Pentest (Penetrasyon Testi) Nedir?
Bir bilgisayar sisteminin, ağın veya web uygulamasının güvenlik açıklarını belirlemek ve bu zafiyetlerden nasıl yararlanılabileceğini görmek amacıyla yapılan kontrollü ve planlı saldırılardır. Amaç, sistemlerin siber tehditlere karşı ne kadar dirençli olduğunu test ederek, olası güvenlik risklerini keşfetmek ve bu açıkların kapatılmasına yardımcı olmaktır.
Pentest Türleri Nelerdir?
1. Black Box (Kara Kutu) Testi, yazılım testinde kullanılan bir yöntemdir ve test edilen sistemin iç yapısına veya kaynak koduna bakmadan, yalnızca dış fonksiyonlarını ve davranışlarını değerlendirir. Bu yaklaşım, sistemi bir “kara kutu” olarak görür; yani, test yapan kişi yazılımın nasıl çalıştığını bilmez, yalnızca girdiler ve çıktılarla ilgilenir. Bu test türü, hem kullanıcı perspektifinden hem de sistemin gerçek dünyadaki işlevselliğini anlamak için idealdir.
2. White Box (Beyaz Kutu) Testi, yazılımın iç yapısını, kaynak kodunu ve mantığını inceleyerek yapılan bir test yöntemidir. “Beyaz kutu” terimi, test yapan kişinin yazılımın iç işleyişini görebildiğini ifade eder. Bu yöntem, genellikle geliştiriciler veya yazılımın iç yapısını bilen uzmanlar tarafından yapılır. Test sırasında, kodun nasıl çalıştığı, mantık hataları, döngüler, koşullar ve veri akışı gibi iç yapısal unsurlar analiz edilir.
3. Gray Box (Gri Kutu) Testi, yazılım testinde kullanılan bir yöntemdir ve adından da anlaşılacağı gibi, Black Box (Kara Kutu) Testi ile White Box (Beyaz Kutu) Testi yaklaşımlarının bir kombinasyonudur. Gri kutu testinde, test yapan kişi yazılımın iç yapısına kısmen aşinadır, ancak tüm kodu veya iç işleyişi bilmez. Yani, yazılımın hem iç hem de dış özelliklerine dair sınırlı bir bilgiyle test yapılır. Amaç, hem kullanıcı deneyimini hem de iç süreçleri test ederek olası hataları daha kapsamlı bir şekilde tespit etmektir.
4. Sosyal Mühendislik Testi, bir şirketin veya kuruluşun bilgi güvenliği farkındalığını ve insan faktörlerini test etmek amacıyla yapılan bir penetrasyon testi türüdür. Bu test, insanları manipüle ederek, gizli bilgilere veya güvenli sistemlere erişmeye çalışmayı amaçlar. Yani, teknolojik sistemlerdeki açıkları değil, insanların zayıflıklarını hedef alır. Bu yaklaşım, kötü niyetli aktörlerin (hackerlar, dolandırıcılar) genellikle sosyal mühendislik tekniklerini kullanarak sistemlere sızma girişimlerini simüle eder.
5. Network (Ağ) Penetrasyon Testi, bir ağın güvenlik açıklarını tespit etmek ve bu açıkların kötü niyetli kişiler tarafından nasıl istismar edilebileceğini anlamak amacıyla yapılan bir siber güvenlik testidir. Bu testler, bir kuruluşun ağ altyapısındaki zayıf noktaları ortaya çıkarmak, yetkisiz erişim girişimlerini simüle etmek ve ağdaki olası güvenlik risklerini değerlendirmek için gerçekleştirilir.
6. Web Uygulama Penetrasyon Testi, bir web uygulamasının güvenliğini değerlendirmek ve bu uygulamadaki zayıf noktaları tespit etmek amacıyla yapılan sistematik bir testtir. Web uygulama penetrasyon testi, uygulamanın dışarıdan ve içeriden yapılabilecek saldırılara karşı ne kadar savunmasız olduğunu belirlemek için gerçekleştirilir.
