Açıköğretim Adalet
Adalet 1. Yarıyıl Dersleri
Adalet 2. Yarıyıl Dersleri
Adalet 3. Yarıyıl Dersleri
Adalet 4. Yarıyıl Dersleri
Eğitim Setleri
Eğitim Videoları
İçerik Tarihi: 10-01-2014

Bilgi Güvenliği İhlalleri Konusu

BİLGİ GÜVENLİĞİ İHLALLERİ KONUSU


Elektronik olarak bilgi gizliğini ihlal eden kişiler bilgisayar korsanları, iş arkadaşları ya da diğer kişiler olabilir. Bu kişileri güdüleyen merak ya da hakları olmayan bir şeye ulaşma isteği olabilir. Örneğin bazı web siteleri snoopware olarak adlandırılan, bilgisayarınızda ne gibi işlemler yapıldığını izlemeyi sağlayan takip programlarını izinsiz olarak o siteye giren kişilerin bilgisayarına yükler. Bu programlar, bir bilgisayara yüklendiği zaman, her tuş darbesini ya da fare hareketini kaydeder. E-postaları, anlık mesajlaşmaları, ziyaret edilen web sitelerini ve bilgisayara yazılan tüm şifreleri kaydeder.


İşletmeler çalışanları ve müşterileri hakkında bilgilere ihtiyaç duyarlar. Ama genellikle insanlar, özel hayatlarıyla ilgili bilgileri, başkaları da ulaşabilecekse, vermek istemezler. İşletmeler bu bilgileri 1) pazarlama” amaçlı olarak kullanabilecekleri gibi, 2) çalışanlarını izleme amaçlı da kullanabilirler.


Pazarlama amaçlı kullanımda; müşteriler işletmelerin kendilerini tanımalarını ister ancak aynı zamanda onları rahatsız etmemelerini de ister. Benzer şekilde müşteriler işletmelerin kendilerinin sevebilecekleri ürün ve hizmetler hakkında bilgi vermelerini isterler ancak sürekli olarak rahatsız edici reklamlara boğulmak istemezler. Aşağıda pazarlama amacıyla kullanılan araçlar açıklanmaktadır: (Bu araçlar rahatsız edici boyuta ulaştığında; bunlarla nasıl mücadele edileceğine bilgi güvenliği önlemleri başlığında değinilmektedir)


• Çerez (Cookie): Bir web sunucusu tarafından bilgisayarınıza kaydedilen bir metin dosyasıdır. Müşteriyi internette izlemenin temel aracıdır. Çerez dosyası bilgisayarda ziyaret edilen sitelerde kullanılan kullanıcı adı ve şifreleri saklar. Böylece o web sitesine her girdiğinizde doğrulama işlemlerinden tekrar geçmek zorunda kalmazsınız. Ancak, çerez dosyalarıyla kişinin internet alışkanlıkları takip edebilir. Hangi sitelere girdiği, ne kadar süre kaldığı gibi.


• İstenmeyen E-Posta (SPAM): Pazarlama amacıyla izin alınmadan çok sayıda kişiye gönderilen e-postalara “istenmeyen e-posta” adı verilir. “İşe yaramaz e-posta”, “çöp mesaj”, “önemsiz e- posta”, “reklam amaçlı mesaj” gibi isimler de istenmeyen e-posta yerine kullanılmaktadır. Çoğunlukla istenmeyen e-postalar “taklit ucuz ilaç” gibi güvenilmeyen ürünlerin, pornografik içeriğin ya da kolay zengin olma vaatlerinin duyurulması amacına yöneliktir. İstenmeyen e- postalar günümüzde internet kullanıcıları için çok rahatsız edici duruma gelmiştir. Uzmanlar 2004’teki e-posta trafiğinin yüzde 70’inin istenmeyen e-posta olduğunu göstermektedir. Tek bir istenmeyen e-posta göndericisi bir günde 80 milyon bu tür e-posta gönderebilir. Farklı ülkelerin istenmeyen e-postayı çeşitli yaptırımlarla engellemek için yasal düzenlemelerle mücadele etmektedir. Sözgelimi ABD Anti Spam Yasası olarak bilinen CAN-Spam Act’i 2003’de çıkarmıştır. Ancak yasal yollardan mücadele istenen sonuçları doğurmamıştır. Bu tür e- postalarla bireysel olarak mücadele yollarını da kullanmak gereklidir. Sözgelimi, istenmeyen e- postaları filtreleyen “anti spam filtreleri” kullanarak “spam” olarak işaretlenen adreslerden tekrar e-posta alınması engellenebilir. Bu sayede birçok kişinin oluşturduğu havuzda (veri tabanında) biriken adreslerden gelen e-postaların hepsi okunmadan çöpe gidecektir. Bugün birçok kurum ya da kişi e-posta sistemlerinde spam filtresi kullanmaktadır.


