Sosyal medyada bunları kesinlikle yapmayın!

Araştırma
İnternette güvenliği arıyorsanız Bilgi Güvenliği Uzmanı-Uluslararası Bilgi Sistemleri Güvenliği Derneği Türkiye Başkanı Batuhan Tosunun söylediklerine kulak verin. İnternetteki ‘sonsuz’ ka...
EMOJİLE

İnternette

güvenliği arıyorsanız Bilgi

Güvenliği Uzmanı-Uluslararası Bilgi Sistemleri

Güvenliği Derneği Türkiye Başkanı Batuhan Tosunun söylediklerine kulak verin.

İnternetteki ‘sonsuz’ kaynakları faydalı şekilde kullanabiliyor muyuz?

Kullanıcıları üçe ayırmak lazım. Kurumlar, bilinçli kişiler ve son kullanıcılar yani bilinçsiz kişilerin kullanımı. Baktığınız zaman maddi ya da prestij kaybı olarak en çok basına yansıyan kurumların gördüğü zararlar. Ama orana vurduğumuzda en ciddi zararı son kullanıcılar görüyor. Çünkü en korumasız onlar. Kişi o kadar çok bilgi yüklüyor ki kullandığı sayfalara hemen sahte kimliği çıkartılabiliyor.

Kurumlar açısından nasıl oluyor?

Mesela Rusya’da ‘hacker mafyası’ var. 150 kişilik bir mafya. Dünyanın da tek hacker mafyası ve en profesyonel hackerları barındırıyor. Bu mafya tamamen yapısal saldırılar gerçekleştiriyor. Diyelim ki aynı sektörde çok güçlü iki şirket var. A ve B firması. A firması rekabetten hoşlanmıyor ve bu Rus mafyasına diyor ki ‘bu şirkete prestij kaybettirin’. Nedir bilgileri? 2007de şu ihaleye girdiler, 2008de bilançoları şuydu vs birkaç temel bilgi veriyorlar.

Sonra mafya bu şirket hakkında sosyal araştırmalar yapıyor. Şirket nerede? Kimler bünyesinde çalışıyor? Finans müdürü kimdir? Bu müdür kaçta öğlen yemeğe çıkar? Kimlerle yemek yer? Kaç çocuğu var? Karısının adı ne? Doğum tarihi nedir? Buna sosyal mühendislik diyoruz. Ardından iki atağa geçiyorlar. Birincisi pasif atak. Şirketin santrallerine sızıp bir müdürün odasından arıyormuş gibi yapıyorlar. Halbuki adam tatilde. Sekretere diyorlar ki şirketin sosyal güvenlik kayıtlarını şu numaraya acil fakslayın. Bunu daha önce dünyaca ünlü bir hacker Kevin David Mitnick yaptı. Mitnick Amerika’da sosyal güvenlik kurumunun tüm bilgilerini teknik hiçbir şey yapmadan çaldı! Aktif saldırıdaysa kişiye ait bilgiler deneme yanılma yöntemiyle bulunuyor.

Bu 2001 yılında Bill Gates’in başına geldi. Microsoft sistemlerine saldırdılar. Giremeyince Bill Gates’in kişisel bilgilerinden yola çıktılar. Gates’in kullanıcı adı Bill Gates şifresiyse karısının adıydı! buradan maillerine sızıp bilgilerini deşifre ettiler. Işin kötü tarafı maillerde ‘Apple bizden daha çok onlar gibi olmalıyız’ şeklinde ifadeler vardı. O sene Microsoft’ta hisseler en düşük zamanını yaşadı. Kurumlar için en çok korkulan şey de bu zaten; prestij kaybı.

Son kullanıcılar demiştin?

Onlar da sıkıntı çok büyük. Son zamanlarda yaşanan bir örnek vereyim… Kişi 57 yaşında Bayburt’ta yaşıyor, elektrikçi. Adına 1.5 milyon ytl vergi borcu çıktı! dava İstanbul adliyesinde. Araştırınca kişinin adına şirket açıldığı, borçlandırılıp vergilerinin ödenmediği ortaya çıktı. Şirketi kuranlar kayıplara karışmış, tek muhattap da bu kişi!

