HEARTBLEED NEDİR, NE DEĞİLDİR? McAFEE

Özgür Kuvvet
karikatürleri ile
Beyaz Şapka’da
•
•
•
•
•
•
•
•
•
HEARTBLEED NEDİR, NE DEĞİLDİR?
McAFEE ÜRÜN AİLESİ İÇERİSİNDE ÇOK BİLİNMEYEN, GENİŞ KAPSAMLI MALWARE
ARAŞTIRMA ÇÖZÜMÜ
DİSK VERİ DEPOLAMA SİSTEMLERİ
DAĞITIK YAPILARDA GÜVENLİK DUVARI DENETİMİ
5651 SAYILI KANUN VE ŞİRKETLERİN YÜKÜMLÜLÜKLERİ
BULUT ÜZERİNDEN UÇ NOKTA GÜVENLİĞİ
HUKUKİ DÜZENLEMELER ÇERÇEVESİNDE KAYITLI ELEKTRONİK POSTA (KEP)
DNS SPOOFING
1
2
2 beyaz şapka Şubat 2013
İçindekiler
04->> Heartbleed nedir, ne değildir?
Serkan Akcan
06->> McAfee ürün ailesi içerisinde çok
bilinmeyen, geniş kapsamlı
malware araştırma çözümü
Serkan Kırmızıgül
08->> Disk Veri Depolama Sistemleri (devam):
Tarkan Çiçek
10->> Dağıtık Yapılarda Güvenlik Duvarı
Denetimi
Ozan Özkara
12->> 5651 Sayılı Kanun Ve Şirketlerin
Yükümlülükleri
Selen Uğur
14->> Bulut Üzerinden Uç Nokta Güvenliği
Atıl Gürcan
16->> Hukuki Düzenlemeler Çerçevesinde
Kayıtlı Elektronik Posta (KEP)
Sibel Akbaş
18->> DNS Spoofing
İrfan Kotman
B
eyaz Şapka’nın Şubat sayısından bu yana oldukça yoğun bir program yürüttük. Biraz yorulduk ama bilgi güvenliği farkındalığını arttıran çalışmalarımızın
meyvelerini görmek gücümüze güç kattı.
4 Mart 2014’te Çırağan Sarayı’nda yapılan IDC IT Security Roadshow konferansına
sponsor olarak katıldık. Aynı konferansın Ankara ayağı için 19 Mart 2014’te Ankara
JW Marriott otelindeydik. Her iki konferansta da katılımcılara güncel bilgi güvenliği bilgilerini taşıdık.
Ankara etkinliği bu yıl bizim için daha özeldi çünkü 3 Mart 2014 itibarı ile Ankara
ofisimizi açtık. IDC IT Security Ankara konferansında da ofis açılışımızın küçük bir
kutlamasını yaptık. İstanbul ofisimizin 9 yıldan uzun bir süredir yarattığı yüksek
kaliteli hizmete Ankara’da da büyük bir ihtiyaç olduğunu tekrar gördük. Önümüzdeki dönemde Ankara ofisimize verdiğimiz desteği büyüterek devam ettireceğiz.
Ankara’ya daha iyi ve kaliteli bir bilgi güvenliği anlayışı getirmek için yaptığımız
çalışmalara tüm iş ortaklarımızdan, müşterilerimizden ve Beyaz Şapka abonelerimizden destek rica ediyoruz.
2-4 Nisan 2014 Tarihlerinde IDC CIO Summit 2014 Konferansı için Antalya Kaya
Golf Resort Hotel’deydik. Bu konferansta üst düzey yöneticilere ulaşıp bilgi güvenliğine ayırdıkları zamanı birkaç dakika bile olsa arttırmaya çalıştık.
17 Nisan 2014 Tarihinde ise İstanbul Point Hotel Barbaros’da Entegre Bilgi Güvenliği adında bir seminer düzenledik. Yaklaşık 65 katılımcının hazır bulunduğu seminerde bilgi güvenliği olaylarına karşı nasıl otomatik aksiyon alınabildiğini önceden
kullanım senaryoları şeklinde sunmaya çalıştık. Bu seminerimizden de oldukça iyi
tepkiler aldık. Bu seminerimize Ankara’dan katılan da misafirlerimiz de oldu. Kendilerine ve diğer katılımcılara tekrar teşekkür ederiz. Bu seminerlerimizin benzerlerini yılsonuna doğru Ankara’da da yapmak üzere çalışmalar gerçekleştiriyoruz.
Tüm seminerlerimizin davetiyelileri sizlere gönderilecektir.
Bütün bu etkinliklerin yanı sıra sizlere daha iyi hizmetler üretmek ve mevcut
hizmetlerimizin kalitesini arttırmak için de çalışmalarımızı devam ettiriyoruz. Bu
sayıda okuyabileceğiniz Heartbleed atağı da bu çalışmalarımızı biraz daha hızlandırdı. Acil durumlarda müşterilerimizi daha hızlı ve doğru bilgilendirecek ve sadece destek sözleşmeli müşterilerimize hizmet verecek bir hizmet zinciri üzerine
çalışıyoruz. Tüm testlerimiz bittiğinde ve hizmetin detayları netleştiğinde destek
sözleşmeli müşterilerimiz bilgilendirilecekler.
Son olarak Beyaz Şapka’daki küçük bir yenilikten bahsetmek istiyoruz. Bu sayıdan
itibaren Özgür Kuvvet karikatürleri ile Beyaz Şapka’da yer alacak. Sizi bilgilendirirken bir miktar da gülümsetmek istiyoruz
Her sayıda olduğu gibi tüm soru ve taleplerinizi bize iletmenizi, Facebook ve twitter hesaplarımızdan bizi takip etmenizi rica ediyoruz.
www.nebulabilisim.com.tr
ww.facebook.com/nebulabilisim
www.twitter.com/nebulabilisim
Güvenli Günler!
Beyaz Şapka Ekibi
beyaz şapka Mayıs 2014 3
Serkan AKCAN
Akcan
[email protected]
Heartbleed nedir, ne değildir?
H
eartbleed açığı dünyayı kasıp kavurdu. Detaylı inceleme fırsatı bulamadıysanız sadece beş dakikanızı bu yazıya ayırarak Heartbleed açığı hakkında
yeterli ve doğru bilgi edinin.
Heartbleed açığı
Google’ın güvenlik
mühendisi Neel
Mehta buldu ve
OpenSSL’e bildirdi.
Paralelinde Finli
güvenlik yazılımı
üreticisi Codenomicon
şirketinin mühendisleri
aynı açığı keşfetti ve açığın
adını verdi. Codenomicon
mühendisleri ayrıca www.
heartbleed.com adlı bir web
sitesinin yayınına
başlayarak açıklık hakkında teknik
detayları paylaşıma açtı ve açıklık
için yarattıkları logo tüm dünyaya
yayıldı.
Heartbleed açıklğı OpenSSL yazılımında bulunan
basit ama çok büyük problemlere neden olabilecek bir açıklık.
Şifreleme amacı ile kullandığımız OpenSSL’de bulunan Heartbeat özelliğinin daha uzun bir sorgu ile çalıştırıldığında gizli
verileri göndermesinden ibaret. Heartbleed’i daha kolay anlatmak için bir wikipedia kullanıcı çok güzel bir görsel hazırlamış.
Ben de bu görseli değiştirmeden kullanıyorum.
Genel bakış
Heartbleed açığı sayesinde OpenSSL’in zafiyet taşıyan bir sürümünü kullanan sistemden kullanıcı adları, şifreler, dokümanlar
ve hatta private key’leri sızdırmak son derece kolay. Açıklık
son derece yaygın bir alanda görülüyor. Instant Messaging yazılımlarından VPN sistemlerine, e-ticaret sitelerinden Softwa-
4 beyaz şapka Mayıs 2014
re-as-a-service yazılımlarına kadar çok geniş bir alanda veri
sızıntısı ihtimali var.
Daha net söylememiz gerekirse Google, Dropbox, Lastpass,
Eventbrite ve SoundCloud gibi yaygın kullanılan web siteleri
açıktan etkilendi. Yani kullanıcı adınız ve şifreniz çalınmış
olabilir. Yazıyı hazırladığım gün itibarı ile Facebook,
Twitter ve Apple gibi şirketlere ait sistemlerin etkilenip etkilenmediği henüz bilinmiyor.
Uzun lafın kısası şifrelerinizi değiştirin. Açıklıktan
etkilemediğini bildiren üreticiler de her ne kadar
etki görülmemiş olsa da tüm kullanıcılarına şifrelerini değiştirmelerinin daha güvenli olacağını bildiriyor.
Buraya kadar Heartbleed’in bireysel kullanıcılara etkisinden bahsettik. Medyada da daha ziyade bireysel kullanıcılara etkileri yer alıyor. Ama emin olun kurumsal etkileri çok daha
büyük ve riskli!
OpenSSL kullanan tüm müşteriler çok gizli verilerini kaybetme, açık ve geniş biçimde hack edilme riskiyle karşı karşıya.
Birçok şirkettin OpenSSL kullanmadıkları için güvende olduk-
larını düşündüklerini gördüm ve işittim. Oysa birçok ürünün
yönetim konsolları OpenSSL kullanıyor. Antivirus yönetim
konsolları, SSLVPN çözümleri, Email security ürünleri, Web
security ürünleri, Firewall’lar gibi çok kritik ürünler OpenSSL
kullanıyor ve zafiyet barındırıyorlar.
Ne yapmalıyız?
