HEARTBLEED NEDİR, NE DEĞİLDİR? McAFEE
Transkript
HEARTBLEED NEDİR, NE DEĞİLDİR? McAFEE
Özgür Kuvvet karikatürleri ile Beyaz Şapka’da • • • • • • • • • HEARTBLEED NEDİR, NE DEĞİLDİR? McAFEE ÜRÜN AİLESİ İÇERİSİNDE ÇOK BİLİNMEYEN, GENİŞ KAPSAMLI MALWARE ARAŞTIRMA ÇÖZÜMÜ DİSK VERİ DEPOLAMA SİSTEMLERİ DAĞITIK YAPILARDA GÜVENLİK DUVARI DENETİMİ 5651 SAYILI KANUN VE ŞİRKETLERİN YÜKÜMLÜLÜKLERİ BULUT ÜZERİNDEN UÇ NOKTA GÜVENLİĞİ HUKUKİ DÜZENLEMELER ÇERÇEVESİNDE KAYITLI ELEKTRONİK POSTA (KEP) DNS SPOOFING 1 2 2 beyaz şapka Şubat 2013 İçindekiler 04->> Heartbleed nedir, ne değildir? Serkan Akcan 06->> McAfee ürün ailesi içerisinde çok bilinmeyen, geniş kapsamlı malware araştırma çözümü Serkan Kırmızıgül 08->> Disk Veri Depolama Sistemleri (devam): Tarkan Çiçek 10->> Dağıtık Yapılarda Güvenlik Duvarı Denetimi Ozan Özkara 12->> 5651 Sayılı Kanun Ve Şirketlerin Yükümlülükleri Selen Uğur 14->> Bulut Üzerinden Uç Nokta Güvenliği Atıl Gürcan 16->> Hukuki Düzenlemeler Çerçevesinde Kayıtlı Elektronik Posta (KEP) Sibel Akbaş 18->> DNS Spoofing İrfan Kotman B eyaz Şapka’nın Şubat sayısından bu yana oldukça yoğun bir program yürüttük. Biraz yorulduk ama bilgi güvenliği farkındalığını arttıran çalışmalarımızın meyvelerini görmek gücümüze güç kattı. 4 Mart 2014’te Çırağan Sarayı’nda yapılan IDC IT Security Roadshow konferansına sponsor olarak katıldık. Aynı konferansın Ankara ayağı için 19 Mart 2014’te Ankara JW Marriott otelindeydik. Her iki konferansta da katılımcılara güncel bilgi güvenliği bilgilerini taşıdık. Ankara etkinliği bu yıl bizim için daha özeldi çünkü 3 Mart 2014 itibarı ile Ankara ofisimizi açtık. IDC IT Security Ankara konferansında da ofis açılışımızın küçük bir kutlamasını yaptık. İstanbul ofisimizin 9 yıldan uzun bir süredir yarattığı yüksek kaliteli hizmete Ankara’da da büyük bir ihtiyaç olduğunu tekrar gördük. Önümüzdeki dönemde Ankara ofisimize verdiğimiz desteği büyüterek devam ettireceğiz. Ankara’ya daha iyi ve kaliteli bir bilgi güvenliği anlayışı getirmek için yaptığımız çalışmalara tüm iş ortaklarımızdan, müşterilerimizden ve Beyaz Şapka abonelerimizden destek rica ediyoruz. 2-4 Nisan 2014 Tarihlerinde IDC CIO Summit 2014 Konferansı için Antalya Kaya Golf Resort Hotel’deydik. Bu konferansta üst düzey yöneticilere ulaşıp bilgi güvenliğine ayırdıkları zamanı birkaç dakika bile olsa arttırmaya çalıştık. 17 Nisan 2014 Tarihinde ise İstanbul Point Hotel Barbaros’da Entegre Bilgi Güvenliği adında bir seminer düzenledik. Yaklaşık 65 katılımcının hazır bulunduğu seminerde bilgi güvenliği olaylarına karşı nasıl otomatik aksiyon alınabildiğini önceden kullanım senaryoları şeklinde sunmaya çalıştık. Bu seminerimizden de oldukça iyi tepkiler aldık. Bu seminerimize Ankara’dan katılan da misafirlerimiz de oldu. Kendilerine ve diğer katılımcılara tekrar teşekkür ederiz. Bu seminerlerimizin benzerlerini yılsonuna doğru Ankara’da da yapmak üzere çalışmalar gerçekleştiriyoruz. Tüm seminerlerimizin davetiyelileri sizlere gönderilecektir. Bütün bu etkinliklerin yanı sıra sizlere daha iyi hizmetler üretmek ve mevcut hizmetlerimizin kalitesini arttırmak için de çalışmalarımızı devam ettiriyoruz. Bu sayıda okuyabileceğiniz Heartbleed atağı da bu çalışmalarımızı biraz daha hızlandırdı. Acil durumlarda müşterilerimizi daha hızlı ve doğru bilgilendirecek ve sadece destek sözleşmeli müşterilerimize hizmet verecek bir hizmet zinciri üzerine çalışıyoruz. Tüm testlerimiz bittiğinde ve hizmetin detayları netleştiğinde destek sözleşmeli müşterilerimiz bilgilendirilecekler. Son olarak Beyaz Şapka’daki küçük bir yenilikten bahsetmek istiyoruz. Bu sayıdan itibaren Özgür Kuvvet karikatürleri ile Beyaz Şapka’da yer alacak. Sizi bilgilendirirken bir miktar da gülümsetmek istiyoruz Her sayıda olduğu gibi tüm soru ve taleplerinizi bize iletmenizi, Facebook ve twitter hesaplarımızdan bizi takip etmenizi rica ediyoruz. www.nebulabilisim.com.tr ww.facebook.com/nebulabilisim www.twitter.com/nebulabilisim Güvenli Günler! Beyaz Şapka Ekibi beyaz şapka Mayıs 2014 3 Serkan AKCAN Akcan serkan.akcan@nebulabilisim.com.tr Heartbleed nedir, ne değildir? H eartbleed açığı dünyayı kasıp kavurdu. Detaylı inceleme fırsatı bulamadıysanız sadece beş dakikanızı bu yazıya ayırarak Heartbleed açığı hakkında yeterli ve doğru bilgi edinin. Heartbleed açığı Google’ın güvenlik mühendisi Neel Mehta buldu ve OpenSSL’e bildirdi. Paralelinde Finli güvenlik yazılımı üreticisi Codenomicon şirketinin mühendisleri aynı açığı keşfetti ve açığın adını verdi. Codenomicon mühendisleri ayrıca www. heartbleed.com adlı bir web sitesinin yayınına başlayarak açıklık hakkında teknik detayları paylaşıma açtı ve açıklık için yarattıkları logo tüm dünyaya yayıldı. Heartbleed açıklğı OpenSSL yazılımında bulunan basit ama çok büyük problemlere neden olabilecek bir açıklık. Şifreleme amacı ile kullandığımız OpenSSL’de bulunan Heartbeat özelliğinin daha uzun bir sorgu ile çalıştırıldığında gizli verileri göndermesinden ibaret. Heartbleed’i daha kolay anlatmak için bir wikipedia kullanıcı çok güzel bir görsel hazırlamış. Ben de bu görseli değiştirmeden kullanıyorum. Genel bakış Heartbleed açığı sayesinde OpenSSL’in zafiyet taşıyan bir sürümünü kullanan sistemden kullanıcı adları, şifreler, dokümanlar ve hatta private key’leri sızdırmak son derece kolay. Açıklık son derece yaygın bir alanda görülüyor. Instant Messaging yazılımlarından VPN sistemlerine, e-ticaret sitelerinden Softwa- 4 beyaz şapka Mayıs 2014 re-as-a-service yazılımlarına kadar çok geniş bir alanda veri sızıntısı ihtimali var. Daha net söylememiz gerekirse Google, Dropbox, Lastpass, Eventbrite ve SoundCloud gibi yaygın kullanılan web siteleri açıktan etkilendi. Yani kullanıcı adınız ve şifreniz çalınmış olabilir. Yazıyı hazırladığım gün itibarı ile Facebook, Twitter ve Apple gibi şirketlere ait sistemlerin etkilenip etkilenmediği henüz bilinmiyor. Uzun lafın kısası şifrelerinizi değiştirin. Açıklıktan etkilemediğini bildiren üreticiler de her ne kadar etki görülmemiş olsa da tüm kullanıcılarına şifrelerini değiştirmelerinin daha güvenli olacağını bildiriyor. Buraya kadar Heartbleed’in bireysel kullanıcılara etkisinden bahsettik. Medyada da daha ziyade bireysel kullanıcılara etkileri yer alıyor. Ama emin olun kurumsal etkileri çok daha büyük ve riskli! OpenSSL kullanan tüm müşteriler çok gizli verilerini kaybetme, açık ve geniş biçimde hack edilme riskiyle karşı karşıya. Birçok şirkettin OpenSSL kullanmadıkları için güvende olduk- larını düşündüklerini gördüm ve işittim. Oysa birçok ürünün yönetim konsolları OpenSSL kullanıyor. Antivirus yönetim konsolları, SSLVPN çözümleri, Email security ürünleri, Web security ürünleri, Firewall’lar gibi çok kritik ürünler OpenSSL kullanıyor ve zafiyet barındırıyorlar. Ne yapmalıyız? Aksiyon planını iki kademeli düşünebiliriz. İlki her zaman önleyici tedbir olmalıdır. Birçok güvenlik üreticisi Heartbleed açığını tespit edip durdurabilecek çözümler üretti. NIPS/HIPS, Firewall/UTM ve WAF gibi ürünlerle açığa karşı yapılacak atakları ağ geçidi seviyesinde durdurmak mümkün. Kullanmakta olduğunuz ürünlerin imkanlarını dikkatlice incelemelisiniz. İkinci adım açıklıkları bulup kesin olarak kapatmak. OpenSSL kullananlar için iş kolay. Yeni sürüme geçiş