BiznetBiznet

By Murat Aydemir

NMAP Kullanılarak EKS/SCADA Sistemlerinde Aktif Tarama/Bilgi Toplama

Endüstriyel Kontrol Sistemleri(EKS) ve Supervisory Control and Data Acquisition (SCADA) sistemleri, elektrik iletim/üretim ve dağıtım işletmelerinde, enerji ve nükleer santrallerde, kimyasal fabrikalarda, rafinerilerde, su ve arıtma işletmelerinde ve daha büyük endüstriyel komplekslerde bulunan kritik altyapıların bir parçasıdır. Endüstriyel işletmelerin artan verimlilik talepleri, tüm dünyayı etkisi altına alan dijitalleşme trendi ve belkide en önemlisi; IT-OT yakınsamasının kontrolsüz bir şekilde artması Kritik Altyapılar için yeni atak yüzeyleri oluştururken, izleme (monitoring) teknolojilerinin gelişmesi ve OT bileşenler arasındaki bağlantıyı(connectivity) iyileştirmeyi amaçlayan yeni nesil ağ teknolojileri, EKS ve Kritik Altyapıları “özelleşmiş OT ağı saldırıları” olarak isimlendirilen yeni atak vektörlerinin hedefi haline getirmeye başladı.

EKS güvenliği alanında yapılan çalışmalar incelendiğinde, endüstriyel organizasyonlarda bulunan izole edilmiş şebeke ve yapıların bir parçası olduğu düşünülen OT ağ ve sistemlerinin, İnternet’e doğrudan veya dolaylı bir şekilde bağlı ve uzaktan erişilebilir olduğu görülmektedir. İstatistiki analiz sonuçlarına göre; bu şekilde internete doğrudan erişimi bulunan kritik altyapıların sayısının sürekli olarak arttığı görülmektedir. Siber güvenlik uzmanlarının EKS’ ler üzerine yaptığı analizler; bu alanda kullanılan birçok protokol ve ürünün evrensel güvenlik gerekliliklerini sağlamadığı ve bunun sonucu olarak siber saldırılara karşı savunmasız olduğunu işaret etmektedir.

Nmap; EKS-OT ağların için sızma testleri yapılırken, aktif bilgi toplama(active information gathering) aşamalarında kullanılan open source bir araçlardan bir tanesidir. Nmap bilinenin aksine sadece port taraması yapmakla kalmaz, desteklediği Nmap Script Engine(NSE) paketleriyle birlikte işletim sistemi bilgisi, kullanıcı listeleme(user enumeration), framework ve versiyon bilgisi gibi çok çeşitli özelleşmiş amaçlar içinde kullanılabilmektedir.

Biznet Bilişim EKS ekibi olarak yaptığımız saha çalışmalarında, “geleneksel IT güvenlik araçlarının OT ortamlarında nasıl kullanılabileceği” sıkça karşılaştığımız sorulardan bir tanesiydi. Bu sebepten dolayı “NMAP Kullanılarak EKS/SCADA Sistemlerinde Aktif Tarama/Bilgi Toplama” isimli bu yazıyı kaleme aldık

By Murat Aydemir

Endüstriyel Kontrol Sistemleri için Purdue Katmanlı Güvenlik Mimarisi

Endüstriyel Kontrol Sistemleri (EKS), teknolojinin gelişmesi ve bu teknolojilerin endüstriyel ortamlarda kullanılmasıyla beraber her geçen gün daha yetenekli sistemler haline gelmektedir. Bu gelişimin önemli sebeplerinden birisinin geleneksel IT teknoloji/metodlarının endüstriyel kontrol sistemlerine uyarlanması olduğunu söylemek yanlış olmayacaktır. Bu durum IT ve OT teknolojilerinin yakınsamasının bir sonucu olarak ortaya çıkmaktadır. Şüphesiz Endüstri 4.0 devrimi, IoT ve IIoT teknolojilerinin yaygınlaşması ve işletmelerin artan verimlilik, kolay erişilebilirlik gibi taleplerinin bir sonucu olarak IT ve OT ortamlarının birbirine yakınsaması kaçınılmaz oldu. Ancak IT-OT yakınsamasının kontrolsüz şekilde artması kritik altyapılar için yeni saldırı yüzeyleri oluştururken, IoT ve IIoT teknolojilerinin OT ortamlarında aktif olarak kullanılmaya başlanması EKS’ ler için atak vektörü sayısını arttıran diğer bir nokta olmaktadır.

Endüstriyel altyapılarda genellikle birbirleriyle ilişkili ve birbirlerini besleyen çok sayıda farklı süreçten oluşmaktadır; bu sebeple yapıları gereği flat(düz) ağ mimarisinden ziyade çok katmanlı mimarilere sahip topolojilerdir. Her katman, kendisiyle ilişkili başka katmanlarla iletişim halinde olmakla beraber, her katman için uygulanması gereken güvenlik kriterlerinin farklı olması sebebiyle, her katman güvenlik mekanizmaları açısından farklılık gösterebilmektedir. Bu nedenle EKS gibi çok katmanlı topolojiler için derinlemesine güvenlik(defense-in-depth) anlayışı uygulanmalıdır. Bu anlayış; siber saldırılara karşı alınan tüm önlemlerin bir şekilde atlatılacağı fikrini baz alarak geliştirilmiştir.  Derinlemesine güvenlik anlayışı; her katman için, ilgili katmanın gerekliliklerine-özelliklerine ve bulundurduğu varklıklara göre önlem alınıp, saldırganın başarı oranını düşürmeyi hedef almaktadır.

