İnternet ve Güvenlik
Günümüzde Elektronik eğitimden tutun da, Elektronik ticarete, elektronik proje yönetimine, elektronik bankacılığa kadar her şey artık bu sanal ortamda son derece işlevsel yapılmaya başlandı. Durum böyle olunca bu sanal ortamda bilgilere erişimleri kendilerine sektör haline getiren ve bilindik adıyla Hacker dediğimiz kişiler türediler. Zaman içerisinde Hacker ların yaptıkları ataklar ve bilgi hırsızlıkları neticesinde büyük kayıplar yaşandı. Hacker lar, İşletmelerin ticari bilgilerinin kopyalanması, devletlerin son derece gizli istihbarat örgütlerine ait çok gizli ve hayati önem taşıyan bilgilerinin çalınmasına kadar büyük operasyonlar gerçekleştirdiler. Ortamın sanal olması, bu operasyonları gerçekleştiren kişilerin yakalanmalarını önledi. Sadece girdikleri yerlerde kod adlarını (Nick name) bırakmaları dışında(bazıları), haklarında daha fazla ipucu ve bilgilere erişilemedi. Bu nedenle ele geçmeleri de sanal ortamın büyüklüğünde neredeyse olanaksız hale geldi. Sanal ortama bırakılan virüslerin verdiği zararların bilançosu ise ölçülemez boyutlar aldı. Bu sürecin başlamasıyla beraber dünya üzerinde yapılan saldırılar neticesinde kayıp edilen bilginin değeri ise parayla ölçülemez bir haldedir.
Bilgisayar suçunun kapsamını ölçmek oldukça zor. Raporlara göre bilgisayar suçlarının bize verdiÄŸi zarar yılda 500 milyon dolar ile 10 milyar dolar arasında. Computer Security Institute (CSI) ve FBI`in bilgisayar suçları departmanı tarafından yapılan 5000 firma, federal enstitü ve üniversitenin katıldığı ankete göre son 12 ay içerisinde söz konusu kuruluÅŸların yarısı güvenlik sistemlerinin aşıldığını belirtmiÅŸ. Bu saldırılar çalışanların yetkisiz eriÅŸiminden bilinmeyen saldırganların sistemlere giriÅŸlerine kadar farklılıklar gösterebiliyor. Bu çalışma sonuçlarına göre: Problem giderek büyüyor ve en büyük problem içerden yapılan saldırılar (yerel kullanıcılardan) ve tanımlanan bilgisayar suçları 1996`da 100 milyon doların üzerinde. Amerikan Adalet Bakanlığının son zamanlarda hazırladığı bir rapora göre saldırıya uÄŸrayan sistemlerin bazıları: U. S. Marshals system – Alaska, U. S. District Court system – Seattle, NASA – Houston, Ordu sistemleri – Körfez savası, Organ nakli hasta hanesi – Ä°talya, Enerji firmaları ve 911 sistemleri olarak verilmektedir. Ayrıca NSA (National Security Agency) 1996`da Savunma Bakanlığı sistemlerine 250 saldırı olduÄŸunu rapor etmiÅŸtir.
1996`da Information Week dergisi ile Ernst and Young ‘ın birlikte yaptığı 3 yılı içine alan anket 1290 katılımcı kurum ile gerçekleÅŸtirildi. Sonuç olarak bu anketin uygulandığı kurumların yarısı geçen iki yıl içinde bilgi güvenliÄŸi ile ilgili para kaybına uÄŸradıklarını belirttiler. lik bir kısım, kayıplarının (her biri için) 1milyon doların üzerinde olduÄŸunu rapor ettiler. . Bu anket sonuçlarına göre her 4 amerikan ÅŸirketinden birinin kaybının 1 milyar ile 15 milyar dolar arasında deÄŸiÅŸtiÄŸi gözlenmektedir.
Australian Computer Emergency Response Team 1996 yılı ile 1997 yılı arasında hacker saldırılarında %220 artış olduğunu belirtmiştir.
