Sızma-Testi

Sızma Testi Aşamaları

Sızma Testi Aşamaları

  1. Keşif: Hedef sistem hakkında önemli bilgilerin toplanmasıdır. Bu bilgi hedefe daha iyi saldırmak için kullanılabilir. Örneğin, açık kaynaklı arama motorları, bir sosyal mühendislik saldırısında kullanılabilecek verileri bulmak için kullanılabilir.
  2. Tarama: Saldırgan sistem hakkındaki bilgilerini ilerletmek için teknik araçlar kullanır. Örneğin, Nmap açık portları taramak için kullanılabilir.
  3. Erişim Kazanmak: Saldırgan keşif ve tarama aşamalarında toplanan verileri kullanarak, hedeflenen sistemden yararlanmak için bir payload(yük) kullanabilir. Örneğin, Metasploit bilinen güvenlik açıklarına yönelik saldırıları otomatikleştirmek için kullanılabilir.
  4. Erişimi Sürdürmek:Hedeften mümkün olduğunca çok veri toplamak için hedef sistemde sürekli kalmayı sağlayan adımlar atmayı gerektirir.
  5. İzleri Temizlemek:Saldırganın anonim kalabilmek için hedef sistemde bıraktığı tüm izleri silebilmesi gerekmektedir.

Saldırgan bir güvenlik açığından yararlandıktan sonra, diğer makinelere erişebilir, böylece işlem tekrarlanır, yani yeni güvenlik açıkları arar ve bunları kullanmaya çalışır. Bu süreç pivoting olarak adlandırılır.

Zafiyetler

Test yapan kişinin yasadışı bir işlem yapmasına izin veren yasal işlemler arasında kaçılmamış SQL komutları, kaynak tarafından görülebilen projelerdeki değişmeyen tuzlar, insan ilişkileri ve eski hash veya şifreleme fonksiyonları bulunur. Tek bir hata kritik bir istismarı sağlamayabilir. Çoğunlukla bilinen birçok hatadan yararlanmak ve payload’u geçerli bir operasyonmuş gibi göstermek gerekmektedir. Metasploit, bilinen görevler için bir ruby kütüphanesi bulundurur ve bilinen istismar kodlarının bulunduğu bir veritabanı içerir.

Bütçe ve zaman kısıtlamaları altında fuzzing, zafiyetleri keşfeden yaygın bir tekniktir. Rastgele girdi yoluyla işlenmemiş bir hata almayı hedefler. Test yapan kişi, daha az kullanılan kod yollarına erişmek için rastgele girdi kullanır. İyi kodlanmış kod yolları genellikle hatasızdır. Hatalar yararlıdır; çünkü HTTP sunucusunun çökmesi veya arabellek taşması gibi bilgileri açık edebilirler.

Bir web sitesinde 100 adet metin giriş kutusu bulunduğunu hayal edin. Bazıları, belirli dizgilerdeki SQL enjeksiyonlarına açıktır. Bu kutulara rastgele dizeleri bir süre göndermek eksik yapılandırılmış kod yolunu izleyebilir. Hata, kendini bir SQL hatası nedeniyle oluşturulmuş, bozuk bir HTML sayfası olarak gösterir. Bu durumda, yalnızca metin kutuları giriş akışları olarak değerlendirilmektedir. Ancak, yazılım sistemlerinin çerez ve oturum verileri, yüklenen dosya akışı, RPC kanalları veya bellek gibi birçok olası giriş akışı vardır. Bu girdi akışlarından herhangi birinde hatalar olabilir. Testin amacı, önce işlenmemiş bir hata elde etmek ve sonra başarısız olan test durumuna dayanarak hatayı anlamaktır. Testi yapan kişiler, hata hakkındaki anlayışlarını doğru olana kadar test etmek için otomatik bir araç yazar. Bundan sonra, hedef sistemin yürütmesini tetiklemesi için payload’un nasıl paketleneceği açıklığa kavuşabilir. Eğer bu mümkün değilse, fuzzer tarafından üretilen başka bir hatanın daha fazla meyve vermesi ümit edilebilir. Bir fuzzer kullanımı, istismarın muhtemel olmadığı durumlarda uygun kod yolunu kontrol etmeden zaman kazandırır.

Payload

İllegal operasyon veya Metasploit terminolojisiyle payload tuş vuruşlarını kaydetmek, ekran görüntüleri almak, reklam yazılımı yüklemek, kimlik bilgilerini çalmak, kabuk kodunu kullanarak arka kapı oluşturmak veya verileri değiştirmek için işlevleri içerebilir. Bazı şirketler bilinen açıklardan oluşan büyük veritabanlarını tutar ve hedef sistemleri güvenlik açıkları için otomatik olarak test eden ürünler sunar:

  • Metasploit
  • Nessus
  • Nmap
  • OpenVAS
  • W3af

Standartlaştırılmış Devlet Sızma Testi Hizmetleri

Genel Hizmetler İdaresi (GSA), “sızma testi” hizmetini, önlenebilir bir destek hizmeti olarak, olası güvenlik açıklarını hızla ele almak ve rakipleri ABD federal, eyalet ve yerel yönetimlerini etkilemeden önce durdurmak için standartlaştırdı. Bu hizmetler genellikle Yüksek Uyarlamalı Siber Güvenlik Hizmetleri (HACS) olarak adlandırılır ve ABD GSA Advantage web sitesinde listelenmiştir.

Bu çaba, teknik olarak gözden geçirilmiş ve bu gelişmiş penetrasyon hizmetlerini sunmak için onaylanan kilit servis sağlayıcıları belirlemiştir. Bu GSA hizmeti, bu hizmetlerin hızlı sipariş ve dağıtımını iyileştirmek, ABD devlet sözleşmesi yinelemesini azaltmak ve ABD altyapısını daha zamanında ve verimli bir şekilde korumak ve desteklemek amacıyla hazırlanmıştır.

132-45A Sızma Testi, hizmet değerlendiricilerin bir uygulamanın, sistemin veya ağın güvenlik özelliklerini atlatma yöntemlerini tanımlamak için gerçek dünya saldırılarını taklit ettiği güvenlik testidir. HACS Sızma Test Servisleri tipik olarak organizasyonun varlıkları ve verileri korumak için kullanılan önleyici ve tanımlayıcı güvenlik önlemlerinin etkinliğini stratejik olarak test eder. Bu hizmetin bir parçası olarak, sertifikalı etik bilgisayar korsanları tipik olarak güvenlik zayıflıklarını arayarak bir sisteme, sistemlere, uygulamalara veya çevrede bulunan başka bir hedefe yönelik simüle bir saldırı gerçekleştirir. Testten sonra, tipik olarak hangi savunmanın etkili olduğunu ve hangi zafiyetlerin istismar edilebileceğini ana hatlarıyla belgeleyeceklerdir. Ayrıca, tipik olarak keşfedilen zayıflıkları gidermek için önerilen iyileştirme planlarını sağlarlar.

İngiltere’de sızma testi hizmetleri, Ulusal Siber Güvenlik Merkezi ile birlikte çalışan profesyonel kuruluşlar tarafından standardize edilmiştir.

Türkiye’de ise sızma testi yapan firmalara TSE tarafından onay verilmektedir. Aynı zamanda BDDK ve SPK da kapsam dahilindeki kuruluşlara sızma testi yaptırma yükümlülüğü getirmiştir.