Professional Documents
Culture Documents
Bilgi Guvenligi Ocak 2013
Bilgi Guvenligi Ocak 2013
GÜVENLİĞİ
Te l e k o m D ü n y a s ı D e r g i s i Ö z e l E k
Ocak 2013
Katkılarıyla
Bilgi güvenliği açısından baktığımızda Türkiye dünyadaki ortaya çıkacak. Türkiye açısından bu gelişmeler sadece siber
riskli ülkeler arasında yer alıyor. Bilgi Güvenliği Derneği güvenlik açısından değil genel anlamda çok önemli gelişme-
olarak bizim varlık nedenimiz, toplumda bu konuda far- ler. Bilgi Güvenliği Derneği olarak bizler de bu konuya azami
kındalık yaratmak. Bu konuda son dönemdeki çalışmalarla özen gösteriyor ve destek vermeye çalışıyoruz.
önemli katkılar yaptığımıza inanıyoruz. Son somut örneği Bilgi güvenliği alanında bilinçlendirme çalışmalarına hızla
de Türkiye’nin bilgi güvenliği strateji belgesine zemin teşkil devam etmek gerekiyor. Çünkü bilgi güvenliği zincir en zayıf
eden Türkiye’deki pek çok kişi ve kuruluşun da destek verdiği halkası kadar güçlüdür denir ve bu sözün tam anlamının
Bilgi Güvenliği Strateji Belgesi taslağı hazırlandı. Bu taslak oturduğu bir alandır. Bilgi güvenliğinde en önemli unsur
çalışma Ulaştırma Denizcilik ve Haberleşme Bakanı Binali insan zincirin de en zayıf halkası insan. Bu zincirde yer alan
Yıldırım’a sunuldu. Bakanlık bu taslağımızı da göz önüne insan faktörü ne kadar donanımlı ne kadar bilgili ve bilinçli
alarak Ulusal Siber Güvenlik Strateji Belgesi’ni hazırlıyor. olursa bu konuda o kadar güvende olabilirsiniz. Hangi tekno-
Bilgi güvenliği açısından 2012 yılındaki bir başka önemli lojiyi kurarsanız kurun onu kullanan ve ondan faydalanan
gelişme de Kasım ayında yayınlanan Bakanlar Kurulu kararı insanlar o konuda gerekli bilgi ve bilinç seviyesine sahip
ile artık siber güvenlik konusunun sahibinin adı kondu ve değillerse istenen sonucu alamazsınız. Bir taraftan altyapıya
Ulaştırma Denizcilik ve Haberleşme Bakanlığı’nın sorumluluk ve uygulamaya yönelik tedbirler alınırken diğer yandan da
alanına alındı. Bu Kurul kararı ile yine bir Siber Güvenlik Ku- kullanıcıların farkındalıklarının artırılması lazım.
rulu oluşturuldu. Böylece temel eksiklik olan yapısal orga- “Bilgi Güvenliği Derneği olarak farkındalık çalışmalarımızı
nizasyon kurulması ile bu temel eksiklik ortadan kaldırılmış biraz daha ileriye taşıyarak devamında bilgi paylaşımı şek-
oldu. Siber güvenlik konusunun sahibi belirlendi, yapısal bir linde de geliştirmeyi hedefliyoruz. Bu misyonumuzu yerine
sistem de oluşturuldu, strateji belgesi hazırlanmasına ilişkin getirebilmek için de bu araçların en başında medya yer
çalışmalar sürüyor bundan sonraki adım bir eylem planı alıyor. Burada da Telekom Dünyası ile birlikte Türkiye’de ilk
çıkarılması gerekiyor. Türkiye’nin Ulusal Siber Güvenlik Eylem süreli bilgi güvenliği yayınını okuyucularla buluşturuyoruz.
Planı konusunda UDH Bakanlığı bir çalışma yürütüyor ve Bilgi Güvenliği özel yayını, bilgi güvenliği ve siber güvenlik
belli bir noktaya gelindiğini biliyoruz. 2013 yılı başında da alanında güncel gelişmeleri, akademik ve derinlemesine
ülke olarak bir anayasamız olmuş olacak, bir de en tepe- konu başlıklarını ele aldığımız, bilgi paylaşımını daha fazla
den yapılması gerekenlerin belirlendiği bir eylem planımız insana ulaştıracağımız bir araç olacak bizler için.”
Ocak 2013 3
Bilgi GÜVENLİĞİ
www.telekomdunyasi.com
“Günümüzde, her geçen gün daha fazla kurum ve birey bireylerin siber güvenlik konusundaki bilinç ve farkındalık
bilgi ve iletişim sistemlerini kullanmakta ve yaşamımız kaçı- düzeyini arttırmıştır.Ulusal çapta düzenlenen siber güvenlik
nılmaz olarak bilgi ve iletişim sistemlerine daha çok bağımlı tatbikatları kurumların siber güvenlik konusunda mevcut
hale gelmektedir” diyen Ulaştırma Denizcilik ve Haberleşme kapasitelerini görmelerini ve kapasitelerini arttırmaya yönelik
Bakanı Binali Yıldırım, enerji, ulaşım, su gibi pek çok kritik tedbirler almalarını sağlamaktadır. Neticede, kurumlarımız
altyapının bilgi ve iletişim teknolojisi bileşenleri ile yönetil- siber risklere karşı her geçen gün geçmişe göre daha hazır-
mekte olduğuna dikkat çekti. lıklı hale gelmektedir” şeklinde konuştu.
