Siber Alem / Detail / 80 / Siber-guvenlige-giris-ders-4
technical_article_reader.sh
TECHNICAL PAPER / papers

Siber Güvenliğe Giriş - Ders 4

2026-07-16
10 min read (1825 words)
2 views
Geçmiş derslerimize son hızla devam ediyoruz arkadaşlar. Artık, şimdi işin rengi değişiyor. CS50'un siber güvenlik müfredatı, tüm bu bahsettiğimiz konuları çok daha akademik, felsefi ve sistematik bir çerçeveye oturtur. CS50, sana "Şu aracı kullan" demez; sana "Bu araçların altındaki prensipler ne, bu saldırılar neden mümkün, güvenliği nasıl soyut bir kavram olarak ele alırız?" diye öğretir. O halde, CS50'nin Introduction to Cybersecurity dersinin ruhuna uygun, daha az araç, daha çok prensip; daha az senaryo, daha çok kavram ile devam ediyoruz. Bugünkü dersimiz: "Güvenliğin Üç Sacayağı, Kriptografinin Temelleri ve Güvenlik Modelleri" ile başlayacağız. 

DERS 1: GÜVENLİĞİN TEMEL ÜÇLEMESİ (CIA Triad)

Siber güvenliğin tüm felsefesi, şu üç temel hedefe dayanır. Bu üç hedeften birinin ihlali, bir güvenlik olayıdır:

1. Gizlilik (Confidentiality):

  • Ne Demek? Verinin, sadece yetkili kişiler tarafından görülebilmesi.

  • Hayattan Örnek: Mektubun zarfın içinde olması. Postacı mektubu taşır ama içindekini okuyamaz.

  • Teknik Karşılığı: Şifreleme (Encryption) ve Erişim Kontrolleri (Access Controls). Örneğin, bir banka uygulamasındaki bakiye bilgisi, sadece o hesap sahibi tarafından görülebilmelidir.

  • İhlal Senaryosu: Bir MITM (Ortadaki Adam) saldırısı ile banka şifrenin çalınması.

2. Bütünlük (Integrity):

  • Ne Demek? Verinin, yetkisiz kişiler tarafından değiştirilememesi, bozulmaması veya silinememesi.

  • Hayattan Örnek: Mektubun zarfı mühürlü olmalı. Mühür kırılmamışsa, mektup değiştirilmemiştir.

  • Teknik Karşılığı: Hash Fonksiyonları (SHA-256, MD5) ve Dijital İmzalar. Bir dosyanın hash'i, dosyanın parmak izidir. Dosya değişirse hash değişir.

  • İhlal Senaryosu: Bir saldırganın, bir web sitesindeki "Hesap Bakiyesi" alanını 100 TL'den 1.000.000 TL'ye değiştirmesi veya bir yazılım güncellemesinin içine kötü amaçlı kod eklenmesi.

3. Erişilebilirlik (Availability):

  • Ne Demek? Yetkili kullanıcıların, ihtiyaç duyduklarında veriye ve sisteme erişebilmesi.

  • Hayattan Örnek: Mektubu alıcısına zamanında ulaşması. Posta servisinin çalışıyor olması.

  • Teknik Karşılığı: Sistem Yedekleme (Backup), Yük Dengeleme (Load Balancing), DDoS koruması.

  • İhlal Senaryosu: Bir DDoS (Dağıtık Hizmet Engelleme) saldırısı ile banka web sitesinin çökertilmesi, kimsenin hesabına girememesi.

Peki, CIA üçgeninin dışında kalan ne var? Bazı modeller buna "Güvenilirlik (Non-Repudiation)" yani inkar edilemezliği ekler. Bu, bir işlemi yapan kişinin, o işlemi yaptığını inkar edememesidir. Örneğin, dijital imza ile atılan bir e-posta, o kişinin "Ben göndermedim" demesini engeller.


DERS 2: GÜVENLİK MODELLERİ (Security Models)

Siber güvenlikte, sistemleri nasıl tasarlayacağımıza dair birkaç temel model vardır. Bu modeller, bir binanın mimari planı gibidir:

1. Sıfır Güven (Zero Trust)

  • Felsefe: "Asla güvenme, her zaman doğrula." (Never trust, always verify.)

