KATILIMCI SPONSORLAR. Beyaz fiapka Art k Online! INTERNET SPONSORU KISA KISA KISA KISA KISA KISA KISA KISA KISA KISA ANA SPONSORLARIMIZ

Transkript

1 subat_2009.fh11 2/5/09 1:15 PM Page 1 KISA KISA KISA KISA KISA KISA KISA KISA KISA KISA 9 B L G G Ü V E N L P L A T F O R M U Beyaz fiapka dergi faaliyetini durduruyor ve hayat na Bilgi Güvenli i Toplulu u slogan ile Portal olarak devam ediyor. Nebula Biliflim ürün portföyünü gelifltiriyor. Güvenlik ve Olay Yönetimi konusunda önde gelen üreticilerden olan LogLogic Nebula Biliflim ile Türkiye de. NSS ( 10Gbit Network IPS grup testlerine bafllad. lk NSS Approved sertifikas n McAfee, Network Security M-8000 (eski ad ile IntruShield) ürünü ile ald. TÜB TAK Ulusal Elektronik ve Kriptoloji Araflt rma Enstitüsü (UEKAE) bünyesinde faaliyet gösteren Türkiye Bilgisayar Olaylar Müdahale Ekibi (TR-BOME), bilgi sistemlerinde h zla yay lan Conficker adl yeni bir solucan "acil" koduyla bildirdi. Yap lan uyar lara ra men Türkiye nin önemli kurumlar solucandan etkilendi. y l nda kötücül kodlar n USB bellek ve web sitelerinden yay laca n bildiren raporu indirebilirsiniz. eat_predictions_report.pdf VeriSign, kablosuz flifreleme konusunda uzmanlaflm fl olan Certicom flirketini 73 Milyon dolara sat n ald. Microsoft son kullan c güvenli i için haz rlad ve 200'den fazla Türkçe içerikli sayfa bulunan web sitesini hizmete sundu.web sayfalar na eriflmek için: Aladdin Knowledge Systems, San Francisco merkezli Vector Capital adl yat r m flirketi taraf ndan 160 Milyon dolara sat n al nd. Aladdin, Vector Capital yat r mlar ndan biri olan SafeNet flirketi ile bütünlefltirilecek. McAfee Avert laboratuar Google Developer sitesi hakk nda bir uyar yay nlad. McAfee ad na aç klama yapan Dave Marcus, Google Developer sitesinde bar nd r lan baz projelerin kullan c bilgisayarlar na kötücül kodlar yükledi ini ve Google Developer kullan c lar n n dikkatli davranmas gerekti ini söyledi. McAfee 2009 y l için tehdit tahminlerini yay nlad Paris Hilton un resmi sitesi ve site ziyaretçileri internet korsanlar n n hedefi oldu. Web sitesine bir kod yerlefltiren internet korsanlar ziyaretçilerin bilgisayarlar na bir Truva at yüklemeyi baflard. CheckPoint 10 y l aflk nd r ifl ortakl yapt Nokia Security Appliance ürün grubunu sat n alaca n duyurdu. ANA SPONSORLARIMIZ KATILIMCI SPONSORLAR INTERNET SPONSORU Beyaz fiapka Art k Online! Beyaz fiapka ya katk lar ndan dolay tüm sponsorlar m za ve yazarlar m za teflekkür ederiz. Yay nlanan yaz lar n ve görsellerin tüm sorumlulu u yazarlar na aittir. Lütfen her konuda fikrinizi yaz n. info@beyazsapka.org BEYAZ fiapka DE fi YOR MCAFEE ARTEMIS ER fi M KONTROLÜ K ML E DAYALI, A TABANLI ZLEME S STEMLER FOREFRONT A LESI LE HER YERDE GÜVENL K KABLOSUZ A LAR VE GÜVENL K

2 subat_2009.fh11 2/5/09 1:15 PM Page 2 De erli abonemiz, 2006 Y l n n fiubat ay nda yay na bafllayan Beyaz fiapka projesi, 2009 y l n n fiubat say s ile büyük bir dönüflüme u ruyor. mtiyaz Sahibi Sinan YILMAZ Sorumlu Yaz flleri Müdürü Erkan fien Yönetim Yeri Mecidiyeköy fl Merkezi fiehit Ahmet Sokak No: 4 Kat: 12 D: Mecidiyeköy / stanbul info@beyazsapka.org Bask METRIX Rek. & Mat. Ltd. fiti. Y. Dudullu Bostanc Yolu Cad. Keyap Çarfl B-1 Bl. No: 24 Ümraniye - stanbul Tel: (216) (Pbx) Yay n Türü Yayg n Süreli, üç ayda bir yay nlan r. Bask Tarihi: fiubat 2009 Yay n Dan flman Mehmet Ersin DA LI Yay n Kurulu Caner DA LI, Erkan fien, Seçkin DEM R Serkan AKCAN, Sinan YILMAZ Editör Eren ÇINAR, TAMKADRO Grafik Tasar m ve Uygulama TAMKADRO dari fller Koordinatörü Sinan YILMAZ Okumakta oldu unuz fiubat 2009 say s ile Beyaz fiapka n n dergi hayat n bitiriyoruz. Günümüz iletiflimine uyum sa lamak, daha h zl haber ve bilgi aktarmak, makalelerin yan s ra daha zengin bir içerik ile hizmet vermek üzere Beyaz fiapka y bir internet portal olarak yaflatmaya devam ediyoruz. Internet portal m zda 10 temel bilgi güvenli i kategorisinde makaleler, haberler, videolar ve sunumlar yay nlayarak çok daha geliflmifl bir içerik sunma flans na kovufluyoruz. Ajanda, fl lanlar, Tehdit Merkezi ve Forum gibi uygulamalar ile sektörel ihtiyaçlara daha iyi cevap verecek bir sistem gelifltiriyoruz. Beyaz fiapka n n internet portal ile ilgili detayl bilgiyi Serkan AKCAN n makalesinde okuyabilirsiniz. Beyaz fiapka dergisi 50 ye yak n yazar n kaleme ald yüzlerce makale ile Türkiye nin en büyük bilgi güvenli i projesi olmay baflard. Toplam 13 say s ile den fazla da t m yap lan derginin toplam proje maliyeti Amerikan Dolar na yaklaflt. Giderlerinin tamam sponsorlar taraf ndan karfl lanan dergi tüm abonelerine ücretsiz olarak kurye ile ve bilgi güvenli i seminerlerinde da t ld. Türkiye de bilgi güvenli ine katk da bulunmak için desteklerini ilk say m zdan beri devam ettiren McAfee Türkiye, Microsoft Türkiye ve Nebula Biliflim e teflekkür ederiz. Beyaz fiapka internet portal n n yeni abonelik sistemi hakk nda bilgi almak için lütfen web sitemizi ziyaret edin. Güvenli Günler! Beyaz fiapka Yönetimi info@beyazsapka.org Bu Say ya Katk da Bulunanlar Coflkun KAM LO LU, Dr. Leyla KESER BERBER, Gökhan fienyüz, Huzeyfe ÖNAL, Emre AYDIN, Murat GÜNSAY, Murat LOSTAR, Serkan AKCAN, Zeynep GENÇ Ana Sponsorlar Kat l mc Sponsorlar Internet Sponsoru Tasar m Beyaz fiapka, ücretsiz olarak abonelerine da t l r. Marka ba ms zd r, sayfalar okuyucular na aç kt r. Bilgiye yöneliktir ve bilgi güvenli ine önem veren sponsorlar n n katk s ile okuyucular na ulafl r. Üç ayda bir yay nlan r. Nebula Biliflim Sistemleri San. ve Tic. Ltd. fiti. taraf ndan ücretsiz da t l r. çindekiler 04 >> Beyaz fiapka De ifliyor Bilgi güvenli i alan üç y l önceki gibi de il. Beyaz fiapka bu de iflime seyirci kalmayacak Serkan AKCAN - Nebula Biliflim 06 >> Sanal Platformda Güvenlik! Gerçekten güvende misiniz? Güvenlik duvarlar, sanal networkler ve sanal mimaride güvenlik anlam nda dikkat edilmesi gerekenler! Emre AYDIN - Microsoft 10 >> McAfee Artemis Zararl kodlardaki art fl ve geleneksel anti-virus teknolojilerinin yetersizli ine, McAfee Artemis teknolojisi. Coflkun KAM LO LU McAfee 12 >> Forefront Ailesi ile her yerde güvenlik: SharePoint Ortam n z koruyun! Dikkat! Belgeleriniz sisteminizin güvenli ini tehdit eden bir düflmana dönüflmesin Gökhan fienyüz - Bilge Adam 16 >> Underground USB Bellek ve CD-Rom lar n yaratt tehlikenin fark nda m s n z? Serkan AKCAN - Nebula Biliflim 18 >> Kimli e Dayal, A Tabanl zleme Sistemleri Daha az maliyet ve daha kolay bir kurulumla, eriflim ve davran fl modellerini kontrol etmek Murat GÜNSAY Secure Computing 20 >> IDC BT Güvenlik Seminer Serisi 2009, BT Güvenli i için geliflen f rsatlar ele al yor Yeni Ekonomik Ça da Gerçek ve Alg y Dengelemek Zeynep GENÇ - IDC 22 >> Kablosuz A lar ve Güvenlik Son y llarda ADSL ba lant lar n her ortama girmesi ve dizüstü bilgisayarlardaki fiyat düflüflü, kablosuz a kullan m n büyük oranda art rd. Huzeyfe ÖNAL - Turkcell 26 >> Türk Ticaret Kanunu Tasar s n n Modern Yüzü Türk Ticaret Kanunu Tasar s öncelikle Avrupa Birli i nin dijital flirket konseptini Türk ticari yaflam na kazand rmaktad r. Dr. Leyla KESER BERBER stanbul Bilgi Üniversitesi 28 >> Eriflim Kontrolü TS ISO/IEC 27001:2005-A.11 Murat LOSTAR - Lostar Bilgi Güvenli i fiubat 2009 beyazflapka 03

3 subat_2009.fh11 2/5/09 1:15 PM Page 3 Serkan AKCAN serkan.akcan@nebulabilisim.com.tr Beyaz fiapka De ifliyor Bilgi güvenliği alanı üç yıl önceki gibi değil. Beyaz Şapka bu değişime seyirci kalmayacak ve bilgi güvenliği ile ilgili her sorunuza cevap bulabileceğiniz bir ortam olacak. göndererek yeni portal m za nas l abone olacaklar n bildirece iz. E-davetiye sadece bilgi amaçl bir e-posta olacak. Sisteme abone olmak için davetiye alm fl olmak zorunlu de il y l n n sonlar na do ru üzerinde çal flmaya bafllad m z Beyaz fiapka projesi için gerçekten çok büyük emek harcand. Projemizi anlatt m z günden bu yana desteklerini esirgemeyen sponsor ve yazarlar m z n paha biçilmez katk s ile Beyaz fiapka hayat buldu. Büyük çabalar ile bafllad m z Beyaz fiapka projemiz hayat n n en büyük de iflikli i ile karfl karfl ya. fiüphesiz bu de ifliklik baz abonelerimizi üzecek. Ancak Beyaz fiapka n n yeni yol haritas tüm abonelerimizin çok daha h zl bilgi ve çözüm bulmalar na yard mc olacak. Beyaz fiapka hayat na internet portal olarak devam edecek. Bilgi Güvenli i Platformu olan slogan m z ise Bilgi Güvenli i Toplulu u olarak de ifliyor. Web teknolojisinin getirdi i önemli avantajlar bir toplulu a dönüflmemizi kolaylaflt r yor. Ülkemizde de birçok bilgi güvenli i kayna bulunuyor gibi web siteleri ve bu sitelere ba l e-posta gruplar hizmet veriyor. Ancak hemen hemen her kaynakta ayn sorular tekrar tekrar soruluyor ve her cevapta baz eksikler bulunuyor. Beyaz fiapka n n üç yafl n doldurdu u bu günlerde görüyoruz ki en büyük problem do ru ve derli toplu bir bilgi kayna na sahip de iliz. Beyaz fiapka n n internet portal n tasarlarken baz abonelerimizin fikirlerini ald k ve gördük ki ortak problem çözüm eksikli i. Bir abonemiz ultrasurf adl yaz l m n tüm güvenlik sistemini ezip geçti ini ancak do ru çözümü bulamad n söylerken baflka bir abonemiz 5651 say l kanun ve gereksinimleri hakk nda iyice kafas n n kar flt n söylüyor. Baflka bir abonemiz DNS aç kl ile ilgili ne yapmas gerekti ini tam olarak anlamad n dile getirirken bir baflka abonemiz ise web uygulamas n korumaya yönelik çal flmalar için kaynak bulamad ndan flikâyet ediyor. Uzun laf n k sas abonelerimizin ve sektör uzmanlar n n odakland konular birbirinden farkl. Biz de portal m z n içeri ini tasarlarken bu geri bildirimleri göz önünde bulundurduk ve gerçekten ifle yarayaca ndan flüphe duymad m z bir çal flma ortaya ç kard k. Beyaz fiapka Portal çerik Kategorileri Tüm abonelerimizin ihtiyaçlar n karfl layabilmek için toplam 10 adet kategori belirledik. A Güvenli i, Biliflim Hukuku, Güvenlik Denetimi, Güvenlik/Olay Yönetimi, Kimlik Yönetimi, Mobil Güvenli i, Risk&Uyumluluk Yönetimi, Sistem Güvenli i, Uygulama Güvenli i ve Veri güvenli i. Afla yukar bilgi güvenli inin her alan n kapsayan portal m z abonelerimizin ihtiyaçlar na daha h zl cevap verebilecek ve geliflime de aç k olacak.bu kategoriler makale, haber, video ve sunum gibi içeriklere sahip olacak. Böylece abonelerimiz ihtiyaç duyduklar bilgilere de iflik içerik tipleri ile ulaflabilecek ve ilgili konuda güncel kalabilecek. Portal sisteminde derginin aksine alan s n r yok. Dolay s ile çok daha fazla sektör uzman bilgi birikimlerini paylaflabilecek. Ayr ca abonelerimiz de kendi ifl süreçlerinde yapt klar çal flmalar di er abonelerimiz ile kolayca paylaflabilecek. Böylece bilgi birikimlerimiz birleflerek daha da büyüyecek. E-bülten hizmetleri ve içerik abonelikleri ile ihtiyaç duyulan verinin mesaj kutunuza gelmesini de sa l yor olaca z. Bilgi Güvenli i Sektörü Portal m z n tek içeri i bilgi de il. Sektörde birçok ifl ilan veya etkinlik e-posta listelerine gönderiliyor ve kal c bir veri olarak de er kazanam yor. Sektörün üreticiden da t c ya ve sa lay c dan müflteriye kadar uzanan süreçte ortak bir paylafl m platformu ülkemizde bulunmuyor. Bilgi güvenli i sektörünün tamam n n abonesi oldu u Beyaz fiapka n n portal nda bulunacak olan fl lanlar bölümü ile bilgi güvenli i uzman aramak kolaylaflacak. Personel veya ifl imkan aray fllar çok k sa zamanda sonlanabilecek. Birçok üretici, sat c veya dan flmanl k flirketi hemen hemen her hafta bir etkinlik düzenliyor. Düzenlenen etkinlikler e- Posta ile mevcut flirket kontaklar na iletiliyor veya bas n ilanlar davet sa lan yor. Beyaz fiapka n n Ajanda bölümü sektörün her alan nda yap lmakta olan etkinliklerin Türk bilgi güvenli i toplulu una duyurmak için en önemli araç olacak. Tüm abonelerimiz önümüzdeki günler ve haftalarda yap lacak olan tüm etkinliklerden haberdar olabilecekler. Portal m z n Tehdit Merkezi bölümü baz üreticiler ve ba ms z kurulufllar n RSS yay nlar n birlefltirdi imiz bir sayfa olacak. Tek bir web sayfas ile güncel virus, worm, exploit gibi tehditleri görebilecek; hotfix ve service pack gibi yama bilgilerine ulaflabileceksiniz. Art k güncelli inizi kontrol ederken onlarca farkl sayfa ziyaret etmek zorunda de ilsiniz. Anket bölümümüzde abonelerimizden baz verileri toplayarak Türkiye nin bilgi güvenli i fark ndal n ölçmeye devam edece iz. Anket sorular n gelifltirip sektörün durumuna fl k tutaca z. Internet topluluklar n n vazgeçilmezi olan Forum sistemi portal m zda yerini alacak. Etkileflimli iletiflim ihtiyac duyan abonelerimiz tüm sorular na Forum üzerinde cevap arayabilecekler. Yeni Sisteme Geçifl Beyaz fiapka projesine bafllad m z s rada abonelerimizin hiçbir verisini hiçbir amaç için kullanmayaca m z duyurmufltuk. Yeni sistemimize de abone kay tlar m z tafl mayaca z. Baz abonelerimiz yeni sistemde bir hesap sahibi olmak istemeyebilir. Mevcut abonelerimizin e-posta adreslerine bir e-davetiye E-posta ile davetiyelerin gönderilmesinin ard ndan Beyaz fiapka n n tüm abone bilgi bankas n silece iz. Bugüne kadar abone bilgilerini hiç kimse ile paylaflmad m z gibi hiçbir pazarlama sürecinde de kullanmad k. Bu politikam z de ifltirmeden devam ettirece iz. E-posta iletifliminde herhangi bir aksakl k yaflamamak için abonelerimize beyazsapka.org alan ad n güvenilir gönderici olarak tan mlamalar n önermeye devam ediyoruz. Kurumsal Bilgi Güvenli i Bildi iniz üzere Beyaz fiapka kurumsal bilgi güvenli i odakl hizmet veriyor. Abonelerimize daha kaliteli hizmetler sunmak için içeri imizin kalitesini yüksek tutmak ve kurumsal olmayan içeri i veya yeni aboneleri elememiz gerekiyor. Forum bölümümüze Microsoft Windows Vista Home Edition ile ilgili sorular gelmesini arzu etmeyiz. Bu sebeple abonelik sistemimizde baflvuru s ras nda kurumsal e-posta adreslerinin kullan lmas n zorunlu tutuyor olaca z. Bu sayede içerik ve abone kalitemizi yüksek tutabilece imizi düflünüyoruz. Elbette özel durumlar için bizimle temasa geçip bireysel e-posta adresleriniz ile kay t yap lmas na olanak tan yaca z. Son Söz Beyaz fiapka dergimiz, son say s ile sizlere veda ediyor. Portal m zda daha fazla ve daha kaliteli içerikle bilgi güvenli ine hizmet etmeye devam edece iz. De iflim süreciyle ilgili fikirlerinizi Beyaz fiapka ekibiyle paylaflarak hizmet kalitemizi art rmam za yard mc olman z rica ediyoruz. Güvenli Günler. Beyaz fiapka De ifliyor Beyaz fiapka De ifliyor 04 beyazflapka fiubat 2009 fiubat 2009 beyazflapka 05

