Kişisel Bilgi Güvenliği

İYTE BİDB Mesut Güngör @iyte_sec http://bilgiguvenligi.iyte.edu.tr

2

İçerik

● Bilgi Güvenliği Nedir ?● Bilgisayar ve Erişim Güvenliği

– Bilgisayara giriş güvenliği– Parola Güvenliği– Yazılım Yükleme ve Güncelleme– Dosya Erişim ve Paylaşım Güvenliği– Yedekleme

● İnternet ve Ağ Güvenliği– Web Güvenliği– Sosyal Ağ Güvenliği– E-posta Güvenliği– Sosyal Mühendislik– Mobil Cihaz Güvenliği

3

Bilgi Güvenliği Nedir ?

Bilgi güvenliği denildiğindeBilgi güvenliği denildiğindeakla gelen kendimize ait olanakla gelen kendimize ait olanbilginin başkasının elinebilginin başkasının elinegeçmemesidir.geçmemesidir.

Aslında güvenlik sadeceAslında güvenlik sadecebilginin başkasının elinebilginin başkasının elinegeçmemesi anlamına gelmez.geçmemesi anlamına gelmez.

Güvenlik, “Güvenlik, “gizlilikgizlilik”,”,““bütünlükbütünlük” ve” ve““erişilebilirlikerişilebilirlik” olarak” olarakisimlendirilen üç unsurdanisimlendirilen üç unsurdanoluşur.oluşur.

4

Bilgi Güvenliği Unsurları

● Gizlilik : Bilginin yetkisizkişilerin eline geçmemesidir.

● Bütünlük : Bilginin yetkisizkişiler tarafındandeğiştirilmemesidir.

● Erişilebilirlik : Bilginin ilgiliya da yetkili kişilerceulaşılabilir ve kullanılabilirdurumda olmasıdır.

5

Bilgisayar Erişim Güvenliği

Bilgisayara Giriş Güvenliği

● Bilgisayarınızın girişine şifre koyunuz. En azından işletim sistemine şifrekoyun.

● Bilgisayarınızın başından kalktığınızda ekran kilidine alın. (Evet 2dakikalığına bile çıksanız)

● Bilgisayar giriş şifrenizi ekranın üstüne, klavyenin altına kasanınkenarına post-it e yazarak yapıştırmayın !!! (Tabiki diğer şifrelerinizi deyazmayın. )

● Giriş şifrenizi Bilgi İşlem Personeliyle dahi paylaşmayın.● Şifrenizi kolay tahmin edilebilir koymayın. Örn. 123456, 1q2w3e4r,

1qaz'wsx^edc+rfv, 159357456 .● Şifrenizi belirli periyotlarla değiştirin. En azından 3 ayda 1 kere şifrenizi

değiştirin. (Ocak1q2w3e4r5t olan şifrenizi 3 ay sonra Mart1q2w3e4r5tyapmayın.)

6

Bilgisayar ve Erişim Güvenliği

Parola Güvenliği

● Tanıdığınız bir kişi sizin hakkınızda bildikleriyle parolanızıtahmin edebilir.

● Tanımadığınız bir kişi ise herkesin sık kullandığı bilinen,basit parolaları deneyerek şifrenizi bulabilir.

● Parolanızı bulmak isteyen kişi özel programlar kullanaraksık kullanılan yüzlerce parola örneğini ya da sözlüklerdekibinlerce kelimeyi hızlıca deneyerek parolanızı belirleyebilir.

● İyi korunmayan, yazılı ya da sözlü olarak paylaşılanparolalar, yazılı bulunduğu ortama ulaşılarak ya da kulakmisafiri olunarak ele geçirilebilir.

● Bilgisayar virüsleri gibi zararlı programlar bilgisayardakiişlemlerinizi izleyerek parolanızı ele geçirebilir.(keyloggerlar, screenloggerlar)

7

● Crackli lisansız yazılım,film,müzik indirmeyin, indirilmişi çalıştırmayın.● Yazılımlarınızı ve İşletim Sistemlerinizi güncel tutmaya özen gösteriniz.● Bilgisayarınız Windows tabanlı bir işletim sistemi ise Anti-Virüs Yazılımı

kurulmuş ve güncellenmiş olmasına özen gösteriniz.● Arkadaşınızdan veya öğrencinizden USB, CD gibi ortamlarda aldığınız

programları veya dosyaları anti-virüs yazılımları ile taratmadankullanmayınız.

● Akademik personelin verdikleri ödevleri veya projeleri usb veya emailyoluyla değil CMS üzerinden toplaması daha faydalı olacaktır.

● İdari personel dosya paylaşımını hem iç hem dış paydaşlarlabulut.iyte.edu.tr üzerinden yapabilir.

● Bir uygulama indirirken yan download sitelerinden (cnet, tamindir vb.)değil uygulamanın orjinal sitesinden indirmeye özen gösteriniz.

Bilgisayar ve Erişim Güvenliği

Yazılım Yükleme ve Güncelleme

8

● Dosya, takvim, mail içeriği paylaşımlarında amirmemura, hoca asistanına şifresini vermemeli.

