OPT Bilgi Güvenliği Metodolojisi Çağlar ÇAKICI
İÇİNDEKİLER Optimist Elektronik Hakkında... 3 OPT-NET internet Güvenlik Denetimi... 5 OPT-APP Web Uygulaması Güvenlik Denetimi... 6 OPT-LAN Yerel Ağ Güvenlik Denetimi... 7 OPT-VOICE Ses iletişim Altyapısı Güvenlik Denetimi... 8 OPT-VPN Sanal Özel Ağ Güvenlik Denetimi... 9 OPT-WIRELESS Kablosuz Ağ Güvenlik Denetimi... 10 OPT-SCAN Otomatize Güvenlik Denetimi... 11 OPT-DMZ DMZ Bölgesi Güvenlik Denetimi... 12 OPT-AUDIT Bilişim Sistemleri Denetimi... 13 OPT-BGYS Bilgi Güvenliği Yönetim Sistemi Denetimi... 14 Sistem Sızma Denetim Metedolojisi... 15 Denetim Türüne Özel Bölümler... 30 Güvenlik Açıkları Kullanılarak Sisteme Sızılması... 38 Saptanan Güvenlik Açıklarının Değerlendirilmesi... 39 Çözüm Geliştirme ve Rapor Hazırlığı... 40 2
Optimist Elektronik Hakkında Optimist Elektronik Denetim ve Danışmanlık Servisleri, Şubat 2011 itibariyle bağımsız bir şirket olarak kurulmuş olup, bilgi güvenliği denetimi ve danışmanlığı servisleri sunmakta, güvenlik denetim ve danışmanlık süreçleri ile ilgili araştırmalar yapmaktadır. Kurulduğu günden itibaren 200 ün üzerinde denetim ve danışmanlık projesi başarı ile tamamlanmıştır. Projeler arasında sistem sızma denetimleri, güvenlik politikası danışmanlıkları, ağ yapısı planlama danışmanlıkları, iş süreci güvenlik denetimleri ve yazılım geliştirme danışmanlıkları yer almaktadır. OPT bilgi güvenliği hizmetlerini sunabilmek amacıyla OPT-TEAM ekibini ve dış kaynaklı danışmanlarını kullanmaktadır. OPT-TEAM tarafından güvenlik denetim ve danışmanlık hizmetlerini daha verimli hale getirilmesi amacıyla yeni teknolojiler ve yazılımlar geliştirilmektedir. OPT-TEAM üyelerince sistem sızma denetimi amaçlı geliştirilen OPT Framework ve güvenlik denetim yönetimi amaçlı geliştirilen OPT Audit Framework ile güvenlik denetim ve danışmanlık süreçleri iyileştirilmiştir. 3
Optimist Elektronik danışmanları, kurumsal güvenlik ihtiyacınızın belirlenmesi, bilgi güvenliği yatırımınızın verimliliğinin ölçülmesi, bilgi varlıklarınıza yönelik güvenlik tehditlerinin belirlenmesi, kurumsal risk analizinizin yapılması hizmetlerini sunabilmek amacıyla en yeni teknolojileri, kendi geliştirmiş oldukları yöntemleri ve araçları kullanmaktadır. OPT danışmanları, güvenlik denetimi ağa/sunucuya sızma sürecinde kullanmak üzere OPT Framework yazılımını geliştirmiş, kendi geliştirmiş olduğu teknik ve araçları yazılıma entegre etmiştir. OPT Framework yazılımı ile çok sayıda yayınlanmış veya ekipçe geliştirilmiş exploit ler merkezi yapıya sokulmuş, ağa/sunucuya sızma süreci daha verimli hale getirilmiştir. OPT danışmanlarınca geliştirilen bir diğer ortam olan OPT Audit Framework ile de ticari yazılımlar, açık kaynaklı yazılımlar ve OPT Framework arası entegrasyon sağlanmış, raporlama süreçleri iyileştirilmiş ve güvenlik denetim süreçleri yönetilebilir hale getirilmiştir. Optimist Bilgi Güvenliği Denetim Hizmetleri Teknik Denetimler OPT-NET İnternet Güvenlik Denetimi OPT-APP Web Uygulaması Güvenlik Denetimi OPT-LAN Yerel Ağ Güvenlik Denetimi OPT-VOICE Ses iletişim Altyapısı Güvenlik Denetimi OPT-VPN Sanal Özel Ağ Güvenlik Denetimi OPT-WIRELESS Kablosuz Ağ Güvenlik Denetimi OPT-SCAN Otomatize Güvenlik Denetimi OPT-DMZ DMZ Bölgesi Güvenlik Denetimi Süreç Denetimleri OPT-AUDIT Bilişim Sistemleri Denetimi OPT-BGYS Bilgi Güvenliği Yönetim Sistemi Denetimi 4
OPT-NET İnternet Güvenlik Denetimi OPT-NET internet güvenlik denetimi, kurumsal ağ altyapınızın verimliliğinin ve sağladığı güvenlik seviyesinin ölçülmesi için hazırlanmış özel kontroller içermektedir. Güvenlik denetimi süresince tam ağa sızma denetimi yapılmakta, saptanan güvenlik açıklarının kullanımı sonucu elde edilen haklar ve işlemler, çözüm raporu ile beraber sunulmaktadır. Denetim Aşamaları Erişilebilir Bilgi Taraması Ağ Haritası Oluşturulması Güvenlik Teknolojilerinin Analizi Otomatize Güvenlik Açığı Taraması Yayınlanmış Güvenlik Açıkları Özel Taraması Yayınlanmamış Güvenlik Açıkları Özel Taraması Güvenlik Açıkları Kullanılarak Sisteme Sızılması Saptanan Güvenlik Açıklarının Değerlendirilmesi Çözüm Geliştirme ve Raporlama Denetim Kapsam Bileşenleri İnternet Üzerinden Erişilebilir Sistemlerin Haritalanması İnternet Üzerinden Erişilebilir Sistemlerin Servis Analizi İnternet Üzerinden Erişilebilir Sistemlerin Zaafiyet Analizi Güvenlik Teknolojileri Analizi Saptanan Zaafiyetler Sonucu Sistemlere Sızılması Servis Engelleme Zaafiyetleri Analizi 5
OPT-APP Web Uygulaması Güvenlik Denetimi OPT-APP Uygulama güvenlik denetimi, OPT-TEAM in ileri seviye web uygulaması denetim metodolojisini kullanır ve web uygulamanız en güncel tekniklerle değerlendirilir. Optimist Elektronik danışmanları öncelikle web uygulamanızın fonksiyonalitesi ve risk profilini çıkartır. Bu temelden yola çıkan değerlendirme, uygulamanızın güvenlik açıklarının tespiti için tam kapsamlı bir çalışmadır. Denetim Aşamaları Uygulama Haritası Oluşturulması Yapılandırma Açıkları Taraması Uygulama Platformu Açıkları Taraması Otomatize Araçlar ile Güvenlik Açığı Taraması Uygulama Harici Modüllerinin Analiz Edilmesi Yayınlanmamış Güvenlik Açıklarının Analizi Güvenlik Açıkları Kullanılarak Yetki Kazanılması Saptanan Güvenlik Açıklarının Değerlendirilmesi Çözüm Geliştirme ve Raporlama Denetim Kapsam Bileşenleri Web Uygulaması Haritalama Yapılandırma Açıkları Taraması Otomatize Araçlar ile Güvenlik Açığı Taraması Bilinen Saldırı Yöntemleri ile Güvenlik Açığı Taraması Yayınlanmamış Güvenlik Açıkları Özel Taraması Saptanan Zaafiyetler Sonucu Uygulamaya Sızılması Servis Engelleme Zaafiyetleri Analizi Web Uygulamasının Kaynak Kod Üzerinden Analizi 6
OPT-LAN Yerel Ağ Güvenlik Denetimi OPT-LAN Yerel ağ güvenlik denetimi, kurumsal yerel ağ verimliliğinin ve sağladığı güvenlik seviyesinin ölçülmesi için hazırlanmış özel kontroller içermektedir. Güvenlik denetimi süresince yerel ağ ve uzak alan ağı analizi, ağ cihazları ve sunuculara zaafiyet analizi yapılmakta, saptanan güvenlik açıklarının kullanımı sonucu elde edilen haklar ve işlemler, çözüm raporu ile beraber sunulmaktadır. Denetim Aşamaları Erişilebilirlik Analizi Ağ Haritası Oluşturulması Aktif Cihazların Keşfedilmesi ve Analizi Yardımcı Ağ Cihazlarının Analizi Güvenlik Teknolojilerinin Analizi Otomatize Güvenlik Açığı Taraması Yayınlanmış Güvenlik Açıkları Özel Taraması Yayınlanmamış Güvenlik Açıkları Özel Taraması Saptanan Güvenlik Açıklarının Değerlendirilmesi Çözüm Geliştirme ve Raporlama Denetim Kapsam Bileşenleri Yerel Ağ Yapısı Analizi Uzak Alan Ağı Yapısı Analizi Ağ Cihazlarının Güvenlik Denetimi Yerel Ağ Erişim Denetimi Analizi Yerel Ağ Switch Altyapısı Analizi Ağ Yönetimi Analizi Sunucuların Zaafiyet Analizi Örneklenmiş istemcilerin Zaafiyet Analizi VOIP Zaafiyet Analizi Sanal Özel Ağ Analizi Saptanan Zaafiyetler Sonucu Sistemlere Sızılması Servis Engelleme Zaafiyetleri Analizi 7
