Siber Güvenlik

Sizler için profesyonel yazarlarımız ile hazırladığımız makalelerimizi okuyun ve kendinizi geliştirin.

En Büyük 15 Hack Saldırısı
En Büyük 15 Hack Saldırısı
Bilişim suçu ve online güvenlik, 21nci yüzyılda, en önemli sosyal sorunlardan biri haline geldi. Online güvenliğin ve gizliliğin hiçbir zaman gözden kaçırılmaması gerektiğini bize hatırlatan en önemli 15 siber saldırı listesini derledik.   En Büyük 15 Hack Saldırısı!   1 WannaCry Fidye yazılım adı verilen online saldırı biçimi, son birkaç yıl içinde olağanüstü derecede büyüdü. Suçlular, e-dolandırıcılık metodunu kullanarak, sistemi dondurur veya kontrolünü üzerine alırlar ve Bitcoin olarak fidye talep ederler. Mayıs 2017’deki WannaCry siber saldırısı, bir fidye yazılım cryptoworm’uydu, (kendisini dağıttığında ikiye katlanan virüslü yazılım). Wannacry, korunmasız ve eski işletim sistemlerini etkileyerek hızla yayıldı ve NSA tarafından işaretlenmişti, ama, yıllar önce ihmal edildi.   O günlerde, İngiltere Ulusal sağlık hizmetleri dairesi (NHS) dahil 150 ülkeden kuruluşlar ve işletme, Wannacry şifreleme tarafından ağlarının dışında bırakılmıştı. Saldırganlar, kurulum kodunun kilidini açmak için büyük miktarda para istediler. 2 Bangladeş Bankası Siber Soygunu Bilgisayar korsanlarının, Bangladeş Bankasının IT sistemlerini aştıkları yöntem olarak bilinmektedir. Suçluların, bundan önce güvenli olduğu düşünülen SWIFT sisteminin sözde koruması altındaki SWIFT küresel finansal nakit transfer sisteminin içine sızmasıyla özgürce para çekmeleri, endişeye sebep oldu.   Bunun arkasındaki suç çetesi, basit bir yazım hatasından ortaya çıkan şüpheden önce 850 milyon $’a yakın bir parayı çekmeye çalışmıştı. Bu paranın sadece 18 milyon $’ı kurtarılmış, yaklaşık 81 milyon $ kayıplara karışmıştır. Suçlular, önceden diğer Asya Bankalarına yapılan saldırılarla ilişkilendirilmiştir. 3 Mt Gox Bitcoin Borsası Bitcoin satın alabileceğiniz çok sayıda Bitcoin borsası ve siteleri vardır. Şubat 2014’de, o zaman dünyanin en büyüğü olan Mt Gox borsası, aniden işlemi durdurdu. Bilgisayar korsanları, transferden önce bitcoine erişim sağladığı ve satıldığında borsa, 460 milyon $’ın çalındığını bildirerek iflas etti.   2001’de Mt Gox’u satın alan Fransız geliştirici Mark Kerpelẻs, doğrudan bitcoin hırsızlığıyla ilgili olmamasına rağmen daha sonra dolandırıcılıktan ve yolsuzluktan tutuklandı. 4 Spamhaus Spamhaus, kötü amaçlı içeriğin kaynağı olarak bilinen sunucuların engelleme listesini tutan, dünyadaki en büyük istenmeyen e-posta engelleme uygulamalarından biridir. Spamhaus, Hollandalı bir barındırma hizmeti Cyberbunker’ı bu listeye eklediğinde, işler karanlık bir yola girdi. Hollandalı şirketin misilleme yaptığı ve şimdiye kadar görülen en büyüklerden biri olan önemli bir DDoS saldırısı başlattığı iddia edildi.   5 PlayStation Ağı Nisan 2011’de bilgisayar korsanları birliği LulzSec, Sony PlayStation Ağı’nın güvenliğini kırdı. Oyun oynamak için giriş yapmaya çalışan oyuncular, sistemin bakım için kapatıldığından bahseden bir mesajla ‘üzüldü’. Gerçekte bilgisayar korsanları, sistematik olarak Sony’nin güvenlik şifrelemelerinin kilidini açıyordu ve 75 milyondan fazla kullanıcının kişisel bilgilerine erişim sağladılar.   6 CitiGroup 2011’de, Citigroup finansal hizmetlerine yapılan bu siber saldırı, kuruluşun online platformlarındaki zayıf güvenliğini ortaya çıkardı. Bilgisayar korsanları, değerli, gizli verilere erişim sağlayan gizli bir kapı buldu. Şirket için toplam 2.7 milyon $ civarında nakit zarar ile 200,000 müşterinin, adresleri, isimleri ve finansal detayları dahil tüm hesap bilgisi açığa çıktı. En yıkıcı güvenlik arızası olarak kabul edildi ve siber saldırıların, her online altyapıda zayıflıklara karşı nasıl hedeflendiğini ispatlandı.   7 Stuxnet Belirli bir askeri amaç için hükümetler tarafından kullanılan kötü amaçlı yazılımın birçok belgelenmiş davası vardır.   Bir örneği, iddia edildiğine göre CIA tarafından duyurulmuş ‘yazılım bombası’, diğeri ise 2010’da bulunmuş olan bir solucan Stuxnet’dir. 200,000 bilgisayarı bozan, en az 1000 makinayı imha eden ve İran’ın nükleer yeteneklerinin beşte birini yok eden, özellikle Siemens’in endüstriyel kontrol devrelerine saldırmak ve bozmak için tasarımlanmıştır. 8 Conficker Conficker, kötü amaçlı yazılımın kötü şöhretli ve tuhaf bir parçasıdır. 2008’de ortaya çıkmıştır ve hiç kimse nereden geldiğini veya kimin tasarlamış olduğunu tam olarak bilmemektedir. Dünya genelindeki yok etmesi zor sistemleri, bozmaya ve yok etmeye devam etmiştir. Yayıldığında, devamlı olarak büyüyen bir zombi bilgisayar ağı (büyük zombi bilgisayar ağları, genellikle DDoS saldırılarını uygulamak, bireysel sitelere erişimi kaldırmak ve veri çalmak için kullanılır) oluşturarak etkilediği sistemleri bağlar. Conficker’in beş sürümü meydana çıkarılmıştır ve bilinen en büyük solucan enfeksiyonlarından biridir.   9 Iceman Her gün IT danışmanı olarak çalışan Max Ray Butler, alanında saygı duyuluyordu. Ancak geceleyin ‘Iceman’ olarak bilinen rezil bir bilgisayar korsanı olarak görev yaptı. Max, en sonunda 2007’de tutuklandı ve 86 milyon $ civarında satın alım yapmak için 2 milyon kredi kartı numarasını çalmakla suçlandı. Aynı zamanda, kaçak mal alıp sattığı yasadışı dijital bir forum işletmekten suçlu bulundu.   10 Zenginleşme Operasyonu Yaygın olarak ABD’de yaşayan ünlü perakendeciler, suç işleyenlerin, müşterilerin hesap ve kredi kartı detaylarını satmak için çalmayı amaçlamasıyla bir dizi ciddi hacklemelerle hedef alınmıştı. Bu saldırılar, Alberto Gonzales, kendi suç çetesi ile birlikte, güvenli olmayan halka açık veya şirket WiFi’sinin zayıflıklarını istismar etmek için bizim ‘SQL enjeksiyonu’ dediğimiz yöntem, kullanarak yapıldı. 11 Shady RAT Operasyonu Shady RAT operasyonu, 14 ülkede 74 farklı organizasyonu hedef alan bir dizi devam eden siber saldırıları tarif etmek için verilen bir addır. Dünya Dopingle Mücadele Ajansı ve IOC, 2008’deki Olimpiyat oyunlarından önce hedef alınmıştı ve parmaklar Çin’i göstermesine rağmen, bu saldırıların arkasında gerçekten kimin olduğunu kimse bilemedi. Kurbanının bilgisayarlarının kontrolünü sağlamak için uzaktan erişim sistem yaklaşımını kullandıklarını biliyoruz. 12 Estonya DDoS Estonya’da, Nisan ve Mayıs 2007’de, dijital casusluk ‘yaygınlaştı’ ve açık siber savaş haline geldi. Bir hafta içinde, DDoS saldırılarının dalgaları, eğitim, medya ve bankacılığı ihtiva edenler dahil etkilenmiş hükümet sunucularına doğru devam etti. Günler içinde tüm ekonomiyi, günlük hayatı ve kamu hizmetlerinin dağıtımını felce uğrattı. Askeri kuruluşlar, ağ güvenliklerinin önemini gözden geçirmek için bu saldırılara her yerde hızla cevap verdi. 13 Sven Jaschan/ Delta Hava Yolları Alman öğrenci Sven Jaschan, rahat yatak odasından dünyanın en yıkıcı hacklemelerinden birini gerçekleştirdi. 18 yaşında ve hala ailesinin evinde yaşıyordu, Sasser solucanını geliştirdiğine inanılıyordu. Bu, Windows’un korunmasız işletim sistemlerini tahrip eden kendi kendine dağıtan ve yenileyen bir virüstür. Delta Hava Yolları, bundan çok etkilendi ve çok sayıda transatlantik uçuşlarını iptal etmek zorunda kaldı. Sonunda esrarengiz bir ihbardan sonra yakalandı ama, o zamana kadar virüs, 500 milyon dolardan fazla zarara sebep oldu. 14 MafiaBoy Diğer bir genç, sorunlu dâhinin çok büyük DDoS saldırıları başlatmaya karar vererek siber saldırılara neden oldu. Suç işleyen Micheal Calce, Yahoo, Amazon, CNN, Fifa.com ve eBay’ın içine sızabildi. Michael, kullanıcı trafiğiyle çökertmek için siteleri fazla yükleyecek kötü amaçlı yazılım kullandı. Sekiz ay hapis cezasına çarptırıldıktan sonra, saldırıları bilmeden başlattığında ısrar etti.   15 Melissa Virus   1999’da, makro virüs Melissa, oldukça tahrip edici bir şekilde yayıldı. E-postaya ekli bir dünya belgesi olarak görünüşü değiştirilmiş dosyayı açmak, sizin sisteminizle birlikte adres defterinizdeki 50 kişiye de bulaşmasına neden olabilir.
Dünyaca Ünlü En Tehlikeli 10 Hacker
Dünyaca Ünlü En Tehlikeli 10 Hacker
Dünyaca ünlü en tehlikeli 10 hacker Günlük hayatımızın bir parçası olan internetin ilk yaygınlaşmaya başladığı zamanlardan itibaren hacker kavramı devletleri ve firmaları korkutmaya devam ediyor. 10- Jeremy Hammond Dünyanın en başarılı istihbarat şirketlerinden biri Strafor grup firmasının e-posta sistemini hackleyerek 973 tanesini WikiLeaks web sitesinde yayınladı. Yaklaşık 60.000 kredi kartını hackleyerek bunlardan elde ettiği tüm parayı hayır kurumlarına bağışladı. Hacklediği e-posta hesapları arasında Usame Bin Laden ölümü ile ilgili detaylar da yer alıyor. Birçok firmanın ve devlet kurumunun gerçek yüzünü görmemizi sağlayan eylemlerine rağmen hacklediği kredi kartları yüzünden 10 yıl hapis cezasına çarptırıldı. 9- Kevin Poulsen Bir haber sitesinde editörlük yaparken yerel radyo kanalı olan KIIS-FM yarışmasını kazanmak için telefon sistemlerini hackledi. Bu sayede arayan 102. kişi olmayı başaran Poulsen, Porsche 944 S2 kazandı. Myspace üzerinden uygunsuz içerik arayan kişileri tespit ederek ifşa eden Poulsen, FBI bilgisayarlarını hackledi. Yaptığı eylemlerden dolayı 5 yıl hapis cezasına çarptırılan Poulsen serbest kaldıktan sonra Kingpin adını verdiği kitabını piyasaya sürdü. 8- Jonathan James Birçok bilgisayar korsanı gibi siber suç kariyerine küçük yaşta başlayan Jonathan James, 16 yaşında NASA’yı hackleyerek 170 milyon dolar değerinde kod çaldı. İlk hack deneyimini 15 yaşında yaptığı ve 16 yaşında yakalandığı için çocuk mahkemesinde yargılandı. Defense Threat Reduction Agency(Savunma Tehditlerini Azaltma Ajansı) sistemlerine sızarak arka kapı bıraktı. 2007 yılında yaptığı son siber suç olan TJX sunucularını hackleme eylemi sonrasında hapis cezasına çarptırıldı. Hapse girmemek için 2008 yılında intihar etti. 7- The Aurora Hackers 2009 yılında Google ve Yahoo gibi büyük şirketler dahil olmak üzere 34 farklı firmaya siber saldırı düzenleyen grup, bu zamana kadar büyük saldırılara rağmen deşifre edilemedi. Hacker grubunun Şangay merkezli olduğu söyleniyor. Büyük şirketlerin kaynak kodlarının peşinde olan ekip Google’ın Çin macerasının sonlanmasına sebep oldu. 6- Adrian Lamo Adrian Lamo, en tehlikeli 10 hacker listesinin ilginç kişiliklerinden biri. Evsiz hacker olarak da bilinen ve Asperger sendromuna sahip olan Lamo, NewYork Times web sitesini hackleyerek kendisini uzmanların yer aldığı veritabanına ekledi. 2004 yılında yargı sürecinden sonra 6 ay ailesinin yanında hapis cezasına çarptırılan Lamo, WikiLeaks’e bilgi sızdıran askeri casus Bradley Manning’i ifşa etti. Bazı kaynaklar Manning’in intikam alacağını düşündüğü için saklanmaya devam ettiğini belirtiyor. 5- Robert Tappan Morris Morris Worm virüsünü yazan Robert Tappan Morris, bilinen en eski hackerlar arasında yer alıyor. 1988 yılında yayınladığı virüs 6.000‘den fazla bilgisayara bulaştı. Virüsü yazma amacı internete bağlı bilgisayarları tespit etmek olan Morris, belli bir süre sonra bu yayılımın kontrol altına alınamayacağını ve virüsün tehlikeli bir hal aldığını fark etti. Bilgisayar sahtekarlığı ve istismarı yasası nedeniyle sadece denetimli serbestlik cezası alan Morris, kariyerine bilişim sektöründe devam etti.   4- Cody Kretsinger Dünyaca ünlü LulzSec hacker grubunun üyelerinden biri olan ve Recursion kod adıyla bilinen Cody Kretsinger, 2011 yılında Sony PlayStation saldırısının failleri arasında yer alıyor. 77 milyon kişinin kimlik bilgilerini çalan Kretsinger, 2013 yılında dava açıldı ve sadece 1 yıl hapis cezası aldı. Diğer LulzSec üyelerinin kim oldukları ve şu an herhangi bir eylem yapıp yapmadıkları bilinmiyor. 3- Jacob Appelbaum Ailevi sorunlar sebebiyle kendisini bilgisayar korsanlığına adayan Jacob Appelbaum, küçük yaşta evlatlık olarak verildi. WikiLeaks belgeleriyle ilişkilendirilen kişilerden biri olan Appelbaum, belgelerin güvenli bir şekilde ulaşması için Tor teknolojisinin kullanılmasını sağladı. Bu sayede gönderilen e-postalar başkaları tarafından denetlenemiyordu. Herhangi bir davaya müdahil olmayan Apellbaum, şu an Berlin’de yaşıyor. 2- Kevin Mitnick Yaptığı eylemler ve kaçış hikayesini anlatan Takedown adlı filmi ile tanınan Kevin Mitnick, dünyanın en tehlikeli hackerı ünvanını uzun bir süre korudu. Motorola, Telcom gibi şirketleri hackleyerek tüm ülkenin telefon trafiğini dinleyen hacker denetimli serbestlik kararı ile tutuklanmaktan son anda kurtuldu. 1995 yılında Amerikan Adalet Bakanlığı sistemleri hackledikten sonra tekrar yakalandı ve 5 yıl hapis cezasına çarptırıldı. 1- Gary McKinnon Listenin 1. sırasında yer alan Gary McKinnon, Pentagon sistemlerine sızarak bilgisayarlara “Güvenliğiniz iğrenç” uyarısı bıraktı. 2001 ve 2002 yılları arasında NASA ve Amerika askeri bilgisayarlarını hackleyerek sunucularda yer alan dosyaları sildi ve sistem kullanıcılarının parolalarını defalarca değiştirdi. Yaptığı eylemler neticesinde Amerika ordusunun lojistik faaliyetlerini durdurmasını sağladı. 2002 yılında İngiltere’de tutuklanan McKinnon, Amerika’nın defalarca iade talebinde bulunmasına rağmen halen İngiltere’de hapiste.
