Bilgisayar Güvenliği AMA Nasıl? Prof. Dr. Şeref SAĞIROĞLU Gazi Üniversitesi, Mühendislik Fakültesi, Bilgisayar Mühendisliği Bölümü ss@gazi.edu.tr Sunuş Giriş Bilgi Güvenliği Neden Bilgi Güvenliği Nerede sağlanmalı? Nasıl sağlanmalı? Çözüm Önerileri 1/57 2/57 İnternetin Doğuşu Günümüzde İnternet 3/57 4/57 Kurumsal Bilgi Güvenliği Bilgi Güvenliği? Neden Bilgi Güvenliği? Bilgiye sürekli olarak erişilebilirliğin sağlandığı bir ortamda, bilginin göndericisinden alıcısına kadar gizlilik içerisinde,bozulmadan, değişikliğe uğramadan ve başkaları tarafından ele geçirilmeden bütünlüğünün sağlanması ve güvenli bir şekilde iletilmesi süreci 5/57 e-türkiye, e-devlet, e-dönüşüm Türkiye.. web tabanlı uygulamalar yaygınlaşıyor.. e-li uygulamalar çoğalıyor.. e-devlet kapısı açılıyor.. sayısallaşma arttıkça bilginin paylaşımı artıyor.. kurumların web sayfaları portallara dönüşüyor.. bilgi toplumu hedefine ulaşma.. yasal zorunluluk (E-İmza Kanunu, ISO 27001) Bilgi üretimi artıyor.. Bilgi korunması ve paylaşılması gereken değerli bir varlık 6/57 1
Bilgi Güvenliği Bilgi Nasıl Güvenliği Sağlanmalı? Bilgi Güvenliği nerede sağlanmalı? Üretim Erişim İşleme Depolama Aktarma Yok etme Bilgi sahibine ve sahip olana hizmet eder. Bilgi güvenliği sağlandığı ölçüde güçtür. Bilgi üretmeden korunulamaz. 7/57 8/57 KÖTÜCÜL YAZILIMLAR (Malware) Kötücül Yazılım (malware) Solucanlar Virüsler (Worms) Truva Atları Casus Yazılım (Trojans) (spyware) Arka Kapılar (back doors) (keylogger) Tarayıcı Soyma Kök Kullanıcı Takımları (Browser Hijacking) (rootkits) Korunmasızlık Sömürücüleri Tavşanlar (exploit) (Wabbits) 9/57 Sondaj aracı Kandırıcı Sazan Avlama Aldatmaca BHO Kitle postacısı E-posta bombardımanı Port tarayıcılar Açıklık tarayıcılar Webscam Koklayıcı Reklam İz sürme çerezleri Turtalar Parazit Tavşanlar Hırsız Paketleyici Ciltçi RAT Bot net Anahtar üreticiler IRC Web böcekleri Ağ taşkını Nuker Hırsız Casus yazılımlar Casus yazılım çerezleri Damlatıcı Şifre yakalayıcı Şifre kırıcı Telefon çeviriciler 10/57 KLAVYE DİNLEME SİSTEMİ TÜRLERİ KLAVYE DİNLEME SİSTEMİ TÜRLERİ Donanım Yazılım Donanım 11/57 12/57 2
Donanım Bir çok çeşit ve şekilde bulunmaktadır. Klavye ve port arasında harici bir eklentidir Klavye kablosu ile aynı renkte olabilirler Bir dakikadan az sürede kurulabilirler Bilgisayarın arkasına takıldıklarından farkedilmeleri zordur. Ayrıca bazı donanım klavye dinleme sistemleri klavye portunun yanındaki birimin içine veya klavyenin içine bile yerleştirilebilmektedir. Bu tip sistemlerin fiziksel olarak bilgisayar kullanıcıları tarafından farkedilmesi çok zordur. 13/57 Donanım (...devam) 14/57 Donanım (devam) (Casus Klavye; 800YTL)) Çok hızlıdırlar: Saniyede 450 karakter Kurulumları kolay ve çok kısadır. Fiyatları 50-150 $ Yeni bir yazılım yüklemeye gerek duymazlar Basılan tuşlar kaynak bilgisayardan alınabileceği gibi buradan çıkartılarak başka bir bilgisayarda aynı işlem yapılabilir Casus yazılım ve yazılım tarayıcıları tarafından saptanıp; etkisiz hale getirilmesi olanaksızdır. Bütün kişisel bilgisayarlarda ve işletim sistemlerinde çalışabilirler. Sistem kaynaklarını hiç kullanmadıklarından sistemi yavaşlatmaz veya bozmaz. 