Penetrasyon/Sızma Testi Nedir?

Sızma testlerinde siber suçluların gerçek dünyada kullandığı yöntemler kullanılarak bir kurumun bilişim altyapısına sızılmaya ve ele geçirilmeye çalışılır. Böylelikle penetrasyon testi-Pentest yapan güvenlikçiler, hacker gibi düşünüp sisteme sızma ve ele geçirme senaryolarını uygulayarak ve saldırganların deneyebileceği tüm yöntemleri deneyerek gerçek bir saldırı ile karşılaşıldığında sistemin açıklık barındıran noktalarının onarılmış ve güvenliği sıkılaştırılmış olmasını sağlamaktadırlar. Penetrasyon testlerinde lisanslı veya açık-kaynak kodlu araçlar kullanılmakta, otomatize tarama araçlarının yanı sıra kuruma özel manuel testler de uygulanarak mümkün olduğunca tüm zafiyetler tespit edilip düzeltilmeye çalışılmaktadır.

Penetrasyon testlerinin amaçları:

– Kurumun güvenlik politikalarının ve kontrollerinin verimliliğini test etmek ve denetlemek
– Zafiyet ve açıklık taramasını içten ve dıştan derinlemesine uygulamak
– Standartlara uyumluluk için veri toplayan denetleme ekiplerine kullanılabilir data sağlamak
– Kurumun güvenlik kapasitesi hakkında kapsamlı ve ayrıntılı analiz sunarak güvenlik denetlemelerinin maliyetini düşürmek
– Bilinen zafiyetlere uygun yamaların uygulanmasını sistematik bir hale getirmek
– Kurumun ağ ve sistemlerinde mevcut olan risk ve tehditleri ortaya çıkarmak
– Güvenlik duvarı, yönlendirici ve web sunucuları gibi ağ güvenlik cihazlarının verimliliğini değerlendirmek
– Gelecek saldırı, sızma ve istismar girişimlerini önlemek için alınabilecek aksiyonları belirleyen kapsamlı bir plan sunmak
– Mevcut yazılım-donanım veya ağ altyapısının bir değişiklik veya sürüm yükseltmeye ihtiyacı olup olmadığını belirlemek

Kurumun penetrasyon testinden önce ağın karşılaşabileceği belli başlı tehditleri ortaya çıkarmayı sağlayacak bir risk değerlendirmesi yapması önem taşımaktadır.

Risk değerlendirmesine alınması gereken sistemler:

– Haberleşme ve e-ticaret servisleri, hassas bilginin iletimi ve saklanması işlemlerini gerçekleştiren sistemler
– Web siteleri, email sunucuları, uzaktan erişim platformları
– DNS güvenlik duvarı, parolalar, FTP, IIS ve web sunucuları
– Önemli üretim sistemleri
– Müşterilere ait sistemler

Penetrasyon Testi Metodolojisi

Penetrasyon testini bir standarda kavuşturmak için 2010 yılında oluşturulan Penetration Testing Execution Standard (PTES) standardında sızma testleri 7 ana aşama olarak belirlenmiştir:

Anlaşma öncesi etkileşim (Pre-engagement Interactions): Testte kullanılacak yöntem ve araçların açıklanması; kapsam, testin ne kadar sürede tamamlanacağı, nelerin test edileceği ve kapsamda belirtilmeyen şeyler için ek desteğin verilmesi
Bilgi toplama (Intelligence Gathering): Testi yapılacak kurumun hakkında stratejik bir atak planı oluşturmak adına kurumun girdi noktaları hakkında bilgi toplanması
Tehdit Modelleme (Threat Modeling): Bu aşamada varlıkların tanımlanıp kategorizasyonu ile tehditler ve tehdit topluluklarının tanımlanıp kategorizaston işlemlerinin yardımıyla kurumun varlıklarını ve bunun karşısında saldırganları merkeze alan bir tehdit modellemesi oluşturulması
Zafiyet Analizi (Vulnerability Analysis): Saldırganların istismar etmesine neden olacak sistem ve uygulama zafiyetlerini ortaya çıkarmak
İstismar (Exploitation): Güvenlik kısıtlamalarını atlatarak sisteme ve kaynaklara erişim sağlayarak kurumun ana giriş noktasını bulmak ve yüksek değerli varlıkları saptamak
İstismar sonrası (Post Exploitation): Ele geçirilen makinenin barındırdığı bilgilerin değerinin belirlenmesi ve makinenin ağdaki diğer hedeflerde kullanılması için kontrolünün sürdürülmesi
Raporlama (Reporting): Raporda testle ilgili tüm teknik detaylara ve test yapılması için üzerinde anlaşılan varlıklar ve bileşenlere yer verilmesi gerekmektedir. Kapsam, bilgiler, saldırı tekniği, kullanılan yöntemler, etki ve risk derecesi ile iyileştirme önerilerini içermelidir.

