Lostar Blog

Veri Maskeleme

2012-04-25T18:10:00.001+03:00

Veri maskeleme, veritabanları içindeki hassas veya gizli verilere erişimi engelleyen bir güvenlik yöntemidir. Bu yöntem, gerçek verilerin yerine gerçek olmayan ancak uygun verilerin yerleştirilmesiyle gerçekleştirilir. Bu yöntemin kullanımındaki amaç ise bir organizasyonun içindeki ve dışındaki hassas bilgilerin sızıntısını ve ele geçirilme riskini azaltmaktır. Bankacılıkta sıklıkla kullanılan bu teknik, özellikle İnternet bankacılığı işlemleri sırasında ve basılı hesap dökümleri, ekstrelerde kart numarası veya şifrenin yıldızla gizlenmesi şeklinde kullanılmaktadır.

Maskelenmiş bilgiler resmi ve özel kuruluşlar tarafından; eklenti geliştirme, test etme, kalite güvencesini sağlama, destekleme ve iş analizi yapmakta kullanılırlar.

Veri güvenliği ve koruması uzmanı Dataguise yayınladığı makalede, özellikle kritik veriler söz konusu olduğunda eklenti geliştirme, test etme ve iş analizinde maskeleme ya da kimliksizleştirme kullanarak; şirketlerin veya işletmelerin güvenlik risklerine karşı kendilerini koruyabilme gücünü sağlayabileceklerini savunuyor. Ayrıca Dataguise, kritik verilerin üretim dışı olan durumlarda, şirketin bu risklere maruz kalmayı azaltmak ve veri güvenliğini arttırmak için otomatik bir işlem yoluyla test ve değerlendirme kopyalarını oluşturmasını tavsiye ediyor. Hassas verilerin yetkisiz şirket çalışanlarının eline bırakılmasının ise felaket sonuçlar doğurabileceğini ekliyor.

Yapılan araştırmaya göre uyumluluk görevlilerinin ve altyapı yöneticilerinin verileri koruma konusundaki ortak sorumluluklarını daha iyi anlaması için; harekete geçmeye uygun istihbaratı sağlamak ve bilgi güvenliğini etkinleştirmek tercih ediliyor.

Gartner şirketinin üst düzey araştırmacısı Joe Feiman; veri maskelemenin şirketlere yalnızca güvenlik açıklarına karşı değil, düzenleyici ve uyum konusundaki hatalara karşı da yardımcı olabileceğini söylüyor.Ayrıca Feiman’a göre; halen gelişmekte olan bir pazarda önemli eğilimlerin net bir şekilde anlaşılması, doğru uygulama kararlarının alınması için oldukça kritik bir nokta.

Demokrasi ve Teknoloji Merkezi (The Center for Democracy and Technology) ise sağlık hizmetleri verilerinin, gizlilik açısından artan bir tehdit altında olduğunu açıklıyor. Bu tehditler birçok sorundan kaynaklanabilir. Sağlık sektöründeki teknolojik yenilikler ve sıkı yasalar ile kullanımı artan bilgi teknolojileri için tehdit oluşturan birçok sorundan biri de sağlık verilerinin tıbbi değerini yitirmeden kişisel tanıtıcı özelliklerinden arındırılmasıdır.

Dataguise’ın genel müdürü Allan Thomson’a göre ise; şifreleme ve maskeleme gibi anahtar teknolojilerin düzenlenmesi sayesinde kişisel gizliliğin korunmasıyla ilgili çözümlerin doğruluğu ile ilgili tartışmaların çoğu yatışabilir. Buna ek olarak Dataguise; bu yöntemin kolayca kullanılıp yönetilebileceğini ve hızla gelişen bu teknolojinin kullanılması ile firmaların en iyi değeri elde edebileceklerini vurguluyor.

Data maskeleme uzmanı Net200’ün yaptığı benzer bir araştırmaya göre de bilgilerin maskelenmeden kullanıldığı testlerde, testi uygulayan firmaların bir çok zarara maruz kaldıkları gözlenmiştir. Uygun olmayan bilgilerin açığa çıktığı ve zararlı kullanıma izin verdiği sonucunu da açığa çıkaran araştırma basit bir maskeleme tekniğiyle tüm bu zararlardan kurtulacağını da belirtmiştir.Net200’ün yaptığı araştırmada, firmaların müşterilerinin özellikle kredi kart numaralarının ve elektronik posta adreslerinin basitçe maskelenmesinin sektörlerin güvenliği açısından oldukça önemli olduğu da vurguluyor.

Tüm bu araştırmalara ek olarak bankacılık ve e-ticaret sektöründe bulunan kredi kartı standardı PCI-DSS; bilgi raporlaması sırasında maskeleme yapılmasını zorunlu kılıyor. Burada bahsedilen zorunluluk ise kredi kartı bilgilerinin sadece ilk altı ve son dört hanesinin gösterilmesini, ortadaki altı hanenin maskelenerek (yıldız şeklinde) gösterilmemesini kapsıyor.

Sonuç olarak veri maskeleme her sektörde kolayca uygulanabilen ve güvenlik açısından oldukça yararlı bir uygulamadır. Uygulamasının ve yönetiminin kolay olması ve kullanan firmaların zararlara maruz kalmasını engellemesi, veri maskelemenin önemini daha da arttıran etmenlerdir. Veri maskelemenin uygulanması ise; bilgilerin yer değiştirilmesi, raslantısallaştırılması, ardışık sıralanması, döndürülmesi ve etkisiz hale getirilmesi şeklinde gerçekleştirilebilir.

Kaynak

Tedarikçi Denetimleri

2012-04-16T11:53:00.002+03:00

BDDK’nın yayınladığı Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ’in 8. Maddesinin getirdiği düzenlemelerin bir sonucu olarak bankalar, kendilerinin ve tedarikçilerinin bilgi güvenliği seviyesini denetlemekle yükümlüdür. İlgili düzenlemelerin cezai yaptırımları mevcuttur.

Bir tedarikçi ile iş yapma kararını karlılık açısından değerlendirmek,

Tedarikçilerle yapılan anlaşmalarda beklentileri belirlemek, sözleşmeye uygun şekilde ekleyerek karşı tarafa iletmek ve denetlemek,

Tedarikçi ile çalışmanın beraberinde getirdiği riskleri analiz etmek,

Tedarikçinin iş yapamaz hale gelmesinin sonucunda doğabilecek sonuçlardan kaçınmak da tedarikçi denetimlerinin hedeflerindendir.

Denetimler, kurumun ihtiyaçları doğrultusunda dört farklı türde olabilir:

1. Başlangıç Denetimleri (Startup Audits)

Kurum ile çalışmaya başlayacak yeni tedarikçi firmaların ayrıntılı olarak denetlendiği ve bilgi güvenliği risk seviyesinin belirlendiği geniş kapsamlı denetimlerdir.

2. Düzenli Denetimler (Regular Audits)

Kurum ile çalışan tedarikçi firmaların belirli aralıklarla firma yerleşkesinde denetlendiği ve bilgi güvenliği risk seviyesinin belirlendiği kapsamlı denetimlerdir.

3. Takip Çalışması ve İlerleme Raporu (Follow-up Audits & Progress Reporting)

Sizinle birlikte belirleyeceğimiz bir tarihte veya denetim raporunda kritik seviye bir açık bulunması durumunda en geç 3 ay içerisinde gerçekleştirdiğimiz denetimlerdir. Denetim kapsamı daha önce yapılan denetimde bulunan açıklar ile sınırlıdır.

4. Acil Durum Denetimleri (Emergency Audits)

Kurum ile çalışan tedarikçi firmaların bilgi güvenliği vakaları yaşamaları halinde vakaya istinaden ilgili öğelerinin ayrıntılı olarak denetlendiği ve sadece acil durumla ilgili öğelerin bilgi güvenliği risk seviyesinin belirlendiği geniş kapsamlı denetimlerdir.

İhtiyaçlarınıza göre şekillenen çalışma kapsamımız temelde aşağıdaki listede yer alan maddeleri içerir:

Dokümantasyon

İç Risk Değerlendirme Süreçleri / Yöntemleri

Yönetim Sistemi Çalışmaları (KYS, BGYS, İSYS, ÇYS, ...)

Güvenlik Süreçleri / Görevlendirmesi

Fiziksel Güvenlik

Personel Güvenliği

Bilgi Varlığı Edinme / Elden Çıkarma

Sistem Yönetimi

Teknoloji Güvenliği

Ağ Güvenliği

Uygulama Güvenliği

Sunucu / İstemci Güvenliği

İş Sürekliliği

Tedarikçi / Müşteri İletişim Süreçleri Güvenliği

PCI DSS Uyumluluk Seviyesi

Bilişim Teknolojileri Yönetimi; NHS’yi Daha İyi Bilgi Güvenliği Çalışmalarına Çağırıyor

2012-04-15T00:31:00.001+03:00

ABD'de Bilişim teknolojileri yöneticileri, Ulusal Sağlık Servisi’nin (National Health Service) bilgi güvenliği çalışmalarını arttırması gerektiğini vurguluyorlar. "IT Governance" dergisi yazarı Alan Calder’in açıklamasına göre, NHS’ in bilgi güvenliğine ek olarak bilişim teknolojileri yönetişimine de önem vermesi gerekiyor.

ISO27001 belgesi çerçevesinde, NHS personelinin bilgi güvenliği konusunda kendilerini geliştirmesinin önemli olduğunu vurgulayan Calder, NHS personelinin tedarik zincirinde en zayıf nokta olduğunu, ve buraya para harcamanın bir masraf olarak değil bir yatırım olarak görülmesi gerektiğini de ekliyor. Bilişimin hızla artan önemi karşısında BT yönetişiminin bir gereklilik olduğunu, BT yönetişimi harcamalarının ekstra masraf olarak görmenin ise hata olacağını da sözlerine ekliyor.

Kaynak

BT Yönetişiminin Önemi Hızla Artıyor

2012-04-14T19:16:00.000+03:00

Dünyanın daha da akıllı bir hal alması ve insanların birbirleriyle iletişiminin artması ile marketin ihtiyacını karşılayabilmek için şirketlerin sahip olması gereken kıvraklık da arttı. Şirketlerin artık, müşterilerinin taleplerini karşılayabilmek ve fırsatları değerlendirebilmek için daha fazla çaba sarf etmeleri gerekiyor.

Şirketlerin bilişim teknolojileri bölümleri, başarıya ulaşmalarındaki kilit nokta haline gelmiş durumda. Bilişim teknolojilerinin hızı, performansı, etkin fiyat/risk uygulamaları, yenilikçiliği ve performansı ise bu başarıya ulaşmalarındaki olmazsa olmazları.

Kaynak

Bulut Ne Kadar Güvenli?

2012-04-09T11:55:00.000+03:00

Bulut daha düşük maliyete esneklik vadederken, güvenlik endişelerini de arttırıyor. Bulutta güvenlik oldukça önemsenirken, BT uzmanlarının %82’si ise kullanılabilecek kadar güvenli olduğunu belirtiyor.

Bulutun, BT’yimaliyetten, işletme için lokomotif olmaya yönelttiği aşikar. Ayrıca çevik ve ölçeklendirebilir bir sistem sunuyor. Sistemlerin ve altyapıların sadece bakımının değil; inovasyonunun da yapılmasını öngören bulut teknolojisi haftalar hatta aylar sürecek işleri birkaç saatte bitecek hale getirebilecek.

Ancak tüm bu kar sağlayan işlemlerde olduğu gibi bunlar da bir maliyet kalemi. Firmanın güvenlik duvarının dışında, bulutta bulunan önemli veriler her zaman bir güvenlik endişesi oluşturuyor. ABD şirketlerinin %82’si bulutu kullanılabilecek kadar güvenli bulurken, %54’ü bulutta güvenliği yüksek öncelikli olarak, %32’si ise orta derecede öncelikli olarak nitelendiriyor.

Bulut Bilişimde güvenlikle ilgili pek çok sorunuz için CIO’dan alınan ve Türkçeye çevirdiğimiz infografiği inceleyebilirsiniz:

Adli Bilişimin Değişen Yüzü

2012-04-04T02:06:00.000+03:00

İnsanların hayatlarının çoğunu online yaşamaya başlaması, adli bilişimin soruşturmalar ve davalardaki payının gittikçe artmasına neden olmuştur. Rutgers’ten alınan bilgilere göre; intihar ve tehdit davalarındaki kanıtların çoğu çevrimiçi kaynaklardan elde ediliyor. Örneğin iki kişi arasındaki çevrimiçi sohbet, kanıt olarak kullanılan başlıca kaynaklardan biridir. 26 Mart’ta Facebook’un avukatı; Facebook CEO’su Mark Zuckerberg’e karşı açılan davanın reddini talep etti. Bu davaya göre Paul Ceglia adında New York’lu bir şahıs; 2003 yılında Mark Zuckerberg’in Facebook hisselerinin yarısını kendisine verdiğini savunuyor. Davanın delil olarak kabul edilebilecek bir kısmı ise, Zuckerberg ile Ceglia arasındaki online yazışmalar. Facebook avukatı ise bu yazışmaların tamamen düzmece olduğunu savunuyor. Peki ya adli bilişim konusunda çalışanlar; bu kanıtları nasıl bir araya getiriyorlar ve dolandırıcılığı ortaya çıkarıyorlar?

