Bilgi Güvenliği Günü Gizli Tehlikeler

... konulu sunumlar: "Bilgi Güvenliği Günü Gizli Tehlikeler"— Sunum transkripti:

1 Bilgi Güvenliği Günü Gizli Tehlikeler
Murat Eraydın CEH, CISSP, MCSE, MCT

2 Türkiye 74,709,412 10,220,000 14% 400% Nüfus Internet kullanıcıları
1 Billion+ (-1) potential hackers assuming you are not planning on hacking yourself. 31 Aralık 2005 Türkiye Nüfus Internet kullanıcıları Oran Büyüme 74,709,412 10,220,000 14% 400%

3 Saldırı İstatistikleri
1.2M+ web sitesi hack’lendi Günde 1000+ Neden önemli? Hangi ürünler? Hangi domain’ler? Nasıl? Why defacements – from Zone-H it’s the ‘Internet Thermometer’ Techniques used to deface are similar to skills a commercial hacker may have Why are these important – appear pretty harmless and easy to fix. Shows domain with weak security Embarrassment Inappropriate Political Competitive advantage

4 Hangi İşletim Sistemleri?
Whose platform is the choice one for the Internet service to be compromised. The surprise here – is just how far ahead Linux is, perhaps home grown websites use this as its free, don’t care as much as Enterprises about security or don’t have the skill to implement securely.

5 Hangi Domain’ler? No real surprises here – although Brazil seems to be becoming a hotbed of web defacers.

6 Neden? So just about 40% is due to poor maintenance.
Surprisingly high number are brute forced…

7 United Department of Justice

8 Central Intelligency Agency (CIA)

9 Başbakanlık...

10 Türk Telekom...

11 Sık Yapılan Hatalar

12 Kaç tane Admin hesabı var?
jesper

13 jesper

14 Domino Etkisi Hacker Kazanır!
Hacker test makinasını ele geçiriyor. “Ali” ilgili makinada admin Ali’nin hesabını kullanarak SQL Server’ı ele geçiriyor SQL Server “Mehmet”in hesabı mevcut “Mehmet” Web Sunucu’da admin Web sunucuda _Svc isimli service account var _Svc domain admin! Hacker Kazanır! Attacker jesper

15 RootKits Hacker Defender Nasıl engelleriz?
Port / Process / File / Directory / Registry bazında gizleme Keylogger ve diğer programları gizlemek için kullanılıyor Nasıl engelleriz? Yüklemek için Admin hakkı gerekiyor “Detailed Tracking” Kurumsal envanter Sysinternals.com / RootKitRevealer

16 KH: Administrator olarak çalışmayın
Domain controller makinalar dışında Domain Admin hesabınızı kullanmayın! Normal makinanızda Admin olarak çalışmayın Gerektiğinde RUNAS TERMINAL SERVICES

17 Dahili Tehlike: Kullanıcılar!

18 Kimlik Gizleme Her saniye IP adresi değişen bir saldırganı nasıl tesbit edersiniz? “Online Privacy” aradığınızda yüzlerce çözüm bulabilirsiniz. Nasıl Engelleriz? Kurumsal envanter “Detailed Tracking” Event ID 592 / 593

19 “Covert Channels” Bir haberleşme ortamının amacı dışında kullanımı
Firewall ile bloklamanız gereken ancak bloklayamadıklarınız Her türlü uygulamayı HTTP üzerinden tünellemek mümkün Ticari gateway’ler mevcut HTTPS kullandığı için içerik kontrolü mümkün değil JAP, v.s Firewall’un arkasından dolaşmak GPRS, Bluetooth, WIFI, Dialup, ADSL bağlantılarının kontrolü şart PING, DNS, v.s. Hepsi bu amaçla kullanılabilir NETCAT (nc.exe) reverse shell Hash rule ile durdurulabilir

20 HTTP Tunneling Kurumsal güvenlik duvarını aşmanın en popüler yolu
HTTP üzerinden her türlü servise bağlanabilme imkanı Bir çok ücretsiz servis sağlayıcı mevcut Nasıl Engelleriz? Sadece geçerli HTTP trafiğine izin vererek

21 Password Cracking Dictionary attacks Brute force attacks
Rainbow Tables! Çok tehlikeli Nasıl engelleriz? Kullanıcı eğitimi Şifre yerine “pass-phrase” kullanımı 31 Mart 1965 tarihinde Ankara’da doğdum 31Mart1ta’d.

