Sunum yükleniyor. Lütfen bekleyiniz

Sunum yükleniyor. Lütfen bekleyiniz

|

Benzer bir sunumlar


... konulu sunumlar: "|"— Sunum transkripti:

1 http://www.mertsarica.com | http://twitter.com/mertsarica

2 Penetrasyon Testi (Pentest) Nedir, Ne De ğ ildir ? İ yi Bir Pentester Nasıl Olunur ? Neden Kurumlar Pentester Arıyorlar ? http://www.mertsarica.com | http://twitter.com/mertsarica Kurumlar için Neden Önemlidir ? Sonuç

3 Ahlaklı KorsanMesai saatlerinde... Python Programcısıhttp://www.mertsarica.com/programlar Güvenlik TVhttp://www.guvenliktv.org Blog Yazarıhttp://www.mertsarica.com Zararlı Yazılım AnalistiBo ş zamanlarımda... http://www.mertsarica.com | http://twitter.com/mertsarica Sertifika KolleksiyoncusuCISSP, SSCP, OSCP, OPST, CREA

4 http://www.mertsarica.com | http://twitter.com/mertsarica Finans sektörünün ihtiyaçlarına ve günün teknolojilerine uygun hizmetler sunan, ürünler meydana getiren, NBG Grup ş irketlerinden Finansbank’ın Bilgi Teknolojileri i ş tiraki olan IBTech firmasında Bili ş im Güvenli ğ i Uzmanı (Senior Penetration Tester / Ethical Hacker) olarak çalı ş maktayım. http://www.ibtech.com.tr http://www.finansbank.com.tr

5 http://www.mertsarica.com | http://twitter.com/mertsarica

6 Regülasyonlara (PCI, BDDK vs.) uyum için. Kurum içi farkındalı ğ ı arttırmak için. İ tibarınız için. http://www.mertsarica.com | http://twitter.com/mertsarica Mü ş terilerinizin güvenli ğ i için. Sistemlerinizi savunmak için. (En iyi savunma saldırıdır!)

7 http://www.mertsarica.com | http://twitter.com/mertsarica

8

9 Pentest, hedef sistemlerin, a ğ ların güvenli ğ inin hacker gözüyle denetlenmesi, tespit edilen zafiyetlerin istismar edilmesi ve zafiyetleri ortadan kaldıracak çözüm önerilerinin üretilmesidir. Zafiyet de ğ erlendirme testlerinden farklı olarak bu testlerde tespit edilen zafiyetler istismar edilir. Türleri: Whitebox, Blackbox, Greybox http://www.mertsarica.com | http://twitter.com/mertsarica Bu testler sayesinde birden fazla dü ş ük seviye bulgu bir araya getirilerek kritik seviyede bulgu ile sonuçlanabilir.

10 http://www.mertsarica.com | http://twitter.com/mertsarica

11 Sadece otomatize araçlar ile « Tara ve Geç » ş eklinde gerçekle ş tirilen testlerden de ğ ildir. Amaç kapsama ba ğ lı kalarak istismar edilebilen zafiyetlerin tespit edilmesi ve raporlanmasıdır, kapsam dı ş ına çıkılması beklenmemelidir. Zafiyet de ğ erlendirme testleri gibi yüzlerce sayfalık raporlardan olu ş mayabilir bu nedenle raporun sayfa sayısına göre de ğ erlendirilmemelidir. http://www.mertsarica.com | http://twitter.com/mertsarica Regülasyonlara uyum nedeniyle yapmı ş olmak için yapılmamalıdır. Katma de ğ er için i ş in ehli ki ş i veya ki ş ilerce gerçekle ş tirilmelidir.

12 Acunetix  Netsparker  Appscan  Webinspect  Burp Suite Pro  http://www.mertsarica.com | http://twitter.com/mertsarica Pentester 

13 http://www.mertsarica.com | http://twitter.com/mertsarica

14

15

16

17

18 Dinamik bir yapıda yılda 1 defa sızma testi gerçekle ş tirilerek sistemlerin ve a ğ ların güvenli ğ i sa ğ lanamaz! İ mza tabanlı sistemlerin tamamına yakını atlatılabilmektedir. Güvenlik, dı ş kaynaklara devredilip unutulacak bir husus de ğ ildir. http://www.mertsarica.com | http://twitter.com/mertsarica Organize suç örgütleri artık 0. gün zafiyetlerinden faydalanmaktalar. (Elderwood Project) En zayıf halkanız kadar güvendesiniz.

