AĞ YÖNETİMİ VE BİLGİ GÜVENLİĞİ

1971 yılında ilk e-posta denemesiyle ortaya çıkan ve günümüzün olmazsa olmaz iletişim biçimi olan e-posta, yaklaşık 40-50 yıllık bir süreç içerisinde hemen her bireyin yaşamının ayrılmaz parçası haline gelmiş ve daha önceki çoğu iletişim mekanizmalarının (mektup, teleks, telgraf, faks) öneminin azalmasına, hatta ortadan kalkmasına neden olmuştur. Doğru yanıt A seçeneğidir.

Tüm bu tehdit unsuru profillerin en önemli ortak noktası, hiç şüphesiz, tanınırlığın
olabildiğince engellenmesi ve olabildiğince yüksek miktarda tehdit unsuru barındıran yasa dışı e-postanın İnternet ortamına sunulmasıdır. Bir başka deyişle kötü niyetli e-posta kullanıcıları hem kendilerini gizlemeyi hem de olabildiğince çok kullanıcıya ulaşmayı amaç edinmekte ve tüm İnternet kaynaklarını bu amaçlar için kullanmaktadırlar. Doğru yanıt B seçeneğidir.

Can’ın kullandığı e-posta uygulaması sayesinde posta, Can’ın posta sağlayıcısına ulaşır ve diğer kullanıcılardan gelen postaların olduğu kuyruğa girer. Burada posta1.com.tr posta sunucusu Can’ın postasını SMTP (Simple Mail Transfer Protocol) ile şekillendirir ve posta2.com.tr posta sunucusuyla bir TCP (Transmission Control Protocol) bağlantısı kurar. TCP ile yollanan SMTP mesajı posta2.com.tr sunucusunda depolanır. Bora’nın posta uygulaması bu sunucuyla bağlantı kurar ve gelen postayı sunucudan alır. Burada POP3 (Post Office Protocol 3) kullanılabileceği gibi IMAP (Internet Message Access Protocol) de postanın sunucudan alınıp okunmasını sağlamaktadır. Doğru yanıt C seçeneğidir.

SMTP protokolü, 1982 yılında e-posta haberleşmesini sağlamak için tasarlanmış ve adının da çağrıştırdığı gibi oldukça basit bir protokoldür. Doğru yanıt D seçeneğidir.

İngilizce “Pretty Good Privacy” teriminin Türkçe karşılığı “Oldukça İyi Gizlilik” olarak
tanımlanabilir. 1991 yılında Phil R. Zimmermann tarafından tanımlanan ve geliştirilen
açık kaynak kodlu bu bilgisayar algoritması, gönderilen ve alınan verilerin şifrelenmesini
ve şifrelenen mesajların yeniden açılmasını sağlamaktadır. Doğru yanıt E seçeneğidir.

Gerçekten adından anlaşılacağı üzere bu yöntem oldukça güvenilebilir bir iletişim altyapısı sağlamaktadır. E-posta göndericisi ve alıcısı her noktada güvenliğin dört ana ilkesiyle korunmaktadırlar. Bu yüzden PGP, sunucular yerine uç istemcilerde, yani gönderici
ve alıcı tarafta çalışmaktadır. Bu protokolleri bizzat e-postayı yollayan ve e-postayı alan
kullanıcılar kendi başlarına uygulayabilmektedirler. Ancak kavraması biraz zaman alacak olan bu metodun zorlu aşamalarını kullanıcıya hissettirmeden yapabilen eklentiler oldukça yaygındır. Bu eklentileri, kullanmaktan hoşlandığınız bir e-posta programına kolaylıkla
adapte edip PGP’nin sağladığı güvenlik platformuna sahip olabilirsiniz. Ancak göz önünde
bulundurulması gereken en önemli nokta, PGP’nin e-posta iletişimini sağlamakla yükümlü olmadığıdır. E-posta yine SMTP tabanlı sunucular arasında transfer edilmektedir. Fakat e-posta gönderme ve alma sürecinde verinin güvenliği PGP tarafından sağlanmaktadır. Doğru yanıt E seçeneğidir.

Can Bora’ya bir e-posta yazar. Ancak e-postayı imzalamak
için sırasıyla:
• Tüm e-posta verisi bir özetleme algoritmasından geçirilerek bu veriye ait bir özet ortaya çıkarılır.
• Bu özet verisi Can’ın gizli anahtarı ile şifrelenir.
• Şifrelenmiş özet verisi Can’ın e-postasına eklenir.
• Hem e-posta hem de şifreli özet verisi SMTP sunucusuna gönderilir ve bu posta Bora’nın adresine iletilir. Doğru yanıt D seçeneğidir.

