Siber güvenlik hakkında okuyorsanız, sızma testi terimi, sistemlerin güvenli olup olmadığını görmenin bir yolu olarak ortaya çıkacaktır. Penetrasyon testi nedir ve nasıl çalışır? Bu testleri ne tür insanlar yapıyor?
Kalem Testi Nedir?
Penetrasyon testi, genellikle penetrasyon testi olarak anılır, siber güvenlik uzmanlarının bir sisteme, savunmasını geçip geçemeyeceklerini görmek için saldırdıkları, dolayısıyla “sızma” yöntemiyle yapılan bir etik bilgisayar korsanlığı biçimidir. Saldırı başarılı olursa, kalem testi yapanlar site sahibine kötü niyetli bir saldırganın yararlanabileceği sorunlar bulduklarını bildirir.
Bilgisayar korsanlığı etik olduğu için, bilgisayar korsanlığını gerçekleştiren kişiler herhangi bir şeyi çalmak veya zarar vermek niyetinde değildir. Ancak, niyetin yanı sıra her şekilde kalem testlerinin saldırı olduğunu anlamak önemlidir. Kalem testi yapanlar, bir sisteme geçmek için kitaptaki her kirli numarayı kullanacak. Ne de olsa, gerçek bir saldırganın kullanacağı her silahı kullanmasalardı, bu pek de bir test olmazdı.
Kalem Testi ve Güvenlik Açığı Değerlendirmesi
Bu nedenle sızma testleri, bir başka popüler siber güvenlik aracı olan güvenlik açığı değerlendirmelerinden farklı bir canavardır. Bir e-postadaki siber güvenlik firması Secmentis’e göre, güvenlik açığı değerlendirmeleri, bir sistem kurulumundaki potansiyel zayıflıkları vurgulayan bir sistemin savunmasının otomatik olarak taranmasıdır.
Bir kalem testi, potansiyel bir sorunun istismar edilebilecek gerçek bir soruna dönüştürülüp dönüştürülemeyeceğini gerçekten deneyecek ve görecektir. Bu nedenle güvenlik açığı değerlendirmeleri, herhangi bir gizli test stratejisinin önemli bir parçasıdır, ancak gerçek bir gizli testin sağladığı kesinliği sağlamaz.
Kalem Testlerini Kimler Yapar?
Tabii ki, bu kesinliği elde etmek, sistemlere saldırma konusunda oldukça yetenekli olmanız gerektiği anlamına gelir. Sonuç olarak, penetrasyon testinde çalışan birçok kişi siyah şapkalı bilgisayar korsanlarıdır. Romanya merkezli siber güvenlik firması CT Defence’de kıdemli siber güvenlik mühendisi olan Ovidiu Valea, kendi alanında çalışan insanların yüzde 70’ini eski siyah şapkalıların oluşturabileceğini tahmin ediyor.
Kendisi de eski bir siyah şapkalı olan Valea’ya göre, kötü niyetli bilgisayar korsanlarıyla savaşmak için kendisi gibi insanları işe almanın avantajı, “onlar gibi düşünmeyi bilmeleri”. Bir saldırganın zihnine girerek, “onların adımlarını takip edip güvenlik açıklarını daha kolay bulabilirler, ancak kötü niyetli bir bilgisayar korsanı onu istismar etmeden şirkete bildiririz.”
Valea ve CT Defence söz konusu olduğunda, genellikle herhangi bir sorunu çözmeye yardımcı olmaları için şirketler tarafından işe alınırlar. Sistemlerini kırmak için şirketin bilgisi ve onayı ile çalışırlar. Bununla birlikte, dışarı çıkıp sistemlere en iyi nedenlerle saldıran, ancak her zaman bu sistemleri çalıştıran kişilerin bilgisi olmadan saldıran serbest çalışanlar tarafından gerçekleştirilen bir kalem testi türü de vardır.
