10 Mart 2020 Salı

Kr00k Nedir, Tehlikeleri Nelerdir?


Kr00k Nedir, Tehlikeleri Nelerdir?

Kübra Eskalan, Sızma Testi Uzmanı

Kr00k-CVE-2019-15126, ESET güvenlik şirketi tarafından 17 Ağustos 2019’da keşfedilmiştir. 24-28 Şubat 2020 tarihide gerçekleşen RSA 2020 etkinliğinde güvenlik ürünleri geliştiricisi olan ESET firmasın araştırmacıların yaptığı sunum ile detayları açıklanmıştır. Bu açıklık şifreli Wi-Fi trafiğinin şifresinin çözülmesine izin veren bir güvenlik açığıdır. Aslında herkesin kullandığı yazılımlarda her gün keşfedilen birçok hata gibi bir hatadır. Aradaki fark ise, Kr00k'un bir Wi-Fi bağlantısı üzerinden gönderilen veri paketlerini korumak için kullanılan şifrelemeyi etkilemesidir. Çoğunluk ile bu paketler kullanıcının Wi-Fi şifresine bağlı benzersiz bir anahtarla şifrelenir. Çok sayıda iOS ve Android cihaz da bu donanımla kullanıcılarla buluştuğu için tehlike içinde olduğu belirlenmiştir. Üstelik sadece akıllı telefonlar değil, ASUS ve Huawei tarafından üretilen Wi-Fi cihazlarının da bu anteni kullandığı bilinmektedir.
Broadcom üretimi Wi-Fi antenlerinde bu güvenlik açığı keşfedilip, istismar edilerek kullanıcıların şifrelenmiş verilerinin kolayca okunabildiği fark edilmiştir. En yaygın kullanılan protokoller arasında yer alan WPA2-Personal ve WPA2-Enterprise zafiyetten etkilenmektedir.
Bu konuyu daha teknik ifade edecek olursak, kablosuz haberleşmenin doğasında  bulunan  “Bağlantıyı kesmek” veya ” Deauthentication” durumu bir Wi-Fi bağlantısında doğal olarak gerçekleşen olaydır. Bu durum genellikle düşük Wi-Fi sinyali alındığında otomatik olarak gerçekleşerek bağlantı kesme durumu meydana gelir. Wi-Fi cihazlarının gün boyunca birkaç kez bağlantısı kesilir ve bu durum yaşandığında, istemciler geçmişte kullanılan ağa yeniden bağlanmak için otomatik olarak talep iletir.
ESET araştırmacıları, saldırganların; aygıtları uzun bir bağlantı kesme durumuna sokabileceklerini ve bu sayede aygıta gelmesi beklenen Wi-Fi paketlerini dinleyebileceklerini ve daha sonra gerçekleşen trafiği deşifre etmek için Kr00k açıklığını kullanabileceklerini belirtmişlerdir. Bu işlemlerin gerçekleşmesiyle normalde güvenli olduğu düşünülen trafik, saldırganlar tarafından okunabilir hale gelmektedir.
Bu açıklıkta dikkat edilmesi gereken en önemli nokta ise kr00k açıklığının sadece AES-CCMP şifrelemeli WPA2-Personal veya WPA2-Enterprise güvenlik protokollerini kullanan WiFi bağlantılarını etkilemesidir.

Kimler Etkilendi, Ne Yapılmalı?
ESET araştırmacıları tarafından, birçok popüler cihazın savunmasız olduğu doğrulanmıştır. Araştırma sonuçlarına göre kr00k, henüz yamalanmamış olan Broadcom ve Cypress Wi-Fi çiplerini kullanan tüm cihazlar bu açıklıktan etkilenmektedir. Bu cihazlara akıllı telefonlar, tabletler, dizüstü bilgisayarlar örnek gösterilebilir. Ayrıca bu güvenlik açığından yalnızca istemci aygıtları değil, Wi-Fi erişim noktaları ve yönlendiricileri de etkilenmiştir.
Bilinen savunmasız cihazlardan bazıları şunlardır:
·         Amazon Echo 2. nesil
·         Amazon Kindle 8. nesil
·         Apple iPad mini 2
·         Apple iPhone 6 , 6S , 8 , XR
·         Apple MacBook Air Retina 13 inç 2018
·         Google Nexus 5
·         Google Nexus 6
·         Google Nexus 6S
·         Samsung Galaxy S4 GT-I9505
·         Samsung Galaxy S8
·         Xiaomi Redmi 3S

Firmalar ise bu güvenlik açığını kapatmak için yamalar yayınlamaktadırlar. ESET’in yayınladığı raporda diğer markalar tarafından üretilen Wi-Fi donanımlarında da zafiyet araması yapıldığı ve Qualcomm, Realtek, Ralink, Mediatek donanımlarında herhangi bir zafiyet bulunmadığı belirtilmiştir.
Bu güvenlik açığından korunabilmek adına telefonlar, tabletler, dizüstü bilgisayarlar, Wi-Fi erişim noktaları ve yönlendiriciler dahil olmak üzere tüm Wi-Fi özellikli cihazların en son işletim sistemi, yazılım ve / veya ürün yazılımı sürümlerine güncellendiğinden emin olunması önerilmektedir

Wifi kablosuz ağ  güvenlik testini de içeren sızma testi ( Penetrasyon testi) hizmetlerimiz hakkında detaylı bilgi almak için tıklayınız.  

Kaynaklar
https://en.wikipedia.org/wiki/Kr00k
https://www.eset.com/tr/kr00k/

5 Şubat 2019 Salı

SIZMA TESTLERİNDE EN ÇOK KARŞILAŞTIĞIMIZ AÇIKLIKLAR «2018» 


Kemal AYDIN, Kıdemli Sızma Testi Uzmanı [TSE]

Teknolojinin gelişmesi ile beraber hayatımızı teknoloji ile beraber şekillendirmekteyiz. Teknolojide ortaya çıkan değişiklikler insanların yaşam ve iş rutinlerini değiştirmek için motivasyon sağlamaktadır. Örneğin internet üzerinden alışveriş yapmak, yemek siparişi vermek, ofise gitmeden uzaktan çalışmak gibi durumlar hayatı kolaylaştırmakta ve benzer durumlar hayatın her alanında karşımıza çıkmaktadır.  Hayatımıza “akıllı” kavramının girmesiyle beraber hayat kalitemizin arttığı yadsınamaz bir gerçektir.  Ancak bu akıllı cihazlar herkes tarafından kolay kullanılabilir olması ve kolay kurulum yapılabilmesi adına en düşük güvenlik önlemleri ile karşımıza gelmektedir. Son kullanıcı bu noktada birçok şeyden habersiz bu ürünleri kullanmaya devam etmektedir. Bu durum kişilerin ve kurumların mahremiyetini ve güvenliğini tehlikeye atmaktadır.

Kısaca, bir şey insanların hayatını ne kadar kolaylaştırıyor ise o ölçüde güvenliğini tehdit etmektedir. Aynı durum kurumlar için de fazlasıyla geçerlidir. Örneğin kurumlar çalışanlarına esnek çalışma ortamı sağlayabilmek adına VPN teknolojisi ile çalışanlarını kendi kurum ağına dahil edebilmektedir. Ancak burada gerekli güvenlik tedbirleri alınmaz ise kurumlar için büyük risk oluşturacaktır. Bunun gibi örnekler çoğaltılabilir. 

