Siber Saldırı Nedir:
Siber saldırı nedir, siber saldırı çeşitleri nelerdir, nasıl korunuruz. Tüm bu soruların detaylı cevaplarını bulabileceğiniz bir makaleye hoş geldiniz.
Günümüzde teknoloji hızla gelişmekte ve buna paralel olarak internet dünyası da büyümektedir. Nesnelerin internetini konuştuğumuz, Mars’ a insan göndermeyi hedeflediğimiz, dünyanın etrafını 2600 adet uydu ile donatarak her yerde hızlı internet hizmeti sağlamayı planladığımız bugünlerde tehlikenin boyutu da aynı oranda artmaktadır.
Siber saldırı, bilgisayar tabanlı tüm sistemleri bağlı olduğu iletişim kanallarını kullanarak kesintiye uğratmak veya zarar vermek amaçlı yapılan saldırıların tümüdür. Bu ister bir yazılımla yapılsın, ister bir donanımla fark etmez. Amaç o sisteme zarar vermek ise buna biz Siber Saldırı deriz. birçok güvenlik zafiyetinden yararlanarak siber saldırı çeşitleri denenmekte ve bunlara karşı önlemler geliştirilmektedir. Aşağıda bu yöntemlerden birçoğunu detaylı olarak bulabilirsiniz. Yazımız teknik yazı olup, bilişim uzmanlarına hitap etmektedir.
Siber Saldırı Çeşitleri :
Zafiyet Taraması:
Keşif (Reconnaissance), siber saldırı öncesi en önemli safhadır. Bu aşamadaki faaliyetler hedef gözetilmeksizin genel tarama veya belirli bir hedefe yönelik olarak bilgi toplamak amacıyla gerçekleştirilir. Keşif faaliyetlerinin hedef sistem tarafından tespit edilmemesi de çok önemlidir. Keşif safhasında sistemler ve ağlar hakkında IP ve etki alanı (DNS) bilgileri, bilişim sisteminin bileşenleri, ağ yapısı, kullanılan yazılımlar, mevcut hesaplara ait bilgiler ile kurumsal ve kişisel bilgiler hedef alınmaktadır. Bu bilgileri elde etmek amacıyla fiziksel olarak kurum ziyareti, haritalama servisleri (Google Earth, Google Maps Street View vb.) ile kurum lokasyonun incelenmesi, kurumsal resmi internet sitesi ve hizmetleri, arama motorları ile sosyal ağlar etkinlikle kullanılabilmektedir.
Kuruma ait resmi internet sitesi kuruma ait e-posta adresleri, telefon ve fax, çalışma alanları ve projeleri, iş ortakları, mevcut iş olanakları gibi bilgiler elde edilebilmektedir. Kurumsal sitenin kim tarafından yapıldığı(kurum içi veya 3.parti), sitenin oluşturulmasında kullanılan teknolojiler ve kullanılma şekilleri dikkate alınarak kurumun ilgili personelinin teknik bilgi ve tecrübesi dahi ön görülebilmektedir. Arama motorlarının kendine özgü operatörleri kullanılarak arama işlemleri çok daha etkin olarak gerçekleştirilebilmekte ve hedef kurum hakkında önemli bilgiler elde edilebilmektedir.
Sosyal ağlar(Facebook, Linkedin, Google+, Twitter vb. ) hedef organizasyonun çalışanlarına ait geçmiş bilgileri, ilgi alanları, arkadaşları, meslektaşları hakkında bilgi toplama açısından saldırganlara çok büyük olanaklar sağlamaktadır.Saldırganların keşif aşamasında sıklıkla başarı ile kullandığı başka bir yaklaşım da sosyal mühendisliktir. Bu yaklaşımda saldırganlar yemlemee-postaları, çalışanların bulabileceği yerlere tuzaklı USB bellek bırakma,telefon üzerinden kendisini yetkili bir kişi olarak gösterme vb. teknikler ile organizasyon ve çalışanlar hakkında gizli ve önemli bilgilere ulaşabilmektedir.
Ağ Taramaları:
Ağ taramaları temel olarak sistem yöneticileri tarafından güvenlik testi, ağ bileşenlerinin yönetimi, ağdaki problemlerin tespiti ve çözümü amacıyla kullanılmakla birlikte saldırganlar tarafından hedef organizasyonun ağın topolojisi ve ağdaki servisleri öğrenmek ve muhtemel zafiyetleri tespit etmek amacıyla kullanılmaktadır. Tarama işlemi safhaları, çalışan sistemin (iş istasyonu, sunucu, yönlendirici, anahtarlama cihazı, erişim noktası vb.)bulunması, açık kapı (port) (TCP ve UDP) belirlenmesi, açık kapılardan çalışan servis ve uygulamalar ile bunların sürümlerinin tespit edilmesi, çalışan işletim sisteminin belirlenmesi ile bilinen zafiyetlerin bulunmasını içermektedir. Ağ tarama amacıyla en çok kullanılan araç “Nmap (Zenmap:GrafikAra Yüzü )” isimli araçtır. Bunun yanı sıra Zmap, masscan, Hping gibi araçlarda mevcuttur. Ağda açıklık tarama amacıyla Nessus, OpenVAS, Core Impact, NmapBetikleri ve Metasploit gibi yazılımlar; örün sitesi uygulaması açıklıkları bulmak için ise sqlmap, Acunetix, WebScrab, Appscan gibi yazılımlar kullanılmaktadır.
