NetSec Ağ ve Bilgi Güvenliği Topluluğu düzenli olarak gerçekleştirdiği etkinliklerden 5.sini gün geçtikce önemi artan bir konu olan Sızma Testleri (pentest) ne ayırmıştır. Etkinlik sızma testleri konusunda hem teknik hem de idari olarak kafalarda kalan soru işaretlerine çözüm sunmayı hedeflemektedir.

Kayıtlar ücretsizdir, etkinlik salonundaki kontenjan nedeniyle katılım için öncelik kurumsal firma çalışanlarına ayrılmıştır. (Kontenjan 100 kişiliktir.)

Etkinlik ile ilgili geri bildirimler için [email protected] adresine e-posta gönderebilirsiniz.

Kayıt: Kayıtlar ücretsizdir. Ancak öncelik kurumsal firma çalışanlarınındır.

Kayıt sayfasında hotmail, gmail, yahoo, mynet gibi kurumsal olmayan e-posta adreslerinden yapılan kayıtlar onaylanmamaktadır. Sponsor firma güvenlik kuralları gereği kayıt olmadan etkinliğe katılım sağlanamaycaktır. Katılımla ilgili onay maili etkinlikten bir hafta önce gönderilecektir.

Sponsor: Microsoft Türkiye

Taslak Program
11:00-11:15 Bilgi Güvenliğinde Sızma Testleri, Ömer ALBAYRAK, NetSec Topluluk Lideri

11:15-12:00 Neden Sızma Testleri? Nasıl Sızma Test Uzmanı(Pentester) Olunur?, Mert SARICA

12:00-12:45 Hedef Odaklı Sızma Testleri, Huzeyfe ÖNAL

12:45-14:00 Öğle Arası

14:00-14:45 Bankacılıkta Admin Riskleri ve Bellekte Avcılık, N. Şenol YILMAZ

14:45-15:00 Kahve Arası

15:00-15:45 Uygulama Güvenlik Testlerinde WAF Sistemlerini Atlatma, Mehmet D. İnce

15:45-16:00 Kahve Arası

16:00-16:45 VoIP Sistemlere Yönelik Sızma Testleri , Ozan UÇAR

Etkinlik hakkında detaylı bilgi için:  http://www.netsectr.org/2012/09/netsec-bulusmas-bilgi-guvenliginde-szma.html

The post [Etkinlik] Bilgi Güvenliğinde Sızma Testlerinin Yeri ve Önemi first appeared on Complexity is the enemy of Security.

Sızma testleri E-posta listesi Türkiye’de her geçen gün önemi artan bir konu olan sızma testleri konusunda Türkçe bilgi paylaşımının artması, yeni sızma test uzmanlarına tecrübelerin aktarılması, sızma testleri konusunda ipuçları, döküman ve eğitimlerin paylaşılması amacıyla  kurulmuştur.

Üyelik
Pentest-Tr listesi genel katılıma açık bir listedir. Listeye  üye olabilmek için [email protected] adresine boş bir e-posta gönderilmesi yeterlidir. Liste üyeliği için kullanılacak e-posta adresleri moderasyon ekibi tarafından incelenerek onay verilmektedir.

Şüphe uyandırıcı e-posta adreslerinin listeye üyeliği onaylanmamaktadır. (ad soyad kısmı gozukmeyen, [email protected] gibi)

Liste Konuları
Sızma testleri listesi güvenlik zafiyet degerlendirme, sızma testleri ve bunlara ait alt bileşenleri içerecek her konu hakkinda bilginin paylaşımı yapılabilir.

Genel olarak aşağıdaki konu başlıkları listenin öncelikli konularındandır.

