Bir banka “sızma testi” hikayesi

Rusya’da IT departmanından sorumlu kişi yöneticilere sürekli sızma testi yaptırmanın gerekliliğinden söz ediyor fakat yönetimi bir türlü ikna edemiyordu.

10 Mayıs’ta, bir blog’ta   özel bir Banka’nın sızma testi hakkında ilginç bir makale ortaya çıktı. Yazar, takma adı  “090h” olan bir pentesterdi . Makale hızla popülerlik kazandı ve akşam saatlerinde güvenlik ile ilgili yazıların olduğu blogta günün en popüler makalesi oldu.

Makale, bankanın denetiminin nasıl gerçekleştirildiğini ve yerel ağ içinde bulunan ve bankanın dahili bilgi sistemlerine saldırmak için potansiyel bir fırsat açan bir web sunucusu üzerinde kontrol sahibi olmasını sağlayan bir dizi güvenlik açığı tespit edildiği ile ilgiliydi.

Bankanın güvenlik servisi bu makaleyi yayın günü öğrendi ve bir iç soruşturma başlattı. Anlaşıldığı üzere, ne IT departmanı başkanı ne de güvenlik hizmeti, sızma / penetrasyon testi hakkında önceden uyarılmamıştı ve daha da fazlası, banka yönetimi sızma testinin yapılması hakkında bir makale yayınlama izni vermek istemiyordu.

Olayın geçmişine baktığımızda ise 5 Mayıs’ta gece  1’de, bankanın senaryolarından birinde sızma testi uzmanı klasik bir açık buldu. Tweet’in içeriğinde, hackleme + ekran görüntüsü yayınlanma olasılığını gösteren bir bağlantı da içeriyordu.

https: //www……../index.php? linksdop = .. / .. / .. / .. / .. / .. / .. / .. / .. / .. / etc / passwd

Açık, demo ve güvenlik açıklarına bağlantılar hakkındaki bilgilerin,  penetrasyon testi cihazı bankayı açık hakkında bilgilendirmeden önce bile yayınlandığını belirtmek gerekiyor. Yani 5 Mayıs’ta gece saat 2’de, pentester bankaya durumu açıklayan iyi niyetli bir mektup göndermiş ve site denetim hizmetlerini uyarmıştır.

Rusya’da 5 Mayıs’ın tatil günlerinden önceki son iş günü Cumartesi olduğundan aynı zamanda bankanın BT departmanının başkanının tatilde çıktığından ve de, pentester tarafından gönderilen mektup spam filtresine takılmasından olay büyümüştür. Dolayısıyla 6, 7, 8 ve 9 Mayıs günleri banka kapalıdır.10 Mayıs sabahı ise güvenlik blogunda ilgili makale yayınlanmıştır.

Banka Güvenlik Konseyi, pentester‘in bulduğu açıkları ve e-posta hakkında bilgi sahibi değildi, ancak hızlı bir şekilde gizli bilgilerin yayınlanması üzerine aynı gün bankada dahili bir soruşturma başlatıldı.

Tabii ki, bankanın sistem yöneticilerinden derhal bir çalışan bulundu kontrolü organize etmekten sorumlu. 10 Mayıs’ta IT güvenlik yöneticisi işe gelmedi. Bu nedenle, güvenlik servisi onunla bir görüşme yaptı ve açıklayıcı bir not yazmasını istedi. Pentester’in tüm eylemlerini yönlendiren aslında IT departmanından güvenlikten sorumlu bu kişiydi.

Bankaya ve bilgi sistemlerine bir zarar verilmemişti. Güvenlik Konseyi görevlisine göre, hiç kimse bu adamı kovmayacaktı ancak, sadece eylemlerinin sonuçlarını açıklaması gerekiyordu.

Durum bilginiz dahilinde olmadan doktorunuzun meslektaşı bir doktora testlerinizi görmesini istediği bir durum gibiydi. İkinci doktor size yardımcı olmaya çalışacak, ancak izniniz olmadan fotoğrafınızla siz ve hastalığınız hakkında bir basın makalesi yayınlasa olanlara tepkiniz ne olacaktı? 

Bu durum tam olarak bankanın bakış açısından böyle görünüyordu. Oysaki bir sızma testi işlemi yürütürken, güvence sözleşmesi yapmak, buna uymak ve sorumlu kişilerin bilgisiyle (tercihen yazılı rızayla) kesinlikle materyal yayınlamanızı ve yayınlanan materyallerin kişiselleştirilmemesi gereklidir. Aksi takdirde, denetimi hem yasal hem de ahlaki bir bakış açısıyla hacklemekten ayırmak zor olacaktır.

Kendi tecrübelerimize göre, bankanın pentester ve yöneticiye çok nazik davrandığını söyleyebiliriz. Sonuçta, Güvenlik Konseyi madde altındaki yöneticiyi görevden alabilir ve savcıya pentester için başvuruda bulunabilirdi. Kısacası Yönetimin dikkati bilgi güvenliği sorununa çekilmek istenmişti. Bu , böyle önemli kişisel bilgiler tutan işletmelerin neden sızma testi yaptırması gerektiğine açık örnektir.