Solution for Your Systems

Günümüzde bireyler, kuruluşlar ve devletler için “Bilgi” kavramı maddi ve somut varlıklardan daha önemli bir varlık haline gelmiş bulunmaktadır. Artık her türlü iş ve işlemin elektronik ortamda gerçekleştiği göz önüne alındığında ve kişisel bilgilerimiz dahil, özellikle şirketlerin maddi varlıklara dönüşecek ticari sır niteliğindeki bilgileri, stratejik planlar, fikri ve sınai mülkiyete dayalı bilgileri, müşteri, personel bilgileri, iç işleyişe yönelik politikaları bilişim sistemlerinde yer almakta ve elektronik ortamlarda işlenmektedir.

Unutulmamalıdır ki; güvenliği sağlanmamış bilişim sistemleri, siber saldırılar ve bilişim suçluları için en uygun ortamı oluşturmaktadır.

Güvenliği sağlanmış sistemlerde dahi, her geçen gün malware yazılımlarla güvenlik duvarlarının açıkları aranmakta ve zayıflıkları tespit edilmeye çalışılmaktadır. Günümüzde bilgiye sızma veya ele geçirme çeşitleri ve saldırıları oldukça artmış olup siber terörizm, güvenlik duvarlarının dışında, bilgiye saldırmak için adeta ufak bir delik aramaktadır diyebiliriz. Bu eylemler karşısında ise bilginin korunması, Bilgi Güvenliği (İnformation Security) adıyla anılan tamamen ayrı bir disiplinin oluşmasına neden olmuştur.

Saldırı ve casusluklardan korunmak için “Bilgi”nin; yazılım-donanım ve fiziki yönlerden güvenliğini sağlamak, şirketlerin hem kendi menfaat ve itibarlarına katkı yapacak, hem de belirli yasa ve standartlara uyumu sağlayacaktır. Tabidir ki, bilgi her ne kadar maksimum düzeyde dahi korunsa, mutlak güvenliğinin sağlanması mümkün olamayacaktır.

Bilgi kaçağına yol açacak ve özellikle dikkat edilmesi gereken diğer bir alan ise, bizzat insan unsuru yani personel, tedarikçiler ve şirkete gelen ziyaretçilerdir.

Bilginin; ihmalen, kusur kapsamında ya da kasıtlı olarak, bilgi sahibinin rızası hilafına kötüniyetle veya şirket içi ya da dışı casusluk faaliyetleri dahilinde, üçüncü kişilerle/rakiplerle paylaşılması söz konusu olabilir.

Casusluk ve muhtelif espiyonaj faaliyetleri bakımından bilgiyi korumak için neler yapılabilir ?

Öncelikle personelin ihmal suretiyle veya kusurlu olarak bir güvenlik ihlalinde bulunmasının önlemesi için, şirketlerin bir takım planları kurgulayıp uygulamaya geçirmesi ve tüm çalışanlar için (personel,tedarikçiler, grup şirket çalışanları vs.) bilgi güvenliği ve gizlilik bakımlarından bilinç oluşturması önemlidir.

Bu bilincin sağlanması ve sistemli bir yol haritası için öncelikle;

1. Bilgi güvenliği ve gizlilik konusunda politikalar oluşturulmalıdır.
2. Bilgi güvenliğine yönelik politika ihlalleri halinde, ihmal veya kusurun derecesine göre kademelendirilmiş yaptırımlar belirlenmelidir.
3. Yaptırımları da içeren bu politikalar, uygun bir şekilde tüm personele duyurulmalıdır.
4. Personele, çözüm ortaklarına, tedarikçilere periyodik olarak şirket içi eğitimler verilmeli ve yeni başlayan personel için hazırlanacak oryantasyon programlarında, mutlaka bilgi güvenliği ve gizlilik eğitimlerine yer verilerek, personelin bu eğitimleri aldığı da belgelenmelidir.
5. Şirket içerisinde bilgi güvenliği farkındalığı, çeşitli uygulama ve anketlerle sürekli ölçülmelidir.
6. Bilgi varlıkları önem ve gizlilik açısından sınıflandırılarak, bilginin şirket içinde veya dışında bu sınıflandırmaya uygun olarak kullanılması sağlanmalıdır. Örneğin G-5 kodu herkese açık bir bilgiyi ifade edebilirken, G-1 kodu altında çok gizli bir bilginin yer aldığı ve sadece belirli kişilerin ulaşabileceği bir bilgi olduğu, G-3 kodlu bir belgenin şirket dışına çıkarılamayacağı ve tüm personele açık olduğu anlaşılmaldır.
7. Yukarıdaki şekilde sınıflandırılmış gizlilik kodları, şirketin yazılı, basılı ve elektronik ortamdaki tüm materyallerinde adeta bir mühür gibi yer almalı ve tüm ilgililere belletilmelidir.
8. İşe yeni başlayacak olan personel adaylarının geçmişleri iyi incelenmeli ve ilgili personel hakkında yeterli güven oluşmalıdır.
9. Şirket sistemine dışarıdan erişim mevcutsa, bu şekilde çalışacak personel için kriptolu uzaktan erişim uygulamalarının sağlanması (vasco-digipass) ve bu erişimlerin de kayıtlarının loglanması önemlidir. Ayrıca hangi programlara, kimlerin ve hangi kademelerde (okuma, değiştirme, paylaşma vb.) erişmesi gerektiği de belirlenmelidir.
10. Bu aksiyonlar iç ve dış denetçilere periyodik olarak denetlettirilerek eksiklikler saptanmalı ve uyum süreci takip edilmelidir.

