Bilgisayarinizdaki En Büyük Açik Sizsiniz.
Basligi yanlis okumuyorsunuz. Aynen yukariya da yazdigim gibi bilgisayarinizdaki en büyük tehlike sizsiniz. Yillardir kapatilamayan ve önlemi alinamayan en büyük açik insan faktörüdür. Bunu yazinin ilerki safhalarinda tekrar tekrar vurgulayacagim ama yine de tekrarliyorum; Bilgisayar güvenliginin en zayif ve en kritik halkasi insan faktörüdür. Evet disarda yüzbinlerce zararli kod var, binlerce “hack tool” adi verilen sözde hackerlarin sistemlere sizmak, birilerine zarar vermek için kullandigi araçlar var. Hatta en çok kullanilan isletim sistemi Windows bir açik makinasi ve sik kullandigimiz bütün programlarda gün geçmiyor ki yeni bir açik çikmasin.
Ancak suna inanin, siradan ev kullanicilari, yani meslegi ve ya hobisi bilgisayar olmayan sadece günlük islerini bilgisayarla halleden, oyun oynayan, film seyreden, sohbet eden ve bilgisayar kullanicilarinin büyük bir yüzdesini olusturan kesim, bu açiklari takip ettikleri dergi ve gazete gibi basin organlarindan ögrendiklerinde genellikle bu açiklar çoktan yamanmis oluyor. Ya da Anti-Virüs üretcileri bu açiklara karsi önlemlerini almis oluyorlar.
Hack tool adi verilen araçlarin da hiçbiri mucize yaratmaz. Yani o araçlara birinin e-mail adresini yazarsaniz size sifresini söylemez. Ve ya kurbanin IP adresini yazip “baglan” tusuna bastiginizda bilgisayarin masaüstüne baglanan bir araç bulmazsiniz. O araçlarin da tamami güvenligin en zayif halkasini kullanir. Yüzbinlerce zararli kod derken kastettigimiz sey virüsler, casus yazilimlar, solucanlar ve truva atlariydi, ve evet hiçbiri kendi kendine bir bilgisayara kurulmaz. Aci ama gerçek. Anti-virus yaziliminizla tarama yaptiginizda, bilgisayarda buldugunuz onlarca zararli nereden çikti diye bosuna düsünmeyin. Onlari birer birer siz kurdunuz bilgisayarlariniza. Çünkü hiçbir isletim sistemi ya da anti-virus yazilimi üreticisinin kapatamadigi ve muhtemelen hiçbir zaman kapatamayacagi en büyük güvenlik açiginin parmaklari klavyenizde, odanizda, bilgisayarinizin tam karsisinda. En sevdigi sarkicinin hain hain sirittigi bir siteden arkaplan resmi yüklüyor. Evet yüklüyor, indirmiyor yüklüyor...
Internette “Karsilikli Güven” Meselesi
Internette kimseye güvenmeyin. Bunun herhangi bir siniri yok. Kesinlikle ve kesinlikle internet üzerinde tanistiginiz birisine güvenmeyin. Hatta daha da ileri gideyim, yillardir aninda mesajlasma yaziliminizin listesinde bulunan lise arkadasiniza da güvenmeyin. Kesinlikle, çok yakindan tanidiginiz biri dahi olsa, aninda meajlasma yazilimlari üzerinden kisisel bilgilerinizi paylasmayin. Sanilanin aksine hackerlar sistemlere sizma, sifre çalma gibi islerini sadece kendi gelistirdikleri yazilimlarla yapmazlar. En çok kullandiklari yöntem insan üzerine oynamaktir. E-posta adresiniz çalindiginda akliniza gelen bunu ne tür yazilimlari kullanarak yaptiklari olmamali. Ya da e-posta servisinin ne gibi açiklari oldugunu sorgulamadan önce, “ben son günlerde internette kimlerle konustum” ve “ne konustum” olmalidir.
