Dört sayfalık bu yazıyı ya da bir başkasını okumak sizi tüm tehlikelere karşı koruyacak değil, ama en azından farkındalık ve bağışıklık kazandıracağını umuyorum. İtiraf etmeliyim ki biraz da kendimi düşünüyorum: Güvenlik konusunda doğru düzgün bilgi sahibi olanların sadece şapkalılar olduğu bir dünyada yaşamak istemiyorum.
ZEUS (TANRI OLMAYAN)
Her şeyden önce bilmeniz gereken tek bir gerçek var: Hiçbir sistem yüzde yüz güvenli değildir. Yeterli kaynaklara sahip bir kimse her sistemin eninde sonunda bir açığını bulabilir. Buluyor da. Her geçen gün yeni açıklar keşfediliyor. Bazıları özel bir kesimi, bazılarıysa herkesi ilgilendiriyor.
Saldırılarda kullanılan yöntemler ve ardında yatan nedenler değişiyor. Artık 13 yaşındaki veletler (ya da kendini o yaşta unutanlar) haricinde kimse milletin CD sürücüsünü açıp kapatan trojanlar kullanmıyor. DDoS saldırısı gibi dağıtık çalışma, ya da Bitcoin üretimi gibi yüksek işlem gücü gerektiren işlere yönelik botnet'ler yaygın. Kredi kartı gibi değerli bilgileri yürütmekle kalmıyor, sisteminizi köle gibi kullanıyorlar. Bazen ne kadar korunsanız da hiç beklemediğiniz bir yönden, kontrolünüz dışında gelişen (örn. DNS hijacking) bir saldırıya uğruyorsunuz. Tinba gibi doğrudan belirli bir bölgeyi hedef alan, geçen yıl Türkiye'de en az 60 bin bilgisayarı etkilediği düşünülen virüsler var. Stuxnet, Duqu, Flame gibi sıra dışı programların gösterdiği üzere geleneksel koruma yöntemleri ciddi saldırılar karşısında çaresiz kalabiliyor.
Bizim açımızdan iyi haber şu ki bu işi meslek edinmiş insanlar yeni keşfedilen açıkları ("zero-day", yani sıfırıncı gün saldırıları) yalnızca İran'daki nükleer altyapı tesisleri gibi kayda değer hedefler ya da çok değerli bilgiler barındıran sistemler üzerinde kullanmayı tercih ediyor. Geriye kalanlar içinse cahillik, saflık ve üşengeçlik gibi insani yönleri istismar etmek yeterli oluyor. Bizim gibi kendi halinde kullanıcıların dikkat etmesi gerekenler de işte burada başlıyor.
ADMIN:PASSWORD
Herkesin bir şekilde mağdur olduğu bir konu, şifreler. Bugüne kadar belki e-posta adresinizin şifresi ele geçirildi, ya da belki banka kartınızın şifresini unutup durdunuz. İnternete bomba gibi düşen haberlerle iyice paranoyak oldunuz, kimseye güveniniz kalmadı. Biliyorsunuz, geçtiğimiz yıl içinde birçok önemli isme ait (Last.fm, LinkedIn, Sony, Valve...) kullanıcı veritabanları çalındı ve emin olun bunlar sadece basına yansıyanlardı. Ne yazık ki birçok firma, gerekli önlemleri almadığı yetmiyormuş gibi, kullanıcılarının güvenliğini bir kez daha riske atarak olayı örtbas etme yolunu tercih ediyor. Örneklerini gördüğümüz üzere bir firmanın ne kadar büyük olduğunun önemi yok. Ama yine de hangilerinin bu işi yeterince ciddiye almadığını gösteren ipuçları yakalayabilirsiniz. Mesela yeni üyelik açtıktan veya "şifremi unuttum" özelliğini kullandıktan sonra şifrenizi size düz yazı halinde, açık açık gösterenlere karşı temkinli davranmalısınız. Aklı başında bir sistem yöneticisi bunu yapmaz, daha doğrusu yapamaz, çünkü parolanız tek yönlü olarak şifrelenmiştir.
Üyelik sistemini biraz daha açmakta fayda var. Herhangi bir siteye üye olduğunuz vakit, veritabanında kullanıcı adınız ve parolanızla beraber yeni bir girdi oluşturulur. Bu veriler ya düz metin halinde saklanır ki hassas bilgileri saklamak için çok kötü bir yöntemdir, ya da saklanmadan önce şifrelenir. Bazı şifreleme yöntemleri diğerlerine göre daha güvenlidir ve günün birinde kötü niyetli biri bu veritabanını ele geçirirse, içeriğine erişmesi daha fazla zaman alır.
