IoT Cihazlarına Sızma Testi Nasıl Yapılır
Nesnelerin İnterneti (IoT) ekosistemi, milyarlarca bağlı cihazın yarattığı heterojen yapı nedeniyle siber korsanlar için devasa bir oyun alanıdır. IoT Cihazlarına Sızma Testi, cihazın fiziksel donanımından (UART/JTAG portları), üzerinde çalışan gömülü yazılıma (Firmware), kablosuz haberleşme protokollerine (BLE, Zigbee, Wi-Fi) ve bağlı olduğu bulut/mobil uygulama katmanlarına kadar uzanan 360 derecelik bir güvenlik değerlendirmesidir.
IoT pentest sürecinde, geleneksel BT testlerinden farklı olarak Donanım Analizi hayati önem taşır. Saldırganlar cihazı fiziksel olarak ele geçirip bellek yongalarını okuyabilir veya firmware imajını çıkararak içindeki “hardcoded” şifreleri ve gizli anahtarları sızdırabilir. Ayrıca, kısıtlı kaynaklar (CPU/RAM) nedeniyle zayıflatılmış şifreleme algoritmaları ve otomatik güncelleme mekanizmalarının eksikliği, bu cihazları kalıcı birer zafiyet noktası haline getirebilir.
ETSI EN 303 645 ve NIS2 gibi güncel standartlar nezdinde, IoT üreticilerinin “Privacy by Design” (Tasarımdan İtibaren Gizlilik) ilkesine uyması ve cihazlarını düzenli sızma testlerinden geçirmesi yasal bir zorunluluk haline gelmektedir. Başarılı bir IoT savunma stratejisi; güvenli önyükleme (Secure Boot), şifreli haberleşme (TLS 1.2+), varsayılan parolaların yasaklanması ve cihaz davranışlarının anomali tespiti için sürekli izlenmesi temelleri üzerine inşa edilmelidir.
E-Ticaret Siteleri İçin Güvenlik Testi Rehberi
E-ticaret platformları, finansal işlem hacmi ve barındırdıkları kişisel veriler nedeniyle siber korsanlar için birincil hedeftir. Kapsamlı bir E-Ticaret Güvenlik Testi, platformu sadece dışarıdan taramakla kalmaz; Ödeme Ağ Geçitleri, Sipariş ve İade Mantığı, Lojistik Entegrasyonları ve Mobil Uygulamalar gibi tüm kritik bileşenleri denetler. Bu süreçte PCI DSS standartlarına uygun tokenizasyon kontrolleri ve KVKK uyumlu veri gizliliği testleri en yüksek önceliğe sahiptir.
E-ticaret sitelerinde en sık rastlanan ve en tehlikeli zafiyetlerden olan IDOR (Insecure Direct Object Reference) ile bir müşterinin başka bir müşterinin sipariş detaylarını görmesi veya sepet fiyatını manipüle etmesi gibi senaryolar, manuel uzmanlık gerektiren testlerle saptanır. Ayrıca, üçüncü taraf (Third-party) eklentiler ve kargo/banka API’leri üzerinden gelebilecek tedarik zinciri saldırılarına karşı bu entegrasyon noktalarının “Zero Trust” (Sıfır Güven) prensibiyle test edilmesi hayati önem taşır.
Bankalar İçin Zorunlu Pentest Süreçleri
Bankacılık sektörü, işlediği verinin ve paranın niteliği gereği dünyadaki en karmaşık siber güvenlik regülasyonlarına tabidir. Türkiye’de BDDK ve TCMB tarafından yayınlanan yönetmelikler, bankaların bilgi sistemlerini yılda en az bir kez bağımsız ve akredite kuruluşlara test ettirmesini zorunlu kılar. Bu zorunlu süreçler; internet bankacılığını hedef alan Dış Ağ, banka içi sızmaları simüle eden İç Ağ, mobil şubeleri kapsayan Uygulama/API ve fiziksel güvenliği test eden ATM/POS katmanlarından oluşur.
Bankalar için sızma testi (pentest), sadece bir “uyumluluk kutusu” işaretlemek değil; SWIFT ağından kartlı ödeme sistemlerine (PCI DSS) kadar her noktada siber direnci ölçmektir. Regülatörler, özellikle “Yetki Aşımı”, “İşlem Manipülasyonu” ve “Veri Sızıntısı” gibi bankacılığa özgü risk senaryolarının test edilmesini bekler. Tespit edilen bulguların CVSS skorlarına göre önceliklendirilmesi ve bağımsız bir Retest (Doğrulama Testi) ile kapatıldığının belgelenmesi, denetimlerdeki en kritik başarı kriteridir.
