İNTERNETE BAĞLANDIĞIMIZ CİHAZLAR VE KİŞİSEL GÜVENLİĞİMİZ İÇİN ÖNERİLER-CEYHUN ÇAMLI

Günümüzde bilgisayar ya da akıllı telefon kullanmayan neredeyse yok, ancak konuyu kişisel bilgilerimizin güvenliği noktasında değerlendirdiğimizde, kullanıcıların güvenliği önemsemediği ya da farkında olmadan da olsa gözardı ettiğini görüyoruz. Hatta daha da vahimi birçok insan amiyane tabirle ‘Yhaaa benim bilgimi ele geçirip napacaklar?’ diye düşünüyor olmaları.

“İnternete bağlı herhangi bir cihaz kullanımında güvenliği elden bırakmamak için dikkat edilmesi gereken noktalar,  uzman olmasa da herkes tarafından alınabilecek önlemler nelerdir?” konusuna kısaca değinmeye çalışarak alınabilecek basit önlemlerden bahsedip farklı başlıkları örneklerle anlatmaya çalışacağım.

Takip ettiğimiz forumlar, haber siteleri, sosyal medya adresleri ve e-posta servisleri, https bağlantı türünü destekliyorsa (internet tarayıcınızın adres çubuğunda bir asma kilit simgesi görünüyor olması gerekir) bu bağlantı türünü tercih etmek başlangıç için iyi bir adım olacaktır.

Bilgisayarlarınız ya da akıllı telefonlarınızda, ücretli yazılımları yasal olmayan metotları kullanarak ücretsiz kullanmaya çalıştığınızda acaba arka planda neler oluyor?  Örnekle anlatmak gerekirse, Windows işletim sistemi lisansı satın almak yerine internetten crack ya da keygen adı verilen yazılımlar indirerek işletim sisteminizi orijinal yapmaya çalışıyorsunuz. (Burada bilgisayar oyunları için de aynı durum düşünülebilir.) Peki kim sizin için bu ücretli yazılımı ücretsiz hale getiriyor ve bunu yaparken amacı ne?

“Crack” ya da “keygen” adı verilen bu yazılımları geliştiren kişilerin amacı sizin internete bağlandığınız cihazları ele geçirmek ve “botnet” olarak adlandırılan ağına zombie yapmaktır. Böylece internette özellikle sosyal medya ortamlarında sıkça duyduğunuz “X kurumu saldırıya uğradı ve erişilemez hale geldi.” haberlerinde siz de zombie olarak bu saldırıya katılıyorsunuz fakat bunun farkında değilsiniz. İşte bu davranış “zombie davranışı” olarak nitelendiriliyor.

Sahi daha önce bir servis dışı bırakma saldırısına katılmış olma ihtimaliniz nedir? Yani siz aslında ücretli bir işletim sistemini ya da ücretli bir oyunu ücretsiz kullandığınızı zannederken internet üzerinde işlenen suçlara ortak olma ihtimalini hiç düşündünüz mü? Peki bu durumda karşılaşabileceğiniz yasal yaptırımları?

‘Yhaaaa benim bilgimi çalıp napacaklar’ diyen birçok kişi sosyal medya hesaplarının ele geçirilmesi sonrası, sosyal medya üzerinden suç unsuru içeren söylemlerle haklarında dava açılması durumuyla karşılaşmaktadır.

Evet, gerçekten de sizin bilgileriniz belki de değerli değildir ve tekil olarak değerlendirildiğinde işlevsel de değildir. Ancak sizin internet üzerindeki davranışlarınız üzerinden toplanan bilgilerle profilleme yapıldığı ve yapılan bu profilleme ile nasıl manipüle edilebileceğinizi biliyor musunuz?

“Nasıl ya öyle şey mi olur?” dediğinizi duyar gibiyim. Peki Amerika’da Trump’ın başkan seçildiği seçimlerde sosyal medya üzerinde yapılan manipülasyonları ve bunun Trump’ın seçime katkısını biliyor musunuz? Cevabınız hayırsa “Facebook Analytica” skandalını anlatan belgeselvari yapımı izleyerek bu sorunun cevabını öğrenmeye başlayabilirsiniz.

Bu konuyu bir kenara bırakarak biraz da internete bağlanan cihazlarda ve internet üzerinde üye olunan platformlarda  kullanılan parolaları değerlendirebiliriz.

