Huzeyfe ÖNAL
Bilgi Güvenliği AKADEMİSİ
www.bga.com.tr
Siber Dünyada İzleme ve Takip
EMEA INTELLIGENCE - 2012 / İSTANBUL
Huzeyfe ÖNAL
• Bilgi Güvenliği Danışmanı & Ağ Güvenliği Araştırmacısı @BGA
• Penetration Tester
• Güvenlik Eğitmeni
– www.bga.com.tr
• Blogger
– www.lifeoverip.net
Amaç
• Siber dünyanın sadece bir eğlence aracı değil,
dünyanın gidişatını değiştirecek, yeni bir düzenin kurulumundaki önemli oyunculardan biri olduğu göstermek ve bu kadar önemli bir yapının başıboş bırakılamayacağının anlaşılması.
• Internet ortamında yasal/illegal izlemeler nasıl gerçekleştirilir, nasıl korunulur.
EMEA INTELLIGENCE - 2012 / İSTANBUL
• Önce korunmak için teknoloji üretirsiniz, sonra düşmanlarınız o teknolojiyi kullanır, geliştirdiğiniz teknoloji ile savaşa başlamak zorunda kalır…
Yeni Dünya Düzeni ve Siber Güvenlik
EMEA INTELLIGENCE - 2012 / İSTANBUL
Internet Nasıl Çalışır?
Internet, temeli 1970’li yıllarda atılmış askeri bir
protokol olan TCP/IP üzerinde
çalışır.
Internet’te Gizlilik
• Internet ortamında gizlilik (iletişim için) temelde iki şekilde gerçekleştirilir.
• İletişim protokollerini güvenli –şifreli- hale getirerek gizlilik.
• İletişim protokollerinden bağımsız olarak sadece
içeriği özel araçlarla – her iki taraf da aynı şifreleme kullanmalı- şifreleyerek gizleme
• İkinci yöntem daha güvenli kabul edilmektedir.
EMEA INTELLIGENCE - 2012 / İSTANBUL
HTTPS/SSL/TLS
• Güvensiz protokollere şifreleme desteği verme amaçlı geliştirilmiş ara katman protokolleridir.
• HTTPS=TLS+HTTP veya SSL+HTTP
• Birbirleri yerine kullanılsada temelde farklı protokollerdir
• HTTPS/TLS/SSL sadece iletişimde veri gizliliği sağlar, hedef sistemin güvenlik zaafiyetlerine karşı ek bir koruma sağlamaz
SSL
• Secure Sockets Layer (SSL)
• Temelleri Netscape firması tarafından 1994 yılında
atılan SSL aynı yılda ticari olarak piyasaya sürüldü ve bir sonraki yıl IETF tarafından standart olarak Kabul edildi.
• Aslında standartın asıl ismi TLS olmasına rağmen genellikle SSL kullanımı tercih edilmektedir.
• Ilk zamanlar sadece HTTP trafiğini şifreleme amaçlı geliştirilmiş olsa da günümüzde TCP, UDP tabanlı tüm servisleri şifreleme amaçlı kullanılmakta.
EMEA INTELLIGENCE - 2012 / İSTANBUL
HTTPS
• WEB trafiğinde şifreleme sağlama amaçlı geliştirilmiş protokol
– HTTP+TLS veya HTTP+SSL
Sertifika Otoritesi
• PKI altyapısının dayandığı en temel güvenlik bileşeni
• Sertifika otoritesi SSL kavramının günümüzde güvenilir olarak kabul edilmesi ve
yaygınlaşmasındaki en önemli rollerden birine sahiptir.
• SSL’in güvenliğinde sertifika otoritesi tüm gücü elinde bulundurur.
• Sertifika otoritesinde yaşanacak bir güvenlik
problemi sadece o sertifika otoritesini kullanan değil, tüm SSL kullanıcılarını etkileyebilir.
– Diginotar olayı
EMEA INTELLIGENCE - 2012 / İSTANBUL
Sertifika Otoriteleri
• En önemli kurumlardır
• Sertifika otoritesinin ele geçirilmesi o otorite
tarafından onaylanan tüm sertifikaları güvensiz hale getirir.
10 Puanlık Altın Soru
Kaçımız yeni aldığı bilgisayarında,
tabletinde, mobil cihazında yüklü
olan güvenilir olarak kabul edilmiş
sertifika otoritelerini(CA) kontrol
etti?
EMEA INTELLIGENCE - 2012 / İSTANBUL
HTTPS Trafiğinde Araya Girme
• SSL bağlantılarında araya girme fikri ilk bakışta zor hatta imkansız gibi görülse de gerekli şartlar
oluşturulduğunda oldukça kolay başarılabilmektedir
• Gerekli Şartlar:
– İlk olarak hedef sistemin trafiği APR ile bizim üzerimiden geçecek şekilde kandırılmalıdır.
– Hedef sistemin iletişim kurmak istediği HTTPS sayfasına ait sertifika bilgileri ile sahte bir sertifika oluşturulmalıdır.
• Sahte oluşturulan bu sertifika tüm modern browserlarda kullanıcıya uyarı verecektir.
• Bazı browserlar bu uyarıyı oldukça kullanıcı yanlısı (rahatsız etmeyici yumusak bir mesaj) bazıları da
oldukça rahatsız edici ve problemi belirtici uyarılarla gösterirler.
14
HTTPS MITM Uyarıları
Firefox
Internet Explorer 7
EMEA INTELLIGENCE - 2012 / İSTANBUL
İzle(n)meye Karşı Önlemler
• Çoğu popüler web hizmeti tüm trafiği şifreleyecek şekilde SSL hizmeti sunmaya başlamıştır.
