SlideShare une entreprise Scribd logo

Pentest almak

Télécharger en tant que PPTX, PDF
Alper Başaran
Alper Başaran

Sızma testi (pentest) hizmeti alırken dikkat edilmesi gereken bazı basit noktalar.

Business
1  sur  22
Pentest Almak… Alper Başaran basaranalper@gmail.com www.alperbasaran.com Twitter: @basaranalper
Kurum Pentest Alacak Kurum Kötü Adam Pentest Ekibibasaranalper@gmail.com www.alperbasaran.com
Kısaca Kendini ‘dan korumak için ‘den hizmet alıyor. basaranalper@gmail.com www.alperbasaran.com
Gerçekten? basaranalper@gmail.com www.alperbasaran.com
Aslında = değil • Sızma testi yapan ekip gerçekten kötü niyetli değil, • Kurumla işbirliği içinde, • Kuruma zarar vermeye çalışmıyor, • Kötü adamlara göre motivasyonları düşük, • Kötü adamlara göre tecrübesi az, • Kötü adamlara göre bu işe ayırdığı zaman az, • Hedefi yok basaranalper@gmail.com www.alperbasaran.com
Ama Biz Konuştuk? Gibi Yapın Tamam! basaranalper@gmail.com www.alperbasaran.com
Konuşurken… • Zaman kısıtlaması koydunuz • Dokunulmaması gereken sistemleri belirttiniz • “192.168.1.23’teki SQL test için kuruldu, ondaki zafiyetleri biliyoruz” gibi noktaları konuştunuz ama… • Senaryo belirlemediniz • Hedef belirlemediniz basaranalper@gmail.com www.alperbasaran.com
Sonuçta Yapılan İş… • Sızma testi değil, bulunan zafiyetlerin istismar edilmesi oldu, • Gerçek risklere karşı fazla bilgi sahibi olmadınız, • Kurum çalışanlarının istemeden ve isteyerek oluşturabileceği riskleri belirleyemediniz, • Kısaca: Nessus ve Metasploit ile neler yapılabildiğini gördünüz. basaranalper@gmail.com www.alperbasaran.com
Pentest Nedir? • Söylenen onca şeyin aksine pentest iş risklerinin ölçülmesine yönelik bir çalışmadır. • Riskler sadece ağ ve sistemlerde bulunan açıklardan ibaret değildir. • Gerçek kötü adamlar için kapsam yoktur. • Oysa sizin aldığınız hizmet: “teknik bir pentest” oluyor… basaranalper@gmail.com www.alperbasaran.com
Teknik Bir Pentest Nasıl Yapılır? • IP’ler öğrenilir • Nessus çalıştırılır • Bulunan açıkları Metasploit ile istismar edilir • Rapor yazılır • Sosyal mühendislik isteniyorsa son 2 yıldır kullandığın maili bunlara da yollanır • DDoS, Wlan, kaynak kod analizi isteniyorsa uzman birini bul ona yaptırılır basaranalper@gmail.com www.alperbasaran.com
Oysa Siz… Gerçekten ne kadar risk altında olduğunuzu gösterecek bir rapor ve sizi daha güvenli yapacak öneriler hayal etmiştiniz basaranalper@gmail.com www.alperbasaran.com ???
Peki Ne Yapmalı? Detayları Konuşalım Tamam! basaranalper@gmail.com www.alperbasaran.com
Peki Ne Yapmalı? • Öncelikle pentest hedefi belirlenmeli (hangi saldırgan simüle edilecek?) – İç kaynaklara/verilere ulaşmaya çalışan biri? – İşlem bilgilerine erişmeye çalışan bir meraklı? – Kullanıcı hesaplarını ele geçirmeye çalışan biri? – Ağ trafiğini dinlemek isteyen biri? – Para çalmaya çalışan biri? – Yönetici epostalarını okumaya çalışan biri? basaranalper@gmail.com www.alperbasaran.com
Her Şey Serbest Mi Olacak? • Tabii ki hayır! • Ancak unutmayın: • Konulacak sınırlar sadece yapılacak testlerden doğan ve kurum işleyişini tehlikeye atacak riskleri azaltmaya yönelik olmalıdır • Beğenmediğiniz/utandığınız bir sistemi kapsam dışına almak bir ölçüde kendinizi kandırmak olarak değerlendirilebilir basaranalper@gmail.com www.alperbasaran.com
Pentest Konusunda Önemli Bazı Kriterler: Metodoloji • Sızma testi için gelen firmanın web sayfasında veya kuşe kağıda basılmış broşüründe gördüğünüz metodoloji önemli. • Belirli bir yöntem izlenmeden yapılan test başarılı olabilir ama bir şeyler eksik kalabilir • Test sırasında izlenecek yöntem mutlaka irdelenmeli basaranalper@gmail.com www.alperbasaran.com
Pentest Konusunda Önemli Bazı Kriterler: Rapor • İtiraf: Rapor yamaktan nefret ederiz • Hayatın gerçeği: Sızma testi sonucunda elinizdeki tek “elle tutulur” çıktı o rapordur • Dolayısıyla: Raporun nasıl yazılacağı ve sunulacağı detaylı olarak belirlenmeli basaranalper@gmail.com www.alperbasaran.com
Pentest Konusunda Önemli Bazı Kriterler: Testi Yapan • Şirketler pentest yapamaz, insanlar pentest yapar. • Pentest öğrenilebilecek bir iştir. • Biraz meraklı ve Google kullanabilen herkes pentest yapabilir. • Peki iyi ile kötüyü nasıl ayırt edeceğiz? basaranalper@gmail.com www.alperbasaran.com
Pentest Konusunda Önemli Bazı Kriterler: Testi Yapanların Piramidi Araç Kullanan ve bu işi günlük olarak yapanlar Mesai saatleri dışında zaman ayıran / kitap okuyan Veriyi kullanılabilir bilgiye dönüştüren ve rapor yazabilenler Standart İyi En İyi basaranalper@gmail.com www.alperbasaran.com
Pentest Konusunda Önemli Bazı Kriterler: Testi Yapanları Ayırt etmek • Sohbet edin: İşinize talip olan şirketin satışçısı veya sahibi ile değil. İşi gerçekten yapacak kişi ile sohbet edin. • Kurumsal ağlar birbirinden farklı olduğu için tecrübe kesin bir ölçüt olmayabilir. • Yine de: SAP, VoIP gibi sistemlerin olduğu özel durumlarda tecrübe önemlidir. basaranalper@gmail.com www.alperbasaran.com
Başarılı Bir Pentest Süreci İçin • Mümkün olduğu kadar gerçekçi bir test süreci yaratın • Test sürecinin detaylarını öğrenin • Test aşamalarının gerçek hayattaki karşılığına bakın (gerçekte birisi iç ağa laptopunu bağlayıp zafiyet taraması yapar mı?) • Gerçek istediğinizin zafiyet taraması olmadığından emin olun (birisi iç ağa laptopuyla bağlanıp zafiyet taraması mı yapsın?) basaranalper@gmail.com www.alperbasaran.com
Son olarak… • İyi firmalarla çalışın • Çıkarlarınızı gözeten bir firma ile çalışın • Verilecek raporun içeriği, yazılma biçimi ve sunulma biçimini belirleyin • Sızma testi yaptırmayı ihmal etmeyin basaranalper@gmail.com www.alperbasaran.com
Soru/Görüş/Öneri/Eleştiri için: basaranalper@gmail.com Grafikler: Alper Başaran basaranalper@gmail.com www.alperbasaran.com

