Prof. Dr. Şeref SAĞIROĞLU SiberGUvenlik

SİBER BİLGİ GÜVENLİĞİ
ve SAVUNMA YÖNTEMLERİ
Prof. Dr. Şeref SAĞIROĞLU
Fen Bilimleri Enstitüsü Müdürü
Gazi Üniversitesi Mühendislik Fakültesi
Bilgisayar Mühendisliği Bölümü
[email protected]
SUNUM ÖZETİ
•
•
•
•
•
•
Genel Bakış ve Terminoloji
Gündemdekiler
Mevcut Durum Analizi
Güncel Tehdit ve Tehlikeler
Nasıl bir SBG? Öneriler
Sonuç ve Değerlendirmeler
Tanım : Siber?
TDK : SİBER kelimesi bulunmuyor..
Sanal sıfat
1. sıfat
Gerçekte yeri olmayıp zihinde tasarlanan, mevhum,
farazi, tahminî
2. matematik
Negatif bir sayı üzerinde alınan ve ikinci kuvvetten
bir kök taşıyan cebirsel anlatım
Tanım : Siber Güvenlik?
“Kurum, kuruluş ve kullanıcıların bilgi
varlıklarını korumak amacıyla kullanılan
yöntemler, politikalar, kavramlar, kılavuzlar,
risk yönetimi yaklaşımları, faaliyetler,
eğitimler, en iyi uygulama deneyimleri ve
kullanılan teknolojiler bütünü” olarak
tanımlanıyor.
Kaynak: ITU-T Recommendation X.1205 “Overview of Cybersecurity”
Bilgi nedir?
 Paylaşdığımız?
 Paylaşmadığımız?
 Bilinmeyenler mi?
 Bilinenler mi?
 ??????????????
Bilgi ?
İşlenmiş veridir.
 Bir konu hakkında belirsizliği azaltan kaynaktır
(Shannon).
 Kişi/kurum/kuruluşlar için önemli ve değerli
olan bir kaynaktır ve korunması gerekir.
 Veri (data), bilgi (information), ve özbilgi
(knowledge)

Bilgi ?
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Boşlukta ve zamanda yer kaplar.
Gürültü çıkarmadan hareket edemez.
Bilginin hareket etmesi için enerji gerekir.
Bilgi yaşam ve herhangi bir düzenli etkinlik için gereklidir.
Bilgi hem maddesiz biçim; hem biçimsiz maddedir.
Işık gibi, bilgi’nin de ağırlığı vardır. Bir GB, bir parmak izinden daha az
ağırlıktadır.
Bilgi zaman içinde hareketli veya donmuş olabilir.
Bilgi, bir soruya tatmin edici, belki de rahatsızlık verici cevaptır.
Bir taşın ağırlığı ile bunu tanımlamak için gerekli bilgi birbirine eşittir.
Bilgi, katı hale sahiptir; donarak katılaşır (depolama).
Bilgi, sıvı hale sahiptir; akar (iletişim).
Bir yerlerde bilgi hareket eder; evren gümbürder ve gerçeği gürler.
Maddeden farklı olarak bilgi aynı anda birden fazla yerde olabilir.
El sıkışma bir bilgidir. Bir baş sallama, bir bakış, bir iç çekiş.
Bilgi, rastsallık denizinde parlar.
BİLGİ (Veri)?





İngilizce karşılığı olarak “data”,
Latince “datum” (çoğul şekli “data” ve “vermeye cesaret etmek”
fiilinin geçmiş zamanı, dolayısıyla “verilen şey”)
Latince “data” (dedomena) kavramının M.Ö. 300 yıllarında
Öklid’in bir çalışmasında geçtiği bildirilmektedir.
Dilimizde de verilen şey anlamında, “veri” olarak
kullanılmaktadır.
Bilişim teknolojisi açısından veri, bir durum hakkında, birbiriyle
bağlantısı henüz kurulmamış bilinenler veya kısaca, sayısal
ortamlarda bulunan ve taşınan sinyaller ve/veya bit dizeleri
olarak tanımlanabilir.
BİLGİ (Bilgi)?




Bilgi, verinin belli bir anlam ifade edecek şekilde
düzenlenmiş halidir.
Veri ve ilişkili olduğu konu, bağlamı içinde bilgi üretecek
şekilde bir araya getirilir.
İşlenmiş veri olarak da ifade edilebilecek bilgi, bir konu
hakkında var olan belirsizliği azaltan bir kaynaktır.
Veri üzerinde yapılan uygun bütün işlemlerin (mantığa
dayanan dönüşüm, ilişkiler, formüller, varsayımlar,
basitleştirmelerin) çıktısıdır.
BİLGİ (Özbilgi)?



Tecrübe veya öğrenme şeklinde veya iç gözlem
şeklinde elde edilen gerçeklerin, doğruların veya
bilginin, farkında olunması ve anlaşılmasıdır.
Verileri bir araya getirip, işlemek bilgiyi oluştursa da;
özbilgi, kullanılan bilgilerin toplamından daha yüksek
bir değer sahip bir kavramdır.
Bir güç oluşturabilecek, katma değer sağlayabilecek
veya bir araç haline dönüşmek üzere, daha fazla ve
özenli olarak işlenmiş bilgi, asıl değerli olan
özbilgidir.