Sızma Testi yöntemleri nelerdir?

Blackbox:Bilgi Güvenliği Uzmanı’na sızma testinin gerçekleştirileceği yapı ve/veya sistemle ilgili önceden herhangi bir bilgi verilmez.
Whitebox:Bilgi Güvenliği Uzmanı’na firma/kurum içindeki tüm yapı ve/veya sistem hakkında bilgi verilir.
Graybox:‘Whitebox’ ile ‘Blackbox’ arasında olan bir sızma testi yöntemidir. Bilgi Güvenliği Uzmanı’na yapı ve/veya sistemler hakkında ‘detaylı’ bilgi verilmez.

Penetrasyon Test Çeşitleri

– Web Uygulama Sızma Testi
– Network Sızma Testi
– Mobil Sızma Testi
– DOS/DDoS Sızma Testi
– Wireless Sızma Testi
– Sosyal Mühendislik Sızma Testi

VERBİS ve KVKK İlişkisi

Kişisel Veri Nedir?

Bir bireyin etnik kökeni, politik düşünceleri, dini inançları, ticari ilişkileri ve üyelikleri, biyometrik datayı da kapsayan genetik verileri, sağlık bilgileri gibi tanımlanmasına katkı sağlayan önemli bilgiler kişisel veri olarak tanımlanmaktadır. Bu bağlamda bireyin adı, soyadı, doğum tarihi ve doğum yeri gibi onun kesin teşhisini sağlayan bilgilerin yanı sıra aynı zamanda kişinin fiziki, ailevi, ekonomik, sosyal ve sair özelliklerine ilişkin bilgiler de kişisel veri sayılmaktadır.

KVKK’nın Getirdiği Düzenlemeler

6698 sayılı Kişisel Verilerin Korunması Kanunu, yukarıda tanımlanan kişisel verilerin sahibinin izni olmadan işlenmesini önleyecek düzenlemeler getirmektedir. Bu kanuna göre bireylerin izni olmadan verilerinin işlenmesi suç olarak değerlendirilmektedir.

İlgili kurumun bireyin iznini almak istemesi halinde hangi tür verileri alıp hangi amaçlarla kullanacağına dair açık ve anlaşılır şekilde bilgilendirme yapması gerekmektedir. Aynı zamanda bu bilgilendirme, verilerin kimlerle paylaşılacağı ve ne zamana kadar saklanacağı konularını da kapsamalıdır.

Bu düzenlemeyi yürütmek üzere oluşturulan Kişisel Verileri Koruma Kurulu verileri toplayan/işleyen kurumları 6698 sayılı KVK kanunu ile kayıt altına alıp düzenleyecek. Bilgilerini alıp işleyen/işleten kurumlar ile problem yaşayan veri sahipleri bu resmi kuruma başvurup şikâyette bulunabilecek. Bu kurul, yukarıda bir kısmı belirtilen kuralları uygulamayan kurumlara altı sıfırlı rakamlarla para cezası vermek ve hatta bazı durumlarda kusur, ihmal ve kötü niyet sahibi yetkililere hapis cezasının yolunu açmak gibi yaptırımları uygulama yetkisi olan bir kurum olarak tanımlanmaktadır.

