Güvenlik TV’de RSA Konferansı 2012 özel bölümünü yayınlamış ve katılamayanlar için genel bir konferans özeti vermiştik. Burada aktardıklarım da Güvenlik TV’de anlattıklarımdan pek farklı değil, orada olan bazı bilgiler burada yok (diğer konferanslar gibi), burada olan bazı notlar orada olmayabilir (bir şey kaybettirmeyen ufak konular). Bazı arkadaşlardan yazı talebi de gelmişti, notlarımı aşağıda toparladım.
Her yıl yapılan RSA konferansının 21.si bu yıl 27 Şubat – 2 Mart tarihleri arasında San Francisco’da gerçekleştirildi.
Konferans alanında farklı bölümler bulunuyor; Keynotes (Ana konuşmalar), Expo (Fuar alanı), Track sessions (Farklı ana konu başlıkları altında 16 salonda yapılan 1’er saatlik sunumlar), Peer2Peer Sessions (Paralel olarak 3 ayrı salonda, katılımcıların belirlenen konu hakkında tartışabileceği fikir alışveriş odalarında 1’er saatlik oturumlar) ve sektörel iletişimi amaçlayan irili ufaklı pek çok etkinlik.
RSA konferansı sırasında bazı firma ve organizasyonlar, konferansa yakın yerlerde etkinlikler yapabiliyorlar.
RSA konferansı 1991’den bu yana yapılan bir etkinlik ve tüm yukarıda bahsettiklerim düşünüldüğünde şu an sektörün en büyük güvenlik konferansı denilebilir. Konferans yıl içerisinde Avrupa ve Asya’da da yapılabiliyor, ancak ana etkinlik ABD’de yapılanı.
Açılış konuşmasını bu yıl da RSA firmasının başkanı Arthur W. Coviello gerçekleştirdi. Bilindiği gibi 2011 yılı içerisinde RSA firmasına sofistike bir saldırı düzenlenmiş ve kritik veriler saldırganların eline geçmişti. Coviello’nun konuşmasının ana hatlarını bu olay ve bağlantılı APT olayları şekillendirdi. Mobil iletişim ve teknolojinin geldiği noktaya dikkat çeken Coviello, buradaki yeni kullanım alanlarının da olası riskleri beraberinde getirdiğini söyledi.
Coviello’ya göre yeni nesil güvenlik uzmanlarının; doğru analitik yeteneklere sahip, insan ilişkilerinde başarılı ve saldırganların kafa yapısı ve bakış açısına sahip kişilerden oluşması gerekiyor.
Bu yıl RSA Lifetime Achievement Award ödülü, günümüz Internet’inde güvenli iletişimin temellerini oluşturan açık anahtarlı şifrelemenin babası Martin E. Hellman’a verildi. Hellman konuşmasında, özetlemek gerekirse, “Bu ödül beni 1976’daki geceye götürüyor (eureka anı). O zamanlarda güvenli anahtar alışverişi ve açık anahtarlı kriptosistemlerin temelini oluşturan konularda çalışma yaptığımda herkes boşuna uğraştığımı söylüyordu. Umarım hikayem bir amacı ve inancı olan herkese ibret olur” ifadelerini kullandı.
Tüm konuşmaları ve keynote’ları özetlemeye zamanım yetmiyor, ancak katıldığım sunumlardan hoşuma gidenleri paylaşabilirim.
The Cryptographers’ Panel; Whitfield Diffie, Ronald Rivest ve Adi Shamir’in katılımlarıyla konferansın en ilgi çeken açık oturumu.
Cloudflare CEO’su Matthew Prince “Surviving Lulz: Behind the Scenes of LulzSec” konuşmasında verdikleri DoS/DDoS engelleme hizmetlerinde LulzSec web sitesini korumaya çalışırken yaşadıklarını ve edindikleri deneyimleri paylaştı.
Biraz ön bilgi: LulzSec, web sitelerinin sıkça DDoS saldırısı alacağını düşünerek, Cloudflare’in ücretsiz servisine üye oluyorlar. Cloudflare firması da LulzSec’e yapılan saldırılar sayesinde baya bir tecrübe kazanıyor.
Prince bu tecrübelerini aktardı fakat doğası gereği firma reklamının en bol olduğu sunumlardan birisi oldu. Sunum sırasında hizmetlerini en çok kullanan firmaları Türkiye’deki online eskort sitelerinin oluşturduğuna dikkat çeken Prince haliyle şaşırıyor ve bir gün site sahiplerinden birisine mail gönderiyor. Site sahibi “islami kesimden çok saldırı almaları nedeniyle bu tarz hizmetlere ihtiyaç duyduklarını” iletmiş. Bir sonraki slayt’ta Ak Parti’nin de hizmetlerini kullandığını ve sitenin en yoğun dönemde aldıkları trafiklerden bahsetti (LulzSec’teki saldırı boyutlarına dikkat çekmek için). Prince’in Türkiye’den bu kadar bahsetmesi ilgimi çekti.
LulzSec sitesini korumaları sırasında 3 haneli istihbarat kurumlarından baya bir arkadaş edinmişler :)
Bu tarz DDoS saldırı koruma yapılarında farklı coğrafi bölgelerde bulunma, her cihazın yedekli olması, sunucu konfigürasyon seçimi ve yapılandırma, sanallaştırma, ssd diskler, nginx gibi performanslı servislerin seçimi, DNS altyapısı, Anycast protokolü, sağlam uzmanlar ve özellikle işini çok iyi bilen network uzmanları ile çalışma gibi konuların önemi… gibi konular ise sunumdan alabildiğim teknik bilgilerdi.
