Tem 23

COBIT Denetimleri Açısından Bilgi Güvenliği

ITIL - COBIT Yorum Yok »

Hepimizin bildiği gibi, Bilgi Güvenliği bilginin korunmasını amaçlar. Peki, Bilgi nasıl korunur? Bilginin korunması için bütünlüğü (integrity), gizliliği (confidentiality) ve erişilebilirliliği (availability) özelliklerinin her zaman sağlanıyor olması gerekir. Bilginin üretilmesinden imha edilmesine kadar geçen süreçte güvenliğinin sağlanması için BT Güvenliği, Yedekleme, Fiziksel Güvenlik vb kontrollerinin de devreye alınmış olması gerekmektedir. Bu açıdan bakıldığında BT Güvenliği, Bilgi (Veri) Güvenliği'nin sağlanması için etkenlerden sadece bir tanesidir.

Kurumlar verilerinin güvenliğini sağlamak için BT altyapılarına çeşitli güvenlik ürünleri (Firewall, IPS vb) konumlandırmakta, sızma testleri ve zaafiyet analizleri yaptırmaktadırlar. Yasal düzenlemelere ve standartlara uyum için düzenli periyotlarda denetlenen firmalar, denetlemeye hazırlanırken çoğu zaman bu teknik ayrıntıların içinde kaybolup gitmekte Bilgi Güvenliği ve Bilgi Teknolojileri Güvenliği kavramlarını birbirine karıştırmaktadırlar.

Denetimlerde başarılı olmak için sadece en uygun teknolojiyi konumlandırmak yeterli değildir. Güvenlik denetimlerine denetim açısından bakmak gerekmektedir. Denetimde en temel konu, üründen ziyade Bilgi Güvenliği'nin nasıl yönetildiğidir. Denetlenen kurum, mevcut verilerini değerlendirmiş / sınıflandırmış / önceliklendirmiş ve varlıklar için tehdit-risk-kontrol matrisi oluşturarak gerekli kontrolleri devreye almış olmalıdır. Bu kontroller Firewall, IPS gibi teknolojilerinin yanısıra kontrollü giriş kapıları, kapalı devre tv sistemi gibi fiziksel güvenlik öğelerini de içermelidir. Ayrıca, verilerine erişim için gerekli süreçleri etkin bir şekilde işletiyor olması gerekmektedir.

COBIT Bilgi Güvenliği Denetimleri için yukarda bahsettiğimiz konuların kırılımlarını aşağıdaki kontrol listesinde bulabilirsiniz:

Bilgi Güvenliği Yönetimi

  • Bilgi Güvenliği Politikası, İş Stratejisi'ne uygun mudur?
  • Yönetim Kurulu onaylı bir Bilgi Güvenliği Politikası var mıdır? Paydaşlara duyurulmuş mudur?
  • Mevcut bilgi güvenliği durumu Yönetim ve iş Birimleri'ne iletilmekte midir?
  • BT Varlıkları için varlık değerlendirmesi/sınıflandırması/önceliklendirilmesi yapılmış mıdır?

Bilgi Güvenliği Planı

  • Güvenlik Planı, Standartları, Prosedürleri, Klavuzları var mıdır?
  • Yasal Mevzuat ve iş gereksinimlerine uygun mudur?
  • Bilgi Güvenliği Farkındalık Eğitimleri yapılmakta mıdır?

İnsan Kaynakları Yönetimi

  • İş başlangıcı öncesi gerekli kontroller yapılmakta mıdır? (sicil, referans vb)
  • Tüm kullanıcılarla "Bilgi Gizliliği Anlaşmaları", "Uyum ve Şifre Taahhütnameleri" imzalanmış mıdır?
  • Kullanıcıların politika, standartlara ve diğer dokümanlara uyacağını ifade ettiği kullanıcı beyanı mevcut mudur?

Kimlik Yönetimi

  • Kullanıcı aktivitelerini izlemek için altyapı var mıdır?
  • Sistemlerde her kullanıcı için ayrı hesap tanımlanmış mıdır?
  • Tanımlı kullanıcı hakları "En Az Haklar Prensibi"ne uygun mudur?
  • Erişim taleplerini karşılayan yetkilendirme standartları/klavuzları var mıdır? Süreç nasıl işletilmektedir?
  • Kullanıcı parolaları nasıl belirlenmekte, iletilmekte, saklanmaktadır?

3. Taraf kullanıcı hesapları nasıl yönetilmektedir?

Kullanıcı Hesapları Yönetimi

  • İş Başlangıcı, İşten Ayrılma ve Transfer süresinde kullanıcı hesapları nasıl kontrol edilmektedir?
  • Kullanıcı yetkilendirme kılavuzları mevcut mudur?
  • Erişim hakları, Veri Sahibi tarafından mı verilmiştir? Mevcut haklar, düzenli aralıklarla Veri Sahibi tarafından gözden geçirilmekte midir?
  • Ayrıcalıklı kullanıcı hesapları nasıl yönetilmektedir?
  • Ayrıcalıklı Hesap Parolaları nasıl korunmaktadır?
  • Uygulama kullanıcı hesapları nasıl yönetilmektedir?
  • Geçici kullanıcı hesapları nasıl yönetilmektedir?
  • Tanımlı erişimler için "Erişim Hakları Prosedürü" var mıdır? Etkinliği nasıl ölçülmektedir?
  • Kullanıcı bilgisayarlarındaki yönetici hakları kontrol edilmekte midir?
  • Uzaktan erişim hakları düzenli olarak gözden geçirilmekte midir?
  • Mevcut profiller iş ihtiyaçlarına uygunluk açısından periyodik aralıklarla kontrol edilmekte midir?

Güvenlik Teknolojilerinin Korunması

  • Güvenlik ürünleri (yazılım, donanım, altyapı) ve dokümanları nasıl korunmaktadır?

Kriptografik Anahtar Yönetimi

  • Kriptografik anahtarlar kullanılmakta mıdır?
  • Kullanılmakta olan kriptografik anahtarlar nasıl korunmaktadır?

Veritabanı ve Yazılım Güvenliği

  • Veritabanlarındaki bilgilerin güvenliği nasıl sağlanmaktadır?
  • Veritabanı betiklerinin (DDL, DML) çalıştırılmadan önce gözden geçirilmesi ve onay süreci var mıdır?
  • Yazılım geliştirme sürecinde güvenlik kontrolleri var mıdır? Nasıl uygunlanmaktadır?
  • Üretim ortamına aktarılacak sürümün kaynak kodları gözden geçirilmekte midir?

Zararlı Yazılımları Engelleme, Tespit ve Düzenleme

  • Yazılım lisans yönetimi nasıl yapılmaktadır?
  • Lisanssız yazılım kullanımını engellemek için alınan önlemler nelerdir?
  • Sunucu ve istemci sistemleri için zararlı kodlar için antivirus yazılımı kurulmuş mudur? Periyodik olarak zararlı kod taraması yapılmakta mıdır?
  • Antivirus yazılımının güncellemeleri nasıl yapılmaktadır?
  • Sunucu ve istemci işletim sistemlerinin güncellemeleri nasıl yapılmaktadır?
  • Güncellemeler nasıl yapılmaktadır? Test ortamı mevcut mudur?
  • Yüklenen uygulamalar ve güncellemeler için kayıt tutulmakta ve ilgililerine raporlanmakta mıdır?

Ağ Güvenliği

  • Ağa içeriden ve dışarıdan yapılan erişimleri yetkilendirmek, izlemek ve kontrol etmek için kullanılan güvenlik araçları (FW, IDS, ADS, IPS, Network Segmentation) nelerdir? Bunlar nasıl yönetilmektedir?
  • Ağ cihazlarının (router, firewall) yönetimi süreci nasıl işlemektedir? Talepler nasıl iletilmekte, onaylamaktadır?
  • Tanımlı kurallar nasıl yönetilmektedir? Talep/Onay mekanizması var mıdır? Geriye dönük takip edilebilmekte midir?
  • Cihaz kuralları yedeklenmekte midir? Yedekler nasıl saklanmaktadır?
  • Uzaktan erişim için kullanılan teknolojiler ve prosedürler nelerdir?
  • Kablosuz ağ bağlantısı var mıdır? Var ise nasıl yönetilmektedir?
  • Her sene periyodik olarak sızma ve saldırı testi gerçekleştirilmekte midir?

Hassas Verilerin İletimi

  • Hassas verinin sadece güvenli ortam ve kanallardan iletilmesi sağlanmakta mıdır? İletilen hassas verinin bozulmadığı, gönderenin kimliğinden emin olma, alıcının kimliğinden emin olma ve inkar edilemezlik şartları nasıl sağlanmaktadır?
  • Hangi verinin hassas olduğuna ve güvenli iletilmesi gerektiğine nasıl karar verilmektedir?
  • Hassas veri iletimini düzenleyen bir doküman bulunmakta mıdır?
  • Elektronik Mesajlaşma ve Şifreleme Prosedürü bulunmakta mıdır?
  • Gizli bilgi transferinin hangi kanallardan yapılacağını açıkça belirlemiş midir?
  • Şifreleme stratejisinin yönetimi uygun personelle sınırlandırılmış mıdır?

Güvenlik Olayı Tanımlaması

  • Güvenlik olayları tanımlanmış mıdır?
  • Güvenlik ihlal olayları nasıl toplanmakta, iletilmekte, kayıt altına alınmakta, eskale edilmekte ve gerekli aksiyon alınması sağlanmaktadır?
  • Acil Durum nasıl tanımlanmakta ve yönetilmektedir? Acil Durum Müdahale Ekibi var mıdır?

Fiziksel Güvenliği Sağlanması

  • Sistem odası giriş kapısı sürekli kapalı mı tutulmakta, erişim kontrollü olarak sağlanmakta mıdır?
  • Sistem Odası giriş talepleri için nasıl bir süreç işletilmektedir?
  • Sistem odalarına girişler yetkili personel ile kısıtlanmış mıdır? Nasıl kontrol edilmektedir?
  • Bakım, temizlik, kurulum vb amaçlarla Sistem Odası'na giren tedarikçiler için nasıl bir süreç işletilmektedir?
  • Sistem Odası giriş yetkileri ve kayıtları düzenli olarak gözden geçirilmekte midir?
  • Sistem Odası'ndaki cihazların sağlıklı çalışması için gerekli önlemler alınmış mıdır
  • Klima sistemi, Yangın söndürme cihazları, ısı sensörü var mıdır? Kontrolleri ve bakımları yapılmakta mıdır? Kayıtları var mıdır?
  • Sistem Odası'nın yeri hangi kriterlere göre seçilmiştir? Örneğin; deprem riski varsa, yapı güçlendirilmesi yapılmış mıdır?
  • Su baskını için yükseltilmiş tavan, nem ölçer var mıdır?
  • Hırsızlık vb için CCTV sistemi, güvenlik görevlisi vb var mıdır?
  • Fiziksel Güvenlik Kontrolleri otomatize edilmiş midir?

İş Sürekliliğinin Sağlanması ve Bilginin Yedeklenmesi

  • YK onaylı İş Sürekliliği Planı var mıdır? Gerekli roller belirlenip düzenli aralıklarla test edilmekte midir? Sonuçları ilgililerine raporlanmakta mıdır?
  • Bilgi-Veri Sınıflandırması ve İş Etki Analizleri'ne göre yedekleme ve geri dönüş süreleri belirlenmiş midir?
  • Kritik bilgilerin yedekleri şifreli olarak alınmakta mıdır?
  • Alınan tüm yedeklerin güvenliği nasıl sağlanmaktadır?
  • Yedekler için geri dönüş testleri yapılmakta mıdır?

Bilginin İmha Edilmesi

  • Bilginin imha edilmesi için yazılı prosedürler var mıdır? İşletilmekte midir?

Güvenlik Testi, Gözetleme ve İzleme

  • Mevcut güvenlik uygulamalarının/süreçlerinin etkinliği nasıl ölçülmektedir?
  • Belirli aralıklarla Bağımsız Güvenlik Denetimi yaptırılmakta mıdır?
  • İç denetim tarafından periyodik denetim çalışmaları gerçekleştiriliyor mu?
  • İz kayıtlarının yönetilmesine ilişkin prosedür var mıdır? (izlenmesi, raporlanması, saklanması) Etkinliği için kanıt var mıdır?

Yazar ceyhun çamlı \\ tags: , ,

Oca 27

Bilgi Güvenliği ve Genel Güvenlik Kavramları III

Security Yorum Yok »

Auditing

Auditing (audit trial) network ve sistemler üzerindeki aktivitelerin bilgi amaçlı izlenmesi ve loglanmasıdır. Auditing ile ilgili olarak; sistemden silinen ya da değiştirilen dosyaların ne zaman ve kim tarafından yapıldığının kaydedilmesi (loglanması) gibi.