Simdi size muhtemel bir saldiri senaryosu yazacagim. Buradaki kötü niyetli kisiler, kodlama konusunda usta, bilgisayarlar ve güvenlik konusunda hepimizden daha fazla sey biliyor olabilirler. Bazi kilit islemleri kendi teknik kapasiteleri ile yapiyor olabilirler. Ancak göreceksiniz ki güvenligin en zayif halkasi olan insan faktörü olmadan gene de bu islemleri gerçeklestiremeyeceklerdi. Burada bahsedecegim senaryo tamamen gerçek olaylardan alinmistir ve sadece Türkiye sartlarina uyarlanmistir. Olaylarin isleyisi ve yöntemler tamamen gerçektir.
Kötü niyetli kisiler teknik bilgilerini kullanarak internette izlerini bulunamayacak hale getirmisler ve herhangi bir kredi karti ve sahibinin kisisel bilgileri ile bütün hesabi bosaltabilecek düzenegi hazirlamislardir. Buraya kadar insan faktörünün bir önemi yok. Ancak bir kisinin kredi karti bilgilerini ele geçirmek ve bunu, o kisinin kafasina sert bir cisimle vurup bayiltmadan yapabilmek için ne gereklidir? Bir Kurban. Burada kurbanimiza “Aysegül” diyecegiz. Aysegül Bakirköy’de bir video kiralama dükkanlari zincirinde kasiyerdir. Zincirimizin de adi “X” olsun.
_Alo X video ben Aysegül, nasil yardimci olabilirim?
_Aysegül merhaba, ben Ertan. Levent subesinin müdürü, sana ufak birsey soracaktim.
_Tamam
_Iyi bir müsterimiz Rocky 5’i kiralamak istiyor. Su an elimizde hiç yok, sizde var mi bir kontrol eder misin? Bakirköy yolunun üstüymüsde, varsa size ugramasini saglayacagim.
_Peki bakiyorum... Evet varmis. Ugrayabilir.
_Tesekkürler Aysegül, sagol yardimin için.
_Rica ederim.
Bu Aysegül için gayet yerinde bir konusma olmustu. Süphelenecek kendini ve ya baska birilerini zor durumda birakabilecek hiçbirsey konusulmamisti. Aysegül bu konusmayi çoktan hafizasinin arkalarina yolladi. 3 Gün sonra.
_Video X nasil yardimci olabilirim?
_Aysegül merhaba nasilsin? Ben Ertan, Levent’den.
_Merhaba Ertan Bey, siz nasilsiniz?
_Tesekkürler, geçen gün müsterimiz size ugrayamadi galiba. Neyse bak ne soracaktim, su an bilgisayarlarimizda belgesel DVD’lerinin fiyatlari gözükmüyor. Ordan bakabilir misin? Bizde ona göre fiyatlandiralim burada.
_Hiç sorun degil, hemen bakiyorum.
_Çok sagol
_Günlük kirasi 2.5 YTL
_Oldu tesekkürler.
_Rica ederim.
Aysegül gene hiçbirseyden süphelenmeden konusmayi bitirmisti. Ertan 2-3 günde bir Aysegül’ü aramaya devam etti. Her seferinde ilk aramalarindaki gibi süphe edilmeyecek seyler soruyordu. Hatta Aysegül ile Ertan neredeyse arkadas olmuslardi. Artik Ertan kendini tanitmiyordu, Aysegül sesinden arayanin Ertan oldugunu anliyordu. Ve ilk aramasindan üç hafta sonra Ertan son bir kez daha aradi, sesi biraz telasliydi.
_Aysegül merhaba.
_Merhaba Ertan Bey, nasilsiniz?
_Sagol, basimizda bir dert var.,
_Nedir?
_Bak bütün bilgisayarlarimiz su an çöktü, hiçbir bilgiye erisemiyoruz. Telefonla aldigimiz bir sürü siparis var ancak bilgisayar çalismadigi için hesaplara giremiyoruz. Müsteriler saatlerdir siparisleri bekliyorlar. Simdi sana bir kaç müsterinin isim ve adreslerini verecegim, sen de bilgisayardan kontrol edip bana kredi karti bilgilerini söyler misin? Elle giricem hesaplarina. Çok beklettik.
_Tabi sorun degil.
.................................................. ......
