Yeni bir güvenlik sistemi kurarken, mümkün olduğunca az güvenlik açığıyla düzgün çalıştığından emin olmanız gerekir. Binlerce dolar değerindeki dijital varlıkların söz konusu olduğu yerlerde, hatalarınızdan ders çıkarmayı göze alamazsınız ve yalnızca güvenlik açığınızı, bilgisayar korsanlarının daha önce sömürdüğü boşlukları doldurabilirsiniz.
Ağınızın güvenliğini iyileştirmenin ve garanti altına almanın en iyi yolu, onu sürekli test etmek ve düzeltilecek kusurları aramaktır.
Peki kalem testi nedir?
Kalem testi olarak da bilinen sızma testi, gerçek bir güvenlik olayını taklit eden aşamalı bir siber güvenlik saldırısıdır. Simüle edilmiş saldırı, güvenlik sisteminizin bir veya daha fazla bölümünü hedef alabilir ve kötü niyetli bir bilgisayar korsanının yararlanabileceği zayıf noktaları arar.
Bunu gerçek bir siber saldırıdan ayıran şey, bunu yapan kişinin sizin kiraladığınız beyaz şapkalı veya etik bir hacker olmasıdır. Siyah şapkalı meslektaşlarının kötü niyetleri olmadan savunmanızı delme becerilerine sahipler.
Etik hacker'ın başlattığı saldırının türüne, önceden aldığı bilgilere ve çalışanları tarafından belirlenen sınırlamalara bağlı olarak çeşitli pentest örnekleri vardır.
Tek bir pentest, aşağıdakileri içeren birincil pentest türlerinden biri veya bunların bir kombinasyonu olabilir:
İçeriden veya dahili bir sızma testi, kötü niyetli bir bilgisayar korsanının meşru bir çalışan olarak poz verdiği ve şirketin dahili ağına erişim kazandığı içeriden bir siber saldırıyı simüle eder.
Bu, güvenlik duvarı, antivirüs ve uç nokta koruması gibi harici hatalar yerine erişim ayrıcalıkları ve ağ izleme gibi dahili güvenlik kusurlarını bulmaya dayanır.
Adından da anlaşılacağı gibi, bu tür bir pentest, bilgisayar korsanına şirketin dahili ağına veya çalışanlarına herhangi bir erişim sağlamaz. Onlara, şirketin halka açık web siteleri ve açık iletişim portları gibi harici teknolojisi aracılığıyla hackleme seçeneği bırakıyor.
Dışarıdan gelen pentestler, bilgisayar korsanının bir çalışanı, harici korumasının ötesinde şirketin dahili ağına erişim sağlamak için kandırdığı ve manipüle ettiği sosyal mühendislik pentestleriyle örtüşebilir.
Veriye dayalı bir pentest ile bilgisayar korsanına güvenlik bilgileri ve hedefleriyle ilgili veriler sağlanır. Bu, eski bir çalışanın veya sızdırılmış güvenlik verilerini elde eden birinin saldırısını simüle eder.
Veriye dayalı bir testin aksine, kör bir test, bilgisayar korsanının hedefleri hakkında adları ve herkese açık olanlardan başka hiçbir bilgi almadığı anlamına gelir.
Bu test, şirketin dijital güvenlik önlemlerini (donanım ve yazılım) test etmenin yanı sıra güvenlik ve BT personelini de içerir. Bu aşamalı saldırıda, şirketteki hiç kimse en büyük saldırının farkında değil ve onları kötü niyetli bir siber saldırıyla karşılaşıyormuş gibi tepki vermeye zorluyor.
Bu, şirketin genel güvenliği ve personelin hazır olup olmadığı ve ikisinin nasıl etkileşime girdiği hakkında değerli veriler sağlar.
Kötü niyetli saldırılara benzer şekilde, etik hackleme dikkatli bir planlama gerektirir. Değerli içgörüler sağlayan başarılı bir pentest sağlamak için etik hacker'ın izlemesi gereken birçok adım vardır. İşte pentest metodolojisi hakkında bir fikir.
