1. Halil
ÖZTÜRKCİ
Microsoft
MVP
CISSP,
CISA,
CEH,
CHFI,
CCNP
ADEO
Bilişim
Danışmanlık
Hizmetleri
halil.ozturkci@adeo.com.tr
2. ¡ ADEO
Kurucu
Ortak&Güvenlik
Birimi
Yöneticisi
¡ Bilgi
Üniversitesi
ve
Bahçeşehir
Üniversitesi
Öğretim
Görevlisi
¡ Türkiye
Bilişim
Vakfı
Yönetim
Kurulu
Üyesi
¡ Adli
Bilişim
Derneği
Başkan
Yardımcısı
¡ IstSec
ve
AnkaSec
Organizatörü
¡ Microsoft
MVP,
Enterprise
Security
¡ Profesyonel
Penetration
Tester
¡ Adli
Bilişim
Uzmanı
¡ SANS
Mentor
(www.sans.org)
¡ CISSP,
GPEN,
GCFA,
CHFI,
CEH...
¡ www.halilozturkci.com
¡
halilozturkci
@ADEO Security Labs, 2014 www.adeosecurity.com
3. ¡ Günümüz
güvenlik
tehditlerine
genel
bakış
ve
Türkiye’nin
durumu
¡ Bilgi
Güvenliğinde
Temel
Başlıklar
¡ Bilgi
Güvenliği
Politikaları
ve
Güvenlik
Kontrolleri
9. ¡ 200
milyon
dolarlık
bir
çete
¡ First
National
Bank,
Bank
Oklahama,
American
Bank,
Old
National
Bank
başta
olmak
üzere
Amerika,
Avrupa
ve
Asyadaki
bir
çok
banka
müşterilerine
ait
yaklaşık
500.000
hesap
ele
geçirilmiş
¡ FBI’ın
’dünyadaki
en
iyi
ikinci
hacker’
olarak
gösterdiği
Ercan
F.
ortaokul
mezunu
¡ Zanlılardan
Ercan
F.'nin,
ABD
bankalarından
dolandırdığı
paralarla,
500
bin
dolarlık
yat,
Land
Rover
cip
ve
Rusya'da
300
bin
dolarlık
malikâne
aldığı
bildirildi.
¡ Ercan
F.,
11
Ocak
2008'de
ağabeyi
Engin
F.'ye,
"Yeni
ev
alalım
ağabey.
Başkasının
oturduğu
yere
girmek
istemiyorum"
diyor.
Ağabeyi
de
"Tamam
bakalım
kardeşim.
Ama
sen
de
artık
beni
Umre'ye
gönderirsin
değil
mi?"
diye
soruyor.
Ercan
F.
de
"Yollayacağımı
söyledim
ya
abi
zaten"
cevabını
veriyor.
J
¡ Ercan
F.,
çete
üyesi
arkadaşı
Gökhan
B.
ile
27
Temmuz
2007'da
yaptığı
telefon
konuşmasında
bankaya
yatırdığı
parayı
"manita"
olarak
adlandırdı.
Ercan
F.,
"Yeni
manitalarla
ilgili
mail
attım.
Bankadan
bugün
içinde
çek"
dedi.
Gökhan
B.
ise
"Dolar
zengini
oldun
lan.
Bugün
içinde
çekerim
manitaları"
yanıtını
verdi.
13. ¡ The
hackers
claim
to
have
stolen
around
100
terabytes
of
internal
Sony
files
and
films
in
that
attack.
¡ Several
Sony-‐related
Twitter
accounts
were
also
taken
over.
¡ The
information
included
customer
passwords,
Sony
employees'
Social
Security
numbers,
and
contracts
with
celebrities.
¡ A
number
of
forthcoming
Sony
movies
including
"Annie",
"Mr.
Turner"
and
"To
Write
Love
On
Her
Arms"
were
also
leaked
¡ Following
the
breach,
the
hackers
implanted
Wiper
on
Sony's
computer
infrastructure,
a
malware
software
program
designed
to
erase
data
from
the
servers.
