Bilgi Güvenliği

1. Giriş :

Güvenlik terimi çeşitli değerlerin tehditlere ve saldırılara karşı korunmasını ifade

eder. Güvenlik soyut bir kavram olmamakla birlikte, her gün karşımıza çıkan bir
konudur. Örnek vermek için, bir üniversite öğrencisi olan Ali’nin sabah yaptığı işlere göz
gezdirelim ve güvenlikle ilgili etkinliklerini inceleyelim:

1. Ali evi terk etmeden önce kapısını kilitler.

2. Güvenlik personeli kampüs nizamiyesinde Ali’nin öğrenci kimliğini kontrol eder.

3. Ali banka kartından para çekmek için bir ATM makinesine gider.

4. Son olarak, Ali ders notlarını okumaya başlamadan önce bilgisayarını parolası ile açar.

Ali gibi, günlük telaşımız içerisinde, pek çok güvenlik ile alakalı karar veriyoruz. Pek çoğumuz
bunlar hakkında pek düşünmüyor bile. Bu kararlar gerçekten gerekli mi? Yeterli önlem alıyor
muyuz?

Kabaca, güvenlik ile alakalı iki ana konu belirleyebiliriz:

1. Fiziksel Güvenlik

2. Dijital Güvenlik

Fiziksel güvenlik “somut” değerleri korumak içindir. Son zamanlarda gelişmiş bir ihtiyaç
değildir. Dijital Güvenlik ise dersimizin bu kısmının içeriğini oluşturacaktır.

Bilgi güvenliği için işleri daha zor yapmak üzere, bilgi teknolojilerinin şu karakteristikleri
vardır:

1. Otomasyon: Bilgisayarlar ile önceden mümkün olmayan veya planlanması imkânsız

olan saldırılar bile ana birer tehdit olmuştur.

2. Uzaktan müdahale: Saldırganların hedeflerinin yakınlarında olması gerekmemektedir.

3. Teknik iletimi: Saldırı araçları Internet üzerinden yayılabilmektedir.

Güvenlik ile ilgili olarak değerlendirilmesi gereken 3 önemli ölçüt söz konusudur.

 Engelleme
 Tespit Etme
 Tepki verme

Örnek olarak, kapınızdaki bir kilidi ve alarmı düşünün. Kilit engelleme sağlarken, kapıdaki
alarm sadece bir saldırı olduğunda bunu tespit edebilir. Polisi aramak ise bir tepki verme
eylemidir. Unutmayın ki tepki vermek olmaksızın tespit anlamsızdır ve tepki verme sadece bu
iki ölçünün birbirine bağlanması ile alakalı bir durum tespit ettiğinizde anlamlıdır. Ayrıca
unutmayın ki engelleme bazı, zararın telafi edilemez olduğu durumlarda tek şansımızdır.
Bilgi Güvenliği ile ilgili olarak çok önemli 6 unsur vardır ve bu unsurlar mutlak suretle
değerlendirilmelidir.

 Gizlilik
 Bütünlük
 Erişilebilirlik
 Kimlik kanıtlama
 İnkâr edememe
 Mevcudiyet

Gizlilik askeri alanda çok derin bir öneme sahiptir ve tarihsel olarak insanlar güvenlik
kelimesini duyduklarında ilk akıllarına gelen şeydir. Fakat modern iş yaşamında bütünlük ve
mevcudiyet genel olarak gizlilikten çok daha önemlidir.

Bu üç bakış açısı arasında, potansiyel olarak en az anlaşılan “mevcudiyet”tir. İşin aslına

bakılırsa, bu problemi çözmede güvenlik mekanizmalarında bir eksiklik ve yetersizlik
vardır. Mevcudiyet için, hizmet reddinin engellenmesini, kaynaklara izinli ulaşımın ise
engellenmemesini isteriz. Daha iyi bir açıklama için, güncel bir gerçek dünya örneğine
bakalım.

