hoşgeldin 2013 ve tehditleri • veritabanınız güvende

hoşgeldin 2013 ve tehditleri • veritabanınız güvende

2013
• HOŞGELDİN 2013 VE TEHDİTLERİ
• VERİTABANINIZ GÜVENDE Mİ?
• SED (SELF ENCRYPTING DISCS): KENDİNDEN ŞİFRELEMELİ DİSKLER
• UNDERGROUND
• FIREEYE: GELİŞMİŞ SİBER ATAKLARA EN İYİ CEVAP
• CYBEROAM UTM NEXT GENERATION (NG) SERİSİ
• KİMLİK DENETİMİ ÇÖZÜMLERİNDE GÜNCEL YAKLAŞIMLAR
Şubat 2013 beyazşapka 1
Seminerlerimizden Kareler
2 beyazşapka Şubat 2013
Değerli abonemiz,
İçindekiler
04 >> Hoşgeldin 2013 ve Tehditleri
Serkan Akcan
06 >> Veritabanınız Güvende mi?
Ümit Akkuş
08 >> SED (Self Encrypting Discs):
Kendinden Şifrelemeli Diskler
Tarkan Çiçek
10 >> Underground
İrfan Kotman
14 >> FireEye: Gelişmiş Siber Ataklara
En İyi Cevap
Güner Tanrıverdi
16 >> Cyberoam UTM Next Generation (NG) Serisi
ve Misafir Kullanıcı Yönetimi İçin SMS Tabanlı
Kimlik Doğrulama
Murat Ergun
18 >> Kimlik denetimi çözümlerinde güncel
yaklaşımlar
Serhat Kahraman
Beyaz Şapka bilgi güvenliği dünyasındaki gelişmeleri başta Nebula Bilişim
müşterileri olmak üzere tüm okuyucularına aktarma, bilinç ve bilgi
düzeyini geliştirme amacıyla 2006 yılının Şubat ayında doğdu. Tam yedi
yıldır Beyaz Şapka’ya saymakla bitmeyecek kadar yoğun emek, zaman ve
bütçe harcadık. Bu süre ticari, devlet veya sivil toplum kökenli diğer tüm
bilinçlendirme aktivitelerinin en uzunlarından biri. Türkiye’de bu kadar
uzun süre yürütülmüş proje sayısı yok denecek kadar az. Nebula Bilişim
olarak öncelikle yedi yıl boyunca Beyaz Şapka’ya hayat vermemize
katkıda bulunan tüm sponsor ve yazarlarımıza teşekkür ederiz.
Bilgi güvenliği dünyası sürekli vites büyütüyor. Onbeş yıl önce sadece
antivirus ve güvenlik duvarından ibaret olan bilgi güvenliği dünyasında
bugün konuşulan kavramları sayfalara sığdırmak mümkün değil. Güvenlik
tehditlerinin toplam sayısı ve türü inanılması güç bir hızla artarken
güvenlik teknoloji ve yaklaşımları da sürekli gelişiyor.
Yedi yıldır bilgi güvenliği kavramını masanıza taşıyan Beyaz Şapka’nın
artık içerik olarak yeterli olmadığını düşünüyoruz. Bugünün güvenlik
dünyası daha fazla teknik detay, daha derinlemesine analiz ve daha
yüksek hız gerektiriyor.
Nebula Bilişim olarak müşterilerimizin taleplerini de dinleyerek
2013 yılında yeni bir iletişim programı oluşturduk. Zaman zaman
düzenlediğimiz seminerlerimizi sıklaştırarak çok daha yoğun bir teknik
bilgi akışını Beyaz Şapka’ya paralel olarak sağlayacağız. Ortalama ayda
bir gün düzenleyeceğimiz seminerler ile müşterilerimizin sürekli olarak
güncel kalmalarını sağlamaya çalışacağız. Şimdiden bir seminer takvimi
hazırladık. Bu seminerlerimiz içeriklerine göre özel davet veya genel
davet şeklinde sizlere iletilecek.
Seminerlerimiz tıpkı Beyaz Şapka’da olduğu gibi sadece CRM sistemimizde
kayıtlı müşterilerimizin katılımına açık olacak ve sadece kayıtlı kişilere
davetiye gönderilecek. Bu nedenle Beyaz Şapka abonesi olmayan
kurum çalışanlarınızın abone olmak için bizimle temasa geçmelerini rica
ediyoruz.
www.nebulabilisim.com.tr
2013 yılında da müşterilerine en iyi hizmeti ve en geniş bilgi kaynağını
sunan bilişim şirketi olma özelliğimizi korumak amacıyla çalışmaya
devam ediyoruz.
Beyaz Şapka Nebula Bilişim tarafından
üç ayda bir yayınlanır ve Nebula Bilişim
müşterilerine ücretsiz dağıtılan
bir broşürdür. Beyaz Şapka Nebula
Güvenli Günler!
Bilişim’in tescilli markasıdır ve
her hakkı saklıdır.
Beyaz Şapka Ekibi
Şubat 2013 beyazşapka 3
Serkan AKCAN
[email protected]
Hoşgeldin 2013 ve Tehditleri
Yeni yıl eli boş gelmedi. İşte size güvenlik üreticilerinin yayınladıkları
2013 tehdit raporlarının bir özeti.
Üreticiler her yıl sonunda yeni yıla ait tehdit raporlarını
yayınlarlar. Bu raporları uzuncadır takip ettiğimden bazı
bölümlerinin abartılı ve gerçekten uzak olduğunu, bazı konuların
ise üreticilerin ürün portföylerinde karşılığı bulunmadığı için
gözardı edildiğini biliyorum. Bu nedenle 2013 yılının ilk Beyaz
Şapka sayısında tehdit raporlarını özetleyen ve eksikleri
kapatan bir yazı yazmaya karar verdim. Bu yazıyı önemseyip
risklere karşı önlem almaya çalışırsanız amacıma ulaşmış
olacağım. Lafı uzatmadan raporlanan tehditleri sıralayalım.
Rootkit bildirimi yapılıyor. Ve bu zararlı yazılımlar klasik uç
nokta güvenliği yazılımları ile tespit edilemiyor. Rootkit’lerle
mücadelede etmek kolay değil ama imkansız da diyemeyiz. Intel
ve McAfee’nin birlikte geliştirdikleri hardware assisted güvenlik
teknolojileri ve whitelisting mantığı ile çalışan bütünlük kontrol
yazılımları çözüm olabilir. Rootkit’lerin riski çok yüksek tehditler
olduğunu bilmeniz ve olası önlemleri düşünmeniz gerektiğini
büyük bir ısrarla yineliyorum.
Advanced Persistent Threat (APT)
Mobil Güvenlik
Mobil güvenlik konusu neredeyse tüm tehdit raporlarının bir
numarası. Mobil işletim sistemlerinin çok uzun bir geçmişe
sahip olmaması ve henüz tam oturmaması nedeniyle büyük
zaafları bulunuyor. Doğrusu bu zaafları da internet korsanları
2012 yılında çok iyi değerlendirdi. Mobil cihaz güvenliğindeki en
önemli problem yeterince gelişmiş güvenlik yazılımlarının henüz
piyasada bulunmaması. Basit bir Firewall yazılımı ile risklerin
birçoğunu bertaraf edebiliriz ama gerek telefon ve işletim
sistemi üreticilerinin izin vermemesi gerekse yazılım geliştirici
şirketlerin güvenlik tarafına odaklanmaması nedeniyle gelişmiş
bir Firewall yazılımına sahip değiliz. Bizim öngörümüz mobil
cihaz güvenliği alanının gelecekte uç nokta güvenliği (endpoint
protection) ürün grubuna dahil olacağı. Ancak bugün için
mobil cihazlar gerçekten güvenliğini sağlamakta zorlandığımız
cihazlar. Bu sayıda yer alan İrfan Kotman’ın yazısı konu
hakkında fikri olmayanlara ışık tutacaktır.
