BÖLÜM-7

SECURITY OPERATIONS
GÜVENLİK OPERASYONLARI
WINDOWS VE UNIX SİSTEMLER İÇİN SİSTEM
YÖNETİCİ HESAPLARI
Hem Windows’da hem de Unix (ve Linux)’da sistem yönetici hesaplarının
isimlerinin değil ID’lerinin önemi vardır.
Windows
• Lokal Windows kullanıcıları ve parola hash’leri “%WinDir
%\system32\config\sam” dosyasında, AD kullanıcıları domain controller
sunucusu üzerindeki “%SystemRoot%\NTDS\Ntds.dit” dosyasında tutulur.
Windows parola hash’leri LM ve NTLM formatlarında saklanır.
• Kullanıcı ID’leri SID (Security Identifier) formatında tutulur.
• Administrator hesabının relative identifier’ı (RID) 500’dür [S-1-5-21-
domainID-500]
Unix / Linux
• Kullanıcı hesapları /etc/passwd dosyasında tutulur, parola hash’leri ise
/etc/shadow dosyasında tutulur. Sistem üzerinde kullanılan hash algoritması
hash bilgisinin ilk bölümünde belirtilir.
• User ID’si “0” olan kullanıcılar “root” haklarına sahiptir.
WINDOWS VE UNIX SİSTEMLER İÇİN SİSTEM
YÖNETİCİ HESAPLARI
Hesap Verebilirlik ve Least Privilege İlkesinin Uygulanması
Hem Windows hem de Unix (ve Linux) sunucularda doğrudan sistem
yönetici hesaplarının kullanımı hesap verebilirliği zayıflatır. Bunun
için aşağıdaki yöntemler kullanılmalıdır:
• Windows için sistem yöneticilerinin kendi hesapları olmalı, ancak
bunlar Domain Administrators grubuna üye yapılmalıdır. Böylece
yöneticilerden hangisinin hangi aktiviteleri gerçekleştirdiği iz
kayıtlarında ayrıştırılabilir.
• Unix / Linux için “sudo” altyapısı kullanılmalıdır. Normal sistem
kullanıcısı olan sistem yöneticilerine sudo hakkı verilerek
gerektiğinde “root” yetkileri ile işlem yapma imkanı tanınmış
olur, ancak bu işlemler loglanacağından kimin bu yetkileri
kullandığı ayrıştırılabilecektir.
GÜVENLİK OPERASYONU AÇISINDAN ÖNEMLİ
ERİŞİM KONTROL PROSEDÜRLERİ
Kimlik ve erişim yönetim bölümünde belirtilen “least privileges”, “need to
know” ve “seperation of duties and responsibilities” kavramlarının hayata
geçirilmesine ek olarak hassas alanlarda aşağıdaki kontroller
uygulanmalıdır:
• Two-Person Control: Kritik bir işlemin yapılması için en az 2 kişinin
bulunması kontrolüdür. Pratikte hassas sistem yönetici parolalarının
bölünerek (Split Knowledge) iki kişiye paylaştırılmasını örnek verebiliriz.
• Job Rotation: Hem suistimal ihtimalinin azaltılması hem de personelin
cross-training’i için kullanılabilir.
• Mandatory Vacations: Suistimal durumlarının ortaya çıkma ihtimalini
artıran bir kontroldür. Suistimal durumları tatildeki personelin görevini
üstlenen personel tarafından farkedilebilir.
• Monitor Special Privileges: Domain kullanıcısı ekleme, firewall kuralı
ekleme / değiştirme gibi hassas işlemler izlenmelidir.
BİLGİ GÜVENLİĞİ VE BT HİZMET YÖNETİMİ
İLİŞKİSİ
BT süreçlerinin hem hizmet kalitesini hem de güvenlik ihtiyaçlarını
dikkate alarak uygulanmadığı bir ortamda bilgi güvenliğini sağlamak
çok zordur. BT hizmet yönetimi ile bilgi güvenliği yönetiminin ortak
zeminde buluştuğu süreç ve alanlara aşağıdakileri örnek verebiliriz:
• Olay Yönetimi (Incident Management)
• Değişiklik Yönetimi (Change Management)
• Konfigürasyon Yönetimi (Configuration Management)
• Varlık Envanter Yönetimi (Inventory Management –
Configuration Management Database [CMDB])
BİLGİ GÜVENLİĞİ VE BT HİZMET YÖNETİMİ
İLİŞKİSİ
ITIL v3 BT Hizmet Yönetim Süreçleri ve İlişkileri
SERVICE LEVEL AGREEMENTS (SLA)
Hizmet seviye anlaşmaları üçüncü taraflardan veya kurum içinden
alınan hizmetlerin beklenen seviyelerinin belirtildiği belgelerdir.
Operating Level Agreements (OLA): ITIL tabanlı bir BT Hizmet
Yönetim sistemi içinde hizmet yöneticisi müşterileriyle
(kullanıcılarla) bir SLA imzalar. Buna mukabil BT organizasyonel
birimleri ile Operating Level Agreement – OLA (ITIL ve CobiT
çerçevesinde de belirtildiği ismi ile Underpinning Contract)’lar
imzalar.
Bu anlaşmalarda alınan hizmete ilişkin genel güvenlik
gereksinimlerinin yanı sıra güvenlik olaylarına müdahale ve bilgi
paylaşımı ile ilgili esaslar da belirtilmelidir.
VARLIK ENVANTER YÖNETİMİ
Varlık envanter yönetimi varlıkların verimli kullanımı kadar varlıklar için
aşağıdaki kontrollerin uygulanmasını temin edebilmek için de önemlidir:
• Varlıkların fiziksel güvenliğinin sağlanması
• Güvenli kurulum standartlarının, güvenli yazılım ve sistem geliştirme
süreçlerinin uygulanması
• Yama yönetimi
• Loglama ve izleme
• Hassas verilerin kriptolanması
• Varlık imha süreci
• Mobil cihazlar için takip ve kayıp / çalınma halinde uzaktan veri
imhası (wipe etme)
• Lisans sözleşmelerine ve yasalara uyum
• v.d.
VARLIK ENVANTER YÖNETİMİ
Varlık envanterlerini oluşturabilecek bazı kategoriler aşağıdaki gibidir:
• Donanım envanteri
• Sunucu (fiziksel, sanal, bulut tabanlı)
• PC / laptop
• Akıllı cihazlar
• Medya envanteri
• Teyp
• CD / DVD
• Harici disk
• Flash bellek
• Yazılım envanteri
• Yazılım lisansları
• Uygulama envanteri (in-house, bulut tabanlı, web, mobil, web servisi, v.d.)
YAZILIM LİSANS TÜRLERİ
• Proprietary License: Çoğu yazılım lisansı bu kategoridedir. Yazılımın
bir veya daha fazla kopyasının kullanım hakkını verir ancak yazılım
sahiplik hakkı orijinal üreticisindedir.
• GNU General Public License: Açık kaynak kodlu yazılımlarla
kullanılan bir lisans türünde kullanıcılar yazılım üzerinde istedikleri
değişiklikleri yapabilirler ancak değişikliğe uğrattıkları yazılım
versiyonları da GNU General Public License’ı ile dağıtılmalıdır.
• Public Domain: Copyright ile korunmayan yazılım demektir, yani
yazılımın orijinal sahibinin hiç bir hakkı yoktur, kullanıcı yazılımı
istediği gibi değiştirmek ve dağıtmakta özgürdür. Yasal olarak en az
korunan lisans türüdür.
• Freeware: Kullanıcı yazılımı ücretsiz olarak kullanabilir, ancak
copyright hakkı yine orijinal geliştiricisine aittir. Freeware yazılımlar
orijinal üreticisinden izin alınmadan dağıtılamazlar.
MEDYA (STORAGE MEDIA) YAŞAM
DÖNGÜSÜNÜN YÖNETİMİ
• Medya bazında MTTF (Mean Time To Failure) sürelerine göre
izleme yapılmalı, envanter yaşlandırma uygulanmalıdır. Aksi
takdirde kritik veri kayıpları (hizmet kesintisi anlamında)
yaşanabilir.