Bazı kurumlar (Microsoft, Google, vs.) bedava e-posta hizmeti sunarlar. Bu hizmetler
genelde her dakika binlerce e-posta hesabı için başvuru yapan 'bot’lardan zarar
görmektedirler ve bu durum normal kullanıcılara hizmet verilmesini engellemektedir. Çözüm
bilgisayar ile insan arasındaki farkı ayırt edebilen bir sistem bulmaktır, bu sayede insanlar
kayıt olabilmeli, otomatik yazılımlar olamamalıdır. [1]

Bir Captcha ("Completely Automated Public Turing Test Computers and Humans Apart"
kısaltması), tam olarak bunu yapar. Aşağıdaki resimde Üniversitemiz Öğrenci Bilgi Sistemine
girişte kullanılan bir captcha örneği bulunmakta, bilgisayarlar tarafından okunamayan, fakat
insanların anlayabildiği deforme edilmiş bir metin.
1.1 Bilgi Güvenliği Unsurlarının Yönetimi

Konunun başında belirtilen temel unsurların dışında;

• Sorumluluk
• Erişim denetimi
• Güvenilirlik
• Emniyet
gibi etkenler de bilgi güvenliğini destekleyen unsurlardır. Bu unsurların tamamının
gerçekleştirilmesi ile ancak tam bir bilgi güvenliği sağlanabilmektedir. Bu unsurların bir veya
birkaçının eksikliği güvenlik boyutunda aksamalara sebebiyet verebilecektir.

TSE-17799 “Bilgi Güvenliği Yönetim Standardı” belgesinde, gizlilik, “bilginin sadece erişim
hakkı olan yetkili kişilerce erişilebilir olmasının temini” olarak; Bütünlük; “Bilgi ve bilgi işleme
yöntemleri ile veri içeriğinin değişmediğinin doğrulanması” olarak, Erişilebilirlik; “Yetkili
kullanıcıların ihtiyaç duyulduğunda bilgi ve ilişkili varlıklara erişme hakkının olmasının temini”
olarak tanımlanmıştır.

Kimlik doğrulama, geçerli kullanıcı ve işlemlerin tanınması ve doğrulanması ile bir

kullanıcının veya işlemin hangi sistem kaynaklarına erişme hakkının olduğunun belirlenmesi
sürecidir. İnkâr edememe, bir bilgiyi alan veya gönderen tarafların, o bilgiyi aldığını veya
gönderdiğini inkâr edememesini sağlama işlemidir.

Sorumluluk: belirli bir eylemin yapılmasından kimin veya neyin sorumlu olduğunu belirleme
yeteneğidir. Tipik olarak etkinliklerin kayıtlarını tutmak için bir kayıt tutma sistemine ve bu
kayıtları araştıracak bir hesap inceleme sistemine ihtiyaç vardır. Erişim denetimi, bir kaynağa
erişmek için belirli izinlerin verilmesi veya alınması olarak tanımlanabilir.

Güvenirlilik, bir bilgisayarın, bir bilginin ya da iletişim sisteminin şartnamesine, tasarım ve

gereksinimlerine sürekli ve kesin bir şekilde uyarak çalışması ve bunu çok güvenli bir şekilde
yapabilme yeteneğidir. Emniyet, bir bilgisayar sisteminin veya yazılımın işlevsel ortamına
gömülü olduğunda, kendisi veya gömülü olduğu ortam için istenmeyen potansiyel veya
sürekli tehlike oluşturacak etkinlik veya olayları önleme tedbirlerini içermektedir.

Bir bilgi varlığı zaman içerisinde çeşitli değişikliklere (bozulma, yenileme, değiştirme,
güncelleme) maruz kalabilmektedir.

• Bu değişiklikler de doğal olarak korunması gereken bilginin sınırlarında da değişikliklere

sebebiyet verebilir.

• Bunu önceden belirlemek için muhtemel değişiklikler önceden tahmin edilir.

• Varlıkların karşı karşıya oldukları tehditler öncelikle belirlenir.

• Olayların ortaya çıkma ihtimallerine karşı var olan savunma zayıflıkları tespit edilir ve
karşılaşılabilecek tehditlerin ihtimalleri hesaplanır.

• Kullanıcılar ve sistemler için bilgi güvenliğinin sınırları, tarafların kendilerini ve sistemlerini

güven içinde hissetmeleri için gerekli ve düzenleyici politikalar doğrultusunda ve hukuki
zorunluluklar çerçevesinde belirlenir.
1.2 Bilgi Güvenliği Risk Yönetimi

Güvenlik süreçleri ve saldırılara tepkiler aşağıdaki şekilde olduğu gibi gösterilir. [2]

Önleme, güvenlik sistemlerinin en çok üzerinde durduğu ve çalıştığı süreçtir. Bir evin
bahçesine çit çekmek, çelik kapı kullanmak gibi güncel hayatta kullanılan emniyet önlemleri
gibi, bilgisayar sistemlerine yönelik tehdit ve saldırılara karşı, sistemin yalıtılmış olması için
çeşitli önlemler geliştirilmektedir.

