Upload
ferhat-ozgur-catak-phd
View
4.355
Download
2
Embed Size (px)
Citation preview
GirisBGM 553 - Sızma Testleri ve Guvenlik Denetlemeleri-I
Bilgi Guvenligi MuhendisligiYuksek Lisans Programı
Dr. Ferhat Ozgur [email protected]
Istanbul Sehir Universitesi2016 - Guz
Dr. Ferhat Ozgur Catak [email protected] Giris Istanbul Sehir Universitesi 2016 - Guz 1 / 27
Icindekiler
1 Temel KavramlarPenetrasyon Testi (Pentest)StandartlarZafiyet TaramasıSızma Testi YaklasımlarıSaldırı TurleriTerminoloji
2 PenTest PlanlamasıPlanlamaAmacKapsam
GereksinimlerSınırlamalar
3 MetodolojiGirisKesifTaramaErisim KazanmaSistemde Kalıcı Olma
4 Diger KonularKullanılan AraclarKali LinuxRaporlama
Dr. Ferhat Ozgur Catak [email protected] Giris Istanbul Sehir Universitesi 2016 - Guz 2 / 27
Icindekiler
1 Temel KavramlarPenetrasyon Testi (Pentest)StandartlarZafiyet TaramasıSızma Testi YaklasımlarıSaldırı TurleriTerminoloji
2 PenTest PlanlamasıPlanlamaAmacKapsam
GereksinimlerSınırlamalar
3 MetodolojiGirisKesifTaramaErisim KazanmaSistemde Kalıcı Olma
4 Diger KonularKullanılan AraclarKali LinuxRaporlama
Dr. Ferhat Ozgur Catak [email protected] Giris Istanbul Sehir Universitesi 2016 - Guz 3 / 27
Penetrasyon Testi (Pentest) ITanım
I Sızma Testi: Bilgisayarsistemlerinin daha guvenli halegetirilmesi icin bilgisayarlardabulunan acıklık ve zafiyetlerkullanılarak yapılan yasal veyetkili erisimdir.
I Diger isimlendirmelerI Penetrasyon testiI HackingI Ethical hackingI Offensive security
I Kurumlara sistemlerini daha guvenli hale getirmelerini saglamak
Dr. Ferhat Ozgur Catak [email protected] Giris Istanbul Sehir Universitesi 2016 - Guz 4 / 27
Penetrasyon Testi (Pentest) IITanım
I Yetkili olarakyapanlara
I White hatI Ethical hackerI Penetration tester
I Yetkisiz olanlaraI Black hatsI CrackersI Malicious attackers
Benzerlik/Fark
I Ethical hacker, malicious attacker ’ların kullandıgı aynı aktiviteleri ve benzeraracları kullanmaktadır.
I White hat, black hat farkı: Yetki. Herhangi bir test/saldırı yapılmadan onceonay alınması.
Dr. Ferhat Ozgur Catak [email protected] Giris Istanbul Sehir Universitesi 2016 - Guz 5 / 27
Standartlar
I NDA (Non Disclosure Agreement)I Gizlilik sozlesmesi : Kurulus
hassas bilgilerinin korunması
I PCI DSS (Payment Card Industry -Data Security Standart)
I
https://www.pcisecuritystandards.org/documents/Penetration Testing Guidance March 2015.pdf
I PTES (Penetration TestingExecution Standard)
I http://www.pentest-standard.org/
I NIST SP800-115I Technical Guide to Information Security Testing and Assesment
I FedRAMP (Federal Risk and Authorization Management Program)I FedRAMP Penetration Test Guidance 1.0.1
I OSSTMM v3
I OWASP (Open Web Application Security Project) Testing Guide
Dr. Ferhat Ozgur Catak [email protected] Giris Istanbul Sehir Universitesi 2016 - Guz 6 / 27
Zafiyet Taraması (Vulnerability Assesment) ve Sızma Testi
I Zafiyet Taraması : Guvenlik acıklıklarının belirlenmesi. Zafiyetlerinbelirlenmesi, sayısallastırılma, onceliklendirme.
I Ortaya cıkan sonuclar sadece uyarı: Ornek: https kullanılması gereken biryerde http kullanılması zafiyet taramasında bulgudur. Fakat sistemde birgereklilik olabilir.
