Özgür Kuvvet karikatürleri ile Beyaz Şapka da HEARTBLEED NEDİR, NE DEĞİLDİR? McAFEE ÜRÜN AİLESİ İÇERİSİNDE ÇOK BİLİNMEYEN, GENİŞ KASAMLI MALWARE ARAŞTIRMA ÇÖZÜMÜ DİSK VERİ DEOLAMA SİSTEMLERİ DAĞITIK YAILARDA GÜVENLİK DUVARI DENETİMİ 5651 SAYILI KANUN VE ŞİRKETLERİN YÜKÜMLÜLÜKLERİ BULUT ÜZERİNDEN UÇ NOKTA GÜVENLİĞİ HUKUKİ DÜZENLEMELER ÇERÇEVESİNDE KAYITLI ELEKTRONİK OSTA (KE) DNS SOOFING 1
2 2 beyaz şapka Şubat 2013
İçindekiler 04->> Heartbleed nedir, ne değildir? Serkan Akcan 06->> McAfee ürün ailesi içerisinde çok bilinmeyen, geniş kapsamlı malware araştırma çözümü Serkan Kırmızıgül 08->> Disk Veri Depolama Sistemleri (devam): Tarkan Çiçek 10->> Dağıtık Yapılarda Güvenlik Duvarı Denetimi Ozan Özkara 12 ->> 5651 Sayılı Kanun Ve Şirketlerin Yükümlülükleri Selen Uğur 14->> Atıl Gürcan 16->> Sibel Akbaş 18->> Bulut Üzerinden Uç Nokta Güvenliği Hukuki Düzenlemeler Çerçevesinde Kayıtlı Elektronik osta (KE) DNS Spoofing İrfan Kotman B eyaz Şapka nın Şubat sayısından bu yana oldukça yoğun bir program yürüttük. Biraz yorulduk ama bilgi güvenliği farkındalığını arttıran çalışmalarımızın meyvelerini görmek gücümüze güç kattı. 4 Mart 2014 te Çırağan Sarayı nda yapılan IDC IT Security Roadshow konferansına sponsor olarak katıldık. Aynı konferansın Ankara ayağı için 19 Mart 2014 te Ankara JW Marriott otelindeydik. Her iki konferansta da katılımcılara güncel bilgi güvenliği bilgilerini taşıdık. Ankara etkinliği bu yıl bizim için daha özeldi çünkü 3 Mart 2014 itibarı ile Ankara ofisimizi açtık. IDC IT Security Ankara konferansında da ofis açılışımızın küçük bir kutlamasını yaptık. İstanbul ofisimizin 9 yıldan uzun bir süredir yarattığı yüksek kaliteli hizmete Ankara da da büyük bir ihtiyaç olduğunu tekrar gördük. Önümüzdeki dönemde Ankara ofisimize verdiğimiz desteği büyüterek devam ettireceğiz. Ankara ya daha iyi ve kaliteli bir bilgi güvenliği anlayışı getirmek için yaptığımız çalışmalara tüm iş ortaklarımızdan, müşterilerimizden ve Beyaz Şapka abonelerimizden destek rica ediyoruz. 2-4 Nisan 2014 Tarihlerinde IDC CIO Summit 2014 Konferansı için Antalya Kaya Golf Resort Hotel deydik. Bu konferansta üst düzey yöneticilere ulaşıp bilgi güvenliğine ayırdıkları zamanı birkaç dakika bile olsa arttırmaya çalıştık. 17 Nisan 2014 Tarihinde ise İstanbul oint Hotel Barbaros da Entegre Bilgi Güvenliği adında bir seminer düzenledik. Yaklaşık 65 katılımcının hazır bulunduğu seminerde bilgi güvenliği olaylarına karşı nasıl otomatik aksiyon alınabildiğini önceden kullanım senaryoları şeklinde sunmaya çalıştık. Bu seminerimizden de oldukça iyi tepkiler aldık. Bu seminerimize Ankara dan katılan da misafirlerimiz de oldu. Kendilerine ve diğer katılımcılara tekrar teşekkür ederiz. Bu seminerlerimizin benzerlerini yılsonuna doğru Ankara da da yapmak üzere çalışmalar gerçekleştiriyoruz. Tüm seminerlerimizin davetiyelileri sizlere gönderilecektir. Bütün bu etkinliklerin yanı sıra sizlere daha iyi hizmetler üretmek ve mevcut hizmetlerimizin kalitesini arttırmak için de çalışmalarımızı devam ettiriyoruz. Bu sayıda okuyabileceğiniz Heartbleed atağı da bu çalışmalarımızı biraz daha hızlandırdı. Acil durumlarda müşterilerimizi daha hızlı ve doğru bilgilendirecek ve sadece destek sözleşmeli müşterilerimize hizmet verecek bir hizmet zinciri üzerine çalışıyoruz. Tüm testlerimiz bittiğinde ve hizmetin detayları netleştiğinde destek sözleşmeli müşterilerimiz bilgilendirilecekler. Son olarak Beyaz Şapka daki küçük bir yenilikten bahsetmek istiyoruz. Bu sayıdan itibaren Özgür Kuvvet karikatürleri ile Beyaz Şapka da yer alacak. Sizi bilgilendirirken bir miktar da gülümsetmek istiyoruz Her sayıda olduğu gibi tüm soru ve taleplerinizi bize iletmenizi, Facebook ve twitter hesaplarımızdan bizi takip etmenizi rica ediyoruz. www.nebulabilisim.com.tr ww.facebook.com/nebulabilisim www.twitter.com/nebulabilisim Güvenli Günler! Beyaz Şapka Ekibi beyaz şapka Mayıs 2014 3
Serkan AKCAN Akcan serkan.akcan@nebulabilisim.com.tr Heartbleed nedir, ne değildir? Heartbleed açığı dünyayı kasıp kavurdu. Detaylı inceleme fırsatı bulamadıysanız sadece beş dakikanızı bu yazıya ayırarak Heartbleed açığı hakkında yeterli ve doğru bilgi edinin. Heartbleed açığı Google ın güvenlik mühendisi Neel Mehta buldu ve OpenSSL e bildirdi. aralelinde Finli güvenlik yazılımı üreticisi Codenomicon şirketinin mühendisleri aynı açığı keşfetti ve açığın adını verdi. Codenomicon mühendisleri ayrıca www. heartbleed.com adlı bir web sitesinin yayınına başlayarak açıklık hakkında teknik detayları paylaşıma açtı ve açıklık için yarattıkları logo tüm dünyaya yayıldı. Genel bakış Heartbleed açığı sayesinde OpenSSL in zafiyet taşıyan bir sürümünü kullanan sistemden kullanıcı adları, şifreler, dokümanlar ve hatta private key leri sızdırmak son derece kolay. Açıklık son derece yaygın bir alanda görülüyor. Instant Messaging yazılımlarından VN sistemlerine, e-ticaret sitelerinden Software-as-a-service yazılımlarına kadar çok geniş bir alanda veri sızıntısı ihtimali var. Daha net söylememiz gerekirse Google, Dropbox, Lastpass, Eventbrite ve SoundCloud gibi yaygın kullanılan web siteleri açıktan etkilendi. Yani kullanıcı adınız ve şifreniz çalınmış olabilir. Yazıyı hazırladığım gün itibarı ile Facebook, Twitter ve Apple gibi şirketlere ait sistemlerin etkilenip etkilenmediği henüz bilinmiyor. Uzun lafın kısası şifrelerinizi değiştirin. Açıklıktan etkilemediğini bildiren üreticiler de her ne kadar etki görülmemiş olsa da tüm kullanıcılarına şifrelerini değiştirmelerinin daha güvenli olacağını bildiriyor. Buraya kadar Heartbleed in bireysel kullanıcılara etkisinden bahsettik. Medyada da daha ziyade bireysel kullanıcılara etkileri yer alıyor. Ama emin olun kurumsal etkileri çok daha büyük ve riskli! OpenSSL kullanan tüm müşteriler çok gizli verilerini kaybetme, açık ve geniş biçimde hack edilme riskiyle karşı karşıya. Birçok şirkettin OpenSSL kullanmadıkları için güvende olduk- Heartbleed açıklğı OpenSSL yazılımında bulunan basit ama çok büyük problemlere neden olabilecek bir açıklık. Şifreleme amacı ile kullandığımız OpenSSL de bulunan Heartbeat özelliğinin daha uzun bir sorgu ile çalıştırıldığında gizli verileri göndermesinden ibaret. Heartbleed i daha kolay anlatmak için bir wikipedia kullanıcı çok güzel bir görsel hazırlamış. Ben de bu görseli değiştirmeden kullanıyorum. 4 beyaz şapka Mayıs 2014
