Viproy Bilgi Güvenliği Eğitimleri Rehberi
Viproy Eğitimleri Hakkında Temmuz 2006 itibariyle bağımsız bir şirket olarak kurulan GamaSEC Ltd, bilgi güvenliği denetimi ve danışmanlığı servisleri sunmakta, güvenlik denetim ve danışmanlık süreçleri ile ilgili araştırmalar yapmaktadır. GamaSEC Akademi bölümü ise, Türkiye'de kurumsal bilgi güvenliğinin gelişmesi sürecine katkıda bulunmak ve kurumların bilgi güvenliği alanında yetişmiş çalışan ihtiyacını karşılamaya yardımcı olmak üzere oluşturulmuştur. Düzenlenen eğitimler ile kurumsal bilgi güvenliği için gerekli temel ve ileri düzey bilgilerin aktarılması, bilgi güvenliği denetimi için yöntem ve tekniklerin anlatılması, sistem ve uygulama geliştirme adına yapılması gerekenlerin gösterilmesi hedeflenmektedir. GamaSEC Bilgi Güvenliği Denetim ve Danışmanlık Servisleri, 2013 yılında almış olduğu kararla kurumsal kimliğini Viproy Bilgi Güvenliği Servisleri olarak değiştirmiştir. Viproy bilgi güvenliği danışmanlık ve eğitim hizmetlerini sunabilmek amacıyla Viproy denetim ekibini ve dış kaynaklı danışmanlarını kullanmaktadır. Viproy denetim ekibi tarafından güvenlik denetim ve danışmanlık hizmetlerinin daha verimli hale getirilmesi amacıyla yeni teknolojiler ve yazılımlar da geliştirilmektedir. Eğitimler, genel katılıma açık olarak önceden belirlenmiş ve duyurulmuş tarihlerde veya kurum ihtiyaçlarına göre özelleştirilmiş ve kapalı eğitimler olarak sunulmaktadır. Genel katılıma açık eğitimlerin tarihleri, eğitim yeri ve katılımcı sayısı Viproy tarafından belirlenmekte, web sayfası ve e-posta aracılığıyla genel bilgilendirme yapılmaktadır. Viproy Akademi bünyesinde kuruma özel ve ihtiyaçlara göre özelleştirilmiş konularda da eğitimler sunulabilmektedir. Eğitim sonunda, eğitim sunumları ve notlarını içeren kitapçıklar ile uygulamalı eğitimlerde kullanılan araçları içeren eğitim CD'leri katılımcılara verilmektedir. Kurumsal Eğitim Paketlerinin Sunulduğu Bazı Şirketler ve İlgili Bölümler Akbank Bankası İç Denetim Bölümü Garanti Bankası İç Denetim Bölümü HSBC Bankası İç Denetim Bölümü Denizbank Bankası İç Denetim Bölümü Türkiye Finans Katılım Bankası Güvenlik ve Yazılım Bölümleri Viproy Bilgi Güvenliği Servisleri Sayfa 2
İçindekiler Eğitimler Hakkında Genel Bilgi Tablosu...4 Bilgi Güvenliği Temel Kavramlar ve Teknolojileri...5 Sistem Sızma Denetimi...9 Web Uygulamaları Güvenlik Denetimi...12 Mobil Uygulama Güvenlik Denetimi...14 VoIP Ağları Güvenlik Denetimi...17 Metasploit Framework ile Güvenlik Denetimi...20 Viproy Bilgi Güvenliği Servisleri Sayfa 3
Eğitimler Hakkında Genel Bilgi Tablosu Eğitim Adı Uygulama Süre Eğitim Bedeli Bilgi Güvenliği Temel Kavramlar ve Teknolojileri YOK 2 Gün 1.500 USD Sistem Sızma Denetimi VAR 5 Gün 3.000 USD Web Uygulamaları Güvenlik Denetimi VAR 3 Gün 2.500 USD Mobil Uygulama Güvenlik Denetimi VAR 3 Gün 2.500 USD VoIP Ağları Güvenlik Denetimi VAR 3 Gün 2.500 USD Metasploit Framework ile Güvenlik Denetimi VAR 3 Gün 2.500 USD * Aynı Kurumdan Gelen Katılımcılara, Toplam Eğitim Bedelinden %20 İndirim Uygulanır * Eğitimler Viproy Tarafından Anlaşılacak Eğitim Salonlarında Verilecektir * Eğitim Sonunda Katılımcılara Sertifika, Eğitim Notları, Sunum ve Araç Seti Verilecektir * Genel Katılıma Kapalı Kurum Eğitimleri için Eğitim Teklifi İstenmelidir Viproy Bilgi Güvenliği Servisleri Sayfa 4
