Kısa bir aradan sonra tekrar kolları sıvama vakti geldi. İlk yazıda sizlere şifre mevzusundan ve bunu daha sıkı hale getirmenin yöntemlerinden bahsetmiş, ikinci yazıda ise Hotmail ve Gmail hesaplarımızı daha güvenli hale getirmek için çift faktör doğrulamayı nasıl aktive edebileceğimizi anlatmıştım. Üçüncü yazıda ise biraz daha gündelik hayata dair bir konuya değineceğim. Sosyal medya hesapları temel olmak üzere internette gezinirken alabileceğiniz güvenlik önlemleri. Aslında sosyal medya denilince eğlendiğimiz, eş dostla haberleştiğimiz, mutlu ve mutsuz anlarımızı paylaştığımız oyuncak parkı gibi bir alan canlanıyor gözümüzde. Bu yüzden de sosyal medya ve güvenlik yan yana geldiği zaman sevimsiz bir görüntü oluşuyor. “Aman canım alt tarafı Facebook, Candy Crush oynadığımı görmek dışında ne yapabilirler?” düşüncesine dalıp bu mecraları sanki önemsiz ve korunması gerekmeyen yerlermiş düşüncesi kafada beliriyor. Bu düşünce yanlış, neden yanlış olduğuna ise gelin birlikte bakalım. Hemen ardından da alınması gereken önlemlere geçelim.
Sosyal medya hesaplarımızın neden önemli olduğuyla ilgili sizlere iki örnek vereceğim. Bu örnekler güncelik hayattan ve gerçek örnekler ki sizler de bunları sağdan soldan duymuş ya da gazetelerde okumuşsunuzdur. İlki ve son dönemlerde çok sık örneğine rastladığımız vaka insanları telefonla arayarak kandırıp belirli bir hesaba para yatırtarak dolandırma mevzusu. Bu vakaların çoğunda mağdurlar “bana bir çok kişisel bilgimi söyledi ve şüphelenmemem için bunları kullandı” şeklinde bildirim yapıyorlar. Arayanlar ana adı, baba adı, çalıştığı yer, yaptığı iş, akrabalık ilişkileri, hoşlandığı şeyler gibi bir çok bilgiyi karşısındakinin güvenini kazanmak ya da yetkili bir abi olduğuna dair izlenim yaratmak için kullanıyor. O kısa halüsinatif telefon görüşmelerinde ise bu kadar bilgiyi bilen birinin yetkili bir insan olduğu “polis, savcı vb.” fikri kafanıza yerleşiyor ve dolandırılıyorsunuz. Açıkçası bunun tek nedeni bu değil ama bu bilgiler de kandırma sürecinde işe yarıyor ve süreci hızlandırıyor. Peki bu bilgileri bu adamlar nereden buluyor? Acaba bu bilgileri pervasızca, hiçbir güvenlik önlemi almadan internet ortamında paylaşıyor olabilir misiniz?
İlk yazıda bir mottodan bahsetmiştim. Bir zincir en zayıf halkası kadar güçlüdür. Sizlerin internet ortamında paylaştığınız her korumasız bilgi halkalarınızdan ufak ufak güç çalıyor. Ta ki kopana kadar. Hack denilen şeyi Hollywood filmleri yüzünden kapüşonlu hoodie giymiş zehir gibi gençlerin uzun uğraşlar sonucu sistemleri elektronik olarak sihir sanılabilecek yöntemlerle ele geçirmesi sanıyoruz. Ama aslına hack denilen şeyin %99’u sosyal mühendislik denilen, hedeflenen sistem yerine sistemin zayıf halkası olan o sistemi kontrol eden insanın hakkında bilgi edinip, açığı oradan bulma üzerine dayanıyor.
İkinci örneği de vererek sosyal medyanın ne denli önemli olduğunu ve başınıza ne işler açabileceğini pekiştirip önlem alma işine geçeceğim. Bu ikinci tip dolandırıcılık vakası da çok sık karşınıza çıkıyordur. Facebook’da bir arkadaşınız durup dururken “abi naber şu hesaba bir elli lira atsana yarın veririm” ya da “şuradan sana bir sms gelecek ok yazıp geri gönderir misin kardeşim?” diye. Bir çok insan amcaoğlundan ya da tanıdığı başka birinden gelen böyle bir isteği fazla sorgulamadan yerine getiriyor. Fakat o mesajı size yazan gerçekte sizin amcaoğlu mu? Ya da şöyle soralım; Facebook hesabınız ele geçirilerek tanıdıklarınıza eşinize dostunuza böyle mesajlar gönderilmesini ve mağdur olmalarını ister misiniz? Gördüğünüz gibi sosyal medya bu iki örnek üzerinden de anlaşılabileceği gibi bir oyun parkı değil. Gerekli özeni göstermezseniz başınıza ciddi sorunlar açılabiliyor. O nedenle üçüncü yazıyı bu konuya ayırarak çok basit birkaç önlemi hatırlatacağım ve bu mecralarda daha güvenli gezinmeniz için neler yapmanız gerektiğini söyleyeceğim. Üstüne bu işi bir nebze daha genişleterek temelde internet üzerinde gezinirken ne tip önlemler alabileceğinizi de aktaracağım. Bu işi de maddeler halinde bir manifesto şeklinde yazarak yapacağım. Haydi o vakit maddelendirmeye başlayalım.
