Öncelikle pentest kavramından ne anladığınızı  ve ne beklediğinizi bilmek size bu süreçte yardımcı olacaktır. Zira ne olduğunu bilmediğiniz bir servisi alarak sonradan bu muydu yani? Bu kadar parayı bu iş için mi verdim ya da bu sistemlere neden baktırmadım  gibi sorular sormayın kendinize.

1)Pentest nedir? Vulnerability assessment ve risk asssessment kavramlarından farkı nedir?

Pentest tanımı: Belirlenen bilişim sistemlerine mümkün olabilcek her yolun denenerek sızılmasıdır. Pentest de amaç güvenlik açıklığını bulmaktan öte bulunan açıklığı değerlendirip sistemlere yetkili erişimler elde etmektir.

Pentest çeşitleri: Whitebox, blackbox, graybox olmak üzere genel kabul görmüş üç çeşidi vardır. Bunlardan blackbox bizim genelde bildiğimiz ve yaptırdığımız pentest yöntemidir. Bu yöntemde testleri gerçekleştiren firmayla herhangi bir bilgi paylaşılmaz. Firma ismi ve firmanın sahip olduğu domainler üzerinden firmaya ait sistemler belirlenerek çalışma yapılır.

Diğer yöntemlerde pentest yapacak firmayla belirli bilgiler paylaşılır.

Vulnerability Assessment(zaafiyet tarama): Belirlenen sistemlerde güvenlik zaafiyetine sebep olabilecek açıklıkların araştırılması. Bu yöntem için genellikle otomatize araçlar kullanılır(Nmap, Nessus, Qualys vs)gibi.

Risk assessment tamamen farklı bir kavram olup pentest ve vuln. assessmenti kapsar. Zzaman zaman technical risk assessment tanımı kullanılarak Vulnerability assessment kastedilir.

2)Neden Pentest yaptırmalıyım?

Sahip olduğunuz bilişim sistemlerindeki güvenlik zaafiyetlerinin üçüncü bir göz tarafından kontrol edilmesi ve raporlanması proaktif güvenliğin ilk adımlarındandır. Siz ne kadar güvenliğe dikkat ederseniz birşeylerin gözünüzden kaçma ihtimali vardır ve internette hackerlarin sayısı ve bilgi becerisi her zaman sizden iyidir. Hackerlara yem olmadan kendi güvenliğinizi Beyaz şapkalı hackerlara test ettirmeniz yararınıza olaacktır.

Ek olarak PCI, HIPAA gibi standartlar da Pentest yaptırmayı zorunlu tutmaktadır.

3)Pentest projesinin planı nasıl olmalıdır?

Yaptırılacak pentestden olabildiğince çok verim alabilmek için her işte olduğu gibi burada da plan yapmak gerekir. Pentest planınıza en azından aşağıdaki soruları cevaplayarak hazırlayın

• Pentest’in kapsamı ne olacak?
• Sadece iç ağ sistemlerimimi, uygulamalarımı mı yoksa tüm altyapıyı mı test ettirmek istiyorum
• Testleri kime yaptıracağım
• Ne kadar sıklıkla yaptırmalıyım
• Riskli sistem ve servisler kapsam dışı olmalı mı yoksa riski kabul edip sonucunu görmelimiyim.
• DDOS denemesi yapılacak mı

4)Firma secimi konusunda nelere dikkat etmeliyim?

Pentest yapacak firma ne kadar güvenili olsa da-aranizda muhakkak imzalı ve maddeleri açık bir NDA olmalı- siz yine de kendinizi sağlama alma açısından firmanın yapacağı tüm işlemleri loglamaya çalışın. Bunu nasıl yaparsınız? Firmanın pentest yapacağı ip adres bilgilerini isteyerek bu ip adreslerinden gelecek tum trafiği Snort veya benzeri bir yazılım kullanarak loglayabilirsiniz.