Veri-Bilgi-özbilgi ?







Veri (data), bilgi (information), özbilgi (knowledge) basamaklarıdır.
Gerçeklik (reality) ile hikmet (wisdom) arasında gösterilen bu
merdivenin basamakları
Çoğu durumda her basamak, atlanmadan teker teker geçilir.
Yukarıya çıktıkça elimizdeki şeyin miktarı azalırken; değeri artar.
Yine yukarıya çıktıkça bir sonraki basamağa adım atmak daha da
Tehdit Skalası
zorlaşır ya da daha çok çaba ister.
Genel olarak bilimin getirdiği yöntemlerden ölçme ile,
1
 eldeki gerçeklikten veriye ulaşılır;
0,8
0,6
 ispat ile, veriden bilgiye ulaşılır ve
0,4
 kavrayış ile, bilgiden özbilgiye ulaşılır.
0,2
Bir özbilginin gerçeklik haline dönüştürülmesi de mümkündür. Bunun
0
için yönetim biliminden yararlanılır.
Devlet / Profesyonel
Politik/Militan/Kriminal
Serseri
Tehdit Skalası
Veri
Bilgi
Özbilgi?
1
0,8
0,6
0,4
0,2
0
Schuler, 2003, data-wisdom
Doç. Dr. Şeref Sağıroğlu,
YL BBG Ders Notu
Güvenlik?
Karşılaşılabilecek tehditlere karşı önlem
alma
 Kişi ve kurumların BT kullanırken
karşılaşabilecekleri tehdit ve tehlikelerin
daha önceden analizlerinin yapılarak gerekli
önlemlerin alınmasını sağlama

Bilgi Güvenliği?
• Bilginin değerli veya değersiz olduğunu belirlemek veya
bilginin taşıdığı değeri ölçmek, en az bilginin kendisi kadar
önemlidir.
• Bilgiyi değerlendirirken bilginin kalitesini gösteren özelliklere
bakılması gerekir.
• Doğruluk, güncellik, konuyla ilgili olma, bütünlük ve öz,
gereksinimlere uyum gösterme, iyi sunulma ve fiziksel ve
idrak yolu ile erişim gibi ölçütler bilginin kalitesini belirleyen
etmenlerden bazılarıdır.
• Bilginin çok önemli bir varlık olması, ona sahip olma ile ilgili
bazı konuların düzenlenmesi ve yeni şartların getirdiği
özelliklere göre ayarlanmasını gerekmektedir.
• Bilgi en basit benzetme ile para gibi bir metadır.
Bilgi Güvenliği?
• Dünya gündeminde bir konudur.
• Bilginin bir varlık olarak hasarlardan korunması
• Doğru teknolojinin doğru amaçla ve doğru
şekilde kullanılarak bilginin her türlü ortamda
istenmeyen kişiler veya sistemler tarafından
elde edilmesini önleme
Bilgi
Güvenliği
?
Kurumsal Bilgi Güvenliği
Bilgiye sürekli olarak erişilebilirliğin sağlandığı bir ortamda,
bilginin göndericisinden alıcısına kadar gizlilik
içerisinde,bozulmadan, değişikliğe uğramadan ve başkaları
tarafından ele geçirilmeden bütünlüğünün sağlanması ve güvenli
bir şekilde iletilmesi süreci
Siber Bilgi Güvenliği ?
Bilgi Güvenliği
• Bilgi Güvenliği nerede sağlanmalı ?
–Üretim
–Erişim
–İşleme
–Depolama
–Aktarma
–Yok etme
Siber Güvenliğin Temel Hedefi?
Kurum ve kuruluşların veya en genel
anlamda ulusların bilgi varlıkları ve
kaynaklarını hedeflenen amaçlar
doğrultusunda organizasyon, insan, finans,
teknik ve bilgi değerlerini dikkate alarak,
varlıkların ve kaynakların başlarına KÖTÜ
BİR ŞEYLER GELMEDEN korumaktır.
Kaynak: http://www.itu.int/ITU-D/asp/CMS/Events/2009/PacMinForum/doc/Background%20Note-Theme-4ICT%20Apps%20&%20Cybersecurity.pdf
Tanım (ABD Başkanı Sn. Obama)
“Ülke olarak karşılaşılan çok ciddi ekonomik ve ulusal
güvenlik sağlama hedeflerinden birisi olup hükümet veya
ülke olarak henüz tam anlamıyla önlem alamadığımız bir
husustur.”
“Amerika’nın sayısal altyapısını kapsamlı olarak güven
altına alma yaklaşımlarının geliştirilmesi ve bilgi ile
haberleşme altyapısının savunulmasına yönelik olarak
federal çözümlerin gözden geçirilmesi” emrini verir.
"21. yüzyılda Amerika’nın ekonomik zenginliği, siber
güvenliğe bağlı olacaktır." Mayıs 2009
Ülkemizdeki Tanımlar..
Ulaştırma Bakanı Sn. Binali Yıldırım
• “bilgi sistemi güvenliğinde ortak akıl ve ortak
hareketle hattı müdafaa yerine sathı müdafaanın
başarılı bir şekilde gerçekleştirilme girişimi”,
25-28 Ocak 2011
• “devletin birinci dereceden ilgilenmesi gereken bir
mesele olarak görüyoruz.”
