Mobile application pentest çalışmaları web application pentest çalışmaları ile büyük oranda aynıdır. Web uygulamalarında dahi frontend ve backend kod ayrımının netleşmesi sonrasında istemcide çalışan kod ile sunucuda çalışan kod bir birinden ayrılmış ve sunucu servisleri kullanılan frontend teknolojisinden bağımsız bir biçimde hizmet vermeye başlamıştır. Bu nedenle sunucu tarafındaki riskler açısından mobile application pentest ile web application pentest arasında büyük oranda benzerlik bulunmaktadır.

Aradaki farkın doğduğu yer istemci teknolojileri tarafıdır. Mobil uygulamalar bir anlamda masaüstü ve dizüstü bilgisayarlarımızda kullandığımız uygulamalara benzerler. Yani üzerlerinde çalıştıkları sistem üzerinde kayıtlar oluşturabilir ya da izler bırakabilirler, ve aynı platform üzerinde diğer uygulamalar ile birlikte faaliyet gösterirler. Ayrıca web uygulama teknolojisine nazaran daha yüksek fonksiyonaliteye sahip bir kod barındıracakları için uygulama içinde güvenlik açısından kritik olabilecek bilgi sızdırma potansiyelleri daha yüksektir.

Mobile application pentest çalışmalarında da nispeten daha kritik olan taraf sunucu servisleridir. Çünkü;

• Tüm kullanıcılara hizmet veren altyapının güvenliği sunucu servisleri güvenliğine bağlıdır.
• Mobil uygulama kullanıcıları ile ilgili yüklü miktarda veri sızması ve yetkisiz erişim riski sunucu tarafında daha fazladır.

MOBILE APPLICATION’LARA ÖZGÜ RİSKLERİN DEĞERLENDİRİLMESİ

Ancak mobil uygulamaların da kendilerine has problemleri bulunmaktadır. Örneğin;

• Interprocess communication saldırıları, yani uygulamaların birbirleri ile iletişimi üzerinden yapılabilecek saldırılar. Bu risk hakkında fikir vermesi açısından hepimizin telefonlarında bulunan telefon uygulamasının Contacts uygulamasına erişerek kayıtlı telefon numaralarına erişmesini örnek verebiliriz.
• Clipboard’dan veri sızdırma. Örneğin kullanıcı sizin uygulamanızdaki hassas bir veriyi kopyaladı ve bu bilgi clipboard’da iken farklı bir uygulama açtı, bu uygulama da o anda clipboard’da ne varsa okudu. Böyle bir erişim bazı durumlarda güvenlik risklerine yol açabilir.
• Uygulamanın ortak alanlara veri yazması ve diğer uygulamaların bu alanları okuması. Bu durum belki tüm platformlarda mümkün olmayabilir, ancak uygulamanın üzerinde çalıştığı platforma bağlı olarak bu tür riskler dikkate alınmalıdır.
• Uygulama arka plana atılırken cihazın ekran görüntüsünü kaydetmesi, bu görüntünün de ele geçirilmesi sonucu hassas bilgilerin sızması.
• Uygulamanın cihaz üzerinde sakladığı erişim bilgileri, oturum parametreleri ve diğer hassas verilerin ele geçirilmesi riski.
• User dictionary ya da keyboard cache’te kalan veriler içinde uygulama kullanıcısının yazdığı hassas verilerin kaydedilmesi riski.
• Mobil cihaz üzerinde çalışan uygulamanın ürettiği log kayıtları içinde hassas verilerin sızması riski bu riskler arasında sayılabilir.

MOBILE APPLICATION SECURITY EN İYİ UYGULAMALARININ DEĞERLENDİRİLMESİ

Mobile Application Security En İyi Uygulamaları

Ayrıca diğer pentest projelerinde olduğu gibi pentest uzmanının mobil uygulama güvenliği ile ilgili değerlendirebileceği ve hatırlatabileceği kontroller vardır. Örneğin bunlar arasında;

• Uygulama kodlarının tersine mühendisliğini zorlaştırmak amacıyla kod obfuscation, yani karmaşıklaştırma uygulanması.
• Uygulamanın root’lu ve jailbreak’li cihazlar üzerinde çalıştırılamaması için gerekli kontroleri uygulaması. Bu kontrol özellikle yüksek güvenlik ihtiyacı olan uygulamalar için uygulama verilerine yetkisiz erişim riskinin ve uygulama trafiğinin izlenme ihtimalinin azaltılabilmesi için önemlidir.
• Uygulama trafiğinda araya girme riskinin azaltılabilmesi için SSL pinning kontrolü uygulanması sayılabilir.

