Sızma Testi Nedir?
Sızma testleri penetrasyon (penetration) testleri olarak ta isimlendirilir. Bilgi güvenliğinin çok
önemli hale geldiği günümüzde sızma testleri, en küçük KOBİ’den en büyük işletmeye kadar çok
kritik öneme sahiptir. Bir firmanın en önemli varlığı bilgidir. Bilgi hırsızlığı, bilgi kaybı ve hizmet
aksamasının önüne geçmenin en iyi yolu sızma testleri ile firmamızın ağ ve sitemindeki zayıflıkların ortaya konmasıdır.
Günümüzde kötü niyetli bilgisayar korsanlarının yaptığı siber saldırılar artan bir ivmeyle devam
ediyor. Kimi zaman hayati öneme sahip verilerinizi şifreleyip sizden fidye istiyorlar, kimi zaman da
sisteminizin ve web sitelerinizin hizmet vermesini engelliyorlar. Bir otelin bilgisayar sistemine fidye yazılımı bulaştıran siber korsanlar bu saldırı ile otelin müşteri kabul edememesi veya çıkış yapacak müşterilerinin işlemlerini yapamamasına yol açıyor. Bu verdiğimiz örnek ülkemizde son yıllarda yaşanan gerçek olaylardan sadece biri.
Firmaların bilişim alt yapılarının ve sistemlerinin güvenlik açıklarının tespit ve analiz edilmesi için
ilgili firmanın talebi ve onayı ile gerçekleştirilen testlere sızma testi (penetrasyon testi) denir. Bu testlerin yapılması sayesinde bir firmanın ağ ve sistem alt yapısındaki açıklar ve zafiyetler
(vulnerability) önceden tespit edilerek kötü niyetli bilgisayar korsanlarının veya firma içindeki gayri memnun bir çalışanın bu sistemlere zarar vermesi engellenmiş olur.
Artık ülkemizde belirli kuruluşların sızma testlerini yaptırması yasal bir zorunluluk olmuş bunun
sonucunda da lisanslı ve yetkin sızma testi uzmanı ihtiyacı ortaya çıkmıştır.
Sızma Testi Çeşitleri
Sızma testleri yapılırken test edilen sistem hakkında farklı bilgi seviyeleri edinilmiş olabilir. Sistem
hakkında elde ettiğimiz bilgiye göre sızma testleri beyaz, siyah ve gri kutu testleri olmak üzere üç çeşittir.
Beyaz Kutu(White Box): Testi yapılacak ağ ve sistem alt yapısı ile ilgili tüm bilgiler testi yapacak
kişiye verilir. Sistem hakkında ne kadar çok bilgi sahibi olursak sistemde bulacağımız zafiyetler o
kadar fazla olur.
Siyah Kutu(Black Box): Testi yapılacak ağ ve sistem alt yapısı ile ilgili hiç bir bilgi testi yapacak kişiye verilmez. Böylelikle gerçek bir saldırı simüle edilmiş, kötü niyetli bir bilgisayar korsanının
verebileceği hasar ortaya konmuş olur.
Gri Kutu(Gray Box): Testi yapılacak ağ ve sistem alt yapısı ile ilgili bazı bilgiler testi yapacak kişiye verilir. Bu şekilde genelde şirket içinden yetkisiz kişilerin verebileceği zararlar ortaya konmuş olur.
Sızma Testi Türleri
Sızma testleri, test edilen ortama göre farklılık göstermektedir. Bunun yanında belirli bir alanda
uzmanlaşma gerekliliği bu ayrımı ortaya çıkarmıştır. Sızma testi türleri şu şekilde sıralanabilir;
• Ağ sızma testleri
• Mobil uygulama sızma testleri
• Web uygulamaları ve veri tabanı sızma testleri
• Kablosuz ağ sızma testleri
• Scada ve gömülü sistemler sızma testleri
• Hizmet aksatma (DDOS) saldırı testleri
• Sosyal mühendislik sızma testleri
Sızma Testi Aşamaları
Sızma testi aşamalarını temelde planlama, bilgi toplama, tarama ve keşif, zafiyetleri bulup sızma,
sızma sonrası işlemler ve raporlama olarak 6 ana başlıkta toplayabiliriz.
