Veri Sızıntısı ve Önleme Yöntemleri

Kurumsal Veri, kurumların ürettiği ve işlediği verilerdir. Bu verilerin bilinçli/kasti ya da bilinçsiz şekilde değişik yöntemlerle kurum dışına çıkarılmasına Veri Sızıntısı denir. NSA sızıntısı, Sony sızıntısı, HSBC sızıntısı, Panama Belgeleri ve Türkiye kimlik bilgileri sızıntısı buna örnek olarak verilebilir.

Kurumsal Veri iki kısıma ayrılır. Yapılandırılmış Veri (Structured Data) ve Yapılandırılmamış Veri (Unstructured Data). Veri tabanlarında ve önceden belirlenmiş türlerdeki tablolarda saklanan verilere yapılandırılmış veri, diğer verilere de yapılandırılmamış veri denmektedir.

unstructured_data_structured_data

Yapılandırılmış Verilere erişim çoğunlukla kurumsal bir arayüz üzerinden yapılır (herhangi bir kurumsal uygulama arayüzünü kullanarak veritabanına kayıt girmek, değiştirmek ve kayıt okumak gibi).  Yapılandırılmamış Veriler, Word dökümanı, excel tabloları, text dökümanları, pdf dökümanları ve emailler gibi, kullanıcıların kendilerinin oluşturdukları verilerdir.

Genel kabulün aksine kurumsal verinin çoğunluğu (%70 civarı) yapılandırılmamış veridir ve eksponensiyel olarak artmaktadır. Ve yine genel kabulün aksine bu yapılandırılmamış verilerin çoğunluğu mahrem ve değerli bilgiler içerir. Üst yönetim ve iş birimleri kurumsal uygulamalardan sürekli raporlar çekerler. Bunlar genelde çok kalabalık ve anlaşılması/anlamlandırması zor raporlardır. Bazı kullanıcılar bu raporları anlamlandırmak için Excel tablosuna aktarırlar ve burada gerekli işlemleri yaparak daha anlamlı raporlar üretirler (Pivot tabloları, grafikler v.b.). Ya da bu raporların ekran görüntülerini kendi oluşturdukları rapor dosyalarına (Power Point, Word ya da Pdf) eklerler.

unstructured_data_explosure-1

Yapılandırılmamış veri sabit değildir. İşin doğası gereği sürekli hareket halindedir. Mail ile birilerine gönderilir, cloud üzerindeki bir depolama alanına kopyalanır, mobil cihazlar, taşınabilir bellekler ve notebooklar üzerinde şirket dışına çıkarılır. Kurum depolama alanlarında nispeten güvende olan veriler mobil ve cloud ortamında her türlü saldırıya açıktır.

Her kurum mahrem bilgilerinin dışarıya sızmaması için bir dizi önlem alır ve bu önlemlerin kendisini korumaya yeteceğini düşünür. Bu önlemleri alırken bir takım ön varsayımlar belirler. Bu varsayımların en önemlilerinden birisi saldırının dışarıdan geleceği ve bu saldırı başarılı olursa kurumsal verilerinin çalınacağıdır. Bu ihtimali ortadan kaldırmak için ciddi bir güvenlik duvarı yatırımı yapar. Bir diğer varsayım da önemli verilerinin tamamının veri tabanlarında saklandığıdır. Bu ihtimali ortadan kaldırmak için de ciddi önlemler alırlar.

Artık hem IT Yöneticileri hem de üst düzey yöneticiler rahat uyku uyuyabileceklerini düşünürler. Asıl büyük sorun da işte tam bu noktada başlar. Çünkü veri sızıntılarının büyük kısmı içeriden, kötü niyetli yazılımlar ve/veya kötü niyetli/bilinçsiz kullanıcılar tarafından  geçekleşmektedir.

Elbette ki güvenlik duvarı ve veri tabanı güvenliği çok önemlidir ve ihmale gelmez ama bunlar yeterli değildir. Bunların yanında başka tedbirler de almak gerekmektedir. Bu tedbirleri birkaç ana başlıkta inceleyebiliriz.