yapabilir veya OpenSSL’i yeniden derleyerek geçici çözüm üretebilirsiniz. Teknik detayları burada uzun uzun anlatmayacağım. Fakat hangi ürünlerde OpenSSL kullanıldığını ezbere bilmek pek mümkün değil. Önerim bir zafiyet tarama yazılımı ile tüm sisteminizi taratmanız. Eğer bir zafiyet tarama yazılımınız yoksa McAfee Vulnerability Manager yazılımının deneme sürümünü kullanabilirsiniz. Tarama bittiğinde hangi sistemlerinizde OpenSSL var ve hangilerinde Heartbleed zafiyeti bulunuyor, net olarak görebileceksiniz. Katılaştırma İngilizcede Hardening adı ile geçer. Sistemi ihtiyaçlardan fazlasına cevap vermeyecek şekilde konfigüre etmek ve fazla görevleri ortadan kaldırmak anlamına gelir. Örneğin OpenSSL’e ihtiyacınız yoksa bu servisleri çalıştırmamak sistem katılaştırmasına iyi bir örnektir. Bu sistemleri devreye alırken bilgi güvenliği uzmanları barındıran şirketler çalışmanızı öneriyorum. Her ne kadar iyi bir bilgi güvenliği süreci sürdürsek de risk her zaman vardır. Zafiyetleri sıkı biçimde takip etmeli ve kötü niyetlilerden önce bulup kapatmalıyız. Bu anlamda maalesef zayıf bir ülkeyiz çünkü doğru düzgün faaliyet gösteren Computer Emergency Response Team (CERT) birimimiz bulunmuyor. Böyle bir birim olsaydı tek bir noktadan küresel ve yerel tehditleri izleyebilir ve güvenlik çıtamızı yükseltebilirdik. Biz bu konuda gücümüz yettiğince devlet kurumlarının ilgisini çekmeye çalışıyor ve ulusal güvenliği de arttıracak çalışmaların yapılması için farkındalığı arttıracak faaliyetler yürütüyoruz. Diğer yandan destek sözleşmeli müşterilerimize küresel tehditler konusunda daha hızlı bilgi sağlayacak bir sistem üzerinde çalışmaya devam ediyoruz. Daha iyi bir bilgi güvenliği süreci yaratabilmemiz için lütfen bizi desteklemeye devam edin. OpenSSL ticari bir ürünün içinde bulunduğunda genel olarak direk OpenSSL’e müdahale etme şansımız olmaz. Üreticiler yaygın biçimde ilgili açığı kapatacak yama veya yeni sürüm geliştirdiler. Dolayısı ile OpenSSL yazılımını arka planında kullanan ürünleri zafiyetten kurtarmak için güncelleme çalışması yapmak gerekiyor. Sonuç Güvenlik ürün ve teknolojileri de birer yazılımdan ibarettir. Amaçları diğer yazılımları ve verileri korumaktır ama aynı risklere sahiplerdir. Sertifika kullanıyor olmak, IPS’e sahip olmak veya bilinen tüm ürünleri satın almış olmak bilgi güvenliği adına hiçbir şey ifade etmez. Bu noktada iki önemli konudan bahsetmek yerinde olacaktır. Teknolojileri katılaştırmak ve açıklıklarını sürekli takip etmek. beyaz şapka Mayıs 2014 5 Serkan AKCAN Kırmızıgül serkan_kirmizigul@mcafee.com McAfee Ürün Ailesi İçerisinde Çok Bilinmeyen, Geniş Kapsamlı Malware Araştırma Çözümü M cAfee ürün ailesi uzun süredir özellikle güvenlik ve malware Temel paket bir çok güvenlik bileşeni ile ön tanımlı olarak gel- analistlerinin işlerini oldukça kolaylaştıran, genişlemeye uy- mektedir (Şekil-2). Bu çözümler gerek McAfee çözümlerini gerek- gun ve açık mimariye sahip ortak bir framework alt yapısı se McAfee harici diğer üreticilerin veya açık kaynak projelerinin sağlıyor. Kısaca CADS (Cloud Analysis and Deconstruction Services ) çözümlerini barındırmaktadır. Çözümün en önemli avantajı bu olarak adlandırılan bu çözüm her ne kadar akıllarda bir servis intibası temel paketin müşterinin edindiği yeni teknolojilerle büyümeye bıraksa da aslında müşteriler için tamamen özelleştirilmiş bir yazılım alt imkân sağlamasıdır. Örneğin sonradan müşterinin portföyüne yapısı sunmaktadır. eklediği bir sandbox çözümü bu framework alt yapısına ekleneCADS Framework üretici bilmektedir. Bu aşamada istenilirse entegrasyon için McAfee den bağımsız olarak dosya ve direk hizmet alınabilmektedir. URL’ler için detaylı araştırma ve inceleme imkanı sunmaktadır. Dolayısıyla Open-Restful alt yapısı farklı üreticilerin güvenlik çözümlerinin bu framework alt yapısına direk bağlanmasını sağlamakta ve müşteri açısından ise ortak ve tek bir araştırma ortamı sağlanmaktadır. Sunulan çözüm Vmware ESX alt yapısı veya CloudShield donanımları Şekil-2 ön tanımlı üreticiler ve açık kaynak projeleri üzerinde çalışabilmekte bu sayede yüksek miktardaki URL ve anlık çok sayıdaki malware analizine imkân sağlamaktadır.(Şekil-1) 1. McAfee ATD ve Norse (McAfee SIA partner) ayrıca temin edil- Nagios plugin sayesinde donanım alt yapısına ait sağlık ve performans mektedir. değerleri canlı izlenebilmekte ve yönetilebilmektedir. Vcenter kullanıl- 2. VirusTotal den kurumsal anahtar sağlanmalıdır ması durumunda ise donanımsal fail-over mimari desteklenmektedir. 3. McAfee GTI File ve URL reputation hizmetleri ayrı ayrı açılıp kapatılabilir CADS üzerinde çalışan farklı analiz araçları arasında yük dağılımını oto- 4. McAfee Network Threat Response (NTR) Shell Code Analyser matik yapabilmektedir. Taranan dosyalarla ilgili sonuçlar ve örnekler 5. McAfee NTR a ait PDF analiz motoru arşivlenebilmekte, o an için tespit edilemeyen kodlar zaman içeresinde 6. Zip-Exctractor olası tüm arşiv dosyalarını açmayı sağlar güncel istihbarat ve DAT dosyaları ile tekrar taranarak analizden geçiri- 7. McAfee NTR’a ait office dosya inceleme motoru lebilmektedir. 6 beyaz şapka Mayıs 2014 CADS mimarisi üzerinde manual dosya inceleme yöntemi dışında CADS inceleme süreçleri sırasıyla şöyle özetlenebilir; ağa konumlandırılacak diğer güvenlik ürünleri ile ağ içeresinde 1. Tüm tespit edilen ağ adresleri, domain’ler, URL’ler ve file hash dolaşan örneklerin toplanarak bu sisteme gönderilmesi ve detay- bilgileri McAfee GTI ve Norse istihbarat ortamına sorulur. lı incelenmesi mümkün olabilmektedir. Bu amaçla uzun yıllardır 2. Toplanan dosya, CADS içeresindeki antivirüs havuzuna yollanır McAfee ürün ailesinde bulunan McAfee NTR çözümü önemli bir ve belirlenen kurallar çerçevesinde taranır. bileşendir. 3. Dosya analizleri sürecinde PDF dosyaları FileScan servisi ile taranır, embeded objeler açılarak analizden geçirilir. 4. Toplanan Jar dosyaları analiz için FileScan servisine gönderilir. 5. NTR ile shellcode analizi yapılır. 6. Yara kuralları çalıştırılır. 7. En son ise yakalanan dosyalar dinamik analiz için mevcut Sandbox havuzuna yollanır.(McAfee, ATD ve Cuckoo) McAfee NTR, ağ içerinde dolaşan dosyaları yakalamak ve davra- 8. Toplu rapor üretilir. nışlarını analiz etmek için pasif algılayıcılarını (sensor) kullanmaktadır. Multi-Gigabit performansı ile büyük kurumların ihtiyaçla- Özellikle McAfee ATD üzerindeki geliştirmelerle birlikte tespit edi- rını sağlayan güçlü ve tamamlayıcı bir güvenlik bileşenidir. NTR len APT ve benzer zararlıların ağ üzerinde durdurulması ve olası gerek appliance gerekse Vmware ESX alt yapısını desteklemekte enfekte kaynakların tespiti mümkündür. Bu amaçla mevcut McA- bu sayede tek bir algılayıcı ile en fazla 2 Gbps’lık trafiklerin analizi fee ürünleri kullanılabilmekte ve CADS ile bu çözümlerin bir bü- mümkün olmaktadır. Birden çok algılayıcı merkezi olarak yöneti- tün halinde çalışması sonucunda çözüm inceleme ve araştırmanın lebilmekte algılayıcılar üzerinde çalışan politikalara istinaden dos- ötesinde toplu bir güvenlik çözümü olarak karşımıza çıkmaktadır. ya ve URL erişimleri detaylı incelenebilmekte ve toplanan veriler Örnek toplamak ve ağ seviyesinde bloklama imkanı için McAfee manager ile paylaşılmaktadır. Down-Selected politikalarla hem Network IPS, McAfee Web Gateway ve McAfee E-Mail Gateway; sa- imza temelli hem de davranışsal birçok metot aynı anda kullanı- dece örnek toplamak için McAfee NTR; olası enfekte halindeki son labilmektedir. Manager neredeyse bir trafik polisi gibi çalışmakta kullanıcı sistemlerinin bulunması ve düzeltilmesi için McAfee Real- toplanan veriler ve raporlar üzerinde detaylı korelasyon ve ilişki- time Command kullanılmaktadır. McAfee SIEM ile ise uzun dönem lendirme yapılabilmektedir. Gerekli görülmesi durumunda full fo- log kayıtlama ve diğer güvenlik ürünleri ile korelasyon imkanları rensic araştırma kararı verilmektedir. Sezgisel algoritmalar topla- otomatik sağlanmaktadır.