HONEYPOT Hakkında Yazımızda Honeypot (Balküpü) teknolojisini detaylıca anlatmaya çalışacağız. Anlatıma şu soruyla başlayabiliriz. Nedir bu Honeypot ? Honeypot sistemimize yapılan saldırıları tespit etmek, yavaşlatmak ve gerçek sistemimizi kamufle etmek için kullanılan bir teknolojidir.Ayrıca çağımızda hızla yenilenen teknoloji ile buna paralel olarak keşfedilen yeni saldırı tekniklerini analiz etmek amacıyla da kullanılabilen bir teknolojidir. Peki neden balküpü […]
]]>Yazımızda Honeypot (Balküpü) teknolojisini detaylıca anlatmaya çalışacağız. Anlatıma şu soruyla başlayabiliriz. Nedir bu Honeypot ? Honeypot sistemimize yapılan saldırıları tespit etmek, yavaşlatmak ve gerçek sistemimizi kamufle etmek için kullanılan bir teknolojidir.Ayrıca çağımızda hızla yenilenen teknoloji ile buna paralel olarak keşfedilen yeni saldırı tekniklerini analiz etmek amacıyla da kullanılabilen bir teknolojidir. Peki neden balküpü denmiştir ve altında yatan felsefe nedir ? Bu sorunun cevabı ise tahmin ettiğiniz gibi kolaydır. Balküpü dışarıdan bakıldığında güzel bir görünüme sahip ve ele geçirmek için cezbedici bir özelliğe sahiptir. Fakat içinde nelerin olduğunu bilemeyiz. Örneğin bir canlı içinden ballar akan güzel kokulu bir balküpüne saldırmak istediğinde içinde tehlikelerle dolu zararlı arılarla karşılaşacağını bilemez. İşte doğadaki bu mantığın teknolojiye ve günümüzde giderek çoğalan siber saldırılara uygulanmış halidir honeypot teknolojisi.
Saldırgan sistemimize saldırmak istediğinde karşısında bizim konfigüre ettiğimiz bir sistem görünür. Saldırgan belirlediğimiz sistemi gerçek bir sistem sanarak saldırmayı dener. Bu süre içerisinde konfigüre ettiğimiz honeypot sistemi devreye girer. Saldırganın hareketlerini, saldırı tekniğini loglamaya başlar. Böylelikle saldırganın nereden ve hangi teknikle saldırmış olduğunu öğrenerek sistemimizde gerekli güvenlik önlemlerini almaya çalışırız.
Honeypotlar kendi içlerinde şu şekilde sınıflandırılabilirler;
Üretim Honeypotları: Bunlar düşük etkileşimli honeypotlardır. Kurulumu ve kullanımı kolay daha az maliyet gerektiren sistemlerdir. Örneğin sanal makinalarda kurulum ve kullanım olabilir. Fakat analiz ederken uygulamalar limitli olduğu için bu sistemler kısıtlı cevaplar verebilir. Saldırgan tespit edilemeyebilir.
Araştırma Honeypotları : Daha çok büyük ve kurumsal yerlerde kullanılabilir. Bu honeypotların kurulumu,kullanımı ve bakımı zordur. Daha çok fiziksel gerçek makinalarla veya sistemlerle kurulurlar. Araştırma honeypotları saldırganın her hareketini, tekniğini analiz etmek amacıyla kullanılabilir. Yukarıda belirttiğimiz gibi bu ataklara karşı savunma teknikleri geliştirmek için faydalıdır .Maliyeti de üretim honeypotlarına göre fazladır.
Yazımızda nelerden bahsedeceğimizi aşağıdaki alt başlıklardan görelim.
Bunların haricinde değineceğimiz bazı yazılımlar aşağıdaki gibidir;
Honeypotlar hakkında verdiğimiz bilgilerde çalışma mantığınının çoğu kısmını anlatmış olduk. Ama yinede nasıl çalışır, neler kullanır, yöntemi nedir bir göz atalım.
