Merhaba,

Bir güvenlik duvarı kurulumu yaptınız, kurallarınızı yazdınız, port bazlı filtrelemenizi tamamladınız. Her şey çalışıyor. Peki ağınız gerçekten güvende mi?

2026 itibarıyla kurumsal ağlara yönelik saldırıların büyük çoğunluğu artık izin verilen portlar üzerinden geliyor. HTTP/HTTPS trafiği içine gizlenmiş zararlı yazılımlar, uygulama katmanında gerçekleşen saldırılar ve şifreli trafik içindeki tehditler, geleneksel güvenlik duvarlarının tamamen kör olduğu alanlarda faaliyet gösteriyor.

Bu yazıda geleneksel firewall mimarisinin neden yetersiz kaldığını, NGFW’nin ne getirdiğini ve kurumsal ortamda nasıl konumlandırılması gerektiğini teknik bir perspektiften ele alacağız.

Geleneksel Firewall: Güçlü Ama Kör

Klasik güvenlik duvarları OSI modelinin 3. ve 4. katmanlarında, yani IP ve port seviyesinde çalışır. Kaynak IP, hedef IP, port ve protokol bilgisine bakarak trafiğe izin verir ya da engeller. Bu yaklaşım 1990’larda son derece etkiliydi.

Ancak sorun şu: Günümüz saldırganları bu katmanlarda yakalanmıyor.

Örneğin port 443 (HTTPS) neredeyse her kurumsal ağda açık olmak zorunda. Geleneksel bir firewall bu porttan geçen trafiğin gerçek içeriğini analiz edemez. Bir saldırgan zararlı payload’ını HTTPS trafiği içine gömdüğünde, kural tabanlı bir güvenlik duvarı bunu göremez, göremediği için de engelleyemez.

Üstelik geleneksel güvenlik duvarı yöntemlerinin açıklarını kapatabilmek için kurumlar çok sayıda güvenlik cihazının maliyetine katlanmak durumunda kalıyor; her cihazın ayrı ayrı izlenmesi ve yönetilmesi gerektiğinden operasyonel iş yükü de artıyor.

NGFW Nedir ve Geleneksel Firewall’dan Ne Farkı Var?

NGFW, paket filtreleme, NAT, PAT, VPN, URL engelleme gibi geleneksel güvenlik duvarı özelliklerini bir araya getirirken bunlara ek olarak IPS, SSL/SSH denetimi, derin paket incelemesi, itibar tabanlı kötü amaçlı yazılım tespiti ve uygulama farkındalığı gibi yetenekleri OSI modelinin 4-7. katmanlarında sunuyor. Coinbase

Farkı somutlaştırmak gerekirse: Geleneksel bir firewall havalimanı pasaport kontrolü gibi çalışır — kimliğinize bakar, geçerli mi geçmez mi karar verir. NGFW ise hem kimliğinizi hem de valizinizin içini X-ray ile tarayan bir sistem gibi düşünülebilir.

NGFW’nin Temel Yetenekleri

1. Derin Paket İncelemesi (DPI) NGFW gelen ve giden ağ trafiğini derin paket inceleme teknolojisiyle analiz eder. Sadece paket başlıklarını değil içeriklerini de tarayarak potansiyel tehditleri gerçek zamanlı olarak tespit eder. FanTokens Bu sayede şifreli trafik içine gizlenmiş zararlı yazılımlar, komuta kontrol sunucularıyla iletişim kuran botlar ve veri sızıntısı girişimleri tespit edilebilir hale gelir.

2. Uygulama Farkındalığı (Application Awareness) Geleneksel firewall port 80’den geçen her trafiğe izin verir. NGFW ise bu trafiğin hangi uygulamaya ait olduğunu tespit eder. Örneğin:

Kural: Dropbox → Sadece "görüntüleme" izinli, "yükleme" engelli
Kural: WhatsApp Web → Tüm çalışanlar için engelli
Kural: Zoom → Sadece IT ve Yönetim gruplarına açık

Bu seviyede granüler kontrol, geleneksel mimariyle mümkün değil.

3. Kimlik Tabanlı Politikalar (Identity-Based Security) NGFW’ler Active Directory veya LDAP gibi dizin servisleriyle entegre çalışarak kullanıcıların kimliğini doğrulayabilir ve kullanıcı rollerine göre uygulamalara veya kaynaklara belirli erişim hakları atayabilir. Investing.com Bu şu anlama gelir: Aynı IP adresinden gelen trafik, kullanıcının kim olduğuna göre farklı muamele görür. Muhasebe departmanı ile sistem yöneticisi aynı ağ segmentinde olsa bile tamamen farklı erişim politikalarına tabi tutulabilir.

4. Entegre IPS NGFW’lerdeki yerleşik IPS bileşeni, arabellek taşması, SQL injection ve XSS dahil bilinen saldırı kalıplarını tespit edip engellerken ağ trafiğini bu kalıplarla otomatik olarak ilişkilendirir. Investing.com Bu sayede güvenlik açıklarının istismar edilmesi ağa sızılmadan önce önlenebilir.

5. SSL/TLS Denetimi Günümüzde internet trafiğinin büyük çoğunluğu şifreli. Saldırganlar da bunu biliyor ve zararlı trafiklerini HTTPS içine saklıyor. NGFW, SSL trafiğini deşifre edip inceleyerek yeniden şifreleyebilir. Bu özellik olmadan ağınızın yarısına kör olursunuz.

6. Gelişmiş Tehdit Koruması (ATP) ve Sandbox NGFW’ler genellikle şüpheli dosyaları kontrollü bir ortamda izole eden ve analiz eden sandbox gibi gelişmiş tehdit koruma özelliklerini entegre eder. Bu, imzası henüz tanımlanmamış sıfır gün tehditlerinin tespit edilmesine yardımcı olur.

Kurumsal Konumlandırma: NGFW Nereye Yerleştirilmeli?

NGFW yalnızca internet çıkışına koymak yeterli değil. Olgun bir güvenlik mimarisinde şu noktalarda değerlendirilebilir:

Perimeter (İnternet Çıkışı): Dış dünyadan gelen tehditlere karşı birincil savunma hattı.

İç Segmentasyon: Kritik sunucu grupları, OT/SCADA ağları ve kullanıcı ağları arasına yerleştirilen NGFW, bir ihlal durumunda yanal hareketi (lateral movement) kısıtlar.

Veri Merkezi Önü: Hassas verileri barındıran sistemleri izole etmek ve bu sistemlere erişimi denetlemek için.

Uzak Erişim (VPN Entegrasyonu): Uzaktan çalışan kullanıcıların kimlik doğrulamasını ve erişim politikalarını merkezi olarak yönetmek için.

Piyasadaki Önemli Oyuncular

En yaygın NGFW markaları arasında Fortinet, Sophos, Cisco, Check Point, Palo Alto Networks ve Juniper yer alıyor. Price Prediction Seçim yaparken sadece fiyata değil şunlara dikkat edilmeli:

• DPI etkin throughput kapasitesi — Tüm güvenlik özellikleri açıkken gerçek performans değeri nedir?
• Lisans modeli — IPS, SSL inceleme, tehdit istihbaratı gibi özellikler için ek abonelik gerekiyor mu?
• Merkezi yönetim — Çok şubeli ortamlarda tek konsoldan yönetim mümkün mü?
• Destek ve güncelleme sıklığı — Tehdit imzaları ne sıklıkla güncelleniyor?

Kişisel tecrübeme göre Fortinet FortiGate performans/maliyet dengesi açısından kurumsal ortamlarda öne çıkıyor. Palo Alto ise en olgun uygulama zekası ve tehdit istihbaratı altyapısına sahip ancak lisans maliyeti yüksek.

KVKK ve ISO 27001 Açısından NGFW

NGFW çözümleri KVKK, ISO 27001 ve GDPR gibi yasal gerekliliklerle uyumluluğu artırıyor. FanTokens Düzenleyici kurumlar artık yalnızca “güvenlik duvarı var mı?” değil, “trafik uygulama katmanında denetleniyor mu, loglama yapılıyor mu, kimlik tabanlı erişim kontrolü uygulanıyor mu?” sorularını soruyor. Bu bağlamda NGFW bir tercih değil, uyumluluk zorunluluğu haline geliyor.

Bir sonraki yazıda Palo Alto ve Fortinet kural yönetimi üzerine pratik bir karşılaştırma yapacağız.

Görüşmek üzere.

— Eyyüp TURAN | www.eyupturan.com

The post Geleneksel Firewall Artık Yetmiyor: NGFW ile Kurumsal Ağ Güvenliğini Yeniden Tanımlamak first appeared on Eyüp TURAN | Siber Güvenlik Lab & Blog.

