"Hacklendikten sonra yapılacaklar ve kimi mahkemeye verebilirsiniz?"
Bilişim hukuku konusunda uzman Avukat Seval Sönmez Durmuşoğlu'nun katılımıyla düzenlenen webinarda sibr olayların tespiti, müdahale süreçleri ve bazı komutları içeren sunum
6. Bugün...
• Hukuki boyutu
Seval Sönmez Durmuşoğlu onur bursu ile kazandığı Bahçeşehir
Üniversitesi Hukuk Fakültesi’nden mezun olmuştur. Gerek üniversite
yıllarında gerekse profesyonel iş hayatında uluslararası çalışan yurt
içi ve yurt dışındaki hukuk bürolarında faaliyet göstermiştir.
Çalışmalarına uluslararası bir vizyon katmak adına Almanya’da
uluslararası çalışan bir hukuk bürosunda staj yapmıştır. Öncelikli
uzmanlık alanları ticaret hukuku, şirketler hukuku, sözleşmeler
hukuku ve bilişim hukuku olup bu alanlarda hukuk danışmanı ve
avukat olarak hizmet vermektedir. Faaliyetlerinde Türkçe ve İngilizce
dillerini aktif şekilde kullanmaktadır. Türkiye’nin önde gelen e-ticaret
sitelerine danışmanlık vermiş olup önemli internet şirketlerinin satış
ve ortaklık projelerinde yer almıştır. Adalet Bakanlığı, HSYK, Türkiye
Barolar Birliği ve Avrupa Konseyi işbirliği ile hazırlanan Ceza Adalet
Sisteminin Geliştirilmesi projesi kapsamında Bilişim Suçları alanında
çalışmış ve bu kapsamda kitap ve sunumlar hazırlamıştır.
www.garnizon.com.tr
14. Siber Olaylar
• Olay Türleri:
– Harici bellek/kaynak
– Kaynak tüketimi
– İnternet
– E-posta
– Taklit
– Uygunsuz kullanım
– Kayıp/çalıntı
– Diğer
www.garnizon.com.tr
23. Siber Olaylar
• Dışarıya doğru alışılmadık trafik
• Yetkili kullanıcı hesaplarında alışılmadık
davranışlar
• Coğrafi dağılımlar
• Sisteme girişlerle ilgili gariplikler
• Veritabanı erişimlerinde anormallikler
• Geniş HTML istekleri
• Aynı URL’nin çok kez talep edilmesi
www.garnizon.com.tr
24. Siber Olaylar
• Port/trafik uyuşmazlıkları
• Sistem veya registry dosyalarında değişiklik
• Anormal DNS talepleri
• Beklenmedik sistem “yaması”
• Mobil cihaz konfigürasyon değişikliği
• Olmaması gereken yerlerde veri bulunması
• Kullanıcı tarafından oluşturulamayacak
trafik/davranış
• DDoS belirtileri
www.garnizon.com.tr
25. Hazırlık Aşamaları
• Siber güvenlik olayına hazır olun
• Siber güvenlik olayına müdahale edin
• Siber güvenlik olayını takip edin
OLAY!
Müdahale
Hazırlık
Takip
www.garnizon.com.tr
26. “Siber Olay”
“Ufak olaylar”
• Küçük suçlar
• Meraklı gençler
• Mahali suçlular
• İç tehdit
“Daha ciddi olaylar”
• Suç örgütleri
• Devlet destekli gruplar
• Terörist gruplar
OLAY!
www.garnizon.com.tr
27. Özet Tablo
Basit Olay Gelişmiş Olay
Saldırgan türü
İç tehdit, küçük suçlar, meraklı gençler,
vs.
Suç örgütleri, devlet destekli
gruplar, vs.
Hedef
Bütün sistemler, özel sektör, stratejik
olmayan Kamu, vs.
Büyük kuruluşlar, Uluslararası
örgütler, Kamu kurumları,
Kritik altyapılar, Savunma
sanayi, vs.
Saldırı amacı
Maddi kazanç, reklam, intikam, “hak
arama”, vs.
Büyük maddi kazançlar, Geniş
çaplı etki, Ulusal güvenlik
hedefleri, terör, savaş, vs.
Saldırgan yetkinlikleri
Düşük beceri düzeyi, sınırlı kaynak,
herkesin bulabileceği araçlar, iyi
örgütlenmemiş, sadece yerel “camia”,
vs.
Yüksek beceri düzeyi, çok
kaynak, özel araçlar, iyi
örgütlenmiş yapılar,
uluslararası bağlantılar
Müdahale
gereksinimleri
Hizmetleri tekrar çalışır hale getirmek,
izlemek, vs.
