Bilgi ve İletişim Güvenliği Tedbirleri Genelgesi

Cumhurbaşkanlığı tarafından yayımlanan “Bilgi ve İletişim Güvenliği Tedbirleri" genelgesinin içeriğinde söz edilen tedbirlerini gözden geçirdik.

Bilgi ve İletişim Güvenliği Tedbirleri Genelgesi Yayımlandı

Bu tür genelgelerin ardından hızlıca türeyen ve kuruluşlara türlü çeşit güvenlik çözümlerini “genelge kapsamında alınması gerekiyor” diye duyuran özel firmaların ziyaretinize gelmesi ihtimaline karşın öncelikle şunu söyleyeyim: bu genelgeye “uyumlu” hale gelmek için satınalmanız gereken hiçbir şey yok. Tamamı mevcut güvenlik çözümlerinizle uygulanabilir durumda. Bu anlamda kimseye yeni bir rant kapısı açmadığı için Genelgeyi ayrıca takdir ettim.

Bilgi ve İletişim Güvenliği Tedbirleri Genelgesi Neyi Amaçlıyor?

Verilerin gizliliğini, bütünlüğünü ve erişilebilirliğini korumak amacıyla, özellikle milli güvenliği tehdit edebilecek türdeki verilerin korunması amaçlanmış.

Bilgi ve İletişim Güvenliği Tedbirleri Genelgesi Kimleri Kapsıyor?

Genelge olduğu için elbette öncelikle Kamu Kurumlarına hitaben yazılmış ancak her kesimden kuruluşun kendi güvenliği için buradan çıkartabileceği güzel dersler var.


Bilgi ve İletişim Güvenliği Tedbirleri Genelgesi maddeleri:

1. Nüfus, sağlık ve iletişim kayıt bilgileri ile genetik ve biyometrik veriler gibi kritik bilgi ve veriler yurtiçinde güvenli bir şekilde depolanacaktır.
2. Kamu kurum ve kuruluşlarında yer alan kritik veriler, internete kapalı ve fiziksel güvenliği sağlanmış bir ortamda bulunan güvenli bir ağda tutulacak, bu ağda kullanılacak cihazlara erişim kontrollü olarak sağlanacak ve log kayıtları değiştirilmeye karşı önlem alınarak saklanacaktır.
3. Kamu kurum ve kuruluşlarına ait veriler, kurumların kendi özel sistemleri veya kurum kontrolündeki yerli hizmet sağlayıcılar hariç bulut depolama hizmetlerinde saklanmayacaktır.
4.  Mevzuatta kodlu veya kriptolu haberleşmeye yetkilendirilmiş kurumlar tarafından geliştirilen yerli mobil uygulamalar hariç olmak üzere, mobil uygulamalar üzerinden, gizlilik dereceli veri paylaşımı ve haberleşme yapılmayacaktır.
5. Sosyal medya üzerinden gizlilik dereceli veri paylaşımı ve haberleşme yapılmayacaktır.
6. Sosyal medya ve haberleşme uygulamalarına ait yerli uygulamaların kullanımı tercih edilecektir.
7. Kamu kurum ve kuruluşlarınca gizlilik dereceli bilgilerin işlendiği yerlerde yayma güvenliği (TEMPEST) veya benzeri güvenlik önlemleri alınacaktır.
8. Kritik veri, doküman ve belgelerin bulunduğu ve/veya görüşmelerin gerçekleştirildiği çalışma odalarında/ortamlarında mobil cihazlar ve veri transferi özelliğine sahip cihazlar bulundurulmayacaktır.
9. Gizlilik dereceli veya kurumsal mahremiyet içeren veri, doküman ve belgeler kurumsal olarak yetkilendirilmemiş veya kişisel olarak kullanılan cihazlarda (dizüstü bilgisayar, mobil cihaz, harici bellek vb.) bulundurulmayacaktır.
10. Kişisel olarak kullanılanlar da dâhil olmak üzere kaynağından emin olunmayan taşınabilir cihazlar (dizüstü bilgisayar, mobil cihazlar, harici bellek/disk, CD/DVD vb.) kurum sistemlerine bağlanmayacaktır. Gizlilik dereceli verilerin saklandığı cihazlar, ancak içerisinde yer alan veriler donanımsal ve/veya yazılımsal olarak kriptolanmak suretiyle kurum dışına çıkarılabilecek; bu amaçla kullanılan cihazlar kayıt altına alınacaktır.
11. Yerli ve milli kripto sistemlerinin geliştirilmesi teşvik edilerek, kurumlara ait gizlilik dereceli haberleşmenin bu sistemler üzerinden gerçekleştirilmesi sağlanacaktır.
12. Kamu kurum ve kuruluşlarınca temin edilecek yazılım veya donanımların kullanım amacına uygun olmayan bir özellik ve arka kapı (kullanıcıların bilgisi/izni olmaksızın sistemlere erişim imkânı sağlayan güvenlik zafiyeti) açıklığı içermediğine dair üretici ve/veya tedarikçilerden imkânlar ölçüsünde taahhütname alınacaktır.
13. Yazılımların güvenli olarak geliştirilmesi ile ilgili tedbirler alınacaktır. Temin edilen veya geliştirilen yazılımlar kullanılmadan önce güvenlik testlerinden geçirilerek kullanılacaktır.
14. Kurum ve kuruluşlar, siber tehdit bildirimleri ile ilgili gerekli tedbirleri alacaktır.
15. Üst düzey yöneticiler de dahil olmak üzere, personelin sistemlere erişim yetkilendirmelerinin, fiilen yürütülen işler ve ihtiyaçlar nazara alınarak yapılması sağlanacaktır.
16.  Endüstriyel kontrol sistemlerinin internete kapalı konumda tutulması sağlanacak, söz konusu sistemlerin internete açık olmasının zorunlu olduğu durumlarda ise gerekli güvenlik önlemleri (güvenlik duvarı, uçtan uca tünelleme yöntemleri, yetkilendirme ve kimliklendirme mekanizmaları vb.) alınacaktır.
17.  Milli güvenliği doğrudan etkileyen stratejik önemi haiz kurum ve kuruluşların üst yöneticileri ile kritik altyapı, tesis ve projelerde görev alacak kritik önemi haiz personel hakkında ilgili mevzuat çerçevesinde güvenlik soruşturması veya arşiv araştırması yaptırılacaktır.
18. Kamu e-posta sistemlerinin ayarlan güvenli olacak biçimde yapılandırılacak, e-posta sunucuları, ülkemizde ve kurumun kontrolünde bulundurulacak ve sunucular arasındaki iletişimin şifreli olarak yapılması sağlanacaktır.
19.  Kurumsal olmayan şahsi e-posta adreslerinden kurumsal iletişim yapılmayacak, kurumsal e-postalar şahsi amaçlarla (özel iletişim, kişisel sosyal medya hesapları vb.) kullanılmayacaktır.
20. Haberleşme hizmeti sağlamak üzere yetkilendirilmiş işletmeciler Türkiye’de internet değişim noktası kurmakla yükümlüdür. Yurtiçinde değiştirilmesi gereken yurtiçi iletişim trafiğinin yurtdışına çıkarılmamasına yönelik tedbirler alınacaktır.
21.  İşletmeciler tarafından, kritik kurumların bulunduğu bölgelerdeki veriler, radyolink ve benzeri yöntemlerle taşınmayacak, fiber optik kablolar üzerinden taşınacaktır. Kritik veri iletişiminde, radyolink haberleşmesi kullanılmayacak; ancak kullanımın zorunlu olduğu durumlarda veriler milli kripto sistemlerine sahip cihazlar kullanılarak kriptolanacaktır.

 Bunların dışında genelgede bir Bilgi ve İletişim Güvenliği Rehberi hazırlanması gerektiği ve uygulanması konusunda düzenli denetimlerin yapılması gerektiği belirtilmiş.


