Web Güvenliği

Yazı dizime devam ediyorum. Bu hafta güncelleğini hiçbir zaman yitirmeyecek gibi gözüken bir yöntemden bahsedeceğiz. Bu yazım sadece web değil birçok alanın güvenliğini kapsamaktadır ( kişisel güvenlik, kurumların güvenliği vb.)

Sosyal Mühendislik

Adından da anlaşıldığı üzere, tamamen sosyal bir yöntemdir. Bu saldırı birçok yerden çeşitli şekillerde gelebilmektedir. Bu yüzden bu konuya çok dikkat edilmesi gerekmektedir. Saldırı yapacak kişi bir plan kurar ve planı uygular. Sosyal mühendislik 4 aşamada gerçekleşir;

1. Bilgi toplama

2. İlişki oluşturma

3. Uygulama

4. İstismar

Örnek saldırı:

Şirket çalışanınız işten çıktıktan sonra size zarar vermek istedi. Bu onun için çok kolay olabilir. Çünkü şirketiniz içerisinde çalıştığı için birçok bilgiye sahiptir. x şirketi olarak hizmet verdiğiniz y firması ile irtibata geçip onlardan, verilen hizmette bir hata olduğunu ve hatanın giderilmesi için bilgilerin gerekli olduğunu söyleyip, paylaşılmaması gereken bilgileri alıp y firmasına zarar verebilir, tabii ki y firmasının aldığı zarardan x firması da payını alacaktır.

Örnek saldırı 2:

[email protected] dan bir mail aldınız içeriği şöyle (özet olarak)

“Kullanmakta olduğunuz Windows Server 2003 (Sunucumun versiyonunu bildiğine göre yetkili olabilir, düşüncesine kapılmamalı) güvenlik açığı mevcuttur, bu güvenlik açığı bizim açımızdan oldukça önem arz etmektedir. Hazırladığımız yama ancak özel olarak eğitilmiş uzmanlarımız tarafından başarıyla uygulanmaktadır. (Ya da ekte gönderdiği dosyayı sizin istediği bir yere kopyalamasını isteyebilir) Bunun için sunucu bilgilerinizi bizim ile en acil şekilde paylaşmanız gerekmektedir.” Gibi bir mail alabilirsiniz. Bu ve benzeri bir durumda, güvenlik bültenleri takip edilmeli, böyle bir şeyin varlığı kontrol edilmeli.

Sosyal mühendisler çeşitli faktörlerin de desteğiyle oluşturulan durumlarda karşı tarafı bir karar vermeye zorlarlar. Sosyal mühendisler karar verme sürecinde diğer çalışanların isimlerini kullanabilir, ya da yüksek seviyeden yetkilendirilmiş bir eylem olduğunu diğer bir çalışanın ağzıyla iddia edebilirler. Senaryo daha profesyonel bir şekilde kurgulanabilir, yine bu kişinin sosyal zekâsına kalmıştır.

Bu tür saldırılardan korunmak için;

nKarşı taraf ile bilgi alışverişinde bulunmanız gerekiyorsa, karşı taraftan konuyla ilgili yetkili kişilerin bilgileri talep edilmeli. Bu kişiler haricinde bilgi talep eden kişilerle bilgi alışverişinde bulunulmamalı.

nBilgi talep durumlarında, talep karşı taraf ile fiziksel (telefon olabilir) bir iletişim kurularak doğrulanmalı.

nBilgi alışverişleri olabildiğince fiziksel olmalı (mail, msn gibi ortamlarda bilgi alışverişi pek güvenli bir yöntem değildir).

nÇalışanlar arasında gereksiz bilgi alışverişi olmamalı, sunucu ile ilişkisi olmayan birinin sunucu giriş bilgilerini bilmesine gerek yoktur.

nSisteminizde yetki sistemi dağınık olmamalıdır. Sistemdeki yetki hiyerarşisi doğru yapılandırılmalı, doğru kişilere, doğru yetki atanmalıdır.

Sosyal mühendislik ile ilgili çok kurnaz yöntemler mevcut. Olabildiğince dikkatli olmayı tekrar hatırlatır, güvenli günler dilerim.

NURULLAH DEMİR

12.10.2010

Farklı Windows7 temaları ile bilgisayarınıza renk katın!

Windows7 kurulu bilgisayarınıza, birbirinden renkli ve güzel temalar yüklemek için http://windows.microsoft.com/tr-TR/windows/downloads/personalize/theme s adresini kullanabilirsiniz.