• Ortamın özelliklerine göre (teyp, SSD, v.b.) kullanım sayı ve süre
sınırları belirlenmelidir.
• İmha edilen ortamlarla ilgili kayıtlar ve kanıtlar saklanmalıdır.
KURULUM VE KONFİGÜRASYON YÖNETİMİ
Security Baselining
Sunucular görev alanlarına göre özelleştirilmeden önce güvenli bir duruma
gelecek biçimde yapılandırılmalıdırlar (security hardening). Bunun için
kullanılabilecek araç ve yöntemlere aşağıdakiler örnek verilebilir:
• Checklist’ler: Baseline’ların oluşturulması için sistem bazında
checklist’ler kullanılmalıdır. Bu checklist’ler ilgi grupları ve üreticiler
tarafından oluşturulan kaynaklardan oluşturulabilir.
• Windows Group Policy: Windows domain yapısı içinde yönetilen
sistemler için mevcut olan Group Policy konfigürasyonu ve bunu bağlı
sunuculara uygulama imkanı konfigürasyon sıkılaştırma amacıyla
kullanılabilir.
• Sıkılaştırma Script’leri: Manuel olarak konfigürasyon yapmak hem
verimsiz hem de hataya meyilli sonuçlar üreteceğinden hazırlanan
sıkılaştırma scriptleri kullanılabilir.
KURULUM VE KONFİGÜRASYON YÖNETİMİ
Security Baselining (devamı)
• İmajlar: Çok sayıda üretilen sistemler için (ör: PC / laptop
bilgisayar işletim sistemleri) güvenli bir imaj oluşturularak yeni
sistemler bu imajdan çoğaltılabilir. Böylece baselining için ek bir
operasyon maliyeti oluşmaz.
KURULUM VE KONFİGÜRASYON YÖNETİMİ
System Hardening (Sistem Sıkılaştırma)
Temel sistem sıkılaştırma alanları aşağıdaki gibidir:
• İşletim sistemi ve üzerindeki uygulamaların güncel yamalarının
uygulanması
• Gereksiz kullanıcı hesapları ve servislerin kaldırılması (öntanımlı
ve gerekli kullanıcı parolalarının güçlü biçimde tanımlanması)
• Log ayarlarının yapılması
• Parola politikasının kurum politikasına uygun hale getirilmesi
• Anti-malware, DLP, disk kriptolama v.d. güvenlik araçlarının
kurulması
DEĞİŞİKLİK YÖNETİMİ (CHANGE
MANAGEMENT)
Değişiklik yönetimindeki zayıflık pek çok hizmet kesintisi, veri
bütünlüğü kaybı ve güvenlik zafiyetinin oluşmasının nedeni
olduğundan bilgi güvenliği yönetimi açısından da son derece
önemlidir. Değişiklik yönetimi sürecinde güvenlik açısından önemli
olan kontrol adımlarına şunlar örnek verilebilir:
• Etki Analizi: Yapılacak değişikliğin etkilediği ilgili sistem ve
altyapıların yanı sıra güvenlik etki analizi de yapılmalıdır.
• Otorizasyon Onayı: ITIL tabiriyle Change Advisory Board (CAB) ve
Change Manager tarafından değişiklik taleplerine onay
verilmelidir.
• Planlama ve Bilgilendirme: Değişikliğin etkileyeceği üçüncü
taraflar hem etki analizinde dikkate alınmalı hem de
bilgilendirilmelidir.
DEĞİŞİKLİK YÖNETİMİ (CHANGE
MANAGEMENT)
• Geri Dönüş Planı: Değişiklik öncesi yedeklerin alınması ve bir
hata durumunda orijinal duruma dönüş için gerekli hazırlıklar
yapılmalıdır.
• Denetlenebilirliğin Sağlanması İçin Kayıtların Tutulması: Acil
değişikliklerde resmi etki analizi ve onay süreçleri işletilmeyebilir,
ancak değişiklik sonrası normal değişiklikler gibi gerekli kayıtlar
denetlenebilirliği sağlamak için tutulmalıdır.
DEĞİŞİKLİK, KONFİGÜRASYON VE YAMA
YÖNETİMİNİN İLİŞKİSİ
Değişiklik yönetimi ve konfigürasyon yönetimi süreçleri arasındaki
bağlantı unutulmamalıdır. İyi bir CMDB altyapısı olmaması halinde
etki analizinin sağlıklı yapılması mümkün olmayacaktır.
Yama yönetiminin sağlıklı yapılabilmesi için de yine bakımı iyi
yapılan bir CMDB’ye ihtiyaç vardır.
Yamaların uygulaması da ciddi bir değişiklik operasyonu olduğu için
test edilmeli, yaygınlaştırılmalı ve yamaların doğru uygulandığına
dair teyit alınmalıdır.
ITIL yaklaşımına göre CMDB’de yazılım versiyonlarının da saklanması
gereklidir. Bu bir hata durumunda geri dönüşü kolaylaştıracak bir
uygulama olduğu gibi hatanın analizini de mümkün kılabilir. Elbette
yazılım geliştirme ortamlarının kendi versiyonlama altyapıları da bu
amaçla kullanılabilir.
EXPLOIT YAŞAM DÖNGÜSÜ VE YAMA YÖNETİM
SÜRECİ
• Zero-Day Exploit: Uygulama / servis açıklığı bir blackhat veya güvenlik
araştırmacısı tarafından keşfedilir. Bu dönemde açıklıkla ilgili bilgi dar bir
kesimin elindedir.
• Üreticinin Zafiyeti Öğrenmesi: Exploit’in sızması veya etik biçimde üreticiye
zafiyet bildiriminin yapılması ile üretici zafiyeti öğrenir. Etik bildirim
durumunda veya üreticinin zafiyeti kendisinin tespit ettiği durumlarda zafiyet
halen dar bir grup tarafından bilinmektedir.
• Üreticinin Yamayı Yayınlaması: Bu noktada ürünü kullananlar için saatli
bomba çalışmaya başlamıştır. Çünkü çıkan yamayı tersine mühendislik yöntemi
ile inceleyen çok geniş bir blackhat topluluğu zafiyeti keşfedecektir. Öğrenilen
zafiyeti kötüye kullanacak savaş başlıkları zararlı yazılımlara bir iki günde
yüklenebilir.
• Kullanıcının Yamayı Yüklemesi: Kurumun sisteminin güvenliğini sağladığı
andır. Eğer çeşitli nedenlerle yama yükleme süresi uzun sürecekse kurum riski
azaltıcı network erişim kontrollerini, exploit’e karşı imza içeren IPS çözümlerini
yüklemelidir.
YAMA YÖNETİMİ (PATCH MANAGEMENT)
Yama Türleri
• Hotfix / Security Fix / Update: Tek bir veya az sayıdaki
fonksiyonel veya güvenlik açıklığına yönelik yayınlanmış yamalara
verilen isimlerdir.
• Service Pack: Çok sayıda yama veya işletim sistemi için majör bir
güncelleme (versiyon upgrade’i gibi) içeren paketlerdir.
OLAY YÖNETİMİ (INCIDENT MANAGEMENT)
Security Incident
• Incident Nedir: Bilgi güvenliği kapsamında incident’ın manası başarılı
olmuş ya da olmamış, kasıtlı ya da kasıtsız olarak bilgi güvenliğini tehdit
eden olaylardır.
• Incident ve Event Arasındaki Fark: Türkçe’de her ikisi de olay olarak
geçmektedir. Event’i olay müdahalesi anlamında henüz incident olup
olmadığı bilinmeyen, yani kurumun bilgi güvenliğini tehdit edici bir
niteliği olup olmadığı bilinmeyen olaylar / aktiviteler veya durumlar olarak
tanımlayabiliriz.
• Intrusion Nedir: Bir incident sırasında veya devamında sisteme / altyapıya
bir sızma olmuşsa bu olaya intrusion denir.
