Buyuknet

Bilgisayar Dünyası => İnternet, Ağ ve Güvenlik => Konuyu başlatan: tarantula901 - 24.11.2010 - 00:16

Başlık: Kişisel Güvenlik
Gönderen: tarantula901 - 24.11.2010 - 00:16
Kişisel Güvenlik


Bu konu altın da kişisel ve ev kullanıcılarının güvenliğinden söz edeceğim. Güvenlik kavramı çok geniş olduğu için kısa ve öz anlatmaya çalışacağım umarım anlama zorluğu çekmezsiniz.


A – Phishing (Sahtekarlık, Dolandırıcılık)

Phishing denildiğin de aklımıza ilk gelen Fake(Sahte) Mailler gelir. Fakat phishing kavramı da hafife alınmayacak bir güvenlik unsurudur.

Bankalar, Mail Servisleri, Kurumsal Portallar Vb gibi kaynakları dolandırmak amaçlı bir çok yöntemin başı olarak bilinen sahte mailleri dikkate almamalısınız. Örneğin ; Bankanız dan bir mail geldi güvenlik nedeniyle sizden Müşteri ID ve parolanız isteniyor siz de bilinçsiz olarak onlara yanıt veriyorsunuz. İşte bu durum da kendinizi ancak bir bardak su ile yatıştırabilirsiniz. Bu tür sahtekarlıklardan kurtulmak için gelen maillerin kaynak adreslerine ve kaynak kodlarına mutlaka bakmalısınız ki hiçbir servis sağlayıcı sizden mail yoluyla kullanıcı adı ve şifre istemez.

Mail servislerinde aynı yöntem mevcuttur fakat olaya daha farklı bakarsak bu sahte mailleri yutmanız kaçınılmaz oluyor. Örneğin; Size support@hotmail.com adresinden bir mail geliyor, mail’i açıyorsunuz kullanıcı adınız ve parolanız tekrar soruluyor ve siz de bu bilgileri girdiğiniz vakit kurban listesine girmiş bulunuyorsunuz.

Ayrı bir konu ise size herhangi biri tarafından gönderilen mail de ek olarak bir dosya görünüyor, bunu açtığınız da servis zaman aşımına uğradı gibi bir uyarı geliyor ve tekrar kullanıcı adı ve şifre girilmesi isteniyor. Bu durum da da sahte mail kurbanı oluyorsunuz. Unutmayın ki oturum açtığınız da ( login olduğunuzda ) giriş yaptığınız herhangi bir yerde time out olması olanaksız. Ancak belli bir süre geçtikten sonra 10 dakika olur 1 saat olur (her servis sağlayıcının farklıdır) otomatik olarak oturum sonlanır (logout olur) ve sizi ana sayfaya yönlendirip tekrar giriş yapmanız istenilir.

Unutmayın ki Sahtekarlık İle Kredi Kartı Bilgileriniz Ve Kimlik Bilgilerinize Erişilebilir, Yapmadığınız Suçlardan Yargılanabilirsiniz.

Phishing’ den korunmak için çeşitli yazılımlar var fakat hiçbiri kesinlikle %100 güvenlik sağlayamıyor. Bunun tek çözümü sizin bilgilendirilmenize kalmış.

B-Trojans-Keyloggers (Truva Atları - Kayıt Raporlayıcılar)


Zararlı dosyalar derken herkesin bildiği truva atları,virusler, keylogger vb yazılımlar gelir. Her birinin farklı amacı vardır fakat genel de zarar verdikleri için aynı kategoriye girerler


.Truva Atları(Trojan) bildiğimiz gibi backdoor yazılımlarıdır. Bu yazılımlar sayesin de saldırganlar kurbanların tüm bilgilerine erişebilir, sistemlerine zarar verebilirler. Trojanlar genel de çekirdeğe eriştiğinden kolay kolay temizlenemez, sistemden uzaklaştırılamazlar. Trojanlar dan korunmak için mutlaka sisteminiz de bir anti-virus yazılımınızın olması şarttır. Trojanların getirdiği zararlar saldırganın elindedir ve anti-virus yazılımlarınızı herzaman güncel tutmanız gerekmektedir.

