NSA TAO Şefinden Devletlerin Hacker’larına Karşı Öneriler

Geçen hafta düzenlenen (25-27 Ocak) USENIX Enigma konferansının en dikkat çeken sunumu NSA TAO (Tailored Access Operations), yani NSA’in ısmarlama erişim operasyonları ekibinin lideri olan Rob Joyce’un “NSA TAO Chief on Disrupting Nation State Hackers” başlıklı sunumuydu.

 

Rob Joyce bu sunumunda devletlerin hacking ekiplerine karşı yapılması gerekenler ile alınabilecek önlemlerden pentest adımları çerçevesinde bahsetti. Rob Joyce’un sunumunu ve yaptığı tavsiyeleri tümüyle özetleyen en önemli ifadesi “eğer network’ünüzü gerçekten korumak istiyorsanız, onu içindeki bütün cihazları ve teknolojileriyle birlikte bilmek zorundasınız.” şeklinde olmuştur. Evet gerçekten de saldırganlara ve saldırılara karşı konumlandırılacak teknolojiler, sistemler veya önlemlerin etkili ve yerinde olabilmesinin ilk şartı, ağı korumakla yükümlü olan herkesin o ağın içindeki tüm uygulamalar, sistemler ve teknolojiler hakkında bilgi sahibi olmasından geçmektedir. Nasıl çalıştığını, ne işe yaradığını veya ne için kullanıldığını bilmediğiniz her türlü uygulama, sistem ve teknoloji aslında önemli bir saldırı vektörüdür de. Rob Joyce’un bu cümlesinin arkasından söylemiş olduğu diğer en önemli ifade ise “çoğu durumda ağları, onları tasarlayan ve çalıştıran insanlardan daha iyi biliyoruz.” şeklindeydi. Yani saldırganlar içine girdikleri ağı maalesef çoğu zaman o ağı yöneten ve tasarlayanlardan daha iyi bilecek hale gelebiliyor (ya da öncesinde zaten biliyor)!

nsa-rob-joyce

Rob Joyce sunumunda bir ağa sızmanın adımlarını “reconnaissance“, “initial exploitation“, “establish persistence“, “install tools“, “move laterally” ve son olarak “collect, exfiltrate and exploit the data” şeklinde, yani klasik o bildiğimiz sızma testi adımlarının benzeri olarak olarak sıraladıktan sonra her bir adım için çeşitli açıklamalar yapmış. Biz de o sunumdaki önemli bilgileri burada paylaşacağız:

 

“Reconnaissance” yani keşif aşamasında NSA TAO, hedef ağı elektronik ve bazen de fiziksel olarak tarıyor/inceliyor. Hedef ağdaki kilit personeli ve e-posta adreslerinin ne olduğu bulmaya çalışıyor ve içeri girebilecek bir yol bulana kadar ağı sürekli gözetim altında tutuyorlar. İhtiyaçları olan ilk çatlağı bulana kadar Rob’un kendi tarifiyle arıyor arıyor, dürtüyor dürtüyor ve içeri girene kadar bekliyor ve bekliyorlar. Bunun için çok sabırlı hareket ettikleri aşikâr! Asıl amaçları da ağ mimarisindeki olası zayıf noktaları, evden çalışan veya yetkisiz bir cihazı işe getiren personeli bulmaya çalışmak oluyor. Ayrıca hedef ağın bağlı olabileceği ısıtma, klima ve havandırma sistemleri gibi kontrol ağları da bir saldırı için çok elverişli kabul ediliyor. Rob, şirketlerin bulut bilişim sağlayıcılarına ayrıca dikkat etmeleri gerektiğini de vurguluyor. Çünkü verilerinizi bir kere bulut ortamında teslim ettiğiniz andan itibaren artık o ağın güvenliğine dayanmış oluyorsunuz. Rob tam da bu noktada “due diligence”in normalden daha önemli bir hale geldiği uyarısını yapıyor.

 

“Initial exploitation” yani ilk istismar/sömürü aşamasında NSA TAO için kilit saldırı vektörleri e-postalara ilişik malware eklentileri, sitelerden injection saldırıları ve USB gibi harici cihazlar oluyor. Bunların yanında bir diğer ortak saldırı vektörü ise henüz kapatılmamış olan bilinen güvenlik zafiyetleri (CVE’ler) oluyor. Rob, şirketlerin zafiyetlerinin hızlıca otomatik olarak kapatılmasını sağlayacak bir yama güncelleme normuna sahip olmaları gerektiğini ve 0-day (sıfırıncı gün) açıklarının ise sanıldığının aksine çok abartıldığını da söylüyor.  Rob, büyük kurumsal ağlarda kalıcılığın ve odaklanmanın 0-day olmadan sağlandığını, çünkü diğer vektörlerin daha kolay, az riskli ve daha verimli olduğunu de özellikle vurguluyor. Rob, NSA’in 0-day kullanımında son kararı vermediğini, bunun için harici bir komite olduğunu da belirtiyor. NSA’in 0-day koleksiyonun çok az olduğunu ve yeni keşfedilen 0-day’larin de bu harici komite tarafından, üreticilerin güncelleme yapabilmekleri için bilgilendirilip bilgilendirilmeyeceklerine karar vermek amacıyla incelendiğini söylüyor. Rob, 0-day’lere karşı yapılabilecekleri şu şekilde belirtiyor:

  • uygulamalar için beyaz liste yöntemi,
  • uygulama ve kullanıcı izinlerini kilitleme,
  • mümkün olduğunca çabuk yama geçme,
  • ve itibar yönetimi.