• Reklam Program (Adware) ve Casus Program (Spyware): Reklam içeren bilgisayar programlarına “Reklam Program”, kullanıcının bilgisi dışında kişisel bilgiler toplayan bilgisayar programlarına ise “Casus Program” adı verilir. Reklam programların çoğu aynı zamanda casus program özelliği taşır. İnternetten bedava program yüklendiğinde, genellikle yüklenen programla birlikte bu reklam ve casus programlar da bilgisayara yüklenir. Casus programlar daha tehlikelidir. Yüklendiği bilgisayarın kullanıcısı hakkında sürekli olarak izinsiz bilgi toplayıp, bunları bir başkasına gönderirler. Adı geçen iki programla mücadele için bunları arayıp bulan “casus temizleme programları”ndan ya da “güvenlik duvarı”ndan yararlanılabilir.


Çalışanları izleme amaçlı kullanım: FBI raporlarına göre, çalışanlarının yüzde 78’inin, İnterneti işle ilgisi olmayan başka aktivitelerde kullandıklarını ortaya koymaktadır. Bu yüzden işletmeler çalışanlarının neler yaptığını izlerler. Hatta iş saatleri süresince gönderilen e-postaları kayıt altında tutarlar. American Management Association, Mart 2005’te yaptığı açıklamada, işverenlerin yüzde 60’ının çalışanlarının e- postalarını izlediklerini açıklamıştır (Haag vd., 2007, 364).

Kimlik Hırsızlığı: Bilgi etiği ve gizliliği konusundaki en önemli ihlallerden biri de kimlik hırsızlığıdır. Kimlik hırsızlığı, dolandırıcılık amacıyla, bir başkasının kimliğini kullanmaktır. Dolandırıcılık genellikle, maddi kazanç için yapılmakta ve çalınan kimlik bilgileri, kredi başvurusunda ya da alışverişte kullanılmaktadır. Ayrıca çalınan kimlik bilgileri suçlu bir kişinin kanundan kaçması için de kullanılabilir. Javelin Strateji ve Araştırma Şirketi’nin yaptığı araştırmalara göre, Ekim 2003 ve Eylül 2004 arasında, ABD’de yaşayan 9 milyon kişi, kimlik hırsızlığının kurbanı olmuştur. Kişi başına yaklaşık kaybın 1000 dolar olduğunu tahmin etmektedir. (Buna tüm kredi raporlarının temizlenmesi, ehliyet, sosyal güvenlik numarası gibi yeni kimlik belgelerinin doldurulması gibi işlere harcanan sayısız saatler dahil değildir). Federal Ticaret Komisyonu, kimlik hırsızlığının işletmelere ve müşterilere, yılda 60 milyar dolar kaybettirdiğini açıklamıştır. (Haag vd., 2007, 362).


Kimlik hırsızlığı eylemi kimlik sahteciliği (spoofing) olarak da tanımlanmaktadır. Online olarak yapılan kimlik hırsızlığına, “oltalama” (phishing) ya da “yemleme” adı verilir. İngilizce “password”(şifre) ve “fishing” (balık tutma) sözcüklerinin bileşiminden türetilmiş bir terimdir. Oltalama tuzağı şöyle işlemektedir (NTVMSNBC, 2003):