Dijital Detaylar

Eğer birisi bilgisayarının sabit diskinden herhangi bir veri silerse, bu verinin anında görülmesi olanaksız olduğu için adli bilişim uzmanları silinmiş bilgilere ihtiyaç duyarlar. Ancak sabit diskte silindikleri yerler henüz başka bir veriyle doldurulmamışsa, bu bilgilerin uzmanlar tarafından erişimi mümkündür. Ancak bazı durumlarda bilgiler ulaşılabilir olmayabilirler. Uzmanlar, genellikle geriye dönük araştırmaları kullanmadıklarını belirtiyorlar.

Dosya analistleri dosyaları yaratan kişinin, dosyaların içinde grupladığı bilgilerden daha fazlasına erişirler. Özellikle elektronik postalar; başlıklarında gizlenmiş olan birçok zengin bilgi içerirler. Diğer önemli bir dosya kaynağı olan PDF dosyaların da başlıkları birçok sırrı içlerinde barındırırlar. Bir güvenlik ve bilgisayar şirketinin eş ortağı olan Andrew Hoog’a göre başlık; bilginin ne zaman yollandığını ve yollanırken ne servisinin kullanıldığını gösterir. Elektronik postanın yollayıcısından alıcısına kadar geçen süreçte, postanın karşılaştığı sunucuları başlığa ekler. Böylece adli bilişim uzmanları bu başlıklara bakarak anormal bir durum olup olmadığını kontrol ederler.
Bir suçlu için elektronik postasından herhangi birine yolladığı bilgileri içeren tüm delilleri ortadan kaldırmak oldukça zordur. Elektronik posta adresini veya postalarını yok etmeye ya da silmeye çalışan birçok kişi, postayı birkaç farklı yerde değiştirecek ve otomatik olarak bu yerlerde posta sunucusu tarafından kaydedilecektir. Böylece postayı yolladığı yer tam olarak tespit edilemeyecek ve suçlunun yolladığı elektronik postaların takibi sağlanamayacaktır. Ancak buna rağmen suçlunun herhangi bir alıcıya yolladığı posta kendisi fark etmeden kişisel bilgisayarında düzinelerce yere kaydolmuş olabilir ve bu da kendisini ele vermesi demektir.

Kayıp ve Şifrelenmiş Bilgiler

Analizi yapan kişiler elektronik postaların ya da herhangi bir dosyanın yerini her zaman bulamayabilirler. Postayı yollayan kişi ve alıcı postayı silmiş veya kişisel bilgisayarını atmış olabilir. Genellikle, elektronik posta sunucuları postaların kopyalarını yalnızca birkaç ay bünyelerinde saklayıp daha sonra silerler. Ancak bazı özel şirketler bu postaların kopyalarını alarak daha uzun süre tutabilirler. Analistler genellikle ihtiyaçları olan tüm bilgileri sağlayamazlar ve bu da suçlu tarafından yollanan postanın gerçekliğini tespit etmede problemlere yol açabilir.

Doğru araçlarla ve arama emri olan birisi ile bulunması zor olan eksik bilgilere ulaşmak oldukça kolaydır. Akıllı telefonlar ile bilgilerin yeniden elde edilmesi doğru araçların kullanımına örnektir. Örneğin telefon sayesinde silinmiş bilgilere, telefonda yüklü olan bankacılık eklentisi sayesinde kişinin banka bilgilerine ulaşmak mümkündür.
Bunun yanı sıra, teknik farkındalığın teknik kurnazlık getirebileceği de olası bir durumdur. Bu durumdan kaynaklanarak, teknik bilgileri ileri düzeyde olan kişiler, gizlenmiş veya silinmiş bilgilerin hukuksal güçler tarafından bulunmasını çok zor hale getirebilir hatta engelleyebilirler. Hatta hukukçuların söylediği bir diğer şey ise teknik bilginin ileri düzeyde olmasına gerek olmayışıdır. Buna örnek olarak kayıp veya şifrelenmiş bilgilerine ulaşılmamasını istemeyen kullanıcılar, bunu yapabilecekleri tekniklere internetten arama yapmak gibi çok basit bir yolla bile ulaşabilirler.

Dijital Dedektifliğin Geleceği

Yakın zamanda ortaya çıkacak olan yeni dijital eğilimlerin, dijital araştırmacıların işlerinin farklı yönleri üzerinde, farklı etkileri olacaktır.

Kişilerin bilgilerini “bulut”ta kaydetmeleri ya da kişisel bilgisayarından daha fazla saklama alanı imkanı sunan ve uzaktan kontrol edilebilen sunucuları kullanmaları; uzmanların silinen bilgilere ulaşmasını imkansız hale getirebilecek. Ancak bu gelişmenin yanı sıra, çok fazla alan sağlayan sunucular yüzünden, silinen bir bilginin üzerine bilgi yazılması daha zor hale gelecek. Daha önce de bahsedildiği gibi, sürücüdeki silinmiş bilginin; sürücüde üzerine bilgi yazılmadığı sürece araştırmacılar tarafından ortaya çıkarılabilir. Bu da büyük saklama alanlarının uzmanların silinen bilgilere yıllar sonra bile ulaşılabileceğini sağladığı sonucunu doğurur.

Bilgilerin yeni trendler doğrultusunda kısa ömürlü olması da, uzmanların onlara ulaşmasını engelleyen bir diğer etken. Yollayan ve iletiyi alan kişinin ikisinde de bu iletinin kopyasının olmaması, kısa ömürlü bilgilerin bulunmasını zorlaştıracak. Bilginin erişilebileceği muhtemel bir diğer kaynak olan servis sağlayıcılar ise, mesajın içeriğinin değil, mesajın yollanıp yollanmadığının kaydını tutuyorlar.

Kullanıcıların kişisel cihazları gün geçtikçe daha da fazla bilgi içermeye başladı. Uzmanlar bir kişinin kişisel mobil cihazını ele aldıklarında içerdiği bilginin milyonlarca olduğunu söylüyor. Bu durumun da; bilginin cihazlarda gittikçe artan yeri göz önünde bulundurulduğunda, aranılan bilgiye ulaşmadaki zorluğun kanıtı olacağı söyleniyor. Uzmanlar bir cihazın hacklendiğini kolayca anladıklarını, fakat kim tarafından yapıldığını bulmak için bu bilgiler içinde kaybolabileceklerini bildiriyorlar.

Tüm bu bilgiler ışığında, adli bilişim uzmanlarına büyük iş düşüyor. Firmaların veya kişilerin de tüm bu zorluklara katlanmak zorunda kalmamaları için, önlemlerini önceden almaları gerekiyor. “Ne kadar bilgi, o kadar karmaşa…”.
KAYNAK:

Kredi Kartı Kullanıcıları Tehlikede

2012-03-31T14:49:00.002+03:00

Visa ve MasterCard bilgilerinin üçüncü parti kurumlar tarafından sızdırıldığı bildirildi.

Kuruluşlar; yaptıkları açıklamalar ile her ne kadar güvenli olduklarını açıklamaya çalışsalar da, iki kuruluşun da henüz tüm hizmetlerini doğrudan sağladıkları kredi kartları yok. Visa ve MasterCard altyapısını kullanan kredi kartları dünya çapında çok farklı finansal kuruluşlar tarafından sağlanıyor. Bu durum da, Visa ve MasterCard' ın çok sayıda üçüncü parti kuruluşla çalışmasını gerektiriyor.

Üçüncü parti kuruluşların devreye girdiği bu riskli süreçte, kredi kartı kullanıcıları hangi kartı seçecekleri konusunda zorlanabiliyorlar.

Tehlike Çanları Siber Saldırılar İçin Çalıyor

2012-03-30T22:50:00.004+03:00

Genellikle stratejik altyapıları hedef alan bu saldırılar, kullanıcıların karşısına bir çok yönden gelebilirken, çok tehlikeli olabilecekleri de gözardı edilemez bir gerçektir. Sanal terör kavramının ortaya çıkması da, tehlikenin boyutunu kanıtlar niteliktedir.

Zaman geçtikçe, tehlike büyüyerek şirket ve kullanıcıları hedef almaya devam ediyor. Bu farkındalığı sağlayabilmek için ise kurum ve kişilerin güvenlik konusunda daha dikkatli davranmaları gerekiyor.
KAYNAK

İyi Bir Yönetişim Altyapısı BT Değerini Maksimize Ediyor

2012-03-24T11:05:00.002+02:00

ISACA (Information Systems Audit and Control Association) danışman kurul üyesi Robert Straud yaptığı açıklamada, bilişim teknolojilerinde iyi bir yönetişim yapısına sahip olmanın artık yatırımları değerlendirmek ve işi idare edebilmek açısından gittikçe önem kazandığını belirtti.

BT yatırımlarının planlandığı gibi hedeflerine ulaşabilmesi ile belirsizliklerin ve bu belirsizlikten doğan harcamaların minimize edilebilmesi için uygun bir yönetişimin gerekli olduğunu belirten Straud, bu konunun 2012’nin ikinci çeyreğinde gündeme gelecek olan COBIT 5’in temasını da oluşturacağını belirtti. Yönetişim çalışmalarının anahtar öğeleri ise, bilişim teknolojilerinin geliştirilmesinden uygulanmasına, kontrolü ve denetiminden satın alması, ürün yönetimi ve sözleşme yönetimine kadar geniş bir alanı kapsamaktadır.

Stroud’un demecinde bahsettiği bir diğer konu da endüstrinin sanallaştırma yönüne doğru ilerlemekte olmasıydı. Birçok iş sürecinin BT içerikli olması nedeniyle yatırımların hedeflerine ulaşmasının bilişim teknolojileri sistemlerinin başarısıyla doğrudan alakalı bir hale dönüştüğünü ve bugün etkin bir yönetişim eksikliğinde pek çok projenin başarısızlıkla sonuçlanabileceğini de belirten Storud, hedefler ve BT arasındaki bu sıkı bağ nedeniyle hedeflere ulaşılamaması sonucu BT yatırımlarının da sorgulanmaya başlanacağını, bu baskının da BT’yi mobilite, bağlantı ve teknoloji temelli sürekli bir devinime ve gelişmeye yönelttiğini söyledi.

BT kapasitelerinin, iş hedefleriyle uyumunun yatırım değerlerini maksimum kıldığını söyleyen Straoud, değer yaratmanın her zaman paydaşlarla iletişim halinde mümkün olabileceğini ve risk yönetiminin etkin bir şekilde yapılması gerektiğini belirtti.

İş Sürekliliği Farkındalığı Haftası Başladı

2012-03-20T22:50:00.001+02:00

Daha önce etkinlik haberini verdiğimiz İş Sürekliliği Farkındalığı Haftası başladı. Web üzerinden takip etmenin mümkün olduğu etkinliğin webinar takvimini ve linkedin forumuna Business Continuity Awareness Week 2012 resmi web sayfasından ulaşmak mümkün.

Lostar Blogdaki ilgili yazıya ulaşmak için tıklayın.

Sanal Saldırılara Karşı Korunmanın En Etkili Yolları

2012-03-20T00:01:00.003+02:00

InfoSec Enstitüsü'nün açıklamasına göre mobil eklentilerin çoğalması, sosyal medya ve bulut bilişimin kullanımının artması ile birlikte firmaların maruz kaldığı güvenlik riskleri de artmaktadır. Bunu önlemek için firmaların ciddi güç sarf etmeleri gerektiği ve buna ek olarak bilişim teknoloji ve güvenlik uzmanlarının bu korunmaya en iyi şekilde karar vermelerinin önemi de bu açıklamada bahsedilen konulardan biridir.

Sanal suç oranının günden güne artması ile birlikte, şirketlerin zarar verici yazılımlara, hackerlara ve bilgi sızıntılarına karşı korunmak için ayırdıkları bütçenin de arttığı görülmektedir ve gerekli önlemler alınmadığı takdirde bu harcamaların zamanla daha da artacağı vurgulanmaktadır.

InfoSec, sanal suçlardan en iyi korunma yollarını ise şöyle açıklamaktadır:
1- Yasal Korsanlık (Ethical Hacking): Yasal korsan olarak adlandırılan ve sertifika sahibi kişi veya firmalardan yardım alınarak sağlanan korunma şeklidir. Bu yol ile yetki verilen yasal korsan, bir korsan gibi davranmakta ve sistemin açıklarını kötü niyetli kişilerden önce belirleyerek kötü niyetli korsanlara karşı önlem alma konusunda firmaya yardım etmektedir.
2- Tersine Mühendislik (Reverse Engineering): Bu yol ile elde edilmek istenen, tersine mühendislik yetisi kazanmış kişiler tarafından sistemdeki zararlı yazılımların, virüslerin belirlenmesi ve sistemin bilgilerinin hackerlar ve kötü niyetli kişilere karşı korunmasını sağlamaktır.
3- Saldırı Engelleme ( Intrusion Prevention): “Saldırı Engelleme” bir sistem olup, şirketin sistemini tehdit eden hackerları, virüsleri ve kötü niyetli çalışanları tespit ederek sistemi otomatik olarak korumakta ve böylece saldırılardan doğacak zararı da önceden önleyebilmektedir. Bu sistemin nasıl etkin ve etkili bir biçimde kullanılacağı ile ilgili olarak bilişim teknolojileri uzmanları eğitilmekte ve yetkilendirilmektedirler.