¡ A
message
that
several
Sony
Pictures
executives
had
received
via
email
on
the
previous
Friday,
November
21;
the
message,
coming
from
a
group
called
"God'sApstls"
[sic],
demanded
"monetary
compensation"
or
otherwise,
"Sony
Pictures
will
be
bombarded
as
a
whole".
This
email
message
had
mostly
gone
ignored
by
executives,
lost
in
the
volume
they
had
received
or
treated
as
spam
email.
@ADEO Security Labs, 2015 www.adeosecurity.com
17. ¡ Esed
yönetimi
yanlısı
hacker
grubu
Suriye
Elektronik
Ordusu,
aralarında
Türkiye
Cumhuriyeti
Cumhurbaşkanlığı,
Dışişleri
Bakanlığı,
Milli
Savunma
Bakanlığı
ve
Hava
Kuvvetleri
Komutanlığı’nın
da
bulunduğu
e-‐posta
hesaplarını
ele
geçirdiğini
açıkladı.
¡ Suriye
Elektronik
Ordusu’nun
sızdırdığını
iddia
ettiği
e-‐posta
adresleri
arasında
sadece
Türkiye
değil
Suudi
Arabistan,
Katar
ve
Arap
Birliği’ne
ait
olanlar
da
bulunuyor.
@ADEO Security Labs, 2015
www.adeosecurity.com
20. Konvansiyonel Savaş: iki veya daha fazla
devletin veya koalisyonun, açık bir
çatışmada, geleneksel silah sistemlerini ve
savaş taktiklerini uygulayarak icra ettikleri
savaş şeklidir..
Siber Savaş: Siber uzayı ve içindeki
varlıkları korumak için yürütülen
harekâtların geneline verilen isimdir.
Siber saldırı girişimlerine düşman olarak
belirlenen hedefe saldırıda bulunmak,
karşı savunma yapmak, hedefteki siber
uzayda istihbarat verileri toplamak
siber savaş faaliyetlerini
oluşturmaktadır.
21. ¡ Siber
savaşlarda
hedef
olarak
temelde
aşağıdaki
kritik
yapılar
seçilir;
§ Güvenlik
§ İletişim
§ Enerji
§ Finans
§ Sağlık
§ Ulaşım
22. President Obama has declared that the “cyber threat is one of the most
serious economic and national security challenges we face as a nation”
and that “America's economic prosperity in the 21st century will depend
on cybersecurity.”
23. ¡ ABD
ordusu,
bilgisayar
sistemlerine
yönelik
siber
saldırılara
karşı
askeri
olarak
misillemede
bulunmaya
hazırlanıyor!!!
24. ¡ İsrail
Başbakanı
Benjamin
Netanyahu’nun
Siber
güvenlik
danışmanı
Isaac
Ben-‐Israel’in
çarpıcı
açıklaması;
§
"Siber
savaşlar
konvansiyonel
savaşlardaki
gibi
bir
etki
verebilecek
güçtedir.
Bir
ülkeyi
vurmak
istiyorsanız
o
ülkenin
enerji
ve
su
kaynaklarına
karşı
siber
ataklar
düzenlemek
gerekmektedir.
Siber
teknoloji
bunu
tek
kurşun
kullanmadan
yapabilme
yeteneğine
sahiptir."
25.
26. ¡ İngiltere’nin
Ulusal
Güvenlik
Stratejisi’nde
siber
saldırılar,
uluslararası
terorizm
ile
birlikte
ülkenin
ulusal
güvenliğinin
tehlikeye
atan
ve
Tier
One
olarak
sınıflandırılan
en
önemli
tehditler
listesinde
yer
alıyor.
¡ Son
4
yıl
içerisinde
İngiltere’nin
siber
güvenliğini
sağlamak
adına
geliştirilen
program
(National
Cyber
Security
Programme)
için
ayrılan
bütçe
650
milyon
sterlin.
27. ¡ Ruslar
tarafından
dikilen
ve
Estonya’nın
Nazi
istilasından
korunması
için
verilen
mücadeleyi
simgeleyen
heykel’in
kaldırılmasını
protesto
amaçlı
gerçekleştirilmiştir.