• Özellikle web trafiği -ki en kirik bilgiler burada çıkacaktır- Snort ile cok rahatlıkla sonradan incelendiğinde anlaşılacak şekilde kaydettirilebilir.
• Firmada test yapacak çalışanların CVlerini isteyin . Varsa testi yapacak çalışanların konu ile ilgili sertifikasyonlara sahip olmasını ercih edin.
• Testi yapacak çalışanların ilgili firmanın elemanı olmasına dikkat edin.
• Firmaya daha önceki referanslarını sorun ve bunlardan birkaçına memnuniyetlerini sorun.
• Mümkünse firma seçimi öncesinde teknik kapasiteyi belirlemek için tuzak sistemler kurarak firmaların bu sistemlere saldırması ve sizin de bildiğiniz açıklığı bulmalarını isteyin.
• Firmadan daha önce yaptığı testlerle ilgili örnek raporlar isteyin.
• Testlerin belirli ip adreslerinden yapılmasını ve bu ip adreslerinin size bildirilmesini talep edin.
• Firmaya test için kullandıkları standartları sorun.
• Firmanın test raporunda kullandığı tüm araçları da yazmasını isteyin.
• Pentest teklifinin diğerlerine göre çok düşük olmaması

Penetration test firmanın özel işi mi yoksa oylesine yaptığı bir iş mi? Bu sorgu size firmanın konu hakkında yetkinliğine dair ipuçları verecektir.

5)Pentest yapan firmadan sonuç olarak neler beklemeliyim?

• Yöneticilere ve teknik çalışanlara özel iki farklı rapor
• Raporların okunabilir ve anlaşılır olması
• Testler esnasında keşfedilen kritik seviye güvenlik açıklıklarının anında bildirilmesi
• Pentest raporunun şifreli bir şekilde iletilmesi

6)Pentest sonrası nasıl bir yol izlemeliyim?

Pentest yaptırmak ne kadar önemliyse sonuçlarını değerlendirip aksiyon almak çok daha önemlidir.Malesef ki yaygın olarak yapılan yanlış sadece pentest yapıp raporu incelemek oluyor. Pentest sonrası açıklıkların kapatılmaması ve bir sonraki pentestde aynı açıklıkların tekrar çıkması sık karşılaşılan bir durumdur.

• Pentest raporlarının üst yönetimle paylaşılıp yönetim desteğinin alınması
• Sonuçlarının basit açıklıklar olarak değil, bir risk haritası kapsamında yönetime sunulması(bu açıklık hackerlar tarafından değerlendirilirse şu kadar kaybımız olur gibisinden)
• Raporu detaylıca inceleyip her bir açıklığın kimin ilgi alanına girdiğinin belirlenmesi
• Sistem yöneticileri/yazılımcılarla toplantı yapıp sonuçların paylaşılması
• Açıklıkların kapatılmasının takibi
• Bir sonraki pentestin tarihinin belirlenmesi

7)Turkiye’de pentest yapan hangi firmalar var?

Benim 2000 yılından beri çeşitli ortamlarda çalıştığım, raporlarını incelediğim ve ortanın üzerinde kabul ettiğim Pentest firmaları :

Güncel liste için http://blog.lifeoverip.net/2010/01/27/turkiyedeki-bilgi-guvenligi-firmalari/ adresini ziyaret edebilirsiniz.

• BGA Bilgi Güvenliği Eğitim ve Danışmanlık Ltd. Şti https://www.bgasecurity.com/
• Pro-G
• Nebula Bilişim Hizmetleri
• ADEO
• BizNet
• GamaSec
• Tubitak UEKAE
• Lostar B.G

Bunların haricinde bir de bireysel olarak bu işi yapanlar var. Bu konuda eğer pentest yapan kişiyi iyi tanımıyorsanız kişi yerine firmayı tercih etmeniz faydalı olacaktır.
8)Pentest konusunda kendimi geliştirmek için izleme gereken yol nedir?

Pentest konusunda kendinizi geliştirmek için öncelikle bu alana meraklı bir yapınızın olmasın gerekir. İçinizde bilişim konularına karşı ciddi merak hissi , sistemleri bozmaktan korkmadan kurcalayan bir düşünce yapınız yoksa işiniz biraz zor demektir. Zira pentester olmak demek başkalarının düşünemediğini düşünmek, yapamadığını yapmak ve farklı olmak demektir.

Bu işin en kolay öğrenimi bireysel çalışmalardır, kendi kendinize deneyerek öğrenmeye çalışmak, yanılmak sonra tekrar yanılmak ve doğrsunu öğrenmek. Eğitimler bu konuda destekci olabilir. Sizin 5-6 ayda katedeceğiniz yolu bir iki haftada size aktarabilir ama hiçbir zaman sizi tam manasıyla yetiştirmez, yol gösterici olur.