Recommandé

Her İşin Başı Satış
Her İşin Başı SatışHer İşin Başı Satış
Her İşin Başı SatışAlper Başaran
 
OWASP kaynak kod analizi metodolojisi
OWASP kaynak kod analizi metodolojisiOWASP kaynak kod analizi metodolojisi
OWASP kaynak kod analizi metodolojisiAlper Başaran
 
APT Eğitimi Sunumu
APT Eğitimi Sunumu APT Eğitimi Sunumu
APT Eğitimi Sunumu Alper Başaran
 
Siber güvenlik ve hacking
Siber güvenlik ve hackingSiber güvenlik ve hacking
Siber güvenlik ve hackingAlper Başaran
 
Sosyal mühendislik saldırıları
Sosyal mühendislik saldırılarıSosyal mühendislik saldırıları
Sosyal mühendislik saldırılarıAlper Başaran
 
RECOVERY: Olay sonrası sistemleri düzeltmek
RECOVERY: Olay sonrası sistemleri düzeltmekRECOVERY: Olay sonrası sistemleri düzeltmek
RECOVERY: Olay sonrası sistemleri düzeltmekAlper Başaran
 
DNS güvenliği
DNS güvenliğiDNS güvenliği
DNS güvenliğiAlper Başaran
 
Garnizon dns guvenligi
Garnizon dns guvenligiGarnizon dns guvenligi
Garnizon dns guvenligiAlper Başaran
 

Recommandé

Her İşin Başı Satış
Her İşin Başı SatışHer İşin Başı Satış
Her İşin Başı SatışAlper Başaran
 
OWASP kaynak kod analizi metodolojisi
OWASP kaynak kod analizi metodolojisiOWASP kaynak kod analizi metodolojisi
OWASP kaynak kod analizi metodolojisiAlper Başaran
 
APT Eğitimi Sunumu
APT Eğitimi Sunumu APT Eğitimi Sunumu
APT Eğitimi Sunumu Alper Başaran
 
Siber güvenlik ve hacking
Siber güvenlik ve hackingSiber güvenlik ve hacking
Siber güvenlik ve hackingAlper Başaran
 
Sosyal mühendislik saldırıları
Sosyal mühendislik saldırılarıSosyal mühendislik saldırıları
Sosyal mühendislik saldırılarıAlper Başaran
 
RECOVERY: Olay sonrası sistemleri düzeltmek
RECOVERY: Olay sonrası sistemleri düzeltmekRECOVERY: Olay sonrası sistemleri düzeltmek
RECOVERY: Olay sonrası sistemleri düzeltmekAlper Başaran
 
DNS güvenliği
DNS güvenliğiDNS güvenliği
DNS güvenliğiAlper Başaran
 
Garnizon dns guvenligi
Garnizon dns guvenligiGarnizon dns guvenligi
Garnizon dns guvenligiAlper Başaran
 
APT Saldırıları
APT SaldırılarıAPT Saldırıları
APT SaldırılarıAlper Başaran
 
QR Code'lardaki Tehlike
QR Code'lardaki TehlikeQR Code'lardaki Tehlike
QR Code'lardaki TehlikeAlper Başaran
 
Kritik Altyapılarda Siber Güvenlik
Kritik Altyapılarda Siber GüvenlikKritik Altyapılarda Siber Güvenlik
Kritik Altyapılarda Siber GüvenlikAlper Başaran
 
İnternet'te Güvenli Alışveriş için Öneriler
İnternet'te Güvenli Alışveriş için Önerilerİnternet'te Güvenli Alışveriş için Öneriler
İnternet'te Güvenli Alışveriş için ÖnerilerAlper Başaran
 
Farklı Ortamlarda Büyük Veri Kavramı -Big Data by Sybase
Farklı Ortamlarda Büyük Veri Kavramı -Big Data by Sybase Farklı Ortamlarda Büyük Veri Kavramı -Big Data by Sybase
Farklı Ortamlarda Büyük Veri Kavramı -Big Data by Sybase Sybase Türkiye
 
Apache Spark ile Twitter’ı izlemek
Apache Spark ile Twitter’ı izlemekApache Spark ile Twitter’ı izlemek
Apache Spark ile Twitter’ı izlemekMehmet Uluer, MSc.
 
Büyük Veriyle Büyük Resmi Görmek
Büyük Veriyle Büyük Resmi GörmekBüyük Veriyle Büyük Resmi Görmek
Büyük Veriyle Büyük Resmi Görmekideaport
 
BUYUK VERI ILE RISK YONETIMI
BUYUK VERI ILE RISK YONETIMIBUYUK VERI ILE RISK YONETIMI
BUYUK VERI ILE RISK YONETIMIKutlu MERİH
 
Bulutta Büyük Veri Yönetimi
Bulutta Büyük Veri YönetimiBulutta Büyük Veri Yönetimi
Bulutta Büyük Veri YönetimiMSHOWTO Bilisim Toplulugu
 
MEF Üniversitesi - IoT & Data Dersi
MEF Üniversitesi - IoT & Data DersiMEF Üniversitesi - IoT & Data Dersi
MEF Üniversitesi - IoT & Data Dersiİbrahim KIVANÇ
 
Hadoop,Pig,Hive ve Oozie ile Büyük Veri Analizi
Hadoop,Pig,Hive ve Oozie ile Büyük Veri AnaliziHadoop,Pig,Hive ve Oozie ile Büyük Veri Analizi
Hadoop,Pig,Hive ve Oozie ile Büyük Veri AnaliziSerkan Sakınmaz
 
Büyük Veri, Hadoop Ekosistemi ve Veri Bilimi
Büyük Veri, Hadoop Ekosistemi ve Veri BilimiBüyük Veri, Hadoop Ekosistemi ve Veri Bilimi
Büyük Veri, Hadoop Ekosistemi ve Veri BilimiAnkara Big Data Meetup
 
Büyük veri(bigdata)
Büyük veri(bigdata)Büyük veri(bigdata)
Büyük veri(bigdata)Hülya Soylu
 
Büyük Veri ve Risk Yönetimi
Büyük Veri ve Risk YönetimiBüyük Veri ve Risk Yönetimi
Büyük Veri ve Risk YönetimiFatma ÇINAR
 
Big Data (Büyük Veri) Nedir?
Big Data (Büyük Veri) Nedir?Big Data (Büyük Veri) Nedir?
Big Data (Büyük Veri) Nedir?Renerald
 
Yapay Zeka, Deep Learning and Machine Learning
Yapay Zeka, Deep Learning and Machine LearningYapay Zeka, Deep Learning and Machine Learning
Yapay Zeka, Deep Learning and Machine LearningAlper Nebi Kanlı
 
Siber Olaylara Müdahale ve Hukuki Boyutları
Siber Olaylara Müdahale ve Hukuki BoyutlarıSiber Olaylara Müdahale ve Hukuki Boyutları
Siber Olaylara Müdahale ve Hukuki BoyutlarıAlper Başaran
 
IOT Güvenliği
IOT GüvenliğiIOT Güvenliği
IOT GüvenliğiBGA Cyber Security
 
İstSec'14 - Hamza Şamlıoğlu - Sosyal Medya ve Siber Riskler
İstSec'14 - Hamza Şamlıoğlu - Sosyal Medya ve Siber RisklerİstSec'14 - Hamza Şamlıoğlu - Sosyal Medya ve Siber Riskler
İstSec'14 - Hamza Şamlıoğlu - Sosyal Medya ve Siber RisklerBGA Cyber Security
 
Siber Güvenlik Tatbikatı
Siber Güvenlik TatbikatıSiber Güvenlik Tatbikatı
Siber Güvenlik TatbikatıAlper Başaran
 
Rusya kaynaklı siber saldırılar
Rusya kaynaklı siber saldırılarRusya kaynaklı siber saldırılar
Rusya kaynaklı siber saldırılarAlper Başaran
 
Finding Bugs FASTER with Fuzzing
Finding Bugs FASTER with FuzzingFinding Bugs FASTER with Fuzzing
Finding Bugs FASTER with FuzzingAlper Başaran
 

Contenu connexe

En vedette

QR Code'lardaki Tehlike
QR Code'lardaki TehlikeQR Code'lardaki Tehlike
QR Code'lardaki TehlikeAlper Başaran
 
Kritik Altyapılarda Siber Güvenlik
Kritik Altyapılarda Siber GüvenlikKritik Altyapılarda Siber Güvenlik
Kritik Altyapılarda Siber GüvenlikAlper Başaran
 
İnternet'te Güvenli Alışveriş için Öneriler
İnternet'te Güvenli Alışveriş için Önerilerİnternet'te Güvenli Alışveriş için Öneriler
İnternet'te Güvenli Alışveriş için ÖnerilerAlper Başaran
 
Farklı Ortamlarda Büyük Veri Kavramı -Big Data by Sybase
Farklı Ortamlarda Büyük Veri Kavramı -Big Data by Sybase Farklı Ortamlarda Büyük Veri Kavramı -Big Data by Sybase
Farklı Ortamlarda Büyük Veri Kavramı -Big Data by Sybase Sybase Türkiye
 
Apache Spark ile Twitter’ı izlemek
Apache Spark ile Twitter’ı izlemekApache Spark ile Twitter’ı izlemek
Apache Spark ile Twitter’ı izlemekMehmet Uluer, MSc.
 
Büyük Veriyle Büyük Resmi Görmek
Büyük Veriyle Büyük Resmi GörmekBüyük Veriyle Büyük Resmi Görmek
Büyük Veriyle Büyük Resmi Görmekideaport
 
BUYUK VERI ILE RISK YONETIMI
BUYUK VERI ILE RISK YONETIMIBUYUK VERI ILE RISK YONETIMI
BUYUK VERI ILE RISK YONETIMIKutlu MERİH
 
MEF Üniversitesi - IoT & Data Dersi
MEF Üniversitesi - IoT & Data DersiMEF Üniversitesi - IoT & Data Dersi
MEF Üniversitesi - IoT & Data Dersiİbrahim KIVANÇ
 
Hadoop,Pig,Hive ve Oozie ile Büyük Veri Analizi
Hadoop,Pig,Hive ve Oozie ile Büyük Veri AnaliziHadoop,Pig,Hive ve Oozie ile Büyük Veri Analizi
Hadoop,Pig,Hive ve Oozie ile Büyük Veri AnaliziSerkan Sakınmaz
 
Büyük Veri, Hadoop Ekosistemi ve Veri Bilimi
Büyük Veri, Hadoop Ekosistemi ve Veri BilimiBüyük Veri, Hadoop Ekosistemi ve Veri Bilimi
Büyük Veri, Hadoop Ekosistemi ve Veri BilimiAnkara Big Data Meetup
 
Büyük veri(bigdata)
Büyük veri(bigdata)Büyük veri(bigdata)
Büyük veri(bigdata)Hülya Soylu
 
Büyük Veri ve Risk Yönetimi
Büyük Veri ve Risk YönetimiBüyük Veri ve Risk Yönetimi
Büyük Veri ve Risk YönetimiFatma ÇINAR
 
Big Data (Büyük Veri) Nedir?
Big Data (Büyük Veri) Nedir?Big Data (Büyük Veri) Nedir?
Big Data (Büyük Veri) Nedir?Renerald
 
Yapay Zeka, Deep Learning and Machine Learning
Yapay Zeka, Deep Learning and Machine LearningYapay Zeka, Deep Learning and Machine Learning
Yapay Zeka, Deep Learning and Machine LearningAlper Nebi Kanlı
 
Siber Olaylara Müdahale ve Hukuki Boyutları
Siber Olaylara Müdahale ve Hukuki BoyutlarıSiber Olaylara Müdahale ve Hukuki Boyutları
Siber Olaylara Müdahale ve Hukuki BoyutlarıAlper Başaran
 
İstSec'14 - Hamza Şamlıoğlu - Sosyal Medya ve Siber Riskler
İstSec'14 - Hamza Şamlıoğlu - Sosyal Medya ve Siber RisklerİstSec'14 - Hamza Şamlıoğlu - Sosyal Medya ve Siber Riskler
İstSec'14 - Hamza Şamlıoğlu - Sosyal Medya ve Siber RisklerBGA Cyber Security
 

En vedette (19)

APT Saldırıları
APT SaldırılarıAPT Saldırıları
APT Saldırıları
 
QR Code'lardaki Tehlike
QR Code'lardaki TehlikeQR Code'lardaki Tehlike
QR Code'lardaki Tehlike
 
Kritik Altyapılarda Siber Güvenlik
Kritik Altyapılarda Siber GüvenlikKritik Altyapılarda Siber Güvenlik
Kritik Altyapılarda Siber Güvenlik
 
İnternet'te Güvenli Alışveriş için Öneriler
İnternet'te Güvenli Alışveriş için Önerilerİnternet'te Güvenli Alışveriş için Öneriler
İnternet'te Güvenli Alışveriş için Öneriler
 
Farklı Ortamlarda Büyük Veri Kavramı -Big Data by Sybase
Farklı Ortamlarda Büyük Veri Kavramı -Big Data by Sybase Farklı Ortamlarda Büyük Veri Kavramı -Big Data by Sybase
Farklı Ortamlarda Büyük Veri Kavramı -Big Data by Sybase
 
Apache Spark ile Twitter’ı izlemek
Apache Spark ile Twitter’ı izlemekApache Spark ile Twitter’ı izlemek
Apache Spark ile Twitter’ı izlemek
 
Büyük Veriyle Büyük Resmi Görmek
Büyük Veriyle Büyük Resmi GörmekBüyük Veriyle Büyük Resmi Görmek
Büyük Veriyle Büyük Resmi Görmek
 
BUYUK VERI ILE RISK YONETIMI
BUYUK VERI ILE RISK YONETIMIBUYUK VERI ILE RISK YONETIMI
BUYUK VERI ILE RISK YONETIMI
 
Bulutta Büyük Veri Yönetimi
Bulutta Büyük Veri YönetimiBulutta Büyük Veri Yönetimi
Bulutta Büyük Veri Yönetimi
 
MEF Üniversitesi - IoT & Data Dersi
MEF Üniversitesi - IoT & Data DersiMEF Üniversitesi - IoT & Data Dersi
MEF Üniversitesi - IoT & Data Dersi
 
Hadoop,Pig,Hive ve Oozie ile Büyük Veri Analizi
Hadoop,Pig,Hive ve Oozie ile Büyük Veri AnaliziHadoop,Pig,Hive ve Oozie ile Büyük Veri Analizi
Hadoop,Pig,Hive ve Oozie ile Büyük Veri Analizi
 
Büyük Veri, Hadoop Ekosistemi ve Veri Bilimi
Büyük Veri, Hadoop Ekosistemi ve Veri BilimiBüyük Veri, Hadoop Ekosistemi ve Veri Bilimi
Büyük Veri, Hadoop Ekosistemi ve Veri Bilimi
 
Büyük veri(bigdata)
Büyük veri(bigdata)Büyük veri(bigdata)
Büyük veri(bigdata)
 
Büyük Veri ve Risk Yönetimi
Büyük Veri ve Risk YönetimiBüyük Veri ve Risk Yönetimi
Büyük Veri ve Risk Yönetimi
 
Big Data (Büyük Veri) Nedir?
Big Data (Büyük Veri) Nedir?Big Data (Büyük Veri) Nedir?
Big Data (Büyük Veri) Nedir?
 
Yapay Zeka, Deep Learning and Machine Learning
Yapay Zeka, Deep Learning and Machine LearningYapay Zeka, Deep Learning and Machine Learning
Yapay Zeka, Deep Learning and Machine Learning
 
Siber Olaylara Müdahale ve Hukuki Boyutları
Siber Olaylara Müdahale ve Hukuki BoyutlarıSiber Olaylara Müdahale ve Hukuki Boyutları
Siber Olaylara Müdahale ve Hukuki Boyutları
 
IOT Güvenliği
IOT GüvenliğiIOT Güvenliği
IOT Güvenliği
 
İstSec'14 - Hamza Şamlıoğlu - Sosyal Medya ve Siber Riskler
İstSec'14 - Hamza Şamlıoğlu - Sosyal Medya ve Siber RisklerİstSec'14 - Hamza Şamlıoğlu - Sosyal Medya ve Siber Riskler
İstSec'14 - Hamza Şamlıoğlu - Sosyal Medya ve Siber Riskler
 

Plus de Alper Başaran

Siber Güvenlik Tatbikatı
Siber Güvenlik TatbikatıSiber Güvenlik Tatbikatı
Siber Güvenlik TatbikatıAlper Başaran
 
Rusya kaynaklı siber saldırılar
Rusya kaynaklı siber saldırılarRusya kaynaklı siber saldırılar
Rusya kaynaklı siber saldırılarAlper Başaran
 
Finding Bugs FASTER with Fuzzing
Finding Bugs FASTER with FuzzingFinding Bugs FASTER with Fuzzing
Finding Bugs FASTER with FuzzingAlper Başaran
 
Zararlı Yazılım Analizi (ÖZET)
Zararlı Yazılım Analizi (ÖZET)Zararlı Yazılım Analizi (ÖZET)
Zararlı Yazılım Analizi (ÖZET)Alper Başaran
 
Belediyeler için Siber Güvenlik Önerileri
Belediyeler için Siber Güvenlik ÖnerileriBelediyeler için Siber Güvenlik Önerileri
Belediyeler için Siber Güvenlik ÖnerileriAlper Başaran
 
Microsoft Windows İşletim Sistemi Sıkılaştırma
Microsoft Windows İşletim Sistemi SıkılaştırmaMicrosoft Windows İşletim Sistemi Sıkılaştırma
Microsoft Windows İşletim Sistemi SıkılaştırmaAlper Başaran
 
Windows işletim sistemi sıkılaştırma
Windows işletim sistemi sıkılaştırmaWindows işletim sistemi sıkılaştırma
Windows işletim sistemi sıkılaştırmaAlper Başaran
 
Sparta 2019 siber tehdit beklentileri
Sparta 2019 siber tehdit beklentileriSparta 2019 siber tehdit beklentileri
Sparta 2019 siber tehdit beklentileriAlper Başaran
 
Tedarikci siber risk_giris
Tedarikci siber risk_girisTedarikci siber risk_giris
Tedarikci siber risk_girisAlper Başaran
 
KamuNet'e dahil olmak için asgari güvenlik gereksinimleri
KamuNet'e dahil olmak için asgari güvenlik gereksinimleriKamuNet'e dahil olmak için asgari güvenlik gereksinimleri
KamuNet'e dahil olmak için asgari güvenlik gereksinimleriAlper Başaran
 
WannaCry - NotPetya Olayları
WannaCry - NotPetya OlaylarıWannaCry - NotPetya Olayları
WannaCry - NotPetya OlaylarıAlper Başaran
 
Siber Olay Müdahale Kontrol Listesi
Siber Olay Müdahale Kontrol ListesiSiber Olay Müdahale Kontrol Listesi
Siber Olay Müdahale Kontrol ListesiAlper Başaran
 

Plus de Alper Başaran (14)

Siber Güvenlik Tatbikatı
Siber Güvenlik TatbikatıSiber Güvenlik Tatbikatı
Siber Güvenlik Tatbikatı
 
Rusya kaynaklı siber saldırılar
Rusya kaynaklı siber saldırılarRusya kaynaklı siber saldırılar
Rusya kaynaklı siber saldırılar
 
Finding Bugs FASTER with Fuzzing
Finding Bugs FASTER with FuzzingFinding Bugs FASTER with Fuzzing
Finding Bugs FASTER with Fuzzing
 
OWASP ZAP
OWASP ZAPOWASP ZAP
OWASP ZAP
 
Olay Mudahale ve EDR
Olay Mudahale ve EDROlay Mudahale ve EDR
Olay Mudahale ve EDR
 
