ÜNİTE:
1.1 ETİK, GÜVENLİK VE TOPLUM
KAZANIMLAR:
1.1.2.3. Sayısal dünyada kimlik yönetimi konusunda güvenlik açısından yapılması
gerekenleri listeler.
1.1.2.4. Kişisel bilgisayar ve ağ ortamında bilgi güvenliğini sağlamaya yönelik işlemleri yürütür.
1.3.2. Sayısal Dünyada Kimlik ve Parola Yönetimi
Sayısal Dünyada Kimlik ve Parola Yönetimi
Her gün sıkça kullandığımız şifre ve parola kavramlarını inceleyecek olursak “parola” bir hizmete erişebilmek için gerekli olan, kullanıcıya özel karakter dizisidir. “Şifre” ise sanal ortamdaki verilerin gizliliğini sağlamak için veriyi belirli bir algoritma kullanarak dönüştüren yapıdır.
Bilgiye Erişim Yetkisi
Bir bilişim sistemine erişimin belli kurallar çerçevesinde yapılması amacıyla o sistemi kullanmak isteyen kişilerin kullanıcı adı ve/veya parola ile erişim yetkisine sahip olduklarını ispatlamaları gerekmektedir. Buradaki kullanıcı adı ve parola, bilgiye erişim yetkisinin kanıtı olarak kullanılmaktadır.
Kullanıcı adı ve parola
Kullanıcı adı, her kullanıcıdan sadece bir tane oldu-ğunu garantilemek amacıyla benzersiz bir bilgi olarak oluşturulur. Bu bilgi, bilişim sistemi tarafından otomatik olarak verilebileceği gibi kullanıcılardan kimlik No., öğrenci No. ya da e-posta gibi bilgiler istenerek de oluşturulabilir. Parola ise içinde büyük ya da küçük harfler, rakamlar ve özel karakterler barındıran bir karakter dizisidir.
Parolanın Ele Geçirilmesi Sonucu Karşılaşılacak Durumlar
Parola, bilgi güvenliğinin en önemli ögesidir. Parolanın da ele geçirilmesi durumunda oluşacak zarar, bir evin anahtarını ele geçiren hırsızın sebep olacağı zarardan çok daha fazla olabilir. Parolanın kötü niyetli kişiler tarafından ele geçmesi durumunda,
• Elde edilen bilgiler yetkisiz kişiler ile paylaşılabilir ya da şantaj amacıyla kullanabilir.
• Parolası ele geçirilen sistem başka bir bilişim sistemine saldırı amacıyla kullanılabilir.
• Parola sahibinin saygınlığının zarar görmesine yol açabilecek eylemlerde bulunulabilir.
• Ele geçirilen parola ile ekonomik kayba uğrayabilecek işlemler yapılabilir.
• Parola sahibinin yasal yaptırım ile karşı karşıya kalmasına yol açabilir.
Zayıf Parolalar
Başkalarının da kolaylıkla tahmin edebileceği qwerty, 123456 gibi ardışık harfler ve sayıların kullanılması, parolanın doğum yılı ya da mezuniyet tarihi gibi kişisel bilgi içermesi de zayıf parolalar için örnek gösterilebilir.
Günümüzde saldırganların parolaları ele geçirmek ya da tahmin edebilmek için sosyal medyadan faydalandıkları da unutulmamalıdır. Sosyal medya aracılığı ile ulaşılabilen aile fertlerinin adı, doğum tarihi gibi bilgiler de parola belirlemek amacıyla kullanılmamalıdır. Saldırganlar, sosyal medya ortamlarını kendi çıkarları için kullanarak sosyal mühendislik adı verilen ikna ve kandırma teknikleri ile bu bilgileri elde edebilirler.
Zayıf Parolaların Ele Geçirilmesi
Bilişim sistemlerinde parolanın ele geçirildiğinin ispatlanması ya da bu işi yapan kişilerin belirlenmesi çok zor olduğundan parolası ele geçirilen sistem üzerinde yapılacak kötü niyetli eylemler parola sahibinin ciddi yaptırımlar ile karşı karşıya kalmasına neden olabilir.
