SlideShare a Scribd company logo

Bbm Guvenlik Semineri

eroglu
eroglu
Business
1 of 30
Download to read offline
İletişim Ağlarında Güvenlik Burak DAYIOĞLU ’98 Hacettepe Üniversitesi Bilgi İşlem Dairesi Başkanlığı burak@hacettepe.edu.tr
Sunum Planı Bilişim Güvenliği ve Kapsamı T Bilişim Güvenliği’nin Önemi T Saldırganlar ve Örnek Saldırı Teknikleri T Korunma ve Güvenlik Arttırımı T
Bilişim Güvenliği Tanımı Bilişim Güvenliği, bilişim teknolojisi T ürünü cihazları ve bu cihazlar tarafından işlenen bilgileri korumayı amaçlayan çalışma alanıdır Bilginin korunması ve gizliliği genellikle ön T planda olduğundan “Bilgi Güvenliği” olarak da anılır Mühendislik çalışması gerektirir T
Güvenliğin Temel Eksenleri Gizlilik ve Mahremiyet (Secrecy & Confidentiality) T Depolanan ve taşınan bilgilere yetkisiz T erişimlerin engellenmesi Gizli bilgilerin korunması ve mahremiyetinin T sağlanması Güncellik ve Bütünlük (Accuracy & Integrity) T Kullanıcılara bilgilerin en güncel halinin T sunulması Değişikliğe yönelik yetkisiz erişimlerin T engellenmesi Bulunurluk (Availability) T
Tehdit ve Tehdit Örnekleri Hasımların, doğal olayların ya da T kazaların neden olabileceği, bir bilişim sistemine zarar verebilecek ve bu yolla kurumun işlevini aksatabilecek her türlü olay Elektrik kesintisi, su baskını, deprem T Rakip firma, terörist, art niyetli personel T Cihaz arızası, operatör hatası T Virüsler T ... T
B.T. Evrimi ve Güvenlik Boyutu Tek bilgisayar sistemi Güvenliği Sağlamak T Daha Kolay Ardışık işletim T Merkezi bilgisayar sistemi T Terminaller ve paralel işletim T Dağıtık sistemler T Sunucular ve istemciler T İnternet bilişimi T Güvenliği Sağlamak Alabildiğine girift yapı Daha Zor T
Bilişim Güvenliği’nde Bugün Geometrik biçimde artan saldırı sayıları T Giderek karmaşıklaşan saldırılar T “Sıradan saldırganlar” T Konunun göz ardı edilmesi T Eksik/yanlış bilgi T Boşa yapılan yatırımlar T Aldatıcı güvenlik hissi T Zan altında kalma T
Artan Güvenlik Problemleri CERT/CC’ye bildirilen saldırı sayısının yıllara göre değişimi
Saldırı Karmaşıklığı / Beceri Düzeyi CERT/CC’nin saldırgan beceri düzeyi ve saldırı karmaşıklığı ilişkisi tablosu
Kurumsal B.T. Bütçesi ve Güvenlik 100% 15% 1% Toplam Bütçe Bilişim Bütçesi Bilişim Güvenliği Bütçesi
A.B.D.’de Durum 6 enstitü “NSA Mükemmellik Merkezi” T olarak seçildi; dersler açıldı Savunma Bakanlığı yalnızca “Saldırı T Tespiti” alanında 96 projeye sponsorluk yapıyor Gelecek savaşların B.T. temelli olması T bekleniyor (Information Warfare) Ekonomik sistemler, haberleşme ve T yayıncılık tümüyle B.T. temelli
Bir Saldırının Anatomisi Bilgi Toplama ve Zayıflık Tespiti T Bilgisayarlar, bağlantı şemaları, hizmetler T İzinsiz Giriş T Zayıflıklardan faydalanarak komut işletimi T Hak Yükseltimi ve Tam Denetim T Arka Kapı Hazırlama T Müteakip girişlerin kolaylaştırılması T Veri Çalma/Değiştirme/Silme T Başka Hedeflere Sıçrama T
Elektronik Saldırı Örnekleri Ağ Taraması T Truva Atları T Web uygulamaları T Alan taşırma T Dağıtık Hizmet Aksatma (DDOS) T
Ağ Taraması Bozuk TCP paketleri ile işletim sistemi T tanımlama İşletim sistemleri bozuk TCP paketleri için T farklı yanıtlar üretiyor Hizmet taraması T “Yarım TCP bağlantıları” ile kayıt T tutulmamasının sağlanması Adres yanıltması ile birleştirildiğinde T kaynağın tespiti güçleştirilebiliyor Nmap, queso ... T
