Temel Kavramlar← İçindekiler

Temel Kavramlar

Vatandaş

Bilgi Güvenliği Nedir?

Bilgi güvenliği, senin olanı korumaktır. Telefonundaki fotoğraflar, mesajlaşmalar, oyun hesapları, e-posta : hepsi senin bilgin. Bu sayfa, bu bilgileri kötü niyetli kişilerden nasıl koruyacağını anlatır.

Peki hacker (korsan) ne demek? Bir şeyi yapılma amacı dışında kullanan herkes. Çocukken kapıyı anahtarla değil kafayla açardın ya, işte bu bir hacking. Telefonuna casus yazılım (spyware) yükleyen de bunu yapar. Sadece biri oyun için kullanır, diğeri zarar vermek için. Bu sayfada hacking’in aslında ne kadar basit olduğunu göreceksin. Saldırganlar sihirbaz değil, fırsatçıdır.

CIA Üçgeni

Bilgi güvenliğinin üç temel sütunu vardır. Bu üç bileşen birlikte düşünüldüğünde “CIA üçgeni” olarak adlandırılır. Her güvenlik önlemi bu sütunlardan en az birini korur.

Gizlilik (Confidentiality)

Bilgiye yalnızca yetkili kişilerin erişebilmesidir. Parolalar, ekran kilidi, şifreli mesajlaşma ve erişim kontrolleri gizliliği sağlayan yöntemlerdir. Gizlilik bozulduğunda kişisel veriler, ticari bilgiler veya devlet sırları yetkisiz ellere geçebilir.

Örnek: Telefonunda ekran kilidi olmazsa, telefonunu bulan her kişi mesajlarına, fotoğraflarına ve banka uygulamalarına erişebilir.

Bütünlük (Integrity)

Bilginin değiştirilmediğinden ve orijinal halinde korunduğundan emin olmaktır. Bir belgeyi gönderdiğinde, alıcının o belgenin senin gönderdiğin sürümle aynı olduğunu doğrulayabilmesi bütünlüktür. Bütünlük bozulduğunda biri senin adına mesaj gönderebilir, bir belgeyi sessizce değiştirebilir veya bir işlem kaydını silebilir.

Örnek: Bir e-posta gönderdiğinde, yolda değiştirilmediğinden emin olmak bütünlük gereksinimidir.

Erişilebilirlik (Availability)

Bilgiye ve sistemlere ihtiyaç duyulduğunda erişilebilmesidir. Sunucuların çalışır durumda kalması, yedeklemelerin düzenli yapılması ve felaket kurtarma planlarının olması erişilebilirliği sağlar. Erişilebilirlik bozulduğunda sistemler kullanılamaz hale gelir, hizmet kesintileri yaşanır.

Örnek: Bir web sitesine erişemediğinde bu, erişilebilirlik sorundur. Hizmet reddi saldırıları (DDoS) erişilebilirliği hedef alır.

CIA üçgenini şöyle hatırla: Bilgim gizli kalsın (Gizlilik), bilgim değişmesin (Bütünlük), bilgime her zaman ulaşabileyim (Erişilebilirlik).

Hacker gözüyle: Saldırgan olsan ne yapardın? Cevap basit: üçünden en zayıf olanı seçerdin. Kilitli bir kapıyı zorlamazsın, açık pencere ararsın. İnsanların en zayıf olduğu nokta genelde alışkanlıklarıdır (güncelleme erteleme, Bluetooth açık unutma). Güvenlik önlemleri ne kadar sağlamsa, saldırgan o kadar emek harcar. Amacın saldırganın işini zorlaştırmak, imkansız değil.

Doğru Bilinen Yanlışlar

Bilgi güvenliği hakkında yaygın ama yanlış inanışlar seni tehlikeye atar. İşte en sık rastlanan beş yanlış bilgi.

Yanlış: “Benim telefonuma kimse sızmaz, önemli biri değilim.” Doğru: Saldırganlar hedef seçmez. Otomatik tarama araçları milyonlarca cihazı aynı anda tarar. Senin cihazın da listededir.

