IstSec 2009 ve CTF

Daha onceden cesitli kanallarla duyurulari yapilan Istanbul Bilgi Guvenligi Konferansi, 10 Haziran Carsamba gunu yapildi.

Bu tarz urun/uretici bagimsiz etkinlikleri coktan hakkettigimizi ve hatta gec bile kalindigini dusunuyorum. Bir cok arkadas etkinlik Microsoft’un binasinda yapildigi icin, etkinligi Microsoft duzenliyormus gibi bir hava sezdi diye dusunuyorum. Bu etkinlik ise, yurt disindaki meshur blackhat, defcon benzeri seminerler cizgisinde bir etkinlikti. Microsoft sadece seminer icin yer sagladi, su verdi, cay verdi vs.
Sen suyunu, cayini ic, mekanina gel, yazilimlarini lisanssiz kullan, sonra da “Microsoft’tan boyle bir etkinlik beklemezdim” de… Olmaz.

Ben etkinligin cok guzel gectigini ve katilimin bekledigimden fazla oldugunu belirtmeliyim. Ismen bildigimiz, bir sekilde konustugumuz bir cok arkadasla tanisma/kaynasma firsati bulduk. Umarim etkinlik geliserek duzeyli bir sekilde devam eder.
Is geregi uretici ve distributorlerin hem bayi, hem musteri etkinliklerine de katildigim icin ben aslinda farkli bir ziyaretci profili bekliyordum diyebilirim. Acikcasi o kalabalik yerine, daha cok -hobbyist- guvenlikle ilgilenen ve merak duyan genc bir kitle gordum. Sanki bir LKD senligi kitlesi gibiydi. Bu da oldukca hosuma gitti.

Sunumlar cok guzeldi ve bir cogu pazarlama kokmuyordu. Acikcasi CTF juri uyesi oldugum icin sunumlari bastan sona dinleme firsatim olmadi. Ileride konular biraz daha derin, daha da detay teknik olabilir.

Katilimcilarin basindan sonuna kadar sunumlarda kalacaklarini dusunmemistim. Hatta neredeyse herkes seminerin sonuna kadar kaldi.

Gelelim CTF yarismasina
Capture the flag senaryo hazirlanmasi hakkinda sundance’in yorumlarina katiliyorum. Olmamasi gereken aksilikler de oldu.
Ama ben yarisma katilimcilarini daha farkli bekliyordum. Sayiyi net bilmiyorum ama 20-30 kisi son gune kadar katilacagini belirtmis ve gelmemisti. Bu nasil bir orandir inanamiyorum. Tamam bazi sorunlar, aksilikler olur ama ogrendigim kadariyla son dakikaya kadar teyid edilmis bir katilimci grubundan nasil olur da sadece 1 kisi katilmak icin oraya gelir.
Ankara’dan gelen bir lise ogrencisi. Kendisini cesaretinden, on hazirliklarindan ve hevesinden dolayi tebrik ediyorum. Keske yarismayi kazanabilseydi.
Ek olarak gelen katilimcilar ve gruplarla toplam sayi 6’yi buldu.

Ilk adim olarak istsec2009 gizli SSID’li bir wireless access point vardi ortamda. Backtrack CD’si ile boot etmis bir kullanici, kismet ile bunu gorup, sadece bunu kendisine tanimlamasi layer2 olarak baglanmasina yeterliydi.
Ortamda bir DHCP sunucusu olmadigi icin network’u sniff edip, IP blogunu gormesi ve kendisine o IP blogundan bir IP adresi vermesi gerekiyordu.
Ardindan artik layer3 seviyesinde baglandigi acik wireless network’te live sunuculari bulmaya calisacakti. 1 adet Linux sistem vardi bu agda.
Bence buraya kadar cok kolaydi ve “ben bu islerle ilgileniyorum” diyen adamin -aksilik cikmazsa- az zamanini almaliydi.
istsec2009 gizli SSID’si Huzeyfe tarafindan basta soylenmesine ragmen bu asama bekledigimden cok uzun surdu.

Ardindan, buldugu Linux sisteme SSH uzerinden girmesi gerekiyordu saldirganin. Username root , sifre 1234567890’di. Basit gibi gozukse de, brute-force’la cok uzun surecek bir sifre. Ancak dictionary attack veya tahmin yoluyla bulunabilirdi. Ben bunun, cok zor olmasa da, cok da kolay olmadigini dusunuyorum. (Ama heralde wordlist’lerinizde bu sifre vardir)

Sisteme ilk giren uyanik ve hizli bir arkadas root sifresini degistirmis :) Geri almasini ve dokunulmamasini rica ettik.

Linux sisteme root ile giren saldirgan, sistem uzerindeki istsec2009 dosyasini bulmaliydi. /tmp/.istsec2009 dosyasini yine beklenenden uzun bir sure kimse bulamadi.
Hatta boyle olunca, ben “acaba dosya disk uzerinde mount edilmemis bir bolumde mi bulunuyor” diye dusunmeye basladim.
Malesef denetimcilerin bazilarinin Linux bilgileri cok cok cok kotu. find komutunun nasil kullanildigini bilmeyenler vardi. (Uyanik yarismaci, baskalarini engellemek icin find komutu ile oynayabilir)
Burada da bir arkadas 2. bir istsec2009 dosyasi olusturarak icerisine “tebrikler kazandiniz” yazmis :)

3-5. asamalar bu linux sistemin 2. ethernet bacaginda bulunan 3 adet sistemi kapsiyordu. Bir web uygulama (WordPress Cookie Authentication Vulnerability), bir Windows sunucu(ms08-067) ve bir FreeBSD sisteme sizmalari gerekiyordu. FreeBSD adimi bastan iptal edildi.

Bu arada, 2. ethernet bacaginda bulunan IP bloguna erismek icin saldirganin hedef network icin makinasina bir route eklemesi gerekiyordu. Yine networking bilgi sorunu yasayan arkadaslar bu asamada takildi.

WordPress acigindan faydalanmaya en cok yaklasmis arkadasi gordugumuzde, zaman bittiginden dolayi, yarismanin da artik sonuna gelinmisti.

WordPress acigi hakkindaki zorluk yorumu:
– Oyuncu kendi kullandigi wordpress yazilimini aciklar ciktikca hem guncelliyor, hem de cikan aciklari inceliyorsa kolay.
– Bu aciklardan yararlanip, “orayi burayi hackledim” diye dolasanlara kolay.
– Internet erisimi varsa kolay.
– Oyuncu cikan aciklari takip ediyorsa nispeten kolay.
Bunun disinda zor olabilirdi.

Diger asamalara gecilemedi.

Orada kaybetmek ve bulunmak bile bence katilimcilara cok sey katti. Eminim bundan sonra ogrenme ve lab ortaminda calisma cizgilerini iyilestirecektir. Bir sonraki yarisma icin yeni cikan aciklari bile daha dikkatli takip edeceklerine eminim. Yarismacilarin, seminer aralarinda baslarina cok fazla insan toplandigi icin de baski altinda olduklarini belirtmek lazim.

Buradaki CTF yarismasi tecrubesi bir sonrakinin hem senaryo hem de kural olarak hazirlanmasinda etkili olacaktir. Bence bir sonraki daha da zevkli ve profesyonelce olacak.

Zevkli ve dolu bir gun gecirdik, organizasyonda emegi bulunan tum arkadaslara tekrar tesekkurler.