Öncelikle güçlü bir parola oluşturmanız gerekmektedir. Bu parolalar küçük harf, büyük harf, rakam ve simgelerden oluşmalıdır. Genelde öneriler 8 karakterden uzun parolalar oluşturulması yönündedir ancak benim tavsiyem en az 15 karakterden oluşan parolalar kullanılmasının yanı sıra iki aşamalı doğrulama denilen (2FA) metotların da kullanılması yönünde olacaktır. Ayrıca buralarda parola hatırlatma sorularınızı da tahmin edilebilir soru ve cevapların dışında tutmanız gerekir.

Bu durumu  da şöyle örnekleyebiliriz. Bizim x sitesindeki bilgilerimizi ele geçirmek isteyen bir saldırgan var. Bu saldırgan bizim x sitesindeki hesabımızı ele geçirmeyi kafasına koydu ve bizim sosyal medya hesaplarındaki hareketlerimizi takip etmeye başladı.  Biz de sosyal medya hesaplarımızdan, tuttuğumuz takıma, evcil hayvanımıza, en sevdiğimiz yazar ve en sevdiğimiz kitaba ilişkin paylaşımlar yapıyoruz. Parola hatırlatma sorularımızda bunlardan bir tanesini içeriyorsa hesabımızı ele geçirmeye çalışan saldırgana farkında olmadan “Eğer biraz zekiysen, hesabımı rahatlıkla ele geçirebilirsin.” diyoruz aslında.

Yine internet üzerinde kullandığımız parolaların bilgisayarımızda bir Word ya da Excel dosyasında tutmamamız gerekir. Bunun sebebine gelince, bilgisayarımızı bakım ve onarım için servise gönderdiğimizde, sattığımızda ya da harddiskini bozulduğunu düşünerek çöpe attığımızda diskin üzerinde yapılacak veri kurtarma işlemleri ile tüm bilgilerimize erişilerek hesaplarımız ele geçirilebilir. (Evet çalışmayan bozulduğunuzu düşündüğünüz harddiskler ya da flash belleklerden eski bilgilerin tümüne erişilebilir.)

Bilgisayarınızı ya da modeminizi kuran teknik servis elemanlarına güvenmeyin çünkü onların işi güvenli bir sistem kurmak değil çalışır bir sistem kurmaktır. Dolayısıyla bilgisayarınıza verdiği parolayı ya da kablosuz internet erişiminiz için belirlediği parolayı mutlaka değiştirmelisiniz.

Biraz da kablosuz bağlantı konusuna değinelim.

Teknik destek alarak kablosuz internet bağlantısı sağlayan Modem ya da Access Point cihazının erişim noktası adını (SSID) bilgisini görünmez yapmalısınız. Bu basit önlemlerin yanı sıra modeminiz üzerinden yapacağınız basit ayarlar ile sadece kendi cihazlarınızın internete çıkmasını sağlayacak mac filtreleme adı verilen düzenlemeyi yapmanız da önem taşımaktadır. Kablosuz ağınızın parolasını karmaşık ve tahmin edilmesi zor kombinasyonlarla oluşturun. (ÖRN:Wr87!13@ney5*) Ek olarak “WPA2” gibi bir şifreleme metodu kullanmanız, güvenliğiniz açısından önem teşkil etmektedir.

Burada hem telefon hem de bilgisayarlarınızda hayatınızı kolaylaştırması için kullandığınız bir metot saldırganların -tabiri caizse- ellerini ovuşturmasına sebep olmaktadır. Bu metot kablosuz ağlara bağlanırken kullandığınız parolayı kaydetmeniz ve bu kablosuz bağlantı noktasına otomatik bağlanmayı sağlayan otomatik bağlan butonunu seçili hale getirmenizdir.

Maalesef kablosuz ağların geliştirilmesi sırasında güvenlik konusu gündemde olmadığı için bu kullanımın yarattığı olumsuz etkiyi ve neden saldırganların işine geldiğini kısaca şöyle açıklayabiliriz. Evde kullandığımız kablosuz bağlantı noktasının adı XYZ olsun. Biz bu XYZ kablosuz ağına bağlanmak istediğimizde, bu ağa ait parolayı girerek bu ağ üzerinden internet erişimini gerçekleştiririz. Hatta bir daha bu ağa bağlanırken bize parola sorulmaması için kablosuz ağa otomatik bağlan butonunu da işaretleriz. Peki bize kolaylık olsun diye işaretlediğimiz butonun başımıza neler açabileceğini hiç düşündünüz mü? Gelin o zaman otomatik bağlan butonunu tıkladığımızda olanlara kısaca göz atalım.

