Güvenlik Dedikleri

0
anonim
Aşağıdaki yazı uzun zamandır güvenlikle ilgili gördüğüm en güzel belgelerden biri. Hiç bir teknik konu içermemesine karşın güvenlik felsefesini kavratmak amacıyla yazılmış ve amacına ulaşan bir belge. tbase.gen.tr sitesinin forumlarında gördüğüm bu yazıyı FM camiası ile de paylaşmak istedim:

Son yılların en gözde terimleri: İnternet, bilgi, hızlı ve kolay erişim, teknoloji… Her şey her yerde ve her şey çok kolay… Peki ya size ait birşeyler varsa ve öyle kalmasını istiyorsanız? İşte o zaman işiniz gerçekten zorlaşıyor. Herşeyin kolay olması için yaptığınız o kadar uğraşın çok daha fazlasını özel bilgilerin gizli kalması için vermek zorundasınız. Çünkü herkesin bildiği gibi yasak olan şeyler daha tatlıdır ve sizin yapılmasını istemedikleriniz başkalarının hedefleridir…
Burada güvenlik konuları devreye girmeye başlar. Peki bu güvenlik denilen şey nedir? “Kolay birşey ise hemen bizde yapalım”, “Bizim şirketimiz en iyisine layık, en iyisini alıp koyalım” ya da “Tamam; siz güvenlik için bize ne almamızı tavsiye ediyorsunuz” gibi milli mantığımıza uyar mı bu güvenlik? Hâlâ bu şekilde düşünenler varsa onlara kötü haberlerimiz olacak…

Seminerlerde, yazılarda kimi zaman güvenliğin bir proje değil bir süreç olduğunu görmüş olabilirsiniz. Bu ileri seviyedeki ülkeler için doğru bir tanım olabilir. Ancak kendi ülkemizde deneyimlerimize baktığımızda daha farklı şeyler görüyoruz. Gelin örnekler üzerinde durumu anlamaya çalışalım.

Genel olarak en gizli bilgiler, üst düzey yöneticiler tarafından bilinir ve kullanılır. Sistemlerin çalışmasını sağlayan teknik elemanlar için ise sistem önemlidir ve devamını sağlamakla yükümlüdürler. Ancak onlar, orada var olan bilgilerin istemsiz kullanımları sonucunda şirketin iflas edebileceğini bilemeyebilirler. Bu nedenle teknik elemanların ve üst düzey yöneticilerin olduğu bir çalışma grubu içerisinde sistemlerin işe olan etkileri ve riskleri araştırıldığında ortaya çıkan durum bize güvenliğin ilk faydalarını gösteriyor. Yönetim kadrosuna elektronik sistemlerin değerini ve hayatlarının pamuk ipliğine bağlı olduğunu gösterirken, teknik insanlara da yaptıkları işin değerini göstermektedir. Böylece teknik insanlar şirketleri için kendi bilgilerinin önemini, daha iyi teknik bilgiye ulaşmanın yaratacağı etkileri görmekte, dolayısıyla motivasyonları artmaktadır. Bu mantık, bir denetim ile diğer çalışanlara da aktarılabilir ve çalışanlara, şirketlerinin değerli bilgilerine sahip oldukları gösterilebilir. Böylece herkesin sorumluluğundaki işi daha çok sahiplenmesi de sağlanabilir. Bilgi güvenliği için politikalar oluşturarak bu durumun sürekli olması da sağlanmış olur.

Politikaların görevi sadece motivasyonun sürekli olmasını sağlamak değildir, elbette. Bu onların ancak yan faydalarından biridir. Politikalar aslında güvenliğin temelidir. Biliyorsunuz bilgi, bankaların en önemli varlığıdır. Bankalar tüm müşterilerinin en gizli bilgilerini herkesten saklamak zorundadırlar. Bu nedenle güvenliği sağlayabilmek için hiçbir harcamadan kaçınmazlar. Bilgi güvenliğinin sağlanması için her türlü şeyi alıp, kurup, sürekli çalışır durumda tutabilirler. İşte böyle bir banka düşünün. Teknik elemanlarının bildikleri her tür önlemi almış olsunlar. Doğal olarak onların da internet bağlantılarındaki ilk korunma cephesi olan ateş duvarlarıdır (firewall). Ancak bu ateş duvarının kurulumu sırasında kitap izlenmiştir ve ateş duvarının kullanıcı adı ve şifresi kitaptakinin aynısı olarak kalmıştır. Hem böylece tüm ekip elemanları, kullanıcı adı ya da şifreyi unutsalar bile kolaylıkla bularak sisteme girebilirler. Tıpkı kullanıcı adı ve şifre deneyen programlar gibi… Internet’ten kolayca indirilebilecek bu programlar kullanıcı adı ve şifrelerini yakaladıkları anda, ki bu saniyeler ile sınırlıdır, tüm müşterilerin bilgileri istenmeyen ellere teslim edilmiş olacaktır. Oysa bu güvenlik elemanları için izleyebilecekleri bir politika olsa hiç zorluk çekilmeyecektir ve böyle bir olayın olma olasılığı ortadan kaldırılmış olacaktır.

