#488   2020-05-14 02:21 GMT        

Sızma Testi Nedir?

Sızma testleri; bilgi teknoloji sistemlerinde bulunan güvenlik açıklarının uluslararası akreditasyona sahip güvenlik uzmanları tarafından raporlanarak güvenliğin sağlanması ile sonuçlanan testlerdir.

Sızma Testi, bu alanda eğitimlerini almış ve bir takım uluslararası standartlarda (ISO 27001, HIPAA, PCI DSS, gibi) akreditasyon sahibi Ethical Hacker, Sızma Testi Uzmanı, Pentester gibi unvanlı kişiler tarafından yapılır.

Sızma Testi Uzmanının görevi, sistemde yapmış olduğu test sonucunda, alınması gereken aksiyonları belirleyerek ilgili yetkililere raporlama işidir. Raporlamayla beraber ilgili yetkilinin anlayacağı dilden anlatarak alınması gereken önlemleri ve ilerleyen süreçte yapılması gerekenleri listeler. Sızma testinin bir diğer ismi PENETRASYON (PENETRATION) testidir.

İç Ağ Güvenlik ve Dış Ağ Güvenlik şeklinde iki ayrı olarak gerçekleştirilir,

İç Ağ Güvenlik Testinde;

IPS/IDS, Firewall, İçerik Filtreleme, Anti Virus, Anti Spam
Network Dinleme ve Network Güvenliği
Sistem Zayıflık Taramaları
Şifre Politikaları
Veritabanı Sunucu Testi
VOIP Penetrasyon Testi
Mobil Uygulama Sızma Testi
Zayıflık Taramaları

Dış Ağ Güvenlik Testinde ise;

WHOIS Sorgulamaları
DNS Sorgusu
IP Blokların Tespiti
E-Posta Testleri
Web Site Hakkında bilgi toplama
Sosyal Mühendislik Testleri
DDOS Testi
Web Yazılım Testi
WLAN Sızma Testi

Olarak testler gerçekleştirilir.

Sızma Testi
Black Box (Yetkisiz erişim)
Grey Box (Kısıtlı yetkiyle erişim)
Beyaz Box (Yetkili erişim)
olarak 3 kategoriden oluşur.
 

 

Black Box (Yetkisiz Erişim)
Bu kategoride sızma testi yapılacan olan ekiple, sistem üzerinde herhangi bir bilgi paylaşılmaz, dışardan erişim sağlanması ve bir hackerın sisteme dışardan erişim sağlaması gibi pentest yapılması istenir.

Grey Box (Kısıtlı Yetkiyle Erişim)
Kısıtlı yetki erişimi verilerek, sistemde oluşabilecek zafiyetlerin taranması ve sistem yöneticisine raporlanması istenir.
Bu kategoride pentest yapacak olan ekibe, sistem üzerinde herhangi bir yetkisi olmayan fakat sistemin hangi mantıkla çalıştığını anlatan default hesaplar verilir.

Beyaz Box (Yetkili Erişim)
beyaz box pentest kategorisinde ise, sızma testi yapılacan olan sisteme ait Administrator yetkisi verilir, erişilebilecek tüm ağ ve servis paylaşılır, pentest uzmanının, tam yetki erişimiyle sistemde zafiyet tespiti yapması ve bunu sistem yöneticilerine raporlaması istenir.

 

 

 

Sızma testi Metodolojisi

Sızma Testi metodoljisi, sızma testini gerçekleştirecek olan peneterasyon uzmanının izleyeceği yol haritasını önceden belirleyerek sistem üzerinde bilgilerin toplanması, bulunan network ağın detaylarıyla bilinmesi, sistemde güvenlik açığı taranması, bulunan güvenlik açığıyla sisteme girilmesi, sisteme login olduktan sonra gerçekleştirilen erişimin sistem yöneticilerinin (Root, Administrator) yetkilerine yükseltilmesi, aynı ağda bulunan sistemin sniff edilmesi ve sisteme login olmaya çalışan diğer üye/yetkili kullanıcı bilgilerinin ele geçirilmesi, yapılan penetrasyon testi sonucunda zafiyeti tespit edilen tüm metodlara karşı önlemlerin alınması ve ardından sistem üzerinde iz bırakmamak adına yapılan logların silinmesi, son olarak sızma testinin sonucunda elde edilen raporun, sistem yöneticisinin anlayacağı şekilde belirlenen güvenlik açıkları, alınması gereken önlemler, çözüm önerileri, test yapılırken hangi metod ve uygulamaların kullanıldığı, bulunan zafiyetlerin nelere yol açabileceğini teknik ve temel olarak raporlaması gerekir. Bu bahsedilen metodoloji sadece bir örnektir, her sızma testinin kendine özgü sızma testi metodolojisi olabilir.

