Konferansta Apple iOS uygulamalarının denetlenmesiyle ilgili bir sunum gerçekleştirdim. Hali hazırda iOS uygulamaları ağ tabanlı denetimlere tabi tutuluyor. Amacım ağ tabanlı denetimlerin dışında neler yapılabilir, uygulamalar nasıl bir mimaride çalışıyor, iOS uygulama denetimlerinde nasıl bir yol izlenebilir göstermeye çalışmaktı. Umarım katılan herkes bir bölümünden faydalanabilmiştir. Katılan herkese teşekkür ederim.

Kendi adıma çok faydalı ve güzel bir teknik etkinlikti diyebilirim. Bu yıl kazanılan tecrübelerle organizatörlerin seneye çok daha iyi bir etkinlik düzenleyeceğine eminim.

Sunumu buradan indirebilirsiniz: Attacking iOS Applications

Güvenlik Sohbetleri Bölüm 2
Tarih: 21 Mart 2012 Çarşamba
Konu: Mobil Platformlarda Malware Analizi
Katılımcılar: Mert SARICA, Sertan KOLAT, Ömer ALBAYRAK, Özgür Erdoğan

Podcast dosyasını buradan indirebilirsiniz (Yaklaşık 38 dakika, 36MB)

Güvenlik TV’de RSA Konferansı 2012 özel bölümünü yayınlamış ve katılamayanlar için genel bir konferans özeti vermiştik. Burada aktardıklarım da Güvenlik TV’de anlattıklarımdan pek farklı değil, orada olan bazı bilgiler burada yok (diğer konferanslar gibi), burada olan bazı notlar orada olmayabilir (bir şey kaybettirmeyen ufak konular). Bazı arkadaşlardan yazı talebi de gelmişti, notlarımı aşağıda toparladım.

Her yıl yapılan RSA konferansının 21.si bu yıl 27 Şubat – 2 Mart tarihleri arasında San Francisco’da gerçekleştirildi.

Konferans alanında farklı bölümler bulunuyor; Keynotes (Ana konuşmalar), Expo (Fuar alanı), Track sessions (Farklı ana konu başlıkları altında 16 salonda yapılan 1’er saatlik sunumlar), Peer2Peer Sessions (Paralel olarak 3 ayrı salonda, katılımcıların belirlenen konu hakkında tartışabileceği fikir alışveriş odalarında 1’er saatlik oturumlar) ve sektörel iletişimi amaçlayan irili ufaklı pek çok etkinlik.
RSA konferansı sırasında bazı firma ve organizasyonlar, konferansa yakın yerlerde etkinlikler yapabiliyorlar.

RSA konferansı 1991’den bu yana yapılan bir etkinlik ve tüm yukarıda bahsettiklerim düşünüldüğünde şu an sektörün en büyük güvenlik konferansı denilebilir. Konferans yıl içerisinde Avrupa ve Asya’da da yapılabiliyor, ancak ana etkinlik ABD’de yapılanı.

Açılış konuşmasını bu yıl da RSA firmasının başkanı Arthur W. Coviello gerçekleştirdi. Bilindiği gibi 2011 yılı içerisinde RSA firmasına sofistike bir saldırı düzenlenmiş ve kritik veriler saldırganların eline geçmişti. Coviello’nun konuşmasının ana hatlarını bu olay ve bağlantılı APT olayları şekillendirdi. Mobil iletişim ve teknolojinin geldiği noktaya dikkat çeken Coviello, buradaki yeni kullanım alanlarının da olası riskleri beraberinde getirdiğini söyledi.
Coviello’ya göre yeni nesil güvenlik uzmanlarının; doğru analitik yeteneklere sahip, insan ilişkilerinde başarılı ve saldırganların kafa yapısı ve bakış açısına sahip kişilerden oluşması gerekiyor.

Bu yıl RSA Lifetime Achievement Award ödülü, günümüz Internet’inde güvenli iletişimin temellerini oluşturan açık anahtarlı şifrelemenin babası Martin E. Hellman’a verildi. Hellman konuşmasında, özetlemek gerekirse, “Bu ödül beni 1976’daki geceye götürüyor (eureka anı). O zamanlarda güvenli anahtar alışverişi ve açık anahtarlı kriptosistemlerin temelini oluşturan konularda çalışma yaptığımda herkes boşuna uğraştığımı söylüyordu. Umarım hikayem bir amacı ve inancı olan herkese ibret olur” ifadelerini kullandı.

