ServerErr0r
uid=0(root)
- Katılım
- 12 Eyl 2009
- Mesajlar
- 2,330
- Reaction score
- 0
- Puanları
- 0
Genel anlamda Bilgi Güvenliği, özelinde Bilişim Güvenliği, ülkemizde gitgide hakettiği önemi daha çok görmeye başlayan konulardan biri. Henüz işin başındayız, ve başında olduğumuz için de temel kavramların anlaşılması ve oturtulması, sağlıklı bir güvenliğin sağlanabilmesi için önemli. Bu temel kavramlar bu belgenin konusunu oluşturuyor.
Bu temel kavramların iyi anlaşılamaması, güvenliği sağlamaya yönelik çözümlerin çoğunlukla kulaktan dolma şeklinde olmasına yol açıyor. Bu çözümler çoğunlukla kısa vadeli çözümler oluyor, uzun vadede güvenliği sağlamada başarı sağlayamıyor. Bunun sonucu olarak, bilgi sistemlerimize antivirüs yazılımı olduğu halde virüs bulaştığına, ateşduvarı olduğu halde izinsiz erişim sağlandığına, e-mektuplarımızın şifreli gönderdiğimiz halde saldırganlar tarafından okunduğuna, dosyalarımızın anlayamadığımız yollarla kaybolduğuna, yine anlayamadığımız bir sebepten herhangi bir sunucu programın çalışmadığına (ya da çalıştığı halde kullanıcıların erişim sağlayamadığına), hatta bilgisayarımızın bir saldırgan tarafından bizden daha fazla kullanıldığı durumlara şahit olabiliyoruz.
Bu belgede öncelikle nelerin bir hedef oluşturduğundan bahsedilecek, daha sonra bu hedeflere yöneltilen genel saldırı türlerinin bir açıklaması yapılmaya çalışılacak, bunun ardından, güvenliği sağlarken amaçların ne olması gerektiği tartışılacak.
Daha sonra bahsedilen amaçların ihlaline yol açabilecek güvenlik zayıflıklarına, yani güvenlik açıklarına göz atılacak. Güvenlik açıklarından yararlanma yollarına göre saldırganların genel bir gruplandırması yapılacak, ve son olarak güvenliği sağlamada savunmanın ne şekilde olması gerektiği, yani savunma denetimleri, ve belirlenen savunma denetimlerinin etkili olabilmesi için yapılması gerekenler tartışılacak.
Hedefler
Her ne kadar hedef olarak isimlerindirilmiş olsalar da, bu isim bir parça saldırganların bakış açısından verilmiş bir isim. Bu noktada saldırgan ve saldırı tanımının iyi yapılması gerekiyor. Belgenin amacı ve konusuna uygun olarak, bu belgede saldırı, bir sisteme yöneltilen, güvenlik amaçlarını ihlal etmeye yönelik tüm eylemler, saldırgan ise bu eylemlerde bulunan kişiler anlamında kullanılacak. Saldırganın bakış açısından hedef olan şeyler, aslında bizler için "bir değer" taşıyan unsurlardır. Bir bilgisayar kullanıcısı için "değerli" olabilecek şeyleri tahmin etmek güç değil: Bilgisayarların temel bileşimleri olan yazılım, donanım, ve veri, çoğu sistem kullanıcısı veya yöneticisi için bir değer taşır, bu yüzden de saldırılar bu üç hedefte yoğunlaşır.
Yazılım, işletim sistemi, programlar, ve betikleri kapsar. Donanım, yazılımın altyapısını oluşturan fiziksel cihazlardır. Verinin anlamı gerçekte çok geniş olmakla birlikte, donanım ve yazılım kullanılarak üretilmiş bilgi bütünü olarak tanımlanabilir.
Her ne kadar saldırılar çoğunlukla bu üç temel bileşene yöneltilse de, aslında bir saldırının hedefleri arasında, özellikle yedekleme için kullanılan depolama ortamları (örn: disket, CD, tape backup), verinin aktarıldığı ortamlar (örn: kablolu veya kablosuz ağlar), ve hatta zaman zaman kilit görevleri üstlenen insanlar da hedefler arasında yer alabilmektedir. Özellikle çoğu zaman göz ardı edilen insan unsuuru, zaman zaman çok fazla kayba yol açabilmektedir.
En Kolay Giriş İlkesi
Herhangi bir sistemi korurken, en kolay giriş ilkesini akıldan çıkarmamak gerekir. Herhangi bir saldırgan, korumakta olduğunuz sistemin güvenliğini bozmak için, bulabileceği en kolay yolu deneyecektir. Örneğin evinizi korumak için kapısını son derece güvenli kilitler veya çelik bir zırh ile güçlendirmiş olabilirsiniz, ama açık unutulmuş bir pencere varsa, saldırganların güçlendirilmiş olan kapıdan girmeyi denemek yerine açık olan pencereden içeri girmeyi deneyeceklerini tahmin etmek güç olmasa gerek.
Yani en kolay yol demek, en belirgin, en çok beklenilen, veya saldırılara karşı en çok önlem alınmış ve güçlendirilmiş yol demek değildir.
Saldırı Türleri
Buldukları en kolay yol ile güvenliğinizi bozmak isteyen saldırganlar, bunu çeşitli yöntemlerle gerçekleştirebilir. Daha önce bahsedildiği gibi, neyin saldırı olarak tanımlandığının çok fazla önemi var. Bu noktada saldırıların genel bir gruplandırmasını yapmak mümkün:
İzinsiz Erişim: Bu saldırı türünde, saldırgan bilgiye (yazılım, donanım ve veri) yetkisi olmadığı halde erişebilmesidir. Aynı bilgiye yetkili kullanıcılar da olağan şekilde erişebilirler, yani bilginin kendisinde bir bozulma yoktur. Bununla birlikte o bilgiye erişmesi beklenmeyen kişilerin bunu yapabilmesi, saldırı olarak nitelendirilir (örn: ağ koklama)
Engelleme veya Zarar Verme: Bu saldırı türünde, bilgiye erişim engellenir. Bilgi ya kaybolmuştur/silinmiştir; ya kaybolmamıştır, ama ulaşılamaz durumdadır; veya kaybolmamıştır ve ulaşılabilir durumdadır, ama yetkili kullanıcılar tarafından kullanılamaz durumdadır (örn: donanımın kırılması, veya DoS veya DDoS gibi erişim reddi saldırıları).
Değişiklik Yapma: Bu saldırı türü, bilginin yetkili kullanıcıya ulaşmadan önce saldırganın amaçları doğrultusunda bilgide değişiklik yapmasını içerir. Program kodları, durgun veri, veya aktarılmakta olan veri üzerinde yapılması mümkündür (örn: virüsler ve truva atları).
Üretim: Bu saldırı türü, gerçekte olmaması gereken verinin üretilmesini içerir. Üretilen veri, daha önceki gerçek bir verinin taklidi olabileceği gibi, gerçeğe uygun tamamen yeni bir veri şeklinde olabilir (örn: sahte veri, ya da veri taklidi).
Bunların yanısıra saldırıları aktif ve pasif olmak üzere de gruplandırmak mümkün. İzinsiz erişim türündeki saldırılar pasif grupta, diğer saldırılar aktif saldırı grubunda yer alır.