Aysegül’ün aksama dogru, “acaba telefonla kredi karti bilgilerinin baska bir subeye aktarilmasi kurallara uygun muydu” diye düsünmesi ama hem bu bilgileri isteyenin bir müdür olmasi hem de o an yapacak daha önemli islerinin olmasi sonucu degistirmedi. Ayni saatlerde bazi müsterilerin banka hesaplari çokdan bosaltilmisti.
Bu örnekte de gördügümüz gibi, bize ya da çevremize ciddi maddi zarar verebilecek ataklar genellikle bilgisayarlarimizdaki zaaflari degil, sizin zaaflarinizi kullanirlar. Bu yasanmis ve çok basit bir örnekdir ve örnekler çogaltilabilir. Yeni girdiginiz bir iste, ilk gün sirketin dahili telefonundan size sirketin güvenlik politikasini anlatmak üzere, IT departmanindan oldugunu söyleyen birisi size, sirkete kayitli e-postanizin sifresini sirket kurallarina göre nasil yaratmaniz gerektigini anlatabilir. Hatta daha da ileri gidip adim adim yaninizda kontrol edebilir, varsayilan sifrenizin yeterli güvenlikte olup olmadigini kontrol etmek amaciyla, sizden bu sifrenizi söylemenizi isteyebilir vesaire. Bu örnekde de, sirketin dahili telefonundan aranmaniz isin teknik kismidir ancak sizi asil zarara, sokan atak dogrudan size yapilan telefon aramasidir.
Bedava Sirke Baldan Tatli Midir?
Sunu sakin unutmayin. Özellikle internette kimse kimseye bedava bir sey vermez. En kisa ve net anlatimiyla, sakin google arama motoruna “free” “bedava” ya da “beles” yazip birseyler aramayin. Bulduklarinizin yüzde doksani bilgisayariniza aradiginizdan daha da fazlasini indirecektir buna emin olabilirsiniz.
Evet internet ve bedava kelimeleri özellikle ülkemizde birbiriyle çok özdeslesen iki kelime haline geldi ama bu devri kapatmanin vakti geldi de geçiyor. Kimse evinde ya da ofisinde oturup, bugün insanlar için bedavaya ne üretsem diye düsünmüyor. Safligi bir yana birakalim. Son aylarda dünyada en çok güvenilen ücretsiz bir güvenlik duvari yaziliminin dahi “evi aradigi” anlasildi. Yani sizin korunmak için bilgisayariniza kurdugunuz güvenlik duvari kendi adina kayitli dört sunucuya bilgisayarlarimizdan bilgiler gönderiyordu, ve bizim bu gibi isleri denetlesin ve engelesin diye kurdugumuz yazilim bunu yapiyordu. Bir diger sok edici örnek ise i-Tunes adli popüler müzik yönetimi ve oynaticisinin gene bilgisayarlarimizdan kendi sunucularina bilgi gönderdiginin ve bize bu bilgiler dogrultusunda reklam gösterdiginin ortaya çikmasi oldu. Bu tamda spyware ve adware olarak tanimlanan zararli casus programlarin yaptigi isin aynisi. Kisacasi bu denizde kimseye güvenmeyecegiz. Özellikle de yasadisi olanlara.
Örnegin en çok kullandiginiz 800 dolar degerindeki resim düzenleyiciyi sitesinden bedava indirebileceginizi söyleyen korsan yazilimcilar. Ve ya hepimizin çok iyi bildigi “keygen” , “crack” ya da “serial” siteleri. Çok açik söylüyorum, bu gibi sitelerin tek birinde bile zararli kod bulunmama ihtimali yok. Bilgisayariniza indirdiginiz her “crack” ya da benzeri uygulama ile, sizden kilometrelerce uzaktaki bir kötü amaçli birinin zombie bilgisayari haline geliyorsunuz. Yani sizin ve diger kurbanlarin bilgisyarlarina kurdugu minicik bir uygulama ile bazi büyük sitelere ataklar düzenleyen bir internet korsaninin, bu sitelerden aldigi yüzbinlerce dolar haraca katkida bulunuyorsunuz.