OPT-VOICE Ses iletişim Altyapısı Güvenlik Denetimi VOICE Ses iletişim altyapısı güvenlik denetimi, kurumsal ses altyapısı ve ağ bağlantılarının güvenlik seviyesinin ölçülmesi için hazırlanmış özel kontroller içermektedir. Güvenlik denetim süresince VOIP sistem, sunucu ve istemcilerine zaafiyet analizi, yerel ve uzak alan ağ bağlantı altyapılarının analizi, VOIP protokol ve kodlama türleri analizi, sistem yönetimi ve yazılımlarının analizi yapılmaktadır. Saptanan güvenlik açıklarının kullanımı sonucu elde edilen haklar ve işlemler, çözüm raporu ile beraber sunulmaktadır. Denetim Aşamaları VOIP iletişim Haritası Oluşturulması Kurumsal Ağ Altyapısı ve Santral Bağlantıları Analizi VOIP Sistem, Sunucu ve istemcilerinin Analizi Kullanılan Protokol ve Kodlama Bileşenleri Analizi Erişim Denetimi Analizi Sistem Yönetimi ve Yazılımların Analizi Güvenlik Teknolojilerinin Analizi Saptanan Güvenlik Açıklarının Değerlendirilmesi Çözüm Geliştirme ve Raporlama Denetim Kapsam Bileşenleri VOIP Ağı ve Cihazların Analizi VOIP ile Veri Ağlarının Bağlantı Analizi VOIP ile Ses ve Görüntü Sistemlerin Bağlantı Analizi Yerel Ağ Üzerinde Switch, VLAN ve Yönlendirici Analizi Paket Yakalama ve Ses iletişimi Çözümleme Analizi Ses Sistemlerini Kullanarak Çağrı Açma ve Yetki Kazanma Saptanan Zaafiyetler Sonucu Sistemlere Sızılması 8
OPT-VPN Sanal Özel Ağ Güvenlik Denetimi OPT-VPN sanal özel ağ güvenlik denetimi, kurumsal ağ altyapısı ve sanal özel ağ bağlantılarının güvenlik seviyesinin ölçülmesi için hazırlanmış özel kontroller içermektedir. Güvenlik denetimi süresince sanal özel ağ cihazları ve istemcilerine zaafiyet analizi, yerel ağ ve uzak alan ağlara erişim yöntemleri, erişim denetimi, bağlantı protokolleri ve kriptolama analizleri yapılmaktadır. Saptanan güvenlik açıklarının kullanımı sonucu elde edilen haklar ve işlemler, çözüm raporu ile beraber sunulmaktadır. Denetim Aşamaları Sanal Özel Ağ Haritası Oluşturulması Kurumsal Ağ Altyapısı ve Sanal Özel Ağ Bağlantıları Analizi Sanal Özel Ağ Sistem, Sunucu ve istemcilerinin Analizi Kullanılan Protokol ve Kriptolama Bileşenleri Analizi Kimlik Doğrulama Yöntemleri Analizi Erişim Denetimi Analizi Sistem Yönetimi ve Yazılımların Analizi Güvenlik Teknolojilerinin Analizi Saptanan Güvenlik Açıklarının Değerlendirilmesi Çözüm Geliştirme ve Raporlama Denetim Kapsam Bileşenleri Sanal Özel Ağ Sistemi ve istemcilerin Analizi Sanal Özel Ağ ile Kurumsal Ağlarının Bağlantı Analizi Sanal Özel Ağ Erişim Denetimi Analizi Kimlik Doğrulama Yöntemleri Analizi Güvenlik Teknolojilerinin Analizi Saptanan Zaafiyetler Sonucu Sistemlere Sızılması Servis Engelleme Zaafiyetleri Analizi 9
OPT-WIRELESS Kablosuz Ağ Güvenlik Denetimi OPT-WIRELESS kablosuz özel ağ güvenlik denetimi, kurumsal ağ altyapısı ve kablosuz özel ağ bağlantılarının güvenlik seviyesinin ölçülmesi için hazırlanmış özel kontroller içermektedir. Güvenlik denetimi süresince kablosuz ağ cihazları ve istemcilerine zaafiyet analizi, yerel ağ ve uzak alan ağlara erişim yöntemleri, erişim Denetimi, bağlantı protokolleri ve kriptolama analizleri yapılmaktadır. Saptanan güvenlik açıklarının kullanımı sonucu elde edilen haklar ve işlemler, çözüm raporu ile beraber sunulmaktadır. Denetim Aşamaları Kablosuz Ağ Haritası Oluşturulması Kurumsal Ağ Altyapısı ve Kablosuz Ağ Bağlantıları Analizi Kablosuz Ağ Sistem, Sunucu ve istemcilerinin Analizi Kullanılan Protokol ve Kriptolama Bileşenleri Analizi Kimlik Doğrulama Yöntemleri Analizi Erişim Denetimi Analizi Sistem Yönetimi ve Yazılımların Analizi Güvenlik Teknolojilerinin Analizi Saptanan Güvenlik Açıklarının Değerlendirilmesi Çözüm Geliştirme ve Raporlama Denetim Kapsam Bileşenleri Kablosuz Ağ Sistemi ve istemcilerin Analizi Kablosuz Ağ ile Kurumsal Ağlarının Bağlantı Analizi Kablosuz Ağ Erişim Denetimi Analizi Kimlik Doğrulama Yöntemleri ve Kriptolama Analizi Güvenlik Teknolojilerinin Analizi Saptanan Zaafiyetler Sonucu Sistemlere Sızılması Servis Engelleme Zaafiyetleri Analizi İnternet Üzerinden Erişilebilir Web Uygulamalarının Analizi 10
OPT-SCAN Otomatize Güvenlik Denetimi OPT-SCAN otomatize güvenlik denetimi, kurumsal ağların ve sunucuların güvenlik seviyesinin ölçülmesi için internet üzerinden otomatize araçlar kullanılarak güvenlik denetimi ve özel kontroller içermektedir. Güvenlik denetimi süresince çeşitli otomatize yazılımlar ve OPT Framework ile sistemlere ve/veya web uygulamalarına yönelik güvenlik Denetimleri yapılmaktadır. Saptanan güvenlik açıklarının kullanımı sonucu elde edilen haklar ve işlemler, çözüm raporu ile beraber sunulmaktadır. Denetim Aşamaları Otomatize Araçlar ile Sunucu ve Sistem Analizi Otomatize Araçlar ile Web Uygulaması Analizi OPT Framework ile Otomatize Denetim Saptanan Güvenlik Açıklarının Değerlendirilmesi Çözüm Geliştirme ve Raporlama Denetim Kapsam Bileşenleri internet Üzerinden Erişilebilir Sistemlerin Analizi 11
OPT-DMZ DMZ Bölgesi Güvenlik Denetimi OPT-DMZ DMZ bölgesi güvenlik denetimi, internet üzerinden erişilebilen sunucuların ve sistemlerin, koruma amaçlı kullanılan güvenlik teknolojileri olmadan sahip oldukları güvenlik seviyesinin ölçülmesi için DMZ ağı üzerinden uygulanan özel kontroller içermektedir. Güvenlik Denetimi süresince DMZ bölgesinde yer alan sunuculara güvenlik teknolojilerinden bağımsız olarak zaafiyet analizi yapılmakta, saptanan güvenlik açıklarının kullanımı sonucu elde edilen haklar ve işlemler, çözüm raporu ile beraber sunulmaktadır. Denetim Aşamaları Ağ Haritası Oluşturulması Güvenlik Teknolojilerinin Analizi Otomatize Güvenlik Açığı Taraması Yayınlanmış Güvenlik Açıkları Özel Taraması Yayınlanmamış Güvenlik Açıkları Özel Taraması Güvenlik Açıkları Kullanılarak Sisteme Sızılması Saptanan Güvenlik Açıklarının Değerlendirilmesi Çözüm Geliştirme ve Raporlama Denetim Kapsam Bileşenleri DMZ Ağı Erişim Haritası Oluşturulması DMZ Ağı Üzerinden Erişilebilir Sistemlerin Servis Analizi DMZ Ağı Üzerinden Erişilebilir Sistemlerin Zaafiyet Analizi Saptanan Zaafiyetler Sonucu Sistemlere Sızılması Servis Engelleme Zaafiyetleri Analizi 12