Güvenlik Amaçları
Kullanıcılar için değerli, saldırganlar için ise birer hedef olan yazılım, donanım ve veriye saldırı türlerinden bahsettikten sonra, bu saldırılara karşı yapılan savunmada amacın ne olduğundan bahsedelim. Bilgiyi korurken hangi amaçlara ulaştığımızda bilginin korunmakta ve güvenli olduğunu söyleyebiliriz? Örneğin bir antivirüs programı ile virüslerden korunması amaçlanan, veya bir ateşduvarı kurulmuş kişisel bir bilgisayar için güvenli denilebilir mi? Ya da hangi durumlarda bilginin güvenli oluşundan bahsedebiliriz. Bu soruların cevapları için öncelikle koruduğumuz sistemler için korunduklarını ölçebileceğimiz amaçlar koymak gerekir. Bu amaçlar genel olarak, korunmakta olan bilginin gizliliği, bütünlüğü, ve ulaşılabilirliği olarak ifade edilebilir.
Bilginin gizli oluşu demek, yani gizlilik amacı, bilgiye sadece izin verilen kişilerin izin verilen yollarla erişimi anlamına gelir. Burdaki erişim, okumaya yönelik bir erişimdir (örn: kopyalama, yazıcıdan çıkarma, basılı durumdaki bilgi için fotokopi). Hatta bazı durumlarda bir bilginin varlığının bilgisi dahi kısıtlama altında olabilir. Yani yetkisi olmayan kişilerin herhangi bir bilginin varlığının bilgisine erişimleri dahi gizlilik amacının bir ihlali olabilir. Bu amacı ihlal etmeye yönelik saldırı türü izinsiz erişimdir.
Bilginin bütün oluşu, duruma göre bir çok anlama gelebilir. Özel durumlar için bilginin bütünlüğü, özel şeyleri ifade etmek için kullanılabilir. Bütün oluştan kasıt, bilginin herşeyden önce doğru ve kesin oluşu, şüphe uyandırmayan bir durumda oluşudur. Bilgi aynı zamanda değiştirilemez olmalı, bir başka deyişle, sadece izin verilen yani yetkisi olanlarca, ve sadece izin verilen yollarla değiştirilebilmelidir. Bilginin anlamlı ve tutarlı oluşu, kendi içinde çelişik olmaması da bilgi bütünlüğündeki amaçlar olarak sıralanabilir. Bilginin bütünlüğünü ihlale yönelik saldırı türleri engelleme veya zarar verme, değişiklik yapma, ve üretim olabilir.
Bilginin ulaşılabilir oluşu, en az bilginin gizlilik ve bütünlük amaçları kadar önemli bir amaçtır. Ulaşılabilirlik demek, bilginin yetkili kişilerce erişilebilir olmasının yanında kullanılabilir de olması demektir. Aynı zamanda bilgi kullanıcılar tarafından zamanında ulaşılabilmeli, ve ulaşım sırasındaki kaynak paylaşımı izin verilen şekilde olmalıdır. Ulaşılabilirliğe yönelik saldırı türleri engelleme veya değişiklik yapma şeklinde olabilir.
Güvenlik Açıkları
Sistem kullanıcıları ve yöneticileri için değerli olan ve saldırganlar için hedef anlamına gelen yazılım, donanım ve verinin, yukarıda açıklanan saldırı türlerinden hangilerine maruz kalabileceği aşağıdaki şekilde görülebilir:
Şekilde de görüldüğü gibi engelleme ve izinsiz erişim her üç sisteme de, değişiklik yapma sadece yazılım ve veriye, üretim ise sadece veriye yönelik bir saldırıdır. Değişiklik yapma ilk bakışta donanıma da yöneltilebilecek bir saldırı gibi görünse de, burdaki değişiklikten kasıt, fiziksel bir parçanın değiştirilmesi değil, daha çok çalışmanın veya içeriğin beklenenden ayırt edilebilen veya edilemeyen şeki farklı olmasıdır.
Donanımın maruz kalabileceği iki saldırı türü bulunur: Zarar Verme ve İzinsiz Erişim. Zarar verme nerdeyse her seferinde izinsiz erişim sonucu olur. Ama İzinsiz erişimin olmadığı durumlarda da zarar verme saldırısı olabilir; bu tür saldırıların içeriden, örneğin bizzat donanımdan sorumlu personel tarafından yapılması mümkündür. Bu noktada donanıma yönelik verilebilecek zararları kasıtsız ve kasıtlı olmak üzere ikiye ayırmak da mümkün: Kasıtlı zararlar, çalınma, parçalama, kırma, bozma gibi önceden planlanarak yapılan eylemleri içerir.
Kasıtsız zararlar ise çoğunlukla ihmal ve umursamazlık sonucu ortaya çıkan kazalar olabileceği gibi, yıldırım düşmesi, deprem ve sel gibi doğal afetler, veya yangın gibi doğal olmayan bir afet sonucu da olabilir. Bilgisayarın yakınında yiyecek ve içecek bulundurmak, en sık yapılan ihmallerden biridir. Bunun yanında küçük böceklerin elektronik devrelere girerek kısa devreye yol açması, ya da farelerin kabloları kemirmesi de rastlanan durumlar arasındadır. Temizliğin ihmali sonucu oluşan biriken tozun yine devrelere ve güç kaynağına, özellikle soğutucu sistemlerde bulunan hareketli parçaların çalışmasını engellemesi hiç de düşük bir olasılık değildir. Çok basitçe hor kullanım ya da küçük dikkatsizlikler (statik elektrik gibi) bile bilgisayarların donanımına zarar verebilir. Donanım çoğunlukla hassas elektronik devrelerden oluşur, ve taşırken veye fiziksel bir müdahelede, olağandan biraz daha fazla dikkat edilmesi gerekir. Kasıtsız zararlar, kasıtlı zararların aksine kötü niyetle yapılan saldırılar değildir, fakat yol açtığı kayıplar, kötü niyetli bir saldırganın verdiği kayıptan çok daha fazla olabilir.
Yazılımın maruz kalabileceği saldırılar arasında, silinme baş sırayı almaktadır. Silinme de kasıtlı veya kasıtsız olabilir. Kullandığınız işletim sisteminin yönetici yetkilerindeki kullanıcısını (örn: Windows için Administrator, Unix için root kullanıcısı), sadece ihtiyacınız olduğunda kullanmalı, diğer zamanlardaki olağan işlerinizi, normal yetkilerde, yani yetkileri kısıtlandırılmış olan bir kullanıcı ile gerçekleştirilmelisiniz. Özellikle sistem yöneticilerine sıkça yapılan bu hatırlatmanın amaçlarından biri, yanlışlıkla silinen dosyaların en aza indirgenmesi içindir.
Yazılımın tek zayıflığı silinebilir olması değildir. Yazılım üzerinde aynı zamanda değişiklik de yapılabilir. Derlenmiş bir program üzerinde değişiklik yapmak metin bir dosya üzerinde değişiklik yapmaktan çok daha zor ve özel bir bilgi ve özel programlar kullanmayı gerektirir. Bununla birlikte, herhangi bir programın üzerinde değişiklik yapacak programlar yazılabilir. Belki de en çok kişinin aşina olduğu saldırı türü, aslında yazılıma yönelik değişiklik yapma saldırısıdır, virüsler ve truva atları bu amaçla hazırlanan programlardan başka bir şey değildir aslında. Virüsler belli bir amaca yönelik bu saldırıyı yaparlar, ve bu amaçlar çok değişik olabilir. Sadece bir ileti görüntüleyen virüsler de vardır, bütün bilgisayardaki dosyaları ulaşılmaz hale getiren virüsler de. Truva atları, genelde bulaştığı bir bilgisayarda, saldırgan için sınırsız erişim olanağı sağlar (bazı durumlarda bilgisayarın başında normal yollarla yapılamayacak işlemlerin bile yapılabilmesine olanak tanır). Truva atlarının varlığını anlamak virüslerden farklı olarak kolay olmayabilir, çünkü belirtileri tamamen truva atını koyan kişinin yapacaklarına bağlıdır, yine virüslerden farklı olarak truva atları kendi başlarına (genelde) yayılmazlar.