Bunlardan ilki Verilerin Sınıflandırılmasıdır (Data Classification). Tüm veriler aynı gizlilik seviyesinde değildir. Pazarlama materyalleri gibi kimi veriler kurum dışından birileri ile rahatlıkla paylaşılabilir. Kimi veriler sadece kurum çalışanları ile, kimi veriler de sadece belirli grup ya da kişilerle paylaşılmalıdır. Bunu sağlamanın ön koşulu verilerin doğru bir şekilde sınıflandırılmasıdır.

Veriyi iki yöntemle sınıflandırabiliriz. Birincisi, belirli politikalar tanımlanmış bir sistem ile otomatik olarak tüm depolama alanlarını taramak ve bu politikalara uyan dosyaları bulup otomatik olarak sınıflandırmaktır. Bu yöntemin hata toleransı yüksektir ve mutlaka yetkin birilerinin bu sonuçları gözden geçirmesi ve doğruluğunu kontrol etmesi gerekir. İkinci yöntem, veri oluşturulurken veri sahibi tarafından sınıflandırılmasıdır. Bu yöntemin başarı olasılığı daha yüksektir. Eğer bu yönteme zorlayıcı ve önceden belirlenmiş politikalar uygulanırsa bu olasılık daha da yükselecektir.

Bu yöntemin temel problemi kullanıcıların sınıflama yapmaktan vazgeçmeleri ve tüm verileri en düşük ya da en yüksek seviyede sınıflandırmaya başlamalarıdır. Bu problemi ortadan kaldırmak için öncelikle kurumsal farkındalığı artırmak ve veri sınıflandırma yazılımını seçerken, mümkün olan en kullanıcı dostu yazılımı seçmek gerekir.

Diğer bir tedbir DLP (Data Loss / Leak Prevention) sisteminin kurulmasıdır. DLP, özetle kullanımda, hareket halinde ve beklemekte olan veriyi tanımlamak, izlemek ve korumak için konuşlandırılan sistemdir (Wikipedia). DLP’nin düzgün çalışabilmesi için daha önce de söylediğimiz gibi verinin nerede olduğunun tespit edilmesi ve sınıflandırılması gerekmektedir. Daha sonra verinin akışını, ne şekilde kullanıldığını ve bunların genel iş akışımızdaki yerlerini belirlenmesi ve yanlış iş akışlarının düzeltilmesi gerekmektedir. DLP maalesef tek başına sihirli değnek değildir ve veri sızıntısını tek başına engelleyemez. Bunun için yardımcı olabilecek bazı sistemlere ihtiyacı vardır.

Bunu sağlamak için yapılması gereken bir başka iş Yönetişim (Governance) sisteminin kurulmasıdır. Kurumsal veri sürekli oluşturulacak, bu veriye erişilecek ve bu veri kullanıcılar arasında dolacaktır. Bu dolaşım ve erişimi engellemek mümkün değildir. Bu dolaşımın kontrolü ve denetlenmesi gerekmektedir. Buna Veri Erişim Yönetişimi (Data Access Governance, DAG) denmektedir. DAG kısaca aşağıdaki konularda çözüm sunar;

  • ·      Hangi kurumsal kaynakta (File Server, NAS, AD, Exchange, Sharepoint) hangi veriler var?
  • ·      Bu verilere hangi kullanıcının erişme yetkisi var?
  • ·      Kullanıcı bu yetkiyi nereden aldı?
  • ·      Hangi seviyede erişim yetkisi var?
  • ·      Kullanıcı hangi veriye erişti/erişmeye çalıştı ve eriştiğinde ne yaptı/yapamadı?
  • ·      Verinin sahibi kim?
  • ·      Yetkisiz erişimlerin algılanması, engellenmesi ve alarm üretilmesi.