"Daha fazla zaman alır" ifadesine dikkatinizi çekerim. Şifreler kırılamaz değildir, sadece zaman gerektirir. Kriptografide bilinen birçok "güvenli" yöntem de yalnızca kırılması çok uzun süreceği için bu şekilde nitelendirilir, zira kimsenin bu işe binlerce yılını ayıracak zamanı ya da onu telafi edecek kaynakları yoktur. Diğer yandan, işlem gücünün artmasıyla birlikte bu zaman gereksiniminin giderek azaldığını bilmekte fayda var. Bir zamanlar ancak süper bilgisayarlarla kırılabilen şifreler, günümüzde üst seviye bir PC'deki CPU+GPU ortaklığıyla makul bir sürede ele geçirilebiliyor.
Durum böyle olunca, kullanıcıların kendi başına alabileceği yegâne önlem, sağlam şifreler seçmek oluyor. Bu konuyu fazla uzatmak istemiyorum, ama hepinizden rica ediyorum, artık doğum tarihinizi şifre olarak kullanmayın. Daha da önemlisi, farklı servislerde farklı şifreler kullanın. En azından e-posta hesabınızın şifresinin diğerlerinden farklı olmasında fayda var, zira onu ele geçiren biri bu e-posta adresini kullanarak üye olduğunuz her yere erişim sağlayabilir. Eğer şifrelerinizi hatırlamakta güçlük çekiyorsanız, KeePass veya LastPass gibi şifre yöneticilerinden faydalanabilirsiniz.
Elbette hepimizin hayali, şifresiz bir gelecek. OAuth gibi yetkilendirme metotları günümüzde kısmen nefes aldırıyor ve Google'ın şu geçtiğimiz ay haberlere konu olan yüzük projesi gibi fikirler bizi umutlandırıyor. Lakin şimdilik geleneksel şifrelere tabiyiz ve onu en iyi şekilde kullanmakta fayda var.
KARDA YÜRÜYÜN...
İnternette iz bırakmadan dolaşmak, standart bir kullanıcı için artık neredeyse imkânsız. Kendi web siteniz yoksa büyük olasılıkla farkında olmadığınız "referer" bilgisini ele alalım. Diyelim ki blog sayfanıza bir yazı yazdınız ve içine oyungezer.com.tr'ye giden bir bağlantı eklediniz. Biri bu bağlantıya tıkladığında, Oyungezer sitesinin yöneticisi onun oraya blog sayfanız üzerinden geldiğini görebilir. Aynı durum internet üzerinde tıklanan neredeyse tüm bağlantılar için geçerli.
HTTP aracılığıyla iletilen temel bilgilerden olan referrer, aslında belki de en zararsızı. Bunun haricinde (IP adresiniz bir yana) kullandığınız işletim sistemi, tarayıcı, ekran çözünürlüğü, zaman dilimi gibi onlarca bilgiyi bağlandığınız sitelerle farkında olmadan paylaşıyorsunuz. Bunlar tek başına bir anlam ifade etmiyormuş gibi görünse de bir araya geldiğinde sizi internette tanımlayan bir imzaya dönüşüyor. Cookie, yani çerezleri devre dışı bıraksanız dahi durum böyle. Electronic Frontier Foundation'ın bu konuda yürüttüğü örnek bir çalışma olan Panopticlick (panopticlick.eff.org) durumun ciddiyetini ispatlar nitelikte.
Fakat ortada daha ciddi bir sorun var: Bir siteyi ziyaret ettiğinizde bıraktığınız izler başkalarıyla eşleniyor, haberiniz olmadan profiliniz çıkarılıyor. Böylelikle A sitesine verdiğiniz bir bilgiye B sitesi de ulaşabiliyor. Google servisleri arasındaki bilgi paylaşımı hadi neyse. Ama internet çapında böyle izleme ağları kurup bu işten ciddi gelir sağlayan firmalar var. Bu takip işlemini gerçekleştirecek kod ve sayesinde toplanan veriler başka firmalara satılıyor, ardından da bu firmalar sizin ilgi alanlarınıza yönelik reklam ve içerik gösterimine odaklanıyor. Kendinizi onların yerine koyduğunuzda akılcı bir fikirmiş gibi görünebilir, lakin kişisel bilgilerimizin gizliliğinin ihlal edildiği gerçeğini değiştirmiyor.
