| Penetration Test Tools |
| Bilgi güvenliği, özellikle e-ticaret ve e-devlet
uygulamalarının yaygınlaşmasıyla birlikte oldukça önemli bir hâle
gelmiştir. Bilginin güvenli bir şekilde iletilmesi, işlenmesi ve
saklanması bilişim uzmanlarının başlıca görevlerinden birisi olmuştur.
İletilen bilginin veya bilgiyi ileten sistemin gerekli güvenlik
özelliklerini sağlayıp sağlamadığını test etmek ve denetlemek için ağ
güvenliği test ve denetim araçları kullanılmaktadır. Bu araçlardan
bazıları ücretsizdir, bazıları ise belirli bir ücretlendirmeye tabidir.
Ağ güvenliği test ve denetim araçlarının birçoğu Backtrack altında
toplanmıştır. Backtrack, Linux işletim sistemi üzerine kuruludur ve
CD’den boot edilerek kullanılmaktadır. Ağ güvenliği test ve denetim
araçları aşağıdaki başlıklar altında gruplandırılabilir:
♦ Ağ dinleme araçları ♦ Port tarayıcılar ♦ Şifre kırma araçları ♦ Web güvenliği test araçları Ağ Dinleme Araçları Ağ ve sunucu trafiğini izlemek için ve ağ dinlemek için kullanılan araçlardır. Ağ dinleme araçları arasında en çok kullanılan ve en yaygın olanı eski adıyla Ethereal, yeni adıyla Wireshark programıdır (http://www.wireshark.org) Wireshark açık kaynak kodlu bir yazılımdır ve internetten ücretsiz olarak indirilebilir. Hem Windows hem de Linux işletim sistemleri üzerinde çalışmaktadır. Wireshark trafiği kaynak adres, hedef adres, kaynak port, hedef port gibi belirli kriterlere göre yakalayabilmektedir. Ayrıca izlenen trafik sonradan incelenmek üzere kaydedilebilir. Bu program aynı zamanda kablosuz ağları da dinleyebilmektedir. Port Tarayıcılar Hedef makine de ne kadar çok açık port varsa, açıklık potansiyeli de o kadar fazla olmaktadır. Bu yüzden kullanılmayan portların kapatılmış olması gerekir. Hedef bilgisayar üzerinde açık olan portlar, port tarayıcı yazılımlar ile tespit edilmektedir. En yaygın olarak kullanılan port tarayıcı program Nmap yazılımıdır (http://nmap.org). Nmap, açık kaynak kodlu bir yazılım olup ücretsizdir. Hem Windows hem de Linux üzerinde çalışabilmektedir. Nmap programının en önemli özellikleri şunlardır: • TCP ve UDP port taraması yapabilmektedir. • İşletim sistemi tespiti yapabilmektedir. • Çalışan servisleri tespit edebilmektedir. • Yazılımların sürümünü tahmin edebilmektedir. • Bir ağdaki canlı bilgisayarları tespit edebilmektedir. • Raporlama yeteneği bulunmaktadır. Test sonucunda HTML formatında raporlar çıkarmaktadır. • Nmap, komut satırıyla çalışan bir programdır. Ancak, Zenmap isminde kullanıcı arayüzüne sahip olan sürümü de çıkmıştır Şifre Kırma Araçları Hedef cihazda çalışan bir servise ait kullanıcı adını ve parolayı kırmak için şifre kırma araçları kullanılmaktadır.