Optical networks use fiber cabling to transmit communication signals using light over long distances. Fiber is made of glass or plastic and guides light through the core and cladding. Optical networks are advantageous because they can handle increasing internet traffic better than traditional networks as fiber bandwidth increases exponentially. Optical networks also reduce transmission costs, enable new applications by pushing optics to network edges, and allow multiple terabits per second to be transmitted through a single cable using wavelength division multiplexing. Some key benefits of optical networks include low power loss over long distances, immunity to electromagnetic interference, lower weight and space needs compared to copper, high security, and suitability for digital signals.
Security in Optical Networks - Useless or Necessary?ADVA
The document discusses security in optical networks. It notes that broadband access network markets are seeing increasing data rates and new video services that require scalable and secure network architectures. Fiber optic networks can be accessed in multiple ways through splicing boxes, street cabinets, or fiber tapping, so physical protection and data encryption are essential for network security. The document outlines various optical network security tools and methods available, including encryption, intrusion detection, authentication, and physical layer monitoring.
The document discusses security issues in networks and distributed systems. It describes possible network security threats like wiretapping, impersonation, message integrity violations, hacking, and denial of service attacks. It also discusses network security controls like encryption and authentication methods. Specifically, it covers Kerberos, PEM, and PGP for authentication and encryption. It describes different types of firewalls - screening routers, proxy gateways, and guards - and their functions in securing networks. However, it notes that firewalls are not complete solutions and have their own security issues.
Kritik Altyapılar & Endüstriyel CasuslukOsman Doğan
Fiziksel savaşlarla değil, klavye başından rejimler ve yöneticiler değişiyor.
Bilgi güvenliğinden söz edebilmek için bilgi üretmek şart
Elektrik
Doğalgaz
Su
Barajlar
Enerji Boru Hatları
Füze Sistemleri
Ulaşım
E-Devlet Projeleri
Askeri Tesisler
Hastaneler
Bankalar
İnternet
Uydu ve Haberleşme
Nükleer Santral
Kişisel Bilgiler
Sağlık Verileri
Din, Siyaset ve Cinsel Tercihler
Adres
GSM
Finans Bilgileri
Askeri plan ve yazışmalar
Devlet Adamları, Komutanlar
Ülkelerin stratejileri
Uluslarası Antlaşmalar
Toplumun eğilimleri ve zaafları
İnsan Profilleri
Optical networks use fiber cabling to transmit communication signals using light over long distances. Fiber is made of glass or plastic and guides light through the core and cladding. Optical networks are advantageous because they can handle increasing internet traffic better than traditional networks as fiber bandwidth increases exponentially. Optical networks also reduce transmission costs, enable new applications by pushing optics to network edges, and allow multiple terabits per second to be transmitted through a single cable using wavelength division multiplexing. Some key benefits of optical networks include low power loss over long distances, immunity to electromagnetic interference, lower weight and space needs compared to copper, high security, and suitability for digital signals.
Security in Optical Networks - Useless or Necessary?ADVA
The document discusses security in optical networks. It notes that broadband access network markets are seeing increasing data rates and new video services that require scalable and secure network architectures. Fiber optic networks can be accessed in multiple ways through splicing boxes, street cabinets, or fiber tapping, so physical protection and data encryption are essential for network security. The document outlines various optical network security tools and methods available, including encryption, intrusion detection, authentication, and physical layer monitoring.
The document discusses security issues in networks and distributed systems. It describes possible network security threats like wiretapping, impersonation, message integrity violations, hacking, and denial of service attacks. It also discusses network security controls like encryption and authentication methods. Specifically, it covers Kerberos, PEM, and PGP for authentication and encryption. It describes different types of firewalls - screening routers, proxy gateways, and guards - and their functions in securing networks. However, it notes that firewalls are not complete solutions and have their own security issues.
Kritik Altyapılar & Endüstriyel CasuslukOsman Doğan
Fiziksel savaşlarla değil, klavye başından rejimler ve yöneticiler değişiyor.