Bakan Yıldırım, tüm bu gelişmelerin bilgi ve iletişim sistem-
lerini oldukça korunması gereken değerler haline getirdiğini KULLANICI BİLİNCİNİN YÜKSELTİLMESİ GEREKİYOR
ifade ederek, “Son yıllarda, gerek Estonya, Gürcistan ve Siber saldırıların, siber tehditlerin verdiği zararları çok iyi
Kırgızistan gibi ülkelere karşı düzenlenen siber saldırıların bilmek gerektiğini vurgulayan Bakan Yıldırım, “Maalesef her
gündemi etkilemesi, gerek kamu kurum ve kuruluşlarımızı geçen gün siber tehdit bütün dünyada olduğu gibi ülkemiz-
hedef faaliyetlerin kamuoyuna yansıması, gerekse ulusal de de artıyor. Siber güvenliği sağlamak da bireysel, kurum-
çapta yapılan çalışmalar, düzenlenen siber güvenlik tat- sal, ulusal ve uluslararası işbirlikleriyle alınacak önlemlere
bikatları vb. etkinliklerin olumlu sonuçları; kurumların ve ihtiyaç vardır. Tüm bu süreçte siber güvenlikte en önemli
4 Ocak 2013
Bilgi GÜVENLİĞİ
www.telekomdunyasi.com
aşama, kullanıcı bilincinin yükseltilmesidir. Bu aşamaya açıldığını açıkladı. Yıldırım, “Siber Güvenlik Strateji Belgesi,
gelmek için, kullanıcıyı bilgilendirme, farkındalık oluşturmak ilgili üyelerden bir talep gelmemesi halinde mevcut haliyle,
son derece önemlidir. Küçücük bir dikkat çok büyük siber gelecek değişiklik talebi olması halinde ise yeniden revize
saldırıları önleyebileceği gibi, küçücük bir dikkatsizlik de çok edilerek yakın zamanda uygulamaya konulacaktır” dedi.
büyük zararlara yol açan siber saldırılara sebep olabilir” dedi.
“Güzel bir Atasözü vardır. ‘Avcı ne kadar yol bilse ayı o 2. SİBER GÜVENLİK TATBİKATI OCAK’TA
kadar yol bulur’ Biz ne kadar tedbir alırsak alalım yüzde yüz 2013 yılının Ocak ayında gerçekleştirilecek olan siber
güvenliği sağlamak mümkün olmayabilir. Ama atılan her güvenlik tatbikatına ilişkin sorularımızı da cevaplayan
adım, yapılan her çalışma güvenliği sağlamak için önemli- Bakan Yıldırım, tatbikatın ulusal çapta gerçekleştirilecek
dir” diyen Bakan Yıldırım, sözlerini şu şekilde sürdürdü: “Bu 2. siber güvenlik tatbikatı olduğunu hatırlattı ve şunları
nedenle 11 Haziran 2012 tarihli Bakanlar Kurulu Kararıyla, söyledi: “Daha önce, 2011 yılının Ocak ayında 41 kurum
sekretaryasını ve koordinasyonunu Ulaştırma, Denizcilik ve ve kuruluşun katılımı ile ilk Ulusal Siber Güvenlik Tatbi-
Haberleşme Bakanlığı’nın üstlendiği Siber Güvenlik Kurulu katı düzenlenmişti. Ayrıca, 8-29 Mayıs 2012 tarihlerinde
kuruldu. Siber Güvenlik Kurulu bir üst kurul. Ulaştırma, ülkemiz internet altyapısının yüzde 99.9’unu teşkil eden 12
Denizcilik ve Haberleşme Bakanı’nın Başkanlığında; Dışişleri erişim sağlayıcının katılımıyla Siber Kalkan 2012 tatbikatı
Bakanlığı Müsteşarı, İçişleri Bakanlığı Müsteşarı, Milli Savun- düzenlenerek ülkemizde şebeke seviyesinde siber güvenli-
ma Bakanlığı Müsteşarı, Ulaştırma, Denizcilik ve Haberleşme ğin sağlanmasına yönelik durum değerlendirilmişti. Önü-
Bakanlığı Müsteşarı, Kamu Düzeni ve müzdeki Ocak ayında yapılacak olan
Güvenliği Müsteşarı, Milli İstihbarat 2. Ulusal Siber Güvenlik Tatbikatı’na
Teşkilatı Müsteşarı, Genel Kurmay toplamda 60’ın üzerinde kurum ve
Başkanlığı Muhabere Elektronik ve Bilgi kuruluş katılım sağlayacaktır. Bizim
Sistemleri Başkanı, Bilgi Teknolojileri siber güvenliğe ilişkin yaklaşımımız,
ve İletişim Kurumu Başkanı, Türkiye Bi- siber güvenlik konusunu sadece
limsel ve Teknolojik Araştırma Kurumu teknik değil, aynı zamanda hukuki,
Başkanı, Mali Suçları Araştırma Kurulu idari, sosyal boyutlarıyla da ele alan
Başkanı, Telekomünikasyon İletişim bütüncül bir yaklaşımdır. Dolayısıyla,
Başkan’ından oluşuyor.” tatbikata, katılımcı kuruluşların bilgi
Siber Güvenlik Kurulu’nun çalışmaları işlem birimlerinin yanı sıra hukuk ve
hakkında da bilgi veren Bakan Yıldırım, iletişim birimlerinden de personel
Kurulun önümüzdeki dönem çalışma- katılması teşvik edildi. Aynı zamanda,
ları hakkında şunları kaydetti: “Ulu- 2011 yılında düzenlenen tatbikatta
sal siber güvenlik alanında alınacak olduğu gibi, 2. Ulusal Siber Güvenlik
önlemleri belirlemek, Hazırlanan plan, Tatbikatı’na da Ankara Cumhuriyet
program, rapor, usul, esas ve standart- Başsavcılığı ve Emniyet Genel Müdür-
ları onaylamak, onaylanan faaliyetlerin lüğü de davet edildi.”
