SlideShare una empresa de Scribd logo

Radore Workshop: Bilgi Güvenliğine Giriş

Radore Veri Merkezi Hizmetleri A.Ş.
Radore Veri Merkezi Hizmetleri A.Ş.

Radore Workshop: "Bilgi Güvenliğine Giriş" Sunumu, Halil Öztürkci (ODEA Bilişim) 02.04.2015, Maslak Urban Station

Internet
1 de 81
Descargar para leer sin conexión
Halil  ÖZTÜRKCİ   Microsoft  MVP   CISSP,  CISA,  CEH,  CHFI,  CCNP   ADEO  Bilişim  Danışmanlık  Hizmetleri   halil.ozturkci@adeo.com.tr  
¡  ADEO  Kurucu  Ortak&Güvenlik  Birimi   Yöneticisi   ¡  Bilgi  Üniversitesi  ve  Bahçeşehir   Üniversitesi  Öğretim  Görevlisi   ¡  Türkiye  Bilişim  Vakfı  Yönetim  Kurulu   Üyesi   ¡  Adli  Bilişim  Derneği  Başkan  Yardımcısı   ¡  IstSec  ve  AnkaSec    Organizatörü   ¡  Microsoft  MVP,  Enterprise  Security   ¡  Profesyonel  Penetration  Tester   ¡  Adli  Bilişim  Uzmanı   ¡  SANS  Mentor  (www.sans.org)   ¡  CISSP,  GPEN,  GCFA,  CHFI,  CEH...   ¡  www.halilozturkci.com                         ¡                   halilozturkci   @ADEO Security Labs, 2014 www.adeosecurity.com
¡  Günümüz  güvenlik  tehditlerine  genel   bakış  ve  Türkiye’nin  durumu   ¡  Bilgi  Güvenliğinde  Temel  Başlıklar   ¡  Bilgi  Güvenliği  Politikaları  ve  Güvenlik   Kontrolleri  
@ADEO Security Labs, 2011 www.adeosecurity.com
¡  200  milyon  dolarlık  bir  çete   ¡  First  National  Bank,  Bank  Oklahama,  American  Bank,  Old   National  Bank  başta  olmak  üzere  Amerika,  Avrupa  ve  Asyadaki   bir  çok  banka  müşterilerine  ait  yaklaşık  500.000  hesap  ele   geçirilmiş   ¡  FBI’ın  ’dünyadaki  en  iyi  ikinci  hacker’  olarak  gösterdiği  Ercan  F.   ortaokul  mezunu   ¡  Zanlılardan  Ercan  F.'nin,  ABD  bankalarından  dolandırdığı   paralarla,  500  bin  dolarlık  yat,  Land  Rover  cip  ve  Rusya'da  300   bin  dolarlık  malikâne  aldığı  bildirildi.     ¡  Ercan  F.,  11  Ocak  2008'de  ağabeyi  Engin  F.'ye,  "Yeni  ev  alalım   ağabey.  Başkasının  oturduğu  yere  girmek  istemiyorum"  diyor.   Ağabeyi  de  "Tamam  bakalım  kardeşim.  Ama  sen  de  artık  beni   Umre'ye  gönderirsin  değil  mi?"  diye  soruyor.  Ercan  F.  de   "Yollayacağımı  söyledim  ya  abi  zaten"  cevabını  veriyor.    J   ¡  Ercan  F.,  çete  üyesi  arkadaşı  Gökhan  B.  ile  27  Temmuz  2007'da   yaptığı  telefon  konuşmasında  bankaya  yatırdığı  parayı  "manita"   olarak  adlandırdı.  Ercan  F.,  "Yeni  manitalarla  ilgili  mail  attım.   Bankadan  bugün  içinde  çek"  dedi.  Gökhan  B.  ise  "Dolar   zengini  oldun  lan.  Bugün  içinde  çekerim  manitaları"  yanıtını   verdi.    
@ADEO  Security  Labs,  2015                            www.adeosecurity.com  
@ADEO Security Labs, 2015 www.adeosecurity.com
@ADEO Security Labs, 2015 www.adeosecurity.com
¡  The  hackers  claim  to  have  stolen  around  100  terabytes  of  internal  Sony  files  and   films  in  that  attack.   ¡  Several  Sony-­‐related  Twitter  accounts  were  also  taken  over.   ¡  The  information  included  customer  passwords,  Sony  employees'  Social  Security   numbers,  and  contracts  with  celebrities.   ¡  A  number  of  forthcoming  Sony  movies  including  "Annie",  "Mr.  Turner"  and  "To   Write  Love  On  Her  Arms"  were  also  leaked   ¡  Following  the  breach,  the  hackers  implanted  Wiper  on  Sony's  computer   infrastructure,  a  malware  software  program  designed  to  erase  data  from  the   servers.   ¡  A  message  that  several  Sony  Pictures  executives  had  received  via  email  on  the   previous  Friday,  November  21;  the  message,  coming  from  a  group  called   "God'sApstls"  [sic],  demanded  "monetary  compensation"  or  otherwise,  "Sony   Pictures  will  be  bombarded  as  a  whole".  This  email  message  had  mostly  gone   ignored  by  executives,  lost  in  the  volume  they  had  received  or  treated  as  spam   email.   @ADEO Security Labs, 2015 www.adeosecurity.com
@ADEO Security Labs, 2015 www.adeosecurity.com
@ADEO Security Labs, 2015 www.adeosecurity.com
@ADEO Security Labs, 2015 www.adeosecurity.com
¡  Esed  yönetimi  yanlısı  hacker  grubu  Suriye  Elektronik   Ordusu,  aralarında  Türkiye  Cumhuriyeti   Cumhurbaşkanlığı,  Dışişleri  Bakanlığı,  Milli   Savunma  Bakanlığı  ve  Hava  Kuvvetleri   Komutanlığı’nın  da  bulunduğu  e-­‐posta  hesaplarını   ele  geçirdiğini  açıkladı.     ¡  Suriye  Elektronik  Ordusu’nun  sızdırdığını  iddia  ettiği   e-­‐posta  adresleri  arasında  sadece  Türkiye  değil   Suudi  Arabistan,  Katar  ve  Arap  Birliği’ne  ait  olanlar   da  bulunuyor.   @ADEO Security Labs, 2015 www.adeosecurity.com
@ADEO Security Labs, 2015 www.adeosecurity.com
@ADEO Security Labs, 2015 www.adeosecurity.com
Konvansiyonel Savaş: iki veya daha fazla devletin veya koalisyonun, açık bir çatışmada, geleneksel silah sistemlerini ve savaş taktiklerini uygulayarak icra ettikleri savaş şeklidir.. Siber Savaş: Siber uzayı ve içindeki varlıkları korumak için yürütülen harekâtların geneline verilen isimdir. Siber saldırı girişimlerine düşman olarak belirlenen hedefe saldırıda bulunmak, karşı savunma yapmak, hedefteki siber uzayda istihbarat verileri toplamak siber savaş faaliyetlerini oluşturmaktadır.
¡  Siber  savaşlarda  hedef  olarak  temelde  aşağıdaki   kritik  yapılar  seçilir;   §  Güvenlik   §  İletişim   §  Enerji   §  Finans   §  Sağlık   §  Ulaşım    
President Obama has declared that the “cyber threat is one of the most serious economic and national security challenges we face as a nation” and that “America's economic prosperity in the 21st century will depend on cybersecurity.”
¡  ABD  ordusu,   bilgisayar   sistemlerine   yönelik  siber   saldırılara  karşı   askeri  olarak   misillemede   bulunmaya   hazırlanıyor!!!  
¡  İsrail  Başbakanı  Benjamin  Netanyahu’nun   Siber  güvenlik  danışmanı  Isaac  Ben-­‐Israel’in   çarpıcı  açıklaması;   §   "Siber  savaşlar  konvansiyonel    savaşlardaki  gibi   bir  etki  verebilecek  güçtedir.  Bir  ülkeyi  vurmak   istiyorsanız  o  ülkenin  enerji  ve  su  kaynaklarına   karşı  siber  ataklar  düzenlemek  gerekmektedir.   Siber  teknoloji  bunu  tek  kurşun  kullanmadan   yapabilme  yeteneğine  sahiptir."      
¡  İngiltere’nin  Ulusal  Güvenlik  Stratejisi’nde   siber  saldırılar,  uluslararası  terorizm  ile   birlikte  ülkenin  ulusal  güvenliğinin  tehlikeye   atan  ve  Tier  One  olarak  sınıflandırılan  en   önemli  tehditler  listesinde  yer  alıyor.   ¡  Son  4  yıl  içerisinde  İngiltere’nin  siber   güvenliğini  sağlamak  adına  geliştirilen   program  (National  Cyber  Security   Programme)  için  ayrılan  bütçe  650  milyon   sterlin.  
¡  Ruslar  tarafından  dikilen  ve  Estonya’nın  Nazi  istilasından   korunması  için  verilen  mücadeleyi  simgeleyen  heykel’in   kaldırılmasını  protesto  amaçlı  gerçekleştirilmiştir.   ¡  Ruslar  tarafından  gerçekleştirilen  bu  saldırının  arkasında    Rus   devletinin  olduğu  ispatlanamamıştır.   ¡  Rus  Hackerlar  tarafından  yapıldığından  şüphelenilen  saldırılar   sonucu  ülkenin  ulusal  bilgi  sistemleri,  internet  hizmet     sağlayıcıları  ve  bankaları  çok  büyük  zarar  görmüştür.     ¡  Estonya’nın  1,3  milyon  olan  nüfusunun    1  milyondan  fazlası   sayısal  kimliğe  sahiptir.  Nüfusunun  %66’sının  internet   kullanıcısıdır.  Evlerin  %55’inde  internet  bağlantısı  vardır  ve   vergi  beyanlarının  %80’i    internet  üzerinden  yapılmaktadır.     ¡  Bankacılık  işlemlerinin  %97’sinin  çevrim  içi    olarak   gerçekleştirildiği,  sağlık  kayıtlarının  tamamının  sayısal   ortamda  tutulduğu  da  göz  önünde  bulundurulduğunda   Estonya’ya  verilen  zararın  boyutları  tahmin    edilebilecektir.    
@ADEO Security Labs, 2011 www.adeosecurity.com
@ADEO Security Labs, 2011 www.adeosecurity.com
¡  Siber  Güvenlik  Kurulu  kuruldu.   §  Siber  güvenlikle  ilgili  alınacak  önlemleri  belirlemek  ve  bunların   uygulanmasını  ve  koordinasyonunu  sağlamak  amacıyla  Ulaştırma,   Denizcilik  ve  Haberleşme  Bakanı'nın  başkanlığında  Siber  Güvenlik  Kurulu   kuruldu.  (20  Ekim  2012)   ¡  Siber  Güvenlik  Enstitüsü  kuruldu.   §  Bilim,  Sanayi  ve  Teknoloji  Bakanı  Ergün:''TÜBİTAK'taki  Siber  Güvenlik   Enstitüsü'nde  bugün  itibariyle  70  arkadaşımız  görev  yapıyor.  Yakında  200'ü   aşkın  arkadaş  orada  görev  yapacak  ve  bu  organizasyona  teknik  altyapı   sunmaya  devam  edecek.'‘   ¡  TSK  bünyesinde  Muhabere  ve  Siber  Savunma   Komutanlığı  kuruldu.  (11  Aralık  2012)   ¡  Ulusal  Siber  Güvenlik  Tatbikatları  
¡  Sosyal  ağlar,  Bireyleri  internet  üzerinde  toplum  yaşamı  içinde  kendilerini   tanımlayarak,  aynı  kültürel  seviyesinde  rahatlıkla  anlaşabilecekleri  insanlara  internet   iletişim  metotları  ile  iletişime  geçmek  için  ve  aynı  zamanda  normal  sosyal  yaşamda   yapılan  çeşitli  jestleri  simgeleyen  sembolik  hareketleri  göstererek  insanların  yarattığı   sanal  ortamdaki  sosyal  iletişim  kurmaya  yarayan  ağlara  "sosyal  ağlar"  denilmektedir.   ¡  Sosyal  ağların  yararları:   §  İstediğiniz  zaman  bilgiye  ulaşabilirsiniz.   §  Eski  arkadaşlarımızı  bulabileceğiniz  gibi  yeni  arkadaşlıklar  da  edinebilirsiniz.   §  Gruplar  kurabilir  ve  de  çeşitli  düşünceler  ortaya  koyabilirsiniz.   §  Ruh  ikizinizi  ve  partnerinizi  bulabilirsiniz.   ¡  Sosyal  ağların  zararları:   §  Sosyalleşmeyi  bitirir.   §  Çeşitli  tuzaklar  olabilir.   §  Bazı  hackerlerle  karşılaşabilir  ve  de  güvenliğinizi  tehlikeye  atabilirsiniz.   *Kaynak:http://tr.wikipedia.org/wiki/Sosyal_a%C4%9F  
¡  Sosyal  Ağ  Sitesinin  Kendisine  Yapılan   Saldırılar   §  Twitter  ve  Facebook’un  Hacklenmesi   ¡  Sosyal  Ağ  Sitesi  Üzerinden  Kullanıcılara   Yapılan  Saldırılar   §  Clickjacking,  Fake  Application,  Timeline  Spam  vs.   ¡  Sosyal  Ağ  Sitelerinin  İsimleri  Kullanılarak   Yapılan  saldırılar   §  Spam,  Phishing  vs  
¡  Çok  sayıda  takipçisi  olan  bir  hesap  ele  geçirilir.   ¡  Bu  hesap  üzerinden  yollanacak  tweetler  ile  takipçilerin  bir  exploit  kit   barındıran  siteye,  URL  kısaltma  servisi  üzerinden  erişmeleri  sağlanır.   ¡  2009  yılında  Guy  Kawasaki’nin  hesabını  hacklendi  ve    140.000’den  fazla   takipçisi  Mac  ve  Windows  zararlı  kodlarını  içeren  sitelere  yönlendirildi.   §  http://nakedsecurity.sophos.com/2009/06/24/leighton-­‐meeter-­‐sex-­‐ tape-­‐lure-­‐spread-­‐malware-­‐twitter-­‐users/   ¡  En  çok  takipçisi  bulunan  twitter  hesapları;  
¡  TT(Trending  tTopic)Twitter  üzerinde  o  an  içinde  en   çok  konuşulan  konuları  ifade  eder.   ¡  Kötü  niyetli  kişiler  bu  TT’leri  takip  ederek   oluşturacakları  tweetler  ile  daha  fazla  kullanıcıyı   zararlı  kod  içeren  siteye  çekebilirler.   ¡  http://pandalabs.pandasecurity.com/visualizing-­‐ the-­‐twitter-­‐trends-­‐attack/   ¡  http://pandalabs.pandasecurity.com/dont-­‐get-­‐ caught-­‐by-­‐the-­‐grinch-­‐on-­‐twitter/  
Hacklenen sayfalar arasına Nokia Türkiye, Renault Türkiye, Ülker Metro, Ülker Dido ve Teknosa ve Omo Türkiye sayfaları da eklendi.
¡ http://www.facebook.com/security   ¡ https://twitter.com/about/security   ¡ http://socialmediasecurity.com   ¡ http://nakedsecurity.sophos.com/ koobface/  
¡  Çalışanlar,  şirkette  kullanmakta  oldukları    aynı  kullanıcı  adı  ve   şifreyi,    başka  sistemlere  erişim  (gmail,hotmail,  alış  veriş   siteleri,  servis  sağlayıcı  vb.)  için  kesinlikle  kullanmamalıdırlar.   ¡  Şifreler  kişiye  özeldir  ve  başka  hiç  kimseyle   paylaşılmamalıdır.   ¡  Bazı  uygulamalardaki  (Microsoft  Explorer,  Outlook,  vb.)   “Şifremi  Hatırla”  seçeneği  kullanılmamalıdır.   ¡  Çalışanlar,  kullanıcı  kodu  veya  şifrelerinin  yetkisiz  kişilerce  ele   geçirildiğinden  şüphelenirse  derhal  Bilgi  İşlem  birimini   bilgilendirmelidir.  
¡  En  az  7  karakter  uzunluğunda  olmalı   ¡  En  az  bir  rakam  içermelidir.(0..9)   ¡  En  az  bir  küçük  harf  içermelidir.(a..z)   ¡  En  az  bir  büyük  harf  içermelidir.(A..Z)   ¡  En  az  bir  özel  karakter  içermelidir.  (@#!.)   ¡  Yukarıda  anlatılanlar  ışığında  oluşturulan   örnek  bir  şifre  :P@ssw0rd   ¡  Belirli  aralıklarla  değiştirilmelidir.    