Yanlış: “Ücretsiz Wi-Fi kullanmak güvenlidir.” Doğru: Açık Wi-Fi ağlarında trafiğin dinlenebilir. Bankacılık veya parola girişi yapma. VPN kullan veya mobil verini tercih et.

Yanlış: “Güvenlik yazılımı yükledim, artık güvendeyim.” Doğru: Hiçbir yazılım tam koruma sağlamaz. Yazılım senin dikkatini yerine koymaz. Güvenlik yazılımı bir katmandır, tek başına yeterli değildir.

Yanlış: “Parolam çok uzun, kimse bulamaz.” Doğru: Saldırganlar parolayı tahmin etmez, çalar. Oltalama, veri sızıntısı ve klavye kaydedici ile parolan ne kadar uzun olursa olsun ele geçirilebilir. İki adımlı doğrulama kullan.

Yanlış: “Güncelleme yapmasam da olur, telefon zaten çalışıyor.” Doğru: Güncellemeler yeni özellik değil, güvenlik açığı kapatır. Güncellemediğin her gün bilinen bir açıkla karşı karşıya kalırsın.

Özlü kural: Güvenlik yazılımı, kask takmak gibidir. Kask kazayı önlemez, hasarı azaltır. Sen dikkat etmezsen kaskın da bir anlamı kalmaz.

Temel Terimler

Bilgi güvenliğinde sıkça karşılaşacağın temel kavramları tanıman, kendini korumanın ilk adımıdır.

Hızlı ipucu: Şu an yapabileceğin en etkili tek şey: telefonunda “Kullanmadığın uygulamaları sil.” Fazladan her uygulama, saldırgan için fazladan bir kapıdır.

Tehdit nedir?

Tehdit, bir sistemi veya bilgiyi tehlikeye atabilecek herhangi bir olay, kişi veya gücün ta kendisidir. Tehditler kasıtlı (hacker saldırısı, casus yazılım) veya kasıtsız (doğal afet, insan hatası) olabilir. Önemli olan, tehdidin gerçekleşme olasılığını ve etkisini değerlendirmektir.

Zafiyet nedir?

Zafiyet, bir sistemdeki zayıf nokta veya açıktır. Güncellenmemiş bir yazılım, zayıf bir parola, kısıtlamasız Bluetooth veya eksik güvenlik ayarı birer zafiyettir. Saldırganlar bu zayıf noktaları kullanarak sisteme sızar. Zafiyetleri kapatmak, güvenliğin en temel adımıdır.

Risk nedir?

Risk, bir tehdidin zafiyeti kullanarak yaratacağı olası zararın büyüklüğüdür. Risk = Tehdit x Zafiyet x Etki formülüyle düşünülebilir. Yüksek riskli durumları önce azaltmak gerekir. Örneğin, güçlü bir parola kullanmamak yüksek risk, eski bir fotoğraf uygulamasını güncellememek orta risk taşıyabilir.

Saldırı vektörü nedir?

Saldırı vektörü, bir saldırganın hedefine ulaşmak için kullandığı yöntem veya yoldur. Oltalama e-postası, sahte web sitesi, kötü amaçlı dosya eki, açık Wi-Fi ağı veya fiziksel erişim birer saldırı vektörüdür. Her vektörün kendine göre savunma yöntemi vardır. Vektörleri tanımak, korunmanın ilk koşuludur.

Oltalama (phishing) nedir?

Oltalama, saldırganın güvenilir bir kaynaktan geliyormuş gibi görünerek seni kandırmaya çalışmasıdır. Sahte banka mesajı, “hesabın kapatılacak” içerikli e-posta veya tanıdığını taklit eden sosyal medya mesajı oltalama örnekleridir. Amacı parolalarını, kişisel bilgilerini veya finansal verilerini ele geçirmektir. Her zaman gönderenin adresini kontrol et ve şüpheli bağlantılara tıklama.

Fidye yazılımı (ransomware) nedir?