Kişisel bilgisayar güvenliği ile ilgili,

• Virüs tarama programlarının kurulu olması,

• Bu programların ve işletim sistemi hizmet paketlerinin ve hata düzeltme ve

güncellemelerinin düzenli aralıklarla yapılması,

• Bilgisayarda şifre korumalı ekran koruyucu kullanılması,

• Bilgisayar başından uzun süreliğine ayrı kalındığında sistemden çıkılması,

• Kullanılan şifrelerin tahmininin zor olacak şekilde belirlenmesi, bu şifrelerin gizli tutulması ve
belirli aralıklarla değiştirilmesi,

• Disk paylaşımlarında dikkatli olunması,

• İnternet üzerinden indirilen veya e-posta ile gelen dosyalara dikkat edilmesi,

• Önemli belgelerin parola ile korunması veya şifreli olarak saklanması,

• Gizli veya önemli bilgilerin e-posta, güvenlik sertifikasız siteler gibi güvenli olmayan yollarla
gönderilmemesi,

• Kullanılmadığı zaman İnternet erişiminin kapatılması,

• Önemli bilgi ve belgelerin düzenli aralıklarla yedeklerinin alınması gibi önlemler,
alınabilecek önlemlerden bazılarıdır.

Saptama: Sadece önleme ile yetinilseydi, yapılan çoğu saldırıdan haberdar bile olunamazdı.
Saptama ile daha önce bilinen veya yeni ortaya çıkmış saldırılar, rapor edilip, uygun cevaplar
verebilir.

• Saptamada ilk ve en temel basamak, sistemin bütün durumunun ve hareketinin izlenmesi

ve bu bilgilerin kayıtlarının tutulmasıdır. Bu şekilde ayrıca, saldırı sonrası analiz için veri ve
delil toplanmış olur.

• Güvenlik duvarları, saldırı tespit sistemleri, ağ trafiği izleyiciler, kapı (port) tarayıcılar, gerçek
zamanlı koruma sağlayan karşı virüs ve casus yazılım araçları, dosya sağlama toplamı
(checksum) kontrol programları ve ağ yoklayıcı (sniffer) algılayıcıları, saptama sürecinde
kullanılan en başta gelen yöntemlerden bazılarıdır.

Karşılık verme, güvenlik sürecini tamamlayan önemli bir halkadır. Saldırı tam olarak
önlenmese bile; sistemin normal durumuna dönmesine, saldırıya sebep olan nedenlerin
belirlenmesine, gerektiği durumlarda saldırganın yakalanmasına, güvenlik sistemi açıklarının
belirlenmesine ve önleme, saptama ve karşılık verme süreçlerinin yeniden düzenlenmesine
olanak verir.

Saldırı tespit edilince yapılması gereken işlerin, daha önceden iyi bir şekilde planlanması, bu
sürecin etkin bir şekilde işlemesini, zaman ve para kaybetmemeyi sağlayacaktır. Yıkım
onarımı (disaster recovery), bu aşama için gerçekleştirilen ve en kötü durumu ele alan esaslı
planların başında gelir.

2. Verilerin Sınıflandırılması :

Normal hayatta olduğu gibi bilgisayar dünyasında da veri farklı önem derecelerine sahiptirler.
Bilgisayarda bulunan veri, temelde 4 farklı sınıflandırmaya tabiidir.

 Açık (Public)
 Hassas (Sensitive)
 Özel (Private)
 Gizli (Secret)

2.1 Açık (Public) Veri

Başkalarının eline geçmesinde sakınca olmayan veridir. Kişilerin veya kurumların reklam
verisi, kampanya bilgileri gibi belgeler bunlara örnektir.
2.2 Hassas (Sensitive) Veri

Yetkisiz erişim ve yetkisiz değişime karşı korunması gereken veridir. Bu tip verinin silinmesi
durumunda kişi veya kurumlar zor durumda kalacaktır.

2.3 Özel (Private) Veri

Kişi veya kurumlara ait bilgilerdir. Örneğin maaş verisi veya sigorta verisi bu tip veridir.