İster kör, ister veriye dayalı bir pentest olsun, bilgisayar korsanının önce hedefiyle ilgili bilgileri tek bir yerde toplaması ve saldırı noktasını bu konuma göre planlaması gerekir.
İkinci adım, saldırı yollarını tarayarak, istismar edilecek boşlukları ve güvenlik açıklarını aramaktır. Bilgisayar korsanı erişim noktaları arar ve ardından güvenlik sisteminin nasıl tepki verdiğini görmek için çok sayıda küçük ölçekli test çalıştırır.
Doğru giriş noktalarını bulduktan sonra, bilgisayar korsanı güvenliğine girmeye ve ağa erişmeye çalışacaktır.
Bu, güvenlik protokollerini, güvenlik duvarlarını ve izleme sistemlerini atlamak için mümkün olan her yolu kullandıkları gerçek 'hack' adımıdır. SQL enjeksiyonları, sosyal mühendislik saldırıları veya siteler arası komut dosyası oluşturma gibi yöntemler kullanabilirler .
Çoğu modern siber güvenlik savunma sistemi, koruma kadar algılamaya da güvenir. Saldırının başarılı olması için, bilgisayar korsanının, veri sızdırıyor, sistemleri veya dosyaları bozuyor veya kötü amaçlı yazılım yüklüyor olsun, amaçlarına ulaşmak için yeterince uzun süre ağ içinde tespit edilmeden kalması gerekir.
Saldırı başarılı olsun ya da olmasın sona erdikten sonra, bilgisayar korsanı bulgularını işverenlerine rapor edecektir. Güvenlik uzmanları daha sonra saldırı verilerini analiz eder, izleme sistemlerinin raporladıklarıyla karşılaştırır ve güvenliklerini artırmak için uygun değişiklikleri uygular.
Şirketlerin güvenlik sistemlerinde yaptıkları iyileştirmeleri başka bir sızma testi düzenleyerek test ettikleri genellikle altıncı bir adım vardır. Veriye dayalı saldırıları veya kör bir pentest için başka bir saldırıyı test etmek isterlerse aynı etik bilgisayar korsanını işe alabilirler.
Etik bilgisayar korsanlığı sadece beceri gerektiren bir meslek değildir. Çoğu etik bilgisayar korsanı, işlerini kolaylaştırmak ve manuel hatalardan kaçınmak için özel işletim sistemleri ve yazılımlar kullanır ve her bir pentest'e elinden gelenin en iyisini verir.
Peki kalem testi yapan bilgisayar korsanları ne kullanıyor? İşte birkaç örnek.
Parrot Security, sızma testi ve güvenlik açığı değerlendirmeleri için tasarlanmış Linux tabanlı bir işletim sistemidir. Bulut dostudur, kullanımı kolaydır ve çeşitli açık kaynaklı pentest yazılımlarını destekler.
Ayrıca bir Linux işletim sistemi olan Live Hacking, hafif olması ve yüksek donanım gereksinimlerine sahip olmaması nedeniyle bir pentester'ın tercihidir. Ayrıca, penetrasyon testi ve etik korsanlık için araçlar ve yazılımlarla önceden paketlenmiş olarak gelir.
Nmap, bir ağı izleyen ve cihazların ana bilgisayarları ve sunucuları hakkında veri toplayan ve analiz eden, onu siyah, gri ve beyaz şapkalı bilgisayar korsanları için değerli kılan açık kaynaklı bir zeka (OSINT) aracıdır .
Aynı zamanda çapraz platformdur ve Linux, Windows ve macOS ile çalışır, bu nedenle yeni başlayan etik korsanlar için idealdir.
