GÜVENLİK SİSTEMLERİ İÇİN KULLANICI ARAYÜZÜ TASARIMI

Transkript

1 GÜVENLİK SİSTEMLERİ İÇİN KULLANICI ARAYÜZÜ TASARIMI A. Zülal ŞEVKLİ Özet Bu makale, güvenlik sistemlerinin kullanabilirliği üzerinde geçmişten günümüze yapılagelmiş çalışmalar hakkında bilgi vermek amaçlı yazılmıştır. Bilgisayar kullanıcıları varolan teknolojileri kendilerine sunulan arayüzler sayesinde keşfederler. Arayüzlerin verimli tasarlanıp tasarlanmadığı konusunu HCI disiplini inceler. İnsan Bilgisayar Etkileşimi olarak bilinen bu disiplin teknoloji ile kullanıcıların daha fazla etkileşimli çalışmasını sağlar. Resmi ve günlük işlerimizin büyük kısmının internet üzerinden yapılmaya başlandığı günümüzde bilgi güvenliğini sağlama önem kazanmıştır. Günlük işlerin internet ortamında kullanımını yaygınlaştırmak için gerekli alt yapının düzgün çalışabilmesinin yanında, kullanıcı ile irtibata giren arayüzlerin de kullanıcıya güven hissettirmesi önemli bir husustur. Bu makale bizzat güvenlik için düzenlenmiş veya fonksiyonlarında güvenlik ihtiyacı duyan sistemlerin arayüzlerinin HCI kriterlerini temel alarak nasıl geliştirildiklerini anlatır. Makalenin son kısmında bu çalışmalardan biri olan [1] Windows XP için geliştirilen Firewall yazılımının arayüzü için uygulamalı bir çalışma sunulmuştur. Anahtar Kelimeler: HCI, İnsan Bilgisayar Etkileşimi, Bilgi güvenliği, Firewall, HCI-S 1. GİRİŞ Bugün insanlar teknolojik yönden birbirlerine bir ağ kablosu kadar yakındırlar. Bu yakınlaşmanın insana getirdiği birçok avantajının yanında bilgi güvenliğini sağlama problemleri ortaya çıktmıştır Güvenliği sağlamak için dış ağa konulan setler, şifreli mesajlar yani komplex sistemler ve yazılımlar güvenlik işinin içinde olmayan kişiler için ürkütücü ve anlaşılmaz olmuştur. Bu tür işleri tecrübeli elemanlarla veya kurumlarla çözmek en uygun adım gibi gelmiştir. Lakin teknoloji insanların günlük hayatlarına girdikçe insanların temel işlerinde bile güvenlik gerekir olmuştur. Kimse inin okunmasını, dosyalarına erişilmesini yada banka işlemlerinin takip edilmesini istemez. Yani güvenlik yazılımları yada kullandığımız yazılım içinde güvenliğin sağlanmasını son-kullanıcıların da takip etmesi gerekliliği doğmuştur.artık bizden çok uzak gibi görülen güvenlik işlemleri bizim de hayatımızda etkisini göstermiştir. Tam bu sırada da güvenlik sistemlerinin son kullanıcı ile tanışması ve kullanabilirliğinin artırılması konusunda çalışmalar başlatılmıştır. Kullanabilirliğin artırılması için yapılan çalışmalar genel olarak 3 bölüm halinde anlatabiliriz. 1. Kullanıcıların güvenlik konusunda eğitilmesi Genel olarak kullanıcıları 3 kısıma ayırabiliriz. Yazılım geliştiricisi yani sisteme güvenlik ayarlarını entegre eden kişi, ikincisi birçok kullanıcı ve makinaya güvenlik izinlerini kuran kişi sistem yöneticileri, üçüncü olarakta verilen sistem izinlerinin içinde esas görevini yapmaya çalışan son kullanıcılar.araştırmalar daha çok son iki kesimdeki kullanıcıya yönelik olarak devam etmektedir. İşlemler, hesaplamalar büyük güvenlikli makinalardan daha çok masaüstü ve mobil makinalara kaydıkça, son kullanıcılarda kendi makinalarının sistem yöneticisi hemde kullanıcısı durumuna geçtiler [15]. Makinalarını ve kullanılan yazılımların güvenlik ayarlarını tel başına da yapabilmeleri gerekir oldu. Bununla beraber kullanıcıların birinci hedefi güvenliği yönetmek değil, çalışmalarını minumum zamanda gerçekleştirebilmektir. [16,17]. Bundan dolayı kendi çalışmalarını aksatacak herhangi bir teknolojiye de destekçi olmazlar [11]. 1