larını düşündüklerini gördüm ve işittim. Oysa birçok ürünün yönetim konsolları OpenSSL kullanıyor. Antivirus yönetim konsolları, SSLVN çözümleri, Email security ürünleri, Web security ürünleri, Firewall lar gibi çok kritik ürünler OpenSSL kullanıyor ve zafiyet barındırıyorlar. Ne yapmalıyız? Aksiyon planını iki kademeli düşünebiliriz. İlki her zaman önleyici tedbir olmalıdır. Birçok güvenlik üreticisi Heartbleed açığını tespit edip durdurabilecek çözümler üretti. NIS/HIS, Firewall/UTM ve WAF gibi ürünlerle açığa karşı yapılacak atakları ağ geçidi seviyesinde durdurmak mümkün. Kullanmakta olduğunuz ürünlerin imkanlarını dikkatlice incelemelisiniz. İkinci adım açıklıkları bulup kesin olarak kapatmak. OpenSSL kullananlar için iş kolay. Yeni sürüme geçiş yapabilir veya OpenSSL i yeniden derleyerek geçici çözüm üretebilirsiniz. Teknik detayları burada uzun uzun anlatmayacağım. Fakat hangi ürünlerde OpenSSL kullanıldığını ezbere bilmek pek mümkün değil. Önerim bir zafiyet tarama yazılımı ile tüm sisteminizi taratmanız. Eğer bir zafiyet tarama yazılımınız yoksa McAfee Vulnerability Manager yazılımının deneme sürümünü kullanabilirsiniz. Tarama bittiğinde hangi sistemlerinizde OpenSSL var ve hangilerinde Heartbleed zafiyeti bulunuyor, net olarak görebileceksiniz. Katılaştırma İngilizcede Hardening adı ile geçer. Sistemi ihtiyaçlardan fazlasına cevap vermeyecek şekilde konfigüre etmek ve fazla görevleri ortadan kaldırmak anlamına gelir. Örneğin OpenSSL e ihtiyacınız yoksa bu servisleri çalıştırmamak sistem katılaştırmasına iyi bir örnektir. Bu sistemleri devreye alırken bilgi güvenliği uzmanları barındıran şirketler çalışmanızı öneriyorum. Her ne kadar iyi bir bilgi güvenliği süreci sürdürsek de risk her zaman vardır. Zafiyetleri sıkı biçimde takip etmeli ve kötü niyetlilerden önce bulup kapatmalıyız. Bu anlamda maalesef zayıf bir ülkeyiz çünkü doğru düzgün faaliyet gösteren Computer Emergency Response Team (CERT) birimimiz bulunmuyor. Böyle bir birim olsaydı tek bir noktadan küresel ve yerel tehditleri izleyebilir ve güvenlik çıtamızı yükseltebilirdik. Biz bu konuda gücümüz yettiğince devlet kurumlarının ilgisini çekmeye çalışıyor ve ulusal güvenliği de arttıracak çalışmaların yapılması için farkındalığı arttıracak faaliyetler yürütüyoruz. Diğer yandan destek sözleşmeli müşterilerimize küresel tehditler konusunda daha hızlı bilgi sağlayacak bir sistem üzerinde çalışmaya devam ediyoruz. Daha iyi bir bilgi güvenliği süreci yaratabilmemiz için lütfen bizi desteklemeye devam edin. OpenSSL ticari bir ürünün içinde bulunduğunda genel olarak direk OpenSSL e müdahale etme şansımız olmaz. Üreticiler yaygın biçimde ilgili açığı kapatacak yama veya yeni sürüm geliştirdiler. Dolayısı ile OpenSSL yazılımını arka planında kullanan ürünleri zafiyetten kurtarmak için güncelleme çalışması yapmak gerekiyor. Sonuç Güvenlik ürün ve teknolojileri de birer yazılımdan ibarettir. Amaçları diğer yazılımları ve verileri korumaktır ama aynı risklere sahiplerdir. Sertifika kullanıyor olmak, IS e sahip olmak veya bilinen tüm ürünleri satın almış olmak bilgi güvenliği adına hiçbir şey ifade etmez. Bu noktada iki önemli konudan bahsetmek yerinde olacaktır. Teknolojileri katılaştırmak ve açıklıklarını sürekli takip etmek. beyaz şapka Mayıs 2014 5
Serkan AKCAN Kırmızıgül serkan_kirmizigul@mcafee.com McAfee Ürün Ailesi İçerisinde Çok Bilinmeyen, Geniş Kapsamlı Malware Araştırma Çözümü McAfee ürün ailesi uzun süredir özellikle güvenlik ve malware analistlerinin işlerini oldukça kolaylaştıran, genişlemeye uygun ve açık mimariye sahip ortak bir framework alt yapısı sağlıyor. Kısaca CADS (Cloud Analysis and Deconstruction Services ) olarak adlandırılan bu çözüm her ne kadar akıllarda bir servis intibası bıraksa da aslında müşteriler için tamamen özelleştirilmiş bir yazılım alt yapısı sunmaktadır. CADS Framework üretici bağımsız olarak dosya ve URL ler için detaylı araştırma ve inceleme imkanı sunmaktadır. Dolayısıyla Open-Restful alt yapısı farklı üreticilerin güvenlik çözümlerinin bu framework alt yapısına direk bağlanmasını sağlamakta ve müşteri açısından ise ortak ve tek bir araştırma ortamı sağlanmaktadır. Sunulan çözüm Vmware ESX alt yapısı veya CloudShield donanımları üzerinde çalışabilmekte bu sayede yüksek miktardaki URL ve anlık çok sayıdaki malware analizine imkân sağlamaktadır.(şekil-1) Nagios plugin sayesinde donanım alt yapısına ait sağlık ve performans değerleri canlı izlenebilmekte ve yönetilebilmektedir. Vcenter kullanılması durumunda ise donanımsal fail-over mimari desteklenmektedir. CADS üzerinde çalışan farklı analiz araçları arasında yük dağılımını otomatik yapabilmektedir. Taranan dosyalarla ilgili sonuçlar ve örnekler arşivlenebilmekte, o an için tespit edilemeyen kodlar zaman içeresinde güncel istihbarat ve DAT dosyaları ile tekrar taranarak analizden geçirilebilmektedir. Temel paket bir çok güvenlik bileşeni ile ön tanımlı olarak gelmektedir (Şekil-2). Bu çözümler gerek McAfee çözümlerini gerekse McAfee harici diğer üreticilerin veya açık kaynak projelerinin çözümlerini barındırmaktadır. Çözümün en önemli avantajı bu temel paketin müşterinin edindiği yeni teknolojilerle büyümeye imkân sağlamasıdır. Örneğin sonradan müşterinin portföyüne eklediği bir sandbox çözümü bu framework alt yapısına eklenebilmektedir. Bu aşamada istenilirse entegrasyon için McAfee den direk hizmet alınabilmektedir. Şekil-2 ön tanımlı üreticiler ve açık kaynak projeleri 1. McAfee ATD ve Norse (McAfee SIA partner) ayrıca temin edilmektedir. 2. VirusTotal den kurumsal anahtar sağlanmalıdır 3. McAfee GTI File ve URL reputation hizmetleri ayrı ayrı açılıp kapatılabilir 4. McAfee Network Threat Response (NTR) Shell Code Analyser 5. McAfee NTR a ait DF analiz motoru 6. Zip-Exctractor olası tüm arşiv dosyalarını açmayı sağlar 7. McAfee NTR a ait office dosya inceleme motoru 6 beyaz şapka Mayıs 2014
CADS mimarisi üzerinde manual dosya inceleme yöntemi dışında ağa konumlandırılacak diğer güvenlik ürünleri ile ağ içeresinde dolaşan örneklerin toplanarak bu sisteme gönderilmesi ve detaylı incelenmesi mümkün olabilmektedir. Bu amaçla uzun yıllardır McAfee ürün ailesinde bulunan McAfee NTR çözümü önemli bir bileşendir. McAfee NTR, ağ içerinde dolaşan dosyaları yakalamak ve davranışlarını analiz etmek için pasif algılayıcılarını (sensor) kullanmaktadır. Multi-Gigabit performansı ile büyük kurumların ihtiyaçlarını sağlayan güçlü ve tamamlayıcı bir güvenlik bileşenidir. NTR gerek appliance gerekse Vmware ESX alt yapısını desteklemekte bu sayede tek bir algılayıcı ile en fazla 2 Gbps lık trafiklerin analizi mümkün olmaktadır. Birden çok algılayıcı merkezi olarak yönetilebilmekte algılayıcılar üzerinde çalışan politikalara istinaden dosya ve URL erişimleri detaylı incelenebilmekte ve toplanan veriler manager ile paylaşılmaktadır. Down-Selected politikalarla hem imza temelli hem de davranışsal birçok metot aynı anda kullanılabilmektedir. Manager neredeyse bir trafik polisi gibi çalışmakta toplanan veriler ve raporlar üzerinde detaylı korelasyon ve ilişkilendirme yapılabilmektedir. Gerekli görülmesi durumunda full forensic araştırma kararı verilmektedir. Sezgisel algoritmalar toplanan veriler üzerinde; köken, süre, aktivite sıklığı gibi parametreleri inceleyerek veri setleri üzerinde azaltma yapabilmekte dolayısıyla mükerrer ve gereksiz analizlerin önüne geçilmektedir. CADS inceleme süreçleri sırasıyla şöyle özetlenebilir; 1. Tüm tespit edilen ağ adresleri, domain ler, URL ler ve file hash bilgileri McAfee GTI ve Norse istihbarat ortamına sorulur. 2. Toplanan dosya, CADS içeresindeki antivirüs havuzuna yollanır ve belirlenen kurallar çerçevesinde taranır. 3. Dosya analizleri sürecinde DF dosyaları FileScan servisi ile taranır, embeded objeler açılarak analizden geçirilir. 4. Toplanan Jar dosyaları analiz için FileScan servisine gönderilir. 5. NTR ile shellcode analizi yapılır. 6. Yara kuralları çalıştırılır. 7. En son ise yakalanan dosyalar dinamik analiz için mevcut Sandbox havuzuna yollanır.