ELEKTRONİK TİCARET - Ünite 3: Elektronik Ticarette Güvenlik Özeti :
PAYLAŞ:Ünite 3: Elektronik Ticarette Güvenlik
E-Ticarette Güvenlik Kavramı, Ölçütleri ve Tehditleri
E-ticaret, fiziksel gözlem ve kontrollerden uzak bir şekilde yapılması nedeniyle karşılıklı güven temeline dayanmaktadır. E-ticaret dünyasında bilginin korunması için temel çözüm etkin güvenlik sistemlerinin uygulanması ile mümkün olmaktadır. E-ticaret işletmelerinin müşterilerinin güven duygusunu arttırmak için; güvenlik planlaması, güvenlik kriterleri, güvenlik saldırılarını önleme ve güvenlik sistemlerini bir uyum içinde çalıştırma konularına önem vermesi gerekmektedir. Güven, belirli şartlar altında güvenilecek olan şeyin teminatına, dürüstlüğüne ve yeterliliğine ilişkin korku, çekinme ve kuşku duymadan inanma ölçüsü olarak tanımlanmaktadır.
Güvenlik Planlaması
Dış dünya ile iletişim internet aracılığıyla kurulmak isteniyorsa, bazı risklerin de kabul edilmesi gerekmektedir. Risk almanın boyutu ise, işletmenin tüm ağ altyapısının maliyeti ile risk arasında dengenin en iyi şekilde kurulması ile belirlenebilmektedir. Riskler değerlendirilmeli ve bu aşamada güvenlik danışmanlardan yardımlar alınmalıdır. En yaygın bilgi altyapısı güvenlik tehditleri; zayıf sistem yönetiminden ve hem kullanıcılarının hem de sistem yöneticilerinin duyarsızlığından, gerekli önlemleri almamasından kaynaklanmaktadır. Bu nedenle güvenli bir sistem yaratabilmenin tek yolu güvenliği ciddiye almaktır. İşletme risk değerlemesi oluşturulurken, potansiyel saldırıların ve sistemin saldırıya açık noktalarının bilinmesi son derece önemlidir.
Güvenlik Ölçütleri: Güvenlik planında ele alınması gereken ölçütler şöyle sınıflandırılabilir:
- Erişim
- Kimlik denetimi
- Bütünlük (integrity)
- Kişisel gizlilik
- Sorumluluk (nonrepudiation)
- Düzeltme ve Denetlenebilirlik
Erişim, sistem kullanıcılarına odaklanmaktadır. İlke olarak güvenlik, işletmenin ana faaliyetleri ile çatışmamalıdır. Kimlik denetiminin amacı; bir hizmeti, ağı, sistemi ya da donanımı sadece yetkilendirilmiş kullanıcıların erişmesine izin verilmesinde çeşitli kimlik denetim araçlarının etkin bir şekilde kullanılmasıdır. Bütünlük, iletinin iletişim sürecinde değiştirilememesinin sağlanmasıdır. Kişisel gizlilik, iletinin içeriğinin sadece gönderici ile alıcının bilmesinin sağlanmasıdır. Sorumluluk, göndericinin iletiyi gönderdiğini inkâr etmesinin engellenmesi, başka bir deyişle gönderdiği iletiden sorumlu tutulmasıdır. Denetim, işletmenin kabul edilmiş işlem yordamlarının işletme kayıtlarından incelenmesidir. Güvenlik denetimi ise, birtakım güvenlik prosedürlerinin denetlenmesidir. Denetim işlemi sırasında gerçekleştirilerek güvenlik ihlallerine yönelik önlemler alırken, güvenlik denetimi ise işlem gerçekleştikten sonra gerekli düzeltmelerin yapılmasıdır.
Güvenlik Tehditleri: Donanım, yazılım, bilgi ve iletişimi kapsayan bilgi sistemlerinin gizlilik, güvenlik, bütünlük ve sürekli çevrimiçi olmasını engelleyebilecek veya sisteme zarar verebilecek her türlü kişi, durum veya olay bilişim sistemleri için bir güvenlik tehdidi olarak nitelendirilmektedir. Güvenlik tehditlerini; hacker, joy hider, vandal, casuslar, score keeper, bilinçsiz kullanıcılar ve sosyal mühendisler gerçekleştirebilmektedir. Güvenlik tehditlerinin başlıcaları; zararlı yazılımlar, IP gizleme (spoofing), korsanlık (sniffing) ve işletme içi tehditler olarak sıralanabilir.
