SİBER BİLGİ GÜVENLİĞİ. ve SAVUNMA YÖNTEMLERİ

SİBER BİLGİ GÜVENLİĞİ ve SAVUNMA YÖNTEMLERİ Prof. Dr. Şeref SAĞIROĞLU Fen Bilimleri Enstitüsü Müdürü Gazi Üniversitesi Mühendislik Fakültesi Bilgisayar Mühendisliği Bölümü ss@gazi.edu.tr

SUNUM ÖZETİ Genel Bakış ve Terminoloji Gündemdekiler Mevcut Durum Analizi Güncel Tehdit ve Tehlikeler Nasıl bir SBG? Öneriler Sonuç ve Değerlendirmeler

Tanım : Siber? TDK : SİBER kelimesi bulunmuyor.. Sanal sıfat 1. sıfat Gerçekte yeri olmayıp zihinde tasarlanan, mevhum, farazi, tahminî 2. matematik Negatif bir sayı üzerinde alınan ve ikinci kuvvetten bir kök taşıyan cebirsel anlatım

Tanım : Siber Güvenlik? Kurum, kuruluş ve kullanıcıların bilgi varlıklarını korumak amacıyla kullanılan yöntemler, politikalar, kavramlar, kılavuzlar, risk yönetimi yaklaşımları, faaliyetler, eğitimler, en iyi uygulama deneyimleri ve kullanılan teknolojiler bütünü olarak tanımlanıyor. Kaynak: ITU-T Recommendation X.1205 Overview of Cybersecurity

Bilgi nedir? Paylaşdığımız? Paylaşmadığımız? Bilinmeyenler mi? Bilinenler mi???????????????

Bilgi? İşlenmiş veridir. Bir konu hakkında belirsizliği azaltan kaynaktır (Shannon). Kişi/kurum/kuruluşlar için önemli ve değerli olan bir kaynaktır ve korunması gerekir. Veri (data), bilgi (information), ve özbilgi (knowledge)

Bilgi? Boşlukta ve zamanda yer kaplar. Gürültü çıkarmadan hareket edemez. Bilginin hareket etmesi için enerji gerekir. Bilgi yaşam ve herhangi bir düzenli etkinlik için gereklidir. Bilgi hem maddesiz biçim; hem biçimsiz maddedir. Işık gibi, bilgi nin de ağırlığı vardır. Bir GB, bir parmak izinden daha az ağırlıktadır. Bilgi zaman içinde hareketli veya donmuş olabilir. Bilgi, bir soruya tatmin edici, belki de rahatsızlık verici cevaptır. Bir taşın ağırlığı ile bunu tanımlamak için gerekli bilgi birbirine eşittir. Bilgi, katı hale sahiptir; donarak katılaşır (depolama). Bilgi, sıvı hale sahiptir; akar (iletişim). Bir yerlerde bilgi hareket eder; evren gümbürder ve gerçeği gürler. Maddeden farklı olarak bilgi aynı anda birden fazla yerde olabilir. El sıkışma bir bilgidir. Bir baş sallama, bir bakış, bir iç çekiş. Bilgi, rastsallık denizinde parlar.

BİLGİ (Veri)? İngilizce karşılığı olarak data, Latince datum (çoğul şekli data ve vermeye cesaret etmek fiilinin geçmiş zamanı, dolayısıyla verilen şey ) Latince data (dedomena) kavramının M.Ö. 300 yıllarında Öklid in bir çalışmasında geçtiği bildirilmektedir. Dilimizde de verilen şey anlamında, veri olarak kullanılmaktadır. Bilişim teknolojisi açısından veri, bir durum hakkında, birbiriyle bağlantısı henüz kurulmamış bilinenler veya kısaca, sayısal ortamlarda bulunan ve taşınan sinyaller ve/veya bit dizeleri olarak tanımlanabilir.

BİLGİ (Bilgi)? Bilgi, verinin belli bir anlam ifade edecek şekilde düzenlenmiş halidir. Veri ve ilişkili olduğu konu, bağlamı içinde bilgi üretecek şekilde bir araya getirilir. İşlenmiş veri olarak da ifade edilebilecek bilgi, bir konu hakkında var olan belirsizliği azaltan bir kaynaktır. Veri üzerinde yapılan uygun bütün işlemlerin (mantığa dayanan dönüşüm, ilişkiler, formüller, varsayımlar, basitleştirmelerin) çıktısıdır.

BİLGİ (Özbilgi)? Tecrübe veya öğrenme şeklinde veya iç gözlem şeklinde elde edilen gerçeklerin, doğruların veya bilginin, farkında olunması ve anlaşılmasıdır. Verileri bir araya getirip, işlemek bilgiyi oluştursa da; özbilgi, kullanılan bilgilerin toplamından daha yüksek bir değer sahip bir kavramdır. Bir güç oluşturabilecek, katma değer sağlayabilecek veya bir araç haline dönüşmek üzere, daha fazla ve özenli olarak işlenmiş bilgi, asıl değerli olan özbilgidir.