(mcafee, ATD ve Cuckoo) 8. Toplu rapor üretilir. Özellikle McAfee ATD üzerindeki geliştirmelerle birlikte tespit edilen AT ve benzer zararlıların ağ üzerinde durdurulması ve olası enfekte kaynakların tespiti mümkündür. Bu amaçla mevcut McAfee ürünleri kullanılabilmekte ve CADS ile bu çözümlerin bir bütün halinde çalışması sonucunda çözüm inceleme ve araştırmanın ötesinde toplu bir güvenlik çözümü olarak karşımıza çıkmaktadır. Örnek toplamak ve ağ seviyesinde bloklama imkanı için McAfee Network IS, McAfee Web Gateway ve McAfee E-Mail Gateway; sadece örnek toplamak için McAfee NTR; olası enfekte halindeki son kullanıcı sistemlerinin bulunması ve düzeltilmesi için McAfee Realtime Command kullanılmaktadır. McAfee SIEM ile ise uzun dönem log kayıtlama ve diğer güvenlik ürünleri ile korelasyon imkanları otomatik sağlanmaktadır.(şekil-4) NTR aynı zamanda ağ üzerinde yakalanan şüpheli JAR, DF ve executable dosyalar üzerinde sofistike saldırıları çıkarabilmekte ve daha detaylı forensic araştırmalar için CADS sistemine otomatik yollayabilmektedir. Tespit için dinamik ve statik analiz teknikleri bir arada kullanılabilmektedir. beyaz şapka Mayıs 2014 7
Tarkan Serkan Çiçek AKCAN tarkan.cicek@nebulabilisim.com.tr Disk Veri Depolama Sistemleri (devam): Ağ Bağlantıları: Disk veri depolama sistemlerinde bağlantı şekilleri ağırlıkla Fiber Anahtar (switch) lar üzerinden yapılıyor olsa da farklı şekillerde bağlantı kurmak mümkündür. Depolama birimi ile Sunucu arasındaki yetkilendirme HBA (Host Bus Adapter), kartının ağ kartlarındaki MAC adresi gibi benzersiz tanımlayıcısı olan WWN numarasına göre yapılır. Yani hangi Lun a hangi Sunucunun erişeceği WWN numaralarına göre yetkilendirilir ve ancak ilgili WWN den gelen istekler ilgili Lun a iletilir. Buradan sizin de tahmin edeceğiniz üzere bir sunucu üzerindeki HBA kartını başka bir sunucuya taşıdığınızda Lun lara olan erişimi de bu sunucuya taşımış olursunuz. Yeni sistemler üzerinde sanal WWN uygulamaları ile farklı durumlar yaratmak da söz konusudur. WWN numaralandırması ATA, SAS ve FC protokolleri için kullanılmaktadır. 8 veya 16 Byte uzunluğundadırlar ve her üreticiye göre bir başlangıç koduna sahiptirler. İlk 6 karakterden oluşan bu koda OUI (Organizational Unique Identifier) denir. Türkçe olarak ise Benzersiz Üretici Tanımlayıcı kod diyebiliriz. Bu ilk 6 hane için bir kaç örneği aşağıda verelim; 00:50:76 IBM 00:17:38 IBM, formerly XIV. 00:A0:98 NetApp 00:01:55 romise Technology 00:60:69 Brocade Communications Systems 00:05:30 Cisco 00:E0:8B QLogic HBAs, original identifier space 00:1B:32 QLogic HBAs. new identifier space starting to be used in 2007 08:00:88 Brocade Communications Systems, 00:60:B0 Hewlett-ackard - Integrity and H9000 servers. 00:17:A4 Hewlett-ackard - MSL tape libraries. Formerly Global Data Services. WWIDs begin with 200x.0017.a4 00:60:48 EMC Corporation, for Symmetrix DMX 00:00:97 EMC Corporation, for Symmetrix VMAX 00:60:16 EMC Corporation, for CLARiiON/VNX 00:60:E8 Hitachi Data Systems 00:0C:50 Seagate Technology 00:00:C9 Emulex 00:14:EE Western Digital oint-to-oint (Direct Attach): Sunucu ile depolama sisteminin arada herhangi bir başka bileşen olmadan doğrudan bağlanması şeklidir. Bu tip bağlantıda sunucu ve depolama sistemi arasında bağlantı doğrudan sağlanır. Yine de depolama sistemi üzerinde bir Lun yetkilendirmesi gerekmektedir. Yani depolama sisteminin üzerinde ulaşılacak Lun lar için sunucu hba kartının wwn ine izin verilmesi gerekir. Bu tip bağlantı kullanılmak istendiğinde depolama sisteminin bu tür bağlantıyı desteklediğinden, hba nın firmware inin, işletim sisteminin, vb şeylerin uyumluluğu önceden kontrol edilmelidir. Günümüz depolama sistemlerinin tamamı fabric attach desteklemekte fakat sadece bir kısmı direct attach desteklemektedir. Fiber Channel Arbitrated Loop (FC-AL) Fiber Switch ler ucuzlamadan önce tercih edilen ve yaygın kullanıma sahip bir bağlantı türüdür (FC Switch lerin birçoğu hala FC-AL bağlantıyı destekler). Bu bağlantı tipinde her cihaz bir diğerine bağlanarak bir halka oluşturur. Bir halka içinde SCSI sisteminin adresleyebileceği en fazla 127 adet ünite olabilir. Her bir ünite halkanın tamamlayıcı parçası olur ve tüm üniteler mevcut bant genişliğini ortak kullanır. Yani ünite sayısı arttıkça performans azalır. Bu yapının benzer şekilde kurdukları bağlantıya rivate Loop, bir hub aracılığı ile Switched bir yapıya bağlantı kurmalarına ise ublic Loop denilir. Kendi aralarında bağlantı kurdukları portlara NL (Node Loop), Switch ile bağlantı kurdukları portlara ise FL (Fabric Loop) denilir. Bu tip bağlantıda halkayı oluşturan herhangi bir noktanın kopması tüm sistem iletişiminin kesilmesine yol açtığından güvenliği ön planda tutan sistemlerde çift loop döngüsü kullanılır. aylaşımlı yapıda çalışması, performansı, arızaya açık yapısı nedeniyle FC Switch lerin ucuzlaması ile yeni nesil depolama sistemlerinde pek tercih edilmemektedir. FC Switched Fabric (FC-SW) FC Switch yapısında tüm nodlar birbirlerine bir veya birden fazla switch aracılığı ile bağlanırlar. Genellikle arızalara karşı güvenlik ve süreklilik sağlanması amacı ile çift switch ile bağlantı tercih edilir. Her bir depolama ünitesi ve sunucu en az iki bağlantı ile iki farklı switch e bağlanır. Böylece herhangi bir arıza durumda sunucu ile depolama ünitesi arasında herhangi bir bağlantı ünitesinde (HBA, kablo, switch) sorun olması durumunda bağlantı alternatif yoldan devam ederek sürekliliği sağlar (Multipath entegre edilmiş olması gerekir). FC Switch yapısında teorik olarak 16milyon tane node bağlantısı yapmak mümkündür. 8 beyaz şapka Mayıs 2014
Switch yapıları başka switch ler ile birleştirilerek istenilen ölçüde büyütülebilir. FC-SW yapısında her bir node diğeri ile direkt olarak iletişim kurar ve switch in sağlayabildiği en yüksek hızda iletişim kurulur. FC-AL yapısının aksine iletişim tüm node ların üzerinden geçmez, iki node arasında direkt olarak gerçekleşir. FC Fabric switch portları hem switched hem de FC-AL olarak çalıştırılabilir. Switch üzerinde yönetimi basitleştirmek ve akışı kontrol etmek amacı ile Zoning yapısı kullanılır. Bu Normal ethernet switch lerdeki Vlan yapısına benzer. Genel uygulama olarak zoning yaparken, birbiri ile iletişim kurması gereken her bir wwn aynı zone içinde toplanır. Hani sunucunun hangi depolama ünitesine ulaşabileceği yetkilendirmesi switch üzerinde zoning ler ile yapılır. Temelde zoning işlemi switch i daha küçük alanlara bölme işlemidir. Böylece hem gereksiz trafiğin switch içinde dönerek performansı etkilemesi engellenmiş hem de yetkisiz erişimlerin önüne geçilmiş olunur. istemci ve sunucu arasında iletilmesini sağlar. Çoklu iletişimin gerçekleştirilmesi ise aşağıdaki örnekte göründüğü gibidir. eki Fabric Nedir? Buradan da anlayacağınız üzere herhangi bir portun aynı anda birden fazla port ile haberleşmesi mümkün değildir. Burada konumuz ile bağlantılı olması nedeniyle biraz ağ yapılarına değinmek gerekecek. Fabric kelime tercümesi olarak dokuma manasına gelir. Ağ yapılarında anahtarlama (switch) ürünlerine Fabric Switch denmesinin nedeni ağ anahtarlarının mantıksal yapısının bir dokuma gibi görünmesidir. Günümüz ağ anahtarları aşağıdaki şekilde çalışırlar. Ağ anahtarları üzerindeki buffer (önbellek) sayesinde bir porta aynı anda gelen paketler kuyrukta bekletilerek bir sonraki bağlantı ile transferleri sağlanır. Bu kuyruğa alma ve bir sonraki sürede transfer işlemleri ise Ağ anahtarının işlemcisi tarafından yönetilir. Burada aynı anda iki port arasındaki iletişimin gerçekleşmesi durumunu görüyorsunuz. Ağ anahtarı iletilmesi gereken paketleri giriş ve çıkış portlarını birbirine direkt olarak bağlayarak paketin beyaz şapka Mayıs 2014 9