Genelge bu haliyle daha önce yayınlanmış “Kamu Kurumların Uyması Gereken Asgari Kriterler” başlığında Ulaştırma Bakanlığı tarafından yayımlanan kadar teknik konulara girmemiş. Daha ziyade yönetim kadrosunun anlayabileceği dilden yazılmış. Bu haliyle, en azından kamu kuruluşlarının bu konudaki farkındalıklarını artırmaya faydası olacak gibi duruyor.  

Robotların yarattığı tehlike

Mert Özkan Özcan’a fikir ve destek için teşekkür ederim

 Tehlikeli robot (temsili)

Robotların dünyayı ele geçirdiği “korkunçlu” senaryolardan birisini kastetmiyorum. Google ve benzeri arama motorları tarafından kayıtlara alınmasını istemediğimiz sayfaları yazdığımız ve kısaca aşağıdaki benzer bir tablo oluşturan robots.txt sayfasını kastediyorum.

Göreceğiniz gibi arama motorlarına açıkça “bu sayfalara bakma” demek için kullandığımız bu sayfalar, saldırganlar için bir bilgi madeni olabilir. 2015 yılı itibariyle “gizleyerek güvenlik” (security through obscurity – korumaya çalıştığımız şeyleri saldırganlardan gizleyerek bir savunma hattı oluşturma fikri) yaklaşımından hızla çıkmamız gerekiyor. Binlerce belki de yüzbinlerce arama motorunun ve “örümceğin” sürekli gezdiği ve endekslediğin bir yer olan internete koyduğunuz hiç bir şeyi gizlemeniz mümkün değildir.

Sadece robots.txt dosyasına bakarak saldırganların ulaşabileceği bilgilere birkaç basit örneği aşağıda derledim.

Örnek 1: Yetkili kullanıcı girişi tespiti

Aşağıdaki örnekte, web sayfasının yetkili kullanıcı girişinin robots.txt dosyasına yazıldığını görüyoruz. 

kurum.gov.tr/administrator adresini ziyaret ettiğimizde ise aşağıdaki sayfayı görüyoruz. 

Bu sayfaya bakarak kurumun Joomla içerik yönetimi sistemini kullandığı konusunda bir tahmin yürütmemiz mümkün olabilir. Giriş ekranlarını atlatmaya yönelik teknikler bu sayfa üzerinde denenebilir ve zayıf parola kullanımı, fabrika ayarlı kullanıcı/parola eşleşmesi, kaba kuvvet giriş denemesi, vb. herhangi birinin başarılı olması durumunda saldırgan hedef web sayfasını değiştirebilecek hale gelebilir. 

Örnek 2: Hedef sistem tespiti

Aşağıdaki örnekte robots.txt dosyasında "/log/" adresini görüyoruz. 

Bu adresi ziyaret ederek, kullanılan sistem tarafından yayınlanan özelleştirilmiş bir hata ekranına ulaşıyoruz.

Örnek 3: Güvenlik tedbiri ifşası

Bir başka kurumunun web sayfasındaki robots.txt dosyası aşağıdaki gibidir;

Bu dosyadaki adresleri ziyaret ederek aşağıdaki bilgilere rastlıyoruz;

Web sunucusu dizin yapısı ve sunucu bilgisi ifşası.

Talebin "filtreleme modülü" tarafından engellendiğini belirten uyarı mesajı.

Bu örnekte de karşımıza yetkili kullanıcı girişi ekranı çıkmaktadır. Bu seferki içerik yönetim sisteminin özel olarak geliştirilmiş olması ve geliştiren firmanın da bilgilerinin ekranda bulunması bu yapının ticari veya yaygın olarak kullanılan içerik yönetim sistemlerine göre daha az güvenli olabileceğini düşündürüyor. 

Örnek 4: Kullanıcı bilgileri ve kullanım alışkanlıkları ifşası

Güvenlik ve yazılım konularında yazılar yazan ve kendini geliştiren, çok takdir ettiğim bir arkadaşımın sitesinde ise robots.txt dosyasında, pek çok şey arasında, "/statistics.html" adresini görüyoruz. 

Bu adresi ziyaret ettiğimizde ise sitenin yetkili kullanıcısının bilgilerini, yazdığı yazı sayısını ve siteye en son ne zaman giriş yaptığı gibi saldırgan için önemli olabilecek bilgilere ulaşabiliyoruz

Sosyal Medya'da Aldatılıyor Musunuz?

Her zamanki gibi…

O: Ne iş yapıyorsun?
Ben: “Hacker’ım”
O: (şüpheci) “Hacker?”
Ben: Şirketlerin siber güvenlik seviyelerini arttırmalarını sağlamak için hackerlar tarafından kullanılan araç ve teknikleri kullanarak sistemlerine sızıp, nasıl sızdığımı raporlayarak önlem almalarını sağlıyorum”
O: (benim son cümlemi zerre dinlemediği belli olurken) benim de bir arkadaşın Facebook’u…

O “arkadaş” çoğu zaman karşı cinsten olup, süren veya yakın zamanda bitmiş bir gönül ilişkisinin diğer paydaşı oluyor. Buna benzer talepler mail yoluyla doğrudan da geliyor “Hocam merhaba, eski erkek/kız arkadaşımın maili/Facebook’u…”

Taleplerin yasadışı olmasına karşılık insanların “aldatılıyor muyum?” sorusunu kendilerine sorması da gayet doğaldır. Bu nedenle, şimdiye kadar incelediğim bazı vakalardan yola çıkarak aşağıdaki ipuçlarını derledim.

Sosyal medya üzerinden yaşanan ilişkilerin önemli bir kısmının “gerçek” hayata yansımadığını görüyoruz. İnsanların bu ortamda daha rahat davranmalarının ise bazı bilimsek nedenleri var:

E-posta gibi değil
E-posta mesajlarını yazarsınız… gönderirsiniz… karşı taraf okur… cevap verir… sonuçta bu, ideal bir sohbet ortamından çok uzaktır. Ancak sosyal medya platformlarının sunduğu anında mesajlaşma ortamları yazışmaların gerçek zamanlı olarak ve karşılıklı yapılmasına imkan veriyor. Bu sayede, örneğin e-posta yazışmalarında, mesajlar arasında geçen sürede, duygular etkilerini ve yoğunluklarını kaybederken, anında mesajlaşma duyguların gerçek iletişimlerde olduğu gibi yaşanmasına imkan veriyor. Birlikte güldüğünüz, birlikte üzüldüğünüz algısı anında mesajlaşma ile kurulan iletişim sırasında duyguların ortaya çıkmasına ve “yaşamasına” imkan veriyor.

Parmaklarınızın ucunda
Muhasebe bölümündeki hoş kızı/çocuğu düşünün. Gerçek hayatta flörtle uzaktan yakından alakası olan bir ortamın oluşması için kahve molasında, öğle tatilinde veya iş dışında, üstelik belli bir süre birlikte olmanız gerekecekti. Sosyal medya sayesindeyse gerek kedi videosuna yorum yaparak, gerek doğum gününü kutlayarak sürekli iletişim halinde kalabilirsiniz.

Klavye kahramanlığı
Gerçek hayatta birinin gözlerinin içine bakarak söyleyemeyeceğiniz kadar “cesurca”, hatta “ayıp” şeyleri klavye ve ekranın arkasında olmanın verdiği güven hissi sayesinde çekinmeden yazabiliyoruz.

Masum olduğunuz yanılgısı 
Sanal olması, gerçek hayatta bir yansıması olmaması sosyal medya üzerinden yaşanan ilişkilerin zararsız olduğu hissine kapılmamıza neden olabiliyor. Bu nedenle bazı sosyal medya “arkadaşlıklarını” aldatma olarak görmüyor ve devam ettiriyoruz.