Bilgi Güvenliği Temel Kavramlar ve Teknolojileri Bilgi Güvenliği Temel Kavramlar ve Teknolojileri eğitimi, bilgi güvenliği için gerekli temel bilgileri, mimarileri, teknolojileri, yöntemleri, uygulama alanları ve standartları aktarmak amacıyla hazırlanmıştır. Eğitim, teorik olarak ve seminer şeklinde yapılacaktır. Kimler Katılmalı Sistem ve Ağ Mühendisleri BGYS Ekip Üyeleri Bilgi Sistemleri Danışmanları Bilgi Sistemleri Denetim Uzmanları Bilgi Güvenliği Denetmen Adayları Yazılım Geliştiriciler Eğitim Konu Başlıkları Güvenlik Yönetim Uygulamaları Erişim Denetimi ve Modelleri Kriptolama Güvenlik Modelleri ve Mimarileri İletişim ve Ağ Güvenliği Uygulama ve Sistem Geliştirme İş Devamlılığı Acil Müdahale ve İhlal Yönetimi Fiziksel Güvenlik Operasyonel Güvenlik Yoğunlaştırılmış 2 günlük eğitim ile kazanacaklarınız ; Bilgi güvenliği Için gerekli temel bilgileri edinmek Bilişim sistemleri Için gerekli güvenlik seviyesini ve uygulamaları kavramak Bilgi güvenliği uygulama ve denetim süreçlerini iyileştirmek Temel Gereksinimler Giriş Seviyesi Ağ ve TCP/IP Bilgisi Orta Seviye Linux/Windows/*nix İşletim Sistemleri Bilgisi Viproy Bilgi Güvenliği Servisleri Sayfa 5
Güvenlik Yönetim Uygulamaları EĞİTİM İÇERİĞİ Bilgi güvenliği yönetim sorumlulukları, risk yönetimi, güvenlik politikaları ve yönetimsel süreçler anlatılacak, personel güvenliği, roller ve sorumluluklar aktarılacaktır. Erişim Denetimi ve Modelleri Erişim denetimi, kimlik doğrulama ve yetkilendirme metodolojileri anlatılacak, fiziksel ve operasyonel uygulamalar ile sistemlere entegrasyonu aktarılacaktır. Güvenlik Modelleri ve Mimarileri Sistem mimarileri, güvenlik doğrulama, bütünlük ve gizlilik modelleri, uluslararası standartlar ve operasyonel uygulamalar ile sistemlere entegrasyonu aktarılacaktır. İletişim ve Ağ Güvenliği İletişim ve ağ altyapılarında kullanılan teknolojiler, mimariler, güvenlik modelleri, güvenlik teknolojileri ve zaafiyetleri anlatılacak, TCP/IP protokol ailesi ve OSI modelleri aktarılacaktır. Uygulama ve Sistem Geliştirme Sistem geliştirme ve güncelleme süreçleri, yazılım geliştirme yöntemleri, süreçleri anlatılacak, standartlar ve güvenlik uygulamaları aktarılacaktır. İş Devamlılığı İş devamlılığı süreçleri, tanımlamalar, standartlar ve sürecin kritik parçaları olan yük dağılımı, hata giderimi, yıkımdan kurtarma, yedekleme yöntemleri ve metodları anlatılacaktır. Acil Durum Müdahale ve İhlal Yönetimi Acil durum ve ihlal yönetimi anlatılacak, bilişim suçları, yasal değerlendirmeler, ihlal izlerinin araştırılması, uluslararası standartlar ve veri kurtarma süreci aktarılacaktır. Fiziksel Güvenlik Fiziksel güvenlik modelleri, standartlar ile uyumluluk, yasal değerlendirmeler ve teknolojiler anlatılacak, operasyonel uygulamaları aktarılacaktır Operasyonel Güvenlik Çalışanların rol ve sorumluluklarının yönetimi, süreçlerin izlenmesi, süreç denetimi ve uygulanabilecek operasyonel kontroller anlatılacaktır. Viproy Bilgi Güvenliği Servisleri Sayfa 6
Kimlik Doğrulama ve Yetkilendirme Merkezi olarak kimlik doğrulama ve yetkilendirme teknolojileri, harici doğrulama yöntemleri, varolan sunucu ve ağ yazılımları ile entegrasyonları anlatılacaktır. Sesame/Radius/SSO/Kerberos NIS/LDAP/Active Directory Kimlik Yönetimi Teknolojileri Erişim Denetimi Teknolojileri Ağ temelli ve sunucu temelli erişim denetimi teknolojileri, ağ iletişimi ve protokol denetimi, sunucu süreç, dosya sistemi ve bellek yönetimi teknolojileri anlatılacaktır. Sunucu Yönetimi, İzleme ve Çekirdek Yamaları Güvenlik Duvarı ve Paket Filtreleme Bant Genişliği ve İletişim Kalitesi Kriptolama Teknolojileri Tek kullanımlık şifre cihazları, kriptolu ağ iletişimi, akıllı kart, kriptolu iletişim hızlandırma, kriptolu dosya sistemi ve depolama yönetimi anlatılacaktır. Sanal Özel Ağ Teknolojileri S/Mime ve PGP ile Kriptolu E-Posta İletişimi Kriptolu İletişim Hızlandırma Cihazları Kriptolu Dosya Sistemleri ve Depolama Teknolojileri İzleme ve Analiz Teknolojileri Ağ ve sunucu izleme teknolojileri, sistem kayıtlarının izlenmesi ve saldırı tespiti amaçlı kullanılan teknolojiler anlatılacaktır. Ağ ve Sunucu İzleme, Sistem Kaydı Depolama ve Yönetimi Saldırı Tespit Teknolojileri Güvenlik Analiz Teknolojileri İçerik Denetim Teknolojileri E-posta, Web ve dosya Içeriği analiz ve denetim teknolojileri anlatılacaktır. Virüs/Asalak Yazılım Tarama SPAM Engelleme Web İçerik Tarama Viproy Bilgi Güvenliği Servisleri Sayfa 7