Bilgi güvenliğinden söz edebilmek için bilgi üretmek şart
Elektrik
Doğalgaz
Su
Barajlar
Enerji Boru Hatları
Füze Sistemleri
Ulaşım
E-Devlet Projeleri
Askeri Tesisler
Hastaneler
Bankalar
İnternet
Uydu ve Haberleşme
Nükleer Santral
Kişisel Bilgiler
Sağlık Verileri
Din, Siyaset ve Cinsel Tercihler
Adres
GSM
Finans Bilgileri
Askeri plan ve yazışmalar
Devlet Adamları, Komutanlar
Ülkelerin stratejileri
Uluslarası Antlaşmalar
Toplumun eğilimleri ve zaafları
İnsan Profilleri
Artık savaş başlamadan siber istihbarat ile savaşlar kazanılıyor. Masa başı değil, klavye başından rejimler ve yöneticiler değişiyor.
Ülkemizde askeri alanda ciddi yatırım ve çalışmaları olan Aselsan, Roketsan ve Havelsan gibi kuruluşlarımızın da benzer yatırımlar yapmasını isteriz.
Asker, polis, bürokrat v.s. cep telefonlarında savaş durumunda olduğun ülkeye ait uygulama, yazılım, donanım olduğu sürece atacağın her adım boşluğa atılmış bir yumruktur.
Ülkelerin siber silah depoladığı bir ortamda ülkemizde 0 Day zafiyet tespit ederek kullanılır hale getiren araştırmacılar ödüllendirileceğine silah sattığı gerekçesi ile mahkemelik oluyor.
Kompleksten kurtulmalıyız. Hem uluslararası kalitede yazılımlar geliştirebilir hem de güvenliğini sağlayabiliriz. Yeter ki kamu ve özel sektör aynı hedefe kilitlensin.
Siber güvenlik alanında yetişmiş personel bulmak çok zor bir hal almışken, özellikle kamuda 4 yıllık mezuniyet ve KPSS kriterleri eldeki kaynakları heba etmek anlamına geliyor.
Sizce Kontroller ile kastedilen nedir Target veri ihlalin.pdfcontact32
Sizce Kontroller ile kastedilen nedir?
Target veri ihlalini aklayan bu makalenin yazar, farkl kontrollerin Target iin bu kt olay nleyebileceini
savunuyor.
Yazarn nermesine katlmadan veya katlmadan nce, size unu soraym: Hedef durumundaki
"kontroller" terimleriyle yazarn ne demek istediini dnyorsunuz?
Target Corporation, Walmart'n ardndan Amerika Birleik Devletleri'ndeki en byk ikinci indirimli
maaza perakendecisidir ve S&P 500 Endeksinin bir bileenidir. Halk arasnda "Tar-jay" olarak da
bilinir.
stismar ve kaybedilen varlklar
27 Kasm 2014 ile 15 Aralk 2014 arasnda Target'n gvenlik a hedeflendi ve saldrganlar yaklak 2000
Target maazasndan alnan yaklak 70 milyon kredi kart verisini alabilirdi. 11 GB'n zerinde verinin
alnd tahmin ediliyor. Bu ihlal, sat noktas (POS) sistemlerindeki verilere eriilerek yapld. oklu saldr
vektrleri tasarland ve retildi. Satclar kimlik av saldrsna urad. A ayrm yoktu, sat noktas sistemleri
bellek kazyan kt amal yazlmlara kar savunmaszd ve Target tarafndan kullanlan alglama stratejileri
baarsz oldu.
Yeterli kontrollerin alnmamas
zleme yazlm (FireEye) izinsiz girii tespit edebildi ve ardndan Hindistan, Bangalore'deki personeli
uyard. Bangalore ofisi de Minneapolis'teki Target muadillerini uyard, ancak sorunu hafifletmek iin
herhangi bir ilem yaplmad. Hedef, ancak Adalet Bakanl onlarla temasa getiinde harekete geti.
Gvenlik a byle kullanld
Saldrganlar, gvenlik yamalarn ve sistem gncellemelerini datmak iin Target ve platform (Microsoft
sanallatrma yazlm), merkezi ad zmlemesi ve Microsoft System Center Configuration Manager
(SCCM) hakknda iyi miktarda aratrma yapt. Target'n HVAC satclarnn bir listesini karabildiler.
