16 Aralık 2012 Pazar

Hedefi Olmadığınız Saldırılardan Ders Çıkarmak,Faydalanmak - Nass oluyor da oluyor?

2012 senesi Amerikan bankaları için zor geçti. Finans sektöründeyseniz hele,konuyla ilgili haberleri mutlaka takip etmişsinizdir. Konuya uzak olanlar için kısaca bahsetmek gerekirse ve saldırının arkasındaki grubun iddia ettiğine göre gerekçe Youtube'un İslam karşıtı filmin görüntülerini yayınlamaya devam etmesi.Saldırının arkasında başka nedenler de vardır mutlaka,günümüzde bu tip saldırıların sadece ideolojik ya da manevi değerler nedeniyle yapılmadığını artık hepimiz biliyoruz. Son olarak 2. fazı yürütülen saldırıların ilk fazı güvenlik uzmanlarınca "ilkel" olarak tanımlansa da oldukça etkili oldu ve ses getirdi. Sinyalleri saldırıdan birkaç gün önce pastebin'den verilen saldırının zaman zaman 60Gbps şiddetine çıktığı söylenen saldırının ikinci fazı bazı otoritelere göre başarısız oldu. Hedefteki bazı bankalar çareyi ülke bazında erişimi kısıtlamakta buldu (Resim 1).Özellikle hedefteki bankaların bazıları bu saldırılardan çok şey öğrendi.

Resim 1
http://host-tracker.com/

Ülkemizde de benzer planlı,organize saldırı ve bilgisayar olaylarını son birkaç senedir sıkça görür ve duyar olduk.Siz de "vah vah,tüh tüh yazık olmuş" demek yerine,hedefi olmadığınız bu saldırılardan dersler çıkarabilirsiniz,çıkarmalısınız.

İşe sosyal paylaşım ağlarını takip ederek başlayabilirsiniz. Aktivist gruplar eylemlerine dikkat çekmek,katılımcı  ve gönüllü bulmak gibi nedenlerle twitter,facebook,pastebin gibi sosyal paylaşım ağlarında yapacakları eylemleri hedefleriyle birlikte önceden duyuruyorlar,duyurmak biraz hafif kalır, bangır bangır bağarıyorlar. Hedefte olmasanız dahi bu bilgiyi kendi lehinize kullanmak için belirtilen tarih ve saatlerde kurum ağınızı gözleyin. Saldırı zaman aralığında özellikle dış bağlantınızın bant genişliğinin kullanım oranını gözlemleyin. Kurumunuzdaki istemci ya da sunucular saldırıya katkı sağlıyor mu, bir başka deyişle kurumunuzda "zombi" ya da "bot" tabir edilen bilgisayarlar mevcut mu öğrenebilirsiniz. Ağ iletişimindeki anormallikleri,zararlı yazılım veya zombi bilgisayarların komuta kontrol ( C&C) merkezleri ile iletişimini tespit etmede kullanılan pahalı çözümleri alacak parası olmayanlar için güzel ve kaçırılmayacak fırsatlardan. Belki siz farkında olmayabilirsiniz ama hedefteki kurum ya da firma, ağınızdaki bir veya birkaç zombi bilgisayarın neden olduğu saldırı trafiği nedeniyle kurumunuzu ( hemen her kurum NAT için bir veya nadiren birkaç IP adresi kullanılır) kara listeye eklemiş olabilir. Bu konuya dikkat etmezseniz "x kurumuna neden erişemiyoruz" sorusunun cevabını bulmanız birkaç saatinizi alabilir.

Genellikle saldırı sonrasında kullanılan yöntemler, komuta-kontrol merkezi olarak kullanılan alan adları ve sunucular gibi daha detaylı ayrıntılar su yüzüne çıkar. Firewall'larınızda ya da proxy sunucularınızda geriye dönük iletişim kayıtlarını inceleme fırsatınız varsa özellikle komuta-kontrol merkezi olarak belirtilen alan adları ya da sunucularla iletişim olup olmadığını kontrol edin.

Hedefle aranızda web servis kullanımı gibi bir işbirliği varsa saldırının ucunun size de dokunabileceğini unutmayın. Kamu kurumları ve özel şirketler web servis gibi yapısal olarak çok fazla güvenlik mekanizması bulundurmayan hizmetleri IP adres kısıtlamasıyla güvenli hale getirmeye çalışır. Çok azı bu hizmetlere erişim için port kısıtlaması getirir. Hedefle aranızda bu tip servisler ya da iletişim ağları bulunuyorsa kurumunuzdaki iletişim noktalarını saldırı süresince ve sonrasında gözlemleyin.

Üst yönetimle iletişime geçebildiğiniz her fırsatta bu saldırıları,sebepleri ve sonuçlarıyla sunumlarınızda, raporlarınızda kullanmaya çalışın. "Benim IPS'im var bana bişey olmaz (*) ,ben süperim,her türlü saldırıyı engelleyebilirim" diyerek kendinizi ve yöneticilerinizi kandırmaktansa biraz da olsa korku salınması ve her an tetikte olunması taraftarıyım. Pahalı ürün ya da çözümler almanız da kolaylaşabilir :).

Hedef kim ya da ne olursa olsun,yapılan saldırılar hakkında detaylı bilgi sahibi olmaya çalışın. Mümkünse saldırı sonrasında hedefle iletişime geçin, saldırının nasıl bertaraf edildiğini öğrenmeye çalışın, Amerika'yı ikinci kez keşfetmeye gerek yok.Kullanılan araçları ya da kodları edinin. Artık çoğu zararlı kod çalıştırıldığı ortamın sanal olup olmadığını kontrol ediyor ona göre faaliyet gösteriyor ama siz yine de sanal ve/veya izole bir ortamda kullanın. Bu araçların kullanımını nasıl tespit edebileceğinizi,nasıl engelleyebileceğinizi öğrenmeye çalışın ve hazırlıklı olun. Saldırı için kullanılacak araçların kurum bilgisayarlarında çalıştırılmalarını grup politikaları ya da uç kullanıcı güvenlik (endpoint security) çözümleri ile engelleyin . İmkanınız varsa araçları sunduğunuz hizmetler ve/veya sunucularınız üzerinde deneyin, güvenlik çözümlerinizi test edin. Benzer şekilde faydalanılan zaafiyetlerin kurumunuzda var olup olmadığını araştırın.En önemlisi de süreçlerinizi, politikalarınızı (iş sürekliliği,güvenlik vb.),prosedür ve talimatlarınızı bulgularınız doğrultusunda ve gerekiyorsa iyileştirin.Bir sonraki hedef siz olabilirsiniz,hazırlıklı olun.

Her zaman belirttiğim gibi,tecrübelerinizi yorum olarak ekleyebilirsiniz.

İlgili Yazılarım
(*) Ağ ve Sunucu Güvenliğinde Yapılan Yanlışlar & Hurafeler
Sosyal Mühendislik'te Olta İğnesini Kendine Batırabilmek
HTTP DoS'a Karşı Javascript'le Mücadele - Nass oluyor da oluyor?
Sızma Testi Nasıl Yapılmaz?
Low Orbit Ion Cannon ( LOIC ) ve Http Redirection Yanılsaması - Nass oluyor da oluyor?
BT Güvenlik Operasyon Merkezi ( IT Security Operations Center - SOC ) - Nass oluyor da oluyor?
Bilgisayar Olaylarına Müdahale - Bilgisayar Olayı nedir? Etkin müdahalenin önemi ve gereği

Hiç yorum yok:

Yorum Gönder