Aksiyon planını iki kademeli düşünebiliriz. İlki her zaman önleyici tedbir olmalıdır.
Birçok güvenlik üreticisi Heartbleed açığını tespit edip durdurabilecek çözümler üretti. NIPS/HIPS, Firewall/UTM ve WAF
gibi ürünlerle açığa karşı yapılacak atakları ağ geçidi seviyesinde durdurmak mümkün. Kullanmakta olduğunuz ürünlerin
imkanlarını dikkatlice incelemelisiniz.
İkinci adım açıklıkları bulup kesin olarak kapatmak. OpenSSL
kullananlar için iş kolay. Yeni sürüme geçiş yapabilir veya
OpenSSL’i yeniden derleyerek geçici çözüm üretebilirsiniz.
Teknik detayları burada uzun uzun anlatmayacağım.
Fakat hangi ürünlerde OpenSSL kullanıldığını ezbere bilmek
pek mümkün değil. Önerim bir zafiyet tarama yazılımı ile tüm
sisteminizi taratmanız. Eğer bir zafiyet tarama yazılımınız yoksa McAfee Vulnerability Manager yazılımının deneme sürümünü kullanabilirsiniz. Tarama bittiğinde hangi sistemlerinizde
OpenSSL var ve hangilerinde Heartbleed zafiyeti bulunuyor,
net olarak görebileceksiniz.
Katılaştırma İngilizcede Hardening adı ile geçer. Sistemi ihtiyaçlardan fazlasına cevap vermeyecek şekilde konfigüre etmek
ve fazla görevleri ortadan kaldırmak anlamına gelir. Örneğin
OpenSSL’e ihtiyacınız yoksa bu servisleri çalıştırmamak sistem
katılaştırmasına iyi bir örnektir. Bu sistemleri devreye alırken
bilgi güvenliği uzmanları barındıran şirketler çalışmanızı öneriyorum.
Her ne kadar iyi bir bilgi güvenliği süreci sürdürsek de risk her
zaman vardır. Zafiyetleri sıkı biçimde takip etmeli ve kötü niyetlilerden önce bulup kapatmalıyız. Bu anlamda maalesef zayıf bir ülkeyiz çünkü doğru düzgün faaliyet gösteren Computer
Emergency Response Team (CERT) birimimiz bulunmuyor. Böyle bir birim olsaydı tek bir noktadan küresel ve yerel tehditleri
izleyebilir ve güvenlik çıtamızı yükseltebilirdik. Biz bu konuda
gücümüz yettiğince devlet kurumlarının ilgisini çekmeye çalışıyor ve ulusal güvenliği de arttıracak çalışmaların yapılması
için farkındalığı arttıracak faaliyetler yürütüyoruz. Diğer yandan destek sözleşmeli müşterilerimize küresel tehditler konusunda daha hızlı bilgi sağlayacak bir sistem üzerinde çalışmaya
devam ediyoruz. Daha iyi bir bilgi güvenliği süreci yaratabilmemiz için lütfen bizi desteklemeye devam edin.
OpenSSL ticari bir ürünün içinde bulunduğunda genel olarak
direk OpenSSL’e müdahale etme şansımız olmaz. Üreticiler
yaygın biçimde ilgili açığı kapatacak yama veya yeni sürüm
geliştirdiler. Dolayısı ile OpenSSL yazılımını arka planında kullanan ürünleri zafiyetten kurtarmak için güncelleme çalışması
yapmak gerekiyor.
Sonuç
Güvenlik ürün ve teknolojileri de birer yazılımdan ibarettir.
Amaçları diğer yazılımları ve verileri korumaktır ama aynı risklere sahiplerdir. Sertifika kullanıyor olmak, IPS’e sahip olmak
veya bilinen tüm ürünleri satın almış olmak bilgi güvenliği adına hiçbir şey ifade etmez.
Bu noktada iki önemli konudan bahsetmek yerinde olacaktır.
Teknolojileri katılaştırmak ve açıklıklarını sürekli takip etmek.
beyaz şapka Mayıs 2014 5
Serkan AKCAN
Kırmızıgül
[email protected]
McAfee Ürün Ailesi İçerisinde
Çok Bilinmeyen, Geniş Kapsamlı
Malware Araştırma Çözümü
M
cAfee ürün ailesi uzun süredir özellikle güvenlik ve malware
Temel paket bir çok güvenlik bileşeni ile ön tanımlı olarak gel-
analistlerinin işlerini oldukça kolaylaştıran, genişlemeye uy-
mektedir (Şekil-2). Bu çözümler gerek McAfee çözümlerini gerek-
gun ve açık mimariye sahip ortak bir framework alt yapısı
se McAfee harici diğer üreticilerin veya açık kaynak projelerinin
sağlıyor. Kısaca CADS (Cloud Analysis and Deconstruction Services )
çözümlerini barındırmaktadır. Çözümün en önemli avantajı bu
olarak adlandırılan bu çözüm her ne kadar akıllarda bir servis intibası
temel paketin müşterinin edindiği yeni teknolojilerle büyümeye
bıraksa da aslında müşteriler için tamamen özelleştirilmiş bir yazılım alt
imkân sağlamasıdır. Örneğin sonradan müşterinin portföyüne
yapısı sunmaktadır.
eklediği bir sandbox çözümü bu framework alt yapısına ekleneCADS Framework üretici
bilmektedir. Bu aşamada istenilirse entegrasyon için McAfee den
bağımsız olarak dosya ve
direk hizmet alınabilmektedir.
URL’ler için detaylı araştırma ve inceleme imkanı
sunmaktadır.
Dolayısıyla
Open-Restful alt yapısı farklı üreticilerin güvenlik çözümlerinin bu framework
alt yapısına direk bağlanmasını sağlamakta ve müşteri açısından ise ortak ve
tek bir araştırma ortamı sağlanmaktadır.
Sunulan çözüm Vmware ESX alt yapısı veya CloudShield donanımları
Şekil-2 ön tanımlı üreticiler ve açık kaynak projeleri
üzerinde çalışabilmekte bu sayede yüksek miktardaki URL ve anlık çok
sayıdaki malware analizine imkân sağlamaktadır.(Şekil-1)
1. McAfee ATD ve Norse (McAfee SIA partner) ayrıca temin edil-
Nagios plugin sayesinde donanım alt yapısına ait sağlık ve performans
mektedir.
değerleri canlı izlenebilmekte ve yönetilebilmektedir. Vcenter kullanıl-
2. VirusTotal den kurumsal anahtar sağlanmalıdır
ması durumunda ise donanımsal fail-over mimari desteklenmektedir.
3. McAfee GTI File ve URL reputation hizmetleri ayrı ayrı açılıp kapatılabilir
CADS üzerinde çalışan farklı analiz araçları arasında yük dağılımını oto-
4. McAfee Network Threat Response (NTR) Shell Code Analyser
matik yapabilmektedir. Taranan dosyalarla ilgili sonuçlar ve örnekler
5. McAfee NTR a ait PDF analiz motoru
arşivlenebilmekte, o an için tespit edilemeyen kodlar zaman içeresinde
6. Zip-Exctractor olası tüm arşiv dosyalarını açmayı sağlar
güncel istihbarat ve DAT dosyaları ile tekrar taranarak analizden geçiri-
7. McAfee NTR’a ait office dosya inceleme motoru
lebilmektedir.
6 beyaz şapka Mayıs 2014
CADS mimarisi üzerinde manual dosya inceleme yöntemi dışında
CADS inceleme süreçleri sırasıyla şöyle özetlenebilir;
ağa konumlandırılacak diğer güvenlik ürünleri ile ağ içeresinde
1. Tüm tespit edilen ağ adresleri, domain’ler, URL’ler ve file hash
dolaşan örneklerin toplanarak bu sisteme gönderilmesi ve detay-
bilgileri McAfee GTI ve Norse istihbarat ortamına sorulur.
lı incelenmesi mümkün olabilmektedir. Bu amaçla uzun yıllardır
2. Toplanan dosya, CADS içeresindeki antivirüs havuzuna yollanır
McAfee ürün ailesinde bulunan McAfee NTR çözümü önemli bir
ve belirlenen kurallar çerçevesinde taranır.
bileşendir.
