Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.

Kisisel Bilgi Guvenligi by Cagri POLAT

211 Aufrufe

Veröffentlicht am

26 Mayıs 2016 da İzmir Çevre Mühendisleri Odasında Siber Güvenlik Uzmanı Çağrı POLAT tarafından yapılan "Kişisel Bilgi Güvenliği" sunumudur.

Veröffentlicht in: Internet
  • Als Erste(r) kommentieren

Kisisel Bilgi Guvenligi by Cagri POLAT

  1. 1. Kişisel Bilgi Güvenliği Kurum: ÇMO İzmir Şubesi Tarih: 26.05.2016 Saat: 19:00 – 21:00
  2. 2. Firma / Şehir: Era Sistem Bilişim ve Danışmanlık Hizmetleri, İzmir Görevi: Siber Güvenlik Uzmanı / Danışmanı / Eğitmeni ISO 27001 Baş Denetçi & Danışman İzmir Hukuk Mahkemeleri Yeminli Bilirkişi Eğitim: Doktora: Bilgisayar Mühendisliği (DEU, Devam Ediyor..) Yüksek Lisans: Bilgisayar Mühendisliği (DEU,2016) Lisans: İşletme Fakültesi (Anadolu,2010) Lisans: Elektrik-Elektronik Mühendisliği (Anadolu,2004) Sertifikalar: MCSE+S & CEH (Eğitmen) ISO 27001 Baş Denetçi Mail / Telefon: cagripolat@erasistem.net Sosyal Medya: https://tr.linkedin.com/in/cagripolat Çağrı POLAT
  3. 3. İçerik - Bilgi Güvenliği Nedir? - Kişisel Güvenlik Zafiyetleri Örneklerle Nelerdir? - E-Mail, Banka Uygulamaları ve Sosyal Medya Hesaplarının Güvenliği Nasıl Alınır? - Mobil Cihaz Güvenliği Nasıl Alınır? - Kurumsal Güvenlik Tehditleri ve Alınması Gereken Temel Önlemler - Türkiye' de Bilgi Güvenliğinde neredeyiz? - Sorular Kişisel Bilgi Güvenliği
  4. 4. Bilgi Güvenliğine Giriş / Genel Bilgiler ISO 27002:2005 Bilgi Güvenliği’ ni aşağıdakilerin şekilde tanımlar: - Gizlilik - Bütünlük - Erişilebilirlik
  5. 5. Bir sistemdeki Güvenlik seviyesi 3 bileşenin birbiri ile olan ilişkisine bağlıdır:
  6. 6. Zafiyet:Bir zayıflık veya uygalama hatasının var olması ve bunun beklenmeyen sistemsel güvenlik sıkıntıları ve olaylara neden olmasıdır, bir başka değişle güvenlik açıklarıdır. İstismar:Güvenlik açıkları yoluyla BT sistem güvenliği ihlali 0. Gün Saldırısı: Yazılımda bir zayıflığın keşfedildiği gün gerçekleşir. Bu noktada, geliştirici tarafından bir düzeltme sunulamadan önce bu zayıflıktan faydalanılır. Saldırı = Motivasyon (Hedef) + Method + Zafiyet - Ticari sürekliliğin kesilmesi - Bilgi hırsızlığı - Veri manipülasyonu - Dini veya politik inançları yayma - Öç alma - Askeri kaynaklara olan tehditler - Hedefin itibarını zedeleme - Güç gösterisi
  7. 7. Hackleme nedir? Hackleme, sistem zafiyetlerinin istismar edilerek sistemlere/hesaplara yetkisiz erişim sağlama işlemidir. (sistemleri değiştirme ve veri çalma vb.) Güvenlik ihlalleri bir firmada şunlara neden olmaktadır: - İtibar kaybı (HSBC Türkiye!) - Finansal kayıp - Gizli bilgilerin kaybolması - Müşteri güveninin kaybolması - Ticari kesintilere - vb. SONUÇ OLARAK: ->Bilgi güvenliği IT birimi dışında organizasyonel bir sorundur. ->Tehlikelerin %60’ ın dan fazlası içerden gelmektedir. ->Bilgi Güvenliği için en büyük tehlike ve en zayıf halka insandır. ->Sosyal mühendislik saldırıları çok büyük tehlikedir.
  8. 8. Hacker kimdir? Hackleme eylemini yapan, teknik bilgisi olan kişilerdir. Hacker Türleri? Siyah şapkalılar Beyaz şapkalılar Gri şapkalılar Siber Teröristler Devlet Sponsorlu Hackerlar Hacktivistler
  9. 9. Kişisel Güvenlik Zafiyetleri Örneklerle Nelerdir? - İnsan Zafiyetleri ile Gelen Tehditler - Zararlı Yazılım Tehditleri - Sosyal Mühendislik Tehditleri - Sözlük ve Kaba Kuvvet Saldırıları Nedir? - Kablosuz Ağlarda Güvenlik Tehditleri Güçlü Şifreyi Nasıl Seçmeliyiz?