Merhaba,

Restorana girdiğiniz masadaki QR kodunu okuttunuz, menü açıldı. Park yerine çıktınız, ödeme sınırındaki QR kodunu okuttunuz, kredi kartı bilgilerinizi girdiniz. Elektrikli araç şarj istasyonundasınız, QR kodunu okuttunuz, uygulamayı indirdiniz.

Peki hiç sordunuz mu? O QR kodun gerçekten orada olması gereken mi?

Quishing Nedir?

“Quishing”, QR (Quick Response) ve phishing (oltalama) kelimelerinin birleşiminden oluşuyor. Klasik phishing saldırılarında sahte bir bağlantı içeren e-posta veya mesaj gelirdi. Artık bu linklerin yerini QR kodlar aldı.

Saldırganlar fiziksel olarak geçerli bir QR kodu üzerine kendi hazırladıkları sahte bir QR kod etiketi yapıştırılıyor. Siz kodu okuttuğunuzda bilgisi olmadan saldırganın hazırladığı sahte siteye yönlendiriliyorsunuz.

Bu usul son derece sinsi çünkü:

• QR kodlarının hızından okumadan önce göremezsiniz
• İngilizce olarak meşru görünen bir yerde karşınıza çıkar
• Çoğu kişi QR kodlara güvenerek tarar, şüphelenmez
• Mobil cihazlar bu tür saldırılara daha fazla maruz kalıyor

Gerçek Hayattan Saldırı Senaryoları

Otopark ödeme noktaları: Saldırgan, şehir merkezindeki otopark ödeme cihazının üzerine sahte QR kodu yapıştırılır. Araç sahibi kodunu okutup kart almak girer. Para hem otoparka hem de Saldıra gider — ya da hiç gitmezsiniz.

Restoran menüleri: Pandemi sonrasında QR kod menüleri yaygınlaştı. Masaya yapıştırılmış sahte bir QR kod sizi zararlı bir siteye yönlendirebilir.

Şarj istasyonları: Elektrikli araç kullanıcılarını hedef alan kapatma vakalarında Saldırganlar, şarj etmek için gerekli QR kodunun üzerine kendi kodlarını yapıştırıyor.

E-posta ve belgeler: Sorgulama yalnızca fiziksel ortamla sınırlı değil. Sahte fatura, kargo bildirimi veya iş teklifi e-postalarına yerleştirilen QR kodlar, güvenlik filtrelerini atlayabiliyor çünkü geleneksel e-posta güvenlik sistemleri metindeki linkleri tarar — QR kodları değil.

Neden Şimdi Bu Kadar Tehlikeli?

2026’da QR kod tuzaklarının çok daha benzer bir hal ölçümü öngörülüyor.CoinbaseBunun birkaç sebebi var:

İlk, yapay zeka sayesinde Saldırganlar artık hedef kişiye veya kuruma özel, son derece inandırıcı sahte siteler dakikalar içinde oluşturulabiliyor. İkincisi, mobil cihaz kullanımı her geçen yıl artıyor ve QR okuma artık refleks haline geldi. Üçüncüsü ise kurumsal güvenlik duvarları ve e-posta filtreleri QR kodlarını yeterince analiz edemiyorlar.

Nasıl Korursunuz?

1. QR kodunu okutmadan önce fiziksel olarak kontrol edin. Üzerinde başka bir etiket var mı? Kaldırılıp kaldırılmadığı belli olan iz var mı? Şüphe oluştuğunda okutmayın.

2. QR kod okuyucunuzun URL’sini gösterdiğinden emin olun. Çoğu modern telefon QR kodunu okuduktan sonra siteye gitmeden önce URL’yi gösteriyor. O URL’yi mutlaka kontrol edin.

3. Kısaltılmış veya tanımadığınız URL’lere gitmeyin. Bit.ly, Tinyurl gibi kısaltılmış linkler içeren QR kodlara karşı ekstra dikkatli olun.

4. Ödeme içeren QR kodlarda resmi uygulamayı kullanın. Otopark, şarj istasyonu veya alışveriş ödemelerinde mümkünse kurumun resmi uygulamasını tercih edin.

5. Kurumsal giyinme e-postalardaki QR kodlarına temkinli yaklaşın. Beklenmedik bir e-postadan gelen QR kodu, klasik kimlik avı bağlantısı kadar tehlikeli olabilir.

————————————————————————————————-

Siber saldırılar artık sadece ekran başında değil, hayatın tam ortasında, restoranların masalarında, otoparkların ödeme noktalarında bizi bekliyor. Bize bir kez daha bunu hatırlatıyor: Dijital güvenlik oluşuyor, fiziksel dünyaya da taşınmak zorunda.

Bir sonraki QR kodunu okutmadan önce iki saniye duraksayın. O iki saniye içinde sizi çok içerecek şekilde.

Bir sonraki yazıda görüşmek üzere.

— Eyyüp TURAN | www.eyupturan.com

The post QR Koda Bakmadan Önce İki Kez Düşünün: Quishing Saldırıları first appeared on Eyüp TURAN | Siber Güvenlik Lab & Blog.

Merhaba,

Yıllarca “şüpheli linklere tıklamayın” dedik. Farkındalık kampanyaları düzenledik, eğitimler verdik. Kullanıcılar da yavaş yavaş dikkatli olmaya başladı. Ama siber saldırganlar beklediğimiz gibi durmuyor; bu sefer oyunun kurallarını tamamen değiştirdiler.

2026 yılının en tehlikeli trendi: Zero Click (Sıfır Tıklama) Saldırıları.

Zero Click Saldırısı Nedir?

Adından da anlaşılacağı üzere, bu saldırı türünde kurbanın hiçbir şey yapmasına gerek yoktur. Bir linke tıklamak yok, bir dosya açmak yok, bir onay vermek yok. Saldırgan, cihazınıza yalnızca bir mesaj göndererek — siz daha ekrana bakmadan — sisteminize sızabilir.

Teknik olarak bu saldırılar; işletim sistemi veya uygulamaların mesaj işleme katmanlarındaki açıklardan yararlanır. Mesajlaşma uygulaması gelen veriyi işlerken bellek taşması (buffer overflow) veya format string açığı gibi zafiyetler tetiklenir ve saldırgan kod çalıştırma yetkisi elde eder.

Hangi Platformlar Hedef Alınıyor?

Bu saldırılar özellikle şu ortamlarda gözlemleniyor:

• iMessage (Apple) — 2021’deki Pegasus casus yazılımı vakası bu yöntemle gerçekleşti.
• WhatsApp — 2019’da bir ses araması açığı üzerinden zero click saldırısı düzenlendi.
• Android mesajlaşma servisleri — RCS protokolündeki açıklar aktif olarak araştırılıyor.

Eskiden bu teknik yalnızca devlet destekli grupların elindeydi. Artık ticari casus yazılım pazarının genişlemesiyle çok daha geniş bir tehdit aktörü kitlesinin erişimine girmiş durumda.

Neden Bu Kadar Tehlikeli?

Geleneksel saldırılarda zincirde mutlaka bir insan hatası vardır: yanlış tıklama, zayıf şifre, dikkatsizlik. Zero Click saldırıları bu zinciri tamamen kesiyor.

• Kullanıcı farkında olmadan cihaz ele geçirilir.
• Kamera, mikrofon, konum verisi, mesajlar erişime açılır.
• Saldırı iz bırakmadan gerçekleşebilir.
• Antivirüs yazılımları bu tür tehditleri çoğu zaman yakalayamaz.

Nasıl Korunursunuz?

Evet, bu saldırıya karşı tam anlamıyla dokunulmaz olmak zordur. Ama riski ciddi ölçüde azaltabilirsiniz:

1. İşletim sisteminizi ve uygulamalarınızı güncel tutun. Zero click saldırılarının büyük çoğunluğu, yamalanmış açıkları hedef alır. Güncellemeleri ertelemeyin.

2. Kullanmadığınız mesajlaşma uygulamalarını silin. Her uygulama potansiyel bir saldırı yüzeyi oluşturur.

3. iPhone kullanıcıları için: Lockdown Mode’u değerlendirin. Apple’ın sunduğu bu özel mod, saldırı yüzeyini ciddi ölçüde daraltır. Gazeteciler, aktivistler ve yüksek risk altındaki kullanıcılar için önerilir.

4. Mesaj önizlemelerini kapatın. Bazı saldırılar, mesaj önizleme işlemi sırasında tetiklenir. Bu özelliği kapatmak ek bir önlem katmanı sağlar.

