Embed Size (px)
Citation preview
INTELRADINTELLIGENCE RESEARCH & DEVELOPMENT
FİZİKSEL SIZMA TESTİ (RED TEAMING)
• Fiziksel Sızma Testi (Red Teaming) Nedir?• Red Teaming Neden Gereklidir?• Red Teaming Kimler Tarafından Gerçekleştirilir?• Red Teaming İş Akışı• Kullanılan Araç ve Taktiklere İlişkin Örnekler
İçerik
Tanım: “Red Team” kurumların güvenlik verimliliğini
arttırmak amacıyla saldırı simülasyonları düzenleyen
bağımsız güvenlik ekipleridir.
Geçmişte askeri ve istihbarat kurumları için
başvurulan bu test, günümüzde kritik sektörlerde
faaliyet gösteren özel sektörlerde de uygulanır.
Red Teaming Nedir?
Özellikle aşağıdaki sektörel alanlarda:
* Bankacılık
* Finans
* Bilişim
* Havacılık
* Teknoloji
* Bilişim ve;
* Devlet kurumlarında uygulanır.
Red Teaming;
Endüstriyel espiyonaj, sabotaj, hırsızlık, yetkisiz erişim ve
benzeri teşebbüsleri ortaya koyan en gerçekçi test biçimidir.
Red Teaming Nedir?
* Gerçek güvenlik saldırgan perspektifi ile yürütülen en gerçekçi testtir.
Belirli bir alana odaklanan testler (güvenlik sistemlerinin işlev
testleri, farkındalık testleri, bilgi güvenliği kalite standardı (ISO
27001) testleri, dijital sızma testleri (pen-test'ler), gerçekleştirilen
sair tatbikatlar, vs.)
Tek bir alana odaklandıklarından “sınırlı” bir sonuç ortaya koyar.
Saldırganlar için, bu tür bir sınırlama söz konusu değildir.
Neden Red Teaming?
Endüstriyel Espiyonaj, Sabotaj, Bilgi Hırsızlığı gibi saldırılar
Kombine saldırılardır.
Yani; saldırganlar,
*Fiziksel;
*Dijital;
*Elektronik; ve;
*Operasyonel güvenlik açıklarını birlikte kullanır.
Neden Red Teaming?
Hatalı CCTV lokasyonları, lockpicking ile kolayca açılabilir kilitler, yanlış telsiz frekansları, hatalı hareket sensörleri, doğru menteşe sistemine sahip olmayan pencereler, kolayca erişilebilir telefon hat geçişleri, yerleşim olarak doğru kurulmayan X-ray cihazları, tek-camlı pencereler, duvar ve tavan açıkları, gözetlenmeyen/ihmal edilmeyen personel girişleri/arka kapılar, kolayca erişilebilir havalandırma açıklıkları,
gibi fiziksel güvenlik zafiyetleri.
Neden Red Teaming?
*Kolaylıkla kopyalanabilir yanlış RFID kartların tercih edilmesi, *Manyetik kartların güvenlik personeli tarafından kolay erişilebilir lokasyonlarda tutulması, *Elektronik geçiş sistemlerinde override koruması olmaması, * Binanın genel elektrik altyapı kontrollerinin kolaylıkla saptanarak ulaşılabilir konumlarda olması (aydınlatma engelleme) gibi elektronik zafiyetler;
Neden Red Teaming?
Personel tarafından kullanılan, bilgisayarlara, uzaktan
erişim sağlayabilecek her türlü güvenlik açığı gibi;
dijital zafiyetler:
Neden Red Teaming?
Son olarak tailgating ya da shoulder surfing gibi sosyal mühendislik saldırıları hakkında eğitimi olmayan çalışanların oluşturduğu “operasyonel” güvenlik açıklarının;
Birlikte kullanıldığı üst-düzey atak vektörleri ile, kurum güvenliği bütünleşik bir perspektif dahilinde test edilir.
Neden Red Teaming?
*Test edilmeyen her güvenlik önlemi yetersizdir.