Zararlı yazılımlar, bilginin değiştirilmesi, çalınması ve yok edilmesi için geliştirilen yazılımlardır. Zararlı yazılımlar arasında en çok bilineni virüslerdir. Virüsler, epostalarla, dosyalarla, harici taşınabilir aygıtlarla veya bilgisayar ağı üzerinden başka sistemlere girebilmektedir. Solucanlar, kendi kendini kopyalayarak bilgisayar ağında çoğalan, ancak virüslerin aksine başka bir programa eklenmeden çalışamayan yazılımlara denilmektedir. Truva atları ise, esas olarak bilgisayarları uzaktan kumanda etme amacıyla yazılmış ve aslında zararsız yazılımların içine gizlenmiş kötü amaçlı yazılımlardır. Ayrıca şifrelemeye yönelik tehditler arasında tuş kaydediciler (keylogger) ve başka bir güvenlik tehdidi sanal sahtekarlık veya yemleme (phishing) bulunmaktadır.
IP gizleme, hackerlar başka birisiymiş gibi görünmek veya sahte e-posta adreslerini kullanarak kendilerini bilerek farklı bir şekilde tanıtarak ya da aldatmaya yönelik olarak doğru kimliğini gizlemek için yapılan girişimlerdir.
Korsanlık, korsanın ağ üzerinde yolculuk eden bilgiyi izleyerek gizlice görüntülemesine, dinlemesine ve kaydetmesine olanak sağlayan program türüdür. E-posta ve msn dinlemeleri (e-mail wipetaps) korsanlık tehdidinin yeni bir çeşididir.
İşletme çalışanlarının işletmenin web sitesine zarar vermesi, müşterilerin borçlarını ve kişisel bilgilerini değiştirmesi veya farklı amaçlarla kullanması işletme içi tehditler arasındadır.
Güvenlik Saldırılarını Önleme
Güvenlik önleme araçları dört temel başlıkta sınıflandırılmaktadır. Bunlar:
- İnternet iletişiminin korunması
- İletişim kanallarının korunması
- Ağların korunması
- Sunucu ve istemci korunması
İnternet İletişiminin Korunması
E-ticaret işlemleri internet üzerinden gerçekleştiği ve işlem paketlerinin akış yönünde binlerce router (yönlendirici) ve sunucular geçtiği için, güvenlik uzmanları en büyük güvenlik tehdidinin internet iletişimleri düzeyinde oluştuğunu düşünmektedir. İnternet iletişiminin korunmasında en temel olan önleme yöntemi ise şifreleme dir.
Şifreleme: Gönderici tarafından alıcıya iletilmek istenen verinin veya metnin şifrelenerek üçüncü bir kişi tarafından okunmadan iletilme süreci şifreleme (kriptorafi) olarak tanımlanmaktadır. Şifreleme ile dört güvenlik ölçütü sağlanabilmektedir. Bunlar:
- Bütünlük
- Sorumluluk
- Kimlik Denetimi
- Kişisel gizlilik
İleti bütünlüğü, şifreleme ile iletinin değiştirilmeme güvencesi sağlanmaktadır. İleti sorumluluğu, şifreleme ile gönderenin iletisini inkâr etmesi konusunda kullanıcılar engellenmektedir. Kimlik denetimi, şifreleme ile mesaj gönderen kişi veya gönderilen donanımın doruluğunun tespit edilmesi sağlanmaktadır. Kişisel gizlilik, şifreleme ile iletinin başka kişiler tarafından okunmadığı güvencesi verilmektedir.
Günümüzde yaygın olarak kullanılan şifreleme türü açıkanahtarlı şifrelemedir. Gizliliği ve güvenliği sağlamak amacıyla bu yöntemlerde kullanılan araçlar; sayısal sertifikalar, sayısal ve elektronik imzalar ve onay kurumları olarak sıralanabilir. Açık anahtarlama şifrelemesindeki amaç, bir kişiye yollanacak olan iletinin açık şifre ile şifrelenerek yollanması ve sadece alıcının özel şifresi ile şifrenin açılabilmesidir. Asimetrik şifrelemenin en iyi uygulaması sayısal imza veya eimzadır.