OPT-AUDIT Bilişim Sistemleri Denetimi OPT-AUDIT Bilişim sistemleri altyapısı, süreç prosedürleri, yerel ağ altyapısı, ağ cihazları ile sunucuların verimlilik ve güvenlik Denetimini kapsamaktadır. Bilişim cihazlarının analizi, prosedür ve politikaların analizi, kaynak kullanım verimliliğinin analizi, ağ cihazlarının analizi, ağ ve sunucu altyapısında olabilecek güvenlik açıklarının denetimi ile sunuculara yapılacak otomatize güvenlik açığı taramalarını içermekte olup, sonuçlar çözüm önerileri ile beraber raporlanmaktadır. Denetim Kapsam Bileşenleri Güvenlik Politikası Örgütsel Güvenlik Varlık Sınıflandırması ve Denetimi İnsan Kaynakları Güvenliği Fiziksel ve Çevresel Güvenlik Haberleşme ve işletim Yönetimi Erişim Denetimi İş Sürekliliği Yönetimi Yerel Alan Ağı Yapısı, Güvenliği ve Yönetimi Uzak Alan Ağı Yapısı, Güvenliği ve Yönetimi Sunucu Yapısı, Güvenliği ve Yönetimi İstemci Yapısı, Güvenliği ve Yönetimi Sistem Odası internet Erişim Denetimi Güvenlik Zaafiyeti Analizi 13
OPT-BGYS Bilgi Güvenliği Yönetim Sistemi Denetimi OPT-BGYS Bilgi Güvenliği Yönetim Sistemi yapısı, kurumun güvenlik politikası, iş süreçleri, hazırlanan prosedürler, kurum çalışanlarının güvenlik politikası yaklaşımları ve politika uygulama alanları TSE/iSO 27001 standartları doğrultusunda denetlenmektedir. Sorun veya uyumsuzluk bulunan kontroller değerlendirilmekte, sonuçlar öneriler ile beraber raporlanmaktadır. Denetim Kapsam Bileşenleri BGYS Kurulması Denetim ve izleme Geliştirme ve iyileştirme Güvenlik Politikası Örgütsel Güvenlik Varlık Sınıflandırması ve Denetimi insan Kaynakları Güvenliği Fiziksel ve Çevresel Güvenlik Erişim Denetimi Bilgi Sistemleri Geliştirme ve Yönetimi Güvenlik ihlal Olayı Yönetimi İş Sürekliliği Yönetimi Uyumluluk Haberleşme ve işletim Yönetimi 14
Sistem Sızma Denetim Metedolojisi ErIşIlebIlIr BIlgI Taraması Çözüm GelIştIrme ve Raporlama HarItalama (Ağ/ Uygulama) GüvenlIk Açıklarının DeğerlendIrIlmesI GüvenlIk TeknolojIlerInIn AnalIzI GüvenlIk Açığı Kullanarak SIsteme Sızma OtomatIze GüvenlIk Açığı Taraması Denetim Türüne Özel Bölüm Yayınlanmış GüvenlIk Açığı Taraması Yayınlanmamış GüvenlIk Açığı Taraması Denetim aşamaları tüm denetimler için uygulanmakta, içerikte veya detayda denetim türüne bağlı olarak farklılıklar oluşabilmektedir. Bazı denetimler genel aşamalara ek olarak özel kontrollere gereksinim duymaktadır. Bu doğrultuda denetimlere özel bir aşama da belirtilmekte ve her bir Denetim için tanımlanan ek kontroller, tanımlanan Denetim Türüne Özel Bölüm aşamasında uygulanmaktadır. 15
Denetim türlerine ve gereksinimlere bağlı olarak aşamalar arasında çapraz bağlantılar da bulunmaktadır. Bir aşamada elde edilen bilgi/bileşen kapsamda yer alıyor ve daha önceki aşamalarda gerekli kontrollerden geçmemiş ise ilgili aşamalar saptanan her yeni bileşen için tekrarlanmaktadır. Denetim Türüne Özel Bölümler OPT-LAN Yerel Ağ Güvenlik Denetimi Yerel ve Uzak Alan Ağlarının Analizi Ağ Cihazları ve Ağ Altyapısı Analizi OPT-APP Web Uygulaması Güvenlik Denetimi Web Uygulaması Kodlama Zaafiyetlerinin Analizi Web Uygulaması Kaynak Kod Analizi OPT-VOICE Ses iletişim Altyapısı Güvenlik Denetimi VOIP Altyapısı ve Veri/Ses Sistemleri Bağlantı Analizi VOIP Erişim Denetimi Analizi OPT-VPN Sana Özel Ağ Güvenlik Denetimi Sanal Özel Ağ Erişim Denetimi Analizi Harici Doğrulama Sistemleri Analizi OPT-WIRELESS Kablosuz Ağ Güvenlik Denetimi Kablosuz Ağ Erişim Denetimi ve Kriptolama Analizi Kablosuz Ağ ve Kurumsal Ağların Bağlantı Analizi 16
Erişilebilir Bilgi Taraması Bu aşamada kuruluşunuzun internet üzerindeki varlığı ve alınabilen temel bilgiler gözden geçirilerek bilgisayar ağınızın herhangi bir saldırıda kullanılabilecek temel bilgileri toplanmaktadır. Genel Bilgi Toplama, yapılan bir grup sorgulama sonucu hedef organizasyon ya da yerel ağ hakkında elde edilebilecek bilgileri ortaya çıkarmaya dayanır. Arama Motorları Sorgulaması : Arama motorları aracılığıyla kurum çalışanlarının internet üzerinde farklı kaynaklarda paylaşmış oldukları bilgilerin analizi yapılmaktadır. Web sitesi Analizi : Hedef kurumla ilgili tüm web siteleri özel bir araç ile çevirim dışı olarak içerik analizine tabi tutulur, uygulama içerebileceği önemli bilgiler için taranır. Whois Veritabanı Sorgulamaları: Bu aşamada hedef ağ ile ilgili bütün alan (domain) isimlerinin ve IP adreslerinin bilgileri analiz edilir. DNS sorgulaması: DNS sunucusu analiz edilerek ağda bulunan sistemler ile ilgili bilgiler derlenir. 17
Haritalama (Ağ / Uygulama) Kuruma ait ağ üzerinde etkin durumda olan sistemlerin saptanması, servisleri, işletim sistemi ve uygulamaların belirlenmesi ile sistemlerin bağlantı biçimleri analizini içermektedir. Yapılan analiz sonucunda sunucuların işletim sistemi, uygulamaları, servisleri, güvenlik teknolojileri ve sistemlerin bağlantı biçimleri elde edilebilmektedir. Ağ Haritalama Kontrolleri Etkin Sistem Saptama : Hedef ağda erişilebilir durumda olan sistemlerin saptanması işlemidir. ICMP/TCP/UDP veya ham IP paketleri aracılığıyla erişilebilir durumda olan sistemler saptanmaya çalışılmaktadır. Ayrıca DNS alan aktarımı ve ters DNS sorguları kullanılarak erişilemeyen sistemler hakkında ek bilgiler de alınabilmektedir. Kurum DNS sunucusundan ve standart DNS sunuculardan tüm IP adreslerinin ve iç kullanım IP adreslerinin ters kayıtlarının sorgulanması Kuruma ait IP aralığının ve dış bağlantılarının, bilinen TCP/UDP portlarına paketler ve ICMP mesajları gönderilerek saptanması Eğer idle Scanning yapılabilir sistem bulunur ise bilinen TCP portları için tarama yapılması Kurum web sayfası veya arama motorları ile diğer IP adreslerinin saptanması Aktif sistemlerin alan adlarının ters sorgu, kurum DNS sunucusundan sorgu veya açık servislerden sorgu ile belirlenmesi Port ve Servis Tipi Taraması : Güvenlik teknolojileri dahil olmak üzere, tam bir TCP ve UDP port taraması yapılmaktadır. Aktif durumda olduğu tespit edilen cihazların tüm TCP ve UDP portları denetlenerek bu portlar üzerinde çalışan servisler belirlenir. Açık olduğu saptanan iletişim portlarına bağlantı yapılarak ilgili servis tipleri ve servisi sunan uygulamalar denetlenmektedir. Bu Denetim sonrasında saptanan uygulama ve uygulamanın sürüm numarası gibi bilgiler edinilmektedir. Aktif sistemlerin açık TCP ve UDP portlarının taranması Aktif sistemlerin kabul ettiği IP protokollerinin taranması Aktif servislerin, kullanılan uygulamaların ve sürümlerinin belirlenmesi 18
