiklik, oluşturma, değiştirme, silme şeklinde olabilir. Değiştirme işlemi, bilginin kaynağında ya da iki kaynak arasında taşınırken gerçekleştirile bilir. Sistem konfigürasyo nunda yapılan değişiklikler bütünlüğü bozabilir. •Veritabanı dosyaları, işletim sistemleri, uygulama yazılımları, bilgisayar donanımları Değişikliklerin planlı olarak ve yetkili kurumlar tarafından yapılması riski azaltır. Veri yedeklemesi bu tür tehditlerin etkilerini azaltabilir. İfşa Etme Tehditleri Saldırganların kullandığı yollar: Ağ kaynağındaki özel ve gizli bilgilere yetkisiz kullanıcılar tarafından erişilmesi durumudur. Bu durum özel ve gizli bilgi içeren donanımın kaybı ya da çalınmasıyla da oluşabilir. •Sabotaj — Varlığın normal kullanımının yok edilmesidir. •Espiyonaj — Gizli bilgi casusluğudur. Teröristler ve düşman ajanları yapabilir. •Sabotaj izleri bulunabilir ancak, espiyonaj izleri bulunamayabilir. Birçok kurumda kişilerin özel ve gizli bilgileri bulunabilir. Bunların ifşası kişilik haklarının ihlaline yol açar ve hukuki sonuçlar doğurabilir. Devlete ait bilgilerin ifşası durumunda daha ciddi sonuçlar ortaya çıkabilir. Bilgi güvenliği uzmanları bu tür tehditleri ortadan kaldırmak üzere en çok zaman ve çabayı harcarlar. Buradaki en önemli husus özel ve gizli bilgilerin hiçbir iz bırakmadan ele geçirilebilmesi problemidir. Bu nedenle bu alanda güvenlik AR-GE çalışmaları üzerine gidilmektedir. Zararlı Saldırı (Malicious Attack) Saldırılar 4 kategoride değerlendirilir (Bu 4 kategorinin kombinasyonunu da içerebilir) Saldırı bilgisayar ya da ağ kaynağındaki bir açıktan faydalanarak yapılan zararlı eylemdir. • Fabrications — Bilgisiz, dikkatsiz kullanıcıyı aldatmaya dönük uygulamalar • Interceptions — Trafiğin dinlenmesi ve yetkisiz kullanıma yönlendirilmesi • Interruptions — Trafiğin aksatılması veya durdurulması • Modifications — Verinin akar halde ya da yerinde değiştirilmesi Saldırılar aktif ya da pasif olabilir. • Aktif saldırı ağ kaynağına yetkisiz erişim için akan veri üzerinde değişiklik yapma eylemidir. Aktif saldırı fiziksel bir saldırı da olabilir. • Pasif saldırıda sistem üzerinde değişiklik yapılmaz sistemin dinlenmesi ve izlenmesi yapılır. Zararlı Saldırı Tipleri Brute-force attacks Dictionary threats Address spoofing Hijacking Replay attacks Man-in-the-middle attacks Masquerading Social engineering Phishing Phreaking Pharming Zararlı Saldırı Tipleri / Brute-Force Attack En yaygın olarak kullanılan yöntemlerden birisidir. Saldırgan bir bilgisayar yazılımı ile giriş yapabilene kadar farklı şifreler dener. Bugünkü bilgisayarlar ile yeterli zaman verildiğinde birçok şifrenin kırılması mümkün olabilir. Zararlı Saldırı Tipleri / Dictionary Attack Kullanıcıların zayıf parola oluşturdukları varsayımına dayalı basit bir saldırı tipidir. Bu saldırıda bir sözlükteki kelimeler alınarak şifre girişi için kullanılır. Şifre oluşturma kuralları kullanmak bu saldırıyı büyük olasılıkla ortadan kaldırır. Zararlı Saldırı Tipleri / Address Spoofing Bir kullanıcı ya da yazılımın farklı bir kimlikle bir kaynağa erişim kazanmasıdır. Bu tipteki yaygın saldırılardan birisi farklı bir bilgisayar gibi görünmek için yanlış bir ağ adresi kullanmaktır. Router yöneticisi dış trafiği içteki adreslerle filtrelemediği takdirde bu saldırı başarılı olabilir. Zararlı Saldırı Tipleri / Hijacking İki kaynak arasındaki oturumu ele geçirme ve kendisini bu oturumun taraflarından birisi olarak gösterme saldırısıdır. Man-in-the-middle Hijacking •Bu tipte, oturumun taraflarından birisi olarak saldırgan kendini gösterir. •Saldırgan bilgi toplayıp değiştirebilir. Browser Hijacking •Bu tipte, istem yaptığından başka bir siteye yönlendirilir. Çoğunlukla taklit bir siteye. •Kullanıcı adı ve parola bilgileri elde edilebilir. Session Hijacking •Saldırgan iki ağ bilgisayarı arasındaki bağlantıyı kontrol altına alır. •Saldırgan önce LAN’daki bir cihazı (firewall ya da başka bir bilgisayar) kontol altına alarak bağlantıyı izler. •Bu saldırganın gönderici ve alıcının kullandığı sıra numaralarını tespit etmesini mümkün hale getirir. •Daha sonra saldırgan bu trafiği karşıdan geliyormuş gibi üretmeye başlar. •Böylece kullanıcılardan birisinin oturumunu çalmış olur. •Güçlü erişim kontrol yöntemleri bile oturum çalma saldırısına çözüm üretemeyebilirler. •Bu durumda şifreleme kullanmak en uygun çözümdür. Zararlı Saldırı Tipleri / Replay