Bazı üreticiler NFC ataklarını ve solucanlarını ayrı bir tehdit
türü olarak bildirmişler ancak bu tehditleri ben mobil güvenlik
konusunun bir alt başlığı olarak görüyorum.
Rootkit
Rootkit’ler işletim sistemine legal bir yazılım olarak kendini
yerleştiren ve güvenlik yazılımlarınca tespit edilemeyen zararlı
yazılımlardır. Rootkit sayısı gün geçtikçe artıyor. Dünyanın
en büyük güvenlik üreticisine göre günde 500’e yakın yeni
4 beyazşapka Şubat 2013
Bir APT ile karşılaşma ihtimaliniz muhtemelen bir Rootkit
ile karşılama ihtimalinizden düşüktür. Ancak bir APT ile
karşılaşmanız gerçekten çok pahalıya mal olabilir.
APT belirli bir hedefe belirli bir amaçla ısrarla saldıran
zararlı yazılımlara verilen ad. Stuxnet sektörde en iyi bilinen
APT. Devlet destekli yazıldığı bilinen Stuxnet İran nükleer
santrallerinden bilgi sızdırmaya çalışıyordu. Ülkemizde özellikle
bankacılık alanında APT türünde zararlı yazılımlarla karşılaştık.
Dolayısı ile bilgi güvenliği ve risk yöneticileri sadece kendi sektör
veya kurumundan veri çalmaya yönelik geliştirilmiş özel zararlı
yazılımlar olabileceğini düşünmek ve önlem almak zorunda.
Hacktivism
Hacktivism kelimesi Hacking ve Activism kelimelerinin birleşmiş
hali. Siyasi veya toplumsal bir amaç için internet korsanlığı
yapılmasına hacktivism deniyor. Dünyada Anonymous grubu,
Türkiye’de ise RedHack grubu 2012 yılında kendinden sıkça söz
ettirdi. Devlet kurumları, sivil toplum örgütleri, belediyeler ve
hatta büyük şirketler hacktivism aktiviteleri için güzel kurbanlar
olmaya 2013 yılında da devam edecekler.
Devlet destekli ataklar
Stuxnet, Flame ve Shamoon gibi atakların devletlerin desteği
ile yapıldığı biliniyor. Yakın geçmişte Gürcistan savaşının nasıl
bir siber savaşa sahne olduğu da malum. Başta ortadoğu
bölgesi olmak üzere
dünyadaki
karışıklık
da ortada. Dünyadaki
bütün silahlı kuvvetler
ve istihbarat teşkilatları
gibi devlet kurumları
siber savunma ve saldırı
birimleri
kurmaya
başladılar. Önümüzdeki
dönemlerde
devlet
destekli atakları ve ulusal
güvenlik terimini çok
daha fazla duyacağız. Bu
durum devlet kurumları
kadar ulusal hizmetler
üreten banka, medya ve
üretim sektörlerini direk
ilgilendiriyor.
Hacking as a Service
90’ların sonlarında ve 2000’lerin başlarında hacker olmak için
biraz teknik bilgiye sahip olmak gerekiyordu. 2000’in sonlarına
doğru yazılım geliştiricileri otomatik güncelleme sistemlerini
yaygınlaştırdılar ve hacker olmak için daha çok teknik bilgiye
ihtiyaç duyulmaya başlandı. 2010’ların başında ise bir miktar
para sahibi olmak herkesi hacker yapmaya başladı.
Bir şifre kırmanız gerekiyorsa ve bu konudan hiç anlamıyorsanız
sadece 20 dolar ödeyerek işinizi görebilirsiniz. Birçok DDoS
atağı, şifre kırma işlemi, exploit veya malware içeren phishing
türündeki eposta gönderimi, türlü botnet aktiviteleri, bilgi
sızdırma girişimleri ve hatta web hacking atakları çok düşük
fiyatlarla hacking as a service olarak satın alınabiliyor. Bu
hizmetlerin 2013 yılında büyük bir hızla yayılması bekleniyor.
Dolayısı ile karşımızdaki siyah şapkalıların sayısı inanılmaz bir
hızla artıyor.
Raporlarda yer almayan konular
Üreticiler normal olarak ticari faaliyetlerinin bulunduğu alanlara
odaklanıyor ve raporlarını genelde bu yönde üretiyor. Yukarıda
kısaca raporların birleştirilmiş özetini okudunuz. Ancak hiçbir
raporda göremediğim çok büyük tehditler var. Bunları da kısaca
eklemek istiyorum.
Rogue software
Özellikle bireysel pazarda bulunan bir tehdit. Türkiye gibi
lisanssız yazılım kullanımının yaygın olduğu pazarlarda işletim
sistemleri kırılıyor ve Internet’te crack sitelerinde bulunan başta
antivirus olmak üzere çeşitli yazılımlar indiriliyor. Bu yazılımların
bir kısmı “fake antivirus”, bir kısmı zararlı kod gömülmüş
yazılım, bir kısmı ise ransomware’den ibaret. Ransomware
yeni bir kavram. Bilgisayarın kullanımını engelleyen bu zararlı
yazılımlar çeşitli kurumları taklit ediyor ve para gönderilmezse
bilgisayara getirdiği engellemeyi kaldırmıyor.
Certificate Authority (CA) Problemi
Çözümü bulunmayan ciddi bir güvenlik konusu. Certificate
Authority (CA) şirketleri sırayla hack ediliyor veya hatalı
sertifika üretiyorlar. Verisign, Diginotar ve Comodo’dan
sonra maalesef Türktrust’da önemli bir güvenlik problemine
neden oldu. Türktrust 8 Ağustos 2011 tarihinde iki SSL
sertifikası üreterek müşterilerine teslim etmiş. Ancak sıradan
SSL sertifikası olması gereken sertifikalar üretim hataları
nedeniyle “sertifika imzalama” hakkına sahip olarak üretilmiş
ve bu hata kullanılarak Google’ın sahte sertifikaları üretilmiş.
Problem Google tarafından Aralık 2012’de tespit edilince
gerekli araştırma ve düzeltmeler yapılmış. Detaylı bilgiyi
Türktrust’ın resmi web sitesinde bulabilirsiniz. Sonuçta belkide
bilgi güvenliği konusunun en güvenilir ayağı olarak görülen CA
birçoğumuza artık yeteri kadar güven vermiyor. 2013 Yılında
sertifika otoriteleri ve kimlik doğrulama üreticileri gibi güvenilir
kaynakların hack edildiğini sıkça duyacağız. Bu zaafiyetler ve
ataklar dünya çapındaki tüm internet kullanıcılarını etkileyecek.
2013 Yılınızın sağlıklı ve güvenli geçmesini dilerim.
Şubat 2013 beyazşapka 5
Ümit Akkuş
[email protected]
Veritabanınız Güvende mi?
Varsayalım şirketinizin CEO’sunun okuduğu bir makaleye göre sektördeki
bir şirketin veritabanından kredi kartı numaraları çalınmış ve şirket bunu
müşterilerine açıklamak zorunda. CEO’nuz sizi ofisine çağırdı ve sordu:
“Veritabanlarımız güvende mi?”.
