28 Aralık 2015 Pazartesi

Siber Savaş Angajman Kuralları

Gündem çok sıcak. Siber savaş kapıda derken bir anda içinde bulduk kendimizi. Ülkece hazır olup olmadığımızı, hazır olmak için neler yapmamız gerektiğini çeşitli platformlarda tartışıyoruz. Ama ben farklı bir konuya dikkat çekmek istiyorum. Daha doğrusu siber savaş angajman kuralları hakkında yaptığım araştırmaları sizlerle de paylaşmak istiyorum. İlerleyen günlerde tartışılacak konuların en başında olacağını düşünüyorum. Tartışılacak olmasının sebebi siber saldırı altında olan ülkelerin karşı atak için nasıl davranacaklarını bilmemeleri ve kuralların net olmaması. Kuralların net olması saldırı altındaki ülkelerin kendilerini haklı duruma düşürmeleri için önemli. Rus uçağının düşürülmesi sonrası yayınlanan uçak radar izleri haklılık ve ispat konusuna çok iyi örnek. Eğer böyle bir kayıt olmasaydı uluslararası alanda ciddi sorunlarla karşılaşılabilirdi.


Peki siber savaş sırasında karşı atak için angajman kuralları nelerdir? Bu kurallar hangi durumlarda, nasıl uygulanır?

Öncelikle kara, deniz ve hava saldırılarında angajman kuralının ne demek olduğuna bakalım. Angajman askeri anlamda “tehdide karşı verilecek askeri tepkinin şartları” anlamında kullanılmaktadır. Angajman kuralları ise; diplomaside, tarafların birbirleriyle olan ilişkilerini yürütürken kullanmış oldukları prosedürleri ifade eder.  Askeri anlamda ise, bir ülkenin diğer bir ülkenin hava sahasını ihlal etme ya da ülke topraklarında oluşacak bir tehdide karşı yapılacak askeri tepkinin şartlarını belirleyen kurallar bütünüdür. Söz gelimi Angajman kuralları, askeri birliklerin nasıl konumlandırılacağından operasyonlarda kullanacakları merminin kalibresine ya da taciz ateşlerine nasıl cevap verileceğinden uyarı ateşlerinin nasıl olacağına kadar ince ayrıntıları düzenler (1). Klasik savaşta yer alan böylesine ince düzenlemeler siber saldırılar için de yapılmalıdır. Saldırının tespit edilmesi, karşı atakların koordinasyonunun kimin tarafından yapılacağı, saldırı sonrasında kendimizi haklı çıkaracak kanıtların alınması, ataklarda kullanılacak güncel araçlar gibi tüm düzenlemelerin yapılması gerekmektedir.

Bir de konunun uluslararası tarafı var. Üyesi olduğumuz NATO bu konuda bize yardım edebilir mi?
"Kuzey Atlantik Antlaşmasının 5. maddesi gereğince NATO, bir saldırı veya saldırı tehdidine karşı üyelerini savunmaya ve bu amaçla, bir üyesine yapılacak saldırının tüm üyelerine yapılmış varsayılacağı ilkesine dayanan bir örgüttür. Siyasi ve askeri alanlardaki günlük işbirliğiyle sergilenen dayanışma ve uyum, temel güvenlik sınamalarının üstesinden gelinmesinde hiçbir üyenin yalnız bırakılmayacağını garanti etmektedir."
Bu şekilde bir madde bulunmasına rağmen 2007 yılında NATO, üyesi olan Estonya'ya yapılan ağır siber saldırılara (DDoS) karşı bir tutum sergilememiştir. O günün şartlarında bazı NATO üyeleri siber saldırıları silahlı saldırı olarak nitelendirmedikleri için 5. maddeyi devreye sokmamışlardır. Ancak bugün NATO siber savaş konusunu ciddi anlamda tartışmaktadır. Siber savaş kavramı net olarak belirlenmeye çalışılmakta ve bunun zaman içinde olgunlaşacağı ifade edilmektedir. Zaman içinde olgunlaşacağı yaklaşımı bir bakıma doğrudur. Bu düşünceye şöyle bir örnek verebiliriz. Uçaklar savaşlarda ilk olarak kullanılmaya başlandığında bomba atmak için kullanılan uçağın ülkesi tespit edilemiyordu. Doğal olarak angajman kuralları devreye sokulamıyordu. Bugün siber savaşta yaşadığımız endişeler o zamanda yaşanıyordu. Radar sistemlerindeki yeniliklerle birlikte bu sorun büyük ölçüde ortadan kalktı. Elbette siber sistemlerin çalışma ilkesi çok daha farklı ve kimlik gizlemeye müsait. Ancak kuralların zaman içinde olgunlaşacağı kesin.

Klasik savaşlarda olduğu gibi siber savaş angajman kuralları içinde de ispat en önemli adım. Dünya'ya karşı kendimizi haklı çıkarmamız yeni problemlerin çıkmasını engellemek için oldukça önemli. Siber sistemlerin çalışma ilkeleri gereği kaynağın tespit edilmesi çok zor olabildiğinden siber istihbaratın kurulması ve işletilmesi önemli. 

Yazının başında da ifade ettiğim gibi artık siber savaşın tam da içindeyiz. Gerekli önlemleri almazsak sanal dünya gerçek dünyamızı karartabilir. Alınabilecek temel önlemler; altyapılarımızı güncel siber tehditleri düşünerek tasarlamak, sürekli ve kağıt üzerinde olmayan gerçekçi tatbikatlar yapmak, siber koordinasyon merkezi kurmak, siber istihbaratı güçlendirmek ve yetkin insan kaynağı istihdam etmek şeklinde başlıklandırılabilir.

Siber savaş angajman kurallarına ihtiyaç duymamamız dileğiyle..
 

Referanslar
1-http://www.ajanshaber.com/angajman-nedir-hangi-durumlarda-uygulanir-haberi/314665

24 Ekim 2015 Cumartesi

Bilgi Güvenliği Alanındaki Hukuki Düzenlemeler

Bilgi güvenliği alanındaki hukuki düzenlemeleri gözden geçirirken daha kolay incelenebilmesi için hepsini bir arada bulundurmanın faydalı olabileceğini düşündüm. Bir bakışta görebilmek için bir zihin haritası hazırladım.  Zihin haritasında yürürlükte ve taslak aşamasında olan kanun ve yönetmelikler yer alıyor. Ayrıca aşağıda kanunlar hakkında detaylı açıklamaları ve bağlantıları da bulabileceğiniz bilgileri eklemeye çalıştım.


Şekil-1. Bilgi güvenliği alanında hukuki düzenlemeler zihin haritası  v1.0

Yürürlükte Olan Kanun ve Yönetmelikler:

Türkiye Cumhuriyeti Anayasası:
MADDE 20:
(Ek fıkra: 12/9/2010-5982/2 md.) Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.

https://www.tbmm.gov.tr/anayasa/anayasa_2011.pdf

5237 sayılı Türk Ceza Kanunu:
ONUNCU BÖLÜM
Bilişim Alanında Suçlar

Bilişim sistemine girme
MADDE 243. - (1) Bir bilişim sisteminin bütününe veya bir kısmına, hukuka aykırı olarak giren ve orada kalmaya devam eden kimseye bir yıla kadar hapis veya adlî para cezası verilir.
(2) Yukarıdaki fıkrada tanımlanan fiillerin bedeli karşılığı yararlanılabilen sistemler hakkında işlenmesi hâlinde, verilecek ceza yarı oranına kadar indirilir.
(3) Bu fiil nedeniyle sistemin içerdiği veriler yok olur veya değişirse, altı aydan iki yıla kadar hapis cezasına hükmolunur.

Sistemi engelleme, bozma, verileri yok etme veya değiştirme
MADDE 244. - (1) Bir bilişim sisteminin işleyişini engelleyen veya bozan kişi, bir yıldan beş yıla kadar hapis cezası ile cezalandırılır.
(2) Bir bilişim sistemindeki verileri bozan, yok eden, değiştiren veya erişilmez kılan, sisteme veri yerleştiren, var olan verileri başka bir yere gönderen kişi, altı aydan üç yıla kadar hapis cezası ile cezalandırılır.
(3) Bu fiillerin bir banka veya kredi kurumuna ya da bir kamu kurum veya kuruluşuna ait bilişim sistemi üzerinde işlenmesi halinde, verilecek ceza yarı oranında artırılır.
(4) Yukarıdaki fıkralarda tanımlanan fiillerin işlenmesi suretiyle kişinin kendisinin veya başkasının yararına haksız bir çıkar sağlamasının başka bir suç oluşturmaması hâlinde, iki yıldan altı yıla kadar hapis ve beşbin güne kadar adlî para cezasına hükmolunur.

Banka veya kredi kartlarının kötüye kullanılması
MADDE 245. - (1) Başkasına ait bir banka veya kredi kartını, her ne suretle olursa olsun ele geçiren veya elinde bulunduran kimse, kart sahibinin veya kartın kendisine verilmesi gereken kişinin rızası olmaksızın bunu kullanarak veya kullandırtarak kendisine veya başkasına yarar sağlarsa, üç yıldan altı yıla kadar hapis cezası ve adlî para cezası ile cezalandırılır.
(2) Sahte oluşturulan veya üzerinde sahtecilik yapılan bir banka veya kredi kartını kullanmak suretiyle kendisine veya başkasına yarar sağlayan kişi, fiil daha ağır cezayı gerektiren başka bir suç oluşturmadığı takdirde, dört yıldan yedi yıla kadar hapis cezası ile cezalandırılır.