Pentest konularının konuşulduğu güvenlik listelerine üyelik de sizi hazır bilgi kaynaklarına doğrudan ulaştıracak bir yöntemdir.

Linux öğrenmek, pentest konusunda mutlaka elinizi kuvvetlendirecek, rakiplerinize fark attıracak bir bileziktir. Bu işi ciddi düşünüyorsanız mutlaka Linux bilgisine ihtiyaç duyacaksınız.
9)Pentest için hangi yazılımlar kullanılır?

Açıkkod Pentest Yazılımları: Nmap,  Nessus, Metasploit, Inguma, hping, Webscarab, jtr, W3af

Açık kodlu bilinen çoğu pentest yazılımı Backtrack güvenlik CDsi ile birlikte gelir. Bu araçları uygulamalı olarak öğrenmek isterseniz https://www.bgasecurity.com/egitim/kali-linux-101-egitimi/ eğitimine kayıt olabilirsiniz.

Ticari Pentest Yazılımları: Immunity Canvas, Core Impact, HP Webinspect, Saint Ssecurity Scanner

Bu araçların yanında araçlar kadar önemli olan pentest metodolojileri vardır. Bunların da araçlar kadar iyi bilinmesi ve kullanılması gerekir.

OWASP guide, NIST, ISSAF, OSTTM

10)Pentest konusunda hangi eğitimler vardır?

• SANS’ın Pentest eğitimleri
• Pentest eğitimleri
• Ec-Council Pentest eğitimleri
• http://www.penetration-testing.com/

The post 10 Soruda Pentest(Penetrasyon Testleri) first appeared on Complexity is the enemy of Security.

Günümüzde sağlam bir audit altyapısı olmayan işletim sisteminin ticari ortamlarda kullanımı oldukça zorlaşıyor. Gerek güvenlik gerek yine güvenliğe dayanan çeşitli kanunlar,  düzenlemeler ve standartlar kullanılacak tüm sistemlerin sağlıklı audit altyapısına sahip olmasını şart koşuyor.

Audit altyapisindan kastım kullanılan sistemin kim tarafından ne zaman ve  nasıl kullanıldığının kayıt altına alınması. Bu altyapı işletim sistemi için belki çalıştırılan bir komut ya da bir dosya üzerinde yapılan değişikliklerin incelenmesi, veritabanı için  belirli bir tablodaki hareketliliğin gözlenmesi olabilir.

Audit altyapisini pasif olarak calisan IDS’lere benzetmek mümkündür. Her ikisi de kendisine verilen çeşitli parametrelere uygun bir şekilde trafiği/hareketleri izle ve loglar.

Auditd basitce kernela yapılan sistem çağrılarını izler. Sistem çağrıları kullanıcı seviyesi programların kernel fonksiyonlarına erişip kullanmasıdır.

Hemen hemen tüm UNIX/Linux sistemlerde gelismis audit altyapısı bulunmaktadır. (Linux sistemlerde 2.6 kernel ile birlikte gelmektedir)

Neyin audit’i?

Audit mekanizmasının sistem çağrılarını izlediğini söylemiştik. Linux sistemine bakıldığında sayamayacağımız kadar çok sistem çağrısı vardır. Peki bunlardan hangileri audit  manasında bizim işimize yarar, hangileri yaramaz. Buna karar vermek şirketinizin politikalarına bağlı olarak değişecektir. Temel  olarak bazı önemli dosya/dizinlere erişim, kritik olarak belirlenen komutların çalıştırılması ve kullanıcı haklarında değişiklik alınabilir.

Linux üzerinde audit altyapısını aktif hale getirmek

Öncelikle sisteminizde auditd paketinin kurulu olması gerekir. Bunu anlamak için Red Hat sistemlerde rpm -qi auditd komutu çalıştırılmalı. Aşağıdaki gibi bir çıktı alıyorsanız audit paketi kurulu demektir.

root@server [/etc/audit]# rpm -qi audit
Name        : audit                        Relocations: (not relocatable)
Version     : 1.6.5                             Vendor: CentOS
Release     : 9.el5                         Build Date: Sun 25 May 2008 09:28:37 AM EEST
Install Date: Sun 05 Oct 2008 10:23:40 PM EEST      Build Host: builder10.centos.org
Group       : System Environment/Daemons    Source RPM: audit-1.6.5-9.el5.src.rpm
Size        : 669245                           License: GPL
Signature   : DSA/SHA1, Sun 15 Jun 2008 02:29:32 AM EEST, Key ID a8a447dce8562897
URL         : http://people.redhat.com/sgrubb/audit/
Summary     : User space tools for 2.6 kernel auditing
Description :
The audit package contains the user space utilities for
storing and searching the audit records generate by
the audit subsystem in the Linux 2.6 kernel.

