T.C.
SAĞLIK BAKANLIĞI
Türkiye Halk Sağlığı Kurumu Başkanlığı
YAKLAŞIK MALİYETE ESAS BİRİM FİYAT TEKLİF CETVELİ
NO
1
Birim fiyata esas iş kalem inin adı
Bilgi Güvenliği Eğitimi
Miktar
Birim
7
Personel
Birim Fiyat
G E N EL TOPLAM
Y ukarıda b e lirtile n .....................Kalem malzem eyi / hizmeti KDV h a r iç ................................... TL' den
(Y a ln ız ..................................................................................................................................... ) bedel ile
T eknik şartnam eye uygun olarak verm eyi / yapmayı kabul ve taahhüt ediyorum.
İrtibat: Sedat KARATAŞ ([email protected])
TEL: 0312 565 52 33
FAKS: 0312 565 62 37
A dres : S ağlık Mah. A.Saygun Cad. No:55 Sıhhiye / A N K A R A
Toplam Fiyat
n
TC. Sağlk Bakanlığı
Türkiye Halk Sağlığı
Kurumu
T.C. SAĞLIK BAKANLIĞI
TÜRKİYE HALK SAĞLIĞI KURUMU
İSTATİSTİK VE BİLGİ İŞLEM DAİRE BAŞKANLIĞI
BİLGİ GÜVENLİĞİ EĞİTİMİ TEKNİK ŞARTNAMESİ
EYLÜL 2014
İŞİN KAPSAMI: Bu Teknik Şartname, 11 Kasım 2013 tarihli ve 28818 sayılı Resmi
Gazete’ de yayımlanan Siber olaylara Müdahale Ekiplerinin Kuruluş, Görev ve Çalışmalarına
Dair Usul ve Esaslar Hakkında tebliğ kapsamında Kurumsal SOME ekiplerinin alması
gereken eğitimleri kapsamaktadır.
Eğitim Listesi
SIRA
NO
1
2
3
EĞİTİM AÇIKLAMASI
Detaylı Bilgi Güvenliği Eğitimi
Zararlı kod / Zararlı Yazılım Analizi Eğitimi
Exploit Geliştirme Eğitimi
PERSONEL
SAYISI
7
7
7
GENEL KOŞULLAR
•
•
•
•
•
•
•
•
•
•
Firma, bu teknik şartnamede belirtilen tüm eğitimleri eksiksiz olarak kurumun
belirlediği gün ve saatlerde vermekle yükümlüdür.
Tüm eğitimler orta-ileri düzey olmalıdır. En temel seviyeden başlayarak detaylı,
kapsamlı ve uygulamalı olarak ilerlemelidir.
Eğitim konuları ile ilgili kitap, doküman, cd gibi tüm materyaller yüklenici tarafından
eğitim alacak personele ücretsiz dağıtılacaktır.
Eğitimler öncesi laboratuvar kitaplarının ve laboratuvar senaryolarının hazırlanmış
olması gerekmektedir.
Verilecek eğitimler ve dokümanlar Türkçe olacaktır. (Kitaplar Türkçe yada İngilizce
olabilir.)
Eğitimler hem teorik hem de uygulamalı olmalıdır.
Firma Some (Siber Olaylara Müdahale Ekibi) ekiplerinin alması gereken Linux
eğitimi ve Uygulamalı Ağ Güvenliği ve TCP/IP eğitimi her eğitim 3 gün günde 8 saat
olmak üzere bu eğitimleri de vermekle yükümlüdür.
Tüm eğitimler konusunda uzman personeller tarafından verilecektir. Eğitim verecek
personellerin vereceği eğitimle ilgili sertifikaları idareye sunulacaktır.
Eğitim verecek personelin SOME kurulumunda aktif olarak bulunması ve vereceği
eğitimi daha önce en az 2 kuruma verdiğini belgelemelidir.
Laboratuvar ortamı ilgili firma tarafından sağlanmalıdır. Laboratuvarlar online olmalı
uzaktan çalışmaya imkan tanımalıdır.
•
•
•
•
•
•
Laboratuvar çalışmaları en az 50 saat en fazla 80 saat olmak üzere verilmelidir.
Farklı başlıklarda anlatılan aynı eğitim içeriği eğitim alacak kurum personelinin
isteğine göre birleştirilebilecektir.
Eğitim esnasında derslerle ilgili video kaydı yapılabilecektir ancak bu kayıtların
gizliliği idarenin sorumluluğundadır.
