“Empower  Your  Business”

AZURE’DA GÜVENLİKADEO IT Consulting Services

  Halil  ÖZTÜRKCİMicrosoft  MVPCISSP,  GPEN,  GCFA,  GREM,  CEH,  CHFIADEO  Bilişim  Danışmanlık  Hizmetlerihalil.ozturkci@adeo.com.tr

BEN  KİMİM?

  Adli  Bilişim  Uzmanı

  Beyaz  Şapkalı  Hacker

  Adli  Bilişim  Derneği  &  USMED

  Microsoft  MVP,  Enterprise  Security

  ADEO  Kurucu  Ortak&Güvenlik  Birimi  Yöneticisi

  Güvenlik  TV  Yapımcısı  ve  Sunucusu

  SANS  Mentor  (www.sans.org)

  CISSP,  GPEN,  GCFA,  CHFI,  CEH...

  www.halilozturkci.com

halilozturkci

AZURE  NEDİR?

 Microsoft'unbulutplatformudur:    Dahahızlı ilerlemenize  Daha  fazla şey yapmanıza  Paradan tasarruf etmenize yardımcıolan  Tümleşik hizmetler (bilgi işlem,  depolama,  veri,  ağ veuygulama gibi)  içeren büyüyen bir koleksiyondur.

  Üç  türde  hizmet  sunulur;  Infrastructure  as  a  Service  (IaaS)  Platform  as  a  Service  (PaaS)  Software  as  a  Service  (SaaS).

SIZMATESTİ

  Microsoft,  Azure  güvenlik denetimlerini ve süreçleriniiyileştirmek için düzenli olarak sızma testleri yapmaktadır.

  Güvenlik değerlendirmesinin de  müşterilerin uygulamageliştirme ve dağıtma çalışmalarının önemli bir parçası olduğunubiliyoruz.  Bu  nedenle,  müşterilerin Azure'de barındırılanuygulamaları üzerinde yetkili sızma testleri gerçekleştirmeleriiçin bir ilke belirledik.  

  Bu  tür bir test  gerçek bir saldırıdan farksız olabileceğinden,  müşterilerin sızma testini önceden Azure  Müşteri Desteği'ndenonay aldıktan sonra yapmaları önemlidir.  Sızma testi,  hüküm  ve  koşullarımıza   uygun  olarak  yapılmalıdır.   Sızma  testi  talepleri  en  az  7  gün  önceden  bildirimde   bulunularak  gönderilmelidir.

AZURE  GÜVENLİĞİNİ NASIL TEST  ETTİK?

TEST  ORTAMI

DVWA – Damn Vulnerable Web Application

Bu güvenlik testi, Damn Vulnerable Web Application kullanılarak gerçekleştirilmiştir. Test sırasında Azure – Ubuntu Server 12.04 LTS kullanılmıştır.

Kullanılan diğer bileşenler;Apache Server version: Apache/2.2.22 (Ubuntu) – x64

PHP: PHP/5.3.10-1ubuntu3.15MySQL: 5.5.40-0ubuntu0.12.04.1

SALDIRI  ÖRNEKLERİ

SQL INJECTION -1

DVWA Uygulaması – SQL Injection modülüne %' or '0'='0' # kodu girilerek SQL injection zafiyetinin varlığı görüntülenmiştir. Sunucu gönderilen SQL Injection’a yanıt

olarak Kullanıcı Adı ve Kullanıcı Soyadı bilgilerini geri döndürmüş, SQL Injection başarıyla tamamlanmıştır.

SALDIRI  ÖRNEKLERİ

SQL INJECTION -2

DVWA Uygulaması – SQL Injection modülüne %' or 0=0 union select null, version() # kodu girilerek SQL injection zafiyetinin varlığı görüntülenmiştir. Sunucu gönderilen

SQL Injection’a yanıt olarak Kullanıcı Adı ve Kullanıcı Soyadı bilgilerini geridöndürmüş, SQL Injection başarıyla tamamlanmıştır.

SALDIRI  ÖRNEKLERİ

SQL INJECTION -3

DVWA Uygulaması – SQL Injection modülüne %' and 1=0 union select null, table_name from information_schema.tables # kodu girilerek information_schema’dan

tablo bilgileri elde edilmiştir.

SALDIRI  ÖRNEKLERİ

SQL INJECTION -4

DVWA Uygulaması – SQL Injection modülüne %' and 1=0 union select null, concat(first_name,0x0a,last_name,0x0a,user,0x0a,password) from users # kodu

girilerek users tablosundan kullanıcı adı ve şifre bilgileri elde edilmiştir.

SALDIRI  ÖRNEKLERİ

Cross Site Scripting - Reflected (XSS) -1

DVWA Uygulaması – XSS Reflected modülüne <SCRipt>alert('XSS değil de açıklıkolması kötü abi')</scrIPT> kodu girilerek sayfada XSS oluşmasını sağladık.

SALDIRI  ÖRNEKLERİ

Cross Site Scripting - Reflected (XSS) -2

DVWA Uygulaması – XSS Reflected modülüne<script>alert(document.cookie)</script> kodu girilerek sayfada XSS zafiyeti ile

kullanıya ait cookie bilgileri elde edildi.

