Katma değerli sızma testleri

Sızma testleri gerçekleştirmek için gerekenler hakkında internet üzerinde birçok veriye ulaşmak mümkün. Günümüzde alınan bu hizmetlerinde kalitesi ortada. Bunun daha iyi noktalara taşınabilmesi aslında talepkar olunması ile daha çok mümkün olabilir.
Şöyleki daha fazlasını daha detaylısı talep edildiği takdirde, servis sağlayıcılar daha değişik yöntemler geliştirerek daha detaylı veriler sunabileceklerdir. Bu noktadan hareketle aslında birkaç aracın kullanılması ve sonuçlarının incelenmesi durumuna “sızma testi” denilen günümüzde, daha ilginç sonuçları manuel gerçekleşen testler ve farklı bakış açısıyla elde edebiliriz. Benim bu yazıda aslında dikkatinizi çekmek istediğim nokta tam olarak budur.
Pentester yani sızma testini gerçekleştirecek kişinin hacker gibi düşünüyor olması aslında gerekmektedir. Bu bakış açısı ise bence öğretiler ile kişilere aktarılamaz, bu daha ziyade tecrübe izleme ve içten gelen bir dürtünün sonucunda ortaya çıkar. Bu gizli kalmış dürtüleri bir nebze olsun hareketlendirmek adına manuel olarak gerçekleştirilen testlerde olan biten hakkında biraz söz etmek gerek öncelikle.
Örnek olarak bir tarama esnasında elde edilen NFS bilgilerini ele alalım. Unix sistemlerde dosya paylaşımı için kullanılan protokolde aslında baktığınızda çarpıcı bir özellik yok. Hatta nessus için bu bilgi “medium” seviyede kritik. Peki ama elinizde güçlü bir araç olsa, tüm paylaşımlara bakabilseniz, içinde özel bilgiler var mıdır yok mudur bir kontrol etseniz, nasıl olurdu? Mesela showmount komutu ile bu paylaşımları listeleseniz ve grep ile içeride belirli verilere sahip dosyalar var mıdır diye baksanız, parolaların paylaşıldığı text dosyalarına ulaşsanız? Bu durum bence “medium” seviyede bir bilgi olmaktan çıkar.
O sebeple bulunan her verinin derinlemesine incelenmesi gerekir. Bunun dışında kullanıcılar mesela çok önemli, yolda bulunan usb hafıza depolama cihazının, alınarak şirket içine sokulma hikayesini herkes duymuştur. Kişiye özel hazırlanmış zararlı içeriklerin sosyal medya üzerinden aktarılması örneğin giderek yaygınlaşıyor. SET (social engineering toolkit) sağolsun bir atağı hazırlamak için gereken süreyi dakikalara düşürüyor. NC ile web server açıp, SET ile hazırlanmış içeriği bir e-posta sunucusundan kullanıcılara iletip birilerinin tıklamasını beklemek mesela, birçok güvenlik önlemi için oldukça yüklü miktarlar harcamış bir işletmeyi kolaylıkla dize getiriyor.
APNler var mesela, şirket VPN erişimi için resmen arka kapı görevi görüyor. CCTV kameralar ise başka bir arka kapı, genelde bulundukları ağ denetlenmiyor ve bu cihazlar nihayetinde IP kullanıyor, yani şirket ağına bu geçitten erişmek mümkün oluyor.
Bu tarz dikkat edilmeyen geçitler sayesinde, sistemlere erişmek oldukça kolaylaşıyor. Bence servis sağlayıcıların elde edilen veriler ile yukarıda bahsettiğim kilit noktalar arasında gerekli bağıntıları kurarak, müşterilere daha özel daha dikkatli ve hatta bir güvenlik uzmanı açısından daha keyifli sonuçlar elde etmesi gerekiyor.
Böylelikle hem eğitimli hemde bakış açısı çeşitliliğine sahip uzmanlardan alınan servisler, daha katma değerli sonuçlar ortaya koyabilecektir.