Veri-Bilgi-özbilgi? Veri (data), bilgi (information), özbilgi (knowledge) basamaklarıdır. Gerçeklik (reality) ile hikmet (wisdom) arasında gösterilen bu merdivenin basamakları Çoğu durumda her basamak, atlanmadan teker teker geçilir. Yukarıya çıktıkça elimizdeki şeyin miktarı azalırken; değeri artar. Yine yukarıya çıktıkça bir sonraki basamağa adım atmak daha da zorlaşır ya da daha çok çaba ister. Genel olarak bilimin getirdiği yöntemlerden ölçme ile, eldeki gerçeklikten veriye ulaşılır; ispat ile, veriden bilgiye ulaşılır ve kavrayış ile, bilgiden özbilgiye ulaşılır. Bir özbilginin gerçeklik haline dönüştürülmesi de mümkündür. Bunun 0 için yönetim biliminden yararlanılır. 1 0,8 0,6 0,4 0,2 Tehdit Skalası Devlet / Profesyonel Politik/Militan/Kriminal Serseri

Tehdit Skalası Veri Bilgi Özbilgi? 1 0,8 0,6 0,4 0,2 0 Schuler, 2003, data-wisdom Doç. Dr. Şeref Sağıroğlu, YL BBG Ders Notu

Güvenlik? Karşılaşılabilecek tehditlere karşı önlem alma Kişi ve kurumların BT kullanırken karşılaşabilecekleri tehdit ve tehlikelerin daha önceden analizlerinin yapılarak gerekli önlemlerin alınmasını sağlama

Bilgi Güvenliği? Bilginin değerli veya değersiz olduğunu belirlemek veya bilginin taşıdığı değeri ölçmek, en az bilginin kendisi kadar önemlidir. Bilgiyi değerlendirirken bilginin kalitesini gösteren özelliklere bakılması gerekir. Doğruluk, güncellik, konuyla ilgili olma, bütünlük ve öz, gereksinimlere uyum gösterme, iyi sunulma ve fiziksel ve idrak yolu ile erişim gibi ölçütler bilginin kalitesini belirleyen etmenlerden bazılarıdır. Bilginin çok önemli bir varlık olması, ona sahip olma ile ilgili bazı konuların düzenlenmesi ve yeni şartların getirdiği özelliklere göre ayarlanmasını gerekmektedir. Bilgi en basit benzetme ile para gibi bir metadır.

Bilgi Güvenliği? Dünya gündeminde bir konudur. Bilginin bir varlık olarak hasarlardan korunması Doğru teknolojinin doğru amaçla ve doğru şekilde kullanılarak bilginin her türlü ortamda istenmeyen kişiler veya sistemler tarafından elde edilmesini önleme

Bilgi Güvenliği? Kurumsal Bilgi Güvenliği Bilgiye sürekli olarak erişilebilirliğin sağlandığı bir ortamda, bilginin göndericisinden alıcısına kadar gizlilik içerisinde,bozulmadan, değişikliğe uğramadan ve başkaları tarafından ele geçirilmeden bütünlüğünün sağlanması ve güvenli bir şekilde iletilmesi süreci

Siber Bilgi Güvenliği? Bilgi Güvenliği Bilgi Güvenliği nerede sağlanmalı? Üretim Erişim İşleme Depolama Aktarma Yok etme

Siber Güvenliğin Temel Hedefi? Kurum ve kuruluşların veya en genel anlamda ulusların bilgi varlıkları ve kaynaklarını hedeflenen amaçlar doğrultusunda organizasyon, insan, finans, teknik ve bilgi değerlerini dikkate alarak, varlıkların ve kaynakların başlarına KÖTÜ BİR ŞEYLER GELMEDEN korumaktır. Kaynak: http://www.itu.int/itu-d/asp/cms/events/2009/pacminforum/doc/background%20note-theme-4- ICT%20Apps%20&%20Cybersecurity.pdf

Tanım (ABD Başkanı Sn. Obama) Ülke olarak karşılaşılan çok ciddi ekonomik ve ulusal güvenlik sağlama hedeflerinden birisi olup hükümet veya ülke olarak henüz tam anlamıyla önlem alamadığımız bir husustur. Amerika nın sayısal altyapısını kapsamlı olarak güven altına alma yaklaşımlarının geliştirilmesi ve bilgi ile haberleşme altyapısının savunulmasına yönelik olarak federal çözümlerin gözden geçirilmesi emrini verir. "21. yüzyılda Amerika nın ekonomik zenginliği, siber güvenliğe bağlı olacaktır." Mayıs 2009

