Genel anlamda Bilgi Güvenliði, özelinde Biliþim Güvenliði, ülkemizde gitgide hakettiði önemi daha çok görmeye baþlayan konulardan biri. Henüz iþin baþýndayýz, ve baþýnda olduðumuz için de temel kavramlarýn anlaþýlmasý ve oturtulmasý, saðlýklý bir güvenliðin saðlanabilmesi için önemli. Bu temel kavramlar bu belgenin konusunu oluþturuyor.
Bu temel kavramlarýn iyi anlaþýlamamasý, güvenliði saðlamaya yönelik çözümlerin çoðunlukla kulaktan dolma þeklinde olmasýna yol açýyor. Bu çözümler çoðunlukla kýsa vadeli çözümler oluyor, uzun vadede güvenliði saðlamada baþarý saðlayamýyor. Bunun sonucu olarak, bilgi sistemlerimize antivirüs yazýlýmý olduðu halde virüs bulaþtýðýna, ateþduvarý olduðu halde izinsiz eriþim saðlandýðýna, e-mektuplarýmýzýn þifreli gönderdiðimiz halde saldýrganlar tarafýndan okunduðuna, dosyalarýmýzýn anlayamadýðýmýz yollarla kaybolduðuna, yine anlayamadýðýmýz bir sebepten herhangi bir sunucu programýn çalýþmadýðýna (ya da çalýþtýðý halde kullanýcýlarýn eriþim saðlayamadýðýna), hatta bilgisayarýmýzýn bir saldýrgan tarafýndan bizden daha fazla kullanýldýðý durumlara þahit olabiliyoruz.
Bu belgede öncelikle nelerin bir hedef oluþturduðundan bahsedilecek, daha sonra bu hedeflere yöneltilen genel saldýrý türlerinin bir açýklamasý yapýlmaya çalýþýlacak, bunun ardýndan, güvenliði saðlarken amaçlarýn ne olmasý gerektiði tartýþýlacak.
Daha sonra bahsedilen amaçlarýn ihlaline yol açabilecek güvenlik zayýflýklarýna, yani güvenlik açýklarýna göz atýlacak. Güvenlik açýklarýndan yararlanma yollarýna göre saldýrganlarýn genel bir gruplandýrmasý yapýlacak, ve son olarak güvenliði saðlamada savunmanýn ne þekilde olmasý gerektiði, yani savunma denetimleri, ve belirlenen savunma denetimlerinin etkili olabilmesi için yapýlmasý gerekenler tartýþýlacak.
Hedefler
Her ne kadar hedef olarak isimlerindirilmiþ olsalar da, bu isim bir parça saldýrganlarýn bakýþ açýsýndan verilmiþ bir isim. Bu noktada saldýrgan ve saldýrý tanýmýnýn iyi yapýlmasý gerekiyor. Belgenin amacý ve konusuna uygun olarak, bu belgede saldýrý, bir sisteme yöneltilen, güvenlik amaçlarýný ihlal etmeye yönelik tüm eylemler, saldýrgan ise bu eylemlerde bulunan kiþiler anlamýnda kullanýlacak. Saldýrganýn bakýþ açýsýndan hedef olan þeyler, aslýnda bizler için “bir deðer” taþýyan unsurlardýr. Bir bilgisayar kullanýcýsý için “deðerli” olabilecek þeyleri tahmin etmek güç deðil: http://cosmovote.com/ - Bilgisayarlar ýn temel bileþimleri olan yazýlým, donaným, ve veri, çoðu sistem kullanýcýsý veya yöneticisi için bir deðer taþýr, bu yüzden de saldýrýlar bu üç hedefte yoðunlaþýr.
Yazýlým, iþletim sistemi, programlar, ve betikleri kapsar. Donaným, yazýlýmýn altyapýsýný oluþturan fiziksel cihazlardýr. Verinin anlamý gerçekte çok geniþ olmakla birlikte, donaným ve yazýlým kullanýlarak üretilmiþ bilgi bütünü olarak tanýmlanabilir.
