Web uygulamaları, HTTP protokolü üzerinden çalışır. HTTP
Protokolünün durum bilgisi (state) tutmamasından ötürü, uygulamaya gelen HTTP
isteklerinin aynı kullanıcıya ait olup olmadığının belirlenmesi için oturum
bilgisi kullanılır.Makalenin devamına buradan ulaşabilirsiniz.
Bilgi Güvenliği etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster
Bilgi Güvenliği etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster
21 Nisan 2014 Pazartesi
WEB OTURUMLARI NASIL ÇALIŞIR?
18 Nisan 2014 Cuma
Android - Konum Servislerini Kapatmak
Konum Servisleri; harita, web siteleri ve benzeri gibi kullanıcının yerini belirlemek için kullanılır. Konumunuz belirlenirken; bağlı olduğunuz kablosuz ağ ve GPS bilgilerine bakılır. Eğer konum servisleriniz gerek duymadığınız anlarda da açık olursa saldırganlar kolayca izinizi sürebilir, yerinizi belirleyebilir. Bunun önüne geçmek için gerek duymadığınız zamanlarda konum servislerini kapatmanız tavsiye edilir. Bu bağlamda;
İlk önce cihazınızın sistem ayarları kısmına girerek “PERSONAL (KİŞİSEL)” bölümünde bulunan “Location services (Konum servisleri)”ne tıklıyoruz.
İlk önce cihazınızın sistem ayarları kısmına girerek “PERSONAL (KİŞİSEL)” bölümünde bulunan “Location services (Konum servisleri)”ne tıklıyoruz.
Bu işlemden sonra karşımıza çıkan ekranda ise “Google’s location service (Google konum servisi)” ve “GPS satellites (GPS uyduları)” seçeneneklerindeki seçimleri kaldırıyoruz.
16 Nisan 2014 Çarşamba
iOS Kişisel Erişim Noktası
Kullanılmayan Durumlarda Kişisel Erişim Noktasının Kapalı Tutulması
Kişisel Erişim Noktası (Hotspot) yapılandırması diğer
cihazlar ile Wi-Fi, Bluetooth veya USB üzerinden etkin bir hücresel veri
bağlantısı paylaşmanızı sağlar. Böyle bir paylaşım gerekli olmadığında Kişisel Erişim Noktası’nın devre dışı bırakılması, yetkisiz
erişim girişimleri için saldırganları erişim noktasını kullanılamaz hale
getirir ve cihazın uzaktan saldırı yüzeyini azaltır.
Kontrolü için,
1. Ayarlar
a) Mevcut ise,
i. Kişisel Erişim
Noktası,
ii. Devre dışı
olduğunun kontrolü,
b) Alternatif olarak, sonradan kurulmuş ve yapılandırılmış
bir kişisel erişim noktasının devre dışı olduğunun kontrolü,
İyileştirme için,
1. Ayarlar
2. Kişisel Erişim Noktası
3. Kişisel Erişim Noktası’nı kapat
Etiketler:
Bilgi Güvenliği,
iOS,
Mobile Device Security,
Mobile Phone Security
12 Nisan 2014 Cumartesi
iOS Cihazlarda Bluetooth Kullanımı
Kullanılmayan Durumlarda Bluetooth’un Kapalı Tutulması
Bluetooth kulaklıklar, araç kitleri ve çeşitli işlevsel
aksesuarlara kablosuz bağlanmanızı sağlar. Bu cihazlardan biri kullanımda
değilken Bluetooth’un devre dışı bırakılması tavsiye edilir.
Gerekli olmadığında Bluetooth'un devre dışı bırakılması
cihazın uzaktan saldırı yüzeyini azaltır ve keşif bağlantılarını engeller.
Kontrolü için,
1. Ayarlar
2. Bluetooth
3. Bluetooth’un kapalı olması
İyileştirme için,
1. Ayarlar
2. Bluetooth
3. Bluetooth’u kapat
Etiketler:
Bilgi Güvenliği,
Bluetooth,
iOS,
Mobile Device Security,
Mobile Phone Security
11 Nisan 2014 Cuma
Android - Wi-Fi’yi, Bluetooth’u Kapatmak Ve Uçak Modunu Etkinleştirmek
Cihazınız otomatik olarak kablosuz ağlara bağlanmaya ayarlanmış olabilir. Sizin haberiniz olmadan cihazınızın otomatik olarak ağlara bağlanması güvenlik açıklarına sebebiyet verebilir, bu nedenle kablosuz ağları kullanmadığınız zamanlarda kapatmanız önerilmektedir.
Bu bağlamda Sistem ayarlarına girerek Wifi ve Bluetooth anahtarlarını “off (kapalı)” konumuna getirmeniz gerekmektedir.
