Bilgi Teknolojileri 17/12/2009 12:00

Bilgi Güvenliği Konferansı’ndan ana başlıklar – Bölüm 1

istsec

12 – 13 Aralık 2009′da Bilgi Üniversitesi Santral İstanbul Kampüsü’nde yapılan Bilgi Güvenliği Konferansı IstSec ‘09 dan kişi bazında ana başlıklar… Av. Serhat Koç derledi..

Bilgi Güvenliği Konferansı IstSec ‘09
Bilgi Üniversitesi Santral İstanbul Kampüsü
12 Aralık 2009 günü

Konferans, Bilgi Üniversitesi Bilişim Teknolojisi Hukuku Merkezi Başkanı Yar. Doç. Dr. Leyla Keser Berber’in açılış konuşmasıyla başladı.

Berber, bu başlıktaki konferansları yılda iki kez düzenleyeceklerini, bu ayın sonunda benzer bir konferansın Ankara’da da düzenleneceğini, her ilden talep gelmesi durumunda da talep olan illerde de düzenlemekten mutlu olacaklarını kaydetti. Bu alanın, sadece özel sektörün değil, esasen kamu alanındaki güvenliği de etkileyen bir alan olduğunu belirten Berber, siber tehditlerin, kişisel ve kamusal alanımızı etkilediğini, bu nedenle konferans başlıklarının bunlardan oluşturulduğunu, ayrıca konferansı gerçekleştirebildikleri için çok mutlu olduklarını belirtti.

İstanbul Barosu adına açılış konuşması yapan Av. Turgay Demirci konuşmasında:

“Biz sürekli kanunlar hiyerarşisini anlatıyoruz. Ancak Türkiye’de maalesef hukuk alanında buna uymayan ve sürekli olarak hukuka aykırı işlemler olarak önümüze çıkan uygulamalar mevcut. Kanundaki boşlukların ülkemizde sürekli olarak yönetmeliklerle düzenleniyor olması, idareye aslında kendisinde olmayan bir yetkiyi kullanma hakkı verilmesi anlamına gelmektedir. Bilişim suçları alanında konusunda yetkin hakim ve savcıların yetiştirilmesi için Adalet Bakanlığı’nın bu anlamda çalışmalar yapması gerekmektedir. Yargı, sadece kanun uygulayıcı değil hukuk yaratan bir merci de olmalıdır.” dedi.

Konferansta, konuşmacılar tarafından önce çıkarılan diğer ana başlıklar ise şöyle oldu:

Bilgi Üniversitesi adına açılış konuşması yapan Hukuk Fakültesi Dekanı Prof. Dr. Turgut Tarhanlı:

“Hukukta her zaman için kamusal ve bireysel güvenlik parametreleri birbirinin karşısına çıkabilir ve bu çatışma yaratabilir. Bu çatışma, artık bilişim alanında özellikle de hukuki unsurlarda göz önündedir. Eskiden hukuk alanında haberleşmenin gizliliğini ihlal gibi suçlar bu alanda düşünülebilirken, artık günümüzde kişisel verilerin korunması gibi kavramlar ön plana çıkmış ve kanundaki yerini de almıştır.” dedi.

Bilgi Üniversitesi Rektörü Prof. Dr. Halil Güven

Üniversitemiz bünyesinde Bilişim Hukuku Enstitüsü kuracağız. Bir anabilim dalı haline getireceğiz. Bir de meslek yüksek okulu çalışmamız mevcut bu alanda. Meslek edindirme mantığıyla çalışacağız. Ülkemizin önünü açıcı ve bilişim hukuku alanında yol gösterici şekilde hareket etmek istiyoruz.

Bilgi Teknolojileri ve İletişim Kurumu Başkanı Tayfun Acarer

Şahısların, kurumların ve ulusların bilgi güvenliği söz konusudur bugün için. Söz konusu olan da özellikle internettir. En çok da çocukların, ebeveynlerin ve ulusun milli menfaatlerinin zarara uğramaya açık olduğunu görüyoruz. Türkiyede 39-40 milyon internet kullanıcısı mevcut. Bunların başına gelebilecek zararları engellemek için koruyucu altyapı, koruyucu yazılım ve bilinçlendirme gerekmektedir ve bunların yanı sıra suçu tespitte yetkinlik gerekmektedir. İnternetin güvenli haline gelmesi ancak dünya ölçeğinde geliştirilebilir bir husutur.

İstenmeyen e-postalar konusunda, 2008 yılında %8’lik oranıyla Rusya’dan sonra, dünyada Türkiye 2. Durumdadır Ancak kurumumuz diğer kurumlarla işbirliği sonucunda bu büyük oranı düşürmeyi başarabilmiştir.

Bugün örneğin Youtube sitesi yasaklıdır. Ancak kapalı olmasına neden olan karar kaldırılsa bile ardından 32 karar daha vardır. Onlar yüzünden kapalı kalmaya devam edecektir. 5651’e göre değil özel bir kanun olan Atatürk’ü koruma Kanunu’na göre Youtube yasaklanmıştır.

