EBSO Bilgi Gvenlii Semineri ar POLAT 27 12
EBSO Bilgi Güvenliği Semineri Çağrı POLAT | 27. 12. 2017 |14: 00
Firma: Era Sistem Bilişim ve Danışmanlık Hizmetleri, İzmir Eğitim: Doktora: Bilgisayar Mühendisliği (DEU, Devam Ediyor. . ) Yüksek Lisans: Bilgisayar Mühendisliği (DEU) Lisans: Elektrik-Elektronik Mühendisliği (Anadolu Üni. ) Lisans: İşletme Fakültesi (Anadolu Üni. ) Çağrı POLAT Siber Güvenlik Uzmanı / Danışmanı / Eğitmeni ISO 27001 Baş Denetçi & Danışman Facebook. com/cagripolatmsc Twitter. com/cagripolatmsc Instagram. com/cagripolatmsc Linkedin. com/in/cagripolat Sertifikalar: MCSE+S & CEH (Eğitmen) ISO 27001 Baş Denetçi Bilirkişi Çalışma Alanları: #Siber Güvenlik, #Bilgi Güvenliği, #ISO 27001 #Sızma Testi, #KVKK, #Blockchain, #Mütalaa Mail / Telefon: cagripolat@erasistem. net , 0 505 640 69 49 Web Sitesi: http: //www. cagripolat. com
İçerik 0 - Bilgi Güvenliği Nedir? - Kurumlar Bilgi Güvenliği için ne yapıyor? - Kişisel Güvenlik Zafiyetleri - Sosyal Mühendislik Tehditleri - Kablosuz Ağlarda Güvenlik Tehditleri - Sosyal Medya Güvenliği - E-Mail Güvenliği - Banka Uygulamaları Güvenliği - Mobil Cihaz Güvenliği - Dünyadan/Türkiye’den Güncel Güvenlik Haberleri - Sorular Çağrı Polat | www. cagripolat. com
1 Bilgi Güvenliği Nedir? ISO 27002: 2005 Bilgi Güvenliğini aşağıdakilerin şekilde tanımlar: - Gizlilik - Bütünlük - Erişilebilirlik Çağrı Polat | www. cagripolat. com
2 Kurumlar bu amaçla ne yapıyor? - ISO 27001: 2013 BGYS süreçlerini takip ederek kurumlarına bu standartı sağlıyorlar. - Güvenlik yazılım ve donanım yatırımları - Ekibine ve çalışanlarına güvenlik eğitimleri ve sertifikasyon - SOME ekipleri kuruyorlar - Zafiyet analizi, sızma testleri - Log(Kayıt) yönetimi- IPS/IDS, SIEM ve Siber olaylara müdahale - Çok katmanlı güvenlik mimarisi - Ağ topolojisini tekrar gözden geçirme - MDM çalışmaları Çağrı Polat | www. cagripolat. com
Kişisel Güvenlik Zafiyetleri Nelerdir? 3 Kişisel Güvenlik Zafiyetleri Nelerdir? - İnsan Zafiyetleri ile Gelen Tehditler - Zararlı Yazılım Tehditleri - Güçlü Şifreyi Nasıl Seçmeliyiz? Çağrı Polat | www. cagripolat. com
İnsan Zafiyetleri ile Gelen Tehditler - Telefon ve Bilgisayarlarda eski işletim sistemlerinin kullanılması - Cihazlarda yazılımsal ve donanımsal Firewall ve Anti virus gibi güvenlik ürünlerinin kullanılmaması - Bilgisayarlarda taşınabilir medya, flash diske izin verilmesi - Basit ayarların yapılmaması ile oluşan tehditler - Cihazlarda ve servislerde kullanılan zayıf ve varsayılan şifreler - Tüm servislerde aynı şifrenin kullanılması - İşletim sistemi ve yazılımlarda eksik yama ve güncellenmeme sorunu - Güvenli olmayan protokol ve iletişimin kullanılması (HTTP, POP ve SMTP vb. ) - Bilgisayarlara yetkisiz erişim sağlanması - Güvenilmeyen kaynaklardan dosya indirme ve yükleme - SPAM ve oltalama maillere tıklama vb. hareketler Çağrı Polat | www. cagripolat. com