(Şekil-4) nan veriler üzerinde; köken, süre, aktivite sıklığı gibi parametreleri inceleyerek veri setleri üzerinde azaltma yapabilmekte dolayısıyla mükerrer ve gereksiz analizlerin önüne geçilmektedir. NTR aynı zamanda ağ üzerinde yakalanan şüpheli JAR, PDF ve executable dosyalar üzerinde sofistike saldırıları çıkarabilmekte ve daha detaylı forensic araştırmalar için CADS sistemine otomatik yollayabilmektedir. Tespit için dinamik ve statik analiz teknikleri bir arada kullanılabilmektedir. beyaz şapka Mayıs 2014 7 SerkanÇiçek AKCAN Tarkan tarkan.cicek@nebulabilisim.com.tr Disk Veri Depolama Sistemleri (devam): Ağ Bağlantıları: isk veri depolama sistemlerinde bağlantı şekilleri ağırlıkla Fiber Anahtar (switch)’lar üzerinden yapılıyor olsa da farklı şekillerde bağlantı kurmak mümkündür. Depolama birimi ile Sunucu arasındaki yetkilendirme HBA (Host Bus Adapter), kartının ağ kartlarındaki MAC adresi gibi benzersiz tanımlayıcısı olan WWN numarasına göre yapılır. Yani hangi Lun’a hangi Sunucunun erişeceği WWN numaralarına göre yetkilendirilir ve ancak ilgili WWN’den gelen istekler ilgili Lun’a iletilir. Buradan sizin de tahmin edeceğiniz üzere bir sunucu üzerindeki HBA kartını başka bir sunucuya taşıdığınızda Lun’lara olan erişimi de bu sunucuya taşımış olursunuz. Yeni sistemler üzerinde sanal WWN uygulamaları ile farklı durumlar yaratmak da söz konusudur. WWN numaralandırması ATA, SAS ve FC protokolleri için kullanılmaktadır. 8 veya 16 Byte uzunluğundadırlar ve her üreticiye göre bir başlangıç koduna sahiptirler. İlk 6 karakterden oluşan bu koda OUI (Organizational Unique Identifier) denir. Türkçe olarak ise Benzersiz Üretici Tanımlayıcı kod diyebiliriz. Bu ilk 6 hane için bir kaç örneği aşağıda verelim; • 00:50:76 IBM • 00:17:38 IBM, formerly XIV. • 00:A0:98 NetApp • 00:01:55 Promise Technology • 00:60:69 Brocade Communications Systems • 00:05:30 Cisco • 00:E0:8B QLogic HBAs, original identifier space • 00:1B:32 QLogic HBAs. new identifier space starting to be used in 2007 • 08:00:88 Brocade Communications Systems, • 00:60:B0 Hewlett-Packard - Integrity and HP9000 servers. • 00:17:A4 Hewlett-Packard - MSL tape libraries. Formerly Global Data Services. WWIDs begin with 200x.0017.a4 • 00:60:48 EMC Corporation, for Symmetrix DMX • 00:00:97 EMC Corporation, for Symmetrix VMAX •00:60:16 EMC Corporation, for CLARiiON/VNX • 00:60:E8 Hitachi Data Systems • 00:0C:50 Seagate Technology • 00:00:C9 Emulex • 00:14:EE Western Digital D Point-to-Point (Direct Attach): Sunucu ile depolama sisteminin arada herhangi bir başka bileşen olmadan doğrudan bağlanması şeklidir. Bu tip bağlantıda sunucu ve depolama sistemi arasında bağlantı doğrudan sağlanır. Yine de depolama sistemi üzerinde bir Lun yetkilendirmesi gerekmektedir. Yani depolama sisteminin üzerinde ulaşılacak Lun’lar için sunucu hba kartının wwn’ine izin verilmesi gerekir. Bu 8 beyaz şapka Mayıs 2014 tip bağlantı kullanılmak istendiğinde depolama sisteminin bu tür bağlantıyı desteklediğinden, hba’nın firmware’inin, işletim sisteminin, vb şeylerin uyumluluğu önceden kontrol edilmelidir. Günümüz depolama sistemlerinin tamamı fabric attach desteklemekte fakat sadece bir kısmı direct attach desteklemektedir. Fiber Channel Arbitrated Loop (FC-AL) Fiber Switch’ler ucuzlamadan önce tercih edilen ve yaygın kullanıma sahip bir bağlantı türüdür (FC Switch’lerin birçoğu hala FC-AL bağlantıyı destekler) . Bu bağlantı tipinde her cihaz bir diğerine bağlanarak bir halka oluşturur. Bir halka içinde SCSI sisteminin adresleyebileceği en fazla 127 adet ünite olabilir. Her bir ünite halkanın tamamlayıcı parçası olur ve tüm üniteler mevcut bant genişliğini ortak kullanır. Yani ünite sayısı arttıkça performans azalır. Bu yapının benzer şekilde kurdukları bağlantıya Private Loop, bir hub aracılığı ile Switched bir yapıya bağlantı kurmalarına ise Public Loop denilir. Kendi aralarında bağlantı kurdukları portlara NL (Node Loop), Switch ile bağlantı kurdukları portlara ise FL (Fabric Loop) denilir. Bu tip bağlantıda halkayı oluşturan herhangi bir noktanın kopması tüm sistem iletişiminin kesilmesine yol açtığından güvenliği ön planda tutan sistemlerde çift loop döngüsü kullanılır. Paylaşımlı yapıda çalışması, performansı, arızaya açık yapısı nedeniyle FC Switch’lerin ucuzlaması ile yeni nesil depolama sistemlerinde pek tercih edilmemektedir. FC Switched Fabric (FC-SW) FC Switch yapısında tüm nodlar birbirlerine bir veya birden fazla switch aracılığı ile bağlanırlar. Genellikle arızalara karşı güvenlik ve süreklilik sağlanması amacı ile çift switch ile bağlantı tercih edilir. Her bir depolama ünitesi ve sunucu en az iki bağlantı ile iki farklı switch’e bağlanır. Böylece herhangi bir arıza durumda sunucu ile depolama ünitesi arasında herhangi bir bağlantı ünitesinde (HBA, kablo, switch) sorun olması durumunda bağlantı alternatif yoldan devam ederek sürekliliği sağlar (Multipath entegre edilmiş olması gerekir). FC Switch yapısında teorik olarak 16milyon tane node bağlantısı yapmak mümkündür. Switch yapıları başka switch’ler ile birleştirilerek istenilen ölçüde büyütülebilir. FC-SW yapısında her bir node diğeri ile direkt olarak iletişim kurar ve switch’in sağlayabildiği en yüksek hızda iletişim kurulur. FC-AL yapısının aksine iletişim tüm node’ların üzerinden geçmez, iki node arasında direkt olarak gerçekleşir. FC Fabric switch portları hem switched hem de FC-AL olarak çalıştırılabilir. Switch üzerinde yönetimi basitleştirmek ve akışı kontrol etmek amacı ile Zoning yapısı kullanılır. Bu Normal ethernet switch’lerdeki Vlan yapısına benzer. Genel uygulama olarak zoning yaparken, birbiri ile iletişim kurması gereken her bir wwn aynı zone içinde toplanır. Hani sunucunun hangi depolama ünitesine ulaşabileceği yetkilendirmesi switch üzerinde zoning’ler ile yapılır. Temelde zoning işlemi switch’i daha küçük alanlara bölme işlemidir. Böylece hem gereksiz trafiğin switch içinde dönerek performansı etkilemesi engellenmiş hem de yetkisiz erişimlerin önüne geçilmiş olunur. istemci ve sunucu arasında iletilmesini sağlar. Çoklu iletişimin gerçekleştirilmesi ise aşağıdaki örnekte göründüğü gibidir. Peki Fabric Nedir? Buradan da anlayacağınız üzere herhangi bir portun aynı anda birden fazla port ile haberleşmesi mümkün değildir. Burada konumuz ile bağlantılı olması nedeniyle biraz ağ yapılarına değinmek gerekecek. Fabric kelime tercümesi olarak dokuma manasına gelir. Ağ yapılarında anahtarlama (switch) ürünlerine Fabric Switch denmesinin nedeni ağ anahtarlarının mantıksal