Truva Atları Programın içine gizlenmiş art niyetli T ikincil program Çalıştırıldığı bilgisayarın tüm denetimi T truva atının sahibine geçiyor E-posta mesaj ekleri ve web aracılığı ile T dağıtılıyor Windows için son iki yılda 300+ truva T atı yazılım üretildi Back Orifice, SubSeven, NetBus ... T
Web Uygulamaları Girdi verileri üzerinde yetersiz denetim T http://www.kurbansite.com/cgi-bin/ T phf?Name=burak;/bin/cat%20/etc/passwd Son derece yaygın bir zayıflık ve saldırı türü T Web sitesi kullanıcıları için akış denetimi T öngörüleri Kimlik doğrulama sayfasının çevresinden T dolaşma
Alan Taşırma Bir uygulama yazılımında tanımlanmış T küçük bir alana büyük bir veri yüklemeye çalışırsanız ne olur? Uygulama çakılır T Bazı durumlarda, uygulamanın T “istenmedik” komutları işletmesi sağlanabilir
Programlama Örneği void kurban(char *param) { char yerelalan[16]; strcpy(yerelalan,param); ... } int saldirgan(void) { char buyuk_katar[256]; int i; for(i=0;i<255;i++) buyuk_katar[i]=‘A’; kurban(buyuk_katar); }
Yığıt Düzeni Belleğin Başı Belleğin Sonu yereller sçg Dönüş @ param Yığıtın Üstü Yığıtın Altı void kurban(char *param) { char yerelalan[16]; strcpy(yerelalan,param); ... }
Dağıtık Hizmet Aksatma Saldırgan Sahip Sahip Köle Köle Köle Köle Köle Köle Kurban
Güvenlik Arttırımı ve Korunma Risk Yönetimi ve kurumsal güvenlik T politikalarının belirlenmesi Bilinçlendirme T Minimalist yaklaşım T Teknolojik çözümlerden faydalanılması T Güvenlik duvarları, Saldırı tespit sistemleri, T sayısal sertifikalar, anti-virüs yazılımları, sanal özel ağlar, güvenlik analizi yazılımları …
Risk Yönetimi Risk Alanlarının Belirlenmesi Güvenlik Risk Düzeylerinin Politikasının Belirlenmesi Uygulanması Güvenlik Risk Yönetim Politikasının Planının Belirlenmesi Belirlenmesi
Kurumsal Güvenlik Politikaları Güvenlik politikası kabaca neye izin T verilip neye izin verilmediğini tanımlar Detaylı prosedürlerden ziyade genel T konulara yer verilir Kabul edilebilir bilgisayar kullanım politikası T Ağ bağlantı politikası T İhlal yönetim politikası T İnsanlar üzerindeki etkisi T Esneklik, üretkenlik, “büyük birader etkisi”, T değişikliğe direnç
İnsanların Bilinçlendirilmesi Bilişim güvenliği ile ilgili çalışmaların en T çok atlanan adımlarından birisidir Düzenli ve kısa süreli eğitimler T Güvenlik politikasının gerekçeli sunumu T Güvenliğin değil, bireysel tehditlerin ve T risklerin vurgulandığı anlatımlar
Minimalist Yaklaşım Kimseye gerektiğinden fazla erişim T hakkı tanımama Kimseye gerektiğinden fazla bilgi T vermeme Gerekmeyen hiç bir yazılımı yüklememe T Gerekmeyen hiç bir hizmeti sunmama T Yüklenen küçük yazılım kümesinin T güncelliğinin sağlanması
Güvenlik Duvarları Müşteriler Web Birinci Ağ İkinci Ağ Güvenlik Duvarı Üçüncü Ağ Veritabanı
Saldırı Tespit Sistemleri Alıcı Sunucu PC PC Diğer Ağlar Yönlendirici Sunucu PC Merkez Alıcı
Güvenlik Analizi Yazılımları Sistemleri inceleyerek zayıflıkları tespit T etmeye çalışan yazılımlar Anti-virüs yazılımlarının “virüs veritabanı” T benzeri “zayıflık veritabanı” Yeni bir teknoloji T Anti-virüs olgunluğuna erişmesi için 1-2 sene T gerekiyor
Sonuç Bilişim güvenliği konusu hızla önem T kazanıyor Güvenlik probleminin “teknik” kısmı T küçük, sosyal kısmı büyük Türkiye’de durum çok “tehlikeli” T Kamu’nun güvenlik problemleri T Güvenlik’siz e-ticaret T
İletişim Ağlarında Güvenlik Burak DAYIOĞLU ’98 Hacettepe Üniversitesi Bilgi İşlem Dairesi Başkanlığı burak@hacettepe.edu.tr