15/57 Prof. Dr. Şeref Sağıroğlu, TÜMSİAD, 1 Haziran 2010 16/57 (Casus Klavye; 890YTL)) (Casus Bilgisayar; 490YTL)) www.guvenlikprogram.com CASUS BİLGİSAYAR Özel olarak geliştirilmiş, kullanıcının klavye de bastığı her tuşu kaydeden bir cihaz yerleştirilmiş bu laptop ile bilgileriniz her zaman güvende olacak. Diğer klavye kaydedici cihazlardan veya yazılımlardan farklı olarak,bu cihaz kesinlikle tamamen gizlidir ve laptopun herhangi bir program veya işlem menüsünde gözükmediği gibi kesinlikle ve kesinlikle harici olarak ta gözükmez. Özellikleri ve Avantajları: 1.Windows içerisinde yer almaz ve laptopun kendi işletim sistemini kullanmaz. 2.Tüm yazılımlara tamamen görünmezdir. 3. Diğer klavye kaydedici cihazlar haricidir ancak bu cihaz laptop içerisine gizlenmiştir ve harici olarak farkedilmesi mümkün değildir. 4.64 milyon klavye tuşlamasını kaydedebilecek kapasitededir ve bu 15 yıllık kullanıma eşdeğerdir. 5.Kaydedilen bilgileri görebilmek için, cihazı hedef laptopdan çıkarıp kendi bilgisayarınızın USB girişine takmanız yeterli. 17/57 18/57 3
KLAVYE DİNLEME SİSTEMİ TÜRLERİ Bu yazılımlar neden tehlikelidir? Yazılım Sistemi dinleyen yazılımlar Kolaylıkla fark edilmezler Çoğu yazılımlara veya donanım elemanlarına zarar vermezler İstenen bilgiyi elde etmek için kullanılır Bilgileri elde ettikten sonra depolayıp uygun bir zamanda istenen yere ulaştırırlar.. 19/57 20/57 Piyasadaki Yazılımları Piyasadaki Yazılımları 500 den fazla program Basılan tuşları izler ve kaydeder Logları FTP veya E-posta ile gönderebilir Kullanıcıdan gizli kalabilir Arkaplanda çalışabilir. 21/57 22/57 KARŞI KLAVYE DİNLEME SİSTEMLERİ Anti KeyLogger TELEFON DİNLEME (Casus Kulaklık 1; 1000 YTL) www.casuskulaklik.com Klavye sistemi yüklenme olasılığına karşı koruma sağlar. Açılışta çalışan programlardan çengel kullananları engelleyen karşı casus yazılımlar 23/57 Dünyanın en gelişmiş kablosuz uzaktan Profesyonel ortam ve sabit telefon dinleme cihazıdır. Sabit telefonun içinde bulunan mikro ses vericisi 20-30 m2 kapalı alandaki kulağınızla dahi duyamayacağınız tüm sesleri ve telefon görüşmelerini kablosuz olarak dinleme yapmanızı sağlar. ( 50-200m ) Kablosuz özel frekanslı alıcısına aktarır. İster odadaki sesleri dinleyin, isterseniz gelen ve giden tüm telefon görüşmelerini dinleyip kayıt edin. UHF bandını kullanır, böylece sadece alıcı cihaz ile dinlenebilir, diğer dinleme sistemlerinde olduğu gibi FM yayını yapmadığı için başka yayınlarla karışması veya herkesçe dinlenmesi mümkün değildir. 24/57 4
TELEFON DİNLEME (Casus Kulaklık 2; 1200 YTL) www.casuskulaklik.com TELEFON DİNLEME (Casus Yazılım 2; 2250YTL) www.guvenlikprogram.com Dünyanın en küçük kablosuz kulaklığı kaliteli, berrak ses Telefonunuza gelen sesi alıcısına aktarır.. Alıcıya gelen ses kaliteli bir şekilde kablosuz mikro kulaklığa iletir. 25/57 Hedef telefonun bulunduğu ortamı dinleyebilirsiniz (Casus telefon) Hedef telefona gelen ve giden aramaları dinleyebilirsiniz. (Telefon dinleme) Hedef telefonun arama listesinin bir kopyasını alabilirsiniz.(casus Arama bildirim) Hedef telefona gelen giden mesajların bir kopyasını alabilirsiniz.(casus Mesaj bildirim) Sim kart değişikliğini SMS ile bildirir. Hedef kişinin bulunduğu noktanın GPS pozisyonunu bildirir. Bu bilgiyi "Google Earth" programına girerek hedef kişinin pozisyonunu harita üzerinde görebilirsiniz.