yapısının bir dokuma gibi görünmesidir. Günümüz ağ anahtarları aşağıdaki şekilde çalışırlar. Ağ anahtarları üzerindeki buffer (önbellek) sayesinde bir porta aynı anda gelen paketler kuyrukta bekletilerek bir sonraki bağlantı ile transferleri sağlanır. Bu kuyruğa alma ve bir sonraki sürede transfer işlemleri ise Ağ anahtarının işlemcisi tarafından yönetilir. Burada aynı anda iki port arasındaki iletişimin gerçekleşmesi durumunu görüyorsunuz. Ağ anahtarı iletilmesi gereken paketleri giriş ve çıkış portlarını birbirine direkt olarak bağlayarak paketin beyaz şapka Mayıs 2014 9 Serkan AKCAN Ozan Özkara ozan.ozkara@komtera.com Dağıtık Yapılarda Güvenlik Duvarı Denetimi Giriş H er güvenlik duvarı var oluşu, yapılandırıldığı ağın yapısına bağlı olarak hedef haline gelmektedir. Güvenlik duvarları görünürdür, savunmanın çoğu organizasyonda ilk halkasını oluşturur, ağ trafiği için belirlenen kurallara bağlı olarak segmentler arası trafik bu yapılar tarafından değerlendirilmektedir. Bu yapının içinde çeşitli iş uygulamaları, web tabanlı uygulamalar, sosyal ağlar, B2B, B2C, özel bulut gibi (private cloud )gibi yeni gelişen teknolojilerin servis edilmesinin yönetişimi, çeşitli regülasyonlara göre uygunluk değerlendirmeleri ve gelişen iş ihtiyaçlarına anında cevap vermesi açısından çoğu zaman yönetimi zor bir yapıyı ortaya koyabilmektedir. Genel olarak bakıldığında güvenlik duvarı denetim çalışmaları genel güvenlik duvarı yönetiminin bir parçasıdır, denetim programları politikaların belirlenmesinde, güvenlik duvarı verisinin toplanmasında, verilerin değerlendirilip kurum güvenlik standartları ve regülasyonlara (PCI DSS, SOX, COBIT, ISO vb) uygun olacak şekilde yapının kurulması ve iş ihtiyaçlarına hızlı ve efektif çözüm üretilebilmesini güç hale getirebilmektedir. Manuel ya da checklist yöntemi ile yapılmaya çalışan çalışmaların değerlendirme periyodları uzun olduğundan, değerlendirme frekansı düşük olmakta özellikle iş kritikliği yüksek olan yapılar içerisinde çeşitli uyumsuzluklara neden olabilmektedir. Örnek sorgulama pratiği aşağıdaki gibi olabilir; 1. Kurum ağ güvenlik politikaları her güvenlik duvarı için uygun şekilde yapılandırılmış mı? Eğer değilse, ilgili güvenlik ihlalleri nasıl çözülebilir? 2. PCI DSS gibi regülasyon gereksinimlerine göre ilgili kredi kartı verileri güvenli bir şekilde korunuyor mu? Güvenlik duvarı tarafında ilgili güvenlik gereksinimleri sağlanıyor ve denetlenebiliyor mu? 3. Hangi kurallar kullanılmaz ve bu nedenle ortadan kaldırılabilir? Etki analizi yapılıyor mu? Kurallar performansını güvenlik ölçümlerini (metrics) sağlamak amacıyla konsolide edilebilir mi? 4. Yapılan bir ağ değişikliği sonrası oluşan yeni güvenlik riskleri veya kullanılabilirlik değerlendirmeleri güvenlik duvarları ve ilgili ağ segmentleri arası yapılabiliyor mu? 5. Önerilen ya da iş ihtiyacı nedeniyle güvenlik duvarı değişikliğini yapılandırmak için en iyi yol nedir? (Best Practice) 6. Güvenlik duvarı yapılandırmalarında değişiklik kontrolü ve iş etki analizi nasıl yapılıyor? Örnek Regülasyon Örnekleri Gerçekten güvenlik duvarı denetim çalışmalarına ihtiyacı var mı? Senaryo İş etki analizi (BIA) Güvenlik duvarı kural değişikliğinin yanlışlıkla belirli finansal verilere, uygulamalara erişiminin engellenmesi Kurum yapısına bağlı olarak ilgili iş süreçlerinin kesintiye uğraması, ilgili hesaplara (Internet Bankacılığı gibi) erişimin engellenmesi Yeni bir iş uygulamasının devreye alınma gerekliliği sonrası yeni güvenlik duvarı kurallarına ihtiyaç olması BIA analizi yapılmaksızın yapılan değerlendirmelerde, yeni varlık bileşenleri oluşacağı için ağ risk profilinin değişerek kurum kritik asset verilerini tehdit etmesi Partner’lar için iç ağ üzerinde bir ERP/ CRM sistemine erişimin sağlanması Çeşitli güvenlik ihlallerinin ortaya çıkması, güvenlik politikaları ve regülasyonlara uygun olmayan bir audit sonucunun ortaya çıkması Denetimsiz yapılan yüzlerce değişiklik sonrası oluşan karmaşık yapı Analiz edilmeyen, düşük frekanslı değerlendirmelerden yoksun, iş güvenlik analizlerine etkisi ve doğal olarak ölçülemeyen bir risk profilinin oluşması Bu ortak senaryoların olumsuz etkilerini önlemek amacıyla, güvenlik duvarı yapıları yöneticiler tarafından sık sık kural denetimi ve güvenliğini sağlamak için güvenlik duvarı kurallarının standartlara ve regülasyonlara uygun olarak yapılandırılması, ilgili uygunluğunun ölçülebilir olması ve optimum performansın değerlendirilebilmesi ve bu süreçlerinde istenilen herhangi bir zaman diliminde tekrarlanabilmesi gerekmektedir. Bu süreç güvenlik duvarı denetimine cevap amacıyla yapılandırılması gereken örnek sorgulamalardan geçmektedir; 10 beyaz şapka Mayıs 2014 PCI DSS COBIT Güvenlik Duvarı Audit programı nasıl olmalıdır? Yukarıda açıklandığı gibi, sık ve kapsamlı güvenlik duvarı denetimleri negatif iş etki değerini azaltmak için önemli olmaktadır. İlgili risk ve audit değerlendirmeleri yapılırken muhakkak yapılan süreç iyileştirmelerinin İş Sürekliliği Planlama (BCP) ve Afet Kurtar- ma Planları (DRP) ile koordineli bir şekilde planlamaları, gerekiyorsa acil durum planlamaları göz önüne alınarak yapı kurulmalıdır. Konfigürasyon Uyumluluk Analizi Her 4 ayda 1 kere 2 gün 8 gün Tipik bir güvenlik duvarı denetim programı, aşağıdaki adımları içermelidir; Değişiklik Etki Analizi (BIA) Ayda 2 kere 2 saat 6 gün(24x2 saat) Günde 8 saat çalışma ile Konfigürasyon Senede 1 kere 4 gün 4 gün 1. Ağ erişim ilkesi tanımlayın, bu tanım kurum bilgi güvenliği erişim standartları ile uyumlu olmalıdır. 2. Güvenlik duvarı konfigürasyon bilgilerinin alınması 3. Ağ arayüzleri (Interfaces) ağ segmentleri ile haritalandırılması ve servis ağacının ortaya koyulması (görsel olarak) 4. Kurum güvenlik duvarı yapılandırmasının erişim politikaları, güvenlik ihlalleri ve güvenlik standartları uyumluluk kriterlerini adresleyecek şekilde analiz edilmesi. 5. Kullanılmayan, tekrarlı, log bilgisi alınmayan, belirli bir takvim zamanında az kullanılan ve gereksiz kuralların bulunması ve optimizasyonu, Güvenlik duvarı Audit teknikleri ile değişiklik kontrolü Ağ güvenliği ve standartlara uygun audit ihtiyaçlarını karşılamak amacıyla, güvenlik duvarları periyodik olarak denetimi yapılmalıdır. Ayda iki kez ya da yılda ortalama 20 kere denetimi yapılarak delta (Değişiklik) verisi ortaya koyulmalıdır. Böylelikle audit kriterlerinin yanında güvenlik ölçüm(Benchmarking) kriterleri de sağlanmış olacaktır. İlgili değişiklik kontrolü aşağıdaki süreçler tarafından tetiklenebilir; • İş ihtiyaçlarını - yeni iş uygulamaları etkinleştirmek veya eskilerini açığa almak için • BT Operasyonları ihtiyacı - ağ mimarisi değişiklikleri ve standartlar/regülasyonlar tarafında olan değişiklikler nedeniyle. • Güvenlik ihtiyacı - iş ve BT operasyonları için gerekli minimum ağ trafiğinin ortaya koyulması. En önemli kıstas budur (at least privilege prensibi) Buradaki değişiklik ihtiyacı tekil olarak tek bir güvenlik duvarı üzerinde yapılandırılabileceği gibi dağıtık mimaride çalışan güvenlik duvarı grupları arasında da yapılabilir. Çoğu zaman farklı üreticilerin güvenlik duvarı söz dizilimini anlamak, iş etki analizini yapmak, süreçleri onaylamak, yapılandırmak ve ilgili audit programları izlemek oldukça güç