• “siber savaş tehdidine karşı hazırlıklı olmanın,
kurumların bilgi sistemi güvenliği olaylarına müdahale
yeteneği ile kurumlar arası koordinasyon yeteneğini
tespit ederek, alınacak önlemler ve bilincinin
arttırılmasını amaçlamak”
İNTERNET
Eylül 1971
Kaynak: http:// www. physorg.com/news151162452.html
İNTERNET
Kaynak: http:// www. physorg.com/news151162452.html
Eylül 1971
İNTERNET
Kaynak: http:// www. physorg.com/news151162452.html
Eylül 1971
İNTERNET
Kaynak: http:// www. physorg.com/news151162452.html
Faydalar
1.
2.
3.
4.
5.
6.
7.
8.
Zamandan bağımsızlık
Mekandan bağımsızlık
Hız
Verimlilik
Gelişim/Değişim
Hayatı kolaylaştırıyor
Yönetmeyi kolaylaştırıyor
Denetlemeyi kolaylaştırıyor
Zararlar
1.
2.
3.
4.
5.
6.
7.
Bilmeyenler için kontrolü zor..
Açıklarını bilenleri öne çıkarıyor..
Kötülere çok yardımcı oluyor..
Bilmeyenlere hayatı dar ediyor..
Bağımlılık yapıyor..
Kişisel gelişimi kısmen olumsuz etkiliyor..
Gelişmemiş toplumları köleleştiriyor..
60 saniyede neler oluyor? -1
• 168 milyon e-posta gönderiliyor.
• 1500’den fazla blog iletisi yayımlanıyor.
• 70’den fazla domain adı alınıyor.
• Flicker üzerinden en az 6600 fotograf paylaşılıyor.
• Skype üzerinden 370000 dakika konuşuluyor
• Scribd üzerinden en az 1600 okuma gerçekleşiyor.
• Pandora’da 13000 saatten fazla müzik akıyor.
• 13 000 IPhone uygulaması indiriliyor..
60 saniyede neler oluyor? - 2
Facebook
•En az 695000 Facebook durum güncellemesi
yapılıyor.
•79364 duvar iletisi yazılıyor.
•510040 yorum yapılıyor.
Twitter
•320 Twitter hesabı açılıyor
•En az 98000 Tweet atılıyor.
•13000 fazla iPhone uygulaması indiriliyor.
60 saniyede neler oluyor? - 3
Youtube
•600000’den fazla yeni görüntü yayımlanıyor.
•Dünya genelinde YouTube'de kalma süresi 25
saatten fazla.
Yahoo
• en az 100 soru ve 40 cevap Yahoo’da akıyor.
LinkedIn
•LinkedIn’e 100’den fazla profil ekleniyor.
Siber Ortamlar : 1
1. e-li ve m-li ortamlar yaygınlaşıyor..
2. Uygulamalar artıyor..
3. Tehdit, tehlikeler, saldırılar artıyor..
47870, 49003, 50999 , 54256 (nvd.gov),
4. Yeni çözümler geliştiriliyor..
5. Bilinmesi gerekenler çoğalıyor..
6. Yapılacak ve kontrol edilecek parametreler
sürekli artıyor.
Siber Ortamlar : 2
yüksek
Daha kötü
Saldırganlar
tarafından ihtiyaç
duyulan teknik bilgi
ve yetenekler
Kötü haber
Sofistike saldırılar
düşük
1975
1980
1985
1990
1995
2000
2005
2010
2015
Siber Ortamlar : 3
• Fiziksel Güvenlik
• Haberleşme Güvenliği
• Yayılım Güvenliği
• Bilgisayar Güvenliği
• Ağ Güvenliği
• Bilgi Güvenliği
• Donanım Güvenliği
• Yazılım Güvenliği
• İşletim Sistemi Güvenliği
• Sosyal Ağ Güvenliği
• Mobil Cihaz Güvenliği
• Veri Tabanı Güvenliği
• Web Teknolojileri Güvenliği
• Web Uygulama Güvenliği
• Protokol Güvenliği
• Sunucu Güvenliği
• IPv6 Güvenliği
• Kablosuz Ağ Güvenliği
• Siber Güvenlik
•…
•
•
•
•
•
•
•
•
•
•
•
•
•
Web tarayıcı güvenliği
Güvenli yazılım geliştirme
Steganografik güvenlik
SCADA Güvenliği
RFID Güvenliği
Kritik Altyapı Güvenliği
Endüstriyel Sistem Güvenliği
Google Güvenliği
Kripto analiz
Steganaliz
Şifre Güvenliği
Siber savaş
Savaş oyunları
Siber Ortamlar : 4
• 31.01.2011
• Rekabet Kurumu Resmi Sitesi
• 07.02.2011
• KKTC Başbakanlık resmi sitesi,
• KKTC Çalışma ve Sosyal Güvenlik Bakanlığı
• Toplumcu Demokrasi Partisi resmi sitesi,
• CTP resmi sitesi,
• KKTC Sayıştay resmi sitesi
• 08.02.2011
• Gümrüklerde 2 gün süren ve 2 milyar dolarlık dış
ticaretin durmasına yol açan bilgisayar arızasını “siber
saldırı” açısından incelemeye alındı.
