• Ben Kimim?• Siber Silahlar

• Siber Silah nedir?• Flame & Stuxnet• Neden Siber Silah?• Siber Silah Endüstrisi

• Alıcılar ve Satıcılar• Siber Silah Üretimi

• 0-Days• Research Lab (0-Day Research)

• Örnekler• Sorular?

Agenda

1

• Sr.Security Researcher @ Balich IT• SAFT Mobile Forensics @ SignalSEC.• #UNdroid – Online App Decompiler @ Balich IT.• #Uygu.la - Online Mobile App Builder @ Balich IT.• #MalTrack - Malware Research Tool @ Balich IT.• #Android Remote Admin/Access Tool @ Balich IT.• Apple, Facebook, Opera, Google etc. @ Security Researcher

Who am I?

2

3

Cyber Weapons

Siber Silah nedir?

4

“Siber Silah bir sistem üzerinde izleme, bilgi toplama veya hedef sistemi çalışmaz hale getirebilecek herhangi bir

yöntem veya araç için kullanılan bir tanımdır.”

5

Flame

“2012 yılında tespit edilen Flame, Ortadoğu ülkelerini hedef alan ve 2008 yılından beri varlığını sürdürdüğü raporlanan

en güçlü siber silahlardan biridir.”

6

Flame

7

Stuxnet

“2010 yılında tespit edilmiş olan Stuxnet, Iran’nın nüklüer santrellerine yönelik oluşturulmuş, hedef odaklı siber

silahlardan biridir.”

Siber Silahlar ve Savunma

8

9

Neden Siber Silah?

• Maliyeti düşüktür.• Etki alanı yüksektir.• Kavramsal olarak bir silaha göre daha işlevseldir.• ...

10

Neden Siber Silah?

600 bin ile 1 milyon dolar

1,550 mi; 2,500 km

Birim fiyatı 40 bin dolar

- km

11

Neden Siber Silah?

12

Neden Siber Silah?

600 bin ile 1 milyon dolar

Birim fiyatı 40 bin dolar

13

Neden Siber Silah?

14

Siber Silah Endüstrisi

“4 Milyar Dollar”2014-2024

• Defensive Siber Silahlar

• Offensive Siber Silahlar

15

Kim bu alıcılar?

DevletlerDevletlerDevletler

Illegal ögütlerŞirketler

Siber Silah Endüstrisi

16

Kim bu satıcılar?

>>>>>> Hackers <<<<<<<

Siber Silah Endüstrisi

17

0-Day

18

0-days Research Labs

0-Day Nedir?

“0-day olarak adlandırılan sıfırıncı gün güvenlik zafiyetleri, Gün yüzüne çıkmamış yani bilinmeyen güvenlik zafiyetleri

için kullanılan bir tanımdır.”

19

0-Day Nedir?

“Stuxnet raporlarında 4 adet farklı 0-Day’e rastlandığı belirtilmektedir.”

CVE-2008-4250CVE-2010-2568CVE-2010-2729

20

0-Day Nedir?

“Güvenlik raporlarında, FBI’ın Çocuk pornosu operasyonunda Firefox 0-Day kullandığı belirtilmekte.“

CVE-2013-1690

21

0-days Research Labs

0-Day Nedir?

22

0-days Research Labs

23

0-days Research Labs

0-Day

24

0-days Research Labs

Research Lab (0-Day Research)

İhtiyaçlarınız

• 1 Adet Bilgisayar• 1 Adet Web Browser• 1 Adet fuzzer (Grinder, Peach vs)• Olabildiğince çok bilgi ve tecrübe• Biraz şans

25

Research Lab (0-Day Research)

“Sistem veya Uygulama Fuzz edilirken kullanılan herhangi bir uygulama veya

script için Fuzzer tanımı kullanılmaktadır.”

Fuzzing

Fuzzer

“Fuzzing, güvenlik araştırmacılarının uygulamalara yönelik; rastgele veya odaklı olarak oluşturdukları bir test tekniğidir. Bu kapsamda yapılmış

olunan teste Fuzzing veya Fuzz Testing denir.”

26

Research Lab (0-Day Research)

5 Fuzzer

27

Research Lab (0-Day Research)Crash Report

28

Research Lab (0-Day Research)

Exploitable Kontrol

Crash Report

29

Research Lab (0-Day Research)

Exploit Development

Exploitable Kontrol

Crash Report

30

Research Lab (0-Day Research)

o artık siber silah...

31

CVE-2010-3962 (Örnek)Tür : Use-after-freeEtkilenenler : Microsoft Internet Explorer 6, 7 ve 8Exploitable : Evet

32

CVE-2010-3962 (Örnek)

Exploit : Matteo Memelli, ryujin@offsec.com

Shellcode, sistem üzerinde çalıştırıldığında 4444 nolu portu açacak şekilde oluşturuldu.

33

CVE-2010-3962 (Örnek)

http://ibrahimbalic.com/exp/test1.html

34

CVE-2010-3962 (Örnek)

Sızılan sistemdeki kullanıcılar.

Sızılan sistem.

Sızılan sistemin local ipsi.

35

CVE- 2010-0188 (Örnek)Tür : Unspecified vulnerabilityEtkilenenler : Adobe Reader and Acrobat < 8.x, 8.2.1 ,9.x ,9.3.1Exploitable : Evet

36

CVE- 2010-0188 (Örnek)

37

Mobil RAT (Örnek)

37

Mobil RAT (Örnek)

29

Sorusu Olan?

Teşekkürler

http://www.ibrahimbalic.comibrahim@balicbilisim.com