Pentest ve Ethical Hacking konusundan bir kısım söz edeceğiz.
Konu Başlıkları:
-> Sızma Testleri ve Güvenlik Denetimleri
-> Zafiyet Analizi
-> Web Uygulama Saldırıları
SIZMA TESTLERİ ve GÜVENLİK DENETİMLERİ
(SIZMA TESTLERİ)
1.1) İnternet Üzerinden Gerçekleştirilen Sızma Testleri: İnternet üzerinden erişilebilir kurum kaynaklarına (dns, ftp, e-posta, web, güvenlik duvarı vb.) isteğe bağlı olarak yetkili veya yetkisiz kullanıcı haklarıyla değişik araçlar ve yöntemler kullanılarak gerçekleştirilen, bu sayede bilinen muhtemel güvenlik açıklarını saldırganlardan önce keşfetmeyi amaçlayan denetim hizmetidir.
1.2) Yerel Ağ İçinden Gerçekleştirilen Sızma Testleri: Yerel ağ içinden gerçekleştirilen güvenlik testleri, incelenmesi istenen sunucu ve sistemlerin, kurum ağından erişilerek denetlenmesi çalışmalarını kapsamaktadır. Bu denetleme çalışmaları; bilinen açıklara karşı güvenlik taraması, uygulama tipine göre uygulamaya yönelik güvenlik taramaları ve sistem yapılandırma kontrollerini kapsamaktadır.
1.3) Web Uygulama Sızma Testleri: Web uygulamaları diğer ağ uygulamalarına kıyasla karmaşık yapıları, kullanılabilecek uygulamaların çeşitliliği ve değişkenliği sebebiyle daha gelişmiş yöntemler kullanılarak değerlendirilmelidirler. Web uygulaması güvenlik testlerinde temel amaç, internet/intranet üzerindeki uygulamaların değişik kullanıcı hakları ile OWASP tarafından belirlenen standartlara göre uygulama problemleri için kontrol edilmesi ve zafiyetlerin ortaya çıkarılmasıdır.
1.4) Breadth-First Güvenlik Testleri: Söz konusu güvenlik testlerinde saldırı hedefi olarak belirli bir sistem, sunucu veya uygulama yerine direkt olarak kurumun kendisi seçilmektedir. Bu sayede belirli bir “kurumu hacklemeyi” amaç edinmiş bir saldırganın gerçekleştirebileceği aktiviteler simüle edilecektir.
1.5) Mobil Uygulama Güvenlik Testleri: Mobil cihazların kullanımındaki hızlı artış, bu iletişim araçlarına yönelik uygulamaların sayısında da artışa neden olmaktadır. Değişik teknolojiler kullanılarak geliştirilebilecek bu tarz uygulamalar da aynı standart web uygulamaları gibi zafiyetler içerebilirler. Bu test kapsamında Iphone ve Android tabanlı mobil cihazlar için geliştirilen uygulamaların ve sistemlerin kontrol edilmesi sağlanmaktadır.
1.6) Veri Tabanı Sistemlerine Yönelik Güvenlik Testleri: Kurum bünyesinde kullanılabilecek ORACLE, MSSQL, MySQL, IBMDB2, POSTGRESQL veri tabanı sistemlerinin yetkili kullanıcı gözüyle kontrol edilmesi ve güvenlik açısından sorun çıkarabilecek unsurların belirlenmesi işlemleridir.
(GÜVENLİK DENETİMLERİ)
2.1) Genel Güvenlik Durumu Analizi (Gap Analysis): Biznet Bilişim güvenlik uzmanlarının, kurum yapısı, süreçleri, olası riskler, güvenlik altyapısı, ağ ve güvenlik topolojisi, kullanılan teknolojiler, uygulamalar, politikalar ve ilgili diğer konular üzerinde görüşmeler yaparak yürüttüğü genel analiz hizmetidir.
2.2) Ağ Tabanlı Anormallik Tespiti: Kurum ağı veya iletişimi sağlayan sistemler üzerinde kaynağı belirlenemeyen performans veya güvenlik tabanlı sorunların ortaya çıkarılması için verilecek destek hizmetidir.
2.3) Kablosuz Ağ Güvenlik Kontrolleri: Kurum ağı içinde kullanılabilecek kablosuz ağ sistemine ve bu sistemi oluşturan ekipmanlara yönelik gerçekleştirilecek güvenlik kontrollerini kapsamaktadır.