● Dosya paylaşımlarını süreli, şifreli ve güvenli birşekilde bulut.iyte.edu.tr üzerinden veya diğeronline bulut paylaşım platformlarındanyapabilirsiniz.

● Email ile gelen ve spam olmadığınıdüşündüğünüz dosyaları anti-virüs iletaramadan kullanmayınız. (Mağazadan aldığınızt-şört veya gömleği düşünün yıkamadankullanır mısınız ?)

Bilgisayar ve Erişim Güvenliği

Dosya Erişim ve Paylaşım Güvenliği

9

● Ben yedekleyeceğim zaman email(gmail) atıyorum ?● Gmail 15 GB dan sonra ücretli bu alan google drive ile beraber toplam

kullanılan alan olarak hesaplanıyor.● Ben yedeklerimi bulut depolamaya senkron ediyorum ?● Dosyalarınızı buluta senkron etmeniz ransomeware (cryptolocker) den

korumaz. ● Ben diskimin D:\

bölümüne yedekliyorum ?● Diskinizin D bölümüne dosylarınızın kopyasını almak onları ransomeware

zararlı yazılımlarından korumaz.● Yedekleme en az iki farklı ortama (CD, harici USB) alınmalı

Bilgisayar ve Erişim Güvenliği

Yedekleme

10

● Şifreli Giriş yaptığınız adreslerde, Online Alışveriş ödemeesnasında, Herhangi bir siteye kaydolurken https:// protokolünükullanmaya özen gösteriniz.

● Email ile gelen linklerdeki web adreslerini tıklayarak değil adressatırına el ile giriş yaparak ziyaret edin.

● Ödeme yaparken kişisel bilgilerinizi (Kullanıcı adı, hesap numarasıveya şifre gibi) veya kredi kartı bilgilerini girerken sanal klavyekullanın.

● Alışverişlerinizde sanal kredi kartı kullanmaya çalışın ve bu kartınlimitini kontrol edin.

● İnternet bankacılığı için kullandığınız parolanızı banka çalışanlarıdahil kimseyle paylaşmayın.

● Şifresi olmayan ağlara giriş yapmayın. ● Konferans, kafe, otel gibi yerlerde yayınlanan kablosuz ağlara

bağlanmanız gerekiyorsa sosyal ağ hesaplarınıza, emailhesabınıza, girmemeye özen gösteriniz. Girmek zorundaysanızdöndüğünüzde şifrelerinizi değiştmeyi unutmayın. İnternet içinmevcutsa eduroam u tercih edin

● Tarayıcı şifre hatırlatmalarına ana şifre(master password) koymayıunutmayın.

İnternet ve Ağ Güvenliği

Web Güvenliği

11

● Evinizden uzaktayken evinizde alarm veyaherhangi biri yoksa konum bildirimi(checkin) yapmayın.

● Tanımadığınız kişilerden gelen arkadaşlıkisteklerini varsa telefon numarasıyla veyaemail yoluyla teyid ettikten sonra kabul edin.

● Sosyal ağlardan gelen para veya herhangi biryardım isteğine cevap vermeyin. Bu kişiarkadaşınızmış gibi görünen fakat aslındasahte bir hesap açıp arkadaşınızın isminibilgilerini ve fotoğrafını profil fotoğrafı yapanbir dolandırıcı olabilir.

● Sosyal ağ giriş yöntemlerini kullanansitelerin (Facebook la giriş yapın twitterlagiriş yapın vb.) sosyal ağ hesaplarınızın hangidetaylarına eriştiğine dikkat ediniz.

İnternet ve Ağ Güvenliği

Sosyal Ağ Güvenliği

12

● Giden kısmına ne yazdığınıza dikkat edin, otomatik tamamlama özelliği olanmail istemcileri yanlış kişiye gizli bilgileri göndermenize sebep olabilir.

● E-posta ile gelen web sayfası bağlantılarını tıklamadan önce fare ile üzerinegelip bekleyin ve linke tıkladığınızda gideceğiniz gerçek websayfasını görün.

● E-posta ile gelen ek dosyaları açmadan önce indirip anti-virüs taraması yapın.● Gönderen kısmında yazan isime hemen güvenmeyin. (From : İş Bankası

<isbanc@customer.com>)● İmla hatalarına ve dil bilgisi hatalarına dikkat edin.● Selamlama satırına bakın isminizle mi hitap ediyor yoksa genel bir hitap mı

söz konusu.● Çoğu kurum kişisel bilgilerinizi email yoluyla istemez.● E-posta metnindeki tehtitkar ve acilliyet arz eden dile dikkat edin.