Gizlilik yanılgısı
İki kişi arasındaki bir Facebook mesajının gizli olduğu varsayımı ile mesajlarımızı kimsenin göremeyeceğini varsayıyoruz. Hacker olarak çalıştığım yılların bana öğrettiği bir şey varsa o da, söz konusu internet olduğunda, gizliliğin sadece bir hayal olduğudur.

Tehlikeli bölgede olduğunuzu nasıl anlarsınız? (veya eşiniz sizi sosyal medya üzerinden aldatıyor mu?)

Yukarıda ele aldığımız nedenlerle ve insan psikolojisinin doğal bir sonucu olarak kendinizi bir sosyal medya ilişkisinin içinde bulabilirsiniz. Aşağıdaki maddeler sizin böyle bir ilişki içerisinde bulunup bulunmadığınızı anlamanızı sağlayacaktır. Bu maddeler aynı zamanda eş veya sevgilinizin de sosyal medya üzerinde bir ilişki yaşaması halinde gözlemlenebilecek davranışlardır. Bu noktada önemli bir uyarı yapma ihtiyacı duyuyorum, bu maddelerden birinin veya birkaçının size veya eşinize uyması KESİNLİKLE aldattığınız veya aldatıldığınız anlamına gelmez, aklımızı kullanalım, sakin olalım.

1. Bu kişiyi eklerken içiniz rahat değildi 
   Tamam, tanıyorsunuz ama iş/okul dışında da ortak bir noktanız yok gibi. Arkadaşlık isteğini “ayıp olmasın” diye kabul etmek zorunda kaldınız. Hayal kurmayın, bu tedirginlik içgüdülerinizin “size asılacak” demesidir.
2. Mesajlarınızı kontrol etmek bir dürtü haline geldi
   “Acaba bir şey yazdı mı?” sorusu sürekli aklınızda ve siz fark etmeden bile eliniz telefona gidiyor ve mesajlarınızı kontrol ediyorsunuz.
3. Bilgisayarın başından kalkmak veya telefonunuzu elinizden bırakmak zorlaştı
   Mesaj programının önünüzde açık olmadığı dakikalar size saat gibi gelmeye başladı. Telefon adeta elinizin bir uzantısı halini aldı. Evet, siz bu sosyal “arkadaşınıza” bir sosyal “arkadaşın” başka bir sosyal “arkadaşa” vermesi gerekenden çok daha fazla değer veriyorsunuz demektir.
4. Eşiniz/sevgiliniz odaya girdiğinde boş masaüstüne bakıyorsunuz
   İtiraf vakti; yaklaştığını duydunuz ve tam odaya girmeden mesajları yazdığınız ekranı kapattınız. Karşınızda ya boş masaüstü kaldı, ya da alt tarafta açık olduğunu bile unuttuğunuz bir sayfanın en anlamsız bölümü.
5. Sosyal medya “arkadaşınıza” eşinize karşı olduğunuzdan çok daha açıksınız, daha çok konuda ve size daha anlamlı gelen paylaşımlarınız var
   Müdürünüzle konuştuklarınızı, trafiği, arkadaşlarınızla aranızda geçenleri eşinizden/sevgilinizden önce sosyal medya “arkadaşınıza” anlatıyorsunuz. Öyle ki, bazı günler aynı şeyi ikinci kez anlatamayacak kadar yorgun olduğunuz veya içinizden gelmediği için eşiniz/sevgilinizle paylaşmıyorsunuz bile.
6. Telefonunuzun tuş kilidini açmak matematik problemi çözmekten daha zor
   Tuvaletteyken, yemek yaparken veya uyurken bir şekilde telefonunuzun “ortada kalması” halinde eşinizin okumasını istemediğiniz mesajların da yoğunluğuna bağlı olarak parolanızı veya kilit şeklinizi değiştirdiniz/zorlaştırdınız.
7. Yüz yüze görüşme fikri size sıcak gelmeye başladı
   Sadece yazmak size yetmemeye başladı, gerçek hayatta görüşmek ve paylaşımlarınızı orada da sürdürmek istiyorsunuz. Kendinize bile itiraf edemeseniz de; sosyal medya “arkadaşınızı” resmen özlüyorsunuz.
8. Sosyal medya “arkadaşınızın” sizinle yazışmadığı zamanlarda neler yaptığını düşünmeye başladınız
   Lisedeki gibi; kendinize “acaba şimdi ne yapıyor?”, “acaba o da beni düşünüyor mudur?” benzeri naif sorular sormaya başladınız. Dalgınsınız, eşinizin/sevgilinizin söylediklerinin yarısını dinliyorsunuz, aklınızın bir köşesinde hep sosyal medya “arkadaşınız” var.
9. Sosyal medya “arkadaşınızla” diğer arkadaşlarınızla veya ailenizle geçirdiğinizden daha fazla süre geçirmeye başladınız
   Akşam yemeğinizi yediniz normalde televizyon seyredecekken elinize telefonunuzu alıp “arkadaşınızla” yazışmaya başladınız. İştekilerle öğle yemeğine gittiniz, onlarla sohbet etmek yerine telefonunuz elinizde “arkadaşınızla” yazışıyorsunuz. Evet, fiziksel olarak aileniz veya arkadaşlarınızla olabilirsiniz ama zamanınızı onlarla değil, “arkadaşınızla” geçiriyorsunuz.
10. Siz veya “arkadaşınız” birbirinize karşı olan duygularınızı açıkça yazmaya başladınız
    “Seni seviyorum” da yazılmış olabilir, “biliyor musun seninle aynı katta çalışırken sana hayrandım” gibi daha masum ve kaçış planı hazır (örn. ama şimdi Deniz’le çok mutluyum, o benim herşeyim, önümüzdeki ay Paris’te evleniyoruz) bir cümle de. Hangisi olursa olsun, duygular artık açıkça yazılmaya başlandı.
11. Sosyal medya arkadaşınız size eşiniz veya sevgilinizden daha çekici gelmeye başladı
    Gerçekten açıklamaya gerek var mı?
12. İkinizden biri “sence de çok hızlı gitmiyor muyuz?”, “daha önce böyle bir şey yapmamıştım”, “bu yazdıklarıma ben bile inanamıyorum”, “anlatsam inanmazlar”, “sanki bunları yazan başkası” gibi cümleler kuruyorsanız
    Evet, bunları yazan siz değilsiniz, sağduyunuz. İçgüdüsel olarak bir şeylerin ters gittiğinin farkındasınız ve karşı taraftan vicdanınızı rahatlatacak şeyler duymaya ihtiyacınız var. Bu cümlelerin ayrıca karşı tarafın kendini özel hissetmesini sağlarken sizin de olası bir kaçış planınızın temelini oluşturma gibi işimize çok yarayan özelliklerinin olduğunu hepimiz biliyoruz.

Kurumsal Kaynak Planlama Yazılımı (ERP) güvenliği

İş hayatına ilk başladığım yıllarda ERP çok moda bir kelimeydi. Şirketler kurumsal kaynak planlama yazılımlarına yatırım yapıyor, fabrikalardaki süreçler bunlara aktarılıyor ve patronlar oturdukları yerden üretimi, satışları ve finansal durumu “anında” görüyorlardı. “Anında” diyorum çünkü bu şimdiki haliyle “anında” kavramından ziyade Müdürlerden birinin “kimse işlem yapmasın rapor çalıştıracağım” diye yaptığı bir uyarının ardından geçen 1-2 saatlik zaman dilimiydi.

Bugün geldiğimiz noktada “patron” durumu gerçekten anında görebiliyor. ERP yazılımlarının güvenliği ise, o yıllarda kimsenin umurunda olmayan bir konuyken, bugün güvenlik alanında çalışanların ciddi kafa yormasına neden olmaktadır.

