1
İNTERNET ETİĞİBİLGİ GÜVENLİĞİ SİBER GÜVENLİK
Cahide ÜNALARALIK 2012
2
Kültürel Değişim
SANAL DÜNYADA BİLGİ MİKTARI Bilgi ve iletişim teknolojileri hızla gelişmiş ve tüm dünya çapında yayılmıştır. 2.27
milyar internet kullanıcısı – Günlük 247 milyar e-posta
Tüm iş ve işlemler elektronik ortama aktarılmış/aktarılmaktadır240 milyon internet adresi,19.2 milyar internet sayfası,1.6 milyar resim, 50 milyon ses-görüntü dosyası
Kişisel, kurumsal ve ulusal açıdan hayati önem taşıyan pek çok bilgi elektronik ortamda olmaktadır.
3
Yeni İnternet Kullanım Trendleri
2010 yılı, OECD ülkeleri• e-posta gönderme ya da telefon açma:
yetişkin kullanıcıların % 67’si
• mal ve hizmetlerini internet yoluyla sipariş edilmesi: yetişkin kullanıcıların % 35’i
• internet bankacılığı: yetişkin kullanıcıların % 40’u
• sipariş verme: OECD ortalamasına göre çalışan sayısı 10 ya da daha fazla olan işletmelerin % 43’ü
• Satış Yapma: Bahsi geçen işletmelerin %27 si
4
Yeni İnternet Kullanım Trendleri
İnternet vasıtasıyla gerçekleştirilen faaliyetler;
•Postalama,•Bilgi Paylaşımı •Taştışma Platformları•Telefon açma, •Alışveriş yapma,•Pazarlama •Bankacılık,•Müzik ve oyun
Sosyal Medya
• Youtube• Facebook• Twitter• Skype• RSS• Google• Tolk• Blog• Linkedin
5
İNTERNET ETİĞİ
İnternetin günümüzde yaygın bir iletişim aracı olarak kullanılması, beraberinde dikkat edilmesi gereken bazı kuralları da getirmektedir. İnternet üzerinde kabul edilebilir ya da edilemez davranışları tanımlayan kurallar " internet etiği " olarak adlandırılır.
İnternet etiği olarak adlandırılan bu kurallar, internet kullanılırken diğer insanların haklarına saygılı olmak için ne yapılıp ne yapılamayacağına ilişkindir. Kullanıcı sayısı arttıkça etik anlamda kirlenme ve olumsuzlukların artacağı düşünülürse, internette sorunsuz olarak iletişim kurmak için internet etik kurallarının bilinmesi ve uygulanması gerekmektedir.
6
İnternette sohbet ederken dikkat edilmesi gereken kurallar:
• Konuşma odalarında veya birebir sohbet ettiğiniz yerlerde karşınızda bulunanların özel yaşamlarına müdahale edecek davranışlarda bulunmamalı, diğer sohbet edenlere karşı saygılı olmalısınız.
• Eğer birisi size karşı saygısızca davranıyorsa o kişiyi engellenmiş kişiler listesine ekleyerek onunla tartışmalara girmemelisiniz. Eğer böyle bir kişi ile tartışmaya girerseniz bu davranışınızın onun daha çok hoşuna gideceğini bilmelisiniz.
• Eğer ilk defa bir sohbet kanalına girmiş iseniz, sohbete katılmadan önce orada olup bitenleri takip etmelisiniz. Eğer odadaki sohbet hoşunuza gitmediyse o sohbet odasını terk edebilirsiniz.
7
• Koyu, kalın veya büyük harflerle yazı tipini bütün cümlelerde kullanmamalısınız. Çünkü büyük harf ya da koyu ve kalın yazı yazmak, dikkat çekmek, ya da kızgınlık anlamına gelmektedir.
• Sık sık yapılan tekrarlamalar, mesela saçma olan cümleler, aynı veya farklı karakterleri defalarca tekrarlamak veya tek olarak alt alta postalamak ya da yazmak insanları rahatsız edebilir. Bu tür davranışlardan kaçınılmalıdır.
• Sohbetteki birinin rumuzunu (Nick Name) kötü söz içerecek şekilde rumuz olarak kullanmamalısınız. Rumuz olarak tartışma yaratan isimler seçmemelisiniz.