Siber Ortamlar : 5
www.anayasa.gov.tr
www.diyanet.gov.tr
www.maliye.gov.tr
www.mehmetcik.org.tr
www.dyp.org.tr
www.dicle.edu.tr
www.toyota.com.tr
www.hyo.gazi.edu.tr
www.nef.balikesir.edu.tr
www.ktu.edu.tr
www.konyamuftulugu.gov.tr
www.siirtsaglik.gov.tr
www.canakkalesehitleri.com
www.orhangencebay.org
www.kocaelispor.org.tr
www.kizilay.org.tr
www.diyarbakirmuftulugu.gov.tr
www.konyamuftulugu.gov.tr
www.bilgiguvenligi.org.tr
Siber Ortamlar : 17
• BT teknolojileri kullanılarak hayatı yaşanılabilir hale
getirmek,
• Gelişmek,
• Bilgiye sahip olmak,
• Kontrol etmek,
• Kontrol altında tutmak,
• Yönetmek,
• Geleceği şekillendirmek,
• Zenginleşmek
• Hakimiyet kurmak,
• Köleleştirmek,
• ..
Siber Ortamlar : 18
Ulusal stratejileri desteklemek amacıyla;
• bilgi üstünlüğü sağlamak
• yanıltıcı bilgileri yaygınlaştırmak
• bilgi sistemlerine hasar vermek
• kendi bilgi sistemlerini korumak ve
desteklemek
• Ülkelerini ve toplumlarını korumak
Siber Ortamlar : 19
Bilgi savaşlarına hazır olmak;
• Yüksek tepelerden daha uzağı görenin avantaj
sağladığı mağara devrinde de vardı..
• Çağımızda ise bilginin üretimdeki ağırlığının
artması
• Yapıların zincir/hiyerarşiler değil ağ olarak
bağlanması
• Savaşlarda cephelerin çizgi/vücutlardan,
ağ/beyinlere taşınması
• Ülkelerini ve toplumlarını korumak için her yol
mübah
Siber Ortamlar : 20
Bilgi Savaşları..
Ulusal Askeri Stratejiler doğrultusunda;
• 15 Kasım 1940’da 500 savaş uçağı İngiliz
Coventry şehrini bombaladı.
• Kod adı “Ay Işığı Sonatı” (Ludwig van Beethoven)
• Bu saldırı Enigma kullanılarak şifrelenmişti.
• Yüzlerce ölü ile beraber şehrin üçte ikisi yıkıldı.
• Kendi bilgi ve bilgi sistemlerimizi etkin bir
şekilde kullanırken
• Amaç savaşı kazanmak
Siber Ortamlar : 21
Bilgi Savaşları..
Coventry
Churchill’in zor kararı
Siber Ortamlar : 22
Bilgi Savaşları..
• 1952’de Amerikan Ulusal Güvenlik Ajansı
(NSA)
• Amerikan karar vericilere ve askeri liderlere
zamanında bilgi sağlamak için
• Başkan Truman tarafından kurulmuş
• 1960'da Rusya'ya iltica eden iki NSA görevlisi
ABD'nin 40 ülkenin haberleşmesini dinlediğini
açıklamışlardır.
Kaynak: Introduction to History of NSA, http://www.nsa.gov/history/
Siber Ortamlar : 23
Bilgi Savaşları..
• ABD İç Savaşı sırasında General Stuart Telgraf
Hatlarını dinletti süper bilgisayarlar
• (1974) William Gibson ilk kez “cyberspace”
(siberalan”) sözcüğünü kullandı
• (1992) Pentagon Bilgi Savaşları ilk “Top Secret”
Yönergesi : TS – 3600
• (1994) ABD Haiti operasyonunda ağ saldırılarını
kullandı
• (1995) FBI’ın en çok arananlar listesine ilk kez bir
hacker girdi.
• (1997) ABD Hava Kuvvetleri Bilgi Savaşları
Laboratuvarı kuruldu.
Siber Ortamlar : 24
Bilgi Savaşları..
• (1997) ABD’nin İlk geniş çaplı siber saldırı tatbikatı –
Eligible Receiver
• (1998) ABD Yugoslav hava radarlarına sahte hedefler
yerleştirdi.
• (1998) Halen süren siber casus avı Operasyon
Moonlight Maze başladı
• (2000) Alman İçişleri Nazi sitelerine karşı DDOS
saldırıları gerçekleştirebileceklerini söyledi. Alınan
tepki üzerine bu demeç geri çekilmek zorunda kaldı.
• (2001) AB, ABD’nin baskılarına rağmen GPS’e rakip
Galileo’yu finanse etme kararı aldı
• (2002) New York Devlet Üniversitesi ordu için beynine
yerleştirilen devrelerle kontrol edilebilen canlı fare
projesini açıkladı.
Siber Ortamlar : 25
Bilgi Savaşları..
• Operasyon Moonlight Maze 1998-2000
• Estonya 2007
• Tüm devlet web siteleri
• Gürcistan 2008
• Tüm devlet web siteleri ve başkanın sitesi
• USA Elektrik Ağı 2003-2009
• Slammer, Ohio, Nükleer Santral, 2003(1), 2006(2), Elektrik Ağı 2009(1)
•USA-İUA videoları (2009)
• Iraklı Direnişçiler ticari yazılımlarla sisteme saldırdı.
