Академический Документы
Профессиональный Документы
Культура Документы
Ünal Tatar
13 Mart 2008, İstanbul
Gündem
TÜBİTAK-UEKAE (S)
Kamu Kurum ve Kuruluşları (İ)
Üniversiteler (İ)
http://www.bilgitoplumu.gov.tr/btstrateji/Eylem_Plani.pdf
3
Bilgi Sistemi Güvenlik Olayı Nedir?
4
Olay Müdahale Aşamaları
• Hazırlanmak
• Karantinaya almak
• Yok etmek
• Geri döndürmek
• Takip etmek
5
Olay Analizi Nedir?
Kim?
Nereye?
Ne zaman?
Hangi araçlarla?
Nasıl?
Niçin?
6
Olay Analizi - Aşamaları
– Belirleme
• Sistem üzerinde toplanan veriden incelenmesi gereken
kısmın belirlenmesi
– Değerlendirme
• Olayın varlığının ve oluş şeklinin tespit edilmesi
– Sunma
• Yapılan analizin ilk aşamasından itibaren anlaşılır ve
tekrarlanabilir bir şekilde raporlanması
7
Olay Tespiti
• Ağ Sistemleri
– Güvenlik duvarı kayıtları
– Yoğun trafik
• Dosya transferi
• D-DOS
• STS/SÖS Kayıtları
• Sunucular
– Bilinmeyen işlemler,
zamanlanmış görevler
– Bilinmeyen dosyalar
– Bilinmeyen kullanıcılar
– Yüksek CPU/RAM kullanımı
– Şüpheli sistem girişleri
• Dış Kaynaklar
– Tehdit gözetleme sistemleri
– İş ortakları
– Polis
– …
8
Locard’ın Değiş Tokuş Prensibi
9
Veri Kalıcılığı
Uçucu
Hafıza (RAM)
Çalışan İşlemler
Dosya Sistemi
Sabit Diskler
Kalıcı
Çıkarılabilir Medya
10
Analizde Nerelere Bakılmalı?
13
Cold Boot Attack (1)
14
Cold Boot Attack (2)
15
Ağ Sistemleri Analizi
• Güvenlik Duvarları
• Yönlendiriciler
• Anahtarlama Cihazları
• Ağ dinleyicileri
16
Disk Sistemi Analizi
17
MAC Zamanları
• Veri kurtarma
– Silinmiş dosyaların tespiti
20
Veri Kurtarma (2)
• Sınıf-2 Atak
– Özel sinyal güçlendiricileri (amplifikatörler) ve sinyal
işleme teknikleri kullanılarak üzerine bir çok kez
yazılmış bir diskteki geçmiş verilere ulaşmak için
kullanılır
– Diski kontrol eden devreler üzerinde gelişmiş
elektronik işlemler yapılır. Diskteki yeni verinin sinyali
güçlü ve keskindir, eski veri ise zayıf kalmıştır. Amaç
zayıf sinyali güçlendirmek
– ABD-DoD 5200.28-STD: 7 kere yazılır. Peter
Guttman: 35 kere yazılır. (Sınıf-2 ataklardan
korunmak için)
– Pahalı ve zaman alıcı
21
Veri Kurtarma (3)
– Senelerce sürebilir
22
Raporlama
23
Sonuç olarak…
25