Bir başka örnek daha verebiliriz. Yine aynı şekilde yapılanmış bir uluslararası firmada ise kullanıcı adı ve şifreler tahmin edilmesi oldukça zor bir şekilde verilmiş olabilir. Bu durumda herşeyi yapmış insanların rahatlığıyla ile arkamıza yaslanabilir miyiz? İnsan faktörünü hesaba katmadan hayır… Sözgelimi yukarıdaki gibi bir işyerinde, firma dışı insanların, misafirlerin bulunduğu bir ortamda, misafirlere “ayıp olmasın” diye düşünürek, onların yanında kullanıcı adı ve şifre yazılabiliyorsa, şirketinizin içine kale kuruyor olsanız bile birşey değişmeyecektir. Çünkü kaleyle birlikte anahtarları da misafirlere veriyor olursunuz. Anahtarla içeriye girebilecek yetki de verilmiş olacağından, herhangi bir sistemde olumsuz bir durum da görülmüyor olacaktır. Ve böylece istenmeyen kişiler istedikleri gibi hareket etme yetisinde olabilirler. Tıpkı yukarıdaki örnekte olduğu gibi, yazılı politikalar olsaydı, herhangi bir düşünce ya da düşüncesizlik olma durumu olmadan kendinizi koruyacak konumda olabilirsiniz. Sanırım asıl istenen de budur…

Bu durumda soru şu hale gelir: Güvenliğin öyle birkaç parça eşya alır gibi birşey olmadığını öğrendik; peki kendimizi nasıl güvende hissedebiliriz? Bu sorunun cevabı basit: Hiçbir şekilde! Ne yazık ki elektronik ortamdaki saldırılar, normal dünyadakinden fazladır. Bu durumda yapılacak şey bu saldırganlara karşı mümkün olduğunca zorlu bir parkur oluşturmaktır. Sadece vazgeçmelerini sağlamak zorundasınız. Tıpkı uzak doğu savunma sporları gibi, saldırganı kendi gücü ile yormalısınız. Bunu yaparken alacağınız en iyi karar, uzman yardımı almaktır.

Nasıl ki savunma sporlarında öncelikle işin felsefesini öğretip, ufak tefek ısınma hareketleri yaptırılırsa aynı şekilde davranmalısınız. Önce güvenlik felsefesini, bunu yapacak insanlara öğretmelisiniz. Bunun için bilgi güvenliği denetimleri ile açıklarınızı ortaya çıkarmalı, şirketinize özel politikaları oluşturmalısınız. Sistemi yaşatacak kullanıcılar güvenlik felsefesini öğrenirken kendilerinin önemini de algılayacaklardır.

Bundan sonra teknik gelişim gündeme gelir. Sizden daha iyi teknik bilen bir saldırganla başetmeniz çok güçtür, bu nedenle teknik açıklarınızı kapatmalısınız. Sıkı çalışmalı ve her zayıf noktanızı geliştirmelisiniz. Gerekiyorsa bu noktaları korumak için ayrı araç gereç kullanabilirsiniz. Ancak bu araç gereç sizi yormamalı, yavaşlatmamalı, canınızı acıtmamalı ya da üzerinizde başka birinin giysisi gibi durmamalıdır. Tam size göre olmalıdır. Sizin hareketlerinizle, sistemlerinizle uyumlu olmalıdır. Bunun için aynı işi yapan bir sürü araç gereçten size uyacak ve kaliteli olanı seçmelisiniz. Unutmayın ki kalitesiz bir silah saldırıların tam ortasında ondan beklediğiniz işi yapamayabilir.

Tüm bu teknik gelişim alındıktan sonra, bunları her ortam ve her koşulda kullanabilir hale gelmelisiniz. Bilmediğiniz birilerini kendi ortamınıza alırken ya da sizden çok daha büyük ortamlara girdiğinizde bu yetilere hâlâ sahip olduğunuzu unutmamalı, kendi felsefenizi korumalısınız; ta ki sizden daha iyi birilerini görünceye kadar. Ancak o zamana kadar inanın ki sizin felsefeniz gelişmiş ve herkes bunu hayata geçirmiş olacaktır. Herkes kendi bilgilerinin ya da sahibi olduğu sistemlerin bir parçasının güvenlik olduğunu biliyor ve bunu istemli bir şekilde yönetebiliyor olacaktır. Bu şekilde varolan ve kendi kendini yönetebilen bir sistem, sizin ve şirketinizin değerini ve saygınlığını diğerlerine oranla artıracaktır. Ticaret ve hizmette istenilen fark da budur işte…

İşte herşeyi yaptınız! Daha fazla yapacak birşey kalmadı! Sizin ve çevrenizdekilerin bildiği herşeyi hayata geçirdiniz! Artık rahatlıkla koltuğunuza gömülebilirsiniz, her an herşeye hazır bir halde! Ama hayır, henüz yerinize oturmayın; son bir iş kaldı. O da gerçek bir saldırganla karşı karşıya gelmek ve sahip olduğunuz herşeyi kullanmak! Bunun için de beklemenize gerek yok, bir saldırgan ile anlaşmalı olarak yaptıklarınızı test etmesini isteyebilirsiniz. Ya da başka bir deyişle kendinizi savunmayı ne kadar iyi öğrendiğinizi görmelisiniz. Yine de benden size tavsiye kendinize çok güvenmeyin…

