İnternet Güvenliği S3
8 KULLANICI BİLGİSAYARLARINA SIZMA
Saldırgan aynı şekilde birçok kullanıcının bilgisayarına sızabilir. Örneğin, kullanıcıların email’lerini okuyarak çok güvenilen ve sevilen arkadaşlarının listesini oluşturur. Daha sonra aynı arkadaşların dilinde ve zamanlamasında sahte bir email mesajı gönderir. Ekinde çok ilginç bir ekran koruma programı vardır (screensaver). Bu masum görünüşlü program program ekrana hergün komik fıkralar ve güzel resimler getirmektedir, ve sistemde de hiç bir şeyi silmemekte ve yavaşlatmamaktadır, ama arka planda bilgisayar tamamen saldırganın kontrolüne girmiştir, klavyeden yazılan, ekrana gelen herşey saldırganın makinasına da bildirilmektedir. Bunun da ötesinde saldırgan girdiği cihazın tüm disket, hard disk, CD, teyp, iletişim hatları, v.s. gibi tüm unsurlarını kontrol altına alabilecektir. Hatta bilgisayar üzerinde bir ses kartı ve mikrofon var ise bunun yardımıyla bilgisayarın bulunduğu odayı dinleyebilecektir. Ses kartı olmasa bile, tüm bilgisayarlarda bir hoparlör vardır ve tüm hoparlörler istenirse mikrofon görevi yapabilir.
9- MODEM HATLARININ DİNLENEBİLMESİ
Dial-up ve leased line modem hatları asenkron veya senkron formatta Modem Line Tap denilen cihazlarla çok kolaylıkla farkedilmeden dinlenebilir ve tüm veriler kaydedilebilir. Bu metodla bir POS cihazı veya ATM ile merkez arasında yapılan tüm haberleşme incelenebilir. Örneğin binlerce kartın tüm TRACK2 manyetik şerit bilgileri aynen kopyalanabilir. Modem hatlarının dinlenemeyeceğini, dinlense bile anlaşılamayacağını düşünmek büyük bir yanılgıdır.
10- E-MAİLLERİN OKUNMASI
Internet üzerinden ve banka içinde (intranet) gönderilen tüm e-mailler kolaylIıkla, sistematik ve otomatik olarak iz bırakmadan okunabilir ve kesinlikle belirli organizasyonlar tarafından sürekli okunmakta ve denetlenmektedir. Bu nedenle hiç bir özel veya ticari sır, finansal bilgiler, teklif veya fiyat listeleri asla açık e-mail ile gönderilmemelidir. Bu bilgilerin başkalarının eline geçeceğine kesin gözüyle bakmalısınız. Tek çözüm strong crypto içeren e-mail sistemleridir
11- FAKS MESAJLARININ OKUNMASI VE SAHTE FAKS MESAJLARI
Tüm yurtiçi ve uluslarası faks trafiği çeşitli unsurlar tarafından dinlenebilir ve sistematik olarak dinlenmekte ve analiz edilmektedir. Bu nedenle hiç bir özel veya ticari sır, finansal bilgiler, teklif veya fiyat listeleri asla açık faks ile gönderilmemelidir. Tek çözüm strong crypto içeren faks sistemleridir. Dinlenmenin yanı sıra faks mesajları kolaylıkla yarı yolda alıkonup, üzerlerinde değişiklik yapılıp, karşı tarafa tamamen farklı bir şekilde iletilebilir. Örneğin, bir şirketin belirli bir firma yada kişiye yapılması istenen faks ile gönderilmiş olan olduğu talimat tamamen sahte olabilir. Hukuki bir durumda firma kolaylıkla talimatın sahte olabileceğini teknik olarak kanıtlayabilir.