Bu bağlamda Sistem ayarlarına girerek Wifi ve Bluetooth anahtarlarını “off (kapalı)” konumuna getirmeniz gerekmektedir.
Cihazınız için hiçbir bağlantıya(GPS, telefon sinyali, radyo, wifi, bluetooth) ihtiyaç duymadığınız zamanlarda ise telefonunuzu Uçak moduna almanız tavsiye edilir, böylece cihazınızı dış kaynaklı saldırılara kapatmış olursunuz. Bu bağlamda;
Cihazınızın sistem ayarları kısmına girerek “Wireless & Networks (Kablosuz ve Ağlar)” sekmesi altında bulunan “More (Diğer)” seçeneğine tıklıyoruz.
Bundan sonra karşımıza çıkan ekranda ise “Airplane mode (Uçak modu)” kutucuğunu
işaretliyoruz.
9 Nisan 2014 Çarşamba
TOR Browser, İnternette Anonimlik Ve Sanal Özel Networkler (VPN)
Bugünlerde, Türkiye'de internet erişimine
getirilen kısıtlamalarla birlikte merak konusu haline gelen VPN ve TOR gibi, bu
tip kısıtlamaları aşmayı sağlayan teknolojilerin çalışma mantıklarına,
detaylara çok takılmadan, kısaca değinelim istedik.Yazının devamına buradan ulaşabilirsiniz.
6 Nisan 2014 Pazar
iOS VPN Bağlantıları
VPN Bağlantılarının Kullanılmadığı Durumlarda Kapalı Tutulması
iOS cihazlar IPSec üzerinde L2TP, PPTP veya Cisco IPSec
protokollerini kullanarak VPN'lere bağlanabilirler. VPN bağlantıları hem Wi-Fi
hem de hücresel veri ağ bağlantıları üzerinde kurulabilir. Kullanılmadığı zaman
VPN bağlantılarının devre dışı bırakılmasını tavsiye edilir.
Cihaz VPN üzerinde bağlantıda bırakılırsa, kullanıcılar
gerekli dikkati sağlayamayabilirler ve bilgi akışı kontrolsüzce
gerçekleşebilir. Ayrıca, kötü niyetli ya da sömürülen iPhone uygulamaları da
VPN kaynaklarına erişebilir.
Kontrolü için,
1. Ayarlar
2. Genel
3. VPN
4. VPN’in kapalı olması
İyileştirme için,
1. Ayarlar
2. Genel
3. VPN
4. Açık ise VPN’in kapatılması,
Etiketler:
Bilgi Güvenliği,
iOS,
Mobile Device Security,
Mobile Phone Security
Android - Ağ Bildirimlerinin Kapatılması
Ağ bildirimleri; bağlı bulunduğunuz ağ ile bağlantı sorunu yaşayıp ağdan koptuğunuz zaman ortaya çıkar. Cihazınız otomatik olarak çevresinde bulunan ağları tarar ve bunları bir liste olarak size sunar. Eğer ki bu bildirimleri kapatırsanız, cihazınız ağdan koptuğu zaman kendiniz kablosuz ayarlarına girip, bağlanmak istediğiniz ağa bağlanmalısınız. Bu bildirimler her ne kadar kolaylık içerse de güvenlik tehditleri bulundurmaktadır. Örneğin; daha önceden bağlandığınız ağlardan birisi ile aynı isimli bir ağı listede görebilir ve ona bağlanabilirsiniz. Bunun sonucunda, bağlanılan ağ sahibi kötü amaçlı ise ; kişisel bilgileriniz, banka hesaplarınız ve benzerleri gibi birçok bilgiye ulaşma fırsatı yakalar ve ağ trafiğinizi inceleyebilir. Fakat ağ bildirimini kapatırsanız ağı kendiniz taratıp, bilgilerini gördükten sonra bağlanacağınızdan daha güvenli bir ağ içerisinde bulunursunuz. Bu bağlamda;
İlk önce telefonumuzun menüsünden ayarlar kısmına geliyor ve “Wireless & Networks (Kablosuz & Ağlar)” bölümünde bulunan “Wifi” seçeneğine tıklıyoruz.
İlk önce telefonumuzun menüsünden ayarlar kısmına geliyor ve “Wireless & Networks (Kablosuz & Ağlar)” bölümünde bulunan “Wifi” seçeneğine tıklıyoruz.
Bundan sonra açılan ekranda ise Menu ikonuna tıklayarak “Advanced (Gelişmiş)” butonuna tıklıyoruz ve açılan sayfada “Network notification (Ağ bildirimi)” seçimini kaldırıyoruz.
