PENETRASYON TESTİ VE GÜVENLİĞİB DEĞERLENDİRİLMESİ

-

PENETRASYON TESTİ VE GÜVENLİĞİB DEĞERLENDİRİLMESİ





Penetrasyon Testi Nedir?

Penetrasyon (sızma) testi, kullanıcı adı ve şifresi olmadan her yolun denenerek kaynaklara sızılmasıdır. Bilgisayardaki kaynaklar önemliyse, başarılı bir şekilde bilgisayara sızılması sonucu gizli belgeler, fiyat listeleri, veri tabanları ve diğer kritik bilgiler ele geçirilebilir veya değiştirilebilir.

Penetrasyon testini bir saldırıdan ayıran en temel özellik test yapılırken izin alınmasıdır. Penetrasyon testini yapan kişi bilgisayarda test edilecek kaynakların sahibinden izin alır ve sonrasında bir rapor sunmakla yükümlüdür. Penetrasyon testinin amacı, test edilen kaynaklara ilişkin güvenliğin arttırılmasıdır.

Birçok durumda penetrasyon testini yapan kişiye kullanıcı düzeyinde erişim izni verilir; bu tür durumlarda amaç hesabın durumunu veya kullanıcı düzeyine sahip kişinin erişmemesi gereken ek bilgilere başka yollarla bir kullanıcının erişmemesini sağlamaktır.

Penetrasyon testini yapan kişilerle yalnızca bir zafiyet bulmaları için anlaşma sağlanır ancak bu kişiler diğer zafiyetlerin da tespit edilip ortadan kaldırılabilmesi için karşılaştıkları ilk zafiyeti görmezden gelir. Testi yapan kişi testin nasıl ilerlediğine dair detaylı notlar tutmalıdır, böylece sonuçlar doğrulanabilir ve tüm sorunlara çözüm bulunabilir.

Testi yapan kişinin güvenlikle ilgili bütün sorunları bulmasının mümkün olmayabilir. Örneğin, kuruluş dün yapılan bir penetrasyon testini geçebilir. Ancak, ertesi gün sistemde bir zafiyet belirebilir veya e-posta sunucularında yeni bir açık oluşabilir. Sorunun ne zaman çıkacağını bilmek imkânsızdır. Bir ağı güvenli tutmak için olası tehditlere karşı her zaman dikkatli ve hazırlıklı olunmalıdır.

Penetrasyon Testi ve Zafiyet Değerlendirmesi

Bu çalışmanın odak noktası penetrasyon testidir ancak penetrasyon testi ve zafiyet değerlendirmesi her zaman birbiriyle karıştırılan kavramlardır. Bu iki kavram birbirleriyle ilişkilidir ancak zafiyet değerlendirmesi sistem saldırısına karşı savunmasız olan alanların tespit edilmesine önem verirken, penetrasyon testi mümkün olan her yoldan her alana erişim sağlamaya odaklanır. Otomatik bir zafiyet tarayıcısı, aslında göründükleri gibi olmayan hizmet bannerlarına veya diğer ağ yanıtlarına dayanan zafiyetleri tespit eder. Zafiyet değerlendirme, sistem ele geçirilmeden önce durdurulur, ancak penetrasyon testi sözleşme kapsamında belirtilen şartlara göre devam eder.

Bunun sadece bir "Test" olduğunu unutmamak gerekir, Penetrasyon testi bir bakıma diğer testler gibidir, bütün olası sistemlerin ve yapılandırmaların bir örneklemesidir. Sözleşme sadece tek bir sistemin test edilmesi için yapılmamışsa, olası bütün zafiyetlerden yola çıkarak bütün sistemlere sızmak ve zafiyeti tanımlamak mümkün olmayacaktır. Aslında, penetrasyon testi ortamın örneklemesidir. Ayrıca, testi yapanların çoğu ilk önce en kolay hedefe yönelir.

Zafiyetler Nasıl Belirlenir

Zafiyetler hem penetrasyon testi hem de zafiyet değerlendirmesi yapılarak tespit edilmelidir. Atılacak adımlar yetkisiz girişler ve güvenlik testlerine yönelik atılan adımlara benzer. Yetkisiz giriş yapan kişi fark edilmemek için yavaş yavaş sisteme girmeyi tercih edebilir, fakat penetrasyon testini yapanlar da özellikle yavaşça ilerler, böylece testi yaptıran işletmenin güvenliğinin ne durumda olduğunu belirleyebilir ve bu doğrultuda gerekli düzenlemeleri yapabilir.

Penetrasyon testinin ve zafiyet değerlendirmesinin ilk adımı keşiftir. Testi yapan kişi hedef ağ hakkında mümkün olduğu kadar çok bilgi edinmeye çalışır. Bu işlem normalde e-posta ve ağ sunucuları gibi herkesin erişilebileceği hizmetleri belirleyerek başlar. Birçok sunucu kullandıkları İşletim Sistemlerini, yazılımların sürümlerini, izin verilen modülleri ve yamaları, bazen de iç sunucu adı ya da IP adresi gibi iç bilgileri dahi bildirebilir.