Tüm konuşmaları ve keynote’ları özetlemeye zamanım yetmiyor, ancak katıldığım sunumlardan hoşuma gidenleri paylaşabilirim.

The Cryptographers’ Panel; Whitfield Diffie, Ronald Rivest ve Adi Shamir’in katılımlarıyla konferansın en ilgi çeken açık oturumu.

Cloudflare CEO’su Matthew Prince “Surviving Lulz: Behind the Scenes of LulzSec” konuşmasında verdikleri DoS/DDoS engelleme hizmetlerinde LulzSec web sitesini korumaya çalışırken yaşadıklarını ve edindikleri deneyimleri paylaştı.

Biraz ön bilgi: LulzSec, web sitelerinin sıkça DDoS saldırısı alacağını düşünerek, Cloudflare’in ücretsiz servisine üye oluyorlar. Cloudflare firması da LulzSec’e yapılan saldırılar sayesinde baya bir tecrübe kazanıyor.

Prince bu tecrübelerini aktardı fakat doğası gereği firma reklamının en bol olduğu sunumlardan birisi oldu. Sunum sırasında hizmetlerini en çok kullanan firmaları Türkiye’deki online eskort sitelerinin oluşturduğuna dikkat çeken Prince haliyle şaşırıyor ve bir gün site sahiplerinden birisine mail gönderiyor. Site sahibi “islami kesimden çok saldırı almaları nedeniyle bu tarz hizmetlere ihtiyaç duyduklarını” iletmiş. Bir sonraki slayt’ta Ak Parti’nin de hizmetlerini kullandığını ve sitenin en yoğun dönemde aldıkları trafiklerden bahsetti (LulzSec’teki saldırı boyutlarına dikkat çekmek için). Prince’in Türkiye’den bu kadar bahsetmesi ilgimi çekti.

LulzSec sitesini korumaları sırasında 3 haneli istihbarat kurumlarından baya bir arkadaş edinmişler :)
Bu tarz DDoS saldırı koruma yapılarında farklı coğrafi bölgelerde bulunma, her cihazın yedekli olması, sunucu konfigürasyon seçimi ve yapılandırma, sanallaştırma, ssd diskler, nginx gibi performanslı servislerin seçimi, DNS altyapısı, Anycast protokolü, sağlam uzmanlar ve özellikle işini çok iyi bilen network uzmanları ile çalışma gibi konuların önemi… gibi konular ise sunumdan alabildiğim teknik bilgilerdi.

Eski McAfee CTO’su George Kurtz ve Dmitri Alperovitch’in “Hacking Exposed: Mobile RAT Edition” başlıklı sunumlarında, Android tabanlı mobil cihazların güvenliğinden bahsedildi ve hazırladıkları Android açığından yararlanan trojan yazılımının canlı demosu yapıldı.

Özetlemek gerekirse, Android işletim sistemi kullanımı çok yaygın, televizyonlarda bile kullanılabiliyor. Mobile RAT (Remote Access Trojan) şu an, 10 yıl önce Netbus ve BackOrifice neredeyse orada, ama çok daha hızlı gelişecek. Ardından hazırlamış oldukları Android güvenlik açığından yararlanan zararlı yazılımın hangi aşamalardan geçtiğini ileterek bir demo gerçekleştirdiler. Merak edenler için bir webkit açığından faydalanan bir exploit yazıyorlar, Android işletim sisteminde imtiyaz yükselterek, kalıcı saldırı için yeniden düzenlenmiş bir mobil trojanı cihaza yüklüyorlar. Exploit, cihazı yeniden başlattığında kullanıcı farkına varmadan cihazın kontrolü saldırganın eline geçmiş oluyor.