Tüm eğitimler sonrası, alman eğitim konusunda personellere katılım sertifikaları
verilecektir. Eğer eğitim sonrası sınav yapılması ihtiyacı varsa sınavları yüklenici
firmanın yapıp yapmadığına bakılmaksızın tüm sınav ücretleri de yüklenici firmaya
aittir.
Eğitim sonrası CEH sınavı (ECO-350 veya 312-50 kodlu) katılım ücreti de yüklenici
firmaya aittir.
Katılımcılara Ec-Council Lisanslı Sızma Testi uzmanlığı(LPT), Computer Hacking
Forensic Investigator (CHFI) sertifikaları verilmelidir.
1. DETAYLI BİLGİ GÜVENLİĞİ EĞİTİMİ
Ana Başlıkları:
1.1. Güvenli Yapılandırma Denetimi Eğitimi
Bu eğitim kapsamında aşağıda ana başlıklarıyla belirtilen konular hakkında detaylı
eğitimler verilecektir. Bu konu hakkında verilecek eğitim süresi en az 4 gün (32 saat)
olacaktır.
• Zafiyet ve tehdit tanımları
• Açık kaynak kodlu güvenlik zafiyet tarayıcıları ve bu araçların kullanımı
• Windows işletim sistemi denetimi
• Unix/Linux sistemlerin denetimi
• Bir ağm topolojisini çıkarma
• Sınır sistemleri denetimi
1.2 Sızma Testleri Eğitimi
Bu eğitim kapsamında aşağıda ana başlıklarıyla belirtilen konular hakkında detaylı
eğitimler laboratuvar ortamında uygulamalı olarak verilecektir. Bu konu hakkında
verilecek eğitim süresi en az 9 gün yerinde (günde 8 saat olmak üzere), en az 9 günde
laboratuvar ortamında online olacak şekilde verilmelidir.
•
•
•
•
Pentest tanımı, amacı ve dikkat edilmesi gereken hususlar
Güncel pentest metodolojileri
Pentest çalışmalarında zararlı yazılımlar(Malware, trojen, Backdoor)
Pentest için özelleştirilmiş arama motorlarının kullanımı
•
Zafiyet Tespit Araçları ( Nmap, Hping, Nessus, Metasploit, Ncrack, Hydra,
Medusa, tcpdump, Wireshark, Tshark, Aircrack-NG, nikto, BSQL, sqlninja,
sqlmap)
•
•
•
•
•
S
S
S
S
S
S
V
V
V
V
V
S
S
V
S
S
S
S
•S
S
S
S
S
S
S
S
S
V
S
V
S
S
S
S
IPS, firewall, web application firewall, DoS/DDos pentest
Network testlerinde hping kullanımı
Windows, Unix/Linux sistemleri, cisco ağ cihazları, veritabanı sistemleri ve
ağlara yönelik pentest çalışmaları
Kablosuz ağlara yönelik pentest çalışmaları
Güvenlik sistemleri atlatma
Siber Savunma Amaçlı Kullanılan Sistemler ve İşlevleri
Güvenlik Duvarı (Firewall)
Yeni Nesil Güvenlik Duvarı Kavramı
Saldırı Tespit ve Engelleme Sistemleri (IPS)
Web Uygulama Güvenlik Duvarı (WAF)
DoS/DDoS Engelleme Sistemleri ve Çalışma Yöntemleri
Veri Kaçağı Engelleme Sistemleri (DLP)
Antivirüs, AntiSpam Sistemleri
AntiMalware/APT Tespit ve Engelleme Sistemleri
Beyaz Liste Uygulama (Application Whitelisting)
İçerik Filtreleme Sistemleri
NAC(Network Access Control) Sistemleri
Log Yönetimi ve Olay Yönetimi Sistemleri
Yazılım Güvenliği
Yazılım Güvenliği Gelişimi
Güvenli Yazılım Geliştirme Döngüleri
Güvenli Yazılım Olgunluk Modelleri
Güvenlik Duvarı Test ve Atlatma Yöntemleri
Güvenlik duvarı temel işlevleri ve kullanım alanları
Ticari açık kaynak kodlu güvenlik duvarı yazılımları
Güvenlik duvarı keşif çalışmaları
Güvenlik duvarı performans değerlerini anlama
Datasheet değerleri nasıl elde edilmektedir?
Klasik tünelleme yöntemleri kullanarak Firewall atlatma
Mac spoofing, IP spoofing kullanarak firewall kuralları atlatma
Firewall kurallarının test edilmesi(firewallking).
