Tahsin TÜRKÖZ  Bilişim Sistemleri Güvenliğinde TÜBİTAK BİLGEM


 sunuyor okurlarına. 2500’e yakın kullanıcı,  bilgisayarlar ve ikna kabiliyetiniz ile “ben  eksiklikler, bu araçların etkinliği  Bilgi Güvenliği Alanında Ar-Ge  Bu iki Ar-Ge faaliyetimize benzerlerini  dokümanlarda yer alan içeriğin
 100’den fazla yazara sahip sitede güncel  de bu işi yapabiliyorum” dememeniz için  konusunda ciddi soru işaretleri oluşturuyor.  Çalışmaları  eklemek amacıyla 2009 yılında yoğun bir  anlamlandırılması ve gizlilik düzeyinin
 bilgi güvenliği konularını ele alan teknik  bir neden yok.  Her bilgi sistemi, kendine özgü kurulum  çalışma gerçekleştirdik. Araştırmalarımız,  saptanmasına yönelik kullanılan
 yazılar, bilgi güvenliği varlıklarının  ve yapılandırması ile farklı karakteristiğe  Bilişim Sistemleri Güvenliği Bölümü  ülkemizde bilgi güvenliğinin sağlanması  yöntemlerdeki önemli eksiklikler bizi bu
 güvenliğinin sağlanmasını amaçlayan  Son yıllarda bilişim sistemleri güvenlik  sahiptir. Bu nedenle güvenlik testlerinde  olarak geçtiğimiz on yılı aşkın sürede çok  yolunda, üzerinde durulması gereken  alanda çalışmaya teşvik etti.
 kapsamlı kılavuz dokümanlar ciddiyet ve  testlerine rağbetin artması, BDDK gibi  farklı yöntemlerin kullanılması ve insan  önemli bilgi birikimleri elde ettik. Gelecek  onlarca konu olduğunu ortaya koydu.
 özenle hazırlanıyor. Bilişim sistemlerinde  bazı düzenleyici kurumların güvenlik  zekâsının dahil edilmesi oldukça önemli.  yıllara bu bilgi birikimimizi güncel bir  Çalışmalarımızı belirli alanlarda  Önemsediğimiz bir başka konu da açık
 yeni ortaya çıkarılan güvenlik açıkları takip  testlerini zorunlu kılması işin ehli olmayan  Tabii ki bu tespit, otomatik araçların hiç  şekilde taşıyabilmemiz için Ar-Ge  yoğunlaştırabilmek için, potansiyel  kaynak kodlu sistemler. Yine TÜBİTAK
 edilerek önem düzeyi ve ülkemizdeki  kişilerin iştahını kabarttı. Diğer taraftan,  kullanılmaması anlamına da gelmiyor.  çalışmalarımıza hız kesmeden devam  konuları önceliklendirmeye çalıştık.  BİLGEM tarafından desteklenen Pardus
 yaygınlığına göre okuyucularına  kurumların ihtiyaç duydukları güvenlik  etmenin doğru olacağını düşünüyoruz.  Sonuçta, beş ana konuda çalışmalara  işletim sisteminin her geçen gün daha
 ulaştırılıyor.  testleri için hazırladıkları şartnamelerin  Üçüncü kritik nokta ise raporlama.  Ülkemizde TÜBİTAK BİLGEM ve benzeri  başlayarak, yakın gelecekte somut çıktılar  fazla ilgi görmesi, açık kaynak kodlu
 işin niteliğini tarif edememesi kolay yoldan  Özellikle kurumların en çok dert  kurumlar pek çok Ar-Ge faaliyetine imza  ortaya koymayı kendimize hedef seçtik.  sistemlerin güvenliğinin sağlanması adına
 Bugüne kadar 1000’e yakın içeriğe yer  para kazanmak isteyenlerin ekmeğine yağ  yakındıkları konuların başında, güvenlik  atarak bu anlamda önemli kazanımlar elde  bazı çalışmaların gerçekleştirilmesini
 veren Ulusal Bilgi Güvenliği Kapısı’nda  sürdü. Bu anlamda gerçekleştirmiş  testi projeleri sonucunda üretilen  ettiler. Bizim de hedefimiz, özellikle bilgi  Birincisi, sanal ordular olarak da  gerekli kıldı. Özellikle merkezi yönetim
 5.000.000’u aşkın sayfa görüntülendi.  oldukları güvenlik testi projelerinden  raporların kurumları daha güvenli bir  güvenliği alanında çözüm bekleyen  nitelendirilen ‘botnet’ler. İhtiyaç  ve güvenlik yönetimi konularında Pardus
 Kurulduğundan bu yana hızla artan ilgiye  verim alamayan, kendilerine hiçbir katma  noktaya taşıma noktasındaki eksiklikleri  sorunlara eğilmek. Bu nedenle işi sadece  durumunda, yönetenleri tarafından bir  projelerine önemli katkılarda bulunuyoruz.
