Makinelerin Siber Savaşı @ DEF CON


BlackHat ve Defcon, tüm dünyada düzenlenen güvenlik konferansları arasında en iyisi olarak gösterilmektedir. Amerikalı Hacker Jeff Moss tarafından 1992 yılında Güvenlik Yarışmaları olarak başlamıştır. Birkaç sene içinde (1997) Eğitim ve Sunumların dahil olduğu BlackHat de organizasyona dahil edilmiştir. Amerika'da her sene Las Vegas şehrinde düzenlenen bu "güvenlik haftasına (9 gün)" CRYPTTECH olarak katıldık. Siber güvenlik proje, çalışma ve yarışmalarının hangi konular üzerine odaklandığını yerinde görme fırsatı yakaladık.

94 farklı ülkeden 25.0000 den fazla katılımcıyı ağırlayan etkinliğin ilk dört günü BlackHat eğitimleri ile, Mandalay Bay otelinde başladı. Açılış konuşmasına 6000 in üzerinde ziyaretçi katıldı. Android/IOS Mobil Hackleme, Kriptografi, Dijital Adli Bilişim, Anlık Karşılık Verme, Exploit Geliştirme, Donanım ve Gömülü Sistemler Güvenliği, IoT, Malware Yazma, Platform (İşletim Sitemi, Sanal, Cihaz) Güvenliği, Bilgisayar Politikaları,Tersine Mühendislik, İnsan Faktörü, Ağ Savunma Sistemleri, Web Uygulama Güvenliği, Endüstriyel Sistemler, ve Güvenli Geliştirme Yaşam Döngüsü gibi temel alanlarda eğitim ve sunumlar gerçekleşti. Bu alanları temel konular olarak düşünebiliriz. Bu başlıklar altında, Metasploit Temelleri, İleri Seviye Altyapı Saldırıları, Bulut Güvenliği Uygulamaları, Malware Analiz, Linux Güvenlileştirme, İleri Seviye Sosyal Mühendislik Çalışmaları, OSINT Teknikleri, Güvenlik Odaklı Kodlama, Android Uygulama Hackleme, Windows için Exploit Geliştirme, Wi-fi Saldırıları, SCADA sistemlerin Güvenliiği, MITM ataklar, Kali ile Penetrasyon Testi, ARM için Exploit Geliştirme, Ağ Veri Toplama, C/C++ Zaafiyet Keşifleri, Hardsploit ile Donanım Hackleme, Siber Güvenlikte Askeri Strateji ve Taktikler, Kriptografi Yanlış Kullanımları, Bulut Güvenliği Adımları gibi konularda toplamda 77 eğitim verildi. Eğitimi veren kişiler genelde kendi konularında açık kaynaklı bir uygulama, framework geliştiricisi ya da çalıştığı firmalarda (genelde siber güvenlik şirketleri) alanında çözüm/ürün geliştiren arkadaşlar. Eğitim ve sunum içeriklerine BlackHat sitesinden erişilebiliyor. Etkinliğe katılan birçok uygulama açık kaynak ve github üzerinden paylaşılmış durumda. Bu uygulamaları Türkiye'de birçok testçi zaafiyet analizlerinde kullanmakta hatta üzerine geliştirilmiş ticari ürünler de bulunmakta.
Özet Sunumlar kısmında firma isimlerinin biraz daha geri planda kaldığı, konuların ve sunumu yapan kişilerinin daha önde olduğu konular ve alanlar seçilmiş. 110 dan fazla sunum farklı salonlarda yüksek katılım oranlarıyla gerçekleşti. Nitekim aynı anda farklı salonlarda gerçekleşen odak konularınız arasında seçim yapmak zorunda kalıyorsunuz.
Businell Hall alanı firmaların gövde gösterisi yaptığı, ürünlerini tanıttığı daha çok ticari pazarlamanın teknik sunumlarla süslendiği bir alan. Sektöre hakim global firmaların paylaştığı veriler bazen "sadece biz bunu yaptık" derken, çoğu zaman korkutucu ve şüpheye düşürücü olabiliyor. Bu alanda dikkatimi çeken Yenilikçi Alan da startup'tan yeni kurtulmuş marjinal fikirlerin ürüne dönüştüğü projeler ve firmaların kısmıydı.
 
