Bilişim ve Teknoloji Haberleri » BarisTugsal

Bilişim Güvenliğinde Yönetsel Yöntemler

BarisTugsal — Tue, 23 Jun 2009 08:54:45 +0000

Günlük Hayatımızda Her Konuda Karşımıza Çıkabilecek İnternet Ve Bilişim güvenliği alanında yönetsel önlemler; güvenlik yönetimi konusunda tüm kuralların ortaya koyulup, uygulanmasını sağlar. Hemen hemen her konuda olduğu gibi bilişim güvenliğinin yönetiminde de polkitikaların doğru ve en üst düzey de belirlenmesi ve bu şekilde faaliyete geçirilmesi gerekir Günümüzde medyada yayınlanan, maddi-manevi zararlara yol açan virüsler, banka sistemlerine giren hackerlar, bilgisayar ağlarına saldırıp, network alanında zarar vermeye çalışan scriptkiddie'ler, gibi bir çok alanda haberler karşımıza çıkmaktadır. Bunlarla beraber bir sistem yöneticisinin veya güvenlik uzmanının uğraştığı işler, her zaman gazete veya televizyonlarda çıkan haberlerle sınırlı kaldığı düşünülmemelidir. Bunların dışında günlük, haftalık hatta aylık olarak kısacası belirli bir periyodik çerçevede gerçekleştirilen bir takım işler vardır ki bunlar; yönetsel yöntemlerdir. Bu alanı oluşturan temel süreçler ise; « Güvenlik Politikaları « Güvenlik Denetimleri « Risk Yönetimi « Standartlar ve Prosedürler Kurum veya kuruluşun, ağında bulunan bilgisayarlar ve bu bilgisayarlar üzerinde bulunan veriler, kurumun kritik amaçları ve hedefleri ile doğrudan bağlantılıdır. Bu sayede yönetsel yöntemler, kurumda çalışan en üst düzey yetkiliden, en alttaki son kullanıcıya kadar önem teşkil eder. Bir kurumda güvenlik yönetim biriminin temel görevi; güvenlik yönetimine yönelik yönerge ve direktifler oluşturmaktan öte, ilk olarak üst yönetimin güvenlik yönetimi ile ilgili gelen istekleri yerine getirmek olmalıdır. Üst yönetimin desteği olmadan, kurumsal tabanda güvenlik işini gerçekleştirmek zor olacağından, üst yönetim ile güvenlik yönetimi arasında iletişim kanalı kurulmalıdır. « Güvenlik Politikaları Güvenlik politikası; kurumda güvenliğin oynadığı rolün genel adıdır. Güvenlik politikasını hazırlayabilecek olan kişi veya kişiler; kurumun güvenlik uzmanlarından oluşan komitelerdir. Kurumda uygulanacak güvenlik kontrolleri, derin detaya inilmeden kavramsal olarak tanımlanmalıdır. Örnek olarak; Internet Week dergisinin yaptığı araştırmaya göre yapılan ankette kurumlarında güvenlik teknolojisini kullanmakta olan oran % 70'i gösterirken, bu dilimin yalnızca % 38'i yazılı bir güvenlik politikasına sahip olduğunu bildirmiştir. Bu konuda güvenlik politikasını uygulayan kurum veya kuruluşlarda, çalışanlar kesinlikle yasal sorumluluktan kurtulmuş olacaklardır. Bununla beraber, kuruma ait özel ve gizli bilgiler, bir başkası tarafından ele geçirilmesine, suistimale ve değiştirilmeye karşı korunmuş olacaktır. Aynı zamanda kurumun bilgi işlem yeteneğini geliştirmekle beraber, kullanılan kaynakların israfini engellemiş olacaktır. « Güvenlik Denetimleri Güvenlik Denetimi; bir kurumun güvenlik yapısının, güvenlik politikasının, prosedürlerin ve standartların ayrıntılı olarak ele alınması ve zayıf yönlerin tespiti ile belirlenen bu yönlerin zayıflıklarının giderilmesi için önerilerin sunulmasıdır. Başarılı bir güvenlik denetimi, tüm iş birliği taraflarının katılımıyla olur. Lakin genelde güvenlik ile ilgili bir denetim söz konusu olduğunda, bir çok insan olumsuz bir ön yargıya kapılır ve rahatsız olur. Halbuki güvenlik denetimi; kurum içerisinde güvenlik politikasına uygun çalışılıp çalışılmadığını, bilgisayarlardaki girişler ve çıkışlar, dosya işlemleri ve ağ erişim haklarının değiştirilmesini sağlar. Örnek olarak güvenlik denetiminde sorgulanabilecek konular; salt okunur veya yazılabilir verilerin belirlenmesi, önemli verileri değiştirebilecek kimliklerin tespit edilmesi, sistem erişimini ve kaynak kullanımını engelleyebilecek faktörleri, sisteme erişimin nasıl sağlanacağı, bilgisayarlar, bilgisayar ağları ve bunların bulundukları binaların fiziki açıdan güvenli olup olmadığı, sistemde yapılan değişikliklerin izlenip izlenmediği, kullanıcı grupları, kullanıcıların erişim yetkileri, kullanıcıların sahip olduğu haklar, vs diye daha bir çok denetim eklenebilir. « Risk Yönetimi Risk; kuruma zarar verici bir olayın gerçekleşme olasılığı olarak tanımlanabilir. Risk yönetimi ise; kurumun karşı karşıya bulunduğu risklerin tanımlanması, bu risklere karşı değer biçilmesi, risklerin kabul edilebilir bir seviyenin altına ...