Birbirinden farklı bir çok güzel tema sizi bekliyor. (Hayvanlar, sanat ve eğlence, yerler ve manzaralar gibi bir kısım kategorilerde birden çok tema bulabileceksiniz.) Harika yerler, sevimli hayvanlar, büyüleyici sanat: Hayal gücünüzü harekete geçiren bir tema bulun. Yerler ve manzaralar ile doğa kategorisinde yer alan temaları özellikle tavsiye ederiz. Dünyanın renkleri ve sesleri bu temalar ile bilgisayarınıza gelecek. (Avustralya, Kanada, Japonya, Hindistan renkleri, Çin, Şek Baharı, Almanya, Fransa, Meksika, Polonya, Rusya vb.)

Tek yapmanız gereken tema dosyalarını “karşıdan yükle” demek ve bilgisayarınıza kaydetmek. Bu işlemden sonra tema dosyalarını bilgisayarınıza kurup Masaüstü'nde sağ tık yapıp, kişiselleştir kısmından istediğiniz temaya çift tıklıyorsunuz! Yepyeni temalarınız hazır!

12.10.2010

Devamı Netten…

Bir çok kişinin “Nasıl olsa sildim” diye düşündüğü cep telefonu bilgileri, özel bir cihaz ve yazılımı sayesinde geri getirilebiliyor.

lkem Elektronik yetkilisi Devrim Esentürk, Japonya’dan ithal edilen ve sadece resmi kurumlara satılan özel bir cihaz ve yazılım sayesinde özellikle suça ilişkin delil toplanması konusunda önemli çalışmalar yapıldığını bildirdi.

Cep telefonlarından silinmiş SMS, telefon rehberi, arama kayıtları, kamera ile çekilen resimler, videolar ve eklenen müziklerin, “Yani telefonun içerisinde bir şekilde kaydedilmiş” her şeyin geri getirilebileceğini kaydeden Esentürk, bunun için cep telefonunun söz konusu alete bağlanmasının yeterli olacağını vurguladı. Devamı : http://kisaurl.com/?BM6

Cep telefonlarının bir yeni tehlikesi daha ortaya çıktı. ABD’de yapılan yeni bir araştırma, fazla cep telefonu kullanımının parmaklarda karıncalanmalara, ellerde kas kaybına, dirseklerde ise kalıcı doku bozulmalarına yol açabileceğini gözler önüne serdi. Devamı: http://kisaurl.com/?BM5

Artık arama motoru kimliğinin çok ötesine geçen Google, şimdi de dijital fotoğraf formatı geliştiriyor. WebP adını verdikleri yeni format, ‘jpeg’e kıyasla yüzde 40 daha az yer kaplıyor. Devamı: http://kisaurl.com/?BM4

KeçeliROBO ilköğretim Risâle-i Nur eğitim programını http://www.speedyshare.com/files/24521215/-KeceliNUR1.zip adresinden indirebilirsiniz. Çalışma, görselliği ve kalitesi ile dikkat çekiyor.

9. Uluslar arası Bediüzzaman Sempozyumu foto galerisi için http://kisaurl.com/?BM3 adresine tıklayabilirsiniz. Sempozyumla ilgili videolar için http://www.nurpenceresi.com/index.php adresini ziyaret edebilirsiniz. Sempozyum sinevizyonu için http://www.nurpenceresi.com/index.php?oku=1624 .

12.10.2010

Süper hızlı USB 3.0 bağlantısı artık My Book ve My Passport harici disk sürücülerde

HARİCİ depolama çözümlerinde dünya lideri olan WD (Western Digital) bugün yeni My Passport Essential taşınabilir sabit sürücü, My Passport Essential SE taşınabilir sabit sürücü ve My Book Essential harici sabit sürücüsünü tanıttı.

Her üç sürücü ailesi de çeşitli kapasitelerde sunuluyor ve süper hızlı USB 3.0 bağlantısına sahip.

1 ve 2 TB kapasitesinin yanı sıra, sektördeki en yüksek kapasite olan 3 TB ise My Book Essential’ın en önemli özelliklerinden biri. Kullanıcılar süper hızlı 3.0 USB porta bağlandıklarında 150 MB/saniye kadar veri transferi gerçekleştirebiliyor. Bu hızda, iki saatlik bir HD video üç dakika gibi bir sürede transfer edilebilir. Aynı iki saatlik video 2.0 USB bir portta ise yaklaşık 13 dakikada transfer edilebilir.

