Güvenlik Dedikleri

0
anonim
Aşağıdaki yazı uzun zamandır güvenlikle ilgili gördüğüm en güzel belgelerden biri. Hiç bir teknik konu içermemesine karşın güvenlik felsefesini kavratmak amacıyla yazılmış ve amacına ulaşan bir belge. tbase.gen.tr sitesinin forumlarında gördüğüm bu yazıyı FM camiası ile de paylaşmak istedim:

Son yılların en gözde terimleri: İnternet, bilgi, hızlı ve kolay erişim, teknoloji… Her şey her yerde ve her şey çok kolay… Peki ya size ait birşeyler varsa ve öyle kalmasını istiyorsanız? İşte o zaman işiniz gerçekten zorlaşıyor. Herşeyin kolay olması için yaptığınız o kadar uğraşın çok daha fazlasını özel bilgilerin gizli kalması için vermek zorundasınız. Çünkü herkesin bildiği gibi yasak olan şeyler daha tatlıdır ve sizin yapılmasını istemedikleriniz başkalarının hedefleridir…
Burada güvenlik konuları devreye girmeye başlar. Peki bu güvenlik denilen şey nedir? “Kolay birşey ise hemen bizde yapalım”, “Bizim şirketimiz en iyisine layık, en iyisini alıp koyalım” ya da “Tamam; siz güvenlik için bize ne almamızı tavsiye ediyorsunuz” gibi milli mantığımıza uyar mı bu güvenlik? Hâlâ bu şekilde düşünenler varsa onlara kötü haberlerimiz olacak…

Seminerlerde, yazılarda kimi zaman güvenliğin bir proje değil bir süreç olduğunu görmüş olabilirsiniz. Bu ileri seviyedeki ülkeler için doğru bir tanım olabilir. Ancak kendi ülkemizde deneyimlerimize baktığımızda daha farklı şeyler görüyoruz. Gelin örnekler üzerinde durumu anlamaya çalışalım.

Genel olarak en gizli bilgiler, üst düzey yöneticiler tarafından bilinir ve kullanılır. Sistemlerin çalışmasını sağlayan teknik elemanlar için ise sistem önemlidir ve devamını sağlamakla yükümlüdürler. Ancak onlar, orada var olan bilgilerin istemsiz kullanımları sonucunda şirketin iflas edebileceğini bilemeyebilirler. Bu nedenle teknik elemanların ve üst düzey yöneticilerin olduğu bir çalışma grubu içerisinde sistemlerin işe olan etkileri ve riskleri araştırıldığında ortaya çıkan durum bize güvenliğin ilk faydalarını gösteriyor. Yönetim kadrosuna elektronik sistemlerin değerini ve hayatlarının pamuk ipliğine bağlı olduğunu gösterirken, teknik insanlara da yaptıkları işin değerini göstermektedir. Böylece teknik insanlar şirketleri için kendi bilgilerinin önemini, daha iyi teknik bilgiye ulaşmanın yaratacağı etkileri görmekte, dolayısıyla motivasyonları artmaktadır. Bu mantık, bir denetim ile diğer çalışanlara da aktarılabilir ve çalışanlara, şirketlerinin değerli bilgilerine sahip oldukları gösterilebilir. Böylece herkesin sorumluluğundaki işi daha çok sahiplenmesi de sağlanabilir. Bilgi güvenliği için politikalar oluşturarak bu durumun sürekli olması da sağlanmış olur.

