- Katılım
- 1 Aralık 2004
- Mesajlar
- 550
- Reaction score
- 0
Bu günlerde banka soygunlarını nadiren duyarsınız. Eskiden vahşi batıda bankalar büyük miktarda nakit para, altın ve gümüş bulundururdu. Nakit para, çeklere oranla daha sık kullanılırdı. Haberleşme ve taşımacılığın durumu kanun güçlerinin soygunu saatler sonra haber almasını ve suç mahalline günler sonra varabilmesine yetiyordu ve soyguncular da çoktan kaybolmuş oluyorlardı. Geceleri bir bekçi bulundurmanın
sınırlı bir etkisi vardı. Soygunculuk biraz içgüdü ve durumun bir kaç günlük analizini gerektiriyordu fakat komplike bir eğitim gerektirmiyordu. Bütün bu faktörler banka soygununu karlı bir hale getiriyordu.
Bugün, tam tersine, pek çok faktör potansiyel suçlunun aleyhine çalışıyor. Çok gelişmiş alarm sistemleri etrafta biri olsun yada olmasın bankaları sessizce koruyor.
Suç araştırma teknikleri bir suçlunun parmak izinden, sesinden, taslak resminden, balistik kanıtlardan yada diğer karakteristiklerinden yakalanabilmesini sağlayarak çok etkili hale geldi. Çoğu banka şubelerinde bankanın işlemleri çeklerle
gerçekleştirildiği için bazı büyük satış merkezlerinden daha az nakit para bulunuyor.
Büyük miktarda nakit para veya döviz bulunduran yerler çeşitli güvenlik katmanlarıyla korunuyorlar: Çeşitli fiziksel sistem katmanları, karmaşık kilitler, erişim için iki kişiye gerek duyan sistemler ve daha pek çok tasarım korumada kullanılıyor. Taşımacılık ve haberleşme polisin suç mahalline dakikalar içinde
varabilmesini ve diğer yetkilileri suç hakkında saniyeler içerisinde uyarabilmesini sağlayacak şekilde gelişti. Risk ve gereken uzmanlığın yüksek seviyede olması sıradan bir suçluyu bankalardan farklı hedefler seçmeye itiyor.
Yazımızın konusu bilgisayar sistemleri güvenliği, bankalar değil ama aradaki fark ve benzerlikleri zaman zaman belirteceğiz. İnsanların bilgisayar sistemlerini nasıl koruduğunu ve bankaların parayı nasıl koruduğunu düşünün:
Boyut ve taşınabilirlik. Bilgisayar sistemlerindeki fiziksel cihazlar o kadar küçüktürki binlerce dolar değerindeki bir sistem bir çantaya sığabilir ve 10binlerce dolarlık bir sistem iki el ile rahatça taşınabilir.
Fiziksel kontak gerektirmeme. Bankalar arası para transferlerinde hesaplara elektronik fon transferleri kullanılır. Örneğin, pek çok özel şirket çalışanlarına çek yerine direk olarak bilgisayar transferi ile öderler. Sigorta şirketleri ve benzeri firmalar müşterilerinin banka hesabından otomatik olarak kesinti yapabilirler. Müşteriler evlerinden bile bir bilgisayar ile hesapları arasında para transferi gibi bankacılık işlemleri yapabilirler.
Mülklerin değeri. Bir bilgisayarın içinde depolanan bilgilerin değeride yüksektir. Bazı bilgisayarlar birisinin vergiler, yatırımları, tıbbi bilgileri veya eğitim bilgileri gibi gizli bilgiler içerebilir. Yine bazı bilgisayarlar yeni ürünler hakkında, satış rakamları, pazarlama stratejisi gibi veya ordu hedefleri, askeri hareketler, silah özellikleri gibi önemli bilgiler içerebilir.
Güvenlik konusunda, bilgisayar sistemleri kullanımı eski vahşi batı günlerine benzerlik göstermektedir. Bazı kurulumlar bilgisayarları ve içerdiği verileri değerli ve hassas kaynaklar olarak değerlendirir ve uygun koruma işlemlerini uygular.