  10. 10. İnsan Zafiyetleri ile Gelen Tehditler - Telefon ve Bilgisayarlarda eski işletim sistemlerinin kullanılması - Cihazlarda yazılımsal ve donanımsal Firewall ve Antivirus gibi güvenlik ürünlerinin kullanılmaması - Bilgisayarlarda taşınabilir medyaya izin verilmesi - Basit ayarların yapılmaması ile oluşan tehditler - Cihazlarda ve servislerde kullanılan zayıf ve varsayılan şifreler - İşletim sistemi ve yazılımlarda eksik yama ve güncellenmeme sorunu - Güvenli olmayan protokol ve iletişimin kullanılması (HTTP, POP ve SMTP vb.) - Bilgisayarlara yetkisiz erişim sağlanması - Tüm servislerde aynı şifrenin kullanılması - Güvenilmeyen kaynaklardan dosya indirme ve yükleme - SPAM ve oltalama maillere tıklama vb. hareketler
  11. 11. Telefon ve Bilgisayarlarda Eski İşletim Sistemlerinin Kullanılması - Bilgisayarlar Windows XP ve Server 2003 işletim sistemi kullanma ürün desteği sona erdiği için çok riskli ve tehlikelidir. - Telefon ve tabletler de eski işletim sistemleri ve uygulamalar güncellenmediği için zafiyetler barındırmaktadır. - Halen kurumsal ve bireysel olarak ciddi şekilde bu cihazlar her yerde kullanılmaktadır. - Lisanssız hiçbir ürün kullanılmamalı ve sistemlerde tutulmamalıdır. Bu yüzden; Cihazlarda desteklenen en güncel, lisanslı ve en güvenli işletim sistemleri seçilmelidir.
  12. 12. Cihazlarda Firewall ve Antivirus gibi Güvenlik Önlemlerinin Kullanılmaması - Bu güvenlik önlemleri %100 güvenliği sağlayamasa da sistemlerde kesinlikle olmalı - Kullanılan bilgisayarlarda güvenlik duvarı açık olmalıdır - Windows defender gibi yapılar açık, güncel olmalı ve sistemde çalışmalıdır - Tüm güvenlik ürünleri güncel olmalı ve anlık koruma sağlamalıdır - Bu ürünler taşınabilir diskler sisteme takıldığında anlık olarak tarama yapabilmelidir - Cihazlarda işlemler yönetici hesapla yapılmamalıdır Bu ürünlerin kullanılması herşeyi engellemez ama kullanılmaması sizi ciddi risklerle karşı karşıya bırakacaktır. Kesinlikle lisanslı, antivirüs yazılımı edinilmeli ve kişisel firewall’ lar açık olmalıdır..
  13. 13. Bilgisayarlarda taşınabilir medyaya(Flash Disk vb.) izin verilmesi: - 5 sn içinde tüm datalarınız şifrelenip, ağdaki tüm cihazlara sıçrayabilir - Saldırgan daha sonra tekrar saldırmak için kendisine bir arka kapı yaratıyor olabilir - Verilerin kopyalaması ve silinmesi mümkün - Eğer yerel yönetici ise girilmiş tüm şifreleri kolaylıkla alınabilir - Autorun özelliği aktif mi? Kullanılmadan önce anti virüs ile taratılıyor mu? - Kişisel yedekler alınıyor mu, en son ne zaman verilerin yedeği alındı? Bu yüzden; Bilgisayarı yerel yönetici hakkı ile açılmaması tavsiye edilmektedir ve bir flash disk ile sistemdeki bütün dosyaların zarar göreceği gerçeği hiç unutulmamalıdır.
  14. 14. Basit Ayarların Yapılmaması ile Oluşan Tehditler - Bilinen dosya türleri için uzantıları gizle ayarı aktif mi? - Taşınabilir diskler otomatik açılıp, çalıştırılmamalı.. - Önceki sürümler özelliği ve gölge kopya servisi sisteminizde açık olmalı - Ayın bir günü sistem geri yükleme noktası otomatik olarak oluşturulmalı - Güncellemeler otomatik, alınıp yüklenmeli - Açılışta başlayan programların farkında mıyız? (msconfig) - Zamanlanmış görevlerin farkında mıyız? (Conficker solucanı!) - Varsayılan olarak açılan paylaşımların farkında mıyız? (net share) - Cihazınızı yönetici hesabı yerine normal yetkisiz bir hesap ile çalıştırmalısınız! - Kullanıcı hesap denetimi kısmı açık olmalı (UAC hemen ilk kapatılır) fatura.pdf.exe anlaşılamıyor!
  15. 15. Cihazlarda ve Servislerde Kullanılan Zayıf ve Varsayılan Şifreler - Basit şifreler hemen kırılır! - Bir servisin varsayılan şifresi herkes tarafından bilinir ve hemen denenerek kırılır! (Airties modem, kamera yönetici hesapları vb.) - Kablosuz ağın şifresinin ağ adı ile (SSID) aynı olması - Maillerde ve sosyal medyada şifrelerin aşağıdaki gibi kullanılması: • 6 karekter aşağısında sadece sayı veya harf kullanımı • Aynı şifrelerin farklı servislerde kullanılması • Çoklu doğrulama mekanizmasının kullanılmaması (şifre + SMS) • Düzenli aralıklarla şifrelerin değiştirilmemesi • Şifrelerin bir yere açık şekilde not edilmesi( not defteri, ajanda, maile) • Şifrelerin başkaları ile paylaşılması • İnternet CAFE ve benzeri kamu ağlarından şifre girilmesi
  16. 16. - Kesinlikle varsayılan şifreler değiştirilmelidir. (ağ yazıcısı, modem, kablosuz erişim noktası, router, telefon vb.) *WPS durumu aktif! *Varsayılan olarak kurulan TTnet, Superonline ve Uydu Net Modemler ve kablosuz ağlar!
