Internet'te Bireysel Gizlilik ve Güvenlik

Yüklə 445 b.

tarix	18.03.2017
ölçüsü	445 b.
	#11958

Internet'te Bireysel Gizlilik ve Güvenlik

Can ALPTEKİN ca@dikey8.com
Korhan GÜRLER kg@dikey8.com

İçerik

Web Tarayıcısı Güvenliği
Şifreler
Sosyal Mühendislik
Virüs, Kurtçuk, vs...
E-Posta Güvenliği ve Gizliliği

PGP Uygulaması

Paranoya

Web Tarayıcıları

Çoklu ortam eklentileri yeni riskler yaratıyor.
Seyyar kodlar (ActiveX, Java) kötü niyetli kullanılabiliyor.
Kullanıcılar mahremiyetlerini koruyamıyorlar.
Çerezler bilgi sızdırabiliyor.
SSL Sertifikaları.
Cross-Site Scripting.
Parola saklama seçenekleri.

Web Tarayıcıları (önlemler -I)

Yazılımın, üretici tarafından çıkarılan yamalarını derhal uygulamak ve düzenli olarak takip etmek.
Seyyar kodları çalıştırmaktan kaçınmak.
Anonymizer yazılımlarla mahremiyeti korumak.
Çerez kabul ederken seçici davranmak.
E-ticaret veya benzeri şifrelenmiş trafik kullanılan sitelerde SSL sertifikaların kontrollerini dikkatli yapmak.
Umulmadık anlarda karşılaşılan sisteme giriş sayfasının tekrar görüntülenmesi gibi durumlarda dikkatli olmak.
Tarayıcının parola saklama seçeneklerini kullanmamak.

IE güvenliği

ActiveX programları spesifik fonksiyonları yerine getirmek üzere (klip göstermek ya da bir ses dosyası çalmak gibi) yazılmış kodlardır ve web sayfalarına konarak bu özelliklerin sayfada oluşması sağlanabilir.
ActiveX kontrolleri genellikle .OCX soyadına sahiptir (Java ile yazılmış olanları hariç)
IE böyle bir sayfa görüntülemeye çalıştığında önce kullanıcının makinasına bakarak gerekli ActiveX kontrolünün olup olmadığını kontrol eder, yoksa kendisi yüklemeye çalışır.
ActiveX kontrolünü yüklemeden önce imzalarına bakıp geçerli bir ActiveX olup olmadığını kontrol eder, değilse kullanıcıyı uyarır.

IE Güvenliği (devam)

ActiveX ne gibi bir tehdit oluşturuyor?
“Safe for Scripting” açığı : Bununla ActiveX kodu içerisinde makinanızdaki herhangi bir dosyanın üzerine yazılabilir, yeni bir dosya yaratılabilir.
Active Setup Dosya Yükleme açığı : Bu açık ise bir DoS saldırısı olarak tanımlanabilir. Saldırgan “Active Setup” ın imzalı Microsoft .CAB dosyalarını diske yüklemesi ile ilgili bir açığı kullanarak saldırısını gerçekleştirir.

IE Güvenliği (devam)

Saldırılar sadece insanlardan direkt değil dolaştığımız web sitelerinden de gelebilir
ActiveX kontrolleri iptal edilmeli
Yamalar ve güncellemeler mutlaka takip edilip uygulanmalı

Şifreler

Şifre güvenliğini kompleks bir hale getiren durum;
şifreleri başkaları tarafından tahmin edilmesi zor bir
karakter dizisi olarak seçme zorunluluğu ile
hatırlanması kolay bir şifre olmasının gerekliliği
arasındaki tezatlıktan kaynaklanır.

Şifreler (devam)

Yeterli zaman ve kaynaklar olduğu sürece her şifre kırılabilir!!!

Şifreler (devam)

Yeterli uzunlukta şifreler seçilmeli (min. 6 karakterli)
Hiç bir zaman herhangi bir sözlükte bulunabilecek bir kelime seçilmemeli
Büyük, küçük harf ve rakamlar bir arada kullanılmalı
Çeşitli semboller kullanılmalı (@, $, %, ^, !, &...)
Kitaplardaki örnek şifreler hiç bir zaman kullanılmamalı
Klavye kalıpları kullanılmamalı
Hiç bir zaman programlardaki “Parolayı kaydet” seçeneği kullanılmamalı
Her hesap için ayrı bir şifre kullanılmalı
Şifreler sık sık değiştirilmeli
Şifreler bir yere yazılmayıp sadece ezberlenmeli
Sosyal mühendisliğe dikkat edilmeli
Kimseye şifrenizi vermeyin (arkadaşlarınız da dahil)