GPRS Ağlarında Güvenlik
GPRS Ağlarında Güvenlik
GSM, İngilizce manası ile (Global System for Mobile Communication) olan ve Avrupa ülkelerinin tamamında kullanılıyor olup diğer dünya devletlerinin birçoğunda kullanılan dijital telefon sistemidir.Kullanilan bu sistem Tdma'nın bir versiyonu yada varyasyonu diyebiliriz.Dijital Kablosuz teknolojiler arasında en çok kullanılandır. Bu dijital teknolojiler Nelerdir dersek (TDMA, GSM ve CDMA) sayabiliriz.GSM frekans aralığı olarak 900 MHz ve 1800 MHz bantlarında çalışır. Tarihçesinden bahsetmek istersek; Finlandiya da bulunan dağlık bölgelerin zorlu haberleşme koşullarını gidermek için ilk kez 1991 yılında Finlandiya'da kullanıldı.Günümüzde ise 213 ülkede 690’dan fazla mobil ağ servisleri bulunmaktadır. GSM tarafından sağlanan network hızı ise 9,6 Kbps’dır.   High Speed Circuit Switched Data (HSCSD)High Speed Circuit Switched Data (HSCSD), GSM veri tekniklerinin uygulanmasıdır. Bu teknoloji sayesinde GSM şebekesi aracılığıyla kullanıcıların Internet’e ve diğer veri servislerine ulaşmasını sağlar. HSCSD 40 Kbps hızda kablosuz verinin iletilmesini sağlar. Anahtarlamalı bir devre yapısına sahiptir. İletişim için uygun olmasının sebebi data iletiminin sabit olması ve gecikmenin az olmasından kaynaklıdır.   GPRS (General Packet Radio Service)GPRS (General Packet Radio Service),GSM şebeke kullanıcıların veri uygulamaları ile bağlantı kurmak için kullandığı bir verimli teknolojidir.GPRS, High Speed Circuit Switched Data iletimi gelen verinin ekonomik ve daha hızlı iletilmesini sağlar.GPRS, kullanıcıya ait yani tek hat üzerinde devamlı bağlantı olan devre anahtarlamalı sistem kullanmak yerine aynı hat üzerinde birden çok kullanıcının faydalandığı paket anahtarlamalı sistem kullanmaktadır. Bu sisteme sahip olmasından dolayı değişken hacimli veri trafikleri için daha uygundur.General Packet Radio Service , High Speed Circuit Switched Data gibi bağlı kaldığı süre için faturalandırılmaz. Kullanılan veri trafiğinin boyutuna göre faturalandırılır.Tanımsal olarak bilinene göre General Packet Radio Service, 171.2 kilobit/saniye hızda hizmet vermektedir. General Packet Radio Service kullanabilmek için General Packet Radio Service uyumlu cihazlara ihtiyaç duyulmaktadır.GPRS ALT YAPISI MS - Mobile Station: İki kısımdan oluşur. Bunlar Terminal cihaz (Terminal Equipment TE) ve Mobil terminal (Mobile Terminal MT)'dir.Mobile Station çalışabileceği üç farklı mod bulunur. Bunlar;A sınıfı, B sınıfı ve C sınıfıdır.Sınıf A: Devre anahtarlamalı ve paket anahtarlamalı bağlantı sistemlerinin aynı anda çalışmasını sağlar.Sınıf B: Devre anahtarlamalı ile paket anahtarlamalı sistemi sağlar.Ama paket anahtarlamalı bir aktarım gerçekleşir iken devre anahtarlamalı bir bağlantı isteği gelir ise paket anahtarlamalı aktarım, devre anahtarlamalı aktarım gerçekleşene kadar pasif kalır ve herhangi bir aktarım yapılmaz.Sınıf C: Mobile Station'in paket anahtarlamalı veya devre anahtarlamalı sistemin birini eklenmesini sağlar.Base Station System: Base Station Controller (BSC) ve Base Transceiver Station (BTS) olmak üzere ikiye ayrılır.Base Station Controller: Base Station System içerinde bulunan Base Transceiver Station'ları kontrol eder. Güç ve frekans ile ilgilenir.Base Transceiver Station: Base Transceiver Station servis ağında bulunan Mobile Station'dan bilgi alan radyo donanımıdır.Mobile Switching Center: Public Switched Telephony Network ve Integrated Services Digital Network gibi gibi devre anahtarlamalı sistemler ile anahtarlamayı sağlar.Serving GPRS Support Node: Tüm GPRS verilerinin işlendiği bölümdür. Şifreleme işlemi yapar.SGSN’in konum kayıtçısı, kayıtlı GPRS kullanıcıların profillerini ve konum bilgilerini kaydeder.Home Location Register: GPRS nin log kaydı diyebiliriz.Kayıtlı abone bilgilerini tutar.Visitor Location Register: SGSN’in alanında bulunan tüm Mobile Station geçici giriş bilgilerini kayıt tutar.Gateway GPRS Support Node: GPRS oturumunun işleyiş ve yönetim bölümüdür. GPRS paketlerini uygun paket veri protokolüne dönüştürür ve aboneleri doğru SGSN’e yönlendirir. Mobile Station'in faturalandirmasını kaydeder.Public Land Mobile Network: Haberleşme için kurulan Ağ alanıdır.Border Gateway: Public Land Mobile Network alanları arasındaki bağlantıyı kurar.iki Ağ alanı arasındaki bağlantıyı sağladığı için güvenlik önlemleri bulunur.Authentication Center: GPRS ağ kullanıcılarının asıllama bilgilerini kaydeder.Lawful Interception Node: Kaydedilmiş kullanıcı verilerine kayıt tutar. Giden ve gelen verileri,konum bilgisi ve abone bilgileri kaydını tutar.GPRS Omurga Ağları: Serving GPRS Support Node ve Gateway GPRS Support Node arasındaki bağlantıyı sağlar.Equipment Identity Register: Mobil cihazların bilgilerini kayıt altına alır.Her bir cihazın İMEİ bilgisi vardır. Çalınma gibi durumlarda cihazların tespitinin yapılmasını sağlar.
Siber Güvenliğe Giriş Kılavuzu
Siber Güvenliğe Giriş Kılavuzu
Merhabalar arkadaşlar bu konumda siber güvenlik alanına giriş yapacaksak nasıl bir yol izlemeliyiz, nelere dikkat etmeliyiz ve kendimizi geliştirmek için neler yapabiliriz bunları anlatmaya, kaynaklar (konunun sonunda) ve örnekler vermeye çalışacağım. Öncelikle belirtmek istediğim birkaç şey var bunlardan bir tanesi şuan konu açtığım kategorideki http://www.turkhackteam.org/siber-g...li-hacker-olmak-icin-yapmaniz-gerekenler.html adlı Kenzaii hocamızın açtığı konudan haberim var. Şimdi böyle bir konu forumda var neden bir tane daha açıyorsun diyecek olan arkadaşlarımız çıkabilir. Kesinlikle söyleyebilirim ki bu konu tamamen doğru bir konu lakin şahsıma göre eksik bir konu. Bu yüzden daha geniş çaplı bir konu olması için bu konuyu hazırladım. Belirtmek istediğim bir başka şey ise konuda belirteceğim her şey bazı kesimler veya kişiler tarafından doğru bulunmayabilir ki elbette ben de söylediğim her şey doğru diyemem lakin yanlış gördüğünüz şeyleri ETİK kuralları çerçevesince medeni bir şekilde konuyu baltalamadan konu altında tartışıp fikir alışverişi yapabiliriz. Bunları belirttikten sonra daha fazla uzatmadan konumuza giriş yapalım.Siber güvenlik denilince aklımıza birçok alan gelebilir. Aslında siber güvenlik şahsıma göre tek bir alan değil bir alanlar topluluğudur. Ben bu konuda ise kendi bilgimin olduğu kadarıyla “Web Güvenliği” ve “Ağ Güvenliği” alanlarında ki dikkate alınması gereken şeylerden bahsedeceğim. Bu iki alan kanımca aslında tamamen keskin sınırlarla birbirinden ayrılamazlar yani ben ağ güvenliğine yöneleceğim diyip web’e hiç bakmamak yada sıfır bilgim var demek mümkün olamaz. İki alan birbiriyle ilişki içinde bulunan, kesişim kümelerinin olduğu alanlardır. Bu yüzden konudaki başlıkları tek tek Web ve Ağ olarak ayırmadım. Bu hususu da belirttikten sonra izleyeceğimiz yoldaki köşe taşlarımıza geçelim.1)Mantık-Sorgulama:Bu konunun en önemli ve üzerinde en çok durulması gereken maddesi olarak “Mantık ve Sorgulama”yı görüyorum. Bu madde siber güvenlikte hangi alanla ilgilenirseniz ilgilenin hepsi için birinci madde niteliğindedir. Zaten bu maddeden sonra bahsedeceğimiz maddeler aslında bir nevi bu maddenin alt dallarıdır yani mantığı kavramak için yapılması ve bilinmesi gereken şeylerdir.Yaptığınız veya yapacağınız işin çalışma mantığını ve nedenini bilmezseniz asla tam olarak belli bir konuma gelemezsiniz. Hazır bilgi üzerinden belli bir yere kadar gidebilirsiniz lakin devamında tıkanırsınız. Bu olay siber güvenlikte de geçerlidir. Kullandığınız sistemin çalışma mantığını bilmezseniz, ben bu butona bastım ama bastıktan sonra arkada nasıl olaylar döndü, arkada gerçekleşen olaylar neden bu şekilde gerçekleşti diye sorgulamazsanız 3-0 geride başlarsınız.Hayatta her zaman sorgulamak insana bir şeyler kazandırır ama kaybettirmez. Eğer işin mantığını bilirseniz ve mantığını bilmek için sorgularsanız üstüne katacağınız bilgileri temelin üstüne oturtmak daha kolay olur. Bunun içinde kullanacağımız üç adet sorumuz var bunlar: Ne, neden ve nasıl. Çok sevdiğim bir hocam olan Engür Pişiricinin bir eğitimde bize en çok yönelttiği ve kafamıza vura vura sordurduğu sorulardır bunlar. Engür hocamın çok sevdiğim de bir sözü vardır onu da burada belirtmeden geçmeyeyim: “Eğer bir şeyin güvenliğini öğrenecekseniz öncelikle o şeyi bilmeniz gerekir. Bla bla güvenliğini öğreneceksen o bla bla’yı bileceksin. Ağ güvenliği öğreneceksen önce ağ bileceksin.” der bizi de ayak üstü fırçalar bu üç soruya yöneltirdi. Bu üç soruyu yönelterek sorgumuzu yapar ve işin mantığını kafamıza oturturuz. Bunu bir örnek ile size açıklamaya çalışayım.DNS’i ele alalım. DNS’e dair yönelteceğimiz sorularımızı yukarıda belirttik. DNS ne? DNS neden var, ne işe yarar? DNS nasıl çalışır? Sorularımızı bu sırayla yöneltirsek temelimizi oluşturmamız daha kolay olur. Öncelikle DNS’in ne olduğunu sonrasında DNS’in tanımını bilerek ne işe yaradığını ve neden kullanıldığını en sonunda ise bunların ışığında DNS’in çalışma mantığını öğrenerek bu kavramı tamamen kafamızda oturturuz. Peki biz bu yolları izleyerek nasıl bir kazanım elde etmiş oluruz? İşin mantığını bildiğiniz için kendinizi saldırganın yerini koyarak DNS’in çalışma adımlarındaki güvenlik açıklarını, zaafiyetleri fark eder ona göre önleminizi alırsınız. Ya da bir sisteme sizden pentest yapmanız istenirse de bu bildiğiniz eksiklikleri kullanırız. Mesela DNS’in ve internet’in çalışma mantığını eğer anlayamazsınız “Ortadaki Adam Saldırısı”nı tam olarak kavrayamaz, kavrasanız bile tek yönlü olarak bilip çeşitli varyasyonlar üretemezsiniz.   2)Ağ(Network):Yukarıda da belirttiğim gibi eğer kollayı sıvayıp ağ güvenliğine dalmak istiyorsak önce ağ öğrenmemiz, ağ temellerini atmamız gerekir. Yani eğer sektörde “Ya ben ağ güvenliğiyle uğraşıyorum ama ağ bilgim yok” derseniz size karşınızdakiler bir yerleriyle gülerler. Protokolleri, protokollerin çalışma mantığını, birbirleri ile ilişkilerini, ağ mantığını bilmeden yapamayız. Mesela bir önceki konumda NMAP’i anlattım ve mantığı üzerinde durdum. Eğer siz konuda verdiğim ağ temellerine vakıf olmadan konuyu okursanız NMAP’in çalışma mantığını anlamanız da o kadar zor olur. Mesela ağ ve bir sonraki madde olan web için kendi bölümümden bir örnek vereyim. Eğer siz insan(makina,sistem) fizyolojisini(normal işleyiş) bilmezseniz patolojisini(aksaklıklar, hasar, açıklar, zaafiyetler) anlayamazsınız. Yani mesela bir sistem’in yönetimini gerçekleştiriyorsunuz ve çalışan işlemlerde birkaç şey var, bunların sistemin normal işleyişinde var olması gereken olaylar mı olduğunu yoksa sistemdeki bir zaafiyetten mi kaynaklandığını anlamanız için öncelikle sistemin normal işleyişinin nasıl olduğunu bilmeniz gerekir. Aynı şekilde bir sisteme pentest yapacaksanız da ağ’ın temelindeki açıkları ve sömürülebilir noktaları bilip ona göre bildiğiniz zaafiyetlere yönlenirsiniz. Misal TCP syn attack yapacaksanız yada IP sahteciliği yapacaksanız(teorikte evet de pratik de çok zor) TCP’yi bilmelisiniz.TCP’yi bilmelisiniz derken demek istediğim “Açılımı Transmission Control Protocol’dür, TCP/IP protokol takımının aktarım katmanı protokollerinden birisidir. Gelişmiş bilgisayar ağlarında paket anahtarlamalı bilgisayar iletişiminde kayıpsız veri gönderimi sağlayabilmek için TCP protokolü yazılmıştır.” şeklinde bana TCP’yi anlatmanız değildir. TCP bilmek derken çalışma mantığını, neden ihtiyaç olduğunu, ne olduğunu anlatmanızdır.Ağ hakkındaki bilgilerinizi pekiştirmek için Cisco’nun bir simülasyonu var bunu kullanabilir. Kendi ağınızı kurup üstünde denemeler yapabilir, işleyişi takip edebilirsiniz. Bunu da belirtmiş olayım.3)Web:Evet gelelim en sevdiğim maddelerden birine. Bu maddeyi çok seviyorum çünkü bu madde forumda çoğunluğunun temel olarak ne kastedildiğini şahsıma göre anlamadığı ve çok iyi bildiğini iddia ettiği bir maddedir. Öncelikle gelelim şimdiliye kadar anlatılmış olan şahsıma göre de yanlış olan Web temeline. Bu temel şu şekilde: “Önce CMS Bruteforce, sonrasında Havij ile Sql İnjection bunun bir tık üstü olarak Sqlmap ile (temel düzeyde) sql injection, shell atma, config çekme....” ilerleyip gidiyor. Hatta hatırı sayılır kişiler tarafında “en basitinden (SQL,İSS,RFI,LFI,XSS)” şeklinde açıkların bilinmesi önerilmiştir. Şimdi adım adım bu temeli bir ele alalım.   