The post Capture The Flag Yarışması İçin Sponsor Arayışı first appeared on Complexity is the enemy of Security.
]]>
The post Capture The Flag Yarışması İçin Sponsor Arayışı first appeared on Complexity is the enemy of Security.
]]>The post CTF (Capture The Flag) Ethical Hacking Yarışması Sponsor Arayışı first appeared on Complexity is the enemy of Security.
]]>CTF yarışmalarının amacı insanları belirli konu etrafında yarıştırmaktan öte güvenlik gibi ciddi bir konuda yeterli önlemlerin alınmaması sonucu sistemlerin uğrayabileceği zararları uygulamalı olarak göstermektir. CTF senaryoları tamamen gerçek hayatta yaşanmış örnekler temel alınarka hazırlanmaktadır. Senaryolar konusunda görüş ve önerileri olan arkadaşlar doğrudan bana yazabilir.
Bir önceki CTF yarışmasına toplamda 650 yarışmacı katılmış ve bunlardan 25 tanesi yarışmanın ilk adımlarını geçmeyi başarmıştır.
Yarışma için iki farklı sponsorluk bekliyoruz:
The post CTF (Capture The Flag) Ethical Hacking Yarışması Sponsor Arayışı first appeared on Complexity is the enemy of Security.
]]>The post 10 Soruda Pentest(Penetrasyon Testleri) first appeared on Complexity is the enemy of Security.
]]>Öncelikle pentest kavramından ne anladığınızı ve ne beklediğinizi bilmek size bu süreçte yardımcı olacaktır. Zira ne olduğunu bilmediğiniz bir servisi alarak sonradan bu muydu yani? Bu kadar parayı bu iş için mi verdim ya da bu sistemlere neden baktırmadım gibi sorular sormayın kendinize.
1)Pentest nedir? Vulnerability assessment ve risk asssessment kavramlarından farkı nedir?
Pentest tanımı: Belirlenen bilişim sistemlerine mümkün olabilcek her yolun denenerek sızılmasıdır. Pentest de amaç güvenlik açıklığını bulmaktan öte bulunan açıklığı değerlendirip sistemlere yetkili erişimler elde etmektir.
Pentest çeşitleri: Whitebox, blackbox, graybox olmak üzere genel kabul görmüş üç çeşidi vardır. Bunlardan blackbox bizim genelde bildiğimiz ve yaptırdığımız pentest yöntemidir. Bu yöntemde testleri gerçekleştiren firmayla herhangi bir bilgi paylaşılmaz. Firma ismi ve firmanın sahip olduğu domainler üzerinden firmaya ait sistemler belirlenerek çalışma yapılır.
Diğer yöntemlerde pentest yapacak firmayla belirli bilgiler paylaşılır.
Vulnerability Assessment(zaafiyet tarama): Belirlenen sistemlerde güvenlik zaafiyetine sebep olabilecek açıklıkların araştırılması. Bu yöntem için genellikle otomatize araçlar kullanılır(Nmap, Nessus, Qualys vs)gibi.
Risk assessment tamamen farklı bir kavram olup pentest ve vuln. assessmenti kapsar. Zzaman zaman technical risk assessment tanımı kullanılarak Vulnerability assessment kastedilir.
2)Neden Pentest yaptırmalıyım?
Sahip olduğunuz bilişim sistemlerindeki güvenlik zaafiyetlerinin üçüncü bir göz tarafından kontrol edilmesi ve raporlanması proaktif güvenliğin ilk adımlarındandır. Siz ne kadar güvenliğe dikkat ederseniz birşeylerin gözünüzden kaçma ihtimali vardır ve internette hackerlarin sayısı ve bilgi becerisi her zaman sizden iyidir. Hackerlara yem olmadan kendi güvenliğinizi Beyaz şapkalı hackerlara test ettirmeniz yararınıza olaacktır.
Ek olarak PCI, HIPAA gibi standartlar da Pentest yaptırmayı zorunlu tutmaktadır.
3)Pentest projesinin planı nasıl olmalıdır?
Yaptırılacak pentestden olabildiğince çok verim alabilmek için her işte olduğu gibi burada da plan yapmak gerekir. Pentest planınıza en azından aşağıdaki soruları cevaplayarak hazırlayın
4)Firma secimi konusunda nelere dikkat etmeliyim?
Pentest yapacak firma ne kadar güvenili olsa da-aranizda muhakkak imzalı ve maddeleri açık bir NDA olmalı- siz yine de kendinizi sağlama alma açısından firmanın yapacağı tüm işlemleri loglamaya çalışın. Bunu nasıl yaparsınız? Firmanın pentest yapacağı ip adres bilgilerini isteyerek bu ip adreslerinden gelecek tum trafiği Snort veya benzeri bir yazılım kullanarak loglayabilirsiniz.
