1. İletişim Ağlarında Güvenlik
Burak DAYIOĞLU ’98
Hacettepe Üniversitesi
Bilgi İşlem Dairesi Başkanlığı
burak@hacettepe.edu.tr
2. Sunum Planı
Bilişim Güvenliği ve Kapsamı
T
Bilişim Güvenliği’nin Önemi
T
Saldırganlar ve Örnek Saldırı Teknikleri
T
Korunma ve Güvenlik Arttırımı
T
3. Bilişim Güvenliği Tanımı
Bilişim Güvenliği, bilişim teknolojisi
T
ürünü cihazları ve bu cihazlar tarafından
işlenen bilgileri korumayı amaçlayan
çalışma alanıdır
Bilginin korunması ve gizliliği genellikle ön
T
planda olduğundan “Bilgi Güvenliği” olarak
da anılır
Mühendislik çalışması gerektirir
T
4. Güvenliğin Temel Eksenleri
Gizlilik ve Mahremiyet (Secrecy & Confidentiality)
T
Depolanan ve taşınan bilgilere yetkisiz
T
erişimlerin engellenmesi
Gizli bilgilerin korunması ve mahremiyetinin
T
sağlanması
Güncellik ve Bütünlük (Accuracy & Integrity)
T
Kullanıcılara bilgilerin en güncel halinin
T
sunulması
Değişikliğe yönelik yetkisiz erişimlerin
T
engellenmesi
Bulunurluk (Availability)
T
5. Tehdit ve Tehdit Örnekleri
Hasımların, doğal olayların ya da
T
kazaların neden olabileceği, bir bilişim
sistemine zarar verebilecek ve bu yolla
kurumun işlevini aksatabilecek her türlü
olay
Elektrik kesintisi, su baskını, deprem
T
Rakip firma, terörist, art niyetli personel
T
Cihaz arızası, operatör hatası
T
Virüsler
T
...
T
6. B.T. Evrimi ve Güvenlik Boyutu
Tek bilgisayar sistemi Güvenliği Sağlamak
T
Daha Kolay
Ardışık işletim
T
Merkezi bilgisayar sistemi
T
Terminaller ve paralel işletim
T
Dağıtık sistemler
T
Sunucular ve istemciler
T
İnternet bilişimi
T
Güvenliği Sağlamak
Alabildiğine girift yapı Daha Zor
T
7. Bilişim Güvenliği’nde Bugün
Geometrik biçimde artan saldırı sayıları
T
Giderek karmaşıklaşan saldırılar
T
“Sıradan saldırganlar”
T
Konunun göz ardı edilmesi
T
Eksik/yanlış bilgi
T
Boşa yapılan yatırımlar
T
Aldatıcı güvenlik hissi
T
Zan altında kalma
T
9. Saldırı Karmaşıklığı / Beceri Düzeyi
CERT/CC’nin saldırgan beceri düzeyi ve saldırı karmaşıklığı ilişkisi tablosu
10. Kurumsal B.T. Bütçesi ve Güvenlik
100%
15%
1%
Toplam Bütçe Bilişim Bütçesi Bilişim Güvenliği
Bütçesi
11. A.B.D.’de Durum
6 enstitü “NSA Mükemmellik Merkezi”
T
olarak seçildi; dersler açıldı
Savunma Bakanlığı yalnızca “Saldırı
T
Tespiti” alanında 96 projeye sponsorluk
yapıyor
Gelecek savaşların B.T. temelli olması
T
bekleniyor (Information Warfare)
Ekonomik sistemler, haberleşme ve
T
yayıncılık tümüyle B.T. temelli
12. Bir Saldırının Anatomisi
Bilgi Toplama ve Zayıflık Tespiti
T
Bilgisayarlar, bağlantı şemaları, hizmetler
T
İzinsiz Giriş
T
Zayıflıklardan faydalanarak komut işletimi
T
Hak Yükseltimi ve Tam Denetim
T
Arka Kapı Hazırlama
T
Müteakip girişlerin kolaylaştırılması
T
Veri Çalma/Değiştirme/Silme
T
Başka Hedeflere Sıçrama
T
13. Elektronik Saldırı Örnekleri
Ağ Taraması
T
Truva Atları
T
Web uygulamaları
T
Alan taşırma
T
Dağıtık Hizmet Aksatma (DDOS)
T
14. Ağ Taraması
Bozuk TCP paketleri ile işletim sistemi
T
tanımlama
İşletim sistemleri bozuk TCP paketleri için
T
farklı yanıtlar üretiyor
Hizmet taraması
T
“Yarım TCP bağlantıları” ile kayıt
T
tutulmamasının sağlanması
Adres yanıltması ile birleştirildiğinde
T
kaynağın tespiti güçleştirilebiliyor
Nmap, queso ...