Nmap yazılımı komut satırından kullanılırken yapılmak istenen tarama türüne ve elde edilmek istenen bilgilere göre birçok parametre almaktadır. Nmap yazılımı ile yapılan taramalardan en
doğru sonucu almak için mümkünse taramaların “yönetici (root)” yetkisi ile yapılması tavsiye edilmektedir. Nmap taramaları sonucunda kapılar “açık (open), kapalı(closed), filtrelenmiş (filtered) ve filtrelenmemiş (unfiltered)” şeklinde sınıflandırılmaktadır. Kapının açık olması bu kapıdan TCP bağlantısı veya UDPpaketleri kabul eden bir uygulama olduğu, kapalı olması portun erişilebilir olduğu ancak herhangi bir uygulamanın bir kapı üzerinden dinleme yapmadığı,filtrelenmiş olması kapının açık olup olmadığına karar verilemediği,filtrelenmemiş olması ise kapının erişilebilir olduğu ancak Nmap tarafından kapının açık mı yoksa kapalı mı olduğunun belirlenemediği anlamına gelmektedir.Başlıca kapı tarama teknikleri TCP SYN SCAN, TCP CONNECT SCAN, TCP ACK, TCPFIN, UDP VE SCTP INIT SCAN’dir.
Nmap yazılımı varsayılan ayar olarak en sık kullanılan 1000 adet kapı üzerinden tarama yapmaktadır. Bundan dolayı daha geniş kapsamlı (65535 adet kapı mevcuttur) tarama yapmak için gerekli parametreler komut satırından verilmelidir. Çalışan uygulamaların sürüm numaraları çok önemli bir bilgidir.Zira yazılımların belirli sürümleri bilinen açıklıklara sahiptir. Eğer tarama sonucunda açıklığa sahip olduğu bilinen bir servis/uygulama sürümü keşfedilirsebu açıklık kullanılarak kolaylıkla sisteme sızılabilir. İşletim sistemininöğrenilmesi hedef sistemin türünün (bilgisayar, sunucu, yazıcı, aktif ağelemanı vb.) belirlenmesi açısından gereklidir. Ayrıca işletim sistemlerine özgü birçok zafiyet de bilinmekte olduğundan işletim sistemi ve sürümü öğrenildiğinde buna uygun zararlı yük (payload) hazırlanarak hedef sisteme sızmak amacıyla kullanılabilir. İşletim sistemi keşfinde Nmap yanı sıra “p0f”,“xprobe2” yazılımları da kullanılabilmektedir. Ağ tarama faaliyetlerine karşı alınacak tedbirlerin başlıcaları kurumsal ağların güvenlik yöneticileri tarafından düzenli olarak taranıp bulunan açıklıkların giderilmesi, gereksiz servislerin kapatılması, sınır güvenliği mekanizmalarının(güvenlik duvarı vb.) düzgün ayarlanması, taramaların tespit edilmesini sağlayacak yöntemlerin kullanılması ve saldırganları yanlış yönlendirmek amacıyla bal küpü kurulmasıdır.
Parola Saldırıları:
Bilişim sistemlerinde kimlik doğrulama amacıyla kullanılan en yaygın yöntem kullanıcı adı ve parolalardır. Parolaların elde edilmesi için gerçekleştirilen saldırılar genel olarak 2 ana başlık altında toplanmaktadır. “Tahmin Etme” saldırıları farklı kullanıcı adı ve parola kombinasyonları ile deneme yaparak doğru kombinasyonu bulmaya dayanır. Bu yaklaşımda kullanıcı adı ve parola ikilileri doğrudan sistem üzerinde uygulandığından “çevrimiçi” olarak isimlendirilmektedir. Ancak bu denemeler güvenlik mekanizmaları tarafından kolaylıkla tespit edilebilir ve ilgili hesap kilitlenerek zafiyetin önüne geçilir. “Çevrim dışı” olarak adlandırılan “Parola Kırma” yaklaşımında ise parolaların şifrelenmiş hali/özet değerlerini içeren dosyalar üzerinden parolalar elde edilmeye çalışılır. Bunun için parolaların özet değerleri ele geçirildikten sonra çeşitli araçlar ile bu verilerden parolalara ulaşılmaktadır.
Çevrim içi parola tahmin saldırıları genelde etkili olamayacak kadar yavaştır ve başarılı olabilmeleri için birçok kullanıcı adı ve şifreyi içeren “sözlük listeleri”neihtiyaç duymaktadır. Ayrıca bu girişimin güvenlik mekanizmaları tarafından yakalanma oranı da çok yüksektir. Söz konusu listeler yaygın kullanılan kullanıcı adları, belirli karakterlerin yer değiştirilmesi ile oluşturulan diziler, kelime ve harf kombinasyonları ile çeşitli biyografik verileri (takmaad, hayvan adı, doğum tarihi vb.) içermektedir. THC-Hydra ve Medusa yazılımları ağ giriş (logon) şifresi kırma işleminde öne çıkan araçlardır.