  • Nasıl Çalışır? Geleneksel modellerde, ağın içindeki herkes güvendiğimiz kişilerdi. Sıfır Güven'de, şirket içindeki bir çalışan bile sürekli olarak doğrulanır. "Bu kişi yetkili, ama neden gece 3'te veritabanına erişiyor?" diye sorgulanır.

  • Teknik Karşılığı: Mikro-segmentasyon (ağı küçük parçalara bölmek), her erişim isteğinin ayrıca yetkilendirilmesi, sürekli izleme ve loglama.

2. En Az Ayrıcalık (Least Privilege)

  • Felsefe: Bir kullanıcıya veya servise, sadece yapması gereken iş için gerekli olan minimum yetki verilir.

  • Nasıl Çalışır? Bir çalışanın sadece maaş sistemine erişmesi gerekirken, veritabanına da erişimi varsa, bu en az ayrıcalık ihlalidir.

  • Teknik Karşılığı: RBAC (Rol Tabanlı Erişim Kontrolü), ABAC (Öznitelik Tabanlı Erişim Kontrolü).

3. Savunmada Derinlik (Defense in Depth)

  • Felsefe: Tek bir güvenlik önlemine güvenme. Birden fazla katman oluştur.

  • Nasıl Çalışır? Bir saldırgan firewall'ı geçerse, IDS/IPS'ye takılır. Onu da geçerse, uygulama güvenlik duvarına (WAF) takılır. Onu da geçerse, veritabanı şifrelemesi ile karşılaşır.

  • Teknik Karşılığı: Fiziksel güvenlik, ağ güvenliği, uygulama güvenliği, veri güvenliği katmanlarının hepsinin birden kullanılması.


DERS 3: KRİPTOGRAFİNİN TEMELLERİ (HASH, ŞİFRELEME, DİJİTAL İMZA)

CS50'un en sevdiği konulardan biri kriptografidir. Çünkü siber güvenliğin bel kemiğidir. Üç temel kavramı ayırt etmeliyiz:

1. Hash (Özet) Fonksiyonları

  • Ne İşe Yarar? Herhangi bir uzunluktaki veriyi, sabit uzunlukta (örneğin 256 bit) bir parmak izine dönüştürür.

  • Özellikleri:

    • Tek yönlüdür (veriden hash'i elde edersin, hash'ten veriyi geri çıkaramazsın).

    • Aynı veri aynı hash'i verir (deterministiktir).

    • Veride 1 bit değişirse, hash tamamen değişir (çığ etkisi - avalanche effect).

  • Hayattan Örnek: Bir kitabın özeti gibi. Özeti okursan kitabı anlarsın, ama özetten kitabın tamamını geri yazamazsın. Aynı kitap, aynı özeti verir.

  • Teknik Kullanım Alanları:

    • Şifre Saklama: Şifreleri düz metin değil, hash'lenmiş olarak saklarsın.

    • Dosya Bütünlüğü: Bir dosyayı indirdikten sonra hash'ini kontrol ederek, dosyanın bozulup bozulmadığını veya kurcalanıp kurcalanmadığını anlarsın.

  • Popüler Hash Algoritmaları: MD5 (artık güvensiz), SHA-1 (güvensiz), SHA-256, SHA-3.

2. Simetrik Şifreleme

  • Ne İşe Yarar? Veriyi şifrelemek ve aynı anahtarla tekrar çözmek. Tek bir anahtar (gizli anahtar) vardır.

  • Hayattan Örnek: Bir kasa ve onun anahtarı. Kasayı kilitleyen de, açan da aynı anahtarı kullanır.

  • Teknik Kullanım Alanları: Büyük veri dosyalarının şifrelenmesi, VPN bağlantıları, Wi-Fi şifrelemesi (WPA2).

  • Popüler Algoritmalar: AES (Advanced Encryption Standard), DES (artık güvensiz), 3DES.