• Öncüsü Google
• Hotmail
• Hotmail
• …
Twitter Şifreleme Kanalı (SSL) Desteği
EMEA INTELLIGENCE - 2012 / İSTANBUL
Facebook Şifreleme Kanalı (SSL) Desteği
Gmail Şifreleme Kanalı (SSL) Desteği
• Gmail SSL’e geçiş serüveninin öncülerinden…
EMEA INTELLIGENCE - 2012 / İSTANBUL
Hotmail Şifreleme Kanalı (SSL) Desteği
• Öntanımlı olarak SSL açık gelmiyor
Internet İzleme Sistemleri
• Basite indirgersek ağ trafiği analiz araçları
– Sniffer: tcpdump, Wireshark, Snort, Ngrep
• Sniffing sistemlerinin işe yaraması için akan trafiğin “clear text” olması gerekir.
• Şifreli trafik izlenebilir fakat anlmalı bir bilgi edinilemez.
EMEA INTELLIGENCE - 2012 / İSTANBUL
Yasal İzleme/Lawful Interception
• Kanunlar çerçevesinde yapılan izleme
• Genellikle ISP seviyesi izleme gerçekleştirilir.
• Bazı durumlarda son kullanıcı bilgisayarına zararlı yazılım yükleyerek gerçekleştirildiği de olmuştur.
Yasal Olmayan İzleme
EMEA INTELLIGENCE - 2012 / İSTANBUL
Yasal Olmayan İzleme
Tunus Gmail Örneği
Paket Başlık Bilgileri
• Mektup zarf ilişkisi
• Amaç mektubu meraklı gözlerden Koruyarak hedefe iletilmesini
sağlamak.
• Zarf=header=başlık bilgisi
• Paketin nereye gideceğini belirler.
• Mektup=payload=gerçek veri Taşımak istediğimiz veri.
Her protokolün header kısmı ve Payload kısmı farklı olabilir.
Firewall->Header
EMEA INTELLIGENCE - 2012 / İSTANBUL
Deep Packet Inspection
• DPI=Derinlemesine Paket Analizi
• Paketin ötesinde taşınan protokole ait
başlık+gövde(hader+payload) bilgilerini detaylıca incelemeye tabi tutularak paket üzerinde gerekli işlemlerin yapılması
– Sadece XYZ protokolünde içerisinde ABC geçen paketleri yakala
– Facebook’ta ABC oyununu bu ay tüm abonelere ücretsiz kullanım hakkı ver.
DPI(Deep Packet Inspection) Örneği
alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (\
msg:"ET P2P ABC Torrent User-Agent (ABC/ABC-3.1.0)"; \ flow:to_server,established; \
content:"User-Agent\: ABC/ABC"; nocase; \ sid:2003475;)
alert http $HOME_NET any -> $EXTERNAL_NET any (\
msg:"ET P2P ABC Torrent User-Agent (ABC/ABC-3.1.0)"; \ header.useragent:"ABC/ABC"; \
Hatalı IPS Kuralı
Doğru IPS Kuralı
EMEA INTELLIGENCE - 2012 / İSTANBUL
DPI Kullanım Amaçları
• Yasal dinleme - lawful intercept,
• Trafik İzleme,
• QoS (Hizmet Kalitesi) Güvencesi,
• Özelleştirilmiş Fiyatlandırma & Faturalandırma,
• Internet Trafiği Paylaşımı (Peering) Kontrolü,
• Güvenlik (IPS, DLP)
Data Carving…
• Ham veriden orijinal veri elde etme yöntemi
1010101 1010101 0101010 1010101 0101010
101 Sniffer
Data Carving
EMEA INTELLIGENCE - 2012 / İSTANBUL
Network Data Carving
• Sniffer kullanarak kaydedilmiş ikili(binary) dosyalardan(.pcap formatında veya farklı formatlarda) orjinal veri elde etmek
• Akan ağ trafiği üzerinde belirli şartlara göre izleme yapma
– Echelon mantığı
– Günümüzdeki DLP sistemlerinin atası sayılabilir
• Iki uç haberleşirken aradaki dinleme sistemleri iki uç ne görüyorsa aynısını görebilir, dinleyebilir,
kaydedebilir.
• Network forensic çalışmalarının temelini oluşturur
Örnek Uygulama:Eeye Iris
EMEA INTELLIGENCE - 2012 / İSTANBUL
Örnek Uygulama
SSL Nasıl Alt Edilir?
• SSL güvenliğindeki en önemli bileşen sertifika otoritesidir.
– Sertifika otoritesi tek başına işe yaramaz, istemci
yazılımları tarafından güvenilir olarak kabul edilmelidir.
• Dünya üzerindeki sertifika otoritelerinden birinin hacklenmesi ve sertifika üretim için kullanılan gizli anahtarın ele geçirilmesi tüm dünyadaki SSL
kullanımını anlamsız kılabilir!
– İstisnalar mevcuttur.
• Güvenilir bir sertifika otoritesi tarafından
EMEA INTELLIGENCE - 2012 / İSTANBUL
Tunus Facebook Örneği
Tunus Sertifika Otoritesi Kullanımı
• Tunus hükümeti
– Detaylar için wikileaks belgeleri
EMEA INTELLIGENCE - 2012 / İSTANBUL
Sorunu Kökten Çözen Ülke:İran
Türkiye’de Durum
• .