Basit Ayarların Yapılmaması ile Oluşan Tehditler - Bilinen dosya türleri için uzantıları gizle ayarı aktif mi? fatura. pdf. exe! - Taşınabilir diskler otomatik açılıp, çalıştırılmamalı. . - Önceki sürümler özelliği ve gölge kopya servisi sisteminizde açık olmalı - Ayın bir günü sistem geri yükleme noktası otomatik olarak oluşturulmalı - Güncellemeler otomatik, alınıp yüklenmeli - Açılışta başlayan programların farkında mıyız? (msconfig) - Zamanlanmış görevlerin farkında mıyız? (Conficker solucanı!) - Varsayılan olarak açılan paylaşımların farkında mıyız? (net share) - Cihazınızı yönetici hesabı yerine normal yetkisiz bir hesap ile çalıştırmalısınız! - Kullanıcı hesap denetimi kısmı açık olmalı (UAC hemen ilk kapatılır) - Fiziksel Güvenlik! Hem kurum hem de kişiler ile alakalı. . Çağrı Polat | www. cagripolat. com
Fiziksel Güvenlik - Kurum dışına çıkan mobil cihazların (MDM, Bitlocker vb. ) güvenliği - Kurum bünyesinde verilen notebook’ların BIOS şifreleri - Zimmet verme ve teslim süreçleri - USB portu ve başımıza açtıkları - Fiziksel olarak kritik cihazlara erişilme riski - Fiziksel olarak network aktif cihazlara erişilme riski Çağrı Polat | www. cagripolat. com
Fiziksel Güvenlik Şifre sizce nedir? Whatapp’ınız izleniyor olabilir! Çağrı Polat | www. cagripolat. com
Zararlı Yazılım Tehditleri - E-mail ekinden, zararlı bir siteden indirilen dosyadan veya enfekte olmuş dosyaya tıklama ile kapılıyor - Ayrıca Java, Adobe Reader, güncellemelerle de bulaşabiliyor Flash gibi fake - Bir trojan gibi yayılıyor - Tüm data uzantılarını şifreleyebiliyor - Network map edilmiş disklere dahil yürüyebiliyor - Windows XP, Vista, 7, 8, 10, serverlar, Linux, Mac de aktif - Fatura. pdf. exe! Ve ikonu pdf şeklinde. . - Verileri gelişi güzel bir 256 bit AES key ile, Bu anahtarı RSA -2048 ile şifreliyor ve gizli bir kanaldan private anahtarı yönetim merkezine iletiyor - 500$-800$ arasında meblağı Bitcoin olarak TOR üzerinden istiyorlar - Süre veriliyor ödeme olmazsa key şifresi silinebiliyor, daha önceki ödemeler ifadesi var! Cryptorbit Fidye Zararlısı Cryptolocker Fidye Zararlısı Crypto. Defense Fidye Zararlısı Crypto. Wall Fidye Zararlısı Police-themed Fidye Zararlısı Locky Fidye Zararlısı Odin Fidye Zararlısı Çağrı Polat | www. cagripolat. com
Güçlü Şifreleri Nasıl Seçmeli? - En az 8 karakterden oluşmalıdır. - Harf, sayı ve özel karakterlerin(+, -, *, <, >, |, €, # vb. ) kullanılması zorunlu olmalıdır. - Parolada büyük ve küçük harf zorunlu olmalıdır. - Parolada kişisel bilgiler(şehir ismi, plaka, yaş, doğum tarihi, eşinizin doğum tarihi, telefon numaranız, çocuklarınız ismi vb. ) olmamalıdır. - Şifre içinde birbirini takip eden rakam ya da harf bulunmamalıdır. - Parolada ünlü isimleri, film adları, takım isimleri, şehirler, ilçeler olmamalıdır. - Sözlükte bulunabilen parolalar kullanılmamalıdır. - Parolalar belirli aralıklarla değiştirilmelidir. - Zayıf Şifreler: "123 qwe", "qwe 123", "123 qweasd", "qwer 1234", izmir 35, ksk 2002, tüm sayı şifreleri vb. . - Kuvvetli Şifre Örnekleri Çağrı Polat | www. cagripolat. com