Sızma testleri bir kurumun, bilgi teknoloji sistemlerine bir saldırgan bakış açısıyla sızma girişimleri için yapılan testlerdir. Sızma testinde belli senaryolar dahilinde testler gerçekleştirilir. Saldırganın kurum çalışanı olması (içeriden yapılan saldırı) veya saldırganın kurum ağına gerçekleştirmiş olduğu fiziksel erişim gibi senaryolar bunlara örnek olarak verilebilir. Dışarıdan içeriye sızmalarda ise sosyal mühendislik testleri büyük önem taşımaktadır. Oltalama testleri bu yapıda önemli bir paydaya sahiptir. Bu vektörler dışında web ve mobil uygulamalar üzerinden de hem sistem hem de sistemde kayıtlı kişilere ait bilgiler ele geçirebilmektedir. Güvenliğiniz en zayıf halkanız ile doğru orantılı olacağı için tüm erişim noktalarından uygun testlerin yapılması, kurumların siber uzayda güvenlik seviyesinin farkında olması adına çok önemlidir.  

Biz de BTYÖN olarak 2018 yılında yaptığımız testlerde en çok karşılaştığımız bulguları derleyip paylaşmak istedik. Bu sayede kurumların kendi sistemlerinde bu zafiyetlerin bulunup bulunmadığını test edebileceğine inanmaktayız. Böylelikle kurumlar sistemlerini daha güvenliği hale getirip saldırı tehditlerini azaltabileceklerdir.

Yaptığımız analizi paylaşmadan önce yapılan testlerin içerikleri hakkında bilgi vermek faydalı olacaktır. 

1.  AĞ VE SİSTEM ALTYAPILARI TESTLERİ

1.1.  DIŞ AĞ & DMZ TESTLERİ

İnternet üzerinden gerçekleştirilen güvenlik denetimlerde kuruma ait ve dış dünyaya açık olan sistemlerin güvenlik denetimleri gerçekleştirilmektedir. Gerçekleştirilen denetimlerin bir kısmı aşağıda verilmiştir.
  •  Müşteri sistemlerine ait pasif bilgi toplama yöntemleri ile kurum hakkında bilgi toplanır.
  •  Hedef sistemler üzerinde çalışan servisler, sürümleri ve bu sürümlere ait zafiyetler tespit edilir.
  •  Hedef sistemler üzerinde bulunan servislerin hatalı yapılandırılmalarına bağlı zafiyetler tespit edilir.
  • Tespit edilen bütün zafiyetler istismar edilerek kanıtlar toplanır, hedef sistemlerde erişim elde edilmeye çalışılır ve elde edilen erişimlerin yetkileri yükseltilmeye çalışılır.

1.2.  İÇ AĞ TESTLERİ

Sunucu ve İstemci Testleri
Yerel ağ üzerinde, kapsam dâhilinde tutulan istemci ve sunuculara yönelik gerçekleştirilen testlerdir. Bu kategoride hedef sistemler tespit edilir. Hedef sistemler üzerinde açık olan portlar ve bu portlar üzerinde çalışan servisler tespit edilir. Bu servislerin sürümleri ve mevcut sürümleri için zafiyetleri tespit edilir. Hatalı yapılandırma ve sürüm bazlı zafiyetler istismar edilerek saldırganların sistemlere verebileceği zararlar analiz edilir. Ele geçirilen sistemler aracılığı ile diğer sistemlere ve ağlara yönelik zafiyetler tespit edilir.

Kurum ağında bulunan farklı sunuculara yönelik farklı testler gerçekleştirilmektedir. Kapsam dâhilinde bulunan sunuculara yönelik ticari ve açık kaynak otomatize araçlar ile zafiyet analizinin yanında güvenlik ekibimizce geliştirilen araçlar ile de manuel testler gerçekleştirilmektedir.

DNS Sunucu Testleri
Bir kurumun ağ yapısında, DNS sunucuları son derece önem taşımaktadır. IP adreslerinin kullanım zorluğunu ortadan kaldıran DNS sunucularında da çeşitli zafiyetler bulunabilmektedir.
Hatalı yapılandırılmış DNS sunucuları aracılığı ile kurum ağ yapısı hakkında bilgi toplamak mümkün olabilmektedir.

Bu test kategorisinde kullanıcıların farklı sistemlere istekleri dışında yönlendirilebilmelerine olanak verebilen zafiyetler gibi saldırganlara yetkisiz erişim izni oluşturabilecek zafiyetler test edilmektedir.

E-mail Sunucu Testleri
Bu kategoride kapsam dâhilinde bulunan mail sunuculara yönelik testler gerçekleştirilmektedir. Son yıllarda kurumlara yönelik saldırıların önemli bir oranı mail sistemleri üzerinden son kullanıcıyı hedef alacak şekilde gerçekleştirilmektedir.

Hatalı veya eksik yapılandırılmış mail sunucu, saldırganların zararlı içerik gönderimine, yetkisiz mail gönderimine, güvenilir olmayan sistemlerden zararlı mail gönderimine vs. olanak sağlamaktadır.
Bu test kategorisinde mail sistemleri ticari araçlarla ve manuel yöntemlerle test edilmektedir. Mail sunucularının ve mail güvenlik sistemlerinin son kullanıcıları saldırılara karşı koruma yetenekleri test edilmektedir.

Veri Tabanı Güvenlik Testleri
Veri tabanı sistemleri bir kurumun en hassas sistemleridir. Veri tabanı sistemlerinde de yapılandırmaya, kullanılan sürümlere ve istemci olarak bağlanıp verileri yöneten sistemlere bağlı olarak zafiyetler bulunabilmektedir. Bu zafiyetler, saldırganların veri tabanına yetkisiz bir şekilde erişebilmesine, istemci ile sunucu arasındaki veri iletişimini değiştirebilmesine, veri tabanı sunucusunu ele geçirmesine sebep olabilmektedir.

Bu kategoride gerçekleştirilen testlerde veri tabanı sunucuları detaylı testlere tabi tutulmaktadır.

Ağ Cihazı Testleri
Bu kategoride kapsam dâhilinde tutulan ağ cihazlarına (switch, router vs.) yönelik zafiyet analizleri ve sızma testleri gerçekleştirilmektedir. Hatalı veya eksik yapılandırılmış ağ cihazlarında bulunan zafiyetlerin istismarı ile kullanıcılar gitmek istemedikleri sitelere yönlendirilebilir, şifreli trafikleri araya girilerek elde edilebilir.

VoIP Teknolojisi Ürünleri Testleri
Kurum bünyesinde kullanılan VOIP sistemlerinde zafiyetler bulunabilmektedir. Hatalı veya eksik yapılandırılmış veya güncelleme eksiklikleri bulunan sistemlerin kullanılması ile saldırganlar kullanıcıların konuşmalarını kaydedip ortam dinlemesi gerçekleştirebilir, kullanıcılar adına sahte kimliklerle arama gerçekleştirebilir ve aradaki şifreli trafiği çözerek konuşma kayıtlarını elde edebilirler.

Buna benzer saldırılara karşı zafiyet analizleri için ticari ve açık kaynak yazılımlar ile otomatize ve manuel testler gerçekleştirilir.

1.3.  KABLOSUZ AĞ TESTLERİ

Kablosuz ağlara yönelik saldırılar ile kablosuz ağ parolasını elde etmek, kullanıcılara yönelik saldırılar gerçekleştirebilmek mümkündür. Hatalı veya eksik yapılandırılmış kablosuz ağlar üzerinden kuruma ait diğer ağlara da saldırılar gerçekleştirmek mümkün olabilmektedir. 

Bu kategoride gerçekleştirilen güvenlik denetimlerde kurum tarafından kapsam dâhilinde tutulan kablosuz ağ sistemlerine yönelik sızma testleri gerçekleştirilmektedir.

2.  WEB UYGULAMA TESTLERİ

Kurum tarafından belirli işlevleri yerine getirmek üzere yapılandırılmış web uygulamaları, dış ağ üzerinden herkes tarafından erişilebilir olduğu için güvenliğinin sağlanması son derece önemlidir. Bir web uygulaması üzerinde çalıştığı sunucunun ele geçirilmesine, bir sunucunun ele geçirilmesi tüm kurum sistemlerinin ele geçirilmesine olanak sağlayabilir.