uygulanmasını ve koordinasyonunu “Güzel bir Atasözü Yıldırım, 2. Ulusal Siber Güvenlik
sağlamak, kamu düzeninin korunması vardır. ‘Avcı ne kadar Tatbikatında, kurum ve kuruluşlarda
açısından zorunlu hallerde Bakanlıktan yol bilse ayı o kadar kullanılan bilgi ve iletişim sistemle-
ilgili tedbirlerin alınmasını talep etmek yol bulur’ Biz ne rinin güçlendirilmesi, siber güvenlik
gibi görevleri var. Bu kapsamda Kuru- kadar tedbir alırsak konusunda her seviyedeki farkındalığın
lumuz ilk toplantısını 20 Aralık’ta yaptı. alalım yüzde yüz arttırılması, iletişim, işbirliği ve koordi-
Kurul; ilk toplantısında hazırlanan siber güvenliği sağlamak nasyon yeteneklerimizin geliştirilmesi
Güvenlik Eylem Planı ve Strateji Belgesi mümkün olmayabilir. suretiyle ulusal siber güvenlik kapasi-
Taslağını masaya yatırdı. 20 Aralık Ama atılan her adım, tesinin arttırılmasının hedeflendiğini
itibariyle siber saldırılara karşı nasıl bir yapılan her çalışma belirtti ve sözlerini şu şekilde tamam-
mücadele verileceği, kimin ne yapaca- güvenliği sağlamak ladı: “Geçtiğimiz yıllarda Estonya,
ğı tespit edilmiş olup, bu plana göre için önemlidir Gürcistan ve Kırgızistan gibi ülkelere
faaliyetlerimizi yürüteceğiz.” karşı düzenlenen siber saldırılar sonrası
yaşanan durum değerlendirildiğin-
STRATEJİ BELGESİ GÖRÜŞE AÇILDI de, ulusal siber güvenlik tatbikatları
Bakan Yıldırım, Siber Güvenlik Strateji Belgesi taslağının, düzenleyerek siber saldırılara karşı hazırlıklı olunmasının ne
UDH Bakanlığı ve ilgili kurum kuruluşlar ile istişare halin- denli önemli olduğu daha iyi anlaşılmaktadır. Dünya’da siber
de hazırlanıp 20 Aralık 2012 tarihli Siber Güvenlik Kurulu güvenliğe ilişkin yapılan çalışmalar içinde ulusal ve ulusla-
Toplantısı’nda görüşüldüğünü ifade ederek, söz konusu rarası kapsamda gerçekleştirilen tatbikatların da önemli yer
taslağın, Kurul toplantısına katılan ilgili üyelerin görüşlerine tuttuğunu düşünüyoruz.”
Ocak 2013 5
Bilgi GÜVENLİĞİ
www.telekomdunyasi.com
6 Ocak 2013
GÖR
EV D
ESTE
K Sİ
STEM
LERİ
ELİ
R Ü Z G A R T Ü N TÖRÜ
D İ K E Y Ş EĞİTİM SİMÜL A
RBES T DÜŞÜ
Ü L E R İÇİN SE
ÜT Ç
PA R A Ş
GEM
EM LERİ
B İ L Gİ SİST
İ İNŞ
O L
KONTR
TANK KOMUTA
A
ve M
ODER
NİZA
SYON
Siber saldırılarda
küçük ve orta
ölçekli yapıların
hedef alınmasının
nedeni, bunların
daha büyük
işletmelerin
ekosistemlerinin
bir parçası
olması ve daha
az savunuluyor
olmalarındandır
iletişim ve koordinasyon alanlarında çalışmalar yapılma- nunda olmayan çalışanları hedef almakta ve sızmalar bunlar
sına ihtiyaç vardır” diye konuştu. Yaşanan bilgi güvenliği üzerinden gerçekleşmektedir. Bu çalışanlar online olmaları,
olaylarının çoğuna kurumların tek başına müdahale etmesi proaktif talepler almaları ve bilinmeyen kaynaklardan ek
ya da kurum içindeki bilgi işlem biriminin tek başına çözüm dosyalar aldıkları için hedef saldırganlar için önem teşkil
üretmesinin de mümkün olmayacağını söyleyen Prof. Dr. edebilmektedirler.”
Ünüvar, “Siber güvenlik tehditleriyle mücadele edebilmek
için gerek kurum içi gerekse kurum dışı paydaşlarla iletişim MOBİL CİHAZLARDA SİBER RİSKLER ARTIYOR
arttırılmalı ve gerekli koordinasyon sağlanmalıdır” dedi. Prof. Dr. Ünüvar, tablet ve akıllı telefon satışlarının artma-
sıyla birlikte hassas bilgilerin de daha çok mobil cihazlarda
GÜNDE 82 HEDEFLİ SALDIRI GERÇEKLEŞİYOR depolandığını belirterek, çalışanların, iş ortamlarına kendi
Türkiye’nin 2011 yılında, Avrupa, Ortadoğu ve Afrika böl- akıllı telefon ve tabletlerini dâhil etme hızının birçok kuru-
gesinde en çok saldırı alan ilk on ülke arasında dördüncü mun onları güvenlik altına alma ve yönetme becerilerinin
sırada yer aldığını ve bu bölgedeki kötü amaçlı yazılımların gelişmesinden daha hızlı seyrettiğine dikkat çekti. Mobil
yüzde 6’sını barındırdığını anımsatan Prof. Dr. Ünüvar, 2011 cihazların iyi korunmasının oldukça önemli olduğunu
yılı sonu itibarıyla hedefli saldırıların gün bazında seksen iki belirten Prof. Dr. Ünüvar, sözlerini şu şekilde tamamladı:
saldırıya ulaştığını vurguladı. Ünüvar, sözlerini şu şekilde “İyi korunmamaları ve kaybolmaları veri ve kimlik kayıpları-
devam ettirdi: “Özellikle, kamu kurumlarına karşı yoğun- nı da birlikte getirebilecektir. Yakın zamanlarda yapılan bir
laşan gelişmiş saldırılar sürekli çeşitlenmektedir. Hedefli araştırmada kaybolan telefonların yarısının geri dönmediği,
saldırıların yarısından fazlası 2 bin 500’den daha az çalışana yüzde doksan altısında (geri dönmüş olanların dâhil) ise
sahip kuruluşlara, yüzde on sekizi ise 250’den az çalışana veri ihlali yaşandığını ortaya koymaktadır. Mobil cihazlar
sahip kuruluşlara karşı gerçekleşmiştir. Küçük ve orta ölçekli için geliştirilen veri toplama, içerik gönderme ve kullanıcı
yapıların hedef alınmasının nedeni, bunların daha büyük takibi gibi amaçlar için tasarlanmış yazılımlar da Türkiye’deki
işletmelerin ekosistemlerinin birer parçası olması ve daha az üçüncü nesil mobil abone sayıları gözetildiğinde bireyler ve
savunuluyor olmalarındandır. Saldırıların yüzde elli sekizi kurumların mobil tehditlere karşı dikkatli olmasını gerektir-
insan kaynakları, halkla ilişkiler ve satış gibi yönetici pozisyo- mektedir.”