¡  Şifreniz;   §  Sizin,  eşinizin,  çocuğunuzun,  iş  arkadaşınızın,  kedinizin,  köpeğinizin  ismi   §  Kullanmakta  olduğunuz  işletim  sisteminin  ismi   §  Bilgisayarınızın  ismi   §  Telefon  veya  lisans  numaranız   §  Sizin  yada  bir  yakınınızın  doğum  tarihi   §  Sizin  hakkınızda  kolaylıkla  bulunabilecek  bir  bilgi  (adres  gibi)   §  Birtakım  kalıplaşmış  kelimeler  (  €,fener,cimbom  vb)   §  Bilgisayarınızdaki  herhangi  bir  kullanıcının  ismi  (  büyük  harfli,  çift  harfli,  ...)   §  Yabancı  bir  dildeki  bir  kelime   §  Yer  isimleri  gibi  özel  isimler   §  Aynı  harften  oluşan  bütün  şifreler   §  Basit  harf  düzenlerinden  oluşan  bütün  şifre  (qwerty  gibi)   §  Yukarıda  listelenenlerin  tersten  yazılmış  halleri   §  Yukarıda  listelenenlerin  önüne  veya  arkasına  rakam  eklenmiş  halleri   olmasın!!!   ¡  Şifrenizi  kağıtlara  yazıp  masanızın  üzerine,  klavyenin  altına  bırakmayın.   ¡  Kullanıcı  kodu  veya  şifrelerinin  yetkisiz  kişilerce  ele  geçirildiğinden   şüphelenirse  derhal  ilgili  birimi  bilgilendirin.  
¡  Sizin  için  önemli  olan  ve  hiç  unutmayacağınız  bir   olayı  ifade  edecek  bir  cümle  kurun.  (Örneğin;   “Bisiklet  kullanmaya  8  yaşında  başladım”  gibi.)   ¡  Bu  cümleyi  oluşturan  kelimelerin  ilk  harflerini  alın   (Bk8yb)   ¡  Çıkan  karakter  dizisinin  başına  ve  sonuna  özel   karakterler  ekleyerek  8  karakter  uzunluğunda   olmasını  sağlayalım  (!Bk8yb!@)   ¡  Bazen  şifre  oluşturulurken  a  yerine  @,  i  yerine  !,  E   yerine  3,  o  yerine  0  gibi  ifadeler  de  kullanılabilir. (Örneğin  P@ssw0rd  gibi)    
¡  E-­‐posta  bir  iş  aracıdır,  iş  kurallarına  uygun  kullanılmalıdır.   ¡  Kurumsal  elektronik  posta  hesabı  dışında  internet  üzerinden   sunulan  ücretsiz  e-­‐posta  hesaplarının  kullanımı  yasaktır.   ¡  Gönderilen  ve  alınan  elektronik  postalar  yönetim  tarafından   gerek  görülmesi  halinde  inceleme  amaçlı  izlenebilir.   ¡  Uygunsuz  kullanım  örnekleri;   §  Şirket  bilgisinin  gizliliğinin  ihlali   §  Şirketin  bilgi  sistemleri  güvenliğinin  ihlali   §  Aşağıdaki  içeriği  yaratmak,  içeriğe  erişmek  ya  da  içeriği  yaymak;   ▪  Şirketin  operasyonuna  ya  da  itibarına  olumsuz  etkisi  olabilecek  materyal     ▪  Küfürlü,  müstehcen,  aşağılayıcı,  ayartıcı,  ayrımcı,  vb.  materyal   ▪  Seksüel  içerikli  ve  diğer  kişilere  karşı  suç  unsuru  oluşturan  materyaller     ▪  Cinsel,  dinsel  ve  ırkçı  taciz   ▪  Görevi  kötüye  kullanmak    
¡  Phishing  (Oltaya  Takılma)   Nedir?     §  Genellikle  çeşitli  banka  ve  finans   kurumları  tarafından  gönderilmiş  gibi   görünen,  acil  ve  çok  önemli  konular   içeriyormuş  gibi  duran  sahte  e-­‐ postalardır.   §   Bu  e-­‐postalarda  verilen  linkler   aracılığı  ile    kart  bilgileri,  kart  şifreleri,   internet  şubesi  şifreleri  ve  kişisel   bilgiler  istenmektedir  
¡  Size  gönderilen  e-­‐posta'nın  kimden  geldiğinden  ve   doğruluğundan  mutlaka  emin  olun.     §  Size  gönderilen  e-­‐postanın  kimden  geldiğinden  emin  olamıyor   veya  gönderilen  içerik  ile  ilgili  bazı  şüpheleriniz  oluyor  ise,   mutlaka  direkt  olarak  çalıştığınız  finans  kuruluşu  ile  irtibata   geçiniz.  İtibarlı  şirketler,  size  asla  kişisel  bilgileriniz  veya   şifrelerinizi  soran  e-­‐postalar  yollamazlar.     ¡  Online  işlemlerinizi  gerçekleştirirken,  işlem  yaptığınız   sayfanın  güvenli  olup  olmadığını  mutlaka  kontrol  edin!     §  İnternet  tarayıcınızın  üst  kısmında  bulunan  adres  bar'da   bulunan  adresin  "https"  olup  olmadığını  kontrol  edin.   "https"'in  son  kısmında  yer  alan  "s"  harfi  bu  sayfanın  güvenli  ve   çeşitli  şifreleme  metod'ları  ile  işlem  yaptırdığını  belirtir.   §  İnternet  tarayıcınızın  sağ  alt  yada  üst  kısmında  yer  alan  kapalı   kilit  işareti,  yine  güvenli  ve  şifrelenmiş  bir  sayfada  işlem   yaptığınızı  gösterir.    
¡  Gizli  bilgileri  paylaşacağınız  kişilerin   kimlik  bilgilerini  doğrulayın  (Telefon,   internet  sohbeti  vb.  uzaktan  iletişim   araçları  ile  yapılan  bilgi  değişimlerinde   karşı  tarafın  kimlik  beyanına   güvenmeyin)   ¡  Gizli  ya  da  hassas  bilgileri  halka  açık   yerlerde  anlatmayın.   ¡  Kurum  dışına  gönderdiğiniz  gizli  bilgilere   ilişkin  takip  (kim  tarafından  gönderildiği,   kime  yada  kimlere  gönderildiği,  kargo   bilgileri)  kayıtlarını  tutun.  
¡  Gizlilik  derecesine  sahip  dökümanları  (formlar,   raporlar,  fax’lar  vb.)  ve  medyaları  (CD,DVD,USB   disk,  Memory  Stick,  disket,  kaset  vb.)  masanızın   üzerinde  üçüncü  şahıslar  tarafından  kolaylıkla   erişilebilecek  şekilde  bırakmayın  ve  mesai   saatleri  dışında  bu  belgeleri  ve  medyaları  kilitli   dolaplarda  saklayın.   ¡  Gizli  belgelere  ve  gizli  bilgi  içeren  medyalara   ihtiyaç  kalmaması  halinde  tekrardan   okunamayacak  şekilde  uluslararası  standartlar   tarafından  belirlenen  kriterlere  uygun  şekilde   imha  edin.  
¡  Sosyal  Mühendislik,  insanlar  arasındaki  iletişimdeki  ve  insan   davranışındaki  açıklıkları  tanıyıp,  bunlardan  faydalanarak   güvenlik  süreçlerini  atlatma  yöntemine  dayanan   müdahalelere  verilen  isimdir.   ¡  iletişim  kavramından  kasıt,  kişiler  arasında,  kişiyle  kurum   arasında  ya  da  kurumlar  arasındaki  etkileşimdir.   ¡  Toplum  mühendisliği  temel  olarak  “Normalde  kişiye   verilmeyecek  olan  bir  bilgiyi  almak  için  kişinin  başka  biri   (yardıma  muhtaç  bir  insan,  üst  düzey  yönetici  vb.)  gibi   davranması  ve  aldığı  bilgileri  kullanarak  daha  çok  bilgi   toplaması”  olarak  açıklanabilir.  
¡  Otoriter  yaklaşım:  Yetkili,  üst  düzey  yönetici  ya  da  ayrıcalıklı   müşteri  olduğuna  ikna  etmek.     ¡  Yardım  önermek:  Destek  ihtiyacındaki  müşteri  ya  da  çalışanları   yetkili  personel  olduğuna  inandırmak.     ¡  Benzerlik  ve  ortak  noktalar  bulmak:  Çalışanla  arasında  çeşitli   sanal  sosyal  bağlantılar  (akrabalık,  ortak  meslek,  ortak  arkadaş,   aynı  çevre  v.s.)  oluşturmak.     ¡  Mukabele  etmek:  İstenen  bir  iyilik  için  bir  karşılık  önermek.     ¡  Bağlılık  ve  dürüstlüğü  suistimal  etmek:  Kuruma  bağlı  çalışanı,   saldıranın  isteğini  yapmaması  durumunda  kurumun  zarar   göreceğine  ikna  etmek.     ¡  Düşük  bağlılıktan  yararlanmak:  Kuruma  bağlılığı  zayıf  çalışanları   ikna,  aldatma  ya  da    kandırma  gibi  yöntemlerle  ayartmak.      
 -­‐  Rosemary  Morgan’la  mı  görüşüyorum?   -­‐  Evet.   -­‐  Merhaba  Rosemary.  Ben  Bill  Jorday;  Bilgi  Güvenliği  Grubu’ndan.   -­‐  Evet?   -­‐  Bizim  birimden  kimse  sizinle  güvenlik  uygulamaları  konusunda  görüştü  mü?   -­‐  Sanmıyorum.   -­‐  Peki.  Bakalım...  Öncelikle  kimsenin  şirket  dışından  getirdiği  programları  yüklemesine  izin  vermiyoruz.  Bunun  nedeni  lisanslı  olmayan  yazılım  kullanımından  sorumlu  olmak  istemememiz  ve   solucan  ya  da  virüs  içeren  yazılımların  çıkarabileceği  sorunlardan  uzak  durmak.   -­‐  Tamam.   -­‐  E-­‐posta  uygulamamızdan  haberdar  mısınız?   -­‐  Hayır.   -­‐  Şu  anda  kullandığınız  e-­‐posta  adresi  nedir?   -­‐  rosemary@ttrzine.net   -­‐  Kullanıcı  adı  olarak  Rosemary’i  mi  kullanıyorsunuz?   -­‐  Hayır  R  altçizgi  Morgan’ı  kullanıyorum.   -­‐  Tamam.  Tüm  yeni  çalışanlarımızı  beklemedikleri  e-­‐posta  eklerini  açmalarının  oluşturacağı  tehlikelere  karşı  uyarmak  istiyoruz.  Pek  çok  solucan  ve  virüsler  ortalıkta  geziniyor  ve  tanıdığınız   insanlardan  geliyor  gibi  görünen  e-­‐posta  eklerinde  geliyorlar.  Bu  yüzden  beklemediğiniz  bir  ekli  e-­‐posta  alırsanız,  gönderici  olarak  görünen  kişinin  mesajı  size  gerçekten  gönderip   göndermediğini  her  zaman  kontrol  edip  emin  olmalısınız.  Anlıyor  musunuz?   -­‐  Evet,  bunu  duymuştum.   -­‐  İyi.  Uygulama  her  doksan  günde  bir  parolanızı  değiştirmeniz  şeklinde.  Parolanızı  en  son  ne  zaman  değiştirdiniz?   -­‐  Yalnızca  üç  haftadır  burada  çalışıyorum  ve  daha  ilk  aldığım  şifreyi  kullanıyorum.   -­‐  Tamam,  bu  iyi.  Doksan  gün  dolana  kadar  bekleyebilirsin.  Ama  insanların  tahmin  edilmesi  kolay  olmayan  şifreler  kullandığından  emin  olmak  istiyoruz.  Hem  sayı  hem  de  harf  içeren  şifreler   mi  kullanıyorsunuz?   -­‐  Hayır.   -­‐  Bunu  düzeltmeliyiz.  Şu  anda  kullandığınız  şifre  nedir?   -­‐  Kızımın  adı,  Anette.   -­‐  Bu  çok  güvenli  bir  şifre  değil.  Hiçbir  zaman  aile  bilgilerinize  dayanan  şifreler  seçmemelisiniz.  Peki...  benim  yaptığımın  aynısını  yapabilirsiniz.  Şifrenizin  bir  parçası  olarak  şu  anda   kullandığınızı  kullanmanızın  bir  sakıncası  yok  ama  her  değiştirdiğinizde  içinde  bulunduğunuz  ayın  sayısını  ekleyin.   -­‐  Bunu  şimdi  yapsam,  yani  Mart  için,  üç  mü  kullanmalıyım,  sıfır-­‐üç  mü?   -­‐  Nasıl  isterseniz.  Hangisi  sizin  için  daha  rahat  olur?   -­‐  Sanırım  Anette-­‐üç   -­‐  İyi.  Değişikliğin  nasıl  yapılacağı  konusunda  size  yardımcı  olmamı  ister  misiniz?   -­‐  Hayır,  nasıl  yapılacağını  biliyorum.   -­‐  Güzel.  Söylemem  gereken  bir  şey  daha  var.  Bilgisayarınızda  bir  virüs  koruma  yazılımı  var  ve  onu  güncel  tutmanız  önemli.  Arada  bir  bilgisayarınız  yavaşladığında  bile  otomatik  güncellemeyi   devre  dışı  bırakmamalısınız.  Tamam  mı?   -­‐  Elbette.   -­‐  Çok  iyi.  Bilgisayarla  ilgili  bir  sorununuz  olduğunda  aramanız  için  buranın  telefon  numarası  sizde  var  mı?     (Kevin  Mitnick,  Aldatma  Sanatı,  s.57-­‐58)    
¡  Omuz  sörfü:  Şifre  yazılırken  ya  da   erişim  kısıtlı  sistemlere  erişilirken   saldırılanın  izlenmesi,     ¡  Çöp  karıştırmak:  Çöpe  atılmış   disket,  CD,  post-­‐it,  not  kağıdı  gibi,   hassas  bilgi  içerebilecek  eşyaları   incelemek,     ¡  Eski  donanımları  kurcalamak:   Hurdaya  çıkmış,  ikinci  el  satış   sitelerinde  satışa  sunulmuş,  çöpe   atılmış,  kullanılmadığı  için  hibe   edilmiş  donanımın  içeriğini   incelemek  
¡  Çalınabilir  &  Kaybolabilir   §  Laptop’larınızı  boot  sırasında  şifre  soracak  şekilde   yapılandırabilirsiniz   §  Disk  şifreleme  çözümlerinden  birisi  ile  disklerinizi   şifreleyebilirsiniz   ¡  Zararlı  Kod  Bulaşabilir   §  Şirket  network’üne  bağlı  olmadığı  durumda  dahi   devrede  olacak  antivirüs&antispyware  yazılımı  ve   firewall  olsun  
¡  Zararlı  programların   bilgisayarlarınıza  bulaşmaması   ve  bilgisayarınıza  zarar   vermemesi  için  mutlaka   bilgisayarınızda  bir  antivirüs   programı  yüklü  olsun.   ¡  Antivirüs  programınız,   bilgisayarınız  açık  olduğu   sürece  çalışır  durumda  olsun.   ¡  Antivirüs  programını  güncel   tutun.    
¡  Tanımadığınız  kişileri  kişi  listenize   eklemeyin.   ¡  Kişi  listenizdeki  birisi  tarafından   gönderiliyor  olsa  bile  tam  olarak   içeriğinden  emin  olmadığınız  hiç  bir   dosyayı  kabul  etmeyin.   ¡  Sohbet  ortamı  üzerinden  hiç  bir   şekilde  kullanıcı  adı  ve  şifrelerinizi   başkalarıyla  paylaşmayın.   ¡  Sohbet  ortamında  ilk  defa  tanıştığınız   kişilerin  yalan  konuşabileceğini   unutmayın.  
¡  İnternet  Cafe’lerdeki  bilgisayarlarda   sizin  kritik  bilgilerinizi  çalmaya   yönelik  kurulmuş  ve  sizin  yazdığınız   karakterleri  ve  girdiğiniz  sayfaları   kaydeden  zararlı    programlar  yada   donanımlar  yüklü  olabilir   (keylogger)   ¡  Hiç  bir  şekilde  aşağıdaki  bilgileri   internet  cafe’lerdeki  bilgisayarlarda   girmeyin;   §  İnternet  bankacılığı  bilgileri   §  Kredi  kartı  bilgileri   §  Kritik  e-­‐posta  hesabı  bilgileri   §  Ve  ele  geçirilmesi  durumunda  sizi            zarara  uğratabilecek  diğer  bilgiler.  
Radore Workshop: Bilgi Güvenliğine Giriş