Kurum Web uygulamalarına yönelik gerçekleştirilen testler OWASP yönergelerine uygun olarak gerçekleştirilmektedir. Web uygulamalarına farklı kullanıcı profilleri ile erişim sağlanabildiği için farklı profillerde güvenlik denetimleri gerçekleştirilmektedir.
Testlerin gerçekleştirildiği profiller aşağıda verilmiştir.
  • Anonim kullanıcı: Bu kullanıcı profilinde kullanıcının hedef sistem üzerinde herhangi bir yetkisi bulunmamaktadır.
  • Yetkisiz kullanıcı: Bu kullanıcı profili uygulama üzerinde sadece yetkisiz bazı işlemleri gerçekleştirebilen fakat uygulama üzerinde değişiklik gerçekleştiremeyen kullanıcı profilidir.
  • Yetkili kullanıcı: Bu kullanıcı profili uygulama üzerinde bazı yetkili işlemleri gerçekleştirebilmektedir. Uygulamanın mimarisine göre birden fazla yetkili kullanıcı profilleri olabilmektedir. 

Uygulama güvenliği testlerinde yetkisiz kimselerin yetkili işlemleri gerçekleştirebilme girişimleri de canlandırılmaktadır. Yetkili bir kullanıcının gerçekleştirdiği tüm işlemler yetkisiz bir kullanıcı ile de gerçekleştirilmeye çalışılmaktadır. Bu tür yetki aşımı girişimlerine dikey yetki yükseltme girişimleri denilmektedir. Aynı şekilde yetkisiz bir kullanıcının başka bir kullanıcıya ait alanlara erişememesi gerekmektedir. Bu tür yetki aşımı girişimlerine ise yatay yetki aşımı girişimleri denilmektedir.

3.  MOBİL UYGULAMA TESTLERİ

Kurumun mobil kullanıcılarına yönelik hazırladığı mobil uygulamalarda da çeşitli zafiyetler bulunabilmektedir. Mobil cihazlar için hazırlanan uygulamalar ve sunucu tarafında mobil uygulamalar için hazırlanan servislere yönelik gerçekleştirilen sızma testleri gerçekleştirilmektedir. OWASP yönergelerinin ve sızma testi ekibi tarafından hazırlanan kontrol listelerinin uygulandığı bu test kategorisinde tüm saldırı senaryoları test edilmektedir.

4.  SOSYAL MÜHENDİSLİK TESTLERİ

Bu güvenlik denetimleri kategorisinde testler direk olarak kurum çalışanlarına yönelik gerçekleştirilmektedir. Bir kurumun güvenlik zincirinin en hassas ve kırılgan noktasını çalışanlar oluşturmaktadır. Bu yüzden kurum çalışanların da güvenlik farkındalığının yüksek olması gerekmektedir. Çalışanların farkındalığını test etmek için kullanılan yöntemler, oltalama saldırıları ile çalışanlardan hassas bilgi elde etme yöntemleridir.

Oltalama yöntemleri olarak telefon yoluyla ya da mail yoluyla testler gerçekleştirilmektedir. Kurum tarafından gerçekleştirilen isteğe bağlı olarak testler mail yoluyla, telefon yoluyla veya her ikisiyle gerçekleştirilmektedir.

Testler personellerden, hassas bilgileri elde etmek için hazırlanmış sahte senaryolarla gerçekleştirilmektedir. Senaryolar personellerin sık kullandığı sistemlere benzetilerek ve çalışanları endişeye sevk edecek şekilde hazırlanmaktadır.

5.  DoS & DDoS SERVİS SONLANDIRMA TESTLERİ

Kurum sistemlerinin dışarıdan erişilebilmesi için yapılandırılan servisler, sunucuların ve ağ yapısının sınırlarından ve hatalı yapılandırılmalarından dolayı hizmet veremez hale getirilebilmektedir. Bu test kategorisinden kurum dış ağı üzerinden çok yoğun oranlarda isteklerde bulunarak sistemlerin hizmet veremez hale geldiği eşik değerleri tespit edilmektedir.
  • TCP SYN FLOOD: Hedef sistemlere TCP -SYN bayrağı seçilmiş paketlerin gönderilerek, hedef sistemlerinin kaynağını tüketip masum isteklere cevap veremez hale getirilmesidir.
  • TCP ACK FLOOD: Hedef sistemlere TCP-ACK bayrağı seçilmiş paketlerin gönderilerek, hedef sistemlerin masum isteklere cevap veremez hale getirilmesidir.
  • MIXED FLAG FLOOD: Hedef sistemlere birden fazla TCP bayrağının seçilmiş paketlerin gönderildiği saldırı çeşididir. Bu saldırılarda uygulamalar önünde konumlandırılan sistemlerin kaynaklarının tüketilmesi hedeflenmektedir.
  • ICMP FLOOD: Hedef sistemlere ICMP paketlerinin gönderilerek hedef sistemlerin diğer masum isteklere cevap veremez hale getirilmesidir.
  • UDP FLOOD: Hedef DNS sunucu sistemlerine yapısı değiştirilmiş paketlerinin gönderilerek, hedef sistemlerin DNS isteklerine cevap veremez hale getirilmesidir.
  • DNS FLOOD: Hedef DNS sunucu sistemlerine yönelik aşırı miktarda DNS isteklerinin gerçekleştirilerek, sistemlerin diğer masum DNS isteklerine cevap verilemez hale getirilmesidir.
  • HTTP GET FLOOD: Hedef web uygulamalarına yönelik HTTP-GET istekleri ile sistemlerin uygulamaların cevap veremez hale getirilmesidir.
  • HTTP POST FLOOD: Hedef web uygulamalarına yönelik HTTP-POST istekleri ile sistemlerin uygulamaların cevap veremez hale getirilmesidir.


6.  En Çok Karşılaşılan Açıklıklar

Yapılan testlerde elde ettiğimiz verilere göre Ağ ve Sistem Altyapılarında en çok rastlanan beş bulgunun dağılımı aşağıdaki gibidir.


Grafik 1 Ağ ve Sistem Altyapıları

  • MS17-010 güvenlik bülteni ile yayınlanan SMBv1 üzerine gönderilen bazı isteklerin yanlış değerlendirilmesi sonucu özel paketler ile yetkisiz bir biçimde uzaktan kod çalıştırılması durumu ortaya çıkmaktadır.  Saldırganlar ağda bulunan SMBv1 koşturan Windows işletim sistemlerini hedef alarak özel hazırlanmış paketleri ilettiğinde uzak sunuculara ve istemcilere erişim sağlayabilirler. Bu durumda uzaktan komut çalıştırılabilir ve akabinde bilgi ifşası yaşanabilmektedir.
  • SNMP (Simple Network Management Protocol) servisi, önceden belirlenmiş sistem bilgilerine uzaktan erişebilmeyi sağlayan bir yönetim servisidir. SNMP servisi versiyon 3 öncesi kullanımlarda, sistem bilgilerine erişimde sadece bir topluluk ismi kullanmaktadır. SNMP servisi topluluk isminin kuruma özel kullanmak yerine ön tanımlı olarak (public, private, cisco) kullanılması yetkisiz kimselerin sistem hakkında bilgi toplamasına imkan sağlamaktadır.
  • Telnet, cihazların uzaktan yönetimi için kullanılan bir protokoldür. Telnet protokolü ile gerçekleştirilen bağlantılar ağ üzerinden şifrelenmeden gerçekleştirilmektedir. Aynı ağda bulunan saldırganlar tarafından oturum bilgilerinin dahil tüm trafiğin elde edilmesi mümkündür.
  • Anonim kullanıcı için tanımlanan FTP hizmetinde kullanıcılar sadece “anonymous” kullanıcı adı ile parola kullanmaksızın dosya transferi gerçekleştirebilmektedirler. Bu zafiyetin saldırganlar tarafından istismarı ile dosya sunucu üzerinde bulunan verilerin ifşası ve sunucuya zararlı yazılım yüklenmesi gerçekleşebilir.
  • Dropbear çoklu güvenlik zafiyetleri sömürülerek; kullanıcı adı ve parola tanımlamasında kaynaklanan bir metin formatı zafiyeti sebebiyle, giriş yapmamış bir kullanıcı sistem üzerinde root hakları ile komut çalıştırabilir. Ek olarak OpenSSH anahtar dosyalarının yönetiminden kaynaklanan bir zafiyet sebebiyle, sistemde giriş yapmamış bir saldırgan uzak komut çalıştırabilir. 
Yapılan testlerde elde ettiğimiz verilere göre Web Uygulamalarında en çok rastlanan beş bulgunun dağılımı aşağıdaki gibidir.