3. Asimetrik Şifreleme (Açık Anahtar Şifrelemesi)

  • Ne İşe Yarar? İki anahtar vardır: Açık Anahtar (herkese açık) ve Özel Anahtar (gizli). Bir anahtarla şifrelenen veriyi, sadece diğer anahtar çözebilir.

  • Hayattan Örnek: Bir posta kutusu gibi. Herkesin açık adresi (açık anahtar) vardır. Herkes bu adrese mektup atabilir (şifreleyebilir). Ama posta kutusunu açan sadece mektup sahibidir (özel anahtar).

  • Teknik Kullanım Alanları:

    • Dijital İmza: Bir mesajı özel anahtarınla imzalarsın. Herkes açık anahtarınla bu imzayı doğrulayabilir. Böylece mesajın senden geldiği ve değiştirilmediği kanıtlanır (Bütünlük + İnkar Edilemezlik).

    • Güvenli Anahtar Değişimi: TLS/SSL (HTTPS) kurulurken, simetrik şifreleme anahtarını güvenli bir şekilde karşıya iletmek için asimetrik şifreleme kullanılır.

  • Popüler Algoritmalar: RSA, ECC (Elips Eğrisi Kriptografisi), Diffie-Hellman (anahtar değişimi için).


DERS 4: GÜVENLİK AÇIKLARI VE KATEGORİLERİ (CVE, CVSS, NVD)

CS50'da zafiyetleri sistematik olarak sınıflandırmayı öğrenirsin:

CVE (Common Vulnerabilities and Exposures)

  • Ne Demek? Her bilinen zafiyete, benzersiz bir kimlik numarası verilir. Bu numara, o zafiyeti evrensel olarak tanımlar.

  • Örnek: CVE-2017-5638 (Apache Struts zafiyeti - Equifax saldırısı) veya CVE-2021-44228 (Log4Shell - Log4j kütüphanesindeki kritik zafiyet).

CVSS (Common Vulnerability Scoring System)

  • Ne Demek? Bir zafiyetin ne kadar tehlikeli olduğuna dair 0-10 arasında bir puan verir.

  • Nasıl Hesaplanır? Zafiyetin istismar edilebilirliği (Exploitability) ve etkisi (Impact) baz alınır. Örneğin, ağ üzerinden uzaktan erişilebilen, kimlik doğrulaması gerektirmeyen ve kod çalıştırmaya izin veren bir zafiyet, en yüksek puanı (9.8) alır.

  • Skor Aralıkları:

    • 0.0 - 3.9: Düşük (Low)

    • 4.0 - 6.9: Orta (Medium)

    • 7.0 - 8.9: Yüksek (High)

    • 9.0 - 10.0: Kritik (Critical)

NVD (National Vulnerability Database)

  • Ne Demek? ABD hükümeti tarafından yönetilen, tüm CVE'lerin ve CVSS puanlarının toplandığı merkezi veritabanı.


DERS 5: GÜVENLİK DUVARLARI VE AĞ SEGMENTASYONU

Güvenlik Duvarı (Firewall) Nedir?

  • Felsefe: Ağ trafiğini filtreleyen, belirli kurallara göre paketleri engelleyen veya izin veren bir sistemdir.

  • Türleri:

    • Paket Filtreleme: Gelen/giden paketlerin kaynak IP, hedef IP, port numarası gibi başlıklarına (header) bakar.

    • Durumlu (Stateful) Filtreleme: Bağlantının durumunu takip eder. "Bu paket, önceki bir bağlantıya ait mi?" diye kontrol eder.

    • Uygulama Katmanı (Application Layer) Güvenlik Duvarları (WAF): HTTP trafiğini inceler, SQL Enjeksiyonu veya XSS gibi uygulama saldırılarını engeller.

Ağ Segmentasyonu

  • Ne Demek? Ağı, farklı güvenlik seviyelerine sahip alt ağlara (VLAN) bölmek.

  • Hayattan Örnek: Bir ofiste, yönetici odası (VIP) ile depo bölümünü ayrı odalarda tutmak. Depoya giren herkes, yönetici odasına giremez.

