Penetration Tester Olmak
Daha önceden pek çok kiþi zaten söyledi güvenlikçi olmak sadece birkaç teknik konuyu iyi bilmek ya da birkaç kitap okumak deðil daha çok beynin nasýl çalýþtýðý, bir soruna nasýl yaklaþýldýðý ve olaylara bakýþ açýsý ile ilgili. Bunun yanýnda bir çok baþka meslekte de gerektiði gibi gündemi takip etme, odaklanma ve havadaki kokularý alabilme de gerekli meziyetlerden.
Bir güvenlik uzmanýnýn ya da daha spesifik olarak penetration tester’ ýn bir dizi özelliðe ihtiyacý var. Bu özelliklerin bir kýsmý teknik, ve teknik þeyler öðrenilebilir ama bir kýsmý da doðuþtan gelen huylar ve muhtemelen ne yaparsanýz yapýn öðrenemeyeceðiniz ya da gerçekten öðrenmesi seneler sürecek þeyler.
Konuyu burada hemen “güvenlikçi oýlunmaz, güvenlikçi doðulur(!)” a baðlamak istemiyorum, çünkü durum bu deðil. Ýddialara göre Mehmet Akif Ersoy demiþ ki “Þiirin %5 ilham, %95 çalýþmaktýr”. Ben de bu þekilde düþünüyorum, dolayýsýyla %5 + %95 e eriþince Mehmet Akif Ersoy olunuyor.
Yazacaklarýmýn bazýlarý gerçekten ölümcül bazýlarý ise sadece iþinizde daha iyi olmanýzý saðlayacak þeyler.
- Güvenlikçi Olarak Yaþamak, Güvenlikçi Olarak Düþünmek
- Yapmak deðil, yýkmak
- Kullanmak deðil, Suistimal etmek
- Derinlemesine Bilgi
- Paranoya
- Tutku
- Ýletiþim Becerisi
- Okuma
Penetration Testing, Güvenlik Uzmaný ve Vulnerability Assessment
Yazýnýn detaylarýna geçmeden önce bazý terimleri temiz þekilde ifade etmek gerekir.
Penetration Testing (Pen Test)
Bir sistemi dýþarýdan genelde ekstra hiçbir ekstra bilgi sahibi olmadan güvenlik açýklarýna karþý test etmek ve bu açýklarý mümkün olduðu kadar exploit etmek.
Vulnerability Assessment (VA)
Ayný penetration testing gibidir ama açýklar exploit edilmez, burada dikkat edilmesi gereken bir nokta var ki Vulnerability Assessment daha çok false positive verecektir ve açýðýn gerçek etkisini ortaya koymayabilir.
Mesela test edilen sistemdeki Buffer Overflow açýðý olan bir SMTP server varsa ama karþýdaki sistem x64 ise ve bu açýk x64 da geçerli deðilse Vulnerability Assessment bunu açýk olarak direk kabul edecektir ama gerçekte bu açýk exploit edilemeyeceðinden direk bir risk taþýmamaktýr. Buna raðmen eski versiyon bir yazýlým bulundurmak genelde iyi bir fikir olmadýðýndan VA’ ýn sonuçlarý her þekilde iþe yarayacaktýr.
Güvenlikçi / Güvenlik Uzmaný
Güvenlik Uzmaný çok geniþ bir terim genelde þu iki anlamda kullanýlýr:
- Bir sistemin güvenliðini saðlamadan sorumlu kiþi.
- Güvenlik iþini bilen kiþi.
Ýroniktir ki genelde güvenlikçikler sistemleri korurlar Penetration Testerlar gibi saldýrmazlar ama bu grubun ikisi de Güvenlikçi, Güvenlik Mühendisi, Güvenlik Uzmaný diye geçebilir.
Ek olarak bazý güvenlikçiler kendi sistemlerini test etmek için kendi içlerinden kendi sistemlerine saldýrganmýþ gibi de test edebilirler. Bu kiþiler genelde iki rolüde üstlenmiþ olurlar. Not düþmek lazým bu ayný kendi programýnýzda “bug” aramak gibidir, yani muhtemelen iyi sonuçlar vermeyecektir. Yazýlýmýn sahibi olarak yazýlýmýn zaten doðru oldu varsayýmý ile yola çýktýðýnýzdan genelde önünüzdeki sorunlarý bile göremeyeceksinizdir.
Güvenlikçi Olarak Düþünmek
Polisiye filmlerdeki klasik muhabbetlerden biri “profiling” dir yani saldýrganýn profilini çýkartabilmek. Buradaki en büyük kliþe ise bir dedektifin saldýrgan gibi düþünmesidir. Ne kadar kliþe olsa da bu gerçekten saldýrgana ulaþmanýn en iyi yoludur ve güvenlikçi de ayný periyoddan çok daha güçlü þekilde geçer.
Çünkü bir polis gerçekte saldýrgana ulaþmak için kimseyi öldürmez ama güvenlikçi siteye girer, exploit eder, database’ i indirir, reverse shell’ ine eriþir. Gerçekten suçu iþler, doruða çýkar ve iner. Bu gereksinim güvenlikçinin içerisinde saldýrgan kimliðinin bire bir yaþamasýný saðlar.
Bilinen bir gerçek bir çok büyük güvenlik firmasýnda çalýþan kiþilerin eski suçlu hackerlar olduðudur.
Örnek isterseniz Kevin Mitnick’ in kendisi ya da eski @stake’ in L0pth Heavy Industries hacker grubunda gelen tayfasý güzel bir örnek olacaktýr. Bu örneklerin yanýnda diðer bir çok benzer güvenlik sektöründe çalýþan kiþinin de karanlýk bir mazisi vardýr. Bu arada not düþmek gerekir ki bu furya deðiþiyor, yazýnýn ilerisinde ona deðineceðim.
O zaman güvenlikçi saldýrgan gibi düþünmelidir, Saldýrganýn motivasyonu nedir?
- Para,
Karþýdaki sistemi kýrýp elde edeceði getiri (Kredi Kartý vs.)
- Þan / Þöhret,
Cyber Grafiti veya benzeri gösteriler, Saldýrgan sistemi kýrabildiðini tüm dünyaya gösterir
- Ego Tatmini,
Saldýrgan karþýdaki sistemi kýrýp kendisinin sistemin geliþtiricilerinden daha iyi olduðuna inandýrýr, ek olarak kýrýlamayaný kýrmýþ yeni bir þey yapmýþtýr.
Peki ayný durumda penetration tester ne yapmaktadýr, onun motivasyonu nedir?
- Para,
Sistemi kýrmak, kontrolleri geçmek güvenlikçinin pozisyonun korumasý ya da daha iyi bir tester olup daha çok maaþ almasý demek.
- Þan / Þöhret,
Konu ar-ge olunca durum tamamen aynýdýr, güvenlikçi yayýnladýðý yeni bir bir makale, araþtýrma yazýsý ile o çevrede ünlenecektir, ayný þekilde saldýrýnýn baþarýsý ile de firma ya da kendi içerisinde bulunduðu grup içerisinde ünlenecektir.
- Ego Tatmini,
Güvenlikçi bu noktada saldýrgan ile birebir ayný duygularý paylaþýr.
Görüldüðü üzere güvenlikçi ile saldýrgan tamamen ayný duygular içerisindedir, dolayýyla penetration tester’ lar dünyadaki saldýrgan rolünü direk olarak oynayan sayýlý mesleklerin birini icra etmektedirler.
Saygýlar..
|