Recommended

Bluetooth Guvenligi Sunum
Bluetooth Guvenligi SunumBluetooth Guvenligi Sunum
Bluetooth Guvenligi Sunumeroglu
 
Optik Aglarin Guvenligi
Optik Aglarin GuvenligiOptik Aglarin Guvenligi
Optik Aglarin Guvenligieroglu
 
Why optical networks ?
Why optical networks ?Why optical networks ?
Why optical networks ?Gagan Randhawa
 
Security in Optical Networks - Useless or Necessary?
Security in Optical Networks - Useless or Necessary?Security in Optical Networks - Useless or Necessary?
Security in Optical Networks - Useless or Necessary?ADVA
 
Fiber Teori
Fiber TeoriFiber Teori
Fiber Teorimetropolmedya
 
Network Security Chapter 7
Network Security Chapter 7Network Security Chapter 7
Network Security Chapter 7AfiqEfendy Zaen
 
Kritik Altyapılar & Endüstriyel Casusluk
Kritik Altyapılar & Endüstriyel CasuslukKritik Altyapılar & Endüstriyel Casusluk
Kritik Altyapılar & Endüstriyel CasuslukOsman Doğan
 
NETAŞ Si̇ber Güvenli̇k Sunumu - C. Müjdat Altay - 15 Haziran 2015
NETAŞ Si̇ber Güvenli̇k Sunumu - C. Müjdat Altay - 15 Haziran 2015NETAŞ Si̇ber Güvenli̇k Sunumu - C. Müjdat Altay - 15 Haziran 2015
NETAŞ Si̇ber Güvenli̇k Sunumu - C. Müjdat Altay - 15 Haziran 2015Melih Bayram Dede
 

Recommended

Bluetooth Guvenligi Sunum
Bluetooth Guvenligi SunumBluetooth Guvenligi Sunum
Bluetooth Guvenligi Sunumeroglu
 
Optik Aglarin Guvenligi
Optik Aglarin GuvenligiOptik Aglarin Guvenligi
Optik Aglarin Guvenligieroglu
 
Why optical networks ?
Why optical networks ?Why optical networks ?
Why optical networks ?Gagan Randhawa
 
Security in Optical Networks - Useless or Necessary?
Security in Optical Networks - Useless or Necessary?Security in Optical Networks - Useless or Necessary?
Security in Optical Networks - Useless or Necessary?ADVA
 
Fiber Teori
Fiber TeoriFiber Teori
Fiber Teorimetropolmedya
 
Network Security Chapter 7
Network Security Chapter 7Network Security Chapter 7
Network Security Chapter 7AfiqEfendy Zaen
 
Kritik Altyapılar & Endüstriyel Casusluk
Kritik Altyapılar & Endüstriyel CasuslukKritik Altyapılar & Endüstriyel Casusluk
Kritik Altyapılar & Endüstriyel CasuslukOsman Doğan
 
NETAŞ Si̇ber Güvenli̇k Sunumu - C. Müjdat Altay - 15 Haziran 2015
NETAŞ Si̇ber Güvenli̇k Sunumu - C. Müjdat Altay - 15 Haziran 2015NETAŞ Si̇ber Güvenli̇k Sunumu - C. Müjdat Altay - 15 Haziran 2015
NETAŞ Si̇ber Güvenli̇k Sunumu - C. Müjdat Altay - 15 Haziran 2015Melih Bayram Dede
 
Elektronik finansta riskler ve çözüm yolları
Elektronik finansta riskler ve çözüm yollarıElektronik finansta riskler ve çözüm yolları
Elektronik finansta riskler ve çözüm yollarıZühre Aydın
 
Siber İstihbarat ve Ödül Avcılığı
Siber İstihbarat ve Ödül AvcılığıSiber İstihbarat ve Ödül Avcılığı
Siber İstihbarat ve Ödül AvcılığıOsman Doğan
 
Sizce Kontroller ile kastedilen nedir Target veri ihlalin.pdf
Sizce Kontroller ile kastedilen nedir Target veri ihlalin.pdfSizce Kontroller ile kastedilen nedir Target veri ihlalin.pdf
Sizce Kontroller ile kastedilen nedir Target veri ihlalin.pdfcontact32
 
Saglikta siber guvenlik ve veri guvenligi by cagri polat
Saglikta siber guvenlik ve veri guvenligi by cagri polatSaglikta siber guvenlik ve veri guvenligi by cagri polat
Saglikta siber guvenlik ve veri guvenligi by cagri polatÇağrı Polat
 
BilisimTeknolojileri_Eysan.pptx
BilisimTeknolojileri_Eysan.pptxBilisimTeknolojileri_Eysan.pptx
BilisimTeknolojileri_Eysan.pptxEyşan Öztürk
 
Birlikte Calisabilirlik Veri Entegrasyonu
Birlikte Calisabilirlik Veri EntegrasyonuBirlikte Calisabilirlik Veri Entegrasyonu
Birlikte Calisabilirlik Veri EntegrasyonuNusret Guclu
 
3. parti firma risklerinden nasıl korunulur?
3. parti firma risklerinden nasıl korunulur?3. parti firma risklerinden nasıl korunulur?
3. parti firma risklerinden nasıl korunulur?BGA Cyber Security
 
LOCARD 2016 20052016 Burak Sadic
LOCARD 2016 20052016 Burak SadicLOCARD 2016 20052016 Burak Sadic
LOCARD 2016 20052016 Burak SadicA. Burak SADIC
 
GUVENLI YAZILIM ve BILGI GUVENLIGI
GUVENLI YAZILIM ve BILGI GUVENLIGIGUVENLI YAZILIM ve BILGI GUVENLIGI
GUVENLI YAZILIM ve BILGI GUVENLIGIAhmet Pekel
 
BT Günlüğü Ekim 2015
BT Günlüğü Ekim 2015BT Günlüğü Ekim 2015
BT Günlüğü Ekim 2015Eylül Medya
 
Web Uygulamalarında Risk Yönetimi ve Değerlendirme
Web Uygulamalarında Risk Yönetimi ve DeğerlendirmeWeb Uygulamalarında Risk Yönetimi ve Değerlendirme
Web Uygulamalarında Risk Yönetimi ve DeğerlendirmeErkan Başavcı
 
Siber Güvenlik Eğitimleri | SPARTA BİLİŞİM
Siber Güvenlik Eğitimleri | SPARTA BİLİŞİMSiber Güvenlik Eğitimleri | SPARTA BİLİŞİM
Siber Güvenlik Eğitimleri | SPARTA BİLİŞİMSparta Bilişim
 
Yavuz's MS Thesis
Yavuz's MS ThesisYavuz's MS Thesis
Yavuz's MS ThesisYavuz Selim Keresteci
 