  17. 17. İşletim Sistemi ve Yazılımlarda Eksik Yama ve Güncellenmeme Sorunu - Muhtemel istismarlar yazılım ve işletim sistemleri güncellemesi ile kapatılıyor. - Kullanılan cihazlar en güncel ve yamaları geçilmiş şekilde kullanılmalıdır. - 3. parti yazılımlar (tarayıcı, adobe ürünleri, java ürünleri vb.) en güncel sürümleri ile kullanılmalıdır. - Sahte güncelleme ekranlarına dikkat!
  18. 18. Güvenli Olmayan Protokol ve iletişimin Kullanılması - İstismara açık protokollerin kullanılması (HTTP, POP ve SMTP vb.) şifre ve içeriğin açık yazı olarak gitmesine ve kötü niyetli birileri tarafından bu veriler rahatlıkla elde edilir. - HTTP, FTP, SMTP, POP3, TELNET vb. - Bu protokoller yerine güvenli olan HTTPS, SFTP, SSH, POP3S protokoller kullanılmalıdır. - Yandaki görselin tarayıcı da görülmesi güvenli bağlantı için olmalıdır. - http ile başlayan sitelere veri girişi (şifre, tc kimlik no, mail vb.) rahatlıkla toplanabilir. - Sertifika sorunu olan sitelerde gezinme/dolaşma..
  19. 19. Bilgisayarlara/Mobil Cihazalara Yetkisiz Erişim Sağlanması - Bilgisayarlara yetkisiz erişen bir kişi 10 sn de tüm şifreleri ele geçirebilir. - Ortak bilgisayarlarda kullanıcılara kesinlikle yönetici yetki izni verilmemesi gerekmektedir. - Ortak bilgisayarlardan özel veri girişi (banka, mail, sosyal hesaplar vb.) yapılmamalıdır. - Takılacak ufak bir donanım veya yüklenecek bir yazılım ile cihazdan veriler belirli aralıklarla, mail ile tüm veri girişi ve fotoğraf, ses ve kamera görüntüsünün sızdırılması mümkündür.. Tüm Servislerde Aynı Şifrenin Kullanılması - Bir servisteki şifrenin açığa çıkması ile birkaç yerden hesap ele geçirimesine neden olur. - Her servis kendine özel, karmaşık şifre ile çoklu güvenlik mekanizması ile kullanılmalıdır. - Gmail, Dropbox ve sosyal medya platformlarının şifre + SMS gibi çoklu güvenlik mekanizması ile kullanılması önerilmektedir.
  20. 20. Güvenilmeyen Kaynaklardan Dosya İndirme ve Yükleme - Bu yazılımlara zararlı bir kod veya uygulama eklenmesi mümkündür. - Bu indirmelerle cihaz tamamen şifrelenebilir, hareketleriniz sızdırılabilir ve hesaplarınız elinizden uçabilir. - İndirilecek dosyalar orijinal sitesinden indirilerek, anti virüs yazılımı ile kontrol edilip sisteme kurulmalıdır. SPAM ve Oltalama Maillere Tıklama ve vb. Hareketler - Oltalama maillerini açmadan silmeniz iyi olacaktır. - Tanımadığınız kişilerden gelen mailleri direk silmeniz iyi olacaktır. - Ek ile gelen doc, pdf ve diğer tüm dosyalar açılmadan silinmelidir. - Mailin sizi yönlendirdiği hiçbir adrese veri girişi(banka verileri vb.) yapılmamalıdır.
  21. 21. Zararlı Yazılım Tehditleri - Virüs, Truva atı, solucan, fidye yazılımı vb. - Tamamen engellenemese de antivirüs yazılımları kullanılmalı - Anti virüs’ ün anlık koruması açık olmalı - Tüm ürünler güncel olmalı - Sistemde belirli aralıklar ile geri dönüşüm noktaları oluşturulmalı - Özel veriler(fotoğraflar, mailler, dosyalar vb.) sürekli yedeklenmeli Fidye yazılımı(Ransomware) nedir?
