SlideShare a Scribd company logo

BTRisk Adli Bilişim Eğitimi Sunumu

BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri

Bilgi sistemlerine yönelik veya bilgi sistemleri kullanılarak işlenen suçlar ve gerçekleştirilen saldırılar bu sistemler üzerinde izler bırakmaktadır. Ayrıca sistem hafızalarında ve ağ üzerinde söz konusu aktivitelere ilişkin canlı analiz ile işlenen suçların izleri gözlenebilmektedir. Bilgi sistemleri üzerindeki kalıcı ve geçici suç izlerinin elde edilmesi ve analizi için çoğunlukla ticari adli bilişim çözümlerinin kullanılması gerekmektedir. Bunun sebebi incelenecek verilerin çokluğu ve bu büyüklükteki verilerin manuel yöntemlerle makul bir zaman aralığında incelenememesidir. Ticari çözümler kullanım kolaylığı sağlayabilmek için pek çok teknik detayı kullanıcılardan gizlemektedirler. Ancak kullanıcıların temel teknik bilgilere sahip olmaması uzmanlıklarının sınırlanmasına ve olası problemlere karşı etkili çözümler geliştirememelerine yol açmaktadır.

Education
1 of 76
ADLİ BİLİŞİM TEKNİKLERİNE GİRİŞ EĞİTİMİ
EĞİTİM KONULARI I. Bilgisayar Analizi II. Ağ Temelli Analiz III. Adli Bilişim Altyapısı için Hazırlık
Eğitim Kapsamı ve Temel Kavramlar • Kapsam: Teknik Analiz Teknikleri • Temel Kavramlar: – Canlı Analiz – Ölü Analiz – Kriptografi (hashing)
Eğitim Kapsamı ve Temel Kavramlar Olay Müdahale Stratejisi • Alınabilecek kararlar: – Sistem hemen izole edilmeli mi / saldırganın aktiviteleri izlenmeli mi (saldırganın kullandığı araçların ve eriştiği kaynakların tespiti ihtiyacı / saldırganın zarar vermeye devam etme riski) – Sistem üzerinde ölü analiz mi yapılmalı / canlı analiz mi yapılmalı (sistem kapatıldığında yok olacak proses ve ağ aktivitelerini tespit etme ihtiyacı / kanıtların geçerlilik kaybı veya kanıt kararma riski) – Kamuya ve/veya otoritelere duyuru yapılmalı mı / gizli mi tutulmalı (düzenlemelere uyum veya etkilenebilecek tarafları zamanında haberdar etme ihtiyacı / kurum itibarının zedelenme riski) – Sistem - cihaz üzerinde güvenlik olayına karşı gerekli konfigürasyon ayarları yapılmalı veya yedeği ile değiştirilmeli mi / sistem - cihaz üzerinde adli bilişim analizi gerçekleştirilmeli mi (hizmet süreklilik ihtiyacı / suçluların belirlenmesi ve cezalandırılması ihtiyacı)
Eğitim Kapsamı ve Temel Kavramlar Olay Müdahale Stratejisi • Değerlendirmede kullanılabilecek sorular: – Etkilenen sistemler ne kadar kritik? – İfşa olan veya çalınan bilgiler ne kadar hassas? – Potansiyel saldırganlar kimler? – Güvenlik olayı kamu tarafından biliniyor mu? – Saldırganın ulaştığı erişim seviyesi hangi düzeyde? – Saldırganın yetenekleri ne seviyede görünüyor? – Olay nedeniyle yaşanan sistem ve kullanıcı hizmet kesinti süresi ne kadar gerçekleşti? – Toplam mali kayıp ne düzeyde?
OTURUM 1 Bilgisayar Analizi
CANLI ANALİZ Unix Sistemlerde Canlı Analiz Unix sistemler için önemli veri ve komutlar: • Sisteme bağlı kullanıcılar: w, who, last • Sistem zamanı: date • Çalışan prosesler: ps -ef (tüm prosesler için) • Ağ servisleri, bağlantı durumları ve ilgili prosesler: netstat -anp • IP adresleri, MAC adresleri ve ağ arayüzleri statüsü (promiscuous mod'da arayüz olup olmadığının tespiti için): ifconfig -a • /proc dizini altındaki kernel data structure'ları: Bazı Unix'lerde /proc dizini altında her bir proses için prosess ID'si (PID) ile bir dizin açılır. Bu dizin altındaki kernel veri yapıları içinde exe linki (çalıştırılan kod silinmiş olsa bile halen çalışıyorsa tekrar oluşturulmasına imkan verir), fd dizini (file descriptor: prosesin açtığı tüm dosyaları içerir) ve cmdline dosyası (kod çalıştırılırken komut satırında verilen parametreleri içerir) gibi kaynaklar analize katkı sağlayabilir.
CANLI ANALİZ Windows Sistemlerde Canlı Analiz Windows sistemler için önemli veri ve komutlar: • Sisteme bağlı kullanıcılar: PsLoggedOn (sysinternals) • Sistem zamanı: date /t, time /t • Çalışan prosesler: PsList (sysinternals) • Ağ servisleri, bağlantı durumları ve ilgili prosesler: netstat -anb / fport (foundstone) • Mevcut ve yakın zamanda gerçekleşmiş bağlantılar: arp -a, nbtstat -c • Memory dump analizi (en güncel kaynakların incelenmesi gerekir) • (İhtiyaç duyulabilecek durumlarda) mevcut shell'den işletilen komutların listesi: doskey /history • Zamanlı işler: at
ÖLÜ ANALİZ Disk Analizi Temel Kavramlar Disk analiz katmanları • Fiziksel disk analizi • Volume (partition) analizi (Volume'lara neden ihtiyacımız var?) • File System analizi • İşletim sistemi ve uygulama analizi Disk analizinde data structure'ların analizi için faydalı araç: R-Studio
ÖLÜ ANALİZ Disk Analizi Temel Kavramlar Disk adresleme birimleri • Fiziksel adresleme (CHS - Cylinder, Head, Sector ve LBA - Logical Block Address) • Sector (genellikle 512byte) • Cluster (veya Block)
ÖLÜ ANALİZ Disk Analizi Temel Kavramlar Disk arayüz ve kablolama standartları • ATA (IDE) Diskler: ATA-1, ATA-3, ATAPI-4, ATAPI-6, ATAPI-7 • SATA Diskler: Serial ATA (ATA-7 spesifikasyonunda belirtilmiştir) Kablo alan avantajı nedeniyle Laptop'larda genellikle gözlenir • SCSI Diskler: SCSI, Fast SCSI, Ultra/2/3/160/320 SCSI (sinyal tipleri SE-Single Ended, LVD-Low Voltage Differential, HVD-High Voltage Differential - HVD kablolar SE cihazlara zarar verebilir)
ÖLÜ ANALİZ Disk Analizi Temel Kavramlar Diskte kullanılmayan alanlar: • Slack space (File Slack, RAM Slack) • Unallocated space • Free space
ÖLÜ ANALİZ Disk Analizi Temel Kavramlar Bilgisayar boot süreci • ROM kodu • Bootable disk'in ilk sektöründe bulunan MBR-Master Boot Record (partition table'ı da içerir) • Sistem diski (partition'ı)'nin ilk sektöründe bulunan kod • File sistem içinde bulunan işletim sistemi kodu
ÖLÜ ANALİZ Genel Ölü Analiz Teknikleri • Adli Bilişim Kopyalama – Fiziksel disk bazında (dd, dcfldd - Department of Defence Computer Forensics Laboratory version of dd) – Volume bazında • Gizli fiziksel alanlar: Host Protected Area, Device Configuration Overlay alanları • İmaj bütünlük kontrolü • Bütünlük kontrolünün uygulanma aralığı (imaj bazlı, volume bazlı, dosya bazlı, v.b.)
ÖLÜ ANALİZ Genel Ölü Analiz Teknikleri • Delil diski forensic bilgisayarına bağlamadan yapılabilecek kopyalamalar (delil bilgisayarın özel boot diskleri ile açılmasını ve forensic bilgisayarında da ilgili yazılımın çalışmasını gerektirir): – Network üzerinden – Paralel veya seri portlar üzerinden • Forensic imaj araçları için yapılan yeterlilik test sonuçlarına http://www.cftt.nist.gov/disk_imaging.htm adresinden ulaşılabilir
ÖLÜ ANALİZ Genel Ölü Analiz Teknikleri • Write Blocker'lar: – Donanım bazlı write blocker'lar (BIOS'u bypass eden erişimleri de engeller) (Donanım bazlı write blocker yeterlilik test sonuçlarına http://www.cftt.nist.gov/hardware_write_block.htm adresinden ulaşılabilir) – Yazılım bazlı write blocker'lar (Donanım bazlı write blocker yeterlilik test sonuçlarına http://www.cftt.nist.gov/software_write_block.htm adresinden ulaşılabilir) • Alınan imajın read-only yapılması: chmod 440 imaj.bin • Alınan imajın inceleme için loopback device olarak read-only mount edilmesi: mount -r -t vfat /dev/loopa /mnt/evidence
ÖLÜ ANALİZ Genel Ölü Analiz Teknikleri • Bilinen İyi Dosyalar (Known Good Files) – Bilinen iyi dosyalar veritabanları (ör: http://www.nsrl.nist.gov) • Dosya tipi ile uzantısı uyuşmayan dosyaların analizi (Unix'teki file komutu dosya magic numaralarına göre dosya analizi yapmak için kullanılabilir) • Dosya (CRUD – “Create Read Update Delete” tarih analizi (Windows imajları için R-Studio'nun File Mask özelliği kullanılabilir))
ÖLÜ ANALİZ Genel Ölü Analiz Teknikleri • Anahtar Kelime Arama • Anahtar kelime arama tekniğinin önündeki temel engeller şunlardır: – Kriptolanmış veya sıkıştırılmış dosyalar (kırılmaları ve açılmaları gerekir) – Özel dosya formatları içinde saklanan kayıtlar (.ost, .pst, veritabanı kayıtları, registry dosyaları, event logları, browser history dosyaları v.b.) – Büyük saklama alanları (her bir kelime arama tekrar tarama gerektireceğinden başlangıçta yapılacak bir indeksleme büyük fayda sağlayacaktır) – Unallocated ve free space'lerde tespit edilen kelimeler (carving yapılarak dosya yapısı oluşturulmaya çalışılır)
ÖLÜ ANALİZ Genel Ölü Analiz Teknikleri • Silinen dosyaların recover edilmesi: – File system data structure'larından faydalanılarak – Dosya magic number'larından (header ve/veya footer değerlerinden) faydalanılarak file carving yöntemi ile
ÖLÜ ANALİZ Unix Sistemlerde Ölü Analiz • Konfigürasyon dosyaları: – Trust ilişkilerinin tanımlandığı dosyalar: /etc/hosts.equiv ve kullanıcı home dizinlerinde bulunan .rhosts dosyaları – Tcpwrapper konfigürasyon dosyaları: /etc/hosts.allow ve /etc/hosts.deny dosyaları – Inetd daemon'ı tarafından kullanılan konfigürasyon dosyaları: /etc/services ve /etc/inetd.conf (veya inetd daemon'una linklenmiş tcpwrapper kullanılıyorsa /etc/xinetd.conf) dosyaları – Zamanlı işler için "crontab" dosyaları: /var/spool/cron, /usr/spool/cron gibi dizinlerde bulunabilirler – Unix boot startup dosyaları: /etc/rc.d veya benzeri dizinler altında bulunurlar – Kullanıcı startup dosyaları: Sistem türüne bağlı olarak kullanıcı home dizinleri altında bulunan .profile, .login, .bashrc, cshrc, .exrc gibi dosyalardır – NFS dizin paylaşımları: /etc/exports – Lokal DNS kayıtları: /etc/hosts 20
ÖLÜ ANALİZ Unix Sistemlerde Ölü Analiz • Kullanıcı ve grup dosyaları: – Kullanıcı bilgileri ve parola hash'lerinin tutulduğu dosyalar: /etc/passwd ve /etc/shadow – Kullanıcı grup bilgilerinin tutulduğu dosya: /etc/group 21
ÖLÜ ANALİZ Unix Sistemlerde Ölü Analiz • Analiz açısından önemli olabilecek diğer dosyalar: – Shell history dosyaları: .bash_history – Yüksek haklara sahip çalıştırılabilir dosyalar: SUID ve SGID dosyaları (özellikle /tmp dizini ve diğer anormal ve gizli dizinler içindekiler) – Normal olmayan gizli dizin ve dosyalar: Unix'te "." ile başlayan dizin ve dosyalar normal "ls" komutunda görünmez – /tmp dizini altındaki dosyalar: Öntanımlı olarak world writable olan /tmp dizini saldırgan tarafından dosyalarını saklama amaçlı kullanılabilir
ÖLÜ ANALİZ Unix Sistemlerde Ölü Analiz • Anahtar kelime arama – İlgili Unix araçları: grep, find, strings
ÖLÜ ANALİZ Windows Sistemlerde Ölü Analiz Registry Analizi • Registry dosyaları ve içerikleri: – NTUSER.DAT: Protected storage for user, MRU lists, User’s preference settings. – DEFAULT: System settings set during initial install of operating system. – SAM: Security settings and user account management. – SECURITY: Security settings. – SOFTWARE: All installed programs on the system and their settings associated with them. – SYSTEM: System settings.
ÖLÜ ANALİZ Windows Sistemlerde Ölü Analiz Registry Analizi • Registry dosyalarının yerleri: – HKEY_USERS: Documents and SettingsUser ProfileNTUSER.DAT – HKEY_USERS/.DEFAULT: WINDOWSsystem32configdefault – HKEY_LOCAL_MACHINE/SAM: WINDOWSsystem32configSAM – HKEY_LOCAL_MACHINE/SECURITY: WINDOWSsystem32configSECURITY – HKEY_LOCAL_MACHINE/SOFTWARE: WINDOWSsystem32configsoftware – HKEY_LOCAL_MACHINE/SYSTEM: WINDOWSsystem32configsystem