Etiketler:
Android,
Bilgi Güvenliği,
Dissable,
Mobile Device Security,
Mobile Phone Security,
Network,
Notification,
Wifi
30 Mart 2014 Pazar
Android - Kullanılmış Eski Wi-Fi Ağlarının Kaldırılması
Günlük hayatta birçok kişi ücretsiz kablosuz ağ erişim noktalarına bağlanmaktadır. Örneğin hava alanı ağları, kafe ağları ve benzerleri ağlar. Bu cihazınızda güvenlik açıklarına sebep olur; eğer ki kötü amaçlı bir kişi aynı ağ adıyla bir ağ yayını yapar ve siz bu ağa bağlanırsanız, bu kişi(saldırgan) sizin kişisel verilerinize erişebilir, ağ trafiğinizi inceleyebilir. Bu gibi durumlardan kaçınmak için bu bağlanılan ağların kullanım sonrası kaldırılması gerekmektedir. Bu bağlamda
İlk önce telefonumuzun menüsünden ayarlar kısmına geliyor ve “Wireless & Networks (Kablosuz & Ağlar)” bölümünde bulunan “Wifi” seçeneğine tıklıyoruz.
Bundan sonra açılan ekranda kayıtlı ağlar bulunmaktadır. Unutulmasını istediğimiz ağın üzerine basılı
tutarak aşağıdaki ekrana ulaşıyoruz. Buradan “Forget network (Ağı unut)” seçeneğini seçiyoruz.
İlk önce telefonumuzun menüsünden ayarlar kısmına geliyor ve “Wireless & Networks (Kablosuz & Ağlar)” bölümünde bulunan “Wifi” seçeneğine tıklıyoruz.
Bundan sonra açılan ekranda kayıtlı ağlar bulunmaktadır. Unutulmasını istediğimiz ağın üzerine basılı
tutarak aşağıdaki ekrana ulaşıyoruz. Buradan “Forget network (Ağı unut)” seçeneğini seçiyoruz.
29 Mart 2014 Cumartesi
iOS Cihazda Wi-Fi Ağlarına Otomatik Olarak Bağlanma ve Bağlanmadan Sor Seçeneklerinin Kapatılması
Bilinen Wi-Fi Ağlarına Otomatik Olarak Yeniden Bağlanmayı Unut
Bu yapılandırma bir iOS cihazın daha önce ilişkili Wi-Fi ağlarını unutmasını sağlar. Ağların güvenliği çok önemlidir ve güvensizliklerine karşı, her kullanımdan sonra unutulmuş olmaları tavsiye edilir.
Kontrolü ve İyileştirmesi için,
1. Ayarlar
2. Wi-Fi
3. Ağlar listesinden aktif bağlı olunan Wi-Fi ağını bulun ve ' i ' ile ifade edilen detay işaretine dokunun.
4. “Bu Ağı Unut” seçeneğine dokunun ve soruya “Unut” cevabını verin.
Not: Bu ağı unut seçeneğinin aktif olabilmesi için, cihazın
Wi-Fi ağ sınırlarının içinde olması ve ağa katılabiliyor olması gerekmektedir.
Eğer cihaz Wi-Fi ağ aralığında değilse, Wi-Fi ağlarını unutmak için tüm ağ
ayarlarını sıfırlamak gerekmektedir. Bu yöntem aktif bir bağlantı sırasında
uygulanırsa, mevcut bağlantı da kesilecektir.
Ağlara Bağlanmadan Sor’un Kapatılması
Ağlara Bağlanmadan Sor seçeneği, cihazın mümkün ağlara
otomatik olarak bağlanmak için uyarı yolu ile, kullanıcıdan izin alması uygulamasıdır. Ancak böyle bir izni
cihaz kullanıcısının vermesi, bilinen bir ağ adında başka bir ağ ile
karşılaşıldığında, henüz güvenilmeyen bir Wi-Fi ağına yanlışlıkla katılma
riskini doğurur.
Kontrolü için,
1. Ayarlar
2. Wi-Fi
3. "Ağlara Bağlanmadan Sor" aktif değil,
İyileştirme için,
1. Ayarlar
2. Wi-Fi
3. "Ağlara Katılmadan Sor"un aktifleştirilmesinin kapatılması
Bu özellik kapalı olduğunda, mümkün olan ağlara katılmak için cihaz herhangi bir soru sormaz, kullanıcının listeden seçmesi gerekmektedir. Bilinen ağlar bu uygulamada etki dışındadır.
Bu özellik kapalı olduğunda, mümkün olan ağlara katılmak için cihaz herhangi bir soru sormaz, kullanıcının listeden seçmesi gerekmektedir. Bilinen ağlar bu uygulamada etki dışındadır.