 layık olabilmek için aynı ciddiyetle  değer sağlayamayan birçok kurumun  geliyor. Raporlar test bulgularını ayrıntılı  Ar-Ge yapmak olan personel istihdam  hedefe saldırabilecek biçimde hazırolda
 çalışmalarımıza devam etme niyetindeyiz.  yetkilileriyle dertleşme imkânımız oldu.  olarak ele alırken çözüme yönelik  ediyor ve geniş olanaklar sağlamaya gayret  bekleyen ‘botnet’ler, önümüzdeki yıllarda  Kimlik yönetimine dayalı bir güvenlik
 Ülkemizde bir benzeri olmadığını  tavsiyeleri de içermeli. Hatta testler  gösteriyoruz.  gerçekleşeceği tahmin edilen siber  sisteminin, kurumları pek çok bilgi
 düşündüğümüz bu bilgi paylaşım  Bu konuda kurumlara tavsiyemiz,  sırasında kurum personeli ile ortak çalışma  savaşların önemli bir enstrümanı olarak  güvenliği tehdidi karşısında güçlü
 platformunun dünyada da emsalleri ile  kalitesinden şüphe ettikleri güvenlik testi  yürüterek açıklıkların daha net anlaşılması  İlk Ar-Ge çalışması olarak Milli Güvenlik  görülüyor. Ülkemizde ‘botnet’lere karşı  kılacağını düşünüyoruz. Bu nedenle, bu
 yarışabilir olduğunu görmek bizi çok  firmalarına bir ön test yapma zorunluluğu  sağlanmalı. Kurumların almış oldukları  Duvarı projesini gerçekleştirdik. Dağıtık  alınan önlemlerin eksikliği ve  alandaki çalışmalarımızı yoğunlaştırdık.
 memnun ediyor.  getirmeleri. Ayrıca, hazırlanmış örnek bir  ek güvenlik önlemleri de göz önünde  (distributed) yapıda çalışabilen, aynı anda  uygulanabilecek önlemlerin de yetersiz  Kurumsal uygulamalarda kimlik
 Türkçe test sonuç raporu istemeleri. Bu  bulundurularak risk değerleri gerçekçi bir  onlarca noktanın tek merkezden  olması bizi bu alanda çalışmalar yürütmeye  doğrulama ve yetkilendirme gibi
 şekilde hem testlerin kalitesini bir nebze  biçimde belirlenmeli.  yönetimine olanak sağlayan, yüksek  itti. Amacımız özellikle ülkemizdeki kritik  fonksiyonların ayrı sistemler üzerinden
 olsun ölçme olanağına kavuşurlar hem de  kapasiteli hatlarda üst düzey performans  noktalar için ‘botnet’leri saptayan,  gerçekleştirilmesi, kullanıcı hesaplarının
 oluşan raporun bazı araçlar tarafından  Kurumların Bilgi Güvenliğine  gösteren bir ürün ile sonuçlanan bu proje  faaliyetlerini engelleyen ve tespiti sırasında  tekil olarak oluşturulması, uygulamalar
 otomatik hazırlanan raporların bileşkesi  Bakışları Nasıl Olmalı?  ülkemiz adına önemli bir kazanım oldu.  diğerlerini uyarabilen sistemler geliştirmek  arasında tümleşik kimlik doğrulama ile
 olmadığından emin olurlar.  200’den fazla kritik noktada çalışan Milli  ve faaliyete geçirmek.  geçişlerin gerçekleştirilebilmesi, İnsan
 Ülkemizde bilgi sistemlerinin güvenlik  Güvenlik Duvarı, ülkemizin farklı             Kaynakları Bölümleri ile bütünleşerek
 Konunun özüne gelecek olursak... Sağlıklı  testlerine ilişkin, oturmaya başlayan bir  Üzerinde çalışmalar gerçekleştirdiğimiz  yetki verilmesi ve iptali işlemlerinin
 bir güvenlik testi nasıl yapılmalı? Şu ana  kültür var. Bu oldukça güzel bir gelişme.  kurumlarında siber savunma kalkanı  bir diğer alan ise zararlı yazılımlar. Son  otomatize edilmesi gibi konularda
 kadar gerçekleştirmiş olduğumuz güvenlik  Fakat bilgi güvenliğinin kurumsal bir  olarak görev yapıyor. Güvenlik ürünleri  yıllarda bilişim sistemlerine gerçekleştirilen  kurumların gereksinimlerine göre projeler
 testleri başarının üç sihirli kelimede  politika olarak ele alınmadığı ortamlarda  alanında dış ülkelere olan bağımlılığımızı  saldırılar irdelendiğinde zararlı  gerçekleştirmekteyiz.
