Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Bbm Guvenlik Semineri

2,242 views

Published on

Published in: Business
  • Be the first to comment

Bbm Guvenlik Semineri

  1. 1. İletişim Ağlarında Güvenlik Burak DAYIOĞLU ’98 Hacettepe Üniversitesi Bilgi İşlem Dairesi Başkanlığı burak@hacettepe.edu.tr
  2. 2. Sunum Planı Bilişim Güvenliği ve Kapsamı T Bilişim Güvenliği’nin Önemi T Saldırganlar ve Örnek Saldırı Teknikleri T Korunma ve Güvenlik Arttırımı T
  3. 3. Bilişim Güvenliği Tanımı Bilişim Güvenliği, bilişim teknolojisi T ürünü cihazları ve bu cihazlar tarafından işlenen bilgileri korumayı amaçlayan çalışma alanıdır Bilginin korunması ve gizliliği genellikle ön T planda olduğundan “Bilgi Güvenliği” olarak da anılır Mühendislik çalışması gerektirir T
  4. 4. Güvenliğin Temel Eksenleri Gizlilik ve Mahremiyet (Secrecy & Confidentiality) T Depolanan ve taşınan bilgilere yetkisiz T erişimlerin engellenmesi Gizli bilgilerin korunması ve mahremiyetinin T sağlanması Güncellik ve Bütünlük (Accuracy & Integrity) T Kullanıcılara bilgilerin en güncel halinin T sunulması Değişikliğe yönelik yetkisiz erişimlerin T engellenmesi Bulunurluk (Availability) T
  5. 5. Tehdit ve Tehdit Örnekleri Hasımların, doğal olayların ya da T kazaların neden olabileceği, bir bilişim sistemine zarar verebilecek ve bu yolla kurumun işlevini aksatabilecek her türlü olay Elektrik kesintisi, su baskını, deprem T Rakip firma, terörist, art niyetli personel T Cihaz arızası, operatör hatası T Virüsler T ... T
  6. 6. B.T. Evrimi ve Güvenlik Boyutu Tek bilgisayar sistemi Güvenliği Sağlamak T Daha Kolay Ardışık işletim T Merkezi bilgisayar sistemi T Terminaller ve paralel işletim T Dağıtık sistemler T Sunucular ve istemciler T İnternet bilişimi T Güvenliği Sağlamak Alabildiğine girift yapı Daha Zor T
  7. 7. Bilişim Güvenliği’nde Bugün Geometrik biçimde artan saldırı sayıları T Giderek karmaşıklaşan saldırılar T “Sıradan saldırganlar” T Konunun göz ardı edilmesi T Eksik/yanlış bilgi T Boşa yapılan yatırımlar T Aldatıcı güvenlik hissi T Zan altında kalma T
  8. 8. Artan Güvenlik Problemleri CERT/CC’ye bildirilen saldırı sayısının yıllara göre değişimi
  9. 9. Saldırı Karmaşıklığı / Beceri Düzeyi CERT/CC’nin saldırgan beceri düzeyi ve saldırı karmaşıklığı ilişkisi tablosu
  10. 10. Kurumsal B.T. Bütçesi ve Güvenlik 100% 15% 1% Toplam Bütçe Bilişim Bütçesi Bilişim Güvenliği Bütçesi
  11. 11. A.B.D.’de Durum 6 enstitü “NSA Mükemmellik Merkezi” T olarak seçildi; dersler açıldı Savunma Bakanlığı yalnızca “Saldırı T Tespiti” alanında 96 projeye sponsorluk yapıyor Gelecek savaşların B.T. temelli olması T bekleniyor (Information Warfare) Ekonomik sistemler, haberleşme ve T yayıncılık tümüyle B.T. temelli
  12. 12. Bir Saldırının Anatomisi Bilgi Toplama ve Zayıflık Tespiti T Bilgisayarlar, bağlantı şemaları, hizmetler T İzinsiz Giriş T Zayıflıklardan faydalanarak komut işletimi T Hak Yükseltimi ve Tam Denetim T Arka Kapı Hazırlama T Müteakip girişlerin kolaylaştırılması T Veri Çalma/Değiştirme/Silme T Başka Hedeflere Sıçrama T
  13. 13. Elektronik Saldırı Örnekleri Ağ Taraması T Truva Atları T Web uygulamaları T Alan taşırma T Dağıtık Hizmet Aksatma (DDOS) T
  14. 14. Ağ Taraması Bozuk TCP paketleri ile işletim sistemi T tanımlama İşletim sistemleri bozuk TCP paketleri için T farklı yanıtlar üretiyor Hizmet taraması T “Yarım TCP bağlantıları” ile kayıt T tutulmamasının sağlanması Adres yanıltması ile birleştirildiğinde T kaynağın tespiti güçleştirilebiliyor Nmap, queso ... T