(gps özelliğine sahip telefonlar için geçerlidir) 26/57 TELEFON DİNLEME (Casus Yazılımla Dinlemeler) www.guvenlikprogram.com Mevcut Korkular? CASUS TELEFON 1200 - FİYAT 190 YTL + KDV Casus Telefon 1200 görünümlü dinleme cihazı. Mesafe sınırı yok. Dünyanın neresinde olursan ol,ara ve dinle. ÇİÇEKLİK DİNLEME CİHAZI - FİYAT 390 YTL + KDV CASUS GSM OTO - ARAÇ İÇİ DİNLEME CİHAZI - FİYAT 390 YTL + KDV ÇANTA DUVAR SAATİ yüksek Daha kötü Kötü haber düşük Saldırganlar tarafından ihtiyaç duyulan teknik bilgi ve yetenek Sofistike ataklar 1975 1980 1985 1990 1995 2000 2005 2008 27/57 28/57 Arabağlantılar? İstatistikler.. Her 10 web uygulamasının 9 unda açık var (Gartner) Web uygulama yazılımcılarının %60 ı güvenli yazılım geliştirme tekniklerini bilmemektedir. (Microsoft) Bilişim güvenliği ihlallerinin %80 i YAZILIM GÜVENSİZLİĞİ kaynaklanıyor (Gartner) USA da National Vulnerability Database de bulunan zafiyet sayısı 33522. 22 farklı grupta sınıfladırılmış. 29/57 Google, casusluk için en iyi ortam 30/57 5
Bilgi Güvenliği Korunma Nasıl Sağlanır? Yöntemleri? Korunma Neler Yapılmalıdır Yöntemleri? Korunma Yöntemleri Önleyici (Güvenli Kodlama, Sistem Farkındalığı, Test) İzleme ve Tespit (Saldırı Saptama ) Müdahale (Saldırı Engelleme, Kurtarma) ve İyileştirme, Eşgüdüm Eğitim ve İnsan Faktörü Son kullanıcı Teknik Personel İdari Personel Yöneticiler Düzenleyici Yaptırımlar Standartlar Hukuk 31/57 1. Standartlaştırma 2. Güvenli Kodlama 3. Sistem Farkındalığı 4. Eğitim / Test 5. Saldırı Saptama 6. Saldırı Engelleme 7. Kurtarma 8. Eşgüdüm 32/57 Bütüne bakabilme.. Sonuçlar ve Değerlendirmeler Süreci Doğru Yönetme.. Bilgi Güvenliği ürün veya hizmet değildir. İnsan faktörü, teknoloji ve eğitim unsurları üçgeninde yönetilmesi zorunlu olan karmaşık süreçlerden oluşan, süreklilik arz eden bir süreçtir. Üç unsur arasında tamamlayıcılık olmadığı sürece yüksek seviyede bir güvenlikten bahsedebilmek mümkün değildir. Yüksek seviyede E-Devlet güvenliğinden bahsedebilmek için Kurumsal ve Bireysel anlamda Bilgi Güvenliğinin gerekleri yerine getirilmelidir. 33/57 34/57 Korunma Denetim.. Yöntemleri Korunma Bilinçlendirme Yöntemleri ve Eğitim.. Uygulamaları periyodik olarak uygun test yöntemleri, araçları veya teknikleri kullanarak denetleme, Açık var ise bunları kısa sürede giderme. Farklı denetim uzmanları veya kurumlarından faydalanma Kayıplarının %80 inden fazlası yazılımsal veya donanımsal değil insan hatası veya kastı ile gerçekleşen durumlardır. Teknoloji sorunu olarak bakmamak gerekiyor. En zayıf halkası ise insandır. Kullanıcıları güvenli internet ve bilgisayar kullanımı konusunda bilinçlendirilme ve eğitme Ortak Bilgi Güvenliği Bilinci oluşturma En zayıf halkayı güçlendirme 35/57 Farkındalığı arttırma 36/57 6
Değerlendirme -1 Bilgi sistemleri güvenliği ciddi olarak ele alınması gereken bir konudur. Neyin korunacağını bilmek en önemli adımdır. Nasıl korunacağını veya korunamayacağını bilmek (risk yönetimi) işin özüdür. Uygulama safhası doğru yolda olunduğunun, Gözleme, izleme ve denetimde etkinlik başarının anahtarıdır. 37/57 Değerlendirme -2 Bilginin değerinin bilinmesi Bilgi güvenliğinin bilinmesi ve uygulanması, Yapılması gerekenlerin daha önceden belirlenmesi, Güvenliğin bir bütün olarak ele alınması, Güvenlik kültürünün yaygınlaşması, Bilgi güvenliği risk yüzdesinin düşürülmesi, İyi bir bilgi güvenliği yönetim sistemi kurulmalı eğitim ile desteklenmeli ve belirli aralıklarla denetlenmeli, Kurumsal bilgi güvenliği oluşturulmalı 38/57 Değerlendirme -3 Ürün değil bir süreç.. Fiziksel-Yönetimsel-Teknik İnsan-Eğitim-Teknoloji Fiziksel güvenlik Bilgi bulunduran ortamların korunması İnsan faktörü (eğitim ve bilinçlendirme) Teknoloji Güvenlik duvarları Anti-viral yazılımlar E-imza Atak tespit/koruma sistemleri Şifreleme metotları Uluslararası güvenlik standartları dikkate alınarak Kanunlar ve yönetmeliklerle bunları desteklemek Bilgi Güvenliği Yaşam Süreci 39/57 40/57 7