Ülkemizdeki Tanımlar.. Ulaştırma Bakanı Sn. Binali Yıldırım bilgi sistemi güvenliğinde ortak akıl ve ortak hareketle hattı müdafaa yerine sathı müdafaanın başarılı bir şekilde gerçekleştirilme girişimi, devletin birinci dereceden ilgilenmesi gereken bir mesele olarak görüyoruz. siber savaş tehdidine karşı hazırlıklı olmanın, kurumların bilgi sistemi güvenliği olaylarına müdahale yeteneği ile kurumlar arası koordinasyon yeteneğini tespit ederek, alınacak önlemler ve bilincinin arttırılmasını amaçlamak 25-28 Ocak 2011

İNTERNET Eylül 1971 Kaynak: http:// www. physorg.com/news151162452.html

İNTERNET Eylül 1971 Kaynak: http:// www. physorg.com/news151162452.html

İNTERNET Eylül 1971 Kaynak: http:// www. physorg.com/news151162452.html

Kaynak: http:// www. physorg.com/news151162452.html İNTERNET

Faydalar 1. Zamandan bağımsızlık 2. Mekandan bağımsızlık 3. Hız 4. Verimlilik 5. Gelişim/Değişim 6. Hayatı kolaylaştırıyor 7. Yönetmeyi kolaylaştırıyor 8. Denetlemeyi kolaylaştırıyor

Zararlar 1. Bilmeyenler için kontrolü zor.. 2. Açıklarını bilenleri öne çıkarıyor.. 3. Kötülere çok yardımcı oluyor.. 4. Bilmeyenlere hayatı dar ediyor.. 5. Bağımlılık yapıyor.. 6. Kişisel gelişimi kısmen olumsuz etkiliyor.. 7. Gelişmemiş toplumları köleleştiriyor..

60 saniyede neler oluyor? -1 168 milyon e-posta gönderiliyor. 1500 den fazla blog iletisi yayımlanıyor. 70 den fazla domain adı alınıyor. Flicker üzerinden en az 6600 fotograf paylaşılıyor. Skype üzerinden 370000 dakika konuşuluyor Scribd üzerinden en az 1600 okuma gerçekleşiyor. Pandora da 13000 saatten fazla müzik akıyor. 13 000 IPhone uygulaması indiriliyor..

60 saniyede neler oluyor? - 2 Facebook En az 695000 Facebook durum güncellemesi yapılıyor. 79364 duvar iletisi yazılıyor. 510040 yorum yapılıyor. Twitter 320 Twitter hesabı açılıyor En az 98000 Tweet atılıyor. 13000 fazla iphone uygulaması indiriliyor.

60 saniyede neler oluyor? - 3 Youtube 600000 den fazla yeni görüntü yayımlanıyor. Dünya genelinde YouTube'de kalma süresi 25 saatten fazla. Yahoo en az 100 soru ve 40 cevap Yahoo da akıyor. LinkedIn LinkedIn e 100 den fazla profil ekleniyor.

Siber Ortamlar : 1 1. e-li ve m-li ortamlar yaygınlaşıyor.. 2. Uygulamalar artıyor.. 3. Tehdit, tehlikeler, saldırılar artıyor.. 47870, 49003, 50999, 54256 (nvd.gov), 4. Yeni çözümler geliştiriliyor.. 5. Bilinmesi gerekenler çoğalıyor.. 6. Yapılacak ve kontrol edilecek parametreler sürekli artıyor.

Siber Ortamlar : 2 yüksek Daha kötü Saldırganlar tarafından ihtiyaç duyulan teknik bilgi ve yetenekler Kötü haber Sofistike saldırılar düşük 1975 1980 1985 1990 1995 2000 2005 2010 2015

Siber Ortamlar : 3 Fiziksel Güvenlik Haberleşme Güvenliği Yayılım Güvenliği Bilgisayar Güvenliği Ağ Güvenliği Bilgi Güvenliği Donanım Güvenliği Yazılım Güvenliği İşletim Sistemi Güvenliği Sosyal Ağ Güvenliği Mobil Cihaz Güvenliği Veri Tabanı Güvenliği Web Teknolojileri Güvenliği Web Uygulama Güvenliği Protokol Güvenliği Sunucu Güvenliği IPv6 Güvenliği Kablosuz Ağ Güvenliği Siber Güvenlik Web tarayıcı güvenliği Güvenli yazılım geliştirme Steganografik güvenlik SCADA Güvenliği RFID Güvenliği Kritik Altyapı Güvenliği Endüstriyel Sistem Güvenliği Google Güvenliği Kripto analiz Steganaliz Şifre Güvenliği Siber savaş Savaş oyunları

Siber Ortamlar : 4 31.01.2011 Rekabet Kurumu Resmi Sitesi 07.02.2011 KKTC Başbakanlık resmi sitesi, KKTC Çalışma ve Sosyal Güvenlik Bakanlığı Toplumcu Demokrasi Partisi resmi sitesi, CTP resmi sitesi, KKTC Sayıştay resmi sitesi 08.02.2011 Gümrüklerde 2 gün süren ve 2 milyar dolarlık dış ticaretin durmasına yol açan bilgisayar arızasını siber saldırı açısından incelemeye alındı.