ÖLÜ ANALİZ Windows Sistemlerde Ölü Analiz Registry Analizi • İlginç olabilecek registry anahtarları: – Genel kullanıcı bilgileri – Time Zone bilgisi – Share edilmiş dizinler – Autorun anahtarları – Most Recently Used (MRU) listeleri (ör: Run diyaloğundan çalıştırılan komutlar, MS Office uygulamaları ile açılmış son dosyalar, Map'lenmiş ağ paylaşımları, Start Menü'de son açılmış uygulamalar, Remote Desktop ile son yapılan bağlantılar, Windows Explorer ile araştırılmış bilgisayarlar, UserAssist anahtarında saklanan uygulama isimleri ve kullanım sayıları bilgileri v.b.) – Wireless Networks bilgileri – LAN Computers: Paylaşımlarına bağlanılmış bilgisayarlar – USB cihazları ve Mount edilmiş cihazlar – Internet Explorer aktiviteleri (ör: TypedURLs, DownloadDirectory)
ÖLÜ ANALİZ Windows Sistemlerde Ölü Analiz Registry Analizi • İlginç olabilecek registry anahtarları (devamı): – Windows Passwords (ör: protected storage'da saklanan parolalar: outlook tarafından saklanan POP3 parolaları, autocomplete parolaları, v.d. - bu parolalar PassView gibi araçlarla kırılabilmektedir) – Unread Mail: Tanımlı Outlook ve Outlook Express kullanıcıları ve okunmamış mail sayıları – Exchange sunucu ve kullanıcı ad bilgileri • Not: Bazı anahtarlar için ROT13 encoding yöntemi kullanılmaktadır. Bu kodlamayı decode etmek için bir anahtara ihtiyaç bulunmamakta ve online pek çok kaynak kullanılarak decode edilebilmektedir.
ÖLÜ ANALİZ Windows Sistemlerde Ölü Analiz • Sistem kullanıcılarının ve gruplarının analizi için SAM dosyasının analizi • SID - Security ID (ör SID: S-1-5-21-1935655697-1659004503-725345543-500): • Son rakam RID - Relative Identifier olarak anılır. Bilinen RID'lere örnekler: – 500 (Administrator) – 501 (guest) – Normal kullanıcı RID'leri 1000'den başlar • LM parolala hash'lerinin kırılması: pwdump (türevleri), John the Ripper, L0phtcrack, PRTK (ticari) • Rainbow tabloları: http://www.objectif-securite.ch/en/products.php
ÖLÜ ANALİZ Windows Sistemlerde Ölü Analiz • Windows autostart dosyalarının incelenmesi: – Autostart dizinleri (XP için C:Documents and Settings[user_name]Start MenuProgramsStartUp): Sistem başlatıldığında veya bir kullanıcı logon olduğunda çalıştırılacak zararlı yazılım veya zararlı yazılım linki bulunabilir – Win.ini (XP için C:Windowswin.ini): Yöntem-1: run=[backdoor] veya load=[backdoor], Yöntem-2: bir suffix'i (ör: .docx) zararlı bir yazılımla eşleştirmek – System.ini (XP için C:WindowsSystem.ini): shell=[zararlı yazılım.exe]. WinNT ve sonrasında bu parametre dikkate alınmaz – Wininit.ini (XP için C:WindowsWininit.ini): Yazılım kurulumlarında sistem reboot ettikten sonra çalıştırılacak kodlar için kullanılır.
ÖLÜ ANALİZ Windows Sistemlerde Ölü Analiz • Recycle bin'deki dosyaların incelenmesi: – Recycle edilebilecek dosyalar (uzaktan silinen, komut satırından silinen dosyalar edilemez) her partition root'unun altında yer alan RECYCLER dizini altında ilgili dosyayı silen kullanıcı SID'sinden oluşan dizinler altında saklanır – Dosya isimleri şu formatta değiştirilir: D<orjinal sürücü harfi-ör: C><#>.<orjinal dosya uzantısı> – Dosya isim ve orjinal yer bilgisi INFO2 dosyasında belli bir formatta tutulur
ÖLÜ ANALİZ Windows Sistemlerde Ölü Analiz • Daha önceden kurulmuş ancak silinmiş uygulamaların analizi: – Kopmuş linklerin analizi (uygulama silinmiş ancak linki kalmış olabilir): chklnks.exe (resource kit) – Registry anahtarları arasında uygulama adının aranması (uygun biçimde uninstall edilmemiş yazılımların registry anahtarları halen registry'de bulunabilir)
ÖLÜ ANALİZ Windows Sistemlerde Ölü Analiz • Browser history dosyalarının analizi: – History dosyaları. Ör: Internet Explorer için: – %systemdir%Documents and Settings%username%Cookies – %systemdir%Documents and Settings%username%Local SettingsHistoryhistory.ie5 (altındaki index.dat dosyası) – Cache'lenmiş dosyalar (ör: Internet Explorer için %systemdir%Documents and Settings%username%Local SettingsTemporary Internet FilesContent.ie5 (altındaki index.dat dosyası)) – Download dizinleri (ör: FireFox için %systemdir%Documents and Settings%username%My DocumentsDownloads)
ÖLÜ ANALİZ Windows Sistemlerde Ölü Analiz • Anormal ve gizli dosyaların analizi: – Hidden attribute'lü dosyalar – Alternate data stream'ler: SFind, streams – Dosya uzantısı ve dosya tipi karşılaştırmaları (dosya magic numaraları, header, footer değerlerini kullanarak) – Good Known File Filters (hash değerleri) kullanılarak sistem dosyaları veya ismi sistem dosyasına benzeyen dosyaların orjinal olup olmadıklarının incelenmesi (http://www.nsrl.nist.gov/)
ÖLÜ ANALİZ Önde Gelen Araçlar • Ticari yazılımlar: – EnCase – FTK ve PRTK • Açık kaynak kodlu yazılımlar – The Sleuth Kit (ve web arayüz uygulaması Autopsy): String ve regular expression aramayı, silinmiş dosyaları recover etmeyi, dosya zaman bilgileri ile zaman çizgisi analizi yapmayı, known-good dosya hashleri ile karşılaştırma yapmayı destekler
ZARARLI YAZILIM ANALİZİ Statik Analiz • strings komutu • MiTec ExeExplorer (import edilen fonksiyonlar, stringler, hex görüntü) • Decompiling - Disassembling – IDA Pro (Disassembler) – Dis# – JD Java Decompiler
ZARARLI YAZILIM ANALİZİ Dinamik Analiz • Sysinternals – Process Monitor, aşağıdaki aktiviteleri izler: – Registry – File system – Network – Process • Registry farkı alma (http://sourceforge.net/projects/regshot/) • Debug etme: – Windows için: SoftICE – Unix için: strace • Dinamik analiz için online sandbox ortamı – http://mwanalysis.org
LOG ANALİZİ Unix Logları syslog altyapısı • /etc/syslog.conf • Log konfigürasyon formatı: – Facility.Priority Action – Örnek: *.err;kern.debug;daemon.notice;mail.crit /var/adm/messages • auth mesajları (genellikle güvenlikle ilgilidir) • Uzaktaki bir sunucuda loglama ayarı – ör: auth.* @10.10.10.1
LOG ANALİZİ Unix Logları Proseslere özel loglar • cron job logları (örnek lokasyon: /var/cron/log) • su (switch user) logları (bazı sistemlerde syslog altyapısı kullanılır) • xferlog (xftpd daemon'u için log dosyası, genellikle /usr/adm/xferlog lokasyonunda bulunur)
LOG ANALİZİ Unix Logları Process accounting • "accton" komutu veya "startup" komutu (genellikle /usr/lib/acct/startup olarak bulunur) kullanılarak başlatılır • Process accounting log dosyaları binary formatta olduğundan "lastcomm" veya "acctcomm" komutları ile görüntülenebilir • Sistem yöneticisi tarafından değiştirilme riskleri düşüktür ancak silinebilirler
LOG ANALİZİ Unix Logları Kullanıcı bağlantı logları • Aşağıdaki log dosyaları binary formatta tutulur: – utmp dosyası: “w” utility'si ile erişilir, o anda sisteme bağlı kullanıcıları içerir – wtmp dosyası: “last” utility'si ile erişilir, sistem kullanıcılarının login ve logout history'sini içerir – btmp dosyası: “lastb” utility'si ile erişilir, başarısız login denemelerini içerir 40
LOG ANALİZİ Windows Logları Windows loglama altyapısı • Windows 9 ana kategori altında log tutar: – Logon/logoff - Lokal logon olayları, erişilen makinede gerçekleşen olaylar (kişisel bilgisayarıma kim logon etmiş / terminal server makinesine kimler uzaktan logon oldu?) – Account logon - Kimlik doğrulama olayları (domain'e kim ne zaman logon etmiş?) – Account management - Kullanıcı veya grup hesaplarında yapılan işlemler – Policy change - Audit Policy'de yapılan değişikliklerin takibi – System - Shutdown, startup gibi sistem olaylarının takibi – Process tracking - Uygulamaların ne zaman kim tarafından çalıştırıldığının takibi (belirtilen uygulamayı kim / ne zaman çalıştırdı?) – Object access - Sistem kaynaklarına yapılan erişimlerin takibi; Registry, File, Directory. Bu kaynaklara yapılan erişimler genellikle Event ID 560 ile takip edilir. (kim belirtilen dosyaya erişti / sildi?) Not: Object access loglarının tutulması için bu seçeneğin açık olması ve ilgili nesneler için de log konfigürasyonu yapılması gerekir. Öntanımlı olarak nesnelerin erişim logları otomatik olarak tutulmaz.
LOG ANALİZİ Windows Logları Windows loglama altyapısı • Windows 9 ana kategori altında log tutar (devamı): – DS Object Access - Active Directory'ye erişimle ilgili olaylar – Privilege use - Kullanıcının sistem üzerinde yaptığı kalıcı değişiklikler, örneğin sistem tarihinin değiştirilmesi
LOG ANALİZİ Windows Logları Windows loglama altyapısı • Eventlog dosyaları – Loglar Vista öncesi sistemlerde %WINDIR%System32config dizini altındaki ".evt" uzantılı dosyalarda, Vista'dan itibaren %WINDIR%System32winevtLogs dizini altında saklanır – Event loglarına Windows çalışırken sadece WIN32 API ve EventViewer uygulaması ile ulaşılabilir • Log tutma politikası – Maximum log size (300MB'ı geçmemesi önerilir, sınır 2GB'tır) – When maximum log size is reached (Overwrite events as needed önerilir)
LOG ANALİZİ Windows Logları Windows loglama altyapısı • Windows EventID'leri – Vista ve sonrası için EventID formülü: EventID(WS03) + 4096 = EventID(WS08) • İstisnalar: – Logon success event'leri: (540, 528) -> 4624 (=528+4096) – Logon failure event'leri: (529-537, 539) -> 4625 (=529+4096)
LOG ANALİZİ Windows Logları Windows loglama altyapısı • İlginç eventler – 512 / 4608 Startup – 513 / 4609 Shutdown – 528 / 4624 Logon – 538 / 4634 Logoff – 551 / 4647 Begin_Logoff (kullanıcı logoff başlattı) – N/A / 4778 Session_Reconnected – N/A / 4779 Session_Disconnected – N/A / 4800 Workstation_Locked – N/A / 4801 Workstation_Unlocked – N/A / 4802 Screensaver_Invoked – N/A / 4803 Screensaver_Dismissed
LOG ANALİZİ Windows Logları Windows loglama altyapısı • Kullanıcı yönetimiyle ilgili eventler: – 624: Yeni kullanıcı tanımlama – 626: Kullanıcıyı enable etme – 636: Bir kullanıcı grubunda değişiklik yapma (ör: Administrators grubuna kullanıcı ekleme) – 642: Kullanıcı hesabında değişiklik
LOG ANALİZİ Windows Logları • Logon tipleri – 2 tip kullanıcı hesabı bulunur: – Lokal hesaplar – Active Directory (Domain) hesapları – 2 tip logon yapılır: – Interactive (etkileşimli) – Network (uzak)
LOG ANALİZİ Windows Logları • Domain kullanıcısı ile kişisel bilgisayara giriş ve file server'a erişme senaryosu: – A/D'de "Account Logon" eventi (680) – Kullanıcı bilgisayarında "Logon" eventi (528-lokal) ve "Logoff" eventi (538) – File serverda "Logon" eventi (540-network) ve "Logoff" eventi (538) • Lokal kullanıcı ile kişisel bilgisayara ve file server'a giriş senaryosu: – Kullanıcı bilgisayarında "Account Logon" eventi (680) – Kullanıcı bilgisayarında "Logon" eventi (528-lokal) ve "Logoff" eventi (538) – File serverda "Account Logon" eventi (680) – File serverda "Logon" eventi (540-network) ve "Logoff" eventi (538)
LOG ANALİZİ Windows Logları • Windows event loglarının uzakta saklanması – Windows Vista altındaki sistemler syslog logları gibi uzakta saklama imkanı sağlamaz. Bunun için üçüncü taraf yazılımlar kullanılması gereklidir. Windows Vista ve üzeri işletim sistemleri event loglarını gönderme imkanı sağlarlar (http://technet.microsoft.com/en-us/library/cc748890.aspx) • Windows firewall loglarının analizi: – Firewall log dosyası genellikle C:WINDOWSpfirewall.log dosyasında bulunur
