Penetration Tester Olmak

Daha önceden pek çok kişi zaten söyledi güvenlikçi olmak sadece
birkaç teknik konuyu iyi bilmek ya da birkaç kitap okumak değil daha
çok beynin nasıl çalıştığı, bir soruna nasıl yaklaşıldığı ve olaylara
bakış açısı ile ilgili. Bunun yanında bir çok başka meslekte de
gerektiği gibi gündemi takip etme, odaklanma ve havadaki kokuları
alabilme de gerekli meziyetlerden.

Bir güvenlik uzmanının ya da
daha spesifik olarak penetration tester’ ın bir dizi özelliğe ihtiyacı
var. Bu özelliklerin bir kısmı teknik, ve teknik şeyler öğrenilebilir
ama bir kısmı da doğuştan gelen huylar ve muhtemelen ne yaparsanız
yapın öğrenemeyeceğiniz ya da gerçekten öğrenmesi seneler sürecek
şeyler.

Konuyu burada hemen “güvenlikçi oılunmaz, güvenlikçi doğulur(!)” a bağlamak istemiyorum, çünkü durum bu değil. İddialara göre Mehmet Akif Ersoy demiş ki “Şiirin %5 ilham, %95 çalışmaktır”. Ben de bu şekilde düşünüyorum, dolayısıyla %5 + %95 e erişince Mehmet Akif Ersoy olunuyor.

Yazacaklarımın bazıları gerçekten ölümcül bazıları ise sadece işinizde daha iyi olmanızı sağlayacak şeyler.

  • Güvenlikçi Olarak Yaşamak, Güvenlikçi Olarak Düşünmek
    • Yapmak değil, yıkmak
    • Kullanmak değil, Suistimal etmek
  • Derinlemesine Bilgi
  • Paranoya
  • Tutku
  • İletişim Becerisi
  • Okuma

Penetration Testing, Güvenlik Uzmanı ve Vulnerability Assessment

Yazının detaylarına geçmeden önce bazı terimleri temiz şekilde ifade etmek gerekir.

Penetration Testing (Pen Test)
Bir
sistemi dışarıdan genelde ekstra hiçbir ekstra bilgi sahibi olmadan
güvenlik açıklarına karşı test etmek ve bu açıkları mümkün olduğu kadar
exploit etmek.

Vulnerability Assessment (VA)

Aynı
penetration testing gibidir ama açıklar exploit edilmez, burada dikkat
edilmesi gereken bir nokta var ki Vulnerability Assessment daha çok
false positive verecektir ve açığın gerçek etkisini ortaya koymayabilir.

Mesela
test edilen sistemdeki Buffer Overflow açığı olan bir SMTP server varsa
ama karşıdaki sistem x64 ise ve bu açık x64 da geçerli değilse
Vulnerability Assessment bunu açık olarak direk kabul edecektir ama
gerçekte bu açık exploit edilemeyeceğinden direk bir risk taşımamaktır.
Buna rağmen eski versiyon bir yazılım bulundurmak genelde iyi bir fikir
olmadığından VA’ ın sonuçları her şekilde işe yarayacaktır.

Güvenlikçi / Güvenlik Uzmanı

Güvenlik Uzmanı çok geniş bir terim genelde şu iki anlamda kullanılır:

  • Bir sistemin güvenliğini sağlamadan sorumlu kişi.
  • Güvenlik işini bilen kişi.

İroniktir
ki genelde güvenlikçikler sistemleri korurlar Penetration Testerlar
gibi saldırmazlar ama bu grubun ikisi de Güvenlikçi, Güvenlik
Mühendisi, Güvenlik Uzmanı diye geçebilir.

Ek olarak bazı
güvenlikçiler kendi sistemlerini test etmek için kendi içlerinden kendi
sistemlerine saldırganmış gibi de test edebilirler. Bu kişiler genelde
iki rolüde üstlenmiş olurlar. Not düşmek lazım bu aynı kendi
programınızda “bug” aramak gibidir, yani muhtemelen iyi sonuçlar
vermeyecektir. Yazılımın sahibi olarak yazılımın zaten doğru oldu
varsayımı ile yola çıktığınızdan genelde önünüzdeki sorunları bile
göremeyeceksinizdir.

