Aktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi Toplama
SSL, DPI Kavramları Eşliğinde Internet Trafiği İzleme ve Karşı Güvenlik Önlemleri
1. CypSec
‘14
siber
Güvenlik
Konferansı
2014/Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
Huzeyfe
ÖNAL
Bilgi
Güvenliği
AKADEMİSİ
www.bga.com.tr
TwiZer:
@bgasecurity/@huzeyfeonal
SSL,
DPI
Kavramları
Eşliğinde
Internet
Trafiği
İzleme
ve
Karşı
Güvenlik
Önlemleri
2. CypSec
‘14
siber
Güvenlik
Konferansı
2014/Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
CypSec
’14
Siber
Güvenlik
Konferansı
/
Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
Huzeyfe
ÖNAL
• Bilgi
Güvenliği
Danışmanı
&
Ağ
Güvenliği
Araş<rmacısı
@BGA
• PenetraAon
Tester
• Eğitmen
– Bilgi
Güvenliği
AKADEMİSİ
– Linux
AKADEMİ
– Bilgi
/
Bahçeşehir
Üniversitesi
• Blogger
-‐
www.lifeoverip.net
3. CypSec
‘14
siber
Güvenlik
Konferansı
2014/Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
CypSec
’14
Siber
Güvenlik
Konferansı
/
Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
Amaç
• Siber
dünyanın
sadece
bir
eğlence
aracı
değil,
dünyanın
gidişa<nı
değişArecek,
yeni
bir
düzenin
kurulumundaki
önemli
oyunculardan
biri
olduğu
göstermek
ve
bu
kadar
önemli
bir
yapının
başıboş
bırakılamayacağının
örneklerle
anlaşılmasını
sağlamak.
• Internet
ortamında
yasal/yasadışı
izlemeler
nasıl
gerçekleşArilir,
nasıl
korunulur
hakkında
bilgi
vermek.
4. CypSec
‘14
siber
Güvenlik
Konferansı
2014/Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
CypSec
’14
Siber
Güvenlik
Konferansı
/
Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
Özlü
söz
• Önce
korunmak
için
teknoloji
üreArsiniz,
sonra
düşmanlarınız
o
teknolojiyi
size
karşı
kullanır,
ardından
gelişArdiğiniz
teknoloji
ile
savaşmak
zorunda
kalırsınız
(Anonim)…
6. CypSec
‘14
siber
Güvenlik
Konferansı
2014/Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
CypSec
’14
Siber
Güvenlik
Konferansı
/
Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
Internet
Nasıl
Çalışır?
Internet,
temeli
1970’li
yıllarda
a<lmış
askeri
bir
protokol
olan
TCP/
IP
üzerinde
çalışır.
7. CypSec
‘14
siber
Güvenlik
Konferansı
2014/Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
CypSec
’14
Siber
Güvenlik
Konferansı
/
Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
Internet’te
Güvenlik
/
Gizlilik
• Internet
ortamında
gizlilik
(ileAşim
için)
temelde
iki
şekilde
gerçekleşArilir:
• 1-‐)İleAşim
protokollerini
güvenli
–şifreli-‐
hale
geArerek
gizlilik.
• 2-‐)İleAşim
protokollerinden
bağımsız
olarak
sadece
içeriği
özel
araçlarla
–
her
iki
taraf
da
aynı
algoritma
kullanmalı-‐
şifreleyerek
gizleme
• İlk
yöntem
daha
sık
kullanılmakta,
ikinci
yöntem
daha
güvenli
kabul
edilmektedir.
• İlk
yöntem
merkezi
güven
ve
kontrol
sağladığı
için
daha
kolay,
ikinci
yöntem
daha
uğraş<rıcıdır.
• Güvenlik
sadece
gizlilik
demek
değildir
(note
for
geeks)
8. CypSec
‘14
siber
Güvenlik
Konferansı
2014/Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
CypSec
’14
Siber
Güvenlik
Konferansı
/
Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
Internet
Trafiğinde
Araya
Girme
• Pasif
araya
girme
(Yasal
süreçlerle
desteklenir)
• Hizmet
aldığınız
ISP/Telekom
firması
tarahndan
yapılır.
• Yerel
ağ,
Wifi
icin
MITM(arpspoof,
DHCP
spoofing)
Teknikleri
• Internet
üzerinde
yasal
olmayan
BGP
yönlendirmeleri
kullanarak.
• Bilgisayara
uzaktan
zararlı
yazılım
yükleyerek.