Honeypotlar yaptığı büyük işlerin aksine öyle karmaşık kurgulanmış algoritmalara sahip değildir. Gayet basit bir mantığı vardır. Honeypotların çalışma mantığı IDS(Intrusion Detection System) saldırı tespit sistemlerinin çalışma mantığı ile paraleldir. Belirlediğimiz portta çalışan servislere yapılan saldırıları analiz ederek bize log kayıtlarını gösterebilir. Saldırgan bir exploit yolladığında bunu antivirüs yardımıyla analiz edebilir. Kullanım alanlarına göre birçok şekilde konfigüre edilebilirler. Örneğin spam hareketlerini tespit etmek için dahi kullanılabilirler.
Başka bir örnek ise büyük bir kuruluş içerisinde farklı ağ yapıları bulunabilir. Saldırgan atak yapmaya başladığında honeypot olmayan bir ağa sızmayı denediğinde bu bir zafiyet oluşturabilir. Bunun içinde birçok honeypot’u farklı ağlarda konfigüre ederek bir honeypot ağıda kurulabilir. Bu tarz sistemlere HoneyNet denir. Honeypotların en büyük avantajı zor tespit edilebilmesi ve gerçek bir sistemmiş gibi konfigüre edilen tuzak sistemler olmasıdır. Dezavantajı ise saldırgan honeypot veya honeynet sistemlerine değinmeden asıl sisteme ulaşmış olabilir veya direk olarak asıl sisteme saldırabilir. Bu yüzden honeypot sistemlerini iyi konfigüre etmeli ve güvenlik kurgusunu iyi oluşturmalıyız.
Böylelikle honeypotların çalışma mantığını bir nebze olsun anlamaya çalıştık.Önemli kısmı tekrar belirtmek gerekirse sistemlerimize yapılan saldırı tekniklerini öğrenmek, saldırganın nerelere saldırmak istediğini analiz etmek hangi yöntemlerle hangi verilere ulaşmak istediğini tespit edip ona göre önlem almaktır. Bu kısımda threat intelligence(Tehdit istihbaratı) konusuna da değinmemiz gerekir. Bir sonraki alt başlıkta tehdit istihbaratını anlatmaya çalışalım.
İstihbarat yani bilgi toplama geçmişten günümüze kadar sürekli olarak değer kazanmıştır. Günümüzde bilgi çok önemli bir güçtür. Yeri geldiğinde güçlü bir silah yeri geldiğinde savunmak için kullanılan bir etkendir. İstahbarat ise elde edilen bilgiyi analiz etmek, ihtiyaçlara göre yoğurarak kesin bir veri elde etmektir. İşte bu kısımda işin içine siber tehdit istihbaratı girmektedir. Bu konu için aşağıda linkini vereceğimiz sunumda ayrıntılı bir anlatım vardır ve bu sunumdaki güzel bir konuya değineceğiz. İlk olarak linki paylaşalım;
http://www.slideshare.net/bgasecurity/her-ynyle-siber-tehdit-stihbarat-60105829
Burada yazar Mehmet Kılıç güzel bir noktaya değinmiştir. Nedir bu konu ? 5N1K nedir başlıkları şöyle bir inceleyelim.
Honeypot’u neden kullanmak gerektiğini açıklayan başlıklar işte bunlardır.
Bu soruların cevaplarını elde etmek için honeypot sisteminden yararlanabiliriz. Siber tehdit istihbaratı bu yüzden önemlidir. Mesela honeypot sisteminde saldırganın kim olduğunu analiz edebiliriz. Daha sonra hangi saldırı türünü kullandığını ve nereye saldırdığını öğrenme şansımız olabilir. Saldırırken çalışan servislerde ne tür exploitler deniyor, hangi şifrelerle brute force attack yapıyor bunları grafiksel hale dökerek bile inceleyebiliriz. Bu verileri inceledikten sonra ne olacak diye bir soru sorabiliriz. Bu verileri inceledikten sonra gerekli analiz yapılarak sistemimizde bu ataklara karşı bir zafiyet varmı diye kontrol edebiliriz. Örneğin kolay parola zafiyeti veya local root exploit zafiyeti gibi zafiyetler varmı diye kontrol edebiliriz. Daha sonra gerekli savunma faaliyetlerini, sıkılaştırmaları sistemimizde yapabiliriz. Honeypot konusunda siber tehdit istihbaratı noktasına da böylelikle değinmiş olduk.