Virüs ve truva atlarının yanında, yazılıma konmuş arka kapılar olabilir. Bunlar programı yazan kişi tarafından oluşturulmuş, ve programın erişim sınırlamalarının ötesine geçme amacını taşıyor olabilir. Hatta sadece bilgi sızdırma amacıyla da yazılım üzerinde izinsiz değişiklik yapmak istenebilir.
Yazılıma yönelik bir başka açık, hırsızlıktır. Nispeten daha kolay kopyalanabilmesinden kaynaklanan lisanssız kullanım örnek olarak gösterilebilir.. İzinsiz kopyalama da bu anlamda hırsızlığa dahil edilebilir. Yani mutlaka lisanssız kullanmak gerekmez, örneğin başkalarının lisanssız kullanabilmesine olanak tanımak da yazılıma yönelik bir saldırı olarak düşünülebilir.
Yazılım ve donanımın olduğu kadar, verinin de açıkları, yani zayıf yönleri vardır. Herşeyden önce veri, niteliği gereği, zaman zaman yazılım ve donanımdan çok daha değerli olabilmektedir. Bu nedenle sık sık veriye erişimin kısıtlanması gerekebilir. Dolayısıyla veriye sadece izinsiz erişim bile güvenliğini ihlal etme anlamına gelebilir. Konuşmaların dinlenmesi, yahut insanları ikna yoluyla bilgi sızdırma gibi, hiç de teknolojik olmayan yollarla yapılabileceği gibi, telefon dinleme, ses kayıt cihazları, ağ koklama (ağda aktarılan verinin bir kopyasının çıkarılması), gibi değişen teknolojide araçlar kullanılarak da yapılabilir. İzinsiz erişimin yanı sıra, veriye erişim engellenebilir, veya veride değişiklik yapılarak ulaşılamaz ve/veya kullanılmaz hale getirilebilir. Sahte veri üretimi ya da özgün verinin kopyalanarak amaca yönelik değişiklik yapılması, yani veri taklidi de veriye yönelebilecek saldırı türleri arasındadır.
Gerektiği Kadar Koruma İlkesi
Yazılım, donanım ve veri gibi, sizin için değeri olan şeyleri, sadece değerleri geçerli olduğu sürece korunmalı, ve koruma için harcanan para, çaba ve süre kendilerinden daha değerli olmamalı.
Bu ilkedeki amaç, korumanın anlamsız olduğu şeyleri korumamaktır. Örneğin, bir çok işletim sisteminin varsayılan yapılandırmasındaki kurulumunda, yüksek olasılıkla kullanmayacağınız bir çok hizmet programı da kurulur, ve otomatik olarak çalıştırılır. Kullanmadığınız hizmetlerin zayıflıkları yoluyla bilgisayar sisteminizin güvenliğini tehlikeye atmamak için iki seçenek vardır: Ya çalışmakta olan bu hizmet programının güvenliği için de para, çaba ve süre unsurlarından bir veya birkaçını kullanacaksınız, ya da basitçe kullanmadığınız tüm hizmet programlarını kapatacaksınız. Hizmet programları, genelde birden fazla kullanıcının kullanmasına yönelik olduğu için, kişisel bilgisayarınızdaki tüm hizmet programlarını kapatmak isteyebilirsiniz (Tabii ki işletim sisteminin çalışması için gereken en az sayıda hizmet programının çalışmasına izin vermek şartıyla).
Yine aynı ilkenin bir diğer sonucu, koruduğunuz şeyin güvenliği ihlal edildiğinde, yerine koymak için uğrayacağınız zarardan daha yüksek bir karşılığı, o şeyi korumak için harcamamaktır. Yani büyük olasılıkla evinizde kullandığınız kişisel bilgisayara yüzbinlerce dolarlık bir ateşduvarı yazılımı kurmanız gereksizdir.
Saldırgan Grupları
Saldırılardan ve saldırganlardan çokça bahsedilmesine rağmen, genelde tam olarak somut örneklerden aynı çoklukta bahsedilmez. Bilgisayarlarımıza girmek isteyen, kötü adamları şu şekilde gruplandırmak mümkün:
Amatörler: Bu grupta yer alan saldırganlar, aslında sıradan bilgisayar kullanıcılarından başkası değildir. Bu tür saldırılarda genelde saldırının oluş şekli sistemdeki bir açıklığı farkedip yararlanma şeklinde olur. Örnegin, bir Unix sistem üzerindeki bir kullanıcının /etc/passwd dosyasının erişim izinlerinin uygun olduğunu görüp dosyayı silmesi gibi. Veya aynı şekilde bir başka kullanıcının sistem üzerinde kendine bir dosya sınırlaması olmadığını farkedip yüzlerce MB boyutundaki bir dosyayı sisteme indirmesi gibi. Çok küçük açıklar olarak görünse de, ilk örnek sisteme yönetici (root) dahil kimsenin girememesine; ikinci örnek ise, dosyanın bulunduğu disk bölümüne göre, programların çalışmamasından, sistemde kimsenin e-mektup alamamasına kadar varan sonuçlara yol açacaktır. Amatörlerin genel olarak saldırılarını çok fazla planlamadıkları söylenebilir.
Kırıcılar (Cracker): Bu grupta yer alan saldırganlar çoğunlukla bir lise veya üniversite öğrencisinin merak duygusuna sahiptirler. Çoğunlukla yanlış bir biçimde hacker olarak adlandırılan bu grubun doğru isimlendirmesi cracker olup, saldırılarını amatörlere göre biraz daha planlı ve programlı yapan kişilerden oluşur. Saldırının çok belirli bir amacı olmayıp, merak etme, yapılabildiğini gösterme, ya da sırf yapmış olmak için yapma gibi amaçlar olabilir. Açıkları tesadüfen farkedebildikleri gibi, aslında yaptıkları plan ve program sistemin açıklarını bulmaya yönelik bir uğraştır. Bilgisayar sistemlerini kırmak için uğraştıklarından dolayı bu grubu kırıcılar olarak adlandırmak da mümkün.
Profesyonel suçlular: Bu gruptaki saldırganlar, yukarıdaki iki grubun aksine, güvenlik kavramlarını ve amaçlarını anlayan, ve bozmaya yönelik organize eylemler içinde bulunan kişilerdir. Birden fazla kişilerden oluşan ekipler kurarak güvenliği bozmaya yönelik saldırılar gerçekleştirebilirler. Belki sayıca değil ama nitelik açısından en tehlikeli grubu oluşturdukları söylenebilir, çünkü bu kişiler yaptıkları iş karşılığında para kazanırlar. Saldırıların hedefleri önceden belirlidir, planlı ve organize şekilde saldırıda bulunurlar.
Savunma Denetimleri
Güvenliğin amaçlarını açıkladıktan, hedeflere kimler tarfından ne tür saldırıların olabileceğini, saldırganların hedeflerinin zayıf noktalarını inceledikten sonra, artık savunmaya yönelik neler yapılabilir tartışabiliriz.
En güçlü savunma yöntemlerinden biri şifrelemedir. Özellikle verinin şifreli biçimde tutulması, veriye olan izinsiz erişimi anlamsız hale getirir. Ayrıca şifreleme, kimlik doğrulama ve kimliğin inkar edilememesi gibi doğrulama mekanizmalarında da önemli bir yoldur. Şifreleme yalnız başına etkili olmadığı gibi, yanlış veya dikkatsiz kullanım sonucu kendisi bir güvenlik açığı haline gelebilir. Örneğin, açık anahtarlı şifreleme tekniğinde iki anahtar vardır, biri herkese açık, diğeri sadece kişiye özeldir. Bütün açık anahtarlı şifrelemenin güvenliği kişiye özel anahtarın ne denli iyi korunduğuna bağlıdır. İyi korunmayan veya iyi seçilmemiş bir özel anahtar, kolayca bulunup şifreli verinin şifresi çözülebilir. Üstelik şifreli olduğu için iyi korunduğu varsayılan bilgi için aslında olmayan bir güvenlik varmış gibi görünür. Bu yüzden şifreleme kullanırken diğer güvenlik önlemlerini gözden kaçırmamak gerekir.