Parola bilgileri sistem üzerinde açık bir şekilde saklanmazlar. Bunun yerine parolanın özet değeri saklanır ve her giriş işleminde kullanıcı tarafından girilen parola değerinden özet değeri tekrar hesaplanıp depolanan değer ile karşılaştırılarak kullanıcının sisteme girmesine izin verilip verilmeyeceği belirlenir. Normal şartlarda eğer özet değeri alma algoritması alınmış olan bir özet değerinden tersine doğru gidilip açık metin değerine ulaşılmasını engelleyecek dayanıklılıkta olmalıdır. Ancak bazen özet değer algoritmasının işleyişi, bazende işletim sistemleri ile uygulamaların özet değeri alma, saklama ve kullanma politikalarına bağlı olarak bu alanda
zafiyetler oluşmakta ve saldırganlar ya elde ettikleri özet değerlerinden kullanıcıların parolalarını üretebilmekte ya da doğrudan özet değerini kullanarak sistemlere yetkisiz olarak girebilmektedir.
Günümüzde çevrim dışı parola kırma siber saldırıları için çeşitli teknolojilerden yararlanılmaktadır. Bunları başlıcaları “Grafik İşlemci Birimlerinin Kullanılması”, “CUDA Mimarisi”; “Bulut Bilişim” ve hatta “Zombi Bilgisayar Ağları”dır. Çünkü çevrim dışı parola kırma işlem rahatlıkla dağıtık bir yapıda gerçekleştirilebilmektedir. Ayrıca parola kırma işlemlerinin hızlandırılması için “Gökkuşağı Tabloları” adı verilen bir teknik kullanılmaktadır. Bu teknikte parola olabilecek karakter setlerine ait özet değerleri önceden hesaplanıp bilgisayar belleğinde tutulmakta ve daha sonra da hedef sistemden sızdırılan özet değerleri bellekteki değerler ile hızlı bir şekilde karşılaştırılmaktadır.“John The Ripper” yazılımı çevrim dışı parola kırma işlemlerinde yaygın olarak kullanılan bir araçtır. Parola siber saldırılarına karşı alınması gereken tedbirlerin başlıcaları kurum genelinde güçlü parolaların kullanılmasını zorunlu kılacak politikalar benimsemek, sistem yöneticisi hesaplarında farklı parolalar kullanmak, çok adımlı kimlik doğrulama(parola ve donanımsal anahtar üretici, biyometrik sistemler vb.) sistemleri kullanma, parolaların sistemlerde güvenli bir şekilde saklanması ve etkin özet değerli algoritmaları kullanılması bulunmaktadır.
İnternet Uygulama Güvenliği:
Günümüzde internet uygulamaları bankalar, e-devlet, sosyal platformlar, kurumsal ortamda sıklıkla kullanılmaktadır. Bu yazılımlarda kurumsal ve kişisel bilgiler,finansal veriler, kullanıcı hesap bilgileri gibi hassas bilgiler işlenmekte ve depolanmaktadır. İnternet uygulamaları yapısı gereği internet veya iç ağ ortamında genele açık olarak hizmet vermekte ve bu durumda yazılımları saldırması kolay hedefler haline getirmektedir. Saldırganlar açısından internet uygulamalarının değerli hedefler olmasının başlıca sebepleri bu yazılımların organizasyon içinde yaygın olması, işletim sistemleri ve ağ servisleri kadar sıkı korunmamaları, özel bir amaca hizmet etmesi için üretilmiş yazılımların yamalarının daha az yapılması, internet yazılımlarının üzerinde çalıştığı tarayıcılarda açıklıklar bulunması ve internet yazılımlarına karşı gerçekleştirilen siber saldırı çeşitleri diğer bilişim varlıklarına karşı yapılanlara kıyasla daha basit olması gelmektedir.
İnternet uygulamaları geliştirilirken ve kullanılırken Apache, IIS, Glassfish gibi uygulama sunucuları, Java, ASP, PHP, C#, Perl ve Python gibi programlama ve betik dilleri ile MySQL, PostgreSQL, Oracle ve MSSQL gibi veritabanı yönetim sistemleri kullanılmaktadır. Ayrıca kulanıcı tarafında HTML, JavaScript, Ajax,Java Appletler, ActiveX Kontrolleri, Flash ve HTML5 gibi teknolojilerden yararlanılmaktadır. Bu platform ve ortam çeşitliliği birçok açıklığı da beraberinde getirmekte ve saldırı yüzeyini genişletmektedir.