Belediyeler için Siber Güvenlik Önerileri
Belediyeler için Siber Güvenlik ÖnerileriBelediyeler için Siber Güvenlik Önerileri
Belediyeler için Siber Güvenlik ÖnerileriAlper Başaran
 
Belediyeler için Siber Güvenlik Önerileri
Belediyeler için Siber Güvenlik ÖnerileriBelediyeler için Siber Güvenlik Önerileri
Belediyeler için Siber Güvenlik ÖnerileriSparta Bilişim
 
Some’lerden Beklenen Adli bilişim Yetkinlikleri
Some’lerden Beklenen Adli bilişim YetkinlikleriSome’lerden Beklenen Adli bilişim Yetkinlikleri
Some’lerden Beklenen Adli bilişim YetkinlikleriAdeo Security
 
Yavas Voip Sunum
Yavas Voip SunumYavas Voip Sunum
Yavas Voip Sunumeroglu
 
Sunum Internet Uzerinden Arastirma Yontemlerinin Etkin Kullanilmasi
Sunum Internet Uzerinden Arastirma Yontemlerinin Etkin KullanilmasiSunum Internet Uzerinden Arastirma Yontemlerinin Etkin Kullanilmasi
Sunum Internet Uzerinden Arastirma Yontemlerinin Etkin Kullanilmasieroglu
 
Steganografi
SteganografiSteganografi
Steganografieroglu
 
T C P I P Weaknesses And Solutions
T C P I P Weaknesses And SolutionsT C P I P Weaknesses And Solutions
T C P I P Weaknesses And Solutionseroglu
 
Telif Hakkinin Korunmasi
Telif Hakkinin KorunmasiTelif Hakkinin Korunmasi
Telif Hakkinin Korunmasieroglu
 
Tiny Sec Kucuk Cihazlar Icin Veri Bagi Katman Guvenligi
Tiny Sec Kucuk Cihazlar Icin Veri Bagi Katman GuvenligiTiny Sec Kucuk Cihazlar Icin Veri Bagi Katman Guvenligi
Tiny Sec Kucuk Cihazlar Icin Veri Bagi Katman Guvenligieroglu
 

More Related Content

Similar to Bbm Guvenlik Semineri

Elektronik finansta riskler ve çözüm yolları
Elektronik finansta riskler ve çözüm yollarıElektronik finansta riskler ve çözüm yolları
Elektronik finansta riskler ve çözüm yollarıZühre Aydın
 
Siber İstihbarat ve Ödül Avcılığı
Siber İstihbarat ve Ödül AvcılığıSiber İstihbarat ve Ödül Avcılığı
Siber İstihbarat ve Ödül AvcılığıOsman Doğan
 
Sizce Kontroller ile kastedilen nedir Target veri ihlalin.pdf
Sizce Kontroller ile kastedilen nedir Target veri ihlalin.pdfSizce Kontroller ile kastedilen nedir Target veri ihlalin.pdf
Sizce Kontroller ile kastedilen nedir Target veri ihlalin.pdfcontact32
 
Saglikta siber guvenlik ve veri guvenligi by cagri polat
Saglikta siber guvenlik ve veri guvenligi by cagri polatSaglikta siber guvenlik ve veri guvenligi by cagri polat
Saglikta siber guvenlik ve veri guvenligi by cagri polatÇağrı Polat
 
BilisimTeknolojileri_Eysan.pptx
BilisimTeknolojileri_Eysan.pptxBilisimTeknolojileri_Eysan.pptx
BilisimTeknolojileri_Eysan.pptxEyşan Öztürk
 
Birlikte Calisabilirlik Veri Entegrasyonu
Birlikte Calisabilirlik Veri EntegrasyonuBirlikte Calisabilirlik Veri Entegrasyonu
Birlikte Calisabilirlik Veri EntegrasyonuNusret Guclu
 
3. parti firma risklerinden nasıl korunulur?
3. parti firma risklerinden nasıl korunulur?3. parti firma risklerinden nasıl korunulur?
3. parti firma risklerinden nasıl korunulur?BGA Cyber Security
 
LOCARD 2016 20052016 Burak Sadic
LOCARD 2016 20052016 Burak SadicLOCARD 2016 20052016 Burak Sadic
LOCARD 2016 20052016 Burak SadicA. Burak SADIC
 
GUVENLI YAZILIM ve BILGI GUVENLIGI
GUVENLI YAZILIM ve BILGI GUVENLIGIGUVENLI YAZILIM ve BILGI GUVENLIGI
GUVENLI YAZILIM ve BILGI GUVENLIGIAhmet Pekel
 
BT Günlüğü Ekim 2015
BT Günlüğü Ekim 2015BT Günlüğü Ekim 2015
BT Günlüğü Ekim 2015Eylül Medya
 
Web Uygulamalarında Risk Yönetimi ve Değerlendirme
Web Uygulamalarında Risk Yönetimi ve DeğerlendirmeWeb Uygulamalarında Risk Yönetimi ve Değerlendirme
Web Uygulamalarında Risk Yönetimi ve DeğerlendirmeErkan Başavcı
 
Siber Güvenlik Eğitimleri | SPARTA BİLİŞİM
Siber Güvenlik Eğitimleri | SPARTA BİLİŞİMSiber Güvenlik Eğitimleri | SPARTA BİLİŞİM
Siber Güvenlik Eğitimleri | SPARTA BİLİŞİMSparta Bilişim
 
