1 Şubat 2016 Pazartesi

Offensive Security OSCP Sertifika Sonrası

Offensive Security Certified Professional

Şu ana kadar sertifika konusunda düşündüğüm, insanların beceri ve yeteneklerinin tamamen sertifika ile ölçülmemesi gerektiği idi ve halende aynı şekilde düşünüyorum.
Çünkü özellikle güvenlik ve bilişim sektöründe birçok sertifikaya insanların bir kısmı "parası olan alıyor" şeklinde baktığından dolayı açıkcası çoğu alınan sertifikanın kişilerin yeterliliğini ölçtüğü konusunda şüphelerin olduğu bir gerçek. Peki ne oldu da bugün insanların azımsanamayacak bir çoğu bu şekilde düşünmeye başladı.
Belki sertifika alan kişilerin birçoğunun pratikte yeterli başarı elde edememesi ve ancak teoride kalması. Belki de alınan bazı sertifikaların sınavlarının güvensiz kurumlar tarafından bunlara ait sınav yerlerinde yapılması bir etken olabilir. Tabi ki bunların sebeplerini bu şekilde düşünen insanlara sormak gerekiyor fakat burada sizlere kendimin girdiği penetration test (pentest - sızma testi) ile ilgilenen birçok kişinin bildiği Kali 'nin yapımcısı Offensive Security 'nin bir sınavından bahsedeceğim. Girdiğim ve ilkinde başaramadığım fakat 2.girişimde anca kazanabildiğim OSCP sertifika sınavı ile ilgili bazı gözlemlerimi paylaşacağım. Evet sınava ilk kez Aralık 2015 'te girdim. Öncesinde almak istediğiniz eğitimin, 1 aylık mı 2 aylık mı yoksa 3 aylık mı sürelerde olduğu ile ilgili seçim yapıyorsunuz. Bu sürelerde Kali üzerinde Pentest Tool ları öğreten video ve dökümanlar gönderiliyor ve sizlere pratik yapabileceğiniz Lab erişimi veriliyor. VPN bağlantısıyla bağlandığınız Lab üzerinde, güvenlik açıkları bulup değerlendirdiğiniz makineleri hackliyor, hem eğleniyor hem de Kali 'nin inceliklerini öğreniyorsunuz diyebilirim. Açıkcası gönderilen dökümanlar sınava oranla biraz aşağıda kalıyor çünkü gönderilen dökümanlar temel seviyede konuları anlatsa da sınavda istedikleri baya üstlerde bir performans olarak karşımıza çıkıyor. Ben tabi bu sertifikaya genelde bazı yaptığımız pentest projelerinde istenildiği için alma zorunluluğunu kendimde hissettim ve açıkcası merakta ettiğim bir eğitim ve sınavdı diyebilirim. Bu yüzden kısa zamanda almam gereken bir sertifika olarak gördüğüm için biraz aceleci davrandım ve eğitimimin daha 15.gününde sınava başvuru yaptım. Daha eğitimimin 1 ayı bile dolmadan sınav isteğim Offensive Security tarafından yanlış anlaşılmış olacak ki bana tahmin edemeyeceğim zorlukta bir sınav hazırlamışlar =))) Siz siz olun bu sınava girmek için aceleci davranmayın. 2. girişim ocak sonunda oldu ve bu sefer sınavda tüm makinelerin hepsine en üst seviyede erişim sağladım fakat burada belirtmem gereken en önemli şey şu:
Bu sınava girmeden öncesinde hazırlanırken daha önceden sınav ve Buffer Overflow tecrübesi cidden iyi olan Murat ŞEKER ve web güvenlik açıklarında bilgisine güvendiğim nadir insanlardan olan Yasir TAŞDEMİR ile birlikte oturup bilgi güvenliğindeki ince konulara çalışmasam eminim ki sınavı bu denli iyi tamamlayamaz ve belki de 3. girişimde anca geçerdim demekten de kendimi alıkoyamıyorum. Çünkü sınav gerçekten günden güne zorlaşıyor ve daha önceden bu sınavdan başarılı olmuş kişilere danıştığımda onların kazandığı sınavdaki soruların içeriğine baktığımızda benim girdiğim 2. sınavın yanında onlarınkinin daha kolay olduğunu