Recomendados

Mobil Zararlı Yazılımlar Hakkında Bilinmesi Gerekenler
Mobil Zararlı Yazılımlar Hakkında Bilinmesi GerekenlerMobil Zararlı Yazılımlar Hakkında Bilinmesi Gerekenler
Mobil Zararlı Yazılımlar Hakkında Bilinmesi GerekenlerSparta Bilişim
 
Siber Fidye 2020 Raporu
Siber Fidye 2020 RaporuSiber Fidye 2020 Raporu
Siber Fidye 2020 RaporuBGA Cyber Security
 
2019 yılında nasıl hacklendik?
2019 yılında nasıl hacklendik?2019 yılında nasıl hacklendik?
2019 yılında nasıl hacklendik?Sparta Bilişim
 
Deloitte Technology Fast 50 Turkey
Deloitte Technology Fast 50 TurkeyDeloitte Technology Fast 50 Turkey
Deloitte Technology Fast 50 TurkeyRadore Veri Merkezi Hizmetleri A.Ş.
 
Veri merkezlerinin şehir efsanesi: TIER
Veri merkezlerinin şehir efsanesi: TIERVeri merkezlerinin şehir efsanesi: TIER
Veri merkezlerinin şehir efsanesi: TIERRadore Veri Merkezi Hizmetleri A.Ş.
 
