BİLGİ GÜVENLİĞİ : %100 GÜVENLİK YOKTUR Oğuz AKGUŞ Bilgisayar Mühendisi GİRİŞ Bilişim sektöründe son günlerin en önemli ve sıcak konularından birisi Bilgi Güvenliği. Artık bilgisayar, internet, sosyal medya hayatımızın her alanına girmiş durumda. Kişisel ve kurumsal anlamda birçok kritik bilgi sanal ortamda saklanıyor ve bunların güvenliği büyük önem taşıyor. Bilgi Güvenliği ni formal olarak şu şekilde tanımlayabiliriz. Bilgi güvenliği, bilgileri izinsiz erişimlerden, kullanımından, ifşa edilmesinden, yok edilmesinden, değiştirilmesinden veya hasar verilmesinden koruma işlemidir. 1 1 Vikipedi. Bilgi Güvenliği : http://tr.wikipedia.org/wiki/ Bilgi_g%C3%BCvenli%C4%9Fi Bilgi güvenliği konusu sektörde kurumsal annlamda önemli ve güncel konulardan birisi olmasına rağmen, bireysel kullanıcılar açısından aynı farkındalığın oluşmadığı, birçok bilgisayar ve internet kullanıcısının kişisel bilgilerini saklamak konusunda gerekli özeni göstermediği de bir gerçek. Bu makalede bilgi güvenliğinin önemi ve sağlanmadığı takdirde oluşabilecek durumların yanında, temel bilgi güvenliği konuları, internet dünyasındaki bilinen saldırı yöntemleri ve alınabilecek tedbirler konusunda bilgi vermeye çalışacağız. 105 TEMMUZ - AĞUSTOS - EYLÜL 2011
Bilgi Güvenliği %100 Güvenlik Yoktur! BİLGİ GÜVENLİĞİ VE ÖNEMİ Giriş kısmında tanımladığımız gibi bilgi güvenliği kritik önem taşıyan bilgilerin, yetkili olmayanların erişimlerinden ve kullanımından; bilgiyi görmemesi gerekn kişilere ifşa edilmesinden; bilginin yok edilmesinden veya değiştirilmesinden veya hasar göremsinden koruma faaliyetlerini kapsamaktadır. Bilgi güvenliğini kurumsal anlamda değerlendirdiğimizde artık firmaların büyük çoğunluğunun tüm bilgilerini sanal ortamlarda tuttuğunu görüyoruz. Bu bilgiler içerisinde ticari işletmeler için müşteri verileri, satış değerleri, ürün detayları, gelecek planları ve personel bilgileri gibi ticari sır olarak nitelendirilebilecek yer alırken, askeri kurumlar için askeri sır niteliği taşıyan lojistik, muhimmat veya taktik bilgileri yer almaktadır. Örnek olarak bir bankayı ele aldığımızda müşteri veri tabanı, müşterilerin harcama detayları, banka personel bilgileri, banka uygulama kaynak kodları, müşteri internet şube parolaları gibi korunması gereken birçok bilgi yer almaktadır. Bir kurumun bilgi güvenliği anlamında zaafiyet içerisinde olması ve bilgi güvenliği anlamında kamuoyuna yansıyan sorunlar yaşaması kurumun güvenilirliğini azaltacak ve prestijine darbe vuracaktır. Örneğin geçtiğimiz ekim ayında Sony nin şirket içi internet ağlarına gerçekleştirilen saldırı sonucu, şirketin 93 bin müşterisine ait bilgilerin çalındığı haberi tüm dünyada yankı bulmuştu. Şirket bu müşterilere ait hesapları kapatmak durumunda kalmıştı. Bu tip bir durum şirketin prestijine zarar vermesinin yanında borsada şirket hisselerinin düşmesine ve şirketin piyasada değer kaybetmesine yol açtığı tartışılmaz bir gerçek. Bireysel anlamda baktığımızda, her internet kullanıcısının birden fazla mail hesabı, birçok bankada internet müşteri hesabı, sosyal medyada facebook, twitter gibi