8 Ocak 2013
Bilgi GÜVENLİĞİ
www.telekomdunyasi.com
Trend Micro, bilgi çalmaya yönelik hazırlanan zararlı yazılım Tinba’nın altyapısı
Tinba’nın Türkiye’de 60 bin kullanıcıyı etkilediğini keşfetti. Araştırmacılar, Tinba’nın saldırılardan bilgi çalmasını sağ-
Trend Micro ve CSIS, veri çalan zararlı yazılım Tinba hak- layan komut-kontrol altyapısını inceledi. WHOIS ve DNS
kında özel bir rapor yayımladı. Hazırlanan raporda, zararlı kayıtları detaylandırıldığında ortaya şu sonuçlar çıktı:
yazılımın gerçekleştirmeye çalıştığı yasadışı aktiviteler ve • Tinba, para taşıma, yasa dışı web barındırma, pornog-
altyapısının mimarisini ortaya koyan teknik analizler de yer rafik web siteleri ve diğer bilgi çalan zararlı yazılımlarla
aldı. Günümüzdeki etkin hedefli saldırı ve modern malware/ bağlantılı.
trojan tehditlerinin bir örneğini görmekteyiz. Kompleks, • Tinba’nın altyapısı Rusya ve Litvanya’da konumlanıyor.
etkili ve veri güvenliğimizi tehdit eden bu saldırılardan ko- Bağlantıların ölçeğine bakıldığında Tinba’nın bir ya da
runmak daha da zorlaştığı gibi, yeni nesil uç nokta güvenliği iki kişinin ürünü olmadığı görülüyor. Tinba, iyi organize
ile beraber network veri analizi yapan uygulamaları kullan- edilmiş, oldukça geniş ölçekli bir yapının bir çalışması olarak
mayı gerektiriyor. Özellikle bulut mimarisine dayalı Endpoint karşımıza çıkıyor. Tinba zararlı yazılımının; çalınan mail.ru
güvenlik çözümümüz bu tehditlerden koruma sağlayabili- adresleri, kaçak veri taşıma, yasa dışı web barındırma, porno
yor, bunun da temel sebebi dünyadaki zararlı içerikli trafiğin siteler ve birçok bankacı Truva atıyla bağlantısının bulundu-
gerçek zamanlı olarak tespit edilmesi, tehdit hareketlerinin ğu görülüyor. CSIS ve Trend Micro, Tinba’nın dev bir siber
takip edilmesi ve gerçek zamanlı olarak bu bilgilerin uç nok- suç çetesinin işi olduğuna inanıyor. Bu bir ya da iki kişinin
talara servis ediliyor olmasıdır. Bu da tüm müşterilerimizin yapabileceği bir işten ziyade daha büyük ölçekte bir yapının
korunma sürelerini maksimum seviyeye getiriyor. ürünü gibi görünüyor. Çetenin Rusça konuşan internet kul-
lanıcılarına saldırmaktan çekinmediği görülürken, bu durum
Tinba nedir? -şüphelilerin Rusya’da olduğu düşünüldüğünde- vehameti
Tinba, ismini olağanüstü derecede küçük boyutundan daha da artırıyor. Rusya’ya kadar iz sürüldüğünde de çete-
alıyor. Yaklaşık 20 kilobayt boyutunda olan Tinba, bir nin önemli bir altyapısının Litvanya’da da konumlandırıldığı
bankacılık zararlı yazılımı için oldukça küçük. Tinba, tiny ortaya çıkıyor.
(küçük) ve banker (bankacı) kelimelerinin bir araya gel-
mesinden meydana geldi. Diğer veri çalmaya odaklanan
zararlı yazılımlarla benzer karmaşık yapıya sahip olan Tinba,
tarayıcılara yerleşerek web sitelerine giriş bilgilerini çalı-
yor. Ayrıca aynı zararlı yazılım, Tinybanker ve Zusy olarak
da biliniyor. Tinba sisteme kendini yerleştirdiğinde (Man
10 Ocak 2013
Bilgi GÜVENLİĞİ
www.telekomdunyasi.com
12 Ocak 2013
Bilgi GÜVENLİĞİ
www.telekomdunyasi.com
• İnternete güvenliksiz kablosuz ağlardan erişme 2012 İkinci Çeyreği DDOS Ataklarına
• Gereksiz ama gizli bilgileri bilgisayardan silmeme Kaynaklık Eden ilk 10 Ülke
• Parolaları başkaları ile paylaşma
• Farklı web sitelerinde ve/veya çevrimiçi hesaplarda aynı kullanıcı Türkiye’de 466 katılımcı ile yapılan bir ankette;
ve parolayı kullanma • Yaşın artması ile bilgisayar güvenliği konusundaki hassasiyetin
• Gizli bilgileri depolayacak şekilde şifrelenmemiş, genel USB azaldığı,
sürücüleri kullanma • Kadınların erkeklere oranla bilgisayar güvenliği konusunda daha
• İş yerinde değilken bilgisayarları gözetimsiz bırakma hassas olduğu,
• İçerisinde gizli verilerin olduğu USB sürücüleri kaybettikten • Eğitim seviyesi yükseldikçe bilgisayar güvenliğinde daha hassas
sonra kurumları bilgilendirmeme, davranıldığı,
• Gizli kurum bilgileri üzerinden uzaktan çalışırken gizlilik ekranla- • Bilgi ve iletişim sistemleri kullanım deneyiminin artması ile bilgi-
rı kullanmama sayar güvenliği konusunda hassasiyet ve farkındalığın da arttığı,
• Seyahat ederken dizüstü bilgisayarlarda gereksiz önemli bilgileri • Yaşın artması ile web güvenlik uygulamaları farkındalığının da
taşıma arttığı,
• Kurum ağına erişmek için kişilere ait mobil cihazları kullanma • Erkeklerin güvenli web kullanımı konusunda kadınlardan daha
yetkin olduğu,
Siber tehdit ve saldırılara karşı verilerin korunması amacının yanı sıra • Eğitim seviyesi yükseldikçe web güvenliği konusunda hassasiyet
bu verilerin siber saldırılar yapan organizasyonlar tarafından kulla- ve farkındalığın da arttığı
nılmasının da önüne geçilmesi gerekmektedir. Birçok kullanıcının • Bilgi ve iletişim sistemleri kullanım deneyimin artışı ile güvenli
bilgisayarları bilgileri dışında ele geçirilebilmekte ve siber saldırılarda web kullanımında hassasiyetin arttığı
kullanılabilmektedir. Trend Micro tarafından alınan aşağıdaki tabloda tespit edilmiştir.