Savunmaya yönelik diğer bir denetim, yazılım denetimidir. Özellikle birden fazla kullanıcının kullanması düşünülen yazılımlarda, yazılımın iç güvenlik denetiminin beklendiği gibi çalıştığından emin olunmalıdır. Yazılım kimlik doğrulamayı düzgün yapabilmeli, ve buna uygun erişim sınırlamalarını eksiksiz yerine getirebilmelidir. Yazılımın bunu yapamadığı durumlarda işletim sistemi bu denetimi devralmalı, ve yazılımın yetki sınırını aşmadığını garantileyebilmelidir. Yazılım geliştirme aşamasında yapılan tasarım, kodlama, sınama, ve yazılımdaki sorun gidermeye yönelik bakım işleri standartlara bağlı olmalı, buna uygun bir yordam hazırlanmış olmalıdır.
En az yazılım denetimi kadar önemli bir diğer savunma yolu donanımın denetimidir. Bu denetim için bazen çok basit ve masrafsız ama etkili çözümler üretilebilir: Kasaların kilit takılabilen türlerinin seçilmesi, ve kilitlerin sürekli kasalar üzerinde tutulması, her şeyden önce kilitsiz bir kasaya göre çok daha caydırıcı bir etki sağlar. Belki kilit kasanın açılamamasını sağlamaz, ama açılan bir kasanın çok daha çabuk farkedilmesini sağlayacaktır, çünkü büyük olasılıkla açılmanın fiziksel izleri daha belirgin olacaktır.
Elbetteki korunan bilginin değerine göre donanıma olan fiziksel erişimi kısıtlanmak ve denetim altında tutmak için daha gelişmiş yollar da kullanılabilir (örn: akıllı kart ya da diğer gelişmiş kimlik doğrulama sistemleri gibi). Çok gelişmiş bir sistem kullanılması bilginin değeriyle orantılıdır, fakat en azından donanımın bulunduğu oda kapılarının kilitli tutulması, güvenlik personelinin görevlendirilmesi gibi önlemler, donanıma yönelik izinsiz erişim ve zarar verme saldırılarının çoğunu engelleyebilir, yine bir çoğunda da caydırıcı etki sağlayabilir. Elbette donanımın fiziksel güvenliğini sağlarken yedeklerin fiziksel güvenliğini de göz ardı etmemek gerekir. Yine korunan bilginin değerine göre, birden fazla yedek tutmak, ve hatta tutulan iki yedek kopyanın aynı yerde tutulmaması gibi yordamları da oluşturabilirsiniz (bazı durumlarda bu iki yedek kopyanın aynı şehirde veya aynı deprem kuşağında bulundurulmaması da rastlanan güvenlik önlemleri arasındadır).
Bütün bu savunma yollarını belirleyip karar vermek, ve denetimlerin uygulandığından emin olmak bir güvenlik politikası hazırlamak ile mümkündür. Aslında herhangi bir kurum/kuruluşun güvenliğini ve güvenilirliğini sağlamak bir güvenlik politikası hazırlamak ile başlar. Bu konuda kanunlar çoğu durumda yetersiz kalır, çünkü kanunlar teknolojik gelişmeye oranla daha yavaş kalır. Etik kurallar oluşturulabilir, fakat etik kuralların da tek başına yaptırım gücü yoktur, ya da çok azdır, çünkü bu kurallar her şeyden önce resmi kurallar değildirler. Dolayısıyla, güvenlik politikası hazırlamak, hazırlanan güvenlik politikasına uygun yordamlar oluşturmak güvenliği oluşturmada ilk adımdır.
Özet olarak, güvenlik politikanız yoksa güvenliğiniz yok demektir.
Etkili Savunma Denetimi Oluşturma
Yukarıda bahsedildiği gibi savunma ilk adımı bir güvenlik politikasının oluşturulmasıdır. Fakat güvenlik politikasının ve savunmaya yönelik diğer güvenlik denetimlerinin güvenliği sağlamada etkili olabilmesi için bir kaç noktayı akıldan çıkarmamak gerekir.
Bunlardan ilki, ve bütün güvenliğin temeli, sorunun farkında olmaktır. Güvenliği sağlamak bir sorundur, ve bu sorunun farkında olmak, çözüme yönelik atılacak ilk adımdır. Sadece kullanıcı veya sistem yönetimi bazında değil, idari yönetim bazında da sorunun farkına varma, ve çözüme yönelik eylemler için katkıda bulunma isteği tabanı oluşturulmadan, bilişim teknolojileri unsurlarının güvenliğini sağlamak mümkün değildir. Sorunun anlaşılması, aynı zamanda çözüm için gereken bir başka şeyi de kolaylaştırır: işbirliği. Herhangi bir kurum/kuruluşta güvenliği sağlamak için kullanıcıların, sistem/güvenlik yöneticilerinin ve idari yönetimin işbirliği içinde olması şarttır. İşbirliği içinde oluşturulan savunma denetimleri her zaman daha etkilidir.
Elbette savunmaya yönelik denetim oluştururken, kullanılabilecek denetim oluşturmaya özen göstermek gerekir. Kullanıcıların çabucak anlayabileceği, ve uygulayabilmek için istekli olacakları denetimler oluşturulmadığı sürece, bu denetimler kağıt üzerinde kalacak, ve hayata geçirilmesinde başarı sağlanamayacaktır. Abartılı bir örnek vermek gerekirse, kullanıcıların 2 günde bir parolalarını değiştirmelerini öngören bir kuralın, uygulanamayacağı nerdeyse kesindir.
Son olarak, oluşturulan denetimlerin düzenli aralıklarla gözden geçirilmesi, aksayan noktaların bulunması ve düzeltilmesi, yani savunma denetimlerinin kendisinin düzenli aralıklarla denetlenmesi, gerektiği durumlarda yenilenmesi, ekleme veya çıkarma yapılması, bilişim güvenliğine yönelik oluşturulan denetimlerin teknolojinin gerisinde kalmaması açısından son derece önemlidir.
Güvenlik, örneğin kurulan bir program, veya bir defaya mahsus alınması gereken bir kaç önlemler topluluğu değildir. Herhangi bir sistem için "güvenliği sağlandı, artık yapılması gereken bir şey yok" denemez. Güvenlik, içinde sürekliliği taşır. Güvenliğin kendisi bir süreçtir, üstelik oldukça uzun bir süreçtir. Güvenlik, ne kadar sürekli denetim altında tutulması gereken bir olgu olarak anlaşılırsa, bilişim sistemlerinin güvenliğini korumada oluşturulacak savunma denetimleri de o kadar etkili olur.
Bilişim Teknolojileri, şimdiye tek hızla gelişmiş, şu anda hızla gelişen, ve gelecekte de hızla gelişmeye devam edecek gibi görünen konuları içerir. Temel güvenlik kavramlarını anlamak ve benimsemek, bu hıza ayak uydurabilmek açısından son derece önemli. Bugün bir ateşduvarı, bir antivirüs yazılımı, veya basit şifreleme kullanımı, bir çok kişisel bilgisayarın veya sunucunun güvenliğini sağlamada etkili birer denetim olabilir, fakat bu yarın da aynı derecede etkili olacaklarının garantisi değildir.