Örneğin bir yönlendiricinin yönetimini ele geçirmek için şifre kırma araçları kullanılabilir. Bu araçlar vasıtasıyla yönlendiriciyi yönetmek için kullanılan kullanıcı adı ve parola elde edilebilir. Bu araçlara örnek olarak Cain and Abel, Brutus, Hydra ve L0phtCrack programları verilebilir. Bu araçlardan Cain and Abel, ücretsiz bir yazılımdır (http://www.oxid.it/cain.html). Sadece Windows işletim sistemleri üzerinde çalışabilmektedir. Web Güvenliği Test Araçları Günümüzde uygulama güvenliği diğer güvenlik araçlarının da önüne geçmiştir. Çünkü uygulamalar genellikle sınırlı bir ekip tarafından geliştirilmekte ve test edilmektedir. Bu da bilinen genel güvenlik yazılım ya da donanımlarına göre daha çok açıklık barındırmalarına sebep olmaktadır. Bu yüzden piyasada bu tür araçlar hızla artmaktadır. Web uygulama güvenliği alanında en önemli araçlardan bazıları şunlardır. Paros, açık kaynak kodlu bir yazılım olup platform bağımsız çalışmaktadır (http://www.parosproxy.org/index.shtml). Genellikle internet tarayıcı ara yüzünden girilmesine izin verilmeyen karakterlerin uygulama yazılımına gönderilmesi için kullanılır. Aynı şekilde uygulama yazılımına paketler gönderilirken yakalanarak içerikleri değiştirilip gönderilebilir. Ya da daha önceden yakalanmış olan paketler gönderilir. Bunların sonucunda uygulama devre dışı bırakılmaya zorlanabilir ya da uygulamanın yapısı hakkında bilgi toplanabilir. Paros kullanılarak ağın haritası çıkarılabilir. Buradan ağın haritasına bakılarak hangi sayfaların olduğu kolayca görülebilir. Web testi kısmında ise injection, oturum numarası tahmin etme gibi birçok açıklığı uygulama üzerinde deneyebilir. FireBug, Mozilla Firefox’un bir uzantısı olarak çalışır (http://www.getfirebug.com). Platformdan bağımsız olarak çalışır. Web sayfasının istenilen herhangi bir yerine gelindiğinde o kısımla ilgili kodu gösterebilir ve o kısımda inceleme yapılabilir. O kısmın kodu kolayca değiştirilebilir. Bu araç hem geliştiriciler hem de testçiler tarafından etkin olarak kullanılabilir. Ticari bir yazılım olan Acunetix, Windows işletim sistemi üzerinde çalışmakta olup version check, CGI kontrol, parametre değişimi, dosya kontrolü, dizin kontrolü gibi testleri yapmaktadır (http://www.acunetix.com). Bu testleri yaparken istenilen testler için profiller oluşturularak sadece seçilen testlerin yapılması sağlanmaktadır. Uygulama açıklığı taraması yapmaktadır. İstenilen açıklıkları ekleyebilme yeteneği mevcuttur. Yapılan açıklıklarla ilgili detaylı raporlar üretmesinin yanında tek tuşla internetten güncellenebilmektedir. Tüm penetrasyon test araçları listesi: Web Uygulaması Test Araçları; Netsparker,Acunetix Web Vulnerability Scanner,Webinspect... Netsparker nedir? Netsparker,bir web uygulaması güvenlik tarayıcısıdır.Otomatik olarak bir web sitesini uygulama seviyesindeki güvenlik açıklarına karşı analiz edip güvenlik açıklarını raporlar. Ek olarak raporlamanın bir adım da ötesine geçip güvenlik açıklarını kullanarak aynı bir saldırgan gibi sistemden data çıkartabilir ya da sisteme tam erişim sağlayabiliyor. Bu sayede SQL Injection,Cross-site Scripting gibi açıkları başkaları bulmadan siz bulabiliyorsunuz.
Acunetix Web Vulnerability Scanner nedir?
Sadece
web uygulamalarını denetlemekle kalmamakta, aynı zamanda web
uygulamasının bulunduğu server’ı da tüm saldırı yöntemlerine göre
denetlemektedir. Serverda bulunan güvenlik açıklarını bize belirtmektedir. Kendi Crawler’ı ile bize web server tipini ve dilini göstermektedir. Tüm kodlama dillerinin güvenlik açıklarını tarar.
Webinspect nedir?