Sistem audit dosyalarının (logların) düzenli olarak izlenmesi gerekir. Aksi takdirde izlemenin bir anlamı olmaz. Sistem audit dosyaları erişime ve değiştirme atakların karşı bilgi verici olabilir.

Sertifikalar

Sertifikalar kimlik bilgilerini dijital olarak doğrulanmasını sağlayan sistemin bir parçasıdır. Sertifikalar dijital olarak imzalanmış bir bilgidir. Güvenilen bir sistem ya da organizasyon tarafından (certification authority-CA) düzenlenirler.

Authentication tabanlı sertifikalar (digital certificate) yetkilerini oluşturur. Örneğin smart kartlar tipik olarak sertifika kullanırlar. Sertifikalar farklı bilgiler içerebilir. Örneğin bir X.509 sertifikası sertifikanın numarasını ve kullanılan algoritmayı ve sertifikayı yayınlanan CA'nın adını içerir. Sertifikalar ayrıca "trust" oluşturmak için de kullanılırlar. Bu trust'lar CA tarafından doğrulanır.

Örneğin; Güvenli Web erişimi için SSL üzerinden iletişim kurmak için bir Web Server, browser'a kendisini tanıtması için sertifika sağlanır. Server'ın sertifikasının doğrulanmasının ardından SSL oturumu başlatılır.

CRL: Certificate Revocation List: Digital certificate revocations.

Certificate system: Authentication'dan sonra sertifika server'dan client'a verilir.

CA-Certification Authority

CA'lar digital imza sağlarlar ve makinelerin, kullanıcıların ve servislerin kimlik doğrulama işlemini gerçekleştirirler. CA'lar genellikle ticari bir servistir. Verisign ya da Thawte gibi. Bir CA bir kurum içinde de oluşturulabilir (Windows Server sertifika servisleri gibi.) Böylece server'a erişimin yasallığından söz edilebilir.

CA ayrıca yazılımların imzalanması için de kullanılırlar. Yazılımların indirilmesinde belirtilen şirketin sertifikası doğrulamayı (orijinal yazılım) sağlar. Ayrıca sertifikalar verilerin şifrelenmesinde de kullanılabilir. Ya da network protokolleri içinde de kullanılır. Örnek IPSec.

X.509 sertifikaları ise Web-based authentication ile sistemlere erişmek için, lokal bilgisayardaki verileri şifrelemek için ve directory servislerinde kullanılır. X.509 sertifikaları ayrıca Smart Cards, e-mailler'de digital signature kullanımı ve e-mail encrypting işlemlerinde de kullanılır.

X.509 Version 3 Certificate

 

Vulnerability Scanning (Zayıflık Taraması)

Vulnerability scanning (System Scanning) hem saldırganlar için hem de güvenlik uzmanları için önemlidir. Bu taramanın amacı zayıf servisleri ve işlemleri bulmayı amaçlar. Vulnerability scanning için çok sayıda araç vardır. En basit örneği Nmap aracıdır. Bu araç bir "port scanner"dır. Host üzerindeki çalışan servisleri listeler ve işletim sisteminin türünü döndürür. Böylece ne tür atak geliştirilebileceğine ilişkin karar verilir.

Diğer yandan Microsoft'un Security Baseline Analyzer aracı şirketin güvenliğini sağlamak üzere; patch'leri ve konfigürasyonları listeler.

Vulnerabilities Scanning ile; Güvenlik delikleri (hole), yolları (flaws) ve kötüye kullanımları (exploits) tespit edilir.

Vulnerability Scanners/Araçları

 

 

Test Yöntemleri

Sistemlerin güvenlik analizlerinde aşağıdaki üç teknik kullanılır:

• Assessments (vulnerability assessments, threat assessments veya risk assessments)

• Audit

• Penetration Testleri

Bu testler saldırganların sistemlerinize girerek zarar vermesini önlemek için güvenlik açıklıklarının belirlenmesi ve kapatılmasına yardım ederler. Bu testler, sürekli yeni açıklıklar keşfedildiği için belirli periyotlarla tekrarlanmalıdır. Güvenlik analizlerinin her aşamasında kurumunuzla işbirliği şarttır. Senkron, en uygun yöntemi belirlemekte size yardım eder.

Test yöntemleri sisteminizin aşağıdaki bileşenlerine uygulanır:

  • Public sunucular (web, dosya sunucuları),
  • Şirket içi sunucular(veri tabanları), network cihazları (router, switch, vb.),
  • Güvenlik mimarisi bileşenleri (firewall, proxy, erişim denetimi cihazları, vb.),
  • Uzaktan erişim cihazları (terminal, modem, vb.) ve genel amaçlı servisler için kullanılan paylaşımlı iş istasyonları.
  • Zayıflık Analizi (Vulnerability Analysis)

Amaç, sistemlerin güvenliğini incelemek, problemleri anlamak ve iyileştirmeleri belirlemektir. Sistemlerinizin taşıdığı riskler belirlenir ve bunların giderilmesi için önerilerde bulunulur. Bu yöntem, kurum güvenlik politikalarının belirlenmesine de yardım eder. Kullanılan test araçları yardımıyla bilinen güvenlik açıklıkları, konfigürasyon hataları, sistematik olarak araştırılır, sonuçlar ve öneriler detaylı olarak raporlanır.

Penetration Testleri

Bu testin amacı, sisteminizin güvenliğinin aşılabilir olup olmadığını belirlemektir. Muhtemel güvenlik delikleri belirlenir ve bunlardan birisinden sisteme girmeye çalışılır. Test sırasında tüm zayıflıkların bulunması yerine herhangi bir delikten sisteme girilmeye çalışılır. Dolayısıyla bu test zayıflık analizinden daha dar kapsamlıdır. Testte, kurumunuzun kullandığı teknolojiler incelenerek muhtemel açıklıklar belirlenir.

Daha sonra bu zayıflıklar kullanılarak sisteme girilmeye çalışılır. Penetration testinde iki metod kullanılır. Sistemleriniz önce kurum dışından test edilip, herkesçe bilinen bilgiler kullanılarak güvenlik aşılmaya çalışılır. Bu amaçla aşağıdaki testler yapılır:

Sistemin bileşenleri ve aralarındaki ilişkiler belirlenir.

  • HTTP, FTP, SMTP, DNS, vb. servislerdeki genel güvenlik açıklıklarının varlığı test edilir.
  • Network topolojisi, network bileşenlerinin yanlış konfigürasyonu ve kullanılan protokollerden kaynaklanabilecek açıklıkları belirlemek için testler yapılır.
  • Kurum networkünde bilinen backdoorlar olup olmadığını anlamak için testler yapılır
  • Kimlik doğrulama ve erişim denetimi servisleri test edilir
  • Kurum içinden yapılan testte ise iç kullanıcılarca bilinen bilgiler kullanılarak sistemin güvenliği test edilir. Bu amaçla;
  • Sistemde super user gibi bazı özel servislerin kullanıcılarının yetkileri elde edilmeye çalışılır,
  • Bazı işlemleri, ilgili yetki olmadan yapmak için testler yapılır.

Gereksiz Servisler, Protokoller ve İşlemler

Atakların işletim sistemlerin ve servislere (web server gibi) yapıldığı düşünülürse gereksiz servislerin disable edilmesi (pasif hale getirilmesi) doğru bir yaklaşım olacaktır. Bununla birlikte protokoller, prosesler de aynı şekilde sistemin zayıf yanlarını artırmaktadır.

NOT: Servislerin durdurulması ya da disable edilmesi bu servise dayanan (dependent) diğer servislerin de durmasına neden olur.

 

Güvenlik İle İlgili Kurumlar

National Security Agency/Central Security Service (NSA/CSS) : Department of Defense (DoD) tarafından kurulmuştur. Askeri amaçlıdır.

National Institute of Standards and Technology (NIST) : US devleti tarafından geliştirilmiştir. Daha önce National Bureau of Standards (NBS) adıyla çalışmıştır. NIST kriptografi standartları ve bu alanda sistem ve teknoloji geliştirmektedir.

American Bankers Association (ABA) : Bankacılık ve finansal alandaki güvenlik düzenlemeleriyle ilgilidir.

Internet Engineering Task Force (IETF) : Network teknolojileri konusunda çalışmaktadır.

Internet Society (ISOC) : Internet uzmanlarının birliği.

World Wide Web Consortium (W3C) : WWW standartlarıyla ilgili kurum.

Comité Consultatif International Téléphonique et Télégraphique (CCITT) : Telekomünikasyon ve iletişim alanında çalışan bir kurum.

International Telecommunications Union (ITU) : Telekomünikasyon ve radyo iletişimi alanında çalışan kurum.

Böylece bilgi güvenliğine giriş niteliği taşıyan ve üç makaleden oluşan bu seriyi tamamlamış olduk. Umarım yararlı olmuştur.

Kaynaklar:

http://secret-epedemiology-statistic.org.ua/1587052091/ch01lev1sec3.html

http://www.passwindow.com/security.html

http://www.owasp.org/index.php/Man-in-the-middle_attack

http://smt-info.com/distributed-denial-of-service-attack-twitter-facebook-google-and-livejournal.html

http://www.linuxfocus.org/Turkce/March2003/article282.shtml

http://www.zeroshell.net/eng/kerberos/Kerberos-operation/

http://web.interhack.com/publications/wiinfosec_cia.php

http://www.cse-cst.gc.ca/tutorials/english/section3/m2/s3_2_9_1.htm

http://en.wikipedia.org/wiki/Access_control

http://en.wikipedia.org/wiki/Authentication

http://en.wikipedia.org/wiki/Mandatory_access_control

Yazar ceyhun çamlı \\ tags: , , , , ,

Oca 26

Bilgi Güvenliği ve Genel Güvenlik Kavramları II

Security 2 Yorumlar »

 

Attacks (Saldırılar)

Bilgi sistemleri üzerinden; zarar vermek, sistemlerin işleyişini engellemek ya da bilgi çalmak için yapılan çalışmalara atak (saldırı) denilmektedir.

Genel Saldırganlar

  • Yetkili network kullanıcıları
  • Endüstriyel ve plitik casuslar
  • Suçlular
  • Teröristler
  • Bilinmeyen saldırganlar
  • Hackerlar ya da lamerlar

Saldırganları internal saldıganlar ve external saldırganlar olarak ikiye ayırabiliriz:

Internal Saldırganlar

External saldırganlara göre daha fazla zarar verirler. Özelliklere varlıklara yakın olmaları hatta onları normal yollardan kullanmaları bu tür saldırıların en önemli özelliğidir.Yapılan güvenlik araştırmaları saldırıların çoğunun içerden ya da içerden kaynaklanan bilgi sızdırmalarıyla gerçekleştiğini göstermektedir.

External Saldırganlar

External saldırganlar genellikle internet üzerinden saldırıda bulunurlar. Bu tür saldırıların en önemli özelliği saldırgan hakkında çok fazla bir şey bilmiyor olmamızdır. Saldırı başka bir ülkeden ve başka bir ülkedeki server'lar üzerinden yapılabilir. Bu tür saldırılarda genellikle bir araç (malware) kullanılır.Bunun dışında saldırganları profesyonel ve amatör olarak da ayırmak mümkündür. Amatör saldırganların kullandığı yöntemlerden birisi sisteme müdahale edebilecekleri script'ler kullanmalarıdır. (Script kiddies)

Saldırıların Sebepleri

  • Kişisel tatmin
  • Parasal kazanç
  • Meşhur olmak
  • Terörizm
  • Casusluk

Ataklar farklı şekilde sınıflandırılabilir. Tipik olarak yapılan sınıflama şu şekildedir:

Aktif ataklar

Pasif ataklar

Password atakları

Kod ve Kriptografik ataklar

Ataklar, dinleme (sniffing), engelleme (Dos), yaratma (virüsler) ve aldatma (spoofing) gibi de sınıflandırılabilir.

Aktif Ataklar

Aktif ataklar sisteme doğrudan zarar vermeyi, durdurmayı ya da bozmayı amaçlayan ataklardır. Atak yapan kişi (saldırgan) sistemi ya da servisi engellemeyi ya da kötüye kullanmayı amaçlar. Aktif ataklar genelde çabuk fark edilirler. Çünkü sistemi durdurur ya da bozarlar. Bunların bazıları: DoS/DDoS, buffer overflow, SYN attack ve Internet Protocol (IP) spoofing'dir.