Her ne kadar saldýrýlar çoðunlukla bu üç temel bileþene yöneltilse de, aslýnda bir saldýrýnýn hedefleri arasýnda, özellikle yedekleme için kullanýlan depolama ortamlarý (örn: disket, CD, tape backup), verinin aktarýldýðý ortamlar (örn: kablolu veya kablosuz aðlar), ve hatta zaman zaman kilit görevleri üstlenen insanlar da hedefler arasýnda yer alabilmektedir. Özellikle çoðu zaman göz ardý edilen insan unsuuru, zaman zaman çok fazla kayba yol açabilmektedir.
En Kolay Giriþ Ýlkesi
Herhangi bir sistemi korurken, en kolay giriþ ilkesini akýldan çýkarmamak gerekir. Herhangi bir saldýrgan, korumakta olduðunuz sistemin güvenliðini bozmak için, bulabileceði en kolay yolu deneyecektir. Örneðin evinizi korumak için kapýsýný son derece güvenli kilitler veya çelik bir zýrh ile güçlendirmiþ olabilirsiniz, ama açýk unutulmuþ bir pencere varsa, saldýrganlarýn güçlendirilmiþ olan kapýdan girmeyi denemek yerine açýk olan pencereden içeri girmeyi deneyeceklerini tahmin etmek güç olmasa gerek.
Yani en kolay yol demek, en belirgin, en çok beklenilen, veya saldýrýlara karþý en çok önlem alýnmýþ ve güçlendirilmiþ yol demek deðildir.
Saldýrý Türleri
Bulduklarý en kolay yol ile güvenliðinizi bozmak isteyen saldýrganlar, bunu çeþitli yöntemlerle gerçekleþtirebilir. Daha önce bahsedildiði gibi, neyin saldýrý olarak tanýmlandýðýnýn çok fazla önemi var. Bu noktada saldýrýlarýn genel bir gruplandýrmasýný yapmak mümkün:
Ýzinsiz Eriþim: Bu saldýrý türünde, saldýrgan bilgiye (yazýlým, donaným ve veri) yetkisi olmadýðý halde eriþebilmesidir. Ayný bilgiye yetkili kullanýcýlar da olaðan þekilde eriþebilirler, yani bilginin kendisinde bir bozulma yoktur. Bununla birlikte o bilgiye eriþmesi beklenmeyen kiþilerin bunu yapabilmesi, saldýrý olarak nitelendirilir (örn: að koklama) Engelleme veya Zarar Verme: Bu saldýrý türünde, bilgiye eriþim engellenir. Bilgi ya kaybolmuþtur/silinmiþtir; ya kaybolmamýþtýr, ama ulaþýlamaz durumdadýr; veya kaybolmamýþtýr ve ulaþýlabilir durumdadýr, ama yetkili kullanýcýlar tarafýndan kullanýlamaz durumdadýr (örn: donanýmýn kýrýlmasý, veya DoS veya DDoS gibi eriþim reddi saldýrýlarý). Deðiþiklik Yapma: Bu saldýrý türü, bilginin yetkili kullanýcýya ulaþmadan önce saldýrganýn amaçlarý doðrultusunda bilgide deðiþiklik yapmasýný içerir. Program kodlarý, durgun veri, veya aktarýlmakta olan veri üzerinde yapýlmasý mümkündür (örn: virüsler ve truva atlarý). Üretim: Bu saldýrý türü, gerçekte olmamasý gereken verinin üretilmesini içerir. Üretilen veri, daha önceki gerçek bir verinin taklidi olabileceði gibi, gerçeðe uygun tamamen yeni bir veri þeklinde olabilir (örn: sahte veri, ya da veri taklidi).
Bunlarýn yanýsýra saldýrýlarý aktif ve pasif olmak üzere de gruplandýrmak mümkün. Ýzinsiz eriþim türündeki saldýrýlar pasif grupta, diðer saldýrýlar aktif saldýrý grubunda yer alýr.