olabilmektedir. Uygunluk analizinde ilgili güvenlik duvarı değişiklik taleplerinde güvenlik operatörleri duruma göre de ‘güvenlik analisti’ tarafından güvenlik ihlal durumu, mevcut risk profili etkileşimi ve değişiklik gereklilik analizi yapılarak planlama yapılmalıdır. Genel olarak islenen yöntem dağıtık güvenlik duvarı yapılarını gözeten ve analiz edebilen bir araç vasıtası ile What-If analizi ilgili değişiklikler öncesi yapılarak kurum değişiklik komitesine (Change Committee) sunulmasıdır. Bu süreçler güvenlik pratiklerine göre kişi onayı yerine belirli bir süreç yapılandırılması içerisinde etki analizi olarak yapılandırılması gerekliliğidir. BIA dediğimiz iş etki analizi örnek olarak 200 kuralı bulunan bir güvenlik duvarı üzerinde manuel olarak yapıldığında birkaç gün alabilmektedir. (Bu durum güvenlik duvarının yapısına göre değişebilir) sıklıkla analiz edilen güvenlik duvarı yapılarında süre biraz daha kısa olabilmektedir. Aşağıdaki örnek tablo 200 civarı kural seti bulunan tekil güvenlik duvarı üzerinde harcanan yıllık zaman maliyet hesaplamasını içermektedir. Optimizasyonu Toplam Harcanan Süre 18 gün Yukarıdaki tabloya göre bakıldığında sadece tek bir güvenlik duvarının iç kaynaklar kullanıldığında Audit maliyeti 15.000 USD civarında ve dış kaynak kullanıldığında bu değerler 30.000 usd civarına kadar çıkabilmektedir. Ortalama 8 yada 10 güvenlik duvarı kullanan kurumları için ilgili süreç kolaylıkla 100K civarında olabilmektedir. Manuel yapılan audit değerlendirmelerindeki zorluklar aşağıdaki gibi olabilmektedir. 1. Komplekslik her güvenlik duvarının farklı çalışma prensibi, yapılandırılması farklı olmakta ve analizler sırasında normalleştirme ve tekil hale getirmenin zorluğu 2. Çoklu üretici ortamında her güvenlik duvarı için yapılması gereken analiz ve analiz için gereken bilgi ve teknik düzeyin farklı seviyelerde olması. Ayrıca farklı üretici teknik çıktılarının normalizasyonunun güçlüğü. 3. İnsan hatası, çoklu ortamlarda özellikle analiz seviyesinde hata yapma ihtimali çok yüksektir. Ayrıca konfigürasyon, verilerin toplanması ve raporlama safhası, ilgili bilgilerin toplanmasında güçlükler ortaya çıkabilmektedir. 4. Ağ ve güvenlik duvarı topolojisindeki bazı uyumsuzluklar, politikaların gerçek durumu yansıtmaması, what if analizi ve etkin simülasyon yapmanın zorlukları Güvenlik duvarı audit süreçlerini otomatize etmenin yararları aşağıdaki gibi olmaktadır; 1. Analiz değişiklikleri nedeniyle etkin ve doğru bir değişim yönetimi süreci, daha az kesinti. Ağ otomatik ve sık uygunluk değerlendirilmesi nedeniyle yüksek farkındalık düzeyi 2. Daha az sayıda güvenlik riskleri ile karşılaşma, risklerin düzenli olarak ölçülebilmesi gelişmiş BIA ve What If analiz kabiliyeti 3. Düşük maliyetli regülasyon kontrol yapısı, Otomatik raporlama ve otomatize uyumluluk kriterleri ve yapılandırması nedeniyle maliyetlerin ve olası ihlallerden kaçınılması 4. İlgili optimizasyon ve süreç iyileştirme kaynakları ile güvenlik duvarı yatırımlarını daha uzun vade de kullanabilme olanağı Günümüzde karmaşık yapılar içerisinde uygun güvenlik yönetiminin standart ve regülasyonlara uygun yapılandırılması giderek güçleşmektedir. Tüm güvenlik duvarı denetimleri organizasyonlar için önemli bir süreç haline gelmiştir. Çeşitli uyumluluk gereksinimleri ve regülasyonlar, olası güvenlik sorunlarının anlık tespiti, planlanan değişikliklerde olası hataların tespiti ve güvenlik duvarı performansı kritik iş süreçleri olarak karşımıza çıkmaktadır. Etkili bir güvenlik duvarı denetim programını korumak için, BT organizasyonları, ağ erişim ilkeleri tanımlanması, yapılandırma verilerinin normalize edilmesi, harita üzerinde ağ ara yüzleri almak, politika ihlalleri için yapılandırmaları analiz etmek ve kural kullanımlarını incelemek karmaşık yapılarda her zaman kolay olmamaktadır. Otomatik bir güvenlik duvarı denetim çözümü güvenlik yapılandırması için gerekli insan ve teknik kaynakları azaltabilir. %80’e kadar değişim süreci güvencesi (Change Management) ve %90’a kadar ilgili güvenlik risklerinin yönetilebilir olmasını, riskleri minimize etmek için kullanılabilir. beyaz şapka Mayıs 2014 11 Serkan AKCAN Selen Uğur selen.ugur@bts-legal.com 5651 Sayılı Kanun Ve Şirketlerin Yükümlülükleri 5 651 sayılı Kanun’a ilişkin olarak geçtiğimiz aylarda yürür- sıralanabilecektir. Düzenlemeler ile getirilen önemli değişiklikler- lüğe giren değişiklikler, şirketlerin kullanmış oldukları bilgi den bir tanesi de “kişilik haklarının ihlali” ve “özel hayatın gizliliği- teknolojileri alt yapılarını, sistemleri ve sistemler üzerindeki nin ihlali” konularında verilen “erişimin engellenmesi” kararlarının verileri ve sunulan hizmetleri yakından ilgilendiren yükümlülükler “erişim sağlayıcılara” bildirilmesinde görev alacak Erişim Sağlayıcı- getirmektedir. ları Birliği’nin kurulmasıdır. Değişiklikler Neticesinde 5651 Sayılı Kanun Kamuoyunda uzun süredir tartışılan ve “İnternet Düzenlemesi” olarak da adlandırılan 5651 Sayılı İnternet Ortamında Yapılan Yayınlar ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkındaki Kanun’da (Kanun) Değişikliklerin Şirketler Açısından Değerlendirilmesi Kanun’da şirketler açısından sonuç doğurabilecek önemli değişikliklerden biri bilgilendirme yükümlülüğüne ilişkindir. Yapılan değişiklikler neticesinde faaliyetlerini yurt içinden ya da yurt değişiklik yapan hükümle- dışından yürütenlere, rin bir kısmı 19 Şubat 2014 internet sayfalarında- tarihinde, bir kısmı da 26 ki iletişim araçları, Şubat 2014 tarihinde yü- alan adı, IP adresi ve rürlüğe girerek internet benzeri kaynaklarla ortamının düzenlenme- elde edilen bilgiler sine ilişkin yeni hak ve üzerinden elektro- yükümlülükleri berabe- nik posta veya diğer rinde getirmiştir. iletişim araçları ile bildirim yapılabilmesi Değişiklikler ile Kanun’da dikkat çeken hükümler “özel hayatın gizliliğini ihlal”, “kişilik haklarının korunması” gibi konularda “erişimin engellenmesi” tedbirine başvurulmasına ilişkin yeni seçeneklerin sunulması ve mevcut “erişimin engellenmesi süreçlerinde” yeniliklerin ge- mümkün olabilecektir. Kanun’da, söz konusu değişiklik ile içerik nedeniyle hakları ihlal edilen kişilerin uyarıda bulunurken seçecekleri kanal bakımından çok geniş bir çerçeve belirlenmiştir. Bu durum özellikle belirli kanallar kullanarak talepleri tirilmesi, erişim-yer-içerik ve toplu kullanım sağlayıcılara özellikle alan internet siteleri açısından risk teşkil edebilecektir. Değişik- erişim kayıtlarını saklama, hukuka aykırı içeriğe erişimi engelleme lik akabinde, bu kanallar dışında bu siteyle ilişkili her bir kanal için gerekli tedbirleri alma gibi yeni yükümlülükler getirilmesi, bu bildirimleri yapmak bakımından uygun mecralar kabul edil- Telekomünikasyon İletişim Başkanlığı (TİB) tarafından ikincil dü- diğinden, ilgili şirket yanlış bir başvuru kanalı kullanıldığını ileri zenlemelerle bu süjelere yeni yükümlükler yükletilebilmesi olarak süremeyecektir. Ayrıca belirtmek gerekir ki, şirket alan adlarının 12 beyaz şapka Mayıs 2014 kayıt ettirilirken verilen iletişim bilgilerinin de bilgilendirme kanalı açısından hem içeriğin yayından kaldırılmasını talep eden hem de kapsamında değerlendirilmesi mümkün olduğundan şirketlerin talep edilen açısından