Güçlü Şifre Seçme Yöntemleri? - Cümle Baş Harfleri Birleştirme: Bir elin nesi var, iki elin sesi var. --> 1 Env, 2 Esv. 10 Yılda 15 milyon genç yarattık her yaştan. --> 10 Y 15 mgyhy. Ben 1996 yılının 7. ayında mezun oldum --> B 1996 y 7. amo Mezuniyet tarihim 1998 yılının 4. ayıdır. --> Mt 98 y 4. a - Bazı kelime, harf ya da rakamlar yerine özel karakterler kullanabilir: "Dün Kar Yağmış" : Dün*Yagm 1$ "Şeker gibi bir soru sordu" : $eker~1? Sordu "Tek eksiğim bir güldü" : 1 -gim 1: )dü "Yüzeysel bir soru eşittir eksi puan": %eysel 1? =-Puan - Bir cümledeki sadece sesli ya da sadece sessiz harfleri kullanabilir: Örnek 1 Parola Veriyorum. " cümlesinden yola çıkarak "rnk 1 Prl. Vryrm. " elde edilebilir [1] 3 d!i+X 8 L, en. SYA: j%, e 2 W%. MCX, z. M. T 2 Fw. U, is 2 c_jo. T vb. Çağrı Polat | www. cagripolat. com
Şifreler Ne Kadar Sürede Kırılıyor? 1. 4 Milyar Şifre (5 aralık 2017) [4] Çağrı Polat | www. cagripolat. com
Şifreyi güvenli şekilde saklamalıyız! Ajanda' ya not etme! Cep telefonuna kaydetme! Fotoğrafını çekme, bulut’ a kaydetme Birisi ile paylaşma! Çağrı Polat | www. cagripolat. com
4 Sosyal Mühendislik Tehditleri Sosyal Mühendislik nedir? Sosyal Mühendislik gizli bilgileri ortaya çıkarmak için insanları ikna sanatıdır. Hedef Kimler? Sistem yöneticileri, üst düzey yöneticileri, IT çalışanları, yardım sever personeller ve herkes! Sosyal Mühendislik saldırıları neden etkili? - İnsan doğası: Güvenme! - İnsan güvenlik zincirindeki en zayıf ve şüpheli faktördür. - Bu tarz saldırıları tespit etme diğerlerinden daha zordur. - Bu ataklardan tamamen kurtulmak için bir methot yok. - Bu atakları %100 engelleyen donanım veya yazılım çözümü yok. Sosyal Mühendislik saldırılarına en etkin çözüm: EĞİTİM, EĞİTİM. . . Çağrı Polat | www. cagripolat. com
Sosyal Mühendislik Saldırı Fazları: - Hedef firma hakkında araştırma (Çöp karıştırma, web site, çalışanlar, Linked. In vb. ) - Kurbanın seçilmesi (Hoşnutsuz ve mutsuz çalışan!) - İlgili kişi ile ilişkinin kurulması ve geliştirilmesi - İlişkinin istismar edilmesi Sosyal Mühendislik Saldırı Türleri: - İnsan Tabanlı (Gizli dinleme, Omuz sörfü, Çöp karıştırma, Sırtında taşıma, Kapı tutma) - Bilgisayar Tabanlı (Oltalama, Hedefli oltalama, Ses ile oltalama, Zararlı mobil uygulamaları ile) En Tehlikelisi: İçerden saldırılar ve hoşnutsuz / mutsuz çalışanlar! Çağrı Polat | www. cagripolat. com
Diplomalar, Faturalar, Sertifikalar, Tüm belgeler->Sosyal Medya' ya yükleniyor. . Çağrı Polat | www. cagripolat. com
Oltalama Maillleri Çağrı Polat | www. cagripolat. com
Türk Telekom Oltalama Maili Çağrı Polat | www. cagripolat. com
