Dün başladığımız röportajda Tamer Şahin’i tanımıştık. Bugün saldırganlar konusunda sohbet ettik. (Dünkü bölümü Hacker Olmak Her Zaman Kötü mü? başlığı altında bulabilirsiniz)
turk-internet.com : Güvenliğin Hangi Alanlarında Çalışıyorsunuz?
Şahin : Sistem ve network güvenliği üzerine çalışmalarda bulunuyorum. Mevcut network’ün test edilmesi (Penetrating Test) yada kullanılan network’ün güvenlik politikasının oluşturulması aşamasında çalışmalarda bulunuyorum. Kurulması planlanan yada kurulumu yapılmış network’lerde kullanılan sunucuların güvenlik seviyelerinin işletim sistemlerine göre B2, C2 gibi güvenlik seviyelerine taşınması, kurulumu ve özellikle zararlı trafiğin engellemesi icin firewall ve saldırı tespit sistemleri (IDS) kurulumu ve yönetimini kapsıyor.
Herşeyin temelinde genellikle ilk görüşmelerde firmanın gereksinimlerini, potansiyel tehditleri ve erişim politikasını belirlemeye yönelik yapılan güvenlik politikası oluşturmaya yönelik görüşmeler yer alıyor.
Bu görüşmelerde bazen karşı taraf ilginç yaklaşımlarda bulunabiliyor. Örneğin bir firma network’unu tamamen koruyup dışarıdaki zararlı trafiği engellemek ve içerideki erişimi de belirli kriterler doğrultusunda kontrol altında tutmak isterken, diğer bir firma bunun yanı sıra “Honeypot” olarak nitelendirdiğimiz ek bir network kurdurup o network’e yapılan saldırıların istatistiğini tutuyor yada muhtemel saldırılarda hedeflenen bilginin ve sistemlerin neler olduğuna dair kendi içerisinde ön bir çalışma yapıyor.
Honeypot network’ler aslında çeşitli yazılımlar yardımıyla gerçekte varolmayan basit, sıradan sunucular yaratılmasını yada o anda network’teki herhangi bir bileşende bulunmayan güvenlik açıklarının aslında varmış gibi gösterilmesini kapsıyor. Saldırgan bunun sonuç alamayacağı bir zayıflık gibi gözüktüğünü ancak saldırı yaptıktan sonra farkedebiliyor bu süreç sonrasında ise çoktan gerekli bilgiler loglanmış bulunuyor.
turk-internet.com : B ve C Güvenlik Seviyeleri Nedir?
Şahin : Güvenlik seviyeleri, işletim sistemlerinin niteliğine göre değişim
gösteren bir derecelendirmedir. Örneğin Windows serisi bir işletim sisteminin güvenlik seviyesi olarak çıkabileceği maksimum seviye C2’dir.
Fakat sistemde gerekli değişiklikler yapıldıktan sonra C2 seviyesinde olması için herhangi bir “network bağlantısının” olmaması gerekir. Yani Windows serisi işletim sistemleri internet’e veya local bir network’e bağlı iseler C2 seviyesinde sayılmıyorlar. Dünya’da ve özellikle Türkiye’de Windows serisi sunucuların yaygınlığı göz önüne alınırsa bu gerçekten düşündürücü ve komik bir ayrıntı.
Unix temelli işletim sistemlerinin ise, çıkabilecekleri iki seviye vardır B ve A. OpenBSD, Linux, Solaris gibi işletim sistemleri en fazla B2 güvenlik seviyesine kadar ulaşabilirler ki, bu tatmin edici bir seviyedir.
Bell laboratuarlarının hazırladığı “Plan 9” isimli işletim sistemi A güvenlik seviyesine ulaşabilen nadir işletim sistemlerinden birisidir. Maalesef bu işletim sistemini destekleyen yeterli sayıda uygulama ve teknik destek imkanı olmadığından, aktif bir kullanım oranı sağlayabilmiş degildir.
turk-internet.com : Sitelere Saldırı Yapanların Loglarını Tutmak Ne İşe Yarıyor?
Şahin : Log tutmak güvenlik zincirini tamamlayan önemli bir halkadır. Araçları doğru kullanarak her türlü güvenlik önlemini alsanız dahi, sistemin işleyişi sırasında log tutulmuyorsa, o network’teki hakimiyetin tam anlamı ile sistem yöneticisinde olduğu söylenemez.
Yüksek oranda güvenlik önlemi alındığı düşünülüyor olsa bile yine de Firewall, IDS, Webserver, Ftp Server, Sistem logları vb.düzenli olarak takip edilmeli ve olabilecek anormal durumlara karşı gözden geçirilmelidir.
