Siber Güvenliğin Temelleri Eğitimleri
Temel SG Problemlerinin Oluşma Nedenleri İle İlgili Gösterimler
Konu İçerik Başlıkları
1. Hackerlar ve Bilgisayar Korsanları
2. Bilgisayar Korsanlarının Kullandıkları Yöntemler
3. Arama Motorları ve İş İlanları Yoluyla Ele Geçirilebilecek Hassas Bilgiler
4. Sahte Web Sitelerine Yönlendirme ve İnternet Üzerinden Dolandırıcılık
5. Parolaların Güvenlik Soruları Yoluyla Ele Geçirilmesi
6. İletişim Aracı Olarak E-posta Kullanma ile İlgili Zafiyetler
7. İletişim Protokolleri ve Kemikleşme Kavramı
8. Sosyal Medyada Kullanıcı ve Saldırgan Algıları
9. Güvensiz Bağlantılı Ağlarda Veri Ele Geçirme
10. Yeni Ekipman Kurulumlarıyla İlgili Güvenlik Problemleri
11. Fiziksel Güvenlik Bileşenleri
Yukarıda verilen başlıklara göre anlatım yapılmıştır.
1. Hackerlar ve Bilgisayar Korsanları
Bilgisayar korsanları, bilgiyi yasadışı ya da etik ilkelere aykırı biçimde ele geçirmeye çalışan, bu amaçla bilgisayarlara veya bilgi sistemlerine saldırılar düzenleyen kişiler olarak düşünülebilir. Türkçe'de "bilgisayar korsanı" teriminin karşılığı olarak zaman zaman "hacker" kelimesi kullanılsa da terimin tam karşılığı "cracker"dır. Hackerlar genel olarak bir sistemi amacı dışında kullanan kişiler olarak tanımlanabilir. Hacker terimi, mesela, bir bilgisayar oyununu, amacı dışında, oyun tasarımcısının beklediği oynama biçimi dışında oynayan kişileri tanımlamak için kullanılır. Bilgi güvenliği alanı özelinde hackerlar kötü amaçlı olmayan bir biçimde sistemde açık bulup sistem yöneticilerine rapor eden kişiler olarak düşünülürken crackerlar (kriminal hackerlar) bilgi hırsızlığı yapan bilgisayar korsanları olarak düşünülmelidir. Diğer bir deyişle bilgisayar korsanları (crackerlar) bir bilgisayar sistemini kişisel çıkarları için istismar eden kişiler olarak düşünülmelidir. Günümüzde hackerlar beyaz şapkalı, crackerlar siyah şapkalı olarak da nitelendirilebilmektedir.
Biz de "bilgisayar korsanı" terimini bilgi sistemlerine kötü amaçlarla saldırılar düzenleyen crackerları ifade etmek için kullanıyor olacağız. "Hacker" terimini ise, zaman zaman "etik hacker" kavramını ifade edecek biçimde, profesyonel ve etik değerlere bağlı olarak çalışan, gizli ajandaları olmayan, bilgi güvenliği açısından test ettiği sistemlerde elde ettiği tüm bulguları rapor eden, bilgiyi kötü amaçlı kullanmayan, kişisel bilgilerin gizliliğine saygılı, kendi sistemlerine zarar vermeyen bilgisayar uzmanlarına ifade etmek için kullanacağız.
Bu doğrultuda hacker olmak, hacker olmak için uzmanlaşmak geleceğin en iyi mesleklerinden birisi için hazırlanmak anlamına gelmektedir. Bu da bilgisayar korsanlarının saldırı için kullandığı yöntemleri öğrenmeyi ve bunlara karşı alınabilecek önlemler hakkında bilgi edinmeyi gerektirmektedir.
2. Bilgisayar Korsanlarının Kullandıkları Yöntemler
Bilgisayar korsanları, saldırının ilk aşamasında her zaman keşif yaparlar. Bu amaçla arama motorlarından sosyal medya araçlarına kadar bir dizi yöntem kullanırlar. Sonraki bölümde bu saldırı yöntemlerinden bazılarına örnekler verilecektir.
3. Arama Motorları ve İş İlanları Yoluyla Ele Geçirilebilecek Hassas Bilgiler
Bilgisayar korsanı (kısaca, saldırgan) arama motorlarında belli anahtar kelimeler (parametreler) kullanarak sistem yöneticilerinin ya da kullanıcıların internete açık biçimde koyduğu ve çoğunlukla unuttuğu bilgilere erişim sağlayabilir. Örneğin, dikkatsizce tasarlanmış bir sunucuda ana dizinde unutulmuş bir parola dosyası, arama motoru ile yapılan arama sonucunda ortaya çıkarılabilir. Elbette, bir sistem yöneticisinin ya da bir kullanıcının kullanıcı ve parola bilgilerini bir dosyaya yazması bu güvenlik probleminin temelini oluşturmaktadır. Dosyanın unutularak dışarıdan erişimi açık hale getirilmesi ise saldırganın bu bilgilere erişimini sağlayan ikinci adım olmuştur.
