Cem Yeşiltepe tarafından yazılmış tüm yazılar

2007 yılında Ankara Mimar Kemal Anadolu Lisesi’nden mezun oldu. Lisans eğitimini, TOBB Ekonomi ve Teknoloji Üniversitesi Elektrik-Elektronik Mühendisliği bölümünde 2013 yılında tamamladı. Üniversite döneminde ilgi duymaya başladığı telekomünikasyon ve ağ teknolojileri alanlarında birçok eğitim ve konferansa katıldı. Ağ teknolojileri alanında en geçerli sertifikasyon programlarından olarak görülen Cisco Certified Network Associate (CCNA) ve Cisco Certified Network Professional (CCNP) ünvanlarını ilgili sınavlarda gösterdiği başarı sonucunda almaya hak kazandı. Güncel olarak, özel sektörde çeşitli projelerde görev yapmaktadır. Siber Güvenlik ile lisans öğrenimi sonrasında tanışan Cem Yeşiltepe, Orta Doğu Teknik Üniversitesi Enformatik Enstitüsü’nde faaliyet gösteren Siber Güvenlik Yüksek Lisans programına kabul edilen ilk öğrencilerden olarak akademik çalışmalarına bu bölümde 2015’ten beri devam etmektedir. Ayrıca, kişisel çalışmalarını; sızma testleri, zafiyet analizleri, fidye yazılımları ve ağ güvenliği alanlarında sürdürmektedir.
Konuk Yazar, Makale & Analiz

Etik Hacker Olmak İstiyorum Ama Nasıl?

1 Yorum

Hiç şüphe yok ki içinde bulunduğumuz zaman diliminde siber saldırıların sayısı, kapsamı ve etkileri üssel olarak artış göstermektedir. Bu tür saldırıların kaynaklarını incelediğimizde kimi zaman devlet destekli siber çetelerin, kimi zaman hacktivist grupların, kimi zaman da sayıları hiç de azımsanamayacak seviyedeki script-kiddie adı verilen ve siber atak araçları üzerinde uzmanlaşmış kişilerin öne çıktığını rahatlıkla görebiliriz. Dolayısıyla, saldırgan taraf bu denli güçlü bir pozisyonda iken siber dünyada bireysel ve toplumsal anlamda huzurun korunabilmesi için güvenlik sistemleri hakkında sahip oldukları bilgi birikimini “iyi niyetli” amaçlara hizmet etmek üzere kullanan etik hacker’lara olan ihtiyacımız hem ülkemizde hem de dünyada artık her zamankinden daha fazla. Etik hacker’ların nicelik olarak artması gerektiği bir gerçek; ancak son derece kalifiye ve profesyonel bir ordu şeklinde çalışan “kötü adamları” durdurabilmek sadece etik hacker’ların sayısının artmasıyla mümkün olacak gibi durmuyor maalesef. En az nicelik kadar önemli olan bir diğer faktör de nitelik olarak değerlendiriliyor.

İlgili TED konuşması: Hackerlar: Internet’in bağışıklık sistemi

Herhangi meslek grubunda oldukça fazla mesafe kaydetmiş ve başarıya ulaşmış kişileri incelediğimizde, sahip oldukları “know-how” yetilerinin denklerine kıyasla çok daha ileri seviyede olduğunu rahatlıkla görebiliriz. Bu özelliğe sahip profesyoneller; görev ve sorumluluklarını yerine getirmelerine ek olarak, gerçekleştirdikleri çalışmaların arka planında hangi süreçlerin nasıl ilerlediğini incelemek ve anlamak için yoğun çaba göstermektedirler. Örneğin, şu anda okumakta olduğunuz yazıya erişiminiz esnasında arka planda protokol ve prosedürlerin nasıl çalıştıklarını hiç düşündünüz mü? Benzer şekilde, içinde birçok farklı disiplini barındıran siber güvenlik alanında da “know-how” yeteneği son derece kıymetli ve olmazsa olmaz özellikler arasındadır; çünkü bilgi güvenliğini sağlayabilmek için öncelikle bu bilgiyi oluşturan sistem, protokol ve altyapıların nasıl çalıştığını detaylı olarak bilmek ve özümsemek en temel gereksinimlerdendir. Durum böyle iken aklımızda hemen şu soru beliriyor: “İyi bir siber güvenlik uzmanı olabilmek için, başka bir değişle iyi bir etik hacker olabilmek için gerekli olan teknik altyapı ve “know-how” bilgisine nasıl sahip olabiliriz?”