Webroot firmasından Grayson Milbourne ve Armando Orozco’nun yaptığı “Cracking Open the Phone: An Android Malware Automated Analysis Primer” sunumu da, Android malware analizi üzerine dinlediğim en iyi sunumlardan birisiydi. “Malware yazarları için Android iyi bir para makinası olacak” diyen ikiliye göre, şirketlerin mobil tehditlerden korunabilmeleri için: akıllı telefon politikası belirlemesi, elemanların eğitilmesi, güçlü password/passcode kullanımını uygulamaya sokmaları, şifreleme ve uzaktan veri yoketme (remote wipe) imkanları sağlayan mobil cihaz yönetim çözümlerini kullanmaları gerekiyor.

Hep mobil cihazlardan ve mobil tehditlerden bahsettim. Son olarak Dino Dai Zovi ve “Apple’ın baş belası” olarak anılan Charlie Miller’ın “iOS Security Internals” sunumu katıldığım en kalabalık izleyici kitlesine sahip sunumdu. Miller ve Zovi konuşmalarında iOS güvenlik özelliklerinden bahsederken, “Android platformlarında 2 exploit ile yapabildiğiniz işleri iOS tarafında yapabilmek için artık 5 exploit’e ihtiyacınız var” derken, bunun nedenlerini sunum sırasında detaylı bir şekilde açıkladılar (Not: jailbreaksiz, standart bir cihazı *kalıcı olarak* tamamen ele geçirebilmek için. 2 exploit ile cihaz ele geçirilebiliyor, ancak cihaz yeniden başladığındaki kalıcılık için daha fazla güvenlik probleminden yararlanarak ek haklar elde etmek gerekiyor).

Ayrıca iOS platformu çok az bileşen içerdiği ve kısıtlı olduğu için saldırı alanı kısıtlı. Özetlemek gerekirse Java yok, Flash yok, Safari browser normal Safari’nin bir çok özelliklerini barındırmıyor, aynı şekilde PDF okuyucuda tüm PDF özellikleri yok, sistemde bir çok yardımcı yazılım yok bu nedenle herşeyi shellcode’a gömmek gerekiyor, yazılım ve kütüphanelerin Apple tarafından imzalı olması gerekiyor… gibi.

Jailbreak’li hale getirilen bir cihazın yukarıda bahsettiğim korumaların bir çoğunu egale ettiğini ve jailbreak’li bir cihazı ele geçirmenin çok daha kolay olduğu iletildi. Bu nedenle hassas bilgi içeren, örneğin firmalarınızda çalışanlarınızın kullandığı cihazların bu hale getirilmemesi güvenlik açısından çok önemli.

İkili ayrıca Mayıs ayı gibi iOS Hacker’s Handbook’un da çıkacağının müjdesini verdiler. Sabırsızlıkla bekliyoruz.

Yukarıda bahsettiklerimin dışında bir sürü faydalı sunuma katıldım ama daha fazla uzatmak istemiyorum. Kayda değer diğer konuşmalar Internet’te çeşitli kaynaklarda aktarılıyor.

Konferans kapanış konuşmasını eski İngiltere başbakanı Tony Blair yaptı. Fakat Blair konuşmasında teknolojiden çok, ortadoğudan bahsetti. Aslen teknoloji özürlü olduğunu da espirili ve alçak gönüllü bir şekilde belirten Blair’den biraz daha bilişim güvenliğine bakış açısını içeren bir konuşma dinlemek isterdim.

Seneye RSA konferansı 25 Şubat – 1 Mart arasında yapılacak. Bu sene Güvenlik TV adına ropörtaj yapmak istediğim kişiler programlarının yoğunluğundan dolayı vakit ayıramadılar ama konferansa tekrar katılmak kısmet olursa bu sefer röportajları önceden ayarlayıp bir kaç konuğa sorularımı yönelteceğim.

Bilinmeyen veya şüpheli dosyaların hızlıca sorgulanabilmesi için çok kullanışlı bir servis. Servis Whois, DNS ve HTTP/S protokolleri üzerinden dosya md5 veya sha1 hash değeri ile sorgulama yapmanıza olanak sağlıyor.

Cymru ekibi ayrıca Windows bilgisayarlar için, çalışan işlemleri ve disk üzerindeki dosyaları tarayabileceğiniz WinMHR adlı yazılımı kullanımınıza sunuyor.