Firewall yönetim arabiriminin test edilmesi
Güvenlik duvarı projelerinde dikkat edilecek hususlar
Firewall testleri kontrol listesi
Yeni Nesil Güvenlik Duvarı
Klasik güvenlik duvarı ve yeni nesil güvenlik duvarı farklılıkları
Port bağımsız protokol tanıma(PiPi) özelliği ve çalışma mantığı
Sık kullanılan antisansür yazılımları (Ultrasurf, Tor, Jane ) engelleme
Açık kaynak kodlu ve ticari yeni nesil güvenlik duvarı yazılımları
Yeni nesil güvenlik duvarı sistemlerinin DNS tünelleme kullanılarak atlatılması
Application cache kullanarak NGFW sistemlerinin atlatılması
Yeni nesil güvenlik duvarı projelerinde dikkat edilecek hususlar
Saldırı Tespit ve Engelleme Sistemleri ve Test Yöntemleri
Z
Z
Z
Z
Z
Z
Z
Z
Z
Z
Z
Z
Z
Z
Z
Z
Z
Z
Z
Z
Z
Z
Z
Z
Z
Z
Z
Z
Z
Z
Z
Z
Z
Z
Z
Z
'Z
Z
'Z
Z
Z
Saldırı Engelleme Sistemleri çeşitleri (Host/Network/Log)
Yeni nesil IDS/IPS kavramı ve getirileri
Açık kaynak kodlu ve ticari IDS/IPS sistemleri
Yerel ağ saldırıları karşısında IDS konumlandırma
Internet üzerinden IPS keşif çalışmaları
Örneklerle saldırı tespit kuralı geliştirme (Snort, Sourcefire)
Web atakları karşısında IDS/IPSTerin yetersizliği örnekleri
Kodlama ve şifreleme (SSL/TLS) kullanarak IDS/IPS atlatma
Parçalanmış paketler kullanarak IPS şaşırtma
Tuzak sistemler kullanarak IDS/IPS şaşırtma
IP sahteciliği kullanarak IDS/IPS atlatma teknikleri
IDS/IPS alırken nelere dikkate edilmeli
Saldırı tespit ve engelleme sistemleri testleri kontrol listesi
DoS/DDoS Engelleme Sistemi ve Test Yöntemleri
DoS/DDoS kavramları ve temel engelleme yöntemleri
Bulut tabanlı DDoS engelleme sistemleri ve artıları/eksileri
Cloudflare üzerinde host edilen sitelere yönelik gerçek ip üzerinden saldırı
Saldırı Tespit ve Engelleme Sistemlerini DDoS engelleme amaçlı kullanımı
DDoS sistemi keşif çalışmaları
IP sahteciliği kullanarak DDoS sistemi atlatma teknikleri
UDP tabanlı flood saldırıları karşısında ddos engelleme sistemlerinin yetersizlikleri
Amplified DNS ve NTP saldırıları ile DDoS sistemlerini şaşırtma
DoS/DDoS sistemi alırken ve konumlandırırken hangi hususlara dikkat etmeli
DDoS testleri kontrol listesi
Antivirüs/HIPS/SEP Yazılımları ve Atlatma Yöntemleri
Antivirüs/HIPS yazılımları ve çalışma mantığı
Bilinen ticari, açık kaynak kodlu antivirüs yazılımları
Antivirüs/HIPS yazılımları atlatma amaçlı kullanılan teknik ve yöntemler
Crypter, binder kavramları
Metasploit kullanarak test senaryolarının oluşturulması
Tanınmaz AV oluşturma yazılım ve siteleri
Online AV test siteleri
Anti-Malware/A P T Tespit Sistemleri ve Test Yöntemleri
APT kavramı ve teknik detayları
Basit araçlar kullanarak tanınmaz zararlı yazılım üretimi
Bilinen APT engelleme sistemleri ve çalışma mantıkları
Antimalware ve Anti Spam keşif çalışmaları
APT/Antimalware projelerinde dikkat edilecek hususlar
APT tespit ve engelleme sistemleri testleri kontrol listesi
Application Whitelisting Sistemleri ve Test Yöntemleri
Negatif ve Pozitif güvenlik modeli farkları
“Application Whitelisting” ürünlerine neden ihtiyaç duyulur
Kullanılan Application whitelisting ürünleri
Uygulama seviyesi ve çekirdek seviyesi koruma yöntemleri
S Uygulama seviyesi kontrollerin aşılması
İçerik Filtreleme Sistemleri ve Atlatma Yöntemleri
S İçerik filtreleme sistemleri ve temel çalışma yapıları
S Standart beyaz liste, kara liste mantığı kullanan sistemler
