MÜHENDİSİZM

Bilgisayar güvenliği, artan saldırılar nedeniyle oldukça önemli bir problem hale gelmiştir. Günümüzde neredeyse herkesin bir bilgisayarı olmasına rağmen kullanıcılar bilgisayarlarına zarar verebilecek, çökertebilecek veya bilgilerini çalıp maddi ve manevi zarar verebilecek birçok tehditten haberdar değildir ve bu nedenle de gereken önlemleri almamaktadırlar. Bu tehditlerden haberdar olan insanların da büyük bir çoğunluğu kişisel bilgisayarlarını koruma altına almanın gerekli olmadığını düşünmektedir. Ancak durum sanıldığından daha ciddidir ve bilgisayarlarda gereken güvenlik önlemlerini almak önemlidir. Bilgisayar güvenliği, kurumsal ve kişisel bilgisayarların güvenli şekilde kullanılmasını ve bilgisayarlardaki bilginin korunmasını sağlar. Bilgi güvenliğinin üç temel unsuru vardır. Bunlar: confidentiality (gizlilik), integrity (bütünlük) ve availability (kullanılabilirlik). Confidentiality (Gizlilik), bilgilerin izin verilmeyen kullanıcılar tarafından ulaşılmasını engellemek anla

Shell, yüklendiği bir web sitesinin izinler açık olduğu takdirde, yetkilerini ele geçirmeye yarayan zararlı bir yazılımdır. Sistemdeki açıklardan yararlanarak sisteme sızılabilmekte ve ‘shell atma’ denilen olay gerçekleştirilmektedir. Bu sayede yazma, silme veya okuma gibi birçok yetkiye sahip olunabilmekte ve sistem ele geçirilip istenilen amaç doğrultusunda kullanılabilmektedir. En yaygın shell türleri C99 ve R57’dir. C99 C99 shelli sayesinde dosya okuma, dosya silme, dosya düzenleme, yeni dosya yükleme, veritabanına erişim ya da yapılandırma işlemleri yapılabilmektedir. Bu shelli çalıştırabilmek için bilgisayarda Apache programı yüklü olmalı ve arka planda çalışır olmalıdır. Dosyalar üzerine tıklanarak açılıp okunabilmekte ve editleme kısmından dosyada değişiklikler yapılabilmekte, yeni kodlar yazılabilmekte, eklemeler yapılabilmekte veya tüm dosya silinebilmektedir. Dosya silme işlemi ‘Enter’ kısmına ‘del’ komutu girilerek de yapılabilmektedir. Örneğin bir ‘deneme.php’ do

Sosyal mühendislik saldırılarını diğer siber saldırılardan ayıran en temel özellik saldırının sadece teknik araçları ve teknik kadroyu hedef almamasıdır. Normal bir siber saldırıda hedef bilgi güvenliği personelidir ve bu personeller zaten siber saldırılar konusunda oldukça bilgili olduğundan gerekli önlemleri de alabilmektedirler. Ancak sosyal mühendislik saldırılarında hedef güvenlik görevlisinden temizlik görevlisine herkes olabilmektedir. Bu hedefin bilgi güvenliği konusunda bilgisinin olmaması veya verdiği bilginin önemsiz olduğunu düşünmesi büyük güvenlik açıklarına ve sonuç olarak da zarara yol açabilmektedir. Bu ve buna benzer sebeplerden ötürü kesin bir çözüm üretilemese de bazı önlemler alınarak riskler azaltılabilmektedir. Fiziksel Güvenliğin Geliştirilmesi Fiziksel güvenliğin geliştirilmesi dışarıdaki saldırganlara karşı caydırıcı bir yöntem olsa da eğer saldırgan kurum içerisinde çalışan biriyse kolaylıkla istediği bilgiye ulaşabilir. Bu yüzden kurumda çalışan kiş

Günümüzde oldukça önemli olan bilginin, korunması da büyük önem taşımaktadır. Ancak artan siber saldırılarla bilgileri korumak ve güvende tutmak oldukça zorlaşmaktadır. Bilgisayarlar teknik açıdan gerekli güvenlik önlemlerine sahip olsalar da bu, saldırganları durdurmamaktadır. İstediği bilgiye erişmek için bilgisayarları kullanamayan saldırganlar, o bilgisayarı kullanan insana yönelmektedir. İnsan, bir bilgi sistemindeki en zayıf halka olarak kabul edilir ve saldırganlar da çok iyi bilir ki, genelde bir insanı kandırmak, bir bilgisayarı kandırmaktan çok daha kolaydır. Bu yöntemle gerçekleştirilen siber saldırılara ‘sosyal mühendislik’ adı verilmektedir. Sosyal mühendislik, insanları çeşitli yollarla kandırarak bir kişinin veya kurumun önemli bilgilerini çalmaktır ve bilgisayar korsanlarının, teknik becerilerinin sisteme işlemediği zaman kullandıkları bir taktiktir. Şirketler, bilgilerini güvende tutabilmek için oldukça fazla para harcamakta, güvenlik duvarları ve yüksek teknolojil