Siber Güvenlik
Siber GüvenlikSiber Güvenlik
Siber GüvenlikAhmet Pekel
 
14. Ege Bilgi Guvenligi Etkinligi By Cagri Polat
14. Ege Bilgi Guvenligi Etkinligi By Cagri Polat14. Ege Bilgi Guvenligi Etkinligi By Cagri Polat
14. Ege Bilgi Guvenligi Etkinligi By Cagri PolatÇağrı Polat
 
Soc bülten 11.2015
Soc bülten 11.2015Soc bülten 11.2015
Soc bülten 11.2015Barış Yılmaz
 

Recomendados

Mobil Zararlı Yazılımlar Hakkında Bilinmesi Gerekenler
Mobil Zararlı Yazılımlar Hakkında Bilinmesi GerekenlerMobil Zararlı Yazılımlar Hakkında Bilinmesi Gerekenler
Mobil Zararlı Yazılımlar Hakkında Bilinmesi GerekenlerSparta Bilişim
 
Siber Fidye 2020 Raporu
Siber Fidye 2020 RaporuSiber Fidye 2020 Raporu
Siber Fidye 2020 RaporuBGA Cyber Security
 
2019 yılında nasıl hacklendik?
2019 yılında nasıl hacklendik?2019 yılında nasıl hacklendik?
2019 yılında nasıl hacklendik?Sparta Bilişim
 
Deloitte Technology Fast 50 Turkey
Deloitte Technology Fast 50 TurkeyDeloitte Technology Fast 50 Turkey
Deloitte Technology Fast 50 TurkeyRadore Veri Merkezi Hizmetleri A.Ş.
 
Veri merkezlerinin şehir efsanesi: TIER
Veri merkezlerinin şehir efsanesi: TIERVeri merkezlerinin şehir efsanesi: TIER
Veri merkezlerinin şehir efsanesi: TIERRadore Veri Merkezi Hizmetleri A.Ş.
 
Siber Güvenlik
Siber GüvenlikSiber Güvenlik
Siber GüvenlikAhmet Pekel
 
14. Ege Bilgi Guvenligi Etkinligi By Cagri Polat
14. Ege Bilgi Guvenligi Etkinligi By Cagri Polat14. Ege Bilgi Guvenligi Etkinligi By Cagri Polat
14. Ege Bilgi Guvenligi Etkinligi By Cagri PolatÇağrı Polat
 
Soc bülten 11.2015
Soc bülten 11.2015Soc bülten 11.2015
Soc bülten 11.2015Barış Yılmaz
 
BT Günlüğü Ocak 2024 Dergisi Ücretsiz İndirin veya Web üzerinden okuyun!
BT Günlüğü Ocak 2024 Dergisi Ücretsiz İndirin veya Web üzerinden okuyun!BT Günlüğü Ocak 2024 Dergisi Ücretsiz İndirin veya Web üzerinden okuyun!
BT Günlüğü Ocak 2024 Dergisi Ücretsiz İndirin veya Web üzerinden okuyun!Eylül Medya
 
Cuneyd Uzun - Dijital Dünyada Siber Risk Yönetimi
Cuneyd Uzun - Dijital Dünyada Siber Risk YönetimiCuneyd Uzun - Dijital Dünyada Siber Risk Yönetimi
Cuneyd Uzun - Dijital Dünyada Siber Risk YönetimiCüneyd Uzun
 
Güvenliği Artırmak için Tehdit İstihbaratı ve Zafiyet Yönetiminin Birleşimi
Güvenliği Artırmak için Tehdit İstihbaratı ve Zafiyet Yönetiminin BirleşimiGüvenliği Artırmak için Tehdit İstihbaratı ve Zafiyet Yönetiminin Birleşimi
Güvenliği Artırmak için Tehdit İstihbaratı ve Zafiyet Yönetiminin BirleşimiBGA Cyber Security
 
Güvenlik Öğretiyoruz - Yalova Üniversitesi Kişisel Güvenlik Semineri-Güvenlik...
Güvenlik Öğretiyoruz - Yalova Üniversitesi Kişisel Güvenlik Semineri-Güvenlik...Güvenlik Öğretiyoruz - Yalova Üniversitesi Kişisel Güvenlik Semineri-Güvenlik...
Güvenlik Öğretiyoruz - Yalova Üniversitesi Kişisel Güvenlik Semineri-Güvenlik...Mücahid Akçay
 
2017 Siber Olayları ve Güvenlik Değerlendirmesi
2017 Siber Olayları ve Güvenlik Değerlendirmesi2017 Siber Olayları ve Güvenlik Değerlendirmesi
2017 Siber Olayları ve Güvenlik DeğerlendirmesiCRYPTTECH
 
2014 Siber Güvenlik Raporu - BGD
2014 Siber Güvenlik Raporu - BGD2014 Siber Güvenlik Raporu - BGD
2014 Siber Güvenlik Raporu - BGDMustafa Kuğu
 
Some’lerden Beklenen Adli bilişim Yetkinlikleri
Some’lerden Beklenen Adli bilişim YetkinlikleriSome’lerden Beklenen Adli bilişim Yetkinlikleri
Some’lerden Beklenen Adli bilişim YetkinlikleriAdeo Security
 
Şubat Ayında Nasıl Hacklendik?
Şubat Ayında Nasıl Hacklendik?Şubat Ayında Nasıl Hacklendik?
Şubat Ayında Nasıl Hacklendik?Sparta Bilişim
 
Saglikta siber guvenlik ve veri guvenligi by cagri polat
Saglikta siber guvenlik ve veri guvenligi by cagri polatSaglikta siber guvenlik ve veri guvenligi by cagri polat
Saglikta siber guvenlik ve veri guvenligi by cagri polatÇağrı Polat
 
GY 13 low.pdf
GY 13 low.pdfGY 13 low.pdf
GY 13 low.pdfYunusEmreKK1
 
Siber güç ve türkiye
Siber güç ve türkiyeSiber güç ve türkiye
Siber güç ve türkiyeMusTafa ARı
 
Siber Güvenlik Raporu-SGD
Siber Güvenlik Raporu-SGDSiber Güvenlik Raporu-SGD
Siber Güvenlik Raporu-SGDSiber Güvenlik Derneği
 
Siber İstihbarat ve Ödül Avcılığı
Siber İstihbarat ve Ödül AvcılığıSiber İstihbarat ve Ödül Avcılığı
Siber İstihbarat ve Ödül AvcılığıOsman Doğan
 
SWIFT Altyapısına Yönelik Saldırıların Teknik Analizi - NETSEC
SWIFT Altyapısına Yönelik Saldırıların Teknik Analizi - NETSECSWIFT Altyapısına Yönelik Saldırıların Teknik Analizi - NETSEC
SWIFT Altyapısına Yönelik Saldırıların Teknik Analizi - NETSECBGA Cyber Security
 
BT Günlüğü Kasım - Aralık 2016
BT Günlüğü Kasım - Aralık 2016 BT Günlüğü Kasım - Aralık 2016
BT Günlüğü Kasım - Aralık 2016 Eylül Medya
 
Sosyal Medya ve Güvenlik
Sosyal Medya ve GüvenlikSosyal Medya ve Güvenlik
Sosyal Medya ve GüvenlikUluslararası Sosyal Medya Derneği
 
SİBER GÜVENLİK ve SİBER SUÇLAR-AHA_Aralık2014
SİBER GÜVENLİK ve SİBER SUÇLAR-AHA_Aralık2014SİBER GÜVENLİK ve SİBER SUÇLAR-AHA_Aralık2014
SİBER GÜVENLİK ve SİBER SUÇLAR-AHA_Aralık2014Ahmet Hamdi Atalay
 
Kritik Altyapılar & Endüstriyel Casusluk
Kritik Altyapılar & Endüstriyel CasuslukKritik Altyapılar & Endüstriyel Casusluk
Kritik Altyapılar & Endüstriyel CasuslukOsman Doğan
 
Bilgi ve iletisim guvenligi rehberi temmuz 2020
Bilgi ve iletisim guvenligi rehberi temmuz 2020Bilgi ve iletisim guvenligi rehberi temmuz 2020
Bilgi ve iletisim guvenligi rehberi temmuz 2020Sebnem Ozdemir
 
Kritik altyapilardasiber guvenlik ahatalay_2020
Kritik altyapilardasiber guvenlik ahatalay_2020Kritik altyapilardasiber guvenlik ahatalay_2020
Kritik altyapilardasiber guvenlik ahatalay_2020Ahmet Hamdi Atalay
 
Neden bir veri merkezi ile çalışmalısınız?
Neden bir veri merkezi ile çalışmalısınız?Neden bir veri merkezi ile çalışmalısınız?
Neden bir veri merkezi ile çalışmalısınız?Radore Veri Merkezi Hizmetleri A.Ş.
 
İstanbul'un merkezindeki veri merkezi Radore'den fotoğraflar...
İstanbul'un merkezindeki veri merkezi Radore'den fotoğraflar...İstanbul'un merkezindeki veri merkezi Radore'den fotoğraflar...
İstanbul'un merkezindeki veri merkezi Radore'den fotoğraflar...Radore Veri Merkezi Hizmetleri A.Ş.
 

Más contenido relacionado

Similar a Radore Workshop: Bilgi Güvenliğine Giriş

BT Günlüğü Ocak 2024 Dergisi Ücretsiz İndirin veya Web üzerinden okuyun!
BT Günlüğü Ocak 2024 Dergisi Ücretsiz İndirin veya Web üzerinden okuyun!BT Günlüğü Ocak 2024 Dergisi Ücretsiz İndirin veya Web üzerinden okuyun!
BT Günlüğü Ocak 2024 Dergisi Ücretsiz İndirin veya Web üzerinden okuyun!Eylül Medya
 
Cuneyd Uzun - Dijital Dünyada Siber Risk Yönetimi
Cuneyd Uzun - Dijital Dünyada Siber Risk YönetimiCuneyd Uzun - Dijital Dünyada Siber Risk Yönetimi
Cuneyd Uzun - Dijital Dünyada Siber Risk YönetimiCüneyd Uzun
 
Güvenliği Artırmak için Tehdit İstihbaratı ve Zafiyet Yönetiminin Birleşimi
Güvenliği Artırmak için Tehdit İstihbaratı ve Zafiyet Yönetiminin BirleşimiGüvenliği Artırmak için Tehdit İstihbaratı ve Zafiyet Yönetiminin Birleşimi
Güvenliği Artırmak için Tehdit İstihbaratı ve Zafiyet Yönetiminin BirleşimiBGA Cyber Security
 
Güvenlik Öğretiyoruz - Yalova Üniversitesi Kişisel Güvenlik Semineri-Güvenlik...
Güvenlik Öğretiyoruz - Yalova Üniversitesi Kişisel Güvenlik Semineri-Güvenlik...Güvenlik Öğretiyoruz - Yalova Üniversitesi Kişisel Güvenlik Semineri-Güvenlik...
Güvenlik Öğretiyoruz - Yalova Üniversitesi Kişisel Güvenlik Semineri-Güvenlik...Mücahid Akçay
 
2017 Siber Olayları ve Güvenlik Değerlendirmesi
2017 Siber Olayları ve Güvenlik Değerlendirmesi2017 Siber Olayları ve Güvenlik Değerlendirmesi
2017 Siber Olayları ve Güvenlik DeğerlendirmesiCRYPTTECH
 
2014 Siber Güvenlik Raporu - BGD
2014 Siber Güvenlik Raporu - BGD2014 Siber Güvenlik Raporu - BGD
2014 Siber Güvenlik Raporu - BGDMustafa Kuğu
 
Some’lerden Beklenen Adli bilişim Yetkinlikleri
Some’lerden Beklenen Adli bilişim YetkinlikleriSome’lerden Beklenen Adli bilişim Yetkinlikleri
Some’lerden Beklenen Adli bilişim YetkinlikleriAdeo Security
 
Şubat Ayında Nasıl Hacklendik?
Şubat Ayında Nasıl Hacklendik?Şubat Ayında Nasıl Hacklendik?
Şubat Ayında Nasıl Hacklendik?Sparta Bilişim
 
Saglikta siber guvenlik ve veri guvenligi by cagri polat
Saglikta siber guvenlik ve veri guvenligi by cagri polatSaglikta siber guvenlik ve veri guvenligi by cagri polat
Saglikta siber guvenlik ve veri guvenligi by cagri polatÇağrı Polat
 
Siber güç ve türkiye
Siber güç ve türkiyeSiber güç ve türkiye
Siber güç ve türkiyeMusTafa ARı
 
Siber İstihbarat ve Ödül Avcılığı
Siber İstihbarat ve Ödül AvcılığıSiber İstihbarat ve Ödül Avcılığı
Siber İstihbarat ve Ödül AvcılığıOsman Doğan
 
SWIFT Altyapısına Yönelik Saldırıların Teknik Analizi - NETSEC
SWIFT Altyapısına Yönelik Saldırıların Teknik Analizi - NETSECSWIFT Altyapısına Yönelik Saldırıların Teknik Analizi - NETSEC
SWIFT Altyapısına Yönelik Saldırıların Teknik Analizi - NETSECBGA Cyber Security
 
BT Günlüğü Kasım - Aralık 2016
BT Günlüğü Kasım - Aralık 2016 BT Günlüğü Kasım - Aralık 2016
BT Günlüğü Kasım - Aralık 2016 Eylül Medya
 
SİBER GÜVENLİK ve SİBER SUÇLAR-AHA_Aralık2014
SİBER GÜVENLİK ve SİBER SUÇLAR-AHA_Aralık2014SİBER GÜVENLİK ve SİBER SUÇLAR-AHA_Aralık2014
SİBER GÜVENLİK ve SİBER SUÇLAR-AHA_Aralık2014Ahmet Hamdi Atalay
 
Kritik Altyapılar & Endüstriyel Casusluk
Kritik Altyapılar & Endüstriyel CasuslukKritik Altyapılar & Endüstriyel Casusluk
Kritik Altyapılar & Endüstriyel CasuslukOsman Doğan
 
Bilgi ve iletisim guvenligi rehberi temmuz 2020
Bilgi ve iletisim guvenligi rehberi temmuz 2020Bilgi ve iletisim guvenligi rehberi temmuz 2020
Bilgi ve iletisim guvenligi rehberi temmuz 2020Sebnem Ozdemir
 
Kritik altyapilardasiber guvenlik ahatalay_2020
Kritik altyapilardasiber guvenlik ahatalay_2020Kritik altyapilardasiber guvenlik ahatalay_2020
Kritik altyapilardasiber guvenlik ahatalay_2020Ahmet Hamdi Atalay
 

Similar a Radore Workshop: Bilgi Güvenliğine Giriş (20)

BT Günlüğü Ocak 2024 Dergisi Ücretsiz İndirin veya Web üzerinden okuyun!
BT Günlüğü Ocak 2024 Dergisi Ücretsiz İndirin veya Web üzerinden okuyun!BT Günlüğü Ocak 2024 Dergisi Ücretsiz İndirin veya Web üzerinden okuyun!
BT Günlüğü Ocak 2024 Dergisi Ücretsiz İndirin veya Web üzerinden okuyun!
 
Cuneyd Uzun - Dijital Dünyada Siber Risk Yönetimi
Cuneyd Uzun - Dijital Dünyada Siber Risk YönetimiCuneyd Uzun - Dijital Dünyada Siber Risk Yönetimi
Cuneyd Uzun - Dijital Dünyada Siber Risk Yönetimi
 
Güvenliği Artırmak için Tehdit İstihbaratı ve Zafiyet Yönetiminin Birleşimi
Güvenliği Artırmak için Tehdit İstihbaratı ve Zafiyet Yönetiminin BirleşimiGüvenliği Artırmak için Tehdit İstihbaratı ve Zafiyet Yönetiminin Birleşimi
Güvenliği Artırmak için Tehdit İstihbaratı ve Zafiyet Yönetiminin Birleşimi
 
Güvenlik Öğretiyoruz - Yalova Üniversitesi Kişisel Güvenlik Semineri-Güvenlik...
Güvenlik Öğretiyoruz - Yalova Üniversitesi Kişisel Güvenlik Semineri-Güvenlik...Güvenlik Öğretiyoruz - Yalova Üniversitesi Kişisel Güvenlik Semineri-Güvenlik...
Güvenlik Öğretiyoruz - Yalova Üniversitesi Kişisel Güvenlik Semineri-Güvenlik...
 
2017 Siber Olayları ve Güvenlik Değerlendirmesi
2017 Siber Olayları ve Güvenlik Değerlendirmesi2017 Siber Olayları ve Güvenlik Değerlendirmesi
2017 Siber Olayları ve Güvenlik Değerlendirmesi
 
2014 Siber Güvenlik Raporu - BGD
2014 Siber Güvenlik Raporu - BGD2014 Siber Güvenlik Raporu - BGD
2014 Siber Güvenlik Raporu - BGD
 
Some’lerden Beklenen Adli bilişim Yetkinlikleri
Some’lerden Beklenen Adli bilişim YetkinlikleriSome’lerden Beklenen Adli bilişim Yetkinlikleri
Some’lerden Beklenen Adli bilişim Yetkinlikleri
 
Şubat Ayında Nasıl Hacklendik?
Şubat Ayında Nasıl Hacklendik?Şubat Ayında Nasıl Hacklendik?
Şubat Ayında Nasıl Hacklendik?
 
Saglikta siber guvenlik ve veri guvenligi by cagri polat
Saglikta siber guvenlik ve veri guvenligi by cagri polatSaglikta siber guvenlik ve veri guvenligi by cagri polat
Saglikta siber guvenlik ve veri guvenligi by cagri polat
 
GY 13 low.pdf
GY 13 low.pdfGY 13 low.pdf
GY 13 low.pdf
 
Siber güç ve türkiye
Siber güç ve türkiyeSiber güç ve türkiye
Siber güç ve türkiye
 
Siber Güvenlik Raporu-SGD
Siber Güvenlik Raporu-SGDSiber Güvenlik Raporu-SGD
Siber Güvenlik Raporu-SGD
 
Siber İstihbarat ve Ödül Avcılığı
Siber İstihbarat ve Ödül AvcılığıSiber İstihbarat ve Ödül Avcılığı
Siber İstihbarat ve Ödül Avcılığı
 
SWIFT Altyapısına Yönelik Saldırıların Teknik Analizi - NETSEC
SWIFT Altyapısına Yönelik Saldırıların Teknik Analizi - NETSECSWIFT Altyapısına Yönelik Saldırıların Teknik Analizi - NETSEC
SWIFT Altyapısına Yönelik Saldırıların Teknik Analizi - NETSEC
 
BT Günlüğü Kasım - Aralık 2016
BT Günlüğü Kasım - Aralık 2016 BT Günlüğü Kasım - Aralık 2016
BT Günlüğü Kasım - Aralık 2016
 
Sosyal Medya ve Güvenlik
Sosyal Medya ve GüvenlikSosyal Medya ve Güvenlik
Sosyal Medya ve Güvenlik
 
SİBER GÜVENLİK ve SİBER SUÇLAR-AHA_Aralık2014
SİBER GÜVENLİK ve SİBER SUÇLAR-AHA_Aralık2014SİBER GÜVENLİK ve SİBER SUÇLAR-AHA_Aralık2014
SİBER GÜVENLİK ve SİBER SUÇLAR-AHA_Aralık2014
 
Kritik Altyapılar & Endüstriyel Casusluk
Kritik Altyapılar & Endüstriyel CasuslukKritik Altyapılar & Endüstriyel Casusluk
Kritik Altyapılar & Endüstriyel Casusluk
 
Bilgi ve iletisim guvenligi rehberi temmuz 2020
Bilgi ve iletisim guvenligi rehberi temmuz 2020Bilgi ve iletisim guvenligi rehberi temmuz 2020
Bilgi ve iletisim guvenligi rehberi temmuz 2020
 
Kritik altyapilardasiber guvenlik ahatalay_2020
Kritik altyapilardasiber guvenlik ahatalay_2020Kritik altyapilardasiber guvenlik ahatalay_2020
Kritik altyapilardasiber guvenlik ahatalay_2020
 

Más de Radore Veri Merkezi Hizmetleri A.Ş.

TÜBİSAD - Bilgi ve İletişim Teknolojileri Sektörü 2014 Pazar Verileri
TÜBİSAD - Bilgi ve İletişim Teknolojileri Sektörü 2014 Pazar VerileriTÜBİSAD - Bilgi ve İletişim Teknolojileri Sektörü 2014 Pazar Verileri
TÜBİSAD - Bilgi ve İletişim Teknolojileri Sektörü 2014 Pazar VerileriRadore Veri Merkezi Hizmetleri A.Ş.
 

Más de Radore Veri Merkezi Hizmetleri A.Ş. (15)

Neden bir veri merkezi ile çalışmalısınız?
Neden bir veri merkezi ile çalışmalısınız?Neden bir veri merkezi ile çalışmalısınız?
Neden bir veri merkezi ile çalışmalısınız?
 
İstanbul'un merkezindeki veri merkezi Radore'den fotoğraflar...
İstanbul'un merkezindeki veri merkezi Radore'den fotoğraflar...İstanbul'un merkezindeki veri merkezi Radore'den fotoğraflar...
İstanbul'un merkezindeki veri merkezi Radore'den fotoğraflar...
 
Küresel Rekabet Raporu (The Global Competitiveness Report) 2015
Küresel Rekabet Raporu (The Global Competitiveness Report) 2015Küresel Rekabet Raporu (The Global Competitiveness Report) 2015
Küresel Rekabet Raporu (The Global Competitiveness Report) 2015
 
#radoreyesor tanıtım dokümanı
#radoreyesor tanıtım dokümanı#radoreyesor tanıtım dokümanı
#radoreyesor tanıtım dokümanı
 
TEPAV Türkiye 100 Listesi
TEPAV Türkiye 100 ListesiTEPAV Türkiye 100 Listesi
TEPAV Türkiye 100 Listesi
 
Tech Inside - Türkiye'de Veri Merkezleri Ne Alemde
Tech Inside - Türkiye'de Veri Merkezleri Ne AlemdeTech Inside - Türkiye'de Veri Merkezleri Ne Alemde
Tech Inside - Türkiye'de Veri Merkezleri Ne Alemde
 
Global Alan adı Durum Bilgisi Raporu
Global Alan adı Durum Bilgisi RaporuGlobal Alan adı Durum Bilgisi Raporu
Global Alan adı Durum Bilgisi Raporu
 
TÜBİSAD - Bilgi ve İletişim Teknolojileri Sektörü 2014 Pazar Verileri
TÜBİSAD - Bilgi ve İletişim Teknolojileri Sektörü 2014 Pazar VerileriTÜBİSAD - Bilgi ve İletişim Teknolojileri Sektörü 2014 Pazar Verileri
TÜBİSAD - Bilgi ve İletişim Teknolojileri Sektörü 2014 Pazar Verileri
 
Deloitte - 2015 Teknoloji, Medya ve Telekominikasyon tahmini
Deloitte - 2015 Teknoloji, Medya ve Telekominikasyon tahminiDeloitte - 2015 Teknoloji, Medya ve Telekominikasyon tahmini
Deloitte - 2015 Teknoloji, Medya ve Telekominikasyon tahmini
 
Radore Workshop: Wordpress Nereye Koşuyor?
Radore Workshop: Wordpress Nereye Koşuyor? Radore Workshop: Wordpress Nereye Koşuyor?
Radore Workshop: Wordpress Nereye Koşuyor?
 
Deloitte Technology Fast50 Turkey 2014
Deloitte Technology Fast50 Turkey 2014Deloitte Technology Fast50 Turkey 2014
Deloitte Technology Fast50 Turkey 2014
 
Tubisad Bilgi ve İletisim Sektoru 2013 Pazar Verileri
Tubisad Bilgi ve İletisim Sektoru 2013 Pazar VerileriTubisad Bilgi ve İletisim Sektoru 2013 Pazar Verileri
Tubisad Bilgi ve İletisim Sektoru 2013 Pazar Verileri
 
Deloitte Technology Fast 500 EMEA 2013 Ranking
Deloitte Technology Fast 500 EMEA 2013 RankingDeloitte Technology Fast 500 EMEA 2013 Ranking
Deloitte Technology Fast 500 EMEA 2013 Ranking
 
Radore Veri Merkezi Topolojisi
Radore Veri Merkezi TopolojisiRadore Veri Merkezi Topolojisi
Radore Veri Merkezi Topolojisi
 
Radore Hakkında
Radore HakkındaRadore Hakkında
Radore Hakkında
 

Radore Workshop: Bilgi Güvenliğine Giriş

  • 1. Halil  ÖZTÜRKCİ   Microsoft  MVP   CISSP,  CISA,  CEH,  CHFI,  CCNP   ADEO  Bilişim  Danışmanlık  Hizmetleri   halil.ozturkci@adeo.com.tr  
  • 2. ¡  ADEO  Kurucu  Ortak&Güvenlik  Birimi   Yöneticisi   ¡  Bilgi  Üniversitesi  ve  Bahçeşehir   Üniversitesi  Öğretim  Görevlisi   ¡  Türkiye  Bilişim  Vakfı  Yönetim  Kurulu   Üyesi   ¡  Adli  Bilişim  Derneği  Başkan  Yardımcısı   ¡  IstSec  ve  AnkaSec    Organizatörü   ¡  Microsoft  MVP,  Enterprise  Security   ¡  Profesyonel  Penetration  Tester   ¡  Adli  Bilişim  Uzmanı   ¡  SANS  Mentor  (www.sans.org)   ¡  CISSP,  GPEN,  GCFA,  CHFI,  CEH...   ¡  www.halilozturkci.com                         ¡                   halilozturkci   @ADEO Security Labs, 2014 www.adeosecurity.com
  • 3. ¡  Günümüz  güvenlik  tehditlerine  genel   bakış  ve  Türkiye’nin  durumu   ¡  Bilgi  Güvenliğinde  Temel  Başlıklar   ¡  Bilgi  Güvenliği  Politikaları  ve  Güvenlik   Kontrolleri  
  • 4.
  • 5.
  • 6. @ADEO Security Labs, 2011 www.adeosecurity.com
  • 7.
  • 8.
  • 9. ¡  200  milyon  dolarlık  bir  çete   ¡  First  National  Bank,  Bank  Oklahama,  American  Bank,  Old   National  Bank  başta  olmak  üzere  Amerika,  Avrupa  ve  Asyadaki   bir  çok  banka  müşterilerine  ait  yaklaşık  500.000  hesap  ele   geçirilmiş   ¡  FBI’ın  ’dünyadaki  en  iyi  ikinci  hacker’  olarak  gösterdiği  Ercan  F.   ortaokul  mezunu   ¡  Zanlılardan  Ercan  F.'nin,  ABD  bankalarından  dolandırdığı   paralarla,  500  bin  dolarlık  yat,  Land  Rover  cip  ve  Rusya'da  300   bin  dolarlık  malikâne  aldığı  bildirildi.     ¡  Ercan  F.,  11  Ocak  2008'de  ağabeyi  Engin  F.'ye,  "Yeni  ev  alalım   ağabey.  Başkasının  oturduğu  yere  girmek  istemiyorum"  diyor.   Ağabeyi  de  "Tamam  bakalım  kardeşim.  Ama  sen  de  artık  beni   Umre'ye  gönderirsin  değil  mi?"  diye  soruyor.  Ercan  F.  de   "Yollayacağımı  söyledim  ya  abi  zaten"  cevabını  veriyor.    J   ¡  Ercan  F.,  çete  üyesi  arkadaşı  Gökhan  B.  ile  27  Temmuz  2007'da   yaptığı  telefon  konuşmasında  bankaya  yatırdığı  parayı  "manita"   olarak  adlandırdı.  Ercan  F.,  "Yeni  manitalarla  ilgili  mail  attım.   Bankadan  bugün  içinde  çek"  dedi.  Gökhan  B.  ise  "Dolar   zengini  oldun  lan.  Bugün  içinde  çekerim  manitaları"  yanıtını   verdi.    
  • 10. @ADEO  Security  Labs,  2015                            www.adeosecurity.com  
  • 11. @ADEO Security Labs, 2015 www.adeosecurity.com
  • 12. @ADEO Security Labs, 2015 www.adeosecurity.com
  • 13. ¡  The  hackers  claim  to  have  stolen  around  100  terabytes  of  internal  Sony  files  and   films  in  that  attack.   ¡  Several  Sony-­‐related  Twitter  accounts  were  also  taken  over.   ¡  The  information  included  customer  passwords,  Sony  employees'  Social  Security   numbers,  and  contracts  with  celebrities.   ¡  A  number  of  forthcoming  Sony  movies  including  "Annie",  "Mr.  Turner"  and  "To   Write  Love  On  Her  Arms"  were  also  leaked   ¡  Following  the  breach,  the  hackers  implanted  Wiper  on  Sony's  computer   infrastructure,  a  malware  software  program  designed  to  erase  data  from  the   servers.   ¡  A  message  that  several  Sony  Pictures  executives  had  received  via  email  on  the   previous  Friday,  November  21;  the  message,  coming  from  a  group  called   "God'sApstls"  [sic],  demanded  "monetary  compensation"  or  otherwise,  "Sony   Pictures  will  be  bombarded  as  a  whole".  This  email  message  had  mostly  gone   ignored  by  executives,  lost  in  the  volume  they  had  received  or  treated  as  spam   email.   @ADEO Security Labs, 2015 www.adeosecurity.com
  • 14. @ADEO Security Labs, 2015 www.adeosecurity.com
  • 15. @ADEO Security Labs, 2015 www.adeosecurity.com
  • 16. @ADEO Security Labs, 2015 www.adeosecurity.com
  • 17. ¡  Esed  yönetimi  yanlısı  hacker  grubu  Suriye  Elektronik   Ordusu,  aralarında  Türkiye  Cumhuriyeti   Cumhurbaşkanlığı,  Dışişleri  Bakanlığı,  Milli   Savunma  Bakanlığı  ve  Hava  Kuvvetleri   Komutanlığı’nın  da  bulunduğu  e-­‐posta  hesaplarını   ele  geçirdiğini  açıkladı.     ¡  Suriye  Elektronik  Ordusu’nun  sızdırdığını  iddia  ettiği   e-­‐posta  adresleri  arasında  sadece  Türkiye  değil   Suudi  Arabistan,  Katar  ve  Arap  Birliği’ne  ait  olanlar   da  bulunuyor.   @ADEO Security Labs, 2015 www.adeosecurity.com
  • 18. @ADEO Security Labs, 2015 www.adeosecurity.com
  • 19. @ADEO Security Labs, 2015 www.adeosecurity.com
  • 20. Konvansiyonel Savaş: iki veya daha fazla devletin veya koalisyonun, açık bir çatışmada, geleneksel silah sistemlerini ve savaş taktiklerini uygulayarak icra ettikleri savaş şeklidir.. Siber Savaş: Siber uzayı ve içindeki varlıkları korumak için yürütülen harekâtların geneline verilen isimdir. Siber saldırı girişimlerine düşman olarak belirlenen hedefe saldırıda bulunmak, karşı savunma yapmak, hedefteki siber uzayda istihbarat verileri toplamak siber savaş faaliyetlerini oluşturmaktadır.
  • 21. ¡  Siber  savaşlarda  hedef  olarak  temelde  aşağıdaki   kritik  yapılar  seçilir;   §  Güvenlik   §  İletişim   §  Enerji   §  Finans   §  Sağlık   §  Ulaşım    
  • 22. President Obama has declared that the “cyber threat is one of the most serious economic and national security challenges we face as a nation” and that “America's economic prosperity in the 21st century will depend on cybersecurity.”
  • 23. ¡  ABD  ordusu,   bilgisayar   sistemlerine   yönelik  siber   saldırılara  karşı   askeri  olarak   misillemede   bulunmaya   hazırlanıyor!!!  
  • 24. ¡  İsrail  Başbakanı  Benjamin  Netanyahu’nun   Siber  güvenlik  danışmanı  Isaac  Ben-­‐Israel’in   çarpıcı  açıklaması;   §   "Siber  savaşlar  konvansiyonel    savaşlardaki  gibi   bir  etki  verebilecek  güçtedir.  Bir  ülkeyi  vurmak   istiyorsanız  o  ülkenin  enerji  ve  su  kaynaklarına   karşı  siber  ataklar  düzenlemek  gerekmektedir.   Siber  teknoloji  bunu  tek  kurşun  kullanmadan   yapabilme  yeteneğine  sahiptir."      
  • 25.
  • 26. ¡  İngiltere’nin  Ulusal  Güvenlik  Stratejisi’nde   siber  saldırılar,  uluslararası  terorizm  ile   birlikte  ülkenin  ulusal  güvenliğinin  tehlikeye   atan  ve  Tier  One  olarak  sınıflandırılan  en   önemli  tehditler  listesinde  yer  alıyor.   ¡  Son  4  yıl  içerisinde  İngiltere’nin  siber   güvenliğini  sağlamak  adına  geliştirilen   program  (National  Cyber  Security   Programme)  için  ayrılan  bütçe  650  milyon   sterlin.  
  • 27. ¡  Ruslar  tarafından  dikilen  ve  Estonya’nın  Nazi  istilasından   korunması  için  verilen  mücadeleyi  simgeleyen  heykel’in   kaldırılmasını  protesto  amaçlı  gerçekleştirilmiştir.   ¡  Ruslar  tarafından  gerçekleştirilen  bu  saldırının  arkasında    Rus   devletinin  olduğu  ispatlanamamıştır.   ¡  Rus  Hackerlar  tarafından  yapıldığından  şüphelenilen  saldırılar   sonucu  ülkenin  ulusal  bilgi  sistemleri,  internet  hizmet     sağlayıcıları  ve  bankaları  çok  büyük  zarar  görmüştür.     ¡  Estonya’nın  1,3  milyon  olan  nüfusunun    1  milyondan  fazlası   sayısal  kimliğe  sahiptir.  Nüfusunun  %66’sının  internet   kullanıcısıdır.  Evlerin  %55’inde  internet  bağlantısı  vardır  ve   vergi  beyanlarının  %80’i    internet  üzerinden  yapılmaktadır.     ¡  Bankacılık  işlemlerinin  %97’sinin  çevrim  içi    olarak   gerçekleştirildiği,  sağlık  kayıtlarının  tamamının  sayısal   ortamda  tutulduğu  da  göz  önünde  bulundurulduğunda   Estonya’ya  verilen  zararın  boyutları  tahmin    edilebilecektir.    
