Professional Documents
Culture Documents
1. Giriş :
3. Ali banka kartından para çekmek için bir ATM makinesine gider.
4. Son olarak, Ali ders notlarını okumaya başlamadan önce bilgisayarını parolası ile açar.
Ali gibi, günlük telaşımız içerisinde, pek çok güvenlik ile alakalı karar veriyoruz. Pek çoğumuz
bunlar hakkında pek düşünmüyor bile. Bu kararlar gerçekten gerekli mi? Yeterli önlem alıyor
muyuz?
1. Fiziksel Güvenlik
2. Dijital Güvenlik
Fiziksel güvenlik “somut” değerleri korumak içindir. Son zamanlarda gelişmiş bir ihtiyaç
değildir. Dijital Güvenlik ise dersimizin bu kısmının içeriğini oluşturacaktır.
Bilgi güvenliği için işleri daha zor yapmak üzere, bilgi teknolojilerinin şu karakteristikleri
vardır:
Güvenlik ile ilgili olarak değerlendirilmesi gereken 3 önemli ölçüt söz konusudur.
Engelleme
Tespit Etme
Tepki verme
Örnek olarak, kapınızdaki bir kilidi ve alarmı düşünün. Kilit engelleme sağlarken, kapıdaki
alarm sadece bir saldırı olduğunda bunu tespit edebilir. Polisi aramak ise bir tepki verme
eylemidir. Unutmayın ki tepki vermek olmaksızın tespit anlamsızdır ve tepki verme sadece bu
iki ölçünün birbirine bağlanması ile alakalı bir durum tespit ettiğinizde anlamlıdır. Ayrıca
unutmayın ki engelleme bazı, zararın telafi edilemez olduğu durumlarda tek şansımızdır.
Bilgi Güvenliği ile ilgili olarak çok önemli 6 unsur vardır ve bu unsurlar mutlak suretle
değerlendirilmelidir.
Gizlilik
Bütünlük
Erişilebilirlik
Kimlik kanıtlama
İnkâr edememe
Mevcudiyet
Gizlilik askeri alanda çok derin bir öneme sahiptir ve tarihsel olarak insanlar güvenlik
kelimesini duyduklarında ilk akıllarına gelen şeydir. Fakat modern iş yaşamında bütünlük ve
mevcudiyet genel olarak gizlilikten çok daha önemlidir.
Bazı kurumlar (Microsoft, Google, vs.) bedava e-posta hizmeti sunarlar. Bu hizmetler
genelde her dakika binlerce e-posta hesabı için başvuru yapan 'bot’lardan zarar
görmektedirler ve bu durum normal kullanıcılara hizmet verilmesini engellemektedir. Çözüm
bilgisayar ile insan arasındaki farkı ayırt edebilen bir sistem bulmaktır, bu sayede insanlar
kayıt olabilmeli, otomatik yazılımlar olamamalıdır. [1]
Bir Captcha ("Completely Automated Public Turing Test Computers and Humans Apart"
kısaltması), tam olarak bunu yapar. Aşağıdaki resimde Üniversitemiz Öğrenci Bilgi Sistemine
girişte kullanılan bir captcha örneği bulunmakta, bilgisayarlar tarafından okunamayan, fakat
insanların anlayabildiği deforme edilmiş bir metin.
1.1 Bilgi Güvenliği Unsurlarının Yönetimi
TSE-17799 “Bilgi Güvenliği Yönetim Standardı” belgesinde, gizlilik, “bilginin sadece erişim
hakkı olan yetkili kişilerce erişilebilir olmasının temini” olarak; Bütünlük; “Bilgi ve bilgi işleme
yöntemleri ile veri içeriğinin değişmediğinin doğrulanması” olarak, Erişilebilirlik; “Yetkili
kullanıcıların ihtiyaç duyulduğunda bilgi ve ilişkili varlıklara erişme hakkının olmasının temini”
olarak tanımlanmıştır.
Sorumluluk: belirli bir eylemin yapılmasından kimin veya neyin sorumlu olduğunu belirleme
yeteneğidir. Tipik olarak etkinliklerin kayıtlarını tutmak için bir kayıt tutma sistemine ve bu
kayıtları araştıracak bir hesap inceleme sistemine ihtiyaç vardır. Erişim denetimi, bir kaynağa
erişmek için belirli izinlerin verilmesi veya alınması olarak tanımlanabilir.
