ibrahim balic cyber-weapons

• Ben Kimim?• Siber Silahlar

• Siber Silah nedir?• Flame & Stuxnet & Black Energy• Neden Siber Silah?• Siber Silah Endüstrisi

• Alıcılar ve Satıcılar• Dengelerin Değişimi• Yasal Düzenlemeler

• Siber Silah Üretimi• 0-Days• Research Lab (0-Day Research)

• Örnekler• Sorular?

Agenda

1

• Güvenlik Araştırmacısı (10 yıldır) @ Baliç Bilişim • Beyaz Şapkalı Hacker @ Apple, Facebook, Opera, Google etc. • Misafir Öğretim Görevlisi (1 dönem Android) @ Kocaeli Üniversitesi • Danışman (3 Ay) @ Savunma Sanayii Müsteşarlığı

Who am I?

2

Who am I?

3

Who am I?

4

Realiyt. (:

Who am I?

5

Who am I?

6

Who am I?

7

21 GÜN KAPALI KALDI.

Who am I?

8

Who am I?

9

2013 yılında Google Play’ın 2 gün kapanma vakası

Who am I?

10

Zaman içerisinde değişenler

11

Cyber Weapons

Siber Silah nedir?

12

“Siber Silah bir sistem üzerinde izleme, bilgi toplama veya hedef sistemi çalışmaz hale getirebilecek herhangi bir

yöntem veya araç için kullanılan bir tanımdır.”

13

Flame

“2012 yılında tespit edilen Flame, Ortadoğu ülkelerini hedef alan ve 2008 yılından beri varlığını sürdürdüğü raporlanan

en güçlü siber silahlardan biridir.”

14

Flame

15

Stuxnet

“2010 yılında tespit edilmiş olan Stuxnet, Iran’nın nüklüer santrellerine yönelik oluşturulmuş, hedef odaklı siber

silahlardan biridir.”

16

Black Energy

“2007 yılında rastlanan ilk varyasyonundan sonra 23 Aralık 2015 günü Ukrayna’da elektriklerin gitmesine sebep

olarak kendini hatırlatmıştır.”

Siber Silahlar ve Savunma

17

18

Neden Siber Silah?• Maliyeti düşüktür.• Etki alanı yüksektir.• Kavramsal olarak bir silaha göre daha işlevseldir.• ...

19

Neden Siber Silah?

600 bin ile 1 milyon dolar

1,550 mi; 2,500 km

Birim fiyatı 40 bin dolar

- km

20

Neden Siber Silah?

21

Neden Siber Silah?

600 bin ile 1 milyon dolar

Birim fiyatı 40 bin dolar

22

Neden Siber Silah?

23

Siber Silah Endüstrisi

“4 Milyar Dollar”2014-2024

• Defensive Siber Silahlar

• Offensive Siber Silahlar

24

Kim bu alıcılar?

DevletlerDevletlerDevletler

Illegal ögütlerŞirketler

Siber Silah Endüstrisi

25

Kim bu satıcılar?

>>>>>> Hackers <<<<<<<

Siber Silah Endüstrisi

26

Siber Silah Endüstrisi

27

Siber Silah EndüstrisiGamma International firmasının HACKLENMESİ.

2014 Yılı Ağustos ayında 40 gb veri paylaşıldı. Casus yazılımların kaynak kodları, okümanları…

28

Siber Silah EndüstrisiGamma International firmasının HACKLENMESİ.

Gamma International ve FinFisher Casus yazılımı.

29

Siber Silah EndüstrisiGamma International firmasının HACKLENMESİ.

FinFisher Casus yazılımı Mısır devletinin faturası.

30

Siber Silah EndüstrisiHacking Team firmasının HACKLENMESİ.

İtalyan firmasının 2015 Yıl Temmuz ayında 400 GB verisi paylaşıldı.

+Çok sayıda 0day

+Tüm kullanıcı mailleri

+Firma faturaları

+Türk Polis İstihbaratının 440.000 bin Euro civarında fatura kestiği görüldü.

31

Siber Silah EndüstrisiHacking Team firmasının HACKLENMESİ.

32

Siber Silah EndüstrisiHacking Team firmasının HACKLENMESİ.

33

Nasıl bu kadar etkili olabilirler?

Siber Silah Endüstrisi

“Stuxnet için yapılan analiz raporlarında 4 adet farklı 0-Day’e rastlandığı belirtilmektedir.”

CVE-2008-4250CVE-2010-2568CVE-2010-2729

34

Wassenaar Arrangement

Siber Silah Endüstrisi

Avrupa Exploit’ten korunabilmek için dış ticaretini kontrol etmek

istiyor.

Exploit geliştirme eğitimlerini EU vatandaşı olmayanlara veremiyoruz.

Devletlerin bazı yasal düzenlemeleri

35

Siber Silah Endüstrisi

Devletlerin bazı yasal düzenlemeleri

Wassenaar Arrangement

36

0-Day Kavramı

37

0-Day Nedir?

“0-day olarak adlandırılan sıfırıncı gün güvenlik zafiyetleri, Gün yüzüne çıkmamış yani bilinmeyen güvenlik zafiyetleri

için kullanılan bir tanımdır.”

38

0-days Research Labs

0-Day Nedir?

39

0-days Research Labs

40

0-days Research Labs

0-Day

41

0-Day Nedir?

“Güvenlik raporlarında, FBI’ın Çocuk pornosu operasyonunda Firefox 0-Day kullanarak suçluları

yakaladığı belirtilmekte.“

CVE-2013-1690

42

0-days Research Labs

Research Lab (0-Day Research)

İhtiyaçlarınız

• 1 Adet Bilgisayar• 1 Adet Web Browser• 1 Adet fuzzer (Grinder, Peach vs)• Olabildiğince çok bilgi ve tecrübe• Biraz şans

43

Research Lab (0-Day Research)

“Sistem veya Uygulama Fuzz edilirken kullanılan herhangi bir uygulama veya

script için Fuzzer tanımı kullanılmaktadır.”

Fuzzing

Fuzzer

“Fuzzing, güvenlik araştırmacılarının uygulamalara yönelik; rastgele veya odaklı olarak oluşturdukları bir test tekniğidir. Bu kapsamda yapılmış

olunan teste Fuzzing veya Fuzz Testing denir.”

44

Research Lab (0-Day Research)

5 Fuzzer

45

Research Lab (0-Day Research)

46

Research Lab (0-Day Research)Crash Report

47

Research Lab (0-Day Research)

Exploitable Kontrol

Crash Report

48

Research Lab (0-Day Research)

Exploit Development

Exploitable Kontrol

Crash Report

49

Research Lab (0-Day Research)

o artık siber silah...

50

CVE-2010-3962 (Örnek)Tür : Use-after-freeEtkilenenler : Microsoft Internet Explorer 6, 7 ve 8Exploitable : Evet

51

CVE-2010-3962 (Örnek)

Exploit : Matteo Memelli, ryujin@offsec.com

Shellcode, sistem üzerinde çalıştırıldığında 4444 nolu portu açacak şekilde oluşturuldu.

52

CVE-2010-3962 (Örnek)

http://ibrahimbalic.com/exp/test1.html

53

CVE-2010-3962 (Örnek)

Sızılan sistemdeki kullanıcılar.

Sızılan sistem.

Sızılan sistemin local ipsi.

54

CVE- 2010-0188 (Örnek)Tür : Unspecified vulnerabilityEtkilenenler : Adobe Reader and Acrobat < 8.x, 8.2.1 ,9.x ,9.3.1Exploitable : Evet

55

CVE- 2010-0188 (Örnek)

56

Mobil RAT (Örnek)

57

Sorusu Olan?

Teşekkürler

http://www.ibrahimbalic.comibrahim@balicbilisim.com