SALDIRI SONRASINDA DİJİTAL AYAK İZİ TAKİBİ
Dijital ayak izi takibi, gerçekleşmiş bir saldırı sonrasında saldırının nereden ve nasıl geldiğini anlamak, aynı saldırıyı tekrar yaşamamak için gerekli önlemleri almak ve verilerimiz çalınmışsa hangi verilerin çalındığını bilmek açısından çok önemlidir.
1.1. Ayak İzi Takibinin Önemi
Gerçekleşmiş bir saldırı sonrasında, sistemleri tekrar normale getirdikten sonra, “organizasyon güvendedir” düşüncesi kesinlikle yanlıştır. Organizasyona karşı yapılmış bir saldırı varsa, sistemlerde mutlaka bir açık kapı bulunmaktadır. Daha kötüsü, sisteme bir defa ulaşmış kişi, sisteme giriş yaptığı zafiyet kapatılmış olsa bile kendi ürettiği Arka kapı (backdoor) sayesinde sisteme ulaşabilecek durumda olabilmektedir.
1.1.1. Saldırı aşaması
Yaşanmış saldırı sonrasında, ilk sorulması gereken soru “saldırı nasıl oldu” sorusudur. Sisteme ulaşmış bir saldırganın, atağına hala devam edip etmediği; devam ediyorsa sistemden bir an önce uzaklaştırılması, atak sona erdi ise sisteme ilk dâhil olduğu noktayı yakalayarak tespitini yapmak gerekiyor.
Bir örne vermek gerekirse, organizasyona girmiş bir hırsız için ilk yapılan şey güvenliği nasıl atlattığının tespitinin yapılmasıdır. İçeriye farklı bir üniforma ile girmiş olabilir, güvenliğin kameralarının kör noktalarına düşen bir alandan girmiş olabilir, arka tarafta depoya açılan ve kontrolü sağlanmayan bir kapıdan girmiş olabilir gibi ihtimaller değerlendirilerek, geçmişe dönük kamera kayıtları sayesinde saldırganın organizasyon sahasına ilk nereden girdiğinin tespiti yapılabilir.
Geçmişe dönük kamera kayıtları
Örnekte, saldırının tespiti için kamera kayıtlarının ne kadar önemli yer tuttuğu görülebilir. O halde bilişim sistemlerinde de, kamera kayıtları olmalıdır. Bu kamera kayıtlarına sistemsel dilde LOG denilmektedir. Log, sistem üzerindeki tüm hareketlerin ve olayların anlık olarak kayıt altına alındığı dosyalar veya veritabanlarıdır. Yazılımlar, işletim sistemleri ve web sunucuları olmak üzere birçok alanda loglar aktif olarak kullanılmaktadır. [62]
Şekil 4‑1 Hatalı Parola LOG Kaydı
Saldırganın organizasyona zarar verdiği nokta bulunduğunda, IP adresi üzerinden geçmişe doğru gidilerek, o IP adresinin organizasyonun bilişim sistemlerii logları arasına ilk dâhil olduğu nokta bulunmalıdır.
Örneğin; İşten ayrılan bir kullanıcı, aynı odasında bulunan bir personelin VPN şifresini biliyor ve onunla yeri geldiğinde işlem yapabiliyor olabilir. Saldırının yaşandığı an tespit edildiğinde, IP adresi üzerinden geçmişe doğru giderken, bu saldırganın hangi saatte, hangi yöntemle sisteme ilk dâhil olduğunu bulunabilmektedir.
Veya sistem üzerinde veritabanına atak yapmış ve veritabanımızı ele geçirmiş bir kullanıcı bulunabilir. Bu kullanıcının ilk hareketlerine gidildiğinde, bir web sunucusuna yaptığı denemeler bulunabilir. SQL Enjeksiyon saldırısı için zararlı karakterleri gönderdiğini ve sayfalarımızın tamamından ret yanıtı aldığı görülebilir. Sonrasında, önlem alınmayan veya gözden kaçırılan bir sayfa üzerinden SQL Injection için zararlı komutu gönderdiği görülebilir. Sonrasında, otomatik araçlarla veya elle sistem üzerinde veritabanının türünü, modelini ve ismini öğrenmek için ataklar yaptığı görülebilir. Burada da saldırının olduğu yer, SQL Enjeksiyon için gerekli önlemler alınmayan bir web sayfasıdır.
Saldırının nasıl olduğunun tespitinin yapılması, aynı saldırının aynı saldırgan tarafından tekrar denenmesini veya başka bir saldırının o açıklığı fark ederek sisteme saldırmasına sebep olmaktadır. Saldırının geldiği noktanın tespitiyle birlikte, o noktadan daha önce fark edilmeyen saldırı girişimlerinin de olup olmadığı incelenmelidir.