Sektöre özel müdahale, hukuki
süreç, halkla ilişkiler, vs.
www.garnizon.com.tr
28. Kolay anlatıyorsun da...
Bütün saldırı türlerine karşı hazırlıklı
olmalıyız... Saldırganın tek yapması gereken
bir zafiyet bulmak
“Saldırgan hareket planından bağımsız bir
olay müdahale süreci geçersizdir”
- Alper Başaran
www.garnizon.com.tr
30. Siber Olay Müdahale Aşamaları
1. Olay (muhtemel olay) tespiti
2. İnceleme ve “temizleme” işlemlerinin hedeflerinin
belirlenmesi
3. Olaya ilişkin eldeki verilerin analizi
4. Olayı anlamak
5. Olaydan etkilenen sistemlerin belirlenmesi
6. Çalınan/silinen/değiştirilen verilerin tespit edilmesi
7. Saldırgan ve amaçlarının tespiti
8. Saldırının nasıl gerçekleştiğini anlamak
9. Olayın iş süreçlerine etkisi
10. Araştırmayı ilerletmek
www.garnizon.com.tr
32. 1. Adım
1. Kritik varlıkların belirlenmesi
2. Siber tehdit analizinin yapılması (senary bazlı)
3. Kişi, süreç ve teknolojinin etkilerinin
belirlenmesi
4. Kontrol süreçlerinin belirlenmesi
5. Hazırlık durumunun ölçülmesi, iyileştirilmesi
Hazırlık
www.garnizon.com.tr
33. 2. Adım
1. Siber güvenlik olayının tespiti
2. Hedefin belirlenmesi ve inceleme
3. Müdahalenin gerçekleştirilmesi
4. Sistemlerin/verinin düzeltilmesi ve tekrar
çalışır hale getirilmesi
Müdahale
www.garnizon.com.tr
34. 3. Adım
1. Derinlemesine inceleme
2. Olayın paydaşlara raporlanması
3. Olay sonrası gözden geçirme
4. Çıkartılan derslerin belirlenmesi
5. Gerekli güncellemelerin yapılması
6. Takip ve trend analizlerinin yapılması
Takip
www.garnizon.com.tr
35. “Kişi, süreç ve teknolojinin etkilerinin
belirlenmesi”???
Bileşen Sorun?
Kişi
• SOME ekibinin belli olmaması
• Olay müdahale için teknik bilginin yetersiz kalması
Süreç
• Olay müdahalesi süreçlerinin belli olmaması
• Olay sonrası süreçlerin belli olmaması
Teknoloji
• Sistemlerde olay tespiti ve müdahalesine yönelik konfigürasyonların
yapılmamış olması
• Saldırı tespitini sağlayacak olayların kayıt altına alınmaması
Bilgi • SOME ekibinin olay müdahalesi konusunda bilgiye sahip olmaması
www.garnizon.com.tr
37. Olay Sonrası
• Olayın sınıflandırılması
• Olayın önceliklendirilmesi
• Olayın takip edilmesi
OLAY!
www.garnizon.com.tr
38. Olay Sınıflandırılması
Olay
Sınıfı
Tanım Örnek
Kirtik • Önemli hizmetlerin verilememesi
• Kuruluşa güven kaybına yol açması
• Çok sayıda kullanıcıyı etkileyen
• Hassas/gizli verilerin sızdırılması
• Kritik hizmetlerin
verilememesi
Önemli • Az sayıda kullanıcıyı etkileyen
• Kritik olmayan süreçlerin etkilenmesi
• Gvenlik politikası ihalleleri
• Web sayfasının
değiştirilmesi
• Sistemlerde izinsiz
değişiklikler
Küçük • İç BT ekibinin ilgilenebileceği olaylar • Başarısız DDoS saldırıları
Önemsiz • Raporlanmasına gerek duyulmayan olaylar
• Saldırgan kaynaklı olmayan olaylar
• Antivirüs uyarısı
• Yazıcının ağa
bağlanamaması
www.garnizon.com.tr
39. Logların incelenmesi
• Firewall logları
• IDS/DLP logları
• Sunucu/istemci logları
• Uygulama logları
• Web sunucu logları
• DNS/DHCP logları
• E-posta/internet kullanımı logları
• Ağ logları
OLAY!