Şifreler (devam)

Örnek şifreler:
K0rh@nG (akılda kalıcı)
^#6XsEVv%!.5T (akılda kalıcı değil)

Şifreler (devam)

Acı ama gerçek:
Tüm şifrelerin %90 ila %95’i aynı 100 kelimeden oluşuyor.
Kullanıcıların tahmin edilmesi çok basit şifreler seçtiğini gözlemledik: ya çok kısalar ya da sözlükte bulunabilecek kelimelerden seçiliyorlar.

D. Ritchie

Şifreler (devam)

Şifrem çalındı ne yapmalıyım?
Internet Servis Sağlayıcının telefonla destek hattı aranıp şifreler değiştirilmeli
Diğer bütün hesapların şifreleri değiştirilmeli
Üye olduğunuz listeler, haber grupları vb... kontrol edilip sizin adınıza haber gönderilip gönderilmediği kontrol edilmeli

Sosyal Mühendislik

Kişileri inandırma yoluyla istediğini yaptırma eylemidir.

Albenili e-posta ekleri, web hizmetleri. (too good to be true)
ISP görevlisi kılığında kullanıcının şifresini öğrenmek.
Banka personeli kılığında kişisel ve kredi kartı bilgilerini ele geçirmek.
Teknisyen kılığında kurumun içine fiziksel olarak sızmak...

Sosyal Mühendislik (çözümler)

Görevli olduğunu iddia eden şahısların kimliğinden ve görev sınırları dahilinde hareket ettiğinden emin olmak.
Albenisi fazla olan her olaya şüpheyle bakmak.
Kişisel mahremiyeti korumak ve sahip çıkmak.

Virüsler

RFC 1135’e göre virüs tanımı:
“Virüs”, işletim sistemleride dahil olmak
üzere, kendini bir taşıyıcıya yerleştirerek
yayılan bir kod parçasıdır. Tek başına
çalışamaz. Aktif hale gelebilmesi için taşıyıcı
programın çalıştırılması lazımdır.

Kurtçuk

RFC 1135’e göre kurtçuk tanımı:
“Kurtçuk” taşıyıcısının kaynaklarını
kullanarak tek başına çalışabilen ve
çalışabilen tam bir kopyasını başka makineler
üzerinde de oluşturabilen programlardır.

Makro virüsleri

Klasik bir makro virüsü kelime işlemcilerin
içindeki makro yazma özelliklerini suistimal
ederek çalışır.

Truva Atları

Zararsız programcıklar gibi gözükürler
Bulaştığı program normal seyrinde çalışır
Yapacağı işleri arka planda çalışarak kullanıcıya hissettirmez
Sistemde farkedilmeleri çok zor olabilir

Adware

Kullanıcının, alışkanlıklarını izleyerek merkezi bir noktaya raporlayan, kullanıcıyı kendi üye sitelere yollayarak hit kazandırmak gibi korsan işlevler yaratan yazılım.

Virüsler sistemime nasıl girer?

Internetten çekilen programlar ile
E-posta ekleri ile
Ağdaki paylaşıma açık dosyalar ile
Bilgisayarınıza taktığınız taşınabilir medya vasıtası ile

Virüslere karşı korunma

Sisteme anti-virüs programı yüklenmeli
Internetten çekilen dosyalar konusunda dikkatli olunmalı
Bilinmeyen kaynaktan gelen e-posta’daki ekli dosyaları açılmamalı
Paylaşılan taşınabilir medyalar virüs kontrolünden geçirilmeli

Virüslere karşı korunma (devam)

Eğer bir programın virüslü olduğundan şüpheleniyorsanız o programı kullanmayın!
Bir program satın aldığınızda üreticinin mühürünün yırtılmadığına emin olun

E-Posta

E-postanın kullandığı altyapı güvenlik ihtiyacının duyulmadığı dönemlerde belirlendiği için kötü kullanıma en açık noktalardan birisidir.

Kaynağının doğruluğu,
İçeriğinin değiştirilmediği,
Mahremiyeti denetlenememektedir.

İstenmeyen iletiler (spam, junk, chain mail) zaman ve kaynak israfına sebep olmakta.
İleti ekleri art niyetli kodlar için yayılma platformu sağlamakta.
Ücretsiz e-posta hizmetleri, erişim denetim hizmetlerinin düşük tutulması sebebiyle kolaylıkla kötü kullanımlara yol açabilmekte.

