Internet üzerinden testlere başlarken yaptığım ilk kontrollerden biri o şirketin hangi IT hizmeti sunan firmadan destek aldığını tespit etmek oluyor. Google gibi bir arama motoru olunca bunu yapmakta hiç zor olmuyor.(googling) Hizmet sunanlar genellikle sattıkları sistemleri (router, switch, firewall vb) bir an önce devreye almak için güvenlik konularını ikinci plana atabiliyorlar. Bu durumla özellikle erişim şifrelerinde karşılaşılıyor. Test yaptığınız şirket tarafından kullanılan sistemin parolasını bir güvenlik açığı sebebi ile ele geçirdikten sonra, o şirketin destek aldığı IT firmasının diğer müşterilerinde de aynı parolayı hiç denediniz mi?

Pek çok şirket özellikle IT güvenliği konusunda yatırım yapmayı gerekli görmeyenler, çoğu zaman sorun çıkmaması veya sistem hakkında yeterli bilgiye sahip olmadıkları için cihaz üzerindeki yapılandırmaya dokunmak istememektedirler. Yaptığımız testler pek çok şirketin router, firewall gibi internet erişiminde kritik noktalarda bulunan sistemlerin parolalarını hiç değiştirmediklerini göstermiştir. Tüm müşteri routerlarına aynı şifreyi veren servis sağlayıcılar ve bu şifreleri değiştirmeden kullanan müşteriler aynı IT firmasından destek alan diğer firmaları da güvenlik riski altında bırakmaz mı?

Bu durum güvenlik açığı bulunan sistemden elde edilen bilgiler ile tek sorunu kullandığı sistemin parolasını değiştirmemiş olan, uygulama bazında herhangi bir güvenlik açığı bulunmayan diğer sistemlerinde rahatlıkla saldırganlar tarafından ele geçirilmesine neden olacaktır. Örneğin Cisco routerlar üzerinde http servisinin açık bırakılmasının ne kadar çok soruna yol açtığı bu konuda çalışma yapmış her güvenlik uzmanı tarafından rahatlıkla söylenebilir. Http üzerinden yapılacak özel istekler ile cisco router?in yetkilendirme mekanizması rahatlıkla devre dışı bırakılıp cihaz konfigürasyonu elde edilebilir. Dolayısı ile sistem parolası gibi kritik bilgilere rahatlıkla ulaşılabilir. Elde edilen parola ile aynı IT firmasının diğer müşterilerinin routerlarına girme ihtimali nedir? Hemen söyleyeyim benim hesaplamalarım %30 diyor. (Bu hesabı nasıl mı yaptım, aynı IT firmasından hizmet alan ve referans listesinden seçtiğim 10 müşterinin 3 tanesinde, daha önceden tespit etmiş olduğum parola ile bağlanabildim)

Burada akla pek çok soru geliyor. En önemlisi suçlu kim gerekli güvenlik güncellemelerini yapmamış olup, IT servisi veren firma tarafından tanımlanmış şifrenin ele geçirilmesine neden olan mı, tüm müşterilerine aynı parolayı veren veya müşterilerini referans olarak gösteren IT servisi veren firma mı yoksa servis aldığı firma tarafından verilen parolayı değiştirmeden kullanan veya kendisinin referans olarak gösterilmesine izin veren firma mı? Her hangi erişim filtresine takılmadan bu sistemleri zahmetsizce ele geçiren saldırgan da suçlu olabilir. Diğer soru servis veren firma veya güvenlik açığı tespit edilen firma ortaya çıkabilecek bir zarar sebebi ile sorumlu tutulabilir mi? En favori soru ise bu tip saldırıları firewall veya IPS üzerinde nasıl engellerim? Son soru hariç cevap bulmak zor.

Diğer bir sorun iletişim bilgileri kullanılarak social engineering yöntemleri ile bu bilgilerin ele geçirilmesi olabilir. Özellikle sistem yönetimini dış kaynak aktarımı yaparak gerçekleştirilen firmalar risk altında olabilir. Sistem banner?larına eklenen sistemden sorumlu kişiye ait telefon, isim, adres gibi bilgiler rahatlıkla social engineering amacıyla kullanılabilir. Bu bilgiler referanslardan elde edilebileceği gibi, firmanın kendisi tarafından yayınlanacak iletişim bilgilerinden de elde edilebilir. Türk insanın ne kadar yardım sever olduğu şüphe götürmez olduğu içinde, iyilik zaaf olarak kullanılabilir.