LOG ANALİZİ Uygulama Seviyesindeki Loglar • Web sunucu logları. Örnek loglanabilir alanlar: – Client IP Address – Server IP Address – Server Port – Method – URI Stem – URI Query – HTTP Status – Bytes Sent – Bytes Received – Host – User Agent – Cookie – Referrer
LOG ANALİZİ Uygulama Seviyesindeki Loglar • DHCP logları. DHCP log alanları: – ID – Date – Time – Description – IP Address – Host Name – MAC Address
OTURUM 2 Ağ Temelli Analiz
AĞ TEMELLİ ANALİZ Ağ Teknolojisi ve Dinleme • TCP/IP • Ağ Servisleri • Sniffer’lar • Sessiz Sniffer (yüksek güvenlik ihtiyaçları için) – Adres çözümleme yapan yazılımlar ARP, NetBIOS, DNS trafiği üretir – Sniffer yazılımlarının da açıklıkları vardır – Yazılım çözümleme yapmayacak şekilde konfigüre edilebilir – Ağ arayüzünde ARP, NetBIOS protokolleri geçersiz hale getirilebilir – Transmit tellerinin iptal edilmiş kablolar kullanılabilir
AĞ TEMELLİ ANALİZ Ağ Temelli Analizin Hedefleri • Olay sonrası için: – Bir bilgi güvenliği olayı ile ilgili şüpheleri doğrulamak veya ortadan kaldırmak – Adli bilişim analizi için ek bilgi temin etmek – Saldırının eriştiği hedef kapsamını belirlemek – Saldırıya karışan tarafları tespit etmek – Ağ üzerinde olan olayların zaman çizgisini oluşturmak • Olay tespiti için: – Ağ üzerindeki anormallikleri analitik yöntemlerle (istatistiksel değişimlerle) ve alarm verisi ile tespit etmek
AĞ TEMELLİ ANALİZ Ağ Temelli Analiz Kategorileri Alarm Verisi • IDS alarmları • Örnek Snort kuralı: – alert tcp any any -> 192.168.1.0/24 111 (content:"|00 01 86 a5|"; msg: "mountd access";) – alert tcp 172.16.1.7 any -> any any (msg: "Outbound connection attemp from Web server"; flags: S;)
AĞ TEMELLİ ANALİZ Ağ Temelli Analiz Kategorileri Oturum Verisi • Kaynak IP, Hedef IP, Kaynak Port, Hedef Port, Gönderilen Veri, Alınan Veri, Bağlantı Durumu • Ağ kullanım istatistikleri: MRTG, NTOP, v.b. • Flow veri formatları: – Cisco Netflow verisi – Argus Flow verisi (açık kaynak kodlu) • Tam içerik verisinden oturum bilgisi çıkarma: Wireshark, argus gibi ağ interface'ini dinleyerek oturum verisi üretebilen araçlar ve tcptrace gibi araçlar tam içerik verisini barındıran dosyaları okuyarak oturum verisi üretebilir
AĞ TEMELLİ ANALİZ Ağ Temelli Analiz Kategorileri Tam İçerik Verisi • Araçlar: – Tcpdump – wireshark (GUI), tshark (Command Line, yani scriptable) • Tüm ethernet frame'inin kaydedilmesi için "tcpdump" için "-s 1514" opsiyonunun kullanılması gerekir. Öntanımlı paket kayıt boyutu 68 byte'tır. • "tcpdump" kullanımında "-n" opsiyonunun kullanılması name resolution'ı (reverse DNS sorgularını) ve port numaralarının bilinen servis isimlerine çevrimini engelleyerek sadece numerik verileri görüntülemesini sağlayacaktır
AĞ TEMELLİ ANALİZ Ağ Temelli Analiz Kategorileri Tam İçerik Verisi • Unix platformlar için ayrıntılar: – Unix sistemlerde arp desteği olmadan bir arayüzü ayağa kaldırmak için: ifconfig eth0 up -arp – Unix sistemlerde bir prosesi background'da çalıştırmak için: komut sonuna "&" işareti eklenir – Unix sistemlerde komutun ilgili kullanıcı logout olması durumunda dahi çalışması için: "nohup komut &" şeklinde komutun çalıştırılması
AĞ TEMELLİ ANALİZ Ağ Temelli Analiz Kategorileri Tam İçerik Verisi • Ağ üzerinden iletilen verinin yeniden oluşturulması – TCPFlow (ör: # tcpflow -v -r sample1.lpc port 21) – Wireshark (Follow TCP Stream aracı) – Networkminer (http://www.netresec.com/?page=NetworkMiner) – Dataecho (http://sourceforge.net/projects/data-echo/)
AĞ TEMELLİ ANALİZ Ağ Temelli Analiz Kategorileri Tam İçerik Verisi • Tam içerik hacminin takibi için: – Unix sistemlerde: df –h – Windows sistemlerde: treesizefree (DEFT-Extra içinde de yer almaktadır) • CPU kullanım oranlarını izlemek için: – Unix sistemlerde: top – Windows sistemlerde: TaskManager
AĞ TEMELLİ ANALİZ Ağ Temelli Analiz Kategorileri Tam İçerik Verisi • Genel kabul görmüş paket saklama formatı – pcap (libpcap ve winpcap kullanan yazılımlarca üretilir) – Paket dosyalarını zaman aralığı veya dosya büyüklüğüne göre bölerek saklama • Sniffer filtreleri (Berkeley Packet Filter formatı) – Basit örnek: – ip host ace and not helios (ace sunucusunun gönderici veya alıcı olduğu ancak helios sunucusunun gönderici veya alıcı olmadığı IP paketlerini yakalamak için) – Daha ince detaylı örnek: – gateway snup and ip[2:2] > 576 (gateway "snup" aracılığı ile gönderilmiş ve uzunluğu 576 byte'tan daha yüksek IP paketlerini yakalamak için)
AĞ TEMELLİ ANALİZ Ağ Cihazları Logları • AAA logları (TACACS ve RADIUS sunucuların kullanıldığı durumlarda) • Syslog logları • snmp ile toplanan bilgiler • Firewall logları
OTURUM 3 Adli Bilişim Altyapısı İçin Hazırlık
ADLİ BİLİŞİM ALTYAPISI İÇİN HAZIRLIK Bilgisayar Analizi İçin Hazırlık Donanım ihtiyaçları • Temiz ve yeterli büyüklükte saklama cihazları • Write-blocker • Delil disklere uygun connector ve kablolar • Fotoğraf makinesi • Delil saklamak için uygun antistatik torbalar, kasalar, etiketler • CPU gücü ve RAM kapasitesi yüksek bilgisayar(lar) • Hızlı CD / DVD sürücüleri / yazıcıları • Gerekirse yedek kasetleri ve yedek sürücüleri • Elektrik kablo uzatma araçları • Çokça Cat5 veya üzeri kablo ve hub'lar
ADLİ BİLİŞİM ALTYAPISI İÇİN HAZIRLIK Bilgisayar Analizi İçin Hazırlık Donanım ihtiyaçları • Çokça yazılabilir CD ve DVD • Etiketler / CD kalemi • Bilgisayar tornavida seti • Yedek güç araçları (UPS, yedek laptop pili, v.b.) • Kanıt saklama zinciri (chain of custody) formları • Yedek çantalar • Donanım temini için adres: http://www.forensic-computers.com/
ADLİ BİLİŞİM ALTYAPISI İÇİN HAZIRLIK Bilgisayar Analizi İçin Hazırlık Yazılım ihtiyaçları • Forensic duplication yazılımları • Forensic analiz yazılımları • Canlı analiz için güvenilir işletim sistemi komutları (Unix komutları için mümkünse statik linklenmiş) ve analiz uygulamaları – Unix için hazırlanabilecek örnek uygulamalar / komutlar: ls, dd, des, file, pkginfo, find, icat, lsof, md5sum, netcat veya cryptcat, netstat, pcat, perl, ps, strace, strings, truss, df, vi, cat, more, gzip, last, w, rm, script, bash, modinfo, lsmod, ifconfig – Windows için hazırlanabilecek örnek uygulamalar / komutlar: cmd.exe, PsLoggedOn (sysinternals), rausers (resource kit), netstat, FPort (foundstone), PsList (sysinternals), ListDLLs (sysinternals) ya da Process Explorer (proses ve ilişkileri analiz için GUI uygulama - sysinternals), nbtstat, arp, kill (resource kit), md5sum (cygwin), rmtshare (resource kit), netcat veya cryptcat, PsLogList (sysinternals), ipconfig, PsInfo (sysinternals), PsFile (sysinternals), PsService (sysinternals), auditpol (resource kit), doskey
ADLİ BİLİŞİM ALTYAPISI İÇİN HAZIRLIK Bilgisayar Analizi İçin Hazırlık Yazılım ihtiyaçları • Bootable linux dağıtımları (DEFT, Helix veya diğer linux dağıtımları) • Canlı analiz için geliştirilmiş özel yazılımlar: – Nirsoft (ör: IEHistoryView, USBDeview, WhatInStartup, PassView) – Sysinternals (ör: Process Monitor, AccessEnum, PsTools) – Foundstone (ör: Fport, BinText, Rifiuti) – Registry fark takibi için yardımcı uygulamalar (ör: regshot) – Password dumper yazılımlar (ör: LSASecretsDump, pwdump6, VNCPassView) • Windows Resource Kit uygulamaları (ör: rausers, rmtshare, auditpol, kill gibi) • Port scanner, application mapper yazılımlar • Parola kırma yazılımları, rainbow tabloları r (ör: LSASecretsDump, pwdump6, VNCPassView)
ADLİ BİLİŞİM ALTYAPISI İÇİN HAZIRLIK Bilgisayar Analizi İçin Hazırlık Yazılım ihtiyaçları • Dosya kripto kırma yazılımları • Çeşitli formatta imajları görüntüleyebilen viewer uygulamalar • Çeşitli formatta e-posta arşivlerini açabilen e-posta istemcileri • Online kaynaklara erişebilmek ve araştırma yapabilmek için internet bağlantısı • Canlı analiz için önceden hazırlanmış script'ler (Windows ve Unix ortamlar için) • Sanal makine ortamları (ör: VMWare) • Raw (ör: OSFMount) ve sanal makine imajlarını (VMWare Disk Mount) mount etmek için yardımcı yazılımlar • Raw imajları VMWare disklerine çevirmek için ProDiscover Basic • Registry analizi için: AccessData (ticari) Registry Viewer, Prodiscover Basic Registry Viewer (Windows dizini üzerinden seçilir), RegRipper scriptleri
ADLİ BİLİŞİM ALTYAPISI İÇİN HAZIRLIK Bilgisayar Analizi İçin Hazırlık Saldırıya hazırlık için kritik dosyalar için bütünlük kontrollerinin yapılması • Kritik dosya hash'lerinin saklanması • Host based IDS'ler
ADLİ BİLİŞİM ALTYAPISI İÇİN HAZIRLIK Ağ Temelli Analiz İçin Hazırlık Donanım ihtiyaçları • Monitor port ayarı yapılabilecek güçlü switchler • Tap cihazları • Sniffer yazılımını çalıştıracak ve gelen ağ genişliğini karşılayabilecek interface'e sahip bilgisayar • Tam veri analizi yapabilmek için yeterli büyüklükte saklama ortamı
ADLİ BİLİŞİM ALTYAPISI İÇİN HAZIRLIK Ağ Temelli Analiz İçin Hazırlık Yazılım ihtiyaçları • Alarm verisi üretmek için IDS yazılımı • Oturum verisi üretmek için flow verisi (Cisco netflow veya farklı flow verisi üretebilir) üreten yazılım • İçerik verisi analizi ve/veya ağ üzerinden iletilen veri ve dosyaların oluşturulabilmesi için gerekli yazılımlar
ADLİ BİLİŞİM ALTYAPISI İÇİN HAZIRLIK Ağ Temelli Analiz İçin Hazırlık İzlenebilir bir ağ topolojisi • Ağ bölümlemesi • Erişim kontrolleri • Choke point'ler (http trafiğinin proxy üzerinden geçirilmesi gibi) • Ağ erişim kontrolü (NAC) • Merkezi loglama altyapısı (TACACS, RADIUS, v.b.)
ADLİ BİLİŞİM ALTYAPISI İÇİN HAZIRLIK Ağ Temelli Analiz İçin Hazırlık Ekip ve eğitim imkanları • Temel ağ yönetimi ve güvenliği eğitimi • Disk temelli forensic teori ve araç kullanım eğitimleri • Olay müdahale süreç eğitimi 73
ADLİ BİLİŞİM ALTYAPISI İÇİN HAZIRLIK Ağ Temelli Analiz İçin Hazırlık Log ve sistem altyapısı • Ortak zaman sunucu kullanımı • Log korelasyonu ve anahtar kelime arama imkanları • Sistemlerden bağımsız saklama ortamı kullanma • Log normalizasyonu, IP, NetBIOS ve diğer isimlendirmelerin kullanımı • Active Directory'den karşılığı alınan SID'ler için isim bilgilerinin saklanması (Event Viewer SID tutar ve kullanıcı adı bilgisini görüntülendiğinde AD'den sorgular) • Log yedekleme altyapısının oluşturulması • Sistem ve konfigürasyon yedeklerinin saklanması
BTRisk Hakkında 2009 yılında kurulmuş ve sadece bilgi güvenliği hizmetlerine odaklanmış olan BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri bilgi güvenliği problemine yönetim kurulu seviyesinden sistem odası uygulamasına kadar uzanan alanda çözüm üretmektedir. BTRisk bilgi güvenliği problemini görünür hale getirerek algılanmasını, anlaşılmasını ve dolayısıyla ele alınmasını mümkün hale getirmektedir. BTRisk bilgi güvenliği problemine karşı geliştirdiği yaklaşımları gerçek hayat koşullarında test etmiş ve uygulanabilir hale getirmiştir. Bilgi güvenliği ve BT yönetişim hizmet alanlarımız aşağıdaki gibidir: Pentest Hizmetleri Bilgi Güvenliği ve BT Yönetişim Hizmetleri Bilgi Güvenliği Operasyon Hizmetleri Teknik Güvenlik Denetim Eğitimleri Yönetişim ve Denetim Eğitimleri Özgün ürünlerimiz aşağıdaki gibidir: 5651 Uyumlu Wi-Fi ve Kablolu Bilgi Güvenliği Risk Analizi Tek Kullanımlık Parola Ağ Hotspot Çözümü ve Denetim Uygulaması Çözümü
blog.btrisk.com @btrisk /btrisktv /btrisk