WebShag aynı zamanda bir OSINT aracıdır. HTTPS ve HTTP protokollerini tarayan ve ilgili veri ve bilgileri toplayan bir sistem denetleme aracıdır. Herkese açık web siteleri aracılığıyla dışarıdan pentestler yapan etik bilgisayar korsanları tarafından kullanılır.
Kendi ağınızı kalemle test etmek en iyi seçeneğiniz değildir, çünkü bu konuda kapsamlı bilgiye sahip olabilirsiniz, bu da kutunun dışında düşünmeyi ve gizli güvenlik açıklarını bulmayı zorlaştırır. Ya bağımsız bir etik bilgisayar korsanı ya da kalem testi sunan bir şirketin hizmetlerini işe almalısınız.
Yine de, özellikle onlara güvenlik bilgileri veya içeriden erişim sağlıyorsanız, ağınıza girmesi için bir yabancıyı işe almak çok riskli olabilir. Bu nedenle güvenilir 3. taraf sağlayıcılara bağlı kalmalısınız. İşte mevcut olanlardan küçük bir örnek.
HackerOne, penetrasyon testi, güvenlik açığı değerlendirmesi ve protokol uyumluluk testi hizmetleri sağlayan San Francisco merkezli bir şirkettir.
Texas'ta bulunan ScienceSoft, güvenlik açığı değerlendirmeleri, kalem testi, uyumluluk testi ve altyapı denetleme hizmetleri sunar.
Atlanta, Georgia'da bulunan Raxis, kalem testi ve güvenlik kodu incelemesinden olay müdahale eğitimine, güvenlik açığı değerlendirmelerine ve sosyal mühendislik önleyici eğitime kadar değerli hizmetler sunar.
Hala nispeten yeni olmasına rağmen, kalem testi, bir bilgisayar korsanının saldırdığı sırada beyninin işleyişine dair benzersiz bilgiler sunar. En yetenekli siber güvenlik uzmanlarının bile yüzeyde çalışmayı sağlayamayacağı değerli bilgilerdir.
Kalem testi, siyah şapkalı bilgisayar korsanlarının hedefi olmaktan ve sonuçlarına katlanmaktan kaçınmanın tek yolu olabilir.
Resim Kredisi: Unsplash.
Shelter, Android cihazınızda bir korumalı alan oluşturmanıza olanak tanıyan kullanışlı bir uygulamadır. Bu, uygulamaların klonlanmış kopyalarını çalıştırabileceğiniz, belgeleri depolayabileceğiniz ve hesapları ana çalışma alanınızdan ayrı tutabileceğiniz anlamına gelir. Cihazınızın içinde fazladan bir telefonun olması gibi!
Bilgi Teknolojisindeki (BT) gelişmeler daha üretken işyerleri yarattı. Ve bulut bilişim gibi özelliklerle dijital çalışma araçlarına erişim hiç bu kadar kolay olmamıştı.
Sanal Özel Ağ (VPN), internette güvenli bir şekilde gezinmek için gerekli bir araçtır. Ancak piyasada bulunan tüm seçeneklerle, karar yorgunluğuna düşmek ve hiçbir VPN olmadan korumasız kalmak çok kolaydır.
Siteler Arası İstek Sahteciliği (CSRF), bir web sitesi güvenlik açıklarından yararlanmanın en eski yollarından biridir. Genellikle oturum açma gibi kimlik doğrulama gerektiren sunucu tarafı web anahtarlarını hedefler. Bir CSRF saldırısı sırasında, bir saldırgan kurbanını kendi adına yetkisiz, kötü niyetli bir web isteği yapmaya zorlamayı amaçlar.
GoFundMe, insanların kendilerine veya sevdiklerine yardım etmeleri için başkalarından bağış istemek için kullandıkları en iyi çevrimiçi platformlardan biridir. Site, toplanan paranın hedeflenen alıcılara gitmesini sağlamak için özel bir ekibe sahiptir. Bu konuda bir şeyler başarısız olursa, GoFundMe ekibi geri ödeme yapar.
