Pentest Almak…

Alper Başaranbasaranalper@gmail.com

www.alperbasaran.comTwitter: @basaranalper

Kurum Pentest Alacak

Kurum

Kötü Adam

Pentest Ekibibasaranalper@gmail.com www.alperbasaran.com

Kısaca

Kendini ‘dan korumak için

‘den hizmet alıyor.basaranalper@gmail.com www.alperbasaran.com

Gerçekten?

basaranalper@gmail.com www.alperbasaran.com

Aslında = değil

• Sızma testi yapan ekip gerçekten kötü niyetli değil,

• Kurumla işbirliği içinde,

• Kuruma zarar vermeye çalışmıyor,

• Kötü adamlara göre motivasyonları düşük,

• Kötü adamlara göre tecrübesi az,

• Kötü adamlara göre bu işe ayırdığı zaman az,

• Hedefi yok

basaranalper@gmail.com www.alperbasaran.com

Ama Biz Konuştuk?

Gibi Yapın

Tamam!basaranalper@gmail.com www.alperbasaran.com

Konuşurken…

• Zaman kısıtlaması koydunuz

• Dokunulmaması gereken sistemleri belirttiniz

• “192.168.1.23’teki SQL test için kuruldu, ondaki zafiyetleri biliyoruz” gibi noktaları konuştunuz ama…

• Senaryo belirlemediniz

• Hedef belirlemediniz

basaranalper@gmail.com www.alperbasaran.com

Sonuçta Yapılan İş…

• Sızma testi değil, bulunan zafiyetlerin istismar edilmesi oldu,

• Gerçek risklere karşı fazla bilgi sahibi olmadınız,

• Kurum çalışanlarının istemeden ve isteyerek oluşturabileceği riskleri belirleyemediniz,

• Kısaca: Nessus ve Metasploit ile neler yapılabildiğini gördünüz.

basaranalper@gmail.com www.alperbasaran.com

Pentest Nedir?

• Söylenen onca şeyin aksine pentest iş risklerinin ölçülmesine yönelik bir çalışmadır.

• Riskler sadece ağ ve sistemlerde bulunan açıklardan ibaret değildir.

• Gerçek kötü adamlar için kapsam yoktur.

• Oysa sizin aldığınız hizmet: “teknik bir pentest” oluyor…

basaranalper@gmail.com www.alperbasaran.com

Teknik Bir Pentest Nasıl Yapılır?

• IP’ler öğrenilir

• Nessus çalıştırılır

• Bulunan açıkları Metasploit ile istismar edilir

• Rapor yazılır

• Sosyal mühendislik isteniyorsa son 2 yıldır kullandığın maili bunlara da yollanır

• DDoS, Wlan, kaynak kod analizi isteniyorsa uzman birini bul ona yaptırılır

basaranalper@gmail.com www.alperbasaran.com

Oysa Siz…

Gerçekten ne kadar risk altında olduğunuzu gösterecek bir rapor ve sizi daha güvenli yapacak öneriler

hayal etmiştinizbasaranalper@gmail.com www.alperbasaran.com

???

Peki Ne Yapmalı?

Detayları Konuşalım

Tamam!basaranalper@gmail.com www.alperbasaran.com

Peki Ne Yapmalı?

• Öncelikle pentest hedefi belirlenmeli (hangi saldırgan simüle edilecek?)

– İç kaynaklara/verilere ulaşmaya çalışan biri?

– İşlem bilgilerine erişmeye çalışan bir meraklı?

– Kullanıcı hesaplarını ele geçirmeye çalışan biri?

– Ağ trafiğini dinlemek isteyen biri?

– Para çalmaya çalışan biri?

– Yönetici epostalarını okumaya çalışan biri?

basaranalper@gmail.com www.alperbasaran.com

Her Şey Serbest Mi Olacak?

• Tabii ki hayır!

• Ancak unutmayın:

• Konulacak sınırlar sadece yapılacak testlerden doğan ve kurum işleyişini tehlikeye atacak riskleri azaltmaya yönelik olmalıdır

• Beğenmediğiniz/utandığınız bir sistemi kapsam dışına almak bir ölçüde kendinizi kandırmak olarak değerlendirilebilir

basaranalper@gmail.com www.alperbasaran.com

Pentest Konusunda Önemli Bazı Kriterler: Metodoloji

• Sızma testi için gelen firmanın web sayfasında veya kuşe kağıda basılmış broşüründe gördüğünüz metodoloji önemli.

• Belirli bir yöntem izlenmeden yapılan test başarılı olabilir ama bir şeyler eksik kalabilir

• Test sırasında izlenecek yöntem mutlaka irdelenmeli

basaranalper@gmail.com www.alperbasaran.com

Pentest Konusunda Önemli Bazı Kriterler: Rapor

• İtiraf: Rapor yamaktan nefret ederiz

• Hayatın gerçeği: Sızma testi sonucunda elinizdeki tek “elle tutulur” çıktı o rapordur

• Dolayısıyla: Raporun nasıl yazılacağı ve sunulacağı detaylı olarak belirlenmeli

basaranalper@gmail.com www.alperbasaran.com

Pentest Konusunda Önemli Bazı Kriterler: Testi Yapan

• Şirketler pentest yapamaz, insanlar pentest yapar.

• Pentest öğrenilebilecek bir iştir.

• Biraz meraklı ve Google kullanabilen herkes pentest yapabilir.

• Peki iyi ile kötüyü nasıl ayırt edeceğiz?

basaranalper@gmail.com www.alperbasaran.com

Pentest Konusunda Önemli Bazı Kriterler: Testi Yapanların Piramidi

Araç Kullanan ve bu işi günlük olarak yapanlar

Mesai saatleri dışında zaman ayıran / kitap okuyan

Veriyi kullanılabilir bilgiye dönüştüren ve rapor yazabilenler

Standart

İyi

En İyi

basaranalper@gmail.com www.alperbasaran.com

Pentest Konusunda Önemli Bazı Kriterler: Testi Yapanları Ayırt etmek

• Sohbet edin: İşinize talip olan şirketin satışçısı veya sahibi ile değil. İşi gerçekten yapacak kişi ile sohbet edin.

• Kurumsal ağlar birbirinden farklı olduğu için tecrübe kesin bir ölçüt olmayabilir.

• Yine de: SAP, VoIP gibi sistemlerin olduğu özel durumlarda tecrübe önemlidir.

basaranalper@gmail.com www.alperbasaran.com

Başarılı Bir Pentest Süreci İçin

• Mümkün olduğu kadar gerçekçi bir test süreci yaratın

• Test sürecinin detaylarını öğrenin

• Test aşamalarının gerçek hayattaki karşılığına bakın (gerçekte birisi iç ağa laptopunu bağlayıp zafiyet taraması yapar mı?)

• Gerçek istediğinizin zafiyet taraması olmadığından emin olun (birisi iç ağa laptopuyla bağlanıp zafiyet taraması mı yapsın?)

basaranalper@gmail.com www.alperbasaran.com

Son olarak…

• İyi firmalarla çalışın

• Çıkarlarınızı gözeten bir firma ile çalışın

• Verilecek raporun içeriği, yazılma biçimi ve sunulma biçimini belirleyin

• Sızma testi yaptırmayı ihmal etmeyin

basaranalper@gmail.com www.alperbasaran.com

Soru/Görüş/Öneri/Eleştiri için: basaranalper@gmail.com

Grafikler: Alper Başaran

basaranalper@gmail.com www.alperbasaran.com