Satc soutma satclarndan biri olan Fazio Mechanical, bir Kt Amal Yazlm (Citadel parola alan bir
bot program) yklemek iin e-posta yoluyla dolandrld. Kt amal yazlm satcnn kimlik bilgilerini ald ve
saldrganlar Target'n satc portalna eriebilir. Saldrganlar daha sonra yanl yaplandrlm sistemlerde
gvenlik a bulabilir ve bylece aa szabilir. Kantlanmam kaynaklar, Fazio'nun kurumsal srm yerine
Malwarebytes kt amal yazlmdan koruma yazlmnn cretsiz srmn kullandn iddia etti. cretsiz srm, istee
bal bir tarayc olduu iin gerek zamanl koruma salamad.
Saldrganlar aa szdktan sonra, kt amal yazlm ("Kaptoxa") POS sistemlerine byk olaslkla otomatik
bir gncelleme ilemi araclyla yklemeyi baardlar.
Daha sonra kt amal yazlm, kaydrldnda 2000 POS'a yaylm POS sistemlerinden tm kredi kart
ayrntlarn alabilir. Veriler bir .dll dosyasna kaydedildi ve 139, 443 veya 80 numaral balant noktalar
zerinden geici bir NetBios paylamnda sakland.
Kredi kartlar alnd ve karaborsada veya karanlk ada satld.
Mali Kayp
Target'n veri ihlali ona dorudan 252 milyon dolara mal oldu. Bu maliyetin 90 milyon dolar sigorta
tarafndan karland. Ayrca, 31 Ocak'ta sona eren 2014'n drdnc eyrei iin ihlalle ilgili net giderler iin 4
milyon dolar harcamak zorunda kald. O mali ylda, Target, ihlalle ilgili 191 milyon dolarlk net
harcama yapmak zorunda kald ve bunun 46 milyon dolar g.
03 Ali Yavuz ŞAHİN
06 Haberler
16 Fujitsu, Geleceği İstanbul’a Getirdi
19 Türkiye’deki Kobilerin Yarısı Online Değil
20 Auto Show 2015 Frankfurt’tan En İyi 7 Konsept Araba
23 İşletmeler Yarım Milyon ABD Doları Kaybediyor
25 Kendini İmha Edebilen Elektronik Çipler
26 Röportaj: Zeki Kubilay Akyol
29 Sektörden: Mustafa Haykır
30 Yeni Nesil Şirketler Yüzde 30 Daha Fazla Büyüyecek
32 Kurumsal Ağlar BT Altyapısının En Önemli Halkası
34 Büyük Veri Tahminleri
36 Röportaj: Volkan Yiğit
39 Maliyetlerinizi Bulut Bilişim İle Azaltın
42 Vergide e-Tebligat Dönemi Başlıyor
44 İnternet Sosyal Medya ve e-Ticaret İçin Kullanılıyor
46 4,5G İhalesi Devletin Kasasını Dolduracak
50 İnterneti Kapatma Yetkisi Kimde?
52 Ofis 2016 Hakkında Bilmeniz Gerekenler
54 Şirketler Çalışanlarının Verimliliğini Artırmak İçin Mobiliteye Yönleniyor
56 iOS 9 Hakkında Tüm Detaylar
58 Yerli Cep Telefonu Üretmeliyiz
60 BT Günlüğü Test Merkezi
Siber Güvenlik Eğitimleri | SPARTA BİLİŞİMSparta Bilişim
Siber Güvenlik Eğitimi, kurumunuza özel veya genele açık olarak düzenlenebilen bir Sparta Bilişim hizmetidir.
Yöneticiler, IT (Bilgi Teknolojileri) personeli, güvenlik uzmanları ya da kuruluş çalışanlarının tümü için tercih edilebilecek farklı kapsam, süre ve fayda sunan 22 farklı eğitim başlığımız bulunmaktadır.
Bu dokümanda Sparta Bilişim olarak vermekte olduğumuz siber güvenlik eğitimlerinin genel amacı ve eğitim içerikleri yer almaktadır.