19 http://www.mertsarica.com | http://twitter.com/mertsarica

20

21

22 Zararlı Site Ziyaret TarihiURLAV Tespit TarihiÜlke 18/06/2012 14:33:00 EEST http://bell.madhousedomains.com/Set.jar -Rusya 18/06/2012 14:33:00 EEST http://bowl.taxpainkiller.com/Set.jar -Rusya 11/06/2012 21:10:58 EEST http://tellmeonlygoodnews.org/l/Set.jar -Rusya 11/06/2012 21:10:58 EEST http://diving-pleasure.com/l/Set.jar -Rusya 08/06/2012 12:05:44 EEST http://zhdrzfkzq.changeip.name/images/334857960/c17267280 eeb8b395c2abca7085a2944.jar -- 08/06/2012 11:56:06 EEST http://ca.miraclestove.org/Half.jar -Rusya 08/06/2012 11:56:»06 EEST http://home-page.ezua.com/Half.jar - Kazakistan 08/06/2012 11:56:06 EEST http://shop.rxpillcenter.com/Half.jar- Rusya 06/06/2012 19:20:43 EEST http://kioiwrsd.tk/33982.jar22.06.2012Rusya 06/06/2012 19:20:43 EEST http://gkiqaue.tk/33982.jar -- Tarih: 22.06.2012

23 http://www.mertsarica.com | http://twitter.com/mertsarica

24

25

26 0. Gün Zafiyeti ? İ ç Tehdit ? Sosyal Mühendislik ? SQL Injection ? 3. Parti Firma ? http://www.mertsarica.com | http://twitter.com/mertsarica Belki de sadece Google Hack ?

27 http://www.mertsarica.com | http://twitter.com/mertsarica

28

29

30

31

32

33

34

35

36 Hacklenme riskinizi azaltır. http://www.mertsarica.com | http://twitter.com/mertsarica Projelerde güvenlik danı ş manlı ğ ı yapar. Güvenlik ürünü seçiminde en do ğ ru kararı vermenizi sa ğ lar. Süre ve maaliyet kısıtları olmaksızın gerçekle ş tirdi ğ i testler ile daha fazla zafiyet tespit ederek güvende olmanızı sa ğ lar. Bilgisayar olayları müdahalesinde kilit rol oynar.

37 Her ş eyden önce İ ngilizce dilini iyi bilmek! ( Yerli kaynak sıkıntısı ) http://www.mertsarica.com | http://twitter.com/mertsarica Çok çok okumak, bol bol pratik yapmak Sistem bilgisi ( Hack edece ğ iniz sistemi iyi bilmeniz gerekir ) Programlama bilmek ( Araçlar her zaman i ş inizi görmeyebilir ) E ğ itim Ş art

38 Penetrasyon testi haberle ş me gerçekle ş tiren her cihaza yapılabilir. http://www.mertsarica.com | http://twitter.com/mertsarica OSI katmanlarını ve protokollere hakim olmak ş art. Giri ş seviyesi için C ve Python (Ruby veya Perl) programlama dili bilmeniz, ileri seviye için ise Assembly bilmeniz ş art. Yaratıcı dü ş ünme ş art. (Ben siyah ş apka olsaydım ne yapardım ?) Teknolojiyi yakından takip edin. (Mobile Pentest / NFC vs.) Sosyal medyayı yakından takip edin. (Twitter)

39 http://www.mertsarica.com | http://twitter.com/mertsarica

40

41

42 Hacking Exposed serileri http://www.mertsarica.com | http://twitter.com/mertsarica Hackers Handbook serileri Linked’in hesabımda okudu ğ um kitaplar.

43 Yedekten dönemeyece ğ iniz tek bir ş ey vardır o da itibarınız. http://www.mertsarica.com | http://twitter.com/mertsarica Bilgi güçtür ve Pastebin’e asıldıkça azalır  Hacklenmedi ğ iniz için rehavete kapılmayın çünkü henüz sıra size gelmemi ş olabilir, önleminizi ş imdiden alın. Yeti ş mi ş Pentester bulamıyorsanız yeti ş tirmeye bakın. Pentesterınıza mutlaka yatırım yapın o sıradan bir i ş yapmıyor. No news is s/good news/APT/g

44 http://www.mertsarica.com | http://twitter.com/mertsarica

45


"|" indir ppt

Benzer bir sunumlar


Google Reklamları