KVKK Hangi Kurumları İlgilendiriyor?

Gerçek bir kişi ile bağlantısı kurulabilecek kişisel verileri alan ve saklayan her kurum bu kanunun kapsamına girmektedir. Bu nedenle bu tür süreçleri işleten kurumların kanuna uyum için bir dizi çalışma yapması gerekmektedir. Kurumların KVKK’ya uyum çerçevesinde yerine getirmekle yükümlü olduğu bu çalışmalardan biri Veri Sorumluları Sicil Bilgi Sistemi VERBİS’e kayıt olmaktır.

VERBİS; kişisel verileri işleyen gerçek ve tüzel kişilerin, kişisel veri işlemeye başlamadan önce kaydolmaları gereken ve işlemekte oldukları kişisel verilerle ilgili kategorik bazda bilgi girişi yapacakları bir kayıt sistemi olarak tanımlanmaktadır. Kişisel Verileri Koruma Kanunu ile bağlantılı olarak veri işlemeye yetkili kurumların bilgi girişi yapmak için kullanmaları gereken Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) kayıt sistemine ait yönetmelik 30.12.2017 tarihli ve 30286 sayılı Resmi Gazetede yayınlanarak 01.01.2018 tarihinde yürürlüğe girmiştir.

KVKK’nın 16. maddesine göre ve Veri Sorumluları Sicili Hakkında Yönetmeliği’ne göre Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce VERBİS’e kayıt yaparken aşağıdaki bilgileri girmek zorundadırlar:

– Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri
– Kişisel verilerin hangi amaçla işleneceği
– Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar
– Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları
– Yabancı ülkelere aktarımı öngörülen kişisel veriler
– Kişisel veri güvenliğine ilişkin alınan tedbirler
– Kişisel verilerin işlendikleri amaç için gerekli olan azami süre

Kişisel Verileri Koruma Kurumu[1], VERBİS’e girilecek bilgilerin kesinlikle gerçek kişilere ait bilgiler olmayacağını kişisel verilerle ilgili sadece üst başlıklar halinde kategorik bazdaki bilgilerin sisteme girileceğini belirtiyor. Ayrıca sistemin kamuya açık tutulacağı ve vatandaşların veri sorumlularının girdiği bilgileri denetleyebileceği, amaç dışı kayıtların yapıldığını düşündükleri takdirde vatandaşların önce veri sorumlusuna alınan sonuca göre de Kişisel Verileri Koruma Kurumuna şikâyette bulunabilecekleri belirtiliyor. VERBİS’e girilen kayıtlar sayesinde herhangi bir şart olmadığı halde kişisel verileri işleyen veri sorumlularının tespit edilmesi ve gerekli önlemlerin uygulanması kolaylaşmaktadır.

Kaynak:

[1] VerbiseKayitUyarisi

2018-2019 yıllarına ait 5 büyük veri ihlaline ait bilgiler

2018-2019 yıllarına ait 5 büyük veri ihlaline ait bilgiler ve 2019 yılında yaşanan genel veri ihlalleri aşağıdaki gibidir.

2018 YILININ EN BÜYÜK VERİ İHLALERİ

2018 yılı dünyanın, kişisel verilerin gerçekte ne kadar erişilebilir olduğunu fark ettiği yıl olarak nitelendirilmektedir ve kişisel verileri koruma konusunda şirketler için zor bir yıldı. Facebook, Aadhar ve Google gibi önemli kurum ve yapılar dâhi veri ihlali yaşadı. Yaşanan bu olaylar kişisel verilerimizin ne kadar erişilebilir olduğunu ve BT ekiplerinin dâhi düzgün hizmet veremediğini göstermektedir. 2018 yılında yaşanan üç büyük veri sızıntısına ait bilgiler aşağıda verilmiştir.

