SlideShare ist ein Scribd-Unternehmen logo

Btrisk Pentest (Sızma Testi) Metodu

BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri

BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri Pentest (Sızma Testi) Metodu

Business
1 von 8
BTRisk Pentest Metodu “Güvenli ve sürekli hizmet için”
blog.btrisk.com @btrisk /btrisktv /btrisk 1 I. Ağ Güvenliği Denetim Metodumuz i. Ağ Güvenliği Denetim Yaklaşım Özeti  Ağ güvenlik denetim yaklaşımımız, analitik olarak ardı ardına gerçekleştirilen her bir aktivitenin bir sonrakine girdi üretmesi biçiminde takip eden sayfalarda ifade edilmiştir.  Bununla birlikte denetim çalışmasının ileri adımlarında yer alan bir aktivite gerçekleştirilirken ek bilgiler elde edilebilecek veya yeni birbilgiye ihtiyaçduyulabilecektir. Bu durumda denetlenen alanın güvenlikaçısındankritikliği de gözönünde bulundurularak önceki adımlara dönüp aktivitenin yeni bilgi ışığında veya yeni bilgi ihtiyacını sağlamaya yönelik olarak tekrarı söz konusu olabilecektir.  Kullanılacak parola sözlük ve kaba kuvvet saldırıları çalışma için ayrılmış zaman bütçesi göz önüne alınarak zamanlanacaktır. Bu saldırıların sahipolunanzamanaralığında başarılamamasızafiyeti hafifletici bir durum olmayıp bu bulgular raporda yer alacaktır.  Hizmet kesintisi saldırıları gerçeklenmeyecektir.  Özellikle saldırı kodlarının denenmesi sırasında risk yönetim prosedürüne uygun biçimde kurum personeli ile koordinasyon halinde bulunulacaktır.
blog.btrisk.com @btrisk /btrisktv /btrisk 2 ii. Ağ Güvenliği Denetim Yaklaşım Detayı Kurum ve Kurum’a Ait İnternet Servisleri Hakkında Bilgi Toplama:  Kurumaait internet servisleri, teknik personel iletişim bilgileri, kurumun BT ürün ve hizmet sağlayıcıları, kurum tarafından kullanılanteknolojik altyapı (işletim sistemi, web sunucusu, vb. bazında) ve yazılımlar hakkında saldırı için fayda sağlayabilecek verilerin aşağıdaki araç ve yöntemlerle toplanmasını içerir:  Arama Motorları (link verilerinden faydalanılarak web sunucularının ve web uygulamarının tespiti, hassas kurumsal dosyaların,(wardialing çalışması kapsam içindeyse bu çalışmaya baz teşkil edecek) kuruma ait telefon numaraları bilgilerinin, ve yukarıda da sayılan diğer verilerin toplanması için)  Netcraft(kurumalanıiçinde yeralanwebsunucularının,bunların model ve versiyonlarının, kurum alan adlarına benzer alan adlarının tespiti, wayback machine aracı ile web sitelerinin eski görüntülerinin tespiti için)  Whois(IP,AlanAdı) Veritabanları (kuruma ait IP adres aralığının, teknikpersonelbilgilerinin, destek alınan ISP bilgilerinin tespiti için)  BGP Sorgulama (internet çıkış bilgilerinin ve komşu otonom sistemlerin belirlenmesi için)
blog.btrisk.com @btrisk /btrisktv /btrisk 3  DNS Sorgulama (ad kaba kuvvet saldırıları ve alan transferi yöntemleri ile sunucu tespiti, IP adres bloğunda bulunan IP’ler için tersine sorgulamayla sunucu isimleri ve işlevleri hakkında bilgi toplamak için)  WebSunucuları(tümiçeriğinindirilmesi, içeriğin içindeki yorum satırlarının ve içerikteki güvenlik açısından hassas bilgilerinin incelenmesi için)  SMTP Mesajı (mevcut olmayan bir e-posta adresine e-posta gönderilmesi suretiyle geri dönen mesajın başlık bilgilerinden faydalanarak kurum ağ mimarisi hakkında bilgi edinmek için)  Diğer Halka Açık Bilgiler (kurum fiziksel yerleşimleri, grup şirketleri ve diğer ağ bağlantıları hakkında bilgi toplamak için)  Yukarıdaki aktiviteler Bidiblah gibi bir araç veya doğrudan ilgili bilgiyi sağlayan internet servisi kullanılarak gerçekleştirilebilecektir. Sunucu ve Servis Tarama  Genel bilgi toplamaadımındaelde edilen verilerden yola çıkarak ve kurumun sahip olduğu IP adres aralığındaki canlı sistem ve servisleri tespit etmek amacıyla protokol ve servis taramalarını içerir:  IP protokol tarama  ICMP tarama (Type 8, 13, 15 ve 17 ICMP paket türleri kullanılarak)  TCP port tarama (TCP connect bağlantısı yöntemiyle tarama IP yasaklaması doğurmuyorsa tam güvence için connect bağlantı yöntemiyle)  UDP port tarama (tarama zamanını çok fazlaartırdığından sadece bilinenportlariçin ve UDP servisi barındırdığından şüphelenilen sunuculara odaklanılarak)  Eğer mevcutsa web proxy ve ftp sunuculara yönelik proxy sıçrama taraması  Bu adımın çıktıları işletim sistemi ve ağ servisleri üretici ve versiyon belirleme çalışmasına esas oluşturacaktır. Ağ Haritasının Çıkarılması  Kurum ağının derinliği, DMZ ve iç ağ bölümleri, filtreleme kurallarınınanlaşılmasıiçingerçekleştirilen aşağıdaki aktiviteleri içerir:  Yönlendirme bilgisi toplama (Traceroute, hping2 gibi araçlarla)