İlgili TED konuşması >> Hackerları işsiz bırakmayın

Siber Güvenlik alanında yolun başında olan ve teknik açıdan kendisini geliştirmek isteyenler için birçok sertifikasyon programı bulunmakta. Bu programlar arasındaki en dikkat çeken ve global anlamda geçerli sertifikasyonlardan biri, benim de almak için uzun süre çalıştığım, EC-Council organizasyonunun ilk olarak 2003’te duyurduğu ve yürütmekte olduğu Certified Ethical Hacker (CEH) olarak kabul ediliyor. CEH sertifikasyonunun en dikkat çeken amacı, kursiyerleri bilgi güvenliği alanındaki temel standartlar hakkında hem teorik hem de teknik anlamda bilgi sahibi yapmak.  CEH eğitiminin içeriğini incelediğimizde aşağıdaki kavramları içeren oldukça doyurucu olan bir birikim ile karşılaşıyoruz:

  • Introduction to Ethical Hacking
  • Footprinting and Reconnaissance
  • Scanning Networks
  • Enumeration
  • System Hacking
  • Malware Threats
  • Sniffing
  • Social Engineering
  • Denial of Service
  • Session Hijacking
  • Hacking Webservers
  • Hacking Web Applications
  • SQL Injection
  • Hacking Wireless Networks
  • Hacking Mobile Platforms
  • Evading IDS, Firewalls, and Honeypots
  • Cloud Computing
  • Cryptography

 

312-50 kodlu CEH sınavının dili İngilizce ve 120 tane çoktan seçmeli sorudan oluşuyor. Bu soruları yanıtlamak için 4 saat süre veriliyor ve şayet soruların en az %70’ini doğru cevapladıysanız CEH sertifikasını almaya hak kazanıyorsunuz. Ayrıca sınav; TOEFL, Cisco veya Microsoft sertifikasyon sınavlarına benzer şekilde bilgisayar ortamında gerçekleşiyor, dolayısıyla sınav ortamında kağıt-kalem yerine karşınızda sadece bir bilgisayar görmek sizi şaşırtmasın. Sınav ücreti maalesef biraz pahalı: 700 USD. Ancak bu tutar, geleceğinize yatırım olarak görülmeli ve tabii ki ilk seferde sınavı geçebilmek için sizi kamçılayan faktörlerden biri olmalı.

CEH sertifikasyonunun resmi sınavına hazırlanma konusunda yapılan son düzenlemeler ile birlikte sınava kurs almadan başvuru seçeneği ülkemiz için kaldırıldı ve ilk olarak EC-Council akreditasyonu olan bir kurs merkezlerinden CEH eğitimi alma zorunluluğu getirildi. Eğer bu alanda oldukça yeni iseniz ya da ağ teknolojileri ve işletim sistemleri hakkında kendinizi zayıf görüyor iseniz EC-Council akreditasyonuna (EC-Council Authorized Training Center) sahip bir kurumdan CEH eğitimi almanız çok yararlı olacaktır. Bu sayede sınava hazırlanma süreciniz, bilgi güvenliği alanında deneyimli eğitmenlerin yardım ve tavsiyeleriyle daha rahat ve verimli geçecektir. Ayrıca, dersleri düzenli takip etmeniz halinde motivasyonunuz da uzun süreli olarak yüksek kalacaktır. Ancak eğitim almayı planladığınız kurumu ve eğitmeni detaylı bir şekilde araştırmakta fayda görüyorum, ne yazık ki bazı yetersiz eğitim kurumları öğrencilerine hayal kırıklığı ve beraberinde konuya ilişkin ilgi kaybı yaşatabiliyor. Tüm bunlara ek olarak, internet ortamında bedelsiz olarak faydalanabileceğiniz birçok kaynak ve video bulunmakta. Kişisel olarak tavsiye edebileceğim ek kaynakları yazının sonunda bulabilirsiniz.