• Karşı Saldırı (Hack Back): Güvenlik saldırılarında karşı saldırı genellikle
yasal değildir. Ayrıca saldırının gerçekleştirildiği platform bir başka
kurbana ait olabilir. DDOS saldırılarında IP spoofing yapılabileceğinden
saldırının kaynağını doğru belirlemek de mümkün olmayabilir.
OLAY YÖNETİMİ (INCIDENT MANAGEMENT)
Incident’lara Örnekler
• Scanning: ICMP taramaları, port taramaları veya bir web
uygulamasına yönelik spider etme, injection denemeleri daha
sonraki etkili saldırı adımlarının öncüleridir.
• Compromises: Sisteme yetkisiz erişim durumlarıdır. Bu parola
kırarak, bir açıklık kullanılarak veya geçerli bir kullanıcının parolası
çalınarak gerçekleştirilebilir.
• Malicious Code: Zararlı yazılım aktivitesidir.
• Denial of Service: Hizmet kesinti saldırılarıdır.
OLAY YÖNETİMİ (INCIDENT MANAGEMENT)
Incident Response Adımları (CISSP Exam Guide’da belirtildiği
haliyle)
• Detection: IDS/IPS, Anti-Malware, log kayıtları, son kullanıcıların
gözlemlediği kesinti ve diğer sıradışı durumlar bir saldırının
habercisi olarak kullanılabilir.
• Response: Belirlenmiş ekiplerce, forensic usullerine uygun
biçimde olay incelenmeli ve kanıtlar toplanmalıdır.
• Mitigation: Saldırının etki alanının kısıtlanma adımıdır. Örneğin
zararlı yazılımın bulaştığı bir bilgisayarın ağ bağlantısının
koparılması gibi.
• Reporting: Olay müdahale prosedürüne uygun olarak kurum içi
ve gereken durumlarda ilgili otoritelere raporlama yapılmalıdır.
OLAY YÖNETİMİ (INCIDENT MANAGEMENT)
Incident Response Adımları (CISSP Exam Guide’da belirtildiği
haliyle) (devamı)
• Recovery: Forensic kanıtları toplandıktan sonra etkilenen
sistemlerin temizlenmiş, zafiyeti giderilmiş ve güçlendirilmiş
biçimde yeniden uygulamaya alınması aşamasıdır.
• Remediation: Kök neden analizi (root cause analysis) yapılarak
olayın tekrar etmemesi için gerekli önlemler alınmalıdır.
• Lessons Learned (Post Mortem Analysis): Olay süreci yeniden
incelendiğinde hazırlık, olay müdahale v.d. alanlarda
iyileştirilmesi gereken konular belirlenmeli ve iyileştirme için
adımlar atılmalıdır.
OLAY YÖNETİMİ (INCIDENT MANAGEMENT)
Incident Response Adımları (SP 800-61 Computer Security Incident
Handling Guide)
Diğer yaklaşımlar da benzer içeriklerdeki aşamaları tanımlamışlardır.
NIST’in dokümanında hazırlıkla ilgili bir başlık da ayrıca belirtilmiştir.
• Preparation
• Detection and Analysis
• Containment, Eradication and Recovery
• Post-Incident Activity
OLAY YÖNETİMİ (INCIDENT MANAGEMENT)
Olay Müdahale Ekipleri
Olay müdahale ekipleri Computer Emergency Response Team (CERT),
Computer Incident Response Team (CIRT) veya Computer Security
Incident Response Team (CSIRT) adları ile anılabilmektedir.
Olay müdahale ekibi üyeleri aşağıdaki profillerden olabilir:
• Information Security
• IT
• Physical/ corporate security
• Internal audit
• Legal department
• Human resources
• Communications (halkla ilişkiler)
• Executive management
MALWARE TÜRLERİ
Virüs
Virüs savunma tekniklerinin mucidi olan ve virüsü tanımlayan Fred
Cohen’e göre virüsün tanımı şu şekildedir: “A program that modifies
other programs to contain a possibly altered version of itself.”
Virüs Türleri
• File Infectors: Kendini çalıştırılabilir kodlara ekler (prependers,
appenders, overwriters)
• Boot Sector Infectors (MBR Virüsleri): Master boot record’da
değişiklik yaparak kendini buraya kopyalar ve işi bittiğinde boot
kodunu çağırır. Böylece sistem boot etmeden çalışmış olur.
• System Infectors: İşletim sistemi başlatılmadan veya başlatılırken
çağrılan sistem dosyalarına bulaşırlar. Örneğin MSDOS
makinelerdeki COMMAND.COM dosyası veya boot sector gibi.
MALWARE TÜRLERİ
Virüs Türleri (devamı)
• Companion Virus: Hedeflediği dosyanın kendisine bulaşmaz.
Ancak çalışma sırasındaki öncelik kurallarını kullanır. Örneğin
MSDOS işletim sisteminde bir dosya ismini çalıştırmak için
çağırdığınızda .COM, .EXE, .BAT sırasıyla dosyalar aranır.
Hedeflenen bir .EXE dosyanın adında zararlı bir kodu aynı dizin
altında .COM uzantılı olarak oluşturursanız EXE yerine sizin
kodunuz çalışır.
• E-Mail Virus: Yayılmak için ele geçirdiği bilgisayardaki e-posta
adreslerini ve hesabını kullanır.
• Multipartite: Yayılmak için birden fazla yöntem kullanan
zararlılardır. Örneğin hem çalıştırılabilir dosyaları hem de boot
sector’ü kullanmak gibi.
MALWARE TÜRLERİ
Virüs Türleri (devamı)
• Macro Virus: Macro barındıran ofis dokümanları gibi dokümanları
yayılma vektörü olarak kullanır.
• Script Virus: Stand alone çalışabilen script dosyalarıdır.
• Polymorphic Virus: İmza temelli anti-virüs’leri atlatabilmek için
her bulaştığı sistem veya dosyada kendi kodunu değişikliğe
uğratan (encoding yöntemi ile) virüs türüdür.
MALWARE TÜRLERİ
Diğer Malware Türleri
• Worms: Kendileri dağılma kabiliyetine sahiptir.
• Hoaxes: Sosyal mühendislik yöntemlerini kullanarak spam yaratırlar.
Bazı durumlarda normal dosyaların silinerek sisteme zarar verilmesi
veya temizleyici adı altında zararlı yazılım bulaştırmak için
kullanılmaktadırlar.
• Trojans: Sosyal mühendislik yöntemleri ile ve genellikle Remote
Access Trojan (RAT) özellikli dosyaların yüklenmesi için kullanılırlar.
• DDOS Zombies: Kendi başına ayrı bir tür denemez, DDOS saldırıları
veya başka bir amaç için bağlı bulunduğu yöneticisinden emir bekler.
Zombi bilgisayarlar Botnet olarak da adlandırılır.
• Logic Bombs: Genellikle yazılım geliştirme safhasında yazılımcı
tarafından eklenen ve beklenen koşullar oluştuğunda amacını
gerçekleştirecek kod parçalarıdır.
MALWARE TÜRLERİ
Diğer Malware Türleri (devamı)
• Spyware and Adware: Kullanıcı davranışlarını gözlemlemek, bunları
sızdırmak ve kullanıcıya istem dışı reklam görüntülemek için kullanılan
uygulamalardır. Genellikle shareware uygulamaların içinde yayılırlar.
• Pranks: Eşek şakası için geliştirilen yazılımlar kullanıcıyı korkutarak
sosyal mühendislik yöntemi ile para sızdırmak için de kullanılır. Örneğin
bilgisayarda enfekte olmuş dosyaları bulduğunu iddia eden bir yazılım
sahte bir antivirüs satmaya çalışabilir.
• Rootkits: İşletim sistemi kodlarına kernel veya user kod seviyesinde
müdahale ederek varlığını gizleyen zararlı yazılım türüdür. Örneğin dir
komutu ile bir dizin altındaki dosyalar listelendiğinde zararlı yazılıma ait
dosyalar görüntülenmez.