Sayısal İmza: 5070 sayılı Elektronik imza Kanunu’na göre, başka bir elektronik veriye eklenen veya elektronik veriyle mantıksal bağlantısı bulunan ve kimlik doğrulama amacıyla kullanılan elektronik veriyi ifade etmektedir. Elektronik ortamdaki yazışmalara eklenen, yazıyı gönderenin kimliğini ve gönderilen yazının iletim sırasında bozulmadığını kanıtlamaya yarayan şifreleme bölümü sayısal imza veya elektronik imza olarak tanımlanmaktadır.
Sayısal Zarflar: Şifrelemede açık anahtarlı şifrelemenin ve dosyanın gönderilmesinde simetrik anahtarın kullanılması işlemi sayısal zarf olarak adlandırılmaktadır. Simetrik şifrelemeye göre oldukça yavaş olmasına rağmen açık anahtar şifreleme daha güvenlidir. Alıcının dokümanı çözümlemesi gerektiren simetrik anahtar alıcının açık anahtarı kullanarak kendi kendine şifreleme yapmaktadır. Bu nedenle anahtar içinde anahtar veya sayısal zarf olarak adlandırılmaktadır.
Sayısal Sertifikalar ve Açık Anahtar Altyapısı: Sayısal sertifika güvenli sertifika yetkilisi tarafından verilen sayısal bir dokümandır. Bu dokümanda sertifika yetkilisi işletmenin ismi, konuya ilişkin açık anahtar, sayısal sertifika seri numarası, yayınlanma ve son kullanma tarihi, sertifika yetkilisinin sayısal imzası ve diğer kimlik bilgileri yer almaktadır. Başka bir ifade ile sayısal sertifika kullanıcının açık anahtarının yetkili bir sertifika yetkilisi tarafından imzalanmış hali olarak tanımlanmaktadır.
İletişim Kanallarının Korunması
İnternet üzerinden elektronik ödeme sistemlerinde güvenliği sağlamak amacıyla çeşitli internet güvenlik protokolleri geliştirilmiştir. Bunlardan açık anahtar şifreleme kavramlarından iletişim kanalları güvenliğinde; güvenli yuva katmanı (SSL), güvenli HTTP ve sanal özel ağlar (VPN) en yaygın olarak kullanılan protokolleridir.
Güvenli Yuva Katmanı: ağ üzerindeki web uygulamalarında bilgi iletişiminin güvenli yönetimi için oluşturulmuş bir programlama katmanıdır. Bilgi iletiminin güvenliği, uygulama programı (web browser, http, https) ile TCP/IP katmanları arasındaki güvenli yuva katmanında sağlanmaktadır. Böylece SSL, sunucular ile istemciler arasındaki güvenli iletişimi sağlayarak, gönderilen bilginin kesinlikle ve sadece doğru adreste deşifre edilmesini sağlamaktadır.
Güvenli HTTP Protokolü: HTTP ile birlikte kullanılmak amacıyla tasarlanmış güvenli ileti göndermeye dayalı iletişim protokolüdür. SSL iki bilgisayar (istemci/sunucu) arasında güvenli bağlantı kurmak amacıyla tasarlanırken, S-HTTP ile sadece kişisel iletilerin güvenli bir şekilde gönderilmesi amaçlamaktadır. Bu şifreleme yaklaşımı, SSL’den farklı olarak HTTP protokolünün içerisine yerleştirilmiş olduğundan, HTTP protokolünün ürettiği istek ve cevap başlıklarını etkilemekte ve ilave alanlar getirmektedir. Hem tarayıcıların tümü hem de web sitelerinin tümü S-HTTP’yi desteklemektedir.