Şimdi Honeypot uygulaması ve aşamalarını incelemeye çalışalım.
Genel işleyişe bakıldığında , sanal cihazlar kullanılarak ağda yer alacak yönlendiriler, istemciler ve sunucular yaratılmaktadır. Bu süreç 4 aşamadan oluşmaktadır;
FreeBSD Jail : Birbirinden bağımsız , düşük kaynak tüketimli sanal sistemler oluşturmaya yarayan bir sanallaştırma sistemidir. Sistemler gerçek bir sistemin sağlayabildiği birçok özelliği sağlayabilmektedir. Honeypot ,ihtiyacı olan ağ işlemlerini Jail sisteminin ileri bir sürümü olan VIMAGE’i kullanmaktadır.
Netgraph : Üzerinde çeşitli ağ işlemleri yapılmasına olanak sağlayan , ağ nesnelerine sahip bir sistemdir. Honeypot , netgraph nesnelerini birbirine bağlayarak ağ yapısını oluşturmaktadır.
Honeypot’da kullanılan netgraph nesneleri;
Epair : Netgraph gibi ağ cihazlarının birbirine bağlanmasında kullanılır. Aralarındaki önemli iki fark vardır.
Epair sistemi , netgraph kadar karmaşık değildir. İpconfig komutu sayesinde nesneler kolayca oluşturulup dağıtılır.
Netgraph nesneleri arasında , pipe nesnesi kullanılarak daha gerçekçi bir ağ yaratılabilir. Epair da böyle bir özellik yoktur.
Quagga : Açık kaynak kodlu hizmet veren bir yönlendirme protokolüdür. Ayrıca bu uygulama OSPF,IS-IS,BGP ve RIP gibi temel routing protokollerini desteklemektedir. Quagga , GNU lisansıyla istenildiği kadar router eklemeye olanak sağlar.
Honeypot projesi kapsamında HTTP, DNS, SMTP ve FTP servislerinin taklitleri geliştirilerek bu sistemlerde kullanılmaktadır. Bu gibi servisler oluşturulacak honeypot üzerinde amacına uygun bir şekilde öykülenerek çalıştırılır.
FreeBSD , gelişmiş ağ altyapısı , verimlilik, güvenlik ve uyumluluk yeteneklerine sahip gelişmiş bir işletim sistemidir. İçinde yukarda bahsettiğimiz Netgraph ve Epair gibi bir çok araç bulundurmaktadır. Kısacası en baştan bir Honeypot oluşturmaya karar veren bir kişinin ilk yapması gereken şey FreeBSD’yi kurması olacaktır. Bundan sonraki adımlar değişkenlik gösterebilir. Bunun sebebi kullanılacak Honeypotun belli bir amaca hizmet edicek olmasıdır(Saldırganları caydırma yada saldırganların kullandığı yöntemleri öğrenmek). FreeBSD sayesinde birkaç tane sanal makine kurduk. Bu aşamadan sonra Netgraph ve Epair gibi araçları kullanarak bu makinalar arasında bağlantıları oluşturduk. Aslında bu aşamanın internete bağlanmak için bilgisayarınızı modeme bağlamaktan pek bir farkı yok. Kabloları bağladık şimdi sırada sanal cihazlarımızı birbirleriyle iletişimi sağlayabilmeleri için dinamik yönlendirme yapmakta. Bu iş için Quagga yazılımını kullanabilirsiniz. Son aşama öyküleme aşaması. Saldırganı meşgul etmek mi istiyorsunuz yoksa yaptıklarından bilgi mi almak istiyorsunuz? Bunu belirledikten sonra http, dns gibi servislerin taklitlerini bu sanal cihazlarda kullanıyoruz.