Tüzel kişiler hakkında güvenlik tedbiri uygulanması
MADDE 246. - (1) Bu bölümde yer alan suçların işlenmesi suretiyle yararına haksız menfaat sağlanan tüzel kişiler hakkında bunlara özgü güvenlik tedbirlerine hükmolunur.

https://www.tbmm.gov.tr/kanunlar/k5237.html


5070 sayılı Elektronik İmza Kanunu:
Bu Kanunun amacı, elektronik imzanın hukukî ve teknik yönleri ile kullanımına ilişkin esasları
düzenlemektir. Elektronik imzanın hukukî yapısını, elektronik sertifika hizmet sağlayıcılarının faaliyetlerini ve her alanda elektronik imzanın kullanımına ilişkin işlemleri kapsar.

https://www.tbmm.gov.tr/kanunlar/k5070.html

5651 sayılı Internet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun:
Bu Kanunun amaç ve kapsamı; içerik sağlayıcı, yer sağlayıcı, erişim sağlayıcı ve toplu kullanım sağlayıcıların yükümlülük ve sorumlulukları ile internet ortamında işlenen belirli suçlarla içerik, yer ve erişim sağlayıcıları üzerinden mücadeleye ilişkin esas ve usûlleri düzenlemektir.

https://www.tbmm.gov.tr/kanunlar/k5651.html

Elektronik Haberleşme Güvenliği Yönetmeliği:
Bu Yönetmeliğin amacı, elektronik haberleşme güvenliğine ilişkin usul ve esasları düzenlemektir. Bu Yönetmelik, işletmecilerin fiziksel alan güvenliği, veri güvenliği, donanım-yazılım güvenliği ve güvenilirliği ile personel güvenilirliğinin sağlanması için tehditlerden ve/veya zafiyetlerden kaynaklanan risklerin bertaraf edilmesi veya azaltılmasına ilişkin olarak alacakları tedbirlere yönelik usul ve esasları kapsar.

http://www.resmigazete.gov.tr/eskiler/2008/07/20080720-1.htm

Taslak Aşamasında Olan Kanun ve Yönetmelikler:

Ulusal Bilişim Güvenliği Kanun Taslağı: 
Amacı, kamu kurumları bilişim sistemleri ile özel hukuk tüzel kişilerine ait kritik bilişim sistemlerinin ve internet şebekesinin sanal (siber) tehdit, saldırı ve müdahalelere karşı korunmasına yönelik usul ve esasları belirlemek olan bu Taslak çalışması üzerinde çalışmalar 2012 yılının başından itibaren devam etmektedir.(1)


Kişisel Verilerin Korunması Kanun Tasarısı:
Amaç, kişisel verilerin işlenmesinin disiplin altına alınması ve Anayasada öngörülen temel hak ve özgürlüklerin korunmasıdır. Bu amaçla kişisel verileri işleyen gerçek ve tüzel kişilerin uyacakları usul ve esaslar düzenlenmektedir.

https://www2.tbmm.gov.tr/d24/1/1-1009.pdf

Referanslar:

1- http://www.kalkinma.gov.tr/Lists/Uzmanlk%20Tezleri/Attachments/390/Ulusal%20Bilgi%20G%C3%BCvenli%C4%9Fi%20Strateji%20ve%20Kurumsal%20Yap%C4%B1lanma.pdf

18 Ekim 2015 Pazar

Önce Siz Oltalayın

Oltalama, nam-ı diğer phishing.
Artık her katmanda bir güvenlik ürünümüz var, yamaları zamanında geçiyoruz, zafiyetlere daha çok önem veriyoruz, araştırıyoruz, tartışıyoruz, uyguluyoruz. Durum böyle olunca saldırganlar yönünü kullanıcılara dönmeye başladı. Bir çok bağımsız araştırmacının raporunda da bunu açık şekilde görebiliriz. Gerçi bunu görmek için rapora da gerek yok. :) Malum Cryptolocker zararlısını duymayan yoktur. Hatta en az bir tanıdığımız bu zararlı yüzünden mağdur olmuştur. Mağdur olan kişilere neden tıkladıklarını sorduğumuzda ise aldığımız tek cevap "merak".

Peki, böylesine tehlikeli sosyal mühendislik ataklarına karşı neler yapabiliriz, kullanıcılarımızı nasıl bilinçlendirebiliriz, merak duygusunu nasıl kontrol altına alabiliriz?
Gelin biraz beyin fırtınası yapalım. Sesli düşünüyorum:
"Poster asmak, eğitim vermek farkındalık sağlıyor ama önemli olan süreklilik. Sürekliliği sağlamak için belirli zamanlarda oltalama maillerini biz göndersek. Hatta mailin içeriğinde düzenlemeler, eklemeler yapabilsek. Kimlerin mailde yer alan linke tıkladığının raporunu alabilsek ve hatta linke tıkladıklarında hazırladığımız eğitim sayfalarına, videolarına yönlendirsek." 
Fikirler güzel ama kolay ve ücretsiz şekilde nasıl yapabiliriz?
Bu noktada imdadımıza sptoolkit yetişiyor. Tam olarak sosyal mühendislik farkındalık saldırıları için özelleşmiş açık kaynak kodlu bir araç. Geliştirilmesi 2 yıldır yapılmıyor ama en son versiyonu düzgün bir şekilde çalışıyor. Bu araçla yukarıda saydıklarımızın tamamını ve fazlasını yapabiliyoruz. Bir diğer deyişle insana da yama geçebiliyoruz.

Şimdi kurulum, ayarlar ve oltalama başlıklarında sptoolkit aracını inceleyelim.

Kurulum:

  • Kurulumu yapacağımız sunucuda Apache, Mysql ve PHP olması gerekiyor.
  • https://github.com/simplephishingtoolkit/sptoolkit-rebirth adresinden sptoolkit'i indiriyoruz.
  • Zip dosyasını açtıktan sonra içinden çıkan spt klasörünün altındaki dosyaları sunucumuzda /var/www/html dizinine kopyalıyoruz.


  • Apache ve Mysql servislerini başlattıktan sonra internet tarayıcımızdan sunucu IP'sini yazarak kurulum sayfasına giriyoruz. Go to Install butonunu seçiyoruz.
  •  I agree butonuna tıklıyoruz.

  • sptoolkit bazı sistem gereksinimlerini kontrol ediyor. Eksikleri kırmızı ile gösteriyor. Gereksinimleri sağladıktan sonra Check Again'e tıklayarak tamamının yeşil olmasını bekliyoruz.
          Appropriate Permissions için;
              chown -R www-data:www-data html
              chmod -R 775 html
          PHP cURL için;
              apt-get install php5-curl
          PHP LDAP Extensions için;
              apt-get install php5-ldap



  • Kullanacağımız database bilgilerini giriyoruz. Mysql kurarken oluşturduğumuz bilgileri kullanıyoruz.
  • Database bağlantısının başarılı bir şekilde kuruludğunu ve oluşturulan tabloları görüyoruz.

  •  Daha sonra admin kullanıcısını oluşturuyoruz.


  • Kurulum işlemlerini tamamladık. Artık sptoolkit kullanımımıza hazır.

 Ayarlar:

sptoolkit kurulduktan sonra kullanımdan önce bazı tanımlamalar yapmamız gerekiyor. Özellikle mail gönderebilmek için SMTP sunucu bilgilerini gireceğiz.

  • Settings altında SMTP server sekmesinde SMTP sunucu bilgilerini giriyoruz. Burada kurum mail sunucunuz veya sunucu üzerine kuracağınız bir mail sunucuyu kullanabilirsiniz. Ben sunucu üzerine kurduğum SMTP sunucusunu kullanacağım.


  

  • Templates sekmesi altında hazır oltalama mailleri var. Bu templateleri istediğiniz gibi kullanıp düzenleyebilirsiniz.
  • Education sekmesi altında kullanıcıları yönlendireceğimiz eğitim dokümanları, videoları yer alıyor. Yine bunlar da detaylı bir şekilde düzenlenebiliyor.

Oltalama:

Kurulum ve ayarlardan sonra şimdi merakla beklediğimiz oltalama adımına geçiyoruz.

  • Öncelikle hedef kişi bilgilerini eklememiz gerekiyor. Target sekmesi altında Local Targets-One seçeneği ile hedef kullanıcı bilgilerini tanımlıyoruz.

  • Hedef kullanıcıyı oluşturduktan sonra mail içeriğini hazırlıyoruz. Templates sekmesi altındaki herhangi bir maili düzenliyoruz. Gönderen adını ve mail adresini taklit etmek istediğimiz şekilde düzenliyoruz. Mailin içeriğine de iPhone 7 kampanyamızı ekliyoruz :) Kargo takip olarak verdiğimiz linki yönlendirmek istediğimiz eğitim sayfası olarak ayarlıyoruz.

  • Oltalama mailimizi hazırladıktan sonra şimdi sıra geldi kampanyamızı oluşturmaya. Campaigns sekmesinden Campaign butonuna tıklayarak başlıyoruz. Öncelikle kampanyamıza isim veriyoruz.

  •  Daha sonra hedef kişimizi seçiyoruz.

  • İstersek belirlediğimiz bir tarihte mailin gönderilmesini sağlayabiliyoruz. Ama burada biz hemen göndermek için bu özelliği seçmiyoruz.
  •  Oluşturduğumuz iPhone 7 template'ini seçiyoruz.

  • SMTP sunucumuzu seçiyoruz ve yeşil butonla kampanyamızı başlatıyoruz.

  • Şimdi hedef kişiye ait mail kutusuna bakalım oltalama mailimiz gelmiş mi?  Görüldüğü gibi oltalama maili hazırladığımız şekilde hedef kişinin mail kutusunda görünüyor. Domain ismi farklı olduğu için Gmail spam olarak işaretledi. Ancak kurumunuza ait mail gateway'de ilgili domain için kural yazabilirsiniz.

  • Maili okuyup kargo takip linkine tıklayan kişi eğitim sayfasına yönlendiriliyor. Bu sayfayı isteğinize göre düzenleyebiliyorsunuz.  

  • Buraya kadar herşey çok güzel. Peki kimlerin linke tıklayıp tıklamadığını nasıl görebiliyoruz? Anasayfada iPhone 7 kampanyasını filtreleyerek kampanyaya ait raporları görebiliyoruz. Grafikte hedef kişinin linke tıkladığını görebiliyoruz. Arıca buna benzer raporlar da mevcut.

Şimdilik bu kadar. Sosyal mühendislik saldırılarına karşı kullanıcılarınızı idmanlı tutmak istiyorsanız buyurun, kullanın. :)
Görüşmek üzere.

Not: Eğitim amaçlı hazırlanmıştır.

6 Temmuz 2015 Pazartesi

Şifremiz Telefon Numaramız

Şifre seçimiyle ilgili analizleri medyada sık sık görüyoruz. Özellikle en çok seçilen şifrenin yine 123456 olduğuna dair haberler en az 6 ayda bir boy gösteriyor haber sitelerinde.  Pastebin sitesinde anonim bir Türk websitesine ait 11 bin adet şifreye rastlayınca ben de aynı analizi yapma ihtiyacı hissettim. Ancak yazıp yazmama konusunda tereddütlerim vardı. Çünkü bir nevi tekrar olacaktı. Kullanılan şifreleri biraz daha incelediğimde ilgimi çeken bir nokta oldu. Şifrelerin önemli bir çoğunluğunda telefon numaraları kullanılmıştı. Bu yüzden analiz edip yazmaya karar verdim.

Şifrelerin bir diğer özelliği de web sayfasının herhangi bir şifre politikası olmamasıydı. Yani kullanıcıyı şifre seçiminde karakter ve uzunluk seçimine zorlamamasıydı. Bu yüzden 1, 0 gibi bir çok şifrenin yer aldığını da söylemeliyim.

Öncelikle analizimize en çok kullanılan şifre istatistikleriyle başlayalım. Şifre belirlerken en çok dikkat ettiğimiz şey kolay hatırlanabilir olması. Bu konuda kendimizi hiç yormamışız anlaşılan.