Bilginin güvenliğini sağlamak ve özellikle hızlı teknoloji ile değişen şartlara uygun araç ve savunma denetimlerini belirleyebilmek için, temel bilgi güvenliği kavramlarının iyi anlaşılması ve yerleştirilmesi, şimdi olduğu kadar, gelecekte de önemini korumaya devam edecek gibi görünmektedir.
Tufan KARADERE
Kaynak
Bu temel kavramların iyi anlaşılamaması, güvenliği sağlamaya yönelik çözümlerin çoğunlukla kulaktan dolma şeklinde olmasına yol açıyor. Bu çözümler çoğunlukla kısa vadeli çözümler oluyor, uzun vadede güvenliği sağlamada başarı sağlayamıyor. Bunun sonucu olarak, bilgi sistemlerimize antivirüs yazılımı olduğu halde virüs bulaştığına, ateşduvarı olduğu halde izinsiz erişim sağlandığına, e-mektuplarımızın şifreli gönderdiğimiz halde saldırganlar tarafından okunduğuna, dosyalarımızın anlayamadığımız yollarla kaybolduğuna, yine anlayamadığımız bir sebepten herhangi bir sunucu programın çalışmadığına (ya da çalıştığı halde kullanıcıların erişim sağlayamadığına), hatta bilgisayarımızın bir saldırgan tarafından bizden daha fazla kullanıldığı durumlara şahit olabiliyoruz.
Bu belgede öncelikle nelerin bir hedef oluşturduğundan bahsedilecek, daha sonra bu hedeflere yöneltilen genel saldırı türlerinin bir açıklaması yapılmaya çalışılacak, bunun ardından, güvenliği sağlarken amaçların ne olması gerektiği tartışılacak.
Daha sonra bahsedilen amaçların ihlaline yol açabilecek güvenlik zayıflıklarına, yani güvenlik açıklarına göz atılacak. Güvenlik açıklarından yararlanma yollarına göre saldırganların genel bir gruplandırması yapılacak, ve son olarak güvenliği sağlamada savunmanın ne şekilde olması gerektiği, yani savunma denetimleri, ve belirlenen savunma denetimlerinin etkili olabilmesi için yapılması gerekenler tartışılacak.
Hedefler
Her ne kadar hedef olarak isimlerindirilmiş olsalar da, bu isim bir parça saldırganların bakış açısından verilmiş bir isim. Bu noktada saldırgan ve saldırı tanımının iyi yapılması gerekiyor. Belgenin amacı ve konusuna uygun olarak, bu belgede saldırı, bir sisteme yöneltilen, güvenlik amaçlarını ihlal etmeye yönelik tüm eylemler, saldırgan ise bu eylemlerde bulunan kişiler anlamında kullanılacak. Saldırganın bakış açısından hedef olan şeyler, aslında bizler için "bir değer" taşıyan unsurlardır. Bir bilgisayar kullanıcısı için "değerli" olabilecek şeyleri tahmin etmek güç değil: Bilgisayarların temel bileşimleri olan yazılım, donanım, ve veri, çoğu sistem kullanıcısı veya yöneticisi için bir değer taşır, bu yüzden de saldırılar bu üç hedefte yoğunlaşır.
Yazılım, işletim sistemi, programlar, ve betikleri kapsar. Donanım, yazılımın altyapısını oluşturan fiziksel cihazlardır. Verinin anlamı gerçekte çok geniş olmakla birlikte, donanım ve yazılım kullanılarak üretilmiş bilgi bütünü olarak tanımlanabilir.
Her ne kadar saldırılar çoğunlukla bu üç temel bileşene yöneltilse de, aslında bir saldırının hedefleri arasında, özellikle yedekleme için kullanılan depolama ortamları (örn: disket, CD, tape backup), verinin aktarıldığı ortamlar (örn: kablolu veya kablosuz ağlar), ve hatta zaman zaman kilit görevleri üstlenen insanlar da hedefler arasında yer alabilmektedir. Özellikle çoğu zaman göz ardı edilen insan unsuuru, zaman zaman çok fazla kayba yol açabilmektedir.
En Kolay Giriş İlkesi
Herhangi bir sistemi korurken, en kolay giriş ilkesini akıldan çıkarmamak gerekir. Herhangi bir saldırgan, korumakta olduğunuz sistemin güvenliğini bozmak için, bulabileceği en kolay yolu deneyecektir. Örneğin evinizi korumak için kapısını son derece güvenli kilitler veya çelik bir zırh ile güçlendirmiş olabilirsiniz, ama açık unutulmuş bir pencere varsa, saldırganların güçlendirilmiş olan kapıdan girmeyi denemek yerine açık olan pencereden içeri girmeyi deneyeceklerini tahmin etmek güç olmasa gerek.
Yani en kolay yol demek, en belirgin, en çok beklenilen, veya saldırılara karşı en çok önlem alınmış ve güçlendirilmiş yol demek değildir.
Saldırı Türleri
Buldukları en kolay yol ile güvenliğinizi bozmak isteyen saldırganlar, bunu çeşitli yöntemlerle gerçekleştirebilir. Daha önce bahsedildiği gibi, neyin saldırı olarak tanımlandığının çok fazla önemi var. Bu noktada saldırıların genel bir gruplandırmasını yapmak mümkün:
İzinsiz Erişim: Bu saldırı türünde, saldırgan bilgiye (yazılım, donanım ve veri) yetkisi olmadığı halde erişebilmesidir. Aynı bilgiye yetkili kullanıcılar da olağan şekilde erişebilirler, yani bilginin kendisinde bir bozulma yoktur. Bununla birlikte o bilgiye erişmesi beklenmeyen kişilerin bunu yapabilmesi, saldırı olarak nitelendirilir (örn: ağ koklama)
Engelleme veya Zarar Verme: Bu saldırı türünde, bilgiye erişim engellenir. Bilgi ya kaybolmuştur/silinmiştir; ya kaybolmamıştır, ama ulaşılamaz durumdadır; veya kaybolmamıştır ve ulaşılabilir durumdadır, ama yetkili kullanıcılar tarafından kullanılamaz durumdadır (örn: donanımın kırılması, veya DoS veya DDoS gibi erişim reddi saldırıları).
Değişiklik Yapma: Bu saldırı türü, bilginin yetkili kullanıcıya ulaşmadan önce saldırganın amaçları doğrultusunda bilgide değişiklik yapmasını içerir. Program kodları, durgun veri, veya aktarılmakta olan veri üzerinde yapılması mümkündür (örn: virüsler ve truva atları).
Üretim: Bu saldırı türü, gerçekte olmaması gereken verinin üretilmesini içerir. Üretilen veri, daha önceki gerçek bir verinin taklidi olabileceği gibi, gerçeğe uygun tamamen yeni bir veri şeklinde olabilir (örn: sahte veri, ya da veri taklidi).
Bunların yanısıra saldırıları aktif ve pasif olmak üzere de gruplandırmak mümkün. İzinsiz erişim türündeki saldırılar pasif grupta, diğer saldırılar aktif saldırı grubunda yer alır.
Güvenlik Amaçları
Kullanıcılar için değerli, saldırganlar için ise birer hedef olan yazılım, donanım ve veriye saldırı türlerinden bahsettikten sonra, bu saldırılara karşı yapılan savunmada amacın ne olduğundan bahsedelim. Bilgiyi korurken hangi amaçlara ulaştığımızda bilginin korunmakta ve güvenli olduğunu söyleyebiliriz? Örneğin bir antivirüs programı ile virüslerden korunması amaçlanan, veya bir ateşduvarı kurulmuş kişisel bir bilgisayar için güvenli denilebilir mi? Ya da hangi durumlarda bilginin güvenli oluşundan bahsedebiliriz. Bu soruların cevapları için öncelikle koruduğumuz sistemler için korunduklarını ölçebileceğimiz amaçlar koymak gerekir. Bu amaçlar genel olarak, korunmakta olan bilginin gizliliği, bütünlüğü, ve ulaşılabilirliği olarak ifade edilebilir.