ERP güvenliği neden zor?
Bütün yazılımlarda bulunan güvenlik zafiyetlerine ek olarak ERP yazılımlarının güvenlik açısından daha da zor bir konu haline gelmesine neden olan birkaç önemli nokta vardır;

1. ERP yazılımların karmaşık yapıları vardır
2. ERP yazılımları dış dünyadan yalıtılmıştır
3. Ağ katmanından uygulama katmanına kadar pek çok zafiyetten etkilenirler
4. Ya hiç ya da çok seyrek güncellenirler

KDBA 12 cilt tekmili birden 
Buna karşılık KDBA (Kulaktan Dolma Bilgiler Ansiklopedisi) kaynaklı bazı argümanlar ağ/sistem yöneticilerinin bir kısmının bu güvenlik sorunlarını görmezden gelmelerine neden olmaktadır.

1. Dış dünyayla bağlantısı olmadığı için ERP internet kaynaklı saldırılardan etkilenmez
2. ERP üreticisi firma güvenliği zaten sağlar
3. Kimse bize özel yazılmış bir modülde zafiyet aramakla uğraşmaz
4. Her kullanıcın yapabilecekleri zaten sınırlı

KDBA Cilt 1: Dış dünyayla bağlantısı yok
Kötü haberi hemen vereyim, aslında var. ERP yazılımınız doğrudan internete veya VPN ile başka bir ofise/fabrikaya bağlı olmayabilir, ama yazılımı kullandığınız ağ internete bağlı. 2015 yılında “o internete bağlı” değil demek, son derece özel bir kullanım şekliniz yoksa (örn: bütün sistem hiç bir yere bağlı olmayan tek bir bilgisayar üzerinde çalışmıyorsa) büyük ihtimalle ucundan/kıyısından internete bağlısınız. Bu durumda saldırganların ERP yazılımınıza giden bir yol bulması ve bunu kullanarak bu yazılımınızı hedef almaları pekala mümkün olacaktır.
Gelişen iş yapış biçimleri nedeniyle bazı durumlarda uygulamanın doğrudan internete açılması da gerekebilir. Bu durumda ERP yazılımı, internet uygulamalarına karşı gördüğümüz saldırıların tamamından etkilenecektir. İnternet üzerinden erişilebilir durumda olan bir ERP yazılımının kullanıcılarının sosyal mühendislik saldırılarının hedefi olacağını da burada belirtmekte fayda var.

KDBA Cilt 2: ERP Üreticisi firma güvenliği zaten sağlar
Kötü haber var, daha kötü haber var. Kötü haber; hayır ERP üreticisi güvenliği sağlamıyor. Daha kötü haber; çoğu lisans anlaşmasında ERP üreticisi firmanın böyle bir sorumluluğu da yok. Peki bu ERP yazılımı üreten firmanın bize istediğini satabileceği anlamına mı geliyor?
Tabii ki hayır. Yazılım üreticileri teknik aksaklıklar, yazılım ve mimari hataları düzeltmek ve bunlara karşı tedbir almak için çok sıkı çalışıyorlar zaten.
Ancak bunların dışında kalan aşağıdaki konular büyük ölçüde ERP yazılımını kullananların sorumluluğundadır:

• Kurulum sırasında yapılan mimari hatalar
• Fabrika ayarlarında bırakılan konfigürasyonlar / konfigürasyon hataları
• Kullanıcı hataları
• Yama ve güncellemelerin yapılması
• Eksik/yanlış politika ve süreçler

Kısaca ERP yazılımını üreten firma size güvenli bir yazılım teslim etse bile kurulum, konfigürasyon ve kullanım sırasında yapılabilecek hatalar güvenlik zafiyetlerine neden olabilir.

KDBA Cilt 3: Kimse bize özel yazılmış bir modülde zafiyet aramakla uğraşmaz
Öyle ya Windows işletim sisteminde bir zafiyet bulup şan, şöhret ve para kazanmak dururken kim bizim ABAP’ta haftalarca uğraşıp zar zor yazdığımız bu modülle uğraşsın? İşin gerçeği bir saldırganın kendi kullanımınız için geliştirdiğiniz bir modülde zafiyet bulması Windows gibi bir sistemde zafiyet bulmasından çok daha kolaydır. ERP yazılımlarının da kurumsal bütçeye yakın uygulamalar olmaları (dolayısıyla para çalmak isteyen bir saldırgan için cazip bir hedef) bu uğraşı haklı çıkartacaktır. Önceki iki varsayımın sonucu olarak çoğu ERP yazılımı ve modülü günümüz saldırganları tarafından kullanılan tekniklere karşı oldukça savunmasızdır. Windows, MAC OS, Linux, iOS gibi yaygın işletim sistemleri üzerinde binlerce kişi her gün zafiyetler ararken bu taramadan hiç geçmemiş, dolayısıyla hiç bir açığı tespit edilip kapatılmamış modülünüz büyük ihtimalle saldırgan karşısında fazla dayanamayacaktır.

KDBA Cilt 4: Her kullanıcın yapabilecekleri zaten sınırlı
Görevler ayrılığı ilkesi gereği her kullanıcının yetkilerini özel olarak ayarlamış olabilirsiniz. Bu zaten yapılması gereken birşey ve, ne yazık ki, tek başına bir güvenlik tedbiri sayılamaz. OWASP tarafından yayınlanan Kurumsal uygulama güvenlik zafiyetleri Top 10 listesi (OWASP Enterprise Application Security Project) tarafından ortaya konulan en yaygın olarak görülen güvenlik zafiyetleri listesinde kullanıcı hakları yönetiminden kaynaklı zafiyetler ancak üçüncü sırada yer almaktadır. Yama ve güncellemelerin yapılmaması ve fabrika çıkışı (default) parola kullanımı çok daha büyük sorunlardır.

ERP güvenliğinin zorlukları
Başta söylediğim gibi ERP yazılımları karmaşık yapılar üzerine kuruludur ve karmaşık olan herşeyin güvenliğinin sağlanması zordur. ERP güvenliği için yapılabilecek 5 basit şey sıralamak gerekirse aşağıdaki liste bize bir ölçüde yol gösterecektir.

1. Güvenli bir ERP yazılımı bulmak: Çoğu üreticinin yazılımları nispeten güvenlidir. Size özel gelişitirilen veya sizden başka çok az kullanıcısı olan yazılımlarının güvenliği konusunda endişeleriniz varsa yazılımı almadan önce tarafsız bir şirketten yazılım güvenliğine ve performansına ilişkin testlerin yapılmasını ve bulunan zafiyetlerin giderilmesini talep edebilirsiniz.

2. Güvenli bir kurulum yapmak
Yazılımın kurulacak ağ mimarisinin güvenli olması, yazılımın çalışacağı sunucuların işletim sistemlerinin güvenliği, fabrika çıkışı kullanıcı adları ve parolaların değiştirilmesi, üretici tarafından sunulan ek güvenlik seçenekleri/modülleri varsa bunların devreye alınması gibi konular titizlikle ele alınmalıdır.

3. Yazılımı yönetenlerin eğitimini sağlamak
ERP yazılımı üzerinde hangi değişikliklerin nasıl yapılacağının belirlenmesi, hangi kullanıcıların hangi yetkilerle bu yazılıma erişebileceği, uzaktan erişim şartlarının ne olduğu, kullanıcı davranışlarının ve veri tabanı hareketlerinin nasıl izleneceği gibi konular ele alınmalıdır.

4. Kullanıcı farkındalığının artırılması
Kullanıcıların oltalama saldırıları gibi sosyal mühendislik saldırılarına karşı bilinçlendirilmesi bu saldırılara karşı alınabilecek en etkili tedbirdir. Kullanıcı eğitimlerine güvenlik konusu mutlaka dahil edilmelidir.

5. Süreçlerin sürekli denetlenmesi
ERP yazılımının, kullanıcılarının ve veritabanının sürekli izlenmesi ve saldırgan veya alışılmışın dışında gözlemlenen hareketlerin hızlıca tespit edilip gerekli müdahalelerin yapılması hayati önem taşımaktadır.