Microsoft Authenticator, desteklenen uygulamalarda ve web sitelerinde iki faktörlü kimlik doğrulamayı sağlayan bir uygulamadır. İki faktörlü kimlik doğrulamayı (2FA) yenmek, hesabınıza parola eklemekten çok daha zordur. Bu nedenle, birçok siber güvenlik şirketi, kullandığınız tüm hizmetler için 2FA kurmanızı önerir.
Barkodlar, verileri fiziksel bir yüzeyde paylaşmanın en iyi yollarından biridir. İlgilenen bir kişinin tek yapması gereken, bir web sitesine veya uygulamaya erişmek için kodu doğrudan akıllı telefonlarında taramak.
Çevrimiçi hesaplarımızı güvence altına almamız gerektiğini göz önünde bulundurarak, bir şifre yöneticisi görevi kolaylaştırmaya yardımcı olur. Parola yöneticisi yalnızca kimlik bilgilerini yönetmekle sınırlı değildir, aynı zamanda onunla çok çeşitli özellikler elde edersiniz.
Hack olayları her zaman haberlere hükmediyor ve haklı olarak da öyle. Özellikle kurban, gelişmiş bir siber güvenlik sistemine sahip büyük bir şirketse, kimsenin güvende olmadığının kanıtıdır. Siber güvenlik ortamı üzerinde önemli bir etkisi olan bir saldırı, SolarWinds saldırısıydı.
Belirli bir günde kaç web sitesini ziyaret ettiğinizi düşünün. Şimdi tarayıcıya kaç tane URL yazdığınızı düşünün. Büyük olasılıkla, manuel olarak aradığınızdan çok daha fazla web sitesini ziyaret ediyorsunuz. Çoğumuz bunu bağlantılar aracılığıyla yaparız.
Siber güvenlik dünyasına burnunuzu soktuysanız, bilgisayar korsanlarının iyi kurulmuş teknolojilerde sakatlayıcı kusurlar bulma eğiliminde olduğunu ve dünya çapında yüz binlerce cihaz için bir istismara yol açtığını bilirsiniz. Dünya çapında Bluetooth cihazları için sorun yaratmayı amaçlayan BrakTooth istismarının durumu böyledir.
İki ayrı hack grubunun PS5 jailbreak'inin önceden düşünülenden daha erken geldiğini görebilecek büyük keşifler yapmasıyla, PlayStation 5 jailbreak'in gelişmekte olan dünyasında vahşi bir kaç gün oldu.
Güvenli DNS hizmetleriyle çevrimiçi gizliliğinizi kolayca artırabilirsiniz. Ancak, bazı DNS hizmetleri, çevrimiçi deneyiminizi özelleştirmek için kontrollerle birlikte size ekstra işlevler sağlar.
Muhtemelen Google arabasını monte edilmiş bir kamerayla görmüşsünüzdür ve Street View modu için çekimler yapmıştır. Hiç ziyaret etmediğimiz yerleri görmek için bir bilgisayar veya telefon kullanabilmemiz inanılmaz.
Ağustos 2021'de NortonLifeLock ve Avast arasında bir birleşme duyuruldu.
Görünüşe göre herkes kişisel verilerinizi istiyor. Her zaman size bir şeyler satma niyetiyle şirketler, ürünlerini kontrol etmenizi sağlamak için uğraşırlar. Ancak internetin hiç bitmeyen bir seçenek akışıyla dolu olmasıyla, onları ayırmanın tek yolu bire bir müşteri deneyimi sunmaktır.
Apple cihazlarının faydalarından biri, bu tür su geçirmez güvenliğe izin vermeleridir. Ancak bir kurtarma anahtarı ayarlayarak cihazlarınıza ekstra güvenlik ekleyebilirsiniz.
Video paylaşım uygulaması TikTok bir fenomendir. 2017'deki başlangıcından bu yana, sosyal ağın ABD'de yaklaşık 90 milyon aktif kullanıcısı var ve uygulama yaklaşık iki milyar kez indirildi.