değerlendirilebilecektir. Değişiklik ile kişilik alan adı kayıt bilgilerinde yer alan iletişim bilgilerini güncel tut- hakkının ihlal edildiği iddia eden gerçek ve tüzel kişiler kişilik hakkı maları faydalı olacaktır. Yine, şirketlerin sahip oldukları internet kapsamında değerlendirilen hususlar ile ilgili olarak –özellikle tica- siteleri üzerinden değerlendirme yapıldığında, bu internet sitele- ri itibarı zedeleyen konular- şirketler ilgili içerik için içerik sağlayı- rinin sahibi olan ve siteye içerik yükleyen şirketler içerik sağlayıcı cısına ve yer sağlayıcısına başvurabileceği gibi doğrudan mahke- konumunda olacaktır. Bu nedenle şirketler, kişilik haklarını ihlali meye başvurarak söz konusu içeriğin bulunduğu sayfaya erişimin konusunda aldıkları bildirimleri cevaplandırma ile yükümlü ve sa- engellenmesini talep edebilecektir. Bununla birlikte, gerçek ve hip oldukları internet sitesi üzerinde yayınlanan her türlü içerikten tüzel kişiler ile kurum ve kuruluşlar da şirketlerin kendi internet sorumlu olacaktır. Şirketlerin içerik sağlayıcı olarak değerlendiril- sitelerinde sağladıkları içeriklerin kişilik haklarını ihlal ettiği iddi- mesinin bir sonucu da Kanun’da “İçerik Sağlayıcının Sorumlulu- asına istinaden ihlale konu olan içeriğin yayından çıkartılmasını ğu” maddesine eklenen yeni ifade doğrultusunda, şirketlerin, TİB şirketlerden talep edebilecektir. İnternet ortamında yapılan yayın tarafından genel olarak talep edilen bilgileri vermesi ve önerilen içeriği nedeniyle kişilik haklarının ihlal edildiğini iddia eden kişi- önlemleri alması olarak ifade edilebilir. lerin taleplerinin, içerik ve/veya yer sağlayıcısı tarafından en geç 2 yirmi dört saat içerisinde cevaplandırılması zorunluluğu da yeni İçerik sağlayıcının yükümlülüklerinin yanı sıra, Kanun’da yer sağ- düzenlemeler ile hayata geçmiştir. Bu doğrultuda şirketlerin, kişilik layıcıların yükümlülüklerine ilişkin yapılan değişiklikler de dikkat hakkının ihlal edildiği gerekçesiyle içeriğin yayından kaldırılması- çekmektedir. Buna göre, şirketlerin internet siteleri, kullanıcıların na ilişkin talepleri en geç yirmi dört saat içerisinde cevaplandırma- internet sitesine yükledikleri içeriklerle birlikte oluşan bir yapıya sı gerekmektedir. sahip ise bu şirketler kullanıcıların içeriklerini barındırmak bakımından yer sağlayıcı olarak kabul edileceklerdir. Yer sağlayıcı şir- Tartışılan değişikliklerden bir diğeri olan “özel hayatın gizliliği ne- ketler bir yıldan az ve iki yıldan fazla olmamak üzere, hazırlanacak deniyle erişimin engellenmesi” konusu da şirketler açısından çe- yönetmelikte belirlenecek süre boyunca ilgili bilgileri saklamakla şitli sonuçlar doğurabilecektir. Kanun’da yapılan değişiklik ile artık ve bu bilgilerin doğruluğunu, bütünlüğünü ve gizliliğini sağla- internet ortamında yapılan yayın içeriği nedeniyle özel hayatının makla yükümlü olacaktır. gizliliğinin ihlal edildiğini iddia eden gerçek ve tüzel kişiler, TİB’e doğrudan başvurarak içeriğe erişimin engellenmesini isteyebilir. Kanun’da yapılan değişiklikler ile toplu kullanım sağlayıcıların yü- Bu noktada dikkat edilmesi gereken konu ihlalin hukuki nitelen- kümlülükleri daha net bir ifadeyle dile getirilmiş; konusu suç olan dirilmesine göre ilgili madde kapsamında belirtilen filler içerisinde içeriklere erişimin engellenmesine ilişkin tedbirlerin alınması ve olup olmadığıdır. Eğer madde kapsamında ve yukarıda belirtilen iç IP dağıtım loglarının da elektronik ortamda tutulması mecbur fiillerden biri Türk Ceza Kanunu’nda özel hayata ve hayatın gizli ala- kılınmıştır. Konu şirketler özelinde değerlendirildiğinde, şirketler, nına ihlale ilişkin suçları oluşturuyor ve tüzel kişinin mağdur olma- çalışanlarına sağladıkları internet erişimi bakımından Kanun kap- sı noktasında hukuki bir engel bulunmuyorsa, şirketler doğrudan samında “toplu kullanım sağlayıcı”dır. Bu sebeple Kanun’un deği- TİB’e başvurarak ilgili içeriğe erişimin engellenmesi kapsamındaki şiklikten önceki haline göre şirketlerin, mevcut durumda tutmak- haklarını kullanabilecektir. Düzenlemenin ikinci yönü şirketlerin ta olduğu iç IP dağıtım loglarını saklamak ile konusu suç oluşturan içerik ve/veya yer sağlayıcı ve/veya erişim sağlayıcı olduğu du- içeriklere erişimi önleyici tedbirleri almak konusunda üstlenmiş rumlara ilişkindir. Bu noktada dikkat edilmesi gereken, şirketlerin oldukları yükümlülükleri devam edecektir. içerikle ilgili sıfatını belirlemesi ve bu kapsamda kanuni yükümlü- Kanun’da en çok tartışılan değişikliklerden birisi olan içeriğin ya- lüklerini yerine getirmesi için gerekli adımları atmasıdır. yından çıkartılması ve erişimin engellenmesi hususu da şirketler 1 “ Dipnot 1) İçerik Sağlayıcı : İnternet ortamı üzerinden kullanıcılara sunulan her türlü bilgi veya veriyi üreten, değiştiren ve sağlayan gerçek veya tüzel kişileri ifade etmektedir.”5651 Sayılı Kanun, Madde 2 beyaz şapka Mayıs 2014 13 Serkan AKCAN Atıl Gürcan b-atgurc@microsoft.com Bulut Üzerinden Uç Nokta Güvenliği G ünlük hayatta kullandığımız cihazların belirli uyumluluk koşullarına karşı denetlenmesi ve uyumlu hale getirilmesi gibi genellikle yerel sistemler tarafından gerçekleştirilen işlemlerin günümüzde bulut sistemleri aracılığıyla da yapılabileceğini biliyor muydunuz? Bildiğiniz gibi uçtan uca güvenlik yaklaşımında, bilgisayar ağlarındaki güvenlik unsurlarını farklı katmanlardan sağlamak mümkündür. Örneğin ağ girişine güvenlik duvarı konumlandırmak, ağdaki bilgisayarlara anti virüs yazılımları yüklenmesi ve cihazların yazılım güncelleştirmelerinin sağlanması, uzaktaki cihazların ağa bağlanırken çeşitli güvenlik sertifikaları ile veri iletişiminin şifreli hale getirilmesinin sağlanması bu işlemlerden bazılarıdır. Genellikle yerel sistemler tarafından gerçekleştirilen bu güvenlik önemleri sayesinde cihazlar üzerindeki işletim sistemlerinin yazılımsal güvenliğinin yanı sıra veri iletişimi sırasında da farklı açılardan güvenlik altına alınmış olur. İstenirse doğrudan bulut üzerinden kullanılabilecek olan bu tip çözümler istenirse mevcut bulunan yerel bir yönetim sistemi ile entegre çalışabilmektedir. Her iki senaryoda da varılan nokta tekilleşmiş bir cihaz yönetim platformunun sağlanmasıdır. Tüm platformlarda, platformun izin verdiği ölçüde yönetim ve güvenliği sağlayan Windows Intune bulut çözümü sayesinde Özellikle işyerine kendi cihazını götürme trendleri ve yaygın mobil çalışma gereksinimleri nedeniyle kurum ağına uzun süre bağlanılamaması gibi durumlarda örneğin cihaz üzerindeki anti virüs yazılımlarının veya işletim sisteminin güncelliğini kaybetmesi ve bu nedenle cihazların önceden belirlenmiş politikalara karşı uyumluluk kontrollerinden geçememesi ve “uyumsuz” olarak raporlanması ile karşılaşılabilir. Bu tip istenmeyen ve kontrolsüz durumların önüne geçebilmek için ise bulut çözümlerinin kullanılması fayda / maliyet oranını yükseltecektir. kurumlar tekil bir cihaz yönetim sistemine sahip olabilmektedir. Bu sayede kurumların uç noktalardaki hakimiyeti artacak; cihazların ise kurum tarafından belirlenen politikalara uygunluğu sayesinde uçtan uca güvenlik seviyesinin yükselmesi mümkün olacaktır. Yönetilen cihazlar üzerinde güvenliğin sağlanması çeşitli politikalar aracılığıyla gerçekleştirilmektedir. Bu