Balküplerinin Önemi

Artık balküplerinin 2 genel kategorisini de anlayabildiğimizden, onların esas önemine odaklanabiliriz. Özelikle onları nasıl kullanabileceğimize. Bir kez daha, 2 genel kategorimiz var, balküpleri üretim amaçlı veya araştırma için kullanılabilirler. Üretim amaçlı kullanıldıklarında balküpleri bir organizasyonu korurlar. Bu koruma, önleme, tespit etme veya organizasyonlara bir atağa cevap vererek yardımcı olma şeklinde olabilir. Araştırma amaçlı kullanıldıklarında, balküpleri bilgi toplamak için kullanılırlar. Bu bilgiler farklı organizasyonlar için farklı değere sahiptir. Bazıları saldırgan hareketlerindeki gidişat üzerine çalışmak isterken, bazıları erken uyarı ve tahmin veya kanun yaptırımıyla ilgili olabilirler. Genelde, yüksek etkileşimli balküpleri araştırma amaçlı kullanılırlarken, düşük etkileşimli balküpleri üretim amaçlı kullanılırlar. Buna rağmen iki tip balküpü de her iki amaç için de kullanılabilir. Üretim amaçlı kullanıldıklarında balküpleri organizasyonları şu 3 yoldan biriyle koruyabilirler; engelleme, tespit etme ve cevap verme. Biz bir balküpünün bu üçü içinde nasıl çalıştığına derin bir bakış atacağız.

Balküpleri atakları engellemeye birçok yolla yardım ederler. Birincisi solucanlar (worms) ve otomatik root oluşturuculara (automatic rooters) karşıdır. Bu tarz ataklar, savunmasız bir sistem bulmak için bütün ağı rastgele arayan araçlarla yapılmaktadır. Eğer zayıf sistem bulunursa, bu otomatikleştirilmiş araçlar saldırıya geçip sistemi ele geçirirler (solucanların kendini çoğaltması veya kurban sisteme kopyalamasıyla). Bu gibi ataklara karşı balküplerinin yapabileceği bir savunma yolu solucanların tarama hızını düşürmek hatta imkan dahilinde durdurmaktır. Bu balküpleri yapışkan olarak çağırılırlar ve kullanılmayan IP uzayını görüntülerler. Bahsettiğimiz gibi tarama hareketlerinden biriyle karşılaştıklarında, etkileşime geçip saldırganı yavaşlatırlar. Bu işi ise “tutucu şablona hapsetmek”, “sıfırın Windows boyutu” gibi çeşitli TCP hileleri kullanarak yaparlar. Bu, organizasyonuna sızmış bir solucanın yayılmasını yavaşlatmak veya engellemek için mükemmeldir. Bu yapışkan balküpünü gerçekleştiren güzel bir örnek “LaBrea Tarpit”tir. Yapışkan balküpleri çoğu zaman düşük etkileşimlidir (saldırganları emeklemeye doğru yavaşlattıklarından yapışkan balküplerini etkileşimsiz balküpleri olarak da adlandırılabilirler). Balküpleri organizasyonunuzu insan saldırganlardan da koruyor olabilirler. Burdaki mantık aldatma veya caydırmadır. Anafikir, saldırganın bütün kaynaklarını ve zamanını balküpüne harcatarak kafasını karıştırmaktır. Bu arada, organizasyonunuz saldırganın hareketlerini tespit etmiş, saldırgana cevap vermek ve durdurmak için gerekli zamana da sahip olmuş olur. Bu yaklaşım da bir adım ilerletilebilir. Eğer saldırgan organizasyonunuzun balküpü kullandığını biliyorsa ama hangi sistemlerin balküpü hangi sistemlerinse normal bilgisayarlar olduğunu bilmiyorsa, balküpleri tarafından yakalanma şüphesine düşüp sisteminize saldırmama kararı alabilir. Bu yüzden balküpleri saldırganı caydırır. Bunu yapmak için tasarlanmış bir düşüş etkileşimli balküpü olan Deception Toolkit‘tir.

Balküplerinin bir organizasyonun korunmasına yardım edebileceği ikinci yol ise doğrudan tespittir (through detection). Tespit etme kritiktir, amacı engellemelerdeki kırılmaları veya çökmeleri tanımlamaktır. Organizasyonlar ne kadar güvenli olursa olsun, işin içinde insanların olması gerekiyorsa, başka bir nedene gereksinim duymaksızın orda her zaman çökmeler olacaktır. Saldırganı tespit ederek, ona kolayca cevap verebilir, verecekleri zararı azaltabilir veya durdurabilirsiniz. Geleneksel olarak, tespit etmenin gerçekleştirilmesi zor olduğu kanıtlanmış bir olaydır. IDS sensörleri ve sistemleri gibi teknolojiler, birçok nedenden dolayı başarısız günlükleme yapmaktadırlar. Bu gibi teknolojilerin çok fazla veri günlüklemesi, olumlu sonuçların yanlış ve geniş bir yüzdesini oluşturmaları, yeni atakları tespit etmekte, şifrelenmiş ortamlarda veya IPV6 çevresellerinde çalışmakta yetersiz olmaları başlıca eksiklikleridir. Balküpleri tespit etme ve geleneksel tespit mekanizmasının sorunlarını gidermekte iyi çalışırlar. Balküpleri yüksek değerlerin küçük veri parçalarını yakalayarak, polimorfik shellcode veya yeni dinamitler (exploits) gibi bilinmeyen atakları yakalayarak, IPV6 ile ve şifrelenmiş ortamlarda iyi çalışarak, doğrulukların sahteliğini en aza indirirler. Bu konu hakkında daha fazlasını Honeypots: Simple, Cost Effective Detection adlı makalede bulabilirsiniz. Genelde, tespit için en iyi çözümleri düşük etkileşimli balküpleri sağlamaktadırlar. Riskleri daha düşüktür, geliştirmesi ve bakımı da yüksek öncelikli balküplerinden daha kolaydır.

