BTK 'Siber Saldırı Tatbikatı' Sonuç Raporu: Tüm kurumlar sınıfta kaldı!
Erdem Gukrer - Şubat 15 2012, Çarşamba - 20:41
BTK ve TÜBİTAK tarafından düzenlenen Ulusal Siber Güvenlik Tatbikatı'nın sonuçları felaket. Hiç bir kurum sınavı tam anlamıyla geçemedi!
Toplam 41 kurumun katılımıyla gerçekleştirilen siber saldırı denemesinde katılımcı kuruluşlar port tarama saldırısı, DDoS saldırısı, web sayfası güvenlik denetimi ve kayıt dosyası analizi gibi gerçek saldırıların yanısıra, kurumun resmi web sayfasının içeriğinin yetkisiz kişilerce değiştirilmesi, başka bir kaynaktan DDoS saldırısı yapılması, internet üzerinden yayılan bir solucanın bulaşması, elektrik kesintisi yaşanmasına rağmen jeneratör sisteminin devreye girmemesi, telefon veya e-posta yoluyla kurumda çalışan personelden bilgi çalma girişimi vb. gibi toplamda 14 farklı olası senaryo karşısında yapmaları gereken eylemler hakkında da yazılı sınava tabi tutuldular.
BTK tarafından yayımlanan sonuç raporuna göre, tatbikata katılan hiçbir kurumumuz sınavı tam anlamıyla geçemezken, çoğunluğu ise adeta dökülmüş.
Raporun göze çarpan başlıca noktaları şunlar:
Bazı kurum ve kuruluşlar(ın)…
- BGYS'si (Bilgi Güvenliği Yönetim Sistemi) dahi yok.
- Sistem yöneticileri teknik anlamda yetersiz.
- Saldırı tespit sistem ve süreçlerinde aksaklık var.
- Sosyal mühendislik saldırılarına ilişkin bilinç yetersizliği mevcut.
- Merkezi antivirüs yazılımları güncel değil.
- Sistem yöneticileri güvenlik boyutunda yetersiz.
- Kurum içi koordinasyon zayıf.
- Erişim kontrol politikası yok.
- Sistem tasarımı aşamasında güvenlik gözardı ediliyor.
- Kablosuz ağlardan kaynaklanan riskler var.
- İş sürekliliği planları yok.
- İnternet'e bağlı bilgi sistemlerine yapılan 'Port Tarama' saldırısını algılayamıyor.
- Ddos saldırılarına yenik düşüyor.
- Web uygulamalarında açık(lar) var.
- Kayıt dosyalarının analizini gerçekleştirilemiyor.
- Yasal mevzuata ilişkin bilgi eksikliği var.
Neler yapılması gerektiğine ilişkin çıkarımların da yer aldığı raporu buradan okuyabilirsiniz, raporda yer verilen önemli görseller ise şunlar:
PCL Sözlük
Aksini bekleyen var mıydı? :)
Hükümetler açısından oy kaygısıyla bağlı kurumlarda şişirmelere müsaade edilir diye biliyoruz da, özerk ve güvenilir bulunan kurumlarda da durumun içler acısı hali çok feci.
Eleştirilerde kullanılan ifadelerin bir nevi kendimize de iğne olacağını unutmamalı, oturup ağlamalı, sonra da halimize şaşırdığımıza şaşırmalı.
Hükümetler açısından oy kaygısıyla bağlı kurumlarda şişirmelere müsaade edilir diye biliyoruz da, hem özerk hem de güvenli ve güvenilir bulunan kurumlarda da durumun içler acısı hali çok feci.
Eleştirilerde kullanılan ifadelerin bir nevi kendimize de iğne olacağını unutmamalı, oturup ağlamalı, sonra da halimize şaşırdığımıza şaşırmalı.
Daha devlet kurumlarına ait siteler Internet Explorer harici tarayıcılarda doğru düzgün çalışmazken böyle ciddi açıklarında olması hiçte şaşırtıcı değil.
ben de aynısını diyecektim genede meb ie8 e geçmiş
BTK NIN kendi siteside hacklendi bence ilk önce BTK sınavı kendi üzerinde uygulayıp kendinin geçip geçmediğine baksaymış :D
İT'ye daha fazla imam almak lazım.
Dindar bir İT nesli yetiştirmemiz gerekiyor…
Şu yorumunuzu çok garip buldum. Gerçekten yazık. Her yerde dini suistimal etmeniz inşallah ahiret hayatınızı sarsmaz. Dindar bir nesilden ne kötülük beklenebilir ki? Allah'tan korkan birisi size ve çevrenizdekilere ne kötülük yapabilir? Bide tam tersini düşünün…
Sizin yorumunuz daha da garip bence… Turkiyede olup bitenleri bildiginizi varsayarak: Ya cok safsiniz ya cok kotu niyetli…
duadan daha kuvvetli firewall olabilir mi?
:) mükemmel yorum için teşekkürler. stresli bir günün ardından gülme krizine girdim.
Var, cemaatle yapılanı.