Yukarıdaki liste, şirketin büyüklüğüne sektörün hassaslığına, şirketin imtiyazlı olup olmamasına göre çoğaltılabilecektir. Bilgi güvenliği ve gizlilik kontrolünün sağlanmasında, yukarıda belirttiğimiz donanım-yazılım ve fiziki güvenlik uygulamalarının önemi ortadadır.

Fiziki güvenlik yönünden kameralar, biyometrik veya elektronik geçiş sistemleri ve diğer uygun fiziki yapılanmalar, bilgi hırsızlığı ve casusluk faaliyetlerini asgari düzeye düşereceği gibi (caydırıcılık) bir bilgi kaçağının olması halinde de, bunu yapanların tespit edilmesini kolaylaştıracağından, bu yöndeki yararları yadsınamayacaktır.

Genelde kötü niyetli olarak, bilgiyi ele geçirmeye yönelik casusluk faaliyetlerinin engellenmesi, şirketler için göz önüne alınması gereken ciddi bir husustur. Özellikle büyük ya da küçük ölçekli şirketlerde “nasıl olsa bizim kuruluşumuzda casusluk gibi faaliyetler olmaz” şeklindeki bir anlayışın terkedilmesi, korumayı başlatmak için atılacak ilk adımdır.

Bazı casusluk eylemlerinin altında, zorlamaya maruz kalmış, haksızlığa uğratıldığını düşünen, işletmeye küsen kişilerin intikam duygusuyla hareket ederek, casusluk ve bilgi hırsızlığı faaliyetinde bulundukları, uygulamada rastlanan vakalardandır. [Örnek, Rusya’da 2002 yılında, petrol ve gaz şirketi olan Gazprom’un küstürülen bir çalışan, Gazprom’un bilgisayar sistemlerini kontrol altına almak üzere bir hacker grubuna katılmıştır (Quinn, 2002 Cracks in the system. Time Europe ).] Tabiki bu konuda işletmelerin alacağı çok da fazla bir önlem olmadığını belirtmek gerekir. Zira, çoğu insan (makul sınırların dışında) öznel düşüncelerle hareket edebildiğinden, hangi durumun çalışana haksızlık olarak değerlendirileceği de cevaplanamayacak bir soru olarak kalmaktadır.

Şirkete çeşitli kanallardan sızan ajanlar da olabilir. Bu nedenle bilgileri korumakla yükümlü olanların, tedarikçiler veya işletmeye temizlik, teknik, güvenlik vb.destek veren üçüncü parti çalışanları konusunda hassas davranmaları ve özellikle bu çeşit hizmet sağlayan şirketlerin, rakiplerle veya rakiplere yakın şirketlere hizmet vermediğinin araştırılması yerinde olacaktır. Bu nedenle destek hizmetleri sağlayan şirketler seçilirken, ayrıntılı olarak bu şirketlerin ortaklık yapıları ve referanslarının incelenmesi tavsiye edilir.

Yukarıda belirttiğimiz casusluk faaliyetlerinin engellenebilmesi amacıyla, fiziksel güvenlik önlemlerinin içerisinde yer alacak ve önemsiz gibi görünen, aslında ciddiyet arz eden bir kaç noktaya da değinilmesi yararlı olacaktır.

-Örneğin; yazıcıların ve evrakın tutulduğu alanlara, kağıt imha makinaları yerleştirilerek, açıkta yazılı bilgi bırakılmaması, makul bir maliyet ile sağlanabilir.

-Özellikle üst düzey yöneticilerin ofislerinde, toplantı odalarında periyodik olarak, böcek ve gizli kamera taraması yapılarak, herhangi bir casusluk faaliyeti olup olmadığı belirlenebilir.

Hukusal Yönden Durum Değerlendirmesi

Bilgi güvenliğinin ihlali hem ceza hukukunu hem de maddi hukuku ilgilendirmektedir. Bu konuda en temel düzenlemeler, Türk Ceza Kanununda yer almaktadır.

Eğer casusluk, kişiler arasındaki haberleşmeyi ihlal edecek şekilde yapılmış ise, TCK 132.maddeye göre fail hakkında 1 yıldan 3 yıla kadar hapis cezası verilebilecektir. TCK 133’e göre de, kişiler arasındaki açık olmayan gizli konuşmaları, taraflardan herhangi birinin rızası olmaksızın (örneğin gizli ses kayıt cihazları marifetiyle) bir aletle dinleyen veya bunları bir ses alma cihazı ile kaydeden kişi, 2 aydan 6 aya kadar hapis cezası ile cezalandırılacaktır.