Daha önce de dediğimiz gibi bunları yaparken alacağınız en doğru ve iyi karar, uzman birilerinin yardımını almaktır. Çünkü şirketiniz içerisinde bu işlerle uğraşan kişiler genellikle günlük işlerin bombardımanı içerisinde kalmaktadırlar. Bu ekibin bilgilerini ve olaya sahip olmalarını kullanarak daha objektif ve geniş bir bakış açısı ile hareket etmek her zaman daha iyi sonuçlar vermiştir. Burada dikkat edilecek konu, getirilecek sistemin Avrupa’da ya da Amerika’da bir şirkete değil, Türkiye içerisinde bir şirkete getirileceğinin unutulmamasıdır. Kültürel farklar nedeni ile kullanılmayacak bir harikaya paralar harcayıp çerçeveleyip duvara asmaktansa, kullanılabilen verimli bir sisteme, belki de daha fazla para ödenmesi tercih edilmelidir. Akıldan çıkarılmaması gereken tek şey standartların uluslararası olduğudur.

Yukarıdaki örneklerden ve anlatımdan görülebileceği gibi güvenlik aslında bir süreç değil, bizim için bir “uyanış”tır. Tıpkı günler önceden hazırlıklarını tamamladığınız, heyecanı içinizi saran, günün ilk ışıkları ve sevdiklerinizle birlikte yollara düşüp uzun bir tatile çıkacağınız o günün sabahındaki gibi...

Kaynak: tbase

İlgili Yazılar

İnternet Sözleşmelerini Okumadan Kabul Etmeyin!

anonim

İnternetteki programların üyelik ve kullanım sözleşmelerinin okunmadan kabul edilmesinin verilen kişisel bilgilerin ve bilgisayarda kayıtlı bulunan belgelerin güvenliğini ortadan kaldırdığı bildirildi.

Router Tasarlarken Dikkatli Olmak Lazım! ;-)

FZ

2003 yılının Mayıs ayında `University of Wisconsin - Madison´ ağ yöneticileri kampüsteki kamuya açık NTP (Network Time Protocol) zaman sunucusu bilgisayarın kaldıramayacağı kadar yoğun bir trafiğe maruz kaldığını saptadılar. Başlangıçta saniyede yüzbinlerce paketten oluşan bu trafiği DDoS (Distributed Denial of Service) saldırısı olarak algılayan ağ yöneticileri durumu inceleyince bunun böyle olmadığını gördüler.

Problemin pek çok organizasyonda bolca bulunan ucuz ve küçük bir router cihazdaki gömülü koddan kaynaklandığı tespit edildi ve üretici firma ile temas kurma çabaları başladı... Bu süreci çok güzel ve detaylı bir şekilde yansıtan teknik raporu tüm ilgililerin okumasında fayda var. Söz konusu süreç aynı zamanda üniversite sanayi işbirliğine dair güzel bir örnek.

NetSec Güvenlik Bülteni: Sayı 3

onal

Ağ güvenliği listesi (NetSec) üyeleri tarafından hazırlanan güvenlik bülteninin 3. sayısı çıktı. Buradan okuyabilirsiniz.

bogofilter İle Olasılıksal SPAM Filtreleme

FZ

Paul Graham 2002 yılı Ağustos'unda yazdığı makalede spam filtrelemede Bayes Teoremi'nin (Öznel Olasılık Teorisi) kullanılabilirliğine değinerek SPAM e-posta (email) ile savaş konusunda yeni bir akımı başlatmış oldu.

Graham'a göre aldığımız her email'e içerdiği kelimeler - mesaj başlığındakiler (header) de dahil olmak üzere- incelenerek 0 ile 1 arasında bir spam skoru atamak mümkün. Bu sayının hesaplanabilmesi için öncelikle size gelen çok sayıda spam ve spam olmayan emailin ayrı ayrı incelenmesi gerekiyor. Bu inceleme sonucunda eğer belli bir kelimeye sadece spam olan emaillerde rastlanıyorsa o kelimeyi göreceğiniz bir sonraki emailin de spam olma olasılığı çok yüksek olacaktır. Aynı mantıktan yola çıkarak, büyük bir çoğunlukla gerçekten okumak istediğiniz emaillerde rastlanan kelimelerin gelecekte de spam içermeyen emaillerde görülmesi beklenir. Bu anlattıklarımızın iyice yerleşmesi için birkaç örnek verelim:

Tanımlanmamış Trojan Loader

SRLabs.net

Antivirüs yazılımları tarafından tanımlanamayan bir trojan loader mail yolu ile yayılmaya başladı. Türkiye kaynaklı olan malware kariyer.net'ten gelmiş gibi gözüken bir mail ile yayılmaktadır.