Recommended

Temel Linux Kullanımı ve Komutları
Temel Linux Kullanımı ve KomutlarıTemel Linux Kullanımı ve Komutları
Temel Linux Kullanımı ve KomutlarıAhmet Gürel
 
Metasploit El Kitabı
Metasploit El KitabıMetasploit El Kitabı
Metasploit El KitabıBGA Cyber Security
 
SIZMA TESTLERİNDE BİLGİ TOPLAMA
SIZMA TESTLERİNDE BİLGİ TOPLAMASIZMA TESTLERİNDE BİLGİ TOPLAMA
SIZMA TESTLERİNDE BİLGİ TOPLAMABGA Cyber Security
 
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 3
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 3Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 3
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 3BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Sızma Testlerinde Armitage Kullanımı
Sızma Testlerinde Armitage KullanımıSızma Testlerinde Armitage Kullanımı
Sızma Testlerinde Armitage KullanımıBGA Cyber Security
 
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Siber Güvenlik ve Etik Hacking Sunu - 10
Siber Güvenlik ve Etik Hacking Sunu - 10Siber Güvenlik ve Etik Hacking Sunu - 10
Siber Güvenlik ve Etik Hacking Sunu - 10Murat KARA
 
10 Adımda Sızma Testleri
10 Adımda Sızma Testleri10 Adımda Sızma Testleri
10 Adımda Sızma TestleriBGA Cyber Security
 

Recommended

Temel Linux Kullanımı ve Komutları
Temel Linux Kullanımı ve KomutlarıTemel Linux Kullanımı ve Komutları
Temel Linux Kullanımı ve KomutlarıAhmet Gürel
 
Metasploit El Kitabı
Metasploit El KitabıMetasploit El Kitabı
Metasploit El KitabıBGA Cyber Security
 
SIZMA TESTLERİNDE BİLGİ TOPLAMA
SIZMA TESTLERİNDE BİLGİ TOPLAMASIZMA TESTLERİNDE BİLGİ TOPLAMA
SIZMA TESTLERİNDE BİLGİ TOPLAMABGA Cyber Security
 
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 3
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 3Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 3
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 3BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Sızma Testlerinde Armitage Kullanımı
Sızma Testlerinde Armitage KullanımıSızma Testlerinde Armitage Kullanımı
Sızma Testlerinde Armitage KullanımıBGA Cyber Security
 
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Siber Güvenlik ve Etik Hacking Sunu - 10
Siber Güvenlik ve Etik Hacking Sunu - 10Siber Güvenlik ve Etik Hacking Sunu - 10
Siber Güvenlik ve Etik Hacking Sunu - 10Murat KARA
 
10 Adımda Sızma Testleri
10 Adımda Sızma Testleri10 Adımda Sızma Testleri
10 Adımda Sızma TestleriBGA Cyber Security
 
Kali linux
Kali linuxKali linux
Kali linuxBGA Cyber Security
 
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 2
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 2BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 2
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 2BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Linux İşletim Sistemi
Linux İşletim SistemiLinux İşletim Sistemi
Linux İşletim SistemiMurat KARA
 
Hacking'in Mavi Tarafı -1
Hacking'in Mavi Tarafı -1Hacking'in Mavi Tarafı -1
Hacking'in Mavi Tarafı -1Turkhackteam Blue Team
 
Log Yönetimi ve Saldırı Analizi Eğitimi - 2
Log Yönetimi ve Saldırı Analizi Eğitimi - 2Log Yönetimi ve Saldırı Analizi Eğitimi - 2
Log Yönetimi ve Saldırı Analizi Eğitimi - 2BGA Cyber Security
 
PORT TARAMA ve KEŞİF ÇALIŞMALARI
PORT TARAMA ve KEŞİF ÇALIŞMALARI PORT TARAMA ve KEŞİF ÇALIŞMALARI
PORT TARAMA ve KEŞİF ÇALIŞMALARI BGA Cyber Security
 
Beyaz Şapkalı Hacker başlangıç noktası eğitimi
Beyaz Şapkalı Hacker başlangıç noktası eğitimiBeyaz Şapkalı Hacker başlangıç noktası eğitimi
Beyaz Şapkalı Hacker başlangıç noktası eğitimiKurtuluş Karasu
 
Kesif ve Zafiyet Tarama
Kesif ve Zafiyet TaramaKesif ve Zafiyet Tarama
Kesif ve Zafiyet TaramaFerhat Ozgur Catak
 
Nessus Kullanım Kitapçığı
Nessus Kullanım KitapçığıNessus Kullanım Kitapçığı
Nessus Kullanım KitapçığıBGA Cyber Security
 
Nmap101 Eğitim Sunumu - Nmap Kullanım Kılavuzu
Nmap101 Eğitim Sunumu - Nmap Kullanım KılavuzuNmap101 Eğitim Sunumu - Nmap Kullanım Kılavuzu
Nmap101 Eğitim Sunumu - Nmap Kullanım KılavuzuMehmet Caner Köroğlu
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9BGA Cyber Security
 
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 1
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 1BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 1
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 1BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Beyaz Şapkalı Hacker (CEH) Lab Kitabı
Beyaz Şapkalı Hacker (CEH) Lab KitabıBeyaz Şapkalı Hacker (CEH) Lab Kitabı
Beyaz Şapkalı Hacker (CEH) Lab KitabıBGA Cyber Security
 
Sizma testi bilgi toplama
Sizma testi bilgi toplamaSizma testi bilgi toplama
Sizma testi bilgi toplamaBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Web uygulama açıklıklarından faydalanarak sistem ele geçirme
Web uygulama açıklıklarından faydalanarak sistem ele geçirmeWeb uygulama açıklıklarından faydalanarak sistem ele geçirme
Web uygulama açıklıklarından faydalanarak sistem ele geçirmeBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Yerel Ağda Gerçekleştirilebilecek Sadırılar ve Türleri
Yerel Ağda Gerçekleştirilebilecek Sadırılar ve Türleri Yerel Ağda Gerçekleştirilebilecek Sadırılar ve Türleri
Yerel Ağda Gerçekleştirilebilecek Sadırılar ve Türleri BGA Cyber Security
 
Siber Güvenlik ve Etik Hacking Sunu - 1
Siber Güvenlik ve Etik Hacking Sunu - 1Siber Güvenlik ve Etik Hacking Sunu - 1
Siber Güvenlik ve Etik Hacking Sunu - 1Murat KARA
 
Siber Güvenlik ve Etik Hacking Sunu - 9
Siber Güvenlik ve Etik Hacking Sunu - 9Siber Güvenlik ve Etik Hacking Sunu - 9
Siber Güvenlik ve Etik Hacking Sunu - 9Murat KARA
 
Bilgi Güvenliğinde Sızma Testleri
Bilgi Güvenliğinde Sızma TestleriBilgi Güvenliğinde Sızma Testleri
Bilgi Güvenliğinde Sızma TestleriBGA Cyber Security
 
Arp protokolu ve guvenlik zafiyeti
Arp protokolu ve guvenlik zafiyetiArp protokolu ve guvenlik zafiyeti
Arp protokolu ve guvenlik zafiyetiBGA Cyber Security
 
Unix Denetim Dokümanı
Unix Denetim DokümanıUnix Denetim Dokümanı
Unix Denetim DokümanıBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Linux101 Temel Komutlar-Dizin Yapısı
Linux101 Temel Komutlar-Dizin YapısıLinux101 Temel Komutlar-Dizin Yapısı
Linux101 Temel Komutlar-Dizin YapısıSDU CYBERLAB
 

More Related Content

What's hot

Linux İşletim Sistemi
Linux İşletim SistemiLinux İşletim Sistemi
Linux İşletim SistemiMurat KARA
 
Log Yönetimi ve Saldırı Analizi Eğitimi - 2
Log Yönetimi ve Saldırı Analizi Eğitimi - 2Log Yönetimi ve Saldırı Analizi Eğitimi - 2
Log Yönetimi ve Saldırı Analizi Eğitimi - 2BGA Cyber Security
 
PORT TARAMA ve KEŞİF ÇALIŞMALARI
PORT TARAMA ve KEŞİF ÇALIŞMALARI PORT TARAMA ve KEŞİF ÇALIŞMALARI
PORT TARAMA ve KEŞİF ÇALIŞMALARI BGA Cyber Security
 
Beyaz Şapkalı Hacker başlangıç noktası eğitimi
Beyaz Şapkalı Hacker başlangıç noktası eğitimiBeyaz Şapkalı Hacker başlangıç noktası eğitimi
Beyaz Şapkalı Hacker başlangıç noktası eğitimiKurtuluş Karasu
 
Nessus Kullanım Kitapçığı
Nessus Kullanım KitapçığıNessus Kullanım Kitapçığı
Nessus Kullanım KitapçığıBGA Cyber Security
 
Nmap101 Eğitim Sunumu - Nmap Kullanım Kılavuzu
Nmap101 Eğitim Sunumu - Nmap Kullanım KılavuzuNmap101 Eğitim Sunumu - Nmap Kullanım Kılavuzu
Nmap101 Eğitim Sunumu - Nmap Kullanım KılavuzuMehmet Caner Köroğlu
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9BGA Cyber Security
 
Beyaz Şapkalı Hacker (CEH) Lab Kitabı
Beyaz Şapkalı Hacker (CEH) Lab KitabıBeyaz Şapkalı Hacker (CEH) Lab Kitabı
Beyaz Şapkalı Hacker (CEH) Lab KitabıBGA Cyber Security
 
Yerel Ağda Gerçekleştirilebilecek Sadırılar ve Türleri
Yerel Ağda Gerçekleştirilebilecek Sadırılar ve Türleri Yerel Ağda Gerçekleştirilebilecek Sadırılar ve Türleri
Yerel Ağda Gerçekleştirilebilecek Sadırılar ve Türleri BGA Cyber Security
 
Siber Güvenlik ve Etik Hacking Sunu - 1
Siber Güvenlik ve Etik Hacking Sunu - 1Siber Güvenlik ve Etik Hacking Sunu - 1
Siber Güvenlik ve Etik Hacking Sunu - 1Murat KARA
 
Siber Güvenlik ve Etik Hacking Sunu - 9
Siber Güvenlik ve Etik Hacking Sunu - 9Siber Güvenlik ve Etik Hacking Sunu - 9
Siber Güvenlik ve Etik Hacking Sunu - 9Murat KARA
 
Bilgi Güvenliğinde Sızma Testleri
Bilgi Güvenliğinde Sızma TestleriBilgi Güvenliğinde Sızma Testleri
Bilgi Güvenliğinde Sızma TestleriBGA Cyber Security
 
Arp protokolu ve guvenlik zafiyeti
Arp protokolu ve guvenlik zafiyetiArp protokolu ve guvenlik zafiyeti
Arp protokolu ve guvenlik zafiyetiBGA Cyber Security
 

What's hot (20)

Kali linux
Kali linuxKali linux
Kali linux
 
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 2
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 2BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 2
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 2
 
Linux İşletim Sistemi
Linux İşletim SistemiLinux İşletim Sistemi
Linux İşletim Sistemi
 
Hacking'in Mavi Tarafı -1
Hacking'in Mavi Tarafı -1Hacking'in Mavi Tarafı -1
Hacking'in Mavi Tarafı -1
 
Log Yönetimi ve Saldırı Analizi Eğitimi - 2
Log Yönetimi ve Saldırı Analizi Eğitimi - 2Log Yönetimi ve Saldırı Analizi Eğitimi - 2
Log Yönetimi ve Saldırı Analizi Eğitimi - 2
 
PORT TARAMA ve KEŞİF ÇALIŞMALARI
PORT TARAMA ve KEŞİF ÇALIŞMALARI PORT TARAMA ve KEŞİF ÇALIŞMALARI
PORT TARAMA ve KEŞİF ÇALIŞMALARI
 
Beyaz Şapkalı Hacker başlangıç noktası eğitimi
Beyaz Şapkalı Hacker başlangıç noktası eğitimiBeyaz Şapkalı Hacker başlangıç noktası eğitimi
Beyaz Şapkalı Hacker başlangıç noktası eğitimi
 
Kesif ve Zafiyet Tarama
Kesif ve Zafiyet TaramaKesif ve Zafiyet Tarama
Kesif ve Zafiyet Tarama
 
Nessus Kullanım Kitapçığı
Nessus Kullanım KitapçığıNessus Kullanım Kitapçığı
Nessus Kullanım Kitapçığı
 
Nmap101 Eğitim Sunumu - Nmap Kullanım Kılavuzu
Nmap101 Eğitim Sunumu - Nmap Kullanım KılavuzuNmap101 Eğitim Sunumu - Nmap Kullanım Kılavuzu
Nmap101 Eğitim Sunumu - Nmap Kullanım Kılavuzu
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9
 
