2 Mart 2012 Cuma

Bilgi Güvenliği


Bu günlerde çok popüler olan bu tanim, özellikle Bilgi Sistemleri alaninda çalisanlarin uykularini kaçirmaktadir. Çünkü Bilgi Sistemi denildiginde sistem yöneticilerin kurumsal yada kisisel olarak algilamada sadece sistem yönetimi degil bu sistem içerisinde bilgi'nin nasil kullanildigi da büyük önem arzetmektedir. Bu noktada kurumsal yada kisisel bilgi yönetiminde, biz mühendislerin ve sirket yöneticilerinin gözünden kaçan nokta Bilgi güvenligi'nin sirketlerin bilgi sistemleri güvenligini garanti etmedigidir.
Bu makalede Bilgi Güvenligi Bilesenleri ve Saldiri Tipleri üzerinde konusuyor olacagiz.

Su an piyasada bulunan Bilgi Güvenlik sistemlerinin hiçbiri biraz önce söyledigim konu üzerinde garanti vermez, veremez. Sebebi ise güvenligin kisiden baslayarak tüm kurumsala yayilan bir süreç olmasidir. Bu süreç içerisinde belirlenen, özenle hazirlanmis kisi ve sistem rolleri, bilgi güvenligini tamamlayacak en önemli unsurlardir.

Bilgi Güvenligi(INFOSEC), bilgiye yetkisiz erisimi, düzenlemeyi yada kullanmayi yasaklayan eylemler listesidir.

Bilgi Güvenligi - INFOSEC

COMSEC Iletim halindeki bilginin güvenliginden meydana gelir.
EMSEC Sistemlerin bir emisyon cihazi kullanilarak erisilmesini engelleyen güvenlik tipidir.
COMPUSEC Bilgisayar sistemleri güvenligini düzenleyen güvenlik tipidir..
NETSEC Ag güvenliginden sorumlu olan güvenlik türüdür.

Yukarida verilen tablodaki tüm güvenlik tipleri Bilgi Güvenligi(INFOSEC – Information Security) kavramini olusturur.
Kurumsal güvenlik uygulamalarindan tek tip uygulama yapilamayacagi gibi, tek tip güvenlik araçlari da kullanilamaz. Piyasa bulunan hiçbir güvenlik araci, sistemi yada kisi tek basina tüm sirketin güvenligini garanti edemez. Bazi güvenlik uzmanlarinin çok sik düstükleri hatalardan biri de budur.
Güvenlik uygulamalari degisik bilesenlerden meydana gelir bu bilesenlerin her biri dikkatlice yapilandirilmali ve bu yapilandirma hakkinda personel egitilmelidir. Ehliyeti olmayan kisiye araba kullandirilamayacagi gibi güvenlik hakkinda bilgisi olmayan personelden de sirket bilgilerini korumasini istemek biraz saçma olacaktir.





Bilgi Güvenligi Bilesenleri


Antivirüs Sistemleri


Kurumsal ve kisisel bilgi güvenligi uygulamalarinin olmazsa olmazidir. Bilgilere korsan yazilimlar yada kisiler tarafindan ulasilmasini engeleyebilir. Ancak bu programi asan saldirgana müdahele de bulunamaz.

Erisim Kontrolü


Kurumsal ve kisisel bilgilere ulasimda, ulasacak kisilerin izin seviyelerinin ayarlandigi güvenlik sürecidir. Ancak tek basina yeterli degildir. Kaynaga ulasan saldirganin yetkileri yükseltmesi sonucunda etkisiz kalir.

