THT DUYURU

Web & Server Güvenliği Doğru web ve veritabanı sunucusu güvenliği sağlanmadan, bilgisayar korsanları hassas verilerinize erişebilir. Web, Sunucu ve veritabanı güvenliğini nasıl sağlayacağınızı buradan öğrenebilirsiniz.

chat
Seçenekler

Hedef Olmayın, Oltaya Gelmeyin

Héraklés - ait Kullanıcı Resmi (Avatar)
Özel Üye
Üyelik tarihi:
06/2011
Nereden:
Ankara
Mesajlar:
6.174
Konular:
909
Teşekkür (Etti):
1142
Teşekkür (Aldı):
5497
Ticaret:
(0) %
01-06-2014 22:49
#1
Hedef Olmayın, Oltaya Gelmeyin
Son yıllarda yapılan araştırmalar, oltalama(phishing) saldırılarının çeşitlenerek arttığını gösteriyor. Günümüzde Hedef Odaklı Oltalama(Spear Phishing) olarak adlandırılan yöntem saldırganlar tarafından sıkça kullanılan yöntemler arasında yer almaktadır. Bu yöntemle saldırganlar, olta atıp beklemek yerine hedef seçtikleri kişilere doğrudan saldırı yapmayı tercih etmektedirler.

Bilgisayar ve haberleşme sektöründe araştırma yapan İngiliz firması Radicati Group tarafından Nisan 2013’te yayımlanan raporda, dünya çapında 3,9 milyar e-posta kullanıcısı ve 929 milyon kurumsal e-posta hesabı olduğunun tahmin edildiği belirtilmiştir(Tablo-I). Raporda, kurumsal e-posta hesaplarından tahmini olarak günlük 100 milyarın üzerinde e-posta trafiğinin gerçekleştiği belirtilmiş. Rapora bakıldığında e-posta haberleşmesinin hem kurumsal hem de gündelik haberleşmede vazgeçilmez araç olduğu çok net görülebilmektedir.

Tablo-I
Kişilerin ve kurumların gündelik haberleşmede e-postayı tercih etmesi, kurumların özel, önemli ve gizli bilgilerini e-posta yolu ile göndermesi, saldırganların e-posta sistemlerini hedef seçmesini cazip kılmaktadır. Firmanın tahminlerine göre(Tablo-II), filtrelemelerden geçen ve kullanıcıların hesaplarına ulaşabilen günlük e-postaların %19’unun gereksiz(spam) e-posta olduğu belirtilmiş. Hiçbir filtrelemenin olmadığı durumlarda ise, bu oran gündelik e-posta trafiğinin yarısını kapsadığı tahmin ediliyor.

Tablo-II
Saldırganlar uzun süre e-posta hizmetlerini kesintiye uğratmak, e-posta sistemlerinin kaynak tüketimini arttırarak bu sistemlerin performansını düşürmek için çalışmışlardır. Son yıllarda ise oltalama yöntemi ile kişilerin kullanıcı adı ve şifrelerini ele geçirmek için e-posta sistemlerini hedef seçmişlerdir. Her geçen gün oltalama saldırılarını çeşitlendiren saldırganlar, olta atıp beklemek yerine hedef seçtikleri kişilere doğrudan saldırı yapma yöntemini tercih etmektedirler. Saldırganlar bu yöntem için hedef seçtikleri kişilerin sosyal paylaşım sitelerindeki kişisel bilgilerinden, üye oldukları blog sayfaları ve dini-siyasi paylaşımlarından faydalanarak saldırı hazırlığı yapmaktadırlar. Kişilere özel oluşturulmuş e-postalara yerleştirilen zararlı yazılımlar ya da zararlı bağlantılar, kullanıcıların saldırganların ağlarına daha kolay düşmelerine neden olmaktadır.
Hedef odaklı oltalama saldırılarına karşı alınabilecek en temel önlem, saldırganların hakkınızda bilgi elde edebileceği sosyal ağlardaki paylaşımlarınızı kısıtlamak olacaktır. Bunun için kişisel bilgilerinizi içeren paylaşımlardan sakınmak ya da paylaşımlarınızın herkes tarafından görülmeyecek şekilde ayarlamak doğru adım olacaktır. Saldırganların sosyal mühendislik yöntemiyle hakkınızda bilgi edinememesi, ilk olarak, sizi hedef olmaktan kurtaracaktır.
Kurumsal e-posta hizmeti veren kurumların, kurum dışından gelebilecek oltalama e-postalarının kurum içine ulaşmaması ve içeriden yapılabilecek oltalama e-postalarının engellenmesi için e-posta sistemlerini güvenli olarak yapılandırmaları gerekir. Oltalama e-postalarına karşı alınabilecek en temel adımları aşağıdaki başlıklarda sıralayabiliriz:
  1. SMTP ağ geçidi sunucusunu güvenli yapılandırın.
  2. SMTP ağ geçidi sunucusuna kurulacak üçüncü parti yazılımlarla güvenliği arttırın.
  3. Kurum içinden gelebilecek saldırıları engelleyin, iletim(transport) sunucularını güvenli yapılandırın.
  4. Kurum personeline güvenli e-posta kullanımını da içeren bilgi güvenliği farkındalık eğitimleri verilmesini sağlayın.