ortamlarda hesapları yer alıyor. Bu hesapları oluştururken birçok kişisel bilgilerimizi bu sitelere veriyoruz. Bu ortamlarda gösterdiğimiz etkinliklerle sosyal ve kişisel bilgilerimizi kendi elimizle aktarıyoruz. Bu ortamlara kritik bilgileri vermemek, eğer veriyorsak da bunu en doğru şekilde korumak son derece önemli. Son günlerde gündemde olan bir olayı örnek olarak düşündüğümüzde çekici bir uygulamanın veya içeriğin kişsel bilgilere ne kadar kolay erişebildiğini görebiliriz. Facebook üzerinde Takvimime adıyla oluşturulan bir uygulama kullanıcılara, arkadaşlarının doğum gününü hatırlatma imkanı sunmakta. Ancak bunu yaparken uygulamayı yükleyen kullanıcılar tüm profil bilgilerini de bu uygulamaya teslim etmiş oluyor, hatta kendi profilinde bu uygulamanın mesajlar göndermesine izin vermiş oluyor. 2 2 Hürriyet Teknoloji Bu uygulamadan uzak durun: http://www. hurriyet.com.tr/teknoloji/19471878.asp 106 TEMMUZ - AĞUSTOS - EYLÜL 2011
Oğuz AKGUŞ Kişisel bilgilerin kötü niyetli kimselerin eline geçmesi durumunda maddi kayıpların oluşmasından tutun, sonunda kişinin kendini hukuki bir sürecin içinde bulacağı ve mağdurken suçlanacağı durumların ortaya çıkması gibi sonuçlar doğurabilir. TEMEL BİLGİLER Giriş ve sonraki bölümde bilgi güvenliğinin kısaca ne olduğunu, bireyler ve kurumlar açısından önemini vurgulamaya çalıştık. Bu bölümde ise biraz daha teknik terimlere girerek bilgi güvenliği konsepti içerisindeki temel bilgileri paylaşmaya çalışacağız. ISO standartlarına göre incelenmesi gereken 3 kavram gizlilik, bütünlük ve erişilebilirliktir. Günümüzde bunlara ek olarak gerçeklik ve inkar edilememezlik de bu kapsamda in- celenmektedir. Gizlilik(Confidentiality) Gizlilik kavramı kısaca; yet- kisiz kişlerin veya sistemlerin veriye erişiminin engellenmesi için kullanılan bir kavramdır. Örneğin bir kişiye ait kredi kartı bilgisi sadece banka(sistem olarak) ve kişi tarafından bilinmesi gereken bir veridir. Bu verinin 3. kişiler veya sistemler tarafından ele geçirilememesi için alınacak önlemler gizlilik prensibinin içerisinde değerlendirilir. Bütünlük(Integrity) Bilgi güvenliğinde bütünlükten kasıt verinin eksiksiz, tam, tutarlı ve doğru olmasıdır. Tanımlanmyan bir şekilde verinin değişmiyor olması gerekmektedir. Veya verinin yetkisiz kişlerin veriyi silmesi, yok etmesi hasar vermesini engelleyecek önlemler bu kapsamda ele alınmaktadır. Bilginin bütünlüğü için kesinlik, doğruluk ve geçerlilik kıstasları sağlanmış olmalıdır. Erişilebilirlik(Availability) Herhangi bir sistemde sakalanan bilgi ihtiyaç halinde erişlebilir olmalıdır. Erişileblirliğin sağlanabilmesi için sistemlerin gerekli güvenlik önlemlerini alması gerekmektedir. Bu anlamda iletişim kanallarının korunması da bilgi güvenliği anlamında bir zorunluluktur. Saldırganlar sistemi erişilemez hale getirerek zaafiyete neden olabilirler. Örneğin geçtiğimiz günlerde TİB e yapılan saldırılarla TİB web sitesinin erişilemez hale gelmesi erişilebilirlik prensibinin bu sistemde tam olarak sağlanamadığını göstermektedir. Gerçeklik(Authenticity) Bilgi sistemlerinde, elektronik ticarette