3. Dosya analizleri sürecinde PDF dosyaları FileScan servisi ile taranır, embeded objeler açılarak analizden geçirilir.
4. Toplanan Jar dosyaları analiz için FileScan servisine gönderilir.
5. NTR ile shellcode analizi yapılır.
6. Yara kuralları çalıştırılır.
7. En son ise yakalanan dosyalar dinamik analiz için mevcut Sandbox havuzuna yollanır.(McAfee, ATD ve Cuckoo)
McAfee NTR, ağ içerinde dolaşan dosyaları yakalamak ve davra-
8. Toplu rapor üretilir.
nışlarını analiz etmek için pasif algılayıcılarını (sensor) kullanmaktadır. Multi-Gigabit performansı ile büyük kurumların ihtiyaçla-
Özellikle McAfee ATD üzerindeki geliştirmelerle birlikte tespit edi-
rını sağlayan güçlü ve tamamlayıcı bir güvenlik bileşenidir. NTR
len APT ve benzer zararlıların ağ üzerinde durdurulması ve olası
gerek appliance gerekse Vmware ESX alt yapısını desteklemekte
enfekte kaynakların tespiti mümkündür. Bu amaçla mevcut McA-
bu sayede tek bir algılayıcı ile en fazla 2 Gbps’lık trafiklerin analizi
fee ürünleri kullanılabilmekte ve CADS ile bu çözümlerin bir bü-
mümkün olmaktadır. Birden çok algılayıcı merkezi olarak yöneti-
tün halinde çalışması sonucunda çözüm inceleme ve araştırmanın
lebilmekte algılayıcılar üzerinde çalışan politikalara istinaden dos-
ötesinde toplu bir güvenlik çözümü olarak karşımıza çıkmaktadır.
ya ve URL erişimleri detaylı incelenebilmekte ve toplanan veriler
Örnek toplamak ve ağ seviyesinde bloklama imkanı için McAfee
manager ile paylaşılmaktadır. Down-Selected politikalarla hem
Network IPS, McAfee Web Gateway ve McAfee E-Mail Gateway; sa-
imza temelli hem de davranışsal birçok metot aynı anda kullanı-
dece örnek toplamak için McAfee NTR; olası enfekte halindeki son
labilmektedir. Manager neredeyse bir trafik polisi gibi çalışmakta
kullanıcı sistemlerinin bulunması ve düzeltilmesi için McAfee Real-
toplanan veriler ve raporlar üzerinde detaylı korelasyon ve ilişki-
time Command kullanılmaktadır. McAfee SIEM ile ise uzun dönem
lendirme yapılabilmektedir. Gerekli görülmesi durumunda full fo-
log kayıtlama ve diğer güvenlik ürünleri ile korelasyon imkanları
rensic araştırma kararı verilmektedir. Sezgisel algoritmalar topla-
otomatik sağlanmaktadır.(Şekil-4)
nan veriler üzerinde; köken, süre, aktivite sıklığı gibi parametreleri
inceleyerek veri setleri üzerinde azaltma yapabilmekte dolayısıyla
mükerrer ve gereksiz analizlerin önüne geçilmektedir.
NTR aynı zamanda ağ üzerinde yakalanan şüpheli JAR, PDF ve
executable dosyalar üzerinde sofistike saldırıları çıkarabilmekte
ve daha detaylı forensic araştırmalar için CADS sistemine otomatik yollayabilmektedir. Tespit için dinamik ve statik analiz teknikleri bir arada kullanılabilmektedir.
beyaz şapka Mayıs 2014 7
SerkanÇiçek
AKCAN
Tarkan
[email protected]
Disk Veri Depolama Sistemleri (devam):
Ağ Bağlantıları:
isk veri depolama sistemlerinde bağlantı şekilleri ağırlıkla
Fiber Anahtar (switch)’lar üzerinden yapılıyor olsa da farklı
şekillerde bağlantı kurmak mümkündür. Depolama birimi
ile Sunucu arasındaki yetkilendirme HBA (Host Bus Adapter), kartının ağ kartlarındaki MAC adresi gibi benzersiz tanımlayıcısı olan
WWN numarasına göre yapılır. Yani hangi Lun’a hangi Sunucunun
erişeceği WWN numaralarına göre yetkilendirilir ve ancak ilgili
WWN’den gelen istekler ilgili Lun’a iletilir. Buradan sizin de tahmin
edeceğiniz üzere bir sunucu üzerindeki HBA kartını başka bir sunucuya taşıdığınızda Lun’lara olan erişimi de bu sunucuya taşımış
olursunuz. Yeni sistemler üzerinde sanal WWN uygulamaları ile
farklı durumlar yaratmak da söz konusudur. WWN numaralandırması ATA, SAS ve FC protokolleri için kullanılmaktadır. 8 veya 16
Byte uzunluğundadırlar ve her üreticiye göre bir başlangıç koduna
sahiptirler. İlk 6 karakterden oluşan bu koda OUI (Organizational
Unique Identifier) denir. Türkçe olarak ise Benzersiz Üretici Tanımlayıcı kod diyebiliriz. Bu ilk 6 hane için bir kaç örneği aşağıda verelim;
• 00:50:76 IBM
• 00:17:38 IBM, formerly XIV.
• 00:A0:98 NetApp
• 00:01:55 Promise Technology
• 00:60:69 Brocade Communications Systems
• 00:05:30 Cisco
• 00:E0:8B QLogic HBAs, original identifier space
• 00:1B:32 QLogic HBAs. new identifier space starting to be used in
2007
• 08:00:88 Brocade Communications Systems,
• 00:60:B0 Hewlett-Packard - Integrity and HP9000 servers.
• 00:17:A4 Hewlett-Packard - MSL tape libraries. Formerly Global Data Services. WWIDs begin with 200x.0017.a4
• 00:60:48 EMC Corporation, for Symmetrix DMX
• 00:00:97 EMC Corporation, for Symmetrix VMAX
•00:60:16 EMC Corporation, for CLARiiON/VNX
• 00:60:E8 Hitachi Data Systems
• 00:0C:50 Seagate Technology
• 00:00:C9 Emulex
• 00:14:EE Western Digital
D
Point-to-Point (Direct Attach):
Sunucu ile depolama
sisteminin arada herhangi bir başka bileşen
olmadan doğrudan bağlanması şeklidir. Bu tip
bağlantıda sunucu ve
depolama sistemi arasında bağlantı doğrudan
sağlanır. Yine de depolama sistemi üzerinde
bir Lun yetkilendirmesi
gerekmektedir. Yani depolama sisteminin üzerinde ulaşılacak
Lun’lar için sunucu hba kartının wwn’ine izin verilmesi gerekir. Bu
8 beyaz şapka Mayıs 2014
tip bağlantı kullanılmak istendiğinde depolama sisteminin bu tür
bağlantıyı desteklediğinden, hba’nın firmware’inin,
işletim sisteminin, vb şeylerin uyumluluğu önceden kontrol edilmelidir. Günümüz depolama sistemlerinin tamamı fabric attach desteklemekte fakat sadece bir kısmı direct attach desteklemektedir.
Fiber Channel Arbitrated Loop (FC-AL)
Fiber Switch’ler ucuzlamadan önce tercih edilen ve
yaygın kullanıma sahip bir
bağlantı türüdür (FC Switch’lerin birçoğu hala FC-AL
bağlantıyı destekler) . Bu
bağlantı tipinde her cihaz
bir diğerine bağlanarak bir
halka oluşturur. Bir halka
içinde SCSI sisteminin adresleyebileceği en fazla 127
adet ünite olabilir. Her bir
ünite halkanın tamamlayıcı
parçası olur ve tüm üniteler
mevcut bant genişliğini ortak kullanır. Yani ünite sayısı
arttıkça performans azalır. Bu yapının benzer şekilde kurdukları
bağlantıya Private Loop, bir hub aracılığı ile Switched bir yapıya bağlantı kurmalarına ise Public Loop denilir. Kendi aralarında
bağlantı kurdukları portlara NL (Node Loop), Switch ile bağlantı
kurdukları portlara ise FL (Fabric Loop) denilir. Bu tip bağlantıda
halkayı oluşturan herhangi bir noktanın kopması tüm sistem iletişiminin kesilmesine yol açtığından güvenliği ön planda tutan
sistemlerde çift loop döngüsü kullanılır. Paylaşımlı yapıda çalışması, performansı, arızaya açık yapısı nedeniyle FC Switch’lerin
ucuzlaması ile yeni nesil depolama sistemlerinde pek tercih edilmemektedir.
FC Switched Fabric (FC-SW)
FC Switch yapısında tüm nodlar
birbirlerine
bir
veya birden fazla
switch aracılığı ile
bağlanırlar. Genellikle arızalara
karşı güvenlik ve
süreklilik sağlanması amacı ile çift
switch ile bağlantı tercih edilir. Her bir depolama ünitesi ve sunucu
en az iki bağlantı ile iki farklı switch’e bağlanır. Böylece herhangi
bir arıza durumda sunucu ile depolama ünitesi arasında herhangi
bir bağlantı ünitesinde (HBA, kablo, switch) sorun olması durumunda bağlantı alternatif yoldan devam ederek sürekliliği sağlar
(Multipath entegre edilmiş olması gerekir). FC Switch yapısında
teorik olarak 16milyon tane node bağlantısı yapmak mümkündür.
Switch yapıları başka switch’ler ile birleştirilerek istenilen ölçüde
büyütülebilir. FC-SW yapısında her bir node diğeri ile direkt olarak
iletişim kurar ve switch’in sağlayabildiği en yüksek hızda iletişim
kurulur. FC-AL yapısının aksine iletişim tüm node’ların üzerinden
geçmez, iki node arasında direkt olarak gerçekleşir. FC Fabric
switch portları hem switched hem de FC-AL olarak çalıştırılabilir.
Switch üzerinde yönetimi basitleştirmek ve akışı kontrol etmek
amacı ile Zoning yapısı kullanılır. Bu Normal ethernet switch’lerdeki Vlan yapısına benzer. Genel uygulama olarak zoning yaparken,
birbiri ile iletişim kurması gereken her bir wwn aynı zone içinde
toplanır. Hani sunucunun hangi depolama ünitesine ulaşabileceği yetkilendirmesi switch üzerinde zoning’ler ile yapılır. Temelde
zoning işlemi switch’i daha küçük alanlara bölme işlemidir. Böylece hem gereksiz trafiğin switch içinde dönerek performansı etkilemesi engellenmiş hem de yetkisiz erişimlerin önüne geçilmiş
olunur.
istemci ve sunucu arasında iletilmesini sağlar. Çoklu iletişimin gerçekleştirilmesi ise aşağıdaki örnekte göründüğü gibidir.
Peki Fabric Nedir?
Buradan da anlayacağınız üzere herhangi bir portun aynı anda birden fazla port ile haberleşmesi mümkün değildir.