Bir bilişim sistemine erişim için kanıt olarak kullanılan parolanın dikkatle belirlenmesi ve titizlikle korunması gerekir. Sadece rakamlardan oluşan 6 haneli bir parolanın özel programlar yardımı ile dakikalar içinde kırılması mümkündür. Güçlü ve kırılması zor bir parolanın oluşturulması için olabildiğince sayı, büyük/küçük harfler ile özel karakterler içermesine dikkat edilmesi son derece önemlidir.
Aşağıda bir parola kırıcı program görüntülenmektedir.
Güçlü Parola Üretme
Güçlü bir parolanın belirlenmesi için aşağıdaki kurallar uygulanmalıdır.
• Parola, büyük/küçük harfler ile noktalama işaretleri ve özel karakterler içermelidir.
• Parola, aksi belirtilmedikçe en az sekiz karakter uzunluğunda olmalıdır.
• Parola, başkaları tarafından tahmin edilebilecek ardışık harfler ya da sayılar içermemelidir.
• Her parola için bir kullanım ömrü belirleyerek belirli aralıklar ile yeni parola oluşturulması gerekir.
Güçlü Parolanın Korunması
Parolanın güvenliği açısından, aşağıdaki kurallara dikkat edilmelidir:
• Parolanın başkalarıyla paylaşılmaması son derece önemlidir.
• Parolalar, basılı ya da elektronik olarak hiçbir yerde saklanmamalıdır.
• Başta e-posta adresinin parolası olmak üzere farklı bilişim sistemleri ve hizmetler için aynı parolanın kullanılmaması gerekir.
İki Aşamalı Kimlik Doğrulama - İki Faktörlü Kimlik Doğrulama
İki faktörlü kimlik doğrulama, kullanıcı kimliklerini saptamak için kullanılan çok faktörlü bir kimlik doğrulama yöntemidir. Bu teknolojinin patenti 1984 yılında alınmış olup, iki farklı bileşenden oluşmaktadır.
İki faktörlü kimlik doğrulama, yetkisiz bir kullanıcının, gereken faktörlerin tamamını ele geçiremeyeceği prensibine dayanır. Bir yetkilendirme denemesinde, eksik veya yanlış temin edilen herhangi bir bileşen varsa, istenilen varlığa erişim yetkisi sağlanmaz (örneğin, bir binaya veya veriye erişim). İki faktörlü yetkilendirme şeması şunları içerebilir:
Kullanıcının sadece kendisinin sahip olduğu fiziksel bir nesne olabilir. Örneğin, USB bellek, banka kartı, anahtar veya cep telefonu gibi.
Kullanıcının sadece kendisinin bildiği bir bilgi olabilir. Örneğin, kullanıcı adı, şifre, PIN kodu gibi.
Kullanıcının fiziksel karakteristiği olabilir. Örneğin, yüzü, parmak izi, göz, ses, yazma hızı gibi.
Örnek durum
Aşağıdaki örnek resimde telefona gelen SMS'leri inceleyiniz ve bu durumu açıklayınız. Sizce burada ne oldu?
1.3.3. Kişisel Bilgisayarlarda ve Ağ Ortamında Bilgi Güvenliği
Bilgisayar ve İnternet teknolojisindeki hızlı ilerleme sonucunda üretilen veri, hiç durmadan artmaktadır. Özellikle İnternet kullanımının oluşturduğu büyük miktardaki bilgi, her gün milyonlarca insan tarafından kullanılmaktadır. Bu veriyi üreten, kullanan ve paylaşan insanların çok küçük bir kısmı ise İnternet’in tehlikeleri ve bilgi güvenliği konusunda bilgi sahibidir.