Belediyeler için Siber Güvenlik Önerileri
Belediyeler için Siber Güvenlik ÖnerileriBelediyeler için Siber Güvenlik Önerileri
Belediyeler için Siber Güvenlik ÖnerileriAlper Başaran
 
Belediyeler için Siber Güvenlik Önerileri
Belediyeler için Siber Güvenlik ÖnerileriBelediyeler için Siber Güvenlik Önerileri
Belediyeler için Siber Güvenlik ÖnerileriSparta Bilişim
 
Some’lerden Beklenen Adli bilişim Yetkinlikleri
Some’lerden Beklenen Adli bilişim YetkinlikleriSome’lerden Beklenen Adli bilişim Yetkinlikleri
Some’lerden Beklenen Adli bilişim YetkinlikleriAdeo Security
 

Similar to Bbm Guvenlik Semineri (16)

Elektronik finansta riskler ve çözüm yolları
Elektronik finansta riskler ve çözüm yollarıElektronik finansta riskler ve çözüm yolları
Elektronik finansta riskler ve çözüm yolları
 
Siber İstihbarat ve Ödül Avcılığı
Siber İstihbarat ve Ödül AvcılığıSiber İstihbarat ve Ödül Avcılığı
Siber İstihbarat ve Ödül Avcılığı
 
Sizce Kontroller ile kastedilen nedir Target veri ihlalin.pdf
Sizce Kontroller ile kastedilen nedir Target veri ihlalin.pdfSizce Kontroller ile kastedilen nedir Target veri ihlalin.pdf
Sizce Kontroller ile kastedilen nedir Target veri ihlalin.pdf
 
Saglikta siber guvenlik ve veri guvenligi by cagri polat
Saglikta siber guvenlik ve veri guvenligi by cagri polatSaglikta siber guvenlik ve veri guvenligi by cagri polat
Saglikta siber guvenlik ve veri guvenligi by cagri polat
 
BilisimTeknolojileri_Eysan.pptx
BilisimTeknolojileri_Eysan.pptxBilisimTeknolojileri_Eysan.pptx
BilisimTeknolojileri_Eysan.pptx
 
Birlikte Calisabilirlik Veri Entegrasyonu
Birlikte Calisabilirlik Veri EntegrasyonuBirlikte Calisabilirlik Veri Entegrasyonu
Birlikte Calisabilirlik Veri Entegrasyonu
 
3. parti firma risklerinden nasıl korunulur?
3. parti firma risklerinden nasıl korunulur?3. parti firma risklerinden nasıl korunulur?
3. parti firma risklerinden nasıl korunulur?
 
LOCARD 2016 20052016 Burak Sadic
LOCARD 2016 20052016 Burak SadicLOCARD 2016 20052016 Burak Sadic
LOCARD 2016 20052016 Burak Sadic
 
GUVENLI YAZILIM ve BILGI GUVENLIGI
GUVENLI YAZILIM ve BILGI GUVENLIGIGUVENLI YAZILIM ve BILGI GUVENLIGI
GUVENLI YAZILIM ve BILGI GUVENLIGI
 
BT Günlüğü Ekim 2015
BT Günlüğü Ekim 2015BT Günlüğü Ekim 2015
BT Günlüğü Ekim 2015
 
Web Uygulamalarında Risk Yönetimi ve Değerlendirme
Web Uygulamalarında Risk Yönetimi ve DeğerlendirmeWeb Uygulamalarında Risk Yönetimi ve Değerlendirme
Web Uygulamalarında Risk Yönetimi ve Değerlendirme
 
Siber Güvenlik Eğitimleri | SPARTA BİLİŞİM
Siber Güvenlik Eğitimleri | SPARTA BİLİŞİMSiber Güvenlik Eğitimleri | SPARTA BİLİŞİM
Siber Güvenlik Eğitimleri | SPARTA BİLİŞİM
 
Yavuz's MS Thesis
Yavuz's MS ThesisYavuz's MS Thesis
Yavuz's MS Thesis
 
Belediyeler için Siber Güvenlik Önerileri
Belediyeler için Siber Güvenlik ÖnerileriBelediyeler için Siber Güvenlik Önerileri
Belediyeler için Siber Güvenlik Önerileri
 
Belediyeler için Siber Güvenlik Önerileri
Belediyeler için Siber Güvenlik ÖnerileriBelediyeler için Siber Güvenlik Önerileri
Belediyeler için Siber Güvenlik Önerileri
 
Some’lerden Beklenen Adli bilişim Yetkinlikleri
Some’lerden Beklenen Adli bilişim YetkinlikleriSome’lerden Beklenen Adli bilişim Yetkinlikleri
Some’lerden Beklenen Adli bilişim Yetkinlikleri
 

More from eroglu

Yavas Voip Sunum
Yavas Voip SunumYavas Voip Sunum
Yavas Voip Sunumeroglu
 
Sunum Internet Uzerinden Arastirma Yontemlerinin Etkin Kullanilmasi
Sunum Internet Uzerinden Arastirma Yontemlerinin Etkin KullanilmasiSunum Internet Uzerinden Arastirma Yontemlerinin Etkin Kullanilmasi
Sunum Internet Uzerinden Arastirma Yontemlerinin Etkin Kullanilmasieroglu
 