Burada konumuz ile bağlantılı olması nedeniyle biraz ağ yapılarına değinmek gerekecek. Fabric kelime tercümesi olarak dokuma
manasına gelir. Ağ yapılarında anahtarlama (switch) ürünlerine
Fabric Switch denmesinin nedeni ağ anahtarlarının mantıksal
yapısının bir dokuma gibi görünmesidir. Günümüz ağ anahtarları
aşağıdaki şekilde çalışırlar.
Ağ anahtarları üzerindeki buffer (önbellek) sayesinde bir porta
aynı anda gelen paketler kuyrukta bekletilerek bir sonraki bağlantı ile transferleri sağlanır. Bu kuyruğa alma ve bir sonraki sürede
transfer işlemleri ise Ağ anahtarının işlemcisi tarafından yönetilir.
Burada aynı anda iki port arasındaki iletişimin gerçekleşmesi durumunu görüyorsunuz. Ağ anahtarı iletilmesi gereken paketleri
giriş ve çıkış portlarını birbirine direkt olarak bağlayarak paketin
beyaz şapka Mayıs 2014 9
Serkan
AKCAN
Ozan
Özkara
[email protected]
Dağıtık Yapılarda Güvenlik Duvarı
Denetimi
Giriş
H
er güvenlik duvarı var oluşu, yapılandırıldığı ağın yapısına bağlı olarak hedef haline gelmektedir. Güvenlik duvarları görünürdür, savunmanın çoğu organizasyonda ilk halkasını oluşturur,
ağ trafiği için belirlenen kurallara bağlı olarak segmentler arası trafik
bu yapılar tarafından değerlendirilmektedir. Bu yapının içinde çeşitli iş uygulamaları, web tabanlı uygulamalar, sosyal ağlar, B2B, B2C,
özel bulut gibi (private cloud )gibi yeni gelişen teknolojilerin servis
edilmesinin yönetişimi, çeşitli regülasyonlara göre uygunluk değerlendirmeleri ve gelişen iş ihtiyaçlarına anında cevap vermesi açısından çoğu zaman yönetimi zor bir yapıyı ortaya koyabilmektedir.
Genel olarak bakıldığında güvenlik duvarı denetim çalışmaları genel güvenlik duvarı yönetiminin bir parçasıdır, denetim programları politikaların belirlenmesinde, güvenlik duvarı verisinin toplanmasında, verilerin değerlendirilip kurum güvenlik standartları ve
regülasyonlara (PCI DSS, SOX, COBIT, ISO vb) uygun olacak şekilde
yapının kurulması ve iş ihtiyaçlarına hızlı ve efektif çözüm üretilebilmesini güç hale getirebilmektedir. Manuel ya da checklist yöntemi ile yapılmaya çalışan çalışmaların değerlendirme periyodları
uzun olduğundan, değerlendirme frekansı düşük olmakta özellikle iş kritikliği yüksek olan yapılar içerisinde çeşitli uyumsuzluklara
neden olabilmektedir.
Örnek sorgulama pratiği aşağıdaki gibi olabilir;
1. Kurum ağ güvenlik politikaları her güvenlik duvarı için uygun
şekilde yapılandırılmış mı? Eğer değilse, ilgili güvenlik ihlalleri nasıl çözülebilir?
2. PCI DSS gibi regülasyon gereksinimlerine göre ilgili kredi kartı verileri güvenli bir şekilde korunuyor mu? Güvenlik duvarı tarafında
ilgili güvenlik gereksinimleri sağlanıyor ve denetlenebiliyor mu?
3. Hangi kurallar kullanılmaz ve bu nedenle ortadan kaldırılabilir?
Etki analizi yapılıyor mu? Kurallar performansını güvenlik ölçümlerini (metrics) sağlamak amacıyla konsolide edilebilir mi?
4. Yapılan bir ağ değişikliği sonrası oluşan yeni güvenlik riskleri
veya kullanılabilirlik değerlendirmeleri güvenlik duvarları ve ilgili
ağ segmentleri arası yapılabiliyor mu?
5. Önerilen ya da iş ihtiyacı nedeniyle güvenlik duvarı değişikliğini
yapılandırmak için en iyi yol nedir? (Best Practice)
6. Güvenlik duvarı yapılandırmalarında değişiklik kontrolü ve iş
etki analizi nasıl yapılıyor?
Örnek Regülasyon Örnekleri
Gerçekten güvenlik duvarı denetim çalışmalarına ihtiyacı var mı?
Senaryo
İş etki analizi (BIA)
Güvenlik duvarı kural değişikliğinin
yanlışlıkla belirli finansal verilere, uygulamalara erişiminin engellenmesi
Kurum yapısına bağlı olarak ilgili iş
süreçlerinin kesintiye uğraması, ilgili
hesaplara (Internet Bankacılığı gibi) erişimin engellenmesi
Yeni bir iş uygulamasının devreye alınma gerekliliği sonrası yeni güvenlik duvarı kurallarına ihtiyaç olması
BIA analizi yapılmaksızın yapılan değerlendirmelerde, yeni varlık bileşenleri
oluşacağı için ağ risk profilinin değişerek
kurum kritik asset verilerini tehdit etmesi
Partner’lar için iç ağ üzerinde bir ERP/
CRM sistemine erişimin sağlanması
Çeşitli güvenlik ihlallerinin ortaya
çıkması, güvenlik politikaları ve regülasyonlara uygun olmayan bir audit
sonucunun ortaya çıkması
Denetimsiz yapılan yüzlerce değişiklik
sonrası oluşan karmaşık yapı
Analiz edilmeyen, düşük frekanslı değerlendirmelerden yoksun, iş güvenlik
analizlerine etkisi ve doğal olarak ölçülemeyen bir risk profilinin oluşması
Bu ortak senaryoların olumsuz etkilerini önlemek amacıyla, güvenlik duvarı yapıları yöneticiler tarafından sık sık kural denetimi
ve güvenliğini sağlamak için güvenlik duvarı kurallarının standartlara ve regülasyonlara uygun olarak yapılandırılması, ilgili uygunluğunun ölçülebilir olması ve optimum performansın değerlendirilebilmesi ve bu süreçlerinde istenilen herhangi bir zaman
diliminde tekrarlanabilmesi gerekmektedir. Bu süreç güvenlik
duvarı denetimine cevap amacıyla yapılandırılması gereken örnek
sorgulamalardan geçmektedir;
10 beyaz şapka Mayıs 2014
PCI DSS
COBIT
Güvenlik Duvarı Audit programı nasıl olmalıdır?
Yukarıda açıklandığı gibi, sık ve kapsamlı güvenlik duvarı denetimleri negatif iş etki değerini azaltmak için önemli olmaktadır.
İlgili risk ve audit değerlendirmeleri yapılırken muhakkak yapılan
süreç iyileştirmelerinin İş Sürekliliği Planlama (BCP) ve Afet Kurtar-
ma Planları (DRP) ile koordineli bir şekilde planlamaları, gerekiyorsa acil durum planlamaları göz önüne alınarak yapı kurulmalıdır.
Konfigürasyon
Uyumluluk Analizi
Her 4 ayda 1 kere
2 gün
8 gün
Tipik bir güvenlik duvarı denetim programı, aşağıdaki adımları
içermelidir;
Değişiklik Etki
Analizi (BIA)
Ayda 2 kere
2 saat
6 gün(24x2 saat)
Günde 8 saat
çalışma ile
Konfigürasyon
Senede 1 kere
4 gün
4 gün
1. Ağ erişim ilkesi tanımlayın, bu tanım kurum bilgi güvenliği erişim standartları ile uyumlu olmalıdır.
2. Güvenlik duvarı konfigürasyon bilgilerinin alınması
3. Ağ arayüzleri (Interfaces) ağ segmentleri ile haritalandırılması
ve servis ağacının ortaya koyulması (görsel olarak)
4. Kurum güvenlik duvarı yapılandırmasının erişim politikaları,
güvenlik ihlalleri ve güvenlik standartları uyumluluk kriterlerini
adresleyecek şekilde analiz edilmesi.
5. Kullanılmayan, tekrarlı, log bilgisi alınmayan, belirli bir takvim
zamanında az kullanılan ve gereksiz kuralların bulunması ve optimizasyonu,
Güvenlik duvarı Audit teknikleri ile değişiklik kontrolü
Ağ güvenliği ve standartlara uygun audit ihtiyaçlarını karşılamak
amacıyla, güvenlik duvarları periyodik olarak denetimi yapılmalıdır. Ayda iki kez ya da yılda ortalama 20 kere denetimi yapılarak
delta (Değişiklik) verisi ortaya koyulmalıdır. Böylelikle audit kriterlerinin yanında güvenlik ölçüm(Benchmarking) kriterleri de sağlanmış olacaktır.
İlgili değişiklik kontrolü aşağıdaki süreçler tarafından tetiklenebilir;
• İş ihtiyaçlarını - yeni iş uygulamaları etkinleştirmek veya eskilerini
açığa almak için
• BT Operasyonları ihtiyacı - ağ mimarisi değişiklikleri ve standartlar/regülasyonlar tarafında olan değişiklikler nedeniyle.
• Güvenlik ihtiyacı - iş ve BT operasyonları için gerekli minimum ağ
trafiğinin ortaya koyulması. En önemli kıstas budur (at least privilege prensibi)
Buradaki değişiklik ihtiyacı tekil olarak tek bir güvenlik duvarı üzerinde yapılandırılabileceği gibi dağıtık mimaride çalışan güvenlik
duvarı grupları arasında da yapılabilir. Çoğu zaman farklı üreticilerin güvenlik duvarı söz dizilimini anlamak, iş etki analizini yapmak,
süreçleri onaylamak, yapılandırmak ve ilgili audit programları izlemek oldukça güç olabilmektedir.
