BalKüpü (Honeypot) Nedir?

Siber Güvenlik tarafında bilişim sistemlerindeki güvenliği sağlamak amacıyla birçok teknik ve yöntem kullanıldığını hepiniz biliyorsunuz.

İnsanların klasikleşmiş eğitim, kültür, ticaret ve benzeri anlayışları, gelişen bu yeni teknolojilerle tamamen farklı bir boyut kazanmıştır, bu hızlı gelişimin imkanlarından herkes gibi suçlular da faydalanmakta ve teknolojinin getirdiği kolaylıkları kullanmaktadırlar. Günümüzde bilişim sistemleri denildiğinde öncelikle bilgisayar ağları gündeme gelmekte olup artık ağ bağlantısı olmayan bilgisayar neredeyse yok denecek kadar azdır. Bu yüzden, tüm bilişim suçlarında artık en önemli bileşen “ağ sistemleri” dersek yanlış olmaz diye düşünüyorum. Tabi ki bu ağ sistemi; bir yerel ağ veya internet olabilir.

Bilişim suçlularınca bugüne kadar, güvenliğin en üst seviyede tutulduğu bilinen kurumların, askeri ve endüstriyel araştırma laboratuvarlarının bilişim sistemlerine sızılmış ve pek çok değerli veri çalınmıştır. Zaman zaman kullanıcıların önemli kurumların web sitelerine ulaşması engellenmiştir. Bu sebeple bilişim suçları genel olarak şu şekilde sınıflandırılabilir;
-Bilgisayar sistemlerine ve servislerine yetkisiz erişim ve dinleme,
-Bilgisayar sisteminin çalışmasını engellemek,
-Bilgisayar yoluyla dolandırıcılık,
-Bilgisayar yoluyla sahtecilik,
-Kanunla korunmuş bir yazılımın izinsiz kullanılması,
-Yasadışı yayınlar.

Diyeceksiniz ki bu yazdıklarının konumuz ile ne alakası var?
Var tabi ki! Neden?
-Çünkü; Ağ sistemlerinin özellikle de internetin yaygınlaşması ile bilişim suçlarının çoğunluğunun artık bilgisayar ağları üzerinden gerçekleştirilmesi olağan hale geldiği için konuya bu şekilde giriş yaptım. Genellikle ağ adli bilişimi için yararlı olabilecek bilgilerin kayıtlarını tutan, ağ trafiğinden veri elde etme kaynaklarının çeşitli türleri vardır. Bu kaynaklar topluca dört TCP/IP katmanı içinde önemli verilerin yakalama işlemlerini yaparlar. Ağ trafiğini yakalayıp bunları kaydeden kaynaklara örnek olarak ta;
-Güvenlik Duvarları (Firewall),
-Saldırı Tespit Sistemleri (Intrusion Detection System-IDS),
-Balküpü Sistemi (Honeypot),
-Bilgi Güvenliği ve Olay Yönetimi Yazılımları (Security Information and Event Management-SIEM),
-Paket Yakalayıcılar (Packet Sniffers) ve Protokol Analizörleri (Protocol Analyzers) sayılabilmektedir.

Benim bugünkü odak noktam Balküpü Sistemi (Honeypot).
Balküpü Sistemi (Honeypot) nedir dersek kısaca; tuzak sistem ile hacker avı çalışması şeklinde açıklayabiliriz.

Daha geniş açılımı ile;
Balküpü terimi için esin kaynağı, ayılar için kurulan tuzaklara yerleştirilen içi bal dolu kaplar ve bal küpleri ile ayıların tuzağa gelmesinin sağlanması idi. Günümüz bilişim dünyasında ise bal küpleri, saldırganları üzerine çekmek için kullanılmaktadırlar. Bal küpü sistemleri zararlı aktiviteyi ya da saldırganı durdurmakta aktif görev almazlar. Bal küpleri, izinsiz yapılmış girişlerin veya zararlı aktivitelerin tespitinde kullanılmasına ek olarak asıl amaçları saldırganın veya zararlı aktivitenin kullanmış olduğu metod ve araçlar hakkında bilgi edinmektir. Edinilen bu bilgiler ışığında istenmeyen faaliyetlerin engellenmesi adına çalışmalar yapılır. Dolayısı ile bal küpü sistemlerini, “saldırganın veya zararlı aktivitenin kullandığı teknikler ve araçlar hakkında çalışmamıza olanak sağlayan platformlar” olarak tanımlayabiliriz.

İlk bal küpü yazılımı 1998 yılında yazılmış Cybercop Sting adındaki yazılımdır. Aynı zamanda Decoy Server olarak da bilinmektedir. Tabi ki günümüz bal küpleri;
-Düşük etkileşimli (Low-Interaction),
-Yüksek Etkileşimli (High-Interaction) olarak etkileşim seviyelerine göre ikiye ayrılır. Buradaki asıl olan etkişim ile kastedilmek istenilen, aktivite düzeyi veya faaliyet alanıdır.

Bakıldığında düşük etkileşimli balküpü sistemlerini tespit etmek için saldırganların Nmap aracı ile bir basit bir tarama gerçekleştirilmeleri yeterli olabiliyor bu nedenle balküpü sistemini canlı sistemlerin yanına yerleştirmeden önce tanınmaz hale getirmek kullanan bireyler ve kurumlar için büyük önem taşıyor.

Bal küpü sistemleri ile birçok konuda örnek çalışmalar yapılmıştır, bunlardan bazıları;
-Dinamik bal küpü dizaynı,
-Balküpü sistemleri için saldırgan web uygulaması,
-SSH ataklarının analizi ve görselleştirilmesi,
-Glashtopf BalKüpü ile Sql Enjeksiyonu Uygulaması gibi çalışmalardır. Bunların kullanımı hakkında ve detaylarını burada açıklamayacağım. Detaylı bilgi internet üzerinde detaylıca mevcuttur.

Gelişen günümüzde bilişim sistemlerinde her geçen gün farklı alanlar oluşmakta ve gereksinimler değişmektedir. IDS, IPS ve ACL gibi birçok pasif korunma yöntemleri, bilinen saldırı teknikleri üzerinde verimli bir şekilde çalışmasına rağmen, henüz keşfedilmemiş sıfırıncı gün atakları (zero-day attacks) yöntemleri kullanan zararlı aktivitelerinin tespiti ve engellemesinde zayıf kalmaktadırlar.

Bal küpü sistemleri bu eksikliği bir nebzede gidererek bilinmeyen yöntemleri kullanan saldırıları yakalamayı ve üzerinde analizler yapmayı sağlamaktadır. Günümüzde hemen hemen her alanda kullanımlarını sağlamak adına birçok bal küpü sistemi geliştirilmiştir. Bu gereksinimlere bal küpü sistemlerinin kendini adapte etmesi her ne kadar hızlıda olsa bazı konularda eksikler hala daha devam etmektedir. Ancak esnek yapıları ve herhangi bir sisteme kolay adapte olmaları sayesinde yeni modüller geliştirilerek eksikliklerin büyük kısmı kullanıcılar tarafından giderilebilmektedir.

Umarım yararlı bir derleme olmuştur, iyi günler dilerim.