Bu serbest çalışanlar genellikle Hacker One gibi platformlar aracılığıyla sözde ödüller toplayarak para kazanırlar. Bazı şirketler, örneğin en iyi VPN’lerin çoğu, bulunan herhangi bir güvenlik açığı için kalıcı ödüller yayınlar. Bir sorun bulun, bildirin, ödeme alın. Hatta bazı serbest çalışanlar, kaydolmamış şirketlere saldıracak kadar ileri gidebilir ve raporlarının kendilerine ödeme yapmasını umar.
Valea, bunun herkese uygun olmadığı konusunda uyarıyor. “Birkaç ay çalışıp hiçbir şey bulamayabilirsiniz. Kiralayacak paran olmayacak.” Ona göre, yalnızca güvenlik açıklarını bulmakta gerçekten çok iyi olmanız gerekmiyor, otomatik komut dosyalarının ortaya çıkmasıyla birlikte, ortada çok fazla meyve kalmadı.
Sızma Testleri Nasıl Çalışır?
Nadir veya istisnai hatalar bularak para kazanan serbest çalışanlar biraz gösterişli bir dijital macerayı hatırlatsa da, günlük gerçeklik biraz daha gerçekçi. Yine de bu heyecan verici olmadığı anlamına gelmez. Her tür cihaz için, bir saldırıya dayanıp dayanamayacağını görmek için kullanılan bir dizi test vardır.
Her durumda, pen test uzmanları, düşünebildikleri her şeyle bir sistemi kırmaya çalışacaklardır. Valea, iyi bir kalem testçisinin zamanının çoğunu diğer testçilerin raporlarını okuyarak sadece rekabette neler olabileceği konusunda güncel kalmak için değil, aynı zamanda kendi maskaralıklarına biraz ilham bulmak için harcadığını vurguluyor.
Ancak, bir sisteme erişim elde etmek denklemin sadece bir parçasıdır. İçeri girdikten sonra, kalem testçileri, Valea’nın sözleriyle, “kötü niyetli bir aktörün onunla neler yapabileceğini görmeye çalışacak.” Örneğin, bir bilgisayar korsanı çalınacak şifrelenmemiş dosya olup olmadığını görecektir. Bu bir seçenek değilse, iyi bir kalem testçisi istekleri engelleyip engelleyemeyeceğini veya güvenlik açıklarını tersine çevirebileceklerini ve belki de daha fazla erişim elde edip edemeyeceklerini deneyecektir.
Bu kaçınılmaz bir sonuç olmasa da işin aslı şu ki, içeri girdikten sonra bir saldırganı durdurmak için yapabileceğiniz pek bir şey yok. Erişimleri var ve dosyaları çalabilir ve operasyonları mahvedebilirler. Valea’ya göre, “şirketler bir ihlalin yaratabileceği etkinin farkında değil, bir şirketi yok edebilir.”
Cihazlarımı Nasıl Koruyabilirim?
Kuruluşlar, operasyonlarını korumak için kalem testleri gibi gelişmiş araçlara ve kaynaklara sahipken, günlük bir tüketici olarak güvende kalmak için ne yapabilirsiniz? Hedefli bir saldırı, size bir şirketin maruz kaldığından farklı şekillerde zarar verebilir. Bir şirketin verilerinin sızdırılması elbette kötü bir haber ama insanların başına gelirse hayatları mahvedebilir.
Kendi bilgisayarınızı kalemle test etmek çoğu insan için muhtemelen erişilemez ve muhtemelen gereksiz olsa da, bilgisayar korsanlarının kurbanı olmadığınızdan emin olmak için izlemeniz gereken bazı harika ve kolay siber güvenlik ipuçları vardır. Öncelikle ve en önemlisi, bilgisayar korsanlarının sisteminize saldırmalarının çok yaygın bir yolu gibi göründüğü için, şüpheli bağlantıları tıklamadan önce muhtemelen test etmelisiniz. Ve elbette, iyi bir antivirüs yazılımı kötü amaçlı yazılım taraması yapacaktır.
2022’nin En İyi Antivirüs Yazılımı 
Bitdefender İnternet Güvenliği
Avira Ücretsiz Güvenlik
Malwarebytes Premium
Intego Mac İnternet Güvenliği X9