Vereceğiniz cevap ne olur? Araştırmalar, kayda geçen
ihlallerin %92’sinden fazlasının bir veritabanını içerdiğini ve
bunların %87’den fazlasının önemli teknik beceriler gerektiren
suistimalleri temel aldığını göstermektedir. Başka bir deyişle,
bunları yapanlar, oyun oynayan canı sıkkın yeni yetmeler
olabilirdi. Ancak, CERT tarafından gerçekleştirilen yıllık
araştırmaya göre, veritabanı ihlallerinin %50’ye ulaşan bir
bölümü içeriden gelmektedir.
Veritabanı yöneticileri iyi bir şeyi bozmak istemez
Veritabanları sürekli olarak kullanımda ve son
derece önemli oldukları için, veritabanı yöneticileri
performans ve kullanılabilirlik için inşa edilmiş
“altın” veritabanı yapılandırmaları oluşturmak
isterler. Veritabanı yöneticileri bu yapılandırmaları
değiştirmek, veritabanlarına yama yapmak veya
sunucularına “performans öldürücü” güvenlik
yazılımı eklemek için çok isteksizdirler.
Her yama duyurusu güvenlik açıklarınızı artırır
Güvenlik açıkların en kritik dönemi, veritabanı
yönetim sistemi (DBMS) sağlayıcılarının bir
güvenlik yamasını duyurduğu zamandan yamanın
uygulandığı zamana kadar geçen süredir. Bu altın
fırsat aralığında, korsanlar bir süreliğine suistimal
edilebilir durumda olan bir zayıflık hakkında bilgi
sahibi olur.
değildir. Aslında, bunları yapanlar, suç örgütlerinin üyeleri
olarak güzel ama dürüst olmayan hayatlar süren bilgisayar
biliminin en iyi zekalarından bazılarıdır. Veya, sıklıkla olduğu gibi,
kimse bakmazken, özel veri varlıklarının “mağazasını soyan”
hoşnutsuz çalışanlardır.
Veritabanı ihlallerine sebep olan sorunları aşağıdaki gibi
listeleyebiliriz;
Eski alışkanlıklar zor terk edilir
Şirketlerin kurumu ağ düzeyinde koruması ve böylece en iyi
şekilde korumayı sağlamayı umması, yaygın bir uygulamadır.
Tüm tehditler dışarıdan geliyor olsaydı, bu, makul bir strateji
6 beyazşapka Şubat 2013
Yangınla mücadele yalnızca itfaiyeciler içindir
Çoğu işletme, PCI–DSS’a, SOX’a, HIPAA/HITECH’e veya kendi
sektörlerini etkileyen her türlü düzenlemeye uyum sağlamak
için ellerinden geleni yapar. Bunların çoğu veritabanına yama
yapma konusunda hassastır. Bunun sonucu olarak gelişen
düzenli yamaya rağmen, veritabanı güvenlik açıkları devam
edecektir. Dolayısıyla, yalnızca tek bir veritabanı tehlikeye maruz
kaldığında, iş belirsiz bir süre için kullanılamaz duruma gelebilir.
Gelişmiş ısrarcı tehditler ve siber savaş
Bugün, çevrimiçi kimlik ve veri daha önce hiç olmadığı kadar
önemlidir. Bu nedenle, şifre kırıcılar ve siber suçlular genellikle
gelişmiş ısrarcı tehditler (APT’ler) olarak adlandırılan, gizli ve
çok iyi hedeflenmiş yöntemler benimser. Bu saldırılar verilerinizi
çalmadan önce ağ, işletim sistemi ve son olarak da veritabanı
katmanlarını yavaşça ama sistematik olarak suistimal eder.
Çözüm düzeyi II: Bilinen zaafiyetlere karşı yama çıkmadan
önce koruma sağlanması
Sanal yamalar, bilinen güvenlik açıklarına ve yamalanmamış
veritabanları üzerindeki SQL eklemeleri saldırılarına karşı
koruma sağlar. Tüm veritabanı komutları, önceden tanımlanmış
kurallar dahilinde, bellekte izlenir. Bu kurallar tetiklendiğinde
oturum, kullanıcı veya IP adresi sonlandırılarak saldırılar
engellenebilir. Güvenilir bir denetleme izi sağlamasının yanı
sıra, yeni keşfedilmiş güvenlik açıkları için düzenli olarak sanal
yama güncellemeleri de sunar. McAfee Virtual Patching for
Database,veritabanının kapalı kalma süresine gerek duymadan
sanal yamaları uygulamanızı sağlar ve veritabanı sağlayıcısı
tarafından bir yama yayınlanıncaya ve siz bu yamayı veritabanına
uygulayıncaya kadar hassas verileri korur.
Çözüm düzeyi III: Genişletilmiş veritabanı ortamını izleme,
yönetme
Bu sorunlara McAfee yaklaşımıyla üreteceğimiz çözümler ise
aşağıdaki gibi olacaktır.
Çözüm düzeyi I: Veritabanı güvenlik açığı değerlendirmesi
Bir veritabanı ortamının güvenliğini sağlamak için, üreticileri ve
teknoloji platformları ne olursa olsun veritabanı varlıklarınızı
otomatik olarak keşfedebilmeli ve bunların geçerli yapılandırma
durumlarının farkında olmalısınız. Bu veritabanlarının
yapılandırma bilgilerinin tüm envanterini oluşturabilmeli, en son
yamaların uygulanıp uygulanmadığını belirleyebilmeli ve ortak
zayıflıklar için test edebilmelisiniz. Bu özellikler, yönetmeliklere
uygunluğu gösterme ve veri güvenliğini sağlama yönündeki tü
m çabalar için temel niteliğindedir ve McAfee çözüm grubunda
McAfee Vulnerability Manager for Databases tarafından sunulur.
McAfee Vulnerability Manager for Databases, Oracle,
Microsoft SQL Server, IBM DB2 ve MySQL de dahil olmak
üzere önde gelen veritabanı sistemleri içinde 4,500’den fazla
güvenlik açığı denetimi gerçekleştirir. Hemen hemen her
tehdit vektörüne karşı riskleri değerlendirir, en son yamaların
uygulanıp uygulanmadığını belirler, açık metinlerde yer alan
kredi kartı numarası ve sosyal güvenlik numarasının varlığının
yanı sıra, güvenliği zayıf parolalar ve varsayılan hesaplar gibi
ortak zayıflıklar için test yapar. Tarama sonuçlarını düzenler,
önceliklendirir ve onarmak için komut dosyaları ve öneriler
sunar.
McAfee Database Activity Monitoring (DAM), otomatik olarak
ağınızdaki veritabanlarını bulur, onları önceden yapılandırılmış
bir dizi savunmayla korur ve ortamınız için özelleştirilmiş bir
güvenlik ilkesi oluşturmanıza yardımcı olur; uygunluk durumunu
denetçilere
kolayca
göstermeyi
sağlar.Yamalanmamış
veritabanının bilinen zaafiyetlerine karşı gerçekleştirilecek
sıfırıncı gün saldırılarını engeller. Her bir veritabanı sunucucunda
yerel olarak faaliyetleri izlemek ve ağdaki bir saldırı vektörü,
yerel öncelikli kullanıcı veya veritabanının kendisinde depolanan
prosedür gibi zararlı davranışları tanımlamak için kesintisiz
ve bellek tabanlı sensörleri kullanır. Gerçek zamanlı izleme ve
izinsiz girişi engelleme özelikleri, ihlalleri zarara yol açmadan
önce durdurur. Uyarılar, onarıma yol göstermesi için ilke ihlalinin
tüm ayrıntılarıyla birlikte, izleme ekranına doğrudan gönderilir.