2.4) Windows ve Unix Tabanlı İşletim Sistemlerine Yönelik Yapılandırma Denetim Hizmetleri: Windows ve Unix tabanlı işletim sistemlerinin, sistemlere erişim hakkı bulunan kullanıcılar ve mevcut kullanıcı ayarlarının güvenlik açısından kontrol edilmesiyle gerçekleştirilen denetim hizmetidir.
2.5) Ağ Ekipmanlarına Yönelik Yapılandırma Denetim Hizmetleri: Kurum sistemleri içinde bulunan aktif/ pasif ağ ekipmanlarına ait yapılandırma ayarlarının güvenlik açısından kontrol edilmesini içeren hizmettir.
2.6) Firewall Kural Analizi: İnternet/intranet güvenliğinin sağlanması için kullanılan en temel araç firewall yazılımları veya donanımlarıdır. Günümüzde firmalar firewall sistemleri için büyük bütçeler ayırmakta ve bu yatırımlarını kritik sistemlerini korumak için kullanmaktadırlar. Kurallar oluşturulurken yapılabilecek hatalar veya eksiklikler, korunması istenen sistemlere doğru istenmeyen bağlantıların yapılmasına yol açabilir. Firewall kural analizi ile kurumun güvenlik duvarı sistemleri üzerindeki kuralların oluşturabileceği risklerin ortaya çıkartılması hedeflenmektedir.
2.7) WAF/IPS Yapılandırma Testleri: WAF ve IPS sistemlerinin ne kadar etkin çalıştığını görmek amaçlı yapılan kontrollerdir. Bunun için Biznet Bilişim uzmanları tarafından hazırlanan araçlarla üretilen değişik saldırılardan hangilerinin bu sistemler tarafından engellendiği belirlenerek bir başarı oranı hesaplanmaktadır. Elde edilen veriler ışığında bulunan sorunlara yönelik çözüm üretilerek, mevcut sistemin daha etkin çalışmasına yardımcı olunmaktadır.
2.8) Ağ Tabanlı Zararlı Yazılım Analizi: Kurum ağı içinde belirlenen noktalara yerleştirilecek özel yazılımlar ile akan trafik içinde bulunabilecek ve zararlı yazılım içeren dosyaların tespiti için gerçekleştirilen çalışmalardır. Bu çalışma sayesinde ağ trafiği içinden akabilecek botnet haberleşme trafiği, tünelleme girişimleri, zararlı yazılımlar gibi istenmeyen trafiğin ortaya çıkartılması hedeflenmektedir.
ZAFİYET ANALİZİ
Zafiyet analizi bir sistemde bulunan tüm altyapıların analiz edilmesiyle herhangi bir olası zafiyetin olup olmadığını, varsa bulunan zafiyetlerin sınıflandırılması işlemidir. Zafiyet analizi tespit siber güvenlik çalışmalarının önemli bir parçasını oluşturur. Zafiyetlerin bulunması ihtimalinin tespiti ile sona erdirilen test sürecinde, bulunan zafiyetler üzerinden sistemlere sızılmaya çalışılır. Böylelikle zafiyetin taşıdığı risk ve özellikleri tanımlanabilir.
WEB UYGULAMA SALDIRILARI
WEB UYGULAMASI NEDİR?
Web uygulaması; kullanıcı etkileşimli veya veriye dayalı web tabanlı yazılımlardır. Kavram olarak basit gözükse de, web uygulamalarına yönelik saldırıları kategorize etmek ve incelemek açısından önem arz etmektedir. Bir sistemin nasıl çalıştığı bilinmeden o sisteme saldırılamayacağı gibi nasıl saldırıldığı bilinmeden de sistemi korumak güç olacaktır. Bu noktaya istinaden web uygulaması kavramından hareketle, web uygulamalarının nasıl çalıştığını ve web uygulama türlerini inceleyerek uygulamaya gelebilecek saldırıları belirleyebiliriz.