Dos / DDoS – Denial-of-Services – Distributed Denial-of-Services

Çoğu DoS saldırısı network üzerinden yapılır. Aynı zamanda lokal makine üzerinden de başlatılabilir. Local olan DoS saldırıları genellikle daha kolay bulunur ve düzeltilebilir. Örneğin bir "fork bomb" ise sürekli olarak tekrarlanan saldırılarla, oluşturulan işlemlerle sistem kaynaklarının tüketimi sağlanır.

 

Fork Bomb

 

DoS atakların amacı:

Yetkili kullanıcıların erişimini engellemek. Network'e sızmak, normal trafiği engellemek.

İki bilgisayar arasındaki trafiği engellemek.

Şirketin önemli bilgilerini elde etmek ve onları kötü amaçlı kullanmak.

Servisleri durdurmak. Sistemleri kullanılamaz hale getirmek.

DoS Metotları:

  • ICMP flood
  • Smurf atak
  • Ping flood
  • Ping of death
  • SYN flood
  • Teardrop
  • Peer-to-peer
  • Permanent Denial-of-Service
  • Banana
  • Nuke
  • Distributed atak (DDoS)
  • Reflected atak
  • Unintentional atak
  • DoS flooding atak (emailler için)

Ana DoS atak türleri:

  • Smurf
  • Buffer Overflow
  • Ping of Death
  • Teardrop
  • SYN flood

Smurf

Smurf saldırılarında IP ping paketinin işleyişinden yararlanılır. Çok sayıda reply paketi ile hedefin gerçek trafiği alması engellenir. Bu tür ataklar "amplification attacks", "smurf attack" olarak da adlandırılır. Smurf ataklarında; kurban bilgisayarın IP adresinden network'ün broadcast adresine Internet Control Message Protocol (ICMP) isteği (ping) gönderilir ve network üzerindeki bütün bilgisayarlardan kurban bilgisayara yanıt göndermesi sağlanır.

 

 

Smurf Attack

 

Resource Consumption Attacks Network (Kaynak Tüketimi Atakları) bandwidth gibi kaynakları hedefleyen ataklardır. Kaynak tüketimine yönelik ataklar genellikle küçük ya da orta ölçekli sitelere saldırmak için kullanılır. Bu ataklarda Digital Subscriber Line (DSL) ve cable modem bağlantıları kullanılır. Bunun dışında "Structured Query Language (SQL) Slammer" worm da network trafiğine yük getirir.

Buffer Overflows

Bilgisayar sistemlerinde kullanılan buffer'ların kapasitesinden çok veri gönderilerek sistemin bozulması ya da normalden fazla trafik oluşturarak iletişimin engellenmesidir. Saldırgan genellikle açıkları, buffer özelliklerini bilir ve ona göre sistemi zorlayacak bilgiler gönderir. Bu boyutu arttırılmış bir ping paketi olabilir.

Buffer Overflow saldırısı yazılımların zayıf yönlerini kullanır. Tipik "overflow attack"ları: Sasser wormdur.

Ping of Death

Bu atağın amacı büyük boyutlu paket göndererek sistemi bozmaktır. Ayrıca IP paketleri taşıma sürecinde MTU (Maximum Transmission Unit) konfigürasyonu ile parçalara ayrılır. PoD atağı bu sistemi de bozmayı amaçlar.

 

 

Örnek:

Windows komut satırından:

ping -l 65550 192.168.1.X

Linux komut satırından:

ping -s 65550 192.168.1.X

Teardrop

Bu tür saldırılar büyük IP paketlerinin parçalara bölünmesi sistemini kullanır. Parçalanan IP paketi bir paket ile alıcı sisteme paketin parçalarını belirtir. Teardrop saldırılarında saldırganlar bu parçalanmayı karıştıran ofset değeri üreterek alıcı sistemi bozmayı amaçlar. Overlapping, over-sized, payload paketler gönderilerek sistem bozulur.

NOT: IP paketlerinin (datagram) parçalanma işlemine IP fragmentation denir.

SYN Attacks

"SYN attack" bir DoS atağıdır. TCP/IP protokolünün bir eksikliği üzerine kurulmuştur. Transmission Control Protocol (TCP) oturumunda iki hostun iletişim kurmasında kullanılan üç-yollu el sıkışmayı (the three-way handshaking) kullanır.

SYN | SYN/acknowledgement (ACK) | ACK iletişimi

İlk olarak SYN paketini gönderen hosta SYN/ACK yanıtı verilir ve kendisinden ACK yanıtı beklenir. SYN atağında (SYN flood) saldırgan yalnızca SYN paketini gönderir ve kurbanın yanıt beklemesini sağlar.

 

SYN protokolü

 

1) Saldırgan yanıltılmış (spoofed/fake) IP adresini kaynak adresi olarak kullanarak çok sayıda SYN paketini kurban makinaya yollar.

2) Kurban alının her SYN paketi için onay paketini (SYN-ACK) gelen IP adresine yollar.

3) Adresin sahte olmasından dolayı kurban bir yanıt alamayacağından, SYN-ACK yanıtını sürekli göndermeye çalışılacak ve böylece hedef (kurban) bilgisayar meşgul edilmiş olacaktır.

DDoS (Distributed DoS) Atakları

Saldırı için birçok bilgisayarı kullanmak. Bir DDoS atağında kurban bilgisayar (zombie) kullanılarak saldırı yapılır. Bu anlamda bir ana kurban (kullanılan) bir de diğer saldırılan kurbanlar var.

 

 

Zombie: Hacker tarafından kötü amaçlı kullanılan Internet'e bağlı bir bilgisayardır. DDoS ataklarında iz bırakmamak için kullanılan aracı (başkasının) bilgisayarlar. Böylece saldırganın kimliği gizlenmiş olur.

Yaygın olarak bilinen DDoS atak araçları:

Trinoo,Tribe Flood Network ve Stacheldracht.

Session Hijacking

Client ile server arasındaki iletişimin arasına girmeyi, ve kullanıcının oturumunu ele geçirmeyi amaçlayan saldırılardır."Replay" ve "Man in the middle" teknikleri kullanılır.

Session hijacking: Web session'ı arasında girmek.

TCP/IP hijacking: ssion Hijacking saldırganın TCP flow yönlendirmesi yapabilmesini sağlar. Ardından parola korumasını atlayabilir (telnet yada ftp de olduğu gibi)

"Man-in-the-middle attack" (MITM atak) da bu tür bir ataktır. TCP/IP orijinalinde güvenlik özelliklerine sahip değildir. "Man in the middle" ataklar TCP/IP protokolünün eksikleri üzerine kuruludur. Bir "Man in the Middle" atağı saldırganın bir görüşmeyi kesmesi ya da araya girmesiyle yapılır. Araya giren saldırgan "eavesdropping" gibi dinleme işlemlerini yapabilir.

MITM atakları ayrıca şu adlarla da kullanılır:

  • Bucket-brigade attack
  • Fire brigade attacks
  • Session hijacking
  • TCP hijacking

TCP/IP Hijacking

Saldırganın network üzerindeki bir hosta erişip onun üzerinden (spoofing) bir başka kurbana saldırmasıdır. Saldırgan iki kişi arasındaki güvenilir iletişimden yararlanır. TCP/IP hijacking ayrıca "active sniffing" olarak da adlandırılır. Network üzerindeki bir hosta erişen saldırgan onu bağlantısını mantıksal olarak keserek- aynı IP adresi ile başka bir bilgisayara bağlanır. Bir anlamda Session Hijacking içindeki bir adımdır. IP Spoofing ve MITM tekniklerini kullanır.

Hunt olarak bilinen bir araç özellikle Telnet ve File Transfer Protocol (FTP) session için hijack yapmada kullanılır. Diğer bir şekli de Web-tabanlı uygulamaların oturumlarını ve cookie bilgilerini kullanarak yapılır.

Replay Attacks

Saldırganın networke erişip; bir hostun gönderdiği paketleri kendisine geri göndermesidir. Böylece host, paketi yeniden göndermeye çalışacak ve meşgul edilmiş olacaktır. Örneğin; yaptığınız bir EFT'nin size sürekli geri dönmesi ve sizin onu her seferinde yeniden yapmanız.

Man in The Middle ataklarında olduğu gibi "random TCP sequence number" kullanımı, Secure Shell (SSH) ya da Internet Protocol Security (IPSec) gibi bir şifreleme bu saldırıları önleyebilir. Ayrıca "timestamp" kullanımı da replay ataklarını engeller.

Spoofing Atakları

Spoofing genel olarak saldırganın kendisine ait olmayan bir adresi ya da kimlik bilgilerini kullanılarak yaptığı ataktır. Örneğin; bir fake logon programı ile kullanıcının login bilgilerini alıp daha sonra onun hesaplarını kötüye kullanmak.

Yine tipik bir örnek olarak, domain adını yanlış adreslere yönlendirmek ya da masquerading (başkasının yerine geçmek/impersonate) verilebilir.

  • Masquerading.
  • Ingress/egress
  • Domain adını yönlendirmek.
  • IP kaynak adresini değiştirmek.

Spoofing işleminde saldırgan güvenilen bir IP adresine sahip olur ve ve onun bilgileriyle saldırır. Böylece hedef bilgisayar onun güvenilen bir kaynaktan geldiğini bildiği için anlaşılması en zor ataklardandır.

IP Spoofing

En tipik spoofing işlemidir. TCP/IP protokolü her hostun IP adresinin paketlere eklemesinin kötüye kullanılmasıyla sağlanır. Böylece gönderenin kimliği gizlenmiş olur. IP paketleri kaynak adresi (source) ve hedef (destination) adresi vardır. Kaynak adresi gönderenin IP adresidir.

IP Spoofing Proxy/Socks kullanarak veya IP paketlerini düzenleyerek yapılır. Proxy/Socks sunucusu kullanmak basit bir yöntemdir. Daha çok web/IRC bağlantılarında IPyi gizlemek için kullanılır. IP paketlerini düzenleyerek yapılan IP Spoofing çok etkilidir ve genel olarak D.o.S saldırılarında veya session-hijacking yönteminde kullanılır.

E-mail Spoofing

Güvenilen bir sahte e-mail adresi ile mail göndermek. Ardından eklenen bir ek dosyası ile de hedefe saldırmak. Spoofing, e-posta başlıklarının değiştirilmesi ile iletinin orijinal göndericisi yerine başka bir yerden ya da kurumdan geliyormuş gibi gösterme işlemidir.

Web Site Spoofing / Web Spoofing

Saldırganın bilinen bir Web sitesi adresininin sahtesini kullanarak saldırı yapmasıdır. Örneğin; fake bir banka sitesi.

Phishing

E-mail ve Web site spoofing işleminin birleşimidir. Kullanıcıya sahte bir mail gönderilerek kullanıcının fake bir siteye çekilmesi gibi. Böylece kullanıcının yasal bir banka sitesine giriş için kullandığı bilgilerin fake site yoluyla elde edilmesidir.

Hoax Mail

Internet üzerinden gönderilen ve genelde "fazla iyi" bir hikaye ile bilgi ya da para sızdırmayı amaçlayan çalışmalar. Örneğin; e-posta adresi toplamak veya markaları karalamak için oluşturulan yalan haber içeren e-postalar.

War Dialing

PBX telefon santrallerine modem tarama (scanning) araçlarıyla saldırmak. War dialing işlemi, hedef sisteme karşı bir saldırı başlatmak amacıyla bir network'e uzaktan erişimi sağlayan açık modem bağlantılarını bulmak için modem numaraları çevirmektir.

Social Engineering (Sosyal Mühendislik)

İnsanları aldatarak ya da yanıltarak yapılan iletişim sonucunda bilgiler elde etmek ve onları saldırı amaçlı kullanmak ya da çeşitli saldırılarda kullanmak üzere bilgi hırsızlığı yapmak. "Sosyal mühendislik" olarak adlandırılan bu ataklar genellikle insan kaynaklıdır ve çeşitli iletişim teknikleriyle network güvenliğine ilişkin bilgileri elde etmeyi amaçlar.