  • 28. @ADEO Security Labs, 2011 www.adeosecurity.com
  • 29. @ADEO Security Labs, 2011 www.adeosecurity.com
  • 30.
  • 31. ¡  Siber  Güvenlik  Kurulu  kuruldu.   §  Siber  güvenlikle  ilgili  alınacak  önlemleri  belirlemek  ve  bunların   uygulanmasını  ve  koordinasyonunu  sağlamak  amacıyla  Ulaştırma,   Denizcilik  ve  Haberleşme  Bakanı'nın  başkanlığında  Siber  Güvenlik  Kurulu   kuruldu.  (20  Ekim  2012)   ¡  Siber  Güvenlik  Enstitüsü  kuruldu.   §  Bilim,  Sanayi  ve  Teknoloji  Bakanı  Ergün:''TÜBİTAK'taki  Siber  Güvenlik   Enstitüsü'nde  bugün  itibariyle  70  arkadaşımız  görev  yapıyor.  Yakında  200'ü   aşkın  arkadaş  orada  görev  yapacak  ve  bu  organizasyona  teknik  altyapı   sunmaya  devam  edecek.'‘   ¡  TSK  bünyesinde  Muhabere  ve  Siber  Savunma   Komutanlığı  kuruldu.  (11  Aralık  2012)   ¡  Ulusal  Siber  Güvenlik  Tatbikatları  
  • 32.
  • 33. ¡  Sosyal  ağlar,  Bireyleri  internet  üzerinde  toplum  yaşamı  içinde  kendilerini   tanımlayarak,  aynı  kültürel  seviyesinde  rahatlıkla  anlaşabilecekleri  insanlara  internet   iletişim  metotları  ile  iletişime  geçmek  için  ve  aynı  zamanda  normal  sosyal  yaşamda   yapılan  çeşitli  jestleri  simgeleyen  sembolik  hareketleri  göstererek  insanların  yarattığı   sanal  ortamdaki  sosyal  iletişim  kurmaya  yarayan  ağlara  "sosyal  ağlar"  denilmektedir.   ¡  Sosyal  ağların  yararları:   §  İstediğiniz  zaman  bilgiye  ulaşabilirsiniz.   §  Eski  arkadaşlarımızı  bulabileceğiniz  gibi  yeni  arkadaşlıklar  da  edinebilirsiniz.   §  Gruplar  kurabilir  ve  de  çeşitli  düşünceler  ortaya  koyabilirsiniz.   §  Ruh  ikizinizi  ve  partnerinizi  bulabilirsiniz.   ¡  Sosyal  ağların  zararları:   §  Sosyalleşmeyi  bitirir.   §  Çeşitli  tuzaklar  olabilir.   §  Bazı  hackerlerle  karşılaşabilir  ve  de  güvenliğinizi  tehlikeye  atabilirsiniz.   *Kaynak:http://tr.wikipedia.org/wiki/Sosyal_a%C4%9F  
  • 34.
  • 35.
  • 36.
  • 37. ¡  Sosyal  Ağ  Sitesinin  Kendisine  Yapılan   Saldırılar   §  Twitter  ve  Facebook’un  Hacklenmesi   ¡  Sosyal  Ağ  Sitesi  Üzerinden  Kullanıcılara   Yapılan  Saldırılar   §  Clickjacking,  Fake  Application,  Timeline  Spam  vs.   ¡  Sosyal  Ağ  Sitelerinin  İsimleri  Kullanılarak   Yapılan  saldırılar   §  Spam,  Phishing  vs  
  • 38.
  • 39.
  • 40.
  • 41.
  • 42. ¡  Çok  sayıda  takipçisi  olan  bir  hesap  ele  geçirilir.   ¡  Bu  hesap  üzerinden  yollanacak  tweetler  ile  takipçilerin  bir  exploit  kit   barındıran  siteye,  URL  kısaltma  servisi  üzerinden  erişmeleri  sağlanır.   ¡  2009  yılında  Guy  Kawasaki’nin  hesabını  hacklendi  ve    140.000’den  fazla   takipçisi  Mac  ve  Windows  zararlı  kodlarını  içeren  sitelere  yönlendirildi.   §  http://nakedsecurity.sophos.com/2009/06/24/leighton-­‐meeter-­‐sex-­‐ tape-­‐lure-­‐spread-­‐malware-­‐twitter-­‐users/   ¡  En  çok  takipçisi  bulunan  twitter  hesapları;  
  • 43.
  • 44.
  • 45. ¡  TT(Trending  tTopic)Twitter  üzerinde  o  an  içinde  en   çok  konuşulan  konuları  ifade  eder.   ¡  Kötü  niyetli  kişiler  bu  TT’leri  takip  ederek   oluşturacakları  tweetler  ile  daha  fazla  kullanıcıyı   zararlı  kod  içeren  siteye  çekebilirler.   ¡  http://pandalabs.pandasecurity.com/visualizing-­‐ the-­‐twitter-­‐trends-­‐attack/   ¡  http://pandalabs.pandasecurity.com/dont-­‐get-­‐ caught-­‐by-­‐the-­‐grinch-­‐on-­‐twitter/  
  • 46.
  • 47.
  • 48. Hacklenen sayfalar arasına Nokia Türkiye, Renault Türkiye, Ülker Metro, Ülker Dido ve Teknosa ve Omo Türkiye sayfaları da eklendi.
  • 49.
  • 50.
  • 51.
  • 52.
  • 54.
  • 55.
  • 56. ¡  Çalışanlar,  şirkette  kullanmakta  oldukları    aynı  kullanıcı  adı  ve   şifreyi,    başka  sistemlere  erişim  (gmail,hotmail,  alış  veriş   siteleri,  servis  sağlayıcı  vb.)  için  kesinlikle  kullanmamalıdırlar.   ¡  Şifreler  kişiye  özeldir  ve  başka  hiç  kimseyle   paylaşılmamalıdır.   ¡  Bazı  uygulamalardaki  (Microsoft  Explorer,  Outlook,  vb.)   “Şifremi  Hatırla”  seçeneği  kullanılmamalıdır.   ¡  Çalışanlar,  kullanıcı  kodu  veya  şifrelerinin  yetkisiz  kişilerce  ele   geçirildiğinden  şüphelenirse  derhal  Bilgi  İşlem  birimini   bilgilendirmelidir.  
  • 57. ¡  En  az  7  karakter  uzunluğunda  olmalı   ¡  En  az  bir  rakam  içermelidir.(0..9)   ¡  En  az  bir  küçük  harf  içermelidir.(a..z)   ¡  En  az  bir  büyük  harf  içermelidir.(A..Z)   ¡  En  az  bir  özel  karakter  içermelidir.  (@#!.)   ¡  Yukarıda  anlatılanlar  ışığında  oluşturulan   örnek  bir  şifre  :P@ssw0rd   ¡  Belirli  aralıklarla  değiştirilmelidir.    
  • 58. ¡  Şifreniz;   §  Sizin,  eşinizin,  çocuğunuzun,  iş  arkadaşınızın,  kedinizin,  köpeğinizin  ismi   §  Kullanmakta  olduğunuz  işletim  sisteminin  ismi   §  Bilgisayarınızın  ismi   §  Telefon  veya  lisans  numaranız   §  Sizin  yada  bir  yakınınızın  doğum  tarihi   §  Sizin  hakkınızda  kolaylıkla  bulunabilecek  bir  bilgi  (adres  gibi)   §  Birtakım  kalıplaşmış  kelimeler  (  €,fener,cimbom  vb)   §  Bilgisayarınızdaki  herhangi  bir  kullanıcının  ismi  (  büyük  harfli,  çift  harfli,  ...)   §  Yabancı  bir  dildeki  bir  kelime   §  Yer  isimleri  gibi  özel  isimler   §  Aynı  harften  oluşan  bütün  şifreler   §  Basit  harf  düzenlerinden  oluşan  bütün  şifre  (qwerty  gibi)   §  Yukarıda  listelenenlerin  tersten  yazılmış  halleri   §  Yukarıda  listelenenlerin  önüne  veya  arkasına  rakam  eklenmiş  halleri   olmasın!!!   ¡  Şifrenizi  kağıtlara  yazıp  masanızın  üzerine,  klavyenin  altına  bırakmayın.   ¡  Kullanıcı  kodu  veya  şifrelerinin  yetkisiz  kişilerce  ele  geçirildiğinden   şüphelenirse  derhal  ilgili  birimi  bilgilendirin.  
  • 59. ¡  Sizin  için  önemli  olan  ve  hiç  unutmayacağınız  bir   olayı  ifade  edecek  bir  cümle  kurun.  (Örneğin;   “Bisiklet  kullanmaya  8  yaşında  başladım”  gibi.)   ¡  Bu  cümleyi  oluşturan  kelimelerin  ilk  harflerini  alın   (Bk8yb)   ¡  Çıkan  karakter  dizisinin  başına  ve  sonuna  özel   karakterler  ekleyerek  8  karakter  uzunluğunda   olmasını  sağlayalım  (!Bk8yb!@)   ¡  Bazen  şifre  oluşturulurken  a  yerine  @,  i  yerine  !,  E   yerine  3,  o  yerine  0  gibi  ifadeler  de  kullanılabilir. (Örneğin  P@ssw0rd  gibi)    
  • 60.
  • 61. ¡  E-­‐posta  bir  iş  aracıdır,  iş  kurallarına  uygun  kullanılmalıdır.   ¡  Kurumsal  elektronik  posta  hesabı  dışında  internet  üzerinden   sunulan  ücretsiz  e-­‐posta  hesaplarının  kullanımı  yasaktır.   ¡  Gönderilen  ve  alınan  elektronik  postalar  yönetim  tarafından   gerek  görülmesi  halinde  inceleme  amaçlı  izlenebilir.   ¡  Uygunsuz  kullanım  örnekleri;   §  Şirket  bilgisinin  gizliliğinin  ihlali   §  Şirketin  bilgi  sistemleri  güvenliğinin  ihlali   §  Aşağıdaki  içeriği  yaratmak,  içeriğe  erişmek  ya  da  içeriği  yaymak;   ▪  Şirketin  operasyonuna  ya  da  itibarına  olumsuz  etkisi  olabilecek  materyal     ▪  Küfürlü,  müstehcen,  aşağılayıcı,  ayartıcı,  ayrımcı,  vb.  materyal   ▪  Seksüel  içerikli  ve  diğer  kişilere  karşı  suç  unsuru  oluşturan  materyaller     ▪  Cinsel,  dinsel  ve  ırkçı  taciz   ▪  Görevi  kötüye  kullanmak    
  • 62. ¡  Phishing  (Oltaya  Takılma)   Nedir?     §  Genellikle  çeşitli  banka  ve  finans   kurumları  tarafından  gönderilmiş  gibi   görünen,  acil  ve  çok  önemli  konular   içeriyormuş  gibi  duran  sahte  e-­‐ postalardır.   §   Bu  e-­‐postalarda  verilen  linkler   aracılığı  ile    kart  bilgileri,  kart  şifreleri,   internet  şubesi  şifreleri  ve  kişisel   bilgiler  istenmektedir  
  • 63. ¡  Size  gönderilen  e-­‐posta'nın  kimden  geldiğinden  ve   doğruluğundan  mutlaka  emin  olun.     §  Size  gönderilen  e-­‐postanın  kimden  geldiğinden  emin  olamıyor   veya  gönderilen  içerik  ile  ilgili  bazı  şüpheleriniz  oluyor  ise,   mutlaka  direkt  olarak  çalıştığınız  finans  kuruluşu  ile  irtibata   geçiniz.  İtibarlı  şirketler,  size  asla  kişisel  bilgileriniz  veya   şifrelerinizi  soran  e-­‐postalar  yollamazlar.     ¡  Online  işlemlerinizi  gerçekleştirirken,  işlem  yaptığınız   sayfanın  güvenli  olup  olmadığını  mutlaka  kontrol  edin!     §  İnternet  tarayıcınızın  üst  kısmında  bulunan  adres  bar'da   bulunan  adresin  "https"  olup  olmadığını  kontrol  edin.   "https"'in  son  kısmında  yer  alan  "s"  harfi  bu  sayfanın  güvenli  ve   çeşitli  şifreleme  metod'ları  ile  işlem  yaptırdığını  belirtir.   §  İnternet  tarayıcınızın  sağ  alt  yada  üst  kısmında  yer  alan  kapalı   kilit  işareti,  yine  güvenli  ve  şifrelenmiş  bir  sayfada  işlem   yaptığınızı  gösterir.    