Halen WD’nin en küçük taşınabilir sürücüsü olan My Passport Essential 500 GB kapasitede ve beş farklı çarpıcı renkte sunuluyor. Dünyanın en çok satan sabit sürücüsü olan My Book Essential küçük ayakizi, şık tasarımı ve 1 TB’dan 3 TB’a kadar değişen yüksek kapasitesi ile hayranlık uyandırıyor.

12.10.2010

BİLİŞİM FIKIH... BİLİŞİM FIKIH... BİLİŞİM FIKIH... BİLİŞİM FIKIH... BİLİŞİM FIKIH...

Soru: Herhangi bir yerde laptopumuzu açtığımızda ortamda kablosuz internet iletişimi varsa bilgisayar otomatik olarak bu bağlantıyı görüyor ve kullanıcıyı uyarıyor.

Kullanıcı eğer bu hizmetten yararlanmak isterse ki, bağlantıda parola koruması yoksa, çok rahat bir şekilde interneti kullanabiliyor. Sınırlıda limitinden belli miktar kullanmış oluyor. Diğer taraftan sınırsız ise sadece bağlantısını paylaştığı için yavaşlamaya sebep oluyor. Biz laptopumuzla böyle bir bağlantı yapsak ama kimin bağlantısını kullandığımızı bilmesek ki, burada parola korumasız bir bağlantıdan söz ediyoruz, karşı tarafın hakkına tecavüz etmiş olur muyuz? Bazı işletmelerde müşterilerin kablosuz internetten faydalanmaları için koruma konmuyor. Bu anlatılanlar ışığında bu şekilde bir internet kullanımı caiz midir?

Cevap: Hizmeti veren kurum veya internet abonesi böyle bir şeye razı olmadığı takdirde bu şekilde internetten istifade etmek caiz olmaz.

Soru: Laptobum kablosuz internetleri algılıyor. Kimin olduğunu bilmediğim 2 tane şifresiz internet algıladı. 1.si, sınırsız internet, çünkü bir kaç aydır giriyorum ve o kişi şifreletmedi internetini, yani adamın interneti sınırsızsa yani ben girsem de girmesem de aynı parayı ödüyor, benim girmem kul hakkı mı? 2.si, bir kaç ay girdim, sonra adam şifreletti internetini, bilmiyorum sınırlı mıydı interneti, yani kotalı mı, eğer kotalıysa; benim girmemden dolayı faturası çok gelir. Eğer öyleyse bu kul hakkı mı?

Cevap: Sınırsız internet dahi olsa başkalarının o hattı izinsiz kullanması caiz değildir. Fazla kullanıcı olması internet hızını azaltmakta ve kullanıcının performansını düşürmektedir.

Her durumda da başkasının kablosuz internetini izinsiz kullanmak kul hakkına girer.

İnternet hizmeti veren kurum veya kuruluş ile bu hizmetten ücret ödeyerek faydalanan şahıs bir başkasının kablosuz internetinden bağlanmasına müsaade ediyorsa bağlanmak caiz olur. Ancak kurum veya şahıstan biri veya her ikisi bunu doğru bulmuyorsa o takdirde bağlanmak caiz olmaz.

12.10.2010

Bilişim Zirvesi’nden...

Bilişİm Zirvesi’nde “Dünyayı Nasıl Bir Gelecek 10 Yıl Bekliyor” sorusu bireyler, ülkeler ve iş dünyası için cevaplandı!

2010’da 10’uncu yılını kutlayan Bilişim Zirvesi, 4-5 Ekim 2010 tarihlerinde Lütfi Kırdar Kongre ve Sergi Sarayı’nda Interpromedya tarafından Turkcell’in ana sponsorluğuyla gerçekleştirildi. Bilişim Zirvesi 10’uncu yılında 21’inci yüzyılın gelecek 10 yılını şekillendirecek; Oyun Yeniden Başlıyor Ana Tema Konferansı, Finansta Bilişim Konferansı, Telekom Konferansı, e-Sağlık / Tele-Sağlık Konferansı, Savunmada Bilişim Konferansı, Devletler Arası e-Devlet Forumu, Yeni Medya Forumu, Kaspersky IT Security Day ve İş Çözümleri-Teknoloji Oturumları’na ev sahipliği yaptı. Ulusal ve uluslar arası 146 konuk konuşmacının katıldığı Bilişim Zirvesi’nde bireyler, toplumlar, ülkeler ve iş dünyası için stratejik öneme sahip tespitlere ulaşıldı.

