21 Nisan 2017 Cuma

Siber Saldırıların Tespitinde SIEM Ürünlerinin Yetersizliği ve Çözüm Önerileri

SIEM, yıllardır bilgi teknolojileri alanında kullanılan oldukça verimli bir  çözümdür. Son yıllarda, ülkemizde çok fazla kurumda kullanılmaya başlanmış ve bu konuda ciddi bir farkındalık oluşmuştur. Bu süre zarfında korelasyon kuralları yardımı ile olay anında yapılan bilgilendirmelerin yanı sıra, incident response tarafı ile de olay sonrası analizlerde, IT çalışanlarının işlerini oldukça kolaylaştırmıştır. Teknik işlemlerin yanı sıra Complience ve Governance ekipleri için oldukça kullanışlı bir araç haline gelmiştir. Şu an için dünya piyasasında en çok kullanılan SIEM ürünlerini Qradar, Arcsight, Splunk ve McAfee şeklinde sıralayabiliriz.

25 Ekim 2016 Salı

HTTP Get/Post Flood DoS Saldırısı

En sık karşılaşılan DOS saldırılarından birisi de HTTP Get/Post saldırılarıdır. Atağın temel mantığı, aynı ya da farklı IP adreslerinden hedef sistem üzerinde belirlenmiş bir sayfaya ya da sayfalara sürekli olarak GET veya POST isteğinde bulunarak sunucunun cevap veremez hale gelmesini sağlamaktır. Böyle bir durumda oluşturulmaya çalışan gerçek bir http bağlantısı gibi görünecektir ve  sunucu cevap verecektir. Fakat sunucunun cevap verebileceğinden daha fazla miktarda istek gönderildiği zaman web sunucusu ve arka planda çalışan veritabanı servisine fazla yük binecektir ve servis dışı kalacaktır.  

17 Eylül 2015 Perşembe

Kurumsal Ağlarda DLP Ve SIEM Test Amaçlı Veri Sızıntı Simülasyonu

En tehlikeli siber saldırılar, şüphesiz ki sonucunda veri sızıntısının yaşandığı senaryolardır. Normal bir güvenlik zafiyetinin yanında çok daha maliyetli ve telafisi zor bir durumdur. Örneğin bir finans kurumundan müşteri kredi kartı ya da kimlik bilgilerininin dışarı çıkarılması ciddi problemlere yol açacaktır. Böyle bir durumun yaşanmaması için sadece sızma testlerinin yapılmış olması yeterli olmayabilir. Kurum içinde bu tarz atak senaryolarının simülasyonlarının gerçekleştirilmesi, saldırının tespit edilip edilemeyeceği konusunda kuruma fayda sağlayacaktır.  Böylece SIEM ekipleri olayın senaryosuna uygun aksiyon planlarını alıp gerekli kolerasyon çalışmalarını yapacaklardır.

6 Ağustos 2015 Perşembe

Windows Loglama Altyapısında Belirli Event ID Açma/Kapama İşlemleri

Windows sunucularda işletim sistemi bazındaki loglama altyapısını, üzerinde tanımlı olarak gelen “Local Policy” servisindeki event’lar oluşturmaktadır. Aynı türden uyarılar bir araya gelerek önce alt kategorileri, daha sonra da ana kategorileri oluşturmaktadır. Bu durum şu şekilde bir örnek ile açıklanabilir.


Örneğin “ A computer account was deleted” ifadesi en alt seviyede spesifik bir mesajdır. Bu şekilde aksiyonları ifade eden mesajların bir araya gelmesi ile alt kategoriler oluşmuştur. Bu mesajın bağla olduğu alt kategori ise “Computer Account Management” dır. Sonrasında ise bu alt kategoriler bir araya gelerek ana kategoriyi yani “Account Management” kategorisini oluşturmuşlardır. Bu ilişkiyi gösteren örnek bir ekran görüntüsü aşağıdaki gibidir.

27 Temmuz 2015 Pazartesi

Sızma Testlerinde HTTP Servislerine Yönelik Brute Force Saldırıları

İnternet üzerinden ya da yerel ağdan yapılan sızma testlerinde, işletim sistemi ya da üçüncü parti yazılımların güncelleme eksikleri, web uygulamlarındaki girdi doğrulama(input validation) hataları yetki yükseltme konusunda en sık karşılaşılan durumlardır. Yetkisiz bir kullanıcı rolü ile yapılan sızma testinde bu tarz zafiyetleri kullanarak yetkili bir kullanıcı haklarına sahip olunabilir.
Bunların dışında en az bu zafiyetler kadar önemli olan ve kesinlikle bakılması gereken diğer bir zafiyet ise, ön tanımlı olarak bırakılan ya da basit parola ile korunan web uygulama yönetim panelleridir. Sizi en yetkisiz kullanıcıdan bir anda Domain Admin haklarına sahip bir kullanıcıya taşıyabilir. Bunun için yapılması gereken şey, ilgili IP bloklarında açık olan HTTP portlarını bulmak ve burada bulunan giriş panellerine ön tanımlı ya da sık kullanılan basit parolaları denemektir.

20 Mayıs 2015 Çarşamba

SSL Servisine Yönelik DOS Saldırıları


Önemli bilgiler (örneğin e-posta adresi, kredi kartı bilgileri, TCKN, kullanıcı adı şifre gibi) iletim esnasında kriptolu olarak iletilmelidir. HTTP clear-text protokoldür ve SSL/TLS ile korunarak HTTPS olarak yapılandırılabilir. Kriptografi algoritmaları algoritmanın gücüne göre belirli seviyede koruma sağlayabilir.

Secure Sockets Layer(SSL) protokolü, internet üzerinden güvenli veri iletişimi sağlayan bir protokoldür. Günümüzde en çok online bankacılık işlemlerinde, sosyal ağlarda, mail sunucularında   tercih edilmektedir.

15 Mayıs 2015 Cuma

Ağ Trafiğinde Pasif İşletim Sistemi ve Uygulama Tespiti


İnternet teknolojisinin yaygınlaşmasının sonucunda teknoloji sürekli kendini yenilemekte ve yeni sistemler ortaya çıkmaktadır. Bu teknolojilerden en sık karşılaşılanları kuşkusuz web sunucular,güvenlik duvarları, web uygulama güvenlik duvarları, IPS cihazları ve Load balancer(yük dengeleyici) gibi cihazlardır. Birçok kurumda uygulama sunucularına direk erişim olmaz ve arada sizi başka bir cihaz karşılar. Sızma testlerinde bilgi toplama aşamasında veya  ele geçirilmiş bir linux ya da windows sistemin adli bilişim çalışmalarında bağlantı esnasındaki aktörlerin kimler olduğu önemlidir.