en önemli konulardan birisi de taşınan verinin, belgelerin gerçekliğidir. Gerçeklikten kasıt verinin özgün olması ve sahibinin gerçekten belli olmasıdır. İnkar Edilemezlik(Non-repudation) İnkar edilmezlik prensibi, sistemlerde gerçekleştirilen işlemlerin gerçekleştiren kişi tarafından inkar edilememesinin sağlanmasından ibarettir. Bilgi sistemlerinde bunu sağlayabilmek için önlemler alınmakta ve bu gibi durumlarda sağlanan kanıtlar ile işlemi gerçekleştiren kişi ortaya çıkarılabilmektedir. SON KULLANICILARA YÖNELİK SALDIRILAR Sanal alemdeki saldırganlar(hacker) saldırılarının odağına bazen son kullanıcıları bazen de sistemleri alabiliyor. Her iki odak noktasında da genelde hedef kullanıcıların gizli bilgilerine erişmek ve bu yolla kazanç sağlamak. Sistemlere saldırı düzenleyen hackerlar daha derin ve zaman alıcı saldırılarla birçok kullanıcının bilgisini çalmaya çalışırken, son kullanıcıya odaklanan saldırganlar bu kullanıcının bireysel sistemine erişerek veya sosyal mühendislikle kişinin açık bilgilerini birleştirerek onun hesaplarına ulaşmaya çalışıyor. Bu başlık altında son kullanıcıya yönelik saldırılar ve bu alanda kullanılan terimleri inceleyeceğiz. 107 TEMMUZ - AĞUSTOS - EYLÜL 2011
Bilgi Güvenliği %100 Güvenlik Yoktur! Phishing (Olta Atma) Phishing temelde internet kullanıcısını kandırararak, kişiye ait gizli bilgileri (kredi kartı bilgisi, şifre parolalar, hesap numaraları vb.) ele geçirmektir. Bu saldırıyı gerçekleştirirken kullanılan en önemli yöntem; elektronik posta ile gönderilen sahte mesajlardır. Sahte mesaj ile kullanıcı sahte bir siteye yönlendirilmeye çalışılır ve bu sahte site üzerinden kullanıcının bilgileri ele geçirilir. Son günlerde Türkiye de birçok banka kullanıcısının kredi kartının bilgisinin bu yolla çalındığı ortaya çıkmış ve bankalar müşterilerine bu tip mesajlara itibar etmemeleri için uyarı mesajları göndererek uyarmak ihtiyacı hissetmiştir. Virüs Virüs herhangi bir dijital sisteme değişik yollarla giren/bulaşan ve istenmeyen sonuç veya zararlara sebep olan program olarak tanımlanabilir. Virüsler bulaştığı bilgisayarda diğer tüm yasal programlar gibi işletim sisteminin desteklediği tüm işlemleri gerçekleştirebilir. Virüs bilgisayarın çalışmasını engelleyebileceği gibi, sistemdeki verileri başka sistemlere gönderme, silme veya bozma gibi yeteneklere sahip olabilir. Aytıca virüsler genelde kendilerini başka bilgisayarlara yayma yeteneğine de sahip olurlar. Solucan Solucan da, diğer zararlı yazılımlar gibi, kendisini bir bilgisayardan diğerine kopyalamak için tasarlanmıştır ancak bunu otomatik olarak yapar. 3 İlk olarak, bilgisayarda dosya veya bilgi ileten özelliklerin denetimini ele geçirir. Solucan bir kez sisteminize girdikten sonra kendi başına ilerleyebilir. Solucanların en büyük tehlikesi, kendilerini büyük sayılarda çoğaltma becerileridir. Örneğin bir solucan, e-posta adres defterinizdeki herkese kopyalarını gönderebilir ve sonra aynı şeyi onların bilgisayarları da yapabilir. Bu, domino etkisinin getirdiği yoğun ağ trafiği işyeri ağlarını ve Internet in tümünü yavaşlatabilir. Yeni