Veri Depolama ve Yedekleme Merkezi depolama, ağ temelli dosya paylaşımı ve yedekleme teknolojileri anlatılacaktır. NAS/SAN/RAID/NFS/Netbios Kriptolu Dosya Sistemleri Yedekleme Teknolojileri Devamlılık ve Yük Dağılımı Sunucu, ağ, ağ servisleri devamlılığı, kümeleme ve yük dağılımı teknolojileri anlatılacaktır. Sistem ve Ağ Devamlılığı Kümeleme ve Yük Dağılımı Fiziksel Güvenlik Teknolojileri Fiziksel erişim denetimi, izleme ve önleyici teknolojiler anlatılacaktır. Biometrik /Akıllı Kart/ RFID Kamera / Alarm Sistemleri Bariyer / İnsan / X-Ray İstemci Güvenliği Teknolojileri İstemcilerin kullandığı güvenlik teknolojileri, doğrulama cihazları, mobil güvenlik, art niyetli yazılım koruma ve güvenlik duvarı teknolojileri anlatılacaktır. Sanal Özel Ağ İstemcisi Güvenlik Duvarı Virüs/Asalak Yazılım Koruma Kişisel Kriptolama Yazılımları Viproy Bilgi Güvenliği Servisleri Sayfa 8
Sistem Sızma Denetimi Sistem Sızma Denetim Temelleri eğitimi, bilgi güvenliği denetim süreçlerinden sistem sızma denetimlerinin temel işleyişini aktarmak amacıyla hazırlanmıştır. Eğitim, hazırlanan senaryolar üzerinden, örnek eğitim ağı üzerinde ve katılımcılar ile beraber uygulamalı olarak yapılacaktır. Kimler Katılmalı Bilgi Sistemleri Danışmanları Bilgi Sistemleri Denetim Uzmanları Sistem ve Ağ Mühendisleri Yazılım Geliştiriciler Eğitim Konu Başlıkları Sistem Sızma Denetim Esasları Erişilebilir Bilgi Taraması Ağ Haritalama Süreci Güvenlik Teknolojilerinin Analizi Otomatize Güvenlik Açığı Taraması Yayınlanmış Güvenlik Açıkları Bilinen Yapılandırma Hataları Kablosuz Ağ Analizi Yetki Kazanma ve Sistem Sızma Analizi Özel Denetim ve Araç Geliştirme Yoğunlaştırılmış 5 günlük eğitim ile kazanacaklarınız ; Bilgi güvenliği denetimi için temel bilgileri uygulamalı olarak edinmek Bilgi güvenliği denetim süreçlerini ve hizmetlerini iyileştirmek Sistem sızma denetimi alanında uzmanlaşmak Saldırganların yöntemlerini ve araçlarını tanımak Temel Gereksinimler İleri Seviye Ağ ve TCP/IP Bilgisi İleri Seviye Linux/Windows/*nix İşletim Sistemleri Bilgisi Viproy Bilgi Güvenliği Servisleri Sayfa 9
Sistem Sızma Denetim Esasları EĞİTİM İÇERİĞİ Bilişim sistemlerine yönelik olarak yapılacak sistem sızma denetimleri için temel teşkil edecek bilgiler aktarılacak, denetim süreçleri konusunda bilgiler verilecektir. Erişilebilir Bilgi Taraması Denetim kapsamında yer alan sistemlerin ve ağların belirlenmesi, kurum ve kapsamda yer alan sistemler hakkında erişilebilecek bilgilerin aktif veya pasif olarak toplanması süreçleri anlatılacaktır. Ağ Haritalama Süreci Denetim kapsamında yer alan sistem ve ağların haritasının oluşturulması, saptanan sistemlerin işletim sistemleri, ağ servisleri ve kullanılan yazılımların envanterinin oluşturulması süreci anlatılacaktır. Güvenlik Teknolojilerinin Analizi Oluşturulan ağ haritası üzerinde yer alan güvenlik teknolojilerinin belirlenmesi, güvenlik teknolojilerinin yapılandırma zaafiyetleri, bilinen ve bilinmeyen güvenlik açıklarının analizi süreci anlatılacaktır. Otomatize Güvenlik Açığı Taraması Denetim kapsamında yer alan ağ cihazları ve sistemlerin otomatize yazılımlar kullanılarak güvenlik denetiminden geçirilmesi. Denetim profilleri oluşturulması ve sonuç raporlarının analizi anlatılacaktır. Yayınlanmış Güvenlik Açıkları Denetim kapsamında yer alan ağ cihazları ve sistemlerin yayınlanmış ve bilinen güvenlik açıklarının saptanması, güvenlik açığı veritabanlarının kullanımı ve uygulanan kontroller anlatılacaktır. Bilinen Yapılandırma Hataları Denetim kapsamında yer alan ağ cihazları ve sistemlerin yapılandırmadan kaynaklanan güvenlik açıklarının saptanması, güvenlik açığı veritabanlarının kullanımı ve uygulanan kontroller anlatılacaktır. Kablosuz Ağ Analizi Kablosuz ağ altyapısı, istemciler ve erişim noktalarının yayınlanmış, yayınlanmamış veya mimarilerinden kaynaklanan zaafiyetlerinin analizi anlatılacaktır. Viproy Bilgi Güvenliği Servisleri Sayfa 10
