Etiket arşivi: Enigmasec

Makale & Analiz

100 binde 1 ihtimal: Bilinmeyen Twitter kullanıcıları nasıl bulunur? Cevabı Locard’da

Yorum yapın

11 Mayıs’ta hem İstanbul’da hem de Ankara’da iki önemli siber güvenlik etkinliği düzenlendi. Türkiye’nin ve bölgenin DefCon’u olma yolunda hızla  ilerleyen NopCon ile Ankara’da BTK’nın ev sahipliğindeki Locard Global Siber Güvenlik Zirvesi’nde siber güvenliğin farklı boyutları yerli ve yabancı uzmanlar tarafından değerlendirildi.

Her ne kadar Locard’ın sloganı “Are you safe?” olarak belirlenmiş olsa da, etkinliğin en göze çarpan eksikliği, seçilmiş belirli bir temaya sahip olmamasıydı. Bu durumun en belirgin yansıması, her biri alanında oldukça başarılı olan konuşmacıların sunum konuları arasındaki akışın kopukluğuydu. Tüm programa yer vermek her ne kadar mümkün olmasa da, yazının devamında dikkatimi çeken konuşmalara değinmeye çalışacağım.

Alışıldık sunumlardan farklı olarak pratiğe dayalı bir konu seçen İbrahim Baliç, sunumunda, devletlerle işbirliği konusunda her zaman eşit davranmadığı bilinen Twitter’dan bilgi almadan da bir kullanıcıyı bulabilir miyiz sorusuna cevap aradı. “Şifremi Unuttum” başlığına tıkladıktan sonra karşımıza çıkan hatırlatma seçenekleri arasında paylaşılan kayıtlı telefonun son iki hanesi ve statik bir veri içeren “method hint” bilgileriyle bu arayışa başlayan Baliç, 100 bin ihtimalin arasından istenen telefon numarasını, 45 satırlık ufak bir script aracılığıyla nasıl bulduğunu anlattı. Her ne kadar Baliç, sunumunda bu süreci ustalıkla açıklasa da, dinleyen kişiler arasında eve dönüp, aynı el çabukluğuyla bu veriye ulaşan olduğuna inanmak güç 🙂

Geçmiş etkinliklerden aşina olduğum ve BTK’yla yakın olduğu her halinden belli olan EnigmaSec CEO’su Igor Lukic, sunumunda bir CEO’yu nasıl hackleyebilirsiniz sorusuna cevap aradı. Lukic, özellikle kendi cihazlarını kullanmaya meyilli olan, bu bilgisayarları “admin” haklarıyla kullanan, sürekli hareket halinde ve kamunun göz önünde olan, 3ncü parti uygulamaları sıklıkla kullanan ve hediyeleri seven CEO’ların, siber alanda aslında oldukça savunmasız olduklarını söyledi.

Lukic’in bahsettiği bu savunmasız hal, yüksek mevkili insanları hedef alan, “whaling” yani Balina avcılığı olarak adlandırılan özel oltalama (phishing) saldırılarıyla suiistimal ediliyor.  Bu yöntemi kullanan saldırganların yalnızca sosyal medya analizleriyle bile seçilen şahsın uyku düzenini, bulunduğu konumu, hoşlandığı/hoşlanmadığı şeyleri ve daha pek çok normalde şahsi sayılacak bilgiyi ortaya çıkardığı biliniyor. CEO’ların Excel kullanmayı sevdiğini ve Excel’in hedefli oltalama saldırılarına en imkan veren uygulamalardan biri olduğunu kaydeden Lukic, bu saldırıları mümkün kılan diğer fiziksel oyuncaklardan da bahsetti. Bu oyuncaklar arasında isimlerine aşina olduğumuz Poisontap (cookieleri çalıyor, iç router’ı savunmasız bırakıyor ve kitli bilgisayarlara arka-kapı bırakıyor), Rubberduck (44 dolarlık bir USB üzerinde olan bu yazılım ile herhangi bir bilgisayarın klavyesini ele geçirmeniz mümkün – bütün şifreler, yazışmalar, vb.) ve LAN Turtle’ı (USB Ethernet Adaptörü gibi gözüküp, uzaktan erişime ve Man-in-the-Middle saldırılarına imkan tanıyor) saymak mümkün.

