Bilgi Güvenliği Günü Gizli Tehlikeler Murat Eraydın CEH, CISSP, MCSE, MCT meraydin@microsoft.com

Türkiye 74,709,412 10,220,000 14% 400% Nüfus Internet kullanıcıları 1 Billion+ (-1) potential hackers assuming you are not planning on hacking yourself. 31 Aralık 2005 Türkiye Nüfus Internet kullanıcıları Oran 2000-5 Büyüme 74,709,412 10,220,000 14% 400% www.internetworldstats.com

Saldırı İstatistikleri 1.2M+ web sitesi hack’lendi Günde 1000+ Neden önemli? Hangi ürünler? Hangi domain’ler? Nasıl? Why defacements – from Zone-H it’s the ‘Internet Thermometer’ Techniques used to deface are similar to skills a commercial hacker may have Why are these important – appear pretty harmless and easy to fix. Shows domain with weak security Embarrassment Inappropriate Political Competitive advantage http://www.zone-h.org

Hangi İşletim Sistemleri? Whose platform is the choice one for the Internet service to be compromised. The surprise here – is just how far ahead Linux is, perhaps home grown websites use this as its free, don’t care as much as Enterprises about security or don’t have the skill to implement securely.

Hangi Domain’ler? No real surprises here – although Brazil seems to be becoming a hotbed of web defacers.

Neden? So just about 40% is due to poor maintenance. Surprisingly high number are brute forced…

United Department of Justice

Central Intelligency Agency (CIA)

Başbakanlık...

Türk Telekom...

Sık Yapılan Hatalar

Kaç tane Admin hesabı var? jesper

jesper

Domino Etkisi Hacker Kazanır! Hacker test makinasını ele geçiriyor. “Ali” ilgili makinada admin Ali’nin hesabını kullanarak SQL Server’ı ele geçiriyor SQL Server “Mehmet”in hesabı mevcut “Mehmet” Web Sunucu’da admin Web sunucuda _Svc isimli service account var _Svc domain admin! Hacker Kazanır! Attacker jesper

RootKits Hacker Defender Nasıl engelleriz? Port / Process / File / Directory / Registry bazında gizleme Keylogger ve diğer programları gizlemek için kullanılıyor Nasıl engelleriz? Yüklemek için Admin hakkı gerekiyor “Detailed Tracking” Kurumsal envanter Sysinternals.com / RootKitRevealer

KH: Administrator olarak çalışmayın Domain controller makinalar dışında Domain Admin hesabınızı kullanmayın! Normal makinanızda Admin olarak çalışmayın Gerektiğinde RUNAS TERMINAL SERVICES

Dahili Tehlike: Kullanıcılar!

Kimlik Gizleme Her saniye IP adresi değişen bir saldırganı nasıl tesbit edersiniz? “Online Privacy” aradığınızda yüzlerce çözüm bulabilirsiniz. Nasıl Engelleriz? Kurumsal envanter “Detailed Tracking” Event ID 592 / 593

“Covert Channels” Bir haberleşme ortamının amacı dışında kullanımı Firewall ile bloklamanız gereken ancak bloklayamadıklarınız Her türlü uygulamayı HTTP üzerinden tünellemek mümkün Ticari gateway’ler mevcut HTTPS kullandığı için içerik kontrolü mümkün değil JAP, v.s Firewall’un arkasından dolaşmak GPRS, Bluetooth, WIFI, Dialup, ADSL bağlantılarının kontrolü şart PING, DNS, v.s. Hepsi bu amaçla kullanılabilir NETCAT (nc.exe) reverse shell Hash rule ile durdurulabilir

HTTP Tunneling Kurumsal güvenlik duvarını aşmanın en popüler yolu HTTP üzerinden her türlü servise bağlanabilme imkanı Bir çok ücretsiz servis sağlayıcı mevcut Nasıl Engelleriz? Sadece geçerli HTTP trafiğine izin vererek

Password Cracking Dictionary attacks Brute force attacks Rainbow Tables! Çok tehlikeli Nasıl engelleriz? Kullanıcı eğitimi Şifre yerine “pass-phrase” kullanımı 31 Mart 1965 tarihinde Ankara’da doğdum 31Mart1ta’d.

