PKI

Bilgisayar korsanlarına karşı etkili bir savunma hattı olarak ‘’Parola nedir?’’ sorusu kullanıcıların merak ettiği sorulardan biridir. Parola, kimlik doğrulama işlemleri sırasında, kimlik bilgilerini doğrulamak için kullanılan gizli karakter veya kelime bütünüdür. Parolaların uzunluğu değişebilir ve harfler, sayılar ve özel karakterler içerebilir. Parolalar genellikle bir kullanıcı adıyla birlikte kullanılır. Yalnızca kullanıcı tarafından bilinecek şekilde tasarlanan diziler, kullanıcının bir cihaza, uygulamaya veya web sitesine erişmesine izin verir.

Parola Ne Demektir?

Parola, sorgulama isteğini karşılamak için sözlü, yazılı veya yazılı bir kod kullanan, kimlik doğrulama uygulamalarının bir parçasıdır. Belirli bir parolanın zorluğunu veya güvenlik gücünü belirleyen genellikle karakterlerin sırası ve çeşitliliğidir. Bu nedenle güvenlik sistemleri genellikle kullanıcıların en az bir büyük harf, sayı ve sembol kullanan şifreler oluşturmasını gerektirir. Bir parolanın etkin bir güvenlik mekanizması olması için ayrıntılarının gizli tutulması gerekir. Aksi takdirde, yetkisiz kullanıcılar dosyalara erişim sağlayabilir. Parolalar, dikkatli bir şekilde oluşturulduğunda çevrimiçi güvenliği artırır. Parolaların gücünü ve etkinliğini en üst düzeye çıkarmak için kuruluşlar genellikle parola politikaları oluşturur. Bu ilkeler, kullanıcıların güçlü parolalar oluşturmasına ve oturum açma kimlik bilgilerini yönetmek için en iyi uygulamaları benimsemesine yardımcı olmak için tasarlanır.

Güçlü ve Tahmin Edilmesi Zor Parola Nasıl Oluşturulur?

Parolalar genellikle minimum sekiz, maksimum  64 karakter arasındadır. Bununla birlikte  herhangi bir dizinin uzunluğuna dair bir sınır yoktur. Parolalara hem büyük hem de küçük harfleri büyük/küçük varyasyonları ile eklemek değişkenlerin sayısını ve dolayısıyla zorluğunu arttırır. Güçlü parolaların en önemli bileşenleri, yeterli uzunluk ve karakter türlerinin bir karışımını içerir. Rastgele şifre oluşturucular ve şifre yönetim araçları da karmaşık şifreler üretebilir ve bunları kullanıcılar için hatırlayabilir. Herhangi bir parolanın gücü, karmaşıklığı kadar son kullanma tarihine de bağlıdır. Kurumsal parola politikaları genellikle kullanıcılarının parolalarına bir son kullanma tarihi koyarak kullanıcıları eski parolaları yenileriyle değiştirmeye zorlar. Parola zaman periyotları genellikle 90 ila 180 gün arasındadır. Gelişmiş parola oluşturma sistemleri, kullanıcıları önceki parolalarla büyük benzerlikler paylaşmayan yeni parolalar oluşturmaya da zorlayabilir. Geleneksel parolaların karmaşıklığını ve güvenlik açıklarını ortadan kaldırmaya yardımcı olmak için parolasız kimlik doğrulama uygulamaları da vardır. Bu yöntemler özellikle mobil cihazlardaki veya sosyal platformlardaki kullanıcılar için faydalıdır. Benzersiz bir parola oluşturmak yerine, kullanıcılar bir metin mesajı, e-posta veya diğer mesajlaşma uyarısı veya servisi aracılığıyla tek seferlik bir kimlik doğrulama kodu alır. Kod, kullanıcıların otomatik olarak oturum açmasını sağlar. İki faktörlü kimlik doğrulama, kullanıcıların, kullanıcının bildiği (şifre veya PIN gibi), kullanıcının sahip olduğu (kimlik kartı, güvenlik jetonu veya akıllı telefon gibi) bir kombinasyonunu içeren iki kimlik doğrulama faktörü sağlanmasını gerektirir. Çok faktörlü kimlik doğrulama, yalnızca iki kimlik doğrulama faktörü ile sınırlı olmaması dışında 2FA'ya benzer. Ayrıca kullanıcının bildiği, kullanıcının sahip olduğu ve kullanıcının olduğu bir şeyi kullanır.