Bu ve benzeri problemlerin engellenmesi için sunucular üzerinde hangi dosya ve dizinlerin dışarıdan erişilebilir olduğunun denetlenmesi gerekir. Bu amaçla sızma testleri yaptırılmalıdır. Sızma testi kavramına sonraki bölümlerde değineceğiz.
Bilgisayar korsanları zaman zaman internet üzerinde duyurulan iş ilanlarını bilgi toplama amacıyla inceler. Örneğin sistem ve ağ yöneticisi arayan bir firma, işe alınacak personelin mezun olduğu bölüm gibi genel bilgilerin yanında, ilanda sistem altyapısı hakkında da bilgiler veriyor olabilir. Bu durum, özellikle eski işletim sistemleri ya da sunucu ve uygulamaların kullanıldığı durumlarda bilgi güvenliği açısından bir risk oluşturabilir.
Bilgisayar korsanına verilen bir diğer mesaj da firmanın siber güvenlik konusunda hassasiyeti olmadığına dair ipuçlarıdır. Böyle bir durumda saldırgan, keşif aşamasının ilerleyen adımlarında kurumun web sitesi ile ilgili bilgi toplayacak, yöneticisine oltalama e-postaları gönderebilecek, belki web sitesinin bir benzerini hazırlayarak tecrübesiz sistem yöneticisini bu sahte web sitesine yönlendirecek ve parola bilgilerini ele geçirmeye çalışacaktır.
Verilen örnekteki temel problem kurumun iş ilanı içeriğini hazırlarken dikkatsiz davranması, hassas ve verilmesi mecburi olmayan bilgileri paylaşarak saldırganların dikkatini çekmesidir.
Son kullanıcılar gibi kurumlar da bu durumların farkına varabilmek için bilgi güvenliği konusunda önlemlerini almak zorundadır. Bu doğrultuda kurum hakkında dışarıya verilen bilgiler kontrol altında tutulmalı, kurumsal iletişim bilgileri ve kurumda çalışanların özel iletişim bilgileri birbirleriyle karıştırılmamalı, sistem yöneticilerinin e-posta ile gelen ortalama mesajlarına karşı tedbirli olunması için gerekli eğitimler temin edilmeli, kullanıcılar bilgilendirilmelidir.
4. Sahte Web Sitelerine Yönlendirme ve İnternet Üzerinden Dolandırıcılık
Kişilere ve kurumlara ait web sitelerinin sahtelerini üretmek zor değildir. Zor olan, kullanıcıların bu sitelere bağlanmasını, kullanıcı adı ve parola bilgilerini girmesini sağlayarak kullanıcı bilgilerini ele geçirmektir.
Bu amaçla günümüzde en sık kullanılan yöntemlerden birisi oltalama e-postalarıdır. İngilizcede phishing adı ile bilinen bu e-postalar, kullanıcıya "kotanız doldu, düzeltmek için tıklayın" gibi yanıltıcı bilgiler vererek önceden tasarlanmış sahte web sitesini açmalarını amaçlar.
Kullanıcı sahte web sitesine geldikten sonra saldırganın amacı kullanıcı adı ve parola bilgisini ele geçirmektir. Kullanıcı, kullanıcı adı ve parola bilgisini girdikten sonra genellikle "sayfa bulunamadı" ya da benzeri içerikli bir hata mesajı görüntülenir. Artık bu aşamada saldırgan arka planda kullanıcı adı ve parola bilgilerini ele geçirmiştir. Kullanıcı da web sayfasının çalışmadığını düşünerek daha sonra denemek üzere web sitesinden ayrılabilir, yani bilgilerinin ele geçirildiğinin farkına varmayabilir.
Bu problemin önüne geçebilmek için kullanıcıların bağlandıkları web sitesi adresini kontrol etmeleri, bağlanılan web sitesi adresinin kendi kullandıkları servise ait olup olmadığından emin olmaları gerekmektedir.
5. Parolaların Güvenlik Soruları Yoluyla Ele Geçirilmesi
Bilgisayar korsanlarının, saldırılarını planlamada ilk aşama olarak kullandıkları keşif sürecinde elde ettikleri bilgileri, örneğin kullanıcının sosyal medyada paylaştığı bilgileri parola hatırlatma servislerinde kullanarak hedef kullanıcıya ait parolaları ele geçirmesi mümkün olabilmektedir.