5. Kurumsal cihazlarda MDM ve EDR çözümleri kullanın. Mobil cihaz yönetimi ve uç nokta tespiti, anormal davranışları erkenden fark etmenize yardımcı olur.

Siber güvenlik artık sadece “dikkatli kullanıcı” eğitmekten ibaret değil. Zero Click saldırıları bize şunu net olarak gösterdi: Tehdit, kullanıcı davranışının çok ötesine geçti. Savunma stratejilerinin de buna paralel evrilmesi gerekiyor.

Cihazlarınızı güncel tutun. Gereksiz uygulamalardan kurtulun. Ve siber güvenliği bir kez yapılan iş değil, sürekli bir süreç olarak görün.

Bir sonraki yazıda görüşmek üzere.

— Eyüp TURAN

https://www.eyupturan.com

The post Artık Tıklamanıza Bile Gerek Yok: Zero Click Saldırıları first appeared on Eyüp TURAN | Siber Güvenlik Lab & Blog.

Merhaba,

Broken Access Control (Bozuk Erişim Kontrolü) zafiyeti Kısaca tanımlamak gerekirse; bir kullanıcının Görmemesi gereken verilere erişebilmesi, Yapmaması gereken işlemleri yapabilmesi Broken Access Control zafiyetidir. OWASP Top 10’un en kritik güvenlik açıklarından biridir.

Bozuk erişim kontrolü, kimlik doğrulama, oturum yönetimi ve erişim kontrolü gibi temel kavramları içerir.

Kullanıcıların kimliklerini doğrulamak ve onlara erişim izinleri sağlama sürecidir. Örneğin, kullanıcının adını ve şifresini girmesiyle gerçekleşir.

Kullanıcıların uygulama içinde oturum açtıktan sonra bu oturumu koruma ve yönetme sürecidir. Oturum yönetimi, kullanıcının uygulama içinde gezinirken oturumunun geçerli olmasını sağlar.

Kimlik doğrulaması ve oturum yönetimi sonrasında kullanıcılara tanınan yetkileri kontrol etmek için kullanılır. Kullanıcının belirli eylemleri gerçekleştirip gerçekleştiremeyeceğini belirler.

Erişim kontrolü çeşitli türleri içerir, bunlar arasında:

Dikey erişim kontrolü, kullanıcıların belirli bir rol veya pozisyonlarına bağlı olarak belirli kaynaklara erişimini kontrol eder. Örneğin, bir yönetici belirli işlevlere, bir kullanıcı ise sınırlı işlevlere erişebilir.

Yatay erişim kontrolü, kullanıcıların kendi rolleri dışındaki kullanıcıların kaynaklarına erişimini kontrol eder. Bu durumda, bir kullanıcı başka bir kullanıcının kaynaklarına izinsiz erişemez.

Bağlamına bağlı erişim kontrolü, kullanıcının erişim izinlerini çeşitli bağlamlara (zaman, konum, durum) bağlı olarak değiştirebilir. Örneğin, belirli bir saat aralığında veya belirli bir konumda erişime izin vermek.

Bozuk erişim kontrolü zafiyet türleri arasında:

Bu zafiyet, bir kullanıcının kendi rolünü yükselterek daha fazla ayrıcalık elde etmesine izin verir. Örneğin, bir normal kullanıcının yönetici işlevselliğine erişmesi.

Bu zafiyet, bir kullanıcının normalde aynı düzeyde veya benzer ayrıcalıklara sahip başka bir kullanıcının kaynaklarına erişmesine veya onun gibi davranmasına izin verir.

Bazı durumlarda, bir dizi adımdan oluşan işlemlerde erişim kontrolleri eksik olabilir ve kullanıcılar beklenmedik kaynaklara erişebilir.

Bozuk erişim kontrolü zafiyetlerine örnekler arasında:

Kötü niyetli bir kullanıcı, URL’deki parametreleri değiştirerek başka bir kullanıcının verilerine erişebilir.

Uygulama programlama arayüzüne (API) yapılan isteklerde erişim kontrolleri eksikse, yetkisiz erişim mümkün olabilir.

Kullanıcı tarafından düzenlenen JWT veya çerezler aracılığıyla yetki bilgilerini değiştirmek.

CORS hatalı yapılandırıldığında, saldırganlar tarayıcı üzerinden başka bir alan adındaki kaynaklara erişebilir.

Kimlik doğrulama yapılmamış bir kullanıcının yetkili bir kullanıcı gibi davranmasına olanak tanıyan zafiyetler.

Peki Web uygulamalarını bozuk erişim kontrolü zafiyetlerinden korunmak için ne önlemler alınmalıdır? burada Chatgpt den destek alarak şunları 10 madde de sıralayalım.

🔐 1. Varsayılan Olarak Reddet (Deny by Default)

• Yetki açıkça tanımlanmamışsa erişim kesinlikle engellenmelidir.
• Sadece izin verilen işlemler erişilebilir olmalıdır.

🧠 2. Yetkilendirmeyi Backend’de Yap

• Frontend’de yapılan kontroller asla yeterli değildir.
• Her API isteğinde kullanıcı yetkisi sunucu tarafında kontrol edilmelidir.

🧩 3. Merkezi Yetkilendirme Mekanizması Kullanın

• RBAC (Role-Based Access Control) veya
• ABAC (Attribute-Based Access Control) tercih edilmelidir.
• Yetki kontrolleri kodun her yerine dağılmamalıdır.

🔍 4. Nesne Sahipliği (Object Ownership) Kontrolü

• Kullanıcı, erişmeye çalıştığı kaynağın sahibi mi? kontrol edilmelidir.
• IDOR zafiyetlerini önler.

🚫 5. Kullanıcıdan Gelen Verilere Güvenmeyin

• Kullanıcıdan gelen ID, rol, yetki bayrakları dikkate alınmamalıdır.
• Yetkiler session / token üzerinden alınmalıdır.

🔑 6. Güçlü Oturum ve Token Yönetimi

• JWT içeriği değiştirilemez olmalı (imza doğrulaması)
• Token içindeki rol bilgileri sunucuda doğrulanmalı

📜 7. Loglama ve İzleme Yapın

• Yetkisiz erişim denemeleri loglanmalı
• Anormal davranışlar için alarm mekanizmaları kurulmalıdır

🧪 8. Düzenli Güvenlik Testleri

• Manuel sızma testleri
• Otomatik araçlar (OWASP ZAP, Burp Suite)
• Kod analizleri (SAST / DAST)

🧱 9. Hassas Endpoint’leri Gizlemek Yetmez

• /admin, /manage gibi yollar mutlaka yetki kontrolünden geçmelidir.
• “Görünmüyorsa güvenlidir” yaklaşımı yanlıştır.

🔄 10. Yetkileri En Az Ayrıcalık İlkesine Göre Tanımlayın

• Kullanıcıya sadece ihtiyacı olan yetki verilmelidir.
• Admin yetkileri sınırlı tutulmalıdır.

Kalın sağlıcakla.. https://eyupturan.com

https://eyupturan.com/category/cyber-security

https://eyupturan.com/category/cyber-security

The post Broken Access Control (Bozuk Erişim Kontrolü) first appeared on Eyüp TURAN | Siber Güvenlik Lab & Blog.

Merhaba, bugün çözümpark üzerinde okumuş olduğum bir postu, eski bir asker olarak üzerime aldım ve sizinle paylaşmak istedim. iyi okumalar.

Bir çatışma bölgesinde boş bir arazide devriye gezmek ile büyük bir şirketin siber güvenlik operasyon merkezinde çalışmak birbirinden farklı dünyalar gibi görünebilir. Ancak savaş alanında bir çöp tenekesinin yanından geçerken içgüdüsel olarak tetikte olan bir askerin dikkati, bugün büyük şirketlerin güvenlik operasyon merkezlerinde (SOC) kritik bir rol oynuyor. İngiliz ordusunda görev yapmış eski piyade James Murphy, bu tür içgüdülerin siber güvenlik sektöründe büyük değer taşıdığını belirtiyor.

Askerlikte Öğrenilen Disiplin, Dijital Dünyada da Geçerli

Dünya genelinde kuruluşlar için siber saldırılar artık kaçınılmaz bir gerçek. İster basit siber suçlar ister politik motivasyonlu olsun, bu tehditlerle başa çıkmak için yetişmiş insan gücüne ihtiyaç var. İngiltere silahlı kuvvetleri, siber yeteneklerini güçlendirmek için hızlandırılmış bir eğitim programı başlattı. Ancak, emekli askerlerin sivil dünyaya geçişi çok daha uzun zamandır devam eden bir süreç.