Siber Ortamlar : 5 www.anayasa.gov.tr www.diyanet.gov.tr www.maliye.gov.tr www.mehmetcik.org.tr www.dyp.org.tr www.dicle.edu.tr www.toyota.com.tr www.hyo.gazi.edu.tr www.nef.balikesir.edu.tr www.ktu.edu.tr www.konyamuftulugu.gov.tr www.siirtsaglik.gov.tr www.canakkalesehitleri.com www.orhangencebay.org www.kocaelispor.org.tr www.kizilay.org.tr www.diyarbakirmuftulugu.gov.tr www.konyamuftulugu.gov.tr www.bilgiguvenligi.org.tr

Siber Ortamlar : 17 BT teknolojileri kullanılarak hayatı yaşanılabilir hale getirmek, Gelişmek, Bilgiye sahip olmak, Kontrol etmek, Kontrol altında tutmak, Yönetmek, Geleceği şekillendirmek, Zenginleşmek Hakimiyet kurmak, Köleleştirmek,..

Siber Ortamlar : 18 Ulusal stratejileri desteklemek amacıyla; bilgi üstünlüğü sağlamak yanıltıcı bilgileri yaygınlaştırmak bilgi sistemlerine hasar vermek kendi bilgi sistemlerini korumak ve desteklemek Ülkelerini ve toplumlarını korumak

Siber Ortamlar : 19 Bilgi savaşlarına hazır olmak; Yüksek tepelerden daha uzağı görenin avantaj sağladığı mağara devrinde de vardı.. Çağımızda ise bilginin üretimdeki ağırlığının artması Yapıların zincir/hiyerarşiler değil ağ olarak bağlanması Savaşlarda cephelerin çizgi/vücutlardan, ağ/beyinlere taşınması Ülkelerini ve toplumlarını korumak için her yol mübah

Ulusal Askeri Stratejiler doğrultusunda; 15 Kasım 1940 da 500 savaş uçağı İngiliz Coventry şehrini bombaladı. Kod adı Ay Işığı Sonatı (Ludwig van Beethoven) Bu saldırı Enigma kullanılarak şifrelenmişti. Yüzlerce ölü ile beraber şehrin üçte ikisi yıkıldı. Kendi bilgi ve bilgi sistemlerimizi etkin bir şekilde kullanırken Siber Ortamlar : 20 Bilgi Savaşları.. Amaç savaşı kazanmak

Siber Ortamlar : 21 Bilgi Savaşları.. Coventry Churchill in zor kararı

Siber Ortamlar : 22 Bilgi Savaşları.. 1952 de Amerikan Ulusal Güvenlik Ajansı (NSA) Amerikan karar vericilere ve askeri liderlere zamanında bilgi sağlamak için Başkan Truman tarafından kurulmuş 1960'da Rusya'ya iltica eden iki NSA görevlisi ABD'nin 40 ülkenin haberleşmesini dinlediğini açıklamışlardır. Kaynak: Introduction to History of NSA, http://www.nsa.gov/history/

Siber Ortamlar : 23 Bilgi Savaşları.. ABD İç Savaşı sırasında General Stuart Telgraf Hatlarını dinletti süper bilgisayarlar (1974) William Gibson ilk kez cyberspace (siberalan ) sözcüğünü kullandı (1992) Pentagon Bilgi Savaşları ilk Top Secret Yönergesi : TS 3600 (1994) ABD Haiti operasyonunda ağ saldırılarını kullandı (1995) FBI ın en çok arananlar listesine ilk kez bir hacker girdi. (1997) ABD Hava Kuvvetleri Bilgi Savaşları Laboratuvarı kuruldu.

Siber Ortamlar : 24 Bilgi Savaşları.. (1997) ABD nin İlk geniş çaplı siber saldırı tatbikatı Eligible Receiver (1998) ABD Yugoslav hava radarlarına sahte hedefler yerleştirdi. (1998) Halen süren siber casus avı Operasyon Moonlight Maze başladı (2000) Alman İçişleri Nazi sitelerine karşı DDOS saldırıları gerçekleştirebileceklerini söyledi. Alınan tepki üzerine bu demeç geri çekilmek zorunda kaldı. (2001) AB, ABD nin baskılarına rağmen GPS e rakip Galileo yu finanse etme kararı aldı (2002) New York Devlet Üniversitesi ordu için beynine yerleştirilen devrelerle kontrol edilebilen canlı fare projesini açıkladı.