Balküplerinin bir organizasyonun korunmasına yardım edebileceği üçüncü ve son yol ise karşılık vermedir. Organizasyon bir kez bir çöküş tespit ettiğinde nasıl cevap vermelidir? Bu bir organizasyonun karşılaşacağı en büyük meydan okumalardan biridir. Genellikle saldırganın kim olduğuyla, nasıl sızdığıyla ve de ne kadar zarar verdiğiyle alakalı çok az bir bilgi olur. Bu gibi durumlarda saldırganın hareketleri üzerine toplanmış detaylı bilgi çok kritiktir. Yanıtların oluş sıklıklarının birleştirilmesinde iki zorlukla karşılaşılır. Birincisi, ele geçirilmiş sistemlerin çoğu analiz için çevrimdışı hale getirilemezler. Organizasyonun elektronik posta sunucuları gibi üretim sistemleri, ele geçirildiği düşünülmesi bile çok kritik sistemlerdir, güvenlik uzmanları sistemi kapatmakta ve düzgün bir yasal çözümleme yapmakta başarılı olamayabilirler. Bunun yerine, üretim sistemlerini korur haldeyken ayakta duran sistemi analiz etmekle sınırlıdırlar. Bu da, sistemde ne olduğunu, saldırganın ne kadar zarar verdiğini, hatta saldırganın sisteminizi kırıp kırmadığını analiz etmek için gerekli gücü felce uğratır. Bir diğer problem ise sistem çevrimdışı olsa bile, kötü çocuğun ne yaptığına karar verilmesini zorlaştıracak kadar çok fazla veri kirliliği olacaktır. Veri kirliliğinden kastım, hangisinin normal günlük hareket hangisinin de saldırganın hareketi olduğuna karar vermemizi zorlaştıracak kadar çok veri olmasıdır. Balküpleri her iki problemi de tespit etmeye yardım ederler. Balküpleri, günlük iş operasyonlarını karıştırmadan bütün bir yasal analiz alabilmemiz için , sistemi kolay ve hızlıca çevrimdışı yapabilecek mükemmel bir kurtarma aracı olabilirler. Bunun yanında balküpünün yakaladığı bütün hareketler kötü niyetli veya yetkisiz hareketlerdir. Bu nedenden dolayı, kırılmış balküplerini analiz etmek, kırılmış sistemleri analiz etmekten daha kolaydır ve balküpünden elde ettiğiniz herhangi bir bilgi büyük ihtimalle saldırganla alakalıdır. Balküplerinin buradaki önemi, organizasyonların bu tip olaylara karşı vermesi gereken hızlı ve etkili tepki için gerekli bilgiyi hemen sağlamasından doğar. Genelde, cevap için en iyi çözümü yüksek etkileşimli balküpleri gerçekleştirirler. Saldırgana cevap vermek için, hangi araçları kullandıklarının, sistemi nasıl kırdıklarının ve ne yaptıklarının derinleme bilgisine ihtiyacınız vardır. Bu tarz bir veri ihtiyacı için de yüksek-etkileşimli balküplerinin yeteneklerine ihtiyacınız vardır.

Bu noktaya kadar balküplerinin organizasyonları nasıl koruyabileceğinden bahsettik. Şimdi balküplerinin farklı bir kullanım şeklini konuşacağız; araştırma. Balküpleri sadece organizasyonları korumak için değil, tehditlerden çok ileri seviyede bilgiler elde etmek için de kullanılabilen, diğer çok az sayıda teknolojinin elde edebileceği güce sahiptir. Güvenlik uzmanlarının karşılaştığı en büyük problemlerden biri siber tehditler üzerindeki bilgi eksikliğidir. Saldırganın kim olduğunu bile bilmeden ona karşı nasıl savunma yapabiliriz? Yüzyıllardan beri askeri organizasyonların temeli, düşmanlarının kim olduğunu ve onlara karşı nasıl savunma geliştireceklerini daha iyi anlamak için gerekli olan bilgiye dayanırdı. Bilgi güvenliği neden bundan farklı olsun ki? Araştırma amaçlı kullanılan balküpleri bu işi tehditlerden bilgiler toplayarak yaparlar. Bu bilgiler daha sonra erken uyarı ve engelleme, saldırganları ve topluluklarını belirleme, yeni metodların ve araçların belirlenmesi ve yeni trendlerin tespit edilmesi gibi birçok amaç için kullanılabilirler. Balküplerinin araştırma amaçlı kullanılmasını çok güzel gerçekleştirmiş, fazlaca tanınan bir araç olan Honeynet Projesi gönüllece gerçekleştirilmiş ve kar amacı gütmeyen bir güvenlik araştırma projesidir. Honeynetle tarafından toplanan bütün bilgiler dünyaya dağıtılmaktadır. Tehditler devamlı değiştiği sürece, bu bilgiler de gittikçe kritik hale gelmektedir.