ADEO Security Labs Olarak CypSec ’14 Konferansındayız

ADEO Security Labs olarak CypSec ’14 konferansında yer alacağız. Halil ÖZTÜRKCİ “Mac OS X Forensics” ve Canberk BOLAT “Alice Android Diyarında” başlıklı konuşmalarıyla yer alacaklardır.

cypsec

Dünyaya damgasını vuran ve Siber tehditlere karşı önemini daha çok hissettiren siber güvenlik, siber casus yetiştirme politikaları, siber savaşlar ve bu alana yönelik olarak ülkelerin bütçelerinden ayırdıkları hatırı sayılır oranlara ulaşan rakamlar, bilgi güvenliğini bireysel, kurumsal ve ülke güvenliği açısından kritik öneme kavuşturmuştur.

CypSec – KKTC Siber Güvenlik Konferansı ‘14 bu eksendeki soru ve sorunlara çözüm ve çözüm önerileri sunmayı hedeflemektedir.

1.sini 2013 yılında KKTC Bayındırlık ve Ulaştırma Bakanı Sn. Hamza Ersan Saner ve BTHK başkanı Cüneyt Çerkez’in katılımıyla düzenlediğimiz CypSec’13, 2014 yılında 2. defa yapılacaktır.

Bu yıl CypSec için bir ilk olacak olan tüm organizasyon boyunca canlı yayında resmi internet sitemizden ve medya ortaklarımızdan yayınlıyor olacağız.

KKTC’de bilgi güvenliği ve açılımları konusunda kamuoyunda farkındalık yaratmayı, bilgi ve bilinç düzeyini yükseltmeyi hedefleyen ve bu amaçla her yıl düzenli olarak gerçekleştirilmesi planlanan bir organizasyondur.

CypSec – KKTC Siber Güvenlik Konferansı ‘14, konusunda uzman kişiler tarafından yapılacak uygulamalı sunumlarda, katılımcılar merak ettikleri konulara cevap bulmakla kalmayıp uygulamalı olarak görebileceklerdir.

Kayıt ve daha fazla bilgi almak için www.cypsec.org adresine göz atınız.

OpenSSL Heartbleed Bug (CVE-2014-0160)

from heartbleed.com

from heartbleed.com

Nedir bu Heartbleed?
OpenSSL’in TLS/TDLS heartbeat eklentisi implementasyonunda ortaya çıkan bir “memory leak” zafiyetidir. 64K

Nasıl Çözebilirim?
Zafiyet OpenSSL tarafından kapatıldı. OpenSSL’in yayınladığı bildiriye buradan ulaşabilirsiniz. Upgrade edemeyen kullanıcıların sistemlerindeki OpenSSL yüklemelerini -DOPENSSL_NO_HEARTBEATS parametresi ile tekrar derlemeleri gerekiyor.

Ne gibi bir riski var?
Zafiyet son derece kritik. Saldırgan herhangi bir iz bırakmadan 64K memory’i dump edebiliyor. Mevcut bağlantısını koparmadan memory’nin tamamını dump edebilir.

Dump edilen memory’de SSL Sertifikası, Private Key’ler, HTTP(S) header’ları, kullanıcıların post ettikleri data’lar, Cookie’ler ve aklınıza gelebilecek encrypted her veri yer alabilir. Zafiyet için çözüm önerileri, yama ve yeni versiyon yayınlanmasına rağmen bir çok sistem bu zafiyeti barındırıyor. Daha kötüsü gömülü cihazlar v.b güncellemenin bir an önce yapılamayacağı platformlar büyük bir risk altında. Heartbleed zafiyetinin bir bug^H^H^H backdoor olduğu konusunda söylentiler dolaşıyor. NSA’in kime ne kadar tekliflerde bulunduğu gibi spekülasyonlara girmeden ufak bir kaç PoC screenshot’ı ile bu yazıyı burada sonlandırıyoruz.