Ozan Serkan Özkara AKCAN ozan.ozkara@komtera.com Dağıtık Yapılarda Güvenlik Duvarı Denetimi Giriş Her güvenlik duvarı var oluşu, yapılandırıldığı ağın yapısına bağlı olarak hedef haline gelmektedir. Güvenlik duvarları görünürdür, savunmanın çoğu organizasyonda ilk halkasını oluşturur, ağ trafiği için belirlenen kurallara bağlı olarak segmentler arası trafik bu yapılar tarafından değerlendirilmektedir. Bu yapının içinde çeşitli iş uygulamaları, web tabanlı uygulamalar, sosyal ağlar, B2B, B2C, özel bulut gibi (private cloud )gibi yeni gelişen teknolojilerin servis edilmesinin yönetişimi, çeşitli regülasyonlara göre uygunluk değerlendirmeleri ve gelişen iş ihtiyaçlarına anında cevap vermesi açısından çoğu zaman yönetimi zor bir yapıyı ortaya koyabilmektedir. Genel olarak bakıldığında güvenlik duvarı denetim çalışmaları genel güvenlik duvarı yönetiminin bir parçasıdır, denetim programları politikaların belirlenmesinde, güvenlik duvarı verisinin toplanmasında, verilerin değerlendirilip kurum güvenlik standartları ve regülasyonlara (CI DSS, SOX, COBIT, ISO vb) uygun olacak şekilde yapının kurulması ve iş ihtiyaçlarına hızlı ve efektif çözüm üretilebilmesini güç hale getirebilmektedir. Manuel ya da checklist yöntemi ile yapılmaya çalışan çalışmaların değerlendirme periyodları uzun olduğundan, değerlendirme frekansı düşük olmakta özellikle iş kritikliği yüksek olan yapılar içerisinde çeşitli uyumsuzluklara neden olabilmektedir. Örnek sorgulama pratiği aşağıdaki gibi olabilir; 1. Kurum ağ güvenlik politikaları her güvenlik duvarı için uygun şekilde yapılandırılmış mı? Eğer değilse, ilgili güvenlik ihlalleri nasıl çözülebilir? 2. CI DSS gibi regülasyon gereksinimlerine göre ilgili kredi kartı verileri güvenli bir şekilde korunuyor mu? Güvenlik duvarı tarafında ilgili güvenlik gereksinimleri sağlanıyor ve denetlenebiliyor mu? 3. Hangi kurallar kullanılmaz ve bu nedenle ortadan kaldırılabilir? Etki analizi yapılıyor mu? Kurallar performansını güvenlik ölçümlerini (metrics) sağlamak amacıyla konsolide edilebilir mi? 4. Yapılan bir ağ değişikliği sonrası oluşan yeni güvenlik riskleri veya kullanılabilirlik değerlendirmeleri güvenlik duvarları ve ilgili ağ segmentleri arası yapılabiliyor mu? 5. Önerilen ya da iş ihtiyacı nedeniyle güvenlik duvarı değişikliğini yapılandırmak için en iyi yol nedir? (Best ractice) 6. Güvenlik duvarı yapılandırmalarında değişiklik kontrolü ve iş etki analizi nasıl yapılıyor? Örnek Regülasyon Örnekleri Gerçekten güvenlik duvarı denetim çalışmalarına ihtiyacı var mı? Senaryo Güvenlik duvarı kural değişikliğinin yanlışlıkla belirli finansal verilere, uygulamalara erişiminin engellenmesi Yeni bir iş uygulamasının devreye alınma gerekliliği sonrası yeni güvenlik duvarı kurallarına ihtiyaç olması artner lar için iç ağ üzerinde bir ER/ CRM sistemine erişimin sağlanması İş etki analizi (BIA) Kurum yapısına bağlı olarak ilgili iş süreçlerinin kesintiye uğraması, ilgili hesaplara (Internet Bankacılığı gibi) erişimin engellenmesi BIA analizi yapılmaksızın yapılan değerlendirmelerde, yeni varlık bileşenleri oluşacağı için ağ risk profilinin değişerek kurum kritik asset verilerini tehdit etmesi Çeşitli güvenlik ihlallerinin ortaya çıkması, güvenlik politikaları ve regülasyonlara uygun olmayan bir audit sonucunun ortaya çıkması CI DSS Denetimsiz yapılan yüzlerce değişiklik sonrası oluşan karmaşık yapı Analiz edilmeyen, düşük frekanslı değerlendirmelerden yoksun, iş güvenlik analizlerine etkisi ve doğal olarak ölçülemeyen bir risk profilinin oluşması Bu ortak senaryoların olumsuz etkilerini önlemek amacıyla, güvenlik duvarı yapıları yöneticiler tarafından sık sık kural denetimi ve güvenliğini sağlamak için güvenlik duvarı kurallarının standartlara ve regülasyonlara uygun olarak yapılandırılması, ilgili uygunluğunun ölçülebilir olması ve optimum performansın değerlendirilebilmesi ve bu süreçlerinde istenilen herhangi bir zaman diliminde tekrarlanabilmesi gerekmektedir. Bu süreç güvenlik duvarı denetimine cevap amacıyla yapılandırılması gereken örnek sorgulamalardan geçmektedir; COBIT Güvenlik Duvarı Audit programı nasıl olmalıdır? Yukarıda açıklandığı gibi, sık ve kapsamlı güvenlik duvarı denetimleri negatif iş etki değerini azaltmak için önemli olmaktadır. İlgili risk ve audit değerlendirmeleri yapılırken muhakkak yapılan süreç iyileştirmelerinin İş Sürekliliği lanlama (BC) ve Afet Kurtar- 10 beyaz şapka Mayıs 2014
ma lanları (DR) ile koordineli bir şekilde planlamaları, gerekiyorsa acil durum planlamaları göz önüne alınarak yapı kurulmalıdır. Tipik bir güvenlik duvarı denetim programı, aşağıdaki adımları içermelidir; 1. Ağ erişim ilkesi tanımlayın, bu tanım kurum bilgi güvenliği erişim standartları ile uyumlu olmalıdır. 2. Güvenlik duvarı konfigürasyon bilgilerinin alınması 3. Ağ arayüzleri (Interfaces) ağ segmentleri ile haritalandırılması ve servis ağacının ortaya koyulması (görsel olarak) 4. Kurum güvenlik duvarı yapılandırmasının erişim politikaları, güvenlik ihlalleri ve güvenlik standartları uyumluluk kriterlerini adresleyecek şekilde analiz edilmesi. 5. Kullanılmayan, tekrarlı, log bilgisi alınmayan, belirli bir takvim zamanında az kullanılan ve gereksiz kuralların bulunması ve optimizasyonu, Güvenlik duvarı Audit teknikleri ile değişiklik kontrolü Ağ güvenliği ve standartlara uygun audit ihtiyaçlarını karşılamak amacıyla, güvenlik duvarları periyodik olarak denetimi yapılmalıdır. Ayda iki kez ya da yılda ortalama 20 kere denetimi yapılarak delta (Değişiklik) verisi ortaya koyulmalıdır. Böylelikle audit kriterlerinin yanında güvenlik ölçüm(benchmarking) kriterleri de sağlanmış olacaktır. İlgili değişiklik kontrolü aşağıdaki süreçler tarafından tetiklenebilir; İş ihtiyaçlarını - yeni iş uygulamaları etkinleştirmek veya eskilerini açığa almak için BT Operasyonları ihtiyacı - ağ mimarisi değişiklikleri ve standartlar/regülasyonlar tarafında olan değişiklikler nedeniyle. Güvenlik ihtiyacı - iş ve BT operasyonları için gerekli minimum ağ trafiğinin ortaya koyulması. En önemli kıstas budur (at least privilege prensibi) Buradaki değişiklik ihtiyacı tekil olarak tek bir güvenlik duvarı üzerinde yapılandırılabileceği gibi dağıtık mimaride çalışan güvenlik duvarı grupları arasında da yapılabilir. Çoğu zaman farklı üreticilerin güvenlik duvarı söz dizilimini anlamak, iş etki analizini yapmak, süreçleri onaylamak, yapılandırmak ve ilgili audit programları izlemek oldukça güç olabilmektedir. Uygunluk analizinde ilgili güvenlik duvarı değişiklik taleplerinde güvenlik operatörleri duruma göre de güvenlik analisti tarafından