2 Bu konuda kullanıcıyı minumum güvenlik ihtiyaçlarını giderecek şekilde eğitmek bir çözüm olarak sunuldu. Mesala uygun şifre seçimi, virus yazılımlarının kurulumu ve güncelleştirmesi, sisteme login ile giriş yapıp mutlaka logout olması...vs. 2. Güvenlik yazılımlarında kullanıcı arayüzlerinin iyileştirilmesi İkinci çözüm ise arayüzlerin iyileştirilmesidir. Bugün kullanıcılar çok farklı arayüzlerle birçok bilgisayar ve benzer teknolojileri kullanmaktadırlar mobil telefon menüleri, bilgisayar ekranı içinde butonlar, iconlar, pencereler, otomaobil bilgisayar arayüzleri, web arayüzleri...vs. Bu arayüzler kullanıcıların sistemleri kullanırken daha çabuk öğrenmeleri ve verimliliklerini artırmak amaçlı tasarlanırlar.örneğin iyi tasarlanmış bir arayüz, kullanıcının işini daha kısa sürede yapmasına yardımcı olur. Bu da kullanıcının üretkenliğinin artmasını sağlar. Kullanıcının kendine güveni ve makinayı yönettiği hissi artar ve kullandığı teknolojiyi sever. Eğer bunun tam tersi olan zayıf bir arayüzle işini yapmaya kalkarsa işini daha uzun bir sürede yada hiç yapamadığı takdirde, teknolojiye karşı durma, başarısızlığa sebep olarak teknolojiyi görme ve kullanmama sürecine girer. Computer Crime ve Security Survey [18] yaptığı araştırmayla şirketler ve kişisel kullanımlarda en popüler programların Antivirus yazılımları(%99 kullanım) ile firewall(%98 kullanım) yazılımları olduğu ortaya çıktı. Güvenlik yazılımları son kullanıcıların zaten önyargı ile baktığı, korkutucu ve karmaşık gelen bir konu olup, bu teknolojinin kullanabilirliğini artırma işi genellikle arayüzlere düşer. Bu konuda yapılan araştırmalarda görülmüştür ki arayüzlerin daha etkin, verimli ve kullanıcının mentalitesine uygun tasarlanması için daha özetle insan ve bilgisayar arasında etkilleşimin verimliliğini artırmak için HCI disiplinin kriterlerinden yararlanmak gerekir. Tabi akıllarda güvenlik ve kullanabilirlik her zaman zıt iki terimmiş gibi gelebilir. Güvenlik yazılımları kullanabilirlik özelliğine sahip olurlarsa güvenlikleri kalır mı? gibi sorular aklımıza gelebilir. Unutulmamalıdır ki kullanabilir bir arayüzle güvenlik yazılımınız kullanıcı karşısında ancak güçlenmiş olur. Çünki kullanıcının daha az hata yapması sağlanacak, kullanıcının hissiyatı makina beni yönetiyordan ben onu yönetiyorum seviyesine çıkacak, kendine ve teknolojiye güveni artacak ve bu da daha fazla yazılım kullanım isteği doğuracaktır. HCI kriterlerini güvenlik yazılımlarına uygunluğu araştırılıp güvenlik alanına uygun yeni kriterler çıkartılmış ve güvenlik yazılım arayüzleri bu kriterler çerçevesinde iyileştirilmeye çalışılmıştır [1,9,10,14,]. 3. Kullanabilirlik odaklı şekilde baştan güvenlik teknolojilerinin oluşturulması Son çözüm olarak ise teknolojilerin kullanabilirlik odaklı yeniden oluşturulması sunulmuştur. Problem ne kullanıcıda ne yazılımda görülmüş, çözümü kullanabilirlilik odaklı teknolojinin baştan yapılanması ile sağlayabileceği kararkaştırılmıştır [13]. Özellikle mobil ve kablosuz araçlarda kullanılacak yeni teknolojilerin kullanabilirlik odaklı gelişimi için çeşitli çözüm yolları önerilmiştir. Daha ayrıntılı bilgi için [13] bakılabilir. Bu makalede literatürün de çok fazla üzerinde durduğu güvenlik yazılım arayüzlerinin kullanabilirlik özelliğini artırma konusu üzerinde durulacaktır. İnsan Bilgisayar Etkileşimi (HCI) disiplinin veri güvenlik sistemlerine uygulanabilirlik normları araştırılacaktır. Mesala şifreleme programları, firewalllar gibi programlar tam güvenlik fonksiyonlarını kullanırken, internet bankacılığı veya alışveriş siteleri gibi yazılımlar içinde güvenlik önemlidir.