Zafer Yılmaz

Güvenlik hayat kalitemizi ve dolaylı olarak yaşam biçimimizi şekillendiren unsurlar arasında yer alırken, özellikle trafik güvenliği birçok alanda daha önemli bir rol oynuyor. Bu kapsamda Avrupa Birliği kapsamında yer alan 3821/85/AET tüzük gereğince, diğer ülkelerde kullanılmaya başlanan Dijital Takograf Sistemi, Türkiye için 2010 senesi itibariyle yürürlüğe giriyor. Bu uyum süreci en basit ve genel anlamda 3821/85/AET ve 561/2006/AET sayılı tüzükler doğrultusunda, azami ağırlığı 3,5 tonu geçen bir araçla taşımacılık yapan her sürücünün, kayıt cihazı yani digital takograf kullanması zorunlu hale geliyor.

Aslında AB, 1 Mayıs 2006′dan itibaren, üye ülkelerdeki yeni araçlarda sayısal (dijital) takograf kullanılmasını zorunla hale getirdi. Uyum süresince büyük ihtimalle bürokrotik işlemlere mağruz kalan bu uygulama, ülkemizde sene sonuna doğru faaliyete geçmesi bekleniyor.

Peki bu uygulama sisteme ne gibi yararlar sağlıyor?

• Yeni araçların plaka gibi tanım bilgilerinin yetkili servisler tarafından digital takografa işlenmiş olması gerekiyor
• Şoför kartı verilerinin en geç her 28 günde bir elektronik olarak indirilmesi ve arşivlenmesi gerekiyor
• Araç verilerinin en geç her 3 ayda bir elektronik olarak indirilmesi ve arşivlenmesi gerekiyor
• Firmanın nakliye sorumlusunun bu bilgileri düzenli olarak takip ederek sürüş saatlerinin ve diğer tüm bilgilerin doğruluğu ve sağlamlığından emin olması, ihlal durumlarında sürücüyü bilgilendirerek uyarması gerekiyor
• Verinin güvenliğinin sağlanması amacıyla verilerin düzenli olarak arşivlenerek yedeklenmesi gerekiyor
• Gerekli olduğunda incelenebilmesi amacıyla, tüm sürücü ve araç bilgilerinin en az 1 yıl süre ile araç dışında elektronik olarak saklanması ve arşivlenmesi gerekiyor

Maddelerin bazılarından görebileceğiniz gibi, tüm kayıtlar analog yerine dijital ortamlarda saklanıyor. Böylece şöförlerin ilgili takograflara herhangi bir şekilde müdahalesi mümkün olmuyor ve araçların yaptıkları km’lerden tutun da, ne zaman ve nerede mola verdiklerine kadar pekçok bilgi, şöförlere özel olarak sağlanan bu dijital kartlarda saklanıyor. Türkiye’de ortalama 500.000 adet taşımacılık yapan araç olduğu düşünüldüğünde, dijital takograf kullanımı konusunda ciddi bir eğitime ve uyum sürecine ihtiyaç olduğu açıkça görülüyor.

Güvenlik anlamında dijital sertifikasyon süreçleri yine adını vermeyeceğim bazı HSM ‘lerle sağlanıyor. AB’nin Root CA’nin yanında her ülkenin gerekli şartlar ve kurallar doğrultusunda oluşturulan Sub-CA dediğimiz, o ülkeye ait bir Sub-Root CA bulunuyor ve tüm şöförlere dağıtlacak olan kartlarda yer alan dijital sertifikalar bu CA ile oluşturuluyor. Eğer sistemi teknik olarak incelemek isterseniz ilgili tüm şartlara Digital Tachograph SystemEuropean Root Policy dökümanından ulaşabilirsiniz.

Proje başarılı bir şekilde oluşturuldu ve hayata geçmek üzere.  Türkiye ve taşımacılık sektörü adına sağlıklı ve ileriye dönük olarak başarılı bir proje olacağına gönülden inanıyorum.