İtiraf edelim ki hiçbirimiz kullanıcı sözleşmelerini okumuyoruz ve sonuç olarak kişisel bilgilerimizin güvenliğini üye olduğumuz servislerin insafına bırakıyoruz. Birçok servisin varsayılan ayarı, hakkınızda mümkün olduğunca fazla veri toplayabilmeye yönelik ve o veriler bir kez toplandı mı orada kalıyor. Bu durumun belki de en bilindik örneği Facebook. Sildiğinizi sandığınız iletiler, resimler dahi tamamen silinmiyor, sadece görünmez hale getiriliyor ve sunucularda aynen saklanıyor.
Artık adı çıkan Facebook bir yana, başkalarından da emin olmanız mümkün değil. Bazıları bu durumda çareyi gerçek bilgilerini dev bir yalan dalgasında boğmakta buluyor. Ama farklı bir personayı yaratmak ve yaşatmak başlı başına bir çaba gerektirdiği için herkese uygun değil. İnternetteki signal/noise oranını zayıflatarak bilgi kirliliğine yol açması açısından da tartışmalı.
KOMIKRESIM.JPG.EXE
Bilgisayar güvenliği söz konusu olduğunda elbette ki akla gelen ilk isim anti virüs uygulamaları, ve maalesef çoğu insan "anti virüs kurdum, güvendeyim" gibi bir yanılgı içerisinde. Hâlbuki ne yaptığının bilincinde olmak, nereden nasıl bir virüs kapabileceğini bilmek aslında çok daha etkili bir korunma yöntemi.
Anti virüs uygulamaları sizi eski, bilindik tehlikelere ve türevlerine karşı korur. Kimi zaman faydadan çok zarar getirdikleri de görülür. Bazıları sistem kaynaklarını feci sömürür. Yakın zamanda katıldıkları bulut bilişim furyasıyla beraber, açmaya çalıştığınız her uygulamayı internette aratmaya yeltenerek asabınızı bozar. Tepenizi attırıp, "Anti virüs kullanmayın!" dedirtse yeridir.
Anti virüs kullanmadığınız takdirde aynı derecede güvende olacak değilsiniz tabii. Belki ayda yılda bir karşınıza çıkan zararlı bir yazılımı engelleyecek, ama işe yarayacak sonuçta. Pazarlandığı gibi "tam güvenlik" ya da "100% koruma" sağlamadığının, anti virüs kullanmaktaki amacınızın kendinizi güvende hissetmek olmadığının bilincinde olun, yeter.
Anti virüs uygulamaları zararlı kodlara karşı elinden geleni yapıyor ve çoğu zaman da yeterli oluyor. Virüs tanımlama, esasında tahmin edebileceğinizden çok daha karmaşık bir problem (bilgisayar bilimindeki detayını merak ediyorsanız Fred Cohen'in çalışmalarını aratabilirsiniz). Bir güvenlik uygulamasının sizin tam olarak ne istediğinize dair mutlak bir fikir sahibi olması da mümkün değil. Onun yerine bilgiye dayalı tahminlerde bulunuyor, emin olamadığı durumlarda tedbiri elden bırakmayıp yanlış alarm vermeyi tercih ediyor. Bu, iyi bir şey.
AKIL FİKİR
Güvenlik sizden sorulur dedik ya hani, bu başlık altında bana sorulduğunu varsayalım. "Bilgisayar başına oturmadan önce Common Sense'e +1 verin" diye kestirip atma dürtümü bastırıp işe yarar birkaç tavsiyede bulunmaya çalışayım. İçlerinden size aşikâr gelmeyen, "e herhalde yani" demediğiniz varsa bilin ki o konuda daha dikkatli olmanız gerekiyor.
Öncelikle, kullandığınız yazılımları daima güncel tutun. Windows'un yasadışı bir kopyasını kullanıyor ve/veya Windows Update ile gelen güncellemeleri yüklemiyorsanız, bilin ki tehlike altındasınız. Kullandığınız diğer yazılımların da yeni sürümlerini takip edin, sık sık güncelleyin. Bu işlemi otomatiğe bağlamak istiyorsanız Ninite ya da FileHippo'nun güncelleme yardımcılarından faydalanabilirsiniz.
Kullandığınız işletim sisteminin dış görünüşüne, tasarım ve yazım diline hâkim olun. Karşınıza çıkacak çoğu sahte uyarı mesajını farklı bir dış çerçeve ya da yazı tipi gibi kendini ele veren bir detay sayesinde ayırt edebilirsiniz. Önünüze çıkan her mesajı düzgünce okuyun, refleks olarak hemen çarpıya tıklayıp kapamayın. Benzer şekilde kurulum ekranlarında İleri düğmesine abanmayın; arada toolbar gibi ihtiyaç duymadığınız eklentiler yüklemeye, ya da internet tarayıcınızın başlangıç sayfasını kafasına göre değiştirmeye çalışabilir, engel olun.
