TSE SIZMA TESTİ TEKNİK KRİTERLERİ .pdf
94
TÜRK STANDARDLARI ENSTİTÜSÜ SIZMA TESTİ TEKNİK KRİTERLERİ PROGRAMI Sürüm 1.0 01.12.2013
Transcript of TSE SIZMA TESTİ TEKNİK KRİTERLERİ .pdf
-
TRK STANDARDLARI
ENSTTS
SIZMA TEST TEKNK KRTERLER
PROGRAMI
Srm 1.0
01.12.2013
-
Revizyon Tarihesi
Srm Tarih Gncelleme
1.0 01.12.2013 lk srm
Bu dokmana aadaki Web sayfasndan eriilebilir:
- Trk Standardlar Enstits Resmi Web sitesi (TSE) (bilisim.tse.org.tr) ;
http://www.tse.org.tr/
-
NDEKLER
1. Test ncesi .................................................................................................................. 6
1.1 Kapsam belirleme ........................................................................................................ 6
1.2 Kapsam belirleme nasl yaplmaldr? .......................................................................... 6
1.3 Zaman tahmini iin parametreler.................................................................................. 6
1.4 Kapsam belirleme toplants ......................................................................................... 7
1.5 Saat bana cretlendirilen ilave destek ....................................................................... 8
1.6 Anketler ....................................................................................................................... 8
1.7 Kapsamdaki kontrol d deiikler ve genileme ........................................................11
1.8 IP aralnn ve etki alanlarnn belirlenmesi ................................................................12
1.9 nc taraflarla ilikiler .............................................................................................12
1.10 Kabul edilebilir sosyal mhendislik senaryolarnn belirlenmesi.................................13
1.11 Hizmet aksatma ........................................................................................................14
1.12 demelerle ilgili hkmler .........................................................................................14
1.13 Szma testinin amalar.............................................................................................14
1.14 letiim kanallarnn tesis edilmesi .............................................................................15
1.15 Acil durum irtibat bilgisi ............................................................................................15
1.16 Olay raporlama prosedr ........................................................................................16
1.17 kurallar .................................................................................................................17
1.18 Mevcut yetenekler ve teknoloji ..................................................................................20
2. stihbarat toplama ...................................................................................................... 20
2.1 Genel ..........................................................................................................................20
2.2 stihbarat toplama .......................................................................................................21
2.3 Hedef seimi ...............................................................................................................21
2.4 Ak kaynak istihbarat ................................................................................................22
2.5 rtl bilgi toplama .....................................................................................................32
2.6 Bilgi tarama ................................................................................................................32
2.7 Koruma mekanizmalarnn belirlenmesi ......................................................................40
-
3. Tehdit modellemesi ................................................................................................... 41
3.1 Genel ..........................................................................................................................41
3.2 deer analizi ...........................................................................................................42
3.3 proses analizi ..........................................................................................................44
3.4 Tehdit unsurlar/zmresi analizi ..................................................................................45
3.5 Tehdit yetenek analizi .................................................................................................47
3.6 Saldr motivasyonunun modellenmesi........................................................................47
3.7 Bilgileri ele geirilen kyaslanabilir kurulularla ilgili haberlerin bulunmas ...................48
4. Aklk analizi ............................................................................................................. 48
4.1 Aklk Testi ................................................................................................................48
4.2 Aktif aklk testi ..........................................................................................................48
4.3 Pasif aklk testi .........................................................................................................53
4.4 Dorulama ..................................................................................................................53
4.5 Aratrma ....................................................................................................................55
5. stismar etme ............................................................................................................. 58
5.1 Maksat ........................................................................................................................58
5.2 Kar tedbirler .............................................................................................................58
5.3 Kanma .....................................................................................................................60
5.4 sabet doruluu .........................................................................................................60
5.5 stee gre uyarlanm istismar kulvar .......................................................................61
5.6 Uygun hale getirilmi istismarlar .................................................................................61
5.7 stismarn istee gre uyarlanmas .............................................................................61
5.8 Sfrnc gn ................................................................................................................61
5.9 rnek saldr kulvarlar ................................................................................................64
5.10 Nihai hedef ...............................................................................................................64
6. stismar sonras ......................................................................................................... 64
6.1 Maksat ........................................................................................................................64
6.2 Angajman kurallar ......................................................................................................65
-
6.3 Altyap analizi .............................................................................................................67
6.4 Pillaging (soygunculuk) ...............................................................................................69
6.5 Kymetli/kritik hedefler .................................................................................................76
6.6 Verilerin dar szmas ...............................................................................................76
6.7 Kalclk .......................................................................................................................77
6.8 Altyapya ynelik daha ileri derecede szma ...............................................................77
6.9 z temizleme ...............................................................................................................78
7 Raporlama .................................................................................................................. 78
7.1 Giri ............................................................................................................................78
7.2 Raporun Yaps ...........................................................................................................79
7.3 Ynetici zeti .............................................................................................................79
7.4 Teknik Rapor ..............................................................................................................83
EK A .............................................................................................................................. 88
Szma testi aamalar kontrol listesi ............................................................................... 88
EK B .............................................................................................................................. 92
Ksaltlm terimler ......................................................................................................... 92
-
1. Test ncesi
1.1 Kapsam belirleme
Kapsam belirleme szma testinin ok nemli ve genellikle gz ard edilen bileenlerinden biridir. Bir
aa eriim iin kullanlabilecek farkl aralar ve teknikler hakknda birok kitap yazlmtr. Ancak, teste
nasl hazrlanlaca konusunda ok az yayn vardr. Bu husus testi icra edenler iin kapsamda kontrol
d deiiklikler ve bymeler, hukuki konular ve ikayeti mteriler gibi alanlarda sorunlara yol
aabilir.
Bu blmn amac bu gibi tuzaklardan kanmanz iin sizlere baz aralar ve teknikler salamaktr.
Bu blmdeki bilgilerin byk bir ksm bunlar yazan test uzmanlarnn tecrbelerinin sonulardr.
Unutulmamaldr ki, aldmz derslerin ou, zorlukla rendiklerimizdir.
Kapsam belirleme spesifik olarak neyi testte tabi tutacanzla ilgilidir. Testi nasl yapacanz
kapsayan blmden olduka farkldr. Testin ne ekilde icra edilecei i kurallar blmnde
kapsanacaktr.
Bir szma testi araynda olan bir mteri kurulu konumundaysanz bu dokmann genel sorular
blmne bakmanz neririz. Bu blmde bir teste balamadan nce cevaplanmas gereken temel
sorular kapsanmaktadr. Bir szma testinde bir cephelemenin olmamas gerekir. Bu test, testi icra
edenin sizi hackleyip, hackleyemeyeceini grmek iin gerekletirilen bir faaliyet olmamaldr. Bu
testin amac bir saldr ile ilgili olarak ortaya kabilecek i risklerinin belirlenmesi olmaldr. yi bir test
firmas, kapsam belirleme faaliyeti gelitike kurulua zg olarak dzenlenmi ilave sorular sormaya
balar.
1.2 Kapsam belirleme nasl yaplmaldr?
Bir testin kapsamnn belirlenmesinin anahtar bileenlerinden birisi testin icracs olarak zamannz
tam olarak nasl geireceinizi anlamaya almaktr. rnein, bir mteri kurulu sizden 100 adet IP
adresini test etmenizi isteyebilir ve bunun iin size sadece 100.000 TL demek isteyebilir. Bu ortalama
olarak her bir IP bana 1000 TL demektir. Bu durumda sizden ok kritik olan sadece bir uygulamay
test etmeniz istendiinde bu cret yaps uygun olacak mdr? Szma testinde cretler dorusal olarak
belirlenemez.
Sonu olarak, baz szma testlerinde elinizde ilerinden seerek bir testin bir blm kapsamnda bir
aa eriim salamak zere teste tabi tutulacak ok sayda IP adresi bulunacaktr. Ayn zamanda tek
bir spesifik uygulama iin haftalarnz harcayacanz (aylar deilse bile), st derecede
odaklanacanz testler de olacaktr. Burada anahtar husus aradaki fark bilmektir. Bu ekildeki bir
anlay ile bir mteri kuruluun istediinin ne olduunu, mteri bunu tam olarak ifade edemese de
bilmek durumunda olacaksnz.
1.3 Zaman tahmini iin parametreler
Zaman parametreleriyle ilgili hususlar ounlukla testi icra edeceiniz alandaki tecrbenize bal
olacaktr. rnein, imdiye kadar herhangi bir uygulama iin tam kapsaml, derinlemesine bir test icra
ettiniz mi? imdiye kadar geni bir yelpazedeki IP adreslerini teste tabi tuttunuz mu? Bu i iin geriye
-
dnerek iletilerinizi ve tarama gnlklerinizi inceleyin. Bulduunuz zaman deerleri bir yere yazn ve
buna asgari %20 lsnde bir sre ilave edin.
Zaman deerine neden %20 ilave ediyoruz? Buna ihtiya duyulmasnn nedeni her ite testin icras
aamasnda kk duraksamalarn yaanabileceidir. rnein bir a blt kebilir (sizin test
faaliyetlerinize bal olarak olmamas umulur). Test yapmadan geen bu sre, aslnda size bir test
uzman maliyeti getirir. Dier bir rnek toplantlarn yavalatmasdr. ou zaman sistemde ok byk
lde bir aklk tespit edilir ve bu husus mteri kurulu ile paylalr. Mteri kurulu bu durumda
sizden st ynetimle bir toplantya katlmanz isteyecektir. Tabii ki siz de katlacaksnz ve bu toplant
sizin genel test srenizden gtrecektir.
Fazladan koyduunuz %20lik ek sreye ihtiya duymazsanz ne olur? Bu srenin karlnda alnan
paray cebe atmak tabii ki etik olmaz. Bunun yerine mteri kurulua test bakmndan ilave deerler
salanr. Firmann gvenlik timi ile akln istismarna ynelik olarak attnz admlarn zerinden
gidebilirsiniz. Orijinal anlamada mevcut deilse, bir ynetici zeti verebilirsiniz ya da balang testi
esnasnda anlalmas zor olan bir akl krmak iin ilave biraz zaman harcayabilirsiniz.
Zaman parametrelerinin ve testin icrasnn baka bir bileeni de projenizin kesin bir teslim tarihinin
bulunmasdr. yi bir projenin bir balangc ve bir sonu olur. Sizin testinizin de olmas nerilir. Testin
sone erecei belirli tarihe gelinirse ve i bitmemise veya bu tarihten sonra sizden herhangi bir ilave
test talebinde bulunulursa yaplacak olan ii ve bu i iin gereken zaman belirten imzal bir i
aklamasnn bulunmas gerekir.
Baz test uzmanlar bunu yapmakta ok zorlanrlar nk maliyetlere ve saatlere gelindiinde
kendilerini bask altnda hissederler. Ancak yazarn tecrbesine gre esas test iin olaanst bir
deer sunduunuz taktirde mteri kurulu saladnz ilave hizmet iin deme yapmada ayak
diremeyecektir.
1.4 Kapsam belirleme toplants
ou zaman kapsam belirleme toplants anlama imzalandktan sonra yaplr. Bizim nerimiz gizlilik
szlemesi imzalanmadan derinlikli, herhangi bir kapsam belirleme grmesinin yaplmamasdr.
Kapsam belirleme toplantsnn amac neyi test edeceinizi grmektir. Bu toplant ile ilgili kurallar
kapsamaz. Bu toplant maliyetleri de kapsamaz. e balamadan ncesinin konular olan bu farkl
hususlarnn ayr toplantlara ve blmlere ayrlmasnn daha iyi olacan dnmekteyiz. Bu dzeyde
bir ayrmn yaplmasnn nedeni, toplant hedefleri ak olarak ortaya konmadnda grmelerin
karmak hale gelebilmesidir. Bu husus bir toplantnn konuyla ilgisi olmayan konumalarla kmaza
sokulmamas iin toplantnn kontrol altna alnmas ve srdrlmesinin bir parasdr.
imdi projenin yaklak bykl hakknda kabaca bir fikre sahip olduunuza gre mteri kurulu ile
varsaymlarn dorulanmas iin bir toplant yapmann zaman gelmitir. ncelikle mteri kurulua
hangi IP aralnn testle ilgili olarak kapsam dahilinde olduunu ak bir ekilde sormanz
gerekecektir. Baz mteriler bu noktada geriye ekilerek, aynen kt adamlarn yapt gibi alar
belirlemenin ve bu aa saldrda bulunmann size bal olduunu syleyeceklerdir. Test ortamnda
herhangi bir hukuki kstlamann bulunmamas iyi olur. Ancak test uzmanlar olarak bizim doru
sistemleri test ettiimizi ve doru sistemlere ynelik saldrda bulunduumuzdan emin olmak iin daha
ileri gitmemiz gerekir. rnein, toplantda mteri kuruluun hedef tekil edecek ortamlara, DNS
sunucusuna, e-posta sunucusuna, Web sunucularnn zerinde alt esas donanma ve bunlarn
gvenlik duvar / IDS / IPS zmlerine sahip olup olmad sorulmaldr.