Forces Employment Charity’nin TechVets programı, her ay 15 ila 20 emekli askeri personeli işe yerleştiriyor. Bu emekli askerlerin yaklaşık yarısı siber güvenlik alanında kariyer yapıyor. Dünya Ekonomik Forumu’nun verilerine göre, dünya çapında dört milyon siber güvenlik uzmanı açığı bulunuyor. Günümüzde birçok şirketin siber saldırılar nedeniyle operasyonlarının aksaması, bu ihtiyacın ne kadar kritik olduğunu bir kez daha gözler önüne seriyor.

Bosna, Almanya ve Kuzey İrlanda’da görev yapmış eski topçu Mo Ahddoud, askerlik sonrası siber güvenlik kariyerine adım atan deneyimli isimlerden biri. İlk olarak teknik destek hattında çalışan Ahddoud, kısa sürede BAE Systems ve Universal Studios gibi büyük firmalarda güvenlik uzmanı olarak görev aldı.

Ahddoud, askerlikte öğrendiği risk yönetimi, süreç takibi ve kriz anlarında soğukkanlılıkla hareket etme becerilerinin siber güvenlikte doğrudan işe yaradığını belirtiyor. Ona göre, dijital saldırılar hiçbir zaman beklendiği gibi gerçekleşmiyor. Bu yüzden hızlı düşünme ve önceden planlama yeteneği bu alanda kritik öneme sahip.

Takım Ruhu ve Soğukkanlılık Öne Çıkıyor

Siber güvenlik şirketi LT Harper’da çalışan Catherine Burn, eski askerlerin özellikle ekip çalışması gerektiren görevlerde başarılı olduğunu belirtiyor. Güvenlik operasyon merkezlerinde görev yapan uzmanlar, tıpkı askerî timler gibi birlikte karar alıyor ve hızlı tepki veriyor. Bu alanlar, soğukkanlılık ve stres altında doğru karar verebilme becerisi gerektiriyor.

Amerika Birleşik Devletleri Hava Kuvvetleri’nde görev yapmış olan Crystal Morin de bu görüşe katılıyor. Askerlik sonrası bir Amerikan siber güvenlik firmasında çalışan Morin’e göre, güvenlik merkezleri adeta askeri üsler gibi işliyor. Bu tür ortamlarda ekip ruhu, karşılıklı bağlılık ve görev bilinci her zaman ön planda yer alıyor.

James Murphy, şirketlerin ilk kez işe aldığı eski askeri personellerden oldukça memnun kaldığını ve bu nedenle aynı profilde daha fazla kişiyi istihdam etmek istediklerini belirtiyor. Ancak bazı eski askerler, özel sektördeki daha esnek yapıya alışmakta başlangıçta zorlanabiliyor. Örneğin, rütbe düzeni veya görev tanımları askeri düzenden farklı olduğu için uyum süreci zaman alabiliyor.

Yine de doğru yerde işe başlayan eski askerler, kendilerini yeniden değerli hissettiklerini söylüyorlar. Crystal Morin, eski askerlerin doğrudan çatışma alanında görev yapmasalar da dijital tehditlere karşı mücadele ederek topluma katkı sunmaya devam ettiklerini belirtiyor.

Kaynak : https://www.cozumpark.com/eski-askerler-neden-siber-guvenlikte-tercih-ediliyor/

https://eyupturan.com

The post Eski Askerler Neden Siber Güvenlikte Tercih Ediliyor? first appeared on Eyüp TURAN | Siber Güvenlik Lab & Blog.

Yazılım geliştirme sürecinde kod kalitesini ve güvenliğini artırmak için kullanılan yöntemlerden biri statik kod analizidir. Statik kod analizi, kodun çalıştırılmadan incelenmesi ve hataların, güvenlik açıklarının veya performans sorunlarının tespit edilmesidir. Bu makalede, statik kod analizinin ne olduğu, nasıl yapıldığı ve sağladığı faydalar ele alınacaktır.

Statik Kod Analizinin Avantajları

• Erken Hata Tespiti: Hatalar, yazılım geliştirme sürecinin erken aşamalarında tespit edilerek düzeltilir, bu da hata düzeltme maliyetlerini azaltır.
• Kod Kalitesinin Artırılması: Kodun daha okunabilir, bakım yapılabilir ve genişletilebilir olmasını sağlar.
• Güvenlik Açıklarının Tespiti: Potansiyel güvenlik açıkları erken tespit edilerek, saldırılara karşı daha güvenli yazılımlar geliştirilir.
• Standartlara Uygunluk: Kodun belirli standartlara ve en iyi uygulamalara uygun olmasını sağlar.

Statik Kod Analizi Nasıl Yapılır?

Statik kod analizi, manuel veya otomatik araçlar kullanılarak gerçekleştirilebilir. İşte bu süreçte izlenen temel adımlar:

• Araç Seçimi: Öncelikle, kullanılacak statik analiz aracı seçilir. Popüler araçlar arasında SonarQube, ESLint, Pylint, FindBugs ve Coverity yer alır. Hangi aracın kullanılacağı, projenin diline ve ihtiyaçlarına göre belirlenir.

• Kurulum ve Entegrasyon: Seçilen aracın, geliştirme ortamına kurulumu yapılır ve projeye entegre edilir. Bu entegrasyon, sürekli entegrasyon/teslimat (CI/CD) süreçlerine dahil edilebilir.

• Kod Analizi: Araç, kaynak kodu tarayarak belirli kurallara ve standartlara göre analiz eder. Analiz sırasında hatalar, uyarılar ve öneriler raporlanır.

• Raporlama: Analiz sonuçları, hatalar, uyarılar ve iyileştirme önerileri şeklinde raporlanır. Bu raporlar, genellikle web tabanlı arayüzler veya IDE eklentileri aracılığıyla sunulur.

• Hata Giderme: Raporlanan hatalar ve uyarılar, geliştiriciler tarafından düzeltilir. Bu süreçte, kodun iyileştirilmesi ve standartlara uygun hale getirilmesi hedeflenir.

• Tekrar Analiz: Hatalar giderildikten sonra, kod tekrar analiz edilir. Bu döngü, yazılım geliştirme sürecinin bir parçası olarak sürekli tekrarlanır.

Statik Kod Analizi Araç Kullanımı | SonarQube

Örneğin, Java, C#, Python, JavaScript, PHP, Ruby, C++ gibi birçok programlama dilini destekleyen Statik kod analizi aracı olan SonarQube aracını inceleyelim.

SonarQube Nedir?

SonarQube, statik kod analizi yapmak için kullanılan açık kaynaklı bir platformdur. Yazılım geliştirme süreçlerinde kod kalitesini artırmak, hataları ve güvenlik açıklarını tespit etmek için kullanılır.

SonarQube Aracı Nasıl Kullanılır.

Öncelikle Sonarqube aracını kurabilmek için java yüklü olması gerekmektedir. buradan en son sürümü indirebilirsiniz. 

https://www.java.com/download/ie_manual.jsp

Şimdi gelelim SonarQube Aracımızı kurmaya

https://www.sonarsource.com/products/sonarqube/downloads/

kendi resmi web adresinden sonarqube aracını indirebilirsiniz. Kurulumu çok basittir ve “9000” portunda çalışmaktadır. Yani siz kurulumu bitirdikten sonra tarayıcınıza gelip https://localhost:9000 web arayüzüne girebiliriz. Fakat kaynak kod analizi için bu yeterli değildir. Kod üzerinde statik kod analizi için “Sonar Scanner” aracınıda indirmemiz gerekmektedir. Sonar Scanner aracını indirmek için

https://docs.sonarsource.com/sonarqube/9.9/analyzing-source-code/scanners/sonarscanner/

kendi resmi sayfasından indirebilirsiniz..

Sonarqube üzerinden kaynak kod analizi başlatmak için tarayıcımızda https://localhost:9000 adresine gidiyoruz. Default kullanıcı adı “admin” default parolası “admin” dir.

Projenizi SonarQube’e Ekleme

SonarQube ile kod analizi yapmak için projenizi SonarQube’e eklemeniz gerekmektedir. 

1. SonarQube web arayüzünde, sağ üst köşede yer alan “Create Project” düğmesine tıklayın. Farklı ekleme şekilleri için “More” kısmına tıklayabilirsiniz.

