1/57
Bilgisayar Güvenliği AMA Nasıl?
Prof. Dr. Şeref SAĞIROĞLU
Gazi Üniversitesi, Mühendislik Fakültesi, Bilgisayar Mühendisliği Bölümü ss@gazi.edu.tr
2/57
Giriş
Bilgi Güvenliği
Neden Bilgi Güvenliği
Nerede sağlanmalı?
Nasıl sağlanmalı?
Çözüm Önerileri
Sunuş
3/57
İnternetin Doğuşu
4/57
Günümüzde İnternet
5/57
Kurumsal Bilgi Güvenliği
Bilgiye sürekli olarak erişilebilirliğin sağlandığı bir ortamda, bilginin göndericisinden alıcısına kadar gizlilik
içerisinde,bozulmadan, değişikliğe uğramadan ve başkaları tarafından ele geçirilmeden bütünlüğünün sağlanması ve güvenli bir şekilde iletilmesi süreci
Bilgi Güvenliği ?
6/57
e-Türkiye, e-Devlet, e-Dönüşüm Türkiye..
web tabanlı uygulamalar yaygınlaşıyor..
e-li uygulamalar çoğalıyor..
e-devlet kapısı açılıyor..
sayısallaşma arttıkça bilginin paylaşımı artıyor..
kurumların web sayfaları portallara dönüşüyor..
bilgi toplumu hedefine ulaşma..
yasal zorunluluk (E-İmza Kanunu, ISO 27001)
Bilgi üretimi artıyor..
Bilgi korunması ve paylaşılması gereken değerli bir varlık
…
Neden Bilgi Güvenliği ?
Prof. Dr. Şeref Sağıroğlu, TÜMSİAD, 1 Haziran 2010, Ankara
7/57
Bilgi Güvenliği
Bilgi Güvenliği nerede sağlanmalı ?
Üretim
Erişim
İşleme
Depolama
Aktarma
Yok etme
Bilgi sahibine ve sahip olana hizmet eder.
“Bilgi” “güvenliği sağlandığı ölçüde” “güçtür.”
“Bilgi üretmeden korunulamaz.”
Bilgi Güvenliği Nasıl Sağlanmalı?
Prof. Dr. Şeref Sağıroğlu, TÜMSİAD, 1 Haziran 2010, Ankara 8/57
9/57
KÖTÜCÜL YAZILIMLAR (Malware)
Kötücül Yazılım(malware)
Virüsler Solucanlar
(Worms) Truva Atları
(Trojans)
Casus Yazılım (spyware) Arka Kapılar
(back doors)
Klavye Dinleme Sistemleri (keylogger) Tarayıcı Soyma
(Browser Hijacking)
Kök Kullanıcı Takımları (rootkits) Korunmasızlık Sömürücüleri
(exploit)
Tavşanlar (Wabbits)
10/57
•Kandırıcı
•Sazan Avlama
•Aldatmaca
•Kitle postacısı
•E-posta bombardımanı
•Casus yazılımlar
•Casus yazılım çerezleri
•Damlatıcı
•Sondaj aracı
•Ağ taşkını
•Nuker
•Paketleyici
•Ciltçi
•Port tarayıcılar
•Açıklık tarayıcılar
•RAT
•Bot net
•Koklayıcı
•Anahtar üreticiler
•Reklam
•İz sürme çerezleri
•Turtalar
•Parazit
•Şifre yakalayıcı
•Şifre kırıcı
•Hırsız
•BHO
•IRC
•Tavşanlar
•Web böcekleri
•Hırsız
•Webscam
•Telefon çeviriciler
11/57 Prof. Dr. Şeref Sağıroğlu, TÜMSİAD, 1 Haziran 2010, Ankara
KLAVYE DİNLEME SİSTEMİ TÜRLERİ
Donanım Klavye Dinleme
Sistemleri
Yazılım Klavye Dinleme
Sistemleri
12/57 Prof. Dr. Şeref Sağıroğlu, TÜMSİAD, 1 Haziran 2010, Ankara
KLAVYE DİNLEME SİSTEMİ TÜRLERİ
Donanım Klavye Dinleme
Sistemleri
13/57
Donanım Klavye Dinleme Sistemleri
Bir çok çeşit ve şekilde bulunmaktadır.
Klavye ve port arasında harici bir eklentidir
Klavye kablosu ile aynı renkte olabilirler
Bir dakikadan az sürede kurulabilirler
Bilgisayarın arkasına takıldıklarından farkedilmeleri zordur.