Politikaların görevi sadece motivasyonun sürekli olmasını sağlamak değildir, elbette. Bu onların ancak yan faydalarından biridir. Politikalar aslında güvenliğin temelidir. Biliyorsunuz bilgi, bankaların en önemli varlığıdır. Bankalar tüm müşterilerinin en gizli bilgilerini herkesten saklamak zorundadırlar. Bu nedenle güvenliği sağlayabilmek için hiçbir harcamadan kaçınmazlar. Bilgi güvenliğinin sağlanması için her türlü şeyi alıp, kurup, sürekli çalışır durumda tutabilirler. İşte böyle bir banka düşünün. Teknik elemanlarının bildikleri her tür önlemi almış olsunlar. Doğal olarak onların da internet bağlantılarındaki ilk korunma cephesi olan ateş duvarlarıdır (firewall). Ancak bu ateş duvarının kurulumu sırasında kitap izlenmiştir ve ateş duvarının kullanıcı adı ve şifresi kitaptakinin aynısı olarak kalmıştır. Hem böylece tüm ekip elemanları, kullanıcı adı ya da şifreyi unutsalar bile kolaylıkla bularak sisteme girebilirler. Tıpkı kullanıcı adı ve şifre deneyen programlar gibi… Internet’ten kolayca indirilebilecek bu programlar kullanıcı adı ve şifrelerini yakaladıkları anda, ki bu saniyeler ile sınırlıdır, tüm müşterilerin bilgileri istenmeyen ellere teslim edilmiş olacaktır. Oysa bu güvenlik elemanları için izleyebilecekleri bir politika olsa hiç zorluk çekilmeyecektir ve böyle bir olayın olma olasılığı ortadan kaldırılmış olacaktır.

Bir başka örnek daha verebiliriz. Yine aynı şekilde yapılanmış bir uluslararası firmada ise kullanıcı adı ve şifreler tahmin edilmesi oldukça zor bir şekilde verilmiş olabilir. Bu durumda herşeyi yapmış insanların rahatlığıyla ile arkamıza yaslanabilir miyiz? İnsan faktörünü hesaba katmadan hayır… Sözgelimi yukarıdaki gibi bir işyerinde, firma dışı insanların, misafirlerin bulunduğu bir ortamda, misafirlere “ayıp olmasın” diye düşünürek, onların yanında kullanıcı adı ve şifre yazılabiliyorsa, şirketinizin içine kale kuruyor olsanız bile birşey değişmeyecektir. Çünkü kaleyle birlikte anahtarları da misafirlere veriyor olursunuz. Anahtarla içeriye girebilecek yetki de verilmiş olacağından, herhangi bir sistemde olumsuz bir durum da görülmüyor olacaktır. Ve böylece istenmeyen kişiler istedikleri gibi hareket etme yetisinde olabilirler. Tıpkı yukarıdaki örnekte olduğu gibi, yazılı politikalar olsaydı, herhangi bir düşünce ya da düşüncesizlik olma durumu olmadan kendinizi koruyacak konumda olabilirsiniz. Sanırım asıl istenen de budur…

Bu durumda soru şu hale gelir: Güvenliğin öyle birkaç parça eşya alır gibi birşey olmadığını öğrendik; peki kendimizi nasıl güvende hissedebiliriz? Bu sorunun cevabı basit: Hiçbir şekilde! Ne yazık ki elektronik ortamdaki saldırılar, normal dünyadakinden fazladır. Bu durumda yapılacak şey bu saldırganlara karşı mümkün olduğunca zorlu bir parkur oluşturmaktır. Sadece vazgeçmelerini sağlamak zorundasınız. Tıpkı uzak doğu savunma sporları gibi, saldırganı kendi gücü ile yormalısınız. Bunu yaparken alacağınız en iyi karar, uzman yardımı almaktır.

Nasıl ki savunma sporlarında öncelikle işin felsefesini öğretip, ufak tefek ısınma hareketleri yaptırılırsa aynı şekilde davranmalısınız. Önce güvenlik felsefesini, bunu yapacak insanlara öğretmelisiniz. Bunun için bilgi güvenliği denetimleri ile açıklarınızı ortaya çıkarmalı, şirketinize özel politikaları oluşturmalısınız. Sistemi yaşatacak kullanıcılar güvenlik felsefesini öğrenirken kendilerinin önemini de algılayacaklardır.