Hazırlanma dönemini başarıyla tamamladıysanız ve kendinizi hazır hissediyorsanız (bu aşamada emin olmak için sınav ücretini bir kez daha hatırlamak gerekiyor) artık sınav için başvuru aşamasına gelmiş bulunmaktasınız. CEH sınavı için başvurular,  EC-Council internet mağazasından (https://store.eccouncil.org/product/ceh-vue-exam-voucher/)  ya da Pearson çevrimiçi sınav kayıt platformu (http://www.pearsonvue.com/eccouncil/) üzerinden CEH sınavı satın alınarak yapılıyor. Bu aşamada, sınava girmek istediğiniz tarihi ve özellikle İstanbul, Ankara ve İzmir gibi büyük şehirlerde rahatlıkla bulabileceğiniz sınav merkezini belirlemekte serbestsiniz.

Disiplinli bir şekilde ve yüksek konsantrasyon ile çalıştınız ve sınavı geçip EC-Council organizasyonunun onayladığı bir Certified Ethical Hacker oldunuz, peki ya sonra? Yazının başında da bahsettiğim gibi CEH sertifikasyonunun çok kapsamlı bir içeriği var. Hazırlık döneminde tanıştığınız ve büyük ilgi duymaya yeni alanlar, gelecekteki odak noktanızı belirlemenizde yardımcı olacaktır.  Örneğin, penetrasyon alanını yeteneklerinize uygun görüyor ve bu konuda heyecan duyuyor iseniz kariyerinize sızma testi uzmanı olarak yön verebilirsiniz. Aynı şekilde; Adli Bilişim (Computer Forensics), Voice over IP (VoIP), Güvenli Yazılım Geliştirme (Secure Coding) ve hatta bir eğitmen olarak eğitim veya danışmanlık alanında CEH benzeri sertifikasyon programları aracılığı ile kendinizi geliştirebilir ve kariyerinize devam edebilirsiniz.

Son olarak, CEH sertifikasının geçerlilik süresinin sertifikayı alma tarihinden itibaren 3 yıl olduğunu belirtmem gerekiyor. Eğer bu süreçte, CEH’ten daha üst seviyedeki bir sertifika almanız durumunda (Licenced Penetration Tester, Computer Hacking Forensics Investigator, Certified Secure Programmer vb.) yeni aldığınız sertifika ile birlikte CEH’in geçerlilik süresi de güncellenecektir.

CEH adaylarına şimdiden başarı dileklerimle…

Tavsiye edebileceğim web siteleri ve ek kaynaklar:

  1. Sean Philip Oriyano-Certified Ethical Hacker Version 9 Study Guide, 3rd Edition (ISBN: 1119252245 )
  2. Matt Walker- CEH Bundle, 3rd Edition (ISBN: 125983753X)
  3. CBT Nuggets-Certified Ethical Hacker Eğitim Videoları
  4. skillset.com (Sınav formatında birçok soru ve egzersiz bulabilirsiniz)
  5. cybrary.it (Detaylı video ve anlatılar bulabilirsiniz)

Siber Bülten abone listesine kaydolmak için formu doldurunuz

[wysija_form id=”2″]

 

Makale & Analiz

Siber olay müdahale süreçlerinde NIST modeli

Yorum yapın

Siber saldırılardan korunma konusuna gerçekçi bir şekilde yaklaşırsak geldiğimiz nokta itibariyle saldırıların tamamının önlenmesinin neredeyse imkânsız olduğunu söylemek zor değil. Dijital dünyaya gittikçe artan bağımlılık, siber dünyanın barındırdığı hassas veri sayısı ve çeşitliliği saldırganların iştahlarının artarak devam etmesine neden olmaktadır. Bu durumun bir yansıması olarak da siber saldırıların kapsam ve yeteneklerinin her geçen gün arttığını; üreticilerin rutin faaliyetlerine ek olarak ürünlerinde çıkan açıkları kapatmak için yoğun mesai harcadığını ve tüm bunlara rağmen yine de son dönemde tanıştığımız Meltdown ve Spectre zaafiyetleri gibi büyük çaptaki güvenlik zafiyetleri nedeniyle siber dünyada bireysel ve kurumsal anlamda “mutlak güvenli” olduğumuzu söylemek güç.