Sonuç olarak görev açısından kritik veritabanları, çoğu
işletmenin yaşam kaynağıdır. Veritabanlarının istikrarı ve
performansı, Bilgi İşlem işletmeleri için hep en yüksek önceliğe
sahiptir. Gelişen tehdit gerçeği, günümüzün siber suçlularının
zeka gücüyle karşılaştırıldığında geleneksel savunmaların
yetersiz kaldığı anlamına gelir. Temel iş verilerinizi daha iyi
bir şekilde güvenlik altına almak için, McAfee, en iyi sistem
performansını ve kullanılabilirliğini sunmaya devam ederken
tüm veritabanı ortamınızı verimli ve eksiksiz koruyan bir
veritabanı güvenliği çözümü sunar. Bu kapsamlı çözüm,
önde gelen tüm veritabanlarının ve bunlarla bağlantılı tüm
sunucuların, ağ bileşenlerinin ve verilerin güvenliğini sağlar.
Tümleşik bileşenler, hassas veri varlıklarınızı en iyi şekilde
korumak için, McAfee Labs™’ın genel tehdit istihbaratına sahip
bilgi güvenliği teknolojileri ve hizmetleri alanında sektörün
eksiksiz ve tamamen tümleşik portföyüyle birlikte gelir.
Şubat 2013 beyazşapka 7
Tarkan Çiçek
[email protected]
SED (Self Encrypting Discs):
Kendinden Şifrelemeli Diskler
Bilgi güvenliğinin en önemli olduğu noktadaki çözüm.
Günümüzde bilgi hırsızları, güvenli sistemleri koruyan kalın
duvarları aşmak yerine bilgileri kullanıcıların diskinden çalma
veya çöpe/hurdaya atılan diskler üzerinden geri getirme
yöntemlerine başvurabiliyorlar. Bu yöntemler gelişmiş
koruma duvarlarını aşmaktan çok daha kolay. SED’lerin çıkış
amacı da bu açığı kapatmak. Bu disk sistemlerinin çalışması
ise şu şekilde işlemekte:
SED ’ler iki ana anahtar ile çalışmakta. DEK ve AK yani Disk
Encryption Key ve Authentication Key.
Geçmişte disk şifreleme işi hem yazılımsal hem de
donanımsal olarak yapılması gereken karışık ve zor bir işti.
İçeriğinde bir çok unsur bulundurması nedeniyle de hem
sistemleri yavaşlatan hem de bir arıza durumunda diskteki
bilgiyi tamamen erişimsiz hale getiren bir yapıya sahipti.
Seagate’in öncülüğünde başlayan kendinden şifrelemeli
diskler ile bu tür sıkıntılar daha kolay çözülür hale geldi.
SED’lerin kullanımındaki temel amaç günümüzde şirketlerin
en değerli varlığı haline gelen bilginin, kayıt edildiği ortamlar
olan diskleri çalınmaya, kaybolmaya karşı korumak, çöpe
atma/hurdaya çıkarma prosedürlerini kolay ve güvenli hale
getirmektir.
8 beyazşapka Şubat 2013
SED disk üzerinde AK’nın hash bilgisi ve şifrelenmiş olarak
DEK tutuluyor. Birinci aşamada storage sistemi diske AK ile
ulaşmaya çalışıyor. Eğer AK’nın hash bilgisi disk üzerindeki
ile eşitse ikinci aşamaya geçiliyor ve disk üzerinde şifreli
olarak tutulan DEK’in şifresi çözülüyor. Üçüncü aşamada
da elde edilen DEK ile şifrelenmiş kullanıcı bilgisi çözülerek
kayıtlı bilgiye ulaşılıyor. Disk çalınsa veya kaybedilse de
AK’ya sahip olmayan bir sistem üzerinden diski okumak
mümkün olmuyor.
Bir diğer önemli kolaylıkta disk içindeki bilgilerin geri
getirelemeyecek şekilde silinmesi. Normal diskler üzerinde
tüm bit’lerin üzerine defalarca sıfırlama bilgisi yazılması
gerekiyordu. Bu işlem ise özellikle yüksek kapasiteli diskler
söz konusu olduğunda günlerce zaman alabiliyor. SED diskler
üzerinde ise DEK anahtarı yenilenerek bu işlem saniyeler
içinde tamamlanabiliyor. DEK anahtarı yenilendiği andan
itibaren kayıtlı bilgiyi anlaşılır bir şekilde okumanın da imkanı
kalmıyor. Yeni DEK ile eski bilgileri okumak mümkün değil.
Tabi burada önemli olan bir noktayı da atlamamak lazım.
AK anahtarlarını iyi yönetmek ve kaybetmemek gerekiyor
(HSM kullanılması önerilir). Eğer kaybedilirse mevcut bilgiye
kullanıcının kendisinin de erişmesi imkansız hale geliyor. Tabi
bu sadece SED sistemine ait değil, tüm şifrelemeli sistemler
için geçerli olan bir risk.
Masaüstü ve taşınabilir bilgisayarlarda SED’lerin işleyişi ise
biraz daha farklı.
Bu bilgisayarların AK’lar için bir ağa bağlı anahtar yönetim
sistemi haricinde de disklere erişimleri gerektiğinden sistem
offline olarak da işleyebilecek şekilde tasarlanmış.
SED’lerin diğer şifrelemeli yöntemlere göre en büyük
avantajı ise performansa etkisinin olmaması. Yani yazılımsal
yöntemlerle yapılan şifrelemelerdeki performans sıkıntısı bu
sistemler üzerinde yaşanmıyor. Bunun nedeni ise şifreleme
çipinin disk üzerinde barındırılıyor olmasında yatıyor. Hem
sistem çok daha basit şekilde işliyor hem de performastan
feragat etmek gerekmiyor.
Burada birinci adımda BIOS’tan MBR okuma talebi
geldiğinde, disk sistemi kendi içindeki pre–boot alanına
yönlendiriyor. İkinci aşamada bu alandan boot edilen sistem
kullanıcıyı karşılıyor. Üçüncü aşamada kullanıcı disk için şifre
bilgilerini giriyor. Dördüncü aşamada eğer şifre doğru ise
disk MBR alanına giderek boot işlemini başlatıyor. Böylece
disk üzerindeki bilgiler istenilen şifreleme bilgileri olmadan
okunamıyor. MBR ve tüm disk şifrelenmiş olduğundan ve
bu alanlara şifresiz erişim mümkün olmadığından şüpheli
yazılımların veya rootkit’lerin MBR alanına bulaşması da
mümkün değil.
Bunlarla ilgili sorularınız için bana tarkan.cicek@
nebulabilisim.com.tr adresim üzerinden ulaşabilirsiniz..
Şubat 2013 beyazşapka 9
İrfan Kotman
[email protected]
Underground
Mobil cihazınız üzerindeki bir yazılımın başınıza ne gibi sürprizler açabileceğini
düşündünüz mü?
20 sene önce cep telefonlarının hayatımızın değişmez bir
tasarlanan bir yazılımın bile barındırdığı özellikler sebebi ile
parçası olacağını çoğumuz tahmin edemezdik. İnanılmaz
bir güvenlik tehdidi olabileceğinden anlatacağız.
hızda gelişen teknolojiyle birlikte cep telefonları yeni ismiyle
mobil cihazlar çoğu insanın elinde düşürmediği çağımızın
oyuncakları haline geldi.
