Sanal Hayatımız ve Korunma Yolları
Masumca evinizde ya da ofisinizdeki bilgisayarınızdan kullandığınız ve iletişim kurduğunuz sanal dünya sizi için ne kadar güvenilir, hiç düşündünüz mü?

Günümüzde sıkça yaşanan güvenlik ihlallerinden en önemlisi internet kullanımı üzerinden gerçekleşiyor. Bu durumu siber saldırı olarak nitelendiriyoruz. (Siberden kasıt: sanal ortamda olması ) Son günlerde bu tarz saldırılar her geçen gün artmaya başladığı için internet kullanıcısı olarak bizlerin daha çok dikkatli olması gerekir.

Öncelikle sosyal medyanın hayatımızda ne kadar büyük bir yer edindiğini düşünelim:

Benliğimizi, kişiliğimizi temsil eden sanal hesapların aslında bize ait geniş bir bilgi deposu olduğu konusunda hepimiz hem fikiriz sanırım. Doğum günlerimiz, randevularımız, gittiğimiz herhangi bir yer (check-in swarm gibi), arkadaşlarımızla beraber yüklediğimiz fotoğraflar… Neredeyse her şey bizim sanal hayatımıza kaydediliyor. Böylesi bir ortamda (internet) kendimizi ve bilgilerimizi korumak çok önemlidir demek istiyorum.

Özellikle son 1-2 yıl içerisinde artan siber saldırıların ve insanların nasıl kandırıldıkları, bu durumdan nasıl çıkar kazandıkları hakkında konuşarak başlayalım…

Bilgi güvenliği nedir?

“Bilgi güvenliği, bilgilerin izinsiz kullanımından, izinsiz ifşa edilmesinden, izinsiz yok edilmesinden, izinsiz değiştirilmesinden, bilgilere hasar verilmesinden koruma veya bilgilere yapılacak olan izinsiz erişimleri engelleme ve bilgiyi güvende tutma çabasıdır.” [1]

Peki, bizim bilgilerimiz güvende midir?

- Tartışma konusu

“Benim bilgilerimi çalmak için uğraşacaklarını sanmıyorum” şeklinde yaklaşmanın yanlış olduğunu vurgulamak istiyorum elbette hepimizin bilgileri değerlidir. Bu konuya bilinçli ve mantıklı yaklaşmamız gerekir. Artık dünya değişiyor. İnsanlar ve yaşam tarzları hakkında bir sürü bilgi toplanıyor. Geçtiğimiz günlerde kendi wikipedia sayfanı oluştur adlı bir uygulamanın sosyal mühendislik yöntemiyle insanların bilgilerini erişme tuzağı olduğunu gördük. Sırf olayı denemek ve analiz etmek adına bu uygulamayı denediğim de Facebook üzerinden tüm bilgilerimi edinme talebinde bulunduğunu da görmüş oldum. Bu durum beni çok düşündürüyor. <İnsanlardan analiz edilen bilgiler, duygular ve düşünceler -kısaca olumlu olumsuz herşey- robotlara öğrenme verisi olarak eklenebiliyor.> Geleceğin yapay zeka ve robotlaşma üzerine kurulacağını hepimiz tahmin edebiliyoruz ama şunu da unutmayalım ki teknolojinin bu denli gelişimi gelecekteki savaşlara da zemin hazırlayabilir. (Yapay zeka ile ilgili yazıma buradan ulaşabilirsiniz)

Biraz daha güvende olmak için ne yapmak gerekiyor?

Hiçbir sistem güvenli değildir. Örneği rakamlarla verecek olursam: %99.99 güvenli %0.01 güvensiz bir sistem, genel anlamda güvensiz bir sistem olarak nitelendirilir. Çünkü her bilgi ve veri, temelde 1 ve 0 a dayanmaktadır. (Konunun teknik detayını konuşmak isteyen arkadaşlar benimle iletişime geçebilirler.)

Ama biraz daha olsun güvende kalabilmek adına birkaç yöntem/taktik vereceğim.

Taktik 1: Karmaşık bir parola oluşturun!

abcd123 gibi bir şifre dakika bile sürmeyecek ölçüde kırılabilir bir şifredir. Bol bol karakter, rakam ve harf ile şifrenizi süsleyin.

A*a12my_t1K3/  tarzı bir şifre oldukça güçlüdür. Veya kendi adımı şifreleyeyim size örnek olması açısından. (Bunu yaparken BruteForce adını verdiğimiz algoritmalar, şifre kırarken deneme/yanılma yolunu kullanırlar. Ve güçlü bir şifre bu algoritmanın karmaşıklık faktörünü zedeleyip çalışmaz hale getirebilir. Baskın olarak doğum tarihi, cep telefonu numarası gibi rakamsal verileri kullanmak çok güvenli olmaz, size yakın olan kötü niyetli saldırgan tarafından tahmin edilebilir. ) 2mel*1.hi-ul._? gibi içinde adınızı taşıyan ve anımsanacak birkaç farklı karakter olan bir parola hatırlamaya kolaylık sağlayabilir.

Taktik 2: Adınızı, cep telefonunuzu, doğum tarihinizi, sevgilinizin/eşinizin veya çocuğunuzun adını kısaca size anlam ifade eden bilgileri doğrudan şifre olarak kullanmayın!