4 subat_2009.fh11 2/5/09 1:15 PM Page 4 Emre AYDIN b-emaydi@microsoft.com Sanal Platformda Güvenlik! Gerçekten güvende misiniz? Güvenlik duvarları, sanal networkler ve sanal mimaride güvenlik anlamında dikkat edilmesi gerekenler! Son y llarda Sunucu Sanallaflt rma oldukça popüler bir yöntem durumunda. Bu yöntem ile birlikte, özellikle problem çözme ve yönetim maliyetleri ciddi oranlarda düflürülürken, toplam sahip olma maliyetlerinin de daha düflük seviyelerde seyretti ini görüyoruz. Kurumiçi sunucular n n sanallaflt r lmas (Hyper-V), uygulamalar n sanallaflt r lmas (App- V) ve hatta client iflletim sistemlerinin sanallaflt r lmas (Med- V) Microsoft sanallaflt rma vizyonunun neredeyse tamam n oluflturan ürünler olarak listeyebiliyoruz. Tabi ki art k tüm ortamlar n h zla sanallaflt ve bu sayede birçok avantaj n elde edildi i günümüzde güvenli iniz için de dikkat etmeniz gereken bir tak m hususlar bulunuyor. Öyle ki örne in firewall kurulumunun sanal olarak gerçekleflti i bir network ortam nda sanal PC leri bar nd ran fiziksel PC lerin, yaz n n geri kalan k sm nda bahsedilece i flekilde, korumas z oldu unu varsayarsak, fiziksel PC ye yap lacak bir sald r n n, sanallaflt r lm fl durumda çal flan firewall unuza ulafl lmas na gerek kalmadan tüm networkünüzü kullan lmaz hale getirilebilir. Bu örnekleri ço altabiliriz. Peki bu ve benzer durumlardan kaç nmak için neler yapabiliriz? Profillerin Belirlenmesi: Benzer ifli yapan sunucular n z ayn fiziksel PC ler üzerinde bulundurabilirsiniz. Örne in bir mail Sunucusu ile bir Oyun Sunucusunu ayn fiziksel PC de bar nd rmak güvenlik için riskli olabilir. Bunun yerine farkl fiziksel PC ler kullanmak ve sunuculara eriflilen portlar üzerinde k s tlamalar getirmek yap labileceklerden sadece bir tanesi. Ya da Mail Sunucusu nun d flar ya olan eriflimlerini ayr bir Vlan üzerinden geçirmek ikinci bir çözüm olarak listelenebilir. Üçüncü bir çözüm ise tabi ki ayr fiziksel Ethernet kart kullan m olacakt r. Benzer iflleri yapan sunucular ayn Ethernet kart üzerinden çal flt rmak güvenlik seviyenizi bir kademe daha yükseltecektir. Uygulama Güvenli i: Profillerin belirlenmesi örne inde oldu u gibi sunucular n z n üzerinde çal flacak olan uygulamalar n güvenli inin sa lanmas tüm sanal mimarinizin güvenli inin sa lanmas anlam na geliyor. Sanal Sunucular n zdan bir tanesinde çal flan bir yaz l m n güncel olmamas gibi sebeplerden dolay güvenlik aç yaratmas, ayn fiziksel Ethernet kart üzerinden ifl yapan tüm mimarinizi risk alt na sokacakt r. Fiziksel (Host) PC: Fiziksel PC nizin bir flekilde fail olmas durumunda e er fiekil-1 fiekil-2 Sanal Platformda Güvenlik! Gerçekten güvende misiniz? Sanal Platformda Güvenlik! Gerçekten güvende misiniz? 06 beyazflapka fiubat 2009 fiubat 2009 beyazflapka 07

5 subat_2009.fh11 2/5/09 1:15 PM Page 5 gerekli High Availability yat r m n da yapmad ysan z, üzerinde çal flan tüm mimarinizin s k nt yaflama riski bulunmaktad r. Bundan dolay Fiziksel PC leriniz üzerinde en alt seviye uygulama bar nd rmak ve hatta server 2008 Core Edition kullanmak ve yönetim ifllerini tamamen bu ifl için ayr lm fl (VLAN, Ayr Fiziksel Ethernet kart ) bir kart üzerinden gerçeklefltirmek güvenlik anlam nda yararl olacakt r. Birkaç örnek ile aç klayal m: En basit anlamda birçok kurumdaki en s k kullan m flekli fiekil-1 deki gösterilmektedir. Tüm sunucular ve Fiziksel PC ler ayn Virtual Network içerisinde ve eriflimlerde herhangi bir k s tlama olmaks z n çal fl r durumdalar. Yaflanabilecek herhangi bir sald r da hem Fiziksel PC yi hemde üzerinde çal flan Sanal PC leri kaybetmemek için san r m biraz flansa ihtiyac n z olacak. Tek bir swtich üzerinden tüm sunuculara eriflim söz konusu ise ve sanal PC güvenli i anlam nda bir yerlerden bafllamak hedefleriniz aras nda yer al yorsa, tüm sunucular n z n bulundu u Virtual Networklerinizi VLAN lara ay r p mimarinizi oluflturabilirsiniz. Bu flekilde kullan c PC lerinden gelecek olan isteklere cevap veren Sanal Sunucular ayn VLAN da yer alacaklar fakat Fiziksel PC ve ISA/TMG Sunucusu ayr VLAN da tutularak güvenli inizi sa layabilirisiniz. kinci örnek senaryoda ise sar renk ile gösterilen yönetim ifllerinin gerçeklefltirildi i PC üzerinden Fiziksel PC ye (Server 2008 Core Edition) ayr bir Ethernet kart ile ba lant sa lanmakta ve fiziksel PC üzerinde ki ikinci bir Virtual Network yard m yla internet ç k fl sa lanmaktad r. Bu flekilde Guest diye gösterilen sunucular n Fiziksel PC ye eriflmeleri zaten söz konusu olamazken Fiziksel PC nin internet ç k fl da güvenli olarak sa lanm flt r. Son bir örnek daha verecek olursak ISA/TMG kullan larak, kullan c lardan tüm Sanal (Guest) PC lere gelen istekler kontrollü olarak sa lanmaktad r. Bu ve benzer yap lar ço altmak tabi ki mümkün. Sanal sunucu ve Firewall mimarilerinin kullan m esnas nda dikkat edilmesi gereken di er bafll klara k saca göz atacak olursak: Host PC ve Sanal PC lerin güncellemelerinin yap lm fl olmas : fiekil-1 de gösterilen bir network yap s içerisinde çal fl yorsan z ve iflletim sistemlerinizden bir ya da birkaç güncel de ilse, tüm yap n z risk alt nda oldu unu tekrar hat rlayal m. Host PC nin Workstation olarak yap land r lmamas : Fiziksel PC lerinizi Domain mimarisi içerisinde bulundurmak ve kimlik do rulama ifllemlerini bu flekilde gerçeklefltirmek k r lmas daha güç bir sistem oluflturacakt r. Sanal PC lerin bulundu u disk alanlar n n Bit-Locker ile flifrelenmesi: Çok bilinen baz atak yöntemlerini ise afla daki flekilde listeleyebiliriz. Arama motorlar n kullanarak internette aratt n zda sanal mimari güvenli ini yeteri ölçüde oluflturmam fl birçok kurumun bafl ndan neler geçti ine h zl ca ulaflabilirsiniz. SubVirt (Samuel T. King, Peter M. Chen) BluePill (AMD SVM) Joanna Rutkowska Vitriol (Intel VT-x Mac OSX) Dino Dai Zovi Artan sanal networkler ve kurumlar n giderek tüm bileflenleri sanallaflt rma istekleri beraberinde güvenli i daha yüksek sanal networkler oluflturma iste ini de do urmaya bafllad. Önümüzde y llarda, Microsoft VDI (Virtual Desktop Infrastructure) çözümlerinin de hayat m za girece ini düflündü ümüzde, güvenlik anlam nda çok daha fazla tetikte olmaya bafllan lacak. Bugünden güvenli sanallaflt rma anlam nda gerekli önlemleri al p gelece i planlamakta kurumunuz için faydal olacakt r. Referanslar Step-by-Step Guide to Getting Started with Hyper-V library/c513e254-adf1-400e-8fcbc1aec8a mspx?mfr=true The Virtualization TechCenter Bilindi i gibi herhangi bir Sanal PC yi kolayca kopyalay p farkl bir yerde çal fl r hale getirebiliyoruz. Düflünüldü ünde, özellikle backup alma anlam nda ciddi art lar olan bir durum fakat güvenlik taraf nda planlanmaz ise ciddi s k nt larda yaflanabilir. Bu durumdan dolay gerekli performans testlerini gerçeklefltirdikten sonra Sanal PC lerinizin bulundu u disk alanlar n n bit-locker ile flifrelenmesi fliddetle önerdi imiz yöntemlerden bir tanesi. default.aspx Windows Server Virtualization Guide Virtualization Team Blog fiekil-3 Virtual PC hard disk datas n n güvenli inin sa lanmas : Hard Disk datas n n bulundu u klasörler üzerinde gerekli kullan c yetkilendirmelerinin yeterli ölçüde oldu undan emin olmakta fayda olacakt r. Gereksiz sunucu rollerini bar nd rmay n: Networkünüzde yer alan her yeni bileflen, sonraki günlerde güvenli ini de düflünmeniz gereken bir bafll k olarak karfl n za ç kacakt r. Bu ve benzer sebeplerden dolay en az düzeyde Windows bilefleni ile çal flmal s n z. Windows Server 2008 Authorization Manager library/c06e3fb0-28b b18-0ca6fc77fed81033.mspx?mfr=true Using BitLocker Under Virtual PC/Virtual Server 6/using-bitlocker-under-virtual-pc-virtual-server.aspx Sanal Platformda Güvenlik! Gerçekten güvende misiniz? Sanal Platformda Güvenlik! Gerçekten güvende misiniz? 08 beyazflapka fiubat 2009 fiubat 2009 beyazflapka 09