Endüstriyel altyapılarda güncel teknolojilerin kullanılması, bu sistemleri daha becerikli hale getirirken, sistemlerin olası atak yüzeylerini arttırarak siber tehditleri de arttırdığından bahsetmiştik. Bu bağlamda gerek atak yüzeylerinin minimum seviyede tutulması, gerekse – her katman için- kontrol sistemlerin yönetimini daha güvenli hale getirmek için Purdue Üniversitesi (Indiana) tarafından “Purdue Model” katmanlı ağ mimarisi geliştirilmiş ve International Society of Automation ISA tarafından EKS’lere uyarlanmıştır. ISA; mühendislik, teknoloji gibi alanlarda iyileştirmeler yapan, aynı zamanda endüstriyel otomasyon ve kontrol sistemleri için standartları oluşturan bir kurum olup ISA-99 standardıyla beraber EKS’ler için siber güvenlik standardını oluşturmuştur.

By Can Demirel

GE Controller Dizin Gezinimi Güvenlik Açığı

CVE: CVE-2018-19003

CVSS :  7.4  CVSS V3 AV:A/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N

Risk Seviyesi: Yüksek

Ürün: GE Mark VIe, EX2100e, EX2100e_Reg, and LS2100e

Etkilenen Sürümler:
Mark VIe 03.03.28C – 05.02.04C arası tüm sürümler ,
EX2100e v04.09.00C öncesi tüm sürümleri,
EX2100e_Reg  v04.09.00C öncesi tüm sürümler
LS2100e v04.09.00C öncesi tüm sürümler

Yama Tarihi: 13.12.2018

Raporlayan: Can Demirel

Problem Detayları: GE Controller’ları üzerinde dizin gezinimi zafiyeti tespit edilmiştir. Bu zafiyet kullanılarak controller üzerindeki parola bilgisini ele geçirmek mümkündür.

Çözüm/Öneri:Üretici tarafından yayımlanan yamaların üretici kontrolünde devreye alınması önerilmektedir.

Referanslar:https://ics-cert.us-cert.gov/advisories/ICSA-18-347-04

By Can Demirel

SANS ICS (Industrial Control System) Security Summit Ardından

Biznet Bilişim olarak son iki yıldır endüstriyel kontrol sistemlerinin (EKS) siber güvenliğine yönelik çalışmalarımızı, bu yıl itibariyle daha da yoğunlaştırdık. Bu çerçevede uluslararası alanda ikili işbirlikleri kurmak, konu uzmanları ile doğrudan temasta bulunmak ve ilgili eğitimleri alarak hizmet kalitemizi artırmak adına Mart ayında Orlando, Florida’da 12.si düzenlenen SANS ICS Summit’e katıldık. Ülkemizde de EKS siber güvenlik farkındalığının giderek arttığını düşünerek bu etkinlikte edindiğimiz izlenimleri sizlerle paylaşmak istedik.
  Read more

By Ateş Sünbül

Artık resmi olarak kişisel bilgileri koruyacağız…

Bir süredir beklediğimiz 6698 – Kişisel Verilerin Korunması Kanunu, 7 Nisan 2016 tarihinde resmi gazetede yayınlanarak artık yürürlüğe girmiş bulunmaktadır. Bu kanunun gelmesiyle birlikte müşteri bilgilerinin korunması kritik bir konu haline gelmiştir. Kanun her türlü cezai ve inceleme konularında Kişisel Verileri Koruma Kurumu’nu yetkili kılmaktadır.

Kanunun amacı kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek olarak adreslendi. Kapsamına baktığımızda ucundan kıyısından müşteri bilgilerini ilgilendiren herkes kapsama dahil oldu. Özellikle bankalar ve büyük ölçekli şirketlerin çok sayıda tedarikçiyle çalıştığını düşündüğümüzde tedarikçi yönetimi ve güvenlik konuları tekrar değinilmesi gereken bir konu olarak görülmektedir.

Kişisel veri gerçekten nedir?

Kanun kişisel bilgiyi, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir” olarak tanımlıyor. Peki pratikte bundan ne anlıyoruz? Örnek vermek gerekirse 12345678912 TCKN numarası kendi başına bir anlam ifade etmeyen sayı dizisidir, lakin 12345678912 TCKN’li kişi Ateş Sünbül’dür, veya şu adreste oturur veya medikal bilgileri böyledir şeklinde bağlar kurmaya başladığımızda, bu bilgi artık kişisel veri oluyor.