WebInspect,
web uygulamalarındaki güvenlik açıklarını, kodlama hatalarını bulup
çözüm önerileri getirerek güvenlik duvarı ve saldırı tespit sistemleri
için tamamlayıcı bir rol oynar. WebInspect
çözümünün kolay yönetilen arayüzü, genişletilebilen fonksiyonları ile
ister test ortamında, ister gerçek ortamında, web uygulamalarınızı ve
web servislerinizi güvenlik değerlendirmesinden en doğru sonuçları elde
ederek geçirebilirsiniz. WebInspect
Enterprise Edition sürümünün içerisinde bulunan test araçlarını, SPI
ToolKit paketine terfi edip, kompleks tarama metodlarını basite
indirgeyen, SQL Injector, HTTP Fuzzer ve Cookie Cruncher gibi daha
gelişmiş denetim araçlarınıda kullanabilirsiniz. WebInspect
kullanıcılara, herhangi bir web uygulamasının ve/veya web servisin in
teknolojilerinin uygulama günveliği açısından denetleme ve olası
riskleri bulma olanağı sunar, aynı zamanda aşşağıdaki web uygulama platformlarını desteklemektedir:
· Microsoft Visual Studio .NET· Macromedia ColdFusion · Lotus Domino · Oracle Application Server · Macromedia JRun · BEA Weblogic · Jakarta Tomcat · Forte
Genel Amaçlı Güvenlik Açığı Tarayıcılar; Qualys,Nessus vb..
Qualys Nedir ?
Çevrimiçi açık tespiti.Açık
tespiti için kullanacağınız programların yanında doğrudan bu iş için
tasarlanmış web sitelerine bağlanarak çevrimiçi açık tespiti
yapabilirsiniz. Qualysguard Enterprise Intranet Scanner hizmeti böylesi bir açık hat web sitesidir (http://www.qualys.com) Aşağıda Qualys’e ait örnek bir ekran görüntüsünü bulabilirsiniz:
Nessus nedir?
Gereksinimi: Linus, Solaris, Mac, Windows.Linux’ta
sıkça kullanılan, kapsamlı bir güvenlik açığı tarama yazılımıdır.
Kişisel ve hertür kurumsal olmayan kullanım için ücretsizdir. Genel
amacı, bilgisayar sistemlerinde ve bilgisayar ağlarında potansiyel
güvenlik açıklarını tespit etmektir. Nessus bir port tarama yazılımından
çok daha üstün özelliklere sahiptir. Nessus, servislerdeki açıkları
eklentilerinin güncelliğine bağlı olarak test edebilir. Çalışma prensibi
istemci/sunucu biçimini kullanır ve test edilecek sistemde nessus
sunucu yazılımının açık olması daha derinlemesine test ve analiz imkânı
sunar.
Nessus 3 den bir görünüm:
İstismar Altyapıları Araçları; metasploit.
Metasploit nedir?
Gereksinimi: Win32 / UNIXMetasploit,
popüler ve yararlı exploitlerin daha ileri seviyede özellikler eklenip,
bizlerin hizmetine sunulmuş bir framework çalışmasıdır. Metasploit Framework Ruby ve Perl dilinde yazilmis bir gelistirme ve cesitli Exploitler test ortaminda kulanilmakdadir.
Bir örnek verecek olursak;msrpc_dcom_ms03_026 metasploit kullanarak (Update edilmiş XP-2000 işletim sisteminde çalışmamaktadır) RPC üzerinden c:\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\ command promt kadar düşüp istendiği gibi hareket alanı sağlanmaktadır. Farklı bir örnek ise IIS WebDav üzerine basit Metasploit atakları ile değişiklikler söz konusu olabilir..Buradaki bizim amacımız bir nevi penetration testi yapmaktır.
Veritabanı Tarayıcıları Test Araçları; appdetective.
AppDetective nedir?
AppDetective
ağ tabanlı çalışan ve ağ üzerinde kullanılan uygulamaların/yazılımların
güvenlik seviyelerini kontrol etmeye yarayan bir araçtır. Sahip olduğu
gelişmiş güvenlik metadolojisi ve kapsamlı uygulama açıkları veritabanı
ile, AppDetective uygulama açıklarını bulup, analiz edip, raporlayıp,
size açığı nasıl kapatebileceğiniz hakkında bilgi verir.
AppDetective aşşağıdaki yazılımları desteklemektedir:
• MySql
• Oracle • Sybase • IBM DB2 • Ms Sql Server • Lotus Notes/Domino • Web application
Güvenlik test araçları; Babel Enterprise,BFBTester-Brute Force Binary Tester,CROSS,Flawfinder,Gendarme,Nikto,nsiqcppstyle,Oedipus,Paros,WebScarab,Wireshark
Babel Enterprise nedir?
