Sızma Testi ve Güvenlik Denetlemeleri - Giriş

GirisBGM 553 - Sızma Testleri ve Guvenlik Denetlemeleri-I

Bilgi Guvenligi MuhendisligiYuksek Lisans Programı

Dr. Ferhat Ozgur [email protected]

Istanbul Sehir Universitesi2016 - Guz

Dr. Ferhat Ozgur Catak [email protected] Giris Istanbul Sehir Universitesi 2016 - Guz 1 / 27

Icindekiler

1 Temel KavramlarPenetrasyon Testi (Pentest)StandartlarZafiyet TaramasıSızma Testi YaklasımlarıSaldırı TurleriTerminoloji

2 PenTest PlanlamasıPlanlamaAmacKapsam

GereksinimlerSınırlamalar

3 MetodolojiGirisKesifTaramaErisim KazanmaSistemde Kalıcı Olma

4 Diger KonularKullanılan AraclarKali LinuxRaporlama


Icindekiler







Penetrasyon Testi (Pentest) ITanım

I Sızma Testi: Bilgisayarsistemlerinin daha guvenli halegetirilmesi icin bilgisayarlardabulunan acıklık ve zafiyetlerkullanılarak yapılan yasal veyetkili erisimdir.

I Diger isimlendirmelerI Penetrasyon testiI HackingI Ethical hackingI Offensive security

I Kurumlara sistemlerini daha guvenli hale getirmelerini saglamak


Penetrasyon Testi (Pentest) IITanım

I Yetkili olarakyapanlara

I White hatI Ethical hackerI Penetration tester

I Yetkisiz olanlaraI Black hatsI CrackersI Malicious attackers

Benzerlik/Fark

I Ethical hacker, malicious attacker ’ların kullandıgı aynı aktiviteleri ve benzeraracları kullanmaktadır.

I White hat, black hat farkı: Yetki. Herhangi bir test/saldırı yapılmadan onceonay alınması.


Standartlar

I NDA (Non Disclosure Agreement)I Gizlilik sozlesmesi : Kurulus

hassas bilgilerinin korunması

I PCI DSS (Payment Card Industry -Data Security Standart)

I

https://www.pcisecuritystandards.org/documents/Penetration Testing Guidance March 2015.pdf

I PTES (Penetration TestingExecution Standard)

I http://www.pentest-standard.org/

I NIST SP800-115I Technical Guide to Information Security Testing and Assesment

I FedRAMP (Federal Risk and Authorization Management Program)I FedRAMP Penetration Test Guidance 1.0.1

I OSSTMM v3

I OWASP (Open Web Application Security Project) Testing Guide


Zafiyet Taraması (Vulnerability Assesment) ve Sızma Testi

I Zafiyet Taraması : Guvenlik acıklıklarının belirlenmesi. Zafiyetlerinbelirlenmesi, sayısallastırılma, onceliklendirme.

I Ortaya cıkan sonuclar sadece uyarı: Ornek: https kullanılması gereken biryerde http kullanılması zafiyet taramasında bulgudur. Fakat sistemde birgereklilik olabilir.

I Adımlar:I Sistem yer alan varlıkları ve kaynakları tanımla.I Kaynaklara onemlerine gore sayısal deger ata.I Her bir kaynak icin guvenlik zafiyetlerini ve potansiyel tehditleri belirle.I En degerli kaynaklar icin en onemli zafiyetleri kaldır.

I Sızma Testi :I Sızma gerceklestirilip, istismar (exploitation) yapılır.I Kavram ispatı (Proof of concept PoC) gerceklestirilir.


Sızma Testi Yaklasımları

I Black-Box: Test edilen sistem ve agaltyapısı hakkında herhangi bir bilgiolmaksızın dısarıdan yapılan guvenlikdegerlendirmesi ve test islemidir.

I Avantajı: Gercek saldırganmetodlarını kullanarak sonuca ulasılır.