22 Instant Messaging Uygulamaları
MSN Messenger, Yahoo, AOL, GoogleTalk, ... Tehlike İş kaybı Bilgi sızdırma Log tutmak çok zor ve pahalı Office Communicator Log imkanı Grup Politikaları ile yapılandırma Şirket içi ve dışı mesajlaşma olanağı

23 Peer to Peer Uygulamalar
Tehlike? Worm, virüs, v.s Lisanssız program Bilgi sızdırma Bağlantı yolları HTTP başta olmak üzere her türlü yöntem Emule, EDonkey, Kazaa başta olmak üzere tüm bağlantı noktalarının bloklanması İlgili uygulamaların Grup Politikaları ile durdurulması Windows 2003 Hash Rule

24 USB Depolama Araçları Yüksek güvenlik gerektiren yerlerde yasak
Askeriye, Polis, ... Loglama imkanı yok Zararlı uygulamaların kurum/şirket içine alınması Vulnerability Scanners, Password cracking, sniffers, bootable, v.s. Bilgi kaçağı tehlikesi

25 Mobil Cihazların Güvenliği
Laptop, PDA, Cep Telefonlarının kaybedilmesi / çalınması Gizli dokümanlar Saklanmış şifreler Çözüm? Exchange 2003 SP2 WIPE ile kaybedilen cihaza hard reset gönderimi Windows Vista ile tüm diskin şifrelenmesi

26 Sniffers, Trojans, Worms, ...
Trojans, Worms, Virus Least Privilege User Bütün uygulamalar admin hakları ile çalışmak ister, normal haklarla logon olan bir kullanıcıya bulaşması çok çok zor Herkes kendi makinasında admin! Torpil faktörü Sniffers Ethereal ve birçok uygulama ile ağdaki bilginin takibi Switched Networks? Problem değil! ARP posioning Cain-Abel IPSec çözüm

27 Sistem Yöneticilerinin Düştüğü Tuzaklar

28 Gizli Tehlike: VPN Kontrolsüz bir makinanın sunucunuzun yanına bağlanmasına ne dersiniz? Hangi amaçlarla kullanılyor? Uzaktan yönetim  RDP Dosya Sunucu / Yazıcı’lara erişim  RDP Dahili Web Tabanlı uygulamalar  ISA 2004 Çözüm? VPN Quarantina (Windows Server ISA Server 2004) Internet Corpnet Client RRAS IAS Quarantine

29 Gizli Tehlike: Sunucularda HTTP erişimi
Web, database, etkialanı sunucularında neden dışarıya doğru kısıtlama yok? Reverse Shell File download ...