Denetim Yardımcı Araçları Kullanımı Denetim sürecinde faydalanılacak temel ve ileri düzey araçlar hakkında detaylı bilgiler ile örnek kullanımlar aktarılacaktır. Yetki Kazanma ve Sistem Sızma Analizi Saptanan güvenlik açıkları kullanılarak sisteme sızma yöntemleri veya yetki kazanma yöntemleri uygulamalı olarak aktarılacaktır. Sisteme sızma sonrası ek araçlar ile yapılabilecek işlemler ve analizlere yer verilecektir. Özel Denetim ve Araç Geliştirme Denetim sürecini hızlandırmak ve daha verimli hale getirmek amacıyla, özel testler hazırlanması ve betik dilleri kullanılarak özel testlerin tarama yazılımlarına entegrasyonu anlatılacaktır. Ayrıca sistem sızmada kullanılabilecek exploit lerin hazırlanması ve çalışma ortamına entegre edilmesi anlatılacaktır. Güvenlik Zaafiyetleri Değerlendirmesi Saptanan güvenlik zaafiyetlerinin değerlendirmesi, etki düzeylerinin analizi, risk analizi yapılması, gruplandırılması ve zaafiyetin farklı kaynaklarda yapılmış değerlendirmelerinin analizi anlatılacaktır. Sonuç Analizi ve Çözüm Geliştirme Denetim sürecinde saptanan güvenlik zaafiyetlerinin açıklamalarının hazırlanması, sonuçlarının aktarılması, çözüm geliştirme ve ek referanslar ile detaylı bilgi hazırlanması aktarılacaktır. Denetim Sonu Raporlama Süreci Hazırlanmış bilgilerin aktarılacağı, yönetici, orta düzey yönetici ve mühendislere hitap edebilecek biçimde ayrıntılı raporlama süreci anlatılacaktır. Viproy Bilgi Güvenliği Servisleri Sayfa 11
Web Uygulamaları Güvenlik Denetimi Web Uygulamaları Güvenlik Denetimi eğitimi, web uygulamalarında var olan güvenlik zaafiyetlerinin açıklamalarını ve analiz yöntemlerini aktarmak amacıyla hazırlanmıştır. Eğitim, hazırlanan senaryolar üzerinden, örnek platform üzerinde ve katılımcılar ile beraber uygulamalı olarak yapılacaktır. Kimler Katılmalı Yazılım Geliştiriciler Bilgi Sistemleri Danışmanları Bilgi Sistemleri Denetim Uzmanları Bilgi Güvenliği Denetmen Adayları Sistem ve Ağ Mühendisleri Yazılım Kalite Testi Sorumluları Eğitim Konu Başlıkları Uygulama Haritasının Oluşturulması Uygulama Platformu Analizi OWASP Top 10 Denetimi Girdi Doğrulama Zaafiyetleri Analizi Oturum Yönetimi ve Yetkilendirme Bilgi Sızmalarının Analizi Mantıksal ve Kullanımsal Zafiyet Analizi Yönetim ve Depolama Analizi Yoğunlaştırılmış 3 günlük eğitim ile kazanacaklarınız ; Web uygulamalarında sıkça karşılaşılan zaafiyetleri öğrenmek Genel programlama bilgisini arttırarak, yazılım güvenlik ihtiyacını kavramak Yazılım geliştirme sürecinin verimini ve güvenliğini arttırmak Bilgi güvenliği denetim süreçlerini ve hizmetlerini iyileştirmek Temel Gereksinimler Orta Seviye Linux/Windows/*nix İşletim Sistemleri Bilgisi Orta Seviye Web Uygulaması Programcılığı (ASP/PHP/Ruby/Jservlet/.NET) Viproy Bilgi Güvenliği Servisleri Sayfa 12
Uygulama Haritasının Oluşturulması EĞİTİM İÇERİĞİ Denetim kapsamını ve planını oluşturmak amacıyla uygulamanın bir haritasının oluşturulması, kullanılan bileşen ve yöntemlerin belirlenerek denetim içeriğine dahil edilmesi anlatılacaktır. Uygulama Platformu Analizi Uygulamanın çalışmakta olduğu uygulama sunucusu veya yazılım platformunun analizi anlatılacaktır. Platforma yönelik bilinen ve bilinmeyen güvenlik açıkları ile yapılandırma hatalarının denetimi aktarılacaktır. OWASP Top 10 Denetimi OWASP (www.owasp.org) kapsamında hazırlanmış olan, web uygulamalarında en sık karşılaşılan güvenlik açıkları listesi incelenecek, güvenlik açıkları, riskleri ve kullanımları aktarılacaktır. Girdi Doğrulama Zaafiyetleri Analizi Uygulamaların, istemcilerden gelen verileri hatalı doğrulamasından kaynaklanan