İnternet uygulamalarının güvenlik açısından temel sorunu kullanıcıların uygulamaya rastgele veri gönderebilmeleridir. Bu sayede parametreler, başlıklar ve kurabiyeler (cookie) ile oynanabilmekte ve istemci tarafı kontroller atlatılabilmektedir. Siber saldırıların büyük kısmı hedef sistemdeki açığa uygun olarak özel olarak hazırlanmış veriler (crafted data) göndermek suretiyle gerçekleştirilmektedir. Bu saldırıların başlıcaları Kod Enjeksiyonu (SQL, OSCommand Injection vb.) , XSS (Cross-Site Scripting) ile kullanıcı kimlik doğrulama ve aktif oturumlara yönelik siber saldırılardır. Vega, sqlmap, Acunetix,AppScan, N-Stalker, Burp Scanner, WebInspect ve w3af gibi açıklık tarama yazılımları ile siber saldırı öncesi hedefteki internet uygulamasında zafiyetler tespit edilmektedir. Daha sonra da TamperData ve Tamper IE gibi tarayıcı eklentileri veya Burp Suite, Zed Attack Proxy ve WebScarab gibi daha profesyonel araçlar ile saldırılar gerçekleştirilmektedir. Kod enjeksiyon siber saldırılarında hedefteki sistem tarafından program komutları olarak yorumlanacak veriler kullanıcı girdisi olarak gönderilerek hedef sistemde istenen işlevler yerine getirilmektedir. SQL Injection saldırılarına karşı alınması gereken tedbirlerin başında kod geliştirme aşamasında“parameterized/prepared statements” ile “stored procedures” kullanılmalı, girdi kontrolü yapılmalı ve farklı karakter setlerine göre sorgularda filtreleme yapılmalıdır. ASP ve PHP gibi uygulamaya doğrudan işletim sistemi komutu gönderebilen diller ile yazılmış uygulamalar da “İşletim Sistemi Komut Enjeksiyonu” saldırısına maruz kalmaktadır.Böylece sunucu üzerinde işletim sistemine haiz fonksiyonlar çalıştırılabilmektedir. Bu siber saldırı çeşitlerini engellemek için doğrudan işletim sistemi komutlarının çağırılması engellenmeli, işlevler için uygulama programlama arayüzleri (API) kullanılmalı, kabul edilecek girdiler mümkün olduğunca dar bir karakter setinden olacak şekilde önlem alınmalıdır. Çapraz Site Betikleme (Cross-Site Scripting, XSS) HTML kodlarının arasına istemci tabanlı kod gömülmesi yoluyla kullanıcının tarayıcısında istenen istemci tabanlı kodun çalıştırılabilmesidir. Bu siber saldırılar istemci tarafında gerçekleştirilmekte olup sunucu tarafında gerçekleştirilen saldırılara kıyasla daha kolay yapılabilmektedir. Enjeksiyon terminolojisi açısından XSS saldırıları “İnternet İçerik Enjeksiyonu” olarak değerlendirilebilir. XSS ile kullanıcı tarafında istenen kodlar çalıştırılabileceği gibi ayrıca kullanıcının aktif oturumu da ele geçirilebilir. XSS saldırıları ile internet uygulamasından kullanıcı oturumu, kullanıcıya ait hesap ve parola bilgileri, kullanım tarihçesi vb. bilgiler elde edilebilmektedir. XSS siber saldırılarına karşı girdi doğrulama herhangi bir yarar sağlamamakta olup asıl savunma kontekse dayalı çıktı filtreleme yaparak karakterlerin meta karakter ( ^ $ \ . * + ? ( ) [ ] {} > | ) olarak değil veri olarak algılandığından emin olunmalıdır.
Ağ Saldırıları ve Savunma Yöntemleri:
Ağ güvenlik katmanları güvenlik açısından incelendiğinde en zayıf halkanın “Data Link(Katman 2)” katmanı olduğu görülecektir. Bu katmana sızıldığında üst katmanların haberi dahi olmadan genel sistem güvenliği tehlikeye girmektedir.Bu katmana karşı yapılan saldırılar genelde keşif, “Man In the Middle”, ağı dinleme ve servis dışı bırakma saldırılarıdır.
MAC adresleri ağ ara yüzlerine atanan ve fiziksel katmanda ağ donanımının tanınmasını sağlayan 48 baytlık onaltılık sistemde bir kod dizisidir. “MACTaşkını (MAC Flooding)” siber saldırısında saldırgan tarafından sürekli olarak rasgele kaynak ve hedef IP adresi: Kapı içeren TCP SYN paketleri üretilir. Ağ anahtarı (switch) bu paketler için MAC tablosunda kayıt oluşturur. Çok fazla sayıda ve farklı MAC adreslerine sahip yeni paket üretildiğinden “İçerik Adreslenebilir Bellek (Content Addressable Memory-CAM)” tablosu dolar. CAM tablosu bireysel MAC adreslerinin ağ anahtarı üzerindeki fiziksel kapılarla ilişkilendirmektedir. Ağ anahtarı kısıtlı miktarda bellek taşıdığından bu tablo doldurulmaktadır. Siber saldırının amacı ağ trafiği içindeki yasal MAC adreslerinin tablonun dışında kalması ve çok sayıda Ethernet paketi ile tüm kapıların doldurulmasıdır. Bu saldırının gerçekleştirilmesi amacıyla “macof” aracı kullanılabilmektedir. Bu siber saldırıya tedbir olarak “Kapı Güvenliği (PortSecurity)” adı verilen ve ağ anahtarlarının uç sistemlere bağlı kapılar üzerinden alabileceği MAC adreslerinin kısıtlayan bir özellik kullanılmaktadır.Ayrıca ağ anahtarı üzerinden bilinmeyen MAC adresleri için “Tek Noktaya Akış(Unicast Flow/Flooding)” özelliği kapatılmalıdır.