Hukuki açıdan, bu testlerin düzenli yürütülmesi bir ihlal durumunda bankanın “makul özeni” gösterdiğinin ve yasal yükümlülüklerini yerine getirdiğinin en somut kanıtıdır. ISO 27001 ve NIST gibi küresel standartlarla desteklenen bankacılık pentest süreçleri, finansal istikrarı koruyan, müşteri güvenini pekiştiren ve bankayı dijital dünyadaki gerçek tehditlere karşı proaktif bir şekilde hazırlayan stratejik bir sigortadır.
ISO 27001 İçin Sızma Testi Gereksinimleri
SO/IEC 27001 standardı, bilgi güvenliğini bir yönetim süreci olarak ele alırken, teknik kontrollerin etkinliğinin düzenli olarak doğrulanmasını şart koşar. Özellikle ISO 27001:2022 revizyonu ile güncellenen Annex A.8.8 (Teknik Zafiyetlerin Yönetimi), kurumların sistemlerindeki zafiyetleri tespit etmesini ve bunlara karşı önlem almasını bekler. Sızma testi, bu gereksinimi karşılayan, teorik güvenlik politikalarının gerçek dünya saldırı senaryoları karşısındaki başarısını ölçen en güçlü kanıttır.
ISO 27001 denetimlerinde kabul görecek bir sızma testi; Ağ/Altyapı, Uygulama, Sosyal Mühendislik ve Fiziksel Güvenlik katmanlarını kapsamalıdır. Standart, testlerin sadece “yılda bir kez” değil, sistemde önemli bir değişiklik (mimari değişim, yeni uygulama vb.) yapıldığında da tekrarlanmasını öngörür. Test sonuçları, kurumun Risk Tedavi Planı’na (Risk Treatment Plan) girdi sağlamalı ve tespit edilen her teknik bulgu için düzeltici bir faaliyet başlatılmalıdır.
Denetçiler için bir sızma testi raporu, kurumun sadece kapıları kilitlediğinin değil, o kilitlerin siber korsanlar tarafından zorlandığında açılıp açılmadığını bizzat kontrol ettiğinin bir göstergesidir. ISO 27001 uyumlu bir sızma testi süreci, kurumu sadece sertifika denetimlerinden başarıyla geçirmekle kalmaz, aynı zamanda bilgi varlıklarını sürekli gelişen tehditlere karşı proaktif bir şekilde koruyan “öğrenen bir savunma mimarisi” inşa eder.
KVKK Denetimi Öncesi Pentest Checklist
6698 sayılı KVKK kapsamında veri sorumluları, işledikleri kişisel verilerin güvenliğini sağlamak için “yeterli teknik tedbirleri” almakla yükümlüdür. Bir KVKK denetimi öncesinde gerçekleştirilen Sızma Testi (Pentest), bu tedbirlerin kağıt üzerinde kalıp kalmadığını belirleyen en nesnel kanıttır. Etkili bir KVKK Pentest Checklist’i; Ağ İzolasyonu, Uygulama Güvenliği (OWASP), Erişim Yönetimi (MFA/RBAC), Veri Maskeleme/Şifreleme ve Log Bütünlüğü gibi kritik katmanları kapsamalıdır.
Süreç sadece teknik açıkların bulunmasıyla sınırlı değildir; her bulgunun KVKK’nın veri koruma ilkeleriyle ilişkilendirilmesi ve riskin “kişisel veri ihlali potansiyeli” üzerinden puanlanması gerekir. Denetçiler, özellikle “stajyer veya yetkisiz bir kullanıcı hassas verilere ulaşabiliyor mu?” (Privilege Escalation) veya “veriler yurt dışına kontrolsüz çıkıyor mu?” gibi senaryoların test edilip edilmediğine bakar. Test sonrası yapılan Retest (Doğrulama Testi) ise kurumun “makul özen” gösterdiğinin ve tespit edilen riskleri kapattığının resmi belgesidir.
Denetim öncesi bu hazırlık, kurumu sadece milyonluk idari para cezalarından korumakla kalmaz, aynı zamanda siber güvenlik duruşunu “uyumluluk odaklı” bir yapıdan “güvenlik odaklı” bir kültüre dönüştürür. Unutulmamalıdır ki; denetlenmeyen güvenlik, sadece bir varsayımdan ibarettir.
PCI DSS Sızma Testi Nasıl Yapılır (Gerçek Senaryo)
Finansal sektörde kart verilerini işleyen kurumlar için PCI DSS Sızma Testi, altyapının gerçek dünya saldırılarına karşı direncini ölçen en kritik denetim mekanizmasıdır. PCI DSS v4.0 gereklilikleri uyarınca; sadece dış ağdan değil, aynı zamanda iç ağdan da yılda en az bir kez veya sistemde önemli bir değişiklik yapıldığında bu testlerin tekrarlanması zorunludur. Süreç; kart veri ortamının (CDE) sınırlarını belirleyen Dış Ağ, yanal hareketleri sınırlayan İç Ağ ve SQL Injection gibi zafiyetleri avlayan Uygulama Katmanı testlerinden oluşur.
Kerberoasting ve AS-REP Roasting: Active Directory Ortamlarında Parola Saldırıları
Kurumsal ağların kalbi olan Active Directory ortamlarında kimlik doğrulama süreçleri Kerberos protokolü üzerine inşa edilmiştir. Ancak bu güvenli protokol, zayıf parola politikaları ve hatalı yapılandırmalarla birleştiğinde Kerberoasting ve AS-REP Roasting gibi sinsi saldırı vektörlerine zemin hazırlar.
Kerberoasting, bir ağda geçerli bir kullanıcı hesabı olan saldırganın, servis hesaplarına (SPN) ait biletleri (TGS) talep edip bu biletleri kendi sistemine indirerek şifrelenmiş hash değerlerini çevrimdışı kırma işlemidir. Servis hesapları genellikle yüksek yetkilere sahip olduğundan, bu saldırı başarılı olursa saldırgan tüm domain yapısını ele geçirebilir.
AS-REP Roasting ise “Pre-Authentication” (Ön Doğrulama) özelliği devre dışı bırakılmış kullanıcı hesaplarını hedef alır. Bu zafiyette saldırgan, parola bilmesine gerek kalmadan sunucudan şifreli bir yanıt (AS-REP) alır ve bu yanıtı yine kendi bilgisayarında kırmaya çalışır.
Bu saldırılara karşı en güçlü savunma; servis hesapları için Grup Yönetimli Servis Hesapları (gMSA) kullanmak, parolaları minimum 25-30 karakterden oluşturmak ve Active Directory envanterinde pre-authentication özelliği kapalı kullanıcıları düzenli olarak denetlemektir. Kerberos güvenliği, sadece protokolün kendisiyle değil, o protokolü taşıyan hesapların “parola kalitesi” ile ölçülür.
Kurumsal Wi-Fi (802.1X) Sızma Testleri
Kurumsal Wi-Fi ağları, güvenliği tek bir ortak paroladan kurtarıp merkezi kimlik doğrulama sistemlerine (AD/IdP) bağlayan 802.1X standardı üzerine inşa edilir. Ancak bu yapının güvenliği, seçilen EAP (Extensible Authentication Protocol) yöntemlerinin ve sertifika doğrulama politikalarının ne kadar sıkı uygulandığına bağlıdır.
Sızma testleri; istemcilerin sahte erişim noktalarına karşı sunucu sertifikasını doğrulayıp doğrulamadığını, zayıf tünelli yöntemlerin (PEAP gibi) kimlik bilgisi sızıntısına yol açıp açmadığını ve başarılı bağlantı sonrası yapılan VLAN/ACL atamalarının ağ içi segmentasyonu gerçekten sağlayıp sağlamadığını denetler.
Kurumsal bir Wi-Fi sızma testi; sadece kablosuz sinyalleri değil, arka plandaki RADIUS konfigürasyonlarını, sertifika yaşam döngüsünü ve misafir/BYOD ağlarının ana ağdan ne kadar izole olduğunu da kapsar. 802.1X güvenliği; “güven ama doğrula” prensibini donanım, yazılım ve sertifika katmanlarında tutarlı bir şekilde uygulayan kurumlarda en yüksek seviyeye ulaşır.