pentest almak
Post on 12-Jul-2015
811 Views
Preview:
TRANSCRIPT
Pentest Almak…
Alper Başaranbasaranalper@gmail.com
www.alperbasaran.comTwitter: @basaranalper
Kurum Pentest Alacak
Kurum
Kötü Adam
Pentest Ekibibasaranalper@gmail.com www.alperbasaran.com
Kısaca
Kendini ‘dan korumak için
‘den hizmet alıyor.basaranalper@gmail.com www.alperbasaran.com
Gerçekten?
basaranalper@gmail.com www.alperbasaran.com
Aslında = değil
• Sızma testi yapan ekip gerçekten kötü niyetli değil,
• Kurumla işbirliği içinde,
• Kuruma zarar vermeye çalışmıyor,
• Kötü adamlara göre motivasyonları düşük,
• Kötü adamlara göre tecrübesi az,
• Kötü adamlara göre bu işe ayırdığı zaman az,
• Hedefi yok
basaranalper@gmail.com www.alperbasaran.com
Ama Biz Konuştuk?
Gibi Yapın
Tamam!basaranalper@gmail.com www.alperbasaran.com
Konuşurken…
• Zaman kısıtlaması koydunuz
• Dokunulmaması gereken sistemleri belirttiniz
• “192.168.1.23’teki SQL test için kuruldu, ondaki zafiyetleri biliyoruz” gibi noktaları konuştunuz ama…
• Senaryo belirlemediniz
• Hedef belirlemediniz
basaranalper@gmail.com www.alperbasaran.com
Sonuçta Yapılan İş…
• Sızma testi değil, bulunan zafiyetlerin istismar edilmesi oldu,
• Gerçek risklere karşı fazla bilgi sahibi olmadınız,
• Kurum çalışanlarının istemeden ve isteyerek oluşturabileceği riskleri belirleyemediniz,
• Kısaca: Nessus ve Metasploit ile neler yapılabildiğini gördünüz.
basaranalper@gmail.com www.alperbasaran.com
Pentest Nedir?
• Söylenen onca şeyin aksine pentest iş risklerinin ölçülmesine yönelik bir çalışmadır.
• Riskler sadece ağ ve sistemlerde bulunan açıklardan ibaret değildir.
• Gerçek kötü adamlar için kapsam yoktur.
• Oysa sizin aldığınız hizmet: “teknik bir pentest” oluyor…
basaranalper@gmail.com www.alperbasaran.com
Teknik Bir Pentest Nasıl Yapılır?
• IP’ler öğrenilir
• Nessus çalıştırılır
• Bulunan açıkları Metasploit ile istismar edilir
• Rapor yazılır
• Sosyal mühendislik isteniyorsa son 2 yıldır kullandığın maili bunlara da yollanır
• DDoS, Wlan, kaynak kod analizi isteniyorsa uzman birini bul ona yaptırılır
basaranalper@gmail.com www.alperbasaran.com
Oysa Siz…
Gerçekten ne kadar risk altında olduğunuzu gösterecek bir rapor ve sizi daha güvenli yapacak öneriler
hayal etmiştinizbasaranalper@gmail.com www.alperbasaran.com
???
Peki Ne Yapmalı?
Detayları Konuşalım
Tamam!basaranalper@gmail.com www.alperbasaran.com
Peki Ne Yapmalı?
• Öncelikle pentest hedefi belirlenmeli (hangi saldırgan simüle edilecek?)
– İç kaynaklara/verilere ulaşmaya çalışan biri?
– İşlem bilgilerine erişmeye çalışan bir meraklı?
– Kullanıcı hesaplarını ele geçirmeye çalışan biri?
– Ağ trafiğini dinlemek isteyen biri?
– Para çalmaya çalışan biri?
– Yönetici epostalarını okumaya çalışan biri?
basaranalper@gmail.com www.alperbasaran.com
Her Şey Serbest Mi Olacak?
• Tabii ki hayır!
• Ancak unutmayın:
• Konulacak sınırlar sadece yapılacak testlerden doğan ve kurum işleyişini tehlikeye atacak riskleri azaltmaya yönelik olmalıdır
• Beğenmediğiniz/utandığınız bir sistemi kapsam dışına almak bir ölçüde kendinizi kandırmak olarak değerlendirilebilir
basaranalper@gmail.com www.alperbasaran.com
Pentest Konusunda Önemli Bazı Kriterler: Metodoloji
• Sızma testi için gelen firmanın web sayfasında veya kuşe kağıda basılmış broşüründe gördüğünüz metodoloji önemli.
• Belirli bir yöntem izlenmeden yapılan test başarılı olabilir ama bir şeyler eksik kalabilir
• Test sırasında izlenecek yöntem mutlaka irdelenmeli
basaranalper@gmail.com www.alperbasaran.com
Pentest Konusunda Önemli Bazı Kriterler: Rapor
• İtiraf: Rapor yamaktan nefret ederiz
• Hayatın gerçeği: Sızma testi sonucunda elinizdeki tek “elle tutulur” çıktı o rapordur
• Dolayısıyla: Raporun nasıl yazılacağı ve sunulacağı detaylı olarak belirlenmeli
basaranalper@gmail.com www.alperbasaran.com
Pentest Konusunda Önemli Bazı Kriterler: Testi Yapan
• Şirketler pentest yapamaz, insanlar pentest yapar.
• Pentest öğrenilebilecek bir iştir.
• Biraz meraklı ve Google kullanabilen herkes pentest yapabilir.
• Peki iyi ile kötüyü nasıl ayırt edeceğiz?
basaranalper@gmail.com www.alperbasaran.com
Pentest Konusunda Önemli Bazı Kriterler: Testi Yapanların Piramidi
Araç Kullanan ve bu işi günlük olarak yapanlar
Mesai saatleri dışında zaman ayıran / kitap okuyan
Veriyi kullanılabilir bilgiye dönüştüren ve rapor yazabilenler
Standart
İyi
En İyi
basaranalper@gmail.com www.alperbasaran.com
Pentest Konusunda Önemli Bazı Kriterler: Testi Yapanları Ayırt etmek
• Sohbet edin: İşinize talip olan şirketin satışçısı veya sahibi ile değil. İşi gerçekten yapacak kişi ile sohbet edin.
• Kurumsal ağlar birbirinden farklı olduğu için tecrübe kesin bir ölçüt olmayabilir.
• Yine de: SAP, VoIP gibi sistemlerin olduğu özel durumlarda tecrübe önemlidir.
basaranalper@gmail.com www.alperbasaran.com
Başarılı Bir Pentest Süreci İçin
• Mümkün olduğu kadar gerçekçi bir test süreci yaratın
• Test sürecinin detaylarını öğrenin
• Test aşamalarının gerçek hayattaki karşılığına bakın (gerçekte birisi iç ağa laptopunu bağlayıp zafiyet taraması yapar mı?)
• Gerçek istediğinizin zafiyet taraması olmadığından emin olun (birisi iç ağa laptopuyla bağlanıp zafiyet taraması mı yapsın?)
basaranalper@gmail.com www.alperbasaran.com
Son olarak…
• İyi firmalarla çalışın
• Çıkarlarınızı gözeten bir firma ile çalışın
• Verilecek raporun içeriği, yazılma biçimi ve sunulma biçimini belirleyin
• Sızma testi yaptırmayı ihmal etmeyin
basaranalper@gmail.com www.alperbasaran.com
Soru/Görüş/Öneri/Eleştiri için: basaranalper@gmail.com
Grafikler: Alper Başaran
basaranalper@gmail.com www.alperbasaran.com
top related