Etik Hackleme
(Ethical Hacking)
Etik hackleme konusuna geçmeden önce bazı genel kavramları açıklayalım. Siber güvenlik ile ilgili bu kavramları açıkladıktan sonra etik hackleme konusuna değinelim.
Bilgi çağının en büyük sorumluluğu o bilginin güvenliğinin sağlanmasıdır. Bilginin güvenliği bazı kriterler ile sağlanıp kontrol edilebilir. CIA Üçlemesi (CIA Triad) bu konudaki önemli referanslarımızdan biridir.
Bilgi sistemlerinin güvenlik açıklıklarını kullanarak bu sistemlere erişen, sistemdeki bilgiyi ele geçiren ya da sistemde değişiklik yapan saldırganların mali, ideolojik, siyasi ya da prestij ve merak gibi çok farklı motivasyonları olabilir. Motivasyon türü de hedefleri, hedefler üzerindeki amaçları ve eylemleri çeşitlendirir. Saldırılar da hedef ile etkileşim (aktif-pasif), mesafe (yakın), içeriden, dağıtım (kurulum öncesi manipülasyon) gibi sınıflara ayrılarak değerlendirilir.
Siber saldırıların aşamaları ile ilgili yapılan modellemelerden en sık tercih edilen Siber Ölüm Zinciri (Cyber Kill Chain)[1] ile saldırının hangi aşamasında hangi aksiyonların gerçekleşeceğini biliyoruz.
Keşif aşamasında hedef sistem ile ilgili olarak her türlü bilgi gerek açık kaynaklardan gerek hedefle etkileşim ile toplanır.
Silahlanma aşamasında elde edilen keşif bilgileri doğrultusunda hedefte kullanılacak olan zararlı yazılım ya da kod betikleri oluşturulur.
Teslimat aşamasında ile oluşturulan yazılım/kod hedefe iletilir.
Sömürü aşaması hedef sistemde bulunan bir açığın kullanılması ile sisteme erişildiği aşamadır.
Kurulum aşamasında ise oluşturulan zararlını hedefte kurulumu yapılır.
Komuta Kontrol aşamasında ise hedefte faaliyet yürütmek için komutların iletileceği kanal oluşturulur.
Hedefe yönelik eylemler ise saldırının son aşaması olarak amaçlanan işlemlerin (bilgi alma, dosya şifreleme, dosyaların ortadan kaldırılması vb.) gerçekleştirildiği aşamadır.
Bir başka saldırı modellemesi olarak da MITRE tarafından geliştirilen ve yakın zamanda v13 yayınlanan MITRE ATT&CK framework olarak ön plana çıkıyor.
Taktikler, bir saldırganın ulaşmaya çalıştığı hedefleri temsil eder. Teknikler, siber saldırganların taktiklerinin amaç ve hedeflerine ulaşabilecekleri farklı yolları tanımlar. Prosedürler ise saldırganların izlediği organizasyonel yaklaşımdır. MITRE ATT&CK framework çok sayıda saldırıya ve onların savunulmasına dair detaylı bilgilerin bir araya toplandığı bir matris ile hem red team için saldırı hem de blue team için savunma yöntemlerin kolay takip edilebilir ve uygulanabilir bir halde düzenlemiştir.
IoC (Indicators of Compromise) hedef/mağdur sistemde bulunan ihlale ilişkin ipuçları, eserler ve adli veri parçalarıdır. Pyramid of Pain ile düzenlenen model bize IoC tespitinin saldırgana verdiği zararları anlamamızda çok yardımcı olacaktır. IoC kategorileri olarak da; Mail, Ağ, Host Bazlı ve Davranışsal göstergeleri sayabiliriz.
Sistemlerin güvenlik açıklarından faydalanmak suretiyle o sistemlere erişen, verileri ele geçiren ya da imha eden kişiye hacker, eyleme de hackleme diyoruz. Hackerın amacı mali kazanç sağlamak olabileceği gibi zarar vermek ya da bilgi çalmak gibi ideolojik de olabilir. Amaç ve motivasyon hackerların sınıflandırılmasında, diğer ifadesiyle de şapkasının renginin belirlenmesinde temel kriterimizdir. Ana şapka renkleri;
Siyah Şapkalı: Yüksek bilgisayar ve yazılım kullanma becerisi ile kötü amaçlı eylemler (genelde mali) gerçekleştiren kişileri,
Beyaz Şapkalı: Sahip olduğu hack bilgi ve becerisini şirketlerin olası saldırılardan korunması için sistem testinde kullanan kişileri,
Gri Şapkalı: Siyah şapkalı hacker seviyesinde olan ama bu özelliklerini genelde hukuk içerisinde kullanan kişileri tanımlamak için kullanılır.