30 Yama Yönetiminin Önemi!
Key Point: Explanation of Days of Risk model based on the Arbaugh model {Warning! Slide has 3 builds} Message: This slide summarizes the life-cycle model that Dr. Arbaugh and others were trying to demonstrate in his IEEE paper. He suggests that the birth of the vulnerability is its introduction into the software and the software ships to the customer. The death of the vulnerability occurs when the customer has fixed the issue on all applicable machines. One could argue that death never really occurs. In larger enterprises, small pockets of very old worms that I highlighted earlier still traverse our customers networks today. The other milestones in a vulnerabilities lifetime include when the vulnerability was first discovered, when it was made public, when the software maker fixed the issue, and in the case of open source software, when the Linux distribution rolled the fix into a package suitable for their customers, and finally when the customer does indeed patch their system. The timeframe between the introduction of the vulnerability and when its first discovered is considered “Blissful Ignorance”, no one knows the vulnerability exists, yet it doesn’t yet pose a real risk until someone does indeed find it. The second time period, between discovery and when the vulnerability is made public is considered “Responsible Disclosure”. We encourage those who find bugs to report them to us quietly in order to protect customers. This responsible disclosure took place in more than 81% of the security issues reported publicly last year. When it works well, responsible disclosure extends until the fix is actually deployed, covering the time gap typically known as the Traditional Measure of Vulnerability. These three events occurring simultaneously is the best possible situation for our customers. They don’t experience additional risk due to early disclosure, which puts the software maker under duress to get the patch out, which can lead to lower patch quality and defects. Open source software is a bit different. Security researchers can report issues directly to the open source software maker or the Linux distributions through a mailing list There are over 200 Linux distributions today, so this can be quite a daunting challenge. So when the open source software maker reaches the state of “Component fixed”, the open source software vendor can post publicly the details behind the issue. To the security researcher today, this is where responsible disclosure ends. The clock then begins ticking on Days of Risk when the Linux distribution must package the fix for their customers. Each distribution has its own methods for notification and packaging. Yet once the distribution is ready, then the Linux distribution has hit “Customer Fix Available” and the days of risk measurement for the software vendor ends. One could then argue that the “days of risk” measurement for customers, the last phase in the lifecycle begins. Nonetheless, the distribution of open source software poses a unique challenge in the security world. The time it takes for the Linux distribution to properly package the fix is considered the “Module Gap”. This is typically the longest segment of time in the “Days of Risk” measurement. Subtract the module gap from the Days of Risk, or traditional measure of vulnerability, and you can see how well open source software is doing at getting the fixes out. {Hint! It’s may be a real surprise to open source advocates} What should not come as a surprise to you is that all software vendors are commonly graded today by the last phase, the Testing, Integration, and Deployment phase. That’s probably largely due to the close correlation to customer pain. Yet, Days of Risk is intentionally designed to widen the topic of conversation. {Build} I would like the conversation to focus on the previous two phases. This is where we can demonstrate some real leadership and put some competitive distance between us and open source software. Üretici firmaların risk günleri Müşteri ve kurumlar için "risk günleri." – En önemli süre!

31 Uygulama Güvenliği Teknoloji, işletim sistemi, uygulama geliştirme ortamından bağımsız Dinamik uygulamalardaki en ciddi güvenlik açığı (potansiyel) Tüm ağ veya sistemin ele geçirilmesi Maddi, manevi kayıplar

32 Kredi Kartları: 18 Şubat 2003, ve diğerleri

33 Denetleme Düzenleyici Standartlar Kontrol mekanizmaları
ISO 27001, ISO/BT 17799, SOX, FISMA, HIPAA Kontrol mekanizmaları Kullanıcı ve sistem yöneticilerinin denetlenmesi Merkezi arşivleme Kim, ne zaman, nereye, ne ile, nasıl erişti, ne yaptı? Sunucu ve kullanıcı makinalarının güvenlik loglarının konsolidasyonu ve analizi Operasyonel Raporlar önemli

34 E-Posta Güvenliği Sahte Kimlik Problemi Sayısal İmza
SMTP güvenlik amaçlanarak geliştirilen bir protokol değil İçeriden veya dışarıdan başka biri adına mail atmak çok kolay Sayısal İmza PKI, PGP Postanın kimden geldiği ve yolda değiştirilmediğini garantiler Posta ile bilgi kaçırma Do not forward? Kimin umrunda? Rights Management Services

35 Wireless Teknolojiler
Tehlike Bilgi kaçağı Güvenlik açığı Mevcut Durum $900 vererek 30km civarında mesafeye çıkabilir İçindeki DHCP Server mevcut ağda ciddi problemler yaratabilir Kullanım şart ise Erişim kontrolü için 802.1X WEP güvensiz! WPA ev kullanımı için Inhibitor AP kullanımı Diğer cihazlar IrDA, BlueTooth, Keyboard ve Mouse