İnternet ve Ağ Güvenliği

E-posta Güvenliği

13

● Kotanız doldu arttıralım yoksa kapanacak…. ,● Banka hesabınız kilitlendi açmak için şuraya gidin yoksa kapanacak....,● Yüklü bir tel faturanız var fatura detayı için şuraya giriş yapın yoksa kapanacak hattınız ….,● Kargonuz var görüntülemek için şuraya giriş yapın yoksa geri gönderilecek….,● Yüklü kredi kartı borcunuz var ödemezseniz haciz gelecek hemen online ödemek için kredi

kart bilgilerinizi girin ….,● X alışveriş sitesinden Y TL kupon kazandınız harcamak için şuraya giriş yapın 1 gün içinde

kullanmazsanız yanacak….,● Uçuş mili kazandınız hemen tanımlamak için kredi kart bilgilerinizi girin 2 gün içinde

dolacak …., ● X kazandınız almak için facebook hesabınız ile giriş yapın yoksa kaybedeceksiniz …,● Hakkınızda icra davası mevcut UYAP üzerinden görüntülemek için e-devlet şifreniz ile giriş

yapınız. ….,● Hedef odaklı değil ise genelde dil bilgisi ve kullanılan kelimeler bozuktur.

İnternet ve Ağ Güvenliği

E-posta Güvenliği Oltalama Email Örnek İçerikleri

14

İnternet ve Ağ Güvenliği

E-posta Güvenliği

15

İnternet ve Ağ Güvenliği

E-posta Güvenliği

16

17

Sosyal Mühendislik

● İnsan faktörünü kullanan saldırı tekniklerinden ya da kişiyi etkileme ve ikna yöntemlerindenfaydalanarak normal koşullarda bireylerin gizlemeleri / paylaşmamaları gereken bilgileri bir şekildeele geçirme sanatı Sosyal mühendislik olarak ifade edilir.

● İki çeşidi mevcut– Bilgisayar Tabanlı

– Kişi(İnsan) Tabanlı

● Kişi tabanlı olan yüz-yüze, emaille veya telefonla iletişim metotlarını kullanır.● Aşağıdaki senaryolar kişi tabanlı sosyal mühendislik örnekleridir.

– Tamirci : Saldırgan telefon veya bilgisayar tamircisi olarak girdiği ofise etrafta ekran üzerinde klavye altında vbyerlere dikkatsiz personel tarafından yazılmış şifreleri alabilir.

– Network sorumlusu : Binanızdaki Wi-Fi bozuktu, tamir ettik şifrenizi verebilirmisiniz deneme yapacağız.

– Yeni personel : Ben kuruma yeni geldim bana şifre ve e-posta verirmisiniz.

– Müdür : Bir birimin müdürü veya idari amiri gibi davranıp sizden kuruma özel bilgi isteyebilir. Mali rapor, faaliyetraporu vb.

– Vekil : Birisi herhangi bir biriminin sekreteri gibi davranıp o gün amirin/müdürün/dekanın/rektörün vekaletiniyürüttüğünü söyleyerek bu kişiyle ilgili haklara sahip olabilir veya bilgilerini ele geçirebilir. Eğer siz itirazederseniz acındırma (işimi kaybedebilirim) veya tehtit yöntemini kullanabilir (bu durumu amirime raporedeceğim )

18

● Uygulama marketlerinin izin vermediği uygulamalarıkurmamaya özen gösterin.

● Uygulamaların gereksiz izinleri varsa o uygulamayı kullanmayın.(Fotoğraf uygulamasının mikrofon erişim isteği gibi).

● Gerçekten ihtiyacınız yoksa mobil cihazlarınızı root veyajailbreak yapmayın.

● Sms ile gelen linkleri tıklamayın● Arka planda çalışan lokasyon servislerini gereksiz yere açık

bırakmayın.● IOS ve Android mobile platformlarında bulunan “Telefonumu

Bul” özelliğini aktif edin. Bu cihazınız kaybolmuşsa bulmanızı enkötü senaryoda uzaktan tamamen silmenizi(wipe) sağlayacaktır.

● Zor bir ekran kilidi belirleyin (Z veya + yapmayın) . Parmakokuyucu bulanan cihazlarda parmak izinizi aktif edin.

● Rehberinizi ve dosyalarınızı belli periodlarda yedeklemeyiunutmayın.

● Omuz üzerinden gözetleyenlere dikkat edin. Sadece direkbaktığınızda ekran görüntüsünü gösteren filtrelerdenalabilirsiniz.

İnternet ve Ağ Güvenliği

Mobil Cihaz Güvenliği

19

http://bilgimikoruyorum.org.tr/

20

http://bilgiguvenligi.iyte.edu.tr

21

Soru ve Görüşleriniz

● Bilgi Güvenliği ihlalerini ,● Şüpheli bulduğunuz e-postaları,● Şüpheli olarak düşündüğünüz dosyaları● bilgiguvenligi@iyte.edu.tr adresine e-posta

atarak ihbarda bulunabilir ve bilgi alabilirsiniz.

22

Kaynakça

● http://bilgimikoruyorum.org.tr/

● http://www.garanti.com.tr/tr/ticari/subesiz/internet_bankaciligi/guvenlik/phishing_saldirilari.page

● https://www.securingthehuman.org/

● https://www.securingthehuman.org/resources/newsletters/ouch/2015

● https://www.sans.org/reading-room/whitepapers/engineering/

● http://www.phishing.org/scams/avoid-phishing/

● https://www.paypal.com/us/webapps/mpp/security/suspicious-activity

● http://www.amazon.com/gp/help/customer/display.html?nodeId=15835501

● https://www.fbi.gov/news/stories/2009/april/spearphishing_040109