Bu kimi zaman saldırıya ait log, kimi zaman ise sistemin işleyişini aksatan anormal bir durum olabilir. Takip etmek ve kontrol altında tutmak için yapılacak en iyi şey log tutulması ve bu logların düzenli olarak incelenmesidir.
turk-internet.com : Türkiye’de Şirketlere (ozel/kamu) Saldırı İçeriden mi Dışarıdan mı Oluyor?
Şahin : Genel bir perspektiften bakacak olursak saldırıların büyük bir kısmı içeriden gerçekleşir. Buna karşın ülkemizde ki saldırıların büyük çoğunluğu kurum dışından denilebilir. İçeriden yapılan saldırılar genellikle “Endüstri Casusluğu” başlığı altında tanımlanabilir. Herhangi bir çalışan şirkette kritik bilgilerin tutulduğu sunuculardan birisine kolayca erişim sağlayarak bazı bilgileri farklı firmalara maddi kazanç sağlayarak satıyor. Genellikle bu başlık altındaki olaylar duyulmaz. Bu nedenle de kötü tecrübe yaşamamış, dolayısıyla ders almamış bir çok firma ciddi bir güvenlik politikası belirlememiş durumda.
turk-internet.com : Saldırganlar Ne Tür Saldırılar ve Neden Yapıyorlar?
Şahin :
Diğer bir tehdit ise son yıllarda oldukça popüler olan “Worm”lar. Bu programlar hem bildiğimiz virüslerin sistem kaynaklarını kullanım yeteneğine, hem de sistemlerdeki açıkları kullanma becerisine sahip programcıklardır. Worm’lar bilinen belirli guvenlik açıklarını kullanarak sisteme sızarlar ve o sistemde belirli işlemleri gerçekleştirdikten sonra, o sunucu üzerinden taradıkları diğer zayıflık bulunan sunuculara geçerek yayılırlar. Bu kategoride verilebilecek en iyi örnek “Code Red” dir. Yüzbinlerce sunucunun zarar görmesine ve milyonlarca dolar hasara neden olan Code Red Microsoft’un IIS web sunucusundaki bilinen bir açığı kullanarak çalışıyordu. Kısa sürede büyük kitlelere ulaştı. Her anlamda büyük çapta hasara neden oldu.
Adeta otomatik olan bu saldırıların yanı sıra belirli bir sistemle uğraşıp orada erişim sağlamaya çalışan kişiler de mevcut. Bu kişiler genellikle ya meraktan ya da bilinen güvenlik açıklarını denemek için yapıyorlar. Kimi zaman ciddi zararlara neden olabiliyorlar.
Esasında eğer bir sunucu hack edilirse, herhangi bir şeyin zarar görmemesi durumunda bunda çok büyük bir sakınca göremiyorum. Güvenlik açığı zaten orada duruyordu. Bunu zararsız birisinin bulması durumunda sistemi kullananların bu zayıflığı öğrenme şansları artar bunu sisteme zarar verecek nitelikte birisinin bulması durumunda ise çok daha uzun süre bir sır olarak kalır ve zararı çok daha yüksek bedellerde ödenebilir. Bu durumda internet’le ilişkisi olan her firmanın sunucularını koruma ve buna bütçe ayırma gibi bir sorumlulukları vardır. Bunu yerine getirmedikleri takdirde zararlı ya da zararsız diğer kişilerin sistemlerini hack’leyecegi ve bunun sonucunda belirli kayıplar verecekleri kaçınılmaz bir sonuçtur.
turk-internet.com : Her Saldırganı Yakalamak Mümkün mü?
Şahin : Saldırganın bilgi düzeyine göre değişir. Daha önce bahsettiğimiz log sistemi eğer iyi şekilde konumlandırılmışsa saldırganın yakalanması büyük ölçüde kolaylaşır. Log edilen IP adresinden internet servis sağlayıcısı tespit edilir ve mahkeme kararı ile internet servis sağlayıcı’dan kişinin kişisel bilgileri alınarak, belirli yasal işlemler başlatılır.
Yasal işlemler baslatılsa da henüz bu konuda ciddi bir yasal düzenleme bulunmadığı için sonuç almak, oldukça zordur. Eger saldırgan gerçekten
profesyonel ise zaten bu işi farklı sunucular üzerinden gerçekleştirecektir. Bu durumda örneğin log dosyalarınızda sisteminizi hack’leyen bir üniversitenin IP’si ile karşılaşabilirsiniz. Çünkü saldırgan Üniversitedeki bir sunucu üzerinden sizin sisteminize saldırmış ve erişim sağlamış ya da sağlamaya çalışmıştır. Bu durumda en iyi şey üniversitenin sistem yöneticisi ile irtibata geçip onun sistemlerinde belirli bir tespit çalışmasına girişilmesidir. Fakat çoğu zaman bu gibi yöntemlerden sonuç alınamaz.
Yazının devamını E-devlet Ama Nasıl ?? …….. Ya Güvenlik?? başlığı altında bulabilirsiniz.
Kaynak : 