BİLGİ GÜVENLİĞİ : %100 GÜVENLİK YOKTUR



Benzer belgeler
Bilgi Güvenliği Nedir? Bilgi Güvenliğinde Saldırı Kavramı. Bilgi Güvenliğinde Saldırı Örneği : SPAM Mail

BİLGİSAYAR BİLİMLERİ ARAŞTIRMA VE UYGULAMA MERKEZİ BİLGİ GÜVENLİĞİ

Akademik Bilişim 2009 LOSTAR Bilgi Güvenliği A.Ş. Teknoloji: Kontrol Kimde?

BİLGİ GÜVENLİĞİ. Bilgi Gizliliği ve Güvenliği Zararlı Yazılımlar Alınacak Tedbirler Güvenlik Yazılımları

İnternet te Bireysel Güvenliği Nasıl Sağlarız? Rauf Dilsiz Bilgi Güvenliği Uzmanı

BİLGİ GÜVENLİĞİ. Ahmet SOYARSLAN biltek.info. Bilgi Gizliliği ve Güvenliği Zararlı Yazılımlar Alınacak Tedbirler Güvenlik Yazılımları

BİLGİ GÜVENLİĞİ. M.Selim EKEN Bilgi Gizliliği ve Güvenliği Zararlı Yazılımlar Alınacak Tedbirler Güvenlik Yazılımları

BİLGİ VE VERİ GÜVENLİĞİ VİRÜSLER VE DİĞER ZARARLI YAZILIMLAR KİŞİSEL MAHREMİYET VE TACİZ

BÖLÜM 8. Bilişim Sistemleri Güvenliği. Doç. Dr. Serkan ADA

Güvenliğiniz için aşağıdaki hususlara dikkat edilmesi tavsiye edilmektedir:

Bilgisayar Ağları ve Ağ Güvenliği DR. ÖĞR. ÜYESİ KENAN GENÇOL HİTİT ÜNİVERSİTESİ ELEKTRİK-ELEKTRONİK MÜH.

BİLGİ GÜVENLİĞİ. Temel Kavramlar

BİLGİSAYAR VİRÜSLERİ

Kamuoyu Duyurusu. 16 Aralık 2009

BİLGİ GÜVENLİĞİ VE ZARARLI YAZILIMLAR. Bilgi Güvenliği: Kendimize ait olan bilginin başkasının eline geçmemesidir.

BİLGİ GÜVENLİĞİ. Bu bolümde;

Bilgi Ve İletişim Teknolojisi

KÖTÜ AMAÇLı YAZıLıMLAR VE GÜVENLIK

Bilişim Teknolojileri

ŞEHİT FEHMİ BEY ORTAOKULU

EkoPC Bilişim Hizmetleri San. ve Tic. Ltd. Güvenli İnternet Kullanımı

ORTA DOĞU TEKNİK ÜNİVERSİTESİ BİLGİ İŞLEM DAİRE BAŞKANLIĞI. Güvenlik ve Virüsler. ODTÜ BİDB İbrahim Çalışır, Ozan Tuğluk, Cengiz Acartürk

Bilgi Güvenliği Eğitim/Öğretimi

İstemci Tabanlı Saldırı Türleri. Ozan UÇAR

Bilgi Güvenliği Farkındalık Eğitimi

(... GÜÇLÜ KORUMA, DÜŞÜK SİSTEM KAYNAĞI KULLANIMI...)

Bilgisayar Güvenliği Etik ve Gizlilik

Twitter da bu durumla karşılaşan başka kullanıcılar var mı diye twitter virüs anahtar kelimeleri ile genel bir arama yaptığımda ise bu durumun Nisan

Lisanssız yazılımlar ve içerikler (müzik, resim, fotoğraf video vs.) kullanmayın. Çeşitli yollarla kırılmış, içeriği değiştirilmiş veya güvenilir

BĠLGĠ GÜVENLĠĞĠ,KĠŞĠSEL MAHREMĠYET VE BĠLĠŞĠM SUÇLARI ALĠ ÜLKER ORTAOKULU BĠLĠŞĠM DERSLERĠ

MEHMET ÇEKİÇ ORTAOKULU

Sisteminiz Artık Daha Güvenli ve Sorunsuz...

