Özgür Kuvvet karikatürleri ile Beyaz Şapka da

Ebat: px
Şu sayfadan göstermeyi başlat:

Download "Özgür Kuvvet karikatürleri ile Beyaz Şapka da"

Transkript

1 Özgür Kuvvet karikatürleri ile Beyaz Şapka da HEARTBLEED NEDİR, NE DEĞİLDİR? McAFEE ÜRÜN AİLESİ İÇERİSİNDE ÇOK BİLİNMEYEN, GENİŞ KASAMLI MALWARE ARAŞTIRMA ÇÖZÜMÜ DİSK VERİ DEOLAMA SİSTEMLERİ DAĞITIK YAILARDA GÜVENLİK DUVARI DENETİMİ 5651 SAYILI KANUN VE ŞİRKETLERİN YÜKÜMLÜLÜKLERİ BULUT ÜZERİNDEN UÇ NOKTA GÜVENLİĞİ HUKUKİ DÜZENLEMELER ÇERÇEVESİNDE KAYITLI ELEKTRONİK OSTA (KE) DNS SOOFING 1

2 2 2 beyaz şapka Şubat 2013

3 İçindekiler 04->> Heartbleed nedir, ne değildir? Serkan Akcan 06->> McAfee ürün ailesi içerisinde çok bilinmeyen, geniş kapsamlı malware araştırma çözümü Serkan Kırmızıgül 08->> Disk Veri Depolama Sistemleri (devam): Tarkan Çiçek 10->> Dağıtık Yapılarda Güvenlik Duvarı Denetimi Ozan Özkara 12 ->> 5651 Sayılı Kanun Ve Şirketlerin Yükümlülükleri Selen Uğur 14->> Atıl Gürcan 16->> Sibel Akbaş 18->> Bulut Üzerinden Uç Nokta Güvenliği Hukuki Düzenlemeler Çerçevesinde Kayıtlı Elektronik osta (KE) DNS Spoofing İrfan Kotman B eyaz Şapka nın Şubat sayısından bu yana oldukça yoğun bir program yürüttük. Biraz yorulduk ama bilgi güvenliği farkındalığını arttıran çalışmalarımızın meyvelerini görmek gücümüze güç kattı. 4 Mart 2014 te Çırağan Sarayı nda yapılan IDC IT Security Roadshow konferansına sponsor olarak katıldık. Aynı konferansın Ankara ayağı için 19 Mart 2014 te Ankara JW Marriott otelindeydik. Her iki konferansta da katılımcılara güncel bilgi güvenliği bilgilerini taşıdık. Ankara etkinliği bu yıl bizim için daha özeldi çünkü 3 Mart 2014 itibarı ile Ankara ofisimizi açtık. IDC IT Security Ankara konferansında da ofis açılışımızın küçük bir kutlamasını yaptık. İstanbul ofisimizin 9 yıldan uzun bir süredir yarattığı yüksek kaliteli hizmete Ankara da da büyük bir ihtiyaç olduğunu tekrar gördük. Önümüzdeki dönemde Ankara ofisimize verdiğimiz desteği büyüterek devam ettireceğiz. Ankara ya daha iyi ve kaliteli bir bilgi güvenliği anlayışı getirmek için yaptığımız çalışmalara tüm iş ortaklarımızdan, müşterilerimizden ve Beyaz Şapka abonelerimizden destek rica ediyoruz. 2-4 Nisan 2014 Tarihlerinde IDC CIO Summit 2014 Konferansı için Antalya Kaya Golf Resort Hotel deydik. Bu konferansta üst düzey yöneticilere ulaşıp bilgi güvenliğine ayırdıkları zamanı birkaç dakika bile olsa arttırmaya çalıştık. 17 Nisan 2014 Tarihinde ise İstanbul oint Hotel Barbaros da Entegre Bilgi Güvenliği adında bir seminer düzenledik. Yaklaşık 65 katılımcının hazır bulunduğu seminerde bilgi güvenliği olaylarına karşı nasıl otomatik aksiyon alınabildiğini önceden kullanım senaryoları şeklinde sunmaya çalıştık. Bu seminerimizden de oldukça iyi tepkiler aldık. Bu seminerimize Ankara dan katılan da misafirlerimiz de oldu. Kendilerine ve diğer katılımcılara tekrar teşekkür ederiz. Bu seminerlerimizin benzerlerini yılsonuna doğru Ankara da da yapmak üzere çalışmalar gerçekleştiriyoruz. Tüm seminerlerimizin davetiyelileri sizlere gönderilecektir. Bütün bu etkinliklerin yanı sıra sizlere daha iyi hizmetler üretmek ve mevcut hizmetlerimizin kalitesini arttırmak için de çalışmalarımızı devam ettiriyoruz. Bu sayıda okuyabileceğiniz Heartbleed atağı da bu çalışmalarımızı biraz daha hızlandırdı. Acil durumlarda müşterilerimizi daha hızlı ve doğru bilgilendirecek ve sadece destek sözleşmeli müşterilerimize hizmet verecek bir hizmet zinciri üzerine çalışıyoruz. Tüm testlerimiz bittiğinde ve hizmetin detayları netleştiğinde destek sözleşmeli müşterilerimiz bilgilendirilecekler. Son olarak Beyaz Şapka daki küçük bir yenilikten bahsetmek istiyoruz. Bu sayıdan itibaren Özgür Kuvvet karikatürleri ile Beyaz Şapka da yer alacak. Sizi bilgilendirirken bir miktar da gülümsetmek istiyoruz Her sayıda olduğu gibi tüm soru ve taleplerinizi bize iletmenizi, Facebook ve twitter hesaplarımızdan bizi takip etmenizi rica ediyoruz. ww.facebook.com/nebulabilisim Güvenli Günler! Beyaz Şapka Ekibi beyaz şapka Mayıs

4 Serkan AKCAN Akcan Heartbleed nedir, ne değildir? Heartbleed açığı dünyayı kasıp kavurdu. Detaylı inceleme fırsatı bulamadıysanız sadece beş dakikanızı bu yazıya ayırarak Heartbleed açığı hakkında yeterli ve doğru bilgi edinin. Heartbleed açığı Google ın güvenlik mühendisi Neel Mehta buldu ve OpenSSL e bildirdi. aralelinde Finli güvenlik yazılımı üreticisi Codenomicon şirketinin mühendisleri aynı açığı keşfetti ve açığın adını verdi. Codenomicon mühendisleri ayrıca www. heartbleed.com adlı bir web sitesinin yayınına başlayarak açıklık hakkında teknik detayları paylaşıma açtı ve açıklık için yarattıkları logo tüm dünyaya yayıldı. Genel bakış Heartbleed açığı sayesinde OpenSSL in zafiyet taşıyan bir sürümünü kullanan sistemden kullanıcı adları, şifreler, dokümanlar ve hatta private key leri sızdırmak son derece kolay. Açıklık son derece yaygın bir alanda görülüyor. Instant Messaging yazılımlarından VN sistemlerine, e-ticaret sitelerinden Software-as-a-service yazılımlarına kadar çok geniş bir alanda veri sızıntısı ihtimali var. Daha net söylememiz gerekirse Google, Dropbox, Lastpass, Eventbrite ve SoundCloud gibi yaygın kullanılan web siteleri açıktan etkilendi. Yani kullanıcı adınız ve şifreniz çalınmış olabilir. Yazıyı hazırladığım gün itibarı ile Facebook, Twitter ve Apple gibi şirketlere ait sistemlerin etkilenip etkilenmediği henüz bilinmiyor. Uzun lafın kısası şifrelerinizi değiştirin. Açıklıktan etkilemediğini bildiren üreticiler de her ne kadar etki görülmemiş olsa da tüm kullanıcılarına şifrelerini değiştirmelerinin daha güvenli olacağını bildiriyor. Buraya kadar Heartbleed in bireysel kullanıcılara etkisinden bahsettik. Medyada da daha ziyade bireysel kullanıcılara etkileri yer alıyor. Ama emin olun kurumsal etkileri çok daha büyük ve riskli! OpenSSL kullanan tüm müşteriler çok gizli verilerini kaybetme, açık ve geniş biçimde hack edilme riskiyle karşı karşıya. Birçok şirkettin OpenSSL kullanmadıkları için güvende olduk- Heartbleed açıklğı OpenSSL yazılımında bulunan basit ama çok büyük problemlere neden olabilecek bir açıklık. Şifreleme amacı ile kullandığımız OpenSSL de bulunan Heartbeat özelliğinin daha uzun bir sorgu ile çalıştırıldığında gizli verileri göndermesinden ibaret. Heartbleed i daha kolay anlatmak için bir wikipedia kullanıcı çok güzel bir görsel hazırlamış. Ben de bu görseli değiştirmeden kullanıyorum. 4 beyaz şapka Mayıs 2014

5 larını düşündüklerini gördüm ve işittim. Oysa birçok ürünün yönetim konsolları OpenSSL kullanıyor. Antivirus yönetim konsolları, SSLVN çözümleri, security ürünleri, Web security ürünleri, Firewall lar gibi çok kritik ürünler OpenSSL kullanıyor ve zafiyet barındırıyorlar. Ne yapmalıyız? Aksiyon planını iki kademeli düşünebiliriz. İlki her zaman önleyici tedbir olmalıdır. Birçok güvenlik üreticisi Heartbleed açığını tespit edip durdurabilecek çözümler üretti. NIS/HIS, Firewall/UTM ve WAF gibi ürünlerle açığa karşı yapılacak atakları ağ geçidi seviyesinde durdurmak mümkün. Kullanmakta olduğunuz ürünlerin imkanlarını dikkatlice incelemelisiniz. İkinci adım açıklıkları bulup kesin olarak kapatmak. OpenSSL kullananlar için iş kolay. Yeni sürüme geçiş yapabilir veya OpenSSL i yeniden derleyerek geçici çözüm üretebilirsiniz. Teknik detayları burada uzun uzun anlatmayacağım. Fakat hangi ürünlerde OpenSSL kullanıldığını ezbere bilmek pek mümkün değil. Önerim bir zafiyet tarama yazılımı ile tüm sisteminizi taratmanız. Eğer bir zafiyet tarama yazılımınız yoksa McAfee Vulnerability Manager yazılımının deneme sürümünü kullanabilirsiniz. Tarama bittiğinde hangi sistemlerinizde OpenSSL var ve hangilerinde Heartbleed zafiyeti bulunuyor, net olarak görebileceksiniz. Katılaştırma İngilizcede Hardening adı ile geçer. Sistemi ihtiyaçlardan fazlasına cevap vermeyecek şekilde konfigüre etmek ve fazla görevleri ortadan kaldırmak anlamına gelir. Örneğin OpenSSL e ihtiyacınız yoksa bu servisleri çalıştırmamak sistem katılaştırmasına iyi bir örnektir. Bu sistemleri devreye alırken bilgi güvenliği uzmanları barındıran şirketler çalışmanızı öneriyorum. Her ne kadar iyi bir bilgi güvenliği süreci sürdürsek de risk her zaman vardır. Zafiyetleri sıkı biçimde takip etmeli ve kötü niyetlilerden önce bulup kapatmalıyız. Bu anlamda maalesef zayıf bir ülkeyiz çünkü doğru düzgün faaliyet gösteren Computer Emergency Response Team (CERT) birimimiz bulunmuyor. Böyle bir birim olsaydı tek bir noktadan küresel ve yerel tehditleri izleyebilir ve güvenlik çıtamızı yükseltebilirdik. Biz bu konuda gücümüz yettiğince devlet kurumlarının ilgisini çekmeye çalışıyor ve ulusal güvenliği de arttıracak çalışmaların yapılması için farkındalığı arttıracak faaliyetler yürütüyoruz. Diğer yandan destek sözleşmeli müşterilerimize küresel tehditler konusunda daha hızlı bilgi sağlayacak bir sistem üzerinde çalışmaya devam ediyoruz. Daha iyi bir bilgi güvenliği süreci yaratabilmemiz için lütfen bizi desteklemeye devam edin. OpenSSL ticari bir ürünün içinde bulunduğunda genel olarak direk OpenSSL e müdahale etme şansımız olmaz. Üreticiler yaygın biçimde ilgili açığı kapatacak yama veya yeni sürüm geliştirdiler. Dolayısı ile OpenSSL yazılımını arka planında kullanan ürünleri zafiyetten kurtarmak için güncelleme çalışması yapmak gerekiyor. Sonuç Güvenlik ürün ve teknolojileri de birer yazılımdan ibarettir. Amaçları diğer yazılımları ve verileri korumaktır ama aynı risklere sahiplerdir. Sertifika kullanıyor olmak, IS e sahip olmak veya bilinen tüm ürünleri satın almış olmak bilgi güvenliği adına hiçbir şey ifade etmez. Bu noktada iki önemli konudan bahsetmek yerinde olacaktır. Teknolojileri katılaştırmak ve açıklıklarını sürekli takip etmek. beyaz şapka Mayıs

6 Serkan AKCAN Kırmızıgül McAfee Ürün Ailesi İçerisinde Çok Bilinmeyen, Geniş Kapsamlı Malware Araştırma Çözümü McAfee ürün ailesi uzun süredir özellikle güvenlik ve malware analistlerinin işlerini oldukça kolaylaştıran, genişlemeye uygun ve açık mimariye sahip ortak bir framework alt yapısı sağlıyor. Kısaca CADS (Cloud Analysis and Deconstruction Services ) olarak adlandırılan bu çözüm her ne kadar akıllarda bir servis intibası bıraksa da aslında müşteriler için tamamen özelleştirilmiş bir yazılım alt yapısı sunmaktadır. CADS Framework üretici bağımsız olarak dosya ve URL ler için detaylı araştırma ve inceleme imkanı sunmaktadır. Dolayısıyla Open-Restful alt yapısı farklı üreticilerin güvenlik çözümlerinin bu framework alt yapısına direk bağlanmasını sağlamakta ve müşteri açısından ise ortak ve tek bir araştırma ortamı sağlanmaktadır. Sunulan çözüm Vmware ESX alt yapısı veya CloudShield donanımları üzerinde çalışabilmekte bu sayede yüksek miktardaki URL ve anlık çok sayıdaki malware analizine imkân sağlamaktadır.(şekil-1) Nagios plugin sayesinde donanım alt yapısına ait sağlık ve performans değerleri canlı izlenebilmekte ve yönetilebilmektedir. Vcenter kullanılması durumunda ise donanımsal fail-over mimari desteklenmektedir. CADS üzerinde çalışan farklı analiz araçları arasında yük dağılımını otomatik yapabilmektedir. Taranan dosyalarla ilgili sonuçlar ve örnekler arşivlenebilmekte, o an için tespit edilemeyen kodlar zaman içeresinde güncel istihbarat ve DAT dosyaları ile tekrar taranarak analizden geçirilebilmektedir. Temel paket bir çok güvenlik bileşeni ile ön tanımlı olarak gelmektedir (Şekil-2). Bu çözümler gerek McAfee çözümlerini gerekse McAfee harici diğer üreticilerin veya açık kaynak projelerinin çözümlerini barındırmaktadır. Çözümün en önemli avantajı bu temel paketin müşterinin edindiği yeni teknolojilerle büyümeye imkân sağlamasıdır. Örneğin sonradan müşterinin portföyüne eklediği bir sandbox çözümü bu framework alt yapısına eklenebilmektedir. Bu aşamada istenilirse entegrasyon için McAfee den direk hizmet alınabilmektedir. Şekil-2 ön tanımlı üreticiler ve açık kaynak projeleri 1. McAfee ATD ve Norse (McAfee SIA partner) ayrıca temin edilmektedir. 2. VirusTotal den kurumsal anahtar sağlanmalıdır 3. McAfee GTI File ve URL reputation hizmetleri ayrı ayrı açılıp kapatılabilir 4. McAfee Network Threat Response (NTR) Shell Code Analyser 5. McAfee NTR a ait DF analiz motoru 6. Zip-Exctractor olası tüm arşiv dosyalarını açmayı sağlar 7. McAfee NTR a ait office dosya inceleme motoru 6 beyaz şapka Mayıs 2014