MALWARE TÜRLERİ
Drive by Downloads
Drive by download saldırılarında kurban sadece bir web sitesini
ziyaret ettiğinde bilgisayarına zararlı yazılım indirilmekte ve
çalıştırılmaktadır. Bu saldırı şu şekilde geçekleştirilmektedir:
• Kurbanın Zararlı Siteyi Ziyareti: Saldırgan kurbanı kendi kontrol
ettiği bir siteye sosyal mühendislik yöntemiyle yönlendirir. Ya da
normal bir web sitesinin HTML injection açıklığını kullanarak bu
siteye görünmeyen bir IFRAME ekler, bu frame kendi kontrol
ettiği bir sitenin içeriğini barındırır. Ya da reklam altyapısını
kullanarak yayınladığı reklam içeriği ile sonraki adımları
gerçekleştirir.
MALWARE TÜRLERİ
Drive by Downloads (devamı)
• Exploit Kit: Saldırgan kontrol ettiği sitenin içeriğine “exploit kit”
adı verilen obfuscate edilmiş Javascript kodlarını ekler. Exploit
kit’ler 20$-2500$ fiyat aralığında satın alınabilirler. Exploit kit çok
kullanılan browser plugin’lerinin (ör: Flash, Silverlight, Java, PDF
reader v.d.) versiyonlarını inceledikten sonra uygun olan exploit’i
kullanır.
• Download ve Ele Geçirme: Tespit edilen açıklığa yönelik
kullanılan exploit shellcode’u saldırganın istediği herhangi bir
malware’i kurbanın bilgisayarına indirir ve çalıştırır. Saldırgan bir
Exploit Kit Panel üzerinden kurduğu altyapının performansını
izleyebilir.
HEURISTIC BASED (DAVRANIŞ TABANLI) ANTI-
MALWARE ÇÖZÜMLERİNİN ÖZELLİKLERİ
Heuristic tabanlı anti-malware çözümleri signature tabanlı
çözümlere göre aşağıdaki farklılıkları gösterir:
• İmza tabanlı çözümlere göre daha çok false-positive üretir.
• İmza tabanlı çözümlere göre daha az güncelleme gerektirir.
• İmza tabanlı çözümlere göre zero day exploit kullanan zararlıları
yakalama ihtimali daha fazladır.
• Dosyaların içeriklerinden ziyade uygulamaların davranışsal
özelliklerine odaklanır.
MALWARE ANALİZİ
Dinamik Analiz
• Sandboxing ve Malware İnceleme: Signature tabanlı Anti-
Malware çözümlerinin yetersiz kaldığı ve APT saldırılarının son
derece arttığı günümüzde anomali tabanlı anti malware çözümleri
önem kazanmaya başlamıştır. Bu tür çözümler uygulamaları
indirmeden önce bir sandbox ortamında çalıştırarak davranışlarını
dinamik olarak izlerler ve davranış karakteristiklerine bakarak kötü
niyetli olup olmadıklarını anlamaya çalışırlar.
• Sandboxing ve Sanallaştırma: Sandboxing genellikle sanallaştırma
teknolojisini kullanır, çünkü bir uygulamayı bağımsız bir alanda
çalıştırmak için her defasında fiziksel cihaz kurulumu yapmak
yerine sanal makine ve snapshot tekniğini kullanmak daha hızlıdır.
MALWARE ANALİZİ
Dinamik Analiz (devamı)
• Anti-Dinamic-Analysis Teknikleri: Zararlı yazılımlar çalıştıkları
platformun bir sanal makine olup olmadığını çeşitli yöntemlerle
tespit ederek farklı davranış sergileyebilirler. Bunun dışında
zararlı yazılım prosesine bir debugger attack olup olmadığını da
anlayabilir.
MALWARE ANALİZİ
Statik Analiz
• Disassembly ve Decompilation: Zararlı yazılımlar genellikle C, C+
+ ve Assembly dillerinde yazılırlar, çünkü byte level kod üreten C#
gibi dillerde .NET framework bağımlılıklarına takılmak istemezler.
Ayrıca obfuscation Assembly ve C dillerinde daha kolay yapılabilir.
Makine diline derlenen uygulamalar Assembly diline çevrilebilir.
Dolayısıyla analiz de bu seviyede yapılmalıdır.
• Anti-Disassembly Teknikleri: Zararlı yazılım yazarları kodlarına
ekledikleri bazı özelliklerle disassembler’ları yanlış yöne
göndermeye çalışırlar. Mesela kodun içine aslında kullanılmayan
bazı bölümler ekleyerek disassembler’ın hata yapmasını sağlarlar.
MALWARE ANALİZİ
Statik Analiz (devamı)
• Packers ve Encoders: İlk ortaya çıkmaları çalıştırılabilir dosyaların
boyutlarını küçültme amacına yönelik olan packer’lar yazılım
imzalarını değiştirerek anti-virüs’leri atlatmak için de
kullanılmaktadır. Encoder’lar her seferinde farklı sonuçlar
üreterek daha etkili olabilmektedirler. Bu tür araçlar statik analizi
de zorlaştırmakta, dinamik analiz yapılma ihtiyacını artırmaktadır.
MALWARE ANALİZİ VE REVERSING ARAÇLARI
Malware analizinde de kullanılabilecek bazı popüler reversing
araçları şunlardır:
• IDA Pro (Interactive Disassembler)
• Ollydbg / Immunity Debugger (binary debugger)
• Process Monitor (uygulama çalıştığında dosya, registry, ağ
hareketlerini izlemeye yarar)
APPLICATION INVENTORY WHITELISTING /
BLACKLISTING
• Whitelisting: Genel olarak sadece izin verilen uygulamaların
çalıştırılması, dosyaların veya mesajların işlenmesi anlamına gelir.
Zararlı yazılımla mücadele bağlamında whitelisting sadece
bütünlüğünden emin olunan ve bilinen uygulamaların
çalışmasına izin vermek demektir. Apple iOS işletim sistemi bu
prensibe en iyi örnektir. Jailbreak edilmemiş bir iOS cihaz
üzerinde Apple tarafından imzalanmamış bir uygulama
çalıştırılamaz.
• Blacklisting: Bu yaklaşımda sadece tehlikeli uygulamalar takip
edilir. Sniffer’lar, uygulama derleme araçları, v.b. normal kullanım
amaçlı bilgisayarlar için tehlikeli kabul edilebilir. Daha pratik
olabilir ancak whitelisting kadar güvenli değildir.
SABOTAGE VE ESPIONAGE KAVRAMLARI
• Sabotage: Sabotaj mutsuz bir personelin kuruma zarar vermek
amacıyla hizmet kesintisine, veri kaybına, veri bozulmasına yol
açabilecek aktivitelerine verilen addır. Kayba yol açacak zarar
verme odaklı bir faaliyettir.
• Espionage: Kuruma ait hassas verilerin ticari avantaj kazanmak,
ulusal güvenlik ihlali gibi amaçlarla çalınmasını hedefleyen
saldırılardır. Veri sızdırma odaklı bir faaliyettir.
SALDIRGAN TUZAK VE ANALİZ YÖNTEM VE
ARAÇLARI
• Darknet: Ağın kullanılmayan bir bölümü bu bölüme yönelik
tarama v.b. aktivitelere karşı izlenir. Böylece ağ hakkında bilgi
toplamak isteyen bir saldırgan veya zararlı yazılım aktivitesi tespit
edilmeye çalışılır.
• Honeypot / Honeynet: Honeypot bilgisayarlarının amaçları
saldırganları üzerine çekmek ve onların davranışlarını analiz
ederek tanımaya çalışmaktır. Bu sunuculardan 2 veya daha
fazlasının dahil olduğu ağlara da honeynet adı verilir. Honeypot
bilgisayarları üzerlerinde sahte servisler veya gerçek açıklıklar
barındıran servisler çalıştırabilir. Saldırganın sistemi ele geçirmek
için yaptığı aktiviteler, sistemi ele geçirdikten sonra yüklediği
dosyalar, çalıştırdığı komutlar izlenir ve saldırgan analiz edilir.
SALDIRGAN TUZAK VE ANALİZ YÖNTEM VE
ARAÇLARI
• Pseudo Flaws: Honeypot’lar üzerinde kullanılan bu sahte
açıklıklar gerçek açıklıkları taklit eder. Saldırgan exploit’ini
kullandığında gerçekten sistemi ele geçirdiğini zanneder.
WARNING BANNERS
Hem sisteme authenticate olmadan önce hem de authenticate olduktan sonra
görüntülenerek sistemin güvenlik politikası, unauthorized erişimin yasaklandığı ve
aktivitelerin izlendiğine dair ifadeleri belirtirler.
ABD’de bu tür bir banner’ın bulunması saldırganın servisin “Welcome” dediği için
servise eriştiğini iddia etmesi gibi bahaneleri ortadan kaldırdığı için tercih
edilmektedir.
Ağ servisleri için işletim sistemi ve servisin konfigürasyon imkanları kullanılarak ilk
erişimde authenticate olmadan görüntülenebilirler. Örneğin Linux SSH servisi için:
• /etc/issue.net: Bu dosyada belirtilecek bir metin kullanıcı henüz logon olmadan
görüntülenir. /etc/ssh/sshd_config konfigürasyon dosyasında “Banner
/etc/issue.net” satırının aktif hale getirilmesi gerekir.
• /etc/motd: Bu dosyadaki metin de logon olduktan sonra kullanıcıya
görüntülenir.
Windows domain’leri için Group Policy ile “Message text for users attempting to
log on” politikası kullanılabilir.
LOGLAMA VE İZLEME (MONITORING)
Loglama ve İzlemenin Faydaları
• Hesap verebilirliği artırma
• Kurum içi ve hukuki inceleme ve soruşturmalara yardımcı olma
• BT altyapısı ile ilgili hata analizine destek olma
LOGLAMA VE İZLEME (MONITORING)
Loglama ve İzlemede Dikkat Edilmesi Gereken Konular
• Time Synchronization: İncelemelerde farklı log kaynakları
arasında zaman zincirinin kurulabilmesi için log üreten tüm
sistemlerin zaman senkronizasyonu içinde olması gereklidir.
Windows domain yapısı içindeki bilgisayarlarda bu DC sunucusu
tarafından güvence altına alınır çünkü Kerberos’un çalışabilmesi
için de kerberos domain’ine dahil olan sistemlerin zamanları
senkronize olmalıdır. Diğer sistemler için bir NTP (Network Time
Protocol) sunucusu kullanılabilir.
• Log Kayıtlarının İnkar Edilemezliği (Non-Repudiation): Log
kayıtları zaman damgası (timestamp) bilgisi ile ve imzalanarak
(digital signature) saklanmalıdır.
LOGLAMA VE İZLEME (MONITORING)
Loglama ve İzlemede Dikkat Edilmesi Gereken Konular (devamı)
• Log Kayıtlarının Korunması ve Saklanması: Log kayıtları
genellikle hem görevler ayrılığının desteklenmesi hem de
korunmaları için merkezi bir log sunucusunda saklanır. Logların
ne kadar süreyle saklanacağı bazı durumlarda yasal
düzenlemelerle belirlenmiştir.
LOGLAMA VE İZLEME (MONITORING)
Windows Log Altyapısı (Event Logging)
• Event Logs: Windows’un Event Log altyapısı bulunmaktadır, ancak built-in bir
log gönderme altyapısı yoktur. Üçüncü taraf uygulamalarla bu fonksiyonalite
sağlanır.
• Event ID: Event Id’lerinin özel anlamları vardır. Olay türüne ilişkin bilgi verirler.
• Success / Failed: Gerçekleştirilmek istenen olayın başarı ile mi başarısızlıkla
mı sonuçlandığını belirtirler. Ayrıca log ayarlarında da hangi tür olayların
loglanacağına dair success / failed türleri açıkça seçilmelidir.
• Audit Categories: 9 ana audit kriteri bazında ayar yapılır. Bunlardan önemli
olanları Account Logon, Logon, Account Management, Privilege Use, Policy
Change denebilir. Ayrıca Object Access kategorisi de gerektiğinde aktif hale
getirilebilir. Ancak dosya erişim loglarının üretilmesi için ilgili dizinde audit’in
aktif hale getirilmesi gerekir.
• Event Kategorileri: Loglar Application, System, Security, v.d. kategorilerde
sınıflandırılır.
LOGLAMA VE İZLEME (MONITORING)
Windows Log Altyapısı (Event Logging)
LOGLAMA VE İZLEME (MONITORING)
Windows Log Altyapısı (Event Logging)
LOGLAMA VE İZLEME (MONITORING)
Unix / Linux Log Altyapısı (Syslog)
• Syslog Subsystem: Tüm Unix / Linux türevi işletim sistemlerinde ve hatta pek
çok ağ cihazında öntanımlı olarak bulunan bir loglama altyapısıdır.
• Log Kaydı: Çok temel bir kayıt deseni vardır, gönderen uygulama adı ve log
mesajından oluşur. Log mesajını ayrıştırmak izleme için kullanacağınız aracın
görevidir, ya da logu raw formatta okuyabilirsiniz.
• Log Gönderme: Syslog altyapısı lokalde üretilen kayıtları tutar, ancak built in
olarak logların farklı bir Syslog servisine de yönlendirilmesini destekler.
• Syslog / Rsyslog Servisi: Öntanımlı olarak UDP 514 portundan dinler ve
uzaktan gönderilen logları kaydeder. Rsyslog servisi için istenirse
konfigürasyon imkanları ile farklı sistemlerden alınan loglar farklı dosyalara
yazılabilir.
• Syslog Ayarları: Loglama ayarları subsystem bazında (ör: auth, kern, mail gibi
) ve log’un kritiklik seviyesi (Level) (ör: info, warn, err gibi) bazında yapılabilir.
LOGLAMA VE İZLEME (MONITORING)
Unix / Linux Log Altyapısı (Syslog)
LOGLAMA VE İZLEME (MONITORING)
Unix / Linux Log Altyapısı (Syslog)
LOGLAMA VE İZLEME (MONITORING)
Security Information and Event Management (SIEM) ve Sürekli İzleme
(Continuous Monitoring)
Merkezi log yönetim çözümleri ve SIEM araçları gibi korelasyon, trend
analizi, anomali tespiti yapabilen güvenlik izleme araçları ile sürekli
izleme imkanları gelişmektedir. Bu araçlar üzerinde otomatik olarak
tespit edilebilecek güvenlik olaylarına örnekler şunlar olabilir:
• Çok sayıda hatalı logon denemesi
• Sıradışı saatlerde kullanıcı logonları
• Sistem saati değişiklikleri
• Sıradışı hata mesajları
• Sıradışı sistem kapatma (shutdown) ve tekrar başlatma (restart)
olayları
• Hassas dosyalara erişim denemeleri
LOGLAMA VE İZLEME (MONITORING)
Database Firewall
Veritabanı yönetiminde görevler ayrılığı ilkesinin (segregation of
duties) uygulanabilmesi ve veritabanına yönelik saldırıların
engellenebilmesi için database firewall çözümleri kullanılabilir.
Database firewall’ları transparan olarak çalışır ve veritabanı
yöneticilerinin loglara müdahale etme imkanını ortadan kaldırır.
MANUEL LOG KAYDI, ALARM VEYA İŞLEM
KAYDI İNCELEME
Bir denetim aktivitesinde veya bir kontrol süreci olarak tüm
kayıtların incelenme imkanı olmadığında bir alt küme seçilme
ihtiyacı doğacaktır. Bunun için şu iki seçenekten birisi izlenebilir:
• Sampling (Örnekleme): Örneklemede her kaydın eşit incelenme
şansı vardır. İstatistiksel yöntemlerle incelenecek kayıtlar seçilir.
• Clipping (Treshold): Belli treshold’ları geçen kayıtların
incelenmesi yöntemidir. Dolayısıyla istatistiksel bir yöntem
değildir. Elbette farklı olay türleri için farklı eşik değerleri
kullanılabilir.
BAZI AĞ İZLEME KAVRAMLARI
• Flow Data (Netflow) – Oturum Verisi İzleme: IDS / IPS cihazları
ağ paketleri üzerinde inceleme yaparlar. Ancak ağ oturum bilgileri
(hangi IP hangi IP ile iletişimde bulundu) ve iletilen paket
istatistikleri gibi veriler de anormalliklerin tespiti ve ağ trend
analizi için gereklidir. Flow data’sı olarak adlandırılan bu istatistik
bilgileri flow verisi üretebilen ağ cihazları tarafından bir sunucuya
iletilebilir ve raporlanabilir.
• Egress Monitoring: Dışarı yönlü izleme kurum bilgisayarlarında
bulunabilecek malware aktivitelerinin tespiti ve veri sızmalarının
izlenmesi için önemlidir. Veri sızmalarının tespiti için Data
Leakage Prevention (DLP) çözümlerinin kullanılmasında da fayda
vardır.
SABİT DİSK RAID (REDUNDANT ARRAY OF
DISKS) YAPILARI
Sabit diskler önemli “single point of failure” noktalarıdır. Bu nedenle
sabit disk yapılarında yedeklilik son derece önemlidir. Bu yedekliliği
sağlamak için yaygın olarak kullanılan RAID (Redundant Array of
Disks) yapıları aşağıdaki gibidir:
• RAID 0: Verileri disklere stripe ederek (dağıtarak) yazar.
Yedekleme faydası yoktur, ancak bazı durumlarda işlem hızını
artırır çünkü okuma yükü birden fazla diske dağıtılır.
• RAID 1: Mirroring olarak da bilinir, aynı veriyi iki ayrı diske
yazarak bir diskin bozulması halinde verinin diğerinde erişilebilir
olmasını sağlar. Bir disk çökse bile diğeri hizmet vereceğinden
kesinti yaşanmaz.
SABİT DİSK RAID (REDUNDANT ARRAY OF
DISKS) YAPILARI
• RAID 5: En az 3 disk gerektirir. Parity bilgisi tek bir diskte
tutulmaz tüm disklere dağıtılır (bir stripe veri 2 asıl veri ve bir
parity verisinden oluşur, asıl verilerden birisi kaybedildiğinde
parity verisinden dönülebilir). Disklerden birisi çökerse sistem
hizmet vermeye devam edebilir, ancak 2’si çökerse veriye
erişilemez. 5 diskli senaryoda 2 disk yedek (spare) disk görevi
görür.
• RAID 10: Aslında RAID 1 + 0 olarak belirtilir. Mirroring ve
striping’in bir arada kullanıldığı yapıdır. Dolayısıyla en az 4 disk
kullanılır. Striping yapılan 2 disk olduğunu ve bunların aynısı olan
bir set daha olduğunu düşünün.
SABİT DİSK RAID (REDUNDANT ARRAY OF
DISKS) YAPILARI
RAID uygulama türleri:
• Hardware RAID: Software RAID’e nazaran daha pahalıdır, ancak
hot swapping ve hız avantajları olabilmektedir.
• Software RAID
RAID disk değiştirme yöntemleri:
• Hot Swapping: Sistem aktif iken disk değişimi yapılabilir.
• Cold Swapping: Disk değişimi öncesinde sistemin kapatılması
gerekir.
REDUNDANCY | FAULT TOLERANCE |
FAILOVER KAVRAMLARI
• REDUNDANCY: Kritik bileşenler veya fonksiyonların çoklanarak
yedeklenmesi suretiyle sistem sürekliliğinin sağlanmaya
çalışılmasıdır.
• FAULT TOLERANCE: Bir teknolojinin beklenmeyen bir olay olsa
dahi gerekli seviyede hizmet üretebilme kabiliyetidir.
• FAILOVER: Eğer ele alınması mümkün olmayan bir kesinti olursa
çalışan diğer bir sistemin devreye girmesidir.
FAILOVER CLUSTER (HATAYA TOLERANSLI
SUNUCU YEDEKLEME)
Birden fazla sunucunun aynı hizmeti vermek üzere gruplanmasıyla
oluşturur. İki tür cluster yapısı oluşturulabilir:
• Active Cluster: Yükü sunuculara paylaştırmak için ya bir yük
dağıtıcı (load balancer) kullanılmalıdır.
• Active – Passive Cluster: Genellikle 2 sunuculu cluster’lardır.
Sunucuların kendi aralarında bir protokol (ör: heartbeat protocol)
ile pasif sunucu aktif sunucunun faal olup olmadığını izler ya da
load balancer benzeri bir switching mekanizması aktif sunucunun
durumunu izler.
FAILOVER CLUSTER (HATAYA TOLERANSLI
SUNUCU YEDEKLEME)
AĞ, UYGULAMA VE FİZİKSEL ERİŞİMLERDE
ARIZA TEPKİ KAVRAMLARI
Ağ cihazları ve yazılımlar için arıza tepkileri:
• Fail Secure: Cihaz (ör: firewall) veya yazılım arıza veya hata
durumunda (ör: cihazın belleği bağlantıları karşılayamayacak hale
geldiğinde) tüm erişimleri bloklar. Bu yaklaşımda güvenlik
önceliklidir. Bu yaklaşıma örnek Windows’un mavi ekranıdır.
İşletim sistemi bellek erişim ihlali durumunda stabilitesini
yitireceğinden sistem durdurulur.
• Fail Open: Arıza veya hata durumunda tüm erişimler açılır. Bu
yaklaşımda süreklilik önceliklidir. Hata yapan erişim kontrolü
geçersiz hale gelir.
AĞ, UYGULAMA VE FİZİKSEL ERİŞİMLERDE
ARIZA TEPKİ KAVRAMLARI
Fiziksel erişim kontrolleri için arıza tepkileri:
• Fail Safe: Arıza durumunda fiziksel erişim kontrolü iptal edilir ve
tüm geçişlere izin verilir. Bu yaklaşımda insan sağlığı önceliklidir.
Örneğin sistem odasında enerji kesintisi olması halinde kapı açık
hale getirilir, böylece yangın durumunda personelin kapalı kalma
riski engellenir.
• Fail Secure: Bu durumda güvenlik önceliklidir, arıza durumunda
tüm geçişler engellenir.
AĞ QUALITY OF SERVICE (QOS) KAVRAMLARI
Hızın ve sürekliliğin önemli olduğu kritik ağ bağlantıları için (ör:
borsa bağlantıları) bağlantı kalitelerinin ölçülmesi ve izlenmesi
gerekir. Ağ hizmet kalitesiyle ilgili kavramlar aşağıdaki gibidir:
• Bandwidth: Ağ kapasitesini ifade eder.
• Latency: Bir paketin kaynak noktasından hedefine ulaşmasına
kadar geçen süredir.
• Jitter: Paketlerin aynı kaynak ve aynı hedef arasında iletilme
süreleri arasındaki varyasyondur.
• Packet Loss: Hedefe ulaşamayan ve tekrar iletilmesi gereken
paketlerdir.
• Interference: Manyetik alan, hatalı ekipman v.b. sebeplerle paket
içeriklerinin bozulmasıdır.
VERİTABANI OFFSITE YEDEKLEME VE
KURTARMA YÖNTEMLERİ
Veritabanı yedeklerinin veri saklama ortamlarına alınması ve felaket
kurtama merkezlerine fiziksel olarak iletilmesi yöntemi gün geçtikçe
terk edilmekte ve daha az işlem kaybına (Recovery Point Objective -
RPO) ve daha hızlı kurtarmaya (Recovery Time Objective – RTO) imkan
verecek aşağıdaki yöntemlere geçilmektedir:
• Electronic Vaulting: Veritabanı yedekleri toplu biçimde (bulk)
offsite’e gönderilir. Bu yöntemde güncel veriden geri dönerek yedek
sistemleri ayağa kaldırmak uzun zaman alabilir.