Diğer kurulumlar ise güvenlik önlemlerinde çok yetersizdir. Fakat 'vahşi batı' bankacılarından farklı olarak bazı bilgisayar sistemleri profesyonelleri ve yöneticileri kullandıkları yada yönettikleri kaynaklarının değerinin farkında değillerdir. Bu
korumadaki başarısızlığın ardında bilgisayar kullanımındaki bilinçsizlik yatmaktadır (telefon ağları veya bankacılık-finans servisleri komplekslerinde olduğu gibi).
Daha da kötüsü, suç olayında, bazı firmalar toplum içindeki imajlarının zarar göreceğini düşünerek araştırma yapmıyor veya suç duyurusunda bulunmuyor.
Örneğin, bilgisayar ile zimmete geçirme işlemi ile 5 milyon dolar kaybeden bir bankaya para yatırırken güvende hissedermiydiniz? Gerçekte banka zarar görererek güvenlik zayıflıklarının farkına varmıştır ve güvenliğini önemli ölçüde
arttırarak çabucak bu tip bir vaka yaşamamış bir bankadan çok daha güvenli hale gelecektir. Suç araştırma ve yargılamanın elektromanyetik sinyalleri mülk olarak tanımama gibi bir engeli vardır. Haber medyası da bazen genç bilgisayar
korsanlarının yaptıklarını muzip şakalar olarak değerlendirir.
Bilgisayar sistemlerinde güvenliğin çok önemli olduğu açıktır. Bilgisayar profesyonellerinin, yöneticilerin ve hatta kullanıcıların eğitilmesi gereken bir alandır. Bu yazı tüm bu kişiler için yazılmıştır. Bu yazıyı okuyarak bilgisayar sistemlerindeki güvenlik problemlerinin neler olduğunu ve bu problemlerin
üstesinden gelmek için hangi metodların mevcut olduğunu öğreneceksiniz.
Bu yazının amacı:
Bilgisayar sistemlerindeki riskleri inceleme
Mevcut önlem ve kontrollerin incelenmesi
Farkedilmemiş güvenlik açıkları hakkında düşünceler uyandırmak
Daha fazla işlem gerektiren alanların tanımlanması
Bu bölümde 'Ne' sorusu ile başlıyoruz: Bilgisayar sistemlerinin karşı karşıya olduğu güvenlik açığı tipleri. Sonra bu açıkların 'Nasıl' exploit edildiğini inceliyoruz:
mümkün olan farklı saldırı tipleri. Bu bölümde inceleyeciğimiz üçüncü alan 'Kim':
Bilgisayar sistemlerinde probleme sebep olan insan tipleri. Son olarak 'kontroller'i inceliyoruz: sistemlere yapılan saldırıları önleme yolları.
1.1 Bilgisayara izinsiz girme karakteristikleri
Bilgisayarlarla ilgili suçlarda hedef bilgisayar sisteminin herhangi bir parçası olabilir.
Bir bilgisayar sistemi donanım, yazılım, depolama medyası, veri ve bir organizasyonun hesaplama işlemlerinin yapılmasında kullandığı insanlardan oluşur.
Bir banka soygununun açıkça görülen hedefi nakit para olsa da, rakip bir banka için mudilerin isim ve adresleri listeside önemli olabilir. Liste bir kağıt üzerinde olabilir, manyetik medya üzerine kaydedilmiş olabilir, bilgisayarın iç hafızasına kayıtlı olabilir veya telefon hattı gibi bir medya üzerinden elektronik olarak transfer
ediliyor olabilir. Hedeflerin çeşidi bilgisayar güvenliğini zorlaştırır.
Her güvenlik sisteminde 'en zayıf nokta' en ciddi güvenlik açığıdır. Evinizden birşey çalmak isteyen bir hırsız pencereden daha kolay giriş yapabiliyorken 10 santim kalınlığındaki metal kapıyı denemeyecektir. Komplike çevrede bir fiziksel güvenlik
sistemi telefon hattı ve bir modem ile korunmasız erişimin karşılığını veremez. 'En zayıf nokta' felsefesi aşağıdaki ilkeye göre tanımlanabilir:
En kolay giriş ilkesi: Bir saldırganın sisteme girmek için mevcut herşeyi kullanacağı düşünülmeli. Bunun en açık yollarla ya da en katı savunma kurulu sisteme karşı olması gerekmiyor.
Bu ilkeye göre bilgisayar güvenliği uzmanlarının sistemlere izinsiz girişte tüm muhtemel yolların deneneceği düşüncesini akıllarından çıkarmaması gerekmektedir.