S Dinamik olarak içerik filtreleme yapan sistemleri
S İçerik filtreleme sistemleri atlatma test ve teknikleri
S İçerik filtreleme sistemlerini Proxy kullanarak atlatma
S İçerik filtreleme ürün seçiminde dikkat edilecek hususlar
^ İçerik filtreleme testleri kontrol listesi
NAC Çözümü ve Testf Atlatma Yöntemleri
S NAC kavramı, avantajları ve sıkıntıları
■S NAC çalışma mantığı ve bağlı olduğu bileşenler
S NAC, 802. lx farklılıkları
S Bilinen ticari ve açık kaynak kodlu NAC yazılımları
S MAC adres değiştirme yöntemi ile NAC atlatma
S DHCP kullanılan ağlarda NAC atlatma teknikleri
✓ Kullanılmayan port (printer vs) üzerinden NAC atlatma testleri
S Alternatif NAC atlatma teknik ve yöntemleri
S NAC projelerinde dikkat edilecek hususlar
S NAC testleri kontrol listesi
Web Application Firewall Test ve Atlatma Yöntemleri
S WAF çalışma yapısı ve normal güvenlik duvarları
✓ WAF ve IPS farkları
S WAF yerleşim yöntemleri
S Ticari ve açık kaynak kodlu WAF ürünleri
S Citrix Netscaler, Mod Security, F5 ASM, Barracuda WAF
S WAF kullanarak web zafiyetlerinin tespiti ve engellenmesi
S XSS, LFI, SQL injection engelleme
S WAF sistemlerine yönelik güvenlik testleri
S WAF tespit ve keşif yöntem, araçları
S Temel WAF atlatma yöntemleri
^ HPP(HTTP PArametre Pollution) kullanarak WAF atlatma
S Değişik XSS payloadları kullanarak WAF kurallarını aşma
S Sqlmap tamper script kullanarak WAF atlatma
Pyronbee kullanarak waf testleri
S WAF alımı ve konumlandırma aşamalarında dikkat edilecek hususlar
S WAF testleri kontrol listesi
Log Yönetimi Sistemi Test ve İyileştirme Çalışmaları
S Log yönetimi ve log toplama farkları
S Ticari ve açık kaynak kodlu log yönetimi ve log toplama sistemleri
S Log korelasyonu örnekleri
S Log yönetimi ve korelasyon sistemlerine şaşırtmaya yönelik sahte log üretimi
S Snort imzaları kullanarak sahte saldırı log üretimi
•S Log yönetimi sistemi alımı ve konumlandırma aşamalarında dikkat edilecek hususlar
Z Log yönetimi testleri kontrol listesi
DLP-Veri Sızma Engelleme Sistemi ve Test Yöntemleri
Z DLP öncesi veri sınıflandırma çalışmaları
S DLP projelerinde dikkat edilmesi gereken hususlar ve kontrol listesi
•S DLP çeşitleri
Z Host tabanlı ve Ağ tabanlı DLP sistemleri
Z Ağ tabanlı DLP sistemlerinin eksileri ve atlatma yöntemleri
Z Host tabanlı DLP sistemlerinin eksileri ve atlatma yöntemleri
S Encoding kullanarak Ağ seviyesi DLP sistemlerinin atlatılması
S Host tabanlı DLP sistemleri
Z DLP alımı ve konumlandırma aşamalarında dikkat edilecek hususlar
Z DLP testleri kontrol listesi
•
•
•
•
•
•
•
•
•
•
•
Pentest çalışmalarında parola saldırıları ve teknikleri
Dış ağ taramaları ve aktif bilgi toplama
Keşif ve zafiyet tarama
Zafiyet istismar etme (exploitation)
Etki alanı ve son kullanıcı bilgisayarları sızma testleri
İstismar sonrası yapılması gerekenler (post-exploitation)
Veritabanı sızma testleri
Network bileşenleri sızma testleri ve ikinci katman saldırıları
Sosyal mühendislik
WEB uygulamaları sızma testleri
Pentest raporu yazma
1.3 Saldırı Teknikleri Eğitimi
Bu eğitim kapsamında aşağıda ana başlıklarıyla belirtilen konular hakkında detaylı
eğitimler laboratuvar ortamında uygulamalı olarak verilecektir. Bu konu hakkında
verilecek eğitim süresi en az 5 gün yerinde (günde 8 saat olmak üzere), en az 5 günde
laboratuvar ortamında online olacak şekilde verilmelidir.
