Siber Dünyada İzleme ve Takip. Huzeyfe ÖNAL Bilgi Güvenliği AKADEMİSİ Twitter:

(1)

Huzeyfe ÖNAL

Bilgi Güvenliği AKADEMİSİ

www.bga.com.tr

Siber Dünyada İzleme ve Takip

(2)

EMEA INTELLIGENCE - 2012 / İSTANBUL

Huzeyfe ÖNAL

• Bilgi Güvenliği Danışmanı & Ağ Güvenliği Araştırmacısı @BGA

• Penetration Tester

• Güvenlik Eğitmeni

– www.bga.com.tr

• Blogger

– www.lifeoverip.net

(3)

Amaç

• Siber dünyanın sadece bir eğlence aracı değil,

dünyanın gidişatını değiştirecek, yeni bir düzenin kurulumundaki önemli oyunculardan biri olduğu göstermek ve bu kadar önemli bir yapının başıboş bırakılamayacağının anlaşılması.

• Internet ortamında yasal/illegal izlemeler nasıl gerçekleştirilir, nasıl korunulur.

(4)

• Önce korunmak için teknoloji üretirsiniz, sonra düşmanlarınız o teknolojiyi kullanır, geliştirdiğiniz teknoloji ile savaşa başlamak zorunda kalır…

(5)

Yeni Dünya Düzeni ve Siber Güvenlik

(6)

Internet Nasıl Çalışır?

Internet, temeli 1970’li yıllarda atılmış askeri bir

protokol olan TCP/IP üzerinde

çalışır.

(7)

Internet’te Gizlilik

• Internet ortamında gizlilik (iletişim için) temelde iki şekilde gerçekleştirilir.

• İletişim protokollerini güvenli –şifreli- hale getirerek gizlilik.

• İletişim protokollerinden bağımsız olarak sadece

içeriği özel araçlarla – her iki taraf da aynı şifreleme kullanmalı- şifreleyerek gizleme

• İkinci yöntem daha güvenli kabul edilmektedir.

(8)

HTTPS/SSL/TLS

• Güvensiz protokollere şifreleme desteği verme amaçlı geliştirilmiş ara katman protokolleridir.

• HTTPS=TLS+HTTP veya SSL+HTTP

• Birbirleri yerine kullanılsada temelde farklı protokollerdir

• HTTPS/TLS/SSL sadece iletişimde veri gizliliği sağlar, hedef sistemin güvenlik zaafiyetlerine karşı ek bir koruma sağlamaz

(9)

SSL

• Secure Sockets Layer (SSL)

• Temelleri Netscape firması tarafından 1994 yılında

atılan SSL aynı yılda ticari olarak piyasaya sürüldü ve bir sonraki yıl IETF tarafından standart olarak Kabul edildi.

• Aslında standartın asıl ismi TLS olmasına rağmen genellikle SSL kullanımı tercih edilmektedir.

• Ilk zamanlar sadece HTTP trafiğini şifreleme amaçlı geliştirilmiş olsa da günümüzde TCP, UDP tabanlı tüm servisleri şifreleme amaçlı kullanılmakta.

(10)

HTTPS

• WEB trafiğinde şifreleme sağlama amaçlı geliştirilmiş protokol

– HTTP+TLS veya HTTP+SSL

(11)

Sertifika Otoritesi

• PKI altyapısının dayandığı en temel güvenlik bileşeni

• Sertifika otoritesi SSL kavramının günümüzde güvenilir olarak kabul edilmesi ve

yaygınlaşmasındaki en önemli rollerden birine sahiptir.

• SSL’in güvenliğinde sertifika otoritesi tüm gücü elinde bulundurur.

• Sertifika otoritesinde yaşanacak bir güvenlik

problemi sadece o sertifika otoritesini kullanan değil, tüm SSL kullanıcılarını etkileyebilir.

– Diginotar olayı

(12)

Sertifika Otoriteleri

• En önemli kurumlardır

• Sertifika otoritesinin ele geçirilmesi o otorite

tarafından onaylanan tüm sertifikaları güvensiz hale getirir.

(13)

10 Puanlık Altın Soru

Kaçımız yeni aldığı bilgisayarında,

tabletinde, mobil cihazında yüklü

olan güvenilir olarak kabul edilmiş

sertifika otoritelerini(CA) kontrol

etti?

(14)

HTTPS Trafiğinde Araya Girme

• SSL bağlantılarında araya girme fikri ilk bakışta zor hatta imkansız gibi görülse de gerekli şartlar

oluşturulduğunda oldukça kolay başarılabilmektedir

• Gerekli Şartlar:

– İlk olarak hedef sistemin trafiği APR ile bizim üzerimiden geçecek şekilde kandırılmalıdır.

– Hedef sistemin iletişim kurmak istediği HTTPS sayfasına ait sertifika bilgileri ile sahte bir sertifika oluşturulmalıdır.

• Sahte oluşturulan bu sertifika tüm modern browserlarda kullanıcıya uyarı verecektir.

• Bazı browserlar bu uyarıyı oldukça kullanıcı yanlısı (rahatsız etmeyici yumusak bir mesaj) bazıları da

oldukça rahatsız edici ve problemi belirtici uyarılarla gösterirler.