7. Mobil Uygulama Penetrasyon Testi, mobil uygulamaların güvenliğini değerlendirmek ve potansiyel güvenlik açıklarını tespit etmek amacıyla yapılan bir güvenlik testidir. Bu test, mobil uygulamaların çeşitli platformlarda (iOS, Android vb.) nasıl çalıştığını ve bu uygulamalardaki zayıflıkları belirlemeyi amaçlar. Mobil uygulama penetrasyon testi, hem uygulama içindeki güvenlik açıklarını hem de uygulamanın bağlı olduğu sunucular ve hizmetlerdeki riskleri analiz eder.
8. Fiziksel Penetrasyon Testi, bir kuruluşun fiziksel güvenliğini değerlendirmek amacıyla yapılan bir testtir. Bu test, organizasyonun fiziksel güvenlik önlemlerinin, binaların ve diğer fiziksel alanların ne kadar etkili olduğunu analiz eder. Temel hedefi, bir saldırganın fiziksel erişim sağlama yollarını belirlemek ve bu yolları kullanarak bilgiye veya kritik sistemlere erişimin ne kadar kolay olduğunu test etmektir.
9. Kablosuz Ağ Penetrasyon Testi, bir kuruluşun kablosuz ağ altyapısının güvenliğini değerlendirmek ve potansiyel güvenlik açıklarını tespit etmek amacıyla yapılan bir testtir. Bu test, kablosuz ağların ne kadar güvenli olduğunu anlamak ve bu ağlara yetkisiz erişim sağlayabilecek zayıflıkları belirlemek için gerçekleştirilir.
10. Bulut (Cloud) Penetrasyon Testi, bir bulut ortamının güvenliğini değerlendirmek amacıyla yapılan bir güvenlik testidir. Bulut hizmetlerinin (IaaS, PaaS, SaaS) sunduğu kaynaklar, uygulamalar ve altyapılar üzerinde potansiyel güvenlik açıklarını tespit etmek ve bu açıkların nasıl istismar edilebileceğini anlamak için gerçekleştirilir. Bu test, bulut ortamının güvenliğini sağlamak ve veri koruma gereksinimlerini karşılamak için kritik bir adımdır.
11. IoT (Nesnelerin İnterneti) Penetrasyon Testi, nesnelerin İnterneti (IoT) cihazlarının ve sistemlerinin güvenliğini değerlendirmek amacıyla yapılan bir güvenlik testidir. IoT cihazları, internet üzerinden birbirleriyle veya diğer sistemlerle iletişim kuran fiziksel cihazlardır ve genellikle ev otomasyonu, endüstriyel kontrol sistemleri, sağlık hizmetleri gibi çeşitli uygulama alanlarına sahiptir. Bu test, IoT cihazlarının potansiyel güvenlik açıklarını tespit etmeyi ve bu açıkların nasıl istismar edilebileceğini anlamayı hedefler.
Pentest’in Zorunlu Olduğu Durumlar Nelerdir?
1. Yasal Düzenlemeler ve Uyumluluk Standartları: Bazı sektörlerde ve ülkelerde, penetrasyon testi yasal düzenlemeler ve standartlar tarafından zorunlu kılınabilir. Örneğin:
- ISO 27001: Bilgi güvenliği yönetim sistemi standardı, penetrasyon testlerini önerir. Belgelendirme için bu testlerin yapılması gerekli olabilir.
- PCI-DSS (Payment Card Industry Data Security Standard): Kartlı ödeme sistemlerini işleyen veya saklayan şirketler, bu standarda uygun olmak zorundadır. PCI-DSS, düzenli penetrasyon testlerini zorunlu kılar.
- HIPAA (Health Insurance Portability and Accountability Act): Sağlık sektörüyle ilgili bilgi güvenliği standartlarına uyum sağlamayı zorunlu kılar ve penetrasyon testi yapılmasını teşvik eder.