Sızma testi yapılırken kullanılan yazılımların bazıları Burp Suite, Nessus, Netsparker, Acunetix olarak sıralayabiliriz. Bu yazılımların ücretli versiyonları dışında deneme sürümleriyle, kısıtlı erişim belirli süre ile test etme imkanı vermektedir.
Test sonucunda hazırlanan rapor, tamaman gizlilik içerisinde sadece yetkili yöneticiler ile paylaşılmalıdır, sisteme kayıtlı üye/ziyaretçi ve kısıtlı erişime sahip yetkililere public edilmemeli, yazılı mutabakat olmadan başkalarıyla paylaşılmamalıdır.
Rapor da, testin yapıldığı sisteme ait bilgiler yer almalıdır, bunu detaylandıracak olursak aşağıdaki gibi sıralayabilliriz.

Test yapılan IP Blokları
E-Posta Sunucuları
DNS Sunucusu
Web Uygulamalar
Kablosuz Ağlar
Mobil Uygulamalar
Sosyal Mühendislik


Test sonucunda sistemde bulunan güvenlik açıklarının, Yüksek, Kritik ve Orta seviyelerine göre raporlanması, kritik olarak belirlenen zafiyetin sebep olacağı sonuçlar ve bu zafiyetin ortadan kaldırılması için alınan aksiyonlar sıralanmalıdır.

Yapılan sızma testi sonucunda, Black Box, Grey Box ve White Box kategorilerine göre elde edilen bulgular paylaşılmalıdır.

 

 

Sızma Testinde Bilgi Toplama

Penetrasyon testinde bilgi toplama araçlarından biri Google Arama Motorudur. Google’da doğru aramalar yaparak (site, inurl, intitle, filetype, ext, cache, gibi) sistem hakkında bir takım bilgiler elde etmemiz mümkün, bunlardan bazılarını sıralayacak olursak; sisteme kayıtlı mail adresleri, subdomainler, sisteme erişim sağlayan username listesi, herkese açık kayıtlı mail adresleri, gibi.

Bir de Google’da Hassas Bilgi Arama gerçekleştirmekten bahsedeceğim,

zayıf sistemler üzerine örneklendirecek olursak, daha önce hacklenmiş ve veritabanı pastebin gibi yerlere düşmüş bir siteden bahsedelim; pastebinde doğru arama yapılarak önceden public edilmiş sisteme ait hassas bilgiler (Admin kullanıcı adı ve şifresi, veritabanı şifreleri, File Transfer protokol bilgileri, gibi) kullanılarak yol katedilebilir. Ayrıca sistemin bulunduğu DNS Server, Domain Register Firması, WHOIS bilgisi, domaintools, domainbigdata gibi sitelerden sorgulanarak, kayıtlı bilgiler elde edilebilir ve bu sayede testi yapılacak sistemin yer aldığı bilgilerin gizlenmesi konusunda aksiyon alınır. Ele geçirilen her bilgi muhakkak doğru yerde kullanılırsa büyük önem arz eder, örnek verecek olursak WHOIS sorgusunda websiteye ait IP bilgisinin öğrenilmesiyle robtex sayesinde belirlenen IP üzerinde bulunan hostlar tespit edilebilir, örneğin pentest yapılacak olan şirkete ait çalışanların hassas bilgilerinin depolandığı mail sunucusuna elde ettiğimiz IP’yi robtex sorgulamasıyla bulabiliriz. Login olunan tek bir mail adresiyle, diğer kullanıcılara pishing (oltalama) saldırısı düzenlenerek, tüm sistemi risk altına girmiş olur.

 

Sosyal Mühendislik Yapılan Saldırılar

Sosyal mühendislik, çeşitli yöntemler ile insanları yanıltarak bilgi elde etme yöntemine denir, bu yöntemde hedef kişinin kendisidir.

Sistemdeki yetkili kişilerin zafından (dikkatsizlik, bilinçsizlik, acemilik) faydalanılarak sistemin alt yapısı, sisteme ait Ağ bilgileri, Sistemde kayıtlı kullanıcı listesi, kişisel bilgiler (adres, telefon, tc kimlik numarası, gibi) aleyhe kullanılabilecek tüm bilgiler ele geçirilir.
Sosyal Mühendislik yöntemi, günümüzde en çok yaygın olarak kullanılan yöntemlerden biridir. Bilgisayar korsanı; kişinin ruh halinden faydalanarak (stresli, yorgun, uykusuz, dalgın, aceleci, gibi) kendi şifresini kendi elleriyle vermesine olanak sağlar.

Sosyal Mühendislik yöntemleri ve çeşitleri geniş kapsamlı bir konu olmakla birlikte ancak teoride kullanılabilecek yöntemlere örneklendirmelerle yaklaşabiliriz. Bunların bazılarını sıralayacak olursak; Truva atları, Keyloggerlar, Spam, Phishing, Gereksiz Evrak Kutuları, Ortam Dinleme, Sahte Arama ve Mesajlar olarak değerlendirebilliriz.

