Bilgi Güvenliği !

Genel anlamda Bilgi Güvenliği, özelinde Bilişim Güvenliği, ülkemizde gitgide hakettiği önemi daha çok görmeye başlayan konulardan biri. Henüz işin başındayız, ve başında olduğumuz için de temel kavramların anlaşılması ve oturtulması, sağlıklı bir güvenliğin sağlanabilmesi için önemli. Bu temel kavramlar bu belgenin konusunu oluşturuyor.
Bu temel kavramların iyi anlaşılamaması, güvenliği sağlamaya yönelik çözümlerin çoğunlukla kulaktan dolma şeklinde olmasına yol açıyor. Bu çözümler çoğunlukla kısa vadeli çözümler oluyor, uzun vadede güvenliği sağlamada başarı sağlayamıyor. Bunun sonucu olarak, bilgi sistemlerimize antivirüs yazılımı olduğu halde virüs bulaştığına, ateşduvarı olduğu halde izinsiz erişim sağlandığına, e-mektuplarımızın şifreli gönderdiğimiz halde saldırganlar tarafından okunduğuna, dosyalarımızın anlayamadığımız yollarla kaybolduğuna, yine anlayamadığımız bir sebepten herhangi bir sunucu programın çalışmadığına (ya da çalıştığı halde kullanıcıların erişim sağlayamadığına), hatta bilgisayarımızın bir saldırgan tarafından bizden daha fazla kullanıldığı durumlara şahit olabiliyoruz.
Bu belgede öncelikle nelerin bir hedef oluşturduğundan bahsedilecek, daha sonra bu hedeflere yöneltilen genel saldırı türlerinin bir açıklaması yapılmaya çalışılacak, bunun ardından, güvenliği sağlarken amaçların ne olması gerektiği tartışılacak.
Daha sonra bahsedilen amaçların ihlaline yol açabilecek güvenlik zayıflıklarına, yani güvenlik açıklarına göz atılacak. Güvenlik açıklarından yararlanma yollarına göre saldırganların genel bir gruplandırması yapılacak, ve son olarak güvenliği sağlamada savunmanın ne şekilde olması gerektiği, yani savunma denetimleri, ve belirlenen savunma denetimlerinin etkili olabilmesi için yapılması gerekenler tartışılacak.
Hedefler
Her ne kadar hedef olarak isimlerindirilmiş olsalar da, bu isim bir parça saldırganların bakış açısından verilmiş bir isim. Bu noktada saldırgan ve saldırı tanımının iyi yapılması gerekiyor. Belgenin amacı ve konusuna uygun olarak, bu belgede saldırı, bir sisteme yöneltilen, güvenlik amaçlarını ihlal etmeye yönelik tüm eylemler, saldırgan ise bu eylemlerde bulunan kişiler anlamında kullanılacak. Saldırganın bakış açısından hedef olan şeyler, aslında bizler için “bir değer” taşıyan unsurlardır. Bir bilgisayar kullanıcısı için “değerli” olabilecek şeyleri tahmin etmek güç değil: Bilgisayarların temel bileşimleri olan yazılım, donanım, ve veri, çoğu sistem kullanıcısı veya yöneticisi için bir değer taşır, bu yüzden de saldırılar bu üç hedefte yoğunlaşır.
Yazılım, işletim sistemi, programlar, ve betikleri kapsar. Donanım, yazılımın altyapısını oluşturan fiziksel cihazlardır. Verinin anlamı gerçekte çok geniş olmakla birlikte, donanım ve yazılım kullanılarak üretilmiş bilgi bütünü olarak tanımlanabilir.
Her ne kadar saldırılar çoğunlukla bu üç temel bileşene yöneltilse de, aslında bir saldırının hedefleri arasında, özellikle yedekleme için kullanılan depolama ortamları (örn: disket, CD, tape backup), verinin aktarıldığı ortamlar (örn: kablolu veya kablosuz ağlar), ve hatta zaman zaman kilit görevleri üstlenen insanlar da hedefler arasında yer alabilmektedir. Özellikle çoğu zaman göz ardı edilen insan unsuuru, zaman zaman çok fazla kayba yol açabilmektedir.