1999 yılında CSI/FBI tarafından yayınlanan ‘Bilgisayar suçları ve güvenliÄŸi” çalışmasına göre 1997 ile 1999 yılları arasında yapılan saldırılar neticesinde 64 firmadan 42 milyon doların üzerinde deÄŸere sahip ticari sır çalınmış olduÄŸu ifade edilmektedir.
Bu durum karşısında kurumlar, işletmeler ve hatta kişiler kendilerince çeşitli güvenlik tedbirleri aldılar. Fakat zaman içerisinde bu önlemlerinde pek işe yaramadığı gerçeği çıktı ortaya. İkinci adım ise yine aynı kurumların, işletmelerin v. s. teknoloji güvenliği politikaları oluşturmaları ile başlamış oldu. Oluşturulan bu politikalar neticesinde güvenlik uzmanları ve hatta departmanları kuruldu. Çeşitli güvenlik yazılımları ve donanımları için bütçeler ayrıldı. IT alanında yeni bir güvenlik sektörleri açıldı. Güvenlik hizmeti veren ve açık noktalarınızı raporlayan şirketler kuruldu. Maliyetler ve yatırımlar gittikçe büyüdü ve kaçınılmaz bir hal aldı.
Güvenlik teknolojileri ile ilgilenen kuruluşlar ise kendilerini geliştirmek ve sürekli güncel tutmak zorunda kaldılar. Kısacası çok büyük bir sektör oluştu.
Günümüzde bu tür önlemler için şirketlerin, kurumların v. s. yaptığı yatırımların en başlıcaları Firewall lar ve antivirüs yazılımlarıdır. Bunun yanı sıra E-Güvenlik(e-security) konusunda çeşitli yeni çözümler üretilmiştir. Örneğin içerik kontrolü, elektronik sertifikalar, token lar v. s. bunlara örnekler teşkil ederler.
Zaman içerisinde şirketler İnternet güvenliği konusunda sunulan bu çözümlerin birçoğunu eşzamanlı kullanıma soktular. İnternet bağlantılarına ilk önce donanım hemen arkasına bir yazılım firewall kurdular, firewall ları antivirüs paketleriyle senkronize çalıştırdılar ve virüsün daha firewall seviyesinde imha edilmesini sağladılar, gelen e-mail lerin içeriğini taradılar, VPN lere geçtiler, dışarıdan erişim yapan kullanıcılarına token lar dağıttılar v. s.
Fakat bunlar önlem alma seviyesinde yapılan uygulamalar olmanın dışına çıkamadı hiçbir zaman. Yapılan yatırımların güvenli olması yeni teknolojileri hep takip etmekle mümkün olabiliyor artık. Bu nedenle birçok kuruluş bu güvenlik yönetimi işlerini profesyonel şirketlere devrettiler. Hacker ların bazıları bu anlamda güvenlik hizmeti veren şirketler kurdu. Ilk önce hack lediler ardından danışmanlık verdiler v. s.
Netice olarak yarının İnternet iş dünyasında daha büyük yer edinmek isteyen şirketler bugünden sorunlarına çözüm bulabilmek için ellerinden geleni yaptılar. Yapmayanlar ise İnternet üzerinde güvenli bir hizmet sunamadıkları için eriyip gittiler.
Åžimdilerde güvenli Ä°nternet hizmeti ile donanmış ve Ä°nternet üzerinden hizmet veren kuruluÅŸlar giderek büyümekteler. ÖrneÄŸin Japonya Ticaret ve Sanayi Bakanlığının yaptığı bir araÅŸtırmaya göre, Japon ÅŸirketlerinin E-Ticaret hacminin 2003 yılında 7 kat artarak 542 milyar dolara ulaÅŸacağı ifade ediliyor. Amerika’da ise Amazon. com’un Ä°nternet üzerinden yaptığı satışlar, ABD de bir yılda satılan toplam kitap miktarının yüzde 20 sine ulaÅŸtı. Durum böyle iken bankalar müşterilerinin kredi kart numaralarının çalınmasına karşı e-kart lar ürettiler.