  22. 22. - E-mail ekinden, zararlı bir siteden indirilen dosyadan veya enfekte olmuş dosyaya tıklama ile kapılıyor - Ayrıca Java, Adobe Reader, Flash gibi fake güncellemelerle de bulaşabiliyor - Bir trojan gibi yayılıyor - Tüm data uzantılarını şifreleyebiliyor - Network map edilmiş disklere dahil yürüyebiliyor - Windows XP, Vista, 7, 8, 10, serverlar, Linux, Mac de aktif - Fatura.pdf.exe! Ve ikonu pdf şeklinde.. - Verileri gelişi güzel bir 256bit AES key ile, Bu anahtarı RSA-2048 ile şifreliyor ve gizli bir kanaldan private anahtarı yönetim merkezine iletiyor - 500$-800$ arasında meblağı Bitcoin olarak TOR üzerinden istiyorlar - Süre veriliyor ödeme olmazsa key şifresi silinebiliyor, daha önceki ödemeler ifadesi var! Cryptorbit Fidye Zararlısı Cryptolocker Fidye Zararlısı CryptoDefense Fidye Zararlısı CryptoWall Fidye Zararlısı Police-themed Fidye Zararlısı Locky Fidye Zararlısı
  23. 23. Javascript Fidye Zararlısı: RaaS olarak Ransom32 Mac Fidye Zararlısı: KeRanger
  24. 24. Sosyal Mühendislik Tehditleri Sosyal Mühendislik nedir? Sosyal Mühendislik gizli bilgileri ortaya çıkarmak için insanları ikna sanatıdır. Hedef Kimler? Sistem yöneticileri, üst düzey yönetcileri, IT çalışanları, yardım sever personeller ve herkes! Sosyal Mühendislik saldırıları neden etkili? - İnsan doğası: Güvenme! - İnsan güvenlik zincirindeki en zayıf ve şüpheli faktördür. - Bu tarz saldırıları tespit etme diğerlerinden daha zordur. - Bu ataklardan tamamen kurtulmak için bir method yok. - Bu atakları %100 engelleyen donanım veya yazılım çözümü yok. EĞİTİM, EĞİTİM, EĞİTİM...Sosyal Mühendislik saldırılarına en etkin çözüm:
  25. 25. Sosyal Mühendislik Saldırı Fazları: - Hedef firma hakkında araştırma (Çöp karıştırma, web site, çalışanlar, LinkedIn vb.) - Kurbanın seçilmesi (Hoşnutsuz ve mutsuzçalışan!) - İlgili kişi ile ile ilişkinin kurulması ve geliştirilmesi - İlişkinin istismar edilmesi Sosyal Mühendislik Saldırı Türleri: - İnsan Tabanlı (Gizli dinleme, Omuz sörfü, Çöp karıştırma, Sırtında taşıma, Kapı tutma) - Bilgisayar Tabanlı (Oltalama, Hedefli oltalama, Ses ile oltalama, Zaralı mobil uygulamaları ile) En Tehlikelisi: İçerden saldırılar ve hoşnutsuz / mutsuz çalışanlar!
  26. 26. Olası Senaryolar Saldırgan: Bir proje yetiştirmesi gerektiği ve şifresini unuttuğunu bilgi işlemdeki sorumlu arkadaşa iletir Çalışan: Bir daha olmaması gerektiğini ileterek şifreyi sıfırlar ve telefonda! Kullanıcıya iletir. Sonuç: Bu işlemler hangi prosedüre göre işliyor! Saldırgan: Teknik servisten aradığını ve yeni sunucu geçişi yaptıklarını iletir. Sistemlerin yavaş olup olmadığı sorulur? Çalışan: Bir yavaşlığın her zaman ki gibi olduğunu iletir! Saldırgan: Yeni sunucu geçişi yaptıklarını ve eğer isterse şifresini vererek hız testi yapabileceğini iletir. Sonuç: Şifre kolaylıkla ele geçirilir.. *Bilgisayardaki tüm yazışma ve verileri almak için kasanın arkasına takılabilecek 30$ lık bir cihaz ile mümkün! Kurum ve kuruluşlarda güvenlik politikaları oluşturulmalı ve uygulanmalıdır *İşten ayrılan ve mutsuz çalışanlara dikkat!
  27. 27. Diplomalar, Faturalar, Sertifikalar, Tüm belgeler->Sosyal Medya' ya yükleniyor..
  28. 28. Oltalama Maili
  29. 29. Giriş bilgilerini toplamak için sahte siteler *Adres çubuğunda eğer IP yer alıyorsa, hiçbir bilgi bu sitelere girilmemelidir. *Kısaltılmış URL lere dikkat(bit.ly, goo.gl vb.) *Adreste https görülmeyen sitelere girilen şifreler toplanabilir..
  30. 30. Sözlük ve Kaba Kuvvet Saldırıları Nedir? - Kaba kuvvet saldırıları, şifreleri çözmek için olası tüm denemelerin yapılarak şifreyi kırılmasına çalışıldığı saldırı türüdür. - Şifreleri çözmek için bir listesinin yapılarak o listede var olan tüm şifrelerin denenmesi yoluyla yapılan saldırı türleridir. ÖNERİLER: - Kamuya açık yerlerde (kritik) şifrelerin girilmemesi - Şifrenin ne olursa olsun en az 8 karakter ve karışık olması sağlanmalı - Açık şekilde, yerde şifrenin korunmaması gerekmektedir - Şifreler paylaşılmamalı ve kişiye özel olmalı - Herkes kendi şifresi ile sistemlere giriş yapmalı - Düzenli aralıklarla şifreler değiştirilmeli - Farklı servislerde farklı şifreler kullanılmalı - Çifte güvenlik uygulamalarını kullanmalı(şifre+SMS gibi)
  31. 31. Güçlü Şifreleri Nasıl Seçmeli? - En az 8 karekterden oluşmalıdır. - Harf, sayı ve özel karakterlerin(+,-,*,<,>,|,€,# vb.) kullanılması zorunlu olmalıdır. - Parolada büyük ve küçük harf zorunlu olmalıdır. - Parolada kişisel bilgiler(şehir ismi, plaka, yaş, doğum tarihi, eşinizin doğum tarihi, telefon numaranız, çocuklarınız ismi vb.) olmamalıdır. - Şifre içinde birbirini takip eden rakam ya da harf bulunmamalıdır. - Parolada ünlü isimleri, film adları, takım isimleri, şehirler, ilçeler olmamalıdır. - Sözlükte bulunabilen parolalar kullanılmamalıdır. - Parolalar belirli aralıklarla değiştirilmelidir. - Zayıf Şifreler: "123qwe", "qwe123", "123qweasd", "qwer1234", izmir35, ksk2002, tüm sayı şifreleri vb.. - Kuvvetli Şifreler:
  32. 32. Güçlü Şifre Seçme Yöntemleri? - Cümle Baş Harfleri Birleştirme: Bir elin nesi var, iki elin sesi var. --> 1Env,2Esv. 10 Yılda 15 milyon genç yarattık her yaştan. --> 10Y15mgyhy. Ben 1996 yılının 7. ayında mezun oldum --> B1996y7.amo Mezuniyet tarihim 1998 yılının 4. ayıdır. --> Mt98y4.a - Bazı kelime, harf ya da rakamlar yerine özel karakterler kullanabilir: "Dün Kar Yağmış" : Dün*Yagm1$ "Şeker gibi bir soru sordu" : $eker~1?Sordu "Tek eksiğim bir güldü" : 1-gim1:)dü "Yüzeysel bir soru eşittir eksi puan": %eysel1?=-Puan - Bir cümledeki sadece sesli ya da sadece sessiz harfleri kullanabilir: Örnek 1 Parola Veriyorum." cümlesinden yola çıkarak "rnk1PrlVryrm." elde edilebilir (kaynak) 3d!i+X8L, enSYA:j%, e2W%.MCX, zM.T2FwU, is2c_joT vb.