  15. 15. Truva Atları Programın içine gizlenmiş art niyetli T ikincil program Çalıştırıldığı bilgisayarın tüm denetimi T truva atının sahibine geçiyor E-posta mesaj ekleri ve web aracılığı ile T dağıtılıyor Windows için son iki yılda 300+ truva T atı yazılım üretildi Back Orifice, SubSeven, NetBus ... T
  16. 16. Web Uygulamaları Girdi verileri üzerinde yetersiz denetim T http://www.kurbansite.com/cgi-bin/ T phf?Name=burak;/bin/cat%20/etc/passwd Son derece yaygın bir zayıflık ve saldırı türü T Web sitesi kullanıcıları için akış denetimi T öngörüleri Kimlik doğrulama sayfasının çevresinden T dolaşma
  17. 17. Alan Taşırma Bir uygulama yazılımında tanımlanmış T küçük bir alana büyük bir veri yüklemeye çalışırsanız ne olur? Uygulama çakılır T Bazı durumlarda, uygulamanın T “istenmedik” komutları işletmesi sağlanabilir
  18. 18. Programlama Örneği void kurban(char *param) { char yerelalan[16]; strcpy(yerelalan,param); ... } int saldirgan(void) { char buyuk_katar[256]; int i; for(i=0;i<255;i++) buyuk_katar[i]=‘A’; kurban(buyuk_katar); }
  19. 19. Yığıt Düzeni Belleğin Başı Belleğin Sonu yereller sçg Dönüş @ param Yığıtın Üstü Yığıtın Altı void kurban(char *param) { char yerelalan[16]; strcpy(yerelalan,param); ... }
  20. 20. Dağıtık Hizmet Aksatma Saldırgan Sahip Sahip Köle Köle Köle Köle Köle Köle Kurban
  21. 21. Güvenlik Arttırımı ve Korunma Risk Yönetimi ve kurumsal güvenlik T politikalarının belirlenmesi Bilinçlendirme T Minimalist yaklaşım T Teknolojik çözümlerden faydalanılması T Güvenlik duvarları, Saldırı tespit sistemleri, T sayısal sertifikalar, anti-virüs yazılımları, sanal özel ağlar, güvenlik analizi yazılımları …
  22. 22. Risk Yönetimi Risk Alanlarının Belirlenmesi Güvenlik Risk Düzeylerinin Politikasının Belirlenmesi Uygulanması Güvenlik Risk Yönetim Politikasının Planının Belirlenmesi Belirlenmesi
  23. 23. Kurumsal Güvenlik Politikaları Güvenlik politikası kabaca neye izin T verilip neye izin verilmediğini tanımlar Detaylı prosedürlerden ziyade genel T konulara yer verilir Kabul edilebilir bilgisayar kullanım politikası T Ağ bağlantı politikası T İhlal yönetim politikası T İnsanlar üzerindeki etkisi T Esneklik, üretkenlik, “büyük birader etkisi”, T değişikliğe direnç
  24. 24. İnsanların Bilinçlendirilmesi Bilişim güvenliği ile ilgili çalışmaların en T çok atlanan adımlarından birisidir Düzenli ve kısa süreli eğitimler T Güvenlik politikasının gerekçeli sunumu T Güvenliğin değil, bireysel tehditlerin ve T risklerin vurgulandığı anlatımlar
  25. 25. Minimalist Yaklaşım Kimseye gerektiğinden fazla erişim T hakkı tanımama Kimseye gerektiğinden fazla bilgi T vermeme Gerekmeyen hiç bir yazılımı yüklememe T Gerekmeyen hiç bir hizmeti sunmama T Yüklenen küçük yazılım kümesinin T güncelliğinin sağlanması
  26. 26. Güvenlik Duvarları Müşteriler Web Birinci Ağ İkinci Ağ Güvenlik Duvarı Üçüncü Ağ Veritabanı
  27. 27. Saldırı Tespit Sistemleri Alıcı Sunucu PC PC Diğer Ağlar Yönlendirici Sunucu PC Merkez Alıcı
  28. 28. Güvenlik Analizi Yazılımları Sistemleri inceleyerek zayıflıkları tespit T etmeye çalışan yazılımlar Anti-virüs yazılımlarının “virüs veritabanı” T benzeri “zayıflık veritabanı” Yeni bir teknoloji T Anti-virüs olgunluğuna erişmesi için 1-2 sene T gerekiyor
  29. 29. Sonuç Bilişim güvenliği konusu hızla önem T kazanıyor Güvenlik probleminin “teknik” kısmı T küçük, sosyal kısmı büyük Türkiye’de durum çok “tehlikeli” T Kamu’nun güvenlik problemleri T Güvenlik’siz e-ticaret T
  30. 30. İletişim Ağlarında Güvenlik Burak DAYIOĞLU ’98 Hacettepe Üniversitesi Bilgi İşlem Dairesi Başkanlığı burak@hacettepe.edu.tr

×