Kullanıcılar, sosyal medya platformlarında yaşadıkları şehirden en sevdikleri hayvana ve evcil hayvanlarının isimlerine kadar bir dizi bilgiyi paylaşmaktadırlar. Bu bilgiler aynı zamanda web sitelerinde ve benzeri servislerde kimlik doğrulama amacıyla güvenlik sorusu olarak kullanılabilmektedir. Sosyal medyada paylaşılan bilgiler güvenlik sorularına verilecek cevapların saldırganlar tarafından tahmin edilme olasılığını güçlendirmekte, kullanıcı paralarının korunmasına dair bir zafiyet oluşturmaktadır.
6. İletişim Aracı Olarak E-posta Kullanma ile İlgili Zafiyetler
E-posta içeriklerinin oltalama amaçlı kullanılması ile ilgili örneklerden yukarıda söz ettik. Genel olarak e-posta, iletişim kurmak amacıyla son derece faydalı biçimde kullanılmakla birlikte bilgi güvenliği açısından güvenilirliği kesin bir iletişim aracı değildir. Bu aşamada bilgisayarla iletişimi sağlayan protokollerin tarihçesinden ve bununla ilişkili olarak kemikleşme kavramından kısaca söz etmeliyiz.
7. İletişim Protokolleri ve Kemikleşme Kavramı
İnternete bağlı bilgisayarların birbiriyle bilgi alışverişi bir dizi protokolü tarafından sağlanır. Bu protokolleri örnek olarak internet altyapısını oluşturan TCP/IP protokolü, web sayfalarını tutarlı biçimde görmemizi sağlayan HTTP protokolü ve sunucular arasında e-posta transferini sağlayan SMTP (Simple Mail Transfer Protocol) protokolü sayılabilir.
Protokoller çoğunlukla 1980li ve doksanlı yıllarda geliştirilmiş olup, milyonlarca ve milyarlarca bilgisayara kurulduktan sonra artık değiştirilmesi mümkün olmamaktadır. Örneğin, IP protokolünün dördüncü versiyonu (IPv4), 2000li yılların başında altıncı versiyon (IPv6) ile değiştirilmesi planlanmış, ancak geçen yıllar içerisinde bu değişim tam anlamıyla gerçekleştirilememiştir.
Bu tür büyük ölçekli değişim süreçlerinin gerçekleştirilmesindeki güçlükler nedeniyle internet üzerinde iletişim sağlayan protokoller çoğunlukla ilk versiyonları ile kullanılmakta, bu protokollerin tasarımından kaynaklı, sonradan bulunmuş güvenlik açıkları uygulama seviyesinde getirilmektedir. Bu kavrama kemikleşme (İng. ossification) denir.
E-posta sunucuları tarafından kullanılan mesajlaşma protokolleri de kötü niyetli kişiler tarafından saldırı amaçlı olarak kullanılabilecek protokollerdir. Örneğin, bir saldırgan istediği bir e-posta adresinden başka bir e-posta adresine bir e-posta gönderebilir.
Bu tür problemler esasen e-postaların tam başlık bilgilerinin (full header) dikkatli okunması ile fark edilebilecek niteliktedir. Bununla birlikte kullanıcılar günlük yaşamın pratiği içinde e-posta adreslerinin başlık bilgilerini incelemezler. Bunun yanında birçok kullanıcı tam başlık bilgilerini yorumlayacak teknik birikime sahip değildir. Bu nedenle kullanıcılar kendilerine gönderilen e-postaların kötü amaçlı saldırganlar tarafından gönderildiğinin farkına varmayabilirler.
Bu ve benzeri güvenlik problemlerinden korunmanın en temel yolu güvenli iletişim gerektiren durumlarda e-postaların kullanılmaması, kullanıcıların da e-postaların gerçek olmayabileceği konusunda bilgilendirilmesidir.
Buraya kadar olan kısımda e-postaların sadece oltalama amaçlı kullanımda değil genel olarak güvensiz bir iletişim biçimi olduğundan söz ettik.
8. Sosyal Medyada Kullanıcı ve Saldırgan Algıları
Bu bölümde sosyal medyadaki bilgilerin kullanıcılar ve bilgisayar korsanları tarafından nasıl farklı yorumlandığına değineceğiz.
Kullanıcı açısından bir sosyal medya profili içerisinde bulunan bilgiler saldırganın, kullanıcının iletişim ve coğrafi konum bilgilerine kadar bir dizi veriyi elde etmesine yol açabilir. Kullanıcıların sosyal medyada yaptıkları bildirimler, örneğin tatile çıkmış olmaları ve tatil sırasında yaptıkları paylaşımlar, ev adresi bilgisine sahip hırsızlar için kullanıcının farkında olmadığı bir fırsat yaratabilir.