Bundan sonra teknik gelişim gündeme gelir. Sizden daha iyi teknik bilen bir saldırganla başetmeniz çok güçtür, bu nedenle teknik açıklarınızı kapatmalısınız. Sıkı çalışmalı ve her zayıf noktanızı geliştirmelisiniz. Gerekiyorsa bu noktaları korumak için ayrı araç gereç kullanabilirsiniz. Ancak bu araç gereç sizi yormamalı, yavaşlatmamalı, canınızı acıtmamalı ya da üzerinizde başka birinin giysisi gibi durmamalıdır. Tam size göre olmalıdır. Sizin hareketlerinizle, sistemlerinizle uyumlu olmalıdır. Bunun için aynı işi yapan bir sürü araç gereçten size uyacak ve kaliteli olanı seçmelisiniz. Unutmayın ki kalitesiz bir silah saldırıların tam ortasında ondan beklediğiniz işi yapamayabilir.

Tüm bu teknik gelişim alındıktan sonra, bunları her ortam ve her koşulda kullanabilir hale gelmelisiniz. Bilmediğiniz birilerini kendi ortamınıza alırken ya da sizden çok daha büyük ortamlara girdiğinizde bu yetilere hâlâ sahip olduğunuzu unutmamalı, kendi felsefenizi korumalısınız; ta ki sizden daha iyi birilerini görünceye kadar. Ancak o zamana kadar inanın ki sizin felsefeniz gelişmiş ve herkes bunu hayata geçirmiş olacaktır. Herkes kendi bilgilerinin ya da sahibi olduğu sistemlerin bir parçasının güvenlik olduğunu biliyor ve bunu istemli bir şekilde yönetebiliyor olacaktır. Bu şekilde varolan ve kendi kendini yönetebilen bir sistem, sizin ve şirketinizin değerini ve saygınlığını diğerlerine oranla artıracaktır. Ticaret ve hizmette istenilen fark da budur işte…

İşte herşeyi yaptınız! Daha fazla yapacak birşey kalmadı! Sizin ve çevrenizdekilerin bildiği herşeyi hayata geçirdiniz! Artık rahatlıkla koltuğunuza gömülebilirsiniz, her an herşeye hazır bir halde! Ama hayır, henüz yerinize oturmayın; son bir iş kaldı. O da gerçek bir saldırganla karşı karşıya gelmek ve sahip olduğunuz herşeyi kullanmak! Bunun için de beklemenize gerek yok, bir saldırgan ile anlaşmalı olarak yaptıklarınızı test etmesini isteyebilirsiniz. Ya da başka bir deyişle kendinizi savunmayı ne kadar iyi öğrendiğinizi görmelisiniz. Yine de benden size tavsiye kendinize çok güvenmeyin…

Daha önce de dediğimiz gibi bunları yaparken alacağınız en doğru ve iyi karar, uzman birilerinin yardımını almaktır. Çünkü şirketiniz içerisinde bu işlerle uğraşan kişiler genellikle günlük işlerin bombardımanı içerisinde kalmaktadırlar. Bu ekibin bilgilerini ve olaya sahip olmalarını kullanarak daha objektif ve geniş bir bakış açısı ile hareket etmek her zaman daha iyi sonuçlar vermiştir. Burada dikkat edilecek konu, getirilecek sistemin Avrupa’da ya da Amerika’da bir şirkete değil, Türkiye içerisinde bir şirkete getirileceğinin unutulmamasıdır. Kültürel farklar nedeni ile kullanılmayacak bir harikaya paralar harcayıp çerçeveleyip duvara asmaktansa, kullanılabilen verimli bir sisteme, belki de daha fazla para ödenmesi tercih edilmelidir. Akıldan çıkarılmaması gereken tek şey standartların uluslararası olduğudur.

Yukarıdaki örneklerden ve anlatımdan görülebileceği gibi güvenlik aslında bir süreç değil, bizim için bir “uyanış”tır. Tıpkı günler önceden hazırlıklarını tamamladığınız, heyecanı içinizi saran, günün ilk ışıkları ve sevdiklerinizle birlikte yollara düşüp uzun bir tatile çıkacağınız o günün sabahındaki gibi...