  • Kişileri inandırma yoluyla istediğini yaptırma eylemidir.
  • Albenili e-posta ekleri, web hizmetleri. (too good to be true)
  • ISP görevlisi kılığında kullanıcının şifresini öğrenmek.
  • Banka personeli kılığında kişisel ve kredi kartı bilgilerini ele geçirmek.
  • Teknisyen kılığında kurumun içine fiziksel olarak sızmak…

Sosyal Mühendislik Yöntemleri

  • Sahte senaryolar uydurmak (pretexting)
  • Güvenilir bir kaynak olduğuna ikna etmek (phishing)
  • Güvenilir bilgi karşılığında yardım, para, eşantiyon, hediye, … önermek
  • Güven kazanarak bilgi edinmek.
  • Omuz sörfü, çöp karıştırmak, eski donanımları kurcalamak
  • Çöp karıştırmak — Çöpe atılmış CD, disket, kağıt, ajanda, not, post-it, … gibi eşyaları incelemek
  • Eski donanımları kurcalamak – Hurdaya çıkmış, ikinci el satış sitelerinde satışa sunulmuş, çöpe atılmış, kullanılmadığı için hibe edilmiş donanımın içeriğini incelemek

Örneğin saldırganın şirkete telefon edip kendisini servis sağlayıcıdan arıyormuş gibi tanıtması ve karşıdaki kişiden şirketin bilgilerinin almasıdır.

Con artist

Sosyal mühendislik saldırılarının bir oyunculuk yaratıcılığıyla yapılmasıdır.

Diğer aktif ataklar ya da farklı adlandırmalar:

Chargen

Chargen – Character Generator bir IP servisidir. UDP paketi içinde rastgele sayı üretir. TCP port 19'un kullanıldığı bu sistemde; chargen DoS saldırısı ile iki aygıtın iletişimi bozulur.

DNS Poisoning

Cache poisoning, DNS poisoning ya da DNS cache poisoning olarak bilinir. DNS kayıtlarının bozularak kullanıcıları başka server'lara yönlendirilmesini sağlar. Bu sırada bir worm, spyware, Web browser hijacking programı ya da diğer bir kötü kod kullanıcının bilgisayarına indirilir.

Cache poisoning, URL poisoning ile ilgilidir. URL poisoning işlemi "location poisoning" olarak da bilinir. Internet kullanıcılarının davranışları izlenir.

FTP (File Transfer Protocol) bounce

FTP (File Transfer Protocol) bounce atağı FTP server ile diğer bir bilgisayar arasında bağlantı kurmayı amaçlar. Saldırgan kimliğini gizler ve FTP üzerinden erişim yapar.

ICMP attack

ICMP protokolünün yanıtı tetikleyerek yapılan bir ataktır.

Interception

Araya girme. Gönderici ile alıcı arasına girerek yapılan atak türüdür.

Aktif: İletişimin bir kısmını dinlemek.

Pasif: Routinely dinlemek.

Repudiation attacks

Repudiation atakları hatalı ya da yanlış bilgiler üreterek yapılır. Örneğin saldırgan şirketin e-mail sistemine girerek şirket müşterilere yanıltıcı mailler gönderir.

War Driving

802.11 Wireless networklerin bulunmasına ilişkin atak. Genellikle free wireless networklerinin bulmak ve belirlemek için kullanılır.

Nuke

Eski bir ICMP paket tabanlı atak türüdür. Sistemi bozmayı amaçlar.

E-mail spam ve Unsolicited Bulk Email (UBE)

Diğer bir tür DoS ise e-mail spam ve Unsolicited Bulk Email (UBE) olarak bilinen ataklardır.

Land Attack

TCP SYNC paketi gönderir. Paketin kendisini geriye göndermesi sağlanır. Hedef bilgisayara zarar verilir.

Pasif Ataklar

Pasif ataklar doğrudan saldırmak ve hedef bilgisayarı çalışamaz duruma getirmek yerine "dinleme" ya da "bilgi toplama" işlemi yapılır. Bu bilgiler daha sonra bir aktif atağa yardımcı olabilir.

Sniffing ve Eavesdropping

Sniffer network üzerindeki paketleri görmeyi ya da dinlemeyi sağlayan bir araçtır. Bu şekilde password, e-mail adresleri vb bilgiler elde edilebilir. Örneğin Tcpdump programı yaygın bir UNIX sniffing aracıdır. Bunun yanı sıra Solaris Snop vb araçlar vardır. WireShark ise grafik ortama sahip bir sniffing aracıdır. Bu yönteme karşı alınabilecek en etkin çözüm verilerin şifrelenmesidir.

Diğer bir tür dinleme aracı da "keylogger"lardır. Bu araçlar kullanıcının klavyesindeki basılan bütün tuşları kaydederler.

Packet sniffing: Instant mesaj oturumlarını izlemek. Ayrıca networkü monitor (izleme) ve analiz etmek.

Sniffing'e karşı zayıf protokoller: Telnet, http, SMTP, NNTP, POP, FTP, IMAP, ..

Aktif sniffing: Switch üzerinden yapılan.

Pasif sniffing: Hub üzerinden yapılan.

ARP Spoofing gibi atakları için bilgi toplanır.

Araçlar:

  • Etheral: Örneğin Ethereal bir password dinleme aracıdır.
  • Tcpdump komutları
  • Netmon
  • Ethercap
  • Effetech (http sniffer)
  • MSN Sniffer,

….

Bazı ataklar birden çok adla anılmaktadır. Bu nedenle farklı kaynaklarda farklı adlara rastlamak mümkündür.

Diğer pasif ataklar:

Footprinting

Hedefin (şirketin) profilini çıkarmak. Atak öncesi adımlardan ilki:

Web adresleri, server'lar vb. bilgilerin toplanması. Nslookup, tracert, vb araçlar.

Footprinting: Şirketin adı, adresi, vb ilk bilgileri.

Scanning: IP adresi, işlerim sistemi, vb bilgilerin elde edilmesi

Enumeration: Kullanıcı adlarını, bilgisayar adlarının elde edilmesi.

Backdoor (back doors)

İşletim sistemi ya da yazılım uygulamalarının bilinçli olarak bir açık kapı bırakılması. Böylece izleme işlemlerinin ve yetkisiz kontrol işlemleri yapılabilmesidir. Örnek: Loki, NetCaz, Masters Paradise, NetBus, vb. tipik örnekleridir.

Fingerprinting

Bir bilgisayar üzerindeki işletim sistemini belirlemek için kullanılır. Kullanılan tekniklerden birisi ICMP mesaj kotalarını kullanmaktır.

Port scanning: Port scanning girişimi ile işletim sistemi ve host tanımlanmaya çalışılır.

Password Atakları

Password atakları yaygın olarak yapılır. İki tür password atağı vardır:

  • Brute force
  • Dictionary-based atakları

Password atakları online ya da offline olabilir. Online ataklarda password'ler sistemden doğrudan alınır. Offline ataklar daha zordur. Ancak network üzerinde bir işlem oluşturmazlar ve "lock out" sorunu olmaz.

Brute Force Attacks

Bir tür Password Cracking yöntemidir. Password'ü tahmin etmek için deneme yapmayı içerir. Brut force'dan korunmanın amacı kompleks password kullanmaktır. Brute force saldırıları belli araçlarla yapılır. Bu araçlar olası karakter kombinasyonu deneyerek parolayı tahmin etmeyi sağlar. 8 karakterden uzun parolaların bulunması zaman alır. Brut force ataklar, dictionary ataklarına göre daha uzun zaman alır.

Birthday Atak

İnsanları aynı günde doğmuş olacakları varsayımından hareket ederek; MD5 içindeki keyleri bulmak için yapılan bir saldırıdır. MD5 (Message-Digest algorithm 5) bir hashing fonksiyonudur. Birthday saldırısı bir tür brut force saldırısıdır. Bir şekilde hash fonksiyonunu kırıp password'leri bulmayı amaçlar.

Dictionary-based Attacks

Brut force benzeri bir saldırı işlemidir. Bir dictionary (sözlük) dosyası kullanılarak password'lerin tahmin edilmesidir. Sözlük terimi kelimelerden oluşan bir veritabanında gelir. Bu veri parolanın kırılmasına yardımcı olur. Dictionary saldırısından korunmak için "kolay tahmin edilemeyen" parolalar girilmesi gerekir.

Zararlı Kod Atakları (Malicious Code Attacks)

Kod atakları özel olarak yazılmış "zararlı" programlar aracılığıyla bilgisayarlara zarar vermeyi amaçlar. Genel olarak malware ya da spefisik olarak trojan horse, virus, spyware, rootkit olarak adlandırılan bu programlar farklı şekillerde bulaşırlar ve çoğalırlar.

Kod atakları:

  • Virüsler
  • Worm'lar
  • Trojan Horses
  • RootKits
  • Logic Bombs
  • Spyware ve Adware

Zararlı Kod atakları (virüsler)

Virüs

Kendi kendine çalışmaz. Bir dosyaya bulaşır. Çalışabilir durumdadır. Dosyaları bozar. Dosyalara yapışır, onların üzerinden çalışır. Genellikle veri dosyalarını değiştirir, bozar. Mesajlar gösterir ya da işletim sisteminin fonksiyonlarını bozar.

Virüs çeşitleri:

Parasitic: Executive dosyaları etkiler.

Bootstrap Sector: Boot sektörde yerleşir.

Multi-partite: Birden çok özelliğe sahip. Örneğin Parasitic ve Bootstrap.

Companion: Var olan bir programın aynı adı kopyasının oluşturur.

Link: İşletim sisteminin bir programını bulmasını/çalıştırmasını bozar.

Data File: Veri dosyalarını bozar.

Polymorphic: Sistemi bozan tipik virüsler. Mesajlar verir ya da dosyaları siler.

Stealth: Kendini gizler.

Retrovirus: Antivirüs yazılımlarını bypass etmeyi amaçlar.

Armored virüs: Tanımlanamayan virüsler.

Phage virüs: Programları ve veritabanları değiştirir.

Macro virüs: Ofis programlarını bozmaya yönelik.

Virüsten korunmanın yollarının başında anti-virüs programları gelir. Bu programlar virüslerin tespitini ve yok edilmesini sağlarlar. Ancak sürekli geliştirilen virüsler olduğunu düşünürsek anti-virüs programının da güncel tutulması gerekir.

NOT: Virüsler .txt uzantılı dosyalara etki etmez.

Worm

Kendi kendine çalışır ve kendini kopyalar. Virüsler gibi bir dosya üzerinden (host) hareket etmezler. Örneğin sistemi restart etmeyi sağlayan bir worm. Genelde bellekte aktif kalan programlardır.

Bazı örnekler:

  • Nimda
  • SQL Slammer
  • Blaster
  • Morris
  • Badtrans
  • Code Red

Trojan Horse

Virüs gibi bir host dosya kullanmaz. Kendi başına bir programdır. Kopyalama ile çoğalmaz. Genelde server gibi çalışır. Buna bağlanılarak dışarıya bilgi sızdırılır. Trojan'lar iletişim programı, e-mail ya da Web sayfaları olabilir. Manuel olarak yüklenebilir, e-mail ile gönderilebilir ya da bir programla birlikte gönderilebilir.

Trojanlar hangi bilgileri elde etmek için kullanılır:

  • Kredi kartı bilgileri
  • Kullanıcı hesap bilgileri (logon name, password, vb)
  • Gizli dokümanlar

Örnek: Back Orifice

Rootkit

Kendisini gizleyebilen bir tehlikeli yazılım türüdür. Adı, UNIX'te kullanılan root kullanıcısından gelir. İşletim sisteminin temel bileşenlerini bozmayı hedef alır. Mevcut işletim sistemini virtual machine yapmak, uzaktan kontrol programları yüklemek gibi işlemler yapılır.

Logic Bomb

Bir tür virüs olan logical bomb'lar önceden belirlenmiş koşullara göre çalışırlar. Örneğin belli bir tarih ve zamanda aktive olmak gibi.

Spyware ve Adware

Spyware programları yüklendiği bilgisayar üzerinde spy (ajan) görevini üstlenir. Özel bilgilerin alınması ve sistem fonksiyonlarının bozulması gibi işlevlere sahiptir. Özellikle Internet üzerinden gelir ve Browser üzerinde çalışır.

AntiVirus Koruması

  • Sisteme anti-virüs programı yüklenmeli
  • Internetten çekilen dosyalar konusunda dikkatli olunmalı
  • Bilinmeyen kaynaktan gelen e-posta'daki ekli dosyaları açılmamalı
  • Paylaşılan taşınabilir medyalar virüs kontrolünden geçirilmeli

Bilgi güvenliği ve genel güvenlik kavramları makale serisinin ikincisinin de sonuna geldik.Makalemizin üçüncü ve son bölümünde görüşmek üzere.

Yazar ceyhun çamlı \\ tags: , , , , , , , ,

Şub 18

Bilgi Güvenliği Açısından Erişim Kontrolü

Genel, Security Yorum Yok »

 Bir kurumda bilgi güvenliğinin sağlanması adına, uygulanması ve uyulması gereken en önemli maddelerden biri olan erişim kontrolünün hangi açıdan bakarsanız mutlaklık içeren maddelerden oluştuğunu görebilirsiniz. Erişim kontrolünü etkin ve efektif olarak uygulamak, başta veri kaybı olmak üzere birçok konuda daha güvenli bir yapıda olmanızı sağlayacaktır.