Instant Messaging Uygulamaları MSN Messenger, Yahoo, AOL, GoogleTalk, ... Tehlike İş kaybı Bilgi sızdırma Log tutmak çok zor ve pahalı Office Communicator Log imkanı Grup Politikaları ile yapılandırma Şirket içi ve dışı mesajlaşma olanağı

Peer to Peer Uygulamalar Tehlike? Worm, virüs, v.s Lisanssız program Bilgi sızdırma Bağlantı yolları HTTP başta olmak üzere her türlü yöntem Emule, EDonkey, Kazaa başta olmak üzere tüm bağlantı noktalarının bloklanması İlgili uygulamaların Grup Politikaları ile durdurulması Windows 2003 Hash Rule

USB Depolama Araçları Yüksek güvenlik gerektiren yerlerde yasak Askeriye, Polis, ... Loglama imkanı yok Zararlı uygulamaların kurum/şirket içine alınması Vulnerability Scanners, Password cracking, sniffers, bootable, v.s. www.u3.com Bilgi kaçağı tehlikesi

Mobil Cihazların Güvenliği Laptop, PDA, Cep Telefonlarının kaybedilmesi / çalınması Gizli dokümanlar Saklanmış şifreler Çözüm? Exchange 2003 SP2 WIPE ile kaybedilen cihaza hard reset gönderimi Windows Vista ile tüm diskin şifrelenmesi

Sniffers, Trojans, Worms, ... Trojans, Worms, Virus Least Privilege User Bütün uygulamalar admin hakları ile çalışmak ister, normal haklarla logon olan bir kullanıcıya bulaşması çok çok zor Herkes kendi makinasında admin! Torpil faktörü Sniffers Ethereal ve birçok uygulama ile ağdaki bilginin takibi Switched Networks? Problem değil! ARP posioning Cain-Abel IPSec çözüm

Sistem Yöneticilerinin Düştüğü Tuzaklar

Gizli Tehlike: VPN Kontrolsüz bir makinanın sunucunuzun yanına bağlanmasına ne dersiniz? Hangi amaçlarla kullanılyor? Uzaktan yönetim  RDP Dosya Sunucu / Yazıcı’lara erişim  RDP Dahili Web Tabanlı uygulamalar  ISA 2004 Çözüm? VPN Quarantina (Windows Server 2003 + ISA Server 2004) Internet Corpnet Client RRAS IAS Quarantine

Gizli Tehlike: Sunucularda HTTP erişimi Web, database, etkialanı sunucularında neden dışarıya doğru kısıtlama yok? Reverse Shell File download ...