SPARTA BİLİŞİM siber güvenlik konusunda ihtiyaç duyduğunuz profesyonel hizmetleri sunmak amacıyla 2013 yılından beri sizinle. Bugüne kadar 300’ün üzerinde kuruluşa sızma testi yaptık, olay müdahalesi gerçekleştirdik, danışmanlık yaptık. 4 kıtada, toplamda yüzlerce kişiye eğitimler verdik. İşbirliği yaptığımız kuruluşların mevcut bilgi teknolojileri ve bilgi güvenliği ekiplerinin bir uzantısı gibi çalışmaya özen gösterdik. Ve güvenliğinizi koruyabilmek için her zaman sizden biri olduk…
Belediyeler için Siber Güvenlik ÖnerileriAlper Başaran
Belediyeler için siber güvenlik önerilerinin yer aldığı bu dosyada yer alan ana başlıklar detaylı olarak incelenmiştir:
- Belediyeler Açısından Siber Güvenlik
- 2018 yılında Belediyelere Yapılan Siber Saldırılar
- Belediyeleri Hedef Alan Siber Saldırıları Türleri
- Belediyelere Yapılan Siber Saldırıların Sıklığı
- Belediyelere Yapılan Siber Saldırılarda Yıllar İçinde Görülen Artış
- Muhtemel bir Siber Saldırı Sonucu Oluşabilecek Zararlar
- Siber Güvenlik Yönetim Stratejisi
- Siber Güvenlik Kontrolleri
Genel olarak görülen siber saldırgan profillerine ek olarak belediyeleri hedef alması muhtemel bir saldırganın terör, siber savaş ve casusluk amacıyla hareket etme ihtimali yüksektir. Bunun yanında belediyeler vatandaş bilgisi, imar, vb. satış değeri olan bilgileri tutan kuruluşlar olmaları nedeniyle sıradan siber saldırganlar açısından da iştah açıcı hedeflerdir.
Bu dosyada belediyeler için gerekli olabilecek siber güvenlik önerileri yer almaktadır.
The document discusses weaknesses in the TCP/IP protocol suite and solutions to address those weaknesses. It outlines security issues with IP, such as a lack of authentication, encryption, and traffic prioritization. Common attacks like spoofing, sniffing, and denial of service are described. Solutions proposed include using IPv6, IPSec, firewalls, and intrusion detection to authenticate devices, encrypt traffic, and monitor networks for attacks.
Artık savaş başlamadan siber istihbarat ile savaşlar kazanılıyor. Masa başı değil, klavye başından rejimler ve yöneticiler değişiyor.
Ülkemizde askeri alanda ciddi yatırım ve çalışmaları olan Aselsan, Roketsan ve Havelsan gibi kuruluşlarımızın da benzer yatırımlar yapmasını isteriz.
Asker, polis, bürokrat v.s. cep telefonlarında savaş durumunda olduğun ülkeye ait uygulama, yazılım, donanım olduğu sürece atacağın her adım boşluğa atılmış bir yumruktur.
Ülkelerin siber silah depoladığı bir ortamda ülkemizde 0 Day zafiyet tespit ederek kullanılır hale getiren araştırmacılar ödüllendirileceğine silah sattığı gerekçesi ile mahkemelik oluyor.
Kompleksten kurtulmalıyız. Hem uluslararası kalitede yazılımlar geliştirebilir hem de güvenliğini sağlayabiliriz. Yeter ki kamu ve özel sektör aynı hedefe kilitlensin.
Siber güvenlik alanında yetişmiş personel bulmak çok zor bir hal almışken, özellikle kamuda 4 yıllık mezuniyet ve KPSS kriterleri eldeki kaynakları heba etmek anlamına geliyor.
Sizce Kontroller ile kastedilen nedir Target veri ihlalin.pdfcontact32
Sizce Kontroller ile kastedilen nedir?
Target veri ihlalini aklayan bu makalenin yazar, farkl kontrollerin Target iin bu kt olay nleyebileceini
savunuyor.
Yazarn nermesine katlmadan veya katlmadan nce, size unu soraym: Hedef durumundaki
"kontroller" terimleriyle yazarn ne demek istediini dnyorsunuz?