  • Meşhur 123456 yine açık ara önde. Yaklaşık 800 adet yani %7,2.
  • Daha sonra 123123, 123321 gibi hatırlaması son derece kolay şifreler görüyoruz.
  • Seriyi bozan şifre sizin de dikkatinizi çekmiştir. Evet 1453. Sadece bu şifre bile listenin bir Türk web sitesine ait olduğunun kanıtı olabilir. J


Analizimizi kullanım oranlarından sonra şifre desenlerine doğru yavaş yavaş ilerletelim.
  • Şifre deseni seçiminde 8000 civarında sadece rakam tercih edilmiş. Milletçe sayıları çok mu seviyoruz ne?
  • Kalan 3000’de sadece harf ve harf + rakam olacak şekilde ayrılmış.
Şimdi gelelim yazıyı asıl yazma amacım olan şifrelerin birçoğunun telefon numarası olmasına.

Öncelikle şifrelerin telefon numarası olduğunu nasıl anladım bundan bahsedeyim. Öyle ya, her 10 basamaklı veya 7 basamaklı sayı telefon numarası olacak diye bir zorunluluk yok. Bu arada hepsini tek tek aramadım tabiki. :)

10 basamaklı sadece rakamlardan oluşan şifrelerin telefon numarası olduğunu anlamak zor olmadı. Çünkü neredeyse tamamı 212, 312, 505, 536, 543, 532, 555 gibi sayılarla başlıyor. Bu sayıların telefon numaralarının alan kodları olması beni doğrudan bu fikre itti. Tesadüf olamayacağını düşünerek bu şekilde olduğundan neredeyse eminim. Sonuç olarak 10 haneli, telefon numarası olabilecek 602 adet şifre bulunuyor.


Alan kodu olmayan 7 basamaklı telefon numaralarının da olduğunu düşünerek 7 basamaklı, sadece rakamdan oluşan şifreleri incelemeye başladım. Bu kısımda şifrenin telefon numarası olup olmadığını anlamak kolay olmadı. Öncelikle sadece rakamdan oluşan tüm şifreleri incelemeye başladım ve hepsinin kendi içinde mantıklı bir sıralanışının olduğunu gördüm.


  • 4 basamaklılar genelde kendini tekrar eden veya doğum günü gibi tarihler. Bu desene uymayan şifreler de var ve bunlar da telefon numarasının son 4 hanesi olabilir. Ama 4 haneli bir çok başka şeyde olacağı için bu ihtimali hiç değerlendirmedim.
Örnek: 1111, 1234, 1960, 1907  

  • 5 basamaklılar genelde kendi içinde anlamlı olabilecek şekilde verilmiş.
Örnek: 12345, 70707, 10203

  • 6 basamaklılar genelde kendi içinde anlamlı olabilecek şekilde verilmiş.
Örnek: 110011, 111222, 123123, 123456

  • 8 basamaklılar genelde kendi içinde anlamlı olabilecek şekilde verilmiş. İlk 4 basamak ile son 4 basamak kendi içinde bir bütün olarak görünüyor.
Örnek: 12031984, 19031903, 19031976

  • 9 basamaklıların neredeyse tamamı bir desene göre verilmiş.
Örnek:
123698745 – Klavye sırası
123996633
147258369 – Klavye sırası
123456789


  • 7 basamaklılarda ise kendi içinde anlamlı olabilecek desenlere rastladıysam da bu oran çok düşük kaldı. Bu yüzden 7 basamaklı, sadece rakamdan oluşan şifrelerin birçoğunun telefon numarası olduğunu düşündüm. Tüm 7 basamaklıların %80’ini telefon numarasıdır diye belirleyerek başka amaçlı verilmiş şifreleri kapsam dışı bırakmaya çalıştım. Toplam 1203 adet adet 7 haneli şifreden 962 adetinin telefon numarası olduğu çıkarımında bulunuyorum.

Örnek: 7605934, 3437610, 5661309, 5286182

Sonuç olarak 10 ve 7 basamaklı şifrelerin telefon numarası olabilme ihtimalleri göz önünde bulundurulduğunda 11 bin şifrenin 1564 tanesinin telefon numarası olduğunu söyleyebiliriz. Yani yaklaşık %14 oranında şifre olarak telefon numaramızı kullanmayı tercih ediyoruz.

Analizde kullanılan şifre listesinin şifre politikası olmayan bir web sitesine ait olması kullanıcıların davranışlarını çok daha doğru analiz etmemizi sağladı. Şifre politikasının tüm uygulamalar için ne kadar gerekli olduğunu bir kez daha görmüş olduk. Zira şifrelerin %21'i telefon numarasından ve 123456’dan oluşmakta. 




30 Mayıs 2015 Cumartesi

Nabza Göre Güvenlik: Kuşakların Bilgi Güvenliği Yaklaşımları


Yakın zamanda katıldığım "Kuşaklar Arası İletişim" eğitiminden sonra, önemli bir parçası iletişim olan bilgi güvenliği alanıyla ilgisini düşünmeye başladım. Farklı kuşakların iş yaşamına, teknolojiye ve hayata uyum sağlamalarında gösterdiği değişiklikler bilgi güvenliği politikalarının uygulanmasında, kuralların aktarılmasında izlediğimiz yolları ne oranda etkiliyor sorusunu aklıma getirdi. Bu kapsamda kuşakları tek tek inceleyip uyguladığımız yöntemlerin etkisinin ne ölçüde olduğunu ve değişime ihtiyaç olan iletişim alanlarını belirlemeye çalıştım.

İlk olarak sosyolojik anlamda kuşakların toplumsal hareketlerden nasıl etkilendiklerini, değişimlere nasıl cevap verdiklerini ve olaylar karşısındaki tutumlarını inceleyerek buna karşı hangi stratejileri izlememiz gerektiğini belirleyelim.

Kuşaklar; Baby Boomer’lar, X, Y ve Z kuşağı olarak doğdukları yıllara göre ayrılırlar. En yaşlıları 69, en gençleri 15 yaşında. Her birinin karakteri, beklentileri, yaşama amacı, içinde bulundukları koşullar, iş yapış şekilleri farklıdır.


Baby-Boomer'lar, 1946-1964 arası doğanlara denir. “Baby boom” bir Kuzey Amerikan-İngiliz terimidir. Özellikle Amerika’da II. Dünya savaşının bitiminde başlayıp 1960 yılı başlarına kadar süren, yıllık doğum hızında büyük artış anlamına geliyor. Amerika’da bu dönemde gelişen ekonomiye de paralel olarak 78.2 milyon kişi doğmuş ve 1955, doğum artış hızının tepe yaptığı yıldır. Bu olay, “baby boom”, bu dönemde doğanlar da  “baby boomer” olarak adlandırılıyor. Şu anda baby boomer neslinin en yaşlısı 69 yaşında, en genci ise 51 yaşındadır. Bu nesil teknolojiden uzaktır, diğer bir deyişle teknolojiyi benimseyememiştir. Teknoloji yaygın olmadığı için çoğu zaman işlerini kendi kendilerine yapmak zorunda kalmış, üretmişlerdir. Bunun yanında, iş sadakatleri yüksektir. Diğer kuşaklardan farklı olarak, iş yaşamları için “çalışmak için yaşamışlardır” ifadesi kullanılabilir. Sadakatlilik ve kanaatkârlık duyguları oldukça yüksektir. Ülkemizin %19’unu oluşturuyorlar.[1]

Baby-Boomer'ların bilgi güvenliği anlayışı nasıldır?
Baby-Boomer'lar teknolojiye uzaktır ve benimseyememiştir. Bu yüzden saldırganların işlerini en çok kolaylaştıran kuşaktır. Sosyal mühendisliğe çok açıktırlar. Cep telefonu üzerinden kendini polis, savcı olarak tanıtan dolandırıcılar genelde bu kuşağı hedef alırlar. Çünkü bu kuşak için otoriteye saygı önemlidir. Zararlı linklere çok kolay tıklarlar ve yönergeleri takip edebilirler. Konu teknoloji olunca herkese güvenirler. Tüm bunların yanında bilgi güvenliği politikalarını en kolay uygulayabileceğiniz kuşaktır. Otoriteye ve kurallara bağlılıkları sayesinde politikalarınızı sorgulamadan kabul edip uygulamaya başlarlar. Bu yüzden mevcut politikaların en kolay ulaştığı kuşaktır, ekstra bir şey yapmanıza gerek yok. Sadece iyi anlatın yeter.  

***

X kuşağı, 1965-1979 arası doğanlara denir. Bu durumda en yaşlısı 50, en genci 36 yaşındadır. X nesli kurallara uyumlu, aidiyet duygusu güçlü, otoriteye saygılı, sadık, çalışkanlığa önem veren bir kuşak olarak tanımlanıyor. İş yaşamlarında çalışma saatlerine uyumlu olup iş motivasyonları yüksektir. Belirli çalışma süresinden sonra kademe atlayabileceklerine inanırlar ve sabırlıdırlar. Daha çok yaşamak için çalışırlar. Ayrıca, bu nesil, bir takım icatlara, buluşlara şahitlik etmiştir. Dünyaya gözlerini merdaneli çamaşır makinesi, transistörlü radyo, kaset çalar ve pikapla açan X nesli sakinleri pek çok dönüşüm yaşamıştır. Özellikle, teknoloji açısından düşünüldüğünde, bilgisayar sistemlerinin dönüşümü ve buna bağlı değişen iş yapış şekillerine adapte olmaya çalışmışlardır. Ülkemizin %22’sini oluştururlar.[1]

X kuşağının bilgi güvenliği anlayışı nasıldır?
Transistörlü radyolardan akıllı telefonlara geçiş yapmış bu kuşağın teknolojiyle ilşkisi Baby-Boomer'lara göre nispeten iyidir. Fakat uyum sorunu yaşayanların da sayısının fazla olduğu söylenebilir. Otoriteye saygı bu kuşağın da bir karakteri olduğu için politikalara kolay uyum sağlarlar. Ancak bir şartla. Mantıklarına uymasını beklerler. Eğer mantıklı bir şekilde anlatabilirseniz, örneklerini somut olarak gösterebilirseniz politikalarınızı benimseyeceklerdir. Ayrıca, bilgi güvenliğinin özellikle Türkiye'de gelişmesinde öncü rol oynayan IT uzmanlarının bir çoğu X kuşağı üyesidir. Bir çok kurumda bilgi güvenliği politikalarını belirleyen ve onaylayan bu kuşaktır. Bu yüzden X kuşağı politikaların uygulanmasında ve geliştirilmesinde öncülük etmiştir.