Uygunluk analizinde ilgili güvenlik duvarı değişiklik taleplerinde
güvenlik operatörleri duruma göre de ‘güvenlik analisti’ tarafından güvenlik ihlal durumu, mevcut risk profili etkileşimi ve değişiklik gereklilik analizi yapılarak planlama yapılmalıdır. Genel olarak islenen yöntem dağıtık güvenlik duvarı yapılarını gözeten ve
analiz edebilen bir araç vasıtası ile What-If analizi ilgili değişiklikler
öncesi yapılarak kurum değişiklik komitesine (Change Committee) sunulmasıdır. Bu süreçler güvenlik pratiklerine göre kişi onayı
yerine belirli bir süreç yapılandırılması içerisinde etki analizi olarak
yapılandırılması gerekliliğidir.
BIA dediğimiz iş etki analizi örnek olarak 200 kuralı bulunan bir
güvenlik duvarı üzerinde manuel olarak yapıldığında birkaç gün
alabilmektedir. (Bu durum güvenlik duvarının yapısına göre değişebilir) sıklıkla analiz edilen güvenlik duvarı yapılarında süre biraz
daha kısa olabilmektedir. Aşağıdaki örnek tablo 200 civarı kural
seti bulunan tekil güvenlik duvarı üzerinde harcanan yıllık zaman
maliyet hesaplamasını içermektedir.
Optimizasyonu
Toplam
Harcanan Süre
18 gün
Yukarıdaki tabloya göre bakıldığında sadece tek bir güvenlik duvarının iç kaynaklar kullanıldığında Audit maliyeti 15.000 USD civarında
ve dış kaynak kullanıldığında bu değerler 30.000 usd civarına kadar
çıkabilmektedir. Ortalama 8 yada 10 güvenlik duvarı kullanan kurumları için ilgili süreç kolaylıkla 100K civarında olabilmektedir.
Manuel yapılan audit değerlendirmelerindeki zorluklar aşağıdaki
gibi olabilmektedir.
1. Komplekslik her güvenlik duvarının farklı çalışma prensibi, yapılandırılması farklı olmakta ve analizler sırasında normalleştirme ve
tekil hale getirmenin zorluğu
2. Çoklu üretici ortamında her güvenlik duvarı için yapılması gereken analiz ve analiz için gereken bilgi ve teknik düzeyin farklı
seviyelerde olması. Ayrıca farklı üretici teknik çıktılarının normalizasyonunun güçlüğü.
3. İnsan hatası, çoklu ortamlarda özellikle analiz seviyesinde hata
yapma ihtimali çok yüksektir. Ayrıca konfigürasyon, verilerin toplanması ve raporlama safhası, ilgili bilgilerin toplanmasında güçlükler ortaya çıkabilmektedir.
4. Ağ ve güvenlik duvarı topolojisindeki bazı uyumsuzluklar, politikaların gerçek durumu yansıtmaması, what if analizi ve etkin
simülasyon yapmanın zorlukları
Güvenlik duvarı audit süreçlerini otomatize etmenin yararları aşağıdaki gibi olmaktadır;
1. Analiz değişiklikleri nedeniyle etkin ve doğru bir değişim yönetimi süreci, daha az kesinti. Ağ otomatik ve sık uygunluk değerlendirilmesi nedeniyle yüksek farkındalık düzeyi
2. Daha az sayıda güvenlik riskleri ile karşılaşma, risklerin düzenli
olarak ölçülebilmesi gelişmiş BIA ve What If analiz kabiliyeti
3. Düşük maliyetli regülasyon kontrol yapısı, Otomatik raporlama
ve otomatize uyumluluk kriterleri ve yapılandırması nedeniyle maliyetlerin ve olası ihlallerden kaçınılması
4. İlgili optimizasyon ve süreç iyileştirme kaynakları ile güvenlik
duvarı yatırımlarını daha uzun vade de kullanabilme olanağı
Günümüzde karmaşık yapılar içerisinde uygun güvenlik yönetiminin standart ve regülasyonlara uygun yapılandırılması giderek
güçleşmektedir. Tüm güvenlik duvarı denetimleri organizasyonlar
için önemli bir süreç haline gelmiştir. Çeşitli uyumluluk gereksinimleri ve regülasyonlar, olası güvenlik sorunlarının anlık tespiti,
planlanan değişikliklerde olası hataların tespiti ve güvenlik duvarı
performansı kritik iş süreçleri olarak karşımıza çıkmaktadır.
Etkili bir güvenlik duvarı denetim programını korumak için, BT
organizasyonları, ağ erişim ilkeleri tanımlanması, yapılandırma
verilerinin normalize edilmesi, harita üzerinde ağ ara yüzleri almak, politika ihlalleri için yapılandırmaları analiz etmek ve kural
kullanımlarını incelemek karmaşık yapılarda her zaman kolay olmamaktadır.
Otomatik bir güvenlik duvarı denetim çözümü güvenlik yapılandırması için gerekli insan ve teknik kaynakları azaltabilir. %80’e
kadar değişim süreci güvencesi (Change Management) ve %90’a
kadar ilgili güvenlik risklerinin yönetilebilir olmasını, riskleri minimize etmek için kullanılabilir.
beyaz şapka Mayıs 2014 11
Serkan
AKCAN
Selen
Uğur
[email protected]
5651 Sayılı Kanun Ve Şirketlerin
Yükümlülükleri
5
651 sayılı Kanun’a ilişkin olarak geçtiğimiz aylarda yürür-
sıralanabilecektir. Düzenlemeler ile getirilen önemli değişiklikler-
lüğe giren değişiklikler, şirketlerin kullanmış oldukları bilgi
den bir tanesi de “kişilik haklarının ihlali” ve “özel hayatın gizliliği-
teknolojileri alt yapılarını, sistemleri ve sistemler üzerindeki
nin ihlali” konularında verilen “erişimin engellenmesi” kararlarının
verileri ve sunulan hizmetleri yakından ilgilendiren yükümlülükler
“erişim sağlayıcılara” bildirilmesinde görev alacak Erişim Sağlayıcı-
getirmektedir.
ları Birliği’nin kurulmasıdır.
Değişiklikler Neticesinde 5651 Sayılı Kanun
Kamuoyunda uzun süredir tartışılan ve “İnternet
Düzenlemesi” olarak da adlandırılan 5651
Sayılı İnternet Ortamında Yapılan Yayınlar ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi
Hakkındaki Kanun’da (Kanun)
Değişikliklerin Şirketler Açısından Değerlendirilmesi
Kanun’da şirketler açısından sonuç doğurabilecek önemli değişikliklerden biri
bilgilendirme
yükümlülüğüne
ilişkindir. Yapılan değişiklikler
neticesinde
faaliyetlerini
yurt içinden ya da yurt
değişiklik yapan hükümle-
dışından yürütenlere,
rin bir kısmı 19 Şubat 2014
internet sayfalarında-
tarihinde, bir kısmı da 26
ki iletişim araçları,
Şubat 2014 tarihinde yü-
alan adı, IP adresi ve
rürlüğe girerek internet
benzeri kaynaklarla
ortamının düzenlenme-
elde edilen bilgiler
sine ilişkin yeni hak ve
üzerinden elektro-
yükümlülükleri berabe-
nik posta veya diğer
rinde getirmiştir.
iletişim araçları ile
bildirim yapılabilmesi
Değişiklikler
ile
Kanun’da
dikkat çeken hükümler “özel
hayatın gizliliğini ihlal”, “kişilik
haklarının korunması” gibi konularda
“erişimin engellenmesi” tedbirine başvurulmasına ilişkin yeni seçeneklerin sunulması ve
mevcut “erişimin engellenmesi süreçlerinde” yeniliklerin ge-
mümkün
olabilecektir.
Kanun’da, söz konusu değişiklik ile içerik nedeniyle
hakları ihlal edilen kişilerin uyarıda bulunurken seçecekleri kanal bakımından çok geniş bir çerçeve belirlenmiştir.