¡ Ruslar
tarafından
gerçekleştirilen
bu
saldırının
arkasında
Rus
devletinin
olduğu
ispatlanamamıştır.
¡ Rus
Hackerlar
tarafından
yapıldığından
şüphelenilen
saldırılar
sonucu
ülkenin
ulusal
bilgi
sistemleri,
internet
hizmet
sağlayıcıları
ve
bankaları
çok
büyük
zarar
görmüştür.
¡ Estonya’nın
1,3
milyon
olan
nüfusunun
1
milyondan
fazlası
sayısal
kimliğe
sahiptir.
Nüfusunun
%66’sının
internet
kullanıcısıdır.
Evlerin
%55’inde
internet
bağlantısı
vardır
ve
vergi
beyanlarının
%80’i
internet
üzerinden
yapılmaktadır.
¡ Bankacılık
işlemlerinin
%97’sinin
çevrim
içi
olarak
gerçekleştirildiği,
sağlık
kayıtlarının
tamamının
sayısal
ortamda
tutulduğu
da
göz
önünde
bulundurulduğunda
Estonya’ya
verilen
zararın
boyutları
tahmin
edilebilecektir.
31. ¡ Siber
Güvenlik
Kurulu
kuruldu.
§ Siber
güvenlikle
ilgili
alınacak
önlemleri
belirlemek
ve
bunların
uygulanmasını
ve
koordinasyonunu
sağlamak
amacıyla
Ulaştırma,
Denizcilik
ve
Haberleşme
Bakanı'nın
başkanlığında
Siber
Güvenlik
Kurulu
kuruldu.
(20
Ekim
2012)
¡ Siber
Güvenlik
Enstitüsü
kuruldu.
§ Bilim,
Sanayi
ve
Teknoloji
Bakanı
Ergün:''TÜBİTAK'taki
Siber
Güvenlik
Enstitüsü'nde
bugün
itibariyle
70
arkadaşımız
görev
yapıyor.
Yakında
200'ü
aşkın
arkadaş
orada
görev
yapacak
ve
bu
organizasyona
teknik
altyapı
sunmaya
devam
edecek.'‘
¡ TSK
bünyesinde
Muhabere
ve
Siber
Savunma
Komutanlığı
kuruldu.
(11
Aralık
2012)
¡ Ulusal
Siber
Güvenlik
Tatbikatları
32.
33. ¡ Sosyal
ağlar,
Bireyleri
internet
üzerinde
toplum
yaşamı
içinde
kendilerini
tanımlayarak,
aynı
kültürel
seviyesinde
rahatlıkla
anlaşabilecekleri
insanlara
internet
iletişim
metotları
ile
iletişime
geçmek
için
ve
aynı
zamanda
normal
sosyal
yaşamda
yapılan
çeşitli
jestleri
simgeleyen
sembolik
hareketleri
göstererek
insanların
yarattığı
sanal
ortamdaki
sosyal
iletişim
kurmaya
yarayan
ağlara
"sosyal
ağlar"
denilmektedir.
¡ Sosyal
ağların
yararları:
§ İstediğiniz
zaman
bilgiye
ulaşabilirsiniz.
§ Eski
arkadaşlarımızı
bulabileceğiniz
gibi
yeni
arkadaşlıklar
da
edinebilirsiniz.
§ Gruplar
kurabilir
ve
de
çeşitli
düşünceler
ortaya
koyabilirsiniz.
§ Ruh
ikizinizi
ve
partnerinizi
bulabilirsiniz.
¡ Sosyal
ağların
zararları:
§ Sosyalleşmeyi
bitirir.
§ Çeşitli
tuzaklar
olabilir.
§ Bazı
hackerlerle
karşılaşabilir
ve
de
güvenliğinizi
tehlikeye
atabilirsiniz.
*Kaynak:http://tr.wikipedia.org/wiki/Sosyal_a%C4%9F
34.
35.
36.
37. ¡ Sosyal
Ağ
Sitesinin
Kendisine
Yapılan
Saldırılar
§ Twitter
ve
Facebook’un
Hacklenmesi
¡ Sosyal
Ağ
Sitesi
Üzerinden
Kullanıcılara
Yapılan
Saldırılar
§ Clickjacking,
Fake
Application,
Timeline
Spam
vs.