.Viruslerin amaçları da tamamen zarar vermektir. Çeşitli yöntemlerde zarar verebilirler. Sisteminizi tamamen silebilir, bozabilir, hatta tekrar kullanılamaz hale getirebilirler. Bazıları vardır ki Ram belleğinizi doldurur işlem yaptırmaz, çalışmalarınızı bozar, dosyanızın adlarını değiştirir vb gibi sizin psikolojinizi bozabilecek her türlü yöntem de zarar verebilirler. Korunmanın yolları da güvenliği kanıtlanmış anti-virus programlarıyla olabilir.

.Keylogger’lar ise sisteminize sizin neler yaptığınızı kayıt etmek (loglamak) ile yükümlüdürler. Klavyenizde neler tuşlanmış ise hangi progress çalışıyorsa herşeyi kayıt altında bildirir. Trojanlar dan farkı sisteminize zarar vermezler. Sadece sizi izleyen birileri olur ve banka hesapları, site hesapları gibi bilgilerinizi çaldırabilirsiniz. Keylogger’lardan korunmanın yolu da Güvenlik firmalarının Internet Security paketlerini kullanmaktır. (Örn: KasperSky Internet Security, ZoneAlarm Firewall gibi. ) Keyloggerlar trojanlar gibi kendini gizleyerek görünmeyebilir anti virus programları tarafından bulunamayabilirler. Bu yüzden firewall tarzı programlar ile önlerine geçilebilir.


C - Vulnerabilities - Güvenlik Açıkları & Bug – Hatalar

Güvenlik açıkları ve hataları hepimiz duymuş olmalıyız ki genel olarak web üzerinde bu hataların çoğunlukta olduğu görülmekte. Fakat işletim sistemlerinde de ortaya çıkabilecek çeşitli sistem hataları da görülmektedir.

Kötü niyetli şahıslar bu açıklar sayesinde bazı yetkiler kazanabilmektedirler. Örn ; Uzaktan komut çalıştırabilme, okuma yazma hakları, dosya gönderimi ve Denial Of Service saldırıları yapma imkanına sahip olurlar.

Bu güvenlik açıklarına karşın işletim sistemlerinizin güncel güvenlik yamalarını mutlaka kurmalı ve kullanmalısınız. Bug s (Hatalar) konusuna gelecek olursa bir nevi güvenlik açıklarıdır fakat sonradan yüklenmiş olan Third party programlar tarafından ortaya çıkarlar. Örn ; Winamp, ICQ, Flashget vB..

Bug lar genelde kod hatalarından kaynaklanan hata çeşitleridir ve saldırgana uzaktan yetki sağlayabilirler.. Bug ların yamalanması konusunda çözüm olarak, kullandığınız programların güncel sürümlerini yüklemek ve olası bug hatalarının yamalarını yüklemekle bu işi çözebilirsiniz.

D – Diğer Kişisel Güvenlik Konuları (Okumadan Geçmeyiniz)

.Web Üzerinden Zararlı Scriptler
World Wide Web üzerinde gezerken birçok sitede ActiveX denetimli yazılımların çalıştığını görmekteyiz. Bu yazılımların birçoğu güvenilirken, büyük çoğunluğu da zararlıdır. Web üzerinden ActiveX uygulamalarını yüklerken mutlaka AntiVirus yazılımlarınız aktif olsun sonradan pişman olabilirsiniz.

Bu tür zararlı kod ve yazılımlardan korunmak için tarayıcı olarak Internet Explorer ‘a alternatif olarak Mozilla Firefox tercih edilebilir.

.CSS - XSS ( Cross Site Scripting )
Yıllardır bilinen fakat hala web programcılarının göz ardı ettikleri açıklardır. XSS, Kullanıcının girdi sağlayacağı sayfalarda, kullanıcı tarafından girdiye script'ler gömülerek yapılan saldırılardır. Bunlar bazen direk kullanıcının kendisi tarafından, ya da onu başka bir isteğe yönlendirmek isteyen bir şahıs tarafından yapılıyor olabilirler..

Genel olarak cross site scripting açıkları saldırgan kişilerin sistemi deneme*yanılma metoduyla bulması ile ortaya çıkar. Bu açıkların bulunması ile saldırgan, başka bir domainden, açığın bulunduğu domain ve sayfanın bilgilerini, session bilgilerini ve diğer obje değerlerini çalmasına olağan sağlar.

Kısaca her link’e acele edip hemen tıklamayınız. Özellikle maillerinize gelen bilgiler de mail html kaynaklı ise mutlaka tıklamanız gereken linklerin üzerine gelip bakınız ya da kopyala-yapıştır metodu ile web tarayıcınıza yapıştırıp kontrol ediniz...

alıntı