Siber Ortamlar : 25 Bilgi Savaşları.. Operasyon Moonlight Maze 1998-2000 Estonya 2007 Tüm devlet web siteleri Gürcistan 2008 Tüm devlet web siteleri ve başkanın sitesi USA Elektrik Ağı 2003-2009 Slammer, Ohio, Nükleer Santral, 2003(1), 2006(2), Elektrik Ağı 2009(1) USA-İUA videoları (2009) Iraklı Direnişçiler ticari yazılımlarla sisteme saldırdı. Sayısal atak 2009-2010, Stuxnet Kurtçuk, Siemens, SCADA, en kapsamlı saldırı LulzSec (ABD Senatosu) Ayyıldız TİM, Cyber Warrior, RedHack, Coldhacker

Siber Ortamlar : 26 Saldırılar Sürüyor.. Gözaltına alınan 4 saldırganın (hacker) bilgisayarlarında insansız hava araçları Heronlara ait teknik bilgiler çıktı. 'sanal gerillalar' ve 'coldhackers', 'Heron düşüren hackerlar' İHA'lara ait yer kontrol sistemi ve sinyalizasyon sistemlerine ilişkin teknik şemalar olduğu bildirildi. Şüphelilerin savcılık ifadesinde ise bu konuyla ilgili olarak, Heronlar üzerinde çalışma yaptıklarını, frekans sistemine girmeyi başardıktan sonra bozarak düşürmeyi amaçladıkları

Siber Ortamlar : 27 Bilgi Savaşları.. Bilgiye her yerden erişilebiliyor.. Arama motorları var.. Sosyal ağlar.. Sanal ortamda bir savaş var.. İnsan beyni okunabiliyor.. Akla hayale gelmedik yaklaşımlar geliştiriliyor.. İzleme hat safhada..

Siber Ortamlar : 28 Sanal savaş denemesi Dünyanın güvenlik açısından çok iyi dersler çıkaracağı en iyi örnek Kendisini/diğer ülkeleri nasıl etkileyecek Geliştirilen teknolojileri test etme Facebook ve Google gibi teknolojilerini ne kadar iyi kullanabiliyor testi İnternet ne kadar kontrol edebilir / edilemez.. Farklı ülkelere farklı mesajlar verme

Siber Ortamlar : 29 STUXNET Haziran 2011 Sofistike kurtçuk ve içerisinde Siemens PLC rootkit, Pek çok sıfır-gün açılık, Sisteme ağ ve sürücü enjeksiyonu yapabiliyor Injects network and removable drive infection, peer-to-peer güncelleme, bir komu ve denetim arabirimi Siemens PLC ye genel kod Frekans çevirici sürücüsünü yanlış rapor üretmeye zorlar ve sürücüleri kapasitelerinin üzerinde çalıştırır. En fazla zarar ise İran a verildi.

Siber Ortamlar : 29 STUXNET Organizasyon Yapısı Stuxnet çok sayıda.dll dosyası 32 Exports (Fonksiyonel hedefler için) 15 Kaynak (Fonksiyonel metotlar)

Siber Ortamlar : 29 STUXNET Neler Öğretti Türünün ilk örneği Pek çok sıfır-gün açıklık içeriyor İki Önemli firmanın geçerli sertifikaların çalışmış ve burada kullanılmış olması Endüstriyel kontrol sistemlerine ilk saldırı Kodu operatörden saklama Gerçek bir Sabotaj örneği İlk PLC rootkit Siber warfare için ilk örnek Stuxnet güvenli kod içeren sistemleri etkilemiyor 19790509, Habib Elghanian

Ezber bozan bir yaklaşım Altyapıya saldırı için planlanmış Önemli sistemlerin korunaklı olmadığı Kolaylıkla sistemlere zarar verilebileceği Bir ülkenin nükleer programını durdurabilecek kadar önemli Spekülasyon ile ülkelerin prestijlerine zarar verme Siber Ortamlar : 29 STUXNET Neler Öğretti

Etkilenen Sistemler

Etkilenen Sistemler USB sürücülerle yayılma

WAN IP Etkilenen Organizasyonlar

Stuxnet den Dünya Çapında Etkilenme

Siber Ortamlar : 30 Kritik Altyapılar AB Su Gıda Sağlık Enerji Finans Ulaşım Sivil Yönetim Bilgi ve İletişim Uzay ve Araştırmaları Kimyasal ve Nükleer Endüstri Kamu Düzeni ve Güvenlik Alanı ABD Su Enerji Ulaşım Tarım ve Gıda Kolluk Hizmetleri Bilgi ve İletişim Bankacılık ve Finans Bayındırlık Hizmetleri Federal ve Yerel Hizmetler Acil Hizmetler (sağlık, itfaiye, vb.) Kaynak: Brunner, E. M., Suter, M., Güvenlik Çalışmaları Merkezi, İsviçre