kullanıcıların kişisel bilgilerinin sosyal paylaşım sitelerinde kolayca Güvenlik ihlallerinin çoğunda temel unsur olarak, kullanıcı davranış-
paylaştığı anlaşılmaktadır. larındaki farkındalık eksikliği belirtilmektedir.
Ocak 2013 13
Bilgi GÜVENLİĞİ
www.telekomdunyasi.com
14 Ocak 2013
Bilgi GÜVENLİĞİ
www.telekomdunyasi.com
Ocak 2013 15
Bilgi GÜVENLİĞİ
www.telekomdunyasi.com
Siber Güvenlikte Türkiye Olarak Nelere Odaklandık? mamıyla Uygulama veya Yazılım Güvenliğini konu alan ülkemiz-
Bu soruya ölçülebilir bir yanıt bulmak amacıyla, Türkiye’de 2011 deki az sayıda çalışma günleri vs. gibi etkinlikler burada dikkate
ve 2012 yılında Bilgi/Siber Güvenlik çerçevesinde yapılmış sekiz alınmamıştır. İkinci husus ise, Yazılım Güvenliğinin yurt dışında
(8) büyük ve yerleşik konferans ve sempozyumda sunulan bil- da bir bakıma benzer bir bakışa maruz kaldığıdır. SANS’ın Haziran
diriler, tek tek incelenip ve ana konularına göre tasnif edilmiştir. 2012’de yaptığı bir çalışmada; hem de yazılımı doğrudan ele alan
88 kuruluştan 205 kişinin yapmış olduğu 158 bildiri, tasniflenip, konferans gibi önemli etkinliklerde bile “Yazılım Güvenliği” yüzde
ağırlıklarına göre büyültülerek yazıldığında; yan sayfadaki şekilde 3 kadar bir oranla ele alınmıştır.
görüldüğü gibi bir “konu bulutu” ortaya çıkmaktadır.
Bu buluta bakıldığında göreceli olarak odaklanan alanların daha Siber Güvenlikte Bütünsel Yaklaşım:
net bir şekilde anlaşılması mümkün. Her şeyden önce esprili bir Fiziksel, Sistem, Ağ + Yazılım
yönden bakarsak, güvenlik yaklaşımının pazarlanmasına yönelik Ağ ve Yazılım arasındaki dengesiz odaklanışın, Internet Storm
“Yeni Nesil” takısının sıklıkla kullanıldığını görmek mümkün. Öyle Center tarafından yapılan çarpıcı bir istatistik ile sağlamasının
ki bu tanımlamanın artık güvenlik iş kolunda kullanım sınırlarını yapılması mümkündür: Saldırıların yüzde 70’inin uygulama kat-
doldurduğunu hissetmemek mümkün değil. Yine; gündemdeki manında gerçekleşmesine rağmen; BT güvenlik bütçesinin yüzde
konulardan olması sebebiyle “Adli Bilişim” ve “Delil” gibi ko- 70’i altyapıya (sistem ve ağ) harcandığı belirtilmektedir.
nuların, bunun yanı sıra “Bulut”, “Cep” ve “DDoS” gibi konu- Bu noktada Fiziksel, Ağ ve Sistem gibi alanlarda sağlanmaya
ların öne çıktığı söylenebilir. Ancak, tüm bunların ötesinde bir çalışan geleneksel yaklaşımın, Yazılım güvenliği ile tamamlan-
konunun tüm konulardan daha ağırlıklı bir şekilde ele alındığını ması şarttır. Burada, Yazılım Güvenliğinin sadece İşletim Sistemi
görmek mümkün: “Bilgisayar Ağları” ya da kısaca “Ağ”. seviyesinde ele alınan bir konu olduğu şeklinde yanlış bir kanının
Ağ konusu elbette tüm yönleriyle ele alınması gereken önemli da düzeltilmesi gerekiyor. 2010’da DHS’in ABD Ülke Güvenliği
bir konu. Ancak, buluttaki tüm konuları incelediğinizde bir şeyin kapsamında yaptığı çalışmaya göre yazılım ile ilgili korunmasızlık-
ufak da olsa bir ağırlığının bulunmadığını görmek mümkün: ların sadece yüzde 4’ü İşletim Sistemine ait.