Değinmek istediğim son konuşmacı olan CounterCraft şirketinin CEO’su David Barroso, en ilgimi çeken sunumlardan birini gerçekleştirdi. Konuşmasında, hedefli saldırılarda saldırganları gerçek-zamanlı aktif bir yanıt sistemiyle kandırma, otomatik karşı-istihbarat kabiliyetleri geliştirme konularından bahseden Barroso, temel yaklaşımlarının karşı-istihbaratın taktiksel olarak kullanılması olduğunu belirtti. Büyük şirketlere saldıranları sahte bilgisayarlar, yanlış veriler ve sahte kimlikler üzerinden aktif olarak manipüle ettiklerini söyleyen Barroso’nun sunumu, bir çok yönüyle “sıradışı” ya da “kutunun dışında” (out- of-the-box) düşünce yapısını benimsemedikçe güçlü bir güvenlik ortamı yaratmanın bir hayal olduğunu bir kere daha hatırlattı.

Kanımca bu tarz yaklaşımların temel amacı, size saldırana geri saldırmaktan ya da saldırı ihtimalin tamamen ortadan kaldırmaya çalışmaktan ziyade, size saldıranın saldırı yollarını aksatmak/akamete uğratmak olmalı. Bu sayede savunma yollarını hücuma dönüştürebilmek de mümkün hale gelebilir. Klasik devlet/kurum yapıları karşısında sürekli gelişen ve güçlenen asimetrik ve alışılmadık tehditler,  önümüzdeki dönemde bu ve benzeri düşmanları yönetmeye, davranışlarını çok iyi gözlemleyip manipüle etmeye imkân tanıyacak “asi” yaklaşımların benimsenmesini zorunlu kılacağa benziyor.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

[wysija_form id=”2″]
Makale & Analiz, Sektörel, Türkiye

‘E-safe’ siber güvenlik konferanslarının çıtasını yükseltti

Yorum yapın

Bilgi Teknolojileri ve İletişim Kurumu’nun (BTK)  yeni taşındığı binasında ev sahipliği yaptığı e-Safe Siber Güvenlik Zirvesi oldukça yoğun aynı zamanda verimli bir programla aynı konuların tekrarlandığı, alışılagelen siber güvenlik konferanslarının dışına çıkmayı başardı.

BTK Başkanı Ömer Fatih Sayan’ın katılımı, etkinliğin ve siber güvenliğin BTK için ciddiyetini göstermek adına önemliydi. Konuşmasında sanal dünyada mutlak bir güvenlikten bahsetmenin mümkün olmadığından bahseden Sayan, bu nedenle asıl ve gerçekçi amaçlarının saldırganlar için zor bir hedef haline gelmek, İnternete ve bilgi teknolojilerine yönelik güvenli olduğu kadar güvenilir  bir ortam oluşturmak olduğunun özellikle altını çizdi. Çoğumuzun odağında siber saldırıyı henüz gerçekleşmeden önleme beklentisinin bulunduğunu belirten Sayan, gözardı edilen noktanın aslında saldırı gerçekleştikten sonra izlenmesi gereken adımlar olduğuna ve saldırıyı takip eden sürecin oldukça detaylı bir şekilde planlanmasına duyulan ihtiyaca dikkat çekti. Kanun hükmünde kararnameyle (KHK) siber güvenlikle ilgili cezai yaptırım ve regülasyon yetkilerinin BTK’ya verildiğini vurgulayan Sayan, çevreye korku salma niyetinde olmasalar da, bu yetkileri ortamı daha güvenilebilir hale getirmek için sonuna kadar kullanacaklarına değindi.

Bakandan bir önceki sunumda söz alan Türk Telekom Siber Güvenlik Direktörü Ahmet Fethi Ayhan’ın sunumu, Sayan’ın söyleyeceklerine altyapı oluşturması açısından önemliydi. Siber güvenlik konusunda Türkiye ve dünyanın dünü, bugünü ve yarınını anlatan Ayhan, siber güvenliğe yön veren ana trendler olarak hacmi giderek artan DDoS saldırıları, oltalamayla el ele yürüyen fidye yazılımları, yeni nesil zararlı yazılımlar arasında öne çıkan APT’ler ve IoT cihazlarının güvenlik açıklıklarından doğan zaafiyetleri sıraladı. Ayhan’ın ısrarla vurguladığı en önemli noktalardan ilki Cloud veritabanında millileşmeye duyulan ihtiyaç, ikincisi ise an itibariyle sahada enfekte olduğu bilinen 1 milyon akıllı telefondan yayılacak olası bir saldırının yönetiminde sağlayıcılara ve operatörlere düşen görevlerdi. Bu noktada Ayhan, operatörlerin müşterileri güvenlik konusunda yönlendirmesinin de ihtiyaç duyulan bir husus olduğunu kaydetti.