blog.btrisk.com @btrisk /btrisktv /btrisk 4  Filtreleme kurallarının testi (Firewalk ile) İşletim Sistemi Tespiti (Enumeration)  İşletimsistemi versiyonununyüksekihtimalle tespitedilmesi için protokol ve port taramalarından elde edilen verilerin yanı sıra aşağıdaki aktif yöntem ve araçlarla gerçekleştirilen aktiviteleri içerir: o Farklı işletim sistemlerinin farklı başlık bilgilerine sahip paketlere verdikleri farklılıklardan yola çıkarak her bir işletimsistemi içinaşağıdaki özelliklerinaktif yöntemlerle incelenmesi (fingerprinting):  IP protokol özelliklerinin  ICMP protokol özellikleri  TCP protokol özellikleri o Dinleyen port numaralarından yola çıkarak kabaca işletim sistemi ailesi ve versiyonunun tespiti o Her birservisiçin“banner”metinlerininincelenmesi (bu metinlerkesinolarakgüvenilememekle birlikte versiyon tespiti için önemli bilgi verebilmekte, bazı durumlarda sistem yöneticisi tarafından değiştirilse bile belli başlık alanları veya gönderilen isteklere karşı ürettikleri yanıt özellikleri nedeniyle işletimsistemi veya servis tespitine olanak sağlayabilmektedirler) o Servis davranış özellikleri ve uygulama seviyesinde isteklere verilen yanıtlardaki farklılıklar Ağ Servisleri ve Sistem Kullanıcılarının Tespiti (Enumeration)  Servis versiyonu ve sistem kullanıcılarının tespiti için aşağıdaki genel ve servise ve işletim sistemine özel aktivitelerin gerçekleştirilmesini içerir: Servis ve servis versiyonu belirleme için genel aktiviteler o Banner metinlerinden yola çıkarak tahmin o Bilinen port numaralarından yola çıkarak tahmin o AMAP(veyaNMAP’inservisbelirleme özelliği) ile servis versiyon tahmini (application fingerprinting) o Özellikle versiyon ve kullanıcı kodlarının belirlenmesine imkantanıyabilecekaşağıdaki genel ve işletim sistemine özel servislerinincelenmesi (Not: Sıralanan Windows ve Unix işletimsistemlerine özgü servis isimleri çalışmanın detayı hakkında fikir vermek içindir. Bu işletim
blog.btrisk.com @btrisk /btrisktv /btrisk 5 sistemlerinin dışındaki sistemler için kendilerine has servisler incelenecektir): Genel Servisler o SNMP (UDP 161) o SMTP (TCP 25) o POP-3 (TCP 110) o IMAP (TCP 143) o TFTP (TCP/UDP 69) o FTP (TCP 21) o Telnet (TCP 23) o HTTP/HTTPS (TCP 80/ TCP 443) o SSL o IPSec (ISAKMP – UDP 500) o SSH (TCP 22) o VNC (TCP 5800 / 5900) Unix Servisleri o Unix RPC (TCP/UDP 111, 32771) o NFS (RPC programı 100003) o R-Services (exec – TCP 512, login – TCP 513, shell – TCP 514) o NTP (UDP 123) o X Windows Server (TCP 6000-6063) Unix Kullanıcı Tespitine Yardımcı Servisler o Finger (TCP/UDP 79) o Rwho (UDP 513) ve Rusers (RPC programı 100002) o NIS (RPC programı 100004) o Auth (TCP 113) (identd servisi) Windows Servisleri o NetBIOS Name Service UDP 137) o SMB (NetBIOS Session Service: TCP 139 veya SMB over TCP – CIFS: TCP/UDP 445) o LDAP ve Active Directory Global Catalog (TCP 389 / TCP 3268) o MSRPC (TCP/UDP 135) o NTP (UDP 123) o Terminal Services (TCP 3389)
blog.btrisk.com @btrisk /btrisktv /btrisk 6 Kullanıcı Parola Tespit Saldırılarının Gerçekleştirilmesi (Kısıtlı Zaman İçin)  Aşağıdaki yöntemlerle tespit edilmiş olan kullanıcı kodlarına yönelik kısıtlı süre için sözlük (dictionary) ve kaba kuvvet saldırıları yöntemleriile parolatespitve yetkisizerişimtestlerinin gerçekleştirilmesi: o Tespitedilenservislerdenkullanıcı kodu sızdırma yoluyla belirlenen kullanıcı kodları o Genel bilgi toplamaadımındaelde edilenkullanıcıkodları o Tespit edilen servislerin kurulumunda öntanımlı olarak bulunan kullanıcı kodları o Kurum bilgilerinden yola çıkarak tahmin edilebilen kullanıcı kodları o Yaygın olarak kullanılan kullanıcı kodları (bilgi, admin, user, helpdesk gibi)  Kullanılan parola sözlükleri kuruma özgü ve kurumla ilgili bilgi toplama adımında elde edilen veriler de kullanılarak oluşturulacaktır. Saldırı için kullanılacak araç veya geliştirilecek betikler söz konusu servise yönelik ve bu servisin iletişim kurduğu protokole uygun olarak belirlenecektir. Tespit Edilen Servis Versiyonlarına Yönelik Açıklık Tespiti ve Açıklığın Test Edilmesi  Versiyonu belirlenen servisler için herkese açık açıklık veritabanları taranacaktır. Söz konusu açıklık için yayınlanmış bir POC (proof of concept) saldırı kodu bulunuyorsa bu kod derlenerek söz konusu açıklığın gerçekten bulunup bulunmadığı test edilecektir.  Özellikle açıklığın saldırı koduyla denenmesi risk yönetim prosedürümüz gereği kurumtemsilcisiyle koordinasyon halinde gerçekleştirilecektir.  Hizmetkesintisine yönelik saldırı kodları denenmeyecek, açıklık veritabanlarından söz konusu versiyonla ilgili raporlanmış olan hizmet kesintisi açıklıkları sadece olası açıklık olarak raporlanacaktır.
blog.btrisk.com @btrisk /btrisktv /btrisk 7 Genel Ağ Güvenliği Değerlendirmesi  Ağ güvenliğideğerlendirmesi sadece yetkisizerişimzafiyetleri ve hafıza taşma, “format string”, “integer overflow”, “race condition” gibi uygulama açıklıkları yönünden değil aşağıdaki açılardan da gerçekleştirilecektir: o Filtreleme kurallarının yeterliliği o Parola politikalarının yeterliliği o Kaba kuvvet saldırılarına karşı kullanılan yöntemlerin etkinliği(CAPTCHA kullanımı, 3 başarısız deneme sonrası belli bir süre kullanıcı hesabının kilitlenmesi gibi) o İnternet’e açık servislerin nitelikleri ve gereklilikleri (örneğin veritabanı servisinin doğrudan internet gibi tehlikeli ağbölümlerine açılmasının neden olacağı riskin değerlendirilmesi gibi) o Kullanılan protokollerin güvenlik açısından yeterliliği (örneğine-postaveyafinansal işlemsağlayanservislerde kriptolama kullanılmaması gibi) o Kullanılan servislerin kullandığı kriptolama ve özet algoritmalarının yeterliliği o Servislerin hatalı işlemler, hatalı kullanıcı tanılama denemelerine karşı verdiği hata mesajlarının kritik veya saldırganın işini kolaylaştırıcı bilgi barındırmaması o Servislerin gereğinden fazla bilgiyi banner’larında veya yanıt olarak dışarı sızdırmaması