Bu sebeplerle, internette bedava gördügümüz herseye aldanmamali, inidirip kullanmadan önce bizden daha tecrübeli kullanicilarin deneyimlerini ve görüslerini incelemeliyiz. Kullanmak istediginiz ama bilmediginiz bir yazilimi, gerçekten güvendiginiz kaynaklarda kisa bir arastirma yaparak kullanmalisiniz. Yerli ve yabanci bir çok bilgi güvenligi forumunda bir yazilimin güvenirliligini sorarsaniz, oradaki tecrübeli üyeler yazilimi bilmeseler bile deneyip size sonucu bildireceklerdir. Bilmediginiz hiçbir yazilimi, tam olarak arastirmadan ve inceleyip güvenirliligine emin olmadan bilgisayariniza kurmayin. Nasil ki evinize beyaz esya ve ya mobilya alirken arastirma yapiyorsaniz, bilgisayarlariniz için de ayni seyi yapmalisiniz.
En Fazla Yazilim Bizim Bilgisayarimizda Olsun Sendromu
Kullandiginiz yazilimlara dikkat edin. Bir yazilim kullanacakasaniz kesinlikle bu yazilimi kendi resmi sitesinden indirin ve ya aylik bilgisayar dergilerinin CD’lerini kullanin. Internet varoldugundan beri birçok indirme sitesi var ve sik olarak kullaniliyor. Bu indirme sitelerinden bir kaç tanesi disindakilere de fazla güvenmemenizi öneriyorum. Kisisel deneyimlerime göre, gerek Türk gerekse yabanci bir çok indirme sitesinde spyware ve adware dedigimiz casus yazilimlar içeren programlari kullanicilarina çekinmeden sunuyorlar. Maalesef spyware ve adware içermeyen yazilim yayinladigini bir tek download.com indirme sitesi beyan edebiliyor.
Bunun ötesi var. Özellikle internette bazi yazilimlarin korsan versiyonlarinin bulunma zorlugundan dogan yasadisi forum sektörü. Bu web forumlari insanlara bazi ücretli yazilimlarin tam sürümlerini dagitmak amaciyla ortaya çikti. Ancak durum günümüzde bu amaci asarak insanlarin kullanip kullanmayacagina bakmadan bilgisayarlarini pahali yazilimlarla doldurma çilginligina döndü. Ve bu forumlarda sikça kullanilan bir yöntem, yazilimlari ve korsan eklentilerini bir ücretsiz hosting’e koymak ve insanlari bu sitelerden indirmeye tesvik etmek olarak günümüze tasindi.
Bunun genel zararlari sandigimizdan büyük olmakla beraber bize olan özel zararlari onarilamaz da olabilir. Bu yasadisi forumlarda insanlar artik ücretsiz ve açik kaynakli yazilimlari dahi ücretsiz dosya paylasim siteleri üzerinden yapar oldu. Mozilla Firefox’u bu dosya paylasim sitelerine gönderip, sizden oradan indirmenizi talep ediyorlar ve baktigimizda Mozilla Firefox gibi tamemen ücretsiz ve sik güncellenen bir yazilimin bu sitelerden binlerce kere indirildigini görüyoruz. Kötü niyetli bir kisi için, bazi yazilimlarin kodlarini degistirip kendine çikar saglyacak hale getirmesi çok zor bir olay degildir. Herhangi bir yazilimi, kendi sitesi disinda bir yerden, özellikle sizin gibi bir kullanici tarafindan koyuldugu bu dosya paylasim sitelerinden indirip kullandiginizda, bilmeden bazi kötü amaçlara hizmet ettiginizi söyleyebilirim. Ayrica kendi sitesinden indirmediginiz bir yazilimin son versiyon olmama ihtimali çok büyük ve böyle bir durumda olasi bir açigi bilgisayariniza davet ediyor olmaniz kaçinilmaz. Unutmayin herhangi bir yazilim size bir arama motoru kadar uzakdir. Örnegin “Google” arama motoruna istediginiz yazilimin ismini yazarsaniz çok büyük bir ihtimalle aramada çikan ilk sonuç sizi yazilimin resmi sitesine götürecektir.