• Sohbet odasında yönetici, moderatör olmadığınız hâlde başkalarına olduğunuzu söyleyip kandırma yolunu seçmemelisiniz. Zaten bu şekilde davrandığınızda gerçek yöneticiler tarafından sizin IP (bilgisayarınızın numarası) adresiniz kilitlenecek ve mesaj yollamanız engellenecektir.
İnternette sohbet ederken dikkat edilmesi gereken kurallar:
8
• Sohbet esnasında başkalarını rahatsız edecek şekilde ırk, din, dil, seks, siyaset gibi konular hakkında açıklamalarda bulunmamalı ve diğerlerini de bu yolla rencide etmemelisiniz.
• Kanuna, ahlâka ve kamu düzenine aykırı mesaj içeriği göndermek, uygunsuz, yalan ve/veya iftira içerik ya da mesaj ve bilgileri göndermek, tehdit etmek, küfür, vb. fiilleri işlemek, kişi ve/veya kuruluşların gizli bilgilerini yayınlamak, reklam ve internet sitesi tanıtımını yapmak doğru bir davranış değildir.
• Tüm sohbet sunucuları giriş bilgileriniz üzerinden IP adresinizi (bilgisayarınızın numarası) ve hangi ISS (internet servis sağlayıcı) üzerinden internete girdiğinizi tespit edebilir. ISS de ise sizin ile ilgili bir çok bilgiler bulunmaktadır. IP adresiniz tespit edilebileceği için bilgisayarınızı başkalarının kullanması durumunda sorumluluğun size ait olduğunu unutmayınız.
İnternette sohbet ederken dikkat edilmesi gereken kurallar:
9
İNTERNET ETİĞİ
• İnternet'i insanlara zarar vermek için kullanmayacaksın. • Başkalarının İnternet'te yaptığı çalışmalara engel olmayacaksın. • Başkalarının gizli ve kişisel dosyalarına girmeyeceksin. • İnternet yoluyla çalmayacaksın. • İnternet'i yalancı şahit olarak kullanmayacaksın. • Parasını ödemediğin yazılımları kopyalayıp kendi malın gibi
kullanmayacaksın. • Başkalarının elektronik iletişim kaynaklarını izinsiz kullanmayacaksın. • Başkalarının entelektüel ürünlerini kendi malınmış gibi
sunmayacaksın. • Tasarımladığın programların doğuracağı toplumsal sonuçları önceden
düşüneceksin.• Elektronik iletişim ortamını başkalarının haklarına saygı göstererek
kullanacaksın
10
GÜNCEL GELİŞMELERWIKILEAKS
• Dünyanın güvenlik açısından çok iyi dersler çıkaracağı en iyi örnek
• ABD’nin sanal savaş denemesi• Kendisini/diğer ülkeleri nasıl etkileyecek • Geliştirilen teknolojileri test etme• Facebook ve Google gibi teknolojilerini ne kadar iyi
kullanabiliyor testi• İnternet ne kadar kontrol edebilir / edilemez..
11
• Mükemmel bir arama motoru• En çok tercih edilen arama motoru• Mükemmel hizmetler veriyor
• Academics, books, translation, blogs, gmail, documents, mobil, talk, maps, IPv6, Google+, ……
• Değeri 200 Milyar Dolar• FAKAT…
GÜNCEL GELİŞMELER GOOGLE
12
• Dünyanın en iyi casus yazılım sistemi• Dünyanın bilgisini topluyor..• Ülkesine hizmet eden en iyi yazılımlardan birisi..• Bizi bizden (ülkeleri, ülkelerden) daha iyi analiz edebiliyor..• Kelime/Cümle/Resim/Ses araması yapabiliyor..• İstihbarat için vazgeçilmez bir ortam..• Tabii ki bu sistemi iyi kullananlar için..• encrypted.google.com hizmete giriyor..• Güvenlik açığı oluşturabilecek hususları kapatıyor..
GÜNCEL GELİŞMELER GOOGLE
13
SOSYAL AĞLAR
• Sosyal çevre ile iletişim kurmayı sağlar• Anlık olarak neler yaptığımızı, nerelerde olduğumuzu
paylaşmamızı sağlar• Duygu ve düşüncelerin daha geniş kitlelere
ulaşmasını sağlar• Kişi/Topluluk Takibi
14
Ülkelere Göre Facebook Kullanımı
• http://www.socialbakers.com/facebook-statistics/
15
Sosyal Ağların Güvenlik Bileşenleri
16
Phishing ( Yemleme )
•Yemleme, yasadışı yollarla bir kişinin şifresini veya kredi kartı ayrıntılarını öğrenmeye denir.
