Halil  ÖZTÜRKCİ  Microsoft  MVP  

CISSP,  CISA,  CEH,  CHFI,  CCNP  ADEO  Bilişim  Danışmanlık  Hizmetleri  

halil.ozturkci@adeo.com.tr  

¡  ADEO  Kurucu  Ortak&Güvenlik  Birimi  Yöneticisi  

¡  Bilgi  Üniversitesi  ve  Bahçeşehir  Üniversitesi  Öğretim  Görevlisi  

¡  Türkiye  Bilişim  Vakfı  Yönetim  Kurulu  Üyesi  

¡  Adli  Bilişim  Derneği  Başkan  Yardımcısı  ¡  IstSec  ve  AnkaSec    Organizatörü  ¡  Microsoft  MVP,  Enterprise  Security  ¡  Profesyonel  Penetration  Tester  ¡  Adli  Bilişim  Uzmanı  ¡  SANS  Mentor  (www.sans.org)  ¡  CISSP,  GPEN,  GCFA,  CHFI,  CEH...  ¡  www.halilozturkci.com                        ¡                   halilozturkci  

@ADEO Security Labs, 2014 www.adeosecurity.com

¡ Günümüz  güvenlik  tehditlerine  genel  bakış  ve  Türkiye’nin  durumu  

¡ Bilgi  Güvenliğinde  Temel  Başlıklar  

¡ Bilgi  Güvenliği  Politikaları  ve  Güvenlik  Kontrolleri  

@ADEO Security Labs, 2011 www.adeosecurity.com

¡  200  milyon  dolarlık  bir  çete  ¡  First  National  Bank,  Bank  Oklahama,  American  Bank,  Old  

National  Bank  başta  olmak  üzere  Amerika,  Avrupa  ve  Asyadaki  bir  çok  banka  müşterilerine  ait  yaklaşık  500.000  hesap  ele  geçirilmiş  

¡  FBI’ın  ’dünyadaki  en  iyi  ikinci  hacker’  olarak  gösterdiği  Ercan  F.  ortaokul  mezunu  

¡  Zanlılardan  Ercan  F.'nin,  ABD  bankalarından  dolandırdığı  paralarla,  500  bin  dolarlık  yat,  Land  Rover  cip  ve  Rusya'da  300  bin  dolarlık  malikâne  aldığı  bildirildi.    

¡  Ercan  F.,  11  Ocak  2008'de  ağabeyi  Engin  F.'ye,  "Yeni  ev  alalım  ağabey.  Başkasının  oturduğu  yere  girmek  istemiyorum"  diyor.  Ağabeyi  de  "Tamam  bakalım  kardeşim.  Ama  sen  de  artık  beni  Umre'ye  gönderirsin  değil  mi?"  diye  soruyor.  Ercan  F.  de  "Yollayacağımı  söyledim  ya  abi  zaten"  cevabını  veriyor.    J  

¡  Ercan  F.,  çete  üyesi  arkadaşı  Gökhan  B.  ile  27  Temmuz  2007'da  yaptığı  telefon  konuşmasında  bankaya  yatırdığı  parayı  "manita"  olarak  adlandırdı.  Ercan  F.,  "Yeni  manitalarla  ilgili  mail  attım.  Bankadan  bugün  içinde  çek"  dedi.  Gökhan  B.  ise  "Dolar  zengini  oldun  lan.  Bugün  içinde  çekerim  manitaları"  yanıtını  verdi.    

@ADEO  Security  Labs,  2015                            www.adeosecurity.com  

@ADEO Security Labs, 2015 www.adeosecurity.com

@ADEO Security Labs, 2015 www.adeosecurity.com

¡  The  hackers  claim  to  have  stolen  around  100  terabytes  of  internal  Sony  files  and  films  in  that  attack.  

¡  Several  Sony-­‐related  Twitter  accounts  were  also  taken  over.  ¡  The  information  included  customer  passwords,  Sony  employees'  Social  Security  

numbers,  and  contracts  with  celebrities.  ¡  A  number  of  forthcoming  Sony  movies  including  "Annie",  "Mr.  Turner"  and  "To  

Write  Love  On  Her  Arms"  were  also  leaked  ¡  Following  the  breach,  the  hackers  implanted  Wiper  on  Sony's  computer  

infrastructure,  a  malware  software  program  designed  to  erase  data  from  the  servers.  

¡  A  message  that  several  Sony  Pictures  executives  had  received  via  email  on  the  previous  Friday,  November  21;  the  message,  coming  from  a  group  called  "God'sApstls"  [sic],  demanded  "monetary  compensation"  or  otherwise,  "Sony  Pictures  will  be  bombarded  as  a  whole".  This  email  message  had  mostly  gone  ignored  by  executives,  lost  in  the  volume  they  had  received  or  treated  as  spam  email.  

@ADEO Security Labs, 2015 www.adeosecurity.com

@ADEO Security Labs, 2015 www.adeosecurity.com

@ADEO Security Labs, 2015 www.adeosecurity.com

@ADEO Security Labs, 2015 www.adeosecurity.com

¡  Esed  yönetimi  yanlısı  hacker  grubu  Suriye  Elektronik  Ordusu,  aralarında  Türkiye  Cumhuriyeti  Cumhurbaşkanlığı,  Dışişleri  Bakanlığı,  Milli  Savunma  Bakanlığı  ve  Hava  Kuvvetleri  Komutanlığı’nın  da  bulunduğu  e-­‐posta  hesaplarını  ele  geçirdiğini  açıkladı.    

¡  Suriye  Elektronik  Ordusu’nun  sızdırdığını  iddia  ettiği  e-­‐posta  adresleri  arasında  sadece  Türkiye  değil  Suudi  Arabistan,  Katar  ve  Arap  Birliği’ne  ait  olanlar  da  bulunuyor.  

@ADEO Security Labs, 2015 www.adeosecurity.com

@ADEO Security Labs, 2015 www.adeosecurity.com

@ADEO Security Labs, 2015 www.adeosecurity.com

Konvansiyonel Savaş: iki veya daha fazla devletin veya koalisyonun, açık bir çatışmada, geleneksel silah sistemlerini ve savaş taktiklerini uygulayarak icra ettikleri savaş şeklidir..

Siber Savaş: Siber uzayı ve içindeki varlıkları korumak için yürütülen harekâtların geneline verilen isimdir. Siber saldırı girişimlerine düşman olarak belirlenen hedefe saldırıda bulunmak, karşı savunma yapmak, hedefteki siber uzayda istihbarat verileri toplamak siber savaş faaliyetlerini oluşturmaktadır.

¡  Siber  savaşlarda  hedef  olarak  temelde  aşağıdaki  kritik  yapılar  seçilir;  §  Güvenlik  §  İletişim  §  Enerji  §  Finans  §  Sağlık  §  Ulaşım  

 

President Obama has declared that the “cyber threat is one of the most serious economic and national security challenges we face as a nation” and that “America's economic prosperity in the 21st century will depend on cybersecurity.”

¡  ABD  ordusu,  bilgisayar  sistemlerine  yönelik  siber  saldırılara  karşı  askeri  olarak  misillemede  bulunmaya  hazırlanıyor!!!  

¡  İsrail  Başbakanı  Benjamin  Netanyahu’nun  Siber  güvenlik  danışmanı  Isaac  Ben-­‐Israel’in  çarpıcı  açıklaması;  §   "Siber  savaşlar  konvansiyonel    savaşlardaki  gibi  bir  etki  verebilecek  güçtedir.  Bir  ülkeyi  vurmak  istiyorsanız  o  ülkenin  enerji  ve  su  kaynaklarına  karşı  siber  ataklar  düzenlemek  gerekmektedir.  Siber  teknoloji  bunu  tek  kurşun  kullanmadan  yapabilme  yeteneğine  sahiptir."      

¡  İngiltere’nin  Ulusal  Güvenlik  Stratejisi’nde  siber  saldırılar,  uluslararası  terorizm  ile  birlikte  ülkenin  ulusal  güvenliğinin  tehlikeye  atan  ve  Tier  One  olarak  sınıflandırılan  en  önemli  tehditler  listesinde  yer  alıyor.  

¡  Son  4  yıl  içerisinde  İngiltere’nin  siber  güvenliğini  sağlamak  adına  geliştirilen  program  (National  Cyber  Security  Programme)  için  ayrılan  bütçe  650  milyon  sterlin.  

¡  Ruslar  tarafından  dikilen  ve  Estonya’nın  Nazi  istilasından  korunması  için  verilen  mücadeleyi  simgeleyen  heykel’in  kaldırılmasını  protesto  amaçlı  gerçekleştirilmiştir.  

¡  Ruslar  tarafından  gerçekleştirilen  bu  saldırının  arkasında    Rus  devletinin  olduğu  ispatlanamamıştır.  

¡  Rus  Hackerlar  tarafından  yapıldığından  şüphelenilen  saldırılar  sonucu  ülkenin  ulusal  bilgi  sistemleri,  internet  hizmet    sağlayıcıları  ve  bankaları  çok  büyük  zarar  görmüştür.    

¡  Estonya’nın  1,3  milyon  olan  nüfusunun    1  milyondan  fazlası  sayısal  kimliğe  sahiptir.  Nüfusunun  %66’sının  internet  kullanıcısıdır.  Evlerin  %55’inde  internet  bağlantısı  vardır  ve  vergi  beyanlarının  %80’i    internet  üzerinden  yapılmaktadır.    

¡  Bankacılık  işlemlerinin  %97’sinin  çevrim  içi    olarak  gerçekleştirildiği,  sağlık  kayıtlarının  tamamının  sayısal  ortamda  tutulduğu  da  göz  önünde  bulundurulduğunda  Estonya’ya  verilen  zararın  boyutları  tahmin    edilebilecektir.    

@ADEO Security Labs, 2011 www.adeosecurity.com

@ADEO Security Labs, 2011 www.adeosecurity.com

¡  Siber  Güvenlik  Kurulu  kuruldu.  §  Siber  güvenlikle  ilgili  alınacak  önlemleri  belirlemek  ve  bunların  

uygulanmasını  ve  koordinasyonunu  sağlamak  amacıyla  Ulaştırma,  Denizcilik  ve  Haberleşme  Bakanı'nın  başkanlığında  Siber  Güvenlik  Kurulu  kuruldu.  (20  Ekim  2012)  

¡  Siber  Güvenlik  Enstitüsü  kuruldu.  §  Bilim,  Sanayi  ve  Teknoloji  Bakanı  Ergün:''TÜBİTAK'taki  Siber  Güvenlik  

Enstitüsü'nde  bugün  itibariyle  70  arkadaşımız  görev  yapıyor.  Yakında  200'ü  aşkın  arkadaş  orada  görev  yapacak  ve  bu  organizasyona  teknik  altyapı  sunmaya  devam  edecek.'‘  

¡  TSK  bünyesinde  Muhabere  ve  Siber  Savunma  Komutanlığı  kuruldu.  (11  Aralık  2012)  

¡  Ulusal  Siber  Güvenlik  Tatbikatları  

¡  Sosyal  ağlar,  Bireyleri  internet  üzerinde  toplum  yaşamı  içinde  kendilerini  tanımlayarak,  aynı  kültürel  seviyesinde  rahatlıkla  anlaşabilecekleri  insanlara  internet  iletişim  metotları  ile  iletişime  geçmek  için  ve  aynı  zamanda  normal  sosyal  yaşamda  yapılan  çeşitli  jestleri  simgeleyen  sembolik  hareketleri  göstererek  insanların  yarattığı  sanal  ortamdaki  sosyal  iletişim  kurmaya  yarayan  ağlara  "sosyal  ağlar"  denilmektedir.  

¡  Sosyal  ağların  yararları:  §  İstediğiniz  zaman  bilgiye  ulaşabilirsiniz.  §  Eski  arkadaşlarımızı  bulabileceğiniz  gibi  yeni  arkadaşlıklar  da  edinebilirsiniz.  §  Gruplar  kurabilir  ve  de  çeşitli  düşünceler  ortaya  koyabilirsiniz.  §  Ruh  ikizinizi  ve  partnerinizi  bulabilirsiniz.  

¡  Sosyal  ağların  zararları:  §  Sosyalleşmeyi  bitirir.  §  Çeşitli  tuzaklar  olabilir.  §  Bazı  hackerlerle  karşılaşabilir  ve  de  güvenliğinizi  tehlikeye  atabilirsiniz.  

*Kaynak:http://tr.wikipedia.org/wiki/Sosyal_a%C4%9F  

¡  Sosyal  Ağ  Sitesinin  Kendisine  Yapılan  Saldırılar  §  Twitter  ve  Facebook’un  Hacklenmesi  

¡  Sosyal  Ağ  Sitesi  Üzerinden  Kullanıcılara  Yapılan  Saldırılar  §  Clickjacking,  Fake  Application,  Timeline  Spam  vs.  

¡  Sosyal  Ağ  Sitelerinin  İsimleri  Kullanılarak  Yapılan  saldırılar  §  Spam,  Phishing  vs  

¡  Çok  sayıda  takipçisi  olan  bir  hesap  ele  geçirilir.  ¡  Bu  hesap  üzerinden  yollanacak  tweetler  ile  takipçilerin  bir  exploit  kit  

barındıran  siteye,  URL  kısaltma  servisi  üzerinden  erişmeleri  sağlanır.  ¡  2009  yılında  Guy  Kawasaki’nin  hesabını  hacklendi  ve    140.000’den  fazla  

takipçisi  Mac  ve  Windows  zararlı  kodlarını  içeren  sitelere  yönlendirildi.  §  http://nakedsecurity.sophos.com/2009/06/24/leighton-­‐meeter-­‐sex-­‐

tape-­‐lure-­‐spread-­‐malware-­‐twitter-­‐users/  ¡  En  çok  takipçisi  bulunan  twitter  hesapları;  

¡  TT(Trending  tTopic)Twitter  üzerinde  o  an  içinde  en  çok  konuşulan  konuları  ifade  eder.  

¡  Kötü  niyetli  kişiler  bu  TT’leri  takip  ederek  oluşturacakları  tweetler  ile  daha  fazla  kullanıcıyı  zararlı  kod  içeren  siteye  çekebilirler.  

¡  http://pandalabs.pandasecurity.com/visualizing-­‐the-­‐twitter-­‐trends-­‐attack/  

¡  http://pandalabs.pandasecurity.com/dont-­‐get-­‐caught-­‐by-­‐the-­‐grinch-­‐on-­‐twitter/  

Hacklenen sayfalar arasına Nokia Türkiye, Renault Türkiye, Ülker Metro, Ülker Dido ve Teknosa ve Omo Türkiye sayfaları da eklendi.

¡ http://www.facebook.com/security  ¡ https://twitter.com/about/security  ¡ http://socialmediasecurity.com  ¡ http://nakedsecurity.sophos.com/koobface/  

¡  Çalışanlar,  şirkette  kullanmakta  oldukları    aynı  kullanıcı  adı  ve  şifreyi,    başka  sistemlere  erişim  (gmail,hotmail,  alış  veriş  siteleri,  servis  sağlayıcı  vb.)  için  kesinlikle  kullanmamalıdırlar.  

¡  Şifreler  kişiye  özeldir  ve  başka  hiç  kimseyle  paylaşılmamalıdır.  

¡  Bazı  uygulamalardaki  (Microsoft  Explorer,  Outlook,  vb.)  “Şifremi  Hatırla”  seçeneği  kullanılmamalıdır.  

¡  Çalışanlar,  kullanıcı  kodu  veya  şifrelerinin  yetkisiz  kişilerce  ele  geçirildiğinden  şüphelenirse  derhal  Bilgi  İşlem  birimini  bilgilendirmelidir.  

¡  En  az  7  karakter  uzunluğunda  olmalı  ¡  En  az  bir  rakam  içermelidir.(0..9)  ¡  En  az  bir  küçük  harf  içermelidir.(a..z)  ¡  En  az  bir  büyük  harf  içermelidir.(A..Z)  ¡  En  az  bir  özel  karakter  içermelidir.  (@#!.)  ¡  Yukarıda  anlatılanlar  ışığında  oluşturulan  örnek  bir  şifre  :P@ssw0rd  

¡  Belirli  aralıklarla  değiştirilmelidir.    

¡  Şifreniz;  §  Sizin,  eşinizin,  çocuğunuzun,  iş  arkadaşınızın,  kedinizin,  köpeğinizin  ismi  §  Kullanmakta  olduğunuz  işletim  sisteminin  ismi  §  Bilgisayarınızın  ismi  §  Telefon  veya  lisans  numaranız  §  Sizin  yada  bir  yakınınızın  doğum  tarihi  §  Sizin  hakkınızda  kolaylıkla  bulunabilecek  bir  bilgi  (adres  gibi)  §  Birtakım  kalıplaşmış  kelimeler  (  �,fener,cimbom  vb)  §  Bilgisayarınızdaki  herhangi  bir  kullanıcının  ismi  (  büyük  harfli,  çift  harfli,  ...)  §  Yabancı  bir  dildeki  bir  kelime  §  Yer  isimleri  gibi  özel  isimler  §  Aynı  harften  oluşan  bütün  şifreler  §  Basit  harf  düzenlerinden  oluşan  bütün  şifre  (qwerty  gibi)  §  Yukarıda  listelenenlerin  tersten  yazılmış  halleri  §  Yukarıda  listelenenlerin  önüne  veya  arkasına  rakam  eklenmiş  halleri  

olmasın!!!  

¡  Şifrenizi  kağıtlara  yazıp  masanızın  üzerine,  klavyenin  altına  bırakmayın.  ¡  Kullanıcı  kodu  veya  şifrelerinin  yetkisiz  kişilerce  ele  geçirildiğinden  

şüphelenirse  derhal  ilgili  birimi  bilgilendirin.  

¡  Sizin  için  önemli  olan  ve  hiç  unutmayacağınız  bir  olayı  ifade  edecek  bir  cümle  kurun.  (Örneğin;  “Bisiklet  kullanmaya  8  yaşında  başladım”  gibi.)  

¡  Bu  cümleyi  oluşturan  kelimelerin  ilk  harflerini  alın  (Bk8yb)  

¡  Çıkan  karakter  dizisinin  başına  ve  sonuna  özel  karakterler  ekleyerek  8  karakter  uzunluğunda  olmasını  sağlayalım  (!Bk8yb!@)  

¡  Bazen  şifre  oluşturulurken  a  yerine  @,  i  yerine  !,  E  yerine  3,  o  yerine  0  gibi  ifadeler  de  kullanılabilir.(Örneğin  P@ssw0rd  gibi)    

¡  E-­‐posta  bir  iş  aracıdır,  iş  kurallarına  uygun  kullanılmalıdır.  ¡  Kurumsal  elektronik  posta  hesabı  dışında  internet  üzerinden  

sunulan  ücretsiz  e-­‐posta  hesaplarının  kullanımı  yasaktır.  ¡  Gönderilen  ve  alınan  elektronik  postalar  yönetim  tarafından  

gerek  görülmesi  halinde  inceleme  amaçlı  izlenebilir.  ¡  Uygunsuz  kullanım  örnekleri;  

§  Şirket  bilgisinin  gizliliğinin  ihlali  §  Şirketin  bilgi  sistemleri  güvenliğinin  ihlali  §  Aşağıdaki  içeriği  yaratmak,  içeriğe  erişmek  ya  da  içeriği  yaymak;  

▪  Şirketin  operasyonuna  ya  da  itibarına  olumsuz  etkisi  olabilecek  materyal    ▪  Küfürlü,  müstehcen,  aşağılayıcı,  ayartıcı,  ayrımcı,  vb.  materyal  ▪  Seksüel  içerikli  ve  diğer  kişilere  karşı  suç  unsuru  oluşturan  materyaller    ▪  Cinsel,  dinsel  ve  ırkçı  taciz  ▪  Görevi  kötüye  kullanmak  

 

¡  Phishing  (Oltaya  Takılma)  Nedir?    §  Genellikle  çeşitli  banka  ve  finans  kurumları  tarafından  gönderilmiş  gibi  görünen,  acil  ve  çok  önemli  konular  içeriyormuş  gibi  duran  sahte  e-­‐postalardır.  

§   Bu  e-­‐postalarda  verilen  linkler  aracılığı  ile    kart  bilgileri,  kart  şifreleri,  internet  şubesi  şifreleri  ve  kişisel  bilgiler  istenmektedir  

¡  Size  gönderilen  e-­‐posta'nın  kimden  geldiğinden  ve  doğruluğundan  mutlaka  emin  olun.    §  Size  gönderilen  e-­‐postanın  kimden  geldiğinden  emin  olamıyor  

veya  gönderilen  içerik  ile  ilgili  bazı  şüpheleriniz  oluyor  ise,  mutlaka  direkt  olarak  çalıştığınız  finans  kuruluşu  ile  irtibata  geçiniz.  İtibarlı  şirketler,  size  asla  kişisel  bilgileriniz  veya  şifrelerinizi  soran  e-­‐postalar  yollamazlar.    

¡  Online  işlemlerinizi  gerçekleştirirken,  işlem  yaptığınız  sayfanın  güvenli  olup  olmadığını  mutlaka  kontrol  edin!    §  İnternet  tarayıcınızın  üst  kısmında  bulunan  adres  bar'da  

bulunan  adresin  "https"  olup  olmadığını  kontrol  edin.  "https"'in  son  kısmında  yer  alan  "s"  harfi  bu  sayfanın  güvenli  ve  çeşitli  şifreleme  metod'ları  ile  işlem  yaptırdığını  belirtir.  

§  İnternet  tarayıcınızın  sağ  alt  yada  üst  kısmında  yer  alan  kapalı  kilit  işareti,  yine  güvenli  ve  şifrelenmiş  bir  sayfada  işlem  yaptığınızı  gösterir.    

¡  Gizli  bilgileri  paylaşacağınız  kişilerin  kimlik  bilgilerini  doğrulayın  (Telefon,  internet  sohbeti  vb.  uzaktan  iletişim  araçları  ile  yapılan  bilgi  değişimlerinde  karşı  tarafın  kimlik  beyanına  güvenmeyin)  

¡  Gizli  ya  da  hassas  bilgileri  halka  açık  yerlerde  anlatmayın.  

¡  Kurum  dışına  gönderdiğiniz  gizli  bilgilere  ilişkin  takip  (kim  tarafından  gönderildiği,  kime  yada  kimlere  gönderildiği,  kargo  bilgileri)  kayıtlarını  tutun.  

¡  Gizlilik  derecesine  sahip  dökümanları  (formlar,  raporlar,  fax’lar  vb.)  ve  medyaları  (CD,DVD,USB  disk,  Memory  Stick,  disket,  kaset  vb.)  masanızın  üzerinde  üçüncü  şahıslar  tarafından  kolaylıkla  erişilebilecek  şekilde  bırakmayın  ve  mesai  saatleri  dışında  bu  belgeleri  ve  medyaları  kilitli  dolaplarda  saklayın.  

¡  Gizli  belgelere  ve  gizli  bilgi  içeren  medyalara  ihtiyaç  kalmaması  halinde  tekrardan  okunamayacak  şekilde  uluslararası  standartlar  tarafından  belirlenen  kriterlere  uygun  şekilde  imha  edin.  

¡  Sosyal  Mühendislik,  insanlar  arasındaki  iletişimdeki  ve  insan  davranışındaki  açıklıkları  tanıyıp,  bunlardan  faydalanarak  güvenlik  süreçlerini  atlatma  yöntemine  dayanan  müdahalelere  verilen  isimdir.  

¡  iletişim  kavramından  kasıt,  kişiler  arasında,  kişiyle  kurum  arasında  ya  da  kurumlar  arasındaki  etkileşimdir.  

¡  Toplum  mühendisliği  temel  olarak  “Normalde  kişiye  verilmeyecek  olan  bir  bilgiyi  almak  için  kişinin  başka  biri  (yardıma  muhtaç  bir  insan,  üst  düzey  yönetici  vb.)  gibi  davranması  ve  aldığı  bilgileri  kullanarak  daha  çok  bilgi  

toplaması”  olarak  açıklanabilir.  

¡  Otoriter  yaklaşım:  Yetkili,  üst  düzey  yönetici  ya  da  ayrıcalıklı  müşteri  olduğuna  ikna  etmek.    

¡  Yardım  önermek:  Destek  ihtiyacındaki  müşteri  ya  da  çalışanları  yetkili  personel  olduğuna  inandırmak.    

¡  Benzerlik  ve  ortak  noktalar  bulmak:  Çalışanla  arasında  çeşitli  sanal  sosyal  bağlantılar  (akrabalık,  ortak  meslek,  ortak  arkadaş,  aynı  çevre  v.s.)  oluşturmak.    

¡  Mukabele  etmek:  İstenen  bir  iyilik  için  bir  karşılık  önermek.    ¡  Bağlılık  ve  dürüstlüğü  suistimal  etmek:  Kuruma  bağlı  çalışanı,  

saldıranın  isteğini  yapmaması  durumunda  kurumun  zarar  göreceğine  ikna  etmek.    

¡  Düşük  bağlılıktan  yararlanmak:  Kuruma  bağlılığı  zayıf  çalışanları  ikna,  aldatma  ya  da    kandırma  gibi  yöntemlerle  ayartmak.    

 

 -­‐  Rosemary  Morgan’la  mı  görüşüyorum?  -­‐  Evet.  -­‐  Merhaba  Rosemary.  Ben  Bill  Jorday;  Bilgi  Güvenliği  Grubu’ndan.  -­‐  Evet?  -­‐  Bizim  birimden  kimse  sizinle  güvenlik  uygulamaları  konusunda  görüştü  mü?  -­‐  Sanmıyorum.  -­‐  Peki.  Bakalım...  Öncelikle  kimsenin  şirket  dışından  getirdiği  programları  yüklemesine  izin  vermiyoruz.  Bunun  nedeni  lisanslı  olmayan  yazılım  kullanımından  sorumlu  olmak  istemememiz  ve  solucan  ya  da  virüs  içeren  yazılımların  çıkarabileceği  sorunlardan  uzak  durmak.  -­‐  Tamam.  -­‐  E-­‐posta  uygulamamızdan  haberdar  mısınız?  -­‐  Hayır.  -­‐  Şu  anda  kullandığınız  e-­‐posta  adresi  nedir?  -­‐  rosemary@ttrzine.net  -­‐  Kullanıcı  adı  olarak  Rosemary’i  mi  kullanıyorsunuz?  -­‐  Hayır  R  altçizgi  Morgan’ı  kullanıyorum.  -­‐  Tamam.  Tüm  yeni  çalışanlarımızı  beklemedikleri  e-­‐posta  eklerini  açmalarının  oluşturacağı  tehlikelere  karşı  uyarmak  istiyoruz.  Pek  çok  solucan  ve  virüsler  ortalıkta  geziniyor  ve  tanıdığınız  insanlardan  geliyor  gibi  görünen  e-­‐posta  eklerinde  geliyorlar.  Bu  yüzden  beklemediğiniz  bir  ekli  e-­‐posta  alırsanız,  gönderici  olarak  görünen  kişinin  mesajı  size  gerçekten  gönderip  göndermediğini  her  zaman  kontrol  edip  emin  olmalısınız.  Anlıyor  musunuz?  -­‐  Evet,  bunu  duymuştum.  -­‐  İyi.  Uygulama  her  doksan  günde  bir  parolanızı  değiştirmeniz  şeklinde.  Parolanızı  en  son  ne  zaman  değiştirdiniz?  -­‐  Yalnızca  üç  haftadır  burada  çalışıyorum  ve  daha  ilk  aldığım  şifreyi  kullanıyorum.  -­‐  Tamam,  bu  iyi.  Doksan  gün  dolana  kadar  bekleyebilirsin.  Ama  insanların  tahmin  edilmesi  kolay  olmayan  şifreler  kullandığından  emin  olmak  istiyoruz.  Hem  sayı  hem  de  harf  içeren  şifreler  mi  kullanıyorsunuz?  -­‐  Hayır.  -­‐  Bunu  düzeltmeliyiz.  Şu  anda  kullandığınız  şifre  nedir?  -­‐  Kızımın  adı,  Anette.  -­‐  Bu  çok  güvenli  bir  şifre  değil.  Hiçbir  zaman  aile  bilgilerinize  dayanan  şifreler  seçmemelisiniz.  Peki...  benim  yaptığımın  aynısını  yapabilirsiniz.  Şifrenizin  bir  parçası  olarak  şu  anda  kullandığınızı  kullanmanızın  bir  sakıncası  yok  ama  her  değiştirdiğinizde  içinde  bulunduğunuz  ayın  sayısını  ekleyin.  -­‐  Bunu  şimdi  yapsam,  yani  Mart  için,  üç  mü  kullanmalıyım,  sıfır-­‐üç  mü?  -­‐  Nasıl  isterseniz.  Hangisi  sizin  için  daha  rahat  olur?  -­‐  Sanırım  Anette-­‐üç  -­‐  İyi.  Değişikliğin  nasıl  yapılacağı  konusunda  size  yardımcı  olmamı  ister  misiniz?  -­‐  Hayır,  nasıl  yapılacağını  biliyorum.  -­‐  Güzel.  Söylemem  gereken  bir  şey  daha  var.  Bilgisayarınızda  bir  virüs  koruma  yazılımı  var  ve  onu  güncel  tutmanız  önemli.  Arada  bir  bilgisayarınız  yavaşladığında  bile  otomatik  güncellemeyi  devre  dışı  bırakmamalısınız.  Tamam  mı?  -­‐  Elbette.  -­‐  Çok  iyi.  Bilgisayarla  ilgili  bir  sorununuz  olduğunda  aramanız  için  buranın  telefon  numarası  sizde  var  mı?    (Kevin  Mitnick,  Aldatma  Sanatı,  s.57-­‐58)    

¡  Omuz  sörfü:  Şifre  yazılırken  ya  da  erişim  kısıtlı  sistemlere  erişilirken  saldırılanın  izlenmesi,    

¡  Çöp  karıştırmak:  Çöpe  atılmış  disket,  CD,  post-­‐it,  not  kağıdı  gibi,  hassas  bilgi  içerebilecek  eşyaları  incelemek,    

¡  Eski  donanımları  kurcalamak:  Hurdaya  çıkmış,  ikinci  el  satış  sitelerinde  satışa  sunulmuş,  çöpe  atılmış,  kullanılmadığı  için  hibe  edilmiş  donanımın  içeriğini  incelemek  

¡  Çalınabilir  &  Kaybolabilir  §  Laptop’larınızı  boot  sırasında  şifre  soracak  şekilde  yapılandırabilirsiniz  

§  Disk  şifreleme  çözümlerinden  birisi  ile  disklerinizi  şifreleyebilirsiniz  

¡  Zararlı  Kod  Bulaşabilir  §  Şirket  network’üne  bağlı  olmadığı  durumda  dahi  devrede  olacak  antivirüs&antispyware  yazılımı  ve  firewall  olsun  

¡  Zararlı  programların  bilgisayarlarınıza  bulaşmaması  ve  bilgisayarınıza  zarar  vermemesi  için  mutlaka  bilgisayarınızda  bir  antivirüs  programı  yüklü  olsun.  

¡  Antivirüs  programınız,  bilgisayarınız  açık  olduğu  sürece  çalışır  durumda  olsun.  

¡  Antivirüs  programını  güncel  tutun.  

 

¡  Tanımadığınız  kişileri  kişi  listenize  eklemeyin.  

¡  Kişi  listenizdeki  birisi  tarafından  gönderiliyor  olsa  bile  tam  olarak  içeriğinden  emin  olmadığınız  hiç  bir  dosyayı  kabul  etmeyin.  

¡  Sohbet  ortamı  üzerinden  hiç  bir  şekilde  kullanıcı  adı  ve  şifrelerinizi  başkalarıyla  paylaşmayın.  

¡  Sohbet  ortamında  ilk  defa  tanıştığınız  kişilerin  yalan  konuşabileceğini  unutmayın.  

¡  İnternet  Cafe’lerdeki  bilgisayarlarda  sizin  kritik  bilgilerinizi  çalmaya  yönelik  kurulmuş  ve  sizin  yazdığınız  karakterleri  ve  girdiğiniz  sayfaları  kaydeden  zararlı    programlar  yada  donanımlar  yüklü  olabilir  (keylogger)  

¡  Hiç  bir  şekilde  aşağıdaki  bilgileri  internet  cafe’lerdeki  bilgisayarlarda  girmeyin;  §  İnternet  bankacılığı  bilgileri  §  Kredi  kartı  bilgileri  §  Kritik  e-­‐posta  hesabı  bilgileri  §  Ve  ele  geçirilmesi  durumunda  sizi            zarara  uğratabilecek  diğer  bilgiler.