WEB UYGULAMALARI
Web uygulaması tanımına göre sınıflandırma yapacak olursak;
Veriye Dayalı Uygulamalar
-> Statik Web Uygulamaları: Kullanıcının ulaşmak istediği verilerin HTML kaynak kodunda saklanması prensibine dayanan uygulamalardır. Herhangi bir web teknolojisi kullanılmadan ve herhangi bir veri kaynağı olmaksızın salt HTML veya HTML-JavaScript ikilisinin kullanıldığı ve verilerin önceden hazır bulunduğu uygulamalardır. (Örneğin; HTML ile yapılmış internet siteleri)
-> Dinamik Web Uygulamaları: Kullanıcının ulaşmak istediği verilerin, kullanıcı talepleri doğrultusunda veri tabanından (veri kaynağından) çağrılarak gösterilmesi prensibine dayanan uygulamalardır. Kullanıcıdan alınan herhangi bir veri yoktur ve ilgili sorgular önceden belirlenmiştir. (Örneğin; önceden belirlenen kategorilere göre verilerin listelenmesi
Kullanıcı Etkileşimli Uygulamalar
-> İlişkisel Web Uygulamaları olarak da ifade edebileceğimiz bu uygulamalarda kullanıcıdan alınan veriler belirli kriterlere göre işlenerek, ilgili kriterdeki verinin, veri kaynağından çağrılıp kullanıcıya gösterilmesi prensibine dayanmaktadır. (Örneğin; portal veya forum uygulamaları)
Bu üç tür uygulamanın aynı ortamlarda bulunduğunu varsayarsak; web uygulamalarına yönelik saldırılar, yatay eksende, statik web uygulamalarından ilişkisel web uygulamalarına doğru genişleyecektir.
Bir web sitesini tam manasıyla ifade edebilmek için ise;
-> Web uygulamasına erişimin sağlanacak bir alan adı (domain)
-> Web uygulamasının yayın yapacağı bir sunucu (dedicated / virtual server, reseller, shared hosting, database server vs.)
-> Geliştirilmiş olan web uygulaması (statik, dinamik, ilişkisel)
-> Uygulama yöneticisi ve kullanıcıları
gereklidir.
WEB UYGULAMALARINA YÖNELİK SALDIRILAR
En baştan söylediğimiz gibi web uygulamalarına yönelik saldırıları analiz edebilmek için, bir web uygulamasının bütünleşik yapısını belirledik.
Bu yapıya göre saldırılar;
-> Alan adı üzerinden (domain)
-> Sunucu üzerinden
-> Uygulama üzerinden
-> Kullanıcılar üzerinden gerçekleşebilir.
Konu Başlıkları:
-> Sızma Testleri ve Güvenlik Denetimleri
-> Zafiyet Analizi
-> Web Uygulama Saldırıları
SIZMA TESTLERİ ve GÜVENLİK DENETİMLERİ
(SIZMA TESTLERİ)
1.1) İnternet Üzerinden Gerçekleştirilen Sızma Testleri: İnternet üzerinden erişilebilir kurum kaynaklarına (dns, ftp, e-posta, web, güvenlik duvarı vb.) isteğe bağlı olarak yetkili veya yetkisiz kullanıcı haklarıyla değişik araçlar ve yöntemler kullanılarak gerçekleştirilen, bu sayede bilinen muhtemel güvenlik açıklarını saldırganlardan önce keşfetmeyi amaçlayan denetim hizmetidir.
1.2) Yerel Ağ İçinden Gerçekleştirilen Sızma Testleri: Yerel ağ içinden gerçekleştirilen güvenlik testleri, incelenmesi istenen sunucu ve sistemlerin, kurum ağından erişilerek denetlenmesi çalışmalarını kapsamaktadır. Bu denetleme çalışmaları; bilinen açıklara karşı güvenlik taraması, uygulama tipine göre uygulamaya yönelik güvenlik taramaları ve sistem yapılandırma kontrollerini kapsamaktadır.
1.3) Web Uygulama Sızma Testleri: Web uygulamaları diğer ağ uygulamalarına kıyasla karmaşık yapıları, kullanılabilecek uygulamaların çeşitliliği ve değişkenliği sebebiyle daha gelişmiş yöntemler kullanılarak değerlendirilmelidirler. Web uygulaması güvenlik testlerinde temel amaç, internet/intranet üzerindeki uygulamaların değişik kullanıcı hakları ile OWASP tarafından belirlenen standartlara göre uygulama problemleri için kontrol edilmesi ve zafiyetlerin ortaya çıkarılmasıdır.
1.4) Breadth-First Güvenlik Testleri: Söz konusu güvenlik testlerinde saldırı hedefi olarak belirli bir sistem, sunucu veya uygulama yerine direkt olarak kurumun kendisi seçilmektedir. Bu sayede belirli bir “kurumu hacklemeyi” amaç edinmiş bir saldırganın gerçekleştirebileceği aktiviteler simüle edilecektir.
