Kişisel Bilgi Güvenliği Nasıl Artırılabilir?

Posted on November 27, 2016  •  7 minutes  • 1296 words

Kişisel Bilgi Güvenliği Nasıl Artırılabilir?

Giriş

Kişisel bilgi güvenliğinin artırılması amacıyla bazı tavsiyeler bir araya getirilmiştir. Kişisel parola protokollerinin oluşturulması ve parola yönetim programlarının kullanımı, ziyaret edilen internet sitelerinin kullanıcıya sormadan erişebileceği veriler ve bazı hizmetlerde kullanılan iki aşamalı doğrulama konularına değinilmiştir.

A) Parolaların Güvenliğinin Artırılması ve Her Sitede Farklı Parola Kullanılması

Önemli husus, baştan sona oluşturulan 4 maddelik parola yönetim ve protokol kuralların ve bunların alt başlıklarının kişisel olarak belirlenmesi ve yalnızca parola sahibi tarafından bilinmesidir. 2-3 ayda bir parolalar değiştirilebilir. Bu değiştirme protokolü çerçevesinde parolaya eklenecek haneler belirlenir ve unutulmasının önüne geçilebilir.

İnternette kullanılan her türlü parola/şifrenin kişisel bilgi güvenliği zafiyetlerinde ilk güvenlik aşaması olduğunu söyleyebiliriz. Burada bilinmesi gereken husus, şifrelerin çalınma yöntemlerinden birinin, muhtelif kelime ve sayıların karıştırılarak, defalarca tahmin oluşturulması ve bu tahminlerin, ulaşılmak istenen hesaba erişilmesinin denenmesidir. Bu çeşitli yazılımlar aracılığıyla yapılıyor. Dünyadaki kullanıcıların, kolaylığı bakımından vb. en çok tercih ettikleri (1234, 123456, 12345679, qwerty, hamburger, fetih1453, vb.) parolalar, denenecekler arasında ilk sıralara konuluyor. Bunların önlenmesi adına, bazı internet siteleri kullanıcılarının oluşturacakları şifrelerinde; büyük-küçük harf ve özel karakter gibi birleşimlerin kullanılmasını zorunlu tutabiliyor.

Kişisel parola protokollerinin nasıl hazırlanabileceğine dair, bir örnek çerçevesinde bilgi sunulması gerekirse, öcelikle unutulmamalıdır ki, burada oluşturulan protokoller, kişiye özel revize edilmek durumundadır ve yalnızca protokol sahibi tarafından bilinmesi daha sağlıklıdır. Parolaların belirli sürelerde değiştirilmesi de bir diğer önemli noktadır.

Mevcut parolalarımıza, kendi oluşturduğumuz “kurallar” çerçevesinde eklemeler yaparak, örnekte görüleceği üzere, her sitede farklı parola kullanabiliriz:

Varsayalım ki 8 haneli bir parola sahibiyiz. Bu parolanın devamına bir özel karakter ($, €, &, +, <,vb.) ekleriz. Devamındaki 6 haneyi her sitede farklı şekilde yazacağımız kısım olarak belirleriz. Parola, bu aşamada toplam 15 haneye çıkarılmış olacaktır. Son üç hanesine, şifreyi değiştireceğimiz dönemlerden birini (mevsimler: yaz-kış-ilk-son veya aylar: haziran, aralık; HAZ, ARA vb.) gireriz.

Paroladaki hane sayısı toplam 18’e çıkarılmış olur. Pratik bir uygulama ile ele alacağız.

8 haneli bir şifre: notlar01
1 hane özel karakter: &
6 hanelik kısım: feysbu
3 hanelik dönem: KAS

Örnek: (Her farklı platformda kullanılan hesaplar için, “Türkçe okunuşları”nın ilk altı hanesini seçeceğimizi “protokol” olarak belirlediğimizi farz edelim.): feysbu (Facebook), tivitı (Twitter), instag (Instagram), vindov (Windows Hesabı), linuks (Linux Hesabı) vb.

