Kurum ağınız güvenlik tehditleriyle her zaman karşı karşıyadır. Bu tehditler kendilerini çeşitli şekillerde gösterebilir. Kurum ağına gelen veya gelebilecek olan tehditleri sınırlandırmalı ve ihtiyaç duyulan tedbirlerin alınması için önemli bir adım olacaktır. Sisteminize yönelik tehditleri sınıflandırmanın farklı yolları vardır. Gelen siber tehditlerin neden olduğu hasarlar, saldırıyı gerçekleştirmek için gerekli beceri düzeyine göre sıralanabildiği gibi saldırının arkasındaki motivasyona göre de sınıflandırmalar yapılabilmektedir.
Karşımıza çıkan saldırıları gerçekte amaçlanan veyahut sebep olan durumlara göre sınıflandırmamız gerekmektedir. Bu felsefeye dayanarak siber saldırıları üç ana sınıftan biri olarak kategorize edebiliriz.
- Siber İhlaller
- Bloke / Engelleme
- Malware zararlıları
Siber İhlaller; İzinsiz giriş, siber güvenliği ihlal etmek ve bir sisteme yetkisiz erişim elde etmek amacıyla yapılan saldırıları içerir. Bu saldırı grubu, sisteminize yetkisiz erişim elde etme girişimlerini içermektedir. Bu genellikle bilgisayar korsanlarının ilk adımı sistemlere yetkisiz olarak erişim elde etme saldırıları düzenlemektir.
Engelleme; İkinci saldırı kategorisi, engelleme olarak sınıflandırılır. Bir sisteme meşru erişimi önlemek için tasarlanmış siber saldırıları içerir. Engelleme saldırılarına genellikle DDOS saldırılarını (veya yalnızca DoS) içerir. Bu tür saldırılarda amaç sisteminize sızmaktan ziyade yetkililerin veyahut kullanıcıların erişimini engellemek ve kurum işlerliğini durdurmaktır.
Malware; Üçüncü tehdit kategorisi ise kötü amaçlı yazılımın bir sisteme bulaştırılmasıdır. Kötü amaçlı yazılımlar, sisteme erişim elde etmek veyahut zararlı kodlarla yapılan siber saldırıları içerir. Virüs saldırıları, truva atlarını ve casus yazılımlar bu tür saldırıları içermektedir.
Kötü Amaçlı Yazılımlar
Kötü amaçlı yazılım, ev kullanıcılarının sistemleri, küçük ağları ve büyük kurumsal geniş alan ağları da dahil olmak üzere elektronik sistemler için en yaygın tehdittir. Bunun bir nedeni, kötü amaçlı yazılımın yaratıcısının doğrudan dahil olması gerekmeksizin, kendi başına yayılmak üzere tasarlanmasıdır.
Kötü amaçlı yazılımın en belirgin örneği bilgisayar virüsleridir. Bir virüsün genel bir şekilde tanımlayacak olursak, “diğer programları, kendi geliştirilmiş bir kopyasını içerecek şekilde değiştiren, silen, zarar veren veyahut bulaştırabilen kötü amaçlı yazılımlardır”. Bir bilgisayar virüsü biyolojik bir virüse benzer şekilde tasarlanır. İlk hareketi her zaman çoğalmak ve yayılmaktır. Virüs yaymanın en yaygın yöntemi ise, virüsü adres defterindeki herkese yaymak için kurbanın e-posta hesabını kullanmaktır. Bazı virüsler bulaştıkları sistemin kendisine zarar vermez, ancak hepsi virüs çoğaltmasının neden olduğu yoğun ağ trafiği nedeniyle ağ yavaşlamasına veya kesintilere neden olabilir.