2. “Create new project” seçeneği ile yeni bir proje oluşturun ve bir proje anahtarı (project key) belirleyin

3. Proje dilini seçin ve devam edin. Local proje için “Locally” seçeneğini seçmelisiniz.

4. Gelen ekranda, projeniz için bir bitiş süresi belirtebiliyor veya süresiz olarak ayarlayabiliyorsunuz. Seçimi yaptıktan sonra “Generate” diyerek işleme devam ediyoruz.

5. Sona doğru “Continue” diyerek işleme devam edin.

6. SonarQube’yi hangi platformda çalıştırmak istiyorsanız onu seçmelisiniz. Ben bu projede .NET’te yapacağım için onu seçiyorum. Hemen sonraki seçimimiz ise derleme türü yani .NET Core mu yoksa .NET Framework mü olduğuna karar veriyoruz. .NET Framework için farklı adımlar takip etmelisiniz. .Net Core’da ise işlem daha kolay devam etmektedir. Tabi bu seçimler sizin projenin türüne göre değişkenlik gösterecektir.

7. SonarQube’nin tarama işleminin yapabilmesi için son bir adım kaldı. .Net Core’da projenizde console ekranında sırası ile komutları çalıştırmanız yeterlidir. Sırasıyla kodları çalıştırdıktan sonra küçük bir beklemeden sonra sonuca ulaşacağız.

8. Tarama işlemi bittikten sonra “Sonarqube” aracının web arayüzüne geldiğinizde projedeki zafiyetleri, bu zafiyetler nasıl kapatılabilir gibi size bilgi verecektir.

9. Bugs kısmına girip bugları detaylıca inceleyip ne gibi hatalar olduğunu görebilirsiniz. Ayrıca hatanı nerede olduğunu hangi dizinde olduğunu da görebilirsiniz. SonarQube’nin bu analizleri sonucunda kodunuz daha da kullanışlı hale getirebilirsiniz.

faydalı olması dileğiyle.

https://eyupturan.com

The post Statik Kod Analizi Nedir ve Nasıl Yapılır? | SonarQube kullanımı first appeared on Eyüp TURAN | Siber Güvenlik Lab & Blog.

Wireshark Nedir?

Wireshark, ağ trafiğini analiz etmek için kullanılan açık kaynaklı ve ücretsiz bir yazılım aracıdır. Ağ yöneticileri, güvenlik uzmanları ve geliştiriciler tarafından yaygın olarak kullanılan Wireshark, ağ paketlerini gerçek zamanlı olarak yakalar ve detaylı bir şekilde inceler.

Wireshark aracının kullanım alanları:

• Protokol hatalarını çözümlemek
• Paket analiz işlemleri
• Ağ içerisinde ki hataları tespit etmek
• Ağ hakkında ki istatistikleri görüntüleyebilmek
• Canlı olarak veya elinizde bulunan pcap gibi formatlarda olan verileri
  görüntülemek
• Tersine mühendislik çalışmaları gibi bir çok farklı konuda tercih edilen bir araçtır.

Wireshark aracı için kurulum adımları:

Gerekli dosya indirildikten sonra kurulum yönergeleri sayesinde kurulabilir.

İndirme adresi : https://www.wireshark.org/download.html

Linux için:

$ sudo apt install wireshark

Wireshark ile Paket Yakalamak

İzlemek istediğimiz ağı seçelim, bu genellikle bir Wi-Fi veya Ethernet bağlantısı olabilir. Ardından, “Başlat” düğmesine tıklamalıyız. Böylece Wireshark ağ trafiğini yakalamaya başlar.

Örnek olarak bir HTTP filtrelemesi yapalım:

Wireshark veya benzeri ağ analiz araçları, HTTP trafiği üzerinde izinli veya izinsiz izleme yapabilirken, HTTPS trafiği şifreli olduğu için içeriğini görüntüleyemezler. Bu nedenle HTTP trafiğini ağ üzerindeki iletişimi kolayca görüntülemek için izleyebiliriz. Üst köşede olan çubuğa http yazarak kolaylıkla HTTP paketleri görüntüleyebiliriz.

Paketler hakkında detaylı bilgi edinmeyi deneyelim:

İlgilendiğimiz HTTP paketini listeden seçip sağ tıkladıktan sonra “Takip Et” ve ardından “HTTP Akışı” seçeneğine tıklıyoruz. Bu işlem, sadece seçtiğimiz HTTP paketinin iletişimini görüntüler.

En Sık Kullanılan Kodlar:

İzlemek istediğimiz ağı seçelim, bu genellikle bir Wi-Fi veya Ethernet bağlantısı olabilir. Ardından, “Başlat” düğmesine tıklamalıyız. Böylece Wireshark ağ trafiğini yakalamaya başlar.

1. http
   • HTTP protokolü üzerinden gönderilen ve alınan verileri gösterir.
   • Ekranda sadece web sayfalarının trafiğini görmek için kullanılır.
2. tcp
   • TCP protokolü üzerinden gelen verileri gösterir.
   • Güvenilir bağlantılar üzerinden gerçekleşen trafiği izlemek için kullanıllır.
3. udp
   UDP protokolü üzerinden gelen verileri gösterir.Hızlı, ancak güvenilir olmayan bağlantılar için veri trafiğini görmek için kullanılır.
4. ip.addr == 192.168.x.x
   • Belirtilen IP adresine ait verileri gösterir.
   • Belirli bir IP adresiyle ilişkili trafiği izlemek için kullanılır.
5. port 80
   • Port 80 üzerinden gönderilen ve alınan verileri gösterir.
   • HTTP trafiğini (web) izlemek için. Port numarasını değiştirerek diğer portlardaki trafiği görebilirsiniz.
6. src ip == 192.168.x.x
   • Belirtilen IP adresinden gelen verileri gösterir.
   • Belirli bir kaynaktan gelen trafiği izlemek için kullanılır.
7. dst ip == 192.168.x.x
   • Belirtilen IP adresine giden verileri gösterir.
   • Belirli bir hedefe giden trafiği izlemek için kullanılır.

1. tcp.port == 443
   • TCP üzerinden port 443 (HTTPS) ile ilgili verileri gösterir.
   • Güvenli web trafiğini (şifreli) izlemek için kullanılır.
2. http.request.method == “GET”
   • HTTP GET isteklerini gösterir.
   • Web sayfası veya veri talep eden GET isteklerini görmek için kullanılır.
3. ip.proto == 1
   • ICMP (Internet Control Message Protocol) protokolü ile ilgili verileri gösterir.
   • Ağ hata raporları ve “ping” trafiğini izlemek için kullanılır.

Faydalı olması dileği ile..

https://eyupturan.com

The post Wireshark: Ağ Trafiğini Anlamanın Gücü first appeared on Eyüp TURAN | Siber Güvenlik Lab & Blog.

Merhaba, bu yazımda sızma testi metodolojisinin başında gelen bilgi toplama araçlarından bahsetmek istiyorum Bu yazıyı hazırlarken kendime çıkarmış olduğum notları bir araya getirerek paylaşmak istedim, hem tek konu altında birleştirmek hemde kendime depo oluşturmak maksadıyla bilgi toplama araçlarını tek başlıkda topladım.

Bilgi toplama yani keşif süreci Sızma testinin ilk adımıdır. En uzun süren süreçlerden birisidir. Diğer adımlar için temel burada atılır. Dış Ağdan test yapılıyor ise Teknik (DNS / WHOIS) yöntemler ile alt yapı / ağ mimarisi / ip adresleri ile ilgili bilgi edinilebilir.

Aktif ve Pasif bilgi toplama olarak 2’ye ayrılmaktadır, en çok kullanılan araçları sırası ile paylaşacağım.

Pasif Bilgi Toplama Araçları :

Hedef ile herhangi bir temasa, iletişime geçmeden toplanılan bilgilerdir, genellikle internet üzerinden toplanır. Örneğin sosyal medya da bir pasif bilgi toplama işlemidir. Aşağıda belirttiğim 4 Web site üzerinden pasif bilgi toplama işlemini gerçekleştireceğiz.

1-Netcraft : Hedef hakkında whois sorgusu yapar. Site title, domain register vb. Gibi bilgiler verir.

https://sitereport.netcraft.com/ 

2-Whoislookup : netcraft tarzı bir detaylı whois sorgusu yapar.

whois.domaintools.com

3-Archive.org : Sorguladığımız herhangi bir domainin geçmiş yıllardaki görünümleri ve işlemlerini getirmekte.