Her türlü yazılımı en güvenli şekilde kullanmaya özen gösterin. Örneğin IRC kullanıyorsanız sunuculara SSL üzerinden bağlanın. Torrent kullandığınız için günün birinde kapınızı çalmalarından korkuyorsanız public tracker'lar yerine orta çapta bir private tracker kullanın ve PeerBlock gibi ek uygulamalardan faydalanın. Ha tabii CIA sizi takibe almışsa muhtemelen yapabileceğiniz pek bir şey yok.
Farklı bir güvenlik çeşidi olarak, dosyalarınızın daima yedeğini alın. Önemli dosyaların iki, çok çok önemli dosyaların üç kopyasının olması (sabit disk, DVD, internet) idealdir. Dropbox ve Google Drive dostunuzdur, kullanın. Veri güvenliği aklınızı kurcalıyorsa dosya, klasör, disk şifrelemek için TrueCrypt'ten faydalanın. Bir yerden bir yere dosya taşımak için USB bellek kullanıyorsanız, size ait olmayan bir bilgisayara taktığınız an virüs kapabileceğinin bilincinde olun. Özellikle internet kafe ya da kırtasiye gibi halka açık mekânlar virüs kaynıyor. Belleklere bulaşan virüsler genellikle şu şekilde çalışıyor: Diyelim ki içinde "Resimler" diye bir klasörünüz var. Virüs o klasörü gizleyip, hemen yanında simgesi klasör gibi görünen "Resimler.exe" adında bir dosya oluşturuyor. Farkında olmadan açarsanız yandınız. Temizlemek için gizli dosyaları görüntüleyerek şüpheli gördüğünüz her şeyi Autorun.inf ile birlikte silmek (ya da doğrudan belleği biçimlendirmek) yeterli.
İnternet tarayıcınıza mutlaka Ghostery, HTTPS Everywhere, FlashBlock, NoScript gibi eklentileri kurun (AdBlock tarzı reklam engelleyici kullanıyorsanız, sürekli ziyaret ettiğiniz ve gelirinin önemli bir kısmını reklamlardan kazanan siteleri beyaz listeye almayı unutmayın). Ama herhangi bir yazılıma asla yüzde yüz güvenmeyin; internette gezinirken şüpheli görünen sitelerden uzak durun. Tanımadığınız kişilerden gelen e-postaları okumayın, açmadan silin (penisiniz küçük kalıversin). Hatta tanıdığınız birinden gelse bile dikkatli olun, çünkü e-posta hesabı bir başkası tarafından ele geçirilmiş olabilir (tanıdığımız kişiler genellikle Türkçe konuşurken spam'lerin çoğu İngilizce yazıldığı için biz bu konuda biraz şanslı sayılırız, ayırt etmesi daha kolay). Facebook kullanıyorsanız, "profilinizi kim görüntülemiş" tarzı şeylere kanmayın. Arkadaşlarınızın paylaştığı bağlantıları tıklamadan önce gözden geçirin. Twitter kullanıcısıysanız hangi uygulamalara hesabınıza erişim hakkı verdiğinize dikkat edin. Ortada tuhaf bir durum varsa Ayarlar > Uygulamalar yolunu izleyerek şüpheli gördüğünüz ya da ihtiyaç duymadıklarınız için "Erişimi kaldır" düğmesine basın.
Yazılabilecek daha onca şey var aslında. Liste uzayıp gidiyor, sağduyulu olma önerisi baki kalıyor.
BİR, İKİ, ÜÇ, DÖRT
Dört haneli sayılar söz konusu olduğunda 0000-9999 arasındaki her sayının %0,01 seçilme şansı var. Fakat gerçek hayatta örneğin 1234 sayısı tüm şifre seçimlerinin yaklaşık %10'unu oluşturuyor, zira insanlar hatırlaması kolay rakamları tercih ediyor. Bankalar tam da bu yüzden 1234 gibi ardışık, ya da 1111 gibi tekrar eden rakamlardan oluşan bir PIN seçmenize engel olur. Hatta bankanın sizin için rastgele oluşturduğu PIN, kendi seçeceğinizden büyük olasılıkla çok daha güvenli olacaktır.
