BÝLGÝ GÜVENLÝÐÝ
Genel anlamda Bilgi Güvenliði, özelinde Biliþim Güvenliði, ülkemizde gitgide hakettiði önemi daha çok görmeye baþlayan konulardan biri. Henüz iþin baþýndayýz, ve baþýnda olduðumuz için de temel kavramlarýn anlaþýlmasý ve oturtulmasý, saðlýklý bir güvenliðin saðlanabilmesi için önemli. Bu temel kavramlar bu belgenin konusunu oluþturuyor.
Bu temel kavramlarýn iyi anlaþýlamamasý, güvenliði saðlamaya yönelik çözümlerin çoðunlukla kulaktan dolma þeklinde olmasýna yol açýyor. Bu çözümler çoðunlukla kýsa vadeli çözümler oluyor, uzun vadede güvenliði saðlamada baþarý saðlayamýyor. Bunun sonucu olarak, bilgi sistemlerimize antivirüs yazýlýmý olduðu halde virüs bulaþtýðýna, ateþduvarý olduðu halde izinsiz eriþim saðlandýðýna, e-mektuplarýmýzýn þifreli gönderdiðimiz halde saldýrganlar tarafýndan okunduðuna, dosyalarýmýzýn anlayamadýðýmýz yollarla kaybolduðuna, yine anlayamadýðýmýz bir sebepten herhangi bir sunucu programýn çalýþmadýðýna (ya da çalýþtýðý halde kullanýcýlarýn eriþim saðlayamadýðýna), hatta bilgisayarýmýzýn bir saldýrgan tarafýndan bizden daha fazla kullanýldýðý durumlara þahit olabiliyoruz.
Bu belgede öncelikle nelerin bir hedef oluþturduðundan bahsedilecek, daha sonra bu hedeflere yöneltilen genel saldýrý türlerinin bir açýklamasý yapýlmaya çalýþýlacak, bunun ardýndan, güvenliði saðlarken amaçlarýn ne olmasý gerektiði tartýþýlacak.
Daha sonra bahsedilen amaçlarýn ihlaline yol açabilecek güvenlik zayýflýklarýna, yani güvenlik açýklarýna göz atýlacak. Güvenlik açýklarýndan yararlanma yollarýna göre saldýrganlarýn genel bir gruplandýrmasý yapýlacak, ve son olarak güvenliði saðlamada savunmanýn ne þekilde olmasý gerektiði, yani savunma denetimleri, ve belirlenen savunma denetimlerinin etkili olabilmesi için yapýlmasý gerekenler tartýþýlacak.
Hedefler
Her ne kadar hedef olarak isimlerindirilmiþ olsalar da, bu isim bir parça saldýrganlarýn bakýþ açýsýndan verilmiþ bir isim. Bu noktada saldýrgan ve saldýrý tanýmýnýn iyi yapýlmasý gerekiyor. Belgenin amacý ve konusuna uygun olarak, bu belgede saldýrý, bir sisteme yöneltilen, güvenlik amaçlarýný ihlal etmeye yönelik tüm eylemler, saldýrgan ise bu eylemlerde bulunan kiþiler anlamýnda kullanýlacak. Saldýrganýn bakýþ açýsýndan hedef olan þeyler, aslýnda bizler için "bir deðer" taþýyan unsurlardýr. Bir bilgisayar kullanýcýsý için "deðerli" olabilecek þeyleri tahmin etmek güç deðil: Bilgisayarlarýn temel bileþimleri olan yazýlým, donaným, ve veri, çoðu sistem kullanýcýsý veya yöneticisi için bir deðer taþýr, bu yüzden de saldýrýlar bu üç hedefte yoðunlaþýr.
Yazýlým, iþletim sistemi, programlar, ve betikleri kapsar. Donaným, yazýlýmýn altyapýsýný oluþturan fiziksel cihazlardýr. Verinin anlamý gerçekte çok geniþ olmakla birlikte, donaným ve yazýlým kullanýlarak üretilmiþ bilgi bütünü olarak tanýmlanabilir.