12- FİRMA SIRLARININ VE BİLGİLERİNİN DIŞARIYA TRANSFERİ
Hemen her kullanıcısı artık Internet’e bağlı olan firma çalışanları firmanıza ait ticari sır ve bilgileri kolaylıkla ülke içinde veya dışındaki bir kaynağa hiçbir şekilde anlaşılmadan ve farkettirmeden gönderebilir. Yeni projeleriniz, müşteri listeleriniz, istihbarat raporlarınız kolaylıkla rakipleriniz veya basının eline geçebilir.
13- FİRMA BİLİŞİM KAYNAKLARININ ÖZEL AMAÇLAR İÇİN KULLANIMI
Firmanız bilişim hizmetleri için kurmuş olduğunuz ağlar ve bilgisayar sistemleri belirli kişilerin özel ve gizli amaçları için kullanılabilir. Örneğin çok güçlü bilgisayarlarınızın mesai saatleri dışında boş kaldıkları zamanlarda çeşitli şifre kırma programları çalıştırılarak normal PC’lerin gücünü aşan işlemler firmanız bilgisayarları tarafından icra edilebilir. Diğer bir örnek olarak parlak bir yeni mezunun yarattığı firmanın logosunu 3 boyutlu olarak ekranda döndürüp duran bir screen saver programı firmanın 3000 PC’sine yüklenerek, bu PC’lerin boş anlarında (idle) kendilerine network üzerinden dağıtılan bir ev ödevini çözüyor olabilirler. Bu ev ödevi de ABC bankasının, BKM sistemine bağlanırken kullandığı şifre anahtarlarını bulmak olabilir. 3000 Pentium PC boş zamanlarında çalışarak büyük bir olasılıkla birkaç hafta sonra, en kötüsü birkaç ay sonra sonuca ulaşarak istenen bilgiyi network’te gizli bir noktaya iletebilir. Bunun sonucu kırılan bankanın ATM ve POS’larından yapılan tüm TRACK 2 bilgi ve müşteri şifrelerinin elde edilmesi anlamına gelecektir.
14- DAHİLİ TELEFONLARIN DİNLENMESİ
Tüm modern digital telefon santrallerinde istenilen her telefon farkedilmeden dinlenilebilir ve kaydedilebilir. Hassas ve gizli konular asla dahili telefonlarda konuşulmamalıdır.
17- NORMAL PTT HATLARININ DİNLENMESİ
Tüm kamuya açık telefon santrallerinde istenilen her telefon farkedilmeden dinlenilebilir ve kaydedilebilir. Bunun da ötesinde sistematik ve otomatk olarak dinlenmektedir. Sistemler belirli anahtar kelimeleri hisseder hissetmez hemen dinleme ve kayıt konumuna geçmektedir. Bunun yanı sıra random olarak dinlemeler yapılmaktadır. Anahtar konumda olan tüm telefonların sürekli olarak dinlenmekte olduğu varsayılabilir. Hassas ve gizli konular asla kamuya açık telefonlarda konuşulmamalıdır
16- GSM TELEFONLARININ DİNLENMESİ
Tüm GSM telefon şebekeleri santrallerinde veya havadan dinlenebilir ve kaydedilebilir. GSM sistemleri A5 denilen bir şifreleme yöntemi kullanmaktadır. A5 zayıf bir kripto sistemdir ve özellikle batılı ülkelerin güvenlik kuruluşlarınca zayıf tutulmuştur. Hatların şifreli ve dinlenemez olduğu sadece kamuoyunu kandırmak içindir. Tabii ki basit bir scanner ile normal bir kişi iletişimi anlayamaz ama herhangi bir gelişmiş güvenlik örgütü rahatlıkla iletişimi dinleyebilir. Bunun da ötesinde sistematik ve otomatik olarak GSM devreleri dinlenmektedir. GSM sistemi hücresel yapısı nedeniyle sürekli olarak bulunduğunuz noktayı merkeze sürekli bildirmektedir. GSM kapsama alanında yerinizin tesbiti sadece birkaç saniye alacaktır. Gezdiğiniz, dolaştığınız, bulunduğunuz yerler sürekli olarak loglanmaktadır. Hassas ve