Target Corporation, Walmart'n ardndan Amerika Birleik Devletleri'ndeki en byk ikinci indirimli
maaza perakendecisidir ve S&P 500 Endeksinin bir bileenidir. Halk arasnda "Tar-jay" olarak da
bilinir.
stismar ve kaybedilen varlklar
27 Kasm 2014 ile 15 Aralk 2014 arasnda Target'n gvenlik a hedeflendi ve saldrganlar yaklak 2000
Target maazasndan alnan yaklak 70 milyon kredi kart verisini alabilirdi. 11 GB'n zerinde verinin
alnd tahmin ediliyor. Bu ihlal, sat noktas (POS) sistemlerindeki verilere eriilerek yapld. oklu saldr
vektrleri tasarland ve retildi. Satclar kimlik av saldrsna urad. A ayrm yoktu, sat noktas sistemleri
bellek kazyan kt amal yazlmlara kar savunmaszd ve Target tarafndan kullanlan alglama stratejileri
baarsz oldu.
Yeterli kontrollerin alnmamas
zleme yazlm (FireEye) izinsiz girii tespit edebildi ve ardndan Hindistan, Bangalore'deki personeli
uyard. Bangalore ofisi de Minneapolis'teki Target muadillerini uyard, ancak sorunu hafifletmek iin
herhangi bir ilem yaplmad. Hedef, ancak Adalet Bakanl onlarla temasa getiinde harekete geti.
Gvenlik a byle kullanld
Saldrganlar, gvenlik yamalarn ve sistem gncellemelerini datmak iin Target ve platform (Microsoft
sanallatrma yazlm), merkezi ad zmlemesi ve Microsoft System Center Configuration Manager
(SCCM) hakknda iyi miktarda aratrma yapt. Target'n HVAC satclarnn bir listesini karabildiler.
Satc soutma satclarndan biri olan Fazio Mechanical, bir Kt Amal Yazlm (Citadel parola alan bir
bot program) yklemek iin e-posta yoluyla dolandrld. Kt amal yazlm satcnn kimlik bilgilerini ald ve
saldrganlar Target'n satc portalna eriebilir. Saldrganlar daha sonra yanl yaplandrlm sistemlerde
gvenlik a bulabilir ve bylece aa szabilir. Kantlanmam kaynaklar, Fazio'nun kurumsal srm yerine
Malwarebytes kt amal yazlmdan koruma yazlmnn cretsiz srmn kullandn iddia etti. cretsiz srm, istee
bal bir tarayc olduu iin gerek zamanl koruma salamad.
Saldrganlar aa szdktan sonra, kt amal yazlm ("Kaptoxa") POS sistemlerine byk olaslkla otomatik
bir gncelleme ilemi araclyla yklemeyi baardlar.
Daha sonra kt amal yazlm, kaydrldnda 2000 POS'a yaylm POS sistemlerinden tm kredi kart
ayrntlarn alabilir. Veriler bir .dll dosyasna kaydedildi ve 139, 443 veya 80 numaral balant noktalar
zerinden geici bir NetBios paylamnda sakland.
Kredi kartlar alnd ve karaborsada veya karanlk ada satld.
Mali Kayp
Target'n veri ihlali ona dorudan 252 milyon dolara mal oldu. Bu maliyetin 90 milyon dolar sigorta
tarafndan karland. Ayrca, 31 Ocak'ta sona eren 2014'n drdnc eyrei iin ihlalle ilgili net giderler iin 4
milyon dolar harcamak zorunda kald. O mali ylda, Target, ihlalle ilgili 191 milyon dolarlk net
harcama yapmak zorunda kald ve bunun 46 milyon dolar g.
03 Ali Yavuz ŞAHİN
06 Haberler
16 Fujitsu, Geleceği İstanbul’a Getirdi
19 Türkiye’deki Kobilerin Yarısı Online Değil
20 Auto Show 2015 Frankfurt’tan En İyi 7 Konsept Araba
23 İşletmeler Yarım Milyon ABD Doları Kaybediyor
25 Kendini İmha Edebilen Elektronik Çipler
26 Röportaj: Zeki Kubilay Akyol
29 Sektörden: Mustafa Haykır
30 Yeni Nesil Şirketler Yüzde 30 Daha Fazla Büyüyecek
32 Kurumsal Ağlar BT Altyapısının En Önemli Halkası
34 Büyük Veri Tahminleri
36 Röportaj: Volkan Yiğit
39 Maliyetlerinizi Bulut Bilişim İle Azaltın
42 Vergide e-Tebligat Dönemi Başlıyor
44 İnternet Sosyal Medya ve e-Ticaret İçin Kullanılıyor
46 4,5G İhalesi Devletin Kasasını Dolduracak
50 İnterneti Kapatma Yetkisi Kimde?