Bilgi Güvenliği sektöründe son zamanlarda artan bir trend olarak karşımıza çıkan Identity Theft ve Data Breach, yani kimlik hırsızlığı ve veri ihlalleri ciddi bir sorun teşkil etmeye başladı. Son zamanlarda ülkemizde de sıklıkla duyduğumuz T.C. Kimlik Numaraları, Tapu Kadastro Kayıtları gibi çeşitli bilgilerinin çalınması; kurumlarda ciddi bir regulasyon eksiğinin ve sosyal mühendislik gibi kavramların tam oturmayaşından kaynaklıdır.

Identity Theft Resource Center’ın 2010 yılı için oluşturduğu veri ihlal kayıt PDF raporlarına bu adresten ulaşabilirsiniz. Rapora göre şimdiye kadar 435 farklı ihlalden etkilenen farklı kayıt sayısının 13 milyon olduğu düşünülüyor.

Sağlık sektörü de üzerinde durulması gereken vertical market’lerden bir tanesi. Her ne kadar ülkemizde herhangi bir yaptırım söz konusu olmasa da, özellikle Amerika’da uygulanan HIPAA (Health Insurance Portability and Accountability Act ) kanunları bir takım yaptırımları da beraberinde getiriyor. Bu kanunlar kabaca, hastaların ya da sağlık sigortası olan her kişi kayıtlarının gizliliğini, güvenliğini ve olası elektronik data transferlerindeki bilgi korunumunu içeriyor. Bu tarz regulasyonlar özellikle dosya, uygulama ve database gibi ortamlarda saklanan veriler için geçerli kurallar bütünlüğünü oluşturuyor. Saklanan verilerin bütününü ele aldığımızda; sosyal sigorta numaralarınızdan, geçirdiğiniz tüm hastalıklar, raporlar, tahliller, adres ve telefon bilgilerinize kadar herhangi bir veri yeralabilir. Hayatımızın yavaş yavaş Internet’e geçtiği bu dönemde, bazı hastanelerin sağlık bilgilerini internet üzerinden paylaşması, akıllara bazı soru  işaretlerini de beraberinde getiriyor.

İşte bu noktada Amerikan Hükümetinin her ne kadar ciddi yaptırımları olsa da; 2010 yılı için açıklanan zafiyet raporlarında bankacılık sektörünü (39) 3 kat fazla fraud (119) ile geride bırakmaya başaran sağlık sektörü, ciddi bir emekleme dönemine girmiş gözüküyor.

Sağlık sektöründen örneklere gelince;

• Geçtiğimiz aylarda California eyaletinde gerçekleşen açıklıklar, 5 farklı hastanenin toplamda 675.000 dolar ceza ödemesine sebebiyet verdi
• Louisville Üniversite hastanesinin şifrelenmemiş web-sitesinden çalınan 700 hasta kaydı
• Yine California’da gerçekleşen Kaiser Permanente kurumunda çalışan bir kişinin arabasından çalınan depolama biriminde yer alan 15.000 hastanın kaydı, ciddi endişelere yol açtı
• Kentucky Üniversite hastanesinin kilitli ofisinden çalınan dizüstü bilgisayarda yer alan 2.027 kişinin bilgileri yine ciddi bir güvenlik açığına sebep oldu

Örnekleri çoğaltmak mümkün. Özellikle ülkemizde bir türlü uygulanamayan sağlık sektöründeki regulasyon açıklığı, benim fikrime göre hastanelerden çok sigorta şirketlerinin gerekli önlemleri almalarını gerektiriyor. Çünkü buradaki güç ve yaptırım sigorta şirketlerinden gelmesinin yanında,  genel yapıya ve şablona baktığımızda yine sigorta şirketlerinin hastalarla olan ilişkisi ön plana çıkıyor.