a)CMS Bruteforce:Allah affetsin zamanında ben de yaptım. Lakin sonrasında doğru yolu buldum. Şimdi burayı okuyanların aklına şu gelmesin. “CMS bruteforce yapanları aşağılıyor, hor görüyor.”. Birincisi bunu yapmam kendi ilkelerime aykırı gelir ikincisi bunu yapmak haddime değildir. Ben burada bunun yanlış kullanımını anlatacağım.Şimdi ilk gelenlere CMS bruteforce ile başla denir. Karşıdaki de okeyler başlar CMS Bruteforce’a. Öncelikle burada ki yanlış yeni gelen ve temel olarak nerden başlamalıyım diyen kişiye temel diye CMS Bruteforce’u vermek. Şimdi gelelim ikinci yanlışa. Ben kimseye sakın CMS Bruteforce kullanma demem. Kullanacaksan kullan lakin orda 2 tane butona basıp çıkan siteyi burda allayıp pullayıp pazarlarsan ve başka insanlara bununla hava atarsan işte o zaman laf ederim. Arkadaşlar CMS Bruteforce’u kullanacaksanız kullanın ama lütfen çalışma mantığını bilerek kullanın. Hani diyorsanki kardeş ben günde illa bir defa CMS bruteforce açmadan yapamıyorum. Açın açmayın diyen yok lakin o program arkada neler yapıyor? Neden ben bu butona basıyorum. Bu butona bastığımda arkada noluyor? Bunları düşünerek araştırarak yapın.   Burda dikkatinizi çekmek istediğim bir nokta var. Bakın en baştan beri “Bruteforce” yapmayın demiyorum “CMS bruteforce” yapmayın, illa yapacaksanız da çalışma mantığını bilerek zevk için yapın diyorum çünkü bruteforce yapma dersek yanlış yapmış oluruz. Bruteforce doğru şekilde ve bilinçli kullanımlarında çok etkili ve bazen kullanılması şart olan bir yöntemdir. Bunun da altını çizelim.b)SQL Injection:Şimdi de buradaki yanlışlara değinelim. Kişiye öncelikle birkaç tane video atıp(sql açığı sorgulama, havij kullanımı, sqlmap kullanımı) sql injection yarım yamalak anlatılır. Bu birinci yanlışımız. İkinci yanlışımız ise “en basitinden (SQL,İSS,RFI,LFI,XSS)” tırnak içinde belirtildiği gibi bu açıkları basit olarak görmek. Madem bu kadar basit açıklar ve bu kadar kolay öğrenilebiliyor ise neden bu beyanlarda bulunan kişileri HackerOne tarzı sitelerde çok yüksek miktarlı ödemeler yapan şirketlerden ödül almış şekilde göremiyoruz?   Şimdi gelelim Web’in şahsıma göre doğru olan temeli nedir ve nasıl atılmalıdır o bölüme. Eğer kişiye web temeli verilecekse bunlar zaafiyetler değil web’in kendisi olmalıdır. Php, js, css, html, veritabanı yönetimi gibi şeyler verilmelidir ki kişi zaafiyetleri anlayabilsin. Buna 3 tane örnek vereceğim ilk örneğimiz “SQL injection” üstünden olacak. En basitinden mesela elinizde bir site var ve sitede sql var mı diye kontrol edeceksiniz. Nasıl yapılması anlatıldı? Sonuna tırnak işareti koyarak. Bizim yapmamız gereken şey neden tırnak işareti koyuyoruz? Ya da tırnak işareti yerine ünlem işareti koysak olmaz mı , olmazsa neden olur, olmazsa neden olmaz? Bu soruları yöneltmek ve atıyorum SQLMAP kullanıyorsunuz diyelim yada manuel olarak yapıyorsunuz. Select, where, get gibi girdileri neden veriyoruz? Bunlar neden bize bu çıktıları veriyor? Şeklinde sorular yönetip SQL sisteminin çalışma mantığını ve nasıl işlediğini bilmeliyiz ki bu soruların cevaplarını alabilelim.İkinci örneğimiz ise XSS zaafiyeti üzerinden olacak. Mesela XSS zaafiyeti var mı diye kontrol ediyorsunuz, atıyorum bunu alert verdirerek yapmaya çalışıyorsunuz ama biz bu alert’i nasıl verdiriyoruz, bu alert neden çıkıyor? Diye sorular yöneltmeliyiz. Alert’i verdirirken js kodu çalıştırıyorsunuz. Bu yüzden JavaScript bilmeliyiz. Eğer javascript bilmeden ben xss açığı kullanıyorum falan derseniz sadece kendinizi kandırmış olursunuz. Üçüncü örneğimiz ise yine çok kullanılan yöntemlerden biri olan Login Bypass yönetimiyle ilgili olacak. Siz admin panelini karşınıza aldınız gittiniz admin ve pass bölümüne ''Or'='Or'' veya 1'or'1'='1 yazdınız panele girdiniz. Peki biz bu kodları kullanarak sisteme giriş nasıl yaptık? Neden bu kodları kullandık? Mesela ben “Taipan’=’Taipan” yazsaydım sisteme girmez miydi? Girmezse neden girmezdi veya girseydi neden girerdi? Şeklinde soruları yöneltip bunların mantığını kavramaya temelini öğrenmeye çalışmalıyız. Web konusunda diyebileceklerim bunlar.4)Temel Linux Bilgisi:Arkadaşlar size gidip kali linux kurun veya ubuntu kurun falan demeyeceğim lakin sanal makinede de olsa bir linux dağıtımına sahip olmanızı öneririm. Linux bilgisi sektörde vazgeçilmeyen şeylerden biridir. Temel komutları, dizinleri, server yönetimini, önemli dosya ve klasörleri bilmeniz gerekmektedir. Bash script yazamayan insan kendine şahsıma göre güvenlikçi dememelidir. Mesela çoğumuzun yaptığı bir şeyden örnek vereyim. Forumda birçok konuda anlatılan bir şeyden bahsedeceğim “Shell Atma”. Gittik bir siteye shell’i bastık shell ekranı karşımızda konularda hep “public_html” sekmesine ulaşmamız istenir. Peki neden bu sekme? Bu sekme aslında neye karşılık geliyor? Ya da shell üzerinde linux komutları çalıştırılabilir mi? Bu soruların cevaplarını alabilmemiz için linux temellerini bilmemiz gerekir. Tersten bakacak olursak mesela siz bir linux server’a sızdınız yada o server’ın üzerindeki siteler ve server size emanet. Siz nereye bakmalısınız? Hangi dizin’e dikkat etmelisiniz? Hangi dosyalardan bilgi toplayabilir yada toplanmasını engelleyebilirsiniz? Bu soruların yanıtları için de temel düzeyde linux bilgisi gereklidir. He tabi kimseye linux bilgini temelde tut, windows bilme falan demiyoruz yanlış anlaşılmasın. Windows bilgisinin de olması gerekmektedir tabi ki. Genel olarak işletim sistemleri hakkında bilgi diyebiliriz.   5)PythonŞimdi burda python dedim diye diğer dilleri es geçin demiyorum sakın yanlış anlaşılmasın. Daha yaygın ve basit kullanımından ötürü python diyorum. Python bilmek cidden hayat kurtarıyor. Python temellerinizi sağlam atıp “Python 4 Hackers” kısmına geçmenizi öneririm. Konunun en sonunda vereceğim CTF linkindeki soruları inceleyip neden bu kadar önemli olduğunu anlayabilirsiniz.   6)İngilizceİngilizce olmadan belli bir yere kadar ilerleyebiliyorsunuz lakin kaynak konusunda çok sıkıntı çekiyorsunuz. Genelde düzgün ve faydalı kaynakların çoğunun ingilizce olması, Uluslararası iletişim dili olması, sektörde kullanımının yaygın olması nedeniyle ingilizce çok önemli bir köşe taşı.7)Eğitimler ve KonferanslarTürkiye’de ücretsiz birçok eğitim bulunmakta. Genelde eğitimler konferanslarla beraber olurlar lakin sadece konferanslar da olabiliyor. Kendinizi geliştirmeniz açısından eğitimler ve konferanslar çok önemli çünkü kısa sürede işin ehli kişilerden bilgi alımı yapıp genelde bunu test etme imkanı da buluyorsunuz. Mesela Türkiyede aklıma gelen birkaç tane ücretsiz eğitim veren(sınavla veya sınavsız),konferans düzenleyen etkinlik yazayım: Hacktrick, Linux Yaz Kampı, BGA, Cezeri SGA, CSCon, Akademik Bilişim Günleri, Lostar Yaz Kampı, Özgür Web Günleri şimdilik aklıma gelenler bunlar lakin konunun sonunda birçok şirket, topluluk ve şahıs linki vereceğim oradan takip edebilirsiniz. Ek olarak ücretli eğitimler de var ancak onları paylaşmak istemedim araştırıp bulabilirsiniz.Bir de DD co-adminimizin oluşturduğu bir liste var onu da ekleyeyim   Kod: https://twitter.com/DDenekk/status/936258887598198784 8)CTF’lerAbi büyük küçük demeyin gördüğünüz CTF’e katılabiliyorsanız katılın. CTF’ler edinilen bilgilerin pekiştirilmesinde ve yeni bilgiler edinilmesinde çok etkili bir yöntem. E tabi birde işin ucunda ödül de oluyor. CTF’lerin başka güzel bir yanı ise soruları çözmek için uğraşırken araştırma yapıyorsunuz ve bu zaman diliminde araştırma yapıp öğrendiğiniz bilgiler başarıyla birleşince akılda daha çok kalıcı oluyorlar. Yukarıda belirttiğim şirket, topluluk veyahut etkinliklerde eğitime girişler genelde ctf ile oluyor yada eğitim sonunda CTF düzenleniyor. Bunlara ek olarak kendiniz istediğiniz zaman uğraşabileceğiniz CTF’ler için konu sonunda birkaç tane link vereceğim ordan girip uğraşabilirsiniz. Ayrıyetten üst düzey CTF’ler hariç çevremdeki arkadaşlarla mizah olarak belirlediğimiz ve girdiğimiz CTF’lerde karşımıza birçok kez çıkan “CTF’in 5 Farzı” dediğimiz unsurlar var onları da şöyle dizeyim:-Linux Bilgisi-Python Bilgisi-Wireshark-Kriptoloji(Ciddi matematik ister)-Think SimpleHele sonuncusu yani basit düşünme bazen soruların cevaplarını görünce o kadar içinizi acıtıyor ki “Lan ben neler yaptım bu muymuş” falan diyorsunuz. Bunları da belirtmiş olup yukarıdaki maddelerin önemini kavrayabilmeniz için son zamanlar bir CTF olan STMCTF’in sorularının ve çözümlerinin olduğu bir linki paylaşıp bir sonraki ve son maddemize geçelim. STMCTF’in sorularını incelemenizi kesinlikle öneririm. Şahsen hem ufkumu açtı hem de ne kadar düşük bir seviyede olduğumu fark edip çalışma azmi verdi. Kod: https://github.com/stmctf/stmctf17 9)Sektördeki Abilerimiz, Topluluklar ile Günceli Takip Etmek:Başlık biraz uzun ama maddeyi tamamen açıklar şekilde oldu. Türkçe kaynak sıkıntısı çekmemek için sektörde yer sahibi olan kişileri, toplulukları ve sayfaları takip ederek blog yazılarından, makalelerinde ve incelemelerinden faydalanmak size çok şey katar. Bunlara ek olarak da günceli takip ederek yenilikleri öğrenir ve kendi bilgilerimizle pekiştirip anlamaya çalışarak fransız kalmamış oluruz. Bu madde ile ilgili olan linkleri de konunun sonunda sizlerle paylaşacağım.   Şirketler, Topluluklar ve Sayfalar:https://twitter.com/Lostarhttps://twitter.com/InnoveraBThttps://twitter.com/canyoupwnmehttps://twitter.com/pentestbloghttps://twitter.com/nixcrafthttps://twitter.com/adilburaksenhttps://twitter.com/PwnlabMehttps://twitter.com/CanDegerhttps://twitter.com/defconhttps://twitter.com/cyberstrugglehttps://twitter.com/Hackers_toolboxhttps://twitter.com/caliskanfurkan_https://twitter.com/mertcangokgozhttps://twitter.com/mdisechttps://twitter.com/_aucchttps://twitter.com/netsparkertr   CTF’ler ve Lablar: Kod: ctf.canyoupwnme.me ctftime.org https://www.vulnhub.com https://pentesterlab.com Bloglar ve Kaynaklar: Kod: http://python4hackers.com/ https://github.com/fatihacet/turkcekaynaklar-com https://www.mertsarica.com/ https://mertcangokgoz.com http://ahmetkotan.com.tr/ https://twitter.com/utkusen http://www.halitince.net/ https://www.wonderhowto.com/ https://www.teakolik.com https://www.invictuseurope.com https://tryhackme.com/dashboard https://cbolat.blogspot.com https://pwnlab.me https://ttmo.re/kutuphane/ https://www.gurayyildirim.com.tr/ http://www.gokhanyuceler.com/ https://furkankayar.net/ https://www.mehmetince.net/ https://github.com/Hack-with-Github/Awesome-Hacking http://alperbasaran.com/ https://www.netsparker.com/blog/ phrack.org Evet arkadaşlar konunun sonuna gelmiş bulunmaktayız. Konudan önce beni uyaran birkaç kişi oldu kardeşim uğraşıyorsun açacaksın ama millet bildiğinden pek şaşmaz diye benim amacım bir kişi de olsa insanların biraz daha bilinçlenmesidir. Bir de “la bu kadar şey yazdın da sanki kendin yapıyor musun” diyebilirsiniz. Barış Manço’nun sevdiğim bir sözü vardır “Barış söyler de kendi bir ders alır mı?” diye bende de o hesap  Herkese iyi akşamlar dilerim. 