7 CADS mimarisi üzerinde manual dosya inceleme yöntemi dışında ağa konumlandırılacak diğer güvenlik ürünleri ile ağ içeresinde dolaşan örneklerin toplanarak bu sisteme gönderilmesi ve detaylı incelenmesi mümkün olabilmektedir. Bu amaçla uzun yıllardır McAfee ürün ailesinde bulunan McAfee NTR çözümü önemli bir bileşendir. McAfee NTR, ağ içerinde dolaşan dosyaları yakalamak ve davranışlarını analiz etmek için pasif algılayıcılarını (sensor) kullanmaktadır. Multi-Gigabit performansı ile büyük kurumların ihtiyaçlarını sağlayan güçlü ve tamamlayıcı bir güvenlik bileşenidir. NTR gerek appliance gerekse Vmware ESX alt yapısını desteklemekte bu sayede tek bir algılayıcı ile en fazla 2 Gbps lık trafiklerin analizi mümkün olmaktadır. Birden çok algılayıcı merkezi olarak yönetilebilmekte algılayıcılar üzerinde çalışan politikalara istinaden dosya ve URL erişimleri detaylı incelenebilmekte ve toplanan veriler manager ile paylaşılmaktadır. Down-Selected politikalarla hem imza temelli hem de davranışsal birçok metot aynı anda kullanılabilmektedir. Manager neredeyse bir trafik polisi gibi çalışmakta toplanan veriler ve raporlar üzerinde detaylı korelasyon ve ilişkilendirme yapılabilmektedir. Gerekli görülmesi durumunda full forensic araştırma kararı verilmektedir. Sezgisel algoritmalar toplanan veriler üzerinde; köken, süre, aktivite sıklığı gibi parametreleri inceleyerek veri setleri üzerinde azaltma yapabilmekte dolayısıyla mükerrer ve gereksiz analizlerin önüne geçilmektedir. CADS inceleme süreçleri sırasıyla şöyle özetlenebilir; 1. Tüm tespit edilen ağ adresleri, domain ler, URL ler ve file hash bilgileri McAfee GTI ve Norse istihbarat ortamına sorulur. 2. Toplanan dosya, CADS içeresindeki antivirüs havuzuna yollanır ve belirlenen kurallar çerçevesinde taranır. 3. Dosya analizleri sürecinde DF dosyaları FileScan servisi ile taranır, embeded objeler açılarak analizden geçirilir. 4. Toplanan Jar dosyaları analiz için FileScan servisine gönderilir. 5. NTR ile shellcode analizi yapılır. 6. Yara kuralları çalıştırılır. 7. En son ise yakalanan dosyalar dinamik analiz için mevcut Sandbox havuzuna yollanır.(mcafee, ATD ve Cuckoo) 8. Toplu rapor üretilir. Özellikle McAfee ATD üzerindeki geliştirmelerle birlikte tespit edilen AT ve benzer zararlıların ağ üzerinde durdurulması ve olası enfekte kaynakların tespiti mümkündür. Bu amaçla mevcut McAfee ürünleri kullanılabilmekte ve CADS ile bu çözümlerin bir bütün halinde çalışması sonucunda çözüm inceleme ve araştırmanın ötesinde toplu bir güvenlik çözümü olarak karşımıza çıkmaktadır. Örnek toplamak ve ağ seviyesinde bloklama imkanı için McAfee Network IS, McAfee Web Gateway ve McAfee Gateway; sadece örnek toplamak için McAfee NTR; olası enfekte halindeki son kullanıcı sistemlerinin bulunması ve düzeltilmesi için McAfee Realtime Command kullanılmaktadır. McAfee SIEM ile ise uzun dönem log kayıtlama ve diğer güvenlik ürünleri ile korelasyon imkanları otomatik sağlanmaktadır.(şekil-4) NTR aynı zamanda ağ üzerinde yakalanan şüpheli JAR, DF ve executable dosyalar üzerinde sofistike saldırıları çıkarabilmekte ve daha detaylı forensic araştırmalar için CADS sistemine otomatik yollayabilmektedir. Tespit için dinamik ve statik analiz teknikleri bir arada kullanılabilmektedir. beyaz şapka Mayıs

8 Tarkan Serkan Çiçek AKCAN Disk Veri Depolama Sistemleri (devam): Ağ Bağlantıları: Disk veri depolama sistemlerinde bağlantı şekilleri ağırlıkla Fiber Anahtar (switch) lar üzerinden yapılıyor olsa da farklı şekillerde bağlantı kurmak mümkündür. Depolama birimi ile Sunucu arasındaki yetkilendirme HBA (Host Bus Adapter), kartının ağ kartlarındaki MAC adresi gibi benzersiz tanımlayıcısı olan WWN numarasına göre yapılır. Yani hangi Lun a hangi Sunucunun erişeceği WWN numaralarına göre yetkilendirilir ve ancak ilgili WWN den gelen istekler ilgili Lun a iletilir. Buradan sizin de tahmin edeceğiniz üzere bir sunucu üzerindeki HBA kartını başka bir sunucuya taşıdığınızda Lun lara olan erişimi de bu sunucuya taşımış olursunuz. Yeni sistemler üzerinde sanal WWN uygulamaları ile farklı durumlar yaratmak da söz konusudur. WWN numaralandırması ATA, SAS ve FC protokolleri için kullanılmaktadır. 8 veya 16 Byte uzunluğundadırlar ve her üreticiye göre bir başlangıç koduna sahiptirler. İlk 6 karakterden oluşan bu koda OUI (Organizational Unique Identifier) denir. Türkçe olarak ise Benzersiz Üretici Tanımlayıcı kod diyebiliriz. Bu ilk 6 hane için bir kaç örneği aşağıda verelim; 00:50:76 IBM 00:17:38 IBM, formerly XIV. 00:A0:98 NetApp 00:01:55 romise Technology 00:60:69 Brocade Communications Systems 00:05:30 Cisco 00:E0:8B QLogic HBAs, original identifier space 00:1B:32 QLogic HBAs. new identifier space starting to be used in :00:88 Brocade Communications Systems, 00:60:B0 Hewlett-ackard - Integrity and H9000 servers. 00:17:A4 Hewlett-ackard - MSL tape libraries. Formerly Global Data Services. WWIDs begin with 200x.0017.a4 00:60:48 EMC Corporation, for Symmetrix DMX 00:00:97 EMC Corporation, for Symmetrix VMAX 00:60:16 EMC Corporation, for CLARiiON/VNX 00:60:E8 Hitachi Data Systems 00:0C:50 Seagate Technology 00:00:C9 Emulex 00:14:EE Western Digital oint-to-oint (Direct Attach): Sunucu ile depolama sisteminin arada herhangi bir başka bileşen olmadan doğrudan bağlanması şeklidir. Bu tip bağlantıda sunucu ve depolama sistemi arasında bağlantı doğrudan sağlanır. Yine de depolama sistemi üzerinde bir Lun yetkilendirmesi gerekmektedir. Yani depolama sisteminin üzerinde ulaşılacak Lun lar için sunucu hba kartının wwn ine izin verilmesi gerekir. Bu tip bağlantı kullanılmak istendiğinde depolama sisteminin bu tür bağlantıyı desteklediğinden, hba nın firmware inin, işletim sisteminin, vb şeylerin uyumluluğu önceden kontrol edilmelidir. Günümüz depolama sistemlerinin tamamı fabric attach desteklemekte fakat sadece bir kısmı direct attach desteklemektedir. Fiber Channel Arbitrated Loop (FC-AL) Fiber Switch ler ucuzlamadan önce tercih edilen ve yaygın kullanıma sahip bir bağlantı türüdür (FC Switch lerin birçoğu hala FC-AL bağlantıyı destekler). Bu bağlantı tipinde her cihaz bir diğerine bağlanarak bir halka oluşturur. Bir halka içinde SCSI sisteminin adresleyebileceği en fazla 127 adet ünite olabilir. Her bir ünite halkanın tamamlayıcı parçası olur ve tüm üniteler mevcut bant genişliğini ortak kullanır. Yani ünite sayısı arttıkça performans azalır. Bu yapının benzer şekilde kurdukları bağlantıya rivate Loop, bir hub aracılığı ile Switched bir yapıya bağlantı kurmalarına ise ublic Loop denilir. Kendi aralarında bağlantı kurdukları portlara NL (Node Loop), Switch ile bağlantı kurdukları portlara ise FL (Fabric Loop) denilir. Bu tip bağlantıda halkayı oluşturan herhangi bir noktanın kopması tüm sistem iletişiminin kesilmesine yol açtığından güvenliği ön planda tutan sistemlerde çift loop döngüsü kullanılır. aylaşımlı yapıda çalışması, performansı, arızaya açık yapısı nedeniyle FC Switch lerin ucuzlaması ile yeni nesil depolama sistemlerinde pek tercih edilmemektedir. FC Switched Fabric (FC-SW) FC Switch yapısında tüm nodlar birbirlerine bir veya birden fazla switch aracılığı ile bağlanırlar. Genellikle arızalara karşı güvenlik ve süreklilik sağlanması amacı ile çift switch ile bağlantı tercih edilir. Her bir depolama ünitesi ve sunucu en az iki bağlantı ile iki farklı switch e bağlanır. Böylece herhangi bir arıza durumda sunucu ile depolama ünitesi arasında herhangi bir bağlantı ünitesinde (HBA, kablo, switch) sorun olması durumunda bağlantı alternatif yoldan devam ederek sürekliliği sağlar (Multipath entegre edilmiş olması gerekir). FC Switch yapısında teorik olarak 16milyon tane node bağlantısı yapmak mümkündür. 8 beyaz şapka Mayıs 2014

9 Switch yapıları başka switch ler ile birleştirilerek istenilen ölçüde büyütülebilir. FC-SW yapısında her bir node diğeri ile direkt olarak iletişim kurar ve switch in sağlayabildiği en yüksek hızda iletişim kurulur. FC-AL yapısının aksine iletişim tüm node ların üzerinden geçmez, iki node arasında direkt olarak gerçekleşir. FC Fabric switch portları hem switched hem de FC-AL olarak çalıştırılabilir. Switch üzerinde yönetimi basitleştirmek ve akışı kontrol etmek amacı ile Zoning yapısı kullanılır. Bu Normal ethernet switch lerdeki Vlan yapısına benzer. Genel uygulama olarak zoning yaparken, birbiri ile iletişim kurması gereken her bir wwn aynı zone içinde toplanır. Hani sunucunun hangi depolama ünitesine ulaşabileceği yetkilendirmesi switch üzerinde zoning ler ile yapılır. Temelde zoning işlemi switch i daha küçük alanlara bölme işlemidir. Böylece hem gereksiz trafiğin switch içinde dönerek performansı etkilemesi engellenmiş hem de yetkisiz erişimlerin önüne geçilmiş olunur. istemci ve sunucu arasında iletilmesini sağlar. Çoklu iletişimin gerçekleştirilmesi ise aşağıdaki örnekte göründüğü gibidir. eki Fabric Nedir? Buradan da anlayacağınız üzere herhangi bir portun aynı anda birden fazla port ile haberleşmesi mümkün değildir. Burada konumuz ile bağlantılı olması nedeniyle biraz ağ yapılarına değinmek gerekecek. Fabric kelime tercümesi olarak dokuma manasına gelir. Ağ yapılarında anahtarlama (switch) ürünlerine Fabric Switch denmesinin nedeni ağ anahtarlarının mantıksal yapısının bir dokuma gibi görünmesidir. Günümüz ağ anahtarları aşağıdaki şekilde çalışırlar. Ağ anahtarları üzerindeki buffer (önbellek) sayesinde bir porta aynı anda gelen paketler kuyrukta bekletilerek bir sonraki bağlantı ile transferleri sağlanır. Bu kuyruğa alma ve bir sonraki sürede transfer işlemleri ise Ağ anahtarının işlemcisi tarafından yönetilir. Burada aynı anda iki port arasındaki iletişimin gerçekleşmesi durumunu görüyorsunuz. Ağ anahtarı iletilmesi gereken paketleri giriş ve çıkış portlarını birbirine direkt olarak bağlayarak paketin beyaz şapka Mayıs

10 Ozan Serkan Özkara AKCAN Dağıtık Yapılarda Güvenlik Duvarı Denetimi Giriş Her güvenlik duvarı var oluşu, yapılandırıldığı ağın yapısına bağlı olarak hedef haline gelmektedir. Güvenlik duvarları görünürdür, savunmanın çoğu organizasyonda ilk halkasını oluşturur, ağ trafiği için belirlenen kurallara bağlı olarak segmentler arası trafik bu yapılar tarafından değerlendirilmektedir. Bu yapının içinde çeşitli iş uygulamaları, web tabanlı uygulamalar, sosyal ağlar, B2B, B2C, özel bulut gibi (private cloud )gibi yeni gelişen teknolojilerin servis edilmesinin yönetişimi, çeşitli regülasyonlara göre uygunluk değerlendirmeleri ve gelişen iş ihtiyaçlarına anında cevap vermesi açısından çoğu zaman yönetimi zor bir yapıyı ortaya koyabilmektedir. Genel olarak bakıldığında güvenlik duvarı denetim çalışmaları genel güvenlik duvarı yönetiminin bir parçasıdır, denetim programları politikaların belirlenmesinde, güvenlik duvarı verisinin toplanmasında, verilerin değerlendirilip kurum güvenlik standartları ve regülasyonlara (CI DSS, SOX, COBIT, ISO vb) uygun olacak şekilde yapının kurulması ve iş ihtiyaçlarına hızlı ve efektif çözüm üretilebilmesini güç hale getirebilmektedir. Manuel ya da checklist yöntemi ile yapılmaya çalışan çalışmaların değerlendirme periyodları uzun olduğundan, değerlendirme frekansı düşük olmakta özellikle iş kritikliği yüksek olan yapılar içerisinde çeşitli uyumsuzluklara neden olabilmektedir. Örnek sorgulama pratiği aşağıdaki gibi olabilir; 1. Kurum ağ güvenlik politikaları her güvenlik duvarı için uygun şekilde yapılandırılmış mı? Eğer değilse, ilgili güvenlik ihlalleri nasıl çözülebilir? 2. CI DSS gibi regülasyon gereksinimlerine göre ilgili kredi kartı verileri güvenli bir şekilde korunuyor mu? Güvenlik duvarı tarafında ilgili güvenlik gereksinimleri sağlanıyor ve denetlenebiliyor mu? 3. Hangi kurallar kullanılmaz ve bu nedenle ortadan kaldırılabilir? Etki analizi yapılıyor mu? Kurallar performansını güvenlik ölçümlerini (metrics) sağlamak amacıyla konsolide edilebilir mi? 4. Yapılan bir ağ değişikliği sonrası oluşan yeni güvenlik riskleri veya kullanılabilirlik değerlendirmeleri güvenlik duvarları ve ilgili ağ segmentleri arası yapılabiliyor mu? 5. Önerilen ya da iş ihtiyacı nedeniyle güvenlik duvarı değişikliğini yapılandırmak için en iyi yol nedir? (Best ractice) 6. Güvenlik duvarı yapılandırmalarında değişiklik kontrolü ve iş etki analizi nasıl yapılıyor? Örnek Regülasyon Örnekleri Gerçekten güvenlik duvarı denetim çalışmalarına ihtiyacı var mı? Senaryo Güvenlik duvarı kural değişikliğinin yanlışlıkla belirli finansal verilere, uygulamalara erişiminin engellenmesi Yeni bir iş uygulamasının devreye alınma gerekliliği sonrası yeni güvenlik duvarı kurallarına ihtiyaç olması artner lar için iç ağ üzerinde bir ER/ CRM sistemine erişimin sağlanması İş etki analizi (BIA) Kurum yapısına bağlı olarak ilgili iş süreçlerinin kesintiye uğraması, ilgili hesaplara (Internet Bankacılığı gibi) erişimin engellenmesi BIA analizi yapılmaksızın yapılan değerlendirmelerde, yeni varlık bileşenleri oluşacağı için ağ risk profilinin değişerek kurum kritik asset verilerini tehdit etmesi Çeşitli güvenlik ihlallerinin ortaya çıkması, güvenlik politikaları ve regülasyonlara uygun olmayan bir audit sonucunun ortaya çıkması CI DSS Denetimsiz yapılan yüzlerce değişiklik sonrası oluşan karmaşık yapı Analiz edilmeyen, düşük frekanslı değerlendirmelerden yoksun, iş güvenlik analizlerine etkisi ve doğal olarak ölçülemeyen bir risk profilinin oluşması Bu ortak senaryoların olumsuz etkilerini önlemek amacıyla, güvenlik duvarı yapıları yöneticiler tarafından sık sık kural denetimi ve güvenliğini sağlamak için güvenlik duvarı kurallarının standartlara ve regülasyonlara uygun olarak yapılandırılması, ilgili uygunluğunun ölçülebilir olması ve optimum performansın değerlendirilebilmesi ve bu süreçlerinde istenilen herhangi bir zaman diliminde tekrarlanabilmesi gerekmektedir. Bu süreç güvenlik duvarı denetimine cevap amacıyla yapılandırılması gereken örnek sorgulamalardan geçmektedir; COBIT Güvenlik Duvarı Audit programı nasıl olmalıdır? Yukarıda açıklandığı gibi, sık ve kapsamlı güvenlik duvarı denetimleri negatif iş etki değerini azaltmak için önemli olmaktadır. İlgili risk ve audit değerlendirmeleri yapılırken muhakkak yapılan süreç iyileştirmelerinin İş Sürekliliği lanlama (BC) ve Afet Kurtar- 10 beyaz şapka Mayıs 2014