4-You get signal : bağlı tüm subdomainleri vs gösterir

yougetsignal.com/tools/web-sites-on-web-server/

Aktif Bilgi Toplama Araçları :

hedef ile doğrudan temasa geçilerek yapılan bilgi toplama çeşididir. Aktif bilgi toplamayla, pasif bilgi toplamadan daha net ve güvenilir sonuçlar elde edebiliriz. Ancak, hedef ile doğrudan temasa geçildiği için hedefte iz bırakılır. Bu sebep den dikkatli olunması gerekmektedir ilerleyen safhalarda hukuksal olarak sorunlar yaratabilir. Bu uyarıyı da yaptıktan sonra başlayalım.

1- Dig Aracı : Dig komutu DNS ad sunucularını sorgulamak için sıklıkla kullanılan bir komut satırı aracıdır. IP adres kayıtları, yetkili ad sunucularının yanıtları da olmak üzere bir çok DNS sorunlarını gidermekte kullanılır. Kısaca kullanımı şu şekildedir.

dig domainadi.com | ip vb bilgiler verir, ping domainadi.com komutu ile karşılaşdırıldığında aynı ip bilgileri verileceği görülecektir.

dig domainadi.com -t ns | domainadi.com’ a bağlı olan name serverları gösterir.

dig domainadi.com -t mx | domainadi.com’a bağlı olan mail serverları listeler.

dig domainadi.com -t txt | domainadi.com ‘a bağlı olan txt cıktılarını verir ipv4 ipv6 vs gibi şeyler verir.

dig +trace domainadi.com | gönderilen paket bilgilerinin hangi duraklara uğradığı durakları, gönderilen paketleri listeler kısaca ağı izler.

dig 8.8.4.4 domainadi.com -t ns | dig domainadi.com -t ns komutu ile aynı işlemi yapar yani domainadi.com name serverları verir ancak burada log tutulmasın diye dns adresini 8.8.4.4 üzerinden sorgulama yapar.

2-Dnsenum : bu araç da dig aracının yaptığı işlemlere yakın işlemler gerçekleştirir. Dns kaydı sorgulamamıza yarıyor. Farklı alternatif araç kullanma amacımız bazı araçlar kali’nin kütüphanesinde olmayabilir veya kali versiyonu desteklemeyebilir o nedenle farklı araçlar öğrenmekte fayda vardır. Kısaca kullanılan komutlar;

Dnsenum --help | bu komutla parametreleri gösterir.

dnsenum domainadi.com | alt alan adları, dns’leri listeler. Dig aracına nazaran daha sade daha açık listeler.
dnsenum --enum domainadi.com | yine aynı çıktıları verir birkaç yerde farklı şeyler listeliyor. sub domainleri detaylı listeler, brute force yapabileceğimiz sayfaları listeliyor. Whois tarzı sorgulamalar yapar.

dnsmap domainadi.com | bu komutumuzda yine dnsenum gibi görevi bulunmakta

genel olarak kullanım mantığı bu şekilde siz detaylı inceleyebilirsiniz.

3-Nslookup : Bu araç da aktif bilgi toplama araçları arasında da dig gibi dnsenum ve dnsmap gibi dns kayıtlarını listelemeye yarayan,
verdiğimiz domainin ip adresleri vb.birçok bilgiyi bize vermeye çalışan bir araçtır. Nslookup kali linux’un bazı versiyonlarında yüklü olarak gelmeyebiliyor arkadaşlar. Kullanımı oldukca basitdir.

Terminal ekranına “nslookup” yazıp enterlayınca nslookup ekranı çalıştırır. site adı veya ip yazınca sorgulamayı gerçekleştirir birçok önemli bilgiyi listeler.

set type=ns | komutu enterlayınca yeni bir komut satırı gelir buraya domain yazınca name serverlar listeler
set type=mx | mail server kayıtlarını listeler

Nslookup aracını birde etkileşimsiz mod da kullanabiliriz yani karşı hedef server ile iletişim kurmadan komutu çalıştırabilirsiniz bunun içinde
nslookup -query=ns domainadi.com | domaine ait name serverları etkileşimsiz mod da çalıştırır.

nslookup -query=any domainadi.com | domain adını etkileşimsiz modda tüm dnsleri sorgular.

4-Whois : Aktif bilgi toplama araçlarından biride whois’dir. Whois, tescil edilmiş bir domainin hangi kişi veya firmaya ait olduğunu, bu kişi ya da firmanın iletişim bilgilerini ve alan adının kayıt edildiği tarihi ile bitiş süresini gösteren bilgidir. Bu Araç basit olarak kali’de şu şekilde kullanılır.

whois domainadi.com | bize domain adina ait tüm bilgileri listeler.

5-Traceroute : Traceroute aracı dig komutuna benzer işleve sahip hatta aynı işleve sahip diyebiliriz. Traceroute tcp/ip mantıklı çalışmaktadır. Hedef sistemimize paketler gönderiyor ve bu paketler giderken hangi router’dan hangi yönlendiriciden ulaştığını geçtiğini görmemizi sağlıyor. Network ile daha ilgili bir araçtır.
Kullanımı Windows işletim sisteminde " tracert www.domainadi.com "

Linux’ta : ” traceroute www.domainadi.com “

6-Dmitry : bu araç yukarda görmüş olduğumuz 5 bilgi toplama aracının bir araya getirilmiş halidir diyebiliriz. Tek komut ile tüm bilgi toplama aracının işlevini yapabiliriz. Dmitry aracı kali linux’ta yüklü olarak gelir. Eğer bulunmaz ise " sudo apt-get install dmitry " komutu ile kendi kütüphanesinden yükleyebiliriz. Kullanımını inceleyelim.

Dmitry -h | tüm parametrelerini inceleyebilirsiniz ben sadece genel kullanımı belirteyim.
dmitry domainadi.com | domain hakkında tüm bilgileri döker tarama biraz uzun sürebilir. host ipler, whois sorgusu, name serverları, eposa bilgileri vb tüm bilgileri listeler

7-TheHarvester : Kullanımı oldukça kolaydır. theHarvester i genel olarak tanımlamak gerekirse, size hedef hakkında yığın bir veri toplar. Bu verileri analiz ederek hedefiniz hakkında bilgi sahibi olursunuz. Githup Linki:

https://github.com/laramies/theHarvester

theharvester aracı çok geniş kapsamlı bir araçtır çok fazla parametresi vardır.
theharvester -h | komutu ile tüm parametrelerini inceleyebilirsiniz.

Ençok kullanulan parametreleri şu şekildedir.

theharvester -d domainadi.com -b all | -d parametresi domaini belirtmemizi sağlıyor. -b parametresi arama yapacağı platformları belirtmemizi sağlıyor. Google, yandex, linkedin gibi, tüm platformlarında arama yapmak istiyorsanız all parametresi eklenir.

8-Nmap : Nmap aracı genelde hedef sistemde açık olan portları görüntülememize yarıyor ama bunun dışında çok fazla ayrıntılı kullanımı var, kendi yazdığınız scriptleri ekleyebiliyorsunuz hedef sistemde zaafiyet taramasından tutun kullanıcı adı taramasına kadar her şeyi yapabiliyoruz.
Burada nmap üzerinde en çok kullanılan parametreler ve teknikleri belirteceğim.

nmap -h | komutunu kullandığımız da çok fazla parametresi olduğunu göreceksiniz, script tüm parametreleri listeler. Script taramalarından tutunda Firewall/Ids taramalarına kadar birçok tarama hazırda verilmiş olarak mevcuttur, kendinizin incelemesini tavsiye ederim.

nmap -sn 10.0.2.0/24  | -sn parametresi bir ip aralığı vermemizi istiyor 0 dan 24 e kadar yerel ağda olan ipleri getirir genelde yerel ağda kullanılıyor Örneğin yerel ağda kullanılan sanal makinaların veya cihazların ip’lerini getirir. Tabi burda ip’mizi öğrenmek için
" ifconfig " komutu kullanılabilir veya " hostname -I " komutuyla kullandığımız host ip’mizi öğrenebiliriz.

nmap -sS -sV 10.0.2.8 | 10.0.2.8 ip benim typhon makinamın ipsi. -sS parametresi hedef sisteme paketler gönderir bu sayede açık olan portları ve bu portlarda çalışan protokollari listeler. -sV parametresi de hedef sistemde açık olan portlarda çalışan servislerin hangi versiyona ait oldukları hangi versiyonda çalıştıklarını bizlere çıktı olarak sunar.