  • Teknik Karşılığı: Web sunucuları (internete açık) ayrı bir VLAN'da, veritabanı sunucuları (sadece web sunucularıyla konuşan) başka bir VLAN'da, çalışan bilgisayarları ise bambaşka bir VLAN'da olur. Bir saldırgan web sunucusuna girerse, veritabanına atlayamaz (çünkü arada güvenlik duvarı vardır).


DERS 6: GÜVENLİK POLİTİKALARI VE STANDARTLAR (CIS Controls, NIST CSF)

Sadece teknoloji yetmez; süreçler ve insanlar da güvende olmalıdır.

CIS Controls (Center for Internet Security Controls)

  • Ne Demek? 20 maddelik (veya güncel sürümde 18 maddelik) bir siber güvenlik önlemleri listesi. Öncelik sırasına göre düzenlenmiştir.

  • Örnek Kontroller:

    • Kontrol 1: Donanım ve Yazılım Envanteri (Ne var ne yok?)

    • Kontrol 2: Güvenli Yapılandırma (CIS benchmark'larına uygun kurulum)

    • Kontrol 6: Erişim Yönetimi (MFA, Least Privilege)

    • Kontrol 13: Veri Koruma (Yedekleme, Şifreleme)

NIST Cybersecurity Framework (CSF)

  • Ne Demek? ABD Ulusal Standartlar ve Teknoloji Enstitüsü'nün (NIST) geliştirdiği 5 adımlı bir çerçeve. Kurumların siber güvenlik duruşunu değerlendirmesi için kullanılır.

  • 5 Adım:

    1. Tanımla (Identify): Hangi varlıklar, hangi riskler var? (Tehdit Modellemesi)

    2. Koru (Protect): Saldırıları önlemek için ne yapılacak? (Güvenlik Duvarı, EDR, MFA)

    3. Tespit Et (Detect): Saldırıyı nasıl fark edeceğiz? (SIEM, Log İzleme)

    4. Karşılık Ver (Respond): Saldırı anında ne yapılacak? (Olay Müdahale Planı)

    5. Kurtar (Recover): Sistemleri nasıl eski haline getireceğiz? (Yedekleme, Felaket Kurtarma Planı)


Bugünün CS50 Ruhlu Ödevi

  1. Hash Kavramını Pratik Et:

    • Bilgisayarında bir metin dosyası oluştur ve içine "Merhaba Dünya" yaz.

    • Bu dosyanın SHA-256 hash'ini hesapla (Linux'ta sha256sum dosya.txt, Windows'ta PowerShell: Get-FileHash dosya.txt -Algorithm SHA256).

    • Dosyadaki bir harfi değiştir ve hash'in tamamen değiştiğini gözlemle.

  2. CVE Veritabanını Keşfet:

    • NVD (nvd.nist.gov) sitesine gir ve son 1 ay içinde yayınlanmış en yüksek CVSS puanına sahip (9.8 veya 10) iki zafiyeti bul.

    • Bu zafiyetlerin hangi ürünleri etkilediğini ve nasıl bir savunma alınabileceğini araştır (örneğin, "Yamayı hemen uygula", "Portu kapat" gibi).

  3. Savunma Derinliği Modeli Tasarla:

    • Kendi hayalindeki bir şirketi düşün (örneğin, bir e-ticaret sitesi).

    • Fiziksel güvenlikten başlayarak, ağ güvenliği, uygulama güvenliği, veri güvenliği ve insan faktörü olmak üzere 5 katmanlı bir savunma planı yaz. Her katmanda hangi teknolojileri kullanırdın?


Makale Tartışmaları (0)

No discussion yet.

Yorum Yapmak İçin Giriş Yapın

Bu makaleye yorum yazmak ve tartışmaya katılmak için giriş yapmalısınız.

Author Profile

0xCyber
0xCyber User
Joined Mar 2021
Rep 0
Gönderiler 5
Independent security researcher and vulnerability analyst. Specializing in reverse engineering, exploit development, and uncovering deep-level system flaws.
View All Submissions

Paylaşım & Kaydet

X / Twitter'da Paylaş