Güvenlik. Kullanıcı Kılavuzu

HATAY KHB BILGI İŞLEM BİRİMİ

SEÇKİN ONUR. Doküman No: Rev.Tarihi Yayın Tarihi Revizyon No 01 OGP 09 SEÇKİN ONUR BİLGİ GÜVENLİĞİ POLİTİKASI

BİLGİSAYAR GÜVENLİĞİ BİLGİSAYAR GÜVENLİĞİ BİLGİSAYAR GÜVENLİĞİ

Mobil Güvenlik ve Denetim

Yeni Nesil Ağ Güvenliği

BİLGİ GÜVENLİĞİ FARKINDALIK EĞİTİMİ NASIL OLMALI? 28/04/2015 SUNA KÜÇÜKÇINAR İBRAHİM ÇALIŞIR / 9. ULAKNET ÇALIŞTAYI 2015 KUŞADASI - AYDIN 1

Güvenlik, Telif Hakları ve Hukuk

Bilgi ve Bilgisayar Sistemleri Güvenliği (Information and Computer Systems Security)

BİLGİSAYAR VİRÜSLERİ VİRÜS NEDİR BULAŞMA YOLLARI VİRÜS ÇEŞİTLERİ KORUNMA YOLLARI

Bundan 20 yıl kadar önce, bilgi işlem servisleri günümüzdeki kadar yaygın kullanılmadığından, bilişim sistemleri günümüzdeki kadar önemli bir yere

Konu: Bilgi Paylaşım Araçları. Aydın MUTLU İstanbul

Siber Suçlarla Mücadele Şube Müdürlüğümüz, ilimiz Derince ilçesinde bulunan İl Emniyet Müdürlüğü yerleşkesinde faaliyet göstermektedir.

BİLGİSAYAR İÇİN ZARARLI YAZILIMLAR

BİLİŞİM SUÇLARI ve ALINACAK TEDBİRLER

[SUB-TITLE 1] Özellikler

Ders İ zlencesi. Ders Başlığı. Dersin amacı. Önceden sahip olunması gereken beceri ve bilgiler. Önceden alınması gereken ders veya dersler

TEMEL GÜVENLİK TEHLİKELERİ. Muhammet Arucu

5651 ve 5070 Sayılı Kanun Tanımlar Yükümlülükler ve Sorumluluklar Logix v2.3 Firewall. Rekare Bilgi Teknolojileri

SİBER GÜVENLİK FARKINDALIĞI

Bilgi Güvenliği Yönetim Sistemi

Kullanıcı Kitabı (2011)

Güvenlik, Telif Hakları ve Hukuk

BİLGİ PAYLAŞIM ARAÇLARI. İşbirlikli Yazarlık Çoklu Ortam Paylaşımları Web Günceleri Etiketleme ve Sosyal İmleme Sosyal Medya Dijital Kimlik

ÇOK ÖNEMLİ GÜVENLİK VE YEDEKLEME UYARISI

Dünyada Veri Kaçağı ve Veri Kaçağı Önleme (DLP) Sistemleri Tahsin TÜRKÖZ Bilişim Sistemleri Güvenliği Grubu

Safetica kurumsal ağa kolayca entegre edilebilen kapsamlı ve çok bileşenli bir DLP programıdır.

E POSTA GÜVENLİĞİ E POSTA GÜVENLİĞİ HAZIRLAYAN: TEAM VOLTRAN BARTIN ÜNİVERSİTESİ İKTİSADİ İDARİ BİLİMLER FAKÜLTESİ YÖNETİM BİLİŞİM SİSTEMLERİ

İnternet'te Bireysel Gizlilik ve Güvenlik

BİLGİSAYAR VE AĞ GÜVENLİĞİ

BİLGİ GÜVENLİĞİ. İsmail BEZİRGANOĞLU İdari ve Mali İşler Müdürü Türkeli Devlet Hastanesi

Bilgi Güvenliği Hizmetleri Siber güvenliği ciddiye alın!

