1

İNTERNET ETİĞİBİLGİ GÜVENLİĞİ SİBER GÜVENLİK

Cahide ÜNALARALIK 2012

2

Kültürel Değişim

SANAL DÜNYADA BİLGİ MİKTARI Bilgi ve iletişim teknolojileri hızla gelişmiş ve tüm dünya çapında yayılmıştır. 2.27

milyar internet kullanıcısı – Günlük 247 milyar e-posta

Tüm iş ve işlemler elektronik ortama aktarılmış/aktarılmaktadır240 milyon internet adresi,19.2 milyar internet sayfası,1.6 milyar resim, 50 milyon ses-görüntü dosyası

Kişisel, kurumsal ve ulusal açıdan hayati önem taşıyan pek çok bilgi elektronik ortamda olmaktadır.

3

Yeni İnternet Kullanım Trendleri

2010 yılı, OECD ülkeleri• e-posta gönderme ya da telefon açma:

yetişkin kullanıcıların % 67’si

• mal ve hizmetlerini internet yoluyla sipariş edilmesi: yetişkin kullanıcıların % 35’i

• internet bankacılığı: yetişkin kullanıcıların % 40’u

• sipariş verme: OECD ortalamasına göre çalışan sayısı 10 ya da daha fazla olan işletmelerin % 43’ü

• Satış Yapma: Bahsi geçen işletmelerin %27 si

4

Yeni İnternet Kullanım Trendleri

İnternet vasıtasıyla gerçekleştirilen faaliyetler;

•Postalama,•Bilgi Paylaşımı •Taştışma Platformları•Telefon açma, •Alışveriş yapma,•Pazarlama •Bankacılık,•Müzik ve oyun

Sosyal Medya

• Youtube• Facebook• Twitter• Skype• RSS• Google• Tolk• Blog• Linkedin

5

İNTERNET ETİĞİ

İnternetin günümüzde yaygın bir iletişim aracı olarak kullanılması, beraberinde dikkat edilmesi gereken bazı kuralları da getirmektedir. İnternet üzerinde kabul edilebilir ya da edilemez davranışları tanımlayan kurallar " internet etiği " olarak adlandırılır.

İnternet etiği olarak adlandırılan bu kurallar, internet kullanılırken diğer insanların haklarına saygılı olmak için ne yapılıp ne yapılamayacağına ilişkindir. Kullanıcı sayısı arttıkça etik anlamda kirlenme ve olumsuzlukların artacağı düşünülürse, internette sorunsuz olarak iletişim kurmak için internet etik kurallarının bilinmesi ve uygulanması gerekmektedir.

6

İnternette sohbet ederken dikkat edilmesi gereken kurallar:

• Konuşma odalarında veya birebir sohbet ettiğiniz yerlerde karşınızda bulunanların özel yaşamlarına müdahale edecek davranışlarda bulunmamalı, diğer sohbet edenlere karşı saygılı olmalısınız.

• Eğer birisi size karşı saygısızca davranıyorsa o kişiyi engellenmiş kişiler listesine ekleyerek onunla tartışmalara girmemelisiniz. Eğer böyle bir kişi ile tartışmaya girerseniz bu davranışınızın onun daha çok hoşuna gideceğini bilmelisiniz.

• Eğer ilk defa bir sohbet kanalına girmiş iseniz, sohbete katılmadan önce orada olup bitenleri takip etmelisiniz. Eğer odadaki sohbet hoşunuza gitmediyse o sohbet odasını terk edebilirsiniz.

7

• Koyu, kalın veya büyük harflerle yazı tipini bütün cümlelerde kullanmamalısınız. Çünkü büyük harf ya da koyu ve kalın yazı yazmak, dikkat çekmek, ya da kızgınlık anlamına gelmektedir.

• Sık sık yapılan tekrarlamalar, mesela saçma olan cümleler, aynı veya farklı karakterleri defalarca tekrarlamak veya tek olarak alt alta postalamak ya da yazmak insanları rahatsız edebilir. Bu tür davranışlardan kaçınılmalıdır.

• Sohbetteki birinin rumuzunu (Nick Name) kötü söz içerecek şekilde rumuz olarak kullanmamalısınız. Rumuz olarak tartışma yaratan isimler seçmemelisiniz.