Kültürel Bilişim

BarisTugsal — Tue, 16 Jun 2009 17:48:21 +0000

Kültür kelimesi Türkçe'ye Fransızca'dan girmiştir. Toprağı sürmek, ürün elde etmek ve onları geliştirmek anlamındadır. Kelime daha sonra insan vücudunu ve ruhunu terbiye etme, sanat ve fikir eserlerini geliştirme anlamlarım da içine alan geniş bir mana kazanmıştır. Kültür maddî ve manevî her şeyi işlemek ve geliştirmek demektir. Türk Kültürü Selçuklular ve sonrasında da Osmanlı imparatorluğundan anadoluya yayılmış, bir değer yargı, ve yaşam biçimi haline gelmiştir. Türkiyemizin Anadolu Kültürü bugün teknoloji devi avrupada hala yeni yeni uygulanmaktadır. Yemek kültürümüzden tutun da, Aile içi saygı, büyüklere hürmet, temizlik ahlak vs. Bu Temel yargılarımız elbette onur duyacağımız bir davranışımızdır. Zaten Türk kültürü İslam dinini esas alan bir bir kültürdür. Medeni hukukumuz dahi bazı durumlar da Örf ve adet hukukuna dayanarak kararlar verebilmetedir. Peki bizler dünyaya Kültürü ve medeniyeti getiren bizler neden şimdi evlatlarımızı teknolojiye kurban ediyoruz. Teknolojiyi nasıl kullanılacağını öğretmek yerine, aferin evladım diyoruz. 7 yaşına gelmiş bir çocuk okuma yazmayı öğrenmeden önce bilgisayarda tuhaf tuhaf oyunlar oynamakta ve bu şekilde yetişmektedir. İnternet cafeleri dolduran çocuklarımız Saatlerce cafelerden çıkmamaktadır. Bunun sorumlusu onlarmı ? Elbetteki hayır, Biz aileler, Sorumsuz Anne ve babalar, Sorumsuz öğretmenler, Bilişim artık bir dünya haline gelmiş evrenin en büyük kütüphanesi,iletişim ağı, Hangimiz çocuğumuza araştırma yapmasını öğretiyor. Peki Bizler hiç düşündükmü 10 yıl sonrasını, Tarihinden birhaber, Kültürünü bilmeyen gençlerimizi, açıkcası ben çok vahim olarak görüyorum. Bilişim dünyasında evlatlarımızı başıboş bırakarak değil, uzmanlara danışarak yetiştirelim. Bilişim güvenliği ve bilişim suçlarına karşı mücadele derneği sizlere hertürlü problemlerinizde yardımcı olmaya hazırdır. Şunu unutmayalım ki Kültürü kaybolmuş bir millet asla ilerleyemez. Bilişim Güvenliği ve Bilişim Suçlarına Karşı Mücadele Derneği Selçuk KEPİR Bilişim Güvenliği uzmanı

