Geçen hafta düzenlenen (25-27 Ocak) USENIX Enigma konferansının en dikkat çeken sunumu NSA TAO (Tailored Access Operations), yani NSA’in ısmarlama eriÅŸim operasyonları ekibinin lideri olan Rob Joyce’un “NSA TAO Chief on Disrupting Nation State Hackers” baÅŸlıklı sunumuydu.
Rob Joyce bu sunumunda devletlerin hacking ekiplerine karşı yapılması gerekenler ile alınabilecek önlemlerden pentest adımları çerçevesinde bahsetti. Rob Joyce’un sunumunu ve yaptığı tavsiyeleri tümüyle özetleyen en önemli ifadesi “eÄŸer network’ünüzü gerçekten korumak istiyorsanız, onu içindeki bütün cihazları ve teknolojileriyle birlikte bilmek zorundasınız.” ÅŸeklinde olmuÅŸtur. Evet gerçekten de saldırganlara ve saldırılara karşı konumlandırılacak teknolojiler, sistemler veya önlemlerin etkili ve yerinde olabilmesinin ilk ÅŸartı, ağı korumakla yükümlü olan herkesin o ağın içindeki tüm uygulamalar, sistemler ve teknolojiler hakkında bilgi sahibi olmasından geçmektedir. Nasıl çalıştığını, ne iÅŸe yaradığını veya ne için kullanıldığını bilmediÄŸiniz her türlü uygulama, sistem ve teknoloji aslında önemli bir saldırı vektörüdür de. Rob Joyce’un bu cümlesinin arkasından söylemiÅŸ olduÄŸu diÄŸer en önemli ifade ise “çoÄŸu durumda aÄŸları, onları tasarlayan ve çalıştıran insanlardan daha iyi biliyoruz.” ÅŸeklindeydi. Yani saldırganlar içine girdikleri ağı maalesef çoÄŸu zaman o ağı yöneten ve tasarlayanlardan daha iyi bilecek hale gelebiliyor (ya da öncesinde zaten biliyor)!
Rob Joyce sunumunda bir aÄŸa sızmanın adımlarını “reconnaissance“, “initial exploitation“, “establish persistence“, “install tools“, “move laterally” ve son olarak “collect, exfiltrate and exploit the data” ÅŸeklinde, yani klasik o bildiÄŸimiz sızma testi adımlarının benzeri olarak olarak sıraladıktan sonra her bir adım için çeÅŸitli açıklamalar yapmış. Biz de o sunumdaki önemli bilgileri burada paylaÅŸacağız:
“Reconnaissance” yani keÅŸif aÅŸamasında NSA TAO, hedef ağı elektronik ve bazen de fiziksel olarak tarıyor/inceliyor. Hedef aÄŸdaki kilit personeli ve e-posta adreslerinin ne olduÄŸu bulmaya çalışıyor ve içeri girebilecek bir yol bulana kadar ağı sürekli gözetim altında tutuyorlar. Ä°htiyaçları olan ilk çatlağı bulana kadar Rob’un kendi tarifiyle arıyor arıyor, dürtüyor dürtüyor ve içeri girene kadar bekliyor ve bekliyorlar. Bunun için çok sabırlı hareket ettikleri aÅŸikâr! Asıl amaçları da aÄŸ mimarisindeki olası zayıf noktaları, evden çalışan veya yetkisiz bir cihazı iÅŸe getiren personeli bulmaya çalışmak oluyor. Ayrıca hedef ağın baÄŸlı olabileceÄŸi ısıtma, klima ve havandırma sistemleri gibi kontrol aÄŸları da bir saldırı için çok elveriÅŸli kabul ediliyor. Rob, ÅŸirketlerin bulut biliÅŸim saÄŸlayıcılarına ayrıca dikkat etmeleri gerektiÄŸini de vurguluyor. Çünkü verilerinizi bir kere bulut ortamında teslim ettiÄŸiniz andan itibaren artık o ağın güvenliÄŸine dayanmış oluyorsunuz. Rob tam da bu noktada “due diligence”in normalden daha önemli bir hale geldiÄŸi uyarısını yapıyor.
“Initial exploitation” yani ilk istismar/sömürü aÅŸamasında NSA TAO için kilit saldırı vektörleri e-postalara iliÅŸik malware eklentileri, sitelerden injection saldırıları ve USB gibi harici cihazlar oluyor. Bunların yanında bir diÄŸer ortak saldırı vektörü ise henüz kapatılmamış olan bilinen güvenlik zafiyetleri (CVE’ler) oluyor. Rob, ÅŸirketlerin zafiyetlerinin hızlıca otomatik olarak kapatılmasını saÄŸlayacak bir yama güncelleme normuna sahip olmaları gerektiÄŸini ve 0-day (sıfırıncı gün) açıklarının ise sanıldığının aksine çok abartıldığını da söylüyor. Rob, büyük kurumsal aÄŸlarda kalıcılığın ve odaklanmanın 0-day olmadan saÄŸlandığını, çünkü diÄŸer vektörlerin daha kolay, az riskli ve daha verimli olduÄŸunu de özellikle vurguluyor. Rob, NSA’in 0-day kullanımında son kararı vermediÄŸini, bunun için harici bir komite olduÄŸunu da belirtiyor. NSA’in 0-day koleksiyonun çok az olduÄŸunu ve yeni keÅŸfedilen 0-day’larin de bu harici komite tarafından, üreticilerin güncelleme yapabilmekleri için bilgilendirilip bilgilendirilmeyeceklerine karar vermek amacıyla incelendiÄŸini söylüyor. Rob, 0-day’lere karşı yapılabilecekleri ÅŸu ÅŸekilde belirtiyor:
- uygulamalar için beyaz liste yöntemi,
- uygulama ve kullanıcı izinlerini kilitleme,
- mümkün olduğunca çabuk yama geçme,
- ve itibar yönetimi.