İşletim Sistemi Belirleme : Sistemlerin TCP/IP yapıları, iletişim kurma biçimleri ve yüklü uygulamalar analiz edilerek işletim sistemi türleri ve yama seviyeleri saptanmaya çalışılmaktadır. Servis analizi doğrultusunda saptanan ek bilgiler aracılığıyla yama seviyesi, erişilebilir olmayan ancak çalışan servisler gibi ek bilgilerin edinilmesi de mümkün olabilmektedir. Aktif sistemlerin işletim sistemi ve yama seviyelerinin belirlenmesi Aktif sistemlerin görevlerinin belirlenmesi Aktif sistemlerin IP ID sıralamasının analizi Yol Haritası Belirleme : Hedef ağda bulunan sistemlere ICMP/TCP/UDP ve ham IP paketleri aracılığıyla Traceroute işlemi yapılarak ağın haritası çıkarılmaktadır. Bazı özel durumlarda yol izleme işlemi güvenlik duvarı atlatılarak yapılabilmektedir. ICMP, TCP ve UDP protokolleri kullanılarak tracerotue yapılması Güvenlik duvarının belirlenmesi Yönlendiricilerin belirlenmesi Sunucuların belirlenmesi Port yönlendirme ve proxy ayarlarının belirlenmesi Kurum alt birimleri, bayileri veya çözüm ortaklarının ağları ile ilişkilerin analizi Etkin durumda bulunan sistemler ve ağlar arası güven analizi 19
Uygulama Haritalama Kontrolleri Uygulama Haritalama: Bu çalışma içerisinde siteniz / uygulamanız içerisindeki bilinen ve bilinmeyen bütün bağlantılar haritalanır ve daha sonraki güvenlik kontrolleri için kullanılır. Dizin Listeleme: Uygulama sunucusu üzerinde tespit edilebilen veya ihtimal gereği kontrol edilerek tespit edilen dizinler tespit edilerek listelenir. Böylece hedef uygulamanın yapısı tama yakın bir şekilde anlaşılmaya çalışılır. Gizli Web Dizinleri: Uygulama içerisinde bulunan gizli veya yorum satırı haline getirilmiş dizin adresleri tespit edilerek, genel kullanıma açık olmayan sunucu adresleri tespit edilir Yedek Dizin Kontrolleri: Yedek ve kod dosyalarının genellikle saklandığı dizinlerin sisteminizde bulunup bulunmadığı kontrol edilir. Sistem yöneticileri ve uygulama geliştiriciler genellikle sistemin yedek kopyalarını sunucu üzerinde başka bir adreste daha bulundurmayı tercih ederler. Bu kontrol, yedeklerin bulunduğu dizinlerdeki bu dosyaların saldırgan tarafından alınıp alınamayacağının kontrol edilmesini içerir. 20
Güvenlik Teknolojilerinin Analizi Kuruma ait ağ üzerinde etkin durumda olan güvenlik teknolojilerinin saptanması, yapılandırma bilgilerinin belirlenmesi ve zaafiyet analizini içermektedir. Yapılan analiz sonucunda güvenlik teknolojilerinin sahip olduğu zaafiyetler veya atlatılabilmeleri için kullanılabilecek yöntemler elde edilebilmektedir. Güvenlik Teknolojilerinin Saptanması : Hedef ağı korumakta olan güvenlik teknolojileri yol izleme, etkin sistem saptama, bilgi sızmaları ve özel yöntemler kullanılarak saptanmaktadır. Saptanan servislerin ve TCP/IP yapıları ile tepkilerinin analizi doğrultusunda güvenlik teknolojisi türü, tipi, yazılım türü, yama seviyesi gibi bilgiler edinilebilmektedir. Güvenlik Duvarının Saptanması ve Tipinin Belirlenmesi Saldırı Tespit Sisteminin Saptanması ve Tipinin Belirlenmesi Sanal Özel Ağ Sisteminin Saptanması ve Tipinin Belirlenmesi Ağ Temelli Anti-Virüs Sistemi Saptanması ve Tipinin Belirlenmesi OTP Cihazı Kullanımı Saptanması ve Türünün Belirlenmesi Güvenlik Duvarı Kural Listesi Analizi : Hedef ağda bulunan güvenlik duvarı üzerinde yol izleme işlemi geliştirilerek ve TTL değerleri ile oynayarak güvenlik duvarı kural listesi analizi yapılabilmektedir. Güvenlik duvarının açık portlarının ve servislerinin saptanması Yayınlanmış güvenlik açıklarının analizi Yönetim arabiriminin analizi Güvenlik duvarının izin verdiği protokol türlerinin saptanması Firewalking ile kural listesi analizi Bozuk bayraklı TCP paketleri korumasının analizi Kaynak sahteciliği yapılmış IP paketleri korumasının analizi Güvenlik duvarı ve koruduğu sistemlerin IP ID değerlerinin analizi Servis engelleme saldırıları analizi Güvenlik Duvarı üzerinde çalışan servislerin analizi Hatalı kural analizi 21
Sanal Özel Ağ Sistemi Analizi : Hedef ağda bulunan IPSEC, L2TP, PPTP ve TLS temelli olan sanal özel ağ sistemleri analiz edilerek, sanal özel ağ sunucularında kullanılan sanal özel ağ türü, kullanılan doğrulama teknolojileri, seçilen iletişim yöntemleri ve kriptolama algoritmaları analiz edilmektedir. Sanal özel ağ sistemi ve türünün tespiti Sanal özel ağ sistemi açık portlarının ve servislerinin saptanması Yayınlanmış güvenlik açıklarının analizi Yönetim arabiriminin analizi İletişim protokolü ve altyapısının tespiti Kriptolama altyapısının analizi OTP veya sertifika ile doğrulama kullanımının analizi Sanal özel ağ iletişimi içinde paket filtreleme analizi Sanal özel ağ erişim haklarının analizi Saldırı Tespit Sistemi Analizi : Hedef ağı izleyen saldırı tespit/önleme sistemi tepkileri doğrultusunda analiz edilebilmekte, vermiş olduğu etkin tepkiler (TCP Reset, ICMP Hata Mesajları vb.) ve güvenlik duvarı/yönlendirici ile iletişimi analiz edilerek yazılım türü, güncelleme sıklığı hakkında ek bilgiler edinilebilmektedir. Ayrıca özel teknikler kullanılarak saldırı tespit sistemi atlatma temelli işlemler yapılabilmektedir. Saldırı tespit / önleme sistemi ve türünün tespiti Saldırı tespit sitemi açık portlarının ve servislerinin saptanması Yayınlanmış güvenlik açıklarının analizi Saldırı tespit sitemi güncelleme sıklığı analizi Bozuk bayraklı TCP paketleri korumasının analizi Kaynak sahteciliği yapılmış IP paketleri korumasının analizi Saldırı tespit / önleme sistemi kapsamındaki sistemlerin belirlenmesi Yönetim arabiriminin analizi Saldırı engelleme türü analizi Saldırı engelleme türünün kötü niyetli kullanımı analizi Saldırı engelleme özelliğinin başarısı analizi Güvenlik duvarı veya yönlendirici ile ilişki analizi SSL/TLS/VPN ile kriptolu iletişim analizi Dil kodu veya diğer kodlama analizi 22