Daha önceki ünitelerde de bahsedildiği üzere veri ve ağ güvenliği denilince çok temel güvenlik servislerinin göz önünde bulundurulması gerekmektedir. Bu güvenlik servislerini yeniden hatırlamak e-posta iletişiminde hangi güvenlik ilkelerinin koşulsuz sağlanması gerektiğini de gözler önüne serecektir.
• Gizlilik: Göndericinin oluşturduğu veriye sadece gönderici ve alıcı erişebilecektir.
İletişim esnasında verinin başka kullanıcılar tarafından ele geçirilmesi durumunda
yorumlanması gizlilik ilkesini yok edeceğinden, veri sadece alıcı ve vericinin çözebileceği şekilde şifrelenmelidir.
• Kimlik Doğrulama: Ağ üzerinde mesajı oluşturan gönderici ve mesajı alan alıcı
birbirlerine gerçek gönderici ve alıcı olduklarını kanıtlayabilmelidirler. Ağ üzerin-
132 Ağ Yönetimi ve Bilgi Güvenliği de kötü amaçlı uygulama geliştiren kullanıcılar, kendilerini gizlerse veya mesajın bir başka gerçek kullanıcı tarafından gönderildiğine ikna edebilirlerse kimlik doğrulama güvenlik ihlali ortaya çıkacaktır.
• Mesaj bütünlüğü ve inkâr edilememe: Yasal bir kullanıcının yolladığı mesaj, yasal bir alıcıya ulaştığı takdirde bu mesajın gönderici tarafından inkâr edilememesi
ve mesaj içeriğinde değişiklik olmadığının garanti edilmesi gerekir. Günümüzde
kâğıt ve ıslak imza ile haberleşme ve mesajlaşma, yerini sayısal imza ve bu imzayla
güvene alınmış e-posta iletişimine bırakmaktadır. Bürokraside de her metnin kim
tarafından oluşturulduğunun ve metnin kime gönderildiğinin inkâr edilemeyecek
bir altyapıda hazırlanması ve iletişimin bu kanuni çerçeve içerisinde gerçekleşmesi
gerekmektedir. Doğru yanıt C seçeneğidir.

Son istatistikler incelendiğinde (Email Statistical Report 2015–2019) dünya çapındaki günlük e-posta trafiğinin yaklaşık 216 milyar adet olduğu görülmekte ve bu sayının 2019 yılında 250 milyara ulaşacağı tahmin edilmektedir. Doğru yanıt B seçeneğidir.

Simetrik şifreleme, bilinen en etkili şifreleme mekanizması olup şifre anahtarının uzunluğu oranında şifrelenen mesajın çözülmesi için harcanacak zaman artmaktadır. Günümüzde en az 128 bit uzunluğunda simetrik anahtarlama yöntemiyle uygulanan şifreleme oldukça yeterli bir güvenlik ölçütü sağlamaktadır. Burada simetrik şifre dendiğinde mesajın şifrelenmesi ve tekrar şifresinin çözülmesi için aynı anahtarın kullanılması gerekliliği anlaşılmalıdır. E-posta, simetrik anahtarla şifrelendikten sonra tekrar orijinal metne dönüşmesi için aynı anahtarın alıcı tarafa da ulaştırılması gerekmektedir. Aksi takdirde alıcının bu e-postayı okuyabilme ihtimali, e-postayı ele geçiren herhangi bir kullanıcıyla aynı olacaktır. PGP öncesi en büyük sorun, şifre anahtarının alıcıya nasıl gönderileceği konusuydu. Bu anahtar şifrelenmeden gönderilirse, yolda bunu ele geçiren kötü niyetli kullanıcı rahatlıkla metnin orijinalini elde edebilecekti. İşte bu noktada asimetrik anahtarla şifreleme yöntemi kullanılmaktadır. Simetrik anahtar, alıcı tarafın açık anahtarı kullanılarak şifrelenir ve mesajın içerisine eklenir. Böylelikle bu anahtar alıcının dışındaki kullanıcılara geçse de, kendilerinde gizli anahtar olmayacağı için gerçek anahtarı deşifre etmek neredeyse imkânsız olacaktır.  Simetrik anahtarlar, aynı tip algoritmalar kullanılarak hem şifrelemeye hem de şifrenin açılmasına olanak tanımakta ve bu işlem oldukça hızlı gerçekleşmektedir. Genelde 128-bit ve 256-bit anahtarların kullanıldığı bu algoritmalar hızlıdırlar ve az işlemci gücü gerektirmektedirler. Ancak asimetrik anahtarların elde edilmesi rastgele 128-bit uzunluğunda simetrik anahtarların elde edilmesi kadar kolay değildir. Ayrıca asimetrik anahtarlar simetrik anahtarlardan çok daha uzun olmaktadır. Bu yüzden asimetrik algoritma kullanılarak, yani açık anahtarla uzun verilerin şifrelenmesi ve gizli anahtarla şifrenin çözülmesi, çok karmaşık işlemler ve yüksek işlemci potansiyeli gerektirmektedir. Bu yüzden simetrik anahtar şifrelemenin avantajlarını kullanarak, simetrik anahtarı da asimetrik şifreleme ile korumak hem hız hem de daha az kaynak tüketimi sağlamaktadır.