  33. 33. LinkedIn Hacklenmesinde Sık Kullanılan Şifreler Şifreler Ne Kadar Sürede Kırılıyor?
  34. 34. Şifreyi güvenli saklamalıyız! Ajanda' ya not etme! Cep telefonuna kaydetme! Fotoğrafını çekme, bulut’ a kaydetme Birisi ile paylaşma!
  35. 35. Kablosuz Ağlarda Güvenlik Tehditleri - Kablosuz yapı ucuz fakat tehlikeli! - Güvenlik beklentileri genellikle karşılamamaktadır. Ağ şifreniz kısa ise kırılması dakikalar içinde mümkün.. - Kamuya açık kablosuz ağlar(Havaalanı, starbucks vb.) çok riskli! - MAC tabanlı filtreleme yapılmalı -> Sizin inetnet bağlantınızla suç işlenirse ne olacak! - WEP kolaylıkla kırılıyor bu yüzden WPA2 veya WPA kullanılmalı - Sahte erişim noktaları ile verileriniz okunabilir! - Kablosuz ağınızda kimler var? Kontrol ediliyor mu? - WPS çok riskli - Starbucks ağı gerçekten o kurumun mu? Ya girdiğiniz bir ağ gerçek değil de sahte ise? - Bluetooth hacklemek/dinlemek mümkün mü?
  36. 36. Kablosuz ağda diğer cihazlar dinlenebilir!
  37. 37. E-Mail, Banka Uygulamaları ve Sosyal Medya Hesaplarının Güvenliği Nasıl Alınır? E-Mail Güvenliği: - E-mail girişlerinde çifte güvenlik uygulamaları tercih edilmeli (Şifre + SMS vb.) - Tanımadık kişilerden gelen ekli mailler girilmeden silinmeli - Mail ile gelen pdf, docx, xlsx, exe ve diğer uzantılar açılmadan silinmeli - Mail ile yönlendirilen hiçbir adrese veri girişi yapılmamalı - Belirli aralıklar ile şifre değiştirilmeli - Mail güvenlik kısmından oturumun hangi cihazlarda açık olduğu aralıkla kontrol edilmeli - Mailinizi heryerde deşifre etmeden oluşabilecek risklere karşı önlem almış olursunuz..
  38. 38. Banka Uygulamaları Güvenliği: - Şifreleri hiçbir türlü tarayıcıya kaydetmeyin. - İşiniz bitince çıkış işlemi yapılmalı. - EFT ve Havale limiti çok kısıtlı olsun, gerektikçe açıp işlemi yapıp sonra gene kapatın. - Müşteri numaramı hatırla gibi işlemleri kolaylaştıracak seçimler yapmayın. - Banka uygulamalarının içinde yanlış giriş kayıtlarını aralıklarla inceleyin. - Şifre üreten cep anahtar, uygulama yapısını kullanıyor iseniz arka arkaya gelen sayılar kullanmayın. - Mobil tarafta SMS okuma izni olan uygulamalara çok daha dikkatli olun. - Sesli imza güvenlik seçeneğini aktif hale getirmek yetkisiz erişimi kısıtlayabilir. - Her türlü banka işleminde SMS ile bilgilendirilme seçeneğini aktif hale getirin..
  39. 39. Sosyal Medya Hesaplarını Güvenliği: - Şifre konusunda daha önce anlatılanların hepsi geçerli - Giriş isteklerini doğrula seçeneğini aktif ederek girişlerde ayrıca bir kodun cep telefonunuza SMS olarak gelmesini sağlayın - Veri girişlerinize konum bilgileri eklemekten kaçının Google, Facebook, Yahoo, PayPal, Twitter, Snapchat, Microsoft, LastPass, Dropbox, Instagram, LinkedIn, Apple, Tumblr and Youtube vb.