Anti-Virus Sistemi Analizi : Hedef ağda bulunan Anti-Virus yazılımlarının testi için kurumun vermiş olduğu e-posta adreslerine özel hazırlanmış virus ve virus imzası içeren paketler özel yöntemler ile gönderilmektedir. Daha sonra ilgili e- posta adresine erişmiş e-postalar ve Anti-Virus sunucusu kayıtları incelenmektedir. Ağ temelli anti-virüs sistemi ve türünün tespiti Anti-Virüs sistemi açık portlarının ve servislerinin saptanması Yayınlanmış güvenlik açıklarının analizi Yönetim arabiriminin analizi SSL/TLS/VPN ile kriptolu gönderim analizi Dil kodu veya diğer kodlama analizi Farklı sıkıştırma formatları ile analizi Güncelleme sıklığı analizi 23
Otomatize Güvenlik Açığı Taraması Denetim süresince saptanan tüm sistemlere ve web temelli uygulamalara otomatize yazılımlar aracılığıyla güvenlik açığı Denetimi yapılmaktadır. Çok sayıda farklı yazılım aracılığıyla saptanamayan birçok güvenlik açığı saptanabilmektedir. Kullanılmakta olan güvenlik açığı tarama yazılımları ticari lisanslara sahiptir veya açık kaynak kodlu ve ücretsizdir. Otomatize yazılımların işlevselliğini arttırmak amacıyla OPT-TEAM tarafından çok sayıda eklenti, özelleştirme ve modül geliştirilmiştir. Özellikle açık kaynaklı yazılımlar ve eklenti desteği bulunan uygulamalara geliştirilen modüller aracılığıyla yazılımlardan alınan verim arttırılmıştır. Otomatize Denetimlerde Kullanılan Bazı Yazılımlar: OPT Framework IBM/ISS internet Scanner IBM/Watchfire Appscan Tenable Security Nessus Scanner GFI Languard Security Scanner Microsoft Baseline Security Analyzer Acunetix Web Security Analyzer Paros Proxy Security Scanner SPIKE Security Scanner Burp intruder Security Suite 24
Yayınlanmış Güvenlik Açıkları Özel Taraması Otomatize güvenlik açığı tarama yazılımları, güvenlik açıklarının uygulamaya özel olması, özel doğrulama yöntemi gereksinimi, farklı sistem türlerinde çalışması veya ağ üzerinden erişilebilir olmaması nedeniyle her durumda başarılı sonuçlar üretememektedir. Bu nedenle otomatize tarama araçlarının yetersiz kaldığı göz önünde tutularak, Denetim boyunca saptanan tüm sistem ve uygulamalar özel Denetimler aracılığıyla denetlenmektedir. Özel Denetim aşamasında, saptanmış olan her uygulamanın yayınlanmış güvenlik açıkları sırayla denetlenmekte, yayınlanmış güvenlik açığı sonuçları farklı açılardan yaklaşılarak analiz edilmektedir. Analizler saptanan servisler ve işletim sistemi yapısı dikkate alınarak yapılmaktadır. Servislere özel yayınlanmış veya bilinen güvenlik açıkları elle denetlenmekte, farklı kullanım yöntemleri araştırılmaktadır. Sık kullanılan bazı servisler için hazırlanmış olan Denetim kontrollerinden bazıları aşağıda yer almaktadır. Ağ Cihazları : Ağ cihazları yapılandırması ve bilgi sızmalarının analizi Ağ cihazı amaç ve servis karşılaştırmaları analizi TCP/IP protocol yapısı analizi Yönlendirme Analizi Yönetim bileşenlerinin analizi Kullanıcı yönetimi analizi Doğrulama yöntemlerinin analizi DNS Sunucusu : DNS Sunucusu yapılandırması ve bilgi sızmalarının analizi 3.parti Alan adları için kullanım analizi Hizmet sunulan alan adlarının analizi Alan adı transferi analizi Sorgulama geçici kaydı ve tampon bellek analizi Ters sorgu analizi Desteklenen sorgu türlerinin analizi 25
Web Sunucusu : Web Sunucusu yapılandırması ve bilgi sızmalarının analizi Dizin ve uygulama yetkilendirmesi analizi HTTP alt protokollerinin analizi ISAPI uzantıları ve filtrelerinin analizi Örnek uygulamaların ve dosyaların analizi Yedekleme ve yönetim bileşenlerinin analizi Desteklenen HTTP metodlarının analizi WebDAV servisi analizi Doğrulama yöntemlerinin analizi SSL/TLS desteklerinin analizi Harici yazılım uzantıları ve ek bileşenlerin analizi E-Posta Sunucusu : E-Posta Sunucusu yapılandırması ve bilgi sızmalarının analizi Alt protokollerin analizi (POP/iMAP/MAPi/Webmail) 3.parti alan adları ve sunucuları için kullanım analizi Hizmet sunulan alan adlarının analizi Desteklenen SMTP/POP/iMAP/MAPi metodlarının analizi Yedekleme ve yönetim bileşenlerinin analizi SSL/TLS desteklerinin analizi Kullanıcı yönetimi analizi Doğrulama yöntemlerinin analizi Netbios/Samba Sunucusu : Netbios/Samba Sunucusu yapılandırması ve bilgi sızmalarının analizi Boş oturum işlemlerinin ve yetkilerinin analizi Netbios alt protokolleri desteklerinin analizi DCE/RPC servislerinin ve ilişkilerinin analizi Yedekleme ve yönetim bileşenlerinin analizi Kullanıcı yönetimi analizi Doğrulama yöntemlerinin analizi 26
FTP Sunucusu : FTP Sunucusu yapılandırması ve bilgi sızmalarının analizi Kullanıcı yönetimi analizi Anonim kullanıcı analizi Dosya işlemleri için yetkilendirme analizi Pasif/Aktif işlemler ve protocol analizi Desteklenen FTP metodlarının analizi SSL/TLS desteklerinin analizi Doğrulama yöntemlerinin analizi LDAP Sunucusu : LDAP Sunucusu yapılandırması ve bilgi sızmalarının analizi LDAP şema yapısı ve özelliklerinin analizi Boş oturum işlemlerinin ve yetkilerinin analizi Desteklenen LDAP metodlarının analizi SSL/TLS desteklerinin analizi Kullanıcı yönetimi analizi Doğrulama yöntemlerinin analizi Kerberos Sunucusu : Kerberos sunucusu yapılandırması ve bilgi sızmalarının analizi Kerberos sunucusu ve diğer sunucular arası zaman eşlemesi analizi Ağ için Kerberos haritasının çıkarılması Bilet yönetimi analizi Kriptolama türü ve kullanım analizi Veritabanı Sunucusu : Veritabanı Sunucusu yapılandırması ve bilgi sızmalarının analizi Ağ arayüz servisi analizi SSL/TLS desteklerinin analizi Kullanıcı yönetimi ve Doğrulama yöntemlerinin analizi Yedekleme ve yönetim bileşenlerinin analizi Veritabanı kayıtlı prosedürler, görünümler, tetikler, tablo ilişkileri ve dahili yetkilendirme kapsam dışıdır. 27
