Sızma testi ya da penetrasyon testi olarak bilinen bu test, gerçek bir saldırıya maruz kalmadan önce simülasyon yoluyla kurumun kendi kendine bir saldırı düzenlemesi ve bulduğu açıkları kapatmasıdır. Bu sızma testleri pentest ekibi tarafından ve yasal olarak gerçekleştirilen güvenlik testleridir. Pentest ekibinde bu testleri gerçekleştiren kişilere pentester adı verilir. Kontrollü bir saldırı olarak da nitelendirilir. Siz ne kadar güvenliğinize dikkat etseniz bile gözünüzden kaçıracağınız zafiyetlerin bulunma ihtimalleri vardır.
Güvenlik açısından olduğu gibi birçok kuruluş ve kurum için sızma testleri ISO 27001, PCI, DSS, HIPAA gibi bir takım standartlarla zorunlu hale getirilmiştir. Yani anladığımız şu, kurumlar bu testleri kendi güvenlik seviyelerini kendi insiyatifleriyle iyileştirmek için yaptırabileceği gibi bir regülasyona uyum sağlamak adına da yaptırabilirler.
Temel olarak sızma testleri, var olan açıkları saldırganlardan önce tespit etme çalışmasıdır.
Sızma Testleri Çeşitleri Ve Yöntemleri
Pentest, 3 çeşide ayrılır.
- İç Ağ (Internal) Sızma Testi; çeşidinde ilgili kurumun içeriye açık sistemleri üzerinden hangi verilere veya sistemlere erişebileceği sorusuna cevap aranmaktadır.
- Dış Ağ (External) Sızma Testi; çeşidinde, ilgili kurumun dışarıya açık sistemleri üzerinden hangi verilere veya iç sistemlere erişebileceği sorusuna cevap aranmaktadır.
- Web Uygulama Sızma Testi; çeşidinde ilgili kurumun dışarıya açık sistemleri üzerinden hangi verilere veya iç sistemlere erişebileceği sorusuna cevap aranmaktadır ancak hedef nokta web uygulamalarıdır.
Penetrasyon testleri, gerçekleştirme yöntemlerine göre 3 farklı gruba ayrılmaktadır. Bunlar;
- White Box,
- Black Box,
- Gray Box.
White Box: Bu sızma testi türünde, güvenlik uzmanına firma içindeki tüm sistemler hakkında bilgi verilir. Pentest ekibine bilgi verme konusunda yardımcı olunur. Sistemin zarar görme riski çok azdır ve en faydalı test türüdür.
Black Box: Pentest ekibine, sistem ile ilgili önceden herhangi bir bilgi verilmez. Firmanın ismi ve bu firmaya ait olan domainler üzerinden firmanın sahip olduğu varlıklar belirlenerek sızma testi çalışmaları gerçekleştirilir. En uzun süren test türüdür. Çünkü sistemle ilgili pentest ekibinin bir bilgisi olmadığı için sisteme zarar verme gibi bir durumu da olabilir.
Gray Box: Bu sızma testi türünde ise sistemle ilgili bilgiler bulunmaktadır. Test öncesinden pentest ekibine IP adres listesi, sunucu sistem vs. bilgileri verilir. Black Box’a göre daha kısa sürede sonuçlanır.
Kullanılan Araçlar Nelerdir?
Pentestte öncelikle zafiyet analizi işlemleri uygulanıp zafiyetler belirlenir ve bu zafiyetlere göre sızma testleri gerçekleştirilir. Zafiyet Analizi ile Penetrasyon Testi karıştırılmamalıdır. Zafiyet analizi, otomatik araçlar ile güvenlik zafiyetine sebep oluşturabilecek açıkların bulunması için yapılan bir testtir ve penetrasyon testine göre daha sınırlıdır. Sızma testi yalnızca bir sistemin hacklenmesi veya hacklenmeye çalışılması olarak düşünülmemelidir. Doğru şekilde analiz edilip ve anlaşılır şekilde raporlanması oldukça önemlidir. Aksi halde yapılan işlem zafiyet tespitinden öteye geçmeyecektir. Zafiyet analizi gerçekleştirilirken kullanılan bazı pentest araçları şunlardır.
- Nessus,
- Acunetix,
- Burp Suite,
- Qualys,
- Nmap,
- BeFF,
- W3af,
- Netsparker,
- Metasploit
gibi araçlar sızma testlerinde sıklıkla kullanılmaktadır.
Sızma Testi Adımları
Sızma testi yapılırken, gerçek bir hacker gibi düşünülmelidir. Nasıl ki bir siber saldırıda cyber kill chain zincir adımları kullanılıyorsa bu tür sızma testlerinde de belirli adımlar bulunmaktadır.
- Bilgi Toplama: Siber saldırılarda olduğu gibi ilk adım bilgi toplama adımıdır. Eğer sistem ile ilgili bir bilgimiz yok ise (blackbox) ilk iş bilgi toplamak olacaktır. Sistem ile ilgili bilgi toplayarak kullanabileceğimiz metot ve yöntemleri belirlememiz gerekmektedir. Aktif ya da pasif bir şekilde bilgi toplanabilir. Whois, nslookup, dnsenum,TheHarvester, Dirbuster gibi toollar kullanılabilir.