güvenlik açıkları incelenecek, etki düzeyleri ve kullanım yöntemleri aktarılacaktır. Oturum Yönetimi ve Yetkilendirme Uygulamaların hatalı oturum takibi ve yetkilendirme zaafiyetleri açıklanacak, etki düzeyleri incelenecek ve kullanım yöntemleri aktarılacaktır. Bilgi Sızmalarının Analizi Uygulamaların yapısal, programlama, hata işleme veya platformdan kaynaklanan nedenlerden bilgi sızdırma nedenleri incelenecek, bilgi sızmalarının oluşabileceği bölümlerin denetimi aktarılacaktır. Mantıksal ve Kullanımsal Zafiyet Analizi Kullanımdan kaynaklanabilecek yetki yükseltimi, farklı kaynaklara erişim veya kötü niyetli davranışın engellenmemesi türünde zafiyetlerin saptanması anlatılacaktır. Yönetim ve Depolama Analizi Uygulamanın yönetimi, çalışabilirlik testi, yedekleme ve veri depolama amaçlarıyla kullanılan gizli bileşenlerine erişim, zaafiyetlerinin analizi ve kullanımı aktarılacaktır. Viproy Bilgi Güvenliği Servisleri Sayfa 13
Mobil Uygulama Güvenlik Denetimi Mobil Uygulama Güvenlik Denetim eğitimi, mobil uygulamalarında var olan güvenlik zaafiyetlerinin açıklamalarını ve analiz yöntemlerini aktarmak amacıyla hazırlanmıştır. Eğitim, hazırlanan senaryolar üzerinden, örnek uygulamalar üzerinde ve katılımcılar ile beraber uygulamalı olarak yapılacaktır. Kimler Katılmalı Yazılım Geliştiriciler Bilgi Sistemleri Danışmanları Bilgi Sistemleri Denetim Uzmanları Bilgi Güvenliği Denetmen Adayları Yazılım Kalite Testi Sorumluları Eğitim Konu Başlıkları Platform Güvenlik Özelliklerinin Kullanım Analizi Girdi Doğrulama Zaafiyetleri Analizi Sunucu ve Ağ İletişim Analizi Oturum Yönetimi ve Yetkilendirme Mantıksal ve Kullanımsal Zafiyet Analizi Yapılandırma, Depolama ve Güncelleme Analizi Sunucu Servisleri Analizi Jailbreak ve Değiştirilmiş İşletim Sistemleri ile Çalışma Analizi Ters Mühendislik ile Yazılım Kodu ve İçeriği Analizi Yoğunlaştırılmış 3 günlük eğitim ile kazanacaklarınız ; Mobil uygulamalarda sıkça karşılaşılan zaafiyetleri öğrenmek Genel programlama bilgisini arttırarak, yazılım güvenlik ihtiyacını kavramak Yazılım geliştirme sürecinin verimini ve güvenliğini arttırmak Bilgi güvenliği denetim süreçlerini ve hizmetlerini iyileştirmek Temel Gereksinimler Orta Seviye Linux/Windows/*nix İşletim Sistemleri Bilgisi Orta Seviye Web Uygulaması Programcılığı (ASP/PHP/Ruby/Jservlet/.NET) Viproy Bilgi Güvenliği Servisleri Sayfa 14
EĞİTİM İÇERİĞİ Platform Güvenlik Özelliklerinin Kullanım Analizi Mobil uygulamaların, üzerinde çalışmakta oldukları Android, Windows Phone ve ios işletim sistemlerinin güvenlik özellikleri ile entegrasyonu analiz edilecektir. Programlama, derleme ve çalışma esnasında, platform güvenliği ile nasıl etkileşim içinde oldukları ve bu nedenle oluşacak güvenlik açıkları örneklenecektir. Girdi Doğrulama Zaafiyetleri Analizi Girdi kabul edilen yöntemler olan kullanıcı arayüzü, yerel dosya sistemi, ağ arayüzü ve uzak sunucu kaynakları incelenecektir. Bozuk içerik, girdi veya dosya işlenmesi ile uygulamada oluşan anormallikler ve çakılmalar analiz dilecektir. Analiz ile uygulamada oluşacak bellek taşmaları, izinsiz kaynak kullanımı veya bilgi sızmaları saptanmaya çalışılacaktır. Sunucu ve Ağ İletişim Analizi İlk çalışma, veri işleme ve istek iletimi esnasında hangi ağ protokollerinin kullanıldığı, uzak sunucuların nasıl bir doğrulamaya tabi tutulduğu ve SSL kullanım yöntemleri incelenecektir. İnceleme sonucunda ağ temelli güvenlik sorunları, ortadaki adam saldırıları ve bozuk iletişimin uygulamaya etkileri analiz edilecektir. İletişim analizi esnasında özel Proxy yazılımları kullanımı, SSL iletişim güvenliği ve özel girdi doğrulaması için bozuk istek testleri uygulanacaktır. Oturum Yönetimi ve Yetkilendirme Uygulamanın iç yetkilendirme sistemi, sunulan servisin yetki ve oturum takip özellikleri analiz edilecektir. Analiz