Bir bilgi varlığı zaman içerisinde çeşitli değişikliklere (bozulma, yenileme, değiştirme,
güncelleme) maruz kalabilmektedir.
• Olayların ortaya çıkma ihtimallerine karşı var olan savunma zayıflıkları tespit edilir ve
karşılaşılabilecek tehditlerin ihtimalleri hesaplanır.
Güvenlik süreçleri ve saldırılara tepkiler aşağıdaki şekilde olduğu gibi gösterilir. [2]
Önleme, güvenlik sistemlerinin en çok üzerinde durduğu ve çalıştığı süreçtir. Bir evin
bahçesine çit çekmek, çelik kapı kullanmak gibi güncel hayatta kullanılan emniyet önlemleri
gibi, bilgisayar sistemlerine yönelik tehdit ve saldırılara karşı, sistemin yalıtılmış olması için
çeşitli önlemler geliştirilmektedir.
• Kullanılan şifrelerin tahmininin zor olacak şekilde belirlenmesi, bu şifrelerin gizli tutulması ve
belirli aralıklarla değiştirilmesi,
• İnternet üzerinden indirilen veya e-posta ile gelen dosyalara dikkat edilmesi,
• Gizli veya önemli bilgilerin e-posta, güvenlik sertifikasız siteler gibi güvenli olmayan yollarla
gönderilmemesi,
Saptama: Sadece önleme ile yetinilseydi, yapılan çoğu saldırıdan haberdar bile olunamazdı.
Saptama ile daha önce bilinen veya yeni ortaya çıkmış saldırılar, rapor edilip, uygun cevaplar
verebilir.
• Güvenlik duvarları, saldırı tespit sistemleri, ağ trafiği izleyiciler, kapı (port) tarayıcılar, gerçek
zamanlı koruma sağlayan karşı virüs ve casus yazılım araçları, dosya sağlama toplamı
(checksum) kontrol programları ve ağ yoklayıcı (sniffer) algılayıcıları, saptama sürecinde
kullanılan en başta gelen yöntemlerden bazılarıdır.
Karşılık verme, güvenlik sürecini tamamlayan önemli bir halkadır. Saldırı tam olarak
önlenmese bile; sistemin normal durumuna dönmesine, saldırıya sebep olan nedenlerin
belirlenmesine, gerektiği durumlarda saldırganın yakalanmasına, güvenlik sistemi açıklarının
belirlenmesine ve önleme, saptama ve karşılık verme süreçlerinin yeniden düzenlenmesine
olanak verir.
Saldırı tespit edilince yapılması gereken işlerin, daha önceden iyi bir şekilde planlanması, bu
sürecin etkin bir şekilde işlemesini, zaman ve para kaybetmemeyi sağlayacaktır. Yıkım
onarımı (disaster recovery), bu aşama için gerçekleştirilen ve en kötü durumu ele alan esaslı
planların başında gelir.
2. Verilerin Sınıflandırılması :
Normal hayatta olduğu gibi bilgisayar dünyasında da veri farklı önem derecelerine sahiptirler.
Bilgisayarda bulunan veri, temelde 4 farklı sınıflandırmaya tabiidir.
Açık (Public)
Hassas (Sensitive)
Özel (Private)
Gizli (Secret)
Başkalarının eline geçmesinde sakınca olmayan veridir. Kişilerin veya kurumların reklam
verisi, kampanya bilgileri gibi belgeler bunlara örnektir.
2.2 Hassas (Sensitive) Veri
Yetkisiz erişim ve yetkisiz değişime karşı korunması gereken veridir. Bu tip verinin silinmesi
durumunda kişi veya kurumlar zor durumda kalacaktır.
Kişi veya kurumlara ait bilgilerdir. Örneğin maaş verisi veya sigorta verisi bu tip veridir.
Bu tip verinin başkasının eline geçmesi durumunda saygınlık kayıplarının yanı sıra büyük
miktarda maddi kayıplar da olacaktır. Örneğin Araştırma Geliştirme faaliyetlerine ait veri Gizli
veridir. [4]
Virüs
Bilgisayar solucanları
Truva atları
Casus yazılımlar(Spyware)
Arka kapılar (Backdoor)
Mesaj yağmurları(Spams)
Klavye dinleme sistemleri(Keyloggers)
Reklam yazılımları(Adware)
3.1 Virüsler
Dosya virüsleri
Önyükleme (boot) virüsleri
Makro virüsleri
Betik (script) virüsleridir.
