Güvenlik Dedikleri

0
anonim
Aşağıdaki yazı uzun zamandır güvenlikle ilgili gördüğüm en güzel belgelerden biri. Hiç bir teknik konu içermemesine karşın güvenlik felsefesini kavratmak amacıyla yazılmış ve amacına ulaşan bir belge. tbase.gen.tr sitesinin forumlarında gördüğüm bu yazıyı FM camiası ile de paylaşmak istedim:

Son yılların en gözde terimleri: İnternet, bilgi, hızlı ve kolay erişim, teknoloji… Her şey her yerde ve her şey çok kolay… Peki ya size ait birşeyler varsa ve öyle kalmasını istiyorsanız? İşte o zaman işiniz gerçekten zorlaşıyor. Herşeyin kolay olması için yaptığınız o kadar uğraşın çok daha fazlasını özel bilgilerin gizli kalması için vermek zorundasınız. Çünkü herkesin bildiği gibi yasak olan şeyler daha tatlıdır ve sizin yapılmasını istemedikleriniz başkalarının hedefleridir…
Burada güvenlik konuları devreye girmeye başlar. Peki bu güvenlik denilen şey nedir? “Kolay birşey ise hemen bizde yapalım”, “Bizim şirketimiz en iyisine layık, en iyisini alıp koyalım” ya da “Tamam; siz güvenlik için bize ne almamızı tavsiye ediyorsunuz” gibi milli mantığımıza uyar mı bu güvenlik? Hâlâ bu şekilde düşünenler varsa onlara kötü haberlerimiz olacak…

Seminerlerde, yazılarda kimi zaman güvenliğin bir proje değil bir süreç olduğunu görmüş olabilirsiniz. Bu ileri seviyedeki ülkeler için doğru bir tanım olabilir. Ancak kendi ülkemizde deneyimlerimize baktığımızda daha farklı şeyler görüyoruz. Gelin örnekler üzerinde durumu anlamaya çalışalım.

Genel olarak en gizli bilgiler, üst düzey yöneticiler tarafından bilinir ve kullanılır. Sistemlerin çalışmasını sağlayan teknik elemanlar için ise sistem önemlidir ve devamını sağlamakla yükümlüdürler. Ancak onlar, orada var olan bilgilerin istemsiz kullanımları sonucunda şirketin iflas edebileceğini bilemeyebilirler. Bu nedenle teknik elemanların ve üst düzey yöneticilerin olduğu bir çalışma grubu içerisinde sistemlerin işe olan etkileri ve riskleri araştırıldığında ortaya çıkan durum bize güvenliğin ilk faydalarını gösteriyor. Yönetim kadrosuna elektronik sistemlerin değerini ve hayatlarının pamuk ipliğine bağlı olduğunu gösterirken, teknik insanlara da yaptıkları işin değerini göstermektedir. Böylece teknik insanlar şirketleri için kendi bilgilerinin önemini, daha iyi teknik bilgiye ulaşmanın yaratacağı etkileri görmekte, dolayısıyla motivasyonları artmaktadır. Bu mantık, bir denetim ile diğer çalışanlara da aktarılabilir ve çalışanlara, şirketlerinin değerli bilgilerine sahip oldukları gösterilebilir. Böylece herkesin sorumluluğundaki işi daha çok sahiplenmesi de sağlanabilir. Bilgi güvenliği için politikalar oluşturarak bu durumun sürekli olması da sağlanmış olur.

Politikaların görevi sadece motivasyonun sürekli olmasını sağlamak değildir, elbette. Bu onların ancak yan faydalarından biridir. Politikalar aslında güvenliğin temelidir. Biliyorsunuz bilgi, bankaların en önemli varlığıdır. Bankalar tüm müşterilerinin en gizli bilgilerini herkesten saklamak zorundadırlar. Bu nedenle güvenliği sağlayabilmek için hiçbir harcamadan kaçınmazlar. Bilgi güvenliğinin sağlanması için her türlü şeyi alıp, kurup, sürekli çalışır durumda tutabilirler. İşte böyle bir banka düşünün. Teknik elemanlarının bildikleri her tür önlemi almış olsunlar. Doğal olarak onların da internet bağlantılarındaki ilk korunma cephesi olan ateş duvarlarıdır (firewall). Ancak bu ateş duvarının kurulumu sırasında kitap izlenmiştir ve ateş duvarının kullanıcı adı ve şifresi kitaptakinin aynısı olarak kalmıştır. Hem böylece tüm ekip elemanları, kullanıcı adı ya da şifreyi unutsalar bile kolaylıkla bularak sisteme girebilirler. Tıpkı kullanıcı adı ve şifre deneyen programlar gibi… Internet’ten kolayca indirilebilecek bu programlar kullanıcı adı ve şifrelerini yakaladıkları anda, ki bu saniyeler ile sınırlıdır, tüm müşterilerin bilgileri istenmeyen ellere teslim edilmiş olacaktır. Oysa bu güvenlik elemanları için izleyebilecekleri bir politika olsa hiç zorluk çekilmeyecektir ve böyle bir olayın olma olasılığı ortadan kaldırılmış olacaktır.

