Pentest Firmaniz ne kadar guvenilir?

Guvenlik dunyasinin aktif firmalarindan Wabisabilab’in has elemanlarindan (co-founder) Roberto Preatoni Italya Telekom’daki telekulak skandali davasinda tutuklanmis. Daha once ayni iste birlikte calistigi 4 kisinin de akibeti benzer olmus. Haber cesitli guvenlik sitelerinde yer aldi fakat yeteri kadar tartisilmadigini dusunuyorum.

Secim yaptiginiz firmanin konu hakkinda ne kadar becerikli oldugu kadar elemanlarinin ve firmanin sicilinin de guvenilir olmasi gerekiyor. Yoksa disaridan gelip -muhtemelen- firmanin en gizli belgelerine bile erisebilen birilerinin bu bilgileri baska amacla kullanmayacagini bilemezsiniz. Bilgileri yedeklemenin otesinde Telekom Italya’da oldugu gibi sizilan sistemlere arka kapilar yerlestirmeyeceklerini/yerlestirmediklerini bilemezsiniz.

Yine kendi tecrubelerimden benzer bir olay aktarayim: Turkiye’nin iletisim acisindan hassas firmalarindan birinde yapilan pentest surecine tanik oluyorum… Ekip ve firma Turkiye’nin en guvenilir kurumlarindan biri  ve islerini oldukca iyi yapiyorlar ki benim danismanligimda yapilan bir proje oldugu icin ben her ihtimale karsilik ekibin ozellikle firma icerisinden calismasini, gerekiyorsa disardan yapilacak testlerden firmanin saglayacagi ADSL hat uzerinden yapilmasini  istiyorum.  Bununla da yetinmeyerek ekibin onune tum trafigini kaydedecek bir tap yerlestiriyorum . Yapilan tum taramalarin, alinan tum belgelerin vs kaydini tutup incelenmesi gereken bir durum oldugunda kaydedilen trafikten geri donebilmek icin…

Elbette kafasina koymus, teknik bilgisi iyi birileri bu durumda da disari bilgi sizdirabilir ama amacimiz %100 engellemek degil sadece var olan riski minimize etmek. Derken proje tamamlaniyor, ekip bize bulduklari acikliklari ballandira ballandira anlatiyor , bir ara biri cosuyor ve sistemlerde meshur dizilerden birinin  izlemedigi son videosunu buldugunu ve bilgisayarina indirdigini kaciriveriyor… ve o anda benim ekip/firma hakkindaki olumlu dusuncelerimin tamami siliniyor. Zira o sunucudan o videoyu alan adam ayni surecte buldugu ust duzey mudurun kredi karti bilgilerini de almis olabilir.

Kendilerini kibarca ve arkadasca uyariyorum ama firma ile ilgili tum iyi niyetli dusuncelerim suya dusuyor. Hala ayni firmayi gordugum her projeden uzak tutmaya, tutturmaya ozen gosteriyorum.

Sonuc olarak, pentest yapilacak firmanin secimi ve pentest kriterleri cok onemlidir. Bu konuda ufak birseyler hazirlamaya calisiyorum. Bitirebilirsem buradan paylasacagim.

Siz siz olun firma secerken mutlaka calistiklari firmalardan bilgi alin.

This entry was posted in System Security. Bookmark the permalink.

Leave a Reply

Your email address will not be published. Required fields are marked *

5 × 4 =