• Sayısal atak 2009-2010, Stuxnet
• Kurtçuk, Siemens, SCADA, en kapsamlı saldırı
• LulzSec (ABD Senatosu)
• Ayyıldız TİM, Cyber Warrior, RedHack, Coldhacker
Siber Ortamlar : 26
Saldırılar Sürüyor..
• Gözaltına alınan 4 saldırganın (hacker)
bilgisayarlarında insansız hava araçları Heronlara ait
teknik bilgiler çıktı.
• 'sanal gerillalar' ve 'coldhackers' , 'Heron düşüren
hackerlar'
• İHA'lara ait yer kontrol sistemi ve sinyalizasyon
sistemlerine ilişkin teknik şemalar olduğu bildirildi.
• Şüphelilerin savcılık ifadesinde ise bu konuyla ilgili
olarak, Heronlar üzerinde çalışma yaptıklarını, frekans
sistemine girmeyi başardıktan sonra bozarak
düşürmeyi amaçladıkları
Siber Ortamlar : 27
Bilgi Savaşları..
• Bilgiye her yerden erişilebiliyor..
• Arama motorları var..
• Sosyal ağlar..
• Sanal ortamda bir savaş var..
• İnsan beyni okunabiliyor..
• Akla hayale gelmedik yaklaşımlar
geliştiriliyor..
• İzleme hat safhada..
Siber Ortamlar : 28
• Sanal savaş denemesi
• Dünyanın güvenlik açısından çok iyi dersler
çıkaracağı en iyi örnek
• Kendisini/diğer ülkeleri nasıl etkileyecek
• Geliştirilen teknolojileri test etme
• Facebook ve Google gibi teknolojilerini ne
kadar iyi kullanabiliyor testi
• İnternet ne kadar kontrol edebilir /
edilemez..
• Farklı ülkelere farklı mesajlar verme
Siber Ortamlar : 29
STUXNET
• Haziran 2011
• Sofistike kurtçuk ve içerisinde
•
•
•
•
•
•
Siemens PLC rootkit,
Pek çok sıfır-gün açılık,
Sisteme ağ ve sürücü enjeksiyonu yapabiliyor
Injects network and removable drive infection,
peer-to-peer güncelleme,
bir komu ve denetim arabirimi
• Siemens PLC’ye genel kod
• Frekans çevirici sürücüsünü yanlış rapor üretmeye
zorlar ve sürücüleri kapasitelerinin üzerinde çalıştırır.
• En fazla zarar ise İran’a verildi.
Siber Ortamlar : 29
•
•
•
•
STUXNET
Organizasyon Yapısı
Stuxnet çok sayıda .dll dosyası
32 Exports (Fonksiyonel hedefler için)
15 Kaynak (Fonksiyonel metotlar)
Siber Ortamlar
:
29
STUXNET Neler Öğretti
• Türünün ilk örneği
• Pek çok sıfır-gün açıklık içeriyor
• İki Önemli firmanın geçerli sertifikaların çalışmış
ve burada kullanılmış olması
• Endüstriyel kontrol sistemlerine ilk saldırı
• Kodu operatörden saklama
• Gerçek bir Sabotaj örneği
• İlk PLC rootkit
• Siber warfare için ilk örnek
• Stuxnet güvenli kod içeren sistemleri etkilemiyor
19790509, Habib Elghanian
Siber Ortamlar
:
29
STUXNET Neler Öğretti
• Ezber bozan bir yaklaşım
• Altyapıya saldırı için planlanmış
• Önemli sistemlerin korunaklı olmadığı
• Kolaylıkla sistemlere zarar verilebileceği
• Bir ülkenin nükleer programını
durdurabilecek kadar önemli
• Spekülasyon ile ülkelerin prestijlerine zarar
verme
Etkilenen Sistemler
Etkilenen Sistemler
• USB sürücülerle yayılma
Etkilenen Organizasyonlar
•
WAN IP
Stuxnet’den Dünya Çapında Etkilenme
Siber Ortamlar : 30
Kritik Altyapılar
AB
ABD
Su
Su
Gıda
Enerji
Sağlık
Ulaşım
Enerji
Tarım ve Gıda
Finans
Ulaşım
Kolluk Hizmetleri
Sivil Yönetim
Bilgi ve İletişim
Bilgi ve İletişim
Bankacılık ve Finans
Uzay ve Araştırmaları
Bayındırlık Hizmetleri
Kimyasal ve Nükleer Endüstri
Kamu Düzeni ve Güvenlik Alanı
Federal ve Yerel Hizmetler
Acil Hizmetler (sağlık, itfaiye, vb.)
Kaynak: Brunner, E. M., Suter, M., Güvenlik Çalışmaları Merkezi, İsviçre
Endüstriyel İletişim Protokolleri ve Güvenlik
Açıklıkları
ABD Enerji Bakanlığı Elektrik Dağıtımı ve Enerji Güvenliği Ofisisinin , ulusal enerji dağıtım sisteminin güvenlik ve
güvenilirliğini iyileştirmek amacıyla başlattığı Ulusal SCADA Test Ortamı (NSTB: The National SCADA Test Bed )
programı kapsamında Idaho Ulusal Laboratuarınca (INL: Idaho National Laboratory) hazırlanan rapora gore:
NSTB programı kapsamında, Amerika Birleşik Devletleri Enerji Bakanlığı Elektrik Dağıtımı ve Enerji Güvenliği Ofisine
sunulmak üzere hazırlanan Denetim Sistemleri Değerlendirmelerinde Gözlenen Genel Güvenlik Açıklıklarının %50’ye
yakının İletişim Protokollerinden kaynaklı!