Her ne kadar saldýrýlar çoðunlukla bu üç temel bileþene yöneltilse de, aslýnda bir saldýrýnýn hedefleri arasýnda, özellikle yedekleme için kullanýlan depolama ortamlarý (örn: disket, CD, tape backup), verinin aktarýldýðý ortamlar (örn: kablolu veya kablosuz aðlar), ve hatta zaman zaman kilit görevleri üstlenen insanlar da hedefler arasýnda yer alabilmektedir. Özellikle çoðu zaman göz ardý edilen insan unsuuru, zaman zaman çok fazla kayba yol açabilmektedir.
En Kolay Giriþ Ýlkesi
Herhangi bir sistemi korurken, en kolay giriþ ilkesini akýldan çýkarmamak gerekir. Herhangi bir saldýrgan, korumakta olduðunuz sistemin güvenliðini bozmak için, bulabileceði en kolay yolu deneyecektir. Örneðin evinizi korumak için kapýsýný son derece güvenli kilitler veya çelik bir zýrh ile güçlendirmiþ olabilirsiniz, ama açýk unutulmuþ bir pencere varsa, saldýrganlarýn güçlendirilmiþ olan kapýdan girmeyi denemek yerine açýk olan pencereden içeri girmeyi deneyeceklerini tahmin etmek güç olmasa gerek.
Yani en kolay yol demek, en belirgin, en çok beklenilen, veya saldýrýlara karþý en çok önlem alýnmýþ ve güçlendirilmiþ yol demek deðildir.
Saldýrý Türleri
Bulduklarý en kolay yol ile güvenliðinizi bozmak isteyen saldýrganlar, bunu çeþitli yöntemlerle gerçekleþtirebilir. Daha önce bahsedildiði gibi, neyin saldýrý olarak tanýmlandýðýnýn çok fazla önemi var. Bu noktada saldýrýlarýn genel bir gruplandýrmasýný yapmak mümkün:
* Ýzinsiz Eriþim: Bu saldýrý türünde, saldýrgan bilgiye (yazýlým, donaným ve veri) yetkisi olmadýðý halde eriþebilmesidir. Ayný bilgiye yetkili kullanýcýlar da olaðan þekilde eriþebilirler, yani bilginin kendisinde bir bozulma yoktur. Bununla birlikte o bilgiye eriþmesi beklenmeyen kiþilerin bunu yapabilmesi, saldýrý olarak nitelendirilir (örn: að koklama)
* Engelleme veya Zarar Verme: Bu saldýrý türünde, bilgiye eriþim engellenir. Bilgi ya kaybolmuþtur/silinmiþtir; ya kaybolmamýþtýr, ama ulaþýlamaz durumdadýr; veya kaybolmamýþtýr ve ulaþýlabilir durumdadýr, ama yetkili kullanýcýlar tarafýndan kullanýlamaz durumdadýr (örn: donanýmýn kýrýlmasý, veya DoS veya DDoS gibi eriþim reddi saldýrýlarý).
* Deðiþiklik Yapma: Bu saldýrý türü, bilginin yetkili kullanýcýya ulaþmadan önce saldýrganýn amaçlarý doðrultusunda bilgide deðiþiklik yapmasýný içerir. Program kodlarý, durgun veri, veya aktarýlmakta olan veri üzerinde yapýlmasý mümkündür (örn: virüsler ve truva atlarý).
* Üretim: Bu saldýrý türü, gerçekte olmamasý gereken verinin üretilmesini içerir. Üretilen veri, daha önceki gerçek bir verinin taklidi olabileceði gibi, gerçeðe uygun tamamen yeni bir veri þeklinde olabilir (örn: sahte veri, ya da veri taklidi).
Bunlarýn yanýsýra saldýrýlarý aktif ve pasif olmak üzere de gruplandýrmak mümkün. Ýzinsiz eriþim türündeki saldýrýlar pasif grupta, diðer saldýrýlar aktif saldýrý grubunda yer alýr.
Güvenlik Amaçlarý
Kullanýcýlar için deðerli, saldýrganlar için ise birer hedef olan yazýlým, donaným ve veriye saldýrý türlerinden bahsettikten sonra, bu saldýrýlara karþý yapýlan savunmada amacýn ne olduðundan bahsedelim. Bilgiyi korurken hangi amaçlara ulaþtýðýmýzda bilginin korunmakta ve "güvenli" olduðunu söyleyebiliriz? Örneðin bir antivirüs programý ile virüslerden korunmasý amaçlanan, veya bir ateþduvarý kurulmuþ kiþisel bir bilgisayar için "güvenli" denilebilir mi? Ya da hangi durumlarda bilginin "güvenli" oluþundan bahsedebiliriz. Bu sorularýn cevaplarý için öncelikle koruduðumuz sistemler için korunduklarýný ölçebileceðimiz amaçlar k****k gerekir. Bu amaçlar genel olarak, korunmakta olan bilginin gizliliði, bütünlüðü, ve ulaþýlabilirliði olarak ifade edilebilir.