esnasında yetkiyi doğrudan etkileyen bileşenler analiz edilecek, oturum veya yetki sistemi için atlatma saldırıları yapılacaktır. Mantıksal ve Kullanımsal Zafiyet Analizi Uygulamanın sunduğu hizmet veya görev için, iş mantığı ve yapısı analiz edilecektir. Analiz neticesinde disk kriptolama, harita yönlendirme, bulut depolama, ofis yazılımı gibi görevlerdeki uygulamaların mantıksal zafiyetleri anlatılacaktır. Yapılandırma, Depolama ve Güncelleme Analizi Uygulamanın veri depolama, kullanıcı bilgilerinin depolanması ve depolama güvenliği analiz edilecek, yetkisiz erişim testleri yapılacaktır. Analiz esnasında platform depolama özelliklerinin kullanımı, harici kaynaklara depolanan veri, uygulama bileşenlerinin depolanması ve hassas kullanıcı bilgileri için kripto kullanımı analiz edilecektir. Viproy Bilgi Güvenliği Servisleri Sayfa 15
Sunucu Servisleri Analizi Uygulamanın veri almak, işlemek veya hizmeti yürütmek için kullanmakta olduğu sunucu servislerinin analiz aktarılacaktır. Analiz esnasında JSON, XML, HTML veya özel protokollerle aktarılan sunucu verileri analiz edilecek, bilgi sızmaları ve yetkisiz erişimler incelenecektir. Sunucudaki uygulama bileşenlerine, uygulama gibi bilgi göndererek web uygulama saldırıları gerçeklenecek ve programlama temelli güvenlik açıkları saptanacaktır. Jailbreak ve Değiştirilmiş İşletim Sistemleri ile Çalışma Analizi Uygulamanın çalışmakta olduğu işletim sisteminin Jailbreak olması veya değiştirilmiş olması koşullarında oluşan güvenlik sorunları incelenecektir. İnceleme esnasında Jailbreak ile kaybedilen platform özellikleri ve uygulamaya etkileri analiz edilecektir. Ayrıca uygulamanın sağladığı güvenlik özelliklerinin, Jailbreak platformunda aşılıp aşılamayacağı test edilecektir. Ters Mühendislik ile Yazılım Kodu ve İçeriği Analizi Ters mühendislik aracılığıyla uygulamanın kodunun çözümlenmesi veya ayrıştırılması yapılacak, kodlama zafiyetleri analiz edilecek ve kullanılan fonksiyonların güvenliği araştırılacaktır. Uygulamada kullanılan ve kullanılmayan fonksiyonlar incelenecek, atlatma amaçlı fonksiyonlar veya normal dışı kodlar analiz edilerek arka kapı araştırması yapılacaktır. Tehlikeli fonksiyonlar ve kullanımlar saptanacak, istismar edilmesi durumunda uygulamanın verdiği tepkiler analiz edilecektir. Viproy Bilgi Güvenliği Servisleri Sayfa 16
VoIP Ağları Güvenlik Denetimi VoIP Ağları Güvenlik Denetimi eğitimi, VoIP sistemlerinde ve ağ cihazlarında var olan güvenlik zaafiyetlerinin saptanmasını ve analiz yöntemlerini aktarmak amacıyla hazırlanmıştır. Eğitim, hazırlanan senaryolar üzerinden, örnek platform üzerinde ve katılımcılar ile beraber uygulamalı olarak yapılacaktır. Kimler Katılmalı Yazılım Geliştiriciler Bilgi Sistemleri Danışmanları Bilgi Sistemleri Denetim Uzmanları Bilgi Güvenliği Denetmen Adayları Sistem ve Ağ Mühendisleri Yazılım Kalite Testi Sorumluları Eğitim Konu Başlıkları Ağ Altyapısı Analizi IP Telefon Sunucusu Güvenliği Asterisk IAX Altyapısı Güvenliği SIP ve RTP Altyapısı Güvenliği VoIP İstemcileri Güvenliği Yoğunlaştırılmış 3 günlük eğitim ile kazanacaklarınız ; VoIP altyapılarında sıkça karşılaşılan zaafiyetleri öğrenmek SIP, IAX ve RTP servisleri için güvenlik ihtiyacını kavramak IP Telefon servisleri için özel testler hazırlayabilmek ve analiz yeteneği Bilgi güvenliği denetim süreçlerini ve hizmetlerini iyileştirmek Temel Gereksinimler İleri Seviye Ağ ve TCP/IP Bilgisi Orta Seviye Linux/Windows/*nix İşletim Sistemleri Bilgisi Viproy Bilgi Güvenliği Servisleri Sayfa 17