·      Kullanıcıların davranışlarını öğrenme ve bu davranış şekline uymayan hareketleri algılama ve engelleme.

Özetlemek gerekirse, kıymetli olan kurumsal veridir. Bir çok kurumdan veriler sızmaktadır. Maalesef bu sızıntı duyurulmaz ise hiç kimsenin haberi olmamaktadır.  Kurumsal veri sürekli hareket halindedir. Bu hareketi engellemek mümkün değildir. Bu verinin nerede olduğunu, hangi seviyede önemli olduğunu ve kimlerin bu veriye eriştiğini bilirsek ve bu verinin kasti ya da bilinçsiz bir şekilde kötü niyetli kişilerin eline geçmesini engelleyebilirsek sorunu çözmüş oluruz.

Şeyler saldırdı (Things attacked)

21 Ekim 2016 Cuma günü öğleden sonra bir sosyal medya platformu olan Twitter’a ulaşamayan herkes neler oluyor yine demeye başlamıştır. İlk akla gelen de ülkemizde Twitter’a erişim yasağı uygulanması olmuştur büyük ihtimalle. Neler oluyor dedirten Twitter’a ulaşılamamasıydı, halbuki ulaşılamayan sadece Twitter değildi, içlerinde Spotify, Shopify, AirBnB, Pinterest, Starbucks, Box, Github, CNN, The New York Times, Business Insider, Yelp, Wired, Reddit, Playstation Network ve daha birçok sayıda siteye de ulaşılamıyordu. Az bir zaman sonra sebebi belli oldu, Dyn isimli DNS servis sağlayıcısına yapılan DDoS saldırılarının sonucuydu olanlar.

Dyn bir DNS şirketi. Bu alanda hizmet veren çok sayıda şirketten en büyüklerinden bir tanesi. Dyn saldırıya uğradığında buradan hizmet alan herkes saldırıya uğramış oluyor. 21 Ekim akşamı Dyn saldırıya uğradığında buradan hizmet alanlara erişilemez oluyor.

DNS (Domain Name System : Alan Adı Sistemi), “Internetin Adres Defteri” olarak tanımlanabilir. Okunabilir adresleri Internet adreslerine çeviren bir sistem. Siz kullandığınız web tarayıcınıza bir isim yazdığınızda o isme ait siteye ulaşmanızı sağlayan bir adres defteri.

( Isc.sans.edu =>  66.35.59.249, 2607:f1c0:846:9100::15c )

Eğer bu hizmet sağlayıcı devre dışı kalıp hizmet veremez duruma gelirse, sizin web tarayıcınızdan yaptığınız istekler de adres defteri devre dışı kaldığından istenilen adresi bulamaz, erişemez.

Dyn hizmetini bir çok datacenter üzerinden vererek sağlayan ve sürekliliği/yedekliliği sağlamak için çok çeşitli teknikler kullanan bir DNS servis sağlayıcı. Dyn kadar büyük olunca başka türlüsü de düşünülemez zaten.

DDoS (Distributed Denial of Service – Dağıtılmış Hizmet Önleyici) saldırıları, pek çok farklı kaynak kullanarak, aynı anda çok sayıda talep göndererek hedef internet sitesini ya da bu örnekteki gibi bir DNS Servis Sağlayıcısının çalışmasını önlemeye yönelik saldırılardır. Amaç, hedef site ya da servisi çok sayıda oluşturulan taleple meşgul ederek erişilmesini yada çalışmasını engellemektir. Bu saldırı sürecinde normal bir kullanıcın talepleri de cevaplanamaz hatta mevcut durumun daha kötüleşmesine yol açar. Örnekleyecek olursak; İstanbul’da akşam trafiğinde köprüye normalden en az 10 kat aracın köprüye gidebilen tüm yollardan yöneldiği bir durumu düşünebiliriz. Köprü erişilmez olur, trafikte köprüye yönelen her araç ayrıca köprü trafiğinin daha da sıkışmasına yol açar. Ülke içinde trafikteki araçlardan üçte birinin tüm yollardan İstanbul’a yöneldiğini düşünün; İstanbul erişilmez olur.