“Korsan kişisel bilgileri ele geçirmek için e-posta aracılığıyla iletişime geçer. Ciddi kuramlardan yollanmış gibi gözüken bu e-postalar ilk bakışta hakiki imajı verir. Örneğin Yahoo, MSN, eBay ve birtakım bankaların logolarıyla yollanan e-postalar kişisel bir dil ile yazılarak ciddi imaj güçlendirilir. Bu e-postalarda kullanıcıya kurumun web sitesine giderek şifresinin süresinin dolduğu ve yenilemesi gerektiği söylenir. Korsan daha önceden hazırladığı ve kurumsal sitenin aynısı olan bu siteye kurbanını soktuktan sonra, ondan şifreyi girmesini ister, sonra da kullanıcı kendi şifresini yeni şifresiyle değiştirir, ya da değiştirdiğini zanneder. Esasen eski şifre hala geçerli olduğu için korsan bu şifre ile internette alış veriş yapabilir. Bir başka teknikte ise müşterinin kişisel bilgilerini güncellemesi gerektiği gerekçesiyle tüm bilgileri tekrar girmesi söylenir. Bazı e- postalarda yarışmaya katılması teklif edilen kullanıcılara ödül olarak lüks araba kazandıkları ancak gerekli kişisel bilgileri vermeleri gerektiği bile söylenmektedir. Bu gibi durumlarda bilgilerini veren kullanıcının tüm bilgileri benzer şekilde bilgisayar korsanının eline geçmektedir.”


Normalde işletmeler ya da bankalar e-posta aracılığıyla müşteri bilgilerinin güncellenmesini talep etmezler. Bu yüzden eğer böyle bir e-posta alırsanız, bilginin doğruluğunu kontrol etmeden yanıt vermeyiniz. Diğer önemli bir konu da banka ya da alış veriş sitelerine başka bir sitedeki linkten girmeyiniz ve web adresini kendiniz yazınız. Banka web sitelerinde güvenlikle ilgili linklerde yazılanları okumanız da sizin için bilgilendirici olacaktır.


Bir ağ (netwok) üzerindeki bilgiyi izinsiz olarak izleyen programlara ise paket dinleyici (sniffer) adı verilir. Bu programlar normalde ağ üzerindeki sorunları izlemek için kullanılır. Ancak kötü amaçlı olarak korsanlar tarafından kullanıldığında ağ üzerindeki e-postaları okumak ya da önemli dosyalara, raporlara erişmek için kullanılır. Tespiti genelde güçtür. Çoğunlukla da eski ya da halen çalışan biri bu işi yaptığı için; bu yüzden önemli ve kişisel konuların kurumsal e-postalarda paylaşılmaması en doğru çözümdür.
Yemleme konusunda kullanılan iki yeni yöntem vardır: Şeytan İkizler ve DNS (Domain Name System, Alan Adı Sistemi) Tabanlı Yemleme.


Şeytan İkizler (ewil twins) yönteminde havaalanı, otel, alış veriş merkezi vb. yerlerde wi-fi bağlantı hizmeti sunuyormuş gibi gözüken kablosuz ağlardır. Oysa bu bağlantı kötü niyetli kişinin dizüstü bilgisayarından yayılmaktadır. Sahte ağa bağlanan kullanıcıların kişisel bilgileri alma niyetiyle organize edilen bir düzenektir.


DNS Tabanlı Yemleme (pharming): Kullanıcılar tarayıcılarına, doğru web adreslerini girseler dahi, kullanıcılar sahte web sayfalarına yönlendirmektir. Bunu yapabilmek için korsanlar internet servis sağlayıcı (ISS), yani internet hizmeti veren kuruma ulaşırlar. Korsanlar servis sağlayıcılardan taramayı hızlandırmak için saklanan internet adresi bilgilerine erişip, bu adresleri değiştirirler. Bu durumda kullanıcılar doğru adresleri yazdıkları halde, korsanların yönlendirdikleri adrese gider. Gittikleri site kullanıcının gerçekte gitmek istediği site ile tıpatıp benzer olarak tasarlanmıştır.


Tıklama Hilesi (click fraud): İnternette bir reklamı tıkladığınızda (örneğin sosyal medyada ya da arama aracı kullanırken) reklam veren site sahibine her tıklama için belirli bir ücret öder. Reklam verenin amacı müşteri adaylarını kendi sitesine çekmektir. Tıklama hilesi yapıldığında; bir yazılım aracılığıyla robot ağlar kullanılarak sitedeki reklam tıklanır. Diğer bir yöntemde bu tıklamayı yapması için (ücretler düşükse) birileri kiralanır. Sonuç olarak her tıklama başına ücret ödeyen (Google’da olduğu gibi) reklam veren yanıltılmış olur.
 



Büro Teknolojisi Eğitim Seti İçin Tıklayınız...