Şifre seçimi ve Kullanımı

BarisTugsal — Sun, 14 Jun 2009 10:53:18 +0000

Şifre seçimi ve Kullanımı

İnternet ortamın herkesin hesapları mevcuttur.Tabi ki de bu hesaplara girerken şifreler kullanılmaktadır.Peki bu şifreleri seçerken ne kadar güvenli seçiyoruz ? yada şifreleri yazarken ne kadar güvenliğimizi düşünüyoruz.Çoğu kişi basit şifreler seçebiliyor ve bunların çözülme şansı yüzdelik ihtimal ile % 75 ‘tir.Şifre seçiminde ve kullanımında dikkat edilmesi gereken konular üzerinde duracağız ; * Şifre seçerken harf,sayı ve karakter kullanılmalıdır.Bu şifrenin tahmin edilebilme oranını düşürür.Örneğin; d3n3m3!

*Şifrede ki karakterlerin kombinasyonu farklı olmalıdır.Çünkü art arda kombinasyon değişmese tahmin edilebilir. Örneğin ; Alperalper olmamalıdır.

*Şifrelerinizde adınız,soyadınız,cep numaranız,doğum tarihinin olmamasına özen göstermeniz lazımdır.Çünkü şifrenize ulaşmak isteyen kişiler önce size Sosyal Mühendislik olarak adlandırılan yollar ile bilgilerinizi alabilir.Ve bu bilgileri şifrelerinizde kullanarak tahmin edebilir.Buna örnek vermek gerekirse Alper86cicek v.b şifrelerin tahmini yapılmaktadır.Örneğin ; alp13dps- gibi şifreler kullanılmalıdır.

*Şifrelerinizi olabildiğince uzun tutmaya çalışın ve farklı karakterler girdiğinizde şifrenin kombinasyonu güçleşecektir.

*Herhangi bir hesapta kullandığınız şifreyi başka hesabınızda da kullanmamaya özen göstermelisiniz.Çünkü aynı şifreyi kullandığınız bir hesap ele geçirilirse diğer hesabınızda ele geçirilmektedir.

*Umuma açık alanlarda kullandığınız ya da ortak olarak kullandığınız bilgisayarlarda hesap girişlerinizde “beni sonra hatırla” seçeneğinin işaretli olmamasına dikkat etmelisiniz.

*Hesaptaki işiniz bittikten sonra direk sayfayı kapatmadan çıkış/logout bölümünü kullanarak çıkış işleminizi gerçekleştirdikten sonra tarayıcınızı kapatabilirsiniz.

*Artık şifrelerinizi girerken sanal klavyeyi tavsiye etmiyorum.Günümüz teknolojisi gün geçtikçe ilerlemektedir.Yazılımcıların yazdığı zararlı yazılım olan Keylogger’ların bir çoğu anlık görüntü olarak sanal klavye den girilen şifreler tespit edilebilmektedir.