1.5) Mobil Uygulama Güvenlik Testleri: Mobil cihazların kullanımındaki hızlı artış, bu iletişim araçlarına yönelik uygulamaların sayısında da artışa neden olmaktadır. Değişik teknolojiler kullanılarak geliştirilebilecek bu tarz uygulamalar da aynı standart web uygulamaları gibi zafiyetler içerebilirler. Bu test kapsamında Iphone ve Android tabanlı mobil cihazlar için geliştirilen uygulamaların ve sistemlerin kontrol edilmesi sağlanmaktadır.
1.6) Veri Tabanı Sistemlerine Yönelik Güvenlik Testleri: Kurum bünyesinde kullanılabilecek ORACLE, MSSQL, MySQL, IBMDB2, POSTGRESQL veri tabanı sistemlerinin yetkili kullanıcı gözüyle kontrol edilmesi ve güvenlik açısından sorun çıkarabilecek unsurların belirlenmesi işlemleridir.
(GÜVENLİK DENETİMLERİ)
2.1) Genel Güvenlik Durumu Analizi (Gap Analysis): Biznet Bilişim güvenlik uzmanlarının, kurum yapısı, süreçleri, olası riskler, güvenlik altyapısı, ağ ve güvenlik topolojisi, kullanılan teknolojiler, uygulamalar, politikalar ve ilgili diğer konular üzerinde görüşmeler yaparak yürüttüğü genel analiz hizmetidir.
2.2) Ağ Tabanlı Anormallik Tespiti: Kurum ağı veya iletişimi sağlayan sistemler üzerinde kaynağı belirlenemeyen performans veya güvenlik tabanlı sorunların ortaya çıkarılması için verilecek destek hizmetidir.
2.3) Kablosuz Ağ Güvenlik Kontrolleri: Kurum ağı içinde kullanılabilecek kablosuz ağ sistemine ve bu sistemi oluşturan ekipmanlara yönelik gerçekleştirilecek güvenlik kontrollerini kapsamaktadır.
2.4) Windows ve Unix Tabanlı İşletim Sistemlerine Yönelik Yapılandırma Denetim Hizmetleri: Windows ve Unix tabanlı işletim sistemlerinin, sistemlere erişim hakkı bulunan kullanıcılar ve mevcut kullanıcı ayarlarının güvenlik açısından kontrol edilmesiyle gerçekleştirilen denetim hizmetidir.
2.5) Ağ Ekipmanlarına Yönelik Yapılandırma Denetim Hizmetleri: Kurum sistemleri içinde bulunan aktif/ pasif ağ ekipmanlarına ait yapılandırma ayarlarının güvenlik açısından kontrol edilmesini içeren hizmettir.
2.6) Firewall Kural Analizi: İnternet/intranet güvenliğinin sağlanması için kullanılan en temel araç firewall yazılımları veya donanımlarıdır. Günümüzde firmalar firewall sistemleri için büyük bütçeler ayırmakta ve bu yatırımlarını kritik sistemlerini korumak için kullanmaktadırlar. Kurallar oluşturulurken yapılabilecek hatalar veya eksiklikler, korunması istenen sistemlere doğru istenmeyen bağlantıların yapılmasına yol açabilir. Firewall kural analizi ile kurumun güvenlik duvarı sistemleri üzerindeki kuralların oluşturabileceği risklerin ortaya çıkartılması hedeflenmektedir.
2.7) WAF/IPS Yapılandırma Testleri: WAF ve IPS sistemlerinin ne kadar etkin çalıştığını görmek amaçlı yapılan kontrollerdir. Bunun için Biznet Bilişim uzmanları tarafından hazırlanan araçlarla üretilen değişik saldırılardan hangilerinin bu sistemler tarafından engellendiği belirlenerek bir başarı oranı hesaplanmaktadır. Elde edilen veriler ışığında bulunan sorunlara yönelik çözüm üretilerek, mevcut sistemin daha etkin çalışmasına yardımcı olunmaktadır.