Penetrasyon testi, bir kişi, kurum veya işletmenin dijital altyapısı ve bilişim sistemlerine yapılan bir tür kontroldür. Penetrasyon testinin amacı, kötü amaçlı kişi veya kişilerin ilgili bilişim sistemine saldırmaları durumunda söz konusu bilişim sisteminde bulunan açıklıkların tespit edilmesidir. Bu sayede bu siber açıklar kapatılarak kötü niyetli kişiler tarafından yapılması muhtemel saldırıların önüne geçilmiş olur. Peki, penetrasyon testi nedir?

Penetrasyon Testi Ne Demektir?

Penetrasyon testi, sızma testi olarak da bilinir. Bilişim altyapısına ve siber sisteme sızmak suretiyle ne gibi verilerin elde edilebileceği penetrasyon testi ile anlaşılır. Penetrasyon testi ile elde edilen bulgular neticesinde, varsa sızmanın mümkün olduğu güvenlik açıkları giderilir. Penetrasyon testleri, siber güvenlik uzmanları tarafından en etkili şekilde yapılabilir.

Penetrasyon Testi Hangi Yöntemlerle Uygulanabilir?

Bir penetrasyon testi yaptırmanın üç farklı yöntemi vardır. Bunlar; blackbox, whitebox ve graybox adı verilen yöntemlerdir. Blackbox yönteminde, penetrasyon testini yapacak olan siber güvenlik uzmanına ilgili sistemle alakalı hiçbir bilgi verilmez ve sisteme tamamen bir yabancı gibi sızmaya çalışması beklenir. Whitebox yönteminde, siber güvenlik uzmanına bilişim altyapısı ile alakalı tüm bilgiler verilir ve bu bilgileri de kullanarak penetrasyon testi yapması istenir. Graybox yöntemi ise her iki yöntemin bir karışımı gibidir. Bu yöntemde, siber güvenlik uzmanına bilişim altyapısı ile alakalı bazı ipuçları verilse de detaylar bildirilmez.

Penetrasyon Testi Çeşitleri Nelerdir?

Amaca göre birbirinden farklı penetrasyon test çeşitleri bulunur. Penetrasyon testi çeşitleri aşağıdaki gibi sıralanabilir:

• Web Tabanlı Penetrasyon Testi: Bu penetrasyon testi, FTP, mail, DNS ve web gibi internet erişimi olan bilişim sistemleri üzerinde uygulanır.

• Ağ Tabanlı Penetrasyon Testi: Ağ tabanlı penetrasyon testleri bilişim altyapısının kurulu olduğu yerel ağ üzerinde uygulanır.

• Mobil Penetrasyon Testi: Mobil işletim sistemlerine sahip cihazlar üzerinde uygulanır.

• Bulut Tabanlı Penetrasyon Testi: Kurum veya işletmenin bulut tabanlı olarak kullandığı sistemler üzerinde uygulanır.

• Kaynak Kodların Analiz Edilmesi: Bilişim sistemleri üzerinde çalışan yazılımların kaynak kodlarının analiz edilmesi ile yapılan bir test türüdür.

• DDoS Penetrasyon Testi: Sunucu ve internet sisteminin DDoS saldırıları karşısındaki durumunu ölçmek amacıyla uygulanır.

• Wireless Penetrasyon Testi: Wireless ve benzeri kablosuz ağlara karşı gelebilecek saldırıların analiz edilmesi amacıyla uygulanır.

• VOIP Penetrasyon Testi: Kullanılan VOIP sistemi üzerindeki açıklıkların tespit edilmesi amacıyla uygulanır.

Siber güvenlik, teknolojinin gelişmesi ve sistemlere yapılan saldırıların artmasıyla birlikte son derece önemli hale gelmiştir. Güvenliği sağlamak içinse çok sayıda yöntem kullanılır. Bu yöntemlerin en önemlilerinin başında pentest gelir. Peki, pentest nedir? Nasıl uygulanır?

Pentest Ne Demektir?

Pentest, Türkçe’ye sızma testi olarak çevrilen bir terim olup sistemdeki güvenlik açıklarını bulmayı amaçlar. White hat hackerlar’ın çalışma alanına girer. Siber güvenlik uzmanları, hazırlanan yazılımlar üzerinde çalışma yapar ve art niyetli kişilerin saldırılarında kullanılabilecek yöntemlere karşı sistemlerin ne kadar güvenilir olduğunu araştırırlar.

Bir simülasyon tekniği olarak da kabul edilen pentest testleri, en az black hat hackerler kadar alanına uzman isimler tarafından gerçekleştirilir. Genellikle yazılım ya da bilgisayar mühendisleri bu alanda görevlendirilir.

Pentest Nasıl Gerçekleştirilir?

• Pentest testlerinin başarılı bir şekilde tamamlanabilmesi için en önemli aşama planlamadır. Bu aşamada süreç boyunca uygulanacak stratejiler belirlenir ve hangi standartların uygulanacağı konusuna karar verilir.