Biz kurum olarak dinleme yapmıyoruz. 80 kişiyle 70 milyonu nasıl dinleyebiliriz? Sürekli bize nasıl dinliyorsunuz diye soruyorlar. Dinlemeyi biz değil, kanunlarla bu yetki verilmiş olan 3 tane kurum gerçekleştirmektedir. Bizim kurumumuz, dinleme yapan kurumların bu dinlemeleri mahkeme kararı neticesinde yapıp yapmadığını ve o mahkeme kararının şeklen doğru olup olmadığını incelemektedir sadece. Öyle ki 4.000’in üzerinde itiraz yaptık kurum olarak bugüne kadar.

Bugün neden Türk arama motoru yapılıyor diye eleştiriler yapılıyor. Bunu anlamak mümkün değil, ne zararı var, yapılsa ne olur? Siz kullanmazsınız, Google kullanmaya devam edersiniz olur ve biter.

Bugün için bence çekirdek aile kavramı değişmiştir. İnternet, çocuklar ve anne babanın yanında buna dahil olmuştur.

Ulaştırma Bakanlığı Müsteşarı Mustafa Fırat:

Bugün dünyada siber güvenlik yatırımları ile bilgi korunmaktadır. Kapsamlı bir çerçeve plan ile özellikle teknik yönden bilişim güvenliği sağlanmalıdır. Devleti beklemeden ve buna gerek duymadan akademik birimler ve özel sektör siber suçları önleme alanında çalışmalıdır. Türkiye’de internet erişimi olmayan köy kalmamıştır bügün için. Öyle ki bilişim sektörünün ülkemizde yılda 30 milyar dolarlık bir pazarı söz konusudur. İletişim teknolojisi altyapısı olarak da Türkiye dünyada 16. ve Avrupa’da ise 6. durumdadır.


Yaşar Üniversitesi Öğretim Üyesi, Bilgi Güvenliği ve Adli Bilişim Uzmanı Prof. Dr. Ahmet Koltuksuz:

Bilgi güvenliğinin kuramsal temellerini algılamak gerekmektedir. Bilgi güvenliği sistemini geliştirmek için deney laboratuvarları ve güvenlik araştırmaları ölçümleri en önemli araçlarımızdır. Bilgi güvenliği uzmanlarının, sızma çalışmaları, tatbikat halinde sistemleri denemek ve güvenlik ölçütü geliştirme sistemleri bunları kapsamaktadır. Veri ambarları ve gelecekte yapılacak deneyler ve laboratuvar metodolojileri sonucu geliştirilen planların kanun koyucuya ve devlet mekanizmasındaki gerekli kurumlara da çıktı olarak iletilmesi gerekiyor. Çünkü bu, teknolojik analiz ve çözümlerin hukuka uygulanabilmesi için çok gerekli. Bugün için tanımlamalarda yaşanan sıkıntılar esasen bilgi güvenliğinin en büyük kısıtlarındandır.

İnternette yer ve zaman faktörü yoktur. Hukukun genel algılarının bu konuda değişmesi gerekmektedir, suçun işlendiği yeri bulup oranın mahkemesini yetkili olarak tespit etmeye çalışmak ya da suç zamanını tam olarak tespit etmeye çalışmak internet mantığına uymadığı için hukukun artık bu durumu anlayıp buna göre şekillendirilmesi gerekmektedir. Özellikle de internet hukuku konusundaki kanun maddelerinin en az yılda bir kez değiştirilmesi gerekmektedir.

Biz son yıllarda olasılık sistemine göre çalışabilen bilimsel icatlar gerçekleştirmeye çalıştık. Aslında yıllardır tüm kullandığımız eşyalar ve icatlar deterministiktir yani kesin amaçlıdır, buzdolabı eğer çalışıyorsa sadece soğutur, asla yemeği ısıtmaz. Ancak artık yazılmış şiiri sadece okuyabilen değil kendisi de şiir yazabilen sistemleri yapabileceğimize inanıyoruz. Olasılık prensibiyle çalışan bu sistemler artık yaşamımıza girdiğinde hukuk tam anlamıyla baştan sona yenilenmek zorundadır.