Fidye yazılımı, cihazındaki dosyaları şifreleyip seni kilitleyen ve karşılığında para talep eden kötü amaçlı yazılımdır. Dosyalarını geri almak için genellikle kripto para istenir. Ödeme yapsan bile dosyaların açılacağı garanti değildir. Düzenli yedekleme yapmak fidye yazılımına karşı en etkili savunmadır.

Casus yazılım (spyware) nedir?

Casus yazılım, cihazına sızıp senin haberin olmadan faaliyetlerini izleyen, kaydeden ve saldırgana gönderen yazılımdır. Ekran görüntüsü alabilir, tuş vuruşlarını kaydedebilir, konumunu takip edebilir, mikrofonunu veya kameranı aktif edebilir. Genellikle sahte bir uygulama veya kötü amaçlı bağlantı yoluyla bulaşır. Uygulama izinlerini kontrol etmek ve bilinmeyen kaynaklardan uygulama yüklememek korunma yolları arasındadır.

Şifre ile parola aynı şey mi?

Hayır. Günlük dilde karıştırılsa da bilgi güvenliğinde ikisi farklıdır. Parola (password): seni sisteme tanıtan gizli kelime/koddur. E-Devlet’e girerken yazdığın şey paroladır. Şifreleme (encryption): veriyi okunamaz hale çevirme işlemidir. Mesajlaşma uygulamasındaki “uçtan uca şifreleme” bu yüzden parola değildir, veriyi koruma yöntemidir. Kısaca: parola giriş anahtarı, şifreleme koruma yöntemidir. Bu kılavuzda doğru terim kullanılır: parola (giriş için), şifreleme (koruma için).

Pozitif Alışkanlıklar

Güvenlik tek seferlik bir işlem değil, günlük bir alışkanlıktır. Her gün uygulayabileceğin temel güvenlik rutini aşağıdadır.

  • Sabah: Telefonunu aç, bildirimleri kontrol et. Beklenmedik bir mesaj veya giriş uyarısı varsa hemen incele.
  • Gün boyu: Her bağlantıya tıklamadan önce göndereni doğrula. Parolayı kimseyle paylaşma. Herkese açık Wi-Fi ağlarında hassas işlem yapma.
  • Akşam: Uygulama güncellemelerini kontrol et. Kullanmadığın Bluetooth ve konum servislerini kapat.
  • Haftada bir: Uygulama izinlerini gözden geçir. Yedekleme al. Hesap etkinlik geçmişini kontrol et.
  • Ayda bir: Parolalarını gözden geçir, zayıf olanları değiştir. İki adımlı doğrulama açılmamış hesapları tespit et ve aç.

Tehlikeli Alışkanlıklar

En sık yapılan ve güvenliği ciddi biçimde tehlikeye atan on hata:

  1. Aynı parolayı birden fazla hesapta kullanmak. Bir hesap sızdırıldığında tüm hesapların risk altına girer.
  2. İki adımlı doğrulama (2FA) kullanmamak. Parolan çalındığında tek engel bu olur.
  3. Herkese açık Wi-Fi ağlarında bankacılık veya alışveriş yapmak. Trafiğin dinlenebilir.
  4. Gelen e-posta ve mesajlardaki bağlantılara göndereni kontrol etmeden tıklamak. Oltalama saldırılarının bir numaralı yolu budur.
  5. Telefonu kilitsiz bırakmak veya tahmin edilmesi kolay parola kullanmak.
  6. Uygulama izinlerini okumadan kabul etmek. Fener uygulaması rehberine erişmek istiyorsa sor var demektir.
  7. İşletim sistemi ve uygulama güncellemelerini ertelemek. Açık olan zafiyetler günlerce bilinen saldırı hedefi olur.
  8. Bilinmeyen kaynaklardan uygulama yüklemek. Resmi mağaza dışından gelen her uygulama risktir.
  9. Bluetooth ve konum hizmetlerini sürekli açık bırakmak. Yakın mesafeli saldırılara zemin hazırlar.
  10. Yedekleme yapmamak. Cihazın kaybedildiğinde veya fidye yazılımı bulaştığında tüm verilerin gider.