- Ağ Haritalama(Enumeration): Bu adımda hedef sisteme giden yol haritası çıkarılır. Bilgi toplama aşamasından sonra, çalışan servislerin arkasındaki teknolojiler, bu teknolojilerin üreticileri ve versiyonları tespit edilir. Bu adımda kullanılan araçlar; tcptraceroute, nmap, w3af, dirb…
- Zafiyet Tarama: Versiyon ve sistemler hedeflendikten sonra bu sistemlere ait zafiyet taramaları gerçekleştirilir. Bir önceki başlıkta da bahsettiğimize Nessus, w3af, Owasp Zap gibi toollar kullanılır.
- Exploit Çalıştırmak: Test sırasında tespit edilen açıklıklar için yayınlanmış olan örnek exploit kodları ve pentest şirketinin kendi geliştirdiği kodlar bu açıklıklar için kullanılır. Metasploit, Sqlmap, Fimap gibi toollar burada kullanılır.
- Yetki Yükseltme: Sistem içerisine sızdıktan sonra, zafiyetli makinelerde olduğu gibi ya da normal hacking işlemlerinde olduğu gibi ilk iş yetki yükseltmeye çalışmaktır. Kullanıcının sistemde yetkili olması hedeflenir.
- Başka Ağlara Sızma: Erişim sahibi olduğumuz sistemde yetki elde etmişsek, başka şifreli kullanıcıların bilgilerini almak için sızdığımız sistemde sniffer çalıştırabilir ve kullanıcı-sistem bilgilerini elde edebilir. Eski komutlara (history) bakarak nerelere erişilebiliyor gibi durumlar değerlendirilebilir.
- Erişimleri Koruma: Sisteme girildiğini başkaları tarafından fark edilmemesi için önlemler alınmasıdır. Varsa log programlarının silinmesi, giriş loglarının silinmesi gerekir.
- İzleri Temizleme: Hedef sistemde bıraktığımız backdoor, rootkit, keylogger, trojan, sheller, notlar vs. test bitiminde silinmelidir.
- Raporlama: Penetrasyon testinde çıkan zafiyetler, bir rapor halinde kuruma bildirilmelidir. Testin en önemli bileşenlerinden biri raporlamadır. Bu raporun olabildiğince detaylı ve müşteriyi bilgilendirici şekilde olması gerekmektedir. Bu raporda, eğer database e girildiyse bununla ilgili bir fotoğraf, hackerların almayı umduğu CC, Admin, gmail vb. şifrelerin olduğu bilgi dökümanı, bulunan açığın ayrıntılı bir şekilde açıklanması, bu açığın sisteme ne kadar zarar verebileceği ve bunun sonucunda ne olduğu ile ilgili video, bilgilendirme yazısı bulunabilir.
Sızma Testi Neden Yaptırılmalıdır?
Yazının başında da belirttiğim gibi, öncelikle amaç gerçek bir saldırıya maruz kalmadan önce zafiyetlerinizi bilmeniz ve kapatmanız gerekmektedir. Kısa bir söylemle, kurumunuza üçüncü bir göz ya da saldırgan gözüyle mutlaka bakmanız gerekmektedir. Kurumun ya da kurumların güvenlik durumlarını iyileştirmesi, gardını erkenden alabilmesi için bu tür sızma testlerini gerçekleştirmesi gerekmektedir. Regülasyonlar gereği de (PCI, ISO27001 vs.) yaptırmak gerekmektedir.
Hackerların önüne geçebilmek adına, sistemleri onlar gibi düşünebilen ve hareket edebilen kişiler tarafından teste tabi tutmak önemli bir zorunluluk haline gelmektedir. Ayrıca kurumun ağ ve sistemlerinde mevcut olan risk ve tehditleri ortaya çıkarmak, gelecek saldırı, sızma ve istismar girişimlerini önlemek için alınabilecek aksiyonları belirleyen kapsamlı bir plan için sızma testleri yaptırılmalıdır.
Sızma testi gerçekleştikten sonra süreç tamamlanmış olmamaktadır. Sızma testi sonrası da yapılacak işlemler vardır. Test sonrası adım genelde kurumun yapacağı adımlardır. Olumsuzluk içeren sonuçların, olumlu hale getirilmesi kritik bir noktadır. Sadece testi yaptırmakla süreç tamamlanmamaktadır.
- Eğer açık bulunduysa mutlaka kapattırılmalıdır. Saldırganlar, her fırsatı değerlendirebilecek potansiyele sahiptirler.
- Raporu detaylıca inceleyip, açık konusuyla ilgili konuya hakim kişilerin belirlenmesi gerekmektedir.
- Sistem yöneticileri ve yazılımcılarla test sonuçları paylaşılmalıdır.
- Açıkların kapatılması hakkında mutlaka sürecin takipçisi olunmalıdır.