Bal Küpü Sistemleri (Honeypot) Nedir ve Ne İçin Kullanılır?
Last updated
Last updated
Siber güvenlik alanında Balküpü Sistemleri(Honeypot), saldırganları çekmek amacıyla kasıtlı olarak zafiyet oluşturulan sistemlerdir. Bu sistemleri Meta Hari tarzına benzetebiliriz, farklı alanlar olsa da iki alanda gizlenerek bilgi toplamayı amaçlıyor. Genel olarak "Ava giden avlanır" prensibi de var diyebiliriz. Balküpü(Honeypot) sistemleri ismini bir metafordan almaktadır. Ormanda bir ayının her ağaca saldırmasını engellemek amacıyla bir ağaca yem olarak konan balküpünden adını almaktadır. Yani hem metafor olarak hemde gerçek anlamda balküpü sistemlerini kısaca tuzak sunucular olarak adlandırabiliriz.
Bu sistemler, saldırganların dikkatini çekecek şekilde savunmasız ve gerçekçi olacak şekilde tasarlanır ve saldırganları gerçek, kritik sistemlerden uzak tutmak amaçlanır. Saldırganın sistem üzerinde gerçekleştirdiği trafikler, izlediği adımlar vs. takip edilerek olası saldırılara karşı önlem alınması sağlanır. Balküpü Sistemlerinin temel amaçlarından biri korunmaktır. Sisteme gerçekleştirilen saldırılara karşı savunmaya geçilir ancak savunma mekanizmaları belli bir noktaya kadar işe yarar. Saldırılara karşı bir şekilde saldırıda bulunmak elde belli veriler bulunmadığı takdirde istenilen sonucu vermeyecektir. Bunun için en ideal çözüm yolu saldırganları aldatmaktır. Bu sayede saldırganlar hakkında bilgi edinilip savunma mekanizmaları geliştirilmesi amaçlanır ve sistem daha güvenli hale getirilir.
Balküpü(Honeypot) Sistemleri'nin tarihi aslında siber güvenliğin başlangıcına kadar uzanmaktadır. Bu zaman aralığı da 1960-70 arası zamanlardır ama o zaman aralığında siber güvenlik tanımı yapmak pek doğru olamayacaktır. Günümüzdeki gibi bir siber güvenlik tanımı, önlemleri ve araçları bulunmadığından kaynaklı daha çok fiziksel önlemler alınmaktaydı. Sistemlerin tam olarak kullanımı ve yaygınlaşması 1980-1990 yılları arasındadır. Bu yıllarda Balküpü sistemleri askeri ve hükümet alanında kullanılmıştır. Ancak ilk balküpü yazılımı olarak kabul edilen sistem 1998 yılında Cybercop Sting olarak kabul edilmiştir. Bu sistem Telnet ve SMTP servislerini taklit ederek saldırganların dikkatini çekmeyi amaçlıyordu. Günümüz balküpü yazılımlarına göre daha basit bir yapıya sahiptir ama başlangıç noktasıdır. 2000'li yıllarda internetin yaygınlaşması ile siber saldırılarda artış meydana gelmiştir ve web alanında kullanımı artmıştır. 2010'lu yıllarda bulut sistemleri üzerinde ve yüksek etkileşimli olarak kullanılmaya başlanmıştır. Günümüzde ise yapay zeka ile entegrasyonu sağlanıp otonom şekilde çalışan balküpü sistemleri üzerinde çalışmalar yapılmaktadır.
Balküpü(Honeypot) Sistemleri 3 temel prensip üzerine kuruludur. Bu prensipler;
Yemleme
Gözlem
Analiz Ayrıntılı olarak incelememiz gerekirse;
Gerçek sistemlere benzeyen ancak zafiyetler bulunan sistemler oluşturulur. Saldırganların dikkatini çekmek amacıyla kritik görünen ancak sahte veriler sistemlere yerleştirilir. Bu oluşturulan sistemler saldırganların dikkatini çekerek sistemde bulunan açıklara saldırılar gerçekleştirmesini sağlar. Yani kısaca saldırganın dikkatini çekmek için yemleme yapılır ve önemli veriler elde edilmesi amaçlanır.