Bu bağlamda eğer meşru bir kullanıcı ilk kez bir ağ verisine erişimeye çalışmak gibi anormal davranışlar sergiliyorsa, onun ele geçirilmiş olma ihtimali bir hayli yüksek olduğunu düşünmek gerekiyor. İtibar tabanlı araçların malware’lere karşı özellikle kullanışlı olduğunu söylüyor. İmza tabanlı antivirüs çözümlerinin benzersiz saldırı kodlarına karşı koruma sağlamıyor, bunlar ancak itibar veritabanları ile birlikte kullanılınca etkili olabiliyor.

Rob, sıklıkla çok basit sorunların hedef ağlara erişime izin verdiğini söylüyor. Bunlar genelde “administrator” hesap bilgilerinin scriptlere hard-coded olarak gömülü olması, birçok network’ün segmentlere bölünmeden erişilebilir olması ve şüpheli aktivitelerin network loglarında kayıp olması (olması gereken log korelasyonun olmaması ve/veya logun alınmaması) şeklinde olabiliyor.

Rob, resmi olarak yaptıkları sızma testlerinde ise ortaya çıkan zafiyetlerin, iki yıl sonra tekrar baktıklarında hala çözülmediğini gördüklerini de belirtiyor. Buradan da sızma testi sonuçlarının ne kadar dikkatle ele alınıp, eksiklerin kapatılması ölçüsünde tehlikelerin önemli ölçüde bertaraf edilebileceği gayet açık olarak görülebiliyor.

 

“Establish persistence” yani ağda kalıcılık kurma/sağlama aşamasında ağa bir kere girildikten sonra öncelikli olarak başka bir uygulamanın altına gizlenen ya da direkt çalışabilen bir uygulama kurulması yoluyla kalıcılık sağlanmaya çalışılır. Rob, uygulama beyaz listeleme yönteminin bu aşamayı durdurmanın anahtarı olduğunu söylüyor.

 

“Install tools” yani araçlar kurma aşamasında hacker’lar network’ü sömürmek ve verileri toplamak için çeşitli spesifik araçlar kurmak zorundadır. Saldırganın ilk kuracağı araç, diğer etkili ve saldırgan araçları da çağırmayı sağlayan beacon tarzı uygulamalardır. Ağı ve sistemi yönetenlerin uyarı işareti olabilecek sunucu loglarını bu tür araçlara karşı dikkatli bir şekilde incelemeleri ve ziyaret edilen domain’ler ile network trafiğini ince eleyip sık dokuması gerekiyor.

 

“Move laterally” yani yanlamasına hareket etme (ağda yatay hareketler) aşamasında saldırgan artık hedef bilgiye ulaşmak için ağda bir noktadan başka bir noktaya geçmeye çalışır. Ağ yöneticileri burada ağdaki kritik bilgiyi tutan ağ segmentlerini dikkatli bir şekilde gözlemlemeli ve erişimi olanları iyi yönetmelidir. Buradaki kontrolün en önemli parçası da kritik yerlere kimlerin eriştiğini kontrol etmenin yanında, asıl olan o kişilerin o an nerede oldukları ve hangi cihazı kullandıklarının tam olarak yönetilebiliyor olmasıdır. Yine bu bağlamda çalışanların işe kendi cihazlarını getirebiliyor olması (BYOD) bütün sıkı güvenlik önlemlerini bir anda boşa çıkarabilir.

 

Son aşama olan “collect, exfiltrate and exploit the data”da yani artık hasat zamanında hacker’lar yakalanmadan veri kaçırma/çıkarma ya da veriyi bozma gibi asli işlerini yapmaya odaklanır. Buradaki anahtar, network segmentasyonudur. Ve tabiki düzenli ve sürekli izleme ve ağ loglarını kontrol etme ve fark edilmeden hareket eden hiçbir şeyin olmamasına dikkat etmek de birşeyler kaybetmemenin en önemli şartlarındandır.

 

Tüm bunları yaparken canlı ortamın dışarıya alınan yedekleri ile sistemler/uygulamalar/veritabanları yedekleri de hacker’ların ağ içindeki hedeflerinden olmaktadır. Yukarıdaki canlı ortam önlemlerinin yanında dışarıya aktarılan yedeklerin de korunması, herhangi bir saldırıyı en az zararla atlatmanın zorunluluklarından birisidir. Yazımızın konusu olan “NSA TAO Chief on Disrupting Nation State Hackers” başlıklı sunumu alttaki videodan izleyebilirsiniz:

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir