ݺߣ

ݺߣShare a Scribd company logo

2014: Hackerların Yükselişi ( 2014: Rise of the Hackers, Süleyman Özarslan, CypSec'15)

Süleyman Özarslan
Süleyman Özarslan

2014 yılı sistem yöneticileri için kabus, hackerlar için rüya gibi bir yıldı. Geçtiğimiz yıl, Heartbleed, Shellshock, Sandworm, Schannel, POODLE, Drupal SQL enjeksiyonu gibi sıfır-gün ataklarının yanı sıra Dragonfly, Regin, Turla gibi devletlerin sponsor olduğu zararlı yazılım ataklarının adından söz ettirdiği ve Sony, HomeDepot ve Domino's Pizza gibi dev şirketlerin, hatta iCloud üzerinden ünlülerin hacklendiği bir yıl oldu.2014'te 15.000 civarında güvenlik açığı ortaya çıktı, fakat bunlardan sadece %5'inin sömürü kodu var. Peki, bu kadar az istismar kodu varken hackerlar nasıl bu kadar başarılı oluyor? IT departmanlarının korkulu rüyası herkese açık herkese açık istismar kodlarıyla yapılan saldırılar mı, sıfır-gün atakları mı, yoksa zararlı yazılım saldırıları mı? Bu saldırılardan nasıl korunabiliriz? Bütün bu soruların cevaplarını bu sunumda bulacaksınız.

1 of 43
2014: Hackerların Yükselişi Dr. Süleyman Özarslan suleyman@picussecurity.com Twitter: @su13ym4n
•  Kurucu ortak ve Ar-Ge yöneticisi @ PICUS SECURITY www.picussecurity.com •  Öğretim üyesi @ ODTÜ Enformatik Enstitüsü Siber Güvenlik Yüksek Lisans Programı •  Siber savunma uzmanı ve eğitmeni @ NATO SPS Bilim ve Barış için Güvenlik Programı #whoami
•  Ransomware •  16 Milyon e-mail adresinin ele geçirilmesi •  Apple GoToFail Bug Ocak  –  Mart 2014
•  Fidye zararlı yazılımları 1.  Kurban bilgisayardaki dosyaları şifreler. 2.  Sonra dosyaları kurtarmak için fidye ister. •  En ünlüsü: Cryptolocker •  Windows API’deki bir bugı kullanır Ransomware
Cryptolocker  Ransomware
Cryptolocker  Ransomware
Cryptolocker  Ransomware
Cryptolocker  Ransomware
•  Kullanıcı farkındalığı •  Kullanıcı farkındalığı •  Kullanıcı farkındalığı •  Yedekleme •  Güncelleme •  Antivirüs Cryptolocker  -­‐  Önlemler
•  Ransomware •  Hacklenen 16 Milyon e-posta •  Apple GoToFail Bug Ocak  –  Mart 2014
•  Duyuruyu yapan: Alman Bilgi Güvenliği Kurumu (BSI) •  16 milyon kullanıcı adı ve şifre ele geçirilmiş. •  Alman nüfusunun 1/5 ‘i •  Yöntem: Antivirüslere yakalanmayan küçük zararlı yazılımlar. Hacklenen  16  Milyon  E-­‐posta
•  Ransomware •  Hacklenen 16 Milyon e-posta •  Apple GoToFail Bug Ocak  –  Mart 2014
sslKeyExchange.c: hashOut.data = hashes + SSL_MD5_DIGEST_LEN; hashOut.length = SSL_SHA1_DIGEST_LEN; if ((err = SSLFreeBuffer(&hashCtx)) != 0) goto fail; if ((err = ReadyHash(&SSLHashSHA1, &hashCtx)) != 0) goto fail; if ((err = SSLHashSHA1.update(&hashCtx, &clientRandom)) != 0) goto fail; if ((err = SSLHashSHA1.update(&hashCtx, &serverRandom)) != 0) goto fail; if ((err = SSLHashSHA1.update(&hashCtx, &signedParams)) != 0) goto fail; goto fail; /* WTF J */ if ((err = SSLHashSHA1.final(&hashCtx, &hashOut)) != 0) goto fail; err = sslRawVerify(...);
•  Heartbleed Nisan–  Haziran 2014
•  OpenSSL kriptografi kütüphanesinde ortaya çıkan bir bug •  2 yıldan uzun bir süre hackerlar tarafından çaktırmadan kullanılmış •  OpenSSL kullanan sunucuların hafızasından parola, private key vb. bilgilerin elde edilmesi •  SSL kullanan sunucuların %17’sini etkilemiş •  Örnek etki: 4.5 Milyon hasta verisinin çalınması Heartbleed
•  Shellshock •  Apple cloud hack •  5 milyon Gmail hesabı •  2014 FIFA Dünya Kupası Brezilya Temmuz  –  Eylül 2014
•  Etkilenen sistemler: Linux, Unix, Mac OS X •  Common Gateway Interface (CGI) kullanan websiteleri bir anda hacklenebilir hale geldi •  CGI aracılığıyla The Bourne Again Shell (Bash) üzerinde komut çalıştırmak mümkün hale geldi ShellShock  (Bash  Bug)
•  Heartbleed açığı Poodle açığını döver J •  Poodle’da atak yapan kişinin man-in-the-middle yapması zorunlu •  Herkese açık Wi-Fi noktaları Heartbleed  vs  Shellshock
•  Shellshock •  Apple cloud hack •  5 milyon Gmail hesabı •  2014 FIFA Dünya Kupası Brezilya Temmuz  –  Eylül 2014