 

Truva Atları;
Trojan olarak adlandırdığımız, bilgisayara ve bulunduğu Ağ’a bağlanarak, zararsız bir yazılımmış gibi kendini gösterip, arka planda sistemin tüm detaylarını loglayan ve yazılıma zarar veren virüs çeşididir.
Truva atının bilgisayara bulaşması ve bulaştıktan sonra temizlenme evresi oldukça zordur, genelde kullanıcılar çareyi bilgisayarı formatlamakta bulurlar, trojanın bilgisayara bulaşma evreleri; güvensiz kaynaklardan gelen dosyaları indirme, download edilecek dış kaynaktaki dosyayla trojanın birleştirilmesi ve ardından bu zararlı yazılım bilgisayara kurulması, e-posta yoluyla attachment edilmesi ve bunu güvenli bir dosya olarak nitelendirip bilgisayara indirilmesi gibi çeşitli yöntemleri sıralayabiliriz.

Keylogger ise;
kodlayıcısı tarafından remote olarak yönetilen, bilgisayarınıza bulaşması halinde klavye de anlık tuşlarınızı, Screenlerinizi, mouse ile tıkladıgınız alanları loglayarak üçüncü şahıslarla paylaşan zararlı yazılım türüdür. Yine truva atında oldugu gibi e-posta, USB bellek, güvenli olmayan sunucudan indirilen dosya ile bulaşma olasılığı yüksektir. Bilgisayara bulaşması takdirde kullanıcıya ait bilgiler (e-posta, şifre, bankacılık bilgileri, sosyal medya hesapları, vs) keyloggerı hazırlayan kişiye loglanarak iletilir.

Spam konusuna değinecek olursak,
güvenilirliği düşük firmaların reklam amacıyla kullanıcılara toplu veya bireysel olarak yolladığı, reklam ve popularite arttırılmaya yönelik bazen de siyasi amaç güden iletiler olarak adlandırabiliriz. Spam kullanıcılara genelde e-posta yoluyla gelir, Mail sağlayıcı servisler her ne kadar Gereksiz (Junk) kutusunda filtrelemiş olsa da, bilgisayar korsanları bu filtrelemeyi atlatarak Gelen (Inbox) kutusuna gelen maili düşürebilmektedir.
Pishing yani Fishing ve Password kelimelerinden türemiş, Türkçesi Oltalama olan bu saldırı tekniğinde; güvenli bir kaynaktan geliyormuş gibi görünüp, kullanıcıyı inandırıp download etmesi, login olması, kullandığı sistemde izin vermesi gibi amaçları güderek yapılan saldırı türüdür. Bu saldırıdaki amaç, kullanıcının bilgilerini ele geçirmektir. Kullanıcıya doğru hedeften gelmiş gibi görünüp, genelde E-Posta, Sosyal Medya, Anlık İletişim Araçları ve diğer bilimum Özel Mesaj yoluyla gönderilir. Günümüzde bilgisayar korsanlarının en çok kullandığı yöntemlerden biridir.

Gereksiz Evrak Kutuları
bir diğer deyişle Çöp Kutularına attığımız evrakları, işleyip değerlendirilmesiyle yine kullanıcıya zarar verilebilir. Bunu aslında Big Data (Büyük Veri) olarak değerlendirebiliriz çünkü işe yaramaz veri yığınlarının işlenmesiyle önemli bir veri veya bilgi haline gelir.
Kimlik fotokopilerinin, banka dekontlarının, kredi kartı ekstrelerinin, kopya CD/DVD’lerin, cep telefonu faturalarının gereksiz olarak değerlendirilip kullanıcı tarafından çöpe atılması, bilgisayar korsanı tarafından bileştirilerek kullanıcıya zarar verebilecek metodları geliştirmesine olanak sağlar.
Bu tür belge ve verilerin çöpe atılmadan imha edilmesi gerekir.

Ortam Dinleme
fiziksel olarak gerçekleştirilip, şifre girme ekranı esnasında bir başkası tarafından farkedilmesi olarak değerlendirilebilir, buna kamera, dürbün, kulak kabartmak, gözlemlemek, ses kayıt cihazları, gizli telefonlar, böcekler sayesinde erişilebilir.

Sahte Arama ve Mesajlar
Kullanıcıya ait özel bilgilerin ele geçirilmesi yöntemi ise, son dönemde kendilerini Jandarma/Polis olarak tanıtıp güvenilir bir kimlikle kullanıcıdan bilgi talep etme, vereceği direktiflere uyma, sahte Call Center aramaları ve akabinde gerçekleşen farklı senaryolar, ele geçirilen banka şifreleri, özel parolalar, kimlik bilgileri ve daha bilimum kullanıcıya ait verilerin ele geçirilmesi için yapılan yöntemdir.