Maltepe Üniversitesi. Bilgisayar Mühendisliği Bölümü

YAZILIM GÜVENLİK TESTLERİ. H A L D U N T E R A M A N h a l d u n t e r a m a g m a i l. c o m

Siber Teröristlere Karşı Kurumlar Nasıl Korunmalıdır? Yusuf TULGAR NetDataSoft Genel Müdürü

Bilişim Uzayında Saldırılar. Prof. Dr. Eşref ADALI www. Adalı.net

Avira AntiVir Premium Security Suite

5. Sınıflar Bilişim Teknolojileri ve Yazılım Dersi Çalışma Soruları 2

: 36 milyon Euro çalan malware Eurograbber

KAMU SİBER GÜVENLİK GÜNÜNE HOŞGELDİNİZ

ÜNİTE 4 ÜNİTE 2 ZARARLI YAZILIMLAR VE GÜVENLİ INTERNET BİLGİSAYAR II İÇİNDEKİLER HEDEFLER

İNTERNETİN FIRSATLARI

KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI

Veri(Data), sayısal veya mantıksal her değer bir veridir. Bilgi(Information), verinin işlenmiş, anlamlı hale gelmişşekline bilgi denir.

İnternetin Güvenli Kullanımı. ve Sosyal Ağlar

NovaFortis Yazılım Danışmanlık. E-dönüşüm adaptörü

KABLOSUZ AĞ GÜVENLİĞİNE KURUMSAL BAKIŞ

BİLGİ GÜVENLİĞİ VE FARKINDALIK WEB SİTESİ KULLANIM KILAVUZU

BİLİŞİM SUÇLARI. Teknoloji kullanarak dijital ortamda kişi veya kurumlara maddi veya manevi olarak zarar vermek bilişim suçları olarak tanımlanabilir.

İletişim Ağlarında Güvenlik

BİLİŞİM SUÇLARI VE GÜVENLİK İNTERNETTE ALIŞVERİŞ

Flash dosyası, kaynak koduna çevrilip incelendikten sonra Flash dosyasının kullanıcıyı sayfasına yönlendirdiği,


w w w. n a r b u l u t. c o m

SÜRE BAŞLAMA TARİHİ : 19/12/2018 BİTİŞ TARİHİ : 20/02/2019 KURS SÜRESİ : 144 Saat KURS NO :

Enerji, bankacılık, finans, telekomünikasyon gibi önemli sektörler Sinara Labs ile siber saldırılar a karşı güvende

GİZLİLİK SÖZLEŞMESİ. Lütfen Gizlilik Sözleşmesi ni dikkatlice okuyunuz.

BİH 605 Bilgi Teknolojisi Bahar Dönemi 2015

Asiston Hizmetleri Bilgilendirme Kitapçığı

Gizlilik ve Güvenlik GİZLİLİK VE GÜVENLİK POLİTİKASI

Kişisel Mahremiyet ve Taciz

Kurumsal Bilgi Güvenliği ve Siber Güvenlik

Free PowerPoint Templates ECZANELERDE AĞ VE BİLGİSAYAR GÜVENLİĞİ

TARIM REFORMU GENEL MÜDÜRLÜĞÜ

Çocuklar ve Ebeveynler için İnternet Güvenliği

Virüs, Malware, Spyware, Adware Nedir? Nedir_831.html

Transkript:

