6. Kamu Kurumları Bilgi Teknolojileri Güvenlik Konferansı İzlenimlerim

TÜBİTAK BİLGEM Ulusal Elektronik ve Kriptoloji Araştırma Enstitüsü (UEKAE) Bilişim Sistemleri Güvenliği Bölümü tarafından organize edilen Altıncı Kamu Kurumları Bilgi Teknolojileri Güvenlik Konferansı, 8 Haziran 2011 Çarşamba günü TÜBİTAK Feza Gürsey ve Mustafa İnan Konferans Salonları’nda düzenlenmiştir.

Etkinlik sunumlarına buradan erişebilirsiniz. Sunumlarda aldığım notları yazının devamında bulabilirsiniz.

Açılış konuşmasını takip eden “DÜNYADA ve TÜRKİYE’DE SİBER GÜVENLİK TATBİKATLARI” başlıklı sunumda dünya çapında gerçekleştirilen siber güvenlik tatbikatlarıyla ilgili bilgi verildi. 2011 Ocak ayında Türkiye çapında gönüllü kamu kurumlarının katılımıyla gerçekleştirilen siber güvenlik tatbikatı ile ilgili bilgiler paylaşıldı. Kurumlara aralarında DoS ve genellikle kurum internet sitelerini hedef alan sızma saldırılarının da yer aldığı çeşitli saldırıların gerçekleştirildiği belirtildi. Kurum isimleri belirtilmeden verilen istatistiklerde her kurumun az da olsa açıklarının bulunduğu ve detaylı sonuç raporlarının kurumlarla paylaşılacağı bilgisi verildi.

“E-DÖNÜŞÜMDE E-KİMLİĞİN KATKILARI” başlıklı sunumda tamamlanmış ve 54 ay sürmesi planlanan dağıtım çalışmalarının başlaması için Bakanlar Kurulu kararı alınması beklenen E-Kimlik projesinden bahsedildi. Proje kapsamında basılı T.C. nüfus cüzdanı yerine kullanılacak akıllı kart teknolojisine sahip e-kimlik kartlarının tasarımı ve test çalışması tamamlanmıştır. Pilot çalışmanın Bolu’da başarı ile tamamlandığı bilgisi verildi. E-kimlik kartı güvenliği

https://www.puttygen.net/

, çalışma şekli ile ilgili bilgi verildi. İçinde kişiye özel ve değiştirilemez özellikler olan damar yapısı ve parmak izi bilgilerini taşıyacak kimliklerin yan kanal saldırılarına karşı güvenliğinin sağlandığı belirtildi. Bunun yanında her kurumun, kişinin her türlü bilgisine erişmesini engelleyen rol tabanlı bir işletim sisteminin kullanıldığı belirtildi. Bu sayede her kurum kendi ihtiyacı olan bilgileri bir şablon üzerinde işaretleyerek belirtecek ve o bilgiye okuma, yazma veya pin aracılığı ile görme yetkisine sahip olacak. E-kimlik dağıtımı gerçekleştirilirken kurumların da gerekli altyapıyı oluşturmaları gerektiğinden bahsedildi.

“KURUM AĞINI ZARARLI YAZILIMLARDAN KORUMA” başlıklı sunumda dünya çapında yayılma hızı ile etkili olan Conficker ve Programmable Logic Controller (PLC ) rootkiti olma özelliği ile türünün tespit edilen ilk örneği olan sanayi cihazlarını hedef alan Stuxnet solucanından bahsedildi. Her iki zararlı yazılım da halen karşılaşılabilen bir açık olan MS08-067 kodlu Remote Procedure Call (RPC) açığını kullandığı tespit edilmiştir. Stuxnet solucanının buna ek olarak MS10-061 kodlu print spooler açığını kullandığı tespit edilmiştir.  Zararlı kodların bulaşma yolu olarak öncelikli olarak sosyal mühendislik saldırıları gözlenmiştir. Bu yöntemler arasında özellikle taşınabilir bellekler ile bulaşma, eposta mesajlarına eklenen dosyaların içine gömülen excel dosyaları ve flash dosyaları ile bulaşma yer almaktadır. Zararlı yazılımlara karşı alınacak önlemler arasında

• Hassas noktalarda fiziksel koruma (usb erişiminin engellenmesi vb.),
• Gereksiz servislerin kapatılması (bilgisayar üzerinde kullanılmıyorsa web sunucu,  eposta sunucu vb. servislerin kapatılması),
• Farklı servisler ve bölümler için farklı ağların oluşturulması (intranet, DMZ vb.),
• Ağlar arasındaki iletişimin denetlenmesi,
• Yetkili kullanıcı hesap adlarının ve şifrelerinin iyi korunması,
• Şifrelerin tahmin edilemez ve yeterli karmaşıklıkta olması,
• Yetkilendirme haklarının dağıtımı

yer almaktadır.