Yazarken şişman parmaklamaya eğilimli misiniz? Favori web sitelerinizin adresini yazarken a yerine e yazmak veya kısa çizgiyi unutmak görünüşte zararsız olsa da, sizi yazım hatası olarak bilinen kısır bir uygulamanın kurbanı yapabilir.
Çevrimiçi bilgi depolamak norm haline geldi. Daha fazla kuruluş, bu karşılıklı bağlantı çağında alakalı kalmak için bu kısmı çekiyor.
Bilgi Teknolojisindeki (BT) gelişmeler daha üretken işyerleri yarattı. Ve bulut bilişim gibi özelliklerle dijital çalışma araçlarına erişim hiç bu kadar kolay olmamıştı.
Sanal Özel Ağ (VPN), internette güvenli bir şekilde gezinmek için gerekli bir araçtır. Ancak piyasada bulunan tüm seçeneklerle, karar yorgunluğuna düşmek ve hiçbir VPN olmadan korumasız kalmak çok kolaydır.
Siteler Arası İstek Sahteciliği (CSRF), bir web sitesi güvenlik açıklarından yararlanmanın en eski yollarından biridir. Genellikle oturum açma gibi kimlik doğrulama gerektiren sunucu tarafı web anahtarlarını hedefler. Bir CSRF saldırısı sırasında, bir saldırgan kurbanını kendi adına yetkisiz, kötü niyetli bir web isteği yapmaya zorlamayı amaçlar.
GoFundMe, insanların kendilerine veya sevdiklerine yardım etmeleri için başkalarından bağış istemek için kullandıkları en iyi çevrimiçi platformlardan biridir. Site, toplanan paranın hedeflenen alıcılara gitmesini sağlamak için özel bir ekibe sahiptir. Bu konuda bir şeyler başarısız olursa, GoFundMe ekibi geri ödeme yapar.
Barkodlar, verileri fiziksel bir yüzeyde paylaşmanın en iyi yollarından biridir. İlgilenen bir kişinin tek yapması gereken, bir web sitesine veya uygulamaya erişmek için kodu doğrudan akıllı telefonlarında taramak.
Çevrimiçi hesaplarımızı güvence altına almamız gerektiğini göz önünde bulundurarak, bir şifre yöneticisi görevi kolaylaştırmaya yardımcı olur. Parola yöneticisi yalnızca kimlik bilgilerini yönetmekle sınırlı değildir, aynı zamanda onunla çok çeşitli özellikler elde edersiniz.
Hack olayları her zaman haberlere hükmediyor ve haklı olarak da öyle. Özellikle kurban, gelişmiş bir siber güvenlik sistemine sahip büyük bir şirketse, kimsenin güvende olmadığının kanıtıdır. Siber güvenlik ortamı üzerinde önemli bir etkisi olan bir saldırı, SolarWinds saldırısıydı.
Siber güvenlik dünyasına burnunuzu soktuysanız, bilgisayar korsanlarının iyi kurulmuş teknolojilerde sakatlayıcı kusurlar bulma eğiliminde olduğunu ve dünya çapında yüz binlerce cihaz için bir istismara yol açtığını bilirsiniz. Dünya çapında Bluetooth cihazları için sorun yaratmayı amaçlayan BrakTooth istismarının durumu böyledir.
Güvenli DNS hizmetleriyle çevrimiçi gizliliğinizi kolayca artırabilirsiniz. Ancak, bazı DNS hizmetleri, çevrimiçi deneyiminizi özelleştirmek için kontrollerle birlikte size ekstra işlevler sağlar.
Muhtemelen Google arabasını monte edilmiş bir kamerayla görmüşsünüzdür ve Street View modu için çekimler yapmıştır. Hiç ziyaret etmediğimiz yerleri görmek için bir bilgisayar veya telefon kullanabilmemiz inanılmaz.