• Sohbet odasında yönetici, moderatör olmadığınız hâlde başkalarına olduğunuzu söyleyip kandırma yolunu seçmemelisiniz. Zaten bu şekilde davrandığınızda gerçek yöneticiler tarafından sizin IP (bilgisayarınızın numarası) adresiniz kilitlenecek ve mesaj yollamanız engellenecektir.

İnternette sohbet ederken dikkat edilmesi gereken kurallar:

8

• Sohbet esnasında başkalarını rahatsız edecek şekilde ırk, din, dil, seks, siyaset gibi konular hakkında açıklamalarda bulunmamalı ve diğerlerini de bu yolla rencide etmemelisiniz.

• Kanuna, ahlâka ve kamu düzenine aykırı mesaj içeriği göndermek, uygunsuz, yalan ve/veya iftira içerik ya da mesaj ve bilgileri göndermek, tehdit etmek, küfür, vb. fiilleri işlemek, kişi ve/veya kuruluşların gizli bilgilerini yayınlamak, reklam ve internet sitesi tanıtımını yapmak doğru bir davranış değildir.

• Tüm sohbet sunucuları giriş bilgileriniz üzerinden IP adresinizi (bilgisayarınızın numarası) ve hangi ISS (internet servis sağlayıcı) üzerinden internete girdiğinizi tespit edebilir. ISS de ise sizin ile ilgili bir çok bilgiler bulunmaktadır. IP adresiniz tespit edilebileceği için bilgisayarınızı başkalarının kullanması durumunda sorumluluğun size ait olduğunu unutmayınız.

İnternette sohbet ederken dikkat edilmesi gereken kurallar:

9

İNTERNET ETİĞİ

• İnternet'i insanlara zarar vermek için kullanmayacaksın. • Başkalarının İnternet'te yaptığı çalışmalara engel olmayacaksın. • Başkalarının gizli ve kişisel dosyalarına girmeyeceksin. • İnternet yoluyla çalmayacaksın. • İnternet'i yalancı şahit olarak kullanmayacaksın. • Parasını ödemediğin yazılımları kopyalayıp kendi malın gibi

kullanmayacaksın. • Başkalarının elektronik iletişim kaynaklarını izinsiz kullanmayacaksın. • Başkalarının entelektüel ürünlerini kendi malınmış gibi

sunmayacaksın. • Tasarımladığın programların doğuracağı toplumsal sonuçları önceden

düşüneceksin.• Elektronik iletişim ortamını başkalarının haklarına saygı göstererek

kullanacaksın

10

GÜNCEL GELİŞMELERWIKILEAKS

• Dünyanın güvenlik açısından çok iyi dersler çıkaracağı en iyi örnek

• ABD’nin sanal savaş denemesi• Kendisini/diğer ülkeleri nasıl etkileyecek • Geliştirilen teknolojileri test etme• Facebook ve Google gibi teknolojilerini ne kadar iyi

kullanabiliyor testi• İnternet ne kadar kontrol edebilir / edilemez..

11

• Mükemmel bir arama motoru• En çok tercih edilen arama motoru• Mükemmel hizmetler veriyor

• Academics, books, translation, blogs, gmail, documents, mobil, talk, maps, IPv6, Google+, ……

• Değeri 200 Milyar Dolar• FAKAT…

GÜNCEL GELİŞMELER GOOGLE

12

• Dünyanın en iyi casus yazılım sistemi• Dünyanın bilgisini topluyor..• Ülkesine hizmet eden en iyi yazılımlardan birisi..• Bizi bizden (ülkeleri, ülkelerden) daha iyi analiz edebiliyor..• Kelime/Cümle/Resim/Ses araması yapabiliyor..• İstihbarat için vazgeçilmez bir ortam..• Tabii ki bu sistemi iyi kullananlar için..• encrypted.google.com hizmete giriyor..• Güvenlik açığı oluşturabilecek hususları kapatıyor..

GÜNCEL GELİŞMELER GOOGLE

13

SOSYAL AĞLAR

• Sosyal çevre ile iletişim kurmayı sağlar• Anlık olarak neler yaptığımızı, nerelerde olduğumuzu

paylaşmamızı sağlar• Duygu ve düşüncelerin daha geniş kitlelere

ulaşmasını sağlar• Kişi/Topluluk Takibi

14

Ülkelere Göre Facebook Kullanımı

• http://www.socialbakers.com/facebook-statistics/

15

Sosyal Ağların Güvenlik Bileşenleri

16

Phishing ( Yemleme )

•Yemleme, yasadışı yollarla bir kişinin şifresini veya kredi kartı ayrıntılarını öğrenmeye denir.