Aadhar Veri Sızıntısı:

Aadhar, Hindistanın Benzersiz Kimlik Kurumu (UIDAI) tarafından yönetilen Hisdistan hükümeti kimlik veri tabanıdır. Aaadhar numarasına sahip olan kullanıcılara tanınan bazı ayrıcalıklar nedeniyle Hindistan nüfusunun 1,1 milyar kadar yüksek bir bölümü kişisel verilerini UIDAI’ye verdi. 2018 yılında Aadhar veritabanında yaşanan ihlal sonucu kişilere ait doğum tarihinden iris tarama bilgilerine kadar önemli kişisel veriler sızdırıldı. Bu ihlal 2017 yılın en büyük siber güvenlik sorunu olarak değerlendirildi.

Facebook Güvenlik İhlalleri:

25 Eylül’de Facebook, potansiyel olarak hizmetten çıkmış 90 milyon kullanıcısını etkileyebilecek bir güvenlik sorunu keşfetti. Daha sonra, kesin miktar bilinmese de, rakam bundan sonra 50 milyona ve 30 milyona düşürüldü. FBI soruşturmaya katıldı ve bu yüksek koordineli saldırının arkasında kimin olduğu hakkında kısıtlı bir bilgi var. Facebook 15 Eylül tarihinde “Farklı Görüntüle” özelliğinde sıra dışı bir aktivite fark etti. Saldırıda 3 farklı sıfırıncı gün zafiyetinden yararlanıldığı öngörülmüştür. Siber saldırganlar, etkilenen kullanıcıların hesaplarını kontrol altına alabilmek için kullanılacak erişim belirteçlerini çalabildi. Kullanıcılara ait yaş ve cinsiyetten etiketlendiği fotoğraflara kadar geniş bir yelpazedeki kişisel veriler ele geçirildi. Ayrıca bu yılın başlarında Facebook kullanıcılara ait parolaları düz metin olarak sakladığını itiraf etti. Üst üste yaşanan iki güvenlik sorunu muhtemelen Facebook’a olan güveni büyük oranda zedeledi.

Marriott Büyük Veri İhlali:

Ünlü otel Marriott 30 Eylül’de büyük çapta bir veri ihlali yaşadığını açıkladı. Fakat müşterilerini etkilenebilecekleri konusunda bilgilendirmeleri 3 ay gibi bir süreyi aldı. Sızdırılan bilgiler müşterilerin isimlerini, telefon numaralarını, ödeme bilgilerini, posta adreslerini, e-posta adreslerini ve pasaport numaralarını içeriyordu. Soruşturma sonrası bulunan kanıtlar saldırganların sistemlerine 2014 yılı başlarında eriştiğini gösteriyordu. Araştırmacılar bulunan dosyaların şifresini çözdükten sonra, müşterilerin kişisel bilgileri olduklarını kanıtladılar ve tam açıklama yaklaşık üç ay sonra gerçekleşti. Bu, Marriott’un itibarında önemli bir hasara yol açtı.

2019 YILININ EN BÜYÜK VERİ İHLALERİ

2019 yılının ilk altı ayına ait en büyük veri ihlali yaşanan olaylar aşağıda verildiği gibidir.

Phishy Wipro Veri İhlali: Hintli BT’nin dış kaynak kullanımı ve danışmanlık devi Wipro Ltd. şirketi 17 Temmuz tarihinde kimlik avı saldırısına uğradığını söyledi. BT sistemlerinin saldırıya uğradığını doğruladı ve durumu ele almak için adli bir firmaya başvurduğunu belirtti. 2 Mayıs’ta yayınlanan daha yeni bir makaleye göre, saldırganların Wipro içindeki çalışan makinelerin güvenliğini tehlikeye atmak için uzaktan erişim aracı ScreenConnect kullandığı tespit edildi. Ayrıca, saldırganların 2017 ve hatta 2015 yıllarındaki eski kötü niyetli faaliyetlerle bağlantılı olabileceği ve önceki saldırılar altyapısının çoğunu şimdiki saldırıları için yeniden kullandığı da tespit edildi. Birçok müşteri bu saldırıdan etkilendi doğal olarak şirkete olan güven azaldı.