Yayınlanmamış Güvenlik Açıkları Özel Taraması Sistemler ve uygulamalar yayınlanmış gu venlik ac ıkları dışında birc ok gu venlik ac ığı da barındırabilmektedir. So z konusu gu venlik ac ıkları, uygulamanın veya sistemin o zel olmasından, standart dışı kullanımından, yapılandırılmasından, yerleşiminden veya programlamasından kaynaklanabilmektedir. Bu tu r yayınlanmamış gu venlik ac ıkları standart yo ntemler veya aracļar ile saptanamamaktadır. OPT-TEAM bu aşamada sistemleri ve uygulamaları o zel hazırlanmış testlerden gec irmekte, varolduğu bilinmeyen gu venlik ac ıklarını da aramaktadır. Yayınlanmamış gu venlik ac ıklarına o zel hazırlanmış olan Denetim kontrollerinden bazıları aşağıda yer almaktadır. Yapılandırma Hataları Analizi : Birçok uygulama ve işletim sistemi ön tanımlı kurulumları değiştirilmeden kullanılmaktadır. Bu nedenle söz konusu sistemlerde kullanılmadığı halde yüklü olan bileşenler, ön tanımlı kullanıcı hesapları veya erişimler nedeniyle sistemlerin ele geçirilmesi mümkün olmaktadır. Bu doğrultuda, saptanan sistemlerin yapılandırmaları özel olarak incelenmekte ve yapılandırmadan kaynaklanan güvenlik açıkları analiz edilmektedir. Yönetim arabirimi için kullanılan dış yazılımların güvenlik açıklarının araştırılması Yönetim arabiriminin bilinen veya tahmini kolay kullanıcı/şifre denemelerinden geçirilmesi Yönetim arabimi alt bileşenlerine kullanıcı/şifre girişi olmadan doğrudan erişme analizi Doğrulama servis veya takibini analiz ederek, doğrulama gereken yerlere doğrudan erişim analizi Doğrulama veya yetkilendirme amaçlı kullanılan ek yazılımlara doğrudan erişim veya servis engelleme Farklı kimlikler veya geçerli kimlikler ile kimlik sahteciliği analizi Programlama Hataları Analizi : Uygulama geliştiricilerin güvenlikten çok işlevselliğe önem vermesi sonucu oluşan, çoğunlukla kullanıcıdan gelen verinin kontrol edilmemesi, oturum takip sorunları, güvensiz veri depolama kaynağı kullanımı veya hatalı bellek yönetiminden kaynaklanan programlama hataları sonucunda hedef sistemler ele geçirilebilmektedir. Denetim sürecinde ilgili programlama hatalarına yönelik saldırılar saptanan tüm uygulamalarda farklı biçimlerde uygulanmakta ve sonuçları analiz edilmektedir. Girdi olarak gönderilebilecek olan değerlerin, değişken tipleri ile uyuşmayacak veya alan taşması yaratacak biçimde gönderilmesi Girdi olarak gönderilebilecek değerler kullanılarak yeniden değişken tanımlama veya erişim zamanlama saldırıları yapılması Kullanılan harici kütüphanelerin güvenlik açıklarının denetlenmesi 28
Tasarım / Yerleşim Hataları Analizi : Genellikle hatalı ağ yerleşimi, uygulamaların geliştirme sürecinde güvenliğe önem verilmemesi veya kullanılan uygulamanın hatalı kurulması sonucunda çok sayıda güvenlik açığı oluşmaktadır. Oluşan güvenlik açıkları denetlenerek, ağa farklı giriş noktaları veya uygulamalara yetkisiz erişim imkanı saptanmaya çalışılmaktadır. Depolama alanlarına doğrudan erişim veya servis engelleme imkanı araştırılması Doğrulama veya yetkilendirme ağ servisleri ile iletişim analizi Güvenilen sistem veya servisler ile iletişim ve kimlik sahteciliği analizi 29
Denetim Türüne Özel Bölümler Bazı Denetimler genel aşamalara ek olarak o zel kontrollere gereksinim duymaktadır. Bu doğrultuda Denetimlere o zel bir aşama da belirtilmekte ve her bir Denetim ic in tanımlanan ek kontroller, tanımlanan Denetim Tu ru ne O zel Bo lu m aşamasında uygulanmaktadır. Denetim Türüne Özel Bölümler OPT-LAN Yerel Ağ Güvenlik Denetimi Yerel ve Uzak Alan Ağlarının Analizi Ağ Cihazları ve Ağ Altyapısı Analizi OPT-APP Web Uygulaması Güvenlik Denetimi Web Uygulaması Kodlama Zaafiyetlerinin Analizi Web Uygulaması Kaynak Kod Analizi OPT-VOICE Ses İletişim Altyapısı Güvenlik Denetimi VOIP Altyapısı ve Veri/Ses Sistemleri Bağlantı Analizi VOIP Erişim Denetimi Analizi OPT-VPN Sanal Özel Ağ Güvenlik Denetimi Sanal Özel Ağ Erişim Denetimi Analizi Harici Doğrulama Sistemleri Analizi OPT-WIRELESS Kablosuz Ağ Güvenlik Denetimi Kablosuz Ağ Erişim Denetimi ve Kriptolama Analizi Kablosuz Ağ ve Kurumsal Ağların Bağlantı 30
OPT-LAN Yerel Ağ Güvenlik Denetimi OPT-LAN yerel ağ güvenlik Denetimi özel bölümünde yerel ağ altyapısı, uzak alan ağlarının bağlantısı ve ağ cihazları analiz edilmektedir. Uygulanan kontroller ile yerel ağ cihazları zaafiyetleri, ağ altyapısında bulunan sorunlar ve ağlar arası erişim zaafiyetleri saptanabilmektedir. Yerel ve Uzak Alan Ağlarının Analizi Kurumsal ağ altyapısı ve merkez yerleşim konumlandırmaları analiz edilmekte, uzak bağlantıların yapısı incelenmektedir. Yapılan analiz neticesinde amaca uygun ağ bölümlemesi, ağ bölümleri arası bağlantılar veya uzak alan bağlantılarındaki zaafiyetler saptanabilmektedir. Uygulanan kontrollerin bazıları aşağıda listelenmiştir. Yerel ağ yerleşimi ve altyapı analizi Yerel ağ bölümlemesi analizi Ağlar arası erişim Denetimi analizi Tek noktada hata analizi Uzak alan ağları bağlantı ve erişim Denetimi analizi Ağ Cihazları ve Ağ Altyapısı Analizi Kurum ağında yer alan ağ cihazları ve kurum ağının gerçeklemesi analiz edilmekte, cihaz yapılandırmaları, yapısal zaafiyetleri ve bilinen güvenlik açıkları analiz edilmektedir. Yapılan analiz neticesinde ağ altyapısında sorun oluşturabilecek yapılandırmalar, cihaz yerleşimleri veya ağ altyapısı sıkıntıları saptanabilmektedir. Uygulanan kontrollerin bazıları aşağıda listelenmiştir. Switch yapılandırması ve VLAN analizi Yönlendirici yapılandırması analizi Yerel ağ bölümlemesi ve bölümleme türü analizi Diğer aktif ağ cihazları analizi Ağ cihazları yönetim özelliklerinin ve yazılımlarının analizi Ağ cihazlarının bilinen güvenlik açıklarının analizi 31
OPT-APP Web Uygulaması Güvenlik Denetimi OPT-APP web uygulaması güvenlik Denetimi özel bölümünde uygulama üzerinde bulunan kodlama hataları çalışılan platform üzerinde ve/veya kaynak kod üzerinden denetlenmektedir. Uygulanan kontroller ile web uygulamalarında yer alan SQL sorguları değiştirme, yetkisiz erişim sağlanması, siteler arası komut çalıştırma, yetersiz girdi kontrolü ve oturum yönetim sorunları saptanabilmektedir. Web Uygulaması Kodlama Zaafiyetlerinin Analizi Web uygulamalarında yer alan ve kodlamadan kaynaklanan güvenlik açıkları, çalışılan platform üzerinde girdi/çıktı analizine dayalı olarak kontrol edilmektedir. Yapılan analiz neticesinde yetki aşımı, yetkisiz veri erişimi, sistem ele geçirme veya verilere zarar verme sonuçları doğurabilecek zaafiyetler saptanabilmektedir. Denetim kontrolleri yapılırken anonim ve/veya geçerli bir kullanıcı hesabı kullanılmaktadır. Böylece sistemde tanımlı olmayan kullanıcıların neden olabileceği tehditler ile tanımlı kullanıcıların tehditleri ayrıştırılmaktadır. Uygulanan kontrollerin bazıları aşağıda listelenmiştir. Doğrulanmamış Girdi Kabul Edilmesi : Teyid edilmemiş girdi yöntemi ile, sunucu üzerine gönderilen URL parametre değerlerinin değiştirilmesi sonucu, sunucu tarafında izinsiz erişim sağlanabilir ve çalışan web servisi engellenebilir. Bütün URL parametre değerleri, ilgili güvenlik açığı için kontrol edilir. Siteler Arası Komut Çalıştırma : XSS olarak da tanımlanan bu web uygulaması açığı, Teyid Edilmemiş Girdi yöntemi içeriğinde