– Birinci ve en önemli kural. Başkasının bilgisayarından ya da telefonundan hiçbir kullanıcı adı şifre girilen “mail hesabınız, internet bankacılığı hesabınız, facebook hesabınız vb.” sisteme giriş yapmayın. Nokta. Bu misafirliğe gittiğiniz en yakın arkadaşınızın bilgisayarı dahi olsa bunu yapmayın. Hele internet cafe, okul lab bilgisayarı gibi yerlerde x2 kere yapmayın. O bağlı bulunduğunuz bilgisayarda ne tür bir yazılım olduğunu, şifrelerinizi ve hesap bilgilerinizi kayıt edilip edilmediğini bilemezsiniz. Bunu yapan o en yakın arkadaşınız olması gerekmez. Böyle bir yazılım başka biri tarafından da o bilgisayara yüklenmiş olabilir.
– Şunu hiçbir zaman aklınızdan çıkarmayın. Mesajlaşma denilen iş iki taraflıdır. Sizin birisine herhangi bir platformdan gönderdiğiniz sms, mail, chat mesajı, tweet vb. siz kendi tarafınızdaki kopyayı silseniz bile karşı tarafta hala duruyor olabilir. Karşı tarafın o mesajı okuduğu sistemde üçüncü bir göz bulunabilir. Siz hemen gönderdiğiniz mesajı silerek bunun sonsuza kadar silmiş olduğunuz halüsinasyonuna kapılabilirsiniz ama gerçekte karşı tarafta bu mesajın bir kopyası bulunmaktadır.
– İnternet üzerinden mümkün oldukça kişisel bilgilerinizi hiçbir kişi ve sistemle paylaşmayın. Bunlar adı üstünde kişisel bilgi ve size özel kalmalı.
– Sosyal medya hesaplarınızda mümkün olduğu kadar az bilginin tanımadığınız insanlarla paylaşılmasını sağlayacak ayarlar yapın. Bunların nasıl yapılacağını birazdan göstereceğim.
– Sosyal medyada “özellikle Facebook ve Linkedin” daha önce tanışmadığınız, bilmediğiniz, anımsamadığınız insanların arkadaşlık isteklerini kabul etmeyin.
– Tanımadığınız insanların sizlere gönderdiği mesajlarda, maillerde bulunan linklere tıklamayın, ekli dosyaları açmayın. Hatta tanıdığınız insanlardan bile gelen ekli dosyalar ve linklere şüpheyle yaklaşın. Hatta ve hatta kimseyle mailleşmeyin veya mesajlaşmayın. Şaka la şaka. Dosya ekleri ve link olayına dikkat edin sadece.
– Yine en sık kullanılan dolandırıcılık yöntemlerinden bir tanesi de sizlere sanki banka ya da Telekom operatöründen gönderilen fatura ödeme mailleridir. Bu fake maillerdeki linklere tıklar ya da ekli dosyayı açarsanız sisteminize zararlı yazılım bulaşabilir. Bir çok değişik varyasyonda da sizi sanki bankanın sistemine giriyormuş gibi fake bir adrese yönlendirip orada kullanıcı adı – şifrenizi ya da kredi kartı bilgilerinizi girmenizi isteyerek bunları ele geçirme numarası yapılmaktadır. Bankalar, Telekom operatörleri vb. firmaların sistemlerinde işiniz var ise bunu sizlere gelen maillerdeki linke tıklayarak değil de kendiniz browserı açarak elle gitmek istediğiniz bankanın ya da operatörün sitesinin adresini adres çubuğuna yazarak girip yapın.
– Hiçbir banka görevlisi ya da kamu çalışanı sizden sosyal medya ya da telefon üzerinden şifrenizi söylemenizi ya da para göndermenizi istemez. Bu talebi yapan birisi olursa bilin ki kendisi %100 dolandırıcıdır.