Etiketler:
Bilgi Güvenliği,
iOS,
Mobile Device Security,
Mobile Phone Security,
Wifi
28 Mart 2014 Cuma
DNS Hijacking(DNS Hırsızlığı)
Dns hijacking atağı bir bilgisayarın ayarlarını değiştirerek ya da kötü niyetli bir saldırganın sahte bir DNS sunucusu oluşturması ile yapılır. Kötü niyetli bir kullanıcı bu atak sayesinde internet bağlantılarını sahte sitelere yönlendirebilir. Bu saldırı yaygın olarak online alışveriş sitelerinden alışveriş yapan ya da internet bankacılığı hizmetini kullanan kullanıcıları sahte login sayfalarına yönlendirerek kimlik bilgilerini çalmak için yapılmaktadır.
Saldırgan, bilgisayar üzerindeki TCP/IP konfigürasyonunu değiştirerek bilgisayarın sahte bir DNS sunucusunu kullanmasını sağlayabilir ve bu sayede istediği trafiği, istediği başka bir sisteme yönlendirebilir.
Tüm bunların dışında dns hijacking, bazı güvenlik sitelerinde, siteyi varolmayan sunuculara yönlendirerek kullanıcıların, güvenlik yazılımı güncellenirken olabilecek olumsuzluklardan etkilenmemesi için de yapılabilir. Comcast gibi büyük ISP firmaları, kullanıcılar artık varolmayan bir siteye girdiğinde onları kendi web sitelerine yönlendirerek bu yöntemi kullanmaktadır.
27 Mart 2014 Perşembe
Bilgi Güvenliği ve Bilgi Varlıklarının Sahipliği
8.1.2 Varlıkların Sahipliği
Kontrol: Envanterdeki varlıklar sahiplenilmiş
olmalıdır.
Uygulama Kılavuzu:
Varlık yaşam döngüsünde, varlıkların etkin yönetimini sağlamak adına varlık
sahibi belirlenmelidir. Varlık sahibi kişiler ya da bölümler/birimler olabilir.
Varlık sahibi ilgili varlığın mülkiyet haklarına sahip olma zorunluluğu yoktur.
Varlık sahibi kısmı olarak varlığa ilişkin sorumlulukları kurum içi
organizasyonda yer alan kişilerle paylaşabilir fakat ana sorumluluk varlık
sahibinde olacaktır.
Varlık sahipliği belirleme çalışmaları bir süreç olarak değerlendirilmeli
ve yeni bir varlık envantere eklendiğinde, değiştirildiğinde, ya da kuruma
transfer edildiğinde varlıkların sahipleri atanmalıdır.
Varlık sahibi; varlık yaşam döngüsü süresince varlığın yönetiminden sorumlu
olmalıdır.
Bir varlık sahibi aşağıdakileri sağlamalıdır;
· -Sorumluluğu
altında olan varlıkların envantere işlenmesini sağlamak
· -Varlık
türüne göre uygun bir biçimde sınıflandırılması ve korunmasını garanti altına
almak
· -Varlıklara
erişim gereksinimleri tanımlamak ve erişim kontrolünü periyodik olarak gözden
geçirmek ve gerekli durumlarda önlem almak
· -Varlıkların
imhası ile ilgili gereksinimleri tanımlamalı ve uygun bir biçimde işletildiğini
garanti altına almak
Etiketler:
Bilgi Güvenliği,
ISO 27001,
ISO 27001:2013,
ISO 27002:2013
25 Mart 2014 Salı
Bilgi Güvenliği ve Varlıkların Kabul Edilebilir Kullanımı
8.1.2 Varlıkların Kabul
Edilebilir Kullanımı
Kontrol: Bilginin, bilgi ve bilgi işleme araçları
ile ilişkilendirilmiş varlıkların kabul edilebilir kullanım kuralları, tanımlanmış, dokümante edilmiş ve uygulanmış
olmalıdır.
Uygulama Kılavuzu:
Kurum çalışanları ve kurumsal varlıklara erişebilen tüm üçüncü taraf
çalışanlar/tedarikçiler varlıkların kullanımı ile ilgili bilgi güvenliği
gereksinimlerini sağlamak adına gerekli farkındalığıa sahip olmalıdır. Kendi
sorumlulukları altında olan bilgi varlıklıklarının üretilmesi, işlenmesi ve
depolanmasına ilişkin sorumlukları
yerine getirmelidir. Varlıklıkların
kabul edilebilir kullanım easları belirlenirken, kuruluşun verdiği hizmetler gözönünde
bulundurulmalıdır. (Ör: E-posta kullanımı, ağ servislerinin kullanımı, mobil
cihazların kullanımı)
Etiketler:
Bilgi Güvenliği,
ISO 27001,
ISO 27001:2013,
ISO 27002:2013
Kaydol:
Kayıtlar (Atom)