Bu kontroller uygulansa dahi yeterli zamana sahip bir reverse engineering uzmanının uygulamanızı hem dinamik hem de statik analize tabi tutabileceğini unutmamakta fayda vardır. Ayrıca uygulamanız başka birisinin sahip olduğu bir platformda çalışacağından uyguladığınız zorlaştırıcı önlemler de uzman bir saldırgan tarafından bertaraf edilebilir.

BTRisk pentest hizmetleri ile ilgili daha fazla bilgi almak ve BTRisk’e ulaşmak için aşağıdaki sayfaları ziyaret edebilirsiniz:

Pentest (Sızma Testi) Hizmeti

İletişim

 

Statik kod analizi, derlenebilir durumdaki bir uygulama projesinin kaynak kodları incelenerek güvenlik zafiyetlerinin tespit edilmesidir.

Uygulama sızma testleri bağlamında statik kod analizini whitebox testi olarak da değerlendirebiliriz.
Tıpkı dinamik pentestlerde olduğu gibi statik kod analizinde de otomatik araçlar ve manuel yöntemler birlikte kullanılır.

Statik kod analizi, derlenebilir durumdaki bir uygulama projesinin kaynak kodları incelenerek güvenlik zafiyetlerinin tespit edilmesidir.

Uygulama sızma testleri bağlamında statik kod analizini whitebox testi olarak da değerlendirebiliriz.
Tıpkı dinamik pentestlerde olduğu gibi statik kod analizinde de otomatik araçlar ve manuel yöntemler birlikte kullanılır.

STATİK KOD ANALİZİ ve PENTEST İLİŞKİSİ

Statik kod analizi ve dinamik pentesti birbirlerinin alternatifi olmaktan ziyade birbirlerinin tamamlayıcısı olarak görmek gerekir. Test yöntemi olarak her ikisinin de birbirlerine nazaran avantajları olduğundan,iki test türünün de uygulanması güvenlik seviyesini artıracaktır.

 

Statik kod analizinin dinamik pentest’e göre avantajları şunlardır:
Dinamik pentest sırasında tüm kullanım durumları ve dolayısıyla tüm kod bölümlerinin davranışı gözlenemeyebilir. Bu nedenle dinamik pentestler sırasında bazı açıklıkların gözden kaçırılması olasıdır. Statik kod analiziyle bu eksikliklerin kapatılması imkanı doğabilir.

Dinamik pentest çalışmalarının sağlıklı biçimde yapılabilmesi için uygulamanın tamamlanmış olması ve yeterli test verisinin bulunması gerekmektedir. Statik kod analizinde ise böyle bir ihtiyaç bulunmadığı için statik kod analizleri yazılım geliştirme yaşam döngüsünün daha önceki aşamalarında gerçekleştirilebilir. Bu da açıklıkların daha önce tespit edilebilmesi ve dolayısıyla daha düşük maliyetle bu açıklıkların giderilebilmesine imkan tanır.

Yazılım geliştirme sırasında hemen ortaya çıkmasa bile uzun vadede güvenlik açıklıkları doğurabilecek hatalar yapılabilir. Örneğin kod içinde hardcoded erişim bilgilerinin bulunması, hata doğurabilecek durumlar için hata ele alma kodlarının geliştirilmemiş olması, uygulama kodları içinde hassas bilgileri ifşa edebilecek debug loglama bölümlerinin kalması, kullanıcı parolalarının açık olarak veritabanında saklanması bu tür uygunsuzluklar arasında sayılabilir. Statik kod analizi ile pentest ile tespit edilemeyecek bu tür güvenli yazılım geliştirme uygunsuzlukları tespit edilebilir.

SOURCE (KAYNAK) VE SINK (HEDEF) KAVRAMLARI

Bir uygulamaya saldırılabilmesi için ön şart o uygulamaya bir girdi verilebilmesidir. Eğer uygulama bu veriyi işlerken veya hedefine ulaşıncaya kadar herhangi bir validasyon kontrolüne tabi tutulmazsa saldırganın uygulamanın akışını veya hedefe ulaştığı noktadan sonraki süreçleri manipüle etme imkanı doğar. Bahsi edilen açıklıkların ne olabileceği uygulama teknolojilerine bağlıdır. Örneğin bir SQL injection açıklığı kullanıcıdan gelen girdinin kontrol edilmeden veritabanı sorgusu içinde veritabanına kadar ulaşması halinde gerçekleşebilir. Bu durumda source, yani kaynak, web uygulama kullanıcısından gelen bir form parametresi, sink, yani hedef de SQL veritabanı olmaktadır. Sink noktalarına diğer örnekler olarak; kullanıcı browser’ı, dosya sistemi, bir başka sunucunun servisi örnek olarak verilebilir.