-
lave olarak hedef ortamn hangi lkelerde iletildiini belirlememiz gerekir. AB lkelerinde bireylerin
gizliliini kuatan baz ok sk kanunlar bulunabilir. Bu hususun iinizin sosyal mhendislik yn
zerinde bir etkisi olabilir.
1.5 Saat bana cretlendirilen ilave destek
Ak bir ekilde yaplacak iin kapsamna alnmayan herhangi bir eye dikkatle yaklalmaldr. Bunun
birka nedeni vardr. Birinci neden, bunun kapsamda kontrol d deiiklere ve bymelere yol
amasdr. Bu gibi grevler sizin iten elde edeceiniz kar kolaylkla yok edebilir ve mteri kurulula
aranzda kafa karklna ve sinirlenmelere yol aabilir. Plansz olarak ilave iler alnmasnda ou
test uzmannn dnmedii baka bir husus ta konunun hukuki bakmdan dallanp budaklanmasdr.
Plansz olarak yaplan i isteklerinin ou uygun bir ekilde belgelendirilmemilerdir ve buna bal
olarak herhangi bir anlamazlk ya da hukuki ilem durumunda bu ii kimin istediini belirlemek g
olacaktr. Dahas elinizdeki szleme yaplacak olan ii belirten hukuki bir dokmandr.
nerimiz, herhangi bir ilave talebin, yaplacak olan ii ak bir ekilde belirten, i aklamas biiminde
bir belgeye dklmesidir. Szlemede ayn zamanda ilave ilerin saat ba sabit bir cret karlnda
yaplaca ve imzal ve onayl bir szleme mevcut olmadka ilave ilerin tamamlanamayaca ak
bir ekilde belirtilmelidir.
1.6 Anketler
Mteri kurulula ilk defa iletiim kurmaya baladnzda, szma testinin kapsamn tam olarak
belirleyebilmenizden nce cevaplandrlmasna ihtiya duyacanz bir grup soru olacaktr. Bu
sorularn sorulmas ok nemlidir ve sizin iin mteri kuruluun szma testinden ne elde etmek
istediini, mteri kuruluun kendi ortamna ynelik olarak neden bir szma testi gerekletirilmesini
istediini ve szma testinin icras esnasnda mteri kuruluun belirli trde testlerin yaplmasn isteyip
istemediini daha iyi anlamanza olanak salamaldr.
Aadaki sorular yaplacak iin mteri kurulu iin maliyetinin ne olacann tam olarak belirlenmesi
ncesinde cevaplandrlmas gerekebilecek baz sorulardr:
Genel sorular
A szma testi iin sorular
1. Mteri kurulu neden kendi ortamna ynelik olarak bir szma testi gerekletirilmesini
istemektedir?
2. Szma testine zel bir uygunluk gereksiniminin karlanmasna ynelik olarak m ihtiya
duyulmaktadr?
3. Mteri kurulu icra edilecek olan szma testinin aktif blmlerinin (tarama, sayma, istismar
etme vb.) ne zaman uygulanmasn istemektedir?
4. saatleri ierisinde mi?
5. saatleri dnda m?
6. Hafta sonlar m?
7. Toplamda ka adet IP adresi teste tabi tutulacaktr?
8. Ka adet i IP adresi teste tabi tutulacaktr (uygulanabiliyorsa)?
9. Ka adet d IP adresi teste tabi tutulacaktr (uygulanabiliyorsa)?
-
10. Szma testinin sonularn etkileyebilecek gvenlik duvar, sisteme izinsiz girileri
tespit/engelleme sistemi, Web uygulamas gvenlik duvar veya i yk dengeleyici gibi
aralar mevcut mudur?
11. Sisteme szmann gereklemesi durumunda ne yapmalyz?:
Gizlilii ihlal edilmi olan bilgisayarda lokal bir aklk deerlendirmesi mi gerekletirilmelidir? Gizlilii
ihlal edilmi olan bilgisayar zerinde en st derecede yetki ayrcal (unix bilgisayarlarda root,
Windows bilgisayarlarnda sistem ya da ynetici) m elde edilmeye allmaldr? Elde edilen yerel
parola karmalarna ynelik olarak; hi bir saldr gerekletirmemeli miyiz? Yoksa, asgari lde,
szlk destekli olarak veya kapsaml bir parola saldrs m gerekletirmeliyiz?
Web uygulamas szma testi iin sorular
1. Ka adet Web uygulamas deerlendirmeye tabi tutulmaktadr?
2. Ka adet oturum ama sistemi deerlendirmeye tabi tutulmaktadr?
3. Ka adet statik Web sayfas deerlendirmeye tabi tutulmaktadr? (yaklak olarak)
4. Ka adet dinamik Web sayfas deerlendirmeye tabi tutulmaktadr? (yaklak olarak)
5. Bakmak iin kaynak kodu mevcut olacak mdr?
6. Herhangi bir dokmantasyon mevcut olacak mdr? Eer olacaksa bunlar ne tr
dokmantasyon olacaktr?
7. Bu uygulama zerinde statik analiz gerekletirecek miyiz?
8. Mteri kurulu bu uygulamaya kar fuzzing gerekletirmemizi istiyor mu?
9. Mteri kurulu role dayal test icra etmemizi istiyor mu?
10. Mteri kurulu Web uygulamalarnda yetki bilgilerini kullanarak taramalar gerekletirmemizi
istiyor mu?
Kablosuz a szma testi iin sorular
1. Ka adet kablosuz a mevcuttur?
2. Bir misafir kablosuz a kullanlmakta mdr? Eer kullanlyorsa:
3. Misafir kablosuz a kimlik sorgulamas gerektirmekte midir?
4. Kablosuz alarda hangi tr ifreleme kullanlmaktadr?
5. Kapsama alannn bykl nedir?
6. Sisteme bal olan ancak eriim ve ilem yetkisi olmayan aygtlarn saysn tespit edecek
miyiz?
7. Mteri kurululara kar gerekletirilen kablosuz saldrlar deerlendirmeye tabi tutacak
myz?
8. Yaklak olarak ka adet kullanc kablosuz a kullanyor olacak?
Fiziki Szma Testi iin sorular
1. Ka adet lokasyon deerlendirmeye tabi tutulacaktr?
2. Fiziki lokasyon bakalar ile paylalmakta olan bir tesis midir? Eer yleyse:
3. Ka bina kat kapsam dahilindedir?
4. Hangi bina katlar kapsam dahilindedir?
5. Atlatlmas gereken gvenlik grevlileri var mdr? Eer varsa:
-
6. Gvenlik grevlileri nc bir kii/kurulu tarafndan m altrlmaktadrlar? Silahl mdrlar?
G kullanma yetkileri var mdr?
7. Binaya ka adet giri vardr?
8. Her kapy aan trde anahtarlara msaade edilmekte midir?
9. Mevcut gvenlik politikalarna ve prosedrlerine uygunluun teyit edilecei fiziki bir szma testi
mi gerekletireceiz? Yoksa sadece bir denetim mi gerekletireceiz?
10. Kapsam dahilindeki alann ls nedir?
11. Tm fiziki gvenlik tedbirleri dokmante edilmi midir?
12. Video kameralar kullanlmakta mdr? Kullanyorsa bu kameralar mteri kurulua m aittir?
13. Mteri kurulu kamera verilerinin saklanmakta olduu yere eriim salama giriiminde
bulunmamz istiyor mu?
14. Kullanlmakta olan bir alarm sistemi var mdr? Eer varsa:
15. Alarm, sessiz bir alarm mdr?
16. Alarm sistemi hareketle mi tetiklenmektedir?
17. Alarm sistemi kaplarn veya pencerelerin almasyla m tetiklenmektedir?
Sosyal mhendislik iin sorular
1. Mteri kurulu, sosyal mhendislik giriiminde bulunabileceimiz personelin elektronik posta
adreslerini bize salayacak mdr?
2. Mteri kurulu, sosyal mhendislik giriiminde bulunabileceimiz personelin telefon
numaralarn bize salayacak mdr?
3. Fiziki eriime ynelik olarak sosyal mhendislik giriiminde bulunacak myz? Eer bu
yaplacaksa:
4. Ka kii hedeflenecektir?
Szma testinin farkl dzeylerinde i birim yneticileri, sistem yneticileri ve yardm masas personeline
ynelik olarak baz sorulara gerek duyulmayabilir. Ancak aadaki sorular bir klavuz olarak
kullanlabilir.
birimi yneticileri iin sorular
Bir szma testi icra edilirken i birimlerinin yneticileri gz ard edilemez. Bu kiiler bir hizmet d
kalma durumu ortaya kt taktirde, bu durumdan en fazla etkilenecek olan kiilerdir.
1. Bir testin uygulanmak zere olduunu biliyor musunuz?
2. fa edilmesi, bozulmas veya silinmesi durumunda kurum iin en byk riskin ortaya kaca
esas veriler nelerdir?
3. Kendi i uygulamalarnzn doru bir ekilde altn teyit etmek iin test ve dorulama
prosedrleri gerekletiriyor musunuz?
4. Kendi kalite gvence test prosedrleriniz mevcut mudur?
5. Uygulama verilerinize ynelik olarak acil kurtarma prosedrleriniz mevcut mudur?
-
Sistem yneticileri iin sorular
Sistem yneticilerinin szma testi ve gvenlikle ilgili olarak gleri gz ard edilemez. Sistem
yneticileri kendi sistemlerini o kurumdaki herkesten ok daha iyi bilirler ve eer herhangi bir ey
yanl gidiyorsa muhtemelen dzeltici ilemlerin n safhalarnda onlar olacaklardr.
1. Krlgan olan sistemleri belirtir misiniz? (kmeye meyilli olan sistemleri, eski iletim
sistemlerinin olup olmadn veya herhangi bir nedenden tr yama yaplmam sistemleri
sorunuz.)
2. Ada, sistem yneticisine ait olmayan, ilave onay alnmasn gerektirebilecek sistemler mevcut
mudur?
3. Deiim ynetimi prosedrleri mevcut mudur?
4. Sistem kesintilerinde ortalama onarm sresi ne kadardr?
5. Herhangi bir sistem izleme yazlm mevcut mudur?
6. En kritik sunucularnz ve uygulamalarnz hangileridir?
7. Yedeklemeler dzenli olarak test edilmekte midir?
8. En son ne zaman yedeklemelerden geri ykleme yaplmtr?
1.7 Kapsamdaki kontrol d deiikler ve genileme
Szma testinin kapsamndaki kontrol d deiikler ve bymeler her eyi mahvedebilir. Bu husus
genellikle bir szma testi firmasnn varlna son vermesinin en etkili yollarndan biridir. Esas olan
husus, birok firmann ve firma yneticisinin byle bir durumun ortaya ktn nasl belirleyebileceini
ya da byle bir duruma nasl bir reaksiyon gstereceini ya hi bilmemesi ya da ok az ey bilmesidir.