Portlar ve Zafiyetleri
Portlar ve Zafiyetleri
FTP (File Transfer Protocol) türkçesi Dosya aktarım protokölü olan bu servis adından da anlaşalıcağı üzere sunucuya dosya transferi sağlamak için kullanılır. Filezilla gibi windows araçlarında kullandığınız olmuştur bir hostname, password ve kullanıcı adı gereklidir ama bazı durumlarda anonymous bazı sebeblerden dolayı açık olabilir ve anonymous:anonymous bilgileriyle girilebilir tabi ki bir yetkili kişi beklemeyin fakat bazen de olabilir ama hiç görmedim sadece ctf lerde. Videoda ise bruteforce testi yaptık, zafiyetli uygulamayı tespit ettik exploitini bulduk bu exploiti ****sploitte çalıştırdık ve github da bulduğum bir exploiti de kullandım.​ SSH SSH konusu biraz uzun bir konu aslına bakarsanız çünkü id_rsa key kırma etme çok şeyi var. Ben videoda bruteforce testi gerçekleştirdim ve shell aldım. Genellikle root olamazsınız ilk seferinde ama www-data olursunuz ve bununla yetki yükseltme yaparak ki yetki yükseltme de apayrı çok geniş bir konu root olabilirsiniz. SSH ile sistemin komut satırına girersiniz yani herşeyin yapıldığı o terminal yani ssh a girmek siteye girmek demek diyebiliriz.​ Telnet 22.Portun aynısıdır aynı işlevleri gerçekleştirir. AncakSSH telnete göre çok daha güvenlidir. Bu yüzden telnet yerinegenellikle 22.Port kullanılır 23.port tehlikeli bir portdur Samba Bir dosya alma paylaşma portudur bu portgenelde Windows,Linux,Unix sistemlerinde kullanılır ancak çoktehlikeli ve zararlı bir portdur zira bilgisayar depolama diskiniziinternete açar.​ Daha çok iç ağlarda server ile istemci arasındailetişimi sağlayan bir network protokolüdür. Genelde ağ bağlantılıyazıcı, kamera gibi sistemler için kullanılır. Bu sisteme bağlı ağlargenelde dış ağa kapalı olan sistemlerdir bu yüzden sızılması fizikseltemas dışında zordur Backdoor Gerçek hayatta bu portun açık olmasını beklemeyin imkansiz gibi bir şey  Bir bindshell servisi çalışıyor yani bir arka kapı ama ctf lerde bile görmedim..​ MySQL Bir veritabanı kontrol portudur genelde websitelerinin ve sunucularda tutulan MYSQL türü veritabanlarınıuzaktan veya fiziksel olarak kontrol etmesini sağlar. Genel birkullanıma sahiptir. Kişisel kullanıma uygun olduğu gibi büyük firmalartarafından da kullanılır. Kullanımı kolaydır. Verilerin güvenliği içinlogin yani giriş kısmında güçlü ve karmaşık kullanıcı adı ve şifre tercihedilmelidi​ Tomcat Genellikle 8080 portunda çalışan bir web uygulaması olan tomcatın şöyle bir zafiyeti olabilir default şifreleri bulabiliriz ve shell atabiliriz tabi wordlistler ile bulabiliriz fakat iyi bir wordlist hazırlanılırsa.​
Bilgi Güvenliği​
Bilgi Güvenliği​
Tkdk'ya göre ; Bilgi güvenliği, bilginin izinsiz veya yetkisiz bir biçimde erişim, kullanım, değiştirilme, ifşa edilme, ortadan kaldırılma, el değiştirme ve hasar verilmesini önlemektir. Gizlilik, Bütünlük ve Erişilebilirlik olarak isimlendirilen üç temel unsurdan meydana gelir. Bu üç temel güvenlik öğesinden herhangi biri zarar görürse güvenlik zaafiyeti oluşur.Gizlilik: Bilginin yetkisiz kişilerin eline geçmeme ve yetkisiz erişime karşı korunmasıdır.Bütünlük: Bilginin yetkisiz kişiler tarafından değiştirilmemesidir.Erişilebilirlik: Bilginin yetkili kişilerce ihtiyaç duyulduğunda ulaşılabilir ve kullanılabilir durumda olmasıdır.   Hack ve Hacker​ • Hack kelimesinin bir çok anlamı bulunmaktadır sizler bunu araştırabilirsiniz. Ben bir kitap okudum ve onu yorumlayarak size bir tanım yapmaya çalışacağım. Eğer siz bir şeyi amacı dışında kullanıyor iseniz bu bir hack sayılabilir. Örneğin kettle yani su ısıtıcısı düşünelim eğer siz bunu su ısıtmaktan başka bir amaçla kullanıyorsanız bu bir hackdir.• Hacker ise bilgisayar korsanı diye geçebilir veya hack yapan kişiye denir. İşletim sistemleri üzerinde çalışmalar yürüten kişilerdir.     Hacker Türleri​ • Hackerlar 3 e ayrılmaktadır bunlar beyaz, siyah ve gri şapkalı olmak şekildedir. Beyaz şapkalılar sisteme zarar vermeyen buldukları güvenlik problemlerini bildiren kişilerdir. Siyah şapkalılar tahmin edeceğiniz üzere tam tersi açığı bulduğu zaman affetmeyenlerdir. Gri şapkalılar ise istemeden zarar veren bulduğu açı raporlasa bile bunu izinsiz yaptığı için suçtur.• Script Kiddie : Bunlar hacker değildir fakat lamerlerden bir tık üstün bir bilgiye sahiptir. Zarar vermeye odaklanırlar• Cracker : Kötü niyetlidirler bir sisteme girdiğinde herşeyi silerler ve sorun yaratırlar.• Lamer : Sadece taklit ederler bir bilgi birikimi yoktur.• Phreaker : Elektronik alanda gelişmiş bilgiye sahiptirler donanımdan anlarlar.​     Pentest ve Aşamaları​ Ben bu seride siyah şapkalılar hakkında bir şey anlatmayacağım haberiniz olsun yani sadece beyaz. Şimdi bir pentest konusundan bahsetmemiz lazım pentest yani sızma testi. Size bir site veriliyor ve siz buna girmeye çalışıyorsunuz bunları da rapor ediyorsunuz ve sızma testi başarılı & başarısız bitiyor. Bu raporda herşeyi yazıyorsunuz ne var ne yok ne kullandın nerde ne var ne olabilir. Aşamaları ;   Siber Güvenlikte Kariyer​ Siber güvenlikte iki takım vardır red ve blue. Red takım ofansif blue ise defansif odaklıdır.Ofansif• Sızma Testi Uzmanı- Ağ Sızma Testi Uzmanı- Web Uygulama Sızma Testi Uzmanı- Mobil Uygulama Sızma Testi Uzmanı• Exploit Geliștirme• Zararlı Yazılım (Malware) Geliștirme   Defansif• SOC – Security Operation Center – Analisti• Adli Bilişim (Forensics) Uzmanı• Sistem Güvenliği Uzmanı• Zafiyet Yönetimi Uzmanı• Yazılım Güvenliği Uzmanı• Malware Analisti   Sızma Testi Raporu• Kullanılan araçlar• Tespit edilen cihazlar• Topoloji• Zafiyetler• Sömürme yöntemleri• Ulaşılabilen son nokta• Riskler• Savunma yöntemleri• Saldırı kombinasyonları   Sertifikasyon Programları• CEH – Certified Ethical Hacker• TSE Beyaz Şapkalı Hacker• OSCP – Offensive Security Certified Professional• OSCE – Offensive Security Certified Expert• GWAPT – GIAC Web Application Penetration Tester• GPEN – GIAC Penetration Tester
Bilişim Sistemlerine Yönelik Siber Saldırılar ve Siber Güvenliğin Sağlanması
Bilişim Sistemlerine Yönelik Siber Saldırılar ve Siber Güvenliğin Sağlanması
Özet: Dünyada bilgi ve iletişim teknolojilerinin hızla yaygınlaşması, internet kullanımının artması, bilgi depolanması ve iletilmesinin çoğalması sonucunda Siber Güvenlik ve Siber Saldırı kavramı hem ulusal güvenliğin hem de kurumların rekabet gücünün sağlanmasında önemli rol oynamaktadır.  Siber Güvenlik kavramıyla birlikte bilgisayar korsanlarının sürdürdüğü saldırılar kimi zaman kullanıcıları, kimi zaman da şirketleri ve devlet kurumlarını hedef alarak büyük zarara uğratmaktadır. Bu saldırılar genellikle fidye yazılımları, olta saldırıları, DDOS saldırıları, mobil tehditler vb. olarak karşımıza çıkmaktadır. Son yıllarda Siber Saldırılar dolayısı ile ortaya çıkan zararlar kurumları ciddi olarak tehdit etmektedir. Siber Güvenlikle bilişim sistemlerinin Siber Saldırılardan korunması, işlenen bilgilerin gizlilik, bütünlük ve erişilebilirliğinin güvence altına alınması, Siber Saldırıların önceden tespit edilmesi ve bu tespitlere karşı önlemlerin alınması kurumlar için artık bir zorunluluktur. Bu çalışma kapsamında, dünyadaki bazı ülkelerde farklı kurumlar tarafından hazırlanan Siber Güvenlik Raporları ve yapılan Siber Güvenlik anketleri incelenmiştir. Bu inceleme sonucunda siber tehditler ve bu konuda neler yapıldığı, güvenlik riskleri, güvenlik zafiyetleri analiz edilmiş, alınması gereken önlemler ve farkındalık konusunda önerilere makalede yer verilmiştir. Anahtar Kelimeler: Siber Güvenlik, Siber Saldırı, Siber Risk Yönetimi, Kapsamlı Güvenlik Stratejileri Cyber Attacks Directed Information Systems (IS) and Maintenance of Cyber SecurityAbstract: The concept of cyber security and cyber attacks have been playing a critical role in the achievement of both national security and corporate competitiveness as a result of the increase of worldwide rapid spread in the field of information and communication technologies, data storage and data communication.  Hacker attacks have severely damaged sometimes computer users, sometimes companies and government institutions. These attacks have confronted us in the forms of ransomwares, phishings, DDOS attacks, mobile threats and etc. Economic losses resulting from cyber attacks in recent years have been threating corporations severely. It is mandatory for corporations any longer to protect information systems through cyber security, secure the data confidentiality, integrity and accessibility, detect cyber attacks in advance and take counter measures against these attacks. Within the scope of this study, Cyber Security Reports and Surveys prepared by various institutions in some countries are examined. As a result of this examination, cyber threats and practices, security risks and weaknesses are analyzed, the recommendations regarding compulsory measure and the security awareness are given in the article.Keywords: Cyber Security, Cyber Attack, Cyber Risk Management, Comprehensive Security Strategies⦁ GirişBilgi teknolojileri ilerledikçe bilgiye erişim imkanları artmakta ve dolayısıyla da bilginin güvenliğinin sağlanması zorlaşmaktadır. Günümüzde bilişim sistemlerinin hayatın her alanında kullanılmaya başlanması ile birlikte Siber Güvenlik tehditleri de artmıştır. Türkiye İstatistik Kurumunun 19.09.2017 tarihinde yayınladığı Hanelerde Bilişim Teknolojileri Kullanımı Araştırması raporuna göre 16-74 yaş arası 2017 yılı toplam internet kullanımı oranı %66,8’dir. Hanelerde internet erişimi oranı ise %80,7’dir (TÜİK, 2017). Son 5 yıllık sürece baktığımızda (2013-2017)  2013 yılında toplam internet kullanımı oranı %48,9 ve internet erişimi oranı ise %49,1’dir (TÜİK, 2013). Bu sonuçlara göre bireysel internet kullanımı oranı son 5 yılda %17,9 ve toplam internet kullanımı oranı ise %31,6 artış göstermiştir. Bireysel olarak internete erişimin ve internet kullanımının artması Siber Güvenlik tehditlerini de beraberinde getirmiştir. Aynı şekilde kurumlarda bilişim teknolojileri kullanımı anketi oranlarına göre 2017 yılında kurumlarda bilgisayar kullanımı oranı %97,2 ve internet erişimi oranı ise %95,9’dur(TÜİK, 2017). Son 5 yıllık sürece baktığımızda 2013 yılında bu oranlara göre kurumlarda bilgisayar kullanımı oranı %92 ve internet erişimi oranı ise %90,8’dir (TÜİK, 2013). Bu sonuçlara göre son 5 yılda kurumlarda bilgisayar kullanımı oranı %5,2 ve internet erişimi oranı ise %5,1 artış göstermiştir. Kurumsal olarak, kurumların bilgisayar kullanımının ve internet erişiminin artması Siber Güvenlik tehditleri de arttırmıştır. Ayrıca bilişim teknolojilerindeki son gelişmeler, gelişen global iletişim ağları,  tüm nesnelerin ağlarla birbirine bağlanmasını hedefleyen nesnelerin interneti, bulut teknolojileri, mobil internetin yaygınlaşması ve cihazların yenilenmesi ile birlikte siber riskleri ve belirsizlikleri de beraberinde getirmiştir.  Siber Güvenlik tehditleri bireyleri, kurumların bilgi ve iletişim sistemlerinde güvenlik zafiyetlerini her geçen gün arttırmaktadır. Bu durum sistemlerin çalışmamasına, ekonomik zarara ve siber güvenliğin tehlikeye girmesine neden olmaktadır. Kurumlar ve bireyler siber riskleri ancak gelişmiş risk yönetimi ve kapsamlı güvenlik stratejileri sayesinde önleyebilirler (Yıldırım, 2016).  