• DNS
sunucuları
zehirleyerek
/
ele
geçirerek
• TAP
cihazları
kullanarak
(pasif
,
monitor
amaçlı)
9. CypSec
‘14
siber
Güvenlik
Konferansı
2014/Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
CypSec
’14
Siber
Güvenlik
Konferansı
/
Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
Internet
İzleme
Sistemleri
• Amaç:
Kişilerin
internet
trafiğini
belirli
amaçlar
doğrultusunda
izlemek
ve
aksiyon
almak
• İzleme/Dinleme
(Sniffing)
sistemlerinin
işe
yaraması
için
akan
trafiğin
“clear
text”
olması
gerekir.
• Şifreli
trafik
izlenebilir
fakat
anlamlı
bir
bilgi
edinilemez.
• Genellikle
“suyun
başına”
kurulur
ve
pasif
çalışırlar.
10. CypSec
‘14
siber
Güvenlik
Konferansı
2014/Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
CypSec
’14
Siber
Güvenlik
Konferansı
/
Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
Yasal
İzleme/Lawful
IntercepAon
• Kanunlar
çerçevesinde
yapılan
izleme
• Genellikle
ISP
seviyesi
izleme
gerçekleşArilir.
• Bu
Ap
izlemelerde
“akAf
işlem”
durumu
yoksa
internet
trafiği
takip
al<na
alınan
kişinin
durumu
anlaması
imkansızdır
(TAP
sistemler
üzerinden
pasif
dinleme)
• 5651
sayılı
kanun
gereksinimleri
– Son
kullanıcıyı
ilgilendiren
kısımlar
– URL
engelleme,
DPI
işlemleri
v.s
11. CypSec
‘14
siber
Güvenlik
Konferansı
2014/Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
CypSec
’14
Siber
Güvenlik
Konferansı
/
Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
Yasal
Olmayan(Yarı
Yasal)
İzleme
12. CypSec
‘14
siber
Güvenlik
Konferansı
2014/Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
CypSec
’14
Siber
Güvenlik
Konferansı
/
Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
Yasal
Olmayan
AkAf
İzleme
-‐Örnek
Tunus
Gmail
Örneği
17. CypSec
‘14
siber
Güvenlik
Konferansı
2014/Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
CypSec
’14
Siber
Güvenlik
Konferansı
/
Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
Data
Carving…
• Ham
veriden
orijinal
veri
elde
etme
yöntemi
1010101
1010101
0101010
1010101
0101010
101
Sniffer
Data
Carving
18. CypSec
‘14
siber
Güvenlik
Konferansı
2014/Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
CypSec
’14
Siber
Güvenlik
Konferansı
/
Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
Network
Data
Carving
• Sniffer
kullanarak
kaydedilmiş
ikili(binary)
dosyalardan(.pcap
forma<nda
veya
farklı
formatlarda)
orjinal
veri
elde
etmek
• Akan
ağ
trafiği
üzerinde
belirli
şartlara
göre
izleme
yapma
– Echelon
man<ğı
– Günümüzdeki
DLP
sistemlerinin
atası
sayılabilir
• Iki
uç
haberleşirken
aradaki
dinleme
sistemleri
iki
uç
ne
görüyorsa
aynısını
görebilir,
dinleyebilir,
kaydedebilir.
• Network
forensic
çalışmalarının
temelini
oluşturur
19. CypSec
‘14
siber
Güvenlik
Konferansı
2014/Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
CypSec
’14
Siber
Güvenlik
Konferansı
/
Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
Örnek
Uygulama:Eeye
Iris
19
20. CypSec
‘14
siber
Güvenlik
Konferansı
2014/Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
CypSec
’14
Siber
Güvenlik
Konferansı
/
Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
Trafik
İçinde
Veri
Arama
• Uygulama.
21. CypSec
‘14
siber
Güvenlik
Konferansı
2014/Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
CypSec
’14
Siber
Güvenlik
Konferansı
/
Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
DPI
Panzehiri(!)
Şifreleme
(SSL/TLS)
• DPI
benzeri
ağ
tabanlı
izleme/analiz
sistemlerinin
başarılı
olarak
sonuç
verebilmesi
için
trafiğin
“açık
–
okunabilir”
olması
gerekir.
• Şifreli
trafikte
paketlerin
sadece
header
(başlık)
kısmı
açık
olarak
ileAldiği
için
asıl
önemli
kısmın
(payload)
okunması
normal
yollardan
mümkün
olmamaktadır.