Ä°ngiltere’nin 1999 yılında hazırladığı bir raporda, devlet hizmetlerinin aÅŸamalı olarak 2002 de %25, 2005 de %50 ve 2008 de %100 Ä°nternet üzerinden saÄŸlanması öngörülmektedir.
Telefon görüşmelerinin ve video konferansların bile Ä°nternet üzerinden yapıldığı günümüzde Ä°nternet’in ilerideki yaÅŸamımızda bize sunacağı imkanların büyüklüğü tartışılamaz.
Şu anda dünyada 2000 li yıllarda 250 milyon insanın düzenli olarak İnternet kullandığı tahmin edilmektedir.
Bu sanal ortamın bizlere sunacakları hiç şüphesiz güvenli ortamlar neticesinde mümkündür. Güvenli Ä°nternet platformunun hayatımızı ne kadar büyük ölçüde deÄŸiÅŸtirdiÄŸi gerçeÄŸi gözler önündedir. Türkiye’de elektronik bankacılığı kullanmayan Ä°nternet abone sayısı çok azdır.
Bu nedenler neticesinde kurumların güvenlik politikalarını ve yönetimlerini, IT ve güvenlik denetimlerini, risk yönetimlerini, yedeklemelerini her zaman güncel tutmaları gerekmektedir.
Kurulacak Firewall ların yeni nesil firewall lar olarak seçilmesi, antivirus ve içerik yönetimi uygulamalarının hayata geçirilmesi, yerel kullanıcıların bu konularda bilgilendirilmesi, erişim haklarının kısıtlanması ve denetim altına alınması, dışarından yerel ağa olan erişimlerin(mobil kullanıcıların v. s. ) VPN, token, dijital sertifika gibi yöntemler kullanarak erişimlerinin sağlanması en temel güvenlik yapısı için verebileceğim yapılandırmalardır.
Yukarıda bahsettiğim uygulamalar/ürünler için birçok teknoloji firması çeşitli çözümler üretmişlerdir. Yapılması gereken en temel çalışma hangi platformlara sahip olduğunuz ve İnternet üzerinden neler yapmak istediğiniz ile birebir alakalıdır.
Öncelikle bu güvenlik platformu süreciniz, seçeceğiniz güvenlik uygulamalarının/ürünlerinin bağımsız olarak yapılmış teknik karşılaştırmalarını incelemekle başlamalıdır. Güvenlik uygulamaları/ürünleri nin farklı teknolojilere sahip olmaları birlikte uyumsuz çalışabilmelerine sebebiyet verir. Örneğin kullanacağınız firewall ile antivirüs çözümünüzün sekronize çalışması şarttır. Aksi takdirde gelen virüsü sunucu veya PC lerinize ulaşmadan , firewall seviyesinde imha etmeniz olanaksız hale gelecektir.
Ä°nternet’e açtığınız uygulama sunucularınıza dışarıdan yapılacak eriÅŸimler sizin Ä°nternet eriÅŸim hızınız ile alakalıdır(ÅŸayet yerel olarak hosting yapıyorsanız). Bu nedenle yerel kullanıcılarınızın bu bant geniÅŸliÄŸini gereksiz kullanıyor olmaları (bunlar için ayrı bir eriÅŸim hattınız yoksa) , dışarında yapılacak olan eriÅŸimi yavaÅŸlatır. Yerel kullanıcılarınızın gereksiz web sitelerinde dolaÅŸmalarını önlemek bu gibi durumlar için kaçınılmazdır. Burada kullanacağınız ürünler(siteleri kategorilere göre ayıran ve eriÅŸim kuralları tanımlanabilen uygulamalar/ürünler) yine aynı ÅŸekilde firewall veya proxy sunucularınız ile senkronize çalışmalıdır.