öyle arayüzler olmalıki kullanıcı güvenliği hakkında bilgilendirilmeli ve nasıl kullanacakları yada ayar değişikliklerini nasıl yapacakları kolaylıkla öğrenebilmelidirler. Teknolojiniz ne kadar gelişmiş olursa olsun, kullanıcıları teker teker eğitmenin de imkansız olduğu bir dönemde en kısa yol hangi seviyede kullanıcı olursa olsun kolaylıkla kullanabileceği arayüzler sunmaktır. Bruce Schneier [11] yazısında da bu konu hakkında güzel bir tespitte bulunmuştur. Güvenlik en zayıf halkanız kadar kuvvetlidir ve insanda bu zincirde en zayıf halkadır. Bu zamana kadar yapılan çalışmaları özetle anlattığımız bu bölümden sonra ikinci bölümümüzde HCI disiplini hakkında daha detaylı bilgi verilecek, üçüncü bölümümüzde arayüz tasarlarken HCI tespit ettiği belli başlı kriterler anlatılacak, dördüncü bölümde Güvenlik Alanında HCI tanımı ve kriterleri tespit edilip (HCI- 2

3 S), son bölümde yapılan örnek çalışmalardan bir tanesi detaylı olarak anlatılıp HCI-S kriterlere göre arayüz önerileri sunulacaktır. 2. HCI NEDİR? İnsan yaşamının her alanında giderek daha fazla kullanılan ve 'olmazsa olmaz' bir aracı haline gelen bilgisayar üzerinde çalışan uygulamaların geniş kullanıcı kesimi tarafından kabul edilmesi ve efektif bir halde kullanılması için bilgisayar ile kullanıcının etkileşimini (interaction) sağlayan arayüzün (interface'in) çok iyi tasarlanması gerekmektedir. Bu arayüz tasarımını inceleyen uzmanlık alanına, 1980'lerin ortalarında İngilizce'de İnsan-Bilgisayar Etkileşimi anlamına gelen sözcüklerin baş harfinden oluşan HCI (Human Computer Interface ya da Interaction) İnsan-Bilgisayar Etkileşimi adı verildi. Şekil 1- İnsan-Bilgisayar Etkileşiminde temeller, 1996 Jenny Preece Tarihsel gelişimine bakıldığında 1970 li yılların başında kullanıcı arayüz tasarımı kavramı ortaya atılmış ve Makine- İnsan Arayüzü (Man - Machine Interface - MMI) olarak da adlandırılmıştı. İnsan-Bilgisayar Etkileşimi ya da Makine- İnsan Arayüzünün üzerinde çalıştığı tasarım ilkeleri, bilgisayar ekranında sınırlanan arayüzün ötesinde aslında bilgisayarın, ekranın, fare ve klavyenin ergonomisinin belirlenmesinde de önemli bir rol oynamıştır.multidisipliner bir uygulama alanı olarak kabul edilen İnsan-Bilgisayar Etkileşimi 'nin (Human Computer Interaction) birçok temel disiplinle ilişkisi vardır: Bilgisayar Mühendisliği, psikoloji, Ergonomi ve İnsan Faktörü,Yapay Zeka bu disiplinlerden birkaçıdır. Bu multidisipliner araştırma alanı insanın bilgisayardan beklentilerini doğru, kolay efektif bir şekilde alabilmesi için gerekli düzeneğin ve sisteminin ne olması gerektiğini araştıran bir alandır. 3

4 Bir sonraki bölümde kullanıcı-dostu arayüzü oluşturmak için kullanılan başlıca HCI kriterleri anlatılacaktır. 3. BAŞARILI BİR HCI İÇİN BAŞLICA KRİTERLER NELERDİR? Daha iyi kullanıcı arayüzü tasarlamak için birçok çalışmalar geliştirilmiştir [3,4,5]. Bu bölümde HCI alanında anahtar rolü olan kişilerden biri olan Jakob Nielsen in başarılı bir HCI için geliştirdiği [4] ve geniş bir çevrede kabul gören 10 kriterini açıklayacağız. 1. Sistem durumunun görünürlüğü : Kullanıcı sistemin durumundan haberdar olması lazımdır.bu da makul bir sürede doğru geribildirimle sağlanmalıdır. Örneğin bir dökümanı açmak istediğinizde farenin çalışır pozisyona kendisini alması gibi. O anda kullanıcı sistemin bu dosyayı açmak için çaba sarfettiğini anlar ve makul bir süre bekler. Ama farede bir değişiklik olmazsa kullanıcı işletim sisteminin bu isteğini anlamadığını zannedip defalarca açma işini tekrarlayabilir 2. Sistem ile gerçek dünyanın eşlenmesi : Kullanıcının bilgisayar ile daha iyi iletişim kurması için sistemde gerçek hayat nesneleri kullanılır. Böylece kullanıcı kafasındaki oluşan mentaliteyi bilgisayarda bizzat görerek işlerini daha kolay tamamlayabilir. Örneğin çöp kutusu ikonu gerçek dünya işlevi ile aynı işi yapacağını kullanıcının kafasında çabucak canlandırır. 3. Kullanıcının kontrolü ve özgürlüğü : Kullanıcı sistemi kullanırken sistem içinde kaybolmamalı, istediği zaman sistemden güvenli bir şekilde ayrılmalı. 