Yama Yönetiminin Önemi! Key Point: Explanation of Days of Risk model based on the Arbaugh model {Warning! Slide has 3 builds} Message: This slide summarizes the life-cycle model that Dr. Arbaugh and others were trying to demonstrate in his IEEE paper. He suggests that the birth of the vulnerability is its introduction into the software and the software ships to the customer. The death of the vulnerability occurs when the customer has fixed the issue on all applicable machines. One could argue that death never really occurs. In larger enterprises, small pockets of very old worms that I highlighted earlier still traverse our customers networks today. The other milestones in a vulnerabilities lifetime include when the vulnerability was first discovered, when it was made public, when the software maker fixed the issue, and in the case of open source software, when the Linux distribution rolled the fix into a package suitable for their customers, and finally when the customer does indeed patch their system. The timeframe between the introduction of the vulnerability and when its first discovered is considered “Blissful Ignorance”, no one knows the vulnerability exists, yet it doesn’t yet pose a real risk until someone does indeed find it. The second time period, between discovery and when the vulnerability is made public is considered “Responsible Disclosure”. We encourage those who find bugs to report them to us quietly in order to protect customers. This responsible disclosure took place in more than 81% of the security issues reported publicly last year. When it works well, responsible disclosure extends until the fix is actually deployed, covering the time gap typically known as the Traditional Measure of Vulnerability. These three events occurring simultaneously is the best possible situation for our customers. They don’t experience additional risk due to early disclosure, which puts the software maker under duress to get the patch out, which can lead to lower patch quality and defects. Open source software is a bit different. Security researchers can report issues directly to the open source software maker or the Linux distributions through a mailing list ‘vendor-sec@lst.de’. There are over 200 Linux distributions today, so this can be quite a daunting challenge. So when the open source software maker reaches the state of “Component fixed”, the open source software vendor can post publicly the details behind the issue. To the security researcher today, this is where responsible disclosure ends. The clock then begins ticking on Days of Risk when the Linux distribution must package the fix for their customers. Each distribution has its own methods for notification and packaging. Yet once the distribution is ready, then the Linux distribution has hit “Customer Fix Available” and the days of risk measurement for the software vendor ends. One could then argue that the “days of risk” measurement for customers, the last phase in the lifecycle begins. Nonetheless, the distribution of open source software poses a unique challenge in the security world. The time it takes for the Linux distribution to properly package the fix is considered the “Module Gap”. This is typically the longest segment of time in the “Days of Risk” measurement. Subtract the module gap from the Days of Risk, or traditional measure of vulnerability, and you can see how well open source software is doing at getting the fixes out. {Hint! It’s may be a real surprise to open source advocates} What should not come as a surprise to you is that all software vendors are commonly graded today by the last phase, the Testing, Integration, and Deployment phase. That’s probably largely due to the close correlation to customer pain. Yet, Days of Risk is intentionally designed to widen the topic of conversation. {Build} I would like the conversation to focus on the previous two phases. This is where we can demonstrate some real leadership and put some competitive distance between us and open source software. Üretici firmaların risk günleri Müşteri ve kurumlar için "risk günleri." – En önemli süre!

Uygulama Güvenliği Teknoloji, işletim sistemi, uygulama geliştirme ortamından bağımsız Dinamik uygulamalardaki en ciddi güvenlik açığı (potansiyel) Tüm ağ veya sistemin ele geçirilmesi Maddi, manevi kayıplar

Kredi Kartları: 18 Şubat 2003, ve diğerleri

Denetleme Düzenleyici Standartlar Kontrol mekanizmaları ISO 27001, ISO/BT 17799, SOX, FISMA, HIPAA Kontrol mekanizmaları Kullanıcı ve sistem yöneticilerinin denetlenmesi Merkezi arşivleme Kim, ne zaman, nereye, ne ile, nasıl erişti, ne yaptı? Sunucu ve kullanıcı makinalarının güvenlik loglarının konsolidasyonu ve analizi Operasyonel Raporlar önemli

E-Posta Güvenliği Sahte Kimlik Problemi Sayısal İmza SMTP güvenlik amaçlanarak geliştirilen bir protokol değil İçeriden veya dışarıdan başka biri adına mail atmak çok kolay Sayısal İmza PKI, PGP Postanın kimden geldiği ve yolda değiştirilmediğini garantiler Posta ile bilgi kaçırma Do not forward? Kimin umrunda? Rights Management Services

Wireless Teknolojiler Tehlike Bilgi kaçağı Güvenlik açığı Mevcut Durum $900 vererek 30km civarında mesafeye çıkabilir İçindeki DHCP Server mevcut ağda ciddi problemler yaratabilir Kullanım şart ise Erişim kontrolü için 802.1X WEP güvensiz! WPA ev kullanımı için Inhibitor AP kullanımı Diğer cihazlar IrDA, BlueTooth, Keyboard ve Mouse