E-posta (çözümler - I)

E-postanın kaynağının onaylanması, içeriğinin ve mahremiyetinin korunduğundan emin olabilmek için sayısal imza ve şifreleme yazılımları kullanılmalı.

S/MIME
PGP

İstenmeyen iletiler için e-posta yazılımının filtreleme seçenekleriyle beraber, farklı filtreleme yazılımları kullanılmalı.
İleti ekleri mutlaka anti-virüs yazılımlarıyla taranarak virüs içermediğinden emin olunmalı. Bilinmeyen kaynaklardan gelen iletilere şüpheyle bakılmalı, talep edilmemiş ileti ekleri kesinlikle açılmamalı.

E-posta (çözümler - II)

Ücretsiz e-posta hizmetleri kesinlikle ticari amaçlı kullanılmamalı, parolalar ve parola hatırlatma mekanizmaları için seçilen kriterlerin en yakın kişilerce bile tahmin edilemeyecek kadar kişisel olmasına dikkat edilmeli. Bu tip ücretsiz e-posta hizmeti veren kuruluşların politikaları dikkatle okunmalı. (İletilerin sahibi kurumdur, vs.)
E-posta önizlemesi iptal edilmeli, yazılımlarda çıkan açıklar önizleme durumunda bile ekli dosyaları kullanıcının izni olmadan çalıştırabilir.
E-posta yazılımı sürekli olarak güncel tutulmalı.

E-Posta (çözümler - III)

E-posta iletileri için risksiz formatlar kullanılmalı, HTML ileti yerine, düz yazı iletisi, Word dökümanı yerine, Zengin yazı biçimi gibi.
Çoğunluğun kullandığından farklı e-posta yazılımları tercih edilmeli, böylelikle çoğunluğu hedef alan art niyetli yazılımların saldırıları bertaraf edilebilir.
E-posta iletilerinden birçok kişisel bilgi edinilebileceği unutulmamalı, özellikle e-posta listelerine atılan mesajların içeriklerine özen gösterilmeli.

PGP Uygulaması

PARANOYA

Paranoyak olmak zorundasınız çünkü sizi almaya geliyorlar...

PARANOYA (devam)

Sürekli antivirüs programınızı çalıştırın. Eğer sürekli çalıştırma imkanınız yoksa çektiğiniz dosyaları karantinaya alıp, dosyaları çalıştırmadan önce antivirüs programı ile kontrol edin
Bilmediğiniz dosyalara maksimum şüphe ile yaklaşın
Makro virüslerine çok dikkat edin
Internette dolaşırken çok hassas olun. Bir web ya da FTP sitesi gerçek olamayacak kadar güzel şeyler vaad ediyorsa mutlaka şüphelenin

PARANOYA (devam)

“Bilinen Türdeki Dosya Uzantılarını Gizle” seçeneğini iptal edin

Teşekkürler

Teşekkürler

Yüklə 445 b.

Dostları ilə paylaş:

Internet'te Bireysel Gizlilik ve Güvenlik

Internet'te Bireysel Gizlilik ve Güvenlik

Can ALPTEKİN ca@dikey8.com

Korhan GÜRLER kg@dikey8.com

İçerik

Web Tarayıcısı Güvenliği

Şifreler

Sosyal Mühendislik

Virüs, Kurtçuk, vs...

E-Posta Güvenliği ve Gizliliği

Paranoya

Web Tarayıcıları

Çoklu ortam eklentileri yeni riskler yaratıyor.

Seyyar kodlar (ActiveX, Java) kötü niyetli kullanılabiliyor.

Kullanıcılar mahremiyetlerini koruyamıyorlar.

Çerezler bilgi sızdırabiliyor.

SSL Sertifikaları.

Cross-Site Scripting.

Parola saklama seçenekleri.

Web Tarayıcıları (önlemler -I)

Yazılımın, üretici tarafından çıkarılan yamalarını derhal uygulamak ve düzenli olarak takip etmek.

Seyyar kodları çalıştırmaktan kaçınmak.

Anonymizer yazılımlarla mahremiyeti korumak.

Çerez kabul ederken seçici davranmak.

E-ticaret veya benzeri şifrelenmiş trafik kullanılan sitelerde SSL sertifikaların kontrollerini dikkatli yapmak.