Şirket içi casusluk faaliyetleri sonucunda şirkete ait bilgiler, formüller, sınai veya fikri haklar, müşteri portföyü vb. üçüncü kişilerin eline geçebilecektir. Burada şirket içi casusluk, tam olarak TCK’nın 239.maddesinde karşılığını bulmaktadır. Buna göre; sıfat veya görevi, meslek veya sanatı gereği vakıf olduğu ticari sır, bankacılık sırrı veya müşteri sırrı niteliğindeki bilgi veya belgeleri, yetkisiz kişilere veren veya ifşa eden kişi, şikayet üzerine, bir yıldan üç yıla kadar hapis ve beşbin güne kadar adli para cezası ile cezalandırılabilecektir. Bu bilgi veya belgelerin, hukuka aykırı yolla elde eden kişiler tarafından yetkisiz kişilere verilmesi veya ifşa edilmesi halinde ise yine aynı cezaya hükmolunabilecektir.

Yukarıda bahsedilen suç, bilişim suçları kapsamında düzenlenmemiş olmasına rağmen, casusluk bilişim yoluyla da rahatlıkla işlenebilecektir. Fıkrada sayılan bilgileri, bilişim alanına yetkisiz şekilde girerek ve bilişim alanında kalmaya devam ederek sızdıran kimseler hakkında, somut olayın özelliğine göre uygun bir ceza uygulanabilecektir.

TCK’nın bilişim suçlarını düzenleyen 243-246. Maddeleri bilişim suçlarının işleniş şekilleri ve etki ettikleri yerlere göre çeşitli yaptırımlar öngörmekle birlikte şahsi kanaatim, işlenmesi halinde milyonlarca lira zarara yol açacak ve telafisi belki de çok güç olacak bu suçlar için getirilmiş yaptırımların, yetersiz ve caydırıcılıktan uzak kaldığıdır.

Ayrıca belirtmek gerekir ki; casusluk faaliyeti, TCK’nın 244.maddesinin ikinci fıkrası kapsamında da değerlendirilebilir. Zira fıkra metninde, “sisteme veri yerleştiren, var olan verileri başka bir yere gönderen kişi,” den kısaca, dışarı sızdırma eyleminden bahsedilmektedir.

Bilgi güvenliği ve bilişim alanında TCK dışında düzenlenmiş cezai maddelere, 5070 Sayılı Elektronik İmza kanununda da yer verilmiştir. Anılan yasa elektronik ortamda, güveni ve inkar edilemezliği sağlamaya yönelik olarak getirilmiş ve ıslak imza ile aynı sonucu doğuran düzenlemelere yer vermektedir. Elbetteki yasa ile sağlanan bu güvenin suistimal edilmesi belirli yaptırımlara bağlanmıştır. Yasanın 16.maddesinde; Elektronik imza oluşturma amacı ile ilgili kişinin rızası dışında; imza oluşturma verisi veya imza oluşturma aracını elde eden, veren, kopyalayan ve bu araçları yeniden oluşturanlar ile izinsiz elde edilen imza oluşturma araçlarını kullanarak, izinsiz elektronik imza oluşturanlar hakkında bir yıldan üç yıla kadar hapis cezası ve ayrıca para cezasına hükmedilebilecektir.

Aynı Yasanın 17.maddesinde de elektronik sertifikalarda yapılacak sahteciliklerle ilgili yaptırımlar belirlenmiştir. Tamamen veya kısmen sahte elektronik sertifika oluşturanlar veya geçerli olarak oluşturulan elektronik sertifikaları taklit veya tahrif edenler ile, bu elektronik sertifikaları bilerek kullananlar, iki yıldan beş yıla kadar hapis ve yüz günden az olmamak üzere adli para cezasıyla cezalandırılacaklardır.

Ayrıca özel bir ceza düzenlemesi olarak Türk Ticaret Kanunu (TTK) uyarınca, ticari bilgiler rekabete aykırı şekilde elde edilmiş olacağı için, bu bilgileri elde eden kişi TTK’nın 57/7, 57/8 ve 64. maddeleri uyarınca 1 aydan 1 yıla kadar hapis cezasıyla karşılaşabilecektir.

Yukarıda kısaca bahsetmeye çalıştığımız cezai hükümler dışında, hukuksal açıdan yapılmış düzenlemelere de kısaca değinmek gerekir. Suçtan zarar gören kişiler, TTK’nın Haksız Rekabet Başlıklı 56 ve 57.maddeleri ile Borçlar Kanunu ve Medeni Kanun gereğince, yani genel hükümler doğrultusunda maddi ve manevi giderim davaları açabileceklerdir.

Bu suçlardan zarar gören şirketler, bazen yasal başvuru yollarını, kamuoyunda yarattıkları güveni sarsmamak adına tüketmemektedirler. Ancak suçtan zarar gören şirketlerin, suç duyuruları yapmaları ve hukuk davaları açmaları tavsiye edilir. Zira bilişim suçluları ve casuslar, ancak adli mercilerce verilecek yaptırımlar arttıkça ve bu doğrultuda yargısal içtihat ve emsaller çoğaldıkça, suçtan caymaya başlayabileceklerdir.