Çalışma kapsamında farklı kurumlar tarafından uygulanmış Siber Güvenlik Raporları ve anketleri incelenmiş ve Siber Güvenliğin sağlanması ve siber farkındalık konusunda önerilere yer verilmiştir. ⦁ Siber Güvenlik Siber Güvenlik (SG), siber uzayı oluşturan bilgi teknolojileri sistemlerinin tehditlerden korunmasını, buradaki bilginin gizlilik, bütünlük ve erişilebilirliğinin güvenli bir şekilde sağlanmasını, saldırı ve siber durumların belirlenmesini, bu belirlemelere yönelik önlemlerin alınmasını ve sonrasında ise sistemlerde karşılaşılan sorunların Siber Güvenlik saldırısı öncesine geri getirilmesini anlatır (2016-2019 Ulusal Siber Güvenlik Stratejisi, 2018).Büyük Siber Güvenlik ihlallerinin sıradan ve düzenli hale gelmiş olması tüm dünyada firmaların ve liderlerin dikkatini çekmektedir. Son yıllarda dünya çapındaki birçok kuruluş bu tür olaylara dikkat çekmekte, giderek karmaşıklaşan bir dijital toplumda ortaya çıkan siber riskleri anlamaya ve yönetmeye çalışmaktadır. Firmaların verilere ve verilerin birbirine bağlılıklarına olan ihtiyaç arttıkça, siber şoklara dayanmak için dayanıklılık geliştirmek çok önemli bir hale gelmektedir. Son yıllarda artan fidye saldırıları ve veri hırsızlığı, şirketlerin hem itibar hem de para kaybı yaşamasına sebep olmaktadır.2013-2014 Ulusal Siber Güvenlik Stratejisi Eylem Planı 11. Maddede Siber Güvenlik riskleri konusunda SG ile ilgili kurumsal ve kişisel olarak yeterli bilinç seviyesine erişilmediği vurgulanmıştır. Ulusal siber güvenliğin sağlanması konusunda ise ilkeler 4. madde de SG sağlanmasında kişi, kurum, toplum ve devletin hukuki ve sosyal yükümlülüklerini yerine getirmesi gerektiği ifade edilmiştir (Yeniman Yıldırım ve Adalı, 2017). 2016-2019 Ulusal Siber Güvenlik Stratejisi Eylem Planındaki en önemli riskler ise: a) Sosyal ağlara bağımlılık, b) Kurumların siber uzaydaki pozisyonları, c) Siber casusluk faaliyetleri ve amaçlı saldırılar, ç) Personel, bilgi, beceri ve tecrübe konusunda yetersizlik, d) Kurumlar arası eşgüdüm noksanlığı, e) Siber uzayda farklı büyüklüklerde aktivite gösteren sektörlere ait ekonomik endişeler olarak sıralanmıştır (2016-2019 Ulusal Siber Güvenlik Stratejisi, 2018). ⦁ Siber Saldırılar  Bilgisayar ve internet konusunda profesyonel hacker veya hacker gruplarının kazanç sağlamak ve zarar vermek amacı ile kurumsal veya bireysel düzeyde web sitelerine, ağlara veya bilgisayarlara yaptıkları saldırılara “Siber Saldırı” denir (Milliyet Gazetesi, 2017). Amerika Birleşik Devletleri Ulusal Araştırma Konseyinde 2009 yılında yapılan bir çalışmada Siber Saldırılar; “Ağlar, bilgisayar sistemleri veya bilgiyi ve bunlarda yerleşik olan ya da bunları taşıyan programları bozmak, aldatmak, küçük düşürmek veya yok etmek için yapılan kasıtlı hareketler” olarak tanımlanmıştır (Singer ve Friedman, 2015). Günümüzde Siber Saldırılar siber guvenlik adına tehdit oluştururken bu tehditleri kurumsal ve bireysel daha kapsamlı anlamak ve farkında olmak büyük bir önem arz etmektedir. Kurumların ve bireylerin gelecek gerçek tehditleri fark etmeleri, hedefli saldırıların yöntem ve tekniklerinin daha geniş alanda nasıl olduğunu görmeleri tehditlere karşı koruyucu olacaktır (Miller, 2016).  DDOS (Distributed Denial of Service, Dağıtık Hizmet Engelleme) Saldırıları: Bu saldırılar bir bilgisayar aracılığıyla hedef olarak belirlenen bilgisayarın kullanılabilirliğini ortadan kaldırmaya yönelik gerçekleştirilir. Saldırı esnasında PC ve PC'nin kullandığı ağların olabildiğince yavaşlatılması ve kullanılamaz hale gelmesi amaçlanır. Aynı andan birden fazla PC ve bağlantı desteğiyle gerçekleştirildiği için kapsamı daha büyük zararlara neden olabilir. Engellemek için kurum içi güvenlik duvarlarından veya içerik filtrelerinden yararlanılmalıdır (Altundal, 2013). Bu saldırılarla;⦁ Site trafiğine yönelik yapılarak sitenin erişilebilirliği engellenir.⦁ Bant genişliğine yapılarak bağlantıda ciddi sorunlar yaratılabilir.⦁ Uygulamalar üzerinden kaynak bilgisayarın çalışması sonlandırılabilir. Fidye Yazılımları: Şifreleyiciler ve kilitleyiciler olarak iki türdedir⦁ Bu tehlikeli yazılımlar ile bilgisayardaki bilgileri kilitlemekte ve dökümanların tekrar kurulumu için kişilerden her defasında para istemektedir. Fidye yazılımları genel olarak Windows ve Android cihazları hedef almaktadır.⦁ Günümüzde en yaygın ve en tehlikeli Siber Saldırı fidye yazılımı «WannaCRY» birçok büyük kurumun sistemine yayılmıştır. Bu yazılım, 'solucan' ismiyle anılan virüs aracılığıyla bilgisayarlara sızmaktadır. Bu zararlı yazılım, çoğunlukla menşei belli olmayan programlar, form siteleri, eposta, sahte oyunlar, disk vasıtasıyla bulaşmaktadır. “WannaCry” kurumların sistemlerine sızdığı an, zayıf makineleri belirlemekte ve kendi kendine bulaşmaktadır. ⦁ Kurumlar kendilerini korumak için gerekli tedbirleri almalıdırlar. Güvenlik duvarı oluşumu, antivirüs programları, dosya süzme uygulamaları, yetkisiz erişimleri belirleme yazılımları ve yazılımların devamlı güncellenmesi Siber Saldırıları önleyebilmektedir. Phishing (Olta) Saldırıları: ⦁ Olta Saldırıları, banka ve finans kuruluşları tarafından gönderilmiş görünen, çok önemli içeriğe sahipmiş gibi sanılan sahte elektronik postalardır. ⦁ Gelen sahte elektronik postalardaki linklerle,  kart şifreleri ve bilgileri, internet parolası ve kişisel veriler kişilere zarar vermek için kullanılabilir.  Korunmak için:⦁ Gelen elektronik posta'nın kimden geldiğinden ve gerçek olduğundan kesinlikle emin olmak gerekir.⦁ Bilmediğimiz kişi ya da kurumlardan gönderilen elektronik postaların içerisindeki linklerin tıklanmaması ve gelen dosyaların bilgisayara indirilmemesi gerekmektedir. ⦁ Elektronik posta yoluyla veya farklı ortamlardada sunulan web sayfası linkleri kullanılmamalıdır.⦁ Erişmek istenilen web sayfalarının adreslerinin tarayıcının adres satırına yazılması gerekmektedir. Son yıllarda Siber Saldırılar dolayısı ile ortaya çıkan zararlar kurumları ciddi olarak tehdit etmektedir. Siber Güvenlikle, bilişim sistemlerinin Siber Saldırılardan korunması, işlenen bilgilerin gizlilik, bütünlük ve erişilebilirliğinin güvence altına alınması, Siber Saldırıların önceden tespit edilmesi ve bu tespitlere karşı önlemlerin alınması kurumlar için artık bir zorunluluktur (Akyıldız, 2015).    ⦁ Araştırma  ⦁ Araştırmanın Amacı Bu araştırmanın temel amacı, kurumların Siber Güvenlik konusundaki çalışmalarını tespit etmek, farkındalık düzeylerini ölçmek, Siber Saldırıların yol açtığı Siber Güvenlik risklerinin kurumlar üzerindeki etkisini değerlendirmek ve bu konuda neler yapılması gerektiği konusunda önerilerde bulunmaktır. Günümüzde bilgi ve iletişim teknolojilerinin hızlı bir şekilde gelişmesi ve internet’in yaygınlaşması ile birlikte güvenlik Siber Güvenlik riskleri de artmıştır. Bu nedenle kurumlarda siber güvenliğin sağlaması ve farkındalığın arttırılması ve gerekli önlemlerin alınmasının önemi vurgulanmıştır. ⦁ Araştırmanın Yöntemi Bu çalışma kapsamında, dünyadaki bazı ülkelerde farklı güvenlik kurumları tarafından hazırlanan Siber Güvenlik anketleri incelenmiştir. Kurumlara Siber Güvenlik ve Siber Saldırılarla ilgili anket uygulaması yapılmıştır. Anket Siber Güvenlik ve Saldırılar konusunda alınması gereken önlemleri genel olarak ortaya koyacak niteliktedir. Anketlere ilişkin elde edilen veriler sayısal ve yüzdesel olarak değerlendirilip, yorumlanmıştır. Bu inceleme sonucunda siber tehditler ve bu konuda neler yapıldığı, güvenlik riskleri, güvenlik zafiyetleri analiz edilmiş, alınması gereken önlemler ve farkındalık konusunda önerilere yer verilmiştir.  ⦁ Araştırmada Elde Edilen Bulgular ⦁ Cyber Security Breaches Survey 2016’a göre, işletmelerin %69’unda siber güvenliğin kıdemli yöneticiler için yüksek öncelikli olduğunu, buna rağmen sadece %51’inin siber risklere karşı harekete geçtiğini, %29’unun resmi yazılı Siber Güvenlik politikalarına sahip olduğunu, %10’unun resmi siber kaza yönetim planının olduğunu söyleyebiliriz. 2015 yılında büyük firmaların %65’i Siber Güvenlik ihlal ve saldırılarılarına maruz kalmıştır. Bu firmaların %25’i ayda en az bir kez ihlal tecrübesi yaşamıştır. 2016 yılında firmaların en büyük Siber Güvenlik ihlal ve saldırılarının %68’i virüs, casus ve kötümcül yazılımlar, %32’si de başka kimliğe bürünmüş kurum içindeki kişilerden kaynaklanmaktadır. Firmaların %51’i hükümetin 10 adımda uygulamaya koyduğu  Siber Güvenlik önlemlerinin 5 adımını uygulamaktadır. Firmaların %48’i hükümetin Siber Güvenlik temasına  uygun teknik ölçüler kullanırken, %13’ünün tedarikçileri için kurdukları Siber Güvenlik standartları vardır. Firmaların %25’i orta ölçekte, %34’ü büyük firma niteliğindedir (Cyber Security Breaches  Survey, 2016)⦁ PwC’nin “⦁ The Global State of Information Security Survey 2017” Global Bilgi Güvenliği Anketini geniş bir sektörel sektör yelpazesini kapsamakla birlikte, 10.000'i aşan bir katılım sağlanmıştır. Ankete katılan organizasyonların %48’inin geliri 500 milyon dolardır. Bu ankete göre firmaların önemsediği önemli bir konu, Mobil ve IoT'nin daha fazla kontrol gerektiren yeni düzenlemelere uyum sağlaması nedeniyle artan saldırı yüzeyinden kaynaklanan karmaşıklıktaki çarpıcı artıştır. Açıklığa kavuşan şeyler, güvenlik programlarının, çalışan eğitiminin, en yeni politikalar ve kontroller gibi temel konuların hazırlık ve esnekliğe yönelik kurumsal bir bağlılığa odaklanılması gerektiğidir (The Global State of Information Security Survey, 2017).⦁ EY’nin “EY Global Information Security Survey 2017-2018” göre ankete 1200 organizasyon katılmıştır. Ankete şirketlerin IT Uzmanları (CIO) ve Bilgi Güvenliği Baş Sorumluları (CISO)'ları katılmıştır. Bu kişilerin yanıtları analiz edilerek değerlendirilmiştir. Bu kuruluşların Siber Güvenlik konusunda güçlü ve zayıf yönleri tespit edilerek siber tehditlere yönelik neler yapılması gerektiği raporlanmıştır. ⦁ Siber Güvenlik konusunda organizasyonların büyük çoğunluğu endişelidir.  Organizasyonların çoğu 12 aydan daha fazla süredir risk altında olduklarını düşünmektedir. Siber saldırganlar sürekli organizasyonları tedirgin etmekte ve saldırılara devam etmektedir. Aynı zamanda organizasyonların yeni  teknolojiler ile giderek daha fazla bağlantılı hale geliyor olması değer zincirinde fırsatlar yaratırken riskleri de beraberinde getirmiştir. Nesnelerin İnterneti (IoT) 'nin büyümesi ve birçok kuruluşun giderek daha büyük dijital ayak izi ile beslenen bu bağlantı patlaması, saldırganların istismar etmeleri için yeni güvenlik açıklarını getirmiştir. Bu nedenle işletmelerin kuruluşlarını bugün, yarın ve geleceğe dönük büyütmelerine ve korumalarına yardımcı olmak için dijital açıdan değerlendirmeye ihtiyaçları vardır.⦁ Siber Saldırılar kamu ve özel sektöre, küçük ve büyük işletmelere rastgele veya yüksek hedefli olabilir. Organizasyonlar bunu iyi kamufle ederek, ortaya çıkan ataklar için savunma geliştirebilmelidir. Fakat organizasyonlar bunu her zaman başarılı bir şekilde yönetememektedirler.