bulunan bir uygulama açığı türüdür. Web uygulamaları bir saldırıyı son kullanıcıya browser ı vasıtasıyla iletmek için bir araç olarak kullanılabilir. Başarılı bir saldırgan, son kullanıcının oturum izini afişe edebilir, yerel makineye saldırabilir veya kullanıcıyı kandırmak için içeriği taklit edebilir. Son kullanıcı odaklı olan bu saldırı türünde uygulama sunucusu araç olarak kullanılır. Bu doğrultuda uygulamanın kabul ettiği parametre değerleri değiştirilerek sayfa içeriğindeki değişimler gözlenir ve değişim sonuçları analiz edilir. Bellek Taşması : Web uygulamaları üzerinde bellek taşması, uygulamanın kullandığı herhangi bir programlama dili kütüphanesinde bulunan bir açıktan kaynaklanan ve sunucu üzerine gönderilen değişkenlerle istismar edilebilen bir açıktır. Genelde web uygulamaları üzerinde Bellek Taşması bulunduğu takdirde sunucu tarafında http bağlantısı direk kesilebildiği gibi sunucu üzerinde kod çalıştırılması da mümkündür. Web uygulamaları için kullanılan kütüphaneler üzerinde oluşmuş hata raporları gözden geçirilerek uygulama üzerinde kontrol yapıldığı gibi uygulama kodları üzerinde parametre değerlerine bellek taşması da uygulanır. 32
Hatalı Giriş Kontrolü : Kullanıcılar için site üzerinde yapılandırılmış olan erişim kontrolü sayesinde farklı kullanıcılar farklı kategorilerde erişim sağlayabilmektedirler. Aynı şekilde sunucu üzerinde kullanıcıların fark etmediği dizin erişim yetkileri bulunabilmektedir. Var olan uygulama üzerinde standart kullanıcı hesabı ile erişim Denetimi kontrol edilir. Kırılmış Giriş Kontrolü için, kullanıcı kimlik bilgisinin uygulama üzerinde güvenilirliği test edilir, ters dizin ve dosya erişim analizi yapılır Hatalı Doğrulama ve Oturum Yönetimi : Web Uygulaması üzerindeki oturum kontrolü ve buna bağlı oluşan kimlik doğrulaması üzerinde saptanan açıklar, kullanıcı bazlı bilgi çalınması ve sahtecilik riski taşıyabilmektedir. Öncelikli olarak uygulamanın oturum yönetimi biçimi saptanıp, oturum kimlik değeri çalınma riski tespit edilir ve oturum değerinin şifreleme algoritması kontrolü yapılır. Bundan sonraki süreçte kullanıcı bilgileri ile ilgili verilerin POST / GET üzerindeki dönme değerleri incelenerek site güvenilirliği gözden geçirilir. Uygunsuz Hata İşleme : Web uygulamaları üzerinde oluşan hata çıktıları sistemin çalışması hakkında detaylı bilgiler verebilmektedir. Ayrıca saptanan hata mesajları kendi türüne göre sistem üzerinde yavaşlama ve aynı hata mesajına yoğun istekler yapıldığında sistemin çökmesine sebebiyet verebilmektedir. Denetim sürecinde hata mesajı oluşmasına sebebiyet veren parametreler uygulama üzerinde analiz edilir. Sorgu/Komut Değiştirme Kusurları : Sorgu/Komut değiştirme kusurları, web uygulamasında çalıştırılan kod üzerinden diğer uygulamalar üzerine izinsiz geçiş hakkına sebebiyet verebilmektedir. SQL ve XPath sorguları değişimi olarak tanımlanan ve bu tür içinde en çok görülen açık tanımları olup, sistem üzerinden izinsiz veri çalınması ve okunması riski taşıyabilmektedir. Bunun dışında web uygulamasını kullanarak sistem üzerinde komut çalıştırma da enjeksiyon kusurları arasında yer almaktadır. SQL ve XPath sorgu değiştirme testi, hem normal parametre değeri çalıştırma kontrolü; hemde kör kullanım olarak tabir edilen SQL sistem yapısı üzerinden sorgu kontrolünü içermektedir. Güvensiz Saklama : Uygulama üzerinde barındırılan verilerin saklanma biçimi web uygulamalarında önemli bir risk taşımaktadır.yapılan testlerde daha çok algoritma eksiklikleri, kritik verinin şifrelenmemiş olması, kullanıcı şifrelerinin, anahtarların ve sertifikaların güvensiz yerlerde saklanmış olması güvenlik riski taşımaktadır. Bu doğrultuda erişilebilen veri saklama ortamlarındaki yerleşim ve saklama türleri analiz edilmektedir. Güvensiz Yönetim Arabirimi : Web Sunucusu üzerindeki sistem yapılandırma ayarları kontrol edilir. SSL yapılandırması, güvenlik yamaları, uygulama entegrasyonu, kararlılık ayarları ve web sunucusu ile ilgili sistem güçlendirme ve performans ayarları denetlenir. 33
Web Uygulaması Kaynak Kod Analizi Web uygulamalarında yer alan ve kodlamadan kaynaklanan güvenlik açıkları, kaynak kod üzerinden ve yürütme analizleri beraberinde kontrol edilmektedir. Analiz sürecinde yürütme analizinde potansiyel sorun oluşturabilecek noktalar belirlenmekte ve kaynak kod üzerinde nasıl bir yaklaşım izlendiği analiz edilmektedir. Yapılan analiz neticesinde yetki aşımı, yetkisiz veri erişimi, sistem ele geçirme veya verilere zarar verme sonuçları doğurabilecek zaafiyetler saptanabilmektedir. Kaynak kod ilklendirme analizleri ile uygulama yapısı ve kritik uygulama bileşenlerine yönelik yaklaşım incelenmektedir. Kullanıcı yönetimi, oturum yönetimi, girdi kontrol yöntemleri, veritabanı ilişkileri ve kodlama kriterleri, hedeflenen güvenlik seviyesi doğrultusunda kontrol edilmektedir. Merkezi işleyen kontrol süreçleri ve dağıtık kodlama kullanılan bölümler, yürütme analizleri beraberinde incelenmekte; tekil sorunlar veya uygulamanın genelini etkileyen sorunlar belirlenmektedir. Kaynak kod analizi esnasında OPT-TEAM üyelerince hazırlanmış ve/veya ilgili platforma özel hazırlanacak betikler ile otomatize analizler de uygulanmaktadır. Uygulamanın yapısal Denetimi ve kodlama yöntemleri ile yazılım geliştirme standartları karşılaştırılmakta, uygulamaya etkileri analiz edilmektedir. 34
OPT-VOICE Ses İletişim Altyapısı Güvenlik Denetimi OPT-VOICE Ses iletişim altyapısı güvenlik Denetimi özel bölümünde, kurumsal ses altyapısı ve ağ bağlantılarının güvenlik seviyesinin ölçülmesi için hazırlanmış özel kontroller uygulanmaktadır. Uygulanan kontroller ile ses iletişim sistemlerinde yer alan yetkisiz erişim sağlanması, ses iletişiminin dinlenebilmesi ve sistemin ele geçirilebilmesine olanak sağlayan sorunlar saptanabilmektedir. VOIP Altyapısı ve Veri/Ses Sistemleri Bağlantı Analizi Kurumsal VOIP iletişim altyapısı ve Santral/Veri Ağları bağlantıları analiz edilmekte, kullanılan protokoller ve cihazların yapılandırması incelenmektedir. Yapılan analiz neticesinde cihaz yapılandırmasında, ağlar arası bağlantılarda veya kullanılan protokollerde bulunan zaafiyetler saptanabilmektedir. Uygulanan kontrollerin bazıları aşağıda listelenmiştir. VOIP aği ve cihazların analizi VOIP ile very ağlarının bağlantı analizi VOIP ile ses ve görüntü