– İnternet üzerinden aldığınız bir hizmete “örneğin bankacılık, örneğin sosyal medya, örneğin mail” mutlaka ve mutlaka o hizmeti sağlayan firmanın kendi web sitesinden ya da kendi telefon uygulamasından erişin. Bu hizmeti size sunan başka firma siteleri ya da uygulamalarına kesinlikle girmeyin. Örneğin arkadaşınızda Facebook resmi uygulaması yerine daha cicili bicili daha hoş başka bir uygulama gördünüz ve siz de kullanmak istiyorsunuz. Kullanmayın.
– Şimdi çok basit şekilde sizlere bir konseptten bahsedeceğim. Öncelikle aşağıdaki iki resme bakalım. İkisi de farklı farklı web siteleri ve ben bu ekran görüntüsünü Chrome’dan aldım. Dikkat edeceğiniz üzere birincisinin başında https var ve yeşil bir kilit işareti gözüküyor. İkincisinin başında ise http var “sonundaki s gitmiş” ve düz beyaz bir dosya gözüküyor.
Peki bu ikisi arasındaki fark ne? Bu ikisi arasındaki temel fark şu arkadaşlar. Eğer ben birinci siteye bağlandıysam benim bilgisayarımdan çıkan ve o web sitesine giden tüm veri “ve tam tersi yani oradan çıkıp benim bilgisayarıma gelen” şifreleniyor. Yani bu iki uç arasında herhangi birisi çeşitli yöntemlerle izleme yapıyorsa bu veriler şifreli olduğu için göremeyecek. İkinci resimdeki siteyle ise aramda böyle bir şifreleme yok. O nedenle benim bu ikinci siteyle yaptığım her türlü veri alışverişi başka gözler tarafından teorik olarak izlenebilir. İşte bu nedenle herhangi bir web sitesi eğer https şeklinde başlayan bir adrese sahip değilse, sisteme böyle girilmiyorsa bu siteyle herhangi bir kullanıcı adı, şifre, kredi kartı bilgisi vb. bilgi alışverişinde bulunmayın.
– Bedava wifi baldan tatlıdır düsturuyla hareket edip sizlere şifre sormayan wifi ağlarına bağlanmayın.
Şimdilik bu kadar öneri yeter. Son 2 konu daha anlatıp bu üçüncü yazıyı bağlayacağım. Bu konulardan ilki sosyal medya hesapları üzerinde yetkilendirdiğimiz uygulamalar. Aslında sadece sosyal medya hesaplarımızda da değil bunun yanında Google, Microsoft vb. bir çok yerde bu konsept karşımıza çıkıyor. Öncelikle bu durumun ne olduğunu kısaca açıklayalım. Daha önce de değindiğim üzere çağımız uygulama ve servis çağı. Cebimizdeki telefonlara onlarca uygulama indiriyor, onlarca değişik servis kullanıyoruz. Ama artık bu uygulamaların hemen hemen hiçbiri yalnız başlarına çalışmıyor, bu uygulamalar ve arkalarındaki servisler artık diğer uygulama ve servislerle iletişim kurmaya başladılar. Daha doğrusu buna imkan sunan altyapılar geliştirildi. Ne demek istediğimi basit bir örnekle anlatayım. Diyelim ki ben yeni bir oyun uygulaması tasarladım ve istiyorum ki benim oyunumu oynayan kullanıcılar aldıkları skorları Facebook duvarlarında paylaşabilsinler. İşte bunu yapabilmek için Facebook servisiyle arka planda bir kapı oluşturup onların kurallarına göre uygulamama bu özelliği ekliyorum. Facebook bu gibi durumlara izin verdiği “yani kendi platformuyla başka platformun iletişim halinde olmasını sağlayan” kapılar yaratıyor. Bu kapıları da senin adına kullanmak isteyen uygulamalara senin izin vermen gerekiyor. Eminim en az bir kere şu tarz bir uyarı görmüşsünüzdür.
Bahsettiğim durum bu. Bu örnekte Feedly adında bir servis bizim adımıza Facebook servisiyle konuşmak istediğini söylüyor, Facebook’da bize “Hocam bak böyle bir servis yetki istiyor. Eğer bu yetkiyi verirsen bu servis senin profiline, e-posta adresine ve beğenilerine ulaşabilecek, ne dersin devam edeyim mi?” diye soruyor. Eğer ok dersek bu servis bundan sonra bu yetkilerini kullanacak.