*Bilgisayarınıza zararlı yazılım bulaştığı zaman şifreleriniz elden gidebilir.Zararlı yazılım bulaşmış olsa bile şifrelerinizi güvenli bir yerde saklamak ve korumak için ; KeePass ve KeyScrambler programlarını tavsiye ediyorum. KeePass ile Güvenlik : Şifreleri profesyonel olarak yönetmek ve kullanmaya yarayan programdır.Her kullanıcı kendine ait bir veritabanı oluşturarak şifre koyar.Tek bir şifre ile tüm şifrelerinize ulaşabilirsiniz.Veritabanına girdiğiniz bilgileri kopyala/yapıştır yaparak hesaplarınıza giriş yapabilirsiniz.Biliyorsunuz ki Keyloggerlar klavyede basılan her tuşu kayıt altına almaktadır ve sanal klavye kullansak bile görüntü alarak şifrelerimizi karşı tarafa yollamaktadır.KeePass programı ile kopyala/yapıştır yaptığınız zaman bu sorun ortadan kalkıyor.Şifrelerinize ulaşmak imkansız oluyor.

Download ; http://keepass.info/download.html

KeyScrambler ; Keylogger gibi zararlı yazılımlara karşı ,ufak ama marifeti ...

Taklitçi Derneklere Dava…

BarisTugsal — Sun, 14 Jun 2009 10:37:01 +0000

Türkiyede Faaliyette Bulunan Bİr Çok Bilişim GÜvenli Alanında Dernek Vardır Bu Derneklerin Çogu Hukuki Açıdan İzinsiz Çalışmaktadır Bİzlerde BUnlara Artık Bir Dur Deyelim...

Bilişim Güvenliği konusunda ilk faaliyete başlayan sivil toplum örgütü derneğimizdir. Derneğimizin kuruluş tarihinden bu açıkca belli olmaktadır. Derneğimizin kuruluşumuzdan sonra Bilişim Güvenliği alanında faaliyet gösteren başka derneklerde kurulmuştur. "Bilişim Güvenliği Derneği" kök adı tarafımızdan kullanıldığı için sonradan TBGD kısatması ile ortaya bir dernek çıkmıştır. Bu dernek kurulduğunda 'Türkiye Bilişim Güvenliği Derneği' ünvanını hukuka aykırı olarak kullanmıştır. 5253 sayılı Dernekler Kanunu 'na göre "Türkiye" ibaresinin ünvana eklenmesi için İlgili alanda en çok üye sayısına sahip olunması, kuruluşundan en az bir yıl süre geçmesi, kamu yararına çalışan dernek olması ve hepsinden önemlisi Bakanlar Kurulunun ilgili derneğe Türkiye ibaresini ünvanına eklemesi için izin vermesi gerekir. (5253 sayılı Dernekler Kanunu Madde 28) Bahse konu dernek bunlardan hiçbirisine sahip değildir. Ortada Bakanlar kurulu kararı yoktur, Alanında en fazla üyeye sahip değildir, Kamu yararına çalışan dernekler statüsünde değil, ticari amaçlıdır, Kurulduğu anda hukuka aykırı izin almaksızın bu ünvanı kullanmaya kalkmıştır.

İç İşleri Bakanlığı İstanbul Dernekler Müdürlüğünün uyarısından sonra ilgili dernek 'Türkiye' ibaresini ünvandan kaldırmış, ancak devamında hukuki gibi görünen ancak hukuk dışı yönteme daha imza atmıştır. Bahse konu dernek emsali görülmemiş bir metodla kısaltmasını ünvanı ile birleştirerek "TBGD Bilişim Güvenliği Derneği" olarak değiştirmiştir. "Bilişim Güvenliği" kökü tarafımızca kullanıldığı için ibarenin baş kısmına TBGD ibaresi eklemiş. Ünvanın başındaki 'T' harifinin izahı mümkün olmadığı gibi Kısatma ile ünvan'ın birleştirilmesi de görülmüş değildir. Bahse konu dernek hakkında dava süresi en kısa sürede başlatılacaktır.

Takdir Ediliyorsanız Değil, Taklit Ediliyorsanız Başarmışsınız Demektir.

Bilişim Güvenligi Ve Bilişim Suçlarına Karşı Mücadele Dernegi

İnternet Melek Mi? Şeytan Mı?