“Yazılım Güvenliği”. 158 bildiri arasında sadece bir tane bildiri Ulusal Siber Güvenlik açısından bakıldığı zaman, Stuxnet gibi
doğrudan yazılım güvenliği ile ilgili. saldırılardan da görüleceği üzere; artık ileri seviye “siber silahlar”,
Hemen burada bir parantez açıp, Türkiye’de yazılım güvenliği ile tıpkı dışarıdan kalın betonlarla korunan yeraltındaki sığınakları
ilgili bu tespit ile ilgili iki hususu belirtmek gerekir. Birincisi, ta- delen füzeler gibidir. Bu silahlar; İnternet, hatta Yerel Alan Ağları
16 Ocak 2013
Bilgi GÜVENLİĞİ
www.telekomdunyasi.com
gibi bağlantılardan bile izole edilerek sıkı bir şekilde korunduğu sorumluluklar düşmektedir. Kaliteli ve gürbüz yazılım geliştirme-
düşünülen sistemleri, uygulamalardaki korunmasızlıklar ve o de önemli donanımlara sahip bu kişilerin, Güvenli Yazılım Ge-
olmazsa olmaz insan etmeni ile vurabilmektedir. liştirme yöntemleri konusunda kendilerini ve çalıştıkları ekipleri
Yazılım; çok sayıda programlama dilinin ortaya çıktığı, açık ve geliştirmeleri gerekiyor. Güvenliğin yazılım ürününe sonradan
kapalı kaynak kodlarda çok sayıda kütüphanenin kullanıldığı, çağ- eklenemeyecek bir konu olduğu bilincinde olunmalı; Temas Nok-
layandan çevik yaklaşımlara çok sayıda yazılım geliştirme süreci taları (Touch Points), Yazılım Güvencesi Olgunluk Kalıbı (OWASP,
kalıplarının bulunduğu hızla gelişen bir alandır. Özellikle hassas SAMM) ve Güvenlik Geliştirme Yaşam Döngüsü (Microsoft, SDL)
ve mühim yazılım tabanlı sistemlerin siber uzayda korunması, gibi yaklaşımlar; gereksinim aşamasından ürünün sahada çalıştığı
yazılım geliştirme süreçlerinde ciddi bir bakış açısının ortaya son ana kadar gerçekleşen tüm faaliyetlerde tümleşik bir hâlde
konulması ve sistemli bir yaklaşımın ödün verilmeden takip takip edilmelidir. Bu kapsamda, insan, süreç ve araçlar uyum
edilmesini gerektirmektedir. Ancak görülen odur ki “Ara Bellek içinde ele alınmalıdır. Güvenlik gereksinimleri, kötüye kullanım
Taşması”, “SQL Zerk Etme”, “Çapraz Site Betiği” ve “Hizmet durumları, tehdit odaklı tasarım, güvenli kodlama teknikleri,
Aksattırma” gibi yöntemlerin on yılı aşkın süredir bilinmesine süreçlere yedirilmiş güvenlik gözden geçirmeler, sızma testleri
rağmen yazılım geliştiricilerin bunlara karşı önlem almak yerine ve olay yönetimi gibi çok sayıda yeni görev Bilgisayar ve Yazılım
ürünü pazara sürme baskısı ile belirsiz ve değişken gereksinim- Mühendislerinin uzmanlık sahalarına girmiştir.
lerle işlevlerin gerçekleştirilmesi çabası arasında, güvenlik göz Sonuç olarak Siber Güvenliğin geleneksel bakış açılarından
ardı edilebilmektedir. Herkesin istenen işlevi yerine getirdikten sıyrılarak bütünsel bir şekilde ele alınması gereken bir konu oldu-
sonra programlama yapabileceğini düşünmesi, özellikle kontrolü ğunu vurgularken, Yazılım Güvenliğinin gerçekten ihmâl edilen
ihmâl edilen Seyyar Uygulama Pazarının kasten veya istemeden bir konu olduğunu ifade etmekte yarar var. Siber Güvenlikte önü-
saldırıya müsait programcıklarla dolup taşmasına; yeterli bilinç müzdeki kavşakta hareket etmeden önce Yazılım Güvenliğini bir
ve hassasiyete sahip olmayan kullanıcıların da bu “bolluk” içinde daha düşünmemiz gerekiyor. Bu, bizim için belki de son bir çıkış
uygulamanın güvenliğini dikkate almamasına neden olmaktadır. noktası. Böyle bir konumda eksikliğimiz varsa bu çıkışı değerlen-
Bu noktada, özellikle Bilgisayar ve Yazılım Mühendislerine büyük dirip kendimizi toparlamamız uygun olacaktır.
Ocak 2013 17
Bilgi GÜVENLİĞİ
www.telekomdunyasi.com
Gizlilik bilginin ulaşması gereken kişiye kadar sır olarak kalması Üç Boyutu Korumanın Temel Kontrol Araçları
ve yalnızca istenilen kişi tarafından erişilebilir olmasıdır. Antik Bilgi güvenliğinin temel boyutları olan gizlilik, bütünlük ve kulla-
zamanlardan itibaren insanoğlu bilginin güç olduğunu bilmek- nılabilirliği korumak amacıyla kullanılan temel kontrol unsurları
tedir. Yaşadığımız bilgi çağında ise bilgiye erişim her zaman- tanıma (kimlikleme), kimlik doğrulama ve yetkilendirme süreç ve
kinden daha fazla önem kazanmıştır. Gizli olan bilgiye yetkisiz metodları başlıkları altında incelenebilir.
erişim sadece ulusal güvenlik uygulamalarında değil, ticarette
ve sanayide de mahvedici sonuçlara sebebiyet verebilmektedir. Kimlikleme
Bilgi sistemlerinde gizliliğin korunması yönünde kullanılan temel Kimlikleme bilgiye erişirken “kimlikle-doğrula-yetkilendir”
mekanizmalar kriptoloji ve erişim kontrolleridir. Gizliliğe tehdit sıralamasında her gün defalarca yapılan ilk işlemdir. Kimlikleme
olabilecek unsurlar arasında kötü amaçlı yazılım, sisteme müda- sistemleri kimin ya da neyin tanımlandığına göre farklılık göster-
hale, güvensiz şebekeler, vb. sayılabilir. mekle birlikte bazı özellikleri sisteme bağlı olmaksızın aynı niteliği
Bütünlük bilginin güvenirliği, tam olup olmadığı ve doğrulu- taşımaktadır. Bunlar kimliklerin kapsamı, yeri ve tekliğidir. Bilgi
ğunun yanı sıra bilginin uygun olmayan ve yetkisiz bir şekilde güvenliğinin sağlanması açısından benzeri olmayan isimler seçil-
değiştirilmesinin engellenmesi ile de ilgilidir. Bilgi güvenliği kap- mekte (sadece tek bir kişiye özgü e-posta adresi gibi) ve kapsamı-
samında bütünlük sadece bilginin kendisinin bütünlüğü ile değil na bağlı olarak yerel (mehmet@şirket.com) ya da küresel alanda
bilginin kaynağının bütünlüğü ile de ilgilenmektedir. Bütünlüğün (mehmet@hotmail.com) eşsiz olmaları gerekmektedir. Ancak bu
korunmasına ilişkin mekanizmalar iki ana gruba ayrılabilir: Koru- şekilde erişim kontrolleri uygulanabilmekte ve hesap verebilirlik
yucu mekanizmalar (bilginin yetkisiz bir şekilde değiştirilmesini sağlanabilmektedir.