Bu adım üç aşamada gerçekleşir;
İzleme: Canlı olarak ağın üzerindeki tüm trafik izlenir. Bu şekilde yapılan saldırı girişimleri, veri sızıntıları ve kötü amaçlı tüm denemeler anında tespit edilebilir. Ve kayıt altına alınır.
Loglama: İzleme aşamasında gerçekleşen tüm trafik loglanır. Bu loglar daha sonra analiz edilerek savunma stratejisi olarak kullanılır ve analiz edilir. Bu loglar, saldırı türü, işletim sistemi bilgileri, zaman damgaları, IP bilgileri gibi bilgiler içerir.
Saldırı Tespit Sistemi (Intrusion Detection Systems): Bu aşamayı alarm mekanizması olarak da adlandırabiliriz. Şüpheli görünen veya belirlenen eşiğin üzerindeki aktiviteler için sistem otomatik olarak alarm verir. Bu alarm mekanizmaları makine öğrenmesi ile bağlantılıdır. Ve alarm sistemlerinin yanlış sonuç çıkarma olasılığı çok az bulunmaktadır.
Balküpü sistemlerinde saldırı analizi loglanan verilerden yapılır. Loglanan verilerden saldırganların davranış analizi çıkarılır. Bu profil içerisinde, saldırganın kullandığı araçlar, tercih ettiği veriler/sistemler, saldırı yöntemleri(XSS,buffer overflow vb.) ve adımları yer alır. Davranış analizi sayesinde elde edilen veriler tehdit istihbaratına katkıda bulunur. Tehdit istihbaratı hakkında bilginiz bulunmuyorsa "Tehdit İstihbaratı Nedir?" yazısını okumanızı öneririm. Tehdit istihbaratı, yeni tehditlerin belirlenmesinde, yeni Saldırı Tespit Sistemlerinin (Intrusion Detection Systems) ve savunma stratejilerinin geliştirilmesine katkı sağlar.
Saldırı analizinden çıkarılan verilerden yararlanarak gerçek sistemlerde bulunan açıkları kapatarak önlemler alınmasını sağlar. Tehdit istihbaratı ile de yeni savunma mekanizmaları oluşturulur.
Makine öğrenmesi, geçmiş verilerden yararlanarak geleceğe dair sonuçlar çıkarmamızı sağlayan bir yapıdır. Yani geçmişte edinilen deneyim ile gelecek ile ilgili tahminlerde bulunmamızı sağlar. Makine öğrenmesi, Balküpü sistemleri(Honeypot) için önemli bir yere sahiptir. Balküpü sistemlerinde(Honeypot) izlenen trafiği analiz ederek tuzakları saldırganlar için daha gerçekçi hale getirebilir, saldırganların davranışlarını hızlıca analiz eder, ağ üzerindeki anormallikleri tespit eder bu sayede 0-day açıklarını bulabilir, saldırıları sınıflandırabilir, hangi saldırıda hangi araçların ve adımların gerçekleştiğini analiz eder. Ve son olarak otomatik olarak edindiği bilgiler ile saldırılara tepki verebilir örneğin 0-day saldırısı tespit ettiği zaman sistemleri kapatması veya şüpheli trafiği engellemesi sağlanabilir.
Saldırganın sistemle olabildiğince az etkileşim kurmasında izin veren sistemlerdir. Temel komutlarla etkileşime izin verilir. Saldırganın kullandığı araçlar ve teknikleri analiz etmek amacıyla kullanılır bu sistemler. Bazı düşük etkileşimli balküpü sistemleri örnekleri;
Honeyd: Sanal bir ağ ortamında, sanal IP adresleri oluşturarak saldırganları çekmeyi amaçlayan bir bal küpü Sistemidir.
Glastopf: Web uygulamalarına yönelik saldırıları tespit etmek için gerçek web uygulamalarını taklit eden bir düşük etkileşimli bal küpü sistemidir.
Dionaea: Zararlı yazılımlar için farklı ağ protokollerini simüle eden bir bal küpü sistemidir.
HoneyPotter: Bazı uygulamaları taklit eden ve saldırıların kaydını tutarak analiz etmeye yardımcı olan bir düşük etkileşimli bal küpü sistemidir.