Bilginin gizli oluþu demek, yani gizlilik amacý, bilgiye sadece izin verilen kiþilerin izin verilen yollarla eriþimi anlamýna gelir. Burdaki eriþim, okumaya yönelik bir eriþimdir (örn: kopyalama, yazýcýdan çýkarma, basýlý durumdaki bilgi için fotokopi). Hatta bazý durumlarda bir bilginin varlýðýnýn bilgisi dahi kýsýtlama altýnda olabilir. Yani yetkisi olmayan kiþilerin herhangi bir bilginin varlýðýnýn bilgisine eriþimleri dahi gizlilik amacýnýn bir ihlali olabilir. Bu amacý ihlal etmeye yönelik saldýrý türü izinsiz eriþimdir.
Bilginin bütün oluþu, duruma göre bir çok anlama gelebilir. Özel durumlar için bilginin bütünlüðü, özel þeyleri ifade etmek için kullanýlabilir. Bütün oluþtan kasýt, bilginin herþeyden önce doðru ve kesin oluþu, þüphe uyandýrmayan bir durumda oluþudur. Bilgi ayný zamanda deðiþtirilemez olmalý, bir baþka deyiþle, sadece izin verilen yani yetkisi olanlarca, ve sadece izin verilen yollarla deðiþtirilebilmelidir. Bilginin anlamlý ve tutarlý oluþu, kendi içinde çeliþik olmamasý da bilgi bütünlüðündeki amaçlar olarak sýralanabilir. Bilginin bütünlüðünü ihlale yönelik saldýrý türleri engelleme veya zarar verme, deðiþiklik yapma, ve üretim olabilir.
Bilginin ulaþýlabilir oluþu, en az bilginin gizlilik ve bütünlük amaçlarý kadar önemli bir amaçtýr. Ulaþýlabilirlik demek, bilginin yetkili kiþilerce eriþilebilir olmasýnýn yanýnda kullanýlabilir de olmasý demektir. Ayný zamanda bilgi kullanýcýlar tarafýndan zamanýnda ulaþýlabilmeli, ve ulaþým sýrasýndaki kaynak paylaþýmý izin verilen þekilde olmalýdýr. Ulaþýlabilirliðe yönelik saldýrý türleri engelleme veya deðiþiklik yapma þeklinde olabilir.
Güvenlik Açýklarý
Sistem kullanýcýlarý ve yöneticileri için deðerli olan ve saldýrganlar için hedef anlamýna gelen yazýlým, donaným ve verinin, yukarýda açýklanan saldýrý türlerinden hangilerine maruz kalabileceði aþaðýdaki þekilde görülebilir: http://img132.imageshack.us/my.php?image=guvenlikaciklarimp3.gif">
Þekilde de görüldüðü gibi engelleme ve izinsiz eriþim her üç sisteme de, deðiþiklik yapma sadece yazýlým ve veriye, üretim ise sadece veriye yönelik bir saldýrýdýr. Deðiþiklik yapma ilk bakýþta donanýma da yöneltilebilecek bir saldýrý gibi görünse de, burdaki deðiþiklikten kasýt, fiziksel bir parçanýn deðiþtirilmesi deðil, daha çok çalýþmanýn veya içeriðin beklenenden ayýrt edilebilen veya edilemeyen þeki farklý olmasýdýr.
Donanýmýn maruz kalabileceði iki saldýrý türü bulunur: Zarar Verme ve Ýzinsiz Eriþim. Zarar verme nerdeyse her seferinde izinsiz eriþim sonucu olur. Ama Ýzinsiz eriþimin olmadýðý durumlarda da zarar verme saldýrýsý olabilir; bu tür saldýrýlarýn içeriden, örneðin bizzat donanýmdan sorumlu personel tarafýndan yapýlmasý mümkündür. Bu noktada donanýma yönelik verilebilecek zararlarý kasýtsýz ve kasýtlý olmak üzere ikiye ayýrmak da mümkün: Kasýtlý zararlar, çalýnma, parçalama, kýrma, bozma gibi önceden planlanarak yapýlan eylemleri içerir.