BİLGİ GÜVENLİĞİ : %100 GÜVENLİK YOKTUR Oğuz AKGUŞ Bilgisayar Mühendisi GİRİŞ Bilişim sektöründe son günlerin en önemli ve sıcak konularından birisi Bilgi Güvenliği. Artık bilgisayar, internet, sosyal medya hayatımızın her alanına girmiş durumda. Kişisel ve kurumsal anlamda birçok kritik bilgi sanal ortamda saklanıyor ve bunların güvenliği büyük önem taşıyor. Bilgi Güvenliği ni formal olarak şu şekilde tanımlayabiliriz. Bilgi güvenliği, bilgileri izinsiz erişimlerden, kullanımından, ifşa edilmesinden, yok edilmesinden, değiştirilmesinden veya hasar verilmesinden koruma işlemidir. 1 1 Vikipedi. Bilgi Güvenliği : http://tr.wikipedia.org/wiki/ Bilgi_g%C3%BCvenli%C4%9Fi Bilgi güvenliği konusu sektörde kurumsal annlamda önemli ve güncel konulardan birisi olmasına rağmen, bireysel kullanıcılar açısından aynı farkındalığın oluşmadığı, birçok bilgisayar ve internet kullanıcısının kişisel bilgilerini saklamak konusunda gerekli özeni göstermediği de bir gerçek. Bu makalede bilgi güvenliğinin önemi ve sağlanmadığı takdirde oluşabilecek durumların yanında, temel bilgi güvenliği konuları, internet dünyasındaki bilinen saldırı yöntemleri ve alınabilecek tedbirler konusunda bilgi vermeye çalışacağız. 105 TEMMUZ - AĞUSTOS - EYLÜL 2011

Bilgi Güvenliği %100 Güvenlik Yoktur! BİLGİ GÜVENLİĞİ VE ÖNEMİ Giriş kısmında tanımladığımız gibi bilgi güvenliği kritik önem taşıyan bilgilerin, yetkili olmayanların erişimlerinden ve kullanımından; bilgiyi görmemesi gerekn kişilere ifşa edilmesinden; bilginin yok edilmesinden veya değiştirilmesinden veya hasar göremsinden koruma faaliyetlerini kapsamaktadır. Bilgi güvenliğini kurumsal anlamda değerlendirdiğimizde artık firmaların büyük çoğunluğunun tüm bilgilerini sanal ortamlarda tuttuğunu görüyoruz. Bu bilgiler içerisinde ticari işletmeler için müşteri verileri, satış değerleri, ürün detayları, gelecek planları ve personel bilgileri gibi ticari sır olarak nitelendirilebilecek yer alırken, askeri kurumlar için askeri sır niteliği taşıyan lojistik, muhimmat veya taktik bilgileri yer almaktadır. Örnek olarak bir bankayı ele aldığımızda müşteri veri tabanı, müşterilerin harcama detayları, banka personel bilgileri, banka uygulama kaynak kodları, müşteri internet şube parolaları gibi korunması gereken birçok bilgi yer almaktadır. Bir kurumun bilgi güvenliği anlamında zaafiyet içerisinde olması ve bilgi güvenliği anlamında kamuoyuna yansıyan sorunlar yaşaması kurumun güvenilirliğini azaltacak ve prestijine darbe vuracaktır. Örneğin geçtiğimiz ekim ayında Sony nin şirket içi internet ağlarına gerçekleştirilen saldırı sonucu, şirketin 93 bin müşterisine ait bilgilerin çalındığı haberi tüm dünyada yankı bulmuştu. Şirket bu müşterilere ait hesapları kapatmak durumunda kalmıştı. Bu tip bir durum şirketin prestijine zarar vermesinin yanında borsada şirket hisselerinin düşmesine ve şirketin piyasada değer kaybetmesine yol açtığı tartışılmaz bir gerçek. Bireysel anlamda baktığımızda, her internet kullanıcısının birden fazla mail hesabı, birçok bankada internet müşteri hesabı, sosyal medyada facebook, twitter gibi ortamlarda hesapları yer alıyor. Bu hesapları oluştururken birçok kişisel bilgilerimizi bu sitelere veriyoruz. Bu ortamlarda gösterdiğimiz etkinliklerle sosyal ve kişisel bilgilerimizi kendi elimizle aktarıyoruz. Bu ortamlara kritik bilgileri vermemek, eğer veriyorsak da bunu en doğru şekilde korumak son derece önemli. Son günlerde gündemde olan bir olayı örnek olarak düşündüğümüzde çekici bir uygulamanın veya içeriğin kişsel bilgilere ne kadar kolay erişebildiğini görebiliriz. Facebook üzerinde Takvimime adıyla oluşturulan bir uygulama kullanıcılara, arkadaşlarının doğum gününü hatırlatma imkanı sunmakta. Ancak bunu yaparken uygulamayı yükleyen kullanıcılar tüm profil bilgilerini de bu uygulamaya teslim etmiş oluyor, hatta kendi profilinde bu uygulamanın mesajlar göndermesine izin vermiş oluyor. 2 2 Hürriyet Teknoloji Bu uygulamadan uzak durun: http://www. hurriyet.com.tr/teknoloji/19471878.asp 106 TEMMUZ - AĞUSTOS - EYLÜL 2011