Kullandigimiz yazilimlar konusunda deginilmesi gereken çok önemli bir konu daha var. Son yillarda özellikle güvenlik yazilimlari arasinda sikça gördügümüz “sahte anti-spyware” yazilimlari furyasi. En bilinen örnek “SpySheriff”. Bu tarz programlar bilgisayariniza çok büyük bir ihtimalle ya sizin arasatirmaci ruhunuzdan faydalanip kuruluyorlar ya da çesitli korsan yazilim sitelerinden hediye olarak geliyorlar. Elimize ulasan son istatistiklere, bu tür sahte anti-spyware yazilimlari Amerika’da bir saatte 2500 bilgisayara kuruluyorlardi. Bu yazilimlari dürüst sanarak satin alan kullanici sayisi azimsanamayacak kadar çok.
Bu yazilimlarin ne yaptigini kisaca anlatmak gerekirse, bilgisayariniza kurulmalariyla birlikte yüzlerce zararliyi da yanlarinda kuruyorlar, çok hizli bir taramayla sisteminizde bu zararlilari bulup sizden silmek için ücret talep ediyorlar. Bu yazilimlarin büyük bir bölümü sistemden normal yöntemlerle kaldirilamiyorlar. Masaüstü resminizi degistiriyorlar, sürekli açilan pop-up pencereler ile satin almanizi söylüyorlar. Haftada en az bir adet yeni sahte anti-spyware yazilimi çikiyor ve dürüst korunma yazilimlari bunlara önlem lamakda genellikle yetersiz kalabiliyorlar. Zira bu zararli yazilimlar genellikle sisteme sizma ve gizli yollarla degil, kullanicilarin talebi üzerine kuruluyorlar.
Bunlardan kurtulmanin yöntemini çesitli bilgi güvenligi sitelerinde bulabilirsiniz. Ancak bunlarin sisteme bulasmasini önlemek tamamen sizin elinizde. Warez sitelerden uzak durun ve özellikle güvenlik yazilimlari konusunda fazla merakli olmayin. Basarisi kanitlanmis, köklü firmalarin yazilimlarini kullanmaniz basiniza böyle talihsiz vakalarin gelmesini önleyebilir. Spysheriff tarzi sahte anti-spyware yazilimlarina genel literatürde “Rouge Anti-Spyware” adi veriliyor. Bu yazilimlarin güncel listesini bu adreste bulabilirsiniz:
http://www.spywarewarrior.com/rogue_anti-spyware.htm
Ayirca bilmediginiz herhangi bir güvenlik yazilimini sisteminize kurmadan önce, uzman kullanicilardan tavsiye almalisiniz. Türk ve yabanci bilgi güvenligi sitelerindeki çevrimiçi topluluklardan yardim alabilirsiniz bu konuda.
[cneter]Sifre Yönetimi.[/center]
Sifreler Nasil Ele Geçirilir? Saldirgan hack forumlarindan bir yazilim bulur. Yazilimin adi “hotmail password cracker”dir. Yazilimin kutucuguna kurbanin e-posta adresi yazilir, baslat dügmesine basilir ve bir müddet sonra yazilim, üzerinde kocaman “Buldum” yazan bir pop-up pencereyle size kurbanin sifresini söyler. Bu kadar kolay.
Yukaridaki cümleyi okuyan ve isleri güçleri birilerinin hotmail adresini çalayim diye ugrasmak olan, ciddi bilgisayar korsanlari tarafindan kod veletleri (script kiddies) diye adlandirilan kesim heyecanlanmis olabilirler. Tabii ki böyle bir yazilim yok. Hele ki e–posta sirketlerinin aldigi son önlemlerden sonra bir takim yazilimlarla sifre çalmak tarihe karisti. Ancak bizim sözümüz zaten muhtemel kurbanlara, kod veletleri çalismalarina devam edebilirler.