politikalara örnek olarak güvenlik duvarı politikaları, cihaz üzerinde şirelemenin sağlandığı ve donanımlara erişimin sınırlandırılabildiği mobil aygıt ilkeleri yanı sıra işletim sistemi güncelleştirmelerinin ve anti-virüs yazılımları ile ilgili ayarların takip edildiği Windows Intune Aracı Ayarları gibi farklı ilkelerden bahsetmek mümkündür. Bu ilkeler sayesinde yönetilen cihazların yazılımsal olarak güvenliği sağlanabilmektedir. Platformlara göre cihazlar üzerinde gerçekleştirilebilen işlemlerin bir kısmını aşağıdaki tabloda görebiliriz: 14 beyaz şapka Mayıs 2014 Kategori VPN Profili Dağıtımı Wireless Profil Dağıtımı Sertifika Yönetimi E-Posta Profili Parola Tanımlanması Windows 8.1 & RT Windows Pnone 8.1 P P P P P (*) P (*) (*) Mağaza Erişim Sınırlamaları Tarayıcı Yönetimi İçerik Değerlendirme Bulut Senkronizasyonu Cihaz Şifreleme Güvenlik Dolaşım Windows Server Work Folders Uygulama Yönetimi P P P P P P P P P P P (*) P P P (*) P P P P (*) P İOS Android P P P P P P P P (*) P P P (*) P (*) P P P P (*) P (*) P (*) P (*) P (*) P *: Cihaz platformu burada bahsedilen ayarların bir kısmını sağlamaktadır. Nisan ayının son haftasında kullanıcılara sunulacak olan Windows Intune “Bahar Güncelleştirmesi” ile; hem piyasada hali hazırda bulunan Samsung mobil aygıtları Knox arayüzü ile yönetmeye başlıyor hem de yazın piyasaya çıkması beklenen Windows Phone 8.1 işletim sistemini de tüm özellikleriyle yönetebilir hale geliyor. Bunun yanı sıra iOS ve Android cihazlar üzerinden RDP bağlantısının sağlanabilir hale gelmesi aynı şekilde heyecan yaratan özellikler arasında sayılabilir. Kurumlar için bilgi güvenliği noktasındaki bir diğer kritik nokta ise cihazların kaybolması durumunda cihaz üzerindeki verilerin güvenli bir şekilde ortadan kaldırılabilir olmasıdır. Burada ön plana çıkan veriler arasında kurumsal elektronik posta ayarları ve verileri; kurum tarafından gönderilen uygulamalar ve uygulama verileri, cihaza iletilmiş olan sertifikalar ve bu sertifikaların kullanıldığı ağ bağlantı profilleri (VPN / Wi-Fi gibi) yer almaktadır. Bu tip veriler Windows Intune aracılığıyla platformun izin verdiği ölçüde tamamen veya kısmi olarak silinebilir. Bir cihazın “Fabrika Sıfırlaması” görevi ile temizlenmesi cihaz üzerindeki tüm verilerin silinmesine neden olacakken, “Kaldır” görevi kullanılarak cihazın kurum ağı ile ilişkisinin kesilmesi durumunda ise kullanıcının kişisel verileri korunacak ancak kurumsal kanaldan gelen yukarıda saydığımız kurumsal veriler ortadan kaldırılacaktır. beyaz şapka Mayıs 2014 15 Serkan AKCAN Sibel Akbaş sibel.akbas@bilgi.edu.net Hukuki Düzenlemeler Çerçevesinde Kayıtlı Elektronik Posta (KEP) H emen hepimiz bir Elektronik Posta hesabına nik Posta (KEP) sistemi faaliyete geçirilmiştir. KEP sisteminin kullanılmasıyla birlikte; sahibiz ve bu hesapla- • Tarafların zaman ve işlemi yapan (gönderiyi yapan ve gönderiyi rımızdan E-Posta gönderiyor ya teslim alan) bakımından inkâr edemeyeceği bir şekilde güvenli da alıyoruz. Peki, E-Posta’ları- olarak elektronik belgelerin, beyan ve açıklamaların gönderil- mız teknik olarak gerçekten mesi ve alınması (Güvenli Elektronik Gönderi ve Teslim) güvenli mi ve hukuken bağlayıcı • İletişimin gizliliği prensiplerine uygun olarak elektronik ortam- sonuçlar doğurabilir mi? da güvenli haberleşme İçerisinde bulunduğumuz bilgi ve bilişim çağında teknolojinin • Güvenli bir ortamda elektronik belgelerin saklanması gibi hızla gelişip internetin yaygın ve daha kolay erişilebilir hale gel- avantajlar ile standart e- posta’nın riskleri ortadan kaldırılıp, tek- mesiyle birlikte bireylerin kullandığı iletişim araçları ve kanalları nolojinin sunmuş olduğu bu iletişim kanalı resmi ve ticari işlem- da çeşitlenip farklılaşmıştır. Bugün hemen herkesin en yoğun lerde güvenli bir şekilde kullanılabilir hale gelmiştir. kullandığı iletişim araçlarından biri gerek maliyetinin düşük olması gerek veri iletiminde sağladığı hız ve kolaylık sebebiyle KEP sistemine ilişkin ilk yasal düzenleme 14 Şubat 2011 tarihin- Elektronik Posta (e-posta)’dır. de değişen Türk Ticaret Kanunu ile gerçekleştirilmiştir. 25 Ağustos 2011’de ise ikincil düzenlemeler tamamlanmıştır. Bireyler tarafından tüm dünyada yoğun olarak kullanılan bu iletişim kanalının ticari işler ve resmi işlemlerde de kullanılabilmesi bürokrasinin azaltılabilmesi ve hukuki süreçlerde hızlı aksiyon alınabilmesi açısından oldukça büyük öneme sahiptir. Ancak hemen herkesin kullandığı standart e-posta, avantajlarının yanında, gönderici ve alıcı kimliklerinin tam olarak tespit edilememesi, gönderilen mesajın üçüncü kişiler tarafından görülebilmesi, mesajın içeriğinin değiştirilmesi, veri güvenliğinin sağlanamaması, hukuki ve teknik olarak güvenli bir alt yapıya sahip olmaması gibi bazı riskler taşımaktadır. E-posta’nın bu risklerinin ortadan kaldırılıp, ticari ve resmi iş ve işlemlerde güvenli olarak kullanılabilen bir iletişim aracı olabil- Ancak, ilgili kanunun 1 Temmuz 2012 tarihi itibariyle yürürlüğe mesi için gerekli hukuki düzenlemeler yapılarak Kayıtlı Elektro- girmesi, Kayıtlı Elektronik Posta Hizmet Sağlayıcı (KEPHS)’ların 16 beyaz şapka Mayıs 2014 KEP hizmeti sunabilmeleri için gerekli yetkilendirmelerin 2012 Güvenli olmaması sebebiyle özel e-posta hesapları aracılığıyla yılının sonlarına doğru gerçekleşmiş olması gibi sebeplerle Ka- yapılamayan, bireylerin bizzat gidip yazılı beyanları ve imzaları yıtlı Elektronik Posta’nın fiilen kullanılmaya başlanması 2013 yı- ile yapmak zorunda oldukları işlemler, KEP ile hızlı ve güvenli lını bulmuştur. bir şekilde yapılabilecektir. Böylelikle sıra bekleme, bürokratik işlemlere takılma, evrak takibi yapmak zorunda olma gibi zah- Bu anlamda Kayıtlı Elektronik Posta’nın yeni bir uygulama olduğu- metli ve zaman kaybettirici süreçler ortadan kalkmış olacaktır. nu ve henüz yaygın olarak kullanılmadığını söylemek mümkündür. KEP’in kullanıcılar için önemli avantajlarından bir diğeri ise; KEP üzerinden gönderilen iletilerin 20 yıl boyunca saklanabilme olanağı. Böylece bir yandan gerek kurum ve kuruluşlar gerek bireyler önemli, özel, ticari ya da resmi belgeler için kâğıt arşiv tutma yükünden kurtulmuş olacaklardır. Öte yandan ise; hukuk düzenimizde bu saklama süresi içinde ortaya çıkabilecek hukuki ihtilaflarda ibraz edilecek olan elektronik deliller de KEP Sisteminde saklanmış olacaktır. KEP, güvenli e-imza ve zaman damgası teknolojileriyle e-postaların teknik açıdan ve hukuksal olarak güvenli ve bağlayıcı olması sonucunu doğurmaktadır. Bu sistemde haberleşen kişiler KEP iletilerinin muhataplarının kimliklerinden ve iletinin içeriğinin değiştirilmemiş olduğundan emin olmaktadırlar. Ancak 19 Ocak 2013 tarihinde yürürlüğe giren Elektronik Tebligat Yönetmeliği KEP kullanımına ivme kazandıracak bir düzenle- Gerek 5070 Sayılı Elektronik İmza Kanunu gerek 6098 Sayılı Türk me olarak değerlendirilebilir. Yönetmelikle; anonim, limited ve Borçlar Kanunu hukuk sistemimizde güvenli elektronik imzaya, sermayesi paylara bölünmüş komandit şirketlere tebligatlarını ıslak imza ile aynı hukuki sonucu bağlamaktadır. Tebligat Kanunu e-tebligat olarak alma yükümlülüğü getirildiğinden, KEP kulla- ve Elektronik Tebligat Yönetmeliğinin yanı sıra, 6102 Sayılı Türk nımı zaman içerisinde yaygınlaşıp artacaktır. Ticaret Kanunu da, KEP’ya, güvenli elektronik imza ile birlikte, Dijital Şirket konsepti çerçevesinde oldukça geniş bir uygulama Hâlihazırda daha çok şirketler tarafından ticari işlerde kullanılı- alanı vermektedir. yor olsa da yakın gelecekte günlük yaşamda da birçok işlemin KEP üzerinden yapılması öngörülmektedir. 