11 ma lanları (DR) ile koordineli bir şekilde planlamaları, gerekiyorsa acil durum planlamaları göz önüne alınarak yapı kurulmalıdır. Tipik bir güvenlik duvarı denetim programı, aşağıdaki adımları içermelidir; 1. Ağ erişim ilkesi tanımlayın, bu tanım kurum bilgi güvenliği erişim standartları ile uyumlu olmalıdır. 2. Güvenlik duvarı konfigürasyon bilgilerinin alınması 3. Ağ arayüzleri (Interfaces) ağ segmentleri ile haritalandırılması ve servis ağacının ortaya koyulması (görsel olarak) 4. Kurum güvenlik duvarı yapılandırmasının erişim politikaları, güvenlik ihlalleri ve güvenlik standartları uyumluluk kriterlerini adresleyecek şekilde analiz edilmesi. 5. Kullanılmayan, tekrarlı, log bilgisi alınmayan, belirli bir takvim zamanında az kullanılan ve gereksiz kuralların bulunması ve optimizasyonu, Güvenlik duvarı Audit teknikleri ile değişiklik kontrolü Ağ güvenliği ve standartlara uygun audit ihtiyaçlarını karşılamak amacıyla, güvenlik duvarları periyodik olarak denetimi yapılmalıdır. Ayda iki kez ya da yılda ortalama 20 kere denetimi yapılarak delta (Değişiklik) verisi ortaya koyulmalıdır. Böylelikle audit kriterlerinin yanında güvenlik ölçüm(benchmarking) kriterleri de sağlanmış olacaktır. İlgili değişiklik kontrolü aşağıdaki süreçler tarafından tetiklenebilir; İş ihtiyaçlarını - yeni iş uygulamaları etkinleştirmek veya eskilerini açığa almak için BT Operasyonları ihtiyacı - ağ mimarisi değişiklikleri ve standartlar/regülasyonlar tarafında olan değişiklikler nedeniyle. Güvenlik ihtiyacı - iş ve BT operasyonları için gerekli minimum ağ trafiğinin ortaya koyulması. En önemli kıstas budur (at least privilege prensibi) Buradaki değişiklik ihtiyacı tekil olarak tek bir güvenlik duvarı üzerinde yapılandırılabileceği gibi dağıtık mimaride çalışan güvenlik duvarı grupları arasında da yapılabilir. Çoğu zaman farklı üreticilerin güvenlik duvarı söz dizilimini anlamak, iş etki analizini yapmak, süreçleri onaylamak, yapılandırmak ve ilgili audit programları izlemek oldukça güç olabilmektedir. Uygunluk analizinde ilgili güvenlik duvarı değişiklik taleplerinde güvenlik operatörleri duruma göre de güvenlik analisti tarafından güvenlik ihlal durumu, mevcut risk profili etkileşimi ve değişiklik gereklilik analizi yapılarak planlama yapılmalıdır. Genel olarak islenen yöntem dağıtık güvenlik duvarı yapılarını gözeten ve analiz edebilen bir araç vasıtası ile What-If analizi ilgili değişiklikler öncesi yapılarak kurum değişiklik komitesine (Change Committee) sunulmasıdır. Bu süreçler güvenlik pratiklerine göre kişi onayı yerine belirli bir süreç yapılandırılması içerisinde etki analizi olarak yapılandırılması gerekliliğidir. BIA dediğimiz iş etki analizi örnek olarak 200 kuralı bulunan bir güvenlik duvarı üzerinde manuel olarak yapıldığında birkaç gün alabilmektedir. (Bu durum güvenlik duvarının yapısına göre değişebilir) sıklıkla analiz edilen güvenlik duvarı yapılarında süre biraz daha kısa olabilmektedir. Aşağıdaki örnek tablo 200 civarı kural seti bulunan tekil güvenlik duvarı üzerinde harcanan yıllık zaman maliyet hesaplamasını içermektedir. Konfigürasyon Uyumluluk Analizi Değişiklik Etki Analizi (BIA) Her 4 ayda 1 kere 2 gün 8 gün Ayda 2 kere 2 saat 6 gün(24x2 saat) Günde 8 saat çalışma ile Konfigürasyon Senede 1 kere 4 gün 4 gün Optimizasyonu Toplam Harcanan Süre 18 gün Yukarıdaki tabloya göre bakıldığında sadece tek bir güvenlik duvarının iç kaynaklar kullanıldığında Audit maliyeti USD civarında ve dış kaynak kullanıldığında bu değerler usd civarına kadar çıkabilmektedir. Ortalama 8 yada 10 güvenlik duvarı kullanan kurumları için ilgili süreç kolaylıkla 100K civarında olabilmektedir. Manuel yapılan audit değerlendirmelerindeki zorluklar aşağıdaki gibi olabilmektedir. 1. Komplekslik her güvenlik duvarının farklı çalışma prensibi, yapılandırılması farklı olmakta ve analizler sırasında normalleştirme ve tekil hale getirmenin zorluğu 2. Çoklu üretici ortamında her güvenlik duvarı için yapılması gereken analiz ve analiz için gereken bilgi ve teknik düzeyin farklı seviyelerde olması. Ayrıca farklı üretici teknik çıktılarının normalizasyonunun güçlüğü. 3. İnsan hatası, çoklu ortamlarda özellikle analiz seviyesinde hata yapma ihtimali çok yüksektir. Ayrıca konfigürasyon, verilerin toplanması ve raporlama safhası, ilgili bilgilerin toplanmasında güçlükler ortaya çıkabilmektedir. 4. Ağ ve güvenlik duvarı topolojisindeki bazı uyumsuzluklar, politikaların gerçek durumu yansıtmaması, what if analizi ve etkin simülasyon yapmanın zorlukları Güvenlik duvarı audit süreçlerini otomatize etmenin yararları aşağıdaki gibi olmaktadır; 1. Analiz değişiklikleri nedeniyle etkin ve doğru bir değişim yönetimi süreci, daha az kesinti. Ağ otomatik ve sık uygunluk değerlendirilmesi nedeniyle yüksek farkındalık düzeyi 2. Daha az sayıda güvenlik riskleri ile karşılaşma, risklerin düzenli olarak ölçülebilmesi gelişmiş BIA ve What If analiz kabiliyeti 3. Düşük maliyetli regülasyon kontrol yapısı, Otomatik raporlama ve otomatize uyumluluk kriterleri ve yapılandırması nedeniyle maliyetlerin ve olası ihlallerden kaçınılması 4. İlgili optimizasyon ve süreç iyileştirme kaynakları ile güvenlik duvarı yatırımlarını daha uzun vade de kullanabilme olanağı Günümüzde karmaşık yapılar içerisinde uygun güvenlik yönetiminin standart ve regülasyonlara uygun yapılandırılması giderek güçleşmektedir. Tüm güvenlik duvarı denetimleri organizasyonlar için önemli bir süreç haline gelmiştir. Çeşitli uyumluluk gereksinimleri ve regülasyonlar, olası güvenlik sorunlarının anlık tespiti, planlanan değişikliklerde olası hataların tespiti ve güvenlik duvarı performansı kritik iş süreçleri olarak karşımıza çıkmaktadır. Etkili bir güvenlik duvarı denetim programını korumak için, BT organizasyonları, ağ erişim ilkeleri tanımlanması, yapılandırma verilerinin normalize edilmesi, harita üzerinde ağ ara yüzleri almak, politika ihlalleri için yapılandırmaları analiz etmek ve kural kullanımlarını incelemek karmaşık yapılarda her zaman kolay olmamaktadır. Otomatik bir güvenlik duvarı denetim çözümü güvenlik yapılandırması için gerekli insan ve teknik kaynakları azaltabilir. %80 e kadar değişim süreci güvencesi (Change Management) ve %90 a kadar ilgili güvenlik risklerinin yönetilebilir olmasını, riskleri minimize etmek için kullanılabilir. beyaz şapka Mayıs

12 Selen Serkan Uğur AKCAN 5651 Sayılı Kanun Ve Şirketlerin Yükümlülükleri 5651 sayılı Kanun a ilişkin olarak geçtiğimiz aylarda yürürlüğe giren değişiklikler, şirketlerin kullanmış oldukları bilgi teknolojileri alt yapılarını, sistemleri ve sistemler üzerindeki verileri ve sunulan hizmetleri yakından ilgilendiren yükümlülükler getirmektedir. sıralanabilecektir. Düzenlemeler ile getirilen önemli değişikliklerden bir tanesi de kişilik haklarının ihlali ve özel hayatın gizliliğinin ihlali konularında verilen erişimin engellenmesi kararlarının erişim sağlayıcılara bildirilmesinde görev alacak Erişim Sağlayıcıları Birliği nin kurulmasıdır. Değişiklikler Neticesinde 5651 Sayılı Kanun Kamuoyunda uzun süredir tartışılan ve İnternet Düzenlemesi olarak da adlandırılan 5651 Sayılı İnternet Ortamında Yapılan Yayınlar ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkındaki Kanun da (Kanun) değişiklik yapan hükümlerin bir kısmı 19 Şubat 2014 tarihinde, bir kısmı da 26 Şubat 2014 tarihinde yürürlüğe girerek internet ortamının düzenlenmesine ilişkin yeni hak ve yükümlülükleri beraberinde getirmiştir. Değişiklikler ile Kanun da dikkat çeken hükümler özel hayatın gizliliğini ihlal, kişilik haklarının korunması gibi konularda erişimin engellenmesi tedbirine başvurulmasına ilişkin yeni seçeneklerin sunulması ve mevcut erişimin engellenmesi süreçlerinde yeniliklerin getirilmesi, erişim-yer-içerik ve toplu kullanım sağlayıcılara özellikle erişim kayıtlarını saklama, hukuka aykırı içeriğe erişimi engelleme için gerekli tedbirleri alma gibi yeni yükümlülükler getirilmesi, Telekomünikasyon İletişim Başkanlığı (TİB) tarafından ikincil düzenlemelerle bu süjelere yeni yükümlükler yükletilebilmesi olarak Değişikliklerin Şirketler Açısından Değerlendirilmesi Kanun da şirketler açısından sonuç doğurabilecek önemli değişikliklerden biri bilgilendirme yükümlülüğüne ilişkindir. Yapılan değişiklikler neticesinde faaliyetlerini yurt içinden ya da yurt dışından yürütenlere, internet sayfalarındaki iletişim araçları, alan adı, I adresi ve benzeri kaynaklarla elde edilen bilgiler üzerinden elektronik posta veya diğer iletişim araçları ile bildirim yapılabilmesi mümkün olabilecektir. Kanun da, söz konusu değişiklik ile içerik nedeniyle hakları ihlal edilen kişilerin uyarıda bulunurken seçecekleri kanal bakımından çok geniş bir çerçeve belirlenmiştir. Bu durum özellikle belirli kanallar kullanarak talepleri alan internet siteleri açısından risk teşkil edebilecektir. Değişiklik akabinde, bu kanallar dışında bu siteyle ilişkili her bir kanal bu bildirimleri yapmak bakımından uygun mecralar kabul edildiğinden, ilgili şirket yanlış bir başvuru kanalı kullanıldığını ileri süremeyecektir. Ayrıca belirtmek gerekir ki, şirket alan adlarının 12 beyaz şapka Mayıs 2014