T
15. Truva Atları
Programın içine gizlenmiş art niyetli
T
ikincil program
Çalıştırıldığı bilgisayarın tüm denetimi
T
truva atının sahibine geçiyor
E-posta mesaj ekleri ve web aracılığı ile
T
dağıtılıyor
Windows için son iki yılda 300+ truva
T
atı yazılım üretildi
Back Orifice, SubSeven, NetBus ...
T
16. Web Uygulamaları
Girdi verileri üzerinde yetersiz denetim
T
http://www.kurbansite.com/cgi-bin/
T
phf?Name=burak;/bin/cat%20/etc/passwd
Son derece yaygın bir zayıflık ve saldırı türü
T
Web sitesi kullanıcıları için akış denetimi
T
öngörüleri
Kimlik doğrulama sayfasının çevresinden
T
dolaşma
17. Alan Taşırma
Bir uygulama yazılımında tanımlanmış
T
küçük bir alana büyük bir veri
yüklemeye çalışırsanız ne olur?
Uygulama çakılır
T
Bazı durumlarda, uygulamanın
T
“istenmedik” komutları işletmesi
sağlanabilir
19. Yığıt Düzeni
Belleğin Başı Belleğin Sonu
yereller sçg Dönüş @ param
Yığıtın Üstü Yığıtın Altı
void kurban(char *param) {
char yerelalan[16];
strcpy(yerelalan,param);
...
}
21. Güvenlik Arttırımı ve Korunma
Risk Yönetimi ve kurumsal güvenlik
T
politikalarının belirlenmesi
Bilinçlendirme
T
Minimalist yaklaşım
T
Teknolojik çözümlerden faydalanılması
T
Güvenlik duvarları, Saldırı tespit sistemleri,
T
sayısal sertifikalar, anti-virüs yazılımları,
sanal özel ağlar, güvenlik analizi yazılımları
…
22. Risk Yönetimi
Risk Alanlarının
Belirlenmesi
Güvenlik
Risk Düzeylerinin
Politikasının
Belirlenmesi
Uygulanması
Güvenlik Risk Yönetim
Politikasının Planının
Belirlenmesi Belirlenmesi
23. Kurumsal Güvenlik Politikaları
Güvenlik politikası kabaca neye izin
T
verilip neye izin verilmediğini tanımlar
Detaylı prosedürlerden ziyade genel
T
konulara yer verilir
Kabul edilebilir bilgisayar kullanım politikası
T
Ağ bağlantı politikası
T
İhlal yönetim politikası
T
İnsanlar üzerindeki etkisi
T
Esneklik, üretkenlik, “büyük birader etkisi”,
T
değişikliğe direnç
24. İnsanların Bilinçlendirilmesi
Bilişim güvenliği ile ilgili çalışmaların en
T
çok atlanan adımlarından birisidir
Düzenli ve kısa süreli eğitimler
T
Güvenlik politikasının gerekçeli sunumu
T
Güvenliğin değil, bireysel tehditlerin ve
T
risklerin vurgulandığı anlatımlar
25. Minimalist Yaklaşım
Kimseye gerektiğinden fazla erişim
T
hakkı tanımama
Kimseye gerektiğinden fazla bilgi
T
vermeme
Gerekmeyen hiç bir yazılımı yüklememe
T
Gerekmeyen hiç bir hizmeti sunmama
T
Yüklenen küçük yazılım kümesinin
T
güncelliğinin sağlanması
28. Güvenlik Analizi Yazılımları
Sistemleri inceleyerek zayıflıkları tespit
T
etmeye çalışan yazılımlar
Anti-virüs yazılımlarının “virüs veritabanı”
T
benzeri “zayıflık veritabanı”
Yeni bir teknoloji
T
Anti-virüs olgunluğuna erişmesi için 1-2 sene
T
gerekiyor
29. Sonuç
Bilişim güvenliği konusu hızla önem
T
kazanıyor
Güvenlik probleminin “teknik” kısmı
T
küçük, sosyal kısmı büyük
Türkiye’de durum çok “tehlikeli”
T
Kamu’nun güvenlik problemleri
T
Güvenlik’siz e-ticaret
T
30. İletişim Ağlarında Güvenlik
Burak DAYIOĞLU ’98
Hacettepe Üniversitesi
Bilgi İşlem Dairesi Başkanlığı
burak@hacettepe.edu.tr