52 Ofis 2016 Hakkında Bilmeniz Gerekenler
54 Şirketler Çalışanlarının Verimliliğini Artırmak İçin Mobiliteye Yönleniyor
56 iOS 9 Hakkında Tüm Detaylar
58 Yerli Cep Telefonu Üretmeliyiz
60 BT Günlüğü Test Merkezi
Siber Güvenlik Eğitimleri | SPARTA BİLİŞİMSparta Bilişim
Siber Güvenlik Eğitimi, kurumunuza özel veya genele açık olarak düzenlenebilen bir Sparta Bilişim hizmetidir.
Yöneticiler, IT (Bilgi Teknolojileri) personeli, güvenlik uzmanları ya da kuruluş çalışanlarının tümü için tercih edilebilecek farklı kapsam, süre ve fayda sunan 22 farklı eğitim başlığımız bulunmaktadır.
Bu dokümanda Sparta Bilişim olarak vermekte olduğumuz siber güvenlik eğitimlerinin genel amacı ve eğitim içerikleri yer almaktadır.
SPARTA BİLİŞİM siber güvenlik konusunda ihtiyaç duyduğunuz profesyonel hizmetleri sunmak amacıyla 2013 yılından beri sizinle. Bugüne kadar 300’ün üzerinde kuruluşa sızma testi yaptık, olay müdahalesi gerçekleştirdik, danışmanlık yaptık. 4 kıtada, toplamda yüzlerce kişiye eğitimler verdik. İşbirliği yaptığımız kuruluşların mevcut bilgi teknolojileri ve bilgi güvenliği ekiplerinin bir uzantısı gibi çalışmaya özen gösterdik. Ve güvenliğinizi koruyabilmek için her zaman sizden biri olduk…
Belediyeler için Siber Güvenlik ÖnerileriAlper Başaran
Belediyeler için siber güvenlik önerilerinin yer aldığı bu dosyada yer alan ana başlıklar detaylı olarak incelenmiştir:
- Belediyeler Açısından Siber Güvenlik
- 2018 yılında Belediyelere Yapılan Siber Saldırılar
- Belediyeleri Hedef Alan Siber Saldırıları Türleri
- Belediyelere Yapılan Siber Saldırıların Sıklığı
- Belediyelere Yapılan Siber Saldırılarda Yıllar İçinde Görülen Artış
- Muhtemel bir Siber Saldırı Sonucu Oluşabilecek Zararlar
- Siber Güvenlik Yönetim Stratejisi
- Siber Güvenlik Kontrolleri
Genel olarak görülen siber saldırgan profillerine ek olarak belediyeleri hedef alması muhtemel bir saldırganın terör, siber savaş ve casusluk amacıyla hareket etme ihtimali yüksektir. Bunun yanında belediyeler vatandaş bilgisi, imar, vb. satış değeri olan bilgileri tutan kuruluşlar olmaları nedeniyle sıradan siber saldırganlar açısından da iştah açıcı hedeflerdir.
Bu dosyada belediyeler için gerekli olabilecek siber güvenlik önerileri yer almaktadır.
The document discusses weaknesses in the TCP/IP protocol suite and solutions to address those weaknesses. It outlines security issues with IP, such as a lack of authentication, encryption, and traffic prioritization. Common attacks like spoofing, sniffing, and denial of service are described. Solutions proposed include using IPv6, IPSec, firewalls, and intrusion detection to authenticate devices, encrypt traffic, and monitor networks for attacks.