EĞİTİM İÇERİĞİ Ağ Altyapısı Analizi Ağ altyapısı analizinin nasıl yapılabileceği, dikkat edilmesi gereken noktalar ve bağlantı türleri analizi anlatılacaktır. Veri ve Ses Ağları Ayrıştırması Destek Sistemlerinin ve Servislerinin Yerleşimi VoIP Cihazlarının Yerleşimi Uzak Ağlar Arası İletişim VLAN Analizleri IP Telefon Sunucusu Güvenliği IP telefon sunucusu olarak kullanılan sistemlerin dahili güvenliği değerlendirilecek ve güvenlik analizlerinin nasıl yapılacağı aktarılacaktır. Bilinen güvenlik açıkları, yönetim sorunları ve yapılandırma sorunları tartışılacak; analizin nasıl yapılacağı anlatılacaktır. İşletim Sistemi ve Yapılandırma Yönetsel İşlemler Sistem ve İletişim Kayıt Özellikleri Yayınlanmış Güvenlik Açıkları Asterisk IAX Altyapısı Güvenliği Asterisk IAX sunucusunun analizi ve IAX protokolünün içeriği aktarılacaktır. IAX üzerinden sinyalleşme ve çağrı aktarımının nasıl yapıldığı anlatılacak, kimlik doğrulama, dahili doğrulama ve ortadaki adam saldırıları örneklenecektir. IAX servisinin yorumlanmasından kaynaklanan programlama sorunları da işlenecek ve Asterisk yazılım güvenliği de analiz edilecektir. Kimlik Doğrulama Analizi Özel Dahililerin ve Uzantıların Analizi SIP Sunucusunun Programlama Zaafiyetleri Ortadaki Adam Saldırıları Servis Engelleme Saldırıları Viproy Bilgi Güvenliği Servisleri Sayfa 18
SIP ve RTP Altyapısı Güvenliği SIP ve RTP altyapısının nasıl analiz edilebileceği aktarılacak, sunucunun SIP servisindeki sinyalleşmeyi nasıl yorumladığı analiz edilecektir. Kullanıcı kimliği doğrulama kriterleri analizi, şifre doğrulama, dahililerin saptanması, ortadaki adam saldırıları kullanımı konularına değinilecektir. SIP protokolü yorumlamasından veya çağrı yönetiminden kaynaklanan servis engelleme saldırıları da aktarılacaktır. Ses ve görüntü aktarımı için kullanılan RTP protokolü ve servisin güvenliği tartışılacaktır. RTP servisinde kriptolama kullanımı, servisin ortadaki adam saldırılarına tepkisi ve çağrı yakalama analizleri aktarılacaktır. Kimlik Doğrulama ve Yönetimi Analizi Temel Servis Yapılandırması Özel Dahililerin ve Uzantıların Analizi SIP Sunucusunun Programlama Zaafiyetleri Ortadaki Adam Saldırıları Servis Engelleme Saldırıları Özel SIP Testlerinin Hazırlanması RTP İletişimi ve Kriptolama Analizi VoIP İstemcileri Güvenliği VoIP ağlarında kullanılan istemci türleri tartışılacak, istemcilerin gömülü yazılımlarından, programlama sorunlarından veya yapılandırmadan kaynaklanabilecek güvenlik açıkları tartışılacaktır. İstemci Yönetim Süreci Analizi Destek Servisleri (TFTP, DHCP, FTP, HTTP) İlklendirme ve Yapılandırma Güvenliği Güncelleme Yönetimi ve Uzak Yönetim Donanım İstemcileri Analizi Gömülü Yazılım Güvenliği Cihaz Yönetim Servisleri Servis Engelleme Saldırıları Yazılım İstemcileri Analizi Masaüstü İstemcileri Mobil İstemcileri Viproy Bilgi Güvenliği Servisleri Sayfa 19
Metasploit Framework ile Güvenlik Denetimi Metasploit Framework ile güvenlik denetim eğimi, güvenlik denetim süreçlerinin verimli hale getirilmesi, özel denetim araçları hazırlanması, merkezi denetim ortamı oluşturulması ve sistem sızma adımının veriminin arttırılması için hazırlanmıştır. Eğitim sürecinde hazırlanan senaryolar üzerinden, örnek platform üzerinde ve katılımcılar ile beraber uygulamalar yapılacaktır. Kimler Katılmalı Bilgi Sistemleri Danışmanları Bilgi Sistemleri Denetim Uzmanları Bilgi Güvenliği Denetmen Adayları Sistem ve Ağ Mühendisleri Eğitim Konu Başlıkları Metasploit Framework ve Kullanım Amaçları Bilgi Toplama ve Analiz Araçları Kullanımı Exploit, Payload, Post Kavramları ve Temel Kullanım Hedef Sistemlere Sızma İşlemi ve Exploit Farklılıkları Farklı Payload ve Bağlantı Koşullarında Exploit İşlemi İleri Düzey Meterpreter Kullanımı ve Post-Exploitation Yerel Ağ Saldırıları ve Metasploit Entegrasyonu Harici Araçların Kullanımı ve Metasploit Entegrasyonu Özel Exploit, Post ve Yardımcı Modül Geliştirme Yoğunlaştırılmış 3 günlük eğitim ile kazanacaklarınız ; Metasploit Framework ile Sistem Sızma Temelleri Kazanmak Denetime Özel Exploit ve Payload İşlemlerini Kavramak Özel Testler ve Analizler Hazırlamak, Modülleri Özelleştirmek Bilgi güvenliği denetim süreçlerini ve hizmetlerini iyileştirmek Temel Gereksinimler İleri Seviye Ağ ve TCP/IP Bilgisi İleri Seviye Linux/Windows/*nix İşletim Sistemleri Bilgisi Viproy Bilgi Güvenliği Servisleri Sayfa 20