Bu durum özellikle belirli kanallar kullanarak talepleri
tirilmesi, erişim-yer-içerik ve toplu kullanım sağlayıcılara özellikle
alan internet siteleri açısından risk teşkil edebilecektir. Değişik-
erişim kayıtlarını saklama, hukuka aykırı içeriğe erişimi engelleme
lik akabinde, bu kanallar dışında bu siteyle ilişkili her bir kanal
için gerekli tedbirleri alma gibi yeni yükümlülükler getirilmesi,
bu bildirimleri yapmak bakımından uygun mecralar kabul edil-
Telekomünikasyon İletişim Başkanlığı (TİB) tarafından ikincil dü-
diğinden, ilgili şirket yanlış bir başvuru kanalı kullanıldığını ileri
zenlemelerle bu süjelere yeni yükümlükler yükletilebilmesi olarak
süremeyecektir. Ayrıca belirtmek gerekir ki, şirket alan adlarının
12 beyaz şapka Mayıs 2014
kayıt ettirilirken verilen iletişim bilgilerinin de bilgilendirme kanalı
açısından hem içeriğin yayından kaldırılmasını talep eden hem de
kapsamında değerlendirilmesi mümkün olduğundan şirketlerin
talep edilen açısından değerlendirilebilecektir. Değişiklik ile kişilik
alan adı kayıt bilgilerinde yer alan iletişim bilgilerini güncel tut-
hakkının ihlal edildiği iddia eden gerçek ve tüzel kişiler kişilik hakkı
maları faydalı olacaktır. Yine, şirketlerin sahip oldukları internet
kapsamında değerlendirilen hususlar ile ilgili olarak –özellikle tica-
siteleri üzerinden değerlendirme yapıldığında, bu internet sitele-
ri itibarı zedeleyen konular- şirketler ilgili içerik için içerik sağlayı-
rinin sahibi olan ve siteye içerik yükleyen şirketler içerik sağlayıcı
cısına ve yer sağlayıcısına başvurabileceği gibi doğrudan mahke-
konumunda olacaktır. Bu nedenle şirketler, kişilik haklarını ihlali
meye başvurarak söz konusu içeriğin bulunduğu sayfaya erişimin
konusunda aldıkları bildirimleri cevaplandırma ile yükümlü ve sa-
engellenmesini talep edebilecektir. Bununla birlikte, gerçek ve
hip oldukları internet sitesi üzerinde yayınlanan her türlü içerikten
tüzel kişiler ile kurum ve kuruluşlar da şirketlerin kendi internet
sorumlu olacaktır. Şirketlerin içerik sağlayıcı olarak değerlendiril-
sitelerinde sağladıkları içeriklerin kişilik haklarını ihlal ettiği iddi-
mesinin bir sonucu da Kanun’da “İçerik Sağlayıcının Sorumlulu-
asına istinaden ihlale konu olan içeriğin yayından çıkartılmasını
ğu” maddesine eklenen yeni ifade doğrultusunda, şirketlerin, TİB
şirketlerden talep edebilecektir. İnternet ortamında yapılan yayın
tarafından genel olarak talep edilen bilgileri vermesi ve önerilen
içeriği nedeniyle kişilik haklarının ihlal edildiğini iddia eden kişi-
önlemleri alması olarak ifade edilebilir.
lerin taleplerinin, içerik ve/veya yer sağlayıcısı tarafından en geç
2
yirmi dört saat içerisinde cevaplandırılması zorunluluğu da yeni
İçerik sağlayıcının yükümlülüklerinin yanı sıra, Kanun’da yer sağ-
düzenlemeler ile hayata geçmiştir. Bu doğrultuda şirketlerin, kişilik
layıcıların yükümlülüklerine ilişkin yapılan değişiklikler de dikkat
hakkının ihlal edildiği gerekçesiyle içeriğin yayından kaldırılması-
çekmektedir. Buna göre, şirketlerin internet siteleri, kullanıcıların
na ilişkin talepleri en geç yirmi dört saat içerisinde cevaplandırma-
internet sitesine yükledikleri içeriklerle birlikte oluşan bir yapıya
sı gerekmektedir.
sahip ise bu şirketler kullanıcıların içeriklerini barındırmak bakımından yer sağlayıcı olarak kabul edileceklerdir. Yer sağlayıcı şir-
Tartışılan değişikliklerden bir diğeri olan “özel hayatın gizliliği ne-
ketler bir yıldan az ve iki yıldan fazla olmamak üzere, hazırlanacak
deniyle erişimin engellenmesi” konusu da şirketler açısından çe-
yönetmelikte belirlenecek süre boyunca ilgili bilgileri saklamakla
şitli sonuçlar doğurabilecektir. Kanun’da yapılan değişiklik ile artık
ve bu bilgilerin doğruluğunu, bütünlüğünü ve gizliliğini sağla-
internet ortamında yapılan yayın içeriği nedeniyle özel hayatının
makla yükümlü olacaktır.
gizliliğinin ihlal edildiğini iddia eden gerçek ve tüzel kişiler, TİB’e
doğrudan başvurarak içeriğe erişimin engellenmesini isteyebilir.
Kanun’da yapılan değişiklikler ile toplu kullanım sağlayıcıların yü-
Bu noktada dikkat edilmesi gereken konu ihlalin hukuki nitelen-
kümlülükleri daha net bir ifadeyle dile getirilmiş; konusu suç olan
dirilmesine göre ilgili madde kapsamında belirtilen filler içerisinde
içeriklere erişimin engellenmesine ilişkin tedbirlerin alınması ve
olup olmadığıdır. Eğer madde kapsamında ve yukarıda belirtilen
iç IP dağıtım loglarının da elektronik ortamda tutulması mecbur
fiillerden biri Türk Ceza Kanunu’nda özel hayata ve hayatın gizli ala-
kılınmıştır. Konu şirketler özelinde değerlendirildiğinde, şirketler,
nına ihlale ilişkin suçları oluşturuyor ve tüzel kişinin mağdur olma-
çalışanlarına sağladıkları internet erişimi bakımından Kanun kap-
sı noktasında hukuki bir engel bulunmuyorsa, şirketler doğrudan
samında “toplu kullanım sağlayıcı”dır. Bu sebeple Kanun’un deği-
TİB’e başvurarak ilgili içeriğe erişimin engellenmesi kapsamındaki
şiklikten önceki haline göre şirketlerin, mevcut durumda tutmak-
haklarını kullanabilecektir. Düzenlemenin ikinci yönü şirketlerin
ta olduğu iç IP dağıtım loglarını saklamak ile konusu suç oluşturan
içerik ve/veya yer sağlayıcı ve/veya erişim sağlayıcı olduğu du-
içeriklere erişimi önleyici tedbirleri almak konusunda üstlenmiş
rumlara ilişkindir. Bu noktada dikkat edilmesi gereken, şirketlerin
oldukları yükümlülükleri devam edecektir.
içerikle ilgili sıfatını belirlemesi ve bu kapsamda kanuni yükümlü-
Kanun’da en çok tartışılan değişikliklerden birisi olan içeriğin ya-
lüklerini yerine getirmesi için gerekli adımları atmasıdır.
yından çıkartılması ve erişimin engellenmesi hususu da şirketler
1
“ Dipnot 1) İçerik Sağlayıcı : İnternet ortamı üzerinden kullanıcılara sunulan her türlü bilgi veya veriyi üreten, değiştiren ve sağlayan gerçek
veya tüzel kişileri ifade etmektedir.”5651 Sayılı Kanun, Madde 2
beyaz şapka Mayıs 2014 13
Serkan
AKCAN
Atıl
Gürcan
[email protected]
Bulut Üzerinden Uç Nokta Güvenliği
G
ünlük hayatta kullandığımız cihazların belirli uyumluluk koşullarına karşı denetlenmesi ve uyumlu hale
getirilmesi gibi genellikle yerel sistemler tarafından
gerçekleştirilen işlemlerin günümüzde bulut sistemleri aracılığıyla da yapılabileceğini biliyor muydunuz?
Bildiğiniz gibi uçtan uca güvenlik yaklaşımında, bilgisayar ağlarındaki güvenlik unsurlarını farklı katmanlardan sağlamak
mümkündür. Örneğin ağ girişine güvenlik duvarı konumlandırmak, ağdaki bilgisayarlara anti virüs yazılımları yüklenmesi
ve cihazların yazılım güncelleştirmelerinin sağlanması, uzaktaki cihazların ağa bağlanırken çeşitli güvenlik sertifikaları ile
veri iletişiminin şifreli hale getirilmesinin sağlanması bu işlemlerden bazılarıdır. Genellikle yerel sistemler tarafından gerçekleştirilen bu güvenlik önemleri sayesinde cihazlar üzerindeki
işletim sistemlerinin yazılımsal güvenliğinin yanı sıra veri iletişimi sırasında da farklı açılardan güvenlik altına alınmış olur.
İstenirse doğrudan bulut üzerinden kullanılabilecek olan
bu tip çözümler istenirse mevcut bulunan yerel bir yönetim
sistemi ile entegre çalışabilmektedir. Her iki senaryoda da
varılan nokta tekilleşmiş bir cihaz yönetim platformunun
sağlanmasıdır.
Tüm platformlarda, platformun izin verdiği ölçüde yönetim ve
güvenliği sağlayan Windows Intune bulut çözümü sayesinde
Özellikle işyerine kendi cihazını götürme trendleri ve yaygın mobil çalışma gereksinimleri nedeniyle kurum ağına
uzun süre bağlanılamaması gibi durumlarda örneğin cihaz
üzerindeki anti virüs yazılımlarının veya işletim sisteminin
güncelliğini kaybetmesi ve bu nedenle cihazların önceden
belirlenmiş politikalara karşı uyumluluk kontrollerinden
geçememesi ve “uyumsuz” olarak raporlanması ile karşılaşılabilir. Bu tip istenmeyen ve kontrolsüz durumların önüne
geçebilmek için ise bulut çözümlerinin kullanılması fayda /
maliyet oranını yükseltecektir.
kurumlar tekil bir cihaz yönetim sistemine sahip olabilmektedir. Bu sayede kurumların uç noktalardaki hakimiyeti artacak;
cihazların ise kurum tarafından belirlenen politikalara uygunluğu sayesinde uçtan uca güvenlik seviyesinin yükselmesi
mümkün olacaktır.