Güvenlik Duvarlari


Güvenlik duvarlari iç agimiza girisleri kontrol eden cihazlardir. Yapilari geregi iç ve dis network arasinda sinir güvenligini saglarlar. Burada unutulmamasi gereken nokta, iyi yapilandirilmis bir güvenlik duvari, dis dünya için sirket güvenligini saglarken, iç agdan gelecek saldirilara karsi etkisiz kalacaktir. Ayrica, güvenlik duvari üzerinde, iç ve dis aglar için izin verilmis baglantilar üzerinde de herhangi müdahele yetenegi olmayacaktir. Iç agin internet üzerinde gezebilmesi için izin verilmis 80 nolu port bir sirket için her zaman potansiyel güvenik açigi olarak algilanmalidir.
Diger bir örnek ise iç agdan gelebilecek saldirilardir. Kablosuz aglarin gelismesi ile meydana çikan güvenlik açiklari sayesinde artik saldirganlar kolayca kablosuz aglara sizarak, iç ag kullanicisi olarak hareket etmektedirler. Bu tip açiklar güvenlik uzmanlarinin, saldirganlari tespit etmesini zorlastirmakta ve bilgi güvenligini tehdit etmektedir.

Akilli Kartlar


Yetkilendirme sirasinda kullanilan iki yoldan bahsedebiliriz. Bunlardan ilki, bildiginiz birsey, ikincisi ise sahip oldugunuz birsey dir.
Sistemlerimize ulasmada kullandigimiz kullanici adi ve sifreler bildigimiz bir seydir. Ancak insanoglu bildigi seyleri unutabildiginden, bir yerlere yazma geregi yada not etmek geregi hissetmistir. Bildiginiz birsey güvenlik uygulamalarinda tek basina kullanilmamalidirlar.
Ilk noktada çikan güvenlik zaafiyetlerinden dolayi, akilli kartlar, yani sahip oldugumuz bir sey, kullanilmaya baslanmistir. Ancak kartlarin çalinma olasiligi ve çalisanlarin yeterli önemi göstermemesi diger bir güvenlik açigini beraberinde getirmistir.

Biometric Uygulamalar


Biometrik yetkilendirme tipleri asagidaki gibidir.

• Parmak izi
• Retina/Iris – Göz taramasi
• Palm çiktilari
• Avuç içi tarama
• Yüz okuma
• Ses tarama

Sizma Tespit - Inttrusion Detection


Bazi sizma tespit programlari henüz sizma olmadan sizmayi engeleme yeteneklerine sahiptirler. Hatta piyasadaki yeni ürünler Sizma Engelleme Sistemi – Intrusion Prevention System olarak adlandirilmaktadir. Bu sistemlere örnek olarak tel örgülere çekilmis hareket algilayici fiber optik kablolari verebiliriz.

Poliçe Yönetimi


Kisisel görüsüme göre en iyi güvenlik uygulamalarindan biri Poliçe yönetimidir. Güvenligin en zayif halkasinin insan oldugunu düsünürsek, yazilan poliçe ve kurallar sayesinden çalisanlarin hangi seviye güvenlik kurallarina uymak zorunda olduklari belirleyebiliriz. Ancak tek basina sirket güvenligini saglamaz.

Güvenlik taramalari


Belirlenmis zamanlarda sistemlerin güvenlik taramalarinin gerçeklestirilmesi gerekir. Bu sayede güvenlik açiklari tespit edilir ve kapatilir. Özellikle üretici firmalarin çikardigi yamalarin takip edilmesi ve sistemlere yüklenmesi hayati önem tasir.

Bilgi Sifreleme


Bilgi sifreleme bilgi transferleri sirasinda dikkat edilmesi gereken en önemli noktalardan birisidir. Özellikle yüksek önem derecesine sahip belgelerin 3.cü kisiler tarafindan dinlenememesi, okunamamasini saglar. Bugün birçok kurumsal sirket depolama esnasinda da sifreleme teknigini kullanmaktadir. Sifreleme teknigine örnek olarak web sunucularindaki SSL sifreleme teknigi verilebilir.

Fiziksel Güvenlik


Fiziksel güvenlik, çalisanlarin güvenli bir sekilde veri kaynagina ulasimini saglayan mekanizmadir. Örnek olarak özel güvenlik elemanlarinin bir sirketi korumasi, o sirkette çalisanlarin rahatça islerini yapmalarini gösterebiliriz.
Yukarida kisaca bilgisini vermeye çalistigim bilgi güvenligi ve bilesenleri, sadece is yasantimizda degil kisisel bilgi güvenligimizi koruma noktasinda da çok yüksek öneme sahiptir.