Testlerimiz sırasında sertifika, cookie bilgisi, username/password gibi kritik bilgileri sızdıran zafiyetli sistemler olduğunu keşfettik ve haberdar olmayan sistemleri uyardık, uyarmaya devam edeceğiz. Güvenli internetler!

upss2

yahoo

openssl

Adli Bilişim İncelemelerinde Sorter Uygulaması İle Dosya Sınıflandırma

Bazı spesifik olaylara ilişkin adli bilişim incelemelerinde önümüze sunulan disk imajları içerisinde yer alan dosyaları hızlıca türlerine göre sınıflandırmamız gerekebiliyor. Örneğin sadece Microsoft Office dokümanları yada resim dosyaları üzerinde analiz gerçekleştirmemizin gerektiği olayları incelemek durumunda kalabiliyoruz. İşte bu durumlarda ilgili imaj içinde yer alan silinmiş veya silinmemiş, bütün dosyaları hızlıca türlerine göre ayırabilmek oldukça önemlidir.
Sorter uygulaması bir perl scriptdir ve TSK (The Sleuth Kit ) içindeki birkaç uygulamayı ardışıl çalıştırarak imaj içinde yer alan dosyaları türlerine göre sınıflandırır. Sorter uygulaması çalıştırıldığında öncelikle fls uygulamasını çalıştırarak dosyaların tam yolunun listesini çıkartır ve ardından bu listedeki her bir dosya için icat uygulamasını çalıştırır. Bir sonraki aşamada dosyalar file komutuna girdi olarak sunulup dosyanın tipi belirlenir. Son aşama olarak bu dosyalar türlerine göre istenirse belirlenen bir lokasyona kaydedilir.

Linux Memory Forensics – 1

Bu yazı dizimizde Linux sistemlere ait hafıza imajları üzerinde yapılacak analiz işlemlerini ele alacağız. Adli Bilişim incelemelerinin olmazsa olmazlarının başında gelir hafıza analizi. Müdahale edilen canlı sistemler üzerinden elde edilen hafıza imajında yapılan analizler ile çok değerli sayısal delillerin elde edilebileceği gösterildikten sonra adli bilişim uzmanları artık olay müdahalelerinde mutlaka hafızanın imajını almayı ve bu imajı analiz etmeyi süreçlerinin bir parçası haline getirdi. Şimdiye kadar genellikle Windows sistemlerin hafızalarına ilişkin adli analiz yöntemleri geliştirilmişti. Son zamanlarda artık Linux ve Mac OS X sistemlerin hafızalarının analizine ilişkin de çalışmaların yapıldığına şahit oluyoruz. Bu yazımızda bir Linux sistemin hafıza imajının nasıl alınacağına ve analiz edileceğine değineceğiz.

Eski sürüm Linux sistemlerinin hafızalarının imajlarını /dev/mem üzerinden elde etmek mümkünken  yeni sürüm Linux sistemlerde  /dev/mem ile fiziksel hafızanın imajını almak artık mümkün değil.Bunun yerine  http://hysteria.sk/~niekt0/foriana/fmem_current.tgz adresinden indirilebilecek fmem ile fiziksel hafızanın tamamının imajını alabiliriz. Bu çekirdek modülü indirildikten sonra sırasıyla aşağıdaki komutları çalıştırıyoruz. (Burada unutmamamız gereken önemli bir nokta da şudur; yapacağımız bu işlemler hafıza üzerindeki bir takım sayısal delillerin üzerine yazabilir. Fakat hafıza imajını almak için bu modülün yüklenmesi şart. Bunu kabul edilebilir bir değişiklik olarak görebiliriz. Aksi takdirde hafızadaki önemli sayısal delilleri elde edemeyeceğiz.)