Sanal yerel ağlar (Virtual Local Area Network) mantıksal olarak ayrılmış alt ağlardır ve yerel ağ anahtarlar ile bölünerek farklı çalışma grupları oluşturulur. Bu sayede aynı anahtarlı ağ üzerinde çoklu IP ağları ve alt ağları yer alabilir.Başlıca avantajları farklı gizlilik seviyesine sahip verilerin gruplanabilmesi,mevcut bant genişliğinin daha etkin kullanılabilmesi ile çoklu genele yayım etki alanlarına bölümleme sayesinde gereksiz trafiğin azalması gelmektedir.“VLAN Atlama (VLAN Hopping)” saldırısı trafiğin farklı sanal yerel ağlar arasında geçiş yapabilmesini sağlamaktadır. Bu sayede saldırgan normal de erişimi olmayan bir sanal yerel ağdaki trafiğe erişebilmektedir. VLAN bilgilerine sahip anahtarlar arasındaki fiziksel bağlantılara “Ağ Gövdesi(Network Trunk)” olarak adlandırılmaktadır. Etiketli sanal yerel ağ paketleri anahtarın dışına ağ gövde kapısı üzerinden gönderilmektedir. Bu siber saldırılar genel olarak “Anahtar Kandırma (SwitchSpoofing)” ve “Çift Etiketleme (Double Tagging)” yöntemleri ile gerçekleştirilmektedir. İlk yöntemde saldırgan ağ gövde bağlantılı bir anahtarı taklit eder ve gerekli protokolleri kullanarak diğer sanal yerel ağlar ile veri alışverişinde bulunur. Bu tekniğin çalışabilmesi için ara yüzlerin ağ gövdesi ile otomatik olarak anlaşmasını sağlayan bir özelliğin açık olması gerekmektedir.
Bu ayar kapatıldığında saldırı etkisiz kılınmaktadır. İkinci yöntemde ise saldırgan pakete iki adet etiket koyar. İlk etiket aktarımda göz ardı bırakılırken ikinci ve sahte etiket ise anahtarda işleme alınır. Böylece sahte etiket kullanılarak hedefteki sanal yerel alan ağına ulaşılır. Bu saldırının önüne geçmek için tüm ağ gövdesi kapıları açıkça etiketlenmeli, 1 numaralı VLAN üzerine herhangi bir uç sistem bağlanmamalı ve tüm ağ gövde kapılarındaki yerel VLAN numaralarına kullanılmayan numaralar atanmalı ve genel olarak kullanılmayan tüm kapılar kapatılmalıdır.
Adres Çözümleme Protokolü (Address Resolution Protocol (ARP)) IP adresinden fiziksel adrese dönüşüm amacıyla kullanılmaktadır. Bu protokol bir önbellek tablosu tutmaktadır. “ARP Sahteciliği/Zehirleme (ARP Spoofing/Poisioning) Saldırısı”ile IP-MAC adresi eşleşmelerini tutan tabloya müdahale edilir ve IP adresine karşılık gelen sahte bir MAC adresi oluşturulur. Bu işlemin yapılabilmesinin temel sebebi ARP cevap paketlerinin kimlik doğrulamasından geçirilmemesidir.Böylece sahte ARP cevap paketleri ile sahte IP-MAC eşleşmeleri oluşturulabilmektedir. Bu amaç ile kullanılabilecek araçların başında Dsniff,Cain&Abel, ettercap, Yersinia gelmektedir. ARP Sahteciliği/Zehirleme siber saldırı çeşitleri için karşı tedbir olarak ağ anahtarlarının ARP işlemlerini dinamik olarak kontrol etmesi ve MAC-IP eşleşmelerinin geçerli olduğunu denetlemesi gerekmektedir.
“IP Adres ahteciliği” işlemi sahte kaynak IP adresi ile IP paketlerinin oluşturulmasıdır.Bu saldırının amacı genelde saldırganın kendisini saklamasıdır. IP Sahteciliği tekniği özellikle Servis Dışı Bırakma (Denial of Service) saldırılarında sıklıkla kullanılmaktadır. Sahte IP bilgisine sahip bir paket alan hedef sistemin cevabı bu sahte adrese döner ve saldırgana doğru herhangi bir trafik oluşmaz. Ancak saldırgan hedef sistem ile aynı alt ağ içinde ise dönen cevabı ağ trafiği üzerinden yakalayabilir. IP sahteciliğine karşı, IP kaynak kontrolü ve Etki Alanı Ayarlama Prokotolü (Domain Host Configuration Protocol-DHCP)Gözetleme (DHCP Snooping) teknikleri kullanılmaktadır. DHCP gözetleme ileIP-MAC eşleşmeleri koordine edilirken, IP kaynak kontrolü ile uç sistemlerin başka bir MAC adresi ile ilişkilendirilmiş IP adresini kullanmaması sağlanır.
