OĞUZCAN PAMUK

SALDIRI TİPLERİ VE LOG ANALİZİ

AJANDA

▸ Log nedir ?

▸ Log tutma amaçları nelerdir ?

▸ Log türlerinden örnekler

▸ SIEM nedir ? Örnek bir SIEM incelemesi - Splunk

▸ Saldırı türleri ve log analizleri

▸ BWAPP

▸ Yarışma - Log analizi

LOG NEDİR ?

▸ Sistem üzerindeki aktivitelerin kaydı olarak ifade edilebilir.

▸ Bir olayı aydınlatmak amacıyla ihtiyaç duyulan hareketlerin bütünüdür.

▸ Amaçları ;

Güvenlik

Hata giderme

Performans

Denetim

LOG TÜRLERİNDEN ÖRNEKLER

▸ Uygulama logları

▸ Erişim logları

▸ Web servis logları

▸ İşletim sistemi logları

LOG ÖRNEKLERİ - WİNDOWS EVENT VIEWER

▸ Windows işletim sistemi üzerindeki aktiviteleri takip edebileceğimiz uygulamadır.

▸ Application , Security , Systems logları ve detayları

LOG ÖRNEKLERİ - GMAIL ERISIM LOGLARI

▸ Hani ip adresinden, hangi tarihte , hangi tarayıcı üzerinden erişildiğini gösteren etkinlik geçmişi.

SIEM - SECURITY INFORMATION AND EVENT MANAGEMENT

▸ Farklı yazılım ve donanım loglarının aynı formatta ve tek bir merkezde tutulmasını sağlayan yazılım/donanım çözümüdür.

▸ Yetenekleri ;

Log toplama

Birleştirme

Korelasyon

Olay analizi

Aksiyon alma

SIEM - SECURITY INFORMATION AND EVENT MANAGEMENT

▸ SIEM tek başına güvenlik sağlamaz!

▸ SIEM ile her şeyin değil , ihtiyaç duyulan logların alınması gerekmektedir.

▸ Logları almak güvenlik için yeterli değildir. Kurallar yazılarak etkin kullanım sağlanmalıdır.

ÖRNEK BİR SIEM İNCELEMESİ - SPLUNK

SPLUNK - ÖRNEK

SPLUNK - ÖRNEK

SPLUNK - ÖRNEK

LOG INCELEME - PORT TARAMA

▸ Port tarama ; hedefe TCP yada UDP paketleri gönderip portun durumunu sorgulama işlemidir.

▸ Basit port tarama örnek :

nmap 192.168.1.36 -sS

‣ Örnek log kaydını inceleyelim.

LOG INCELEME - PORT TARAMA

LOG KAYNAKLARINI KULLANARAK MANTIKSAL KURAL YAZIMI

▸ Amaç ; anormallikleri gerçek zamanda tespit edebilmek.

▸ Örnek, windows event viewer üzerinden yanlış şifre denemeleri.

Tartışalım ?

SALDIRI TİPLERİ VE LOG ANALİZİ

BWAPP

▸ Atak tiplerini denemeye olanak sağlayan ücretsiz bir uygulama

▸ 100 farklı zafiyet barındırmaktadır.

▸ SQL Injection , Cross Site Scripting , DOS , vb.

SQL INJECTION

▸ Kayıtlı olmayan kullanıcı ile login olmayı deneyelim

SQL INJECTION

▸ Kullanıcı bilgilerinin yerine, '=' 'or' ifadesini yazıyoruz

SQL INJECTION

▸ 192.168.1.21/bWAPP/sqli_1.php?title=null' union select 1,2,3,4,5,6,7-- -

SQL INJECTION

▸ User - Password bilgisi elde edilebilir mi ? Nasıl ?

▸ Tartışalım.

REMOTE / LOCAL FILE INCLUSION

▸ http://192.168.1.21/bWAPP/rlfi.php?language=/etc/passwd

▸ http://192.168.1.21/bWAPP/rlfi.php?language=http://www.oguzpamuk.com/hakkimda/

OS COMMAND INJECTION

▸ www.nsa.gov; cat /etc/passwd

YARIŞMA

TEŞEKKÜRLER