Kasýtsýz zararlar ise çoðunlukla ihmal ve umursamazlýk sonucu ortaya çýkan kazalar olabileceði gibi, yýldýrým düþmesi, deprem ve sel gibi doðal afetler, veya yangýn gibi doðal olmayan bir afet sonucu da olabilir. Bilgisayarýn yakýnýnda yiyecek ve içecek bulundurmak, en sýk yapýlan ihmallerden biridir. Bunun yanýnda küçük böceklerin elektronik devrelere girerek kýsa devreye yol açmasý, ya da farelerin kablolarý kemirmesi de rastlanan durumlar arasýndadýr. Temizliðin ihmali sonucu oluþan biriken tozun yine devrelere ve güç kaynaðýna, özellikle soðutucu sistemlerde bulunan hareketli parçalarýn çalýþmasýný engellemesi hiç de düþük bir olasýlýk deðildir. Çok basitçe hor kullaným ya da küçük dikkatsizlikler (statik elektrik gibi) bile bilgisayarlarýn donanýmýna zarar verebilir. Donaným çoðunlukla hassas elektronik devrelerden oluþur, ve taþýrken veye fiziksel bir müdahelede, olaðandan biraz daha fazla dikkat edilmesi gerekir. Kasýtsýz zararlar, kasýtlý zararlarýn aksine kötü niyetle yapýlan saldýrýlar deðildir, fakat yol açtýðý kayýplar, kötü niyetli bir saldýrganýn verdiði kayýptan çok daha fazla olabilir.
Yazýlýmýn maruz kalabileceði saldýrýlar arasýnda, silinme baþ sýrayý almaktadýr. Silinme de kasýtlý veya kasýtsýz olabilir. Kullandýðýnýz iþletim sisteminin yönetici yetkilerindeki kullanýcýsýný (örn: Windows için Administrator, Unix için root kullanýcýsý), sadece ihtiyacýnýz olduðunda kullanmalý, diðer zamanlardaki olaðan iþlerinizi, normal yetkilerde, yani yetkileri kýsýtlandýrýlmýþ olan bir kullanýcý ile gerçekleþtirilmelisiniz. Özellikle sistem yöneticilerine sýkça yapýlan bu hatýrlatmanýn amaçlarýndan biri, yanlýþlýkla silinen dosyalarýn en aza indirgenmesi içindir.
Yazýlýmýn tek zayýflýðý silinebilir olmasý deðildir. Yazýlým üzerinde ayný zamanda deðiþiklik de yapýlabilir. Derlenmiþ bir program üzerinde deðiþiklik yapmak metin bir dosya üzerinde deðiþiklik yapmaktan çok daha zor ve özel bir bilgi ve özel programlar kullanmayý gerektirir. Bununla birlikte, herhangi bir programýn üzerinde deðiþiklik yapacak programlar yazýlabilir. Belki de en çok kiþinin aþina olduðu saldýrý türü, aslýnda yazýlýma yönelik deðiþiklik yapma saldýrýsýdýr, virüsler ve truva atlarý bu amaçla hazýrlanan programlardan baþka bir þey deðildir aslýnda. Virüsler belli bir amaca yönelik bu saldýrýyý yaparlar, ve bu amaçlar çok deðiþik olabilir. Sadece bir ileti görüntüleyen virüsler de vardýr, bütün bilgisayardaki dosyalarý ulaþýlmaz hale getiren virüsler de. Truva atlarý, genelde bulaþtýðý bir bilgisayarda, saldýrgan için sýnýrsýz eriþim olanaðý saðlar (bazý durumlarda bilgisayarýn baþýnda normal yollarla yapýlamayacak iþlemlerin bile yapýlabilmesine olanak tanýr). Truva atlarýnýn varlýðýný anlamak virüslerden farklý olarak kolay olmayabilir, çünkü belirtileri tamamen truva atýný koyan kiþinin yapacaklarýna baðlýdýr, yine virüslerden farklý olarak truva atlarý kendi baþlarýna (genelde) yayýlmazlar.