•
•
•
•
•
•
•
•
•
•
Güvenlik testlerinde bilgi toplama
TCP/IP İletişiminde oturuma müdahale
Güvenlik Duvarları
Saldırı tespit ve Engelleme sistemleri
Güvenlik Duvarı, saldırı Tespit ve önleme sistemleri ile içerik filtreleme
sistemlerini atlatma
Host/ağ/port keşif ve tarama araçları
Zafiyet tarama ve bulma sistemleri
Exploit çeşitleri ve metasploit kullanımı
Kablosuz ağlar ve güvenlik
WEB uygulamalarının güvenliği ve Hacking yöntemleri
-Web uygulamalarının çalışma prensibi
•
•
•
•
•
•
•
•
-IIS/ISAPI ile ASP.NET
-apache/php
-Web uygulama güvenliği temelleri
-Web uygulama güvenlik zafiyetleri
-MySQL/PHP Injection
- ASP/.NET/MSSQL Injection
-Blind SQL Injection
-XSS
- CSRF
- LFI
-RFI
-Oturum açma ve kimlik doğrulama hataları
- Şifreleme zafiyetleri
-Yaygın konfigürasyon hataları
VPN ve şifreleme teknolojileri
Son kullanıcıya yönelik saldırı çeşitleri ve yöntemleri
Güvenlik amaçlı kullanılan FireFox eklentileri
Linux/Unix sistem yönetimi ve güvenliği
TCP/IP protocol ailesi zafiyet analizi
Paket analizi, sniffing
Web Application Firewall
WAF Sistemleri ve Çalışma Prensipleri
WAFTarin Bilinen Zafiyetleri
Tespit ve Atlama Yöntemleri
Yaygın Zafiyet ve Saldırı Çeşitleri
-> Flood Saldırıları
- DoS ve DDoS Saldırıları(DDos saldırı çeşitleri, DDos saldırı analizi, DDos
ile mücadele)
-TCP/SYN Flood
-UDP Flood
-HTTP Flood
-> Yaygın zafiyet tipleri
-Buffer overflow
-Heap overflow
-Format string
-Race Condition
1.4 Saldırı Tespit ve Kayıt Yönetimi
Bu eğitim kapsamında aşağıda ana başlıklarıyla belirtilen konular hakkında detaylı ve
uygulamalı eğitimler verilecektir. Bu konu hakkında verilecek eğitim süresi en az 5 gün
yerinde (günde 8 saat olmak üzere), en az 5 günde laboratuvar ortamında online olacak
şekilde verilmelidir.
• Trafik analizi temelleri
• Uygulama Protokolleri ve Trafik analizi
• Acık kaynak kodu saldırı tespit sistemi
•
•
•
•
•
•
•
•
•
•
•
•
Ağ trafik analizi ve izleme
Uygulama protokolleri için saldırı tespitmetotları
Kayıt yapılandırma ayarları
Kayıt analiz yöntemleri ve teknikleri
Kayıt yönetimi
Büyük boyutlu kayıtların işlenmesi
Kayıtları izleme
Olay müdahalesi için kayıtlar
Adli analiz kayıtları
Uyumluluk için kayıt
Kayıt toplamada en sık yapılan yanlışlar
Kayıt standartları
1.5 Bilişim Sistemleri Adli Analizi Eğitimi
Bu eğitim kapsamında aşağıda ana başlıklarıyla belirtilen konular hakkında detaylı ve
uygulamalı eğitimler verilecektir. Bu konu hakkında verilecek eğitim süresi en az en az 5
(günde 8 saat olmak üzere) gün verilmelidir.
• Bilgisayar olaylarına müdahale
• Bilgisayar adli analizi hazırlık aşamaları
• İşletim sistemlerinde dosya sistemleri (NTFS,FAT32,ext2,ext3), dosyaların bu
sistemlerde ne şekilde oluşturulduğu, saklandığı ve silindiği
•
•
•
•
•
Bilgisayarların çeşitli bölümleri için (RAM, “Stack” alanı, sabit diskler vb.)
verilerin kalıcılığı ve veri çıkarma şekilleri
Linux üzerinde bilgisayar olayı adli analizi yapılması ve ilgili araçların tanıtımı
Uygulamalı kısımda adli analiz çalışma ortamının kurulması ve araçlarla şüpheli
dosya incelemesi yapılması
Windows üzerinde bilgisayar olayı adli analizi yapılması ve ilgili araçların
tanıtımı
Adli analizle ilgili yasal çerçeveler ve delillerin mahkemeye sunulabilecek
şekilde saklanması
1.6 Bilişim Hukuku Eğitimi
Bu konu hakkında verilecek eğitim süresi en az en az 3 gün(günde 8 saat olmak üzere)
verilmelidir.