•"Yemleyici"diye tanımlanan şifre avcıları, genelde -posta vb. Yollarla kişilere ulaşır ve onların kredi kartı vb. ayrıntılarını sanki resmi bir kurummuş gibi isterler.

17

Güvenlik Önlemleri

•Kişisel bilgilerinizi ve sorun oluşturabilecek resimlerinizi paylaşmayın.•İletişim bilgilerinizi paylaşmayın (Cep telf. , Adres vb.)•Gizlilik ayarlarınızı mutlaka kontrol edin.•Tanımadığınız kişilerden gelen arkadaşlık tekliflerini kabul etmeyin !•Dahil olduğunuz uygulamaların sizin adınıza reklam ve yayın yapabileceğini unutmayınız

Güvenlik Seçenekleri•HTTPS: Güvenli HTTP katmanıdır. Ağ tabanlı saldırıların önüne geçmek ve saldırı anında farkındalık kazanmak için mutlaka tercih edilmelidir.

TS ISO IEC 17799:2005

18

Bilgi, bir kurumun en önemli değerlerinden birisidir ve sürekli korunması gerekir.

Bilgi Güvenliği

19

Bilgi Türleri

• Kağıt üzerine basılmış, yazılmış• Elektronik olarak saklanan• Posta ya da elektronik ortama aktarılmış• Kurumsal videolarda gösterilen• Söyleşiler sırasında sözlü olarak aktarılan

20

Temel Güvenlik Nesneleri

Gizlilik (Confidentiality) “Yetkisiz kişilere, süreçlere ve benzeri vb. açıklanmaması yada

teslim edilmemesi gerekli veri ya da programların özelliği…” [Bilişim Sözlüğü, Bülent Sankur]

Bozulmamışlık (Integrity) “Programların sistemin ve verilerin kötü niyetli olsun olmasın

değiştirlmesi ve bozulmasına karşı korunması ya da korunmuş olması…” [Bilişim Sözlüğü, Bülent Sankur]

Kullanırlık (Availability) “Bir sistem yada özkaynağın gereksinildiğinde kullanıma

elverişli olma derecesi…” [Bilişim Sözlüğü, Bülent Sankur]

21

Saldırıya Uğrayabilecek Değerler

• Kurumun İsmi, güvenilirliği• Kuruma ait gizli bilgiler• İşin devamlılığını sağlayan bilgi ve süreçler• Üçüncü şahıslar tarafından emanet edilen bilgiler• Kuruma ait adli, ticari, teknolojik bilgiler

22

Görülebilecek Zararın Boyutu

• Müşteri Mağduriyeti• Kaynakların Tüketimi• İşin yavaşlaması ya da durması• Kurumsak imaj kaybı• Üçüncü şahıslara yapılan saldırı mesuliyeti

23

Dahili Tehdit Unsurları

• Bilinçsiz ve bilgisiz kullanım

• Kötü niyetli hareketler

24

Harici Tehdit UnsurlarıSaldırı Yöntemleri

• Hizmet aksatma saldırıları• Ticari Bilgi ve Teknoloji hırsızlıkları• Web sayfası içeriği değiştirme saldırıları• Kurum üzerinden farklı bir hedefe saldırmak• Virüs, worm, trojan saldırıları• İzinsiz kaynak kullanımı

25

Bilgi Güvenliği

• Bilgi sistemi ve yetkili kullanıcıyı yetkisiz erişimlere, bilginin değiştirilmesine ve saldırılara karşı korumak.

• Koruma sırasında gerekli olan kontroller ve ölçümlerin

tespiti, doküman hale getirilmesi ve karşı tedbirlerin alınmasını sağlamak.

26

TS ISO IEC 27001

• Bilgi sistemlerini ve ağları bilgisayar destekli sahtekârlık, casusluk, sabotaj, yıkıcılık, yangın ve sel gibi çok geniş kaynaklardan gelen tehdit ve tehlikelerden korur.

• Bilginin gizliliği, güvenilirliği ve elverişliliği; rekabet gücünün, nakit akışının, karlılığın, yasal yükümlülüklerin ve ticari imajın korunması ve sürdürülmesini sağlar.