Ayrıca suç ve zarar oluşmadan, yukarıda bahsedilen önlemlerin alınması, casusluğun oluşmadan engellenmesi de şirketlerin bu konuya verdikleri önemle paralel olacaktır.

http://www.turk.internet.com/portal/yazigoster.php?yaziid=27797

Yazan : ceyhun çamlı

Bilgi sistemlerinde en önemli konulardan biri kuşkusuz yetkilendirmedir. Yetkilendirme bir kullanıcının belirli bir kaynağa erişimi olup olmadığını kontrol eder. Kullanıcının kimlik bilgilerinin geçerliliği en az nereye erişileceği kadar önemlidir. Kimlik bilgilerinin, kullanıcıların gerçek kimlikleriyle eşleştirilmesi yetkilendirme ve iz açısından kritiktir. Bu sebeple kimliklerin yaratılması, değişik rollere bürünmesi ve görevi tamamlandığında ortadan kaldırılması bir süreç olarak ele alınmalı ve sürecin güvenliği ve güvenilirliği sağlanmalıdır. Bu sürece kimlik yaşam döngüsü adı verilir.

Günümüz teknolojilerini kullanan bir iş eri için yeni bir kişi işe başladığında bilgi sistemlerine erişmesi kaçınılmazdır. Çoğu zaman bir veya birden fazla sistem üzerinde kişiye ait tanımlama yapılması gereklidir. Sistemler entegre olmadığında bu tanımlamalar birbirinden bağımsız birimler tarafından değişik sistemler üzerinde yapıldığından takip edilmezler. Kullanıcı kimlik yaşam döngüsü boyunca değişik ihtiyaçlara cevap verecek şekilde yapılandırılmış olsada eski sistemlerdeki yetkileri ve özellikleri çoğu zaman olduğu gibi kalır. Bu durum kimi durumlarda güvenlik ihlallerine yol açar. Örneğin kişi işten ayrılsa da uzaktan postalarına erişmeye devam eder ve kurum adına posta alıp atabilir. Bazen bu kurum kimliği açısından sakıncalar doğurabilir ve engellenmelidir.

Yukarıda anlatılanları Microsoft dünyasından daha somut örneklerle açıklayalım. Bir kullanıcı işe başladığında personel sisteminde kaydı yapılır. Bu aşamadan sonra eğer işyerinde Microsoft Aktif Dizin kullanılıyorsa bu sistem üzerinde kaydının yapılması, belirli dosya sistemleri üzerinde yetkiler verilmesi, e-postasının tanımlanması gereklidir. Kişi özlük bilgileri değiştikçe bunların gerek kullanıcı nitelikleri gerekse yetkilendirmeleri olarak Aktif Dizinde güncellenmesi ve kişi işten ayrıldığında güvenlik politikaları gereği kullanıcısının kapatılması ve erişim yetkilerinin kendisinin yerine gelen kullanıcıya devredilmesi gereklidir. Buradaki işlemler çoğu zaman atlanır ya da düzgün bir şekilde yapılmadığından ya veriye erişim kaybı ya da güvenlik zaafiyeti oluşabilir.

Bu sorunun çözümü için birden fazla alanda önlem alarak kimlik yaşam döngüsü kontrol altına alınabilir. Öncelikle Aktif Dizin üzerinde kurumsal hiyerarşiye göre gruplar oluşturulmalıdır. Örneğin Personel Başkanlığı kullanıcıları gibi. Daha sonra ilgili müdürlük kullanıcıları grupları bu daire Başkanlığı grubuna eklenmelidir. Bu şekilde devam edildiğinde bir ağaç yapısı elde edilmiş olur. Bu yapının son noktasındaki (yaprakları) gruplara kullanıcılar eklenmelidir.

Dosya sistemi üzerinde yine erişim gereksinimlerine göre paylaşımlar ve klasörler oluşturulmalıdır. Bu klasörlerin dağıtık yapıda tutulması ve takip edilmesi zor bir iştir. Kullanıcıların bu erişimleri sanal bir dizin ağacı içinde oluşturulabilir. Bu ağacın oluşturulmasında Distributed File System (DFS) namespace özelliğinden yararlanılabilir. Hatta terfi ve tayin durumlarında kullanıcı dosyalarının fiziksel olarak bulunduğu yerler kullanıcıya haber verilmeden kendisine yakın olacak şekilde aynı sistem içerisinde kopyalanabilir. Bu da DFS replication ile sağlanabilir. Kullanıcı yetkilendirmeleri kişisel klasörler hariç her zaman gruplarla yapılmalıdır. Böylece kullanıcı terfi edildiğinde sadece grupları değiştirilerek yetkileri de kendisine parallel olarak taşınmış olur.

Benzer bir durum Sharepoint Server 2010 üzerinde birim portalleri ve doküman kütüphaneleri ile sağlanabilir. Aynı şekilde Exchange Server 2010 üzerindeki adres listeleriyle de yapılabilir. Kullanıcının terfi sonrasında attığı mesajların otomatik olarak kriptolu atılması sağlanabilir. Hatta Outlook 2010 ile kullanıcının bu hiyerarşik modeli bir ağaç görüntüsü olarak takip etmesi ve mesaj atacağı kişiyi rolüne göre bulması ve eğer varsa resimine bakması bile mümkündür.