İncelediğimiz yazılım, genel olarak kullanıcılar tarafından
anti virüs özelliği sebebi ile indirmektedir. Fakat üzerinde
bulunan ve telefonun çalınması durumda telefona müdahale
Peki kullandığımız bu yeni oyuncakların güvenli olduğunu
edilmesini sağlayan bir özellik sebebi ile tehlikeli bir silaha
düşünüyor muyuz ?
dönüşebilme riski taşımaktadır.
Bu sayımızdaki yazımızda bu soruya küçük bir örnek ile
cevap vermeye çalışacağız.
Günümüzde son kullanıcı bilgisayarları ile ilgili olarak, anti
virüs yazılımı bulunmaması, bulunsa dahi güncel olamaması,
bilgisayarlar üzerinde herhangi bir port kısıtlamasının
uygulanmaması gibi birçok güvenlik zafiyetini sayabiliriz.
Kurumsal bilgi sistemlerinde ise bu zayıflıklar bir noktaya
kadar önlenmiş olduğunu kabul edebiliriz.
Fakat bir mobil cihazlar güvenliğinden kurumsal firmalarında
bile söz etmek zordur. Kurumsal firmaların büyük bir
çoğunluğundaki mobil cihaz güvenliği, yukarıda bahsettiğimiz
son kullanıcı bilgisayarları ile benzerlik göstermektedir. Mobil
cihaz güvenliği sağlayacak herhangi bir yazılım kullanıcılara
ait cihazlarda kullanılmamaktadır.
Kullanıcılar mobil cihazlarına her türlü dosyayı ya da
uygulamayı herhangi bir güvenlik sorgusundan geçirmeden
indirmekte ve indirdikleri uygulamaların istediği konum
izleme, kimlik bilgilerini okuma, mesajlara ve hesaplara
erişme gibi bir çok hakkı gözü kapalı olarak vermektedir.
Telefonlarında bazı güvenlik risklerinin oluşabileceğini göz
önüne alan kullanıcılar ise mobil cihazlarına çeşitli firmaların
güvenlik yazılımlarını yüklemektedir.
Bu sayımızda Android cihazlar üzerinde çalışan ve 10
milyondan fazla kişi tarafından indirilen ücretsiz bir güvenlik
yazılımı ile yapılabileceklerden bahsedeceğiz. Fakat konuyu
farklı bir noktadan ele alacak ve bir güvenlik ürünü olarak
10 beyazşapka Şubat 2013
Uygulamanın özelliklerinden kısaca bahsedersek, anti virüs,
güvenlik duvarı, uygulamaların ağ kullanımının kısıtlanması
gibi çeşitli güvenlik özellikleri bulunmaktadır.
Bunun yanında telefonunuzun çalınması durumda devreye
girmesi amaçlanan anti– theft özelliğine sahiptir. Bu
özelliği kullanılarak telefonunuzu uzaktan formatlanabilir,
telefonunuzun
yerini
belirlenebilir
uzaktan kilitleyebilirsiniz.
yada
telefonunuzu
Bu
işlemleri
ürünün
Web
sitesi
üzerinden
e–posta
adresiniz yardımı ile tanımladığınız bir hesap yardımı ile
gerçekleştirebilirsiniz. Tanımlama sonucu cihazınız aşağıdaki
gibi site üzerinde gözükecektir.
Web sitesi üzerinden çalına karşıtı (Anti Theft) özelliği
ile yapılabilecekler ile ilgili başlıkları aşağıdaki ekran
görüntülerini aşağıda görebilirsiniz.
Şimdiye kadar anlattıklarımız sonrasında tehdit nasıl oluşuyor
diye sorabilirsiniz. Tehdit yazılımın sahip olduğu arama ve
arama yönlendirme özelliklerinde ortaya çıkmaktadır.
Yazılımın Call özelliği sayesinde ürünün Web sitesi üzerinden
belirleyeceğiniz bir numaraya cihazı kullanarak gizli arama
yapabilirsiniz. Arama sırasında ekran tamamen siyah
kalmaktadır. Kullanıcı cihazını kullanmak istediğinde cihaz
sanki kitlenmiş gibi gözükmekte ve kullanıcı cihaz üzerinde
herhangi bir işlem yapamamaktadır. Aranan numara
telefonunu kapattığı an ise cihaz normale dönmektedir.
Şubat 2013 beyazşapka 11
Kısacası yazılım, cihaz üzerinden istenilen numarayı arayarak,
arka planda ne gibi işlemler yapabileceği kesinlikle göz
ortam dinlemesi yapılabilme imkânını size sunmaktadır.
önüne alınmalıdır.
Bunun yanında arama yönlendirme (forwarding) özelliği
sayesinde size gelen bir aramayı ya da kısa mesajı tanımlanan
Alınabilecek Önlemler:
bir numaraya yönlendirilme imkânı sağlamaktadır.
• Kurumsal firmalarda kesinlikle telefondaki uygulamaları
Yukarıda anlattığımız bu özellikler güvenlik önlemi olarak
ve hakları denetleyen yazılımlar kullanılmalıdır. Bu yazılımlar
düşünülebilir. Fakat buradaki kritik nokta, bu işlemleri
beyaz liste özelliğine sahip olmalı ve mobil cihazlarda sadece
telefonunuz üzerinde yapan kişi siz değilseniz ortaya
belirlenen uygulamaların çalışmasına izin vermelidir.
çıkmaktadır. Bu özelliği kullanarak, telefonunuza bu yazılımı
• Mobil cihazlara indirilen ve kurulan yazılımların ne
bilginiz dâhilinde ya da tamamen habersiz telefonunuza
kurabilecek bir kişi, bir anda hayatınızın parçası olabilir. En
basit anlatımıyla bu yazılımı amaçları dışında tehdit unsuru
olarak kullanan kişiler yakınlarının cihazlarına sadece anti
haklar istediğine kesinlikle dikkat edilmelidir. Sizin için
risk oluşturabilecek haklar isteyen uygulamalar kesinlikle
cihazlara kurulmamalıdır.
virüs özelliklerini anlatarak ya da hiç haber vermeden
• Mobil cihazınızda kesinlikle ekran kilidi bulunmalı ve bu
kurabilir. Bu özelliği kullanarak onların bulunduğu ortamları
tip uygulamaların haberiniz olmadan kurulmasının önüne
dinleyebilir ya da telefon görüşmeleri ve kısa mesajlarını
geçilmelidir.
kendine yönlendirebilir. Yazılımı buna benzer amaçlar ile
kullanabilecek, birçok örnek verilebilir.
Bir güvenlik yazılımı kullanıcılar için tehdit oluşturan bir silaha
dönüştürülebiliyorken, her türlü hakkı sahip bir uygulamanın
12 beyazşapka Şubat 2013
• Telefon üzerindeki WiFi, bluetooth, 3G gibi mobil cihazların
dış dünya ile veri alışverişini sağlayan haklar gözden
geçirilmeli, kurumsal telefonlarda bu haklar kısıtlanmalıdır.
Güner Tanrıverdi
[email protected]
FireEye: Gelişmiş Siber
Ataklara En İyi Cevap
Yeni Nesil Hedef Odaklı Ataklara Karşı, Ağ Katmanında Yeni Nesil Proaktif
Tespit ve Bloklama.
Kurumsal ağlarımızın güvenli olmasını sağlamanın kolay bir süreç
olmadığını biliyoruz. Yapılan araştırmalarda kurumların %95’inden
fazlasının Firewall, Saldırı Engelleme Sistemi (IPS), Antivirus ve Web
Güvenlik çözümleri kullanmalarına rağmen yeni nesil tehlikelere
karşı güvenli olmadıkları tespit edilmektedir. Kurumsal işletmeler
ve Devlet Kurumlarında ağların korunması için harcanan zamanın,
sofistike gerçekleştirilen yeni nesil ataklara karşı etkili olmadığı
ve hedef odaklı saldırılara karşı güvenlik açıklarının olduğu
görülmektedir.