2014 sonunda Tür- Sonuç olarak, KEP sistemiyle kurum, kuruluş ve bireysel kullanıcı- kiye’de 4 milyon KEP kullanıcısı olacağı, bu kullanıcıların 1 mil- lar arasında, hukuki olarak geçerli ve güvenli bir şekilde her türlü yonunun kurumsal, 3 milyonunun ise bireysel kullanıcı olacağı resmi, ticari ve özel bilgi ve belge paylaşılabilecek, gerekli iş ve tahmin edilmektedir. Bu beklenti kurumların KEP kullanma işlemler yapılabilecektir. Kurumların KEP’i kullanmaya başlaması, oranının artmasıyla, bireylerin de KEP kullanımının artacağı dü- zamanla bireylerin de işlemlerini hukuki olarak geçerli ve teknik şüncesine dayanmaktadır. Kurumların işlemlerini KEP üzerinden olarak güvenli bu iletişim aracını kullanarak yapmaları yönünde yürütmesiyle birlikte, bireyler günlük yaşamda yaptıkları birçok itici bir güç olacaktır. Ancak KEP yeni bir sistem olduğundan bi- işlemi KEP üzerinden de yapabilme imkânına kavuşacaklardır. reyler tarafından yaygın olarak kullanılması için biraz daha zamana ihtiyacı olduğu söylenebilir. beyaz şapka Mayıs 2014 17 Serkan AKCAN İrfan Kotman irfan.kotman@nebulabilisim.com.tr DNS Spoofing Yıllar sonra tekrar hatırlanan bir atak yöntemi u sayımızdaki yazımızı son günlerde tekrar gündeme gelen DNS spoofing (DNS önbellek zehirlenmesi) konusuna ayırdık. Günümüzün popüler hacking yöntemleri arasında olmayan önbellek zehirlenmesi, son dönemde yaşanan gelişmeler ile tekrar gündeme geldi. Biz gündemde olan konulardan değinmeden, yazımız içerisinde önbellek zehirlemesinin ne olduğu, hangi yöntemler ile yapılabileceği hakkında küçük iki örnek vereceğiz. B DNS Spoofing (DNS Önbellek Zehirlenmesi) DNS bilişim dünyasında kullanılmaya başlandığından beri DNS atakları arasında en çok kullanılan yöntem olan DNS önbellek zehirlenmesidir. DNS Spoofing (Önbellek Zehirlenmesi) bir DNS sunucusuna yetkisiz bir kaynaktan bilgi yüklenmesi olarak tanımlanabilir. DNS yazılımındaki bir hata, DNS sunucusunu yapılandırırken yapılan konfigürasyon yanlışları ya da DNS protokolünün üzerinde bulunan bir açık sebebi ile gerçekleştirilebilen önbellek zehirlenmesi, basit olarak değiştirilmiş bilginin (orijinal kaynaktan gelen bilgi yerine farklı bir bilgi iletilmesi ) DNS önbelleğine gerçek veri yerine ulaştırılması olarak tanımlanabilir. DNS alan adının bulunduğu sunucunun IP adresinin farklı yöntemlerle zehirlenmesi mümkündür. En popüler yöntem, gerçek alan adı sunucusu kullanıcıya cevap dönmeden, kötü niyetli kişinin DNS sunucu ile kullanıcı arasına girerek kendi yanıtını kullanıcıya dönmesi esasına dayanan, man-in-the-middle türünde saldırıyla DNS sunucusuna istek ulaşmadan önbellek zehirlenmesinin gerçekleştirilmesidir. Bu saldırı tipi, DNS sorgusu kullanıcı makinesine gerçek DNS sunucusu yerine kötü niyetli yazılımın yanıt vermesi esasına dayanır. Yukarıdaki örnek akış tablosunda göreceğiniz gibi bu tip ataklar kurban makineden DNS sunucusuna giden isteklerin, kötü niyetli kişi tarafından istenen sunucu ya da sayfaya yönlendirmesi ile gerçekleşmektedir. İlk senaryomuzda kurban makine ile istek yaptığı DNS sunucu arasına girerek, www.nebulabilisim.com.tr adresine giden istekleri, bizim sunucumuz olan 192.168.1.34 IP sine yönlendireceğiz. Bunun için Linux altyapısında çalışan aracımız olan Evilgrade yazılımını, penetration testler için özel olarak tasarlanan işletim sistemimiz üzerinde çalıştırıyoruz. DNS Mesajının Yapısı Bir DNS mesajı temel olarak beş bölümden oluşur. Bunlar başlık (header), soru (question), yanıt (answer) , yetki (authority), ek bölümler (additional) olarak nitelenebilir. 16 bitten oluşan başlık sorgusuna verilen yanıt aynı şekilde kopyalanarak ve eşleşme sağlanarak daha sonraki mesaj adımları sırasında önbellek zehirlenmesi saldırısı oluşturulabilir. Man-in-the-middle ile DNS önbellek zehirlenmesi Bu sayımızda araya girme yöntemi ile (Man-in-the-middle) DNS önbellek zehirlenmesi ile ilgili iki örnek vereceğiz. İkinci bir terminal ekranı açarak, “pico /usr/share/ettercap/etter.dns” komutu ile sunucu üzerinde DNS sniffing yapacağımız programın DNS kayıtlarında www.nebulabilisim.com.tr alan adını 192.168.1.34 IP sine yönlendiriyoruz. İlk açtığımız terminal ekranına geri dönüyoruz ve terminal ekranı üzerinde run application ile sniffing aracımızı açıyoruz. 18 beyaz şapka Mayıs 2014 Açılan yazılım üzerinden DNS spoofing (DNS önbellek zehirlemesi) seçeneğini aktif hale getiriyoruz. Daha sonra Man-in-the-middle atak için programımızın arp poisoning özelliği ile networku zehirlemeye başlıyoruz. Kurban makinemiz üzerinden www.nebulabilisim.com.tr alan adını pinglediğimiz zaman 192.168.1.34 makinesine gittiğini görüyoruz. Peki, bu işlem kötü niyetli kişilere ne sağlayacak? Bu noktada birçok farklı senaryolar ortaya koyulabilir. En fazla karşılaşılan örnek, kullanıcı adı şifre ya da kişisel bilgiler girilen sayfaların kopyalanarak, kurbanın bilgilerinin ele geçirilmesidir. Bizde ikinci örneğimizde ilk senaryomuzda anlatılan adımları kısaca özetleyerek, bir sosyal paylaşım sitesinin şifrelerinin ele geçirilmesi için yapılan DNS önbellek zehirlenmesi örneğini kısaca anlatmaya çalışacağız. Bu senaryoda da ilk senaryomuzdaki adımlar aynı şekilde gerçekleştirilmektedir. Kısaca kullanılan araçlar sayesinde sosyal paylaşım sitesinin DNS kaydı bilgilerinin değiştirilmesi, DNS spoofing ve Man-in-the-middle için ARP poisoning özelliklerinin aktif edilmesi aynı şekilde gerçekleştirilmektedir. Buradaki tek fark kullanıcının aldatılması için, sosyal paylaşım sitesinin kullanıcı kimlik doğrulama sayfasının oluşturulması ve kurban kullanıcının bu sayfaya yönlendirilmesidir. Bunun için işletim sistemimiz üzerinde sosyal paylaşım siteleri atakları için tasarlanan bir yazılımı aktif hale getiriyoruz. Gerekli adımları seçerek site cloner ekranına geliyoruz Sisteminizin uygun sunucuya yönlendirilmesi için sunucumuzun IP si olan 192.168.1.34 ü ve sosyal paylaşım sitesinin URL ismini giriyoruz ve sayfayı kopyalıyoruz. Kullanıcı sosyal paylaşım sitesine bilgilerini girdiğinde, kötü niyetli kişinin ekranında, kurban makine üzerinden girilen kimlik bilgileri gözükecektir. Bu tip site kopyalama işlemi birçok site için gerçekleştirilebilir. Fakat kopyalanan siteler genel olarak orijinal sitelere göre küçük hatalar barındırdığından dikkatli kullanıcılar tarafından kolayca fark edilebilmektedir. DNS Spoofing (Ön Bellek Zehirlenmesi’ne) karşı alınabilecek bazı önlemler; • DNS sunuculardaki açıkların düzenli tespiti ve yamalar ile kapatılması. • DNS sunucular üzerinde ya da önünde atak önleyici sistemlerin bulunması • Kullanıcı makinelerinde son nokta atak önleyici sistemlerin çalıştırılması • Sistemlerde trafiğin filtrelenerek aldatma yöntemlerinin tespit edilmesi. • Kişisel bilgiler girilen Web sayfalarının kesinlikle https protokolü olarak çalıştırılması. beyaz şapka Mayıs 2014 19 Beyaz Şapka’ya katkılarından dolayı tüm sponsorlarımıza ve yazarlar 20