Bunların yanı sıra, SQL Enjeksiyon açıklığını barındıran sayfanın en son ne zaman güncellendiği, içerden birisinin “işten atıldığında zarar vermek için” gibi bir düşünce ile mi bu sayfayı hazırladığı gibi detaylar da araştırılmalı, saldırının üstüne gidilmelidir.
1.1.2. Aynı saldırı için önlem
Logların incelenmesinin akabinden saldırının nereden geldiğinin anlaşılması, dijital ayak izi takibi anlamında çok önemli bir aktivite olmaktadır. Bunların yanı sıra, aynı saldırıyı tekrardan yaşamamak için önlemlerin alınması gerekmektedir.
Aynı saldırı için önlem alınmaması, aynı saldırganın tekrardan sisteme dâhil olmasına veya farklı saldırganların bu açıklığı öğrenerek sisteme giriş yapmasına sebep olabilir. Herhangi bir saldırı ile kaşılaştıktan sonra, saldırının nereden geldiğini öğrenmek gerekmektedir. Saldırının geldiği nokta öğrenildikten sonra ise en önemli adım, o açık kapıların derhal kapatılmasının sağlanmasıdır.
Örneğin;
SQL Injection saldırısı sonrasında, öncelikle ilgili sayfa üzerinde gerekli değişikliklerin yapılarak açıklığın giderilmesi ve sonrasında da diğer sayfaların (öncelikle o sayfayı kodlayan kişinin ürettiği diğer sayfaların) SQL Enjesiyonu açığı için kapatılması gerekmektedir.
Saldırı sonrasında oluşturulacak olan bilgilendirme, ilgili ekiplerle paylaşılmalı ve kurum bünyesinde paylaşılarak ilgililerin sonrası için gerekli önlemleri alması sağlanmalıdır.
Örneğin;
İşten ayrılan bir kişinin, başkasına ait bir VPN ile sisteme dâhil olması gibi bir atak sonrasında da, gerekli kullanım politikaları oluşturulmalı ve bir kişi işten ayrıldığında tüm VPN kullanıcıların şifreleri resetlenmelidir. Bunların yanı sıra, şifre kullanım politikası oluşturularak şifrelerin kimse ile paylaşılmaması gerektiği gibi idari konular da göz ardı edilmeden hızlı reaksiyon alınarak çözülmelidir.
Saldırı için gerekli önlemleri aldıktan sonra, ilgili saldırganın tekrar sisteme dâhil olmak için adım atması beklenebilir. Tekrar adım attığında ise, izleme modunda saldırganın attığı adımlar takip edilmelidir. Açıklığın bulunduğu alanda denediği yöntemlerin artık işe yaramadığını anladığında, bildiği farklı alanlar varsa oraya yöneleceği için takip ederek anında müdahale edilme şansı bulunmaktadır.
1.1.3. Hangi veriler çalındı
Saldırı sonrasında, yaşanan saldırının organizasyona olan maliyetini ölçebilmek için zarar görülen alanların belirlenmesi gerekmektedir.
Bir veritabanı saldırısı ise, hangi verilerin sızdırıldığı tespit edilmeli, bulgular üzerinden sızan verilere göre önlem alınmalıdır.
Örneğin;
Bir e-ticaret web sitesinin veritabanının sızdırılması, kullanıcı bilgileri veya kullanıcıların hesaplarından işlem yapılması açısından kritik öneme sahiptir. Eğer özellikle, kredi kartı bilgileri tutuluyorsa, kullanıcılar ile bu verilerin çalındığı paylaşılmalı bir an önce önlem alınması gerektiği belirlenmelidir.
Sadece kullanıcı hesaplarının çalınması senaryosunda ise, kullanıcı parolaları sıfırlanmalı, kullanıcıların bilgilendirilmesi sağlanmalıdır. İleriye dönük hasarların tespiti yapılmalı ve onlar ile ilgili hamleler yapılmalıdır.
Çalınan verilerin bilinmesi, onların ilerde kullanıldığında oluşturacağı etkinin azaltılmasına katkı sağlayacaktır. Örneğin, Dünya çapında şubeleri bulunan bir bankaya ait kredi kartı bilgilerinin Türkiye’de çalınması gibi büyük bir olay yaşandı. Bankacılık, “güven” olgusunun en önemli olduğu sektörlerden birisi olmasına rağmen, o banka bu kadar büyük bir olaydan çok az yara alarak sıyrılmayı başardı. Bunun altında yatan olayların en önemlisi, saldırı sonrasında dijital ayak izi takibi yaparak, hangi verilerin sızdırıldığının tespitinin yapılmasıydı. Sonrasında kullanıcılarına “hacklendik, ama süreci iyi yönetiyoruz” açıklaması yaparak gerekli önlemleri çok kısa sürede almaları sayesinde büyük bir olayı atlattılar. Saldırı sonrasında hangi verilerin dışarı çıktığının analizi yapılmamış olsaydı, o kredi kartları kullanılacak, banka müşterileri ve banka çok ciddi manada zarar görmüş olacaktı.
