INTELRADINTELLIGENCE RESEARCH & DEVELOPMENT

FİZİKSEL SIZMA TESTİ (RED TEAMING)

• Fiziksel Sızma Testi (Red Teaming) Nedir?• Red Teaming Neden Gereklidir?• Red Teaming Kimler Tarafından Gerçekleştirilir?• Red Teaming İş Akışı• Kullanılan Araç ve Taktiklere İlişkin Örnekler

İçerik

Tanım: “Red Team” kurumların güvenlik verimliliğini

arttırmak amacıyla saldırı simülasyonları düzenleyen

bağımsız güvenlik ekipleridir.

Geçmişte askeri ve istihbarat kurumları için

başvurulan bu test, günümüzde kritik sektörlerde

faaliyet gösteren özel sektörlerde de uygulanır.

Red Teaming Nedir?

Özellikle aşağıdaki sektörel alanlarda:

* Bankacılık

* Finans

* Bilişim

* Havacılık

* Teknoloji

* Bilişim ve;

* Devlet kurumlarında uygulanır.

Red Teaming;

Endüstriyel espiyonaj, sabotaj, hırsızlık, yetkisiz erişim ve

benzeri teşebbüsleri ortaya koyan en gerçekçi test biçimidir.

Red Teaming Nedir?

* Gerçek güvenlik saldırgan perspektifi ile yürütülen en gerçekçi testtir.

Belirli bir alana odaklanan testler (güvenlik sistemlerinin işlev

testleri, farkındalık testleri, bilgi güvenliği kalite standardı (ISO

27001) testleri, dijital sızma testleri (pen-test'ler), gerçekleştirilen

sair tatbikatlar, vs.)

Tek bir alana odaklandıklarından “sınırlı” bir sonuç ortaya koyar.

Saldırganlar için, bu tür bir sınırlama söz konusu değildir.

Neden Red Teaming?

Endüstriyel Espiyonaj, Sabotaj, Bilgi Hırsızlığı gibi saldırılar

Kombine saldırılardır.

Yani; saldırganlar,

*Fiziksel;

*Dijital;

*Elektronik; ve;

*Operasyonel güvenlik açıklarını birlikte kullanır.

Neden Red Teaming?

Hatalı CCTV lokasyonları, lockpicking ile kolayca açılabilir kilitler, yanlış telsiz frekansları, hatalı hareket sensörleri, doğru menteşe sistemine sahip olmayan pencereler, kolayca erişilebilir telefon hat geçişleri, yerleşim olarak doğru kurulmayan X-ray cihazları, tek-camlı pencereler, duvar ve tavan açıkları, gözetlenmeyen/ihmal edilmeyen personel girişleri/arka kapılar, kolayca erişilebilir havalandırma açıklıkları,

gibi fiziksel güvenlik zafiyetleri.

Neden Red Teaming?

*Kolaylıkla kopyalanabilir yanlış RFID kartların tercih edilmesi, *Manyetik kartların güvenlik personeli tarafından kolay erişilebilir lokasyonlarda tutulması, *Elektronik geçiş sistemlerinde override koruması olmaması, * Binanın genel elektrik altyapı kontrollerinin kolaylıkla saptanarak ulaşılabilir konumlarda olması (aydınlatma engelleme) gibi elektronik zafiyetler;

Neden Red Teaming?

Personel tarafından kullanılan, bilgisayarlara, uzaktan

erişim sağlayabilecek her türlü güvenlik açığı gibi;

dijital zafiyetler:

Neden Red Teaming?

Son olarak tailgating ya da shoulder surfing gibi sosyal mühendislik saldırıları hakkında eğitimi olmayan çalışanların oluşturduğu “operasyonel” güvenlik açıklarının;

Birlikte kullanıldığı üst-düzey atak vektörleri ile, kurum güvenliği bütünleşik bir perspektif dahilinde test edilir.

Neden Red Teaming?

*Test edilmeyen her güvenlik önlemi yetersizdir.

* Savaş, aldatmaya dayalıdır. (Sun Tzu)

* Fiziksel güvenlik önlemlerini aşan saldırganın, bilgisayar

ağını koruyan önlemleri %90 oranında baypas ettiği kabul

edilir.