Virüs ve truva atlarýnýn yanýnda, yazýlýma konmuþ arka kapýlar olabilir. Bunlar programý yazan kiþi tarafýndan oluþturulmuþ, ve programýn eriþim sýnýrlamalarýnýn ötesine geçme amacýný taþýyor olabilir. Hatta sadece bilgi sýzdýrma amacýyla da yazýlým üzerinde izinsiz deðiþiklik yapmak istenebilir.
Yazýlýma yönelik bir baþka açýk, hýrsýzlýktýr. Nispeten daha kolay kopyalanabilmesinden kaynaklanan lisanssýz kullaným örnek olarak gösterilebilir.. Ýzinsiz kopyalama da bu anlamda hýrsýzlýða dahil edilebilir. Yani mutlaka lisanssýz kullanmak gerekmez, örneðin baþkalarýnýn lisanssýz kullanabilmesine olanak tanýmak da yazýlýma yönelik bir saldýrý olarak düþünülebilir.
Yazýlým ve donanýmýn olduðu kadar, verinin de açýklarý, yani zayýf yönleri vardýr. Herþeyden önce veri, niteliði gereði, zaman zaman yazýlým ve donanýmdan çok daha deðerli olabilmektedir. Bu nedenle sýk sýk veriye eriþimin kýsýtlanmasý gerekebilir. Dolayýsýyla veriye sadece izinsiz eriþim bile güvenliðini ihlal etme anlamýna gelebilir. Konuþmalarýn dinlenmesi, yahut insanlarý ikna yoluyla bilgi sýzdýrma gibi, hiç de "teknolojik" olmayan yollarla yapýlabileceði gibi, telefon dinleme, ses kayýt cihazlarý, "að koklama" (aðda aktarýlan verinin bir kopyasýnýn çýkarýlmasý), gibi deðiþen teknolojide araçlar kullanýlarak da yapýlabilir. Ýzinsiz eriþimin yaný sýra, veriye eriþim engellenebilir, veya veride deðiþiklik yapýlarak ulaþýlamaz ve/veya kullanýlmaz hale getirilebilir. Sahte veri üretimi ya da özgün verinin kopyalanarak amaca yönelik deðiþiklik yapýlmasý, yani veri taklidi de veriye yönelebilecek saldýrý türleri arasýndadýr.
Gerektiði Kadar Koruma Ýlkesi
Yazýlým, donaným ve veri gibi, sizin için deðeri olan þeyleri, sadece deðerleri geçerli olduðu sürece korunmalý, ve koruma için harcanan para, çaba ve süre kendilerinden daha deðerli olmamalý.
Bu ilkedeki amaç, korumanýn anlamsýz olduðu þeyleri korumamaktýr. Örneðin, bir çok iþletim sisteminin varsayýlan yapýlandýrmasýndaki kurulumunda, yüksek olasýlýkla kullanmayacaðýnýz bir çok hizmet programý da kurulur, ve otomatik olarak çalýþtýrýlýr. Kullanmadýðýnýz hizmetlerin zayýflýklarý yoluyla bilgisayar sisteminizin güvenliðini tehlikeye atmamak için iki seçenek vardýr: Ya çalýþmakta olan bu hizmet programýnýn güvenliði için de para, çaba ve süre unsurlarýndan bir veya birkaçýný kullanacaksýnýz, ya da basitçe kullanmadýðýnýz tüm hizmet programlarýný kapatacaksýnýz. Hizmet programlarý, genelde birden fazla kullanýcýnýn kullanmasýna yönelik olduðu için, kiþisel bilgisayarýnýzdaki tüm hizmet programlarýný kapatmak isteyebilirsiniz (Tabii ki iþletim sisteminin çalýþmasý için gereken en az sayýda hizmet programýnýn çalýþmasýna izin vermek þartýyla).
Yine ayný ilkenin bir diðer sonucu, koruduðunuz þeyin güvenliði ihlal edildiðinde, yerine k****k için uðrayacaðýnýz zarardan daha yüksek bir karþýlýðý, o þeyi korumak için harcamamaktýr. Yani büyük olasýlýkla evinizde kullandýðýnýz kiþisel bilgisayara yüzbinlerce dolarlýk bir ateþduvarý yazýlýmý kurmanýz gereksizdir.