solucanlar ilk ortaya çıktıklarında çok hızlı yayılırlar. Ağları kilitlerler ve olasılıkla sizin ve başkalarının Internet teki Web sayfalarını görüntülerken uzun süreler beklemenize yol açarlar. Solucan virüslerin bir alt sınıfıdır. Bir solucan genellikle kullanıcı eylemi olmaksızın yayılır ve kendisinin tam kopyalarını (olasılıkla değiştirilmiş) ağlardan ağlara dağıtır. Bir solucan bellek veya ağ bant genişliği tüketebilir, bu da bilgisayarın çökmesine yol açabilir. 3 Güvenli Web, Solucan: http://www.guvenliweb.org.tr/guvenlik/ content/solucan 108 TEMMUZ - AĞUSTOS - EYLÜL 2011
Oğuz AKGUŞ Truva Atı (Trojan) Bilgi güvenliği dünyasında Truva Atı olarak adlandırılan yazılımlar aslında zararlı olan fakat kullanıcının yararlı zannettiği uygulamalardır. İnsanlar yükledikleri veya çalıştırdıkları bu tip uygulamaları zararsız, eğlenceli ve masum olarak nitelerler ancak uygulama arka planda zararlı ve başka açıklara yol açacak kodlar çalıştırır. Truva atlarına örnek olarak hacker tarafından değiştirilmiş kullanışlı programları örnek olarak verebiliriz. Ücretli bir yazılımın seri anahtarlarını ürettiğini iddaa eden keygen programlar buna örnek olarak verilebilir. SİSTEM TARAFINDA EN ÇOK KULLANILAN SALDIRI YÖNTEMLERİ Key Logger Keylogger, klavyeden basılan her tuşun kaydını tutan ve bunu hackerin sistemlerine gönderen zararlı yazılımlardır. Bu tip yazılımlar kullanıcı internette işlem yaparken, örneğin kredi kartı ile bir e-ticaret sitesinden alışveriş yaparken, tüm hareketleri kaydeder ve bu yolla şifre parola gibi bilgiler hackerın eline geçmiş olur. Keylogger lara karşı güvenlik amacıyla kullanıcıyı şifreyi fare ile girmeye zorlayan sistemler geliştirilmiş, ancak keyloggerlar da gelişerek fare ve ekran görüntülerini kaydeder hale gelmiştir. Botnet (Zombi Ağı) Botnet Botnet, birçok bilgisayarın tek bir merkezden kötü niyetli saldırganlar tarafından zararlı amaçlara yönelik kullanılması olarak tanımlanabilir. Günümüzde bilgisayarlarının çoğunun internete bağlı olduğu düşünüldüğünde her bilgisayar bir botnete dahil olma ve korsanların hedeflerine alet olma durumunda kalabilir. Botnete sahip olmanın kısa bir araştırma ile mümkün olabildiği günümüzde en tehlikeli ve sistemler tarfından algılanması en zor saldırı tipi bu olarak gözüküyor. En çok kullanılan saldırı yöntemlerini, özellikle bu konuda inceleme yapan OWASP 4 (Açık Web Uygulama Güvenliği Projesi) in 2010 raporuna göre inceleyeceğiz. Bu saldırı yöntemlerinin bazıları direk internet üzerinden uygulama sunanları ilgilendirirken bazıları bireysel kullanıcıları da ilgilendirmektedir. Bu saldırı yöntemleri konusuda bilgi sahibi olmak tüm kullanıcılar açısından faydalı olacak, internet ortamında daha dikkatli şekilde hareket etmelerini sağlayacaktır. En çok kullanılan saldırı yöntemlerinin başında Enjeksiyon gelmektedir. Enjeksiyon web sitelerinde her hangi bilgi alınan bir formda, sistemde çalışabilecek kod parçalarının yazılarak gönderilmesi yoluyla gerçekleştirilir. Enjeksiyonun birçok çeşidi vardır fakat, en çok bilineni SQL enjeksiyonudur. 4 OWASP : https://www.owasp.org 109 TEMMUZ - AĞUSTOS - EYLÜL 2011