Yeni nesil tehditlere karşı korunma için imza tabanlı ve davranışsal
analizlerden daha farklı stratejiler gereklidir. Bilinen güvenlik
açıklarından, yalnızca Firewall, IPS, antivirus ve web güvenlik
çözümleri gibi geleneksel metodlar ile korunmaya çalışılması Siber
Suçluların hedeflerine ulaşmaları için kullanabilecekleri güvenlik
açıklarının oluşmasına neden olmaktadır. Yeni nesil ataklardan
korunma için kurumlar imza tabanlı olmayan, proaktif ve gerçek
zamanlı koruma sağlayabilen çözümlere ihtiyaç duymaktadırlar.
Herhangi bir şüpheli kodun gerçek zamanlı olarak test edilmesi ve
tespit edilen zararlı içeriğin kurumsal ağın dışına doğru oluşturmaya
çalıştığı trafiğin yine gerçek zamanlı olarak engellenebilmesi, yeni
nesil güvenlik çözümleri ile geleneksel metodların tespit edemediği
ve engelleyemediği yeni nesil malware, sıfır gün ve hedef odaklı
atakların tespit edilerek durdurulmasını sağlamaktadır.
Kurumlar tehditlere karşı kullanabilecekleri proaktif
çözümlere ihtiyaç duymaktalar;
Şimdiye
kadar
tek
çözümün reaktif metodlar
ile uygulanan çözümler
olduğunu görmekteydik.
Saldırı vektörü atak yapan
kişilerin ağ üzerinden son
kullanıcılara ulaşmasını
sağlayan
gelişmiş
(spear–phishing, web site
hijacking, mal–advertising
gibi) metodların sıfır gün
14 beyazşapka Şubat 2013
güvenlik açıklarından faydalandıklarını görmekteyiz. Geleneksel ağ
güvenlik ve savunma araçlarının bu tür saldırıların tespit edilmesi
noktasında yeterli olmadıkları görülmektedir. Örneğin, anti–virüs
ve saldırı önleme Sistemleri (IPS), kuruma yönelik gerçekleşen
bir saldırıyı keşfetmek için analiz sonrası imza oluşturmak ve bu
oluşturulan imzanın ancak testlerinin gerçekleştirilmesinden sonra
yayınlanarak diğer organizasyonların gelebilecek aynı atağa karşı
korunmalarını sağlamaya çalışmaktadır.
Kurumlar, üretici firmalar ile her zaman yaşanan/yaşanmış atak
bilgilerini paylaşmadıklarından dolayı, imza tabanlı çözümler, bu
atak türleri farkedilip güncelleninceye kadar etkin bir koruma
sağlayamamaktadır. Bu gibi reaktif metod yaklaşımları atak yapan
siber suçluların sıfır gün açıklarından faydalanmalarını ve kurum
içerisindeki sistemlerimizi kontrol etmelerine olanak sağlamaktadır.
Bu durum ele geçirilmiş olan sistemin tespit edilmesi ya da yeni imza
güncellemeleri yapılana kadar haftalarca atağın farkedilememesine
ve engellenememesine neden olabilmektedir. Karşılaşabileceğimiz
en kötü senaryo ise sıfır gün açığından faydalanılarak ele geçirilmiş
bir sistemin imza güncellemesi sonrası kendini gizlemeye devam
edebilmesi ve aylarca bu atağın farkedilememesine neden olmasıdır.
Tehdit içeren e–posta eklerinin ya da Internet tarayacılarımıza
yönelik tehdit içeren web adreslerinin bloklanmasının tam bir
koruma için yeterli olmadığı görülmektedir. Geleneksel reaktif
güvenlik metodlarından proaktif güvenlik metodlarına geçiş için 4
önemli noktaya dikkat çekmemiz gerekiyor;
1) Kurumsal ağımız içerisinde sıfır gün açıklarına yönelik gelen
web tabanlı bir tehditin gerçek zamanlı olarak tespit edilmesi ve
bloklanması
2) E–posta tabanlı gelen atakların gerçek zamanlı olarak tespit
edilmesi ve bloklanması
3) Spear–Phishing siber ataklarına karşı korelasyonların yapılması
ve web tabanlı atakların gerçek zamanlı olarak tespit edilmesi ve
bloklanması
4) Web, e–posta veya iki metodunun birleştirilmesi ile uygulanan
siber atakların forensic analizlerinin yapılması
“Yeni Güvenlik Katmanı”: Gerçek Zamanlı İmzasız Sıfır
Gün Atak Tespiti
En iyi metotların devrimsel
bir yol ile kurumsal
ağlarımızın korunmasında,
FireEye
yeni
nesil
güvenlik çözümleri, sıfır
gün atakları ve kurumsal
ağlarımızdan dış dünyaya
doğru iletişime geçerek bilgi sızdırmaya çalışan trafiğin (callbacks)
tespit edilmesi ve bloklanmasını sağlamaktadır. Cybersecurity ve
Computer Incidence Response Teams (CIRT) saldırı tespitlerini
sandbox araçları ve network trafiğinin kaydedilip aktivitelerin analiz
edilmesi ile aksiyon alınmasını sağlamaktayız. FireEye bu özellikler
ile kurumsal ağlarımızın girişinde gerçek zamanlı olarak korunma
sağlamaktadır.
FireEye Yeni Nesil Güvenlik Çözümleri ile;
• Sıfır gün atağı içeren zararlı bir e–posta’nın içerisindeki ekli
dosyanın gerçek zamanlı olarak tespit edilmesi ve istemciye
ulaşmadan durdurulması
• Bir istemcinin zararlı bir web adresine bilinçli ya da bilinçsiz
erişmeye çalıştığı anda FireEye tarafından bu erişimin durdurulması
• Sıfır gün atağı içeren bir web adresine bir istemcinin ilk yaptığı
istekte, ulaşmaya çalıştığı anda trafiğin bloklanması ve alarmların
üretilmesi
• Bilinen zararlı içeriklere sahip, Command & Control, sıfır gün
ataklarının host edildiği adreslere erişimlerin kurum ağınız ile
iletişime geçtiği anda gerçek zamanlı olarak bloklanması
• Spear–phishing ataklarının web tabanlı atakların korelasyonunun
yapılarak tespit edilmesi
• Her bir web tabanlı ve e–posta tabanlı siber atağın tam forensic
analiz detaylarının sağlanması
Bütün bu analizler FireEye güvenlik çözümleri içerisinde yapılmakta
ve tehdit analizleri forensic kanıtlar ile birlikte kurumunuz içerisinde
oluşturulmakta ve kalmaktadır.
FireEye yeni nesil güvenlik çözümleri kullanan kurumlar tüm bu
yeteneklerin avantajlarını hergün kullanmaktalar. Kurumlar sıfır
gün atakları, APT hedef odaklı saldırılar ve advanced malware
ataklarına karşı sistemlerini FireEye çözümleri ile proaktif olarak
koruyabilmekteler.
Peki Nasıl? FireEye çözümleri gelişmiş öğrenme algoritmaları,
davranışsal ve forensic analizlerin web ve e–mail trafiği üzerinde
gerçek zamanlı olarak sanal uygulama motoru (virtual execution
engine) kullanılarak koruma sağlamaktadır. Kurumsal ağımız ile
dış dünya arasında hem gelen (incoming) hem de giden (outgoing)
web ve e–posta tabanlı atakların (exploits) korelasyonun yapılarak
bilgi sızıntısını sağlayan trafiğin (callbacks) CnC (Command and
Control) sunucuları ile olan trafiğinin tespit edilerek engellenmesi
sağlanmaktadır.