Saldýrgan Gruplarý
Saldýrýlardan ve saldýrganlardan çokça bahsedilmesine raðmen, genelde tam olarak somut örneklerden ayný çoklukta bahsedilmez. Bilgisayarlarýmýza girmek isteyen, "kötü adam" 'larý þu þekilde gruplandýrmak mümkün:
* Amatörler: Bu grupta yer alan saldýrganlar, aslýnda sýradan bilgisayar kullanýcýlarýndan baþkasý deðildir. Bu tür saldýrýlarda genelde saldýrýnýn oluþ þekli sistemdeki bir açýklýðý farkedip yararlanma þeklinde olur. Örnegin, bir Unix sistem üzerindeki bir kullanýcýnýn /etc/passwd dosyasýnýn eriþim izinlerinin uygun olduðunu görüp dosyayý silmesi gibi. Veya ayný þekilde bir baþka kullanýcýnýn sistem üzerinde kendine bir dosya sýnýrlamasý olmadýðýný farkedip yüzlerce MB boyutundaki bir dosyayý sisteme indirmesi gibi. Çok küçük açýklar olarak görünse de, ilk örnek sisteme yönetici (root) dahil kimsenin girememesine; ikinci örnek ise, dosyanýn bulunduðu disk bölümüne göre, programlarýn çalýþmamasýndan, sistemde kimsenin e-mektup alamamasýna kadar varan sonuçlara yol açacaktýr. Amatörlerin genel olarak saldýrýlarýný çok fazla planlamadýklarý söylenebilir.
* Kýrýcýlar (Cracker): Bu grupta yer alan saldýrganlar çoðunlukla bir lise veya üniversite öðrencisinin merak duygusuna sahiptirler. Çoðunlukla yanlýþ bir biçimde "hacker" olarak adlandýrýlan bu grubun doðru isimlendirmesi "cracker" olup, saldýrýlarýný amatörlere göre biraz daha planlý ve programlý yapan kiþilerden oluþur. Saldýrýnýn çok belirli bir amacý olmayýp, merak etme, yapýlabildiðini gösterme, ya da sýrf yapmýþ olmak için yapma gibi amaçlar olabilir. Açýklarý tesadüfen farkedebildikleri gibi, aslýnda yaptýklarý plan ve program sistemin açýklarýný bulmaya yönelik bir uðraþtýr. Bilgisayar sistemlerini "kýrmak" için uðraþtýklarýndan dolayý bu grubu "kýrýcýlar" olarak adlandýrmak da mümkün.
* Profesyonel suçlular: Bu gruptaki saldýrganlar, yukarýdaki iki grubun aksine, güvenlik kavramlarýný ve amaçlarýný anlayan, ve bozmaya yönelik organize eylemler içinde bulunan kiþilerdir. Birden fazla kiþilerden oluþan ekipler kurarak güvenliði bozmaya yönelik saldýrýlar gerçekleþtirebilirler. Belki sayýca deðil ama nitelik açýsýndan en tehlikeli grubu oluþturduklarý söylenebilir, çünkü bu kiþiler yaptýklarý iþ karþýlýðýnda para kazanýrlar. Saldýrýlarýn hedefleri önceden belirlidir, planlý ve organize þekilde saldýrýda bulunurlar.
Savunma Denetimleri
Güvenliðin amaçlarýný açýkladýktan, hedeflere kimler tarfýndan ne tür saldýrýlarýn olabileceðini, saldýrganlarýn hedeflerinin zayýf noktalarýný inceledikten sonra, artýk savunmaya yönelik neler yapýlabilir tartýþabiliriz.
En güçlü savunma yöntemlerinden biri þifrelemedir. Özellikle verinin þifreli biçimde tutulmasý, veriye olan izinsiz eriþimi anlamsýz hale getirir. Ayrýca þifreleme, kimlik doðrulama ve kimliðin inkar edilememesi gibi doðrulama mekanizmalarýnda da önemli bir yoldur. Þifreleme yalnýz baþýna etkili olmadýðý gibi, yanlýþ veya dikkatsiz kullaným sonucu kendisi bir güvenlik açýðý haline gelebilir. Örneðin, açýk anahtarlý þifreleme tekniðinde iki anahtar vardýr, biri herkese açýk, diðeri sadece kiþiye özeldir. Bütün açýk anahtarlý þifrelemenin güvenliði kiþiye özel anahtarýn ne denli iyi korunduðuna baðlýdýr. Ýyi korunmayan veya iyi seçilmemiþ bir özel anahtar, kolayca bulunup þifreli verinin þifresi çözülebilir. Üstelik þifreli olduðu için iyi korunduðu varsayýlan bilgi için aslýnda olmayan bir güvenlik varmýþ gibi görünür. Bu yüzden þifreleme kullanýrken diðer güvenlik önlemlerini gözden kaçýrmamak gerekir.