Güvenli Kablosuz Erişim Hacker X Windows Server 2003 Kablosuz erişimi güvenli hale getirir Network saldırı riskini azaltır Kolay PKI sertifika dağıtımı Sertifika ile kablosuz erişim Legacy Wireless File Sharing Storyline: To improve productivity, companies are rapidly extending their corporate networks to enable employees to access networked resources remotely over VPN and wireless connections. While there are many benefits for the company and the information worker, this also introduces a new set of risk and challenges. VPNs essentially extends access to the corporate network to the Internet. Wireless access to corporate LANs often extend the reach of the network outside the physical boundaries of company’s building. Finally, extending the reach of the corporate network increases the risk of security compromise leading to an increased management burden on the IT staff. Customer Problem: Access to network gateways such as wireless and VPN often require IT administrators to cerate and manage separate user accounts. Encrypting the data over the wireless connection using standards such as wireless equivalency protocol (WEP) isn’t enough to keep intruders from accessing the corporate network. Secure VPN access often requires stronger credentials that user id and password to reduce the risk of unauthorized access. Setting up and managing strong security such as those offered by PKI present their own set of challenges in that they often require a separate infrastructure and require a great deal of effort on behalf of the user. Windows .NET Advantage Windows .NET is the only server operating system that provides customers with a solution that integrates PKI services, a directory, and network access in to a single platform. Using the integrated PKI services and 802.1x support, customers can securely extend their LANs to be access via the latest wireless standards. While hackers can crack 128-bit WEP encryption in a matter of days, using 802.1x customers can prevent intruders from getting into the corporate network by requiring a standard x.509 certificate that has been issued to trusted users. Using the auto enrollment and auto-renewal capabilities of Windows .NET Server and Windows XP, certificates can be issued to users machines with zero effort on behalf of the user. This significantly reduces the cost of managing certificate-based security. The same certificate based infrastructure used to issue certificates for secure wireless access can also be sued to issue certificates to enable IPSEC-based VPNs. Again, this can be done with no effort from the user. To reduce the risk of unauthorized access through the VPN, Windows .NET supports authentication via Smartcards. Smartcards provides a simple, secure way for users to authenticate to a VPN network over the Internet while minimizing security compromises due to compromised credentials. Finally, no matter if the user is access the corporate network via a wired LAN connection, a wireless LAN connection or a VPN connection, they use the same user identity stored in Active Directory. This simplifies the user access experience, reduces the risk of compromises in security, and finally lowers the cost of identity management. Geçerli x509 sertifika kontrolü email Web Apps AD entegre çalışan PKI Sertifikaların otomatik dağıtımı 802.1x for Certificate Auth PEAP for Password-based Auth

TCP/IP Üzerine...

OSI model 7. application 6. presentation 5. session 4. transport 3. network 2. link 1. physical

Gerçek Dünya 4 katman yeterli 4. application 2. network 3. transport HTTP, FTP, TFTP, telnet, ping, SMTP, POP3, IMAP4, RPC, SMB, NTP, DNS, … TCP, UDP, IPsec IP, ICMP, IGMP 1. interface ARP, RARP

TCP/IP Güvenliği TCP/IP V4 güvenli bir protokol değildir Güvenilir IP Spoofing (DoS saldırıları) Sniffing Hub & Switched networks ARP problemleri

ARP – Zincirdeki En Zayıf Halka ARP güvenlik hiç düşünülmeden geliştirilmiş bir protokoldür TCP/IP’nin en temel öğesi Tehlikeler? ARP Poisoning – Sniffing in switched env. ARP Spoofing / MITM Packet Avalance! (Chernobly Etkisi)

ARP Man In The Middle attack 1.1.1.2 is-at 99:88:77:66:55:44 1.1.1.1 is-at 99:88:77:66:55:44 1.1.1.1 who-has 1.1.1.2? 1.1.1.2 is-at 00:11:22:33:44:55:66 1.1.1.2

Source Routing 131.107.0.254 10.0.0.254 10.0.0.1 SA: <farketmez> DA: 10.0.0.1 SR: via 131.107.0.254

Teşekkürler