1971 yılında ilk e-posta denemesiyle ortaya çıkan ve günümüzün olmazsa olmaz iletişim biçimi olan e-posta, yaklaşık 40-50 yıllık bir süreç içerisinde hemen her bireyin yaşamının ayrılmaz parçası haline gelmiş ve daha önceki çoğu iletişim mekanizmalarının (mektup, teleks, telgraf, faks) öneminin azalmasına, hatta ortadan kalkmasına neden olmuştur.

E-posta iletişimi, gönderici ile alıcı sunucu arasında Basit Posta İletim Protokolü (Simple Mail Transfer Protocol – SMTP) ile tanımlanan protokol ile sağlanmaktadır.

Pretty Good Privacy (PGP) bir anlamda tüm İnternet güvenliği kavramlarının pekişmesini sağlayacak bir platform gibi düşünülebilir. Zira iki taraflı güvenli iletişimin temel kavramları olan “veri şifrelemesi”, “kimlik doğrulama”, “mesaj bütünlüğü” ve “inkâr edememe” güvenlik servisleri PGP tarafından sağlanmakta ve PGP bu servislerin istendiğinde tümünü istendiğinde bir bölümünü içeren çözümler sunmaktadır. Boşluğa hangisi getirilmelidir?

Truva Atı: Zararlı kodlar barındıran ve çoğunlukla kullanıcının iradesi dışında bilgisayarın işlem yapmasını
sağlayan küçük boyutlu programlardır. Terim, adını Antik
Yunan mitolojisinden almıştır. Truva atları kullanıcıya ilginç ve çoğunlukla işe yarar programlar içerisinde gönderilmekte ve bu program çalıştırıldığında zararlı program da çalışmaya başlamaktadır.

Oltacılar; kötü niyetli kullanıcılar başkalarının kullanıcı adı ve şifrelerini elde etmek üzere küçük program parçacıklarını veya kodlarını e-posta yoluyla dağıtmakta ve buna aldanan kişilerin şifrelerini elde etmektedirler. E postalarda son derece kişisel bilgiler olduğundan bu tür hileler, genelde e-posta şifrelerini veya ticari değeri olan kullanıcı haklarını elde etmeye yönelik tehditler barındırmaktadır. Kendi kimliklerini gizleyerek farklı yasal bir karaktere bürünmeyi amaçlamakta ve amaçlarına uygun çok yüksek miktarda e-posta üreterek kullanıcılara yollamaktadır. Temel amaç, olabildiğince fazla sayıda bilinçsiz e-posta kullanıcısına ulaşarak bilgilerini ele geçirmektir.

SMTP protokolü, 1982 yılında e-posta haberleşmesini sağlamak için tasarlanmış ve adının da çağrıştırdığı gibi oldukça basit bir protokoldür. Bu protokolde tüm iletişim, ASCII temelli komutlar sayesinde gerçekleşir.

Bir spam e-posta yollayıcısı kaynak adrese kendi adresini yazmayarak örneğin A kişisinin adresini yazabilir ve istediği tür bir mesajı, reklamı veya kötü amaçlı bir yazılımı rahatlıkla B kişisine yollayabilir. Böylece B yine A’dan bir e-posta geldiğini zannederek kötü amaçlı kullanıcının e-postası ile karşılaşacaktır. Bu yöntem “SMTP geçişi” olarak adlandırılmaktadır.

E-posta gönderici sunucularında geçiş engellemesi oldukça önemli bir güvenlik önlemi olup, spam e-posta trafiğini bir ölçüde rahatlatmıştır. Ancak sadece spam trafiği üretebilmek için kurulmuş bir e-posta sunucusu, hiç şüphesiz kendisi üzerinden bu trafiğe izin verecek ve her türlü e-postanın dağıtımı için oldukça kullanışlı bir kaynak olacaktır. Bu spam kaynağının da, hiçbir önlem alınmadığı durumda belirlenmesi son derece güçtür. Böylesi bir trafiğin de önünün kesilmesi ancak farklı bir yaklaşımı ve korunma mekanizmasının üretilmesini gerekli kılmıştır. Gönderen Teyit Politikası (Sender Policy Framework – SPF) bu bağlamda ortaya çıkmıştır.

Yanlış Pozitif Hata: Gerçekte spam olmayan e-postaya spam kararı vermek anlamına gelir ve oldukça kritik hatalar olup veri kaybına neden olabilmektedir.

Mesaj bütünlüğü ve inkâr edilememe: Yasal bir kullanıcının yolladığı mesaj, yasal bir alıcıya ulaştığı takdirde bu mesajın gönderici tarafından inkâr edilememesi ve mesaj içeriğinde değişiklik olmadığının garanti edilmesi gerekir. Günümüzde kâğıt ve ıslak imza ile haberleşme ve mesajlaşma, yerini sayısal imza ve bu imzayla güvene alınmış e-posta iletişimine bırakmaktadır. Bürokraside de her metnin kim tarafından oluşturulduğunun ve metnin kime gönderildiğinin inkâr edilemeyecek bir altyapıda hazırlanması ve iletişimin bu kanuni çerçeve içerisinde gerçekleşmesi gerekmektedir.