Yönetilen cihazlar üzerinde güvenliğin sağlanması çeşitli politikalar aracılığıyla gerçekleştirilmektedir. Bu politikalara örnek
olarak güvenlik duvarı politikaları, cihaz üzerinde şirelemenin
sağlandığı ve donanımlara erişimin sınırlandırılabildiği mobil
aygıt ilkeleri yanı sıra işletim sistemi güncelleştirmelerinin ve
anti-virüs yazılımları ile ilgili ayarların takip edildiği Windows
Intune Aracı Ayarları gibi farklı ilkelerden bahsetmek mümkündür. Bu ilkeler sayesinde yönetilen cihazların yazılımsal
olarak güvenliği sağlanabilmektedir. Platformlara göre cihazlar üzerinde gerçekleştirilebilen işlemlerin bir kısmını aşağıdaki tabloda görebiliriz:
14 beyaz şapka Mayıs 2014
Kategori
VPN Profili Dağıtımı
Wireless Profil Dağıtımı
Sertifika Yönetimi
E-Posta Profili
Parola Tanımlanması
Windows 8.1 & RT
Windows Pnone 8.1
P
P
P
P
P
(*)
P
(*)
(*)
Mağaza Erişim Sınırlamaları
Tarayıcı Yönetimi
İçerik Değerlendirme
Bulut Senkronizasyonu
Cihaz Şifreleme
Güvenlik
Dolaşım
Windows Server Work Folders
Uygulama Yönetimi
P
P
P
P
P
P
P
P
P
P
P (*)
P
P
P (*)
P
P
P
P (*)
P
İOS
Android
P
P
P
P
P
P
P
P (*)
P
P
P (*)
P (*)
P
P
P
P (*)
P (*)
P (*)
P (*)
P (*)
P
*: Cihaz platformu burada bahsedilen ayarların bir kısmını sağlamaktadır.
Nisan ayının son haftasında kullanıcılara sunulacak olan Windows Intune “Bahar Güncelleştirmesi” ile; hem piyasada hali hazırda bulunan Samsung mobil aygıtları Knox arayüzü ile yönetmeye başlıyor hem de yazın piyasaya çıkması beklenen Windows
Phone 8.1 işletim sistemini de tüm özellikleriyle yönetebilir hale
geliyor. Bunun yanı sıra iOS ve Android cihazlar üzerinden RDP
bağlantısının sağlanabilir hale gelmesi aynı şekilde heyecan yaratan özellikler arasında sayılabilir.
Kurumlar için bilgi güvenliği noktasındaki bir diğer kritik nokta
ise cihazların kaybolması durumunda cihaz üzerindeki verilerin
güvenli bir şekilde ortadan kaldırılabilir olmasıdır. Burada ön
plana çıkan veriler arasında kurumsal elektronik posta ayarları ve
verileri; kurum tarafından gönderilen uygulamalar ve uygulama
verileri, cihaza iletilmiş olan sertifikalar ve bu sertifikaların kullanıldığı ağ bağlantı profilleri (VPN / Wi-Fi gibi) yer almaktadır.
Bu tip veriler Windows Intune aracılığıyla platformun izin verdiği ölçüde tamamen veya kısmi olarak silinebilir. Bir cihazın
“Fabrika Sıfırlaması” görevi ile temizlenmesi cihaz üzerindeki
tüm verilerin silinmesine neden olacakken, “Kaldır” görevi kullanılarak cihazın kurum ağı ile ilişkisinin kesilmesi durumunda ise kullanıcının kişisel verileri korunacak ancak kurumsal
kanaldan gelen yukarıda saydığımız kurumsal veriler ortadan
kaldırılacaktır.
beyaz şapka Mayıs 2014 15
Serkan
AKCAN
Sibel Akbaş
[email protected]
Hukuki Düzenlemeler Çerçevesinde
Kayıtlı Elektronik Posta (KEP)
H
emen hepimiz bir Elektronik
Posta
hesabına
nik Posta (KEP) sistemi faaliyete geçirilmiştir.
KEP sisteminin kullanılmasıyla birlikte;
sahibiz ve bu hesapla-
• Tarafların zaman ve işlemi yapan (gönderiyi yapan ve gönderiyi
rımızdan E-Posta gönderiyor ya
teslim alan) bakımından inkâr edemeyeceği bir şekilde güvenli
da alıyoruz. Peki, E-Posta’ları-
olarak elektronik belgelerin, beyan ve açıklamaların gönderil-
mız teknik olarak gerçekten
mesi ve alınması (Güvenli Elektronik Gönderi ve Teslim)
güvenli mi ve hukuken bağlayıcı
• İletişimin gizliliği prensiplerine uygun olarak elektronik ortam-
sonuçlar doğurabilir mi?
da güvenli haberleşme
İçerisinde bulunduğumuz bilgi ve bilişim çağında teknolojinin
• Güvenli bir ortamda elektronik belgelerin saklanması gibi
hızla gelişip internetin yaygın ve daha kolay erişilebilir hale gel-
avantajlar ile standart e- posta’nın riskleri ortadan kaldırılıp, tek-
mesiyle birlikte bireylerin kullandığı iletişim araçları ve kanalları
nolojinin sunmuş olduğu bu iletişim kanalı resmi ve ticari işlem-
da çeşitlenip farklılaşmıştır. Bugün hemen herkesin en yoğun
lerde güvenli bir şekilde kullanılabilir hale gelmiştir.
kullandığı iletişim araçlarından biri gerek maliyetinin düşük olması gerek veri iletiminde sağladığı hız ve kolaylık sebebiyle
KEP sistemine ilişkin ilk yasal düzenleme 14 Şubat 2011 tarihin-
Elektronik Posta (e-posta)’dır.
de değişen Türk Ticaret Kanunu ile gerçekleştirilmiştir. 25 Ağustos 2011’de ise ikincil düzenlemeler tamamlanmıştır.
Bireyler tarafından tüm dünyada yoğun olarak kullanılan bu iletişim kanalının ticari işler ve resmi işlemlerde de kullanılabilmesi
bürokrasinin azaltılabilmesi ve hukuki süreçlerde hızlı aksiyon
alınabilmesi açısından oldukça büyük öneme sahiptir.
Ancak hemen herkesin kullandığı standart e-posta, avantajlarının yanında, gönderici ve alıcı kimliklerinin tam olarak tespit
edilememesi, gönderilen mesajın üçüncü kişiler tarafından görülebilmesi, mesajın içeriğinin değiştirilmesi, veri güvenliğinin
sağlanamaması, hukuki ve teknik olarak güvenli bir alt yapıya
sahip olmaması gibi bazı riskler taşımaktadır.
E-posta’nın bu risklerinin ortadan kaldırılıp, ticari ve resmi iş ve
işlemlerde güvenli olarak kullanılabilen bir iletişim aracı olabil-
Ancak, ilgili kanunun 1 Temmuz 2012 tarihi itibariyle yürürlüğe
mesi için gerekli hukuki düzenlemeler yapılarak Kayıtlı Elektro-
girmesi, Kayıtlı Elektronik Posta Hizmet Sağlayıcı (KEPHS)’ların
16 beyaz şapka Mayıs 2014
KEP hizmeti sunabilmeleri için gerekli yetkilendirmelerin 2012
Güvenli olmaması sebebiyle özel e-posta hesapları aracılığıyla
yılının sonlarına doğru gerçekleşmiş olması gibi sebeplerle Ka-
yapılamayan, bireylerin bizzat gidip yazılı beyanları ve imzaları
yıtlı Elektronik Posta’nın fiilen kullanılmaya başlanması 2013 yı-
ile yapmak zorunda oldukları işlemler, KEP ile hızlı ve güvenli
lını bulmuştur.
bir şekilde yapılabilecektir. Böylelikle sıra bekleme, bürokratik
işlemlere takılma, evrak takibi yapmak zorunda olma gibi zah-
Bu anlamda Kayıtlı Elektronik Posta’nın yeni bir uygulama olduğu-
metli ve zaman kaybettirici süreçler ortadan kalkmış olacaktır.
nu ve henüz yaygın olarak kullanılmadığını söylemek mümkündür.
KEP’in kullanıcılar için önemli avantajlarından bir diğeri ise; KEP
üzerinden gönderilen iletilerin 20 yıl boyunca saklanabilme
olanağı. Böylece bir yandan gerek kurum ve kuruluşlar gerek
bireyler önemli, özel, ticari ya da resmi belgeler için kâğıt arşiv
tutma yükünden kurtulmuş olacaklardır. Öte yandan ise; hukuk
düzenimizde bu saklama süresi içinde ortaya çıkabilecek hukuki ihtilaflarda ibraz edilecek olan elektronik deliller de KEP Sisteminde saklanmış olacaktır.
KEP, güvenli e-imza ve zaman damgası teknolojileriyle e-postaların teknik açıdan ve hukuksal olarak güvenli ve bağlayıcı olması
sonucunu doğurmaktadır. Bu sistemde haberleşen kişiler KEP
iletilerinin muhataplarının kimliklerinden ve iletinin içeriğinin
değiştirilmemiş olduğundan emin olmaktadırlar.
Ancak 19 Ocak 2013 tarihinde yürürlüğe giren Elektronik Tebligat Yönetmeliği KEP kullanımına ivme kazandıracak bir düzenle-
Gerek 5070 Sayılı Elektronik İmza Kanunu gerek 6098 Sayılı Türk
me olarak değerlendirilebilir. Yönetmelikle; anonim, limited ve
Borçlar Kanunu hukuk sistemimizde güvenli elektronik imzaya,
sermayesi paylara bölünmüş komandit şirketlere tebligatlarını
ıslak imza ile aynı hukuki sonucu bağlamaktadır. Tebligat Kanunu
e-tebligat olarak alma yükümlülüğü getirildiğinden, KEP kulla-
ve Elektronik Tebligat Yönetmeliğinin yanı sıra, 6102 Sayılı Türk
nımı zaman içerisinde yaygınlaşıp artacaktır.