Siber saldırıların doğuracağı maddi ve manevi zararları engellemek bütünüyle gerçekçi olmasa da bu zararları en aza indirgemek mümkün. Yakın geçmişteki siber olaylar incelendiğinde son kullanıcılar kadar saldırganların özellikle finansal çıkar sağlamak amacıyla hedef aldıkları kurum ve şirketlerin de siber saldırılardan payını aldığını gözlemliyoruz. Böylesine gelişmiş teknoloji ve araç kullanma yetisine sahip tehdit aktörlerinin katıldığı bir oyunu kazanmak için en az onlar kadar organize, nitelikli ve hazırlıklı olmak oldukça kritik bir rol oynamaktadır. Bunu sağlamak için de saldırı öncesinden saldırı sonrasına kadar tüm süreçleri kapsayacak geniş, iyi tanımlanmış ve sistematik bir yöntem benimsemek kuşkusuz en etkili çözüm aracı olacaktır.

Siber güvenlik alanındaki otorite kuruluşlardan olan National Institute of Standards and Technology (NIST) siber olay müdahale süreçleri ile ilgili olarak yayınladığı makalede (Computer Security Incident Handling Guide, Special Publication 800-61 Revision 2  Paul Cichonski, Tom Millar, Tim Grance Karen Scarfone) anlatılan model, siber olay inceleme ve müdahale çalışmaları için kılavuz niteliğinde olmasının yanı sıra hem yurt için hem de yurt dışındaki SOME birimlerinde sıklıkla uygulanmaktadır. Buna göre siber olay müdahale süreçleri, hazırlık; tespit ve analiz; sınırlandırma, düzeltme ve iyileştirme; son olarak olay değerlendirme olmak üzere dört aşamadan oluşmaktadır.

Hazırlık

Hazırlık aşamasındaki temel amaç, bir siber olay gerçekleşmeden önce yapılan çalışmalar ile kurumun hedef alınacağı bir saldırıdan minimum düzeyde etkilenmesini ve bir tehdit karşısında mümkün olan en hızlı şekilde tepki vermesini sağlamaktır. Bu kapsamda alınması tavsiye edilen bazı aksiyonlar aşağıda listelenmiştir:

  • Siber olay ile ilgili tüm detayların (saldırgana ait bilgiler, etkilenen sistemler ve zaman değerleri vb.) yer alacağı olay takip sistemi devreye alınmış ve çalışır durumda olmalıdır.
  • Siber olayın gerçekleşmesi durumunda ulaşılması gereken tüm çalışanların iletişim bilgilerinin listesi oluşturulmuş olunması gerekmektedir. Bu listenin herhangi birinin rahatlıkla bulabileceği şekilde muhafa edilmesi faydalı olacaktır.
  • Olaya ilişkin verilerin (disk imajları, log dosyaları vb.) saklanması amacıyla dijital olay inceleme platformları ve yedekleme cihazları çalışır ve yapılandırılmış durumda olmalıdır.
  • Saldırıya ilişkin veri ve paketlerin analiz edilmesi esnasında faydalanılacak bilgisayar ve sunucular hazır durumda olmalıdır.
  • Servis kesintisinin yaşanmaması için kritik sistemlerde kullanılan sunucu, ağ ve sanal bileşenlerin yedekleri belirlenmeli ve hizmet vermeye hazır durumda olmalıdır.
  • Ağ trafiğinin analizinin yapılması için ağ trafiğinin bir kopyasını alacak ve trafikte geçen protokollerin incelenmesini sağlayacak araçlar belirlenmiş ve kullanılabilir durumda olmalıdır.
  • Disk imajlarının analizi için kullanılacak araçların kullanılabilir durumda olması gerekmektedir.
  • Olay esnasında kanıt ve kritik bilgilerin kaydedilmesinde kullanılmak üzere üzerinde düzgün bir şekilde çalıştığından emin olunan yazılımların bulunduğu bilgisayar ve taşınabilir disk gibi cihazlar kullanıma hazır durumda olmalıdır.
  • Sıklıkla kullanılan port bilgilerinin listesi oluşturulmalıdır. Bu listeye ek olarak, güncel trojan yazılımlarının faydalandığı port numaralarının takibinden oluşacak liste de SOME için oldukça faydalı olacaktır.
  • Kurumun bilişim sistemleri kapsamında kullandığı cihazlardaki işletim sistemi, uygulama, konfigürasyon dosyaları, olay tespit ve antivirüs yazılımlarının bulunduğu bir döküman oluşturulmalıdır. Periyodik aralıklarla bu döküman güncellenmelidir.
  • Ağ diagramları ve kurum için kritik niteklite olan veritabanı sunucuları, kurum adına önemli bilgilerin tutulduğu sunucular gibi cihazların listesi çıkarılmalıdır.
  • Olay esnasında herhangi bir kritik dosya veya dizinin değişip değişmediğinin anlaşılması için bu dosya ve dizinlerin kriptografik özet (hash) bilgilerinin çıkarılması ve kaydedilmesi gereklidir.
  • Sistemlerin normal haline dönmeleri sırasında kullanılacak işletim sistemleri hazır durumda olmalıdır.
  • Çalışanlar arasında siber güvenlik farkındalığını arttırmaya yönelik çalışmalar yapılmalıdır. Ayrıca çalışanlara güncel saldırılardan nasıl korunulabilineceği ile ilgili eğitim verilmesi epey faydalı bir adım olacaktır.