Kullanıcıların arkadaş bağlantıları, bir bilgisayar korsanına kullanıcının arkadaşlarından birisini taklit ederek yaklaşma fırsatı verebilir. Örneğin, kötü amaçlı bir saldırgan kullanıcının bir arkadaşını taklit ederek sahte bir e-posta ile kullanıcıdan borç isteyebilir ve parayı verdiği hesap numarasına yatırmasını sağlayabilir. Kullanıcı bu durumun farkına bile varmayabilir. Tabii, taklit edilen arkadaşı da durumdan habersiz kalabilir.
Bu tür problemleri engellemek için sosyal medyada paylaşılan bilgilerin gözden geçirilerek paylaşılması, hangi amaçlarla kullanılabileceği öngörülerek başkalarının erişimine sunulması gerekmektedir.
9.Güvensiz Bağlantılı Ağlarda Veri Ele Geçirme
En sık karşılaşılan güvenlik problemlerinden birisi de internete erişim sağlayan ağlar üzerinde verilerin şifrelenmeden gitmesi, diğer bir değişle veri trafiğinin düz metin olarak sağlanmasıdır.
Bir bilgisayar tarafından başka bir bilgisayara ya da internete gönderilen veriler paketler halinde taşınırken, bu paketler ağ üzerinde birden fazla cihaz tarafından yönlendirilebilir. Yönlendirici cihazlar üzerine kurulabilecek zararlı yazılımlar ya da aynı ağ üzerinde başka bir bilgisayara kurulabilecek uygulamalar yoluyla ağda dolaşan veriler "dinlenebilir", yani bir kopyaları alınabilir.
Günümüzde uygulamaların çoğu güvenli bağlantı sağlayacak biçimde geliştirilmiş olsa da halen bazı uygulamalar güvensiz bağlantı kullanabilmektedir. Özellikle FTP, Telnet gibi protokolleri kullanan servisler güvenlik açıklarına neden olabilmektedir. Kullanıcılar kendi bilgilerini korumak için bu protokollerin güvenli versiyonlarını kullanmak durumundadır.
10. Yeni Ekipman Kurulumlarıyla İlgili Güvenlik Problemleri
Yüksek kapasiteli yazıcılar, ağ bağlantı ekipmanları ve tarayıcı cihazlar günümüzde kurulum yapıldıkları ağa bağlanabilecekleri şekilde yapılandırılmaktadır. Özellikle kurumsal ağlarda, bu cihazların kurulumu sonrasında bilgi güvenliğini sağlayabilmek amacıyla yapılması gereken bazı işlemler bulunmaktadır. Bunlar içerisinde en önde gelenler varsayılan ağ parametrelerinin güvenli hale getirilmesi ve özellikle varsayılan cihaz parolalarının güncellenmesidir.
11. Fiziksel Güvenlik Bileşenleri
Siber güvenlik kavramı, işletim sistemleri ve uygulamalar yanında fiziksel güvenlik bileşenlerini de içerir. Örneğin bilgisayarın USB girişlerinin yabancı kişiler tarafından erişilebilir olması, yani yabancı bir kullanıcının bilgisayara bir USB disk takabiliyor olması bilgi güvenliği açısından risklidir.
Kullanıcının kontrolü dışında bilgisayara takılan USB cihazlar veya bu cihazlar yoluyla çalıştırılan uygulamalar kullanıcının klavye kullanarak girdiği verilerin bilgisayar korsanlarının eline geçmesine neden olabilir. Tuş kaydedici (İng. keylogger) adı verilen donanımlar, kullanıcının klavye kullanarak bastığı her tuşu kaydedip kablosuz ağ üzerinden, hatta GSM operatörü üzerinden dışarıya gönderebilir.
Donanım tabanlı ağ dinleyici cihazlar da benzer kötü amaçlar için kullanılabilir. Son yıllarda kamuya açık alanlarda bankamatik cihazlarına yerleştirilen kart kopyalayıcıların da gün geçtikçe yaygınlaştığı bilinmektedir.
Bu ve benzeri durumların engellenebilmesi için kullanıcıların bilgisayarlarında hangi donanımların takılı olması gerektiğini biliyor olması gerekmektedir. Bunun yanında dış kullanıcıların donanımlara müdahale yetkisinin kısıtlandırılması da bilgi güvenliğini artırmaya yönelik bir çözümdür. Her durumda kurumsal ya da bireysel kullanıcıların bilgisayarlarındaki donanımlar ile ilgili bilgilendirilmesi ve dönemsel olarak donanım taraması yapılması sağlanmalıdır.
Kaynak. IBM
Yararlı olması dileğiyle.