• İkinci aşama keşif olup sistemde ulaşılabilecek tüm veriler üzerinde inceleme yapılır. Bu veriler arasında kullanıcı adları, şifreler, çalışanlara ait bilgiler yer alır. Parmak izi olarak da tanımlanan bu bilgilerin yanı sıra portların taranması ve sistemdeki açıkların tespit edilmesi gereklidir.

• Test uzmanı ulaşabileceği tüm bilgileri bir araya getirdikten sonra saldırı aşamasına geçer. Bu aşama tespit edilen açıklara uygun saldırı yöntemlerinin kullanılmasına dayanır.

• Pentest testinin başarıyla uygulanmasının sonucunda raporlama gerçekleştirilir. Raporlama adımında sistemde yer alan açıklarla ve bu açıklardan kaynaklanabilecek risklerle ilgili ayrıntılı bilgiler verilir. Ayrıca açıkların kapatılmasıyla ilgili çözüm önerileri mevcutsa paylaşılabilir.

Pentest Testinde Kullanılan Yöntemler

Pentest testleri, sistemde kullanılan yazılıma göre değişiklik gösterebilir. Ancak genellikle OWASP listesinde yer alan güvenlik açıklarından yola çıkarak uygulama güvenliği gerçekleştirilir.

• Black Box Testing yönteminde, test uzmanları ile sisteme ait herhangi bilgi paylaşılmaz. Bilgilere sıfırdan ulaşılması beklenir.

• White Box Penetration Testing yönteminde, simülasyon saldırganın kurum içerisinde olduğu varsayılır. Bu nedenle kuruma ait tüm bilgilere sahiptir. Yazılımın açık kaynak kodları, işletim sistemi, IP adresleri, ağ şeması gibi firmaya ait önemli bilgilere ulaşabilen saldırganların sisteme verebileceği zararlar tespit edilir.

• Grey Box Penetration Testing ise bilgilere kısmı olarak erişim izni verilen yöntemdir. Bu yöntemde paylaşılan bilgi hackerler tarafından ele geçirilebilecek bilgilerdir. Ancak gereksiz zaman kaybı olmaması için test uzmanı ile paylaşılır.

Phreak telefon ağlarını ve cihazlarını hacklemek için kullanılan argo bir terimdir. Phreaking saldırılarını yapan kişilere ‘’phreaker’’ denir. Telefon korsanlığı olarak da bilinen ‘’phreaking’’, telefon hırsızlığı, özel numara kodları ve bağlantılar aracılığıyla telefon ağlarının ve otomatik menülerin istismar edilmesidir. Örneğin, bir dolandırıcılık saldırısı, telefon ağlarına yetkisiz erişim sağlamayı ve ağ altyapısında gizli grup aramaları oluşturmayı içerebilir. Phreaking eski bir tekniktir ancak IP Üzerinden Ses (VoIP) ağlarının gelişmesiyle birlikte popülaritesi yeniden canlanmaktadır. ‘’Phreaker nedir’’ bilmek, telefon korsanlarının neden olduğu ciddi tehditlere karşı daha bilinçli olmanıza yardımcı olabilir.

Phreaker Ne Demektir?

Phreaker, telefon şebekesini "hacklemek" isteyenler için ilk olarak 60'ların sonunda kullanılmıştır. Freak (meraklı/ istekli) ve phone (telefon) kelimelerinden türetilmiştir. Kendi yetkisiz kullanımları için telefon sistemlerine yasa dışı ve gizli bir şekilde erişen profesyonel ve yüksek düzeyde organize PBX korsanlarına phreak ya da phreaker adı verilir. Günümüzde herhangi bir telekomünikasyon ağının güvenliğini kıran veya kırmaya çalışan herkesi kapsayacak şekilde kullanılır. Tipik phreaker telefon müşterilerine çeşitli hizmetler sağlamak için kullanılan tonlarla ilişkili çeşitli ses frekanslarını belirlemeye ve manipüle etmeye çalışır. Saldırılarda, ağı bir şekilde "kandırmak" için tasarlanmış özel olarak yapılmış bir "kutu" kullanılır. Farklı renklerle adlandırılan farklı kutular, farklı phreak yaklaşımları için kullanılır. Örneğin siyah kutular bir ev telefonundan, kırmızı kutular ise ankesörlü telefonlardan ücretsiz arama yapmak için kullanılır. Mavi kutu ise  telefon sistemi üzerinde tam kontrol sağlar.

Phreaker Tehditleri Nelerdir?

