ransomware fidye virüsü etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster
ransomware fidye virüsü etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster

3 Nisan 2014 Perşembe

Pentest Hikayeleri #1

Bu sefer teknik olmayan bir konuyla karşınızdayım. Başlıktan da anlaşıldığı gibi sizlere hikaye anlatacağım :)
Gerçekleştirmiş olduğum(uz) penetrasyon testlerinde karşılaştığımız problemleri, çözümleri, tecrübe edindiğimiz konuları, komik olayları vs.. anlatan ama detaylarında yeni başlayan arkadaşlar için faydalı olabilecek bir yazı dizisi planlamaktayım. Belki ileride bir kitap haline bile getirebilirim: "Bir Siber Güvenlik Polisiyesi" diye.. :)
Bu arada sizin de gerçekleştirdiğiniz ve hikayeye dökerek anlatmak istediğiniz penetrasyon testleriniz varsa bana e-posta gönderirseniz burada yayınlayabilirim.

Klasik olacak ama öncelikle birkaç tanım ile başlamak istiyorum;

Penetrasyon Testi Nedir?

Kısaca Pentest diyebilirsiniz. Penetrasyon testi; firmaların bilişim sistemlerini oluşturan ağ altyapılarını, donanım, yazılım ve uygulamalara kötü niyetli birinin (hacker) saldırmasını öngören yöntemler kullanılarak yapılan saldırı ve müdahaleler ile güvenlik açıklarının tespit edilip bu açıklarla sisteme sızılmaya çalışılmasının simüle edilmesi ve tüm bu işlemlerin raporlanmasıdır.

Test sırasında uzmanlar tıpkı bir saldırgan gibi hareket eder ve sistemin tüm açıklarını, riskleri ve erişilebilirliği ortaya çıkarırlar. Çok farklı yöntemler ve değişkenler söz konusu olduğundan uzmanlar tarafından gerçekleştirilmesi gerekmektedir.

Penetrasyon Testlerinin Çeşitleri

White Box, Black Box ve Gray Box olmak üzere üç çeşittir.

White Box

Güvenlik uzmanı, firma içinde yetkili kişilerce bilgilendirilir ve firma hakkındaki tüm sistemler hakkında bilgi sahibi olur. Bu yöntemde daha önce firmada yer almış, hala çalışmakta olan veya misafir olarak ağa sonradan dahil olan kişilerin sistemlere verebilecekleri zararlar gözetilir ve raporlanır.

Black Box

Bu yöntemde sızma testini gerçekleştiren firmayla herhangi bir bilgi paylaşımında bulunulmaz sadece hedef verilir.. Bilgi sızdırmak yada zarar vermek amacıyla sızmaya çalışan bir hacker gibi davranılarak verilebilecek zararlar gözetilir ve raporlanır.

Gray Box

White Box ile Black Box testlerini kapsayan yani hem içeriden hem dışarıdan olarak yapılan test diye tanımlayabiliriz.. Bu çeşitte ek olarak Sosyal Mühendislik ve Kablosuz Ağ Saldırıları da eklenmektedir.