Örneğin kendim typhoon makinama bir tarama başlattığımda ftp versiyonunun eski olduğunu görüntüledim buda burada bir zaafiyet olduğunu gösterir, böyle durumlarda güncelleme yapılması için hedef sistemin uyarılması gerekir.

nmap -sT 10.2.0.8 | açık olan tcp portları tarar
nmap -sU 10.2.0.8 | açık olan udp portları tarar

nmap -p22 10.0.2.8 | sadece 22 nolu portu tarar
nmap -p21,22,80 10.0.2.8 | 21 22 80 portlarını tarar
nmap -p80-8080 10.0.2.8 | 80 den 8088 e kadar olan portları tarar

nmap -A 10.0.2.8 | Agresif bir tarama işlemi uzun sürebilir ancak detaylı bilgi listeler.

nmap sC 10.0.2.8 | script taraması yapar. açık olan port, bazı ftp serverına dönük cıktılar, ssh ile ilgili bilgiler getirir.

localate nmap | nmap içindeki zaafiyet scriptleri listeler şimdi bunu sistemde denerken kullanırken

nmap --script=script_ismi 10.0.2.8 | buda scripte zaafiyet varmı listeler.
Burda scipt isimlerini görüntülemek için öncelikle
localate nmap | yazarak nmap scriptlerinin hepsini görüntüleyebiliriz.

9-Netcat : Netcat aracı iki sistem arasında dosya transferi, haberleşme, açık olan portları bulma, bağlantı sağlama shell alma gibi işlemler için kullanılıyor, kullanımı detaylıdır.

" Nc -h " komutu ile tüm parametreleri inceleyebilirsiniz ben genel kullanılan komutları belirteceğim. Kullanımı şu şekildedir.
Bağlantı talebinde bulunmak için, bağlantı başlatmak istediğim makinamın terminale

nc 10.0.2.7 4444 | bu komut ile 10.0.2.7 makinamın 4444 portuna bağlantı talebi gönderiyorum.

Diğer makinama gelip

nc -lvp 4444 | komutu ile yukarda yapmış olduğum bağlantı talebini dinlemeye alıyorum.

Burada -lvp parametresi: l listening v verbos yani cıktı ver p de port anlamına gelmektedir.

Basitce Bu şekilde 2 sistem arasında bağlantı yaparak haberleşmeyi gerçekleştirir.

10-Unicornscan : bu araç hedef sistemde port taraması gerçekleştirir açık olan portları listeler. Bu araç Nmap aracına göre daha kısıtlı çalışma mantalitesine sahip. Kısaca kullanımı basit olarak şu şekilde:

apt-get install unicornscan | otomatik olarak yükler yüklü değil ise

unicornscan -h | kullanılan tüm parametreleri listeler, nmap kadar olmasada oldukca fazla parametreye sahipdir.

unicornscan 10.0.2.8 | tcp portları tarar

unicornscan -mU 10.0.2.8 | udp portları tarar

11-Rustscan : bu araç nmap gibi port taraması yapar açık olan portları verir, peki neden nmap varken bu aracı tercih edelim? Nmapin 10-20dk yaptığı taramayı rutscan 40-50sn’de yaptığını iddia ettiği için tercih ediliyor.

github üzerinden kurmamız gerekiyor. Kendiniz inceleyebilirsiniz linki bırakıyorum ve basitce kullanılan komutları belirteceğim. Installation Guide bölümünde kurulum hakkında detaylı bilgi bulunmakta. Github Linki:

https://github.com/RustScan/RustScan

rustscan -h | parametreleri görebilirsiniz.

rustcan -a 10.0.2.8 | basit kullanımı bu şekildedir.

*******************************************************************

Bilgi toplama işlemleri bukadardı, faydası olması ümidiyle başka yazılarda buluşmak üzere..

www.eyupturan.com

www.3dbabus.com

The post Sızma Testlerinde Bilgi Toplama (Keşif) first appeared on Eyüp TURAN | Siber Güvenlik Lab & Blog.

Dirbuster Aracı İle Dizin Taraması :

Dirbuster aracımız hedef sistem üzerinde gizli dizin taraması yapıyor ve bize var olan gizli dizinleri listeliyor, sızma testlerinde çok önemli bir aşama olduğu için dirbuster önemlidir.

Kullanımı kolay bir araçtır. Kali linux üzerinden hazır olarak gelmektedir.

sudo apt-get install dirbuster   

komutuyla yükleme yapabiliriz.

Terminal üzerinde dirbuster yazarak çalıştırabiliriz. Basit bir arayüze sahip.

Dirbuster aracının özellikleri;

1. Target URL : Hedef site adresi
2. Work Method(1): İstek yapılırken kullanılan HTTP metot tipi.GET ve HEAD metotları ile istek gerçekleştiriliyor.
3. Number of Threads: Yapılacak istekleri thread mantığıyla gerçekleştirme. Go Faster ile 200 thread çalışır.
4. Brute Force için dizin-dosya listesi gösterilir. /usr/share/dirbuster/wordlist dizininde varolan wordlist ler seçilebilinir.
5. Start işlemi ile taramaya ait göstergelere bakabiliriz.

Burda seçmiş olduğumuz wordlist içindeki bütün teknikleri denemer. biraz uzun sürer ama sağlam sonuc alacağımız bir araçdır.

Dirb Aracı İle Dizin Taraması :

Dirb aracımız dirbuster aracımızın terminal üzerinden kontrol edebildiğimiz alternatif araçtır.

Dirb aracıda dirbuster gibi aynı işlemi yapıyor yani hedef sistem üzerinden gizli dizin tarama gerçekleştiriyor ve döndürdüğü cevaplarla bizlere bir çıktı sunuyor.

sudo apt-get install dirb  

yazarak kurulumunu gerçekleştiriyoruz. Kullanımı çok basitdir. Ben burda typhon makinama bir tarama yapacağım.

dirb http://10.0.2.22/

komutu ile tarama başlatması için yeterlidir. çok kolay bir tooldur. kendi içindeki hazır olan wordlistlerden tarama başlatır. bircok link tespit eder ama 400 le başlayan hata kodları alır verdiği linklere girince. http 400-500 arasında aldığımız hatalar erişemediğimizi söyler istemci hatalarıdır. 200-300 arası döndürdüğü cevaplar bizim başarılı aldığımız cevaplardır.

Basitçe çalışma mantığı bukadardır.

Gobuster Aracı İle Dizin Taraması :

Gobuster bir dizin keşfi yapan brute-force (kaba-kuvvet) saldırı programıdır.

-Web sitelerinde dizinleri ve dosyaları tespit etmeye,

-Dns subdomain taraması yapmaya,

-Sunucuda barınan VHost’ları bulmaya yarar.

Kali içerisinde sık kullanılan ‘dirb’ aracı ile neredeyse aynı işlevi görmektedir. Kimi kullanıcılara göre gobuster, dirb’den daha iyi olduğu bile söylenmekte. Güzel bir araç sızma testlerinde ve ctf tarzı yarışmalarda vb işlemlerde kullanımı oldukça güzel bir araçtır.

sudo apt-get install gobuster

kali kendi kütüphanesinden yükler.

gobuster -h // parametreleri gösterir. ör:dir yazarsan diroctoru tarama yapr dns yazarsan dns tarar vs.siz kendiniz inceleyebilirsiniz bu parametreleri. Ben typhoon aracıma bir tarama yapacağım.

gobuster dir -u http://10.0.2.21/ -w /usr/share/wordlist/dirb/common.txt 

(-u url anlamına gelir, -w wordlist belirtmek içindir. yeni bir terminale locate dirb yazarsak dirb içindeki wordlistleri listeler onu kullanabiliriz.) tarama başlar. hızlıca sonuçlandırır. 200-300 hata durumları olanları kopyalayıp üzerlerinde denemeler yaparak inceleyebiliriz.

faydası olması dileğiyle.

The post Gobuster | Dirb | Dirbuster Araçları İle Dizin Taraması. first appeared on Eyüp TURAN | Siber Güvenlik Lab & Blog.

Günümüzün dijital dünyasında, güvenliğin ve performansın en üst düzeyde tutulması için ağ ve endpoint izleme hayati bir rol oynamaktadır. Şirketler ve bireyler, sistemlerinin sağlığını, performansını ve güvenliğini sürekli olarak izlemek zorundadır. İşte bu sürecin nasıl yönetileceğine dair bilgiler.