Peki farklı platformlarda bu servisi kullanabileceğimiz basit bir malware scanner hazırlayabilir miyiz? Pek tabi. Bunun için DNS protokolü üzerinden çalışan bir script hazırladım.

Cymru malware scanner yazılımı Python ile hazırlanmış çok basit bir script. Yaptığı iş kendisine verdiğiniz dosyanın md5 özetini almak ve DNS protokolü üzerinden bunu MHR servisine sorgulamak.

Peki birden fazla dosya üzerinde bunu nasıl kullanabiliriz? Aşağıdaki gibi basit bir komut satırı döngüsü işinizi görecektir.

~/zararli$ for f in *; do ~/tools/scripts/cymru-malware-scanner.py $f; done
2RgU-server-bifrost.exe: Malware found!
643244763-dorkbot.gif: Malware found!
_com.allen.txthej_1_1.0_DroidKungFu.apk: Malware found!
eicar.com: Malware found!
FACEBOOK-DSC0000897643228312.jpg.exe: Malware found!
filegui-spyeye.exe: Malware found!
jSMSHider-org.expressme.love.ui.apk: Malware found!
net.maxicom.android.snake_7937c1ab615de0e71632fe9d59a259cf.apk: Malware found!
SoftonicDownloader_para_kaspersky-tdsskiller.exe: Clean – according to Cymru database
VALENTINE.exe: Clean – according to Cymru database
winzip.exe: Clean – according to Cymru database
Zitmo_tr_ECBBCE17053D6EAF9BF9CB7C71D0AF8D.apk: Malware found!
~/zararli$

Yukarıdaki örnek çıktıda da görülebileceği gibi, kötücül yazılımları (malware) çok hızlı bir şekilde algılama şansımız oldu. Ancak dikkat edilmesi gereken diğer bir konu, örneğin valentine.exe adlı yazılım çok yeni bir malware ve Cymru veritabanına göre bu dosyada bir problem bulunmuyor (Belki kısa bir süre sonra algılayabilir hale gelecektir). Bu nedenle hazırladığımız bu basit malware scanner’ı, bir sonraki adımda Virustotal ile entegre etme işine girişebiliriz.

Yazılımı buradan indirebilirsiniz.

Peki 2011’de neler oldu? Durumu Mert ve Ömer’le birlikte değerlendirdik. Bu aynı zamanda aylık olarak yapmayı planladığımız podcast serisinin de ilki oldu.

Buyrun, 2011’de neler oldu hatırlayalım.

Güvenlik Sohbetleri Bölüm 1
Tarih: 4 Ocak 2012 Çarşamba
Konu: 2011 yılında güvenlik dünyasında kısaca olup bitenler.
Katılımcılar: Mert SARICA, Sertan KOLAT, Ömer ALBAYRAK

Podcast dosyasını buradan indirebilirsiniz (Yaklaşık 23 dakika, 21MB)

Neler konuştuk?

O an hatırlayabildiğimiz kadarıyla; Stuxnet, Duqu, Sertifika otoritelerine yönelik saldırılar (Comodo, DigiNotar), APT ve ses getiren olaylar, RSA, Lockheed Martin, Sony, mobil platformlar… 2012’de bizi neler bekliyor?

Herkese sağlıklı, mutlu ve bol başarılı güzel bir yıl dilerim.

Web sunucusunun HTTP GET, HEAD, POST, OPTIONS isteklerine verdiği yanıtlar başta olmak üzere, TRACE, CONNECT, PUT, DELETE ve ek modüllerle aktif hale gelen birden fazla isteğe verdiği yanıtlardan çeşitli bilgiler elde edebiliriz [1]. Lab ortamında fuzzing yöntemleriyle bu isteklerin belirli bölümleri değiştirilerek, web sunucusu zaafiyet analizi de gerçekleştirilebilir.