4. Tutarlılık ve standartlar : Sistemde kullanılan her türlü açıklama, yazılar sistemin durumu ve görülen davranışla uyum içinde olmalı ve aynı manayı ifade etmeli. Özellikle bilgisayar alanında çok kullanılan terimleri kullanmak, ihtiyaç olmadıkça yeni kelimeler kullanmamak kullanıcının da daha önce edinmiş terimsel hafızasını kullanarak işleri bitirmesini sağlamak HCI açısından uygundur. 5. Hata önleme : Bir sistem için tabiki en iyisi dikkatli bir tasarım içinde hatayı baştan engellemektir. Bununla beraber hata oluştuğu zaman da en iyi şekilde hatayı yakalamak ve uygun şekilde hatayı kullanıcıya açıklamak gerekir. 6. Geri çağırımdan ziyade Tanıma işleminine öncelik verilmesi : Kullanıcı bir olaydan başka olaya geçerken bilgiyi hafızadan geri çağırmak zorunda kalmamalı, bundan ziyade daha çok bilgiyi hatırlatacak ipuçları ile tasarımı zenginleştirilmelidir.metin kutularında kullanılan maskeler, yada açılır kutular, tamamlayıcı listeler bu gibi hatırlatıcı arayüzler için örnektir. 7. Kullanımda esneklik ve verimlilik : Sistem her seviyeden kullanıcı için uygun olmalıdır. Kullanıcıların arayüzleri farklı şekilde kullanma yöntemlerine cevap verecek kadar esnek olmalıdır. Mesala bazıları menülere ulaşım için fareyi kullanırken, başka kullanıcı klavye ile kısa yollarla ulaşır. Bunun gibi sisteminizin faklı yöntemlere cevap verebilmesi aynı zamanda kullanıcıların verimliliği de artırmış olacaktır. 8. Estetik ve Minumum Tasarım: Kullanıcı arayüz ile bilgi ve seçim bombardımanına tutulmamalı, gereksiz yada alakalı olmayan bilgi kullanıcıya sunulmamalıdır. 9. Hata mesajları anlaşılır ve yol gösterici olmalıdır : Hata mesajları ve sunulan yardımlar ne çok uzun nede çok kısa olmalı, Anlaşılır olmalı ve kullanıcının anlayacağı terimlerle olay anlatılmalıdır 10. Yardım ve Dökümantasyon: Kullanıcı yardım ve döküman işine en son başvurmalı. Yardımların içerik duyarlılığı olmalı ve aranan şey kolayca bulunabilmeli. 4

5 4. HCI-S TANIMI (Güvenlik Alanında İnsan Bilgisayar Etkileşimi) Bu çalışmanın amacı güvenlik sistemlerinin nasıl bir arayüze sahip olması gerektiğini göstermektir. Bu amacı gerçekleştirebilmek için, Johston ve arkadaşları makalesinde [1] yeni bir terimi HCI-S tanıtmışlardır. Bu terimin literatürde ilk defa kullanıldığını ve kullanıcı ile sistemin güvenlik özellikleri arasında ortak bir zemin hazırlamaktan sorumlu kullanıcı arayüzünün bir parçası olarak tanımlanabileceğini söylemişlerdir. Daha kısa bir ifade ile HCI-S, HCI (insan bilgisayar etkileşimi) biliminin güvenlik alanında uygulanmış kısmıdır diyebiliriz. HCI-S, güvenlik sistemlerine ait grafik arabirimlerinin olabildiğince kullanıcı-dostu olması için çalışır. Daha kolay bir kullanım, daha az hata yapmayı veya güvenlik ayarlarını geçiştirmeyi engeller.böylece sistemin bütünlüğü korumnuş olur. HCI-S hedefi grafik arayüzünü geliştirerek aslında güvenlik sistemini geliştirmektir.bununla beraber bazen sistemlerin güvenlik özelliklerinin kullanımı kullanıcıyı negatif yönde etkileyebiliyor.tam bu aşamada HCI-S güvenlik ile kolay kullanabilirlik arasında bir balans sağlar. Böylece sistem daha güvenli, sağlam ve kolay kullanabilirlik özelliklerinin üçünü de sağlamış olur. Bir sonraki bölümde HCI kriterlerini temel alarak oluşturulmuş HCI-S kriterleri açıklanacaktır. 5. HCI-S KRİTERLERİ Bu bölümde Jakob Nielsen in HCI kriterlerini temel alarak [1,12,14] referanslı makalelerde çalışılan güvenlik sistemlerinin arabirimlerini geliştirirken dikkat ettikleri kriterleri açıklayacağız. 