Dunkin Donuts Veri İhlali:

Dunkin Donuts ilk olarak geçen yılın kasım ayının sonuna doğru stuffing saldırısına uğradığını söyledi. Ocak ayında yaşadığı saldırı sonrasında kullanıcılarını daha fazla hesap ihlali konusunda uyardı. Bu saldırıda bilgisayar korsanları DD Perks ödül hesaplarına girmek için diğer sitelere sızdırılmış kullanıcı kimlik bilgilerini kullandı.  Bir DD Perks ödül hesabı, kullanıcının adını ve soyadını, e-posta adresini (kullanıcı adı) ve 16 basamaklı DD Perks hesap numarasını ve QR kodu bilgi türlerini içerir. Yaşanan ihlalde kullanıcıya ait bu bilgilerin saldırganların eline geçmesi şirketin itibar ve güven kaybına neden olur.

Toyota’nın İkinci Defa Yaşanan Veri İhlali:

Toyota’nın ikinci defa yaşadığı veri ihlali milyonlarca kullanıcısını etkiledi. Toyota, resmi internet sitesinde 29 Mart 2019 tarihinde yaptığı açıklamada, ihlalin potansiyel olarak 3,1 milyon kişiyi etkilediğini belirtti. Şirket, bilgisayar korsanlarının bu durumda özel müşteri veya çalışan verilerine eriştiğine inanmadığını söyledi. Ayrıca, Toyota’nın BT ekibinin, konunun en altına inilmesi konusunda tavsiyeler almak için uluslararası siber güvenlik uzmanlarıyla iletişim kurduğunu doğruladı.

Walmart Email Veri İhlali:

FBI, Walmart’ın teknoloji tedarikçilerinden birinden çalışanların perakendecinin e-posta iletişimini yasa dışı olarak izlediğini iddia etti. New York Times, 2015’in sonlarında 2016’nın başlarında, Walmart’ın yardım masasına atanan Compucom çalışanlarının, perakendecideki belirli e-posta hesaplarını izlemek için erişimini kullandığını ve iddiaya göre bu bilgileri rakiplerin önüne geçmek için kullandığını bildirdi. FBI raporuna göre, bir Compucom teknisyeni bir Walmart disipliniyle ilgili bir e-postanın fotoğrafını çektikten sonra bir anlık mesajlaşma sisteminde sohbet ettiği bir Walmart çalışanına gönderilmesiyle plan keşfedildi.

Citrix Veri İhlali:  

6 Mart 2019’da FBI, Stan Black, CISSP ve Citrix’in CSIO’su uluslararası siber suçluların iç Citrix ağına erişim kazandığını iddia etti. FBI hala ayrıntıları araştırırken, thehackernews.com, İran destekli Iridium hacker grubunun geçen yıl Aralık ayında Citrix’e saldırdığı ve bu saldırıda e-postalar, planlar ve diğer belgeler dâhil olmak üzere en az 6 terabaytlık hassas iç dosya çaldığını bildirdi. İran bağlantılı hack grubu, dünya çapında 200’den fazla devlet kurumuna, petrol ve gaz şirketlerine, teknoloji şirketlerine ve diğer hedeflere yönelik son siber saldırıların da arkasındaydı.

2019 Yılı Veri İhlalleri

2019 yılındaki veri ihlalleri sonucunda toplam 39,7 milyon kayıt sızdırıldı. Veri ihlalleri ve sızan veri sayısına ait liste aşağıda verildiği gibidir.