www.garnizon.com.tr
41. Temizlik aşaması
• Olaya dahil sistemlerin belirlenmesi
• Zararlı yazılım analizlerinin yapılması
• Müdahaleye bağlı olarak saldırganın
davranışlarında potansiyle değişiklikler
• Değişen saldırı türüne göre yeni müdahale
planına geçiş
• Saldırının tamamen bittiğinin teyidi (izlemeye
devam)
OLAY!
www.garnizon.com.tr
42. Sistemlerin Düzeltilmesi
• Sistemin yeniden kurulması
• Değiştirilen/bozulan dosyaların düzeltilmesi
• Olayın büyümesini önlemek için alınan tedbirlerin
kaldırılması
• Ele geçirilen hesapların parolalarının
değiştirilmesi
• Güncellemelerin ve sıkılaştırmaların yapılması
• Sistemlerin kontrol edilmesi
• Sistemlerin izlenmesi
OLAY!
www.garnizon.com.tr
43. Müdahaleyi Hızlandırmak için
• Bağlantı kurulacak paydaşların iletişim bilgileri
• Olay takip ve raporlama altyapısı
• Müdahale yazılımı ve donanımı (paket yakalama)
• Boş (temiz) USB bellek
• Port listesi
• Müdahale rehberi
• Ağ topolojisi (güncel)
• Sistemlerin normal davranışları
• Önemli dosyaların hash bilgileri
• Temiz işletim sistemi imajları
OLAY!
www.garnizon.com.tr
44. Müdahaleyi Hızlandırmak için
• Bağlantı kurulacak paydaşların iletişim bilgileri
• Olay takip ve raporlama altyapısı
• Müdahale yazılımı ve donanımı (paket yakalama)
• Boş (temiz) USB bellek
• Port listesi
• Müdahale rehberi
• Ağ topolojisi (güncel)
• Sistemlerin normal davranışları
• Önemli dosyaların hash bilgileri
• Temiz işletim sistemi imajları
OLAY!
Alper’i ara
www.garnizon.com.tr
45. Sistemlerin İzlenmesi
• Daha detaylı inceleme yapılması (forensic)
• Olayın nedenlerinin araştırılması
• Kök neden analizi
• Olayın iş etkilerinin ortaya çıkartılması
• Hukuki süreçlerin desteklenmesi (katkıda
bulunmak)
• Trend analizlerinin yapılması
OLAY!
www.garnizon.com.tr
46. Olay sonrası
• Ayrıntılı inceleme
– “5 neden?” tekniği
– Neden? - Çünkü analizi
– Etki - tepki analizi
• Paydaşlara raporlama
– Kimlere raporlamam gerekiyor?
– Neyi raporlamam gerekiyor?
– Rapor formatı nedir?
Takip
www.garnizon.com.tr
47. Olay Sonrası
• Olay sonrası gözden geçirme
– Olaya müdahale başarılı mıydı?
– Neyi daha iyi yapardık?
– Olay nasıl engellenebilirdi?
– Benzer olaylar nasıl engellenebilir?
– Risk değerlendirme yöntemimizi değiştirmemiz
gerekir mi?
– Neler öğrendik?
Takip
www.garnizon.com.tr
50. Olay Müdahalesi: Forensic Bakışı
• Olay yaşandığını teyit et
• Koruma, kayıt ve olay canlandırma
• Olayın yaşandığının teyit etmesi ön
araştırmalar gerektirebilir
• Raporlama bitmeden iş bitmez
www.garnizon.com.tr
51. Olay Teyidi
• Kayıt Açın
• Kullanıcılarla konuşun
– Sizi neden aramışlar?
– Bir olay olduğunu düşünmelerine neden olan
nedir?
– Hedef sistem hakkında ne biliyorsunuz?
• Kullanıcısı/kullanım amacı
• Nereden geldiği
• Yakın zamandaki müdahaleler/olaylar
www.garnizon.com.tr
52. Kayıt Açmak
• Notlar alın
– Olayı bildirenin söyledikleri
– Hedef sistem hakkında bildikleriniz
• Fotoğraf?
• Sisteme dokunmayı düşünmeye başlayamayı
değerlendirmeye hazırsınız
www.garnizon.com.tr
53. Toplanması Gereken Veriler
• Tarih ve Saat
– Değiştirilmiş olabilir
– Farklı bir zaman diliminde olabilir
• Ağ arayüzleri
– İlginç ağlar
• Ağ bağlantıları
www.garnizon.com.tr
54. Toplanması Gereken Veriler
• Açık portlar
• Portları kullanan yazılımlar
• Login olan kullanıcılar
• Çalışan prosesler
• Çalışan servisler
• Açık dosyalar
• Routing tabloları
www.garnizon.com.tr