Güvenlik Amaçlarý
Kullanýcýlar için deðerli, saldýrganlar için ise birer hedef olan yazýlým, donaným ve veriye saldýrý türlerinden bahsettikten sonra, bu saldýrýlara karþý yapýlan savunmada amacýn ne olduðundan bahsedelim. Bilgiyi korurken hangi amaçlara ulaþtýðýmýzda bilginin korunmakta ve “güvenli” olduðunu söyleyebiliriz? Örneðin bir antivirüs programý ile virüslerden korunmasý amaçlanan, veya bir ateþduvarý kurulmuþ kiþisel bir bilgisayar için “güvenli” denilebilir mi? Ya da hangi durumlarda bilginin “güvenli” oluþundan bahsedebiliriz. Bu sorularýn cevaplarý için öncelikle koruduðumuz sistemler için korunduklarýný ölçebileceðimiz amaçlar k****k gerekir. Bu amaçlar genel olarak, korunmakta olan bilginin gizliliði, bütünlüðü, ve ulaþýlabilirliði olarak ifade edilebilir.
Bilginin gizli oluþu demek, yani gizlilik amacý, bilgiye sadece izin verilen kiþilerin izin verilen yollarla eriþimi anlamýna gelir. Burdaki eriþim, okumaya yönelik bir eriþimdir (örn: kopyalama, yazýcýdan çýkarma, basýlý durumdaki bilgi için fotokopi). Hatta bazý durumlarda bir bilginin varlýðýnýn bilgisi dahi kýsýtlama altýnda olabilir. Yani yetkisi olmayan kiþilerin herhangi bir bilginin varlýðýnýn bilgisine eriþimleri dahi gizlilik amacýnýn bir ihlali olabilir. Bu amacý ihlal etmeye yönelik saldýrý türü izinsiz eriþimdir.
Bilginin bütün oluþu, duruma göre bir çok anlama gelebilir. Özel durumlar için bilginin bütünlüðü, özel þeyleri ifade etmek için kullanýlabilir. Bütün oluþtan kasýt, bilginin herþeyden önce doðru ve kesin oluþu, þüphe uyandýrmayan bir durumda oluþudur. Bilgi ayný zamanda deðiþtirilemez olmalý, bir baþka deyiþle, sadece izin verilen yani yetkisi olanlarca, ve sadece izin verilen yollarla deðiþtirilebilmelidir. Bilginin anlamlý ve tutarlý oluþu, kendi içinde çeliþik olmamasý da bilgi bütünlüðündeki amaçlar olarak sýralanabilir. Bilginin bütünlüðünü ihlale yönelik saldýrý türleri engelleme veya zarar verme, deðiþiklik yapma, ve üretim olabilir.
Bilginin ulaþýlabilir oluþu, en az bilginin gizlilik ve bütünlük amaçlarý kadar önemli bir amaçtýr. Ulaþýlabilirlik demek, bilginin yetkili kiþilerce eriþilebilir olmasýnýn yanýnda kullanýlabilir de olmasý demektir. Ayný zamanda bilgi kullanýcýlar tarafýndan zamanýnda ulaþýlabilmeli, ve ulaþým sýrasýndaki kaynak paylaþýmý izin verilen þekilde olmalýdýr. Ulaþýlabilirliðe yönelik saldýrý türleri engelleme veya deðiþiklik yapma þeklinde olabilir.
Güvenlik Açýklarý
Sistem kullanýcýlarý ve yöneticileri için deðerli olan ve saldýrganlar için hedef anlamýna gelen yazýlým, donaným ve verinin, yukarýda açýklanan saldýrý türlerinden hangilerine maruz kalabileceði aþaðýdaki þekilde görülebilir:
http://www.olympos.org/imagecatalogue/imageview/287/?refererurl=/article/articleview/467/1/2/bilgi_guvenligi -
Güvenlik Açýklarý
Þekilde de görüldüðü gibi engelleme ve izinsiz eriþim her üç sisteme de, deðiþiklik yapma sadece yazýlým ve veriye, üretim ise sadece veriye yönelik bir saldýrýdýr. Deðiþiklik yapma ilk bakýþta donanýma da yöneltilebilecek bir saldýrý gibi görünse de, burdaki deðiþiklikten kasýt, fiziksel bir parçanýn deðiþtirilmesi deðil, daha çok çalýþmanýn veya içeriðin beklenenden ayýrt edilebilen veya edilemeyen þeki farklý olmasýdýr.
Saygýlar..