Tüm bu korunma yolları ele alındığında, kurumsal ortamların tehditlere karşı korunmasının en iyi yolunun kurumların, son teknolojiler ve tehditler hakkında bilgi sahibi güvenlik uzmanlarına sahip olmaları olduğu sonucuna varılmaktadır.

KAYNAK

BT Yönetişimi ve Uygulama Aşamasındaki Zorluklar

2012-03-19T12:43:00.001+02:00

Bu ifadeler size de tanıdık geliyor mu? "IT ekibi, BT çalışmalarında var olan talebi karşılamak için yetersiz kalıyor. Herkes kendisiyle yürütülen süreçleri öncelikli olarak görüyor ve en kısa sürede yapılmasını istiyor. IT ekibi, son derece stres altında çalışıyor ve motivasyon eksikliği yaşanıyor." Her koşulda BT oldukça değerli ve revaçta olan bir iş kaynağı olmaya devam ediyor ancak çoğu işletme için bu ifadeler, var olan BT operasyonlarının durumunu ve gidişatını yansıtıyor. Birçok BT çalışanının ve şirketlerin mücadele etmek zorunda olduğu bu durum, beraberinde yüksek maliyetler getiriyor. İş büyütme süreçlerinde ve önemli operasyonlar yürütülürken IT, şirketleri darboğaza sokan faktör konumuna gelebiliyor. Bu da hem IT ekiplerinin hem de yönetim kadrolarının motivasyonunun daha fazla düşmesine neden oluyor ve başarısızlık riskini artırıyor.

BT yönetişimini doğru şekilde uygulamak ve sıklıkla yaşanan bu sorunların üstesinden gelmek için yeni bir yaklaşım benimsenmelidir. Kısa vadede problemleri çözecek basit çözümler kullanarak günü kurtarmaya çalışmak çoğu zaman başarı getirmez. Bu yüzden kalıcı ve doğru çözümlere ulaşmak için çoğu zaman sıkıcı olan bürokratik süreçler ve ayrıntılı incelemelerle uğraşmak zorunda kalırsınız. Basit bir ifadeyle BT yönetişimi, BT alanındaki iş hedeflerine en az maliyetle ve istenilen şekilde ulaşmak ve IT ekibinin doğru zamanda doğru şeyler üzerine çalışmasını sağlamak için yürütülen bir süreçtir. BT yönetişimi, örgütsel başarı üzerine yapılması gereken kontrolleri, tüm aşamalarda doğacak riskleri yönetmek amacıyla kullanılan denetim kümelerini kapsar. Kulağa basit geliyor olmasına karşın tüm bu süreçler oldukça kapsamlı ve uygulama aşamasında çeşitli zorluklarla karşılaşılan süreçlerdir. BT yönetişimi, doğru bir strateji oluşturulması kadar uygulama aşamasında doğacak riskleri öngörmeyi ve önlemler almayı da gerektirir. BT yöneticileri ve çalışanları, hedeflere ulaşmak ve başarılı olmak için oldukça fazla çalışmak zorundadır. Ancak çoğu zaman yöneticiler, başarılı olmuş bir organizasyondan sorumlu ekiplerin küçük bir kısmını ödüllendirerek motive eder. BT yönetişimi genel iş başarısı için, örgüt içerisinde kısıtlı kaynakların özenli ve dengeli bir şekilde dağılımını gerektirir. Diğer bir deyişle BT, bireysel ya da takım ihtiyaçlarını temel alarak değil, kurumsal hedeflere yönelik ve kolektif çalışmalara uygun olarak şekillendirilmelidir. BT yönetişiminin çalışması için temel gereksinim uzlaşma yeteneğidir. Örgütün tüm üyeleri işe ve başarıya odaklanmışsa uzlaşma çok daha kolay gerçekleşir. BT dönüşümünün ilk ayları değişiklikleri görmek, uzlaşmayı sağlamak ve nelerin doğru nelerin yanlış yapıldığını belirlemek açısından çok önemlidir. Süreç iyi çalışıyorsa daha önceleri yaşanan tüm sorunlar çözülüyor ya da çözülecek demektir. BT yönetişimi uygulama aşamasında başta planlanan projeden oldukça farklılaşabilir ve değişik yollar benimsenebilir. Ancak temel prensipler bellidir ve bunlar aynı kalır. BT yönteminin uygulama yöntemleri tartışılabilir ancak gerekliliği ve uygulamaya geçirilme gerekliliği tüm şirketler için var olan bir ihtiyaçtır. İş tipi ya da örgüt büyüklüğü ne olursa olsun, BT yönetişimi örgütsel süreçlerin önemli ve temel bir parçası olmalıdır.

BTK'nın 2012 İş Planı

2012-03-13T23:14:00.002+02:00

Son günlerde gündemde oldukça fazla yer alan Bilgi Teknolojileri ve İletişimi Kurumu (BTK)'nın bu seneki iş planı ve stratejik hedefleri de öne çıkan inceleme konularından oldu.

BTK'nın resmi web sitesinde yayınladığı "2012 yılı stratejik hedefleri" arasında siber güvenlik, doğal afet vb. durumlar altında "haberleşmede SIM kart önceliği", "mobil iletişimi geliştirme çalışmaları" konuları dikkat çekiyor. BTK'nın "2012 hedefleri" arasında ise bilgi toplumu oluşturmaya yönelik çalışmalar, Ar-Ge faaliyetlerinin devamlılığı, tüketici haklarının gözetilmesi bulunuyor.

Geçtiğimiz yıl sektörde öne çıkan büyümeler ise 65,3 milyona yükselen mobil abone sayısı ve 16,1 milyona ulaşan genişbant internet abone sayısı oldu. Yine dikkat çeken bir başka alan ise elektronik ve mobil imza alanları. Mobil imza sayısı 151 bine ulaşırken, elekronik imza kullanıcılarının ise 300 bine yaklaşmış olduğu BTK Başkanı Tayfun Acarer tarafından açıklanan sektör istatistiklerinden.

Felaket Kurtarma Planı (Disaster Recovery Plan)

2012-03-09T14:59:00.023+02:00

İlk olarak iyi bir felaket kurtarma planı hazırlayabilmek için tanımların ve kapsamın iyi belirtilmesi ve buna göre ilgili risklerin doğru olarak belirlenip, ilgili analizlerin gerçekleştirilip aksiyon planlarının çıkartılması gereklidir.

Felaket Nedir?
Doğal Afetler
Deprem, sel gibi doğal afetlerin yanı sıra savaş durumu gibi nedenlerden dolayı faaliyetlerin durmasıdır.
Yerel Afetler
Yangın, su baskını vb. durumlardan dolayı sistemlerin bulunduğu yapının kullanılamaz hale gelmesidir.
İnsana Bağlı Afetler

Sistemlere karşı yapılan saldırılar, kasıtlı veya kasıtsız yere yapılan kişisel hatalar ile sistemlerin çalışamaz duruma gelmesidir.
Servis Kesintileri
Kritik servislerin bozulma, arıza gibi nedenlerden dolayı servis veremiyor duruma gelmesi veya kasıtlı olarak DoS ataklarının gerçekleştirilmesidir.
Risk Saptaması
Hangi durumda nasıl bir kayıp verileceğine dair riski belirlemek ve bu riski en aza indirmek için alınacak önlemler saptanmalıdır.

Risk tablosu oluşturulduktan sonra felaket kurtarma planında belirlenecek senaryolara göre her birine bu tablodan bir risk seviyesi belirlenmeli ve davranış modeline göre tasarlanmalıdır.

Servisler
Şirketteki iş sürekliliğini sekteye uğratacak servislerin tanımlanması bu anlamda önem arz etmektedir. Bu servislerin herhangi bir afet veya olağanüstü durum karşısında ilgili öncelikleri ve riskleri belirlenmelidir.

Risk Analizi
Buradaki amaç herhangi bir felaket durumunda, durumlara göre nasıl bir aksiyon planı yapılacağını önceden belirlemek ve ona göre davranmak olacaktır.
•Finansal Kayıp
Kısa ve orta vadede gerçekleşen kesintiler sonucunda oluşan maddi zararlardır.
•Marka Değeri Kaybı
Sürekli veya kısa vadede yaşanan kesintiler sonucunda kurumun itibar kaybetmesi durumudur.
•Personel Kaybı
Kurum içerisinde kesintiler ve olumsuzluklar sonucunda yaşanan personel kayıpları durumudur.

Servis Analizi
Servislerin genel tanımı yapıldıktan sonra, sistemler üzerinde aktif kullanılan servislerin tanımlanarak sınıflandırılması önemlidir. Bu anlamda mevcut envanter listesi ile çalışan servislerin konsolide edilmesi gerekir. Envanter listesi ve servislerin katmanlara göre belirlendiği tablo aşağıdaki özellikleri içermelidir:
• Sunucu Envanteri
• İşletim Sistemi Bilgileri
• Veritabanı Bilgileri
• Sistemdeki Cihaz Bilgileri
• Güvenlik Sistemleri
• Risk Seviyesi
Topoloji ve Prosedürlerin Analizi
Şirketin topoloji haritası ve IT süreçleri belirlenerek, felaket anında bu prosedürlerde yapılması gereken değişikliklerin tanımlanması gerekir.
Kesinti Süreleri ve Veri Güncelliği (RPO – RTO)
Kesinti anında kritikliğine göre kabul edilebilir kesinti süresi saptanmalı ve giriş yapıldığı andaki verinin güncelliği ile ilgili kabul edilebilir sınırlar analiz edilmeli ve planda dökümante edilmelidir.
Rol ve Sorumluluklar
Felaket durumlarında planın kapsadığı personel belirlenmelidir. Bu anlamda çalışan personel departmanlara göre kategorize edilmelidir, IT departmanında bulunan personelin görev ve sorumluluklarının belirlenmesi, erişim listelerinin hazırlanması ve organizasyon şemaların ortaya çıkarılması gerekmektedir.

Ataman KURAL

Google'ın Veri Gizliliği Güncellemesi Çok Mu İleri Gitti?

2012-03-01T02:13:00.002+02:00

Bugünlerde arama motoru devi Google, Mart ayında devreye girecek olan gizlilik politikası değişikliği ile ilgili müşterilerine kısa bir açıklama niteliğindeki önizlemeyi sundu. Bu önizleme yayınlandıktan kısa bir süre içinde çeşitli incelemeler ve eleştiriler yapıldı. Düzenlemeyi yapanlar hakkında, düzenlemenin şeffaflığı ve sadeliği konusunda övgüler yapılırken, Google’ın kullanıcı bilgisi toplama uygulamalarının kapsamı konusundaki eleştiriler ise hala sürüyor.