Zaten hapishanedeki herkes de ateistti ya. Keşke herkeste sizinki gibi 5 yaşındaki bir kız çocuğunun saflığı olsa. Dünya asıl o zaman güzel olurdu sanırım.
artı 1 (Netbook'da artı tuşu nerde yav :D )
yok hocam
karakter eşlem kullanıcaksın.
Zahit bey sizi anlayabiliyorum. AKP'yi eleştirenler dindarlıkları nednei ile değilde icraatlarını eleştirselerdi sizin bu tepkiyi göstermeyeceğinizi de tahmin ediyorum Çokyazıkki iki cephedede körü körüne kendi taraflarını savunalar var. Yapılanı hiç tratmadan savunuyorlar. Konunun geröekten dindarlıkla ilgisi yok. İşbilmezlikle ilgisi var. Bu hükümet gelmeden önce de aynıyd. Evlatlarını SBS ve LYS sınavına göre yetiştiren devlet ve aileler oldukça bu dırımdan kurtulmamız olanak dahilinde değil. Herşeyin başı eğitim diyoruz, ama eğitimi tablet ve bedava defter kitap dağıtmakla halledilecek kadar da basit görüyoruz. İstenseydi on yılda belirli bir mesafe alınabilecek eğitimde geldiğimiz nokta F@tih adlı ismi fiyakalı bir prıje, sonuç göz boyama. Aylakları Kalkındırmaya devam.
Allah'tan korkan birisi size ve çevrenizdekilere ne kötülük yapabilir?
Cevap: Bilim karşıtlıgı,cin ve şeytanla bilimin kıyaslanması,Sivastaki gibi insanların yakılması vb.
+ bir milyon :)
bütçeden aslan payını alan bir diyanet işlerimiz var, dindar gençlik yetiştirmeye odaklanınca başka yerlerden fire veriliyor sanırım.
Sonuna kadar katılıyorum bu ülkede işe alımlarda o işi ne kadar bildiğiniz değil artık, kimi ne kadar tanıdığınız önemli bu işlerden hiç anlamayan insanlar nerelerde İT bolumlerinde çalışıyor. Siz istediğiniz kadar unix'e linux'e takla attırın yinede o işi bilmeyen amcası bilmem nerde millet vekili olan bi p.k bilmeyen adamı alırlar o işe.
kesinlikle doğru! alırsınız kpss den 90 üzeri bir puan kpds de 70 üzeridir… mülakata çağırırlar… ilksoru "referans a yaza yaza bunlarımı yazdın!?" olur! 80 kpss li köyünün muhtarı bilmem kimi tanıyan biri torpille önünüze geçer… sonra herkes vicdanı rahat birşekilde çalışmaya ve yaptıklarının haklılığını savunmaya devam eder… (söyledim rahatladım…)
dindarlardan önce baban çalışmıyormuydu o kurumlarda? sizdeyken güvenlik tamdıda sonra mı güncellemediler antivirüsleri.
Bu şimdi dindarları haklı mı yaptı? 10 yılda eskilerin üstüne bir şey koyamadılarsa ne yaptılar?
Olayın dindarlıkla ilgisi yok. Sorun, beceriksiz ve konumunu haketmeyen insanların "dindar" kisvesi altında devlet kurumlarına doldurulması. Bana ne adamın inancından, benim kimsenin inancını yargılama hakkım yok ama biri çıkıp "din" kisvesinin arkasına saklanıp bu rezillikleri yapıyorsa, işte orada bir sıkıntı vardır.
Ayrıca benim babam Edebiyat Öğretmeni'ydi :)
Bravo!
Bu iş bir kadro işi ve yönetim işini tepeden haletmeye çalışırsan yetişmiş ve sadık eleman bulmakta zorlanırsın. Bulamayınca da boşlukları doldurmak üzere kendine yakın olanları bir şekilde gruplandırırsın.
Sorun, yetişmemiş bu yeni adamların yetişmemiş diğer eski adamları yerlerinden etmesi değil, yetişmemişliğin hala devam ediyor olması.
"Şu anda SMTP sunucusu bölümü karşımıza geldi. Bu bölümde yapacağımız ayarlar önemli. Öncelikle Bağlantı Güvenliği kısmını Hiçbiri olarak değiştiriyoruz. Authentication Method kısmını ise Password, transmitted insecurely olarak seçiyoruz. Kullanıcı adı kutusuna email adresimizi yazıyoruz."
http://hipermedya.org/sayfalar/thunder.asp
Yeni kurulan bakanlıklarımızdan birisinin resmi alan adı altında kullandığı e-posta servisi burası.
Super!
bilmem ne kurumunun bilmem ne bilişim bölümünün yöneticisiyim diyenlerin havasını almışlar anlaşılan
Geçen sene katıldığım güvenlik seminerinde Tubitak UEKAE'den iki adam kurumlar üzerinde yapılan tatbikat sonuçları hakkında söylediği şeyler ile şuan bu haberde belirtilen şeyler tamamen aynı. Demekki tatbikatın yapılmasının ertesinde herhangi bir çalışma yapılmamış. :)
sadece şu kurum ve kuruluşlarda çalışan 164 bilişim personeli var.
sonuç: resimlerde görülüyor.