¡ Sosyal
Ağ
Sitelerinin
İsimleri
Kullanılarak
Yapılan
saldırılar
§ Spam,
Phishing
vs
38.
39.
40.
41.
42. ¡ Çok
sayıda
takipçisi
olan
bir
hesap
ele
geçirilir.
¡ Bu
hesap
üzerinden
yollanacak
tweetler
ile
takipçilerin
bir
exploit
kit
barındıran
siteye,
URL
kısaltma
servisi
üzerinden
erişmeleri
sağlanır.
¡ 2009
yılında
Guy
Kawasaki’nin
hesabını
hacklendi
ve
140.000’den
fazla
takipçisi
Mac
ve
Windows
zararlı
kodlarını
içeren
sitelere
yönlendirildi.
§ http://nakedsecurity.sophos.com/2009/06/24/leighton-‐meeter-‐sex-‐
tape-‐lure-‐spread-‐malware-‐twitter-‐users/
¡ En
çok
takipçisi
bulunan
twitter
hesapları;
43.
44.
45. ¡ TT(Trending
tTopic)Twitter
üzerinde
o
an
içinde
en
çok
konuşulan
konuları
ifade
eder.
¡ Kötü
niyetli
kişiler
bu
TT’leri
takip
ederek
oluşturacakları
tweetler
ile
daha
fazla
kullanıcıyı
zararlı
kod
içeren
siteye
çekebilirler.
¡ http://pandalabs.pandasecurity.com/visualizing-‐
the-‐twitter-‐trends-‐attack/
¡ http://pandalabs.pandasecurity.com/dont-‐get-‐
caught-‐by-‐the-‐grinch-‐on-‐twitter/
46.
47.
48. Hacklenen sayfalar arasına Nokia Türkiye, Renault Türkiye, Ülker Metro, Ülker Dido ve
Teknosa ve Omo Türkiye sayfaları da eklendi.
56. ¡ Çalışanlar,
şirkette
kullanmakta
oldukları
aynı
kullanıcı
adı
ve
şifreyi,
başka
sistemlere
erişim
(gmail,hotmail,
alış
veriş
siteleri,
servis
sağlayıcı
vb.)
için
kesinlikle
kullanmamalıdırlar.
¡ Şifreler
kişiye
özeldir
ve
başka
hiç
kimseyle
paylaşılmamalıdır.
¡ Bazı
uygulamalardaki
(Microsoft
Explorer,
Outlook,
vb.)
“Şifremi
Hatırla”
seçeneği
kullanılmamalıdır.
¡ Çalışanlar,
kullanıcı
kodu
veya
şifrelerinin
yetkisiz
kişilerce
ele
geçirildiğinden
şüphelenirse
derhal
Bilgi
İşlem
birimini
bilgilendirmelidir.
57. ¡ En
az
7
karakter
uzunluğunda
olmalı
¡ En
az
bir
rakam
içermelidir.(0..9)
¡ En
az
bir
küçük
harf
içermelidir.(a..z)
¡ En
az
bir
büyük
harf
içermelidir.(A..Z)
¡ En
az
bir
özel
karakter
içermelidir.
(@#!.)
¡ Yukarıda
anlatılanlar
ışığında
oluşturulan
örnek
bir
şifre
:P@ssw0rd
¡ Belirli
aralıklarla
değiştirilmelidir.
58. ¡ Şifreniz;
§ Sizin,
eşinizin,
çocuğunuzun,
iş
arkadaşınızın,
kedinizin,
köpeğinizin
ismi
§ Kullanmakta
olduğunuz
işletim
sisteminin
ismi
§ Bilgisayarınızın
ismi
§ Telefon
veya
lisans
numaranız
§ Sizin
yada
bir
yakınınızın
doğum
tarihi
§ Sizin
hakkınızda
kolaylıkla
bulunabilecek
bir
bilgi
(adres
gibi)
§ Birtakım
kalıplaşmış
kelimeler
(
€,fener,cimbom
vb)
§ Bilgisayarınızdaki
herhangi
bir
kullanıcının
ismi
(
büyük
harfli,
çift
harfli,
...)