Bu baÄŸlamda eÄŸer meÅŸru bir kullanıcı ilk kez bir aÄŸ verisine eriÅŸimeye çalışmak gibi anormal davranışlar sergiliyorsa, onun ele geçirilmiÅŸ olma ihtimali bir hayli yüksek olduÄŸunu düşünmek gerekiyor. Ä°tibar tabanlı araçların malware’lere karşı özellikle kullanışlı olduÄŸunu söylüyor. Ä°mza tabanlı antivirüs çözümlerinin benzersiz saldırı kodlarına karşı koruma saÄŸlamıyor, bunlar ancak itibar veritabanları ile birlikte kullanılınca etkili olabiliyor.
Rob, sıklıkla çok basit sorunların hedef aÄŸlara eriÅŸime izin verdiÄŸini söylüyor. Bunlar genelde “administrator” hesap bilgilerinin scriptlere hard-coded olarak gömülü olması, birçok network’ün segmentlere bölünmeden eriÅŸilebilir olması ve şüpheli aktivitelerin network loglarında kayıp olması (olması gereken log korelasyonun olmaması ve/veya logun alınmaması) ÅŸeklinde olabiliyor.
Rob, resmi olarak yaptıkları sızma testlerinde ise ortaya çıkan zafiyetlerin, iki yıl sonra tekrar baktıklarında hala çözülmediğini gördüklerini de belirtiyor. Buradan da sızma testi sonuçlarının ne kadar dikkatle ele alınıp, eksiklerin kapatılması ölçüsünde tehlikelerin önemli ölçüde bertaraf edilebileceği gayet açık olarak görülebiliyor.
“Establish persistence” yani aÄŸda kalıcılık kurma/saÄŸlama aÅŸamasında aÄŸa bir kere girildikten sonra öncelikli olarak baÅŸka bir uygulamanın altına gizlenen ya da direkt çalışabilen bir uygulama kurulması yoluyla kalıcılık saÄŸlanmaya çalışılır. Rob, uygulama beyaz listeleme yönteminin bu aÅŸamayı durdurmanın anahtarı olduÄŸunu söylüyor.
“Install tools” yani araçlar kurma aÅŸamasında hacker’lar network’ü sömürmek ve verileri toplamak için çeÅŸitli spesifik araçlar kurmak zorundadır. Saldırganın ilk kuracağı araç, diÄŸer etkili ve saldırgan araçları da çağırmayı saÄŸlayan beacon tarzı uygulamalardır. Ağı ve sistemi yönetenlerin uyarı iÅŸareti olabilecek sunucu loglarını bu tür araçlara karşı dikkatli bir ÅŸekilde incelemeleri ve ziyaret edilen domain’ler ile network trafiÄŸini ince eleyip sık dokuması gerekiyor.
“Move laterally” yani yanlamasına hareket etme (aÄŸda yatay hareketler) aÅŸamasında saldırgan artık hedef bilgiye ulaÅŸmak için aÄŸda bir noktadan baÅŸka bir noktaya geçmeye çalışır. AÄŸ yöneticileri burada aÄŸdaki kritik bilgiyi tutan aÄŸ segmentlerini dikkatli bir ÅŸekilde gözlemlemeli ve eriÅŸimi olanları iyi yönetmelidir. Buradaki kontrolün en önemli parçası da kritik yerlere kimlerin eriÅŸtiÄŸini kontrol etmenin yanında, asıl olan o kiÅŸilerin o an nerede oldukları ve hangi cihazı kullandıklarının tam olarak yönetilebiliyor olmasıdır. Yine bu baÄŸlamda çalışanların iÅŸe kendi cihazlarını getirebiliyor olması (BYOD) bütün sıkı güvenlik önlemlerini bir anda boÅŸa çıkarabilir.
Son aÅŸama olan “collect, exfiltrate and exploit the data”da yani artık hasat zamanında hacker’lar yakalanmadan veri kaçırma/çıkarma ya da veriyi bozma gibi asli iÅŸlerini yapmaya odaklanır. Buradaki anahtar, network segmentasyonudur. Ve tabiki düzenli ve sürekli izleme ve aÄŸ loglarını kontrol etme ve fark edilmeden hareket eden hiçbir ÅŸeyin olmamasına dikkat etmek de birÅŸeyler kaybetmemenin en önemli ÅŸartlarındandır.
Tüm bunları yaparken canlı ortamın dışarıya alınan yedekleri ile sistemler/uygulamalar/veritabanları yedekleri de hacker’ların aÄŸ içindeki hedeflerinden olmaktadır. Yukarıdaki canlı ortam önlemlerinin yanında dışarıya aktarılan yedeklerin de korunması, herhangi bir saldırıyı en az zararla atlatmanın zorunluluklarından birisidir. Yazımızın konusu olan “NSA TAO Chief on Disrupting Nation State Hackers” baÅŸlıklı sunumu alttaki videodan izleyebilirsiniz: