5. Aslında = değil
• Sızma testi yapan ekip gerçekten kötü niyetli
değil,
• Kurumla işbirliği içinde,
• Kuruma zarar vermeye çalışmıyor,
• Kötü adamlara göre motivasyonları düşük,
• Kötü adamlara göre tecrübesi az,
• Kötü adamlara göre bu işe ayırdığı zaman az,
• Hedefi yok
basaranalper@gmail.com
www.alperbasaran.com
7. Konuşurken…
• Zaman kısıtlaması koydunuz
• Dokunulmaması gereken sistemleri belirttiniz
• “192.168.1.23’teki SQL test için
kuruldu, ondaki zafiyetleri biliyoruz” gibi
noktaları konuştunuz ama…
• Senaryo belirlemediniz
• Hedef belirlemediniz
basaranalper@gmail.com
www.alperbasaran.com
8. Sonuçta Yapılan İş…
• Sızma testi değil, bulunan zafiyetlerin istismar
edilmesi oldu,
• Gerçek risklere karşı fazla bilgi sahibi
olmadınız,
• Kurum çalışanlarının istemeden ve isteyerek
oluşturabileceği riskleri belirleyemediniz,
• Kısaca: Nessus ve Metasploit ile neler
yapılabildiğini gördünüz.
basaranalper@gmail.com
www.alperbasaran.com
9. Pentest Nedir?
• Söylenen onca şeyin aksine pentest iş
risklerinin ölçülmesine yönelik bir çalışmadır.
• Riskler sadece ağ ve sistemlerde bulunan
açıklardan ibaret değildir.
• Gerçek kötü adamlar için kapsam yoktur.
• Oysa sizin aldığınız hizmet: “teknik bir
pentest” oluyor…
basaranalper@gmail.com
www.alperbasaran.com
10. Teknik Bir Pentest Nasıl Yapılır?
• IP’ler öğrenilir
• Nessus çalıştırılır
• Bulunan açıkları Metasploit ile istismar edilir
• Rapor yazılır
• Sosyal mühendislik isteniyorsa son 2 yıldır
kullandığın maili bunlara da yollanır
• DDoS, Wlan, kaynak kod analizi isteniyorsa
uzman birini bul ona yaptırılır
basaranalper@gmail.com
www.alperbasaran.com
11. Oysa Siz…
Gerçekten ne kadar risk altında
olduğunuzu gösterecek bir rapor ve
sizi daha güvenli yapacak öneriler
hayal etmiştiniz
basaranalper@gmail.com
www.alperbasaran.com
???
13. Peki Ne Yapmalı?
• Öncelikle pentest hedefi belirlenmeli (hangi
saldırgan simüle edilecek?)
– İç kaynaklara/verilere ulaşmaya çalışan biri?
– İşlem bilgilerine erişmeye çalışan bir meraklı?
– Kullanıcı hesaplarını ele geçirmeye çalışan biri?
– Ağ trafiğini dinlemek isteyen biri?
– Para çalmaya çalışan biri?
– Yönetici epostalarını okumaya çalışan biri?
basaranalper@gmail.com
www.alperbasaran.com
14. Her Şey Serbest Mi Olacak?
• Tabii ki hayır!
• Ancak unutmayın:
• Konulacak sınırlar sadece yapılacak testlerden
doğan ve kurum işleyişini tehlikeye atacak
riskleri azaltmaya yönelik olmalıdır
• Beğenmediğiniz/utandığınız bir sistemi
kapsam dışına almak bir ölçüde kendinizi
kandırmak olarak değerlendirilebilir
basaranalper@gmail.com
www.alperbasaran.com
15. Pentest Konusunda Önemli Bazı
Kriterler: Metodoloji
• Sızma testi için gelen firmanın web sayfasında
veya kuşe kağıda basılmış broşüründe
gördüğünüz metodoloji önemli.
• Belirli bir yöntem izlenmeden yapılan test
başarılı olabilir ama bir şeyler eksik kalabilir
• Test sırasında izlenecek yöntem mutlaka
irdelenmeli
basaranalper@gmail.com
www.alperbasaran.com
16. Pentest Konusunda Önemli Bazı
Kriterler: Rapor
• İtiraf: Rapor yamaktan nefret ederiz
• Hayatın gerçeği: Sızma testi sonucunda
elinizdeki tek “elle tutulur” çıktı o rapordur
• Dolayısıyla: Raporun nasıl yazılacağı ve
sunulacağı detaylı olarak belirlenmeli
basaranalper@gmail.com
www.alperbasaran.com
17. Pentest Konusunda Önemli Bazı
Kriterler: Testi Yapan
• Şirketler pentest yapamaz, insanlar pentest
yapar.
• Pentest öğrenilebilecek bir iştir.
• Biraz meraklı ve Google kullanabilen herkes
pentest yapabilir.
• Peki iyi ile kötüyü nasıl ayırt edeceğiz?
basaranalper@gmail.com
www.alperbasaran.com
18. Pentest Konusunda Önemli Bazı
Kriterler: Testi Yapanların Piramidi
Araç Kullanan ve bu işi günlük olarak yapanlar
Mesai saatleri dışında zaman ayıran / kitap okuyan
Veriyi kullanılabilir bilgiye dönüştüren ve rapor yazabilenler
Standart
İyi
En İyi
basaranalper@gmail.com
www.alperbasaran.com
19. Pentest Konusunda Önemli Bazı
Kriterler: Testi Yapanları Ayırt etmek
• Sohbet edin: İşinize talip olan şirketin satışçısı
veya sahibi ile değil. İşi gerçekten yapacak kişi
ile sohbet edin.
• Kurumsal ağlar birbirinden farklı olduğu için
tecrübe kesin bir ölçüt olmayabilir.
• Yine de: SAP, VoIP gibi sistemlerin olduğu özel
durumlarda tecrübe önemlidir.
basaranalper@gmail.com
www.alperbasaran.com
20. Başarılı Bir Pentest Süreci İçin
• Mümkün olduğu kadar gerçekçi bir test süreci
yaratın
• Test sürecinin detaylarını öğrenin
• Test aşamalarının gerçek hayattaki karşılığına
bakın (gerçekte birisi iç ağa laptopunu bağlayıp
zafiyet taraması yapar mı?)
• Gerçek istediğinizin zafiyet taraması
olmadığından emin olun (birisi iç ağa laptopuyla
bağlanıp zafiyet taraması mı yapsın?)
basaranalper@gmail.com
www.alperbasaran.com
21. Son olarak…
• İyi firmalarla çalışın
• Çıkarlarınızı gözeten bir firma ile çalışın
• Verilecek raporun içeriği, yazılma biçimi ve
sunulma biçimini belirleyin
• Sızma testi yaptırmayı ihmal etmeyin
basaranalper@gmail.com
www.alperbasaran.com