Penetrasyon Testi (Pen Test)

Nedir bu Penetrasyon Testi (Pen Test) dedikleri ?

Lafı orasından burasından çekip uzatmayacağım.Başkasının internette yazmış olduğu bir dünya penetrasyon testi makalelerinden alıntıda yapmayacağım.Penetrasyon testinin ne anlama geldiğini yazan bir dolu internet sitesi var zaten…

Biz kendi yorumumuz ile bunun ne olduğuna bakalım;

Penetrasyon testi bildiğiniz düpe düz Network sistemine sızma girişimidir.Eğer bu girişim başarılı olur ise (Senin yeteneklerin ve bilgi birikimin ölçüsünde) yapmış olduğun teste ait sonuçları sana bu testi yaptıran kişi yada kuruluş ile paylaştığın bir çalışma sistemidir.Zaten sızamaz isen bunuda belirtirsin karşı tarafta bir derin nefes alır.Ama ya sen sızamazsanda başkası sızabilirse ?

Yukarıda parantez içerisinde “Senin yeteneklerin ve bilgi birikimin ölçüsünde” diye bir kelime kullandımya.İşte burda devreye giriyor.

Şimdi Penetrasyon Testini piyasada haylice yapan kişi ve kuruluşlar var.Ama nasıl yapıyorlar ? Bu öncelikli araştırma konusu bu işi verirken birisine…
(Bu arada hakkı ile yapan birçok firma ve kişi mevcut, burada maksat karalamak değildir)

Eğerki Pen Test dediğimiz testi bir arkadaşımız senelerin verdiği bilgi ve becerisi ile birleştirip yardımcı “Tool” larıda işin içerisine katıp yapıyor ise, yani mutfaktan gelen ve senelerdir bu işlere bulaşmış biri ise o zaman işin kolay…Bu kişi yaparsa seni kimse yıkamaz demiyorum ama yıkılma ihtimalin düşer diyorum…Çünki asla yıkılmama ihtimalin çok az ne yazıkki…

Şimdi bunu silelim kafamızdan;

İnternet üzerinden bulduğu birkaç yardımcı tool ile, bilgi güvenliği üzerine hiçbir geçmiş bilgi, beceri ve deneyimi olmayan, Next Next tiklamalari ile ve programcıkların verdiği veriyi sizinle paylaşan bir Pentest taraması yapan arkadaşa gelirsen yandın. Hatta hiç yaptırmamış olmaktan beter yandın. Kapatayım derken birçok yeri eline yüzüne bulaştırmış olabilir.

Penetrasyon testi deyip geçtiğimiz şeyi yapabilmek için sadece yardımcı tool yetmez.Zaafiyet taraması yapman gerekir (Vulnerability Assesment). Network üzerinde ciddi bir çalışma yapman gerekir.Kullandığın yardımcı tool’ların sana verdiği bilgiye dayanarak eksikleri kapatman gerekir ama yardımcı tool dediğimiz şeylerin sana vermediğinide bulup kapatman gerekir.Bunun içinde bu testi yaptığın network içerisindeki tüm sunucuları ayrı ayrı denetlemen gerekir. Active Directory sunucusundan girip, Group Policy ilkelerinden çıkman gerekir. Şifre politilarini iyi irdelemen, paylaşımları, yetkileri, kim nereye gidiyor, yetkisiz erişim varmı, erişime teşebbüs varmı diye bunların hepsini titizlikle incelemen gerekir.Yardımcı tool’a rağmen UTM, Router, Switch gibi cihazların içerisine girip tek tek, kural kural hatalı kayıt varmı diye incelemen gerekir.Buda ciddi bir zamanını alır network’e göre. Bir sürü yönerge, bir sürü bilgi güvenliği standardına uyman gerekir…

  • İnceleme yap
  • Tespit et
  • Rapor ver
  • Önlem al

Bunu bu şekilde yaparsan bu iş olur,

Yoksa ben bir “Kali Linux” kurayım, wifi şifresini çalayım, kime hangi klasörü paylaştırmışlar bir bakayım ile olmaz…

Penetrasyon testi ciddi anlamda bilgi birikim ve kişisel beceri/yetenek ister.Sendeki senelerin birikimi ile yardımcılarını birleştirir ve bir sonuca ulaşırsın.
Youtube’da video izleme ile olmaz bu işler.

Firmalar ve sayın firma yöneticileri sizlerde sakın ben gerekli testleri yaptırdım artık bana birşey olmaz sanıp testleri devam ettirmeyi ihmal etmeyiniz.

Süreli antlaşma yapın, ehline ödeyin, başınız ağrımasın…

Esenlikler dilerim…

Evrim Sutel

Bir cevap yazın