- KVKK (Kişisel Verileri Koruma Kanunu): Türkiye’de yürürlükte olan bu kanun, kişisel verilerin güvenliği için gerekli teknik tedbirlerin alınmasını gerektirir. Pentest, bu tedbirlerden biri olarak önerilebilir.
2. Şirket Politikaları ve Sözleşme Gereksinimleri:
- Birçok büyük organizasyon, sistem güvenliğini sağlamak için düzenli penetrasyon testlerini içeren iç politikalar belirler.
- Bazı iş ortaklıkları, özellikle finansal kurumlar veya teknoloji şirketleri arasında, işbirliği yapmadan önce güvenlik değerlendirmeleri yapılmasını şart koşar. Pentest sonuçları, bu değerlendirmelerin bir parçası olabilir.
3. Sigorta Şartları:
- Bazı siber güvenlik sigorta poliçeleri, sigortalı kuruluşlardan düzenli güvenlik testleri ve penetrasyon testleri talep edebilir. Bu testler yapılmazsa, bir güvenlik ihlali durumunda sigorta teminatı geçersiz sayılabilir.
4. Kritik Altyapılar:
- Enerji, sağlık, ulaşım gibi kritik altyapılara sahip sektörlerde, devlet tarafından düzenlenen denetimler penetrasyon testlerini içerebilir. Bu sektörlerdeki kuruluşların penetrasyon testleri yapması, hizmet kesintisi veya veri ihlali riskini azaltmak için zorunlu hale gelebilir.
Penetrasyon Testi Yaparken Dikkat Edilmesi Gerekenler
- Yasal İzinler: Penetrasyon testi yapmadan önce hedef sistemin sahibi veya yetkili kişilerden yazılı izin alınmalıdır.
- Etik ve Profesyonellik: Testler sırasında etik kurallara uyulmalı ve zarar verme amacı güdülmemelidir.
- Raporlama: Elde edilen bulgular detaylı bir şekilde raporlanmalı ve güvenlik açıkları hakkında öneriler sunulmalıdır.
Ücretsiz (Açık Kaynak) Penetrasyon Test Araçları
- Nmap: Ağ tarama ve güvenlik değerlendirmesi için kullanılan bir araçtır. Aktif cihazları, açık portları ve hizmetleri belirlemek için kullanılır. Port tarama, işletim sistemi tanımlama, hizmet ve versiyon tespiti, ağ haritalama gibi işlevler sunar. Esnek komut satırı arayüzü ve çeşitli tarama seçenekleri ile güçlü bir ağ keşif aracıdır.
- Metasploit Framework: Güvenlik açıklarını test etmek ve sızma testleri yapmak için kullanılan bir açık kaynaklı framework’tür. Birçok yerleşik exploit (istismar) ve payload (yük) içerir. Kullanıcıların yeni exploitler geliştirmesine ve mevcut zafiyetleri test etmesine olanak tanır. Ayrıca, güvenlik açıklarının yönetimi için bir oturum yönetimi sistemi sunar.
- Burp Suite Community Edition: Web uygulama güvenlik testleri için kullanılan bir araçtır. Web uygulamalarındaki güvenlik açıklarını bulmak ve analiz etmek için kullanılır. HTTP/HTTPS trafiğini yakalama ve manipüle etme, güvenlik açığı taraması ve web uygulaması güvenliği üzerine çeşitli araçlar sunar. Community Edition, temel özellikler sunar, ancak bazı gelişmiş özellikler yalnızca ücretli sürümde mevcuttur.
- Wireshark: Ağ trafiğini analiz etmek için kullanılan güçlü bir paket analizörüdür.zellikler: Ağ üzerindeki paketleri yakalar ve detaylı bir şekilde inceler. Protokol analizi, ağ sorunlarını tanıma ve güvenlik açıklarını tespit etme gibi işlevler sunar.
