Sızma (Penetrasyon) testleri günümüz siber güvenlik sektörünün en önemli konularından birisidir. Sızma testi çalışmaları sistemlere siber suçluların zarar vermesini önlemek amacıyla yetkili kişiler tarafından yasal olarak gerçekleştirilen bir saldırı simülasyonudur. Sızma testinin genel amacı bilişim sistemleri veya uygulamaları üzerinde güvenlik açıklıkları, mantık hatalarının tespit edilerek sisteme siber suçlular tarafından kullanılması öngörülen tekniklerin kullanılarak sızılması ve elde edilen sonuçların belirli standartlara göre raporlanmasıdır.
Sızma Testi Türleri
Beyaz Kutu (White Box):
Testi gerçekleştirecek olan ekibe ağ ve sistem altyapısı ile ilgili bilgi verilerek yapılan sızma testi türüdür.
Siyah Kutu (Black Box):
Testi gerçekleştiren uzmana ağ ve sistem altyapısı ile ilgili hiçbir bilgi verilmez. Tamamen bilinmeyen bir sistem ile ilgili bilgi toplanması ve test yapılması beklenmektedir. Böylelikle gerçek bir siber saldırı simüle edilmiş olur.
Gri Kutu (Grey Box):
Testi gerçekleştiren uzmana ağ ve sistem altyapısı ile ilgili Ip adres listesi, sunucu sistem ile ilgili versiyon bilgisi gibi bilgiler verilerek yapılan sızma testi çeşididir. Genellikle yetkisiz veya yetkisi düşük kullanıcıların sisteme verebileceği zararın analiz edilmesini sağlar.
Penetrasyon Test Çeşitleri
– Web Uygulama Sızma Testi
– Network Sızma Testi
– Mobil Sızma Testi
– DOS/DDoS Sızma Testi
– Wireless Sızma Testi
– Sosyal Mühendislik Sızma Testi
Sızma Testi Aşamaları:
Bir sızma testini beş aşamaya ayırabiliriz.
Sızma testi aşamaları genellikle 5 başlıkta incelenmektedir.
- Planlama: Test yapılmadan önce testi talep eden firma ile testin çeşidini, sızılacak sistemleri, testin yapılacağı tarih ve saati, testi yapacak kişiyi vb. bilgilerin belirlendiği aşamadır.
- Bilgi Toplama: Kapsamlı bir sızma testi yapabilmek için hedef hakkında olası tüm bilgileri toplamada kullanılan evredir. Bazı sistemlerde bilgi toplama işlemi yaparken bile kritik güvenlik zafiyetleri bulunabilmektedir. Hedef hakkında ele geçilebilecek her türlü bilginin bulunarak raporlandığı aşama olup hedefin dns adresleri, portların üzerinde çalışan servisler, whois sorguları gibi çeşitli bilgiler toplanır. Bilgi toplama aşaması hedef pasif bilgi toplama ve aktif bilgi toplama olmak üzere 2’ye ayrılır.
- Pasif Bilgi Toplama: Pasif bilgi toplama işlemi hedef sistem yöneticisi bizim sistem hakkında bilgi topladığımızı fark edemeyeceği şekilde yapılan bilgi toplama işlemidir. Yani hedef sistem ile direk iletişime girmeden, hedef hakkında bilgi topladığımız işlemdir. Pasif bilgi toplama işleminde kullanacağımız araçlara örnek vermek gerekirse: Google, Bing ve hedef hakkında çeşitli bilgiler veren whois, dns sorgulama siteleridir.
- Aktif Bilgi Toplama: Hedef hakkında bilgi toplarken direk temasa geçilerek yapılan bilgi toplama işlemine aktif bilgi toplama işlemi denir. Aktif bilgi toplama işlemi genellikte program, yazılım kullanılarak yapılır. Kali Linux, pentestbox gibi yazılımlarda aktif bilgi toplama işleminde kullanacağınız yazılımlar fazlasıyla bulunmaktadır.
2. Tarama
Bilgi Toplama Aşamasının ardından hedefle ilgili tüm olası bilgiler elde edildiğinde, hedef network ve kaynaklarını analiz etmek için daha teknik bir yaklaşım uygulanır. Genellikle güvenlik alanında ki otomotize araçlar kullanılarak sistem hakkında genel bir tarama yapılır. Bu otomotize araçlar sayesinde, sistemlerin hangi portunda hangi servisin çalıştığı, bu servisin hangi versiyonu kullandığı gibi bilgiler elde edilir.
3. Erişim
Bilgi toplama ve tarama aşamalarında toplanan veriler kullanılarak, hedeflenen sistemden yararlanmak için bulunan güvenlik açığının sömürülmesi için gerekli araştırma ve planlama yapılır. Bu aşamada keşfedilen zafiyetler ile normal kullanıcıların ulaşamadığı sistem kaynaklarına erişim sağlanmaya çalışılır.
4. Erişimin Devamlılığı Ve Yetki Yükseltme:
Bu aşamada erişim sağlanan sistemde kalıcı olmaya çalışılır. Bu noktada testi gerçekleştiren kişi bulunduğu noktadaki yetkisini yükseltmek için çabalar sarf etmektedir.
Zafiyet Taraması: Bir sistemde bir zafiyet bulunur ve yukarıdaki adımlar izlenir. Her bir zafiyet için tekrar tekrar bu adımlar gerçekleştirilir
6. Sonuç Analizi – Raporlama:
Önceki aşamada uygulanan işlemlerin özeti çıkartılır. Oluşabilecek zararlar ve risklerin ortadan kalkması için alınabilecek önlemler, hangi sistemlerin etkilenebileceği ve bunun etkileri raporlanır.
Raporlama aşamasında dikkat edilmesi gereken şeyler;
Sızma testinde kullanılan standartlar,
Sızma testinde kullanılan tüm araçlar ve işlemlerin detaylı olarak raporda bahsedilmesi,
Sızma testi sırasında keşfedilen acil ve kritik seviye güvenlik açıklıklarının anında bildirilmesi. Bu açıklıkların detaylı olarak raporda bahsedilmesi,
Raporların okunabilir ve anlaşılır olması. Teknik kelimelerin detaylı olarak bölümde bahsedilmesi,
Sızma testi raporunda; testi gerçekleştiren sızma testi uzmanı, rapor oluşturan kişi ve kurum hakkında kısaca bilgilere yer vermek,
Raporun şifreli ve gizli bir şekilde iletilmesi,
Yöneticilere ve teknik çalışanlara özel açıklamalar veya farklı raporlar sunulması gerekmektedir.
7. Temizlik: Çalıştırılan explotiler sistemde herhangi bir değişiklik yaptıysa eskiye döndürülür ve oluşturulan kullanıcılar ve/veya dosyalar silinir.