Mobil kullanıcılarınız için uygulamak istediğiniz erişim metotları (VPN, token, dijital sertifika v. s. ) aynı şekilde firewall seçerken üzerinde durmanız gereken bir karardır. VPN özelliği olmayan firewall lar, ileride bu uygulamaya geçmek istediğinizde size yeni yatırımlar yapmanızı gerektirebilir. Veya kullanmak istediğiniz token uygulamaları sizin kullandığınız işletim sistemleri ile uyumlu olmayabilir.
Bir güvenlik mimarisinde kullanılacak yazılımların kullanım şekline göre sıralaması ve katmanlarını aşağıdaki şekilde değerlendirebiliriz.
1-Eğitim ve yönetim / Erişilebilirlik
2-İçerik kontrol, VPN ve PKI tanımlama
3-EriÅŸimin denetlenmesi
1) Eğitim ve yönetim: Kurulacak güvenlik sisteminin sürekliliği, güncellenmesi, performanslı çalışabilmesi ve yönetilebilmesi gerekliliğini taşır.
Erişebilirlik, İnternet üzerinden sunduğumuz platformların (e-ticaret, e-eğitim v. s. ) her zaman, hızlı ve kesintisiz olarak erişilebilir olması için kaçınılmazdır.
2) İçerik kontrol, VPN ve PKI tanımlama:Mevcut sistemlerimize (uygulama sunucularınıza, yerel ağ sunucularımıza, veri ambarı sunucularımıza v. s. ) İnternet üzerinden gelen veri trafiğinin kontrolüdür. Sistemimize gelebilecek ataklar, virüsler, izinsiz girişler, saldırılar v. s. hem kayıt altında tutulmalı hem de bunlara karşı yüksek seviye teknolojiler kullanılarak önlemler alınmalıdır. VPN ler (Virtual private network) dışarıdaki kullanıcılar ile sunucular arasında özel bir iletişim tüneli oluşturuluyor ve tünel içinden bilgilerin şifrelenerek geçişi sağlanıyor. Bu şeklide, bilgilerin başka şahıslar tarafından ele geçirilmesi engelleniyor. VPN uygulamaları, elektronik ticaret sitelerinde SSL uygulamaları devreye alınarak, diğer uygulamalarda ise özel VPN yazılımlarının kullanılması yoluyla sağlanmaktadır.
PKI (Public Key Infrastructure) ise e-postalarda, elektronik dosya aktarımlarında v. s. kullanılmaktadır. Bu sertifikalar ve dijital imzalar kullanılarak taraflar arasındaki güvenlik sağlanmaktadır.
3) Erişim denetlenmesi: Bunlar Firewall lar ile sağlanmaktadırlar. Size karşı yapılan tüm trafik akışını belirlediğiniz kurallar (güvenlik kuralları) çerçevesinde yerine getirirler, bu trafiği her zaman kontrol altında tutar ve kaydederler. Firewall lar yalnız başlarına kusursuz bir güvenlik sistemi oluşturmazlar. Bu nedenle onlarla beraber çalışacak diğer uygulamalar ile uyum içinde olmalıdırlar.
Güvenlik projeleri, network projeleri kadar kapsamlı olarak ele alınmalıdır. Bu konuda uzmanlar ile beraber projeler oluşturulmalı ve politikalar belirlenmelidir.
Projelerin hayata geçirilmesi ile beraber yapılan atak kayıtları sürekli incelenmeli, işletim sistemlerine, aplikasyonlara ve firewall lara ait yazılım güncellemeleri uygulanmalı, antivirüs yazılımlarına ait yenileme dosyaları yenilenmeli ve atak denemeleri yapılarak mevcut açıklar ortaya çıkartılmalı ve giderilmelidir. Güvenlik şirketlerince yayınlanan güvenlik bültenleri, aplikasyon ve işletim sistemlerine ait açıklar ve tehlike seviyelerini öğrenmek ve gidermek yönünde(yamalar v. s. ) size pozitif değerler kazandıracaktır.
Esenlikle kalın.