1. Sistem durumunun görünürlüğü: Kullanıcı güvenlik sistemleri yada başka amaçlı yazılımların içine gömülmüş güvenlik yazılımlarının çalışır durumlarını yada işlem durumlarını açıkça görebilmelidir. O anda yaptığı işi gösterir mesajı yada iconu durum çubuğunda olmalı ve bir işlem yapıyorsa ne kadar süreceğini progress bar ile kullanıcıya bildirmelidir.böylece kullanıcı sisteme daha güvenli bakacaktır. Şekil 2 de görüldüğü gibi kullanıcının güvenli bir web sayfasına girdiğini tarayıcının sağ alt kısmında çıkan kilit sayesinde anlamaktayız. Bu kilit web sayfasının durumu hakkında bilgi verir ve şifreleme işlemlerinin kullanıldığını söyler. Şekil 2- Internet Explorer da güvenli gezinti 2. Estetik ve Minumum Tasarım : Güvenlik teknik bir iştir. Sisteminizi kullanacağınız kullanıcı profiline uygun olarak arayüzü tasarlamak yapılcak en doğru iştir. Herkesin kullanacağı bir programın içinde güvenlik ayarlarlarını kontrol etmek isteniyorsa çok ağır güvenlik terimleri kullanılmamalıdır. Örneğin [14] te ele alınan KeyManagment programında daha önceki versiyonu olanpgpkeys programında kullanılan public-private key yerine mykeys- otherkeys ifadelerini kullanarak güvenlik terminolojisinden programı kurtarmıştır. Ayrıca kullanıcıyı bilgi ve seçenek bombardımanına tutulmamalıdır. Çok kullanılan seçeneklerden daha ileri seviyedeki bilgi ve seçenekler ayrılmalı gerekirse saklanmalıdır. 3. Hata mesajları anlaşılır ve yol gösterici olmalıdır : Anlaşılır hata mesajları güvenlik sistemlerinin kullanımında önemli rol oynar. Hata mesajları doğru yazıldığında kullanıcıya sistemin doğru kullanmasını öğreteceği gibi güvenlik yollarını anlamada da yardım eder. Örneğin bir banka işleminizin ortasında Bağlantınız aktif değil gibi bir mesaj görseniz, işleminizin akibeti hakkında bir bilgi vermediğinden panik duruma geçebilirsiniz ve sisteme olan güveninizi kaybolabilir. Bundan dolayı hata mesajlarını yazarken [6] da belirtilen şu dört önemli kuralı takip etmeliyiz: 5

6 mesajlar açık bir dilde yazılmalı her durum için genel bir mesaj yerine hataya hassas mesajlar yazılmalı mesajlar problemi çözücü nitelikte olmalı mesajlar göz korkutucu değil ve suçlayıcı nitelikte değil, nazik bir dille ifade edilmelidir. 4. Öğrenebilirlik : Güvenlik konusu çoğu kullanıcılar için öncelik arzetmez.bu yüzden arayüz tasarımları mümkün olduğunca kolay öğrenilebilir olmalıdır. Kullanıcının gerçek hayattan tanıdığı nesneler arayüzde kullanabilir. Şekil 3 deki örnek, kullanıcının sisteme girebilmesini kilit ikonundan faydalanarak kullanıcıya sunmuştur. Şekil 3- Sistem ile Gerçek dünya nesnelerinin eşlenmesi Bunun dışında kullanımı çok yaygın olan programların ikonlarından faydalanarak yine öğrenmeyi kısaltabiliriz. Öğrenebilirliği artırıcı bir başka faktör de dilde standartlaşmış kelimeleri arayüzde kullanmaya önem vermeliyiz.örneğin username ve password yerine Profile name ve Access Code kullanmak kafa karıştırıcı olabilir. 5. Bu dört HCI-S kriteri güveni sağlamalıdır : HCI-S için anlatılan bu dört kriter arayüze uygulandığında güveni sağlamalıdır. Sistem ile kullanıcı arasında güven oluşması önemlidir.çünkü e- ticaret veya bilgisayar yazılımlarının daha yaygın olabilmesi için kullanıcının sisteme güveni şarttır.interactionarhitect.com tarafından yapılan bir araştırma [7] kullanıcıların rahat e-ticaret yapabilmesini 4 faktöre bağlamış. 1. İşlemlerin doğru şekilde iletilmesi : Arayüzde sistem durumunun görünürlüğü ve alınan açık bir geribildirim bize işlemlerin doğru yürütülüp yürütülmediği hakkında bilgi verecektir. 2. Güvenli onaylama : Güvenlik gerektiren işlemler için arayüz gerekli bilgiyi kullanıcı ile paylaşmalı ve sistemin bilgileri güvenli olarak onayladığı bildirilmeli.şekil 2 de görülen web arayüzü girilen sitenin SSL ile korunduğunu göstererek kullanıcıda güveni sağlar. 