Auditd paketi kurulu değilse ;

yum install auditd
ve
chkconfig –level 345 auditd on

komutlarının çalıştırılması gerekir.

Audit servisini çalıştırmak

Redhat tabanlı sistemler için:

#service auditd start
#service auditd status
auditd (pid 3440) is running…

Auditd yapılandırma dosyaları

/etc/auditd altında iki adet yapılandırma dosyası bulunur. Bunlardan auditd.conf audit işleminin nasıl yapılacağı , audit.rules dosyası da neyin hangi seviyede denetime tabi  tutulacağını karar verdiğimiz dosyalardır.

Audit Log Dosyası

/var/log/auditd dizini altında audit.log dosyasına yazılır. İstenirse bu dizin auditd.conf dosyasından değiştirilebilir.

root@server [/etc/audit]# ls /var/log/audit/
./  ../  audit.log  audit.log.1  audit.log.2  audit.log.3

auditd ile birlikte gelen yardımcı programlar

ausearch – Log sorgulama için
aureport – Özet rapor çıkarımı için
auditctl – Interaktif olarak audit kurallarını değiştirmek için

Kullanıcı komutlarını Loglama

audit.rules dosyasına aşağıdaki satırlar eklenmeli.

# Audit all execve calls
-a entry,always -S execve
-a entry,never

komut loglamayı sadece belirli kullanıcılar için açmak istersek
-a entry,always -S execve -F uid=0

gibi bir girdi yeterli olacaktir.

Dosyaları İzlemek

Sisteminizde  kritik olarak belirlediğiniz dosyalar üzerinde yapılan işlemler(r=read, x=execute, w=write, a=attribute) için audit mekanızmasını aktif edebilirsiniz. Böylece bu dosyalar üzerinde belirlediğiniz bir işlem gerçekleştirildiğinde loglara kayıt düşecektir. Bunun için auditctl komutunu kullanıyoruz.

Mesela /etc/passwd dosyası üzerinde yapılan okuma ve yazma işlemlerini kayıt altına almak istersek

#  auditctl -w /etc/passwd -p wr
komutunu çalıştırabiliriz.

kaydımızın aktif olup olmadığını görmek için

# auditctl -l
LIST_RULES: entry,always syscall=execve
LIST_RULES: entry,never syscall=all
LIST_RULES: exit,always watch=/etc/passwd perm=rw

Loglar arasında filtrelemeyi kolaylaştırmak için auditctl’e ile birlikte -k parametresi kullanılabilir. Mesela bir önceki örnekte /etc/passwd’e yapılan kouma ve yazma işlemlerinin loglarda kolaylıkla filtrelenebilmesi için şu şekilde değiştirelim.

#  auditctl -w /etc/passwd -p wr -k parola-dosyasi

Böylelikle loglarda arama yaparken parola-dosyası filtresini kullanarak doğrudan istediğimiz sonuçlara ulaşabileceğiz.

/tmp dizini altında çalıştırılan dosyaları izleme

# auditctl -w /tmp/ -p x -k tmp-dizini-kritik
root@server [/etc/audit]# auditctl -l
LIST_RULES: entry,always syscall=execve
LIST_RULES: entry,never syscall=all
LIST_RULES: exit,always dir=/tmp (0x4) perm=x key=tmp-dizini-kritik
LIST_RULES: exit,always watch=/etc/passwd perm=rw key=parola-dosyasi

Ausearch ile kayıt arama

mesela çalıştırılan vi komutlarını bulmasını istersek;