—Kevin Kelly: Gelecek 50 yılda, geçmişteki 400 yıldan daha fazla değişim olacak!

WIRED Dergisi’nin kurucularından Kevin Kelly’e göre; önümüzdeki 50 yıl içindeki değişim son 400 yılda yaşadığımızdan çok daha fazla olacak. Dünyanın en önemli buluşları henüz bulunmuş değil! Kaçınılmaz teknolojide, kendi kendine giden arabalar, insan klonlama, DNA dizilim incelemesi her şey gerçek olacak. Bilgiler artık akar vaziyette, web’den daha çok bilginin akışkanlığı söz konusu. Sürekli veri akışının devam ettiği ve herşeyin gerçek zamanlı olduğunu ifade eden Kelly, “Bundan 7 bin gün önce ücretsiz dünya haritası veya hava durumu sunacak olsaydım kimse inanmazdı. Ekonomik modeli kimse kurgulayamazdı. Ama bugün varlar. Gelecekte ne olacaksa hiçbirimiz bunun için geç kalmadık. İmkansız diye bir şey olduğunu düşünmeyin” dedi.

—Dennis Anderson: Geleceğin en iyi CEO’ları bugünün CIO’larından olacak!

Birleşmiş Milletler Bilgi ve İletişim Teknolojileri Gelişimi Küresel Birlik Birimi Danışmanı Prof. Dr. Dennis Anderson’a göre; Bilgi işlem yöneticileri eskiden arka planda operasyonel işlemleri takip ediyordu ancak IT’cilerin gelecekteki rolleri çok daha önemli olacak. Bilgi ve datayı doğru bir şekilde okuyup akılcı kararlar alabilen bilgi işlem yöneticileri etkin iş yönetimi süreçlerinde uzmanlaşarak artık şirketlerin karar verici noktasında yer alacaklar. Bilişim bütün süreçlerin içindeyse o şirket kazanacak.

Acil durum kamu haberleşmesine devlet bugüne kadar 300 milyon dolar yatırım yaptı. 112, gelecekte 911 gibi hizmet verecek!

Telekom Konferansı’nda “Acil Durum ve Kamu Güvenliği Haberleşmesi” ve “Telekomda Atılımcı Düzenleme ve Standardizasyon” gibi konular ön plandaydı. TÜTED Başkanı Adil Müftüoğlu’nun başkanlık yaptığı Acil Durum ve Kamu Güvenliği Haberleşmesi konulu panelde, öncelikle olağanüstü durumlarda kesintisiz çalışacak olan telsiz haberleşme sisteminin altyapı çalışmalarının sürdürüldüğü belirtildi. Panelde ayrıca, kurulacak olan sistem ile ilgili olarak üzerinde çalışılması gereken konular sıralandı. Antalya’da bir pilot çalışma başlatıldığı, itfaiye, polis ve ambulans hizmetinin entegre olduğu ve bu sistemin gelecekte bütün Türkiye’de kullanılacağının altı çizildi.

Gazete patronu olman seni medya sahibi yapmıyor. Facebook’ta sayfan varsa medya sahibisin!..

Interactive Advertising Bureau Başkanı Levent Erden, Yeni Medya Forumu’nda yaptığı açılış konuşmasında medya sahipliği kavramının değiştiğinin altını çizdi: “Bugün sadece gazete patronu olmak medya sahibi olmak için yeterli değil, Facebook’ta sayfan varsa medya sahibisin. Türkiye’de artık 25 milyon medya sahibi var! Bugün ortak konuşma değerleri yok. Eskiden tüm Türkiye tek bir TV kanalını izlerdi ve ertesi gün herkes aynı şeyi konuşurdu. Şimdi ise her birimiz ayrı koltuklarda, farklı ekranlara bakıyoruz. Bu da tekilleşmeyi beraberinde getiriyor; asıl değişim bu” dedi.