• Web Uygulama/ Servis Sızma Testleri (Web Application/service Penetration Test)
• Kaynak Kod İncelemesi (Source CodeReview/Auditing)
• Kablosuz Ağ Sızma Testleri (Wireless PenetrationTesting)
• VOIP(Voice Over IP ) Sızma Testleri (VOIP Penetration Test)
• Ağ Altyapısı Sızma Testleri (Network PenetrationTesting)
• Sosyal Mühendislik Sızma Testleri (Social Engineering Penetration Test)
• Yerel Ağ Sızma Testleri (LAN Penetration Testing)
• Mobil  Uygulama Sızma Testleri (Mobile Application Penetration Test)
• DDoS Saldırı Testleri (DdoS Pentest)
• Sanallaştırma/Bulut Sistem Sızma Testleri (Cloud/Virtual Penetration Test)
• Ağ ve Güvenlik Sistemlerine Yönelik Denetim Teknikleri
• Sızma Test Araçları
• Sızma Testleri Konusunda Eğitim ve Dökümanlar

Pentest-Tr E-posta Listesi Kuralları:

• Listeye “Ticari Duyuru” mailleri gönderilmesi yasaktır.
• Listede konuşulan tüm konular Google ve diğer arama motoru arşivlerine girmektedir ve arşivlerden silme imkanı bulunmamaktadır. [ilk uc ay haric]
• Listeye gönderilen tüm mesajlar moderasyondan geçmektedir, 5651 sayılı kanuna göre liste sahiplerini zor durumda bırakacak mailler(hakaret vs), spam/reklam mailleri ve güvenlikle ilgili olmayan mailler  onaylanmamaktadır.
• Siyasi ve ayrımcılık içeren mesajlar onaylanmamaktadır.
• Doğrudan üye olup duyuru göndermek isteyen üyelerimizin mesajları yayınlanmayacaktır.
• Aynı içerikte bir duyuru bir ay içerisinde bir kere gönderilebilir.

Gönderdiğiniz e-postalar listeye gitmiyorsa bunun sebepleri aşağıdaki maddelerden biri olabilir.

• Gönderilen e-posta liste içeriğiyle alakalı değildir
• Günderilen e-posta spam filtreleme sistemine takılmıştır
• Gönderilen e-posta “reklam” içermektedir. (Teknik ifadelerle desteklenmiş ürün duyuruları, önerilerine izin verilmektedir.)
• Hakaret içeren e-postalar
• +1, destekliyorum gibi gereksiz e-postalar
• Tamamı büyük harfle yazılmış e-postalar.

Liste Arşivi
Liste arşivi listeye yanlışlıkla gönderilebilecek hassas bilgilerin ifşa olmaması adına bir müddet sadece üyelere özel olacaktır.

İletişim
Geri bildirimler için lutfen [email protected] adresine e-posta gönderiniz.

The post [Pentest-Tr] Türkçe Sızma Testleri E-posta Listesi first appeared on Complexity is the enemy of Security.

Öncelikle pentest kavramından ne anladığınızı  ve ne beklediğinizi bilmek size bu süreçte yardımcı olacaktır. Zira ne olduğunu bilmediğiniz bir servisi alarak sonradan bu muydu yani? Bu kadar parayı bu iş için mi verdim ya da bu sistemlere neden baktırmadım  gibi sorular sormayın kendinize.

1)Pentest nedir? Vulnerability assessment ve risk asssessment kavramlarından farkı nedir?

Pentest tanımı: Belirlenen bilişim sistemlerine mümkün olabilcek her yolun denenerek sızılmasıdır. Pentest de amaç güvenlik açıklığını bulmaktan öte bulunan açıklığı değerlendirip sistemlere yetkili erişimler elde etmektir.

Pentest çeşitleri: Whitebox, blackbox, graybox olmak üzere genel kabul görmüş üç çeşidi vardır. Bunlardan blackbox bizim genelde bildiğimiz ve yaptırdığımız pentest yöntemidir. Bu yöntemde testleri gerçekleştiren firmayla herhangi bir bilgi paylaşılmaz. Firma ismi ve firmanın sahip olduğu domainler üzerinden firmaya ait sistemler belirlenerek çalışma yapılır.

Diğer yöntemlerde pentest yapacak firmayla belirli bilgiler paylaşılır.

Vulnerability Assessment(zaafiyet tarama): Belirlenen sistemlerde güvenlik zaafiyetine sebep olabilecek açıklıkların araştırılması. Bu yöntem için genellikle otomatize araçlar kullanılır(Nmap, Nessus, Qualys vs)gibi.

Risk assessment tamamen farklı bir kavram olup pentest ve vuln. assessmenti kapsar. Zzaman zaman technical risk assessment tanımı kullanılarak Vulnerability assessment kastedilir.

2)Neden Pentest yaptırmalıyım?