Eger E-posta adresi çalinan kisi, yukaridaki paragraftaki gibi bir saldiriyla çalindigini düsünüyorsa büyük yanilgi içinde oldugunu söyleyebilirim. Maalesef kurban hatayi yine kendinde aramalidir. Aslen yukarida defalarca anlattigimiz yöntemlerden pek bir farki yoktur bu tür saldirilarin. Ama e-posta sifresi çalmak üzerine uzmanlasmis, bilgisayarinizin karsisinda oturan en büyük açik odakli saldirilarla ele geçirilmistir e-posta sifresi. En sik kullanilan yöntemler sahte MSN messenger ve sahte hotmail yöntemleridir. Saldirgan sizin su meshur dosya paylasim sitelerinden indirebileceginiz, içinde en renkli, en hareketli gülümsemelerin, messenger ifadelerinin oldugu sahte bir msn messenger versiyonunu indirmenizi ve sisteminize kurmanizi saglar. Böyle bir yazilimi bilgisayariniza kurmus olmaniz bile basli basina e-posta sifrenizi çaldirmaktan çok daha kötü sonuçlar dogurabilir ancak biz gene de sifre çalmaya dönelim. Siz bu “üstün özellikli” ve kaynagi belirsiz bir adresten indirdiginiz msn messenger türevine e-posta adresinizi ve sifrenizi girdiginiz anda bu bilgiler saldirganin belirledigi baska bir kaynaga ulasmis olur. Bu asamadan sonra bir daha e-postaniza girememek çok da uzak degildir.
Gene benzer bir yöntem, sahte hotmail olarak bilinen ancak her türlü web tabanli e-posta sistemine uyarlanabilen sahte web sayfasi yöntemidir. Saldirgan kullandiginiz web tabanli e-posta servisinin web sayfasinin birebir aynisini üretir. Zaman zaman bu sahte web sayfalarinin orjinallerinden daha güzel göründügü de olmustur. Yarattigi bu sahte web sayfasini kendine ait ve büyük ihtimalle anonim bir web alanindan sunmaya baslar. Burada saldirganin teknik becerisi, web sayfasi adresini sizin e-posta servisinizmis gibi göstermek olacaktir. Aslinda kendine ait farkli bir isimde sundugu adresi size kullandiginiz e–posta servisiymis gibi gösterecektir. Bunlar saldirinin teknik bölümü.
Ancak siz bu sayfayi nereden bulup da gireceksiniz. Web tarayiciniza, elinizle e–posta servisinin adresini yazarsaniz baska bir sayfaya yönlendirilme ihtimaliniz yok denecek kadar az. Yaniti çok basit, size gelen spam e-postalardan ve ya aninda mesajlasma yazimilarindan gelen linklerden bu sahte adreslere girebilirsiniz. Özellikle sizi heyecanlandirilan konularda bir e-posta aldiginizda, sizi heyecanladiran bu ögelere sahip olabilmeniz için hemen bir posta atmanizi ve ya baska bir sebeple e-postaniza girmenizi talep edebilirler. Size “kolaylik” olsun diye e-posta servisinizin linkini de okudugunuz mesaja ilistiriler. Siz de o heyecanla ve ya saflikla bu linkten e-postaniza girmeye kalktiginizda, e-posta bilgileriniz aninda saldirganin eline, sahte msn messenger yönteminde oldugu gibi ulasir.
Bu gibi sahte yazilimlara ve ya web sayfalarina sifrelerinizi kaptirmamak için yapacaginiz sey, her yazilimi kendi resmi sitesinden indirmek ve özellikle bazi bilgiler gireceginiz sayfalara, web tarayiciniza adresi kendiniz yazarak girmek olacaktir. Internette dolasirken, en az bilmediginiz bir sokakta dolasirken gösterdiginiz dikkati ve uyanikligi göstermek zorundasiniz.
Sifre konusunda bir diger yöntem, tahmin etme yöntemidir. Size imkansiz gibi gelebilir ancak e-postanizin ya da uzaktan erisim araçlariyla sisteminizin kapisina dayanmis bir saldirganin, bilgisayar basinda sizin sifrenizi tahmin etmeye çalistigi çok uzak bir ihtimal degildir. Bir çok saldirgan sifreleri bu yöntemle ele geçirir. Bu sebeple içinde rakamlar büyük ve küçük harflerin bulundugu bir sifre hazirlanamaniz en iyi korunma yöntemlerinden biridir. Ayrica periyodik araliklarla sifrelerinizi degistirmelisiniz. Eger e-posta sifrenizi 123456789 yaptiysaniz ve birileri sizin adiniza arkadaslariniza mesajlar yolladiysa kimseyi degil kendinizi suçlayin...
