Upload
alper-basaran
View
822
Download
2
Embed Size (px)
Citation preview
Gerçekten?
[email protected] www.alperbasaran.com
Aslında = değil
• Sızma testi yapan ekip gerçekten kötü niyetli değil,
• Kurumla işbirliği içinde,
• Kuruma zarar vermeye çalışmıyor,
• Kötü adamlara göre motivasyonları düşük,
• Kötü adamlara göre tecrübesi az,
• Kötü adamlara göre bu işe ayırdığı zaman az,
• Hedefi yok
[email protected] www.alperbasaran.com
Konuşurken…
• Zaman kısıtlaması koydunuz
• Dokunulmaması gereken sistemleri belirttiniz
• “192.168.1.23’teki SQL test için kuruldu, ondaki zafiyetleri biliyoruz” gibi noktaları konuştunuz ama…
• Senaryo belirlemediniz
• Hedef belirlemediniz
[email protected] www.alperbasaran.com
Sonuçta Yapılan İş…
• Sızma testi değil, bulunan zafiyetlerin istismar edilmesi oldu,
• Gerçek risklere karşı fazla bilgi sahibi olmadınız,
• Kurum çalışanlarının istemeden ve isteyerek oluşturabileceği riskleri belirleyemediniz,
• Kısaca: Nessus ve Metasploit ile neler yapılabildiğini gördünüz.
[email protected] www.alperbasaran.com
Pentest Nedir?
• Söylenen onca şeyin aksine pentest iş risklerinin ölçülmesine yönelik bir çalışmadır.
• Riskler sadece ağ ve sistemlerde bulunan açıklardan ibaret değildir.
• Gerçek kötü adamlar için kapsam yoktur.
• Oysa sizin aldığınız hizmet: “teknik bir pentest” oluyor…
[email protected] www.alperbasaran.com
Teknik Bir Pentest Nasıl Yapılır?
• IP’ler öğrenilir
• Nessus çalıştırılır
• Bulunan açıkları Metasploit ile istismar edilir
• Rapor yazılır
• Sosyal mühendislik isteniyorsa son 2 yıldır kullandığın maili bunlara da yollanır
• DDoS, Wlan, kaynak kod analizi isteniyorsa uzman birini bul ona yaptırılır
[email protected] www.alperbasaran.com
Oysa Siz…
Gerçekten ne kadar risk altında olduğunuzu gösterecek bir rapor ve sizi daha güvenli yapacak öneriler
hayal etmiş[email protected] www.alperbasaran.com
???
Peki Ne Yapmalı?
• Öncelikle pentest hedefi belirlenmeli (hangi saldırgan simüle edilecek?)
– İç kaynaklara/verilere ulaşmaya çalışan biri?
– İşlem bilgilerine erişmeye çalışan bir meraklı?
– Kullanıcı hesaplarını ele geçirmeye çalışan biri?
– Ağ trafiğini dinlemek isteyen biri?
– Para çalmaya çalışan biri?
– Yönetici epostalarını okumaya çalışan biri?
[email protected] www.alperbasaran.com
Her Şey Serbest Mi Olacak?
• Tabii ki hayır!
• Ancak unutmayın:
• Konulacak sınırlar sadece yapılacak testlerden doğan ve kurum işleyişini tehlikeye atacak riskleri azaltmaya yönelik olmalıdır
• Beğenmediğiniz/utandığınız bir sistemi kapsam dışına almak bir ölçüde kendinizi kandırmak olarak değerlendirilebilir
[email protected] www.alperbasaran.com
Pentest Konusunda Önemli Bazı Kriterler: Metodoloji
• Sızma testi için gelen firmanın web sayfasında veya kuşe kağıda basılmış broşüründe gördüğünüz metodoloji önemli.
• Belirli bir yöntem izlenmeden yapılan test başarılı olabilir ama bir şeyler eksik kalabilir
• Test sırasında izlenecek yöntem mutlaka irdelenmeli
[email protected] www.alperbasaran.com
Pentest Konusunda Önemli Bazı Kriterler: Rapor
• İtiraf: Rapor yamaktan nefret ederiz
• Hayatın gerçeği: Sızma testi sonucunda elinizdeki tek “elle tutulur” çıktı o rapordur
• Dolayısıyla: Raporun nasıl yazılacağı ve sunulacağı detaylı olarak belirlenmeli
[email protected] www.alperbasaran.com
Pentest Konusunda Önemli Bazı Kriterler: Testi Yapan
• Şirketler pentest yapamaz, insanlar pentest yapar.
• Pentest öğrenilebilecek bir iştir.
• Biraz meraklı ve Google kullanabilen herkes pentest yapabilir.
• Peki iyi ile kötüyü nasıl ayırt edeceğiz?
[email protected] www.alperbasaran.com
Pentest Konusunda Önemli Bazı Kriterler: Testi Yapanların Piramidi
Araç Kullanan ve bu işi günlük olarak yapanlar
Mesai saatleri dışında zaman ayıran / kitap okuyan
Veriyi kullanılabilir bilgiye dönüştüren ve rapor yazabilenler
Standart
İyi
En İyi
[email protected] www.alperbasaran.com
Pentest Konusunda Önemli Bazı Kriterler: Testi Yapanları Ayırt etmek
• Sohbet edin: İşinize talip olan şirketin satışçısı veya sahibi ile değil. İşi gerçekten yapacak kişi ile sohbet edin.
• Kurumsal ağlar birbirinden farklı olduğu için tecrübe kesin bir ölçüt olmayabilir.
• Yine de: SAP, VoIP gibi sistemlerin olduğu özel durumlarda tecrübe önemlidir.
[email protected] www.alperbasaran.com
Başarılı Bir Pentest Süreci İçin
• Mümkün olduğu kadar gerçekçi bir test süreci yaratın
• Test sürecinin detaylarını öğrenin
• Test aşamalarının gerçek hayattaki karşılığına bakın (gerçekte birisi iç ağa laptopunu bağlayıp zafiyet taraması yapar mı?)
• Gerçek istediğinizin zafiyet taraması olmadığından emin olun (birisi iç ağa laptopuyla bağlanıp zafiyet taraması mı yapsın?)
[email protected] www.alperbasaran.com
Son olarak…
• İyi firmalarla çalışın
• Çıkarlarınızı gözeten bir firma ile çalışın
• Verilecek raporun içeriği, yazılma biçimi ve sunulma biçimini belirleyin
• Sızma testi yaptırmayı ihmal etmeyin
[email protected] www.alperbasaran.com
Soru/Görüş/Öneri/Eleştiri için: [email protected]
Grafikler: Alper Başaran
[email protected] www.alperbasaran.com