Üsküdar Üniversitesi Mühendislik ve Doğa Bilimleri Fakültesi Bilgisayar Mühendisliği (İngilizce) Kısım Lideri Dr. Öğr. Üyesi Fatih Pak, 10 Şubat İnançlı İnternet Günü kapsamında dijital dünyadaki risklere dikkat çekti.
Güvenli internet, dijital dünyada riskleri ortadan kaldırma manasına geliyor
Güvenli internet kavramının birçok vakit sırf teknik bir sorun üzere algılandığını belirten Dr. Öğr. Üyesi Fatih Pak, “İnternet tabiatı gereği çeşitli güvenlik riskleri barındırır. İnançlı internet, en geniş manasıyla, dijital dünyada bu riskleri ortadan kaldırma manasına geliyor. Nasıl ki gerçek hayatta konutumuzun, otomobilimizin kapısını kilitliyor, perdelerimizi kapatıyor, yabancıları konutumuza almıyorsak internet kullanırken de bilgilerimizi, mahremiyetimizi ve paramızı korumak için kimi önlemler almamız gerekir. Aksi halde farkında bile olmadan banka hesaplarımız boşaltılabilir üstelik hesaplarımızdan kredi kullanılarak ekstra borçlandırılabiliriz. Ayrıyeten ismimize şirket kurulabilir ve bu şirketlerde yasa dışı işler yapılabilir. Özel yazışmalarımız ve fotoğraflarımız makus maksatlı kullanılabilir. Münasebetiyle, inançlı internet hem maddi hem de manevi epeyce ağır ziyanlara uğramamamız için hayati bir değer taşır.” dedi.
En yaygın tehdit oltalama ve toplumsal mühendislik saldırıları
İnternette en sık karşılaşılan tehditlerin başında oltalama (phishing) ve toplumsal mühendislik taarruzlarının geldiğini belirten Dr. Öğr. Üyesi Fatih Pak, şöyle devam etti:
“Sosyal mühendislik de denen, teknik olmaktan fazla insanların dikkatsizliklerinden ya da farkındalık sahibi olmamalarından yararlanmaya çalışan hücumlar en sık karşılaşabileceğimiz taarruz tipleridir. Çoğunlukla oltalama (phishing) mantığıyla yapılan hücumlardır. Bir bankayı, kargo şirketini, devlet kurumunu yahut bilinen bir şirketi taklit ederek datalarınızı çalmaya çalışırlar. Bunu yaparken de ‘Hediye kazandınız’, ‘Size miras kaldı’, ‘Borcunuzu ödemediniz’ üzere bildiriler yahut e-postalarla insanların bir anlık heyecanlarından yahut paniklemelerinden yararlanmaya çalışırlar. Telefonla arayıp kendilerini asker ya da polis olarak tanıtıp ‘İsminiz bir terör örgütü soruşturmasına karıştı’ diyen dolandırıcılar üzere. Bu formda sizi panikletmeye yahut tez ettirmeye çalışmalarından bunun bir oltalama saldırısı olduğunu anlayabilirsiniz. Ayrıyeten sizden bir linke tıklamanız istendiğinde, resmi bir web-sitesinin isminin çok benzerini, mesela sırf bir harf değiştirilmiş halini, sözlerin ortasına ‘-‘ eklenmiş halini, uzantısının değiştirilerek ‘.com’ yerine ‘.net’ vb. yapılmış halini kullanabilirler. Bunun üzere kuşkulu durumlarda linke tıklamadan, ilgili kurumun resmi sitesini ziyaret ederek adresin yanlışsız olup olmadığını anlamaya çalışmamız gerekir.”
Zararlı yazılımlar sessizce izleyebilir
Bir öbür kıymetli tehdit kümesinin ziyanlı yazılımlar (malware) olduğunu vurgulayan Dr. Öğr. Üyesi Fatih Pak, “Bunlar daha teknik hücum çeşitleridir ve yeniden azımsanmayacak kadar yaygındır. Virüsler, Truva atları ve casus yazılımlar örnek olarak gösterilebilir. Bilgisayarınıza yahut telefonunuza sızıp parolalarınızı çalabilir ya da kameralarınızdan izleme yapabilirler. Ekseriyetle ‘bedava sinema izleme’ ya da ‘ücretsiz oyun oynama’ sitelerinde karşımıza çıkarlar. Mesela bir sinema izleme sitesinde oynatma işaretine birkaç sefer tıklamanız gerekiyorsa ve her seferinde alakasız pencereler açılıyorsa büyük ihtimalle size ‘transparan katman’ denilen aslında görmediğiniz diğer bir link tıklatılıyordur. Bu sayede farkında olmadan kameranıza ya da bilgilerimize erişim müsaadesi veriyor olabilirsiniz.” diye konuştu.