  40. 40. Sosyal Medya Hesaplarını Güvenliği: - Sahte hesaplara dikkat edin. - Gelen direk mesajlara kesinlikle tıklamayın, dediklerini yapmayın. - Tweetlerinizi ve hesabınızı koruma altına alarak sadece tanıdığınız kişiler ile iletişim halinde olun. - Takipçi sayılarına takılmayın, bunu artırmak için olur olmaz servislere hesabınız üzerinde gereksiz haklar vermeyin. - Hesaplara erişimi olan uygulamaları kontrol ederek risk yaratabilecek uygulamalara erişim izni vermeyin. - Paylaşılan fotoğraflara, bilgilere, diplomalara, belgelere, konumlara dikkat! Bu bilgiler aleyhinizde kullanılabilir ve arama motorları bu verileri indekslemektedir. - Sosyal Medyada herkes CIO, Genel Müdür ve üst düzey yönetici... Bunların gerçekten doğru olduğuna mı inanıyorsunuz?
  41. 41. Sosyal Medya Hesaplarını Güvenliği: - Bazı platformlarda gerçek isim soyad yerine takma ad kullanımı daha uygundur. - Kimlik bilgileri paylaşılmamalı ve doğru bilgiler verilmemelidir. - Şifremi unuttum sorusu için alakasız bir cevap seçilmeli ve bunu sadece siz bilmelisiniz. Yani ne zaman doğdun sorusunun cevabı 19.04.1985 olamaz bu soruya alakasız başka bir cevap verilmelidir. - Tuzak mailler, arkadaşlık istekleri, ekle gelen mailler, isteklere bakmadan dahi silinmelidir. - Sosyal platformların telefon rehberine veya maildeki kişilere ulaşarak sizin adınıza paylaşımlar yapmasına izin verilmemelidir. - Sosyal medya hesaplarından özel bir konuyu, kişiyi veya olayı hedef alan yorum ve yazılardan kaçınmanızı tavsiye ediyorum. - Kurum ile ilgili hiçbir detay, bilgi, belge ve paylaşım yapılmamalıdır. Şirketin kurumsal bilgi güvenliği politikasına uygun hareket edilmelidir.
  42. 42. Mobil Cihaz Güvenliği Nasıl Alınır? - Herkesin elinde, saldırganlar için çok önemli.. - Çok hızlı>> DDoS botları! >> 4.5G! - Oltalama ve sesli oltalama saldırıları mümkün, tüm bilgilerimiz ortada adresler dahil! - Mobil antivirus ve ateş duvarı? ->Güvenlik halen mobil cihazlarda çok önemsenmiyor! - Root ve jailbreak konusu sıkça yapılmakta.. - Hangi uygulamaların cihaz yöneticisi hakkı var? Hangi uygulama hangi hakları istiyor? - Güvenilmeyen kaynaklardan ücretsiz! İndirilen uygulama(apk) dosyaları - Orijinal indirilen yerler dışında hiçbir yerden, maillden uygulama indirilmemelidir.. - Ekran kilidi, PIN kodu veya ek önlemler gerekli.. - Bilinmeyen kaynaklardan dosya indirme ve yükleme kesinlikle yapılmamalı - Çalınma ve hırsızlığa karşı cihazları uzaktan silme ve cihazın yerini bulma servisleri aktif mi?
  43. 43. Mobil Cihaz Güvenliği Nasıl Alınır? Bir Android cihazı kolaylıkla saniyeler içinde bir uygulama yükleyerek istismar etme mümkün. Ayrıca • Sms kayıtları • Arama kayıtları • Girilen sitelerin kayıtlarını alma • Ses kaydı yapma • Kamera kaydı yapma • Vb. yapmak mümkün!
  44. 44. Kurumsal Güvenlik Tehditleri ve Alınması Gereken Temel Önlemler Ağ Tehditleri Sistem Tehditleri Uygulama Tehditleri -Dinleme -Oturum gaspetme -Ortadaki adam saldırısı -DNS ve ARP zehirlemesi -Şifre tabanlı saldırılar -Servis reddi saldırıları(DoS & DDoS) -Güvenlik Duvarı/IDS saldırıları -Yanlış yapılandırma -Israrlı Gelişmiş Tehditler(APT) -Kötücül zararlı saldırıları -Sistem bilgisi toplama -Şifre saldırıları -Yetkisiz erişim -Arka kapı saldırıları -Fiziksel güvenlik tehditleri -SQL enjektesi -Şifreleme saldırıları -Güvenlik yanlış yapılandırması -Tampon taşması saldırısı -Bilgi sızıntısı -Girdi doğrulama saldırıları *Uzun ve ayrı bir seminer konusu..
  45. 45. Türkiye' de Bilgi Güvenliğinde Neredeyiz? -50 Milyon TC Vatandaşının açık adreste dahil tüm verileri deşifre oldu(tek eksik anne kızlık soyadı!) -Bu veriler 2008/2010 yılına ait YSK tarafından siyasi partilere verilen veritabanı ile tam uyuşuyor -Şu anda internet üzerinden herkesin erişimine açık idi kapatıldı Sn. Ahmet Davutoğlu: Evimin adresi sızdırılmış, misafir olmak isteyen varsa gelsin.. Sn. Binali Yıldırım: Benim bakmama lüzum yok. Ben 60 senedir kimlik taşıyorum.. Ne Demişler?