İnternete bağlı olmayan sistemleri hacklemek

Son zamanlarda “side channel” olarak adlandırılan “yan kanal” saldırıları üzerinde yapılan çalışmalar ve elde edilen başarılı sonuçlar bu saldırı vektörünün önümüzdeki yıllarda daha fazla kullanılabileceğinin göstergesidir. Bir sistemle Ethernet bağlantısı gibi “normal” tabir edebileceğimiz bir iletişim kanalı dışında elektromanyetik sinyaller veya işlemci tarafından tüketilen elektrik miktarından yola çıkılarak yapılan işlemi anlamak veya hedef sisteme komut göndermek mümkün olmaktadır.

İngilizcesi “air-gap” olarak bilinen ve özünde korumaya çalıştığımız ağ veya sistem ile internet arasında bir “hava boşluğu” oluşturmak üzerine kurulu olan yaklaşımın son zamanlarda çeşitli şekillerde atlatılabildiği ortaya çıkmaktadır. 2014 yılının yaz aylarında İsrail’de Ben-Gurion Üniversitesi Profesörlerinden Yuval Elovici bu konuda yeni bir yöntem ortaya koymuştu.

Hava boşluğu yaklaşımı günümüzde aşağıdaki gibi önemli ağ ve sistemleri korumak için kullanılmaktadır:
– Askeri/Hükümet sistemlerin güvenliği
– Finansal/Bankacılık sistemlerin güvenliği
– SCADA sistemleri gibi altyapı kontrolü için kullanılan sistemlerin güvenliği
– Nükleer tesis bilgisayar sistemleri
– Uçuş ve uçuş kontrol sistemleri
– Bilgisayar destekli tıbbi cihazların güvenliği

Belli bir hedefe özel geliştirilmiş ve APT (Advanced Persistent Threat) saldırıları dahilinde kullanılan zararlı yazılımların “megastar’ı” olan Stuxnet‘in hava boşluğunu USB bellek gibi taşınabilir depolama aygıtları sayesinde aşmaktadır. Geçtiğimiz yaz ortaya konulan araştırma sonuçları ise hava boşluğu ile sağlanan güvenliğin sistemlerin yaydığı elektromanyetik dalgalar kullanılarak atlatılabildiğini göstermiştir.

NSA’in COMSEC (Communication Security – iletişim güvenliği) altında ve “TEMPEST” kod adıyla bilinen bir program kapsamında sistemlerin yaydığı elektro-manyetik sinyallerin yakalanarak işlenmesi ve düşmanın da kendi elektro-manyetik sinyallerini yakalamasını engellemek üzerine çalıştığını zaten biliyorduk.

Geçtiğimiz senenin sonlarında Almanya’da bir araştırma biriminin iki adet Lenovo T400 laptop arasında, sadece fabrika çıkışı mikrofon ve hoparlörleri kullanarak veri alışverişi yapabilmiş olması IP dışında yöntemlerin veri sızdırılması için kullanılmasını gündeme getirmişti. Bağlantı hızı saniyede 20 bit ve uzaklık 19 metre idi ama pek çok kişinin aklında soru işaretleri oluşturmaya yetecek kadar önemli bir gelişmeydi. Bu gelişme üzerine TEMPEST’in önemi bir kez daha anlaşılmıştı.

TEMPEST standartlarının gizli olarak sınıflandırılmış olması sebebiyle bu konuda çok detaylı bilgiye sahip değiliz, ancak NATO’nun kendi TEMPEST standartları 3 temel koruma düzeyi belirlemektedir. Bunlar; NATO SDIP-27 seviye A, B ve C (NATO SDIP-27 Level A, B and C) olarak bilinmektedir. C seviyesi düşmanın korunması gereken sisteme 100 metreden fazla yaklaşamadığı senaryolara göre hazırlanmıştır ve A ve B seviyelerine göre biraz daha rahattır. B seviyesi ise düşman ile en az 20 metre mesafe olan durumlara göre düzenlenmiştir. NATO SDIP-27 seviye A ise düşmanın korunması gereken sistemlere 1 metre kadar yaklaşabileceği durumlara göre hazırlanmıştır.

Geçtiğimiz yaz ise Profesör Elovici hava boşluğu ile korunan sistemler için cep telefonlarının bir tehdit oluşturduğunu ortaya koydu. Oltalama (phishing) saldırısı ile akıllı telefona bulaştırılan bir zararlı yazılım bulaştığı telefonun bulunduğu ortamlarda havadaki elektro-manyetik sinyalleri taramaya başlıyor.

Zararlı yazılım havada tespit ettiği sinyallere müdahale ederek hedef sisteme bir zararlı yazılım yüklenmesini sağlıyor. Yüklediği zararlı yazılım ile telefon arasında radyo sinyalleri kullanan bir ağ oluşturan zararlı hedef sistemden elde ettiği bilgileri cep telefonunun bağlantılarını kullanarak dışarıya aktarmakta ve aynı şekilde talimatları telefon üzerinden almaktadır. Bu saldırının demosu aşağıdaki videoda görülebilir.

Profesör Elovici bu saldırılara karşı şu anda tek etkin yöntemin telefonları kapatmak olduğunu belirtiyor ancak günümüzde bunun ne kadar uygulanabilir bir çözüm olduğu tartışılır.

Bu ay ise, yine Ben-Gurion Üniversitesi’nde Profesör Yuval Elovici yönetiminde araştırmacı Mordechai Guri tarafından yapılan bir araştırmanın sonucu yayınlandı. Araştırma sonuçlarına göre hava boşluğu ile ayrılmış sistemlerden “BitWhisper” oalrak adlandırılan yöntem ile bilgi sızdırılabilmiştir.

Saldırı ele geçirilmiş ve hava boşluğu ile ayrılmış iki sistem arasında bilgisayarların içinde bulunan ısı sensörleri kullanılarak gerçekleştirilmektedir.

Aşağıdaki videoda birbirine kablolu veya kablosuz hiçbir bağlantısı olmayan iki sistem görülmektedir. Ekranın sağ tarafında görünen bilgisayar füze komuta sistemi olarak düşünülmüş ve USB portu üzerinden bu ufak çaplı simülasyona imkan verecek bir düzenek kullanılmıştır. Sol taraftaki sistem ise farklı bir ağa bağlı ve ele geçirilmiş bilgisayardır.
Saldırgan önce oyuncak füze rampasının döndürülmesi için bir komut, ardından da fırlatma komutunun gönderiyor.
Ekranın sol alt köşesinde ise bu işlemin sistem ısısı üzerindeki etkileri izlenebiliyor.

Ülkemizde de Aselsan tarafından üretilen SAHAB (2180 Sanal Hava Boşluğu Sistemi) veya tek yönlü veri iletişimine imkan veren data diyotları benzeri hava boşluğu ile korunan sistemlerin güvenliğinin sağlanması için kullanılan çeşitli yöntemler aklınıza gelebilir. Hava boşluklarını atlatmak için kullanılan yöntemlerin “yan kanal” (side channel) olarak adlandırılabilecek ve sistemlerin asıl iletişim yollarının dışında faaliyet göstermesi bu tür güvenlik sistemlerinin etkisiz kalmasına neden olmaktadır. Saldırı kodlarının iletilmesi için bilgisayarın ethernet kablosu yerine işlemcinin yaydığı ve kullandığı elektromanyetik sinyallerden faydalanılması bu tür yöntemlere verilebilecek güzel bir örnektir.