Sifre konusundaki son yöntemle de gene daha önce anlattigimiz bir önlemin kapsamina giriyoruz. Bütün sifre ile çalisan sistemler sifrelerin unutulma ihitmaline karsilik diger bir giris kullanirlar. Bu çogunlukla bir hatirlatma sorusudur. En sevdiginiz film, ilkokul ögretmeninizin adi ya da annenizin kizlik soyadi gibi. Sifrenizi unutmak gibi bir durumla karsilastiginizda bu sorulara dogru cevap verirseniz sifrenizi geri alabilirsiniz. Eger e-posta adresinizin bilgilerini eksiksiz olarak dogru doldurduysaniz ve internette bir yil önce tanistiginiz biri sizin hakkinizda en yakin arkadasinizdan daha çok sey biliyorsa, sifrenizi kaptirmaniz an meselesi olabilir. Bunu önlemek için, tekrar ediyorum, internette kimseye güvenmemeniz gerekiyor. Kimseye kendinizle ilgili kisisel bilgilerinizi vermeyin ve web profillerinizde bu tarz bilgiler yayinlamayin. Ayrica sifreli sistemlerin hatirlatma sorularina alakasiz cevaplar üretin. Örnegin en sevdiginiz kitap sorusuna karsilik, ilkokul ögretmeninizin adini yazin. Böylece bu sorularin cevaplarinin tahmin edilmesini oldukça zorlastirmis olursunuz.
Peki Ya Virusler? Trojanlar? Wormlar.
Evet yüzbinlerce çesit zararli yazilim var piyasada. Kimi gizli, kimi apaçik ortada. Bazilari, üzerinde kötü niyetli kisilerce yillarca ugrasilmis, el emegi göz nuru zararli programlar. Virusler, dosyalarinizi siler, bilgilerinizi degistirir, yeni bilgiler ekler, üzerine yazar, donanima zarar verir ve daha birçok zarar verici islemi yapar. Artik birakin klavye hareketlerinizi uzaktaki bir sunucuya gönderen trojanlari, ekran görüntünüzü saniye saniye saldirgana gönderebilen trojanlar var. Web kameranizi sizden habersiz çalistiran, evinizi kaydedip verileri saldirganin belirledigi bir sunucuya gönderen zararlilar. Ve daha yüzbinlercesi.
Ama isin korunmak isteyen bilgisayar kullanicilari açisindan çok basit ve de çok net bir püf noktasi var. Saldirgan bir sekilde size bu zararli dosyayi yollar. Saldirganin isi burada biter. Sizin zarar gördügünüz, korkudan TiTrediginiz sonuçlara yol açan sebepler bundan sonraki adimda baslar ki, bu adim tamamen maalesef gene sizinle alakalidir. Saldirganin bu zararli kodlari size yollamisiyla isi bitmistir ve top sizdedir artik. Size zarar verecek bu kodlari bilgisayariniza siz yüklersiniz. Üzgünüm ama durum bu kadar açik ve net. Saldirgan size bir e-posta atabilir. Özellikle halka malolmus, yani bilimum arkadaslik sitelerine, pornografi sitelerine, halka açik internet sayfalarina kayitli bir e-posta adresiniz varsa bilirsiniz. Günde yüzlerce reklam postasi alirsiniz. Ucuza internet baglantisi, saglik ürünleri, rejim ürünleri, parali kanallari bedava gösteren TV cihazlari ve daha bir dolu “uygun” fiyatli enteresan ürün reklami alirsiniz.
Ancak bunlar arasinda mutlaka sizin de dikkatinizi çeken ve gün geçtikçe kendini gelistiren bazi postalar vardir. Size isminizle hitap eden, ücretsiz bir takim servisler ya da uygulamalar öneren, sanki sizin yolladiginiz bir postaya cevapmis gibi “re: Hey Aysegül, iste sana söz verdigim resimler” baslikli postalar. Bu postalar ilgi çekebilmek için, gündemin trendlerinden faydalanirlar. Siz de eger adiniza gelen bu e-postalarin gerçekten size özel gönderildigine inanir ve açarsaniz, saldirganin size bu postayi yollamakla biraktigi görevi tamamlamis olursunuz.
