BİH 605 Bilgi Teknolojisi Bahar Dönemi 2015 Ders- 14 Bilgisayar Güvenliği Yrd. Doç. Dr. Burcu Can Buğlalılar Bilgisayar Mühendisliği Bölümü
İçerik Bilgi güvenliği Tehdit türleri Dahili tehdit unsurları Harici tehdit unsurları Güvenlik uygulamaları Kriptolama
Bilgi Güvenliği Bilgi güvenliği: Bilişim ürünleri/cihazları ile bu cihazlarda işlenmekte olan verilerin bütünlüğü ve sürekliliğini korumayı amaçlayan çalışma alanıdır. Güvenilirlik: Yetki verilmemiş erişimden verinin korunması. 3
Bilgi Güvenliğinin Amacı Veri bütünlüğünün korunması Erişim deneqmi Mahremiyet ve gizliliğin korunması Sistem devamlılığının sağlanması 4
Yıllara Göre Rapor Edilen Olay Sayısı 60000 50000 52658 40000 30000 20000 10000 0 Cert/CC Yıllara Göre Rapor Edilen Olay Sayısı 21756 9859 6 132 252 406 773 1334 2340 2412 2573 2134 3734 1988 1989 1990 1991 1992 1993 1994 1995 1996 1997 1998 1999 2000 2001
Tehdit Türleri Tehdit Türleri Dahili Tehdit Unsurları Bilgisiz ve Bilinçsiz Kullanım Kötü Niyetli Hareketler ~ % 80 Harici Tehdit Unsurları Hedefe Yönelmiş Saldırılar Hedef Gözetmeyen Saldırılar ~ % 20
Dahili Tehdit Unsurları Bilgisiz ve Bilinçsiz Kullanım Temizlik Görevlisinin Sunucunun Fişini Çekmesi EğiQlmemiş Çalışanın Veritabanını Silmesi Kötü Niyetli Hareketler İşten Çıkarılan Çalışanın, Kuruma Ait Web Sitesini DeğişQrmesi Bir Çalışanının, Ağda Sniffer Çalışararak E- postaları Okuması Bir YöneQcinin, GelişQrilen Ürünün Planını Rakip Kurumlara Satması
Harici Tehdit Unsurları Hedefe Yönelmiş Saldırılar Bir Saldırganın Kurum Web Sitesini DeğişQrmesi Bir Saldırganın Kurum Muhasebe Kayıtlarını DeğişQrmesi Birçok Saldırganın Kurum Web Sunucusuna Hizmet Aksatma Saldırısı Yapması Hedef Gözetmeyen Saldırılar Virüs Saldırıları (Melissa, CIH Çernobil, Vote) Worm Saldırıları (Code Red, Nimda) Trojan Arka Kapıları (Netbus, Subseven, Black Orifice)
Saldırı Yöntemleri Hizmet Aksatma Saldırıları Ticari Bilgi ve Teknoloji Hırsızlıkları Web Sayfası İçeriği DeğişQrme Saldırıları Kurum Üzerinden Farklı Bir Hedefe Saldırmak Virüs, Worm, Trojan Saldırıları İzinsiz Kaynak Kullanımı
Saldırıya Uğrayabilecek Değerler Kurum İsmi, Güvenilirliği ve Markaları Kuruma Ait Özel / Mahrem / Gizli Bilgiler İşin Devamlılığını Sağlayan Bilgi ve Süreçler Üçüncü Şahıslar Taralndan Emanet Edilen Bilgiler Kuruma Ait Adli, Ticari Teknolojik Bilgiler
Görülebilecek Zararın Boyutu Müşteri MağduriyeQ Kaynakların TükeQmi İş Yavaşlaması veya Durması Kurumsal İmaj Kaybı Üçüncü Şahıslara Karşı Yapılacak Saldırı MesuliyeQ
Güvenlik Uygulamaları Güvenlik Duvarları Saldırı Tespit Sistemleri AnQ- Virüs Sistemleri Sanal Özel Ağ Sistemleri Şifreleme Sistemleri Sistem Güçlendirme (Hardening) Doğrulama ve Yetkilendirme Sistemleri İçerik Kontrol Yazılımları Yedekleme Sistemleri
CIA in Bilgi Güvenliği Piramidi Verinin sadece uygun mekanizmalar taralndan değişqrilebildiğinin garanqsi Yetkilendirilmemiş erişimden verinin korunması Yasal amaçlar için hangi dereceye kadar yetki verilmiş kullanıcıların bilgiye erişebileceği 13
Bilgi Güvenliği Risk Analizi: Veri üzerinde oluşabilecek risklerin tespiti Hedef, sistemi risk altında bırakabilecek her türlü tehlikeyi en aza indirmek. 14
Yetkisiz Erişimin Engellenmesi Kimlik doğrulama: Bilgisayara erişimde kimliklerin tanıalması için kullanılan bilgi n Kullanıcı bilgisi: Ad, soyad, PIN n Akıllı kart: İçinde gömülü bellek çipi bulunan kart. n Biyometrik bilgi: Parmak izi, reqna veya ses bilgisi gibi kişiye ait özellikler.