Bir yolu zorlaştırmak saldırgan için bir diğerini daha cazip hale getirecektir. Şimdi bu izinsiz giriş yollarının neler olduğunu göreceğiz.
1.2 Güvenlik aşımı tipleri
Güvenlikte 'korunmasızlık' (exposure) bilgisayar sistemindeki bir kayıp yada zarar şeklidir. Korunmasızlığa örnek olarak verinin yetkisiz görüntülenmesi, verinin değiştirilmesi veya yasal erişimin engellenmesi verilebilir. Bir 'Güvenlik Açığı' güvenlik sistemindeki, kayıp yada zarar vermek için kullanılabilecek (exploit edilebilecek) zayıflıkdır. Bir güvenlik açığından yararlanan birisi sisteme saldırı gerçekleştirir. Bilgisayar sistemlerine olan tehditler kayıp yada zarara yol
açabilecek durumlardır. İnsan saldırıları, doğal afetler, kasıtsız insan hataları ve dahili donanım ve yazılım kusurları tehditlere örnek olarak verilebilir. Son olarak, kontrol bir korunma önlemidir. Zayıflığı azaltan bir işlem, cihaz, prosedür veya
teknik buna örnek olarak verilebilir.
Bilgisayar sistemlerindeki başlıca mülkler donanım, yazılım ve veridir. Bir bilgisayar sisteminin güvenliğine 4 adet tehdit vardır: (yarıda) kesme (interruption), araya girme (intercept), değiştirme (modification) ve fabrikasyon (fabrication). Bu
dört tehdit bilgisayar sistemlerindeki tüm zayıflıklar için geçerlidir.
Kesme durumunda sistemin bir mülkü kaybolur veya kullanılamaz duruma gelir. Örnek olarak, bir donanım cihazının kötü amaçlı tahrip edilmesi, bir program yada veri dosyasının silinmesi veya işletim sistemi dosya yöneticisinin işlevini göremeyip belirli bir disk dosyasını bulamaması verilebilir.
Araya girme (interception), yetkisiz bir partinin bir mülke erişim kazanmasıdır. Bu harici parti bir kişi, program veya bilgisayar sistemi olabilir. Bu tip hatalara örnek olarak program yada veri dosyalarının yasadışı kopyalanması veya ağdaki bilgiyi elde etmek için kablo-dinleme (wiretapping) verilebilir. Bir kayıp çok çabuk farkedilecek olsa da sessiz bir araya girici arkasında hiçbir iz bırakmayabilir.
sınırlı bir etkisi vardı. Soygunculuk biraz içgüdü ve durumun bir kaç günlük analizini gerektiriyordu fakat komplike bir eğitim gerektirmiyordu. Bütün bu faktörler banka soygununu karlı bir hale getiriyordu.
Bugün, tam tersine, pek çok faktör potansiyel suçlunun aleyhine çalışıyor. Çok gelişmiş alarm sistemleri etrafta biri olsun yada olmasın bankaları sessizce koruyor.
Suç araştırma teknikleri bir suçlunun parmak izinden, sesinden, taslak resminden, balistik kanıtlardan yada diğer karakteristiklerinden yakalanabilmesini sağlayarak çok etkili hale geldi. Çoğu banka şubelerinde bankanın işlemleri çeklerle
gerçekleştirildiği için bazı büyük satış merkezlerinden daha az nakit para bulunuyor.
Büyük miktarda nakit para veya döviz bulunduran yerler çeşitli güvenlik katmanlarıyla korunuyorlar: Çeşitli fiziksel sistem katmanları, karmaşık kilitler, erişim için iki kişiye gerek duyan sistemler ve daha pek çok tasarım korumada kullanılıyor. Taşımacılık ve haberleşme polisin suç mahalline dakikalar içinde
varabilmesini ve diğer yetkilileri suç hakkında saniyeler içerisinde uyarabilmesini sağlayacak şekilde gelişti. Risk ve gereken uzmanlığın yüksek seviyede olması sıradan bir suçluyu bankalardan farklı hedefler seçmeye itiyor.
Yazımızın konusu bilgisayar sistemleri güvenliği, bankalar değil ama aradaki fark ve benzerlikleri zaman zaman belirteceğiz. İnsanların bilgisayar sistemlerini nasıl koruduğunu ve bankaların parayı nasıl koruduğunu düşünün:
Boyut ve taşınabilirlik. Bilgisayar sistemlerindeki fiziksel cihazlar o kadar küçüktürki binlerce dolar değerindeki bir sistem bir çantaya sığabilir ve 10binlerce dolarlık bir sistem iki el ile rahatça taşınabilir.