Kaynak: tbase

İlgili Yazılar

İlk JPEG virüsü yayınlandı !

huseyin

Microsoft'un yayınladığı ve fazlamesai sitesinde haber olan açıkta GDI kütüphanelerinde sorun olduğu açıklanmıştı.
Hiç gecikmeden birisi Usenet'e exploit yolladı. Virüsü Pazar akşamı Easynews keşfetti. Virüs hakkında ve neler yaptığına dair bilgiye http://www.easynews.com/virus.html adresinden ulaşabilirsiniz.
Resmi görüntülediğinizde uzaktan yönetim yazılımı yükleyip(winvnc veya radmin) irc'ye bağlanıyor.
Kaynak:http://it.slashdot.org/it/04/09/27/2319222.shtml?tid=172&tid=218

Kişisel Firewall Sisteminiz Dışarı Çıkışları Kontrol Eder Mi?

FZ

Internete uzun süreli bağlı olarak kalıp da ZoneAlarm, Tiny Personal Firewall, Sygate Personal Firewall, BlackICE gibi güvenlik yazılımı kullanmayanınız pek yoktur herhalde.

Gittikçe gelişen güvenlik metodolojileri kullanan bu yazılımlar sadece bilgisayarınıza giren (inbound) değil aynı zamanda bilgisayarınızdan çıkan verileri de (outbound) kontrol etmeye çalışıyorlar ki kişisel bilgileriniz, birtakım dosyalarınız, vs. sizin haberiniz olmadan birilerinin sistemine gönderilmesin.

İstanbul´da Siber Savaş (Hacking) Yarışması!

FZ

SİBER SAVAŞ OYUNLARI 2002 Başlıyor!

Sizleri, bilgisayarları korumak ya da güvenlik önlemlerini aşmak konusundaki becerilerinizi bir eğlenceye dönüştürecek "Siber Savaş Oyunları 2002"ye katılmaya davet ediyoruz.

Bilgisayar güvenliği alanındaki deneyiminizi göstermeye hazır mısınız?

19-21 Aralık 2002 tarihlerinde Istanbul Harbiye Kültür Merkezi (Askeri Müze)'de gerçekleştirilecek "VIII. Türkiye'de Internet Konferansı" (inet-tr'02) kapsamında düzenlenecek Siber Savaş Oyunları yarışmasında iki seçeneğiniz var:

"Dungeons & Dragons" ile ilişkili güvenlik riskleri

anonim

İsrail Ordusu D&D oynayan yada oynamış olan askerlere daha düşük seviye güvenlik erişim hakları verdiğini açıkladı.

"Gerçeklerden daha kopuk ve etkilenmeye daha açık oluyorlar"

Haberi okumak için buraya lütfen.

Yeni virus LoveGate´e dikkat

sametc

Bilgisayar güvenliği uzmanları, Asya ve Avrupa'da yayılmaya başlayan LoveGate adlı "worm (solucan)" türü bir bilgisayar virüsü konusunda uyardı. Tam adı LoveGate.c olan virüs, e-mail yoluyla bulaştığı sistemde bir arka kapı açarak bilgisayarda kayıtlı herşeyin güvenliğini tehlikeye atıyor.
Virüs bulaşır bulaşırmaz Pekin'deki iki e-mail adresine mesaj gönderiyor. Virüs yazarının sistemle bağlantı kurmasını sağlayan LoveGate, yazarın başkasının bilgisayarında istediği herşeyi (dosyaları silmek, kişisel bilgileri çalmak, ya da bazı uygulamaları çalıştırmak vs.) yapabilmesine neden oluyor.
E-mail'e eklenmiş LoveGate taşıyan dosyaya tıklandığında, virüs kendi kendini kopyalayarak adres defterindeki isimlere gönderebiliyor.
Anti-virüs şirketi Trend Micro yetkilileri, yayılma hızı yavaşlayan LoveGate'in dünya genelinde 10 bin bilgisayarı etkilediğini tahmin ediyor.
Kaynak:Hürriyetim