Erişim kontrolü bilgiye erişimin denetlenmesi, bilgi sistemlerine yetkisiz erişimin engellenmesi, yetkisiz kullanıcı erişimine izin verilmemesi, hizmetlerin korunması, yetkisiz işlemlerin tespit edilmesi ve uzaktan çalışma ortamlarında bilgi güvenliğinin sağlanması gibi kritik konuları kapsamaktadır. Bu denli kritik bir konuda güvenliğin sağlanması için aşağıdaki maddeler göz önünde bulundurulmalıdır;

Erişim Kontrolü İçin İş Gereksinimleri

Erişim Kontrolü Politikası

  • Erişimle ilgili iş ve güvenlik ihtiyaçları göz önünde bulundurularak erişim denetimi politikası oluşturulmuş ve belgelenmiş olmalıdır.

  • Erişim denetimi hem fiziksel, hem işlevsel boyutları ile değerlendirilmiş olmalıdır.

  • Erişim denetimi politikası bütün kullanıcılar veya kullanıcı grupları için erişim kurallarını ve haklarını açıkça belirtiyor olmalıdır.

  • Kullanıcılara ve servis sağlayıcılarına erişim denetimiyle hangi iş gereksinimlerinin karşılanacağı iyice açıklanmış olmalıdır.

  • Politika belgesi şu konuları içermelidir; her bir iş sürecinin güvenlik ihtiyaçları, iş süreçleri ile ilgili tüm bilgiler ve bu bilgilerin yüz yüze olduğu riskler, bilginin yayılması ve yetkilendirme ile ilgili politikalar, bilginin sınıflandırılması, güvenlik seviyeleri ve "gerektiği kadar bilme" prensibi, farklı sistem ve ağlardaki bilginin sınıflandırılması ve erişim denetimine ilişkin politikaların tutarlı olması, bilgiye erişimle ilgili olarak kontratlardan ve yasal yükümlülüklerden kaynaklanan şartların yerine getirilmesi, kurumun yaygın kullanıcı profilleri ile ilgili erişim hakları ve Erişimin talep edilmesi, yetkilendirilmesi ve yönetilmesi görevlerinin birbirinden ayrılması.

  • Erişim haklarının "Yasaklanmadıkça her şey serbesttir" değil "İzin verilmedikçe her şey yasaktır" prensibine göre verilmesine dikkat edilmelidir.

Kullanıcı Erişiminin Yönetilmesi

Kullanıcı Kaydı

  • Bilgi sistemlerine ve servislerine erişim hakkı vermek için resmi bir kullanıcı kaydı girme ve kullanıcı kaydı silme prosedürü olmalıdır.

  • Sistem kayıtları ile ilişkilendirme ve sorumlu tutulabilme açısından kullanıcı kimliklerinin her kullanıcı için farklı olmasına dikkat ediliyor olmalıdır.

  • Bilgi sistemini ve servisini kullanabileceğine dair sistem sahibi kullanıcıya yetki vermiş olmalıdır.

  • Verilen erişim hakkı kurumsal güvenlik politikasına ve görevler ayrılığı ilkesine uygun olmalıdır.

  • Kullanıcılara erişim hakları ile ilgili yazılı belge veriliyor ve kullanıcılardan erişim şartlarını anladıklarına ilişkin imzalı belge alınıyor olmalıdır.

  • Görevi değişen veya kuruluştan ayrılan personelin erişim hakları derhal güncellenmelidir.

Ayrıcalık Yönetimi

  • Ayrıcalıkların kullanımı sınırlandırılmış ve denetleniyor olmalıdır.

  • Ayrıcalıklar "kullanması gereken" prensibine göre ve resmi bir yetkilendirme süreci sonunda verilmelidir.

Kullanıcı Parola Yönetimi

  • Kullanıcı parolalarının atanması ya da değiştirilmesi resmi bir prosedür uyarınca yapılmalıdır.

  • Kullanıcılara parolalarını saklı tutacaklarına dair bir anlaşma imzalatılmalıdır.

Kullanıcı Erisim Haklarının Gözden Geçirilmesi

    • Kullanıcı erişim haklarının düzenli aralıklarla kontrol edilmesini sağlayan resmi bir süreç olmalıdır.

    Kullanıcı Sorumlulukları
     

    Parola Kullanımı

    • Kullanıcı parolalarının seçilmesi ve kullanılması ile ilgili güvenlik tedbirleri uygulanmalıdır.

    • Sistem tarafından geçici olarak verilen parolaların kullanıcı tarafından sisteme ilk girişte değiştirilmesi sağlanmalıdır.

    • Kullanıcılar zor kırılacak parolalar seçmeleri konusunda bilinçlendirilmiş olmalıdır.

    • Kişisel parolaların hiç kimse ile paylaşılmamasına, yazılı veya elektronik ortamlarda kaydedilmemesine dikkat edilmelidir.

    • Kullanıcılar düzenli aralıklarla veya sistem güvenliği ile ilgili bir kuşku oluştuktan sonra parolalarını değiştirmeye zorlanmalıdır.

    • Kullanıcılar kişisel işlerinde kullandıkları parolaları kuruluşun iş süreçlerinde kullanmamaları gerektiği konusunda bilinçlendirilmiş olmalılardır.

    Gözetimsiz Kullanıcı Ekipmanı

    • Atıl cihazlara ait güvenlik gereksinimlerinden, bu cihazları koruma prosedürlerinden ve bu cihazları korumak için üzerlerine düşen sorumluluklardan kullanıcıların ve iş ortaklarının haberleri olmalıdır. (İşi biten kullanıcıların bilgisayarını kapatması ve şifreli ekran koruyucuların kullanılması gibi)

    Temiz Masa ve Temiz Ekran Politikası
     

    • Kuruluş kağıt ve taşınabilir elektronik depolama ortamlar ile ilgili olarak temiz masa politikası uygulamalıdır.

    • Kuruluş bilgi veya bilgi işlem araçları ile ilgili olarak temiz ekran politikası uyguluyor olmalıdır.

    • Hassas bilgileri içeren kağıt ve elektronik depolama ortamlarının kullanılmadığı zaman kilitlenmesi, bilgisayar başından kalkarken personelin oturumunu kapaması veya ancak parola ile açılabilen ekran koruyucu vb. önlemleri devreye sokması, gelen/giden postaya erişim noktalarının ve faks cihazlarının denetlenmesi, fotokopi makinesi, tarayıcı, sayısal fotoğraf makinesi gibi kopyalama teknolojilerinin yetkisiz olarak kullanılmaması ve hassas bilgi içeren dokümanların yazıcı üstünde bırakılmaması konularına özen gösterilmelidir.

    Ağ Erişim Kontrolü

    Ağ Hizmetlerinin Kullanılması İle İlgili Politikalar

    • Kullanıcıların sadece kullanma yetkisine sahip oldukları ağ servislerine erişebilmesi sağlanmış olmalıdır.

    • Ağlar ve ağ servisleri ile ilgili olarak şu konuları düzenleyen politikalar uygulanıyor olmalıdır; kimin hangi ağlara ve ağ servislerine erişebileceğini belirlemek için yetkilendirme prosedürü tanımlanmış olmalıdır, ağ bağlantılarını korumak ve ağ servislerine erişimi engellemek için yönetim denetimleri ve süreçleri belirlenmiş olmalıdır.

    Harici Bağlantılar İçin Kullanıcı Kimliği Doğrulaması

    • Sisteme dışarıdan yapılacak kullanıcı bağlantıları için kullanıcı kimliği doğrulama mekanizmaları uygulanmalıdır. (Kripto tabanlı teknikler veya klasik "challange- response" mekanizmaları ile çözülebilir. VPN çözümleri de bu teknikleri kullanmaktadır.)

    Ağlarda Cihaz Kimliği Belirleme

    • Bağlantının belli bir cihaz kullanılarak yapıldığından emin olmak için otomatik cihaz kimliği belirleme yöntemleri kullanılıyor olmalıdır.

    Uzaktan Tanı ve Yapılandırma Portu Koruma

    • Yönetim ve yapılandırma portlarına fiziksel ve işlevsel erişimi denetleyen bir güvenlik mekanizması olmalıdır.

    Ağlardaki Ayrım

    • Bilgi sistemi üstündeki kullanıcı ve  servisler gruplara ayrılmış olmalıdır.

    • Kurumun ağı dahili ve harici etki alanlarına bölünmüş olmalıdır.

    • Etki alanları kurumun erişim kontrol politikası ve erişim ihtiyaçları uyarınca oluşturulmuş olmalıdır.

    • Etki alanları sınır güvenliği sistemleri ile korunmalıdır.

    • Telsiz ağların diğer ağlardan ayrılması ile ilgili olarak çalışma yapılmış olmalıdır.

    Ağ Bağlantı Kontrolü

    • Kurum sınırlarının dışına taşan ağlar ve ağ bağlantılarının kullanımı, kurumun erişim kontrol politikası uyarınca kısıtlanmış olmalıdır.

    • Elektronik mesaj, tek veya çift yönlü dosya aktarımı, interaktif erişim, bağlantı zamanı ve süresi ile ilgili kısıtlamalar getirilmiş olmalıdır.

    Ağ Yönlendirme Kontrolü

    • Ağ yönlendirme kontrolleri, bilgisayar bağlantılarının ve bilgi akışının erişim politikasına uygun gerçekleşmesini sağlayacak şekilde tanımlanmış olmalıdır.

    • Ağ iletişimi kaynak adres ve hedef adreslere bağlı olarak güvenlik duvarı vb. cihazlar aracılığı ile kontrol ediliyor olmalıdır.

    İşletim Sistemi Erişim Kontrolü

    Güvenli Oturum Açma Prosedürleri

    • Oturum açma işlemleri yetkisiz erişim olasılığını asgari düzeye indirecek şekilde düzenlenmiş olmalıdır.

    • Sistem ve uygulamaya ilişkin olarak yetkisiz kullanıcıya yardımcı olabilecek bilgiler oturuma giriş başarıyla tamamlanana kadar gizlenmelidir.

    • Bilgisayarda sadece yetkili personel tarafından erişilebileceğini bildiren uyarı mesajı gösterilmelidir.

    • Oturuma giriş sadece tüm girdi verilerinin doğrulanmasından sonra sağlanmalıdır.

    • Bir hata durumu varsa sistem verinin hangi kısmının doğru veya yanlış olduğu bilgisini gizlemelidir.

    • Sistem tarafından izin verilen başarısız giriş denemelerine sınırlama getirilmiş olmalıdır.

    • Oturuma giriş işlemi için zaman sınırı olmalıdır.

    • Başarısız giriş denemeleri kaydedilmelidir.

    • Ağ üstünden şifrenin açık olarak gönderilmemesi sağlanmalıdır.

    Kullanıcı Kimlik Tanımlama ve Doğrulama

    • Gerektiğinde sistem kayıtlarının incelenmesi ve bir işlemin sorumlusunun bulunabilmesi açısından her bir kullanıcıya kendine özgü bir kullanıcı kimliği verilmiş olmalıdır.

    • Sistem yöneticilerine ait kullanıcı kimlikleri birbirinden faklı olmalıdır.

    • Kurum bünyesinde kullanılan kullanıcı tanımlama ve yetkilendirme mekanizmaları iş gereklerine uygun olmalıdır.

    Parola Yönetim Sistemi

    • Kurum bünyesinde kullanılan belirli bir parola yönetim sistemi olmalıdır.

    • Parola yönetim sistemi şu özelliklere sahip olmalıdır; kullanıcıları bireysel parolaların kullanımına zorluyor olmalıdır, kullanıcıların kendi parolalarını seçmelerine ve değiştirmelerine izin veriyor olmalıdır, kullanıcıyı kuvvetli parola seçmeye zorlamalıdır, kullanıcıyı belli zamanlarda parolasını değiştirmeye zorlamalıdır, sisteme ilk girişte geçici parolayı değiştirmeye zorlamalıdır, eski parolaları hatırlayarak tekrar kullanılmalarına engel olmalıdır, parolalar ağ üstünden gönderilirken ve saklanırken kriptolama gibi yöntemlerle korunuyor olmalıdır.

    Yardımcı Sistem Programlarının Kullanımı

    • Sistem araçlarının sistem özelliklerini ve uygulama programlarının yetkilerini aşarak ekstra işlemler yapmadığı kontrol ediliyor olmalıdır.