Cisco’nun merakla beklenen ve öncesinde basın duyurusu yapılan yeni ürünü ile ilgili çeşitli yazılar yazılmıştı. Firmanın bahsettiği üzere özellikle network konusunda oldukça deneyime sahip olan Cisco, yine ağ performansı üzerinde ciddi bir iyileştirme yapıldığının sinayallerini vermişti. Kurumsal müşterilerden çok Internet Servis Sağlayıcı (ISS), GSM Operatörleri, Devlet Kurumları ve Uluslararası network backbonelarında kullanılması planlanan bu cihaz, daha hızlı iletişimin yanında, darboğazı da minimuma indirerek büyük bir performans potansiyeli sağlayacağı konuşuluyordu.

Ve beklenen açıklama bugün Türkiye saatiyle 17:00 – 19 dolaylarında gerçekleşti. Cisco’nun yaptığı açıklamaya göre yeni ürünün bir dizi router sistemlerinden oluştuduğu ortaya çıktı.

Cisco CRS-3 Carrier Routing System olarak lanse edilen ürün, daha önce ön bilgi olarak geçildiği üzere tüm bir ülkenin ağ yapısını kaldırabilecek düzeyde geliştirilmiş ve daha önce bahsettiğim gibi; CRS-3 daha çok yoğun ağ trafiği olan kurum ve devletler tarafından kullanılabilecek bir potansiyele sahip olarak karşımıza çıkacak.

Cisco tarafından sağlanan verilere göre, CRS-3′ün en büyük özelliği, en yakın rakip sistemden tam 12 kat daha yüksek trafik kapasitesine sahip olması. Saniyede 322 Terabit aktarabilen cihaz, daha önceki CRS-1 serisinin kapasitesini üçe katlıyor. Cisco’nun rakamlarına göre CRS-3, şimdiye kadar çevrilmiş tüm sinema filmlerinin 4 dakikadan kısa sürede aktarılmasını ya da çocuğundan büyüğüne tüm Çin halkının aynı anda video görüşme yapabilmesini sağlayacak kadar güçlü.

Fiyatı’nın  90,000 dolar belirlendiği ürünün özellikle İnternet’in darboğazını hafifleteceği ancak bu hafifletmenin yanında daha hızlı, etkin ve performanslı sistemler sayesinde de özellikle daha etkili ataklar oluşturmak üzere güvenlik yönünden de sıkıntı oluşturabileceğini düşünüyorum.

Özellikle 2007 yılında bağımsız yaptığı bir araştırmayla Internet’in kısmi olarak darboğaza sürükleneceğini iddia eden Nemertes firmasının iddası, belki de Cisco’nun bu sistemi ile çürütülmüş oluyor.

Cisco tanıtım videosu için:

Ayrıca CRS-3 in Action demosu için aşağıdaki linki ziyaret edebilirsiniz:

http://www.cisco.com/en/US/prod/routers/ps5763/cisco_crs-3_demo_video.html

Sistemin teknik detayları netleştikçe bu yazıyı da güncel tutmaya çalışacağım.

Özellikle mobil aygıtlardaki tehditlerin dikkat çekildiği raporda, geçen ayın tehditleri konusunda zirvede olan Trojan. Clicker. CM ortadan kalkmış, bunun yerine daha çok taşınabilir medya ortamlarında ortaya çıkan Trojan. AutorunInf. Gen malware dikkatleri çekiyor. Raporun ayrıntılarına aşağıdaki maddelerden gözatabilirsiniz.

Win32.Worm. Downadup. Gen Ocak’tan bu yana bir basamak yukarı çıktı. %6.24 ile ikinci sırada olan bu worm çok bilinen bir Microsoft Windows açığını kullanıyor. BitDefender Kıdemli Araştırmacısı Catalin Cosoi, “Win32.Worm. Downadup. Gen’in her ay listelerde üst sıralarda bulunmasının sebebi, kullanıcıların Microsoft’un bir yıldan daha önce yayınladığı güvenlik yaması da dâhil olmak üzere işletim sistemi ve güvenlik yazılımlarını güncelleme isteksizliğindendir” dedi. Bu worm’un yeni türevleri ayrıca sahte antivirüs yazılımları da yüklemektedir.