Taktik 1 de bahsi geçtiği gibi bunları çeşitli karakterler ve rakamlarla süsleyin. Hatta daha fazla güç katmak adına harfleri büyük ve küçük yazın. Çünkü ‘A’ ile ‘a’ bizim için aynı anlamı ifade ediyor, evet ama bilgisayar için farklı bir anlam taşıyor (ascii kod(256 karakterli bir kütüphane)) Bu yüzden dolayı büyük/küçük harf kullanımı, parolanın gücünü arttırır.

(En az 8 karakter olsun demeyeceğim, çünkü artık her site, kullanıcıdan parola isterken 8 karaktere zorunlu tutuyor.)

Taktik 3: E-postanızdaki güvenlik sorusuna doğru cevabı vermeyin! ☺

Çoğu insan bu yanlışa düşüyor. Artık herhangi bir sosyal medyaya, mail yoluyla erişilebiliniyor. Yani, ilgili maile kayıtlı olan bir hesap, şifremi unuttum yardımıyla geri alınabiliyor. Peki maile nasıl erişiliyor? Aynı şekilde gmail veya hotmail’ i baz alarak konuşacak olursak şifremi unuttum yardımına başvurduktan sonra şifreyi geri alma yöntemleri arasında güvenlik sorusu var. (Bu güvenlik sorusunu maili alırken oluşturuyorsunuz.) Örneğin: Dedenizin mesleği sorusunu seçtiğinizi varsayalım. Bunun cevabını sadece siz bilmiyorsunuz sonuçta. Size yakın olan bir saldırgan bu cevabı bildiği taktirde yeni şifre oluşturarak önce mailinizi sonra da sosyal hesaplarınızı alabilir.

Neyse ki son birkaç yılda telefona mesaj isteterek şifre alabilmek mümkün. Ayrıca gmail kullanıcılarına tavsiye olarak Google Authenticator adlı 2 adımlı doğrulama ara birimini araştırmalarını ve kullanmalarını tavsiye ederim.

(Ne yaparsanız yapın, maili kaptırmayın! Çünkü sosyal medya ve diğer sitelerde kullandığınız mail, olur da yabancı kişilerin kullanımına geçerse, diğer hesaplarınızın geçmesi de an meselesi olabilir.)

Taktik 4: Facebook kullanıcıları: akıllı telefonlarınızı verimli kullanın! Kodmatik ile güvenliğinizi güçlendirebilirsiniz.

Facebook şifrenizi bilen birisi olsa bile şifre ile giriş yaptıktan sonra telefonunuza kodmatik aracılığı ile gelen kodu bilmiyorsa oturum açamıyor. Ve siz giriş yapıldığına dair bilgi alıyorsunuz. Eğer facebook’ a telefon numaranızı girmişseniz (gizlilik ayarını sadece ben yapın ki kimse görmesin) kısa mesaj olarak ta bilgilendiriliyorsunuz.

Taktik 5 (En önemlisi): Hesaplarınızda aynı veya çok benzer parolalar kullanmayın!

Çünkü bir hesabınız saldırgan tarafından elde edildiyse diğeri de elde edilebilir. Bu duruma zemin hazırlamamak için önleminizi almanızı tavsiye ediyorum.

Aklıma gelen birkaç güvenlik önlemini açıklamaya çalıştım. Taktiklerin ardından şunu düşünebilirsiniz. Her hesaba farklı ve zor bir şifre! Nasıl hatırlayacağım? Sorusu aklınızı kurcalıyor olabilir.  Önerim şu yönde:

Öncelikle bir excel dosyası oluşturun. Bunu şöyle yapabilirsiniz:

Hesap adı ve ilgili şifreyi karşısına not alın. Ve excel dosyasını Çalışma Kitabını Koru-Parola ile şifrele seçeneği ile şifreleyin. (yine zor bir şifre (taktik 1)) Dolayısıyla parolalarınızın olduğu excel dosyasını açmak için ana şifreyi (excel’ e koyduğunuz şifre) bilmek gerekiyor. Eğer sizde gününüzü bilgisayar başında geçiriyorsanız böyle bir yöntemi tercih edebilirsiniz. Ama excel dosyasının şifresini sakın unutmayın. ☺

İkinci bir tavsiyem (yazılıma merak duyan arkadaşlar için)

RSA algoritması ile parolalarınızı şifreli bir şekilde tutan yazılım geliştirebilirsiniz :) (RSA algoritması, bu zamana kadar yapılmış en iyi şifreleme algoritmasıdır.)

Bunlar zor geliyor, uğraşmak istemiyorum derseniz de bir kâğıt, kalem alın ve parolalarınızı unutmamak adına yazın. Ama unutmadan şunu da söylemeliyim ki güvenliğin en zayıf halkası insandır.

Son olarak size bir soru soracağım:

  • Bir dokümanı ağdan çalmak mı, yüksek sesle onu okumak mı, yoksa akıllı telefon ile resmini çekmek mi hack olur?

Yorumlarınızı bekliyoruz.

Kaynaklar
[1] https://tr.wikipedia.org

Görsel Kaynaklar
[1]: http://www.difose.com/blog/index.php/neden-difose#

Melih Hilmi ULUDAĞ
Fırat Üniversitesi / Yazılım ve Mekatronik Mühendisliği - Mühendis

0 yorum