DDO BİGR Sıkılaştırma Tedbir Maddeleri

DDO tarafından yayınlanmış Bilgi ve İletişim Güvenliği Rehberin (BİGR) de 5.  Nolu SIKILAŞTIRMA TEDBİRLERİ kısmında yer alan tedbir maddelerini kendi bilgilerim kapsamında yorumlamaya çalışacağım yazı dizisine başlıyorum. Umarım faydalı bir yazı dizisi olur.

5.1.1.1 Kurulum Güvenliği

Genel sıkılaştırma tedbirleri içerisinde yer alan 5.1.1.1 Kurulum Güvenliği (Kurulum esnasında kullanılan işletim sistemi dosyalarının özet bilgisi orijinal dağıtıcı özet değerleriyle teyit edilmelidir.) tedbir maddesi nedir, nasıl kontrol edilebilir inceleyelim.

İnternet günümüzde devasa bir kaynak haline geldi. Arayıp ta bulamayacağımız yok desek yeridir. Oyunlar, programlar, bilgiler… Ne ararsak bizlere bir tık uzaklığında. Sizlerde biliyorsunuzdur, ücretli olarak satılan programların kopyalarını ücretsiz olarak crackli olarak sunan warez siteleri bizlere bir tık uzaklığında sitelere örnek olarak verilebilir. Peki bizlere bu dosyaları sunan siteler ne kadar güvenilir, bizlere sundukları dosyalar gerçekten orjinalmi? Bu tür sitelerden indirilen iso dosyalar canlı sistemlerimiz için büyük risk taşımaktadır.

Geçtiğimiz aylarda İran alan adıyla host edilen bir web sitesinden indirilen oldukça meşhur sanallaştırma yazılı kurulum iso dosyası içerisinde arka kapı yazılımlarının olduğu ve kurulumu yapan işletmelerde zararlı faaliyetlerin bu arka plan yazılımları ile gerçekleştirildiği haberi ortalığa yayılmıştı. Burdan iso indirip sistemlerine kurulum yapanların ilk hatası orijinal yazılımı para verip kullanmak yerine ücretsiz kaçak olarak kullanmaları. İkinci hataları ise indirdikleri bu iso dosyaların içeriğini değiştirilmediğini anlamak için dosyanın hash bilgisini teyit etmemeleridir. Hash bilgisi aslında dosyaların özet bilgisidir. Bilgisayarda yazı yazarak kaydettiğiniz bir word dosyası, video dosyası her birinin hash değeri kolayca hesaplanabilir. Aynı şekilde yazdığınız bir Word dosyasını kaydedip yeniden açtığınızda 1 virgül bile ekleseniz dosyanın içeriği değişeceği için hash bilgiside değişecektir. Temel olarak bilişim sistemlerinde yer alan bir dosyanın yetkisiz değişikliklerini hash bilgilerini teyit ederek kolayca tespit edebiliriz.

Şunu unutmamalıyız hash bilgisi değişiklik olduğunu farketmemizi sağlar, içerikte ne değiştiğini bize söylemez.

Hash Bilgilerinin Teyiti

Peki elimizde bir dosya var ve biz bu dosyanın hash bilgisini öğrenmek istiyoruz, bunu nasıl yapabiliriz? Windows veya Linux sistemlerde komut satırından hash ile ilgili komutları çalıştırarak bu bilgiyi öğrenebiliriz. Ayrıca aşağıdaki web sitesinden ücretsiz programı indirerek Gui tabanlı olarak da hash bilgilerini alabilirsiniz.

• HashMyFiles Download

https://wiki.centos.org/TipsAndTricks(2f)sha256sum.html

Windows veya Linux tabanlı bir sistem kurmak amacıyla internet üzerinden iso dosyası indirdiğinizi farzedelim. İlgili dosyayı indirdikten sonra yukarıda bahsettiğim yöntemlerden biriyle bu dosyanın hash bilgisini bilgisayarımızda öğrenelim. Daha sonra ilgili iso dosyasının üretici firmasının web sitesinde yer alan bu dosyaya ait hash dosyası bilgisini bulalım ve elde ettiğimiz hash ile bu hash bilgisini karşılaştıralım (karşılaştırma yaparken üretici firmanın kullandığı aynı algoritma ile kendi bilgisayarımızda hash üretelim).

Bu kontrolde hash bilgisinde en ufak bir farklılık bile bize dosyanın bozuk veya değiştirildiğini gösterir. Sanallaştırma gibi hızlıca sistemleri ayağa kaldırabildiğimiz ortamlarda hash kontrolü yapmadan sistem kurmak, heleki bu iso dosyaları golden imaj olarak kullanıp diğer sistemleri de bu kopya üzerinden kurmak sistemleriniz için çok büyük riskler getirir.

Denetçi açısından kurumda indirilen veya farklı ortamlarda tedarik edilen iso dosyaların hash kontrolüne ilişkin bir sürecin varlığını nasıl teyit edebiliriz konusuna gelirsek, eğer varsa kurumda BGYS dokümanlarında bu konuya ilişkin atıflara ve formlara bakabiliriz. Basitçe hazırlanmış bir excel dosyası (içinde indirilen dosyanın adı, indirilen site adresi, tarihi, bilgisayarda üretilen hash, ilgili üretici firmanın hash linki, kontrol sonucu gibi sütunların olduğu bir dosya) bile bu sürecin çalıştığını bize gösterir.

Kolay bir konudan başlayarak Bilgihouse sitesindeki ilk yazımı bitirmiş oldum. Ne demişler bilgi paylaştıkça çoğalır.