Bellek Zafiyetleri:
Yığın(stack), geçici değerlerin/değişkenlerin saklandığı bellek alanıdır. Mikroişlemci bu alanı kullanırken “İlk Giren Son Çıkar (Last In FirstOut-LIFO)” tekniğini kullanır. Böylece ilk yüklenen veri en son alınmaktadır. Öbek (heap) ise dinamik olarak kullanılabilen bellek alanıdır. “Yığın Aşımı(Stack Overflow)” yığın işaretçisinin yığın sınırı dışında bir hafıza bölgesini göstermesi ile gerçekleştirilir. Bellek aşımı neticesinde program bellek erişim hatası verebilir, çalışması sekteye uğrayabilir veya güvenlik açığı oluşabilir.Bu işlem belirli kodları izinsiz bir şekilde çalıştırmak amacıyla kullanılmaktadır. Mikroişlemcinin çalıştıracağı komutlar bellek aşımı yöntemi ile ilgili bellek alanları üzerine yazılarak değiştirilir ve kötücül amaçlı kodun işleme alınması sağlanır. Bu açıklığın kullanılmasını engellemek için kullanılmakta olan yazılımların güncel sürümleri yüklenmeli, güvenlik yamaları düzenli olarak yapılmalı ve girdi kabul eden yazılımların girdi uygunluk kontrolü (veri tipi, veri boyutu vb.) yapması sağlanmalıdır.
Günümüz işletim sistemlerinin bellek zafiyetlerine karşı kullandığı koruyucu yöntemlerden birisi “Adres Alanı Düzen Rassallaştırma (Address Space LayoutRandomization-ASLR)”dır. Bu teknikte saldırganların belirledikleri bellek alanlarına geçiş yapmalarını engellemek amacıyla programın adres alanında bulunan önemli konumları (yığın, öbek, program kütüphaneleri vb.) program her çalıştırıldığında rastgele yer değiştirir. Böylece saldırganın bellek içindeki belirli bir alanı hedef alması ile yığının nerede başlayıp bittiğini bulması zorlaşır. Saldırgan yanlış bir bellek alanı üzerinden kod çalıştırmaya çalıştığında ise program hata verip sonlanır ve böylece sibel saldırı da başarısız bir şekilde sonuçlanacaktır. Veri Yürütme Engellemesi (Data Execution Prevention-DEP), programların sistem belleğini güvenli bir şekilde kullanmasını sağlamak için programları izleyerek güvenlik sağlanmasına yardımcı olur. Eğer bir program, kodu bellekten hatalı bir şekilde çalıştırmayı (yürütme) denerse DEP programı kapatır. DEP, yazılımsal (işletim sistemi destekli) ve/veya donanımsal (Intel Execute Disable(XD) biti, AMD No Execute (NX) biti) olarak sağlanabilir. DEP tekniği MSWindows işletim sistemlerinde “Safe Structured Exception Handler (SafeSEH)”adıyla uygulanmaktadır.
“Return Oriented Programming (ROP)”, DEP, ASLR gibi korumaları atlatarak saldırganların istedikleri kodları çalıştırmasına olanak vere bir siber saldırı çeşidi dir. Saldırgan programda mevcut bir hatadan (bug) faydalanıp “call stack” adındaki veri yapısı üzerinde kontrolü ele geçirir. Bu veri yapısı programın alt rutinlerine ilişkin bilgileri içermektedir. Bu veri yapısı ele geçirildiğinde programın kontrol akışı da ele geçirilir ve saldırganın istediği özel olarak seçilmiş makine komutları belirli bir sırada çalıştırılır. Her komut bir “dönüş komutu (return)” ile sonlanmaktadır. Bu komutlar birbiri ile belirli bir sırada çalıştırıldığında saldırgan daha basit bellek saldırılarını engelleyen ASLR veDEP gibi mekanizmalar var olmasına rağmen istediği işlemlerin yapılmasını sağlamaktadır.
Microsoft Gelişmiş Risk Azaltma Deneyimi Aracı (Enhanced Mitigation Experience Toolkit) DEP, ASLR, Structured Exception Handler Overwrite Protection (SEHOP) gibi güvenlik mekanizmalarını kullanarak bilgisayarda çalışan programların saldırganlar tarafından ele geçirilmesini engellemekte kullanılan bir yazılım kitidir.