I Adımlar:I Sistem yer alan varlıkları ve kaynakları tanımla.I Kaynaklara onemlerine gore sayısal deger ata.I Her bir kaynak icin guvenlik zafiyetlerini ve potansiyel tehditleri belirle.I En degerli kaynaklar icin en onemli zafiyetleri kaldır.
I Sızma Testi :I Sızma gerceklestirilip, istismar (exploitation) yapılır.I Kavram ispatı (Proof of concept PoC) gerceklestirilir.
Dr. Ferhat Ozgur Catak [email protected] Giris Istanbul Sehir Universitesi 2016 - Guz 7 / 27
Sızma Testi Yaklasımları
I Black-Box: Test edilen sistem ve agaltyapısı hakkında herhangi bir bilgiolmaksızın dısarıdan yapılan guvenlikdegerlendirmesi ve test islemidir.
I Avantajı: Gercek saldırganmetodlarını kullanarak sonuca ulasılır.
I Dezavantajı: Zaman ve test maliyeti
I Gray-Box: Ag icersisinde yer alankisilerin erisimlerinin artırılması testidir.Amac, calısanların veya yuklenicilerinyetkilerini erisim yetkileriniartırabildiginin test edilmesi.
I White-Box: Sistem yoneticisinin sahipoldugu bilgilere sahip olarak yapılanguvenlik degerlendirmesi ve testi.
I Avantajı: On bilgi toplama asamasınıgecip direk saldırı asamasına gecilir.Maliyet ve zaman olarak dusuk.
Dr. Ferhat Ozgur Catak [email protected] Giris Istanbul Sehir Universitesi 2016 - Guz 8 / 27
Saldırı Turleri
I Birinci yaklasımI Aktif saldırı (Active attacks): Sistem veya ag uzerinde degisiklik yapmak icin
yapılan saldırılar. CIA (Confidentiality, Integrity, Availability) saldırıları.I Pasif saldırı (Passive attacks): Gizlilik ihlalleri. Hassas verinin ifsa olması.
I Ikinci yaklasımI Ic saldırılar (Inside attacks): Organizasyonun guvenlik semsiyesinin icinde yer
alan kullanıcılar (calısanlar)I Dıs saldırılar (Outside attacks): Internet veya uzaktan erisim gibi kurum dısı
saldırılar.
Dr. Ferhat Ozgur Catak [email protected] Giris Istanbul Sehir Universitesi 2016 - Guz 9 / 27
Terminoloji
I Tehdit (Threat): Guvenlikihlaline yol acabilecek potansiyeldurum veya ortam.
I Istismar (Exploit): Birbilgisayar sisteminde bug veyazafiyet kullanarak yetkisizerisim, yetki yukseltme, hizmetengelleme (denial of service)yapan yazılım.
I Zafiyet/Guvenlik Acıgı(Vulnerability): Sisteme hatayaptırabilecek veya istenmeyenbir davranısda bulunmasınısaglayacak, yazılım uzerindebulunan mantıksal tasarım veyagerceklestirim hatası.
I Saldırı (Attack): Gizliligi ifsaedilmis olan bir acık kullanılarakyapılır. Bir cok saldırı exploitkullanılarak yapılmaktadır.
I Bilgisayar sistemine exploityerlestirme
I Uzak (Remote): Zafiyeticeren sisteme guvenlikacıklıklarını kullanarakuzaktan erisimle.
I Yerel (Local): Erisimhaklarıyla zafiyet icerensisteme direk erisimle
Dr. Ferhat Ozgur Catak [email protected] Giris Istanbul Sehir Universitesi 2016 - Guz 10 / 27
Icindekiler
1 Temel KavramlarPenetrasyon Testi (Pentest)StandartlarZafiyet TaramasıSızma Testi YaklasımlarıSaldırı TurleriTerminoloji
2 PenTest PlanlamasıPlanlamaAmacKapsam
GereksinimlerSınırlamalar
3 MetodolojiGirisKesifTaramaErisim KazanmaSistemde Kalıcı Olma
4 Diger KonularKullanılan AraclarKali LinuxRaporlama
Dr. Ferhat Ozgur Catak [email protected] Giris Istanbul Sehir Universitesi 2016 - Guz 11 / 27
PenTest Planlaması
AsamalarI Amac
I Kapsam
I Gereksinimler
I Sınırlamalar
Dr. Ferhat Ozgur Catak [email protected] Giris Istanbul Sehir Universitesi 2016 - Guz 12 / 27
Amac
I Hedef Belirleme :I Kurulusta yer alan butun paydaslar
hedeflerin belirlenmesinde yeralmalıdır.