•"Yemleyici"diye tanımlanan şifre avcıları, genelde -posta vb. Yollarla kişilere ulaşır ve onların kredi kartı vb. ayrıntılarını sanki resmi bir kurummuş gibi isterler.
17
Güvenlik Önlemleri
•Kişisel bilgilerinizi ve sorun oluşturabilecek resimlerinizi paylaşmayın.•İletişim bilgilerinizi paylaşmayın (Cep telf. , Adres vb.)•Gizlilik ayarlarınızı mutlaka kontrol edin.•Tanımadığınız kişilerden gelen arkadaşlık tekliflerini kabul etmeyin !•Dahil olduğunuz uygulamaların sizin adınıza reklam ve yayın yapabileceğini unutmayınız
Güvenlik Seçenekleri•HTTPS: Güvenli HTTP katmanıdır. Ağ tabanlı saldırıların önüne geçmek ve saldırı anında farkındalık kazanmak için mutlaka tercih edilmelidir.
TS ISO IEC 17799:2005
18
Bilgi, bir kurumun en önemli değerlerinden birisidir ve sürekli korunması gerekir.
Bilgi Güvenliği
19
Bilgi Türleri
• Kağıt üzerine basılmış, yazılmış• Elektronik olarak saklanan• Posta ya da elektronik ortama aktarılmış• Kurumsal videolarda gösterilen• Söyleşiler sırasında sözlü olarak aktarılan
20
Temel Güvenlik Nesneleri
Gizlilik (Confidentiality) “Yetkisiz kişilere, süreçlere ve benzeri vb. açıklanmaması yada
teslim edilmemesi gerekli veri ya da programların özelliği…” [Bilişim Sözlüğü, Bülent Sankur]
Bozulmamışlık (Integrity) “Programların sistemin ve verilerin kötü niyetli olsun olmasın
değiştirlmesi ve bozulmasına karşı korunması ya da korunmuş olması…” [Bilişim Sözlüğü, Bülent Sankur]
Kullanırlık (Availability) “Bir sistem yada özkaynağın gereksinildiğinde kullanıma
elverişli olma derecesi…” [Bilişim Sözlüğü, Bülent Sankur]
21
Saldırıya Uğrayabilecek Değerler
• Kurumun İsmi, güvenilirliği• Kuruma ait gizli bilgiler• İşin devamlılığını sağlayan bilgi ve süreçler• Üçüncü şahıslar tarafından emanet edilen bilgiler• Kuruma ait adli, ticari, teknolojik bilgiler
22
Görülebilecek Zararın Boyutu
• Müşteri Mağduriyeti• Kaynakların Tüketimi• İşin yavaşlaması ya da durması• Kurumsak imaj kaybı• Üçüncü şahıslara yapılan saldırı mesuliyeti
23
Dahili Tehdit Unsurları
• Bilinçsiz ve bilgisiz kullanım
• Kötü niyetli hareketler
24
Harici Tehdit UnsurlarıSaldırı Yöntemleri
• Hizmet aksatma saldırıları• Ticari Bilgi ve Teknoloji hırsızlıkları• Web sayfası içeriği değiştirme saldırıları• Kurum üzerinden farklı bir hedefe saldırmak• Virüs, worm, trojan saldırıları• İzinsiz kaynak kullanımı
25
Bilgi Güvenliği
• Bilgi sistemi ve yetkili kullanıcıyı yetkisiz erişimlere, bilginin değiştirilmesine ve saldırılara karşı korumak.
• Koruma sırasında gerekli olan kontroller ve ölçümlerin
tespiti, doküman hale getirilmesi ve karşı tedbirlerin alınmasını sağlamak.
26
TS ISO IEC 27001
• Bilgi sistemlerini ve ağları bilgisayar destekli sahtekârlık, casusluk, sabotaj, yıkıcılık, yangın ve sel gibi çok geniş kaynaklardan gelen tehdit ve tehlikelerden korur.
• Bilginin gizliliği, güvenilirliği ve elverişliliği; rekabet gücünün, nakit akışının, karlılığın, yasal yükümlülüklerin ve ticari imajın korunması ve sürdürülmesini sağlar.