Steganografi
SteganografiSteganografi
Steganografieroglu
 
T C P I P Weaknesses And Solutions
T C P I P Weaknesses And SolutionsT C P I P Weaknesses And Solutions
T C P I P Weaknesses And Solutionseroglu
 
Telif Hakkinin Korunmasi
Telif Hakkinin KorunmasiTelif Hakkinin Korunmasi
Telif Hakkinin Korunmasieroglu
 
Tiny Sec Kucuk Cihazlar Icin Veri Bagi Katman Guvenligi
Tiny Sec Kucuk Cihazlar Icin Veri Bagi Katman GuvenligiTiny Sec Kucuk Cihazlar Icin Veri Bagi Katman Guvenligi
Tiny Sec Kucuk Cihazlar Icin Veri Bagi Katman Guvenligieroglu
 
Telsiz Aglarda Guvenlik
Telsiz Aglarda GuvenlikTelsiz Aglarda Guvenlik
Telsiz Aglarda Guvenlikeroglu
 
Trusted Computing
Trusted ComputingTrusted Computing
Trusted Computingeroglu
 
Ulasim Katmani Guvenlik Iletisim Kurallari
Ulasim Katmani Guvenlik Iletisim KurallariUlasim Katmani Guvenlik Iletisim Kurallari
Ulasim Katmani Guvenlik Iletisim Kurallarieroglu
 
Yigitbasi Gsm Sunum
Yigitbasi Gsm SunumYigitbasi Gsm Sunum
Yigitbasi Gsm Sunumeroglu
 
Vekil Sunucularve Guvenlik Duvarlari
Vekil Sunucularve Guvenlik DuvarlariVekil Sunucularve Guvenlik Duvarlari
Vekil Sunucularve Guvenlik Duvarlarieroglu
 
Ww Wde Sansurleme
Ww Wde SansurlemeWw Wde Sansurleme
Ww Wde Sansurlemeeroglu
 
Yigitbasi Gsm Sunum
Yigitbasi Gsm SunumYigitbasi Gsm Sunum
Yigitbasi Gsm Sunumeroglu
 
Zararvericilojik
ZararvericilojikZararvericilojik
Zararvericilojikeroglu
 
Zigbee Standardinda Guvenlik
Zigbee Standardinda GuvenlikZigbee Standardinda Guvenlik
Zigbee Standardinda Guvenlikeroglu
 
Tasarsiz Aglarda Guvenlik
Tasarsiz Aglarda GuvenlikTasarsiz Aglarda Guvenlik
Tasarsiz Aglarda Guvenlikeroglu
 
Network Guvenligi Temelleri
Network Guvenligi TemelleriNetwork Guvenligi Temelleri
Network Guvenligi Temellerieroglu
 
Sizma Belirleme
Sizma BelirlemeSizma Belirleme
Sizma Belirlemeeroglu
 
Spam Savar
Spam SavarSpam Savar
Spam Savareroglu
 
Spam Savar
Spam SavarSpam Savar
Spam Savareroglu
 

More from eroglu (20)

Yavas Voip Sunum
Yavas Voip SunumYavas Voip Sunum
Yavas Voip Sunum
 
Sunum Internet Uzerinden Arastirma Yontemlerinin Etkin Kullanilmasi
Sunum Internet Uzerinden Arastirma Yontemlerinin Etkin KullanilmasiSunum Internet Uzerinden Arastirma Yontemlerinin Etkin Kullanilmasi
Sunum Internet Uzerinden Arastirma Yontemlerinin Etkin Kullanilmasi
 
Steganografi
SteganografiSteganografi
Steganografi
 
T C P I P Weaknesses And Solutions
T C P I P Weaknesses And SolutionsT C P I P Weaknesses And Solutions
T C P I P Weaknesses And Solutions
 
Telif Hakkinin Korunmasi
Telif Hakkinin KorunmasiTelif Hakkinin Korunmasi
Telif Hakkinin Korunmasi
 
Tiny Sec Kucuk Cihazlar Icin Veri Bagi Katman Guvenligi
Tiny Sec Kucuk Cihazlar Icin Veri Bagi Katman GuvenligiTiny Sec Kucuk Cihazlar Icin Veri Bagi Katman Guvenligi
Tiny Sec Kucuk Cihazlar Icin Veri Bagi Katman Guvenligi
 
Telsiz Aglarda Guvenlik
Telsiz Aglarda GuvenlikTelsiz Aglarda Guvenlik
Telsiz Aglarda Guvenlik
 
Trusted Computing
Trusted ComputingTrusted Computing
Trusted Computing
 
Ulasim Katmani Guvenlik Iletisim Kurallari
Ulasim Katmani Guvenlik Iletisim KurallariUlasim Katmani Guvenlik Iletisim Kurallari
Ulasim Katmani Guvenlik Iletisim Kurallari
 
Yigitbasi Gsm Sunum
Yigitbasi Gsm SunumYigitbasi Gsm Sunum
Yigitbasi Gsm Sunum
 
Vekil Sunucularve Guvenlik Duvarlari
Vekil Sunucularve Guvenlik DuvarlariVekil Sunucularve Guvenlik Duvarlari
Vekil Sunucularve Guvenlik Duvarlari
 