Grafik 2 Web Uygulamaları

  • Web uygulamalar geliştiriliyorken güvenliğin sağlanması adına bazı önlemlerin alınmış olması önemlidir. Örneğin HTTPOnly bayrağı işaretlenmemiş çerezlerin kullanımı sonucu, son kullanıcılara yönelik gerçekleştirilebilecek XSS saldırıları ile geçerli oturum bilgiler elde edilebilmektedir. Çerezlere güvenli bayrağı (Secure) atandığında, tüm çerez bilgileri SSL protokolü ile gönderilmeye zorlanır. Güvenli bayrağı atanmamış çerezler, araya girme saldırıları (man in the middle attack-MITM) sonrasında önemli bilgilerin ifşası söz konusu olabilmektedir.
  • Web uygulamalar geliştiriliyorken kullanılan JavaScript veya jQuery kütüphanelerinin güncel olması web uygulamanın güvenliği için yüksek önem taşımaktadır. Güncel olmayan sürümlerde uzaktan komut çalıştırmaya varan ciddi zafiyetler oluşabilmektedir. 
  • Web uygulamaların CAPTCHA kullanılmayan kimlik doğrulama panelleri, kaba kuvvet (brute force) saldırılarına karşı savunmasızdırlar. Saldırganlar bu zafiyeti istismar ederek geçerli hesap bilgilerine erişebilmeyi başarabilirler.
  • Web uygulamalarda bazı hassas bilgilerin (kullanıcı adı, parola vs.) şifresiz kanallar aracılığı ile iletilmesi sistemi kullanan kişiler için zafiyet arz etmektedir. Saldırganların başarılı bir araya girme saldırısı (man in the middle attack-MITM) ile bu hassas bilgilerin elde edilebileceğine dikkat edilmelidir.
  • Web uygulamada bulunan formları otomatik olarak gönderilmesi zafiyet oluşturabilmektedir. Proxy sunucu ile araya giren saldırgan, sistem üzerinde sonsuz kayıt oluşturabilir. Bu da veri tabanının kayıt limitinin aşılarak devre dışı kalmasına sebep olabilir. Sistemin veri bütünlüğünü bozarak işlevsiz hale gelmesine sebep olabilmektedir.

Yapılan testlerde elde ettiğimiz verilere göre Mobil Uygulamalarında en çok rastlanan beş bulgunun dağılımı aşağıdaki gibidir.


Grafik 3 Mobil Uygulamaları

  • Jailbreak/root yapılmış cihazlarda zararlı yazılım olma ihtimali jailbreak/root yapılmamış cihazlara göre çok daha yüksektir. Bu sebepten ötürü uygulamalar Jailbreak/root yapılmış bir cihaz üzerinde çalışıyorsa kullanıcının bu durumunun riski hakkında bilgilendirilmesi önerilmektedir.
  • SSL Pinning yapılmadığı durumlarda saldırgan, cihaza kendi oluşturduğu SSL sertifikasını yükleyerek sunucu ile istemci arasındaki trafiği çözebilmektedir. Bu zafiyet yazılımın kendine yapılan isteklerde beklediği geçerli SSL sertifikasını tanımamasından ve saldırgan tarafından oluşturulmuş sertifikayı kabul etmesinden kaynaklanmaktadır.
  • Uygulamaların "Log" dosyalarında hassas veri barındırması durumunda zafiyet oluşmaktadır. Cihaza fiziksel veya uzaktan erişen saldırgan log dosyalarını inceleyerek son kullanıcıya ait hassas verilere erişebilecektir. Ele geçirdiği bu hassas veriler ile uygulamaya giriş yapabilecektir.
  • Cihaz içerisindeki SQLite dosyalarında uygulamaya ait hassas veriler depolandığı noktalarda zafiyet oluşmaktadır.  Cihaza fiziksel veya uzaktan erişim sağlayabilecek saldırgan bu bilgiler sayesinde hassas ve kişisel bilgilere ulaşabilmektedir. 
  • Uygulama kaynak kodu okunabilir şekilde geri dönüştürüldüğünde uygulamanın iç işleyişi ile ilgili bilgiler saldırgan tarafından elde edilebilmekte ve uygulamanın analizi kolaylaşmaktadır.


Yapılan testlerde elde ettiğimiz verilere göre Sosyal Mühendislik Testlerinde başarı dağılımı aşağıdaki gibidir. Sonuçlar mail ile oltalama saldırısının benzer senaryolar ile uygulanması ile elde edilmiştir.


Grafik 4 Şüpheli Bağlantıya Tıklama Oranları

Grafikten de anlaşıldığı üzere test yapılan kullanıcıların yarısından fazlası ilgi çekici içeriğe aldanarak açma eğilimindedir. Saldırganlar insani zafiyetlerden faydalanarak sistemler üzerinde erişim sağlayabilirler. Bu da bilgi teknolojileri sistemlerini risk altında bırakmaktadır. 


Grafik 5 Şüpheli Bağlantıdan Açılan Formu Doldurma Oranları

İkinci grafik ise ilk grafikte şüpheli linke tıklayan kullanıcıların önüne gelen formda kişisel bilgileri talep edilmektedir. Burada kullanıcıların %60 gibi ciddi bir çoğunluğu kişisel bilgilerini veri toplayanın kaynağına dikkat etmeden paylaşmışlardır. 

Bu tarz saldırıların önüne geçebilmek adına alınabilecek en iyi önlem kurum çalışanlarını konu hakkında bilinçlendirmek için farkındalık eğitimleri verilmesidir.

7.  Sonuç

Kurumların bilgi teknolojileri sistemlerinin dış dünyaya karşı durumunu öğrenebilmeleri ve açıklıklara karşı önlem alabilmeleri için periyodik olarak sızma testi yaptırmaları önerilmektedir. Ancak bu süreçte sadece sızma testi yeterli olmayabilir. Dış dünyaya karşı hazırlıklı olmak için gelen güncelleme ve düzeltmelerin takibi, sistemlerin bakımı ve kullanılmayan servislerin kapatılması güvenli kalabilmek adına büyük önem taşımaktadır.

Sistemler ne kadar güvenli olsa da bilgi güvenliğinin en zayıf halkası olan insani zafiyetler unutulmamalı, çalışanlara belli periyotlarda farkındalık eğitimi verilmelidir.

Siz de güvenli kalabilmek adına ilk adım olarak paylaştığımız en çok karşılaşılan açıklıkların sistemlerinizde bulunup bulunmadığını kontrol edebilirsiniz.

 Sızma testi Penetrasyon testi) hizmetlerimiz hakkında detaylı bilgi almak için tıklayınız.  

23 Eylül 2018 Pazar

Yeni Sürüm ISO/IEC 20000-1 yayınlandı. ISO/IEC 20000-1:2011 ve ISO/IEC 20000-1:2018 standardı karşılaştırması aşağıdadır.


En son 2011 yılında yayınlanan ISO/IEC 20000-1 Bilgi Teknolojileri Servis Yönetim Sistemi gereklilikler standardının yeni sürümü Eylül 2018 ayında yayınlandı. Ülkemizde 23 kuruluşun1 akredite olarak sahip olduğu bilgi teknolojileri servis yönetim sistemi standardı ile ilgili ana değişiklikler aşağıda özetlemiştir.