Neden Red Teaming?

Red Team: En az 4 kişilik yetkin bir ekiptir.

Bu kişilerin kollektif olarak sahip olduğu niteliklerden

bazıları:

- Pen-test uzmanı

- Sosyal mühendislik

- Lock-picking

- Haberleşme

- Dinleme / İzleme sistemleri

“Red Team”

Yurt dışında, devlet kurumları (D.O.D.,) ve özel şirketler (KryptonSecurity, TrustedSec, Chris Nickerson, Wil Allsopp, vs.);

Türkiye’de ise IntelRAD/Prodaft tarafından uygulanıyor.

“Kimler Uyguluyor”

1. Ön Görüşme

2. Recon

3. Planlama

4. Test Öncesi Görüşme

5. Yürütme

6. Raporlama

İşleyiş

Frekans Tarayıcı

Araç ve Taktikler

GSM Böcek

Araç ve Taktikler

Lockpick Seti

Araç ve Taktikler

Kuvvetli Bir Radyo Alıcısı

Araç ve Taktikler

Mobil RFID Okuyucu / Yazıcı

Araç ve Taktikler

MSR

Araç ve Taktikler

Lens Bulucu

Araç ve Taktikler

Jammer (GSM)

Araç ve Taktikler

Şapka Kamera

Araç ve Taktikler

Yagi

Araç ve Taktikler

Ses ve görüntü kaydeden kalem.

Araç ve Taktikler

Duvar Dinleyici

Araç ve Taktikler

• X-ray zarf spreyi• Fotoğraf makinesi• Yetki belgesi

Araç ve Taktikler

Çok basit bir senaryo;

Footprinting* yapılır.

Satın almadan sorumlu iki farklı

kişinin adları ve telefon numaraları öğrenilir.

Sabah, işe birip gelip diğeri gelmediği anda, gelmeyenin telefon numarasından gelen kişi aranır.(“Caller ID Spoofing”)

“Xerox’dan tamirci çocuk gelecekti... Kapıda kalmışlar içeri alsana..”

Araç ve Taktikler

Bazen buna hiç gerek kalmıyor.

Ki bunun adı:

tailgating.

Araç ve Taktikler

Dışarıda yemek yiyen çalışanlar, yemekten önce

masalarını parsellemek için geçiş/kimlik kartlarını

masaya bırakMAmaları gerektiğini hala öğrenemedi

Hele metrobüs gibi sıkışık alanlarında, boyunlarında

kartlartını gururla taşımaya devam edenler..

Boş RFID kart, güzel bir printer, bir de PVC kaplama

makinesi (laminator).

Yeni giriş kartınızın keyfini çıkarın.

Araç ve Taktikler

Eşlik edilmeyen bir yabancının

yerleştirdiği ufak bir kamera,

parmaklarınızı izliyor olabilir.

Araç ve Taktikler

*Standart kilit göbeklerinin tümü lock-pickler ile

açılabiliyor.

* Kürdan örneği

* Motion sensörlerinizin sınırlarını denediniz mi?

Araç ve Taktikler

Peki ya dumpster diving?

Tesise yemek söylüyor musunuz?

Kablosuz ağlarınız ne kadar güvenli?

Telefon desteğine ilişkin güvenlik politikası?

Servis kapıları? (“Ben de bir el atayım abi...”)?

Yardımsever çalışanlar / zaaflar? (“Pardon ben bir çıktı alacaktım..)

Liste oldukça uzun ve her kuruma göre değişiyor.

Araç ve Taktikler

• Kritik devlet kurumlarında; devlet sırlarının açığa çıkmasını önlemek; veya nasıl açığa çıktığını ortaya çıkarmak;

• Özel kurumlarda, Ar&Ge ve ticari sırlar dahil olmak üzere bilgi hırsızlığını engellemek;

• Korunması istenen fiziksel varlıkların emniyetini sağlamada yardımcı olmak için önemli bir yardımcıdır.

Sonuç

Koryak UZANkoryak.uzan@intelrad.com

Can YILDIZLIcan.yildizli@intelrad.com

Teşekkürler