Bu anlattığım işin birinci tip kullanım şekliydi, birde işin başka bir boyutu var. Yine dediğim gibi bir çok uygulama ve servis arasında dolaşıyor ve hepsine kayıt olup kullanıcı adı ve şifrelerimizle bu servislere bağlanıyoruz. Bir çok kurum bunun saçmalığını gördü ve buna çözüm olarak “hocam sen her yere ayrı ayrı kullanıcılarla girme, beni yetkilendir, benim üzerimden kullanıcı adı şifreni gir ve sisteme login ol, ben seni o servise yönlendiririm, böylece her yere ayrı ayrı kullanıcı adı ya da şifreyle girmezsin” şeklinde sistemler yarattılar. Misal Facebook. Yine bir örnek olarak bir online oyun portalım olduğunu varsayıyorum. Bu portala erişmek için de kullanıcıların üye olması gerekiyor ama ben bu işi basit şekilde çözmek adına gerekli teknik ayarlamaları yaparak bu işi Facebook ile halledecek şekilde ayarlıyorum. Siteme üye olmak isteyen kullanıcılar form doldurmak, kullanıcı yaratmak, şifre belirlemek vb. şeyler yerine bir tuşa basıp Facebook hesaplarını yetkilendiriyor ve böylece siteme girmek istedikleri zaman sadece Facebook’a login olup başka bir şey yapmalarına gerek kalmıyor. İşte bu ikinci durumda da aynen az önceki gibi o sistem Facebook üzerinde belirli izinlere sahip oluyor.
Bu Twitter için de böyle, Linkedin için de böyle, Google, Microsoft, Apple hesaplarınız için de böyle. Kısacası hemen hemen tüm sosyal medya hesaplarınızda bu özellik var ve zaman içerisinde bilerek ya da bilmeyerek bir çok uygulamaya değişik izinler verdiniz. İşin sakat kısmı da burası. Eğer bu güvenilir bir uygulama değilse, bilmediğiniz, tanımadığınız bir servis ise hesabınızı bir çok riske açık hale getiriyorsunuz. Örneğin Facebook’da sizin adınıza gönderim yapabilecek yetki vermiş olabilirsiniz, ya da Twitter’da hesabınızı hiç alakanız olmayan insanları takip edecek şekilde programlanabilen bir servise açmış olabilirsiniz. Mesajlarınızı okuyacak izinler vermiş olabilirsiniz. Vs. Vs. Uzun lafın kısası hesabınızı istemediğiniz şekilde başka uygulamalar kişiler tarafından açık edilecek hale sokmuş olabilirsiniz. İşte bugün yazının sonunda hem Facebook’da hemde Twitter’da bunu nasıl kontrol edebileceğinizi ve bilmediğiniz uygulamaları nasıl kaldırabileceğinizi gösterecek ve yazıyı sonlandıracağım. Önce Twitter’dan başlayayım.
Twitter profilinize girerek resminize tıklayın ve açılan menüden Ayarlar butonuna tıklayarak devam edin
Sonrasında ise sol tarafta bulunan menüden Uygulamalar seçeneğini tıklayın. Şimdi karşınızda Twitter hesabınıza erişebilen tüm uygulamalar ve bu uygulamaların neler yapabileceğini belirten ekran çıkacak. Bu ekrandaki uygulamaları tek tek inceleyerek bilmediğiniz ve kullanmadığınız tüm uygulamaların erişimlerini kaldırın.
Twitter’ı bitirdiğimize göre Facebook’la devam edelim. Sağ üstte bulunan linke tıklayarak Ayarlar yolunu izleyelim.
Açılan ekranda sol menüden Uygulamalar yolunu izleyelim ve sistemde izin verdiğimiz tüm uygulamaları görelim. Yine az önceki gibi uygulamaları tek tek inceleyerek bilmediğiniz ve kullanmadığınız tüm uygulamaların erişimlerini yanında bulunan X tuşuna basarak kaldırın. Böylece bu iki sosyal medya servisinde uygulama temizliği yapmış olduk. Ama iş bunlarla bitmiyor. Aynı işlemleri Linkedin, Google, Microsoft hesaplarınız için de mutlaka yapın. Böylece tüm bilmediğimiz uygulamaların hesaplarımıza ulaşmasını engellemiş olacağız.
Evet bir yazının daha sonuna geldik ama tüm konu bitmedi. Son bir yazı daha yazıp bu güvenlik mevzusunu kapatacağım. Son yazı daha temel ve basit bir kaç tavsiye içerecek ve baştan beri bahsettiğim duvarın son tuğlasını oluşturacak. Dördüncü yazıya kadar selametle kalın ve henüz okumadıysanız ilk iki yazıya da bir göz atın.
İnternet ve Bilgisayar Güvenliği için Temel Önlemler – 1