Bilginin gizli oluşu demek, yani gizlilik amacı, bilgiye sadece izin verilen kişilerin izin verilen yollarla erişimi anlamına gelir. Burdaki erişim, okumaya yönelik bir erişimdir (örn: kopyalama, yazıcıdan çıkarma, basılı durumdaki bilgi için fotokopi). Hatta bazı durumlarda bir bilginin varlığının bilgisi dahi kısıtlama altında olabilir. Yani yetkisi olmayan kişilerin herhangi bir bilginin varlığının bilgisine erişimleri dahi gizlilik amacının bir ihlali olabilir. Bu amacı ihlal etmeye yönelik saldırı türü izinsiz erişimdir.
Bilginin bütün oluşu, duruma göre bir çok anlama gelebilir. Özel durumlar için bilginin bütünlüğü, özel şeyleri ifade etmek için kullanılabilir. Bütün oluştan kasıt, bilginin herşeyden önce doğru ve kesin oluşu, şüphe uyandırmayan bir durumda oluşudur. Bilgi aynı zamanda değiştirilemez olmalı, bir başka deyişle, sadece izin verilen yani yetkisi olanlarca, ve sadece izin verilen yollarla değiştirilebilmelidir. Bilginin anlamlı ve tutarlı oluşu, kendi içinde çelişik olmaması da bilgi bütünlüğündeki amaçlar olarak sıralanabilir. Bilginin bütünlüğünü ihlale yönelik saldırı türleri engelleme veya zarar verme, değişiklik yapma, ve üretim olabilir.
Bilginin ulaşılabilir oluşu, en az bilginin gizlilik ve bütünlük amaçları kadar önemli bir amaçtır. Ulaşılabilirlik demek, bilginin yetkili kişilerce erişilebilir olmasının yanında kullanılabilir de olması demektir. Aynı zamanda bilgi kullanıcılar tarafından zamanında ulaşılabilmeli, ve ulaşım sırasındaki kaynak paylaşımı izin verilen şekilde olmalıdır. Ulaşılabilirliğe yönelik saldırı türleri engelleme veya değişiklik yapma şeklinde olabilir.
Güvenlik Açıkları
Sistem kullanıcıları ve yöneticileri için değerli olan ve saldırganlar için hedef anlamına gelen yazılım, donanım ve verinin, yukarıda açıklanan saldırı türlerinden hangilerine maruz kalabileceği aşağıdaki şekilde görülebilir:
Şekilde de görüldüğü gibi engelleme ve izinsiz erişim her üç sisteme de, değişiklik yapma sadece yazılım ve veriye, üretim ise sadece veriye yönelik bir saldırıdır. Değişiklik yapma ilk bakışta donanıma da yöneltilebilecek bir saldırı gibi görünse de, burdaki değişiklikten kasıt, fiziksel bir parçanın değiştirilmesi değil, daha çok çalışmanın veya içeriğin beklenenden ayırt edilebilen veya edilemeyen şeki farklı olmasıdır.
Donanımın maruz kalabileceği iki saldırı türü bulunur: Zarar Verme ve İzinsiz Erişim. Zarar verme nerdeyse her seferinde izinsiz erişim sonucu olur. Ama İzinsiz erişimin olmadığı durumlarda da zarar verme saldırısı olabilir; bu tür saldırıların içeriden, örneğin bizzat donanımdan sorumlu personel tarafından yapılması mümkündür. Bu noktada donanıma yönelik verilebilecek zararları kasıtsız ve kasıtlı olmak üzere ikiye ayırmak da mümkün: Kasıtlı zararlar, çalınma, parçalama, kırma, bozma gibi önceden planlanarak yapılan eylemleri içerir.
Kasıtsız zararlar ise çoğunlukla ihmal ve umursamazlık sonucu ortaya çıkan kazalar olabileceği gibi, yıldırım düşmesi, deprem ve sel gibi doğal afetler, veya yangın gibi doğal olmayan bir afet sonucu da olabilir. Bilgisayarın yakınında yiyecek ve içecek bulundurmak, en sık yapılan ihmallerden biridir. Bunun yanında küçük böceklerin elektronik devrelere girerek kısa devreye yol açması, ya da farelerin kabloları kemirmesi de rastlanan durumlar arasındadır. Temizliğin ihmali sonucu oluşan biriken tozun yine devrelere ve güç kaynağına, özellikle soğutucu sistemlerde bulunan hareketli parçaların çalışmasını engellemesi hiç de düşük bir olasılık değildir. Çok basitçe hor kullanım ya da küçük dikkatsizlikler (statik elektrik gibi) bile bilgisayarların donanımına zarar verebilir. Donanım çoğunlukla hassas elektronik devrelerden oluşur, ve taşırken veye fiziksel bir müdahelede, olağandan biraz daha fazla dikkat edilmesi gerekir. Kasıtsız zararlar, kasıtlı zararların aksine kötü niyetle yapılan saldırılar değildir, fakat yol açtığı kayıplar, kötü niyetli bir saldırganın verdiği kayıptan çok daha fazla olabilir.
Yazılımın maruz kalabileceği saldırılar arasında, silinme baş sırayı almaktadır. Silinme de kasıtlı veya kasıtsız olabilir. Kullandığınız işletim sisteminin yönetici yetkilerindeki kullanıcısını (örn: Windows için Administrator, Unix için root kullanıcısı), sadece ihtiyacınız olduğunda kullanmalı, diğer zamanlardaki olağan işlerinizi, normal yetkilerde, yani yetkileri kısıtlandırılmış olan bir kullanıcı ile gerçekleştirilmelisiniz. Özellikle sistem yöneticilerine sıkça yapılan bu hatırlatmanın amaçlarından biri, yanlışlıkla silinen dosyaların en aza indirgenmesi içindir.
Yazılımın tek zayıflığı silinebilir olması değildir. Yazılım üzerinde aynı zamanda değişiklik de yapılabilir. Derlenmiş bir program üzerinde değişiklik yapmak metin bir dosya üzerinde değişiklik yapmaktan çok daha zor ve özel bir bilgi ve özel programlar kullanmayı gerektirir. Bununla birlikte, herhangi bir programın üzerinde değişiklik yapacak programlar yazılabilir. Belki de en çok kişinin aşina olduğu saldırı türü, aslında yazılıma yönelik değişiklik yapma saldırısıdır, virüsler ve truva atları bu amaçla hazırlanan programlardan başka bir şey değildir aslında. Virüsler belli bir amaca yönelik bu saldırıyı yaparlar, ve bu amaçlar çok değişik olabilir. Sadece bir ileti görüntüleyen virüsler de vardır, bütün bilgisayardaki dosyaları ulaşılmaz hale getiren virüsler de. Truva atları, genelde bulaştığı bir bilgisayarda, saldırgan için sınırsız erişim olanağı sağlar (bazı durumlarda bilgisayarın başında normal yollarla yapılamayacak işlemlerin bile yapılabilmesine olanak tanır). Truva atlarının varlığını anlamak virüslerden farklı olarak kolay olmayabilir, çünkü belirtileri tamamen truva atını koyan kişinin yapacaklarına bağlıdır, yine virüslerden farklı olarak truva atları kendi başlarına (genelde) yayılmazlar.
Virüs ve truva atlarının yanında, yazılıma konmuş arka kapılar olabilir. Bunlar programı yazan kişi tarafından oluşturulmuş, ve programın erişim sınırlamalarının ötesine geçme amacını taşıyor olabilir. Hatta sadece bilgi sızdırma amacıyla da yazılım üzerinde izinsiz değişiklik yapmak istenebilir.