Bu gelişmelere rağmen hava boşluğu ile korunan sistemlerin güvenliğinin yok olduğunu söylemek mümkün değildir. Elektromanyetik veya ısı sinyallerinin net olmaması, ortamda benzer özelliklerde pek çok sinyal kaynağının bulunması (BitWhisper örneğinde güç kaynağı gibi diğer ısı kaynaklarını düşünebiliriz) saldırganların sinyalleri yakalamalarını ve kullanabilecekleri sinyalleri parazitlerden ayırdetmeleri oldukça sordur. Buna ek olarak elektromanyetik veya ısı sinyallerinin zayıf olmaları da işi biraz daha zorlaştırmaktadır. Georgia Institute of Technology araştırma görevlisi olarak çalışan Alenka Zajic daha önce bu sorunların saldırganlar tarafından nasıl aşılabileceğini kanıtlamak adına SAVAT adlı bir teknoloji geliştirmişti. Signal AVailable to ATtacker (saldırgan tarafından yakalanabilen sinyal) kelimelerinden türetilmiş bu isim belli bir komut veya programın işlemci tarafından uygulanırken oluşan elektromanyetik sinyallerin daha hassas biçimde yakalanmasına ve işlenmesine imkan vermektedir. Ben-Gurion üniversitesinin çalışmaları ise bu tür saldırıların üniversitelerin laboratuvarlarının dışında da görülebileceğini açıkça ortaya koymaktadır.

İlk bakışta bu saldırıların bazı askeri ağlar dışında kimi ilgilendirdiğini göremeyebiliriz ama bir sisteme Ethernet gibi normal kabul edilebilecek iletişim yolları dışında saldırabilmenin aşağıdaki senaryolarda sayısız faydası olacaktır;

Ortak veri merkezleri:
Saldırganın hedefin bulunduğu veri merkezine bilgisayar konumlandırabileceği veya aynı veri merkezinde bulunan ve hedefle doğrudan bağlantısı olmayan bir sistemi ele geçirebilmesi durumunda.

Sanallaştırma:
Bulut bilişim altyapıları gibi saldırganın hedefle aynı sanallaştırma platformundan makine kiralayabileceği durumlar. Bu tür altyapılar kullanıldığında sanal güvenlik duvarı gibi çözümlerin kullanılmasında fayda vardır. “Side channel” çalışmaları sanallaştırma platformları için de yürütülmekte ve hypervisor ile sanal makine arasında bilgi alışverişinin sanal ağ dışında sağlanabildiğini gösteren sonuçlar vardır. Sanallaştırma platformlarına karşı yapılan yan kanal saldırıları arasında en etkin olarak görüleni fiziksel makinenin işlemcisinin saldırgan tarafından izlenerek hedef sistemin işlemci kullanımının kaydedilmesidir.

Yukarıda sözü edilen saldırılar dışında bugün bilinen yan kanal saldırılarını aşağıdaki başlıklara ayrılabilir;
– Zamanlama saldırıları: Apache sunucu üzerinde mod_SSL ile belirli talepleri işlemek için gerekli süre ölçülerek 1024 bitlik şifreleme anahtarı tespit edilebildi.
– Akustik kryptanaliz: 10 dakikalık klavye sesi ile yazılan metnin %96’sı ve 10 haneli parolaların %69’u tespit edilebilmiştir.
– Güç tüketimi analizi: İşlemci tarafından harcanan güç ölçülerek “if” gibi şartlı işlemlerin sonucunun tespit edilmesi mümkün olmuştur.

Bu tür saldırılara karşı alınabilecek bazı tedbirler vardır. Ancak hem saldırıların henüz çok yaygın olarak görülmüyor olması hem de tedbirlerin bazılarının ciddi yeniden yapılandırma çalışmaları gerektirebileceğini düşünerek askeri, kamu kurumu ve savunma sanayi gibi stratejik sektörler dışında kalanların bu saldırılar konusunda henüz paniklemelerine gerek olmadığını söyleyebiliriz. Stratejik olarak sayabileceğimiz kurumların ise bu tür saldırılara ne kadar duyarlı olduklarını ortaya çıkartmalarında fayda vardır.

Yan kanal saldırılarına karşı alınabilecek bazı tedbirler şunlardır:
– Elektromanyetik sinyallerin yayınlanmasını engelleyecek tedbirlerin alınması
– Kullanılan altyapının kimlerle ve nasıl paylaşıldığının denetlenmesi ve gerekli hallerde sistemlerin yerlerinin değiştirilmesi
– Kurum içerisinde cep telefonu kullanımının sınırlandırılması ve hava boşluğu ile korunan sistemlerin duvarlara, pencerelere ve internete bağlı diğer sistemlere olan uzaklığının denetlenmesi.
– Farklı sinyal kaynaklarını eklenerek parazit oluşturulması.
Araştırmalar bu tür bir parazit sinyal kaynağının bulunduğu ortamlarda başarılı bir saldırı için saldırganın en az iki kat fazla sayıda sinyal numunesine ihtiyaç duyduğunu göstermektedir.

Bu tedbirler dışında, biraz daha teknik olmakla beraber aşağıdaki önemlerin düşünülmesinde fayda vardır;
– Rastgele anlarda ve kritik bir işlem yapılmıyorken işlemcinin çalıştırılması (örn: rastgele şifre çözme ve şifreleme işlemlerinin yapılması)
– Kararların IF yerine AND veya OR gibi operatörlerin veren uygulamaların kullanılması
– Rastgele bekleme (DELAY) eklemek

Yukarıdaki liste, yan kanal saldırılarına karşı savunma mantığının nasıl kurulması gerektiğine dair bir fikir vermesi için derlenmiştir ve tam ve eksiksiz bir liste olarak düşünülmemelidir.

Mevcut bilgi güvenliği yönetimi anlayışımızın dışında yaklaşımlar sergilememizi gerektiren bu saldırı vektörü konusunda yeni çalışmalar konusunda meraklanmamak elde değil.  

Tıbbi Cihazların Hacklenmesi

Billy Rios adlı bir Bilgi Güvenliği Uzmanı geçtiğimiz yaz ölümcül bir durumla karşı karşıya kalmasına neden olan bir durumda hastanenin acil servisine girdiğinde kendi durumunun kritikliğine çok az odaklanabilmişti. Bunun nedeni ise, acil serviste gördüğü otomatik ilaç pompalarını daha önce yürüttüğü bir güvenlik araştırmasından hatırlamasıydı. Bilgi Güvenliği Uzmanının beyin omurilik sıvısın burnundan akıyor olmasından çok, onu bağlayacakları ilaç pompasının “hacklenmesi” konusunun endişelendirmesinin somut bir nedeni vardı.

Rios’un tespit ettiği zafiyet her hangi birinin internet üzerinden pompanın ilaçlar için belirlediği üst ve alt doz miktarlarını değiştirmesine imkan veriyordu. Bu güvenlik açığından faydalanan bir hacker pompaların ölümcül sınırların üstünde ilaç verip hastaların ölümüne neden olmalarını sağlayabilirdi.

Bu konuda araştırma yapan başka bilgi güvenliği uzmanları daha önce internet üzerinden erişilebilir ve yönetilebilir halde insülin pompaları, defribilatör ve çeşitli tıbbi cihaz tespit etmişlerdi. 2011 yılında Jerome Radcliffe adlı bir araştırmacı birkaç dolarlık basit bir düzenek kurarak otomatik insülin pompalarının dozlarının uzaktan değiştirilebileceğini göstermiş ve ondan beri her sene kalp pilinden, radyoloji cihazlarına kadar pek çok tıbbi cihaz için yeni “hacklenme” yöntemleri ortaya çıkmaktadır.

  Üzgünüz, böbreğinizi “hacklemişler” (temsili) 

İlaçları hastalara otomatik olarak veren bu pompaların üreticilerinin dokümanları cihazların yazılımlarında “insan hatasından kaynaklanan nedenlerle yanlış doz kullanımı” durumlarına karşı ek tedbirlerin bulunduğu açıkça belirtmektedir. Rios tarafında tespit edilen güvenlik zafiyeti ise, cihazın hastane yönetim sistemi ile kurduğu iletişime müdahale ederek, sistemden alması gereken güncelleme yerine saldırgan tarafından gönderilen sahte güncellemenin cihaza yüklenmesine imkan veriyor. Bu sayede hacker pompanın kendi üzerinde bulunan ve bu tür müdahalelere karşı bir miktar koruması bulunan yazılıma saldırmak yerine bu pompaları merkezi olarak yöneten yazılıma müdahale ederek amacına ulaşabilir.