6 subat_2009.fh11 2/5/09 1:15 PM Page 6 Coflkun KAM LO LU coskun_kamiloglu@mcafee.com McAfee Artemis Zararlı kodlardaki artış ve geleneksel anti-virus teknolojilerinin yetersizliği, McAfee tarafından ele alınmış ve geçtiğimiz ekim ayı içerisinde McAfee tarafından geliştirilen Artemis teknolojisi piyasaya sunulmuştur. Geçti imiz 2008 y l içersinde, McAfee zararl kod (Malware) araflt rma merkezi taraf ndan zararl kod, McAfee AntiVirüs yaz l mlar tespit ve temizleme veritaban na eklenmifltir y l içersinde yaz lan bu zararl kod miktar 2006 ve 2007 içerisinde ortaya ç kan toplam zararl kod say s ndan bile fazla idi için öngörülen say lar iç aç c olmamakla beraber, zararl kodlara karfl verilen mücadelenin geleneksel imza veritaban na eklenmesi yöntemi ile baflar ya ulaflamayaca çok aç kt r. McAfee AVERT (Anti Virus Emergency Response Team), her gün yaklafl k dosya analiz etmekte ve bu say gün geçtikçe artmaktad r. Bu art fl n en büyük sebebi finansald r. Yarat lan bunca zararl kodun arkas nda, sald rganlar n çok büyük kazançlar elde etmesi yatmaktad r. Web üzerinden herhangi bir websayfas yard m ile istemci bilgisayarlar na yüklenen truva at (Trojan) sayesinde yüksek bant geniflli i ve oldukça yüksek kaynak say lar ile DDoS (Distributed Denial of Service) sald r lar düzenlenmekte, hatta bu sald r lar servis olarak sat labilmektedir. Web bankac l kullan c isimleri ve parolalar n istemilerden çal p sald rganlara gönderen keylogger & password stealer gibi zararl kodlar yine finansal amaçl gelifltirilmifl programc klard r y l içerisinde yap lan araflt rmalarda, bu tip sald r lara u rayan bir ev kullan c s n n maddi zarar $1200 iken, kurumsal firmalar n zarar firma bafl na ortalama $ olarak belirlenmifltir. (Kaynak: FBI, NW3C) Özellikle kendilerini a üzerinde paylafl m klasörlerini veya aç k TCP/UDP port kullanarak yayabilen solucan (Worm) tipindeki zararl kodlar n ilk tespit edilmesi ve bununla ilgili gerekli aksiyonun üretici firma taraf ndan al nmas aras nda geçen zaman içerisinde bu tip zararl kodlar n a üzerinde yay lm fl olmas geleneksel anti-virüs teknolojilerinin yetersiz kal fl na bir baflka örnek olarak gösterilebilir. Herhangi bir zararl kodun farkl metodlar kullan larak internet üzerinden yay lmaya bafllamas ile üreticilerin buna çözüm üretip yay nlamas aras ndaki süre, genel olarak de erlendirmek gerekir ise saat aras ndad r. Zararl kodlardaki art fl ve geleneksel anti-virus teknolojilerinin yetersizli i, McAfee taraf ndan ele al nm fl ve geçti imiz ekim ay içersinde McAfee taraf ndan gelifltirilen Artemis teknolojisi piyasaya sunulmufltur. Geleneksel virüs ile mücadele sistemleride, dosyalar n manuel veya otomatik olarak, yöneticilerin yetkisi dahilinde veya haricinde virüsten etkilenmifl dosyalar n üretici laboratuvarlar na gönderilmesi, gönderilen dosyalar n gizli bilgiler içerebilmesi bak m ndan, müflteriler taraf ndan istemeyen bir durum idi. McAfee Artemis teknolojisi virüsten etkilenen dosyan n kendisi göndermek yerine sadece dosyan n fingerprint bilgisini göndermektedir. Bu durum önemli say labilecek bilgilerin d flar ya ç kmas n engelledi i gibi, zararl kod ile ilgili herhangi bir imza yaz lmas ve bunun yayg nlaflt r lmas gereklili inide ortadan kald rmaktad r. mza veritaban n n güncellenmeye ihtiyaç duyulmadan zararl kodun ortadan kald r lmas na olanak tan yan Artemis teknolojisinin en önemli özelliklerinden biri, zararl kodun ortaya ç kmas ve imza yaz lmas aras nda geçen zaman diliminin önemli ölçüde indirgenmifl olmas d r. Bu ifllem, istemcilerde çal flan McAfee Virus Scan Anti-Virus davran fl tabanl Heuristics tarama motorunun sorun oldu unu düflündü ü bir dosyan n fingerprint bilgisinin merkezi epo ( Event Policy Orchestrator) yönetim sunucusuna aktar lmas ile bafllar. Merkezi epo sunucusu, fingerprint bilgisini global McAfee sunucular n kullanarak sorgular ve gelen bilgiye göre istemci Anti-Virus yaz l m na dosyan n zararl kod içeri i bar nd rmad n bildirir. Bu ifllemin tamam sadece birkaç saniye sürer. Dolay s yla saat aras nda de iflen korumas z zaman dilimi, birkaç saniyeye indirgenmifl olur. al r. Bu internet üzerinden download edilebinen veya USB üzerinden diske kopyalanan bir dosya olabilir. 2. Uygulama, Virus-Scan On-access, On-Demand veya E- mail tarama birimlerinden biri taraf ndan iflaretlenir. 3. Sezgisel tarama motoru uygulamadan flüphelenirse uygulaman n bir hash veya fingerprint bilgisini al r ve DNS kullanarak McAfee AVERT araflt rma merkezine gönderir. Uygulamalar n büyük bir ço unlu u flüpheli dosya olmayaca ndan bu durum network trafi inde olumsuz bir durum yaratmaz. Tüm trafik birkaç yüz byte seviyesindedir. Bu, McAfee global DNS 2006 y l ndan beri anti-spam sorgular için kullan lmaktad r ve farkl co rafi bölgelerde mevcuttur. 4. Artemis al nan Hash veya fingerprint bilgisini gözden geçirir ve herhangi bir zararl kod içeren uygulamaya ait olup olmad n hesaplar. 5. DNS query sorguyu yapan sunucuya cevap bilgisi döner ve dosyan n zararl kod içerip içermedi ini bildirir. 6. Dosyan n zararl olmas durumunda sistem yöneticisinin belirledi i aksiyon al n r. Dosya karantinaya al nabilir, silinebilir veya dosyaya eriflim engellenebilir. 7. lgili saptama ve al nan aksiyon, merkezi yönetim birimine (epo) gönderilir. Tüm ifllemi detayland rmak gerekirse: 1. stemci çal flt r labilir dosyay farkl kaynaklar üzerinden McAfee Artemis teknolojisi Virus Scan 8.5i ve VirusScan 8.7i istemci/sunucu anti virus ürünlerine entegre edilmifltir ve kullan lmaktad r. Bu teknoloji McAfee taraf ndan sunulan di er güvenlik ürünlerine de çok k sa bir sürede entegre ediliyor olacakt r. 10 beyazflapka fiubat 2009 McAfee Artemis McAfee Artemis fiubat 2009 beyazflapka 11

7 subat_2009.fh11 2/5/09 1:15 PM Page 7 Gökhan fienyüz gokhan.senyuz@bilgeadam.com Forefront Ailesi ile her yerde güvenlik: SharePoint Ortam n z koruyun! SharePoint Portalınızda, mali verilerinizi, raporlarınızı Microsoft Excel de paylaşıyorsunuz. Toplantı raporlarınızı Microsoft Word de yayınlıyor, eğitim içeriklerinizi, ürünlerinizi, kampanyalarınızı Microsoft Powerpoint ile sunuyorsunuz. Dikkat! Belgeleriniz sisteminizin güvenliğini tehdit eden bir düşmana dönüşmesin Kurum içi belgelerimizi, ifl ak fllar m z Microsoft Office SharePoint Server 2007 ile yönetiyoruz. Art k kurum yap m z, iflleyiflimiz çok daha h zl ve verimli. Peki; ama kendinizi güvende hissediyor musunuz? Teknolojinin hayat m za sorgusuz sualsiz dahil olmas gün be gün h zlanmakta. Size bir telefon kadar yak n z. Slogan günümüz teknoloji insan için sanki çok eski ça lardan kalan bir atasözü çünkü art k bilgi, iletiflim ve haberleflme parmaklar m z n ucunda. Bu duruma bir de bireysel de il kurumsal aç dan bak ld nda geliflmeler daha da bafl döndürücü olabiliyor. Microsoft, Office SharePoint Server 2007 (MOSS 2007) ürünü ile kurumlara ortak bilgi paylafl m, belge yönetimi, ifl ak fllar ve geliflmifl arama ifllevleri ile veriye daha etkin, h zl ve proaktif eriflim imkânlar sunuyor. MOSS 2007 üzerinde oluflturabilece iniz web portallar yla kullan c lar n za ek yaz l m yüklemeden ya da karmafl k ayarlamalar gelifltirmeden sadece bir web taray c s yla tüm kurum için belgelerinize kullan c lar n z n eriflmesini sa layabilir, bu belgeler üzerinde de ifliklik yapmalar na izin verebilir, yetkili olan kullan c lar n z n belge yükleme ve indirme izinlerini denetleyebilirsiniz. Ayr ca ifl ak fllar n z programlayarak kurum içi prosedürlerinizi otomatiklefltirebilir, Exchange Server 2007 ve OWA ile entegre çal flma imkan sa layabilirsiniz. Peki ya güvenlik? MOSS 2007 nin çal flma hayat n z nas l kolaylaflt raca ile ilgili sayfalarca yazabiliriz ancak, gelin flimdi baflka bir konuya odaklanal m. MOSS 2007 üzerinde kurumsal tüm belgelerimizi bar nd r rken geceleri uykular m z kaç rabilecek ne gibi güvenlik endifleleri ile karfl karfl yay z? K saca 3 ana bafll kta MOSS 2007 güvenlik senaryolar n inceleyelim: 1- Virüs ve di er zararl yaz l mdan korunmak: MOSS 2007 web portal n zdan birçok kurum içi kullan mda olan belge sunacaks n z, bu belgelerin virüs ve di er zararl yaz l mlardan etkilenmesini önlemeli, kullan c lar n z n MOSS sunucusuna yükledi i belgelerin temiz oldu undan emin olmal s n z. 2- MOSS 2007 portal n z yay nlamak: Bilgiye her an ulaflmas gereken çal flanlar n z için MOSS 2007 portal n z internet e açt n z. Peki, sitenize kimler ba lanacak, sitenizle istemcileriniz aras ndaki iletiflim acaba baflkalar taraf ndan dinlenebilecek mi? 3- Kullan c lar n z ne kadar güvenilir?: MOSS 2007 portal n za kullan c lar n z kurum d fl ndan eriflebiliyorlar, ifllemlerini internetin oldu u her yerden, her bilgisayardan yapabiliyorlar. Bu s rada siz kullan c lar n bilgisayarlar nda keylogger, spyware, virüs bulunup bulunmad n nas l denetleyebilirsiniz? Kurum içinde uygulad n z güvenlik ilkelerini d flar dan ba lanan kifliler için nas l uygulayabilirsiniz? (fiekil 1) fiekil - 1 E er siz de bir MOSS 2007 yöneticisiyseniz, muhtemelen bu ve benzer senaryolar sürekli olarak düflünmekte ve çeflitli çözümler uygulamaktas n zd r. fiimdi gelin bu endifleleri bizlere unutturacak Microsoft Forefront güvenlik ailesinden ürünlerle tan flal m ve MOSS 2007 sunucumuzun güvenli inden art k daha fazla endifle etmeyelim. Anti Virüs Çözümü: Microsoft Forefront Security for SharePoint Güvenilirli ini ve gücünü ba ms z kurulufllar n araflt rmalar nda kan tlam fl Forefront ailesinden MOSS 2007 sunucunuz için özel gelifltirilmifl ve tasarlanm fl anti virüs çözümü. Forefront Security for SharePoint (FFSSPS) ürününün en büyük özelli i içerisinde birden fazla tarama motoru bulundurmas. (fiekil 2) fiekil - 2 Böylece tek bir ürün sat n alarak ve kullanarak MOSS 2007 sunucunuzu 8 farkl anti virüs program yla güvenlik alt na alm fl oluyorsunuz. Bu hem maliyet aç s ndan hem de kolay yönetilebilirlik anlam nda büyük bir avantaj. Ayr ca 8 farkl tarama motoruyla güvenlikte en üst noktaya ulafl yorsunuz, zararl yaz l mlar bir tarama motorundan kaçsa bile, bir di er tarama motoru taraf ndan yakalanabiliyor, güncel olmayan bir tarama motoru yerine sistem daha güncel olan bir di er tarama motorunu tercih edebiliyor. Üstelik tüm bu tarama motorlar n n güncellemelerini tek bir ekrandan ve Microsoft üzerinden yapabiliyorsunuz. Her bir tarama motoru için farkl güncelleme ayarlar ve zamanlamalar yap land rabilmeniz de mümkün. FFSSPS ürünü içerisinde iki farkl zararl yaz l m tarama görevi bulacaks n z: Realtime ve Manual. Bu görevlerle kullan c lar n z aktif olarak web portal n z üzerinde çal fl rken etkin olarak koruma sa layabilece iniz gibi Manual tarama görevini zamanlayarak portal n z n isterseniz sadece belirli bölümlerini de zararl yaz l mlara karfl taratabilirsiniz. FFSSPS ile birbiri içine yuvalanm fl ZIP ya da RAR gibi arfliv dosyalar n da güvenlik kontrolünden geçirebilir, bunlar n içerisine gizlenmifl zararl yaz l mlar engelleyebilirsiniz. FFSSPS ürünü ayr ca dosya ve içerik filtreleme özelliklerine de sahiptir. Bu sayede portal n za hangi dosya türlerinin eklenebilece ini denetleyebilir, eklenecek dosyalar n maksimum boyutlar n ayarlayabilir ya da eklenebilecek dosyalar n içeri indeki kelimeleri belirleyebilirsiniz. Üstelik kullan c lar n z dosya uzant s n de ifltirse dahi FFSSPS dosya bafll n (Header) inceleyerek izin verilmeyen dosyalar engellemeye devam edecektir. FFSSPS ile ayr ca OpenXML tabanl ve IRM (Information Rights Management) ile ek güvenlik alt na ald n z belgelerinizi de koruma alt na alman z mümkün olmaktad r. FFSSPS ürünü için flu an Hizmet Paketi 1 ve Hizmet Paketi 2 Microsoft taraf ndan kullan c lar n hizmetine sunulmufl durumda. E er bu güncellefltirmeleri sisteminize yüklerseniz Office belgeleri içerisindeki Non-ASCII karakterlerin denetlenebilmesi, 11 farkl dilde haz r keyword ler (Ne yaz k ki Türkçe yok.) ve FFSSPS yi Windows Server 2008 üzerinde çal flt rabilme olanaklar na kavufluyoruz. FFSSPS ürünü ICSA Labs taraf ndan SharePoint sunucular için sertifikaland r lm fl ilk anti virüs çözümüdür. ICSA, dünya çap nda bilgi güvenli i standartlar n belirleyen ve güvenlik yaz l mlar n sertifikaland ran bir kurumdur. ICSA güvenlik yaz l mlar n, virüs tespit edebilme ve temizleyebilme, yönetimsel kolayl k, raporlama, benchmark gibi çeflitli standartlara göre de erlendirmektedir. ICSA ve FFSSPS ürünüyle ilgili incelemeleri daha ayr nt l bir flekilde görmek isterseniz adresini ziyaret edebilirsiniz. Güvenli Yay nlama Çözümü: Internet Security and Acceleration Server 2006 (ISA 2006) ISA Server 2006 Microsoft un en fazla kullan lan güvenlik yaz l mlar ndan biridir. Temelde iç a n z internetten gelecek tehlikelere karfl koruyacak bir güvenlik duvar olarak kullan l rken, ayr ca iç a n zdaki kullan c lar n internet eriflimlerini kullan c tabanl olarak denetleyebilece iniz bir üründür. ISA Server 2006 y flubeleriniz aras nda bir a geçidi olarak yap land rabilir ve sihirbaz temelli yap land rmas yla çok kolayca yönetebilirsiniz. Peki, ISA Server 2006 MOSS 2007 için ne gibi güvenlik imkânlar sa lamaktad r? 12 beyazflapka fiubat 2009 Forefront Ailesi ile her yerde güvenlik: SharePoint Ortam n z koruyun! Forefront Ailesi ile her yerde güvenlik: SharePoint Ortam n z koruyun! fiubat 2009 beyazflapka 13