13 kayıt ettirilirken verilen iletişim bilgilerinin de bilgilendirme kanalı kapsamında değerlendirilmesi mümkün olduğundan şirketlerin alan adı kayıt bilgilerinde yer alan iletişim bilgilerini güncel tutmaları faydalı olacaktır. Yine, şirketlerin sahip oldukları internet siteleri üzerinden değerlendirme yapıldığında, bu internet sitelerinin sahibi olan ve siteye içerik yükleyen şirketler içerik sağlayıcı 2 konumunda olacaktır. Bu nedenle şirketler, kişilik haklarını ihlali konusunda aldıkları bildirimleri cevaplandırma ile yükümlü ve sahip oldukları internet sitesi üzerinde yayınlanan her türlü içerikten sorumlu olacaktır. Şirketlerin içerik sağlayıcı olarak değerlendirilmesinin bir sonucu da Kanun da İçerik Sağlayıcının Sorumluluğu maddesine eklenen yeni ifade doğrultusunda, şirketlerin, TİB tarafından genel olarak talep edilen bilgileri vermesi ve önerilen önlemleri alması olarak ifade edilebilir. İçerik sağlayıcının yükümlülüklerinin yanı sıra, Kanun da yer sağlayıcıların yükümlülüklerine ilişkin yapılan değişiklikler de dikkat çekmektedir. Buna göre, şirketlerin internet siteleri, kullanıcıların internet sitesine yükledikleri içeriklerle birlikte oluşan bir yapıya sahip ise bu şirketler kullanıcıların içeriklerini barındırmak bakımından yer sağlayıcı olarak kabul edileceklerdir. Yer sağlayıcı şirketler bir yıldan az ve iki yıldan fazla olmamak üzere, hazırlanacak yönetmelikte belirlenecek süre boyunca ilgili bilgileri saklamakla ve bu bilgilerin doğruluğunu, bütünlüğünü ve gizliliğini sağlamakla yükümlü olacaktır. Kanun da yapılan değişiklikler ile toplu kullanım sağlayıcıların yükümlülükleri daha net bir ifadeyle dile getirilmiş; konusu suç olan içeriklere erişimin engellenmesine ilişkin tedbirlerin alınması ve iç I dağıtım loglarının da elektronik ortamda tutulması mecbur kılınmıştır. Konu şirketler özelinde değerlendirildiğinde, şirketler, çalışanlarına sağladıkları internet erişimi bakımından Kanun kapsamında toplu kullanım sağlayıcı dır. Bu sebeple Kanun un değişiklikten önceki haline göre şirketlerin, mevcut durumda tutmakta olduğu iç I dağıtım loglarını saklamak ile konusu suç oluşturan içeriklere erişimi önleyici tedbirleri almak konusunda üstlenmiş oldukları yükümlülükleri devam edecektir. Kanun da en çok tartışılan değişikliklerden birisi olan içeriğin yayından çıkartılması ve erişimin engellenmesi hususu da şirketler açısından hem içeriğin yayından kaldırılmasını talep eden hem de talep edilen açısından değerlendirilebilecektir. Değişiklik ile kişilik hakkının ihlal edildiği iddia eden gerçek ve tüzel kişiler kişilik hakkı kapsamında değerlendirilen hususlar ile ilgili olarak özellikle ticari itibarı zedeleyen konular- şirketler ilgili içerik için içerik sağlayıcısına ve yer sağlayıcısına başvurabileceği gibi doğrudan mahkemeye başvurarak söz konusu içeriğin bulunduğu sayfaya erişimin engellenmesini talep edebilecektir. Bununla birlikte, gerçek ve tüzel kişiler ile kurum ve kuruluşlar da şirketlerin kendi internet sitelerinde sağladıkları içeriklerin kişilik haklarını ihlal ettiği iddiasına istinaden ihlale konu olan içeriğin yayından çıkartılmasını şirketlerden talep edebilecektir. İnternet ortamında yapılan yayın içeriği nedeniyle kişilik haklarının ihlal edildiğini iddia eden kişilerin taleplerinin, içerik ve/veya yer sağlayıcısı tarafından en geç yirmi dört saat içerisinde cevaplandırılması zorunluluğu da yeni düzenlemeler ile hayata geçmiştir. Bu doğrultuda şirketlerin, kişilik hakkının ihlal edildiği gerekçesiyle içeriğin yayından kaldırılmasına ilişkin talepleri en geç yirmi dört saat içerisinde cevaplandırması gerekmektedir. Tartışılan değişikliklerden bir diğeri olan özel hayatın gizliliği nedeniyle erişimin engellenmesi konusu da şirketler açısından çeşitli sonuçlar doğurabilecektir. Kanun da yapılan değişiklik ile artık internet ortamında yapılan yayın içeriği nedeniyle özel hayatının gizliliğinin ihlal edildiğini iddia eden gerçek ve tüzel kişiler, TİB e doğrudan başvurarak içeriğe erişimin engellenmesini isteyebilir. Bu noktada dikkat edilmesi gereken konu ihlalin hukuki nitelendirilmesine göre ilgili madde kapsamında belirtilen filler içerisinde olup olmadığıdır. Eğer madde kapsamında ve yukarıda belirtilen fiillerden biri Türk Ceza Kanunu nda özel hayata ve hayatın gizli alanına ihlale ilişkin suçları oluşturuyor ve tüzel kişinin mağdur olması noktasında hukuki bir engel bulunmuyorsa, şirketler doğrudan TİB e başvurarak ilgili içeriğe erişimin engellenmesi kapsamındaki haklarını kullanabilecektir. Düzenlemenin ikinci yönü şirketlerin içerik ve/veya yer sağlayıcı ve/veya erişim sağlayıcı olduğu durumlara ilişkindir. Bu noktada dikkat edilmesi gereken, şirketlerin içerikle ilgili sıfatını belirlemesi ve bu kapsamda kanuni yükümlülüklerini yerine getirmesi için gerekli adımları atmasıdır. 1 Dipnot 1) İçerik Sağlayıcı : İnternet ortamı üzerinden kullanıcılara sunulan her türlü bilgi veya veriyi üreten, değiştiren ve sağlayan gerçek veya tüzel kişileri ifade etmektedir Sayılı Kanun, Madde 2 beyaz şapka Mayıs

14 Atıl Serkan Gürcan AKCAN Bulut Üzerinden Uç Nokta Güvenliği Günlük hayatta kullandığımız cihazların belirli uyumluluk koşullarına karşı denetlenmesi ve uyumlu hale getirilmesi gibi genellikle yerel sistemler tarafından gerçekleştirilen işlemlerin günümüzde bulut sistemleri aracılığıyla da yapılabileceğini biliyor muydunuz? Bildiğiniz gibi uçtan uca güvenlik yaklaşımında, bilgisayar ağlarındaki güvenlik unsurlarını farklı katmanlardan sağlamak mümkündür. Örneğin ağ girişine güvenlik duvarı konumlandırmak, ağdaki bilgisayarlara anti virüs yazılımları yüklenmesi ve cihazların yazılım güncelleştirmelerinin sağlanması, uzaktaki cihazların ağa bağlanırken çeşitli güvenlik sertifikaları ile veri iletişiminin şifreli hale getirilmesinin sağlanması bu işlemlerden bazılarıdır. Genellikle yerel sistemler tarafından gerçekleştirilen bu güvenlik önemleri sayesinde cihazlar üzerindeki işletim sistemlerinin yazılımsal güvenliğinin yanı sıra veri iletişimi sırasında da farklı açılardan güvenlik altına alınmış olur. Özellikle işyerine kendi cihazını götürme trendleri ve yaygın mobil çalışma gereksinimleri nedeniyle kurum ağına uzun süre bağlanılamaması gibi durumlarda örneğin cihaz üzerindeki anti virüs yazılımlarının veya işletim sisteminin güncelliğini kaybetmesi ve bu nedenle cihazların önceden belirlenmiş politikalara karşı uyumluluk kontrollerinden geçememesi ve uyumsuz olarak raporlanması ile karşılaşılabilir. Bu tip istenmeyen ve kontrolsüz durumların önüne geçebilmek için ise bulut çözümlerinin kullanılması fayda / maliyet oranını yükseltecektir. İstenirse doğrudan bulut üzerinden kullanılabilecek olan bu tip çözümler istenirse mevcut bulunan yerel bir yönetim sistemi ile entegre çalışabilmektedir. Her iki senaryoda da varılan nokta tekilleşmiş bir cihaz yönetim platformunun sağlanmasıdır. Tüm platformlarda, platformun izin verdiği ölçüde yönetim ve güvenliği sağlayan Windows Intune bulut çözümü sayesinde kurumlar tekil bir cihaz yönetim sistemine sahip olabilmektedir. Bu sayede kurumların uç noktalardaki hakimiyeti artacak; cihazların ise kurum tarafından belirlenen politikalara uygunluğu sayesinde uçtan uca güvenlik seviyesinin yükselmesi mümkün olacaktır. Yönetilen cihazlar üzerinde güvenliğin sağlanması çeşitli politikalar aracılığıyla gerçekleştirilmektedir. Bu politikalara örnek olarak güvenlik duvarı politikaları, cihaz üzerinde şirelemenin sağlandığı ve donanımlara erişimin sınırlandırılabildiği mobil aygıt ilkeleri yanı sıra işletim sistemi güncelleştirmelerinin ve anti-virüs yazılımları ile ilgili ayarların takip edildiği Windows Intune Aracı Ayarları gibi farklı ilkelerden bahsetmek mümkündür. Bu ilkeler sayesinde yönetilen cihazların yazılımsal olarak güvenliği sağlanabilmektedir. latformlara göre cihazlar üzerinde gerçekleştirilebilen işlemlerin bir kısmını aşağıdaki tabloda görebiliriz: 14 beyaz şapka Mayıs 2014

15 Kategori Windows 8.1 & RT Windows none 8.1 İOS Android VN rofili Dağıtımı Wireless rofil Dağıtımı Sertifika Yönetimi E-osta rofili arola Tanımlanması Mağaza Erişim Sınırlamaları Tarayıcı Yönetimi İçerik Değerlendirme Bulut Senkronizasyonu Cihaz Şifreleme Güvenlik Dolaşım Windows Server Work Folders Uygulama Yönetimi (*) (*) (*) (*) (*) (*) (*) (*) (*) (*) (*) (*) (*) (*) *: Cihaz platformu burada bahsedilen ayarların bir kısmını sağlamaktadır. Nisan ayının son haftasında kullanıcılara sunulacak olan Windows Intune Bahar Güncelleştirmesi ile; hem piyasada hali hazırda bulunan Samsung mobil aygıtları Knox arayüzü ile yönetmeye başlıyor hem de yazın piyasaya çıkması beklenen Windows hone 8.1 işletim sistemini de tüm özellikleriyle yönetebilir hale geliyor. Bunun yanı sıra ios ve Android cihazlar üzerinden RD bağlantısının sağlanabilir hale gelmesi aynı şekilde heyecan yaratan özellikler arasında sayılabilir. Kurumlar için bilgi güvenliği noktasındaki bir diğer kritik nokta ise cihazların kaybolması durumunda cihaz üzerindeki verilerin güvenli bir şekilde ortadan kaldırılabilir olmasıdır. Burada ön plana çıkan veriler arasında kurumsal elektronik posta ayarları ve verileri; kurum tarafından gönderilen uygulamalar ve uygulama verileri, cihaza iletilmiş olan sertifikalar ve bu sertifikaların kullanıldığı ağ bağlantı profilleri (VN / Wi-Fi gibi) yer almaktadır. Bu tip veriler Windows Intune aracılığıyla platformun izin verdiği ölçüde tamamen veya kısmi olarak silinebilir. Bir cihazın Fabrika Sıfırlaması görevi ile temizlenmesi cihaz üzerindeki tüm verilerin silinmesine neden olacakken, Kaldır görevi kullanılarak cihazın kurum ağı ile ilişkisinin kesilmesi durumunda ise kullanıcının kişisel verileri korunacak ancak kurumsal kanaldan gelen yukarıda saydığımız kurumsal veriler ortadan kaldırılacaktır. beyaz şapka Mayıs

16 Serkan Sibel Akbaş AKCAN Hukuki Düzenlemeler Çerçevesinde Kayıtlı Elektronik osta (KE) Hemen hepimiz bir Elektronik osta hesabına sahibiz ve bu hesaplarımızdan E-osta gönderiyor ya da alıyoruz. eki, E-osta larımız teknik olarak gerçekten güvenli mi ve hukuken bağlayıcı sonuçlar doğurabilir mi? İçerisinde bulunduğumuz bilgi ve bilişim çağında teknolojinin hızla gelişip internetin yaygın ve daha kolay erişilebilir hale gelmesiyle birlikte bireylerin kullandığı iletişim araçları ve kanalları da çeşitlenip farklılaşmıştır. Bugün hemen herkesin en yoğun kullandığı iletişim araçlarından biri gerek maliyetinin düşük olması gerek veri iletiminde sağladığı hız ve kolaylık sebebiyle Elektronik osta (e-posta) dır. Bireyler tarafından tüm dünyada yoğun olarak kullanılan bu iletişim kanalının ticari işler ve resmi işlemlerde de kullanılabilmesi bürokrasinin azaltılabilmesi ve hukuki süreçlerde hızlı aksiyon alınabilmesi açısından oldukça büyük öneme sahiptir. nik osta (KE) sistemi faaliyete geçirilmiştir. KE sisteminin kullanılmasıyla birlikte; Tarafların zaman ve işlemi yapan (gönderiyi yapan ve gönderiyi teslim alan) bakımından inkâr edemeyeceği bir şekilde güvenli olarak elektronik belgelerin, beyan ve açıklamaların gönderilmesi ve alınması (Güvenli Elektronik Gönderi ve Teslim) İletişimin gizliliği prensiplerine uygun olarak elektronik ortamda güvenli haberleşme Güvenli bir ortamda elektronik belgelerin saklanması gibi avantajlar ile standart e- posta nın riskleri ortadan kaldırılıp, teknolojinin sunmuş olduğu bu iletişim kanalı resmi ve ticari işlemlerde güvenli bir şekilde kullanılabilir hale gelmiştir. KE sistemine ilişkin ilk yasal düzenleme 14 Şubat 2011 tarihinde değişen Türk Ticaret Kanunu ile gerçekleştirilmiştir. 25 Ağustos 2011 de ise ikincil düzenlemeler tamamlanmıştır. Ancak hemen herkesin kullandığı standart e-posta, avantajlarının yanında, gönderici ve alıcı kimliklerinin tam olarak tespit edilememesi, gönderilen mesajın üçüncü kişiler tarafından görülebilmesi, mesajın içeriğinin değiştirilmesi, veri güvenliğinin sağlanamaması, hukuki ve teknik olarak güvenli bir alt yapıya sahip olmaması gibi bazı riskler taşımaktadır. E-posta nın bu risklerinin ortadan kaldırılıp, ticari ve resmi iş ve işlemlerde güvenli olarak kullanılabilen bir iletişim aracı olabilmesi için gerekli hukuki düzenlemeler yapılarak Kayıtlı Elektro- Ancak, ilgili kanunun 1 Temmuz 2012 tarihi itibariyle yürürlüğe girmesi, Kayıtlı Elektronik osta Hizmet Sağlayıcı (KEHS) ların 16 beyaz şapka Mayıs 2014