Conpot: SCADA uygulamalarını taklit eden bir bal küpü sistemleridir.
T-Pot: Birçok farklı balküpü sistemi bir araya gelerek oluşan sistemdir. İçinde bulunan farklı sistemleri ayarlama imkanından dolayı etkileşim düzeyini de ayarlama imkanı sunar.
Orta etkileşimli balküpü sistemleri, saldırganın sistemde daha çok etkileşim kurmasına olanak sağlar. Ancak belirli sınırlar içerisinde bu etkileşime izin verir. Güvenli ve kontrollü etkileşim imkanı sunar. Bu etkileşim saldıraganın davranış analizi için tutulan loglarında önemli yer tutar. Bu sistemlere örnek sunmak gerekirse;
Kippo: SSH bağlantılarını izleyen orta etkileşimli bal küpüdür.
Mellifera: Sanal makine üzerinde çalışan hedef sistemleri taklit eden orta etkileşimli balküpü sistemidir.
COW (Cuckoo on Wheels): Sanal makineler kullanarak zararlı yazılımları çalıştıran orta etkileşimli bir bal küpüdür.
Honeyd (Gelişmiş Versiyon): Sanal bir ağ ortamında, sanal IP adresleri oluşturarak saldırganları çekmeyi amaçlayan bir bal küpü Sistemidir. Düşük etkileşimli olan versiyonuna göre saldırganların etkileşim kurabileceği alanlar daha fazladır.
Glastopf (Gelişmiş Versiyon): Web uygulamalarına yönelik saldırıları tespit etmek için gerçek web uygulamalarını taklit eden bir orta etkileşimli bal küpü sistemidir. Düşük etkileşimli olan versiyonuna göre saldırganların etkileşim kurabileceği alanlar daha fazladır.
Dionaea (Gelişmiş Versiyon): Zararlı yazılımlar için farklı ağ protokollerini simüle eden bir bal küpü sistemidir. Düşük etkileşimli olan versiyonuna göre saldırganların etkileşim kurabileceği alanlar daha fazladır.
T-Pot: Birçok farklı balküpü sistemi bir araya gelerek oluşan sistemdir. İçinde bulunan farklı sistemleri ayarlama imkanından dolayı etkileşim düzeyini de ayarlama imkanı sunar.
Yüksek Etkileşimli Balküpü Sistemleri, saldırgana tam etkileşim kurma imkanı sunar. Saldırganın verilerinin detaylı bir şekilde tutulmasına olanak sağlar ancak bu sistemler çok daha zor yönetime sahiptir. Yüksek etkileşimli balküpü sistemlerine örnek olarak;
MHN (Modern Honeypot Network): Birden fazla yüksek etkileşimli bal küpünü merkezi bir sistem üzerinden yöneten bir platformdur.
Cuckoo Sandbox: Zararlı yazılımların sistem üzerindeki etkilerini incelemek için sanal ortam kurarak, saldırganların yüklediği yazılımları çalıştıran yüksek etkileşimli bir bal küpüdür.
HoneyOS: Gerçek bir işletim sistemi gibi çalışan bir bal küpü sistemidir.
Kippo (Gelişmiş Versiyon): SSH bağlantılarını izleyen orta etkileşimli bal küpüdür. Yüksek etkileşimli Balküpü Sistemleri için gelişmiş versiyonunda tam yetki bulunmaktadır.
Dionaea (Gelişmiş Sürüm): Zararlı yazılımlar için farklı ağ protokollerini simüle eden bir bal küpü sistemidir. Yüksek etkileşimli Balküpü Sistemleri için gelişmiş versiyonunda tam yetki bulunmaktadır.
Glastopf (Gelişmiş ve Yüksek Etkileşimli Versiyonu): Web uygulamalarına yönelik saldırıları tespit etmek için gerçek web uygulamalarını taklit eden bir orta etkileşimli bal küpü sistemidir. Yüksek etkileşimli Balküpü Sistemleri için gelişmiş versiyonunda tam yetki bulunmaktadır.
T-Pot: Birçok farklı balküpü sistemi bir araya gelerek oluşan sistemdir. İçinde bulunan farklı sistemleri ayarlama imkanından dolayı etkileşim düzeyini de ayarlama imkanı sunar.