Endüstriyel İletişim Protokolleri ve Güvenlik
Açıklıkları
CSSP (Control Systems Security Program) kapsamında sistem üreticilerine ve işletmecilerine ait
değerlendirmeleri içeren CSSP raporunda “servis, uygulama ve yapılandırmaya göre güvenlik
problemleri” kategorisinde endüstriyel denetim sistemlerinin açıklıkları:
4%
Zayıf Ağ Protokolü Uygulamaları
%26
4%
4%
26%
7%
Sistem Bilgisinin Açığa Vurulması
%21
Yetersiz Bilgilendirme %18
Yamalama Yönetimi zayıflığı %8
8%
Ağ Bileşimi Yapılandırmasındaki
Kusurlar %8
Kodlama Kalitesinin Zayıflığı %7
8%
WEB Servislerinin Açıklığı %4
21%
18%
Kullanıcı İmtiyazı İhlalleri %4
Ağ Tasarımındaki Açıklar %4
NERC
CIP
ISA
TR99-01
ISA
TR99-02
PCSRF
IEC 6210
IEC
62351
ORGANİZASYON GÜVENLİĞİ
Bilgi Güvenliği Altyapısı
Üçüncü Şahıs Erişim Güvenliği
√
Dış Kaynak Kullanımı
VARLIK SINIFLANDIRMA VE DENETİM
Varlıkların Sorumluluğu
Bilginin Sınıflandırılması
√
PERSONEL GÜVENLİĞİ
İş Tanımı ve Kaynak Güvenliği
√
Kullanıcı Eğitimi
√
Güvenlik Vakalarını ve Sorunları √
Karşılama
Personel Niteliği
AGA 12
GÜVENLİK POLİTİKALARI
Bilgi Güvenliği Politikaları
√
AÇIKLIK VE RİSK DEĞERLENDİRMESİ
IEEE
1402
API 1164
SCADA/DDS Güvenlik Standartlarının
Aralarında Kapsam Karşılaştırması
√
√
√
√
√
√
√
√
√
√
√
√
√
√
√
√
√
√
√
√
√
√
√
√
√
√
√
√
√
√
√
√
√
√
√
√
√
√
√
√
√
√
√
√
√
√
√
√
√
√
√
ISO 27002 ve SCADA/DDS Güvenlik Standartlarının
Karşılaştırması
16%
14%
12%
10%
8%
6%
4%
2%
0%
ISO 27002
SCADA Standartları
Siber Ortamlar : 31
Siber Savaşlar
• Casusluk
• Manipülasyon
• Propaganda
• İletişim
• Virüs
• Truva atları
• Sistem bozma
• Bilgi kirliliği
• Sistem kilitleme
• Dolandırıcılık
• Siber bombalarla
sabotaj
Siber Ortamlar : 32
Siber silahlar
• Hizmetin engellenmesi saldırıları (DoS, DDoS)
• Bilgisayar virüsleri
• Kurtçuklar (worm)
• Truva atı (trojan)
• Klavye izleme (key logger) yazılımları
• İstem dışı ticari tanıtım (adware) yazılımları
• Casus / köstebek (spyware) yazılımlar
• Yemleme/Sazan avlama (phishing)
• İstem dışı elektronik posta (spam)
• Ağ trafiğinin dinlenmesi (sniffing ve monitoring)
Siber Ortamlar : 33
Siber Savaş Silahları
• Hafıza Kartları (Memory Stick)
• Hafıza kartını düşürme
• Pazarda satma
• Ödünç alma/verme
Siber Ortamlar : 34
Siber Tehditlerin Amaçları
•
•
•
•
Sisteme yetkisiz erişim
Sistemin bozulması
Hizmetlerin engellenmesi
Bilgilerin
• Değiştirilmesi
• Yok edilmesi
• İfşa edilmesi
• Çalınması
Siber Ortamlar : 35
İyilerin ve Kötülerin amansız savaşı
• Saldıran Taraf
• Savunan Taraf
Siber Ortamlar : 36
Saldıran Taraf
• Saldırılar artmakta
• Saldırı bilgi seviyesi hızla azalmakta
• Kötücül kodlar gelişerek ve değişerek
hızla yayılmakta
• Organize sanal suç örgütlerini kurma
• İyilerden hep bir adım önde
Siber Ortamlar : 37
Savunan Taraf
• Güvenliğin en zayıf halkası
• Bilgisizlik, ilgisizlik, hafife alma,
• %100 Güvenliğin sağlanamaması
%99,9 Korunma + %0,1 Korunmasızlık=%100 güvensizlik
• Bilgi birikimi (Yatırım, Eğitim ve zaman)
• Kişilere güven duygusu
• E-dünyanın doğasında olan güvensizlik
Siber Ortamlar : 38
• Siber Bilgi Güvenliği ?
