15 Sep 00:02
Re: Penetrasyon Testi , Hangisi ?
Arkadaşlar merhaba gruba ilk mesajım olacak hata yaparsam kusura bakmasın kimseler ; Öncelikle şunu hiçbirmiz atlkamayalım eger bir saldırgan bir sisteme girmek isterse siz dünyanın en iyi güvenlik yazılımlarınıda koysanız girer bizlerin tek bir amacı var oda bu saldırıyı en uzun süreye döktürmek.O yüzden bence ips i antivirüsü tartışmak (BENCE) boşuna. En iyi pentesti saldırgan kişilker yapar kısmına bir derece katılıyorum fakat gene içimizde çok iyi pentest yapabilecek insanlar mevcuttur. İsmini hatırlayamadım bir arkadaş piyasa ile ilgili çok güzel bir yorum yaptı türkiyede bu iş neredeyse milyarlarla degil milyonlarla yapılcak o kadar rezil bir piyasası var. Son olarak bende white-box diyorum. herkese iyi çalışmalar. > Merhaba Umut Bey, > > WAF için bir örnek sunum -> > http://www.slideshare.net/sandrogauci/troopers09-the-truth-about-web-application-firewalls-what-the-vendors-do-not-want-troopers-09-munich-april-2009-you-to-know > IPS için ise IPS evade techniques diye aratırsanız fazla sayıda > kaynağa ulaşabilirsiniz. > Antivirüslerede 100binlerce dolar harcıyoruz, harcamayada devam > edeceğiz ancak bunlar aşılamadığı anlamına gelmiyor sonuçta çoğunu > defense in depth stratejisinin bir parçası olarak kullanıyoruz, aynen > evinizdeki kilit gibi amaçları saldırıyı %100 engellemek değil > (sanıyorumki hiç bir vendorda iddia etmiyordur) zamanında müdahale > edebilecek kadar size zaman kazandırmaktır... > > İyi akşamlar... > > 2009/9/14 Umut Şimşek <umut.simsek@...>: > >> Mert Bey, >> IPS/FW gibi uygulamaların antivirus engineleri kadar kolay atlatılabildiği >> sonucuna nerden vardınız bilemem ama yazdıklarınızı okuyunca insanın "madem >> bu kadar kolay aşılabiliyorlar ben neden bu cihazlara 100 binlerce dolar >> para harcadım,kaldırayım atayım" diye sorası gelmiyor değil. >> İyi çalışmalar >> >> >> Umut Şimşek >> Security Professional >> CISSP,CCSP,C|EH,MCSA:M >> >> >> 2009/9/14 Mert SARICA <mert.sarica@...> >> >>> Merhaba, >>> >>> Açıkçası kapsam FW, IPS ve benzer ağ güvenlik kontrollerini test etmek >>> olmadığı sürece ve bu sistemlerin antivirüs uygulamaları gibi >>> kolaylıkla bypass edilebildiğide bilinen bir gerçek ise kısıtlı zaman >>> aralığında hedef uygulama ve sistemlere öncelik verilmelidir diye >>> düşünüyorum aksi halde er yada geç istismar edilecek zaafiyetlerin, bu >>> cihazları bypass etmek için ayrılan süre nedeniyle vakit ayrılamaması >>> benim için üzerinde düşünülmesi gereken önemli bir noktadır bu nedenle >>> whitelist tercih sebebimdir. >>> >>> 2009/9/14 Umut Şimşek <umut.simsek@...