Güvenlik Dedikleri

0
anonim
Aşağıdaki yazı uzun zamandır güvenlikle ilgili gördüğüm en güzel belgelerden biri. Hiç bir teknik konu içermemesine karşın güvenlik felsefesini kavratmak amacıyla yazılmış ve amacına ulaşan bir belge. tbase.gen.tr sitesinin forumlarında gördüğüm bu yazıyı FM camiası ile de paylaşmak istedim:

Son yılların en gözde terimleri: İnternet, bilgi, hızlı ve kolay erişim, teknoloji… Her şey her yerde ve her şey çok kolay… Peki ya size ait birşeyler varsa ve öyle kalmasını istiyorsanız? İşte o zaman işiniz gerçekten zorlaşıyor. Herşeyin kolay olması için yaptığınız o kadar uğraşın çok daha fazlasını özel bilgilerin gizli kalması için vermek zorundasınız. Çünkü herkesin bildiği gibi yasak olan şeyler daha tatlıdır ve sizin yapılmasını istemedikleriniz başkalarının hedefleridir…
Burada güvenlik konuları devreye girmeye başlar. Peki bu güvenlik denilen şey nedir? “Kolay birşey ise hemen bizde yapalım”, “Bizim şirketimiz en iyisine layık, en iyisini alıp koyalım” ya da “Tamam; siz güvenlik için bize ne almamızı tavsiye ediyorsunuz” gibi milli mantığımıza uyar mı bu güvenlik? Hâlâ bu şekilde düşünenler varsa onlara kötü haberlerimiz olacak…

Seminerlerde, yazılarda kimi zaman güvenliğin bir proje değil bir süreç olduğunu görmüş olabilirsiniz. Bu ileri seviyedeki ülkeler için doğru bir tanım olabilir. Ancak kendi ülkemizde deneyimlerimize baktığımızda daha farklı şeyler görüyoruz. Gelin örnekler üzerinde durumu anlamaya çalışalım.

Genel olarak en gizli bilgiler, üst düzey yöneticiler tarafından bilinir ve kullanılır. Sistemlerin çalışmasını sağlayan teknik elemanlar için ise sistem önemlidir ve devamını sağlamakla yükümlüdürler. Ancak onlar, orada var olan bilgilerin istemsiz kullanımları sonucunda şirketin iflas edebileceğini bilemeyebilirler. Bu nedenle teknik elemanların ve üst düzey yöneticilerin olduğu bir çalışma grubu içerisinde sistemlerin işe olan etkileri ve riskleri araştırıldığında ortaya çıkan durum bize güvenliğin ilk faydalarını gösteriyor. Yönetim kadrosuna elektronik sistemlerin değerini ve hayatlarının pamuk ipliğine bağlı olduğunu gösterirken, teknik insanlara da yaptıkları işin değerini göstermektedir. Böylece teknik insanlar şirketleri için kendi bilgilerinin önemini, daha iyi teknik bilgiye ulaşmanın yaratacağı etkileri görmekte, dolayısıyla motivasyonları artmaktadır. Bu mantık, bir denetim ile diğer çalışanlara da aktarılabilir ve çalışanlara, şirketlerinin değerli bilgilerine sahip oldukları gösterilebilir. Böylece herkesin sorumluluğundaki işi daha çok sahiplenmesi de sağlanabilir. Bilgi güvenliği için politikalar oluşturarak bu durumun sürekli olması da sağlanmış olur.

Politikaların görevi sadece motivasyonun sürekli olmasını sağlamak değildir, elbette. Bu onların ancak yan faydalarından biridir. Politikalar aslında güvenliğin temelidir. Biliyorsunuz bilgi, bankaların en önemli varlığıdır. Bankalar tüm müşterilerinin en gizli bilgilerini herkesten saklamak zorundadırlar. Bu nedenle güvenliği sağlayabilmek için hiçbir harcamadan kaçınmazlar. Bilgi güvenliğinin sağlanması için her türlü şeyi alıp, kurup, sürekli çalışır durumda tutabilirler. İşte böyle bir banka düşünün. Teknik elemanlarının bildikleri her tür önlemi almış olsunlar. Doğal olarak onların da internet bağlantılarındaki ilk korunma cephesi olan ateş duvarlarıdır (firewall). Ancak bu ateş duvarının kurulumu sırasında kitap izlenmiştir ve ateş duvarının kullanıcı adı ve şifresi kitaptakinin aynısı olarak kalmıştır. Hem böylece tüm ekip elemanları, kullanıcı adı ya da şifreyi unutsalar bile kolaylıkla bularak sisteme girebilirler. Tıpkı kullanıcı adı ve şifre deneyen programlar gibi… Internet’ten kolayca indirilebilecek bu programlar kullanıcı adı ve şifrelerini yakaladıkları anda, ki bu saniyeler ile sınırlıdır, tüm müşterilerin bilgileri istenmeyen ellere teslim edilmiş olacaktır. Oysa bu güvenlik elemanları için izleyebilecekleri bir politika olsa hiç zorluk çekilmeyecektir ve böyle bir olayın olma olasılığı ortadan kaldırılmış olacaktır.