Empfohlen

Yazıcı Güvenliği
Yazıcı GüvenliğiYazıcı Güvenliği
Yazıcı GüvenliğiBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
BTRISK ISO27001 UYGULAMA EGITIMI SUNUMU
BTRISK ISO27001 UYGULAMA EGITIMI SUNUMUBTRISK ISO27001 UYGULAMA EGITIMI SUNUMU
BTRISK ISO27001 UYGULAMA EGITIMI SUNUMUBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
BTRisk Adli Bilişim Eğitimi Sunumu
BTRisk Adli Bilişim Eğitimi SunumuBTRisk Adli Bilişim Eğitimi Sunumu
BTRisk Adli Bilişim Eğitimi SunumuBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
BTRİSK Web Uygulama Güvenliği Denetimi Eğitim Sunumu
BTRİSK Web Uygulama Güvenliği Denetimi Eğitim SunumuBTRİSK Web Uygulama Güvenliği Denetimi Eğitim Sunumu
BTRİSK Web Uygulama Güvenliği Denetimi Eğitim SunumuBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Bilişim Teknolojilerinde Yönetişim
Bilişim Teknolojilerinde YönetişimBilişim Teknolojilerinde Yönetişim
Bilişim Teknolojilerinde YönetişimAhmet Pekel
 