1. SMTP Ağ Geçidi Sunucusunda AntiSpam Yapılandırması
SMTP ağ geçidi sunucuları, dış dünyadan gelen e-postaların ilk karşılandığı sunuculardır. Bu sunucuların doğru ve güvenli yapılandırılmasıyla, kuruma gönderilen spam birçok e-postanın filtrelenmesi ve engellenmesi sağlanacaktır.
Kurumsal e-posta hizmeti kullanan kurumların büyük çoğunluğu Microsoft Exchange ürününü kullandığı için, Microsoft Exchange ürünü üzerinden örneklemeler yapılacaktır.
Microsoft Exchange ürününün SMTP ağ geçidi( EDGE) rolü spam e-postalara karşı birçok ajan barındırmaktadır(Şekil-I). Bu ajanların doğru yapılandırılması, spam içerikli çoğu e-postanın filtrelenmesi ve engellenmesi sağlanacaktır. Spam içerikli e-postaları engellemenizde faydalı olacak birkaç ajanın doğru yapılandırması aşağıda açıklanacaktır.

Şekil-I

1.1 İçerik Filtreleme(Content Filtering) Ajanı ile Güvenli Yapılandırma
İçerik filtreleme ajanı, Microsoft Smart Screen teknolojisi kullanarak, e-postaların içeriklerini kontrol edip e-postalarda şüpheli içeriğin olup olmadığını inceler. E-postaların içeriğine bağlı olarak e-posta mesajına SCL(Spam Confidence Level-Güven Seviyesi) değeri atar. Bu ajan Microsoft’un güncelleme servisi ile kendisini güncel tutar. Belirlemiş olduğunuz SCL değerine göre e-postaya güvenir, karantinaya alır veya e-postayı siler(Şekil-II). Ayrıca bu ajana manuel kelime ekleyerek, belirlediğiniz kelime veya kelime gruplarını içeren e-postaları da engellemenizi sağlar.

Şekil-II

1.2 Alıcı Filtrelemesi (Recipient Filtering) Ajanı ile Güvenli Yapılandırma
Kuruma gönderilen e-posta, alıcı filtrelemesinden geçerek alıcı kısmına yazılan adresin engelli olup olmadığı kontrol edilir. Engelli alıcılar listesinde değil ise alıcının kurum dizininde var olup olmadığı kontrol edilerek, e-postanın kurum içine gönderilmesine veya reddedilmesine karar verilir. Alıcı adresi kurum dizininde bulunmayan e-postaların SMTP ağ geçidinde reddedilebilmesi için alıcı filtrelemesinde “Block messages sent to recipients that do not exist in the directory- Dizinde olmayan alıcılara gönderilen mesajları engelle” seçeneği(Şekil-III) işaretlenmelidir. Bu seçeneğin işaretlenmesi ile gönderici tarafa kullanıcının bulunmadığı bilgisi gönderilerek(Şekil-IV) henüz protokol seviyesinde bağlantı kesilir. Böylelikle hem spam saldırılarının bir kısmının önüne geçilir, hem de kurum dizininde var olan kullanıcıların bilgilerini toplamaya çalışan saldırganlar engellenmiş olur.