Savunmaya yönelik diðer bir denetim, yazýlým denetimidir. Özellikle birden fazla kullanýcýnýn kullanmasý düþünülen yazýlýmlarda, yazýlýmýn iç güvenlik denetiminin beklendiði gibi çalýþtýðýndan emin olunmalýdýr. Yazýlým kimlik doðrulamayý düzgün yapabilmeli, ve buna uygun eriþim sýnýrlamalarýný eksiksiz yerine getirebilmelidir. Yazýlýmýn bunu yapamadýðý durumlarda iþletim sistemi bu denetimi devralmalý, ve yazýlýmýn yetki sýnýrýný aþmadýðýný garantileyebilmelidir. Yazýlým geliþtirme aþamasýnda yapýlan tasarým, kodlama, sýnama, ve yazýlýmdaki sorun gidermeye yönelik bakým iþleri standartlara baðlý olmalý, buna uygun bir yordam hazýrlanmýþ olmalýdýr.
En az yazýlým denetimi kadar önemli bir diðer savunma yolu donanýmýn denetimidir. Bu denetim için bazen çok basit ve masrafsýz ama etkili çözümler üretilebilir: Kasalarýn kilit takýlabilen türlerinin seçilmesi, ve kilitlerin sürekli kasalar üzerinde tutulmasý, her þeyden önce kilitsiz bir kasaya göre çok daha caydýrýcý bir etki saðlar. Belki kilit kasanýn açýlamamasýný saðlamaz, ama açýlan bir kasanýn çok daha çabuk farkedilmesini saðlayacaktýr, çünkü büyük olasýlýkla açýlmanýn fiziksel izleri daha belirgin olacaktýr.
Elbetteki korunan bilginin deðerine göre donanýma olan fiziksel eriþimi kýsýtlamak ve denetim altýnda tutmak için daha geliþmiþ yollar da kullanýlabilir (örn: akýllý kart ya da diðer geliþmiþ kimlik doðrulama sistemleri gibi). Çok geliþmiþ bir sistem kullanýlmasý bilginin deðeriyle orantýlýdýr, fakat en azýndan donanýmýn bulunduðu oda kapýlarýnýn kilitli tutulmasý, güvenlik personelinin görevlendirilmesi gibi önlemler, donanýma yönelik izinsiz eriþim ve zarar verme saldýrýlarýnýn çoðunu engelleyebilir, yine bir çoðunda da caydýrýcý etki saðlayabilir. Elbette donanýmýn fiziksel güvenliðini saðlarken yedeklerin fiziksel güvenliðini de göz ardý etmemek gerekir. Yine korunan bilginin deðerine göre, birden fazla yedek tutmak, ve hatta tutulan iki yedek kopyanýn ayný yerde tutulmamasý gibi yordamlarý da oluþturabilirsiniz. (bazý durumlarda bu iki yedek kopyanýn ayný þehirde veya ayný deprem kuþaðýnda bulundurulmamasý da rastlanan güvenlik önlemleri arasýndadýr)
Bütün bu savunma yollarýný belirleyip karar vermek, ve denetimlerin uygulandýðýndan emin olmak bir güvenlik politikasý hazýrlamak ile mümkündür. Aslýnda herhangi bir kurum/kuruluþun güvenliðini ve güvenilirliðini saðlamak bir güvenlik politikasý hazýrlamak ile baþlar. Bu konuda kanunlar çoðu durumda yetersiz kalýr, çünkü kanunlar teknolojik geliþmeye oranla daha yavaþ kalýr. Etik kurallar oluþturulabilir, fakat etik kurallarýn da tek baþýna yaptýrým gücü yoktur, ya da çok azdýr, çünkü bu kurallar her þeyden önce "resmi" kurallar deðildirler. Dolayýsýyla, güvenlik politikasý hazýrlamak, hazýrlanan güvenlik politikasýna uygun yordamlar oluþturmak güvenliði oluþturmada ilk adýmdýr.
Özet olarak, güvenlik politikanýz yoksa güvenliðiniz yok demektir.
Etkili Savunma Denetimi Oluþturma
Yukarýda bahsedildiði gibi savunma ilk adýmý bir güvenlik politikasýnýn oluþturulmasýdýr. Fakat güvenlik politikasýnýn ve savunmaya yönelik diðer güvenlik denetimlerinin güvenliði saðlamada etkili olabilmesi için bir kaç noktayý akýldan çýkarmamak gerekir.
Bunlardan ilki, ve bütün güvenliðin temeli, sorunun farkýnda olmaktýr. Güvenliði saðlamak bir sorundur, ve bu sorunun farkýnda olmak, çözüme yönelik atýlacak ilk adýmdýr. Sadece kullanýcý veya sistem yönetimi bazýnda deðil, idari yönetim bazýnda da sorunun farkýna varma, ve çözüme yönelik eylemler için katkýda bulunma isteði tabaný oluþturulmadan, biliþim teknolojileri unsurlarýnýn güvenliðini saðlamak mümkün deðildir. Sorunun anlaþýlmasý, ayný zamanda çözüm için gereken bir baþka þeyi de kolaylaþtýrýr: iþbirliði. Herhangi bir kurum/kuruluþta güvenliði saðlamak için kullanýcýlarýn, sistem/güvenlik yöneticilerinin ve idari yönetimin iþbirliði içinde olmasý þarttýr. Ýþbirliði içinde oluþturulan savunma denetimleri her zaman daha etkilidir.
Elbette savunmaya yönelik denetim oluþtururken, kullanýlabilecek denetim oluþturmaya özen göstermek gerekir. Kullanýcýlarýn çabucak anlayabileceði, ve uygulayabilmek için istekli olacaklarý denetimler oluþturulmadýðý sürece, bu denetimler kaðýt üzerinde kalacak, ve hayata geçirilmesinde baþarý saðlanamayacaktýr. Abartýlý bir örnek vermek gerekirse, kullanýcýlarýn 2 günde bir parolalarýný deðiþtirmelerini öngören bir kuralýn, uygulanamayacaðý nerdeyse kesindir.
Son olarak, oluþturulan denetimlerin düzenli aralýklarla gözden geçirilmesi, aksayan noktalarýn bulunmasý ve düzeltilmesi, yani savunma denetimlerinin kendisinin düzenli aralýklarla denetlenmesi, gerektiði durumlarda yenilenmesi, ekleme veya çýkarma yapýlmasý, biliþim güvenliðine yönelik oluþturulan denetimlerin teknolojinin gerisinde kalmamasý açýsýndan son derece önemlidir.
Güvenlik, örneðin kurulan bir program, veya bir defaya mahsus alýnmasý gereken bir kaç önlemler topluluðu deðildir. Herhangi bir sistem için "güvenliði saðlandý, artýk yapýlmasý gereken bir þey yok" denemez. Güvenlik, içinde sürekliliði taþýr. Güvenliðin kendisi bir süreçtir, üstelik oldukça uzun bir süreçtir. Güvenlik, ne kadar sürekli denetim altýnda tutulmasý gereken bir olgu olarak anlaþýlýrsa, biliþim sistemlerinin güvenliðini korumada oluþturulacak savunma denetimleri de o kadar etkili olur.
Biliþim Teknolojileri, þimdiye tek hýzla geliþmiþ, þu anda hýzla geliþen, ve gelecekte de hýzla geliþmeye devam edecek gibi görünen konularý içerir. Temel güvenlik kavramlarýný anlamak ve benimsemek, bu hýza ayak uydurabilmek açýsýndan son derece önemli. Bugün bir ateþduvarý, bir antivirüs yazýlýmý, veya basit þifreleme kullanýmý, bir çok kiþisel bilgisayarýn veya sunucunun güvenliðini saðlamada etkili birer denetim olabilir, fakat bu yarýn da ayný derecede etkili olacaklarýnýn garantisi deðildir.
Bilginin güvenliðini saðlamak ve özellikle hýzlý teknoloji ile deðiþen þartlara uygun araç ve savunma denetimlerini belirleyebilmek için, temel bilgi güvenliði kavramlarýnýn iyi anlaþýlmasý ve yerleþtirilmesi, þimdi olduðu kadar, gelecekte de önemini korumaya devam edecek gibi görünmektedir.
Saygýlar.
|