Sahip olduğunuz bilişim sistemlerindeki güvenlik zaafiyetlerinin üçüncü bir göz tarafından kontrol edilmesi ve raporlanması proaktif güvenliğin ilk adımlarındandır. Siz ne kadar güvenliğe dikkat ederseniz birşeylerin gözünüzden kaçma ihtimali vardır ve internette hackerlarin sayısı ve bilgi becerisi her zaman sizden iyidir. Hackerlara yem olmadan kendi güvenliğinizi Beyaz şapkalı hackerlara test ettirmeniz yararınıza olaacktır.

Ek olarak PCI, HIPAA gibi standartlar da Pentest yaptırmayı zorunlu tutmaktadır.

3)Pentest projesinin planı nasıl olmalıdır?

Yaptırılacak pentestden olabildiğince çok verim alabilmek için her işte olduğu gibi burada da plan yapmak gerekir. Pentest planınıza en azından aşağıdaki soruları cevaplayarak hazırlayın

• Pentest’in kapsamı ne olacak?
• Sadece iç ağ sistemlerimimi, uygulamalarımı mı yoksa tüm altyapıyı mı test ettirmek istiyorum
• Testleri kime yaptıracağım
• Ne kadar sıklıkla yaptırmalıyım
• Riskli sistem ve servisler kapsam dışı olmalı mı yoksa riski kabul edip sonucunu görmelimiyim.
• DDOS denemesi yapılacak mı

4)Firma secimi konusunda nelere dikkat etmeliyim?

Pentest yapacak firma ne kadar güvenili olsa da-aranizda muhakkak imzalı ve maddeleri açık bir NDA olmalı- siz yine de kendinizi sağlama alma açısından firmanın yapacağı tüm işlemleri loglamaya çalışın. Bunu nasıl yaparsınız? Firmanın pentest yapacağı ip adres bilgilerini isteyerek bu ip adreslerinden gelecek tum trafiği Snort veya benzeri bir yazılım kullanarak loglayabilirsiniz.

• Özellikle web trafiği -ki en kirik bilgiler burada çıkacaktır- Snort ile cok rahatlıkla sonradan incelendiğinde anlaşılacak şekilde kaydettirilebilir.
• Firmada test yapacak çalışanların CVlerini isteyin . Varsa testi yapacak çalışanların konu ile ilgili sertifikasyonlara sahip olmasını ercih edin.
• Testi yapacak çalışanların ilgili firmanın elemanı olmasına dikkat edin.
• Firmaya daha önceki referanslarını sorun ve bunlardan birkaçına memnuniyetlerini sorun.
• Mümkünse firma seçimi öncesinde teknik kapasiteyi belirlemek için tuzak sistemler kurarak firmaların bu sistemlere saldırması ve sizin de bildiğiniz açıklığı bulmalarını isteyin.
• Firmadan daha önce yaptığı testlerle ilgili örnek raporlar isteyin.
• Testlerin belirli ip adreslerinden yapılmasını ve bu ip adreslerinin size bildirilmesini talep edin.
• Firmaya test için kullandıkları standartları sorun.
• Firmanın test raporunda kullandığı tüm araçları da yazmasını isteyin.
• Pentest teklifinin diğerlerine göre çok düşük olmaması

Penetration test firmanın özel işi mi yoksa oylesine yaptığı bir iş mi? Bu sorgu size firmanın konu hakkında yetkinliğine dair ipuçları verecektir.

5)Pentest yapan firmadan sonuç olarak neler beklemeliyim?

• Yöneticilere ve teknik çalışanlara özel iki farklı rapor
• Raporların okunabilir ve anlaşılır olması
• Testler esnasında keşfedilen kritik seviye güvenlik açıklıklarının anında bildirilmesi
• Pentest raporunun şifreli bir şekilde iletilmesi

6)Pentest sonrası nasıl bir yol izlemeliyim?

Pentest yaptırmak ne kadar önemliyse sonuçlarını değerlendirip aksiyon almak çok daha önemlidir.Malesef ki yaygın olarak yapılan yanlış sadece pentest yapıp raporu incelemek oluyor. Pentest sonrası açıklıkların kapatılmaması ve bir sonraki pentestde aynı açıklıkların tekrar çıkması sık karşılaşılan bir durumdur.