•
Adli sürecin yürütülmesi temel eğitimi
•
•
•
•
Bilgisayar teknolojisi
Sayısal veri teknolojisi
İşletim sistemi ve yazılımlar
İnternet teknolojisi
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
İstemciler için ağ güvenliği
Kablosuz internet erişimi ve güvenliği
Bilişim kültürü
İnternet arama motorları
İnteraktif bankacılık-ceza
Bilişim suçları-kanun maddeleri
Elektronik imza
Bilişim suçları-ömek olaylar
Hakaret-sövme suçları (intemet-SMS vb.)
Bilirkişi raporları
Alan adları hukuku
Delil tespiti-hukuk
Delil tespiti-ceza
İnternet servis sağlayıcılar
Spam-yığm E-posta-SMS
İnternet sitelerinin fıltrelenmesi
E-tüketici
Av.tr- e-baro
Sanal kumar
E-devlet uygulamaları
Uluslararası mevzuat
İnteraktif bankacılık-hukuk
Yüksek mahkeme kararları
UYAP
Kişisel verilerin korunması
Fikri haklar-ilgili hükümler
Telekomünikasyon hukuku
Çocuk pornografisi
2. Zararlı Kod / Zararlı Yazılım Analizi Eğitimi
Eğitim içeriği en temel seviyeden başlayarak daha kapsamlı teknik detayların
bulunduğu ileri seviye başlıklara doğru ilerlemelidir. Eğitim içeriği Linux/Unix,
Windows ve Mobil (Android/IOS) sistemleri olmak üzere tüm sistemleri hedef alan
zararlı yazılımları kapsamalıdır.
Bu konu hakkında verilecek eğitim süresi en az en az 7 gün(günde 8 saat olmak
üzere) verilmelidir.
2.1 Malware analizi
• Malware terminolojisi ve sınıflandırılması
• Rootkit
• Platformlar
• Saldiri Noktalari
• Zararli Kod Özellikleri
• Enfeksiyon Belirtileri
2.2 Kimlik Saptama
• Dosya Tipleri
• Sabit Veriler
• Kütüphaneler
• Etkileşimler
2.3 Malware lab
• Sanallaştırma
• Sanal Makinelerin Malware Analizinde Kullanım Avantaj/Dezavantajları
• Malware Analizi için Vmware Kurulum/Yapılandırması
• Konfigurasyon
• Inetsim Kullanarak Sahte Ağ Servisleri Hazırlama
• Malware Analiz Amaçlı Hazır Linux Dağıtımı: Remnux
• Sandbox Kurulumu
• Cuckoo Sandbox Kurulum ve Örnek Kullanımı
• Sandboxie Kullanımı
• Disassemblers
• File Format Analyzers
• Data Dumpers
• Sniffers - Packet Analizi
• Debuggers
2.4 Reverse Engineering
• Neden Reverse Engineering
• Hangi Durumlarda Reverse Engineering
• Reverse Engineering Teknikleri
• Reverse Engineering Temelleri
2.5
•
•
•
•
•
•
•
•
•
•
•
•
x86 Assembly
işlemci Mimarisi
Kaydediciler
Mnemonic Yapisi
Veri Tasima
Stack işlemleri
Aritmetik işlemler
Lojik işlemler
Bitsel işlemler
Sartli işlemler
Döngüler
String işlemler
Segment
2.6 Windows API (API Yapisi, Dereferencing, Yapisal işlemler, Temel Win32 API)
2.7 Siber Casusluk için kullanılan yazılımlar
2.8 Basit Araçlar Kullanarak Tanınmaz Malware Geliştirme/Üretimi
• Hazır Malware Üretim Araçları ve Online Servisler
• FUD(Fully Undetectable) Zararlı Yazılım Geliştirme
• Crypter, Packer, Joiner, Wrapper, Binder Kavramları ve Kullanım Amaçları
• İnceleme Amaçlı Malware Örneklerine Ulaşım
• Windows, UNIX/Linux, Mobil(Android/IOS/Windows phone) Sistemlerde
Zararlı Yazılım Analizi ve araçları
2.9
APT(Advanced persistent thread) kavramı
2.10
Örnek bir APT senaryosu
2.11