8 subat_2009.fh11 2/5/09 1:15 PM Page 8 ISA Server 2006 içerisinde kolayca ve güvenlice MOSS 2007 web portal n z internet te yay nlayabilece iniz bir sihirbaz bulunmaktad r. Böylece, ISA Server 2006 nin ön kimlik do rulama özelli inden faydalanarak portal n za internet ten eriflmek isteyen kiflileri daha fiziksel olarak portal n za ulaflmadan en uç noktada durdurabilir ve kimlik do rulama iflleminden sonra portal n z kullanmalar na izin verebilirsiniz. Ayr ca istenirse MOSS 2007 web portal n za eriflecek kullan c lar n birden fazla (Multi Factor) kimlik do rulama ifllemine tabi tutulmas n sa layabilir ve daha geliflkin bir kimlik yönetimi uygulayabilirsiniz. ISA Server 2006 ayr ca ön bellekleme (Caching) özelli ine sahip bir yaz l m oldu u için kullan c lar n z n web portal n za yapm fl oldu u istekler uygun oldu u durumlarda ön bellek üzerinden kullan c ya iletilecek ve bu noktada belirgin bir performans/verim art fl gözlenecektir. ISA Server 2006 için Microsoft flu anda Hizmet Paketi 1 güncellefltirmesini yay nlad. Bu güncellefltirmeyi yükleyerek ISA Server üzerinde yapt n z yap land rma de iflikliklerini kay t edebilece iniz Configuration Change Tracking, oluflturdu unuz kurallar uygulamadan önce test edebilece iniz Test Button, ISA Server üzerinden akan trafi i ince-leyebilece iniz Traffic Simulator gibi yeni özelliklere de sahip olabilirsiniz. Kullan c lar n z ne kadar güvenilir?: Intelligent Application Gateway 2007 (IAG 2007) flte flimdi çok farkl bir Microsoft ürünü ile karfl karfl yay z, çünkü bu ürün bir yaz l m de il donan m. IAG 2007 Microsoft taraf ndan sunulmufl bir appliance. IAG 2007 ile Microsoft olan ya da olmayan birçok uygulamay SSL tabanl olarak internet üzerinde bir web portal üzerinde yay nlayabilirsiniz. Kullan c lar n z sadece bir web taray c s na sahiptir ve kullan c ad parola ikilisini portal üzerinde do rulatt ktan sonra paylaflt rm fl oldu unuz tüm uygulamalara tek bir internet sayfas üzerinden ulaflabilirler. (fiekil 3) Ayn ISA Server 2006 kullan rken oldu u gibi, IAG 2007 de de kimlik do rulama, SSL, Çoklu kimlik do rulama (Multi Factor) güvenlik özelliklerine sahibiz ama nedir IAG 2007 yi bizler için farkl k lan? ç a n z düflünelim. Active Directory ya da benzeri bir dizin hizmeti kullan yor olabilirsiniz, kullan c lar n z güvenlik ilkeleri ile k s tlam fl olabilirsiniz. Merkezi bir anti virüs yaz l m n z ve bir güvenlik duvar n zda vard r. Hatta Windows Server 2008 ile beraber gelen NAP (Network Access Protection) özelli i ile istemci bilgisayarlar n z n sa l k durumlar n dahi denetliyor olabilirsiniz. Peki ya flirket d fl ndaki bilgisayarlar ve a lar? Bunlar nas l denetleyebiliriz? Internet kafeden MOSS 2007 portal n za ba lanacak bir kullan c n n oturdu u bilgisayarda keylogger olup olmad n bilebilir misiniz? flte bu noktada IAG 2007 devreye giriyor. IAG 2007 üzerinde oluflturdu unuz portala, ki buna Trunk deniliyor, kullan c lar n z n eriflebilmeleri için bir ActiveX bilefleni yüklemeleri gerekiyor. Bu bileflenle istemcileriniz üzerinde çeflitli güvenlik denetlemeleri yapman z mümkün hale gelmektedir. Örne in IAG 2007 portal n z kullanmak isteyen kullan c lar n z n ba lant yapt bilgisayarda anti virüs program olup olmad n denetleyebilir, var olan anti virüs yaz l m n n aç k ya da kapal olup olmad n belirleyebilir, Windows güncellemelerinin yap l p yap lmad n kontrol edebilir ve sizin belirledi iniz standartlara uygun olmayan istemci bilgisayarlar n sisteminizin tamam na ya da sadece belirli bir parças na eriflmelerini engelleyebilir ya da izin verebilirsiniz. (fiekil 4) IAG 2007 nin bu noktada en güçlü ve en esnek taraf içerisinde hem kullanm fl oldu unuz Microsoft olsun ya da olmas n birçok endüstri standard uygulama için kullan ma haz r yap land r lm fl güvenlik ayarlar bulundurmas hem de fiekil-3 fiekil - 4 istemci bilgisayarlar n denetleyebilece iniz birçok farkl güvenlik ilkesi bar nd rmas d r. Örne in, kurumunuzda SAP uygulamalar, Microsoft CRM, Oracle ya da SQL veritaban, Domino sunucular ve benzeri uygulamalar n z var. Art k bunlar için güvenlik risklerini ç kartmak, analiz etmek, kullan c lardan geri bildirim almak zorunda de ilsiniz çünkü IAG 2007 tüm bu uygulamalar ve daha fazlas için hali haz rda tan mlanm fl güvenlik ayarlar na sahip ve bunlar n hepsi iste inize göre özellefltirilebilir. Sizin tek yapman z gereken hangi uygulamay yay nlayaca n za karar vermek, b rak n gerisini IAG 2007 yaps n. (fiekil 5) fiekil - 5 IAG 2007 ile bahsetmek istedi im bir önemli özellik ise Attachment Wiper (Eklenti Silici). Bu özellikle kullan c lar n z n oturum s ras nda girdi i bilgiler, açt belgeler ve istemci bilgisayara kaydedilen geçici dosyalar oturum ya da web taray c s kapat ld nda otomatik olarak silinmekte ve istemci bilgisayarda hiçbir iz b rak lmamaktad r. Böylece gözlerden kaçan zararl bir yaz l m internet dolafl m sonras nda istemci bilgisayarlarda arda kalan art klar inceleyerek belgelerinize, oturum bilgilerinize, sunucu bilgilerinize ulaflamayacakt r. IAG 2007 sihirbaz tabanl bir yap ya sahiptir ve yönetimi oldukça basittir, belge yükleme ve indirmeleri engellenebilmekte ve ek bir güvenlik katman sa lanmaktad r. IAG 2007 için flu an Hizmet Paketi 1 ve Hizmet Paketi 2 güncellefltirmeleri yüklenebilir durumda. Bu paketleri yükleyerek Windows Vista iflletim sistemlerinin denetlenebilmesi, Windows olmayan iflletim sistemleri ve Internet Explorer d fl ndaki di er web taray c lar n n denetlenebilmesi gibi bir çok özelli e de sahip olabilirsiniz. IAG 2007 için yaz - m n bafl nda bir donan m ürünü oldu unu söylemifltim, flimdi Windows Server 2008 kullan c lar için bir müjde vermek istiyorum. IAG 2007 Hizmet Paketi 2 ile beraber isterseniz art k IAG 2007 yi Hyper-V üzerinde çal flt rabileceksiniz ve sanallaflt rma dünyas n n tüm gücünü IAG 2007 özellikleriyle birlefltirip çok daha güvenli, çok daha performansl ve kolay yönetilebilir bir yap ya kavuflabileceksiniz. Hangi ürün benim için daha uygun? Bu sorunun cevab n vermek tabi ki oldukça güçtür. Anlatm fl oldu um ürünler farkl senaryolar alt nda çal flan, farkl güvenlik özellikleri getiren ve birbirlerini tamamlayan ürünlerdir. En ideal senaryoda üç ürünü de a m zda bulundurmak en olumlu sonucu verecektir. Bahsedilen ürünlerin özellikleri, kapasiteleri ve yetenekleri tabi ki buradan genel olarak anlatmaya çal flt klar mla s n rl de ildir. Ancak her bir ürünün incelenmesi dahi bafll bafl na bir konudur. Bu sebeple sizlere bu ürünlerle ilgili ayr nt l bilgi edinebilece iniz çevrim içi kaynaklar da vermek istiyorum. Forefront Security for SharePoint fault.aspx Internet Security & Acceleration (ISA) Server Intelligent Application Gateway (IAG) Forefront Server Security Blog TechNet Forefront Page Bu sayfalarda ürünlerle ilgili daha ayr nt l teknik detaylara ulaflabilir, örnek kullan m senaryolar n inceleyebilir, ürünlerin deneme sürümlerini indirip bir test ortam nda kendiniz de daha ayr nt l olarak inceleyebilirsiniz. Ayr ca bahsi geçen ürünlerin kullan ma haz r Virtual PC üzerinde sanal laboratuarlar n indirebilir, kurulum ve kullan m yönergelerini takip ederek ürünler hakk nda birçok özelli i keflfedebilirsiniz. Hangi ürünü kullan rsan z kullan n, art k bir fleyden emin olun; SharePoint ortam n z ve belgeleriniz Forefront güvenlik ailesiyle art k çok daha güvenli beyazflapka fiubat 2009 Forefront Ailesi ile her yerde güvenlik: SharePoint Ortam n z koruyun! Forefront Ailesi ile her yerde güvenlik: SharePoint Ortam n z koruyun! fiubat 2009 beyazflapka 15

9 subat_2009.fh11 2/5/09 1:15 PM Page 9 Serkan AKCAN serkan.akcan@nebulabilisim.com.tr Underground USB Bellek ve CD-Rom ların yarattığı tehlikenin farkında mısınız? Uzunca bir süredir bütün dünyada U3 USB belleklerin üzerinde çal flabilen hack araçlar konufluluyor. Beyaz fiapka ya konuyu biraz geç tafl d k çünkü hem ülkemizde durumdan etkilenmeyen flirket yok denecek azd ve çözüm say s oldukça s n rl yd. U3 USB Bellekler bildi imiz standart belleklere ek olarak, bellek bölümlerinin bir bölümünü iflletim sistemine CD-ROM olarak tan tabiliyor. Bu özelli in en büyük avantaj USB bellekler üzerinde autorun özelli inin çal flt r lmas. flletim sistemleri varsay lan olarak yeni bir sürücü gördü ünde autorun.inf dosyas n arar ve içeri ini otomatik olarak çal flt r r. Peki ya autorun içinde zararl kod bulunursa? USC Switchblade, USB Hacksaw, Blat, USBDumper ve Stunnel gibi küçük yaz l mlarla U3 USB sürücüsü bir hack makinesine çevrilebilir. Neleri Hack eder? Bahsetti im yaz l mlar yüklenmifl bir U3 Usb belle i bilgisayardan password hash, LSA Secret, IP yap land rmas, Internet Explorer ve Firefox a kaydedilmifl flifreler, MSN flifresi, bilgisayar diskinin belirli bölümlerine kay t edilmifl dosyalar veya belirli uzant lara sahip dosyalar ve kablosuz a flifreleri gibi de erli bilgileri çalabilir. Ayr ca VNC yaz l m n bilgisayara yükleyerek uzaktan eriflim imkân yaratabilir. Nas l Çal flt r l r? U3 Bellek önceden haz rlanm flt r. Çal flt rmak için bilgisayara takmak yeterlidir. Herhangi bir uzmanl a gerek yoktur çünkü zaten bu yaz l mlar haz r flekilde internet üzerinden da t l yor. Üstelik bütün bunlar silent diye tabir etti imiz flekilde, gizlice yap l r. Bilgi Nas l Toplan r? Hack edilen bilgi varsay lan olarak USB diske kaydedilir. stenirse belirtilen bir eposta adresine otomatik olarak gönderilebilir. Baz ek araçlar ile ftp veya http sitelerine yüklenebilir. Hangi sistemler etkilenir? Tüm dünyada genel olarak USB güvenli ine odaklan l yor ancak bu yaz l mlar CD-ROM lar üzerinde de çal flabiliyor. Tek fark hack edilen verilerin cd-rom a yaz lmak yerine hacker a ait e-posta adresine veya ftp sitesine gönderiliyor olmas. Yanl fl Bilinenler Birçok internet kayna nda (Türkiye deki kaynaklar da dahil) iflletim sisteminin autorun özelli inin kapat lmas öneriliyor. Bu yöntem belki kendi bilgisayar n n güvenli ini sa lamaya çal flan bireysel kullan c lar için etkin olabilir. Ancak kurumsal yap larda durum biraz daha farkl. Kurum çal flanlar da bu bilgilere sahip olmak isteyebilir. Autorun özelli i kapat lm fl olsa bile bu yaz l mlar çal flt rmak isteyebilir ve bir sistem kullan c s olarak buna yetkisi vard r. Özellikle finans, kamu, güvenlik, denetim&dan flmanl k gibi sektörlerde bu durum göz ard edilemeyecek kadar büyük riskler tafl yabilir. Korunma Yöntemleri Biliflim sistemlerinin çal flma düzenleri ve amaçlar na göre de iflik yöntemler gelifltirilebilir. Hemen hemen her kurumda al nabilecek tedbirleri k saca s ralamak istiyorum. 1. Autorun özelli ini kapat n Yukar da da bahsetti im üzere bireysel kullan c lar için daha önemli bir nokta olmas na ra men kurumlarda da yap lmas gerekir. 2. USB Araç Denetimi Baflta kamu ve finans sektörü olmak üzere tüm dünyada USB denetimi yap lmaya bafllanm fl ve hatta baz standartlar gere i zorunluluk haline gelmifltir. Kuruma ait veri sadece kurum taraf ndan sa lanm fl donan mlarda bulunabilir ve sadece yetkilendirilmifl personel bu verilere ulaflabilir. Kurum USB araçlar n sa lar ve sadece kurum taraf ndan sa lanm fl araçlar kullan l r. Device Control yaz l mlar USB cihazlar n n seri numaralar na ve/veya çeflitlerine göre sisteme tak l p tak lamayaca na karar verebilir. Bu sayede kurumunuz taraf ndan sa lanmam fl USB cihazlar n bilgisayar n za ba lanmas n engelleyebilirsiniz. 3. Veri güvenli i denetimi Temel amac m z kritik verilerin çal nmas n engellemek. Yine device control ürünleri ile USB (ve di er) sürücülere kullan c lar n kopyalad dokümanlar gizlice merkezi bir sunucuda yedeklenebilir. Bu sayede hangi kullan c n n hangi veriye eriflti ini takip edebilirsiniz. Birçok üretici için Data Loss Prevention (DLP) ürünü, Device Control ürününün biraz daha geliflmiflidir. Device Control ürünlerine ek olarak verinin içeri ini kontrol ederek güvenli ini sa layabilirler. Bu sayede kurumunuza ait gizli verinin bilgisayarlar n zdan d flar ç kmas na engel olabilirsiniz. Örne in finansal dokümanlar, entelektüel sermaye verileri, gelifltirilen yaz l mlar n kaynak kodlar, ürün tasar mlar vb 4. Malware yaz l mlar Endpoint Security ürünlerinizin kalitesinden ve konfigürasyonundan emin olun. USB veya CD-ROM üzerinden çal flt r labilen kötü amaçl bu yaz l mlar Endpoint Security ürünleri taraf ndan engellenebilir. Ancak baz endpoint security çözümleri bu yaz l mlar bulamaz, baz lar için ek lisans almak gerekebilir ve baz lar için özel konfigürasyon yapmak flartt r. 5. Host Security Türkiye de hep atlanan bir konudur host security. Çok defa bu konu üzerine yazd m, anketler düzenledim. Durum oldukça basit. Bir Kurumunuza ait bir bilgisayarda sizden habersiz olarak bir yaz l m veya kod taraf ndan e-posta gönderilebiliyorsa, bu sistemin güvenli inden söz edemeyiz. Port 25 (smtp eposta portu) istemcilerde sadece Outlook taraf ndan kullan labilir, baflka hiçbir yaz l m bu porta veri yükleyemez. Sisteminizde böyle bir kural tan mlad n zda exploit ve solucanlar n önemli bir bölümü etkisiz kalacakt r. Di er bir konu da Host IPS. USB belleklerde bulunan yaz l mlar baz sistem kritik kaynaklara eriflmeye çal fl r. Host IPS yaz l mlar ile bu gibi ataklar proaktif olarak engelleyebilirsiniz. Son Söz Kendi sistemlerinizde size ait olmayan ve kontrol edemedi iniz yaz l m ve donan mlar n çal flmas n engellemelisiniz. Risklerinizi tan mlamak için bilgi güvenli i dan flman n za baflvurmak en iyi yöntemdir. Güvenli günler. 16 beyazflapka fiubat 2009 Underground Underground fiubat 2009 beyazflapka 17