Saldırıyı üstlenen olmadı ilk başlarda. New World Hackers isimli bir grup üstlendiğini açıkladı şimdiye kadar. Bu çaptaki saldırıları kim yapıyor sorusu her DDoS saldırısından sonra cevaplanmaya çalışılır. Her saldırı sonrası açıklanan da bağımsız(!) bir hacker grubu tarafından yapıldığıdır. Kim oldukları belirsiz, tanımsız ve de bağımsız(!) bir grup insan. Ya da saldırı yapılan ülkeye zarar vermeye çalışan bir terör örgütü. DDoS saldırıları sürekli olan saldırılardır. Son zamanlarda daha fazla sayıda örneğini görmeye başladık. 21 Ekim 2016 tarihindeki saldırıyı herhalde tüm kaynaklar şimdiye kadar olan en büyük saldırı olarak tanımlamıştır. Dyn ile birlikte alarma geçen ABD yönetimi saldırının sorumlularının tespit edilmesine yönelik gerekli çalışmaların yapıldığını açıkladı ve hala bir isim açıklamış değil.

ekran-resmi-2016-10-24-00-52-12

Bu saldırıdan etkilenen ülke en fazla ABD oldu. Ekonomik zararın en az 8 milyar doları bulduğu ifade ediliyor. Ekonomik olarak ortaya ciddi bir zarar çıksa da saldırıda hedeflenen ana amacın ABD ye ekonomik zarar vermek olmadığını düşünenlerdenim. En büyük bir DNS Servis Sağlayıcı üzerinden bir ülkenin siber uzayında neler yapılabileceğini gösteren, siber uzayının istila edilmesine yönelik bir prova yapıldı sanki.

Dyn tarafından yapılan resmi açıklamaya göre 21 Ekim 2016 11.10 UTC olarak başlayan saldırı aynı gün 22.17 UTC olarak sona erdi ve üç evre halinde gerçekleşti. İlk saldırı kısa bir süre içinde Dyn tarafından savuşturuldu, ancak saldırganlar buna hazırdı, hemen ikinci saldırıya geçtiler, ardından çok güçlü bir üçüncü saldırı yapıldı.

( https://www.dynstatus.com/incidents/nlr4yrr162t8 )

Bu çaptaki bir DDoS saldırısı için çok fazla sayıda istemcinin hedefe yönlendirilmesi gerekmekte. İlk başlarda nereden çıktı bu kadar istemci sorusu hemen oluşmuştu. Bu kadar çok kaynağı kullananların kaynak olarak şeylerin internet ağını (Internet of Things) kullandığı ortaya çıktı kısa bir süre içinde. İşin özeti; bildiğimiz klasik istemcilerle birlikte şeyler saldırdı. Internet of Things (IoT) başlığı altında çok 2-3 yıldır yoğun konuşmaya başladığımız bu küçük IP tabanlı cihazlarla akıllı bir sürü iş yapmayı düşünen bir durumdayken yavaş yavaş bu cihazların güvenlik konusunu da konuşmaya başlamıştık. Bu saldırı ile birlikte bunun ne kadar ciddi bir konu olduğu net bir şekilde ortaya çıktı. Yapılan tahminlerde 2020 yılına kadar 50 milyar gibi bir rakama çıkacağı varsayılan bu IoT cihazlar  nasıl oldu da böyle bir saldırıda kullanıldı? Üretimi ucuz olan bu cihazların, güvenlik konusunda da çok da başarılı bir şekilde yeterli şekilde güvenlik önlemleri alınarak (hem firmware hem de üzerindeki embedded işletim sistemi bazında) piyasaya sürüldükleri söylenemez. Bu olayda şu ana kadar belli olan Mirai adı verilen bir malware ile bu cihazların ele geçirildiği ve bu DDoS saldırısında kullanıldığı varsayılmaktadır. ( https://en.wikipedia.org/wiki/Mirai_(malware) ) Mirai ile ele geçirilen bu cihazlarla oluşturulan saldırı ağına “Botnet of Things” diyebiliriz. Mirai , İnternette tarama yaparak bulduğu cihazlarda bu cihazlar üretilirken konulan standart (default) kullanıcı adı ve şifre ile veya cihazın içine kodlanmış şifreleri kullanıp erişim ve kontrol sağlamış. Pek çok cihazın genelde ilk kurulumdaki şifre ile bırakıldığı bilinen bir gerçektir. Maalesef bir kısım üretici de firmware e gömülü olarak standart şifreler de bırakmaktadır.