En Kolay Giriş İlkesi
Herhangi bir sistemi korurken, en kolay giriş ilkesini akıldan çıkarmamak gerekir. Herhangi bir saldırgan, korumakta olduğunuz sistemin güvenliğini bozmak için, bulabileceği en kolay yolu deneyecektir. Örneğin evinizi korumak için kapısını son derece güvenli kilitler veya çelik bir zırh ile güçlendirmiş olabilirsiniz, ama açık unutulmuş bir pencere varsa, saldırganların güçlendirilmiş olan kapıdan girmeyi denemek yerine açık olan pencereden içeri girmeyi deneyeceklerini tahmin etmek güç olmasa gerek.
Yani en kolay yol demek, en belirgin, en çok beklenilen, veya saldırılara karşı en çok önlem alınmış ve güçlendirilmiş yol demek değildir.
Saldırı Türleri
Buldukları en kolay yol ile güvenliğinizi bozmak isteyen saldırganlar, bunu çeşitli yöntemlerle gerçekleştirebilir. Daha önce bahsedildiği gibi, neyin saldırı olarak tanımlandığının çok fazla önemi var. Bu noktada saldırıların genel bir gruplandırmasını yapmak mümkün:
İzinsiz Erişim: Bu saldırı türünde, saldırgan bilgiye (yazılım, donanım ve veri) yetkisi olmadığı halde erişebilmesidir. Aynı bilgiye yetkili kullanıcılar da olağan şekilde erişebilirler, yani bilginin kendisinde bir bozulma yoktur. Bununla birlikte o bilgiye erişmesi beklenmeyen kişilerin bunu yapabilmesi, saldırı olarak nitelendirilir (örn: ağ koklama) Engelleme veya Zarar Verme: Bu saldırı türünde, bilgiye erişim engellenir. Bilgi ya kaybolmuştur/silinmiştir; ya kaybolmamıştır, ama ulaşılamaz durumdadır; veya kaybolmamıştır ve ulaşılabilir durumdadır, ama yetkili kullanıcılar tarafından kullanılamaz durumdadır (örn: donanımın kırılması, veya DoS veya DDoS gibi erişim reddi saldırıları). Değişiklik Yapma: Bu saldırı türü, bilginin yetkili kullanıcıya ulaşmadan önce saldırganın amaçları doğrultusunda bilgide değişiklik yapmasını içerir. Program kodları, durgun veri, veya aktarılmakta olan veri üzerinde yapılması mümkündür (örn: virüsler ve truva atları). Üretim: Bu saldırı türü, gerçekte olmaması gereken verinin üretilmesini içerir. Üretilen veri, daha önceki gerçek bir verinin taklidi olabileceği gibi, gerçeğe uygun tamamen yeni bir veri şeklinde olabilir (örn: sahte veri, ya da veri taklidi).
Bunların yanısıra saldırıları aktif ve pasif olmak üzere de gruplandırmak mümkün. İzinsiz erişim türündeki saldırılar pasif grupta, diğer saldırılar aktif saldırı grubunda yer alır.
Güvenlik Amaçları
Kullanıcılar için değerli, saldırganlar için ise birer hedef olan yazılım, donanım ve veriye saldırı türlerinden bahsettikten sonra, bu saldırılara karşı yapılan savunmada amacın ne olduğundan bahsedelim. Bilgiyi korurken hangi amaçlara ulaştığımızda bilginin korunmakta ve “güvenli” olduğunu söyleyebiliriz? Örneğin bir antivirüs programı ile virüslerden korunması amaçlanan, veya bir ateşduvarı kurulmuş kişisel bir bilgisayar için “güvenli” denilebilir mi? Ya da hangi durumlarda bilginin “güvenli” oluşundan bahsedebiliriz. Bu soruların cevapları için öncelikle koruduğumuz sistemler için korunduklarını ölçebileceğimiz amaçlar k****k gerekir. Bu amaçlar genel olarak, korunmakta olan bilginin gizliliği, bütünlüğü, ve ulaşılabilirliği olarak ifade edilebilir.