• SSL
doğası
gereği
“merkezi
güvenlik
“
merkezi
otorite
kavramları
ile
çalış<ğı
için
DPI
sistemleri
şartlar
yerine
geArildiğinde
şifreli
trafiği
de
inceleyebilir,
kayıt
al<na
alabilir.
22. CypSec
‘14
siber
Güvenlik
Konferansı
2014/Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
CypSec
’14
Siber
Güvenlik
Konferansı
/
Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
SSL/TLS
Nedir,
Nasıl
Çalışır?
• Güvensiz
protokollere
şifreleme
desteği
verme
amaçlı
gelişArilmiş
ara
katman
protokolleridir.
• HTTPS=TLS+HTTP
veya
SSL+HTTP
• Birbirleri
yerine
kullanılsa
da
temelde
farklı
protokollerdir.
• HTTPS/TLS/SSL
sadece
ileAşimde
veri
gizliliği
sağlar,
hedef
sistemin
güvenlik
zaafiyetlerine
karşı
ek
bir
koruma
sağlamaz.
23. CypSec
‘14
siber
Güvenlik
Konferansı
2014/Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
CypSec
’14
Siber
Güvenlik
Konferansı
/
Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
SSL
•
Secure
Sockets
Layer
(SSL)
• Temelleri
Netscape
firması
tarahndan
1994
yılında
a<lan
SSL
aynı
yılda
Acari
olarak
piyasaya
sürüldü
ve
bir
sonraki
yıl
IETF
tarahndan
standart
olarak
Kabul
edildi.
• Aslında
standar<n
asıl
ismi
TLS
olmasına
rağmen
genellikle
SSL
kullanımı
tercih
edilmektedir.
• İlk
zamanlar
sadece
HTTP
trafiğini
şifreleme
amaçlı
gelişArilmiş
olsa
da
günümüzde
TCP,
UDP
tabanlı
tüm
servisleri
şifreleme
amaçlı
kullanılmakta.
24. CypSec
‘14
siber
Güvenlik
Konferansı
2014/Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
CypSec
’14
Siber
Güvenlik
Konferansı
/
Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
HTTPS
• WEB
trafiğinde
şifreleme
sağlama
amaçlı
gelişArilmiş
protokol
– HTTP+TLS
veya
HTTP+SSL
25. CypSec
‘14
siber
Güvenlik
Konferansı
2014/Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
CypSec
’14
Siber
Güvenlik
Konferansı
/
Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
SSL
Güvenliği
Nelere
Bağlıdır?
• SSL
kullanım
ve
yöneAm
kolaylığı
açısından
merkezi
bir
güvenlik
modeline
sahipAr.
Bizlerin
kime
güveneceği
merkezi
otoriteler
tarahndan
kontrol
edilip
onaylanır.
– Istenildiği
takdirde
otorite
secme
islemini
kullanıcı
yapabilir.
• SSL’in
temel
güvenliği
SerAfika
Otoritesi
olarak
adlandırılan
aracı
kurumlar
ve
bu
kurumlar
bünyesinde
tutulan
gizli
anahtarla
ağlanır.
– Noter’in
mührü
gibi…
• Anahtarın
kaybı
durumunda…?
26. CypSec
‘14
siber
Güvenlik
Konferansı
2014/Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
CypSec
’14
Siber
Güvenlik
Konferansı
/
Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
SerAfika
Otoritesi
• PKI
altyapısının
dayandığı
en
temel
güvenlik
bileşeni
• SerAfika
otoritesi
SSL
kavramının
günümüzde
güvenilir
olarak
kabul
edilmesi
ve
yaygınlaşmasındaki
en
önemli
rollerden
birine
sahipAr.
• SSL’in
güvenliğinde
serAfika
otoritesi
tüm
gücü
elinde
bulundurur.
• SerAfika
otoritesinde
yaşanacak
bir
güvenlik
problemi
sadece
o
serAfika
otoritesini
kullanan
değil,
tüm
SSL
kullanıcılarını
etkileyebilir.
– Diginotar
olayı
27. CypSec
‘14
siber
Güvenlik
Konferansı
2014/Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
CypSec
’14
Siber
Güvenlik
Konferansı
/
Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
SerAfika
Otoriteleri
• En
önemli
kurumlardır
• SerAfika
otoritesinin
ele
geçirilmesi
o
otorite
tarahndan
onaylanan
tüm
serAfikaları
güvensiz
hale
geArir.