Güvenlikçi Olarak Düşünmek

Polisiye
filmlerdeki klasik muhabbetlerden biri “profiling” dir yani saldırganın
profilini çıkartabilmek. Buradaki en büyük klişe ise bir dedektifin
saldırgan gibi düşünmesidir. Ne kadar klişe olsa da bu gerçekten
saldırgana ulaşmanın en iyi yoludur ve güvenlikçi de aynı periyoddan
çok daha güçlü şekilde geçer.

Çünkü bir polis gerçekte
saldırgana ulaşmak için kimseyi öldürmez ama güvenlikçi siteye girer,
exploit eder, database’ i indirir, reverse shell’ ine erişir. Gerçekten
suçu işler, doruğa çıkar ve iner. Bu gereksinim güvenlikçinin
içerisinde saldırgan kimliğinin bire bir yaşamasını sağlar.

Bilinen bir gerçek bir çok büyük güvenlik firmasında çalışan kişilerin eski suçlu hackerlar olduğudur.

Örnek
isterseniz Kevin Mitnick’ in kendisi ya da eski @stake’ in L0pth Heavy
Industries hacker grubunda gelen tayfası güzel bir örnek olacaktır. Bu
örneklerin yanında diğer bir çok benzer güvenlik sektöründe çalışan
kişinin de karanlık bir mazisi vardır. Bu arada not düşmek gerekir ki
bu furya değişiyor, yazının ilerisinde ona değineceğim.

O zaman güvenlikçi saldırgan gibi düşünmelidir, Saldırganın motivasyonu nedir?

  • Para,
    Karşıdaki sistemi kırıp elde edeceği getiri (Kredi Kartı vs.)
  • Şan / Şöhret,
    Cyber Grafiti veya benzeri gösteriler, Saldırgan sistemi kırabildiğini tüm dünyaya gösterir
  • Ego Tatmini,
    Saldırgan
    karşıdaki sistemi kırıp kendisinin sistemin geliştiricilerinden daha
    iyi olduğuna inandırır, ek olarak kırılamayanı kırmış yeni bir şey
    yapmıştır.

Peki aynı durumda penetration tester ne yapmaktadır, onun motivasyonu nedir?

  • Para,
    Sistemi
    kırmak, kontrolleri geçmek güvenlikçinin pozisyonun koruması ya da daha
    iyi bir tester olup daha çok maaş alması demek.
  • Şan / Şöhret,
    Konu
    ar-ge olunca durum tamamen aynıdır, güvenlikçi yayınladığı yeni bir bir
    makale, araştırma yazısı ile o çevrede ünlenecektir, aynı şekilde
    saldırının başarısı ile de firma ya da kendi içerisinde bulunduğu grup
    içerisinde ünlenecektir.
  • Ego Tatmini,
    Güvenlikçi bu noktada saldırgan ile birebir aynı duyguları paylaşır.

Görüldüğü
üzere güvenlikçi ile saldırgan tamamen aynı duygular içerisindedir,
dolayıyla penetration tester’ lar dünyadaki saldırgan rolünü direk
olarak oynayan sayılı mesleklerin birini icra etmektedirler. Ferruh Mavituna tarafından yazıya (bloguna) alınmıştır.

Kaynak

Ekleyen;

Mehmet ARI

Bu yazı Güvenlik içinde yayınlandı. Kalıcı bağlantıyı yer imlerinize ekleyin.

Bir Cevap Yazın

Aşağıya bilgilerinizi girin veya oturum açmak için bir simgeye tıklayın:

WordPress.com Logosu

WordPress.com hesabınızı kullanarak yorum yapıyorsunuz. Log Out / Değiştir )

Twitter resmi

Twitter hesabınızı kullanarak yorum yapıyorsunuz. Log Out / Değiştir )

Facebook fotoğrafı

Facebook hesabınızı kullanarak yorum yapıyorsunuz. Log Out / Değiştir )

Google+ fotoğrafı

Google+ hesabınızı kullanarak yorum yapıyorsunuz. Log Out / Değiştir )

Connecting to %s