Oğuz AKGUŞ Kişisel bilgilerin kötü niyetli kimselerin eline geçmesi durumunda maddi kayıpların oluşmasından tutun, sonunda kişinin kendini hukuki bir sürecin içinde bulacağı ve mağdurken suçlanacağı durumların ortaya çıkması gibi sonuçlar doğurabilir. TEMEL BİLGİLER Giriş ve sonraki bölümde bilgi güvenliğinin kısaca ne olduğunu, bireyler ve kurumlar açısından önemini vurgulamaya çalıştık. Bu bölümde ise biraz daha teknik terimlere girerek bilgi güvenliği konsepti içerisindeki temel bilgileri paylaşmaya çalışacağız. ISO standartlarına göre incelenmesi gereken 3 kavram gizlilik, bütünlük ve erişilebilirliktir. Günümüzde bunlara ek olarak gerçeklik ve inkar edilememezlik de bu kapsamda in- celenmektedir. Gizlilik(Confidentiality) Gizlilik kavramı kısaca; yet- kisiz kişlerin veya sistemlerin veriye erişiminin engellenmesi için kullanılan bir kavramdır. Örneğin bir kişiye ait kredi kartı bilgisi sadece banka(sistem olarak) ve kişi tarafından bilinmesi gereken bir veridir. Bu verinin 3. kişiler veya sistemler tarafından ele geçirilememesi için alınacak önlemler gizlilik prensibinin içerisinde değerlendirilir. Bütünlük(Integrity) Bilgi güvenliğinde bütünlükten kasıt verinin eksiksiz, tam, tutarlı ve doğru olmasıdır. Tanımlanmyan bir şekilde verinin değişmiyor olması gerekmektedir. Veya verinin yetkisiz kişlerin veriyi silmesi, yok etmesi hasar vermesini engelleyecek önlemler bu kapsamda ele alınmaktadır. Bilginin bütünlüğü için kesinlik, doğruluk ve geçerlilik kıstasları sağlanmış olmalıdır. Erişilebilirlik(Availability) Herhangi bir sistemde sakalanan bilgi ihtiyaç halinde erişlebilir olmalıdır. Erişileblirliğin sağlanabilmesi için sistemlerin gerekli güvenlik önlemlerini alması gerekmektedir. Bu anlamda iletişim kanallarının korunması da bilgi güvenliği anlamında bir zorunluluktur. Saldırganlar sistemi erişilemez hale getirerek zaafiyete neden olabilirler. Örneğin geçtiğimiz günlerde TİB e yapılan saldırılarla TİB web sitesinin erişilemez hale gelmesi erişilebilirlik prensibinin bu sistemde tam olarak sağlanamadığını göstermektedir. Gerçeklik(Authenticity) Bilgi sistemlerinde, elektronik ticarette en önemli konulardan birisi de taşınan verinin, belgelerin gerçekliğidir. Gerçeklikten kasıt verinin özgün olması ve sahibinin gerçekten belli olmasıdır. İnkar Edilemezlik(Non-repudation) İnkar edilmezlik prensibi, sistemlerde gerçekleştirilen işlemlerin gerçekleştiren kişi tarafından inkar edilememesinin sağlanmasından ibarettir. Bilgi sistemlerinde bunu sağlayabilmek için önlemler alınmakta ve bu gibi durumlarda sağlanan kanıtlar ile işlemi gerçekleştiren kişi ortaya çıkarılabilmektedir. SON KULLANICILARA YÖNELİK SALDIRILAR Sanal alemdeki saldırganlar(hacker) saldırılarının odağına bazen son kullanıcıları bazen de sistemleri alabiliyor. Her iki odak noktasında da genelde hedef kullanıcıların gizli bilgilerine erişmek ve bu yolla kazanç sağlamak. Sistemlere saldırı düzenleyen hackerlar daha derin ve zaman alıcı saldırılarla birçok kullanıcının bilgisini çalmaya çalışırken, son kullanıcıya odaklanan saldırganlar bu kullanıcının bireysel sistemine erişerek veya sosyal mühendislikle kişinin açık bilgilerini birleştirerek onun hesaplarına ulaşmaya çalışıyor. Bu başlık altında son kullanıcıya yönelik saldırılar ve bu alanda kullanılan terimleri inceleyeceğiz. 107 TEMMUZ - AĞUSTOS - EYLÜL 2011