Endüstriyel İletişim Protokolleri ve Güvenlik Açıklıkları ABD Enerji Bakanlığı Elektrik Dağıtımı ve Enerji Güvenliği Ofisisinin, ulusal enerji dağıtım sisteminin güvenlik ve güvenilirliğini iyileştirmek amacıyla başlattığı Ulusal SCADA Test Ortamı (NSTB: The National SCADA Test Bed ) programı kapsamında Idaho Ulusal Laboratuarınca (INL: Idaho National Laboratory) hazırlanan rapora gore: NSTB programı kapsamında, Amerika Birleşik Devletleri Enerji Bakanlığı Elektrik Dağıtımı ve Enerji Güvenliği Ofisine sunulmak üzere hazırlanan Denetim Sistemleri Değerlendirmelerinde Gözlenen Genel Güvenlik Açıklıklarının %50 ye yakının İletişim Protokollerinden kaynaklı!

Endüstriyel İletişim Protokolleri ve Güvenlik Açıklıkları CSSP (Control Systems Security Program) kapsamında sistem üreticilerine ve işletmecilerine ait değerlendirmeleri içeren CSSP raporunda servis, uygulama ve yapılandırmaya göre güvenlik problemleri kategorisinde endüstriyel denetim sistemlerinin açıklıkları: 7% 4% 4% 4% 26% Zayıf Ağ Protokolü Uygulamaları %26 Sistem Bilgisinin Açığa Vurulması %21 Yetersiz Bilgilendirme %18 Yamalama Yönetimi zayıflığı %8 8% Ağ Bileşimi Yapılandırmasındaki Kusurlar %8 Kodlama Kalitesinin Zayıflığı %7 8% WEB Servislerinin Açıklığı %4 21% Kullanıcı İmtiyazı İhlalleri %4 18% Ağ Tasarımındaki Açıklar %4

API 1164 IEEE 1402 AGA 12 NERC CIP ISA TR99-01 ISA TR99-02 PCSRF IEC 6210 IEC 62351 SCADA/DDS Güvenlik Standartlarının Aralarında Kapsam Karşılaştırması GÜVENLİK POLİTİKALARI Bilgi Güvenliği Politikaları AÇIKLIK VE RİSK DEĞERLENDİRMESİ ORGANİZASYON GÜVENLİĞİ Bilgi Güvenliği Altyapısı Üçüncü Şahıs Erişim Güvenliği Dış Kaynak Kullanımı VARLIK SINIFLANDIRMA VE DENETİM Varlıkların Sorumluluğu Bilginin Sınıflandırılması PERSONEL GÜVENLİĞİ İş Tanımı ve Kaynak Güvenliği Kullanıcı Eğitimi Güvenlik Vakalarını ve Sorunları Karşılama Personel Niteliği

ISO 27002 ve SCADA/DDS Güvenlik Standartlarının Karşılaştırması 16% 14% 12% 10% 8% 6% 4% 2% 0% ISO 27002 SCADA Standartları

Siber Ortamlar : 31 Siber Savaşlar Casusluk Manipülasyon Propaganda İletişim Virüs Truva atları Sistem bozma Bilgi kirliliği Sistem kilitleme Dolandırıcılık Siber bombalarla sabotaj

Siber Ortamlar : 32 Siber silahlar Hizmetin engellenmesi saldırıları (DoS, DDoS) Bilgisayar virüsleri Kurtçuklar (worm) Truva atı (trojan) Klavye izleme (key logger) yazılımları İstem dışı ticari tanıtım (adware) yazılımları Casus / köstebek (spyware) yazılımlar Yemleme/Sazan avlama (phishing) İstem dışı elektronik posta (spam) Ağ trafiğinin dinlenmesi (sniffing ve monitoring)

Hafıza Kartları (Memory Stick) Hafıza kartını düşürme Pazarda satma Siber Ortamlar : 33 Siber Savaş Silahları Ödünç alma/verme

Sisteme yetkisiz erişim Sistemin bozulması Hizmetlerin engellenmesi Bilgilerin Değiştirilmesi Yok edilmesi İfşa edilmesi Çalınması Siber Ortamlar : 34 Siber Tehditlerin Amaçları

Siber Ortamlar : 35 İyilerin ve Kötülerin amansız savaşı Saldıran Taraf Savunan Taraf

Siber Ortamlar : 36 Saldıran Taraf Saldırılar artmakta Saldırı bilgi seviyesi hızla azalmakta Kötücül kodlar gelişerek ve değişerek hızla yayılmakta Organize sanal suç örgütlerini kurma İyilerden hep bir adım önde

Siber Ortamlar : 37 Savunan Taraf Güvenliğin en zayıf halkası Bilgisizlik, ilgisizlik, hafife alma, %100 Güvenliğin sağlanamaması %99,9 Korunma + %0,1 Korunmasızlık=%100 güvensizlik Bilgi birikimi (Yatırım, Eğitim ve zaman) Kişilere güven duygusu E-dünyanın doğasında olan güvensizlik

Siber Ortamlar : 38 Siber Bilgi Güvenliği? Üretim Erişim İşleme Depolama Aktarma Yok etme Düşük DEĞER Yüksek Bireysel Kurumsal Ulusal Uluslararası Düşük ÖNEM Yüksek

Siber Ortamlar : 39 Saldırılar artık kapsamlı Çoklu saldırılar popüler SALDIRILAR 1 Senaryoları yazılmış ve denenmiş, Karma yapıları içeriyor.. Bilinmeyenler /düşünülmeyenler.. Sürekli yenilikler içeriyor.. Takip gerektiriyor.. Yüksek bilgi birikimi gerektiriyor..