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 1
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 1BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 1
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 1
 
Beyaz Şapkalı Hacker (CEH) Lab Kitabı
Beyaz Şapkalı Hacker (CEH) Lab KitabıBeyaz Şapkalı Hacker (CEH) Lab Kitabı
Beyaz Şapkalı Hacker (CEH) Lab Kitabı
 
Sizma testi bilgi toplama
Sizma testi bilgi toplamaSizma testi bilgi toplama
Sizma testi bilgi toplama
 
Web uygulama açıklıklarından faydalanarak sistem ele geçirme
Web uygulama açıklıklarından faydalanarak sistem ele geçirmeWeb uygulama açıklıklarından faydalanarak sistem ele geçirme
Web uygulama açıklıklarından faydalanarak sistem ele geçirme
 
Yerel Ağda Gerçekleştirilebilecek Sadırılar ve Türleri
Yerel Ağda Gerçekleştirilebilecek Sadırılar ve Türleri Yerel Ağda Gerçekleştirilebilecek Sadırılar ve Türleri
Yerel Ağda Gerçekleştirilebilecek Sadırılar ve Türleri
 
Siber Güvenlik ve Etik Hacking Sunu - 1
Siber Güvenlik ve Etik Hacking Sunu - 1Siber Güvenlik ve Etik Hacking Sunu - 1
Siber Güvenlik ve Etik Hacking Sunu - 1
 
Siber Güvenlik ve Etik Hacking Sunu - 9
Siber Güvenlik ve Etik Hacking Sunu - 9Siber Güvenlik ve Etik Hacking Sunu - 9
Siber Güvenlik ve Etik Hacking Sunu - 9
 
Bilgi Güvenliğinde Sızma Testleri
Bilgi Güvenliğinde Sızma TestleriBilgi Güvenliğinde Sızma Testleri
Bilgi Güvenliğinde Sızma Testleri
 
Arp protokolu ve guvenlik zafiyeti
Arp protokolu ve guvenlik zafiyetiArp protokolu ve guvenlik zafiyeti
Arp protokolu ve guvenlik zafiyeti
 

Similar to BTRisk Adli Bilişim Eğitimi Sunumu

Linux101 Temel Komutlar-Dizin Yapısı
Linux101 Temel Komutlar-Dizin YapısıLinux101 Temel Komutlar-Dizin Yapısı
Linux101 Temel Komutlar-Dizin YapısıSDU CYBERLAB
 
Linux Kullanım Rehberi
Linux Kullanım RehberiLinux Kullanım Rehberi
Linux Kullanım RehberiMert Can ALICI
 
Biricikoglu Islsisguv Sunum
Biricikoglu Islsisguv SunumBiricikoglu Islsisguv Sunum
Biricikoglu Islsisguv Sunumeroglu
 
Pwnlydays - Linux 101
Pwnlydays - Linux 101Pwnlydays - Linux 101
Pwnlydays - Linux 101canyoupwn.me
 
2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux
2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux 2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux
2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux Burak Oğuz
 
Sızma Testi ve Güvenlik Denetlemeleri - Temel Linux Bilgisi
Sızma Testi ve Güvenlik Denetlemeleri - Temel Linux BilgisiSızma Testi ve Güvenlik Denetlemeleri - Temel Linux Bilgisi
Sızma Testi ve Güvenlik Denetlemeleri - Temel Linux BilgisiFerhat Ozgur Catak
 
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıSiber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıBGA Cyber Security
 
Açık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma son
Açık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma sonAçık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma son
Açık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma sonBGA Cyber Security
 
Guvenlikaraclari
GuvenlikaraclariGuvenlikaraclari
Guvenlikaraclarieroglu
 
Linux Yaz Kampı 2017 GNU/Linux Eğitim Dökümanı
Linux Yaz Kampı 2017 GNU/Linux Eğitim DökümanıLinux Yaz Kampı 2017 GNU/Linux Eğitim Dökümanı
Linux Yaz Kampı 2017 GNU/Linux Eğitim Dökümanıİbrahim UÇAR
 
Adli Bilişim ve Adli Bilişim Araçları
Adli Bilişim ve Adli Bilişim AraçlarıAdli Bilişim ve Adli Bilişim Araçları
Adli Bilişim ve Adli Bilişim AraçlarıAhmet Gürel
 
BTT Modul 11 Isletim Sistemlerinin Temelleri
BTT Modul 11 Isletim Sistemlerinin TemelleriBTT Modul 11 Isletim Sistemlerinin Temelleri
BTT Modul 11 Isletim Sistemlerinin Temellerideniz armutlu
 
Oracle 10g Database Server Kurulum
Oracle 10g Database Server KurulumOracle 10g Database Server Kurulum
Oracle 10g Database Server KurulumAnar Godjaev
 
Uç Nokta Güvenliği
Uç Nokta GüvenliğiUç Nokta Güvenliği
Uç Nokta GüvenliğiFevziye Tas
 

Similar to BTRisk Adli Bilişim Eğitimi Sunumu (20)

Unix Denetim Dokümanı
Unix Denetim DokümanıUnix Denetim Dokümanı
Unix Denetim Dokümanı
 
Linux101 Temel Komutlar-Dizin Yapısı
Linux101 Temel Komutlar-Dizin YapısıLinux101 Temel Komutlar-Dizin Yapısı
Linux101 Temel Komutlar-Dizin Yapısı
 
Linux Kullanım Rehberi
Linux Kullanım RehberiLinux Kullanım Rehberi
Linux Kullanım Rehberi
 
Biricikoglu Islsisguv Sunum
Biricikoglu Islsisguv SunumBiricikoglu Islsisguv Sunum
Biricikoglu Islsisguv Sunum
 
Pwnlydays - Linux 101
Pwnlydays - Linux 101Pwnlydays - Linux 101
Pwnlydays - Linux 101
 
Linux Sistem Yönetimi
Linux Sistem YönetimiLinux Sistem Yönetimi
Linux Sistem Yönetimi
 
Linux sunum
Linux sunumLinux sunum
Linux sunum
 
Nurdan Sarıkaya
Nurdan SarıkayaNurdan Sarıkaya
Nurdan Sarıkaya
 
2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux
2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux 2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux
2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux
 
Sızma Testi ve Güvenlik Denetlemeleri - Temel Linux Bilgisi
Sızma Testi ve Güvenlik Denetlemeleri - Temel Linux BilgisiSızma Testi ve Güvenlik Denetlemeleri - Temel Linux Bilgisi
Sızma Testi ve Güvenlik Denetlemeleri - Temel Linux Bilgisi
 
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıSiber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
 
Açık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma son
Açık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma sonAçık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma son
Açık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma son
 
Guvenlikaraclari
GuvenlikaraclariGuvenlikaraclari
Guvenlikaraclari
 
Linux Yaz Kampı 2017 GNU/Linux Eğitim Dökümanı
Linux Yaz Kampı 2017 GNU/Linux Eğitim DökümanıLinux Yaz Kampı 2017 GNU/Linux Eğitim Dökümanı
Linux Yaz Kampı 2017 GNU/Linux Eğitim Dökümanı
 
Linux Guvenligi V1.0
Linux Guvenligi V1.0Linux Guvenligi V1.0
Linux Guvenligi V1.0
 
Adli Bilişim ve Adli Bilişim Araçları
Adli Bilişim ve Adli Bilişim AraçlarıAdli Bilişim ve Adli Bilişim Araçları
Adli Bilişim ve Adli Bilişim Araçları
 
BTT Modul 11 Isletim Sistemlerinin Temelleri
BTT Modul 11 Isletim Sistemlerinin TemelleriBTT Modul 11 Isletim Sistemlerinin Temelleri
BTT Modul 11 Isletim Sistemlerinin Temelleri
 
Puppet ile Linux Sistem Yönetimi Otomasyonu
Puppet ile Linux Sistem Yönetimi OtomasyonuPuppet ile Linux Sistem Yönetimi Otomasyonu
Puppet ile Linux Sistem Yönetimi Otomasyonu
 
Oracle 10g Database Server Kurulum
Oracle 10g Database Server KurulumOracle 10g Database Server Kurulum
Oracle 10g Database Server Kurulum
 
Uç Nokta Güvenliği
Uç Nokta GüvenliğiUç Nokta Güvenliği
Uç Nokta Güvenliği
 

More from BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri

More from BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri (20)

Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 2
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 2Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 2
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 2
 
BTRisk - Siber Olay Tespit ve Mudahale Egitimi
BTRisk - Siber Olay Tespit ve Mudahale EgitimiBTRisk - Siber Olay Tespit ve Mudahale Egitimi
BTRisk - Siber Olay Tespit ve Mudahale Egitimi
 
BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-3
BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-3BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-3
BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-3
 
BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-2
BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-2BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-2
BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-2
 
BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-1
BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-1BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-1
BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-1
 
Yazıcı Güvenliği
Yazıcı GüvenliğiYazıcı Güvenliği
Yazıcı Güvenliği
 
BTRISK ISO27001 UYGULAMA EGITIMI SUNUMU
BTRISK ISO27001 UYGULAMA EGITIMI SUNUMUBTRISK ISO27001 UYGULAMA EGITIMI SUNUMU
BTRISK ISO27001 UYGULAMA EGITIMI SUNUMU
 
Kali Linux Hakkında Herşey
Kali Linux Hakkında HerşeyKali Linux Hakkında Herşey
Kali Linux Hakkında Herşey
 
BTRisk iOS Mobil Uygulama Denetimi Eğitimi
BTRisk iOS Mobil Uygulama Denetimi EğitimiBTRisk iOS Mobil Uygulama Denetimi Eğitimi
BTRisk iOS Mobil Uygulama Denetimi Eğitimi
 
BTRisk Android Mobil Uygulama Denetimi Eğitimi
BTRisk Android Mobil Uygulama Denetimi EğitimiBTRisk Android Mobil Uygulama Denetimi Eğitimi
BTRisk Android Mobil Uygulama Denetimi Eğitimi
 
BTRisk Yazılım Güvenliği Yönetimi Eğitimi
BTRisk Yazılım Güvenliği Yönetimi EğitimiBTRisk Yazılım Güvenliği Yönetimi Eğitimi
BTRisk Yazılım Güvenliği Yönetimi Eğitimi
 
BTRisk Android Uygulamalara Malware Yerleştirme Sunumu
BTRisk Android Uygulamalara Malware Yerleştirme SunumuBTRisk Android Uygulamalara Malware Yerleştirme Sunumu
BTRisk Android Uygulamalara Malware Yerleştirme Sunumu
 
BTRisk ISO 27001:2013 Bilgilendirme ve İç Denetim Eğitimi Sunumu
BTRisk ISO 27001:2013 Bilgilendirme ve İç Denetim Eğitimi SunumuBTRisk ISO 27001:2013 Bilgilendirme ve İç Denetim Eğitimi Sunumu
BTRisk ISO 27001:2013 Bilgilendirme ve İç Denetim Eğitimi Sunumu
 
BTRİSK Web Uygulama Güvenliği Denetimi Eğitim Sunumu
BTRİSK Web Uygulama Güvenliği Denetimi Eğitim SunumuBTRİSK Web Uygulama Güvenliği Denetimi Eğitim Sunumu
BTRİSK Web Uygulama Güvenliği Denetimi Eğitim Sunumu
 
Bilgi Güvenliği Farkındalık Eğitimi Sunumu
Bilgi Güvenliği Farkındalık Eğitimi SunumuBilgi Güvenliği Farkındalık Eğitimi Sunumu
Bilgi Güvenliği Farkındalık Eğitimi Sunumu
 
BTRİSK Web Uygulama Güvenliği Denetimi Eğitimi
BTRİSK Web Uygulama Güvenliği Denetimi EğitimiBTRİSK Web Uygulama Güvenliği Denetimi Eğitimi
BTRİSK Web Uygulama Güvenliği Denetimi Eğitimi
 
BTRWATCH ISO27001 Yazılımı
BTRWATCH ISO27001 YazılımıBTRWATCH ISO27001 Yazılımı
BTRWATCH ISO27001 Yazılımı
 
Jmeter ile uygulama katmanında yük testi gerçekleştirme
Jmeter ile uygulama katmanında yük testi gerçekleştirmeJmeter ile uygulama katmanında yük testi gerçekleştirme
Jmeter ile uygulama katmanında yük testi gerçekleştirme
 
ISO 27001:2013 versiyonu ile gelen değişiklikler
ISO 27001:2013 versiyonu ile gelen değişikliklerISO 27001:2013 versiyonu ile gelen değişiklikler
ISO 27001:2013 versiyonu ile gelen değişiklikler
 
Android Uygulamaların Tersine Mühendislik Yöntemi ile İncelenmesi
Android Uygulamaların Tersine Mühendislik Yöntemi ile İncelenmesiAndroid Uygulamaların Tersine Mühendislik Yöntemi ile İncelenmesi
Android Uygulamaların Tersine Mühendislik Yöntemi ile İncelenmesi
 