Google’ın gizlilik müdürü Alma Whitten’ın Google’ın bloğunda yaptığı açıklamaya göre 60’tan fazla gizlilik politikası bir araya getirilerek kullanıcıların yararlanması için daha etkili bir sistem oluşturuldu. Açıklamaya göre gizlilik politikalarındaki asıl değişiklik ise kullanıcıları ilgilendiriyor. Yeni politikaya göre, hesabınıza giriş yaptığınızda, bir servise girerken kullandığınız bilgiler ile başka bir servisteki bilgiler sistem tarafından birleştirilebilecek. Yani Google, bir kullanıcının tek bir hesabı ile Google’ın tüm servislerine erişimini mümkün kılmış ve böylece kullanıcılarına kolaylık sağlamış olacaktır.
Alma Whitten’a göre Google artık kullanıcıları ile ilgili örneğin bir Spor Merkezi üyeliği söz konusu olduğunda, bunun kullanıcılarına uygun olup olmadığının yorumunu, kullanıcının geçmişte çevrimiçi olarak kaydettiği form ve sağlık durumu ile ilgili kayıtlarına bakarak yapabilecek.
Yine bu sistem sayesinde, yalnızca Gmail hesabınıza giriş yaptığınızda, herhangi ek bir girişe gerek olmadan, Google Books, Google Wallet, Google Maps ve hatta Youtube gibi hizmetlere de direkt olarak giriş yapmış olacaksınız. Yani sistem, sizinle ilgili elinde bulundurduğu bilgileri, diğer hizmetler ile paylaşarak bu hizmetlere girdiğinizde sistemin sizi otomatik olarak tanımasını sağlamış olacaktır. Bu yeni güvenlik politikasını kabul etmek istemeyen Google hesabı kullanıcıları da, yeni güvenlik politikası yürürlüğe girmeden, hesaplarını kaldırabilecekler ve bilgilerini sistemden alabilecekler.
Whitten’ın açıklamasına göre önceki sözleşmedeki birçok önemli hüküm, yeni sürümde bozulmadan aynı kalacak. Ayrıca kullanıcı bilgileri asla üçüncü şahıslara satılmayacak. Kullanıcı izni alınmadan yapılacak olan dış paylaşımlar ise çok sınırlı bir alanda olacak ve bu alanda yapılacak paylaşımlar yalnızca onaylı mahkeme kağıdı gibi resmi belgelerle mümkün olacak. Firmanın daha önce kullandığı Reklam Tercihleri Yöneticisi (Ads Preferences Manager) aracı yine ilan içeriklerine göre reklamları düzenlemeye devam edebilecek ve isteğe göre görüntülenebilen bazı özelliklerin tamamen etkisiz hale getirilmesini sağlayabilecek.
Google kullanıcıların endişelenmemesi gerektiğini vurgulayarak bilgilerin üçüncü şahıslarla paylaşılmayacağını garantilediğini bildirdi. Internet devi, değişikliklerin kullanıcıların Google’ın diğer uygulamalarına kolay erişim sağladığını ekledi. Tüm bu olumlu yorumlara rağmen, bazı kuruluşlar da Google’ın veri gizliliği güncellemesinin çeşitli açılardan olumsuz olduğunu belirten eleştiriler yapmaktalar.
Bazı uzmanlar Google’ın politika değişikliğinin teorik bir değişiklik olmaktan çok bir kelime oyunu olduğunu düşünmekteler. Massachusetts kongre üyesi Ed Markey Washington Post’a yaptığı açıklamada; Google’ın bu politikayı uygulayarak kullanıcılarının bilgilerini servisleri arasında paylaşabilme yetkisi ile kullanıcılarını Google hizmetleri kullanmaya yönlendirdiğine ve mecbur ettiğine inandığını söylüyor.
Ya hep ya hiç yaklaşımına sahip böyle bir uygulama, Google hesaplarını sadece veri özgürlüğüne sahip olmak için kapatmayı düşünmeyen kullanıcıların, yararına olmayabilir.
Sadece veri özgürlüğüne sahip olmak için hesaplarını kapatmayı düşünmeyen kullanıcı kesimi göz önünde bulundurulduğunda, Google’ın söz konusu ya hep ya hiç politikasının pek de yararlı olduğu söylenemez.
Bazıları da, yeni gizlilik politikası hakkındaki basit açıklamanın, bu uygulamanın geniş sonuçları hakkında yapılacak incelemenin kullanıcıları hayal kırıklığına uğratmasından endişelendiğini açıklıyor.
Dijital Demokrasi Merkezi yönetici müdürü Jeffrey Chester’a göre Google’ın yeni değişikliğinin sonucu olarak müşterilerin sağlığı, finansal endişeleri ve siyasi görüşleri gibi kişisel bilgilerini çeşitli platformlarda nasıl aktaracağını müşterilerin anlama şansı hiç yok.
Bazı teknoloji uzmanları da Google’ın yapmış olduğu bu değişiklikleri yalnızca sektörün öncüsü olmak için süregelen arayışının bir parçası olarak gördüklerini söylüyorlar.
Wall Street Journal’daki yazısında Jennifer Valentino-DeVries; insanların sosyal medya ve e-posta hizmetlerinden ücretsiz yararlanmak isteklerinin yanı sıra, şirketlerin para kazanmaya ihtiyacı olduklarını ve bu yüzden de Google’ın büyük müşterilerini etkileyebilmek için bu yola başvurduğunu söylüyor.
Ayrıca Valentino-DeVries yazısında; yeni politikada uygulanan bilgi aktarımının sezdirmeden yavaş yavaş yapılması ve politikanın görünen yüzü olarak da kullanıcıların siteler arası erişiminin kolaylaşmasının vurgulanması yüzünden, kullanıcıların yeni politikaya kuşkucu yaklaşmasının önlenebileceğinden de bahsediyor.
Sektörün içerisinde ise Google’ın bunu yapma nedeninin müşteri bilgilerinin gizliliğini artırmak için değil, yalnızca sektördeki rakiplerini alt edebilmek için yaptığına dair söylentiler de var. Bunun nedeni olarak da Google’ın twitter ve diğer sosyal paylaşım sitelerinde aldığı “Google arama sonuçlarını eskisi kadar doğru ve etkili olarak göstermiyor” eleştirilerini gösteriyorlar. Ancak yeni gizlilik politikası ile aramalarda Google+’daki ilgili paylaşımların da gösterilmesinin, sosyal ağlarda bahsedilen kötü ün konusunda yangına körükle gitmek olduğunu ekliyorlar.
Çeşitli gizlilik kuruluşları, Google’ın yeni politikasını ayrıntılı olarak inceleyeceklerinin sözünü şimdiden vermeye başladılar. İrlanda Veri Koruma komisyonu üyesi Gary Davis, yeni güvenlik politikasının ekibi tarafından muhtemel sonuçları ile birlikte değerlendirileceğini, Fransa’nın Ulusal Bilişim ve Sivil Özgürlükler Komisyonu ise görevlilerinin bu politikanın yasal olmadığı söylemleri doğrultusunda, ayrıntılı bir araştırma düzenleyeceklerini söylüyor.
Sonuç olarak Google’ın gizlilik konusunda yaptığı bu güncelleme, tüm yorumlar göz önünde bulundurulduğunda, uzun süre kafalarda soru işareti olmaya devam edeceğe benziyor. Bir yanda ulaşım kolaylığı söz konusu iken, diğer yanda bilgilerin paylaşılacağı konusundaki endişeler tüm bu soru işaretlerinin temelini oluşturuyor. Bakalım ilerleyen günlerde Google tüm bu eleştirilerle baş ederek, soru işaretlerinin tamamını silebilecek mi?

KAYNAK

2012’de Ticari Amaçlı Veri Güvenliği’nde Öne Çıkacak Konular

2012-02-27T14:02:00.001+02:00

Thomson Reuters News & Insight'ın yayınladığı bir rapora göre yeni yılın veri güvenliği konusunda en önemli başlıca konular siber güvenlik ve bulut bilişim (cloud computing) olacak.

2011 yılında yapılan sayısız veri hırsızlığı ve siber tehdite rağmen, Mintz Levin hukuk departmanından Cynthia Larose'a göre 2012 yılı İnternet güvenliği ve gizlilik açısından daha da zorlu geçecek bir "geçiş yılı" olacak.

Larose bu konuda "Şirketler müşterilerinin kişisel bilgilerini depolama yöntemlerini değiştirmeye zorlanabilir, en azından şirketler özel verileri korumak amacıyla daha sağlıklı uygulamalar ve sistemler geliştirmek zorunda kalabilir." diyor.

Siber güvenlik konusunda Larose bütün alanlardaki şirketlerin verilerini nasıl kontrol ettiklerini ve kişisel bilgileri nasıl yönettiklerini yeniden gözden geçirmeleri gerekeceğini işaret ediyor. Şirketlerin müşteri güvenliğini korumak konusunda inisiyatif kullanmaları gerektiğini belirtirken, veri güvenliğinin günlük iş uygulamalarını sağlamlaştırması gerektiğinin de altını çiziyor.

Bunu başarabilmek için üç yöntem ele alınmalıdır. Birincisi, şirketler ne tür bilgiyi, nerede ve hangi güvenlik şartları altında depoladıklarının farkında olmalılar. İkinci olarak, bazı bilgilere erişimin sadece yetkili personel tarafından görüntülenebilirken diğer kullanıcılara kapalı olması. Son olarak da güvenlik sisteminin geniş ve detaylı bir belgelemeye tabi tutulması, şirketlerin tahkikatlara tabi olduğu göz önünde bulundurulursa, bu yöntemin hassas verilerin gizliliğini ispatlamada kullanılması sağlanacaktır.

Larose ayrıca Bulut Bilişim’in 2012 yılının yaygın bir güvenlik meselesi olacağına işaret ediyor. IBM şirketinin bir çalışmasına göre, çalışmaya katılan CIOların yüzde 60’ı rekabeti arttırma ve şirketlerinin operasyonlarını geliştirmede, bulut bilişimin geleceğe yönelik planlarında yer aldığını söylüyor.

Ne var ki bu yöntemi en etkili şekilde kullanmak için şirketler, bulutta toplanan müşteri bilgisinin veri kaybına veya saldırıya karşı güvenliğini sağlayacak stratejiler geliştirmek zorundalar.

Şirketlerin bulut güvenliği ve gizliliği konusunda karşılaşabilaceği bir takım meseleler var. Bunlardan başlıcası uluslararası alanda verilerin sahiplenilmesi ve yönetilmesi hususu. Bulutta, veriler depolandıkları ülkelerden kullanılmak zorunda değil, dolayısıyla verilerin sahiplenilmesi, ve hangi ülkenin bu veriler hakkında yasal hükme sahip olduğu hakkında bir takım kafa karışıklıkları yaşanıyor.

Bu durum Birleşik Devletler ve Avrupa Birliği göz önüne alındığında apaçık ortada. Amerika Birleşik Devletleri'nin "Patriot Act" adındaki yasası, istendiği takdirde gizli verilerin hükümete verilmesini sağlayan çok geniş yaptırımlara sahip. Ancak bu durum Avrupa Birliği'nin verileri birlik dışındaki ülkelerde faaliyet gösteren şirketlerle paylaşmama şeklindeki yasalarına ters düşmekte.

2012’de konuşulacak başka bir önemli konu da bulut bilişim (cloud computing) ile ilgili yasal düzenlemelerindeki eksiklikler. Birkaç endüstri organizasyonu bulut bilişime standartlar getirmeye çalışmış olsa da hiçbir hükümet organı bu gelişen teknoloji karşısında yetksini ilan etmedi. Larose bu durumun ABD'de 2012 yılında değişebileceğini belirtti, zira federal hükümet bulut bilişim konusunda kapsamlı bir düzenlemeye gidebilir.

Larose 2012 yılının diğer güvenlik meseleleri olarak, konum bazlı servislerin çokluğunu, uluslararası güvenlik yasalarını ve veri koruma yasalarının geldiğini belirtiyor.

Bu mevzuların her birinin çözümü veri merkezli güvenlik önlemleri olabilir. Çevrimiçi depolanan bilgi arttıkça, bu bilgiye erişim sağlayan kanalların sayısı da geçtiğimiz yıllar içinde hızlıca arttı. Hatta şu an öyle bir noktaya gelindi ki, artık şirketler için sadece kişisel sırları korumak bile yeterli değil.

Bunun yerine organizasyonların verinin kendisini, şifreleme, bulut bazlı güvenlik yöntemleri ve birkaç farklı yöntemle koruması gerektiği açıkça ortada. Çoğu örnekte, bu yöntemler kişisel bilginin çalınmasını ya da kaybolmasını engelleyecek en etkili yöntemler olduklarını ispat edecektir.

Rauf DİLSİZ

Referans: http://www.simplysecurity.com/2012/02/09/cybersecurity-cloud-computing-are-top-2012-commercial-data-security-issues/

Sosyal Medya Kamu Güvenliği’ne Nasıl Katkıda Bulunabilir?

2012-02-19T19:19:00.020+02:00

Kamu güvenliği konusunda ileriye dönük çalışmalarda bulunan kamu kuruluşları, artık sosyal medyayı durumsal farkındalığı geliştirmek için destekleyici bir araç olarak görmeye başladılar. Usame Bin Ladin’e yapılan baskının anında Twitter üzerinden öğrenilebilmesi ve çocuk kaçıran bir adamın Facebook’taki hesabını güncellemesi sonucu bulunması da durumsal farkındalığın sosyal medya ile desteklenebileceğinin en iyi kanıtlarından olarak gösterilebilir.
Bu durumun mümkünlüğü sosyal medyanın geleneksel kullanımının ve kamu güvenliğinin içeriğinin farkları nedeni ile bazı durumlarda geçerli iken bazı durumlarda sosyal medyaya bel bağlamak sosyal medyada yer alabilecek yanlış bilgiler yüzünden riskli ve masraflı olabilir.

Sosyal Medya ile Acil Müdahale Hangi Durumlarda Mümkündür?

Sosyal medyayı kullanmak isteyen kamu güvenliği kuruluşlarının önemsemesi gereken iki faktör bulunmaktadır:

İletişim şekli (Örneğin kuruluş halka bilgi verebilir, halktan bilgi alabilir ya da iki yönlü iletişimi tercih edebilir)
İletişimin olaylarla ilgili olarak zamanlaması

Örneğin yerel bir polis teşkilatı; hava durumu veya özel durumlarla ilgili haberleri Twitter veya diğer sosyal ağlar ile anında halka duyurarak sosyal medyayı etkin bir şekilde kullanmış olacaktır. Diğer yandan karar desteği halktan gelen bilgilere de güvenir. Kamu güvenliği kuruluşları özel bir durum söz konusu ise seçici olarak bazı kullanıcı hareketlerini görüntüler ve buna göre eylem planını oluşturur. Bunun sonucunda da iki yönlü iletişim gerçekleşmiş olur.

Acil durum çağrı hatları da bu teknolojiden yararlanabilecek bir diğer kuruluş çeşididir. Ancak sosyal medya kullanıcıları daha çok fotoğraf veya video yollama ya da durum güncellemeleri ile ilgilendikleri için acil durumlarda sosyal medyadan iletişime geçmek bireyin aklına gelmeyen bir yoldur. Sosyal medyayı aktif kullanan bir birey bunu yapmaya çalışsa bile, hattı direk arayan diğer bir görgü tanığından daha geç bir sürede acil durumla ilgili bilgi verebilecektir. Bu yüzden bireyler genellikle alışkın oldukları yolu, yani telefonla direkt olarak iletişime geçmeyi tercih etmektedirler.

Kamu Güvenliği Bazı Zorluklara Maruz Kalabilir mi?