1-Endpoint İzleme

bir ağın uç noktalarında bulunan cihazların izlenmesi ve yönetilmesini kapsar. Bu cihazlar genellikle bilgisayarlar, sunucular, mobil cihazlar ve IoT (Nesnelerin İnterneti) cihazlarıdır. Endpoint izleme, şu unsurları içerir:

a. Güvenlik Yazılımları ve Güncellemeleri: Cihazların güncel güvenlik yazılımları ve yamalarla donatılması, bilinen güvenlik açıklarının kapatılmasını sağlar. Bu, antivirüs yazılımları, anti-malware programları ve güvenlik duvarları gibi araçları içerir.

b. Aktivite İzleme: Kullanıcı faaliyetlerinin izlenmesi, şüpheli veya anormal davranışların tespit edilmesine yardımcı olur. Bu, yetkisiz erişim denemeleri veya alışılmadık veri transferleri gibi olayları içerebilir.

c. Varlık Yönetimi: Ağa bağlı tüm cihazların envanterinin çıkarılması ve yönetilmesi, hangi cihazların nerede olduğunu ve nasıl kullanıldığını bilmenizi sağlar.

Ayrıca Uç Noktaların İzlenmesi ile birlikte cevaplanması gereken bazı sorular ortaya koymalıyız.

Bu sorular şunlardır:

• Herhangi biri yetkisiz program yükledi mi?
• Hangi Portlar dinleniyor ve neden?
• Hangi açıklara karşı savunmasızsınız?
• Herhangi bir sistem dosyası değiştirildi mi?
• Herhangi bir kötü niyetli komut dosyası çalıştırıldı mı?
• Bilgisayarlar, Bulutlar, Sunucular hakkında konuştuğumuzu fark etmelisiniz

Peki cevabı nasıl alacağız?
CSM’nin rolü burada ortaya çıkıyor ve Sürekli Güvenlik İzleme anlamına geliyor.

Sürekli Güvenlik İzleme Nedir?

Sürekli Güvenlik İzleme (CSM), operasyonel güvenliğinizi sürekli olarak kontrol etme ve değerlendirme sürecini otomatikleştiren bir stratejidir. Bu yaklaşımın arkasındaki fikir, siber suçlular bunları istismar etmeden önce güvenlik açıklarını belirlemenizi ve bunları düzeltmenizi sağlamaktır.

CSM’nin faydaları nelerdir?

• uç nokta verilerine – “duran verilere” veya uç noktada üretilen verilere bakar
• Uygulamalarınız ve altyapınız için gerçek zamanlı görünürlük sağlar
• Güvenlik açığı taraması
• Dosya / Kayıt Defteri bütünlüğü izleme
• Otomatik Çalıştırmalar
• Hizmetler
• Çalışan süreç
• Cihazları sınıflandırır: önleyici tedbirler uygulamanıza olanak sağlamak için

CSM Etkinlik Koleksiyonu

İşte CSM Olay Toplama Kaynakları:

• İşletim Sistemi/Uygulama kimlik doğrulama günlükleri
• Sysmon
• Antivirüs
• EDR
• Beyaz Liste
• HIDS/HIPS
• Güvenlik Açığı Tarayıcısı

CSM’ye neden ihtiyacımız var?

Soruşturmalar ağ ve son kullanıcı verilerini gerektirecektir

Örnek için: Kötü Amaçlı Yazılım Enfeksiyonu oluşur

• Trafik 443 numaralı bağlantı noktasındaki bir IP’ye oluşturulur
• Ağ verileriyle araştırma yaparken, örneğin kötü IP veya kötü alan adını görebilirsiniz…?

ama ya bu süreçlerin bunu oluşturduğunu biliyorsanız

şimdi calc.exe | PID: 2092 işlem ağacını görüyorsunuz ve bu calc.exe cmd.exe’yi başlatıyor tabii ki bu iyi görünmüyor mu?

şimdi bunun bir kalıcılık tekniği olduğunu tespit ettik ve şimdi dosyanın sürücüde nerede olduğunu biliyoruz.

Son olarak, olayları aramak ve uyarmak için tek bir yer vardır, o da SIEM’inizdir

Veriler SIEM’e Nasıl Ulaşır?

Bu küçük fotoğraf (NSM) VE (CSM)’nin SIEM ile nasıl çalıştığını göstermektedir

Siem Hakkında Detaylı bilgi için altdaki konuyu inceleyebilirsiniz

https://eyupturan.com/siem-nedir-siemin-faydalari-nelerdir/

2 – Ağ İzleme

Ağ izleme, bir ağın performansını, kullanılabilirliğini ve güvenliğini sürekli olarak değerlendirmeyi amaçlar. Aşağıdaki bileşenler, etkili bir ağ izleme stratejisinin temel taşlarıdır:

a. Trafik Analizi: Ağ trafiğinin sürekli izlenmesi, veri paketlerinin incelenmesi ve analiz edilmesi yoluyla ağ performansının değerlendirilmesini sağlar. Bu, bant genişliği kullanımı, veri akışları ve potansiyel darboğazların tespit edilmesini içerir.

b. Olay Yönetimi: Ağda meydana gelen olayların kaydedilmesi ve yönetilmesi, sorunların hızlı bir şekilde tespit edilmesini ve çözülmesini sağlar. Bu, hata günlükleri, uyarılar ve bildirimler aracılığıyla gerçekleştirilir.

c. Güvenlik İzleme: Ağ güvenliğinin sağlanması, potansiyel tehditlerin ve saldırıların tespit edilmesi ve önlenmesi için kritik öneme sahiptir. Bu, IDS/IPS (İzinsiz Giriş Tespit ve Önleme Sistemleri) ve güvenlik bilgi ve olay yönetimi (SIEM) sistemleri kullanılarak yapılır.

Öncelikle bazı soruları yanıtlamamız gerekiyor.

• Hangi portların gerçekten kullanımda olduğunu biliyor musunuz?
• Bu portlarda gerçekte hangi hizmetler kullanılıyor?
• Hangi alan adlarının kimler tarafından ziyaret edildiğini biliyor musunuz?
• Kötü niyetli şifrelenmiş trafiği tespit edebiliyor musunuz?
• Üst düzey bant genişliğini ve trafik akışını görebiliyor musunuz?

Peki cevabı nasıl alacağız?

İşte Ağ Güvenliği İzleme’nin rolü burada ortaya çıkıyor.

Ağ Güvenliği İzleme Nedir?

güvenlik açıkları, tehditler ve şüpheli faaliyetler için ağ cihazlarını ve trafiğini izleyen otomatik bir süreçtir, ayrıca verilerin toplanmasını ve analiz edilmesini içerir, bu da şirketlere ağlarındaki davetsiz misafirleri tespit etme ve bunlara yanıt verme fırsatı verir.

Ağ Güvenliği İzleme ile temel olarak şunları bilebileceğimizi söyleyebiliriz

• Kim kiminle konuşuyor, ne söylüyorlar ve aslında ne tür bir hizmet kullanıyorlar.

3. Araçlar ve Teknolojiler

Endpoint ve ağ izleme için kullanılan çeşitli araçlar ve teknolojiler mevcuttur. Bunlar arasında:

a. SolarWinds: Ağ performansı ve güvenlik izleme için yaygın olarak kullanılan bir araçtır.

b. Nagios: Ağ ve sistem izleme için açık kaynaklı bir çözümdür.

c. Splunk: Güvenlik bilgileri ve olay yönetimi için güçlü bir platformdur.

d. Wireshark: Ağ protokol analizörü olarak bilinir ve derinlemesine trafik analizi yapar.

4. En İyi Uygulamalar

Etkin bir izleme stratejisi oluşturmak için şu en iyi uygulamaları dikkate almalısınız:

a. Proaktif Olun: Olası sorunları ortaya çıkmadan önce tespit edin ve önleyin. Bu, sürekli izleme ve düzenli güncellemeler ile sağlanabilir.

b. Otomasyon: İzleme süreçlerini otomatikleştirin. Bu, hata tespitini hızlandırır ve manuel müdahale gereksinimini azaltır.

c. Eğitim ve Farkındalık: Kullanıcıları güvenlik tehditleri konusunda bilinçlendirin ve düzenli eğitimler sağlayın. İnsan hatası, genellikle güvenlik ihlallerinin ana nedenidir.

d. Yedekleme ve Kurtarma Planları: Veri kaybı durumlarına karşı düzenli yedeklemeler yapın ve etkili bir kurtarma planı oluşturun.

Sonuç

Endpoint ve ağ izleme, dijital dünyada güvenlik ve performansın sağlanması için kritik öneme sahiptir. Doğru araçlar ve stratejilerle, ağınızın ve cihazlarınızın güvenliğini ve verimliliğini artırabilirsiniz. Sürekli izleme, proaktif önlemler ve eğitim, bu sürecin temel taşlarıdır. Unutmayın, güvenlik bir ürün değil, bir süreçtir ve sürekli çaba gerektirir.

https://eyupturan.com

The post Endpoint ve Ağ izlemesi Nasıl Yapılır? first appeared on Eyüp TURAN | Siber Güvenlik Lab & Blog.