Organizasyonun ikinci bölümü olan Defcon 24 daha heyecanlı, daha yeraltı ve daha etkileyiciydi. Yarışmalar, ticarileşmemiş bireysel/takımsal çalışmalar daha fazla hakimdi bu 4 günlük aktiviteye. Paris ve Bally’s otellerinde gerçekleşen Hacker Konferasında Dünya tarihinde ilk defa Makinelerin Siber Savaşı’na tanıklık ettik. Açılış konuşmasının ardından, DARPA tarafından düzenlenen “Cyber Grand Challenge (CGC)” yarışması finali yapıldı. DARPA, Amerika Savunma Bakanlığı'na bağlı ileri seviye teknoloji ve proje üretmekle sorumlu ajans şirketi. UNIX, TCP/IP projelerini fonlayan, internetin bulunmasına direkt katkı yapan bir kuruluş. Marjinal ve başarılı projelerin fikir sahibi kuruluş yine bir ilke imza atarak 2013 yılında bir duyuru ile bilgisayarlar arası hack yarışması başlattı. 100'e yakın başvurunun 3 senelik çalışması neticesinde 7 proje finale kaldı. Bu projeyi geliştirenler arasında California Üniversitesi, CSDS (Center for Secure and Dependable Systems), Amerika'nın en büyük füze üretici firması Raytheon Mühendisleri, SecLab Takımı,  Virginia Üniversitesi & GrammaTech gibi kuruluş ve firmalar vardır. Takımlarda en az 2 kişi en fazla 10 kişi bulunuyordu. Takımların geliştirdiği sunuculara geçilen daha önce paylaşılmamış kod ile 3 saat boyunca kendilerini koruma, üzerlerinde bulunan zafiyetleri giderme, diğer sunucularda bulunan açıkları bularak bayraklara ulaşma ve kendi yazılım ve servislerini performanslı ve sağlıklı şekilde çalıştırmakla sorumluydular. Ortak bir hakem sunucusu üzerinden yapılan aktiviteler, aynı zamanda bir insan hakem heyeti tarafından da değerlenmekte. Makine öğrenmesi, kod analizi, paket inceleme, dosya enjekte gibi yaklaşık 100 raund için Güvenlik, Erişilebilirlik, Rakip Bayrağı Ele Geçirme ekseninde farklı skorlara tabi tutuldu. Bu üç saat boyunca geliştirdikleri projeyi ve sunucuları sadece izlemekle, anlık raund sonuçlarını herkes gibi izlemekteler. Sonuçta, toplam değerlendirmeye göre Mayhem takımı 1. olarak 2M$, Xandra takımı 2.likle 1M$ ve ShellPhish takımı 3.lükle 750K$ ın sahibi oluyor. Böylece tüm dünya sadece bilgisayarların siber savaşlarını tanıklık ediyor.

Defcon 24, muazzam CGC açılışıyla başladı. Yine fevkalade bir Boyun Askısı ile donanım hackerlarına meydan okundu. Günvelik açığı olan herşeyin hacklendiği ortama girerken telefonların, bilgisayarların kullanılmaması konusunda birçok teknik yazı paylaşılıyor. Başaranların tweetlerini anlık olarak görebiliyorsunuz. Giyilebilir teknoloji hackleme, Bayrak Yakalama, Kablosuz Hackleme, Donanım Hack, Kilit Açma yarışmaları gerçekten ilgi çekici. IoT, Sosyal Mühendislik, Kalbosuz, Kriptografi, Donanım, Araba Hackleme, Bioloji Hacking odalarında yapılan sunum ve uygulamalar, risk seviyesinin kritikliğini anlamaya yeterli oluyor. Geliştirilen projelerin sonuçları, bu konuda duyarlı olmayan insanları kolaylıkla paranoyak yapabilecek cinsten.

BlackHat ve Defcon'u Türkiye olarak çok iyi anlamamız gerekiyor. Etkinlik boyunca çok fazla Türkiyeden ve Türk arkadaşla karşılaşamadım. Sunumlarda 2 kişi, etkinlikte bir elin parmaklarını geçmeyecek kadar Türk ile karşılaşabildik malesef. CRYPTTECH olarak bu konuda duyarlılığımızı önümüzdeki senelerde açık kaynak çözümlerimizi sunarak göstermek istiyoruz.

Etkinlik ile ilgili istatistikleri paylaştığımızda gerçekten ne kadar büyük bir organizasyon ve duyarlı kitle olduğunu anlayabiliyoruz. 4.3 TB internet trafiği, anlık 1400 maksimum kablosuz kullanıcı, 22.000 den fazla boyun askısı satışı, 10.000 den fazla farklı MAC adresi, 10.4 TB kablosuz trafik, 100 lerce sunum ve dahası... Bu kapsamda tüm dünyada düzenlenen en başarılı güvenlik konferansı, yarışmaları, etkinliği. Duyarlı herkesin katılmasını, ürünleriyle ve projeleriyle tüm dünyaya duyurmasını dileriz.