- OWASP ZAP (Zed Attack Proxy): Web uygulama güvenliğini test etmek için kullanılan bir güvenlik tarayıcıdır. Web uygulamalarında güvenlik açıklarını bulmak için otomatik ve manuel testler yapar. Proxy, tarayıcı ve diğer araçlarla web uygulamalarının güvenliğini değerlendirir.
- Nikto: Web sunucuları üzerindeki güvenlik açıklarını tarayan açık kaynaklı bir araçtır. Web sunucularındaki bilinen zayıflıkları, kötü yapılandırmaları ve potansiyel güvenlik açıklarını hızlıca tespit eder. Yüksek miktarda tarama ve raporlama seçeneği sunar.
- Hydra: Parola kırma ve kimlik doğrulama testleri yapmak için kullanılan bir araçtır. Birçok farklı protokolü destekleyerek, parola tahmin etme ve brute-force saldırıları gerçekleştirir. Hızlı ve etkili parola kırma işlemleri sunar.
- Aircrack-ng: Kablosuz ağların güvenliğini test etmek için kullanılan bir araç setidir. Kablosuz ağ şifrelerini kırma, ağ trafiğini yakalama ve analiz etme gibi işlevler sunar. WEP ve WPA/WPA2 şifreleme protokollerini hedef alır.
Ücretli Penetrasyon Test Araçları
- Burp Suite Professional: Web uygulama güvenlik testleri için kapsamlı bir araçtır. Gelişmiş güvenlik taramaları, otomatik tarama, daha detaylı raporlama ve özel eklentiler sunar. Penetrasyon testçilerinin web uygulamalarını daha derinlemesine analiz etmelerine olanak tanır.
- Nessus: Güvenlik açığı taraması ve yönetimi için kullanılan bir araçtır. Yüzlerce güvenlik açığı veri tabanına erişim sağlar, otomatik tarama ve detaylı raporlama özellikleri sunar. Ağ güvenliği, konfigürasyon analizi ve uyumluluk testleri yapar.
- Qualys Guard: Bulut tabanlı güvenlik ve uyumluluk yönetimi platformudur. Otomatik güvenlik açığı taramaları, uyumluluk denetimleri ve risk yönetimi sağlar. Ağ güvenliği ve uygulama güvenliği üzerinde kapsamlı raporlar sunar.
- Core Impact: Penetrasyon testleri ve sızma testleri için kullanılan bir ticari araçtır. Otomatik exploitler, ağ ve web uygulama taramaları ve derinlemesine güvenlik analizleri sunar. Kullanıcıların karmaşık sızma testlerini yönetmelerine yardımcı olur.
- AppSpider: Web ve mobil uygulamaların güvenliğini test etmek için kullanılan bir araçtır. Otomatik güvenlik taramaları, zayıf noktalar tespiti ve dinamik uygulama güvenliği analizleri sunar. Web ve mobil uygulamalar için kapsamlı tarama yapar.
- Cobalt Strike: Sızma testleri ve saldırı simülasyonları için kullanılan bir araçtır. Gelişmiş saldırı simülasyonları, sosyal mühendislik araçları ve komut kontrolü özellikleri sunar. Güvenlik açığı değerlendirmesi ve zararlı yazılım simülasyonları yapar.
- Immunity CANVAS: Güvenlik açıklarını test etmek ve sızma testleri yapmak için kullanılan bir araçtır. Çok sayıda exploit ve payload içerir, güvenlik açığı tespiti ve değerlendirme işlemlerini otomatikleştirir. Sızma testlerinde kapsamlı ve esnek çözümler sunar.
Evet yüzeysel olarak pentest nedir, türleri nelerdir, pentest’in zorunlu olduğu durumlar nedir ve son olarak ücretli/ücretsiz araçlardan bahsettim ilerleyen süreçlerde pentest türleri ile ilgili detaylı olarak inceleme yapıp paylaşacağım.