Umulmadık anlarda karşılaşılan sisteme giriş sayfasının tekrar görüntülenmesi gibi durumlarda dikkatli olmak.

Tarayıcının parola saklama seçeneklerini kullanmamak.

IE güvenliği

ActiveX programları spesifik fonksiyonları yerine getirmek üzere (klip göstermek ya da bir ses dosyası çalmak gibi) yazılmış kodlardır ve web sayfalarına konarak bu özelliklerin sayfada oluşması sağlanabilir.

ActiveX kontrolleri genellikle .OCX soyadına sahiptir (Java ile yazılmış olanları hariç)

IE böyle bir sayfa görüntülemeye çalıştığında önce kullanıcının makinasına bakarak gerekli ActiveX kontrolünün olup olmadığını kontrol eder, yoksa kendisi yüklemeye çalışır.

ActiveX kontrolünü yüklemeden önce imzalarına bakıp geçerli bir ActiveX olup olmadığını kontrol eder, değilse kullanıcıyı uyarır.

IE Güvenliği (devam)

ActiveX ne gibi bir tehdit oluşturuyor?

“Safe for Scripting” açığı : Bununla ActiveX kodu içerisinde makinanızdaki herhangi bir dosyanın üzerine yazılabilir, yeni bir dosya yaratılabilir.

Active Setup Dosya Yükleme açığı : Bu açık ise bir DoS saldırısı olarak tanımlanabilir. Saldırgan “Active Setup” ın imzalı Microsoft .CAB dosyalarını diske yüklemesi ile ilgili bir açığı kullanarak saldırısını gerçekleştirir.

IE Güvenliği (devam)

Saldırılar sadece insanlardan direkt değil dolaştığımız web sitelerinden de gelebilir

ActiveX kontrolleri iptal edilmeli

Yamalar ve güncellemeler mutlaka takip edilip uygulanmalı

Şifreler

Şifre güvenliğini kompleks bir hale getiren durum;

şifreleri başkaları tarafından tahmin edilmesi zor bir

karakter dizisi olarak seçme zorunluluğu ile

hatırlanması kolay bir şifre olmasının gerekliliği

arasındaki tezatlıktan kaynaklanır.

Şifreler (devam)

Yeterli zaman ve kaynaklar olduğu sürece her şifre kırılabilir!!!

Şifreler (devam)

Yeterli uzunlukta şifreler seçilmeli (min. 6 karakterli)

Hiç bir zaman herhangi bir sözlükte bulunabilecek bir kelime seçilmemeli

Büyük, küçük harf ve rakamlar bir arada kullanılmalı

Çeşitli semboller kullanılmalı (@, $, %, ^, !, &...)

Kitaplardaki örnek şifreler hiç bir zaman kullanılmamalı

Klavye kalıpları kullanılmamalı

Hiç bir zaman programlardaki “Parolayı kaydet” seçeneği kullanılmamalı

Her hesap için ayrı bir şifre kullanılmalı

Şifreler sık sık değiştirilmeli

Şifreler bir yere yazılmayıp sadece ezberlenmeli

Sosyal mühendisliğe dikkat edilmeli

Kimseye şifrenizi vermeyin (arkadaşlarınız da dahil)

Şifreler (devam)

Örnek şifreler:

K0rh@nG (akılda kalıcı)

^#6XsEVv%!.5T (akılda kalıcı değil)

Şifreler (devam)

Acı ama gerçek:

Tüm şifrelerin %90 ila %95’i aynı 100 kelimeden oluşuyor.

Kullanıcıların tahmin edilmesi çok basit şifreler seçtiğini gözlemledik: ya çok kısalar ya da sözlükte bulunabilecek kelimelerden seçiliyorlar.

Şifreler (devam)

Şifrem çalındı ne yapmalıyım?

Internet Servis Sağlayıcının telefonla destek hattı aranıp şifreler değiştirilmeli

Diğer bütün hesapların şifreleri değiştirilmeli

Üye olduğunuz listeler, haber grupları vb... kontrol edilip sizin adınıza haber gönderilip gönderilmediği kontrol edilmeli

Sosyal Mühendislik

Kişileri inandırma yoluyla istediğini yaptırma eylemidir.

Sosyal Mühendislik (çözümler)

Görevli olduğunu iddia eden şahısların kimliğinden ve görev sınırları dahilinde hareket ettiğinden emin olmak.

Albenisi fazla olan her olaya şüpheyle bakmak.

Kişisel mahremiyeti korumak ve sahip çıkmak.