Şubat için BitDefender’ın üçüncü ve dördüncü e-tehditi %5.13’le Exploit. PDF-JS. Gen ve %4.21 ile Exploit. PDF-Payload.Gen oldu. Bu tehditler Adobe PDF Reader’ın Javascript motorundaki değişik açıkları sömüren ayarlanmış PDF dosyaları ile çalışır. Amaçları kullanıcının bilgisayarında zararlı kodu çalıştırmaktır.

Torrentler de kötü  amaçlı yazılımların dağıtımı için gözde yollarından biri olmaya devam ediyor. %3.37 ile Şubat’ın beşinci e-tehditi olan Trojan. Wimad. Gen.1, Ocak’taki yerini korudu. En beğendiğiniz dizilerden birinin en son bölümleri bu Trojan için gizlenecek mükemmel bir örtü olabilir.

Bu ayın ilk 10’undaki tek dosya bulaşıcısı altıncı sırayı alan Win32.Sality. OG. Sürekli değişen koduyla Sality ailesinin tespit edilmesi ve yok edilmesi çok zordur. Bunun yanında, virüse eşlik eden rootkit bileşeni bulaştığı sisteme yüklenmiş olan çeşitli antivirüs uygulamalarını geçersiz kılmaya çalışır.

Trojan. AutorunInf. Gen’in yakın akrabası Trojan. Autorun. AET, Windows paylaşımlı klasörler ve taşınabilir depolama cihazları aracılığıyla yayılmaktadır. Yedinci sıradaki bu Trojan, Vista SP2 öncesi Windows İşletim Sistemlerindeki Autorun özelliğini sömürmektedir. Autorun’ın bu kötü niyetli kullanımlarından dolayı Microsoft, bunu Windows Vista SP2 ve daha yeni işletim sistemlerinde sonlandırdı.

Sekizinci sıradaki Worm. Autorun. VHG, bir Windows açığı sayesinde, özel becerisi olan bir RPC paketi kullanarak kendini uzaktan çalıştırabilmektedir (benzer bir yaklaşımWin32.Worm. Downadup tarafından da kullanılmıştır).

Exploit. Comele. A, yine kullanıcıların güncelleme yapmamalarını kullanarak kendine %1.48 ile dokuzuncu sırada yer bulmuştur.

Şubat ayının onuncu sırasında ise, Trojan. SWF. HeapSpray. B kullanıcının bilgisayarındaki belli miktardaki belleği kendisi için kullanarak istediği bir kodu çalıştırabildiği bir teknik kullanmaktadır.

2009′un mayıs ayında yazdığım yazıda, gmail’e login olurken kullandığım bilgilerin plain text olduğunu farketmiş ve bunun üzerine mail ayarlarımdan güvenlik öğeleri sekmesinde https protokolünü kendim manuel olarak aktif etmiştim. Bu güvenlik aktifliğinden sonra, adres çubuğunda http yerine https yani “Secure http” aktif olarak, girdiğim bilgilerin gmail’e ulaşırken şifrelendiği güvenini duyuyordum. Read more…

Daha önceki yazılarımda (http://zfrylmz.com/blog/wimax-genisbant-servislerinde-14milyar-dolarlik-potansiyel) WiMAX hakkında ciddi bir potansiyel olduğuna değinmiş ve özellikle kablo karmaşasına son vererek, geniş servis ve kapsama alanıyla birlikte; temiz çevre dostu bir teknoloji olduğu bilgilerini aktarmıştım. 3G ile övünmeye çalıştığımız bugünlerde, tıpkı metro ve tren yolları gibi geriden takip ettiğimiz bu teknoloji hakkında; dünya hangi noktalarda kullanıyor, aşağıdaki haritadan bakabilirsiniz:
Read more…

2.5 sene öncesini hatırlıyorum da, en yakın arakdaşlarımla askerlik görevimizden yeni dönmüşüz. Askerliğin getirmiş olduğu psikolojiyi birkaç aylık bir zamandan sonra üzerimizden atmış ve hayatın tadını çıkararak buz bardaklarda anılarımızı tazeleyerek biralarımızı yudumluyorduk.