BTRisk Adli Bilişim Eğitimi Sunumu

  • 2. EĞİTİM KONULARI I. Bilgisayar Analizi II. Ağ Temelli Analiz III. Adli Bilişim Altyapısı için Hazırlık
  • 3. Eğitim Kapsamı ve Temel Kavramlar • Kapsam: Teknik Analiz Teknikleri • Temel Kavramlar: – Canlı Analiz – Ölü Analiz – Kriptografi (hashing)
  • 4. Eğitim Kapsamı ve Temel Kavramlar Olay Müdahale Stratejisi • Alınabilecek kararlar: – Sistem hemen izole edilmeli mi / saldırganın aktiviteleri izlenmeli mi (saldırganın kullandığı araçların ve eriştiği kaynakların tespiti ihtiyacı / saldırganın zarar vermeye devam etme riski) – Sistem üzerinde ölü analiz mi yapılmalı / canlı analiz mi yapılmalı (sistem kapatıldığında yok olacak proses ve ağ aktivitelerini tespit etme ihtiyacı / kanıtların geçerlilik kaybı veya kanıt kararma riski) – Kamuya ve/veya otoritelere duyuru yapılmalı mı / gizli mi tutulmalı (düzenlemelere uyum veya etkilenebilecek tarafları zamanında haberdar etme ihtiyacı / kurum itibarının zedelenme riski) – Sistem - cihaz üzerinde güvenlik olayına karşı gerekli konfigürasyon ayarları yapılmalı veya yedeği ile değiştirilmeli mi / sistem - cihaz üzerinde adli bilişim analizi gerçekleştirilmeli mi (hizmet süreklilik ihtiyacı / suçluların belirlenmesi ve cezalandırılması ihtiyacı)
  • 5. Eğitim Kapsamı ve Temel Kavramlar Olay Müdahale Stratejisi • Değerlendirmede kullanılabilecek sorular: – Etkilenen sistemler ne kadar kritik? – İfşa olan veya çalınan bilgiler ne kadar hassas? – Potansiyel saldırganlar kimler? – Güvenlik olayı kamu tarafından biliniyor mu? – Saldırganın ulaştığı erişim seviyesi hangi düzeyde? – Saldırganın yetenekleri ne seviyede görünüyor? – Olay nedeniyle yaşanan sistem ve kullanıcı hizmet kesinti süresi ne kadar gerçekleşti? – Toplam mali kayıp ne düzeyde?
  • 7. CANLI ANALİZ Unix Sistemlerde Canlı Analiz Unix sistemler için önemli veri ve komutlar: • Sisteme bağlı kullanıcılar: w, who, last • Sistem zamanı: date • Çalışan prosesler: ps -ef (tüm prosesler için) • Ağ servisleri, bağlantı durumları ve ilgili prosesler: netstat -anp • IP adresleri, MAC adresleri ve ağ arayüzleri statüsü (promiscuous mod'da arayüz olup olmadığının tespiti için): ifconfig -a • /proc dizini altındaki kernel data structure'ları: Bazı Unix'lerde /proc dizini altında her bir proses için prosess ID'si (PID) ile bir dizin açılır. Bu dizin altındaki kernel veri yapıları içinde exe linki (çalıştırılan kod silinmiş olsa bile halen çalışıyorsa tekrar oluşturulmasına imkan verir), fd dizini (file descriptor: prosesin açtığı tüm dosyaları içerir) ve cmdline dosyası (kod çalıştırılırken komut satırında verilen parametreleri içerir) gibi kaynaklar analize katkı sağlayabilir.
  • 8. CANLI ANALİZ Windows Sistemlerde Canlı Analiz Windows sistemler için önemli veri ve komutlar: • Sisteme bağlı kullanıcılar: PsLoggedOn (sysinternals) • Sistem zamanı: date /t, time /t • Çalışan prosesler: PsList (sysinternals) • Ağ servisleri, bağlantı durumları ve ilgili prosesler: netstat -anb / fport (foundstone) • Mevcut ve yakın zamanda gerçekleşmiş bağlantılar: arp -a, nbtstat -c • Memory dump analizi (en güncel kaynakların incelenmesi gerekir) • (İhtiyaç duyulabilecek durumlarda) mevcut shell'den işletilen komutların listesi: doskey /history • Zamanlı işler: at
  • 9. ÖLÜ ANALİZ Disk Analizi Temel Kavramlar Disk analiz katmanları • Fiziksel disk analizi • Volume (partition) analizi (Volume'lara neden ihtiyacımız var?) • File System analizi • İşletim sistemi ve uygulama analizi Disk analizinde data structure'ların analizi için faydalı araç: R-Studio
  • 10. ÖLÜ ANALİZ Disk Analizi Temel Kavramlar Disk adresleme birimleri • Fiziksel adresleme (CHS - Cylinder, Head, Sector ve LBA - Logical Block Address) • Sector (genellikle 512byte) • Cluster (veya Block)
  • 11. ÖLÜ ANALİZ Disk Analizi Temel Kavramlar Disk arayüz ve kablolama standartları • ATA (IDE) Diskler: ATA-1, ATA-3, ATAPI-4, ATAPI-6, ATAPI-7 • SATA Diskler: Serial ATA (ATA-7 spesifikasyonunda belirtilmiştir) Kablo alan avantajı nedeniyle Laptop'larda genellikle gözlenir • SCSI Diskler: SCSI, Fast SCSI, Ultra/2/3/160/320 SCSI (sinyal tipleri SE-Single Ended, LVD-Low Voltage Differential, HVD-High Voltage Differential - HVD kablolar SE cihazlara zarar verebilir)
  • 12. ÖLÜ ANALİZ Disk Analizi Temel Kavramlar Diskte kullanılmayan alanlar: • Slack space (File Slack, RAM Slack) • Unallocated space • Free space
  • 13. ÖLÜ ANALİZ Disk Analizi Temel Kavramlar Bilgisayar boot süreci • ROM kodu • Bootable disk'in ilk sektöründe bulunan MBR-Master Boot Record (partition table'ı da içerir) • Sistem diski (partition'ı)'nin ilk sektöründe bulunan kod • File sistem içinde bulunan işletim sistemi kodu
  • 14. ÖLÜ ANALİZ Genel Ölü Analiz Teknikleri • Adli Bilişim Kopyalama – Fiziksel disk bazında (dd, dcfldd - Department of Defence Computer Forensics Laboratory version of dd) – Volume bazında • Gizli fiziksel alanlar: Host Protected Area, Device Configuration Overlay alanları • İmaj bütünlük kontrolü • Bütünlük kontrolünün uygulanma aralığı (imaj bazlı, volume bazlı, dosya bazlı, v.b.)
  • 15. ÖLÜ ANALİZ Genel Ölü Analiz Teknikleri • Delil diski forensic bilgisayarına bağlamadan yapılabilecek kopyalamalar (delil bilgisayarın özel boot diskleri ile açılmasını ve forensic bilgisayarında da ilgili yazılımın çalışmasını gerektirir): – Network üzerinden – Paralel veya seri portlar üzerinden • Forensic imaj araçları için yapılan yeterlilik test sonuçlarına http://www.cftt.nist.gov/disk_imaging.htm adresinden ulaşılabilir
  • 16. ÖLÜ ANALİZ Genel Ölü Analiz Teknikleri • Write Blocker'lar: – Donanım bazlı write blocker'lar (BIOS'u bypass eden erişimleri de engeller) (Donanım bazlı write blocker yeterlilik test sonuçlarına http://www.cftt.nist.gov/hardware_write_block.htm adresinden ulaşılabilir) – Yazılım bazlı write blocker'lar (Donanım bazlı write blocker yeterlilik test sonuçlarına http://www.cftt.nist.gov/software_write_block.htm adresinden ulaşılabilir) • Alınan imajın read-only yapılması: chmod 440 imaj.bin • Alınan imajın inceleme için loopback device olarak read-only mount edilmesi: mount -r -t vfat /dev/loopa /mnt/evidence
  • 17. ÖLÜ ANALİZ Genel Ölü Analiz Teknikleri • Bilinen İyi Dosyalar (Known Good Files) – Bilinen iyi dosyalar veritabanları (ör: http://www.nsrl.nist.gov) • Dosya tipi ile uzantısı uyuşmayan dosyaların analizi (Unix'teki file komutu dosya magic numaralarına göre dosya analizi yapmak için kullanılabilir) • Dosya (CRUD – “Create Read Update Delete” tarih analizi (Windows imajları için R-Studio'nun File Mask özelliği kullanılabilir))
  • 18. ÖLÜ ANALİZ Genel Ölü Analiz Teknikleri • Anahtar Kelime Arama • Anahtar kelime arama tekniğinin önündeki temel engeller şunlardır: – Kriptolanmış veya sıkıştırılmış dosyalar (kırılmaları ve açılmaları gerekir) – Özel dosya formatları içinde saklanan kayıtlar (.ost, .pst, veritabanı kayıtları, registry dosyaları, event logları, browser history dosyaları v.b.) – Büyük saklama alanları (her bir kelime arama tekrar tarama gerektireceğinden başlangıçta yapılacak bir indeksleme büyük fayda sağlayacaktır) – Unallocated ve free space'lerde tespit edilen kelimeler (carving yapılarak dosya yapısı oluşturulmaya çalışılır)
  • 19. ÖLÜ ANALİZ Genel Ölü Analiz Teknikleri • Silinen dosyaların recover edilmesi: – File system data structure'larından faydalanılarak – Dosya magic number'larından (header ve/veya footer değerlerinden) faydalanılarak file carving yöntemi ile
  • 20. ÖLÜ ANALİZ Unix Sistemlerde Ölü Analiz • Konfigürasyon dosyaları: – Trust ilişkilerinin tanımlandığı dosyalar: /etc/hosts.equiv ve kullanıcı home dizinlerinde bulunan .rhosts dosyaları – Tcpwrapper konfigürasyon dosyaları: /etc/hosts.allow ve /etc/hosts.deny dosyaları – Inetd daemon'ı tarafından kullanılan konfigürasyon dosyaları: /etc/services ve /etc/inetd.conf (veya inetd daemon'una linklenmiş tcpwrapper kullanılıyorsa /etc/xinetd.conf) dosyaları – Zamanlı işler için "crontab" dosyaları: /var/spool/cron, /usr/spool/cron gibi dizinlerde bulunabilirler – Unix boot startup dosyaları: /etc/rc.d veya benzeri dizinler altında bulunurlar – Kullanıcı startup dosyaları: Sistem türüne bağlı olarak kullanıcı home dizinleri altında bulunan .profile, .login, .bashrc, cshrc, .exrc gibi dosyalardır – NFS dizin paylaşımları: /etc/exports – Lokal DNS kayıtları: /etc/hosts 20
  • 21. ÖLÜ ANALİZ Unix Sistemlerde Ölü Analiz • Kullanıcı ve grup dosyaları: – Kullanıcı bilgileri ve parola hash'lerinin tutulduğu dosyalar: /etc/passwd ve /etc/shadow – Kullanıcı grup bilgilerinin tutulduğu dosya: /etc/group 21
  • 22. ÖLÜ ANALİZ Unix Sistemlerde Ölü Analiz • Analiz açısından önemli olabilecek diğer dosyalar: – Shell history dosyaları: .bash_history – Yüksek haklara sahip çalıştırılabilir dosyalar: SUID ve SGID dosyaları (özellikle /tmp dizini ve diğer anormal ve gizli dizinler içindekiler) – Normal olmayan gizli dizin ve dosyalar: Unix'te "." ile başlayan dizin ve dosyalar normal "ls" komutunda görünmez – /tmp dizini altındaki dosyalar: Öntanımlı olarak world writable olan /tmp dizini saldırgan tarafından dosyalarını saklama amaçlı kullanılabilir
  • 23. ÖLÜ ANALİZ Unix Sistemlerde Ölü Analiz • Anahtar kelime arama – İlgili Unix araçları: grep, find, strings
  • 24. ÖLÜ ANALİZ Windows Sistemlerde Ölü Analiz Registry Analizi • Registry dosyaları ve içerikleri: – NTUSER.DAT: Protected storage for user, MRU lists, User’s preference settings. – DEFAULT: System settings set during initial install of operating system. – SAM: Security settings and user account management. – SECURITY: Security settings. – SOFTWARE: All installed programs on the system and their settings associated with them. – SYSTEM: System settings.
  • 25. ÖLÜ ANALİZ Windows Sistemlerde Ölü Analiz Registry Analizi • Registry dosyalarının yerleri: – HKEY_USERS: Documents and SettingsUser ProfileNTUSER.DAT – HKEY_USERS/.DEFAULT: WINDOWSsystem32configdefault – HKEY_LOCAL_MACHINE/SAM: WINDOWSsystem32configSAM – HKEY_LOCAL_MACHINE/SECURITY: WINDOWSsystem32configSECURITY – HKEY_LOCAL_MACHINE/SOFTWARE: WINDOWSsystem32configsoftware – HKEY_LOCAL_MACHINE/SYSTEM: WINDOWSsystem32configsystem
  • 26. ÖLÜ ANALİZ Windows Sistemlerde Ölü Analiz Registry Analizi • İlginç olabilecek registry anahtarları: – Genel kullanıcı bilgileri – Time Zone bilgisi – Share edilmiş dizinler – Autorun anahtarları – Most Recently Used (MRU) listeleri (ör: Run diyaloğundan çalıştırılan komutlar, MS Office uygulamaları ile açılmış son dosyalar, Map'lenmiş ağ paylaşımları, Start Menü'de son açılmış uygulamalar, Remote Desktop ile son yapılan bağlantılar, Windows Explorer ile araştırılmış bilgisayarlar, UserAssist anahtarında saklanan uygulama isimleri ve kullanım sayıları bilgileri v.b.) – Wireless Networks bilgileri – LAN Computers: Paylaşımlarına bağlanılmış bilgisayarlar – USB cihazları ve Mount edilmiş cihazlar – Internet Explorer aktiviteleri (ör: TypedURLs, DownloadDirectory)