* Savaş, aldatmaya dayalıdır. (Sun Tzu)
* Fiziksel güvenlik önlemlerini aşan saldırganın, bilgisayar
ağını koruyan önlemleri %90 oranında baypas ettiği kabul
edilir.
Neden Red Teaming?
Red Team: En az 4 kişilik yetkin bir ekiptir.
Bu kişilerin kollektif olarak sahip olduğu niteliklerden
bazıları:
- Pen-test uzmanı
- Sosyal mühendislik
- Lock-picking
- Haberleşme
- Dinleme / İzleme sistemleri
“Red Team”
Yurt dışında, devlet kurumları (D.O.D.,) ve özel şirketler (KryptonSecurity, TrustedSec, Chris Nickerson, Wil Allsopp, vs.);
Türkiye’de ise IntelRAD/Prodaft tarafından uygulanıyor.
“Kimler Uyguluyor”
1. Ön Görüşme
2. Recon
3. Planlama
4. Test Öncesi Görüşme
5. Yürütme
6. Raporlama
İşleyiş
Frekans Tarayıcı
Araç ve Taktikler
GSM Böcek
Araç ve Taktikler
Lockpick Seti
Araç ve Taktikler
Kuvvetli Bir Radyo Alıcısı
Araç ve Taktikler
Mobil RFID Okuyucu / Yazıcı
Araç ve Taktikler
MSR
Araç ve Taktikler
Lens Bulucu
Araç ve Taktikler
Jammer (GSM)
Araç ve Taktikler
Şapka Kamera
Araç ve Taktikler
Yagi
Araç ve Taktikler
Ses ve görüntü kaydeden kalem.
Araç ve Taktikler
Duvar Dinleyici
Araç ve Taktikler
• X-ray zarf spreyi• Fotoğraf makinesi• Yetki belgesi
Araç ve Taktikler
Çok basit bir senaryo;
Footprinting* yapılır.
Satın almadan sorumlu iki farklı
kişinin adları ve telefon numaraları öğrenilir.
Sabah, işe birip gelip diğeri gelmediği anda, gelmeyenin telefon numarasından gelen kişi aranır.(“Caller ID Spoofing”)
“Xerox’dan tamirci çocuk gelecekti... Kapıda kalmışlar içeri alsana..”
Araç ve Taktikler
Bazen buna hiç gerek kalmıyor.
Ki bunun adı:
tailgating.
Araç ve Taktikler
Dışarıda yemek yiyen çalışanlar, yemekten önce
masalarını parsellemek için geçiş/kimlik kartlarını
masaya bırakMAmaları gerektiğini hala öğrenemedi
Hele metrobüs gibi sıkışık alanlarında, boyunlarında
kartlartını gururla taşımaya devam edenler..
Boş RFID kart, güzel bir printer, bir de PVC kaplama
makinesi (laminator).
Yeni giriş kartınızın keyfini çıkarın.
Araç ve Taktikler
Eşlik edilmeyen bir yabancının
yerleştirdiği ufak bir kamera,
parmaklarınızı izliyor olabilir.
Araç ve Taktikler
*Standart kilit göbeklerinin tümü lock-pickler ile
açılabiliyor.
* Kürdan örneği
* Motion sensörlerinizin sınırlarını denediniz mi?
Araç ve Taktikler
Peki ya dumpster diving?
Tesise yemek söylüyor musunuz?
Kablosuz ağlarınız ne kadar güvenli?
Telefon desteğine ilişkin güvenlik politikası?
Servis kapıları? (“Ben de bir el atayım abi...”)?
Yardımsever çalışanlar / zaaflar? (“Pardon ben bir çıktı alacaktım..)
Liste oldukça uzun ve her kuruma göre değişiyor.
Araç ve Taktikler
• Kritik devlet kurumlarında; devlet sırlarının açığa çıkmasını önlemek; veya nasıl açığa çıktığını ortaya çıkarmak;
• Özel kurumlarda, Ar&Ge ve ticari sırlar dahil olmak üzere bilgi hırsızlığını engellemek;
• Korunması istenen fiziksel varlıkların emniyetini sağlamada yardımcı olmak için önemli bir yardımcıdır.
Sonuç