§ Yabancı
bir
dildeki
bir
kelime
§ Yer
isimleri
gibi
özel
isimler
§ Aynı
harften
oluşan
bütün
şifreler
§ Basit
harf
düzenlerinden
oluşan
bütün
şifre
(qwerty
gibi)
§ Yukarıda
listelenenlerin
tersten
yazılmış
halleri
§ Yukarıda
listelenenlerin
önüne
veya
arkasına
rakam
eklenmiş
halleri
olmasın!!!
¡ Şifrenizi
kağıtlara
yazıp
masanızın
üzerine,
klavyenin
altına
bırakmayın.
¡ Kullanıcı
kodu
veya
şifrelerinin
yetkisiz
kişilerce
ele
geçirildiğinden
şüphelenirse
derhal
ilgili
birimi
bilgilendirin.
59. ¡ Sizin
için
önemli
olan
ve
hiç
unutmayacağınız
bir
olayı
ifade
edecek
bir
cümle
kurun.
(Örneğin;
“Bisiklet
kullanmaya
8
yaşında
başladım”
gibi.)
¡ Bu
cümleyi
oluşturan
kelimelerin
ilk
harflerini
alın
(Bk8yb)
¡ Çıkan
karakter
dizisinin
başına
ve
sonuna
özel
karakterler
ekleyerek
8
karakter
uzunluğunda
olmasını
sağlayalım
(!Bk8yb!@)
¡ Bazen
şifre
oluşturulurken
a
yerine
@,
i
yerine
!,
E
yerine
3,
o
yerine
0
gibi
ifadeler
de
kullanılabilir.
(Örneğin
P@ssw0rd
gibi)
60.
61. ¡ E-‐posta
bir
iş
aracıdır,
iş
kurallarına
uygun
kullanılmalıdır.
¡ Kurumsal
elektronik
posta
hesabı
dışında
internet
üzerinden
sunulan
ücretsiz
e-‐posta
hesaplarının
kullanımı
yasaktır.
¡ Gönderilen
ve
alınan
elektronik
postalar
yönetim
tarafından
gerek
görülmesi
halinde
inceleme
amaçlı
izlenebilir.
¡ Uygunsuz
kullanım
örnekleri;
§ Şirket
bilgisinin
gizliliğinin
ihlali
§ Şirketin
bilgi
sistemleri
güvenliğinin
ihlali
§ Aşağıdaki
içeriği
yaratmak,
içeriğe
erişmek
ya
da
içeriği
yaymak;
▪ Şirketin
operasyonuna
ya
da
itibarına
olumsuz
etkisi
olabilecek
materyal
▪ Küfürlü,
müstehcen,
aşağılayıcı,
ayartıcı,
ayrımcı,
vb.
materyal
▪ Seksüel
içerikli
ve
diğer
kişilere
karşı
suç
unsuru
oluşturan
materyaller
▪ Cinsel,
dinsel
ve
ırkçı
taciz
▪ Görevi
kötüye
kullanmak
62. ¡ Phishing
(Oltaya
Takılma)
Nedir?
§ Genellikle
çeşitli
banka
ve
finans
kurumları
tarafından
gönderilmiş
gibi
görünen,
acil
ve
çok
önemli
konular
içeriyormuş
gibi
duran
sahte
e-‐
postalardır.
§
Bu
e-‐postalarda
verilen
linkler
aracılığı
ile
kart
bilgileri,
kart
şifreleri,
internet
şubesi
şifreleri
ve
kişisel
bilgiler
istenmektedir
63. ¡ Size
gönderilen
e-‐posta'nın
kimden
geldiğinden
ve
doğruluğundan
mutlaka
emin
olun.
§ Size
gönderilen
e-‐postanın
kimden
geldiğinden
emin
olamıyor
veya
gönderilen
içerik
ile
ilgili
bazı
şüpheleriniz
oluyor
ise,
mutlaka
direkt
olarak
çalıştığınız
finans
kuruluşu
ile
irtibata
geçiniz.