sistemlerin bağlantı analizi Yerel ağüzerinde Switch,VLAN ve yönlendirici analizi Paket yakalama ve ses i letişimi çözümleme analizi Kullanılan protocol ve kodlama bileşenleri analizi VOIP Erişim Denetimi Analizi Kurumsal VOIP iletişim altyapısına yönelik içeriden ve dışarıdan yapılabilecek erişimlerin yönetimi, kimliklendirme, oturum yönetimi ve çağrı yönetimi incelenmektedir. Yapılan analiz neticesinde VOIP üzerinden izinsiz erişilebilen kaynaklar, ses iletişim hatlarındaki yetkiler, istemci/sunucu erişimleri, kimlik sahteciliği ve çağrı dinleme yapılabilmesine neden olabilecek zaafiyetler saptanabilmektedir. Uygulanan kontrollerin bazıları aşağıda listelenmiştir. VOIP erişim haritası, kimlik yönetimi ve erişim haklarının analizi VOIP çağrı hakları, sayısal/analoğçağrı hakları ve kısıtlamaların analizi Ses sistemlerini kullanarak çağrı açma ve yetki kazanma Protokol yetkilendirmeleri analizi VOIP cihazı, protocol veya ağ üzerinden çağrı sonlandırma analizi 35
OPT-VPN Sanal Özel Ağ Güvenlik Denetimi OPT-VPN sanal özel ağ güvenlik Denetimi özel bölümünde, kurumsal ağ altyapısı ve sanal özel ağ bağlantılarının güvenlik seviyesinin ölçülmesi için hazırlanmış özel kontroller uygulanmaktadır. Uygulanan kontroller ile erişim yetkilerinin aşılması, ağa izinsiz erişim, iletişim dinleme veya kimlik sahteciliğine olanak sağlayan sorunlar saptanabilmektedir. Sanal Özel Ağ Erişim Denetimi Analizi Sanal özel ağ yapısı incelenerek, bağlantı kuran istemci ve sunucuların erişim hakları, ağlar arası bağlantılar ve sanal özel ağ cihazı yapılandırmaları incelenmektedir. Yapılan analiz neticesinde sanal özel ağa yönelik yetkisiz erişime, ağlar arası izinsiz erişimlere ve sahteciliğe neden olabilecek zaafiyetler saptanabilmektedir. Uygulanan kontrollerin bazıları aşağıda listelenmiştir. Sanal özel ağ erişim haritası oluşturulması Sanal özel ağ sistemi ve Iṡtemcilerinin analizi Sanal özel ağ ile kurumsal ağlarının bağlantı analizi Sanal özel ağ erişim Denetimi analizi Kullanılan protocol ve kriptolama bileşenleri analizi Harici Doğrulama Sistemleri Analizi Sanal özel ağ için kullanılan harici doğrulama yöntemleri ve sistemleri incelenerek, istemci/sunucu kimliklendirme ve kimlik yönetimi süreçleri analiz edilmektedir. Yapılan analiz neticesinde kimlik sahteciliği, zaafiyet barındıran kimliklerin kullanımı ve harici doğrulama sistemlerinin atlatılmasına neden olabilecek zaafiyetler saptanabilmektedir. Uygulanan kontrollerin bazıları aşağıda listelenmiştir. Kullanılan harici doğrulama bileşenleri analizi Kimlik doğrulama yöntemleri analizi Sistem yönetimi ve yazılımların analizi 36
OPT-WIRELESS Kablosuz Ağ Güvenlik Denetimi OPT-WIRELESS kablosuz özel ağ güvenlik Denetimi özel bölümünde, kurumsal ağ altyapısı ve kablosuz ağ bağlantılarının güvenlik seviyesinin ölçülmesi için hazırlanmış özel kontroller uygulanmaktadır. Uygulanan kontroller ile yerel ağ ve uzak alan ağlara erişim yöntemleri, erişim Denetimi, bağlantı protokolleri ve kriptolama analizleri yapılmakta, erişim yetkilerinin aşılması, ağa izinsiz erişim, iletişim dinleme veya kimlik sahteciliğine olanak sağlayan sorunlar saptanabilmektedir. Kablosuz Ağ Erişim Denetimi ve Kriptolama Analizi Kablosuz ağ yapısı erişim yöntemleri, kimliklendirme ve seçilen kriptolama türleri incelenmektedir. Yapılan analiz neticesinde sanal özel ağa yönelik yetkisiz erişim, kimlik sahteciliği ve kriptolu iletişimin kırılmasına neden olabilecek zaafiyetler saptanabilmektedir. Uygulanan kontrollerin bazıları aşağıda listelenmiştir. Kablosuz ağ cihazı yapılandırma ve yönetim analizi Kablosuz ağ erişim Denetimi analizi Kimlik doğrulama yöntemleri analizi Kullanılan protocol ve kriptolama bileşenleri analizi Kriptolu iletişim kırma analizi Paket yakalama ve ortadaki adam analizi Kimlik ve erişim noktası sahteciliği analizi Kablosuz Ağ ve Kurumsal Ağların Bağlantı Analizi Kablosuz ağ yapısı ve kurumsal ağ ile bağlantı yapısı incelenmektedir. Yapılan analiz neticesinde kablosuz ağa ve kurumsal ağa yönelik yetkisiz erişime neden olabilecek zaafiyetler saptanabilmektedir. Uygulanan kontrollerin bazıları aşağıda listelenmiştir. Kablosuz Ağ Haritası Oluşturulması Kurumsal Ağ Alt yapısı ve Kablosuz Ağ Bağlantıları Analizi Kablosuz Ağ Sistem,Sunucu ve Iṡtemcilerinin Analizi Servis Engelleme Zaafiyetleri Analizi 37
Güvenlik Açıkları Kullanılarak Sisteme Sızılması Sistemlerde saptanmış olan güvenlik açıkları kullanılarak açığı barındıran sistemlere veya ağa sızılmaya çalışılmaktadır. Yayınlanmış güvenlik açıklarının bir kısmının içeriği de açıklanmış ve exploit olarak bilinen kullanım yöntemleri yayınlanmıştır. Bir kısmının ise içeriği açıklanmamış veya açıklanmasına rağmen açığın kullanım yöntemleri belirlenememiştir. Bu sebeple saptanan bazı güvenlik açıklarının kullanılması mümkün olamamaktadır. Bu sorunlara çözüm olarak OPT-TEAM üyeleri OPT Framework yazılımını geliştirmiş, çok sayıda exploit i özelleştirmiş ve exploit i yazılmamış birçok açık için exploit geliştirerek tek bir yazılım altında birleştirmiştir. Ayrıca sistemlere sızılması noktasında diğer açık kaynaklı yazılımlar ile entegrasyon sağlanmış, Denetim süreci daha verimli hale getirilmiştir. Ağa veya sisteme sızma işlemi sonucunda ilgili sistemde yetki kazanılmakta ve işlem yapılabilir hale gelinmektedir. Ancak kurumun talimatları doğrultusunda bu adım atlanabilmekte, adım içinde kurum bilgilendirilebilmekte veya kurum talimatları doğrultusunda gerçekleştirilebilmektedir. 38
Saptanan Güvenlik Açıklarının Değerlendirilmesi Erişilebilen tüm sunucu, yönlendirici, güvenlik teknolojileri ve istemcilerin üzerinde bulunabilecek güvenlik açıkları tespit edilir. Bu son aşamada, önceki aşamalarda elde edilmiş tüm bilgiler toplanarak sınıflandırılır ve haritalandırılır. Çeşitli zayıflıklar, riski ve tahmin edilen saldırı yolları göz önüne alınarak önem derecelerine göre sıralanır. Tespit edilen güvenlik açıkları, taşıdıkları riskler değerlendirilir ve önemine göre sıralanır. Saptanan güvenlik açıklarının öncelikleri ve sonuçları beraber analiz edilerek, güvenlik açıklarının beraber kullanılmasından oluşabilecek yeni güvenlik açıkları konusunda araştırmalar yapılmaktadır. Güvenlik açıklarının beraber kullanımı sonucunda oluşabilecek potansiyel güvenlik açıkları için sürecin gerekli aşamaları tekrar edilir. 39