Genellikle virüsle yakından ilişkili olan başka bir kötü amaçlı yazılım türü de Truva atı zararlılarıdır. Terim eski hikayelerden alınmıştır. Çocukluğumuzda okuduğumuz
Troy atı hikayesi; “Troy şehri uzun bir süre kuşatma altındaydı ve saldırganlar giriş yapamıyordu. Büyük bir tahta at inşa ettiler ve Troy’a hediye ettiler. Ertesi sabah, Troy sakinleri atı gördüler ve onu bir hediye olarak kabul edip tahta atı şehre aldılar. Onlardan habersiz, atın içinde birkaç asker gizlenmişti. O akşam askerler atın içerisinden çıkarak şehir kapılarını saldırganlara açtılar ve saldırganlar şehre girdi…”
Kötü amaçlı yazılımlardan olan Truva atları da aynı yöntemi kullanır ve bu sebepten dolayı truva atı olarak tanımlanmıştır. Genellikle yararlı bir yazılım gibi görünürler. Bilgisayarınızı temizleyen bir antivirüs, performansınızı artıran bir uygulama, hataları düzelten ücretsiz bir yazılım gibi sunulurlar. Ancak gizlice bilgisayarınıza bir virüs veya başka bir kötü amaçlı yazılım türü indirir. Önde size yardımcı oluyormuş gibi gözükürken, arkada zararlı kodlarını çalıştırarak siber saldırgana bir arka kapı açabilirler. Truva atlarının gayri meşru yazılımlarda bulunması çok daha olasıdır. İnternette ticari yazılımların korsan kopyalarını almak için birçok yer vardır. Crackli veyahut tam sürüm adı altında ücretsiz olarak sunulan birçok yazılımın içerisine Truva atı ile sunulur. Truva atları ve virüsler, en çok karşılaşılan iki kötü amaçlı yazılım biçimidir.
Üçüncü bir kötü amaçlı yazılım kategorisi ise hızla artan casus yazılımlardır. Casus yazılımlar bilgisayarınıza bulaştığında tam bir casusluk amacı taşıyarak tüm verilerinizi siber korsanlara gönderebilirler. Özellikle de hassas verileri çalmak, video kaydı almak, ses kaydı almak gibi yetenekleri vardır.
Diğer bir kötü amaçlı yazılım ise Tuş Kaydedici olarak adlandırılan casus yazılımlardır. Klavyeden bastığınız tüm tuş vuruşlarınızı kaydederek siber korsanlara gönderirler. Bazıları bilgisayarınızın özellikle de bankacılık işlemi yaparken periyodik olarak ekran görüntülerini de alabilir.
Siber Saldırılar
Kullanıcıların sisteme erişimini engelleyen (engelleme) saldırılardan veya virüsler ve solucanlar (kötü amaçlı yazılım) gibi belirli bir hedefe odaklanan saldırılardan farklıdırlar. Siber saldırılar, belirli bir hedef sisteme erişmek için tasarlanmıştır. Amaç sisteme yetkisiz olarak erişim elde etmektir. Bu erişim elde edildikten sonra sistemler kötü niyetli siber korsanlar tarafından istismar edilir. Bu tür saldırıları incelediğimizde genel olarak işletim sistemi zafiyetleri, uygulama zafiyetleri veya başka yollarla güvenliği ihlal edecek şekilde tasarlanmış saldırılar olarak tanımlanır.
Bir sisteme izinsiz girmenin tek yolu güvenlik zafiyetlerini kullanmak değildir. Aslında, bazı yöntemlerin uygulanması teknolojik olarak çok daha kolay olabilir. Örneğin, bir sistemin güvenliğini ihlal etmek için insan kusurlarından faydalanabilirsiniz. Bu tarz siber saldırıları sosyal mühendislik saldırıları olarak tanımlarız. İnternet tarihinin en eski ve en etkili yöntemlerinden biri olduğu gibi Kevin Mitnick’in en sık kullandığı saldırı türü olduğunu da belirtmek isteriz. Sosyal mühendislik, hedef sisteme erişmek için gerekli bilgileri öğrenmek üzere tasarlanan teknikleri kullanır.
Sosyal mühendislik ve yazılım kusurlarını kullanmak, siber saldırı saldırılarının tek yolu değildir. Kablosuz ağların artan popülaritesi yeni tipteki siber saldırıları ortaya çıkarmıştır. Birçok kişi, kablosuz ağ sinyallerinin genellikle 100 metreye kadar uzandığını bilmez. Evinizin dışında ya da kurum dışından Wifi sinyallerine yapılacak saldırılarla iç ağınıza erişmek de mümkündür.