36 Güvenli Kablosuz Erişim
Hacker X Windows Server 2003 Kablosuz erişimi güvenli hale getirir Network saldırı riskini azaltır Kolay PKI sertifika dağıtımı Sertifika ile kablosuz erişim Legacy Wireless File Sharing Storyline: To improve productivity, companies are rapidly extending their corporate networks to enable employees to access networked resources remotely over VPN and wireless connections. While there are many benefits for the company and the information worker, this also introduces a new set of risk and challenges. VPNs essentially extends access to the corporate network to the Internet. Wireless access to corporate LANs often extend the reach of the network outside the physical boundaries of company’s building. Finally, extending the reach of the corporate network increases the risk of security compromise leading to an increased management burden on the IT staff. Customer Problem: Access to network gateways such as wireless and VPN often require IT administrators to cerate and manage separate user accounts. Encrypting the data over the wireless connection using standards such as wireless equivalency protocol (WEP) isn’t enough to keep intruders from accessing the corporate network. Secure VPN access often requires stronger credentials that user id and password to reduce the risk of unauthorized access. Setting up and managing strong security such as those offered by PKI present their own set of challenges in that they often require a separate infrastructure and require a great deal of effort on behalf of the user. Windows .NET Advantage Windows .NET is the only server operating system that provides customers with a solution that integrates PKI services, a directory, and network access in to a single platform. Using the integrated PKI services and 802.1x support, customers can securely extend their LANs to be access via the latest wireless standards. While hackers can crack 128-bit WEP encryption in a matter of days, using 802.1x customers can prevent intruders from getting into the corporate network by requiring a standard x.509 certificate that has been issued to trusted users. Using the auto enrollment and auto-renewal capabilities of Windows .NET Server and Windows XP, certificates can be issued to users machines with zero effort on behalf of the user. This significantly reduces the cost of managing certificate-based security. The same certificate based infrastructure used to issue certificates for secure wireless access can also be sued to issue certificates to enable IPSEC-based VPNs. Again, this can be done with no effort from the user. To reduce the risk of unauthorized access through the VPN, Windows .NET supports authentication via Smartcards. Smartcards provides a simple, secure way for users to authenticate to a VPN network over the Internet while minimizing security compromises due to compromised credentials. Finally, no matter if the user is access the corporate network via a wired LAN connection, a wireless LAN connection or a VPN connection, they use the same user identity stored in Active Directory. This simplifies the user access experience, reduces the risk of compromises in security, and finally lowers the cost of identity management. Geçerli x509 sertifika kontrolü Web Apps AD entegre çalışan PKI Sertifikaların otomatik dağıtımı 802.1x for Certificate Auth PEAP for Password-based Auth

37 TCP/IP Üzerine...

38 OSI model 7. application 6. presentation 5. session 4. transport
3. network 2. link 1. physical

39 Gerçek Dünya 4 katman yeterli 4. application 2. network 3. transport
HTTP, FTP, TFTP, telnet, ping, SMTP, POP3, IMAP4, RPC, SMB, NTP, DNS, … TCP, UDP, IPsec IP, ICMP, IGMP 1. interface ARP, RARP

40 TCP/IP Güvenliği TCP/IP V4 güvenli bir protokol değildir
Güvenilir IP Spoofing (DoS saldırıları) Sniffing Hub & Switched networks ARP problemleri

41 ARP – Zincirdeki En Zayıf Halka
ARP güvenlik hiç düşünülmeden geliştirilmiş bir protokoldür TCP/IP’nin en temel öğesi Tehlikeler? ARP Poisoning – Sniffing in switched env. ARP Spoofing / MITM Packet Avalance! (Chernobly Etkisi)

42 ARP Man In The Middle attack
is-at 99:88:77:66:55:44 is-at 99:88:77:66:55:44 who-has ? is-at 00:11:22:33:44:55:66

43 Source Routing SA: <farketmez> DA: SR: via

44 Teşekkürler