17 KE hizmeti sunabilmeleri için gerekli yetkilendirmelerin 2012 yılının sonlarına doğru gerçekleşmiş olması gibi sebeplerle Kayıtlı Elektronik osta nın fiilen kullanılmaya başlanması 2013 yılını bulmuştur. Bu anlamda Kayıtlı Elektronik osta nın yeni bir uygulama olduğunu ve henüz yaygın olarak kullanılmadığını söylemek mümkündür. Güvenli olmaması sebebiyle özel e-posta hesapları aracılığıyla yapılamayan, bireylerin bizzat gidip yazılı beyanları ve imzaları ile yapmak zorunda oldukları işlemler, KE ile hızlı ve güvenli bir şekilde yapılabilecektir. Böylelikle sıra bekleme, bürokratik işlemlere takılma, evrak takibi yapmak zorunda olma gibi zahmetli ve zaman kaybettirici süreçler ortadan kalkmış olacaktır. KE in kullanıcılar için önemli avantajlarından bir diğeri ise; KE üzerinden gönderilen iletilerin 20 yıl boyunca saklanabilme olanağı. Böylece bir yandan gerek kurum ve kuruluşlar gerek bireyler önemli, özel, ticari ya da resmi belgeler için kâğıt arşiv tutma yükünden kurtulmuş olacaklardır. Öte yandan ise; hukuk düzenimizde bu saklama süresi içinde ortaya çıkabilecek hukuki ihtilaflarda ibraz edilecek olan elektronik deliller de KE Sisteminde saklanmış olacaktır. Ancak 19 Ocak 2013 tarihinde yürürlüğe giren Elektronik Tebligat Yönetmeliği KE kullanımına ivme kazandıracak bir düzenleme olarak değerlendirilebilir. Yönetmelikle; anonim, limited ve sermayesi paylara bölünmüş komandit şirketlere tebligatlarını e-tebligat olarak alma yükümlülüğü getirildiğinden, KE kullanımı zaman içerisinde yaygınlaşıp artacaktır. Hâlihazırda daha çok şirketler tarafından ticari işlerde kullanılıyor olsa da yakın gelecekte günlük yaşamda da birçok işlemin KE üzerinden yapılması öngörülmektedir sonunda Türkiye de 4 milyon KE kullanıcısı olacağı, bu kullanıcıların 1 milyonunun kurumsal, 3 milyonunun ise bireysel kullanıcı olacağı tahmin edilmektedir. Bu beklenti kurumların KE kullanma oranının artmasıyla, bireylerin de KE kullanımının artacağı düşüncesine dayanmaktadır. Kurumların işlemlerini KE üzerinden yürütmesiyle birlikte, bireyler günlük yaşamda yaptıkları birçok işlemi KE üzerinden de yapabilme imkânına kavuşacaklardır. KE, güvenli e-imza ve zaman damgası teknolojileriyle e-postaların teknik açıdan ve hukuksal olarak güvenli ve bağlayıcı olması sonucunu doğurmaktadır. Bu sistemde haberleşen kişiler KE iletilerinin muhataplarının kimliklerinden ve iletinin içeriğinin değiştirilmemiş olduğundan emin olmaktadırlar. Gerek 5070 Sayılı Elektronik İmza Kanunu gerek 6098 Sayılı Türk Borçlar Kanunu hukuk sistemimizde güvenli elektronik imzaya, ıslak imza ile aynı hukuki sonucu bağlamaktadır. Tebligat Kanunu ve Elektronik Tebligat Yönetmeliğinin yanı sıra, 6102 Sayılı Türk Ticaret Kanunu da, KE ya, güvenli elektronik imza ile birlikte, Dijital Şirket konsepti çerçevesinde oldukça geniş bir uygulama alanı vermektedir. Sonuç olarak, KE sistemiyle kurum, kuruluş ve bireysel kullanıcılar arasında, hukuki olarak geçerli ve güvenli bir şekilde her türlü resmi, ticari ve özel bilgi ve belge paylaşılabilecek, gerekli iş ve işlemler yapılabilecektir. Kurumların KE i kullanmaya başlaması, zamanla bireylerin de işlemlerini hukuki olarak geçerli ve teknik olarak güvenli bu iletişim aracını kullanarak yapmaları yönünde itici bir güç olacaktır. Ancak KE yeni bir sistem olduğundan bireyler tarafından yaygın olarak kullanılması için biraz daha zamana ihtiyacı olduğu söylenebilir. beyaz şapka Mayıs

18 İrfan Serkan Kotman AKCAN DNS Spoofing Yıllar sonra tekrar hatırlanan bir atak yöntemi Bu sayımızdaki yazımızı son günlerde tekrar gündeme gelen DNS spoofing (DNS önbellek zehirlenmesi) konusuna ayırdık. Günümüzün popüler hacking yöntemleri arasında olmayan önbellek zehirlenmesi, son dönemde yaşanan gelişmeler ile tekrar gündeme geldi. Biz gündemde olan konulardan değinmeden, yazımız içerisinde önbellek zehirlemesinin ne olduğu, hangi yöntemler ile yapılabileceği hakkında küçük iki örnek vereceğiz. DNS Spoofing (DNS Önbellek Zehirlenmesi) DNS bilişim dünyasında kullanılmaya başlandığından beri DNS atakları arasında en çok kullanılan yöntem olan DNS önbellek zehirlenmesidir. DNS Spoofing (Önbellek Zehirlenmesi) bir DNS sunucusuna yetkisiz bir kaynaktan bilgi yüklenmesi olarak tanımlanabilir. DNS yazılımındaki bir hata, DNS sunucusunu yapılandırırken yapılan konfigürasyon yanlışları ya da DNS protokolünün üzerinde bulunan bir açık sebebi ile gerçekleştirilebilen önbellek zehirlenmesi, basit olarak değiştirilmiş bilginin (orijinal kaynaktan gelen bilgi yerine farklı bir bilgi iletilmesi ) DNS önbelleğine gerçek veri yerine ulaştırılması olarak tanımlanabilir. DNS alan adının bulunduğu sunucunun I adresinin farklı yöntemlerle zehirlenmesi mümkündür. En popüler yöntem, gerçek alan adı sunucusu kullanıcıya cevap dönmeden, kötü niyetli kişinin DNS sunucu ile kullanıcı arasına girerek kendi yanıtını kullanıcıya dönmesi esasına dayanan, man-in-the-middle türünde saldırıyla DNS sunucusuna istek ulaşmadan önbellek zehirlenmesinin gerçekleştirilmesidir. Bu saldırı tipi, DNS sorgusu kullanıcı makinesine gerçek DNS sunucusu yerine kötü niyetli yazılımın yanıt vermesi esasına dayanır. Yukarıdaki örnek akış tablosunda göreceğiniz gibi bu tip ataklar kurban makineden DNS sunucusuna giden isteklerin, kötü niyetli kişi tarafından istenen sunucu ya da sayfaya yönlendirmesi ile gerçekleşmektedir. İlk senaryomuzda kurban makine ile istek yaptığı DNS sunucu arasına girerek, adresine giden istekleri, bizim sunucumuz olan I sine yönlendireceğiz. Bunun için Linux altyapısında çalışan aracımız olan Evilgrade yazılımını, penetration testler için özel olarak tasarlanan işletim sistemimiz üzerinde çalıştırıyoruz. DNS Mesajının Yapısı Bir DNS mesajı temel olarak beş bölümden oluşur. Bunlar başlık (header), soru (question), yanıt (answer), yetki (authority), ek bölümler (additional) olarak nitelenebilir. 16 bitten oluşan başlık sorgusuna verilen yanıt aynı şekilde kopyalanarak ve eşleşme sağlanarak daha sonraki mesaj adımları sırasında önbellek zehirlenmesi saldırısı oluşturulabilir. Man-in-the-middle ile DNS önbellek zehirlenmesi Bu sayımızda araya girme yöntemi ile (Man-in-the-middle) DNS önbellek zehirlenmesi ile ilgili iki örnek vereceğiz. İkinci bir terminal ekranı açarak, pico /usr/share/ettercap/etter.dns komutu ile sunucu üzerinde DNS sniffing yapacağımız programın DNS kayıtlarında alan adını I sine yönlendiriyoruz. İlk açtığımız terminal ekranına geri dönüyoruz ve terminal ekranı üzerinde run application ile sniffing aracımızı açıyoruz. 18 beyaz şapka Mayıs 2014

19 Açılan yazılım üzerinden DNS spoofing (DNS önbellek zehirlemesi) seçeneğini aktif hale getiriyoruz. Bunun için işletim sistemimiz üzerinde sosyal paylaşım siteleri atakları için tasarlanan bir yazılımı aktif hale getiriyoruz. Gerekli adımları seçerek site cloner ekranına geliyoruz Daha sonra Man-in-the-middle atak için programımızın arp poisoning özelliği ile networku zehirlemeye başlıyoruz. Sisteminizin uygun sunucuya yönlendirilmesi için sunucumuzun I si olan ü ve sosyal paylaşım sitesinin URL ismini giriyoruz ve sayfayı kopyalıyoruz. Kurban makinemiz üzerinden alan adını pinglediğimiz zaman makinesine gittiğini görüyoruz. Kullanıcı sosyal paylaşım sitesine bilgilerini girdiğinde, kötü niyetli kişinin ekranında, kurban makine üzerinden girilen kimlik bilgileri gözükecektir. eki, bu işlem kötü niyetli kişilere ne sağlayacak? Bu noktada birçok farklı senaryolar ortaya koyulabilir. En fazla karşılaşılan örnek, kullanıcı adı şifre ya da kişisel bilgiler girilen sayfaların kopyalanarak, kurbanın bilgilerinin ele geçirilmesidir. Bizde ikinci örneğimizde ilk senaryomuzda anlatılan adımları kısaca özetleyerek, bir sosyal paylaşım sitesinin şifrelerinin ele geçirilmesi için yapılan DNS önbellek zehirlenmesi örneğini kısaca anlatmaya çalışacağız. Bu senaryoda da ilk senaryomuzdaki adımlar aynı şekilde gerçekleştirilmektedir. Kısaca kullanılan araçlar sayesinde sosyal paylaşım sitesinin DNS kaydı bilgilerinin değiştirilmesi, DNS spoofing ve Man-in-the-middle için AR poisoning özelliklerinin aktif edilmesi aynı şekilde gerçekleştirilmektedir. Buradaki tek fark kullanıcının aldatılması için, sosyal paylaşım sitesinin kullanıcı kimlik doğrulama sayfasının oluşturulması ve kurban kullanıcının bu sayfaya yönlendirilmesidir. Bu tip site kopyalama işlemi birçok site için gerçekleştirilebilir. Fakat kopyalanan siteler genel olarak orijinal sitelere göre küçük hatalar barındırdığından dikkatli kullanıcılar tarafından kolayca fark edilebilmektedir. DNS Spoofing (Ön Bellek Zehirlenmesi ne) karşı alınabilecek bazı önlemler; DNS sunuculardaki açıkların düzenli tespiti ve yamalar ile kapatılması. DNS sunucular üzerinde ya da önünde atak önleyici sistemlerin bulunması Kullanıcı makinelerinde son nokta atak önleyici sistemlerin çalıştırılması Sistemlerde trafiğin filtrelenerek aldatma yöntemlerinin tespit edilmesi. Kişisel bilgiler girilen Web sayfalarının kesinlikle https protokolü olarak çalıştırılması. beyaz şapka Mayıs

20 20 Beyaz Şapka ya katkılarından dolayı tüm sponsorlarımıza ve yazarlar

5651 ve 5070 Sayılı Kanun Tanımlar Yükümlülükler ve Sorumluluklar Logix v2.3 Firewall. Rekare Bilgi Teknolojileri

5651 ve 5070 Sayılı Kanun Tanımlar Yükümlülükler ve Sorumluluklar Logix v2.3 Firewall. Rekare Bilgi Teknolojileri 5651 ve 5070 Sayılı Kanun Tanımlar Yükümlülükler ve Sorumluluklar Logix v2.3 Firewall 5651 Sayılı Kanun Kanunun Tanımı : İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen

Detaylı

SİBER SUÇLARA KARŞI SİBER ZEKA

SİBER SUÇLARA KARŞI SİBER ZEKA SİBER SUÇLARA KARŞI SİBER ZEKA Aytuğ Çelikbaş Sistem Mühendisi Copyright 2013 EMC Corporation. All rights reserved. 1 2 Ajanda Günümüz Tehditleri Güvenlikte Büyük Veri Yaklaşımları Siber İstihbarat Atak

Detaylı

Siber Güvenlik Risklerinin Tanımlanması / Siber Güvenlik Yönetişimi

Siber Güvenlik Risklerinin Tanımlanması / Siber Güvenlik Yönetişimi KURUMLAR İÇİN SİBER GÜVENLİK ÖNLEMLERİNİ ÖLÇME TESTİ DOKÜMANI Kurumlar İçin Siber Güvenlik Önlemlerini Ölçme Testi Dokümanı, kamu kurum ve kuruluşları ile özel sektör temsilcilerinin siber güvenlik adına

Detaylı

Venatron Enterprise Security Services W: P: M:

Venatron Enterprise Security Services W:  P: M: VENATRON Enterprise Security Services Ltd. Şti. Danger is a click away. (Tehlike bir tık ötede ) sloganı ile 2011 de Siber Güvenlik sektöründe yerini alan Venatron Security güvenlik ihlallerini önlemek

Detaylı

Logsign Hotspot. Güvenli, izlenebilir, hızlı ve. bağlantısı için ihtiyacınız olan herşey Logsign Hotspot da!

Logsign Hotspot. Güvenli, izlenebilir, hızlı ve. bağlantısı için ihtiyacınız olan herşey Logsign Hotspot da! Logsign Hotspot Misafir Ağlar İçin Yeni Nesil Bütünleşik Erişim ve Analitik Çözümü Misafir ağların her geçen gün artan ihtiyaçlarını karşılayabilmek için yeni nesil mimari ile tasarlanmış olan Logsign

Detaylı

EKLER EK 12UY0106-5/A4-1:

EKLER EK 12UY0106-5/A4-1: Yayın Tarihi: 26/12/2012 Rev. :01 EKLER EK 12UY0106-5/A4-1: nin Kazandırılması için Tavsiye Edilen Eğitime İlişkin Bilgiler Bu birimin kazandırılması için aşağıda tanımlanan içeriğe sahip bir eğitim programının

Detaylı

Çok Önemli Not : ilgili yasaya ilişkin görüş ve yorumlarını yansıtmaktadır. Hiçbir kurum ve kuruluşu bağlayıcı niteliği yoktur.

Çok Önemli Not : ilgili yasaya ilişkin görüş ve yorumlarını yansıtmaktadır. Hiçbir kurum ve kuruluşu bağlayıcı niteliği yoktur. 5651 Sayılı Yasanın Getirdiği Yükümlülükler Çok Önemli Not : Bu dokümanda belirtilenler tamamen kuruluşumuzun ilgili yasaya ilişkin görüş ve yorumlarını yansıtmaktadır. Hiçbir kurum ve kuruluşu bağlayıcı

Detaylı

AĞ SĠSTEMLERĠ. Öğr. Gör. Durmuş KOÇ

AĞ SĠSTEMLERĠ. Öğr. Gör. Durmuş KOÇ AĞ SĠSTEMLERĠ Öğr. Gör. Durmuş KOÇ Ağ Ġletişimi Bilgi ve iletişim, bilgi paylaşımının giderek önem kazandığı dijital dünyanın önemli kavramları arasındadır. Bilginin farklı kaynaklar arasında transferi,

Detaylı

DTÜ BİLGİ İŞLEM DAİRE

DTÜ BİLGİ İŞLEM DAİRE 5651 Sayılı Kanun ve ODTÜ ODTÜ Yerel Alan Ağında, 5651 Sayılı Kanun Uyarınca Uyulması Gereken Kurallar 16 Mart 2009 ODTÜ Yerel Alan Ağında, 5651 Sayılı Kanun Uyarınca Uyulması Gereken Kurallar http://www.metu.edu.tr/5651

Detaylı

HAKKIMIZDA. Misyonumuz; Vizyonumuz;

HAKKIMIZDA. Misyonumuz; Vizyonumuz; HAKKIMIZDA SOFTKEY kurumsal teknoloji hizmetlerinde, müşteri odaklı yaklaşımı, rekabetçi fiyatları ve eksiksiz destek hizmeti sunmak amacıyla kurulmuştur. Sektörün önde gelen teknoloji firmaları ile iş

Detaylı

EMC Forum 2014. Yazılım Temelli Veri Depolama Moro Hekim Sistem Mühendisi moro.hekim@emc.com

EMC Forum 2014. Yazılım Temelli Veri Depolama Moro Hekim Sistem Mühendisi moro.hekim@emc.com EMC Forum 2014 Yazılım Temelli Veri Depolama Moro Hekim Sistem Mühendisi moro.hekim@emc.com 1 ipad KAZANMAK için 1 - @EMCTurkey hesabını takip etmelisiniz. 2 - Tweetinizde 4 noktayı belirtmeyi unutmayın!