Evimizde, iş yerimizde ya da çok sık gittiğimiz kahve dükkanında kablosuz ağlara otomatik bağlanıyoruz, hayat bizim için ne kadar kolay. Bu otomatik bağlanma özelliği bizim için olduğu kadar saldırganlar açısından da oldukça güzel bir özelliktir. Çünkü bizim bilgilerimizi ele geçirmek isteyen saldırganlar, kablosuz ağlara bağlanmaya çalışan cihazlarımızı, cihazın kablosuz ağ bağlantısı aktifleştirildiği anda, cihazın dur etrafa bir bakayım daha önce bağlandığım bir ağ var mı etrafa diye paketler göndermeye başlarlar. Bu paketlerin içinde bizim daha önce bağlanırken otomatik bağlan butonuna tıklayarak bağlandığımız tüm kablosuz erişim noktaları ve onların parolaları yer almaktadır.

“Eeee olsun, ne olacak?” dediğinizi duyar gibiyim.

Sizin bilgilerinizi elde etmek isteyen ve bunu kendine amaç edinmiş birisi ya da sizi suçlu durumuna düşürmek isteyen bir düşmanınız sizin bulunduğunuz ortamdaki kablosuz ağ bağlantı isteklerini dinleyerek tespit eder. Ardından cihazınızın bağlanmaya çalıştığı kablosuz ağlardan bir tanesine ait sahte bir isimle yayın yaparak XYZ (yukarıda örnek olarak kullandığımız isim) bu sahte erişim noktasına bağlanmanızı sağlar. Bu işlemin ardından da sizin internet trafiğinizi dinleyerek bilgilerinizi ele geçirir. Bu örnek yapılabileceklerin en basitidir.

Önemsemiyor olabilirsiniz ancak böyle bir durum sayesinde kablosuz ağınızın bilgilerini öğrenebilecek ve bunu kullanabilecek olan saldırganlar sizin internet bağlantınız üzerinden bir kuruma ya da şirkete saldırdıklarında bu saldırıyı sizin yapmadığınızı ispatlamak için oldukça ciddi bir uğraş vermeniz gerekebilir. Hangisi daha kolay, baştan önlem almak mı yoksa sonradan kendinizi ifade etmeye çalışmak mı?

Bilgisayarınızın ya da akıllı telefonlarınızın güncellemelerini yapmayı ihmal etmeyin çünkü güncellemenin amacı işletim sistemi ya da uygulamalarda tespit edilen güvenlik açıklarının kapatılmasını sağlamaktır.

Komşunun bilgisayar bölümünde okuyan oğlu ya da kızının, sorunları bir tıkla çözüyor dediği bir yazılım bilgisayarınızda güvenlik açıklarına sebep olabilir. Her bilgisayar ya da akıllı telefon kullananı o alanın uzmanı sanmamalısınız.

Şüpheci olmakta güvenliğinizi sağlamakta önemli bir noktayı oluşturuyor. Jennifer789 diye birisi sizi sosyal medyada niye eklemiş olsun. Eklemeden ve ondan gelen bir linki tıklamadan önce bu söylediğimi düşünün.

Özellikle sosyal medyada güncel konularla ilgili haber ve videolar üzerinde hızla yayılan onlarca  zararlı yazılım vardır. Pandemi döneminde devlet yardımlarından yararlanmak için tıklayın diye sponsorlu reklam olarak yayınlanan ve güvenlik uzmanlarınca tespit edilen on binlerce zararlı bağlantı tespit edilmiştir. Size gönderilen video ya da haber olduğu iddia edilen bağlantıları tıklamadan önce, size bu bağlantıyı gönderen kişiye, bu bağlantıyı sen mi gönderdin diyerek sorun ve onayı aldıktan sonra bağlanmayı deneyin. Tanımadığınız birinden geliyorsa görmezden gelmeli ve silmelisiniz.

İnternetten bir program indirecekseniz yazılımı üreten firmanın kendi sitesinden indirmeyi tercih etmelisiniz.

Mecbur kalmadıkça flash bellek, hafıza kartı ya da taşınabilir hard diskinizi her gördüğünüz bilgisayara takmamalısınız. Eğer bilmediğiniz veya herkes tarafından paylaşılan bir bilgisayara dosya aktarımı yapmanız gerekiyorsa mümkünse yazma korumalı flash bellekleri ya da hafıza kartlarını tercih etmelisiniz, böylece başka bir bilgisayarda bulunan zararlı yazılımı kendi cihazlarınıza taşımamış olursunuz.

Aslında kişisel bilgilerinizi güvende tutmanın yolu oldukça basit, tek yapmanız gereken biraz dikkatli olup, üşengeç olmamaktan geçiyor.