2.8) Ağ Tabanlı Zararlı Yazılım Analizi: Kurum ağı içinde belirlenen noktalara yerleştirilecek özel yazılımlar ile akan trafik içinde bulunabilecek ve zararlı yazılım içeren dosyaların tespiti için gerçekleştirilen çalışmalardır. Bu çalışma sayesinde ağ trafiği içinden akabilecek botnet haberleşme trafiği, tünelleme girişimleri, zararlı yazılımlar gibi istenmeyen trafiğin ortaya çıkartılması hedeflenmektedir.
ZAFİYET ANALİZİ
Zafiyet analizi bir sistemde bulunan tüm altyapıların analiz edilmesiyle herhangi bir olası zafiyetin olup olmadığını, varsa bulunan zafiyetlerin sınıflandırılması işlemidir. Zafiyet analizi tespit siber güvenlik çalışmalarının önemli bir parçasını oluşturur. Zafiyetlerin bulunması ihtimalinin tespiti ile sona erdirilen test sürecinde, bulunan zafiyetler üzerinden sistemlere sızılmaya çalışılır. Böylelikle zafiyetin taşıdığı risk ve özellikleri tanımlanabilir.
WEB UYGULAMA SALDIRILARI
WEB UYGULAMASI NEDİR?
Web uygulaması; kullanıcı etkileşimli veya veriye dayalı web tabanlı yazılımlardır. Kavram olarak basit gözükse de, web uygulamalarına yönelik saldırıları kategorize etmek ve incelemek açısından önem arz etmektedir. Bir sistemin nasıl çalıştığı bilinmeden o sisteme saldırılamayacağı gibi nasıl saldırıldığı bilinmeden de sistemi korumak güç olacaktır. Bu noktaya istinaden web uygulaması kavramından hareketle, web uygulamalarının nasıl çalıştığını ve web uygulama türlerini inceleyerek uygulamaya gelebilecek saldırıları belirleyebiliriz.
WEB UYGULAMALARI
Web uygulaması tanımına göre sınıflandırma yapacak olursak;
Veriye Dayalı Uygulamalar
-> Statik Web Uygulamaları: Kullanıcının ulaşmak istediği verilerin HTML kaynak kodunda saklanması prensibine dayanan uygulamalardır. Herhangi bir web teknolojisi kullanılmadan ve herhangi bir veri kaynağı olmaksızın salt HTML veya HTML-JavaScript ikilisinin kullanıldığı ve verilerin önceden hazır bulunduğu uygulamalardır. (Örneğin; HTML ile yapılmış internet siteleri)
-> Dinamik Web Uygulamaları: Kullanıcının ulaşmak istediği verilerin, kullanıcı talepleri doğrultusunda veri tabanından (veri kaynağından) çağrılarak gösterilmesi prensibine dayanan uygulamalardır. Kullanıcıdan alınan herhangi bir veri yoktur ve ilgili sorgular önceden belirlenmiştir. (Örneğin; önceden belirlenen kategorilere göre verilerin listelenmesi
Kullanıcı Etkileşimli Uygulamalar
-> İlişkisel Web Uygulamaları olarak da ifade edebileceğimiz bu uygulamalarda kullanıcıdan alınan veriler belirli kriterlere göre işlenerek, ilgili kriterdeki verinin, veri kaynağından çağrılıp kullanıcıya gösterilmesi prensibine dayanmaktadır. (Örneğin; portal veya forum uygulamaları)
Bu üç tür uygulamanın aynı ortamlarda bulunduğunu varsayarsak; web uygulamalarına yönelik saldırılar, yatay eksende, statik web uygulamalarından ilişkisel web uygulamalarına doğru genişleyecektir.
Bir web sitesini tam manasıyla ifade edebilmek için ise;
-> Web uygulamasına erişimin sağlanacak bir alan adı (domain)
-> Web uygulamasının yayın yapacağı bir sunucu (dedicated / virtual server, reseller, shared hosting, database server vs.)
-> Geliştirilmiş olan web uygulaması (statik, dinamik, ilişkisel)
-> Uygulama yöneticisi ve kullanıcıları
gereklidir.
WEB UYGULAMALARINA YÖNELİK SALDIRILAR
En baştan söylediğimiz gibi web uygulamalarına yönelik saldırıları analiz edebilmek için, bir web uygulamasının bütünleşik yapısını belirledik.
Bu yapıya göre saldırılar;
-> Alan adı üzerinden (domain)
-> Sunucu üzerinden
-> Uygulama üzerinden
-> Kullanıcılar üzerinden gerçekleşebilir.