BarisTugsal — Sat, 13 Jun 2009 19:37:52 +0000

Çağımızın, hatta biraz daha öteye gidip tüm zamanların en önemli buluşu nedir sorusuna cevap arayacak olsak, herhalde karşımıza çıkan birkaç şeyden biri de internet olur. Müthiş bir icat. Dünyayı öylesine küçülttü ve şeffaf hale getirdi ki artık hemen her şey bir tık ötede.

Tarihçiler, bugünleri yazarken, içinde bulunduğumuz yüzyılı, internet öncesi, internet sonrası diye tanımlayacaklardır. Çünkü internetten sonra her şey çok değişti. Olumlu yönleri söylemekle bitmez. Zaten bugüne kadar konuşulan da o.
Bilişim sektörü öylesine güçlü ki, bilgisayarlarını, yazılım programlarını ve internet paketlerini pazarlarken, tüm iyi yönlerini anlata anlata bitiremiyorlar. Haksız da sayılmazlar. Çünkü internet yaşamımızın bir parçası haline geldi. Bir an için bilgisayarın, internetin yaşamınızdan çıktığını düşünün. Sanki ortaçağ karanlığına dönmüş gibi olursunuz. İnternetin melek mi, yoksa şeytan mı olduğuna gelince. Bu, nereden baktığınıza bağlı. Bilişimcilere göre melek olduğu kesin. Ama mağdurlar ya da objektif gözlemciler gözüyle baktığınızda ortaya bir şeytan da çıkabiliyor. İstanbul'da dün çok önemli, uluslararası bir panel vardı. Microsoft, Emniyet Genel Müdürlüğü, Interpol ve Uluslararası Kayıp ve Tacize Uğrayan Çocuklar Merkezi'nin ortaklaşa düzenlediği eğitim seminerinin son halkasıydı. Birbirinden değerli katılımcılar vardı. Yöneticiliğini de ben yaptım. Ortaya öylesine çarpıcı araştırma sonuçları kondu ki ağzım açık kaldı. Panel eğer bir TV kanalında canlı yayımlanmış olsaydı, herhalde artık kimse evinde bilgisayar bulundurmaz ya da çocuklarını mümkün olduğunca bilgisayardan uzak tutardı.

Neydi bu korkunç tablo?

İsterseniz önce bu tabloya bir göz atalım, sonra bazı satırbaşlarını paylaşalım. Çocuk pornosu, şiddet ve kumar internetle patlama noktasına geldi. Tüm dünya gibi Türkiye'de bu şeytan üçgeninin tam göbeğinde. Tehlikeden korunmanın ya da etkisini azaltmanın yolu ise bilinçlenmeden geçiyor. Ama maalesef bu konuda ne yasamız var ne de eğitilmiş insan gücümüz. Bakanlıklar arası koordinasyon ise yok gibi.
İşte panelden altı çizilesi bazı tespitler: İnternet kökenli çocuk istismarı, toplumun dokusunu bozuyor. İnternette çocuk pornografisi sınır tanımıyor. Anne babalar interneti bakıcı olarak görüyor. Odasına kapanan öğrenciler onları mutlu ediyor. Ama en büyük tehlike sınırsız internet kullanımı. Kumara, pornoya, şiddete ve oyunlara yönelik koruyucu programlar ve filtreler, her bilgisayara mutlaka yüklenmelidir. Çocukların yüzde 70'i internet cafe'lerde internete giriyor. Buralarda hiçbir denetim yok. Öğrenciler ödevlerini hazırlarken, kendilerini bir anda porno sitelerinde buluyorlar. Bilişim suçlarının ilk sırasında çocuk pornosu var. Çocukları anlamanın yolu bilişim teknolojisinden geçiyor. Çocuklarla ebeveynler arasındaki kuşak farkı üçe çıktı. Çocukları korumak için interneti iptal etmek de en az denetimsiz serbestiyet kadar tehlikeli. Türkiye'de internet erişim sayısı, 2003'te 6 milyon, 2004'te 10 milyon iken şimdi 20 milyona yaklaştı. İnternet cafe sayısı her yıl katlanıyor. Şu anda 24 bin internet cafe var. Kolluk güçleri tek başına bu sorunu çözemez. Oyunların çoğu, öldürdükçe zevk verenler kategorisinde. Yazan: Orkun Ertekin