Edinilebilecek bilgi hedef sistemin, yüklü bileşenlerin, yapılandırmaların durumuna göre değişebileceğinden, tam liste olmasa da şu bilgiler elde edilebilir:

• Bilinen dosya uzantılarına yapılan rastgele isteklerle teknoloji tespiti,
• Web sunucusu iç IP bilgileri,
• Yük dengeleme cihazları ve arkasındaki web sunucu sayısı,
• Yük dengeleme cihazları arkasında farklı içeriğe sahip sunucular,
• Web sunucu tipleri ve sürüm bilgisi,
• …

Örnek olması açısından rastgele seçilmiş bir hedef bulup çeşitli denemeler yapalım (domain uydurmadır).

$ nc -v penetrasyon.com 80
Connection to penetrasyon.com 80 port [tcp/www] succeeded!
GET / HTTP/1.1
Host: penetrasyon.com

$

$ nc -v penetrasyon.com 80
Connection to penetrasyon.com 80 port [tcp/www] succeeded!
GET / HTTP/1.1
Host: penetrasyon.com
User-Agent: Test

HTTP/1.1 200 OK
Date: Tue, 06 Dec 2011 09:32:51 GMT
Server: Apache
Last-Modified: Sat, 03 Dec 2011 07:26:18 GMT
ETag: "15ecb51-15f6e-4b32b005e7a80"
Accept-Ranges: bytes
Content-Length: 89966
Content-Type: text/html; charset=UTF-8
Set-Cookie: PCOOKIE1=677685440.20480.0000; path=/

... (devamı kesilmiştir)

Şu an isteğimize yanıt alabildik. Burada sunucu bilgisi, hedef sistem zamanı, istek yapılan dosyanın son değişiklik tarihi, içerik uzunluğu ve kullanıcıya atanan tanımlama bilgisi(Cookie) değerlerini görebiliyoruz.

Acaba isteklerimizi arttırarak, yanıt başlığı istatistiklerinden ek bilgiler elde edebilir miyiz? Bu isteği birden fazla hale getirip, verilen yanıtları karşılaştıralım.
Burada bize yardımcı olacak ufak bir script hazırlayabiliriz. Bu script, belirttiğimiz sayıda HTTP GET isteği göndererek, gelen HTTP yanıt başlıklarını daha kolay analiz edebilmemiz adına tekil hale getirip, sıralayarak sayıyor. (… |sort |uniq -c etkisi)

F5 tarafından atanan bu Cookie değeri, bilinen bir algoritmayla kodlandığından, aynı kodlama yöntemi tersine uygulanarak F5 arkasındaki web sunucusunun gerçek IP adresini ve web sunucu port numarasını öğrenmek mümkün olabilmektedir. 

F5 cihazı arkasındaki web sunucusu Internet üzerinden ulaşılabilir bir IP adresine sahipse, bu durum DoS saldırılarında F5’i egale edip direk arkadaki web sunucusuna saldırma amaçlı kullanılabilir. Veya yapılan denetimler sırasında F5’in aradan çıkartılmasına ve direk hedef sistemin denetlenmesine imkan sağlar.
F5 cihazı arkasındaki web sunucusu yerel IP adresine sahipse, bu bilgiler diğer saldırıları destekleme amaçlı kullanılabilir.
Bunların dışında F5 tarafından atanan Cookie değerleri web denetim yazılımlarına girilerek, bu yazılımların sadece belirtilen web sunucusunu taraması sağlanabilir.

Kodlanmış IP adreslerini farklı iç IP adresleriyle değiştirerek bunlarda bulunan servislere ulaşmak, veya kodlanmış TCP port bilgisini farklı portlarla değiştirerek port tarama veya diğer portlar üzerindeki servislere ulaşmak mümkün gözükmüyor. Veya benim test ettiğim hedeflerdeki konfigürasyonlarda şu ana kadar mümkün olmadı.

En sık karşılaşılan kalıcı Cookie değeri nasıl kodlanıyor inceleyelim (Tüm detaylar Overview of BIG-IP persistence cookie encoding makalesinde bulunabilir).

Örneğin 192.168.10.1 IP adresi ve 8080 port numarası üzerinden servis veren web sunucumuzu F5 Big-IP ile dışarıya açtığımızda oluşturulacak tanımlama bilgisi şu şekilde olacaktır:
17475776.36895.0000

Noktalarla ayrılmış bu değerde ilk bölüm IP adresini, ikinci bölüm ise port numarası bilgisini içermektedir. Üçüncü bölüm 4 tane 0’dan oluşmaktadır. Aşağıdaki gibi hesaplanır.

