Kurumsal Espiyonaj

Kurumsal Espiyonaj

● Evren Yalçın● Bilgi Güvenliği Araştırmacısı @SignalSec

Kurumsal Espiyonaj

Büyüyen küresel ekonomiyle beraber rekabet ortamının oluşması, kurumların istihbarat toplama yarışına girmesine sebep olmuştur. Yeni nesil teknolojilerle beraber artan sofistike saldırılar, bilginin en değerli meta olduğu dünyamızda bilgi güvenliğini artık bir lüks olmaktan çıkarıp gereklilik haline getirmiştir. Bu koşullardan dolayı “kurumsal casusluk” günümüzde her sektörün üzerine eğilmesi gerektiği çok önemli bir konudur.

Bilgi güvenliği

● Bilgi Güvenliği:

- Güvenlik servisleri

- Güvenlik saldırıları

- Güvenlik düzenekleri

- Risk yönetimi

Güvenlik Servisleri

● Gizlilik● Kimlik doğrulama● Bütünlük● Tekrar edilememe● Erişim denetimi● Kullanılırlık

Güvenlik saldırıları

● Bilgi güvenliğinin devre dışı kalma durumu

Güvenlik düzenekleri

● Saldırıları saptama, engelleme ve saldırı etkilerinden kurtulmayı sağlayan düzenekler.

Risk yönetimi

● İstenmeyen bir durumun olma olasılığının hesaplanması ve önlemler alınması

Benzer diyaloglar

● En hızlı şekilde bu yazılımı çıkarmamız lazım. ● Çalışıyor mu, dokunma!● Güvenlik lükstür.

Yazılım Güvenliği

● Yazılım geliştirme süreci

- Analiz

- Tasarım

- Geliştirme

- Test

- Dağıtım

Sorunlar

● Maddi kayıp ● Güven kaybı● Kişisel bilgilerin kaybı

Sorunlar

Sorunlar

● IEEE(Elektrik ve Elektronik Mühendisleri Enstitüsü):

-100k kullanıcı adı ve şifre(Plaintext)

-Public ftp

Yazılımcılar ve konfor alanı

● Konfor alanı; düzeninizi bozmadan, minimum eforla ortalama performans göstererek yaşadığınız ve risk almaktan kaçındığınız alandır.

Yazılımcılar ve konfor alanı

● Spagetti kod● Konfor alanı● Anonymous● Frameworks● Konfor alanı● Anonymous● Frameworks ve güvenli kod yazma● Konfor alanı?

Spagetti Kod

● Yazılım geliştirme böyle başladı.

Don’t spaghetti code. Think of the children.

Spagetti kod

● Her şey bir dosyada● Kötü adlandırma● Tutarsız kodlama stili● Arayüz ile uygulama arasında fark yok● Dökümantasyon yok● Bellek yönetimi, performans, ölçeklenebilirlik,

yeniden kullanılabilirlik ● Doğrulama ve birim test eksikliği

Günü kurtardık!

Anti-spagetti kod

● Konfor alanınızın dışına her çıktığınızda konfor alanınızın sınırları genişleyecektir.

OOP

● Hızlı bir şekilde:

- encapsulation(sarmalama)

- polymorphism(çok biçimlilik)

- inheritance(kalıtım)

- Soyutlama

MVC

● Sistemin çalışmasını sağlayan mantıksal kodları birbirinden ayırarak temiz ve düzenli kod yazımını kolaylaştırır.

● Kodlarda daha kolay optimizasyon yapılmasına, genişletilmesine ve yeniden kullanılmasına olanak sağlar.

● Ekip olarak çalışılan projelerde görev paylaşımını ve kodların okunabilirliğini arttırarak takım çalışmasına olanak sağlar.

● Kullanıcı arayüzünde yapılacak değişiklikler iş mantığı kısmından bağımsız olarak yapılabilir.

● Hata ayıklamayı ve kodu test etmeyi kolaylaştırır.