Bu kadar çok özelliği kullanmak bilginin takip edilmesi ve güncellenmesi sorumluluğunu da beraberinde getirmektedir. Bu noktada bütün yapılanları bir araya getirmek için bir senkronizasyon motorunun kullanılması gereklidir.Bu amaçla Microsoft’un bu alandaki ürünü Forefront Identity Manager 2010 (FIM 2010)  kullanılabilir. Bu amaçla Management Agent (MA) olarak adlandırılan bağlantı noktları kullanılır. Personel veritabanında kullanıcı yaratıldığında ilgili MA otomatik olarak bunu algılanarak kendi bünyesine alır. Buradan tanımlanan iş kuralları çerçevesinde çerçevesinde Aktif Dizine ya da diğer dizinlerine ilgili MA’lar üzerinden aktarılarak (örneğin kapı giriş sistemleri) ilgili kimlik ve yetkiendirmeler aktarılır. Kullanıcı terfi gördüğünde yada özlük bilgileri değiştiğinde (örneğin soyadı değişikliğinde) sistem tarafından bu bilgiler algılanılarak otomatik olarak bütün sistemlerde güncellemeler yapılabilir. Bu işleme Attribuet Flow adı verilir ve hangi sistemlere hangi niteliklerin aktarılacağı sistem özellikleri üzerinden belirlenebilir. Böylece örneğin Adana biriminde çalışan bir kullanıcı İzmir’e tayin olduğunda hem hendi kişisel dosyaları Adana’dan İzmir’e otomatik olarak taşınabilir, hem de yetkilendirmeleri Adana birimindeki kaynaklara erişimi kapatarak, İzmir’e açılabilir. Özelliklerinin değişmesine bağlı olarak bağlı olduğu gruplar güncellenebilir. Aynı şekilde kullanıcının rolleri değiştiğinde grup üyelikleri değiştirilerek hem Internet’e çıkış yetkilendirmesi (gidebileceği siteler, erişim saatleri vs) hem Exchange posta sistemindeki kotası hem OCS ile anında mesajlaşma özellikleri değiştirilebilir. Bunların yanında diğer sistemlerde kullanıcının tanımlanması ve özelliklerinin değiştirilmesi de bu otomatik sistem üzerinden yapılabilir. Örneğin kapı giriş sistemleri üzerindeki tanımlamalarla kullanıcının bina içinde geçiş yapabileceği yerler otomatik olarak belirlenebileceği gibi telefon santralleri entegrasyonu ve uygun telefonlarla kullanıcı telefonu kaldırdığında hangi numarayı arayacağını değil, Aktif Dizindeki bilgilere göre kimi arayabileceğini seçebilir. Uygun görüldüğü durumlarda kullanıcının parolası da aynı sistem içerisinden diğer sistemlerle senkronize edilebilir. Ayrıca kullanıcının parolasını unutması durumunda Windows ile entegre bir parola sıfırlama arayüzü kullanılabilir. Bunun için önce kullanıcının sadece kendisinin bildiği bilgiler arayüz üzerinden sisteme girilir. Kişi parolasını unuttuğunda bu veriler sorgulandıktan sonra parolasının değiştirilmesi ya da müdürüne yollanması gibi alternatifler uygulanabilir.

Kimlik yaşam döngüsü güvenliğin takip edilmesi ve kurumsak güvenlik politikalarının sağlıklı bir şekilde uygulanabilmesi için son derece önemlidir. Kurumsal ortamda uygulanabilecek teknik önlemler ve bunların birbirleriyle bağlantılı çalışmasıyla hem yönetim maliyeti düşürülmüş, hem de kurumsal güvenlik bütün olarak ele alındığından ciddi şekilde arttırılmış olur.

http://www.bilgiguvenligi.gov.tr/kimlik-yonetimi/yetkilendirme-ve-kimlik-yasam-dongusu-baglantisi.html

Yazan : ceyhun çamlı

Mobil cihazlar

Laptop'larda şifreleme birçok devlet kurumu ve diğer organizasyonlar tarafından müşteri verilerini koruma amacıyla zorunlu hale getirilecektir.Bu kurum ya da organizasyonlardaki yöneticiler mobil verilerin korunması konusunda hassas olunması gerektiğini talep edecekler.

Tabii ki mobil cihazların yaygın olarak kullanılması ve bu cihazlar üzerinden birçok bilgiye ulaşılabilmesi PDA gibi akıllı telefonların çalınma oranını arttıracak ve bu da saldırganlar için yeni bir metod olarak karşımıza çıkacaktır.

Devlet Eylemleri

Bilgilerin depolanması günümüzde gittikçe büyük bir önem taşımaya başladığı için devletler de bilgiyi korumaya yönelik daha fazla mevzuat ve kanun oluşturacaklar. Hatta günümüzde işlenen bilişim suçları nedeniyle artık adli bilişim denen bir yapı ortaya çıktı ve elektronik hırsızlığa karşı önemli bir işlevi yerine getirmeye başladı. Buna ilave olarak bilişim suçları ile ilgili kanunlar da devletlerin veri güvenliği ve kişisel bilgi güvenliği konusunda oldukça ciddi önlemler alacağını gösteriyor.

Saldırı Hedefleri

Günümüzde saldırılar özellikle devlet kurumlarına karşı olacaktır. Birçok devletin siber saldırılarla karşı karşıya kalacağını söylemek doğru olacaktır. Son 3 yıl içerisnde abd'de ki devlet kurumlarına ait onlarca başarılı siber saldırı gerçekleştirilmiştir. Bu da devletlerin siber saldırılar karşısında ne kadar yetersiz olduğunu gözler önüne sermektedir.