Sanal Özel Ağlar: yerel internet servis sağlayıcı ve kurumsal yerel ağlar arasında güvenli bir “tünel” üzerinden veri iletimi gerçekleştirmeyi amaçlamaktadır. Bu ağlar üzerinde sadece yetkileri tanımlanmış olan kişilerin bu tünelleri kullanma hakları bulunmaktadır. Bu yapılanma ile işletmeler, interneti hem kendi iç iletişimlerinde hem de tedarikçileri ve müşterileri ile olan dış iletişimlerinde kullanarak güvenli bir iletişim kanalı yaratabilmektedir. Sanal özel a¤ teknolojisinde verinin herkese açık hatlar üzerinden gönderilmeden önce şifrelenmesi, sonrasında da ulaştığı tarafta deşifre edilmesi söz konusudur.
Ağların Korunması
İletişim kanallarını, tehdit ve saldırılardan olabildiğince iyi bir şekilde koruyabilmek için hem kendi ağının hem de bu ağın istemci ve sunucu ağlarının korunabilmesi gerekmektedir. Bu amaçla ağların korunmasında güvenlik duvarları ve proxy (vekil) sunucular en yaygın olarak kullanılan güvenlik araçlardır.
Güvenlik Duvarları: işletmenin özel ağı ile internet arasındaki filtre gibi davranan bir yazılım uygulamasıdır. Böylece iç ağa bağlanarak zarar vermesi muhtemel istemci bilgisayarlardan uzak tutulması sağlanmaktadır. Güvenlik duvarları, giren ve çıkan tüm iletişimleri doğrulamakta ve takip etmektedir. Güvenlik duvarları donanım veya yazılım tabanlı olabilmektedir. Güvenlik duvarı internet ile yerel ağ arasında bulunmaktadır ve bu sayede internetten gelen ve internete giden paketlerin mutlaka güvenlik duvarı kurulmuş bilgisayardan geçme zorunluluğu sağlanmaktadır.
Proxy Sunucular: Proxy internet üzerinden yerel ağ veya internete bağlı bir bilgisayar ile dış dünya arasındaki ilişkiyi sağlayan bir ağ geçidi (gateway) sistemidir. Bu nedenle proxy sunucusunu kullanan işletme için bir fedai veya sözcü gibi davranan, internet aracılığıyla gönderilen veya gelen tüm iletileri gözden geçiren ve sunucular için oluşturulmuş yazılımlardır. Yerel alan ağ içerisindeki bilgisayarların internete çıkmasının güvenlik duvarı ile engellemesi sorununun üstesinden gelmek için proxy sunucularından yararlanılmakta ve böylece kullanıcıların internete çıkışı sağlanmaktadır. Benzer şekilde protokol temelli herhangi bir saldırı, Proxy sunucusu kalkanı tarafından öncelikle karşılanmakta ve iç yerel ağdaki bilgisayarların etkilenmemesi sağlanmaktadır. Güvenlik amacı ile proxy kullanımı, uygulama temelli güvenlik duvarı olarak adlandırılmaktadır.
Sunucu ve İstemci Koruması
Faaliyet Sistemi Kontrolleri (Operating System Controls): Bilgisayar işleme sistemleri, genellikle kimlik doğrulamayı sağlayan kullanıcı adı ve parola gereksinimi üzerine yapılandırılmış sistemlerdir. Bazı işleme sistemleri de ağın çeşitli alanları için kullanıcı erişimini otomatikleştiren bir erişim kontrol fonksiyonuna sahiptir.
Anti-Virüs Yazılımı: Bilişim dünyasında suçlar ve zararlı unsurlar gittikçe artmakta ve çeşitlenmektedir. Sistem bütünlüğü tehditlerini önlemenin en kolay ve en ucuz yolu bilgisayarınıza anti-virüs yazılımı yüklemektir. Ancak bu yeterli değildir, çünkü yeni virüsler sürekli olarak geliştirilmektedir. Bu nedenle güvenliğe önem veren işletmeler izinsiz giriş saptama sistemlerini kullanmaktadır. İzinsiz giriş saptama sistemi, çok karmaşık ve pahalı bir bilgisayar yazılımıdır. Bilgisayara karşı bir saldırıyı fark ettiğinde potansiyel zarar riskini, arıza arama ve kurtarma süresini azaltıp, genel sistem etkilerini en aza indirerek sistemin güvenlik ve çalışabilirliğini korur.