Bir başka örnek daha verebiliriz. Yine aynı şekilde yapılanmış bir uluslararası firmada ise kullanıcı adı ve şifreler tahmin edilmesi oldukça zor bir şekilde verilmiş olabilir. Bu durumda herşeyi yapmış insanların rahatlığıyla ile arkamıza yaslanabilir miyiz? İnsan faktörünü hesaba katmadan hayır… Sözgelimi yukarıdaki gibi bir işyerinde, firma dışı insanların, misafirlerin bulunduğu bir ortamda, misafirlere “ayıp olmasın” diye düşünürek, onların yanında kullanıcı adı ve şifre yazılabiliyorsa, şirketinizin içine kale kuruyor olsanız bile birşey değişmeyecektir. Çünkü kaleyle birlikte anahtarları da misafirlere veriyor olursunuz. Anahtarla içeriye girebilecek yetki de verilmiş olacağından, herhangi bir sistemde olumsuz bir durum da görülmüyor olacaktır. Ve böylece istenmeyen kişiler istedikleri gibi hareket etme yetisinde olabilirler. Tıpkı yukarıdaki örnekte olduğu gibi, yazılı politikalar olsaydı, herhangi bir düşünce ya da düşüncesizlik olma durumu olmadan kendinizi koruyacak konumda olabilirsiniz. Sanırım asıl istenen de budur…

Bu durumda soru şu hale gelir: Güvenliğin öyle birkaç parça eşya alır gibi birşey olmadığını öğrendik; peki kendimizi nasıl güvende hissedebiliriz? Bu sorunun cevabı basit: Hiçbir şekilde! Ne yazık ki elektronik ortamdaki saldırılar, normal dünyadakinden fazladır. Bu durumda yapılacak şey bu saldırganlara karşı mümkün olduğunca zorlu bir parkur oluşturmaktır. Sadece vazgeçmelerini sağlamak zorundasınız. Tıpkı uzak doğu savunma sporları gibi, saldırganı kendi gücü ile yormalısınız. Bunu yaparken alacağınız en iyi karar, uzman yardımı almaktır.

Nasıl ki savunma sporlarında öncelikle işin felsefesini öğretip, ufak tefek ısınma hareketleri yaptırılırsa aynı şekilde davranmalısınız. Önce güvenlik felsefesini, bunu yapacak insanlara öğretmelisiniz. Bunun için bilgi güvenliği denetimleri ile açıklarınızı ortaya çıkarmalı, şirketinize özel politikaları oluşturmalısınız. Sistemi yaşatacak kullanıcılar güvenlik felsefesini öğrenirken kendilerinin önemini de algılayacaklardır.

Bundan sonra teknik gelişim gündeme gelir. Sizden daha iyi teknik bilen bir saldırganla başetmeniz çok güçtür, bu nedenle teknik açıklarınızı kapatmalısınız. Sıkı çalışmalı ve her zayıf noktanızı geliştirmelisiniz. Gerekiyorsa bu noktaları korumak için ayrı araç gereç kullanabilirsiniz. Ancak bu araç gereç sizi yormamalı, yavaşlatmamalı, canınızı acıtmamalı ya da üzerinizde başka birinin giysisi gibi durmamalıdır. Tam size göre olmalıdır. Sizin hareketlerinizle, sistemlerinizle uyumlu olmalıdır. Bunun için aynı işi yapan bir sürü araç gereçten size uyacak ve kaliteli olanı seçmelisiniz. Unutmayın ki kalitesiz bir silah saldırıların tam ortasında ondan beklediğiniz işi yapamayabilir.

Tüm bu teknik gelişim alındıktan sonra, bunları her ortam ve her koşulda kullanabilir hale gelmelisiniz. Bilmediğiniz birilerini kendi ortamınıza alırken ya da sizden çok daha büyük ortamlara girdiğinizde bu yetilere hâlâ sahip olduğunuzu unutmamalı, kendi felsefenizi korumalısınız; ta ki sizden daha iyi birilerini görünceye kadar. Ancak o zamana kadar inanın ki sizin felsefeniz gelişmiş ve herkes bunu hayata geçirmiş olacaktır. Herkes kendi bilgilerinin ya da sahibi olduğu sistemlerin bir parçasının güvenlik olduğunu biliyor ve bunu istemli bir şekilde yönetebiliyor olacaktır. Bu şekilde varolan ve kendi kendini yönetebilen bir sistem, sizin ve şirketinizin değerini ve saygınlığını diğerlerine oranla artıracaktır. Ticaret ve hizmette istenilen fark da budur işte…