Hatta birbirleriyle muhalif durumda bulunan ülkeler siber saldırganları karşıt ülkenin bilgisayar sistemlerine saldırmaları yönünde teşvik etmekte ve bu yönde çalışmalar yapmak için kendi siber gruplarını yaratmaktadır.

Wireless networkler üzerinden en az 100.000 cep telefonuna worm bulaşacaı tahmin edilmektedir. Cep telefonlarındaki mobil işletim sistemlerinin de daha dayanıklı ve bu tarz zararlı yazılımlardan minimum zararla kurutulabilecek şekilde hazırlanması gerekmektedir.

Özellikle Voice ove IP sistemleri siber saldırıların hedefi haline gelecektir. Çünkü VOIP teknolojisi tam anlamıyla güvenlik sağlanmadan adeta yangından mal kaçırırcasına sistemlerde yerini aldı. Bu da birçok organizasyon için VOIP kullanımının büyük bir tehdit oluşturduğunu rahatça görmemizi sağlıyor. Tabii kiburadaki sözüm güvenliğe gereken önemi veren organizasyonlara değil , onlar zaten VOIP için de gerekli güvenliği sağlamaya yçnelik ekiplerle çalışıyorlar.

Atak Teknikleri

Spyware'ler zaten büyük bir sorun teşkil etmektedir ama gittikte daha da büyük bir sorun olarak karşımıza çıkacaklardır.Spyware geliştiricileri daha fazla para kazanmak için özellikle gelişmekte olan ülkelerde dağıtmak üzere spyware geliştireceklerdir.

Genellikle Zero day olarak duyduğumuz güvenlik açıkları dünya çapında etkili olacak ve  zararlı içeriklerin milyonlarca bilgisayarı etkilemesini sağlayacaktır.

Güvenlik açıklarını araştıranlar genellikle elde ettikleri sonuçları , bu güvenlik açıklarını istismar eden üreticilere ya da güvenlik açıkları ile ilgili bulguları satın alan TippingPoint gibi alıcılara satmaktadırlar.

Ayrıca rootkitler ve bot'lar birlikte çalışacak ve saldırı yapılan işletim sistemi yapılan saldırıyı gizleyecek ve sisteme bulaşan malwarelar işletim sistemi yeniden kurulmadan temizlenemeyecektir.

Savunma Stratejileri

Network erişim yöntemlerinde, organizasyonlarda giderek artan laptop kullanımı ve bunun sonucunda internal network'ü korumanın daha zor hale gelmesi nedeni ile yeni stratejiler ve yeni ürünlerle karşılaşacağız.

Bu yazıdaki eğilimlerin nasıl belirlendiği konusuna gelecek olursak:

Siber güvenlik konusunda çalışmalar yapan dünyanın en saygın 20 firmasının araştırmaları incelenerek ve hazırladıkları raporlar okunarak böyle bir öngörüde bulunmaya çalıştık. Umarım yararlı olmuştur.

Yazan : ceyhun çamlı

Körfez ülkelerinden Birleşik Arap Emirlikleri(BAE), ulusal güvenliği zaafa uğrattıkları gerekçesiyle Blackberry telefonları takip edebileceğini, hatta yasaklayabileceğini açıkladı.

Bölgedeki regülasyon kuruluşları, Blackberry'nin kullanıcı verilerini bu ülkelerde değil, başka coğrafyalardaki veri merkezlerinde depoladıklarını belirterek bunun bir milli güvenlik zaafiyeti yarattığını dile getiriyorlar. BAE, Blackberry'e ilişkin yeni düzenlemeler yapmaya hazırlanırken gözlemciler olası uygulamaları "baskıcı" olarak nitelendiriyorlar.

İletişim özgürlüğünü savunan watchdog Reporters Without Borders(WRWB), yaptığı açıklamada BAE'nin bölgede bilişim liderliğine oynamakla birlikte en fazla takip yapan ve bu çerçevede baskıcı yasalar çıkartan bir ülke olduğuna dikkat çekiyor. WRWB yetkilisi Lucie Morillon, BAE'nin geçtiğimiz Nisan ayında, kamuya açık alanlardan internete erişenlerin kimliklerinin sorgulanmasına izin veren bir yasanın uygulanmaya başlandığını hatırlatıyor.

Resmi olarak doğrulanmamakla birlikte, ülkede  mobil telefon trafiğinin takip edildiği iddia ediliyor. Tam da bu noktada, BAE devletinin Blackberry üreticisi RIM tarafından şifrelenen iletişimi çözemediği, bunun yasaklanmasının ana nedeni olduğu belirtiliyor. Ülkede Blackberry satışı, bir dizi ulusal güvenlik kanununun çıkartıldığı 2007 yılından önce başlamıştı.

Dünyanın, en büyük operatörlerinden biri olan BAE'nin ulusal telekom firması Eti Salad, geçtiğimiz Haziran ayında Blackberry kullanıcıları için bir güncelleme yayınlamış, RIM, bunun casus yazılımlar içerdiğini açıklamıştı. Eti Salad'ın, halihazırda 145 bini aşkın Blackberry kullanıcısı bulunuyor.