Bilginin gizli oluşu demek, yani gizlilik amacı, bilgiye sadece izin verilen kişilerin izin verilen yollarla erişimi anlamına gelir. Burdaki erişim, okumaya yönelik bir erişimdir (örn: kopyalama, yazıcıdan çıkarma, basılı durumdaki bilgi için fotokopi). Hatta bazı durumlarda bir bilginin varlığının bilgisi dahi kısıtlama altında olabilir. Yani yetkisi olmayan kişilerin herhangi bir bilginin varlığının bilgisine erişimleri dahi gizlilik amacının bir ihlali olabilir. Bu amacı ihlal etmeye yönelik saldırı türü izinsiz erişimdir.
Bilginin bütün oluşu, duruma göre bir çok anlama gelebilir. Özel durumlar için bilginin bütünlüğü, özel şeyleri ifade etmek için kullanılabilir. Bütün oluştan kasıt, bilginin herşeyden önce doğru ve kesin oluşu, şüphe uyandırmayan bir durumda oluşudur. Bilgi aynı zamanda değiştirilemez olmalı, bir başka deyişle, sadece izin verilen yani yetkisi olanlarca, ve sadece izin verilen yollarla değiştirilebilmelidir. Bilginin anlamlı ve tutarlı oluşu, kendi içinde çelişik olmaması da bilgi bütünlüğündeki amaçlar olarak sıralanabilir. Bilginin bütünlüğünü ihlale yönelik saldırı türleri engelleme veya zarar verme, değişiklik yapma, ve üretim olabilir.
Bilginin ulaşılabilir oluşu, en az bilginin gizlilik ve bütünlük amaçları kadar önemli bir amaçtır. Ulaşılabilirlik demek, bilginin yetkili kişilerce erişilebilir olmasının yanında kullanılabilir de olması demektir. Aynı zamanda bilgi kullanıcılar tarafından zamanında ulaşılabilmeli, ve ulaşım sırasındaki kaynak paylaşımı izin verilen şekilde olmalıdır. Ulaşılabilirliğe yönelik saldırı türleri engelleme veya değişiklik yapma şeklinde olabilir.
Güvenlik Açıkları
Sistem kullanıcıları ve yöneticileri için değerli olan ve saldırganlar için hedef anlamına gelen yazılım, donanım ve verinin, yukarıda açıklanan saldırı türlerinden hangilerine maruz kalabileceği aşağıdaki şekilde görülebilir:

Güvenlik Açıkları 
Şekilde de görüldüğü gibi engelleme ve izinsiz erişim her üç sisteme de, değişiklik yapma sadece yazılım ve veriye, üretim ise sadece veriye yönelik bir saldırıdır. Değişiklik yapma ilk bakışta donanıma da yöneltilebilecek bir saldırı gibi görünse de, burdaki değişiklikten kasıt, fiziksel bir parçanın değiştirilmesi değil, daha çok çalışmanın veya içeriğin beklenenden ayırt edilebilen veya edilemeyen şeki farklı olmasıdır.

Saygılar..