İtibarlı
şirketler,
size
asla
kişisel
bilgileriniz
veya
şifrelerinizi
soran
e-‐postalar
yollamazlar.
¡ Online
işlemlerinizi
gerçekleştirirken,
işlem
yaptığınız
sayfanın
güvenli
olup
olmadığını
mutlaka
kontrol
edin!
§ İnternet
tarayıcınızın
üst
kısmında
bulunan
adres
bar'da
bulunan
adresin
"https"
olup
olmadığını
kontrol
edin.
"https"'in
son
kısmında
yer
alan
"s"
harfi
bu
sayfanın
güvenli
ve
çeşitli
şifreleme
metod'ları
ile
işlem
yaptırdığını
belirtir.
§ İnternet
tarayıcınızın
sağ
alt
yada
üst
kısmında
yer
alan
kapalı
kilit
işareti,
yine
güvenli
ve
şifrelenmiş
bir
sayfada
işlem
yaptığınızı
gösterir.
64.
65.
66.
67.
68. ¡ Gizli
bilgileri
paylaşacağınız
kişilerin
kimlik
bilgilerini
doğrulayın
(Telefon,
internet
sohbeti
vb.
uzaktan
iletişim
araçları
ile
yapılan
bilgi
değişimlerinde
karşı
tarafın
kimlik
beyanına
güvenmeyin)
¡ Gizli
ya
da
hassas
bilgileri
halka
açık
yerlerde
anlatmayın.
¡ Kurum
dışına
gönderdiğiniz
gizli
bilgilere
ilişkin
takip
(kim
tarafından
gönderildiği,
kime
yada
kimlere
gönderildiği,
kargo
bilgileri)
kayıtlarını
tutun.
69. ¡ Gizlilik
derecesine
sahip
dökümanları
(formlar,
raporlar,
fax’lar
vb.)
ve
medyaları
(CD,DVD,USB
disk,
Memory
Stick,
disket,
kaset
vb.)
masanızın
üzerinde
üçüncü
şahıslar
tarafından
kolaylıkla
erişilebilecek
şekilde
bırakmayın
ve
mesai
saatleri
dışında
bu
belgeleri
ve
medyaları
kilitli
dolaplarda
saklayın.
¡ Gizli
belgelere
ve
gizli
bilgi
içeren
medyalara
ihtiyaç
kalmaması
halinde
tekrardan
okunamayacak
şekilde
uluslararası
standartlar
tarafından
belirlenen
kriterlere
uygun
şekilde
imha
edin.
70.
71. ¡ Sosyal
Mühendislik,
insanlar
arasındaki
iletişimdeki
ve
insan
davranışındaki
açıklıkları
tanıyıp,
bunlardan
faydalanarak
güvenlik
süreçlerini
atlatma
yöntemine
dayanan
müdahalelere
verilen
isimdir.
¡ iletişim
kavramından
kasıt,
kişiler
arasında,
kişiyle
kurum
arasında
ya
da
kurumlar
arasındaki
etkileşimdir.
¡ Toplum
mühendisliği
temel
olarak
“Normalde
kişiye
verilmeyecek
olan
bir
bilgiyi
almak
için
kişinin
başka
biri
(yardıma
muhtaç
bir
insan,
üst
düzey
yönetici
vb.)
gibi
davranması
ve
aldığı
bilgileri
kullanarak
daha
çok
bilgi
toplaması”
olarak
açıklanabilir.
72. ¡ Otoriter
yaklaşım:
Yetkili,
üst
düzey
yönetici
ya
da
ayrıcalıklı
müşteri
olduğuna
ikna
etmek.
¡ Yardım
önermek:
Destek
ihtiyacındaki
müşteri
ya
da
çalışanları
yetkili
personel
olduğuna
inandırmak.
¡ Benzerlik
ve
ortak
noktalar
bulmak:
Çalışanla
arasında
çeşitli
sanal
sosyal
bağlantılar
(akrabalık,
ortak
meslek,
ortak
arkadaş,
aynı
çevre
v.s.)
oluşturmak.