Acil duruma anında müdahale edebilme ya da olay yeri ile ilgili bilgilerin alınması acil durum müdahale ekibi için oldukça önemlidir. Olay yeri ile ilgili detaylı bilgiye ulaşım sosyal medya ile mümkündür ancak çoğu kamu güvenliği kuruluşu bu konuda eksik bilgiye sahip olduğu ve sitelerden bunu araştırması konusunda yetersiz olması nedeni ile sosyal medyadan etkin biçimde faydalanılamamakta ve böylece acil durum hatlarında aşırı yüklenme yüzünden kilitlenmeler meydana gelmektedir.

Sosyal medyadan etkin bir biçimde faydalanmak adına bazı kamu güvenliği kuruluşları özel birimler oluşturmaktadırlar. Örneğin, New York Polis Departmanı bir sosyal medya birimi oluşturmuş ve böylece herhangi bir olayla ilgili bilgilere etkin biçimde ve zamanında ulaşımı sağlamıştır.

Sosyal medyada faydalı kullanımlar kamu güvenliğinin sağlanmasına etkin bir biçimde destek olurken, çok sayıda faydasız bilgiler de yer almaktadır. Bu yüzden tamamen sosyal medyaya bel bağlamak da yanlış olacaktır. Örneğin sosyal medyada herhangi bir olayla ilgili yanlış bir bilginin yer alması hatalı hareket edilmesine neden olabilir ve bu yüzden de acil durum hatlarını direkt olarak aramak hala daha tercih edilebilir bir yol olarak görülmektedir.

Sosyal medya bu şekilde büyümeye devam ederse ve bilinçli kullanımın da artması sonucu, kamu güvenliğine sağlanacak katkı maksimum olabilecektir ve böylece kamu kuruluşları güvenle sosyal medyayı kullanabilecekler ve etkili bir eylem planı oluşturabileceklerdir. Hatta sosyal medya bu hızla büyümeye devam ederse, halk ve kamu güvenliği konusunda başvurulacak ilk kaynak konumuna bile gelecektir.
Kaynak

İş Sürekliliği Farkındalığı Haftası Bu Sene 19 - 23 Mart'ta

2012-02-12T17:06:00.002+02:00

İş Sürekliliği Enstitüsü (Business Continuity Institute - BCI) tarafından düzenlenen İş Sürekliliği Farkındalığı Haftası 19-23 Mart tarihleri arasında gerçekleşecek. Etkinliğin, bugünün dinamik ve karmaşık iş dünyasında krizin etkin bir şekilde yönetimi konusunda ücretsiz ve global bir eğitim içeriği sunması amaçlanıyor.

Farklı özellikler gösteren kriz dönemlerine karşı daha dirençli ve esnek bir organizasyon olmanın önemi üzerinde durulması planlanıyor. Kriz ortamları genel kanının aksine, zamanın girişimcilerin aleyhine işlediği gerçeği de etkinliğin temalarından biri.

Etkinlikte Dikkatinizi Çekebilecek Uygulamalar

- BCI ve ortakları tarafından yapılan yeni araştırmalar hafta boyunca yayınlanıyor olacak ve internet yayınıyla bu bilgiler geniş kitlelere ulaşabilecek.

- Hafta boyunca 30’dan fazla canlı internet yayını yapılacak ve yayın sırasında sorular sorulabilecek.

- İş Sürekliliği Farkındalığı Haftası Forumu: Yeni katılımcıların, İş Sürekliliği Topluluğu ve endüstrinin daha deneyimli çalışanlarına LinkedIN üzerinden soru sorabilecekleri bir forum oluşturulacak.

- BC24: Özel vakaları organizasyonunuz ve yönetim yetenekleriniz üzerinde test edebileceğiniz ezber bozan ve çok fonksiyonlu bir simülasyon oyunu ile dünya çapında benchmark fırsatı yakalamak mümkün.

İş Sürekliliği Enstitüsü Hakkında

BCI, iş sürekliliği yönetimini bir sanat ve bilim olarak ele alarak, organizasyonları olağanüstü durumlar için hazırlıklı hale getirmek için 1994’te kurulmuştur. Enstitü üyelerine, danışmanlık ve destek çalışmaları, eğitim ve sertifikasyon programları, süreklilik ve etik açıdan standartları uygulama gibi fırsatlar tanımaktadır.

İçinde Agenci, Aon Risk Consulting, BAE Systems, BP, BSI Group, BT, ContinuitySA, Deloitte, DNV, ClearView, COOP Systems, DHL Supply Chain, eBay, Getronics, GPAA, IBM, Itau Unibanco, HP, Link Associates, Lockheed Martin, National Grid, Prudential, PwC, Royal Mail, Savant, Statoil, Steelhenge Consulting, UNICEF, VocaLink and Zurich’in de bulunduğu 80 organizasyonun üye olduğu BCI, ayrıca kurumsal üye olma fırsatı da sağlıyor.

Detaylı bilgi ve kurumsal üye olmak için The Business Continuity Institute online sayfasını ziyaret edebilirsiniz.

Kaynak: info4security

Görsel: bcaw2012

Ethical Hacking

2012-02-11T11:53:00.005+02:00

Hacking, birçok yönetici için korkutucu ve uzak durulması gerekli görülen bir kavram olsa da çoğu zaman, bilgisayar sistemlerine bilinçli olarak yapılan müdahaleler hayat kurtarıcı olabiliyor. Şirketlerin maddi ve manevi olarak büyük zararlar görmesi engelleyecek olan önemler, genellikle bu müdahalelerin ardından hayata geçiriliyor. Peki hackingin aslında uzak durmanın aksine yaklaşılması gereken yanı olan ethical hacking neden bu kadar önemli?

Bilginin son derece önemli olduğu günümüzde, değişen dünya düzeni artık bilgiye sahip olmak kadar onu depolayabilmenin ve koruyabilmenin de ne kadar önemli olduğunu ortaya koyuyor. Var olan bilgilerin şirketler ve bireyler için bu kadar önemli oluşu kötü niyetli saldırıları da beraberinde getiriyor. Bu saldırıların sonucunda şirketler oldukça yüksek maliyet getiren zararlara uğrayabiliyor. Kimi zaman da doğru bir şekilde ve vaktinde alınmış önlemler, saldırı durumunda bir felaket senaryosunun gerçeğe dönüşmesini engelliyor. Şirketlerin bu önlemleri alabilmesi için çoğu zaman güvenlik problemleri tespit etmeye ve uygun çözümleri aratmaya ihtiyacı olabiliyor. İşte bu aşamada ethical hacking devreye giriyor. Şirket dışından alınan hizmetler ile olası bir saldırı, gerekli görüldüğünde şirketin bilgisi dahilinde veya şirketin haberi olmadan hayata geçiriliyor. Bunun sonucunda ise sistemdeki açıklar, güvenlik tedbirlerindeki yetersizlikler ve bunların çözülmesi için yapılması gerekenler ortaya çıkmış oluyor.

Şirket içinde ve dışındaki tüm ağların ve uygulamaların güvenliğini test etmek ve açıkları belirleyerek gereken önlemleri almak Security Checkup Hizmetleri ile mümkün hale geliyor. Internet Security Checkup, Intranet Security Checkup, DoS Security Checkup, Application Security Checkup ve Process Security Checkup olmak üzere 5 ana başlıktan oluşan Security Checkup Hizmetleri'nin amacı, kurumlarda kullanılan koruma sistemlerinin ve süreçlerin saldırgan bakış açısı ile denetlenerek sistemlerin güvenilirliğinin test edilmesidir. Bilişim sistemlerinin saldırı altında kalmaları durumunda erişilebilirliklerini ve sahip oldukları güvenlik risklerinin gerçekleşmesini ortaya koymaktır.

Günümüzde ethical hacking yoluna başvurmak ve çeşitli penetrasyon testleri yaptırmak şirketler için bir zorunluluk haline geldi. Ancak olası tüm saldırı ihtimallerini test etmek, açıkları ve bunların nelerden kaynaklandığını tespit etmek oldukça geniş bir birikim ve detaylı bir araştırma gerektiriyor. Penetrasyon testlerinin uygulanmaya başlamasından, eksiklerin belirlenip çözümlerin yöneticilere ve IT çalışanlarına iletilmesine kadar tüm aşamalarda disiplin içerisinde yürütülmesi gereken bir süreç var ve bu süreç, ayrıntılı bir çalışma ile sürdürülüyor.

Cep Telefonlarında Güvenlik

2012-02-06T10:54:00.003+02:00

Son 20 yılda hayatımıza girmiş olan cep telefonları özellikle son bir kaç sene içerisinde akıllı telefonlar olarak daha da gelişti ve insanların hayatlarını kolaylaştırmaya başladı. Cep telefonları üzerinden kişiler internet sitelerinde sörf yapabiliyor, yakınlarıyla ve iş arkadaşlarıyla telefon konuşmaları ve mail transferi yapabiliyor hale geldi. Özellikle kritik bilgilerin paylaşımlarının yapıldığı epostalar için bir çok cep telefonu üreticisi çeşitli çözümler üretti ve bu çözümlere her geçen gün yenileri de eklenmekte. Ancak üreticiler kadar saldırganlar da her geçen gün gizli bilgileri öğrenmek için çeşitli yollara başvurarak mevcut çözümleri delmeye çalışmaktadırlar. Pek çok virüs üreterek, yaygınlaştırmaya ve bu sayede daha çok kişisel bilgi elde edinmeye çalışmaktadırlar. Peki biz kişisel olarak neler yapabilir, nasıl korunabiliriz?

Öncelikle mobil güvenliği sağlamak için tıpkı bilgisayar kullanırken olduğu gibi, yapmamız gereken güvenmediğimiz websitelerinde sörf yapmamak, gelen emailin güvenilirliğine emin olmadan açmamak diyebiliriz. Ayrıca emin olmadığımız yabancı numaralardan gelen aramalara mümkün olduğunca cevap vermemek, eğer cevap vermek durumunda kalınırsa da kişisel herhangi bir bilgi paylaşılmaması ve uzun süreli konuşmamak gerekli. Aynı şekilde bilmediğimiz yerlerden gelen SMS'ler için de benzer şekilde yanıt vermemeli veya memsajda belirtilen numarayı aramamalıyız.

Cep telefonlarının en büyük özelliklerinden biri hayatı kolaylaştırmak olduğundan bir çok kullanıcı telefonunda gizli, kişisel bilgiler tuttuğu gibi e-posta adreslerine gelen parolalarını da saklamaktadır. Bu nedenle telefonlardaki bilgiler kişisel güvenlik nedeniyle de çok önem taşımaktadır. Bu yüzden kullandığınız cep telefonunun hem telefon açılırken simkart parolasını soracak, hem de açıldıktan sonra tuş kilidi şifresi soracak şekilde ayarlanarak kullanılması belki de alınacak en temel ve basit önlem olmalıdır. Koyacağınız parolanın içeriğini, detayını sadece kullanıcı bilirse herhangi bir saldırgan hiçbir şekilde telefonuna giriş yaparak bağlanamaz, bilgisayara bağladığında da yine aynı parola isteğiyle karşılacağından parolayı aşamaz. Elbette cep telefonunda güvenliği sağlamak yukarıda bahsedilenlerden ibaret olmamaktadır. Bir diğer korunma yöntemi de cep telefonları için kullanılacak antivirüs yazılımlarından faydalanmaktadır. Cep telefonları için varolan pek çok antivirüs tarama cihazı bulunmaktadır. Ancak birçoğu paralı olduğundan genelde kişiler yerine kurumlar tarafından tercih edilmektedir. Bu tarama cihazlarıyla telefonunuzu taratabilir, (varsa) virüsleri bulabilir ve telefonunuzu yeniden sağlıklı bir hale getirebilirsiniz ancak ya siz tarama yapmadan önce telefonunuza giren bir virüs bütün bilgilerinizi silerse? İşte bu gibi durumlara maruz kalmamak için telefonunuzu daima virüslere, spyware’lara karşı güncel tutmalı, yedeklemelerini bilgisayara yapmalı ve aynı zamanda sık sık kontrol etmelisiniz. Bu konunun uzmanlarına danışmakta, onlardan bilgi almakta, doğru yöntemlerle hareket etmekte de fayda var.

Son yıllarda yaygınlaşan akıllı telefonlar gerek güncellemeler, gerek yedekleme yapmak gibi durumlar için bilgisayarlarla birlikte kullanma gereksinimi doğurmuştur. Dolayısıyla bilgisayarınızda varolan bir virüs aslında cep telefonunuza da hafıza kartı yoluyla geçebilir. Bunu da engellemenin yolu bilgisayarınızı daima güncel tutmaktan, kullandığınız antivirüs programlarının güncelliğinden emin olmaktan ve zaman zaman yapacağınız taramalardan geçmektedir. Yılda ortalama satılan telefon sayısı 1,5 milyar civarında olduğundan akıllı telefonların sayısı da gün geçtikçe artmakta, talepler çoğalmakta, pazar payı da artmaktadır. Dolayısıyla insanların ihtiyaçları bir o kadar giderilmekte, hayatları kolaylaşmakta, interaktif bir şekilde iş hayatına entegre olması sağlanmaktadır. Ancak ya telefonunuzdan dolayı başınız ağrırsa? Yukarda bahsedilen konular kullanıcıların baş ağrılarını engelleme amaçlıdır.