    Oturum Zaman Aşımı

    • Kullanılmayan oturumlar tanımlı bir süre sonunda kapatılmalıdır.

    Bağlantı Süresinin Sınırlandırılması

    • Kurum dışından veya halka açık alanlardan yüksek riskli uygulamalara erişim durumunda bağlantı süresi kısıtlanmalıdır.

    • Kullanıcı belli aralıklarla kimliğini tekrar doğrulamaya zorlanıyor olmalıdır.

    Uygulana ve Bilgi Erişim Kontrolü

    Bilgi Erişimi Kısıtlaması

    • Erişim kontrolü politikası uyarınca kullanıcılar ve destek personeli için bilgi sistemleri fonksiyonları ve bilgilerine erişim kısıtlanmış olmalıdır.

    • Kullanıcıların bilgiyi yazma, okuma, silme veya çalıştırma hakları düzenlenmelidir.

    Duyarlı Sistem Yalıtımı

    • Uygulamanın duyarlılığı uygulama sahibi tarafından açıklanmış ve belgelenmiş olmalıdır.

    • Duyarlı bilgilerin bulunduğu sistemler diğer sistemlerden izole edilmelidir. (Kendisine ait bilgisayarda çalıştırılması, ayrı ağ bölmesine yerleştirilmesi, ağ kaynaklarının ayrılması, sadece gerekli uygulamalar ile iletişim kurulması vb. İzolasyon fiziksel veya işlevsel olarak gerçekleştirilebilir.)

    Mobil Bilgi İşleme ve Uzaktan Çalışma

    Mobil Bilgi İşleme ve İletişim

    • Dizüstü bilgisayar, cep bilgisayarı, cep telefonu, akıllı kartlar vb. mobil bilgi işlem ve iletişim araçlarının kullanılmasından kaynaklanan risklerden korunmak için benimsenmiş bir politika ve uygulanmakta olan güvenlik önlemleri olmalıdır.

    • Mobil bilgi işlem politika belgesi fiziksel koruma, erişim denetimi, kriptografik denetimler, yedekleme ve virüs koruması konularını içermelidir.

    • Mobil bilgi işlem araçlarının halka açık yerler, toplantı odaları gibi korumasız ortamlarda kullanılması sırasında yetkisiz erişime ve bilginin açığa çıkmasına karşı kriptografik tekniklerin kullanılması gibi önlemler alınıyor olmalıdır.

    • Hırsızlığa karşı önlemler alınıyor olmalıdır.

    • Hassas bilgi içeren araçların başıboş bırakılmamasına özen gösterilmelidir.

    Uzaktan Çalışma

    • Uzaktan çalışma faaliyetleri için organizasyonun güvenlik politikasına uygun plan ve prosedürler geliştirilmiş olmalıdır.

    • Uzaktan çalışmanın yapılacağı yerde ekipman ve bilginin çalınmasına, bilgiye yetkisiz erişim yapılmasına, kuruluşun dahili sistemlerine uzaktan yetkisiz erişime ve bilgi işlem araçlarının kötüye kullanılmasına engel olmak için uygun önlemler alınmış olmalıdır.

    Yazar ceyhun çamlı \\ tags: , , , ,

    Şub 16

    İki Kritik Kavram: Kritik Altyapılar ve Kritik Bilgi Altyapıları

    ITIL - COBIT, Security Yorum Yok »

     

    Kritik altyapılar devlet düzeninin ve toplumsal düzenin sağlıklı bir şekilde işlemesi için gerekli olan ve birbirleri arasında bağımlılıkları olan fiziksel ve sayısal sistemlerdir. Enerji üretim ve dağıtım sistemleri, telekomünikasyon altyapısı,  finansal servisler, su ve kanalizasyon sistemleri, güvenlik servisleri, sağlık servisleri ve ulaştırma servisleri en başta gelen kritik altyapılar olarak sıralanabilir. Kritik altyapıların korunması, gelişmiş ülkelerin önemli gündem maddelerinden birisi olarak karşımıza çıkmaktadır. Bu ülkeler, kritik altyapıların korunması ile ilgili yasal, teknik, idari, kurumsal ve dokümanter çalışmalarda ciddi yol almışlardır. Ülkemizde, bu konuda 2009 senesinde bazı resmi başlangıç çalışmaları yapılmıştır ancak Türkiye’nin önünde uzun bir yol olduğu söylenebilir. Makalede öncelikle anahtar kavramların tarihsel gelişimi aktarılmış ve tanımlamaları yapılmıştır. Kritik altyapılar konusunda Dünya’da ve Türkiye’de yaşanan güvenlik olaylarına yer verilmiştir. Gelişmiş ülkelerin yaptığı çalışmalar ayrıntılı olarak aktarılmış, ülkemizde yapılan başlangıç çalışmaları hakkında bilgi verilmiştir. Makalenin son bölümünde ülkemizde bir devlet politikası olarak gerçekleştirilmesi gereken temel adımlara yer verilmiştir.

    Ülkelerin, kurumların, toplumların ve bireylerin bilgi ve iletişim teknolofjilerine bağımlılığı gün geçtikçe artmaktadır. Amerikan Ticaret Bakanlığı’nın yaptığı bir araştırma, ABD’deki firmaların gerçekleştirdiği yatırımın yarısının bilgi ve iletişim teknolojileri yatırımı olduğunu göstermektedir [1]. Bilgi ve iletişim teknolojilerin sağladığı birçok faydanın yanı sıra bu teknolojiler ile birlikte yeni bir tehdit türü olarak sayısal tehditler hayatımıza girmiştir. Sayısal tehditlerden korunmak için bireyler seviyesinden ülkeler seviyesine kadar alınması gereken karşı önlemler bulunmaktadır. Ülke seviyesinde gerçekleştirilmesi gereken önemli çalışmalardan birisi de kritik altyapıların korunması (Critical Infrastructure Protection-CIP) başlığı altına değerlendirilmektedir.   Bu kapsamda bir devlet politikası olarak belirlenen adımlar ülkede faaliyet gösteren kamu kurumları ve özel şirketler tarafından gerçekleştirilmektedir. “Kritik altyapı” terimi ilk defa Ekim 1997 tarihli “Amerika Birleşik Devletleri Başkanlık Komisyonu’nun Kritik Altyapıların Korunması Hakkında Raporu”nda kullanılmıştır [2]. 192 sayfa ve 12 bölümden oluşan söz konusu raporda temel tanımlamalar ve durum analizi yapılmış, alınması gereken önlemler listelenmiştir. Yeni bir kavramı tanıtmak ve bu kavram hakkında bilgilendirme yapmak amacıyla hazırlanan bu rapordan yedi ay sonra 18 sayfalık “Başkanlık Karar Direktifi” dönemin Amerikan Başkanı Bill Clinton tarafından 22 Mayıs 1998 tarihinde imzalanmıştır [3, 4]. Bu direktif, ABD’nin kritik altyapılarını işleten ve ulusal güvenlikle ilgili tüm kamu kurumlarına gönderilmiştir. Söz konusu direktifte başkanın hedefi, ulusal hedefler, kritik altyapıların listesi, kurumların gerçekleştirmesi gereken adımlar, eşgüdüm ile ilgili hususlar, yeni yapılanmalar ve ulusal koordinatör ile ilgili bilgilere yer verilmiştir. Başkanlık karar direktifinde, silahlı kuvvetlerin ve ekonominin kritik altyapılara ve sayısal sistemlere artan bir hızla bağımlı olduğunun altı çizilmiştir.  Kritik altyapılar, ekonomi ve hükümetin sağlıklı bir şekilde işlemesi için ciddi öneme sahip olan fiziksel ve sayısal sistemler olarak tanımlanmıştır. Kritik altyapıların kamu kurumları veya özel sektör tarafından işletilebildiğinin altı çizilmiş, iletişim, enerji, bankacılık, ulaşım, su sistemleri ve acil durum servisleri örnek kritik altyapılar olarak zikredilmiştir. Geçmiş senelerde, kritik altyapıların fiziksel ve mantıksal olarak ayrı ve bu nedenle bağımlılığı olmayan sistemler olduğu belirtilmiş, bilgi teknolojilerindeki gelişmelerin hem altyapıların kendisini etkilediğini hem de altyapılar arasındaki ilişkileri ve bağımlılığı ciddi bir şekilde artırdığı ifade edilmiştir. Her iki raporun da Internet bağlantıları makalenin referanslar bölümünde verilmiştir. Yazar daha fazla bilgi için söz konusu raporlara başvurmayı tavsiye etmektedir. 

    Kritik altyapı kavramının ortaya çıkmasının en önemli nedeni bilgi teknolojilerinin yaygın bir şekilde kullanılmasıdır [3]. Kritik altyapılar ve bilgi teknolojileri birçok yönden ve ciddi şekilde kesişmektedir. Bu kesişimler bilgi teknolojilerinin önemini çok açık bir şekilde göstermektedir. Bu önem, “kritik bilgi altyapıları” teriminin ortaya çıkmasına yol açmıştır. OECD, kritik bilgi altyapılarını, fonksiyonelliğini yitirmesi durumunda sağlık hizmetlerine, toplumsal emniyet ve güvenliğe, vatandaşların ekonomik refahına veya hükümetin/ekonominin verimli çalışmasına ciddi yönde tesir eden bilgi ağları ve sistemleri olarak tanımlamaktadır [5]. Diğer taraftan, kritik bilgi altyapıları terimi ülkelerin ulusal politikalarında ve stratejilerinde daha az kullanılan bir terimdir [6].

    Makalenin ikinci bölümünde, kritik altyapılara yönelik gerçekleştirilen sayısal saldırıların toplum düzenini ve ekonomiyi ne şekilde etkilediğine yönelik yaşanmış örneklere yer verilmiştir. Bu örnekler verilirken aynı zamanda kritik altyapılar, kritik bilgi altyapıları ve SCADA sistemlerinin tanımları ve birbirleri ile olan ilişkileri ortaya konulmuştur. Üçüncü bölümde, kritik altyapıların korunması (Critical Infrastructure Protection) konusunda Dünya’da ve ülkemizde gerçekleştirilen çalışmalara yer verilmiştir. Dördüncü bölümde, ülkemizde gerçekleştirilmesi gereken kritik çalışmalara yer verilmiştir. Makalenin beşinci bölümü sonuç bölümüdür.

    Tanımlar ve Örnekler

    Günümüzde hemen hemen bütün kritik altyapılar, bilgi ve iletişim teknolojilerini az veya çok içermekte ve bu teknolojiler ile değişik şekillerde kesişmektedir [7]. Barajlar, enerji üretim ve dağıtım santralleri gibi kritik altyapılar bilgi teknolojileri tarafından kontrol edilmekte ve izlenmektedir. Telekomünikasyon gibi kritik altyapılar ise tümüyle bilgi ve iletişim teknolojilerinden oluşmaktadır. Makalenin giriş kısmında da belirtildiği gibi kritik altyapı kavramı bilgi ve iletişim teknolojilerindeki gelişmelerden sonra tanımlanmıştır. Bu tanımlamadan sonra, bilgi ve iletişim teknolojilerinin önemini vurgulamak amacıyla kritik bilgi altyapısı kavramı kullanılmaya başlamıştır.

    Kritik altyapılar devlet düzeninin ve toplumsal düzenin sağlıklı bir şekilde işlemesi için gerekli olan ve birbirleri arasından bağımlılıkları olan fiziksel ve sayısal sistemlerdir. Enerji üretim ve dağıtım sistemleri, telekomünikasyon altyapısı,  finansal servisler, su ve kanalizasyon sistemleri, güvenlik servisleri, sağlık servisleri ve ulaştırma servisleri en başta gelen kritik altyapılar olarak sıralanabilir. Kritik bilgi altyapıları ise,

    Kritik altyapıları destekleyen bilgi ve iletişim teknolojileri unsurları olabilir.

    Ulusal ekonomi ve devlet fonksiyonlarının düzgün işlemesi için gerekli bilgi ve iletişim teknolojileri altyapıları olabilir.

    Bu genel kapsam OECD tarafından belirlenmiş bir çerçevedir [8]. Kritik bilgi altyapılarının da aslında bir kritik altyapı olduğu söylenebilir. Son yıllarda Internet’i de bir kritik altyapı olarak değerlendiren akademik çalışmalar yapılmaya başlanmıştır [9].