***

Y kuşağı, 1980-1999 arası doğanlardır. Y neslinin en yaşlısı 35, en genci ise 16 yaşındadır. Teknoloji her şeyleridir. İnternet, sosyal medya, akıllı telefonlarla haşır neşir olan, hatta bir tehlike anında kendinden önce akıllı telefonunu kurtarmayı düşünecek kadar ileri gidebilen bir nesildir. Kuşaklar arası farklılığın en çok hissedildiği nesil özelliği taşırlar. Çünkü onlar bağımsız olmayı seviyorlar, özgürlüklerine düşkünler ve iş yaşamlarında da farklılar. Belirlenen mesai saatleri arasında çalışmayı sevmiyorlar. Bu yüzden, iş saatinden ziyade işe odaklanmaları gerekiyor. Bu durumda onları işin bir parçası haline getirmek önemlidir. X nesline göre Y neslinin örgütsel bağlılıkları azdır ve çok fazla iş değiştirdikleri de söyleniyor. Bir an önce yönetici olmak ya da kendi işlerini kurmak istiyorlar. Onlar, iş hayatını sadece yaşamlarını sürdürebilmek için değil, daha rahat para harcamak için istiyorlar. Y nesli, çok farklı kişisel özellikler taşımakta ve özellikle üniversitelerden yeni mezun olanları kapsamaktadır. Y neslinin uyumsuz olduğu, kendisinden farklı düşünenleri acımasızca eleştiri yağmuruna tuttuğu da bir gerçek. Bu durum aşırı bireyci olmasından ve otorite tanımamasından kaynaklanıyor. Bu nesil kural tanımıyor. Ülkemizin %35’ini oluşturdukları söyleniyor. Yani 27 milyon genç. [1]

Y kuşağının bilgi güvenliği anlayışı nasıldır?
Benim de içinde bulunduğum ülkemizin % 35'ini oluşturan Y kuşağı. Otoriteye bağlı olmayan, kural tanımayan, teknolojiden hızlı hareket eden, sosyal medyada yaşayan kuşak kurumların bilgi güvenliği politikalarını uygulamakta en çok zorlandığı kuşaktır. Kişisel cep telefonlarından, tabletlerinden şirket kaynaklarına erişmek isterler. İşlerini kolaylaştırmak için teknolojiyi sonuna kadar kullanırlar. Anında şirket bilgisi dahil her şeyi sosyal medyada paylaşabilirler. Bilgi güvenliğinin sadece regülasyonlara uyum olduğunu düşünürler. Bilgi güvenliği politikasına karşı "Neden, ne olacak?" sorusunu muhakkak sorarlar ve verilen cevaptan tatmin olmazlar. Y kuşağına karşı yasakçı politikalardan ziyade çağın gerekliliklerini güvenli bir şekilde uygulama yoluna gidilmelidir. Y kuşağının ihtiyaçlarına yüz çevirmek sadece politikanın bir panoda asılı durmasından başka bir fayda sağlamaz. Politikanın Y kuşağına ulaşmasını sağlamanın en önemli adımlarından biri sorgulayıcı sorularına karşı mantıklı cevaplar verebilmektir. 

2000 yılından sonra doğan kuşak ise Z kuşağı olarak adlandırılmaktadır. Bu kuşak doğduğu anda tabletlerle tanışan bir kuşaktır. Şu anda iş hayatında olmadıkları için bir değerlendirme yapmayacağım. Belki ilerde güncelleme yaparım. :)

Sonuç olarak, kuşakların yukarıda anlatılan farklılıklarına göre hareket etmek, bilgi güvenliği kültürünü oluşturmak için politikaları aktarmada ve uygulamada yaşanılan zorlukları aşma yolunda önemli bir adım olacaktır.



Referanslar
Kuşaklar ile ilgili açıklamaları aşağıdaki sayfadan temin ettim.
1- http://www.acikbilim.com/2013/09/dosyalar/nesiller-ayriliyor-x-y-ve-z-nesilleri.html

14 Mayıs 2015 Perşembe

Siber Tehdit Analizi Zihin Haritası

Projelerde bilgi güvenliğinin son dakika işi olmaması için projenin en başında güvenlik uzmanlarının yer alması gerekiyor. Giderek daha da karmaşıklaşan sistemlerin güvenlik analizleri yapılırken konuya her açıdan yaklaşmak, zafiyete neden olacak bir nokta bırakmamak için önemli. Bu yüzden yapılan güvenlik analizlerinde en ufak detayı kaçırmamak için bir zihin haritası oluşturdum. 

Öncelikle zihin haritasından kısaca bahsedeyim. Aklımızdan geçen her şeyi gruplandırarak görsel bir harita oluşturuyoruz. Bu haritalar sayesinde hem fikirlerin yönetimi, hem de yeni fikirlerin ortaya çıkması kolaylaşıyor. Benim gibi çalışırken görsel ögeleri kullanmayı sevenler için faydalı olacağını düşünüyorum. Hemen hemen her işinizde zihin haritalarını kullanabilirsiniz. Alışverişe giderken dahi :) Ücretsiz zihin haritası (mind map) araçlarına internetten ulaşabilirsiniz.

Hazırladığım siber tehdit analizi zihin haritasında aklıma ilk gelen maddeleri ekledim. Sizlerden gelecek geri dönüşlere göre ekleme/düzenleme yapabilirim. Siber tehdit analizi zihin haritası v1.0'a aşağıdan ulaşabilirsiniz.

Tam boyuta ulaşmak için lütfen sağ tıklayıp yeni sekmede açmayı deneyin.



Şekil-1. Siber Tehdit Analizi Zihin Haritası v1.0

13 Nisan 2015 Pazartesi

Bankacılık Zararlıları Kabuk Değiştiriyor


Kim daha akıllı? Hackerlar mı yoksa güvenlik uzmanları mı?

Sıkça sorulan bu soru aslında yanlış soruluyor. Kimin motivasyonu daha yüksek ve zamanı daha bol diye sorulmalı. Çünkü bilgiden, akıldan daha önemli olan motivasyon ve zaman. Hiçbir kurumun temel işi saldırılara veya güvenlik açıklarına karşı önlemler geliştirmek ve bunları uygulamak değil, her birinin kendi alanında bambaşka işleri ve rakipleri mevcut. Böyle olunca bilgi güvenliği işi kurum içinden veya dışından servis olarak alınıyor. Peki kurumlar asıl işleriyle uğraşırken saldırganlar ne yapıyor? Motivasyonları yüksek, zamanları bol olduğu için tüm enerjilerini büyük bir kararlılıkla güvenlik sistemlerini atlatmak için çözüm üretmeye harcıyorlar. Yani boş durmuyorlar. Bu durumda motivasyonu yüksek, zamanı bol olan kişiler hep bir adım önde oluyor. Bilgi güvenliği uzmanları ise atlatılan güvenlik sisteminin zayıf noktasını tespit edip önlem alıyor. Sıra saldırganların yeni güvenlik önlemini atlatmasına geçiyor. Bu döngü bu şekilde devam ediyor.(Şekil-1) Son yıllarda yarış iyice kızışmış durumda. Saldırganlar tarafından aklın sınırlarını zorlayan yöntemler geliştiriliyor. Bu sıradışı yöntemlerle en çok kimleri mi hedef alıyorlar? Tabi ki bankaları.


Şekil-1. Saldırgan-Güvenlik Uzmanı Yaşam Döngüsü

Yukarıda bahsedilen motivasyon ve zaman etkenlerinden dolayı bankacılık zararlı yazılımları şaşırtacak derecede karmaşıklaşıyor ve tespit edilemez hale geliyor. Zararlı yazılımların gelişim süreci de bankacılık sistemlerinin gelişim sürecine paralel olarak ilerliyor. Bankacılık hizmetinin bilgisayar üzerinden verilmeye başlandığı ilk yıllarda saldırılar doğrudan sistemleri hedef alıyordu. Bankalar buna önlem alarak sınır güvenliğini daha yönetilebilir ve engelleyici hale getirdiler. Daha sonra internet bankacılığı kullanılmaya başlandı. İlk zamanlarda güvensiz olarak görülse de herkes tarafından benimsendi ve kullanım oranları ciddi seviyede arttı. Bankaların sistemler üzerinde aldıkları güvenlik önlemleri saldırganları bu sefer internet bankacılığı kullanıcılarına yöneltti. Tek aşamalı kimlik doğrulamayı çok kolay aşarak binlerce kişiyi maddi zararlara uğrattılar. Bu kez internet bankacılığı kullanımı alınan çeşitli önlemlerle daha güvenli hale gelmeye başladı. Günümüzde ise hem doğrudan bankacılık sistemlerine yapılan saldırılara hem müşteriyi hedef alan saldırılara karşı gerek mevzuat anlamında gerekse daha güvenli bir hizmet sunmak için en üst düzeyde güvenlik önlemleri alınmaya başlandı. Peki alınan önlemler arttıkça saldırganlar ne yapıyor? Söz konusu para olunca zaman ve mekan bağımsız çalışıyorlar. Bu yüzden bankacılık zararlıları Şekil-1’de gösterilen döngünün içinde sık sık kabuk değiştiriyor. En son versiyonlarından bir tanesi Şubat 2015'te Kaspersky tarafından yayınlanan raporda detaylı olarak incelendi. Bu raporda bankacılık sistemleri için özel olarak tasarlanmış son derece karmaşık bir hedef odaklı zararlı yazılımdan bahsediliyor. Bu zararlının adı "Carbanak". Bu zararlı sayesinde 30 ülkede 100 finans kurumundan 1 Milyar $  çalındığı söyleniyor. Raporu okuduktan sonra işimizin hiç te kolay olmadığını bir kez daha gördüm. Bu yüzden bu raporu, yapmak istediğiniz güvenlik projelerinde, risk değerlendirmelerinde ve sistem geliştirmelerinde önemli bir referans olarak kullanabilirsiniz. Şimdi bu zararlının sisteme nasıl bulaştığını, keşif ve istismar evrelerini rapordan alıntılayarak anlatalım.

Bulaşma, Yayılma ve Keşif:

Saldırganlar hedefe yönelik oltalama (spear phishing) yöntemini kullanarak zararlı yazılımı banka sistemlerine bulaştırıyor. Burada klasik oltalama yönteminden farklı olarak hedef odaklı oltalama seçiliyor. Temelde aynı şey gibi dursa da hedefe özel hazırlanmış mail, doküman vs. gönderilmektedir. Mail yoluyla gönderilen zararlı yazılım Microsoft Office ve Microsoft Word’e ait zafiyetleri istismar ederek sisteme bulaşıyor ve ortam izlemesi, veri kaçırma ve uzaktan kontrol için kullanılacak Carbanak backdoor’unu sisteme  yerleştiriyor.

Yazılım banka ağına bulaştıktan sonra keşif çalışmasına başlıyor. Yerleştiği bilgisayar kullanıcısı hakkında gerçek zamanlı bilgi topluyor. Yazılımın asıl hedefi bankacılık işlemlerine yetkisi olan admin bilgisayarlarına sıçramak. Bunun için bulunduğu bilgisayardan çeşitli verileri, ekran çıktılarını komuta kontrol merkezine göndererek bilgi aktarımında bulunuyor. Bu şekilde paraya en yakın noktaya gelmeye çalışıyor. Şekil-2’de zararlı yazılımın monitör edildiği ve yönetildiği bir ekran görünüyor. Bu ekran sayesinde istedikleri komutları gönderebiliyorlar.