Honeypotun asıl amacı korumak istediğimiz makinaları taklit ederek bütün saldırıları kendi üzerine çekmesidir. Bu yüzden yukarıdaki aşamalarda ki öyküleme iyi yapılması gerekir.
Bir honeypot uygulamasını nasıl yapılandırabiliriz aşamalarıyla incelemiş olduk. Şimdide büyük honeypot projelerini incelemeye çalışalım. Hangi sistemlerde kullanılıyor, hangi büyük kuruluşlar kullanıyor bunları inceleyelim.
Bu kadar yararlarını anlattığımız bir sistemi büyük kuruluşlar kullanmadan olmaz. Neden derseniz Google,Facebook,Symantec,Microsoft,Cisco vb. gibi büyük kuruluşlar gün içerisinde bile birçok oranda saldırılara maruz kalmaktadırlar. Bu gibi büyük kuruluşlar gerekli bütün güvenlik önlemlerini almaya çalışmaktadır. Bunlardan sadece bir tanesi de bizim konumuz olan honeypot sistemleridir. Bu yüzden bazı büyük şirketler honeypot sistemlerini kendileri kurmakta, yazılımlarını üretmekte veya varolan honeypot projelerine destek vermektedirler. Ayrıca bunların haricinde ülkemizde de bu tarz çalışmalar yapılmaktadır. Örnek vermek gerekirse TUBİTAK-ULAKBİM çalışma grubunun IPv6 ağlarındaki saldırıları, yöntemleri tespit etmek amacıyla tasarladıkları KOVAN yazılımıdır. Kendi sitesinden aldığımız bilgilerle KOVAN hangi amaçlar için geliştirilmiş bakabilirsiniz. Başlıkları görelim ayrıca paylaşacağımız linkten de ayrıntılı olarak inceleyebilirsiniz.
http://ulakbim.tubitak.gov.tr/tr/hizmetlerimiz/kovan
Dünyadaki atakları canlı görmenize olanak sağlayan sistemlerden bazılarıda bu atakları yayınlarken honeypot sistemlerine takılan saldırı verileri yansıtmaktadır. Örnek verecek olursak 40’tan fazla ülkede gerçekleşen saldırıları canlı olarak izlemenize olanak sağlayan Norse-ipviking sitesidir aşağıdaki linkten inceleyebilirsiniz.
Ayrıca Hidden Tear ve Eda2 projeleride bir honeypot projesidir. Eda2 ele alacak olursak bir fidye virüsüdür. Üreticisi de bir Türktür. (bknz: Utku Şen) Bu projeyi örnek vermemizin nedeni ise honeypotu sadece ağ sistemleri, spam sistemlere kurgulamak için değil faklı güvenlik tuzakları fikrine aşina olmanız için göstermeye çalıştık. Bu proje ve detaylarınıda üreticinin kendi yazısından inceleyebilirsiniz.
http://www.utkusen.com/blog/tam-olarak-ne-yaptim-ne-yapmadim.html
Bunlar gibi birçok proje yer almaktadır. Büyük şirketlerin ortaklıkları, geliştirdikleri yazılımlar honeypot teknolojisini geliştirmeye yönelik çalışmalar vardır.
Bu konuyada değindikten sonra honeypot sistemleri tespit edilebilir mi, edilebilirse neler kullanılır, honeypotları atlatmak için neler yapılabilir bunları inceleyelim.
Aslında işin en can alıcı ve önemli noktasını anlatmaya çalışacağız.Çünkü bir sistemi alaşağı etmek istiyorsak o sistemi tamamıyla bilmemiz gerekir. Neler çalışıyor, hangi teknolojileri kullanmakta, kimler çalışıyor, hangi algoritmaları kullanıyor bilmek gerekir. Bu konu daha çok savunma tarafı değil de saldırı tarafı için önemlidir. Bir sisteme sızma testi gerçekleştirirken o sistemde honeypot’a yakalanma oranımız yüksektir. Ve de iyi kurgulanmış ve amacına uygun konfigüre edilmiş bir honeypot gerçekten tespit edilemez bile olabilir.