5 Kablosuz Ağlarda Güvenlik Tehditleri - Kablosuz yapı ucuz fakat tehlikeli! - Güvenlik beklentileri genellikle karşılamamaktadır. Ağ şifreniz kısa ise kırılması dakikalar içinde mümkün. . - Kamuya açık kablosuz ağlar (Havaalanı, Starbucks vb. ) çok riskli! - MAC tabanlı filtreleme yapılmalı -> Sizin internet bağlantınızla suç işlenirse ne olacak! - WEP kolaylıkla kırılıyor bu yüzden WPA 2 veya WPA kullanılmalı! (17. 10. 2017 de durum değişti!) - Sahte erişim noktaları ile verileriniz okunabilir! - Kablosuz ağınızda kimler var? Kontrol ediliyor mu? - WPS çok riskli - Starbucks ağı gerçekten o kurumun mu? Ya girdiğiniz bir ağ gerçek değil de sahte ise? - Kablosuz ağınız çıkış log kayıtları tutuluyor mu, ayrıca bu zaman damgalı şekilde imzalanıp saklanıyor mu? - Bluetooth hacklemek /dinlemek mümkün. Kullanılmadığında Bluetooth’ları kapatınız. . Çağrı Polat | www. cagripolat. com
6 Sosyal Medya Hesaplarının Güvenliği Nasıl Alınır? - Kurum ile ilgili hiçbir detay, bilgi, belge ve paylaşım yapılmamalıdır. Şirketin kurumsal bilgi güvenliği politikasına uygun hareket edilmelidir. - Gelen direk mesajlara kesinlikle tıklamayın, dediklerini yapmayın. (t. co/adres in nereye sizi gönderdiğini bilemezsiniz. . ) - Tweetlerinizi ve hesabınızı koruma altına alarak sadece tanıdığınız kişiler iletişim halinde olun. - Takipçi sayılarına takılmayın, bunu artırmak için olur olmaz servislere hesabınız üzerinde gereksiz haklar vermeyin. - Hesaplara erişimi olan uygulamaları kontrol ederek risk yaratabilecek uygulamalara erişim izni vermeyin. - Paylaşılan kurum fotoğraflara, bilgilere, belgelere, konumlara dikkat! Bu bilgiler aleyhinizde kullanılabilir ve arama motorları bu verileri indekslenmektedir. - Sosyal Medyada herkes CIO, Genel Müdür ve üst düzey yönetici. . . Bunların gerçekten doğru olduğuna mı inanıyorsunuz? - Kimlik bilgileri paylaşılmamalı ve doğru bilgiler verilmemelidir. - Sosyal platformların telefon rehberine veya maildeki kişilere ulaşarak sizin adınıza paylaşımlar yapmasına izin verilmemelidir. - Şifremi unuttum sorusu için alakasız bir cevap seçilmeli ve bunu sadece siz bilmelisiniz. Yani ne zaman doğdun sorusunun cevabı 19. 04. 1985 olamaz bu soruya alakasız başka bir cevap verilmelidir. - Sosyal medya hesaplarından özel bir konuyu, kişiyi veya olayı hedef alan yorum ve yazılardan kaçınmanızı tavsiye ediyorum. Çağrı Polat | www. cagripolat. com
7 E-mail Güvenliği - E-mail girişlerinde çift yollu doğrulama tercih edilmeli (Şifre + SMS vb. ) - Tanımadık kişilerden gelen ekli mailler girilmeden silinmeli - Mail eki ile gelen. exe, . pif, . js, . vbs ve diğer ilgili uzantılar açılmadan silinmeli - Mail ile yönlendirilen hiçbir adrese veri girişi yapılmamalı - Belirli aralıklar ile şifre değiştirilmeli - Mail güvenlik kısmından oturumun hangi cihazlarda açık olduğu aralıkla kontrol edilmeli - Kurumsal veya özel mailinizi her yerde deşifre etmeden oluşabilecek risklere karşı önlem almış olursunuz. - Kurumsal mailinizi kendi özel amacınız için sosyal platformlarda paylaşmayın ve kullanmayın. - Para ve banka hesapları gibi kritik bilgiler kesinlikle müşteriler ile sadece e-mail teyit yöntemiyle yapılmamalıdır. E-mail’ de verilerin arasına girilebilir ve kurum ciddi zararlar ile karşılaşabilir. * Çağrı Polat | www. cagripolat. com