Babel
Enterprise, konulara göre (grup veya kuruluşlar) bölünerek varlıkları ve
politikalarının riskini yönetir. UNE-ISO/IEC gibi güvenlik
düzenlemelerinde tam uyum 27001 veya diğerleri nokta kontrol edilebilir.
LOPD, SOX, vs bu gibi.Gereksinimi: Linux, Solaris, WinXP, HP-UX, IBM AIX Canavar kuvvet ikili test cihazı nedir? (BFBTester - Brute Force Binary Tester) BFBTester ikili programların hızlı, proaktif ve güvenlik denetimleri yerine iyi gelir. BFBTester tekli ve çoklu argüman komut satırı taşmaları ve çevre değişkeni taşması kontrollerini gerçekleştirir. Ayrıca geçici dosya oluşturma faaliyeti için tüm programları güvensiz geçici dosya adları kullanılarak kullanım uyarmak için izleyebilirsiniz. Gereksinimi: POSIX, BSD, FreeBSD, OpenBSD, Linux CROSS nedir? CROSS (Codenomicon Sağlam Açık Kaynak Yazılım) programı açık kaynak projeleri kendi kodunu kritik kusurları düzeltmek ,yardımcı olmak üzere tasarlanmıştır. Codenomicon programı CROSS ödüllü DEFENSICS tam erişim çözümlerini test etmek, proje bulmak ve çok hızlı kritik kusurları çok sayıda düzeltmesine yardımcı açık kaynak projeleri sağlar. Gereksinimi: 130 protokol arayüzleri ve biçimleri. Flawfinder nedir? C / C + + kaynak kodu tarar ve olası güvenlik açıklarını raporlar. Varsayılan olarak, bu tür risk düzeyi (kodu riskli operasyonlar yaparak raporlarını ilk listelenmiştir) Gereksinimi: Python 1.5 veya daha yüksek Gendarme Nedir ? (Jandarma) Jandarma, genişletilebilir bir kural tabanlı araç sorunlarını bulmadır .NET uygulamalarını ve kütüphaneleri. Jandarma programları ve ECMA Çil biçimi (Mono ve. NET) kod içeren kütüphaneler denetler ve kodu, derleyici genellikle tarihsel kontrol sorunları olan ortak sorunlar arar. Gereksinimi: .NET (Mono veya MS runtime) Nikto nedir? Nikto birden fazla öğe için web sunucularına karşı kapsamlı testler yapan açık kaynaklı bir web sunucusu tarayıcısıdır. Potansiyel tehlikeli dosya / CGI’lerde 3200 üzerinde de dahil olmak üzere,625 üzerinden on sürümleri sunucuları ve 230 üzerinden on sürümü belirli sunucuları sorunlar. Gereksinimi: Windows/UNIX Nsiqcppstyle nedir? Nsiqcppstyle genişletilebilir ve kolay kullanım sağlamak için, C / C + + kaynak kodu için son derece bakımlı kodlama stili denetimini hedefler. Kurallar ve analiz motoru ayrılmıştır ve kullanıcıların kendi C / C + + stil kurallarını kodlamaları gelişebilir. Ayrıca, özelleştirilebilir bir kural sunucusu (Google App Engine veya esaslı Django) Bu proje, Güney Kore NHN corp iç araç kümesi sağlamak için geliştirilmiştir. Gereksinimi: Platform Bağımsız Oedipus nedir? (Odip) Oedipus açık kaynaklı bir web uygulama güvenliği analizidir. Farklı ayrıştırma kapasitesine sahip off-line dosyaları ve güvenlik açıklarını tespit eder. Analiz bilgileri kullanarak, Oedipus dinamik uygulama ve web sunucusu güvenlik açıklarını web siteleri ile test edebiliriz. OSSTMM - Açık Kaynaklı Güvenlik Testi Metodolojisi Kılavuzu nedir? (OSSTMM - Open Source Security Testing Methodology Manual) Bu kılavuz internet güvenlik testleri için bir standart ortaya koymaktadır.