Güvenlik Alışkanlıklarına Genel Bakış

Bunu Yap
  • Her hesap için benzersiz parola kullan
  • İki adımlı doğrulama (2FA) aç
  • Güncellemeleri 24 saat içinde yükle
  • Herkese açık Wi-Fi ağında VPN kullan veya mobil veriye geç
  • Düzenli yedekleme al
  • Uygulama izinlerini gözden geçir
Bunu Yapma
  • Aynı parolayı birden fazla yerde kullanma
  • Gelen bağlantılara göndereni kontrol etmeden tıklama
  • Bilinmeyen kaynaklardan uygulama yükleme
  • Bluetooth ve konumu sürekli açık bırakma
  • Güncellemeleri erteleme
  • Ekran kilidi olmadan telefonu bırakma
Günlük Güvenlik Kontrol Listesi
  • Beklenmedik bildirim veya giriş uyarısı kontrol et
  • Bağlantılara tıklamadan önce göndereni doğrula
  • Parolayı kimseyle paylaşma
  • Herkese açık Wi-Fi ağında hassas işlem yapma
  • Bluetooth ve konum servislerini kapat (kullanmıyorsan)
  • Uygulama güncellemelerini kontrol et

Gerçek olay: 2017’de dünyayı sarsan WannaCry fidye yazılımı saldırısı, bilgi güvenliğinin üç temel bileşenini (gizlilik, bütünlük, erişilebilirlik) aynı anda ihlal etti. Saldırı, 150’den fazla ülkede 200.000’den fazla bilgisayarı etkiledi. İngiltere’de Ulusal Sağlık Sistemi (NHS) çöktü: hastalar randevu alamadı, ameliyatlar iptal edildi (erişilebilirlik ihlali). Dosyalar şifrelendi ve değiştirildi (bütünlük ihlali). Hastaların tıbbi kayıtları yedekten alınamadı (gizlilik riski). Saldırının kaynağı: bir güvenlik açığı yamasını (patch) 2 ay önce yayınlanmış olmasına rağmen, NHS sistemlerinin güncellenmemesiydi. Yani teknik bir önlem vardı ama insan hatası (güncellemeyi erteleme) yüzünden uygulanmadı. Bu olay, güvenliğin sadece teknoloji değil, alışkanlık ve disiplin olduğunun en büyük kanıtıdır.

Saldırı zinciri: WannaCry üç adımda çalıştı. Birinci adımda saldırganlar NSA tarafından geliştirilmiş EternalBlue adlı bir açıktan yararlandı (Windows’un dosya paylaşım protokolündeki açık). İkinci adımda açık sayesinde sisteme sızan fidye yazılımı tüm dosyaları şifreledi ve erişilemez hale getirdi. Üçüncü adımda şifrelenen dosyaları geri almak için 300 dolar Bitcoin istendi, ödeme yapılmazsa dosyalar kalıcı olarak kayboldu (yedeklerin de silinmesi). Bu saldırının en kritik dersi: güncellemeleri ertelemek, tüm sistemi çökertmekle eşdeğerdir.

Senaryo: Güvenlik alışkanlığı kazanmak

Sabah işe gidiyorsun. Telefonunda bir bildirim var: “Google hesabına yeni bir cihazdan giriş yapıldı.” Ne yaparsın? Temel kavramları bilen biri şöyle düşünür: “Bu bir tehdit işareti. Zafiyet: parolam sızmış olabilir. Risk: hesabım ele geçirilebilir. Hemen parolamı değiştirir, iki aşamalı doğrulamayı açar, son girişleri kontrol ederim.” İşte bilgi güvenliğinin temel kavramları bu şekilde günlük hayatta karşına çıkar. Kavramları bilirsen, ne zaman harekete geçmen gerektiğini anlarsın.

Benzetme: Bilgi güvenliği, evinin kapısını kilitlemek gibidir. Çoğu zaman anahtarını cebinde unutursun ama yine de kapıyı kilitlemeden uyuyamazsın. Çünkü bilirsin: kilit, sadece hırsızı değil, senin içindeki şüpheyi de uzak tutar.

İlgili Bölümler

← İçindekiler Tehdit Modelleme →