Szma testinin kapsamndaki kontrol d deiikler ve bymelerle mcadelede aklda tutulmas
gereken birka husus mevcuttur. Bunlardan ilki, iyi bir i kardysanz mteri kuruluun ilave iler
talep etmesinin ok yaygn olmasdr. Mteri kurulu sizi ilave i iin ilave para talep etmeniz
nedeniyle brakyorsa bu mteri sizi kullanmaya alyordur. Siz de bu szlemeyi srdrmek
istemezsiniz zaten.
kinci husus daha da kritiktir. Mevcut mteriniz sizden ilave iler talep ederse ondan para szdrmaya
almayn. Fiyatlarnz drmeyi telafi edebilirsiniz. in peinde komanz gerekmemitir. Resmi
teklif prosedrlerini takip etmenize gerek kalmamtr. Bunlara bal olarak mteri kurulua %10luk
bir indirim yapmanz size bir ey kaybettirmez. Dahas, ilerdeki ileriniz iin en iyi kaynanz mevcut
mterilerinizdir. Onlara iyi davranrsanz onlar da size dner.
in balang ve biti tarihlerini belirleyin
Szma testinin kapsamndaki kontrol d deiikler ve bymeleri engellemenin anahtar bir bileeni de
iin balang ve biti tarihlerinin belirlenmesidir. Test uzmanlarnn ban yakan bir husus, yeniden
teste tabi tutma ilemidir. Yeniden teste tabi tutma bir szlemenin uygulanmasnda iyi bir fikirmi gibi
grnmektedir. Ancak ou zaman test uzmanlar ilerin tamam bitene kadar deme
alamayacaklarn unuturlar. Bu iler yeniden teste tabi tutmay da kapsamaktadr. Bunu halletmenin bir
yolu yeniden teste tabi tutma ileminin nihai raporun sunulmasndan sonra 30 gn iinde
gerekleeceinin szlemeye dahil edilmesidir. O zaman yeniden teste tabi tutma ileminin programa
alnmas konusunda n ayak olmanz gerekecektir. Mteri kurulu bir uzatma talep ederse,
szlemede belirtilen zaman ierisinde size deme yaplmas kouluyla buna olanak tanyn. te o
-
zaman doru bir ekilde uygulanan yeniden teste tabi tutma, yaplan iin en nemli ksm olur.
Unutmayn ki, ilerdeki ileriniz iin en iyi kaynanz mevcut mteri tabannzdr.
1.8 IP aralnn ve etki alanlarnn belirlenmesi
Bir szma testine balamadan nce szma giriiminde bulunacanz hedeflerin neler olduunu
bilmeniz gerekir. Bu hedefler balangtaki anket safhasnda, mteri kurulutan elde edilebilir. Mteri
kurulu tarafndan hedefler, belirli IP adresleri, a snrlar veya etki alanlar isimleri biiminde
verilebilir. Baz durumlarda mteri kuruluun size verdii tek hedef kuruluun ismi olur ve mteri
kurulu geri kalann sizin kendinizin ortaya karmanz ister. Test uzman ile nihai hedef arasndaki
gvenlik duvarlar ve sisteme izinsiz girileri tespit/engelleme sistemleri veya a donanmnn
tanmlanmas da nemlidir.
Snrlarn dorulanmas
Hedeflere ynelik olarak saldrya balamadan nce bu hedeflerin gerekten szma testini
gerekletirdiiniz mteri kurulua ait olup olmadnn teyit edilmesi zorunludur. Bir bilgisayara
saldr dzenlediniz ve baarl bir ekilde szma gerekletirdiniz. Ancak daha sonra bu bilgisayarn
aslnda baka bir kuruma (bir hastane veya bir kamu kurumu gibi) ait olduunu rendiniz. Bu
durumda karlaabileceiniz hukuki sonular dnn.
Hedeflerin gerekten mteri kurulua ait olup olmadn teyit etmek iin hedeflere ynelik olarak bir
kimlik sorgulama ilemi gerekletirebilirsiniz. Hedefe ynelik olarak bir kimlik sorgulama ilemi
gerekletirmek iin Webde mevcut olan Internic gibi bir kimlik sorgulama aracn kullanabilirsiniz.
1.9 nc taraflarla ilikiler
Baz durumlarda sizden nc bir tarafn makinesinde bulunan bir hizmet veya uygulamann teste
tabi tutulmas istenebilecektir. Bulut hizmetleri kurulular tarafndan daha fazla kullanldka bu husus
daha yaygn olarak ortaya kmaktadr. Burada aklda tutulmas nemli olan husus, sizin test yapmak
iin mteri kurulutan aldnz bir iznin olabilecei, ancak ayn zamanda nc bir taraftan da izin
almanzn gerekebileceidir. En kts, uluslararas hukuk ile sorun yaayabilirsiniz. Baz kurulular
bulut hizmetlerinden faydalandklarn bile bilmiyor olabilirler, ya da baz uygulamalarn baka bir
yerdeki ana makinede bulunduunu unutabilirler. Test esnasnda onlara bu gibi bilgileri vermeye hazr
olun veya i aklamasna, nc taraf kaynaklarnn aklanmadan kullanlmasn kapsayan bir
madde koyun.
Bulut hizmetleri
Bulut hizmetinin test edilmesinde en nemli husus tek bir fiziki ortamda birka farkl kuruluun
verilerinin saklanyor olmasdr. ou zaman bu farkl verilerin etki alanlar arasndaki gvenlik ok
gevektir. Bulut hizmetini salayan servis salaycsnn test konusunda uyarlmas ve testin
gereklemekte olduundan haberdar edilmesi ve servis salaycnn test uygulama kuruluuna test
yapma izni vermesi gerekir. lave olarak, bulutun dier mterilerini etkileyebilecek olan bir gvenlik
aklnn tespit edilmesi durumunda dorudan balant kurulabilecek olan bir gvenlik irtibat noktas
bulunmas gerekir. Baz bulut hizmeti salayclarnn, szma testi uzmanlarnn takip etmesi gereken
-
zel prosedrleri mevcuttur ve bu prosedrler test uzmanlarndan baz formlarn, szma testinin
zamannn veya ak iznin testin balamasndan nce talep edilmesini gerektirebilir.
Bu, test iin klfetli bir onay prosedr gibi grnebilir, ancak aksi durumda test uzmanlar iin riskler
ok byktr.
nternet servis salaycs
nternet servis salaycsnn mteri kurulu ile olan hizmet kullanm artlar teyit edilmelidir. ou
ticari durumda nternet servis salaycs szma testi iin zel hkmler ierir. Bu hkmlerin bir saldr
yaplmadan nce dikkatli bir ekilde gzden geirilmesi gerekir. nternet servis salaycsnn kt
niyetli olarak belirledii belirli trafii dlad ve engelledii durumlar sz konusudur. Bu gibi durumlar
mteri kurulu iin kabul edilebilir olabilir ya da olmayabilir. Her iki durumda da bu husus test
ncesinde mteri kurulu ile ak bir ekilde konuulmaldr.
Web sayfalarnn barndrlmas
Testin kapsam ve zamanlamasnn Web hizmeti salaycs ile ak bir ekilde konuulmas gerekir.
Ayn zamanda mteri kurulu ile dorudan grme esnasnda sadece Web aklklarn test
edeceinizi ak bir ekilde ifade etmeniz gerekir.
MSSP
MSSPde test hakknda bilgilendirilmelidir. MSSPye ait olan sistemlerin ve servislerin test edilmesi
esnasnda zellikle bilgi vermeniz gerekir.
Ancak MSSPyi bilgilendirmeyeceiniz baz durumlar sz konusudur. MSSPnin yantlama sresini
test ederken MSSPnin bilgilendirilmesi testin faydasna olmayacaktr.
Genel bir kural olarak, ak bir ekilde MSSPye ait olan bir cihaz veya servis ne zaman teste tabi
tutulsa, MSSP bilgilendirilmelidir.
Sunucularn barndrld lkeler
Sunucularn barndrld lkelerin teyit edilmesi de test uzmannn faydasnadr. lke teyit edildikten
sonra, teste balamadan nce bu belirli lkenin mevzuat incelenmelidir.
Firmanzn hukuk blmnn bu ilemi sizin iin yapmasn ve onlarn bu ilemi tam bir ekilde
yapacan beklemeyin. Uluslararas hukukun ihlal edilmesi durumunda hibir koulda firmanzn sizin
eylemlerinizin sorumluluunu almasn beklemeyin. Kanunlar kendiniz inceleyin. Unutmayn ki, biri
hapse girecekse, bu byk bir olaslkla hukuku ihlal eden test uzman olacaktr.
1.10 Kabul edilebilir sosyal mhendislik senaryolarnn belirlenmesi
ou kurulu gvenlik yaplarnn gncel saldrlarla ayn seviyedeki bir biimde test edilmesini isterler.
Sosyal mhendislik ve spear-phishing saldrlar gnmzde ou saldrgan tarafndan yaygn olarak
kullanlan saldrlardr. ou baarl saldrda cinsellik ve uyuturucu senaryo olarak kullanlsa da baz
-
senaryolar i ortamnda kabul edilebilir deildir. Firmanz tarafndan test iin kullanlmak zere seilen
senaryolarn test balamadan nce yazl olarak onaylandndan emin olun.
1.11 Hizmet aksatma
e balamadan nce gerilim testi veya hizmet d brakma testi grlmelidir. Bu konu testin doas
gerei verebilecei muhtemel zarara bal olarak ou kuruluun rahatsz olduu konulardan biridir.
Bir kuruluun verilerinin gizlilii veya btnl hakknda tereddtleri yoksa stres testinin yaplmas
gerekmeyebilir. Ancak kuruluun ayn zamanda salad hizmetlerin kullanlabilirlii hakknda
tereddtleri varsa stres testi retim ortamna benzer olan ancak retim yaplmayan bir ortamda icra
edilmelidir.
1.12 demelerle ilgili hkmler
Test iin hazrlanlmasnda ou test uzmannn unuttuu bir dier husus demelerin nasl
yaplacadr. Szleme tarihlerinde olduu gibi belirli deme tarihleri ve demeler iin de hkmler
olmaldr. Byk bir kuruluun test hizmetleri iin size deme yapmay mmkn olduunca ertelemesi
olaand bir durum deildir.
Aada demelerin ne ekilde yaplabilecei ile ilgili birka seenek sunulmaktadr. Bunlarn sadece
birer seenek olduu unutulmamaldr. Sizin firmanzn ve mteri kuruluun ihtiyalarna uyan bir
deme yaps ve plan gelitirebilirsiniz.
Net 30
deme yaplacak miktarn tamamnn nihai raporun teslimini mteakip 30 gn iinde yaplmas. Bu
deme planna genellikle ilave olarak aylk bir gecikme cezas eklenir. Mteri kurulua
tanyabileceiniz sre deiebilir (45 veya 60 gn gibi).
cretin yarsnn nceden alnmas
Test balamadan nce denecek tutarn yarsnn istenmesi olaand bir durum deildir. Bu, zellikle
uzun dnemli ilerde ok yaygndr.
Srekli deme
Srekli bir deme plan da olabilir. Bu daha ok uzun sreli iler iindir. rnein bir firmayla bir ya da
iki yl kapsayan bir szleme yapabilirsiniz. Mteri kuruluun size yl boyunca dzenli taksitlerle
deme yapmas hite olaand bir durum deildir.
1.13 Szma testinin amalar
Her szma testi ama odakl olmaldr. Szma testi mteri kuruluun iten veya grev hedeflerinden
dn vermesine yol aabilecek belirli aklklar belirlemek iin yaplmaktadr. Test, yama yaplmam
sistemlerin belirlenmesinden ibaret deildir. Test, kuruluu olumsuz olarak etkileyebilecek risklerin
belirlenmesi ile ilgilidir.
-
Temel amalar
Bir szma testinin temel amac uygunlua bal olarak karlmamaldr. Bu dncenin birka farkl
gerekesi vardr. ncelikle uygunluk gvenliin dengi deildir. ou kuruluun uygunluk maksadyla
teste tabi tutulmas anlalabilir bir durum olsa da uygunluk, szma testinin esas amac olmamaldr.
rnein bir PCI gerekliliinin bir ksmn test etmek zere bir i alabilirsiniz. Kredi kart bilgilerini ileme
tabi tutan ok sayda firma vardr. Ancak sizin hedef kuruluunuzu rekabeti bir ortamda tek ve
benzersiz klan ve hayatta kalmasn salayan zellikler, bu zelliklerden dn verildii taktirde hedef
kurulu zerinde ok byk bir etki yaratr. Kredi kart bilgilerinin nc taraflarn eline gemesi ok
kt olabilir. Hedef kuruluun mterilerinin tamamnn elektronik posta adreslerinin ve kredi kart
numaralarnn nc taraflarn eline gemesi ise bir felaket olur.
kincil amalar
kincil amalar dorudan uygunlukla ilgili olanlardr. Genellikle bu amalar esas amalara ok sk bir
ekilde baldr. rnein, kredi kartlarnn elde edilmesi ikincil bir amatr. Kuruluun iiyle ilgili
verilerin gizliliinin ihlal edilmesinin veya kuruluun misyonunu belirleyen prensiplerin bozulmasnn
denenmesi szma testinin temel amacdr.
analizi
Szma testini uygulamadan nce mteri kuruluun gvenlikle ilgili olgunluk dzeyinin belirlenmesi iyi
bir fikirdir. Herhangi bir gvenlik olgunluk dzeyi belirlenmeden dorudan szma testine geilmesini
isteyen ok sayda firma mevcuttur. Bu mteri kurulular iin nce bir aklk analizinin yaplmas iyi
bir fikirdir. Aklk analizi almasnn yaplmasnn kesinlikle kanlacak bir taraf yoktur.