3. Uygun tasarım : Estetiğe ve minumum tasarıma önem vererek yapılan arayüzler uygun tasarımı gerçekleştirirler. 4. Gezebilme : Estetik ve minumum tasarım uygulamada gezinebilmeyi de sağlar. Ayrıca kolay öğrenebilme kriteri de bu işleme yardım eder. Bu dört faktör HCI-S kriterleri ile uyuşmaktadır.bu da demek oluyor ki bir arayüze sistem durumunun görünürlüğü, estetik ve minumum tasarım, hata mesajlarının anlaşılır olması ve öğrenebilirlik kriterlerini uygulanırsa güven elde edilir. Bundan sonraki bölümde literatürde HCI-S ile ilgili yapılmış örnek çalışmalar incelenecek ve bu çalışmaların HCI-S kriterlerine uygunluğu tartışılacaktır. 6. HCI-S ALANINDA YAPILMIŞ ÖRNEK ÇALIŞMALAR Yaptığım literatür taramasında bulduğum çalışmaları maddeler halinde sıralamak gerekirse; İletişimde kimlik denetimi ile ilgili arayüzler geliştime [9] Ağda güvenlik ekranlama araçlarının arayüzlerini geliştirme [10] 6

7 Firewall arayüzlerini geliştirme [1] Yazılım kurma ve bakım için arayüzler geliştirme [12] Virus Koruma yazılımlarının arayüzler geliştirme [12] Şifreli programlarının arayüzler geliştirme [14] Bir sonraki bölümde yapılan bu çalışmalardan Windows XP için geliştirilen Internet Connection Firewall (ICF) arayüzü [1] HCI-S kriterlerine göre incelenecektir. 7. ÖRNEK ÇALIŞMA - HCI-S Kriterlerine göre Windows XP Internet Connection Firewall (ICF) in İncelenmesi- 7.1 Neden Windows XP ICF Microsoft Windows XP işletim sistemi, Internet Connection Firewall (ICF) adında bir koruma duvarı ile beraber kurulur. ICF Windows XP içinde hem home hem de professional versiyonlarında standart olarak gelmeye başladı. ICF ev ve küçük ofis kullanıcıları için gelistirildi. Amaç Windows XP ye olabilecek saldırıları engellemek amaçlıydı. Gelen paketleri kontrol etmek ve istenmeyen paketleri bloke etmek görevlerindendir. ICF lokal yada internet bağlantısı ile aktif olabilir. Bu çalışmada ICF in inceleme sebebi WebSlideStory [8] göre %30 internet kullanıcısından fazlası Windows XP kullanıyor tespitidir.bu da milyonlarca kullanıcının bilgisayarlarında haberli yada habersiz ICF kurulu demektir.bu programın arayüz kullanabilirliği bu kadar kullanıcı potensiyeli olduğundan önem arzediyor. 7.2 ICF- Çalışma Şekli ICF in çalışma şekli çok basittir. Herhangi bir ağ bağlantısı olduğu anda ICF seçili ise aktif hale gelir. Bununla beraber birçok kullanıcı ICF in kendi makinalarında kurulu olduklarını bile bilmezler. Çünki herhangi bir ikon yada mesaj, durum çubuğunda görülmez.yani sistemin durumu hakkında bilgi açık değildir. Ayrıca ICF aktif olsa bile çalıştığından kullanıcı haberdar olamaz. Herhangi bir paket önlemede kullanıcı bundan haberdar olmaz. Yani sistem durumu gözükmediği gibi uygun geri bildirimler de verilmemektedir. Şekil 4- Sistem göstergesi- Sistem durumunun görünürlüğü zayıf 7.3 ICF- Çalışma Şekli için Birkaç Tavsiye HCI-S kriterleri temel alınarak ICF in çalışma prensibleri ile ilgili birkaç öneri verilecektir: Ağ bağlantısı olur olmaz bir mesaj çıkmalı ve sistemin korunmadığına dair kullanıcı bildirmeli.mesaj kutusu sistem durumunun görünürlüğünü artırır. Şekil 5- Önerilen mesaj kutusu- ICF aktif değil 7

8 Şekil-5 te sisteme uyarlanabilecek mesajı gösterilmektedir. ICF aktif olur olmaz durum çubuğunda bir ikon (mesala F - firewall) gözükebilir. (Şekil-6) Firewall bir paketi engellediğinde kullanıcı bir mesaj kutusu ile uyarılabilir. Kullanıcı bu uyarıları alıp almama yetkisini kendisi kullanabilmeli. Ayrıca uyarıları her defasında mesajla iletmektense F ikonu yanıp sönerek kullanıcının dikkatini çekilebilir. Şekil 6- Sistem göstergesinde önerilen ikon 7.4 ICF-Konfigirasyonu ICF konfigirasyon pencerelerinden bir tanesi Şekil-7 görülmektedir. Bu pencere estetik ve minumum tasarım kuralına uygun olarak tasarlanmış. Kullanıcı bir pencerede bilgi bombardımanına tutulmamış.ayrıca Learn more about Internet Connection Firewall linki ile kullanıcıya ICF e güvenmesi için daha fazla bilgi imkanı da sunulmuştur. 