Virüslerden farklı olarak kullanıcı etkileşimi sonucu değil, kendi kendine çoğalabilen bir
yapıya sahiptirler. Yani virüsler gibi çalıştırılabilir programların parçası olmazlar. Solucanların
yayılmak için kullandıkları metotların başında, İnternet hizmetleri (http ve ftp gibi),e-posta
servisleri gelmektedir.
E-posta
IM (Internet Mesajlaşma)
İnternet solucanları
Ağ solucanlarıdır.
gösterilebilir.
Casus yazılımların, virüs ve solucanlardan farkı girmiş oldukları sistemden başka sistemlere
yayılmaya ihtiyaç duymamasıdır. Casus yazılım girmiş olduğu sistemdeki gizli bilgileri toplar.
Bu gizli bilgilere örnek olarak; T.C kimlik no, kredi kartı bilgileri, şifre bilgileri gösterilebilir.
Arka kapıların amacı güvenlik kontrollerine takılmadan girmiş olduğu sistemler ile uzaktan
erişim yoluyla veri transferi sağlamak ve adından da anlaşılacağı gibi sistemde
farkedilmeyen bir arka kapı oluşturmaktır.
Son 10 yıldır konuşulan bir iddiaya göre; büyük yazılım firmalarından birinin yazmış olduğu
İşletim Sistemlerinin tüm sürümlerinin içerisinde yer alan “CryptoAPI” isimli uygulamayla,
NSA (Amerikan Ulusal Güvenlik Ajansı) için bir arka kapı oluşturduğudur.
3.5 Mesaj sağanakları (spams, junkmail)
Mesaj sağanakları; zararlı yazılımlar arasında hepimizin ister istemez tanıştığı, e-posta
kutumuzu işgal eden reklam, ürün tanıtımı gibi istenmeyen mesajları ifade etmektedir. Mesaj
sağanaklarının bizlere vermiş olduğu en önemli kayıp, zaman ve verim kayıplarıdır.
Ücretsiz bir yazılımın (freeware veya shareware) içerisinde gelen, amacını fazlasıyla aşan ve
neredeyse programının işlevinden ziyade reklam için oluşturulmuş gibi duran zararlı
yazılımlardır.
Sizin veya kurumunuz için önemli, hayati bilgilerinizi güvenli bir ortamda yedekleyin.
Buradaki önemli husus o bilginin yedeğine ne kadar hızlı olarak ulaşabileceğinizdir.
Şifrelerinizi belirlerken kolay tahmin edilebilecek(ad, soyadı, doğum tarihi gibi) veya
ardışık olarak devam eden sayılar (12345 gibi) ifadeleri kullanmak yerine; büyük ve
küçük harfler, sayılar ve özel karakterlerden (?!& gibi) oluşan ifadeleri şifre olarak
belirlemek daha güvenli olacaktır.
Belirlemiş olduğunuz güvenilir şifrelerinizi de belirli aralıklarla (en fazla 180 gün gibi)
değiştirmelisiniz.
Güvenli internet sitelerinde gezinin. Şüpheli veya güven vermeyen sitelere erişme;
spam, virüs ve casus yazılımların bilgisayarınıza indirilmesini sağlayabilir.
Sistemlerinizin (bilgisayar, hard disk, giriş kartları vb.) fiziksel güvenliğini sağlayarak,
kilitli kapılar arkasında, kilitli dolaplar içerisinde muhafaza edin.
[1] : Ortadoğu Teknik Üniversitesi – Enformatik Enstitüsü, Verinin Korunması ve Veri Güvenliği, Açık
Erişim, Ders Notları (http://ocw.metu.edu.tr/mod/resource/view.php?id=1456 )
[2] : Yrd. Doç. Dr. Erdal Güvenoğlu, Bilgi Sistemleri Ders Notları.
[3] : Oğuz Turhan’ın “Bilgisayar Ağları ile ilgili suçlar (siber suçlar)” isimli Planlama Uzmanlık Tezinden
alınmıştır.
[4]: http://www.bilgiguvenligi.gov.tr/yedekleme/bilgisayar-istemlerindeguvenli-dosya-saklama-ve-
silme.html (Erişim 15 Mart 2015)
[5]: Canbek, G., Sağıroğlu, Ş., 2007. Kötücül ve Casus Yazılımlar: Kapsamlı Bir Araştırma, Gazi
Üniv.Müh.Mim.Fak.Der., Cilt 22, No 1, 121-136