İşte herşeyi yaptınız! Daha fazla yapacak birşey kalmadı! Sizin ve çevrenizdekilerin bildiği herşeyi hayata geçirdiniz! Artık rahatlıkla koltuğunuza gömülebilirsiniz, her an herşeye hazır bir halde! Ama hayır, henüz yerinize oturmayın; son bir iş kaldı. O da gerçek bir saldırganla karşı karşıya gelmek ve sahip olduğunuz herşeyi kullanmak! Bunun için de beklemenize gerek yok, bir saldırgan ile anlaşmalı olarak yaptıklarınızı test etmesini isteyebilirsiniz. Ya da başka bir deyişle kendinizi savunmayı ne kadar iyi öğrendiğinizi görmelisiniz. Yine de benden size tavsiye kendinize çok güvenmeyin…

Daha önce de dediğimiz gibi bunları yaparken alacağınız en doğru ve iyi karar, uzman birilerinin yardımını almaktır. Çünkü şirketiniz içerisinde bu işlerle uğraşan kişiler genellikle günlük işlerin bombardımanı içerisinde kalmaktadırlar. Bu ekibin bilgilerini ve olaya sahip olmalarını kullanarak daha objektif ve geniş bir bakış açısı ile hareket etmek her zaman daha iyi sonuçlar vermiştir. Burada dikkat edilecek konu, getirilecek sistemin Avrupa’da ya da Amerika’da bir şirkete değil, Türkiye içerisinde bir şirkete getirileceğinin unutulmamasıdır. Kültürel farklar nedeni ile kullanılmayacak bir harikaya paralar harcayıp çerçeveleyip duvara asmaktansa, kullanılabilen verimli bir sisteme, belki de daha fazla para ödenmesi tercih edilmelidir. Akıldan çıkarılmaması gereken tek şey standartların uluslararası olduğudur.

Yukarıdaki örneklerden ve anlatımdan görülebileceği gibi güvenlik aslında bir süreç değil, bizim için bir “uyanış”tır. Tıpkı günler önceden hazırlıklarını tamamladığınız, heyecanı içinizi saran, günün ilk ışıkları ve sevdiklerinizle birlikte yollara düşüp uzun bir tatile çıkacağınız o günün sabahındaki gibi...

Kaynak: tbase

İlgili Yazılar

Röportaj: Kıvılcım Hindistan

sundance

Sevgili meslektaşım Huzeyfe Önal, sağolsun NetSec Güvenlik Bülteni'nin bu sayısında benle röportaj yapmak istemiş.

NetSec Bülteni'nin şimdiye kadar ki bütün sayıları için için Life Over Ip'e bakabilirsiniz.

NGB: Kısaca kendinizden bahsedebilir misiniz?

Kıvılcım HİNDİSTAN: Merhaba. Adım Kıvılcım Hindistan. Kadıköy Anadolu Lisesi ve ITÜ Mimarlık Fakültesi mezunuyum. Fazlamesai.net sitesinin kurucularından biriyim.

Netsec Güvenlik Bülteni: Sayı 30 – 18.07.2010

anonim

Netsec ağ ve bilgi güvenliği listesi üyeleri tarafından hazırlanan güvenlik bülteninin 30. sayısı çıktı.

MS Windows İçin Açık Kodlu Antivirüs Yazılımı - ClamWin

ebola

Siz de benim gibi bir işyerinde istemeyerek de olsa MS Windows sistem yöneticiliği yapıyorsanız eminim virusler en önemli sorunlarınızdandır. İşyeriniz her sene "kapalı kodlu" yazılımlara dünyanın parasını saymaktadır.

Pek çok şeyin bir açık kodlu çözümü var ama bu antivirüs meselesinin yok diyorsanız yanılıyorsunuz. Eski dost ClamAV'nin MS Windows sürümü var. Adı ClamWin. Ben test amacı ile bir iki makineye kurdum ilk izlenimlerim olumlu, size de tavsiye ediyorum.

Gmail Kırıldı

sonereker

Buradan orjinal dökümana ulaşılabilir.

Google bu durumun muhtemel saldırgana bilgi veren kullanıcılar için geçerli olduğunu savundu. Açık kapatıldı, Google bu durum üzerine resmi bir açıklama yapmadı ve Full-disclosure'da da aynı sitede yakında yayınlanacak olan --tüm online banka sistemlerinin barındırdığı- benzer türde bir açığın duyurusu yapıldı :)

Güvenlik uzmanlarına göre kullanılan sistemlerin %98'inde benzer türde rapor edilmemiş açıklar mevcut.

NetSec Topluluğu Ankara Buluşması - 7 Kasım 2010

anonim

7 Kasım’da Labris Teknoloji sponsorluğunda, Ankara EMO’nun ev sahipliğinde Ankara’lı NetSec üyeleriyle bir buluşma toplantısı düzenliyoruz. Vakti olan ve bu güvenlik dünyasının insanları nasıl şeylermiş diye merak eden tüm herkes davetlidir.