27
Siber Dünya
Günümüzde hayat her yönüyle sayısallaşmamış olsa da süreçte
varılacak nokta istisnasız her şeyin sayısallaştığı, uluslar
arası protokollerin ve standartların hayatın tüm evrelerine
nüfuz ettiği SİBER DÜNYA olacaktır.
Siber Saldırı/Siber Savaş
• Hedef seçilen şahıs, şirket, kurum, örgüt, gibi yapıların bilgi sistemlerine veya iletişim altyapılarına yapılan planlı ve koordineli saldırılara 'siber saldırı' deniyor. Bunlar, ticari, politik veya askerî amaçlı olabiliyor.
• Aynı saldırıların ülke veya ülkelere yönelik yapılmasına ise 'siber savaş' deniyor.
• Bu tanımlara göre, Anonymous isimli grubun Türkiye'deki bazı kurumlara yönelik eylemine siber saldırı, Wikileakes'in yaptığına ise siber savaş demek mümkün.
28
Siber Savaşlar
CIA başkanı Leon Panetta,
“ Savaş bitti ama teknoloji savaşları başladı.”
Eski ABD Savunma Bakanı Albright’a ait şu sözler siber-savaşın ciddiyetini de anlatıyor: “Siber saldırılar NATO ya karşı 3 tehditten biri olarak kabul edilecektir.”
29
Siber Saldırılar
Casusluk Manipülasyon Propaganda İletişim Virüs Truva atları
Sistem bozma Siber bombalarla
sabotaj Bilgi kirliliği Sistem kilitleme Dolandırıcılık
30
31
Siber Tehdit Araçları
• Hizmetin engellenmesi saldırıları (DoS, DDoS)
• Bilgisayar virüsleri
• Kurtçuk (worm)
• Truva atı (trojan)
• Klavye izleme (key logger) yazılımları
• İstem dışı ticari tanıtım (adware) yazılımları
• Casus / köstebek (spyware) yazılımlar
• Yemleme (phishing)
• İstem dışı elektronik posta (spam)
• Şebeke trafiğinin dinlenmesi (sniffing ve monitoring)
32
Siber Tehditlerin Amaçları
Sisteme yetkisiz erişim
Sistemin bozulması
Hizmetlerin engellenmesi
Bilgilerin değiştirilmesi
Bilgilerin yok edilmesi
Bilgilerin ifşa edilmesi
Bilgilerin çalınması
33
Araştırmalar & Veriler
• Britanya’da geçen yıl siber saldırıların ülke ekonomisine maliyeti 27 milyar pound’u buldu.
• Yılda 100 binden fazla siber saldırının yaşandığı ABD’de ise bu rakam tahmini olarak 100
milyar dolar civarında.
• I Love You virüsü dünya çapında yaklaşık 45 milyon bilgisayara bulaşmış ve yaklaşık 10
milyar USD’lik maddi kayba yol açmıştır.
• Nimda kurtçuğunun dünya çapında yaklaşık 3 milyar USD’ lik,
• Love Bug’ın ise 10 milyar USD’ lik kayba yol açmıştır
• MyDoom adlı truva atının yol açtığı maddi zarar 4,8 milyar USD civarında
Kaynak: Schjølberg, S., Hubbard, Lemos, R., Hahn, R.W
34
Neler Yapılmalı ???
Bilgi güvenliği konusu, salt teknik – mühendislik bir konu olmayıp, farklı boyutları bulunmaktadır
Yasal boşluk giderilmeli (1999’dan beri sürüncemede) Yetkili kurum tespit edilmeli Ulusal Strateji hazırlanmalı Düzenleyici çerçeve oluşturulmalı Farkındalık oluşturulmalı Eğitim müfredatına ilave edilmeli …………………………
Siber Güvenlik
35
• Güvenlik zincirinde en zayıf halkası bireyler olduğundan bireylere ve KOBİ’lere öncelik verilmesi
• Kullanıcılara yönelik siber güvenlik farkındalığı programları sunulması
• Özel şirketlerde güvenlik kültürü geliştirilmesinin teşvik edilmesi • Sivil topluma yönelik destek programları sunulması (Ebeveynlere yönelik
dersler, eğitimcilere yönelik destek malzemeleri, çocuklara yönelik gelişim kitapları veya oyunlar gibi)
• Kapsamlı bir ulusal farkındalık programının tesis edilmesi (Personelin eğitilmesi, yaygın kabul gören güvenlik sertifikasyonlarının alınması gibi)
• İnternet kullanıcılarının kişisel mahremiyet ve siber ortamdaki kimliğin sınırları hakkında eğitilmesi
Farkındalığın Artırılması
Türkiyeye Yapılan Saldırılar
• Cumhurbaşkanlığı• TBMM• Başbakanlık• İçişleri/Dışişleri/Ulaştırma vb. Bakanlıklar• Genel Kurmay Başkanlığı/MIT/Emniyet/BTK/TİB vb. Kurum ve Kuruluşlar• Anonymous BTK'yı Hack'ledi!• İnternetin bilinen hacker gruplarından Anonymous, Bilgi Teknolojileri ve
İletişim Kurumu’nu hack’ledi. Ele geçirilen tüm bilgiler internette yayınlandı.