Yazar	Mesaj Konu Arama Konu SeÃ§enekleri YanÄ±t Yaz Yeni Konu OluÅŸtur Konuyu YazdÄ±r Translate Konu
megabros Ãœye Profili Ã–zel Mesaj Yolla Ãœyenin MesajlarÄ±nÄ± Bul ArkadaÅŸ Listeme Ekle Security Professional KayÄ±t Tarihi: 08-06-2009 Konum: Turkey Status: Aktif DeÄŸil Points: 752	Mesaj SeÃ§enekleri YanÄ±t Yaz AlÄ±ntÄ± megabros Bu mesaj kurallara aykÄ±rÄ±ysa buradan yÃ¶neticileri bilgilendirebilirsiniz. Thanks(0) AlÄ±ntÄ± Cevapla Konu: Bilgi Güvenliği ! GÃ¶nderim ZamanÄ±: 12-06-2009 Saat 11:04
	Genel anlamda Bilgi Güvenliği, özelinde Bilişim Güvenliği, ülkemizde gitgide hakettiği önemi daha çok görmeye başlayan konulardan biri. Henüz işin başındayız, ve başında olduğumuz için de temel kavramların anlaşılması ve oturtulması, sağlıklı bir güvenliğin sağlanabilmesi için önemli. Bu temel kavramlar bu belgenin konusunu oluşturuyor. Bu temel kavramların iyi anlaşılamaması, güvenliği sağlamaya yönelik çözümlerin çoğunlukla kulaktan dolma şeklinde olmasına yol açıyor. Bu çözümler çoğunlukla kısa vadeli çözümler oluyor, uzun vadede güvenliği sağlamada başarı sağlayamıyor. Bunun sonucu olarak, bilgi sistemlerimize antivirüs yazılımı olduğu halde virüs bulaştığına, ateşduvarı olduğu halde izinsiz erişim sağlandığına, e-mektuplarımızın şifreli gönderdiğimiz halde saldırganlar tarafından okunduğuna, dosyalarımızın anlayamadığımız yollarla kaybolduğuna, yine anlayamadığımız bir sebepten herhangi bir sunucu programın çalışmadığına (ya da çalıştığı halde kullanıcıların erişim sağlayamadığına), hatta bilgisayarımızın bir saldırgan tarafından bizden daha fazla kullanıldığı durumlara şahit olabiliyoruz. Bu belgede öncelikle nelerin bir hedef oluşturduğundan bahsedilecek, daha sonra bu hedeflere yöneltilen genel saldırı türlerinin bir açıklaması yapılmaya çalışılacak, bunun ardından, güvenliği sağlarken amaçların ne olması gerektiği tartışılacak. Daha sonra bahsedilen amaçların ihlaline yol açabilecek güvenlik zayıflıklarına, yani güvenlik açıklarına göz atılacak. Güvenlik açıklarından yararlanma yollarına göre saldırganların genel bir gruplandırması yapılacak, ve son olarak güvenliği sağlamada savunmanın ne şekilde olması gerektiği, yani savunma denetimleri, ve belirlenen savunma denetimlerinin etkili olabilmesi için yapılması gerekenler tartışılacak. Hedefler Her ne kadar hedef olarak isimlerindirilmiş olsalar da, bu isim bir parça saldırganların bakış açısından verilmiş bir isim. Bu noktada saldırgan ve saldırı tanımının iyi yapılması gerekiyor. Belgenin amacı ve konusuna uygun olarak, bu belgede saldırı, bir sisteme yöneltilen, güvenlik amaçlarını ihlal etmeye yönelik tüm eylemler, saldırgan ise bu eylemlerde bulunan kişiler anlamında kullanılacak. Saldırganın bakış açısından hedef olan şeyler, aslında bizler için “bir değer” taşıyan unsurlardır. Bir bilgisayar kullanıcısı için “değerli” olabilecek şeyleri tahmin etmek güç değil: Bilgisayarların temel bileşimleri olan yazılım, donanım, ve veri, çoğu sistem kullanıcısı veya yöneticisi için bir değer taşır, bu yüzden de saldırılar bu üç hedefte yoğunlaşır. Yazılım, işletim