Bilgi Güvenliği %100 Güvenlik Yoktur! İkinci en çok kullanılan saldırı yöntemi XSS dir(cross Site Scripting). HTML kodlarının arasına istemci tabanlı kod gömülmesi yoluyla kullanıcının tarayıcısında istenen istemci tabanlı kodun çalıştırılabilmesi olarak tanımlanır. 5 SON KULLANICILAR İÇİN GÜVENLİK ÖNERİLERİ Bireysel kullanıclar için saldırılardan korunmanın en önemli yolu bilgi güvenliği konusunda bilinçli olmak ve sağlıklı bir paranoya içerisinde hareket etmektir. Aşağıdaki listede son kullanıcıların dikkat etmesi gereken konuları listelemeye çalıştık, bunları gerçekleştirerek daha güvenli bir ortamda işlemlerini yapabilirler. 1. Antivirüs yazılımı kullanın ve antivirüs yazılımınızı güncel tutun. 2. İşletim sistemi güvenlik güncelleştirmelerini takip edin ve zamanında yükleyin. 3. Güvenlik duvarı (firewall) kullanın. 4. Casus yazılım önleme programı kullanın. 5. Elektronik posta ile gelen dosyalara şüpheci yaklaşın. 6. Anlık mesajlaşma sistemlerini kullanırken sohbet ettiğiniz kişiden gelen linkere şüphe ile yaklaşın. XSS açığının nasıl işlediğini özetlemek gerekirse, saldırgan açık bulduğu sitenin kullanıcılarının verilerine eişrmek için önce ilgi çekici bir site kuruyor ve bu siteye XSS açığından faydalanacağı kod parçasını yerleştiriyor. Kullanıcı bu sayfaya geldiğinde bilgisayardaki cookie leri kullanarak ilgili siteye erişim bilgilerini elde edebiliyor. 3. en çok kullanılan yöntem Kırık Kimlik Doğrulama ve Oturum Yönetimi açıklarından faydalanmak olarak raporlanmış durumda. Bu açıkla ilgili kullanıcıların çok da fazla yapabileceği birşey yok ancak uygulama ve sistem tarafında gerekli önlemlerin alınması gerekiyor. Bu ilk üç saldırı yöntemlerinin dışında diğer yöntemler de aşağıda sıralandığı gibi: Güvensiz Doğrudan Nesne Referansları Cross-Site Request Forgery (CSRF) Hatalı Konfigürasyonu Şifrelerin Güvensiz Depolanması Başarısız URL Erişim sınırlandırmaları Yetersiz İletişim Katmanı Koruması Onaylanmamış yönlendirmeler ve Yönlendirme 5 Vikipedi. XSS: http://tr.wikipedia.org/wiki/cross_site_scripting 7. P2P Dosya paylaşım programlarından indirdiğiniz dosyalara dikkat edin, virüs taramasında geçirmeden kullanmayın. 8. Güvenmediğiniz sitelere email adresi, telefon numarası vb iletişim bilgilerini paylaşmayın. 9. Kendi sitenizde, başka sitelerde veya üye olduğunuz sistemlerde email adresinizin açık olarak görünmesini engelleyin. 10. Özellikle, e-ticaret bankacılık gibi işlemlerinde işlem yaptığınız web sayfasının güvenli olup olmadığını kontrol edin. Sitenin SSL kullanıp kullanmadığını adresin https(güvenli) ile mi http ile mi başladığını kontrol ederek görebilirsiniz. 11. Güvenmediğiniz ağlarda kesinlikle kritik işlemler yapmayınız. Örneğin bir cafe de sağlanan kablosuz internetten bankacılık işlemi yapmak güvensizdir ve şifre, parolanız risk altındadır. 12. Hesaplarınızda güvenli şifreler kullanın, güvenlik sorularınızı sizden başka kimsenin tahmin edemeyeceği şekilde belirleyin. 13. Farklı hesaplarınızda farklı parola ve şifreler kullanın. 110 TEMMUZ - AĞUSTOS - EYLÜL 2011