Rauf DİLSİZ

Bilgi Güvenliğinde Teknik İnovasyon

2012-01-25T17:20:00.011+02:00

İnovasyonun etkilerinin en rahat görülebileceği sektörlerin başında teknoloji sektörü gelmektedir. Teknoloji sektörü, diğer sektörlerle kıyaslandığında değişimde önde olan bir sektördür. Her yeniliğin bir değişim getirmesi durumu, her değişimin de bir yeniliğe aç olması durumunu beraberinde getirmektedir. Bu yüzden teknoloji sektörü için inovasyon, bir araçtan çok bir amaç haline gelmiştir.

İnovasyon konusunda geride kalan bir kurum, pazar payını çok hızlı bir şekilde kaybetme tehdidi ile karşı karşıya kalmaktadır. Çok hızlı gerçekleşen kayıplar benzer şekilde yeni kurulan bir şirketin çok hızlı bir şekilde sektör devi olmasına da altyapı sağlayabilmektedir. Hız ile ilgili bu durum özellikle teknoloji ve bilişim alanlarında hizmet veren kurumların karşılaştığı bir durumdur. Hızın ve değişimin yoğun olduğu bir sektörde inovasyon en önemli faktörlerden biri olarak rol oynamaktadır.

Sony PS örneği
Sony, ürettiği Playstation isimli konsol için oyunların korsan olarak çalıştırılmasını engelleyecek güvenlik önemleri geliştirmektedir. Bu güvenlik önlemleri sayesinde sadece orjinal satın alınmış oyunlar Playstation ile oynanabilir olmaktadır ve bu oyunların kopyaları yapılamamaktadır. Sony, bilgi güvenliğinin teknik olarak hayata geçirildiği bu durumdan yararlanarak, beraber çalıştığı oyun yapımcısı firmaların da ticari kazanç elde etmelerini amaçlamaktadır. Bugüne kadar Sony üç adet Playstation konsolu üretmiştir ve bu konsolların her birinde kopyalamaya karşı bu tip güvenlik önlemleri yer almıştır. Ancak Playstation 1 ve 2 isimli ürünlerde bu kopyalama koruması korsanlar tarafından hızlı bir şekilde aşılmış ve kopya oyunlar konsol üzerinde oynanabilir olmuştur.

Sony bu duruma bir çözüm olarak uyguladığı teknik güvenlik politikaları üzerinde bir yeniliğe gitmiş ve en son piyasaya sürdüğü Playstation 3 konsolunda bu yenilikleri uygulamıştır.

Uyguladığı yenilikler sayesinde rakiplerinin aksine Sony, ürünü için yaklaşık 4 yıl süren bir kopyalama koruması elde etmiştir. Ancak bu 4 yılın sonunda diğer piyasaya sürmüş olduğu eski ürünlerinde olduğu gibi kopyalamaya karşı koruma kırılmıştır. Bu rakam hem Sony’nin eski ürünlerine hem de rakiplerinin istatistiklerine bakıldığında yüksek bir oran olarak göze çarpmaktadır.

Bu durum hemen akıllara bilgi güvenliğindeki zaman boyutu kavramını getirmektedir. İnovasyon da bilgi güvenliğinde olduğu gibi zamana bağlı bir fonksiyondur. Zamanın ihtiyaçlarına ve değişen şartlara cevap vermeyi hedefler. Şüphesiz olan bir şey var ki, Sony bu cevabı verebilmek için Playstation 4 üzerinde güvenlik anlamında birçok yeniliğe imza atacaktır. Bir kurum olarak Sony, kendi çıkarlarını korumak zorunda ve karlılığını arttırmak zorundadır.

Devletlerdeki durum

Günümüzde bilgi güvenliğini önemseyen devletler, bilgi güvenliğinin kullanım alanlarında inovasyona giderek ülkelerinin ulusal çıkarlarını dahi korumayı hedeflemektedir.

2011 yılında Çin devleti tarihi bir açıklamayla, ilk kez bir "süper elit siber savaşçı birliğine" sahip olduğunu belirtti. Siber savaşçılardan oluşan ekibin, Çin Halk Kurtuluş Ordusu'nun (PLA) internet ağlarını dış saldırılardan korumak amacını taşıdığı ifade edildi.

Çin, 30 kişiden oluşan birliğin isminin "Mavi Ordu" olduğunu açıkladı. İngiltere'nin Times gazetesine konuşan eski bir PLA generali, Mavi Ordu'yu oluşturan kişilerin özel olarak seçildiğini ve "istisnai derecede yetenekli" insanlar olduğunu söyledi.

Devlet destekli Çin Silah Kontrolü ve Silahsızlanma Derneği'nin üst düzey araştırmacılarından Xu Guangyu, "İnternet sınır tanımıyor. Bu yüzden hangi örgüt veya ülkenin düşmanımız olacağını ve bize saldırabileceğini bilemeyiz. Mavi Ordu'nun asıl hedefi meşru müdafaa yapmak. Hiç kimseye saldırma eğiliminde değiliz" dedi. Bilgi güvenliğinde ve bilgi güvenliğinin kullanımında inovasyon yapılması bir kurum veya bir devletin faydasına olabilir. Hem bilgi güvenliği için inovasyonu hem de inovasyon için bilgi güvenliğini kapsayan bu örnek iki kavramın da sahip olduğu çok boyutluluğu gözler önüne sermektedir.

Kurumlardaki inovasyon

Bilgi güvenliği kurumlar için bir sermaye olan bilginin korunmasını hedeflemektedir. İnovasyon yönetimi ise kurumun karlılığını korumak veya arttırmak amaçlı yapılacak yenilikleri kapsar. Eğer bilginin korunması için bir yönetişim hayata geçirilecekse bu bir inovasyondur. Aynı şekilde inovasyon bilgi güvenliği sistemlerinin kendilerine uygulanabilecek yeniliklerden de oluşabilir. Bu durumlar gösterir ki, inovasyon yapmak isteyecek bir kurum bunu bünyesinde bilgi güvenliğini hayata geçirerek yapabilir. Aynı şekilde bilgi güvenliği konusunda yapılacak yenilikler de hem kurumlara hem de devletlere yeni kapıları aralama fırsatı tanıyabilir.
Gökhan MUHARREMOĞLU

Bilgi Güvenliği & İnovasyon

2012-01-16T14:41:00.013+02:00

Bilgi, çağımızdaki kurum sermayelerinden birini oluşturmaktadır. İnovasyon, kurumun sahip olduğu sermayenin ve kârın arttırılması ve böylece rekabette bir adım öne çıkılması sonuçlarını hedeflemektedir. Bilgi güvenliği, bilginin korunmasını hedeflemektedir, dolayısıyla bilgi güvenliği kuruma ait bir sermayenin korunmasını da amaçlamaktadır.

Sermaye ortak kümesinden bilgi ve inovasyona bakıldığında bilgi güvenliği ile olan ortak paydaları görmek de daha kolaylaşmaktadır. İnovasyonun amacı sermayenin korunması, arttırılması, kar oranının korunması, arttırılması iken, bilgi güvenliği de bu amaçlara hizmet vermektedir.

Bilgi güvenliği, kurumun bir sermayesi olan bilginin; gizliliğinin, erişilebilirliğinin ve bütünlüğünün korunması amacını hedeflemektedir. Bilginin bir sermaye olması nedeniyle koruma altına alınmış olması, kurumlar için elde edilecek maddi getirilerden biridir.

İnovasyon var olan yapının sürdürülmesi veya daha iyiye götürülmesi amacını taşır. Bilgi güvenliği süreçleri de kurum içinde aynı amaçları hedefleyen süreçlerdir.

Bir kurumda bilgi güvenliğine ait bir yönetim sisteminin hayata geçirilmesi başlı başına bir inovasyon olabilir. Bu örnekte inovasyon bilgi güvenliğini doğurur. Bilgi güvenliği ise sermayenin korunmasını ve karlılığın arttırılmasına yardımcı olunmasını hedefler.

Bilgi güvenliğinin hiç uygulanmamış bir kuruma uygulanması ile sağlanabilecek faydaya dair örnek bir senaryo oluşturarak bu kavramlar netleştirilebilir:
Bir yazılım şirketi bünyesindeki çalışanlar sistemciler, yazılımcılar ve satış elemanlarından oluşmaktadır. Bu şirket kendi pazarında yoğun rekabet halindedir ve bu yüzden bünyesindeki sermayenin çoğunu ürettikleri yazılım için gerekli olan iş gücü ve bilgiye ayırmaktadır.

Şirketin ürettiği yazılımın muadilleri piyasada mevcuttur ve şirket bu yazılımların üreticileri ile rekabet halindedir. Yazılım tasarımında yapılan ufak değişiklikler bile yazılımlara ait pazar payını ciddi oranlarda etkilemektedir. Şirket bünyesindeki yazılım ortamına sistemciler, yazılımcılar ve satış departmanından elemanlar ulaşabilmekte ve yazılım süreci için geliştirilen planlamalardan haberdar olmaktadırlar.

Her yıl yapılan stratejik toplantılarda ve her yeni yazılım ürününün piyasaya çıkması sonucu dengeye gelen pazar payının oranına bakıldığında, şirketin sektör lideri olmasıyla bulunduğu konum arasında ufak bir müşteri sayısı farkının olduğu görülmekte ve bu farkın şirkete büyük bir kâr imkânının kaçırılması olarak yansıdığı ortaya çıkmaktadır.

Sektörde rekabet için gerekli olan en önemli faktörlerden biri, şirketin ürettiği yazılım içinde sunduğu diğer rakiplerine göre getirdiği özellikler, yenilikler ve farklılıklardır. Ürüne ait özelliklerin önceden başka bir yazılımda bulunması veya ürün çıktıktan sonra hızlı bir şekilde taklit edilmesi şirketi pazar payını genişletmek konusunda zor durumda bırakmaktadır.

Hem kurumda hem de rakiplerinde şu güne kadar yapılmamış bir yeniliğin, sonuç olarak "inovasyon"un gerçekleştirilmesiyle bilgi güvenliği kapsamında bir standardın ve denetimlerin hayata geçirilmesi sonucunda yapılan tetkikler sonucunda ortaya şu bulgular çıkmıştır:

• Yazılım ortamına yazılım süreci ile ilgisi olmayan (satış elemanı, sistemci gibi) çalışanların erişmesinin bir bulgu olduğu saptanmıştır.

• Şirket bünyesinde bir bilişim güvenliği politikası kurulmadığından çalışanların bilgisayarlarında anti-virüs benzeri yazılımların bulunmadığı saptanmıştır.

• Kullanılan bilişim altyapısında şirket kullanıcıların internete yapılan çıkışları esnasında hiçbir güvenlik aşamasından geçmedikleri saptanmış ve kurum içinde çalışan sunucu ve kullanıcılara ait sistemlerin internetten doğrudan erişilebilir olduğu görülmüştür.

• Şirket bünyesinde domain altyapısı kullanılmaması nedeniyle kullanıcılara ait parolaların zayıf olduğu veya hiç parola kullanılmadığı bulgusuna erişilmiştir.

• Kullanılan yazılım geliştirme ortamının da bu bulgulardan etkilendiği görülmüştür.

Bu bulgulardan kaynaklı olarak şirket içindeki bilgilerin aşağıdaki nedenlerle sızdırıldığı tespiti yapılmıştır:

• Satış elemanları tarafından kullanılan bir taşınabilir bilgisayara truva atının yerleştiği,

• Bu truva atının anti-virüs kullanılmaması nedeniyle fark edilemediği,

• Satış elemanının yazılım ortamına erişimi olmasından dolayı bu truva atının yazılım ortamına ve diğer kullanıcılara da bulaştığı,

• İnternete doğrudan erişim sağlandığı için truva atının rakip şirketler tarafından fark edilerek yönetilmeye başlandığı,

• Domain altında olmayan ve parola kullanılmayan sunuculara truva atı sayesinde ulaşan rakip şirketlerin yazılımla ilgili bilgileri çaldıkları.

Yeni çıkacak olan yazılıma ait özelliklerin diğer şirketler tarafından önceden biliniyor olması ve hatta bu özelliklerinin teknik detaylarının da bu şirketlerin ellerinde olması nedeniyle, şirketin kendi ürünü için harcadığı zaman ve paranın rakiplerine aktarılması durumunu ortaya çıkarmıştır. Şirket sektörde hedeflediği yere gelememiştir ve zarara uğramıştır.

Şu ana kadar bahsi geçenler kurum açısından bir inovasyon olarak bilgi güvenliğinin ele alınmasıydı. Ancak, inovasyon çok yönlü bir kavram olması ve birçok alana uygulanabilir olması nedeniyle ortaya yeni bir başlık daha çıkartmaktadır. Bu başlık da "Bilgi Güvenliğinde İnovasyon"dur.

İnovasyonun süreçler için uygulanabilir olması ve bilgi güvenliğinin de aslında bir süreç ve yönetişim olgusu olması nedeniyle inovasyon, bilgi güvenliği için de uygulanabilir. Bu durumda ortaya bir inovasyon olarak bilgi güvenliği yerine bilgi güvenliği için inovasyon tanımı çıkacaktır.

Bu durumda inovasyonun genel geçer ilkelerine uyan bir yapı bilgi güvenliği için de hayata geçirilebilir. Bu ilkeler:

• İnovasyon bir vizyona sahip olmalıdır.

• İnovasyon müşteri odaklı olmalıdır.

• İnovasyon etik kurallara uygun olmalıdır.

• İnovasyon inovatif düşünmeyi desteklemelidir.