Statik kod analizinde kullanılan araçlar uygulamanın veriyi aldığı girdi noktasından ulaştığı hedef noktasına kadar izini sürebilir. Bunu yaparken verinin herhangi bir validasyona tabi tutulmadığını tespit ederse bulgu üreterek test uzmanının işini kolaylaştırmış olur. Elbette bu işlemi manuel olarak da yapmak mümkündür, ancak otomasyon imkanı varsa bunu da kullanmak akıllıca olacaktır.

BTRisk pentest hizmetleri ile ilgili daha fazla bilgi almak ve BTRisk’e ulaşmak için aşağıdaki sayfaları ziyaret edebilirsiniz:

https://www.btrisk.com/hizmetler/pentest-sizma-testi-hizmeti/

https://www.btrisk.com/iletisim/

Social engineering (Sosyal Mühendislik) testlerinin hedeflediği katman insan katmanı olmasına rağmen aslında iki temel hedefi vardır:

• Birincisi e-posta güvenlik altyapısının etkinliğini değerlendirmek
• İkincisi organizasyon personelinin siber güvenlik farkındalığını test etmek

Social engineering(Sosyal Mühendislik) testleri aynı zamanda etkili bir farkındalık eğitim aracı olarak da kullanılır.

Bazı kurumlar için çalışılan sektör, personel profili, senaryonun çok etkili oluşu gibi çeşitli nedenlerden dolayı bu konuda sıfır hataya ulaşmak mümkün olmayabilir. Ancak yine de bu tür testler insan katmanına yönelik bu tehdide karşı bir aşı etkisi oluşturarak riski azaltmaya yardımcı olacaktır.

• Phishing yöntemi ile yapılan sosyal mühendislik testlerinde kurum güvenlik yönetimi ile gündemi de dikkati alan bir test senaryosu belirlenir.
• Belirlenen test senaryosu doğrultusunda bir mesaj içeriği ve senaryo gereği genellikle bir web sitesi oluşturulur.
• Mesaj gönderilirken sahte (yani spoofed) bir gönderen adresi kullanılabilir. Ancak güvenlik önlemlerini atlatmak gerekiyorsa senaryoya uygun bir alan adı alınabilir. Alan adı alınmışsa tıpkı geçerli bir organizasyonda olduğu gibi gerekli DNS kayıtları oluşturularak e-posta güvenlik çözümlerinin de atlatılması hedeflenebilir.
• Belirlenen örnek hedef grubuna mesajlar gönderildikten sonra hangilerinin mesajı görüntülediği, hangilerinin yönlendirilmek istenen web sitesine ulaştığı ve hangilerinin senaryo gereği hedef kişiden talep edilen işlemi yaptığı veya bilgileri paylaştığı izlenir.

Eğer kurumun e-posta güvenlik altyapısı etkili ise testin gerçekleştirilebilmesi için IT yönetimi tarafından mesajların geçişi için izin verilmesi istenebilir.

Elbette social engineering için tek araç phishing e-posta mesajları olmak zorunda değildir. Yüz yüze de dahil olmak üzere hedeflenen kişiye ulaşmak için kullanılabilecek her türlü araç sosyal mühendislik aracı olarak kullanılabilir. Sık kullanılan diğer araçlara örnek olarak telefon ve sosyal medya üzerinden ulaşma, hatta dijital reklamlar verilebilir.

BTRisk pentest hizmetleri ile ilgili daha fazla bilgi almak ve BTRisk’e ulaşmak için aşağıdaki sayfaları ziyaret edebilirsiniz:

Sızma Testi (Pentest / Penetrasyon Testi) Hizmeti

İletişim

DDOS VE LOAD TESTLERİNİN AMAÇLARI

DDOS ve load testleri birbirlerine benzeseler de aslında hedefleri farklıdır:

• DDOS testleri gerek volume gerekse dağıtıklık açılarından mümkün olduğunca gerçek DDOS saldırılarını simüle eder. Bu testin amacı genellikle alınan DDOS koruma hizmetinin ve/veya kurumun kendi ağında uyguladığı DDOS önlemlerinin etkinliğini ölçmektir. Herhangi bir önlem olmaması halinde böyle güçlü bir yük bindirilmesi halinde zaten ayakta kalma imkanı bulunmamaktadır.
• Yük testlerinin amacı ise genellikle yeni geliştirilen bir uygulama veya sistemin öngörülen kullanıcı ve işlem yükleri karşısında yeterli olup olamayacağının anlaşılmasıdır. Elbette yük miktarı kademeli olarak artırılarak uygulama veya sistemin limitleri de görülmek istenebilir.

DDOS VE LOAD TESTLERİNİN KULLANDIĞI PAYLOAD’LAR ARASINDAKİ FARKLAR

DDOS ve Load testlerinin amaçları farklı olduğu gibi, bu testler sırasında kullanılan payload’lar, yani yükler arasındada farklılıklar vardır.