• Bilinmeyenler.?36
37
• Casus yazılım sayısı artıyor.• Farklılaşıyorlar.• Kendilerini saklayabiliyorlar, görünmez olabiliyorlar.• Silseniz bile tekrar kopyalayabiliyorlar• Belirli bir süre var olup sonra kendilerini yok
edebiliyorlar.• Türkiyede yaklaşık
2000 server köle
SALDIRILAR
38
“İNTERNET ORTAMINDA YAPILAN YAYINLARIN DÜZENLENMESİ VE BU YAYINLAR YOLUYLA İŞLENEN
SUÇLARLA MÜCADELE EDİLMESİ HAKKINDADIR”4 Mayıs 2007
5651 NO’LU KANUN
39
Bilişim Suçları ve Cezalar
Suçun Adı Kanuni Dayanağı Ceza Durumu
Bilişim Sistemine Girme TCK Md. 243 1 ila 2 Yıl arası hapis
Sistemi Engelleme, Bozma, Verileri Yok Etme veya Değiştirme
TCK Md. 244 1 ila 6 yıl arası hapis
Banka ve Kredi Kartlarının Kötüye Kullanılması TCK Md. 245 3 ila 8 yıl arası hapis
Ticari Sır, Bankacılık Sırrı veya Müşteri Sırrı Niteliğindeki Bilgi veya Belgelerin Açıklanması
TCK Md.239 1 ila 7 yıl arası hapis
Devletin Güvenliği veya İç veya Dış Siyasal Yararları Bakımından, Niteliği İtibarıyla, Gizli Kalması Gereken Bilgiler
TCK Md. 327, Md. 328, Md. 3293 ila 20 yıl arası hapis(Savaş durumunda müebbet hapis)
Verilerin Kaydedilmesi TCK Md. 135 6 ay ila 3 yıl arası hapis
Verilerin yok edilmesi TCK Md. 138 6 ay ila 1 yıl arası hapis
Haberleşmenin gizliliğini ihlal TCK Md. 132 6 ay ila 3 yıl arası hapis
Haberleşmenin engellenmesi TCK Md. 124 6 ay ila 5 yıl arası hapis
Dolandırıcılık TCK Md.158 3 yıl ila 7 yıl arası hapis
40
Bilişim Sistemleri Aracı Kılınarak İşlenen Suçlar
Suçun adı Kanuni dayanağı Hapis Cezası Aralığı
İntihara Yönlendirme TCK Md. 84 2 ila 10 yıl arası hapis
Hakaret TCK Md. 125 3 ay ila 2 yıl arası hapis
Hırsızlık TCK Md. 142 3 ila 7 yıl arası hapis
Müstehcenlik TCK Md. 226 3 ila 7 yıl arası hapis
Kumar Oynanması İçin Yer ve İmkân Sağlama TCK Md. 228 1 yıla kadar hapis
Şantaj TCK Md. 107 1 ila 3 yıl arası hapis
Tehdit TCK Md. 106 6 ay ila 5 yıl arası hapis
Çocukların Cinsel İstismarı TCK Md. 103 3 ila 8 yıl arası hapis
Uyuşturucu veya Uyarıcı Madde Kullanılmasını Kolaylaştırma TCK Md. 190, 191 2 ila 5 yıl arası hapis
Sağlık İçin Tehlikeli Madde Temini TCK Md. 194 6 ay ila 1 yıl arası hapis
Fuhuş TCK Md. 227 4 ila 10 yıl arası hapis
Atatürk Aleyhine İşlenen Suçlar 5816 sayılı Kanun 1 ila 3 yıl arası hapis
Teşekkür ederim…