S İBER G ÜVENLİĞE G İRİŞ S IZMA T ESTLERİ Doç.Dr. İbrahim ÖZÇELİK Arş.Gör. Musa BALTA

İ ÇİNDEKİLER Sızma Testi Nedir? Sızma Testi Kategorileri ve Çeşitleri Sızma Testi Adımları Örnek Uygulama Senaryosu Uygulamada Kullanılacak Araçlar

S IZMA T ESTİ N EDİR ? Sızma testleri; kurumların bilişim altyapılarına (uygulamalar, ağ cihazları vb.) kötü niyetli kişi/kişiler tarafından yapılan saldırılar esnasında kullanılması öngörülen method ve araçların kurumdaki güvenlik açıklıklarının tespit edilip, analiz edilerek raporlanması için kurumun bilgisi ve gözetimi dahilinde yapılan testlerdir. Son yıllarda artan bilişim suçlarından dolayı kurumların kurum içi/dışı sızma testleri yaptırmaları artık gereksinim halini almıştır. Ülkemizde sızma testleri konusunda bir çok firma çalışma yapmaktadır. Bunlardan en bilinenleri:  Tubitak UEKAE  BGA Bilgi Güvenliği Eğitim ve Danışmanlık Ltd. Şti  Pro-G  Nebula Bilişim Hizmetleri  ADEO

S IZMA T ESTİ N EDİR ? Kurumunuz çok güvenli dahi olsa her zaman sisteme sızmanın bir yolu olabilir.

S IZMA T ESTİ K ATEGORİLERİ VE Ç EŞİTLERİ Genellikle bir çok alanda sızma testi yapılabilmekte olup en yaygın kullanım alanları ise şu şekilde kategorize edilmektedir:  Kurum ağ altyapısı sızma testleri  DoS/DDoS atakları  Son kullanıcı ve sosyal mühendislik testleri  Kablosuz ağ sızma testleri  Web uygulamaları sızma testleri  İşletim sistemleri sızma testleri  Veritabanı sistemleri sızma testleri

S IZMA T ESTİ K ATEGORİLERİ VE Ç EŞİTLERİ Sızma testleri genel olarak 3’e ayrılır:  Beyaz kutu (white box) sızma testleri: Testi yapacak kişi, firma tarafından sistem hakkında bilgilendirilir. Bu tip testlerde daha önceden firmada çalışmış/çalışmakta olan ve ağa misafir olarak bağlanan kişilerin sisteme verebileceği hasar test edilir.  Siyah kutu (black box) sızma testleri: Bu yöntemde testi yapacak kişiyle herhangi bir bilgi paylaşımı olmaz sadece saldırılacak hedef belirtilir. Bu tip testlerde amaç dışardan bir saldırganın sisteme nasıl erişebileceği ile ilgili bilgi elde edilir.  Gri kutu (gray box) sızma testleri: Hem içerden hem dışarıdan yapılan test anlamındadır.

S IZMA T ESTİ A DIMLARI Sızma testlerinde daha önceden denenmiş ve standart haline gelmiş birkaç metodoloji vardır:  OWASP(Open Web Application Security Project)  OSSTMM(The Open Source Security Testing Methodology Manual)  NIST SP  ISSAF(Information Systems Security Assessment Framework)

S IZMA T ESTİ A DIMLARI

1) Bilgi Toplama: Testin yapılacağı kurum hakkında sistem, kullanıcı profili, domain vb. konularda web üzerinden olabildiğince bilgi toplanmasıdır. Bilgi toplamada kullanılabilecek bazı araçlar:  Google  Shodan  Facebook  LinkedIn 2) Ağ Haritalama: Hedef sistem üzerindeki açık portlar, servisler ve bağlantılı uygulama yazılımların bulunması amaçlanır. Ağ haritalama adımında bilinen en iyi araç:  Nmap

S IZMA T ESTİ A DIMLARI 3) Zayıflık Tarama: Bu süreçte sistem üzerindeki açıklıklar taranıp hangi açıklıklar üzerinden sızma işleminin yapılabileceğinin analiz edilmektedir. Bu adım için bilinen araçlar ise:  Nessus  Netsparker 4) Sisteme Sızma: Zayıflık tarama adımında kullanılan araçların sistemde bulduğu açıklıklar üzerinden python, ruby ve java gibi dillerde yazılmış olan bazı exploitlerin çalıştırılarak sisteme girilmesidir. Bilinen en iyi sızma programları şu şekildedir:  Metasploit  Core Impact  Sqlmap

S IZMA T ESTİ A DIMLARI 5) Yetki Yükseltme: Bu adımda sisteme sızıldıktan sonra istenilen işlemlerin yapılabilmesi için kullanıcı haklarının root, administrator gibi yetkilere yükseltilmesi gerekmektedir. Bunun için çeşitli exploitler denenebilir. 6) Başka Ağlara Sızma: Yetki yükseltme işlemi gerçekleştirildikten sonra kurum içerindeki dmz alanı, veritabanı alanı gibi önemli ağlara geçme adımıdır. 7) Erişimleri Koruma: Sisteme girildikten sonra erişimin daha sonrada devam edebilmesi için sisteme backdoor, rootkit vb.yerleştirilmesi işlemleridir.

S IZMA T ESTİ A DIMLARI 8) İzleri Temizleme: Hedef sisteme sızma işleminde kullanılan tüm işlemlerin log sunucu veya ağ cihazları üzerinde bıraktıkları tüm izler temizlenmesi işlemidir. 9) Raporlama: Bu adım kurum için en önemli adımdır. Sızma testi tamamlandıktan sonra sistemin hangi açıklıklara sahip olduğu önem derecesine göre raporlanıp firma yetkililerine almaları gereken önlemlerin belirtilmesi işlemidir.

Ö RNEK U YGULAMA

Kurumsal bir ağa siyah kutu (black box) sızma testi yapılmak istenmektedir. Kurumsal ağın DMZ alanındaki web sunucusuna sızılmak istenmektedir. Bu senaryoda kullanılacak araçlar şu şekildedir:  Nmap – Ağ haritalama  Nessus- Zayıflık tarama  Metasploit- Sisteme sızma

U YGULAMA K ULLANILACAK A RAÇLAR Nmap:

U YGULAMA K ULLANILACAK A RAÇLAR Nessus: Nessus zafiyet tarama programını kendi official sitesinden indirdikten sonra kurulum için:

U YGULAMA K ULLANILACAK A RAÇLAR Nessus:  Sonra terminalden /etc/init.d/nessusd start komutu çalıştırılır.  Daha sonra tarayıcıya yazıp diğer kurulum işlemlerine geçiyoruz. En son olarak karşımıza şu ekran çıkıyor.

U YGULAMA K ULLANILACAK A RAÇLAR Metasploit: Nessus zafiyet tarama programı tarama işlemini bitirdikten sonra bulunan sistem zafiyetleri tek tek metasploit programında denenir. Metasploit programın çalıştırabilmek için önce:  service postgresql start  service metasploit start  armitage

U YGULAMA K ULLANILACAK A RAÇLAR Metasploit: Komutlar çalıştırıldıktan sonra karşımıza metasploit ekranı çıkar, sızmak istediğimiz hedefi bularak artık onun üzerinde işlem yaparız.