¡ Mukabele
etmek:
İstenen
bir
iyilik
için
bir
karşılık
önermek.
¡ Bağlılık
ve
dürüstlüğü
suistimal
etmek:
Kuruma
bağlı
çalışanı,
saldıranın
isteğini
yapmaması
durumunda
kurumun
zarar
göreceğine
ikna
etmek.
¡ Düşük
bağlılıktan
yararlanmak:
Kuruma
bağlılığı
zayıf
çalışanları
ikna,
aldatma
ya
da
kandırma
gibi
yöntemlerle
ayartmak.
73. -‐
Rosemary
Morgan’la
mı
görüşüyorum?
-‐
Evet.
-‐
Merhaba
Rosemary.
Ben
Bill
Jorday;
Bilgi
Güvenliği
Grubu’ndan.
-‐
Evet?
-‐
Bizim
birimden
kimse
sizinle
güvenlik
uygulamaları
konusunda
görüştü
mü?
-‐
Sanmıyorum.
-‐
Peki.
Bakalım...
Öncelikle
kimsenin
şirket
dışından
getirdiği
programları
yüklemesine
izin
vermiyoruz.
Bunun
nedeni
lisanslı
olmayan
yazılım
kullanımından
sorumlu
olmak
istemememiz
ve
solucan
ya
da
virüs
içeren
yazılımların
çıkarabileceği
sorunlardan
uzak
durmak.
-‐
Tamam.
-‐
E-‐posta
uygulamamızdan
haberdar
mısınız?
-‐
Hayır.
-‐
Şu
anda
kullandığınız
e-‐posta
adresi
nedir?
-‐
rosemary@ttrzine.net
-‐
Kullanıcı
adı
olarak
Rosemary’i
mi
kullanıyorsunuz?
-‐
Hayır
R
altçizgi
Morgan’ı
kullanıyorum.
-‐
Tamam.
Tüm
yeni
çalışanlarımızı
beklemedikleri
e-‐posta
eklerini
açmalarının
oluşturacağı
tehlikelere
karşı
uyarmak
istiyoruz.
Pek
çok
solucan
ve
virüsler
ortalıkta
geziniyor
ve
tanıdığınız
insanlardan
geliyor
gibi
görünen
e-‐posta
eklerinde
geliyorlar.
Bu
yüzden
beklemediğiniz
bir
ekli
e-‐posta
alırsanız,
gönderici
olarak
görünen
kişinin
mesajı
size
gerçekten
gönderip
göndermediğini
her
zaman
kontrol
edip
emin
olmalısınız.
Anlıyor
musunuz?
-‐
Evet,
bunu
duymuştum.
-‐
İyi.
Uygulama
her
doksan
günde
bir
parolanızı
değiştirmeniz
şeklinde.
Parolanızı
en
son
ne
zaman
değiştirdiniz?
-‐
Yalnızca
üç
haftadır
burada
çalışıyorum
ve
daha
ilk
aldığım
şifreyi
kullanıyorum.
-‐
Tamam,
bu
iyi.
Doksan
gün
dolana
kadar
bekleyebilirsin.
Ama
insanların
tahmin
edilmesi
kolay
olmayan
şifreler
kullandığından
emin
olmak
istiyoruz.
Hem
sayı
hem
de
harf
içeren
şifreler
mi
kullanıyorsunuz?
-‐
Hayır.
-‐
Bunu
düzeltmeliyiz.
Şu
anda
kullandığınız
şifre
nedir?
-‐
Kızımın
adı,
Anette.
-‐
Bu
çok
güvenli
bir
şifre
değil.
Hiçbir
zaman
aile
bilgilerinize
dayanan
şifreler
seçmemelisiniz.
Peki...
benim
yaptığımın
aynısını
yapabilirsiniz.
Şifrenizin
bir
parçası
olarak
şu
anda
kullandığınızı
kullanmanızın
bir
sakıncası
yok
ama
her
değiştirdiğinizde
içinde
bulunduğunuz
ayın
sayısını
ekleyin.
-‐
Bunu
şimdi
yapsam,
yani
Mart
için,
üç
mü
kullanmalıyım,
sıfır-‐üç
mü?