•  Apple Cloud Hack – Giyinik olmayan ünlüler J •  Bir sonraki slide’da örnek fotoğraflar var •  Telefondan 3 kere yanlış parola girilmesi = hesabın kilitlenmesi •  API üzerinden binlerce parola deneme = ? Apple  Cloud  Hack
•  Shellshock •  Apple cloud hack •  5 milyon Gmail hesabı •  2014 FIFA Dünya Kupası Brezilya Temmuz  –  Eylül 2014
•  5 milyon Gmail kullanıcı adı ve parolası sızdırıldı. •  Peki Gmail gerçekten hackendi mi? 5  Milyon  Gmail  Hesabı
•  Shellshock •  Apple cloud hack •  5 milyon Gmail hesabı •  2014 FIFA Dünya Kupası Brezilya Temmuz  –  Eylül 2014
FotoğraTaki  yanlış  nerede?
Bu  Bir  İlk  Değil  J
•  Kerberos •  Sandworm •  Poodle •  Drupal 7 •  Sony Ekim  –  Aralık 2014
•  Bütün Microsoft Windows sürümlerini etkiledi •  Yetkisiz bir domain kullanıcısının yetkilerini Domain Administrator yetkilerine yükseltmesine olanak sağlar. •  Bu haklara sahip olan bir kullanıcı Domain Controller’lar dahil, Domain’de bulunan bütün bilgisayarlara erişebilir. Kerberos  KDC  Açığı
•  Kerberos •  Sandworm •  Poodle •  Drupal 7 •  Sony Ekim  –  Aralık 2014
•  Microsoft Windows versiyonlarının tamamını etkiledi •  Microsoft’un bit dosya içerisine başka bir dosya gömülmesine izin veren OLE (Object Linking and Embedding) teknolojisindeki bir açık •  Örnek: Bir Word dökümanının içerisine bit Excel dosyası gömmek •  Önşart: Bir kullanıcının özel olarak hazırlanmış bir dosyaya tıklamasını sağlamak Sandworm
•  Kerberos •  Sandworm •  Poodle •  Drupal 7 •  Sony Ekim  –  Aralık 2014
•  Google tarafından Ekim ayında tespit edildi •  SSL 3.0 kullanan sunucular etkilendi. •  Ortadaki adam saldırısı (MiTM – man in the middle) ile güvenli HTTP çerezleri (cookie) ele geçirilebiliyor. •  Böylece saldırgan kurbanın çerezlerini çalıp internetteki hesaplarını ele geçirebiliyor. •  En az Heartbleed kadar önemli (mi?) Poodle
•  Heartbleed açığı Poodle açığını döver J •  Poodle’da atak yapan kişinin man-in-the-middle yapması zorunlu •  Herkese açık Wi-Fi noktaları Poodle  vs.  Hearbleed
•  Parolasız •  Bedava •  Güvenlik ? Herkese  Açık  Wi-­‐Fi
•  Kerberos •  Sandworm •  Poodle •  Drupal 7 •  Sony Ekim  –  Aralık 2014
•  Drupal 7 Pre-auth SQLi •  SQL enjeksiyonu kullanarak açığın bulunduğu websitesinde Admin haklarına sahip olmaya izin veriyor. Drupal  7  Pre-­‐auth  SQLi
•  Kerberos •  Sandworm •  Poodle •  Drupal 7 •  Sony Ekim  –  Aralık 2014
2014: Hackerların Yükselişi ( 2014: Rise of the Hackers, Süleyman Özarslan, CypSec'15)
2014: Hackerların Yükselişi ( 2014: Rise of the Hackers, Süleyman Özarslan, CypSec'15)
Sony  Pictures  Hack  -­‐  Kasım
Sony  Pictures  Hack  -­‐  Kasım
Sony  Pictures  Hack  -­‐  Kasım
•  Regin •  Turla •  Energetic Bear •  Careto •  Cloud Atlas •  NetTraveller •  Operation Cleaver 2014  –  APT  yılı
Süleyman  Özarslan suleyman@picussecurity.com @su13ym4n