Fiziksel kontak gerektirmeme. Bankalar arası para transferlerinde hesaplara elektronik fon transferleri kullanılır. Örneğin, pek çok özel şirket çalışanlarına çek yerine direk olarak bilgisayar transferi ile öderler. Sigorta şirketleri ve benzeri firmalar müşterilerinin banka hesabından otomatik olarak kesinti yapabilirler. Müşteriler evlerinden bile bir bilgisayar ile hesapları arasında para transferi gibi bankacılık işlemleri yapabilirler.
Mülklerin değeri. Bir bilgisayarın içinde depolanan bilgilerin değeride yüksektir. Bazı bilgisayarlar birisinin vergiler, yatırımları, tıbbi bilgileri veya eğitim bilgileri gibi gizli bilgiler içerebilir. Yine bazı bilgisayarlar yeni ürünler hakkında, satış rakamları, pazarlama stratejisi gibi veya ordu hedefleri, askeri hareketler, silah özellikleri gibi önemli bilgiler içerebilir.
Güvenlik konusunda, bilgisayar sistemleri kullanımı eski vahşi batı günlerine benzerlik göstermektedir. Bazı kurulumlar bilgisayarları ve içerdiği verileri değerli ve hassas kaynaklar olarak değerlendirir ve uygun koruma işlemlerini uygular.
Diğer kurulumlar ise güvenlik önlemlerinde çok yetersizdir. Fakat 'vahşi batı' bankacılarından farklı olarak bazı bilgisayar sistemleri profesyonelleri ve yöneticileri kullandıkları yada yönettikleri kaynaklarının değerinin farkında değillerdir. Bu
korumadaki başarısızlığın ardında bilgisayar kullanımındaki bilinçsizlik yatmaktadır (telefon ağları veya bankacılık-finans servisleri komplekslerinde olduğu gibi).
Daha da kötüsü, suç olayında, bazı firmalar toplum içindeki imajlarının zarar göreceğini düşünerek araştırma yapmıyor veya suç duyurusunda bulunmuyor.
Örneğin, bilgisayar ile zimmete geçirme işlemi ile 5 milyon dolar kaybeden bir bankaya para yatırırken güvende hissedermiydiniz? Gerçekte banka zarar görererek güvenlik zayıflıklarının farkına varmıştır ve güvenliğini önemli ölçüde
arttırarak çabucak bu tip bir vaka yaşamamış bir bankadan çok daha güvenli hale gelecektir. Suç araştırma ve yargılamanın elektromanyetik sinyalleri mülk olarak tanımama gibi bir engeli vardır. Haber medyası da bazen genç bilgisayar
korsanlarının yaptıklarını muzip şakalar olarak değerlendirir.
Bilgisayar sistemlerinde güvenliğin çok önemli olduğu açıktır. Bilgisayar profesyonellerinin, yöneticilerin ve hatta kullanıcıların eğitilmesi gereken bir alandır. Bu yazı tüm bu kişiler için yazılmıştır. Bu yazıyı okuyarak bilgisayar sistemlerindeki güvenlik problemlerinin neler olduğunu ve bu problemlerin
üstesinden gelmek için hangi metodların mevcut olduğunu öğreneceksiniz.
Bu yazının amacı:
Bilgisayar sistemlerindeki riskleri inceleme
Mevcut önlem ve kontrollerin incelenmesi
Farkedilmemiş güvenlik açıkları hakkında düşünceler uyandırmak
Daha fazla işlem gerektiren alanların tanımlanması
Bu bölümde 'Ne' sorusu ile başlıyoruz: Bilgisayar sistemlerinin karşı karşıya olduğu güvenlik açığı tipleri. Sonra bu açıkların 'Nasıl' exploit edildiğini inceliyoruz:
mümkün olan farklı saldırı tipleri. Bu bölümde inceleyeciğimiz üçüncü alan 'Kim':
Bilgisayar sistemlerinde probleme sebep olan insan tipleri. Son olarak 'kontroller'i inceliyoruz: sistemlere yapılan saldırıları önleme yolları.