Nüfusunun yarıya yakını internet erişimine sahip bulunan BAE'de, insan hakları alanında çeşitli eleştirilere hedef olan devlet, bu tür eleştirilerin önünü kesmek adına oldukça yoğun bir filtreleme uyguluyor.

Daha önce de, Hindistan'da telekom düzenleyicisi (Department of Telecom – DOT) güvenliği neden göstererek, Skype ve Blackberry'i yasaklayabileceğini belirtmişti[1].
 

Yazan : ceyhun çamlı

VeriSign Türkiye distribütörü IHS Telekom, geçtiğimiz günlerde Grand Cevahir Hotel ve kongre Merkezinde “Bilişim Suçları ve Siber Terörizmle Mücadele” konulu bir konferans gerçekleştirdi. IHS Telekom yetkililerinin yanı sıra VeriSign'dan önemli uzmanların da katıldığı konferansın konuklarından birisi de VeriSign EMEA Bölgesi Tehdit Analisti Mohammad Hluchan idi.
 
Biz de turk.internet olarak konferans sonrasında VeriSign EMEA Bölgesi Tehdit Analisti Mohammad Hluchan ile bir söyleşi gerçekleştirdik.
 
Turk Internet: Merhabalar. Öncelikle kendinizi tanıtır mısınız?
 
Mohammad Hluchan : Adım Mohammad Hluchan. Türkiye'ye yaklaşık bir hafta kadar önce geldim. Türkiye'de distribütörlüğünü IHS Telekom'un yaptığı VeriSign firmasında iDefence biriminde analist olarak çalışıyorum.
 
Görevim Türkiye'de ve Büyük Ortadoğu adını verdiğim bölgedeki hacker faaliyetlerini incelemek. Büyük Ortadoğu olarak adlandırdığım bölge sınırları içerisinde Arap dünyası, Türkiye, İran, İsrail, Orta Asya, Pakistan ve Hindistan yer alıyor. Dolayısıyla oldukça büyük bir coğrafyada çalışıyorum. Tüm bu bölgedeki hacker faaliyetleri ve siber güvenlik tehdiitlerini inceliyorum diyebiliriz.
 
İşimin bir parçası olarak hackerların ne yaptıkları, neden yaptıkları, motivasyon kaynakları ve yönetmlerini araştırıyorum diyebiliriz. Ayrıca bu bölgedeki hacker camiasındaki eğilimleri de takip ediyorum. Örneğin kısa süre önce Rusya'da Zeus botneti ile ortaya çıkan ve özellikle Fas gibi Arapça konuşulan ülkelere hızla sıçrayan botnet teknolojilerini gözlemlemeye başladık.
 
Daha önceleri bu bölgede bu tarz bir faaliyet gözlemlememiştik. Botnet sorunu sebebi ne olursa olsun genel anlamda bizi çok fazla meşgul etmeyen bir problemdi. Ancak şimdi bu teknolojilere eğilim olduğu yönünde ciddi işaretler görüyoruz. Takip ettiğim trendlere örnek olarak bunu verebilirim.
 
Türkiye'ye geliş sebebim ise hem burada kalacağım yaklaşık 1 ay içinde bazı konferanslara katılmak, hem buradaki distribütörümüze teknik destek sağlamak hem de Türkiye'de neler olup bittiği hakkında biraz bilgi edinmek. Zira Türkiye, Orta Doğu IT sahnesinde çok büyük öneme sahip bir ülke.
 
Turk Internet: Size hackerlarla ilgili bir sorum olacak. Bildiğiniz üzere kamuoyunun ilgisini çeken bir camia ve belki de 5 – 10 yıldır haklarında sürekli yazılıp çiziliyor. Türk hackerlar konusunda neler söyleyebilirsiniz?
 
Mohammad Hluchan : Orta Doğu bağlamında değerlendirdiğimizde Türk hackerlar ortalamanın oldukça üzerindeler. Muhtemelen Orta Doğu'daki en güçlü hack camiası Türklerden oluşuyor diyebilirim. Ayrıca bu camianın değişik bir takım nedenlerden ötürü Orta Doğu'daki diğer hacker camialarına nazaran daha hızlı, daha doğru ve daha kesin bir öğrenme süreçleri var.
 
Bence bu durum kısmen dil bilimsel nedenlere dayalı. Bildiğiniz gibi Türkiye'de Latin alfabesi kullanıyor ve bu durum da Türk hacker camiasının batı ülkelerinden gelen bilgisayar teknolojilerine daha hızlı ve erken uyum göstermesine olanak tanıyor. Sonuçta Türk hackerlar çok daha hızlı ve erken bir gelişim gösterebildikleri için Orta Doğu'daki diğer hacker camialarından daha hızlı yol kat ettiler. Bu aslında sebeplerden yalnızca bir tanesi, bunları çeşitlendirmek mümkün.

Turk Internet: Son dönemin moda eğilimi, Bulut bilişim. Siz bulut bilişimin güvenliği hakkında ne düşünüyorsunuz? Gerçekten zorlu bir test mi sizce?
 