Örnek 2: (Ayda bir parola değiştireceğimizi varsayarsak, her ayın Türkçe yazılışının ilk üç hanesini belirleyebiliriz.) OCA, ŞUB, MAR… EKİ, KAS, ARA. Nihayetinde kasım ayında kullanacağımız, Linux oturum açma şifremiz şu şekilde ortaya çıkıyor:

notlar01=linuksKAS

How is secure my password? sitesine göre (Tam olarak aynı şifrelerin girilmesi güvenlik problemi yaratabilir, kendi parolanıza benzer şifreler ile deneyiniz.) bir bilgisayarın, aşağıdaki parolaları kırması için gerekli süreler:

notlar01 ~ [1 dakika]

notlar01&linuksKAS ~ [7 katrilyon yıl]

Parola Yönetim Programları: Yukarıdaki örnekteki tarzda bir protokolde, her sitede değiştirilen 6 hanenin unutulması söz konusu olabiliyor. KeePass isimli bir parola yönetim yazılımı kullanılabilir. Burada dikkat çekmek istediğim nokta, bu programdaki oluşturacağımız şifre veritabanı dosyasına, kullandığımız “parolanın aynısını” girmeyeceğiz. Tüm sitelerde değişen 6 hanelik kısımları yazacağız. Programa, o sitede oturum açılan e-posta hesabımızı ve 6 hanelik kısmı ekleyerek bir yerde tutacağız. Bu veri tabanı dosyasını açmak için, en başta oluşturacağımız şifreyi girmemiz gerekiyor.

B) Ziyaret Edilen Sitelerin Sahip Olabileceği Bilgiler ve Engelleme Yolları:

Bu yazının başlangıcını oluşturan asıl konu; her hangi bir platformdan ziyaret edilen, her hangi bir sitenin, hangi kişisel verilere ulaşabileceğidir. Robin Linus ‘un projesi bu konuda faydalı bilgiler veriliyor:

Siteyi ziyaret ederek de tecrübe edilebileceği üzere ziyaret edilen bir site, ziyaretçiye bildirimde bulunmadan;

• Konumunu, dil ayarlarını ve tarih-saat dilimi bilgilerini,

• İşletim sistemini, ziyaretin gerçekleştirildiği tarayıcıyı ve bu tarayıcıdaki kurulu eklentileri;

• Donanım bilgilerini, “tam olarak” ekran kartı marka ve modelini,

• İnternet servis sağlayıcısı firmayı, internete bağlanırken kullanılan iki farklı internet protokol (IP) numaralarını ve anlık internet hızını (Mbps/sn)

• Oturum açılmış olan bazı internet sitelerini,

• Eğer telefon gibi bir mobil aygıttan siteye girildiyse; aygıtın yakınlık, ışık vb. sensörlerini; buna binaen aygıtın elde tutulup tutulmadığının tahmini,

• İnternete bağlanırken kullanılan aradaki modem (router) aygıtına, o anda modeme bağlı olan aygıtların IP numaralarını elde eebilir.

• İnternete yüklediğimiz her hangi bir resmin, arka planda içerdiği meta-verilerin de söz konusu yüklenen siteye ulaştırılması mümkün. Fotoğrafın çekildiği tarih ve fotoğraf makinası modeli, yüklenen siteye ulaşıyor. Eğer fotoğraf çekerken ayarlar kısmında, fotoğrafa çekilen konumun koordinatlarının (GPS) da eklenmesi özelliği aktifse, fotoğrafın çekildiği konum da farkında olunmadan paylaşılabilir.

Aynı sitede de belirtildiği üzere, önlem olarak;

• Tarayıcılara “No Script” eklentileri kurulabilir.
• VPN hizmetleri kullanılabilir. Bu noktada, ücretsiz VPN hizmetlerinin güvenlik riskleri barındırdığını da belirtmekte fayda var.

C) 2 Aşamalı Doğrulamanın Kullanımı

Google, Microsoft, Facebook ve Twitter gibi servis sağlayıcıları; Bankaların yaptığı şekilde iki aşamalı doğrulama yöntemini kullanıma sunuyor. Google hesabınıza oturum açmak için şifrenizi girdiğinizde, eğer o bilgisayarda daha önce oturum açmadıysanız iki aşamalı doğrulama şifrenizi girmenizi gerektirebilirsiniz. Bu, hesap ayarları kısmında aktif hale getirilebilir.

Hesaplarda girilecek her ikinci aşama şifresi, otuz saniyede bir değişiyor. İlk defa oturum açılacak bilgisayarlarda, iki aşamalı doğrulamanın aktif olduğu hesaplarda oturum açılması için bu anlık şifrelerin de girilmesi gerekmektedir.

D) Adnan Baykal , Osman Doğan ve İbrahim Baliç’in, 23 Kasım 2016’da TRT 1’deki Pelin Çift ile Gündem Ötesi programında yaptıkları konuşmalardan bazı kısımlar:

İnternete konulan bir şey asla silinemiyor. Her zaman inandığım bir kural var: ‘Annenizin gurur duymayacağı şeyi internete yazmayın.’ Bu internet sadece Facebook, sosyal medya değil, e-postalar vb. olabilir, bunların hepsi internet ortamında bir şekilde ulaşılabilecek şeyler. Kafanızın rahat olmasını istiyorsanız, normalde fiziksel ortamda insanlarla paylaşmadığınız şeyleri, internet ortamında paylaşmayın. İnternet ortamındaki güvenliğinizi sağlayacak tedbirleri biraz almaya çalışın. Bizim hep verdiğimiz örnek: Bir sonraki kişiden biraz daha iyiyseniz, finansal güdümlü ataklara genelde maruz kalmazsınız, onlar sizden bir sonraki güvensiz olan insanlara giderler. Çünkü zaman saldırganlar için bir değer ve bunu kaybetmek istemiyorlar. (A.B.)