Ayrıca bazı donanım klavye dinleme sistemleri klavye portunun yanındaki birimin içine veya klavyenin içine bile
yerleştirilebilmektedir. Bu tip sistemlerin fiziksel olarak bilgisayar kullanıcıları tarafından farkedilmesi çok zordur.
14/57
Donanım Klavye Dinleme Sistemleri ( ...devam )
15/57
Donanım Klavye Dinleme Sistemleri (
devam)
Çok hızlıdırlar: Saniyede 450 karakter
Kurulumları kolay ve çok kısadır. Fiyatları 50-150 $
Yeni bir yazılım yüklemeye gerek duymazlar
Basılan tuşlar kaynak bilgisayardan alınabileceği gibi buradan çıkartılarak başka bir bilgisayarda aynı işlem yapılabilir
Casus yazılım ve yazılım tarayıcıları tarafından saptanıp;
etkisiz hale getirilmesi olanaksızdır.
Bütün kişisel bilgisayarlarda ve işletim sistemlerinde çalışabilirler.
Sistem kaynaklarını hiç kullanmadıklarından sistemi yavaşlatmaz veya bozmaz.
16/57 Prof. Dr. Şeref Sağıroğlu, TÜMSİAD, 1 Haziran 2010
(Casus Klavye; 800YTL))
17/57 Prof. Dr. Şeref Sağıroğlu, TÜMSİAD, 1 Haziran 2010, Ankara
(Casus Klavye; 890YTL))
18/57 Prof. Dr. Şeref Sağıroğlu, TÜMSİAD, 1 Haziran 2010, Ankara
(Casus Bilgisayar; 490YTL))
www.guvenlikprogram.com
CASUS BİLGİSAYAR
Özel olarak geliştirilmiş , kullanıcının klavye de bastığı her tuşu kaydeden bir cihaz yerleştirilmiş bu laptop ile bilgileriniz her zaman güvende olacak. Diğer klavye kaydedici cihazlardan veya yazılımlardan farklı olarak ,bu cihaz kesinlikle tamamen gizlidir ve laptopun herhangi bir program veya işlem menüsünde gözükmediği gibi kesinlikle ve kesinlikle harici olarak ta gözükmez.
Özellikleri ve Avantajları:
1.Windows içerisinde yer almaz ve laptopun kendi işletim sistemini kullanmaz.
2.Tüm yazılımlara tamamen görünmezdir.
3. Diğer klavye kaydedici cihazlar haricidir ancak bu cihaz laptop içerisine gizlenmiştir ve harici olarak farkedilmesi mümkün değildir.
4.64 milyon klavye tuşlamasını kaydedebilecek kapasitededir ve bu 15 yıllık kullanıma eşdeğerdir.
5.Kaydedilen bilgileri görebilmek için , cihazı hedef laptopdan çıkarıp kendi bilgisayarınızın USB girişine takmanız yeterli.
19/57 Prof. Dr. Şeref Sağıroğlu, TÜMSİAD, 1 Haziran 2010, Ankara
KLAVYE DİNLEME SİSTEMİ TÜRLERİ
Yazılım Klavye Dinleme
Sistemleri
20/57 Prof. Dr. Şeref Sağıroğlu, TÜMSİAD, 1 Haziran 2010, Ankara
Bu yazılımlar neden tehlikelidir?
Sistemi dinleyen yazılımlar
Kolaylıkla fark edilmezler
Çoğu yazılımlara veya donanım elemanlarına zarar vermezler
İstenen bilgiyi elde etmek için kullanılır
Bilgileri elde ettikten sonra depolayıp uygun bir zamanda istenen yere ulaştırırlar
..
21/57 Prof. Dr. Şeref Sağıroğlu, TÜMSİAD, 1 Haziran 2010, Ankara
Piyasadaki Klavye Dinleme Yazılımları
22/57 Prof. Dr. Şeref Sağıroğlu, TÜMSİAD, 1 Haziran 2010, Ankara
Piyasadaki Klavye Dinleme Yazılımları
500’den fazla program
Basılan tuşları izler ve kaydeder
Logları FTP veya E-posta ile gönderebilir
Kullanıcıdan gizli kalabilir
Arkaplanda çalışabilir.
23/57 Prof. Dr. Şeref Sağıroğlu, TÜMSİAD, 1 Haziran 2010, Ankara
KARŞI KLAVYE DİNLEME SİSTEMLERİ – Anti KeyLogger
Klavye sistemi yüklenme olasılığına karşı koruma sağlar.