-‐
Nasıl
isterseniz.
Hangisi
sizin
için
daha
rahat
olur?
-‐
Sanırım
Anette-‐üç
-‐
İyi.
Değişikliğin
nasıl
yapılacağı
konusunda
size
yardımcı
olmamı
ister
misiniz?
-‐
Hayır,
nasıl
yapılacağını
biliyorum.
-‐
Güzel.
Söylemem
gereken
bir
şey
daha
var.
Bilgisayarınızda
bir
virüs
koruma
yazılımı
var
ve
onu
güncel
tutmanız
önemli.
Arada
bir
bilgisayarınız
yavaşladığında
bile
otomatik
güncellemeyi
devre
dışı
bırakmamalısınız.
Tamam
mı?
-‐
Elbette.
-‐
Çok
iyi.
Bilgisayarla
ilgili
bir
sorununuz
olduğunda
aramanız
için
buranın
telefon
numarası
sizde
var
mı?
(Kevin
Mitnick,
Aldatma
Sanatı,
s.57-‐58)
74. ¡ Omuz
sörfü:
Şifre
yazılırken
ya
da
erişim
kısıtlı
sistemlere
erişilirken
saldırılanın
izlenmesi,
¡ Çöp
karıştırmak:
Çöpe
atılmış
disket,
CD,
post-‐it,
not
kağıdı
gibi,
hassas
bilgi
içerebilecek
eşyaları
incelemek,
¡ Eski
donanımları
kurcalamak:
Hurdaya
çıkmış,
ikinci
el
satış
sitelerinde
satışa
sunulmuş,
çöpe
atılmış,
kullanılmadığı
için
hibe
edilmiş
donanımın
içeriğini
incelemek
75.
76. ¡ Çalınabilir
&
Kaybolabilir
§ Laptop’larınızı
boot
sırasında
şifre
soracak
şekilde
yapılandırabilirsiniz
§ Disk
şifreleme
çözümlerinden
birisi
ile
disklerinizi
şifreleyebilirsiniz
¡ Zararlı
Kod
Bulaşabilir
§ Şirket
network’üne
bağlı
olmadığı
durumda
dahi
devrede
olacak
antivirüs&antispyware
yazılımı
ve
firewall
olsun
77.
78. ¡ Zararlı
programların
bilgisayarlarınıza
bulaşmaması
ve
bilgisayarınıza
zarar
vermemesi
için
mutlaka
bilgisayarınızda
bir
antivirüs
programı
yüklü
olsun.
¡ Antivirüs
programınız,
bilgisayarınız
açık
olduğu
sürece
çalışır
durumda
olsun.
¡ Antivirüs
programını
güncel
tutun.
79. ¡ Tanımadığınız
kişileri
kişi
listenize
eklemeyin.
¡ Kişi
listenizdeki
birisi
tarafından
gönderiliyor
olsa
bile
tam
olarak
içeriğinden
emin
olmadığınız
hiç
bir
dosyayı
kabul
etmeyin.
¡ Sohbet
ortamı
üzerinden
hiç
bir
şekilde
kullanıcı
adı
ve
şifrelerinizi
başkalarıyla
paylaşmayın.
¡ Sohbet
ortamında
ilk
defa
tanıştığınız
kişilerin
yalan
konuşabileceğini
unutmayın.
80. ¡ İnternet
Cafe’lerdeki
bilgisayarlarda
sizin
kritik
bilgilerinizi
çalmaya
yönelik
kurulmuş
ve
sizin
yazdığınız
karakterleri
ve
girdiğiniz
sayfaları
kaydeden
zararlı
programlar
yada
donanımlar
yüklü
olabilir
(keylogger)
¡ Hiç
bir
şekilde
aşağıdaki
bilgileri
internet
cafe’lerdeki
bilgisayarlarda
girmeyin;
§ İnternet
bankacılığı
bilgileri
§ Kredi
kartı
bilgileri
§ Kritik
e-‐posta
hesabı
bilgileri
§ Ve
ele
geçirilmesi
durumunda
sizi
zarara
uğratabilecek
diğer
bilgiler.