Kanarya ve Siber Güvenlik

Kanarya sevenler derneği… Böyle bir yer var. Hatta pek çok ilde ve bazı durumlarda ırk bazında kanarya sevenler dernekleri görülebilir. Sanırım halkımızın kanarya sevgisini kanarya sesli kapı zilleri iyi bir şekilde özetleyebilir.

Siber güvenlik konusunda 5-10 dakika sohbet ettiğim herkes benden “eninde sonunda bir ihlal yaşanacak” sözünü duymuştur. İddiamın arkasındayım; 2014 yılında 250 milyon dolar siber güvenlik bütçesi olan JP Morgan Chase bile veri çaldırdıysa bizlerin pek şansı yok gibi görünüyor.

Bu bakış açısı biraz karamsar gibi görünse de işi gücü bırakıp limon satmaya başlamaya niyetim yok. Kaynaklarımızı hackerların nispeten daha az avantajlı oldukları ve siber ölüm zincirinin (cyber kill chain, bkz. http://alperbasaran.com/apt-ve-olum-zinciri/) ilerleyen halkalarına yönlendirmeye başladığımız yeni doktrini benimsiyoruz.

Kısaca;

  • Birileri bir şekilde ağ ve/veya sistemlerimize sızacak
  • Bu birileri verilerimizin peşinde olacak ve/veya rastladıkları dosyaları kurcalayacak
  • Bu birilerinin varlığını hızlıca tespit etmemiz gerekiyor

Bu kapsamda; “kanarya jetonu” yaklaşımı kurumsal veya bireysel olarak işimize çok yarayabilir. Yaklaşım oldukça basit; saldırganın ilgisini çekecek ve bir şekilde kurcalayacağı bir “tuzak” kurmak. Balküpü sistemlerinden farklı olarak bu yaklaşım saldırganın verilere erişimini tespit etmeyi hedefler.

Bu amaçla veritabanı içerisine tekil değerler ekleyip ağ geçidi (güvenli,k duvarı, proxy, vb.) seviyesinde üzerinden geçen paketlerin içeriğini okuyabilen çok basit çözümler bile ilgili veri geçtiğinde alarm verecek biçimde konfigüre edilebilir.

https://www.stationx.net/canarytokens/ adresinde kendinize ücretsiz ve çok kullanışlı “alarm” dosyaları oluşturabilirsiniz.

Bunları olası bir saldırganın bakacağı yerlere (örn: Windows sunucunuzun masaüstüne) ve ilgi çekecek bir isimle (örn: Sunucu_Sifreleri.docx) olarak kaydederseniz meraklılardan hızlıca haberdar olabilirsiniz.

Aşağıdaki görüntülerde basit bir dosya oluşturmanın adımlarını görebilirsiniz.

Sayfada bulunan “Start Creating Tokens!” butonuyla jetonu oluşturmaya başlıyoruz.

 

Uyarı mailinin gönderileceği adres bilgisini ve uyarı mailinin içeriğini yazmamızı istiyor (aşağıda)

Site pek çok farklı alarm mekanizması seçeneği sunuyor. Bunların içerisinde Word belgesini indiriyorum.

Aşağıdaki gibi bir word dosyası indiriliyor

 

Olaya bir miktar inandırıcılık katmak için dosyanın içerisine “ilginç” veya kuruluş çerçevesinde anlamlı görünebilecek veriler yazılabilir

Dosyanın açılmasıyla aşağıda görüldüğü gibi alarm maili geliyor