>: >>> >>>> Black box literatürde kulağa hoş gelen bir tanım olarak kalacak >>>> sanırım,ben >>>> de white-box tabir edilen testin yapılmasının vakit kaybını azaltıp daha >>>> zengin sonuçlar sunacağına inaniyorum ama Mert Bey'in whitelist'e ekleme >>>> önerisine -bu tür testlerin IPS/Firewall ya da MSS benzeri dışardan >>>> alınan >>>> hizmetler gibi güvenlik mekanizmalarının etkinliğini de anlama fırsatı >>>> verdiğini ve gerçekliktikten uzaklaştırdığını düşündüğümden- pek sıcak >>>> bakmıyorum.Bu testler sırasında yürütülen saldırı girişimlerinin bu >>>> mekanizmalarca tespit edilip engellenebileceğini bilmek de önemli bir >>>> bulgu >>>> bence. >>>> İyi çalışmalar >>>> >>>> Umut Şimşek >>>> Security Professional >>>> CISSP,CCSP,C|EH,MCSA:M >>>> >>>> >>>> 2009/9/14 Huzeyfe ONAL <huzeyfe@...> >>>> >>>>> Selamlar, >>>>> >>>>> hiçbir pentest gerçek tehditin yerini tutamaz. Bunun çeşitli sebepleri >>>>> var >>>>> ama en önemlileri Pentest işini yapanlar saldirganlar kadar kalifiye >>>>> değiller, pentest yapanlar belli metodolojilere göre belirli zaman >>>>> dilimi >>>>> içerisinde iş yapmaya çalışırlar fakat saldırganların limitsiz zamanı >>>>> ve >>>>> bilgisi vardır gibi sebepler sayabiliriz. Dolayisiyla blackbox yapilan >>>>> testler -bence- tek başına yeterli olmaz. Mutlaka yanında whitebox da >>>>> yaptirilmasi gerekir. >>>>> >>>>> >>>>> --- >>>>> Huzeyfe ONAL >>>>> Ag Guvenligi Listesine uye oldunuz mu? >>>>> http://www.lifeoverip.net/netsec-listesi/ >>>>> >>>>> --- >>>>> >>>>> >>>>> 2009/9/14 Mert SARICA <mert.sarica@...> >>>>> >>>>>> Açıkçası bu durum tehditin kaynağına ve gerçekleşme ihtimaline göre >>>>>> değişecektir, internetten gerçekleşebilecek rastgele bir saldırı >>>>>> tehdit olarak görülüyor ve gerçekleşme ihtimali yüksek ise black-box, >>>>>> iç bilgiye sahip 3. parti firma çalışanı veya firma çalışanı >>>>>> tarafından gerçekleşebilecek hedeflenmiş bir saldırı tehdit olarak >>>>>> görülüyor ve gerçekleşme ihtimali yüksek ise white-box düşünülebilir. >>>>>> >>>>>> Gerçekleşme ihtimali düşük ve tehdit olarak görülmeyen bir kaynak için >>>>>> test yaptırılması gerçeği yansıtmayacağı ve gereksiz yatırıma yol >>>>>> açabileceği için "white-box yapılsın diğer saldırılar sorun >>>>>> olmayacaktır" görüşünü destekleyemeyeceğim. >>>>>> >>>>>> >>>>>>> Zaten bu pen test sonucundaki acıkları kapatabiliyorsak diger >>>>>>> saldırılar cok >>>>>>> sorun olmayacaktır. >>>>>>> >>>>>> Buna katılmıyorum eğer öyle olsaydı black-box, grey-box kavramları >>>>>> ortaya çıkmazdı. >>>>>> >>>>>> 2009/9/14 Cagatay <cagatay_isikci@...>: >>>>>> >>>>>>> En kotu senaryoyu dusunmek lazım bence. Yani, saldırganın hedef >>>>>>> sistem >>>>>>> hakkında max bilgiye sahip oldugu durum (White-Box). >>>>>>> >>>>>>> Zaten bu pen test sonucundaki acıkları kapatabiliyorsak diger >>>>>>> saldırılar cok >>>>>>> sorun olmayacaktır. >>>>>>> >>>>>>> Iyi calısmalar. >>>>>>> >>>>>>> -- >>>>>>> Cagatay >>>>>>> >>>>>>> ________________________________ >>>>>>> From: Mert SARICA <mert.sarica@...