Proaktif Siber Güvenlik
Yeni nesil FireEye Güvenlik Çözümleri ile kurumların güvenliklerini
sağlaması için bir sonraki tarama raporlarını beklemesi gerekmiyor.
Kurumların enfekte olmuş sistemlerinin gerçek zamanlı olarak tespit
edilerek, siber casus uygulamalarını engellemesi sağlanmaktadır.
Kurumsal ağlara yönelik yapılan web ve e–posta tabanlı sıfır gün
ataklarının kurum ağına ulaştığı ilk andan itibaren bloklanması
sağlanmaktadır.
Şubat 2013 beyazşapka 15
Murat Ergun
[email protected]
Cyberoam UTM Next Generation
(NG) Serisi ve Misafir Kullanıcı
Yönetimi İçin SMS Tabanlı
Kimlik Doğrulama
Cyberoam UTM cihazları, Next Generation serisi ürünleri ile yazılım ve
donanım olarak performanslarını ortalama 3–4 kat artırdı.
yönetimi için de SMS entegrasyonu desteği sunan bir UTM cihazı
olma özelliğine sahiptir.
Cyberoam UTM cihazları, Next Generation serisi ürünleri ile
yazılım ve donanım olarak performanslarını ortalama 3–4 kat
artırdı.
Sürekli gelişen ağlar daha yüksek hızda internet kullanımı,
kullanıcı başına interenete girilen cihaz sayısındaki artışlar, daha
fazla web tabanlı uygulamaların kullanımı ve data kullanımının
artması gibi sebeplerden dolayı daha performanslı UTM
cihazlarına ihtiyaç duyar hale gelmektedir.
Cyberoam tamamen yenilediği işletim sistemi ve arayüzü ile
çıkarmış olduğu Next Generation serisi UTM ürünleri ile SMB
ağlar için bu ihtiyacı büyük ölçüde karşılamakta ve müşterilerini
geleceğe hazırlamaktadır.
Yeni NG ürünü CR 15ing, CR 25ing, CR 35ing, CR 50ing, CR
100ing ve CR 2500ing modelleri ile piyasaya sürülmüştür.
Layer 8 teknolojisi sayesinde kullanıcı yönetiminde rakiplerine
nazaran bir adım daha önde olan Cyberoam, misafir kullanıcı
16 beyazşapka Şubat 2013
Kurum misafirlerinin veya üçüncü parti kurum çalışanlarının
internet erişim ihtiyaçları yerel ağ güvenliği problemlerini
beraberinde getirmektedir. Bu durumlarda erişim sağlanması,
kullanıcıların loglarının tutulması, bu logların hangi misafir
kullanıcıya ait olduğunun bilinmesi ve kullanıcıların yönetilmesi
klasik yöntemlerle her zaman için zor olmuştur. Ayrıca 5651
sayılı kanuna uyum sağlamak da erişim ihtiyacı için hukuki bir
sorun oluşturmaktadır.
Cyberoam kendine has Layer 8 teknolojisi ile kullanıcı tabanlı
bir yönetim imkanı sunarak yerel ağda bulunan kullanıcıların
yönetimi, izlenmesi ve raporlanması için esnek bir yönetim
imkanı sunduğu gibi misafirleriniz için de SMS tabanlı kimlik
doğrulama sağlayarak bu işlemi kolaylaştırmaktadır.
Bu yöntem ile GSM operatörlerinden sağlanan SMS hizmeti
için gerekli ayarlamalar Cyberoam üzerinde hazır olarak
bulunmaktadır.
Herhangi bir kurum misafiri internet kullanmak istediğinde
karşısına bir captive portal ile sağlanan kimlik doğrulama ekranı
gelir. Kullanıcı cep telefonu bilgilerini girer ve SMS ile şifre bilgisi
kendisine ulaştırılır.
Kullanıcı cep telefon numarası ve SMS ile gelen şifreyi
otantikasyon ekranında girerek internet kullanımına
başlayacaktır.
Misafir kullanıcılarınız için şirketiniz güvenlik politikaları
doğrultusunda URL ve uygulama filtreleme kuralları uygulayabilir,
erişim kotaları belirleyebilir ve internet hattınızın verimli bir
şeikilde kullanılması için QoS politikaları uygulayabilirsiniz.
Internet erişimleri cep telefon numaraları kullanıcı adı olacak
şekilde kayıt altına alındığı için misafir kullanıcılarla yerel
kullanıcılar raporlarda ayrı ayrı görüntülenebilir.
Ürün hakkında detaylı bilgi ve dokümantasyonu www.cyberoam.
com adresinden veya bizimle temasa geçerek alabilirsiniz.
Şubat 2013 beyazşapka 17
Serhat Kahraman
[email protected]
Kimlik denetimi çözümlerinde
güncel yaklaşımlar
Kimlik denetimi yöntemleri, kullanıcı ihtiyaçları ve karşılaşılabilecek
risklere göre nasıl adreslenmeli?
En basit anlatımı ile “kimlik denetimi” bir sisteme giriş yapmak
isteyen bir kişinin veya başka bir sistemin gerçekten de belirtilen
kişi veya sistem olup olmadığının kontrolüdür diyebiliriz. Bilgisayar
ağlarında kimlik denetimi, genelde oturum açma şifreleri
kullanılarak sık yapılan bir işlemdir. Şifreyi kişinin sadece kendisinin
bilmesi, kullanıcının da sadece o kişi olduğu var sayımına götürür.
Bu sistemin zayıflığı; şifrelerin çalınabileceği, tesadüfen ortaya
çıkabileceği, tahmin edilebileceği ya da deneme yanılma yolu
ile belirlenebileceğidir. Şifreler, özel sistemlere erişimi korumak
için kullanıldığında ya da yüksek güvenlik seviyesi söz konusu
olduğunda, bu düzeyde kimlik doğrulama tek başına yeterli
değildir.
Bu noktada güçlü kimlik denetimi yöntemlerine ihtiyaç ortaya
çıkmıştır. Güçlü kimlik denetimi, çok değişkenli kimlik denetimi
(Multi–Factor Authentication) olarak da adlandırılır. Bir bankanın
para çekme makinesinin çalışma sistemi, buna tipik bir örnektir.
Nakit çekmek ya da önemli bilgileri görüntülemek istediğinizde,
kimlik doğrulaması için hem kartınızı hem de pin numaranızı ibraz
etmeniz gerekmektedir. Benzer bir şekilde, bu iki faktörlü kimlik
denetimi, düzenli olarak değişen ve dinamik olarak oluşturulmuş
“anahtarlar” aracılığı ile BT
sistemlerine de uygulanabilir.
Kullanıcılara
bu
rasgele
anahtarları üretmek için
küçük donanım aygıtları ya
da cep telefonları ve PDA
(Personal Digital Assistant –
Kişisel Dijital Yardımcı)’lar için
yazılımlar verilebilir. Sadece
bir şifre (bildiğiniz bir şey)
girmek yerine, oluşturulan
anahtar (elinizdeki bir şey)
değişken şifre ile birleştirmek,
mevcut şifre sistemlerini
güçlendirir ve sabit şifreler ile
ilgili riskleri azaltır.