⦁ Aynı zamanda kurumlar için dijital çevrede çalışmak ve etkileşim kurmak çok zor değildir. Fakat her kuruluşun teknoloji altyapısı kendi içerisinde karmaşıktır. Kurumlar dijitalleşmeyle birlikte şirket bilgilerini bulutta tutabilmektedir. Aynı zamanda şirket çalışanlarının, müşterilerin ve tedarikçilerin (dizüstü bilgisayarlar, tabletler, cep telefonları vb.) ait cihazların çoğalması nedeniyle de kurumların Siber Güvenlik önlemleri alması gerekmektedir. ⦁ Bu ankete göre kurumlar Siber Güvenlik harcamalarının arttığını belirtmişlerdir. Anket katılımcılarının %75’i Siber Güvenlik harcamalarının yıllık toplam bütçenin %25’ini aşabileceğini beyan etmiştir. Katılımcıların% 59'u son 12 ay içinde Siber Güvenlik harcama bütçelerinin arttığını, %87’si bütçenin %50’sinden daha fazla ihtiyaç olacağını, %12’si bütçenin %25’inden daha fazla ihtiyaç olacağını belirtmişlerdir. Kurumların yalnızca %4’ü mevcut Siber Güvenlik stratejilerini gözönünde bulundurdukları, siber tehditleri ve güvenlik açıklarını izlediklerini ifade etmişlerdir. ⦁ Kurumlara yapılan yaygın siber ataklar: Bir web sitesinde serbestçe kullanılabilir istismar kiti kullanılarak  istismar edilen güvenlik açığı, bir kimlik avı kampanyası yoluyla sunulan genel kötü amaçlı yazılımlar ve DDoS saldırılarıdır. İleri siber ataklar: Özel kötü amaçlı yazılımları kullanarak mızrak avı saldırıları, özel tasarlanmış istismar kodu kullanılarak güvenlik açıklarının istismar edilmesi, çalışanların casusluk yapması ve satıcı/tedarikçilerin hedef organizasyona kötü niyetli yaklaşımıdır. ⦁ Ortaya çıkan ataklar: Verilere veya kontrol sistemlerine erişmek için “akıllı” cihazlardaki güvenlik açıkları ve kişisel ve kurumsal cihazların tek bir ağda bir araya getirilmesiyle oluşturulan güvenlik boşluklarıdır. ⦁ Ankete katılanların maruz kaldığı risklerin en fazla arttığını düşündüğü savunmasızlıklar: dikkatsiz veya güvenliğin farkında olmayan çalışanlar, güncel olmayan bilgi güvenliği denetimleri veya mimarisi ve yetkisiz erişimdir. Ankete katılanların maruz kaldığı risklerin en fazla arttığını düşündüğü tehditler ise kimlik avı, IP veya veri çalmak için Siber Saldırılar, finansal bilgileri ele geçirmek için yapılan Siber Saldırılar ve iç saldırılardır. ⦁ Ankette kurumlara yapılan ortak saldırı yöntemlerine karşı savunma konusunda katılımcıların %75'i kurumlarında güvenlik açığı tanımlamasının yetersiz olduğunu, %35'i veri koruma politikalarını geçici veya mevcut olmadığını, %12’sinin ihlal tespit programına sahip olmadığını, % 38'inin kimlik ve erişim programlarının olmadığını ifade etmişlerdir. Gelişmiş Siber Saldırılara karşı katılımcıların% 48’inin bir Güvenlik Operasyon Merkezi (SOC) yoktur, %57’sinin tehdit istihbarat programına sahip değildir veya resmi olmayan şekilde sahiptir. %12'si komplike bir Siber Saldırı olabileceğini tahmin ediyor.  Çıkan Siber Saldırılara karşı katılımcıların %63’ü IT departmanının içerisinde raporlama yapan Siber Güvenlik işlevine sahiptir. %89'u Siber Güvenlik işlevinin kuruluşlarının ihtiyaçlarını tam olarak karşılamadığını, kurumların sadece %50'si kurul'a düzenli olarak rapor verdiğini ifade etmiştir. Kurulların %36'sı, kurumun karşı karşıya olduğu riskleri ve organizasyonun aldığı önlemleri tam olarak değerlendirmek için yeterli bilgi güvenliği bilgisine sahiptir. Ankete katılanların %43'ü, önemli bir saldırı durumunda mutabık kalınmış bir iletişim stratejisine veya planına sahip değildir (EY Global Information Security Survey, 2017-2018). ⦁ Dünya ekonomik formunda belirtildiği üzere şu anda dünyada en büyük ölçekli beş en ciddi risklerden birisi Siber Güvenlik ihlalidir (Global Risks Report, 2017). Tehditler gittikçe artmaktadır ve 2021 yılında global Siber Güvenlik harcamaları 6 trilyon dolar olacağı tahmin edilmektedir (Cybercrime Report, 2017). Sadece bu yıl İngiltere'de, WannaCry fidye saldırısı saldırısı Ulusal Sağlık Hizmetinin (NHS) önemli bir bölümünü etkilemiştir (Investigation: WannaCry cyber attack and the NHS Report, 2017). Fransa'da, Emmanuel'in Cumhurbaşkanlığı kampanyasının ihlali, siber  tehditler dolayısıyla seçimleri kaosa sürüklemiştir (Financial Times, 2017). Amerika’da Yahoo 3 milyon kullanıcısının hesabını ihlal ettiğini ve riske attığını açıkladı (The New York Times, 2017). ⦁ PwC’nin “⦁ The  Global State of Information Security Survey 2018” GSISS Global Bilgi Güvenliği Anketi PwC, CIO ve CSO tarafından doldurulan dünya çapında bir anket çalışmasıdır. Ankete şirketlerin IT Uzmanları (CIO) ve Bilgi Güvenliği Baş Sorumluları (CISO)'ları katılmıştır. CIO ve CSO okuyucuları ve dünya çapındaki PwC müşterileri ankete katılmak üzere e-posta yoluyla davet edilmiştir. Bu raporda ele alınan sonuçlar, 122'den fazla ülkeden, 9.500'ün üzerinde CEO'nun, CFO'nun, CIO'nun, CISO'ların, STK'ların, VP'lerin ve IT yöneticilerinin ve güvenlik uygulamalarının yanıtlarına dayanmaktadır. Ankete katılanların %37’si Kuzey Amerika, %29'u Avrupa, %18'i Asya Pasifik, %14'ü Güney Amerika ve % 1'i Orta Doğu ve Afrika'dır. ⦁ Birçok kurumun dijital risklerini değerlendirmeye ve dijital risk ve bunları önlemeye yönelik çalışmalar yapmaya ihtiyacı vardır. Ancak bu farkındalığa rağmen, Siber Saldırı riski olan pek çok  şirket Siber Saldırılara karşı hazırlıksız yakalanmaktadır. 2018 GSISS tarafından araştırılan 122 ülkedeki 9.500 yöneticinin %44’ü genel bir bilgi güvenliği stratejisine sahip olmadığını ifade etmiştir. %48’i de çalışanların güvenlik farkındalığı eğitimi programlarının olmadığını ve % 54'ünün bir kaza-cevap süreci olmadığını söylemiştir (The Global State of Information Security Survey, 2018). ⦁ Dünya çapında birçok ülke özellikle Japonya, Amerika Birleşik Devletleri, Almanya, İngiltere ve Güney Kore diğer ülkelerden gelen Siber Saldırılardan endişe duymaktadır (Global Attitudes Survey 2017). Dünya çapında  Siber Saldırıların yürütülmesi için araçlar artmaktadır. ABD Ulusal Güvenlik Ajansı (NSA) saldırı araçlarının sızdırması, kötü niyetli bilgisayar korsanlarına karşı son derece gelişmiş yetenekler geliştirmiştir. Siber Saldırıların meydana gelmesi durumunda, çoğu mağdur şirket, suçluları açıkça tanımlayamadıklarını söylemektedir. 2018 GSISS'imizde, ankete katılanların yalnızca % 39'u Siber Saldırıların öznitelik yetenekleri konusunda çok emin olduklarını ifade etmişlerdir (The Global State of Information Security Survey, 2018). ⦁ Güvensiz İnternet aygıtlarının (IoT) cihazlarının artan üretimi, yaygın Siber Güvenlik açıkları yaratmaktadır (The Global State of Information Security Survey, 2017). Veri bütünlüğüne yönelik artan tehditler, güvenilen sistemleri zayıflatabilir ve kritik altyapıya zarar vererek fiziksel zarara neden olabilir. Birleşmiş Milletlerin (BM) 2017 Küresel Siber Güvenlik Endeksi'ne göre, hem bölgeler içinde hem de bölgeler arasında dünya çapında Siber Güvenlik hazırlığı konusunda büyük bir eşitsizlik vardır. (The report ranked Singapore, the United States, Malaysia, Oman, Estonia, Mauritius, Australia,  France, Georgia, and Canada  as the most committed member states). BM, üye devletlerin sadece % 38'inin yayınlanmış bir Siber Güvenlik stratejisine sahip olduğunu tespit etmiştir.  %11'i bağımsız bir stratejiye sahiptir. Sadece % 12'sinde gelişme Siber Güvenlik stratejisi vardır. Üye devletlerin% 61'i ulusal sorumluluğa sahip bir acil müdahale ekibine sahip olsa da, devletlerin sadece % 21'i Siber Güvenlik kazaları için metrikler yayınlamaktadır.⦁ 2018 GSISS'de, genel bir Siber Güvenlik stratejisine sahip olan kuruluşların sıklığının özellikle Japonya'da (%72), Siber Saldırıların ulusal güvenlik tehdidi olarak görüldüğü (Global Attitudes Survey, 2017) ve Malezya'nın (%74) oldukça yüksek olduğu görülmektedir. BM Siber Güvenlik endeksine göre, Doğu Asya ve Pasifik, Dünya Ekonomik Forumu'nun Siber Saldırıların ilk beş işletme riski arasında olduğu bir bölgedir (Global Risks Report, 2017).⦁ Liderler siber esnekliği geliştirmek için daha fazla sorumluluk üstlenmelidirler. Özel sektörde, iş sonuçlarına yol açanlar, iş yapma ile ilgili risklerden sorumlu tutulmalıdırlar. Kurullar etkin gözetim ve proaktif risk yönetimi kullanmalıdırlar. İş sürekliliği, planlama, stratejik uyum ve veri analizi için stratejiler kilit öneme sahiptir. Bununla birlikte, 2018 GSISS, şirket yönetim kurullarının çoğunun kendi şirketlerinin güvenlik stratejilerini veya yatırım planlarını proaktif olarak şekillendirmediğini tespit etmiştir (The Global State of Information Security Survey, 2018).⦁ GSISS katılımcılarının sadece% 44'ü şirket kurullarının şirketlerinin genel güvenlik stratejisine aktif olarak katıldığını ifade etmiştir. “National Association of Corporate Directors’ 2016-2017” anketlerine göre, az sayıdaki yönetim kurulu üyeleri şirketlerinin Siber Saldırılara karşı güvenli bir şekilde güvence altına alındığından emin olduklarını belirtmişlerdir. Çoğu zaman, kurulların güvenlik önlemlerine katılmamalarının bir sonucu olarak, bu tür bir şüphe sürpriz olmamalıdır. Katılımcıların yarısının riskin güvenlik harcamalarını etkilediğine katılıyor. GSISS katılımcılarının çoğu (%66), kuruluşlarının güvenlik harcamalarının her bir iş kolunun gelirleriyle uyumlu olduğunu belirtmektedir, ancak geri kalanı (%34) durumun böyle olmadığını veya emin olmadıklarını söylemektedirler. Baş güvenlik görevlisi (CISO) giderek daha önemli hale gelmektedir. 2018 GSISS'ye göre, bir şirketin CISO'su ya da baş güvenlik görevlisinin doğrudan CEO ya da yönetim kuruluna daha fazla bilgi vermesi daha yaygındır. Siber Güvenlik yöneticileri, pek çok kuruluşta halen bulunmamaktadır. Katılımcıların sadece yaklaşık yarısı  %52’si kurumlarının bir CISO kullandığını; %45'i bir baş güvenlik görevlisi kullanacaklarını ve %47'si iç iş operasyonlarını desteklemek için özel güvenlik personeli çalıştırdıklarını ifade etmiştir. Katılımcıların %34'ü kuruluşlarının iş ekosistemindeki IoT siber risklerini değerlendirmeyi planladıklarını ifade etmiştir. Birçok kurum siber riskleri daha proaktif olarak yönetebilmelidir. Katılımcıların yarısı kurumlarının Siber Güvenlikle ilgili arka plan kontrolleri yaptığını söylemiştir. Siber tehditlere karşı Penetrasyon testleri, bilgi güvenliğinin aktif olarak izlenmesi, istihbarat ve savunmasızlık değerlendirmeleri dahil olmak üzere iş sistemlerinde  siber risklerin ortaya çıkarılması için önemli süreçlerdir.  Ankete katılanların yarısından azı  tarafından bu durum benimsenmiştir (The Global State of Information Security Survey, 2018).⦁ Kaspersky’nin Business Advantage danışmanlığında hazırladığı “The State of Industrial Cybersecurity 2017”anketi kurumların Siber Güvenlik tutumlarını anlamak ve kuruluşları etkileyen Siber Güvenlik konularını tespit etmek amacıyla kurumların güvenlik danışmanları ve uzmanlarına uygulanmıştır. Dünya genelinde 21 ülkede 359 kişiye ulaşılmıştır. Şirketlerin %56'sı üretici, % 19'u inşaat ve mühendislik, %11'i petrol ve gaz olmuştur. Geriye kalan % 14'ü kamu hizmetleri ve enerji, hükümet veya kamu sektörü, gayrimenkul, eğlence ve savunmadan oluşmaktadır (The State of Industrial Cybersecurity, 2017).⦁ Ankete göre kurumlarda endüstriyel siber risklerin ve Siber Güvenlik konularının sürekli olarak gerçekleştiği tespit edilmiştir. Şirketlerin yarısından fazlası son 12 ayda en az bir siber olay yaşamıştır. Rapor edilen mali ortalama yıllık kümulatif zararın 347.603$ olduğu görülmektedir. 500 + çalışanı olan büyük şirketler, yıllık 497,097 $ 'lık kümulatif zarar rapor etmektedir. Bu büyük şirketlerin çoğunluğu (% 71) son 12 ayda 2 ve 5 Siber Güvenlik olayları yaşadıklarını bildirmiştir. ⦁ Genel olarak güvenlik uzmanları, sektörlerindeki Siber Güvenlik tehditlerinin farkındadırlar, ancak belirli tehlikeleri her zaman iyi bilmemektedirler ya da bu sorunlarla nasıl başa çıkılacağına dair net planları yoktur. Çalışma yapılan dört şirketten üçü Siber Güvenlik konusunda bir olay yaşanacağını beklemektedir.  