Billy Rios, markasını burada vermeyeceğim ancak dünya genelinde 55,000’den fazla hastanede kullanılan bu ilaç pompalarını yöneten yazılımda 4 farklı güvenlik zafiyeti tespit etmiştir.

Tespit ettiği bu yazılım kaynaklı güvenlik zafiyetlerine ek olarak sistemlerin güncellemeleri için kullanılan işlemlerde de önemli bir zafiyet bulunmaktadır. Akıllı telefonlarımızın güncelleme indirirken güncellemenin kaynağını ve indirilen güncelleme dosyasının bütünlüğünü kontrol etmesini sağlayan bazı tedbirler vardır ve bu nedenle her hangi birinin size “uygulama güncellemesiymiş gibi” zararlı yazılım gönderme imkanı yoktur. Rios, yaptığı çalışmalarda, yazılımda tespit ettiği güvenlik zafiyetlerine ek olarak bu tür bir kontrolün de yapılmadığını görmüş. Bu zafiyet her hangi birinin “güncelleme” dosyası gibi görünen bir zararlı yazılımı pompaya yükleyerek pompanın yönetimini ele geçirmesine imkan verebilir.

Her geçen gün, kardiyolojiden onkolojiye kadar geniş bir yelpazede kullanılan başka cihazların da hastane yönetim sistemleri ile bağlantılı halde (güncelleme, doz, tedavi veya hasta bilgisi gibi verileri gönderip aldığı) çalışmaya başlaması tıbbi cihazların güvenliği konusunu gündemimize taşımaktadır. Nesnelerin interneti konusunun somutlaşmaya başladığı bu günlerde, özellikle acil servis gibi noktalarda cihazların gerçek zamanlı veri akışına imkan verecek biçimde birbirine veya bir sisteme bağlı olması hayat kurtarabilecek bir gelişmedir.

Geçtiğimiz senenin Ekim ayında A.B.D. İç Güvenlik Bakanlığı (U.S. Department of Homeland Security) 20’den fazla tıbbi cihazın hackerlar tarafından ele geçirilebileceği düşüncesiyle geniş çaplı bir araştırma başlatmıştı. Reuters haber ajansına kimliğini gizleyerek açıklamalarda bulunan bir bakanlık yetkilisi, araştırmaların siber saldırı şüphesi üzerine başlatıldığını söylemişti. Söz konusu tıbbi cihazların “hacklenmesi” olduğunda 2007 yılında, o dönemin A.B.D. Başkan Yardımcısı olan Dick Chenney’in kullandığı kalp pilinin kablosuz iletişim özelliğini devreden çıkarttığını hatırlamadan edemeyiz. Bu konu çok geniş yankılar bulmuş ve bazı dizilerin senaryolarına bile eklenmişti.

Tıbbi cihazların “hacklenmesi” konusunda tek felaket senaryosu birilerinin uzaktan öldürülmesi ile sınırlı değildir. Bu cihazların hasta kayıtlarını ve verileri gönderdiği ve depoladığı sunucuların da bu cihazlarla olan iletişiminin güvenlik seviyesinin yetersiz olduğunu gösteren araştırmalar vardır. Bu seviyedeki güvenlik zafiyetlerinin istismar edilmesi hasta kayıtlarının silinmesine veya değiştirilip yanlış teşhis ve tedavilere neden olunmasına imkan verebilir.

Tıbbi cihazlarının güvenliği konusunda karşılaşılan en büyük sorunlardan birisi de bu cihazların yönetildiği ara yüzlerin internet üzerinden erişilemez olduğu ve sadece hastane içerisindeki bir bilgisayardan çalıştığı varsayıldığı için asgari güvenlik tedbirlerinin de bir bölümünün alınmamasıdır. Örneğin, hemşire bilgisayarından yönetilen veya takip edilen bir cihazın kontrol paneline ulaşmak için ya hiç parola istenmemesi veya “1234” gibi çok basit parolaların kullanılması, tıbbi cihazların güvenliğini olumsuz yönde etkilemektedir. Yaptığım güvenlik testlerinden birinde 100’e yakın hemşirenin kullandığı bir yazılımda “test” adlı tek bir kullanıcı gördüğümde inanamamıştım, sonradan bu kullanıcının hastane henüz yazılımı almadan denerken açıldığı ortaya çıkmıştı. Hastane yazılımı satınaldıktan sonra da kimse yeni kullanıcılar eklemekle uğraşmamış, mevcut kullanıcı bilgilerini paylaşıp kullanmaya devam etmişlerdi.

İnternete doğrudan bağlı olmasa bile başka cihaz veya sistemlerle kablolu veya kablosuz olarak her hangi bir şekilde iletişim kuran bütün cihazların “hacklenebilir” olduğunu hatırlayıp gerekli güvenlik tedbirlerinin alınmasında her zaman fayda vardır.

Webcam Adlı Kısa Filmde Bir Siber Suçlu Kurbanını Ele Geçiriyor…

“Webcam” adlı kısa film; bir siber suçlunun kurbanını ele geçirdiği laptopun kamerası üzerinden izlemesiyle başlıyor ve çok da “sürpriz” sayılamayacak bir sonla bitiyor.

Bilgi güvenliği konusunda yaptığım uyarılar, ne yazık ki, bazen “bilgisayarımda zaten önemli bir bilgi yok”, “benim ders notlarımı kim ne yapsın?” veya “Skype konuşmalarımı dinleyecekler de ne olacak?” gibi tepkilerle karşılanıyor. İş için kullandığımız bilgisayarları neden güvende tutmamız gerektiği konusunda sanıyorum kimsenin bir şüphesi yoktur, ancak kişisel bilgisayarlarımızın güvenliğini doğrudan birinin etkileyebileceğini unuttuğumuz için bu sistemlerin güvenliğinin ne kadar önemli olduğunu gözden kaçırmak mümkün olabilir.

Her şeyden önce evde kullandığımız bilgisayarlar, laptoplar ve tabletlerin güvenliği siber suçlulara evimize ve hayatımıza bir pencere açabileceği için önemlidir. Eve kaçta geliyoruz? İşe kaçta gidiyoruz? hangi sitelerde geziyoruz? Sosyal paylaşım sitelerindeki kullanıcı bilgilerimiz ve parolalarımız neler? Özel yazışmalarımızın içeriği nedir? Evde yalnız mı yaşıyoruz? Çocuğumuz hangi  konuda ödev yapıyor? Tatile nereye gittik? Kimlerle fotoğraf çektirdik? Kredi kartı numaramız nedir? Gibi bilgisayar üzerinde tuttuğumuz bütün kişisel verilerimiz, bilgisayarımıza sızan bir siber saldırgan tarafından ele geçirilebilir. Bunlardan çok daha tehlikeli olan bir şey ise kamera ve mikrofon üzerinden siber suçluların sizi ve evinizi, bilgisayarınız açık olduğu sürece aralıksız izleyebilecek bir yapı kurmalarının mümkün olmasıdır.

Evde kullandığımız bilgisayarları güvende tutmak ve bu sayede kendimizin ve sevdiklerimizin güvenliğini ve mahremiyetini korumak için aşağıdaki ipuçlarını dikkate almakta fayda var.