sistemi, programlar, ve betikleri kapsar. Donanım, yazılımın altyapısını oluşturan fiziksel cihazlardır. Verinin anlamı gerçekte çok geniş olmakla birlikte, donanım ve yazılım kullanılarak üretilmiş bilgi bütünü olarak tanımlanabilir. Her ne kadar saldırılar çoğunlukla bu üç temel bileşene yöneltilse de, aslında bir saldırının hedefleri arasında, özellikle yedekleme için kullanılan depolama ortamları (örn: disket, CD, tape backup), verinin aktarıldığı ortamlar (örn: kablolu veya kablosuz ağlar), ve hatta zaman zaman kilit görevleri üstlenen insanlar da hedefler arasında yer alabilmektedir. Özellikle çoğu zaman göz ardı edilen insan unsuuru, zaman zaman çok fazla kayba yol açabilmektedir. En Kolay Giriş İlkesi Herhangi bir sistemi korurken, en kolay giriş ilkesini akıldan çıkarmamak gerekir. Herhangi bir saldırgan, korumakta olduğunuz sistemin güvenliğini bozmak için, bulabileceği en kolay yolu deneyecektir. Örneğin evinizi korumak için kapısını son derece güvenli kilitler veya çelik bir zırh ile güçlendirmiş olabilirsiniz, ama açık unutulmuş bir pencere varsa, saldırganların güçlendirilmiş olan kapıdan girmeyi denemek yerine açık olan pencereden içeri girmeyi deneyeceklerini tahmin etmek güç olmasa gerek. Yani en kolay yol demek, en belirgin, en çok beklenilen, veya saldırılara karşı en çok önlem alınmış ve güçlendirilmiş yol demek değildir. Saldırı Türleri Buldukları en kolay yol ile güvenliğinizi bozmak isteyen saldırganlar, bunu çeşitli yöntemlerle gerçekleştirebilir. Daha önce bahsedildiği gibi, neyin saldırı olarak tanımlandığının çok fazla önemi var. Bu noktada saldırıların genel bir gruplandırmasını yapmak mümkün: İzinsiz Erişim: Bu saldırı türünde, saldırgan bilgiye (yazılım, donanım ve veri) yetkisi olmadığı halde erişebilmesidir. Aynı bilgiye yetkili kullanıcılar da olağan şekilde erişebilirler, yani bilginin kendisinde bir bozulma yoktur. Bununla birlikte o bilgiye erişmesi beklenmeyen kişilerin bunu yapabilmesi, saldırı olarak nitelendirilir (örn: ağ koklama) Engelleme veya Zarar Verme: Bu saldırı türünde, bilgiye erişim engellenir. Bilgi ya kaybolmuştur/silinmiştir; ya kaybolmamıştır, ama ulaşılamaz durumdadır; veya kaybolmamıştır ve ulaşılabilir durumdadır, ama yetkili kullanıcılar tarafından kullanılamaz durumdadır (örn: donanımın kırılması, veya DoS veya DDoS gibi erişim reddi saldırıları). Değişiklik Yapma: Bu saldırı türü, bilginin yetkili kullanıcıya ulaşmadan önce saldırganın amaçları doğrultusunda bilgide değişiklik yapmasını içerir. Program kodları, durgun veri, veya aktarılmakta olan veri üzerinde yapılması mümkündür (örn: virüsler ve truva atları). Üretim: Bu saldırı türü, gerçekte olmaması gereken verinin üretilmesini içerir. Üretilen veri, daha önceki gerçek bir verinin taklidi olabileceği gibi, gerçeğe uygun tamamen yeni bir veri şeklinde olabilir (örn: sahte veri, ya da veri taklidi). Bunların yanısıra saldırıları aktif ve pasif olmak üzere de gruplandırmak mümkün. İzinsiz erişim türündeki saldırılar pasif grupta, diğer saldırılar aktif saldırı grubunda yer alır. Güvenlik Amaçları Kullanıcılar için