Penetrasyon Testi Nedir

Bir nüfuz etme testi, gayriresmi kalem testi, güvenlik zayıflıklarını arayan ve bilgisayarın özelliklerine ve verisine potansiyel olarak erişen bir bilgisayar sistemine saldırıdır.

Süreç, tipik olarak hedef sistemleri ve belirli bir hedefi tanımlar; daha sonra mevcut bilgileri inceler ve hedefe ulaşmak için çeşitli yollar üstlenir. Bir penetrasyon testi hedefi beyaz bir kutu (arka plan ve sistem bilgisi sağlar) veya kara kutu olabilir (yalnızca şirketin adı dışında temel bilgi verir veya hiç bilgi vermez). Bir penetrasyon testi, bir sistemin saldırıya karşı savunmasız olup olmadığını, savunmaları yeterli olup olmadığını ve testin hangi savunmayı yenerse (eğer varsa) yenilgiye uğrattığını belirlemenize yardımcı olabilir.


Penetrasyon testinin ortaya çıkardığı güvenlik sorunları sistem sahibine bildirilmelidir. Penetrasyon testi raporları, organizasyona olası etkileri de değerlendirebilir ve riski azaltmak için önlemler önerebilir.


Bir penetrasyon testinin hedefleri, kötü niyetli bir aktör tarafından istismar edilebilen zayıf noktaların bulunması ve bu açıkların tavsiye edilen azaltma stratejileri ile birlikte müşteriye bildirilmesi üzerine odaklanmış birincil hedefteki herhangi bir katılım için onaylanan faaliyet türüne bağlı olarak değişir. 

 
Penetrasyon testleri, tam bir güvenlik denetiminin bir parçasıdır. Örneğin, Ödeme Kartı Endüstrisi Veri Güvenliği Standardı, düzenli bir programda ve sistem değişiklikleri sonrasında penetrasyon testi gerektirir.


1960'ların ortalarına doğru, iletişim paylaşımları üzerinden kaynakları erişime açan zaman paylaşımlı bilgisayar sistemlerinin artan popülaritesi, yeni güvenlik endişeleri yarattı. Araştırmacılar Deborah Russell ve GT Gangemi, Sr, "1960'lar, bilgisayar güvenliği çağının gerçek başlangıcını işaret etti.

" Örneğin, Haziran 1965'te, ülkenin önde gelen bilgisayar güvenlik uzmanlarından birkaçı, Sistemin güvenlik konusundaki ilk büyük konferansı - hükümet müteahhidi olan System Development Corporation (SDC) tarafından gerçekleştirildi. 

 Konferansta birisi, bir SDC çalışanının SDC'nin AN / FSQ-32 zaman paylaşımlı bilgisayar sistemine eklenen çeşitli sistem korumalarını kolayca bozabileceğini kaydetti. Daha fazla sistem güvenliği çalışmasının faydalı olacağı ümidiyle, katılımcılar "... zaman paylaşımlı sistemde güvenlik korumasının bozulması gibi alanlarda yapılacak çalışmalar" istedi.  

Diğer bir deyişle, konferans katılımcıları, sistem güvenliği eğitim aracı olarak bilgisayar penetrasyonunu kullanma yönündeki ilk resmi taleplerden birini başlattı.

Bahar 1967 Ortak Bilgisayar Konferansı'nda birçok önde gelen bilgisayar uzmanı, sistem güvenliği konusunu tartışmak için tekrar bir araya geldi. Bu konferans sırasında, bilgisayar güvenlik uzmanları Willis Ware, Harold Petersen ve Rein Tern, tüm RAND Corporation ve Ulusal Güvenlik Ajansı (NSA) Bernard Peters, hepsi bir bilgisayara karşı bir saldırıyı tanımlamak için "penetrasyon" ifadesini kullandı Sistemi.


 Bir makalede, Ware, askeri uzaktan erişilebilir zaman paylaşım sistemlerine atıfta bulunarak "Bu tür bilgisayar sistemlerine nüfuz etmek için kasıtlı girişimlerin öngörülmesi gerektiğini" bildirdi.  

Meslektaşları Petersen ve Turn, "kasıtlı nüfuz" da dahil olmak üzere on-line iletişim sistemlerinin "gizlilik tehditlerinde savunmasız olduğunu" göz önüne alarak aynı endişeleri paylaştılar.  