güvenlik ihlal durumu, mevcut risk profili etkileşimi ve değişiklik gereklilik analizi yapılarak planlama yapılmalıdır. Genel olarak islenen yöntem dağıtık güvenlik duvarı yapılarını gözeten ve analiz edebilen bir araç vasıtası ile What-If analizi ilgili değişiklikler öncesi yapılarak kurum değişiklik komitesine (Change Committee) sunulmasıdır. Bu süreçler güvenlik pratiklerine göre kişi onayı yerine belirli bir süreç yapılandırılması içerisinde etki analizi olarak yapılandırılması gerekliliğidir. BIA dediğimiz iş etki analizi örnek olarak 200 kuralı bulunan bir güvenlik duvarı üzerinde manuel olarak yapıldığında birkaç gün alabilmektedir. (Bu durum güvenlik duvarının yapısına göre değişebilir) sıklıkla analiz edilen güvenlik duvarı yapılarında süre biraz daha kısa olabilmektedir. Aşağıdaki örnek tablo 200 civarı kural seti bulunan tekil güvenlik duvarı üzerinde harcanan yıllık zaman maliyet hesaplamasını içermektedir. Konfigürasyon Uyumluluk Analizi Değişiklik Etki Analizi (BIA) Her 4 ayda 1 kere 2 gün 8 gün Ayda 2 kere 2 saat 6 gün(24x2 saat) Günde 8 saat çalışma ile Konfigürasyon Senede 1 kere 4 gün 4 gün Optimizasyonu Toplam Harcanan Süre 18 gün Yukarıdaki tabloya göre bakıldığında sadece tek bir güvenlik duvarının iç kaynaklar kullanıldığında Audit maliyeti 15.000 USD civarında ve dış kaynak kullanıldığında bu değerler 30.000 usd civarına kadar çıkabilmektedir. Ortalama 8 yada 10 güvenlik duvarı kullanan kurumları için ilgili süreç kolaylıkla 100K civarında olabilmektedir. Manuel yapılan audit değerlendirmelerindeki zorluklar aşağıdaki gibi olabilmektedir. 1. Komplekslik her güvenlik duvarının farklı çalışma prensibi, yapılandırılması farklı olmakta ve analizler sırasında normalleştirme ve tekil hale getirmenin zorluğu 2. Çoklu üretici ortamında her güvenlik duvarı için yapılması gereken analiz ve analiz için gereken bilgi ve teknik düzeyin farklı seviyelerde olması. Ayrıca farklı üretici teknik çıktılarının normalizasyonunun güçlüğü. 3. İnsan hatası, çoklu ortamlarda özellikle analiz seviyesinde hata yapma ihtimali çok yüksektir. Ayrıca konfigürasyon, verilerin toplanması ve raporlama safhası, ilgili bilgilerin toplanmasında güçlükler ortaya çıkabilmektedir. 4. Ağ ve güvenlik duvarı topolojisindeki bazı uyumsuzluklar, politikaların gerçek durumu yansıtmaması, what if analizi ve etkin simülasyon yapmanın zorlukları Güvenlik duvarı audit süreçlerini otomatize etmenin yararları aşağıdaki gibi olmaktadır; 1. Analiz değişiklikleri nedeniyle etkin ve doğru bir değişim yönetimi süreci, daha az kesinti. Ağ otomatik ve sık uygunluk değerlendirilmesi nedeniyle yüksek farkındalık düzeyi 2. Daha az sayıda güvenlik riskleri ile karşılaşma, risklerin düzenli olarak ölçülebilmesi gelişmiş BIA ve What If analiz kabiliyeti 3. Düşük maliyetli regülasyon kontrol yapısı, Otomatik raporlama ve otomatize uyumluluk kriterleri ve yapılandırması nedeniyle maliyetlerin ve olası ihlallerden kaçınılması 4. İlgili optimizasyon ve süreç iyileştirme kaynakları ile güvenlik duvarı yatırımlarını daha uzun vade de kullanabilme olanağı Günümüzde karmaşık yapılar içerisinde uygun güvenlik yönetiminin standart ve regülasyonlara uygun yapılandırılması giderek güçleşmektedir. Tüm güvenlik duvarı denetimleri organizasyonlar için önemli bir süreç haline gelmiştir. Çeşitli uyumluluk gereksinimleri ve regülasyonlar, olası güvenlik sorunlarının anlık tespiti, planlanan değişikliklerde olası hataların tespiti ve güvenlik duvarı performansı kritik iş süreçleri olarak karşımıza çıkmaktadır. Etkili bir güvenlik duvarı denetim programını korumak için, BT organizasyonları, ağ erişim ilkeleri tanımlanması, yapılandırma verilerinin normalize edilmesi, harita üzerinde ağ ara yüzleri almak, politika ihlalleri için yapılandırmaları analiz etmek ve kural kullanımlarını incelemek karmaşık yapılarda her zaman kolay olmamaktadır. Otomatik bir güvenlik duvarı denetim çözümü güvenlik yapılandırması için gerekli insan ve teknik kaynakları azaltabilir. %80 e kadar değişim süreci güvencesi (Change Management) ve %90 a kadar ilgili güvenlik risklerinin yönetilebilir olmasını, riskleri minimize etmek için kullanılabilir. beyaz şapka Mayıs 2014 11
Selen Serkan Uğur AKCAN selen.ugur@bts-legal.com 5651 Sayılı Kanun Ve Şirketlerin Yükümlülükleri 5651 sayılı Kanun a ilişkin olarak geçtiğimiz aylarda yürürlüğe giren değişiklikler, şirketlerin kullanmış oldukları bilgi teknolojileri alt yapılarını, sistemleri ve sistemler üzerindeki verileri ve sunulan hizmetleri yakından ilgilendiren yükümlülükler getirmektedir. sıralanabilecektir. Düzenlemeler ile getirilen önemli değişikliklerden bir tanesi de kişilik haklarının ihlali ve özel hayatın gizliliğinin ihlali konularında verilen erişimin engellenmesi kararlarının erişim sağlayıcılara bildirilmesinde görev alacak Erişim Sağlayıcıları Birliği nin kurulmasıdır. Değişiklikler Neticesinde 5651 Sayılı Kanun Kamuoyunda uzun süredir tartışılan ve İnternet Düzenlemesi olarak da adlandırılan 5651 Sayılı İnternet Ortamında Yapılan Yayınlar ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkındaki Kanun da (Kanun) değişiklik yapan hükümlerin bir kısmı 19 Şubat 2014 tarihinde, bir kısmı da 26 Şubat 2014 tarihinde yürürlüğe girerek internet ortamının düzenlenmesine ilişkin yeni hak ve yükümlülükleri beraberinde getirmiştir. Değişiklikler ile Kanun da dikkat çeken hükümler özel hayatın gizliliğini ihlal, kişilik haklarının korunması gibi konularda erişimin engellenmesi tedbirine başvurulmasına ilişkin yeni seçeneklerin sunulması ve mevcut erişimin engellenmesi süreçlerinde yeniliklerin getirilmesi, erişim-yer-içerik ve toplu kullanım sağlayıcılara özellikle erişim kayıtlarını saklama, hukuka aykırı içeriğe erişimi engelleme için gerekli tedbirleri alma gibi yeni yükümlülükler getirilmesi, Telekomünikasyon İletişim Başkanlığı (TİB) tarafından ikincil düzenlemelerle bu süjelere yeni yükümlükler yükletilebilmesi olarak Değişikliklerin Şirketler Açısından Değerlendirilmesi Kanun da şirketler açısından sonuç doğurabilecek önemli değişikliklerden biri bilgilendirme yükümlülüğüne ilişkindir. Yapılan değişiklikler neticesinde faaliyetlerini yurt içinden ya da yurt dışından yürütenlere, internet sayfalarındaki iletişim araçları, alan adı, I adresi ve benzeri kaynaklarla elde edilen bilgiler üzerinden elektronik posta veya diğer iletişim araçları ile bildirim yapılabilmesi mümkün olabilecektir. Kanun da, söz konusu değişiklik ile içerik nedeniyle hakları ihlal edilen kişilerin uyarıda bulunurken seçecekleri kanal bakımından çok geniş bir çerçeve belirlenmiştir. Bu durum özellikle belirli kanallar kullanarak talepleri alan internet siteleri açısından risk teşkil edebilecektir. Değişiklik akabinde, bu kanallar dışında bu siteyle ilişkili her bir kanal bu bildirimleri yapmak bakımından uygun mecralar kabul edildiğinden, ilgili şirket yanlış bir başvuru kanalı kullanıldığını ileri süremeyecektir. Ayrıca belirtmek gerekir ki, şirket alan adlarının 12 beyaz şapka Mayıs 2014
