Bilgi Güvenliği, Parola ve Parola Saldırısının CryptoSIM ile Tespiti


BİLGİ GÜVENLİĞİ, PAROLA VE PAROLA SALDIRISININ CRYPTOSIM İLE TESPİTİ


1. Bilgi

  Sayısal veya mantıksal her bir değer veridir. Verinin işlenmiş, anlamlı hale gelmiş, açıkça tarif edilmiş haline ise bilgi denilmektedir [1]. Bilgi, oluşturulabilir, saklanabilir, işlenebilir, kullanılabilir, aktarılabilir, zedelenebilir, kaybedilebilir ve yok edilebilir. Kurumdaki diğer varlıklar gibi, kurum için önem taşıyan ve bu nedenle de en iyi şekilde korunması gereken bir varlıktır.

1.1. Bilgi Güvenliği

  Bilgi güvenliği, elektronik ortamlarda verilerin veya bilgilerin saklanması ve taşınması esnasında bilgilerin bütünlüğü bozulmadan, izinsiz erişimlerden korunması için, güvenli bir bilgi işleme platformu oluşturma çabalarının tümüdür. Bunun sağlanması için, uygun güvenlik politikası belirlenmeli ve uygulanmalıdır. Bu politikalar, faaliyetlerin sorgulanması, erişimlerin izlenmesi, değişikliklerin kayıtlarının tutulup değerlendirilmesi, silme işlemlerinin sınırlandırılması gibi bazı kullanım şekillerine indirgenebilmektedir [2]. Bilgi güvenliği, "Gizlilik (Confidentiality)", "Bütünlük (Integrity)" ve "Erişilebilirlik (Availibility)" (CIA) olarak isimlendirilen üç temel unsurdan meydana gelir. Bu üç temel güvenlik öğesinden herhangi biri zarar görürse güvenlik zafiyeti oluşur.
  • Gizlilik  :  Bilginin yetkisiz kişilerin eline geçmemesi ve yetkisiz erişime karşı korunmasıdır.
  • Bütünlük  :  Bilginin yetkisiz kişiler tarafından değiştirilmemesidir.
  • Erişilebilirlik  :  Bilginin yetkili kişilerce ihtiyaç duyulduğunda ulaşılabilir ve kullanılabilir durumda olmasıdır.
  Bu çerçevede gizlilik açısından parolalar ele geçirilmemelidir. Tahmin edilebilmesinin önüne geçilerek, güvenli bir şekilde oluşturulmalı ve muhafaza edilmelidir.


Resim 1. Bilgi Güvenliği Unsurları – CIA / Confidentiality, Integrity, Availability [3]


2. Parola

  Parolanın tanımına geçilmeden önce, çoğunlukla karıştırılan parola mı şifre mi tartışmasının önüne geçilebilmesi ve durumun daha net anlaşılabilmesi adına, parolanın ve şifrenin tanımlanarak karşılaştırılması ve örneklendirilmesi gerekmektedir.
  • Parola, izin verilmeyen erişimlerden gizli tutulacak bir kaynağa erişmek için kimliğini kanıtlamak veya onaya erişmek için kullanıcı kimlik doğrulamasında kullanılan bir karakter veya karakter dizesidir. 
  • Şifre, yukarıdaki tanımda oluşturulan karakter veya karakter dizesinin şifreleme algoritmalar ile geri dönüştürülebilir ya da özetleme fonksiyonları ile geri dönüştürülemez hallerine denilmektedir.
Örnek
  Parola :  CrypTT3cH
  Şifre    :  04D57DD3638E706FDC040779936128FC

2.1. Parola Güvenliği

  İdeal bir parola uzun olmalı ve içerisinde aynı anda harfler, noktalama işaretleri, simgeler ve sayılar bulundurulmalıdır. Güvenli bir parola oluşturmak için dikkat edilmesi gereken kriterler mevcuttur. Bu kriterler yerine getirilmediği takdirde çeşitli sorunlar meydana gelebilmektedir. Bunun en büyük kanıtı, çeşitli sistem verilerinin çalınması veya ele geçirilmesi ile ortaya çıkan en çok kullanılan parolaların, alınması gereken parola güvenlik önlemlerinin alınmadığını ortaya koymaktadır.