Framework + Güvenli kod

● Doğru kullanım.● Sırtını frameworklere dayamamak.● Güvenlik != Framework

Symfony2

● Symfony2 Framework● Etkilenen sürümler : 2.0.x - 2.0.10

– POC :

CodeIgniter

● CodeIgniter Framework● Etkilenen sürümler : CodeIgniter <= 2.1.1● Xss_clean() fonksiyonu güvensiz.

<img/src=">" onerror=alert(1)>

<button/a=">" autofocus onfocus=alert&#40;1&#40;></button>

<button a=">" autofocus onfocus=alert&#40;1&#40;>

Konfor alanından çıkın!

● Yönetilen değil yöneten, tüketen değil üreten, izleyen değil izlenen olmak için konfor alanınızın dışına çıkmaktan korkmayın asla!

● Walsh‘ın dediği gibi; hayat konfor alanınızın ötesinde başlar…

Saldırgan Güvenlik Teknolojileri

● Web Application Firewalls (WAFs) ve Intrusion Detection/Prevention Systems (IDS/IPS)

● Frameworks

güvendeyiz!

Saldırgan Güvenlik Teknolojileri

● Sofistike zararlı yazılımlar● Ddos => Stuxnet● Ağ güvenliği != Siber güvenlik

Saldırgan Güvenlik Teknolojileri

● Güvendeyiz çünkü hala hacklenmedik!

Saldırgan Güvenlik Teknolojileri

● Google Hacking Database(GHDB) büyüyor:

Saldırgan Güvenlik Teknolojileri

● Google Hacking Database(GHDB)

Saldırgan Güvenlik Teknolojileri

● Pastebin Leaks

Kolay şifreler/Default şifreler

Saldırgan Güvenlik Teknolojileri

● Google Hacking:

Saldırgan Güvenlik Teknolojileri

● Yeni koruma alanı oluşturmak:

- Google Reader

- Google Alerts

Saldırgan Güvenlik Teknolojileri

Saldırgan Güvenlik Teknolojileri

● Saldırı Yüzeyi değişmeye başladı :

- Mobil(Android cihazlar)

- Client-side(html5)

- Browser Exploitation

Saldırgan Güvenlik Teknolojileri

● New Metasploit 0-day exploit for IE 7, 8 & 9 on Windows XP, Vista, and 7

Saldırgan Güvenlik Teknolojileri

● Güvenlik bültenlerini takipte kalın

Yeni nesil saldırı teknolojileri

● Javascript obfuscation

- Basit Xss

- eval(), Function(), document.write(), document.cookie(), alert()

Yeni nesil saldırı teknolojileri

● Javascript obfuscation

- Xss(non-alphanumeric)

Yeni nesil saldırı teknolojileri

● Javascript obfuscation (hieroglyhphy)

- eval("aler"+(!![]+[])[+[]])("xss")

Yeni nesil saldırı teknolojileri

http://pastie.org/private/nkryfy49l1oy8hvblh90q

Yeni nesil saldırı teknolojileri

Jsfuck.com

Yeni nesil saldırı teknolojileri

● Html5

- Tamamlanmadı. Hedef: 2022

- Html5test.com (Browserlarınızı test edin)

- Yeni elementler, özellikler, Multimedia, Grafik, Client-side Storage, drag/drop, Web messaging, CORS, Web sockets

Yeni nesil saldırı teknolojileri

● Html5

- Form bilgilerini çalmak

- Focus ve tuş hareketlerini çalmak

- Form/history bilgilerini çalmak

- Web-storage, UI redressing, Cross-origin saldırıları

ve fazlası...

Örnekler

● Facebook CSRF

- POST request

- fb_dtsg ve perms = CSRF token

- uygulamadan tokeni çıkarınca çalışıyor.

Örnekler

Örnekler

● Google Wallet Csrf

- Test edilen browser : Firefox 3.6

- Vulnerable url :

https://wallet.google.com/buyerSignup?continue=https://wallet.google.com/manage/bootstrap.html?u%3Dhttps%253A%252F%252Fwallet.google.com%252Fmanage%26pli%3D1&hsk=1&pli=1&s7e=creditcard.cardNumber:n;creditcard.cvv:n&coc=IN

Örnekler