• Pentest raporlarının üst yönetimle paylaşılıp yönetim desteğinin alınması
• Sonuçlarının basit açıklıklar olarak değil, bir risk haritası kapsamında yönetime sunulması(bu açıklık hackerlar tarafından değerlendirilirse şu kadar kaybımız olur gibisinden)
• Raporu detaylıca inceleyip her bir açıklığın kimin ilgi alanına girdiğinin belirlenmesi
• Sistem yöneticileri/yazılımcılarla toplantı yapıp sonuçların paylaşılması
• Açıklıkların kapatılmasının takibi
• Bir sonraki pentestin tarihinin belirlenmesi

7)Turkiye’de pentest yapan hangi firmalar var?

Benim 2000 yılından beri çeşitli ortamlarda çalıştığım, raporlarını incelediğim ve ortanın üzerinde kabul ettiğim Pentest firmaları :

Güncel liste için http://blog.lifeoverip.net/2010/01/27/turkiyedeki-bilgi-guvenligi-firmalari/ adresini ziyaret edebilirsiniz.

• BGA Bilgi Güvenliği Eğitim ve Danışmanlık Ltd. Şti https://www.bgasecurity.com/
• Pro-G
• Nebula Bilişim Hizmetleri
• ADEO
• BizNet
• GamaSec
• Tubitak UEKAE
• Lostar B.G

Bunların haricinde bir de bireysel olarak bu işi yapanlar var. Bu konuda eğer pentest yapan kişiyi iyi tanımıyorsanız kişi yerine firmayı tercih etmeniz faydalı olacaktır.
8)Pentest konusunda kendimi geliştirmek için izleme gereken yol nedir?

Pentest konusunda kendinizi geliştirmek için öncelikle bu alana meraklı bir yapınızın olmasın gerekir. İçinizde bilişim konularına karşı ciddi merak hissi , sistemleri bozmaktan korkmadan kurcalayan bir düşünce yapınız yoksa işiniz biraz zor demektir. Zira pentester olmak demek başkalarının düşünemediğini düşünmek, yapamadığını yapmak ve farklı olmak demektir.

Bu işin en kolay öğrenimi bireysel çalışmalardır, kendi kendinize deneyerek öğrenmeye çalışmak, yanılmak sonra tekrar yanılmak ve doğrsunu öğrenmek. Eğitimler bu konuda destekci olabilir. Sizin 5-6 ayda katedeceğiniz yolu bir iki haftada size aktarabilir ama hiçbir zaman sizi tam manasıyla yetiştirmez, yol gösterici olur.

Pentest konularının konuşulduğu güvenlik listelerine üyelik de sizi hazır bilgi kaynaklarına doğrudan ulaştıracak bir yöntemdir.

Linux öğrenmek, pentest konusunda mutlaka elinizi kuvvetlendirecek, rakiplerinize fark attıracak bir bileziktir. Bu işi ciddi düşünüyorsanız mutlaka Linux bilgisine ihtiyaç duyacaksınız.
9)Pentest için hangi yazılımlar kullanılır?

Açıkkod Pentest Yazılımları: Nmap,  Nessus, Metasploit, Inguma, hping, Webscarab, jtr, W3af

Açık kodlu bilinen çoğu pentest yazılımı Backtrack güvenlik CDsi ile birlikte gelir. Bu araçları uygulamalı olarak öğrenmek isterseniz https://www.bgasecurity.com/egitim/kali-linux-101-egitimi/ eğitimine kayıt olabilirsiniz.

Ticari Pentest Yazılımları: Immunity Canvas, Core Impact, HP Webinspect, Saint Ssecurity Scanner

Bu araçların yanında araçlar kadar önemli olan pentest metodolojileri vardır. Bunların da araçlar kadar iyi bilinmesi ve kullanılması gerekir.

OWASP guide, NIST, ISSAF, OSTTM

10)Pentest konusunda hangi eğitimler vardır?

• SANS’ın Pentest eğitimleri
• Pentest eğitimleri
• Ec-Council Pentest eğitimleri
• http://www.penetration-testing.com/

The post 10 Soruda Pentest(Penetrasyon Testleri) first appeared on Complexity is the enemy of Security.