Penetration test firmanın özel işi mi yoksa oylesine yaptığı bir iş mi? Bu sorgu size firmanın konu hakkında yetkinliğine dair ipuçları verecektir.
5)Pentest yapan firmadan sonuç olarak neler beklemeliyim?
6)Pentest sonrası nasıl bir yol izlemeliyim?
Pentest yaptırmak ne kadar önemliyse sonuçlarını değerlendirip aksiyon almak çok daha önemlidir.Malesef ki yaygın olarak yapılan yanlış sadece pentest yapıp raporu incelemek oluyor. Pentest sonrası açıklıkların kapatılmaması ve bir sonraki pentestde aynı açıklıkların tekrar çıkması sık karşılaşılan bir durumdur.
7)Turkiye’de pentest yapan hangi firmalar var?
Benim 2000 yılından beri çeşitli ortamlarda çalıştığım, raporlarını incelediğim ve ortanın üzerinde kabul ettiğim Pentest firmaları :
Güncel liste için http://blog.lifeoverip.net/2010/01/27/turkiyedeki-bilgi-guvenligi-firmalari/ adresini ziyaret edebilirsiniz.
Bunların haricinde bir de bireysel olarak bu işi yapanlar var. Bu konuda eğer pentest yapan kişiyi iyi tanımıyorsanız kişi yerine firmayı tercih etmeniz faydalı olacaktır.
8)Pentest konusunda kendimi geliştirmek için izleme gereken yol nedir?
Pentest konusunda kendinizi geliştirmek için öncelikle bu alana meraklı bir yapınızın olmasın gerekir. İçinizde bilişim konularına karşı ciddi merak hissi , sistemleri bozmaktan korkmadan kurcalayan bir düşünce yapınız yoksa işiniz biraz zor demektir. Zira pentester olmak demek başkalarının düşünemediğini düşünmek, yapamadığını yapmak ve farklı olmak demektir.
Bu işin en kolay öğrenimi bireysel çalışmalardır, kendi kendinize deneyerek öğrenmeye çalışmak, yanılmak sonra tekrar yanılmak ve doğrsunu öğrenmek. Eğitimler bu konuda destekci olabilir. Sizin 5-6 ayda katedeceğiniz yolu bir iki haftada size aktarabilir ama hiçbir zaman sizi tam manasıyla yetiştirmez, yol gösterici olur.
Pentest konularının konuşulduğu güvenlik listelerine üyelik de sizi hazır bilgi kaynaklarına doğrudan ulaştıracak bir yöntemdir.
Linux öğrenmek, pentest konusunda mutlaka elinizi kuvvetlendirecek, rakiplerinize fark attıracak bir bileziktir. Bu işi ciddi düşünüyorsanız mutlaka Linux bilgisine ihtiyaç duyacaksınız.
9)Pentest için hangi yazılımlar kullanılır?
Açıkkod Pentest Yazılımları: Nmap, Nessus, Metasploit, Inguma, hping, Webscarab, jtr, W3af
Açık kodlu bilinen çoğu pentest yazılımı Backtrack güvenlik CDsi ile birlikte gelir. Bu araçları uygulamalı olarak öğrenmek isterseniz https://www.bgasecurity.com/egitim/kali-linux-101-egitimi/ eğitimine kayıt olabilirsiniz.
Ticari Pentest Yazılımları: Immunity Canvas, Core Impact, HP Webinspect, Saint Ssecurity Scanner
Bu araçların yanında araçlar kadar önemli olan pentest metodolojileri vardır. Bunların da araçlar kadar iyi bilinmesi ve kullanılması gerekir.
OWASP guide, NIST, ISSAF, OSTTM
10)Pentest konusunda hangi eğitimler vardır?
The post 10 Soruda Pentest(Penetrasyon Testleri) first appeared on Complexity is the enemy of Security.
]]>The post Guvenlikegitimleri.com güz dönemi eğitimleri first appeared on Complexity is the enemy of Security.
]]>Bunlar: Backtrack ile penetrasyon testleri eğitimi, Forensic analiz eğitimi ve Açık kod güvenlik yazılımlarıyla sınır güvenliği eğitimi.
Şimdilik sadece Backtrack eğitimini açıyoruz. 2010 yılında diğer eğitimleri de vermeye başlayacağız. Eğitimlere kayıt olmak ya da detay bilgi almak için http://www.guvenlikegitimleri.com adresini ziyaret edebilirsiniz.
Yeni dönem eğitimleri ve tarihleri aşağıdaki gibidir. 3 Ekim 2009’a kadar yaptırılacak kesin kayıtlarda %20 indirim uygulanacaktır.
The post Guvenlikegitimleri.com güz dönemi eğitimleri first appeared on Complexity is the enemy of Security.
]]>