• DDOS testi için kullanılan, daha doğrusu üretilen payload’lar gerçek hayattaki DDOS taktiklerinde kullanılan benzerleri gibidir. DDOS testlerinde load testlerinde olduğu gibi hedef ağ veya sistem ile herhangi bir iletişim kurulma hedefi yoktur. Bu nedenle pek çok DDOS test senaryosunda kaynak IP adresi spoof edilmiş, yani sahte IP adreslerinden yapılıyormuş gibi gösterilen, paketler kullanılır. Bir başka tipik örnek de asimetrik yük doğuracak protokol ve paket türlerinin tercih edilmesidir. Yani saldırgan için az ancak hedef için daha yüksek maliyet doğuracak istek türleri kullanılabilir.
• Load testi ise hemen hemen gerçek hayatta karşılaşılması beklenen kullanım durumlarını simüle eder. Dolayısıyla test sistemleri ile hedef uygulama veya sistem arasında bir iletişim kurulur, geçerli istekler gönderilerek uygulama veya sistemin fonksiyonalitesi kullanılır. Yük testinin normal kullanımdan tek farkı yükün kademeli olarak artırılarak uygulamanın performansının izlenmesinin amaçlanmasıdır.

DDOS TESTİ METODOLOJİSİ

DDOS testi metodolojisi şu adımları içerir:

• DDOS testi için kurumun DDOS çözümlerini test etmeyi planladığı DDOS teknikleri ve hedeflenen volume’ler belirlenir.
• DDOS testleri genellikle hedeflenen ağı üzerindeki sistemlerin geneli üzerinde stres oluşturacağından zaman planlaması dikkatli biçimde yapılır, iş etkisinin en az olacağı zaman aralığı seçilir, hızlı müdahalesi gerekecek tüm personel ve üçüncü taraflar hazır veya erişilebilir durumda bulunur.
• Testi gerçekleştirecek olan ekip belirlenen senaryolara uygun biçimde packet crafting, yani paket üretme kodlarını hazırlar, kısmen de bu amaçlarla kullanılabilecek hazır araçlar test sırasında kullanılabilir.
• Beklenen yükün ölçeğine uygun nitelik ve sayıda sunucu kiralanarak hazırlanır. Bu tür aktiviteler genellikle bulut hizmet sağlayıcıların izin verdiği aktiviteler olmadığı için gerekli izinlerin de alınmış olması gerekir.
• DDOS testi planlandığı biçimde başlatılır ve hem kurum personeli hem de testi yapan taraf tarafından sistemlerin sağlık düzeyleri sürekli olarak izlenir.
• Genellikle senaryo başına 10-20 dk. arası süren testlerin sonuçları hem testi yapan takım hem de kurum personeli tarafından raporlanabilir.

LOAD TESTİ (YÜK TESTİ) METODOLOJİSİ

LOAD (YÜK) testi metodolojisi şu adımları içerir:

• Load testi senaryoları genellikle test edilecek sistemin kullanıcı deneyimi tarafına en yakın olan kurum personeli ile geliştirilir. Bu personel bir sistem analisti veya iş birimi temsilcisi olabilir. Gerçekçi kullanım durumları göz önüne alınarak belirli uygulama kullanım senaryoları ortaya çıkarılır. Bu senaryolara toplam gerçekleştirilecek istekler içindeki oranları da verilebilir.
• Load testi istekleri web uygulamaları için bir proxy kullanılarak kayıt edilir ve yük bindirirken kaydedilmiş olan bu istekler defalarca tekrar oynatılır.
• Load testinin kapsamı genellikle belli bir uygulama ve sistemle kısıtlı olmakla birlikte yine de ağ üzerinde olumsuz etki doğurabilir. Load testinin canlı bir sistem üzerinde gerçekleştirilmesi halinde ise iş süreçlerinin olumsuz etkilenme riski daha da yüksek olacaktır. Bu nedenlerle load testlerinin planlanmasında da dikkatli olunmasında fayda bulunmaktadır.
• Load testi sırasında hedef uygulama veya sistem ile iletişim halinde olunduğundan testi yapan taraf detaylı ölçümlere sahip olacaktır. Bu veriler kullanılarak istemci bakış açısıyla çeşitli performans istatistikleri raporlanır.
• Load testi sırasında sistem yöneticilerinin de sunucu metriklerini takip etmesinde fayda bulunmaktadır. Bu şekilde sunucu üzerindeki kaynak kullanım istatistikleri de görülmüş olur ve bu istatistikler de load testi raporuna aktarılabilir. Test ekibi bu alanda sistem yöneticilerine destek olabilir.

 

Pentest (Sızma Testi) Hizmeti