Zararlı Yazılımların Ortaya Çıkışı
Bilişim teknolojisinin kullanımında temel amaç bilgiye erişmektir. Ancak, teknolojinin hızlı ilerleyişi ile birlikte gelen güvenlik riskleri ve insanların bu konudaki yetersiz farkındalıkları bilgisayar ve İnternet kullanımı sırasında pek çok tehlikenin ortaya çıkmasına neden olmaktadır.
Bilişim sistemlerinin çalışmasını bozan veya sistem içinden bilgi çalmayı amaçlayan Virüs, Solucan, Truva Atı ya da Casus yazılım gibi kötü niyetlerle hazırlanmış yazılım veya kod parçaları zararlı programlar olarak adlandırılır.
Zararlı Yazılımların Yetenekleri
Bu zararlı programlar,
• İşletim sisteminin ya da diğer programların çalışmasına engel olabilir.
• Sistemdeki dosyaları silebilir, değiştirebilir ya da yeni dosyalar ekleyebilir.
• Bilişim sisteminde bulunan verilerin ele geçirilmesine neden olabilir.
• Güvenlik açıkları oluşturabilir.
• Başka bilişim sistemlerine saldırı amacıyla kullanılabilir.
• Bilişim sisteminin, sahibinin izni dışında kullanımına neden olabilir.
• Sistem kaynaklarının izinsiz kullanımına neden olabilir
Zararlı yazılım türleri:
Virüs yazılımları:
Kullanıcının izni ya da bilgisi dahilinde olmadan bilgisayarın çalışma şekline müdahale eden, kendini diğer dosyaların içerisinde gizlemeye veya bir bilgisayardan bir diğerine yayılmaya çalışan bir tür bilgisayar programıdır.
Bazı virüsler uygulamalara zarar vermek, dosyaları silmek ve sabit diski yeniden formatlamak gibi çeşitli şekillerde bilgisayara verirken, bazıları zarar vermektense, sadece sistem içinde çoğalmak, sistemi yavaşlatmak için programlanmışlardır.
Solucan yazılımları:
Solucan da, virüs gibi, kendisini bir bilgisayardan diğerine kopyalamak için tasarlanmıştır ancak bunu otomatik olarak yapar. İlk olarak, bilgisayarda dosya veya bilgi ileten özelliklerin denetimini ele geçirir. Solucan bir kez sisteminize girdikten sonra kendi başına ilerleyebilir. Solucanların en büyük tehlikesi, kendilerini büyük sayılarda çoğaltma becerileridir. Örneğin bir solucan, e-posta adres defterinizdeki herkese kopyalarını gönderebilir ve sonra aynı şeyi onların bilgisayarları da yapabilir.
Casus yazılımlar:
Casus yazılım, kullanıcılara ait önemli ve özel bilgilerin, kullanıcının yaptığı işlemlerin, kullanıcının bilgisi olmadan toplanmasını ve bu bilgilerin kötü niyetli kişilere gönderilmesini sağlayan zararlı yazılım olarak tanımlanır.
Casus yazılımlar, virüs ve solucanlardan farklı olarak hedef sisteme bir kez bulaştıktan sonra kendi kopyalarını oluşturarak daha fazla yayılmaya ihtiyaç duymazlar. Casus yazılımın amacı kurban olarak seçilen sistemin üzerinde gizli kalarak istenen bilgileri toplamaktır.
Reklam yazılımları:
Bilgisayarınızda reklamlar görüntülemek, arama isteklerinizi reklam web sitelerine yeniden yönlendirmek ve internet kullanıcılarına özel reklamların görüntülenmesi için ziyaret ettiğiniz web sitelerinin türleri gibi hakkınızdaki pazarlama verilerini toplamak amacıyla tasarlanmış programlara reklam yazılımı yada Adware denir. Adware’ler kullanıcıdan habersiz bilgi topladığında kötü amaçlı yazılım olarak kabul edilir. Aniden ekranınızda görünebilir.