Yasada mı açık var?

Yasada değil kişilerde açık var. Bilgi güvenliği dediğimizde sadece teknoloji akla gelmesin. Az önce dediğim gibi kurumsal güvenlikte nasıl sahtecilik var, bilgiyi yönetmek önemli. Büyük ölçekli şirketler güvenlik için yıllık 5-10 milyon harcama yaparlar. Ama ne kadar yapılırsa yapılsın bir zaafiyet oluyor. O da teknolojiden ziyade bilgiyi nasıl yöneteceğini bilmemekle oluyor. Yani önemli bilgiyi koruyalım ama şirket içinde o bilgiye ulaşabilecek kişiler mesela sadece üst düzey yöneticiler olsun. Önceki örnekte de o kişi o kadar çok bilgisini paylaştı ki o bilgilere ulaşmak da kolay oldu, kullanmak da… Sizin nüfus bilgilerinizi biliyorsam kolayca sahte kimlik çıkartır her türlü işlemi o kimlikle yapabilirim.

İş sadece kişilerde mi kalıyor?

Devlet ya da kurumların da zaafiyeti var. Örneğin adıma elektirik/su açtırmak istiyorum. Oradaki veznedar nüfus cüzdanı fotokopimi istiyor. O fotokopi çok önemli. Peki kimin elinde bulunuyor? Orada o an çalışan bir memurun. Bir memur bu işi yapamaz mı? Bu memurdan bilgi sızdırabilecek biri olamaz mı? Belki bilgilere o daireden ulaştılar ve iş buraya kadar geldi. Pek çok noktada teknoloji değilse de insan handikapı olabiliyor.

Bu tip zaafiyetlerin önüne geçemez miyiz?

Kişi bilgilerini elektronik ortamda tutmayacak. Sosyal medyayı kısıtlı kullanacak. İnsanlar sosyal medyayı nasıl kullanıyor inanmak mümkün değil. Adam evindeyken bile, bir isim atamış oraya, ‘ben abcd’deyim’ diyor. Ben bir kişiyi çok rahat takip edebilirim. Nerede olduğunu ne yaptığını kiminle olduğunu. Sosyal medyadaki izlerini araştırsak hakkında çok şey bulabiliriz. Kardeşiniz var mı? Tatile nereye gidiyorsunuz? En çok sevdiğiniz yemek? Bunlar toplanıp süzüldüğü zaman önemli bilgiler çıkıyor.
Resmi kurumlardaki zaafiyeti bizler çözemeyiz, devlet çözmeli. Mesela devlet dairelerinde çekilen nüfus cüzdan fotokopileri alt taraftaki çekmecede değil de arkada bir kasada tutulmalı. Yüzde ellisi bize düşüyorsa yüzde ellisi devlete düşüyor. İnternetteki kişisel bilgileri toplayan programlar var

Artık Facebook’ta tarlamızı sürmeyelim mi?

Sosyal medya kullanıcıları her türlü bilgilerini bu alana yüklüyorlar. Bu bilgiler sosyal mühendislerin çok ciddi işine yarıyor. Sizin ortaya saçtığınız bilgileri toplayan, anketler yapan, bu anketlerin sonuçlarına göre de bu kişinin şuna ilgisi var diyen mühendisler. Sonraki etapda ya kişiyi arıyorlar ya da önüne ilgili olduğu şeyi çıkartıyorlar. Özellikle Facebook’un bir çok uygulamasında subliminal etki var. Yani siz farketmeden bilinçaltına birçok şey yüklüyorlar.