Windows Adres Yönetimi (Sanal Adresleme Yapisi, Süreçleri, Sanal Hafıza
Yönetimi)
2.12
Windows Adres Yönetimi ikili Dosya Formatlari (Başlıklar, Relocation
Tabloları, Sembol Tabloları, ELF(Executable and Linkable), PE (Portable
Executable))
2.13
Ortamlar ve Enfeksiyon (Dosya sistemleri, Dosya formatlari, yorumlayıcılar,
overwriting, Randomization, Compressing, Parasitic,Obfuscation)
2.14
Windows Sistemleri etkileyn zararlı yazılımlar
2.15
Linux/Unix sistemleri etkileyen zararlı yazılımlar
2.16
Mobil (Android/IOS) sistemleri etkileyen zararlı yazılımlar
2.17
Temel ve orta seviye Debugger ve Disassembler Kullanımı
2.18
Online Malware Analiz Siteleri ve Temel Çalışma Yöntemleri
2.19
Malware Yayılma Mekanizmaları
2.20
Malware Keşfinde Microsoft Syslntemals Araçları
2.21
Malware Tarafından Üretilen Trafiğin İncelenmesi
• SSL Trafiğinde Araya Girme
• Wireshark,Ngrep, Tshark Kullanarak Trafik Analizi
• Snort Kullanarak Zararlı Yazılım için IDS İmzası Yazma,
• Zararlı Yazılım Analizinde Ağ Trafiği Analizi
• Malware Engelleme ve Tespitinde DNS Sinkhole Kullanımı
2.22
2.23
Botnet
• Botnet Kullanılarak Gerçekleştirilen Saldırı Tipleri
• Botnet Takip ve Tespiti Amaçlı Trafik Analizi
• Snort Saldırı Tespit Sistemi Botnet Kuralları
• C&C Koruma Amaçlı Fastflux Kullanımı
• DNS Sinkhole Kullanarak Malware ve BotNet Keşfi
• Örnek Botnet Analizi (Zeus)
Analiz
o Dinamik Analiz
■ Debuggers
■ Tracers
■ Emulators
■ Analyzers
■ Avantaj
■ Dezavantaj
■ Sandbox Kavramı
■ Dinamik Analiz için Kullanılan Araçlar
■ Windows Syslntemals Araçları
■ Malware Tarafından Başlatılan Süreç(proses) Takibi
■ Procman, Process Explorer Kullanımı
■ Malware Tarafından Diske Yazılan/Silinen Dosyaların Belirlenmesi
■ Capturebat Kullanımı
■ Firemon Kullanımı
■ Malware Tarafından Değiştirilen Registry Ayarları
■ Regshot Kullanımı
■ Pdf ve Microsoft Ofis Doküman Analizi
■ Javascript Analizi
Statik Analiz
■ Avantaj
■ Dezavantaj
■ Rutinler
■ Temel Antivirüs ve AntiMalware Yazılımlarının Çalışma Mantığı
■ Paketleme Yapılmamış Malware İçinden Anlamlı Kelime
Yakalama
■ Paketlenmiş ve Karıştırılmış(obfuscate) malware Kullanımı
■ Paketleme ve Çözme Araçları
■ Peid ile Paketleme Tipini Belirleme
■ Paketleme için UPX Kullanımı
■ Paketlenmiş Dosyayı OllyDbg Kullanarak Açma
■ Bilinmeyen Paketleme Yöntemleri için Analiz Araçları
■ Windows PE Dosya Tipi ve Bölümleri
■ Non-Infection
■ Deep-Tracers
■ Non-Trivial-Info
Anti-Analiz Teknikleri
■ Anti-Virtualization
■ Anti-Debugging
■ Entry-Point Obfuscation
■ Executable Compressors
■ Garbage Insertion
Malware Analizi Amaçlı Memory Dump(Bellek Dökümü) İnceleme
■ Bellek Analizi için Gerekli Temel Bilgiler
■ Memory Dump Alma Yöntem ve Araçları
■ Sanal Makinelerde Bellek Dökümü Alma
■ Bellek Dökümü Alma Amaçlı Kullanılan Ticari/Ücretsiz Araçlar
■ Volality Yazılımı Kullanarak Bellek Analizi
■ Çalıştırılan Dosyaya Ait Ağ Bağlantılarını Bulma
■ Bellekte Parola Bulma
Bellekten Zararlı Yazılıma Ait Çalıştırılabilir Dosyanın
Ayıklanması
Bellekte Zararlı Yazılım Avı
Otomatize Zararli Kod Analizi
