Bu yazida gecen ifadeler tumuyle hayal urunu olup gerceklesmis olmasi ya da gerceklesmesi an meselesidir. Ya da gerceklesmis fakat sistem yoneticisinin farketmemis olmasi muhtemeldir.
Amac IT Security ekibinin bir firmada ne derece onemli oldugunu ve bu isi ayrik ayrik birimlere yaptirmak yerine teknik olarak isine hakim bir gorev gucune devredilmesi gerektigini anlatmak.
Hikayemize baslayalim:
Guven firmasi dunyanin en yasanilir ulkesinde onemli isler yapan bir firmadir. Firmanin calisanlari islerine cok baglidir ve is yapmaktan gozleri baska birsey gormez. Ayni zamanda bu isyeri calisanlari guvenlige oldukca onem verir. Ama bu bilincli bir guvenlik degildir, kulaktan dolma bilgiler, saglayici firmalarin tavsiyeleri ile gelismis bir onemdir. Gun gelir firmanin her isi yapan guvenlik elemanlari son guncellemeleri alacak sekilde yapilandirilmis, cift katmanli Guvenlik duvari ve Saldiri Tespit sistemi ile korunan bir agin bir kismini daha guvenilir hale getirmek icin donemin en guvenilir urunu olarak duyduklari IPS(Intrusion Prevention system)almaya karar verirler. Aslinda kendileri vermez bu karari. Her zaman yardimlarina kosan, iyiliklerini dusunen saglayici firma yardimci olur.
Gun gelir unlu firmanin unlu urunu devreye alinir ve birkac gun inceleyelim denir. Amac sirkete gelen saldirilarin nasil basari ile engellendiginin raporlanip ust yonetime sunulmasidir ve boyle bir cihazin ne kadar gerekli oldugunu anlatmaktir. Ilk gunun ardindan Firma calisanlari artik geceleri daha rahat uyuyacagini dusunerek gonul rahatligi ile evlerine gider.
Ertesi gun ortalikda dolasan konudan habersiz diger guvenlik uzmani birseylerden suphelenir. Icine kotu hisler dogar:). Zira daha once bu hissi bir kere daha yasamistir. Icinden gecen dusuncelere evham diyerek yerine oturur ama icinde atamadigi bir sıkıntı vardir…
Birazdan sıkıntının kaynagi ortaya cikacaktir. Zira birgunluk raporlari incelemek icin erisim izni aldigi IPS’e verilen hesap bilgileri ile login olamamaktadir. Tekrar tekrar dener ve herhalde bunadim(!) artik diye vazgecer. Biraz sonra oyalanmak amaci ile kendi kurdugu ve test IDS sistemine baglanir ve yine sadece zevk icin loglari izlemeye baslar. Arka planda loglari izliyorum gozlerim kapali sarkisi calmaktadir…
Birden loglarda bir gariplik ve serinlik ıoldugunu hisseder. O da ne! Yaramaz birileri ssh bruteforce atak yapmaktadir. Garip muhendis hemen ellerini ovusturarak gelen paketleri incelemeye baslar. Paketler oldukca aciktir , tek bir kaynaktan oldukca seri bir sekilde gelmektedir. Garip uzman IP adresini otomatik bloklattirir ve tekrar loglari izlemeye devam eder. Bir gariplik vardir SSH bruteforce yapan IP adresi bloklandiktan sonra garip uzmanin da sisteme erisimi kesilmistir…
Bir cay alip gelen garip uzman biraz sonra saldiri yapan IP adresinin kendi IP adresi oldugunu gorur ve daha bir sasirir… Sonra icindeki hisse uyarak kurulan IPS sistemininin basina giderek konsoldan inceleme yapar ve supriz! Bir gece once kurulan IPS sistemi bir saat icerisinde hacklenmis ve bir Zombi gorevi goruyordur.
Birkac saat suren forensic sonucunda sistemin nasil hacklendigi bulunur:) ve ilgili urun sifirdan kurularak tekrar devreye alinir.
Zincirin saglamligi en zayif halkasi kadar derler ya aynen oyle bir durum yasanmistir. Kurulan IPS sisteminde root parolasi default unutulmus(herhangi bir wordlisteki ilk 10 denemeden biri) ve ilgili portlari icin filtreleme kurallari yazilmamis. Ve ilgili firma notunu 10 uzerinden 3 almistir.
Cok zor olmayan fakat eksik guvenlik anlayisindan ya da tembellikten kaynaklanan mini hatalar geri donusu olmayan ciddi hatalara donusebilir. Zira IPS’i ele geciren ben olsaydim(yapmam ya:) tum firmanin trafigi dinler ve oradan kendime guzel bir album cikarirdim. Daha neler neler…
Neymis? Egitim sart!
Neymis? Guvenlik icin ogretilenler bir kulaktan girip digerinden cikmak icin degil uygulanmak icinmis.
Neymis? Firmalar bundan boyle kocaman hack manzaralari ile karsi karsiya kalmaktan cok boyle basit hatalar yuzunden zor durumda kalacaklarmis.
Gecenin bu saatinde cok geyik bir girdi oldu, uzun sure yazmayinca boyle oluyor:).
Buradan anlaşılıyor ki en ufak bile hata kabul edilmemektedir.Ve her güvenlik firmasına güvenmemeiz lazım.
Saygılar,
Gecenin bu vakti,ders verici ve içine eğlence serpilmiş makalenizi okumak güzel geliyor..Sanırım manyaklaşma yolundayım 🙂 Elinize sağlık..
Burada bahsetmiş olduğunuz hikayenin çok daha şekillendirilmiş halleri Mitnick’in yazdığı “Aldatma Sanatı” kitabında yer alıyor. Aslında bu kitapta daha çok “Toplum Mühendisliği” konusu üzerinde durulmuş. Ama hikayeler gerçekten çok ilginç ve kayda değer. Kitabın sonunda da güvenlik kavramı hakkında ciddi bir sonuç ve tavsiye bölümü mevcut.
Güzel bir bilim kurduydu fakat günümüzde sosyal mühendislik yöntemleri işlevini kaybetmiş durumda. Çümkü güvenlik uzmanları olarak önümüze her gelene dikkat dikkat dikkat diyoruz…
Makale için teşekkürler.