Veritabanı Güvenliği:
Kurumsal veri tabanları çeşitli gizlilik ve hassasiyet seviyesinde bilgi içermektedir.Veri tabanındaki verilerin yetkisiz olarak ele geçirilmesi ve/veya değiştirilmesi kurumun işleyişini bozacaktır. Ayrıca veri tabanları bilişim sistemlerinin diğer unsurlarına saldırmak amacıyla da kullanılabilmektedir. Bu sebeplerden ötürü veri tabanı güvenliği son derece önemli bir konudur. Kurumsal veri tabanlarına erişen taraf (kurum çalışanları, işbirliği içinde bulunulan diğer kurumlar vb.) sayısı arttıkça saldırı yüzeyi de genişlemektedir.
Veri tabanı sistemlerinde sıklıkla karşılaşılan açıklıkların başında varsayılan kullanıcı adı ve şifrelerin değiştirilmemesi, kolaylıkla tahmine edilebilen şifreler kullanılması, yanlış konfigürasyon, yamaların uygulanmaması ve aşırı yetkilendirme gelmekte iken dışarıdan gelebilecek tehditler arasında da SQL Enjeksiyonu ve sosyal mühendislik teknikleri sayılabilir. Günümüzde sıklıkla kullanılan Oracle, MSSQL, MySQL, PostgreSQL, Sybase, DB2 ilişkisel veri tabanı yönetim sistemlerinin bu zafiyetleri taşıdığı görülmektedir. Oracle için “scott/tiger,system/manager, sys/change_on_install ve dbsnmp/dbsnmp”; MSSQL için “SA/boş”bilinen varsayılan kullanıcı adı/şifre ikilileridir. Şifre kırma girişimlerine karşı tedbir olarak belirli bir sayıda denemeden sonra hesaplar kilitlenmeli veveri tabanı sistemine yapılan girişler sürekli olarak gözlemlenmelidir. Veritabanı yönetim sistemlerine ilişkin yamaların eksik olması durumunda saldırganlar çeşitli açıklıkları kullanarak yetki yükseltme, SQL sorgularının engellenmesi (servis dışı bırakma saldırısı benzeri), yetkisiz kullanıcıların uygulamalara izin verilenler dışında işlevler çalıştırtması (bellek taşması gibi) gibi kötücül faaliyetler gerçekleştirebilmektedir. Yanlış konfigürasyona bağlı olarak veri tabanları zafiyet içerir duruma gelmektedir.
Veri tabanı güvenliğinde en başta düzgün yapılandırılmış güvenli ayarlar ile kullanmaya başlamak, güvenlik yamalarının düzenli olarak yüklenmesi, kullanıcı haklarının sürekli denetim altında tutulması ve gereksiz yetkilendirmelerin iptal edilmesi, açıklık tarama araçları ile zafiyet tarama yapılması, veri tabanında gerçekleşen işlemlerin takip edilmesi, verilerin gizlilik ve hassasiyet seviyelerine uygun olarak şifrelenerek depolanması gibi hususlar öne çıkmaktadır. Bunların yanı sıra veri tabanlarını güvenlik duvarı ve diğer erişim denetimi yapan güvenlik mekanizmalarının arkasında konumlandırmak, güçlü şifreleri zorunlu kılmak, gereksiz varsayılan hesapları tamamen kaldırmak, ağo rtamından veri tabanına erişimi kısıtlamak/kontrol etmek ile veri tabanı trafiğini şifrelemek (SSL) gibi önlemler de alınmalıdır.
Alan Adı Sistemi Sunucuları Güvenliği:
Alan Adı Sistemi (Domain Name System), internet alanını bölümlemeye, bölümleri adlandırmaya ve bölümler arası iletişimi düzenlemeye yarayan sistemdir.İnternet ağında birimlerin kendilerine ait bir IP adresi vardır. Ancak kullanım kolaylığından ötürü IP adresleri“www.siteadı.com” formatında kullanılır. DNS sunucuları da internet adreslerinin IP adresi karşılıklarını tutar. DNS sistemi yapısal olarak isim sunucuları ile çözümleyicilerden oluşmaktadır. İsim sunucuları birim IP adreslerine karşılık gelen IP adres bilgilerini tutar. Çözümleyiciler ise DNS istemcileri olarak çalışır ve bu sistemlerde DNS sunucularının adresleri bulunur. Bir DNS istemci bir birimin adına karşılık gelen IP adresini bulmak istediğinde isim sunucuya başvurur, isim sunucu bu isme karşılık gelen adresi eğer varsa kendi veri tabanından, yoksa hiyerarşi içindeki diğer isim sunuculardan öğrenerek istemciye gönderir.
Tünelleme Nedir ?