DDOS Hizmet Reddi Saldırıları
Üçüncü saldırı kategorisi olarak, hizmet reddi saldırılarını sıralayabiliriz. DOS veya DDOS olarak bilinen bu saldırılar erişimi engellemek üzerine kurulmuştur. Bu saldırı türünde, saldırgan sisteme gerçekte erişmez, aksine sisteme yasal kullanıcıların yani erişmesi gereken kişilerin erişimini engeller. Sık kullanılan bir engelleme yöntemidir ve hedeflenen sistemi meşru isteklere yanıt veremeyecek kadar yoracak bağlantı isteği ile doldurur. DOS ve DDOS atakları son derece yaygın bir saldırı yöntemi olarak günümüz teknoloji dünyasında kullanılmaktadır.
Siber Güvenlik Terminolojisi
Güvenlik profesyonellerinin spesifik bir terminolojisi vardır. Ağ yönetiminde deneyimi olan bireyler veya sistem yöneticileri muhtemelen bu terimlerin çoğuna aşinadır. Çoğu hackleme terminolojisi etkinliği veya etkinliği gerçekleştiren kişiyi Açıklasa da ilk ve en temel güvenlik cihazı Firewall güvenlik duvarlarıdır.
Güvenlik duvarı (firewall), bir ağ ile dış dünya arasındaki sınır güvenliğidir. Bazen bir güvenlik duvarı bağımsız bir sunucu olarak karşımıza gelirken, bazen bir yönlendirici vazifesi de görebilir. Güvenlik duvarları donanımsal veya yazılımlar olarak kullanılabilir. Fiziksel şekli ne olursa olsun amaç aynıdır. Bir ağa giren ve çıkan trafiği denetlemek, kurallarına göre düzenlemek ve kuralların dışındaki trafiği engellemektir. Güvenlik duvarları genellikle bir proxy sunucusuyla birlikte kullanılır. Proxy sunucusu dahili ağ IP adreslerinizi gizler ve dış dünyaya tek bir IP adresi üzerinden çıkış sağlar.
Gelen ve giden ağ trafiğini filtreler, bu sırada ağdaki trafiği etkilemezler. Bazen bu cihazlar saldırı tespit sistemleri (IDS) ile güçlendirilirler. Bu sayede IDS monitörü bir saldırı teşebbüsünü algılaarak bildirimde bulunur.
Erişim kontrolü ise, kaynaklara erişimi sınırlamak için alınan tüm önlemleri kapsamaktadır. Bu önlemler oturum açma prosedürlerini, şifrelemeyi ve yetkisiz personelin bir kaynağa erişmesini önlemek için tasarlanmış herhangi bir davranışı içerebilir. Kimlik doğrulama, erişim denetiminin bir alt kümesidir. Aynı zamanda en temel güvenlik etkinliği olarak belirlenir.
Kimlik doğrulama işlemi, bir kullanıcı veya kullanıcı adı ve parola gibi başka bir sistem tarafından verilen kimlik bilgilerinin söz konusu ağ kaynağına erişmeye yetkili olup olmadığını belirleme işlemidir. Bir kullanıcı kullanıcı adı ve parola ile oturum açtığında, sistem bu kullanıcı adını ve parolayı doğrulamaya çalışır. Kimlik doğrulamaları yapılırsa, kullanıcıya erişim izni verilir. Bazı durumlarda kimlik doğrulama sistemlerien 2FA adını verdiğimiz ikinci adım da eklenebilir.
Reddetmeme, bilgisayar güvenliğinde sık karşılaştığınız bir başka terimdir. Bir eylem gerçekleştiren kişinin bu işlemi gerçekleştirdiğini bir şekilde inkâr edememesini sağlamak için kullanılan teknikleri kapsamaktadır. Reddetmeme, kullanıcının belirli bir zamanda belirli bir işlemi gerçekleştirdiğine ilişkin güvenilir kayıtlar sağlar. Kısacası, hangi kullanıcının hangi eylemleri gerçekleştirdiğini izlemek için kullanılan yöntemlerdir. Çeşitli sistem günlükleri, reddetmeme için bir yöntemdir. En önemli güvenlik faaliyetlerinden biri ise her zaman denetimdir. Denetim ise standartları karşılayıp karşılamadıklarını belirlemek için günlükleri (log kayıtları), kayıtları ve prosedürleri inceleme sürecidir.