Yukarıdaki resimde, internete sızan bir kullanıcı hesabı listesindeki dört haneli sayısal şifrelerin dağılımını görüyorsunuz. X ekseni ilk iki haneyi, Y ekseniyse son iki haneyi ifade ediyor. Birbirini tekrar eden rakamlar (diyagonal çizgi) ve 1900'lü yıllara ait doğum tarihleri (dikey çizgi) açıkça belli oluyor. Daha dikkatli baktığınızda başka ilginç detaylar da fark edebilirsiniz.
OYUNCULARIN DİKKATİNE
En kötü ihtimalle tüm oyunları, en iyi ihtimalle bazılarını korsan indirip oynuyorsunuz. Razor1911, Reloaded gibi isimlere aşinasınız. Size korsan kullanmayın demeyeceğim, ben de kullanıyorum, ama kullanırken dikkatli olmanızda fayda var. Bir crack ya da keygen indirdiğinizde, sırf kullanıcı yorumlarında "Anti virüs programınız uyarı verirse endişelenmeyin, bu normal bir durum" gibi bir şey yazıyor diye rahata ermeyin. Anti virüs programınız uyarı veriyorsa büyük olasılıkla haklıdır, üstelemeyin. Mümkün olduğunca orijinal oyun oynamaya çalışın. Gerekirse yeni çıkan oyunları bekletin, birkaç ay sonra ucuzladığında satın alıp oynayın.
Her türlü hile programına temkinli yaklaşın. Hepsi olmasa da bazıları kısmen ya da tamamen zararlı kodlar barındırıyor, riske girmeye değmez. Oyundaki hesabınızı, ya da daha kötüsü, her türlü şifrenizi kaptırabilirsiniz. Çevrimiçi oyunlarla ilgili "SQL injection metoduyla bedava para" gibi şeylere kanacak kadar aptal olmadığınızı varsayıyorum. Son olarak, mümkünse hesabınıza internet kafelerden giriş yapmayın. Ben milletin hesaplarını soyacak olsam, herhalde ilk hedefim internet kafelerdeki bilgisayarlar olurdu.
</DOSYA_KONUSU>
Gerçek şu ki internete bağlı olduğunuz sürece her an tehlike altındasınız. İnternet kullanmak (ironik bir biçimde) sokağa çıkmaya benziyor. Sırf dışarısı tehlikeli diye evden hiç çıkmayacak değilsiniz ya? Karşıdan karşıya geçerken sağa-sola bakacaksınız. Emniyet kemeriniz takılı olsa bile ona güvenip de aşırı hız yapmayacaksınız. Ne zaman nereye gittiğinize, kimlerle konuştuğunuza dikkat edeceksiniz. Akıl fikir sahibi insanların yapamayacağı şey değil, ama daima bir risk var.
Güvenliğin tanımındaki "korkusuzca yaşayabilme" durumu ne yazık ki saf bir hayalden ibaret. Kendinizi güvende tutmak istiyorsanız gerekli önlemleri almanız ve bir miktar paranoyak olmanız şart.
MİNİ SÖZLÜK
Adware: Bir malware türü olarak adware, advertisement yani reklam amaçlı uygulamalardır. Çalıştığı sistemlerde kullanıcıya istenmeyen reklamlar gösterir, asabını bozar.
Malware: Malicious, yani kötü amaçlı yazılımların tümüne verilen genel isim.
Phishing: Fishing, yani balık tutma deyimine atıfta bulunan bu yöntem, kullanıcının karşısına güvenilir bir kaynaktan geliyormuşçasına sahte formlar çıkararak hassas bilgilerini çalmaya çalışır.
Rogueware: Rogue yazılımlar kendini başka bir şeymiş gibi tanıtıp sizi kandırmaya çalışır. Örneğin sisteminizin tehlike altında olduğunu, ücretsiz tarama yapabileceğini söyler. İndirip çalıştırdığınızdaysa size zarar verir.
Spyware: Kullanıcıdan izinsiz, hakkında bilgi toplayıp başkalarıyla paylaşan yazılımlardır.
Trojan: Truva atları çalıştıkları sistemlerde bir arka kapı oluşturarak, başkalarının bu sistemler üzerinde kontrol sahibi olmasını sağlar.
VirÜs: Zaman zaman malware ile eşanlamlı kullanılsa da, esasında kendi kendini kopyalayıp bir bilgisayardan diğerine yayılabilen kodlardır. Hatta, çok nadiren rastlansa da, iyi huylu bilgisayar virüsleri de olabilir.
Worm: Virüsler gibi kendini kopyalayabilen solucanlar, virüslerden farklı olarak kendi başına da yayılabilir.