değerli, saldırganlar için ise birer hedef olan yazılım, donanım ve veriye saldırı türlerinden bahsettikten sonra, bu saldırılara karşı yapılan savunmada amacın ne olduğundan bahsedelim. Bilgiyi korurken hangi amaçlara ulaştığımızda bilginin korunmakta ve “güvenli” olduğunu söyleyebiliriz? Örneğin bir antivirüs programı ile virüslerden korunması amaçlanan, veya bir ateşduvarı kurulmuş kişisel bir bilgisayar için “güvenli” denilebilir mi? Ya da hangi durumlarda bilginin “güvenli” oluşundan bahsedebiliriz. Bu soruların cevapları için öncelikle koruduğumuz sistemler için korunduklarını ölçebileceğimiz amaçlar k**k gerekir. Bu amaçlar genel olarak, korunmakta olan bilginin gizliliği, bütünlüğü, ve ulaşılabilirliği olarak ifade edilebilir. Bilginin gizli oluşu demek, yani gizlilik amacı, bilgiye sadece izin verilen kişilerin izin verilen yollarla erişimi anlamına gelir. Burdaki erişim, okumaya yönelik bir erişimdir (örn: kopyalama, yazıcıdan çıkarma, basılı durumdaki bilgi için fotokopi). Hatta bazı durumlarda bir bilginin varlığının bilgisi dahi kısıtlama altında olabilir. Yani yetkisi olmayan kişilerin herhangi bir bilginin varlığının bilgisine erişimleri dahi gizlilik amacının bir ihlali olabilir. Bu amacı ihlal etmeye yönelik saldırı türü izinsiz erişimdir. Bilginin bütün oluşu, duruma göre bir çok anlama gelebilir. Özel durumlar için bilginin bütünlüğü, özel şeyleri ifade etmek için kullanılabilir. Bütün oluştan kasıt, bilginin herşeyden önce doğru ve kesin oluşu, şüphe uyandırmayan bir durumda oluşudur. Bilgi aynı zamanda değiştirilemez olmalı, bir başka deyişle, sadece izin verilen yani yetkisi olanlarca, ve sadece izin verilen yollarla değiştirilebilmelidir. Bilginin anlamlı ve tutarlı oluşu, kendi içinde çelişik olmaması da bilgi bütünlüğündeki amaçlar olarak sıralanabilir. Bilginin bütünlüğünü ihlale yönelik saldırı türleri engelleme veya zarar verme, değişiklik yapma, ve üretim olabilir. Bilginin ulaşılabilir oluşu, en az bilginin gizlilik ve bütünlük amaçları kadar önemli bir amaçtır. Ulaşılabilirlik demek, bilginin yetkili kişilerce erişilebilir olmasının yanında kullanılabilir de olması demektir. Aynı zamanda bilgi kullanıcılar tarafından zamanında ulaşılabilmeli, ve ulaşım sırasındaki kaynak paylaşımı izin verilen şekilde olmalıdır. Ulaşılabilirliğe yönelik saldırı türleri engelleme veya değişiklik yapma şeklinde olabilir. Güvenlik Açıkları Sistem kullanıcıları ve yöneticileri için değerli olan ve saldırganlar için hedef anlamına gelen yazılım, donanım ve verinin, yukarıda açıklanan saldırı türlerinden hangilerine maruz kalabileceği aşağıdaki şekilde görülebilir: Güvenlik Açıkları** Şekilde de görüldüğü gibi engelleme ve izinsiz erişim her üç sisteme de, değişiklik yapma sadece yazılım ve veriye, üretim ise sadece veriye yönelik bir saldırıdır. Değişiklik yapma ilk bakışta donanıma da yöneltilebilecek bir saldırı gibi görünse de, burdaki değişiklikten kasıt, fiziksel bir parçanın değiştirilmesi değil, daha çok çalışmanın veya içeriğin beklenenden ayırt edilebilen veya edilemeyen şeki farklı olmasıdır. Saygılar..