Şekil-2. Carbanak zararlısı yönetim arayüzü

İstismar:

Bulaşma, yayılma ve keşif çalışmalarından sonra sıra paranın nasıl kaçırılacağına geliyor. Burada çeşitli yöntemler kullanılıyor.
  • Hesaplar üzerinde doğrudan değişiklik yaparak kendi hesaplarına para aktarımını sağlıyorlar. Örneğin Hesabında 1.000$ bulunan bir müşterinin hesabını 10.000$ yapıp 9.000$'ı sahte kimliklerle açtıkları hesaplarına transfer ediyorlar. Bu şekilde hesabında hala 1.000$ olan müşteri durumdan şüphelenmiyor.
  • Diğer bir yöntem ise doğrudan parayla etkileşimin olduğu ATM'ler tercih ediliyor. Zararlı yazılım yayılma ve öğrenme aşamasında ATM'leri uzaktan yönetebilecek duruma geliyor. Uzaktan ATM'yi yöneterek ATM'nin istenilen zamanda para vermesi sağlanıyor. Bu şekilde doğrudan paraya ulaşılmış oluyor.
  • Diğer bir para elde etme yöntemi olarak ta SWIFT networku kullanılıyor. Bu şekilde hesaplarına uluslararası para transferi yapabiliyorlar.
Raporda teknik detaylar anlatılıyor. Dileyenler oradan okuyabilir. Ben burada aslında günlük olarak konuştuğumuz, sürekli önlemler almaya çalıştığımız bir senaryonun aslında ustaca gerçekleşebileceğini anlatmaya çalıştım.

Bu tür çok gelişmiş zararlılardan en az etkilenmek için Şekil-1’de yer alan döngüyü Şekil-3'te ki gibi değiştirmemiz gerekiyor. Sistemin zayıf noktasını kapatıp sistemi daha güvenli hale getirdikten sonra saldırganlardan önce zayıf noktaları tespit edip tekrar önlem almamız gerekiyor. Bunun için çok büyük paralar harcadığımız cihazlar yerine zamanı bol, motivasyonu yüksek çalışanların yer aldığı ekipler gerekmektedir.


Şekil-3. Güvenlik Uzmanı Yaşam Döngüsü

14 Mart 2015 Cumartesi

İnternet ve Mahremiyet (Privacy)

İnternetin günlük yaşamda dokunmadığı alan artık neredeyse yok gibi. Eğer henüz internet ile tanışmayan bir alan var ise doğal yaşam döngüleri ve zorlu piyasa koşulları interneti kullanmaya itecektir ve yakın zamanda tanışmış olacaktır. Alışveriş, eğitim, sosyal hayat, sağlık, bankacılık ve sayamayacağımız birçok alanda internet kullanım oranı ve etkisi artmaya devam ediyor. Durum böyle olunca hem özel hem iş yaşamımızı ilgilendiren her aktivite internet ortamında kayıt altına alınıyor. İnternete bağlı kaldığımız her an farkında olmasak ta çeşitli bilgileri sağlamak zorundayız. Zorundayız diyorum çünkü internetin yapısı bunu gerektiriyor. Kendini gizleme yöntemleri mevcut ama orada da en azından IP bilgisini paylaşmak durumundayız. Paylaştığımız bilgi tek başına bir anlam ifade etmeyebilir, fakat bazı bilgiler diğerleriyle bir araya getirilip işlendiğinde anlamlı hale gelebilir. Dedektif filmlerinde duymaya alışık olduğumuz “her dokunuş iz bırakır” jargonunu internet dünyasında da duymaya başlıyoruz. Durum artık öyle bir hal almaya başladı ki hangi internet işleminin hangi kişisel bilgimizi nerede kayıt altında tuttuğunu, kiminle paylaşıldığını bilmiyoruz. Bu da aslında tüm dünyada endişe konusu olan mahremiyetin (privacy) artık daha çok tartışılmasına yol açıyor. Bu yazıda internet ortamında ki hangi işlemler mahremiyetimizi tehdit ediyor ve bundan nasıl korunabiliriz konularına değinmeye çalışacağım.

İnternet Hizmetine Bağlanma
Bilgisayarımızla veya mobil cihazımızla internete bağlanmak istediğimizde kimliğimiz olarak düşünebileceğimiz IP adresi internet servis sağlayıcı tarafından tahsis edilir. İnternet üzerindeki işlemleri gerçekleştirirken her defasında bize atanan IP adresini kullanırız. Bu IP, servis sağlayıcından aldığımız hizmete göre sabit (statik) veya değişken (dynamic) olabilir. Her iki şekilde de servis sağlayıcı tarafında işlem kayıtları tutulduğu için ikisi arasında gizlilik açısından bir fark olmamaktadır.
Sadece bu IP bilgisi dahi kişisel olarak sizi tanımlayabilir. (IP adresi bir kişiyi tanımlar mı? Yazımda konu hakkında detaylı bilgi bulabilirsiniz.) Erişim sağladığınız web sitesi sahibi için bu bilgi bir anlam ifade etmeyecektir. Ancak servis sağlayıcı IP adresinin kime ait olduğunu bilmektedir. Servis sağlayıcı tarafından bu bilgiler reklam, pazarlama gibi amaçlar için kullanılabilir. İstihbarat aracı olarak ta kullanılması mümkündür. Servis sağlayıcı ile aramızda imzaladığımız sözleşme gereği bu bilgileri paylaşmaması gerekmektedir. Ancak olası sözleşme ihlallerinin tespit edilmesi ve ispat edilmesi çok zor olduğu için kişisel bilgilerimizin kim tarafından ne amaçlarla kullanıldığının ne yazık ki farkında olamıyoruz. Bu yüzden internette yaptığımız her işlemin kimliğimize dair izler bıraktığının bilinciyle internet işlemlerimizi gerçekleştirmeliyiz. Tespit edilmenin önüne nasıl geçeceğiz diye soracak olursanız VPN gibi çeşitli gizlenme yöntemleri vardır, ancak bu yöntemde de bir başka güvenlik riskleri yer almaktadır. Bu konu için daha sonra ayrıca bir yazı yazmayı düşünüyorum.

İnternette Gezinme
Bir günde ne kadar sayfa ziyaret edip, nerelere farkında olmadan bizi tanımlayacak veya tanımlamak için ipucu sunacak bilgiler sunuyoruz? Bu sayıyı birçoğumuz bilmiyor aslında. Hatta bu yazıyı okurken dahi yan sekmelerde açık duran web sayfalarının aslında ne tür işlemler gerçekleştirdiğinin farkında değiliz. Haber sitesine gittiğimizi düşünüyoruz ama arkada hangi sayfaları ziyaret ediyoruz bunu ne yazık ki göremiyoruz. Bizim denetimimiz dışında yönlendirildiğimiz sayfaların başında reklam, pazarlama ve kullanıcı takibi yapan içerik toplayıcı sayfalar yer almaktadır. Tüm internet tarayıcıları kullanıcının ziyaret ettiği sayfaların tarihçesini tutmaktadır. Gezdiğimiz sayfalardan tutunda verdiğimiz kimlik bilgilerine kadar her türlü kişisel verilerimize bu şekilde ulaşabilmeleri mümkün. Özellikle ortak kullanımda olan bilgisayarlarda ciddi anlamda risk taşımaktadır. Bu tür bilgisayarları kullanırken daha dikkatli olmakta fayda var.

Arama Motorları
Belki de en masum olarak görünen ama en tehlikeli kişisel mahremiyet tehdit aracı. Arama motorları bana göre internetin bu denli gelişip kullanılabilir olmasında en önemli etken. Artık her şeyi arama motorlarına (Google’a) soruyoruz. Tarayıcıya gitmek istediğimiz sayfanın adresini yazmak yerine Google’a yazıyoruz. Yanlış ta yazsak o bizim yerimize düzeltiyor, ne demek istediğimizi hemen anlıyor zaten. Durum böyle olunca her ne sıkıntımız, merak ettiğimiz şey var ise hemen Google’da arıyoruz. Başkalarıyla paylaşmaya çekindiğimiz bir hastalığımızı, tepkilerle karşılaşacağımızı düşündüğümüz siyasi ve dini görüşlerimizi veya hakkında bilgi sahip olmak istediğimiz bir kişiyi hep Google’a soruyoruz. Hem de kimseyle paylaşmadığımızı zannederek. Aslında her sorgumuz, her isteğimiz arama motorları tarafından kayıt altında tutuluyor. Bağlandığımız IP adresi bilgileri de arama motoru servisi sağlayıcısında tutulduğu için hangi aramayı hangi IP yaptı bilgisi ilişkilendirilebiliyor. Arama motorları, IP’nin kime ait olduğu bilgisine sahip olmadıkları için servis sağlayıcıdan bu bilgileri almadıkları sürece çok anlamlı gelmeyecektir. Bu durumda her ne kadar kişisel olarak arama bilgilerimize ulaşılamayacağı düşünülse de kitlesel olarak bir toplumun en çok neleri merak ettiğine ulaşabilirler. Haberlerde sıkça rastlanabilir bu duruma, “2014 yılında Türkiye en çok neyi merak etti” gibi başlıklarla.
Peki arama motorları IP adresinin kime ait olduğunu bilmeden kişisel bilgilerimize nasıl ulaşabilirler, hangi yöntemleri kullanabilirler? Temel olarak en çok kullandıkları yöntemin başında sağladıkları ikinci bir servis geliyor. Örneğin Google’a ait e-posta hizmeti Gmail. Aynı internet tarayıcısının bir sekmesini Google için diğerini de Gmail için kullandığımız zaman mail adresimiz üzerinden sınıflandırma yapılıp arama geçmişimiz kaydedilebilmektedir. Benzer şekilde Yahoo arama motoru kullanırken yahoo-mail’e erişim yapılabilmektedir. Bu yüzden öncelikle arama motorlarının gizlilik (privacy) politikalarına göz atmak daha sonra da bir arama motoruna ait başka bir servisi aynı tarayıcıda kullanmamak veya çevrimdışı arama yapmak faydalı olacaktır.

Çerezler (cookies)
Bir web sayfasının internet tarayıcısında görüntülenmesini sağlayan HTTP protokolü tasarım gereği oturum denetimi (stateless) yapamadığı için kullanıcı takibini çerez (cookie) olarak adlandırılan küçük dosyacıklar yardımıyla yapmaktadır. Bu dosya içerisinde kullanıcı giriş bilgileri, tercihleri, alışveriş sepeti bilgileri gibi bir çok veri tutulabilmektedir. Daha sonra bu verileri kullanarak internet kullanıcısını hatırlama ve yönlendirme işlemlerini gerçekleştirmektedir. Temelde kullanım amacı her ne kadar kolaylık sağlamak olsa da kişisel bilgilerin toplanıp işlenmesi gibi güvenlik risklerini de taşımaktadır.
Örneğin, bir alışveriş sitesinden fotoğraf makinası araması yaptınız ve çıkan sonuçları inceledikten sonra almadan çıkış yaptınız. Daha sonra bu alışveriş sitesini ziyaret ettiğinizde size öneri olarak bir çok fotoğraf makinası sunulacaktır. Bu işlemi internet tarayıcınızda yer alan çerez (cookie) yardımıyla yapabilmektedir. İç kullanıma örnek verdiğimiz bu örnek masum bir reklam kampanyası olarak görülebilmektedir, ancak çerezlerin bir başka firmayla paylaşılması olayı da olabilmektedir. Bu durumda hali hazırda tüm iletişim bilgilerimizin yer aldığı alışveriş sitesi çerez bilgilerini başka bir firmayla paylaştığı zaman bize fotoğraf makinesi satmak isteyen bir çok kişiden SMS, e-posta veya telefon çağrısı almaya başlayabiliriz.
Çerezlerin kötüye kullanılmasını en aza indirmek için yapılması gerekenler sık sık tarayıcı geçmişini silmek, geçmiş kaydı yapmayan tarayıcı kullanmak (incognito) ve en önemlisi asla web sitelerine yüzde yüz güvenmemektir.