Siber Ortamlar : 40 SALDIRILAR 2 Kullanıcı Adı: Sazan Şifre : 12345 Kredi Kartı :01289 Sazan Avcısı Sazanlar

1. Casus yazılım sayısı artıyor. 2. Farklılaşıyorlar. 3. Kendilerini saklayabiliyorlar, görünmez olabiliyorlar. Siber Ortamlar : 41 SALDIRILAR 3 4. Silseniz bile tekrar kopyalayabiliyorlar 5. Belirli bir süre var olup sonra kendilerini yok edebiliyorlar. 6. 38 grupta bunları sınıflandırdık.

Mükemmel bir arama motoru En çok tercih edilen arama motoru Mükemmel hizmetler veriyor Academics, books, translation, blogs, gmail, documents, mobil, talk, maps, IPv6, Google+, Wallets, Değeri 200 Milyar Dolar FAKAT Siber Ortamlar : 42 Google -1

Siber Ortamlar : 43 Google -2 Dünyanın en iyi casus yazılım sistemi Dünyanın bilgisini topluyor.. Ülkesine/ülkelere hizmet eden en iyi ortam Bizi bizden (ülkeleri, ülkelerden) daha iyi analiz edebiliyor.. Kelime/Cümle/Resim/Ses araması yapabiliyor.. İstihbarat için vazgeçilmez bir ortam.. Tabii ki bu sistemi iyi kullananlar için.. encrypted.google.com hizmet veriyor.. Güvenlik açığı oluşturabilecek hususları kapatıyor..

Google Academics (bilimsel çalışmalarımız?) Google Docs (oluşturulan dokumanlar?) Gmail (kimlerle yazışıyorsunuz?) GTalk Siber Ortamlar : 44 Google -3 (kimlerle konuşuyorsunuz?)

Blog (ne yazıyorsunuz?) Google+ (bağlantılarınız?) Wallet Siber Ortamlar : 45 Google -4 (finansal durumunuz?)

Picasa (resimleriniz?) Google Reader (neyi/kimi takip ediyorsunuz?) Arşiv Hizmeti Siber Ortamlar : 46 Google -5 (verileriniz neler?)

Arama Motorları kişisel, kurumsal ve ulusal bilgilere erişim açık olan bilgilere erişim gizli olan bilgilere erişim açık istihbarat için en iyi ortam... Siber Ortamlar : 47 Google -6

2 Aralık 1998 23:04:10 tarih ve saatinde Google in ilk görüntüsü http://wayback.archive.org/web/19960101000000*/http:////www.google.com

Google arama motoru hizmetinin yanı sıra 40 a yakın daha hizmet sunmaktadır. AdSense AdWords Google Akademik Google Analytics Google Apps Google Base Google Blog Arama Blogger.com Google Checkout Chrome Web Store Google Code Google Dokümanlar Google Gears Gmail Google ebookstore Google Friend Connect Google Patents Google SketchUp Google Voice Google+ Google Gruplar Google Görsel Arama Google Haberler Google Arama Trendleri Google Kitaplar Knol Google Map Maker

Google arama motoru hizmetinin yanı sıra 40 a yakın daha hizmet sunmaktadır. Google Maps Google Paket Panoramio Picasa Google DNS Google Reader Site haritası Google Takvim Google Talk Google Toolbar Google Çeviri Google Trends Google Video Google Body Google Wallet YouTube İGoogle

GOOGLE MÜHENDİSLİĞİ

GOOGLE MÜHENDİSLİĞİ

GOOGLE MÜHENDİSLİĞİ

Siber Ortamlar : Sosyal Ağlar Kimlikleri Taklit Etme İstenmeyen Epostalar (Spam) ve Bot Saldırıları Kötü Amaçlı Sosyal Ağ Uygulamaları Siteler Arası Kod Çalıştırma (XSS) Siteler Arası İstek Sahteciliği (CSRF) Saldırıları Kimlik Hırsızlığı Casusluk Sahte Linkler/Bağlantılar Bilgi Toplama Saldırıları

Siber Ortamlar : Çözümler Standartlar daha da spesifik.. Kritik yapıların güvenliği mercek altında.. Yeni çözümler kullanılıyor (Diyot Yaklaşımı).. Kısıtlı kullanım sunan işletim sistemleri (JeOS) Şifre (password) yerini Deyim veya Cümle Şifre (Pass-sentence).. Bilgi Güçtür! yerine Bilgi Güvenliği Sağlandığı Ölçüde Güçtür! Bilgi üretilmeden korunamaz!

