Popüler işletim sistemleri ve web uygulamalarında penetrasyon testlerinin değerlendirilmesi

Abstract

Son zamanlarda dünyada olduğu gibi ülkemizde de bilgi teknolojilerinin kullanımı yaygınlaşmakta ve siber güvenliğin önemi artmaktadır. Bilgi teknolojileri kullanıcıya çeşitli faydalar sağlayan karmaşık yapılara sahip yazılımlar sunmakta ve yapısı gereği güvenlik açıklarına da sebep olmaktadır. Bu durum çeşitli kurum ve kuruluşları, bireysel kullanıcıları, kurumsal web sitelerini ve sistemlerini kötü niyetli şahısların (hacker) saldırılarına açık hale getirmektedir. Bilgi güvenliği bu saldırıları önlemek adına dijital ortamda depolanan bilgilerin güvenliğini sağlamak için yapılan tüm çalışmaları kapsamaktadır. Bu çalışmalardan biri de penetrasyon (sızma) testleridir. Penetrasyon testleri uzman kişiler tarafından var olan bilgi sistemi açıklarının kötü niyetli şahıslardan önce tespit edilip gerekli önlemlerin alınması hususunda bir rapor hazırlanması ve ilgili kişilerin bilgilendirilmesi şeklinde gerçekleştirilmektedir. Özellikle ülkemizde penetrasyon testi uzmanları oldukça az sayıdadır ve bu konuda kendilerini geliştirmek isteyen kişilere yönelik yeterli kaynak bulunmamaktadır. Kurumsal firmalar penetrasyon testlerini güvenlik amacıyla gizli bir şekilde ve yalnızca penetrasyon testi uzmanlarını çalıştıran firmalarca gerçekleştirmektedir. Bu durum bu konuyu merak eden ve bu konuda çalışma yapmak isteyen araştırmacıların gerçek bir ortamda deneme ve çalışma yapmasına olanak sağlamamaktadır. Bu çalışmada kurumsal bir yapının IT sisteminde bulunan Domain Controller'a bağlı Windows XP, Windows 7, Windows 10, Kali Linux, IIS Server, MSSQL Sever gibi işletim sistemleri ve sunucular sanal laboratuvar ortamı olarak kurularak penetrasyon testi aşamaları uygulamalı olarak gerçekleştirilmiştir. Çalışmanın web uygulamaları kısmında ise, zafiyetli (vulnerability) web sitesi üzerinde penetrasyon testi aşamaları uygulanmıştır. Ayrıca günümüzde mobil cihazların yaygınlaşması nedeniyle ortaya çıkan kullanıcı taraflı saldırılara yönelik android emülatörleri üzerinde uygulamalar yapılmıştır. Bu sayede günümüzde yaygın şekilde kullanılmakta olan popular işletim sistemleri ve web uygulamalarına yönelik zafiyet tespitleri ve zafiyet sömürü işlemleri gerçekleştirilmiştir. Windows XP, Windows 7, Windows 10, Linux ve Android işletim sistemi mimarileri sunularak bu işletim sistemleri üzerinde penetrasyon testlerinin anlaşılması ve gerekli güvenlik önlemlerinin alınması amacıyla güvenlik mekanizmaları incelenmiştir. Bu çalışmada kurumsal bir firmanın penetrasyon testi aşamalarının bir bütün halinde incelenmesi ve açıklarının belirlenmesi aşamalarının uygulamalı şekilde sunulması hedeflenmiştir. Bu sayede penetrasyon testi ve bilgi güvenliği alanlarında araştırma yapmak isteyen sektör çalışanlarına ve araştırmacılarına kaynak olma niteliği sağlanması amaçlanmıştır. Anahtar Kelimeler: Bilgi Güvenliği, Penetrasyon (Sızma) Testi, Saldırı Yöntemleri, Siber Güvenlik, Zafiyet Analizi.

Recently, the use of information technologies has become widespread and importance of cyber security has increased in our country and as well as in the world. Information technologies offer a complex structure of software that provides the user with various benefits and because of this structure cause security vulnerabilities. This situation makes the various institutions and organizations, individual users, corporate websites and systems vulnerable to attacks by malicious people (hacker). Information security includes all studies to prevent these attacks and secure the information stored in digital environment. Penetration testing is one of these studies. Penetration tests are carried out by experts to identify the information system deficits that are identified before malicious persons and to prepare a report on taking necessary precautions and inform the relevant persons. Particularly in our country penetration testing experts are very few and in this field there are not enough resources for those who want to develop themselves. Enterprise companies perform penetration tests in a confidential way for security purposes and only by companies employing penetration testing specialists. This situation does not allow researchers who want to study this subject and to do research and study in a real environment. In this study, a simple virtual laboratory environment based on the Domain Controller, which resembles the IT system of an enterprise, was designed. In this virtual laboratory, there are operating systems and servers such as Windows XP, Windows 7, Windows 10, Kali Linux, IIS Server, MSSQL Sever connected to Domain Controller. We have also dealt with a vulnerable website and three Android Emulator based on Kali Linux 2019. Windows XP, Windows 7, Windows 10, Linux and Android architectures were introduced and security mechanisms of these operating systems were exemined in order to understand Penetration tests and take nessesary security measures. The aim of this study is to contribute to the sector employees and researchers who want to do research on this subject in accordance with the nature of being a resource. It is aimed to examine the penetration test phases of an enterprise firm as a whole and to present to stages of identifying security vulnerabilities and exploitations practically.Keywords: Information Security, Penetration (Infiltration) Testing, Attack Methods, Cyber Security, Vulnerability Analysis.