Saldiri Tipleri


Günümüzün tüm kurumsal sirketlerinin bilgi ve bilgisayar sistemleri hergün küçük yada büyük birçok saldiriya maruz kalmaktadir. Bu saldirlar karsisinda korunabilmek için ilk olarak saldiri tiplerini anlamamiz gerekmektedir. Bu saldirilarin bazilari bilerek bazilari ile kullanicilarin yanlis kullanim sonrasi kaza ile meydana gelen saldirilardir. Dört çesit saldiri tipinden bahsedebiliriz. Bazi saldiri tiplerinin tam karsiligi olmadigindan Türkçe karsiligi bir anlam ifade etmeyebilir. Ancak sonraki bölümlerde detayli olarak anlatilmistir.

• Access - Erisimin Saldirilari
• Modification – Bilginin degistirilmesi.
• Denial of Service – Hizmete erisim iptali.
• Repuidation – Redetme, inkar etme anlamina gelen saldiri tipi.

Access - Erisim Saldirilari
Erisimin saldirilarini kisaca yetkisi olmayan kullanicilarin kaynaklara erisimi olarak açiklayabiliriz. Bu saldiri hem bilginin transferi esnasinda hem de bilginin depolandigi yerde olabilir. Örnek olarak yetkisi olmayan bir kisinin kripto odasina girmesini verebiliriz.

Snooping
Snoop kelime olarak merakli kisi anlamina gelir. Saldirgan, bilgiler arasinda kendi isine yarayacak bilgi bulana kadar dolasir, yani dolasan bilgiyi dinler.

Evasdropping
Iki kisi yada iki bilgisayar arasindaki bilgi degisimini dinleme yada izlemeye verilen isimdir. Saldirganin haberlesmeyi yapan iki nokta arasina kendisini konuslandirmasi gerekmektedir. Pasif saldiri seklidir öünkü saldirgan bilgi akisini kesmez. Kendisi üzerinden bilginin akmasina izin verir.

Interception
Durdurma yada kesme anlamina gelir. Evasdropping tipi saldirinin tersine aktif bir saldiri tipidir ve saldirgan akan bilgilerini kendi üzerinde toplar ve gitmesi gereken hedefe ulasmasini engeller.
Erisim saldirilari hem fiziksel hem de elektronik erisim saldiralari olarak gruplandirilabilir.
Fiziksel erisim saldirilari adindan da belli oldugu gibi fiziksel olarak bilgi kaynaginin bulundugu bölgeye erisimin olmasini gerektirir. Bunlar arasinda;

• Dosya dolaplari
• Ofis içerisindeki çekmeceler.
• Masaüstü notlari
• Faks cihazlarinda unutulan belgeler.
• Yazici tepsilerinde unutulan çiktilar.
• Çöp kutulari.
• Arsiv alanlari.

Elektronik erisim saldirlarina örnek verecek olursak;
• Masaüstü bilgisayarlar
• Sunucular
• Tasinabilir bilgisayarlar
• Diskler
• CD yada DVD
• Yedekleme uniteleri

Elektronik erisim saldirilari genelde yetkilendirmelerin iyi yapilamadigi sistemler üzerinde gerçeklesmektedir. Iyi yapilandirilmis bir sistemde eger kullanici yetkisi olmayan bir kaynaga erismek istediginde red edilir ve bu islem güvenlik uzmanlarinin incelemesi için kayit altina alinir. Bugün bir çok kurumsal sirket bu tür kayitlari izlemek için izleme(Audit) bölümleri kurmaktadirlar. Eger ileri seviye bir saldirgan ise o zaman erisim seviyesini yükseltmeye çalisir. Bu islemleri yaparken yapilandirmadaki ve isletim sistemlerindeki açiklardan yararlanir.
Yerel agdaki elektronik erisimler Sniffer adi verilen trafik dinleyeciler tarafindan yapilabilirler. Trafik dinleyiciler, agda gezen tüm bilgileri kayit altina alirlar.
Telefon hatlarinda ise bu islem hatta girme yada kancalama adi da verilen dinleme sekli ile yapilir. Ancak bu durumda fiziksel olarak bölgeye erisimin olmasi gerekir. Mobil cihazlarda ise buna gerek yoktur.
Interception saldirilari, saldirilar içerisinde, bilginin kesilmesi nedeni ile en tehlikesi olarak göze çarpar.