Mobil Uygulamalar
Son 5 yılın en çok dikkat çeken teknolojik gelişmeleri düşünüldüğünde şüphesiz akla ilk olarak mobil cihazlar ve mobil uygulamalar gelmektedir. İnternet kullanarak yapacağımız herhangi bir işlemi internet tarayıcısına bağlanmak yerine o işlemle özelleşmiş uygulama aracılığıyla yapıyoruz. Alışveriş, e-posta, bankacılık, harita, kitap, haber ve daha birçok işlem için uygulamalar bulunmaktadır. Apple ve Android marketlerde hemen hemen her işlem için kullanılacak milyonlarca uygulama yer almaktadır. Bu uygulamalardan önemli bir çoğunluğu ücretsiz olarak sunulmaktadır. Uygulamalar, kullanım şekline göre genelde mobil cihazın bazı özelliklerine erişmek ve bilgi almak istemektedir. Harita uygulaması konum bilgisine, sosyal medya uygulaması rehbere, fotoğraf uygulaması albüme erişmek isteyecektir. Bu erişim istekleri uygulamanın daha etkin çalışması için gerekli görülmektedir. Ancak konum bilgisiyle, rehberle veya mesajlarla işi olmayan bir uygulama da iznimiz olmadan veya iznimizi alarak! erişebilir. Uygulamalar ilk açılışta kabul etmemiz gereken bir takım bilgiler sunmaktadır. Genellikle okumadan uygulamayı biran önce kullanmak istediğimiz için bu seçenekleri kabul ederiz. Burada uygulama için gerekmese dahi mobil cihazımızda erişmek istediği alanlar için izin istemektedir. Bazı uygulamalarda ise gizlilik sözleşmesi hiç bulunmamaktadır. Kişisel olarak mobil uygulamaların mahremiyetimizi en çok tehdit eden araç olduğunu düşünüyorum. Bunun en temel sebebi toplanan verilerin doğru kişiyle ilişkilendirilmesi ve bunun kolaylığı.
Burada mobil uygulamaları kullanırken dikkat etmemiz gereken bazı hususlar bulunmaktadır. Öncelikle uygulamayı indirmeden önce mağaza tarafından onaylanıp onaylanmadığına ve kullanıcı yorumlarına bakmalıyız. Kurduktan sonra uygulamanın hangi kaynaklara erişmek istediğine ve bunu bize sorup sormadığına dikkat etmeliyiz. Hiçbir izin almadan kaynaklarımıza erişmek isteyen bir uygulamayı kullanmak yerine muadili bir uygulama bakabiliriz. Cebimizde taşıdığımız cihazın her hareketimizi takip eden, kayıt altında tutan bir araca dönüşmesini elimizden geldiğince engellemeye çalışmalıyız.

E-postalar
E-postalar artık hayatımızın vazgeçilmez bir iletişim aracı. Sağladığı kolaylıklar yanında bazı riskleri de beraberinde getirmektedir. Bir kişinin son 3 yıllık e-posta geçmişini incelediğinizde eminim ki o kişiyi en yakınından daha fazla tanıyabilirsiniz. İş başvurularımız, özgeçmişimiz, sosyal medyada yazdığımız yorumlar, bize gelen davetler, beğeniler, arkadaşımızla eşimizle yazışmalarımız, kredi kartı ekstre bilgileri, hobi kulüplerinden gelen fotoğraflar mesajlar, ödediğimiz faturalar ve benim aklıma gelmeyen daha bir çok bilgiye mail kutumuzdan ulaşabiliriz. Sadece şifresini bizim bildiğimizi ve kimsenin erişemeyeceğini asla düşünmemeliyiz. Şifrenin bir başkasının eline geçmesinin yanında bir de e-posta hizmetini sağlayıcı kurumun aslında tüm mailimizi görüntülendiğini her zaman aklımızın bir köşesinde bulundurup buna göre ne tür bilgileri kişisel e-posta adresimizde tutacağımızı düşünmeliyiz. Bilgileri sildiğimizi düşündüğümüzde aslında gerçekten silinmediğini sadece bize gösterilmediğini de bilmeliyiz J

Anlık Mesajlaşma
İnternetle birlikte hayatımıza giren ve etkisi mobil teknolojilere de uzanan anında mesajlaşma-sohbet uygulamaları sohbet geçmişini kaydederek kullanıcılara geçmişte yaptığı sohbetleri sunma özelliği taşıyor. Kaydetme işlemi lokal bilgisayarda/mobil cihazda olduğu gibi uygulama sunucularında da olabiliyor. Her ne kadar kaydetme seçeneğini aktif etmesek te uygulama kendi veri tabanında tüm konuşma geçmişimizi tutmaya devam edecektir. E-posta kullanımında bahsettiğim gibi sildiğimizi zannediyoruz gerçekten silinmiş oluyor mu? Bu tür anlık mesajlaşmaları kullanırken mesajların uygulama sahibi tarafından kolayca görülebildiğini düşünerek daha bilinçli kullanmak faydalı olacaktır.

Sosyal Ağlar
Mobil teknolojilerle birlikte daha çok kullanmaya başladığımız, adeta her anımızı paylaştığımız bir ortam sunan sosyal medya sayesinde artık her yaptığımız şeyden herkesin haberi var. Sosyal medya’da paylaştığımız bilgilerde e-posta ve anlık mesajlaşmadan farklı olarak en önemli tehdit paylaşımımızı gören veya görme potansiyeli olan kişilerdir. Burada paylaşılan bilgiler bir araya getirilerek kimlik sahteciliği yapmak çok kolay olabilmektedir. Hangi işi yaptığımızı, nerede çalıştığımızı, en çok hangi kafelere gittiğimizi, hangi spor salonunda spor yaptığımızı, arkadaşlarımızın kim olduğunu ve her şeyi paylaşarak aslında kimliğimize dair her bilgiyi paylaşmış oluyoruz. Paylaştığımız tüm bilgilerin kötü niyetli kişiler tarafından kullanılabileceğini göz önünde bulundurarak daha dikkatli ve bilinçli sosyal medya kullanıcı olmak faydalı olacaktır.


11 Mart 2015 Çarşamba

Sizce 2015 yılında bilgi güvenliği dünyası hangi konuları konuşuyor olacak?

2009 yılında bilgi güvenliği alanında çalışmaya başladığım zamanlarda blog.lifeoverip.net adresinde yayınlanan röportajları ilgiyle takip ederdim. Bu röportajlarda sektörde bilgi güvenliği uzmanı olarak çalışan ve sektöre yön veren isimlerle bilgi güvenliği sektörü ve kariyeri üzerine konuşuluyordu. Bilgi güvenliği kariyeri ve gelişimi ile ilgili oldukça güzel sorular soruluyordu. Bu sorulardan en çok ilgimi çekenlerden bir tanesi “yeni başlayanlara önerileriniz nelerdir?” sorusuydu. Bir başka ilgimi çeken soru ise bilgi güvenliğinin geleceği hakkında öngörüleri öğrenmek için sorulan “Sizce 2015 yılında bilgi güvenliği dünyası hangi konuları konuşuyor olacak?” sorusuydu. 2015 yılına daha çok var, o zamana kadar neler neler değişir diye düşünürken göz açıp kapayıncaya kadar geldi çattı. Merak ettim ve acaba 2009 yılında öngörülenler ne ölçüde gerçekleşti diye geçmiş röportajları karıştırdım. Aslında geleceğe yazılmış bir mektuptu bu röportajlar. O yüzden oldukça heyecanla okudum hepsini. Okuduktan sonra da hepsini bir arada paylaşmak istedim. 
Bu röportajlara katılanların ülkenin güvenlik alanında ki gelişimine yön veren kişiler olduğu göz önünde bulundurulduğunda çıkan sonuçların dünyayı doğru okuyup okuyamadığımızı belirlememiz konusunda yardımcı olabileceğini düşünüyorum.

Röportajların tamamını okuduğumda aşağıdaki 4 konunun ön plana çıktığını gördüm. Bugünü düşündüğümde uzmanlarımızın genel olarak tahminlerinde yanılmadıklarını söyleyebiliriz.

  • Mobil Güvenlik
  • Siber Savaş
  • İnsan Kaynağı
  • Veri Sızıntısı
Röportajlar internetten erişilebilir durumda. Aşağıda 20 tanesini seçip paylaştım. Amacım kişilerin söyledikleri üzerinden doğru tahmin edip etmediklerini göstermek olmadığından isimleri paylaşmak istemedim. Röportajların tamamına erişmek isterseniz aşağıdaki parametre ile google’da arama yaptığınızda karşınıza çıkacaktır.
Google arama parametre: “site:blog.lifeoverip.net guvenlik-roportajlari"

Yorum kısmına “Sizce 2020 yılında bilgi güvenligi dünyası hangi konuları konuşuyor olacak?” sorusuna cevabınızı yazabilirseniz 5 yıl sonra açarız pandoranın kutusunu. :))


Sizce 2015 yılında bilgi güvenliği dünyası hangi konuları konuşuyor olacak?



Uzman 1: Mobil güvenlik en büyük alanlardan biri olacak. Teknolojinin bireylere ulaşması ve gündelik hayatımıza hızla girmesi nedeniyle risk kurumlardan bireylere doğru kayacak. Ayrıca ulusal güvenlik ve siber savaş gibi konular çok daha fazla konuşuluyor olacak.



Uzman 2: Açıkçası bilemem ama (bu alan çok değişken bi alan) ama tahmimince gene biraz önce bahsettiğim farkındalıktan, gene ürün üretemekten yada üretememekten vs. yani teknikten ziyade idari ve insani problemleri konuşacağımazı inanıyorum.
Bir de vendor’lar neyi moda ederse onu konuşacağız. 5 sene evvel IDS/IPS’di sonra UTM oldu, sonra birden SSL VPN çıktı şimdi bu aralar DAM ve DLP var. Bu hastalıktan kurtulmamız lazım. Bize empoze edilen şeyleri değil, gerçekten neye ihtiyacımız varsa onu konuşabilmemiz lazım. Bunu da bağımsız, geniş bir gözlükle olaylara bakabilen Trusted Advisor’larla elde edebiliriz. Yoksa sadece ürün danışmanı çok etrafta. Ama güvenilir danışman olabilmek lazım. Keşke bu sektörün tüm çalışanlarında geçinmek, şirketini kara geçirmek gibi günlük, maddi endişeler olmasa da her önlerine gelen projede “senin gerçek ihtiyacın budur, benim ürünüm değil ama şu ürün yapar” diyebilse.