Hackleme işlemi hedefe yönelik keşif ile başlar, keşifte elde edilen bilgiler ile tarama gerçekleştirilir, tarama ile kazanılan bilgiler derlenir ve sonrasında erişim kazanılmaya geçilir. Erişim kazanıldıktan sonra erişimin devamlı olabilmesi için yetki yükseltme gibi eylemler yapılır. Kazanılan erişimi sürdürme ve yetkiyi elinde bulundurma aşamasında saldırgan hedef üzerindeki hâkimiyetini devam ettirmeyi amaçlar. Son aşamada ise saldırgan tespit edilmesini önlemek amacıyla sistemde bıraktığı izleri temizler.
Etik Hackleme hizmet satın alan şirket ya da organizasyonların sistemlerinin hackleme araçları kullanılarak test edilmesi ve açıkların kapatılmak üzere raporlanması sürecidir. Etik hacker kontrol ettiği sisteme kötücül amaçlı bir hacker gibi yaklaşıp o açıdan sistemi değerlendirir. Sistem açıklarını kapatılması için gereken ne kadar efor ve maliyet gerektiğini tespit etmeye çalışır. Etik hacker teknik olarak donanımlı olmalı; işletim sistemleri ve çalışma prensiplerini bilmeli, saldırı ve sızma yöntemleri ve araçlarının kullanılmasını iyi derecede bilmelidir.
Yukarıda da belirtildiği üzere bilgi güvenliği üç (gizlilik, bütünlük, erişilebilirlik) temel ilkesi ile sadece bilişim sistemlerinin değil organizasyona ait tüm bilgilerin güvenliğini kapsayan bir süreçtir. Bu korumayı maksimum seviyede sağlayabilmek için derinlemesine savunma (defence in depth) ile değerler korunmaktadır. Saldırganın aşması gereken engellerin çokluğu, zorluğu ve bağımsızlığı saldırının amacına ulaşmasını engellemek içindir.
Siber Tehdit İstihbaratı (CTI) Nedir? Siber Tehdit İstihbaratı (Cyber Threat Intelligence), bilgisayar sistemleri, ağlar ve dijital cihazlar gibi dijital varlıkların güvenliği için tehditlerin tespit edilmesi, analiz edilmesi ve öngörülmesi amacıyla yapılan bir faaliyettir. İstihbarı bilgiler neticesinde uzun/kısa vadeli planlar oluşturulur. Risklerin seviyesine göre ilgili birimlerce hareket politikaları belirlenir. Tehdit bilgileri doğrultusunda da modelleme oluşturulup zayıflıkların tespiti yapılır.
Olay yönetimi (Incident Response) Bir kurum ya da kuruluşun güvenlik ihlali ya da siber saldırı ile karşılaştığında olayı düzene sokma faaliyetine kalkışma sürecidir. Olay yönetimi süreci ne kadar iyi planlanmış ise yaşanan saldırı vb. olumsuzluklardan geri dönüş o kadar hızlı olur, bu sebeple verilen hizmetin aksamaması için olay yönetimi büyük önem taşımaktadır.
Saldırı vektörlerinin sürekli olarak güncellendiği, zafiyet çeşitliliğinin arttığı düşünülünce yapay zekâ ve makine öğrenmesinin siber güvenlikte çok önemli bir yardımcı eleman olduğu anlaşılacaktır. Özellikle kullanıcı davranış analizi ya da davranışsal analiz gibi yenilikçi çözümler kolaylıkla aşılabilen imza tabanlı güvenlik ürünlerinin eksikliklerini kapatmakta ve korunmayı bir üst basamağa çıkarmaktadır.
Konu güvenlik olunca olayın bir de ulusal/uluslararası mevzuat yönü olacaktır muhakkak. Bilginin türüne ya da lokasyonuna bağlı olarak uygulanan genel güvenlik standartlarına değinelim. PCI DSS ödeme sistemleri özellikle kartlı ödeme sistemlerine yönelik bir güvenlik standardıdır. ISO 27001 kuruluşların güvenlik ve denetim standartlarını düzenler. HIPAA sağlık sigortası ile ilgili oluşturulmuş olmasına rağmen günümüzde sağlık sektörünün genelinde uygulanan bir standarttır. Sarbanes Oxley borsada işlem gören şirketlerin tamamını kapsayan bir yasa olarak halka açık şirketlerde yaşanabilecek güvensizliği önlemek için çıkartılan bir yasadır. AB kapsamında oluşturularak yürürlüğe sokulan GDPR ise en sert ve kapsamlı güvenlik standartlarından biridir. Yasallık, adalet ve şeffaflık ilkelerinden yola çıkılarak birçok konuda (verinin boyutu, saklama süresi, elde ediliş amacı vb.) kısıtlamalar öngören bir standart olarak karşımıza çıkmaktadır.
Kaynakça:
https://www.bgasecurity.com/2019/05/siber-guvenlik-saldirilarinin-motivasyon-ve-amaclari-bolum-5/
https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html
https://www.exclusive-networks.com/tr/wp-content/uploads/sites/32/2020/12/MITRE-ATTCK-InfoBlox-.pdf
BGA Security “Etik Hacklemeye Giriş” sunumu