Mac OS X Sistemlerde Audit Log Analizi

Mac OS X tabanlı sistemlerde meydana gelen olayların loglandığı ve bir adli bilişim incelemesinde mutlaka analiz edilmesi gereken dosyalardır audit dosyaları. Bu dosyalar Sun tarafından geliştirilen Basic Security Module formatında dosyalar olup ikili formattadır. BSM formatı hakkında detaylı bilgiye https://developer.apple.com/library/mac/documentation/Darwin/Reference/ManPages/man5/audit.log.5.html adresinden ulaşabilirsiniz. Bir Mac OS X tabanlı sistemde log dosyaları /private/var/audit dizininde saklanır. Aşağıdaki ekran görüntüsünde örnek bir Mac OS X sistemde yer alan audit log dosyaları gösterilmiştir.

Screen Shot 2014-03-25 at 10.54.21

Okumaya devam et

Argus (Audit Record Generation and Utilization System) İle Network Forensics

Argus(Audit Record Generation and Utilization System), adli bilişim incelemesi kapsamında analiz edilmesi gereken ağ paketleri üzerinde  ileri seviye network analizi yapan açık kaynak kodlu bir yazılımdır ve Carter Bullard tarafından geliştirilmiştir. 10 yıldan fazla bir süredir geliştiriler bu uygulama yeni protokollere hızlı şekilde adapte olmaktadır. İstemci ve sunucu olarak iki ayrı bileşenden oluşan bu yazılımın son sürümüne http://www.qosient.com/argus/gettingstarted.shtml adresinden ulaşabilirsiniz.

Bu yazılım sunucu ve istemci olmak üzere iki bileşenden oluşur. Sunucu bileşeni ağ üzerinden yakaladığı  trafiği analiz edip binary olarak kaydeder veya doğrudan istemci bileşenine aktarabilir. Argus istemci ise sunucudan aldığı girdiyi analiz eder. Argus server mirror trafik , pcap dosyası veya netflow’dan veri okuyarak analiz yapabilmektedir.

Ubuntu tabanlı sistemlerde aşağıdaki komutlar kullanılarak Argus kurulumu gerçekleştirilir.

#apt-get install argus-server argus-client

Sorunsuz şekilde kurulum gerçekleştirildikten sonra herhangi bir parametre verilmeden çalıştırılırsa  varsayılan olarak eth0 arabirimini dinleyerek tüm paketleri kaydeder. Örnek kullanım aşağıda gösterilmiştir.

#argus –w argus_istemci_verisi

Okumaya devam et

Adli Bilişim İncelemelerinde Sabit Disk İmajları – E01 İmaj Formatı

Yazı dizimizin bu makalesinde E01 imaj formatına değineceğiz. Expert Witness Format (EWF) olarak bilinen bu imaj formatı EnCase yazılımı tarafından varsayılan olarak kullanılan ve spesifikasyonları açık olmayan bir imaj formatıdır. EWF formatındaki bu imaj dosyalarının uzantısı .E01 şeklindedir. Bu imaj dosyaları içerisinde metadata bilgisi saklanır ve imajın sıkıştırılması desteği mevcuttur. EWF formatının spesifikasyonları için http://sourceforge.net/projects/libewf/files/documentation/EWF%20file%20format/ adresindeki doküman incelenebilir.

Linux ortamında EWF formatındaki imajlar üzerinde çalışmak için libewf kütüphanesi kullanırız. Libewf, Expert Witness Compression Format (EWF) desteği sunan bir kütüphanedir ve hem SMART (EWF-S01) hem de  EnCase (EWF-E01) formatını destekler. Libewf  kütüphanesini kullanılarak EWF dosyalarını hem okuyabilir hem de bu formatta imaj dosyaları oluşturabiliriz. Özellikle bir adli bilişim incelemesinde EnCase uygulaması kullanılarak imajı alınan sabit diskler üzerinde açık kaynak kodlu uygulamalar ile analiz yapmak istediğimizde bu kütüphane imdadımıza koşar. Bu kütüphanenin son sürümü LEV (EWF-L01) formatını da desteklemektedir. Libewf’nin son sürümü http://sourceforge.net/projects/libewf/ adresinden indirilebilir. Bununla birlikte bizim bir çok adli bilişim analizinde kullandığımız ve adli bilişim ile ilgili bir çok açık kaynak kodlu ev ücretsiz uygulamanın içinde yüklü geldiği SIFT Workstation içinde de hazır yüklü halde gelir.