Honeypotları gerçekten tespit etmek zordur. Çünkü emülasyon olsa bile saldırgana gerçek bir sistemmiş gibi gözükebilir. Honeypotları tespit etmek için bazı yazılımlar vardır. Bunlardan öne çıkan yazılım Send-Safe Honeypot Hunter’dır. Bunun gibi yazılımlar portları, portlarda çalışan servisleri analiz ederek sistemin gerçek veya tuzak bir sistem olduğunu anlamaya yarayan araçlardır. Diğer bir yazılım ise Nessus’tur .Bu da uzak sistemde honeypot olup olmadığını tespit etmek için sistemi analiz eden bir yazılımdır. Send-Safe Honeypot Hunter linkini aşağıda verelim dilerseniz ücretsiz olan demo sürümünü indirerek test edebilirsiniz.
http://www.send-safe.com/honeypot-hunter.html
Ayrıca bir honeypot yazılımı olan kippoyu tespit etmek için metasploit modülü bulunmaktadır. Bu aracı metasploit içinde şu dizinden bulabilirsiniz.
auxiliary/scanner/ssh/detect_kippo
Bu gibi yöntemlerle veya yazılımlarla honeypotları tespit etmeye çalışılabilir.
Bu konuyu da inceledikten sonra bahsettiğimiz bazı yazılımlardan kısaca söz edelim.
Dionaea , python ile yazılmış bir honeypot projesidir. Dizayn türü açısından orta etkileşim honeypottur. Saldırganın dikkatini çekmek için açıklara sahiptir. Ağda sunulan hizmetlere yönelik geliştirelen ve kullanılan kötü amaçlı yazılımların(malware) bir kopyasını almaktadır.
Conpot , açık kaynak kodlu bir python honeypot projesidir.Endüstriel alanda kullanılmaktadır. Endüstriel kontrol sistemlerini taklit eden ve saldırganların yöntemleri hakkında bilgi toplayan bir ICS/SCADA honeypottur.
Amun , python dili ile yazılmış açık kaynak kodlu bir honeypot projesidir. Düşük etkileşimli bir honeypottur. XML kodlarından kaynaklanan açıkları kullanan bir sistemdir.
Kojoneyde python dili ile yazılmış Twisted Conch kütüphanesi kullanılmıştır. Düşük etkileşimli bir honeypottur. Ssh portunu kullanarak burada honeypot kuran bir sistemdir. Açık kaynak kodlu bir projedir.
Honeypot için python dilinde yazılmış bir web uygulaması‘dır. Glastopf taklit edilen binlerce veriyi toplar. Birçok honeypotun aksine, Glastopf web uygulamasında saldırganın açığa vereceği yanıtın doğru olup olmadığına odaklanır.
Kurulumu https://github.com/mushorg/glastopf/blob/master/docs/source/installation/installation_ubuntu.rst ‘ de verilmiştir.
Kippo , pyhton ile yazılmış bir SSH honeypot projesidir. Dizayn türü açısından orta etkileşimli honeypottur. Saldırganın sistemde shell ‘ e erişebilmek için kullandığı bütün kodları kayıt altına almaktadır. Kojoney projesinden esinlenerek geliştirilmiştir.
Linux tabanlı sistemler için yüksek etkileşimli honeypot çözümüdür. Bifrozt ağ arabirim kartı ile hem doğrudan internete bağlı olan ve yine ağ arabirim kartı ile doğudan iç ağa bağlı olan DHCP server kurulu olan NAT bir cihazdır. Bifroztu diğer NAT cihazlarından ayıran özellik saldırgan ve Honeypot arasında SSHv2 proxy kullanmasıdır. SSHv2 proxy kullanan yazılım HonSSh’dır ve Thomas Nicholson tarafından geliştirilmiştir. Eğer Bifrozt’un bulunduğu ağa SSH server kurarsanız ağda olan bütün etkileşimleri kayıt altına alabilirsiniz, indirilmiş dosyaları görüntüleyebilir ve yakalayabilirsiniz. Saldırganın honeypotu kullanarak diğer sistemlere saldırmasını önlemek için giden trafik sınırlandırılır. Eğer firewall sınırlarının aşıldığını farkederse bağlantıyı koparır.