“DDoS SALDIRILARI ve SAVUNMA YÖNTEMLERİ” başlıklı sunumda 10.000 botu kiralamanın ücretinin 15$ olduğu vb. ilginç bilgiler paylaşıldı. Anonymous adlı gruptan ve aktivitelerinden bahsedildi. Kendi bilgisayarlarına bir yazılım indirip kuran gönüllülerden oluşan grup IRC kanalları üzerinden ve internet sitelerinden (anonnews.org) haberleşerek saldırılarını gerçekleştirmektedir. Yaklaşık 90.000 botun bu grup içinde yer aldığı tahmin edilmektedir. DDos tarihçesini ( 2002 ve 2007 yıllarında gerçekleşen kök DNS saldırısı vb.) de içeren genel girişin ardından DoS türleri ve ve bu saldırılara karşı alınabilecek önlemlerden bahsedildi. Bunlar arasında;

• Fiziksel hasar ile DoS
  Gürcistan’da fiber optik kablo kopması sonucu internet bağlantısı kesilmiştir.
• IP katmanında büyük boyutlu ICMP paketleri göndererek bant genişliğinin doldurulması
  Ping engellenebilir.
• Taşıma katmanında TCP SYN paketlerinin gönderilerek cihazın belleğinin dolurulup yeni istek kabul edemez hale getirilmesi
  Araya yerleştirilecek durum bilgisi tutan bir vekil sunucu ile önlenebilir.
  Syncookies kullanımı ile önlenebilir.
• Uygulama katmanında, sahte kaynak adresi ile sahte DNS sorguları yapılması
  Kaynak adresinden gelen istekler limitlenebilir.
  DNS sunucuları özyinelemeli (recursive) sorguya kapatılabilir.
  DNS saldırılarının etkisi anycast adreslerinin kullanımı azaltılabilir.
• Slowloris yöntemi (bir web sunucuya açılan bağlantının küçük paketler gönderilmesi ile sürekli açık tutulması, kapatılmaması ve web sunucu kaynaklarının tüketilmesi) ile HTTPDoS saldırısı yapılması
  Apache modülü modantiloris kurularak önlenebilir.
• Sahte IP adresi ile yapılacak saldırılar ingress ve egress filtreleme ile engellenebilir.
• Botnetlere dahil IP adreslerinin shadowserver.org ve abuse.ch adreslerinden alınarak oluşturulacak gri ve kara listeler ile saldırılar engelenebilir.

“YAPISAL GÜVENLİK TESTLERİ: SORUNLAR ve ÇÖZÜMLERİ” başlıklı sunumda white-box testing olarak da bilinen yapısal güvenlik testlerinin nasıl yapıldığı, black box testleri ile farkları, nasıl yapılması gerektiğinden bahsedildi. Microsoft Baseline Security Analyzer veya internette hardening anahtar kelimesi ile yapılacak aramalarda işletim sistemleri ve yazılımlar için yapısal güvenlik testleri ile ilgili bilgi elde edilebileceğinden söz edildi. Yakın zamanda duyurulması planlanan yamalanmış puppet programı ile otomatik sistem konfigürasyonu testleri ve sıkılaştırma önerileri yapılacağı bilgisi verildi.

“BULUT BİLİŞİMDE GÜVENLİK” başlıklı sunumda bulut bilişim mimarisi hakkında bilgi verildi.

