29 Temmuz 2015

BTRisk Web Uygulama Güvenliği Denetimi Eğitimi Sunumu

Web Uygulama Güvenliği Denetimi Eğitim sunumumuz yayınlandı.
Uygulama güvenliği denetim eğitimlerimizi "BTRMOBILE" eğitim uygulamamız üzerinde gerçek hayat örnekleri ile veriyoruz.


Eğitim takvimi için tıklayınız.

Web uygulama denetimi eğitimlerimiz, mobil uygulama güvenliği denetimi eğitimlerimiz ve diğer güvenlik eğitimlerimiz için duyurularımızı takip ediniz.

28 Temmuz 2015

BTRWATCH ile ISO27001 Bilgi Güvenliği Risk Analizi Nasıl Yapılır? (Bölüm - 1)

ISO 27001 uyumlu risk analizi yazılımı


BTRWATCH ISO27001:2013 Bilgi Güvenliği Yönetim Sistemi uyumlu sofistike bir bilgi güvenliği yönetim sistemi yazılımıdır.

İçerdiği hazır veri setleri ve içinde barındırdığı defalarca başarı ile uygulanmış metodolojisi ile hızlı ve doğru bir biçimde risklerinizi yönetmeniz için adeta bir danışman gibi sizi destekler. İçerdiği risk analiz modülü sizi doğru yöne ilerlemek için desteklerken dağınık biçimde yürütülen düzeltici faaliyet ve olay yönetim süreçlerini de organize etmenize ve kurumsal hafızayı korumanıza yardımcı olur.

Bu makale dizisinde BTRWATCH'un kullanımına ilişkin bilgiler verilecektir. Bu makalede ise risk analizi döneminin nasıl oluşturulacağı ve kullanıcılara kontrollerin nasıl atanacağına ilişkin bilgiler yer alacaktır.

BTRWATCH platformunda bilgi güvenliği yönetim ekibi rolüne sahip kullanıcılar sisteme giriş yaparak kullanıcılara kontrol sorularını atarlar. Bu kullanıcılar sisteme giriş yapar ve bu kontrol sorularını cevaplayarak ve devam eden adımları uygulayarak risk analizini gerçekleştirir ardından bilgi güvenliği yönetim ekibinin onayına sunar.

26 Temmuz 2015

Zamane Yazılımı İle Zaman Damgası Kullanımı


Loglarınızı geçerli bir otorite olan zamane ile damgalamak için aşağıdaki adımlar izlenebilir. 

Öncelikle kamusm üzerinden test için kullanıcı adı ve parola talep etmeniz gerekiyor.

İlgili dosyanın indirilmesi


İndirilen dosya zipli olduğu için öncelikle zipten çıkartıyoruz

unzip tss-client-console-2.0.5.zip

Çıkan java dosyasının herhangi bir kuruluma ihtiyacı olmayacaktır, java komutlarıyla çalıştırmanız  yeterli.

18 Temmuz 2015

Pentest (Sızma Testi) Zorunlulukları ve Pentest (Sızma Testi) Firmaları

Pentest (Sızma Testi)
Pentest (sızma testi) ihtiyaçları sürekli artıyor. Bu artışın en güçlü sebeplerinden birisi bilgi güvenliğinin önemli olduğu sektörlerdeki düzenlemeler. Bu nedenle pentest (sızma testi) zorunlulukları sürekli artıyor. Bir diğer sebep de her hafta yeni bir güvenlik ihlalinin gerçekleşiyor olması. Bilgi teknolojileri kullanımı yoğun olan şirketler sızma testi faaliyetini artık zorunlu bir ihtiyaç olarak görmeye başladı. Buna bağlı olarak pentest (sızma testi) firmaları da artıyor.

Aşağıda bugün itibarıyla sızma testi zorunluluğu getiren veya dolaylı olarak bu ihtiyacı doğuran düzenleme ve standartları bulabilirsiniz:

Ödeme Kuruluşları ve Elektronik Para Kuruluşları’na yönelik düzenleme
Ödeme Kuruluşları ve Elektronik Para Kuruluşlarının Bilgi Sistemlerinin Yönetimine ve Denetimine İlişkin Tebliğ’in “Bilgi güvenliği yönetim süreci” bölümü 5.4.d numaralı maddesinde aşağıdaki ifade yer almaktadır:

17 Temmuz 2015

IODINE ile DNS Tünelleme (DNS Tunnelling)

Bir protokol içerisinde başka bir protokole ait veri taşıma işlemine protokol tünelleme denir.
DNS paketleri içersinden herhangi bir tcp/udp paketini (örneğin, http,ftp, ssh vb.) taşıma işlemi de DNS Tünnelleme olarak isimlendirilir.

DNS tünel araçları, DNS sorgu bölümündeki veriyi encode ederek ISP'nin (daha doğrusu tünel sunucusunun sahibinin) DNS sunucusuna iletir. Sunucu üzerindeki DNS portunda tünelleme sunucusu çalışır. Aracın sunucu tarafı da, gelen isteği decode eder ve ilgili isteğe yanıtı istemciye geri gönderir.

16 Temmuz 2015

Web Uygulamaları Güvenlik Denetimi Eğitimi

Web Uygulamaları Güvenlik Denetimi Eğitimi
Web uygulamaları dağıtım kolaylığı nedeniyle masaüstü uygulamalara üstünlük sağlamış ve geniş uygulama alanı bulmuştur. Bunun yanı sıra internete açık olan uygulamaların önemli bir kısmı da web uygulaması şeklindedir. Web uygulaması olmayan masaüstü uygulamalar ve mobil uygulamalar dahi web uygulama mimarisinin önemli bir kısmı olan HTTP protokolünü kullanmaktadır.
Bunların yanı sıra web uygulamaları çok katmanlı mimariye sahip olup, bu durum nispeten web uygulama altyapılarının sıradan masaüstü uygulamalara nazaran karmaşık olmalarına neden olmaktadır.Tüm bu nedenlerden dolayı web uygulamaları saldırganların gözde hedeflerinden birisidir.

Web uygulama denetimi eğitiminde katılımcılara web uygulamalarında ortaya çıkabilecek açıklıkların neler olduğu, bu açıklıkları nasıl tespit edebilecekleri ve açıklıkların ortadan kaldırılma yöntemleri aktarılmaktadır.
Web uygulama denetimi eğitimi, mobil uygulama denetimi yapacak katılımcılara da gerekli temel web teknolojileri bilgilerini aktarmayı hedeflemektedir.






07 Temmuz 2015

BTRMon Hotspot Çözümü

BTRMon Nedir?

BTRMon Hotspot Çözümü



BTRMon Hotspot çözümü BTRisk firması tarafından geliştirilmiş yazılım ve sunucu gereksimini ortadan kaldıran bir hotspot çözümüdür. Çözümümüz %100 yerli sermaye ürünü olup tüm test ve geliştirme süreçleri uzman kadromuz tarafından yapılmıştır.

05 Temmuz 2015

Mimikatz ile Golden Ticket Üretimi

Mimikatz ile Golden Ticket Üretimi
Mimikatz C dili ile yazılmış, hackerin Windows(x32/x64)  sistemlerde oturum bilgisi toplama aracıdır. Mimikatz aracı ile bilgisayarda;

  • Kullanıcılara ayrıcalık izni verilebilir, ayrıcalıklar kaldırılabilir, ayrıcalıklar engellenebilir.
  • Bazı Group politika ayarları atlatılabilir.
  • Güvenlik ve loglama servisleri engellenebilir.
  • DLL eklenebilir.
  • Windows parolası (Hash değeri) elde edilebilir.