Ww Wde Sansurleme
Ww Wde SansurlemeWw Wde Sansurleme
Ww Wde Sansurleme
 
Yigitbasi Gsm Sunum
Yigitbasi Gsm SunumYigitbasi Gsm Sunum
Yigitbasi Gsm Sunum
 
Zararvericilojik
ZararvericilojikZararvericilojik
Zararvericilojik
 
Zigbee Standardinda Guvenlik
Zigbee Standardinda GuvenlikZigbee Standardinda Guvenlik
Zigbee Standardinda Guvenlik
 
Tasarsiz Aglarda Guvenlik
Tasarsiz Aglarda GuvenlikTasarsiz Aglarda Guvenlik
Tasarsiz Aglarda Guvenlik
 
Network Guvenligi Temelleri
Network Guvenligi TemelleriNetwork Guvenligi Temelleri
Network Guvenligi Temelleri
 
Sizma Belirleme
Sizma BelirlemeSizma Belirleme
Sizma Belirleme
 
Spam Savar
Spam SavarSpam Savar
Spam Savar
 
Spam Savar
Spam SavarSpam Savar
Spam Savar
 

Bbm Guvenlik Semineri

  • 1. İletişim Ağlarında Güvenlik Burak DAYIOĞLU ’98 Hacettepe Üniversitesi Bilgi İşlem Dairesi Başkanlığı burak@hacettepe.edu.tr
  • 2. Sunum Planı Bilişim Güvenliği ve Kapsamı T Bilişim Güvenliği’nin Önemi T Saldırganlar ve Örnek Saldırı Teknikleri T Korunma ve Güvenlik Arttırımı T
  • 3. Bilişim Güvenliği Tanımı Bilişim Güvenliği, bilişim teknolojisi T ürünü cihazları ve bu cihazlar tarafından işlenen bilgileri korumayı amaçlayan çalışma alanıdır Bilginin korunması ve gizliliği genellikle ön T planda olduğundan “Bilgi Güvenliği” olarak da anılır Mühendislik çalışması gerektirir T
  • 4. Güvenliğin Temel Eksenleri Gizlilik ve Mahremiyet (Secrecy & Confidentiality) T Depolanan ve taşınan bilgilere yetkisiz T erişimlerin engellenmesi Gizli bilgilerin korunması ve mahremiyetinin T sağlanması Güncellik ve Bütünlük (Accuracy & Integrity) T Kullanıcılara bilgilerin en güncel halinin T sunulması Değişikliğe yönelik yetkisiz erişimlerin T engellenmesi Bulunurluk (Availability) T
  • 5. Tehdit ve Tehdit Örnekleri Hasımların, doğal olayların ya da T kazaların neden olabileceği, bir bilişim sistemine zarar verebilecek ve bu yolla kurumun işlevini aksatabilecek her türlü olay Elektrik kesintisi, su baskını, deprem T Rakip firma, terörist, art niyetli personel T Cihaz arızası, operatör hatası T Virüsler T ... T
  • 6. B.T. Evrimi ve Güvenlik Boyutu Tek bilgisayar sistemi Güvenliği Sağlamak T Daha Kolay Ardışık işletim T Merkezi bilgisayar sistemi T Terminaller ve paralel işletim T Dağıtık sistemler T Sunucular ve istemciler T İnternet bilişimi T Güvenliği Sağlamak Alabildiğine girift yapı Daha Zor T
  • 7. Bilişim Güvenliği’nde Bugün Geometrik biçimde artan saldırı sayıları T Giderek karmaşıklaşan saldırılar T “Sıradan saldırganlar” T Konunun göz ardı edilmesi T Eksik/yanlış bilgi T Boşa yapılan yatırımlar T Aldatıcı güvenlik hissi T Zan altında kalma T
  • 8. Artan Güvenlik Problemleri CERT/CC’ye bildirilen saldırı sayısının yıllara göre değişimi
  • 9. Saldırı Karmaşıklığı / Beceri Düzeyi CERT/CC’nin saldırgan beceri düzeyi ve saldırı karmaşıklığı ilişkisi tablosu
  • 10. Kurumsal B.T. Bütçesi ve Güvenlik 100% 15% 1% Toplam Bütçe Bilişim Bütçesi Bilişim Güvenliği Bütçesi
  • 11. A.B.D.’de Durum 6 enstitü “NSA Mükemmellik Merkezi” T olarak seçildi; dersler açıldı Savunma Bakanlığı yalnızca “Saldırı T Tespiti” alanında 96 projeye sponsorluk yapıyor Gelecek savaşların B.T. temelli olması T bekleniyor (Information Warfare) Ekonomik sistemler, haberleşme ve T yayıncılık tümüyle B.T. temelli
  • 12. Bir Saldırının Anatomisi Bilgi Toplama ve Zayıflık Tespiti T Bilgisayarlar, bağlantı şemaları, hizmetler T İzinsiz Giriş T Zayıflıklardan faydalanarak komut işletimi T Hak Yükseltimi ve Tam Denetim T Arka Kapı Hazırlama T Müteakip girişlerin kolaylaştırılması T Veri Çalma/Değiştirme/Silme T Başka Hedeflere Sıçrama T
  • 13. Elektronik Saldırı Örnekleri Ağ Taraması T Truva Atları T Web uygulamaları T Alan taşırma T Dağıtık Hizmet Aksatma (DDOS) T