Bir başka örnek daha verebiliriz. Yine aynı şekilde yapılanmış bir uluslararası firmada ise kullanıcı adı ve şifreler tahmin edilmesi oldukça zor bir şekilde verilmiş olabilir. Bu durumda herşeyi yapmış insanların rahatlığıyla ile arkamıza yaslanabilir miyiz? İnsan faktörünü hesaba katmadan hayır… Sözgelimi yukarıdaki gibi bir işyerinde, firma dışı insanların, misafirlerin bulunduğu bir ortamda, misafirlere “ayıp olmasın” diye düşünürek, onların yanında kullanıcı adı ve şifre yazılabiliyorsa, şirketinizin içine kale kuruyor olsanız bile birşey değişmeyecektir. Çünkü kaleyle birlikte anahtarları da misafirlere veriyor olursunuz. Anahtarla içeriye girebilecek yetki de verilmiş olacağından, herhangi bir sistemde olumsuz bir durum da görülmüyor olacaktır. Ve böylece istenmeyen kişiler istedikleri gibi hareket etme yetisinde olabilirler. Tıpkı yukarıdaki örnekte olduğu gibi, yazılı politikalar olsaydı, herhangi bir düşünce ya da düşüncesizlik olma durumu olmadan kendinizi koruyacak konumda olabilirsiniz. Sanırım asıl istenen de budur…

Bu durumda soru şu hale gelir: Güvenliğin öyle birkaç parça eşya alır gibi birşey olmadığını öğrendik; peki kendimizi nasıl güvende hissedebiliriz? Bu sorunun cevabı basit: Hiçbir şekilde! Ne yazık ki elektronik ortamdaki saldırılar, normal dünyadakinden fazladır. Bu durumda yapılacak şey bu saldırganlara karşı mümkün olduğunca zorlu bir parkur oluşturmaktır. Sadece vazgeçmelerini sağlamak zorundasınız. Tıpkı uzak doğu savunma sporları gibi, saldırganı kendi gücü ile yormalısınız. Bunu yaparken alacağınız en iyi karar, uzman yardımı almaktır.

Nasıl ki savunma sporlarında öncelikle işin felsefesini öğretip, ufak tefek ısınma hareketleri yaptırılırsa aynı şekilde davranmalısınız. Önce güvenlik felsefesini, bunu yapacak insanlara öğretmelisiniz. Bunun için bilgi güvenliği denetimleri ile açıklarınızı ortaya çıkarmalı, şirketinize özel politikaları oluşturmalısınız. Sistemi yaşatacak kullanıcılar güvenlik felsefesini öğrenirken kendilerinin önemini de algılayacaklardır.

Bundan sonra teknik gelişim gündeme gelir. Sizden daha iyi teknik bilen bir saldırganla başetmeniz çok güçtür, bu nedenle teknik açıklarınızı kapatmalısınız. Sıkı çalışmalı ve her zayıf noktanızı geliştirmelisiniz. Gerekiyorsa bu noktaları korumak için ayrı araç gereç kullanabilirsiniz. Ancak bu araç gereç sizi yormamalı, yavaşlatmamalı, canınızı acıtmamalı ya da üzerinizde başka birinin giysisi gibi durmamalıdır. Tam size göre olmalıdır. Sizin hareketlerinizle, sistemlerinizle uyumlu olmalıdır. Bunun için aynı işi yapan bir sürü araç gereçten size uyacak ve kaliteli olanı seçmelisiniz. Unutmayın ki kalitesiz bir silah saldırıların tam ortasında ondan beklediğiniz işi yapamayabilir.

Tüm bu teknik gelişim alındıktan sonra, bunları her ortam ve her koşulda kullanabilir hale gelmelisiniz. Bilmediğiniz birilerini kendi ortamınıza alırken ya da sizden çok daha büyük ortamlara girdiğinizde bu yetilere hâlâ sahip olduğunuzu unutmamalı, kendi felsefenizi korumalısınız; ta ki sizden daha iyi birilerini görünceye kadar. Ancak o zamana kadar inanın ki sizin felsefeniz gelişmiş ve herkes bunu hayata geçirmiş olacaktır. Herkes kendi bilgilerinin ya da sahibi olduğu sistemlerin bir parçasının güvenlik olduğunu biliyor ve bunu istemli bir şekilde yönetebiliyor olacaktır. Bu şekilde varolan ve kendi kendini yönetebilen bir sistem, sizin ve şirketinizin değerini ve saygınlığını diğerlerine oranla artıracaktır. Ticaret ve hizmette istenilen fark da budur işte…

İşte herşeyi yaptınız! Daha fazla yapacak birşey kalmadı! Sizin ve çevrenizdekilerin bildiği herşeyi hayata geçirdiniz! Artık rahatlıkla koltuğunuza gömülebilirsiniz, her an herşeye hazır bir halde! Ama hayır, henüz yerinize oturmayın; son bir iş kaldı. O da gerçek bir saldırganla karşı karşıya gelmek ve sahip olduğunuz herşeyi kullanmak! Bunun için de beklemenize gerek yok, bir saldırgan ile anlaşmalı olarak yaptıklarınızı test etmesini isteyebilirsiniz. Ya da başka bir deyişle kendinizi savunmayı ne kadar iyi öğrendiğinizi görmelisiniz. Yine de benden size tavsiye kendinize çok güvenmeyin…