  • ISO tarafından tüm yönetim sistemleri için kullanılan üst seviye yapıya (Annex SL) uyumlu hale getirilmiştir. Bu güncelleme organizasyonun içeriği, hedefleri gerçekleştirmek için planlama, risk ve fırsatları belirlemek için faaliyetler gibi yeni zorunluluklar getirmiştir.
  • Servis yönetimi alanındaki trendleri dikkate alarak güncellemeler gerçekleştirilmiştir. Örneğin bir çok tedarikçinin yönetilerek tek elden servis entegratörü olarak hizmet verme yaklaşımı, servislerin tercih edilmesinde tek kriterin fiyat olması (emtialaşma) yaklaşımı, sunulan servislerin değerinin belirlenmesi vb.
  • Bazı bağlayıcı gereklilikler (örneğin kapasite planı) standarttan çıkarılmıştır. Bu sayede işletmelere gereklilikleri sağlamak için esneklik sağlanmıştır. İşletmeler gereklilikleri sağlamak için ne yapılması gerektiği konusunda özgür bırakılmıştır.
  • Bilgi birikimi (knowlegde) ve servislerin planlanmasına yönelik yeni gereklilikler tanımlanmıştır.
  • Daha önce bir arada ele alınan bazı konular parçalanmıştır.
    • Olay ve istek yönetimi, olay yönetimi ve istek yönetimi olarak,
    • Servis sürekliliği ve erişebilirlik yönetimi, servis sürekliliği ve servis erişebilirliği olarak,
    • Servis seviyesi yönetimi, servis seviyesi ve katalog yönetimi olarak,
    • Kapasite yönetimi, kapasite yönetimi ve talep yönetimi olarak ikiye bölünmüştür.
  • “Diğer taraflarca işletilen süreçlerin yönetişimi” maddesi “Servis yaşam döngüsünde yer alan tarafların kontrol edilmesi” olarak yeniden adlandırılmıştır.
  • Standartta yer alan tüm servislerin veya süreçlerin bir başka kuruluş tarafından gerçekleştirilmesi halinde standarda uyumluluk iddia edilemeyeceği eklenmiştir.
  • Terim ve tarifler kısmı yönetim sistemi terimleri ve servis yönetimi terimleri olarak ikiye ayrılmıştır.
    • Üst seviye yapıya uyumlu olmak için yeni terimler eklenmiştir.
    • Servis sağlayıcı terimi kuruluş olarak yeniden adlandırılmıştır.
    • İç grup terimi iç tedarikçi, tedarikçi terimi dış tedarikçi olarak yeniden adlandırılmıştır.
    • Bilgi güvenliği tanımı ISO/IEC 27000 ile uyumlu olmak için tekrar tanımlanmıştır. Erişebilirlik kavramı bilgi güvenliğinde yer alan erişebilirlik ile karışmaması için servis erişebilirliği olarak yeniden düzenlenmiştir.
  • Dokümante edilmiş bilgi gereksinimleri azaltılmıştır.
    • Kapasite planı oluşturma zorunluluğu kaldırılmıştır ve kapasite planlama faaliyeti olarak tanımlanmıştır.
    • Erişebilirlik planı oluşturma zorunluluğu kaldırılmış ve servis erişebilirlik ihtiyaçları ve hedeflerinin dokümante edilmesi zorunluluğuna indirgenmiştir.
    • Konfigürasyon yönetimi veritabanı zorunluluğu kaldırılmış ve onun yerine konfigürasyon bilgilerinin tanımlanmasına yönelik ihtiyaçlar tanımlanmıştır.
    • Sürüm politikası gereksinimi kaldırılmıştır. Onun yerine sürüm türleri ve sıklığının tanımlanması gereksinimi gelmiştir.
    • Sürekli iyileştirme politikası gereksinimi kaldırılmıştır. Onun yerine iyileştirme fırsatlarını belirleme kriterlerini oluşturma zorunluluğu gelmiştir.
  • Servis raporlamaları ile ilgili detaylı raporlama gereksinimleri azaltılmıştır. Kuruluşun kendi ihtiyaçlarına göre oluşturmasına yönelik maddeler eklenmiştir.
Özet olarak ISO/IEC 20000-1 standardı servis yönetimi alanında gerçekleşen yenilikleri dikkate alarak güncellenmiş ve her boyutta firmada daha kolay uygulanabilir hale getirilmiştir. Dokümantasyon yükünün azaltılması ve konun özü olan işin yapılmasına odaklanılması standartta yer alan en önemli değişikliklerdendir. Yeni sürüm ISO/IEC 20000-1 standardının ISO tarafından tanımlanan üst seviye yapı ile uyumlu olması diğer yönetim sistemi ile entegre işetilmesini daha kolay hale getirmektedir.

Kaynaklar
1)      https://apmg-international.com/product/isoiec-20000 (aktedite belge sahibi firmalar.)
2)      ISO/IEC 20000-1 2018 BT Servis Yönetimi Gereklilikler Standardı

7 Ağustos 2018 Salı

Nesnelerin İnterneti'nin Güvenliği


Giriş, Teknoloji ve İnternet
“Citius, Altius, Fortius” Latince “Daha hızlı, daha yüksek, daha güçlü” anlamına gelen bu kelimeler, Olimpiyat Oyunlarının sloganıdır. Olimpiyatlar üzerinden bir benzetimde bulunacak olursak bu ilkelere dayalı yarışın sadece spor alanında gerçekleşmediğini söyleyebiliriz. Teknoloji alanındaki gelişmeleri göz önünde bulundurursak tıpkı atletler arasında daha iyiye varmak için bir yarış oluyormuşçasına hayatımızı daha etkili ve etkin kılmaya yarayan ilerlemelere sahne olduğunu görebiliriz.

Belki de içinde bulunduğumuz döneme Bilgi Çağı adını vermemize sebep olan ilerlemelerden biri olan İnternet, ağların belirli protokoller üzerinden birbirine bağlanarak diğer cihazlarla haberleşmesini sağlayan teknoloji, 1960’larda ABD’de Savunma Bakanlığı’nın projesi olarak ilk ortaya çıktığında Dünya üzerindeki nüfusun birkaç katı civarında cihazın bağlantılı olabileceği öngörülebilmiş midir, bilmiyoruz.

Cisco’nun araştırmalarına göre İnternete bağlanan cihaz cihaz sayısı World Wide Web’in (“www”) kullanıma sunulduğu 1991’de 100 milyon, 2003 yılında 500 milyon civarındaydı. Ancak mobil cihazların piyasaya sürülmesinin ardından 2010 yılında ise 12,5 milyara ulaştı. Bu dönemde Dünya nüfusu ise 6,8 milyar insandan oluşmaktaydı. Kısacası, bu araştırmaya göre bağlantılı cihaz sayısının belirtilen dönemde insan nüfusunu geçtiği sonucuna varılabilmektedir. 2020 yılında ise bağlantılı cihaz sayısının 50 milyara ulaşacağı öngörülmektedir.

Nesnelerin İnterneti
Internet of Things (“Nesnelerin İnterneti”) terimi ilk defa 1999 yılında Kevin Ashton tarafından ortaya atıldı. Ashton, bu kavramı fiziksel dünyada birçok yerde bulunan sensörler aracılığıyla sistemlerin İnternet üzerinden bağlantılı olabilmesi durumu için ifade etmiştir. 2000’lerde kullanılan mobil cihaz (dizüstü bilgisayar, akıllı telefon, tablet vb.) sayısındaki artış bu terimin içi dolu, anlamlı hale gelmesini sağladı. Bağlantılı cihaz sayısının ulaştığı seviye ve cihazların kabiliyetleri sebebiyle 2009 yılı Nesnelerin İnterneti teriminin doğduğu yıl olarak kabul görmektedir. Günümüzde Nesnelerin İnterneti çözümleri birçok kişinin hayatını, davranış ve karar alma biçimlerini, sektörlerin ise iş yapış biçimlerini yeniden şekillendirmektedir. Bu çözümler enerji, veri iletim altyapısı ve trafik sistemleriyle akıllı şehirleri, güvenlik, sağlık, iklimlendirme sistemleri vasıtasıyla özel hayatımıza yönelik olabilmektedir. Nesnelerin İnterneti çözümleri yaygın olarak bulunan kablosuz bağlantılar, anlık veri aktarımı üzerinden gerçek zamanlı veri işleme, gömülü sistemlerin ve sensörlerin gelişimi sayesinde evrim geçirerek günümüzdeki halini almıştır.