İşte tam bu sıralarda bir yandan iş arama sürecindeyken, bir yandan da blog yazmaya karar vermiştim. Teknoloji başta olmak üzere, gagdetlar üzerine ve gözlemlerime dayanarak yazdığım http://zfrylmz.blogspot.com adresinde bir günlüğüm vardı. Kalemimin gelişmesiyle birlikte bu günlük  zamanla gelişti ve yeni iş imkanlarına vesile oldu. Blog yazılarım sayesinde örnek bir yazı yazmadan  Darkhardware.com sitesine Haber ve Donanım İnceleme editörü unvanıyla direkt olarak kabul edilmiştim.

İş işi getirir derler ya, DHW macerasından 1-2 ay sonra şu an hala full-time IT Consultant olarak görev yaptığım işime başladım. Önceleri herşey çok karmaşık geliyordu, resmen okyanusun ortasına düşmüş; salıyla ilerlemeye çalışan güverte görevlisi gibiydim. Yeri geldi okyanusun azgın sularına göğüs gerdim, yeri geldi rüzgar dahi esmeyen sularda düşük hızda seyir ettim. Zamanla irili ufaklı limanları dolaşarak, kaptanlık köşküne çıkma imkanlarını yakaladım. Çok balık avladım, yeri geldi yaralar aldım ama hiçbir zaman yılmadım. Dümenimi en iyi şekilde kavrayarak, olası problemlerin üstesinden gelmeye çalışarak, kendimden ödün vermeden prensiplerim doğrultusunda her zaman işimi en iyi şekilde ve layığı ile yapmaya çalışıyorum.

Ekip olarak genellikle IT Güvenliği üzerine, hepsi kendi alanlarında üst düzey kurumlarla çeşitli projeler ve önceki müşterilerimizle olan support anlaşmaları doğrultusunda  ”Best Practices” uygulamaları gerçekleştirdik ve çeşitli firmalara danışmanlık hizmetleri ve çözümleri sağladık, sağlamaya da devam ediyoruz. Gerek internet, gerekse iş yaşamında katıldığım farklı toplantı ve etkinliklerde tanışma fırsatını yakaladağım çok değerli profesyonellerle birlikte, özellikle sektörle ilgili olarak çok güzel sohbetler gerçekleştirdik ve gerçekleştirmeye devam ediyoruz.

Bugün IT danışmanı unvanıyla 2. senemi geride bırakıyorum. Herkes gibi hedeflerim var. Sektör çok hızlı gelişiyor, yeni çözümler, tehditler ve bunların sektöre getirdiği rekabet, ciddi oranda artmaya başladı. Bu nedenle kendime çok ciddi bir to do list yapmaya ve tüm maddelere priority vermeye başladım (Bu kısmı daha sonra başka bir yazıda ayrıca ele alacağım). Ayrıca kariyerime ait bir yol haritası çıkarmaya çalışıyorum.

Herkese başarılı bir kariyer yolculuğu dilerim.

Arama motoru Google geçtiğimiz günlerde gerçekleştiği Real Time Search yani kabaca aradığımızı eş zamanlı olarak bulma prensibine dayanan uygulamasını, twitter’dan sonra bazı sitelere eklenmeye başladı.  Bu sitelerin başında facebook gelse de, özelliğin eklendiği diğer siteler şu şekilde: FriendFeed, MySpace, Jaiku ve Identi.ca

Durumu, profillere yapılan bir uyarı ile bildirme yoluna giden facebook, isteğe bağlı olarak yeni gizlilik ayarları yapmanıza ya da ayarlarınızın eskisi gibi kalmasına olanak tanıyor. Peki nedir bu gizlilik ayarları? Read more…

Genellikle bu tarz bültenleri paylaşmıyorum ancak özellikle son kullanıcıları bilgilendirme amaçlı olarak Microsoft’un güvenlik alanında neler yaptığına, ne gibi uğraşlar verdiğine değinmek gerekiyor.