engellemeye yönelik erişim kontrolleri) ve ortaya çıkarıcı meka-
nizmalar (koruyucu mekanizmalar başarısız olduğunda yetkisiz Kimlik Doğrulama
müdahaleleri engellemeye çalışan mekanizmalar). Kimlik doğrulama araçları (kimlikleme işleminden hemen sonra
Genellikle en son bahsedilmekle birlikte, bilginin kullanılabilirliği ve yetkilendirmeden önce gerçekleşir) kimlikleme safhasında
bilgi güvenliğinin gizlilik ve bütünlük ayakları kadar önemlidir. belirtilen kimliğin gerçekliğini doğrulamaktadır. Başka bir deyişle,
Yetkili kullanıcılar bilgiye ihtiyaç duyduklarında ona erişemez kişi ya da sistemin gerçekte o kişi ya da sistem olduğu bu safhada
iseler karmaşık şifreleme ve erişim kontrollerine de ihtiyaç kal- ispatlanmaktadır. Kimlik doğrulamanın üç aracı “Ne biliyorsu-
mayacaktır. Bilginin mevcudiyetine yönelik tehditler hizmet dışı nuz”, “Neye sahipsiniz” ve “Nesiniz” sorularıdır. Hangi doğrula-
bırakma (denial of service – DoS) olarak adlandırılmaktadır. ma yöntemi kullanılırsa kullanılsın amaç kimlikleme safhasında
Bilgi güvenliğinin üç temel boyutunu şu şekilde tanımlayabiliriz: belirtilen kimliğin doğru kimlik olduğuna ilişkin yeterli delile
• Gizlilik bilgiye yetkisiz kişilerin erişiminin engellenmesidir. ulaşmaktır. Yeterli delilin derecesi bilginin kullanıldığı ortama ve
• Bütünlük bilginin yetkisiz kişiler tarafından değiştirilmesi, uygulamaya göre değişiklik gösterebilmektedir. Küçük bir şirketin
tahrif edilmesi ya da silinmesinin engellenmesidir. ihtiyaç duyduğu “kimlik doğrulama gereksinimleri” ile ulusal
• Kullanılabilirlik bilginin yetkili kişilere istendiğinde erişilebilir güvenlik açısından duyulan gereksinimler birbirinden farklılık arz
olmasının sağlanmasıdır. edecektir. Öte yandan farklı doğrulama yöntemlerinin maliyetleri,
18 Ocak 2013
Bilgi GÜVENLİĞİ
www.telekomdunyasi.com
Ocak 2013 19
Bilgi GÜVENLİĞİ
www.telekomdunyasi.com
Bu yenidünyada her şeyin tıkırında gittiğini ve çarkların sürekli saldırısında, normalde sistemin kaldırabileceği kapasitenin çok
işleyeceğini düşünmek gerçekçi olamazdı. Kötü çocuklar çağa çok üzerinde anlık istekler yapılarak sistem cevap veremez hale
uymakta hiç zorlanmadılar ve kendilerini hızlı bir şekilde geliştir- getirilir. Ancak günümüzde oldukça karmaşık atak vektörleri ile
meye devam ediyorlar. Kötü niyetli rakipler, online suçlular, siber birden fazla saldırı aynı anda yapılabiliyor.
zorbalar veya “hacktivistler” diyebileceğimiz bu kötü çocuklar; DDOS saldırısı gerçekleştirmek artık neredeyse çok kolay bir hal
DDOS saldırıları ile web sitelerini acımasızca alaşağı ediyor ve almış durumda. Kullanması kolay ve ücretsiz saldırı araçlarını
emek emek oluşturduğunuz hizmetlerinizi hunharca yok edip, internette bulmak hiç zor değil. Fazla teknik yetkinliğe gerek
saatlerce belki günlerce sizi maddi olarak büyük zarara uğratabi- duymadan, bu araçlar ile sadece hedef sunucunun IP’sini belir-
liyorlar. terek saldırı yapılıp erişilemez olması sağlanabilir. Veya indirmiş
Distributed denial-of-service, kısaca DDOS saldırıları, Dağıtık olduğunuz ücretsiz bir yazılım ile aslında farkında olmadan
Hizmet Dışı Bırakma saldırılarıdır. Hizmet dışı bırakmadan kasıt, zombi veya bot denen bir zararlı yazılım, trojan veya virüs de
kritik sistemlerin, sunucuların veya networklerin aşırı yüklenme- indirmiş olabilirsiniz ve bu sayede dağıtık bir saldırıya katkıda
si ile onları cevap veremez hale getirmektir. Dağıtık olması ise bulunuyor olabilirsiniz. Siz hiç farkında olmadan bir kurum ağın-
saldırının tek kaynak IP’den değil, birden çok kaynaktan geldiği dan veri sızdırılmasına ya da bir sunucunun çökmesine yardımcı
anlamına geliyor ki işte saldırıyı engellenmesi zor ve şiddetli kılan oluyor olabilirsiniz. DoS saldırıları protesto amaçlı olabileceği
da bu. Çünkü tek bir noktadan gelen bir saldırıyı bir firewall kura- gibi, sadece zarar vermek amaçlı bile olabiliyor ve hatta günü-
lı ile o IP’yi engelleyerek durdurabilirsiniz. Ancak DDOS saldırıla- müzde uluslararası siber savaşlarda bile kullanılıyor. Bu sebeple,
rını diğer saldırı yöntemlerinden ayıran en önemli özelliği işte bu DDOS saldırıları kurumlar ve hatta devlet siteleri/sunucuları için
dağıtık olabilme özelliğidir ve en kötüsü de bu sayede sistemlerin önceliklendirilmesi gereken tehditlerin başında geliyor. Çünkü
veya sunucuların kullanılabilirliğini ve ulaşılabilirliğini engellerler. bu saldırıya maruz kalmaları durumunda maddi zararın yanı sıra,
DDOS saldırıları, yeni bir atak yöntemi değil aslında. Yaklaşık 10 itibar kaybına da uğrayabilmekteler.
