Sızma Testi Dokümanı
-
Upload
siber-guevenlik-toplululugu -
Category
Technology
-
view
431 -
download
7
description
Transcript of Sızma Testi Dokümanı
www.siber.sakarya.edu.tr
Siber Güvenlik
Topluluğu
Sızma TestleriBilgisayar ve Bilişim Bilimleri Fakültesi
S. Can Garip
Grup Başkanı
www.siber.sakarya.edu.tr
Başlarken…
• Sızma Testleri araştırmaya dayalı bir konudur.
• Güncel açıklıklar için mutlak surette internet üzerinden günlük olarak kaynak takip edilmelidir.
• Araştırmaya açık olmak ve sürekli kaynak okumak bu konudaki başarının sırrıdır.
www.siber.sakarya.edu.tr
Başlarken…
• Sınavda yardımcı olması açısından, sızma testleri hakkında teorik bilgileri bu dokümanda aktarmaya çalışacağım.
www.siber.sakarya.edu.tr
Sızma Testi
• Güvenlik uzmanı tarafından yapılan kötü amaçlı bir saldırganın sisteme verebileceği zararı raporlamak ve önceden savunma almak amaçlı oluşturulan saldırı denemelerinin tamamıdır.
www.siber.sakarya.edu.tr
Sızma Testinin Önemi
Önemli bilgilerin ve değerlerin korunabilmesi, olası açığın tespiti için sızma testi, siber güvenliğin en önemli konularından biridir.
Basit bir örnekle; Evinize girip hiçbir şey çalmayan bir hırsız ile sosyal medya hesabınıza sızan ve hiçbir değişiklik yapmayan bir korsan arasındaki fark bunu göstermektedir.
www.siber.sakarya.edu.tr
Sızma Testi Türleri
• Sızma Testleri uygulama açısından ikiye ayrılabilir. Bunlar;
• WhiteBox
• BlackBox
www.siber.sakarya.edu.tr
WhiteBox
WhiteBox testlerde sisteme dair tüm kaynaklar (ör. Kaynak kodu), testi uygulayan güvenlik uzmanına verilir.
www.siber.sakarya.edu.tr
Blackbox
Blackbox da ise test yapılacak olan sistem hakkında güvenlikçinin daha önceden elinde herhangi bir bilgisi yoktur.
www.siber.sakarya.edu.tr
WhiteBox’ın Artıları
Güvenlik uzmanının elinde tüm kaynakların olmasından dolayı daha detaylı (deep) ve daha uzun bir test süreci olur.
Blackbox testinin erişemeyeceği alanlara daha kolay erişim sağlanabilir. (Kod temizliği vs.)
www.siber.sakarya.edu.tr
WhiteBox’ın eksileri
Potansiyel saldırgandan ziyade sistem hakkında bilgi sahibi bir güvenlik uzmanının test etmesinden dolayı gerçeklikten uzak bir deneyim sunabilir.
www.siber.sakarya.edu.tr
Blackbox’ın artıları
Bir saldırı sonucu oluşabilecek zafiyet için daha gerçekçi bilgilere sahip olabilmemize imkan tanır. Neredeyse bir simülasyon niteliğinde diyebiliriz.
www.siber.sakarya.edu.tr
Blackbox’ın eksileri
Sistemin bazı bölgelerine tam erişim sağlayamayacağı için test edilmemiş bölümler kalabilir.
Bazı durumlar için test süresi yeteri kadar uzun sürmeyebilir.
www.siber.sakarya.edu.tr
Sızma Testi Metodolojisi
Süreç birden çok adımdan oluşmaktadır.
• Keşif
• Tarama
• Erişimi Sağlama
• Erişimi Devam Ettirme
• İzleri Temizleme
www.siber.sakarya.edu.tr
Sızma Testi MetodolojisiKeşif aşamasında sistem hakkında bilgi çalışmaları yürütülür. Bunu takip eden adımda hakkında bilgi sahibi olduğumuz sistem üzerinde sızıntı taraması yapılır. Erişim sağlanıyorsa bu raporlanır ve devamında aynı açıktan tekrar giriş yapma denemeleri ile sistemde erişimi devam ettirebilme olasılığı bulunur. Son adımda ise sisteme sızabilen biri hakkında arkasında bir bilgi bırakıyor mu sorusuna cevap olan iz temizleme testi yapılır.
www.siber.sakarya.edu.tr
Sızma Testi Grupları
Her sistem kendine özgü yapıları ve mühendislik disiplinlerini barındırmaktadır. Bu nedenle sızma testleri farklı gruplara ayrılmaktadır.
www.siber.sakarya.edu.tr
Sızma Testi Grupları
• Application Penetration Test
• Network Penetration Test
• Wireless Penetration Test
• Mobile Penetration Test, gibi…
www.siber.sakarya.edu.tr
Sınavınız Hakkında• Konferansımızda da bahsettiğim gibi her şey
den önce ilk etapta teorik bilgi hakimiyetini ölçecek bir sınav tasarlayacağız.
• Bize gerekli olan teorik bilgi network, işletim sistemleri, uygulama yazılımları konularında standart düzeyde farkındalık gerektirmektedir.
• Bu doküman sızma testleri ile alakalı sadecebaşlangıç bilgisi düzeyinde bir kaynak niteliğinde hazırlanmıştır.
www.siber.sakarya.edu.tr
Sınavınız Hakkında
• Bu dokümanda yer almayan bilgiler sınavda soru olarak karşınıza çıkabilir. Sadece bu dokümandan sorumlu değilsiniz.
• Sınavda 30 adet siber güvenlik ile alakalı genel sorular ve 20 adet branş soruları sorulacaktır.
www.siber.sakarya.edu.tr
Sınavınız Hakkında
• Sınavda yer alacak 20 adet sızma testi sorusundan en az 10 adet belirleyici soruaraştırmalarını sürdüren adayların internette bulabileceği kaynaklardan edineceği bilgilere dayalı olacaktır…
• Sistem açıklıkları hakkında güncel olan bilgiler sorulabilir. 2014 Shellshock zafiyeti gibi…
www.siber.sakarya.edu.tr
Sınavınız Hakkında
• Sızma testi araçları , otomatize edilmiş araçlar,
Nmap, metasploit gibi teknolojiler den sorular sorulabilir.
• İnternet üzerinden detaylı araştırmalar yapmanız sınav sonucunuza beklediğinizden daha fazla katkı sağlayabilir.
www.siber.sakarya.edu.tr
Sınavınız Hakkında
• http://www.bga.com.tr/ blog ve makaleler
• http://www.mehmetince.net ;
gibi sitelerden ve yabancı kaynaklardan konu hakkında bilgi edinebilirsiniz.
www.siber.sakarya.edu.tr
Sınavınız Hakkında
• [email protected] adresinden topluluğa ulaşabilirsiniz. Mail konusuna hakkında soru soracağınız veya bilgi almak istediğiniz grubu yazmanız daha hızlı cevap almanızı kolaylaştıracaktır.
• Herkese Başarılar…