  46. 46. Türkiye’ de Güvenlik Teyit Yöntemleri neler? -Doğum tarihi gün/ay/yıl şeklinde -Baba ismi -Anne ismi -TC Kimlik No -Anne Kızlık Soyadının 1/3/…/n. karakteri Bulunamaz mı? -Sahte kimlik üretilebilir -Telefonda dolandırıcılık yapılabilir -Kapıda dolandırıcılık yapılabilir *Banka hesabı açılabilir *Para transferi yapılabilir *Kredi kartı alınabilir *Kredi çekilebilir *Çek defteri alınabilir *Sosyal medya hesapları ele geçirilebilir *Ticari sır hırsızlıkları gerçekleştirilebilir *Elektrik, su ve doğalgaz abonesi olunabilir *Sahte uçak ve otobüs bileti alınabilinir *SIM kart alınabilir *Araç kiralaması yapılabilir Kimlik ve bilgileriyle neler yapılabilir? 2014 yılında ABD’de toplam 17.6 milyon kişinin hedef olduğu kimlik hırsızlığı vakalarında kurbanlar toplamda 15.4 milyar dolar (ortalama kişi başına 1340$) para kaybetmiştir. Para kaybına uğrayan kurbanlardan 700.000’i kredi kartı veya banka hesap bilgisi çaldırmadan, kimlik bilgilerinin Yeni Hesap veya Doğrudan Kullanım amacıyla kullanılması sonucu mağdur olmuşlardır. Kimlik hırsızlığına hedef olmuş kişiler karşılaştıkları sorunları gidermek için en az 1 ay uğraşmak durumunda kalmışlardır. (kaynak)
  47. 47. Alınabilecek Önlemler: - Nüfus kâğıdınızı değiştirin: 2010 ‘dan bu yana nüfus kâğıdınızı değiştirmediyseniz, en kısa sürede yenileyin. Yeni bir fotoğraf ile yeni bir kimlik çıkarmanız halinde kimlik değişime uğramış olacak, kimlik seri numarası ve veriliş bilgileri değişecektir. - Kayıtlarınızı güncelleyin: Değiştirdiğiniz nüfus cüzdanınızı banka, telekom operatörleri, resmi kurumlar gibi tüm kayıtlı olduğu yerlerde güncelleyin. Yeni kimlik bilgilerinizin sistemlere işlendiğinden emin olun. - Polis ya da savcılığa başvurun: Önlem amaçlı olarak polis ya da savcılığa başvurup kişisel verilerinizin sızmış olabileceği, olabilecek olay ve durumlardan mağduriyetinizin oluşabileceği ve bu tür olası durumlardan sorumlu olmayacağınıza ilişkin tutanak tutulmasını isteyebilir ve bu kaydı saklayabilirsiniz. - Banka hesaplarınızı kontrol edin, hesaplarınıza girip eft/havale vb. limitlerinizi sıfırlayın ya da tamamen kapatın. Gerektiğinde anlık olarak açın kullanın ve geri kapatın. - Adınıza çekilmiş kredileri ve kredi kart bilgilerini banka görevlileri ile kontrol ettirin. - E-devlet’i yakından takip edin: • Tüm telefon hatlarını kontrol edilmeli • Mahkeme dava dosyası sorgulama linkini düzenli olarak kontrol edilmeli • Trafik cezalarını kontrol edilmeli • Vergi borçları düzenli olarak kontrol edilmeli • Hgs ve Ogs geçiş ihlallerinizi sorgulanmalı
  48. 48. 18 Mayıs 2016’ da Türkiye’deki sağlık kayıtları internete sızdı. 2GB boyutunda bir dosya linki üzerinde hassas bilgiler mesela HIV sonuçları, Kürtaj bilgileri, Doktor ve ilgililerin telefon ve diğer tüm bilgileri, hasta bilgileri, rapor bilgileri ve daha bir çok veri internete sızdı. [Kaynak] 33 hastanenin siber saldırılardan etkilendiği belirtildi. Hastanelerde bu sistem üzerinden yapılan işlemler tamamen durdu. Siber saldırının fark edilmesi üzerine sisteme daha önce yedeklenen veriler yüklenmeye çalışıldı, ancak hacker grubunun eski verileri geri yüklemeyi de engellediği bildirildi. [Kaynak] Devlet Hastanelerinin siber saldırılar karşısında elle kayıt aldıkları belirtildi. Sağlık Bakanlığı: 'Sadece Diyarbakır'daki hastaneler kısmen etkilendi'
  49. 49. Ulusal Siber Olaylara Müdahale Merkezi - USOM 1- Tüm Türkiye’ de yaşanan elektrik kesintisi(31.03.2015) 2- Nic.tr DDoS saldırısı? (14.12.2015) 3- Banka DDoS saldırısı? (17.12.2015) 4- Fidye zararlısı ile alakalı açıklama? 5- 50 milyon seçmenin bilgilerinin dışarı sızması ile alakalı açıklama? 6- 33 Devlet Hastanesi ve sağlık verilerinin internete sızması ile alakalı açıklama?
  50. 50. Mahremiyet? *TC Kimlik Numaraları ve Anne Kızlık Soyadı bilgileri, banka kart numaraları heryerde.. *Tüm banka işlemlerini yapmak için TC kimlik numarası, kart numarası, anne kızlık soyadı ve 4 haneli sayı! şifre yeterli!