Testi yapan kişi hedef bilgisayarlarda hangi yazılımın çalıştığını öğrendiğinde, bu bilginin doğrulanması gerekir. Testi yapan kişinin sahip olduğu bilgiler birleştirilir ve bilinen zafiyetlerle karşılaştırılır. Böylece, bu zafiyetler elde edilen sonuçların, sahip olunan bilgiyi desteklediğini ya da bilgiyle çeliştiğini görmek için test edilebilir.

Penetrasyon Testinin Amacı Nedir?

Penetrasyon testinin uygulanması için birçok neden var. Bunlardan en önemlisi zafiyetlerin bulunması ve sisteme saldırılmadan önce ortadan kaldırılmasıdır. Bazı durumlarda, Bilgi İşlem birimleri bildirilen zafiyetlerin farkındadır, fakat bunları resmi olarak rapor edecek dışardan bir uzmana ihtiyaç duyulur, böylece yönetim bu zafiyetlerin ortadan kaldırılması için gereken desteği sağlar. Bilgisayar sisteminin ikinci bir göz tarafından kontrol edilmesi önemli bir güvenlik uygulamasıdır. Yeni bir sistemin faaliyete geçmeden önce test edilmesi iyi bir fikirdir. Penetrasyon testi yapılmasının bir diğer nedeni, hedef işletmedeki bilgi işlem birimine saldırıya karşılık verme fırsatı tanımaktır. PCI (Ödeme Kartı Sektörü) Veri Güvenliği Standardı ve diğer güvenlik sertifikaları ve yönetmelikleri dış güvenlik testinin yapılmasını gerekli görür.

Başkasından önce güvenlik açıklarını tespit etmek

Herhangi bir sistemi ele geçirmeye çalışan saldırganlar otomatik araçlarla sisteme sızmanın yolunu bulmaya çalışır. Ancak, bu saldırıların birçoğu önlenebilir. Penetrasyon testi bilgi işlem birimleri ağ yapısını bir saldırganın gördüğü gibi görür. Burada amaç testi yapan kişinin ağa sızabileceği açıkları bulmasıdır, böylece kötü niyetli biri bu açıkları keşfetmeden önce saldırı önlenebilir.

Penetrasyon testini bir bakıma yıllık tıbbi bakım gibi düşünebilirsiniz. Sağlıklı olduğunuzu düşünseniz bile, doktorunuz henüz belirti göstermeyen hastalıkları teşhis etmek için bir dizi test uygulayacaktır.

Sorunları Yönetime İletmek

Güvenlik ekibi üst yönetime sistemlere ilişkin güvenlik eksikliklerinin söz konusu olduğunu bildirmişse, penetrasyon testi sonuçları da bu eksikliklerin giderilmesi konusunda üst yönetimi ikna edici olur.

İç güvenlik ekibi sistem güvenliğindeki zayıflıkların farkına varır ancak sistem güvenliğini sağlayacak gerekli düzenlemelerin yapılması için yönetimin desteğini almak zordur. Güvenlik uzmanlığı alanında ün yapmış bir grubun görüşüne yönetim çoğu zaman daha çok önem verir. İşletmelerde, her zaman siyasi çekişmeler vardır ve maddi kaynaklar genellikle kısıtlıdır. Yöneticiler ve teknisyenler yeni teknolojiler için bütçe artırımı talep eder. Bu ihtiyacı doğrulayacak bağımsız üçüncü kişinin görüşüyle, yönetim güvenlik teknolojilerine harcama yapmayı onaylar ya da reddeder.

Bilgi Teknolojileri sistemlerinin güvenliğine ilişkin nihai sorumluluk yönetime aittir. İşletmenin tolerans gösterebileceği risk seviyesini belirlemek yönetimin görevidir.

Güvenli Konfigürasyonları Doğrulamak

Güvenlik ekibi atılan adımlardan ve elde edilen sonuçlardan eminse, penetrasyon testi raporu, ekibin doğru adımlar attığını doğrular. Penetrasyon testini yapan ekip başarılı bir biçimde bir sisteme sızarsa, bu durum işletme içindeki güvenlik ekibinin sistem güvenliği konusunda iyi eğitilmediğini gösterir. Penetrasyon testi bir ağı daha güvenli yapmaz ancak bilgi ve uygulama arasındaki boşlukları ortaya çıkarır.

Ağ Personeline Yönelik Güvenlik Eğitimleri

Penetrasyon testi güvenlik ekibinin saldırıyı fark etmesini ve önlemesini sağlar. Örneğin, penetrasyon testini yapan kişi, kimseye fark ettirmeden sisteme sızarsa, personelin güvenlik konusunda iyi eğitilmediği ve sistemlerin yeterince güvende olmadığı söylenebilir. Güvenlik personeli kötü amaçlı saldırıları tespit etme konusunda iyi eğitilmemişse, test sonrası oluşturulan rapor personelin güvenlik ve zafiyet tespiti konusunda bilgilenmesini sağlar.