Yazılıma yönelik bir başka açık, hırsızlıktır. Nispeten daha kolay kopyalanabilmesinden kaynaklanan lisanssız kullanım örnek olarak gösterilebilir.. İzinsiz kopyalama da bu anlamda hırsızlığa dahil edilebilir. Yani mutlaka lisanssız kullanmak gerekmez, örneğin başkalarının lisanssız kullanabilmesine olanak tanımak da yazılıma yönelik bir saldırı olarak düşünülebilir.
Yazılım ve donanımın olduğu kadar, verinin de açıkları, yani zayıf yönleri vardır. Herşeyden önce veri, niteliği gereği, zaman zaman yazılım ve donanımdan çok daha değerli olabilmektedir. Bu nedenle sık sık veriye erişimin kısıtlanması gerekebilir. Dolayısıyla veriye sadece izinsiz erişim bile güvenliğini ihlal etme anlamına gelebilir. Konuşmaların dinlenmesi, yahut insanları ikna yoluyla bilgi sızdırma gibi, hiç de teknolojik olmayan yollarla yapılabileceği gibi, telefon dinleme, ses kayıt cihazları, ağ koklama (ağda aktarılan verinin bir kopyasının çıkarılması), gibi değişen teknolojide araçlar kullanılarak da yapılabilir. İzinsiz erişimin yanı sıra, veriye erişim engellenebilir, veya veride değişiklik yapılarak ulaşılamaz ve/veya kullanılmaz hale getirilebilir. Sahte veri üretimi ya da özgün verinin kopyalanarak amaca yönelik değişiklik yapılması, yani veri taklidi de veriye yönelebilecek saldırı türleri arasındadır.
Gerektiği Kadar Koruma İlkesi
Yazılım, donanım ve veri gibi, sizin için değeri olan şeyleri, sadece değerleri geçerli olduğu sürece korunmalı, ve koruma için harcanan para, çaba ve süre kendilerinden daha değerli olmamalı.
Bu ilkedeki amaç, korumanın anlamsız olduğu şeyleri korumamaktır. Örneğin, bir çok işletim sisteminin varsayılan yapılandırmasındaki kurulumunda, yüksek olasılıkla kullanmayacağınız bir çok hizmet programı da kurulur, ve otomatik olarak çalıştırılır. Kullanmadığınız hizmetlerin zayıflıkları yoluyla bilgisayar sisteminizin güvenliğini tehlikeye atmamak için iki seçenek vardır: Ya çalışmakta olan bu hizmet programının güvenliği için de para, çaba ve süre unsurlarından bir veya birkaçını kullanacaksınız, ya da basitçe kullanmadığınız tüm hizmet programlarını kapatacaksınız. Hizmet programları, genelde birden fazla kullanıcının kullanmasına yönelik olduğu için, kişisel bilgisayarınızdaki tüm hizmet programlarını kapatmak isteyebilirsiniz (Tabii ki işletim sisteminin çalışması için gereken en az sayıda hizmet programının çalışmasına izin vermek şartıyla).
Yine aynı ilkenin bir diğer sonucu, koruduğunuz şeyin güvenliği ihlal edildiğinde, yerine koymak için uğrayacağınız zarardan daha yüksek bir karşılığı, o şeyi korumak için harcamamaktır. Yani büyük olasılıkla evinizde kullandığınız kişisel bilgisayara yüzbinlerce dolarlık bir ateşduvarı yazılımı kurmanız gereksizdir.
Saldırgan Grupları
Saldırılardan ve saldırganlardan çokça bahsedilmesine rağmen, genelde tam olarak somut örneklerden aynı çoklukta bahsedilmez. Bilgisayarlarımıza girmek isteyen, kötü adamları şu şekilde gruplandırmak mümkün:
Amatörler: Bu grupta yer alan saldırganlar, aslında sıradan bilgisayar kullanıcılarından başkası değildir. Bu tür saldırılarda genelde saldırının oluş şekli sistemdeki bir açıklığı farkedip yararlanma şeklinde olur. Örnegin, bir Unix sistem üzerindeki bir kullanıcının /etc/passwd dosyasının erişim izinlerinin uygun olduğunu görüp dosyayı silmesi gibi. Veya aynı şekilde bir başka kullanıcının sistem üzerinde kendine bir dosya sınırlaması olmadığını farkedip yüzlerce MB boyutundaki bir dosyayı sisteme indirmesi gibi. Çok küçük açıklar olarak görünse de, ilk örnek sisteme yönetici (root) dahil kimsenin girememesine; ikinci örnek ise, dosyanın bulunduğu disk bölümüne göre, programların çalışmamasından, sistemde kimsenin e-mektup alamamasına kadar varan sonuçlara yol açacaktır. Amatörlerin genel olarak saldırılarını çok fazla planlamadıkları söylenebilir.
Kırıcılar (Cracker): Bu grupta yer alan saldırganlar çoğunlukla bir lise veya üniversite öğrencisinin merak duygusuna sahiptirler. Çoğunlukla yanlış bir biçimde hacker olarak adlandırılan bu grubun doğru isimlendirmesi cracker olup, saldırılarını amatörlere göre biraz daha planlı ve programlı yapan kişilerden oluşur. Saldırının çok belirli bir amacı olmayıp, merak etme, yapılabildiğini gösterme, ya da sırf yapmış olmak için yapma gibi amaçlar olabilir. Açıkları tesadüfen farkedebildikleri gibi, aslında yaptıkları plan ve program sistemin açıklarını bulmaya yönelik bir uğraştır. Bilgisayar sistemlerini kırmak için uğraştıklarından dolayı bu grubu kırıcılar olarak adlandırmak da mümkün.
Profesyonel suçlular: Bu gruptaki saldırganlar, yukarıdaki iki grubun aksine, güvenlik kavramlarını ve amaçlarını anlayan, ve bozmaya yönelik organize eylemler içinde bulunan kişilerdir. Birden fazla kişilerden oluşan ekipler kurarak güvenliği bozmaya yönelik saldırılar gerçekleştirebilirler. Belki sayıca değil ama nitelik açısından en tehlikeli grubu oluşturdukları söylenebilir, çünkü bu kişiler yaptıkları iş karşılığında para kazanırlar. Saldırıların hedefleri önceden belirlidir, planlı ve organize şekilde saldırıda bulunurlar.
Savunma Denetimleri
Güvenliğin amaçlarını açıkladıktan, hedeflere kimler tarfından ne tür saldırıların olabileceğini, saldırganların hedeflerinin zayıf noktalarını inceledikten sonra, artık savunmaya yönelik neler yapılabilir tartışabiliriz.
En güçlü savunma yöntemlerinden biri şifrelemedir. Özellikle verinin şifreli biçimde tutulması, veriye olan izinsiz erişimi anlamsız hale getirir. Ayrıca şifreleme, kimlik doğrulama ve kimliğin inkar edilememesi gibi doğrulama mekanizmalarında da önemli bir yoldur. Şifreleme yalnız başına etkili olmadığı gibi, yanlış veya dikkatsiz kullanım sonucu kendisi bir güvenlik açığı haline gelebilir. Örneğin, açık anahtarlı şifreleme tekniğinde iki anahtar vardır, biri herkese açık, diğeri sadece kişiye özeldir. Bütün açık anahtarlı şifrelemenin güvenliği kişiye özel anahtarın ne denli iyi korunduğuna bağlıdır. İyi korunmayan veya iyi seçilmemiş bir özel anahtar, kolayca bulunup şifreli verinin şifresi çözülebilir. Üstelik şifreli olduğu için iyi korunduğu varsayılan bilgi için aslında olmayan bir güvenlik varmış gibi görünür. Bu yüzden şifreleme kullanırken diğer güvenlik önlemlerini gözden kaçırmamak gerekir.