IP adresindeki her bir oktet, hex değerine çevrilir
192.168.10.1 = 0xC0 . 0xA8 . 0x0A . 0x01
Reverse byte order ile birlestirilir (0x010AA8C0)
0x010AA8C0 = 17475776

Veya şu şekilde hesaplanabilir:
192+168×256+10×(256^2)+1×(256^3) = 17475776

Port bilgisi ise
8080 = 0x1F90
Reverse byte order = 0x901F
0x901F = 36895

Özetle, Windows hesap makinesini bilimsel moda getiren herhangi birisi bile, bu değerlere bakarak içerideki sunucuların IP adreslerini öğrenebilir.

F5 kullanıyorsanız ve bu durum hoşunuza gitmiyorsa Overview of cookie encryption makalesine göz atın.

Aktardığım haliyle eski bir konu ve Nessus dahil bir çok yazılım bu problemi kontrol edebiliyor. F5 firması Haziran 2011’de cookie encoding makalesini güncellemiş. Bahaneyle uzun zamandır kullandığım script’i de, IPv4 Route Domain ve IPv6 kalıcı cookie değerlerini de deşifre edecek şekilde güncelledim ve paylaşmak istedim.

Örnek kullanım aşağıdaki gibidir, dilediğiniz kadar cookie değerini parametre olarak verip, içlerinde F5 BigIP cookie’si bulunuyorsa gerçek değerlerine çevrilmelerini sağlayabilirsiniz. Buradan indirebilirsiniz.

$ ./decode_bigip.py  "Set-Cookie: PCOOKIE1=2741283008.20480.0000; path=/ BIGipServer<pool_name>=rd5o00000000000000000000ffffc0000201o80 BIGipServer<pool_name>=vi20010db8000000000000ffff0a140574.20480"

Found IPv4 Cookie: 2741283008.20480.0000
Decoded IP/port: 192.168.100.163:80

Found IPv4 Cookie with root domain: rd5o00000000000000000000ffffc0000201o80
Root domain ID: 5
Decoded IP/port: 192.0.2.1:80

Found IPv6 Cookie: vi20010db8000000000000ffff0a140574.20480
Decoded IPv6/port: [2001:db8::ffff:a14:574]:80

$

Penetrasyon Testlerinde Düşülebilecek Hatalar, zaman içerisinde tecrübeyle edinilmiş bilgi birikiminden oluşan penetrasyon testi ipuçlarını içeriyor. Amacım profesyonel olarak penetasyon testi yapan veya bu işte henüz yeterince tecrübe kazanmamış kişilere ipuçları vererek belirli noktalarda kötü tecrübe yaşamalarını önlemek ve genel denetim kalitesini arttırmaktı.

Tabi ki sunum 45 dakikaya sığabilecek temel noktaları içeriyor. Bir kısmı bir çok kişi tarafından bilinse de, her seviyeden katılımcının kendisine bir şeyler kattığını duymak benim için sevindiriciydi.

Gelen herkese teşekkür ederim.

Sunumu buradan indirebilirsiniz.

Ayrıca cihazınızın show version çıktısını veya ağınızda bulunan cihazların IOS sürümlerini toplu olarak da bu yazılıma gönderebiliyorsunuz. Yapılan güvenlik denetimleri sırasında da kullanılabilir.

Cisco IOS Software Checker‘ı kullarak cihazlarınıza yönelik tehditleri görüntüleyin. Örnek çıktı ekran görüntüsünde görülebilir.

4 Haziran 11:40’ta Penetrasyon Testlerinde Düşülebilecek Hatalar başlıklı bir sunum yapacağım. Güvenlik denetimi ve sızma testlerinin planlama, denetim, raporlama gibi tüm aşamalarında düşülebilecek temel hatalardan bahsedip, penetrasyon testlerinden yüksek verim alma ve testlerin geliştirilmesi için önerilere değineceğim. Umarım herkesin bir bölümünden faydalanabileceği bir sunum olur.

Bunun dışındaki zamanlarda genelde orada olmaya çalışacağım. Görüşmek üzere.