Ayrıca büyük şirketler daha fazla risk altındadır. Risk yapısı çeşitli endüstriler ve farklı derecelerde farklılıklar göstermektedir. Çoğu kuruluş %83’ü bu riskleri yönetmeye hazır olsa da, siber güvenliğine yönelik mevcut genel yaklaşım karmaşık olduğundan dolayı bazı şirketler, güvenlik çözümleri kurduklarını belirttikleri halde, çoğunun süreçleri işletme risklerini yönetmek için etkili olma olasılığı düşük görünmektedir. Ayrıca, Siber Güvenlik olaylarının çok az rapor edilmesi durumunu söz konusudur. Beş işletmeden sadece birinin güvenlik ihlallerini rapor ettiği görülmektedir. Kurumlarda endüstriyel Siber Güvenlik bilincini yükseltmek için çalışan işgücü önemlidir. Bu, Siber Güvenlik uzmanlarının eğitimini içerir. Endüstriyel iş gücünün tüm düzeylerinde genel endüstriyel Siber Güvenlik bilincini arttırmak gerekmektedir. ⦁ Siber Güvenlik uzmanları sürekli olarak endüstriyel ortamların yeterince iyi korunmadığını ifade etmişlerdir. Güvenlik uzmanlarının tecrübeleri ve tarafsız görüşlerine dayanarak, şirketlerin genellikle siber risklerin etkisini hafife aldığını ancak bir ihlalden sonra gerçek güvenlik önlemlerine yatırım yaptığını söyleyebiliriz. Ayrıca kurumlar genellikle dışarıdan gelen güvenlik açıklarından kaynaklanan olayları beklemekte, altyapı ve ortak kuruluş ağlarından gelen potansiyel tehditler için yeterince önlem almamaktadır. ⦁ Şirketlerin %54’ü son 12 ayda Siber Güvenlik saldırısı yaşamıştır. %17’si bir kez, %21’i iki kez, %12’si üç-beş kez, %3’ü 6-10 kez ve %1’i 11-25 kez saldırıya uğramıştır. Gerçekleşmiş Siber Güvenlik tehditleri: kötümcül yazılımlar, 3. parti tedarik zinciri partnerlerinden gelen tehditler, sabotaj yada kasıtlı diğer dışsal zararlar, fidye saldırıları, hedefli saldırılar, çalışan hataları ve kasıtlı olmayan hareketler, sabotaj ve diğer kasıtlı içsel zararlar, endüstriyel yazılım hataları ve donanım hatalarıdır. Gerçek kazaların çoğunluğu %53’ü geleneksel kötümcül yazılım ve virüs olaylarından kaynaklanmıştır. Anket katılımcılarının en büyük endişelerinden birisi de budur. Hedefli saldırılar aslında sistemlere yönelik en büyük ikinci tehditti ve şirketlerin üçte birinden fazlasında %36’sı siber olaylara neden oldu. Çalışan hatası, tüm olayların üçüncü en büyük nedeni %29 iken algılamalar arasındaki boşluğu belirten altıncı en büyük endişe olarak değerlendirilmiştir. Veriler, hedefe yönelik saldırıların sayısının yüksek olduğunu ve kuruluşların kendi işindeki güvenlik sorunları tehdidini hafife almaması gerektiğini, özellikle de tehditlerin PC'ye bir USB çubuğu takılarak kontrol sistemlerini enfekte etmesiyle ortaya çıkabileceğini gösteriyor.⦁ Dört şirketten üçü (%74) bir Siber Güvenlik saldırısının gerçekleşmesini bekliyor. İşletmelerin çoğunluğu (%83), ortamlarında böyle bir olayla mücadele etmeye hazır olduklarını düşünmektedir: %86’sı onaylanmış ve belgelendirilmiş bir endüstriyel Siber Güvenlik politikasına veya programına sahip olduğunu iddia etmiştir. Buna rağmen, kurumların henüz tam olarak hazırlanmadığına dair bir gösterge vardır; personelin Siber Güvenlik ihlalleri konusunda farkında olmadıkları tespit edilmiştir. Kurumların siber güvenliğin potansiyel zayıflıklarını ve risklerini nasıl belirleyebileceklerini daha iyi anlamaları için prosedürlerini test etmeye ve değerlendirmeye ihtiyaçları vardır. Bu sorunları tasarlanmış düzenli testler yaparak gidermek ve güvenlik açıklarını tanımlamak gelecekteki olayların önlenmesine yardımcı olacaktır. Çoğu kurum, Siber Saldırılarla mücadele için gerekli olan potansiyel etkili önlemler hakkında iyi bir fikir sahibi olmasına rağmen geçen yıl kurumların %55'inin bir olayla karşılaştığı göz önüne alındığında, kabul edilen tedbirlerin yeterince güçlü olmadıkları ya da uygulamalarında bir sorun olduğu varsayılabilir (The State of Industrial Cybersecurity, 2017). ⦁ Kurumlar, Siber Güvenlik ihlalleriyle mücadele etmek için “kötümcül amaçlı yazılım önleme” çözümlerini endüstriyel bir ortam için en etkili önlem olarak görmektedir. Ankete katılan kurumların üçte ikisinden fazlası bu önlemleri kullanmaktadır. Ayrıca kurumların %62’si personeli için özel güvenlik farkındalığı eğitimi aldırmış ve ağlarına uzaktan ve kablosuz erişim üzerinde kontrollerini arttırmıştır. Kurumların %55’inin “izinsiz giriş tespiti”, %50’si “tek yönlü ağ geçiti”, %48’inin  “güvenlik açığı taraması ve yama yönetimi” kullandığı görülmektedir. Yama ve güncelleme sıklığına baktığımızda kurumların %32’si her hafta, %27’si iki haftada bir, %26’sı her ay, %13’ü her birkaç ayda bir, %2’si her altı ayda bir yapmaktadır. ⦁ Ankete katılan kurumların %38'i bulut tabanlı kontrol çözümü SCADA'yı kullanmaktadır. Kurumların bunu uygulamaya geçirmesi ve yerleştirilmesi zaman alacağı düşünülmektedir. SCADA’nın kablosuz bağlantı üzerinden kullanımı, şirketlerin daha dikkatli olmaları gerektiğini de vurgulamaktadır. ⦁ Ankete katılan kurumlar siber güvenliği yönetme zorlukları olduğunu ifade etmişlerdir. Bunlar, %50’si Siber Güvenlik çalışanlarını doğru becerilerle işe almak, %43’ü kurumsal IT ile ara bağlantıyı arttırmak, %39’unun varlık sahipleri ve operatörler arasında güvenlik farkındalığının olmaması, %35’i Siber Güvenlik ortamı / endüstriyel ağın karmaşıklığı,  %48’i Siber Güvenlik çözümünü uygulayabilen güvenilir ortaklar, %32’si uygun ürün / hizmetlerin olmaması, %31’inin siber güvenliğin üst düzey yönetim için düşük öncelikli olması ve %22’sinin bütçe eksikliği önceliklidir. Siber Güvenlik ihlali raporlaması önemli olmasına rağmen kurumlar tarafından marka itibarını korumak için herhangi bir siber olayda raporlama tercih edilmemektedir. Ankete katılan kurumların %81’i raporlamanın gerekli olmadığını, %19’u ise gerekli olduğunu bildirmiştir (The State of Industrial Cybersecurity, 2017). ⦁ Kurumların Siber Güvenlik ihlali için onaylanmış Siber Güvenlik politikaları olamalıdır. Siber Güvenlik kontrol/denetimini gerçekleştiren bir dizi güvenlik önlemi alınmalıdır. Kontrol ağları ve kontrol sistemleri ile diğer ağ çalıştırma güvenlik açığı taramaları arasında tek yönlü bir ağ geçidi kurularak her iki haftada bir tarama ve güncelleme işlemleri yapılmalıdır. ⦁ Bursa şehrinde mevcut olan toplam kayıtlı 5000 işletmeden rassal yöntemle seçilen Bursa Ticaret ve Sanayi odasına kayıtlı 150 küçük ve orta büyüklükteki işletmelere Bilgi Güvenliği konusunda (IT Müdürlerine) anket uygulanmıştır. Anket sonuçlarına göre kurumlarda güvenlik politikaları standartlara uygun olmadan yönetilmektedir. Birçok kurum ve kuruluş tarafından da bilgi güvenliği yönetiminin yeterli olduğuna inanılmaktadır. Bu durumun açıklığa kavuşturulması ve dünya genelinde kabul görmüş ve uygulanabilirliği test edilmiş bilgi güvenliği standartları esas alınarak kuruluşların “bilgi güvenliği yönetimi” konusunda eksikliklerini gidererek Bilgi Güvenliği Yönetim Sistemi (BGYS) kurmaları, uygulamaları ve belgelendirilmeleri gerekmektedir (Yeniman Yıldırım vd., 2011).⦁ BGYS standartlarının kurum ve kuruluşlara adapte edilmesi, çalışanların ve yöneticilerin eğitilmesi için kurumların içerisinde güvenlik uzmanları çalıştırmaları veya danışmanlık hizmetleri almaları gerekmektedir.⦁ Üst yönetim ve çalışanlar tarafından Siber Güvenlik politikalarının benimsenmesi ve uygulanması,⦁ Küçük ve orta ölçekli işletmelerde yılda en az 2-3 kez penetrasyon testlerinin yapılarak siber güvenliğin üst düzeye çıkarılması, ⦁ Türkiye’deki şirketlerin bilgi güvenliğine yeterince önem vermediği,⦁ Kurumlarda Bilgi Güvenliği konusunda çalışan farkındalığının yetersiz olduğu, ⦁ Kurumlarda İletişim ve Operasyon Yönetimi, Güvenlik Politikaları, Organizasyonel Güvenlik, Personel Güvenliği, Fiziksel ve Çevresel güvenlik, Erişim Kontrolü ve Sistem Geliştirme ve Bakım geliştirilmelidir (Yeniman Yıldırım vd., 2011)⦁ Kurumlarda  siber güvenliğin sağlanmasında aşağıdaki durumlar dikkate alınmalıdır: ⦁ Kurumlarda  siber güvenliği sağlamanın canlı bir süreç olduğu ve devamlılık gerektirdiği,⦁ Kurumlarda siber güvenliğin yalnızca teknoloji ile değil aynı zamanda insan, eğitim ve teknoloji üçgeninde bir yaklaşımla dikkate alınması gerektiği,⦁ Uluslararası standartlarla uyumlu olarak çalışılması ve uygulanması gerektiği,⦁ Bilgi güvenliği standartları üst düzeyde güvenliği garanti etse bile bazen güvenlik standartlarının yetersiz olabileceği,⦁ Kurumlarda Siber Güvenlik seviyesinin son durumunun belirlenmesi için zaman zaman kurumların bağımsız uzman kuruluşlar tarafından denetlenmesi gerektiği,⦁ Kurumlarda siber güvenliğin yönetiminin zaruri bir proses olduğu ve her durumda iyileştirmelere gerek duyulacağı, kurumlarda en güvensiz olunacağı varsayımıyla hareket edilerek gerekli önlemlerin alınması gerektiği bilinmeli ve uygulanmalıdır (Vural ve Sağıroğlu, 2008). ⦁ Sonuç ve Değerlendirme Uygulanan anketlerin ortak sonuçlarına göre;⦁ Kurumların yaklaşık %50’sinin genel bir bilgi güvenliği stratejisine sahip olmadığını ve önemli bir saldırı durumunda hazırlanmış bir iletişim stratejisine veya planına sahip olmadıkları görülmektedir.⦁ Çoğu kurum, Siber Saldırılarla mücadele için gerekli olan potansiyel etkili önlemler hakkında iyi bir fikir sahibi olmasına rağmen kurumların yarısı bir olayla karşılaştığı göz önüne alındığında, kabul edilen tedbirlerin yeterince güçlü olmadıkları ya da uygulamalarında bir sorun olduğu varsayılabilir. ⦁ Kurumlarda siber risklerin en fazla artan tehditleri Ddos saldırıları, fidye yazılımları, kimlik avı, IP veya veri çalmak için ve finansal bilgileri ele geçirmek için yapılan Siber Saldırılardır. ⦁ Anket yapılan pek çok kuruluşta Siber Güvenlik yöneticisi bulunmamaktadır. Herhangi bir ihlal durumunda acil Siber Güvenlik yöneticisinin olması siber risklerin önlenmesi konusunda destekleyici nitelikte olacaktır. ⦁ Çalışma yapılan dört şirketten üçü Siber Güvenlik konusunda bir olay yaşanacağını beklemektedir.  ⦁ Ayrıca büyük şirketler daha fazla risk altındadır. Risk yapısı çeşitli endüstriler ve farklı derecelerde farklılıklar göstermektedir.⦁ Siber Güvenlik ihlali raporlaması önemli olmasına rağmen kurumlar tarafından marka itibarını korumak için herhangi bir siber olayda raporlama tercih edilmemektedir. ⦁ Anket yapılan tüm kurumlar Siber Güvenlik harcamalarının arttığını belirtmişlerdir. Anket katılımcılarının yaklaşık %80’i Siber Güvenlik harcamalarının yıllık toplam bütçenin %25’ini aşabileceğini beyan etmişlerdir. Katılımcıların % 60’ı son 12 ay içinde Siber Güvenlik harcama bütçelerinin arttığını vurgulamışlardır. ⦁ Kurumlarda çalışanların yaklaşık %65’i Siber Güvenlik konusunda yeterli bilgiye sahip değildirler. Bu nedenle kurumlarda Siber Güvenlik konusunda farkındalık çalışmalarının yapılması ve çalışanların siber riskler konusunda bilinç düzeylerinin arttırılması gerekmektedir.
Siber Diplomasi ve İnternet Yönetişimi
Siber Diplomasi ve İnternet Yönetişimi
Siber güvenliğin sağlanması, fiziksel güvenlikte olduğu gibi üzerinde uzlaşılmış sözlü ya da yazılı anlaşmalarla gerçekleşmektedir. Siber güvenliğin temelini teşkil eden İnternet altyapısının yönetimi de devletlerin ortak uzlaşısı üzerinden sürdürülmektedir. İnternet’in temel fonksiyonlarının yerine getirmesi için koordinasyon görevini yerine getiren İnternet Tahsisli Sayılar ve İsimler Kurumu (Internet Corporation for Assigned Names and Numbers - ICANN) ya da İnternet’in teknik altyapısının (protokolleri ve standartlarının) geliştirilmesi için görev alan İnternet Mühendisliği Görev Grubu (Internet Engineering Task Force - IETF), İnternet yönetimi için önemli kurumlar arasındadır. Bu grupların çalışmasında ve İnternet’in gittiği yönün belirlenmesinde siber diplomasiyi kullanarak devletlerin etkin olması büyük önem taşımaktadır. Özellikle İnternet omurgasına yönelik saldırıların arttığı günümüzde acil bir durumda müdahale edebilecek ekiplerin oluşturulmasında katılımcı bir tavır izlemek çok önemlidir. Siber güvenliğin temel taşlarından olan birçok konu arasında uluslararası hukukun rolü de unutulmamalıdır. Uluslararası hukukun siber uzayın askeri amaçlar için kullanımı konusunda büyük ilerlemeler kaydettiği bir dönemde devletlerin bu tartışmalara ilgisiz kalmaları sonunda istenmeyen sonuçlara sebep olacaktır. Bu nedenle ilgili kuralların oluşması aşamasında etkin ve aktif bir diplomasinin devrede olması gerektiği aşikardır. Özetlemek gerekirse, biz istesek de istemesek de, siber uzay ve bununla ilgili güvenlik alanı günden güne büyümektedir. Her gün daha da dijitalleşen dünya bu alanın büyümesine hizmet etmektedir. Askeri ekipmandan tutun da sağlık araçlarına kadar hemen bütün cihazların dijitalleştiğine ve siber uzayla etkileştiğine şahit oluyoruz. Tüm bu gelişmeler olurken siber güvenliği hafife almanın vereceği zararların yıkıcı olacağı açıktır. Aynı şekilde, güvenlik sektörü, yapay zekâ ve benzeri teknolojilerin yükselişiyle birlikte bu güvenlik sahasının daha da derinleşeceğini öngörmek ve gerekli tedbirleri şimdiden almak zorundadır.