Sizma testi bilgi toplama
Sizma testi bilgi toplamaSizma testi bilgi toplama
Sizma testi bilgi toplamaBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 3
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 3Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 3
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 3BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 2
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 2Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 2
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 2BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 

Empfohlen

Yazıcı Güvenliği
Yazıcı GüvenliğiYazıcı Güvenliği
Yazıcı GüvenliğiBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
BTRISK ISO27001 UYGULAMA EGITIMI SUNUMU
BTRISK ISO27001 UYGULAMA EGITIMI SUNUMUBTRISK ISO27001 UYGULAMA EGITIMI SUNUMU
BTRISK ISO27001 UYGULAMA EGITIMI SUNUMUBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
BTRisk Adli Bilişim Eğitimi Sunumu
BTRisk Adli Bilişim Eğitimi SunumuBTRisk Adli Bilişim Eğitimi Sunumu
BTRisk Adli Bilişim Eğitimi SunumuBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
BTRİSK Web Uygulama Güvenliği Denetimi Eğitim Sunumu
BTRİSK Web Uygulama Güvenliği Denetimi Eğitim SunumuBTRİSK Web Uygulama Güvenliği Denetimi Eğitim Sunumu
BTRİSK Web Uygulama Güvenliği Denetimi Eğitim SunumuBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Bilişim Teknolojilerinde Yönetişim
Bilişim Teknolojilerinde YönetişimBilişim Teknolojilerinde Yönetişim
Bilişim Teknolojilerinde YönetişimAhmet Pekel
 
Sizma testi bilgi toplama
Sizma testi bilgi toplamaSizma testi bilgi toplama
Sizma testi bilgi toplamaBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 3
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 3Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 3
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 3BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 2
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 2Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 2
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 2BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
BTRisk - Siber Olay Tespit ve Mudahale Egitimi
BTRisk - Siber Olay Tespit ve Mudahale EgitimiBTRisk - Siber Olay Tespit ve Mudahale Egitimi
BTRisk - Siber Olay Tespit ve Mudahale EgitimiBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-3
BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-3BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-3
BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-3BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-2
BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-2BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-2
BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-2BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-1
BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-1BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-1
BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-1BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 2
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 2BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 2
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 2BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 1
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 1BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 1
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 1BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Kali Linux Hakkında Herşey
Kali Linux Hakkında HerşeyKali Linux Hakkında Herşey
Kali Linux Hakkında HerşeyBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Web uygulama açıklıklarından faydalanarak sistem ele geçirme
Web uygulama açıklıklarından faydalanarak sistem ele geçirmeWeb uygulama açıklıklarından faydalanarak sistem ele geçirme
Web uygulama açıklıklarından faydalanarak sistem ele geçirmeBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
BTRisk iOS Mobil Uygulama Denetimi Eğitimi
BTRisk iOS Mobil Uygulama Denetimi EğitimiBTRisk iOS Mobil Uygulama Denetimi Eğitimi
BTRisk iOS Mobil Uygulama Denetimi EğitimiBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Unix Denetim Dokümanı
Unix Denetim DokümanıUnix Denetim Dokümanı
Unix Denetim DokümanıBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
BTRisk Android Mobil Uygulama Denetimi Eğitimi
BTRisk Android Mobil Uygulama Denetimi EğitimiBTRisk Android Mobil Uygulama Denetimi Eğitimi
BTRisk Android Mobil Uygulama Denetimi EğitimiBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
BTRisk Yazılım Güvenliği Yönetimi Eğitimi
BTRisk Yazılım Güvenliği Yönetimi EğitimiBTRisk Yazılım Güvenliği Yönetimi Eğitimi
BTRisk Yazılım Güvenliği Yönetimi EğitimiBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
BTRisk Android Uygulamalara Malware Yerleştirme Sunumu
BTRisk Android Uygulamalara Malware Yerleştirme SunumuBTRisk Android Uygulamalara Malware Yerleştirme Sunumu
BTRisk Android Uygulamalara Malware Yerleştirme SunumuBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
BTRisk ISO 27001:2013 Bilgilendirme ve İç Denetim Eğitimi Sunumu
BTRisk ISO 27001:2013 Bilgilendirme ve İç Denetim Eğitimi SunumuBTRisk ISO 27001:2013 Bilgilendirme ve İç Denetim Eğitimi Sunumu
BTRisk ISO 27001:2013 Bilgilendirme ve İç Denetim Eğitimi SunumuBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Bilgi Güvenliği Farkındalık Eğitimi Sunumu
Bilgi Güvenliği Farkındalık Eğitimi SunumuBilgi Güvenliği Farkındalık Eğitimi Sunumu
Bilgi Güvenliği Farkındalık Eğitimi SunumuBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
BTRİSK Web Uygulama Güvenliği Denetimi Eğitimi
BTRİSK Web Uygulama Güvenliği Denetimi EğitimiBTRİSK Web Uygulama Güvenliği Denetimi Eğitimi
BTRİSK Web Uygulama Güvenliği Denetimi EğitimiBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
BTRWATCH ISO27001 Yazılımı
BTRWATCH ISO27001 YazılımıBTRWATCH ISO27001 Yazılımı
BTRWATCH ISO27001 YazılımıBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Jmeter ile uygulama katmanında yük testi gerçekleştirme
Jmeter ile uygulama katmanında yük testi gerçekleştirmeJmeter ile uygulama katmanında yük testi gerçekleştirme
Jmeter ile uygulama katmanında yük testi gerçekleştirmeBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
ISO 27001:2013 versiyonu ile gelen değişiklikler
ISO 27001:2013 versiyonu ile gelen değişikliklerISO 27001:2013 versiyonu ile gelen değişiklikler
ISO 27001:2013 versiyonu ile gelen değişikliklerBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 