Unutulmamas gerekir ki ama, hedef kuruluunuza ynelik olan risklerin belirlenmesidir. Bir firma, tam
kapsaml bir szma testi iin hazr deilse, byk bir ihtimalle yaplacak olan bir aklk analizinden
szma testine gre ok daha fazla yarar grecektir. Mteri kurulu ile nceden sistemler hakknda
sizin neleri bilmenizi istediklerinin belirlenmesi gerekir. Bu arada mteri kurulutan nceden haberdar
olduklar aklklar hakknda bilgi almak isteyebilirsiniz. Mteri kurulularn nceden bilgileri dahilinde
olan hususlarn yeniden kefedilerek raporlanmasna gerek kalmamas sizin iin zamandan, mteri
kurulu iin paradan tasarruf salayacaktr. Uygunluk bakmndan kesin bir gereklilik yoksa, tam veya
ksmi bir beyaz kutu testi mteri kurulu iin kara kutu testinden daha fazla fayda salayabilir.
Bir i aa szma testi uygulamanz isteniyorsa (bu durumda saldrgann ierden saldrya baladn
veya zaten orada olduunu farz etmelisiniz) kapsam hakknda daha fazla bilgi toplamanz gerekir.
1.14 letiim kanallarnn tesis edilmesi
Herhangi bir szma testinin en nemli ynlerinden birisi mteri kurulu ile iletiimin salanmasdr.
Mteri kurulu ile ne sklkla etkileimde bulunduunuz ve sizin mteri kurulua yaklama biiminiz
mteri kuruluun tatmin olma duygusunda ok byk bir fark yaratr. yi bir konumac olmanz
gerekmez. Bu dokmanda sizi bu konuda destekleyecek ve mteri kuruluun test faaliyetleri ile ilgili
olarak kendisini iyi hissetmesini salayacak bir iletiim erevesi tanmlanacaktr.
1.15 Acil durum irtibat bilgisi
-
Acil bir durumda mteri kurulula veya hedef kurulula temasa geilebilmesinin hayati olduu aktr.
Acil durumlar beklenen veya beklenmeyen bir ekilde ortaya kabilir ve byle bir durumda kiminle
temasa geeceinizi bilmelisiniz.
Bir acil durum temas listesi oluturun. Bu liste test kapsamndaki tm taraflarla ilgili iletiim bilgilerini
iermelidir. Acil durum temas listesi oluturulduunda, listede olan tm kiilerle paylalmaldr. Hedef
kuruluun mteriniz olmayabileceini aklnzda tutun.
Acil bir durumda ulalacak kiiler hakknda aadaki bilgileri derleyin:
1. smi
2. Unvan ve operasyonel sorumluluu
3. Test faaliyetleri ile ilgili olarak detaylarn grlme yetkisi (nceden belirlenmemise)
4. 7/24 hemen irtibat kurulacak iki kiinin cep telefonu, ar cihaz veya ev telefonu (mmknse)
5. SFTP veya ifrelenmi e-posta gibi gvenli bir toplu veri aktarm biimi
Not: Size yardm masas veya harekt merkezi gibi bir grubun isim ve telefon numaralar verilebilir.
Bunlar acil durumda irtibat kurulacak bir kiinin yerine sadece buralarda 7/24 personel
bulunduruluyorsa geebilir.
Szma testinin yaps acil durumda irtibat kurulacak kii listesinde kimlerin olmas gerektiini belirler.
Sadece siz acil durumda temas bilgilerine ihtiya duymazsnz. Mteri kurulularda acil bir durumda
sizinle irtibata geme ihtiyac duyabilirler. Bu liste tercihen aadaki kiileri iermelidir:
1. Test iin oluturulan gruptaki tm test uzmanlar
2. Test grubunun yneticisi
3. Her bir hedef kurulutan iki teknik balant eleman
4. Mteri kurulu tarafndan iki teknik balant eleman
5. Mteri kurulu tarafndan bir st dzey ynetici veya ile ilgili bir balant eleman
Yukardaki listede baz rtmelerin olmas mmkndr. rnein, hedef kurulu ayn zamanda
mteri kurulu olabilir. Test grubunun yneticisi ayn zamanda testi icra ediyor olabilir. Ya da mteri
kuruluun teknik balant eleman ayn zamanda st dzey ynetici olabilir. Ayn zamanda teste
mdahil olan her bir taraf, sz konusu taraflara liderlik eden ve onlar adna sorumluluu stlenen tek
bir irtibat elemann belirlemelidir.
1.16 Olay raporlama prosedr
Bir ie balamadan nce kuruluun mevcut olaylara tepki yeteneklerinin grlmesi birka nedenden
dolay nemlidir. Szma testi sadece kuruluun mevcut gvenliinin test edilmesi deildir, ayn
zamanda kuruluun olaylara tepki yeteneklerinin ne olduunun da tespit edilmesidir. Siz szma testine
balayp sonuna kadar gittiinizde, hedef kurulu sizin orada olduunuzun hi farknda olmazsa, ak
bir ekilde kuruluun gvenlik yaplanmasnda nemli bir boluu belirlemisiniz demektir. Teste
balamadan nce, siz testi icra ederken kurulutan birisinin farknda olup, buna bal olarak olay tepki
timinin bir saldrya uradklarn veya bilgilerinin alndn dnerek gecenin bir yarsnda gerekli
kiileri aramaya balamamasn da garanti altna almak isteyeceksinizdir.
-
Olay tanm
NISTin tanmlamasna gre, Bir bilgisayar gvenlik olay, bilgisayar gvenlik politikalarna, kabul
edilebilir kullanm politikalarna veya standart gvenlik uygulamalarna ynelik bir ihlal veya ok yakn
bir ihlal tehdididir. Burada bilgisayar mantnn dnda dnldnde, herhangi birinin bir kurulua
zorla girmesi ile de fiziki bir olay ortaya kar. Teste tabi tuttuunuz kurulu farkl tiplerdeki olaylar iin
farkl kategoriler ve dzeyler belirlemelidir.
Durum raporu periyodu
Durum raporunun periyodu byk lde deikendir. Raporlama zaman plann etkileyen faktrler
testin tamamnn uzunluu, testin kapsam, hedef kuruluun gvenlik olgunluk derecesi vb. ierir.
Mteri kuruluun kendisini iin iinde hissetmesine olanak tanyacak bir zaman plan
kararlatrlmaldr. Gz ard edilen mteri, artk eski bir mteridir.
Durum raporunun periyodu ve zaman plan bir kere belirlendikten sonra buna bal kalnmaldr. Bir
durum raporunun ertelenmesi veya geciktirilmesi gerekli olabilir, fakat bu durum kroniklememelidir.
Gerekli olduunda yeni bir zaman plan iin mteri kuruluun onay alnmaldr. Bir durum raporunun
tamamen atlanmas profesyonel bir davran deildir ve bundan kanlmaldr.
PGP protokol ve dier alternatifler (ifreleme seenekler arasnda deildir)
Mteri kurulu ile iletiim herhangi bir szma testi iinin kesinlikle gerekli olan bir yndr ve iin
hassas doasna bal olarak, hassas bilgiler ve zellikle nihai rapor iletiim esnasnda ifrelenmelidir.
Testlerinizi icra etmeye balamadan nce mteri kurulu ile gvenli bir iletiim yolu belirleyin. Yaygn
olan birka ifreleme yolu aada sunulmaktadr:
1. PGP/GPG protokollerinin her ikisi de e-posta ile haberlemede ve nihai raporun
ifrelenmesinde kullanlr
2. Mterinin anda gvenli bir posta kutusu barndrlr
3. Telefon
4. Yz yze yaplan toplantlar
5. Nihai raporun teslimatnda, raporu AES ifreli ariv dosyasnda da saklayabilirsiniz. Ancak
ariv hizmetinizin AES ifrelemesini desteklediinden emin olmalsnz
6. Ayn zamanda hangi bilgilerin yazl hale getirilebileceini ve hangi bilgilerin sadece szl
olarak iletilmesi gerektiini sormalsnz. Siz onaylasanz da onaylamasanz da baz
kurulularn baz gvenlik bilgilerinin kendilerine yazl olarak aktarlmasnda snrlama
getirmeleri iin ok iyi gerekeleri vardr.
Mteri kurulu ile gvenli bir iletiim yolunun nceden tesis edilmesi ve ayn zamanda bu yolun
mteri kuruluun yetenekleri dahilinde olmas ve mteri kuruluun kendini rahat hissetmesinin
salanmas nemlidir.
1.17 kurallar
-
Kapsam neyi test edeceinizi tanmlarken, i kurallar test ileminin ne ekilde gerekletirileceini
tanmlamaktadr. Bunlar birbirinden bamsz olarak ele alnmas gereken iki farkl husustur.
Zaman izelgesi
Test iin ak bir zaman izelgeniz olmaldr. Kapsamda balang ve biti zamanlar tanmlanrken
imdi balang ve biti zamanlarnn arasndaki her eyin tanmlanmasnn zaman gelmitir. Test
ilerledike zaman izelgesinin deimesi anlalabilir bir durumdur. Bir zaman izelgesi yaratmaktaki
ama kesin, deimez bir zaman izelgesine sahip olmak deildir. Aslnda bir zaman izelgesi sizin
iin ve mteri kurulu iin balangta yaplmas gereken ilerin ak bir ekilde belirlenmesi ve
ilerden kimlerin sorumlu olacann tespit edilmesine olanak salar. Genellikle yaplacak iin ve iin
her bir belirli blmnn alaca zamann belirlenmesinde GANTT izelgeleri ve i dkm yaps
kullanlmaktadr. Zaman plannn dkmnn bu ekilde grlmesi sizin iin tahsis edilmesi gerekecek
kaynaklarn belirlenmesinde ve mteri kurulu iin test esnasnda karlalabilecek muhtemel
engellerin belirlenmesinde yardmc olacaktr.
nternette kullanma ak olan ok sayda GANTT izelgesi arac mevcuttur. Sizin iin en iyi olann
bulun ve bir testin yol haritasn olutururken youn olarak kullann. Bu ara, hedef kuruluun st
ynetimi ile aranzda mkemmel bir iletiim ortam salayacaktr.
Lokasyonlar
Mteri kurulu ile test iin nerelere seyahat etmeniz gerekeceini grmeniz de nemlidir. Bu en
basitinden yerel otellerin belirlenmesi, en karmak anlamda ise belirli bir hedef lkenin kanunlarnn
belirlenmesi iindir.
Baz durumlarda bir kuruluun ok sayda lokasyonu mevcuttur ve sizin birka rnek lokasyonu
belirlemeniz gerekebilir. Bu gibi durumlarda mteri kuruluun tm lokasyonlarna seyahat etmekten
kanmaya almalsnz. ou zaman testte kullanmak zere Yerel Alan A balantlar mevcut olur.
Hassas bilgilerin aklanmas
Amalarnzdan birisi hassas bilgilere eriim salamak olsa da, aslnda bu bilgileri grmek veya
indirmek istemeyebilirsiniz. Bu yeni test uzmanlar iin biraz tuhaf gelebilir ancak hedef bilgilerin
sisteminizde bulunmasn istemeyeceiniz ok sayda durum vardr. ou durumda test sisteminizin
bir gvenlik duvar ya da sistemde almakta olan bir anti-virs uygulamas yoktur. Bu gibi durumlar
kiisel kimlik bilgilerinizi bilgisayarnzn yaknnda bir yerde bulundurmay istemeyeceiniz
durumlardr.
Bu durumda soru una dnmektedir; Verileri elde etmeden eriim saladm nasl ispat
edeceim? Verileri gstermeksizin eriim saladnz ispat etmenin birok yolu mevcuttur. rnein,
bir veri taban emas gsterebilirsiniz, eriim saladnz sistemlerin izinlerini gsterebilirsiniz veya
ierii gstermeden dosyalar gsterebilirsiniz.