En az ayrıcalık prensibi, herhangi bir kullanıcıya veya cihaza ayrıcalık atarken aklınızda bulundurmanız gereken önemli bir kavramdır. Bu noktada yalnızca o kişinin işini yapması için gereken minimum ayrıcalıklar atanır. Bu basit ancak etkili yöntemi her zaman aklınızda bulundurmanız gerekir.
Ayrıca Gizlilik, Bütünlük ve Erişilebilirlik özelliklerini de göz önünde bulundurmalısınız. Tüm güvenlik önlemleri bu alanlardan birini veya daha fazlasını etkilemelidir. Örneğin, sabit sürücü şifrelemesi ve iyi şifreler gizliliğin korunmasına yardımcı olur. Dijital imzalar bütünlüğün sağlanmasına yardımcı olur ve iyi bir yedekleme sistemi veya ağ sunucusu yedekliliği kullanılabilirliği destekler.
Bilgisayar Korsanlığı (Hacker) Terminolojisi
Hackleme terminolojisinin kesin olmadığını ve bu tanımın tartışılabileceğini unutmayın. Terimler, hacker topluluğu tarafından kullanımları yoluyla gelişir. Açıkçası, bu incelemeye filmler ve haber yayınlarında kullanılan bir terim olan hacker’ı tanımlayarak başlamak en mantıklısı olacaktır.
Çoğu insan hacker kelimesini bir bilgisayar sistemine giren herkesi tanımlamak için kullanır. Ancak güvenlik uzmanları ve bilgisayar korsanları bu terimi farklı şekilde kullanırlar. Hacker, bir sistem hakkında daha fazla bilgi edinmek isteyen belirli bir sistem veya sistemlerde uzman kişiler olarak tanımlanır. Bilgisayar korsanları, bir sistemin kusurlarına bakmanın onu öğrenmenin en iyi yolu olduğunu düşünür.
Örneğin, Linux işletim sisteminde, zayıf yönlerini ve kusurlarını öğrenerek bu sistemi anlamaya çalışan iyi bir kişi hacker olarak anılabilir. Genellikle bir sisteme erişmek için bir kusurdan yararlanılıp yararlanamayacağını görmek anlamına da gelir. Sürecin bu “sömürücü” kısmı, bilgisayar korsanlarının kendilerini üç gruba ayırdığı yerdir.
- Beyaz şapkalı hackerlar, bir sistemde güvenlik açığını bulduktan sonra, güvenlik açığını bu sistemin üreticisine bildiren kişilerdir. Örneğin, Red Hat Linux’ta bir kusur keşfedecek olsaydı, Red Hat şirketine e-posta gönderilerek bu zafiyet bildirilirdi. Aynı zamanda bu zafiyetin ne olduğunu ve nasıl kullanıldığını açıklanırdı. Bu tür hareketlerde bulunan kişiler beyaz şapkalı hacker olarak tanımlanır. Bir diğer tabirle Beyaz Şapkalı Hackerlar, iyi niyetli siber güvenlik uzmanlarıdır. Amaçları sistemlere zarar vermek, zafiyetlerden illegal para, şöhret ya da benzeri bir amaç taşımadan sistemleri koruma davranışı gütmektir.
- Siyah şapkalı hackerlar, normalde medyada tasvir edilen insanlardır. Filmler ve haberlerde gördüğünüz sistemlere izinsiz erişip, kötüye kullanan kişilerdir. Bir sisteme eriştikten sonra amaçları bir tür zarara neden olmaktır. Verileri çalabilir, dosyaları silebilir veya web sitelerini tahrif edebilir veya illegal dünyada şöhret peşinde koşabilirler.
- Gri şapkalı hackerlar, genellikle yasalara uyan davranışları ile ön plana çıkarlar. Yani resmi bir iş olarak beyaz şapkalı olarak görünürken, bazı durumlarda yasadışı faaliyetlere karışan kişilerdir. Bunu çok çeşitli nedenlerle yapabilirler. Genelde, gri şapka korsanları, hackerların etik olmayan faaliyetlerde bulunarak bir sisteme saldırmak gibi, yasadışı faaliyetler yürütebilirler.
Yazar: Hamza Şamlıoğlu