Weitere ähnliche Inhalte

Mehr von BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri

Mehr von BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri (20)

Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1
 
BTRisk - Siber Olay Tespit ve Mudahale Egitimi
BTRisk - Siber Olay Tespit ve Mudahale EgitimiBTRisk - Siber Olay Tespit ve Mudahale Egitimi
BTRisk - Siber Olay Tespit ve Mudahale Egitimi
 
BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-3
BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-3BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-3
BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-3
 
BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-2
BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-2BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-2
BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-2
 
BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-1
BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-1BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-1
BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-1
 
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 2
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 2BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 2
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 2
 
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 1
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 1BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 1
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 1
 
Kali Linux Hakkında Herşey
Kali Linux Hakkında HerşeyKali Linux Hakkında Herşey
Kali Linux Hakkında Herşey
 
Web uygulama açıklıklarından faydalanarak sistem ele geçirme
Web uygulama açıklıklarından faydalanarak sistem ele geçirmeWeb uygulama açıklıklarından faydalanarak sistem ele geçirme
Web uygulama açıklıklarından faydalanarak sistem ele geçirme
 
BTRisk iOS Mobil Uygulama Denetimi Eğitimi
BTRisk iOS Mobil Uygulama Denetimi EğitimiBTRisk iOS Mobil Uygulama Denetimi Eğitimi
BTRisk iOS Mobil Uygulama Denetimi Eğitimi
 
Unix Denetim Dokümanı
Unix Denetim DokümanıUnix Denetim Dokümanı
Unix Denetim Dokümanı
 
BTRisk Android Mobil Uygulama Denetimi Eğitimi
BTRisk Android Mobil Uygulama Denetimi EğitimiBTRisk Android Mobil Uygulama Denetimi Eğitimi
BTRisk Android Mobil Uygulama Denetimi Eğitimi
 
BTRisk Yazılım Güvenliği Yönetimi Eğitimi
BTRisk Yazılım Güvenliği Yönetimi EğitimiBTRisk Yazılım Güvenliği Yönetimi Eğitimi
BTRisk Yazılım Güvenliği Yönetimi Eğitimi
 
BTRisk Android Uygulamalara Malware Yerleştirme Sunumu
BTRisk Android Uygulamalara Malware Yerleştirme SunumuBTRisk Android Uygulamalara Malware Yerleştirme Sunumu
BTRisk Android Uygulamalara Malware Yerleştirme Sunumu
 
BTRisk ISO 27001:2013 Bilgilendirme ve İç Denetim Eğitimi Sunumu
BTRisk ISO 27001:2013 Bilgilendirme ve İç Denetim Eğitimi SunumuBTRisk ISO 27001:2013 Bilgilendirme ve İç Denetim Eğitimi Sunumu
BTRisk ISO 27001:2013 Bilgilendirme ve İç Denetim Eğitimi Sunumu
 
Bilgi Güvenliği Farkındalık Eğitimi Sunumu
Bilgi Güvenliği Farkındalık Eğitimi SunumuBilgi Güvenliği Farkındalık Eğitimi Sunumu
Bilgi Güvenliği Farkındalık Eğitimi Sunumu
 