Cihaz performansındaki ani değişimler kıymetli bir ihtar sinyali
Cihaz performansındaki ani değişimlerin değerli bir ikaz sinyali olabileceğini belirten Dr. Öğr. Üyesi Fatih Pak, “Cihazınız sebepsiz yere yavaşlamaya başladıysa yahut bataryası çok süratli bitmeye başladıysa bir virüs ya da casus yazılımdan şüphelenebilirsiniz. Bu yüzden resmi ve emniyetli olmayan yerlerden evraklar yahut uygulamalar indirmemek değerlidir. Bazen pdf uzantılı bir kitap indirdiğinizi zannedersiniz fakat aslında bu gerçekte bir çalıştırılabilir ziyanlı yazılım olabilir. Kimlik numaralarımız, doğum tarihimiz, cep telefonu numaralarımız da saldırganların maksadında olabilir. Bu bilgileri gerekmedikçe ve muteber olmayan bireylerle paylaşmamalıyız. İnternette bir forum doldururken alakasız kimlik bilgileriniz isteniyorsa (annenizin kızlık soyadı vb.) bilgileriniz tehlikede demektir.” sözünde bulundu
Sosyal medya paylaşımları güvenliği tehdit edebilir
Sosyal medya ve taşınabilir uygulamalarda paylaşılan ferdî bilgilerin önemli güvenlik riskleri doğurduğunu belirten Dr. Öğr. Üyesi Fatih Pak, “Çok kolay bir formda ailecek tatile gittiğinizi toplumsal medyada paylaşırsanız ve bu bilgi makûs niyetli bireylerce elde edilirse konutunuz hırsızlar için bir maksat haline gelebilir. Web sitelerinde güvenlik sorusu olarak okul, iş yeri, adres bilgileriniz kullanılabilir. Hasebiyle bu kolay bilgiler bile hassas bilgilerinize erişim için suistimal edilebilir. Yapay zekanın gelişmesiyle sesiniz yahut imajınız kopyalanarak (deepfake) yakınlarınızdan para istenebilir. Saldırganlar ne kadar çok şahsî bilginize hakimlerse karşı tarafı ikna etmeleri o kadar kolay olacaktır. Taşınabilir uygulama konusunda da dikkatli olunmalıdır. Çok kolay bir uygulama, sizden rehberinize, pozisyonunuza, mikrofonunuza, kameranıza, fotoğraflarınıza erişim müsaadesi isteyebilir. Bu bilgiler şantaj emelli kullanılabilir ya da ticari emelle diğerlerine satılabilir.” dedi.
İki etaplı doğrulama, hücumların büyük kısmını engeller
Parola güvenliğinin tek başına kâfi olmadığını lisana getiren Dr. Öğr. Üyesi Fatih Pak, şunları kaydetti:
“Artık hayatımızda onlarca parola var. Bunların mutlaka inançlı bir formda seçilmesi gerekiyor. Ama aslında bu işin iki ayağı var, bir de parolalarımızı saklayan dijital platformlar parolalarımızı inançlı bir halde saklamalıdırlar. Hatırlarsanız internetin birinci yaygınlaşmaya başladığı yıllarda kullandığımız birçok değişik web sitesi artık yok. Bunun bir sebebi de kullanıcı parolalarını inançlı bir halde saklayamamış olmalarıydı. Bu yüzden alt yapısından emin olmadığımız platformlarda üyelik oluştururken âlâ düşünmeli ve öbür yerde kullandığımız parolaları kullanmamalıyız. Şöyle bir örnek verebilirim, şayet bir web sitesinde ‘parolamı unuttum’ dediğinizde size eski parolanızı eposta olarak gönderiyorlarsa derhal oradaki üyeliğinizi iptal etmeniz ve şayet birebir parolayı öbür yerlerde kullanmışsanız değiştirmeniz gerekir. Zira parolanız, kriptografik özeti bile alınmadan saklanabilecek en berbat haliyle, düz metin olarak saklanıyor demektir. Parola güvenliği konusunda, sırf birilerinin parolamızı birkaç deneme ile bulmaya çalışacağını düşünmemeliyiz.” diye konuştu.
Teknoloji devi denilen birçok dijital platformun data tabanları bile sızdı
Veri tabanı sızıntılarında teknoloji devi denilen birçok dijital platformun bilgi tabanları bile sızdığını hatırlatan Dr. Öğr. Üyesi Fatih Pak, “İşte parolalarımızın uzunluğu ve çeşitliliği burada devreye giriyor. Birçok sitede en az 8 karakterler içeren parola girmemiz istenir. Ancak günümüzde çağdaş ekran kartları 8 karakter uzunluğunda yalnızca küçük harflerle yazılabilecek yüz milyarlarca mümkün parolayı saniyeler içerisinde deneyebilir. Küçük harflerle birlikte büyük harfler de kullanılırsa bu sefer tüm parolaları denemek dakikalar sürüyor. Bu yüzden sizden küçük harf, büyük harf, sayı ve özel karakterler kullanmanız istenir. Aslında tüm bunlar hesaba katılsa bile 8 karakter uzunluğundaki tüm parolaların denenmesi saatler alacaktır. Üstelik bir çoğumuz bu sayı ve özel karakter seçiminde de kestirim edilebilir seçimler yapmaktadır. Lakin bundan daha uzun parolalar da pek kullanışlı olmuyor. Bu yüzde hizmet sağlayıcılar ek kimi tedbirler alarak, 8 karakter uzunluğundaki parolalarınızı (123456 yahut ‘qwerty’ üzere çok kolay değilse) inançlı olacak biçimde saklamaya çalışırlar. Biz de kullanıcı olarak iki kademeli doğrulama (2FA) kullanarak, mesela hesabımıza girerken cep telefonumuza gelen bir kodla doğrulama yaparak, parolamız kırılsa bile inançta kalabiliriz. İki etaplı doğrulama taarruzların çok büyük bir kısmını engelleyebilmektedir.” formunda konuştu.
5 unsurda inançlı internet rehberi
Dr. Öğr. Üyesi Fatih Pak, internet kullanıcıları için temel güvenlik tekliflerini şu halde sıraladı:
“Parolanızı mümkün olduğunca uzun, kestirim edilemez ve yalnızca sizin için manalı olacak formda seçin. İki etaplı doğrulama kullanın.
Sosyal medyada ferdî bilgilerinizi tanımadığınız bireylerin görebileceği formda paylaşmayın.
Kaynağı bilinmeyen yahut kuşkulu linklere tıklamayın.
Yazılımlarınızı aktüel tutun ve korsan yazılımlardan uzak durun.
Halka açık ağlara bağlanıyorsanız sağlam bir VPN kullanın.”
Kaynak: (BYZHA) Beyaz Haber Ajansı