NSA Bernard Peters, bilgisayar girişinin ve çıktısının "... nüfuz eden bir programa büyük miktarda bilgi sağlayabileceği" konusunda ısrar ederek aynı noktayı yaptı. Konferans sırasında, bilgisayar penetrasyonu resmi olarak çevrimiçi bilgisayar sistemleri için büyük bir tehdit olarak tanımlandı. 

Bilgisayar penetrasyonunun yarattığı tehlike, Birleşik Devletler Savunma Bakanlığı'nın (DoD) 1967 sonlarında düzenlediği önemli bir raporda özetlendi. 

Temel olarak, DoD yetkilileri, NSA, CIA, DoD ve diğerlerinin uzmanlarından oluşan bir görev gücüne Willis Ware'e yöneldi. Akademik ve endüstriye zaman paylaşımı bilgisayar sistemlerinin güvenliğini resmen değerlendirmek. 

 Bahar 1967 Ortak Bilgisayar Konferansı sırasında sunulan birçok makaleye dayanan görev gücü, bilgisayar penetrasyonunun oluşturduğu sistem güvenliği tehdidini büyük oranda doğruladı. 

 Ware'in raporu başlangıçta sınıflandırılmıştı, ancak ülkenin önde gelen bilgisayar uzmanlarının çoğu bu çalışmayı bilgisayar güvenliğinde kesin belge olarak hızlı bir şekilde tespit ettiler.  

Charles Babbage Enstitüsü'nden Jeffrey R. Yost, Ware raporunu daha yakın bir tarihte "... zaman döneminin güvenli bilgi işlem sistemleri ile ilgili teknik ve operasyonel konular hakkında en kapsamlı ve en kapsamlı çalışma" olarak nitelendirdi. 

 Ware raporu, yeni çevrimiçi zaman paylaşımlı bilgisayar sistemlerine bilgisayarın girmesinin neden olduğu büyük tehdit olduğunu tekrar teyit etti.

Sistem zayıflıklarını daha iyi anlamak için federal hükümet ve müteahhitler yakında sistem güvenliği testi için bilgisayar penetrasyonunu kullanmak için kaplan takımları olarak bilinen penetratör ekipleri düzenlemeye başladılar. 


Deborah Russell ve GT Gangemi Sr, 1970'lerde "..." kaplanların ilk ortaya çıkardığını belirtti.

Tiger ekipleri, hükümet ve sanayi tarafından desteklenen, bilgisayar sistemlerinin savunmasını bozmaya çalışan kraker takımlarından oluşuyordu. Güvenlik boşluklarını ortaya çıkarmak ve sonuçta yamalamak için çaba harcamıştır. "

Bilgisayar güvenliği tarihi konusundaki önde gelen bir araştırmacı olan Donald MacKenzie, benzer şekilde, "RAND, hükümet adına erken saat paylaşım sistemlerinin bazı penetrasyon çalışmalarını (bilgisayar güvenlik kontrollerini engellemeye yönelik deneyler yapmıştı") belirtiyor. 


Jeffrey Charles Babbage Enstitüsü'nden R. Yost, bilgisayar güvenliği tarihi konusundaki kendi eserinde hem RAND Corporation'ın hem de SDC'nin "zaman geçirmeye çalışmak için" ilk giren penetrasyon çalışmaları "nın bazılarını gerçekleştirdiğini kabul etmektedir "Tiger ekipleri, neredeyse tüm bu erken araştırmalarda, ülkenin zaman paylaşım sistemlerinin zayıf savunmalara sahip oldukları için hedeflenen tüm bilgisayar sistemlerine başarıyla girdiler.

Erken kaplan takımı eylemlerinin RAND Corporation'daki çabaları, penetrasyonun sistem güvenliğini değerlendirmek için bir araç olarak kullanışlı olduğunu gösterdi.


O sırada bir RAND analisti, testlerin "... sistem güvenlik uygulamalarının, uygulanan veri güvenliği güvenlik görevlilerinin etkinliğini ve yeterliliğini değerlendiren bir araç olarak kullanışlı olduğunu gösterdiğini" kaydetti.

Buna ek olarak, bir dizi RAND analisti penetrasyon testi egzersizlerinin hepsinin devamlı kullanımını haklı gösteren çeşitli avantajlar sunduğunu ısrarla vurguladı. Bir gazetede de belirttiği gibi, "Penetratör, şeytani bir çerçeve geliştiriyor gibi görünüyor

Yorumlar

Bu blogdaki popüler yayınlar

Wifi Hack (Wpa/Wpa2) Şifre Kırmak

Crunch Kullanımı (Kali Linux Şifre Kırma)

Python ile Hack (Mechanize)