—Savunma sektörünün bilişim ve yazılım ihtiyaçlarının yüzde 98’i yerli üretimle karşılanacak

Bilişim Zirvesi’10’un ikinci gününde düzenlenen Savunmada Bilişim Konferansı’nın açılış konuşmalarından birini yapan SASAD Genel Sekreter Yardımcısı Yılmaz Küçükseyhan, savunma sanayinde 2009 yılı verileri hakkında bilgi verdi. Savunma sanayinin toplam cirosunun 2010 yılı sonunda 3 milyar dolara çıkarmayı hedeflediklerini ve bu pastada bilişimin payının yüzde 5 olduğunu kaydetti. Savunma sektörü için yerli bilişim ve yazılım çözümlerinin önemini vurgulayan Küçükseyhan, sektörün bilişim ve yazılım ihtiyaçlarının yüzde 98’ini yerli üretimle karşılamayı hedeflediklerinin altını çizdi. Savunma Sanayii Müsteşarı Murad Bayar ise konferansta yaptığı konuşmada, gelişen sensör teknolojisiyle bilgi toplama kapasitesinin oldukça arttığını belirtti. Siber tehditler konusuna değinen Bayar, ABD’nin geçtiğimiz yıl siber savaş komutanlığı kurduğunu kaydetti. Bayar, Türkiye’de de buna benzer çalışmaların olduğu mesajını verdi. “Savunma sanayinde geldiğimiz nokta bizi mutlu ediyor. Ancak daha gidilmesi gereken çok uzun bir yol var” diyen Bayar, sivil savunmanın önemini vurgulayarak bu alanın gelişmesi gerektiğini sözlerine ekledi.

—Bilişim Zirvesi’nin ana sponsoru Turkcell’in CEO’su Süreyya Ciliv: Kurallar değişti, oyun da değişti; ses iletişimi mobil iletişime dönüşüyor!

Bilişim Zirvesi’10’da sektörün geleceğine dair değerlendirmelerde bulunan Turkcell’in CEO’su Süreyya Ciliv, Bilişim Zirvesi’nin ‘’Kurallar değişti, önümüzdeki 10 yıl için oyun yeniden başlıyor’’ şeklindeki ana temasına da atıfta bunarak bu görüşü kendisinin de uzun zamandır savunduğunu kaydetti. Bilgisayar ve iletişim dünyasının birleşmesiyle birlikte insanların hareket ettikleri her ortama cep bilgisayarlarını da yanlarında götürdüğünü ve bunları her yerde, her zaman kullanma fırsatı bulduğunu söyleyen Ciliv, kendilerinin de ses işinden mobil internet işine geçtiğini, böylece müşteriye daha çok odaklanma ve ihtiyaçlarına daha iyi çözüm üretme imkanına sahip olduklarının altını çizdi. Ciliv, ‘’Bu yeni dünyada müşteriye hız ve verim katacak, şirketlere rekabet avantajı yaratacak teknolojik çözümler üretebiliyoruz’’ dedi.

Türkiye’ye ilk defa gelen Kaspersky Lab CEO’su uyardı: Sadece bireyler değil, ülkelerin stratejik kurumları da siber tehdit altında!

Bilgi güvenliği alanının gurusu, Kaspersky Lab CEO’su Eugene Kaspersky, Bilişim Zirvesi’nde yaptığı sunumda, sadece bireylerin değil, aynı zamanda ülkelerin stratejik kurumlarının da siber tehdit altında olduğuna dikkat çekti. Eugene Kaspersky, 5 Ekim 2010’da, Lütfi Kırdar Kongre Salonu’nda tam gün süren “Kaspersky Lab IT Security Day” etkinliği kapsamında gerçekleştirdiği “Dijital Güvenliğin Geleceği: Kaspersky Vizyonu” başlıklı sunumunda, siber suçluların (hacker) gelecekte adi suçlularla işbirliği içerisinde olacağını söyledi.

Eugene Kaspersky konuşmasında yeni bir dünyaya girdiğimizin ve bu dünyanın tamamen dijital olduğunun altını çizdi. “Bu kadar dijital bir hale gelen dünyada eğlenceden müziğe bilgiden mahremiyete kadar her şey birbirine bağlı. Bu dünya günümüzde saldırı altında ve internetsiz bir hayat düşünülemiyor. Bireyler, devletler, kurumlar, küresel ekonomiler tehlike altında. Siber saldırılar zamanla kendi içerisinde evrim geçirdi. İlk başlarda siber magandalar vardı, sonra siber suçlular ortaya çıktı ve şimdi de karşımızda siber savaşçılar var”.

12.10.2010