empower)your) businessdownload.microsoft.com/documents/mea/events/guvenli_microsoft_… ·...
TRANSCRIPT
“Empower Your Business”
AZURE’DA GÜVENLİKADEO IT Consulting Services
Halil ÖZTÜRKCİMicrosoft MVPCISSP, GPEN, GCFA, GREM, CEH, CHFIADEO Bilişim Danışmanlık [email protected]
BEN KİMİM?
Adli Bilişim Uzmanı
Beyaz Şapkalı Hacker
Adli Bilişim Derneği & USMED
Microsoft MVP, Enterprise Security
ADEO Kurucu Ortak&Güvenlik Birimi Yöneticisi
Güvenlik TV Yapımcısı ve Sunucusu
SANS Mentor (www.sans.org)
CISSP, GPEN, GCFA, CHFI, CEH...
www.halilozturkci.com
halilozturkci
AZURE NEDİR?
Microsoft'unbulutplatformudur: Dahahızlı ilerlemenize Daha fazla şey yapmanıza Paradan tasarruf etmenize yardımcıolan Tümleşik hizmetler (bilgi işlem, depolama, veri, ağ veuygulama gibi) içeren büyüyen bir koleksiyondur.
Üç türde hizmet sunulur; Infrastructure as a Service (IaaS) Platform as a Service (PaaS) Software as a Service (SaaS).
SIZMATESTİ
Microsoft, Azure güvenlik denetimlerini ve süreçleriniiyileştirmek için düzenli olarak sızma testleri yapmaktadır.
Güvenlik değerlendirmesinin de müşterilerin uygulamageliştirme ve dağıtma çalışmalarının önemli bir parçası olduğunubiliyoruz. Bu nedenle, müşterilerin Azure'de barındırılanuygulamaları üzerinde yetkili sızma testleri gerçekleştirmeleriiçin bir ilke belirledik.
Bu tür bir test gerçek bir saldırıdan farksız olabileceğinden, müşterilerin sızma testini önceden Azure Müşteri Desteği'ndenonay aldıktan sonra yapmaları önemlidir. Sızma testi, hüküm ve koşullarımıza uygun olarak yapılmalıdır. Sızma testi talepleri en az 7 gün önceden bildirimde bulunularak gönderilmelidir.
AZURE GÜVENLİĞİNİ NASIL TEST ETTİK?
TEST ORTAMI
DVWA – Damn Vulnerable Web Application
Bu güvenlik testi, Damn Vulnerable Web Application kullanılarak gerçekleştirilmiştir. Test sırasında Azure – Ubuntu Server 12.04 LTS kullanılmıştır.
Kullanılan diğer bileşenler;Apache Server version: Apache/2.2.22 (Ubuntu) – x64
PHP: PHP/5.3.10-1ubuntu3.15MySQL: 5.5.40-0ubuntu0.12.04.1
SALDIRI ÖRNEKLERİ
SQL INJECTION -1
DVWA Uygulaması – SQL Injection modülüne %' or '0'='0' # kodu girilerek SQL injection zafiyetinin varlığı görüntülenmiştir. Sunucu gönderilen SQL Injection’a yanıt
olarak Kullanıcı Adı ve Kullanıcı Soyadı bilgilerini geri döndürmüş, SQL Injection başarıyla tamamlanmıştır.
SALDIRI ÖRNEKLERİ
SQL INJECTION -2
DVWA Uygulaması – SQL Injection modülüne %' or 0=0 union select null, version() # kodu girilerek SQL injection zafiyetinin varlığı görüntülenmiştir. Sunucu gönderilen
SQL Injection’a yanıt olarak Kullanıcı Adı ve Kullanıcı Soyadı bilgilerini geridöndürmüş, SQL Injection başarıyla tamamlanmıştır.
SALDIRI ÖRNEKLERİ
SQL INJECTION -3
DVWA Uygulaması – SQL Injection modülüne %' and 1=0 union select null, table_name from information_schema.tables # kodu girilerek information_schema’dan
tablo bilgileri elde edilmiştir.
SALDIRI ÖRNEKLERİ
SQL INJECTION -4
DVWA Uygulaması – SQL Injection modülüne %' and 1=0 union select null, concat(first_name,0x0a,last_name,0x0a,user,0x0a,password) from users # kodu
girilerek users tablosundan kullanıcı adı ve şifre bilgileri elde edilmiştir.
SALDIRI ÖRNEKLERİ
Cross Site Scripting - Reflected (XSS) -1
DVWA Uygulaması – XSS Reflected modülüne <SCRipt>alert('XSS değil de açıklıkolması kötü abi')</scrIPT> kodu girilerek sayfada XSS oluşmasını sağladık.