yıllık bir geçmişi var. Ancak siber suçluların kullandığı metotlar ve Peki, ama bu saldırılarla nasıl başa çıkılır? Karamsar olmayalım,
taktikler de evrimleşiyor. Dünya çapında internete katılan zavallı elbette DDOS saldırılarının etkilerini “azaltma” yöntemleri var
ve masum hedefler arttıkça, DoS saldırıları da daha sık gerçekleşi- ama dürüst konuşmak gerekirse, bu yöntemleri oluşturan üreti-
yor ve verdikleri zarar daha da artıyor. 2005 yılında 10 Gbps bant cilerin hiçbiri buna “atak önleme” cihazı demiyor. Onun yerine
genişliğinde saldırılar yapılırken, günümüzde 100Gbps ve hatta “hafifletme(mitigation)” tabiri kullanılıyor. Çünkü bahsetmiş
üstüne çıkan saldırılar var. Saldırı boyutu neredeyse %100’ün olduğumuz gibi her gün giderek karmaşıklaşan, büyük boyutlara
üzerine çıkmış durumda. Saldırıların karmaşıklığı da giderek ulaşabilen ve farklı saldırı yöntemlerini bir arada içeren ataklarla
artıyor ve mücadele etmesi de zorlaşıyor. Ancak “saldırı yüzeyi” mücadele etmek gerçekten uzmanlık gerektiriyor. Alınabilecek ilk
dediğimiz, saldırıya açık olan alanlar, hedef veri merkezinin veya yöntem, tabi ki bir güvenlik duvarı ile veri merkezini korumak ola-
kurumun internet linkleri olabileceği gibi, firewall gibi bağlantı caktır. Fakat bu şekilde ancak kaynağını bildiğimiz saldırılara karşı
durum bilgisi tutan cihazlar veyahut da web, eposta, veri tabanı o IP’yi engelleyecek kurallar yazabiliriz. Beyazliste ve karalisteler
ya da SIP sunucuları da olabilir. Bildiğimiz en temel DDOS ile önceden tanımlanabilen ağlar tanımlanarak tedbir alabiliriz.
20 Ocak 2013
Bilgi GÜVENLİĞİ
www.telekomdunyasi.com
Ocak 2013 21
Bilgi GÜVENLİĞİ
www.telekomdunyasi.com
Kaspersky Lab tarafından yapılan araştırma, Türklerin çok çeşitli Türklerin yüzde 70’i çevrimiçi alışverişe alışkın...
iletişim ve eğlence amaçlı çevrimiçi hizmetleri kullanmaya meyilli Finansal işlemleri gerçekleştirmek için internet kullanan Türklerin
olduklarını ortaya çıkardı. Aynı zamanda araştırma raporunda, sayısı ise Dünya ve Batı Avrupa ülkelerdeki oranlarla paralel bir
interneti alışveriş ve finansal işlemler için kullanmaya çoktan alış- tablo çiziyor. Şu anda Türklerin yüzde 70’i her gün çevrimiçi
mış olan Türk kullanıcıların, bankacılık işlemleri açısından dünya alışveriş yapıyor. Bu oran dünya çapındaki çevrimiçi bankacılık
ve Batı Avrupa çapında önemli bir orana ulaştığı da ortaya çıkıyor. işlemleri açısından yüzde 69.7 olarak gerçekleşiyor. Yani, Dünya
Çevrimiçi servis olarak en çok e-posta hizmetini kullanan Türk genelinde ve Batı Avrupa’da internet bankacılığının popüleritesi
internet kullanıcılarının yüzde 86’sı her gün e-postalarını kontrol Türkiye’ye oranla yaklaşık yüzde 1 daha düşük.
ediyor. Türk kullanıcılar arasında ikinci en popüler aktivite olan Internet kullanıcılarının yüzde 37’si en az bir defa zararlı yazı-
sosyal ağlar üzerinden ise iletişim yüzde 78’lik bir orana sahip. lımlarla karşılaşıyor Araştırmaya göre, Türkler internetin kendile-
Dünya çapındaki kullanım oranlarına bakıldığında da bu rakamlar rine sunduğu fırsatlardan aktif olarak yararlanıyor. Araştırmaya
pek farklılık göstermiyor. katılanların çoğu, internetsiz hayatlarının nasıl olacağını hayal bile
Internet üzerinden ücretsiz yazılım arayanların oranı yüzde 61 edemediklerini belirtiyorlar. Bu yüksek faaliyet oranı aynı şekilde
Kaspersky’nin araştırmasına göre ayrıca, Türk kullanıcıların çoğu zararlı yazılım geliştiricilerinin, hacker’ların ve diğer zarar amaçlı
interneti multimedya eğlence kaynağı olarak kullanıyor. Kullanıcı- kullanıcıların oranını da yükseltiyor. Kaspersky Lab analistleri, her
ların yüzde 75’i her gün radyo üzerinden müzik dinlerken, yüzde gün, 128 binden fazla tehdidi ortaya çıkarıyor. 2012’nin üçüncü
72’si video izliyor. Türk internet kullanıcılarının yüzde 62’si boş çeyreğinde siber tehditlerle ilgili gerçekleştirilen bir analiz, Türk
zamanlarını oyun oynayarak geçiriyor ve yaklaşık olarak yüzde kullanıcılarının yüzde 37’sinin en az bir defa çevrimiçi zararlı
61’i günlük olarak ücretsiz yazılım araştırmasına giriyor. yazılımlarla karşı karşıya kaldığını ortaya koyuyor.
22 Ocak 2013
KURUMSAL İLAN