Testlerinizde geerli olmasn istediiniz paranoya dzeyi, mteri kurulula birlikte karar vermeniz
gereken bir husustur. Her durumda testlerin arasnda test bilgisayarnzda bulunan sonular
temizlemek isteyeceksiniz. Bu husus ayn zamanda kullanacanz raporlama ablonu iin de
geerlidir.
-
zel bir ek bilgi olarak, kanun d ierikle (ocuk pornosu vb.) karlatnz durum larda derhal
emniyet glerini ve daha sonra mteri kuruluu belirtilen sra dahilinde bilgilendirmelisiniz. Mteri
kuruluu bilgilendirip ondan konuyla ilgili talimat almaynz. Bu gibi ieriin en basit ekliyle izlenmesi
dahi su tekil eder.
Kantlarn kullanlmas
Bir testin kantlarnn kullanlmasnda, raporun farkl aamalarnda verilere byk bir zen gsterilmesi
inanlmaz lde nemlidir. Daima ifrelemeyi kullannz ve testlerin arasnda test iin kullandnz
bilgisayar temizleyiniz. Gvenlik toplantlarnda iinde test raporlarnn bulunduu USB ubuklarn
hibir ekilde bakasna teslim etmeyiniz. Ve ne yaparsanz yapn, baka bir mterinin raporunu bir
ablon olarak yeniden kullanmaynz. Bir dokmannzda baka bir kurulua ait referanslarn
bulunmas hite profesyonelce bir davran olmaz.
Dzenli durum toplantlar
Test prosedr boyunca mteri kurulu ile dzenli toplantlar yaplarak onlarn testin genel gidiat
konusunda bilgilendirilmesi kritik bir husustur. Bu toplantlar gnlk olarak dzenlenmeli ve mmkn
olduunca ksa tutulmaldr. Genel olarak toplantlar basit hususu kapsar: planlar, ilerleme ve
problemler.
Planlar blmnde o gn iin neyi yapmay planladnz tanmlarsnz. Bunun maksad bir deiim
veya hizmet d kalma esnasnda test icra etmeyeceinizden emin olunmasdr.
lerleme blmnde bir nceki toplantdan beri neleri tamamladnz hususunda bilgi vermelisiniz.
Problemler blmnde testin genel olarak zamanlamasn etkileyecek her konu mteri kurulu ile
grlmelidir. Herhangi bir durumu dzeltmek zere belirlediiniz belirli kiiler varsa, probleme
ynelik zm toplantda tartmamalsnz.
Durum toplantlarnda ama 30 dk. veya daha az sreli bir toplant yapmak ve geri kalan grmeleri
sadece problemi zmek iin gerekli olan kiilerle evrimd olarak yapmaktr.
Gnn hangi saatlerinde test yaplaca
ou mteriler bakmndan gnn baz saatlerinde testin icra edilmesi dier saatlere gre daha iyidir.
Maalesef bu szma testi uzmanlar iin ou zaman gece ge saatler demektir. Testin balamasndan
nce testin uygulanaca saatlerin mteri kurulu ile grldnden emin olunuz.
Saldrlardan saknma
Saldrlardan saknmann tamamen kabul edilebilir olduu zamanlar ve saldrlardan saknmann testin
ruhuna uygun olmad zamanlar vardr. rnein, eer uyguladnz test sadece teknolojinin deil
ama ayn zamanda hedef kuruluun gvenlik ekibinin yeteneklerinin teste tabi tutulduu bir kara kutu
testi ise saldrlardan saknmak tamamen uygundur. Ancak ok sayda sistemi hedef kuruluun
gvenlik ekibiyle koordineli olarak teste tabi tutuyorsanz saldrlardan saknlmas testin faydasna
olmayacaktr.
Test iin izin
-
Bu dokman test yaparken alabileceiniz muhtemelen en nemli belgedir. Bu belge testin kapsamn
belgelendirir ve mteri kuruluun gvenlik aklklar bakmndan teste tabi tutulacaklar ve
sistemlerinin nc ahslarn kontrolne geebilecei gereini imza altna aldklar belgedir. lave
olarak, bu izin belgesi ak bir ekilde testin sistemde dengesizliklere yol aabileceini ve proses
esnasnda test uzmanlar tarafndan sistemlerin kertilmemesi iin her trl ihtimamn gsterileceini
ifade eder. Ancak testin icras dengesizliklere yol aabileceinden, mteri kurulu test uzmanlarn
herhangi bir sistem dengesizlii veya kmesinden sorumlu tutamaz.
Bu dokman mteri kurulu tarafndan imzalanmadan testin balamamas ok nemlidir.
lave olarak baz servis salayclar kendi sistemlerinin test edilmesine balanmadan nce bir n
bildirimde bulunulmasn ve/veya ayr bir izin alnmasn isterler. rnein, Amazonda doldurulmas
gereken evrimii bir talep formu mevcuttur ve kendi bulutlarndaki herhangi bir makinenin
taranmasndan nce bu istein onaylanmas gerekir.
Hukuki mlahazalar
Szma testlerinde yaygn olan baz faaliyetler baz yerel kanunlara aykr olabilir. Bu nedenle yaygn
olarak kullanlan szma testi grevlerinin almann gerekletirilecei yerdeki hukuka uygunluunun
kontrol edilmesi tavsiye edilir. rnein, szma testi esnasnda nternet zerinden yaplan herhangi bir
aramann yakalanmas baz blgelerde telefon dinleme olarak deerlendirilebilir.
1.18 Mevcut yetenekler ve teknoloji
yi bir szma testi sadece yama yaplmam sistemleri aramaz. Bu testler ayn zamanda hedef
kuruluun yeteneklerini de test eder. Buradan hareketle aada test esnasnda nirengi noktas olarak
kullanlabilecek hususlarn bir listesi verilmektedir:
1. Bilgi toplamann tespit edilmesi ve buna karlk verilmesi
2. Ayrt edici zelliklerin aratrlmasnn tespit edilmesi ve buna karlk verilmesi
3. Tarama yaplmasnn ve aklk analizi yaplmasnn tespit edilmesi ve buna karlk verilmesi
4. Sisteme szmann (saldrlar) tespit edilmesi ve buna karlk verilmesi
5. Verilerin biriktirilmesinin tespit edilmesi ve buna karlk verilmesi
6. Verilerin dar szdrlmasnn tespit edilmesi ve buna karlk verilmesi
Bu bilgiler izlenirken zaman bilgisinin de alndndan da emin olunmaldr. rnein, bir tarama faaliyeti
tespit edilirse size bilgi verilmeli ve hangi dzeyde bir tarama gerekletirildii belirtilmelidir.
2. Bilgi toplama
2.1 Genel
Bu blmde szma testinin bilgi toplama faaliyetleri tanmlanmaktadr. Bu dokmann maksad zellikle
bir hedefe (tipik olarak bir firma, askeri kurulu veya ilgili dier kurulular) ynelik olarak keif faaliyeti
gerekletiren szma testi uzmanlar iin gelitirilmi bir dokman salamaktr. Bu dokmanda
dnce aamas ve szma testi kefinin amalar detaylandrlmaktadr ve uygun bir ekilde
-
kullanldnda bu dokman okuyucusuna bir hedefe saldr icra etmek iin yksek dzeyde stratejik bir
plan hazrlamasnda yardmc olur.
2.2 stihbarat toplama
Nedir?
stihbarat toplama, bir hedefe szma gerekletirirken, aklk deerlendirmesi ve istismar etme
safhalarnda faydalanmak zere mmkn olduu kadar ok bilgi toplamak iin bir hedefe ynelik
olarak keif faaliyeti gerekletirmektir. Bu aamada ne kadar ok bilgi toplayabilirseniz daha
sonra o kadar ok saldr vektr kullanabilirsiniz.
Ak kaynak istihbarat kamuya ak kaynaklardan bilgilerin bulunmas, seilmesi ve elde
edilmesini ve bu bilgilerin eyleme dntrlebilir istihbarat retmek iin analiz edilmesini ieren
bir istihbarat toplama ynetim biimidir.
Neden yaplmaktadr?
Ak kaynak istihbarat toplama faaliyetini bir kuruluun eitli giri noktalarn belirlemek iin
gerekletiririz. Bu giri noktalar fiziki noktalar, elektronik noktalar ve/veya insanlar olabilir. ou
firmalar kendileri hakknda hangi bilgileri herkese atklarn ve bu bilgilerin azimli bir saldrgan
tarafndan ne ekilde kullanlabilecei hususlarn gzden karrlar. Bunun da tesinde ou
alanlar kendileri hakknda hangi bilgileri herkese ak hale getirdiklerini ve bu bilgilerin onlara
veya iverenlerine kar ne ekilde kullanlabilecei hususlarn gz ard ederler.
Ne deildir?
Ak kaynak istihbarat toplama faaliyetinde elde edilen bilgiler doru ve zamanl olmayabilir. Bilgi
kaynaklar kasten/kazara yanl bilgiler yanstmak zere maniple edilebilir. Zaman getike
bilgiler eskimi olabilir veya basit bir ekilde bilgiler eksik olabilir.
Bu istihbarat faaliyetleri ie yarayacak bir eyler bulmak amacyla yaplan p kartrmay ya da
tesis ierisinde bulunan fiziki nesnelerden firma hakknda bilgi karlmasn kapsamaz.
2.3 Hedef seimi
Hedefin belirlenmesi ve adlandrlmas
Bir hedef kurulu ele alnrken, firmann ok sayda farkl TDL ve ikincil ilerinin olabileceinin bilinmesi
nemlidir. Bu bilgiler kapsam belirleme safhasnda belirlenmi olsa da ie balamadan nce
balangta grlm olan kapsamda olmayabilen ilave sunucularn, etki alanlarnn ve firmalarn
belirlenmesi allmadk bir durum deildir. rnein bir firmann .com eklinde bir st dzey etki alan
olabilir. Ancak ayn firmann .net, .co ve .xxx eklinde etki alanlar da olabilir. Bu etki alanlar
dzeltilmi kapsamn bir ksmn oluturabilir ya da snrlarn dnda tutulabilir. Her iki durumda da
testin balamasndan nce bu hususun mteri kurulu ile akla kavuturulmas gerekir. Bir firma
iin firmann altnda yer alan ok sayda alt firmann olmas da allmadk bir durum deildir.
-
kurallarndaki kstlamalarn dikkate alnmas
Bu noktada i kurallarnn gzden geirilmesi iyi bir fikir olabilir. Test esnasnda bunlarn unutulmas
olduka yaygn bir durumdur. Bazen test uzmanlar olarak bulduklarmza ve saldr imknlarna
kendimizi kaptrp hangi IP adreslerine, etki alanlarna ve alara saldr gerekletirebileceimizi
unuturuz. Testinizin odaklanmasn muhafaza etmek iin daima i kurallarna bavurunuz. Bu sadece
hukuksal bakmdan deil ayn zamanda test kapsamnda kontrol d deiikler ve bymeler
olmamas bakmndan da nemli bir husustur. Esas hedeflerden sapmanz sizin iin zaman kaybna ve
uzun dnemde firmanz iin para kaybna mal olacaktr.
Testin sresinin dikkate alnmas
Testin tamamnn sresi, gerekletirilebilecek istihbarat toplama faaliyetinin miktarn dorudan
etkiler. Baz testlerde toplam sre iki ila aydr. Bir test firmas bu gibi ilerde olduka byk bir
zaman esas i birimlerini ve firmann personelini aratrmak iin harcar. Ancak daha ksa sreli
testlerde hedefler daha taktik olabilir. rnein, spesifik bir Web uygulamasnn teste tabi tutulmasnda
firmann genel mdrnn finansal kaytlarnn aratrlmasna gerek grlmeyebilir.
Testin nihai amacnn dikkate alnmas
Bilgi toplama safhasndan ne elde etmek istediinizin belirlenmesi
Sonu almak iin plan yaplmas
2.4 Ak kaynak istihbarat
Ak kaynak bilgilerinin biimi vardr; pasif, yar pasif ve aktif.
Pasif istihbarat toplama: Pasif istihbarat toplama sadece, istihbarat toplama faaliyetlerinin hedef
tarafndan tespit edilmemesi gibi ok ak bir gereklilik varsa kullanldr. Hedef kurulua ne
kendimiz ne de kendi makinelerimizden, anonim makinelerden veya nternet genelindeki
servislerden hibir trafik gnderilmediinden bu tr bir profil karma ileminin teknik olarak
gerekletirilmesi gtr. Bu sadece arive alnan veya saklanan bilgileri toplayabileceimiz
anlamna gelmektedir. Sadece nc taraflardan toplanan sonularla kstlandmza bal
olarak bu bilgiler zaman gemi veya yanl bilgiler olabilmektedir.