– Broome Co., NY, hükümet sistemleri yetkisiz kişilerce erişildi. (bilinmiyor)
– Chicago Üniversitesi’ndeki veritabanı yanlış yapılandırma sonucu kişisel verilerin ihlaline sebep oldu. (1,679,993)
– Yahudi escort uygulaması JCrush, kullanıcının kişisel verilerini ve özel mesaj kayıtlarını güvensiz veritabanında tutularak kişisel verilerin ihlaline sebep oldu  (200.000)
– Baltimore Co. Okulları, öğrenciler ve çalışanlar hakkında hassas verileri ortaya koymaktadır (+116.000)
– Shanghai Jiao Tong Üniversitesi, öğrencilerin e-posta meta verilerini sızdırıyor (bilinmiyor)
– Evernote eklentisindeki kritik açıklık kullanıcının hassas verilerini tehlikeye atmaktadır. (4.6 milyon)
– Kanadalı şehir gizlilik, ihlali sakinlerine bildirir (2,345)
– Graceland Üniversitesi veri ihlalini açıkladı (bilinmiyor)
– Oregon Eyalet Üniversitesi de veri ihlalini açıkladı (636)
– Dublin Limanı Şirketi bir veri sızıntısı kaynağını araştırıyor (bilinmeyen)
– Temple Üniversitesinde ki bir çalışan, öğrenci bilgilerini yanlışlıkla İnternet’e yükledi (160)
– Şikago merkezli sağlık merkezi şu anda kapalı olan tesiste hasta verilerini bıraktı. (bilinmiyor)
– Hindistan iş portalına ait yanlış yapılandırılmış veritabanı, büyük veri ihlallerine (1.6 milyon) neden oluyor
– Reklam ajansı, hastaların tıbbi yaralanma iddia kayıtlarına maruz kaldı (150.000)
– Maryland merkezli iki tıbbi uygulama, kazayla veri ifşa edildikten sonra hastaları haberdar ediyor (3,380)
– HIV hastalarının verileri NHS Highland e-posta gaffe’de ihlal edildi (37)
– Specsavers, Queensland müşterilerinin özel tıbbi bilgilerinin kaybolduğunu söyledi (bilinmiyor)
– Theta360, kullanıcı tarafından yüklenen fotoğrafları koruyamadı. (11 milyon)
– Creighton Üniversitesi’ndeki BT hatası hasta tıbbi kayıtlarını ulaşılmasına imkân veriyor. (bilinmeyen)
– Indiana merkezli sağlık kuruluşu, bir çalışanın hasta verilerine yetkisiz erişim sağladığını söyledi. (2.200)
– Tayvan kamu hizmeti sistemi veri ihlalini yaşadığını bildirdi. (240.000)
– Woodbury’deki Merrill Sanat Merkezi veri ihlali yaşadı.

KVKK Kapsamında; Office 365 ve Gmail Kullanımı

Kişisel Verileri Koruma Kurulu son noktayı koydu.

  • Google firmasına ait G-mail e-posta hizmeti altyapısının kullanılması durumunda gönderilen ve alınan e-postaların dünyanın çeşitli yerlerinde bulunan veri merkezlerinde tutulması söz konusu olacağından, böyle bir durumda kişisel verilerin yurt dışına aktarılmış olacağına ve veri sorumlularının söz konusu uygulamayı 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) “Kişisel verilerin yurt dışına aktarılması” başlıklı 9 uncu maddesi hükümlerine uygun olarak gerçekleştirmesine;
  • “Server”ları yurt dışında bulunan veri sorumlularından/veri işleyenlerden temin edilen saklama hizmetlerinin de Kanunun 9 uncu maddesi hükümlerine uygun olarak gerçekleştirilmesine

karar verilmiştir.[1]

Yukarıdaki karar çerçevesinde

  1. Çalışanlarınızdan
  2. Mailleştiğiniz kişilerden

açık rıza almanız şart oldu. Ayrıca Kurul’dan onay alınmalıdır.

Kaynak : KVKK

Kali Linux Kurulumu

Kali Linux nedir ve ne amaçla kullanılır?

Kısaca tanımlamak gerekir ise Backtrack Linux temelleri üzerine oturtulmuş, resmi olarak Offensive Security adlı şirket tarafından desteği sunulan, Debian tabanlı bir Linux işletim sistemidir. Kali Linux penetrasyon testleri, güvenlik testleri ve tersine mühendislik yapabilmek adına bulabileceğiniz içerisinde birçok tool bulunan ve hazır olarak gelen bir işletim sistemdir. Günümüzde güvenlik ve penetrasyon testlerinde en çok kullanılan sistem olması geçerliliğini muhafaza etmektedir.

Alıntıdır : FUD Rain