14

(15)

HTTPS MITM Uyarıları

Firefox

Internet Explorer 7

(16)

İzle(n)meye Karşı Önlemler

• Çoğu popüler web hizmeti tüm trafiği şifreleyecek şekilde SSL hizmeti sunmaya başlamıştır.

• Öncüsü Google

• Facebook

• Hotmail

• Twitter

• Hotmail

• …

(17)

Twitter Şifreleme Kanalı (SSL) Desteği

(18)

Facebook Şifreleme Kanalı (SSL) Desteği

(19)

Gmail Şifreleme Kanalı (SSL) Desteği

• Gmail SSL’e geçiş serüveninin öncülerinden…

(20)

Hotmail Şifreleme Kanalı (SSL) Desteği

• Öntanımlı olarak SSL açık gelmiyor

(21)

Internet İzleme Sistemleri

• Basite indirgersek ağ trafiği analiz araçları

– Sniffer: tcpdump, Wireshark, Snort, Ngrep

• Sniffing sistemlerinin işe yaraması için akan trafiğin “clear text” olması gerekir.

• Şifreli trafik izlenebilir fakat anlmalı bir bilgi edinilemez.

(22)

Yasal İzleme/Lawful Interception

• Kanunlar çerçevesinde yapılan izleme

• Genellikle ISP seviyesi izleme gerçekleştirilir.

• Bazı durumlarda son kullanıcı bilgisayarına zararlı yazılım yükleyerek gerçekleştirildiği de olmuştur.

(23)

Yasal Olmayan İzleme

(24)

Yasal Olmayan İzleme

Tunus Gmail Örneği

(25)

Paket Başlık Bilgileri

• Mektup zarf ilişkisi

• Amaç mektubu meraklı gözlerden Koruyarak hedefe iletilmesini

sağlamak.

• Zarf=header=başlık bilgisi

• Paketin nereye gideceğini belirler.

• Mektup=payload=gerçek veri Taşımak istediğimiz veri.

Her protokolün header kısmı ve Payload kısmı farklı olabilir.

Firewall->Header

(26)

Deep Packet Inspection

• DPI=Derinlemesine Paket Analizi

• Paketin ötesinde taşınan protokole ait

başlık+gövde(hader+payload) bilgilerini detaylıca incelemeye tabi tutularak paket üzerinde gerekli işlemlerin yapılması

– Sadece XYZ protokolünde içerisinde ABC geçen paketleri yakala

– Facebook’ta ABC oyununu bu ay tüm abonelere ücretsiz kullanım hakkı ver.

(27)

DPI(Deep Packet Inspection) Örneği

alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (\

msg:"ET P2P ABC Torrent User-Agent (ABC/ABC-3.1.0)"; \ flow:to_server,established; \

content:"User-Agent\: ABC/ABC"; nocase; \ sid:2003475;)

alert http $HOME_NET any -> $EXTERNAL_NET any (\

msg:"ET P2P ABC Torrent User-Agent (ABC/ABC-3.1.0)"; \ header.useragent:"ABC/ABC"; \

Hatalı IPS Kuralı

Doğru IPS Kuralı

(28)

DPI Kullanım Amaçları

• Yasal dinleme - lawful intercept,

• Trafik İzleme,

• QoS (Hizmet Kalitesi) Güvencesi,

• Özelleştirilmiş Fiyatlandırma & Faturalandırma,

• Internet Trafiği Paylaşımı (Peering) Kontrolü,

• Güvenlik (IPS, DLP)

(29)

Data Carving…

• Ham veriden orijinal veri elde etme yöntemi

1010101 1010101 0101010 1010101 0101010

101 Sniffer

Data Carving

(30)

Network Data Carving

• Sniffer kullanarak kaydedilmiş ikili(binary) dosyalardan(.pcap formatında veya farklı formatlarda) orjinal veri elde etmek

• Akan ağ trafiği üzerinde belirli şartlara göre izleme yapma

– Echelon mantığı

– Günümüzdeki DLP sistemlerinin atası sayılabilir

• Iki uç haberleşirken aradaki dinleme sistemleri iki uç ne görüyorsa aynısını görebilir, dinleyebilir,

kaydedebilir.

• Network forensic çalışmalarının temelini oluşturur

(31)

Örnek Uygulama:Eeye Iris

(32)

Örnek Uygulama

(33)

SSL Nasıl Alt Edilir?

• SSL güvenliğindeki en önemli bileşen sertifika otoritesidir.

– Sertifika otoritesi tek başına işe yaramaz, istemci

yazılımları tarafından güvenilir olarak kabul edilmelidir.

• Dünya üzerindeki sertifika otoritelerinden birinin hacklenmesi ve sertifika üretim için kullanılan gizli anahtarın ele geçirilmesi tüm dünyadaki SSL

kullanımını anlamsız kılabilir!

– İstisnalar mevcuttur.

• Güvenilir bir sertifika otoritesi tarafından

(34)

Tunus Facebook Örneği

(35)

Tunus Sertifika Otoritesi Kullanımı

• Tunus hükümeti

– Detaylar için wikileaks belgeleri

(36)

Sorunu Kökten Çözen Ülke:İran

(37)

Türkiye’de Durum

• .

(38)