Şekil-III


Şekil-IV Telnet çıktısı(Kullanıcı bilinmiyor)

1.3 IP Engelleme Listesi Sağlayıcıları (IP Block List Providers) Ajanı ile Güvenli Yapılandırma
Spam içerikli e-posta gönderdiği düşünülen IP adres listeleri(Real-time Block Lists-RBL), spam engelleme sağlayıcıları tarafından tutulurlar. SMTP ağ geçidi sunucularınıza bu sağlayıcıları tanımlayarak(Şekil-V), gönderen IP adresinin RBL de kara listede olup olmadığı kontrol edilerek, kara listede bulunan IP adreslerinin sunucunuzla olan bağlantısı kesilir.

Şekil-V

1.4 Gönderici Filtrelemesi (Sender Filtering) Ajanı ile Güvenli Yapılandırma
Spam içerikli e-posta gönderdiği düşünülen alan adları veya e-posta adresleri, gönderici filtreleme ajanı ile engellenebilir. Bu ajan ayarlarına kendi kurum alan adınızı da yazarak, kurum dışından sizin alan adınızı kullanarak kurum içerisine e-posta göndermeye çalışan saldırganlar engellenebilir(Şekil VI). Böylelikle sizin alan adınızla yapılacak hedef odaklı oltalama e-postalar SMTP ağ geçidi sunucuda engellenmiş olur.
Gönderici bilgisi olmayan “mail from” başlığı boş olan e-postalar da bu ajan ile engellenmelidir.
Şekil-VI

1.5 Gönderici Kimliği (Sender ID) Ajanı ile Güvenli Yapılandırma
Hedef odaklı oltalama e-postalarının birçoğu bu ajan sayesinde kesilebilir. Bu ajan SPF(Sender Policy Framework-Gönderen Teyit Politikası) kayıt kontrolü yapar. SPF kaydı, gönderen alan adının hangi IP adresleri ile e-posta göndermeye yetkili olduğunu gösteren bir DNS kaydıdır. Gelen e-postanın IP adresi ile alan adına kayıtlı SPF kaydını kontrol ederek e-postayı kabul eder veya reddeder.
Saldırganlar Oltalama tekniklerinde özellikle kurumsal firmalar adına e-posta gönderirler. Bu firmaların çoğunluğu SPF kayıtlarını oluşturup anons ederler(Şekil-VII). SMTP ağ geçidi sunucularında bu kayıtların doğruluğu sorgulanarak, saldırganların kurumunuza hedef odaklı oltalama e-postaları gönderimlerini engelleyebilirsiniz.

Şekil-VII

Microsoft Exchange SMTP ağ geçidi(EDGE) sunucusu üzerinde SPF kayıt sorgusu sonucunda alınacak önlemleri aşağıdaki menüden(Şekil-VIII) yapabilirsiniz.

Şekil-VIII

2. SMTP Ağ Geçidi Sunucularında Üçüncü Parti Yazılımlarla Güvenliği Arttırma
SMTP ağ geçidi sunucuda üçüncü parti yazılımların desteğiyle güvenliği daha da arttırabilirsiniz. Microsoft Forefront For Exchange yazılımı ve benzeri ürünlerde bulunan ek ayarlar ile, zararlı(malware) yazılım koruması, bağlantı filtrelemeleri(connection filtering), ekli dosya filtrelemeleri(attachment filtering), NDR(Non Delivery Report-Teslim Edilmedi raporları) saldırı filtrelemeleri ve üzerinde barındırdığı birden çok anti virüs motoru sayesinde SMTP ağ geçidi sunucunuzu oltalama e-postalarına karşı daha güvenli hale getirebilirsiniz.
3. İletim(Transport) Sunucusunda Güvenli Yapılandırma
Kurum dışından oltalama e-postaları gelebileceği gibi kurum içinden de oltalama e-postaları gelebileceği unutulmamalıdır. Kurum içerisinden gelebilecek en önemli oltalama yöntemi, kurum yöneticileri veya bilgi işlem yetkilileri adına e-posta gönderilmesidir. Saldırganlar, kurum yöneticileri veya bilgi işlem yetkileri adına, kritik uygulamalara erişmek için kullandığınız kullanıcı adı ve şifrenizi öğrenmeye yönelik aldatıcı e-postalar gönderebilirler. Bu tür e-postaları önlemek için iletim(transport) sunucularının alıcı bağlayıcılarında(receive connector) başkası adına e-posta gönderme hakkının(anonymous users)(Şekil-IX) bulunmaması gerekir.