2.2. Parolaların Yıllara Göre İstatistikleri

  Parolalar bilgi güvenliğinin büyük bir parçasıdır. Bu kapsamda güvenliğin sağlanabilmesi açısından parolaların gerektiği kadar uzun ve kapsamlı olması gerekmektedir. Yapılan araştırmalara göre büyük çoğunluğun bu kapsamdaki kriterleri yerine getirmediği görülmektedir. Aşağıdaki çizelgelerde 2012 yılından 2016 yılına kadar olan ve sistemsel açıklıklardan ele geçirilen parolaların analizleri yapılarak en çok kullanılan güçsüz parolalar gösterilmiştir (Çizelge 1-5).

  Araştırma şirketine göre, 2012 yılının ilk üç parolası "password", "123456" ve "12345678"'dir. Şirketin "yılın en kötü 25 parolası" listesinde, bilgisayar korsanlarının çevrimiçi olarak gönderdiği ve çalınan parolalar olduğu söylenen veriler kullanılarak derlendi. 2012 yılında en çok kullanılan 25 parola Çizelge 1’de gösterilmiştir [4].

Çizelge 1. 2012 yılında en çok kullanılan 25 parola
1. password 6. monkey 11.iloveyou 16.123123 21.jesus
2. 123456 7. letmein 12.trustno1 17.welcome 22.michael
3. 12345678 8. dragon 13.1234567 18.shadow 23.ninja
4. abc123 9. 111111 14.sunshine 19.ashley 24.mustang
5. qwerty 10.baseball 15.master 20.football 25.password1

  Adobe veritabanlarında bulunan parola verilerinin çalınması ile ortaya çıkan yayınlardan etkilenen en kötü parolalardan oluşan 2013 listesi, parolaları erişilen uygulama veya web sitesine dayandırmanın önemini göstermektedir. 2013 yılında en çok kullanılan 25 parola Çizelge 2’de gösterilmiştir [5].

Çizelge 2. 2013 yılında en çok kullanılan 25 parola
1. 123456 6. 123456789 11.123123 16.1234 21.password1
2. password 7. 111111 12.admin 17.monkey 22.princess
3. 12345678 8. 1234567 13.1234567890 18.shadow 23.azerty
4. qwerty 9. iloveyou 14.letmein 19.sunshine 24.trustno1
5. abc123 10.adobe123 15.photoshop 20.12345 25.000000

  Parolaların yıllık listesi, yıl boyunca halka açılan milyonlarca çalıntı parolaların derlenmesi ile beraber popülerlik sırasına göre bir araya getirilmiştir. Yapılan analizlere göre, 2014 yılında en çok kullanılan 25 parola Çizelge 3’te gösterilmiştir [6].

Çizelge 3. 2014 yılında en çok kullanılan 25 parola
1. 123456 6. 123456789 11.1234567 16.mustang 21.superman
2. password 7. 1234 12.monkey 17.access 22.696969
3. 12345 8. baseball 13.letmein 18.shadow 23.123123
4. 12345678 9. dragon 14.abc123 19.master 24.batman
5. qwerty 10.football 15.111111 20.michael 25.trustno1

  İnternet kullanıcılarının güvensiz parola alışkanlıklarını vurgulayan yıllık "En Kötü Parolalar Listesi"'nin 2015 sayısı Çizelge 4’te gösterilmiştir [7].

Çizelge 4. 2015 yılında en çok kullanılan 25 parola
1. 123456 6. 123456789 11.welcome 16.dragon 21.princess
2. password 7. football 12.1234567890 17.master 22.qwertyuiop
3. 12345678 8. 1234 13.abc123 18.monkey 23.solo
4. qwerty 9. 1234567 14.111111 19.letmein 24.passw0rd
5. 12345 10.baseball 15.1qaz2wsx 20.login 25.starwars

  2016 yılı, diğer yıllarda da olduğu gibi veri ihlallerine ev sahipliği yaptı. Araştırma ekipleri, bu çalınan verilerin internet ortamına düşmesi ile ortaya çıkan 10 milyondan fazla şifreyi analiz etmiştir. Bu analiz sonucunda, 2016 yılında en çok kullanılan en kötü parolalar listesi Çizelge 5’te gösterilmiştir [8].

Çizelge 5. 2016 yılında en çok kullanılan 25 parola
1. 123456 6. 1234567890 11.qwertyuiop 16.7777777 21.google
2. 123456789 7. 1234567 12.mynoob 17.1q2w3e4r 22.1q2w3e4r5t
3. qwerty 8. password 13.123321 18.654321 23.123qwe
4. 12345678 9. 123123 14.666666 19.555555 24.zxcvbn
5. 111111 10.987654321 15.18atcskd2w 20.3rjs1la7qe 25.1q2w3e

  Bu araştırmalar ve analizler neticesinde, son kullanıcılar parolalarının güvenliği konusunda henüz bilinçlenmiş görünmemektedir.

Son 5 Yılda En Çok Kullanılan 5 Parola

  Son 5 yılda yapılan araştırmalara ve elde edilen sonuçlara göre en çok kullanılan 5 parola net bir şekilde ortaya çıkmaktadır. Bu çıkan sonuç ile parola ve parolanın güvenliliği açısından, kullanıcıların rahat ve kolay hatırlanabilir parola kullanma konusunda ısrarlı oldukları ortadır.

Çizelge 6. Son 5 yılda en çok kullanılan 5 parola
1. 123456 2. password 3. 12345678 4. qwerty 5. 123456789


Resim 2. Son 5 yılda en çok kullanılan 5 parola ve diğerleri


2.3. Güvenli Parola Kriterleri

  Bilgi güvenliğinde güvenlik zincirinin en zayıf halkası olan insana bağlı olarak yürüyen en önemli güvenlik unsurlarından birisi parolaların güvenliğidir. Kişiye, yazarken kolaylık sağlaması veya sadece üşenildiği için basit mantıkla oluşturulan zayıf parolalar, en güvenli sistemlerdeki hesapların bile bu yüzden birkaç dakika içinde ele geçirilebilmesine neden olmaktadır. Bu yüzden en güçlü güvenlik araçlarının komutasını elinde bulunduran uzman kişiden, evindeki bilgisayardan internete bağlanan en masum son kullanıcıya kadar en başta öğrenilmesi gereken konu, güvenli ve sağlam parola oluşturulmasıdır.

  Güçlü parola oluşturmanın en önemli 2 temel esası, parolanın uzunluğuna ve karmaşıklığına dayanmaktadır. İdeal bir parola uzun olmalıdır ve içerisinde aynı anda büyük ve küçük harfleri, simgeleri ve sayıları barındırmalıdır. Güvenli bir parola oluşturulması için dikkat edilmesi gereken kriterler şunlardır:
  • En temel kriter olarak uygun karakter sayısına sahip olmalı, büyük ve küçük harf, sembol ve sayı içermelidir.
  • Karakter sayısı, bir parolanın en önemli faktörlerinden bir tanesidir. Karakter sayısı ne kadar uzun olursa, parola da o kadar iyi olmaktadır. Bundan dolayı, parolalarda ideal düzeyde 12 karakter sayısı beklenmektedir.
  • Küçük harfler, paroladaki olası karakter sayısını arttırmak için kullanılması gereken karakter türlerinden biridir. Geniş bir karakter aralığı oluşturulabilmesi için, alfabe boyutunun artmasını sağlar.
  • Büyük harf, parolanın ele geçirilmesini zorlaştırmak için önemlidir. Büyük harfler sadece başlangıç karakter olarak değil, beklenmedik konumlara da yerleştirilmelidir.
  • Sayılar, mevcut alfabe büyüklüğünü arttırır ve parolanın zorlaştırılmasını sağlar.
  • Yıl, doğum günü gibi yaygın kullanılan ve tahmini kolay olabilecek tipik sayılardan kaçınılmalıdır.
  • Semboller (?, @, !, #, %, +, -, *, %), iyi bir parolanın ana unsurudur. Hepsinden önce alfabe boyutunu arttırır ve aynı zamanda kelime kullanımı gibi kalıplardan kaçınılmış olunur. Örneğin; "Parola" yerine, "P*rol/\" veya "P@r-ola!" yazılabilir.
  • Parolanın en sonuna rakamlar eklemek çok yaygın bir davranıştır. Bu nedenle aralarda kullanılacak olan rakamlar parolayı daha güçlü bir hale getirmektedir.
  • Genel olarak parolaların güçlendirilmesi için semboller kullanılmaktadır. Ancak, çoğu zaman bu semboller parolanın en sonuna eklenmektedir. Bu nedenle, aralarda sembol kullanılması karmaşıklığı arttırıp, parolayı güçlü hale getirmektedir.
  • Çoğu kullanıcılar "abc", "def" gibi kolay hatırlanacak kalıpları kullanma eğilimindedir. Bu kullanım şeklinden kaçınılmalıdır.
  • Hatırlanması kolay rakam kombinasyonları, kolay tahmin edildiklerinden dolayı, parola içinde kullanımları risklidir. Örneğin; 012, 789, 456 gibi kalıplar kullanılmamalıdır.
  • Klavyede birbirine yakın olan tuşların kullanılması kolay hatırlanabilir bir yöntem olsa da bir parola kırma saldırısında ilk denenecek özelliklerden birisidir. Bundan dolayı bu durumdan kaçınılmalıdır.
  • Aynı kalıplar ve cümleler defalarca tekrarlandığında parola zayıflar. Örneğin, "Crypt3-Crypt5" parolası güzel görünmesine rağmen, tekrar içeren kısımlar bulunmaktadır. Bu durum parolayı güçsüz hale getirdiğinden, bu tür tekrarlardan kaçınılmalıdır.
  • Karakterleri ters sırada tekrarlamak parolayı daha güçlü yapmamaktadır. Dolayısıyla "123abccba321" gibi uzun bir parola her ne kadar uzun olsa da ters sırada tekrarlandığı için parolayı güçsüzleştirmektedir.
  • Doğum günü, yakın geçmiş veya gelecekteki ortak etkinliklerin yılları gibi (Ör: 1955, 2017, 2015 vb.) rakamların parolaya dahil edilmesi yalnızca parola veya parola karmaşıklığının tahmin edilmesini veya parolanın kırılabilmesini kolaylaştırmaktadır. Bu tür durumlardan kaçınılmalıdır. 
Şu ana kadar bilgi güvenliğinden ve bilgi güvenliğinin vazgeçilmez bir parçası olan paroladan, parolanın güvenliğinden ve güvenli bir parolanın nasıl oluşurulurabileceğinden bahsedildi. Bu aşamadan sonra, güvenli bir şekilde oluşturulmayan parolalara karşı kaba kuvvet saldırısının (brute force attack) nasıl gerçekleştirilebileceği anlatılacaktır. Bu duruma ek olarak bu saldırının, CRYPTTECH’in %100 yerli SIEM ürünü olan CRYPTOSIM ile nasıl algılanabileceği ayrıntıları ile incelenecektir.