Truva atı yazılımları:
İsmini Çanakkale Truvada bulunan antik çağlardan kalma attan almıştır. Bu at şehri fethetmek için içine doldurulan askerlerle birlikte bir hediye gibi şehri ele geçirmesini sağlamıştır. Atın içinden gece çıkan askerler şehrin kapılarını arkadan açarak ordunun içeri girmesini sağlamıştır.
Bilgisayarda truva atı, bilginiz olmadan bilgisayarınıza yerleşen, sistemi diğer bilgisayarlarca internet ya da ağ üzerinden kontrol edebilmeye açık hale getiren yazılımlardır. Truva atı, kötü niyetli kişilerin bilgisayarınızdaki dosya ve işlevleri görmesine ve değiştirmesine, etkinliklerinizi izlemesine ve kaydetmesine, başka bilgisayarlara saldırmak için bilgisayarınızı kullanmasına olanak tanıyabilir.
Truva yazılımlarının iki türü vardır. İlk türü; zararsız olan ve genellikle bilinen yazılımların kötü niyetli kişiler tarafından zararlı yazılımlar eklenerek zararlı yazılım haline getirilmesi. İkinci türü; bağımsız yazılımların kötü niyetli kişiler tarafından değiştirilerek zararlı yazılım haline getirilmesi.
Botnet yazılımı
Bot terimi robotun kısaltmasıdır. Suçlular, bilgisayarınızı bir köleye çevirebilen kötü amaçlı yazılımları dağıtırlar. Böyle bir durumda bilgisayarınız, sizin haberiniz olmadan Internet üzerinden otomatik görevleri gerçekleştirebilir.
Suçlular botnetleri, istenmeyen e-posta mesajları göndermek, virüsleri yaymak, bilgisayar ve sunuculara saldırmak ve diğer türlerdeki suçları işlemek ve sahtekarlıklarda bulunmak amacıyla kullanır. Bir botnetin parçası olması durumunda bilgisayarınız yavaşlayabilir ve istemeden suçlulara yardımcı olabilirsiniz.
Rootkit yazılımları
Rootkit, bilgisayarın işletim sistemine sızarak kötü niyetli kişilere bilgisayarınızı uzaktan kontrol etme ve tam yetki sağlayan virüs türevi zararlı yazılımlardır.
Rootkit yazılımlarını standart virüs yazılımlarıyla karıştırmamalısınız. Virüs yazılımlarının amacı bilgisayarınıza yerleştikten sonra kendini çoğaltmak ve sistemin tamamını sararak sistemden faydalanmaktır. Oysa Rootkit programlarının amacı kendini sisteme saldıktan sonra çoğaltmak değil, doğrudan uzaktaki kötü niyetli kullanıcılara bilgisayarınız üzerinde tam kontrole sahip olma şansı sunmaktır.
Zararlı Programlara Karşı Alınacak Tedbirler
• Bilgisayara antivirüs ve İnternet güvenlik programları kurularak bu programların sürekli güncel tutulmaları sağlanmalıdır.
• Tanınmayan/güvenilmeyen e-postalar ve ekleri kesinlikle açılmamalıdır.
• Ekinde şüpheli bir dosya olan e-postalar açılmamalıdır. Örneğin resim.jpg.exe isimli dosya bir resim dosyası gibi görünse de uzantısı exe olduğu için uygulama dosyasıdır.
• Zararlı içerik barındıran ya da tanınmayan web sitelerinden uzak durulmalıdır.
• Lisanssız ya da kırılmış programlar kullanılmamalıdır.
• Güvenilmeyen İnternet kaynaklarından dosya indirilmemelidir.
Ödev:
Zararlı yazılımlar ve parola güvenliği ile ilgili ile ilgili en az iki sayfalık bir metin belgesi hazırlayarak aşağıdaki mail adresine gönderiniz.
Maile isim soy isim, sınıf ve okul numarası bilgilerinizi yazmayı unutmayınız.
egitimdebil@gmail.com
Önerilen program: Microsoft Powerpoint yada Google Sunumlar
Comments