Paros Nedir ?
Paros,
web uygulamalarına güvenlik değerlendirmek için gerekir.nTamamen Java
ile yazılmıştır.nTüm HTTP ve HTTPS veri sunucu istemci arasında, aşçı ve
form alanları da dahil olmak üzere ele geçirilebilir.Gereksinimi: Çapraz platform, Java JRE / JDK 1.4.2 veya daha üst.WebScarab Nedir ? WebScarab web uygulama güvenliği değerlendirme araçları tamamen Java ile yazılmış gevşek bir takımdır. Bir araç öncelikle kendileri tarafından kod yazılarak, geliştiriciler sayesinde kullanılmak üzere tasarlanmıştır. WebScarab’tan görünüm; 
Wireshark Nedir ?
Wireshark
eski Ethereal olarak, sorun giderme ve analiz için dünya çapında ağ
uzmanları tarafından kullanılan,yazılım ve protokol geliştirme ve
eğitimdir. Bu protokol analizörün de tüm standart özellikler vardır.daha fazlası için Penetrasyon testleri(Sızma testleri) günümüz bilgi güvenliği dünyasının en popüler konularından biri. Bu konuda verdiğim eğitimlerde sık sık  karşılaştığım
belirli sorular oluyor, bunlara toptan cevap olması adına 10 soruda
pentest konulu bir yazı hazırladım. Pentest nedir, neden yaptırmalıyım,
kime nasıl yaptırmalıyım gibi sorulara cevap arıyoruz. Sizin de bu konu
hakkında fikirleriniz varsa yorumlarınızla zenginleştirebilirsiniz.Öncelikle pentest kavramından ne anladığınızı ve ne beklediğinizi bilmek size bu süreçte yardımcı olacaktır. Zira ne olduğunu bilmediğiniz bir servisi alarak sonradan bu muydu yani? Bu kadar parayı bu iş için mi verdim ya da bu sistemlere neden baktırmadım gibi sorular sormayın kendinize. 1)Pentest nedir? Vulnerability assessment ve risk asssessment kavramlarından farkı nedir? Pentest tanımı: Belirlenen bilişim sistemlerine mümkün olabilcek her yolun denenerek sızılmasıdır. Pentest de amaç güvenlik açıklığını bulmaktan öte bulunan açıklığı değerlendirip sistemlere yetkili erişimler elde etmektir. Pentest çeşitleri: Whitebox, blackbox, graybox olmak üzere genel kabul görmüş üç çeşidi vardır. Bunlardan blackbox bizim genelde bildiğimiz ve yaptırdığımız pentest yöntemidir. Bu yöntemde testleri gerçekleştiren firmayla herhangi bir bilgi paylaşılmaz. Firma ismi ve firmanın sahip olduğu domainler üzerinden firmaya ait sistemler belirlenerek çalışma yapılır. Diğer yöntemlerde pentest yapacak firmayla belirli bilgiler paylaşılır. Vulnerability Assessment(zaafiyet tarama): Belirlenen sistemlerde güvenlik zaafiyetine sebep olabilecek açıklıkların araştırılması. Bu yöntem için genellikle otomatize araçlar kullanılır(Nmap, Nessus, Qualys vs)gibi. Risk assessment tamamen farklı bir kavram olup pentest ve vuln. assessmenti kapsar. Zzaman zaman technical risk assessment tanımı kullanılarak Vulnerability assessment kastedilir. 2)Neden Pentest yaptırmalıyım? Sahip olduğunuz bilişim sistemlerindeki güvenlik zaafiyetlerinin üçüncü bir göz tarafından kontrol edilmesi ve raporlanması proaktif güvenliğin ilk adımlarındandır. Siz ne kadar güvenliğe dikkat ederseniz birşeylerin gözünüzden kaçma ihtimali vardır ve internette hackerlarin sayısı ve bilgi becerisi her zaman sizden iyidir. Hackerlara yem olmadan kendi güvenliğinizi Beyaz şapkalı hackerlara test ettirmeniz yararınıza olaacktır. Ek olarak PCI, HIPAA gibi standartlar da Pentest yaptırmayı zorunlu tutmaktadır. 3)Pentest projesinin planı nasıl olmalıdır? Yaptırılacak pentestden olabildiğince çok verim alabilmek için her işte olduğu gibi burada da plan yapmak gerekir. Pentest planınıza en azından aşağıdaki soruları cevaplayarak hazırlayın
Pentest yapacak firma ne kadar güvenili olsa da-aranizda muhakkak imzalı ve maddeleri açık bir NDA olmalı- siz yine de kendinizi sağlama alma açısından firmanın yapacağı tüm işlemleri loglamaya çalışın. Bunu nasıl yaparsınız? Firmanın pentest yapacağı ip adres bilgilerini isteyerek bu ip adreslerinden gelecek tum trafiği Snort veya benzeri bir yazılım kullanarak loglayabilirsiniz.