3. SSH Brute Force

  SSH (Secure Shell) güvenli veri iletimi için kriptografik ağ protokolüdür. SSH ile ağa bağlı olan iki bilgisayar arasında veri aktarımı güvenli kanal üzerinden güvensiz bir ağda yapılır [9]. Her ne kadar güvenli kabuk olarak da adlandırılan bu sistem ile iletişim oluşturulmaya çalışılsa da karşıdaki sistemin ele geçirilmemesinin en önemli faktörü parolanın güçlü olmasına dayanmaktadır. Genel itibariyle bir sisteme root olarak bağlanmaya çalışmak saldırganların ilk aşamalarından bir tanesidir. Saldırganlar bu kullanıcı adını ve hazırda bulunan veya karşıdaki sisteme özel olarak üretebilecekleri sözlükler (dictionary) ile brute force attack olarak nitelendirilen kaba kuvvet saldırısını gerçekleştirirler.

  Aşağıdaki örnekte bir SSH kaba kuvvet saldırısı gerçekleştirilmiştir. Bu saldırıda kullanıcı adı olarak root, parola için de bu zamana kadar kullanılmış en güçsüz 500 parolayı barındıran 500-worst-passwords.txt [10] adlı sözlük dosyası kullanılmıştır. Saldırganın sanal ortamdaki hedef IP adresi 172.17.6.97’dir. Bu saldırıyı gerçekleştirmek adına, hızlı, çok paralel ve modüler olan kaba kuvvet saldırısı için kullanılan medusa aracı kullanılmıştır. Saldırı, “medusa -u <username> -P <dictionary> -h <target_ip> -M ssh” komutu ile yapılabilmektedir. 
Resim 3. Medusa ile SSH Brute Force - 1

   Yukarıda da görüldüğü gibi 172.17.6.97 IP adresine 499 parola içeren bir sözlük ile SSH kaba kuvvet saldırısı başlamış oldu. Saldırıda kullanılan ilk parolalar, makalenin başında belirtilen araştırmaların doğruluğunu kanıtlar nitelikte. İlerleyen süreçte, tüm parolaların denemesi bitmeden, 90. parolada saldırı başarılı bir şekilde tamamlanmış ve hedefin parolası “secret” olarak tespit edilmiştir.
 
Resim 4. Medusa ile SSH Brute Force – 2


4. Saldırının CryptoSIM ile Tespiti

  Bu aşamadan sonra bu türden saldırıların nasıl algılanabileceği hakkında CRYPTTECH’in %100 yerli ürünü olan CRYPTOSIM’den bahsedilecektir.

CRYPTOSIM, tüm logları toplayarak otomatik olarak ilişkilendirir, davranış farklarını ve anormallikleri algılar. Bunlara ek olarak, APT adı verilen gelişmiş kalıcı tehditleri de algılayabilmektedir. CryptoSIM kural ve makine öğrenmesi yöntemleri ile çalışan benzersiz korelasyon özellikleri ile tehditlerin algılanması için en stratejik ürünlerden biri haline gelmiştir.

  CryptoSIM yaptığı ilişkilendirmeler sonucunda varlık, öncelik ve güvenilirlik değerlerini hesaplayarak toplam olaylar ve vakalar için toplam risk değeri oluşturmakta buna göre güvenlik birimlerine bildirimler yapmaktadır. Tüm bu özelliklere ek olarak, çok daha fazla özelliği bünyesinde barındıran CRYPTOSIM hakkında daha fazla bilgi edinilebilmesi için, buraya tıklanılarak ilgili sayfa ziyaret edilebilir.

  İlk aşamada bu veya başka türden yapılabilecek saldırıların algılanabilmesi için loglara ihtiyaç bulunmakadır. Log kaynakları CryptoSIM’e tanıtılır, ardından loglar CryptoSIM bünyesinde toplanmaya başlanır ve kategorize edilerek takip edilmesi kolaylaştırılır. Bu örnekteki kaynak dosyasının adı Authentication Controller olarak adlandırılmıştır.

Resim 5. CryptoSIM Log Kaynağı

  İstenilmesi halinde, tüm loglar kategorize edilmiş ve anlamlandırılmış bir biçimde kontrol edilebilir ve log kaynakları ayrıntılı bir şekilde incelenebilir.