Metasploit Framework ve Kullanım Amaçları EĞİTİM İÇERİĞİ Metasploit Framework'ün yapısı, kullanım amaçları ile denetim ve geliştirme sürecinde sağlayabileceği avantajlar anlatılacaktır. Temel kullanım özellikleri, modüllerin özellikleri ve hangi amaçlarla kullanılabilecekleri detaylandırılacakltır. Bilgi Toplama ve Analiz Araçları Kullanımı Yardımcı araçların kullanımı ile bilgi toplama aşamasının nasıl yürütülebileceği, güvenlik zafiyetleri veya servis sorgulama farklılıkları örneklenecektir. Sisteme sızmaya izin vermeyen ama özel işlemler içeren kullanımlar için yardımcı araçlar örneklenecek, sistemden dosya alma, komut çalıştırma veya toplu kullanım koşulları anlatılacaktır. Servis engelleme araçları da bu bölümde gösterilecek ve bilinen açıklara ait servis engelleme modülleri gösterilecektir. Exploit, Payload, Post Kavramları ve Temel Kullanım Modüllerin yapısı anlatılacak, Exploit işleminin nasıl gerçekleştiği ve Payload'un rolü anlatılacaktır. Temel ve basit Exploit kullanımları ile örnekler verilecek, Payload değişimleri ve Exploit farklılıkları açıklanacaktır. Hedef Sistemlere Sızma İşlemi ve Exploit Farklılıkları Exploit işlemi esnasında oluşacak farklılıklar için Exploit türleri açıklanacak; dosya, istemci veya yerel güvenlik açıkları için kullanılabilecek Exploit'ler anlatılacaktır. Anlatım esnasında farklı türlerde Exploit işlemleri yapılacak, farklılıklar ve temel beklentiler açıklanacaktır. Farklı Payload ve Bağlantı Koşullarında Exploit İşlemi Hedeflerin farklılık göstermesi durumunun Exploit ve Payload üzerinde ne tür değişimler yaratacağı açıklanacaktır. Linux, Windows ve mobil cihazlar gibi örnekler anlatılacak, Exploit işlemleri yapılacak, VNC ve PHP/Java Meterpreter gibi farklı Payload kullanımları gösterilecektir. Hedef sistemlerin bağlantı türlerinin de gösterebileceği farklılıklar örneklenecek; ters bağlantı, Proxy üzerinden bağlantı veya doğrudan bağlantı gibi alternatifler incelenecektir. İleri Düzey Meterpreter Kullanımı ve Post-Exploitation Hedef sistemin ele geçirilmesi sonrasında yapılabilecek işlemler, ele geçirme esnasında elde edilen bilgileri ve bu bilgilerin kullanımı ile yeni hedeflere sızılması örneklenecektir. Ayrıca Meterpreter'ın özellikleri olan betik kullanımı, ağ tünelleme, servis kurulumu, VNC tünelleme veya şifre özetlerinin alınması gibi işlemler örneklenecektir. Viproy Bilgi Güvenliği Servisleri Sayfa 21
Yerel Ağ Saldırıları ve Metasploit Entegrasyonu Yerel ağ temelli saldırılar ve bu tür saldırıların Metasploit Framework ile beraber nasıl kullanılabileceği anlatılacak, örnekler gösterilecektir. Ortadaki adam saldırıları, DNS saldırıları ve sahte servis kullanımları uygulamalı olarak anlatılacaktır. Harici Araçların Kullanımı ve Metasploit Entegrasyonu Metasploit Framework içinde yer almayan ve harici olarak geliştirilen projelerin kullanımı anlatılacak, dış modüllerin entegra olarak nasıl çalışabileceği gösterilecektir. Q projesi ile harici Exploit'lerin kullanımı ile SMBExec, MetaSSH, BeeF, Fasttrack, Social Engineerin Toolkit ve Armitage'in Metasploit Framework entegrasyonları uygulamalı olarak anlatılacaktır. Özel Exploit, Post ve Yardımcı Modül Geliştirme Denetim ve sızma testi projelerinde saptanan güvenlik açıklarının kullanımı için nasıl özel araçlar hazırlanabileceği anlatılacak, örnek olarak Exploit, Post modülleri ve Yardımcı modüller geliştirilecektir. Geliştirme esnasında örnekler basit olarak seçilecek, katılımcı bilgi seviyesine göre ileri düzey gösterimler de yapılabilecektir. Viproy Bilgi Güvenliği Servisleri Sayfa 22