■ Registry Operations
■ Runtime Operations
■ Load-Time Operations
■ File Operations
■ Modification Operations
■ Memory Maps
Linux Zararli Kod Analizi
■ Mitler
■ Gerçekler
■ Gereksinimler
■ Implementasyon
■ Rootkit
■ Worm
■ Analiz Ortamı
■ Programlama Arabirimleri
■ Dinamik Analiz
■ Static Analiz
Packers & Unpack
■ Packers
■ Free Packers
■ Commercial Packers
■ Symptoms
■ Identifying
■ Methodology
■ Custom Protection
■ Encryption
■ Live-Running Unpack
Payload Analiz
■ Payload Tipleri
■ Payload Calisma Matigi
■ Payload Davranislari
■ Klasik Analiz
■ Framework
Uygulamalı Malware Analizi Çalışmaları
■ Basit Araçlarla StuxNet Analizi(Temel ve orta seviye)
■ Basit Araçlarla Duqu Analiz(Temel ve orta seviye)
■ Karmaşık Zararlı Yazılımların Analizinde Standart Araçların
Yetersizliği
■ İleri Seviye Malware Analizi için Gerekli Araçlar ve Yöntemler
Exploit Geliştirme Eğitimi
Bu konu hakkında verilecek eğitim süresi en az en az 4 gün(günde 8 saat olmak
üzere) verilmelidir. Eğitimle ilgili laboratuvar çalışması da en az 4 gün online olarak
verilmelidir.
o
o
Exploit Nedir?
Exploit Çeşitleri
• Local Exploit
• Remote Exploit
• Client Side Exploit
• Server Side Exploit
• Zero Day Exploit
o internette Exploit Arama
o Hazır Exploitlerin Güvenilirliği
o Exploit Geliştirme Dilleri
• Python, peri, Ruby
o Exploit Ekonomisi
o Etik Exploit Ekonomisi
o Underground Exploit Ekonomisi
o Exploit Geliştirme Araçları
o Exploit Geliştirme Çatıları (Framework)
• Metasploit
Exploit Geliştirmeye Giriş
o Temel Bilgiler
o İşlem ci, Registerlar ve Bellek, Stack Yapısı
o Temel Assembly (x86 & ARM)
o Exploit Geliştirmek için Temel Perl Programlama
Stack Buffer Overflow Nedir? Nasd oluşur?
o Bug hunting
o Zaafiyetli kod örnekleri
o Fuzzing
o Crash Analizi
o Binary analiz örnekleri
o Mobil debugging ve disassembling
Debugger ve Disassembler Yazılımları
o Debug ve Disassemble Kavramları
o Windbg, Ollydbg, GDB , Immunty Debugger
o IDA Disassembler
Exploiting Stack Buffer Overflow
o Windbg ile exploit geliştirme
o Ollydbg ile exploit geliştirme
o ImmunityDebugger ile exploit geliştirme
o Gnu Debugger ile Linux üzerinde exploit geliştirme
Temel Shellcode Geliştirme
o Payload Analizi
o X86 ve ARM Shellcoding
SEH Exploiting
HEAP Overflow
Hafıza Koruma Mekanizmaları
o DEP ve ASLR Mekanizmaları
Halka Açık Kablosuz Ağlarda Tehlikeler
o Wifizoo ile erişim bilgilerinin kötüye kullanımı
o Karmasploit ile aktif kullanıcılara saldırı
o Sahte AccessPointler
o Sahte AP kurulumu
o Sahte AP’e bağlanan kullanıcıların izlenmesi
o Nessus &Nmap ile sahte AP’lerin bulunması
o Karmasploit ile wifi kullanıcılarına aktif saldırı
o Wifi kullanıcılarının trafiğinin yönlendirilmesi
o Wifi kullanıcılarının SSL trafiğinin okunması
Uygulamalar
o Katılımcıların verilen binaryleri exploit etmesi ve bir hedef programdaki
güvenlik açığını istismar edip belirli süre bir exploit geliştirmesi
uygulamaları yaptırılmalıdır.
Download

T.C. SAĞLIK BAKANLIĞI Türkiye Halk Sağlığı Kurumu Başkanlığı