Daha önce de dediğimiz gibi bunları yaparken alacağınız en doğru ve iyi karar, uzman birilerinin yardımını almaktır. Çünkü şirketiniz içerisinde bu işlerle uğraşan kişiler genellikle günlük işlerin bombardımanı içerisinde kalmaktadırlar. Bu ekibin bilgilerini ve olaya sahip olmalarını kullanarak daha objektif ve geniş bir bakış açısı ile hareket etmek her zaman daha iyi sonuçlar vermiştir. Burada dikkat edilecek konu, getirilecek sistemin Avrupa’da ya da Amerika’da bir şirkete değil, Türkiye içerisinde bir şirkete getirileceğinin unutulmamasıdır. Kültürel farklar nedeni ile kullanılmayacak bir harikaya paralar harcayıp çerçeveleyip duvara asmaktansa, kullanılabilen verimli bir sisteme, belki de daha fazla para ödenmesi tercih edilmelidir. Akıldan çıkarılmaması gereken tek şey standartların uluslararası olduğudur.

Yukarıdaki örneklerden ve anlatımdan görülebileceği gibi güvenlik aslında bir süreç değil, bizim için bir “uyanış”tır. Tıpkı günler önceden hazırlıklarını tamamladığınız, heyecanı içinizi saran, günün ilk ışıkları ve sevdiklerinizle birlikte yollara düşüp uzun bir tatile çıkacağınız o günün sabahındaki gibi...

Kaynak: tbase

İlgili Yazılar

Windows 2000´e Güvenlik Ödülü (nasıl yani?)

anonim

Microsoft Windows 2000, Information Technology Security Evaluation for Common Criteria (Bilgi Teknolojileri Güvenlik Değerlendirmesi Ortak Kriterleri) tarafından belirlenen standartlara göre, bugüne kadar bir işletim sisteminin hayata geçirdiği en geniş çaptaki gerçek yaşam senaryoları nedeniyle Common Criteria Sertifikası almaya hak kazandı.

Nessus 3 çıktı

darkhunter

Bilinen en iyi zayıflık tarama araçlarından biri olan Nessus'un, 3'üncü versiyonu geçtiğimiz günlerde duyuruldu.

Nessus'un yeni sürümü şu an için sadece FreeBSD ve Linux için çıktı. Windows, MacOS X ve Solaris için 2006'nın ilk ayları ön görülmekte. Hali hazırda destek verilen dağıtımlar şöyle :

Gmail Problemi(!)

e2e

Gmail'in "kişisellik"i ihlal etmesi, sınırsız disk alanı gibi özelliklerinden daha fazla tartışılmıştı. Ama tartışmalar bir süre sonra yerini tam bir sessizliğe bıraktı. Ama SecurityFocus'taki yazıdan sonra bu tartışmaların kolay kolay bitmeyeceği anlaşılıyor.

Google, mail mesajı-reklam ilişkisinde kişisel hakların gözardı edildiği, gizlilik ilkesinin yok sayıldığı eleştirilerine, "Mesajları insanlar değil, bilgisayarlar tarayacak" cevabını veriyordu. SecurityFocus'ta yazan Mark Rasch ise yazısında, "bir insan ya da insanlar tarafından yazılmış bir program; ikisi de aynı şey" diyor. Yazar, ayrıca bu tarz tarama sistemlerinin yeni bir Echelon işlevi taşıyabileceğini belirtiyor. Ve Google'ın bu politikasının ABD yasalarına da ters düştüğünü belirtiyor.

Solaris Sistemlerde Ciddi Güvenlik Açığı

FZ

Dün yayınlanan ve sadece Sun Solaris 10, Solaris 11 işletim sistemlerini etkileyen güvenlik açığı telnet servisine herhangi bir sistem kullanıcısının parolasız bağlanabilmesini sağlıyor. Eğer root kullanıcısının telnet erişim yetkisi varsa bu, parolayı bilmeden sisteme tam yetkili erişilmesi manasına geliyor. Benzer bir açık 1994 yılında bazı UNIX sistemlerinde de görülmüştü.

Güvenlik açığını nasıl test edersiniz?

Gündem: Email servisleri (ve güvenlik)

e2e

FM'nin gündemi "web tabalı e-posta" servisleriyle devam ediyorken, (FZ'nin bir yorumunda yazdığı, "kendi mail sunucunuzu kurun" önerisinden de esinlenerek) güvenli bir mail servisi kurmanın yöntemlerini öğrenmek fena olmaz.

POP destekli bir mail sunucusu için belki daha ayrıntılı bir araştırma yapmak gerekir. Ama web tabanlı bir mail servisi için gerekli güvenlik adımları Secure Web Based Mail Services başlıklı bu makaleden öğrenilebilir.