Gerçek sistemlerin yanına kurularak kullanılan sistemlerdir. Amacı saldırganın gerçek sistemlere ulaşmasını engellemek ve sistemi korumaktır.
Yeni saldırı tekniklerini ve araçlarını öğrenmek amacıyla kullanılan sistemlerdir. Genellikle laboratuvar ortamlarında kurularak test edilirler. Tehdit istihbaratından yararlanarak olası tehditlere karşı güncel bir şekilde önlemler almak için kullanılırlar.
Birbirine bağlı birden fazla balküpünden oluşan bir ağdır. Bu ağ sayesinde saldırganların saldıracağı alanı büyümesi sağlanır ve gerçek sistemin güvenliği arttırılmış olur.
Honeynet içindeki bireysel bir balküptür. Genellikle bir bilgisayar veya sanal makine şeklinde olabilir.
Bir sistemde, saldırganları çekmek için kasıtlı olarak bırakılan küçük bir veri parçasıdır.
Saldırı türlerini beş başlık altında inceleyeceğiz;
Ransomware: Ransomware'ları fidye virüsü olarak adlandırabiliriz. Verileri şifreleyerek kullanıcının kullanamayacağı hale getirip şifreyi çözmek için karşılığında fidye talep edilir.
Virüsler: Kullanıcının izni olmadan eriştikleri dosyaları bozan veya silen zararlı yazılımlardır. Genellikle kendini çoğaltarak sistem üzerindeki diğer dosyalara bulaşırlar.
Solucanlar: Sistem kaynaklarını tüketen zararlı yazılımlardır. Ağ üzerinde kendi kendilerine yayılırlar.
Rootkit'ler: Sistemin temel işlevlerini ele geçiren zararlı yazılımlardır. Tespit edilmeleri oldukça zordur. Güvenlik yazılımlarından gizlenebilirler ve sistem üzerinde tam yetki kurabilirler.
Trojen atları: Yasal ve güvenli bir dosya gibi dörünen zararlı yazılımlardır. Trojen atları genellikle sistem üzerinde backdoor bırakan zararlı yazılımlardır.
XSS(Cross-Site Scripting): Web sayfalarına exploit yerleştirerek gerçekleştirilen saldırı türüdür.
CSRF (Cross-Site Request Forgery): Kullanıcının bilgisi dışında, kullanıcı adına istekler yollamayı amaçlayan saldırı türüdür.
SQL Enjeksiyon: Veritabanı sorgularında bulunan zafiyetlere gerçekleştirilen saldırı türüdür.
Session Hijacking: Kullanıcının onaylanan kimliğini çalarak saldırganın o kimliği kullanmayı amaçladığı saldırı türüdür.
Arp Spoofing: Ağ trafiğini yönlendirerek kullanıcının verilerini çalmayı veya ağ ile iletişimini kesmeyi amaçlayan saldırı türüdür.
DNS Spoofing: DNS Sunucusunu taklit ederek farklı bir siteye yönlendiren saldırı türüdür. Man-in-the-Middele Saldırısı: İki taraf arasındaki trafiği dinleyerek verileri ele geçirmeyi amaçlayan saldırı türüdür.
Buffer Overflow: Bellek taşması oluşturarak sistemin istenen şekilde çalışmasını engelleyen veya çökmesine sebep olan saldırı türleridir.
Privilege Escalation: Sistemde yetki seviyesini arttırmayı amaçlayan saldırı türüdür.
Backdoor: Sistem içerisinde saldırganın kendine tekrar izinsiz giriş yapmasını sağlayacak bir kapı bırakması şeklinde gerçekleşen saldırı türüdür.
Phishing: Sahte içerikler kullanarak kullanıcıları kandırmayı amaçlayan saldırı türüdür.
Spear Phishing: Hedeflenen kişilere özel olarak hazırlanmış phishing saldırıları türüdür..
Vishing: Telefon yoluyla yapılan phishing saldırıları türüdür.
Bu saldırı türleri Balküpü Sistemlerine gerçekleştirilen saldırı türlerinden bazılarıdır. Sistem üzerinde bu saldırılara uygun zafiyetler bulundurularak saldırganın saldırması amaçlanır.