• İnovasyon sistemin bütününe bakmalıdır.

• İnovasyon farklı bilgi ve zengin etkileşim ortamlarıyla bütünleştirilmelidir.

• İnovasyon riskleri göze almalıdır.

• İnovasyon için gelecek trendler sürekli araştırılmalıdır.

• İnovasyon örgütün her üyesini içine almalı ve katkıları ödüllendirmelidir.

• İnovasyon için uyumlu öğrenme zemini yaratılmalıdır.

• İnovasyon her zaman bir direnç içerebileceği unutulmamalıdır.

Hem bilgi güvenliği yönetimi süreçlerinde hem de bilgi güvenliğinin teknik konularında inovasyon yapmak, bilgi güvenliğinden elde edilen faydayı, dolaylı yoldan da kurumun bilgi güvenliğinden sağladığı faydayı arttıracaktır.

Gökhan MUHARREMOĞLU

PING ile Port'suz Dosya Transferi Yaparak Firewall Aşmak

2012-01-04T18:58:00.024+02:00

Bir sistemin açıklarını bulabilmek için öncelikle o sistemin nasıl çalıştığına dair bilgi edinmek gerekir. Daha sonra sistemde açık arayan kişi, edindiği bu bilgiyi sahip olduğu temel bilgilerle korelasyona sokmalıdır. Temel bilgiler, söz konusu bilişim ve bilgisayar dünyasının teknik altyapısı olduğunda; ağ bilgisi, yazılım bilgisi, sistem bilgisi, güvenlik bilgisi, donanım bilgisi gibi konuları içermektedir. Bir Güvenlik Duvarı(Firewall) üzerinde tanımlı olan kuralları aşmak için genel geçerden uzak bir yöntem arayan kişi önce bu Firewall’a ait yapıyı yapacağı testlerle incelemeli, daha sonra kendisinin sahip olduğu diğer bilgilerle konuyu mercek altına almalıdır.

Firewall kuralları tanımlanırken en önemli güvenlik ilkesi aşırı yetkilendirmeden kaçınmaktır. Hem dışardan içeriye doğru olan hem de içeriden dışarıya doğru olan trafiğin, minimum yetkilerle, mümkün olduğunca “any” kuralı kullanmadan, sadece gerekli olan Protokol ve Port’lar için tanımlanması temel güvenlik anlayışının odağıdır. Bu ilkelere uyarken göze çok masum görünen ICMP protokol trafiği genelde göz ardı edilir. Esas odaklanılan nokta her zaman Port’lar ve diğer Protokol’ler olur. Ancak, bir güvenlik ilkesi uygulanırken istisna gözetmemek, gözetilirse de bu istisnaları da bir risk olarak değerlendirmek gerekir.

Eğer ICMP trafiğini açmak bir risk ise bu riskin nasıl bir tehdit ile hayata geçebileceğini de bilmek gerekir. Öncelikle ilk akılda olması gereken, Firewall üzerinde içerden dışarı, dışardan içeriye açık olan ICMP mesajlarının yerel ağda ve/veya İnternet’te ICMP üzerinde hizmet veren servisleri ifşa edeceğidir. Bunlara en ünlü örnekler PING (Echo & Echo Reply) ve TRACEROUTE ICMP mesaj tipleridir.

ICMP mesaj tipleri şu şekilde listelenebilir:
Type 0 — Echo Reply
Type 1 — Unassigned
Type 2 — Unassigned
Type 3 — Destination Unreachable
Type 4 — Source Quench
Type 5 — Redirect
Type 6 — Alternate Host Address
Type 7 — Unassigned
Type 8 — Echo
Type 9 — Router Advertisement
Type 10 — Router Selection
Type 11 — Time Exceeded
Type 12 — Parameter Problem
Type 13 — Timestamp
Type 14 — Timestamp Reply
Type 15 — Information Request
Type 16 — Information Reply
Type 17 — Address Mask Request
Type 18 — Address Mask Reply
Type 19 — Reserved (for Security)
Types 20-29 — Reserved (for Robustness Experiment)
Type 30 — Traceroute
Type 31 — Datagram Conversion Error
Type 32 — Mobile Host Redirect
Type 33 — IPv6 Where-Are-You
Type 34 — IPv6 I-Am-Here
Type 35 — Mobile Registration Request
Type 36 — Mobile Registration Reply
Type 39 — SKIP
Type 40 — Photuris
Types 41-252 — Unassigned
Type 253 — RFC3692-style Experiment 1
Type 254 — RFC3692-style Experiment 2

Bir sistemin canlı olup olmadığını anlamak için Echo & Echo Reply ICMP mesajları kullanılır. Günümüzde bu mesajlardan bahsedilirken bu mesajları oluşturmak için kullanılan komutun adı, yani PING kelimesi kullanılır. PING ile gönderilen mesajların geçişine izin verildiği ağlarda canlı olan sistemleri bulmak çok kolay hale gelir. Güvenlikte amaç bir saldırganın işini zorlaştırırken bunu kullanılabilirlikten az fedada bulunarak yapmak ise, ICMP trafiğinin dolayısı ile PING ile yollanan Echo mesajlarının da kapatılması önerilebilir.

PING (ICMP Echo) mesaj paketlerinin bir ağ dinleme programı olan Wireshark ile görüntüsü şu şekildedir:

Şekil-1 Google DNS Sunucusuna (8.8.8.8) PING ile Echo isteği (ping) yollanması

Şekil-2 Giden Echo paketi

Şekil-3 Gelen cevap

Şekil-1’de 8.8.8.8 adresinin 32 Bayt veri ile yoklandığından bahsediliyor. Ağ dinlendiği zaman bunu doğrulamak ve içeriği görmek mümkün olabilmektedir

Şekil-4 32 Bayt veri

Şekil-4’e bakıldığında 32 Bayt verinin sadece (abcdef...) harflerinden oluştuğu görülmektedir. Bu veri Windows’un PING komutu tarafından ilgili paketin veri kısmına yerleştirilmiştir. Herhangi bir özel kullanım amacı yoktur. Aynı isteği daha fazla Bayt ile de yollamak mümkündür.

Şekil-5 64 Bayt veri

Şekil-6 Giden veri içeriği

Şekil-6’da Giden verinin içeriğinin tekrarlı harf dizilerinden oluştuğu görülebilmektedir.

Verilen örneklerde bir amaç uğruna kullanılmayan veri içeriğini bir amaç uğruna kullanmak mümkündür. Örneklerde gösterilen verinin yerine bir dosyaya ait veri parçaları yerleştirerek karşı tarafa iletebilmek mümkün olacaktır. ICMP mesajlarının ulaştığı karşı tarafta, her giden paketin içi açılıp, bu veriler ayıklanarak birbiri ile birleştirildiğinde bir dosya oluşturabilir. Bu durumda, Firewall arkasında her yöne bütün Protokol ve Port’ların kapalı olduğu ancak ICMP mesajlarının açık olduğu bir sistemde dışarıya veri yollamak ve dışarıdan veri almak mümkün olacaktır.

Şekil-7 Örnek bir ağ topolojisi

Verilen ağ topolojisinde GOKHAN-PC olarak tanımlanmış Node’dan SUNUCU olarak tanımlanmış Node’a ICMP mesajları ile dosya transfer edilebilir. Ağa yollanan paketleri manipüle etmeye yarayan bir araç (HPING) bir dosyanın karşıya transfer edilmesine yardımcı olacaktır.

Şekil-8 PC ve sunucu

GOKHAN-PC tarafında bulunan 69 Bayt'lık “dosya.txt” dosyasının sunucu tarafına aktarılması için kullanılacak komutlar aşağıda sıralanmıştır.

SUNUCU tarafında ICMP mesajlarını dinleyecek komut:

Hping2 GOKHAN-PC_IP_Adresi --listen imza --icmp -I eth0 > alinan_dosya.txt

Şekil-9 SUNUCU tarafında ICMP mesajlarını dinleyecek komut

Dosyayı yollayacak Node (GOKHAN-PC ) tarafında kullanılması gereken komut:
Hping3 SUNUCU_IP_Adresi --icmp -d 73 --sign imza --file dosya.txt -c 1 –I eth0

Şekil-10 Dosyayı yollayacak Node (GOKHAN-PC ) tarafında kullanılması gereken komut

Burada bazı parametrelerden bahsetmek yerinde olacaktır.
--icmp: Gönderilen paketin cinsi (Protokol) -d: Paketin başlık bilgisi dışında kalan veri boyutu --sign: Capture işlemi için tetikleyici kelime --file: Dosya --fast: Transfer hızı için takma ad -c: Paket sayısı -I: Bağdaştırıcı --listen: Dinleme modu

Paketler yollanırken her paket için “imza” nedeniyle 4 Byte veri kaybolmaktadır. 69 Bayt’lık bir dosyayı doğru ulaştırmak için 73 Bayt veri paketi yollamak gerekmektedir. Yoğun ağlarda paketlerin ulaştığından emin olmak için “--safe” parametresi kullanılabilir. Listen mode için Hping2 önerilir.

Yollanacak paket boyutunu kestirmek için şu formülden yararlanılabilir:
Dosya Boyutu[file] = (Paket Boyutu[d] – İmza Boyutu [sign]) X (Paket Sayısı [c])

Örnekteki dosya için bu denklem: 69 = (73-4) X 1 olmuştur.

Şekil-11 SUNUCU tarafındaki alınan dosya

Şekil-12 Gönderilen paket içeriği

ICMP Mesajları ile dosya yollanabildiği gibi bu mesajlar ile tünelleme de yapılabilmektedir. Linux ortamında çalışan “ptunnel” isimli bir uygulama ICMP mesajları ile uzak sunucudaki bir Port’u, localhost altında bulunan başka bir Port’a yönlendirmek için kullanılmaktadır.

ICMP mesajları hakkında verilen bu bilgiler ışığında çoğu zaman göz ardı edilen ve en zararsız, masum protokollerden sayılan ICMP’nin yeri geldiğinde bütün güvenlik anlayışını tersine çevirebileceği görülmektedir. Firewall üzerinde dışarıya doğru açık bırakılan bir kapının olması, bütün pencerelerin de kapandığı anlamına gelmemektedir. Sadece DNS UDP 53 Port’u ile dışarıdan sorgu alan yinelemeli bir iç DNS sunucusu, DNS tünelleme ile sömürülerek İnternet üzerindeki başka bir sunucudan aldığı veriler aracılığıyla Firewall aşılarak İnternet’e çıkış yapmak mümkün olabilmektedir. Birçok tünelleme yöntemi Firewall aşmada önemli bir araçtır. Ancak bu tünelleme yöntemlerinden en etkilisi hiçbir Port’a ihtiyaç duymayan ICMP tünellemedir.

Güvenlik ile ilgili kararlar alınırken, teknik olarak yapılabilecekler konusunda, konusuna hakim kişilerin görüşlerinin de alınması önerilmektedir. Günümüzde çok kolay gibi gözüken ve ilgileneni çok bulunan Firewall kuralı yazmak konusunda dahi bilinmeyen çok detayın olduğu buradaki örneklerle gözler önüne serilmiştir.

Gökhan MUHARREMOĞLU

NTLM over HTTP Evil Proxy (MiTM) ve Pass The Hash Saldırısı

2011-12-15T09:56:00.009+02:00

NTLM over HTTP Authentication protokolü, "Local Intranet" alanlarında son dönemde çok yaygın olan bir saldırı yöntemine maruz kalmaktadır. Bu yöntemde Intranet'te gezinen domain kullanıcılarının, Internet Explorer (IWA) tarafından otomatik yollanan NTLM kimlik bilgileri, kötü niyetli olarak hazırlanmış bir Proxy'den geçirilir ve yine Intranet altındaki başka bir sunucuya yetkisiz erişim sağlamak için kullanılır. Özetle, kullanıcının farkına varmadan yolladığı NTLM kimlik bilgileri bir Proxy'ye yönlendirilir ve bu Proxy'nin başka bir sunucuya giriş yapması sağlanır.

Genel bir saldırı senaryosu şu şekilde özetlenebilir:
"Intranet'te bulunan bir sitedeki XSS açığı veya herkese açık bir paylaşım (share) kullanılmasıyla sahte Proxy’nin çalıştığı site adresinin kullanıcı tarafından ziyaret edilmesi sağlanır. Bundan sonraki adımda, Internet Explorer bu adresi Trust Zone içinde (Intranet) görüp, NTLM ile Authentication yapmaya çalışarak hash bilgilerini bu sahte Proxy’ye yollar. Sahte Proxy önceden belirlenmiş bir sunucuya bu Hash bilgilerini iletir (Pass The Hash) ve yetkisiz erişim Proxy tarafından sağlanmış olur."