28. CypSec
‘14
siber
Güvenlik
Konferansı
2014/Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
CypSec
’14
Siber
Güvenlik
Konferansı
/
Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
GKA-‐
Government
Key
Access
29. CypSec
‘14
siber
Güvenlik
Konferansı
2014/Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
CypSec
’14
Siber
Güvenlik
Konferansı
/
Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
10
Puanlık
Al<n
Soru
Kaçımız
yeni
aldığı
bilgisayarında,
tableAnde,
mobil
cihazında
yüklü
olan
güvenilir
olarak
kabul
edilmiş
serAfika
otoritelerini(CA)
kontrol
eˆ?
30. CypSec
‘14
siber
Güvenlik
Konferansı
2014/Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
CypSec
’14
Siber
Güvenlik
Konferansı
/
Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
Şifreli
Trafiği
Takip
ve
İzleme
Yöntemleri
• SSL
bağlan<larında
araya
girme
fikri
ilk
bakışta
zor
haya
imkansız
gibi
görülse
de
gerekli
şartlar
oluşturulduğunda
oldukça
kolay
başarılabilmektedir
• Gerekli
Şartlar:
– İlk
olarak
hedef
sistemin
trafiği
üzerinizden
geçecek
şekilde
kandırılmalıdır/ayarlanmalı.
– Hedef
sistemin
ileAşim
kurmak
istediği
HTTPS
sayfasına
ait
serAfika
bilgileri
ile
sahte
bir
serAfika
oluşturulmalıdır.
• Sahte
oluşturulan
bu
serAfika
tüm
modern
browserlarda
kullanıcıya
uyarı
verecekAr.
• Bazı
browserlar
bu
uyarıyı
oldukça
kullanıcı
yanlısı
(rahatsız
etmeyici
yumusak
bir
mesaj)
bazıları
da
oldukça
rahatsız
edici
ve
problemi
belirAci
uyarılarla
gösterirler.
30
31. CypSec
‘14
siber
Güvenlik
Konferansı
2014/Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
CypSec
’14
Siber
Güvenlik
Konferansı
/
Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
SSL
Nasıl
Alt
Edilir?
• SSL
güvenliğindeki
en
önemli
bileşen
serAfika
otoritesidir.
– SerAfika
otoritesi
tek
başına
işe
yaramaz,
istemci
yazılımları
tarahndan
güvenilir
olarak
kabul
edilmelidir.
• Dünya
üzerindeki
serAfika
otoritelerinden
birinin
hacklenmesi
ve
serAfika
üreAm
için
kullanılan
gizli
anahtarın
ele
geçirilmesi
tüm
dünyadaki
SSL
kullanımını
anlamsız
kılabilir!
– İsAsnalar
mevcuyur.
• Güvenilir
bir
serAfika
otoritesi
tarahndan
onaylanmış
serAfikalar
hatasız
işleme
alınır.
32. CypSec
‘14
siber
Güvenlik
Konferansı
2014/Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
CypSec
’14
Siber
Güvenlik
Konferansı
/
Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
SSL
MITM
Yöntem-‐I
(eski)
Firefox
Internet
Explorer
7
34. CypSec
‘14
siber
Güvenlik
Konferansı
2014/Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
CypSec
’14
Siber
Güvenlik
Konferansı
/
Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
SSL
MITM
Yöntem-‐III
• Client
side
exploitaAon
yöntemi
35. CypSec
‘14
siber
Güvenlik
Konferansı
2014/Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
CypSec
’14
Siber
Güvenlik
Konferansı
/
Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
SSL
MITM
Yöntem-‐IV
• Sahte
ama
geçerli
CA(serAfika
otoritesi)
yetkilerini
kullanarak
tek
taraflı
SSL/TLS
trafiğini
çözme.
36. CypSec
‘14
siber
Güvenlik
Konferansı
2014/Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
CypSec
’14
Siber
Güvenlik
Konferansı
/
Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
Uygulama
37. CypSec
‘14
siber
Güvenlik
Konferansı
2014/Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
CypSec
’14
Siber
Güvenlik
Konferansı
/
Le>oşe
BGA
(BİLGİ
GÜVENLİĞİ
AKADEMİSİ)
|BGA.COM.TR
Tunus
SerAfika
Otoritesi
Kullanımı
• Tunus
hükümeA
HTTPS
kullanan
bazı
sitelere
üye
muhalif
grupları
belirlemek,
engellemek
için
kendisine
bağlı
serAfika
otoritesi(Microso‰
tarahndan
güvenilir
olarak
kabul
edilen)ni
HTTPS
kullanan
siteler
bağlananları
izlemek
için
kullandı.
– Detaylar
için
wikileaks
belgeleri