8 Banka Uygulamaları Güvenliği Nasıl Alınır? - Veri girişlerini ekran klavyesi ile yapmanız daha güvenli olacaktır. - Şifreleri hiçbir türlü tarayıcıya kaydetmeyin. - İşiniz bitince çıkış işlemi yapılmalı. - EFT ve Havale limiti çok kısıtlı olsun, gerektikçe açıp işlemi yapıp sonra gene kapatın. - Müşteri numaramı hatırla gibi işlemleri kolaylaştıracak seçimler yapmayın. - Banka uygulamalarının içinde yanlış giriş kayıtlarını aralıklarla inceleyin. - Şifre üreten cep anahtar, uygulama yapısını kullanıyor iseniz arkaya gelen sayılar kullanmayın. - Mobil tarafta SMS okuma izni olan uygulamalara çok daha dikkatli olun. - Her türlü banka işleminde SMS ile bilgilendirilme seçeneğini aktif hale getirin. - Harcamaları Sanal Kredi Kartı ile yapmanızı tavsiye ediyorum. - *Kredi kartınızı yurt içi ve yurt dışı e-ticaret sitelerine kaydetmeyiniz. (bu aralar çok sayıda vaka. . ) Çağrı Polat | www. cagripolat. com
9 Mobil Cihaz Güvenliği Nasıl Alınır? - Herkesin elinde, saldırganlar için çok önemli. . - Kurum MDM(Mobil Cihaz Yönetimi) yazılımını devreye alınmalı - Çok hızlı>> DDo. S botları! >> 4. 5 G! - Oltalama ve sesli oltalama saldırıları mümkün, tüm bilgilerimiz ortada adresler dahil! - Mobil anti virus ve ateş duvarı? ->Güvenlik halen mobil cihazlarda çok önemsenmiyor! - Root ve jailbreak konusu sıkça yapılmakta, bunun yapılmaması lazım. . - Hangi uygulamaların cihaz yöneticisi hakkı var? Hangi uygulama hangi hakları istiyor? - Güvenilmeyen kaynaklardan ücretsiz! İndirilen uygulama (apk) dosyaları - Orijinal indirilen yerler dışında hiçbir yerden, mailden uygulama indirilmemelidir. . - Ekran kilidi, PIN kodu veya ek önlemler gerekli. . - Bilinmeyen kaynaklardan dosya indirme ve yükleme kesinlikle yapılmamalı - Çalınma ve hırsızlığa karşı cihazları uzaktan silme ve cihazın yerini bulma servisleri aktif mi? Çağrı Polat | www. cagripolat. com
Bir Android cihazı kolaylıkla saniyeler içinde bir uygulama yükleyerek istismar etme mümkün. Ayrıca • • Sms kayıtları Arama kayıtları Girilen sitelerin kayıtlarını alma Ses kaydı yapma Kamera kaydı yapma Gizli foto çekimi yapma Vb. yapmak mümkün! *Jail break yapılmamış Apple bu konuda daha güvenlidir. . Çağrı Polat | www. cagripolat. com
Denizbank Mobil Oltalama Çağrı Polat | www. cagripolat. com
10 - Dünyadan/Türkiye’den Güncel Güvenlik Haberleri Windows 10 ve mahremiyet konusu FBI Apple’ a karşı Forti. OS SSH Arka Kapısı (4. 3. 0 den 4. 3. 16 ve 5. 0. 0 den 5. 0. 7) Windows 3. 1 cihaz yüzünden Paris hava alanında uçuşların iptali(13 kasım 2015) Nissan, Tesla jiplerin hacklenmesi Trafik işaretlerinin hacklenmesi Enerji sistemlerinin hacklenerek 6 saat Ukranya da ki elektrik kesintisi-> Bir excel dosya yüzünden. . American Express’ in 3. tarafın güvenlik ihlali dolayısı ile hacklenmesi Panama Belgeleri(11. 