Nesnelerin İnterneti Üzerine Kaygılar
Gün içinde attığımız adım sayımızı veya gece uyku kalitemizi takip eden bir bileklik, rotamızı optimize etmeye yarayan bir trafik uygulaması ya da çeşitli medyaları izleyebilmek, dinleyebilmek amacıyla kullandığımız akıllı televizyonlar, yani Nesnelerin İnterneti çözümleri etrafımızı çevreleyen her yerdeler, bize kalp atışlarımız kadar yakın konumdalar.

Yarattığı fırsatlar ve kolaylıkların nimetlerinden faydalanıyor olsak da, insanlar Nesnelerin İnterneti’nin oluşturduğu güvenlik ve mahremiyet risklerinden kaygı duymaktadır. İlk Nesnelerin İnterneti çözümleri kameralar kullanılarak halka açık ortamların gözetimini, daha sonra konum tabanlı sistemler sebebiyle dolaylı da olsa gezdiğimiz lokasyonları takip eden ve son olarak evimizin içine kadar giren çözümler aracılığıyla özel hayatımızı dahi izleyebilecek hale gelmiştir. Yaşadığımız zaman diliminde bir diğer teknoloji olan Yapay Zeka’nın da ilerlemesiyle insanların “Biri Bizi Gözetliyor” tarzı bir distopyanın içinde hissedebilmeleri mümkün görünüyor. Kısacası, kaygılar insanların takip edildiği ve gözetlendiği düşüncesine sahip olmalarından, kişisel verilerinin yetkisiz kişiler tarafından amacı dışında kullanılabileceğini düşünmelerinden kaynaklanmaktadır. Bununla birlikte akıllı sistemler ve altyapıların (enerji vb.) bağlantılı olması nedeniyle oluşabilecek kesintilerde hayatımızın orta yerine konumlanmış temel hizmetlere erişememek ve faydalanamamakta bir diğer endişedir.

Uzmanlar, insanların kaygılanmalarına sebep olan bu risklerin Nesnelerin İnterneti’nin gelişim sürecinin yeterli güvenlik standartları ve regülasyonları olmadan yaşanmasına borçlu olduğunu ifade etmektedir. İlke olarak “Secure by Design”, “Privacy by Design” bir ürünün tasarlanması sırasında güvenlik ve mahremiyetin özellik olarak ele alınması gerektiğini anlamına gelir. Birçok Nesnelerin İnterneti çözümünün ortaya çıkış serüvenlerinde bu ilkelerin gözetilmediği yaşanan ihlal olaylarından anlaşılmaktadır.

Nesnelerin İnterneti Zafiyetleri
Nesnelerin İnterneti’ne her geçen gün dâhil olan cihaz sayısının arttığına dayanarak saldırı yüzeyinin de genişlediğini belirtebiliriz. 2014 yılında Nesnelerin İnterneti cihazlarında bulunan en kritik 10 zafiyeti, web uygulamaları güvenliğinde kar amacı gütmeyen bir kuruluş olarak hizmet veren OWASP aşağıdaki şekilde tanımlamıştır.


  • I1 Insecure Web Interface (Güvenli olmayan Web Arayüzü)
    • Kullanıcı arayüzünün kolaylıkla keşfedilebilir olması
    • Ürün kurulumunda kullanılan varsayılan parolaların değiştirilmemesi
    • Arayüzün Cross-Site Scripting ve SQL Injection zafiyetleri barındırması
  • I2 Insufficient Authentication/Authorization (Yetkisiz Kimliklendirme ve Yetkilendirme)
    • Kompleks parola politikasının uygulanmaması
    • Kullanıcı hesap bilgilerinin açık metin olarak aktarılması
    • Zayıf parola resetleme seçeneklerinin bulunması
  • I3 Insecure Network Services (Güvenli olmayan Ağ Servisleri)
    • Cihaz üzerinde ihtiyaç duyulmayan açık portların bulunması
    • Servis dışı bırakma (DoS) saldırılarına açık olması
  • I4 Lack of Transport Encryption (İletimde Şifreleme Eksikliği)
    • Verilerin açık metin olarak aktarılması
    • Kabul görmüş şifreleme ayarlarının kurulu olması
  • I5 Privacy Concerns (Mahremiyet Endişeleri)
    • Gereğinden fazla veri toplanması
    • Kişisel verilerin saklanması ve iletiminde şifrelemenin kullanılmaması
    • Veri saklama politikasının bulunmaması
  • I6 Insecure Cloud Interface (Yetersiz Bulut Arayüzü)
    • Bulut sistemlerin kolay, tahmin edilebilir parolalara sahip olması
    • Bulut sistemlerin arayüzlerinin kolaylıkla keşfedilebilir olması
    • Bulut sistemlerin Cross-Site Scripting ve SQL Injection zafiyetleri barındırması
  • I7 Insecure Mobile Interface (Yetersiz Mobil Arayüzü)
    • Mobil sistemlerin kolay, tahmin edilebilir parolalara sahip olması
    • Mobil sistemlerin arayüzlerinin kolaylıkla keşfedilebilir olması
    • Mobil sistemlerin Cross-Site Scripting ve SQL Injection zafiyetleri barındırması
  • I8 Insufficient Security Configurability (Yetersiz Güvenlik Yapılandırılabilirliği)
    • Yönetici ve kullanıcı yetkilendirmelerinin farklı olarak yapılamaması
    • Güvenlik kontrollerinin sınırlı olarak değiştirilebilirliği
  • I9 Insecure Software/Firmware (Yetersiz Yazılım/Aygıt Yazılımı)
    • Güvenlik açıklıkları bulunduğunda güncellenememesi
    • Gömülü kullanıcı giriş bilgilerinin bulunması
  • I10 Poor Physical Security (Zayıf Fiziksel Güvenlik)
    • Cihazların kurcalamaya karşı savunmasız olması
    • Portlarının (USB vb.) cihaza kurulum arayüzlerine erişebilmek için kullanılabilmesi

Bir Saldırının Anatomisi
İnternet’e açık bir bilgisayarın saldırganlar tarafından ele geçirildikten sonra uzaktan komutlarla çalıştırılabilmesi sebebiyle bunlara zombi bilgisayar denilmektedir. Zombi bilgisayarların çoğunlukla bir saldırgan ağına bağlı olarak koordineli olarak hareket ettirilerek saldırılarda kullanılması söz konusudur. Bilgisayarların bulunduğu bu ağ, botnet olarak adlandırılmaktadır. Günümüze kadar bilinen en büyük Dağıtık Servis Dışı Bırakma (DDoS) saldırısı bir Nesnelerin İnterneti botnet grubu (“Mirai Botnet”) tarafından 21 Ekim 2016 tarihinde gerçekleşmiştir. Bu botnet grubu, 25 binin üzerinde IP kamera içermekteydi. Saldırganlar kameralara, kurulumdan sonra değiştirilmemiş varsayılan giriş bilgilerini kaba kuvvet (“brute force attack”) saldırısıyla istismar ederek ulaşmışlar ve kontrollerini ele geçirmişlerdir. Dyn adındaki DNS Sunucusuna yapılan kötü niyeti on milyonlarca istek sebebiyle sunucu gelen normal kullanıcılara ait taleplere cevap veremez hale gelmiş ve bir süreliğine servis dışı kalmıştır. ABD’de gerçekleşen bu saldırı sonucunda kullanıcılar birçok Internet devi şirketlerin çevrimiçi hizmetlerine erişememiştir.