HoneyDrive Xubuntu 12.04.4 LTS sürümü kurulu olan bir sanal cihazdır(OVA). HoneyDrive içerisinde önceden kurulmuş olarak gelen yazılımlar sayesinde bize zaman kazandırır ve bu yazılımları kurmak, ön ayarlarını yapmak zahmetli bir iştir.
Kurulu olarak gelen yazılımlara bakacak olursak : Server için KİPPO SSH honeypot, Dionaea malware honeypot, Amun malware honeypots, Honeyd low-interaction honeypot, web için Glastopf web honeypot, wordpress için Wordpot honeypot, Conpot SCADA/ICS honeypot, Thug and PhoneyC honeyclients…
Ayrıca içerisinde Kippo-Graph, Honeyd-Viz, DionaeaFR gibi yazılımlarda kuruludur. Bu yazılımlar grafik arayüzü olan verileri işlememizi sağlayan yazılımlardır. İçerisinde malware analysis, forencis, network monitoring gibi birçok araç bulunur.Kurulu gelen tüm yazılımları HoneyDrive sanal cihazın masaüstündeki README.txt dosyası içerisinde bulabilirsiniz. HoneyDrive’ın farklı sürümleri bulunmaktadır : HoneyDrive 3 Royal Jelly Edition, HoneyDrive 0.2 Nectar Edition, HoneyDrive 0.1 Santa Edition.
En yaygın olarak HoneyDrive 3 Royal Jelly Edition kullanılır.
İstediğiniz sürümü http://bruteforce.gr/honeydrive sitesinden indirebilirsiniz.
Cuckoo (malware analysis system-Otomatik malware analizi) python ile yazılmış açık kaynak kodlu zararlı yazılımların analizini yapan bir honeypot projesidir. Şüpheli bir dosyayı veya exploiti honeypot sistemine attığımızda cuckoo onu analiz ederek neler yaptığını döndüren bir mantığa sahiptir. Buda yeni saldırı teknikleri, exploitler keşfetmek için önemli bir yazılımdır.
Bu yazılımlarada kısaca değindiktikten sonra şimdi kurulum, kullanım aşamasına geçebiliriz. Biz yazımızda honeyDrive’ı kullanacağız. İçerisinde birçok honeypot yazılımı kurulu gelmesinden dolayı bize avantaj sağlamaktadır. İndirme linkini yukarıda verdik. Oradan istediğimiz sürümü indirebiliriz.
Kurulum aşamasına geçelim.
İlk olarak HoneyDrive ova dosyasını indirdikten sonra sanal makinada import ediyoruz. İçinde yüklü olarak gelen kippo honeypot yazılımını kullanacağız. Bunun gibi diğer yazılımlarıda kullanabilirsiniz.
Log dosyasında saldırganın hareketlerini incelemiş olduk. Kippo’nun bize sağladığı bir diğer avantaj ise kippo-graph’tır. Kippo graph ile log dosyasında incelediğimiz verilerden daha çok veriler elde edebiliriz. Ve kippo-graph bunu görsel ve grafiksel halde bize sunabilir. Kippo-graph’a bir göz atalım.
Bunun gibi daha birçok özelliği içerisinde barındıran kippo-graph’ı inceleyebilir ve aktif şekilde kullanabilirsiniz.
Yazımızda Honeypot sistemleri detaylıca incelemeye çalıştık. Bunların içinden Kippo yazılımını kullandık ve incelemeye çalıştık. Daha birçok honeypot yazılımını diğer yazılarımızda kurulum ve kullanım olarak anlatmaya çalışacağız.
Siber güvenlik dünyası hızla önemini arttırmakta ve sizlerinde bu dünyanın içerisindeki rolünüzü bir an önce belirlemeniz dileğiyle…
]]>