Zararlı Yazılım Analizi (ÖZET)
Zararlı Yazılım Analizi (ÖZET)Zararlı Yazılım Analizi (ÖZET)
Zararlı Yazılım Analizi (ÖZET)
 
Belediyeler için Siber Güvenlik Önerileri
Belediyeler için Siber Güvenlik ÖnerileriBelediyeler için Siber Güvenlik Önerileri
Belediyeler için Siber Güvenlik Önerileri
 
Microsoft Windows İşletim Sistemi Sıkılaştırma
Microsoft Windows İşletim Sistemi SıkılaştırmaMicrosoft Windows İşletim Sistemi Sıkılaştırma
Microsoft Windows İşletim Sistemi Sıkılaştırma
 
Windows işletim sistemi sıkılaştırma
Windows işletim sistemi sıkılaştırmaWindows işletim sistemi sıkılaştırma
Windows işletim sistemi sıkılaştırma
 
Sparta 2019 siber tehdit beklentileri
Sparta 2019 siber tehdit beklentileriSparta 2019 siber tehdit beklentileri
Sparta 2019 siber tehdit beklentileri
 
Tedarikci siber risk_giris
Tedarikci siber risk_girisTedarikci siber risk_giris
Tedarikci siber risk_giris
 
KamuNet'e dahil olmak için asgari güvenlik gereksinimleri
KamuNet'e dahil olmak için asgari güvenlik gereksinimleriKamuNet'e dahil olmak için asgari güvenlik gereksinimleri
KamuNet'e dahil olmak için asgari güvenlik gereksinimleri
 
WannaCry - NotPetya Olayları
WannaCry - NotPetya OlaylarıWannaCry - NotPetya Olayları
WannaCry - NotPetya Olayları
 
Siber Olay Müdahale Kontrol Listesi
Siber Olay Müdahale Kontrol ListesiSiber Olay Müdahale Kontrol Listesi
Siber Olay Müdahale Kontrol Listesi
 