“Tünelleme”,genel olarak bir ağ protokolünü başka bir ağ protokolü içinde saklayarak kullanmak olarak özetlenebilir. 2 yünlü tüm protokollerin tünelleme yapabileceği göz önünde bulundurulduğunda DNS’in de bu duruma açık olduğu anlaşılmaktadır. DNS tünellemede diğer program veya protokollere ait veriler DNS sorgu ve cevaplarında saklanarak aktarılır. Bu sayede bir kurumun DNS sunucuları veri kaçırma ve/veya kontrol komutları aktarma amacıyla kullanılabilmektedir. Bu işlem için zararlı yazılım vb. yöntemler ile ele geçirilen bir uç sistemin internete bağlı olmasına dahi gerek yoktur. Tek ihtiyaç duyulan unsur bu bilgisayarın internete çıkış olan bir iç DNS sunucuya erişebiliyor olmasıdır. Bunun yanı sıra saldırganın bir alan adı ile bu alanadı için yetkili isim sunucu görevi yapacak bir sunucuya sahip olması da gerekmektedir. Böylece saldırının sunucu tarafı tünellemesi yapılabilecektir.DNS sunucularının genelde daha az kontrol ve analiz edilmesi çoğu durumda saldırganların fark edilmeden faaliyetlerini gerçekleştirmelerine olanak sağlamaktadır.
Diğer bir siber saldırı çeşitlerinden birisi de “DNS Rebinding” yöntemidir. Bu saldırıda kötücül kod barındıran internet sitesi ziyaretçilerin bilgisayarında bir istemci-tarafı betik çalıştırır ve bu betik ziyaretçi bilgisayarın bulunduğu ağdaki diğer bilgisayarlara saldırır. Normal şartlarda “aynı kaynak politikası” bu tarz bir saldırıyı engelleyecektir. Çünkü bu politika gereği sadece aynı sitede yer alan sayfalarda çalışan betiklerin sayfaların “Doküman Nesne Modeli (Document ObjectModel-DOM)”ne erişmeye izin verirken farklı sitelerdeki DOM’lara erişmeye izin vermez. Diğer bir değişle istemci-tarafı betikler sadece betikleri servis eden aynı uç sistemdeki içeriğe erişebilir. Bu politikanın uygulanmasında alan adlarının kıyaslanması temel bir işlevdir. DNS Rebinding yöntemi ise DNS sistemini kötüye kullanarak korumayı aşar ve böylece özel bir ağda çalışan bilgisayar daki tarayıcı programı bu ağdaki özel IP’lere erişip sonuçları saldırgana geri gönderir. Karşı önlem olarak tarayıcılarda “DNS Pinning” tekniği kullanılabilir. Bu teknikte IP adresleri DNS çözümlemeden gelen ilk değer ile ilişkilendirilir ve kilitlenir. DNS cevaplarından özel IP adresleri filtrelenebilir. Sistem yöneticileri tarafından kurumsal isim sunucularını harici isimlerin iç IP adreslerine çözümleme yapmayacak şekilde yapılandırabilir.
“DNS CacheSnooping” saldırısında bir DNS sunucusunun belleğinde belirli DNS kayıtları aranır ve böylece bu DNS sunucusunun sahibi olan kurumun belirli siteleri ziyaret edip etmediği bilgisi elde edilir. Bu sayede kurum çalışanlarının hangi sitelere ne sıklıkla eriştiği vb. istatistiki bilgiler toplanabilir. Bu bilgiler daha sonra gerçekleştirilebilecek bir saldırıda kurum çalışanlarını içine kötücül yazılım yerleştirilmiş özel olarak hazırlanmış sitelere yönlendirmek amacıyla kullanılabilir. Bu teknik “DNS Recursion” özelliğinin sadece kurumsal IP adresi aralığında çözümleme yapacak şekilde ayarlayarak veya tamamen kullanım dışı bırakılarak engellenebilir.
tenretni“DNS Zehirleme (DNS Spoofing)” siber saldırı yöntemi DNS alan adı sunucusunun önbellek veri tabanının içerdiği veri sayesinde gerçekleşen bir saldırıdır. Normal şartlarda internete bağlı bir bilgisayar bir servis sağlayıcı veya kurum tarafından sağlanmış birDNS sunucusu kullanır. DNS sunucuları önceden elde edilen sorgu sonuçlarını önbellekler. DNS sunucusundaki zehirleme saldırıları, daha önceden ihlal edilmiş bir sunucudan veya dolaylı olarak onun daha alt seviyesindeki sunuculardan kullanıcılara yönlendirilir. Saldırgan DNS yazılımındaki açıklığı kullanarak, eğer sunucu talebin güvenilir kaynaktan geldiğine emin olmak için doğrulama (DNSSEC) da yapmıyorsa, doğru olmayan girdilerin yerel olarak önbelleklenip kullanıcılara sunulmasını sağlayabilir. Böylece kullanıcılar gitmek istedikleri internet sitesi yerine saldırgan tarafından seçilmiş/hazırlanmış siteye yönlendirilebilir. Bu site üzerinden de ziyaretçilerin bilgisayarlarına zararlı yazılım yüklenebilmektedir. Bu tehlikeye karşı Alan Adı Sistem Güvenliği Uzantısı (DNSSEC), kullanıcıların sahte internet sitelerine ve/veya gitmek istemedikleri adreslere yönlendirmelerine karşı yardımcı olmak amacıyla geliştirilmiştir. DNSSEC, DNS istemcilerine kaynak doğrulama ve veri bütünlüğü sağlar ancak gizlilik ve erişim garantisi sağlayamaz. Daha detaylı bilgi için tıklayınız…