• SaaS (Software as a Service)
  Örn: GoogleDocs, salesforce, office365 vb.
• PaaS (Platform as a Service)
  Örn: Google’ın bulut bilişim için sunduğu platform.
• IaaS (Infrastructure as a Service)
  Örn: Amazon EC2

Bulut bilişim hizmeti örneği olarak Amazon EC (Elastic Cloud) 2 verildi. Grafik ara yüzü ekran görüntüleri verilen hizmette kullanılacak bilgisayar kaynağının dünyadaki yeri, bilgisayar özellikleri (ram, işlemci, GPU vb.) ara yüzden seçilebiliyor. Kullanıcı kendi imajını oluşturabileceği gibi önceden hazırlanmış makine imajlarını ( AMI – Amazon Machine Image) kullanım seçeneği de mevcut. Ancak imajların kullanımının güvenlik sakıncaları (zararlı yazılım içerme vb.) mevcut. Bulut bilişim hizmetinin aşağıdaki kriterleri sağlaması beklenmektedir;

• Hizmet devamlılığı
• Veri güvenliği ve gizliliği
• Güvenlik standartlarına uyum
  Amazon bulut bilişim sistemlerinde kredi kartı bilgisi tutmamaktadır.
• Bulut bilişim servislerine karşı yapılan saldırılara karşı alınan önlemler
• Ele geçirilmiş sunucu şablonları
  Hazır makine imajları zararlı yazılım vb. içerebilir.

Ek olarak servislerin birçoğunun artık bulut bilişim üzerinden verilmeye başlandığı ve bu kullanımın faydalarından bahsedildi. Security as a Service başlığı altında

• Antivirüs hizmetleri
  Örn: Panda cloud protection, zscaler, symantec, mcaffe vb.
  Herhangi bir bilgisayardan antivirüs hizmeti en güncel hali ile kullanılabiliyor.
• Saldırı tespit sistemleri
  Örn: Snort bulut üzerinde çalışan sürümü.
• Açıklık tespiti için Vulnerability scan as a Service
  Örn: IBM, Nessus vb.
• Pentest as a Service
  Örn: Core Impact vb.
• Forensics (adli analiz) as a Service
  Örn: cloudshark, paket analizi için kullanılan wireshark programının bulut üzerinde çalışan sürümü.

Bulut bilişimin güvenlik için kullanımının yanında saldırılar için de kullanılabildiği belirtildi. Hacking as a Service olarak adlandırılan bu yolla bulut bilişim kaynakları kullanılarak DDoS saldırıları, şifre kırma işlemleri, spam gönderme, botnet kontrolü, zararlı yazılım yayma, korsan yazılım ve film dağıtımı gibi aktiviteleri gerçekleştirmek de mümkün. Bu noktada verilen bir örnekte 1-6 karakter arası SHA1 özet değeri bilinen bir şifrenin 2100$ ‘lık bir maliyetle yaklaşık 49 dakikada 2 Nvidia Tesla Fermi GPU’ya sahip 64 bitlik bir bilgisayarda elde edilebildiği belirtildi.

“BOTNETLER” başlıklı sunumda bilinen botnet yapıları ve haberleşme tekniklerinden bahsedildi. Sözü geçen botnetler :

• Zeus, http ile haberleşiyor, merkezi yapıya sahip.
• Storm, P2P ile haberleşiyor, dağıtık yapıya sahip.
• Agobot, SdBot IRC ile haberleşiyorlar, merkezi yapıya sahip.
• Svelta, twitter aracılığıyla (upd4te adlı hesabı kullanarak) haberleşiyor, merkezi yapıya sahip.
  Bu örnek yeni nesil sosyal ağların da zararlı yazılım dağıtımı ve botnet yönetimi için kullanıldığına örnek oluşturduğu için önem teşkil ediyor.

Microsoft Security Intelligence Report 2Q10 ve M86 güvenlik raporlarından alınan yıllık spam ve zararlı yazılım bilgilerini içeren bilgiler paylaşıldı. Önde gelen spam botnetleri olan Lethic, Grum ve Cutwail ile ilgili bilgiler verildi. Son olarak bir forumdan Drive-by-download yöntemini kullanarak bulaşan GNU GPL virüsü adıyla bilinen bir zararlı yazılımdan bahsedildi. Bu yöntemle kullanıcı siteye bağlandığında bir yere tıklamasına gerek olmadan zararlı yazılım kullanıcı bilgisayarına indirilmekte ve çalıştırılmaktadır. Önlem olarak Firefox tarayıcısında Javascript çalıştırmasını engelleyen NoScript eklentisinin kurulması önerilmektedir.

Bu sunumlara ek olarak Bilgi Güvenliği Yönetim Sistemi, 27001, 27002 standartları hakkında bilgi verilen sunumlar gerçekleştirildi. Bu sunumlarda TÜBİTAK BİLGEM UEKAE yetkilileri ve bu standartları uygulayan kurumlar tecrübelerini paylaştı.