More Related Content

2014: Hackerların Yükselişi ( 2014: Rise of the Hackers, Süleyman Özarslan, CypSec'15)

  • 1. 2014: Hackerların Yükselişi Dr. Süleyman Özarslan suleyman@picussecurity.com Twitter: @su13ym4n
  • 2. •  Kurucu ortak ve Ar-Ge yöneticisi @ PICUS SECURITY www.picussecurity.com •  Öğretim üyesi @ ODTÜ Enformatik Enstitüsü Siber Güvenlik Yüksek Lisans Programı •  Siber savunma uzmanı ve eğitmeni @ NATO SPS Bilim ve Barış için Güvenlik Programı #whoami
  • 3. •  Ransomware •  16 Milyon e-mail adresinin ele geçirilmesi •  Apple GoToFail Bug Ocak  –  Mart 2014
  • 4. •  Fidye zararlı yazılımları 1.  Kurban bilgisayardaki dosyaları şifreler. 2.  Sonra dosyaları kurtarmak için fidye ister. •  En ünlüsü: Cryptolocker •  Windows API’deki bir bugı kullanır Ransomware
  • 9. •  Kullanıcı farkındalığı •  Kullanıcı farkındalığı •  Kullanıcı farkındalığı •  Yedekleme •  Güncelleme •  Antivirüs Cryptolocker  -­‐  Önlemler
  • 10. •  Ransomware •  Hacklenen 16 Milyon e-posta •  Apple GoToFail Bug Ocak  –  Mart 2014
  • 11. •  Duyuruyu yapan: Alman Bilgi Güvenliği Kurumu (BSI) •  16 milyon kullanıcı adı ve şifre ele geçirilmiş. •  Alman nüfusunun 1/5 ‘i •  Yöntem: Antivirüslere yakalanmayan küçük zararlı yazılımlar. Hacklenen  16  Milyon  E-­‐posta
  • 12. •  Ransomware •  Hacklenen 16 Milyon e-posta •  Apple GoToFail Bug Ocak  –  Mart 2014
  • 13. sslKeyExchange.c: hashOut.data = hashes + SSL_MD5_DIGEST_LEN; hashOut.length = SSL_SHA1_DIGEST_LEN; if ((err = SSLFreeBuffer(&hashCtx)) != 0) goto fail; if ((err = ReadyHash(&SSLHashSHA1, &hashCtx)) != 0) goto fail; if ((err = SSLHashSHA1.update(&hashCtx, &clientRandom)) != 0) goto fail; if ((err = SSLHashSHA1.update(&hashCtx, &serverRandom)) != 0) goto fail; if ((err = SSLHashSHA1.update(&hashCtx, &signedParams)) != 0) goto fail; goto fail; /* WTF J */ if ((err = SSLHashSHA1.final(&hashCtx, &hashOut)) != 0) goto fail; err = sslRawVerify(...);
  • 15. •  OpenSSL kriptografi kütüphanesinde ortaya çıkan bir bug •  2 yıldan uzun bir süre hackerlar tarafından çaktırmadan kullanılmış •  OpenSSL kullanan sunucuların hafızasından parola, private key vb. bilgilerin elde edilmesi •  SSL kullanan sunucuların %17’sini etkilemiş •  Örnek etki: 4.5 Milyon hasta verisinin çalınması Heartbleed
  • 16. •  Shellshock •  Apple cloud hack •  5 milyon Gmail hesabı •  2014 FIFA Dünya Kupası Brezilya Temmuz  –  Eylül 2014
  • 17. •  Etkilenen sistemler: Linux, Unix, Mac OS X •  Common Gateway Interface (CGI) kullanan websiteleri bir anda hacklenebilir hale geldi •  CGI aracılığıyla The Bourne Again Shell (Bash) üzerinde komut çalıştırmak mümkün hale geldi ShellShock  (Bash  Bug)
  • 18. •  Heartbleed açığı Poodle açığını döver J •  Poodle’da atak yapan kişinin man-in-the-middle yapması zorunlu •  Herkese açık Wi-Fi noktaları Heartbleed  vs  Shellshock
  • 19. •  Shellshock •  Apple cloud hack •  5 milyon Gmail hesabı •  2014 FIFA Dünya Kupası Brezilya Temmuz  –  Eylül 2014
  • 20. •  Apple Cloud Hack – Giyinik olmayan ünlüler J •  Bir sonraki slide’da örnek fotoğraflar var •  Telefondan 3 kere yanlış parola girilmesi = hesabın kilitlenmesi •  API üzerinden binlerce parola deneme = ? Apple  Cloud  Hack
  • 21. •  Shellshock •  Apple cloud hack •  5 milyon Gmail hesabı •  2014 FIFA Dünya Kupası Brezilya Temmuz  –  Eylül 2014
  • 22. •  5 milyon Gmail kullanıcı adı ve parolası sızdırıldı. •  Peki Gmail gerçekten hackendi mi? 5  Milyon  Gmail  Hesabı
  • 23. •  Shellshock •  Apple cloud hack •  5 milyon Gmail hesabı •  2014 FIFA Dünya Kupası Brezilya Temmuz  –  Eylül 2014
  • 25. Bu  Bir  İlk  Değil  J
  • 26. •  Kerberos •  Sandworm •  Poodle •  Drupal 7 •  Sony Ekim  –  Aralık 2014
  • 27. •  Bütün Microsoft Windows sürümlerini etkiledi •  Yetkisiz bir domain kullanıcısının yetkilerini Domain Administrator yetkilerine yükseltmesine olanak sağlar. •  Bu haklara sahip olan bir kullanıcı Domain Controller’lar dahil, Domain’de bulunan bütün bilgisayarlara erişebilir. Kerberos  KDC  Açığı
  • 28. •  Kerberos •  Sandworm •  Poodle •  Drupal 7 •  Sony Ekim  –  Aralık 2014
  • 29. •  Microsoft Windows versiyonlarının tamamını etkiledi •  Microsoft’un bit dosya içerisine başka bir dosya gömülmesine izin veren OLE (Object Linking and Embedding) teknolojisindeki bir açık •  Örnek: Bir Word dökümanının içerisine bit Excel dosyası gömmek •  Önşart: Bir kullanıcının özel olarak hazırlanmış bir dosyaya tıklamasını sağlamak Sandworm
  • 30. •  Kerberos •  Sandworm •  Poodle •  Drupal 7 •  Sony Ekim  –  Aralık 2014
  • 31. •  Google tarafından Ekim ayında tespit edildi •  SSL 3.0 kullanan sunucular etkilendi. •  Ortadaki adam saldırısı (MiTM – man in the middle) ile güvenli HTTP çerezleri (cookie) ele geçirilebiliyor. •  Böylece saldırgan kurbanın çerezlerini çalıp internetteki hesaplarını ele geçirebiliyor. •  En az Heartbleed kadar önemli (mi?) Poodle
  • 32. •  Heartbleed açığı Poodle açığını döver J •  Poodle’da atak yapan kişinin man-in-the-middle yapması zorunlu •  Herkese açık Wi-Fi noktaları Poodle  vs.  Hearbleed
  • 33. •  Parolasız •  Bedava •  Güvenlik ? Herkese  Açık  Wi-­‐Fi
  • 34. •  Kerberos •  Sandworm •  Poodle •  Drupal 7 •  Sony Ekim  –  Aralık 2014
  • 35. •  Drupal 7 Pre-auth SQLi •  SQL enjeksiyonu kullanarak açığın bulunduğu websitesinde Admin haklarına sahip olmaya izin veriyor. Drupal  7  Pre-­‐auth  SQLi
  • 36. •  Kerberos •  Sandworm •  Poodle •  Drupal 7 •  Sony Ekim  –  Aralık 2014
  • 39. Sony  Pictures  Hack  -­‐  Kasım
  • 40. Sony  Pictures  Hack  -­‐  Kasım
  • 41. Sony  Pictures  Hack  -­‐  Kasım
  • 42. •  Regin •  Turla •  Energetic Bear •  Careto •  Cloud Atlas •  NetTraveller •  Operation Cleaver 2014  –  APT  yılı