Resim 6. Log Sütunları

  Log kaynağının oluşturulmasının ardından, bu log kaynağına özel, CryptoSIM’in gelişmiş korelasyon teknikleri kullanılarak ağaç yapısını da taşıyan korelasyon tanımlanır.
Resim 7. Korelasyon Tanımı

  SSH Brute Force Tespiti başlıklı korelasyonun içeriğinin birinci parçası, kullanıcı tarafından bir kere SSH’a hatalı giriş yapılırsa herhangi bir uyarıda bulunulmaması ile ilişkilendirilmiştir. İkinci parçasında, uyarı aşaması bir kademe daha artırılarak 30 saniyede 10 kere hatalı giriş yapıldığı tespit edilirse sistemde SSH brute force yapılıyor olabileceğinin tespiti konusunda bir uyarıda bulunulacaktır. Üçüncü aşama çok önemli bir kriterdir. Bu aşamada, 30 saniye içerisinde 10 kereden fazla hatalı giriş yapılmasının ardından saldırganın SSH ile giriş yaptığını algılayan ve en yüksek derecede uyarı verilmesini sağlayan bir yapı mevcuttur. Yukarıdaki saldırı senaryosunda, saldırgan bu türden bir saldırıyı gerçekleştirip başarılı bir sonuca ulaşmıştı. Bunun sonucunda korelasyon başarılı bir şekilde çalışarak sonuç vermiş ve en yüksek risk derecesinde uyarıda bulunmuştur.

Resim 8. Korelasyon ile Tespit Edilen Olay

  Böylelikle saldırı senaryosu gerçekleştirilerek, CryptoSIM’de kademe kademe oluşturulan korelasyon sonucunda bu saldırı tespit edilmiştir.

  Tüm aşamalar neticesinde bilginin ve parolanın güvenliğine olan önemin vurgusu yapılmış, güçlü olmayan parolaların kaba kuvvet saldırısına maruz kalarak nasıl tespit edilebileceği anlatılmıştır. Bunların sonucunda CryptoSIM ürününün gelişmiş özellikleri kullanılarak bu veya başka türden saldırıların aktif bir şekilde tespit edilmesi ortaya çıkarılmıştır.



Kaynaklar
  [1] Şahinaslan, E., Kandemir, R., & Şahinaslan, Ö. (2009). Bilgi güvenliği farkındalık eğitim örneği. XI. Akademik Bilişim Konferansı Bildirileri, Şanlıurfa.
 [2] Canbek, G., & SAĞIROĞLU, Ş. (2006). Bilgi, bilgi güvenliği ve süreçleri üzerine bir inceleme. Politeknik Dergisi, 9(3).
 [3] http://www.opentext.com/file_source/OpenText/en_US/JPG/opentext-graphic-for-web-information-security-en.jpg
 [4] http://www.cbsnews.com/news/the-25-most-common-passwords-of-2012/
 [5] http://splashdata.blogspot.com.tr/2014/01/worst-passwords-of-2013-our-annual-list.html
  [6] http://gizmodo.com/the-25-most-popular-passwords-of-2014-were-all-doomed-1680596951
 [7] https://www.teamsid.com/worst-passwords-2015/
  [8] https://keepersecurity.com/public/Most-Common-Passwords-of-2016-Keeper-Security-Study.pdf
 [9] https://tr.wikipedia.org/wiki/SSH
  [10]  https://github.com/danielmiessler/SecLists/blob/master/Passwords/500-worst-passwords.txt



Tolga Akkapulu
Information Security Engineer
CRYPTTECH - Cyber Security Intelligence

Yorumlar

Bu blogdaki popüler yayınlar

1. Geleneksel Stajyer CTF Soru ve Cevapları

2. Geleneksel Stajyer CTF Soru ve Cevapları - 2017

ARP Poisoning ile Browser Exploitation - MITMf + BeEF + Metasploit