27

Siber Dünya

Günümüzde hayat her yönüyle sayısallaşmamış olsa da süreçte

varılacak nokta istisnasız her şeyin sayısallaştığı, uluslar

arası protokollerin ve standartların hayatın tüm evrelerine

nüfuz ettiği SİBER DÜNYA olacaktır.

Siber Saldırı/Siber Savaş

• Hedef seçilen şahıs, şirket, kurum, örgüt, gibi yapıların bilgi sistemlerine veya iletişim altyapılarına yapılan planlı ve koordineli saldırılara 'siber saldırı' deniyor. Bunlar, ticari, politik veya askerî amaçlı olabiliyor.

• Aynı saldırıların ülke veya ülkelere yönelik yapılmasına ise 'siber savaş' deniyor.

• Bu tanımlara göre, Anonymous isimli grubun Türkiye'deki bazı kurumlara yönelik eylemine siber saldırı, Wikileakes'in yaptığına ise siber savaş demek mümkün.

28

Siber Savaşlar

CIA başkanı Leon Panetta,

“ Savaş bitti ama teknoloji savaşları başladı.”

Eski ABD Savunma Bakanı Albright’a ait şu sözler siber-savaşın ciddiyetini de anlatıyor: “Siber saldırılar NATO ya karşı 3 tehditten biri olarak kabul edilecektir.”

29

Siber Saldırılar

Casusluk Manipülasyon Propaganda İletişim Virüs Truva atları

Sistem bozma Siber bombalarla

sabotaj Bilgi kirliliği Sistem kilitleme Dolandırıcılık

30

31

Siber Tehdit Araçları

• Hizmetin engellenmesi saldırıları (DoS, DDoS)

• Bilgisayar virüsleri

• Kurtçuk (worm)

• Truva atı (trojan)

• Klavye izleme (key logger) yazılımları

• İstem dışı ticari tanıtım (adware) yazılımları

• Casus / köstebek (spyware) yazılımlar

• Yemleme (phishing)

• İstem dışı elektronik posta (spam)

• Şebeke trafiğinin dinlenmesi (sniffing ve monitoring)

32

Siber Tehditlerin Amaçları

Sisteme yetkisiz erişim

Sistemin bozulması

Hizmetlerin engellenmesi

Bilgilerin değiştirilmesi

Bilgilerin yok edilmesi

Bilgilerin ifşa edilmesi

Bilgilerin çalınması

33

Araştırmalar & Veriler

• Britanya’da geçen yıl siber saldırıların ülke ekonomisine maliyeti 27 milyar pound’u buldu.

• Yılda 100 binden fazla siber saldırının yaşandığı ABD’de ise bu rakam tahmini olarak 100

milyar dolar civarında.

• I Love You virüsü dünya çapında yaklaşık 45 milyon bilgisayara bulaşmış ve yaklaşık 10

milyar USD’lik maddi kayba yol açmıştır.

• Nimda kurtçuğunun dünya çapında yaklaşık 3 milyar USD’ lik,

• Love Bug’ın ise 10 milyar USD’ lik kayba yol açmıştır

• MyDoom adlı truva atının yol açtığı maddi zarar 4,8 milyar USD civarında

Kaynak: Schjølberg, S., Hubbard, Lemos, R., Hahn, R.W

34

Neler Yapılmalı ???

Bilgi güvenliği konusu, salt teknik – mühendislik bir konu olmayıp, farklı boyutları bulunmaktadır

Yasal boşluk giderilmeli (1999’dan beri sürüncemede) Yetkili kurum tespit edilmeli Ulusal Strateji hazırlanmalı Düzenleyici çerçeve oluşturulmalı Farkındalık oluşturulmalı Eğitim müfredatına ilave edilmeli …………………………

Siber Güvenlik

35

• Güvenlik zincirinde en zayıf halkası bireyler olduğundan bireylere ve KOBİ’lere öncelik verilmesi

• Kullanıcılara yönelik siber güvenlik farkındalığı programları sunulması

• Özel şirketlerde güvenlik kültürü geliştirilmesinin teşvik edilmesi • Sivil topluma yönelik destek programları sunulması (Ebeveynlere yönelik

dersler, eğitimcilere yönelik destek malzemeleri, çocuklara yönelik gelişim kitapları veya oyunlar gibi)

• Kapsamlı bir ulusal farkındalık programının tesis edilmesi (Personelin eğitilmesi, yaygın kabul gören güvenlik sertifikasyonlarının alınması gibi)