Açılışta çalışan programlardan çengel kullananları engelleyen karşı casus yazılımlar
24/57 Prof. Dr. Şeref Sağıroğlu, TÜMSİAD, 1 Haziran 2010, Ankara
Dünyanın en gelişmiş kablosuz uzaktan Profesyonel ortam ve sabit telefon dinleme cihazıdır.
Sabit telefonun içinde bulunan mikro ses vericisi 20-30 m2 kapalı alandaki kulağınızla dahi duyamayacağınız tüm sesleri ve telefon görüşmelerini kablosuz olarak dinleme yapmanızı sağlar.
( 50-200m ) Kablosuz özel frekanslı alıcısına aktarır.
İster odadaki sesleri dinleyin, isterseniz gelen ve giden tüm telefon görüşmelerini dinleyip kayıt edin.
UHF bandını kullanır, böylece sadece alıcı cihaz ile dinlenebilir, diğer dinleme sistemlerinde olduğu gibi FM yayını yapmadığı için başka yayınlarla karışması veya herkesçe dinlenmesi mümkün değildir.
TELEFON DİNLEME (Casus Kulaklık 1; 1000 YTL)
www.casuskulaklik.com
25/57 Prof. Dr. Şeref Sağıroğlu, TÜMSİAD, 1 Haziran 2010, Ankara
Dünyanın en küçük kablosuz kulaklığı kaliteli, berrak ses
Telefonunuza gelen sesi alıcısına aktarır..
Alıcıya gelen ses kaliteli bir şekilde kablosuz mikro kulaklığa iletir.
TELEFON DİNLEME (Casus Kulaklık 2; 1200 YTL)
www.casuskulaklik.com
26/57 Prof. Dr. Şeref Sağıroğlu, TÜMSİAD, 1 Haziran 2010, Ankara
Hedef telefonun bulunduğu ortamı dinleyebilirsiniz (Casus telefon)
Hedef telefona gelen ve giden aramaları dinleyebilirsiniz.
(Telefon dinleme)
Hedef telefonun arama listesinin bir kopyasını alabilirsiniz.(Casus Arama bildirim)
Hedef telefona gelen giden mesajların bir kopyasını alabilirsiniz.(Casus Mesaj bildirim)
Sim kart değişikliğini SMS ile bildirir.
Hedef kişinin bulunduğu noktanın GPS pozisyonunu bildirir.
Bu bilgiyi "Google Earth" programına girerek hedef kişinin pozisyonunu harita üzerinde görebilirsiniz.(GPS özelliğine sahip telefonlar için geçerlidir)
TELEFON DİNLEME (Casus Yazılım 2; 2250YTL)
www.guvenlikprogram.com
27/57 Prof. Dr. Şeref Sağıroğlu, TÜMSİAD, 1 Haziran 2010, Ankara
CASUS TELEFON 1200 - FİYAT 190 YTL + KDV Casus Telefon 1200 görünümlü dinleme cihazı. Mesafe sınırı yok. Dünyanın neresinde olursan ol,ara ve dinle.
ÇİÇEKLİK DİNLEME CİHAZI - FİYAT 390 YTL + KDV
CASUS GSM OTO - ARAÇ İÇİ DİNLEME CİHAZI - FİYAT 390 YTL + KDV
ÇANTA
DUVAR SAATİ
…
TELEFON DİNLEME (Casus Yazılımla Dinlemeler)
www.guvenlikprogram.com
28/57
Mevcut Korkular?
1975 1980 1985 1990 1995 2000 2005 2008 düşük
yüksek
Sofistike ataklar Saldırganlar tarafından ihtiyaç duyulan teknik bilgi ve yetenek
Kötü haber Daha kötü
Prof. Dr. Şeref Sağıroğlu, TÜMSİAD, 1 Haziran 2010, Ankara
29/57 Prof. Dr. Şeref Sağıroğlu, TÜMSİAD, 1 Haziran 2010, Ankara
Arabağlantılar?
30/57
Her 10 web uygulamasının 9’unda açık var (Gartner)
Web uygulama yazılımcılarının %60’ı güvenli yazılım geliştirme tekniklerini bilmemektedir. (Microsoft)
Bilişim güvenliği ihlallerinin %80’i YAZILIM GÜVENSİZLİĞİ kaynaklanıyor (Gartner)
USA’da National Vulnerability Database’de bulunan zafiyet sayısı 33522. 22 farklı grupta sınıfladırılmış.
Google, casusluk için en iyi ortam
İstatistikler..