I Veri kumelerinin kritiklik seviyesininbelirlenmesi
I Korunması en onemli kaynaklaraodaklanılmasının saglanması
I Uyum Gereksinimleri(ComplianceRequirements)
Dr. Ferhat Ozgur Catak [email protected] Giris Istanbul Sehir Universitesi 2016 - Guz 13 / 27
Kapsam
I Etki Alanı
I Sunucular
I Veritabanı
I Uygulamalar
I Sosyal Muhendislik
I DDoS
I Fiziksel Guvenlik
Dr. Ferhat Ozgur Catak [email protected] Giris Istanbul Sehir Universitesi 2016 - Guz 14 / 27
Gereksinimler
I Gerekli AraclarI Linux tabanlı bilgisayarI nmapI theharvester
I Yedekleme Yapılması Gerekenler
I Acil Onlem Planı
Dr. Ferhat Ozgur Catak [email protected] Giris Istanbul Sehir Universitesi 2016 - Guz 15 / 27
Sınırlamalar
I Kapsam
I Zaman
I Erisim (veritabanı, intranet)
I YontemI Ornek: Brute force yapılmasın
Dr. Ferhat Ozgur Catak [email protected] Giris Istanbul Sehir Universitesi 2016 - Guz 16 / 27
Icindekiler
1 Temel KavramlarPenetrasyon Testi (Pentest)StandartlarZafiyet TaramasıSızma Testi YaklasımlarıSaldırı TurleriTerminoloji
2 PenTest PlanlamasıPlanlamaAmacKapsam
GereksinimlerSınırlamalar
3 MetodolojiGirisKesifTaramaErisim KazanmaSistemde Kalıcı Olma
4 Diger KonularKullanılan AraclarKali LinuxRaporlama
Dr. Ferhat Ozgur Catak [email protected] Giris Istanbul Sehir Universitesi 2016 - Guz 17 / 27
Metodoloji
Sekil: Pentest metodoloji
I Literaturde farklı (3-7) asama mevcut(Reconnaissance, Scanning, GainingAccess, Maintaining Access, CoveringTracks)
I Sıralama onemli
I Son asama: ”hiding”, ”removingevidence”
I Ters ucgen: ilk asamanın cıktısı oldukcagenis. Asagıya dogru spesifik halegelmektedir. Ag taramasından eldeedilen sonuclar.
I IP adresi nedir? Hedef isletim sistemi?hangi servisler ve yazılımlar (versiyonbilgileri)?
Dr. Ferhat Ozgur Catak [email protected] Giris Istanbul Sehir Universitesi 2016 - Guz 18 / 27
Faz 1: Kesif (Reconnaissance)
I Kesif/Bilgi Toplama: En onemli asama. Ne kadar sure harcanırsa ilerleyenasamalar o kadar basarılı.
I Aktif Kesif: Hedefle ile direk etkilesim. Ag incelenerek sunucular, IP adreslerive servislerin kesfi. Farkedilme ihtimali yuksek. Bir cok yazılım aracı, aktif kesifyaparak bilgi toplamaktadır.
I Pasif Kesif: Direk olarak hedefle etkilesim yoktur. Hedefin yapılan isle ilgilibilgisi, kayıtları yoktur.
I Acık kaynakların taranması, kurulus hakkında cıkan haberler
I Amac: Hedef hakkında olabildigince cok bilgi toplanması.