İkinci oturumda söz alan Enigmasec Genel Müdürü Igor Lukic, IT sistemleri ve kritik altyapı sistemlerinin önceliklerini karşılaştırarak başladığı konuşmasında, bilgi teknolojileri sistemlerinin aksine kritik altyapı sistemlerinde bütünlüğün gizlilikten çok daha önemli olduğunu belirtti. Geçmişte gerçekleşmiş endüstriyel sistemleri hedef alan Night Dragon, Stuxnet, Duqu, Flame, Gauss gibi farklı saldırı örneklerine yer veren Lukic, sunumunun son kısmında Shodan üzerinden otorizasyon açıklıklarını tespit ettiği çeşitli endüstriyel sistemlere erişilebildiğini gerçek-zamanlı olarak gösterdi. Kanada’daki bir köprünün ışıklarını değiştirebileceğini, Belçika’daki bir çiftliğin elektronik perdelerini keyfince indirip kaldırabileceğini, yine Kanada’da başka bir endüstriyel sistemin yer aldığı binaya dair pek çok fonksiyonu görüntüleyip, etkileyebileceğini ortaya koyan Lukic, aslında hiç bir akıllı bina ve sistemin düşündüğümüz kadar güvenlikli olmayabileceğini bir kere daha kanıtlamış oldu.

“Güvenlik” kavramının aslında ne kadar kırılgan olduğunu ortaya çıkaran sunumlardan bir diğeri de Infosec Türkiye Genel Müdürü Mert Özarar’a aitti. Özarar, kuantumun geçerli olduğu bir dünyada değişen siber güvenlik ve kriptografi trendlerinden bahsettiği konuşmasında, kuantum bilgisayarlar devreye girdiği noktadan itibaren günümüzde geçerli olarak kullanılan büyün kriptoların kolaylıkla kırılabilir hale geleceğini vurguladı. Kuantum computing konusunda neredeyse G8 ülkelerinin tamamının ciddi çalışmaları olduğunu ve geleceğin kripto sistemlerinin bu kapsamda geliştirileceğini belirten Özarar, Türkiye’de bu konuda çalışmalara ve desteğe duyulan kritik ihtiyacın da altını çizdi. Atalay Keleştemur’un sunumunda, alanda sıklıkla karıştırılan siber istihbarat ve siber tehdit istihbarat kavramları arasındaki farkların ortaya konması kayda değerdi. Keleştemur, bir konunun siber istihbarat kavramı altında değerlendirilebilmesi için bilginin belirli adımları olan bir istihbarat çarkından (tespit, yönlendirme, toplama, değerlendirme, analiz ve yayma) geçmesi  ve istihbarat değeri taşıyacak noktaya evrilmesi gerektiğini belirtti.

Bütün konuşmalara bu yazımda yer vermeye imkan olmasa da, genel olarak alanına hakim isimlerin konuşmacı olarak yer aldığı başarıyla geçen etkinlikte siber güvenlikte güncel olaylara ve yaklaşımlara yer verilmesi, bu tarz organizasyonlarda sıklıkla duymaya alıştığımız basmakalıp sunum içerikleri ve sunum konularının dışına çıkılması benim için oldukça önemliydi.

BTK’nın önümüzdeki yıllarda siber güvenlikte giderek daha çok söz sahibi olması ve konuyu sahiplenmesi, bu alanda daha nitelikli dinleyicileri ve konuşmacıları bir araya getirecek üst düzey etkinlikler düzenlenmesine ve daha nitelikli çalışmalar yapılmasına vesile olabilir. Mimari açıdan oldukça beğendiğim yeni BTK binasının, gelecek dönemde güvenlik açısından da emsal teşkil etmemesi için hiç bir engel bulunmuyor. Tam da bu nedenle, bir sonraki etkinlikte katılımcıların gönlünce bina içinde dolaşacağı bugünkü düzenin değişeceğini umuyorum.

Siber Bülten abone listesine kaydolmak için formu doldurun

[wysija_form id=”2″]