Saldırıların sistem üzerinde gerçekleştiği zaman aralığı, hangi zamanlarda etkileşiminin düştüğü yada arttığı elde edilir. Saldırganın konumu, hangi bölgelerden daha çok etkileşim aldığı elde edilen veriler arasındadır.
Saldırganın sistem üzerinde kullandığı araçlar, saldırı teknikleri, saldırıyı uygulama adımları, hedef seçimi ve arkasındaki ayak izlerini nasıl temizlediğine dair yöntemler elde edilen veriler arasındadır.
Balküpü Sistemleri, gerçek sistemin yanına sahtesi olacak şekilde yerleştirilmesinden kaynaklı gerçek sistem üzerindeki zafiyetler tespit edilir.
Log Analizi:
Balküpü yazılımlarının ürettiği log dosyaları detaylı bir şekilde incelenir.
Saldırıların zamanı, süresi, kullanılan komutlar, erişilen dosyalar gibi bilgiler elde edilir.
Log Rotation kullanılarak tutulan logların belirlenen süre zarfında silinmesini sağlar. Bu sayede veri depolama sıkıntısı ortadan kalkar.
Veri Madenciliği:
Büyük veri kümelerinden gözden kaçan ve birbiri ile bağlantılı verileri incelemek için kullanılır.
Makine Öğrenmesi:
Olağandışı davranışları otomatik olarak tespit etmek için sınıflandırma ve kümeleme algoritmaları kullanılır.
Yeni saldırı tekniklerini ve araçlarını tespit etmek, siber suçluların davranışlarını analiz etmek ve gelecekteki tehditlere karşı önlem almak için kullanılırlar.
Balküpü Sistemleri, siber güvenlik alanında pratik yaparak deneyim kazandırmak için kullanılabilen sistemlerdir.
Balküpü Sistemleri yasal süreçlerde kanıt olarak da kullanılabilirler. Detaylı olarak Hukuki Boyutları başlığının altında bu konuyu inceliyoruz.
Her sistemde de bulunduğu gibi Balküpü Sistemlerinin avantajları ve dezavantajları bulunmaktadır. Aşağıda yer alan tabloda Balküpü Sistemlerinin genel kapsamda avantaj ve dezavantajlarını inceledik. Tabloyu incelerken incelenen iki faktörün birbiri ile bağlantılı olduğunu fark edeceksiniz. Bu sebepten ötürü Balküpü Sistemlerini kullanırken hem avantajlarını hem de dezavantajlarını göz önünde bulundurarak hareket edilmesi gerekmektedir.
Olası tehditlere karşı gerçek sistemleri korur.
Yanlış yapılandırma yapılırsa olduğundan çok daha yüksek derecede güvenlik açıkları oluşturur
Saldırganların , saldırganların yöntem ve araçlarını analiz eder.
Saldırganların sistemi fark etmesi istenmeyen sonuçlar ortaya çıkarabilir.
Sistem üzerindeki açıkları tespit eder.
Kaynak kullanımı fazladır. Depolama vs.
Eğitim ve araştırma çalışmaları için kullanılır.
İleri seviyede siber güvenlik bilgisi ve uzmanlığı gerektirir
Yüksek doğruluk oranı ile kullanıcıya olası tehdit anında bilgi iletir.
Çok düşük bir olasılıkla kullanıcıya yanlış alarm iletir.
Mevcut Hukuki Çerçeve: Türkiye'de siber güvenlik hukuku henüz tam olarak gelişmediği için, balküpü faaliyetlerine ilişkin net ve kapsamlı bir yasal düzenleme bulunmamaktadır.
Kişisel Verilerin Korunması: Anayasada yer alan haberleşme gizliliği gibi temel haklar, kişisel verilerin korunmasını gerektirmektedir. Ancak, kamu güvenliği gerekçesiyle bu haklar sınırlandırılabilmektedir.
Telefon Dinleme ve Bilgisayar İzleme: Mevcut yasal düzenlemeler, mahkeme kararı olmaksızın bu tür takiplerin yapılmasını yasaklamaktadır. Ancak uygulamada, özellikle kamu güvenliği gerekçesiyle bu kurala uyulmadığı durumlar mevcuttur.