Planlama: Test yapılmadan önce testi talep eden firma ile testin çeşidini, sızılacak sistemleri, testin
yapılacağı tarih ve saati, testi yapacak kişiyi vb. bilgilerin belirlendiği ön aşamadır.
Bilgi toplama: Yapılacak testin çeşidine göre hedef sistem hakkında aktif ve pasif kaynaklardan bilgi toplama aşamasıdır. Ağ ve sistem alt yapısını fiziksel olarak geçmek mümkün olmadığında şirket çalışanları hakkında bilgi toplayıp, sosyal mühendislik saldırıları ile sisteme erişmek mümkün olabilir.
Tarama ve keşif: Ağ ve sistem alt yapısındaki cihazları, açık portlarını, çalışan servislerin tesbit
edildiği aşamadır.
Zafiyetleri bulup sızma: Zafiyetleri sömürerek (Exploitation) sistemde verilebilecek tüm zararlı
ortaya koyma aşamasıdır.
Sızma sonrası işlemler: Sisteme sızdıktan sonra sistemde kalıcı hale gelme, yetkileri yükseltip farklı
felaket senaryolarını ortaya koyma ve son olarak bıraktığımız izlerin temizlenmesi aşamasıdır.
Raporlama: Yapılan tüm işlemlerin belirli bir formatta yazılıp testi talep eden firmaya sunma
aşamasıdır.
Sızma Testinde Kullanılan Yöntemler
Sızma testleri yapılırken farklı yöntemler (metadolojiler) kullanılır. Bunlar;
1. OSSTMM(Open Source Security Testing Methodology Manual-Açık Kaynak Güvenlik Testi
Metodolojisi El Kitabı ) : (http://www.Isecom.org/research/osstmm.html) tanınmış bir uluslararası
standarttır. Pete Herzog tarafından hazırlanmış ve güvenlik testi ve analizi için ISECOM tarafından
geliştirilmiştir. Birçok organizasyon tarafından günlük değerlendirme döngüsünde kullanılmaktadır.
Bu metodoloji dört ana gruba ayrılmıştır ;kapsam, kanal, dizin ve vektör.
2. ISSAF(Information Systems Security Assessment Framework-Bilgi Sistemleri Güvenlik
Değerlendirme Çerçevesi ): (www.oissg.org/issaf) başka bir açık kaynak güvenlik test ve analiz
çerçevesidir. Bu çerçeve, güvenliğe hitap etmek için çeşitli alanlara ayrılmıştır. Bu alanların her biri,
bir alanın farklı bölümlerini değerlendirir. Hedef sistemin güvenliğini sağlamak ve başarılı bir güvenlik sağlamak için gerekli kaynakları sağlamaktadır.
3.WASC-TC(Web Application Security Consortium Threat Classifcation -Web Uygulaması Güvenlik Konsorsiyumu Tehdit Sınıflandırması ) : Web Uygulamalarının güvenlik risklerini belirleme gelişmenin yaşam döngüsü boyunca takip edilebilir kapsamlı ve titiz test prosedürü gerektirir. WASC tehdit sınıflandırması, web uygulamalarının güvenliğini değerlendirmek için açık bir standarttır.
4. PTES(Penetration Testing Execution Standard- Penetrasyon Testi Yürütme Standardı) :
Penetrasyon Testi Yürütme Standardı (PTES),Penetrasyon testinin yedi aşamasından oluşur ve etkili
bir sonuç elde etmek için kullanılabilir. Metodolojinin ayrıntıları şu adresten bulunabilir:
http://www.pentest-standard.org/index.php/Main_Page