Şekil-IX

4. Personele Bilgi Güvenliği Farkındalık Eğitimleri Verilmesi
Spam içerikli e-postaların büyük çoğunluğu teknik önlemlerle engellenebiliyor olsa da, güvenlik önlemlerini atlatabilen ve kullanıcıların e-posta kutularına ulaşabilen e-postalar olabilmektedir. Personele gerekli farkındalık eğitimleri verilerek, personelin bu tür e-postalara karşı dikkatli olmaları sağlanmalıdır.
Farkındalık eğitimlerinde kurum personeline aktarılması düşünülen bazı konu başlıkları aşağıda açıklanmıştır.
  • Sosyal paylaşım sitelerinde kişisel bilgilerini içeren paylaşımlardan kesinlikle kaçınılmalıdır.
  • Şüpheli hiçbir e-posta açılmamalı. Kurumsal firmalardan gelen fatura ve banka hesap özeti e-postaları bilgi amaçlı olup, kendilerinden kişisel bilgi talep eden e-postalara itibar etmemelidirler.
  • Kurumsal firmalardan gelen ve bağlantı(link) içeren e-postalarda, bağlantılara tıklamadan önce bağlantının nereye gideceğini, bağlantının üzerine gelerek görebileceklerini, e-postada bulunan bağlantıyı tıklamak yerine adres satırına yazarak gitmeleri gerektiği kullanıcılara öğretilmelidir.
Aşağıdaki örnekte de görüleceği gibi guvenlibank.com.tr diye verilen bağlantı aslında http://zararlikod.com.tr adresine yönlendirildiği görülebilmektedir.

Şekil-X

  • Kurumsal firmaların internet siteleri küresel sertifika sağlayıcıları tarafından doğrulanır(Şekil-XI). Sosyal mühendislik yöntemi ile kurumların sahte internet sitelerinde bu doğrulanma sağlanamayacağı için sertifika hatası ile karşılaşılacağı anlatılmalıdır(Şekil-XII)


Şekil-XI
Şekil-XII
Oltalama amaçlı gönderilen e-posta içeriklerinde imla hataları sık görülür. Kurumsal firmalardan gönderilen e-postaların daha kurumsal bir dil ile yazıldığı ve e-posta eklerinde .zip,.rar vb. uzantılı dosyaların bulunmayacağı konusunda kullanıcılar bilgilendirilmelidir.
  • Outlook ayarlarında Önemsiz e-Posta Seçeneklerinden “Kimlik Avı İletilerindeki Bağlantıları ve Diğer İşlevleri Devre Dışı Bırak” seçeneğinin işaretli olması önerilmelidir.(Şekil-XIII)
Şekil-XIII

  • Kullanıcılara oltalama şüphesi olan e-postaların kurumun ilgili birimine(e-posta sistemleri birimi veya güvenlik sistemleri birimi vb.) yönlendirmeleri gerektiği anlatılmalıdır.
Yukarıda kısaca üzerinde durulan başlıklar kurum içerisinde uygulandığı takdirde, kurum veya kurum çalışanlarına yapılabilecek hedef odaklı e-postaların engellenmesi büyük oranda sağlanmış olacaktır.
---------------------
"MediumTurquoise"]keybase login # or signup
keybase id Héraklés
keybase id Héraklés@tht # etc :-)
keybase follow Héraklés
keybase encrypt Héraklés -m
" "a secret msg"


# The new Keybase filesystem

# www.turkhackteam.org
IKANTUTAR, F e d a i Teşekkür etti.
F e d a i - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
02/2013
Nereden:
Bilinmez
Mesajlar:
1.125
Konular:
281
Teşekkür (Etti):
195
Teşekkür (Aldı):
262
Ticaret:
(0) %
02-06-2014 18:40
#2
eline sağlık
---------------------
İki şey mühimdir; birincisi : Okyanus gibi bol haysiyet...
İkincisi : Elif gibi dimdik şahsiyet... " Hz Mevlâna
aslanmax75 - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
04/2014
Nereden:
Ankara
Mesajlar:
1.290
Konular:
193
Teşekkür (Etti):
330
Teşekkür (Aldı):
342
Ticaret:
(0) %
02-06-2014 18:43
#3
doğru muhteşem konu ayrıca güncel bir bilgilendirme

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler