Ortaçağ skolastik düşünce sisteminin terkedilmesiyle birlikte, hızla gelişen teknoloji sanayi devrimini doğurmuş ve bunun doğal bir sonucu olarak ta insanlık yepyeni bir bilgi çağına adım atmıştır. İlerleyen yıllarda iletişim teknolojilerinin sürekli artan bir ivmeyle gelişmesi sonucunda bilgi ve bilginin güncelliği insan yaşamındaki en önemli unsur haline dönüşmüştür.
Daha önceki çağlarda dünyanın farklı yerlerinde yaşayan insanlar atlı haberci, posta güvercini gibi hız ve güvenlik açısından zayıf yöntemlerle iletişim sağlarken, 19. yüzyılın ikinci yarısından itibaren telgraf ve telefon gibi daha pratik ve hızlı iletişim yöntemleri geliştirilmiştir. Teknolojik gelişim bunlarla da yetinmemiş geçtiğimiz asırda insanoğlu tarihindeki en büyük ilerlemeleri kaydetmiştir. Radyo ve televizyon kullanımı ile gelişen bilgi çağı uydu iletişimi, mobil telefonlar ve nihayet internetin hayatımıza girmesiyle birlikte insanoğlunu hayallerinin ötesinde bir hızlı iletişime ve bilgi paylaşımına sürüklemiştir.
Özellikle internetin kullanımı, insanların dünyanın diğer bir ucundaki bilgiye çok kısa bir zamanda ve özgürce ulaşmasına olanak tanımıştır. İnternet kullanımının bu denli yaygınlaşması sonucu ortaya çıkabilecek uyumsuzluğu ve kaosu ortadan kaldırmak için, bir takım standartların geliştirilmesi de kaçınılmaz hale gelmiştir. TCP/IP protokolü internet bağlantılarını dünya çapında belli bir standarda oturtan bir sistem olarak karşımıza çıkmış ve hızla yayılmıştır. Daha önceleri akademik ve eğlence amaçlı kullanılan bu yeni teknoloji, zamanla iş dünyasının da kaçınılmaz bir parçası haline gelmiş ve dünyanın her köşesindeki firmalar büyük bir hızla kendini internete adapte etmeye başlamışlardır.
Elbette ki internetin bu denli yaygın kullanımı bir takım art niyetli kişilerin de dikkatini çekmiş ve eskiden açık denizlerde ticaret gemilerini avlayan korsanların teknolojik versiyonu olan internet korsanları “hacker” türemiştir. İnternet üzerindeki veriler herhangi bir korumaya tabi tutulmadan çıplak olarak aktığı için, bu verilerin istenmeyen kişiler tarafından ele geçirilmesi işten bile değildir. Ayrıca TCP/IP protokolünün tasarım yönünden sahip olduğu güvenlik zaafı tehlikeyi artırmaktadır.
Dünyada en yaygın olarak kullanılan işletim sistemi olan MS Windows’un güvenlik ayarları korsanlara karşı korunma için yeterli olamamaktadır. Ayrıca tüm dünyada kullanılan güvenlik duvarları(firewall), virüs tarayıcıları, şifreleme araçları gibi çok sayıda güvenlik programı PC’leri sürekli kontrol altında tutmak ve bu şekilde tüm saldırılara karşı güvenli kılmak şeklinde bir görev üstlense de, maalesef bu konuda yetersiz kalmaktadırlar. Zira, işinde uzmanlaşmış bir hacker, gerekli gördüğü her sisteme sızabilmektedir.
E-posta bombardımanları, truva atları, web hijacking ve hatta alışılagelmiş basit ve küçük aldatma hileleri… Konfigürasyonu kötü yapılmış güvenlik duvarları ve güvenlik güncellemelerindeki eksiklikler, bilgisayarları saldırganlara kendi elleriyle teslim etmektedirler. Her türlü saldırıya karşı önlem aldığını düşünen kullanıcılar, birçok kez hayal kırıklığına uğrayabilmektedirler. Bunun en güncel örneği Norton Antivirus 2004 vakasıdır. Symantec’in yazılım güncelleme aracı “Live Update“in sahip olduğu bir güvenlik açığı sayesinde, saldırganlar PC üzerinde yönetici haklarına sahip olabilmektedirler. İşte size internet denizinin köpek balıkları için keşfedilmiş büyük bir besin kaynağı.1
Korsanlar ve köpekbalıkları cephesinde gelişmeler çok büyük bir hızla yaşanırken, güvenlik ile ilgili çalışmalar çok yavaş bir tempoda devam etmektedir. Güvenlik konusunda ulaşılan nokta henüz arzulanan düzeye gelememiştir. Yine de internet üzerinde güvenliğin sağlanması için bir takım yöntemler vardır. İnternette güvenlik; internet aracılığı ile bir yerden bir yere akan verilerin gideceği yere doğru, bozulmamış, başkaları tarafından ele geçirilmemiş ve silinmemiş bir halde ulaşmasıyla sağlanır. Verilerin istenilen yere bu şekilde ulaşması için izlenmesi ve alınması gereken bir takım önlemler vardır. Bu önlemler güvenli ağ katmansal yaklaşımı ile sağlanabilir. Bu da pek çok güvenlik konusunu dikkate almayı gerektirir. Bunun için de güvenlikte dikkate alınması gerekli noktaları sıralayacak olursak ;
Güvenlik politikası: Bir kurumda tam anlamı ile tanımlanmış ve belgelenmiş bir güvenlik politikası yok ise, veya varolan politika her kademedeki kullanıcıya sistemli bir eğitim ile aktarılmamış ise, ve bu politikanın uygulanışı tarafsız bir kişi veya kurum tarafından düzenli kontrollerle denetlenmiyor ise, ne kadar sıkı önlem alınırsa alınsın, en alt düzeyde görevlinin yapacağı basit bir hata güvenliği tümüyle tehlikeye atabilir.
Programlanmış tehlikeler ve güvenlik duvarları: Dışarıdan gelecek her türlü virüs, truva atı, solucan vb. saldırılarını önlemek için güvenlik duvarlarına (Firewalls) ek olarak, yeni üreyen virüslere karşı sürekli güncelleştirilen virüs bekçileri kullanmak gerekir. Bugün iki saatte bir yeni bir virüs üretildiği düşünülür ise, bu güncelleştirmenin ne kadar önemli olduğu ortaya çıkacaktır.
Ancak kurumlar için güvenlik duvarlarının ne kadar önemli ve yararlı olduğunun pek çok kişi ve kurum tarafından bilinmesine karşın, yapılan anket çalışmaları kurumların halen % 50 sinin güvenlik duvarına sahip olmadığını göstermiştir.
Ağ ve sistem kuruluşu: Kullanım amaçlarına göre pek çok farklı ağ kurulumu gerçekleştirmek olasıdır. Bu ağ kurulumları gerçekleştirilirken kurumun kendisine en uygun olan ve güvenliği en iyi sağlayabileceği ağ yapısını kullanması çok önemlidir.
İşletim sistemleri: Servis sağlayan işletim sistemleri, çok karmaşık ve çok esnek yapıya sahiptir. Çok sayıda servis ise dışarıdan gelen saldırılara çok sayıda açık kapı demektir.
Örneğin UNIX ve Windows için halen daha pek çok saldırıya açık deliklerin bulunduğunu söylemek yanlış olmayacaktır. Bu nedenle işletim sistemlerinde internete bağımlı servislerle, File Transfer Protocol (FTP) ve Telnet gibi uygulamalarda çok dikkatli olunması gerekmektedir. Böyle durumlarda güvenlik duvarları kullanmak gerekli bir yöntemdir.
Bu özellikler internet güvenliğinin sağlanması için temel oluşturmaktadır. Bunların dışında birçok güvenlik tedbirlerinin alınması da gerekmektedir. Kullanıcıların dikkatli ve ne yaptığını bilen kişiler olması güvenliği tehdit eden unsurların gücünü olabildiğince azaltacaktır. İnternette güvenlik ilk önce kullanıcı tarafından sonrada sistemin bizlere sunduğu özelliklerden yararlanılarak sağlanabilir.
Nasıl bir zincirin gücü en zayıf halkası ile temsil edilir ise bir sistemin güvenliğinin gücü de o sistemin en zayıf noktası ile belirlenir. İngilizlerin deyimiyle “You are as strong as your weakest unit“. Yani “En zayıf biriminiz kadar güçlüsünüz“.
Kuzey Kore’nin Hyungsan bölgesindeki dağlarda, askeri bir akademi 100 siber-asker eğitiyor. Neredeyse 20 yıldan beri var olan bu okulun temel hedefi, kendisini siber dünyada savaş vermeye adamış kalifiye hackerlar yetiştirmektir. Mirim Koleji olarak bilinen bu yerden mezun olanlar, tanınmış virüsler yazmaktan, en uç güvenlik önlemlerine sahip networklere ulaşmaya kadar her şeyi öğrenerek mezun oluyorlar.2
Dünyadaki bir çok gelişmiş ve gelişmekte olan ülkede internet güvenliği konusunda çok ciddi araştırmalar ve çalışmalar yapılırken, ülkemizde bir çok bilişim şirketi güvenliği halen fiziksel zararlardan korunma olarak algılıyorlar. Birçok şirket kapısında koruma görevlisi çalıştırırken, asıl maddi gelir elde ettiği bilişim sistemleri için herhangi bir güvenlik personeli istihdam etmekten kaçınmaktadır. Oysa bu konuda, Türkiye’de, dünya çapında adı duyulmuş şirketlerden bile daha kaliteli hizmet sunan güvenlik şirketleri bulunmaktadır. Durumun ortaya çıkarabileceği tehlike, kopan bir fiber optik kablodan daha sıkıntılı bir internet ortamı yaratacaktır.3
Farklılık ve rekabet avantajı sağlayan entellektüel varlıklar, organizasyonlar için çok değerlidir. Birçok varlığın kaybedilmesi durumunda bunlar kolaylıkla telafi edilebilirken, organizasyonların yaşam deneyimlerini de yansıtan “bilgi” para karşılığı kolaylıkla yerine konamamaktadır. Bilgiyi korumak, bilginin güvenliğini sağlamak artık zorunludur; eskiden olduğu gibi güvenlik sadece “ek” bir yatırım olarak değerlendirilmemelidir. Bir bilgi sistemi, hatta geniş bakış açısıyla bir organizasyon tasarlanırken, bilgi güvenliği de düşünülerek bu konu çözümlerin içine gömülmelidir ve temel hedefler arasında bulunmalıdır.
Bir organizasyonun “bilgi sistemine” yönelik güvenlik tehdidi çoğu zaman iş kalitesine ve verimliliğine yönelik tehdide dönüşmektedir. İşte bu noktada, bir akıllı sistemi kurgularken, bilgi güvenliğini sağlamaya yönelik çözümleri de kontrol listesi içinde bulundurmak, çözümün içine gömmek günümüzde vazgeçilemez olmuştur. Çünkü bilgi güvenliği en basit tanımıyla, “iş”inizi kesintiye uğratmaksızın devam ettirmenizi garantileyecek önlemlerin bir bütünüdür.
Güvenlik yolculuğunun ilk adımı, ilgili riskleri ve gereksinimleri doğru saptamaktır. Güvenlik konusunda, en optimum çözümlere karar verilebilmesi, Nelerin?, Ne derecede?, Neye karşı? ve Nasıl? korunması gerektiğinin bilinmesi ile mümkündür. Bu, “güvenlik değerlendirmesi” sürecidir.
Hep adreslendiğinin aksine, bilgi güvenliği sadece bir bilgi teknolojisi ya da yine yaygın söylemle bilgi sistemleri işi değildir; kurumun her bir çalışanının katkısını ve katılımını gerektirir. Ciddi boyutta bir kurum kültürü değişimi gerektirdiği için, en başta yönetimin onayı, katılımı ve desteği şarttır. Bilgi teknolojilerinin gerekli gördüğü ve uyguladığı teknik güvenlik çözümleri, tasarlanmış iş süreçleri ve politikalarla desteklenmemiş ve kurum kültürüne yansıtılmamışsa etkisiz kalacaklardır. Gerekli inanç ve motivasyon yaratılamamışsa, çalışanlar şifrelerini korumakta özensiz, hassas alanlarda gördükleri yabancı kişilere karşı aldırmaz ve kâğıt çöpüne gerekli imha işlemini yapmadan atacakları bilgilerin değeri konusunda dikkatsiz olabilecekler ve yapılan güvenlik yatırımlarına karşın büyük bir açık oluşturmaya devam edebileceklerdir. Yüzde yüz güvenlik sağlamanın mümkün olmadığı bilinir. Bu döngünün amacı, caydırıcı, önleyici, düzeltici ve algılayıcı kontrollerle riskleri, tehditleri, açıkları ve işimize etkilerini önemli ve kabul edilebilir ölçüde azaltmaktır.
Bu konunun uzmanlarından Mehmet Güven’in : “Saldırının nereden ve nasıl geleceğini bilmeyen hiçbir kimse savunma yapamaz“4 saptamasında olduğu gibi, hackerden öte olayları algılayabilen ve müdahale edebilen güvenlik uzmanlarına da ihtiyacımız vardır. Bu yetenek ve bilgi birikimine sahip elemanların yetiştirilmesi ve şirketlerde bilişim sistemlerinde görev yapması hayati önem taşımaktadır.
Yararlanılan Kaynaklar:
1. 2004 Hacker Raporu, Chip Bilgisayar Dergisi, Nisan 2004, s.44
2. Web Sayfaları Nasıl Hack’leniyor? , PCWorld Bilgisayar Dergisi, Eylül 2003, s.28,30
3. Kuzey Kore’de Hacker okulu , PCWorld Bilgisayar Dergisi, Temmuz 2003, s.18
4. Mehmet Güven, İnternette Güvenlik ve Hacker Cracker Meselesi, Grafiker Yayınları, Ankara, Ağustos 2004, s.kapak.
Hazırlayan: Günay ŞATANA
Bağlantılı Yazılar:
[...] http://www.kolaytest.web.tr/kopekbaligi-havuzu-internet.html linkini tıklayınca http://www.gunaysatana.com/kopekbaligi-havuzu-internet.html sayfasına [...]