Uzman 3: Kristal küremize göz atalım…
İşin teknoloji tarafına bakacak olursak artık kurumlar bilgi teknolojileri altyapısını korumanın yanında bilginin kendisini de korumalı. Mobil iletişim ve taşınabilir cihazların yaygınlığı kurumsal sınırların yavaş yavaş kaybolması anlamına geliyor. Bu alanda yeni popüler olmaya başlayan teknolojilere bir örnek olarak veri sızıntısı önleme teknolojileri hemen hemen tüm kurumun ilgilendiği ve incelediği çözümlerin başında geliyor. SaaS ve Cloud Computing çok hızlı gelişiyor, bu gelişmeler de kişilerin altyapıyı hemen hemen hiç düşünmeyip, bu yatırımı kurum içinde yapmaktansa tamamen dışardan hizmet olarak alıp, bilginin kendisini korumaya odaklanmasına yardımcı olacaktır. Teknoloji kısmını bir kenara bırakacak olursak bilgi güvenliği de dünyadaki sosyal ve ekonomik gelişmeleri takip edecektir. Her krizde olduğu gibi son krizin de peşinden kurumların daha sıkı denetim altında olması için yeni standartlar, düzenlemeler ve kanunlar çıkmasının yanında mevcut olanların da daha çok önemsenip benimsenmesini beklemek yanlış olmaz, yani compliance/uyumluluk iyice ön plana çıkacaktır. Ve tabii terör ve asimetrik savaş tehdidi ile beraber siber güvenlik ile bilgi güvenliği iyice birbirinin içine geçmeye devam edecek gibi görünüyor.


Uzman 4: İki açıdan bakıyorum ben bu duruma:
Son kullanıcı gözünden, bilincin daha yüksek olduğu bir toplum olacaktır elbette ama tehlikelerin de benzer şekilde daha etkin olacağı bir dünya demek bu. Teknoloji çok değişiyor. Kullanıcı tecrübeleri her geçen gün faklılaşıyor. Buna göre farklılaşan bir bakış ile ilerleyeceğiz diye düşünüyorum. Yeni nesil cep telefonları ve üzerindeki uygulamalar ve sosyal ağlar bu konuda çok güzel örnekler. Bu uygulamalara çok özelimiz bile olsa, birçok bilgiyi “güvenerek” teslim ediyoruz. Daha paylaşımcı, daha az sorgulayan bir kullanıcı profili var bugün. Buna bağlı olarak, yakın zamanda çok ciddi tehlikeler ile karşılaşacağız ve söz konusu tehlikeler son kullanıcıların farkındalığını yükseltecek diye bekliyorum. Keza bir ara sosyal ağ sitelerinden birinde “Privacy” ayarlarının yapılmasının ciddi bir başlık olduğunu hatırlıyorum.
Bilgi güvenliği, devlet ve kurumlar açısından çok daha dikkat edilen ve önemsenen bir konuma gelecek. Bunun yapmamanın acısını yaşayan kurumların örnekleri ile kurumsal bilinç daha da yükselecek ve  birçok konuda uyumluluk aranacak diye düşünüyorum


Uzman 5: Dünyayı bilmiyorum ama Türkiye farklı şeyleri konuşmayacak. Dünyanın konuştuğu şeyleri taklit edecek. Zoraki siber savaşlar çıkacak, çeşitli firmalar belirli konuları empoze ederek farklı teknoloji ve ürün satmaya çalışacak biz de güvenlik bu yöne doğru gidiyor diyeceğiz.



Uzman 6: Bazısı 2010 yılında, bazısı 2015 yılında karşılaşır. Ama firewall larla baslayıp SSL VPN, DLP, NAC a kadar giden bu kadar yeni teknolojinin kurumlara entegrasyonundan sonra çıkabilecek en büyük sorun, bu yapının hakkını vererek işletimini ve optimizasyonu sağlamak olacaktır.  Tabi bunlar büyümenin de getirdiği problemler.  2015 de konuşabilir miyiz bilmiyorum ama cloud ve grid computing in sektör uygulamalarını merakla bekliyorum.


Uzman 7: Ben kredi kartı kullanımı, banka hesapları boşaltılması gibi tehditlerin kalmayacağını düşünüyorum. Saldırılar daha ziyade büyük kapsamlı, kurumlar ve ülkeler arası bilgi çalmaya yönelik olacağını düşünüyorum. Herşeyin internete bağlı olduğu gerçeğinden yola çıktığımızda da o aynı her şeyin internette her saldırıya açık olduğunu söylemek kolay. Nükleer santral, havaalanı, füze üssü, polis teşkilatı gizli bilgileri, askeri bilgiler gibi birçok konu konuşulacak önümüzdeki yıllarda.
Beklenen 3.Dünya savaşının silah yerine siber saldırılarla gerçekleşeceğinin ön işaretlerini Stuxnet ile aldık. Bir ülkenin başka ülke kaynaklarına zarar vermek amaçlı kod yazdırması ve bunu kullanmaya teşebbüsü sanırım bu Dünyadaki gelişmeleri önümüze koyuyor.


Uzman 8: 2015 yılına kadar güvenliğin bir servis ve hizmet sektörüne dönüşme ihtimali çok yüksek. Gazetelerde, halk arasında konu olarak bu mu konuşulur bilemem   Ama şirketsel geleceği bu gözüküyor. Onun dışında kesinlikle hala visual baic scriptleri ve üç boyutlu kullanıcı arabirimleriyle internetten banka soyan film karakterleri olacak, hala virüslerle özel bilgiler çalınacak, zayıf statik şifreler daha da hızlı kırılacak.

Pozitif yönden ise şu anda emekleme devresinde olan web application firewall gibi teknolojilerinin daha da olgunlaşması, aynı zamanda da güvenlik araçlarının merkezi/güvenilir yönetimi konusunda da adım atmasını bekliyorum. Virtualization konusunun da güvenlikle uğraşan insanların başını bayağı ağrıtabileceğini sanıyorum. Belki de 2015 yılı sanallaştırma güvenliğinin çözüldüğü yıl olur.  
Son olarak Kriptografi çiplerinin yaygınlaşmasıyla bilgi şifreleme konusunda da bir atılım yaşanacağını umuyorum. Ama tabii ki bu atılım dijital anahtar yönetimi sorunlarını da beraberinde getirecektir. 15 seneden fazla bir süredir çözülemeyen bu sorunun çözümünün de bize 2050 yılında uzaylılar tarafından ışık hızı üstü seyahat bilgisi ile birlikte verileceğini düşünüyorum! 

Uzman 9:Bilgi güvenliğinin ana konuları değerini yitirmeyecektir; risk/açıklık yönetimi, açıklıklar, standardlar. Yakınsama süreci gerçekleştikçe mobil güvenliğin önemi bir o kadar artacaktır. Her ne kadar eski yapılan hatalardan dersler çıkarılıp, uygulansa da kullanıcı/cihaz sayısının ve bağımlılığın artması beraberinde bilgi güvenliğinin çok daha ciddiye alınmasını getirecektir.

Uzman 10: Şu an IT Güvenliği ile bu kadar çok uğraşıyoruz, çünkü ciddi şekilde canımız yanıyor. Fakat buradaki problemlerin birçoğu artık insan gözünün, algısının üstünde. Bu sebeple, özellikle davranış temelli saldırı tespit sistemlerinin gelişmesi akıllanması ile ve uyumluluk çalışmlarınının belli bir olgunluğa gelmesi ile bu alan gittikçe ölgünleşecek.
Bence 2015 yılında Bilgi Güvenliği, denetim ve servis seviyesi anlaşmaları bölümleri ile birlikte kurumların kendi bünyelerinde barındırdıkları son birkaç bölümden biri olacak. Klasik IT güvenliği diye bahsedilen Bilgi Güvenliği servislerinin (güvenlik cihazları konfigürasyonu, operasyonu başta olmak üzere) 2015’ten önce %100 dış kaynak kullanımına kayacaklar.
Şu anda ne kurumlar ne de servis sağlayıcılar bu tür yönetilen güvenlik servisleri konusunda olgunlaşmış durumda. Samimi düşüncem şu an güvenlik servislerinin pek yönetilebilir olduğunu düşünmüyorum. Elimizde bir fener zifiri karanlık bir ortamda fare arıyoruz. Belki zaman içinde fenerin gücü artıyor olabilir ama odaya da devamlı yeni eşyalar koyuyorlar. Bu yüzden fareleri bulmak gittikçe daha zor bir iş halini alıyor.
Benzetmeyi zorlarsak biraz, önümüzdeki beş yılda odaya konan eşyaların kendi aydınlatmalarının olacağını düşünüyoruz diyebiliriz, çünkü gidişat o yönde. Microsoft gibi dev bir firma, birincil önceliği güvenliğe verdiyse ve şu anki stratejilerinin büyük bir kısmını güvenlikten referans alarak tanımlıyorsa, bu bazı anlayışların değiştiğini gösterir.
Dolayısıyla 2015 yılında çok az firmanın IT güvenlik personeli barındıracağını, güvenlikle ilgili servis vermeyen firmalardaki güvenlik organizasyonunun tamamen dış kaynakları kontrol altında tutmak, onlardan beklenen hizmeti almaya odaklanacağını söyleyebiliriz.
IT Güvenliği problemini belli bir seviyeye kadar çözdükten sonra artık daha üst seviyeden konulara bakabilir olacağız. Bu da bizlerin daha stratejik kararlar verebilmek için önümüzü açacak.
Ben geleceğin Kurumsal Risk Yönetimi (ERM)’de yattığını düşünüyorum. ERM’i kabaca üç bacaklı bir yapı olarak ele alırsak; Operasyon, Finans ve Güvenlik üçgenine baktığımızda en zayıf kısmın güvenlik olduğunu görüyoruz. Malum Finans’ın elinde güç var, Operasyon zaten herşeyi işleten fakat mevcut yapısıyla güvenlik daha belirsiz bir noktada kalıyor. Zira ölçütleri (KPI’ları) hala oturmuş değil. Fakat önümüzdeki yıllarda güvenliğin ERM’deki ağırlığının artacağını ve eş düzey bir oyuncu olacağını düşünüyorum.


Uzman 11:Yavaş yavaş her cihazın bir IP’sinin olacağı (bir buzdolabının bile) geleceğin İnternet uygulamalarını kullanmaya başlıyacağız. Evimizin elektrik tüketimini daha zekice yöneten sayaç yönetim sistemlerini yaygınlaştıracağız. Hastanede tutmak zorunda olduğumuz hastaları, gelişmiş sensörler ve gerekli ağ altyapısını kullanarak mümkün olan en kısa zamanda evlerine yollayıp uzaktan sağlıklarını kontrol etmeye çalışacağız. Bu tür uygulamalar yaygınlaştıkça, bilgi güvenliğini sağlayamamak şu an neden olduğu prestij, para kaybı gibi sonuçların yanında artık doğrudan fiziksel zarar görme sonuçları da doğurabilecek.