7.5 ICF-Konfigirasyonu için Birkaç Tavsiye Şekil-8 ICF için yeni bir arayüz geliştirilmiştir.tab bölmesinin Advanced smi Firewall olarak değiştirilmiştir.birçok kullanıcı Advanced yazılı buton yada tab kısmına hiç dokunmaz. Bu bölümün teknik kullanıcılar için olduğunu düşünüp beklenmedik olaylarda buralara bakıldığını düşünürler. ICF bununla beraber hiçte teknik bir özellik değildir. Hatta standart bir özellik olduğundan her kullanıcının kullanabilmesi lazımdır. Şekil-8 de sunulan alternatif tasarım sadece firewall için tasarlanmış bir önceki tasarımda olduğu gibi başka konular bu tasarımın içine girmemiştir. Varolan sistemde ICF ulaşmak için Start butonuna bastıktan sonra Show all connection tarafından takip edilen Connect to butonuna basıp sağ ile tıklayıp Proporties seçip Advanced kısmından Setting e gelebiliriz. Bu yolu öğrenmek kullanıcı için bir hayli zordur. Bu problem yeni yapılan tasarımla şu yollarla daha kısaltılabilir.kontrol Panelinden ICF iconuna tıklanır. (Bu demek oluyor ki kontrol paneline bir icon daha eklemek gerekir) veya durum çubuğunda duran F iconuna tıklanır. Bu iki yöntem aynı zamanda arabirimin öğrenebilirliğini de artırır. 8

9 Şekil 7- Varolan ICF için arayüz Şekil 8- Önerilen ICF için arayüz Şekil-8 daki arayüz estetik ve minumum tasarım kuralına uygun olarak hazırlanmıştır.icf ile ilgili detay bilgiler günlük bilgilerden ayrılmıştır.işlemler hafızadan bilgileri yeniden çağırmakla değilde pencereyi görür görmez hatılamakla yapılabilecek duruma gelmiştir.programın çalışır çalışmazlığı durumu açıkca görünür olmuş kullanıcının sisteme güvenmemesi için hiç bir sebep kalmamıştır. Bu karşılaştırmayı daha özet olarak Tablo 1 de açık açık görmek mümkündür. Tablo 1- HCI-S kriterleri ile varolan ve önerilen ICF in karşılaştırılması HCI-S Kriterleri Varolan ICF Önerilen ICF Sistem durumunun görünürlüğü Estetetik ve Minumum Tasarım Yardım ve Hata Mesajları ve Gezinme Öğrenebilirlik Güven HAYIR ICF in aktif yada çalışıyor olduğu anlaşılmıyor.kullanıcı bu konuda bilgilendirilmeli HAYIR ICF arayüzü bu şekliyle kullanıcının dikkatini çekmeyecek kadar minumum bir tasarımla yapılmış. Learn more about linki ile yardıma ulaşılabiliyor. Log mesajlarını da kullanıcı onay verir ise Setting ayarından hangi dosyada tutulduğunu öğrenebliyor. Burdan şöyle bir tespit doğru olur; bu arayüz tecrübeli kullanıcılar için geçerli HAYIR Eğer kullanıcı yerini biliyorsa firewall u aktif hale getirebilir. Gerek alt araç çubuğunda ikon vasıtasıyla gerekse mesaj yardımıyla kullanıcı sistem durumu hakkında bilgili Önerilen arayüzde bilgi bombardımanına tutulmadan ve bilgiler 3 bölüme ayrılarak son derece minumum ve estetik şekilde arayüz tasarlanmıştır. Yeni firewall arayüzünde başka bir yere dallanmadan bütün işlerini bu arayüzde halledebiliyorsun.yardım, konfigirasyon yada log kayıtlarına kolaylıkla ulaşım sağlanabiliyor Bu arayüzle ICF kapama/ açma son derece kolaylaşmış.yeni arayüz Windows a aşina olanlar için çabuk öğrenilir hale gelmiştir. Sonuç olarak bu arayüz kullanıcı için gerekli güveni sağlıyor mu? HAYIR Kullanıcının haberdar olmadığı birşeye karşı Kullanıcı ICF ve olaylarından çok açık güven duyması ve onu kullanması zordur. şekilde haberdar olduğundan ve daha kolay bir arayüzle güven sağlanmıştır. 9