Yöntemi incelemeden önce NTLM mesaj tipleri ve NTLM over HTTP kimlik doğrulama aşamaları hakkında kısa bir bilgilendirme yapmak yerinde olacaktır. NTLM over HTTP için kullanılan mesaj tipleri ile bağlantıyı mantıksal olarak daha güvenli hale getirmek ve gerekli kimlik bilgilerini elde etmek hedeflenir. Bu kimlik bilgileri elde edilirken, Hash bilgilerinin iletişim kurmaya çalışan iki tarafa has bilgilerle donatılması hedeflenir. Böylece bütün bir paroladan elde dilen Hash bilgisi değil, tarafların birbirleri hakkında sahip olabilecekleri bilgilerden elde edilmiş Hash bilgileri kimlik doğrulama aşamasının temelini oluşturur. Kullanılan mesaj tipleri (Type) şunlardır:

Type1: Bu mesaj tipinde istemciye ait “host name” ve “domain name” bilgileri bulunur.
Type2: Bu mesaj tipinde sunucuya ait NTLM challenge bilgisi bulunur.
Type3: Bu mesaj tipinde “username”, “host name”, “NT domain name” ve iki adet "paroladan üretilmiş" cevap içeriği daha bulunur.
Type mesajlarınının içeriği NTLM versiyon içeriklerine göre farklılık gösterse de kullanılan mantıksal yapı aşağıdaki gibi olup, anlatılacak olan Proxy saldırısı yöntemine dair bir çözüm getirmemektedir.
Normal bir NTLM over HTTP bağlantısı aşağıda gösterildiği gibi gerçekleştirilir:

• En önce istemci tarafından HTTP istek yollanır, • Buna karşılık sunucu tarafı NTLM kimlik doğrulaması için kendinde var olan standartları söyler ve Type1 mesaj ister,
• İstemci gerekli bilgiyi sağlayarak Type 1 mesaj bilgisini sunucuya ulaştırır ve Type 2 mesajı ister,
• Sunucu istemciye istediği Type 2 mesajı yollar ve Type 3 mesaj için beklemeye geçer,
• İstemci, sunucuya Type 3 mesaj bilgisini iletir ve bu bilginin onaylanarak TCP tabanlı oturumun açılmasını bekler, eğer kimlik doğrulama gerçekleşmez ise oturum açılmaz.

Arada kötü niyetli bir Proxy’nin olduğu durumlarda ise bağlantı şu şekilde gerçekleşir:

• En önce istemci tarafından HTTP istek yollanır,
• Saldırgan Proxy bunu ulaşmak istediği sunucuya iletir.
• Buna karşılık sunucu tarafı NTLM kimlik doğrulaması için kendinde var olan standartları söyler ve Type1 mesaj ister,
• Saldırgan Proxy bunu istemciye iletir.
• İstemci gerekli bilgiyi sağlayarak Type 1 Hash bilgisini sunucuya ulaştırır ve Type 2 mesajı ister,
• Saldırgan Proxy bunu ulaşmak istediği sunucuya iletir.
• Sunucu istemciye istediği Type 2 mesajı yollar ve Type 3 mesaj için beklemeye geçer,
• Saldırgan Proxy bunu istemciye iletir.
• İstemci, Proxy'ye Type 3 mesaj bilgisini iletir. Proxy de bu bilgiyi sunucuya aktarır ve bu bilginin onaylanarak TCP tabanlı oturumun açılmasını bekler. Eğer kimlik doğrulama gerçekleşmez ise oturum açılmaz.

Oturum açılma adımı gerçekleştiği anda TCP bağlantının ucunda olan saldırgan Proxy olduğu için, oturum bu Proxy üzerinden açılmış olur. Artık istemciye gerek yoktur ve Proxy ile istemci arasındaki bağlantı sonlandırılarak, ulaşmak istenen sisteme yetkisiz erişim sağlanmış olur.

NTLM Authentication'ın doğası gereği etkilendiği bilinen diğer saldırı yöntemleri şunlardır:
1. NTLM Downgrade
2. NTLM Challenge Spoofing
3. Spoofing tabanlı Man In The Middle saldırıları
4. Ağda yakalanan Challenge Key'leri ile NTLM Hashlerinin kırılması

TCP tabanlı oturum açma yöntemini kullanan bir kimlik doğrulama sisteminin, bütün doğrulama adımlarını OSI 7. Uygulama katmanında HTTP paketleri içinde çözüyor olması, burada anlatılan sorunun kök nedeni sayılabilir. Proxy’ler iyi amaçla kullanılıyor olsalar bile doğaları gereği araya giren üçüncü şahıs durumundadırlar.

Arada Proxy kullanılabilen her çeşit kimlik doğrulama yöntemi bu tarz saldırılara maruz kalabilir. Bu durumda yukarıda anlatılan saldırı tipi için alınabilecek önlem şu şekilde olabilir:

Intranet’te Domain dahilinde gezinirken, Internet Explorer ayarlarında “Local Intranet” güvenlik ayarının seçilmesi, tarayıcı ile yapılan gezinti yerel ağ içindeyse otomatik oturum açma özelliğini de devreye sokmaktadır. Bu otomatik oturum açma özelliği IE ayarlarından kapatılabilir ve kimlik bilgilerinin manuel girilmesi sağlanabilir. Böylece kullanıcı farkında olmadan Hash bilgileri başka sunuculara yollanmayacaktır. Ancak, saldırgan Proxy tarafından koşturulan sahte bir ekrana manuel giriş yapılması durumunda Hash bilgilerinin tekrar karşıya iletilmesi ve saldırının başarılı olarak sonuçlanması daima olanaklıdır.

Gökhan MUHARREMOĞLU

Kurumsal Ağlarda En Çok Karşılaşılan Açıklar ve 10 Kök Neden - II (2/2)

2011-12-12T10:04:00.017+02:00

Güncelleştirme Eksiklikleri
Üçüncü parti yazılım, işletim sistemi veya donanım gibi ağ öğeleri kullanan her kurum, bu öğelerin “ürün” niteliğindeki güvenliğini yayımcı firmalarına teslim etmiş durumdadır. Dolayısı ile kurumlar kendi ağlarına ait güvenliğin bazı halkalarını da bu yayımcı firmalara teslim etmiş sayılabilirler.

Bu kök neden altında değerlendirilebilecek bazı açıkları sizlerle paylaşmak istedim.

1-DNS İstemcisi Uzaktan Kod Çalıştırma Açığı

LLMNR protokolü DNS’in yerine kullanılacak bir protokol olmaktan ziyade klasik DNS çözümlemesinin mümkün olmadığı durumlarda kullanılabilecek peer-to-peer protokoldür. Windows DNS istemcisinde bulunan bir açık Link-local Multicast İsim Çözümlemesi (LLMNR) sorgularının sistemde “NetworkService” hesabıyla kod çalıştırabilmesine izin vermektedir. Bu açığı kullanan bir saldırgan sistemde “NetworkService” hesabıyla uzaktan kod çalıştırarak yetkisiz erişim sağlayabilir.

2-Debian OpenSSL Paketi Rastgele Sayı Üretme Açığı

SSH servisi, rastgele sayı üretme konusunda zayıflığı bilinen, tahmin edilebilir sayılar üreten bir Debian Linux sürümü üzerinde çalışmaktadır. Bu durum, SSH için üretilen sertifika ile şifrelenen ağ trafiğinin bir saldırgan tarafından kolayca çözülebilmesi ile sonuçlanmaktadır. Sorunun kaynağı OpenSSL kitaplığındaki rastgele sayı üreticisi (random number generator) olarak bilinmektedir.

3-Microsoft Windows Server Servisi Uzaktan Kod Çalıştırma Açığı

Windows'un "Server" isimli servisinde (Suncu Hizmeti) uzaktan kod çalıştırma ve sistem yönetimini ele geçirme ile sonuçlanabilecek bir açık bulunmaktadır. "Server" servisi bir Buffer Overrun (arabellek yığılması) açığından etkilenebilir. Bu açıktan yararlanmak isteyen bir saldırgan "System" yetkileri ile sunucu üzerinde kod çalıştırabilir ve sistemi tümüyle ele geçirebilir Bu açık “Mal/Generic-A”, “Trojan.Gimmiv.A” ve “W32.Wecorl” , “Conficker “ gibi bazı zararlı yazılımlar tarafından sömürüldüğü bilinmektedir.

4-SMB Uzaktan Kod Çalıştırma Açığı

Söz konusu güvenlik açığından etkilenen sistemlerde uzaktan kod yürütülebilmektedir. Bu güvenlik açığından başarıyla yararlanan bir saldırgan program yükleyebilir, verileri görüntüleyebilir, değiştirebilir veya silebilir. Tüm kullanıcı haklarına sahip olan yeni hesaplar oluşturabilir veya DoS saldırıları düzenleyebilir. Açığın kullanım şekli, SMB ortamına oturum açılmasını şart kılmamaktadır. 445 portuna yollanan bir paket, authentication gerektirmeden sistemin etkilenmesi için yeterlidir.

5-MSDTC Uzaktan Kod Çalıştırma Açığı

MSDTC (Microsoft Dağıtılmış İşlem Düzenleyicisi ) çeşitli sistem kaynakları arasındaki işlem koordinasyonunu sağlamaktadır. Söz konusu güvenlik açığından etkilenen sistemlerde uzaktan kod yürütülebilmektedir. Bu güvenlik açığından başarıyla yararlanan bir saldırgan program yükleyebilir, verileri görüntüleyebilir, değiştirebilir veya silebilir. Tüm kullanıcı haklarına sahip olan yeni hesaplar oluşturabilir ve hizmet engelleme saldırıları düzenleyebilir.

6-HP Data Protector Uzaktan Kod Çalıştırma Açığı

HP Data Protector istemcisi veya sunucusu uzaktan kod çalıştırmaya imkan veren bir açıktan etkilenmektedir. Bu açıktan istifade etmek isteyecek bir saldırgan, özel olarak hazırlanmış bir paket ile uygulamanın çalıştığı Host üzerinde “SYSTEM” hesabı yetkileri ile kod çalıştırabilir ve yetkisiz erişim sağlayabilir.

7-Windows 2000 - Desteklenmeyen İşletim Sistemi Kullanımı

Yaşam döngülerinin tamamlandığı ilan edilen yazılımlar için üretici firmaları destek vermeyi bırakırlar. Bu yazılımlar, yaşam döngüsünün sonuna ulaştığı ilan edildiğinde, yeni güvenlik güncelleştirmeleri yayınlanmayacağından o tarihten itibaren çıkan açıklar için savunmasız kalırlar.

8-Exchange Sunucusu Uzaktan Kod Çalıştırma Açığı

Exchange sunucusu özel olarak hazırlanmış bir TNEF mesajını işlerken, sonucu uzaktan kod çalıştırma olacak bir hafıza bozulması açığından etkilenmektedir. Bununla beraber özel hazırlanmış bir MAPI komutu, Microsoft System Attendant servisi ve EMSMDB32 sağlayıcısını kullanan diğer servisleri cevap vermez bir duruma sokabilir. Bundan istifade etmek isteyecek bir saldırgan DoS saldırıları düzenleyerek sisteme erişimi durdurabilir.

9-Microsoft SQL Sunucusu Uzaktan Kod Çalıştırma Açığı

SQL sunucusu, uzaktan kod çalıştırmanın mümkün olabileceği bir açıktan etkilenmektedir. MSSQL 'sp_replwritetovarbin' prosedüründeki yanlış parametre kontrolünden kaynaklanan açığı kullanacak bir saldırgan, sistemin tüm kontrolünü ele geçirebilir.

10-Web Sunucusu "Expect" Üstbilgisinde XSS Açığı

Web sunucusu, "Header" bilgileri içinde yollanan “Expect” parametresinin içeriğini filtrelememektedir. Bu durumda XSS için kod çalıştırmak mümkün olabilmektedir. Bu açıktan yararlanacak bir saldırgan, sayfayı görüntüleyecek birinin kimlik bilgilerini çalabilir veya başka sayfalara kullanıcıyı yönlendirerek oltalama (Phishing) saldırıları düzenleyebilir.

Yukarıdaki açıklarla ortaya konmuş tabloya göz atıldığında kurum için birçok kritik açığın kaynağının "Güncelleştirme Eksiklikleri" kök nedeninden türediğini görmek mümkündür. Bu kritik açıkların var olmalarına rağmen bulunmamış olmaları, sahte güven duygusunun temellerini oluşturacaktır. Güncelleştirme politikası zayıf bir kurum bu açıklardan etkilenebilecektir.

Saldırı ihtimaline karşı hesap yapılırken çok yaygın yapılan yanlışlardan biri saldırıları yapacak olan saldırganın bir insan olmasını varsaymaktır. Hâlbuki saldırgan, açığı sömürmek için yazılmış bir kötü amaçlı yazılım, worm, virus veya trojan olabilir. Bu durumda gelebilecek saldırılara karşı ihtimal hesabı yaparken, sosyal ilişkilerin sistemdeki yerini doğru belirlemek yerinde bir tercih olacaktır.

Güncelleştirme politikası hazırlanırken, merkezi olarak çalışan bir otomatik güncelleştirme sistemi mi yoksa her ağ öğesi için elle yapılan bir sistem mi tasarlanacağı konusu kurumun kendi insiyatifinde olan bir konudur. Merkezi bir güncelleştirme sisteminin, test ortamına uygulanarak hayata geçirilmesi, yaygın olarak sağlıklı kabul edilmiş bir yapıdır. Ancak kurum, kendi ihtiyaçlarına göre bir sistem tasarlamayı seçmelidir. Bununla beraber, bazen kurumun risk yönetimi yaparak güncelleştirme yapılmaması kararına vardığı öğeler de olabilir. Bunların hepsi güvenlik hakkındaki bilinçli bir yönetimin, kuruma özel bir politika uygulamasıyla gerçekleştirilmelidir.

Gökhan MUHARREMOĞLU