Pentest almak

  • 2. Kurum Pentest Alacak Kurum Kötü Adam Pentest Ekibibasaranalper@gmail.com www.alperbasaran.com
  • 3. Kısaca Kendini ‘dan korumak için ‘den hizmet alıyor. basaranalper@gmail.com www.alperbasaran.com
  • 5. Aslında = değil • Sızma testi yapan ekip gerçekten kötü niyetli değil, • Kurumla işbirliği içinde, • Kuruma zarar vermeye çalışmıyor, • Kötü adamlara göre motivasyonları düşük, • Kötü adamlara göre tecrübesi az, • Kötü adamlara göre bu işe ayırdığı zaman az, • Hedefi yok basaranalper@gmail.com www.alperbasaran.com
  • 6. Ama Biz Konuştuk? Gibi Yapın Tamam! basaranalper@gmail.com www.alperbasaran.com
  • 7. Konuşurken… • Zaman kısıtlaması koydunuz • Dokunulmaması gereken sistemleri belirttiniz • “192.168.1.23’teki SQL test için kuruldu, ondaki zafiyetleri biliyoruz” gibi noktaları konuştunuz ama… • Senaryo belirlemediniz • Hedef belirlemediniz basaranalper@gmail.com www.alperbasaran.com
  • 8. Sonuçta Yapılan İş… • Sızma testi değil, bulunan zafiyetlerin istismar edilmesi oldu, • Gerçek risklere karşı fazla bilgi sahibi olmadınız, • Kurum çalışanlarının istemeden ve isteyerek oluşturabileceği riskleri belirleyemediniz, • Kısaca: Nessus ve Metasploit ile neler yapılabildiğini gördünüz. basaranalper@gmail.com www.alperbasaran.com
  • 9. Pentest Nedir? • Söylenen onca şeyin aksine pentest iş risklerinin ölçülmesine yönelik bir çalışmadır. • Riskler sadece ağ ve sistemlerde bulunan açıklardan ibaret değildir. • Gerçek kötü adamlar için kapsam yoktur. • Oysa sizin aldığınız hizmet: “teknik bir pentest” oluyor… basaranalper@gmail.com www.alperbasaran.com
  • 10. Teknik Bir Pentest Nasıl Yapılır? • IP’ler öğrenilir • Nessus çalıştırılır • Bulunan açıkları Metasploit ile istismar edilir • Rapor yazılır • Sosyal mühendislik isteniyorsa son 2 yıldır kullandığın maili bunlara da yollanır • DDoS, Wlan, kaynak kod analizi isteniyorsa uzman birini bul ona yaptırılır basaranalper@gmail.com www.alperbasaran.com
  • 11. Oysa Siz… Gerçekten ne kadar risk altında olduğunuzu gösterecek bir rapor ve sizi daha güvenli yapacak öneriler hayal etmiştiniz basaranalper@gmail.com www.alperbasaran.com ???
  • 13. Peki Ne Yapmalı? • Öncelikle pentest hedefi belirlenmeli (hangi saldırgan simüle edilecek?) – İç kaynaklara/verilere ulaşmaya çalışan biri? – İşlem bilgilerine erişmeye çalışan bir meraklı? – Kullanıcı hesaplarını ele geçirmeye çalışan biri? – Ağ trafiğini dinlemek isteyen biri? – Para çalmaya çalışan biri? – Yönetici epostalarını okumaya çalışan biri? basaranalper@gmail.com www.alperbasaran.com
  • 14. Her Şey Serbest Mi Olacak? • Tabii ki hayır! • Ancak unutmayın: • Konulacak sınırlar sadece yapılacak testlerden doğan ve kurum işleyişini tehlikeye atacak riskleri azaltmaya yönelik olmalıdır • Beğenmediğiniz/utandığınız bir sistemi kapsam dışına almak bir ölçüde kendinizi kandırmak olarak değerlendirilebilir basaranalper@gmail.com www.alperbasaran.com
  • 15. Pentest Konusunda Önemli Bazı Kriterler: Metodoloji • Sızma testi için gelen firmanın web sayfasında veya kuşe kağıda basılmış broşüründe gördüğünüz metodoloji önemli. • Belirli bir yöntem izlenmeden yapılan test başarılı olabilir ama bir şeyler eksik kalabilir • Test sırasında izlenecek yöntem mutlaka irdelenmeli basaranalper@gmail.com www.alperbasaran.com
  • 16. Pentest Konusunda Önemli Bazı Kriterler: Rapor • İtiraf: Rapor yamaktan nefret ederiz • Hayatın gerçeği: Sızma testi sonucunda elinizdeki tek “elle tutulur” çıktı o rapordur • Dolayısıyla: Raporun nasıl yazılacağı ve sunulacağı detaylı olarak belirlenmeli basaranalper@gmail.com www.alperbasaran.com
  • 17. Pentest Konusunda Önemli Bazı Kriterler: Testi Yapan • Şirketler pentest yapamaz, insanlar pentest yapar. • Pentest öğrenilebilecek bir iştir. • Biraz meraklı ve Google kullanabilen herkes pentest yapabilir. • Peki iyi ile kötüyü nasıl ayırt edeceğiz? basaranalper@gmail.com www.alperbasaran.com
  • 18. Pentest Konusunda Önemli Bazı Kriterler: Testi Yapanların Piramidi Araç Kullanan ve bu işi günlük olarak yapanlar Mesai saatleri dışında zaman ayıran / kitap okuyan Veriyi kullanılabilir bilgiye dönüştüren ve rapor yazabilenler Standart İyi En İyi basaranalper@gmail.com www.alperbasaran.com
  • 19. Pentest Konusunda Önemli Bazı Kriterler: Testi Yapanları Ayırt etmek • Sohbet edin: İşinize talip olan şirketin satışçısı veya sahibi ile değil. İşi gerçekten yapacak kişi ile sohbet edin. • Kurumsal ağlar birbirinden farklı olduğu için tecrübe kesin bir ölçüt olmayabilir. • Yine de: SAP, VoIP gibi sistemlerin olduğu özel durumlarda tecrübe önemlidir. basaranalper@gmail.com www.alperbasaran.com
  • 20. Başarılı Bir Pentest Süreci İçin • Mümkün olduğu kadar gerçekçi bir test süreci yaratın • Test sürecinin detaylarını öğrenin • Test aşamalarının gerçek hayattaki karşılığına bakın (gerçekte birisi iç ağa laptopunu bağlayıp zafiyet taraması yapar mı?) • Gerçek istediğinizin zafiyet taraması olmadığından emin olun (birisi iç ağa laptopuyla bağlanıp zafiyet taraması mı yapsın?) basaranalper@gmail.com www.alperbasaran.com
  • 21. Son olarak… • İyi firmalarla çalışın • Çıkarlarınızı gözeten bir firma ile çalışın • Verilecek raporun içeriği, yazılma biçimi ve sunulma biçimini belirleyin • Sızma testi yaptırmayı ihmal etmeyin basaranalper@gmail.com www.alperbasaran.com
  • 22. Soru/Görüş/Öneri/Eleştiri için: basaranalper@gmail.com Grafikler: Alper Başaran basaranalper@gmail.com www.alperbasaran.com