1.1 Bilgisayara izinsiz girme karakteristikleri
Bilgisayarlarla ilgili suçlarda hedef bilgisayar sisteminin herhangi bir parçası olabilir.
Bir bilgisayar sistemi donanım, yazılım, depolama medyası, veri ve bir organizasyonun hesaplama işlemlerinin yapılmasında kullandığı insanlardan oluşur.
Bir banka soygununun açıkça görülen hedefi nakit para olsa da, rakip bir banka için mudilerin isim ve adresleri listeside önemli olabilir. Liste bir kağıt üzerinde olabilir, manyetik medya üzerine kaydedilmiş olabilir, bilgisayarın iç hafızasına kayıtlı olabilir veya telefon hattı gibi bir medya üzerinden elektronik olarak transfer
ediliyor olabilir. Hedeflerin çeşidi bilgisayar güvenliğini zorlaştırır.
Her güvenlik sisteminde 'en zayıf nokta' en ciddi güvenlik açığıdır. Evinizden birşey çalmak isteyen bir hırsız pencereden daha kolay giriş yapabiliyorken 10 santim kalınlığındaki metal kapıyı denemeyecektir. Komplike çevrede bir fiziksel güvenlik
sistemi telefon hattı ve bir modem ile korunmasız erişimin karşılığını veremez. 'En zayıf nokta' felsefesi aşağıdaki ilkeye göre tanımlanabilir:
En kolay giriş ilkesi: Bir saldırganın sisteme girmek için mevcut herşeyi kullanacağı düşünülmeli. Bunun en açık yollarla ya da en katı savunma kurulu sisteme karşı olması gerekmiyor.
Bu ilkeye göre bilgisayar güvenliği uzmanlarının sistemlere izinsiz girişte tüm muhtemel yolların deneneceği düşüncesini akıllarından çıkarmaması gerekmektedir.
Bir yolu zorlaştırmak saldırgan için bir diğerini daha cazip hale getirecektir. Şimdi bu izinsiz giriş yollarının neler olduğunu göreceğiz.
1.2 Güvenlik aşımı tipleri
Güvenlikte 'korunmasızlık' (exposure) bilgisayar sistemindeki bir kayıp yada zarar şeklidir. Korunmasızlığa örnek olarak verinin yetkisiz görüntülenmesi, verinin değiştirilmesi veya yasal erişimin engellenmesi verilebilir. Bir 'Güvenlik Açığı' güvenlik sistemindeki, kayıp yada zarar vermek için kullanılabilecek (exploit edilebilecek) zayıflıkdır. Bir güvenlik açığından yararlanan birisi sisteme saldırı gerçekleştirir. Bilgisayar sistemlerine olan tehditler kayıp yada zarara yol
açabilecek durumlardır. İnsan saldırıları, doğal afetler, kasıtsız insan hataları ve dahili donanım ve yazılım kusurları tehditlere örnek olarak verilebilir. Son olarak, kontrol bir korunma önlemidir. Zayıflığı azaltan bir işlem, cihaz, prosedür veya
teknik buna örnek olarak verilebilir.
Bilgisayar sistemlerindeki başlıca mülkler donanım, yazılım ve veridir. Bir bilgisayar sisteminin güvenliğine 4 adet tehdit vardır: (yarıda) kesme (interruption), araya girme (intercept), değiştirme (modification) ve fabrikasyon (fabrication). Bu
dört tehdit bilgisayar sistemlerindeki tüm zayıflıklar için geçerlidir.
Kesme durumunda sistemin bir mülkü kaybolur veya kullanılamaz duruma gelir. Örnek olarak, bir donanım cihazının kötü amaçlı tahrip edilmesi, bir program yada veri dosyasının silinmesi veya işletim sistemi dosya yöneticisinin işlevini göremeyip belirli bir disk dosyasını bulamaması verilebilir.
Araya girme (interception), yetkisiz bir partinin bir mülke erişim kazanmasıdır. Bu harici parti bir kişi, program veya bilgisayar sistemi olabilir. Bu tip hatalara örnek olarak program yada veri dosyalarının yasadışı kopyalanması veya ağdaki bilgiyi elde etmek için kablo-dinleme (wiretapping) verilebilir. Bir kayıp çok çabuk farkedilecek olsa da sessiz bir araya girici arkasında hiçbir iz bırakmayabilir.