Evet sizi bu tehditlerden kullandiginiz korunma yazilimi koruyabilir belki, ancak sunu sakin unutmayin ki hiçbir korunma yazilimi yüzde yüz bütün zararlilari tesbit edemez, zaten hiçbiri de bunu yapabildigini iddia etmezler. Sizin bilinçli bir kullanici olarak böyle bir e-postayi kesinlikle açmamaniz, mümkünse e-posta adresinizi bu gibi muamelelere maruz birakacak hareketlerden kaçinmaniz gerekmektedir. Örnegin, her ne kadar karizmatik görünse de kisa kullanici adlari kullanmamalisiniz. Çünkü bu tür saldirilar genellikle saldirganlar tarafindan üretilen çesitli posta bombardimani programlariyla yapilir. Bu kötü amaçli programlar, belli bir metodolojiye göre e-posta adresi üretirler ve bu adreslere malum mesajlari gönderirler. E-posta adresinizin kullanici adi ne kadar kisaysa, bu programlara yakalanma sansiniz da o kadar fazladir.
Bir diger yöntem, internette e-posta adresinizi mümkün oldugunca az siteye gönderin. Bir çok site, adresinizi baskalariyla paylasmayacagini söylese dahi kötü niyetli kisilere ve ya reklamcilara satarlar. E-posta adresinizi web üzerinde herkesin erisebildigi, forum, ziyaretçi odasi gibi alanlara birakmayin. Eger birakmaniz gerekiyorsa da, deforme ederek yazin, örnegin; adiniz(at)hétmaildotcom gibi. Bazi saldirganlar gelistirdikleri web bot adi verilen bazi kodlarla, internet sitelerini tararlar ve içerisinde “@”, "hotmail”, “yahoo“ kelimeleri bulunan ve bu sayede e-posta gibi görünen metinleri toplarlar. Bunlardan adresinizi bu ve ya benzeri sekillerde deforme ederek korunabilirsiniz.
Virus, trojan ve worm gibi zararli kodlarin, web sitelerinden de bulasabildigini unutmayin. Bundan korunmak çok daha zordur. Ancak bu web sitelerine erisim e-postalardan daha kolay oldugu için, anti-virus üreticilerinin veritabanlarina kisa zamanda eklenirler. Ancak tabii ki yüzde yüz eklenecektir ve ya korunma yaziliminiz bu tehditi tesbit etse dahi sizi korur anlamina gelmez. Mümkün oldugunca bilmediginiz sitelerden, size binlerce dolarlik yazilimlari ücretsiz sagladigini söz veren bazi sitelerden ve özellikle warez sitelerden uzak durmaniz gerekmektedir. Unutmayin, internette kimse kimseye bosu bosuna ücretsiz birseyler vermiyor.
Sonuç olarak internetin bize getirdigi kolayliklardan ve kaynaklardan faydalanmak tabii ki hakkimiz. Ancak gözümüzü dört açmali ve kötü niyetli kisilerin kullandigi yöntemleri iyi bilmeliyiz ki bunlara kanmayalim. Her ne kadar kulaga sikici gelse de, bilgi güvenliginin çok önemli bir kavram oldugunu, bilgi güvenliginde en zayif halkanin insan faktörü oldugunu ve olasi tehliklerden ancak bunlari çok iyi kavrayarak korunabilecegimizi anlamaliyiz. Bunun için de interneti sadece eglence için degil, arastirma ve ögrenme amaçli kullanmamiz gerekir. Burada anlatilanlar ancak bilgi güvenligine giris olarak nitelendirilebilir.
Bilgi güvenligi hakkinda döküman bulabileceginiz ve soru sorabileceginiz web kaynaklari;
Türkiye’den
www.doctus.net
Yabanci
www.wilderssecurity.com http://www.dslreports.com/ http://castlecops.com/forums.html http://gladiator-antivirus.com/forum/
Not : Beni 12 yaşımda sanal alemle Tanıştıran hocamdan Alıntır...Saygılarımla..