Bilgi Güvenliği %100 Güvenlik Yoktur! Phishing (Olta Atma) Phishing temelde internet kullanıcısını kandırararak, kişiye ait gizli bilgileri (kredi kartı bilgisi, şifre parolalar, hesap numaraları vb.) ele geçirmektir. Bu saldırıyı gerçekleştirirken kullanılan en önemli yöntem; elektronik posta ile gönderilen sahte mesajlardır. Sahte mesaj ile kullanıcı sahte bir siteye yönlendirilmeye çalışılır ve bu sahte site üzerinden kullanıcının bilgileri ele geçirilir. Son günlerde Türkiye de birçok banka kullanıcısının kredi kartının bilgisinin bu yolla çalındığı ortaya çıkmış ve bankalar müşterilerine bu tip mesajlara itibar etmemeleri için uyarı mesajları göndererek uyarmak ihtiyacı hissetmiştir. Virüs Virüs herhangi bir dijital sisteme değişik yollarla giren/bulaşan ve istenmeyen sonuç veya zararlara sebep olan program olarak tanımlanabilir. Virüsler bulaştığı bilgisayarda diğer tüm yasal programlar gibi işletim sisteminin desteklediği tüm işlemleri gerçekleştirebilir. Virüs bilgisayarın çalışmasını engelleyebileceği gibi, sistemdeki verileri başka sistemlere gönderme, silme veya bozma gibi yeteneklere sahip olabilir. Aytıca virüsler genelde kendilerini başka bilgisayarlara yayma yeteneğine de sahip olurlar. Solucan Solucan da, diğer zararlı yazılımlar gibi, kendisini bir bilgisayardan diğerine kopyalamak için tasarlanmıştır ancak bunu otomatik olarak yapar. 3 İlk olarak, bilgisayarda dosya veya bilgi ileten özelliklerin denetimini ele geçirir. Solucan bir kez sisteminize girdikten sonra kendi başına ilerleyebilir. Solucanların en büyük tehlikesi, kendilerini büyük sayılarda çoğaltma becerileridir. Örneğin bir solucan, e-posta adres defterinizdeki herkese kopyalarını gönderebilir ve sonra aynı şeyi onların bilgisayarları da yapabilir. Bu, domino etkisinin getirdiği yoğun ağ trafiği işyeri ağlarını ve Internet in tümünü yavaşlatabilir. Yeni solucanlar ilk ortaya çıktıklarında çok hızlı yayılırlar. Ağları kilitlerler ve olasılıkla sizin ve başkalarının Internet teki Web sayfalarını görüntülerken uzun süreler beklemenize yol açarlar. Solucan virüslerin bir alt sınıfıdır. Bir solucan genellikle kullanıcı eylemi olmaksızın yayılır ve kendisinin tam kopyalarını (olasılıkla değiştirilmiş) ağlardan ağlara dağıtır. Bir solucan bellek veya ağ bant genişliği tüketebilir, bu da bilgisayarın çökmesine yol açabilir. 3 Güvenli Web, Solucan: http://www.guvenliweb.org.tr/guvenlik/ content/solucan 108 TEMMUZ - AĞUSTOS - EYLÜL 2011