Bilgi sistemleri ile erişeceğimiz sosyal ağlar daha da artacak. Şu anda bizim için problem olan kişisel gizliliği sağlayamama problemi muhtemelen daha da kendisini gösterecek. Bilgi paylaşma ve kişisel gizliliği sağlama ikilemini çok daha fazla yaşayacağız.
Gürcistan’da ve Estonya’da gerçekleştiği üzere, aralarında büyük siyasi kriz çıkan ülkeler birbirlerine siber alemde savaş açmaya çalışacaklar. Ülkelerin bu tür siber savaşlara hazırlanma çalışmaları gerçekleşmeye başladı. 2015’de bu çalışmaların çok daha ileri bir düzeye geleceğini düşünüyorum.
Yazılım geliştirme ekiplerinin güvenli yazılım geliştirme döngüleri oluşturmaları özellikle ülkemizde gündeme gelmeye başladı. Bu alanda daha önemli ilerlemelerin olacağını düşünmekteyim.
Ülkemizde, ürünlerin güvenlik değerlendirmesi ile ilgili en etkin uluslararası standart olan Ortak Kriterler’in (Common Criteria) daha da yaygınlaşacağını öngörmekteyim. Özellikle ülkemizin bir ay içerisinde sertifika üreticisi (yani sertifikasyon makamının verdiği sertifikaların bu standardı tanıyan tüm ülkelerce kabul edilmesi) olması sebebiyle ürün güvenlik değerlendirmeleri çalışmalarının daha da artacağını düşünmekteyim.


Uzman 12:Kritik bilgilerin korunması için kullanılan sistemlerin artık bugünün firewall’ları gibi vazgeçilmez güvenlik ürünleri haline geldiğini göreceğiz. Ayrıca arabamızın çalışması için gerekli donanımın üzerindeki işletim sistemine giren virüslerden bahsediyor olacağız.



Uzman 13:Bu konuda hemen size son göz gezdirdiğim kitap ve oradaki 14 temel trendin şekillendirdiği senaryolardan bahsetmek isterim. Kitabın adı “Wireless Foresight: Scenarios of the Mobile World in 2015”. Trendler 2015 yılında Bilgi Güvenliği konusunda konuşulacak hususlarla ilgili çok güzel ipuçları veriyor. Kullanıcıların kendi uygulamalarını geliştirmeleri, kullanıcıların daha da mobil olmaları, hizmet ve uygulama pazarının büyümesi, kullanıcıların mahremiyeti ve bilgi bütünlüğü gereksinimlerinde artış, radyasyon nedeniyle ortaya çıkan veya algılanan sağlık sorunlarına hassasiyetin artması, çevrecilik bilinci ve çevreye verilen önemde artış, mobil teknolojinin gelişme ve yayılma hızı, 3G’nin getirdikleri, İçerik korumanın gittikçe zorlaşması gibi trendler güvenlik dünyasını şekillendirecek yeni veya farklılaşan unsurlar gibi görünüyor.



Uzman 14:Ben mobil cihazlar için güvenliğin giderek daha fazla önem kazanacağını düşünüyorum. Bunun yanında saldırıların çeşitliliği ile  farklı saldırı engelleme sistemleri, izleme sistemleri de gündeme gelecek. IP dünyasının konutlardaki cihazlara kadar uzamasıyla güvenliğin evlere kadar genişlemesi kaçınılmaz olacak. Kişisel olarak ben yine Apple’ın ilginç çözümlerini konuşacağımızı tahmin ediyorum.


Uzman 15:Genel itibari ile risk analiz, güvenlik süreçlerinin takibi, standartlara uyum, zafiyet yönetimi gibi ana konuların konuşulmaya devam edeceğini düşünüyorum. Son yıllarda mobil teknolojilerin kullanımında inanılmaz bir artış söz konusu, dolayısı ile bu yöne eğilimin ve güvenlik ihtiyaçlarının artacağını düşünüyorum.
Ürün satışı yerine kurumların servis satışlarına yönelerek gelir akışını sabit tutmaya yöneldiği göz çarpan bir başka husus. Uygulama problemlerine yönelik güvenlik arayışları devam edecektir, beklide web 3.0 ın sorunlarını konuşuyor olacağız. IPTV ve video-on-demand servislerinin de yaygın kullanılacağı, IP adresine sahip etkileşimli ev aletlerinin artacağı ve buna yönelik güvenlik arayışları ve sorunlarının artacağını da düşünülebilir.
Tüm güvenlik problemlerini istemci tarafında çözmeye çalışarak bu tip ürünlerin işletim sistemi ile entegre geleceğini düşünüyorum. Dolayısı ile Microsoft ile mcafee,symantec gibi firmaların birbirlerine dava açmaya başladıklarını görebiliriz.


Uzman 16:Bugün konuştuklarımızdan farklı şeyler olmayacağını düşünüyorum. Zira dünyanın her yeri interneti aynı zaman diliminde aynı şartlarla kullanmıyor ve bazı şeylerin doğası hiç (insan) değişmiyor.

Bugün hala 6-7 sene öncesinin wormları internette dolanıyorsa bugünkü bazı wormlarda bir 4-5 sene sonra dolanıyor olacak. Ya da on sene önce kullanıcıları kandırarak sistemlerine trojan vs yükleniyordu bugün hala aynı yöntem en geçerli ve tercih edilen yöntemlerden biri. Yapılış şekli değişse de özünde aynı…
Yine temel bilgi eksikliğinden dolayı güvenlik konusu yakında çıkmaza girecek. Hemen her konuda yeni ürün, yeni katman alan güvenlikciler yakın zamanda artık güvenlik sistemlerinin yönetilemez olduğunu anlamaya başlayıp daha basit sistemlere yönelecekler.
Bunların haricinde nerde hareket orda…. misali mobil sistemlere yönelik saldırılar artacak, DOS saldırıları daha fazla yaşanmaya başlayacak ve web güvenliği artık ağ güvenliği gibi bir standarta oturmaya başlayacak. Hacker’lık ciddi bir meslek haline gelecek:)

Uzman 17:2015, çok da uzak bir zaman değil. Bu sebeple konuların çok farklılaşacağını sanmıyorum. Güvenlik problemlerimiz uzun yıllardır aynı aslında. Kimlik doğrulama, şifreleme, yetkilendirme vs. vs. II. Dünya Savaşı sırasında kullanılan elektro-mekanik bir rotör makinesi olan Engima’nın 32 sayfa(attım) kod kitabı varmış hocam diye konuşuyorlardı o zamanın bilgi güvenliği uzmanları sanırım. Sezar’ın şifreleme algoritması hala anlatılır derslerde, ben olsam 5 karakter kaydırırdım falan deriz. 40 bit SSL çerez gibi kırılıyor diye konuştuk bir ara. 2015 yılında bu rakamlar ve teknolojiler biraz daha farklılaşmış olacak. Yeni teknolojilerde güvenlik genelde arkadan geliyor. Bu teknolojiler yaygınlaşana kadar da efsane şeklinde güvenlik açıklıkları konuşulmaya başlanıyor. Özellikle kablosuz teknlojilerin ve her noktadan İnterenet bağlantısının gün geçtikçe hayatımıza daha çok girdiğini düşünürsek sanırım yaygın ağların (pervasive/ ubiquitous networks) komikliklerinden bahsediyor oluruz. Bizim komşu fırınına şifre koymamış, yaktım kestanelerini… diye eğleniriz birbirimizle herhalde  


Uzman 18:Konum tabanlı mobil servisler (location-based mobile services) ve akıllı elektrik şebekesi (smart grid) hayatımıza daha fazla girecekler. Akıllı şebekeler Almanya’da hukuki olarak 2010 yılında zorunlu hale geldiler. Yeni yapılan bütün binalarda akıllı sayaç kurma zorunluluğu getirildi. Bu bahsettiğim servislere özel yeni problemler ön plana çıkacak. Konum mahremiyeti (location privacy), mobil güvenli ödeme sistemleri, akıllı elektrik sayaçlarının kimlik ve yetki denetimi, akıllı sayaçların işlediği verilere sayısal imzaların eklenmesi ve bunların denetlenmesi gibi.

Aynı şekilde firmaların güvenli yazılım geliştirme süreçlerini de daha dikkate alacaklarını, varolan birtakım çalışmaları (OpenSAMM, BSIMM) kendi koşullarına göre düzenleyeceklerini ve bu işe daha fazla kaynak ayıracaklarını düşünüyorum.


Uzman 19:Bilgi güvenliğinde asıl konu aynı kalacak. Sadece zafiyetleri kullanan tehditler yani risklerin adı değişecek. Uyguladığımız kontroller biraz daha gelişecek. Örneğin rol ve yetki kontrolü için uyguladığımız manuel yöntemler, yerini otomatik sistemlere, IDM çözümlerine bırakacak. 

IDM çözümleri de günümüzdeki gibi sadece hesapların yönetimi değil, yetki ve rol yönetimini de kapsıyor durumda olacak. Günümüzde statik olarak nitelendireceğimiz rol tanımları ve kapsamları, gelişen ve sayısı artan sistemlerimizle birlikte, dinamik olarak yönetilmesi gereken bir konu olacak. 


Uzman 20:Bu sizin en dikkatli cevaplanması gereken sorularınızdan J.

Fark ediyorsunuzdur, her süreç her işlem bir bilgisayar kullanıcısı, bir vatandaş ve bir insan olarak düşündüğümüzde internet üzerine kayıyor. Bu nedenle kişisel bilgilerin güvenliğinin, hak ve hürriyetlerin daha çok konuşulduğu, buna rağmen kontrolcü yaklaşımın daha arttığı bir dünyada bulunacağımızı düşünüyorum. 9/11 sonrası doktrini bu şekilde yazdılar. Bu nedenle Siber Savaş da en popüler konulardan olacaktır bizimle ilgili olarak.
Güvenlik tedbirlerinin de daha çok, içeriğin incelenmesi ve buna göre karar verilmesiyle oluşacağı şeklinde bir gidiş de göze çarpıyor. Dolayısıyla her türlü güvenlik aracı da çerçevedense içeriğin denetlenmesine ya da içeriğe göre analize doğru kayacaktır.
Ayrıca bulut bilişim ve bunun güvenliği de eminim ki konuşuluyor olacak. Günümüzde ofis uygulamamızdan posta kutumuza kadar her şeyi, hatta iş süreçlerimizi internet uygulamaları ile götürüyoruz. Bunlar da internet bulutlarında çalışıyor. Bugün çoklu noktada güvenlik olayı ile çoklu kullanıcı etkilenirken, tek bir noktadaki güvenlik olayı ile pek çok kullanıcın etkileneceği bir güvenlik dönemine giriliyor.
Tabii ki mobil cihazlar üzerinde daha komplike işletim sistemlerinin yer alması ile beraber, bu cihazlar da bir güvenlik mecrası olarak ele alınıyor olacak.