Veri Güvenliği Uzmanı Ferruh Mavituna

Yazılımların güvenlik açıklarını tanımlamak, bunları araştırıp bulmak ve bunları kişilerin aleyhine ve hukuka aykırı olarak kullanmak amaçlı değil, bilakis insanların bilgilerini ve verilerini korumak amaçlıdır. Saldırıları önlemeyi daha çok önceliyoruz, çünkü saldırıdan sonraki kurtarma gerçekten işimizi görmüyor. Artık o şekilde yazılımlar söz konusu ki, güvenlik açığını siz hiç bilgi uzmanı olmadan yazılım sayesinde açığı buluyorsunuz ve etkilerini görüyor ve hatta çözümünü de siz kendiniz ürtiyorsunuz. Örneğin web uygulaması güvenliği hususundaki sorunları bertaraf etmek için elimizde olabilecek en başarılı yol bu. Hangi açıkların gerçek olduğu, saldırılardan hangisinin daha tehlikeli ve yakın olduğu çok tartışmalı. Son dönem yazılımlar, bu çözülemez denilen “false positive” durumunu ortadan kaldırdı ve bu yazılımlar artık gerçek olmayan güvenlik açığı raporlaması yapmıyor.

Kıdemli Bilgi Güvenliği Uzmanı Huzeyfe Önal

Güvenlik uzmanları prosedürel hareket ettiği için hackerlara göre bir adım geriden gelir. Güvenlik uzmanları için koruma bir meslektir, hackerlar için ise bu korumaları aşmak bir zevktir. Hackerlar için bilgi güvenliği diye bir kavram yoktur, sadece aşılması gereken engel vardır. Saldırı tespit sistemleri dahi kendi içinde yazılımsal dönüşüm geçirip diğer sistemlere saldırı yapmaya başlayabilir. Standart bir bilgi güvenliği uzmanı bunu ilk başta anlamlandıramayacaktır. Türkiye’de güvenlik firmaları %80 oranında, hosting ve ISP’ler %60 oranında, üniversiteler %85 oranında, kamu kurumları ise %55 oranında güvenlik açığına sahipler.

Bilişim Danışmanı Halil Öztürkci

Jailbreak, Apple’ın resmi yazılımlarını değil de, diğer üçüncü parti programları kullanabilmek için yapılan işleme deniyor. Dünya genelinde jailbreakli iphone sayısının toplam iphone’lar içindeki oranının %15-%18 arasında olduğu tahmin ediliyor. Jailbreak yapılan iphone’lara çoğu zaman SSH ile uzaktan bağlanılabiliyor. Varsayılan kullanıcı adı “root” ve şifre de “alpine” ve bunlar genelde hiç değiştirilmiyor. Dolayısıyla pek çok kişinin uzaktan dosya transferi için iphone’larında kullandığı SSH sistemi, artık son aylarda geliştirilen iphone botnetleriyle hukuka aykırı şekilde kullanılmakta… Iphone’larda ve diğer tüm benzeri sistem telefonlarda casusluk amacıyla, aktif çağrı dinleme, ortam dinlemesi, sms ve e-postalara erişim, arama kayıtlarına erişim ve GPS konum bilgisi edinmek gibi işlemler, çok düşük ücretlerle alınan yazılımlarla yapılabiliyor. Bu tür yazılımlar kendilerini telefon üzerinde gizleyebiliyorlar. Telefon faturalarının detaylıca incelenmesi, bu türden casus yazılımların telefonda kurulu olup olmadığını bize gösterecektir. Ya da aynı anda hem çağrı gelmesi hem de sms atılmış olması durumu, fazla miktarda internet kullanımı ya da aslında hiç olmamış olması gereken ve bizim de hatırlamadığımız uzun süreli konuşmalar gibi haller şüphemizi casus yazılım bazında artıracaktır. Zarar verme amaçlı olarak da bu şekildeki bir iphone ile; port tarama, wi-fi ile iç ağa sızma, phishing sitesi host etme, exploit çalıştırma ve proxy hizmeti verilebilir. Tüm bu zararlardan korunmak için mobil platformlarda varsayılan şifre değiştirilmeli, jailbreak yapılmamalı ve SSH kullanılmadığında kapatılmalıdır.

Verisign iDefense Uzmanı Mohammed HLUCHAN

Bugün için hackerlar ortadoğuda özellikle ideolojik fikirlerle hareket etmektedirler. Bütün mezhep çatışmaları açısından hackerlarında kamplaştığını söyleyebiliriz. Küçüklü ve büyüklü, milliyetçi ya da dinsel temelli hacker grupları var. Çocuk pornosu gibi çok karşı çıkılan suçlara özellikle karşı çıkıp bu sitelere saldıran gruplar da var. Bunlar ayrıca ideolojik propaganda ya da sansasyon amaçlı internet eylemleri de yapıyorlar, e-mücahitlerin de varlığından bahsedebiliriz. Ortadoğudaki hackerların çoğu ingilizce bilmediği gibi bilgisayar teknolojisinin altyapısından da çok anlamıyorlar genellikle. Ama buna rağmen korsanlık yapmaya devam ediyorlar, İsrail bunların en çok hedef aldığı ülke durumunda.

Konferansta öne çıkan anahatları kişi bazında yayınlamaya devam edeceğiz. 2. Bölümü buradan okuyabilirsiniz.

Tags:
  •  
custom term paper writing service buy essay custom thesis services someone please do my homework write custom essays