          azaltmak adına da güzel bir örnek
 Bilişim Sistemleri Güvenlik  saklandığını gösterdi: Kapsam, insan  sadece testler ile bu ihtiyacın karşılanmaya  oluşturuyor.  yazılımların yüksek oranlarda
                                                                                        Özetleyecek olursak, günümüze değin
 Testlerine Nasıl Bakıyoruz?  etkileşimi ve raporlama.  çalışılması yeterli değil. Firmaların büyük  kullanıldığını görüyoruz. Özellikle, bilinen  gerek Bilişim Sistemleri Güvenliği Bölümü
 Öncelikle güvenlik testlerinin tüm kritik  çoğunluğu önemli yatırımlar yapmadan  Akıllı kartlar için gerçekleştirdiğimiz Yan  zararlı yazılımların saldırganlar tarafından
 İnternetin günümüzde en önemli bilgi  bilgi sistemi varlıklarını kapsadığından  önce gerekli fizibilite çalışmalarını, risk  Kanal Çözümlemesi çalışmaları da  değiştirilerek tespit edilmesinin  gerekse ülkemiz adına, bilgi güvenliği
 kaynağı haline gelmesi bize birçok kolaylık  emin olunmalı. Varlıklar ağ, işletim sistemi,  hesaplamalarını yapmaktalar. Özellikle  üzerinde durulması gereken bir diğer Ar-  zorlaştırılması, önleyici sistemleri çaresiz  konusunda önemli mesafeleri kat ettiğimizi
 sağlarken bazı yan etkileri de beraberinde  platform ve uygulama düzeyinde ele alınıp,  prestij ve maddi kayıpların olabileceği  Ge faaliyetimiz. Kredi kartları, vatandaşlık  bırakıyor. Bu anlamda, ülkemizde zararlı  söyleyebiliriz. Bundan sonra da aynı
 getirdi. Artık merak ettiğimiz bir konu  güvenlik bakış açısıyla incelenmedikçe  alanlardan da kaçınmaktalar. Aynı  kartları gibi yaşamın pek çok alanında  yazılımların tespit ve çözümlemesini  motivasyon içerisinde ve büyüyerek
 hakkında pek çok dokümana hızlı bir  sağlıklı bir sonuç elde etmek mümkün  modelin, gerçekleştirdiğimiz işlerle  kullanılmaya başlayan akıllı kartların  gerçekleştirecek altyapının oluşturulmasını  çalışmalarımıza devam etmeyi
 biçimde ulaşabiliyor ve kısa sürede o  değil. Örneğin, uygulamada alınan bir  doğrudan ilişkili bilişim sistemlerinde de  güvenliği oldukça önemli bir konu. Akıllı  ihtiyaç olarak görüyoruz.  hedefliyoruz. Bir taraftan ülkemizin bilgi
 konunun uzmanı (!) haline geliveriyoruz.  güvenlik önlemi ağ katmanındaki bazı  uygulanması gerekiyor. Bu amaçla Bilgi  kartların çalışması sırasında ortaya  güvenliği konusunda bilinçlenmesi adına
 Bilgi Güvenliği sektörü de bundan nasibini  zafiyetler nedeniyle işlevselliğini yitirebilir.  Güvenliği Yönetim Sistemi kurulumu, İş  çıkardığı güç, elektromanyetik alan ve  Yürüttüğümüz diğer bir Ar-Ge çalışması  yüklenmiş olduğumuz misyonu yerine
 alıyor tabii. Özellikle konunun ilgi çekici  Tabii böyle bir çalışmayı  Sürekliliği için gerekli plan ve altyapıların  işlem zamanı gibi bilgilerle kartın  da veri kaçağı önleme mekanizmaları  getirirken diğer taraftan Ar-Ge
 olması, saldırganların paylaşımcılığa önem  gerçekleştirebilmek konunun temeline  hazırlanması gibi projeler hayata  barındırdığı PIN numarası, gizli anahtar  üzerine. Özellikle son iki yılda  çalışmalarımız ile geleceğimizi aydınlatmak
 vermesi ve topluluk çalışmaları sonucunda  hâkim olmayı gerektiriyor.  geçirilmeli ve kurumsal bir kültür  gibi kritik bilgilerin açığa çıkarılması  kurumlardan kontrolsüz bilgi çıkışı ile ilgili  istiyoruz.
 üretilen araçlar ve platformlar ile pek çok  oluşturulmalı. Bu konuyu önemsemeyen  hedefli yürütülen bu testlerde oldukça  pek çok haber kulağımıza çalındı. Dünyada
 saldırının kolayca gerçekleştirilebilir  Otomatik güvenlik testi araçlarıyla  firma ve kurumların önümüzdeki yılların  başarılı sonuçlara ulaştık. Bu testleri şu an  da bu konunun popüler hale gelmesiyle,
 olmasından ötürü bu işe soyunanların  gerçekleştirilen çalışmaların etkinliği  rekabet ortamında gerilerde kalacağını  yapabiliyor olmamız gelecekte  özellikle anti-virüs firmalarının bazı
 sayısı az değil. Yapılan iş çok önemli bir  konusu da üzerinde durulması gereken  düşünüyoruz.  kullanacağımız akıllı kartların seçiminde  ürünler çıkardığını söylemek mümkün.
 sermaye gerektirmiyor. Bir internet  bir diğer başlık. Ürettikleri yanlış uyarılar  veya tasarımında yanlış adımlar  Öte yandan, bu ürünleri incelememiz
 bağlantısı, test için kullanabileceğiniz  ve test uzayını doğru tespit edememe gibi  atmamamıza imkân tanıyacak.  sonucunda bulduğumuz, özellikle Türkçe

 48  Sayı 05   Ocak-Nisan 2011  http://www.bilgem.tubitak.gov.tr/  49
 ·