Makale Özeti

Bu yazımızda bir senaryo üzerinde duracağız ve tehdit tiplerini analiz edeceğiz.

Makale

Bu yazımızda bir senaryo üzerinde duracağız ve tehdit tiplerini analiz edeceğiz.
Çokuluslu bir şirkette proje yöneticisisiniz. Şirketiniz tüm satış tabanlı bilgileri tutmak için merkezi bir SQL Server veritabanı kullanıyor. SQL Server’da güvenlik modu ‘integrated security’. Organizasyonun proje yöneticisi olarak SQL Server ve IIS gibi kaynaklara yetkilendirilmiş erişim haklarınız var. Birgün patronunuzun acil bir telefonu üzerine masanızı olduğu gibi bırakıp koşuyorsunuz. Sizden hoşnut olmayan bir çalışma arkadaşınız bu durumu ‘ganimet bilip’ savunmasız bilgisayarınızın başına geçiyor.
Gelelim tehditleri sınıflandırmaya:

- Saldırgan SQL Server’a giriş yapmayı başarıyor.

Bu yaptığını bir başkasının kimliğine bürünmek sayesinde yapabiliyor. (STRIDE – Spoofing). Ama sadece bununla kalmıyor tehdit. Yapılan işlerin arkadaşınız tarafından mı yoksa sizin tarafınızdan mı gerçekleştirildiğini ispatlamak da çok güç. Arkadaşınızın –nasıl arkadaşsa!- yaptığını reddetme şansı da var. (STRIDE – Repudiation)
Hafifletme taktiği olarak, SQL Server’da güvenlik modu olarak SQL Server modu kullanılabilir. Böylelikle, kullanıcı masabaşına geçse ve bilgisayarınız administrator hesabı ile açık durumda olsa bile, kullanıcı ismi ve şifreyi bilmediği için SQL Server’a bağlantı açamaz.

- Verilerde değişiklik yaptıktan sonra, saldırgan SQL Server hizmetini durdurur.

Bu, hizmetin engellenmesi türünde bir ataktır. (STRIDE – Denial Of Service). Gerçek kullanıcıların SQL Server’a dayalı hizmeti almasına engel olur. Bunu engellemek için proje yöneticisinin bilgisayarın başından ayrılırken sistemi kilitli duruma getirmesi ya da daha az yetkili bir hesapla oturum açmış olması gerekirdi.

- Saldırgan, Outlook üzerinden proje yöneticisinin hesabını kullanarak bir başka çalışana üzgün olduğunu ama onu kovmak zorunda olduğunu belirten bir e-posta atar.

Bu da başkasının kimliğine bürünme (STRIDE – Spoofing) tarzında bir saldırıdır. Saldırgan proje yöneticisiymiş gibi bir e-posta atabilmiştir. Proje yöneticisinin Outlook’ta bir şifre kullanmış olması bu duruma engel olabilirdi.

- Saldırgan Bilgisayar Yönetimi konsolunu kullanarak yönetsel haklara sahip yeni bir hesap oluşturur. Bu sayede artık sisteme uzaktan yönetsel haklarla bağlanabilme şansını yakalar.

Bu, imtiyaz elde etme (STRIDE – Elevation of Privilege) türünde bir saldırıdır. Saldırgan sıradan bir kullanıcının haklarına sahipken yönetsel haklara ulaşabilme şansını elde etmiştir. Proje yöneticisinin daha kısıtlı haklara sahip bir hesapla giriş yapmış olması böyle bir değişikliğin yapılmasına engel olabilirdi.

- Saldırgan proje yöneticisinin sistemine tuş vuruşlarını yakalayan bir program ve uzaktan takip altında tutmaya yönelik bir program yükler.

Bu bilgi ifşasıdır. (STRIDE – Information Disclosure). Saldırgan proje yöneticisinin e-posta metinleri ve parolalar dahil olmak üzere klavye ile tuşlayacağı her şeye erişebilir duruma gelmiştir. Proje yöneticisinin bir antispy programı çalıştırıyor olması tuş vuruşlarını yakalayan programın açığa çıkmasını sağlayabilirdi. Ayrıca firewall kullanımıyla istenmeyen uzaktan kontrol araçlarının önüne geçilebilir.

- Saldırgan yerleştirdiği uzaktan yönetim aracını kullanarak sisteme sonradan bağlanarak IIS’i durdurur.

Bu saldırıda hem kimliğe bürünme hem de hizmeti engelleme vardır. (STRIDE – Spoofing, Denial of service). Bunu önlemek için proje yöneticisinin en başta bilgisayarı böyle yönetsel bir hesap açık durumda bırakmaması gerekirdi.

- Saldırgan, proje yöneticisinin makinesinde diğer saldırılarını yaptıktan sonra Olay Görüntüleyicisini açar ve tüm olay günlüklerini temizler.

Bu, reddetmeye yönelik bir saldırıdır. Saldırgan, yaptığı işlerle ilgili kanıtları silmektedir. Proje yöneticisinin yönetsel gruplara üye hesapları belirli aralıklarla incelemesi ve kullanılmayanları silmesi, zararı hafifletici bir eylem olabilirdi.