Kritik Altyapı Koruma ve Ulusal Kriz Yönetimi
Kritik Altyapı Koruma ve Ulusal Kriz Yönetimi
Siber güvenliğin sağlanması konusunda en hassas noktalardan birisi kritik altyapıların korunması (KAK) konusudur. Her ülke kendi tehdit ve ihtiyaçlarına göre hangi sektörlerin kritik altyapı olarak sınıflanacağını belirlemektedir. Telekomünikasyon, enerji, bankacılık, ulaşım, sağlık, su dağıtım şebekeleri gibi farklı sektörler bu yapının içinde değerlendirilir. Bu sektörlerin birçoğunun özel işletmeler tarafından yürütülmesi ortak hareket edebilme konusunda sorunlar doğurmaktadır. Kritik altyapıların korunmasında en çok tartışılan konulardan birisi de bu yapıların içinde çalışan fonksiyon odaklı işlemcilerin güvenlik zafiyetidir. 2010’da siber güvenlik uzmanları tarafından tanımlanan İran nükleer tesislerine saldırmak için dizayn edilmiş Stuxnet virüsü bu konuda verilebilecek güzel örneklerden birisidir. Geleneksel savaş stratejileri incelendiğinde ilk saldırının rakibin iletişim ve enerji kaynaklarını zayıflatmak ya da kesmek üzere yapıldığını görürüz. Bu tarihi yaklaşımla değerlendirildiğinde, KAK’nın askeri stratejinin siber uzayı da içerecek şekilde genişlemesi anlamına geldiği rahatlıkla görülür. KAK’nın ve yönetimi için en gerekli yapılardan birisi siber olaylara müdahale etmek için kurulmuş merkezlerdir. Siber güvenliğin sağlanması sürekli takip ve inceleme gerektirdiği için ülkelerin gerek kendi ulusal KAK’na yönelik tehdit ve saldırıları gerekse daha genel ulusal güvenliği tehdit eden olaylara müdahale eden ulusal ekiplerinin oluşturulması zorunludur. Bütün bu yapının üstünde 2007’de Estonya’da yaşanan krize benzer bir olay olduğunda gerekli bilgilendirmeleri yapacak ve ülke çapında koordinasyonu sağlayacak bir kriz yönetim yapısı da kurulmalıdır. Saldırıların psikolojik etkisini azaltarak, küçük ve orta ölçekli işletmelere destek verecek bu yapı, krizin vermeyi planladığı sarsıcı etkiyi kabul edilebilir ölçülere getirmeye de katkı sağlayacaktır 
İstihbarat ve Karşı İstihbarat
İstihbarat ve Karşı İstihbarat
Siber güvenliğin hızla yükselen unsurlarından birisi de siber istihbarat altyapısıdır. Her türlü verinin dijitalleştiği günümüzde devletlerin birçok farklı konuda açık ve gizli bilgiye ulaşmak için istihbarat inşa etmesi gerektiğini biliyoruz. Bu çerçevede siber istihbarat bilgi toplama, işleme, analiz etme ve bilgiyi yayma yöntemleriyle siber alandaki tehditleri, riskleri ve fırsatları tahmin edebilmek ve bunlara karşı nasıl bir yol izleneceğine dair karar verme sürecini desteklemektir. Siber güvenlik alanında çalışan firmaların sunduğu siber tehdit istihbaratı sadece ekonomik gücü yüksek şirketler tarafından yaygın olarak kullanılmaktadır. Ulusal anlamda siber güvenliği temin edebilmek içinse istihbarat servislerinin bünyesinde uzun süreden beri siber istihbarat yapılanmalarının oluşturulduğu bilinmektedir. Genellikle farklı kurumların siber istihbarat topladığı gözlemlenen devletlerde bunların iyi bir yönetimle gerekli yerlere zamanında ulaşması siber güvenliğin zaman hassasiyeti açısından önemlidir. Siber istihbaratın özellikle ulusal anlamda ekonomik kayıpları minimize etmek gibi bir rolü de vardır. Günümüzde teknoloji araştırma ve geliştirme faaliyetleri için yapılan harcamalar ve bu geliştirmeleri kolayca elde etmek isteyen diğer ülkelerin siber saldırılarla bunları ele geçirmelerine en iyi örnek olarak Çinlilerin F-35 askeri uçak projesine yaptıkları saldırıları verebiliriz. Bunun yanında diğer sektörlerde de siber saldırılar firmaların en azından itibar kaybetmesine sebep olmaktadır. Ulusal ekonomik değerlerin tehditlere ve muhtemel saldırılara karşı zamanlıca uyarılmasında siber istihbarat yapılanmalarına büyük bir görev düştüğü açıktır. Siber istihbaratları son yıllarda zorlayan olayların başında sızıntılar gelmektedir. Julian Assange’ın yayınladığı Wikileaks belgeleriyle başlayan süreçte ABD ve müttefiklerinin gizli yazışmalarına kadar pek çok belge İnternete sızmıştır. Ardından, Orta Doğu ülkelerinin gizli yazışmalarından Stratfor firmasının hassas e-postlarına kadar birçok bilgi ve belge bütün İnternet kullanıcılarının erişimine açılmıştır. Benzer şekilde Edward Snowden da ortaya çıkardığı belgelerle ABD Milli Güvenlik Ajansı (NSA)’nın kullandığı birçok gizli teknoloji ve takip metodunu bilinir hale getirmiştir. 18 Haziran 2019’da Rusya’nın Federal Güvenlik Ajansı’na (FSB) yapılan saldırı ile 7.5 TB’lık bilgi ve doküman da İnternet’e sızdırıldı. Bunların yanı sıra, Rusya’nın uluslararası alanda devam ettirdiği birçok sosyal medya operasyonu ile Facebook ve Linkedin’de sürdürdüğü bilgi toplama projeleri açığa çıkmıştır. Uluslararası anlamda bu kadar aktif bir sürecin üstesinden gelebilmek için devletlerin güçlü karşı siber istihbarat yapıları kurarak, kendi güvenlik ihtiyaçlarına göre yapılanmalarının gerekli olduğu ortadadır. 
Siber Suçlar ve Mücadele
Siber Suçlar ve Mücadele
Siber uzayın güvenliğinin en temel unsuru siber suçlardır. Bu suçlar büyük çaplı saldırıların da temelini teşkil etmektedir. Ulus devletlerin vatandaşlarını korumak için etkin bir ‘siber suçlarla mücadele organizasyon yapısı’ kurması zorunludur. Kritik altyapıları hedef olan saldırılar bile çoğunlukla siber suç olarak kişisel erişim bilgisinin çalınması suretiyle başlamaktadır. Günümüzde artan miktarda organize suç örgütlerinin siber suçlar yoluyla para kazandığını ve bu sahada aktif olduklarını görüyoruz. Bunların belirli bir plan ve taktik çerçevesinde geliştikleri ve siber suçlar sayesinde dikkate değer miktarlarda paralar kazandıkları gözlenmektedir. Bu örgütler son yıllarda özellikle ‘fidye yazılımları’ (Ransomware) kullanarak birçok küçük ve orta ölçekli işletmeyi zora sokmuştur. Fidye yazılımlar, temelde erişebildiği bilgisayardaki bilgileri hızlıca şifreleyerek, açılabilmesi için gerekli bir şifreye (anahtara) bağlar. Kullanıcıya bilgisayar ekranından belirli bir zamana kadar istenilen miktarda dijital parayı ödemezse bütün bilgilerinin silineceğini ifade eden bir uyarı çıkar. 2018 yılında bu tür yazılımların ticari sektöre maliyeti 8,5 milyar ABD Doları olmuştur. 2019 içinse bu rakamın 11,5 milyar ABD Dolarına çıkması beklenmektedir. Siber güvenlik alanında çok açıklanmasa da sadece ticari şirketlerin değil, kamu kurumlarının da fidye yazılımlar yüzünden büyük zararlar gördüğü ve hizmetlerinin kesintiye uğradığı bilinmektedir. Özellikle saldırı sonrasında bilgisayar sistemlerinin güvenliği için yatırımların maliyeti zaman zaman saldırganlara ödenenden çok daha fazla olabilmektedir. Fidye yazılımlar bu tür güvenlik sorunlarının sadece bir örneğidir. Bu nedenle siber suçlar siber güvenliğin temel unsuru olarak çok önemlidir, dikkate alınmaması genelde daha büyük zararların ortaya çıkmasına sebep olmaktadır. Kritik altyapıyı hedef alan saldırganlar da siber suçlarla başlayarak hedefine ulaşmaktadırlar. Bu kapsamda siber suçlarla mücadele, polisiye tedbirlerin yanı sıra siber suçları anlayan kanunların çıkarılması ve gerekli düzenlemelerin yapılması ile siber suçlarda uzmanlaşmış hâkim ve savcıların varlığını da içermektedir. Konunun teknik içeriği yasama, yürütme ve yargının ortak bir hareket planı izlemesini gerektirmektedir
Siber Güvenlik ve Savunma
Siber Güvenlik ve Savunma
Siber güvenlik İnternet’in yaygınlaşması ve gündelik veri iletişiminin hızlıca dijitalleşmesi neticesinde ortaya çıkmış bir kavramdır. 1991’de İnternet’in sivil kullanıma yaygın olarak açılması ve gelişen bilgisayar teknolojisi bireylerin fiziksel dünyadaki bağlantılarına dijital ve sanal ortamı eklemiştir. Bugünlerde ‘siber uzay’ adını verdiğimiz bu alan 2000’li yıllarda gelişen telekomünikasyon teknolojisiyle birlikte etkili biçimde hayatımıza girmiştir. İletişim teknolojilerinin yaygınlığındaki artış dijital verilerin üretimini de teşvik etmiştir. Artık sadece kurumların, şirketlerin, siyasi yapının ve ekonomik unsurların değil, onlara temel teşkil eden bireylerin (vatandaşların) verilerinin de güvenli şekilde kullanılması gündemdedir. Günümüzde sıkça kullanılmaya başlayan siber güvenlik kavramı en temel anlamıyla, siber uzay alanındaki güvenlik sorunlarıyla ilgilenen bir tanımdır. Siber güvenlik, en sade anlamıyla siber uzayın her türlü tehditten korunmasını esas alır. Bütüncül ve derleyici bir kavramdır. En küçük siber suçtan en büyük ve karmaşık saldırıya kadar bütün katmanları içine alan birleştirici bir unsurdur. Uluslararası ilişkiler perspektifinden bakıldığında devletin bireyi koruması gerektiği ilkesi burada da esastır. Ancak 1990’larda bu kavramın kullanımı için esas alınan tanım ve sahadaki dinamikler ile günümüzdeki etkenler arasında devasa farklılıklar olduğunun da altı çizilmelidir. Siber uzayı esas alan siber güvenlik kendi başına sanal bir alan değildir. Siber uzay fiziksel ve sanal alanın etkileşiminden oluşan bir alandır. Her iki alanın etkileşimi siber güvenlik kavramını daha da önemli hale getirmektedir. Eğer sanal alanda yapılan işlemlerin fiziksel dünyada etkisi olmasaydı, muhtemelen siber güvenlik diye bir kavramdan bahsetmezdik. Bir diğer ifadeyle, siber alanda yapılan saldırılar ya da hamleler fiziksel alanda etki oluşturduğu için siber güvenlik kavramı ortaya çıkmaktadır. Bu yüzden de siber güvenlik alanında kullanılan terminoloji ister istemez ulusal güvenlik kavramlarını temel almaktadır. Günden güne gelişen bilişim ve iletişim teknolojileri (BİT) insanların hayatına farklı ekipmanlarla hızlı bir şekilde girmiştir. İlk atılım bilgisayar ve iletişim teknolojilerinin önde gelen cihazı telefonun hızlıca yaygınlaşmasıyla başladı. İlk yıllarda daha az gelişmiş ve pahalı olan teknoloji 2000’li yılların başında nispeten ucuzlayarak erişilebilir hale geldi. Herkes hızlıca bu iletişim ağına dahil olmak için çabaladı. İnternetin hızlı yükselişi ve Castells’in (2010) tanımladığı ağ toplumunun oluşumu da bu yıllara denk gelmektedir. Sadece ülkelerin nüfusunun değil, dünya nüfusunun bu anlamda ağ toplumu oluşturması, takip eden dönemde ortaya çıkan yeni tehlikelerin ve tehditlerin yankısının büyük olmasına sebep olmuştur. Bağlanmış bir toplumda siber tehditlerin en temellerinden olan virüsler ve kötücül yazılımlar böylece hızlıca yayılabilmiştir. Siber güvenlik kavramının ilk kullanılmaya başlandığı yıllarda tehditler ve bunların bilgisayar sistemlerine erişimi daha temel güvenlik açıklarını hedef alıyordu. Güvenlik yaklaşımı ile dizayn edilmemiş donanım ve yazılımların oluşturduğu açıkların da bu dönemde saldırganların işini kolaylaştırdığı belirtilmelidir. Bugün gelinen noktada, siber güvenlik kavramının temelde donanım, yazılım, insan, değerler katmanı ve politik katman olarak beş ana katmandan oluştuğu söylenebilir. Bu katmanların hepsi gizlilik, bütünlük ve erişilebilirlik ilkesi altında yer almaktadır Siber güvenliğin en temel prensibi üretilen veri ile en küçük veri parçasının gizliliğinin korunabilmesidir. Böylece her isteyen veriye ulaşamaz. Ayrıca verinin bir noktadan diğer noktaya giderken bütünlüğü de bozulmamalıdır. Siber güvenlik sadece gizlilik ve bütünlük esaslı olsaydı, çözümü bulmak daha kolay olurdu. Fakat günümüzde verilerin birden fazla program ya da sunucu veya kullanıcı tarafından aynı anda korunması gerekliliği, siber güvenlik kavramını daha zorlu hale getirmektedir. Siber tehditleri başlıca üç ana başlık altında toplayabiliriz: hatalar, kazalar, saldırılar. Hatalar genellikle bilgi sistemlerinin içinde çalışan kişilerin bilinçsizce yaptıkları kusurlardır. Bu kusurlar sistemin güvenliğini tehdit eder. Kazalar daha ziyade insanların kontrollerinin dışında belirsiz bir zaman takvimi izleyerek gelişen -tabii afetler bu kategoride ele alınabilir- ve sistemlere zarar veren olaylar için kullanılır. Saldırılar ise aktif ya da pasif olarak bilgi işlem sistemlerine zarar vermeyi amaçlayan ve organize şekilde insan-düşman tarafından tasarlanmış eylemlerdir. Siber güvenlik tesis edilmeye çalışırken alınan önlemlerin hatalara mı, kazalara mı yoksa saldırılara mı çözüm olmayı hedeflediği önemlidir.  Siber güvenliğin ulusal seviyede gerçekleştirilmesi için beş zorunlu alanda çalışmalar yapmak gerekir (Klimburg, 2012). Bu alanlar siber güvenliğin tesis edilmesi için de gereklidir.