10 8. SONUÇ Bu makalede genel olarak geçmişten bu zamana kadar güvenlik alanında kullanabilirlik ve arayüz tasarımı hakkında yapılan çalışmaların bir özetini sunmaya çalıştım. Eskiden güvenlik sistemleri tasarlanırken daha çok bu konuda deneyimli kullanıcıların kullanabileceği düşünülür yada son kullanıcı güvenlik ayarlarını kendinden çok uzak görürdü. Gelişen teknoloji ve araçlar sayesinde kişisel kullandığımız yazılım yada donanımlarda da güvenlik arayüzleri ile karşılaşır olduk. Son kullanıcıların güvenlikle ilgili çekimserliği kırmak yazılım yada donanımı tasarlayan geliştiricilere kalmıştır. Kullanıcı ile yazılımın etkileşimini inceleyen HCI disiplini güvenlik alanında yapılan çalışmaları da incelemesi gereği ortaya çıkmış ve bu ihtiyacı hisseden birçok akademisyen güvenlik sistemlerinin kullanabilirliği konusunda araştırmalara başlamıştır. Araştırmalara baktığımızda HCI kriterleri temel alınarak güvenlik alanında arayüz kriterleri geliştirildiğini görmekteyiz. Ve bu kirterler etrafında yazılım arayüzleri incelenerek iyileştirmeler yada yeni öneriler getirilmiştir.önerilen yada iyileştirilen arayüzlerin kullanım performansı ölçülmüştür. Böylece genel kanı olarak zıt gibi düşünülen güvenlik sistemleri ve kullanabilirlik terimleri biraraya getirilerek verimli çalışmalar yapılmıştır. Yapılan çalışmalar genellikle varolan sistemleri iyileştirme yönündedir. Bundan sonra yeni yazılımların yada araçların tasarımına başlanmadan önce kullanıcı ve kullanabilirlik merkezli bakılabildiği takdirde daha verimli uygulamalar geliştirilecektir. REFERANSLAR [1] Johnston, J. Eloff, J. H. P., Labuschagne, L., Security and Human Computer Interfaces, Computers & Security Vol 22,No 8, 2003 [2] Myers, B.A.,. A Brief History of Human Computer Interaction Technology, ACM Interactions, Vol. 5(2), March 1998, pp , 1998 [3] Nielsen, J., Usability Engineering, AP Professional, [4] Nielson, J., Nielson's List of Heuristics, [5] Shneiderman, B., Designing the User Interface (3d Edition), Addison Wesley Longman, [6] Schniederman B., "Designing Computer System Messages", Communications of the ACM 25,9 September 1982, , 1982 [7] D Hertefelt, S., Trust and the Perception of Security, 3 January 2000 [8] Windows XP Captures One-Third of O/S Market on the Web, 13 May 2003 [9] Josang, A., ve Patton, M., User Interface Requirements for Authentication of Community, Fourth Australasian User Interface Conference, Vol. 18., 2003 [10] Dourish, P. ve Redmiles, D. An Approach to Usable Security Based on Event Monitoring and Visualization,ACM New Security Paradigms Workshop, 2002 [11] Sasse, A., Brostoff, S. and Weirich, D., Transforming the weakest link a humancomputer interaction approach to usable and effective security, BT Technology Journal, 19 (3) [12] Yee, K.-P., User Interaction Design for Secure Systems, In Proceedings of 4th International Conference on Information and Communications Security, Singapore,

11 [13] Smetters, D. K. ve Grinter, R. E., Moving from the Design of Usable Security Technologies to the Design of Useful Secure Applications, Workshop on New security Paradigms, Virginia Beach, Virginia,Sayfa: 82 89, 2002 [14] Dhamija R., Chen H. ve Ginsburg S., User Interfaces for Security: Iterative Design of a Cryptographic Key Management Interface, [15] Edwards W. K. ve Grinter R. E. At home with ubiquitous computing: Seven challenges, In UbiComp 01, Atlanta,. Springer-Verlag. LNCS 2201, September [16] Weirich D. ve Sasse M. A., Pretty good persuasion: A first step towards e_ective password security for the real world. In New Security Paradigms Workshop,pages , Cloudcroft, NM,. ACM., [17] Whitten A. ve Tygar J. D., Why Johnny can t encrypt: A usability evaluation of PGP 5.0. In Proceedings of the 8th USENIX Security Symposium, Washington, DC, August [18] Richardson, R., 2003 CSI/FBI Computer Crime and Security Survey, Computer Security Institute,