Olay Tespit ve Analiz

Bu aşamadaki en can alıcı konu, sayıca çok fazla olan yanlış pozitifler arasından asıl tehdidin tespitinin net ve isabetli bir şekilde yapılmasıdır. Bu kısmın analistler için zor bir görev olmasına neden olan durumlardan en önemlisi, önceden hiç karşılaşılmamış (sıfırıncı gün) veya sofistikasyonu oldukça yüksek seviyelerde olan saldırılardır. Karmaşık olan bu sürecin ardından eğer gerçek bir siber tehdit söz konusu ise bu tehdidin kapsamı ve şiddeti detaylı bir şekilde belirlenmelidir.

Bir siber saldırıya maruz kalındığında mümkün olan en kısa süre içinde bu saldırının hedefini ve metodunun anlaşılması yapılacak savunma çalışmasının kalitesini doğrudan etkilemektedir. Saldırı tespit süresinin uzaması halinde kurum tarafından sunulan servisler kesintiye uğraması ve hassas bilgilerin çalınması gibi telafisi zor olan durumlar yaşanabilir. Bu sürecin daha hızlı ve verimli bir şekilde atlatılabilmesi için kurumun sisteminde çalışan güvenlik cihazlarının ürettiği çeşitli alarm ve loglardan faydalanılmaktadır. Saldırı tespit ve önleme sistemleri (IDPS), güvenlik bilgi ve olay yönetimi (SIEM), antivirüs ve istenmeyen mail filtreleyen yazılımlar, dosya bütünlüğünü kontrol eden yazılımlar ve üçüncü parti ağ ve sistem izleme servisleri bilgi sistemlerinin güvenliğini izleme açısından kullanılabilecek önde gelen alarm kaynaklarındandır.

Olay tespiti yapılırken analistlerin dikkatini çeken bazı göstergeler saldırının tip ve kapsamının anlaşılmasına yardımcı olmaktadır. İşletim sistemi, ağ cihazları, servis ve uygulama loglarının incelenmesiyle sıklıkla karşılaşılan bazı göstergelere; web sunucusunda zafiyet tarama işlemine ait logların görülmesi, yeni ortaya çıkan ve belirli bir mail sunucu sürümünü hedef alan zafiyetler, bir kuruma saldırı düzenleyeceğini sanal ortamda açıklayan gruplar, ağ saldırı tespit sensörlerinin veritabanı sunucusunda arabellek aşımı gerçekleştiğine dair gönderdiği alarm, antivirüs yazılımının bir bilgisayara zararlı yazılım bulaştığını duyurması, sistemde sıradışı karakterlerden oluşmuş dosya adlarının görülmesi, log dosyalarında yetkisiz kişiler tarafından yapılan değişiklikler, bir uygulama logunda birçok defa başarısız erişim taleplerinin görülmesi, sistem yöneticisinin ağ trafiğinde anormal bir artış gözlemlemesi gibi örnekler verilebilir.