Balküpü Faaliyetleri ve Hukuk: Balküpü faaliyetleri de, kamu güvenliği için yapıldığı gerekçesiyle, mevcut yasal düzenlemelerin dışında bırakılma eğilimindedir.
İzin ve Yazılar: Devlet kurumları, balküpü faaliyetleri için genellikle gerekli izin ve yazıları hazırlamakta ve böylece yasal bir görünüm oluşturmaktadır.
Hukuki belirsizlik: Balküpü faaliyetlerinin hukuki sınırları net olarak belirlenmemiştir.
Kişisel verilerin korunması ilkesiyle çelişme: Balküpü faaliyetleri, kişisel verilerin gizliliği ilkesini ihlal edebilmektedir.
Denetim eksikliği: Balküpü faaliyetleri üzerinde yeterli denetim yapılmamaktadır.
Özel Şirketlerin Balküpü Faaliyetlerinin Yasal Olmaması: Özel şirketlerin herhangi bir amaçla balküpü faaliyeti gerçekleştirmesi yasal değildir.
Elde Edilen Delillerin Hukuki Geçersizliği: Bu faaliyetler sonucu elde edilen deliller, hukuki yollarla elde edilmediği için tek başına delil olarak anlam ifade etmez.
Hukuki Yükümlülükler: Bu tür faaliyetlerde bulunan şirketler, haberleşme gizliliği ve kişisel verilerin korunması gibi temel hakları ihlal ettikleri için hukuki sorumluluk altına girerler.
Kamu Güvenliği İstisnası: Bu haklar sadece kamu güvenliği için ve yetkili makamlar tarafından sınırlandırılabilir. Özel şirketlerin bu konuda herhangi bir yetkisi bulunmaz.
Verilerin Değerlendirilmesi: Özel şirketler, elde ettikleri verileri genellikle istihbarat birimleriyle paylaşarak değerlendirmeye çalışırlar.
Bilgi Paylaşımındaki Yöntemler: Bu paylaşım, belli irtibatlar aracılığıyla veya anonim olarak gerçekleştirilebilir. Anonim bir şekilde veya ilgili bağlantılar vasıtasıyla paylaşılan bilgiler, gerekli kişiler tarafından doğruluğu teyit edildikten sonra kullanılmak üzere işlem görebilir.
Yöntemin Yasal Olmaması: Bu bilgi paylaşım yöntemleri de yasal değildir ve elde edilen verilerin tek başına delil olarak anlam ifade etmez.
Cybercop Sting (1998): Çocuk istismarını önlemek için yapılan bir operasyon.
The Honeynet Project (2000'ler): Saldırıları analiz etmek için başlatılan araştırma projesi.
Kippo SSH Honeypot (2015): SSH brute force saldırılarını izleyen bir honeypot projesi.
Mirai Botnet Saldırıları (2016): IoT cihazlarını hedef alan botnet saldırıları.
Conpot ICS Honeypot (2017): SCADA sistemlerine yönelik saldırıları analiz eden bir honeypot.
Cloud Honeypots ve Cryptojacking (2018): Bulut sistemlerde kripto madenciliği saldırılarını inceleyen honeypot'lar.
WordPress Honeypot (2020): WordPress sitelerindeki SQL injection ve XSS saldırılarını analiz eden sistem.
Bu saldırılar hakkında kaynak önerilerinde bulundum ancak bu kaynaklar yeterli gelmeyebilir. Araştırma yaparak farklı kaynaklara ulaşabilirsiniz.
Balküpü Sistemleri(Honeypot), siber güvenlik alanı için önemli bir yere sahiptir. Gelişen teknoloji ile birlikte siber güvenlik alanına olan ihtiyaç da artmaktadır. Balküpü sistemleri bu ihtiyaçların giderilmesi konusunda önemli bir konuma sahiptir. Sistem güvenliği, saldırgan profili oluşturma, savunma stratejileri ve araçları geliştirme gibi pek çok alanda etkilidir. Gelecekte, bu sistemlerin yapay zeka araçları ve Soc ile daha akıllı sistemlere dönüşeceği öngörülmektedir. Yani bu sistemler teknoloji geliştikçe kendini geliştirmeye devam eden sistemler olarak hayatımızda bulunmaya devam edeceklerdir.