Adli Bilişim İncelemelerinde SANS Investigative Forensic Toolkit (SIFT) Workstation 3.0′ı Kullanmak

Adli bilişim incelemesi gerçekleştirirken bir çok yardımcı araçtan faydalanırız. Bu araçların kimisi lisanslı ürünlerdir (EnCase ve FTK gibi) kimisi de açık kaynak kodlu ya da ücretsiz (Log2timeline, RegRipper, TSK gibi) yazılımlardır. Bu ücretsiz yazılımları ihtiyaç duyduğumuzda analiz bilgisayarımıza indirip, derleyip yükledikten sonra analiz işleminde kullanabileceğimiz gibi halihazırda hepsinin yüklü olduğu bir platformu da kullanabiliriz. SANS tarafından hazırlanan ve ücretsiz olarak kullanıma sunulan Vmware tabanlı bir sanal makina olan Investigative Forensic Toolkit (SIFT) Workstation farklı işler için kullanılan irili ufaklı bir çok ücretsiz adli bilişim uygulamasını içerisinde barındırıyor. Bu sayede uygulamaları kurma&derleme vb gibi işlerle uğraşmadan hızlıca analiz işlemlerine geçmeyi mümkün kılıyor. Kişisel olarak gerçekleştirdiğim adli bilişim incelemelerinin neredeyse tamamında kullandığım bu sanal makinayı sizin de araç setinize eklemenizi ve içinde yer alan uygulamaları kullanmanızı şiddetle tavsiye ederim.

SANS Investigative Forensic Toolkit (SIFT) Workstation‘ın en son sürümü çok kısa zaman önce yayınlandı. Uzun zamandır heyecanla beklediğimiz 3.0 sürümünü https://digital-forensics22.sans.org/community/download-sift-kit/3.0 adresinden indirebilirsiniz. Sanal makina imajını indirebilmeniz için SANS Portal hesabınızın olması gerekiyor. Eğer SANS hesabınız yoksa hızlıca ücretsiz bir şekilde hesap oluşturabiliyorsunuz.

Okumaya devam et

İnternette Konuşulanları Gerçek Zamanlı İzleyin -1

İnterneti kullanan herkes belirli arama motorlarını kullanarak istediği kelimeler üzerinde arama işlemi yaparak sonuçlar üzerinde gezinme yeteneğine sahiptir diye düşünüyorum. Hatta interneti yeni yeni kullanmaya başlayan herkesin yaptığı işlerin başında gelir bir arama motorunu kullanmak. Bu durum on-demand yani ihtiyaç duyulması halinde gerçekleştirilen bir eylemdir ve bu eylem sonucuna elde edilecek bulgular zamanla değişiklik gösterir. Yani aynı ifadeyi üzerinden gerçekleştirilecek arama sonuçları farklı zamanlarda farklı sonuçlar üretir. Bunun da sebebi internet dediğimiz ortama sürekli yeni içeriklerin eklenmesidir.

Yeni içeriklerin eklenmesi durumunda olabildiğince hızlı bir şekilde o  içeriklerden haberdar olmak belirli durumlar için hayati öneme sahiptir. Örneğin bir marka yöneticisinin markasına ilişkin iyi ya da kötü içerikler hakkında bu içerikler internete düşer düşmez haberdar olması beklenir ve istenir. Aynı şekilde kişisel olarak da bizimle alakalı internete düşen haberler, yorumlar, sosyal medya paylaşımları gibi bizi direkt olarak ilgilendiren içeriklerle ilgili olabildiğince hızlı haberdar olmamız bu içeriklerle ilgili takip edeceğimiz sürecin akışını belirleyecektir.

Okumaya devam et