SALDIRI  ÖRNEKLERİ

Cross Site Scripting – Stored (XSS)

DVWA Uygulaması – XSS Stored modülüne <script>alert(document.cookie)</script> kodu girilerek sayfada XSS zafiyeti ile kullanıya ait cookie bilgileri elde edildi.

Strored XSS olduğundan dolayı sayfayı ziyaret eden tüm kullanıcıların cookie bilgilerielde edilmiştir.

SALDIRI  ÖRNEKLERİ

Remote File Inclusion (RFI)

DVWA Uygulaması – File Inclusion modülüne PHP Shell eklenerek, sunucununyönetimi ele geçirilmiş ve /etc/passwd dizini okunmuştur.

SALDIRI  ÖRNEKLERİ

Command Execution

DVWA Uygulaması – Command Execution modülüne 10.0.21.5; cat /etc/passwdkomutu ile /etc/passwd dizini okunmuştur.

Web  Application  Firewall  -­‐ WAF

WAF

Azure Web Application Firewall kurulduktan sonra, gönderilen istekler Barracuda üzerinden web uygulamasına iletilmiş ve zararlı istekler başarılı bir şekilde

engellenmiştir.

Web  Application  Firewall  -­‐WAF

SQL INJECTION - 1

DVWA Uygulaması – SQL Injection modülüne %' or '0'='0' # kodu girilerek SQL injection zafiyet kontrol edilmiştir. Zafiyet Barracuda WAF tarafından başarılı bir

şekilde engellenmiştir.

Web  Application  Firewall  -­‐WAF

SQL INJECTION - 2

DVWA Uygulaması – SQL Injection modülüne %' and 1=0 union select null, concat(first_name,0x0a,last_name,0x0a,user,0x0a,password) from users # kodu

girilerek kullanıcı bilgileri alınmaya çalışılmıştır. Açıklık Barracuda WAF tarafındanbaşarılı bir şekilde engellenmiştir.

Web  Application  Firewall  -­‐WAF

Cross Site Scripting (XSS)

DVWA Uygulaması – XSS Reflected modülüne<script>alert(document.cookie)</script> kodu girilerek XSS zafiyeti yeniden test edilmiştir. Açıklık Barracuda WAF tarafından başarılı bir şekilde engellenmiştir.

Web  Application  Firewall  -­‐WAF

Sonuç?

SHARED  RESPONSIBILITY

REDUCE  SECURITY  COSTS  +  MAINTAIN  FLEXIBILITY,  ACCESS,  &  CONTROL  

Customer Microsoft

On-­‐Premises IaaS PaaS SaaS

Storage

Servers

Networking

O/S

Middleware

Virtualization

Data

Applications

Runtime

• Application  Security  &  SDL• Access  Control• Data  Protection• O/S  Baselines,  Patching,  AV,  Vulnerability  

Scanning,  Penetration  Testing• Logging,  Monitoring,  Incident  Response• ISMS  Programmatic  Controls• Certifications,  Accreditations  &  Audits

IAASCUSTOMER RESPONSIBILITIES

Access  ControlData  Protection

• Geolocation• Data  Classification  and  Handling• Privacy  and  Data  Regulatory  Compliance

Logging  &  Monitoring  Access  and  Data  ProtectionISMS  Programmatic  ControlsCertifications,  Accreditations  and  Audits

PAASCUSTOMER RESPONSIBILITIES

DDOS  PROTECTION  AND  AZURE

  Distributed  Denial  of  Service  Protection   (DDoS)  is  a  layer  of  the  Azure  physical  network  that  protects   the  Azure  platform  itself  from  large  scale   internet  based  attacks  where  attackers   use  multiple  “bot”  nodes  in  an  attempt   to  overwhelm  an  Internet   service.  

  Azure  has  a  robust  DDoS  protection  mesh  on  all  inbound  internet  connectivity.  This  DDoS  protection  layer,  has  no  user  configurable  attributes  and  is  not  accessible  to  customer.  

  This  protects  Azure  as  a  platform  from  large  scale  attacks,  but  will  not  directly  protect  individual  customer  application.  

  Additional  layers  of  resilience  can  be  configured  by  the  customer  against  a  localized  attack.  For  example;  if  customer  A  was  attacked  with  a  large  scale  DDoS  attack  on  a  public  endpoint,  Azure  will  block  connections  to  that  service.

SONUÇ

 Hangi servis tipini seçtiğiniz size  sunulanvarsayılangüvenlikseçeneklerini belirler.

  Varsayılanolarak size  sunulanözellikleri düzgünşekildeayarladığınızdaneminolun.

 Mutlakakendigüvenlik testinizi yapın  veya  yaptırın.

 Uygulamalarınızı  Azure’a  taşımadan  önce  mutlaka  statik  kaynak  kod  analizini  yaptırın.

  Sunucularınızın  ve  uygulamalarınızın  loglarını  mutlaka  belirli  aralıklarla  monitor  edin.

TEŞEKKÜRLER

26

halil.ozturkci@adeo.com.trwww.adeo.com.trwww.halilozturkci.comwww.twitter.com/halilozturkci

İLETİŞİM