BTRİSK Web Uygulama Güvenliği Denetimi Eğitimi
BTRİSK Web Uygulama Güvenliği Denetimi EğitimiBTRİSK Web Uygulama Güvenliği Denetimi Eğitimi
BTRİSK Web Uygulama Güvenliği Denetimi Eğitimi
 
BTRWATCH ISO27001 Yazılımı
BTRWATCH ISO27001 YazılımıBTRWATCH ISO27001 Yazılımı
BTRWATCH ISO27001 Yazılımı
 
Jmeter ile uygulama katmanında yük testi gerçekleştirme
Jmeter ile uygulama katmanında yük testi gerçekleştirmeJmeter ile uygulama katmanında yük testi gerçekleştirme
Jmeter ile uygulama katmanında yük testi gerçekleştirme
 
ISO 27001:2013 versiyonu ile gelen değişiklikler
ISO 27001:2013 versiyonu ile gelen değişikliklerISO 27001:2013 versiyonu ile gelen değişiklikler
ISO 27001:2013 versiyonu ile gelen değişiklikler
 

Btrisk Pentest (Sızma Testi) Metodu

  • 1. BTRisk Pentest Metodu “Güvenli ve sürekli hizmet için”
  • 2. blog.btrisk.com @btrisk /btrisktv /btrisk 1 I. Ağ Güvenliği Denetim Metodumuz i. Ağ Güvenliği Denetim Yaklaşım Özeti  Ağ güvenlik denetim yaklaşımımız, analitik olarak ardı ardına gerçekleştirilen her bir aktivitenin bir sonrakine girdi üretmesi biçiminde takip eden sayfalarda ifade edilmiştir.  Bununla birlikte denetim çalışmasının ileri adımlarında yer alan bir aktivite gerçekleştirilirken ek bilgiler elde edilebilecek veya yeni birbilgiye ihtiyaçduyulabilecektir. Bu durumda denetlenen alanın güvenlikaçısındankritikliği de gözönünde bulundurularak önceki adımlara dönüp aktivitenin yeni bilgi ışığında veya yeni bilgi ihtiyacını sağlamaya yönelik olarak tekrarı söz konusu olabilecektir.  Kullanılacak parola sözlük ve kaba kuvvet saldırıları çalışma için ayrılmış zaman bütçesi göz önüne alınarak zamanlanacaktır. Bu saldırıların sahipolunanzamanaralığında başarılamamasızafiyeti hafifletici bir durum olmayıp bu bulgular raporda yer alacaktır.  Hizmet kesintisi saldırıları gerçeklenmeyecektir.  Özellikle saldırı kodlarının denenmesi sırasında risk yönetim prosedürüne uygun biçimde kurum personeli ile koordinasyon halinde bulunulacaktır.
  • 3. blog.btrisk.com @btrisk /btrisktv /btrisk 2 ii. Ağ Güvenliği Denetim Yaklaşım Detayı Kurum ve Kurum’a Ait İnternet Servisleri Hakkında Bilgi Toplama:  Kurumaait internet servisleri, teknik personel iletişim bilgileri, kurumun BT ürün ve hizmet sağlayıcıları, kurum tarafından kullanılanteknolojik altyapı (işletim sistemi, web sunucusu, vb. bazında) ve yazılımlar hakkında saldırı için fayda sağlayabilecek verilerin aşağıdaki araç ve yöntemlerle toplanmasını içerir:  Arama Motorları (link verilerinden faydalanılarak web sunucularının ve web uygulamarının tespiti, hassas kurumsal dosyaların,(wardialing çalışması kapsam içindeyse bu çalışmaya baz teşkil edecek) kuruma ait telefon numaraları bilgilerinin, ve yukarıda da sayılan diğer verilerin toplanması için)  Netcraft(kurumalanıiçinde yeralanwebsunucularının,bunların model ve versiyonlarının, kurum alan adlarına benzer alan adlarının tespiti, wayback machine aracı ile web sitelerinin eski görüntülerinin tespiti için)  Whois(IP,AlanAdı) Veritabanları (kuruma ait IP adres aralığının, teknikpersonelbilgilerinin, destek alınan ISP bilgilerinin tespiti için)  BGP Sorgulama (internet çıkış bilgilerinin ve komşu otonom sistemlerin belirlenmesi için)