Yetkisiz Erişimin Engellenmesi Şifre belirlerken nelere dikkat etmeli? Haarlaması kolay, tahmin etmesi zor. Aile veya hayvan isimleri kullanmayın. Erişilebilir yapmayın. Büyük harf/küçük harf, rakam veya özel karakterlerin birleşimi olarak belirleyin. Bilgisayara giriş yapaktan sonra bilgisayarın yanından ayrılmayın. Kimseye söylemeyin. E- postada şifre bilgisi kesinlikle yazmayın. Farklı yerlerde aynı şifreyi kullanmayın.
Yetkisiz Erişimin Engellenmesi Şifre kriterleri: 6 veya daha fazla karakterden oluşur. En az bir tane büyük harf ve küçük harf içerir. En az bir rakam içerir. En az bir özel karakter içerir. 17
Kötü Şifre Örnekleri 12345 abcdef 1978 11111 13579 aaaaa bbbbbbb 123123 deniz deniz1998 Deniz123
Yetkisiz Erişimin Engellenmesi CAPTCHA Kullanıcının başka bir bilgisayar olmadığını doğrulayan yazılım Neden bu yöntem çalışır? 19
Yetkisiz Erişimin Engellenmesi Parmak izi analizi: Undergroundarts.co.uk/ShuoerStock, Inc. 20
Bilgisayar Güvenliği Kötücül kod: Yetkilendirilmemiş işlemleri yapmak veya kimlik doğrulama işlemlerini geçmek için yazılmış bilgisayar programı Worm: Ağ kaynaklarını hedef alır. Trojan horse: İyicil kaynak gibi kendisini gizleyebilir. Virus: Kendi kendisini çoğaltabilir. Logic bomb: Bir sistem olayında çalışmak üzere programlanır. 21
Antivirüs Yazılımı Kötücül kodları tespit etmek ve kaldırmak için kurulan yazılım: Bilinen kötücül yazılımları tanır ve kaldırır. Kötücül yazılımlara ait genel özelliklerden yararlanarak sezgilere dayalı stratejiler gelişqrir. 22
Kriptografi (Şifreleme) Şifreleme Kodlanmış bilgi üzerine çalışan alan. Kriptolama (Encryption) Düz metni şifreli metne dönüştürme işlemi Şifre çözme (Decryption) Şifrelenmiş metni düz metne dönüştürme işlemi 23
Kriptografi (Şifreleme) Kriptolama Düz me'n mesajı Şifrelenmiş me'n Şifre çözme 24
Çevrimiçi Verinin Korunması Facebook kullanıcılarının %25 i güvenlik kontrollerini kullanmıyor ya da var olduğunu bilmiyor. Sosyal medya kullanıcılarının %40 ı doğum tarihi bilgisini paylaşıyor. 25
Güvenlik ve Taşınabilir Cihazlar Akıllı telefonlar, tabletler ve dizüstü bilgisayarlar konum bilgisi de dahil olmak üzere farklı kullanıcı bilgilerini topluyor: Apple iphone ve Google log kullanıcılar hakkında veri topluyor. Yasa yaparımı bu veriyi cezai soruşturmalarda kullanabiliyor. 26
5651 Sayılı Kanun İnternet ortamında yapılan yayınların düzenlenmesi ve bu yayınlar yoluyla işlenen suçlarla mücadele edilmesi hakkında kanun (kabul tarihi: 4/5/2007) Madde 1:Bu Kanunun amaç ve kapsamı, içerik sağlayıcı, yer sağlayıcı, erişim sağlayıcı ve toplu kullanım sağlayıcılarının yükümlülük ve sorumlulukları ile internet ortamında işlenen belirli suçlarla içerik üzerinden mücadeleye ilişkin esas ve usulleri düzenlemektir.
Kaynaklar Computer Science Illuminated, Nell Dale, John Lewis, 5 th ediqon FaQh Özavcı, Bilgi Güvenliği - Temel Kavramlar