Penetrasyon Muhabbeti (Nedir-Nedendir-Kaç Çeşittir)
-
Son zamanlarda çok gündemde olan bir şey oldu Penetrasyon Testleri. Yakın bir arkadaşımın sorusu üzerine fark ettim ki pek çok kişi bu testlerin ne olduğu ve neden yapıldığı konusundan bi haber. Öyleyse açıklamak gereklidir diye düşünüyor ve başlıyorum yazmaya…
Penetrasyon Testleri: Bilgisayar Korsanlarının (Kötü Niyetli Hackerler-BlackHat Hackers) Sistemlerinize saldırdığı zaman vereceği zararı daha önceden göstermek ve önlem aldırmak demektir. Tabii ki bu Saldırılar Güvenlik Uzmanları tarafından yapılır. Şirketle yada Firmayla çeşitli anlaşmalara gidilir ve bu anlaşmalar çerçevesince Sistemlere saldıran uzmanlar, Güvenlik açıklarını ve Şirketin Zaafiyatlarını ortaya çıkararak yetkili kişilere konu hakkında rapor sunarlar. Türkiye’de de son zamanlarda FreeLance yada kurumsal olarak pek çok Güvenlik Uzmanı Penetrasyon Testleri yapmaktadır.
3 Çeşit Penetrasyon Testi vardır;
1- White Box ( Beyaz Kutu Testi ) : Güvenlik uzmanına firma içindeki tüm sistemler hakkında bilgi verilir. Bu metod önceden firmada çalışmış ve ayrılmış saldırganın firmaya saldırı yapma olasılığını ve sonuçlarını test etme amacıyla tasarlanmıştır.2- Black Box ( Siyah Kutu Testi ) : Bu metod ile güvenlik uzmanına hiç bir bilgi verilmez , Sadece IP yada gerekmiyorsa bu bile verilmez , Tamamen zarar vermek, kişisel tatmin ve bilgi çalmak amacıyla dışarıdan gelebilecek bir saldırganın verebileceği zararı görmek ve önlem almak için tasarlanmış metodtur.
3- Grey Box ( Gri Kutu Testleri ) : Firma içerisinde düşük yetkilere sahip kullanıcının sisteme ve firmaya verebileceği zararı test etmek amaçlı düşünülmüş metodtur.Güvenlik uzmanı firma içinde belirli süre zarfında bulunup sistem açıklarını tarar ve bunları raporlar.
Penetrasyon Testi yaptırmayı düşünen kişilerin ya da Şirketlerin bu işi Güvenilir kişilere yaptırmaları çok önemlidir. Öyle ki şirketlerin Güvenlik Açıklarını kullanarak şirketi ele geçiren ve uçuk rakamlara işi yapan pek çok dolandırıcı ortalıkda cirit atmaktadır.
-
Bişey daha öğrenmiş oldum sayende.. eline sağlık teşekkürler :)
-
Bu 3 testi daha basit bir şekilde ayırmak için Ec-consiul şu örnekleri kullanır
white box:Sistemin yöneticisi seviyesinde sistem hakkında bilgi.
Grey Box: Sistemde yönetici olmayan ama bir hesabı yada sistem hakkın bir bilgisi olan kullanıcı
Black Box: Saldırıcagı sistemin sadece adını bilmesi.İnternet sitesi yada tek ip gibi....Örnek internet kullanıcısı