  • 14. Ağ Taraması Bozuk TCP paketleri ile işletim sistemi T tanımlama İşletim sistemleri bozuk TCP paketleri için T farklı yanıtlar üretiyor Hizmet taraması T “Yarım TCP bağlantıları” ile kayıt T tutulmamasının sağlanması Adres yanıltması ile birleştirildiğinde T kaynağın tespiti güçleştirilebiliyor Nmap, queso ... T
  • 15. Truva Atları Programın içine gizlenmiş art niyetli T ikincil program Çalıştırıldığı bilgisayarın tüm denetimi T truva atının sahibine geçiyor E-posta mesaj ekleri ve web aracılığı ile T dağıtılıyor Windows için son iki yılda 300+ truva T atı yazılım üretildi Back Orifice, SubSeven, NetBus ... T
  • 16. Web Uygulamaları Girdi verileri üzerinde yetersiz denetim T http://www.kurbansite.com/cgi-bin/ T phf?Name=burak;/bin/cat%20/etc/passwd Son derece yaygın bir zayıflık ve saldırı türü T Web sitesi kullanıcıları için akış denetimi T öngörüleri Kimlik doğrulama sayfasının çevresinden T dolaşma
  • 17. Alan Taşırma Bir uygulama yazılımında tanımlanmış T küçük bir alana büyük bir veri yüklemeye çalışırsanız ne olur? Uygulama çakılır T Bazı durumlarda, uygulamanın T “istenmedik” komutları işletmesi sağlanabilir
  • 18. Programlama Örneği void kurban(char *param) { char yerelalan[16]; strcpy(yerelalan,param); ... } int saldirgan(void) { char buyuk_katar[256]; int i; for(i=0;i<255;i++) buyuk_katar[i]=‘A’; kurban(buyuk_katar); }
  • 19. Yığıt Düzeni Belleğin Başı Belleğin Sonu yereller sçg Dönüş @ param Yığıtın Üstü Yığıtın Altı void kurban(char *param) { char yerelalan[16]; strcpy(yerelalan,param); ... }
  • 20. Dağıtık Hizmet Aksatma Saldırgan Sahip Sahip Köle Köle Köle Köle Köle Köle Kurban
  • 21. Güvenlik Arttırımı ve Korunma Risk Yönetimi ve kurumsal güvenlik T politikalarının belirlenmesi Bilinçlendirme T Minimalist yaklaşım T Teknolojik çözümlerden faydalanılması T Güvenlik duvarları, Saldırı tespit sistemleri, T sayısal sertifikalar, anti-virüs yazılımları, sanal özel ağlar, güvenlik analizi yazılımları …
  • 22. Risk Yönetimi Risk Alanlarının Belirlenmesi Güvenlik Risk Düzeylerinin Politikasının Belirlenmesi Uygulanması Güvenlik Risk Yönetim Politikasının Planının Belirlenmesi Belirlenmesi
  • 23. Kurumsal Güvenlik Politikaları Güvenlik politikası kabaca neye izin T verilip neye izin verilmediğini tanımlar Detaylı prosedürlerden ziyade genel T konulara yer verilir Kabul edilebilir bilgisayar kullanım politikası T Ağ bağlantı politikası T İhlal yönetim politikası T İnsanlar üzerindeki etkisi T Esneklik, üretkenlik, “büyük birader etkisi”, T değişikliğe direnç
  • 24. İnsanların Bilinçlendirilmesi Bilişim güvenliği ile ilgili çalışmaların en T çok atlanan adımlarından birisidir Düzenli ve kısa süreli eğitimler T Güvenlik politikasının gerekçeli sunumu T Güvenliğin değil, bireysel tehditlerin ve T risklerin vurgulandığı anlatımlar
  • 25. Minimalist Yaklaşım Kimseye gerektiğinden fazla erişim T hakkı tanımama Kimseye gerektiğinden fazla bilgi T vermeme Gerekmeyen hiç bir yazılımı yüklememe T Gerekmeyen hiç bir hizmeti sunmama T Yüklenen küçük yazılım kümesinin T güncelliğinin sağlanması
  • 26. Güvenlik Duvarları Müşteriler Web Birinci Ağ İkinci Ağ Güvenlik Duvarı Üçüncü Ağ Veritabanı
  • 27. Saldırı Tespit Sistemleri Alıcı Sunucu PC PC Diğer Ağlar Yönlendirici Sunucu PC Merkez Alıcı
  • 28. Güvenlik Analizi Yazılımları Sistemleri inceleyerek zayıflıkları tespit T etmeye çalışan yazılımlar Anti-virüs yazılımlarının “virüs veritabanı” T benzeri “zayıflık veritabanı” Yeni bir teknoloji T Anti-virüs olgunluğuna erişmesi için 1-2 sene T gerekiyor
  • 29. Sonuç Bilişim güvenliği konusu hızla önem T kazanıyor Güvenlik probleminin “teknik” kısmı T küçük, sosyal kısmı büyük Türkiye’de durum çok “tehlikeli” T Kamu’nun güvenlik problemleri T Güvenlik’siz e-ticaret T
  • 30. İletişim Ağlarında Güvenlik Burak DAYIOĞLU ’98 Hacettepe Üniversitesi Bilgi İşlem Dairesi Başkanlığı burak@hacettepe.edu.tr