    Kritik altyapılar arasında çok fazla sayıda ve karmaşık bağımlılıklar, ilişkiler bulunmaktadır [10]. Bilgi ve iletişim teknolojileri bazı kritik altyapılar arasındaki bağımlılıkları başlatmış, hâlihazırdaki bazı bağımlılıkları ise ciddi şekilde artırmıştır.  Örneğin barajlardaki bir arıza, elektrik üretiminin durmasına, elektrik üretimindeki problemler Internet altyapısının işlevselliğinin bozulmasına neden olabilir. Internet’teki kesintiler ise başta bankacılık olmak üzere birçok kritik altyapıyı etkileyecektir. Aşağıdaki paragraflarda kritik altyapıların bilgi ve iletişim teknolojileri ile kesişimi örnekler verilerek detaylandırılmıştır.

    Barajlar, termik santralleri, enerji dağıtım üniteleri gibi geçmişte tamamen fiziksel unsurlardan ve izole endüstriyel kontrol sistemlerinden oluşan kritik altyapıların birçoğu günümüzde bilgi ve iletişim teknolojileri ile yönetilebilir ve izlenebilir duruma gelmiştir. Kritik altyapıların yönetimi ve izlenmesinde uzun yıllardan bu yana SCADA (Supervisory Control And Data Acquisition) olarak adlandırılan endüstriyel kontrol sistemleri kullanılmaktadır [7]. Geçmişte, başka ağlar ile bağlantısı olmayan, bilgi ve iletişim teknolojileri içermeyen veya altyapıya özel olarak geliştirilmiş teknolojileri içeren SCADA sistemleri, günümüzde yaygın olarak kullanılan ve bilinen yazılım, donanım ve ağ protokollerini barındırmaktadır. Ayrıca, kritik altyapıları yöneten ve izleyen birçok SCADA sistemi kurumsal ağlara ve Internet’e bağlantılı hale gelmeye başlamıştır [11]. Sonuç olarak, SCADA sistemleri sayısal savaşa ve sayısal terörist ataklarına çok daha fazla bir şekilde açık duruma gelmiş ve güvenlikleri geçmişe göre ciddi şekilde sorgulanmaya başlamıştır [12, 13, 14]. 2003 senesinde ABD’nin sekiz adet eyaletinde 50 milyon kişiyi etkileyen, bazı şehirlerde 2 gün süren, 11 kişinin ölümüne ve 6 milyar dolar zarara yol açan ve tarihe “2003 Northeast Blackout” olarak geçen ABD tarihinin en önemli elektrik kesintisinin nedenlerinden birisinin elektrik dağıtımında kullanılan yazılımdaki bir hata olduğu saptanmıştır. Ekim 2003’de ABD’nin en yoğun limanlarından olan Houston Limanı’nın bilgisayar sistemi saldırıya uğramış ve limanın bir süre hizmet vermesi engellenmiştir. Saldırının İngiltere’nin Shaftesbury isimli küçük bir kasabasındaki bir bilgisayardan yapıldığı anlaşılmıştır.  Ancak, bir süre sonra, bilgisayarın sahibinin suçsuz olduğu, bilgisayarın sayısal teröristlerin kontrolüne geçmiş bir zombi bilgisayar olduğu anlaşılmıştır. Bu olay sayısal teröristlerin ne derece profesyonel çalıştıklarını göstermektedir. Rus bilgisayar korsanlarının Estonya bilgi ve iletişim sistemlerine karşı gerçekleştirdiği sayısal saldırılarda, saldırı yapan bilgisayarların birçoğunun ABD’de ve Türkiye’de olduğu tespit edilmiştir. Sayısal savaşlarda, bu örneklerde olduğu gibi zombi durumuna getirilmiş bilgisayarlar kullanılmaktadır. Zombi bilgisayarların kullanıcıları genellikle bilgisayarlarının başkaları tarafından kötü amaçla kullanıldığının farkına varacak bilgiye ve tecrübeye sahip değillerdir. Son örnek olarak, Ağustos 2003’te Ohio’da faaliyet gösteren, Davis-Besse nükleer santralinin izole bilgisayar ağına Slammer solucanı bulaşmış ve santralin izleme sistemini beş saat boyunca çalışamaz duruma getirmiştir. Internet kaynaklı bilgisayar solucanlarının izole ağlara bulaşması, bu ağların ne derece izole olduğunun sorgulanmasına yol açmaktadır.

    ABD, etkin ve verimli kullanım için kritik altyapıları yöneten SCADA sistemlerini büyük oranda standartlaştırmış ve ortak ağlardan ulaşılabilir duruma getirmiştir.  Bu nedenle verilmiş olan tüm örnekler, ABD’nin sahibi olduğu kritik altyapılar ile ilgilidir. Ancak, dünyadaki gelişmiş diğer ülkeler ile beraber ülkemizin de güncel teknolojiyi SCADA sistemlerine adapte etmeye başladığı söylenebilir. Adana ilindeki Sugözü Termik Santrali’nin bilgisayar sistemleri aracılığıyla 24 saat izlendiği, TÜBİTAK’ın desteği ile barajlar için Türkçe yazılım geliştirildiği, Akköprü Barajı’nın uydu bağlantılı bilgisayar sistemi ile yönetildiği, Batman Barajı’nın bilgisayarlarının Alman firması tarafından parasını alamadığı gerekçesiyle kilitlendiği medyada yer almıştır. Bu haberlere Internet’teki gazete arşivlerinden erişilebilir. Batman Barajı örneği, milli yazılımın önemini gösteren bir haber olarak dikkat çekmektedir. Ülkemizde, kritik altyapıları kontrol eden SCADA sistemlerinin çoğunluk itibarıyla uzun yıllar önce kurulduğu, altyapıya özel olarak tasarlanmış bilgi/iletişim teknolojilerinden oluştuğu ve Internet/kurumsal ağlarla bağlantısı olmadığı/kısıtlı olduğu söylenebilir. Teknolojiyi çok hızlı bir şekilde adapte eden ve kullanan Türkiye, kısa zaman içerisinde SCADA sistemlerinde de günümüz teknolojisini yakalayacaktır. Gazetelerde çıkmış olan haberler bu durumun bir habercisi olarak nitelendirilebilir.

    Telekomünikasyon (sabit telefon ve cep telefonu operatörleri, Internet altyapısı), e-devlet uygulamaları ve bankacılık gibi kritik altyapıların bilgi ve iletişim teknolojileri ile ilişkisi bir önceki paragrafta anlatılan kritik altyapılardan (barajlar, santraller v.b.) oldukça farklıdır. Bu tip kritik altyapılar çok büyük oranda bilgi ve iletişim teknolojilerinden oluşmaktadır, bazılarının varlık sebebi ise bilgi ve iletişim teknolojileridir. 

    2007 Nisan ve Mayıs aylarında, Rus bilgisayar korsanlarının Estonya bilgi sistemlerine sızması, bu sistemlerin faaliyetlerini durma noktasına getirmesi ve sonuç olarak Estonya’nın ekonomik ve toplumsal zararlar yaşaması birçok ülkenin gündeminde aylarca yer almıştır. Bu örnek, bir ülkenin Internet altyapısının önemli bir kritik altyapı olduğunu göstermektedir. Estonya’nın ekonomik ve toplumsal düzeninin sayısal saldırılardan etkilenmesinin en önemli nedeni bu ülkenin çok büyük bir oranda e-devlet yapısına geçmiş olması ve birçok kamu hizmetinin Internet üzerinden gerçekleştirilmesidir. İlerleyen senelerde birçok ülke ve Türkiye en az Estonya kadar Internet’e bağımlı hale gelecektir. Burada dikkat çeken diğer bir husus bir kritik altyapı olarak Internet’in sahip olduğu özel durumdur.  Internet, ülkelerin hayati fonksiyonlarının bağlı olabileceği bir kritik altyapıdır, Internet aynı zamanda saldırganların da kullandığı ve yer aldığı bir ortamdır [9, 11].

    Bir sıcak savaş senaryosu olarak bir ülkenin diğer ülkenin barajını bombalanması dünya konjonktüründe kolay yapılabilecek bir saldırı değilken, sayısal savaşçıların Internet üzerinden barajın SCADA sistemine erişip barajın kapaklarını açması daha kolaylıkla yapılabilir. Diğer taraftan, Internet üzerinden bir SCADA sisteminin kontrol altına alınması zor veya imkansız olabilir. Bunun yerine kolay olduğundan ve hızlı sonuç verdiğinden dolayı ülkenin Internet altyapısının öncelikle hedef alınması çok büyük bir ihtimaldir. Bir ülkenin Internet çıkışını servis dışı bırakmak, e-devlet uygulamalarını hizmet veremez duruma getirmek, bankacılık ve borsa sistemlerini çalışmasını engellemek, merkezi yönlendirici (router) cihazlarını ele geçirmek, ülkenin en üst seviye DNS sunucusunu ele geçirmek ve yanlış websitelerine yönlendirmek kolaylıkla yapılabilen, sıklıkla yaşanmış ve Estonya gibi Internet’e yüksek seviyede bağımlılığı olan ülkelerde ciddi ekonomik ve toplumsal sonuçları olan sayısal saldırı örnekleridir.

    İMKB, Türkiye ekonomisi için büyük öneme sahip olan bir kritik altyapı olarak nitelendirilebilir. 29 Kasım 2007’de yol çalışması yapan bir kepçenin fiber kabloyu koparması sonucunda borsa ilk seansı gerçekleştirememiş ikinci seansa ise yarım saat geç başlamıştı. Borsanın işlem yapmaması her ne kadar bir sayısal saldırının sonucu olmasa da, bilgi teknolojisindeki bir sorunun ekonomik karşılığını görmek açısından önemli bir örnektir.  30 Ocak 2009’da birçok ülkenin bilgisayar sistemine yayılan ve önemli zararlar veren Conficker virüsü Atatürk Havalimanı’nın dış hatlar terminalinde çalışan bilgisayarları da etkilemiştir. Yaşanan aksaklıklardan dolayı birçok yolcunun bagajı işleme konamamış, uzun kuyruklar oluşmuştur. Her iki olay hakkında haberlere gazete arşivlerinden erişilebilir.

    Bilgisayar güvenliği konusunda yazılımlar üreten ve hizmetler veren Symantec firması tarafından hazırlanan Nisan 2009 tarihli son Internet Güvenliği Tehdit Raporu’nda Türkiye spam e-postanın kaynaklandığı ülkeler arasında Dünya’da üçüncü sırada yer almıştır [15]. Spam e-postaların çoğunlukla başkalarının eline geçmiş zombi bilgisayarlar tarafından gönderildiği düşünülürse bu durum Türkiye’deki zombi bilgisayarların sayısı hakkında da bir fikir vermektedir. Firmanın 2007 senesinde yayınladığı raporda ise zombi bilgisayar sayısı dikkate alındığı zaman Ankara EMEA bölgesinde (Avrupa, Orta Doğu ve Afrika) yer alan şehirler içerisinde yedinci sırada yer almıştır. Aynı raporda, Ankara spam e-posta gönderen şehirler arasında altıncı sırada yer almıştır. Sonuç olarak, Türkiye sınırları içerisinde yer alan ve Türk vatandaşlarının kullandığı ancak zombi duruma gelmiş olan binlerce bilgisayar, Internet’te faaliyet gösteren kritik bilgi sistemlerini hedef alabilirler. Başka ülkelerin hükümetleri tarafından desteklenen sayısal teröristlerin kontrolünde olması uzak bir ihtimal olmayan bu bilgisayarlar olası bir sayısal savaşta başrol oynayacaklar.

    ABD’de bir hükümet kuruluşu olarak faaliyet gösteren ABD-Çin Ekonomik ve Güvenlik İnceleme Komisyonu’nun (USCC) 2008’de hazırladığı ve Amerikan Kongresi’ne sunduğu raporda çok çarpıcı ifadeler yer almaktadır [16]. Raporda yer alan bazı ifadeler şunlardır:

    Çin’in dünyanın herhangi bir yerine ve herhangi bir zamanda sayısal operasyon yapacak niyeti ve kabiliyeti bulunmaktadır.

    Çin’de 250 adet sayısal korsan grubu yer faaliyet göstermektedir. Bu gruplar Çin Hükümeti tarafından bilgisayar ağlarına girmesi ve zarar vermesi için desteklenmektedir.

    Çin Hükümeti aktif bir sayısal casusluk programını yürütmektedir.

    Çin’in sayısal savaş teknikleri ABD’nin karşı koyamayacağı hatta fark edemeyeceği kadar karmaşık ve ileri düzeydedir.