Nasıl Bir Siber Bilgi Güvenliği? ÖNCELİKLE.. Konu ile ilgili yüksek farkındalığın olması ve konu uzmanı yöneticilerin bulunması Ağ bilgi sistemlerinin güvenliğinin daha ciddi olarak ele alınması gerekiyor. Neyin korunacağını bilmek en önemli adım. Nasıl korunacağını veya korunamayacağını bilmek (risk yönetimi) işin özü. İzleme ve denetim ise başarının anahtarıdır İnsan-Eğitim-Teknoloji birlikteliğini sağlama püf noktası.

Nasıl Bir Siber Bilgi Güvenliği? DAHA SONRA.. Bu işlemleri koordine edecek bir birimin kurulması, Siber suçlarla mücadele biriminin kurulması veya mevcut yapıların resmileştirilmesi Ulusal stratejilerin kısa sürede hayata geçirilmesi Farkındalık-eğitim çalışmalarını arttırma, Uluslararası BYGS standartlarının BT hizmeti veren devlet kurumlarında zorunlu hale getirilmesi Uluslararası işbirliğinin arttırılması Bu konuda yapılacak olan ar-ge çalışmaları desteklenmeli Güncel tehditleri takip edip, duyuracak ve giderecek ekiplerin güçlendirilmesi veya bir yapı altında toplanması ve hizmetlerin verilmesi

Nasıl Bir Siber Bilgi Güvenliği? Korunma Yöntemleri KISACA.. Ulusal politika ve strateji geliştirilmesi Yasal çerçevenin oluşturulması Teknik tedbirlerin alınması Kurumsal yapılanmanın belirlenmesi Ulusal işbirliği ve koordinasyonun sağlanması Kapasitenin geliştirilmesi Farkındalığın arttırılması Uluslararası işbirliği ve uyumun sağlanması Konunun sahibinin bilinmesi ve oluşturulması

Siber Güvenlik Kültürünün Oluşturulması Kaynak: ITU

Bütüne Bakabilme Gizlilik Giriş kontrolü Kimlik doğrulama kanıtlama Güvenirlik Erişilebilirlik Emniyet Kayıt Tutma İnkar edememe Bütünlük

Sızma Testleri Yap-Boz Gösterimi Nasıl bir KBG? Fiziksel Güvenlik Testleri Ağ Cihazları Testleri Güvenlik Duvarı Testleri İşletim Sistemleri Testleri Hizmet Aksattırma Testleri E-posta Güvenlik Testleri Uygulama Yazılımları Testleri Güvenlik Bilinci Testleri Saldırı Tespit Sistemleri Testleri Açık Port Bulma Testleri Sosyal Mühendislik Testleri Web Uygulama Testleri Çevirmeli Ağ Testleri Şifre Sağlamlık Testleri Kablosuz Ağ Testleri

Sonuçlar ve Değerlendirmeler Süreci Doğru Yönetme.. Bilgi Güvenliği ürün veya hizmet değildir. İnsan faktörü, teknoloji ve eğitim unsurları üçgeninde yönetilmesi zorunlu olan karmaşık süreçlerden oluşan, süreklilik arz eden bir süreçtir. Üç unsur arasında tamamlayıcılık olmadığı sürece yüksek seviyede bir güvenlikten bahsedebilmek mümkün değildir. Yüksek seviyede E-Devlet güvenliğinden bahsedebilmek için Kurumsal ve Bireysel anlamda Bilgi Güvenliğinin gerekleri yerine getirilmelidir.

Denetim.. Korunma Yöntemleri Uygulamaları periyodik olarak uygun test yöntemleri, araçları veya teknikleri kullanarak denetleme, Açık var ise bunları kısa sürede giderme. Farklı denetim uzmanları veya kurumlarından faydalanma

Bilinçlendirme Korunma ve Eğitim.. Yöntemleri Kayıplarının %80 inden fazlası yazılımsal veya donanımsal değil insan hatası veya kastı ile gerçekleşen durumlardır. Teknoloji sorunu olarak bakmamak gerekiyor. En zayıf halkası ise insandır. Kullanıcıları güvenli internet ve bilgisayar kullanımı konusunda bilinçlendirilme ve eğitme Ortak Bilgi Güvenliği Bilinci oluşturma En zayıf halkayı güçlendirme Farkındalığı arttırma

SORULARINIZ Gazi Üniversitesi Mühendislik Fakültesi Bilgisayar Mühendisliği Bölümü ss@gazi.edu.tr