Detaylı

BİLİŞİM SİSTEMLERİ GÜVENLİĞİNDE YENİ EĞİLİMLER

BİLİŞİM SİSTEMLERİ GÜVENLİĞİNDE YENİ EĞİLİMLER BİLİŞİM SİSTEMLERİ GÜVENLİĞİNDE YENİ EĞİLİMLER Dr. Hayrettin Bahşi bahsi@uekae.tubitak.gov.tr 11 Mart 2010 Gündem Bulut Hesaplama Sistemleri ve Bilgi Güvenliği Güvenli Yazılım Geliştirme Hayat Döngüsü

Detaylı

Kayıtlı e-posta (KEP) güvenli e- posta hizmetidir ve bu yönü ile standart e- posta sistemlerinden ayrılır.

Kayıtlı e-posta (KEP) güvenli e- posta hizmetidir ve bu yönü ile standart e- posta sistemlerinden ayrılır. İçindekiler Kayıtlı E- Posta (KEP) Nedir?... 2 Kayıtlı E- Posta (KEP) Hizmetini Kimler Sunar?... 2 Kayıtlı E- Posta Özellikleri Nelerdir?... 2 Kayıtlı E- Posta Neden Güvenli ve Hukuken Geçerlidir?... 3

Detaylı

Bilindiği üzere Bilgi Güvenliği Yönetim Sistemi, bilgi ve bilgi varlıklarının

Bilindiği üzere Bilgi Güvenliği Yönetim Sistemi, bilgi ve bilgi varlıklarının BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ VE İŞ SÜREKLİLİĞİ - 1 Bilindiği üzere Bilgi Güvenliği Yönetim Sistemi, bilgi ve bilgi varlıklarının Gizliliği Tamlığı (Bütünlüğü) Erişebilirliği (Kullanılabilirliği) Üzerine

Detaylı

BİLGİSAYAR VE AĞ GÜVENLİĞİ

BİLGİSAYAR VE AĞ GÜVENLİĞİ BİLGİSAYAR VE AĞ GÜVENLİĞİ SUNUŞ PLANI 5651 SAYILI KANUN İNTERNET DÜNYASININ AKTÖRLERİ İLGİLİ YÖNETMELİKLERE İLİŞKİN AÇIKLAMALAR TEMEL GÜVENLİK PFSENSE NEDİR.? PFSENSE KURULUM VE AYARLAR.? 4/5/2007 TARİHLİ

Detaylı

Bilgi Güvenliği Hizmetleri Siber güvenliği ciddiye alın!

Bilgi Güvenliği Hizmetleri Siber güvenliği ciddiye alın! Bilgi Güvenliği Hizmetleri Siber güvenliği ciddiye alın! 2 Securitas ile Bir adım Önde Olun Bir kurumda çalışanlarla ilgili kişisel bilgilerin internette yayınlanması, interaktif bankacılık sistemi kullanıcısının

Detaylı

4/5/2007 TARİHLİ VE 5651 SAYILI KANUN. Şinasi DEMİR-Serkan KAYA İl Bilgisayar Formatör Öğretmenleri-ANTALYA

4/5/2007 TARİHLİ VE 5651 SAYILI KANUN. Şinasi DEMİR-Serkan KAYA İl Bilgisayar Formatör Öğretmenleri-ANTALYA 4/5/2007 TARİHLİ VE 5651 SAYILI KANUN Şinasi DEMİR-Serkan KAYA İl Bilgisayar Formatör Öğretmenleri-ANTALYA AMAÇ Yönetici Öğretmen Öğrenci Veli İnternetin güvenli ve bilinçli kullanımı konusunda tavsiyelerde

Detaylı

Bilindiği üzere Bilgi Güvenliği Yönetim Sistemi, bilgi ve bilgi varlıklarının

Bilindiği üzere Bilgi Güvenliği Yönetim Sistemi, bilgi ve bilgi varlıklarının BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ VE İŞ SÜREKLİLİĞİ - 1 Bilindiği üzere Bilgi Güvenliği Yönetim Sistemi, bilgi ve bilgi varlıklarının Gizliliği Tamlığı (Bütünlüğü) Erişebilirliği (Kullanılabilirliği) Üzerine

Detaylı

5651 Sayılı Kanun Hakkında Kanunla ilgili detay bilgiler

5651 Sayılı Kanun Hakkında Kanunla ilgili detay bilgiler 2009 5651 Sayılı Kanun Hakkında Kanunla ilgili detay bilgiler İnternet ortamında yapılan yayınların düzenlenmesi ve bu yayınlar yoluyla işlenen suçlarla mücadele edilmesi hakkındaki 5651 sayılı kanunun

Detaylı

SEÇKİN ONUR. Doküman No: Rev.Tarihi 01.11.2014. Yayın Tarihi 23.10.2013 Revizyon No 01 OGP 09 SEÇKİN ONUR BİLGİ GÜVENLİĞİ POLİTİKASI

SEÇKİN ONUR. Doküman No: Rev.Tarihi 01.11.2014. Yayın Tarihi 23.10.2013 Revizyon No 01 OGP 09 SEÇKİN ONUR BİLGİ GÜVENLİĞİ POLİTİKASI Tanım: Bilgi güvenliği, kurumdaki işlerin sürekliliğinin sağlanması, işlerde meydana gelebilecek aksaklıkların azaltılması ve yatırımlardan gelecek faydanın artırılması için bilginin geniş çaplı tehditlerden

Detaylı

Mobil Cihazlardan Web Servis Sunumu

Mobil Cihazlardan Web Servis Sunumu Mobil Cihazlardan Web Servis Sunumu Özlem Özgöbek Ege Üniversitesi Bilgisayar Mühendisliği Bölümü 2010 İnternet erişiminin yaygınlaşması ve artık mobil cihazlar üzerinden bile yüksek hızlı veri iletişimine

Detaylı

ÖNDER BİLGİSAYAR KURSU. Sistem ve Ağ Uzmanlığı Eğitimi İçeriği

ÖNDER BİLGİSAYAR KURSU. Sistem ve Ağ Uzmanlığı Eğitimi İçeriği ÖNDER BİLGİSAYAR KURSU Sistem ve Ağ Uzmanlığı Eğitimi İçeriği BÖLÜM 1 KİŞİSEL BİLGİSAYAR DONANIMI 1.1. Kişisel Bilgisayarlar ve Uygulamalar Bilgisayarların Kullanım Şekli ve Yeri Bilgisayar Tipleri (Sunucular,

Detaylı

Sisteminiz Artık Daha Güvenli ve Sorunsuz...

Sisteminiz Artık Daha Güvenli ve Sorunsuz... Sisteminiz Artık Daha Güvenli ve Sorunsuz... Asistek Firewall kullanmanın pek çok yararı vardır: Asistek Firewall, tamamen web tabanlı ve esnek yapıya sahip Güvenlik Duvarı servislerini barındırarak çeşitli

Detaylı

ORDU ÜNİVERSİTESİ BİLGİ İŞLEM DAİRESİ BAŞKANLIĞI HİZMET ENVANTERİ TABLOSU

ORDU ÜNİVERSİTESİ BİLGİ İŞLEM DAİRESİ BAŞKANLIĞI HİZMET ENVANTERİ TABLOSU ORDU ÜNİVERSİTESİ BİLGİ İŞLEM DAİRESİ BAŞKANLIĞI HİZMET ENVANTERİ TABLOSU HİZMETİ SUNMAKLA GÖREVLİ / YETKİLİ KURUMLARIN / BİRİMLERİN ADI HİZMETİN SUNUM SÜRECİNDE SIRA NO KURUM KODU STANDART DOSYA PLANI

Detaylı

Sibergüvenlik Faaliyetleri

Sibergüvenlik Faaliyetleri 1 Siber Güvenlik Sibergüvenlik Faaliyetleri Erdoğan OLCAY Bilişim Uzmanı Kasım 2018 BTK Görev ve Yetkileri 5809 sayılı Kanun 60/11 Kurum, kamu kurum ve kuruluşları ile gerçek ve tüzel kişilerin siber saldırılara

Detaylı

Video Konferans ve Kurumsal İletişim Sistemi

Video Konferans ve Kurumsal İletişim Sistemi PlaceCam Video Konferans ve Kurumsal İletişim Sistemi 2014 Telif Hakkı: Bu doküman kısmın veya tamamen kopyalanamaz. İçindeki fikirler ve iş modeli paylaşılamaz. İletişim: Bilgin Yazar, bilginyazar@etgigrup.com,

Detaylı

Yeni Nesil Ağ Güvenliği

Yeni Nesil Ağ Güvenliği Yeni Nesil Ağ Güvenliği Ders 6 Mehmet Demirci 1 Bugün Taşıma katmanı güvenliği (TLS, SSL) İnternet katmanı güvenliği (IPSec) Kablosuz bağlantı güvenliği Güvenlik duvarları 2 SSL/TLS SSL ilk olarak Netscape

Detaylı

Nagios XI Günümüzün talep gören kurumsal gereksinimleri için en güçlü BT altyapısı gözetim ve uyarı çözümüdür.

Nagios XI Günümüzün talep gören kurumsal gereksinimleri için en güçlü BT altyapısı gözetim ve uyarı çözümüdür. Nagios Enterprises, kurumsal ölçekte, BT altyapı gözetiminde endüstri standardı olan Nagios için resmi ürünler, hizmetler ve çözümler sunuyor. Dünya çapında yüz binlerce kullanıcıyla Nagios bilgi teknolojileri

Detaylı

Gökhan AKIN. ĐTÜ/BĐDB Ağ Grubu Başkanı ULAK-CSIRT Güvenlik Grubu Üyesi. http://www2.itu.edu.tr/~akingok

Gökhan AKIN. ĐTÜ/BĐDB Ağ Grubu Başkanı ULAK-CSIRT Güvenlik Grubu Üyesi. http://www2.itu.edu.tr/~akingok DHCP SERVĐSĐNE YENĐ BĐR BAKIŞ Gökhan AKIN ĐTÜ/BĐDB Ağ Grubu Başkanı ULAK-CSIRT Güvenlik Grubu Üyesi http://www2.itu.edu.tr/~akingok DHCP Servisi Dynamic Host Configuration Protocol, RFC 2131: IP bazlı

Detaylı

T.C. BİLGİ TEKNOLOJİLERİ VE İLETİŞİM KURUMU Tarih : İnternet Daire Başkanlığı Sayı :

T.C. BİLGİ TEKNOLOJİLERİ VE İLETİŞİM KURUMU Tarih : İnternet Daire Başkanlığı Sayı : T.C. BİLGİ TEKNOLOJİLERİ VE İLETİŞİM KURUMU Tarih : 18.01.2018 İnternet Daire Başkanlığı Sayı : 18-008 Konu : Yer Sağlayıcıları ve Veri Merkezi İşletmecilerinin yükümlülüklerinin farklılaştırılmasına yönelik

Detaylı

Değerlerinizi Koruyun!

Değerlerinizi Koruyun! İnternet ve Bilgi Teknolojileri Değerlerinizi Koruyun! NetKilit ; Sizin dışınızdaki kullanıcıların internet ve dosya erişimlerini kolayca sınırlandırmanızı sağlayan, donanım korumalı (NetKilit Anahtarı)

Detaylı

HATAY KHB BILGI İŞLEM BİRİMİ

HATAY KHB BILGI İŞLEM BİRİMİ TANIMLAR HBYS: Hastane Bilgi Yönetim Sistemi. Hatay Kamu Hastaneler Birliği Genel Sekreterliği ve diğer sağlık tesislerinde kullanılan hasta kayıtlanın saklanmasına ve erişimine imkân veren bilgi sistemidir.

Detaylı

BONASUS. Ertuğrul AKBAS [ANET YAZILIM] 01.06.2010

BONASUS. Ertuğrul AKBAS [ANET YAZILIM] 01.06.2010 2010 BONASUS Ertuğrul AKBAS [ANET YAZILIM] 01.06.2010 2 BONASUS: Log Toplama ve Analiz Programı... 3 AYARLAR... 4 KULLANICI AYARLARI... 5 GENEL AYARLAR... 6 Network AYARLARI... 6 HTTP... 7 MSN LOGLARI...

Detaylı

EKLER. EK 12UY0106-4/A5-2: Yeterlilik Biriminin Ölçme ve Değerlendirmesinde Kullanılacak Kontrol Listesi

EKLER. EK 12UY0106-4/A5-2: Yeterlilik Biriminin Ölçme ve Değerlendirmesinde Kullanılacak Kontrol Listesi EKLER EK 12UY0106-4/A5-1: nin Kazandırılması için Tavsiye Edilen Eğitime İlişkin Bilgiler Bu birimin kazandırılması için aşağıda tanımlanan içeriğe sahip bir eğitim programının tamamlanması tavsiye edilir.

Detaylı

Asiston Hizmetleri Bilgilendirme Kitapçığı

Asiston Hizmetleri Bilgilendirme Kitapçığı Asiston Hizmetleri Bilgilendirme Kitapçığı asiston.com.tr 7/24 Bilgisayarcınıza nasıl ulaşırsınız? Telefon ile ara Bizi telefonla arayabilir, 0850 532 0 100 7/24 Bilgisayarcım hattında 1 i Tuşlayarak destek

Detaylı

EKLER EK 12UY0106-5/A5-1:

EKLER EK 12UY0106-5/A5-1: Yayın Tarihi: 26/12/2012 Rev. :01 EKLER EK 12UY0106-5/A5-1: nin Kazandırılması için Tavsiye Edilen Eğitime İlişkin Bilgiler Bu birimin kazandırılması için aşağıda tanımlanan içeriğe sahip bir eğitim programının

Detaylı

Firewall un En Kolay Hali berqnet le Tanışın!

Firewall un En Kolay Hali berqnet le Tanışın! Firewall un En Kolay Hali berqnet le Tanışın! Kolay Kurulum ve Kolay Yönetim Yasalara Uygun Loglama (5651) Mobil Raporlama Uygulaması Ücretsiz Teknik Destek Türk Lirası Fiyatlar %100 Yerli AR-GE 0850 577

Detaylı

Teknoloji Dünyasında İşletme Yönetimi. Mayıs 2018

Teknoloji Dünyasında İşletme Yönetimi. Mayıs 2018 Teknoloji Dünyasında İşletme Yönetimi Mayıs 2018 Uygulama Endüstri Devrimleri Teknoloji Bilgi Endüstri Devrimleri ve İşletmelerin Dönüşümü Endüstri 4.0 Bileşenleri Otomasyon - Optimizasyon Makinelerle

Detaylı

Disk tabanlı bir çözümdür ve bu yapısından dolayı kullanılması kolaydır. Ayrıca hızlı bir şekilde yedekleme ve geri dönüş sağlar.

Disk tabanlı bir çözümdür ve bu yapısından dolayı kullanılması kolaydır. Ayrıca hızlı bir şekilde yedekleme ve geri dönüş sağlar. VMware Data Recovery Yapılandırılması VMware Data Recovery, VMware vsphere için geliştirilmiş yeni bir yedekleme ve geri dönüş (backup / restore) uygulamasıdır. VMware Data Recovery sanal platformdaki

Detaylı

Siber Güvenlik Basın Buluşması. C.Müjdat Altay 15 Haziran 2015

Siber Güvenlik Basın Buluşması. C.Müjdat Altay 15 Haziran 2015 Siber Güvenlik Basın Buluşması C.Müjdat Altay 15 Haziran 2015 Kısaca Netaş Ülkemizin her türlü bilgi ve iletişim teknolojisi ihtiyacını karşılamak için çalışıyoruz. Bugüne kadar gerçekleştirilen birçok

Detaylı

KASPERSKY ENDPOINT SECURITY FOR BUSINESS

KASPERSKY ENDPOINT SECURITY FOR BUSINESS 1 KASPERSKY ENDPOINT SECURITY FOR BUSINESS Kurumsal unsurlar ve BT üzerindeki etkileri ÇEVİKLİK Hızlı hareket edin, çevik ve esnek olun İşletme sahiplerinin %66'sı kurumsal çevikliğin öncelik olduğunu

Detaylı

ARiL Veri Yönetim Platformu Gizlilik Politikası

ARiL Veri Yönetim Platformu Gizlilik Politikası ARiL Veri Yönetim Platformu Gizlilik Politikası NAR Sistem Bilgi Teknolojileri A.Ş. nin sunmuş olduğu ARiL Veri Yönetim Platformu üzerinde kullanıcıların arzusuna bağlı olarak elde edilen verilerin toplanması,

Detaylı

MailStore tüm şirket e-postalarınızı uzun yıllar güvenle saklayabileceğiniz bir mail arşivleme sistemidir.