İlk göze çarpan konular

Kanunu incelediğimizde göze çarpan ilk konu, artık kişisel verileri işlerken sadece kanunda tanımlanan usul ve yöntemlerin kullanılması zorunluluğu ve belirli haller dışında kişisel rıza olmaksızın veri işlenmemesi gerektiğidir.

Dikkat çeken konulardan bir diğeri ise, özel nitelikli kişisel verilerdir ki bu veriler genelde biyometrik ve sağlık verilerini içermektedir. Bankacılık ve finans sektörü bu verilerin korunmasına çok aşinayken, sağlık sektörü için belirli güvenlik gereksinimlerini hızlıca sağlamak kolay olmayabilir.

Özetle kritik maddelerin üstünde geçelim;

Madde 7; Bu maddeyle birlikte artık yasal olarak bir ihtiyacımız yok ise kişisel bilgilerin yok edilmesi veya anonim hale getirilmesi istenmektedir. Genel olarak Pazarlama aktiviteleri için şirketler müşteri bilgilerini ayırt etmeksizin saklama yönünde inisiyatif kullanmaktadır. Bu madde ile birlikte gelen gri alanlardan birinin de cevabı “müşterinin ilişiği bir şirketle ne zaman kesilir?” sorusunun yanıtında yatıyor. Şirketlerin müşteri sınırlarını bu noktada tekrar belirlemesi gerekebilir.

Madde 8; Kişisel bilgilerin aktarımı kişinin rızası olmadan yapılamaz kuralı gelmiştir. Bunun anlamı da pazarlama vs. faaliyetleri için müşteri bilgilerini dış kaynak tedarikçilerle paylaşma veya kardeş kuruluşa iletme konuları artık kritik bir hal almıştır.

Madde 9; Geçmişten beri çokça karşımıza çıkan sanallaştırma ve bulut çözümlerinin sınırları artık bu madde ile belirlenmeye başladı. Kritik olan konu yeterli koruma…Kurul yeterli koruma sağlayan ülkeleri ilan edeceğini ifade ediyor ama bunun yanında yabancı ülke veri sorumlularından bir de taahhüt isteniyor. Buna ek olarak bir değerlendirme daha yapılacağı da maddenin içinde tekrar ifade ediliyor. Özellikle bulut çözümleri aracılığıyla müşteri bilgilerini saklayan şirketlerin yapılarını tekrar kontrol etmelerini, ilgili kanun maddelerine ilişkin durumlarını bu aşamada gözden geçirmelerini öneriyoruz.

Madde 10 ve 11; Bu maddeler müşterilere çok geniş haklar tanımaktadır. Özellikle şirketlerin bilgilendirme yükümlülüklerinin öne çıktığı görülmektedir. Başka bir deyişle tanımadığı ve bilgilerini paylaşmadığı bir çağrı merkezi (call center) aradığında, artık müşterinin sorgulama hakkı var. Burada tanımlanan yükümlülükleri yerine getirmemenin de cezası  5.000 Türk Lirasından 100.000 Türk Lirasına kadar.

Madde 12; İfadeler çok geniş olmakla birlikte istenen, müşteri bilgileri güvenliğinde makul güvence sağlanmasıdır. Veri sorumlusunun bu çerçevede her türlü teknik ve idari tedbirleri alması ve denetimlerle bunu teyit etmesi kanunca beklenen konulardan biridir. Dikkat çeken bir başka konu kişisel bilgileri koruma yükümlülüğünün, çalışan ilgili şirketten ayrıldıktan sonra da devam etmesidir. Yani başka deyişle müşteri porföyünü alıp giden satış sorumlusu artık 15.000 Türk Lirasından 1.000.000 Türk Lirasına kadar cezalandırılabiliyor.

Öneriler…

Kanunu incelediğimizde kurum ve şirketlerin pratikte yapmasını önereceğimiz hususlar;

  1. Veri sınıflandırması ve haritalandırmasını yaparak kişisel bilgilerinizi belirleyin.
  2. Tokenization sistem ve yöntemlerinin veri sınıflandırmayı desteklediğini ve güvenliğinizi arttırdığını unutmayın.
  3. Erişim yönetimi kontrollerini tekrar gözden geçirerek gerekli güvenlik önlemlerini uygulayın.
  4. Bilgi paylaşımında bulunduğunuz dış kaynak tedarikçilerinize ve güvenlik kontrollerine dikkat edin, unutmayın güvenlik sorumluluğu öncelikle veri sorumlusundadır.
  5. Şirketinizden ayrılan veri sorumlularına dikkat, hala yükümlülükleri devam ediyor. İşten ayrılış süreçlerinizdeki güvenlik adımlarına dikkat edin.
  6. Veri güvenliği için denetim ve güvenlik testleri yaptırın.
  7. Veri sızmalarına karşı veri sınıflandırmasıyla uyumlu olarak ek güvenlik kontrollerini değerlendirin.

Unutmayın ki basit olarak yapılması gereken şey, kişisel bilgileri mümkün mertebe kısıtlı yerde barındırmak, korumak ve gerekmedikçe paylaşmamaktır.