Bilgisayar veya telefon kameralarından kullanıcıların haberi olmadan görüntü alınması mümkün mü? Kullanıcının fotoğraf çekmesi için oraya butonu koyan ve butona basılınca fotoğraf çekmesini öğreten, aygıtı üreten kişi; bu buton olmadan fotoğraf çekmesini sağlayamaz mı? (İ.B.)

Siber güvenlik, riski elimine etme ya da riski yok etme değildir. Her zaman bir riskiniz vardır. Siber Güvenlik, riski yönetme teknolojisidir. Normal kullanıcılar, çok basit şeyler yaparak kendilerini daha güvenli duruma getirebilirler. Rakamlar, semboller olan, düzgün bir şifre seçerler. 8-10 karakterli olur. Düzgün şifre seçmek ve o şifreyi sadece belli sitelerde kullanmak bile sizi çok ileriye itiyor. Bunun dışında, çok kullanmadığınız, gazete-medya siteleri için şifre kullanacaksanız, bunları basit tutabilirsiniz fakat Banka ve e-posta şifreleriniz farklı olsun. Eğer bankanız ve e-posta servis sağlayıcınız, size e-postayı veren firma çift faktörlü doğrulama sistemini veriyorsa (Bankalarda oturum açmak için, bankaların cep telefonlarına kısa mesaj ile ikinci şifre göndermeleri gibi) bunu mutlaka kullanın. Bu sizi ileri bir seviyeye getirecektir. Sistemlerinizde, güvenlik yamalarını yapın. Çoğu ortam bunun otomatik olarak yapılmasına izin veriyor. Buna biraz vakit ayırın. Bu size çok büyük bir siber güvenlik sağlayacak. ‘Bu sizi %100 güvenli yapacak mı?’ İnternette %100 güvenlik diye bir şey yok. Siber Güvenlik risk yönetimidir, risk yok etme değildir. (A.B.)

Siz çok sağlam parola politikası belirler, 15-20 haneli parolalar kullanırsınız. Gelen linklere (bağlantılara) tıklamazsınız. Kişisel aldığınız tedbirler dışında facebook veya twitter kullanıcısısınızdır; facebook veya twitter siber saldırıya uğrar, bunun neticesinde de kişisel bilgilerinize ulaşılır. (O.D.)

Akıllı telefonlardaki parmak izi okuyucuları riskli değil mi? Bilgisayarınız, telefonunuz hacklenebiliyorsa, (ele geçirilebiliyorsa) parmak izi bilginiz oradaysa ona da erişim sağlanabiliyor. Parmak izinin diğer bilgilerinizden farkı; şifreniz çalındığı zaman şifrenizi değiştirebilirsiniz ama parmak iziniz çalındığında bunu değiştiremezsiniz. (A.B.)

Hacker demeyelim de, Siber Güvenlik araştırmacıları, uzmanları, çalışanları; ilk nereden başlıyor? Ülkemizde, dünyanın her yerinde olduğu gibi, siber güvenlik açığı var. Üniversitelerde, siber güvenlik programlarının kurulması lazım. Liselerde yarışmaların yapılması lazım. Becerikli çocukların burs verilerek eğitilmesi lazım ki, bu insanlar “öbür taraf” dediğimiz tarafa kaymasınlar. Bunların yetenekleri devletimizi korumak, devletimize fayda sağlamak için kullanılsın. Eğitim deyince, yalnızca bilgisayar bölümlerinde siber güvenlik eğitilsin diyoruz ama siber güvenliğin ulusal bir stratejisi olması lazım. Siber güvenlik değerlerini, bilgilerini ekonomide de, tarihte de öğretmemiz lazım. Üniversitelerin bütün bölümlerine bunu bir şekilde entegre etmemiz lazım ki siber güvenlik farkındalığımız artsın, bir siber güvenlik olayıyla karşılaştığımız zaman doğru hareketleri yapabilelim. (A.B.)

Kaynaklar:

• Teke Tek Özel, 30 Ekim 2016, Habertürk

• Pelin Çift ile Gündem Ötesi, 23 Kasım 2016, TRT1