Zafiyet Taraması ve Sızma Testi

Zafiyet taraması ve sızma testi arasındaki farkı anlatmak için geniş ve somut bir örnek bulmaya çalışıyordum. Threat kurucusu Marcus J. Carey bu örneği basit bir şekilde kurgulamış ve yorumlamış. Konuyu daha iyi açıklamak amacıyla bu örneği sizlerle paylaşmak istiyorum.

Ayşe ve Ali üniversite birinci sınıfta tanıştı ve mezun olduktan sonra evlenmeyi düşünüyorlardı. Her ne kadar delicesine sevse de Ali'yi, genel sağlık sorunları ve genetiksel sorunlar konusunda kaygılıydı Ayşe. Ali'ye bütün fiziksel testler ve kan testleri için ısrar ediyordu. Ali ne kadar dirense de tüm testlere gitti. Test sonuçlarında sıkıntı yoktu ikisi de turp gibiydi.

Bir gece dışarı çıktılar ve Ali önünü göremeyecek şekilde sarhoş olmuştu. Her ne kadar araba sürebilecek kadar iyi olduğunu söylese de Ayşe anahtarları alıp Ali'nin eve sağ salim vardığından emin oldu.

Ali'nin en iyi arkadaşı Mehmet efsane bir mezuniyet partisi yapmak istiyordu. Ayşe çekinse de Ali'nin partiye gitmesine izin verdi. Ali uslu duracağına söz vermişti.

Ali'nin arkadaşları hayatlarının en güzel partisinde eğleniyor ve birer birer şişelerin dibini görüyorlardı. Ali arkadaşlarının kızlarla konuştuğunu görünce ona bir süredir uzaktan bakan kızla konuşmaya karar verdi. Kızın adı Fatma'ydı. Fatma ile Ali iyi anlaştılar ve konuşmaları çok da uzamadan isterlerse odasına gidebileceklerini söyledi Fatma.

Ali'nin arkadaşları bu konuşmaya kulak misafiri oldular. Ali'yi Ayşe'ye verdiği sözü bozması için cesaretlendirdiler. Ne de olsa orada olan orada kalacaktı. Arkadaşlarının da baskısına boyun eğen Ali, Fatma'yla asansöre bindi.

Fatma'nın odasına girip ışığı yaktılar. Fatma makyajını tazelemek için banyoya girdi. Çıktığında ise Ali'ye büyük bir sürpriz oldu. Ayşe de oradaydı.

ZAFİYET TARAMASI

Zafiyet taraması, bu hikayede Ayşe'nin Ali'yle dışarı gittiğinde, Ali'nin alkol kullanımının onun davranışlarını ve kararlarını ne kadar etkilediğini görmeye çalışmasıdır.Bu hikayede Ali'nin alkol konusunda zafiyeti vardı.

Daha düşük seviyede zafiyet taraması Ayşe'nin Ali'yi sağlık testlerine götürmesidir. Sağlık testleri hastalıkları teşhis etme konusunda oldukça etkilidir. Bu teşhis ile durumu engellemek ya da hafifletmek için önleyici tedavi kullanılabilir. Benzer olarak, zafiyet testleri açıkları bulmada ve yama yönetiminde kullanışlıdır.

Zafiyet taramaları savunmanız hakkında derinlemesine sonuçlar veremese de belli sonuçları çıkarabilirsiniz. Genetik oranları tahmin etmeye benzer bir durumdur bu. Örneğin bende orak hücreli anemi özelliği var. Aynı zamanda eşim de orak hücreli anemi geni taşıyorsa çocuğumuzun %25 orak hücreli anemi hastalığı olması ihtimali vardır.

Eğer zafiyet taramasında ağdaki bir makinede yüksek seviyeli bir zafiyet varsa bu makinenin ulaşabildiği diğer makinelerdeki tehlike daha yüksektir.

Zafiyet taraması, yazılıma sahip herkes tarafında gerçekleştirilebilmesine rağmen, bu tarama sonucunda üretilen raporu yorumlamak ve rapor sonucunda yapılması gereken yamaları ve güvenlik güncellemelerini yönetmek için danışmanlık almak her zaman iyidir.

SIZMA TESTİ

Sızma testi, Ayşe'nin Fatma'yı kullanarak Ali'nin bağlılığını test etmesidir.

Burada Fatma'nın saldırgan simülasyonunu başarıyla tamamlamasına katkıda bulunan pek çok faktör vardı.

Sızma testi tam olarak saldırgan simülasyonu gibi olmalıdır. Sızma testi normalde zafiyet ve web uygulama taramalarını kapsar. Fark ise savunmacılar onları bulup durdurmak için, saldırganlar ise organizasyonu tehlikeye atmak için kullanır.

Güvendiğiniz birini kiralayın

Hikayemizde Ayşe, operasyon için Fatma'yı threat agent olarak kullandı. Doğru kişiyi seçmeniz sızma testi için çok önemlidir. Size ve organizasyonunuza bağlılığı olan birini seçmelisiniz.


Sosyal Mühendislik ve Güven

Sızma testleri sosyal mühendisliği kullanır. Hikayemizde gördük ki gerçek arkadaşlar kötü tavsiyeler verebilir. Gerçek hayatta isteyerek ya da istemeyerek zararlılar gönderebilirler. Örneğin sosyal medya üzerinden size gelen ya da etiketlendiğiniz gönderiler o kadar masum olmayabilir. Bu nedenle sizden istenen verileri sağlarken her zaman şüphe ile yaklaşmakta fayda vardır. Sosyal mühendislik insanları kullanır. Sevdiğiniz yemek, tuttuğunuz takım, hobileriniz zafiyete dönüşmesin.






Kapsam

Sızma testi uzmanının yapacakları genellike sözleşmeyle sınırlıdır. Kiralayacağınız danışman ve iç güvenlik ekibinizdeki sızma testi uzmanlarınız sözleşmeye uyacak mı emin olmalısınız. Kimsenin istediği yere istediği gibi saldırmasına ihtiyacınız yok.





En Zayıf Halka

Hikayemizde tavizler genellikle birbirine bağlı kusurlar serisinden meydana gelmiştir. Ali'nin alkol kullanım zafiyetini keşfeden Ayşe, Fatma ile başarılı bir saldırgan simülasyonu gerçekleştirmiştir. Güvenlikte sızma testi organizasyonun prosedürlerinin, ürünlerinin ve personelinin etkisini test edebilir. Saldırgan en zayıf halkayı arar sonra da istismar ederek istismarlar serisi ile amacına ulaşmaya çalışır.

Yorumlar

Bu blogdaki popüler yayınlar

1. Geleneksel Stajyer CTF Soru ve Cevapları

2. Geleneksel Stajyer CTF Soru ve Cevapları - 2017

ARP Poisoning ile Browser Exploitation - MITMf + BeEF + Metasploit