31/57
Korunma Yöntemleri
Korunma Yöntemleri
Önleyici (Güvenli Kodlama, Sistem Farkındalığı, Test)
İzleme ve Tespit (Saldırı Saptama )
Müdahale (Saldırı Engelleme, Kurtarma) ve İyileştirme, Eşgüdüm
Eğitim ve İnsan Faktörü
Son kullanıcı
Teknik Personel
İdari Personel
Yöneticiler
Düzenleyici Yaptırımlar
Standartlar
Hukuk
Bilgi Güvenliği Nasıl Sağlanır? ?
32/57
Korunma Yöntemleri
1. Standartlaştırma 2. Güvenli Kodlama 3. Sistem Farkındalığı 4. Eğitim / Test 5. Saldırı Saptama 6. Saldırı Engelleme 7. Kurtarma
8. Eşgüdüm
Neler Yapılmalıdır ?
33/57 Prof. Dr. Şeref Sağıroğlu, TÜMSİAD, 1 Haziran 2010, Ankara
Bütüne bakabilme..
34/57
Sonuçlar ve Değerlendirmeler
Bilgi Güvenliği ürün veya hizmet değildir.
İnsan faktörü, teknoloji ve eğitim unsurları üçgeninde yönetilmesi zorunlu olan karmaşık süreçlerden oluşan, süreklilik arz eden bir süreçtir.
Üç unsur arasında tamamlayıcılık olmadığı sürece yüksek seviyede bir güvenlikten bahsedebilmek mümkün değildir.
Yüksek seviyede E-Devlet güvenliğinden bahsedebilmek için Kurumsal ve Bireysel anlamda Bilgi Güvenliğinin gerekleri yerine getirilmelidir.
Süreci Doğru Yönetme..
35/57
Korunma Yöntemleri
Uygulamaları periyodik olarak uygun test yöntemleri, araçları veya teknikleri kullanarak denetleme,
Açık var ise bunları kısa sürede giderme.
Farklı denetim uzmanları veya kurumlarından faydalanma
Denetim..
36/57
Korunma Yöntemleri
Kayıplarının %80’inden fazlası yazılımsal veya donanımsal değil insan hatası veya kastı ile gerçekleşen durumlardır.
Teknoloji sorunu olarak bakmamak gerekiyor.
En zayıf halkası ise insandır.
Kullanıcıları güvenli internet ve bilgisayar kullanımı konusunda bilinçlendirilme ve eğitme
Ortak Bilgi Güvenliği Bilinci oluşturma
En zayıf halkayı güçlendirme
Farkındalığı arttırma
Bilinçlendirme ve Eğitim..
37/57 Prof. Dr. Şeref Sağıroğlu, TÜMSİAD, 1 Haziran 2010, Ankara
•
Bilgi sistemleri güvenliği ciddi olarak ele alınması gereken bir konudur.
• Neyin korunacağını bilmek en önemli adımdır.
• Nasıl korunacağını veya korunamayacağını bilmek (risk yönetimi) işin özüdür.
• Uygulama safhası doğru yolda olunduğunun,
• Gözleme, izleme ve denetimde etkinlik başarının anahtarıdır.
Değerlendirme -1
38/57
Bilginin değerinin bilinmesi
Bilgi güvenliğinin bilinmesi ve uygulanması,
Yapılması gerekenlerin daha önceden belirlenmesi,
Güvenliğin bir bütün olarak ele alınması,
Güvenlik kültürünün yaygınlaşması,
Bilgi güvenliği risk yüzdesinin düşürülmesi,
İyi bir bilgi güvenliği yönetim sistemi kurulmalı
eğitim ile desteklenmeli ve
belirli aralıklarla denetlenmeli,
Kurumsal bilgi güvenliği oluşturulmalı
Değerlendirme -2
Prof. Dr. Şeref Sağıroğlu, TÜMSİAD, 1 Haziran 2010, Ankara
39/57
Ürün değil bir süreç..
Fiziksel-Yönetimsel-Teknik
İnsan-Eğitim-Teknoloji
Fiziksel güvenlik
Bilgi bulunduran ortamların korunması
İnsan faktörü (eğitim ve bilinçlendirme)
Teknoloji
Güvenlik duvarları
Anti-viral yazılımlar
E-imza
Atak tespit/koruma sistemleri
Şifreleme metotları
Uluslararası güvenlik standartları dikkate alınarak
Kanunlar ve yönetmeliklerle bunları desteklemek
Değerlendirme -3
Prof. Dr. Şeref Sağıroğlu, TÜMSİAD, 1 Haziran 2010, Ankara 40/57