İnsanlar yeteri kadar bilinçli olmadığı için bilgisayar korsanları türlü oyunlarla insanları kandırıp istedikleri bilgileri elde edebilmektedir. Farklı yöntemler olmasına rağmen temel yapı genelde aynıdır. İlk olarak kurban hakkında bilgi toplanır. Saldırgan, kurbanın sosyal medya hesapları, telefon defteri, kullandığı uygulamalar gibi internette bulabileceği veya farklı yollardan ulaşabileceği her türlü bilgiyi toplar. İkinci adımda saldırgan, topladığı bilgilerden de yararlanarak kurbanla bir ilişki kurar ve kurbanın kendine güvenmesini sağlar. Üçüncü adımda saldırgan, kredi kartı bilgileri, şifreler veya gizli bilgileri elde edebilmek için hedefini kullanır ve bilgi toplar. Son adımda da elde ettiği bilgilerle girmek istediği sisteme erişir ve amacına ulaşmış olur. Bu temel yapıya bağlı olarak farklı sosyal mühendislik teknikleri vardır. Bu teknikler: fiziksel mekanlara dayalı (bilgisayar temelli) saldırılar ve psikolojik yollara dayalı (insan temelli) saldırılar olarak iki başl

Programcıların, makineleri programlarken kullandığı makine komutlarının oluşturduğu kümeye komut kümesi denir. Bilgisayarın tarihine baktığımızda ilk zamanlarda donanım parçalarının oldukça pahalı olmasından ötürü komut kümeleri de basitti. Ancak parçaların üretiminin artması ve fiyatların ucuzlamasıyla, sistem büyüdü ve komut kümeleri daha karmaşık bir hal aldı. Bilgisayar teknolojisinin gelişmesiyle de işlemci tasarımında iki farklı mimari ortaya çıktı: RISC ve CISC. CISC (Complex Instruction Set Computer / Karmaşık Komut Setli Bilgisayarlar), 1970’lerde, RAM’lerin pahalı ve imkanların kısıtlı olmasından dolayı tasarruf etmek için ortaya çıkmıştır. İşlemciyi daha karmaşık hale getirse de yazılımı daha basit bir hale getirmiştir. CISC mimarisi, değişik uzunluktaki ve karmaşık komutları barındırabilir ve böylece bellekten tasarruf eder. CISC, birden fazla komutu birleştirip tek bir karmaşık komut haline getirebilir ve böylece bellekten tasarruf sağlar ancak karmaşık komutlar mima

OOP (Object Oriented Programming) ya da Türkçe adıyla Nesne Yönelimli Programlama, programcıların işini oldukça kolaylaştıran ve programlamada tabiri caizse çığır açan bir teknolojidir. Boyutları artan ve daha da karmaşıklaşan yazılımların daha kolay ve kısa sürede geliştirilmesi için nesneye yönelik programlama kullanılmaya başlanmıştır. Nesne yönelimli programlamadan önce yazılımcılar, binlerce koddan oluşan yazılımlarda, her kodu birçok kez tekrar yazmak zorunda kalıyorlar ve bu da oldukça uzun sürüyordu. Bu yüzden ürünler geliştirilirken ürünün yeni sürümündeki ufak değişiklikleri yapmak bile oldukça zaman alıyor ve yeni ürünün oluşturulması uzun sürüyordu. Artan yazılım boyutları ve karmaşıklıkla birlikte bunları azaltmak için nesne yönelimli programlama doğdu. Nesne yönelimli programlamada, program parça parça yazılır ve sonradan bir bütün haline getirilir. Bu sayede oluşturulan programda daha kolay bir şekilde değişiklikler yapılıp geliştirilebilir. Nesne yönelimli progr

Bilgi, bir şirket veya bir kuruluş için son derece önemli ve değerli olmakla birlikte kaybolan bilginin parayla telafisi söz konusu değildir. Kimlik hırsızlığı ve bilgilere yetkisiz erişim gibi olayların artışıyla kurum ve kuruluşlar maddi kayıplar yaşamış ve itibar kaybına uğramıştır. Bu nedenle bilgi güvenliği de önemli bir husus haline gelmiştir. Bilgi güvenliği, bilginin, yetkisi olmayan kişilerin izinsiz erişim sağlamalarını, bilgiyi kullanmalarını, açığa çıkarmalarını veya bilgiye zarar vermelerini önlemek olarak açıklanabilir. Kuruluşlarda bilgi güvenliği yönetiminin sağlanmasını ve geliştirilmesini daha kolay hale getirmek için, ISO 27001, dünya çapındaki kuruluşlar tarafından oluşturulmuş uluslararası bilgi güvenliği yönetimi standardıdır. ISO 27001 Bilgi Güvenliği Yönetim Sistemi, kurum ve kuruluşların bilgi güvenliğinin sağlanmasında insanları ve bilgi sistemlerini kapsar. İlk olarak 1995 yılında BS-7799 adıyla ortaya çıkan, ardından 2005 yılında yenilenen bu standart