“İnformasiya təhlükəsizliyinin aktual problemləri”
III respublika elmi-praktiki seminarı, 08 dekabr 2017-ci il
93
Etik
hakerin
qeyri-texniki
bacarıqlarından bəziləri
aşağıdakılardır:
Yeni texnologiyaları öyrənmə və uyğunlaşma
bacarığı;
Yüksək iş etikası, problem həll etmə və ünsiyyət
bacarığı;
Təşkilatın təhlükəsizlik siyasətinə riaət etməli;
Standartlardan
və
qanunlardan
xəbərdar
olmalıdır.
V.
KALİ LİNUX ƏMƏLİYYAT SİSTEMİ
Kali Linux Debian əsaslı təhlükəsizliyin yoxlanılması üçün
nəzərdə tutulmuş əməliyyat sistemidir. Kali Linux BackTrack
tərtibatçıları olan Offensive Security tərəfindən 2013-cü ildə
yaradılmışdır. Hal-hazırda da dəstəklənməkdədir. BackTrack-
dəki bütün alətlər və sonradan əlavə olunanlarla birlikdə Kali
Linux-da işləmək üçün 600-dən çox alət var.
Offensive Security komandası 2007-ci ildə yaradılıb.
Komanda üzvləri hücum sistemləri sahəsində geniş təcrübəsi
olan təhlükəsizlik mütəxəssislərindən ibarətdir. Onlar hücum
ssitemləri ilə bağlı informasiyaları, təlimləri, pulsuz alətləri
bölüşürlər. Kali linux əməliyyat sisteminin yaradıcıları
aşağıdakılardır.
Mati Aharoni
(muts) Kali əməliyyat sisteminin əsas
proqramçısı, təlimçisi və Offesive Security-nin yaradıcısıdır.
10 illik peşəkər nüfuzetmə testeri və təhlükəsizlik sahəsində
kritik boşluqları aşkarlamışdır:
Devon Kearns
(dookie) Offensive Security təlimatçısı, Kali
Linux proqramçısı, Exploit bazası inzibatçısı, Metasploit (test
hücumu üçün istifadə edilən alət) proyektinin ortaq
yaradıcısıdır.
Raphaël Hertzog
(buxy) təcrübəli Debian proqramçısı və
məsləhətçi, çox tanınan “Debian Administrator’s Handbook”
kitabının müəllifidir.
Kali Linux əməliyyat sistemində verilənlər bazasının
qiymətləndirilməsi, informasiyanın toplanması, exploit alətləri,
skanerlər, şifrələrə hücum, stres test, snifinq, simsiz şəbəkələrə
hücumlar, texnikanın hakinqi, backtrack xidmətləri və “reverse
engineering” kateqoriyalar üzrə yoxlamalar aparmaq
mümkündür [15].
VI.
NÜFUZETMƏ TESTLƏRİNİN METODOLOGİYASI
Kompüter şəbəkələrinin təhlükəsizliyini qiymətləndirmək
üçün müxtəlif üsullar mövcuddur. Bunlar kompüter
şəbəkələrinin
təhlükəsizliyinin
auditi,
boşluqlarıının
qiymətləndirilməsi və nüfuzetmə testləridir. Onlar arasındakı
fərqlər aşağıdakı kimi göstərmək olar:
Təhlükəsizliyin auditi
– təşkilatda qəbul edilmiş standart,
təhlükəsizlik siyasəti və proseduralarının yerinə yetirilməsinin
uyğunluğunu yoxlayır [16].
Boşluqların qiymətləndirilməsi -
əsas hədəfi informasiya
sistemlərində boşluqların tapılmasına istiqamətlənmişdir lakin
boşluqlardan istifadə zamanı dəyə biləcək hər hansı zərərin
indeksi göstərilmir.
Nüfuzetmə testləri –
kompüter şəbəkələrinin təhlükəsizliyinin
qiymətləndirilməsinə metadoloji yanaşmadır, təhlükəsizliyin
auditini və boşluqarın qiymətləndirilməsini əhatə edərək
hakerin müvəffəqiyyətlə boşluqlardan istifadə edərək sistemə
vura biləcəyi zərəri nümayiş etdirir.
Nüfuzetmə
testləri
zamanı
aşağıdakı
test
metodologiyalarından istifadə edilir [17]:
OWASP
– The Open Web Application Security Project (Açıq
veb aplikasiya təhlükəsizlik layihəsi) açıq mənbə kodlu
layihədir və veb aplikasiyalarının təhlükəsizliyi üçün proqram
alətlərini inkişaf etdirir, proqram aplikasiyaları və məlumat
bazasına əsaslanan sənədlərlə köməklik göstərir.
OSSTMM
– Open Source Security Testing Methodology
Manual (Açıq mənbə kodlu təhlükəsizlik test metadologiyası) –
bu metadologiya yüksək səviyyəli təhlükəsizlik testləri aparır:
məlumatların idarə edilməsi, fırıldaqçılıq və sosial
mühəndisliyə nəzarət səviyyəsi, kompüter şəbəkələri, simsiz
qurğular, fiziki təhlükəsizliyə nəzarət və müxtəlif təhlükəsizlik
proseslərini əhatə edir.
ISSAF
–
Information
Systems
Security
Assessment,
Framework
–
İnformasiya sistemlərinin təhlükəsizliyinin
qiymətləndirilməsi mühiti
–
açıq mənbə kodlu lyihədir və əsas
hədəfi peşəkarlara köməklik göstərməkdir.
EX-Council LPT Methodology –
LPT metodologiyası
informasiya sistemlərinin təhlükəsizlik auditini aparan və
sənaye sistemlərində qəbul edilmiş əsas metadologiyadır.
VII.
VEB SAYTLARIN NÜFUZETMƏ TESTİ
İstifadə edəcəyimiz əməliyyat sistemi Kali linux, alətlət isə
NMAP, NİKTO və WebSploit olacaq. İlk olaraq domenin
hansı İP ünvana bağlı olduğunu aydınlaşdıraq. Bunun üçün
domenə ping əmri verməyimiz kifayət edir.(Şək.1)
Şəkil 1. İP ünvanın müəyyənləşdirilməsi
Şəkil1 – dən də göründüyü kimi domeyn.com saytının İP
ünvanı müəyyənləşdirildi. Bu İP ünvanına brauzer üzərindən
giriş etsək əsasən aşağıdakı kimi səhifə açılacaq.(Şək.2)
Şəkil 2. “LAMP stack” Veb platforması
Şəkil 2 – dən göründüyü kimi açıq mənbə kodlu “LAMP
stack” veb platforması istifadə edilir. Bu Linux, Apache,
MySQL, and PHP/Python/Perl dəstəkləyir. Göstərilmiş
platforma SSL sertifikatı dəstəkləsədə bu ünvanda SSL
quraşdırılmayıb. SSL kompüter şəbəkələri üzərindən
|