– Üretim
– Erişim
– İşleme
– Depolama
– Aktarma
– Yok etme
Düşük
DEĞER
Bireysel
Kurumsal
Düşük
ÖNEM
Yüksek
Ulusal Uluslararası
Yüksek
Siber Ortamlar : 39
SALDIRILAR – 1
• Saldırılar artık kapsamlı
• Çoklu saldırılar popüler
• Senaryoları yazılmış ve denenmiş,
• Karma yapıları içeriyor..
• Bilinmeyenler /düşünülmeyenler..
• Sürekli yenilikler içeriyor..
• Takip gerektiriyor..
• Yüksek bilgi birikimi gerektiriyor..
Siber Ortamlar : 40
SALDIRILAR – 2
nA
Saza
vcısı
Kullanıcı Adı: Sazan
Şifre
: 12345
Kredi Kartı :01289
Sazanlar
Siber Ortamlar : 41
SALDIRILAR – 3
1. Casus yazılım sayısı artıyor.
2. Farklılaşıyorlar.
3. Kendilerini saklayabiliyorlar, görünmez
olabiliyorlar.
4. Silseniz bile tekrar kopyalayabiliyorlar
5. Belirli bir süre var olup sonra
kendilerini yok edebiliyorlar.
6. 38 grupta bunları sınıflandırdık.
Siber Ortamlar : 42
Google -1
• Mükemmel bir arama motoru
• En çok tercih edilen arama motoru
• Mükemmel hizmetler veriyor
• Academics, books, translation, blogs,
gmail, documents, mobil, talk, maps,
IPv6, Google+, Wallets, ……
• Değeri 200 Milyar Dolar
• FAKAT…
Siber Ortamlar : 43
Google -2
•
•
•
•
•
•
•
•
•
Dünyanın en iyi casus yazılım sistemi
Dünyanın bilgisini topluyor..
Ülkesine/ülkelere hizmet eden en iyi ortam
Bizi bizden (ülkeleri, ülkelerden) daha iyi analiz
edebiliyor..
Kelime/Cümle/Resim/Ses araması yapabiliyor..
İstihbarat için vazgeçilmez bir ortam..
Tabii ki bu sistemi iyi kullananlar için..
encrypted.google.com hizmet veriyor..
Güvenlik açığı oluşturabilecek hususları kapatıyor..
Siber Ortamlar : 44
Google -3
• Google Academics
(bilimsel çalışmalarımız?)
• Google Docs
(oluşturulan dokumanlar?)
• Gmail
(kimlerle yazışıyorsunuz?)
• GTalk
(kimlerle konuşuyorsunuz?)
Siber Ortamlar : 45
Google -4
• Blog
(ne yazıyorsunuz?)
• Google+
(bağlantılarınız?)
• Wallet
(finansal durumunuz?)
Siber Ortamlar : 46
Google -5
• Picasa
(resimleriniz?)
• Google Reader
(neyi/kimi takip ediyorsunuz?)
• Arşiv Hizmeti
(verileriniz neler?)
Siber Ortamlar : 47
Google -6
• Arama Motorları
• kişisel, kurumsal ve ulusal bilgilere
erişim
• açık olan bilgilere erişim
• gizli olan bilgilere erişim
• açık istihbarat için en iyi ortam
.......
2 Aralık 1998 – 23:04:10 tarih ve saatinde Google’in ilk görüntüsü
http://wayback.archive.org/web/19960101000000*/http:////www.google.com
Google arama motoru hizmetinin yanı sıra 40’a yakın daha hizmet
sunmaktadır.
AdSense
AdWords
Google Akademik
Google Analytics
Google Apps
Google Base
Google Blog Arama
Blogger.com
Google Checkout
Chrome Web Store
Google Code
Google Dokümanlar
Google Gears
Gmail
Google eBookstore
Google Friend Connect
Google Patents
Google SketchUp
Google Voice
Google+
Google Gruplar
Google Görsel Arama
Google Haberler
Google Arama Trendleri
Google Kitaplar
Knol
Google Map Maker
Google arama motoru hizmetinin yanı sıra 40’a yakın daha hizmet
sunmaktadır.
Google Maps
Google Paket
Panoramio
Picasa
Google DNS
Google Reader
Site haritası
Google Takvim
Google Talk
Google Toolbar
Google Çeviri
Google Trends
Google Video
Google Body
Google Wallet
YouTube
İGoogle
GOOGLE MÜHENDİSLİĞİ
GOOGLE MÜHENDİSLİĞİ
GOOGLE MÜHENDİSLİĞİ
Siber Ortamlar :
Sosyal Ağlar
• Kimlikleri Taklit Etme
• İstenmeyen Epostalar (Spam) ve Bot Saldırıları
• Kötü Amaçlı Sosyal Ağ Uygulamaları
• Siteler Arası Kod Çalıştırma (XSS)
• Siteler Arası İstek Sahteciliği (CSRF) Saldırıları
• Kimlik Hırsızlığı
• Casusluk
• Sahte Linkler/Bağlantılar
• Bilgi Toplama Saldırıları
Siber Ortamlar :
•
•
•
•
•
Çözümler
Standartlar daha da spesifik..
Kritik yapıların güvenliği mercek altında..
Yeni çözümler kullanılıyor (Diyot Yaklaşımı)..