I Dezavantajı: Zaman ve test maliyeti

I Gray-Box: Ag icersisinde yer alankisilerin erisimlerinin artırılması testidir.Amac, calısanların veya yuklenicilerinyetkilerini erisim yetkileriniartırabildiginin test edilmesi.

I White-Box: Sistem yoneticisinin sahipoldugu bilgilere sahip olarak yapılanguvenlik degerlendirmesi ve testi.

I Avantajı: On bilgi toplama asamasınıgecip direk saldırı asamasına gecilir.Maliyet ve zaman olarak dusuk.


Saldırı Turleri

I Birinci yaklasımI Aktif saldırı (Active attacks): Sistem veya ag uzerinde degisiklik yapmak icin

yapılan saldırılar. CIA (Confidentiality, Integrity, Availability) saldırıları.I Pasif saldırı (Passive attacks): Gizlilik ihlalleri. Hassas verinin ifsa olması.

I Ikinci yaklasımI Ic saldırılar (Inside attacks): Organizasyonun guvenlik semsiyesinin icinde yer

alan kullanıcılar (calısanlar)I Dıs saldırılar (Outside attacks): Internet veya uzaktan erisim gibi kurum dısı

saldırılar.


Terminoloji

I Tehdit (Threat): Guvenlikihlaline yol acabilecek potansiyeldurum veya ortam.

I Istismar (Exploit): Birbilgisayar sisteminde bug veyazafiyet kullanarak yetkisizerisim, yetki yukseltme, hizmetengelleme (denial of service)yapan yazılım.

I Zafiyet/Guvenlik Acıgı(Vulnerability): Sisteme hatayaptırabilecek veya istenmeyenbir davranısda bulunmasınısaglayacak, yazılım uzerindebulunan mantıksal tasarım veyagerceklestirim hatası.

I Saldırı (Attack): Gizliligi ifsaedilmis olan bir acık kullanılarakyapılır. Bir cok saldırı exploitkullanılarak yapılmaktadır.

I Bilgisayar sistemine exploityerlestirme

I Uzak (Remote): Zafiyeticeren sisteme guvenlikacıklıklarını kullanarakuzaktan erisimle.

I Yerel (Local): Erisimhaklarıyla zafiyet icerensisteme direk erisimle


Icindekiler







PenTest Planlaması

AsamalarI Amac

I Kapsam

I Gereksinimler

I Sınırlamalar


Amac

I Hedef Belirleme :I Kurulusta yer alan butun paydaslar

hedeflerin belirlenmesinde yeralmalıdır.

I Veri kumelerinin kritiklik seviyesininbelirlenmesi

I Korunması en onemli kaynaklaraodaklanılmasının saglanması

I Uyum Gereksinimleri(ComplianceRequirements)


Kapsam

I Etki Alanı

I Sunucular

I Veritabanı

I Uygulamalar

I Sosyal Muhendislik

I DDoS

I Fiziksel Guvenlik


Gereksinimler

I Gerekli AraclarI Linux tabanlı bilgisayarI nmapI theharvester

I Yedekleme Yapılması Gerekenler

I Acil Onlem Planı


Sınırlamalar

I Kapsam

I Zaman

I Erisim (veritabanı, intranet)

I YontemI Ornek: Brute force yapılmasın


Icindekiler







Metodoloji

Sekil: Pentest metodoloji

I Literaturde farklı (3-7) asama mevcut(Reconnaissance, Scanning, GainingAccess, Maintaining Access, CoveringTracks)

I Sıralama onemli

I Son asama: ”hiding”, ”removingevidence”

I Ters ucgen: ilk asamanın cıktısı oldukcagenis. Asagıya dogru spesifik halegelmektedir. Ag taramasından eldeedilen sonuclar.

I IP adresi nedir? Hedef isletim sistemi?hangi servisler ve yazılımlar (versiyonbilgileri)?