Yeni Nesil Dolandırıcılık

BarisTugsal — Sat, 13 Jun 2009 19:13:54 +0000

internette dolanırken bilmem sizde karşılaştınızmı cep telefonunuza hemen msn şifre kırıcı, facebook şifre kırıcı, yahoo şifre kırıcı, programını indirin, şifreler anında cebine gelsin, gibi siteler artık hat safhaya ulaştı. Bu tür uygulanan dolandırıcılık sistemine yeni nesil dolandırıcılık diyoruz. Bu siteler genelde 18 yaşına kadar olan internet kullancılarının kontörlerini kullanmak için hazırlanmıştır. Sistemin işleyişini isterseniz biraz irdeleyelim. Nasıl oluyorda bu siteler, Yasal şekilde bu işi bu kadar rahat yapıyor. Buna verilecek olan cevaplar aslında çoktur ama bu cevaplardan bazıları, Turkcell, Vodafone, avea gibi şirketlerle naylon firmaların yaptıkları anlaşma yapması ile. Genelde öyle bir firma yok ama yapılan anlaşmada bu tür naylon firmalar var görünüyor. Yani Minareyi çalan hırsız kılıfını hazırlar misali. Bunun ikinci Nedeni ise Bilişim suçları kanunu yasalarının eksikliğinden kaynaklanıyor. Buda Rahatlıkla yeni nesil dolandırıcılık firmalarının açılmasına neden oluyor. Çok iyi Hatırlıyorum Tüketici hakları genel başkanının bir tv programında söylediği şu sözleri. ’’Sevgili Arkadaşlar Tv de gösterilen reklamlarda reklam hakkındaki detay alt yazı olarak geçer, bu geçen alt yazı Hızlı ve küçük harflerle geçiyorsa, sakın o reklama güvenmeyin sizi dolandırır. Şayet büyük ve yavaş geçiyorsa içiniz rahat olsun’’ Bu tür firmalar ciddi bir iş yapıyorsa, yaptığı programla ilgili sitesinde ekran görüntüsünün, bir demosunu,yada kısa bir tanıtıcı reklamını vermesini gerekmektedir. Günümüzdeki İletişimin en büyük Şirketler bile hala, Yasaların eksikliğinden yararlanıp yeni nesil dolandırıcılığa başvuruyorsa, Biz aile Büyüklerine çok büyük işler düşüyor. 18 yaşını doldurmamış evlatlarımızı bu türlü dolandırıcı, reklam ve promosyonlardan korumak bizlere düşüyor. Bilişim Sektörü artık hayatımızın bir parçası haline gelmiş vaziyettedir. Bu büyük sektör Haliyle büyük sahtekarlık ve hilebazlıklarıda beraberinde getirmektedir. Eğer Evlatlarımızı bu konuda bilinçlendirmezsek bu kontor tuzaklarına düşmeleri çokta şaşılacak bir durum olmaz. Peki Nasıl bilinçlenebiliriz? 1. Tüketici haklarını bilmeliyiz. 2.Yasaların bize getirdiklerini bilmeli ve öğrenmeli 3. ve En önemli olanı ise Bilişim güvenliği seminerlerine katılmaktır. Bilişim güvenliği seminerleri, Her yaştan kişilerin bilgilenmesi, Güvenli internet kullanımı hakkında Yeterli ve teknik bilgilendirmeyi yapmaktadır. Türkiyede ilk kurulmuş olan Bilişim Güvenliği ve Bilişim Suçlarına Karşı Mücadele Derneği; Sizlere ne yapmanız konusunda Hertürlü Yasal bilgilendirmeyi yapmaya hazırdır. Bilişim Güvenliği ve Bilişim Suçlarına Karşı Mücadele Derneği Genel Kurul Üyesi Selçuk KEPİR