Kısıtlı kullanım sunan işletim sistemleri (JeOS)
“Şifre (password)” yerini
“Deyim veya Cümle Şifre (Pass-sentence)”..
• “Bilgi Güçtür!” yerine
“Bilgi Güvenliği Sağlandığı Ölçüde Güçtür!”
• “Bilgi üretilmeden korunamaz!”
Nasıl Bir Siber Bilgi Güvenliği ?
ÖNCELİKLE..
• Konu ile ilgili yüksek farkındalığın olması ve konu
uzmanı yöneticilerin bulunması
• Ağ bilgi sistemlerinin güvenliğinin daha ciddi olarak ele
alınması gerekiyor.
• Neyin korunacağını bilmek en önemli adım.
• Nasıl korunacağını veya korunamayacağını bilmek (risk
yönetimi) işin özü.
• İzleme ve denetim ise başarının anahtarıdır
• İnsan-Eğitim-Teknoloji birlikteliğini sağlama püf noktası.
Nasıl Bir Siber Bilgi Güvenliği ?
DAHA SONRA..
• Bu işlemleri koordine edecek bir birimin kurulması,
• Siber suçlarla mücadele biriminin kurulması veya mevcut
yapıların resmileştirilmesi
• Ulusal stratejilerin kısa sürede hayata geçirilmesi
• Farkındalık-eğitim çalışmalarını arttırma,
• Uluslararası BYGS standartlarının BT hizmeti veren devlet
kurumlarında zorunlu hale getirilmesi
• Uluslararası işbirliğinin arttırılması
• Bu konuda yapılacak olan ar-ge çalışmaları desteklenmeli
• Güncel tehditleri takip edip, duyuracak ve giderecek
ekiplerin güçlendirilmesi veya bir yapı altında toplanması ve
hizmetlerin verilmesi
Nasıl Bir
Siber Yöntemleri
Bilgi Güvenliği?
Korunma
KISACA..
•
•
•
•
•
•
•
•
•
Ulusal politika ve strateji geliştirilmesi
Yasal çerçevenin oluşturulması
Teknik tedbirlerin alınması
Kurumsal yapılanmanın belirlenmesi
Ulusal işbirliği ve koordinasyonun sağlanması
Kapasitenin geliştirilmesi
Farkındalığın arttırılması
Uluslararası işbirliği ve uyumun sağlanması
Konunun sahibinin bilinmesi ve oluşturulması
Siber Güvenlik Kültürünün
Oluşturulması
Kaynak: ITU
Bütüne Bakabilme
Gizlilik
Giriş
kontrolü
Kimlik
doğrulama
kanıtlama
Güvenirlik
Erişilebilirlik
Emniyet
Kayıt Tutma
İnkar
edememe
Bütünlük
Sızma Testleri
Gösterimi
NasılYap-Boz
bir KBG
?
Fiziksel
Güvenlik
Testleri
E-posta
Güvenlik
Testleri
Sosyal
Mühendislik
Testleri
Ağ
Cihazları
Testleri
Güvenlik
Duvarı
Testleri
İşletim
Sistemleri
Testleri
Uygulama
Yazılımları
Testleri
Güvenlik
Bilinci
Testleri
Saldırı
Tespit
Sistemleri
Testleri
Web
Uygulama
Testleri
Çevirmeli
Ağ
Testleri
Şifre
Sağlamlık
Testleri
Hizmet
Aksattırma
Testleri
Açık Port
Bulma
Testleri
Kablosuz
Ağ
Testleri
Sonuçlar
ve Değerlendirmeler
Süreci
Doğru Yönetme..
• Bilgi Güvenliği ürün veya hizmet değildir.
• İnsan faktörü, teknoloji ve eğitim unsurları üçgeninde
yönetilmesi zorunlu olan karmaşık süreçlerden oluşan,
süreklilik arz eden bir süreçtir.
• Üç unsur arasında tamamlayıcılık olmadığı sürece yüksek
seviyede bir güvenlikten bahsedebilmek mümkün
değildir.
• Yüksek seviyede E-Devlet güvenliğinden bahsedebilmek
için Kurumsal ve Bireysel anlamda Bilgi Güvenliğinin
gerekleri yerine getirilmelidir.
Denetim.. Korunma Yöntemleri
•
Uygulamaları periyodik olarak uygun test yöntemleri,
araçları veya teknikleri kullanarak denetleme,
•
Açık var ise bunları kısa sürede giderme.
•
Farklı denetim uzmanları veya kurumlarından faydalanma
Korunma
Yöntemleri
Bilinçlendirme
ve Eğitim..
•
Kayıplarının %80’inden fazlası yazılımsal veya donanımsal
değil insan hatası veya kastı ile gerçekleşen durumlardır.
•
Teknoloji sorunu olarak bakmamak gerekiyor.
•
En zayıf halkası ise insandır.
•
Kullanıcıları güvenli internet ve bilgisayar kullanımı
konusunda bilinçlendirilme ve eğitme
•
Ortak Bilgi Güvenliği Bilinci oluşturma
•
En zayıf halkayı güçlendirme
•
Farkındalığı arttırma
SORULARINIZ
Gazi Üniversitesi
Mühendislik Fakültesi
Bilgisayar Mühendisliği Bölümü
[email protected]