  • 4. blog.btrisk.com @btrisk /btrisktv /btrisk 3  DNS Sorgulama (ad kaba kuvvet saldırıları ve alan transferi yöntemleri ile sunucu tespiti, IP adres bloğunda bulunan IP’ler için tersine sorgulamayla sunucu isimleri ve işlevleri hakkında bilgi toplamak için)  WebSunucuları(tümiçeriğinindirilmesi, içeriğin içindeki yorum satırlarının ve içerikteki güvenlik açısından hassas bilgilerinin incelenmesi için)  SMTP Mesajı (mevcut olmayan bir e-posta adresine e-posta gönderilmesi suretiyle geri dönen mesajın başlık bilgilerinden faydalanarak kurum ağ mimarisi hakkında bilgi edinmek için)  Diğer Halka Açık Bilgiler (kurum fiziksel yerleşimleri, grup şirketleri ve diğer ağ bağlantıları hakkında bilgi toplamak için)  Yukarıdaki aktiviteler Bidiblah gibi bir araç veya doğrudan ilgili bilgiyi sağlayan internet servisi kullanılarak gerçekleştirilebilecektir. Sunucu ve Servis Tarama  Genel bilgi toplamaadımındaelde edilen verilerden yola çıkarak ve kurumun sahip olduğu IP adres aralığındaki canlı sistem ve servisleri tespit etmek amacıyla protokol ve servis taramalarını içerir:  IP protokol tarama  ICMP tarama (Type 8, 13, 15 ve 17 ICMP paket türleri kullanılarak)  TCP port tarama (TCP connect bağlantısı yöntemiyle tarama IP yasaklaması doğurmuyorsa tam güvence için connect bağlantı yöntemiyle)  UDP port tarama (tarama zamanını çok fazlaartırdığından sadece bilinenportlariçin ve UDP servisi barındırdığından şüphelenilen sunuculara odaklanılarak)  Eğer mevcutsa web proxy ve ftp sunuculara yönelik proxy sıçrama taraması  Bu adımın çıktıları işletim sistemi ve ağ servisleri üretici ve versiyon belirleme çalışmasına esas oluşturacaktır. Ağ Haritasının Çıkarılması  Kurum ağının derinliği, DMZ ve iç ağ bölümleri, filtreleme kurallarınınanlaşılmasıiçingerçekleştirilen aşağıdaki aktiviteleri içerir:  Yönlendirme bilgisi toplama (Traceroute, hping2 gibi araçlarla)
  • 5. blog.btrisk.com @btrisk /btrisktv /btrisk 4  Filtreleme kurallarının testi (Firewalk ile) İşletim Sistemi Tespiti (Enumeration)  İşletimsistemi versiyonununyüksekihtimalle tespitedilmesi için protokol ve port taramalarından elde edilen verilerin yanı sıra aşağıdaki aktif yöntem ve araçlarla gerçekleştirilen aktiviteleri içerir: o Farklı işletim sistemlerinin farklı başlık bilgilerine sahip paketlere verdikleri farklılıklardan yola çıkarak her bir işletimsistemi içinaşağıdaki özelliklerinaktif yöntemlerle incelenmesi (fingerprinting):  IP protokol özelliklerinin  ICMP protokol özellikleri  TCP protokol özellikleri o Dinleyen port numaralarından yola çıkarak kabaca işletim sistemi ailesi ve versiyonunun tespiti o Her birservisiçin“banner”metinlerininincelenmesi (bu metinlerkesinolarakgüvenilememekle birlikte versiyon tespiti için önemli bilgi verebilmekte, bazı durumlarda sistem yöneticisi tarafından değiştirilse bile belli başlık alanları veya gönderilen isteklere karşı ürettikleri yanıt özellikleri nedeniyle işletimsistemi veya servis tespitine olanak sağlayabilmektedirler) o Servis davranış özellikleri ve uygulama seviyesinde isteklere verilen yanıtlardaki farklılıklar Ağ Servisleri ve Sistem Kullanıcılarının Tespiti (Enumeration)  Servis versiyonu ve sistem kullanıcılarının tespiti için aşağıdaki genel ve servise ve işletim sistemine özel aktivitelerin gerçekleştirilmesini içerir: Servis ve servis versiyonu belirleme için genel aktiviteler o Banner metinlerinden yola çıkarak tahmin o Bilinen port numaralarından yola çıkarak tahmin o AMAP(veyaNMAP’inservisbelirleme özelliği) ile servis versiyon tahmini (application fingerprinting) o Özellikle versiyon ve kullanıcı kodlarının belirlenmesine imkantanıyabilecekaşağıdaki genel ve işletim sistemine özel servislerinincelenmesi (Not: Sıralanan Windows ve Unix işletimsistemlerine özgü servis isimleri çalışmanın detayı hakkında fikir vermek içindir. Bu işletim