Olay analizinin daha kolay bir şekilde yapılması için aşağıdaki çalışmalar önerilmektedir:

  • Karşılaşılan tehditlerin yaratacakları etkiler değerlendirilerek önceliklendirilir.
  • Ağların ve sistemlerin rutin profilleri tanımlanmalıdır.
  • Farklı kaynaklar için zaman ve/veya boyut bazında log yenileme politikaları oluşturulmalıdır.
  • Olay ilişkilendirme çalışmaları yapılmalıdır.
  • Sistemde bulunan tüm tarihler doğru ve senkronize olmalıdır.
  • Ağ trafiğinin detaylı incelenebilmesi için paket analiz araçları kullanılmaldır.
  • İhtiyaç olması halinde diğer SOME birimleriyle koordinasyon içinde çalışılmalıdır.

Ayrıca, sürecin kayıt altına alınması ve düzenli bir şekilde ilerlenmesi amacıyla yapılan tüm çalışmalar dökümante edilmelidir. Bu dökümanda olayın güncel durumu, olay ile ilgili göstergeler, alınan aksiyonlar, olaydan etkilenmiş olan varlıklar, ilgili kişilerin irtibat bilgileri, araştırma kapsamında elde edilen kanıtlar ve analist notları yer almalıdır. Böylelikle tehdit karşısında alınacak aksiyon daha sistematik, hızlı ve doğru bir yöntem sonucunda ortaya çıkmış olacaktır.

Sınırlandırma Düzeltme ve İyileştirme

Olay Tespit ve Analiz aşamasında saldırının detayları anlaşıldıktan sonra saldırının yaratacağı negatif etkileri azaltmak ve saldırının yayılmasına engel olarak kontrol altına almak amacıyla sınırlandırma çalışmaları yapılmaktadır. Bu bölümde dikkatli bir şekilde karar verilmesi gerekilen konu sınırlandırma stratejisinin belirlenmesidir. Örnek olarak bir sistemin kapatılması, ağ ile bağlantısının kesilmesi veya bazı yeteneklerinin devredışı bırakılması gibi kararlar olayın türüne göre alınabilir. Ayrıca, sınırlandırma stratejisi ve bununla bağlantılı uygulamaların mümkün olduğunca kısa zaman içersinde gerçekleştirilmesi gereklidir; aksi halde saldırganlar sağlamış oldukları yetkisiz erişim seviyelerini yükseltebilmekte ve diğer sistemlere sızabilmektedirler.

Saldırının izole edilerek kontrol altına alınmasının ardından tehditi oluşturan bileşenler (kötücül yazılımın silinmesi, ele geçen kullanıcı hesaplarının kapatılması, sömürülen zafiyetlere ilişkin güncelleme çalışmalarının yapılması vb.) ortadan kaldırılmaya başlanır. Etkilenen tüm sistem ve cihazların isabetli bir şekilde tespit edilmesi düzeltme fazının verimliliğini oldukça arttıracaktır.

İyileştirme aşamasında ise temizlenmiş durumda olan tüm sistemler rutin ve sorunsuz şekilde çalışmaya müsait hale getirilir. Gerekli olması halinde saldırıdan etkilenmiş sistemlere temiz yedekler kurulabilir veya tüm sistem baştan oluşturularak ayağa kaldırılabilir. Saldırganların ele geçirdikleri dosyalar, temiz versiyonlarıyla değiştirilebilir, şifreler yeniden belirlenebilir ve uç ağ güvenliği sağlamlaştırılabilir. Saldırı sonucunda oluşan hasara bağlı olarak iyileştirme süreci uzun zaman alabilmektedir.

Değerlendirme

Diğerlerine kıyasla en çok ihmal edilen ve gelecekte meydana gelebilecek tehlikeleri önlemekte önemli rol oynayan değerlendirme aşamasında karşılaşılmış olan siber tehdit tüm detaylarıyla birlikte irdelenir. Olay müdahale süreçlerinin ne kadar verimli ve doğru işlediği, bu süreçlerin nasıl geliştirilebilineceği, benzer tehdit ve tehlikelere maruz kalamak için hangi önlemlerin alınabilineceği, takip edilen göstergelere ek olarak hangi farklı göstergelerin de izlenmesi gerektiği, olay müdahalesi sırasında kullanılmış olan araçlara hangilerinin eklenilebileceği gibi sorular tüm ilgili çalışanların katılacağı bir toplantıda cevaplanması faydalı olacaktır. Kuşkusuz, bu etkileşimden çıkarılacak dersler kurumun güvenlik seviyesini ve olay müdahale yeteneğini arttıracaktır.

Siber Bülten abone listesine kaydolmak için formu doldurunuz