# ausearch -x vi
—-
time->Sun Nov 30 12:37:48 2008
type=PATH msg=audit(1228041468.730:771441): item=1 name=(null) inode=1508855 dev=08:05 mode=0100755 ouid=0 ogid=0 rdev=00:00
type=PATH msg=audit(1228041468.730:771441): item=0 name=”/bin/vi” inode=589904 dev=08:05 mode=0100755 ouid=0 ogid=0 rdev=00:00
type=CWD msg=audit(1228041468.730:771441):  cwd=”/etc/audit”
type=EXECVE msg=audit(1228041468.730:771441): argc=2 a0=”vi” a1=”/etc/passwd”
type=SYSCALL msg=audit(1228041468.730:771441): arch=40000003 syscall=11 success=yes exit=0 a0=8c980b8 a1=8c782e8 a2=8c77290 a3=0 items=2 ppid=17577 pid=31540 auid=0 uid=0 gid=0

euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 ses=110702 comm=”vi” exe=”/bin/vi” key=(null)

root kullanıcısı tarafından çalıştırılan tüm rm komutlarının bulunması

# ausearch -ge root  -x rm
—-
time->Sun Nov 30 12:24:01 2008
type=PATH msg=audit(1228040641.377:762054): item=1 name=(null) inode=1508855 dev=08:05 mode=0100755 ouid=0 ogid=0 rdev=00:00
type=PATH msg=audit(1228040641.377:762054): item=0 name=”/bin/rm” inode=589874 dev=08:05 mode=0100755 ouid=0 ogid=0 rdev=00:00
type=CWD msg=audit(1228040641.377:762054):  cwd=”/root”
type=EXECVE msg=audit(1228040641.377:762054): argc=3 a0=”rm” a1=”-f” a2=”/usr/local/bfd/lock.utime”
type=SYSCALL msg=audit(1228040641.377:762054): arch=40000003 syscall=11 per=400000 success=yes exit=0 a0=9899948 a1=98a21e0 a2=989a690 a3=0 items=2 ppid=3204 pid=3263 auid=0

uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=110865 comm=”rm” exe=”/bin/rm” key=(null)
—-
time->Sun Nov 30 12:24:15 2008
type=PATH msg=audit(1228040655.311:763254): item=1 name=(null) inode=1508855 dev=08:05 mode=0100755 ouid=0 ogid=0 rdev=00:00
type=PATH msg=audit(1228040655.311:763254): item=0 name=”/bin/rm” inode=589874 dev=08:05 mode=0100755 ouid=0 ogid=0 rdev=00:00
type=CWD msg=audit(1228040655.311:763254):  cwd=”/var/log/audit”
type=EXECVE msg=audit(1228040655.311:763254): argc=3 a0=”rm” a1=”-i” a2=”/tmp/RHek3T”
type=SYSCALL msg=audit(1228040655.311:763254): arch=40000003 syscall=11 success=yes exit=0 a0=8c96f98 a1=8c78810 a2=8c77290 a3=0 items=2 ppid=17577 pid=8083 auid=0 uid=0 gid=0

euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 ses=110702 comm=”rm” exe=”/bin/rm” key=(null)

Kaynaklar:

http://people.redhat.com/sgrubb/audit/audit-ids.pdf
http://www.prelude-ids.com/en/development/index.html

The post Linux Audit Altyapisi-I first appeared on Complexity is the enemy of Security.

Bilgi guvenligi ve ilgili konularda calisan arkadaslarla gorusmelerimde PCI konusunda firmalarin bu standarti yeteri kadar ciddiye almadiklarini, otesinde konu hakkinda yeterli bilgilerinin de olmadigini goruyorum. Yaklasik 5-6 ay oncesine kadar benim icin de muaamma olan bu standart hakkinda uzun suredir okuyorum ve kendi sirketim icin ilgili projelere katkida bulunuyorum. Zamanla burada eksik gordugum konularla ilgi yazmaya baslayacagim.

Unutmamak gerekir ki standar, kanun ve duzenlemeler bilgi guvenligi konusunun sirketlerdeki en iyi destekcileridir. Bunlara uyalim, uymayanlari uyaralim:)

Videolar icin: http://www.webcasts.com/mastercardpciWebinar Modules

* An introduction to the PCI Security Standards Council
* A Detailed Look at the PCI DSS Requirements
* A Merchant’s Journey Toward Compliance
* Understanding Account Data Compromise
* Preparing for a Successful PCI Assessment, Lessons from the Field
* Reducing Your Risk: A Look into PCI Vulnerability Scanning
* Security and the Payments System
* Compliance Validation and Beyond
* A look into the New Self Assessment Questionnaire

The post PCI DSS hakkinda ucretsiz goruntulu kaynak first appeared on Complexity is the enemy of Security.