kayıt ettirilirken verilen iletişim bilgilerinin de bilgilendirme kanalı kapsamında değerlendirilmesi mümkün olduğundan şirketlerin alan adı kayıt bilgilerinde yer alan iletişim bilgilerini güncel tutmaları faydalı olacaktır. Yine, şirketlerin sahip oldukları internet siteleri üzerinden değerlendirme yapıldığında, bu internet sitelerinin sahibi olan ve siteye içerik yükleyen şirketler içerik sağlayıcı 2 konumunda olacaktır. Bu nedenle şirketler, kişilik haklarını ihlali konusunda aldıkları bildirimleri cevaplandırma ile yükümlü ve sahip oldukları internet sitesi üzerinde yayınlanan her türlü içerikten sorumlu olacaktır. Şirketlerin içerik sağlayıcı olarak değerlendirilmesinin bir sonucu da Kanun da İçerik Sağlayıcının Sorumluluğu maddesine eklenen yeni ifade doğrultusunda, şirketlerin, TİB tarafından genel olarak talep edilen bilgileri vermesi ve önerilen önlemleri alması olarak ifade edilebilir. İçerik sağlayıcının yükümlülüklerinin yanı sıra, Kanun da yer sağlayıcıların yükümlülüklerine ilişkin yapılan değişiklikler de dikkat çekmektedir. Buna göre, şirketlerin internet siteleri, kullanıcıların internet sitesine yükledikleri içeriklerle birlikte oluşan bir yapıya sahip ise bu şirketler kullanıcıların içeriklerini barındırmak bakımından yer sağlayıcı olarak kabul edileceklerdir. Yer sağlayıcı şirketler bir yıldan az ve iki yıldan fazla olmamak üzere, hazırlanacak yönetmelikte belirlenecek süre boyunca ilgili bilgileri saklamakla ve bu bilgilerin doğruluğunu, bütünlüğünü ve gizliliğini sağlamakla yükümlü olacaktır. Kanun da yapılan değişiklikler ile toplu kullanım sağlayıcıların yükümlülükleri daha net bir ifadeyle dile getirilmiş; konusu suç olan içeriklere erişimin engellenmesine ilişkin tedbirlerin alınması ve iç I dağıtım loglarının da elektronik ortamda tutulması mecbur kılınmıştır. Konu şirketler özelinde değerlendirildiğinde, şirketler, çalışanlarına sağladıkları internet erişimi bakımından Kanun kapsamında toplu kullanım sağlayıcı dır. Bu sebeple Kanun un değişiklikten önceki haline göre şirketlerin, mevcut durumda tutmakta olduğu iç I dağıtım loglarını saklamak ile konusu suç oluşturan içeriklere erişimi önleyici tedbirleri almak konusunda üstlenmiş oldukları yükümlülükleri devam edecektir. Kanun da en çok tartışılan değişikliklerden birisi olan içeriğin yayından çıkartılması ve erişimin engellenmesi hususu da şirketler açısından hem içeriğin yayından kaldırılmasını talep eden hem de talep edilen açısından değerlendirilebilecektir. Değişiklik ile kişilik hakkının ihlal edildiği iddia eden gerçek ve tüzel kişiler kişilik hakkı kapsamında değerlendirilen hususlar ile ilgili olarak özellikle ticari itibarı zedeleyen konular- şirketler ilgili içerik için içerik sağlayıcısına ve yer sağlayıcısına başvurabileceği gibi doğrudan mahkemeye başvurarak söz konusu içeriğin bulunduğu sayfaya erişimin engellenmesini talep edebilecektir. Bununla birlikte, gerçek ve tüzel kişiler ile kurum ve kuruluşlar da şirketlerin kendi internet sitelerinde sağladıkları içeriklerin kişilik haklarını ihlal ettiği iddiasına istinaden ihlale konu olan içeriğin yayından çıkartılmasını şirketlerden talep edebilecektir. İnternet ortamında yapılan yayın içeriği nedeniyle kişilik haklarının ihlal edildiğini iddia eden kişilerin taleplerinin, içerik ve/veya yer sağlayıcısı tarafından en geç yirmi dört saat içerisinde cevaplandırılması zorunluluğu da yeni düzenlemeler ile hayata geçmiştir. Bu doğrultuda şirketlerin, kişilik hakkının ihlal edildiği gerekçesiyle içeriğin yayından kaldırılmasına ilişkin talepleri en geç yirmi dört saat içerisinde cevaplandırması gerekmektedir. Tartışılan değişikliklerden bir diğeri olan özel hayatın gizliliği nedeniyle erişimin engellenmesi konusu da şirketler açısından çeşitli sonuçlar doğurabilecektir. Kanun da yapılan değişiklik ile artık internet ortamında yapılan yayın içeriği nedeniyle özel hayatının gizliliğinin ihlal edildiğini iddia eden gerçek ve tüzel kişiler, TİB e doğrudan başvurarak içeriğe erişimin engellenmesini isteyebilir. Bu noktada dikkat edilmesi gereken konu ihlalin hukuki nitelendirilmesine göre ilgili madde kapsamında belirtilen filler içerisinde olup olmadığıdır. Eğer madde kapsamında ve yukarıda belirtilen fiillerden biri Türk Ceza Kanunu nda özel hayata ve hayatın gizli alanına ihlale ilişkin suçları oluşturuyor ve tüzel kişinin mağdur olması noktasında hukuki bir engel bulunmuyorsa, şirketler doğrudan TİB e başvurarak ilgili içeriğe erişimin engellenmesi kapsamındaki haklarını kullanabilecektir. Düzenlemenin ikinci yönü şirketlerin içerik ve/veya yer sağlayıcı ve/veya erişim sağlayıcı olduğu durumlara ilişkindir. Bu noktada dikkat edilmesi gereken, şirketlerin içerikle ilgili sıfatını belirlemesi ve bu kapsamda kanuni yükümlülüklerini yerine getirmesi için gerekli adımları atmasıdır. 1 Dipnot 1) İçerik Sağlayıcı : İnternet ortamı üzerinden kullanıcılara sunulan her türlü bilgi veya veriyi üreten, değiştiren ve sağlayan gerçek veya tüzel kişileri ifade etmektedir. 5651 Sayılı Kanun, Madde 2 beyaz şapka Mayıs 2014 13
Atıl Serkan Gürcan AKCAN b-atgurc@microsoft.com Bulut Üzerinden Uç Nokta Güvenliği Günlük hayatta kullandığımız cihazların belirli uyumluluk koşullarına karşı denetlenmesi ve uyumlu hale getirilmesi gibi genellikle yerel sistemler tarafından gerçekleştirilen işlemlerin günümüzde bulut sistemleri aracılığıyla da yapılabileceğini biliyor muydunuz? Bildiğiniz gibi uçtan uca güvenlik yaklaşımında, bilgisayar ağlarındaki güvenlik unsurlarını farklı katmanlardan sağlamak mümkündür. Örneğin ağ girişine güvenlik duvarı konumlandırmak, ağdaki bilgisayarlara anti virüs yazılımları yüklenmesi ve cihazların yazılım güncelleştirmelerinin sağlanması, uzaktaki cihazların ağa bağlanırken çeşitli güvenlik sertifikaları ile veri iletişiminin şifreli hale getirilmesinin sağlanması bu işlemlerden bazılarıdır. Genellikle yerel sistemler tarafından gerçekleştirilen bu güvenlik önemleri sayesinde cihazlar üzerindeki işletim sistemlerinin yazılımsal güvenliğinin yanı sıra veri iletişimi sırasında da farklı açılardan güvenlik altına alınmış olur. Özellikle işyerine kendi cihazını götürme trendleri ve yaygın mobil çalışma gereksinimleri nedeniyle kurum ağına uzun süre bağlanılamaması gibi durumlarda örneğin cihaz üzerindeki anti virüs yazılımlarının veya işletim sisteminin güncelliğini kaybetmesi ve bu nedenle cihazların önceden belirlenmiş politikalara karşı uyumluluk kontrollerinden geçememesi ve uyumsuz olarak raporlanması ile karşılaşılabilir. Bu tip istenmeyen ve kontrolsüz durumların önüne geçebilmek için ise bulut çözümlerinin kullanılması fayda / maliyet oranını yükseltecektir. İstenirse doğrudan bulut üzerinden kullanılabilecek olan bu tip çözümler istenirse mevcut bulunan yerel bir yönetim sistemi ile entegre çalışabilmektedir. Her iki senaryoda da varılan nokta tekilleşmiş bir cihaz yönetim platformunun sağlanmasıdır. Tüm platformlarda, platformun izin verdiği ölçüde yönetim ve güvenliği sağlayan Windows Intune bulut çözümü sayesinde kurumlar tekil bir cihaz yönetim sistemine sahip olabilmektedir. Bu sayede kurumların uç noktalardaki hakimiyeti artacak; cihazların ise kurum tarafından belirlenen politikalara uygunluğu sayesinde uçtan uca güvenlik seviyesinin yükselmesi mümkün olacaktır. Yönetilen cihazlar üzerinde güvenliğin sağlanması çeşitli politikalar aracılığıyla gerçekleştirilmektedir. Bu politikalara örnek olarak güvenlik duvarı politikaları, cihaz üzerinde şirelemenin sağlandığı ve donanımlara erişimin sınırlandırılabildiği mobil aygıt ilkeleri yanı sıra işletim sistemi güncelleştirmelerinin ve anti-virüs yazılımları ile ilgili ayarların takip edildiği Windows Intune Aracı Ayarları gibi farklı ilkelerden bahsetmek mümkündür. Bu ilkeler sayesinde yönetilen cihazların yazılımsal olarak güvenliği sağlanabilmektedir. latformlara göre cihazlar üzerinde gerçekleştirilebilen işlemlerin bir kısmını aşağıdaki tabloda görebiliriz: 14 beyaz şapka Mayıs 2014