1.Antivirüs kullanınBundan kaçışımız ne yazık ki yok. Apple Macbooklarınızda, Windows bilgisayarlarınızda veya Android tablet ve telefonlarınızda mutlaka antivirüs yüklü olmalıdır. Rakamlar korkunç, günde 70 ila 80 BİN (yetmiş bin, rakam ile 70,000) yeni zararlı yazılım sürümünün görüldüğüne dair raporlar var. Bu kadar yeni zararlı yazılım 7/24 aralıksız olarak bulaşacak yeni sistemler arıyor ve, buluyorlar da. Yukarıda saydığım işletim sistemlerinin tamamı için ücretli ve ücretsiz antivirüs yazılımları mevcuttur, bunlardan size en uygun olanını indirip kurmanızı öneririm.

2.Kullanmadığınız/bilmediğiniz yazılımları ve uygulamaları kaldırınBilgisayarınızda veya tabletinizde tam olarak ne işe yaradığını bilmediğiniz veya kullanmadığınız uygulamalar varsa bunlardan kurtulabilirsiniz. Bu sayede bu uygulamalara bulaşacak bir zararlı yazılım veya bu yazımlardaki güvenlik zafiyetlerini istismar ederek sisteme sızacak bir siber suçlu riskini ortadan kaldırmış olursunuz.

3.İşletim sisteminizi güncelleyinMac OS, Windows, iOS veya Android, ne olduğunun bir önemi yok, işletim sistemlerinin üreticileri düzenli olarak güncellemeler çıkartır. Güncellemelerin bir bölümü işlevsellik veya mevcut sorunları ortadan kaldırmaya yöneliktir ancak önemli bir kısmı tespit edilmiş güvenlik zafiyetlerinin kapatılmasını amaçlamaktadır. Siber suçluların bu güncellemeleri yakından takip ettiklerini biliyoruz. Her güncelleme ile birlikte üreticilerin yayınladığı “X bileşeninde bulunan y zafiyeti kapatılmıştır” türü notlar suçluların dünyasında neredeyse altın değerindedir, bu bilgiler doğrultusunda bir önceki sürümde (veya güncelleme öncesi durumda) var olan güvenlik zafiyetlerine yönelik istismar teknikleri geliştirirler Her hangi bir güncellemeyi çıkar çıkmaz uygulamak işletim sisteminizi güvende tutmanızı sağlar.

4. Ziyaret ettiğiniz sitelere dikkat edinSadece oyun ve pornografik içerikli sitelerin değil, “normal” görünen sitelerin de zararlı yazılım dağıtmak için kullanıldığını pek çok olayda gördük. Siber suçluların popüler sitelere reklam verip, daha sonra reklam içeriğini değiştirip buralarda da zararlı yazılım dağıttığı olaylarda da artış gözlemlenmektedir. Bu nedenle ziyaret ettiğiniz sitenin ne olduğuna dikkat etmekte fayda var. Örneğin Facebook gibi görünen bir site pekala siber suçlular tarafından hazırlanmış bir tuzak olabilir. Adres çubuğuna ve bulunduğunuz siteye nasıl geldiğinizi düşünün. Bankanızdan gelen bir e-postadaki bağlantıya mı tıkladığınız? Tanımadığınız birinin Facebook’tan gönderdiği mesajdaki bağlantıyı tıkladınız ve Facebook sizden tekrar giriş yapmanızı mı istedi? Bu iki örnek üzerinde sayısız senaryo türetilebilir

5.Tahmin etmesi zor parolalar kullanınİnternet bankacılığından sosyal paylaşım sitelerine kadar pek çok yerde parola hem kişisel bilgilerinizi hem de kimliğinizi korur, bu nedenle tahmin edilmesi zor olması çok önemlidir. Küçük/büyük harf, sayı ve özel karakterlerden oluşan ve sözlükte bulunmayan bir dizilim olması çok önemlidir. Her site için farklı bir parola kullanmak ve parolalarınızı sık sık değiştirmek parolanızın güvenlik seviyesini artıracak ek tedbirlerdir

6.Tarayıcınızı güncel tutunSiber suçluların ve zararlı yazılımların sistemlerinizle ilk temas kurduğu yer çoğu zaman tarayıcınızdır (Chrome, Firefox, Explorer, Safari, Opera, vb.). Tarayıcınızda bulunan güvenlik zafiyetlerini istismar etmek için e-posta mesajlarından internet sayfalarına kadar geniş bir yelpazede saldırı vektörleri kullanılmaktadır. İşletim sistemlerinde olduğu gibi tarayıcınızın güncel olması sizi yaygın olarak bilinen pek çok güvenlik zafiyetinin istismar edilmesinden korur.

7.Farklı “işlere” farklı tarayıcılar kullanınTarayıcınızın ele geçirilmiş olması ihtimaline veya durumuna karşılık bankacılık ve online alışveriş gibi hassas bilgileri paylaştığınız işlemleri bir tarayıcıda, günlük internet kullanımınızı başka bir tarayıcı kullanarak yapmanızda fayda olabilir. Her iki tarayıcı da güncel tutarak kendinize ek bir güvenlik katmanı oluşturabilirsiniz.

8.Ortak kablosuz ağlara güvenmeyinEvde kullandığınız bir laptop veya tablet ile halka açık bir kablosuz ağı (Wi-Fi) kullanırken dikkatli olun. Mümkün olduğunca şifresiz bağlanılan kablosuz ağları kullanmayın ve, şifreli bile olsa, ortak bir kablosuz ağ üzerinden bankacılık işlemleri veya e-postalarınızı kontrol etmek gibi hassas işlemleri yapmamanızda fayda var.

9.Korsan yazılımlardan uzak durunİşletim sistemi, tasarım programı veya ofis yazılımı olabilir, korsan yazılım kullanıyorsanız siber suçluları ve zararlı yazılımları bilerek ve isteyerek sisteminize davet ediyorsunuz. Çoğu korsan yazılım yüklendikleri bilgisayarı veya tableti ele geçirmeyi amaçlayan siber suçlular tarafından hazırlanmakta ve yayılmaktadır. Korsan yazılımlar veya korsan olarak indirdiğiniz bir dizi bölümü veya film ile bilgisayarınıza erişmek için bir “arka kapı” açan siber suçlular bu kapıyı kullanarak hem kişisel olarak sizi hedef alırlar (bilgi ve mahremiyet kaybı) hem de sizin bilgisayarınızı ve internet bağlantınızı kullanarak başka sistemlere saldırırlar. Yeterince tehdit varken korsan yazılım ile “bile bile lades” yapmaya gerek olmadığını düşündüğümden, korsan yazılımdan uzak durulmasını şiddetle tavsiye ederim.

10.E-posta eklerine dikkat edinZararlı yazılımların e-postalarda ek veya bağlantı olarak gönderilmesi çok yaygın olarak görülen bir durumdur. Bu saldırılar özel olarak sizi (veya çalıştığınız yeri) hedef alabileceği gibi geniş çaplı “kampanyalar” kapsamında rastgele türetilen e-posta adreslerine gönderilmektedir. E-postanın kimden geldiğine (gerçek adres görünen isimden farklı olabilir), size mi gönderildiğine (BCC gibi gizli kopya olarak mı eklenmişsiniz?), ekinde nasıl bir dosya olduğuna (genel olarak .txt uzantılı dosyalar dışındaki bütün dosya türleri zararlı yazılım bulaştırmak için kullanılabilmektedir) gibi teknik ayrıntılara baktıktan sonra durup gelen e-postanın “mantığını” değerlendirmekte fayda var. Tanımadığınız biri size “define haritası” veya “fotoğraflarını” mı göndermiş? Beklediğiniz bir e-posta mı? Telefon hizmeti aldığınız firma size faturaları e-posta yoluyla mı gönderiyor? İnternet hizmeti aldığınız firmanın e-faturaları normalde .zip uzantılı mı geliyor? Bu bağlantıya tıklamam için merakımı uyandırmaya mı çalışıyorlar? Bu bağlantıya hemen tıklamazsam “önemli bir fırsatı” mı kaçıracağımı söylüyorlar? Benzeri soruları kendinize sormakta fayda var.