16 Kasım 2012 Cuma

Sızma Testi Nasıl Yapılmaz?

Sızma Testi (Penetration Test) nasıl yapılır,hangi araçlar kullanılabilir,kimler sızma testi yapabilir bunları her yerde okursunuz. Bu yazıda komik duruma düşmemeniz için sızma testi sırasında yapmamanız gerekenlerden bazılarını listeleyeceğim.Eksik olduğunu düşündüğünüz maddeler varsa yorum olarak ekleyebilirsiniz.
  • Kapsam dışına çıkmayın,test kapsamında olmayan tek bir ip adresine tek bir paket bile göndermeyin.
  • Servis ve hizmet kesintisine sebep olmayın. Yapılmaya çalışılan işin adı üstünde sızma,farkettirmeden bir takım sistemlere,bilgilere erişme testi, servis kesintisine neden olma, cihaz yamultma testi değil. Bu nedenle bence sızma testi sırasında ortaya çıkan kesintiler testin ve firmanın başarısız olduğunu göstermeye yeter.
  • Müşterinin belirlediği kapsamda yapılacak test için testi bitiremeyeceğiniz süreler taahhüt etmeyin. Belirteceğiniz süre çok kısa ya da çok uzun olursa çoğu zaman işi alamazsınız bile. Kendinizi tanıtırken "Dünyaca tanınmış hacker" gibi komik ifadelerden kaçının.
  • Sadece hazır araçların raporlarını sızma testi raporu diye sunmayın.
  • Özellikle otomatik tarama bulgularını doğrulamadan raporlarınıza yazmayın.
  • Yeni bir rapor hazırlamaya üşenip önceki raporlardan birini değiştirip kullanacaksanız, değiştirdiğiniz eski raporda eski müşterinize ait bilgi bırakmayın.
  • X işletim sistemi ya da ürünü için geliştirilen istismar araç ya da yöntemini Y işletim sistemine ya da ürününe karşı kullanmayın. Windows işletim sisteminde "passwd" dosyası aramayın mesela.
  • Daha önce kullanmadığınız,test ortamınızda test etmediğiniz istismar araçlarını müşterinizde kullanmayın.Sebep olabileceği olumsuz sonuçları bilemezsiniz. 
  • Envanterinizde "0-day" tabir edilen henüz ifşa edilmemiş zaafiyetleri istismar edebilecek araçlar,scriptler olabilir. Sadece sizin bildiğinizi iddia ettiğiniz zaafiyetleri, zaafiyetleri giderecek yöntemleri bilmiyorsanız ya da oturup zaafiyeti giderici yama/güncelleme vs yazmadıysanız kullanmayın. Sızma testinde müşteriye zaafiyetleri en aza indirme ya da ortadan kaldırma önerleri sunmak, onları tespit etmek kadar önemlidir,Türkiye'nin ilk lameri olup olmadığınız önemli değildir.
  • Ne idüğü,kaynağı belli olmayan araçları testlerinizde kullanmayın,müşterinizi ve kendinizi riske atmayın. Bazı "exploit" tabir edilen istismar aracı ya da kodları truva atı (trojan),arka kapı (backdoor) gibi saldırı bileşenleri içerebilir.
  • Müşterideki muhattabınız olan birim ya da bölümdekilerin bilgisi ve onayı olmadan müşterinizin çalışanlarıyla etkileşim içine girmeyin. Kafanıza göre sosyal mühendislik saldırıları yapmaya kalkmayın.
  • Test raporunu veya testle ilgili en ufak ayrıntıyı teste konu olan müşteri dışında kimseyle paylaşmayın. Çoğu zaman sızma testi yapan firma çalışanı önceki ve diğer müşterilerindeki deneyimlerini,bulunan açıklıkları biraz da böbürlenerek anlatmayı sever.
  • Müşterinizden daha önceki sızma testi raporları, ağ topolojisi gibi bilgileri isteme hatasına düşmeyin.
  • Müşteriyle elektronik ortamda kurulan iletişimde güvensiz protokoller ya da uygulamalar kullanmayın. Maillerinizi,raporlarınızı "clear text" denen şifresiz formatlarla göndermeyin. Mail sunucunularınızı yöneten sistem yöneticinizin,mail sunucunuzun yedeklenmesinden sorumlu yedekleme yöneticisinin ya da ISP'nizin yazışmalarınızı izlemediğinden asla emin olamazsınız.
  • Sızma testi sırasında zaafiyet barındıran uygulamalar kullanmayın. Mesela sosyal mühendislik saldırısında kullanıcı adı/parola bilgisi toplamak için kullanacağınız basit web uygulamasındaki açıklar bu bilgileri sakladığınız veritabanının silinmesine neden olmasın.
  • Port açma gibi ayrıcalık taleplerinde bulunduktan sonra, tanınan bu ayrıcalıkları belirtmeden bu ayrıcalıklardan faydalınarak tespit edilen zaafiyetleri rapor etmeyin. Örneğin; normal şartlarda kullanıcılara sadece 1433 portundan erişim izni verilmiş bir veritabanı sunucusunu taramak istediğinizi söyleyip taramayı yapacak pc ile veritabanı sunucusu arasındaki tüm portları açtırdıktan sonra tespit ettiğiniz zaafiyetleri rapor ederken "vay efendim veritabanında şu açıklıklar var" yazmak yerine "veritabanı sunucusuna erişim kısıtlıdır,ama test için tüm portlar açıldıktan sonra yapılan tarama ve testlerde şu açıklıklar tespit edilmiştir" yazmak daha anlamlıdır.
Daha önce sızma testi yapmamış ama güvenlik ve zaafiyet taramaları yapmış biri olarak şimdiye kadar çalıştığım kurumlarda yapılan ya da diğer kurumlarda yapıldığını duyduğum testlerde karşılaştığım, duyduğum,dikkatimi çeken hatalar,kimi zaman güldüren "yok artık!" dedirten yanlışları listeledim. Yazının başında belirttiğim gibi siz de katkıda bulunabilirsiniz. Öğrenmenin ve madara olmanın yaşı yok,seçiminizi yapın :)



İlgili Yazılarım
Ağ ve Sunucu Güvenliğinde Yapılan Yanlışlar & Hurafeler
Hedefi Olmadığınız Saldırılardan Ders Çıkarmak,Faydalanmak - Nass oluyor da oluyor?
Sosyal Mühendislik'te İğneyi Kendine Batırabilmek
BDDK - Bilgi Sistemlerine İlişkin Sızma Testleri Genelgesi üzerine
300 ve Bilişim Güvenliği Analojisi - Nass oluyor da oluyor?

Gönderen Umut zaman:

1 yorum:

Kaydol: Kayıt Yorumları (Atom)