Modification - Degistirme Saldirilari
Bilgiyi degistirme saldirilarinda saldirgan izni olmadigi halde belge yada veri üzerinde degisiklik yapar. Bu saldiri belge yada bilginin oldugu herhangi bir yerde gerçeklesebilir. Bu saldiri tipini alt bölümlere ayiracak olursak, asagidaki listeyi elde etmis oluruz.

• Degisiklik yapmak
• Bilgi yada belgeye ekleme yapmak.
• Bilgi yada belgeyi silmek.

Bu tip saldirilarda ayni erisim saldirilarinda oldugunu gibi iki kategoride toplanabilirler. Ancak bu tip saldirada kagit üzerindeki belgelerin tespit edilmeden degistirilebilmesi çok zordur.
Elektronik ortamda bulunan belge yada bilgilerin degistirilmesi için saldirganin;

• Gerekli izinlere sahip olmasi gerekir. Yoksa izinleri yükseltme yoluna gidecektir.
• Bilgisayar sistemindeki açiklar üzerinde bilgi sahip olmasi gerekir.

Degisim saldirilarinda transfer halindeki belgelerin degistirilmesi imkansiz oldugundan ilk olarak veri akisinin kesilmesi gerekir. Bunun içinilk olarak interception saldirisi yapilir. Interception saldirisi yapildiktan sonra bilgi yada belge üzerinde gerekli degisiklik yapilir ve hedefe gönderilir.

DDoS Saldirilari
Internet ortaminda sikça duydugumuz bu saldiri tipi kullanicilarin bilgi yada belge kaynaklarina ulasmasini engelleyen saldiri tipidir. Su internet üzerinde en yaygin olan saldiri tipidir. DDos saldirilari degisik tiplerde yapilabilir.

• Denial of Access to Information – Bilgiye ulasimi engeller.
• Denial of Access to Application – Bir programa ulasimi engeller.
• Denial of Access to System – Hedef sistemlere ulasimi engeller.
• Denial of Access to Communication – Iki yada daha fazla nokta arasindaki haberlesmeyi engeller.

Yukarida siraladigimiz saldirilarin hepsi degisik sekillerde yapilabilir. Elektronik DoS saldirilarinda bilgiye erisim engellenecegi gibi tüm yedeklere erisimde silinerek engellenebilir.
DoS saldirina en iyi örnek veri transferini saglayan kabloyu kesmek olarak gösterilebilir. Ancak günümüz aglarinin gelismis olmasi ve yedekli hatlar ile destekleniyor olmasi bu saldirinin verecegi zarari minimum seviyede tutabilimektedir.
DoS saldirilarinin en popüler olani çok büyük hacimlerdeki trafigin kurban sistemlere gönderilmesidir. Saldiriya maruz kalan sitelerin gelen isteklere cevap vermeye çalisirken, kulanici isteklerine cevap verfemeyecek ve devre disi kalacaklardir. 2002 yilinda gerçeklestirilen üst seviye DNS sunuculari olan root server saldirilari bu tip saldiriya en iyi örnektir.
Kazi sirasinda kesilmis bir fiber optik kablo bile DoS saldirisi olarak degerledirilmeli ve çözüme kavusturulmalidir.

Repudiation - Red, Inkar Etmek
Bu tip saldirilar ulasilmak istenilen bilgi hakkindan yanlis yada hiç bir bilgi vermemek olarak da tanimlanabilir.

Masquerading: Baska bir kisi gibi davranarak bilgi vermek. Ayni ag üzerinde olan iki makiden birinin, diger makine IP adresini alarak, o makineymis gibi davranmasi örnek olarak gösterilebilir.

Red Etmek: Kayit altina alinmis bir olayi red etmek. Sirket kredi karti ile yapilmis bir alisverisin, alisverisi yapan kisi tarafina rededilmesi örnek olarak gösterilebilir.

Hiç yorum yok:

Yorum Gönder