10 subat_2009.fh11 2/5/09 1:15 PM Page 10 Murat GÜNSAY Kimli e Dayal, A Tabanl zleme Sistemleri Mevcut altyapılarda, alternatiflerine göre daha az bir maliyet ve daha kolay bir kurulumla, erişim ve davranış modellerini kontrol etmek, Secure Computing firmasının (2009 itibarıyla McAfee fırmasının) son olarak ürün portföyüne kattığı Securify ailesinin, kimliğe dayalı, ağ tabanlı izleme imkanı sunan çözümleri ile artık mümkün. Gartner ve IDC taraf ndan, Fortune 500 flirketlerinden yüz tanesi ile yak n bir zamanda yap lan bir ankette, flirketler, altyap ve ifl organizasyonlar ndaki de iflikliklerin, kullan c eriflimi ve davran fllar nda ciddi problemlere neden oldu unu belirttiler. Altyap De ifliklikleri A yap lar n ve mevcut ba lant lar de ifltirmek ve birlefltimek, veri merkezlerinin yerini de ifltirmek veya yeni veri merkezleri eklemek, uygulamalar ve sunucular çevrimiçi hale getirmek, kullan c eriflimlerinde halihaz rda yaflanan zorluklar daha da art racak faktörlerdir. fl Organizasyonu De ifliklikleri Kurumlar n içindeki bölümleri ay rmak, birlefltirmek, yenilerini eklemek; yeni çal flanlar sisteme eklemek, ç kanlar sistemden ç karmak; dan flmanlar geçici bir süre ve düflük yetkilerle sisteme dahil etmek gibi de ifliklikler, eriflimde yaflanacak problemleri art ran faktörlerdir. Yine Gartner ve IDC gibi analist firmalar n araflt rmalar na göre, bu altyap ve ifl organizasyonundaki de iflikliklerin neden oldu u güvenlik zaaflar, bugünkü bilgi sistemlerindeki problemlerin yar s ndan fazlas n oluflturuyor. Bu güvenlik zaaflar, ayn zamanda güvenlik denetimlerinde ve denetim politikalar na uyumluluk konular nda karfl lafl lan problemlerinin iskeletini oluflturmaktad r. O halde, mevcut altyap y de ifltirmeden, ne yapmal, nas l bir çözüm kullan lmal? Bugün, çok karmafl k ve çok büyük altyap lara sahip birçok global kurum ve da t k yap ya sahip firma, 3 milyondan fazla kullan c için maliyet-etkin bir çözüm olarak Securify ürün ailesini kullanarak, güvenlik risklerini azalt yor, zorunlu uyumluluk yasalar na uyumu sa l yor ve a lar nda olup biteni daha etkin ve yetkin bir flekilde gözlemleyebiliyor. A üzerinde kim(ler)in, gerçek-zamanl olarak nerelerde gezdi ini ve hangi uygulamalar çal flt rd n görebilmek, sistem ve güvenlik yöneticileri için, güvenli i bir üst katmana tafl mak anlam na geliyor. Securify çözümleri, her bir kullan c n n efllefltirilmifl gerçek-zamanl a hareketlerini, mevcut router/switch ler üzerinden veri ak fl n toplayarak ya da SPAN port lar ndaki trafi in bir kopyas n yakalayarak, grafiksel olarak sunar. Bu noktadan sonra, sistem ve güvenlik yöneticilerinin tek yapmas gereken örne in dan flmanlar n neden finansal veritaban na erifltikleri ya da programc lar n neden K sunucusuna erifltikleri sorular n n cevaplar n bulmak olacakt r. beraber, çok daha kolay bir hale gelmesi ve kurallar n çok daha granüler bir flekilde oluflturulmas imkan n n do mas d r. Yukar da yaz lanlar ve Securify çözümlerinin kullan labilece i alanlar afla daki flekilde özetleyebiliriz: Güvenlik Gerçek-zamanl kimli e dayal a izleme çeriden gelebilecek tehlikelerin bertaraf edilmesi Kritik sistemlerin korunmas Ipv6 ya geçifl ile beraber oluflabilecek güvenlik zaaflar ve risklerinin asgariye indirilmesi Altyap De iflikleri A ve veri merkezi konsolidasyonlar Eski sistemlerin yeni sistemler ile de ifltirilmesi Bantgeniflli i veriminin sa lanmas A trafi ini anlayarak, güvenlik duvarlar ndaki yanl fl konfigürasyonlar n düzeltilmesi Uyumluluk Securify çözümleri, KEfi F yan nda KONTROL imkanlar n da sundu undan, asl nda yukarda verilen sorular n cevab n araman n yan nda, sistem yöneticileri bu tür kefliflerle beraber, tehlikeli gördükleri eriflimleri k s tlama imkan na da sahipler. Kritik veya çok kritik olarak görülen eriflimler için yöneticiler uyar labildi i gibi, a üzerinde de iflik görev üstlenen cihazlara bir geri bildirim de sa lan labilir. Tüm bunlar n yan nda, bu tür bir çözümün en büyük faydalar ndan biri de güvenlik duvarlar ndaki kurallar olufltururken karfl lafl lan zorluklar n, Securify çözümlerinden edinilecek grafiksel keflif bilgisiyle Periyodik olarak yap lan bilgi sistemleri denetimlerinin kolaylaflt r lmas Mant ksal Eriflim Kontrol Sistemi oluflturulmas (HSPD-12) A eriflim noktalar n n kolayl kla belirlenmesi Çeflitli uyumluluk yasalar için sürekli izleme imkan (PCI, Sox, vs) Kimli e Dayal, A Tabanl zleme Sistemleri Kimli e Dayal, A Tabanl zleme Sistemleri 18 beyazflapka fiubat 2009 fiubat 2009 beyazflapka 19

11 subat_2009.fh11 2/5/09 1:15 PM Page 11 Zeynep GENÇ IDC BT Güvenlik Seminer Serisi 2009, BT Güvenli i için geliflen f rsatlar ele al yor IDC Orta Doğu, Afrika ve Türkiye nin en prestijli etkinliklerinden biri olan BT Güvenlik Seminer Serisi 2009, bu yıl Yeni Ekonomik Çağda Gerçek ve Algıyı Dengelemek teması ile gerçekleşecek. Konferans 17 Şubat 2009 da Istanbul The Bosphorus Swissotel de başlayacak, daha sonra Ankara, Kazablanka, Lagos, Nairobi, Johannesburg, Dubai ve Riyad illerinde devam edecektir. ç kmas na neden olmufltur. Anti-virüs ve güvenlik duvar (firewall) gibi tekil ürünlü güvenlik sistemleri kompleks kurumsal altyap lar için art k kapsaml koruma sa layamamaktad r. fiirketler art k güvenlik entegrasyonlar n daha genifl alanda BT altyap lar n kapsayacak flekilde do ru talimatlar uygulamak, teknolojinin her alan n güvenli hale getirmek ve altyap lar n n yönetimi konusunda d fl kaynak kullanmak sureti ile operasyonel maliyetlerini azaltm fllard r. Tehdit görünümlerinin kapsaml l, kat mevzuat talimatlar, karmafl k teknolojik ortam ve güvenlik boflluklar n n flirketlere getirebilece i potansiyel etkiler, flirketleri BT güvenli ine yüksek yat r mlar yapmaya zorlad, diyor IDC nin Yaz l m alan nda K demli Araflt rma Müdürü Ranjit Rajan. IDC, 2009 ve 2010 da olmas beklenen ekonomik küçülme s ras nda, BT Güvenli i nin esneklik gösterecek ve di erlerinden daha fazla büyüme kaydedecek teknoloji pazarlar ndan biri olmas n bekliyor. Orta Do u, Afrika ve Türkiye gibi geliflen ekonomiler son bir kaç y ld r BT güvenlik teknolojilerinin h zl adaptasyonuna flahit olmufllard r. Sadece bu bölgede, BT güvenlik yaz l mlar için yap lan harcamalar 2007 y l nda $335 milyona ulaflm fl ve önümüzdeki 5 y l içinde bu rakam n y ll k % 14 oran nda art fl göstermesi beklenmektedir. IDC nin BT Güvenlik Seminer Serisi 2009, gelece in BT güvenli ini flekillendirmesi beklenen, büyüme, gidilecek yön, de iflen öncelikler, yeni kabiliyetler ve yeni teknolojiler gibi konular ele alacakt r. Bölgedeki en sayg n BT Güvenlik Profesyonelleri, evrim veya uç nokta güvenli i, kurumsal veri kayb ve bilgi tabanl iflletmelere yöneltti i tehditler, web 2.0 ça nda mesajlaflma güvenli i, güvenlik sistemleri, depolama ve a yönetiminin birbirine yaklaflmas gibi bafll ca konular ele alacaklard r. IDC, kat l mlar ile etkinli e flüphesiz bir baflar katk s sa layan global bilgi teknoloji devlerinden IBM ve uluslararas bilgi güvenli i yaz l m flirketi olan Kaspersky Lab n bu y lda etkinlikte olacaklar n duyurmaktan onur duymaktad r. Ayr ca bölgede halen ifl ortakl f rsatlar devam etmektedir. Bu heyecan verici seminer serilerine kat lmay düflünüyorsan z veya herhangi bir konuda bilgi almak için Türkiye Konferans Müdürü Zeynep Genç ile telefondan veya zgenc@idc.com adresinden irtibata geçebilirsiniz. IDC Orta Do u, Afrika ve Türkiye BT Güvenlik Seminer Serisi 2009 Ajandas IDC Orta Do u, Afrika ve Türkiye nin en prestijli etkinliklerinden biri olan BT Güvenlik Seminer Serisi 2009, bu y l Yeni Ekonomik Ça da Gerçek ve Alg y Dengelemek temas ile gerçekleflecek. Konferans 17 fiubat 2009 da Istanbul The Bosphorus Swissotel de bafllayacak, daha sonra Ankara, Kazablanka, Lagos, Nairobi, Johannesburg, Dubai ve Riyad illerinde devam edecektir. BT güvenli i, y llar içinde, tekil ürün çevresi tabanl güvenlikten, güvenli a altyap lar n n planlanmas, de erlendirilmesi, kurulmas ve yönetilmesi gereken bütünsel bir güvenlik süreçleri yaklafl m ve kapsaml güvenlik programlar na do ru önemli bir evrim geçirdi. flgücünün mobil hale gelmesi ve kurumlar n daha genifl alanlara yay lmas sonucu, güvenlik tehditleri çevresel tabanl sald r lar n ortaya fiubat 17 Istanbul (The Bosphorus Swissotel) Mart 18 Ankara (Bilkent Hotel ) Nisan 9 Kasablanka (Hyatt Regency) Nisan 15 Lagos (Protea Hotel) Nisan 22 Nairobi (Hilton Nairobi) Nisan 29 Johannesburg (Hilton Sandton) Ekim 19 Dubai (Grand Hyatt) Ekim 26 Riyad (Four Seasons) IDC BT Güvenlik Seminer Serisi 2009, BT Güvenli i için geliflen f rsatlar ele al yor IDC BT Güvenlik Seminer Serisi 2009, BT Güvenli i için geliflen f rsatlar ele al yor 20 beyazflapka fiubat 2009 fiubat 2009 beyazflapka 21