Oğuz AKGUŞ Truva Atı (Trojan) Bilgi güvenliği dünyasında Truva Atı olarak adlandırılan yazılımlar aslında zararlı olan fakat kullanıcının yararlı zannettiği uygulamalardır. İnsanlar yükledikleri veya çalıştırdıkları bu tip uygulamaları zararsız, eğlenceli ve masum olarak nitelerler ancak uygulama arka planda zararlı ve başka açıklara yol açacak kodlar çalıştırır. Truva atlarına örnek olarak hacker tarafından değiştirilmiş kullanışlı programları örnek olarak verebiliriz. Ücretli bir yazılımın seri anahtarlarını ürettiğini iddaa eden keygen programlar buna örnek olarak verilebilir. SİSTEM TARAFINDA EN ÇOK KULLANILAN SALDIRI YÖNTEMLERİ Key Logger Keylogger, klavyeden basılan her tuşun kaydını tutan ve bunu hackerin sistemlerine gönderen zararlı yazılımlardır. Bu tip yazılımlar kullanıcı internette işlem yaparken, örneğin kredi kartı ile bir e-ticaret sitesinden alışveriş yaparken, tüm hareketleri kaydeder ve bu yolla şifre parola gibi bilgiler hackerın eline geçmiş olur. Keylogger lara karşı güvenlik amacıyla kullanıcıyı şifreyi fare ile girmeye zorlayan sistemler geliştirilmiş, ancak keyloggerlar da gelişerek fare ve ekran görüntülerini kaydeder hale gelmiştir. Botnet (Zombi Ağı) Botnet Botnet, birçok bilgisayarın tek bir merkezden kötü niyetli saldırganlar tarafından zararlı amaçlara yönelik kullanılması olarak tanımlanabilir. Günümüzde bilgisayarlarının çoğunun internete bağlı olduğu düşünüldüğünde her bilgisayar bir botnete dahil olma ve korsanların hedeflerine alet olma durumunda kalabilir. Botnete sahip olmanın kısa bir araştırma ile mümkün olabildiği günümüzde en tehlikeli ve sistemler tarfından algılanması en zor saldırı tipi bu olarak gözüküyor. En çok kullanılan saldırı yöntemlerini, özellikle bu konuda inceleme yapan OWASP 4 (Açık Web Uygulama Güvenliği Projesi) in 2010 raporuna göre inceleyeceğiz. Bu saldırı yöntemlerinin bazıları direk internet üzerinden uygulama sunanları ilgilendirirken bazıları bireysel kullanıcıları da ilgilendirmektedir. Bu saldırı yöntemleri konusuda bilgi sahibi olmak tüm kullanıcılar açısından faydalı olacak, internet ortamında daha dikkatli şekilde hareket etmelerini sağlayacaktır. En çok kullanılan saldırı yöntemlerinin başında Enjeksiyon gelmektedir. Enjeksiyon web sitelerinde her hangi bilgi alınan bir formda, sistemde çalışabilecek kod parçalarının yazılarak gönderilmesi yoluyla gerçekleştirilir. Enjeksiyonun birçok çeşidi vardır fakat, en çok bilineni SQL enjeksiyonudur. 4 OWASP : https://www.owasp.org 109 TEMMUZ - AĞUSTOS - EYLÜL 2011