2.4 Gizli (Secret) Veri

Bu tip verinin başkasının eline geçmesi durumunda saygınlık kayıplarının yanı sıra büyük
miktarda maddi kayıplar da olacaktır. Örneğin Araştırma Geliştirme faaliyetlerine ait veri Gizli
veridir. [4]

3. Zarar Verici Yazılımlar:

Bilgisayar dünyasında biz kullanıcıları zor duruma sokacak, verinin güvenliğini

etkileyebilecek birçok zararlı yazılım mevcuttur. Zararlı yazılım denince hepimizin aklına
sadece “virüsler” gelse de virüs dışında birçok zararlı yazılım da vardır. Bu bölümde, aşağıda
sıralamış olduğumuz bu zararlı yazılımlar ile ilgili bilgi verilecektir.[5]

 Virüs
 Bilgisayar solucanları
 Truva atları
 Casus yazılımlar(Spyware)
 Arka kapılar (Backdoor)
 Mesaj yağmurları(Spams)
 Klavye dinleme sistemleri(Keyloggers)
 Reklam yazılımları(Adware)

3.1 Virüsler

En bilinen ve en eski zararlı yazılım türüdür. Biyolojideki virüslerin, organizmalara bulaşması

ve diğer canlılara yayılarak hızlı bir şekilde çoğalmasından esinlenerek, bu zararlı yazılım
virüs adını almıştır. Virüsleri diğer zararlı yazılımlardan ayıran en önemli özelliği kullanıcı
etkileşimine ihtiyaç duymasıdır.
En sık karşılaşılan virüs türleri:

 Dosya virüsleri
 Önyükleme (boot) virüsleri
 Makro virüsleri
 Betik (script) virüsleridir.

3.2 Bilgisayar solucanları

Virüslerden farklı olarak kullanıcı etkileşimi sonucu değil, kendi kendine çoğalabilen bir
yapıya sahiptirler. Yani virüsler gibi çalıştırılabilir programların parçası olmazlar. Solucanların
yayılmak için kullandıkları metotların başında, İnternet hizmetleri (http ve ftp gibi),e-posta
servisleri gelmektedir.

En sık karşılaşılan solucan türleri:

 E-posta
 IM (Internet Mesajlaşma)
 İnternet solucanları
 Ağ solucanlarıdır.

3.3 Truva atları

Virüsler gibi kendi kendilerine çoğalmazlar. Truva atları faydalı bir programın içerisinde yer
alabileceği gibi kullanıcı tarafından bilmeden aktif hale de getirilebilirler.

Truva atlarına örnek olarak:

 Truva arka kapıları(Trojan backdoor)

 PSW Truva atları (PSW Trojan)
 Truva tıklayıcılar (Trojan clickers)
 Truva indiricileri (Trojan downloaders)
 Arşiv bombaları (ArcBombs)

gösterilebilir.

3.4 Casus yazılımlar (spyware)

Casus yazılımların, virüs ve solucanlardan farkı girmiş oldukları sistemden başka sistemlere
yayılmaya ihtiyaç duymamasıdır. Casus yazılım girmiş olduğu sistemdeki gizli bilgileri toplar.
Bu gizli bilgilere örnek olarak; T.C kimlik no, kredi kartı bilgileri, şifre bilgileri gösterilebilir.

3.5 Arka kapılar (backdoors)

Arka kapıların amacı güvenlik kontrollerine takılmadan girmiş olduğu sistemler ile uzaktan
erişim yoluyla veri transferi sağlamak ve adından da anlaşılacağı gibi sistemde
farkedilmeyen bir arka kapı oluşturmaktır.

Son 10 yıldır konuşulan bir iddiaya göre; büyük yazılım firmalarından birinin yazmış olduğu
İşletim Sistemlerinin tüm sürümlerinin içerisinde yer alan “CryptoAPI” isimli uygulamayla,
NSA (Amerikan Ulusal Güvenlik Ajansı) için bir arka kapı oluşturduğudur.
3.5 Mesaj sağanakları (spams, junkmail)

Mesaj sağanakları; zararlı yazılımlar arasında hepimizin ister istemez tanıştığı, e-posta
kutumuzu işgal eden reklam, ürün tanıtımı gibi istenmeyen mesajları ifade etmektedir. Mesaj
sağanaklarının bizlere vermiş olduğu en önemli kayıp, zaman ve verim kayıplarıdır.

3.6 Klavye dinleme sistemleri (Keyloggers)

Kullanıcıları klavyeden hangi tuşlara bastığını yakalayıp, saldırgana gönderen zararlı

yazılımdır. 1980’li yıllardan itibaren kullanılmaktadır.

3.7 Reklam yazılımları (adware)

Ücretsiz bir yazılımın (freeware veya shareware) içerisinde gelen, amacını fazlasıyla aşan ve
neredeyse programının işlevinden ziyade reklam için oluşturulmuş gibi duran zararlı
yazılımlardır.