12 subat_2009.fh11 2/5/09 1:15 PM Page 12 Huzeyfe ÖNAL Kablosuz A lar ve Güvenlik Son yıllarda ADSL bağlantıların her ortama girmesi ve dizüstü bilgisayarlardaki fiyat düşüşü, kablosuz ağ kullanımını büyük oranda artırdı. Yeni al nan ADSL modemlerin ço unda kablosuz a özelli i de birlikte geliyor. Kablosuz a kullan m hem pratik hem de kullan fll, fakat gerekli önlemler al nmazsa güvenlik noktas nda biraz s k nt l d r. Bu yaz da kablosuz a lar ve bu a larda güvenli i sa layacak temel bileflenler anlat lm flt r. Bir konunun güvenli inin sa lanabilmesi için baz temel detaylar n bilinmesi gerekir. Kablosuz a lar n güvenli i konusunun anlafl labilmesi için güvenli i sa layacak ya da güvenlik aç na sebep olacak bileflenlerin neler oldu una bir gözatal m. Kablosuz A arabirim çal flma modlar Kablosuz a adaptörleri kulland klar sürücüye ve yapaca iflleve ba l olarak dört farkl modda çal flabilir. Bunlar: Managed, Master(hostap), Ad-hoc ve Monitor mod. Master Mod: Etraftaki kablosuz a istemcilerine hizmet vermek için kullan lan mod. Eriflim noktas olarak adland r lan cihazlarda kablosuz a adaptörleri bu modda çal fl r. Managed Mod: Bir eriflim noktas na ba lanarak hizmet alan istemcinin bulundu u mod. Ad-Hoc Mod: Arada bir AP olmaks z n kablosuz istemcilerin haberleflmesi için kullan lan mod. Monitor Mod: Herhangi bir kablosuz a a ba lanmadan pasif olarak ilgili kanaldaki tüm trafi in izlenmesine olanak sa layan mod. Kablosuz a larda gücenlik konusunda s k s k kullan lan bir moddur. Promiscious mod ve monitor mod fark Klasik yap lan hata promiscious mod ve monitor modun kar flt r lmas d r. Bu iki mod da birbirinden tamamen farkl d r. Monitor mod, bir kablosuz a arabiriminin herhangi bir a a ba lanmadan o a a ait tüm trafi i izleyebilmesine olanak verir. Promiscious mod ise bir a a ba lan ld nda o a da duruma göre- tüm trafi i izleyebilmenizi sa lar. Kablosuz a larda Wireshark gibi sniffer araçlar kullan rken Promiscious mod seçili ise bazen hiç paket yakalayamazs n z. Bu kulland n z kablosuz a adaptörünün ya da sürücüsünün promiscious mod desteklemedi ini gösterir. Yayg n Kablosuz A Yöntemleri Kablosuz a lar temelde iki modda çal fl r: bunlardan biri Ad-hoc di eri de Infrastructure mod olarak adland r lm flt r. Genellikle, kablosuz a kullan m amac m za göre bu iki mod dan birini seçme durumunda kal r z. Ad-hoc Mode: Bilgisayardan bilgisayara ba lant Yöntemi: Ad-hoc mod, iki kablosuz a cihaz n n arada baflka bir birlefltiriciye (AP) ihtiyaç duymadan haberleflebildi i durumdur. Teknik olarak, Independed Basic service set olarak da bilinir (IBSS). Ad-hoc ba lant lar genellikle evde kiflisel ifllerimiz için kullan r z. Mesela, bir evde iki bilgisayar ve birinin internet ba lant s var, di er bilgisayar da internete ç karmak istersek önümüze iki seçenek ç k yor: Ya iki bilgisayar aras nda bir kablo çekerek iki bilgisayar direkt birbirine ba layaca z ya da bir hub/switch alarak iki bilgisayar bu arac cihazlar ile konuflturaca z. Oysa bunlardan baflka bir seçene imiz daha var. Tabi e er her iki bilgisayarda kablosuz a adaptörü varsa Bu iki cihaz n kablosuz a adaptörlerini Ad-hoc modda çal flacak flekilde ayarlarsak ve internete ç kan bilgisayarda ba lant paylafl m yaparsak iki makine de özgür bir flekilde interneti kullanabilecektir. Burada makinelerin Linux, Windows ya da Mac tabanl olmas farketmez. Tan mlanan de erler standartlara uygun oldu u müddetçe her ifllemi kolayl kla yapabiliriz. Piyasada $ dolara bulabilece iniz USB kablosuz a adaptörleri ile ya da kulland n z dizüstü bilgisayar n kendi sistemi ile kolayl kla Ad-hoc mod kablosuz a kurulabilir. K saca Ad-hoc mod için herhangi bir AP'e gerek duymadan kablosuz a cihazlar n n birbirleri aras nda haberleflmesidir diyebiliriz. Infrastructure mode : Eriflim noktas ba lant yöntemi Infrastructure mode ortamdaki kablosuz a cihazlar n n haberleflmesi için arada AP gibi bir cihaza ihtiyaç duyulmas d r. Ad-hoc moda göre biraz daha karmafl kt r ve özel olarak ayarlamad ysak iflletim sistemimiz bu modu kullanacak flekilde yap land r lm flt r. Teknik olarak Basic Service Set olarak da bilinir (BSS). Infrastructure modda kablosuz a istemcileri birbirleri ile direkt konufltuklar n düflünürler fakat tüm paketler AP arac l ile iletilir. Burada a a dahil olmayan herhangi bir kablosuz a cihaz n n tüm trafi i izleme riski vard r. Bu sebeple Infrastructure mod kullan rken genellikle iletiflim flifrelenir. fiifreleme amaçl olarak WEP ya da WPA gibi protokoller kullan l r. fiifreli iletiflimde aradaki trafik izlense bile anlafl lmaz olacakt r. Kablosuz A larda Güvenlik Önlemleri Kablosuz a lardaki en temel güvenlik problemi verilerin havada uçuflmas d r. Normal kablolu a larda switch kullanarak güvenli imizi fiziksel sa layabiliyorduk ve switch e fiziksel olarak ba l olmayan makinelerden korunmufl oluyorduk. Oysaki kablosuz a larda tüm iletiflim hava üzerinden kuruluyor ve veriler gelifligüzel ortal kta dolafl yor. Kablosuz a larda güvenlik sa lama amaçl al nacak temel Önlemler Eriflim noktas Öntan ml Ayarlar n n De ifltirilmesi Kablosuz a lardaki en büyük risklerden birisi al nan eriflim noktas cihaz na ait öntan ml ayarlar n de ifltirilmemesidir. Öntan ml ayarlar eriflim noktas ismi, eriflim noktas yönetim konsolunun herkese aç k olmas, yönetim arabirimine giriflte kullan lan parola ve flifreli a larda a n flifresidir. Yap lan araflt rmalarda kullan c lar n ço unun bu ayarlar de ifltirmedi i görülmüfltür. Kablosuz a lar n güvenli ine dair yap lmas gereken en temel ifl, ön tan ml ayarlar n de ifltirilmesi olacakt r. Eriflim Noktas smini görünmez k lma: SSID Saklama Kablosuz a larda eriflim noktas n n ad n (SSID) saklamak al nabilecek ilk temel güvenlik önlemlerinden biridir. Eriflim noktalar ortamdaki kablosuz cihazlar n kendisini bulabilmesi için devaml anons ederler. Teknik olarak bu anonslara beacon frame denir. Güvenlik önlemi olarak bu anonslar yapt rmayabiliriz ve sadece eriflim noktas n n ad n bilen cihazlar kablosuz a a dahil olabilir. Böylece Windows, Linux da dahil olmak üzere birçok iflletim sistemi etraftaki kablosuz a cihazlar n ararken bizim cihaz m z göremeyecektir. SSID saklama her ne kadar bir önlem olsa da teknik kapasitesi belli bir düzeyin üzerindeki insanlar taraf ndan rahatl klar ö renilebilir. Erisim noktas n n WEP ya da WPA protokollerini kullanmas durumunda bile SSID lerini flifrelenmeden gönderildi ini düflünürsek ortamdaki kötü niyetli birinin özel araçlar kullanarak bizim eriflim noktam z n ad n her durumda ö renebilmesi mümkündür. Eriflim Kontrolü Standart kablosuz a güvenlik protokollerinde a a girifl anahtar n bilen herkes kablosuz a a dahil olabilir. Kullan c lar n zdan birinin WEP anahtar n birine vermesi/çald rmas sonucunda WEP kullanarak güvence alt na ald m z kablosuz a m zda güvenlikten eser kalmayacakt r. Zira herkeste ayn anahtar oldu u için kimin a a dahil olaca n bilemeyiz. Dolay s ile bu tip a larda 802.1x kullanmadan tam manas ile bir güvenlik sa lanamayacakt r. MAC tabanl eriflim kontrolü Piyasada yayg n kullan lan eriflim noktas (AP) cihazlar nda güvenlik amaçl konulmufl bir özellik de MAC adresine göre a a dahil olmad r. Burada yap lan kablosuz a a dahil olmas n istedi imiz cihazlar n MAC adreslerinin belirlenerek erisim noktas na bildirilmesidir. Böylece tan mlanmam fl MAC adresine sahip cihazlar kablosuz a m za ba lanamayacakt r. Yine kablosuz a lar n do al çal flma yap s nda verilerin havada uçufltu unu göz önüne al rsak a a ba l cihazlar n MAC adresleri, a flifreli dahi olsa havadan geçecektir, burnu kuvvetli koku alan bir hacker, bu paketleri yakalayarak izin verilmifl MAC adreslerini alabilir ve kendi MAC adresini koklad MAC adresi ile de ifltirebilir. Linux alt nda MAC adresi de ifltirmek bize bir komut kadar uzaktad r. # ifconfig eth1 hw ether 00:10:09:AA.54:09:56 Ya da mac-changer ile MAC adresi de iflimi yap labilir. fiifreleme Kullanma Kablosuz a larda trafi in baflkalar taraf ndan izlenmemesi için al nmas gereken teme önlemlerden biri de trafi i flifrelemektir. Kablosuz a larda flifreleme WEP (wired equivalent privacy) ve WPA (Wi-Fi Protected Access) olarak adland r lan iki protokol üzerinden yap l r. Her iki protokol de ek güvenlik önlemleri al nmazsa günümüzde güvenilir kabul edilmez. Internette yap lacak k sa bir arama ile Linux alt nda uygun bir kablosuz a adaptörü kullan larak tek komutla WEP korumal a lara nas l s z ld izlenebilir. Bugüne kadar WEP kullananlara hep WPA ya geçmeleri ve uzun karmafl k parola seçmeleri önerilirdi. Zira WPA, WEP in zay f kald noktalar güçlendirmek için yaz lm fl bir protokoldü. Fakat 2008 in son aylar nda iki üniversite ö rencisinin yapt çal flma pratikte WPA n n 15 dakika da k r labilece ini ispat etmifl oldu. Asl nda çal flma WPA da de il WPA n n kulland TKIP (emporal Key Integrity Protocol) bileflenindeki aç kl ktan kaynaklan yordu. Dolay s ile WPA ve AES flifreleme kullanarak gerçek manada güvenlik elde etmek mümkün. Sonuç olarak ; Eriflim noktalar n n öntan ml ayarlar mutlaka de ifltirilmeli fiifreleme olmadan güvenlik olmaz 22 beyazflapka fiubat 2009 Kablosuz A lar ve Güvenlik Kablosuz A lar ve Güvenlik fiubat 2009 beyazflapka 23