5 milyon gizli belge ve 2, 6 TB lık veri, 202 ülkenin dahil olduğu. . ) 272 milyon tane e-mail, 114 milyon tane Linked. In, 412 milyon adultfinder hesabı hacklendi ve satılıyor. . 50 Milyon seçmenin kimlik bilgileri sızıntısı, 33 hastanenin tüm verilerin sızıntısı İzmirgaz’ ın 880. 000 müşterisinin bilgileri internete sızdı. . Termostat değerleri, insülin pompası hacklendi. . (Nesnelerin interneti ile daha neler olacak? ) Ammyy uzaktan bağlantı programı orijinal sitesinden virüslü dosya dağıtıyor. . Google Drive, Dropbox, One Drive, Github ‘ın 8 -9 Ekim 2016 engellenmesi ve bunun getirdikleri! Mirai botnet ve Nesnelerin interneti cihazlardan DYN DNS servislerine yapılan DDo. S saldırısı -> Bulut Bilişim? QR kod ile mobil cihaza sızma mümkün. . San Francisco metro sistemleri ransomware saldırısına(2000 cihaz) uğradı. O gün tüm metrolar ücretsiz idi. . MS 17 -010, CVE 2017 -0290 Wanna Cry, Eternal. Blue ve türevleri! Equifax konusu ve hatalar silsilesi. . Krack Saldırı ile WPA/WPA 2 ile korunan kablosuz ağların https dahil tüm trafiğin izlenebildiği ortaya çıktı. Vb. Çağrı Polat | www. cagripolat. com
İzmir Siber Güvenlik ve Teknik Eğitimler CEH(Etik Hacking) Eğitimi->35 saat CEH(Etik Hacking) Eğitimi(Uygulama Ağırlıklı)->70 saat ISO 27001 Saha Uygulamaları Eğitimi->24 saat Sızma Testi Eğitimi->32 saat Kali Eğitimi->24 saat Uygulamalı Ağ Güvenliği Eğitimi->24 saat İleri Seviye Ağ Güvenliği Eğitimi->24 saat Network Güvenlik Testleri Eğitimi->24 saat Linux Masaüstü Eğitimi->24 saat Unix Eğitimi->24 saat Fortigate Eğitimi->16 saat Ağ Güvenliği için Temel Linux Eğitimi->16 saat Metasploit Framework Eğitimi->16 saat Kablosuz Ağ Güvenlik Eğitimi->16 saat Firewall Eğitimi->16 saat Snort Eğitimi->16 saat Pf. Sense Eğitimi->16 saat Nessus Eğitimi->8 saat Wireshark Eğitimi->8 saat Bilgi Güvenliği Farkındalık Eğitimi->1 Gün, 8 saat Yöneticiler için Bilgi Güvenliği Eğitimi->1 Gün, 8 saat ISO 27001: 2013 BGYS Farkındalık Eğitimi->1 Gün ISO 27001: 2013 Baş Denetçi Eğitimi->5 gün ISO 27001: 2013 Revizyon Eğitimi->1 gün ISO 27019 eğitimi->1 gün, 7 saat Siber Güvenlik ve Endüstri 4. 0 ->1 gün, 7 saat Nesnelerin İnterneti Güvenliği Eğitimi->1 gün, 7 saat Ağ Güvenlik Eğitimi->5 Gün, 35 saat Kali Linux Eğitimi->1 gün, 7 saat KVKK teknik uyum eğitimi->1 gün, 7 saat SCADA Güvenlik eğitimi->1 gün, 7 saat İzmir Ticaret Odası Siber Güvenlik Eğitimleri İzmir Ticaret Odası KVKK Teknik Uyum Eğitimi DEU BİMER Siber Güvenlik Eğitimleri DEU BİMER KVKK Teknik Uyum Eğitimi Sızma Testleri (Bilgi Alınız. . ) Güncel Eğitimler için: https: //www. erasistem. com/akademi Çağrı Polat | www. cagripolat. com
Kaynaklar [1] http: //www. bilgimikoruyorum. org. tr/? b 222_guclu_parola_olusturma Çağrı Polat | www. cagripolat. com
SORULAR TEŞEKKÜRLER cagripolat@erasistem. net , 0 505 640 69 49 http: //www. cagripolat. com
- Slides: 31