1. İletişim Ağlarında Güvenlik
Burak DAYIOĞLU ’98
Hacettepe Üniversitesi
Bilgi İşlem Dairesi Başkanlığı
burak@hacettepe.edu.tr
2. Sunum Planı
Bilişim Güvenliği ve Kapsamı
T
Bilişim Güvenliği’nin Önemi
T
Saldırganlar ve Örnek Saldırı Teknikleri
T
Korunma ve Güvenlik Arttırımı
T
3. Bilişim Güvenliği Tanımı
Bilişim Güvenliği, bilişim teknolojisi
T
ürünü cihazları ve bu cihazlar tarafından
işlenen bilgileri korumayı amaçlayan
çalışma alanıdır
Bilginin korunması ve gizliliği genellikle ön
T
planda olduğundan “Bilgi Güvenliği” olarak
da anılır
Mühendislik çalışması gerektirir
T
4. Güvenliğin Temel Eksenleri
Gizlilik ve Mahremiyet (Secrecy & Confidentiality)
T
Depolanan ve taşınan bilgilere yetkisiz
T
erişimlerin engellenmesi
Gizli bilgilerin korunması ve mahremiyetinin
T
sağlanması
Güncellik ve Bütünlük (Accuracy & Integrity)
T
Kullanıcılara bilgilerin en güncel halinin
T
sunulması
Değişikliğe yönelik yetkisiz erişimlerin
T
engellenmesi
Bulunurluk (Availability)
T
5. Tehdit ve Tehdit Örnekleri
Hasımların, doğal olayların ya da
T
kazaların neden olabileceği, bir bilişim
sistemine zarar verebilecek ve bu yolla
kurumun işlevini aksatabilecek her türlü
olay
Elektrik kesintisi, su baskını, deprem
T
Rakip firma, terörist, art niyetli personel
T
Cihaz arızası, operatör hatası
T
Virüsler
T
...
T
6. B.T. Evrimi ve Güvenlik Boyutu
Tek bilgisayar sistemi Güvenliği Sağlamak
T
Daha Kolay
Ardışık işletim
T
Merkezi bilgisayar sistemi
T
Terminaller ve paralel işletim
T
Dağıtık sistemler
T
Sunucular ve istemciler
T
İnternet bilişimi
T
Güvenliği Sağlamak
Alabildiğine girift yapı Daha Zor
T
7. Bilişim Güvenliği’nde Bugün
Geometrik biçimde artan saldırı sayıları
T
Giderek karmaşıklaşan saldırılar
T
“Sıradan saldırganlar”
T
Konunun göz ardı edilmesi
T
Eksik/yanlış bilgi
T
Boşa yapılan yatırımlar
T
Aldatıcı güvenlik hissi
T
Zan altında kalma
T
9. Saldırı Karmaşıklığı / Beceri Düzeyi
CERT/CC’nin saldırgan beceri düzeyi ve saldırı karmaşıklığı ilişkisi tablosu
10. Kurumsal B.T. Bütçesi ve Güvenlik
100%
15%
1%
Toplam Bütçe Bilişim Bütçesi Bilişim Güvenliği
Bütçesi
11. A.B.D.’de Durum
6 enstitü “NSA Mükemmellik Merkezi”
T
olarak seçildi; dersler açıldı
Savunma Bakanlığı yalnızca “Saldırı
T
Tespiti” alanında 96 projeye sponsorluk
yapıyor
Gelecek savaşların B.T. temelli olması
T
bekleniyor (Information Warfare)
Ekonomik sistemler, haberleşme ve
T
yayıncılık tümüyle B.T. temelli
12. Bir Saldırının Anatomisi
Bilgi Toplama ve Zayıflık Tespiti
T
Bilgisayarlar, bağlantı şemaları, hizmetler
T
İzinsiz Giriş
T
Zayıflıklardan faydalanarak komut işletimi
T
Hak Yükseltimi ve Tam Denetim
T
Arka Kapı Hazırlama
T
Müteakip girişlerin kolaylaştırılması
T
Veri Çalma/Değiştirme/Silme
T
Başka Hedeflere Sıçrama
T
13. Elektronik Saldırı Örnekleri
Ağ Taraması
T
Truva Atları
T
Web uygulamaları
T
Alan taşırma
T
Dağıtık Hizmet Aksatma (DDOS)
T
14. Ağ Taraması
Bozuk TCP paketleri ile işletim sistemi
T
tanımlama
İşletim sistemleri bozuk TCP paketleri için
T
farklı yanıtlar üretiyor
Hizmet taraması
T
“Yarım TCP bağlantıları” ile kayıt
T
tutulmamasının sağlanması
Adres yanıltması ile birleştirildiğinde
T
kaynağın tespiti güçleştirilebiliyor
Nmap, queso ...