4. Bilgi Güvenliği İçin Uyulması Gereken Kurallar :

Kullanmış olduğumuz kişisel veya kurumsal, resmi bilgi sistemlerimizin tümünde(masaüstü

bilgisayar, dizüstü bilgisayar, cep telefonu, mobil cihazlar vb.) güvenliğimiz için uygulamamız
gereken bazı kurallar vardır. [6]
 Sizin veya kurumunuz için gizli nitelikteki bilgileri, taşınabilir ortamlarda (usb bellek,
harici hard disk vb.) bulundurmayın. Bu bilgiler kayıp olabilir, düşebilir veya kopyası
çıkarılabilir.

 Sizin veya kurumunuz için önemli, hayati bilgilerinizi güvenli bir ortamda yedekleyin.
Buradaki önemli husus o bilginin yedeğine ne kadar hızlı olarak ulaşabileceğinizdir.

 Şifrelerinizi belirlerken kolay tahmin edilebilecek(ad, soyadı, doğum tarihi gibi) veya
ardışık olarak devam eden sayılar (12345 gibi) ifadeleri kullanmak yerine; büyük ve
küçük harfler, sayılar ve özel karakterlerden (?!& gibi) oluşan ifadeleri şifre olarak
belirlemek daha güvenli olacaktır.

 Belirlemiş olduğunuz güvenilir şifrelerinizi de belirli aralıklarla (en fazla 180 gün gibi)
değiştirmelisiniz.

 Kullanmış olduğunuz şifreleriniz aklınızdan başka bir yere yazmamalı ve kimseyle

paylaşmamalısınız(Tabii ki şifrenizi belirlerken aklınızda tutabilecek zorlukta güvenilir
bir şifre belirlemelisiniz).

 Zararlı yazılımlardan korunmak için geliştirilmiş özel güvenlik yazılımlarının (anti-virüs,

anti-casus, anti-spam, güvenlik duvarı vb.) güncel sürümleriyle kullanmalısınız.

 Sadece ücretsiz dağıtıldığı için; kaynağı belirsiz, lisanssız yazılımları

kullanmamalısınız.

 Güvenli bir şekilde, e-posta kullanınız. Tanımadığınız kişilerden gelen e-postaları

okurken çok dikkatli olun. E-posta eklerini açmayın, web linklerine tıklamayın. Spam
e-postaları okumadan silin.

 Güvenli internet sitelerinde gezinin. Şüpheli veya güven vermeyen sitelere erişme;
spam, virüs ve casus yazılımların bilgisayarınıza indirilmesini sağlayabilir.

 Bilmediğiniz programları sadece işlevi için bilgisayarınıza indirmeyin.

 Sistemlerinizin (bilgisayar, hard disk, giriş kartları vb.) fiziksel güvenliğini sağlayarak,
kilitli kapılar arkasında, kilitli dolaplar içerisinde muhafaza edin.

 Sistemlerinize şifre koyun, sistemlerinizin ekranlarını kilitlemeden başıboş bırakmayın

( + L bu işlemi yapacaktır).

 Sistemlerinizi açılışlarına veya uyanma sonralarına şifre koyun.

 Sosyal mühendislik kavramlarından haberdar olun, tanımadığınız kişilerle

sistemlerinizin işleyişi ile ilgili bilgileri herhangi bir ortamda paylaşmayın. (Örneğin,
“bizim şirketteki bilgisayarların hiçbirinde şifre yok” veya “Kurumumuzda ABC işletim
sistemi, XYZ programı kullanılıyor ” gibi bilgileri yetkisiz kişilerle paylaşmayın)
Kaynakça

[1] : Ortadoğu Teknik Üniversitesi – Enformatik Enstitüsü, Verinin Korunması ve Veri Güvenliği, Açık
Erişim, Ders Notları (http://ocw.metu.edu.tr/mod/resource/view.php?id=1456 )

[2] : Yrd. Doç. Dr. Erdal Güvenoğlu, Bilgi Sistemleri Ders Notları.

[3] : Oğuz Turhan’ın “Bilgisayar Ağları ile ilgili suçlar (siber suçlar)” isimli Planlama Uzmanlık Tezinden
alınmıştır.

[4]: http://www.bilgiguvenligi.gov.tr/yedekleme/bilgisayar-istemlerindeguvenli-dosya-saklama-ve-
silme.html (Erişim 15 Mart 2015)

[5]: Canbek, G., Sağıroğlu, Ş., 2007. Kötücül ve Casus Yazılımlar: Kapsamlı Bir Araştırma, Gazi
Üniv.Müh.Mim.Fak.Der., Cilt 22, No 1, 121-136

[6] : Prof.Dr.Şeref Sağıroğlu , Kurumsal Bilgi Güvenliği Ders Notları.