    Güvenlik alanında faaliyet gösteren Northrop Grumman firması tarafından ABD-Çin Ekonomik ve Güvenlik İnceleme Komisyonu için hazırlanan 9 Ekim 2009 tarihli raporda ise Çin’in sayısal casusluk tehdidinin gün geçtikçe arttığı ifade edilmiştir. Raporda, 2007 senesi itibarıyla ABD devlet ve savunma birimlerinin ağlarına girilmesi sonucunda 10 ile 20 terabayt arası verinin dışarıya sızdırıldığı ifade edilmiştir [17].

    Gerçekleştirilen Çalışmalar

    Gelişmiş ülkeler kritik altyapıların korunması ile ilgili programını oluşturmuş ve bu program çerçevesinde çalışmalarına başlamıştır. Ayrıca, NATO’nun bu konuda çalışmaları bulunmaktadır. Bu bölümde Dünya’da ve ülkemizde gerçekleştirilen çalışmalar konusunda bilgi verilmiştir.

    Hemen hemen tamamı aynı zamanda OECD üyesi olan gelişmiş ülkeler kritik altyapıların korunması ile ilgili olarak yasalarını düzenlenmiş, bu ülkelerde yeni kurumlar kurulmuş, hâlihazırdaki kurumlarda değişiklikler yapılmış, koordinatörler belirlenmiştir. Bu faaliyetler bizzat devlet başkanlarının direktifi ile başlatılmış ve himayesinde devam etmektedir. Bu ülkeler aynı zamanda devlet başkanı himayesinde ve bilgisinde hazırlanmış ulusal bilgi güvenliği politikası belgesine sahiptirler. Söz konusu politika belgelerine de bakıldığı zaman kritik altyapı teriminin sıklıkla kullanıldığı görülmekte, sayısal savaşta öncelikli hedef olacak bu altyapıların etkilenmesi durumunda ülke ekonomisinin ve toplumsal düzenin ciddi zararlar göreceği belirtilmektedir. Kritik altyapıların korunması ulusal seviyede bir güvenlik kültürünün oluşmasının temel etkenlerinden birisi olarak görülmektedir [18].
    ABD, İngiltere, Almanya, Finlandiya, Güney Kore ve Japonya’da gerçekleştirilen çalışmalar konusunda detaylı bilgiye Bilişim Kurultayı 2009’da sunulan “Sayısal Ortamda Savunma ve Bilgi Güvenliği Yol Haritası” isimli bildiriden ulaşılabilir [19].

    Avrupa Birliği kritik altyapıların korunması ile ilgili ilk adımı 2004 senesinde atmıştır. Bu kapsamda, Avrupa Konseyi’nden gelen talep doğrultusunda Avrupa Komisyonu “Terörle Mücadele için Kritik Altyapı Korunması” başlıklı bir belge yayınlamış ve bu belgeyi Avrupa Konseyi ve Avrupa Parlamentosu’na göndermiştir [20]. Hazırlanan 11 sayfalık belgede, kritik altyapıların tanımı yapılmış ve bu konuda yapılması gereken çalışmalar özetlenmiştir. Bu raporun ardından, “Kritik Altyapıların Korunması için Avrupa Programı” başlıklı bir program açılmıştır [21].

    ABD’nin başlatmış olduğu çalışmalara makalenin giriş kısmında yer verilmiştir. 2009’daki gelişmelerden bahsedilecek olursa; Amerikan Başkanı Barack Obama 9 Şubat 2009 günü, ulusal güvenlik yetkililerinden Amerika’nın sayısal ortamı için güvenlik gözden geçirmesi yapmalarını talep etmiştir. Gözden geçirme raporu Beyaz Saray’ın sayfasında geçtiğimiz aylarda yayınlanmıştır [22]. Otuz bir defa “kritik altyapılar” ifadesinin kullanıldığı raporda, sayısal güvenlik konusunda tam yetkili koordinatörün atanması, ABD sayısal güvenlik stratejisinin güncellenmesi gibi 10 adet maddenin yer aldığı yakın zamanlı bir eylem planı yer almıştır. Diğer taraftan Obama, 29 Mayıs 2009 günü Beyaz Saray’da yaptığı 15 dakikalık konuşmada Amerika’nın sayısal altyapısının güvenliğinin son derece önemli olduğunu belirtmiş ve konusu sayısal ortamda güvenlik olan bu konuşması basında geniş yankı bulmuştur. Konuşmanın metni Beyaz Saray’ın Internet sayfasında yer almaktadır.

    Estonya bilgi sistemlerine Rus bilgisayar korsanları tarafından Nisan ve Mayıs 2007’de gerçekleştirilen koordine ataklardan sonra, NATO tarafından önemli adımlar atılmıştır. Öncelikle, Brüksel’de NATO Sanal Savunma Yönetim Otoritesi  (Cyber Defense Management Authority-CDMA) kurulmuştur. NATO Sayısal Savunma Konsepti tamamlanmış ve onaylanmıştır.  NATO Sayısal Savunma Konsepti’ne göre NATO üyesi ülkeler, CDMA’ya ulusal temas noktalarını bildirmişlerdir. Yine NATO Sayısal Savunma Konsepti’ne göre NATO üyesi ülkeler ulusal sayısal ortam savunma politikalarını hazırlamaya başlamışlardır. Dışişleri Bakanlığımız TÜBİTAK-UEKAE’yi (Ulusal Elektronik ve Kriptoloji Araştırma Enstitüsü) NATO’ya ulusal temas noktası olarak bildirmiştir.  Türkiye’nin Ulusal Sanal (Sayısal) Ortam Güvenlik Politikası 19 adet kamu kurumu tarafından hazırlanmıştır. Şubat 2009’da Başbakanlık’a teslim edilen belgenin resmiyet kazanması beklenmektedir. Ülkemizde kritik altyapıların güvenliği ile ilgili atılmış ilk adım bu politika belgesidir. Politika belgesinde “Kritik bilgi ve iletişim sistem altyapılarının güvenliği sağlanmalıdır. Ülke içerisindeki kritik bilgi ve iletişim sistem altyapıları, bunların birbirleriyle ilişkileri, kritiklik seviyeleri ve sorumluları tespit edilmelidir. Tespit edilen kritik bilgi ve iletişim sistem altyapıları sanal ortamdan gelebilecek tehditlere karşı korunmalıdır” ifadeleri yer almaktadır.

    Ülkemizde kritik altyapılar ile ilgili yakın bir gelişme 2009 Sonbaharı’nda gerçekleşmiştir. Başbakanlık Kanunlar ve Kararlar Genel Müdürlüğü bünyesinde oluşturulan ve çalışmalarına fiilen 3 Mart 2009 tarihinde başlayan e-Mevzuat Çalışma grubu, 7 Ağustos 2009 tarihi itibarıyla “e-Devlet ve Bilgi Toplumu Kanun Tasarısı Taslağı”nı hazırlamıştır. E-devlet ve Bilgi Toplumu Kanun Tasarısı Taslağı’nda kritik altyapı ve kritik bilgi altyapısı terimleri geçmemektedir. Bununla beraber taslak içerisinde “Kritik Bilgi Sistemi”nin tanımı “İşlevlerinin tamamen veya kısmen yerine getirilememesi halinde kamu güvenliği ve düzenini önemli derecede etkileyen bilgi sistemleri” olarak tanımlanmıştır. Kanunda geçen “Bilgi Toplumu Ajansı” içerisindeki “Bilgi Toplumu Dairesi”nin görevlerinden bir tanesi de “kritik bilgi sistemlerini belirlemek ve bu sistemler için uygulanacak asgari güvenlik standartlarını tespit etmek” şeklinde belirtilmiştir.

    Bu iki taslak çalışma dışında ülkemizde kritik altyapılar konusunda resmi bir çalışma bulunmamaktadır. Sonuç olarak, Türkiye kritik altyapıların korunması ile ilgili çalışmaların henüz başındadır.

    Ülkemizde Atılması Gereken Kritik Adımlar

    Kritik altyapıların korunması ile ilgili olarak gelişmiş ülkelerde olduğu gibi ülkemizde de resmi çalışmaların başlatılması gerekmektedir. Resmi çalışmaların ana çerçevesinin sayısal güvenlik olması ve kritik altyapıların korunmasının bu ana çerçevenin bir alt maddesi olması bazı gelişmiş ülkelerin izlediği ve ülkemize de uygun bir yapıdır.  Bu kapsamda:

    Ulusal sayısal güvenlik politikasının resmiyet ve işlerlik kazanması gerekmektedir. Bu politika belgesini destekleyen strateji belgesinin ve eylem planının da hazırlanması sıradaki önemli adımlardır. Bütün bu belgeler için destekleyici mevzuat hazırlanmalı, güncellenmesi ve değiştirilmesi gereken halihazırdaki mevzuat tespit edilmelidir. Mevzuat resmiyet kazanmalıdır.

    Sayısal savunma ile ilgili çalışmaları organize edecek bir ulusal yürütme organı oluşturulmalıdır. Yürütme organının asıl sorumluluğu koordinasyon olmalıdır. Kritik altyapıları işleten kamu sektörüne ve özel sektöre yapılması gereken çalışmaları bildirmelidir. Yürütme organı, devletin belirlediği politikaları uygulatan bir kurum olmalıdır.

    Sayısal savunma ve kritik altyapıların korunması ile ilgili ulusal bilincin oluşturulması adına çalışmalar gerçekleştirilmelidir. Kritik altyapıları işleten kurumların gerçekleştirmesi gereken çalışmalardan vatandaşın yapması ve yapmaması gerekenlere kadar birçok konuyu kapsayan bilinçlendirme programı için ulusal medya, Internet siteleri gibi kaynaklar kullanılmalıdır.

    Sayısal ihlallere karşı tepki yeteneği geliştirmek amacıyla ulusal bilgisayar olaylarına müdahale ekibinin yetenekleri geliştirilmelidir. Kritik altyapıları işleten kurumlar da etkin bilgisayar olaylarına müdahale ekiplerini oluşturulmalıdırlar. Ayrıca farklı bilgisayar olaylarına müdahale ekipleri arasında koordinasyon yeteneği oluşturulmalıdır.

    Internet altyapısının güçlü ve alternatifli bir duruma getirilmesi dağıtık servis dışı bırakma saldırılarından en az seviyede zarar görmek için gereklidir. Telekomünikasyon altyapısı ve Internet önemli kritik altyapılardır. Bu bağlamda, Internet servis sağlayıcıları ile koordinasyon diğer önemli bir husustur.

    Son olarak, ülkemiz sayısal savaş konusunda uluslararası işbirliğine önem vermelidir. Gelişmiş ülkeler ve OECD, NATO gibi organizasyonlar sayısal güvenlik ve sayısal savunma konusunda oldukça fazla yol almışlardır. Türkiye bu tecrübelerden faydalanmalıdır. Tüm dünyayı içine alan ve sınırları olmayan devasa bir ağ durumundaki Internet sayısal saldırıların da kaynağıdır. Ülkemiz bilgi sistemlerine yapılacak bir sayısal saldırının kaynağı herhangi bir ülkedeki bilgisayarlardan kaynaklanabilir. Uluslar arası işbirliğinin önemi saldırılara karşı önlem alma noktasında önemli bir diğer husustur.

    Sonuç

    Makalede yer verilen sayısal saldırıların başarıya ulaşmış olmasının en önemli nedeninin yönetimi sağlıklı bir şekilde yapılmayan bilgi ve iletişim teknolojileri olduğu değerlendirilmektedir. Kritik altyapıların güvenliğinin sağlanmasında insan faktörünün ve güvenlik bilincinin en önemli parametrelerin başında geldiği düşünülmektedir. Bilgi ve iletişim sistemlerinin güvenlik hedefleri göz önüne alınarak yönetilmesi ve temel güvenlik önlemlerinin alınması durumunda sayısal güvenliğin büyük oranda sağlanacağı ve sistemlerin sayısal saldırılara karşı korunaklı duruma geleceği şüphesizdir. Bunun sağlanabilmesi için ülkemizde öncelikle konunun üst düzey devlet birimlerince sahiplenilmesi, yasal altyapının oluşturulması ve sorumlulukların belirlenmesi gerekmektedir. Ülkemizde sayısal güvenlik konusunda yarım kalan çalışmaların tamamlanması gerekmektedir. Ayrıca, kritik altyapıların belirlenmesi, kritik altyapılara yönelik risklerin tespit edilmesi,  rol ve sorumlulukların belirlenmesi ve bu çerçevede çalışmaların başlatılması gerekmektedir.

    http://www.bilgiguvenligi.gov.tr/siber-savunma/iki-kritik-kavram-kritik-altyapilar-ve-kritik-bilgi-altyapilari.html

    Bilge Karabacak

    Yazar ceyhun çamlı \\ tags: , ,

    Önceki Yazılar