Kategori Windows 8.1 & RT Windows none 8.1 İOS Android VN rofili Dağıtımı Wireless rofil Dağıtımı Sertifika Yönetimi E-osta rofili arola Tanımlanması Mağaza Erişim Sınırlamaları Tarayıcı Yönetimi İçerik Değerlendirme Bulut Senkronizasyonu Cihaz Şifreleme Güvenlik Dolaşım Windows Server Work Folders Uygulama Yönetimi (*) (*) (*) (*) (*) (*) (*) (*) (*) (*) (*) (*) (*) (*) *: Cihaz platformu burada bahsedilen ayarların bir kısmını sağlamaktadır. Nisan ayının son haftasında kullanıcılara sunulacak olan Windows Intune Bahar Güncelleştirmesi ile; hem piyasada hali hazırda bulunan Samsung mobil aygıtları Knox arayüzü ile yönetmeye başlıyor hem de yazın piyasaya çıkması beklenen Windows hone 8.1 işletim sistemini de tüm özellikleriyle yönetebilir hale geliyor. Bunun yanı sıra ios ve Android cihazlar üzerinden RD bağlantısının sağlanabilir hale gelmesi aynı şekilde heyecan yaratan özellikler arasında sayılabilir. Kurumlar için bilgi güvenliği noktasındaki bir diğer kritik nokta ise cihazların kaybolması durumunda cihaz üzerindeki verilerin güvenli bir şekilde ortadan kaldırılabilir olmasıdır. Burada ön plana çıkan veriler arasında kurumsal elektronik posta ayarları ve verileri; kurum tarafından gönderilen uygulamalar ve uygulama verileri, cihaza iletilmiş olan sertifikalar ve bu sertifikaların kullanıldığı ağ bağlantı profilleri (VN / Wi-Fi gibi) yer almaktadır. Bu tip veriler Windows Intune aracılığıyla platformun izin verdiği ölçüde tamamen veya kısmi olarak silinebilir. Bir cihazın Fabrika Sıfırlaması görevi ile temizlenmesi cihaz üzerindeki tüm verilerin silinmesine neden olacakken, Kaldır görevi kullanılarak cihazın kurum ağı ile ilişkisinin kesilmesi durumunda ise kullanıcının kişisel verileri korunacak ancak kurumsal kanaldan gelen yukarıda saydığımız kurumsal veriler ortadan kaldırılacaktır. beyaz şapka Mayıs 2014 15
Serkan Sibel Akbaş AKCAN sibel.akbas@bilgi.edu.net Hukuki Düzenlemeler Çerçevesinde Kayıtlı Elektronik osta (KE) Hemen hepimiz bir Elektronik osta hesabına sahibiz ve bu hesaplarımızdan E-osta gönderiyor ya da alıyoruz. eki, E-osta larımız teknik olarak gerçekten güvenli mi ve hukuken bağlayıcı sonuçlar doğurabilir mi? İçerisinde bulunduğumuz bilgi ve bilişim çağında teknolojinin hızla gelişip internetin yaygın ve daha kolay erişilebilir hale gelmesiyle birlikte bireylerin kullandığı iletişim araçları ve kanalları da çeşitlenip farklılaşmıştır. Bugün hemen herkesin en yoğun kullandığı iletişim araçlarından biri gerek maliyetinin düşük olması gerek veri iletiminde sağladığı hız ve kolaylık sebebiyle Elektronik osta (e-posta) dır. Bireyler tarafından tüm dünyada yoğun olarak kullanılan bu iletişim kanalının ticari işler ve resmi işlemlerde de kullanılabilmesi bürokrasinin azaltılabilmesi ve hukuki süreçlerde hızlı aksiyon alınabilmesi açısından oldukça büyük öneme sahiptir. nik osta (KE) sistemi faaliyete geçirilmiştir. KE sisteminin kullanılmasıyla birlikte; Tarafların zaman ve işlemi yapan (gönderiyi yapan ve gönderiyi teslim alan) bakımından inkâr edemeyeceği bir şekilde güvenli olarak elektronik belgelerin, beyan ve açıklamaların gönderilmesi ve alınması (Güvenli Elektronik Gönderi ve Teslim) İletişimin gizliliği prensiplerine uygun olarak elektronik ortamda güvenli haberleşme Güvenli bir ortamda elektronik belgelerin saklanması gibi avantajlar ile standart e- posta nın riskleri ortadan kaldırılıp, teknolojinin sunmuş olduğu bu iletişim kanalı resmi ve ticari işlemlerde güvenli bir şekilde kullanılabilir hale gelmiştir. KE sistemine ilişkin ilk yasal düzenleme 14 Şubat 2011 tarihinde değişen Türk Ticaret Kanunu ile gerçekleştirilmiştir. 25 Ağustos 2011 de ise ikincil düzenlemeler tamamlanmıştır. Ancak hemen herkesin kullandığı standart e-posta, avantajlarının yanında, gönderici ve alıcı kimliklerinin tam olarak tespit edilememesi, gönderilen mesajın üçüncü kişiler tarafından görülebilmesi, mesajın içeriğinin değiştirilmesi, veri güvenliğinin sağlanamaması, hukuki ve teknik olarak güvenli bir alt yapıya sahip olmaması gibi bazı riskler taşımaktadır. E-posta nın bu risklerinin ortadan kaldırılıp, ticari ve resmi iş ve işlemlerde güvenli olarak kullanılabilen bir iletişim aracı olabilmesi için gerekli hukuki düzenlemeler yapılarak Kayıtlı Elektro- Ancak, ilgili kanunun 1 Temmuz 2012 tarihi itibariyle yürürlüğe girmesi, Kayıtlı Elektronik osta Hizmet Sağlayıcı (KEHS) ların 16 beyaz şapka Mayıs 2014
KE hizmeti sunabilmeleri için gerekli yetkilendirmelerin 2012 yılının sonlarına doğru gerçekleşmiş olması gibi sebeplerle Kayıtlı Elektronik osta nın fiilen kullanılmaya başlanması 2013 yılını bulmuştur. Bu anlamda Kayıtlı Elektronik osta nın yeni bir uygulama olduğunu ve henüz yaygın olarak kullanılmadığını söylemek mümkündür. Güvenli olmaması sebebiyle özel e-posta hesapları aracılığıyla yapılamayan, bireylerin bizzat gidip yazılı beyanları ve imzaları ile yapmak zorunda oldukları işlemler, KE ile hızlı ve güvenli bir şekilde yapılabilecektir. Böylelikle sıra bekleme, bürokratik işlemlere takılma, evrak takibi yapmak zorunda olma gibi zahmetli ve zaman kaybettirici süreçler ortadan kalkmış olacaktır. KE in kullanıcılar için önemli avantajlarından bir diğeri ise; KE üzerinden gönderilen iletilerin 20 yıl boyunca saklanabilme olanağı. Böylece bir yandan gerek kurum ve kuruluşlar gerek bireyler önemli, özel, ticari ya da resmi belgeler için kâğıt arşiv tutma yükünden kurtulmuş olacaklardır. Öte yandan ise; hukuk düzenimizde bu saklama süresi içinde ortaya çıkabilecek hukuki ihtilaflarda ibraz edilecek olan elektronik deliller de KE Sisteminde saklanmış olacaktır. Ancak 19 Ocak 2013 tarihinde yürürlüğe giren Elektronik Tebligat Yönetmeliği KE kullanımına ivme kazandıracak bir düzenleme olarak değerlendirilebilir. Yönetmelikle; anonim, limited ve sermayesi paylara bölünmüş komandit şirketlere tebligatlarını e-tebligat olarak alma yükümlülüğü getirildiğinden, KE kullanımı zaman içerisinde yaygınlaşıp artacaktır. Hâlihazırda daha çok şirketler tarafından ticari işlerde kullanılıyor olsa da yakın gelecekte günlük yaşamda da birçok işlemin KE üzerinden yapılması öngörülmektedir. 