Attack Bu saldırı tipinde, ağdaki veri paketleri yakalanıp tekrar kaynağa gönderilir. Alma işlemi çoklanır. Bu bazı servislerin bozulmasına sebep olabilir. Önceki mesajlar ve ya da mesaj parçaları kullanılarak sistem kırılıp erişim kazanılabilir. Zararlı Saldırı Tipleri / Man-in-the-middle Attack İki uç arasındaki trafik engellenerek başka bir yere yönlendirilir. Web spoofing buna bir örnektir. •Kullanıcının yönlendirildiği web sitesi aslında gitmek istediğinin bir taklididir. Bu tip saldırıda bilgi çalınabilir, DoS saldırısı başlatılabilir, iletilen veri bozulabilir, kuruluş kaynaklarına erişim kazanılabilir. Zararlı Saldırı Tipleri / Masquerading Bu tip saldırıda, bir kullanıcı ya da bilgisayar başka bir kullanıcı ya da bilgisayar gibi görünür. Bu tip saldırı, address spoofing or replaying gibi diğer saldırı tiplerini içerebilir. Erişim kontrol bilgilerini içeren paketleri yakalayıp, uygulamaya ya da işletim sistemine bağlanmak için sonradan kullanma esasına dayanır. Örneğin, saldırgan güvenliği zayıf bir web uygulamasına gönderilen kullanıcı adı ve parolaları izleyerek bunları yakalayıp uygulamaya giriş yapmak için kullanır. Bu tip saldırıların diğer bir biçimi de saldırganın kablosuz iletişimde geçerli müşterilerin paketlerini yakalayarak ücretsiz erişim sağlamasıdır. Zararlı Saldırı Tipleri / Eavesdropping Seçici olmayan modda (Promiscuous mode), çalışan bir ağ cihazı her ağ paketini içeriğini okur. Eavesdropping ya da sniffing, ağa giren paketleri filtrelemeyen yalnızca daha sonra analiz etmek için kopyalayan sistemlerde meydana gelir. Ağ protokolü, yazılımların paketlerini nasıl tanımlayıp etiketleyeceğini belirler. Bu da bilgisayarın hedefini belirlemesini mümkün hale getirir. Ağ protokol özellikleri yaygın kullanıma açık olduğu için herhangi bir saldırgan da paket dinleyici (sniffer) geliştirebilir. Paket dinleyici, seçici olmayan modda çalışan bir donanım kullanarak ağın belli bir segmenti üzerinden geçen tüm paketleri yakalayabilir. Bu tip saldırı uydu, kablosuz, mobil bağlantılar üzerinde uygulanabilir. Bazı ağ uygulamaları paketleri sade metin şeklinde dağıttıklarından, paket dinleyici bunlardan anlamlı ve özel bilgileri elde edebilir. (Kullanıcı adı ve parola gibi) Zararlı Saldırı Tipleri / Social Engineering Bu tip saldırıda, insan saldırı aracı olarak kullanılır. Yetkili kullanıcıların, yetkisiz kullanıcılar için işlem yapmasıyla gerçekleşir. Yetkili kullanıcıların kimlik kartları ya da bağlantı bilgilerinin saldırganlar tarafından kullanılıp sisteme erişim sağlanması durumudur. Bu tip saldırıları önlemek oldukça zor olabilir. Riski azaltmak için bazı yöntemler kullanılabilir. • İş alımlarında detaylı kriminal geçmiş araştırması yapma • Güvenlik farkındalığı eğitimleri düzenleme • İç ve dış teknik destek süreçleri için katı güvenlik yönergeleri oluşturma • Tüm personel için kimlik teyidi prosedürleri oluşturma • Veri ve erişim sınırlandırması uygulama • Uzak erişimler için güçlü güvenlik kontrolleri uygulama Zararlı Saldırı Tipleri / Phreaking Geçmişte telefon şebekeleri üzerinden işleyen ağlara yapılan bir saldırı tipidir. Günümüzde ise telekomünikasyon ağlarına ve özellikle mobil şebekelere yönelik saldırıların değerlendirildiği kategoridir. Telekomünikasyon şirketlerinin uyguladığı güvenlik önlemleri ve kullanılan donanımlar bu tip saldırıları önemli ölçüde ortadan kaldırmıştır. Zararlı Saldırı Tipleri / Phishing Saldırganların, Internet kullanıcılarının erişim bilgilerini ya da kredi kartı bilgilerini elde ederek erişim kazanması durumudur. E-posta ya da anlık mesajlar yoluyla özel bilgilerin elde edildiği mesajlara «Phishing Scam» adı verilir. Güvenilir bir kaynaktan geliyormuş gibi düzenlenen mesajlar yoluyla kullanıcıların aldatılmasına dayanır. Bu tip saldırının bir şekli de kuruluşun ağına yetkisiz erişimin hedeflendiği durumdur. «Spear Phishing» Anti-Phishing Working Group (APWG) bu tip saldırıların küresel anlamda ortadan kaldırılması ve yasal yükümlülüklere tabi olması için çalışan uluslararası bir kuruluştur. Zararlı Saldırı Tipleri / Pharming Özel ve gizli bilgilerin «domain spoofing» yoluyla elde edilmesi durumudur. Pharming, DNS sunucusuna yapılan saldırı sonucunda, kullanıcının kendi istediği yerine saldırganın yönlendirdiği siteye erişir. Kullanıcının web tarayıcısı doğru adresi gösterdiği için bunun tespit edilmesi oldukça zordur.