Bilgisayar sistemlerine yapilan guvenlik testlerinde en onemli asamalardan biri bilgi toplamadir. Ne kadar fazla, detayli bilgi toplanir ve bunlar ise yarayacak hale getirilebilirse test sonuclari da o kadar tatmin edici olur.
Turkiye’de pek rastlamadim ama guvenlik testleri genelde bir ekip tarafindan yapilir yani her isi bilen bir/iki kisi degil de her biri konusunda uzman kisiler toplulugu. Bu ekipteki kisilerinin icinde en azindan veritabani, network, isletim sistemi, web uygulamalari ve wireless guvenligi konusunda uzman kisilerin bulunmasi yapilacak testin kalitesini -ve dahi fiyatini- arttiracaktir.
Ekip calismalari esnasinda her ekip elemani tarafindan toplanan bilginin zamaninda digerleri tarafindan gorulebilmesi onemlidir. Bunun icin bazi arkadaslarin light wiki sistemlerini kullandigini gormustum. Bu bir secenek olsa da yeterli degil, zira yapilan degisiklikler es zamanli olarak gorulemiyor, dahasi duzgun bir dokumantasyon standartina oturtulmamissa aranan bilginin zamaninda bulunanamasi ihtimali de var.
Bu tip gereksinimler icin ne kullanilabilir diye arastirma yaparken Defcon sunumlarinda bahsedilen Dradis ile karsilastim. Dradis pentest yapan ekip uyelerinin birbirleri ile es zamanli olarak bilgi paylasmalarini saglayan ve bu bilgilerin gunun sonunda raporlanabilmesine olanak veren bir cati. Henuz taze bir proje fakat simdiki ozellikleri ile bircok ihtiyaci giderir kapasitede.
Detay bilgi icin :http://dradis.nomejortu.com/