Hangi verilerin çalınmış olduğunun tespiti, saldırı sonrasında zararı en aza indirmek için gereklidir.
1.2. Ayak İzi Takibi Yöntemleri
Çoğu zaman organizasyonlar, ağ ihlali başlatan ağ saldırganını izlemekte başarısız olurlar. Saldırıları hafifletmek için en iyi önlemleri almakla birlikte, ağı her saldırıya karşı korumak imkânsızdır. Tüm saldırganlar saldırdıkları sistem üzerinde mutlaka iz bırakır, olay günlüğü verileriniz ve syslog verileri, ihlal sebebini belirlememize ve hatta kimin ihlali başlattığını söylemenize yardımcı olabilecek tek şeydir.
Log kayıtları adli analiz raporu, mahkemede kanıt olarak kullanılabilir.
1.2.1. LOG kayıtları
Saldırı analizlerini yapabilmek için, log kayıtlarına ihtiyaç vardır.
Temel log kaynakları ise;
- Firewall Logları (Güvenlik duvarı üzerinde başarılı geçişler ve başarısız istekler),
- Switch Logları (Ağ üzerinde haberleşen MAC adresleri gibi bilgiler),
- AccessPoint Logları (WiFi saldırıları veya bağlı cihazlara ait bilgiler),
- İçerik Filtreleme Logları (İçerik sistemine takılan isteklerin logları),
- DHCP Logları (Sisteme dâhil olan cihazların istediği oturum istekleri),
- Active Directory Oturum İstekleri Logları (Domainde oturum isteği oluşturan kullanıcılar),
- IDS Logları (Saldırı olabileceği tespit edilmiş kayıtlar)
Gibi kaynaklardır. Bu kaynaklar üzerinden gelen veriler, saldırı yönetimi için önemli bir yer tutmaktadır.
Örnek Senaryo: Ortadaki Adam Saldırısı (MITM (Man in The Middle)) Denemesi Tespiti
Yerel ağda, layer 2 seviyesinde gerçekleştirilecek olan bir saldırının analizinin yapılmasıdır. Bu noktada temel mantık, daha önce veritabanına eklediği IP-MAC ADDRESS eşleşmesinin, farklılaşmasından aynaklanmasıdır.
192.168.1.16 – A6:B6:34:65:DD:01 (ilk kayıt)
192.168.1.16 – A6:B6:34:65:DD:01 (önceki ile aynı – normal senaryo)
192.168.1.16 – A6:B6:34:65:DD:01 (önceki ile aynı – normal senaryo)
192.168.1.16 – A6:B6:34:65:DD:01 (önceki ile aynı – normal senaryo)
192.168.1.16 – A6:B6:34:65:DD:01 (önceki ile aynı – normal senaryo)
192.168.1.16 – 00:02:BG:BG:N3:K4 (aynı IP – farklı mac. Şüpheli)
Şeklinde bir tablo, salgırganın MITM yapmak için MAC adresini sistemde mevcut ve izinli bir MAC adresi ile değiştirmiş olabileceği şüphesidir.
1.2.2. MAC analizi
MAC, cihazların internete çıkmak için kullandıkları değiştirilemez kimlik numaralarıdır. Yerel ağlardaki saldırılarda kullanılmaktadır.
48 bitlik adreslerden oluşmaktadır. İlk 3 byte üretici firmayı, geri kalan 3 byte da kimlik numarasını belirtmektedir.
Ağ üzerinde işlem yapan tüm cihazlar, yaptıkları işlem sırasında layer 2 katmanında mac adresleri ile haberleştikleri için iz olarak bu adresi bırakırlar.
Mac adresleri Ağ İncelemeleri (Network Forensic) açısından çok önemlidir. Mac adresi eğer olduğu gibi bırakılmışsa ve gerekli loglamalar yapılmışsa, mac adresinden marka ve hatta o ürünün nerede satıldığı dahi belirlenebilir.
Fakat belirli yazılımlar ile MAC adresleri farklı gösterilebildiği için tek başına yeterli bir delil olarak kabul edilmemektedir.