Şöyle örneklendirelim subliminal etkiyi; Amerika’da 2003 yılında sinema seyircisinin ara verildiğinde sürekli mısır patlağı ve gazlı içeceklerle yöneldiği farkediliyor. Araştırılınca filmlerin içinde gizlenmiş görsel mesajlar olduğu ortaya çıkıyor. Susuzluktan ölmek üzere olan bir adam görüntüsü mesela. Ancak izleyici filmde onu görmese de beyni algılıyor ve çıkar çıkmaz birşey içmek zorunda hissediyor kendini. 2004’te bu yasaklandı. Bunu Microsoft’ta uyguladı. Lincoln’un öldürülüşünü görsellerin arasına gömmüşler. Sorulduğunda açıkça ‘siyasi görüşümüz empoze etmek için yaptık’ dediler. Facebook’ta bu hala kullanılıyor. Küçük yaştaki çocuklar için riskli. Mesela bir oyun oynuyor çocuk, şuraya tıklarsan bu kademeye geçeceksin diyor uygulama, ardından cinsel içerikli bir yönelimle karşılaşıyor. Bunların hepsi Beyaz Saray’ın yayınladığı manifestoya göre bir psikolojik savaş aslında. Bir diğer kademe ise facebook’tan insanlara zarar verilmesi. Oyun uygulamaları ‘third part’ uygulamalar yani facebook’un kontrol etmediği poker uygulamaları, tarla uygulamaları gibi. Şirket genel müdürleri bile bunları kullanıyor. Bu uygulamalar teknik olarak sizin bilgilerinizi çalmaya yönelik şeyler barındırıyor. Bunları yazan kişiler içine küçük küçük zararlı yazılımlar yüklüyorlar. Kişi haberi bile olmadan bir siber suça karışabiliyor.
Ve Türkiye’de eğer savcı adli bilişim raporu istemezse ki bu işle ilgili çok az savcımız var- senin o suça karışmadığını ispatlayamaz! Durum bu kadar ciddi.

Türkiye’de örnekleri çok mu?

Çok fazla. Yaşlı insanların, çocukların başına geliyor. Son zamanlarda çok yapılan saldırılar var, Anonymous’un devlete yaptığı ataklar vs. Bunlar zombileştirilmiş bilgisayarlarla gerçekleştiriliyor. örneğin bazı dizi siteleri var, diyor ki bu reklama tıklamadan diziyi izleyemezsin. Ona tıkladığın anda bilgisayarına ufacık bir ‘solucan’ bulaşıyor. O şunu yapıyor; senin bilgisayarından başkasına istek gönderebiliyorum. Buna biz ‘ping atmak’ diyoruz. Milyonlarca kişi tek bir adrese ping atarsa yoğunluk yaratıp o adresi çökertiyor. Bu da ‘DOS saldırı'(denial of service) oluyor. Devlete yapılan saldırılara bakınca devlet çaresiz kalıyor çünkü kullanıcılar 500,600 bin yaptığından habersiz sivil halk.

Peki nasıl önlemeler almalıyız?

Facebook’ta uygulamaları kesinlikle kullanmasınlar. Söylediğim zor bir uyarı farkındayım çünkü bu uygulamaları kaldırırsanız kimse Facebook kullanmak istemeyecektir. Ama eğer bunlardan korunmak istiyorsak bu uygulamaları kapatacağız. İkincisi açılan sosyal medya hesaplarının gizlilik sözleşmelerini lütfen okuyun. Orada sizin bilgilerinizi dışarıya verme, satma gibi pek çok ibare var ama sözleşmeler 30 sayfa olduğu için kimse okumuyor. Bunu kabul ettiğinizde sorumlu sizsiniz! Üçüncüsü gizlilik ayarlarına baksınlar; public ve private ayarlar var. Çoğu kişi bunu da umursamıyor. Herkes onun bilgilerini görebiliyor. O bilgiler sonra karşısına çok kötü amaçlarla kullanılmış olarak çıkabilir. Maalesef meclis milletvekilleri bile resmi mail adreslerinden facebook’a üye olmuş. Son olarak da facebook her ne kadar size kapalı görünse de CİA’in direkt olarak veri tabanına erişme yetkisi var. Yani Türkiye’deki Facebook kullanıcılarının bütün bilgileri Amerikan istihbaratının elinde bulunuyor.

‘Big brother’ bizi de izliyor mu?

Iphone’da yapılan her şey Apple’da kaydediliyor. Aramalar, smsler, gönderilen fotoğraflar, notlar.. Apple size maddi zarar vermez ama kişisel bilgiler tutulmuş oluyor.