Sonuç
İnternet’in ortaya çıkışından itibaren insanlığın bağlantılı olma eğilimi yükselen bir hızla günümüze ulaşmıştır ve önümüzdeki dönemde ivmelenerek devam edeceği öngörülmektedir. Giderek artan bir hızla büyüyen ve hayatımızı şekillendiren teknolojilerden Nesnelerin İnterneti yarattığı faydalarla birlikte risklere de sahiptir. Bu durum madalyonun iki yüzü gibi hem olumlu hem de olumsuz durumların doğmasına sebep olabilir. Nesnelerin İnterneti çözümleri, yaşam döngülerini düzenleyen regülasyonların ve standartların olmaması nedeniyle birçok zafiyete barındırmaktadır. Bu açıklıklar kullanılarak hem özel hem de toplumsal hayatlarımızı ilgilendiren saldırılarla karşılaşılmaktadır.  Nazım Hikmet’ten bir alıntıyla bitirecek olursak, büyük şair 24 Eylül 1945’te yazdığı şiirde “En güzel günlerimiz henüz yaşamadıklarımız” diyordu. Nesnelerin İnterneti hayatımıza getirdiği ve getireceği rahatlıkla en güzel günlerimizi vadediyor. Ancak, diğer taraftan bağlantılı sistemler barındırdıkları zafiyetlerle daha önce görmediğimiz kadar kötü, kâbus dolu günlere de gebe olabilir.

13 Temmuz 2018 Cuma

Güvenlik Ekonomisinin Kinetiği


Rehin alınan bilgisayarlar nedeniyle hizmet dışı kalan üretim bantları, kişisel verilerin çalınması sebebiyle kimlik hırsızlığı/sahtecilikler ve hatta hackerların (saldırganlar) ekonomik ve teknolojik olarak dünyanın en gelişmiş ülkesinin seçim sonuçlarını etkilediği şüphesi son dönemlerin en bilinen siber olayları arasında yer almaktadır. World Economic Forum (Dünya Ekonomik Forumu) şirketlerin üst düzey yöneticileriyle gerçekleştirdiği 2018 yılı Global Risk Raporu’na göre Siber Saldırılar ankete katılanların en çok endişe duyduğu risk olarak değerlendirilmiştir.[1] Gemisini tehlikeli ve dalgalı sularda yüzdüren kaptan edasıyla korsanlar tarafından hedef alınan şirketlerin üst düzey yöneticileri siber güvenlik tehditlerini ve önlemlerini yönetim kurullarının gündemlerine taşımaktadırlar. Bu yazımızda tavşana kaç, tazıya tut diyen siber güvenlik ekonomisinin ana hatlarıyla oluşum ve gelişim eğilimlerini konu alacağız.  

Saldırganların Motivasyonu

Siber olayların anatomisi incelendiğinde, döneminin teknolojik imkânları ve özelliklerinden bağımsız olarak değerlendirilemeyeceği çıkarımında bulunabiliriz. Bilgi Teknolojilerinin deneysellikten kurtulup, pratik olarak da hayatımıza girdiği 1980’lerde imkânlar çoğunlukla akademik amaçlarla kullanılmaktaydı. Bu akademik kullanıcılar teknik olarak bilinçli bireyler olmalarının yanı sıra eğlence amacıyla sistemlerin zayıflıklarını istismar edebilmekteydi. 2000’li yıllara gelindiğinde “.com” furyasının yaşandığı, web sitelerin revaçta olduğu bir dönemde saldırganlar, çoğunlukla kamuya açık bu siteleri hackleyip geride izlerini bırakmaya çalışan yani şöhret amacıyla saldırı gerçekleştirenlerdi. Devamında, 2000’lerin ilk döneminde saldırganlar sadece geride iz bırakmayı değil sistemleri de ele geçirerek verileri çalma ve değiştirme yoluyla maddi kazançlar sağlamak amacıyla saldırılarda bulunmuşlardır. Devletlerin ve özel sektörün teknoloji kullanımı ve bağımlılığının artmasının ardından saldırganlar, politik ve hacktivist amaçlarla saldırılar gerçekleştirmeye başlamışlardır. Bu saldırılar devlet destekli olarak enerji ve kritik altyapılara zarar vermek, ticari veya devlet sırlarını çalmak üzerine olduğu kadar toplumsal olarak şeffaflık ve hesap verilebilirliği sağlamak amacıyla politikacıları hedef alan örneklerine rastlanmaktadır.

Saldırı Yüzeyi

Bu konu başlığını bağlantılılık ve veri hacminin genişlemesi olarak da isimlendirebilmek mümkün olmakla birlikte, bağlantının saldırgan tarafından bilgi barındıran, işleyen, ileten ortamlara erişme ve istismar etmesini sağladığı gerekçesiyle saldırı yüzeyi olarak adlandırılmıştır. Bilgisayar ağlarının kurulması ve yaygınlaşmasıyla bu bilgisayar ağlarının bağlantılı olduğu sistemlere de saldırı gerçekleştirilmeye başlanmıştır. Dolayısıyla, bağlantılılık hareketiyle saldırı hareketinin eş güdümlü ilerlediği ifade edilebilir. Örneğin, günümüzün trendi olan Nesnelerin Internetini değerlendirecek olursak bağlantılı cihaz sayısının giderek arttığını, bu cihazların akıllı sistemler, kritik altyapılar ve kişisel veriler içeren uygulamalar olarak birçok siber saldırının hedefi olduğunu belirtebiliriz. Saldırı yüzeyi vasıtasıyla istismar edilen kaynaklar hedef olduğu kadar, “enfekte sistemler” üzerinden yeni saldırıların gerçekleştirilebilmesi sebebiyle tehdit de olabilmektedir.

Savunmanın Maliyeti ile Saldırının Maliyeti Arasındaki Farklılıklar

Bir siber olayın taraflarını saldırganlar ve savunanlar olarak ele alabiliriz. Bilgi ve İletişim Teknolojilerinin ortaya çıkmasından itibaren bu iki taraf arasında yaşanan üstünlük mücadelesini “Hırsıza kilit dayanmaz” atasözümüzle açıklamak doğru olacaktır. Savunan taraf kendisini güvende hissetmek için birçok önleyici, caydırıcı, tespit edici adımlar atsa da saldıranlar bu önlemleri ekarte edecek veya etrafından dolaşacak yolları bulmaktadır.

Taraflar arasındaki mücadele tarihsel olarak incelendiğinde, saldırıların gerçekleştirilmesi için gerekli olan yetenek kümesinin ve özelliklerinin teknolojilerin ortaya çıktığı dönem ile yaygınlaştığı dönem arasında ciddi farklılıklara sahne olduğunu görebilmekteyiz. Başlangıç döneminde teknolojik özelliklerin anlaşılması ve istismar edilebilmesi yerleşik bir kültür olmaması sebebiyle saldırganlar tarafından nadiren ve zorlukla gerçekleştirilebilmekteydi. Gelişme döneminde, teknolojileri anlayan ve kendi amaçları uğruna kullanabilen bireyler ve gruplar ortaya çıktı ve istismarı gerçekleştirebilmek için kendileri için gerekli olan araçları/scriptleri yazabilmekteydiler. Teknolojik olarak kültürün oluştuğu ve olgunlaştığı dönemde ise topluluklar (community) ortaya çıktı ve bunlar otomatize araçlar ve uygulamaları oluşturarak güvenlik dünyasının çehresini değiştirdiler. Otomatize araçlar bazı örneklerinde ara yüzlere de sahip ve kolaylıkla erişilebilir olarak, bir tuşla hedef sistemi tarayıp zafiyetlerini raporlar hale geldi. Bu durum sonuç olarak aracı kullanan kişilerin gereksinim duyduğu yetenek kümesini daraltmakta ve doğal olarak sıradan kişiler tarafından saldırı gerçekleştirilebilmesine imkân tanımaktadır.   