> >>>>>>> To: netsec@... >>>>>>> Sent: Monday, September 14, 2009 1:44:04 PM >>>>>>> Subject: Re: [netsec] Penetrasyon Testi , Hangisi ? >>>>>>> >>>>>>> Merhaba, >>>>>>> >>>>>>> Internet üzerinden rastgele gerçekleşebilecek bir saldırı simüle >>>>>>> edilecek ise black-box test yapılması daha anlamlı geliyor. >>>>>>> Amaç ağ üzerindeki kontrol mekanizmalarınıda değerlendirmek ise IPS >>>>>>> ve >>>>>>> benzer cihazlar üzerinde pentester için white-list (saldırıyı >>>>>>> bloklama) uygulamayabilirsiniz ancak amaç kısıtlı bir zaman >>>>>>> içerisinde >>>>>>> hedef sistem ve uygulamalarda olabildiğince zaafiyetin tespit >>>>>>> edilmesi >>>>>>> ise pentesterın vakit kaybetmemesi adına IPS ve benzer cihazlar >>>>>>> üzerinde white-list uygulamanızı tavsiye ederim nedeni ise malum bir >>>>>>> saldırı esnasında saldırganın her zaman pentesterdan daha fazla >>>>>>> vakti >>>>>>> olacaktır ve er yada geç IPS ve benzer cihazların bypass edilerek >>>>>>> saldırının gerçekleşme ihtimali yüksek olacaktır. >>>>>>> >>>>>>> 2009/9/14 Sinan ULKER <sinan.ulker@...>: >>>>>>> >>>>>>>> Tam olarak neyi amacladiginiza bagli olarak degisecektir. >>>>>>>> Amacli bir saldirida mumkun oldugunca ic yapi hakkinda, sosyal >>>>>>>> muhendislik >>>>>>>> vb. yontemlerle, yapi hakkinda bilgi edinilmeye calisilacagini >>>>>>>> saniyorum, >>>>>>>> bu >>>>>>>> baglamda Grey Box secenegi realiteye daha uygun sonuclar ortaya >>>>>>>> cikaracaktir >>>>>>>> kanimca. >>>>>>>> >>>>>>>> Ote yandan, sistemi tum riskleri ile gozlemlemek ve sonuclarini >>>>>>>> irdelemenizi >>>>>>>> oneririm. Yapinizi detayli olarak bilen biri/birileri tarafindan >>>>>>>> gerceklestirilebilecek olasi durumlari da incelemek gerekir. >>>>>>>> 2009/9/14 Suat Celik (Calik Holding) <suat.celik@...> >>>>>>>> >>>>>>>>> Merhabalar, >>>>>>>>> >>>>>>>>> >>>>>>>>> >>>>>>>>> Dışarıdan yapılacak bir Pen Test te sizce hangi metot daha verimli >>>>>>>>> olur ? >>>>>>>>> >>>>>>>>> >>>>>>>>> >>>>>>>>> 1- Black Box - İçeriden hiç bilgi almadan >>>>>>>>> >>>>>>>>> 2- White Box - içeriden bilgi alarak, altyapı hakkında bilgi >>>>>>>>> alınarak >>>>>>>>> >>>>>>>>> 3- Grey Box - Misafir mod, detay iç bilgi olmadan >>>>>>>>> >>>>>>>>> >>>>>>>>> >>>>>>>>> Yada Hibrit , ama ne kadar hibrit ? >>>>>>>>> >>>>>>>>> >>>>>>>>> >>>>>>>>> Iyi çalışmalar... >>>>>>>>> >>>>>>>>> Bu elektronik posta ve onunla iletilen bütün dosyalar sadece >>>>>>>>> göndericisi >>>>>>>>> tarafından alması amaçlanan yetkili gerçek ya da tüzel kişinin >>>>>>>>> kullanımı >>>>>>>>> içindir. Eğer söz konusu yetkili alıcı değilseniz bu elektronik >>>>>>>>> postanın >>>>>>>>> içeriğini açıklamanız, kopyalamanız, yönlendirmeniz ve kullanmanız >>>>>>>>> kesinlikle yasaktır ve bu elektronik postayı derhal silmeniz >>>>>>>>> gerekmektedir. >>>>>>>>> ÇALIK HOLDİNG bu mesajın içerdiği bilgilerin doğruluğu veya >>>>>>>>> eksiksiz >>>>>>>>> olduğu >>>>>>>>> konusunda herhangi bir garanti vermemektedir. Bu nedenle bu >>>>>>>>> bilgilerin ne >>>>>>>>> şekilde olursa olsun içeriğinden, iletilmesinden, alınmasından ve >>>>>>>>> saklanmasından sorumlu değildir. Bu mesajdaki görüşler yalnızca >>>>>>>>> gönderen >>>>>>>>> kişiye aittir ve ÇALIK HOLDİNG'in görüşlerini yansıtmayabilir. Bu >>>>>>>>> e-posta >>>>>>>>> bilinen bütün bilgisayar virüslerine karşı taranmıştır. Ancak >>>>>>>>> yollayıcı, >>>>>>>>> bu >>>>>>>>> e-posta mesajının - virüs koruma sistemleri ile kontrol ediliyor >>>>>>>>> olsa >>>>>>>>> bile - >>>>>>>>> virüs içermediğini garanti etmez ve meydana gelebilecek >>>>>>>>> zararlardan >>>>>>>>> doğacak >>>>>>>>> hiçbir sorumluluğu kabul etmez. >>>>>>>>> >>>>>>>>> >>>>>>>>> >>>>>>>>> >>>>>>>>> -------------------------------------------------------------------------------- >>>>>>>>> This e-mail and any files transmitted with it are confidential and >>>>>>>>> intended solely for the use of the individual or entity to whom >>>>>>>>> they >>>>>>>>> are >>>>>>>>> addressed. If you are not the intended recipient you are hereby >>>>>>>>> notified >>>>>>>>> that any dissemination, forwarding, copying or use of any of the >>>>>>>>> information >>>>>>>>> is strictly prohibited, and the e-mail should immediately be >>>>>>>>> deleted. >>>>>>>>> CALIK >>>>>>>>> HOLDING makes no warranty as to the accuracy or completeness of >>>>>>>>> any >>>>>>>>> information contained in this message and hereby excludes any >>>>>>>>> liability >>>>>>>>> of >>>>>>>>> any kind for the information contained therein or for the >>>>>>>>> information >>>>>>>>> transmission, reception, storage or use of such in any way >>>>>>>>> whatsoever. >>>>>>>>> The >>>>>>>>> opinions expressed in this message belong to sender alone and may >>>>>>>>> not >>>>>>>>> necessarily reflect the opinions of CALIK HOLDING. This e-mail has >>>>>>>>> been >>>>>>>>> scanned for all known computer viruses. In doing so, however, >>>>>>>>> sender >>>>>>>>> cannot warrant that virus or other forms of data corruption may >>>>>>>>> not >>>>>>>>> be >>>>>>>>> present and do not take any responsibility in any occurrence. >>>>>>>>> >>>>>>> >>>>>>> -- >>>>>>> http://www.linkedin.com/in/mertsarica >>>>>>> >>>>>>> >>>>>>> --------------------------------------------------------------------- >>>>>>> >>>>>>> >>>>>>> |Bilgi Guvenligi Akademisi| >>>>>>> >>>>>>> http://www.guvenlikegitimleri.com >>>>>>> >>>>>>> >>>>>>> >>>>>>> >>>>>>> >>>>>>> >>>>>> >>>>>> -- >>>>>> http://www.linkedin.com/in/mertsarica >>>>>> >>>>>> --------------------------------------------------------------------- >>>>>> >>>>>> >>>>>> |Bilgi Guvenligi Akademisi| >>>>>> >>>>>> http://www.guvenlikegitimleri.com >>>>>> >>>>>> >>>>>> >>>>>> >>>> >>> >>> -- >>> http://www.linkedin.com/in/mertsarica >>> >>> --------------------------------------------------------------------- >>> >>> >>> |Bilgi Guvenligi Akademisi| >>> >>> http://www.guvenlikegitimleri.com >>> >>> >>> >>> >> > > > > --------------------------------------------------------------------- |Bilgi Guvenligi Akademisi| http://www.guvenlikegitimleri.com
RSS Feed