• Remote Journaling: Veritabanı yedekleri yine bulk transfer
yöntemiyle iletilir ancak gönderme sıklığı daha yüksektir. Genellikle
saatte bir veya daha sık gönderilen yedekler electronic vaulting’de
olduğu gibi tam veritabanı yedeği olarak gönderilmez, son yedekten
sonra gerçekleşen işlem logları (ismi bu yüzden journaling’dir) bulk
olarak gönderilir.
VERİTABANI OFFSITE YEDEKLEME VE
KURTARMA YÖNTEMLERİ
• Remote Mirroring: Asıl veritabanına işlenen kayıtlar aynı
zamanda uzaktaki sunucuya da işlenir. Böylece çok kısa bir zaman
farkıyla asıl veritabanının kopyası uzakta da aktif olarak bulunur.
Hotsite felaket kurtarma merkezi durumlarında sıklıkla kullanılan
bir yöntemdir.
VERİ YEDEKLEME STRATEJİLERİ
• Full Backups: Adından da anlaşılacağı gibi tüm dosyaların veya
veritabanının tam yedeğinin alınmasıdır.
• Incremental Backups: Son full veya incremental backup’tan
sonra değiştirilmiş olan dosyalar yedeklenir. Yedekten geri
dönüşte son full backup’a dönüldükten sonra sıra ile tüm
incremental backup’lar işlenir.
• Differential Backups: Son full backup’tan sonra değiştirilmiş olan
dosyalar yedeklenir. Yani yedekten geri dönüşte son full backup’a
döndükten sonra üzerine son differential backup işlenir.
TAPE ROTATION STRATEJİLERİ
• Grandfather - Father - Son (GFS): Banka ve finans kurumlarında en sık
görünen rotation stratejilerinden birisi bu stratejidir. Bu bir incremental
veya yedekleme stratejisi değildir. Tüm yedekler full yedektir. Yıllık full
yedekler saklanır ve ezilmez. Daha sonra 3 aylık yedekler saklanır ve
ezilmez, daha sonra aylık ve günlük yedekler ayrıca tape’lerde saklanır.
Ancak son bir haftanın yedekleri 7 günlük tape’e alınır. Ay sonuna gelen
yedekler ayrılır ve yerlerine taze tape’ler konulur.
• Hierarchical Storage Management System: Sık erişim ihtiyacı
bulunmayacak verilerin daha yavaş fakat daha düşük maliyetli veri
saklama ortamlarına otomatik olarak aktarımı ve yine ihtiyaç
duyulduğunda otomatik olarak daha hızlı ortamlarak alınması için
kullanılır.
• Diğer Stratejiler: Diğer stratejilere “Tower of Hanoi”, “6 Cartridge
Weekly” örnek olarak verilebilir.
HIERARCHICAL STORAGE MANAGEMENT
SYSTEM
STORAGE AREA NETWORK (SAN)
Storage Area Network tek göveri sunucuları veri depolama
cihazlarına bağlamak olan bir teknolojidir.
SOFTWARE ESCROW ANLAŞMALARI
Yazılım kaynak kodu satın alınmamış uygulamalar için yazılım
firmasının operasyonlarını devam ettiremez hale getirme ihtimaline
karşı yeddiemin anlaşmaları yapılması değerlendirilmelidir.
İNCELEME VE SORUŞTURMA (INVESTIGATION)
TÜRLERİ
• Operational Investigations: Performans v.d. altyapı olaylarına yönelik yapılan
incelemelerdir. Delil toplama konusunda yasal kurallara uyma zorunluluğu
yoktur.
• Criminal Investigations: Genellikle kolluk güçleri (polis) tarafından yürütülen
soruşturma türüdür. Bu davalarda elde edilecek delillerin “Beyond a
reasonable doubt (kesin ve her türlü makul şüpheden uzak) ” niteliğinde
olması gereklidir. Bu nedenle delil toplama ve saklama standartlarına mutlak
uyum gereklidir.
• Civil Investigations: Genellikle kolluk güçlerinin dahil olmadığı, kurum
personeli ve danışmanlar ile yürütülen soruşturmalardır. Civil court’ta dava
açmak için yeterli delilik toplanmasını hedefler. “Preponderance of the
evidence (bir kanıtın karşı bir kanıta oranla ispat gücünün üstünlüğü)”
standardına uygun delil toplanması yeterlidir.
• Regulatory Investigations: Kamu kurumlarınca Administrative Law’a aykırılık
olduğu düşünüldüğünde gerçekleştirilen inceleme ve soruşturmalardır.
Düzenleyici kamu kurumlarının yaptığı denetimlerdir.
KANITLARIN KABUL EDİLEBİLİRLİĞİ
Kanıtların mahkemede kabul edilebilir olması için Hakim tarafından
aşağıdaki açılardan gözden geçirilmesi gereklidir:
• Relevant: Kanıtın söz konusu dava ile ilgili bir gerçeği kanıtlamakla ilgili
olması gerekir (The evidence must be relevant to determining a fact).
Örneğin bir hacking olayında sanığın trafik cezalarının delil olarak
sunulması “relevant” değildir.
• Material: Kanıtın kanıtlamaya çalıştığı gerçeğin dava için önemli ve dava
ile ilgili olması gerekir (The fact that the evidence seeks to determine
must be material – that is, related – to the case)
• Competent: Kanıtın yasal biçimde toplanmış olması gerekir (The evidence
must be competent, meaning it must have been obtained legally)
• Complete: Kanıtın tüm gerçeği yansıtması gerekir. Örneğin savcı paylaştığı
delilin içinden sanığı temize çıkaracak olan kısımlarını çıkaramaz.
ABD ANAYASASINDA SORUŞTURMALARLA
İLGİLİ EKLER (AMENDMENTS)
• 4th Amendment: ABD vatandaşlarını keyfi aramalara karşı korumak
için eklenmiştir:
• “The right of the people to be secure in their persons, houses,
papers, and effects, against unreasonable searches and seizures,
shall not be violated, and no Warrants shall issue, but upon
probable cause, supported by Oath or affirmation, and
particularly describing the place to be searched, and the persons
or things to be seized.”
• 5th Amendment: Kimsenin kendisine karşı tanıklık yapmama hakkı
ile ilgilidir.
4th Amendment nedeniyle kurumlar arama izni çıkarılamamış olmasa
da kanıt toplamak için kolluk kuvvetleri yerine kendi personeli ile bu
sürecin bazı bölümlerini yürütmek istemeyebilirler. Ancak ülkemizde
böyle bir durum söz konusu değildir.
KANIT TÜRLERİ
• Real Evidence: “Object evidence” olarak da bilinir. Mahkemeye
getirilebilecek dokunulabilen (tangible) kanıtlardır. Örneğin bir cinayet davası
için cinayet silahı, bilişimle ilgili bir dava için saldırganın sabit diski gibi.
• Documentary Evidence: Adından da anlaşılabileceği gibi doküman
kanıtlardır. Ancak ayrıca authenticated kanıt olmaları gerekir. Örneğin savcı
veya avukat bir log dosyasını mahkemeye sunduğunda ayrıca bir de sistem
yöneticisinin tanık olarak gelerek bu log kayıtlarının rutin iş süreçlerinin
(routine business operations) bir parçası olarak toplandığı ve gerçekten
sistemin ürettiği log kayıtları olduğu hakkında ifade vermesi gerekir.
• Testimonial Evidence: Bir tanığın sözlü veya yazılı ifadesidir, intangible bir
kanıttır. Tanığın doğrudan kendi şahit olduğu bir olay hakkında ifade vermesi
lazımdır (Direct Evidence). “Hearsay Evidence” olarak adlandırılan ve tanığın
başkasından duyduklarını aktardığı ifadeler kabul edilmez. “Expert Opinion”
olarak mahkeme tarafından bir uzmanın yorumunun talep edildiği durumlar
da olabilir.
DOCUMENTARY EVIDENCE KURALLARI
• Best Evidence Rules: Bir doküman mahkemede kanıt olarak
kullanılacağı zaman dokümanın aslı kullanılmalıdır. “Secondary
Evidence” olarak adlandırılan dokümanın kopyaları mahkemede
bazı istisnalar dışında kabul edilmez.