sözlerinden anlayabiliyorum. Nitekim 2. girdiğim sınavda ilkine göre daha zordu. Sanırım sertifikasyon süreci yıllara göre versiyon yeniliyor ve daha da zorlaşıyor. Sınavda sizlere 6 sunucu veriyorlar ve 5 tanesini hacklemenizi istiyorlar. Hacklememiz istenmeyen kalan 1 sunucu ise verdikleri POC üzerindeki Buffer Overflow açığını exploitlememiz için bize sunulan windows çalışma sunucumuz. Bu sunucunun aynı özelliğindeki diğer makinelerden birine buradaki açık sayesinde exploitleyerek erişiyor ve istenilen en yetkili seviyeye ulaşıyoruz.
Diğer sunucularda da açıkcası Buffer overflow yok değil, onlarda da verilen makinenin çeşitli basit orta ve yüksek derecede güvenlik açıkları oluyor fakat en yüksek seviyeli kullanıcıya erişmek için buffer overflow sizin kardeşiniz oluyor. Açıkcası web güvenlik açıklarından fazla konu yok, olanlar da kolay bir şekilde değerlendirilebilen türlerden değil. Kolay olarak verilen zafiyetlerde sizin makineye tam erişmenize asla yetmiyor. Piyasada açıklanan exploitlerinin bozuk olduğu güvenlik açıklarını değerlendirmenizi istiyorlar, yani gerek exploiti kendiniz yazın gerekse de var olan exploitleri düzenleyerek giriş yapmanız sınavın amaçları arasında. Sınavı geçmeniz için verilen 24 saatte emin olun uykusuzluk başınızı ağrıtıyor ve size tavsiyem belirli bir çalışma yapıp dinlendikten sonra tekrar bakmanız. Çünkü bazen gözden kaçırdığınız şeyleri dinlendikten sonra görebiliyorsunuz.
Panik yaptıkça hata yapma oranınız artıyor. 24 saatinizin tamamının bitmediğini bilin ve ona göre soğukkanlı olmalısınız. Buffer Overflow POC üzerinde çalışmaya ayıracağınız zaman kısıtlı olsun, yapamadığınızda diğer yüksek puanlı sunuculara bakın ve hacklediğiniz sunuculardan moral aldıktan sonra tekrar zor olanlardan devam edin. Hedefinizdeki sunucuda versiyon bilgisi aynı olsa da piyasadaki exploitler ile değerlendirilmeyen güvenlik açıkları olabilir, bunlar için yayınlanan exploitlerdeki port bilgileri ve kod yapısına bakın. Eksik gördüğünüz değiştirebildikleriniz şeyleri değiştirin ve tekrar deneyin. Örneğin hedef sistem üzerinde güvenlik açığı bulunan servis exploit üzerinde farklı bir port için düzenlenmiş olabilir. SSL servisi uyumsuzluğundan dolayı exploit değerlendirilmiyor olabilir. Açıkcası yeterli olan 70 puanı aldıktan sonra fantazi aramak size kalmış bir şey =]
Sunuculara sadece standart olarak erişmek yetmiyor, en yetkili kullanıcı (Root veya Admin) olup proof dosyalarını toplamanız lazım. Son olarak tavsiyem, eğer yeterli 70 puanı alamadığınızı düşünüyorsanız, bulduğunuz düşük dereceli dahi olsa tüm güvenlik açıklarını raporlayın, bunlardan puan alarak yine de geçme şansınızın bulunduğunu ümit etmek hiçbir şey yapamamaktan daha iyidir.
Ben ilk sınavda bu şekilde raporlama yaptım fakat cidden verilen makineler çok zordu ve ancak 1 tanesini geçebilmiştim bu yüzden size söylediğim kadar ümit beslemesem de her güvenlik açığını raporlamanın da puan toplama konusunda faydalı olduğuna inanıyorum.
Şimdi bu sınavı görüp merakımı giderdikten sonra OSCE 'deki merakımı da giderir miyim onu zaman gösterecek...
Sertifika hakkında detaylı bilgiye Offensive Security 'nin sitesinden ulaşabilrsiniz:
https://www.offensive-security.com/information-security-certifications/oscp-offensive-security-certified-professional/

Alexa Değeri