Ticaret Kanunu da, KEP’ya, güvenli elektronik imza ile birlikte,
Dijital Şirket konsepti çerçevesinde oldukça geniş bir uygulama
Hâlihazırda daha çok şirketler tarafından ticari işlerde kullanılı-
alanı vermektedir.
yor olsa da yakın gelecekte günlük yaşamda da birçok işlemin
KEP üzerinden yapılması öngörülmektedir. 2014 sonunda Tür-
Sonuç olarak, KEP sistemiyle kurum, kuruluş ve bireysel kullanıcı-
kiye’de 4 milyon KEP kullanıcısı olacağı, bu kullanıcıların 1 mil-
lar arasında, hukuki olarak geçerli ve güvenli bir şekilde her türlü
yonunun kurumsal, 3 milyonunun ise bireysel kullanıcı olacağı
resmi, ticari ve özel bilgi ve belge paylaşılabilecek, gerekli iş ve
tahmin edilmektedir.
Bu beklenti kurumların KEP kullanma
işlemler yapılabilecektir. Kurumların KEP’i kullanmaya başlaması,
oranının artmasıyla, bireylerin de KEP kullanımının artacağı dü-
zamanla bireylerin de işlemlerini hukuki olarak geçerli ve teknik
şüncesine dayanmaktadır. Kurumların işlemlerini KEP üzerinden
olarak güvenli bu iletişim aracını kullanarak yapmaları yönünde
yürütmesiyle birlikte, bireyler günlük yaşamda yaptıkları birçok
itici bir güç olacaktır. Ancak KEP yeni bir sistem olduğundan bi-
işlemi KEP üzerinden de yapabilme imkânına kavuşacaklardır.
reyler tarafından yaygın olarak kullanılması için biraz daha zamana ihtiyacı olduğu söylenebilir.
beyaz şapka Mayıs 2014 17
Serkan
AKCAN
İrfan
Kotman
[email protected]
DNS Spoofing
Yıllar sonra tekrar hatırlanan bir atak yöntemi
u sayımızdaki yazımızı son günlerde tekrar gündeme gelen
DNS spoofing (DNS önbellek zehirlenmesi) konusuna ayırdık.
Günümüzün popüler hacking yöntemleri arasında olmayan
önbellek zehirlenmesi, son dönemde yaşanan gelişmeler ile tekrar gündeme geldi. Biz gündemde olan konulardan değinmeden,
yazımız içerisinde önbellek zehirlemesinin ne olduğu, hangi yöntemler ile yapılabileceği hakkında küçük iki örnek vereceğiz.
B
DNS Spoofing (DNS Önbellek Zehirlenmesi)
DNS bilişim dünyasında kullanılmaya başlandığından beri DNS
atakları arasında en çok kullanılan yöntem olan DNS önbellek
zehirlenmesidir. DNS Spoofing (Önbellek Zehirlenmesi) bir DNS
sunucusuna yetkisiz bir kaynaktan bilgi yüklenmesi olarak tanımlanabilir. DNS yazılımındaki bir hata, DNS sunucusunu yapılandırırken yapılan konfigürasyon yanlışları ya da DNS protokolünün
üzerinde bulunan bir açık sebebi ile gerçekleştirilebilen önbellek
zehirlenmesi, basit olarak değiştirilmiş bilginin (orijinal kaynaktan
gelen bilgi yerine farklı bir bilgi iletilmesi ) DNS önbelleğine gerçek veri yerine ulaştırılması olarak tanımlanabilir. DNS alan adının
bulunduğu sunucunun IP adresinin farklı yöntemlerle zehirlenmesi mümkündür. En popüler yöntem, gerçek alan adı sunucusu
kullanıcıya cevap dönmeden, kötü niyetli kişinin DNS sunucu ile
kullanıcı arasına girerek kendi yanıtını kullanıcıya dönmesi esasına
dayanan, man-in-the-middle türünde saldırıyla DNS sunucusuna
istek ulaşmadan önbellek zehirlenmesinin gerçekleştirilmesidir.
Bu saldırı tipi, DNS sorgusu kullanıcı makinesine gerçek DNS sunucusu yerine kötü niyetli yazılımın yanıt vermesi esasına dayanır.
Yukarıdaki örnek akış tablosunda göreceğiniz gibi bu tip ataklar
kurban makineden DNS sunucusuna giden isteklerin, kötü niyetli
kişi tarafından istenen sunucu ya da sayfaya yönlendirmesi ile gerçekleşmektedir.
İlk senaryomuzda kurban makine ile istek yaptığı DNS sunucu arasına girerek, www.nebulabilisim.com.tr adresine giden istekleri,
bizim sunucumuz olan 192.168.1.34 IP sine yönlendireceğiz.
Bunun için Linux altyapısında çalışan aracımız olan Evilgrade yazılımını, penetration testler için özel olarak tasarlanan işletim sistemimiz üzerinde çalıştırıyoruz.
DNS Mesajının Yapısı
Bir DNS mesajı temel olarak beş bölümden oluşur. Bunlar başlık
(header), soru (question), yanıt (answer) , yetki (authority), ek bölümler (additional) olarak nitelenebilir. 16 bitten oluşan başlık sorgusuna verilen yanıt aynı şekilde kopyalanarak ve eşleşme sağlanarak daha sonraki mesaj adımları sırasında önbellek zehirlenmesi
saldırısı oluşturulabilir.
Man-in-the-middle ile DNS önbellek zehirlenmesi
Bu sayımızda araya girme yöntemi ile (Man-in-the-middle) DNS
önbellek zehirlenmesi ile ilgili iki örnek vereceğiz.
İkinci bir terminal ekranı açarak, “pico /usr/share/ettercap/etter.dns” komutu ile sunucu üzerinde DNS sniffing yapacağımız
programın DNS kayıtlarında www.nebulabilisim.com.tr alan adını
192.168.1.34 IP sine yönlendiriyoruz.
İlk açtığımız terminal ekranına geri dönüyoruz ve terminal ekranı
üzerinde run application ile sniffing aracımızı açıyoruz.
18 beyaz şapka Mayıs 2014
Açılan yazılım üzerinden DNS spoofing (DNS önbellek
zehirlemesi) seçeneğini aktif hale getiriyoruz.
Daha sonra Man-in-the-middle atak için programımızın arp poisoning özelliği ile networku zehirlemeye başlıyoruz.
Kurban makinemiz üzerinden www.nebulabilisim.com.tr alan adını
pinglediğimiz zaman 192.168.1.34 makinesine gittiğini görüyoruz.
Peki, bu işlem kötü niyetli kişilere ne sağlayacak?
Bu noktada birçok farklı senaryolar ortaya koyulabilir. En fazla karşılaşılan örnek, kullanıcı adı şifre ya da kişisel bilgiler girilen sayfaların kopyalanarak, kurbanın bilgilerinin ele geçirilmesidir.
Bizde ikinci örneğimizde ilk senaryomuzda anlatılan adımları kısaca özetleyerek, bir sosyal paylaşım sitesinin şifrelerinin ele geçirilmesi için yapılan DNS önbellek zehirlenmesi örneğini kısaca
anlatmaya çalışacağız.
Bu senaryoda da ilk senaryomuzdaki adımlar aynı şekilde gerçekleştirilmektedir. Kısaca kullanılan araçlar sayesinde sosyal paylaşım sitesinin DNS kaydı bilgilerinin değiştirilmesi, DNS spoofing ve
Man-in-the-middle için ARP poisoning özelliklerinin aktif edilmesi
aynı şekilde gerçekleştirilmektedir. Buradaki tek fark kullanıcının
aldatılması için, sosyal paylaşım sitesinin kullanıcı kimlik doğrulama sayfasının oluşturulması ve kurban kullanıcının bu sayfaya
yönlendirilmesidir.
Bunun için işletim sistemimiz üzerinde sosyal paylaşım siteleri
atakları için tasarlanan bir yazılımı aktif hale getiriyoruz. Gerekli
adımları seçerek site cloner ekranına geliyoruz
Sisteminizin uygun sunucuya yönlendirilmesi için sunucumuzun
IP si olan 192.168.1.34 ü ve sosyal paylaşım sitesinin URL ismini
giriyoruz ve sayfayı kopyalıyoruz.
Kullanıcı sosyal paylaşım sitesine bilgilerini girdiğinde, kötü niyetli
kişinin ekranında, kurban makine üzerinden girilen kimlik bilgileri
gözükecektir.
Bu tip site kopyalama işlemi birçok site için gerçekleştirilebilir. Fakat kopyalanan siteler genel olarak orijinal sitelere göre küçük hatalar barındırdığından dikkatli kullanıcılar tarafından kolayca fark
edilebilmektedir.
DNS Spoofing (Ön Bellek Zehirlenmesi’ne) karşı alınabilecek
bazı önlemler;
• DNS sunuculardaki açıkların düzenli tespiti ve yamalar ile kapatılması.
• DNS sunucular üzerinde ya da önünde atak önleyici sistemlerin bulunması
• Kullanıcı makinelerinde son nokta atak önleyici sistemlerin çalıştırılması
• Sistemlerde trafiğin filtrelenerek aldatma yöntemlerinin tespit
edilmesi.
• Kişisel bilgiler girilen Web sayfalarının kesinlikle https protokolü
olarak çalıştırılması.
beyaz şapka Mayıs 2014 19
Beyaz Şapka’ya katkılarından dolayı tüm sponsorlarımıza ve yazarlar
20