I Elde edilen bilgi merkezi bir yerde elektronik ortam kayıt altına alınmalı.Kolay sıralama, arama, kopyalama, arastırma
I Ornek Araclar:I theharverster : e-mail toplamaI Google Direktifleri (Google-Fu):site:domain term(s) to search, allintitle:index
of, filetype:pdfI httrack: web site kopyalama aracı
Dr. Ferhat Ozgur Catak [email protected] Giris Istanbul Sehir Universitesi 2016 - Guz 19 / 27
Faz 2: Tarama
I Kesif asamasında elde edilen bilgilerinkullanılması
I Port tarayıcılarıI ICMP (Internet Control Message
Protocol) tarayıcılarıI ping sweep: Calısan sunucuların
bulunması (fping, nmap)
I Saldırı icin on bilgiler elde edilir.I Bilgisayar adlarıI Isletim SistemiI Kurulu yazılımlarI IP adresleriI Kullanıcı hesapları
Dr. Ferhat Ozgur Catak [email protected] Giris Istanbul Sehir Universitesi 2016 - Guz 20 / 27
Faz 3: Erisim Kazanma
I Sistem uzerinde kontrolun elde edilmesi.
I Sistem uzerinde yer alan zafiyetin gerceklestirilmesi.
I Sızma’nın gerceklestirildigi asama
I Buffer overflow, Denial of Servis (DoS), session hijacking, password cracking
I Isletim sistemi seviyesi, uygulama seviyesi veya ag seviyesinde erisimkazanılmıstır.
Dr. Ferhat Ozgur Catak [email protected] Giris Istanbul Sehir Universitesi 2016 - Guz 21 / 27
Faz 4: Sistemde Kalıcı Olma
I Tartısılması gereken bir konu
I Sistem uzerinde elde edilen sahipligin kalıcı hale gelmesi
I Sahip olunan sistem uzerinde yer alan yazılımların indirilmesi, manipuleedilmesi veya konfigurasyonun degistirilmesi
Dr. Ferhat Ozgur Catak [email protected] Giris Istanbul Sehir Universitesi 2016 - Guz 22 / 27
Icindekiler
1 Temel KavramlarPenetrasyon Testi (Pentest)StandartlarZafiyet TaramasıSızma Testi YaklasımlarıSaldırı TurleriTerminoloji
2 PenTest PlanlamasıPlanlamaAmacKapsam
GereksinimlerSınırlamalar
3 MetodolojiGirisKesifTaramaErisim KazanmaSistemde Kalıcı Olma
4 Diger KonularKullanılan AraclarKali LinuxRaporlama
Dr. Ferhat Ozgur Catak [email protected] Giris Istanbul Sehir Universitesi 2016 - Guz 23 / 27
Pentest Sırasında Kullanılan Araclar
I KesifI NmapI HpingI Scapy
I SnifferI Cain & AbelI TcpdumpI Wireshark
I Zafiyet TaramaI NessusI MetasploitI Immunity Canvas
I Brute ForceI HydraI John the RipperI Cain, Ophrack
I WebI BurpI AcunetixI Net sparker
Dr. Ferhat Ozgur Catak [email protected] Giris Istanbul Sehir Universitesi 2016 - Guz 24 / 27
Kali Linux
Sekil: Kali linux
I Debian tabanlı,sızma testi icintasarlanmısLinux dagıtımı
I OffensiveSecurity sirketitarafındanfonlanmaktadır.
I nmapI WiresharkI John the
Ripper
Dr. Ferhat Ozgur Catak [email protected] Giris Istanbul Sehir Universitesi 2016 - Guz 25 / 27
Raporlama
I Sızma testlerinin en onemli asaması: Raporlama
I Sızma testi yapılan kurum icin yapılan isin degerlendirmesi: Raporun kalitesi.
I Yonetici ozeti (executive summary), her bir raporda olmalıdır.I 1-2 sayfalık, basit ifadelerle, bulgularınızın teknik olmayan ifadelerle
ozetlenmesi
I KapsamI Sızma testinin yapıldıgı IP adresleri
I BulgularI Yetersiz kimlik dogrulama: Sayfa ...’, kullanıcı herhangi bir kullanıcı adı/sifre
login olabilmektedir.I Girdi filtremelemesi yetersiz: Formlarda javascript filtreleme yok
I TavsiyelerI SQL injection saldırılarına karsı stored procedure kullanımı.I VT uzerinde erisim kontroluI Gereksiz IIS modullerinin kapatılması
Dr. Ferhat Ozgur Catak [email protected] Giris Istanbul Sehir Universitesi 2016 - Guz 26 / 27
Ozet
Tesekkurler
Dr. Ferhat Ozgur Catak [email protected] Giris Istanbul Sehir Universitesi 2016 - Guz 27 / 27