T
15. Truva Atları
Programın içine gizlenmiş art niyetli
T
ikincil program
Çalıştırıldığı bilgisayarın tüm denetimi
T
truva atının sahibine geçiyor
E-posta mesaj ekleri ve web aracılığı ile
T
dağıtılıyor
Windows için son iki yılda 300+ truva
T
atı yazılım üretildi
Back Orifice, SubSeven, NetBus ...
T
16. Web Uygulamaları
Girdi verileri üzerinde yetersiz denetim
T
http://www.kurbansite.com/cgi-bin/
T
phf?Name=burak;/bin/cat%20/etc/passwd
Son derece yaygın bir zayıflık ve saldırı türü
T
Web sitesi kullanıcıları için akış denetimi
T
öngörüleri
Kimlik doğrulama sayfasının çevresinden
T
dolaşma
17. Alan Taşırma
Bir uygulama yazılımında tanımlanmış
T
küçük bir alana büyük bir veri
yüklemeye çalışırsanız ne olur?
Uygulama çakılır
T
Bazı durumlarda, uygulamanın
T
“istenmedik” komutları işletmesi
sağlanabilir
19. Yığıt Düzeni
Belleğin Başı Belleğin Sonu
yereller sçg Dönüş @ param
Yığıtın Üstü Yığıtın Altı
void kurban(char *param) {
char yerelalan[16];
strcpy(yerelalan,param);
...
}
21. Güvenlik Arttırımı ve Korunma
Risk Yönetimi ve kurumsal güvenlik
T
politikalarının belirlenmesi
Bilinçlendirme
T
Minimalist yaklaşım
T
Teknolojik çözümlerden faydalanılması
T
Güvenlik duvarları, Saldırı tespit sistemleri,
T
sayısal sertifikalar, anti-virüs yazılımları,
sanal özel ağlar, güvenlik analizi yazılımları
…
22. Risk Yönetimi
Risk Alanlarının
Belirlenmesi
Güvenlik
Risk Düzeylerinin
Politikasının
Belirlenmesi
Uygulanması
Güvenlik Risk Yönetim
Politikasının Planının
Belirlenmesi Belirlenmesi
23. Kurumsal Güvenlik Politikaları
Güvenlik politikası kabaca neye izin
T
verilip neye izin verilmediğini tanımlar
Detaylı prosedürlerden ziyade genel
T
konulara yer verilir
Kabul edilebilir bilgisayar kullanım politikası
T
Ağ bağlantı politikası
T
İhlal yönetim politikası
T
İnsanlar üzerindeki etkisi
T
Esneklik, üretkenlik, “büyük birader etkisi”,
T
değişikliğe direnç
24. İnsanların Bilinçlendirilmesi
Bilişim güvenliği ile ilgili çalışmaların en
T
çok atlanan adımlarından birisidir
Düzenli ve kısa süreli eğitimler
T
Güvenlik politikasının gerekçeli sunumu
T
Güvenliğin değil, bireysel tehditlerin ve
T
risklerin vurgulandığı anlatımlar
25. Minimalist Yaklaşım
Kimseye gerektiğinden fazla erişim
T
hakkı tanımama
Kimseye gerektiğinden fazla bilgi
T
vermeme
Gerekmeyen hiç bir yazılımı yüklememe
T
Gerekmeyen hiç bir hizmeti sunmama
T
Yüklenen küçük yazılım kümesinin
T
güncelliğinin sağlanması
28. Güvenlik Analizi Yazılımları
Sistemleri inceleyerek zayıflıkları tespit
T
etmeye çalışan yazılımlar
Anti-virüs yazılımlarının “virüs veritabanı”
T
benzeri “zayıflık veritabanı”
Yeni bir teknoloji
T
Anti-virüs olgunluğuna erişmesi için 1-2 sene
T
gerekiyor
29. Sonuç
Bilişim güvenliği konusu hızla önem
T
kazanıyor
Güvenlik probleminin “teknik” kısmı
T
küçük, sosyal kısmı büyük
Türkiye’de durum çok “tehlikeli”
T
Kamu’nun güvenlik problemleri
T
Güvenlik’siz e-ticaret
T
30. İletişim Ağlarında Güvenlik
Burak DAYIOĞLU ’98
Hacettepe Üniversitesi
Bilgi İşlem Dairesi Başkanlığı
burak@hacettepe.edu.tr