Mohammad Hluchan : Bu konuda zorlu bir test ibaresi hayli zayıf kalır bence. Bence tüm bir bulutu tamamen güvenli hale getirmeniz imkansız. Tüm internet temelli bilgisayar hizmetleri düşünüldüğünde bulut devasa bir ortam. Bu devasa ortamda mutlaka bir tehlike olacaktır. Eğer değerli bir şeye sahipseniz ve birileri bunu sizden çalmak istiyorsa her zaman bir tehdit potansiyeli mevcuttur.

Turk Internet: Peki biraz da hack nedenlerinden bahsetmeniz mümkün mü? Örneğin Türk hackerlardaki milli duygular veya dini nedenlerden bahsedebilir miyiz?
 
Mohammad Hluchan : Türkiye'de politik nedenlerle hack faaliyetlerinde bulunan hackerlar var. Kendilerini “Aşırı Milliyetçiler” veya “Atatürkçüler” olarak niteleyen bu hackerların yanı sıra sadece bir nevi spor olsun diye bu işi yapanlar da var. Başka hangi gruplar var derseniz, özellikle bazı gruplarda İslami düşünce yapısına sahip siyasi motivasyonlar da söz konusu. Ben bu gruba “Yeşil Şapkalılar” diyorum.
 
Hack camiasında sizin de bildiğiniz üzere siyah şapkalılar ve beyaz şapkalılar diye iki grup mevcut. Ben bunlara ilaveten İslami motivasyonlu hackerları tanımlamak üzere yeşil şapkalılar diye bir kategori ekledim. Hackerların dini gerekçelerle özellikle de İslami motivasyonlarla faaliyet yürütmesi tüm orta Doğu'da son derece yaygın bir sosyo-kültürel fenomen.
 
Buna eşdeğer bir yaklaşımı Amerika ve Avrupa sahnesinde göremezsiniz. Tam anlamıyla yeşil şapkalıların eşdeğerini görmek mümkün değil. Dolayısıyla bunun Orta Doğu'ya özgü özel bir yapılanma ve hack camiasında eşsiz bir sosyo-kültürel gelişim olduğunu söyleyebilirim.
 
Turk Internet: O zaman Türk hackerlar için para en az öneme sahip motivasyon kaynağı diyebilir miyiz?
 
Mohammad Hluchan : Ben tam olarak öyle demezdim. Ülkede siyasi motivasyonları olan hackerlar, ideolojik motivasyonu olan heckerlar hatta PKK'lı hackerlar var. Sanırım kısa süre önce gazetelerde okumuştum, Atatürk hava alanında yakalanan bir çete vardı. Bu çete İran'a giden bir uçağın otomatik pilot sistemlerine sızmaya çalışıyordu.
 
Ancak paranın da bazı hackerlar için kesinlikle bir motivasyon olduğunu söylemek gerekir. Çağatay Evyapan gibi hackerlar var. Bu her yerde bahsettiğim bir nevi benim en sevdiğim hacker hikayesi oldu. Ayrıca geçtiğimiz yıl İzmir'de yakalanan Mustafa Aydın var. Yanlış hatırlamıyorsam bir de Antalya'da yakalanan yabancı bir hacker vardı. Dolayısıyla asıl motivasyonu bu olan Türk hackerlar da var.
 
Ayrıca bazı Türk hackerların, özellikle de motivasyon kaynağı para olanların, Rus ve Ukraynalı hackerlar ile sıkı bağları mevcut. Çalıntı banka kartları ve kredi kartı bilgilerinin online ticaretini yapan bir camia söz konusu.
 
Turk Internet: Ben de tam bu noktaya geliyordum. Hacker camiası arasındaki işbirliği hakkında ne düşünüyorsunuz?
 
Mohammad Hluchan. Yadsınamaz bir gerçek.
 
Turk Internet: Peki daha çok hangi ülkeler arasında?
 
Mohammad Hluchan : Baktığımızda Rusya'nın bu ülkelerden birisi olduğunu söyleyebilirim. Pek çok Türk değişik düzeylerde Rusça biliyor bu da önemli bir etmen. Dolayısıyla ortada bir işbirliği olduğunu söylemek zor değil.
 
Sanırım geçen yıl gerçekleşen bir olay hatırlıyorum: Suriyeli, Azeri ve Türklerden oluşan, nispeten küçük çaplı bir kredi kartı dolandırıcılığı yapan bir çete Türkiye'de bilişim suçları polisi tarafından yakalanmıştı. Hatırlarsanız Mustafa Aydın vakasında da bir Azerbaycan ayağı vardı. Aydın bir süreliğine Azerbaycan'a kaçmıştı. 
 
Turk Internet: Dolayısıyla güçlü bir işbirliği var diyebilir miyiz?
 
Mohammad Hluchan : Komşu ülkelerle işbirliği söz konusu. Evet bir işbirliği var ve bu çeteler bünyesinde çalışan Türk hackerlar mevcut. Ancak şunu da belirtmeliyim Türk hacker demek sadece Türkiye'de faaliyet gösteren hackerlar demek değil. Bildiğimiz kadarıyla yurtdışında faaliyet gösteren Türk hackerlar da var. Orta Doğu, Amerika ve Türkiye'de Uluslar arası hack yapılanmaları mevcut.

http://www.turk.internet.com/portal/yazigoster.php?yaziid=28422

Yazan : ceyhun çamlı \\ Etiketler: bulut bilgi işlem, bulut teknolojisi