Tarık KOBALAS
Teknoloji Direktörü

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

1. Geleneksel Stajyer CTF Soru ve Cevapları

Resim
İlkini 26 Mayıs - 1 Haziran 2016 tarihleri arasında gerçekleştirmiş olduğumuz ve bundan sonraki stajyer alım süreçlerinde de devamlı gerçekleştirmeyi düşündüğümüz CTF (Capture The Flag) yarışmamızda sorulan sorular ve çözümleri için izlenebilecek adımlar aşağıda verilmiştir. 1. Verilen soruda "Her görünenin ardında gizli bir şeyler vardır." ile olayın sadece bir resimden ibaret olmadığı ve bir şeylerin gizlendiği/gizlenebileceği anlatılmaya çalışılmıştır. Burada da ilk olarak data gizleme/saklama bilimi olan Steganografi'nin akıllara gelmesi gerekmekteydi. Steganografi ile ilgili ayrıntılı bilgi için bkz . Resim dosyalarına farklı yöntemler ile data saklanabilmektedir. Popüler olarak kullanılan Steghide aracıyla, graph-theoretic yaklaşımıyla veri saklama işlemi yapılabilir. Soruda verilen resim aşağıdaki gibidir. Steghide ile resim içerisindeki datayı çıkartmayı denediğimiz zaman parola soracaktır. Brute force ile doğru parolayı bulmanız gerekmekte,
Devamını okuyun

B*-Tree (BTree, BPlusTree) Veri Yapısı ile Veri İndeksleme

Resim
Veri indeksleme Veri asıl kaynağına yazılırken bir format takip edilir. Bu formata göre, bazı sorgulamaların yapılması çok zaman almaktadır. Bazen tüm verinin taranması gerekebilir. Veriye erişimi hızlandırmak için, asıl veriye ek olarak, farklı biçimlerde tekrar bilgi yazılması gerekmektedir. Farklı biçimlerde verinin tekrar yazılması işlemi "indeksleme" olarak adlandırılmaktadır. İndeksleme yaklaşımında, indekslenecek anahtar veri ve asıl veriye referans bulunmaktadır. ( <Key,Pointer> ) Asıl veri değiştiğinde, indeks verilerinin de güncellenmesi gerekir. Bu yazımızda; önemli indeksleme tekniklerinden olan BTree ve BPlusTree veri yapılarının özellikleri hakkında bilgi verilecektir. BPlusTree, ilişkisel veritabanlarında en çok kullanılan ağaç veri yapısıdır. BTree Veri yapısı BTree, ağaç şeklinde dinamik bir veri yapısıdır. Nodlar ve nod içindeki sıralı elemanlardan oluşur. Kök noddan başlayarak; her bir elemanın küçük değerleri, sola doğru, büyük değerleri is
Devamını okuyun

2. Geleneksel Stajyer CTF Soru ve Cevapları - 2017

Resim
2. si düzenlenen CRYPTTECH Stajyer CTF'inde sorulan soruların çözümlerinden önce yarışma içeriğine dair birkaç istatistik ile başlangıcı yapalım. CTF ‘17’de sorduğumuz soruların genel görüntüsü aşağıdaki gibidir. Flag formatıyla beraber toplamda 16 soru sorulmuştur. 75 kayıtlı kullanıcının olduğu CTF’te aktif 42 katılım olmuştur. Sorulara göz attıktan sonra korkup kaçanların sayısını bilemiyoruz. 2000 ’e yakın cevabın girildiği sistemde; 213 doğru cevap, 1682 yanlış cevap girilmiştir.   Sorulara verilen cevapların dağılımı aşağıdaki gibi olmuştur; CEVAPLAR Soru 1: Başlangıç olarak sonraki sorularda verilecek cevapların formatının nasıl olması gerektiğini belirten format üzerine kurulu bir sorumuz vardı; Bu soruya inatla yanlış cevaplar veren ve cevap soruda yazmasına rağmen ipucu isteyip 7 puanını kaptıran arkadaşlara selam olsun. Cevap 1: CT_{flag} Soru 2: Sorudan anlaşılması beklenen, verilen klasördeki 66 resim içerisinden aynı hash (heş) değerine s
Devamını okuyun