  51. 51. Merkez Bankası’nın sistemlerinde yaşanan sorunlardan dolayı Türkiye genelinde bankalardan gerçekleştirilen Elektronik Fon Transferi (EFT) işlemleri 3 Haziran 2011 tarihinde gerçekleştirilememişti.900 milyon TL para transferi trafiği o gün aksamış oldu. Nedeni: EFT işlemleri için kullandığı yazılımın yabancılardan alındığını, sorun yaşandığında Londra'daki uzmanlardan destek aldıklarını bunun da işlerini çok zorlaştırdığını söyledi. Krizin yaşandığı gün Londra'da bulunan ilgili kişiye ulaşmak için yoğun çaba sarf ettiklerini ve Türk bankacılık sektörünü adeta kilitleyen bu arızanın giderilmesi için bir uzmanın kahve molasının bitmesini beklediklerini açıkladı.
  52. 52. Video: Obama/Binali Yıldırım[8] Ulaştırma, Denizcilik ve Haberleşme Bakanı Binali Yıldırım, Siber Güvenlik Kurulunun amacının, ülkenin kritik altyapıları başta olmak üzere kişilere ve kurumlara yönelik olası saldırılara karşı tedbir almak, buna rağmen herhangi bir saldırı olursa da meydana gelen hasarı asga indirmek olduğunu belirtti. "Durum değerlendirmesi yapacağız ve önümüzdeki süreçler içinde ne gibi çalışmalar yapacağız, bunların kararını vereceğiz" ifadesini kullandı.
  53. 53. 6698 Sayılı Kişisel Verilerin Korunması Kanunu(24.03.2016) MADDE 5- Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. MADDE 6- Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. (2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır. MADDE 8- Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz. Veri sorumlusunun aydınlatma yükümlülüğü MADDE 10- Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere; a) Veri sorumlusunun ve varsa temsilcisinin kimliği, b) Kişisel verilerin hangi amaçla işleneceği, c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi, konusunda bilgi vermekle yükümlüdür.
  54. 54. İlgili kişinin hakları; MADDE 11- Herkes, veri sorumlusuna başvurarak kendisiyle ilgili; a) Kişisel veri işlenip işlenmediğini öğrenme, b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme, c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme, f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir. . . . Kanun İndirme Linki: http://www.mevzuat.gov.tr/MevzuatMetin/1.5.6698.pdf
  55. 55. - Windows 10 ve mahremiyet konusu - FBI Apple’ a karşı - FortiOS SSH Arka Kapısı (4.3.0 den 4.3.16 ve 5.0.0 den 5.0.7) - Joomla 3.2 - 3.4.4 Sql enjekte zafiyeti - Windows 3.1 cihaz yüzünden Paris hava alanında uçuşların iptali(13 kasım 2015) - Uzaktan kablosuz klavye ve fare ile sistem hackleme - Nissan jiplerin hacklenmesi - Aynı gün için Adobe’ nin 3 defa güncelleme çıkartması - SSLv3 ten sonra SSLv2 nin de açığa çıkması, artık güvenli değil, kullanılmamalıdır! - Android stagefright zararlısı..(MMS’ ler yolu idi şimdi mp3, mp4 ile)->Her mobil cihaz güncel, güvenli mi? - American Express’ in 3. tarafın güvenlik ihlali dolayısı ile hacklenmesi - Panama Belgeleri(11.5 milyon gizli belge ve 2,6 TB lık veri, 202 ülkenin dahil olduğu..) - 272 milyon tane e-mail hacklendi ve satışı şu anda yapılıyor.. - 114 milyon tane LinkedIn hesabı hacklendi.. - . - Vb.. Dünyadan Güncel Güvenlik Haberleri:
  56. 56. Bilgi Güvenliği ve Teknik Eğitimler: BİREYSEL EĞİTİMLER: CEH(Etik Hacking) Eğitimi->35 saat CEH(Etik Hacking) Eğitimi(Uygulama Ağırlıklı)->70 saat Sızma Testi Eğitimi->32 saat Kali Eğitimi->24 saat Uygulamalı Ağ Güvenliği Eğitimi->24 saat İleri Seviye Ağ Güvenliği Eğitimi->24 saat Network Güvenlik Testleri Eğitimi->24 saat Linux Masaüstü Eğitimi->24 saat Unix Eğitimi->24 saat Fortigate Eğitimi->16 saat Ağ Güvenliği için Temel Linux Eğitimi->16 saat Metasploit Framework Eğitimi->16 saat Kablosuz Ağ Güvenlik Eğitimi->16 saat Firewall Eğitimi->16 saat Snort Eğitimi->16 saat PfSense Eğitimi->16 saat Nessus Eğitimi->8 saat Wireshark Eğitimi->8 saat KURUMSAL EĞİTİMLER: Bilgi Güvenliği Farkındalık Eğitimi->1 Gün,8 saat Sosyal Medya Güvenlik ve Farkındalık Eğitimi->1 Gün,8 saat Yöneticiler için Bilgi Güvenliği Eğitimi->1 Gün,8 saat ISO 27001:2013 BGYS Farkındalık Eğitimi->1 Gün,8 saat Ağ Güvenlik Eğitimi->5 Gün,35 saat Sızma Testleri(Süresi kapsama göre değişmektedir)
  57. 57. Bilgi Güvenliği Kapalı E-Mail Grubu (İzmir&Manisa) Gruba dahil olmak isteyen arkadaşlar bana mail atabilir cagripolat@erasistem.net
  58. 58. SORULAR TEŞEKKÜRLER cagripolat@erasistem.net , 0 505 640 69 49 https://tr.linkedin.com/in/cagripolat

×