• Parol Evidence Rule: Anlaşma dokümanlarının kullanıldığı
durumlara özel bir kuraldır. Parol sözlü demektir ve Anglosakson
hukukunda sözlü sözleşmeler yapılabilir. Parol evidence rule, bir
anlaşma yazılı hale getirilmişse bu yazılı sözleşme hükümlerinin
tüm konuları kapsadığı ve herhangi bir ek sözlü anlaşma ile diğer
alanlardaki hükümlerin belirlenemeyeceğini belirtir.
İNCELEME VE SORUŞTURMALAR SIRASINDA
YAPILAN MÜLAKAT TÜRLERİ
• Interview (görüşme): Konu ile ilgili bilgisi olabilecek kişilerle
yapılan görüşmelerdir.
• Interrogation (sorgulama): Bir şüpheli ile yapılan mülakattır.
CHAIN OF EVIDENCE (CHAIN OF CUSTODY)
Real evidence’ın da authenticate edilebiliyor olması önemlidir. Örneğin
bir kanıtın üzerinde bir seri numarası veya kanıtı tekil olarak ifade
edebilecek bir belirteç varsa bu kanıtın çeşitli defalar kullanımında
doğru kanıt olduğundan emin olabiliriz. Ancak aksi durumlarda emanet
zincirinin güvenilirliği önemli hale gelecektir.
Öncelikle kanıtın etiketlenmesi gerekir ve etikette şu bilgiler olmalıdır:
• Kanıtın genel tanımı
• Kanıtın toplandığı tarih ve saat bilgileri
• Kanıtın tam olarak nerede elde edildiği
• Kanıtı toplayan kişinin kim olduğu
• Kanıtın toplanması ile ilgili önemli olabilecek çevresel bilgiler
Kanıtı emanetine alan herkesin chain of custody loglarını imzalaması
gerekir.
BİLGİSAYAR LOG KAYITLARININ KABUL
EDİLEBİLİRLİĞİ
Authenticate olmamış log kayıtları “Hearsay Evidence” olarak kabul
edilir ve mahkemede geçerlilikleri yoktur.
Bir sistem yöneticisi tarafından logların normal iş süreçleri
kapsamında toplandıkları ve gerçekten sistem üzerinden elde
edildikleri yönünde ifade vermesiyle authenticate edilmeleri gerekir.
Elbette kriptografik olarak imzalanmaları ve zaman damgası
taşımaları teknik anlamda da kanıtı güçlendirecektir.
ADLİ BİLİŞİM (COMPUTER FORENSICS)
ALANLARI
• Media Analysis: Manyetik medya (sabit disk, teyp), optik medya
(CD, DVD, blue-ray) ve bellek (RAM, SSD) ortamlarının
incelenmesi alanlarıdır. Disk mimarisi, file system yapısı, file
system ve diskin kullanılmayan fiziksel alanlarından silinmiş
verilerin kurtarılması gibi temel teknik bilgileri gerektirir.
• Network Analysis: Ağ trafiği şüphelenilen bir durum yoksa
önceden kaydedilmez, çünkü ağ üzerinden akan verinin miktarı
çok fazladır. Fakat IDS/IPS logları, flow datası, firewall log’ları
rutin operasyonlar sırasında toplanabilir. Ağın dinlenmesi gereken
zamanlarda da tap, SPAN port v.b. imkanlarla dinleme yapılabilir.
ADLİ BİLİŞİM (COMPUTER FORENSICS)
ALANLARI
• Software Analysis: Yazılımda backdoor, logic bomb, suistimal
yapan kod olması gibi durumlarda yazılım kaynak veya makine
kodları incelenebilir. Uygulamalar üzerinden gerçekleştirilmiş
olan saldırıların değerlendirilmesi de, örneğin web uygulaması
üzerinden SQL injection ile veri çalınması gibi, logların ve
dosyaların incelenmesi suretiyle yapılabilir.
• Hardware / Embedded Device Analysis: Akıllı telefon, tablet v.d.
gömülü sistemler üzerinde yapılan incelemelerdir. Özel bir alan
olduğundan danışman kullanılabilir.
KANIT TOPLAMA VE FORENSIC PROSEDÜRLERİ
Kanıt toplanırken kanıtın değiştirilmemesi için gerekli özen
gösterilmelidir. Bu computer forensic alanında da çok önemli ve
dijital kanıtlar değişikliğe çok meyillidir. Bu yüzden medya analizi ve
diğer dijital kanıtlar üzerinde çalışırken şu kurallara dikkat
edilmelidir:
• Orijinal Kanıt Üzerinde Çalışılmamalıdır: Orijinal kanıt uygun bir
şekilde paketlenerek (ör: manyetik kanıtlar için anti-statik torba
kullanılmalı) uygun bir ortamda (ör: manyetik alana ve yangına
dayanıklı kilitli kasada) saklanmalıdır. Tüm incelemeler kanıtın
kopyası üzerinde yapılmalıdır. Tüm kanıt kopyalama / el koyma
süreci kayıt altına alınmalıdır (mümkünse şahit ile ve video
kaydıyla)
KANIT TOPLAMA VE FORENSIC PROSEDÜRLERİ
• (Medya) Kopyalama Sırasında Write-Blocker (Forensic Disk
Controller) Kullanılmalıdır: Bir diski bilgisayarınıza taktığınızda
kullandığınız işletim sistemine göre kısa süre içinde disk üzerinde
değişiklik yapılmaya başlanabilir. Örneğin Windows işletim
sistemi bir diski otomatik olarak mount eder ve alt seviyede disk
üzerinde değişiklik yapmaya başlar. Bu nedenle kopyalamalarda
mutlaka write-blocker cihazı kullanılmalıdır.
• Orijinal Kanıtın Değişmediği Kanıtlanabilir Olmalıdır: Kopyalama
sırasında orijinal kanıtın hash değeri hesaplanarak orijinal kanıtla
birlikte güvenli biçimde saklanmalıdır.
MEDYA KOPYALAMA ARAÇLARINA ÖRNEKLER
MEDYA KOPYALAMA ARAÇLARINA ÖRNEKLER
MEDYA FORENSIC ARAÇLARI
Open Source ve Linux araçları olarak aşağıdaki forensic araçları ile
karşılaşabilirsiniz:
• dd komutu (Linux raw kopyalama komutu)
• Autopsy / Sleuth Kit
Ticari araçlara aşağıdakiler örnek verilebilir:
• EnCase
• Access Data Forensic Toolkit / FTK Imager
SALDIRGAN (ATTACKER) TÜRLERİ
• Organized Attackers: Espionage (endüstriyel sır çalma veya milli
güvenlik ihlali) amaçlı ülkeler, şirketler ve diğer güç odakları
tarafında desteklenen veya finansal çıkar sağlamayı hedefleyen
ve Advanced Persistent Threat (APT) yöntemlerini iyi kullanan
gruplar.
• Hacktivists (Political Activists): Hacking teknikleri ile ve daha çok
DDOS saldırılarıyla politik konjönktürün yönlendirmesiyle hareket
eden gruplar.
• Disgruntled Employees: Kurumu ile kavgalı mevcut veya işten
ayrılmış ve kuruma çeşitli şekillerde (hizmet kesintisi, kurum
itibarını sarsıcı bilgi sızıntısı, v.d.) zarar vermeyi hedefleyen
çalışanlar (grudge – kin saldırıları).
SALDIRGAN (ATTACKER) TÜRLERİ
• Thrill Attacker / Script Kiddie: Heyecan için bilişim suçları
işleyenler.
• Malicious Insider: Suistimal amaçlı olarak kurum içinde sahip
olduğu erişim yetkilerini de kullanan hacking teknikleri hakkında
yetkin veya yetkin olmayan kurum içi saldırganlar. Bu profil
kuruma erişimi bulunan danışman ve üçüncü taraf personelini de
içerebilir.