Savunmaya yönelik diğer bir denetim, yazılım denetimidir. Özellikle birden fazla kullanıcının kullanması düşünülen yazılımlarda, yazılımın iç güvenlik denetiminin beklendiği gibi çalıştığından emin olunmalıdır. Yazılım kimlik doğrulamayı düzgün yapabilmeli, ve buna uygun erişim sınırlamalarını eksiksiz yerine getirebilmelidir. Yazılımın bunu yapamadığı durumlarda işletim sistemi bu denetimi devralmalı, ve yazılımın yetki sınırını aşmadığını garantileyebilmelidir. Yazılım geliştirme aşamasında yapılan tasarım, kodlama, sınama, ve yazılımdaki sorun gidermeye yönelik bakım işleri standartlara bağlı olmalı, buna uygun bir yordam hazırlanmış olmalıdır.
En az yazılım denetimi kadar önemli bir diğer savunma yolu donanımın denetimidir. Bu denetim için bazen çok basit ve masrafsız ama etkili çözümler üretilebilir: Kasaların kilit takılabilen türlerinin seçilmesi, ve kilitlerin sürekli kasalar üzerinde tutulması, her şeyden önce kilitsiz bir kasaya göre çok daha caydırıcı bir etki sağlar. Belki kilit kasanın açılamamasını sağlamaz, ama açılan bir kasanın çok daha çabuk farkedilmesini sağlayacaktır, çünkü büyük olasılıkla açılmanın fiziksel izleri daha belirgin olacaktır.
Elbetteki korunan bilginin değerine göre donanıma olan fiziksel erişimi kısıtlanmak ve denetim altında tutmak için daha gelişmiş yollar da kullanılabilir (örn: akıllı kart ya da diğer gelişmiş kimlik doğrulama sistemleri gibi). Çok gelişmiş bir sistem kullanılması bilginin değeriyle orantılıdır, fakat en azından donanımın bulunduğu oda kapılarının kilitli tutulması, güvenlik personelinin görevlendirilmesi gibi önlemler, donanıma yönelik izinsiz erişim ve zarar verme saldırılarının çoğunu engelleyebilir, yine bir çoğunda da caydırıcı etki sağlayabilir. Elbette donanımın fiziksel güvenliğini sağlarken yedeklerin fiziksel güvenliğini de göz ardı etmemek gerekir. Yine korunan bilginin değerine göre, birden fazla yedek tutmak, ve hatta tutulan iki yedek kopyanın aynı yerde tutulmaması gibi yordamları da oluşturabilirsiniz (bazı durumlarda bu iki yedek kopyanın aynı şehirde veya aynı deprem kuşağında bulundurulmaması da rastlanan güvenlik önlemleri arasındadır).
Bütün bu savunma yollarını belirleyip karar vermek, ve denetimlerin uygulandığından emin olmak bir güvenlik politikası hazırlamak ile mümkündür. Aslında herhangi bir kurum/kuruluşun güvenliğini ve güvenilirliğini sağlamak bir güvenlik politikası hazırlamak ile başlar. Bu konuda kanunlar çoğu durumda yetersiz kalır, çünkü kanunlar teknolojik gelişmeye oranla daha yavaş kalır. Etik kurallar oluşturulabilir, fakat etik kuralların da tek başına yaptırım gücü yoktur, ya da çok azdır, çünkü bu kurallar her şeyden önce resmi kurallar değildirler. Dolayısıyla, güvenlik politikası hazırlamak, hazırlanan güvenlik politikasına uygun yordamlar oluşturmak güvenliği oluşturmada ilk adımdır.
Özet olarak, güvenlik politikanız yoksa güvenliğiniz yok demektir.
Etkili Savunma Denetimi Oluşturma
Yukarıda bahsedildiği gibi savunma ilk adımı bir güvenlik politikasının oluşturulmasıdır. Fakat güvenlik politikasının ve savunmaya yönelik diğer güvenlik denetimlerinin güvenliği sağlamada etkili olabilmesi için bir kaç noktayı akıldan çıkarmamak gerekir.
Bunlardan ilki, ve bütün güvenliğin temeli, sorunun farkında olmaktır. Güvenliği sağlamak bir sorundur, ve bu sorunun farkında olmak, çözüme yönelik atılacak ilk adımdır. Sadece kullanıcı veya sistem yönetimi bazında değil, idari yönetim bazında da sorunun farkına varma, ve çözüme yönelik eylemler için katkıda bulunma isteği tabanı oluşturulmadan, bilişim teknolojileri unsurlarının güvenliğini sağlamak mümkün değildir. Sorunun anlaşılması, aynı zamanda çözüm için gereken bir başka şeyi de kolaylaştırır: işbirliği. Herhangi bir kurum/kuruluşta güvenliği sağlamak için kullanıcıların, sistem/güvenlik yöneticilerinin ve idari yönetimin işbirliği içinde olması şarttır. İşbirliği içinde oluşturulan savunma denetimleri her zaman daha etkilidir.
Elbette savunmaya yönelik denetim oluştururken, kullanılabilecek denetim oluşturmaya özen göstermek gerekir. Kullanıcıların çabucak anlayabileceği, ve uygulayabilmek için istekli olacakları denetimler oluşturulmadığı sürece, bu denetimler kağıt üzerinde kalacak, ve hayata geçirilmesinde başarı sağlanamayacaktır. Abartılı bir örnek vermek gerekirse, kullanıcıların 2 günde bir parolalarını değiştirmelerini öngören bir kuralın, uygulanamayacağı nerdeyse kesindir.
Son olarak, oluşturulan denetimlerin düzenli aralıklarla gözden geçirilmesi, aksayan noktaların bulunması ve düzeltilmesi, yani savunma denetimlerinin kendisinin düzenli aralıklarla denetlenmesi, gerektiği durumlarda yenilenmesi, ekleme veya çıkarma yapılması, bilişim güvenliğine yönelik oluşturulan denetimlerin teknolojinin gerisinde kalmaması açısından son derece önemlidir.
Güvenlik, örneğin kurulan bir program, veya bir defaya mahsus alınması gereken bir kaç önlemler topluluğu değildir. Herhangi bir sistem için "güvenliği sağlandı, artık yapılması gereken bir şey yok" denemez. Güvenlik, içinde sürekliliği taşır. Güvenliğin kendisi bir süreçtir, üstelik oldukça uzun bir süreçtir. Güvenlik, ne kadar sürekli denetim altında tutulması gereken bir olgu olarak anlaşılırsa, bilişim sistemlerinin güvenliğini korumada oluşturulacak savunma denetimleri de o kadar etkili olur.
Bilişim Teknolojileri, şimdiye tek hızla gelişmiş, şu anda hızla gelişen, ve gelecekte de hızla gelişmeye devam edecek gibi görünen konuları içerir. Temel güvenlik kavramlarını anlamak ve benimsemek, bu hıza ayak uydurabilmek açısından son derece önemli. Bugün bir ateşduvarı, bir antivirüs yazılımı, veya basit şifreleme kullanımı, bir çok kişisel bilgisayarın veya sunucunun güvenliğini sağlamada etkili birer denetim olabilir, fakat bu yarın da aynı derecede etkili olacaklarının garantisi değildir.
Bilginin güvenliğini sağlamak ve özellikle hızlı teknoloji ile değişen şartlara uygun araç ve savunma denetimlerini belirleyebilmek için, temel bilgi güvenliği kavramlarının iyi anlaşılması ve yerleştirilmesi, şimdi olduğu kadar, gelecekte de önemini korumaya devam edecek gibi görünmektedir.
Tufan KARADERE
Kaynak