2014 sonunda Türkiye de 4 milyon KE kullanıcısı olacağı, bu kullanıcıların 1 milyonunun kurumsal, 3 milyonunun ise bireysel kullanıcı olacağı tahmin edilmektedir. Bu beklenti kurumların KE kullanma oranının artmasıyla, bireylerin de KE kullanımının artacağı düşüncesine dayanmaktadır. Kurumların işlemlerini KE üzerinden yürütmesiyle birlikte, bireyler günlük yaşamda yaptıkları birçok işlemi KE üzerinden de yapabilme imkânına kavuşacaklardır. KE, güvenli e-imza ve zaman damgası teknolojileriyle e-postaların teknik açıdan ve hukuksal olarak güvenli ve bağlayıcı olması sonucunu doğurmaktadır. Bu sistemde haberleşen kişiler KE iletilerinin muhataplarının kimliklerinden ve iletinin içeriğinin değiştirilmemiş olduğundan emin olmaktadırlar. Gerek 5070 Sayılı Elektronik İmza Kanunu gerek 6098 Sayılı Türk Borçlar Kanunu hukuk sistemimizde güvenli elektronik imzaya, ıslak imza ile aynı hukuki sonucu bağlamaktadır. Tebligat Kanunu ve Elektronik Tebligat Yönetmeliğinin yanı sıra, 6102 Sayılı Türk Ticaret Kanunu da, KE ya, güvenli elektronik imza ile birlikte, Dijital Şirket konsepti çerçevesinde oldukça geniş bir uygulama alanı vermektedir. Sonuç olarak, KE sistemiyle kurum, kuruluş ve bireysel kullanıcılar arasında, hukuki olarak geçerli ve güvenli bir şekilde her türlü resmi, ticari ve özel bilgi ve belge paylaşılabilecek, gerekli iş ve işlemler yapılabilecektir. Kurumların KE i kullanmaya başlaması, zamanla bireylerin de işlemlerini hukuki olarak geçerli ve teknik olarak güvenli bu iletişim aracını kullanarak yapmaları yönünde itici bir güç olacaktır. Ancak KE yeni bir sistem olduğundan bireyler tarafından yaygın olarak kullanılması için biraz daha zamana ihtiyacı olduğu söylenebilir. beyaz şapka Mayıs 2014 17
İrfan Serkan Kotman AKCAN irfan.kotman@nebulabilisim.com.tr DNS Spoofing Yıllar sonra tekrar hatırlanan bir atak yöntemi Bu sayımızdaki yazımızı son günlerde tekrar gündeme gelen DNS spoofing (DNS önbellek zehirlenmesi) konusuna ayırdık. Günümüzün popüler hacking yöntemleri arasında olmayan önbellek zehirlenmesi, son dönemde yaşanan gelişmeler ile tekrar gündeme geldi. Biz gündemde olan konulardan değinmeden, yazımız içerisinde önbellek zehirlemesinin ne olduğu, hangi yöntemler ile yapılabileceği hakkında küçük iki örnek vereceğiz. DNS Spoofing (DNS Önbellek Zehirlenmesi) DNS bilişim dünyasında kullanılmaya başlandığından beri DNS atakları arasında en çok kullanılan yöntem olan DNS önbellek zehirlenmesidir. DNS Spoofing (Önbellek Zehirlenmesi) bir DNS sunucusuna yetkisiz bir kaynaktan bilgi yüklenmesi olarak tanımlanabilir. DNS yazılımındaki bir hata, DNS sunucusunu yapılandırırken yapılan konfigürasyon yanlışları ya da DNS protokolünün üzerinde bulunan bir açık sebebi ile gerçekleştirilebilen önbellek zehirlenmesi, basit olarak değiştirilmiş bilginin (orijinal kaynaktan gelen bilgi yerine farklı bir bilgi iletilmesi ) DNS önbelleğine gerçek veri yerine ulaştırılması olarak tanımlanabilir. DNS alan adının bulunduğu sunucunun I adresinin farklı yöntemlerle zehirlenmesi mümkündür. En popüler yöntem, gerçek alan adı sunucusu kullanıcıya cevap dönmeden, kötü niyetli kişinin DNS sunucu ile kullanıcı arasına girerek kendi yanıtını kullanıcıya dönmesi esasına dayanan, man-in-the-middle türünde saldırıyla DNS sunucusuna istek ulaşmadan önbellek zehirlenmesinin gerçekleştirilmesidir. Bu saldırı tipi, DNS sorgusu kullanıcı makinesine gerçek DNS sunucusu yerine kötü niyetli yazılımın yanıt vermesi esasına dayanır. Yukarıdaki örnek akış tablosunda göreceğiniz gibi bu tip ataklar kurban makineden DNS sunucusuna giden isteklerin, kötü niyetli kişi tarafından istenen sunucu ya da sayfaya yönlendirmesi ile gerçekleşmektedir. İlk senaryomuzda kurban makine ile istek yaptığı DNS sunucu arasına girerek, www.nebulabilisim.com.tr adresine giden istekleri, bizim sunucumuz olan 192.168.1.34 I sine yönlendireceğiz. Bunun için Linux altyapısında çalışan aracımız olan Evilgrade yazılımını, penetration testler için özel olarak tasarlanan işletim sistemimiz üzerinde çalıştırıyoruz. DNS Mesajının Yapısı Bir DNS mesajı temel olarak beş bölümden oluşur. Bunlar başlık (header), soru (question), yanıt (answer), yetki (authority), ek bölümler (additional) olarak nitelenebilir. 16 bitten oluşan başlık sorgusuna verilen yanıt aynı şekilde kopyalanarak ve eşleşme sağlanarak daha sonraki mesaj adımları sırasında önbellek zehirlenmesi saldırısı oluşturulabilir. Man-in-the-middle ile DNS önbellek zehirlenmesi Bu sayımızda araya girme yöntemi ile (Man-in-the-middle) DNS önbellek zehirlenmesi ile ilgili iki örnek vereceğiz. İkinci bir terminal ekranı açarak, pico /usr/share/ettercap/etter.dns komutu ile sunucu üzerinde DNS sniffing yapacağımız programın DNS kayıtlarında www.nebulabilisim.com.tr alan adını 192.168.1.34 I sine yönlendiriyoruz. İlk açtığımız terminal ekranına geri dönüyoruz ve terminal ekranı üzerinde run application ile sniffing aracımızı açıyoruz. 18 beyaz şapka Mayıs 2014
Açılan yazılım üzerinden DNS spoofing (DNS önbellek zehirlemesi) seçeneğini aktif hale getiriyoruz. Bunun için işletim sistemimiz üzerinde sosyal paylaşım siteleri atakları için tasarlanan bir yazılımı aktif hale getiriyoruz. Gerekli adımları seçerek site cloner ekranına geliyoruz Daha sonra Man-in-the-middle atak için programımızın arp poisoning özelliği ile networku zehirlemeye başlıyoruz. Sisteminizin uygun sunucuya yönlendirilmesi için sunucumuzun I si olan 192.168.1.34 ü ve sosyal paylaşım sitesinin URL ismini giriyoruz ve sayfayı kopyalıyoruz. Kurban makinemiz üzerinden www.nebulabilisim.com.tr alan adını pinglediğimiz zaman 192.168.1.34 makinesine gittiğini görüyoruz. Kullanıcı sosyal paylaşım sitesine bilgilerini girdiğinde, kötü niyetli kişinin ekranında, kurban makine üzerinden girilen kimlik bilgileri gözükecektir. eki, bu işlem kötü niyetli kişilere ne sağlayacak? Bu noktada birçok farklı senaryolar ortaya koyulabilir. En fazla karşılaşılan örnek, kullanıcı adı şifre ya da kişisel bilgiler girilen sayfaların kopyalanarak, kurbanın bilgilerinin ele geçirilmesidir. Bizde ikinci örneğimizde ilk senaryomuzda anlatılan adımları kısaca özetleyerek, bir sosyal paylaşım sitesinin şifrelerinin ele geçirilmesi için yapılan DNS önbellek zehirlenmesi örneğini kısaca anlatmaya çalışacağız. Bu senaryoda da ilk senaryomuzdaki adımlar aynı şekilde gerçekleştirilmektedir. Kısaca kullanılan araçlar sayesinde sosyal paylaşım sitesinin DNS kaydı bilgilerinin değiştirilmesi, DNS spoofing ve Man-in-the-middle için AR poisoning özelliklerinin aktif edilmesi aynı şekilde gerçekleştirilmektedir. Buradaki tek fark kullanıcının aldatılması için, sosyal paylaşım sitesinin kullanıcı kimlik doğrulama sayfasının oluşturulması ve kurban kullanıcının bu sayfaya yönlendirilmesidir. Bu tip site kopyalama işlemi birçok site için gerçekleştirilebilir. Fakat kopyalanan siteler genel olarak orijinal sitelere göre küçük hatalar barındırdığından dikkatli kullanıcılar tarafından kolayca fark edilebilmektedir. DNS Spoofing (Ön Bellek Zehirlenmesi ne) karşı alınabilecek bazı önlemler; DNS sunuculardaki açıkların düzenli tespiti ve yamalar ile kapatılması. DNS sunucular üzerinde ya da önünde atak önleyici sistemlerin bulunması Kullanıcı makinelerinde son nokta atak önleyici sistemlerin çalıştırılması Sistemlerde trafiğin filtrelenerek aldatma yöntemlerinin tespit edilmesi. Kişisel bilgiler girilen Web sayfalarının kesinlikle https protokolü olarak çalıştırılması. beyaz şapka Mayıs 2014 19
20 Beyaz Şapka ya katkılarından dolayı tüm sponsorlarımıza ve yazarlar