Eski McAfee CTO’su George Kurtz ve Dmitri Alperovitch’in “Hacking Exposed: Mobile RAT Edition” başlıklı sunumlarında, Android tabanlı mobil cihazların güvenliğinden bahsedildi ve hazırladıkları Android açığından yararlanan trojan yazılımının canlı demosu yapıldı.
Özetlemek gerekirse, Android işletim sistemi kullanımı çok yaygın, televizyonlarda bile kullanılabiliyor. Mobile RAT (Remote Access Trojan) şu an, 10 yıl önce Netbus ve BackOrifice neredeyse orada, ama çok daha hızlı gelişecek. Ardından hazırlamış oldukları Android güvenlik açığından yararlanan zararlı yazılımın hangi aşamalardan geçtiğini ileterek bir demo gerçekleştirdiler. Merak edenler için bir webkit açığından faydalanan bir exploit yazıyorlar, Android işletim sisteminde imtiyaz yükselterek, kalıcı saldırı için yeniden düzenlenmiş bir mobil trojanı cihaza yüklüyorlar. Exploit, cihazı yeniden başlattığında kullanıcı farkına varmadan cihazın kontrolü saldırganın eline geçmiş oluyor.
Webroot firmasından Grayson Milbourne ve Armando Orozco’nun yaptığı “Cracking Open the Phone: An Android Malware Automated Analysis Primer” sunumu da, Android malware analizi üzerine dinlediğim en iyi sunumlardan birisiydi. “Malware yazarları için Android iyi bir para makinası olacak” diyen ikiliye göre, şirketlerin mobil tehditlerden korunabilmeleri için: akıllı telefon politikası belirlemesi, elemanların eğitilmesi, güçlü password/passcode kullanımını uygulamaya sokmaları, şifreleme ve uzaktan veri yoketme (remote wipe) imkanları sağlayan mobil cihaz yönetim çözümlerini kullanmaları gerekiyor.
Hep mobil cihazlardan ve mobil tehditlerden bahsettim. Son olarak Dino Dai Zovi ve “Apple’ın baş belası” olarak anılan Charlie Miller’ın “iOS Security Internals” sunumu katıldığım en kalabalık izleyici kitlesine sahip sunumdu. Miller ve Zovi konuşmalarında iOS güvenlik özelliklerinden bahsederken, “Android platformlarında 2 exploit ile yapabildiğiniz işleri iOS tarafında yapabilmek için artık 5 exploit’e ihtiyacınız var” derken, bunun nedenlerini sunum sırasında detaylı bir şekilde açıkladılar (Not: jailbreaksiz, standart bir cihazı *kalıcı olarak* tamamen ele geçirebilmek için. 2 exploit ile cihaz ele geçirilebiliyor, ancak cihaz yeniden başladığındaki kalıcılık için daha fazla güvenlik probleminden yararlanarak ek haklar elde etmek gerekiyor).
Ayrıca iOS platformu çok az bileşen içerdiği ve kısıtlı olduğu için saldırı alanı kısıtlı. Özetlemek gerekirse Java yok, Flash yok, Safari browser normal Safari’nin bir çok özelliklerini barındırmıyor, aynı şekilde PDF okuyucuda tüm PDF özellikleri yok, sistemde bir çok yardımcı yazılım yok bu nedenle herşeyi shellcode’a gömmek gerekiyor, yazılım ve kütüphanelerin Apple tarafından imzalı olması gerekiyor… gibi.
Jailbreak’li hale getirilen bir cihazın yukarıda bahsettiğim korumaların bir çoğunu egale ettiğini ve jailbreak’li bir cihazı ele geçirmenin çok daha kolay olduğu iletildi. Bu nedenle hassas bilgi içeren, örneğin firmalarınızda çalışanlarınızın kullandığı cihazların bu hale getirilmemesi güvenlik açısından çok önemli.
İkili ayrıca Mayıs ayı gibi iOS Hacker’s Handbook’un da çıkacağının müjdesini verdiler. Sabırsızlıkla bekliyoruz.
Yukarıda bahsettiklerimin dışında bir sürü faydalı sunuma katıldım ama daha fazla uzatmak istemiyorum. Kayda değer diğer konuşmalar Internet’te çeşitli kaynaklarda aktarılıyor.
Konferans kapanış konuşmasını eski İngiltere başbakanı Tony Blair yaptı. Fakat Blair konuşmasında teknolojiden çok, ortadoğudan bahsetti. Aslen teknoloji özürlü olduğunu da espirili ve alçak gönüllü bir şekilde belirten Blair’den biraz daha bilişim güvenliğine bakış açısını içeren bir konuşma dinlemek isterdim.
Seneye RSA konferansı 25 Şubat – 1 Mart arasında yapılacak. Bu sene Güvenlik TV adına ropörtaj yapmak istediğim kişiler programlarının yoğunluğundan dolayı vakit ayıramadılar ama konferansa tekrar katılmak kısmet olursa bu sefer röportajları önceden ayarlayıp bir kaç konuğa sorularımı yönelteceğim.