Forefront TMG – Threat Management Gateway –

Microsoft’un Proxy, URL Filtering, Anti-virüs, VPN, Caching, SSL Inspection ve Instrusion Prevention gibi özellikler sunan genel bir güvenlik çözümü ürünü olan Forefront  ile ilk olarak geçen seneki IDC seminerine tanışmıştım. Etkinlik sırasında programın demo sürümünü edinmiştim ancak kurup deneme fırsatım olmamıştı. Eğer programı denemek, Forefront TMG 2010 son sürümünün demosuiçin bu adresi kullanabilirsiniz. Konuyla ilgili olarak Microsoft’un İstanbul ofisinde 3 Aralık tarihinde bir seminer düzenlenecek.

Microsoft Security Essentials

Microsoft’un güvenlik alanındaki bir başka yeniliği de ücretsiz olarak son kullanıcılar için sunulan Security Essentials antivirüs programıydı. Program özellikle ücretsiz olmasıyla birlikte Eylül’ün son haftası internet üzerinden sadece orjinal Windows işletim sistemi kullanan kullanıcılar için dağıtılmaya başlandı. Kısa bir süre için 1.5 milyon indirilmeye imza atan program, aynı süre içinde tam 4 milyon kötü niyetli uygulama tespit etti.

Microsoft tarafından açıklanan diğer bülten bilgilerine bu adresten ulaşabilirsiniz. Ayrıca Aralık ayında düzenlenmesi planan çeşitli etkinliklere yine Microsoft’un sitesinden gözatabilirsiniz.

Özellikle ülkemizdeki nadir olarak gerçekleşen verimli etkinliklerden şikayet ederken, IstSec bu şikayetlerimizi bir nevi bastırıyor. Her sene belirli dönemlerde gerçekleştirilen IstSec Güvenlik Konferanslarına bir yenisi dah ekleniyor. 12-13 Aralık’ta gerçekleştirilecek olan etkinliğe ilk defa katılacağım.

Nedir IstSec?

İstSec(İstanbul Bilgi Güvenliği Konferansı) bilgi güvenliği alanında çalışan, bu alana merak duyan ve konusunun uzmanları arasında bilgi paylaşımını yayma amaçlı bir etkinliktir.

Neler bulacağız bu etkinlikte?

Özellikle yurtdışındaki etkinliklerden görmeye aşina olduğumuz Capture the Flag yarışmaları, çeşitli ödül imkanlarıyla birlikte belki de rekabeti arttıracak. Ayrıca sadece özel sektör değil, devlet görevlilerinin ve hukuk danışmanlarının da katılacağı bir etkinlik olacak olan IstSec 2009, belki de 2009′un en verimli geçecek etkinliği gibi gözüküyor.

Ayrıntılı program bilgilerine bu adresten ulaşabilirsiniz. Konferans’ta görüşmek dileğiyle…

X kurumunun kredi kartları ya da vatandaşlık bilgilerinin çalınması gibi haber başlıklarını mutlaka görmüşsünüz, hatta belki de bu konulardan canınız bile yanmış olabilir. Bu konuda önemli olan tehditleri önceden anlamak ve bu tehditler karşısında geliştireceğimiz risk yönetimi ve güvenlik politikalarıdır.

Peki nedir Siber Güvenlik? Read more…

WordPress için sürüm 2.8.6 yayınlandı. Bu sürümle birlikte 2 adet güvenlik problemi gideriliyor. Özellikle blogunuzda yazı yazma yetkisi olan herhangi bir kullanıcının açıklığa sebebiyet verebileceği söyleniyor. Bu nedenle eğer birden fazla ve fazla güvenmediğiniz kişilerin yazı yazmasına izin veriyorsanız, 2.8.6 sürümüne mutlaka yükseltmelisiniz.

Bunun dışında XSS açıklığının  ve blog’a yüklenen dosya isimlerinin bazı Apache konfigürasyonlarında görünmesi gibi açıklıklarının kapatılmasını sağlayan 2.8.6 sürümünü indirmek için bu adresi kullanabilirsiniz.