13 subat_2009.fh11 2/5/09 1:15 PM Page 13 AP ile stemci aras ndaki MAC adresleri her durumda aç k bir flekilde gider MAC adreslerini de ifltirmek oldukça kolay WEP/WPA ile korunmufl a lar ek güvenlik önlemleri al nmazsa güvenli de ildir. Katmanl güvenlik anlay fl gere ince yukar da anlat lan yöntemlerin uygulanmas güvenli inizi bir ad m daha artt racakt r. Kablosuz A larda Keflif Kablosuz a larda keflif, yak n çevrede bulunan eriflim noktalar n n tespitidir. fli abart p WLAN araçlar n arabalar na alarak ya da yaya olarak yol boyunca etrafta bulunan kablosuz a lar keflfetmeye yönelik çal flmalara Wardriving, eriflim noktalar n n özelliklerine göre (flifreleme deste i var m? Hangi kanalda çal fl yor vs.) bulunduklar yerlere çeflitli iflaretlerin çizilmesine ise WarChalking deniyor. War driving için çeflitli programlar kullan labilir fakat bunlardan en önemlileri ve ifl yapar durumda olanlar Windows sistemler için Netstumbler, Linux sistemler için Kismet dir. Kismet ayn zamanda Windows iflletim sisteminde monitor mode destekleyen kablosuz a arabirimleri ile de çal flabilmektedir. Kablosuz A lar Dinleme Kablosuz a larda veriler havada uçufltu u için dinleme yapmak kablolu a lara göre daha kolayd r. Amaca uygun kullan lan bir dinleme arac ile bir kablosuz a daki trafik a a dahil olmadan rahatl kla izlenebilir. Linux sistemlerde kablosuz a trafi i dinlemek için Kismet adl program tercih edilir. Kismet, monitoring (rfmon) mod destekleyen kablosuz a arabirimleri için düflünülmüfl b, a ve g protokolleri ile uyumlu kablosuz a larda pasif dinleme yapmaya yarayan bir araçt r. Ayn zamanda kablosuz a lar için pasif keflif arac olarak ve basit manada sald r tespit sistemi olarak da kullan labilir. MSN görüflmeleriniz, e-postalar n z ve ziyaret etti iniz siteler de dahil. Ortama dahil olan birisi basit MITM ataklar ile tüm trafi i üzerinden geçirip içeri ini inceleyebilir, ötesinde de ifltirebilir. Baflka kimlikte biraz daha paranoyak bir sald rgan gelip a a dahil olmadan yine tüm trafi i monitor modda izleyebilir hatta e er bu ortamda Hotmail, Yahoo, Gmail ya da https kullanan sistemlerinize erifliyorsan z, sald rgan da kiflisel girifl parolan z bilmeden ilgili sitelerin size gönderdi i cookieleri çalarak ayn sistemlere eriflebilir. Di er bir tehlike de sald rgan n trafik izleme için zahmete girmeden ortamda bulunan eriflim noktalar ndan birinin ismini taklit ederek sahte eriflim noktas oluflturmas d r. Böylece baz kullan c lar asl yla ayni isme sahip belki daha iyi çeken sahte eriflim noktas na ba lanacak ve buradan ifllemlerini yapacakt r. Bu da bir sald rgan için a na ba lanan tüm istemciler üzerinde mutlak hakimiyet kurmas manas na gelir. K sacas halka aç k kablosuz a larda internet kullanmak buzda dansa benzer. Dolay s ile dikkatli olmak ve güvenli sörf için uygun araçlar kullanmak gerekir. Bu tip a larda internete girmeniz gerekiyorsa, ya VPN üzerinden ya da TOR benzeri flifreli iletiflim sa layan networkler üzerinden girmeniz trafi inizin baflkalar taraf ndan izlenmesini önleyecektir. olmuyor. Vmware den arabirim modunu bridge, nat yap larak wifi kart n z n yararland ba lant Vmware makineye sa lanabilir fakat bu vmware uzerinde wireless bir kart olarak alg lanmaz. S radan bir ethernet kart gibi Vmware in kendi sürücülerini kullanarak ifllem yap l r. Bu durumda, Wireless a lara baglan p, analiz yapma imkan m z yok. USB bir wifi kart al p bunu Vmware e tan tarak kullanacaks n z. (Gercek sisteminizin Windows, Vmware deki sisteminiz Linux ise) USB wireless kart n z Vmware alt nda gerçek özellikleri kullanabilmek için Vmware surumu 6.x, Vmware player kullan yorsaniz güncel sürümü olmal. Bundan sonras Vmware in menülerinden usb cihaz Vmware e wireless kart olarak tan tmak ve sürücünün sa lad wireless özelliklerini kullanmaya kal yor. Not:Vmware in kullanaca usb wireless kart gerçek iflletim sisteminin tan mas gerekmez. Vmware de usb wireless kart n aktif etme Kablosuz a larda keflif, pasif ve aktif olmak üzere ikiye ayr l r. Ad ndan da anlafl laca gibi aktif kefliflerde keflif yapan kendisini belirtir ve aktif cihazlar arad n anons eder. Pasif keflif türünde ise tam tersi bir durum söz konusudur. Pasif keflif gerçeklefltiren cihaz kesinlikle ortama herhangi birfley anons etmez, sadece ortamdaki anonslar dinleyerek aktif ama gizli cihazlar belirlemeye çal fl r. Aktif keflif araçlar na en iyi örnek NetStumbler verilebilir. Ücretsiz olarak kullan labilen Netstumbler çal flt r ld nda, kapsama alan nda anons yapan tüm aktif cihazlar bularak bunlar raporlar. Netstumblerin çal flmas ya da bir eriflim noktas n keflfetmesi için eriflim noktas n n kendisini anons etmesi laz md r. Yani basit güvenlik önlemi olarak ald m z SSID saklama ifllemi Netstumbler i flafl rtacakt r. Pasif keflif arac olarak kullan labilen Kismet ise Netstumbler a göre oldukça fazla özellik içerir ve kötü niyetli birinin elinde tam donan ml gizli bir silaha dönüflebilir. Kismet, kablosuz a adaptörlerine özel bir modda çal flt rarak (monitor mode) etrafta olan biteni izler ve kaydeder. Böylece bulundu u ortamdaki tüm trafi i görerek aktif, pasif eriflim noktas cihazlar n tüm özellikleri ile birlikte belirler. Sadece eriflim noktas cihazlar n belirlemekle kalmaz, bu cihazlara ba l tüm istemci cihazlar ve özeliklerini de belirleyebilir daha da ötesinde flifreleme kullan lm yorsa tüm trafi i dinler. Yeteri kadar korkutucu de il mi? fiirket a n zda kulland n z makinelerin IP bilgileri vs yabanc ellere gitmesini ister miydiniz? Kismet ile dinleme yap l rken etraftaki eriflim noktalar ya da istemciler rahats z edilmez. Tamamen pasif modda bir dinleme yap ld için kablosuz a lar korumaya yönelik baz sald r tespit sistemleri kolayl kla aldat labilir. Özellikle flifresiz bir iletiflim yöntemi tercih edilmiflse, Kismet bu noktada kablosuz a daki tüm herfleyi görebilir. Kismet ve ek bir iki araç kullan larak, MAC adres tabanl güvenlik önlemi al nm fl kablosuz a lara kolayl kla girifl yap labilir. Kismet ayn zamanda kablosuz a larda izinsiz girifl tespiti içinde kullan labilir. A a eriflim izni olmay p da girifl deneyiminde bulunan kullan c lar Kismet taraf ndan rahatl kla belirlenerek raporlanacakt r. Halka Aç k Kablosuz A lardaki Tehlikeler Kablosuz a lar n belki de en ifle yarar oldu u durumlar halka aç k olanlar d r. Hemen hemen tüm büyük al flverifl merkezlerinde, lokanta ve kafelerde bu tip a lara rastlayabiliriz. Baz lar eriflim için kullan c ad / parola istese de yukar da anlatt m yöntemler kullan larak bu tip a lar rahatl kla kand r labilir. Gelelim bu tip a lardaki risklere: Öncelikle ayn eriflim noktas na ba l tüm istemcilerin trafi i flifrelenmemifl bir flekilde havada dolaflacakt r. Bunun içinde Kablosuz A Güvenlik Testleri için Ortam oluflturma Kablosuz A larda güvenlik konusu, prati i zor olan bir konudur. Bunun temelde iki sebebi vard r. Birincisi kablosuz a adaptörleri sürücü eksikli inden genelde Windows alt nda test yapacak fonksiyonlara sahip de ildir. Bu gibi testler için Linux kullan lmas çok daha pratik olacakt r. Di er bir konu da baflkalar n n kablosuz a lar üzerinden yap lacak testler etik olmayaca için kendi kablosuz a ortam n zda çal flmalar yapman z gerekti idir. E er kullan lan Eriflim Noktas (Access Point) paylafl ml ise yapaca n z testlerden di er kullan c lar etkilenecektir. Bu durumda son çare olarak yeni bir donan m almak kal yor. Di er bir yöntem de bir adet USB üzerinden çal flan kablosuz a adaptorü al p Vmware içerisinden bu adaptörü kullanmakt r. Böylece hem mobil bir AP e sahip olacaksan z hem de kablosuz a larda güvenlik testi yaparken Windows un k s tlay c özelliklerine tak lmadan Linux üzerinden istedi iniz ifllemleri yapabileceksiniz. Böylece istedi inizde sanal bir AP ye istedi inizde de Linux alt nda test yapmak için kullanabilece iniz kablosuz bir a adaptörüne ulaflm fl olacaks n z. Vmware ile Kablosuz A adaptörlerini Kullanma Gercek iflletim sisteminizde kullandiginiz wireless kartlar Vmware alt nda da ayn özelliklerde kullanmak ne yaz k ki mümkün Türkiye de Kablosuz A Kullan m Ve Güvenlik Araflt rmas Yaklafl k bir ay önce Türkiye de kablosuz a lar n güvenlik aç s ndan durumunu incelemek için bir çal flma bafllatt k. Bu çal flma, kablosuz a kullan m nda kullan c lar n güvenlik aç s ndan ne durumda oldu unu belirlemek. Ç kan sonuçlar net durumu tam olarak yans tmasa da Türkiye deki kablosuz a kullan c lar n n ortalama durumunu gösterir nitelikte. Çal flman n flifreli a kullan m ile ilgili sonuçlar : Kablosuz A lar ve Güvenlik Kablosuz A lar ve Güvenlik 24 beyazflapka fiubat 2009 fiubat 2009 beyazflapka 25

14 subat_2009.fh11 2/5/09 1:15 PM Page 14 Dr. Leyla KESER BERBER Türk Ticaret Kanunu Tasar s n n Modern Yüzü Türk Ticaret Kanunu Tasarısı öncelikle Avrupa Birliği nin dijital şirket konseptini Türk ticari yaşamına kazandırmaktadır. Bu amaçla elektronik ticaret sicili, elektronik defter ve arşivleme, güvenli elektronik imza/zaman damgası, kayıtlı elektronik posta, bilgi toplumu hizmetleri başlığı altında elektronik ortamda yönetim kurulu ve genel kurul yapma, e-ticaret ve e-şirketin gereği olarak web sitesi yapma şeklindeki değişen ticari yaşamın ve gelişen teknolojinin güncel konuları, Ticaret Kanunu Tasarısı nın bilişimle ilgili modern yüzü olarak karşımıza çıkmaktadır. Türk hukuk ve ticari yaflam n n önemli ve büyük kanunlar ndan biri olan Türk Ticaret Kanunu Tasar s, Meclis Genel Kurulunda görüflülmekte ve 1535 maddeden oluflan tasar n n, flimdiye kadar 70 in üzerinde maddesi bak m ndan oylama yap lm flt r. Türk ticari yaflam n de iflen dünya düzenine adapte etmeyi hedefleyen tasar içinde, biliflimle ilgili olarak da son derece önemli hükümler yer almaktad r. Az sonra de inece imiz hükümler yasalaflt nda, dijital flirket konsepti yaflant m za girmifl olacakt r. Di er bir ifadeyle bir flirketin yaflam döngüsü kapsam na giren her husus elektronik ortama tafl nacakt r. Bu kapsamda flirket kurulufllar n n elektronik olarak yap lmas, tescil ve ilana tabi konular n elektronik olarak gerçeklefltirilmesi ile mevcut uygulamada zaman ve masraf kayb na neden olan süreçlerin elektronik ticaret sicili uygulamas ile de ifltirilmesi öngörülmektedir. Kanunda yer alan madde numaralar ile aç klamalar m za devam edecek olursak: Tasar da yer alan ve Mecliste oylanan maddelerden biri olan, md. 18/f.3 Tacirler aras nda, di er taraf temerrüde düflürmeye, sözleflmeyi feshe veya sözleflmeden dönmeye iliflkin ihbar veya ihtarlar noter arac l yla, taahhütlü mektupla, telgrafla veya güvenli elektronik imza kullanarak kay tl elektronik posta sistemi vas tas yla yap l r fleklinde bir içeri e sahiptir. Bu madde ile hukuk yaflant m za kay tl elektronik posta (registered ) kurumu kazand r lm flt r. Kay tl elektronik posta sistemi, elektronik ortamdan yap lan gönderilerin hangi tarihte ve kim taraf ndan yap ld ayn zamanda muhatab n gönderiyi hangi tarihte teslim ald n kesin olarak belirleyen ve normal elektronik posta ile yap lan iletiflimden farkl olarak elektronik iletiflimi gerek teknik gerek hukuki aç dan güvenli k lan bir sistemdir. Güvenli elektronik imza ve zaman damgas ile çal flan bir sistem oldu u için, hem beyan gönderenin kimli i hem de bu beyan n ne zaman gönderildi i, al c n n kimli i ve al c n n elektronik postay ne zaman ald fleklindeki sorular kesin olarak cevaplanabilmektedir. Bu yap s itibariyle TTK ve Tebligat Kanunu aç s ndan son derece önem tafl maktad r. Kay tl elektronik posta sistemi, bir telekomünikasyon hizmeti olup, buna iliflkin standartlar Avrupa Telekomünikasyon Standartlar Enstitüsü (ETSI) taraf ndan haz rlanm fl ve Ekim 2008 yay nlanm flt r. Ticaret siciline iliflkin ve Mecliste oylanan md. 24/f.2 hükmüne göre; ticaret sicil kay tlar n n elektronik ortamda tutulmas na iliflkin usul ve esaslar Tüzükle gösterilir. Bu kay tlar ile tescil ve ilan edilmesi gereken içeriklerin düzenli olarak depoland ve elektronik ortamda sunulabilen merkezi ortak veri taban Sanayi ve Ticaret Bakanl ile Türkiye Odalar ve Borsalar Birli i nezdinde oluflturulur Say l Kanunda yap lacak bir de iflikle bu Yasa içinde yer verilmesi gereken bir konu, Meclis e verilen bir önerge ile haks z rekabetle ilgili hükümler aras nda yer alan ve bas n, yay n, iletiflim ve biliflim kurulufllar n n sorumlulu unu düzenleyen 58. Maddeye 4. F kra eklenmifltir. Söz konusu hüküm uyar nca; Haks z rekabet fiilinin iletimini bafllatmam fl, iletimin al c s n veya fiili oluflturan içeri i seçmemifl veya fiili gerçeklefltirecek flekilde de ifltirmemiflse, bu maddenin birinci f kras ndaki davalar hizmet sa lay c s aleyhine aç lamaz; tedbir karar verilemez. Mahkeme haks z rekabet eyleminin olumsuz sonuçlar n n kapsaml veya verece i zarar n büyük olaca durumlarda ilgili hizmet sa lay c s n da dinleyerek, haks z rekabet fiilinin sona erdirilmesini veya önlenmesine iliflkin tedbir karar n hizmet sa lay c aleyhine de verebilir veya içeri in geçici olarak kald r lmas dahil somut olaya uyan uygulanabilir baflka tedbirler alabilir. Gerek 5651 Say l Yasa ile uyumu gerek medeni yarg lama hukuku ilkeleri gözetilmeden kanuna eklenmek istenilen bu hükmün Ticaret Kanunu yürürlü e girmeden önce tekrar müzakere edilerek Tasar dan kald r lmas n n uygun olaca n düflünüyoruz. Elektronik ticari defter ve arfliv konusunda 64. Maddenin 3. F kras (3) Ticarî defterler, aç l fl ve kapan fllar nda noter taraf ndan onaylan r. Kapan fl onaylar, izleyen faaliyet döneminin alt nc ay n n sonuna kadar yap l r. fiirketlerin kuruluflunda defterlerin aç l fl ticaret sicili müdürlükleri taraf ndan da onaylanabilir. Aç l fl onay n n noter taraf ndan yap ld hallerde noter, ticaret sicili tasdiknamesini aramak zorundad r. Türkiye Muhasebe Standartlar na göre elektronik ortamda veya dosyalama suretiyle tutulan defterlerin aç l fl ve kapan fl onaylar n n flekli ve esaslar ile bu defterlerin nas l tutulaca Sanayi ve Ticaret Bakanl nca bir tebli le belirlenir. Bakanl kça haz rlanacak tebli de, elektronik ortamda onay n ne flekilde yap laca na iliflkin teknik belirlemelerin yan s ra, 65. Maddenin 4. F kras ndaki isterlerin yerine getirilmesi için, flirketlerce elektronik olarak defter tutmak amac yla kullan lacak yaz l m programlar n sahip olmas gereken standartlar, bu programlar n onaylanmas ve akreditasyonu gibi konular ele al nacakt r 1. fiirketlerde sermaye koyma borcuna iliflkin 127. madde ise fikri mülkiyet haklar n n yan s ra, hakl olarak kullan lan devredilebilir elektronik ortamlar, alanlar, adlar ve iflaretler gibi de erlerin de sermaye olarak konulabilece ini belirtmektedir. Tasar n n Maddesi, Elektronik fllemler ve Bilgi Toplumu Hizmetleri bafll n tafl makta ve 2000/31 say l Avrupa Birli i e-ticaret Direktifi nin temel kavramlar ndan biri olan bilgi toplumu hizmetleri kavram n tan mlamamakla birlikte, ticari yaflant m za sokmaktad r Madde sermaye flirketleri bak m ndan ç tay yüksek tutmufl ve her sermaye flirketinin bir web sayfas açmas n zorunlu tutmufltur. Bu hükümle arzulanan husus, her sermaye flirketinin sadece basit bir web sitesi sahibi olmas de ildir. Bilakis bu site ile bir yandan flirket ifllemleri ve iflleyifl bak m ndan fleffafl k, elektronik ortamda genel kurul ve yönetim kurulu yapma, elektronik ticaret sicili ifllemleri ve dolay s yla Sanayi ve Ticaret Bakanl n n Merkezi Tüzel Kimlik Projesi ile entegrasyon sa lan rken, di er taraftan flirketlerin elektronik ticaret için gerekli altyap ya sahip olmalar sa lanmak istenmifltir. Sözkonusu maddenin uygulanmas na iliflkin ayr nt lar Sanayi ve Ticaret Bakanl n n haz rlayaca bir Yönetmelikle düzenlenecektir. Tasar güvenli elektronik imza bak m ndan genel bir hüküm ihtiva etmektedir Maddenin 1. F kras güvenli elektronik imzan n kullan lmayaca ifllemleri saymaktad r. Buna göre; poliçe, bono, çek, makbuz senedi, varant ve kambiyo senetlerine benzeyen senetler güvenli elektronik imza ile düzenlenemez. Bu senetlere iliflkin kabul, aval ve ciro gibi senet üzerinde gerçeklefltirilen ifllemler güvenli elektronik imza ile yap lamaz. 2. F kra ise koniflmento, tafl ma senedi ve sigorta poliçesi bak m ndan güvenli elektronik imza da dahil olmak üzere elektronik herhangi bir araçla imzan n at labilece ini öngörmektedir. Elektronik ortamda yönetim kurulu ve genel kurul yap lmas n ve flirketleri bu amaçla yapt klar harcamalarda ve zaman kayb ndan kurtarmay amaçlayan Maddenin 1. F kras na göre; sermaye flirketlerinde müdürler kurulu ve yönetim kurulu üyelerinin, öngörülen belirli durumlarda, kurul toplant lar na görüntü ve ses aktar lmas yoluyla kat labilmeleri ve oy vermeleri esas sözleflme veya flirket sözleflmesiyle düzenlenebilir. kinci f kra ise; kollektif, komandit, limited ve sermayesi paylara bölünmüfl flirketlerde, flirket sözleflmesinde ve esas sözleflmede öngörülerek elektronik ortamda ortaklar kuruluna ve genel kurula kat lma, öneride bulunma ve oy verme, fizikî kat l m n, öneride bulunman n ve oy vermenin bütün hukukî sonuçlar n do uraca n ifade etmektedir. Anonim flirketlerde genel kurullara elektronik ortamda kat lman n esaslar bir tüzük ile düzenlenecektir (1527/f.5). Tüzükte, genel kurula elektronik ortamda kat lmaya ve oy vermeye iliflkin esas sözleflme hükmünün örne i yer al r. Anonim flirketler tüzükten aynen aktar lacak olan bu hükümde de ifliklik yapamazlar. Bu tüzü ün yürürlü e girmesi ile birlikte genel kurullara elektronik ortamda kat lma ve oy kullanma sisteminin uygulanmas pay senetleri borsaya kote edilmifl flirketlerde zorunlu hâle gelecektir. Elektronik ortamda oy kullanabilmek için, flirketin bu amaca özgülenmifl bir internet sitesine sahip olmas, orta n bu yolda istemde bulunmas, elektronik ortam araçlar n n etkin kat lmaya elverifllili inin bir teknik raporla ispatlan p bu raporun tescil ve ilân edilmesi ve oy kullananlar n kimliklerinin saklanmas flartt r (1527/f.3). Son olarak; Tasar da yer alan biliflimle ilgili hükümler elektronik ticaretin di er taraf olan tüketicileri de e-tüketici konumuna yükseltmektedir. Tasar da bu konuda aç k hüküm mevcut olmamakla birlikte, flirketler bak m ndan öngörülen biliflimle ilgili yükümlülükler do al olarak tüketiciler bak m ndan da güvenli bir elektronik ticaret alt yap s n n oluflturulmas n gerektirmektedir. Ancak; tüketicinin korunmas ile ilgili ulusal e uluslararas mevzuata, kiflisel verilerin korunmas na iliflkin ilkelerine, bilgi güvenli i standartlar na uygun flekilde hareket eden web sayfalar, elektronik ortamda hizmet almak isteyen tüketiciler bak m ndan güvenilir olarak de erlendirilecektir (Trustmark-Güven Duyulan Marka) 2. E-ticaret sitelerini bu anlamda akredite etmek ve güvenli e-ticaret altyap s kurma görevi 2006 tarihli Bilgi Toplumu Strateji Raporunun Eki Eylem Plan uyar nca Türk Standartlar Enstitüsü ne (TSE) 26 No lu Eylem olarak verilmiflti. Ancak eylemin gerçeklefltirilmesi için verilen süre bitti i halde TSE eylemin icras na yönelik herhangi bir çal flma yapmad için, Devlet Planlama Teflkilat Bilgi Toplumu Dairesi Baflkanl ndan eylemin sorumlu kuruluflunun de ifltirilmesi ve Sanayi ve Ticaret Bakanl n n görevlendirilmesi talep edilmifltir. 1) TTK md. 65/f. 4 Defterler ve gerekli di er kay tlar, olgu ve ifllemleri saptayan belgelerin dosyalanmas fleklinde veya veri tafl y c lar arac l yla tutulabilir; flu flartla ki, muhasebenin bu tutulufl biçimleri ve bu konuda uygulanan yöntemler Türkiye Muhasebe Standartlar na uygun olmal d r. Defterlerin ve gerekli di er kay tlar n elektronik ortamda tutulmas durumunda, bilgilerin saklanma süresince bunlara ulafl lmas n n ve bu süre içinde bunlar n her zaman kolayl kla okunmas n n temin edilmifl olmas flartt r. Elektronik ortamda tutulma hâlinde birinci ilâ üçüncü f kra hükümleri k yas yoluyla uygulan r. 2) Keser Berber, Leyla/Akyaz l, Erdem; Trustmark (Güven Duyulan Marka), Ankara beyazflapka fiubat 2009 Türk Ticaret Kanunu Tasar s n n Modern Yüzü Türk Ticaret Kanunu Tasar s n n Modern Yüzü fiubat 2009 beyazflapka 27