MailStore tüm şirket e-postalarınızı uzun yıllar güvenle saklayabileceğiniz bir mail arşivleme sistemidir. Neden MailStore! Hatırlatma : Arşivleme, posta sunucusunda herhangi bir değişiklik gerektirmez MailStore tüm şirket e-postalarınızı uzun yıllar güvenle saklayabileceğiniz bir mail arşivleme sistemidir.

Detaylı

KABLOSUZ AĞ GÜVENLİĞİNE KURUMSAL BAKIŞ

KABLOSUZ AĞ GÜVENLİĞİNE KURUMSAL BAKIŞ KABLOSUZ AĞ GÜVENLİĞİNE KURUMSAL BAKIŞ Battal ÖZDEMİR Uzman Araştırmacı 15 Mart 2007, İstanbul Sunum İçeriği Kablosuz Ağlar Tehditler Riskler Kurumsal Yaklaşım 2 Neden Kablosuz Esneklik Mobil Veri Erişimi

Detaylı

KURUMSAL TANITIM. Kasım 2017

KURUMSAL TANITIM. Kasım 2017 KURUMSAL TANITIM Kasım 2017 KISACA TESLAKOM... TESLAKOM KİMDİR? (*) Ref: Tubisad, Deloitte 2017 ELEKTRONİK HABERLEŞME 15 B USD İLETİŞİM TEK. DONANIM 6,4 B USD TÜRKİYE BİLGİ ve İLETİŞİM TEKNOLOJİLERİ SEKTÖRÜ

Detaylı

B i l g i l e n d i r m e

B i l g i l e n d i r m e B i l g i l e n d i r m e Kime : Banka Genel Müdürlükleri Kimden : Türkiye Bankalar Birliği Konu : EFT Operasyon Çalışma Grubu Toplantısı Tarih : 14 Ekim 2010 EFT-EMKT operasyon çalışma grubunu 8 Ekim

Detaylı

TURKCELL HİZMETLERİ. Kullanım Bilgileri. LOGO Kasım 2014

TURKCELL HİZMETLERİ. Kullanım Bilgileri. LOGO Kasım 2014 TURKCELL HİZMETLERİ Kullanım Bilgileri LOGO Kasım 2014 İçindekiler TURKCELL HİZMETLERİ... 3 Online Turkcell Fatura Aktarımı... 4 Fatura Eşleştirme Tabloları... 5 Online Fatura Aktarımları... 6 Toplu Mesaj

Detaylı

BİLGİ İŞLEM DAİRE BAŞKANLIĞI İŞ TANIMLARI SIRA NO ADI SOYADI GÖREV TANIMLARI

BİLGİ İŞLEM DAİRE BAŞKANLIĞI İŞ TANIMLARI SIRA NO ADI SOYADI GÖREV TANIMLARI SIRA NO ADI SOYADI BİLGİ İŞLEM DAİRE BAŞKANLIĞI İŞ TANIMLARI GÖREV TANIMLARI 1 Fidan IŞIK DAİRE BAŞKANI Bilgi İşlem Daire Başkanlığında yapılan tüm işlerin sevk ve idaresini yapmak. SEKRETERLİK 1 Halit

Detaylı

IBM Güvenlik Sistemleri Yeni Nesil Güvenlik Bilgisi Toplama ve Olay Yönetimi

IBM Güvenlik Sistemleri Yeni Nesil Güvenlik Bilgisi Toplama ve Olay Yönetimi Yeni Nesil Güvenlik Bilgisi Toplama ve Olay Yönetimi 6 Aralık 2012 1 2012 IBM Corporation Gündem 2 Günümüzde BT güvenliği gereksinimi IBM güvenlik çerçevesi QRadar: Yeni Nesil Güvenlik Bilgisi Toplama

Detaylı

Kaspersky Open Space Security: Release 2. İşletmeniz için birinci sınıf bir BT güvenliği çözümü

Kaspersky Open Space Security: Release 2. İşletmeniz için birinci sınıf bir BT güvenliği çözümü Kaspersky Open Space Security: Release 2 İşletmeniz için birinci sınıf bir BT güvenliği çözümü Güncellenmiş uygulamalar Updated applications Release 2 uygulamaları: Kaspersky Anti-virus for Windows Workstations

Detaylı

BT DENETİMİ EĞİTİMİ BÖLÜM 1 Bilgi Teknolojilerinin Hayatımızdaki Yeri

BT DENETİMİ EĞİTİMİ BÖLÜM 1 Bilgi Teknolojilerinin Hayatımızdaki Yeri BT DENETİMİ EĞİTİMİ BÖLÜM 1 Bilgi Teknolojilerinin Hayatımızdaki Yeri Kağan Temel CISA, ISO27001LA 27.5.2016 www.tebit.com.tr 1 EĞİTİMİN AMACI Eğitim Amaçları, Bu eğitim, genel BT denetim konuları, kontrolleri

Detaylı

Bilgi ve Bilgisayar Sistemleri Güvenliği (Information and Computer Systems Security)

Bilgi ve Bilgisayar Sistemleri Güvenliği (Information and Computer Systems Security) Bilgi ve Bilgisayar Sistemleri Güvenliği (Information and Computer Systems Security) Bu bölümde; Bilgi Güvenliği ve Önemi Güvenliğin Sınıflandırılması, Bilgi Güvenliği Tehditleri, İhtiyaç Duyulan Alanlar,

Detaylı

Örnek bir kullanım ve bilgisayar ağlarını oluşturan bileşenlerin özeti

Örnek bir kullanım ve bilgisayar ağlarını oluşturan bileşenlerin özeti Bu sayfaları okuduğunuza göre bir şekilde bilgisayarlar ve bilgisayar ağlarıyla ilişkiniz olduğunu biliyorum. Ancak yine de en başta niçin bilgisayar ağı kullanıyoruz sorusunun cevabını vermekle işe başlayabiliriz.

Detaylı

LOGO İş Zekası çözümü ile kurumsal raporlama ve analizler. Cem Yılmaz Genel Müdür LOGOBI Yazılım

LOGO İş Zekası çözümü ile kurumsal raporlama ve analizler. Cem Yılmaz Genel Müdür LOGOBI Yazılım LOGO İş Zekası çözümü ile kurumsal raporlama ve analizler Cem Yılmaz Genel Müdür LOGOBI Yazılım Hakkımızda LOGOBI Yazılım A.Ş. iş zekası alanında faaliyet gösteren, Türkiye de sahip olduğu yüzlerce müşterinin

Detaylı

HÜR VE KABUL EDİLMİŞ MASONLAR DERNEĞİ GİZLİLİK POLİTİKASI

HÜR VE KABUL EDİLMİŞ MASONLAR DERNEĞİ GİZLİLİK POLİTİKASI HÜR VE KABUL EDİLMİŞ MASONLAR DERNEĞİ GİZLİLİK POLİTİKASI İÇİNDEKİLER 1. Giriş...3 2. Politika nın Kapsamı...3 3. Kişisel Verilerinizi Neden Topluyoruz?...3 4. Hangi Bilgileri, Ne Zaman ve Hangi Araçlarla

Detaylı

Hızlı Başlangıç Kılavuzu

Hızlı Başlangıç Kılavuzu Hızlı Başlangıç Kılavuzu 1. Adım Windows Server 2012'yi Yükleme Bilgisayarınız Windows Server 2012 yüklenmiş olarak teslim edildiyse, 1. Adım'ı atlayabilirsiniz. Yükleme Yönergeleri Yükleme yönergeleri,

Detaylı

ELEKTRONİK AĞ VE İNTERNET

ELEKTRONİK AĞ VE İNTERNET ELEKTRONİK AĞ VE İNTERNET DR. MEHMET İMAMOĞLU DR. ÖĞR. ÜYESİ MEHMET İMAMOĞLU 1 Elektronik Ağ Nedir? Birden çok elektronik cihazın birbirine bağlanması ile oluşturulmuş bir bilgi aktarım ya da iletişim

Detaylı

Ubuntu Hakkında En Çok Sorulan Sorular

Ubuntu Hakkında En Çok Sorulan Sorular Ubuntu Hakkında En Çok Sorulan Sorular Bahadır Demircioğlu Ocak, 2013 İçindekiler 1 Sık Sorulan Sorular............................................ 2 1.1 Ubuntu nun arkasında bir şirket var mı?..............................

Detaylı

Özgür Yazılımlar ile Kablosuz Ağ Denetimi

Özgür Yazılımlar ile Kablosuz Ağ Denetimi Özgür Yazılımlar ile Kablosuz Ağ Denetimi Fatih Özavcı fatih.ozavci@gamasec.net Afşin Taşkıran afsin.taskiran@avea.com.tr Konular Kablosuz Ağ Güvenliği Kablosuz Ağ Güvenlik Denetim Süreci Denetim Kapsamının

Detaylı

Bilgi Güvenliği Farkındalık Eğitimi

Bilgi Güvenliği Farkındalık Eğitimi NECMETTİN ERBAKAN Ü N İ V E R S İ T E S İ Meram Tıp Fakültesi Hastanesi Bilgi Güvenliği Farkındalık Eğitimi Ali ALAN Necmettin Erbakan Üniversitesi Meram Tıp Fakültesi Hastanesi Bilgi İşlem Merkezi 444

Detaylı

AĞ ve SİSTEM GÜVENLİĞİ

AĞ ve SİSTEM GÜVENLİĞİ AĞ ve SİSTEM GÜVENLİĞİ Burak DAYIOĞLU ve Burç YILDIRIM {bd,by}@dikey8.com Bilişim Güvenliği ve Sorunlar Bilişim sistemlerine bağımlılığımız artıyor Güvenlik ihlalleri her yıl en azından ikiye katlanıyor

Detaylı

MOBİL UYGULAMA GİZLİLİK BİLDİRİMİ

MOBİL UYGULAMA GİZLİLİK BİLDİRİMİ MOBİL UYGULAMA GİZLİLİK BİLDİRİMİ Sürüm, 01 Ocak 2017 Tüm Kullanıcılarımızın gizliliği bizim için çok önemlidir. Bir Uygulama Kullanıcısı olarak Hizmetimizi kullandığınızda, (Uygulama Yayıncısı olarak)

Detaylı

SERVER TANFER. Yazılım Ürünleri Satış Müdürü IBM Türk

SERVER TANFER. Yazılım Ürünleri Satış Müdürü IBM Türk SERVER TANFER Yazılım Ürünleri Satış Müdürü IBM Türk Rethink IT. Reinvent Business. Onur Buçukoğlu Tivoli Ürün Yöneticisi, Orta ve Doğu Avrupa / Türkiye / Rusya Başlıca Üç Dönüşüm Gerçekleşiyor Akıllı

Detaylı

BİLGİ SİSTEMLERİ YÖNETİMİ TEBLİĞİ

BİLGİ SİSTEMLERİ YÖNETİMİ TEBLİĞİ BİLGİ SİSTEMLERİ YÖNETİMİ TEBLİĞİ Dr. Emre ERDİL Bilgi İşlem, İstatistik ve Enformasyon Dairesi İstanbul Nisan 2018 1/15 Gündem Giriş Tarihçe Düzenlemenin Niteliği Tebliğin Bölümleri 2/15 Giriş 5 Ocak

Detaylı

B2B E-Ticaret Siteleri ÖN ONAY KRİTERLERİ (6 sayfa)

B2B E-Ticaret Siteleri ÖN ONAY KRİTERLERİ (6 sayfa) B2B E-Ticaret Siteleri ÖN ONAY KRİTERLERİ (6 sayfa) Site işleticisinin Sunucusunun herhangi bir şey satmadığı ve malların fiyatını belirlemediği, ancak alıcı ve satıcılar için ticari işlevselliği olan

Detaylı

BioAffix Ones Technology nin tescilli markasıdır.

BioAffix Ones Technology nin tescilli markasıdır. BioAffix Ones Technology nin tescilli markasıdır. ? NEDEN BİYOMETRİK DOĞRULAMA SUNUCU TABANLI BİYOMETRİK MICROSOFT WINDOWS OTURUM AÇMA UYGULAMASI Biyometrik veri taklit edilemez, şifre gibi unutulamaz!

Detaylı

04.10.2010. Agency-1 Golf Otomasyonu

04.10.2010. Agency-1 Golf Otomasyonu Agency-1 Golf Otomasyonu 5N 1K Ne? Neden? Ne zaman? Nerede? Kim? Ne? Agency-1 Golf Otomasyonu Golf Organizasyonu yapan işletmelerin sektörel ihtiyaçlarını karşılamak için üretilmiş bir yazılımdır. Bilinen

Detaylı

AKADEMEDYA YAZILIM BİLGİSAYAR EĞİTİM VE DANIŞMANLIK TİC. SAN. LTD. ŞTİ Kocaeli Üniversitesi Yeniköy Teknopark Yerleşkesi Başiskele / Kocaeli Tel Faks

AKADEMEDYA YAZILIM BİLGİSAYAR EĞİTİM VE DANIŞMANLIK TİC. SAN. LTD. ŞTİ Kocaeli Üniversitesi Yeniköy Teknopark Yerleşkesi Başiskele / Kocaeli Tel Faks IRONIC İşyeri Sağlık ve Güvenlik Birimi Bilgi Sistemi IRONIC Nedir? IRONIC, iş sağlığı ve güvenliği alanında bilişim alt yapısı oluşturmak amacıyla 6331 sayılı İş Sağlığı ve Güvenliği Kanunu, ISO14001,

Detaylı

w w w. a n k a r a b t. c o m

w w w. a n k a r a b t. c o m Şirket Profili w w w. a n k a r a b t. c o m AnkaraBT, yazılım geliştirme alanında faaliyet gösteren ve uzman kadrosuyla Türkiye'nin önde gelen kurumsal çözümlerini üreten %100 Türk sermayeli bilgi teknolojisi

Detaylı

Asansör firmaları için özel olarak geliştirilen takip yazılımı: Asansör Otomasyon tanıtım sunumu ve kullanım açıklamaları. / 25

Asansör firmaları için özel olarak geliştirilen takip yazılımı: Asansör Otomasyon tanıtım sunumu ve kullanım açıklamaları. / 25 Asansör firmaları için özel olarak geliştirilen takip yazılımı: Asansör Otomasyon tanıtım sunumu ve kullanım açıklamaları. 2 Bakım yerleri Android uygulama Ödemeler Raporlama Arızalar Faturalar Aylık bakım