Yeni Teknolojileri Test Etmek

Yeni teknolojiler, uygulamalar ve ortamlar üzerinde penetrasyon testi yapmak, zamandan ve paradan tasarruf etmenizi sağlar çünkü yeni bir teknolojiyi kişilerin kullanımına sunmadan önce test etmek ve değiştirmek daha kolaydır.

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

Site Hackleme Taktikleri Ve Açıklamalar

-
Resim
Site Hackleme Taktikleri ve Açıklamalar Brute Force Attacks Site Hackleme Taktikleri Ve Açıklamalar Belirli tabanlı sitelere yapılan deneme yanılma saldırılarıdır. Tam olarak bir açık değildir. Şifrelerin zayıf,kolay olması ile işe yarayan bir yöntemdir. Özel siteleri hacklerken pek fazla kullanılmaması ile beraber sayı kasmak için yapılan saldırlarda etkili bir yöntemdir.  SQL İnjection SQL İnjection sql veritabanı kullanan site ve uygulamalarda oluşan bir açıktır. Saldırganın sitede (ya da uygulamada) izinsiz şekilde sql komutları çalıştırmasına olanak sağlar. Bu şekilde etkili kullanıldığı takdirde tüm veritabanı bilgilerine erişim sağlanabilir. Dilerseniz vikipedi tanımna bakalım, daha açıklayıcı olacaktır : SQL Injection , veri tabanına dayalı uygulamalara saldırmak için kullanılan bir atak tekniğidir; burada saldırgan SQL dili özelliklerinden faydalanarak standart uygulama ekranındaki ilgili alana yeni SQL ifadelerini ekler. (Örneğin saldırgan,veritabanı içeriğini kend
Devamı

CONFİG NEDİR? Ne İşimize Yarıyacak? Config Çekme Örnekleri. - Hackerlik Okulu

-
Resim
CONFİG NEDİR? Config sitenin bilgilerinin bulunduğu ve diğer sitelerin serwerlarıyla iletişimin sağlandığı dosyadır.Tam adı config.php (wordpress) ya da configuration.php 'dir ( joomla ). Ne İşimize Yarıyacak? Evet,gelelim asıl mevzuya ne işe yarıyacağına.Biz config dosyasından db adını,db şifresini ve db kullanıcı adını alarak bi de port değişikse onu da configten öğrenerek shellin sql bölümünden kendi sitemize bağlanabiliriz. Ee diyorsunuz zaten shell attığım bir siteye bağlansam ne olacak? Zaten amaç bu değil; asıl amaç config dosyasının içindeki bilgileri çekmek. Sizin görebildiğiniz kendi sitenizin bilgileri, fakat birkaç işlemle config çekebilirsek sunucuda bulunan bütün sitelerin config.phpsine ulaşabiliriz. Bu da şu demek oluyor,1 siteyle 100'lerce, 1000'lerce site hackleyebiliriz. İşte shellin sql bölümünden sitelere bağlanabiliriz, ve şifrelerini değiştirip hepsini hackliyebiliriz. Config dosyasının işlevi bu. Çekildikten sonra db adı,portu,şifresi
Devamı

EN İYİ IP ADRESİ GİZLEME PROGRAMLARI...

-
Resim
EN İYİ IP ADRESİ GİZLEME PROGRAMLARI 1- REAL HİDE IP Real Hide IP programı, IP adresinizi tümüyle gizlemenizi sağlar. Web sitelerini her ziyaret edişinizde IP adresiniz görünür. çoğu web sitesi ve hackerlar ev adreslerinizi ve diğer kişisel bilgilerinizi görüntülemek için IP adresinizi kullanır. Bu yazılım sayesinde isimsiz şekilde, IP adresinizi gizli tutarak web sitelerinde gezebilirsiniz. böylece kişisel bilgilerinizi hackerlardan korumuş olursunuz ve çevrimiçi aktivitelerinizin tam şifrelenmesini sağlarsınız. Ayrıca bunların tümünü tek butona tıklayarak yapmanız mümkündür. Başlıca özellikleri: • Gerçek IP adresinizi gizleyin: Gerçek IP’nizin gizlenmesi için farklı ülkeden sahte IP adresleri atanır. • Web’de isimsiz şekilde gezinti: Sahte IP ile istediğiniz zaman istediğiniz web sitelerinde gezebilirsiniz. • Kimliğinizi hackerlardan koruyun: Sahte IP ile kimlik hırsızlarına karşı kendinizi koruyun. • Forumlardan ya da kıstıtlanan web sitelerinden yasaklanmanızın ö
Devamı