  • 27. ÖLÜ ANALİZ Windows Sistemlerde Ölü Analiz Registry Analizi • İlginç olabilecek registry anahtarları (devamı): – Windows Passwords (ör: protected storage'da saklanan parolalar: outlook tarafından saklanan POP3 parolaları, autocomplete parolaları, v.d. - bu parolalar PassView gibi araçlarla kırılabilmektedir) – Unread Mail: Tanımlı Outlook ve Outlook Express kullanıcıları ve okunmamış mail sayıları – Exchange sunucu ve kullanıcı ad bilgileri • Not: Bazı anahtarlar için ROT13 encoding yöntemi kullanılmaktadır. Bu kodlamayı decode etmek için bir anahtara ihtiyaç bulunmamakta ve online pek çok kaynak kullanılarak decode edilebilmektedir.
  • 28. ÖLÜ ANALİZ Windows Sistemlerde Ölü Analiz • Sistem kullanıcılarının ve gruplarının analizi için SAM dosyasının analizi • SID - Security ID (ör SID: S-1-5-21-1935655697-1659004503-725345543-500): • Son rakam RID - Relative Identifier olarak anılır. Bilinen RID'lere örnekler: – 500 (Administrator) – 501 (guest) – Normal kullanıcı RID'leri 1000'den başlar • LM parolala hash'lerinin kırılması: pwdump (türevleri), John the Ripper, L0phtcrack, PRTK (ticari) • Rainbow tabloları: http://www.objectif-securite.ch/en/products.php
  • 29. ÖLÜ ANALİZ Windows Sistemlerde Ölü Analiz • Windows autostart dosyalarının incelenmesi: – Autostart dizinleri (XP için C:Documents and Settings[user_name]Start MenuProgramsStartUp): Sistem başlatıldığında veya bir kullanıcı logon olduğunda çalıştırılacak zararlı yazılım veya zararlı yazılım linki bulunabilir – Win.ini (XP için C:Windowswin.ini): Yöntem-1: run=[backdoor] veya load=[backdoor], Yöntem-2: bir suffix'i (ör: .docx) zararlı bir yazılımla eşleştirmek – System.ini (XP için C:WindowsSystem.ini): shell=[zararlı yazılım.exe]. WinNT ve sonrasında bu parametre dikkate alınmaz – Wininit.ini (XP için C:WindowsWininit.ini): Yazılım kurulumlarında sistem reboot ettikten sonra çalıştırılacak kodlar için kullanılır.
  • 30. ÖLÜ ANALİZ Windows Sistemlerde Ölü Analiz • Recycle bin'deki dosyaların incelenmesi: – Recycle edilebilecek dosyalar (uzaktan silinen, komut satırından silinen dosyalar edilemez) her partition root'unun altında yer alan RECYCLER dizini altında ilgili dosyayı silen kullanıcı SID'sinden oluşan dizinler altında saklanır – Dosya isimleri şu formatta değiştirilir: D<orjinal sürücü harfi-ör: C><#>.<orjinal dosya uzantısı> – Dosya isim ve orjinal yer bilgisi INFO2 dosyasında belli bir formatta tutulur
  • 31. ÖLÜ ANALİZ Windows Sistemlerde Ölü Analiz • Daha önceden kurulmuş ancak silinmiş uygulamaların analizi: – Kopmuş linklerin analizi (uygulama silinmiş ancak linki kalmış olabilir): chklnks.exe (resource kit) – Registry anahtarları arasında uygulama adının aranması (uygun biçimde uninstall edilmemiş yazılımların registry anahtarları halen registry'de bulunabilir)
  • 32. ÖLÜ ANALİZ Windows Sistemlerde Ölü Analiz • Browser history dosyalarının analizi: – History dosyaları. Ör: Internet Explorer için: – %systemdir%Documents and Settings%username%Cookies – %systemdir%Documents and Settings%username%Local SettingsHistoryhistory.ie5 (altındaki index.dat dosyası) – Cache'lenmiş dosyalar (ör: Internet Explorer için %systemdir%Documents and Settings%username%Local SettingsTemporary Internet FilesContent.ie5 (altındaki index.dat dosyası)) – Download dizinleri (ör: FireFox için %systemdir%Documents and Settings%username%My DocumentsDownloads)
  • 33. ÖLÜ ANALİZ Windows Sistemlerde Ölü Analiz • Anormal ve gizli dosyaların analizi: – Hidden attribute'lü dosyalar – Alternate data stream'ler: SFind, streams – Dosya uzantısı ve dosya tipi karşılaştırmaları (dosya magic numaraları, header, footer değerlerini kullanarak) – Good Known File Filters (hash değerleri) kullanılarak sistem dosyaları veya ismi sistem dosyasına benzeyen dosyaların orjinal olup olmadıklarının incelenmesi (http://www.nsrl.nist.gov/)
  • 34. ÖLÜ ANALİZ Önde Gelen Araçlar • Ticari yazılımlar: – EnCase – FTK ve PRTK • Açık kaynak kodlu yazılımlar – The Sleuth Kit (ve web arayüz uygulaması Autopsy): String ve regular expression aramayı, silinmiş dosyaları recover etmeyi, dosya zaman bilgileri ile zaman çizgisi analizi yapmayı, known-good dosya hashleri ile karşılaştırma yapmayı destekler
  • 35. ZARARLI YAZILIM ANALİZİ Statik Analiz • strings komutu • MiTec ExeExplorer (import edilen fonksiyonlar, stringler, hex görüntü) • Decompiling - Disassembling – IDA Pro (Disassembler) – Dis# – JD Java Decompiler
  • 36. ZARARLI YAZILIM ANALİZİ Dinamik Analiz • Sysinternals – Process Monitor, aşağıdaki aktiviteleri izler: – Registry – File system – Network – Process • Registry farkı alma (http://sourceforge.net/projects/regshot/) • Debug etme: – Windows için: SoftICE – Unix için: strace • Dinamik analiz için online sandbox ortamı – http://mwanalysis.org
  • 37. LOG ANALİZİ Unix Logları syslog altyapısı • /etc/syslog.conf • Log konfigürasyon formatı: – Facility.Priority Action – Örnek: *.err;kern.debug;daemon.notice;mail.crit /var/adm/messages • auth mesajları (genellikle güvenlikle ilgilidir) • Uzaktaki bir sunucuda loglama ayarı – ör: auth.* @10.10.10.1
  • 38. LOG ANALİZİ Unix Logları Proseslere özel loglar • cron job logları (örnek lokasyon: /var/cron/log) • su (switch user) logları (bazı sistemlerde syslog altyapısı kullanılır) • xferlog (xftpd daemon'u için log dosyası, genellikle /usr/adm/xferlog lokasyonunda bulunur)
  • 39. LOG ANALİZİ Unix Logları Process accounting • "accton" komutu veya "startup" komutu (genellikle /usr/lib/acct/startup olarak bulunur) kullanılarak başlatılır • Process accounting log dosyaları binary formatta olduğundan "lastcomm" veya "acctcomm" komutları ile görüntülenebilir • Sistem yöneticisi tarafından değiştirilme riskleri düşüktür ancak silinebilirler
  • 40. LOG ANALİZİ Unix Logları Kullanıcı bağlantı logları • Aşağıdaki log dosyaları binary formatta tutulur: – utmp dosyası: “w” utility'si ile erişilir, o anda sisteme bağlı kullanıcıları içerir – wtmp dosyası: “last” utility'si ile erişilir, sistem kullanıcılarının login ve logout history'sini içerir – btmp dosyası: “lastb” utility'si ile erişilir, başarısız login denemelerini içerir 40
  • 41. LOG ANALİZİ Windows Logları Windows loglama altyapısı • Windows 9 ana kategori altında log tutar: – Logon/logoff - Lokal logon olayları, erişilen makinede gerçekleşen olaylar (kişisel bilgisayarıma kim logon etmiş / terminal server makinesine kimler uzaktan logon oldu?) – Account logon - Kimlik doğrulama olayları (domain'e kim ne zaman logon etmiş?) – Account management - Kullanıcı veya grup hesaplarında yapılan işlemler – Policy change - Audit Policy'de yapılan değişikliklerin takibi – System - Shutdown, startup gibi sistem olaylarının takibi – Process tracking - Uygulamaların ne zaman kim tarafından çalıştırıldığının takibi (belirtilen uygulamayı kim / ne zaman çalıştırdı?) – Object access - Sistem kaynaklarına yapılan erişimlerin takibi; Registry, File, Directory. Bu kaynaklara yapılan erişimler genellikle Event ID 560 ile takip edilir. (kim belirtilen dosyaya erişti / sildi?) Not: Object access loglarının tutulması için bu seçeneğin açık olması ve ilgili nesneler için de log konfigürasyonu yapılması gerekir. Öntanımlı olarak nesnelerin erişim logları otomatik olarak tutulmaz.
  • 42. LOG ANALİZİ Windows Logları Windows loglama altyapısı • Windows 9 ana kategori altında log tutar (devamı): – DS Object Access - Active Directory'ye erişimle ilgili olaylar – Privilege use - Kullanıcının sistem üzerinde yaptığı kalıcı değişiklikler, örneğin sistem tarihinin değiştirilmesi
  • 43. LOG ANALİZİ Windows Logları Windows loglama altyapısı • Eventlog dosyaları – Loglar Vista öncesi sistemlerde %WINDIR%System32config dizini altındaki ".evt" uzantılı dosyalarda, Vista'dan itibaren %WINDIR%System32winevtLogs dizini altında saklanır – Event loglarına Windows çalışırken sadece WIN32 API ve EventViewer uygulaması ile ulaşılabilir • Log tutma politikası – Maximum log size (300MB'ı geçmemesi önerilir, sınır 2GB'tır) – When maximum log size is reached (Overwrite events as needed önerilir)
  • 44. LOG ANALİZİ Windows Logları Windows loglama altyapısı • Windows EventID'leri – Vista ve sonrası için EventID formülü: EventID(WS03) + 4096 = EventID(WS08) • İstisnalar: – Logon success event'leri: (540, 528) -> 4624 (=528+4096) – Logon failure event'leri: (529-537, 539) -> 4625 (=529+4096)
  • 45. LOG ANALİZİ Windows Logları Windows loglama altyapısı • İlginç eventler – 512 / 4608 Startup – 513 / 4609 Shutdown – 528 / 4624 Logon – 538 / 4634 Logoff – 551 / 4647 Begin_Logoff (kullanıcı logoff başlattı) – N/A / 4778 Session_Reconnected – N/A / 4779 Session_Disconnected – N/A / 4800 Workstation_Locked – N/A / 4801 Workstation_Unlocked – N/A / 4802 Screensaver_Invoked – N/A / 4803 Screensaver_Dismissed
  • 46. LOG ANALİZİ Windows Logları Windows loglama altyapısı • Kullanıcı yönetimiyle ilgili eventler: – 624: Yeni kullanıcı tanımlama – 626: Kullanıcıyı enable etme – 636: Bir kullanıcı grubunda değişiklik yapma (ör: Administrators grubuna kullanıcı ekleme) – 642: Kullanıcı hesabında değişiklik
  • 47. LOG ANALİZİ Windows Logları • Logon tipleri – 2 tip kullanıcı hesabı bulunur: – Lokal hesaplar – Active Directory (Domain) hesapları – 2 tip logon yapılır: – Interactive (etkileşimli) – Network (uzak)
  • 48. LOG ANALİZİ Windows Logları • Domain kullanıcısı ile kişisel bilgisayara giriş ve file server'a erişme senaryosu: – A/D'de "Account Logon" eventi (680) – Kullanıcı bilgisayarında "Logon" eventi (528-lokal) ve "Logoff" eventi (538) – File serverda "Logon" eventi (540-network) ve "Logoff" eventi (538) • Lokal kullanıcı ile kişisel bilgisayara ve file server'a giriş senaryosu: – Kullanıcı bilgisayarında "Account Logon" eventi (680) – Kullanıcı bilgisayarında "Logon" eventi (528-lokal) ve "Logoff" eventi (538) – File serverda "Account Logon" eventi (680) – File serverda "Logon" eventi (540-network) ve "Logoff" eventi (538)
  • 49. LOG ANALİZİ Windows Logları • Windows event loglarının uzakta saklanması – Windows Vista altındaki sistemler syslog logları gibi uzakta saklama imkanı sağlamaz. Bunun için üçüncü taraf yazılımlar kullanılması gereklidir. Windows Vista ve üzeri işletim sistemleri event loglarını gönderme imkanı sağlarlar (http://technet.microsoft.com/en-us/library/cc748890.aspx) • Windows firewall loglarının analizi: – Firewall log dosyası genellikle C:WINDOWSpfirewall.log dosyasında bulunur
  • 50. LOG ANALİZİ Uygulama Seviyesindeki Loglar • Web sunucu logları. Örnek loglanabilir alanlar: – Client IP Address – Server IP Address – Server Port – Method – URI Stem – URI Query – HTTP Status – Bytes Sent – Bytes Received – Host – User Agent – Cookie – Referrer
  • 51. LOG ANALİZİ Uygulama Seviyesindeki Loglar • DHCP logları. DHCP log alanları: – ID – Date – Time – Description – IP Address – Host Name – MAC Address
  • 53. AĞ TEMELLİ ANALİZ Ağ Teknolojisi ve Dinleme • TCP/IP • Ağ Servisleri • Sniffer’lar • Sessiz Sniffer (yüksek güvenlik ihtiyaçları için) – Adres çözümleme yapan yazılımlar ARP, NetBIOS, DNS trafiği üretir – Sniffer yazılımlarının da açıklıkları vardır – Yazılım çözümleme yapmayacak şekilde konfigüre edilebilir – Ağ arayüzünde ARP, NetBIOS protokolleri geçersiz hale getirilebilir – Transmit tellerinin iptal edilmiş kablolar kullanılabilir
  • 54. AĞ TEMELLİ ANALİZ Ağ Temelli Analizin Hedefleri • Olay sonrası için: – Bir bilgi güvenliği olayı ile ilgili şüpheleri doğrulamak veya ortadan kaldırmak – Adli bilişim analizi için ek bilgi temin etmek – Saldırının eriştiği hedef kapsamını belirlemek – Saldırıya karışan tarafları tespit etmek – Ağ üzerinde olan olayların zaman çizgisini oluşturmak • Olay tespiti için: – Ağ üzerindeki anormallikleri analitik yöntemlerle (istatistiksel değişimlerle) ve alarm verisi ile tespit etmek
  • 55. AĞ TEMELLİ ANALİZ Ağ Temelli Analiz Kategorileri Alarm Verisi • IDS alarmları • Örnek Snort kuralı: – alert tcp any any -> 192.168.1.0/24 111 (content:"|00 01 86 a5|"; msg: "mountd access";) – alert tcp 172.16.1.7 any -> any any (msg: "Outbound connection attemp from Web server"; flags: S;)
  • 56. AĞ TEMELLİ ANALİZ Ağ Temelli Analiz Kategorileri Oturum Verisi • Kaynak IP, Hedef IP, Kaynak Port, Hedef Port, Gönderilen Veri, Alınan Veri, Bağlantı Durumu • Ağ kullanım istatistikleri: MRTG, NTOP, v.b. • Flow veri formatları: – Cisco Netflow verisi – Argus Flow verisi (açık kaynak kodlu) • Tam içerik verisinden oturum bilgisi çıkarma: Wireshark, argus gibi ağ interface'ini dinleyerek oturum verisi üretebilen araçlar ve tcptrace gibi araçlar tam içerik verisini barındıran dosyaları okuyarak oturum verisi üretebilir
  • 57. AĞ TEMELLİ ANALİZ Ağ Temelli Analiz Kategorileri Tam İçerik Verisi • Araçlar: – Tcpdump – wireshark (GUI), tshark (Command Line, yani scriptable) • Tüm ethernet frame'inin kaydedilmesi için "tcpdump" için "-s 1514" opsiyonunun kullanılması gerekir. Öntanımlı paket kayıt boyutu 68 byte'tır. • "tcpdump" kullanımında "-n" opsiyonunun kullanılması name resolution'ı (reverse DNS sorgularını) ve port numaralarının bilinen servis isimlerine çevrimini engelleyerek sadece numerik verileri görüntülemesini sağlayacaktır
  • 58. AĞ TEMELLİ ANALİZ Ağ Temelli Analiz Kategorileri Tam İçerik Verisi • Unix platformlar için ayrıntılar: – Unix sistemlerde arp desteği olmadan bir arayüzü ayağa kaldırmak için: ifconfig eth0 up -arp – Unix sistemlerde bir prosesi background'da çalıştırmak için: komut sonuna "&" işareti eklenir – Unix sistemlerde komutun ilgili kullanıcı logout olması durumunda dahi çalışması için: "nohup komut &" şeklinde komutun çalıştırılması
  • 59. AĞ TEMELLİ ANALİZ Ağ Temelli Analiz Kategorileri Tam İçerik Verisi • Ağ üzerinden iletilen verinin yeniden oluşturulması – TCPFlow (ör: # tcpflow -v -r sample1.lpc port 21) – Wireshark (Follow TCP Stream aracı) – Networkminer (http://www.netresec.com/?page=NetworkMiner) – Dataecho (http://sourceforge.net/projects/data-echo/)
  • 60. AĞ TEMELLİ ANALİZ Ağ Temelli Analiz Kategorileri Tam İçerik Verisi • Tam içerik hacminin takibi için: – Unix sistemlerde: df –h – Windows sistemlerde: treesizefree (DEFT-Extra içinde de yer almaktadır) • CPU kullanım oranlarını izlemek için: – Unix sistemlerde: top – Windows sistemlerde: TaskManager
  • 61. AĞ TEMELLİ ANALİZ Ağ Temelli Analiz Kategorileri Tam İçerik Verisi • Genel kabul görmüş paket saklama formatı – pcap (libpcap ve winpcap kullanan yazılımlarca üretilir) – Paket dosyalarını zaman aralığı veya dosya büyüklüğüne göre bölerek saklama • Sniffer filtreleri (Berkeley Packet Filter formatı) – Basit örnek: – ip host ace and not helios (ace sunucusunun gönderici veya alıcı olduğu ancak helios sunucusunun gönderici veya alıcı olmadığı IP paketlerini yakalamak için) – Daha ince detaylı örnek: – gateway snup and ip[2:2] > 576 (gateway "snup" aracılığı ile gönderilmiş ve uzunluğu 576 byte'tan daha yüksek IP paketlerini yakalamak için)
  • 62. AĞ TEMELLİ ANALİZ Ağ Cihazları Logları • AAA logları (TACACS ve RADIUS sunucuların kullanıldığı durumlarda) • Syslog logları • snmp ile toplanan bilgiler • Firewall logları
  • 63. OTURUM 3 Adli Bilişim Altyapısı İçin Hazırlık
  • 64. ADLİ BİLİŞİM ALTYAPISI İÇİN HAZIRLIK Bilgisayar Analizi İçin Hazırlık Donanım ihtiyaçları • Temiz ve yeterli büyüklükte saklama cihazları • Write-blocker • Delil disklere uygun connector ve kablolar • Fotoğraf makinesi • Delil saklamak için uygun antistatik torbalar, kasalar, etiketler • CPU gücü ve RAM kapasitesi yüksek bilgisayar(lar) • Hızlı CD / DVD sürücüleri / yazıcıları • Gerekirse yedek kasetleri ve yedek sürücüleri • Elektrik kablo uzatma araçları • Çokça Cat5 veya üzeri kablo ve hub'lar
  • 65. ADLİ BİLİŞİM ALTYAPISI İÇİN HAZIRLIK Bilgisayar Analizi İçin Hazırlık Donanım ihtiyaçları • Çokça yazılabilir CD ve DVD • Etiketler / CD kalemi • Bilgisayar tornavida seti • Yedek güç araçları (UPS, yedek laptop pili, v.b.) • Kanıt saklama zinciri (chain of custody) formları • Yedek çantalar • Donanım temini için adres: http://www.forensic-computers.com/
  • 66. ADLİ BİLİŞİM ALTYAPISI İÇİN HAZIRLIK Bilgisayar Analizi İçin Hazırlık Yazılım ihtiyaçları • Forensic duplication yazılımları • Forensic analiz yazılımları • Canlı analiz için güvenilir işletim sistemi komutları (Unix komutları için mümkünse statik linklenmiş) ve analiz uygulamaları – Unix için hazırlanabilecek örnek uygulamalar / komutlar: ls, dd, des, file, pkginfo, find, icat, lsof, md5sum, netcat veya cryptcat, netstat, pcat, perl, ps, strace, strings, truss, df, vi, cat, more, gzip, last, w, rm, script, bash, modinfo, lsmod, ifconfig – Windows için hazırlanabilecek örnek uygulamalar / komutlar: cmd.exe, PsLoggedOn (sysinternals), rausers (resource kit), netstat, FPort (foundstone), PsList (sysinternals), ListDLLs (sysinternals) ya da Process Explorer (proses ve ilişkileri analiz için GUI uygulama - sysinternals), nbtstat, arp, kill (resource kit), md5sum (cygwin), rmtshare (resource kit), netcat veya cryptcat, PsLogList (sysinternals), ipconfig, PsInfo (sysinternals), PsFile (sysinternals), PsService (sysinternals), auditpol (resource kit), doskey
  • 67. ADLİ BİLİŞİM ALTYAPISI İÇİN HAZIRLIK Bilgisayar Analizi İçin Hazırlık Yazılım ihtiyaçları • Bootable linux dağıtımları (DEFT, Helix veya diğer linux dağıtımları) • Canlı analiz için geliştirilmiş özel yazılımlar: – Nirsoft (ör: IEHistoryView, USBDeview, WhatInStartup, PassView) – Sysinternals (ör: Process Monitor, AccessEnum, PsTools) – Foundstone (ör: Fport, BinText, Rifiuti) – Registry fark takibi için yardımcı uygulamalar (ör: regshot) – Password dumper yazılımlar (ör: LSASecretsDump, pwdump6, VNCPassView) • Windows Resource Kit uygulamaları (ör: rausers, rmtshare, auditpol, kill gibi) • Port scanner, application mapper yazılımlar • Parola kırma yazılımları, rainbow tabloları r (ör: LSASecretsDump, pwdump6, VNCPassView)
  • 68. ADLİ BİLİŞİM ALTYAPISI İÇİN HAZIRLIK Bilgisayar Analizi İçin Hazırlık Yazılım ihtiyaçları • Dosya kripto kırma yazılımları • Çeşitli formatta imajları görüntüleyebilen viewer uygulamalar • Çeşitli formatta e-posta arşivlerini açabilen e-posta istemcileri • Online kaynaklara erişebilmek ve araştırma yapabilmek için internet bağlantısı • Canlı analiz için önceden hazırlanmış script'ler (Windows ve Unix ortamlar için) • Sanal makine ortamları (ör: VMWare) • Raw (ör: OSFMount) ve sanal makine imajlarını (VMWare Disk Mount) mount etmek için yardımcı yazılımlar • Raw imajları VMWare disklerine çevirmek için ProDiscover Basic • Registry analizi için: AccessData (ticari) Registry Viewer, Prodiscover Basic Registry Viewer (Windows dizini üzerinden seçilir), RegRipper scriptleri
  • 69. ADLİ BİLİŞİM ALTYAPISI İÇİN HAZIRLIK Bilgisayar Analizi İçin Hazırlık Saldırıya hazırlık için kritik dosyalar için bütünlük kontrollerinin yapılması • Kritik dosya hash'lerinin saklanması • Host based IDS'ler
  • 70. ADLİ BİLİŞİM ALTYAPISI İÇİN HAZIRLIK Ağ Temelli Analiz İçin Hazırlık Donanım ihtiyaçları • Monitor port ayarı yapılabilecek güçlü switchler • Tap cihazları • Sniffer yazılımını çalıştıracak ve gelen ağ genişliğini karşılayabilecek interface'e sahip bilgisayar • Tam veri analizi yapabilmek için yeterli büyüklükte saklama ortamı
  • 71. ADLİ BİLİŞİM ALTYAPISI İÇİN HAZIRLIK Ağ Temelli Analiz İçin Hazırlık Yazılım ihtiyaçları • Alarm verisi üretmek için IDS yazılımı • Oturum verisi üretmek için flow verisi (Cisco netflow veya farklı flow verisi üretebilir) üreten yazılım • İçerik verisi analizi ve/veya ağ üzerinden iletilen veri ve dosyaların oluşturulabilmesi için gerekli yazılımlar
  • 72. ADLİ BİLİŞİM ALTYAPISI İÇİN HAZIRLIK Ağ Temelli Analiz İçin Hazırlık İzlenebilir bir ağ topolojisi • Ağ bölümlemesi • Erişim kontrolleri • Choke point'ler (http trafiğinin proxy üzerinden geçirilmesi gibi) • Ağ erişim kontrolü (NAC) • Merkezi loglama altyapısı (TACACS, RADIUS, v.b.)
  • 73. ADLİ BİLİŞİM ALTYAPISI İÇİN HAZIRLIK Ağ Temelli Analiz İçin Hazırlık Ekip ve eğitim imkanları • Temel ağ yönetimi ve güvenliği eğitimi • Disk temelli forensic teori ve araç kullanım eğitimleri • Olay müdahale süreç eğitimi 73
  • 74. ADLİ BİLİŞİM ALTYAPISI İÇİN HAZIRLIK Ağ Temelli Analiz İçin Hazırlık Log ve sistem altyapısı • Ortak zaman sunucu kullanımı • Log korelasyonu ve anahtar kelime arama imkanları • Sistemlerden bağımsız saklama ortamı kullanma • Log normalizasyonu, IP, NetBIOS ve diğer isimlendirmelerin kullanımı • Active Directory'den karşılığı alınan SID'ler için isim bilgilerinin saklanması (Event Viewer SID tutar ve kullanıcı adı bilgisini görüntülendiğinde AD'den sorgular) • Log yedekleme altyapısının oluşturulması • Sistem ve konfigürasyon yedeklerinin saklanması
  • 75. BTRisk Hakkında 2009 yılında kurulmuş ve sadece bilgi güvenliği hizmetlerine odaklanmış olan BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri bilgi güvenliği problemine yönetim kurulu seviyesinden sistem odası uygulamasına kadar uzanan alanda çözüm üretmektedir. BTRisk bilgi güvenliği problemini görünür hale getirerek algılanmasını, anlaşılmasını ve dolayısıyla ele alınmasını mümkün hale getirmektedir. BTRisk bilgi güvenliği problemine karşı geliştirdiği yaklaşımları gerçek hayat koşullarında test etmiş ve uygulanabilir hale getirmiştir. Bilgi güvenliği ve BT yönetişim hizmet alanlarımız aşağıdaki gibidir: Pentest Hizmetleri Bilgi Güvenliği ve BT Yönetişim Hizmetleri Bilgi Güvenliği Operasyon Hizmetleri Teknik Güvenlik Denetim Eğitimleri Yönetişim ve Denetim Eğitimleri Özgün ürünlerimiz aşağıdaki gibidir: 5651 Uyumlu Wi-Fi ve Kablolu Bilgi Güvenliği Risk Analizi Tek Kullanımlık Parola Ağ Hotspot Çözümü ve Denetim Uygulaması Çözümü