Siber olayı savunanlar tarafından ele aldığımızda yani işletmeler, sivil toplum, kamu kuruluşları vb. doğaları gereği var olma amaçlarının kârlılık, pazar payı, sosyal fayda olduğunu, kaynaklarını fırsatları kovalamaya yönelik olarak kullandıklarını görebilmekteyiz. Bu durumda kurum içinde savunma amacıyla yeterli kaynakların tahsis edilmediği, sorumluların atanmadığı, paydaşlarda bilincin oluşturulmadığı örneklerle karşılaşılabilmektedir. İyimser bir varsayımda bulunarak risk odaklı yönetilen kurumları ele alırsak, onların da yatırım yapacak birçok güvenlik çözümü ve hizmeti olduğunu, bu çözümlerin sadece satın alınmalarının yeterli olmadığını, bu nedenle konfigürasyonlarının da doğru yapılmasının gerektiğini ve birçok güvenlik süreçlerini ve uygulamalarını işleten kişilerin gerekli yetkinlik düzeyini sağlayabilmeleri gibi zorluklarla yüzleşeceklerini ifade edebiliriz.

Sonuç olarak, günümüzde saldırı gerçekleştirebilmek için saldırı yüzeyi genişleyip kişilerin sahip olması gereken kabiliyetler gittikçe azalmakta ve maddi gereksinimler düşük düzeyde iken, savunanlar için güvenlik önlemlerini alabilmek için yüksek bütçe kalemleri ve yüksek nitelikli personele ihtiyaç artmaktadır. Saldırganlar ve savunanlar arasındaki bu mücadele tarihsel olarak günümüze kadar evrilerek gelmiştir ve gelecekte de devam edecektir.



[1] https://www.weforum.org/agenda/2018/01/our-exposure-to-cyberattacks-is-growing-we-need-to-become-cyber-risk-ready

21 Kasım 2017 Salı

CEN/Cenelec ISO/IEC 27001:2017 Revizyonu

Bilindiği üzere ülkemizde ISO 27001 standardının en son kabul edilen ve Türkçe’ye çevirisi yapılan versiyonu TS ISO/IEC 27001:2013 Bilgi Güvenliği Yönetim Sistemi standardıdır. ISO her 5 yılda bir uluslararası standartları gözden geçirerek, zaman içerisinde oluşan ihtiyaçlar doğrultusunda revize etmektedir.
ISO/IEC 27001:2013 standardında da CEN (Avrupa Standardizasyon Komitesi) tarafından 2017 yılında revizyona gidilmiştir. Bu standart değişikliği ISO tarafından yapılmamış olup, CEN/Cenelec tarafından yapıldığı için, Avrupa’daki standart düzenlemeleri için genel çerçeve oluşturmaktadır. Yani bölgesel bir düzenlemedir.

Yapılan revizyona göre yeni standart BS EN ISO/IEC 27001:2017 olarak yayınlanmıştır. Ülkemizde ise halen TS ISO/IEC 27001:2013 standardı geçerliliğini korumaktadır ve bu standarda göre belgelendirme yapılmaktadır.

Ancak bu değişikliklerin ISO tarafından da periyodik revizyonlarda dikkate alınacağını değerlendirerek, ISO 27001 standardında yapılan değişiklikleri bu yazımızda ele almak istiyoruz.

ISO 27001 revizyonu ile birlikte; ISO 27002 ve ISO 27000 standartlarında da revize gerçekleşmiştir. ISO 27002 kapsamında iki temel kontrol maddesinde aşağıdaki değişiklikler yapılmıştır.

8.1.1 Varlık Envanteri
Kontrol -2013 Versiyon

Bilgi ve bilgi işleme olanakları ile ilgili varlıklar belirlenmeli ve bu varlıkların bir envanteri çıkarılmalı ve idame ettirilmelidir.

Assets associated with information and information processing facilities shall be identified and an inventory of these assets shall be drawn up and maintained.

Kontrol -2017 Versiyon

Bilgi ve bilgiye ilişkin diğer varlıklar ile bilgi işleme olanakları ve ilgili varlıklar belirlenmeli ve bu varlıkların bir envateri çıkarılmalı ve idame ettirilmelidir.

Information, other assets associated with information and information processing facilities should be identified and an inventory of these assets should be drawn up and maintained.

Bu değişikliğe göre varlık envanteri yaklaşımının bilgiler üzerine kurulması esas teşkil edecektir.
Uygulama açısından bakıldığında varlıkları; “bilgi” temelinde sınıflandırıp, envanterde bu bilgileri temel alarak, işleme olanakları ve ilişkili tüm varlıklara yer verme yöntemi izlenebilir.

Örnek:
Örneğin bilgi varlıklarına Gizlilik sınıflandırması temelinde bakarsak, Gizlilik sınıfları için varlıkları bilgi temelli olarak aşağıdaki gibi oluşturabiliriz.
Gizli Varlıklar     :İş Planları, Fiyat Teklifleri, Müşteri Sözleşmeleri, Kredi Kartı Bilgileri vb.
Dahili Varlıklar   :Personel Listesi, Standartlar ve Prosedürler, Ekipman Envanter Bilgileri vb.
Genel Varlıklar   :Kamu Bilgilendirmeleri, Faaliyet Raporları vb.

Varlık envanteri yöntemi içinde aynı şekilde bilgi temelli yaklaşım oluşturulabilir.

Örnek:
Bilgi
İlişkili Varlıklar
Açıklama
Kategori
Gizlilik
Bütünlük
Erişilebilirlik
Personel Özlük Bilgileri
Özlük dosyası
Özlük bilgilerinin tutulduğu klasörler
Basılı bilgiler
Gizli
Yüksek
Orta
Bordrolama personeli
Bordroloma işini yapan yetkin personel kaynağı
İnsan Kaynağı
-
-
Yüksek
HR Uygulaması
Özlük bilgilerinin tutulduğu ve işlendiği uygulama
Bilgi sistemleri
Gizli
Yüksek
Yüksek

8.1.3 Varlıkların Kabul Edilebilir Kullanımı
Uygulama Rehberi -2013 Versiyon

Kuruluşun varlıklarını kullanan veya bunlara erişimi olan çalışanlar ve dış taraf kullanıcılar, bilgi ve bilgi işleme tesisleri ve kaynakları ile ilişkili kuruluşun varlıklarının bilgi güvenliği gereksinimleri hakkında farkındalıkları sağlanmalıdır. Bu kullanıcılar tüm bilgi işleme kaynaklarının kullanımından ve kendi sorumlulukları altında gerçekleşen tüm kullanımlardan sorumlu olmalıdır.

Employees and external party users using or having access to the organization’s assets should be made aware of the information security requirements of the organization’s assets associated with information and information processing facilities and resources. They should be responsible for their use of any information processing resources and of any such use carried out under their responsibility

Uygulama Rehberi -2017 Versiyon

Kuruluşun varlıklarını kullanan veya bunlara erişimi olan çalışanlar ve dış taraf kullanıcılar, bilgi ve bilgi işleme tesisleri ve kaynakları ile ilişkili kuruluşun varlıklarının bilgi güvenliği gereksinimleri hakkında farkındalıkları sağlanmalıdır.

Employees and external party users using or having access to the organization’s assets should be made aware of the information security requirements of the organization’s assets associated with information and information processing facilities and resources.

Bu değişikliğe göre; “Bu kullanıcılar tüm bilgi işleme kaynaklarının kullanımından ve kendi sorumlulukları altında gerçekleşen tüm kullanımlardan sorumlu olmalıdır.” ifadesi ISO 27002 uygulama rehberi tanımlamasından çıkartılmıştır.