• İnternet kullanıcılarının kişisel mahremiyet ve siber ortamdaki kimliğin sınırları hakkında eğitilmesi

Farkındalığın Artırılması

Türkiyeye Yapılan Saldırılar

• Cumhurbaşkanlığı• TBMM• Başbakanlık• İçişleri/Dışişleri/Ulaştırma vb. Bakanlıklar• Genel Kurmay Başkanlığı/MIT/Emniyet/BTK/TİB vb. Kurum ve Kuruluşlar• Anonymous BTK'yı Hack'ledi!• İnternetin bilinen hacker gruplarından Anonymous, Bilgi Teknolojileri ve

İletişim Kurumu’nu hack’ledi. Ele geçirilen tüm bilgiler internette yayınlandı.

• Bilinmeyenler.?36

37

• Casus yazılım sayısı artıyor.• Farklılaşıyorlar.• Kendilerini saklayabiliyorlar, görünmez olabiliyorlar.• Silseniz bile tekrar kopyalayabiliyorlar• Belirli bir süre var olup sonra kendilerini yok

edebiliyorlar.• Türkiyede yaklaşık

2000 server köle

SALDIRILAR

38

“İNTERNET ORTAMINDA YAPILAN YAYINLARIN DÜZENLENMESİ VE BU YAYINLAR YOLUYLA İŞLENEN

SUÇLARLA MÜCADELE EDİLMESİ HAKKINDADIR”4 Mayıs 2007

5651 NO’LU KANUN

39

Bilişim Suçları ve Cezalar

Suçun Adı Kanuni Dayanağı Ceza Durumu

Bilişim Sistemine Girme TCK Md. 243 1 ila 2 Yıl arası hapis

Sistemi Engelleme, Bozma, Verileri Yok Etme veya Değiştirme

TCK Md. 244 1 ila 6 yıl arası hapis

Banka ve Kredi Kartlarının Kötüye Kullanılması TCK Md. 245 3 ila 8 yıl arası hapis

Ticari Sır, Bankacılık Sırrı veya Müşteri Sırrı Niteliğindeki Bilgi veya Belgelerin Açıklanması

TCK Md.239 1 ila 7 yıl arası hapis

Devletin Güvenliği veya İç veya Dış Siyasal Yararları Bakımından, Niteliği İtibarıyla, Gizli Kalması Gereken Bilgiler

TCK Md. 327, Md. 328, Md. 3293 ila 20 yıl arası hapis(Savaş durumunda müebbet hapis)

Verilerin Kaydedilmesi TCK Md. 135 6 ay ila 3 yıl arası hapis

Verilerin yok edilmesi TCK Md. 138 6 ay ila 1 yıl arası hapis

Haberleşmenin gizliliğini ihlal TCK Md. 132 6 ay ila 3 yıl arası hapis

Haberleşmenin engellenmesi TCK Md. 124 6 ay ila 5 yıl arası hapis

Dolandırıcılık TCK Md.158 3 yıl ila 7 yıl arası hapis

40

Bilişim Sistemleri Aracı Kılınarak İşlenen Suçlar

Suçun adı Kanuni dayanağı Hapis Cezası Aralığı

İntihara Yönlendirme TCK Md. 84 2 ila 10 yıl arası hapis

Hakaret TCK Md. 125 3 ay ila 2 yıl arası hapis

Hırsızlık TCK Md. 142 3 ila 7 yıl arası hapis

Müstehcenlik TCK Md. 226 3 ila 7 yıl arası hapis

Kumar Oynanması İçin Yer ve İmkân Sağlama TCK Md. 228 1 yıla kadar hapis

Şantaj TCK Md. 107 1 ila 3 yıl arası hapis

Tehdit TCK Md. 106 6 ay ila 5 yıl arası hapis

Çocukların Cinsel İstismarı TCK Md. 103 3 ila 8 yıl arası hapis

Uyuşturucu veya Uyarıcı Madde Kullanılmasını Kolaylaştırma TCK Md. 190, 191 2 ila 5 yıl arası hapis

Sağlık İçin Tehlikeli Madde Temini TCK Md. 194 6 ay ila 1 yıl arası hapis

Fuhuş TCK Md. 227 4 ila 10 yıl arası hapis

Atatürk Aleyhine İşlenen Suçlar 5816 sayılı Kanun 1 ila 3 yıl arası hapis

41cerpolat@meb.gov.tr

Teşekkür ederim…