Phreak, telefon teknolojilerinin analogdan dijitale dönüşmesi ile birlikte günümüzde daha çok VoIP sistemlerini hedef alır. IP üzerinden ses veya VoIP, telefon görüşmeleri yapmak için çevrimiçi altyapıya dayanan bir internet teknolojisidir. Phreaker'lar genellikle, tespit etme olasılığının en düşük olduğu saatlerde veya hafta sonlarında saldırır ve bunu yaptıklarında, yetkisiz arama trafiği yoluyla ürettikleri telefon faturaları genellikle normalden 10 ila 100 kat daha fazladır. Deneyimli bir phreaker telefon sisteminize eriştiğinde, telefon görüşmelerinizi dinleme, kendi seslerini aramalarınıza ekleme ve erişimi reddetme dahil olmak üzere telefon sistemini yeniden programlayabilir. Telefon sistemini çökertme, veritabanını bozma ve PBX'i yetkisiz aramalarla doldurarak erişimi kesme gibi tipik phreaking saldırıları özellikle kurumlar açısından ciddi zararlara neden olabilir.

PUKÖ döngüsü, hedeflenen amaca ulaşmak için her adımda planlama yaparak kullanılan bir yöntemdir. PUKÖ’nün açılımı; "Planla, uygula, kontrol et ve önlem al" şeklindedir. PUKÖ’nün temelleri, ilk olarak bir fizikçi ve istatistikçi olan Walter Shewart tarafından atılmıştır. Hem zaman yönetimi ve işleyiş hem de en az problemle amaca ulaşmanın yolu olarak gösterilen PUKÖ’nün evrensel olarak kabul edilen İngilizce kısaltması ise PDCA’dır. Peki, PUKÖ döngüsü nedir?

PUKÖ Döngüsü Ne Demektir?

İş yönetiminden kalite süreçlerine, organizasyondan ekip çalışmasına kadar pek çok alanda kullanılabilen PUKÖ, amaç ve hedeflerin en doğru, en hızlı ve en sorunsuz şekilde gerçekleştirilebilmesi için uygulanan bir sistemdir. PUKÖ’nün amaçları arasında verimli ve efektif çalışma, kaliteyi arttırma, süreçleri standardize etme ve ekip sinerjisi yaratma gibi amaçlar bulunur. PUKÖ döngüsünün her aşaması aşağıdaki gibi özetlenebilir:

1)        Planla

PUKÖ döngüsünün ilk aşaması olan planlamada; işin tanımı, nasıl yapılacağı, ne zaman yapılacağı, kim veya kimler tarafından yapılacağı, işin yapılması sırasında nelerden destek alınacağı gibi soruların cevapları verilerek işin planlaması yapılır. Bu aşamada, yapılacak her şey küçük adımlar dâhilinde ele alınır.

2)        Uygula

Uygulama aşaması daha önce planlaması yapılmış olan işin gerçekleştirilmesi aşamasıdır. Bu yönden PUKÖ’nün en önemli aşamalarından biri olan uygulama sırasında, önceki planlama aşamasında öngörülmemiş olan problemlerin de ortaya çıkması mümkündür. Hem planlama aşamasında kararlaştırılan adımların hayata geçirilmesi hem de ortaya çıkabilecek yeni problemlerin aşılması bu aşamada gerçekleştirilir.

3)        Kontrol Et

Uygulama ile beraber PUKÖ döngüsünün en önemli aşamalarından biri olan kontrol etme aşaması, işin planlandığı çerçevede tamamen doğru yapılıp yapılmadığının belirlendiği aşamadır. Doğru yapılmamış veya eksik yapılmış bir işi belirlemek ve üzerinde düzenleme yapmak planın amacına ulaşabilmesi için hayati önem taşır. Buna bağlı olarak kontrol etme aşamasında planın gerçekleştirilişinin denetlenmesi ve planın amacına ulaşıp ulaşmadığının saptanması amaçlanır.

4)        Önlem Al

PUKÖ’nün ilk aşamasından itibaren planlama yapıldı, uygulandı ve kontrol edildi. Her şeyin sorunsuzca gerçekleştiği görüldükten sonra son aşama olan önlem alma aşamasına gelinmiş oldu. Yapılan iş yeniden bir planlamaya gerek kalmaksızın sürekli olarak tekrar edilerek verim elde edilebilir. Bu noktada dördüncü aşama olan önlem alma her zaman aktif durumda olmalıdır. Bu aşamada işin herhangi bir safhasında problem meydana gelmemesi için ön görülen hatalar ortadan kaldırmalı, sistem bir şekilde işlemez hale gelmeye başladıysa da yeniden planlama aşaması aktif edilmelidir.