Detaylı

Siber Savunma. SG 507Siber Savaşlar Güz 2014 Yrd. Doç. Dr. Ferhat Dikbıyık

Siber Savunma. SG 507Siber Savaşlar Güz 2014 Yrd. Doç. Dr. Ferhat Dikbıyık Siber Savunma SG 507Siber Savaşlar Güz 2014 Siber Savunma Siber Caydırıcılık genel anlamda problemli olduğundan etkisi düşük olabilir. Bu durumda bir devletin kendisini siber tehditlere karşı savunabilmesi

Detaylı

Ağ Yönetiminin Fonksiyonel Mimarisi

Ağ Yönetiminin Fonksiyonel Mimarisi Bölüm 7 Ağ Yönetimi Ağ Yönetiminin Fonksiyonel Mimarisi a) Performans (Performance) Yönetimi b) Sistem Ayarları (Configuration) Yönetimi c) Hesap (Account) t)yönetimi i d) Hata (Fault) Yönetimi e) Güvenlik

Detaylı

Devletin Kısayolu: e-devlet Kapısı Tuğan AVCIOĞLU e-devlet ve Bilgi Toplumu

Devletin Kısayolu: e-devlet Kapısı Tuğan AVCIOĞLU e-devlet ve Bilgi Toplumu Devletin Kısayolu: e-devlet Kapısı Tuğan AVCIOĞLU e-devlet ve Bilgi Toplumu e-devlet Kapısı e-devlet hizmetlerinin ortak bir noktadan kullanıcıya hızlı ve güvenli bir şekilde sunulduğu platformdur. Kamu

Detaylı

BİLİŞİM TEKNOLOJİLERİ VE YAZILIM DERSİ

BİLİŞİM TEKNOLOJİLERİ VE YAZILIM DERSİ BİLİŞİM TEKNOLOJİLERİ VE YAZILIM DERSİ İNTERNET VE AĞLAR İnternet Nedir? Dünya genelindeki bilgisayar ağlarını ve kurumsal bilgisayar sistemlerini birbirine bağlayan elektronik iletişim ağıdır. İnternetin

Detaylı

T. C. TÜRK STANDARDLARI ENSTİTÜSÜ

T. C. TÜRK STANDARDLARI ENSTİTÜSÜ T. C. TÜRK STANDARDLARI ENSTİTÜSÜ TS ISO/IEC 27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ, TS ISO/IEC 20000-1 BT HİZMET YÖNETİM SİSTEMİ Sunucu: Gürol GÖKÇİMEN 25.10.2014 Türk Standardları Enstitüsü 1 Güvenlik;

Detaylı

03/03/2015. OSI ve cihazlar. Ağ Donanımları Cihazlar YİNELEYİCİ (REPEATER) YİNELEYİCİ (REPEATER) Yineleyici REPEATER

03/03/2015. OSI ve cihazlar. Ağ Donanımları Cihazlar YİNELEYİCİ (REPEATER) YİNELEYİCİ (REPEATER) Yineleyici REPEATER Ağ Donanımları Cihazlar OSI ve cihazlar OSI Katmanı Uygulama Sunum Oturum Taşıma Ağ Veri İletim Fiziksel Cihaz Yönlendirici (Router) Katman 3 Switch Köprü (Bridge) Katman 2 Switch NIC, Yineleyici (Repeater)

Detaylı

AirTies Kablosuz Erişim Noktası (Access Point) olarak kullanacağınız cihazı bilgisayarınıza bağlayarak ayarlarını yapabilirsiniz.

AirTies Kablosuz Erişim Noktası (Access Point) olarak kullanacağınız cihazı bilgisayarınıza bağlayarak ayarlarını yapabilirsiniz. VLAN Yapılandırma Değerli Müşterimiz, VLAN özelliği ile yerel ağınızı segmentlere ayırarak bölebilir ve aynı ağ geçidini kullanarak internete çıkabilen bu segmentlerin birbirlerine erişimlerini engelleyebilirsiniz.

Detaylı

TNB E-İMZA, TNB Elektronik İmza A.Ş. adı ile Türkiye Noterler Birliği Vakfı tarafından kurulmuştur. Elektronik İmza hizmeti vermektedir, Aynı zamanda

TNB E-İMZA, TNB Elektronik İmza A.Ş. adı ile Türkiye Noterler Birliği Vakfı tarafından kurulmuştur. Elektronik İmza hizmeti vermektedir, Aynı zamanda TNB E-İMZA, TNB Elektronik İmza A.Ş. adı ile Türkiye Noterler Birliği Vakfı tarafından kurulmuştur. Elektronik İmza hizmeti vermektedir, Aynı zamanda E-İmza ya bağlı olarak Katma Değerli servislerde sunmaktadır.

Detaylı

BİLGİ GÜVENLİĞİ. Temel Kavramlar

BİLGİ GÜVENLİĞİ. Temel Kavramlar BİLGİ GÜVENLİĞİ Temel Kavramlar Bilgi güvenliği ne demektir? Bilgi güvenliği denildiğinde akla gelen kendimize ait olan bilginin başkasının eline geçmemesidir. Bilgi güvenliği, bilginin izinsiz veya yetkisiz

Detaylı

SU KALITE SİSTEMİ. Türkiye Halk Sağlığı Kurumu

SU KALITE SİSTEMİ. Türkiye Halk Sağlığı Kurumu Türkiye Halk Sağlığı Kurumu Başarsoft Su Kalite Bilgi Dokumanı 10.10.2013 İçindekiler 1. SU KALITE SİSTEMİ... 2 1.1 Sistemin Genel Amaçları:... 3 1.2 Kullanılan Bileşen ve Teknolojiler:... 4 2. UYGULAMALARA

Detaylı

KAMU SİBER GÜVENLİK GÜNÜNE HOŞGELDİNİZ

KAMU SİBER GÜVENLİK GÜNÜNE HOŞGELDİNİZ KAMU SİBER GÜVENLİK GÜNÜNE HOŞGELDİNİZ SİBER GÜVENLİK FARKINDALIĞI 01.11.2013 Koray ATSAN korayatsan@kamusgd.org.tr Derneğimiz hakkında Kamu Siber Güvenlik Derneği 2013 yılında kuruldu. Temel Amaç : Ülkemizde

Detaylı

SOSAM: SANAL ORTAM SAVUNMA MERKEZİ

SOSAM: SANAL ORTAM SAVUNMA MERKEZİ SOSAM: SANAL ORTAM SAVUNMA MERKEZİ Bahtiyar BİRCAN bahtiyar@uekae.tubitak.gov.tr 6 HAZİRAN 2008 Gündem Neden DPT E-Dönüşüm Eylem Planı 88.madde (UBGP) Günümüz BT sistemlerindeki problemler Motivasyon Çözüm

Detaylı

Bilgisayar Ağları ve Ağ Güvenliği DR. ÖĞR. ÜYESİ KENAN GENÇOL HİTİT ÜNİVERSİTESİ ELEKTRİK-ELEKTRONİK MÜH.

Bilgisayar Ağları ve Ağ Güvenliği DR. ÖĞR. ÜYESİ KENAN GENÇOL HİTİT ÜNİVERSİTESİ ELEKTRİK-ELEKTRONİK MÜH. Bilgisayar Ağları ve Ağ Güvenliği DR. ÖĞR. ÜYESİ KENAN GENÇOL HİTİT ÜNİVERSİTESİ ELEKTRİK-ELEKTRONİK MÜH. TCP/IP (Transmission Control Protocol/Internet Protocol) Bilgisayarlar arasında veri haberleşmesini

Detaylı

Ağ Temelleri. Murat Ozdemir Ondokuz Mayıs Üniversitesi Bilgi İşlem Daire Başkanı 15 Ocak 2013. Ref: HNet.23

Ağ Temelleri. Murat Ozdemir Ondokuz Mayıs Üniversitesi Bilgi İşlem Daire Başkanı 15 Ocak 2013. Ref: HNet.23 Ağ Temelleri Murat Ozdemir Ondokuz Mayıs Üniversitesi Bilgi İşlem Daire Başkanı 15 Ocak 2013 Ref: HNet.23 Ağ Nedir Ağ, iki yada daha fazla cihazın kablolu veya kablosuz olarak birbirleri ile belirli protokoller

Detaylı

Bilgi güvenliği konusunda farkındalık yaratmak. Mobil cihazlardaki riskleri anlatmak. Mobil uygulamaların bilgi güvenliği açısından incelemek 2

Bilgi güvenliği konusunda farkındalık yaratmak. Mobil cihazlardaki riskleri anlatmak. Mobil uygulamaların bilgi güvenliği açısından incelemek 2 1 Bu çalışmanın amacı; Bilgi güvenliği konusunda farkındalık yaratmak Mobil cihazlardaki riskleri anlatmak Mobil uygulamaların bilgi güvenliği açısından incelemek 2 Giriş - Mobil Cihazlar Mobil İşletim

Detaylı

BioAffix Ones Technology nin tescilli markasıdır.

BioAffix Ones Technology nin tescilli markasıdır. BioAffix Ones Technology nin tescilli markasıdır. NEDEN BİYOMETRİK?DOĞRULAMA Biyometrik veri taklit edilemez, şifre gibi unutulamaz! Şifre olmadığı için, casus yazılımlara karşı güvenlidir! Biyometrik

Detaylı

Siber Teröristlere Karşı Kurumlar Nasıl Korunmalıdır? Yusuf TULGAR NetDataSoft Genel Müdürü

Siber Teröristlere Karşı Kurumlar Nasıl Korunmalıdır? Yusuf TULGAR NetDataSoft Genel Müdürü Siber Teröristlere Karşı Kurumlar Nasıl Korunmalıdır? Yusuf TULGAR NetDataSoft Genel Müdürü email: yusuf@netdatasoft.com Siber Teröristlerin Amaçları Bilgisayar Sistemlerine ve Servislerine Yetkisiz Erişim

Detaylı

ANET Bilgi Güvenliği Yönetimi ve ISO 27001. Ertuğrul AKBAS [ANET YAZILIM] 09.04.2011

ANET Bilgi Güvenliği Yönetimi ve ISO 27001. Ertuğrul AKBAS [ANET YAZILIM] 09.04.2011 ANET Bilgi Güvenliği Yönetimi ve ISO 27001 2011 Ertuğrul AKBAS [ANET YAZILIM] 09.04.2011 ISO 27001 AŞAMA 1 BGYS Organizasyonu BGYS kapsamının belirlenmesi Bilgi güvenliği politikasının oluşturulması BGYS

Detaylı

Bir Bilgisayar Bağlanıyor Diğeri Bağlanmıyor

Bir Bilgisayar Bağlanıyor Diğeri Bağlanmıyor Bir Bilgisayar Bağlanıyor Diğeri Bağlanmıyor Değerli Müşterimiz, Ağınızda bir bilgisayarda internet bağlantısı mevcut, diğerinde mevcut değilse bazı ayarları kontrol etmeniz gerekebilir. Kontrol etmeniz

Detaylı

Plus500 Ltd. Gizlilik Politikası

Plus500 Ltd. Gizlilik Politikası Plus500 Ltd Gizlilik Politikası Gizlilik Politikası Plus500 Gizlilik Beyanı Müşterilerimizin ve web sitemizdeki ziyaretçilerin kişisel ve mali bilgilerinin gizliliği ve korunması en büyük önceliğimizdir.

Detaylı

Bilgi Teknolojisi Altyapısı. Tarihi Gelişim. Tarihi Gelişim. Bulut Servis Sağlayıcı. Bulut Bilişim

Bilgi Teknolojisi Altyapısı. Tarihi Gelişim. Tarihi Gelişim. Bulut Servis Sağlayıcı. Bulut Bilişim Bilgi Teknolojisi Altyapısı Kurumların bilgi sistemi uygulamaları için platform sağlayan teknoloji kaynaklarıdır. Donanım, Yazılım, Danışmanlık Eğitim, Öğretim BİLGİ TEKNOLOJİSİ ALTYAPISI Mustafa Çetinkaya

Detaylı

BİLGİ TEKNOLOJİSİ ALTYAPISI. Mustafa Çetinkaya

BİLGİ TEKNOLOJİSİ ALTYAPISI. Mustafa Çetinkaya BİLGİ TEKNOLOJİSİ ALTYAPISI Mustafa Çetinkaya Bilgi Teknolojisi Altyapısı Kurumların bilgi sistemi uygulamaları için platform sağlayan teknoloji kaynaklarıdır. Donanım, Yazılım, Danışmanlık Eğitim, Öğretim

Detaylı

Virtualization. VMware vcenter Server Yapılandırılması

Virtualization. VMware vcenter Server Yapılandırılması Virtualization VMware vcenter Server Yapılandırılması VMware vcenter Server sanallaştırılmış datacenter, kurumsal sunucular gibi yapıların yönetilmesini sağlayan ve maliyetleri aşağılara çeken bir yönetim

Detaylı

Bilgi Güvenliği Eğitim/Öğretimi

Bilgi Güvenliği Eğitim/Öğretimi Bilgi Güvenliği Eğitim/Öğretimi İbrahim SOĞUKPINAR Gebze Yüksek Teknoloji Enstitüsü İçerik Bilgi Güvenliği Eğitim/Öğretimi Dünyadaki Örnekler Türkiye deki Örnekler GYTE de Bilgi Güvenliği Dersi Sonuç ve

Detaylı

Öncelikle PTT ye göstermiş olduğunuz ilgi için teşekkür ederiz.

Öncelikle PTT ye göstermiş olduğunuz ilgi için teşekkür ederiz. Sayın İzmir YMMO; Öncelikle PTT ye göstermiş olduğunuz ilgi için teşekkür ederiz. 1840 yılından bu yana yürütmekte olduğumuz faaliyetlerimizi sürekli ihtiyaçlar ve zamanın gereklilikleri doğrultusunda

Detaylı

HP PROCURVE SWITCHLERDE 802.1X KİMLİK DOĞRULAMA KONFİGÜRASYONU. Levent Gönenç GÜLSOY 27.01.2014

HP PROCURVE SWITCHLERDE 802.1X KİMLİK DOĞRULAMA KONFİGÜRASYONU. Levent Gönenç GÜLSOY 27.01.2014 HP PROCURVE SWITCHLERDE 802.1X KİMLİK DOĞRULAMA KONFİGÜRASYONU Levent Gönenç GÜLSOY 27.01.2014 1. GİRİŞ 1.1 Network Access Control (NAC) Metodları MAC Doğrulaması: 802.1x ve Web Kimlik doğrulaması desteklemeyen

Detaylı

Ağ Trafik ve Forensik Analizi

Ağ Trafik ve Forensik Analizi Ağ Trafik ve Forensik Analizi Zararlı Yazılım Analiz ve Mücadele Merkezi TÜBİTAK BİLGEM Siber Güvenlik Enstitüsü Ağ Forensik Analizi Tanım Bilgisayar ağlarının herhangi saldırıya karşın izlenmesi ve analiz

Detaylı

Mobil Güvenlik ve Denetim

Mobil Güvenlik ve Denetim Mobil Güvenlik ve Denetim IV. Bilgi Teknolojileri Denetim ve Yönetişim Konferansı Ümit Şen, Ernst & Young 14 Mart 2013 Gündem Mobil veri üretimi ve kullanımına ilişkin sayısal bilgiler Mobil cihazlara

Detaylı

Bu sorunlardan herhangi birini yaşıyor musunuz?

Bu sorunlardan herhangi birini yaşıyor musunuz? Bu sorunlardan herhangi birini yaşıyor musunuz? Outlook unuz yavaş açılıyor veya yavaş mı çalışıyor? Personeliniz ile birlikte e-postaları da mı işten ayrılıyor? E-posta kayıplarının önüne geçemiyor musunuz?

Detaylı