  • 64.
  • 65.
  • 66.
  • 67.
  • 68. ¡  Gizli  bilgileri  paylaşacağınız  kişilerin   kimlik  bilgilerini  doğrulayın  (Telefon,   internet  sohbeti  vb.  uzaktan  iletişim   araçları  ile  yapılan  bilgi  değişimlerinde   karşı  tarafın  kimlik  beyanına   güvenmeyin)   ¡  Gizli  ya  da  hassas  bilgileri  halka  açık   yerlerde  anlatmayın.   ¡  Kurum  dışına  gönderdiğiniz  gizli  bilgilere   ilişkin  takip  (kim  tarafından  gönderildiği,   kime  yada  kimlere  gönderildiği,  kargo   bilgileri)  kayıtlarını  tutun.  
  • 69. ¡  Gizlilik  derecesine  sahip  dökümanları  (formlar,   raporlar,  fax’lar  vb.)  ve  medyaları  (CD,DVD,USB   disk,  Memory  Stick,  disket,  kaset  vb.)  masanızın   üzerinde  üçüncü  şahıslar  tarafından  kolaylıkla   erişilebilecek  şekilde  bırakmayın  ve  mesai   saatleri  dışında  bu  belgeleri  ve  medyaları  kilitli   dolaplarda  saklayın.   ¡  Gizli  belgelere  ve  gizli  bilgi  içeren  medyalara   ihtiyaç  kalmaması  halinde  tekrardan   okunamayacak  şekilde  uluslararası  standartlar   tarafından  belirlenen  kriterlere  uygun  şekilde   imha  edin.  
  • 70.
  • 71. ¡  Sosyal  Mühendislik,  insanlar  arasındaki  iletişimdeki  ve  insan   davranışındaki  açıklıkları  tanıyıp,  bunlardan  faydalanarak   güvenlik  süreçlerini  atlatma  yöntemine  dayanan   müdahalelere  verilen  isimdir.   ¡  iletişim  kavramından  kasıt,  kişiler  arasında,  kişiyle  kurum   arasında  ya  da  kurumlar  arasındaki  etkileşimdir.   ¡  Toplum  mühendisliği  temel  olarak  “Normalde  kişiye   verilmeyecek  olan  bir  bilgiyi  almak  için  kişinin  başka  biri   (yardıma  muhtaç  bir  insan,  üst  düzey  yönetici  vb.)  gibi   davranması  ve  aldığı  bilgileri  kullanarak  daha  çok  bilgi   toplaması”  olarak  açıklanabilir.  
  • 72. ¡  Otoriter  yaklaşım:  Yetkili,  üst  düzey  yönetici  ya  da  ayrıcalıklı   müşteri  olduğuna  ikna  etmek.     ¡  Yardım  önermek:  Destek  ihtiyacındaki  müşteri  ya  da  çalışanları   yetkili  personel  olduğuna  inandırmak.     ¡  Benzerlik  ve  ortak  noktalar  bulmak:  Çalışanla  arasında  çeşitli   sanal  sosyal  bağlantılar  (akrabalık,  ortak  meslek,  ortak  arkadaş,   aynı  çevre  v.s.)  oluşturmak.     ¡  Mukabele  etmek:  İstenen  bir  iyilik  için  bir  karşılık  önermek.     ¡  Bağlılık  ve  dürüstlüğü  suistimal  etmek:  Kuruma  bağlı  çalışanı,   saldıranın  isteğini  yapmaması  durumunda  kurumun  zarar   göreceğine  ikna  etmek.     ¡  Düşük  bağlılıktan  yararlanmak:  Kuruma  bağlılığı  zayıf  çalışanları   ikna,  aldatma  ya  da    kandırma  gibi  yöntemlerle  ayartmak.      
  • 73.  -­‐  Rosemary  Morgan’la  mı  görüşüyorum?   -­‐  Evet.   -­‐  Merhaba  Rosemary.  Ben  Bill  Jorday;  Bilgi  Güvenliği  Grubu’ndan.   -­‐  Evet?   -­‐  Bizim  birimden  kimse  sizinle  güvenlik  uygulamaları  konusunda  görüştü  mü?   -­‐  Sanmıyorum.   -­‐  Peki.  Bakalım...  Öncelikle  kimsenin  şirket  dışından  getirdiği  programları  yüklemesine  izin  vermiyoruz.  Bunun  nedeni  lisanslı  olmayan  yazılım  kullanımından  sorumlu  olmak  istemememiz  ve   solucan  ya  da  virüs  içeren  yazılımların  çıkarabileceği  sorunlardan  uzak  durmak.   -­‐  Tamam.   -­‐  E-­‐posta  uygulamamızdan  haberdar  mısınız?   -­‐  Hayır.   -­‐  Şu  anda  kullandığınız  e-­‐posta  adresi  nedir?   -­‐  rosemary@ttrzine.net   -­‐  Kullanıcı  adı  olarak  Rosemary’i  mi  kullanıyorsunuz?   -­‐  Hayır  R  altçizgi  Morgan’ı  kullanıyorum.   -­‐  Tamam.  Tüm  yeni  çalışanlarımızı  beklemedikleri  e-­‐posta  eklerini  açmalarının  oluşturacağı  tehlikelere  karşı  uyarmak  istiyoruz.  Pek  çok  solucan  ve  virüsler  ortalıkta  geziniyor  ve  tanıdığınız   insanlardan  geliyor  gibi  görünen  e-­‐posta  eklerinde  geliyorlar.  Bu  yüzden  beklemediğiniz  bir  ekli  e-­‐posta  alırsanız,  gönderici  olarak  görünen  kişinin  mesajı  size  gerçekten  gönderip   göndermediğini  her  zaman  kontrol  edip  emin  olmalısınız.  Anlıyor  musunuz?   -­‐  Evet,  bunu  duymuştum.   -­‐  İyi.  Uygulama  her  doksan  günde  bir  parolanızı  değiştirmeniz  şeklinde.  Parolanızı  en  son  ne  zaman  değiştirdiniz?   -­‐  Yalnızca  üç  haftadır  burada  çalışıyorum  ve  daha  ilk  aldığım  şifreyi  kullanıyorum.   -­‐  Tamam,  bu  iyi.  Doksan  gün  dolana  kadar  bekleyebilirsin.  Ama  insanların  tahmin  edilmesi  kolay  olmayan  şifreler  kullandığından  emin  olmak  istiyoruz.  Hem  sayı  hem  de  harf  içeren  şifreler   mi  kullanıyorsunuz?   -­‐  Hayır.   -­‐  Bunu  düzeltmeliyiz.  Şu  anda  kullandığınız  şifre  nedir?   -­‐  Kızımın  adı,  Anette.   -­‐  Bu  çok  güvenli  bir  şifre  değil.  Hiçbir  zaman  aile  bilgilerinize  dayanan  şifreler  seçmemelisiniz.  Peki...  benim  yaptığımın  aynısını  yapabilirsiniz.  Şifrenizin  bir  parçası  olarak  şu  anda   kullandığınızı  kullanmanızın  bir  sakıncası  yok  ama  her  değiştirdiğinizde  içinde  bulunduğunuz  ayın  sayısını  ekleyin.   -­‐  Bunu  şimdi  yapsam,  yani  Mart  için,  üç  mü  kullanmalıyım,  sıfır-­‐üç  mü?   -­‐  Nasıl  isterseniz.  Hangisi  sizin  için  daha  rahat  olur?   -­‐  Sanırım  Anette-­‐üç   -­‐  İyi.  Değişikliğin  nasıl  yapılacağı  konusunda  size  yardımcı  olmamı  ister  misiniz?   -­‐  Hayır,  nasıl  yapılacağını  biliyorum.   -­‐  Güzel.  Söylemem  gereken  bir  şey  daha  var.  Bilgisayarınızda  bir  virüs  koruma  yazılımı  var  ve  onu  güncel  tutmanız  önemli.  Arada  bir  bilgisayarınız  yavaşladığında  bile  otomatik  güncellemeyi   devre  dışı  bırakmamalısınız.  Tamam  mı?   -­‐  Elbette.   -­‐  Çok  iyi.  Bilgisayarla  ilgili  bir  sorununuz  olduğunda  aramanız  için  buranın  telefon  numarası  sizde  var  mı?     (Kevin  Mitnick,  Aldatma  Sanatı,  s.57-­‐58)    
  • 74. ¡  Omuz  sörfü:  Şifre  yazılırken  ya  da   erişim  kısıtlı  sistemlere  erişilirken   saldırılanın  izlenmesi,     ¡  Çöp  karıştırmak:  Çöpe  atılmış   disket,  CD,  post-­‐it,  not  kağıdı  gibi,   hassas  bilgi  içerebilecek  eşyaları   incelemek,     ¡  Eski  donanımları  kurcalamak:   Hurdaya  çıkmış,  ikinci  el  satış   sitelerinde  satışa  sunulmuş,  çöpe   atılmış,  kullanılmadığı  için  hibe   edilmiş  donanımın  içeriğini   incelemek  
  • 75.
  • 76. ¡  Çalınabilir  &  Kaybolabilir   §  Laptop’larınızı  boot  sırasında  şifre  soracak  şekilde   yapılandırabilirsiniz   §  Disk  şifreleme  çözümlerinden  birisi  ile  disklerinizi   şifreleyebilirsiniz   ¡  Zararlı  Kod  Bulaşabilir   §  Şirket  network’üne  bağlı  olmadığı  durumda  dahi   devrede  olacak  antivirüs&antispyware  yazılımı  ve   firewall  olsun  
  • 77.
  • 78. ¡  Zararlı  programların   bilgisayarlarınıza  bulaşmaması   ve  bilgisayarınıza  zarar   vermemesi  için  mutlaka   bilgisayarınızda  bir  antivirüs   programı  yüklü  olsun.   ¡  Antivirüs  programınız,   bilgisayarınız  açık  olduğu   sürece  çalışır  durumda  olsun.   ¡  Antivirüs  programını  güncel   tutun.    
  • 79. ¡  Tanımadığınız  kişileri  kişi  listenize   eklemeyin.   ¡  Kişi  listenizdeki  birisi  tarafından   gönderiliyor  olsa  bile  tam  olarak   içeriğinden  emin  olmadığınız  hiç  bir   dosyayı  kabul  etmeyin.   ¡  Sohbet  ortamı  üzerinden  hiç  bir   şekilde  kullanıcı  adı  ve  şifrelerinizi   başkalarıyla  paylaşmayın.   ¡  Sohbet  ortamında  ilk  defa  tanıştığınız   kişilerin  yalan  konuşabileceğini   unutmayın.  
  • 80. ¡  İnternet  Cafe’lerdeki  bilgisayarlarda   sizin  kritik  bilgilerinizi  çalmaya   yönelik  kurulmuş  ve  sizin  yazdığınız   karakterleri  ve  girdiğiniz  sayfaları   kaydeden  zararlı    programlar  yada   donanımlar  yüklü  olabilir   (keylogger)   ¡  Hiç  bir  şekilde  aşağıdaki  bilgileri   internet  cafe’lerdeki  bilgisayarlarda   girmeyin;   §  İnternet  bankacılığı  bilgileri   §  Kredi  kartı  bilgileri   §  Kritik  e-­‐posta  hesabı  bilgileri   §  Ve  ele  geçirilmesi  durumunda  sizi            zarara  uğratabilecek  diğer  bilgiler.