Faz 1: Kesif (Reconnaissance)

I Kesif/Bilgi Toplama: En onemli asama. Ne kadar sure harcanırsa ilerleyenasamalar o kadar basarılı.

I Aktif Kesif: Hedefle ile direk etkilesim. Ag incelenerek sunucular, IP adreslerive servislerin kesfi. Farkedilme ihtimali yuksek. Bir cok yazılım aracı, aktif kesifyaparak bilgi toplamaktadır.

I Pasif Kesif: Direk olarak hedefle etkilesim yoktur. Hedefin yapılan isle ilgilibilgisi, kayıtları yoktur.

I Acık kaynakların taranması, kurulus hakkında cıkan haberler

I Amac: Hedef hakkında olabildigince cok bilgi toplanması.

I Elde edilen bilgi merkezi bir yerde elektronik ortam kayıt altına alınmalı.Kolay sıralama, arama, kopyalama, arastırma

I Ornek Araclar:I theharverster : e-mail toplamaI Google Direktifleri (Google-Fu):site:domain term(s) to search, allintitle:index

of, filetype:pdfI httrack: web site kopyalama aracı


Faz 2: Tarama

I Kesif asamasında elde edilen bilgilerinkullanılması

I Port tarayıcılarıI ICMP (Internet Control Message

Protocol) tarayıcılarıI ping sweep: Calısan sunucuların

bulunması (fping, nmap)

I Saldırı icin on bilgiler elde edilir.I Bilgisayar adlarıI Isletim SistemiI Kurulu yazılımlarI IP adresleriI Kullanıcı hesapları


Faz 3: Erisim Kazanma

I Sistem uzerinde kontrolun elde edilmesi.

I Sistem uzerinde yer alan zafiyetin gerceklestirilmesi.

I Sızma’nın gerceklestirildigi asama

I Buffer overflow, Denial of Servis (DoS), session hijacking, password cracking

I Isletim sistemi seviyesi, uygulama seviyesi veya ag seviyesinde erisimkazanılmıstır.


Faz 4: Sistemde Kalıcı Olma

I Tartısılması gereken bir konu

I Sistem uzerinde elde edilen sahipligin kalıcı hale gelmesi

I Sahip olunan sistem uzerinde yer alan yazılımların indirilmesi, manipuleedilmesi veya konfigurasyonun degistirilmesi


Icindekiler







Pentest Sırasında Kullanılan Araclar

I KesifI NmapI HpingI Scapy

I SnifferI Cain & AbelI TcpdumpI Wireshark

I Zafiyet TaramaI NessusI MetasploitI Immunity Canvas

I Brute ForceI HydraI John the RipperI Cain, Ophrack

I WebI BurpI AcunetixI Net sparker


Kali Linux

Sekil: Kali linux

I Debian tabanlı,sızma testi icintasarlanmısLinux dagıtımı

I OffensiveSecurity sirketitarafındanfonlanmaktadır.

I nmapI WiresharkI John the

Ripper


Raporlama

I Sızma testlerinin en onemli asaması: Raporlama

I Sızma testi yapılan kurum icin yapılan isin degerlendirmesi: Raporun kalitesi.

I Yonetici ozeti (executive summary), her bir raporda olmalıdır.I 1-2 sayfalık, basit ifadelerle, bulgularınızın teknik olmayan ifadelerle

ozetlenmesi

I KapsamI Sızma testinin yapıldıgı IP adresleri

I BulgularI Yetersiz kimlik dogrulama: Sayfa ...’, kullanıcı herhangi bir kullanıcı adı/sifre

login olabilmektedir.I Girdi filtremelemesi yetersiz: Formlarda javascript filtreleme yok

I TavsiyelerI SQL injection saldırılarına karsı stored procedure kullanımı.I VT uzerinde erisim kontroluI Gereksiz IIS modullerinin kapatılması


Ozet

Tesekkurler


Software

Sızma Testi ve Güvenlik Denetlemeleri - Giriş