15 subat_2009.fh11 2/5/09 1:15 PM Page 15 Murat LOSTAR Eriflim Kontrolü TS ISO/IEC 27001:2005-A.11 Bilgiye eriflim kontrol alt na al nmal! Kim, ne (yapabilir) ve kalan 5N1K ster akademik, ister pratik kullan m için olsun, tüm biliflim güvenli i kitaplar eriflim kontrolü konusuna büyük yer verirler. Bilgi güvenli inin her üç bilefleni de (gizlilik, bütünlük ve kullan labilirlik) eriflim kontrolü kullan larak gerçeklefltirilir. Bilgi güvenli i yönetim sistemi standard ISO/IEC de (standart) eriflim kontrolünü ana bafll klar ndan biri olarak ele al yor. Eriflim kontrolü, sadece bilgi sistemlerine de il, bilgiye ve ifl süreçlerine yap lan eriflimi düzenlemeyi hedefliyor. Hemen her konuda oldu u gibi eriflim kontrolü de önce ifl ve güvenlik gereksinimlerini temel alan bir politika ihtiyac na sahip ve bu ihtiyaç standartta ilk s rada yerini alm fl durumda. Maddenin esas amac kullan c eriflim haklar n n ve kurallar n n belirlenmesi ve tahsis edilmesi için yap lmas gerekenlerin ifl gereksinimlerinden ç kart lmas ile bir politika doküman nda aç k bir biçimde ifade edilmesidir. flin yap lmas s ras nda gerekli olmayan hiçbir eriflime izin verilmemesi gereklili i hem teorik hem de pratik olarak politika dokümanlar nda yer almal d r. Politika doküman haz rlan r ve gözden geçirilirken bilginin, hizmetlerin, a lar n ve/veya eriflim sa lan lan uygulamalar n güvenlik gereksinimleri ile yasal mevzuat dikkate al nmal, ifl ihtiyaçlar na göre kullan c eriflimini tan mlayan bir yap ortaya konmal d r. Tüm politika dokümanlar nda oldu u gibi, eriflim kontrolü politikas da düzenli aral klarla gözden geçirilmelidir. Eriflimi kontrol alt na almak için önce temel bir sorunun yan tlanmas gerekiyor. Bu kim? Baflka bir de iflle yap lan tan mlara ba l olarak yetkilendirme yapabilmek için önce karfl m zdakinin kim ya da ne oldu undan emin olmak gerekiyor. Eriflim kontrolünü insanlar genellikle kimlik karfl laflt rmas ile yap yorlar. Oysa do rulamay yapacak olan bir insan de il, bilgisayar ise karfl m za birçok seçenek ç k yor. Bildi iniz gibi en çok kullan lan seçenekler basit kimlik do rulamada kullan c ad ve parola kullan m, güçlü kimlik do rulamada da ak ll kart ve pin kullan m d r. Kimlik do rulama sadece insanlar için yap lm yor. A sistemlerinde bir donan m n (kullan c bilgisayar ) ya da bir uygulaman n (veritaban yönetim sistemi) kaynaklara eriflmeden önce kimlik do rulamas yapmas gerekir. Böylece yetkilendirme yap labilir. Kimlik do rulaman n zay f iki önemli halkas vard r, tan mlama süreci ve kullan c fark ndal... Y llar önce yapt m z bir denetimde, çok bütçe harcanarak kurulmufl, farkl biyometrik özellikleri kullanan bir güvenlik yap s n çok basit bir yöntemle aflabilmifltik. Yeni kullan c lar n sisteme girifllerini tan mlamak üzere sat fl firman n görevlilerine yeni ifle bafllayan personel olarak kendimizi tan tt m zda bize yard mc olup sistemlere giriflimizi yapt lar. Burada teknolojik bir güvenlik aç yerine kullan c tan mlama süreçlerinin yeterince güvenli olmamas, kullan c tan mlaman n önceden onaylamas n n gerekmemesini kullanm flt k. Bu ve benzeri problemleri çözebilmek için her kullan c n n, eriflim sa layaca ifl gereksinimi için bilgi sistemine, a a veya hizmete ulaflmas, önceden resmen yetkilendirilme ve kaydedilme flartlar ile sa lanmal d r. Eriflim koflullar kadar, istenen bilgi sisteminin, a n n, hizmetinin ya da uygulamas n n tan mlanmas üzerine kullan c kay t formu haz rlanmal d r. Bu form, koflullar n kabul edildi i anlam nda baflvuru sahibince; kay t olacak baflvuru sahibi için de sistemin sahibi olan yetkili taraf ndan imzalanmal d r. Bu forma kullan c kimlik bilgileri de eklenmeli ve daha sonra kay t için dosyalanmal d r. fl amac yla eriflim nedeni ortadan kalkt nda örne in; ifle son verilmesi, kurulufl içerisinde ifl de iflikli i yap lmas gibi kullan c lar n sistemden an nda ç kar lmas ayn derecede önemlidir. Yetkisiz kiflilerin kaynaklara yanl fll kla eriflmesi tehlikesi bulundu undan iflten ç kar lan kullan c lar n kimlik bilgilerinin baflka kullan c lara verilmemesi gerekir. Bu durumda süreçler içinde tan mlanmal, otokontrol yöntemleri ile kullan c lar n sistemdeki haklar n n kald r ld n n garanti alt na al nmas da önemlidir. Kullan c lar n da kendi görev ve sorumluluklar n n bilincinde olmamalar da kimlik do rulama ve buna ba l olarak eriflim kontrolü aç s ndan ciddi güvenlik aç klar yarat yor. Bu aç klar n en basiti kullan c lar n parolalar n baflkalar yla paylaflmalar d r. Bu durum sadece kullan c lar n bilgisizli inden ve özensizli inden kaynaklanm yor. Eriflim haklar n n, bir kullan c izin ya da farkl bir nedenle çal flma alan d fl ndayken ifllerin aksamamas n sa layacak flekilde düzenlenmemesi de önemli bir parola paylafl m nedeni. Ayr ca tüm önemli ifl bilgilerinin bireysel cihazlar yerine ortak eriflime uygun sunucularda saklanmas da parola paylafl m problemini çözmek için önemli bir etken. Eriflim kontrolü içinde yer alan ayr cal klar n yönetilmesi, yetkilendirme süreci içindeki en önemli prensip ihtiyaca ba l hak tan mlamad r. Tan mlanan her eriflim hakk için ifl ihtiyac aç kça belirlenmeli, gerekiyorsa onay sürecinden geçirilmeli ve kay t alt na al nmal d r. Sistemlere ayr cal kl eriflim yönetim için kontrol edilmesi çok kolay de ildir. Sistem mühendisleri gerçekten gerekli olmayan bir ayr cal sunma konusunda yöneticileri ikna etmeye çal flabilir. Ayr cal klar, iyi planlanm fl, dönemsel denetimlerle kontrol edilmelidir. Gerçekte, ço u altyap, etkili bir flekilde kullan mda bile, çok az ayr cal a gereksinim duyar. Bu süreç içinde yap lacak risk belirleme de, sadece ayr cal klar n sunulmas riskine de il, ayn zamanda bu ayr cal klara sahip olunmas n n sonuçlar na da yöneliktir. Yetkilendirme, üst baz durumlarda ba ms z uzmanlarla desteklenmesine ihtiyaç duyulabilen do ru gerekçelerle, üst seviyede yap lmal d r. Acil durumlarda müdahalenin h zla gerçeklefltirilebilmesi için özel ayr cal k verilmesi için önemli bir ihtiyaç ortaya ç kabilir. H zl bir biçimde kurtarma, sistemin içine eriflmeye ve sadece ayr cal k gerektirmeyen, ayn zamanda sistemi korumak amac yla yerlefltirilmifl olan denetimleri de devre d fl b rakmak için de iflikliklerin yap lmas na ihtiyaç duyan bir sistem mühendisinin itinal çal flmas n gerektirebilir. Ayr cal k sahibi olan kifliye ulafl lamazsa ne olur? Ayr cal k sahibi kiflinin bulunmad zamanlarda, ayr cal k tan nacak baflka bir sistem mühendisinin devreye girmesi gibi yöntemlere benzer acil durum düzenlemelerinin yap lmas gereklidir. Bu durumda çözüm, tüm haklara sahip bir kullan c tan mlarken, bu kullan c n n parolas n n bir kasa içinde zarfta saklanmas n sa lamakt r. Acil durumda kasa aç lacak ve parola ile müdahale gerçekleflecektir. Güvenli Günler Eriflim Kontrolü Eriflim Kontrolü 28 beyazflapka fiubat 2009 fiubat 2009 beyazflapka 29

16 subat_2009.fh11 2/5/09 1:15 PM Page 16