SALDIRI ÖRNEKLERİ
Cross Site Scripting - Reflected (XSS) -2
DVWA Uygulaması – XSS Reflected modülüne<script>alert(document.cookie)</script> kodu girilerek sayfada XSS zafiyeti ile
kullanıya ait cookie bilgileri elde edildi.
SALDIRI ÖRNEKLERİ
Cross Site Scripting – Stored (XSS)
DVWA Uygulaması – XSS Stored modülüne <script>alert(document.cookie)</script> kodu girilerek sayfada XSS zafiyeti ile kullanıya ait cookie bilgileri elde edildi.
Strored XSS olduğundan dolayı sayfayı ziyaret eden tüm kullanıcıların cookie bilgilerielde edilmiştir.
SALDIRI ÖRNEKLERİ
Remote File Inclusion (RFI)
DVWA Uygulaması – File Inclusion modülüne PHP Shell eklenerek, sunucununyönetimi ele geçirilmiş ve /etc/passwd dizini okunmuştur.
SALDIRI ÖRNEKLERİ
Command Execution
DVWA Uygulaması – Command Execution modülüne 10.0.21.5; cat /etc/passwdkomutu ile /etc/passwd dizini okunmuştur.
Web Application Firewall -‐ WAF
WAF
Azure Web Application Firewall kurulduktan sonra, gönderilen istekler Barracuda üzerinden web uygulamasına iletilmiş ve zararlı istekler başarılı bir şekilde
engellenmiştir.
Web Application Firewall -‐WAF
SQL INJECTION - 1
DVWA Uygulaması – SQL Injection modülüne %' or '0'='0' # kodu girilerek SQL injection zafiyet kontrol edilmiştir. Zafiyet Barracuda WAF tarafından başarılı bir
şekilde engellenmiştir.
Web Application Firewall -‐WAF
SQL INJECTION - 2
DVWA Uygulaması – SQL Injection modülüne %' and 1=0 union select null, concat(first_name,0x0a,last_name,0x0a,user,0x0a,password) from users # kodu
girilerek kullanıcı bilgileri alınmaya çalışılmıştır. Açıklık Barracuda WAF tarafındanbaşarılı bir şekilde engellenmiştir.
Web Application Firewall -‐WAF
Cross Site Scripting (XSS)
DVWA Uygulaması – XSS Reflected modülüne<script>alert(document.cookie)</script> kodu girilerek XSS zafiyeti yeniden test edilmiştir. Açıklık Barracuda WAF tarafından başarılı bir şekilde engellenmiştir.
Web Application Firewall -‐WAF
Sonuç?
SHARED RESPONSIBILITY
REDUCE SECURITY COSTS + MAINTAIN FLEXIBILITY, ACCESS, & CONTROL
Customer Microsoft
On-‐Premises IaaS PaaS SaaS
Storage
Servers
Networking
O/S
Middleware
Virtualization
Data
Applications
Runtime
• Application Security & SDL• Access Control• Data Protection• O/S Baselines, Patching, AV, Vulnerability
Scanning, Penetration Testing• Logging, Monitoring, Incident Response• ISMS Programmatic Controls• Certifications, Accreditations & Audits
IAASCUSTOMER RESPONSIBILITIES
Access ControlData Protection
• Geolocation• Data Classification and Handling• Privacy and Data Regulatory Compliance
Logging & Monitoring Access and Data ProtectionISMS Programmatic ControlsCertifications, Accreditations and Audits
PAASCUSTOMER RESPONSIBILITIES
DDOS PROTECTION AND AZURE
Distributed Denial of Service Protection (DDoS) is a layer of the Azure physical network that protects the Azure platform itself from large scale internet based attacks where attackers use multiple “bot” nodes in an attempt to overwhelm an Internet service.
Azure has a robust DDoS protection mesh on all inbound internet connectivity. This DDoS protection layer, has no user configurable attributes and is not accessible to customer.
This protects Azure as a platform from large scale attacks, but will not directly protect individual customer application.
Additional layers of resilience can be configured by the customer against a localized attack. For example; if customer A was attacked with a large scale DDoS attack on a public endpoint, Azure will block connections to that service.
SONUÇ
Hangi servis tipini seçtiğiniz size sunulanvarsayılangüvenlikseçeneklerini belirler.
Varsayılanolarak size sunulanözellikleri düzgünşekildeayarladığınızdaneminolun.
Mutlakakendigüvenlik testinizi yapın veya yaptırın.
Uygulamalarınızı Azure’a taşımadan önce mutlaka statik kaynak kod analizini yaptırın.
Sunucularınızın ve uygulamalarınızın loglarını mutlaka belirli aralıklarla monitor edin.
TEŞEKKÜRLER
26
halil.ozturkci@adeo.com.trwww.adeo.com.trwww.halilozturkci.comwww.twitter.com/halilozturkci
İLETİŞİM