Aşağıdaki resimde saldırıda kullanılan cihazların hangi ülkelerde ve hangi yoğunlukta olduğu görülmektedir.

cvdcmphwcaa3dkw 

IoT cihazların böyle bir saldırıda ilk defa kullanılmadığı, daha önce başka örnekler olduğu da görülmektedir. Kasım 2014 de Kore’de bir DDoS saldırısı sonrası yapılan analizlerde bu tür cihazların kullanıldığı tespit edilmiş durumda.

( http://www.slideshare.net/skim71/ddos-attack-on-dns-using-infected-iot-devices )

Şimdilerde herkes yoğun olarak Mirai ile etkilenen hangi cihazlar var diye incelemelerde bulunmakta. Bu sorunun cevabı şu anda ne tür ne de adet olarak belli değil.

Ağırlıklı olarak Çin’li bir üreticinin ürettiği cihazların etkilenmesinden dolayı gözler biraz daha fazla Çin’e doğru çevrilmiş durumda. Aynı problem sadece adı geçen Çin’li üreticinin ürettiği cihazlarda değil aslında bir çok cihazda aynı problem bulunmakta.

Bu olayda bu cihazlar hedeflenmiş bir DDoS saldırısı için sadece bir istemde bulunmak için kullanıldılar. Bu güvenlik zafiyetini kullanarak bu olayda kullanılan cihazlar içinde bulunan IP tabanlı güvenlik kameralarından görüntüler de elde edilebilir, ya da fırını çalıştıran akıllı ev sistemindeki cihazla fırın sıcaklığı en üst düzeye de getirilebilinir diye de düşünmek gerekmez mi?

İyimser rakamlarla 2020 yılında 50 milyar adete ulaşacağı düşünülen IoT tabanlı cihazlar için güvenlik kritik bir parametredir, üzerinde önemle durulmalıdır. Aksi, bu kadar çok bir sayıya ulaşacak cihazlarla internet tamamen kullanılamaz hale bile getirilebilir.

Bu olay açıkça göstermiştir ki; DNS, internet için bir kritik altyapıdır ve güvenliğini/sürekliliğini sağlamak için tekrar bir şeyler düşünmek/tasarlamak gerekmektedir.

DDoS saldırılarını savuşturmak için ülkeler her şeyi baştan düşünmek ve koordine etmek zorunda kalacaklar ve anti-DDoS servis sağlayıcılarla ortak hareket edecek yollar/yöntemler bulmak zorunda kalacaklardır.

Çok büyük ölçekli DDoS saldırılarını ciddi bir yardımlaşma olmadan atlatmak/savuşturmak artık çok zordur.

21 Ekim 2016 saldırısı ülkelerin siber güvenlik stratejilerini gözden geçirmeyi zorunlu hale getirecektir.

DDoS saldırılarını savuşturmak için ülkeler her şeyi baştan düşünmek ve koordine etmek zorunda kalacaklar ve anti-DDoS servis sağlayıcılarla ortak hareket edecek yollar/yöntemler bulmak zorunda kalacaklardır. 

Bulut dönüşümün yaşandığı bir süreçte bu tip bir erişme problemi e-dünyada ne tür aksaklıklar yaratır sorusu da ortadadır.