X kurumunun kredi kartları ya da vatandaşlık bilgilerinin çalınması gibi haber başlıklarını mutlaka görmüşsünüz, hatta belki de bu konulardan canınız bile yanmış olabilir. Bu konuda önemli olan tehditleri önceden anlamak ve bu tehditler karşısında geliştireceğimiz risk yönetimi ve güvenlik politikalarıdır.
Peki nedir Siber Güvenlik? Read more…
Ailece tanışmalara gidildiğinde hani vardır ya “Sizin oğlan ne iş yapar?” sorusu. Baba gayet gurur verici bir cevapla “Bizim oğlan hacker, hacker” diye yanıt verir. Nasıl gurur verici bir tablodur oğlunun hacker olması baba için. Hani ola ki “Ne yapar bu hacker” dendiğinde, babanın kem küm etmesi gayet olağan bir durumdur 
İşte genellikle kendini sözde hacker sanan dostlarımız, her geçen gün yeni teknikler kullanarak özellikle kimlik hırsızlığı yani “identity theft” konusunda kendilerini geliştiriyorlar. Kabaca bunlardan bahsedelim:
Yaklaşık 2 haftadır bloguma birşeyler karalayamadım. Bunun esas nedeni hem çalışma tempom, hemde yeni makale yazıları hazırlamamdı. Dün itibari ile yeni makalemi bitirdim ve düzenledikten sonra, Türkiye’nin Bilgi Güvenliği alanında önde gelen portallarından biri olan Beyaz Şapka‘da yayınladım.
Read more…
Hepimiz farkındayız, sosyal ağlar bu aralar oldukça popüler ve bu popülerlik gün geçtikçe artmaya devam ediyor. Bireyler başta olmak üzere; markalar ve firmalar “Sosyal Ağ” kavramını yavaş yavaş kafalarında oturtmaya ve uygulamaya başladılar. Bu artan ivmeyle birlikte güvenlik kavramı da ciddi bir önem kazanmaya başladı. Bu nedenle kabul edin, siz artık bir Sosyal Ağ bağımlısısınız. Meraklanmayın, bu alanda her bünyeye göre bir ilaç var: Facebook, twitter, linkedIN, friendfeed ve diğerleri… Peki sizin ilacınız hangisi? Birden fazla ilacı bünyeniz kaldırmıyorsa, size aşağıdaki tavsiyeleri önerebilirim. Prospektüsü dikkatle okumadan önce, lütfen kullanmayın 
- Read more…
Eğer Güvenliği bir zincir şeklinde düşünürsek, bunun en zayıf halkası İNSAN olarak karşımıza çıkar. Şu ana kadar tasarlanan ve geliştirilen mevcut güvenlik sistemlerinden hiçbiri otomatiğe bağlanmış ya da kendi yapay zekasına sahip değil. Böyle olması zaten pek mümkün dahilinde de değil ancak daha önceki yazımda bahsettiğim üzere, kademeli ve yetkli paylaşımlı oluşturulacak olan güvenlik sistemleri, Sosyal Mühendislik zaafının önüne geçen tek etmen olabilir. Peki nedir bu Sosyal Mühendislik?
Terim anlamıyla, İnsan ilişkilerini ve insan psikolojisini içinde barındırarak çeşitli yöntemleri kendi çıkarları ya da kötü amaçlı olarak kullanılan tüm sistemlerin genel adıdır ve tamamen bilinçli/bilinçsiz Personel kaynaklıdır. Birkaç örnekle daha net anlayacağınızı düşünüyorum.
Önemli şirket verilerinizi shedder’dan geçirmek yerine çöp tenekenize atıyorsanız, bu bir güvenlik açığıdır. Bu açığı kullanarak, çöp tenekenizi karıştıran Kazım (Bu isimde nerden çıktı demeyin) adlı iş arkadaşınız ise “Sosyal Mühendislik” kavramını uyguluyor demektir. Ya da bilgisayarınızı acilen terketmek zorunda kaldınız diyelim. Yaptığınız tüm işlemler ekranda herkes tarafından görülüyor ve bu zaafınızdan faydalanan iş arkadaşınız ya da temizlik elemanları gibi kişiler, yaptığınız işlemleri görebilir ve bunları kayıt altına alabilir, değiştirebilir, silebilir. Bu sizin kişisel bilgileriniz olabileceği gibi, şirketinizin kurumsal bilgilerini de içerebilir. Ya da bir başka boyuttan bakalım. Bir arkadaşınız şirketinizi ziyarete geldi diyelim. Ona hani olmaz ya(!), sistem odanızınızı göstermek istediniz. Eğer ilgili kişiyi başıboş bırakırsanız, ilgili sistemlere keylogger konabilir ya da bağlantılarınıza zarar verebilir (fiberoptik kablonuzu bir saniyede kullanılmaz hale getirebilir). Tabi tüm bunları sizin haberiniz olmadan yapılması gerekiyor.
Bunlar olanaklar ve olasılıklar dahilinde her zaman gerçekleşebilecek olaylar. Mesela ben geçen gün kredi kartımın iptalini istedim. Her ihtimale karşı bu tarz durumlarda her zaman kredi kartımı binbir parçaya ayırır ve tüm parçalarını ayrı çöplere atarım (Olaya güvenlik ya da paronayaklık olarak bakmakta serbestsiniz )
Peki SM’nin getirdiği tehditler nedir?
Yetkisiz Erişim, Veri Hırsızlığı, Güven ve İtibar kaybı, Hassas ve Kritik bilgilere ulaşma, Veri kaybı ve değiştirilmesi, Yasal Yükümlülükler (Özellikle Bankalarda), Hukuki Yaptırım veya Ceza Sistemleri
SM’ye karşı alınabilecek tedbirler:
Fiziksel Güvenlik, Etkili ve Kademeli Kurumsal Güvenlik Politikaları, Güvenliğe aykırı Davranışların Uyarılması ve gerektiğinde cezalar verilmesi (İşten atılma vb)-bu bir çözüm olmasa da buna tedbir olarak Güvenlik Politikaları almak en mantıklısıdır- , Denetleme Mekanizmalarının geliştirilmesi, Detaylandırılmış Acil Müdahale Yöntemleri
Konuya noktayı koyarken, ilk olarak nasıl çıktığını ufak bir anektodla dile getirelim. SM’nin belki de ilk oluşmasını sağlayan ve FBI tarafından aranan ilk Hacker olan ve şimdilerde Güvenlik Danışmanlığı yapan Kevin Mitnick, konu ile ilgili olarak şu noktaya değiniyor: ” Bir personeli ilgili sistem şifresini almak için kandırmak, sistemi hacklemek için harcanan çabadan daha kolaydır”