5)Pentest yapan firmadan sonuç olarak neler beklemeliyim?
Pentest yaptırmak ne kadar önemliyse sonuçlarını değerlendirip aksiyon almak çok daha önemlidir.Malesef ki yaygın olarak yapılan yanlış sadece pentest yapıp raporu incelemek oluyor. Pentest sonrası açıklıkların kapatılmaması ve bir sonraki pentestde aynı açıklıkların tekrar çıkması sık karşılaşılan bir durumdur.
Benim 2000 yılından beri çeşitli ortamlarda çalıştığım, raporlarını incelediğim ve ortanın üzerinde kabul ettiğim Pentest firmaları : Güncel liste için http://blog.lifeoverip.net/2010/01/27/turkiyedeki-bilgi-guvenligi-firmalari/ adresini ziyaret edebilirsiniz.
8)Pentest konusunda kendimi geliştirmek için izleme gereken yol nedir? Pentest konusunda kendinizi geliştirmek için öncelikle bu alana meraklı bir yapınızın olmasın gerekir. İçinizde bilişim konularına karşı ciddi merak hissi , sistemleri bozmaktan korkmadan kurcalayan bir düşünce yapınız yoksa işiniz biraz zor demektir. Zira pentester olmak demek başkalarının düşünemediğini düşünmek, yapamadığını yapmak ve farklı olmak demektir. Bu işin en kolay öğrenimi bireysel çalışmalardır, kendi kendinize deneyerek öğrenmeye çalışmak, yanılmak sonra tekrar yanılmak ve doğrsunu öğrenmek. Eğitimler bu konuda destekci olabilir. Sizin 5-6 ayda katedeceğiniz yolu bir iki haftada size aktarabilir ama hiçbir zaman sizi tam manasıyla yetiştirmez, yol gösterici olur. Pentest konularının konuşulduğu güvenlik listelerine üyelik de sizi hazır bilgi kaynaklarına doğrudan ulaştıracak bir yöntemdir. Linux öğrenmek, pentest konusunda mutlaka elinizi kuvvetlendirecek, rakiplerinize fark attıracak bir bileziktir. Bu işi ciddi düşünüyorsanız mutlaka Linux bilgisine ihtiyaç duyacaksınız. 9)Pentest için hangi yazılımlar kullanılır? Açıkkod Pentest Yazılımları: Nmap, Nessus, Metasploit, Inguma, hping, Webscarab, jtr, W3af Açık kodlu bilinen çoğu pentest yazılımı Backtrack güvenlik CDsi ile birlikte gelir. Bu araçları uygulamalı olarak öğrenmek isterseniz Backtrack ile Penetrasyon testleri eğitimine kayıt olabilirsiniz. Ticari Pentest Yazılımları: Immunity Canvas, Core Impact, HP Webinspect, Saint Ssecurity Scanner Bu araçların yanında araçlar kadar önemli olan pentest metodolojileri vardır. Bunların da araçlar kadar iyi bilinmesi ve kullanılması gerekir. OWASP guide, NIST, ISSAF, OSTTM 10)Pentest konusunda hangi eğitimler vardır?
|
25 Mayıs 2012 Cuma
Penetration Test Tools
Kaydol:
Kayıt Yorumları (Atom)
Hiç yorum yok:
Yorum Gönder