18 beyazşapka Şubat 2013
Güçlü kimlik denetimi yöntemleri
Güçlü kimlik denetimi yöntemlerini temelde 2 adet grupta
incelemek mümkün. Bunlardan birisi Sertifika tabanlı denetim
sistemleri(CBA–Certificate Based Authentication), bir diğeri ise
Tek kullanımlık şifre(OTP– One Time Password) sistemleridir.
Kullanılan uygulamalara, kullanıcı ihtiyaçlarına ve ihtiyaç
duyulan güvenlik seviyesine göre bu yöntemler veya alt
versiyonları seçilmelidir. Örneğin bankacılık uygulamalarında
genelde tek kullanımlık şifrelerile kimlik doğrulama sağlanırken
VPN erişimlerinde sertifika tabanlı doğrulama teknikleri tercih
edilmektedir.
Safenet, güçlü kimlik denetim sistemleri, kurumların kullanıcılarına
veya müşterilerine kimlik doğrulama çözümleri temelinde geniş
seçenekler sunulabilmesini sağlamakta; OTP tabanlı donanımsal
veya yazılımsal tokenlar ile birlikte sertifika tabanlı PKI (Public Key
Infrastructure) tokenlar ve bunların tümünün tek bir noktadan
merkezi olarak yönetildiği platform olan Safenet Authentication
Manager (SAM) yazılımı uçtan uca erişim güvenliğini mümkün
kılmaktadır.
• Kullanıcılarınızın
isteniyor mu?
uzaktan
erişim
yapması
Taşınabilir cihazların uzaktan güvenli erişimi ile
VPN ve web erişimi için esnek ve kolay kullanımlı
bir kimlik doğrulama sistemi gözden geçirmek
yararlı olur.
• Kullanıcıların kullandığı yazılımlar farklı giriş
bilgileri ve şifreleri gerektiriyor mu?
Bu durumda tek kayıt –Single Sign On özelliği ile
kullanıcı bilgilerini bir token üzerine alarak erişim
zorlukları aşılabilir.
• Kullanıcıların kişisel olarak dijital imzalama ya da
hassas bilgi/işlemleri şifrelemesi mi gerekiyor?
Bu durumda akıllı kart ve benzeri PKI yapılarının
konumlandırılması, güvenlik üzerinde olumlu bir
etki oluştururken, yönetim ve zaman anlamında
kolaylık sağlar.
• İş verileriniz ne kadar hassas?
2012 Gartner Kimlik Doğrulama çözümleri raporunda lider
konumda bulunan Safenet çözümlerini gelecek teknolojilere
uygun bir biçimde sanallaştırma ve benzeri uygulamalara uyumlu
olacak şekilde geliştirmektedir. Bulut tabanlı servislerin giderek
arttığı ve kurumların ilk yatırım maliyetlerini düşürmek amacı ile
bu tip hizmetlere yöneldiği günümüzde Safenet, kimlik doğrulama
çözümünü donanım ve yazılım bütünü olarak müşterilerine
sunmakla kalmayıp bu hizmeti servis olarak da sağlamaktadır.
Yine aynı raporda 2017 yılında işletmelerin %50 den fazlasının
kullanıcı kimlik doğrulama çözümleri için bulut tabanlı çözümlere
yöneleceği öngörüsü bulunmaktadır.
Hangi ihtiyaç için nasıl bir kimlik doğrulama çözümü
Günümüzde birçok seçenek ile karşılaşılabilen çoklu faktör
kimlik doğrulama çözümlerinin şirketçe hangisinin seçilmesi ve
uygulanacağına karar verilebilmesi için, bu çözümleri çok dikkatli
bir şekilde incelemelidir. Akla gelecek sorulardan birkaçı şu şekilde
olabilir:
• Şirket içi ağın izinsiz erişime karşı korunması gerekli midir?
Eğer gerekliyse, çoklu faktör kimlik doğrulama çözümleri, şirket
içi ağa lokal veya uzak noktadan güvenli erişim için kullanılabilir.
Verileriniz ne kadar hassassa, kullanıclacak
güvenlik çözümünün güvenilirliği o kadar öncelikli
olmalıdır.
• Fiziksel erişim güvenliğine ihtiyaç duyuluyor mu?
Eğer duyuluyorsa, token çözümleri, fiziksel erişim sistemleri ile
entegre olabilmektedir.
SafeNet, 1983 yılında
kurulmuş olan bir
şirket olup, bilginin
proaktif bir şekilde
korunmasını sağlayan,
kolay yönetilebilir ve aynı zamanda yüksek güvenlikli çözümler
sunar. Her gün 1 trilyon doların üzerindeki para transferlerinin ve
daha birçok farklı organizasyonun uygulama, veritabanı ve kimlik
bilgilerini koruyan SafeNet ürünleri, sektöründe yenilikçi ve liderdir.
SafeNet ürünlerinin odakları, kimlik doğrulama, işlem güvenliği, ağ
bağlantıları şifrelemesi, veritabanı ve uygulama şifreleme, kripto
anahtar yönetimi, cloud ve sanal platform güvenliğidir.
Serhat Kahraman
Kıdemli Sistem Mühendisi – Prolink
Kaynaklar: www.safenet–inc.com, www.sciencedaily.com,
www.yorunge.com.tr,
Şubat 2013 beyazşapka 19
Oral Gökgöl
Turkcell İletişim Hizmetleri A.Ş. Kıdemli Güvenlik Mühendisi
Nebula ile yaklaşık 4 senedir çalışıyorum. 2 farklı firmada farklı ürünlerde Nebula’dan destek
aldım. Destek konusunda Türkiye’ye yeni bir bakış açısı getirdiklerini düşünüyorum. Türkiye’de
ne yazıkki çoğu destek firması ürünü satana kadar çok ilgili ve alakalı davranırken satış sonrası
destek konusunda ise çok isteksiz ve zayıflar. Nebula ise daha sorun ortaya çıkmadan proaktif bir
yaklaşımla rutin kontol günleri düzenleyip, siz destek istemeseniz bile zorla destek olma çabasını
gösteriyor. Bazen siz ürünü bir yerlere koyup unutuyorsunuz ancak Nebula o ürünü her ay ya
da 3 aylık bakım periyotları ile yerinde kontrol edip, size teknik bilgi ve güncelleme sağlıyor. Bu
kapsamda verdikleri desteğin çok kaliteli olduğunu söyleyebilirim. İnsan ilişkileri çok kuvvetli ve
teknik destek verme konusunda, satış yapmaktan daha çok istekliler.
Cana Evgin
Veeam Software Türkiye Bölge Müdürü
Nebula ailesi ile geçen yıl tanışma fırsatı buldum. Keşke daha önce tanışıp güzel işler yapma
fırsatımız olsaymış demekten kendimi alamıyorum. İşine saygı duyan, yaptığı işi iyi bilen, güvenilir
bir iş ortağı olması hem birlikte çalışmayı kolaylaştırıyor hem de müşteri tarafında saygı ve güven
uyandırıyor. 2012 yılında güzel işlere imza attık ve eminim 2013’te bizim için harika geçecek.
Kendilerinde bu inanç, azim, teknik donanım ve know-how olduğu sürece aksi mümkün değil.
SPONSORLARIMIZ
www.nebulabilisim.com.tr
Beyaz Şapka’ya katk›lar›ndan dolay› tüm sponsorlar›m›za ve yazarlar›m›za teşekkür ederiz.
Yay›nlanan yaz›lar›n ve görsellerin tüm sorumlulu€u yazarlar›na aittir.
Lütfen her konuda fikrinizi yaz›n.
www.nebulabilisim.com.tr
[email protected]