  • 6. blog.btrisk.com @btrisk /btrisktv /btrisk 5 sistemlerinin dışındaki sistemler için kendilerine has servisler incelenecektir): Genel Servisler o SNMP (UDP 161) o SMTP (TCP 25) o POP-3 (TCP 110) o IMAP (TCP 143) o TFTP (TCP/UDP 69) o FTP (TCP 21) o Telnet (TCP 23) o HTTP/HTTPS (TCP 80/ TCP 443) o SSL o IPSec (ISAKMP – UDP 500) o SSH (TCP 22) o VNC (TCP 5800 / 5900) Unix Servisleri o Unix RPC (TCP/UDP 111, 32771) o NFS (RPC programı 100003) o R-Services (exec – TCP 512, login – TCP 513, shell – TCP 514) o NTP (UDP 123) o X Windows Server (TCP 6000-6063) Unix Kullanıcı Tespitine Yardımcı Servisler o Finger (TCP/UDP 79) o Rwho (UDP 513) ve Rusers (RPC programı 100002) o NIS (RPC programı 100004) o Auth (TCP 113) (identd servisi) Windows Servisleri o NetBIOS Name Service UDP 137) o SMB (NetBIOS Session Service: TCP 139 veya SMB over TCP – CIFS: TCP/UDP 445) o LDAP ve Active Directory Global Catalog (TCP 389 / TCP 3268) o MSRPC (TCP/UDP 135) o NTP (UDP 123) o Terminal Services (TCP 3389)
  • 7. blog.btrisk.com @btrisk /btrisktv /btrisk 6 Kullanıcı Parola Tespit Saldırılarının Gerçekleştirilmesi (Kısıtlı Zaman İçin)  Aşağıdaki yöntemlerle tespit edilmiş olan kullanıcı kodlarına yönelik kısıtlı süre için sözlük (dictionary) ve kaba kuvvet saldırıları yöntemleriile parolatespitve yetkisizerişimtestlerinin gerçekleştirilmesi: o Tespitedilenservislerdenkullanıcı kodu sızdırma yoluyla belirlenen kullanıcı kodları o Genel bilgi toplamaadımındaelde edilenkullanıcıkodları o Tespit edilen servislerin kurulumunda öntanımlı olarak bulunan kullanıcı kodları o Kurum bilgilerinden yola çıkarak tahmin edilebilen kullanıcı kodları o Yaygın olarak kullanılan kullanıcı kodları (bilgi, admin, user, helpdesk gibi)  Kullanılan parola sözlükleri kuruma özgü ve kurumla ilgili bilgi toplama adımında elde edilen veriler de kullanılarak oluşturulacaktır. Saldırı için kullanılacak araç veya geliştirilecek betikler söz konusu servise yönelik ve bu servisin iletişim kurduğu protokole uygun olarak belirlenecektir. Tespit Edilen Servis Versiyonlarına Yönelik Açıklık Tespiti ve Açıklığın Test Edilmesi  Versiyonu belirlenen servisler için herkese açık açıklık veritabanları taranacaktır. Söz konusu açıklık için yayınlanmış bir POC (proof of concept) saldırı kodu bulunuyorsa bu kod derlenerek söz konusu açıklığın gerçekten bulunup bulunmadığı test edilecektir.  Özellikle açıklığın saldırı koduyla denenmesi risk yönetim prosedürümüz gereği kurumtemsilcisiyle koordinasyon halinde gerçekleştirilecektir.  Hizmetkesintisine yönelik saldırı kodları denenmeyecek, açıklık veritabanlarından söz konusu versiyonla ilgili raporlanmış olan hizmet kesintisi açıklıkları sadece olası açıklık olarak raporlanacaktır.
  • 8. blog.btrisk.com @btrisk /btrisktv /btrisk 7 Genel Ağ Güvenliği Değerlendirmesi  Ağ güvenliğideğerlendirmesi sadece yetkisizerişimzafiyetleri ve hafıza taşma, “format string”, “integer overflow”, “race condition” gibi uygulama açıklıkları yönünden değil aşağıdaki açılardan da gerçekleştirilecektir: o Filtreleme kurallarının yeterliliği o Parola politikalarının yeterliliği o Kaba kuvvet saldırılarına karşı kullanılan yöntemlerin etkinliği(CAPTCHA kullanımı, 3 başarısız deneme sonrası belli bir süre kullanıcı hesabının kilitlenmesi gibi) o İnternet’e açık servislerin nitelikleri ve gereklilikleri (örneğin veritabanı servisinin doğrudan internet gibi tehlikeli ağbölümlerine açılmasının neden olacağı riskin değerlendirilmesi gibi) o Kullanılan protokollerin güvenlik açısından yeterliliği (örneğine-postaveyafinansal işlemsağlayanservislerde kriptolama kullanılmaması gibi) o Kullanılan servislerin kullandığı kriptolama ve özet algoritmalarının yeterliliği o Servislerin hatalı işlemler, hatalı kullanıcı tanılama denemelerine karşı verdiği hata mesajlarının kritik veya saldırganın işini kolaylaştırıcı bilgi barındırmaması o Servislerin gereğinden fazla bilgiyi banner’larında veya yanıt olarak dışarı sızdırmaması