Yar pasif istihbarat toplama: Yar pasif istihbarat toplamann amac, normal nternet trafii veya
normal alma davranlar gibi grnen yntemlerle hedefin profilinin karlmasdr. Bilgi iin
sadece aklanm olan sunucular sorgularz, derinlikli tersine aramalar gerekletirmeyiz veya
brute force DNS isteklerinde bulunmayz, aklanmam sunucularda veya dizinlerde arama
yapmayz. A dzeyinde port taramas yapmayz veya gezginleri altramayz ve sadece
yaynlanm dokmanlar ve dosyalardaki meta verilere bakarz. Aktif olarak gizlenmi ierik
aratrmayz. Burada anahtar husus faaliyetlerimizin dikkat ekmemesidir. lem sonrasnda hedef
geriye dnk olarak keif faaliyetlerini tespit edebilir fakat bu faaliyeti kimseye isnat edemez.
Aktif istihbarat toplama: Aktif istihbarat toplama, pheli ve kt niyetli davranlar hedef
tarafndan tespit edilmelidir. Bu aamada aktif olarak a yapsn karrz, aktif bir ekilde ak
-
servisleri listeleriz ve/veya aklk analizi taramas yaparz. Aklanmam dizinlerde, dosyalarda
ve sunucularda aktif olarak arama yaparz. Bu faaliyetlerin ou standart szma testinin tipik keif
veya tarama faaliyetleridir.
Firma
Fiziki bilgiler
Lokasyonlar
Her bir lokasyonun iin ak adres, mlkiyet, ilgili dier bilgilerin (ehir, vergi, hukuki vb.) listelenmesi.
Lokasyondaki tm fiziki gvenlik tedbirlerinin (kamera yerleri, sensrler, tel rgler, devriyeler, giri
kontrol, kaplar, kimlik tr, tedariki girii, IP bloklarna/konum belirleme servislerine dayal fiziki
lokasyonlar vb.) listelenmesi.
Sahibi
Arazi/vergi kaytlar
Paylaml/mstakil
Saat dilimleri
Makineler/A operasyon merkezi
Firmann yaylmas
Bir hedef kurulu iin ok sayda birbirinden ayr fiziki lokasyonun bulunmas allmadk bir durum
deildir. rnein bir bankann merkez ofisleri vardr ancak ayn zamanda ok sayda uzak ubeleri de
bulunmaktadr. Merkez lokasyonlarda fiziki ve teknik gvenlik ok iyi olabilirken, uzak lokasyonlarn
gvenlik denetimleri ounlukla zayftr.
likiler
ortaklar, gmrkler, tedarikiler, firmann Web sayfasnda ak olarak paylalanlar yoluyla analiz
edilenler, kiralama firmalar vb. Bu bilgiler ile ilgili veya kurumsal projelerin daha iyi anlalmasnda
kullanlabilir. rnein, hedef kurulu iin hangi rnlerin ve hizmetlerin kritik olduu gibi.
Bu bilgiler ayn zamanda baarl sosyal mhendislik senaryolarnn yaratlmasnda da kullanlabilir.
likiler
Paylalan ofis alanlar
Paylalan altyap
Kiralanm/finansal olarak kiralanm tehizat
Mantksal ba kurma
Ortaklar, mteriler ve rakipler hakknda toplanan bilgiler: Her biri iin ticari unvan, i adresi, iliki tr,
temel finansal bilgiler, ana makineleri/a bilgisinden oluan tam bir liste.
ortaklar
Hedefin ilan edilmi i ortaklar. Bazen esas nternet sitesinde ilan edilir.
-
mterileri
Hedefin ilan edilmi mterileri. Bazen esas nternet sitesinde ilan edilir.
Rakipler
Hedefin rakipleri kimlerdir? Bunun tespiti basit olabilir veya ileri bir analiz gerektirebilir.
rtibat izelgesi
rtibat izelgesi (insanlar arasndaki sosyal balarn grsel bir sunumu) kurulu ierisindeki
kiilerin potansiyel etkileimlerini ortaya karmada ve bu kiilere dardan (irtibat izelgesi d
topluluklar ierdiinde ve iki seviyeden daha yukarda bir derinlikte oluturulduunda) nasl eriim
salanabileceinin belirlenmesinde size yardmc olur.
Temel irtibat izelgesi o ana kadar derlenmi olan bilgilerden karlan kurumsal yapy
yanstmaldr ve ilave olarak izelgede yaplacak mteakip genilemeler de bu bilgilere dayal
olmaldr (irtibat izelgesi genellikle kurumsal olarak odaklanlan varlklar daha iyi gsterdiinden
ve muhtemel yaklama vektrlerini aa kardndan).
Hoovers profili
Nedir? Yar kullanma ak bir istihbarat kaynadr (genellikle demeli abonelik ile). Bu gibi
kaynaklar firmalar hakknda ile ilgili bilgilerin toplanmas konusunda ve i hakknda normalize
edilmi bir bak as salamada uzmanlamlardr.
Neden kullanlr? Bilgiler fiziki lokasyonlar, rekabet ortamn, anahtar personeli, finansal bilgileri
ve ile ilgili dier bilgileri ierir (kaynaa bal olarak).
Nasl kullanlr? Web sitesinde ticari unvan kullanlarak yaplacak bir arama firmann tam bir
profilini ve firma hakknda mevcut olan tm bilgileri karr. Bilgilerin birka kaynak kullanmak
suretiyle apraz olarak sorgulamasnn yaplmas ve en gncel bilgilerin elde edildiinden emin
olunmas nerilir.
retim hatt
Hedef kuruluun sunduu rnler ve kurulu hizmet retiyorsa bu hizmetler hakknda ilave bir
analiz yaplmas gerekebilir.
Dikey pazar
Hedef kuruluun hangi endstri kolunda faaliyet gsterdii (finans, savunma, tarm, kamu vb.)
Pazarlama hesaplar
Pazarlama faaliyetleri hedefin pazarlama stratejileri hakknda zengin bilgiler salar.
Hedef kuruluun sosyal balantlarn belirlemek iin tm sosyal medya alar incelenmelidir.
-
Hedef kuruluun gemiteki pazarlama kampanyalar incelenmelidir.
Toplantlar
Toplant tutanaklar yaynlanyor mu?
Toplantlara halka ak m?
Firma iin nemli tarihler
Ynetim kurulu toplantlar
Tatiller
Yldnmleri
rn/hizmet balanglar
olanaklar
Bir kuruluun i olanaklar listelerini (genellikle kuruluun Web sitesinin kariyer blmnde
bulunurlar) incelemek suretiyle kurulu ierisinde ne tr teknolojilerin kullanlmakta olduunu
belirleyebilirsiniz. rnein bir kuruluta Solaris Sysadmin gibi bir i olana olmas, kuruluun
Solaris systems kullandn ok ak bir ekilde gsterir.
Hayr kurumlar ile balar
Bir hedef kuruluun yneticilerinin hayr kurumlar ile ilikilerinin bulunmas ok yaygn olarak
grlr. Bu bilgiler yneticiler hedeflendiinde salam sosyal mhendislik senaryolarnn
yaratlmas iin kullanlabilir.
Teklif/Fiyat teklifi alma ve dier kamu ihale bilgileri
Teklif/Fiyat teklifi alma faaliyetleri firma tarafndan kullanlan sistemlerin tipleri hakknda ve
altyaplarndaki potansiyel eksikler hakknda ok miktarda bilgi gsterir.
haleleri kazananlarn kimler olduunun belirlenmesi kullanlmakta olan sistemlerin tiplerini veya
firma kaynaklarnn kuruluun dnda bulundurulduu bir lokasyonu gsterebilir.
Mahkeme kaytlar
Mahkeme kaytlar genellikle ya serbeste kullanlabilir durumdadr ya da bir cret karl
alnabilir.
Eski alanlarn at davalar ieren ancak bunlarla snrl olmayan davalarn ierii firmadan
ikayeti olanlar hakknda bilgiler verebilir.
Mevcut ve eski alanlar hakkndaki sabka kaytlar sosyal mhendislik gayretleri iin bir dizi
hedef salayabilir.
-
Balar
Balar ve dier finansal katklarn belirlenmesi gl bir pozisyonda olmayabilen ancak firmann
mevcut bir kar bulunan nemli kiilerin belirlenmesi bakmndan nemlidir.
Balarn karlmas lkeden lkeye bilgi edinme zgrlne bal olarak deiir fakat ou
durumda baka lkelerden yaplan yardmlar mevcut veriler kullanlmak suretiyle geriye doru
takip edilebilir.
Mesleki lisanslar ve tesciller
Hedef kuruluunuzun mesleki lisanslarnn ve tescillerinin elde edilmesi sadece firmann nasl alt
hakknda deil ayn zamanda bu lisanslar muhafaza etmek iin takip ettikleri klavuzlar ve
dzenlemeler hakknda da bir bak salar. Buna iyi bir rnek olarak, bir firmann ISO Standardlar
sertifikas firmann belli klavuzlar ve prosesleri takip ettiini gsterir. Test uzman asndan bu
proseslerin ve bu proseslerin kuruluta gerekletirilmekte olan testlere nasl bir etkisi olacann
farknda olunmas nemlidir.
Bir firma genellikle bu gibi detaylar Web sayfalarna bir onur iareti olarak koyar. Aksi durumda dikey
bir pazarda, kuruluun bu pazarn bir yesi olup olmadnn anlalmas iin tescillerin aratrlmas
gerekebilir. Kullanlabilir olan bilgiler byk lde dikey pazara ve ayn zamanda firmann corafi
konumuna baldr. Uluslararas firmalarn farkl bir ekilde lisanslandrlm olabileceine ve lkeye
bal olarak farkl standardlarla veya yasal organlarla tescil edilmelerinin gerekebileceine de dikkat
edilmelidir.
Firmann organizasyon emas
Grev tanmlar
Kurulutaki nemli kiiler
zellikle hedeflenecek kiiler
lemler
tirakler
Elektronik
Dokman meta verileri
Nedir? Meta veri bir verinin/dokmann kapsam hakknda bilgi verir. Yazar/oluturann ismi, tarih
ve saat, kullanlan/bavurulan standardlar, bir bilgisayar andaki yeri (yazc/dosya/dizin/yol vb.
bilgiler), corafi etiket vb. gibi bilgileri ierebilir. Bir resim iin meta veri renk, derinlik, znrlk,
kamerann yaps/tr ve hatta koordinat ve konum bilgilerini ierebilir.
Meta veri niin kullanlr? Meta veri nemlidir nk i a, kullanc isimleri, e-posta adresleri,
yazclarn konumlar vb. bilgileri ierir ve lokasyonun bir plannn karlmasna yardmc olur.
Meta veri ayn zamanda ilgili dokmanlarn yaratlmasnda kullanlan yazlm hakknda bilgileri de
ierir. Bu, saldry gerekletirenin bir profil yaratmasn ve/veya alar ve kullanclar hakkndaki
dahili bilgilerle zel amal saldrlar icra etmesini mmkn klar.
Nasl elde edilir? Dosyadan (pdf/word/resim) meta verileri karan FOCA (GUI-tabanl),
metagoofil (python- tabanl), meta-extractor, exiftool (perl-tabanl) gibi aralar mevcuttur. Bu
aralarn meta verileri karma ve sonular HTML, XML, GUI, JSON vb. gibi formatlarda sunma
-
yetenekleri vardr. Bu aralarda kullanlacak olan girdiler ou zaman mterilerin kamuya ak
varlklarndan indirilen ve daha sonra hakknda daha fazla bilgi edinmek iin analiz edilen bir
belgedir. Belgeleri aramanza, indirmenize ve analiz etmenize yardmc olan FOCA olsa da tm
bunlar FOCAnn GUI arayz araclyla gerekletirilir.
Pazarlama iletiimleri
Gemi pazarlama kampanyalar yrrlkten kalkm olabilen ancak halen eriilebilir olan projeler
hakknda bilgi salar.
Gncel pazarlama iletiimleri, ou dahili olarak kullanlan tasarm bileenlerini de (renkler,
fontlar, grafikler vb.) ierir.
D pazarlama kurulular gibi ilave iletiim bilgileri.
Altyap varlklar
Sahip olunan a bloklar
Kurulu tarafndan sahip olunan a bloklar WHOIS aramalar gerekletirmek suretiyle pasif
olarak elde edilebilir. DNSStuff.com bu gibi bilgilerin dorudan elde edilebilecei bir yerdir.
IP adreslerine ynelik olarak gerekletirilen aramalar hedefteki altyapnn tipi hakknda bilgiler
verebilir. Yneticiler genellikle IP adresi bilgilerini eitli destek sitelerindeki yardm istekleri
balamnda gnderirler.
E-posta adresleri
E-posta adresleri geerli kullanc adlarnn ve etki alan yapsnn potansiyel bir listesini salar.
E-posta adresleri kuruluun Web sitesi de dahil olmak zere birok kaynaktan toplanabilir.
D altyap profili
Hedefin d altyap profili dahili olarak kullanlan teknoloji hakknda geni bilgi salayabilir.
Bu bilgiler eitli kaynaklardan pasif ya da aktif bir ekilde toplanabilir.
Profil, d altyapya ynelik olarak bir saldr senaryosunun oluturulmasnda kullanlmaldr.
Kullanlan teknolojiler
Destek forumlar, posta listeleri ve dier kaynaklarda yaplan ak kaynak istihbarat aramalaryla
hedefte kullanlan teknolojiler hakknda bilgi toplanabilir.
Belirlenen bilgi teknolojileri kuruluuna kar sosyal mhendislik kullanlmaldr.
rn satclarna kar sosyal mhendislik kullanlmaldr.
Satn alma anlamalar
Satn alma anlamalar donanm, yazlm, lisanslar ve hedefte mevcut olan ilave fiziki varlklar
hakknda bilgi ierir.
-
Uzaktan eriim
alanlarn ve/veya mterilerin uzaktan eriim iin hedef kurulua nasl bal olduu hakknda
bilgi elde edilmesi potansiyel bir giri noktas salar.
ou zaman uzaktan eriim portalna balant hedef kuruluun ana sayfasnda bulunur.
Nasl yaplr (How To) dokmanlar, uzaktaki kullanclara uygulamalar/prosedrleri gsterir.
Uygulama kullanm
Hedef kurulu tarafndan kullanlan bilinen uygulamalarn bir listesini oluturun. Bu, genellikle herkesin
eriimine ak olan dosyalardan meta verilerin karlmas ile yaplabilir (nceden bahsedildii gibi).
Savunma teknolojileri
Kullanmda olan savunmaya ynelik teknolojilerin ayrt edici zelliklerinin belirlenmesi, kullanmda olan
savunma sistemlerine bal olarak birka yolla yaplabilir.
Pasif bir ekilde ayrt edici zelliklerinin belirlenmesi
Hedef kuruluun teknisyenlerinin baz konular tartmalar veya kullanmda olan teknolojilerle ilgili
yardm istemeleri muhtemel olan forumlarda ve kamuya ak olarak eriilebilir olan bilgilerde
arama yapn.
Hedef kurulua ve ayn zamanda popler teknoloji satclarna ynelik pazarlama bilgilerini
aratrn.
Tin-eye programn (veya baka bir resim eleme aracn) kullanarak hedef kuruluun logosunun
satclarn referans sayfalarnda veya dier pazarlama materyalinde bulunup bulunmadna
ynelik olarak bir arama yapn.
Aktif bir ekilde ayrt edici zelliklerinin belirlenmesi
Hedefin halka ynelik sistemlere engellenen rntleri test etmek iin uygun sorgulama paketleri
gnderin. Belirli Web uygulamas gvenlik duvar tiplerinin ayrt edici zelliklerini belirlemek iin
birka ara mevcuttur.
Hem hedef kuruluun Web sitesinden gelen yantlarn, hem de e-postalarn st bilgileri genellikle
hem kullanlmakta olan sistem hakknda hem de devreye alnm olan zel gvenlik
mekanizmalar hakknda bilgiler verir.
nsan kaynaklarnn yetenekleri
Hedef bir kuruluun insan kaynaklarnn savunmaya ynelik yeteneklerinin tespit edilmesi gtr.
Hedef kuruluun gvenliinin sorgulanmasnda yardmc olabilecek birka anahtar bilgi mevcuttur.
Firma genelinde SOME timlerinin bulunup bulunmadn kontrol edin.
Gvenlikle ilgili bir pozisyon iin ne sklkla personel arandn grmek iin i ilanlarn kontrol
edin.
Gvenlikle ilgili olmayan ilerde (rnein, gelitiriciler) gvenliin bir gereklilik olarak belirtilip
belirtilmediini grmek iin i ilanlarn kontrol edin.
-
Hedef kuruluun gvenliinin ksmen veya tamamen d kaynaklardan karlanp karlanmadn
grmek iin d kaynak kullanm anlamalarn kontrol edin.
Firma iin almakta olan, gvenlik alanlarnn arasnda olmas muhtemel belirli kiileri
aratrn.
Finansal hususlar
Raporlama
Hedef kuruluun finansal raporlar byk lde kuruluun lokasyonuna baldr. Raporlama her bir
mnferit ube tarafndan deil de kuruluun genel merkezi araclyla yaplyor olabilir.
Pazar analizi
Ticari sermaye
Hedef kuruluun tarihsel olarak finansal deeri
Kiiler
alanlar
Tarihsel bilgiler
Mahkeme kaytlar
Nedir? Mahkeme kaytlar ilgilenilen bir kii ya da kuruluun lehine veya aleyhine olarak,
sularla ve/veya ikyetlerle, davalarla veya dier hukuki ilemlerle ilgili kamusal kaytlardr.
Niin aratrlr? Mahkeme kaytlar potansiyel olarak mnferit bir alanla ya da tm
firmayla ilgili hassas bilgiler gsterebilirler. Bu bilgilerin kendisi faydal olabilir veya ilave bilgi
elde etmek iin bir ara tekil edebilirler. Bu bilgiler szma testinin sonraki aamalarnda
sosyal mhendislik veya baka maksatlarla da kullanlabilirler.
Nasl elde edilir? Bu bilgilerin ou nternette herkese ak mahkeme Web siteleri ve kayt
veri tabanlar araclyla elde edilebilir. Baz ilave bilgiler LEXIS/NEXIS gibi cretli servisler
araclyla elde edilebilir. Baz bilgiler kaytlarn talep edilmesiyle veya ahsi mracaatla elde
edilebilir.
Balar
Nedir? Balar bir kiinin kendine ait parasn belirli bir siyasi adaya, siyasi partilere veya
zel bir ilgi sahasndaki kurululara ynlendirmesidir.
Niin aratrlr? Balar potansiyel olarak bir kii hakknda faydal bilgiler sunabilir. Bu
bilgiler sz konusu kiilerle politikaclar, siyasi adaylar ve siyasi kurulular arasndaki
balantlar ortaya karmada yardmc olmak zere sosyal a analizinin bir paras olarak
kullanlabilir. Bu bilgiler ayn zamanda szma testinin ileriki aamalarnda sosyal mhendislik
veya dier maksatlarla da kullanlabilir.
-
Nasl elde edilir? Bu bilgilerin ou gnmzde nternette kii baznda siyasi balar takip
eden halka ak Web siteleri (rnein, http://www.opensecrets.org/) araclyla elde
edilebilmektedir.
Mesleki lisanslar ve tesciller
Nedir? Mesleki lisanslar veya tesciller belirli bir lisans hakk kazanm olan veya bir
topluluun belirli bir dzeyde mensubu olan kiiler hakknda ye listelerini ve dier ilgili
bilgileri ieren bilgi depolardr.
Niin aratrlr? Ticari lisanslar potansiyel olarak bir kii hakknda faydal bilgiler gsterebilir.
Bu bilgiler bir kiinin gvenilirliini teyit etmek iin (gerekten iddia ettikleri gibi belirli bir
sertifikaya sahip midirler?) veya kiilerle baka kurulular arasndaki balantlar ortaya
karmada yardmc olmak zere sosyal a analizinin bir paras olarak kullanlabilir. Bu
bilgiler ayn zamanda szma testinin sonraki aamalarnda sosyal mhendislik veya dier
maksatlarla da kullanlabilir.
Nasl elde edilir? Bu bilgilerin ou gnmzde nternette halka ak Web siteleri araclyla
elde edilebilmektedir. Tipik olarak her kurulu kendi tescil bilgilerini evrimii olarak elde
edilebilir ekilde muhafaza etmektedir ya da belki de bu bilgilerin toplanmas iin ilave baz
admlar atmak gerekebilir.
Sosyal a profili
Meta verilerden szdrlan bilgiler
Fotoraf meta verileri araclyla lokasyonun bilinmesi
letiim tonu
letiimde kullanlan tonun znel olarak belirlenmesi saldrgan, pasif, sempatik, vc,
aalayc, kmseyen, kibirli, sekinci, mazlum, lider, desteki, taklit edici vb.
Yaynlarn periyodu
Yaynlarn periyodunun belirlenmesi (saatte/gnde/haftada bir vb.). lave olarak iletiimin
gnn hangi saatinde, haftann hangi gnnde olmasna ynelik bir meyil olduu.
Lokasyon tespiti
Bing Map Apps
Foursquare
Google Latitude
Yelp
Gowalla
Hedefin sosyal medyadaki mevcudiyeti
http://www.opensecrets.org/
-
Hangi siteleri kullanyorlar?
Hedefin nternetteki mevcudiyeti
E-posta adresi
Nedir? E-posta adresleri kullanclarn genel posta kutusu kimlikleridir.
Niin aratrlr? E-posta adreslerinin toplanmas veya aratrlmas nemlidir nk birok
maksatla kullanlrlar. E-posta adresleri daha sonra eriim iin bir brute force saldrsna tabi
tutulabilecek muhtemel bir kullanc kimlii salar ama daha da nemlisi zel amal
istenmeyen e-postalarn gnderilmesine yarar. Bu istenmeyen e-postalar istismar eleri,
zararl kodlar vb. ierebilir ve bir kullancya zel spesifik bir ierikten bahsedebilir.
Nasl elde edilir? E-posta adresleri eitli Web sitelerinde, gruplarda, bloglarda, forumlarda,
sosyal medya portallarnda vb. aranabilir ve kartlabilir. Bu e-posta adresleri eitli teknik
destek Web sitelerinden de elde edilebilir. Bir etki alan ile eleen e-posta adreslerine ynelik
olarak arama yapan e-posta toplama aralar da mevcuttur (ihtiya duyulduu taktirde).
Kiisel tantclar/takma adlar
Kaytl kiisel etki alan adlar
Atanm statik IPler/a blm (IP aral)
Fiziki lokasyon
Hedefin fiziki lokasyonunu elde edebilirsiniz
Telefon bilgi taramas
Telefon numaras
Cihaz tr
Kullanm
Kurulmu uygulamalar
Telefonun sahibi/yneticisi
deme karl elde edilecek bilgiler
Gemi sorgulamas
Linked-In
LEXIS/NEXIS
-
2.5 rtl bilgi toplama
Firmann yerinde bilgi toplama
Fiziki gvenlik denetlemeleri
Kablosuz a taramas / Radyo frekans taramas
alan davranlar eitimlerinin denetlenmesi
Girilebilir / Komu tesisler (ortak alanlar)
Bir eyler bulmak amacyla yaplan p kartrmas
Kullanlan tehizat tipleri
Dardan bilgi toplama
Veri merkezi lokasyonlar
A hizmeti salama/salaycs
nsanlar hakknda bilgi toplama
nsan hakknda bilgi toplama baka bir yolla elde edilemeyecek bilgiler saladndan hedef varlk
hakknda daha pasif bir anlayla yaplan bilgi toplamay btnler ve ayn zamanda istihbarat resmine
daha kiisel (duygular, tarih, anahtar kiiler arasndaki ilikiler, atmosfer vb.) ynler ekler.
nsan istihbaratnn elde edilmesi metodolojisi daima fiziki ya da szl olarak dorudan temas ierir.
Bilgi toplama faaliyeti optimal lde bilginin aa kmas ve sorgulama esnasnda hedef varln
ibirliinin salanmasna ynelik olarak zel bir takma kimlikle yaplmaldr.
lave olarak, daha hassas hedeflerden istihbarat toplanmas, fiziksel olarak yerinden ya da
elektronik/uzaktan eriim aralar (kapal devre kamera sistemleri, Web kameralar vb.) kullanmak
suretiyle gzlemden faydalanmak suretiyle gerekletirilebilir. Bu gzlemler genellikle davransal
paternleri (ziyaret sklklar, kyafet zorunluluu, eriim yollar, kafeler gibi ilave eriim salayabilecek
anahtar lokasyonlar gibi) ortaya karmak maksadyla gerekletirilir.
Sonular
Anahtar alanlar
Ortaklar/Tedarikiler
Sosyal mhendislik
2.6 Bilgi tarama
NEDR? Dardan bilgi toplama, bilgi toplamann footprinting olarak ta adlandrlan, bilgi edinmek
maksadyla kuruluun dndan bir bak asyla hedefle yaplan etkileimleri ieren bir safhasdr.
NEDEN YAPILIR? ou bilgiler hedeflerle etkileme girilerek toplanabilir. Bir servisi ya da cihaz
sorgulamak suretiyle genellikle bu servis ya da cihazn ayrt edici zelliklerini tespit edebileceiniz
senaryolar yaratabilirsiniz. Hatta daha basit olarak cihaz tanmlayacak bir banner satn alabilirsiniz.
Bu admda hedefleriniz hakknda daha ok bilgi toplamanz gerekmektedir. Bu aamann sonunda
amacnz nceliklendirilmi bir hedef listesi elde etmektir.
-
D bilgi tarama
Mteri kuruluun d snrlarnn belirlenmesi
Bir szma testi esnasnda istihbarat toplamann temel amalarndan biri kapsam dahilinde olacak
makinelerin belirlenmesidir. Hedefin etki alanlarndaki ve snrlarnn ierisindeki sistemlerin
belirlenmesinde ters DNS aramalar, DNS brute force saldrlar, WHOIS aramalar gibi
kullanlabilecek ok sayda teknik mevcuttur. Belirtilen bu teknikler ve dierleri aada
aklanmaktadr.
Pasif keif
WHOIS aramalar
D bilgi tarama iin ncelikle peinde olduumuz bilginin hangi WHOIS sunucularnda ierildiinin
belirlenmesine ihtiya vardr. Buradan hareketle hedefin etki alannn en st dzey etki alann
bilmemiz, daha basit olarak hedefin etki alannn kaytl olduu kayt yetkilisinin konumunu
belirlememiz gerekmektedir.
WHOIS bilgisi aa eklinde bir hiyerariye dayanr. ICANN tm en st dzey etki alanlar iin kayt
yetkilisidir ve tm manuel WHOIS sorgulamalar iin nemli bir balang noktasdr.
WHOIS aramas
ICANN - http://www.icann.org
IANA - http://www.iana.com
NRO - http://www.nro.net
AFRINIC - http://www.afrinic.net
APNIC - http://www.apnic.net
ARIN - http://ws.arin.net
LACNIC - http://www.lacnic.net
RIPE - http://www.ripe.net
Kayt yetkilisi sorgulandnda etki alan kayt bilgisini elde edebiliriz. WHOIS bilgilerini veren ok
sayda nternet sitesi mevcuttur. Ancak belgelendirmede kesinliin salanmas maksadyla sadece
uygun kayt yetkilisinin kullanlmas gerekir.
InterNIC - http://www.internic.net/ http://www.internic.net]
ARINda (American Registry for Internet Numbers Amerikan nternet numaralar kayt defteri)
yaplacak basit bir WHOIS aramas doru kayt yetkilisini verecektir.
BGP aynalar
BGPye dhil olan alarn otonom sistem numarasnn belirlenmesi mmkndr. BGP yollar dnya
genelinde ilan edilmitir ve BGP4 ve BGP6 aynalar kullanlmak suretiyle bunlar tespit edilebilir.
http://www.icann.org/http://www.iana.com/http://www.nro.net/http://www.afrinic.net/http://www.apnic.net/http://ws.arin.net/http://www.lacnic.net/http://www.ripe.net/http://www.internic.net/http://www.internic.net/
-
BGP4 - http://www.bgp4.as/looking-glasses
BPG6 - http://lg.he.net/
Aktif bilgi tarama
Port taramas
Port taramas teknikleri, test iin elde mevcut olan zamana ve testin gizli olarak icra edilmesi
gerekliliine bal olarak deiir. Sistemler hakknda hibir bilgi yoksa, sistemlerin belirlenmesinde hzl
bir ping taramas kullanlabilir. lave olarak kullanlabilir durumda olan yaygn olarak kullanlan
portlarn tespit edilmesi iin ping dorulamasz, hzl bir tarama altrlmaldr. Bundan sonra daha
kapsaml bir tarama altrlabilir. Baz test uzmanlar sadece ak TCP portlar ve ayn zamanda UDP
portlarna bakarlar.
http://nmap.org/nmap_doc.html adresindeki dokman, port taramas tiplerini detayl olarak
aklamaktadr. Nmap, a denetimi/taramas iin fiili olarak geerli olan standarttr. Nmap hem
Linux hem de Windows iletim programlarnda alr.
Nmapin kullanlmas hakknda detayl bilgiyi Szma Testi Teknik Klavuzunda (http://www.pentest-
standard.org/index.php/PTES_Technical_Guidelines#Nmap_.28Windows.2FLinux.29) bulabilirsiniz.
Nmapte dzinelerce seenek bulunmaktadr. Bu blm port taramas ile ilgili olduundan bu blmde
bu grevin yerine getirilmesi iin gerekli olan komutlara odaklanlacaktr. Kullanlan komutlarn esas
olarak eldeki zamana ve taramaya tabi tutulan portlarn saysna bal olacann bilinmesi nemlidir.
Bu grevlerin yerine getirilecei ne kadar ok port varsa veya elde ne kadar az zaman varsa, makineyi
o kadar daha az bir sre aratrabiliriz. Mevcut seeneklerden bahsedildike bu husus daha ak hale
gelecektir.
Banner Grabbing
Banner Grabbing uygulamas bir aa bal bilgisayar sistemleri ve bu bilgisayarlarn ak portlarnda
almakta olan servisler hakknda bilgi toplamak iin kullanlan bir listeleme tekniidir. Banner
Grabbing adaki uygulamalarn srmlerini ve hedef makinenin alt iletim sistemini belirlemek
iin kullanlr.
Banner Grabbing genellikle HTTP, FTP ve SMTP protokollerinin, srasyla 80, 21, ve 25 portlarnda
gerekletirilir. Banner Grabbing uygulanmasnda yaygn olarak kullanlan aralar Telnet, nmap
ve Netcattir.
SNMP Sweeps
SNMP sweeps belirli bir sistem hakknda ok fazla bilgi salad iin uygulanr. SNMP protokol
durum bilgisi kullanmaz ve datagram uyumlu bir protokoldr. Ancak SNMP sunucular geersiz
dizilerle yaplan sorgulara cevap vermez ve kulland UDP protokol, kapal UDP portlarn eksiksiz
bir ekilde raporlamaz. Bu nedenle sorgu gnderilen bir IP adresinden cevap alnamamas, aadaki
hususlardan biri nedeniyle olabilir:
Makine eriilebilir deildir
SNMP sunucusu almamaktadr
Hatal bir sorgu dizisi gnderilmitir
Cevap datagram henz ulamamtr
http://www.google.com/url?q=http%3A%2F%2Fwww.bgp4.as%2Flooking-glasses&sa=D&sntz=1&usg=AFQjCNGJNLNRaL6xeGcya4mZ9NPyOFd8Tghttp://lg.he.net/http://nmap.org/nmap_doc.htmlhttp://www.pentest-standard.org/index.php/PTES_Technical_Guidelines#Nmap_.28Windows.2FLinux.29http://www.pentest-standard.org/index.php/PTES_Technical_Guidelines#Nmap_.28Windows.2FLinux.29
-
Alan transferleri
DNS alan transferi, ya da bilinen dier adyla AXFR bir tr DNS ilemidir. DNS alan transferi bir dizi
DNS sunucusu zerindeki DNS verilerini ieren veri tabanlarnn kopyasnn karlmas iin
gelitirilmi olan bir mekanizmadr. Alan transferleri iki eittir: tam alan transferi (AXFR) ve artan alan
transferi (IXFR). DNS alan transferi gerekletirme yeteneinin test edilmesinde kullanlabilecek olan
ok sayda ara mevcuttur. Alan transferlerinin gerekletirilmesinde yaygn olarak kullanlan aralar
host, dig ve nmaptir.
SMTP Bounce Back
Ayn zamanda, teslim edilmedi raporu/alnds (NDR), (baarsz) ileti durum raporu (DSN) iletisi,
iletilmedi bildirimi (NDN) veya basite bounce olarak ta adlandrlan SMTP bounce back, bir e-posta
sisteminden gelen bir iletinin gndericisini, iletisinin adresine teslim edilmesi ile ilgili bir problem
yaandna dair bilgilendiren, otomatik olarak yaratlan bir elektronik iletidir. Bir bounce iletisi,
yazlm ve srmler dahil olmak zere kullanlan SMTP sunucusu hakknda bilgi ieriyor
olabileceinden, bir saldrgan iin SMTP sunucusunun ayrt edici zelliklerinin tespit edilmesinde
yardmc olabilir.
Bu basit bir ekilde hedefin etki alan ierisinde sahte bir adres yaratmak suretiyle gerekletirilebilir.
rnein, [email protected], target.comu test etmek zere kullanlabilir.
Gmail, test uzmanlarnn seimini kolaylatracak ekilde, sayfa bal bilgilerine tam eriim olana
salamaktadr.
DNS kefi
DNS kefi, etki alannn yetkili ad sunucusunun WHOIS kaytlarna bakmak iin gerekletirilir. lave
olarak, asl etki alan adndaki deiiklikler kontrol edilmeli ve Web sitesinde hedefin denetiminde
olabilecek baka etki alanlarna atfta bulunulup bulunulmad da kontrol edilmelidir.
Dz/TersDNS
Ters DNS, bir kurulu ierisinde kullanmda olan geerli sunucu isimlerinin elde edilmesi iin
kullanlabilir. Verilen bir IP adresinden, bir adn zmlenebilmesi iin IP adresinin PTR (ters) DNS
kaydn ieriyor olmas gerekir. zmleme yaplrsa sonular dndrlr. Bu ilem genelde
sunucunun eitli IP adresleri ile test edilmesi ve herhangi bir sonu dndrp dndrmediine
baklmas ile gerekletirilir.
DNS Bruteforce
stemci etki alan/etki alanlar ile ilgili tm bilgiler belirlendikten sonra DNS sorgular yaplr. DNS, IP
adresleri ile alan adlarn eletirmek ve bu ilemin tersi iin kullanldndan, bu uygulamann gvenlik
aklar ierecek ekilde mi yoksa gvenlik aklar iermeyecek ekilde mi yaplandrldn
belirlemek gerekir. Burada gvenlik aklar sz konusu ise istemci hakknda daha fazla bilgi
edinebilmek iin DNS kullanlabilir. DNSin hatal yaplandrlmas sonucu ortaya kacak en ciddi
durum, DNSin nternet kullanclarna bir DNS alan transferi yapma olana salad durumdur.
DNSin alan transferine olanak salayp salamadn belirlemek ve bunun yannda bilinmeyen ilave
alan adlarn tespit edebilmek iin kullanlabilecek olan birok ara mevcuttur.
-
Web uygulamas kefi
Szma testi srasnda zayf Web uygulamalarnn belirlenmesi zellikle yararl bir ilem olabilir.
Aranmas gerekenler, yanl olarak konfigre edilmi olan OTS uygulamalar, fonksiyonellik eklentisi
yapan OTS uygulamalar (eklentiler ou zaman esas uygulamaya gre saldrlara kar daha hassas
kodlar ierir) ve istee gre uyarlanm uygulamalardr. yi bir sonu elde etmek iin WAFP gibi, Web
uygulamalarnn ayrt edici zelliklerini tespit eden uygulamalar kullanlabilir.
Sanal makinelerin tespiti ve sralanmas
Web sunucular genellikle fonksiyonellii pekitirmek maksadyla birka sanal makine barndrr. Birka
sunucu ayn DNS adresini iaret ediyorsa bunlar ayn sunucuda barndrlyor olabilirler. Bir IP adresini
bir sanal makine kmesi ile eletirmek iin MSN aramas gibi aralar kullanlabilir.
D hedef listesinin oluturu