Bilgi Güvenliği %100 Güvenlik Yoktur! İkinci en çok kullanılan saldırı yöntemi XSS dir(cross Site Scripting). HTML kodlarının arasına istemci tabanlı kod gömülmesi yoluyla kullanıcının tarayıcısında istenen istemci tabanlı kodun çalıştırılabilmesi olarak tanımlanır. 5 SON KULLANICILAR İÇİN GÜVENLİK ÖNERİLERİ Bireysel kullanıclar için saldırılardan korunmanın en önemli yolu bilgi güvenliği konusunda bilinçli olmak ve sağlıklı bir paranoya içerisinde hareket etmektir. Aşağıdaki listede son kullanıcıların dikkat etmesi gereken konuları listelemeye çalıştık, bunları gerçekleştirerek daha güvenli bir ortamda işlemlerini yapabilirler. 1. Antivirüs yazılımı kullanın ve antivirüs yazılımınızı güncel tutun. 2. İşletim sistemi güvenlik güncelleştirmelerini takip edin ve zamanında yükleyin. 3. Güvenlik duvarı (firewall) kullanın. 4. Casus yazılım önleme programı kullanın. 5. Elektronik posta ile gelen dosyalara şüpheci yaklaşın. 6. Anlık mesajlaşma sistemlerini kullanırken sohbet ettiğiniz kişiden gelen linkere şüphe ile yaklaşın. XSS açığının nasıl işlediğini özetlemek gerekirse, saldırgan açık bulduğu sitenin kullanıcılarının verilerine eişrmek için önce ilgi çekici bir site kuruyor ve bu siteye XSS açığından faydalanacağı kod parçasını yerleştiriyor. Kullanıcı bu sayfaya geldiğinde bilgisayardaki cookie leri kullanarak ilgili siteye erişim bilgilerini elde edebiliyor. 3. en çok kullanılan yöntem Kırık Kimlik Doğrulama ve Oturum Yönetimi açıklarından faydalanmak olarak raporlanmış durumda. Bu açıkla ilgili kullanıcıların çok da fazla yapabileceği birşey yok ancak uygulama ve sistem tarafında gerekli önlemlerin alınması gerekiyor. Bu ilk üç saldırı yöntemlerinin dışında diğer yöntemler de aşağıda sıralandığı gibi: Güvensiz Doğrudan Nesne Referansları Cross-Site Request Forgery (CSRF) Hatalı Konfigürasyonu Şifrelerin Güvensiz Depolanması Başarısız URL Erişim sınırlandırmaları Yetersiz İletişim Katmanı Koruması Onaylanmamış yönlendirmeler ve Yönlendirme 5 Vikipedi. XSS: http://tr.wikipedia.org/wiki/cross_site_scripting 7. P2P Dosya paylaşım programlarından indirdiğiniz dosyalara dikkat edin, virüs taramasında geçirmeden kullanmayın. 8. Güvenmediğiniz sitelere email adresi, telefon numarası vb iletişim bilgilerini paylaşmayın. 9. Kendi sitenizde, başka sitelerde veya üye olduğunuz sistemlerde email adresinizin açık olarak görünmesini engelleyin. 10. Özellikle, e-ticaret bankacılık gibi işlemlerinde işlem yaptığınız web sayfasının güvenli olup olmadığını kontrol edin. Sitenin SSL kullanıp kullanmadığını adresin https(güvenli) ile mi http ile mi başladığını kontrol ederek görebilirsiniz. 11. Güvenmediğiniz ağlarda kesinlikle kritik işlemler yapmayınız. Örneğin bir cafe de sağlanan kablosuz internetten bankacılık işlemi yapmak güvensizdir ve şifre, parolanız risk altındadır. 12. Hesaplarınızda güvenli şifreler kullanın, güvenlik sorularınızı sizden başka kimsenin tahmin edemeyeceği şekilde belirleyin. 13. Farklı hesaplarınızda farklı parola ve şifreler kullanın. 110 TEMMUZ - AĞUSTOS - EYLÜL 2011

2024 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim