Üsküdar Üniversitesi Mühendislik ve Doğa Bilimleri Fakültesi Bilgisayar Mühendisliği (İngilizce) Kısım Lideri Dr. Öğr. Üyesi Fatih Pak, 10 Şubat İnançlı İnternet Günü kapsamında dijital dünyadaki risklere dikkat çekti.
Güvenli internet, dijital dünyada riskleri ortadan kaldırma manasına geliyor
Güvenli internet kavramının birden fazla vakit sırf teknik bir sıkıntı üzere algılandığını belirten Dr. Öğr. Üyesi Fatih Pak, “İnternet tabiatı gereği çeşitli güvenlik riskleri barındırır. İnançlı internet, en geniş manasıyla, dijital dünyada bu riskleri ortadan kaldırma manasına geliyor. Nasıl ki gerçek hayatta konutumuzun, otomobilimizin kapısını kilitliyor, perdelerimizi kapatıyor, yabancıları konutumuza almıyorsak internet kullanırken de bilgilerimizi, mahremiyetimizi ve paramızı korumak için kimi önlemler almamız gerekir. Aksi halde farkında bile olmadan banka hesaplarımız boşaltılabilir üstelik hesaplarımızdan kredi kullanılarak ekstra borçlandırılabiliriz. Ayrıyeten ismimize şirket kurulabilir ve bu şirketlerde yasa dışı işler yapılabilir. Özel yazışmalarımız ve fotoğraflarımız makus gayeli kullanılabilir. Hasebiyle, inançlı internet hem maddi hem de manevi hayli ağır ziyanlara uğramamamız için hayati bir kıymet taşır.” dedi.
En yaygın tehdit oltalama ve toplumsal mühendislik saldırıları
İnternette en sık karşılaşılan tehditlerin başında oltalama (phishing) ve toplumsal mühendislik hücumlarının geldiğini belirten Dr. Öğr. Üyesi Fatih Pak, şöyle devam etti:
“Sosyal mühendislik de denen, teknik olmaktan fazla insanların dikkatsizliklerinden ya da farkındalık sahibi olmamalarından yararlanmaya çalışan taarruzlar en sık karşılaşabileceğimiz hücum çeşitleridir. Çoğunlukla oltalama (phishing) mantığıyla yapılan hücumlardır. Bir bankayı, kargo şirketini, devlet kurumunu yahut bilinen bir şirketi taklit ederek datalarınızı çalmaya çalışırlar. Bunu yaparken de ‘Hediye kazandınız’, ‘Size miras kaldı’, ‘Borcunuzu ödemediniz’ üzere iletiler yahut e-postalarla insanların bir anlık heyecanlarından yahut paniklemelerinden yararlanmaya çalışırlar. Telefonla arayıp kendilerini asker ya da polis olarak tanıtıp ‘İsminiz bir terör örgütü soruşturmasına karıştı’ diyen dolandırıcılar üzere. Bu halde sizi panikletmeye yahut ivedi ettirmeye çalışmalarından bunun bir oltalama saldırısı olduğunu anlayabilirsiniz. Ayrıyeten sizden bir linke tıklamanız istendiğinde, resmi bir web-sitesinin isminin çok benzerini, mesela sadece bir harf değiştirilmiş halini, sözlerin ortasına ‘-‘ eklenmiş halini, uzantısının değiştirilerek ‘.com’ yerine ‘.net’ vb. yapılmış halini kullanabilirler. Bunun üzere kuşkulu durumlarda linke tıklamadan, ilgili kurumun resmi sitesini ziyaret ederek adresin gerçek olup olmadığını anlamaya çalışmamız gerekir.”
Zararlı yazılımlar sessizce izleyebilir
Bir öbür değerli tehdit kümesinin ziyanlı yazılımlar (malware) olduğunu vurgulayan Dr. Öğr. Üyesi Fatih Pak, “Bunlar daha teknik akın cinsleridir ve tekrar azımsanmayacak kadar yaygındır. Virüsler, Truva atları ve casus yazılımlar örnek olarak gösterilebilir. Bilgisayarınıza yahut telefonunuza sızıp parolalarınızı çalabilir ya da kameralarınızdan izleme yapabilirler. Çoklukla ‘bedava sinema izleme’ ya da ‘ücretsiz oyun oynama’ sitelerinde karşımıza çıkarlar. Mesela bir sinema izleme sitesinde oynatma işaretine birkaç sefer tıklamanız gerekiyorsa ve her seferinde alakasız pencereler açılıyorsa büyük ihtimalle size ‘transparan katman’ denilen aslında görmediğiniz diğer bir link tıklatılıyordur. Bu sayede farkında olmadan kameranıza ya da bilgilerimize erişim müsaadesi veriyor olabilirsiniz.” diye konuştu.
Cihaz performansındaki ani değişimler değerli bir ihtar sinyali
Cihaz performansındaki ani değişimlerin değerli bir ikaz sinyali olabileceğini belirten Dr. Öğr. Üyesi Fatih Pak, “Cihazınız sebepsiz yere yavaşlamaya başladıysa yahut bataryası çok süratli bitmeye başladıysa bir virüs ya da casus yazılımdan şüphelenebilirsiniz. Bu yüzden resmi ve muteber olmayan yerlerden belgeler yahut uygulamalar indirmemek değerlidir. Bazen pdf uzantılı bir kitap indirdiğinizi zannedersiniz lakin aslında bu gerçekte bir çalıştırılabilir ziyanlı yazılım olabilir. Kimlik numaralarımız, doğum tarihimiz, cep telefonu numaralarımız da saldırganların amacında olabilir. Bu bilgileri gerekmedikçe ve muteber olmayan bireylerle paylaşmamalıyız. İnternette bir forum doldururken alakasız kimlik bilgileriniz isteniyorsa (annenizin kızlık soyadı vb.) bilgileriniz tehlikede demektir.” tabirinde bulundu
Sosyal medya paylaşımları güvenliği tehdit edebilir
Sosyal medya ve taşınabilir uygulamalarda paylaşılan şahsî bilgilerin önemli güvenlik riskleri doğurduğunu belirten Dr. Öğr. Üyesi Fatih Pak, “Çok kolay bir formda ailecek tatile gittiğinizi toplumsal medyada paylaşırsanız ve bu bilgi makus niyetli bireylerce elde edilirse meskeniniz hırsızlar için bir maksat haline gelebilir. Web sitelerinde güvenlik sorusu olarak okul, iş yeri, adres bilgileriniz kullanılabilir. Hasebiyle bu kolay bilgiler bile hassas bilgilerinize erişim için suistimal edilebilir. Yapay zekanın gelişmesiyle sesiniz yahut imgeniz kopyalanarak (deepfake) yakınlarınızdan para istenebilir. Saldırganlar ne kadar çok ferdî bilginize hakimlerse karşı tarafı ikna etmeleri o kadar kolay olacaktır. Taşınabilir uygulama konusunda da dikkatli olunmalıdır. Çok kolay bir uygulama, sizden rehberinize, pozisyonunuza, mikrofonunuza, kameranıza, fotoğraflarınıza erişim müsaadesi isteyebilir. Bu bilgiler şantaj hedefli kullanılabilir ya da ticari maksatla diğerlerine satılabilir.” dedi.
İki etaplı doğrulama, taarruzların büyük kısmını engeller
Parola güvenliğinin tek başına kâfi olmadığını lisana getiren Dr. Öğr. Üyesi Fatih Pak, şunları kaydetti:
“Artık hayatımızda onlarca parola var. Bunların katiyetle inançlı bir halde seçilmesi gerekiyor. Ancak aslında bu işin iki ayağı var, bir de parolalarımızı saklayan dijital platformlar parolalarımızı inançlı bir biçimde saklamalıdırlar. Hatırlarsanız internetin birinci yaygınlaşmaya başladığı yıllarda kullandığımız birçok değişik web sitesi artık yok. Bunun bir sebebi de kullanıcı parolalarını inançlı bir formda saklayamamış olmalarıydı. Bu yüzden alt yapısından emin olmadığımız platformlarda üyelik oluştururken düzgün düşünmeli ve öbür yerde kullandığımız parolaları kullanmamalıyız. Şöyle bir örnek verebilirim, şayet bir web sitesinde ‘parolamı unuttum’ dediğinizde size eski parolanızı eposta olarak gönderiyorlarsa derhal oradaki üyeliğinizi iptal etmeniz ve şayet birebir parolayı diğer yerlerde kullanmışsanız değiştirmeniz gerekir. Zira parolanız, kriptografik özeti bile alınmadan saklanabilecek en makus haliyle, düz metin olarak saklanıyor demektir. Parola güvenliği konusunda, sırf birilerinin parolamızı birkaç deneme ile bulmaya çalışacağını düşünmemeliyiz.” diye konuştu.
Teknoloji devi denilen birçok dijital platformun bilgi tabanları bile sızdı
Veri tabanı sızıntılarında teknoloji devi denilen birçok dijital platformun bilgi tabanları bile sızdığını hatırlatan Dr. Öğr. Üyesi Fatih Pak, “İşte parolalarımızın uzunluğu ve çeşitliliği burada devreye giriyor. Birçok sitede en az 8 karakterler içeren parola girmemiz istenir. Lakin günümüzde çağdaş ekran kartları 8 karakter uzunluğunda yalnızca küçük harflerle yazılabilecek yüz milyarlarca muhtemel parolayı saniyeler içerisinde deneyebilir. Küçük harflerle birlikte büyük harfler de kullanılırsa bu sefer tüm parolaları denemek dakikalar sürüyor. Bu yüzden sizden küçük harf, büyük harf, sayı ve özel karakterler kullanmanız istenir. Aslında tüm bunlar hesaba katılsa bile 8 karakter uzunluğundaki tüm parolaların denenmesi saatler alacaktır. Üstelik bir çoğumuz bu sayı ve özel karakter seçiminde de kestirim edilebilir seçimler yapmaktadır. Lakin bundan daha uzun parolalar da pek kullanışlı olmuyor. Bu yüzde hizmet sağlayıcılar ek birtakım tedbirler alarak, 8 karakter uzunluğundaki parolalarınızı (123456 yahut ‘qwerty’ üzere çok kolay değilse) inançlı olacak biçimde saklamaya çalışırlar. Biz de kullanıcı olarak iki kademeli doğrulama (2FA) kullanarak, mesela hesabımıza girerken cep telefonumuza gelen bir kodla doğrulama yaparak, parolamız kırılsa bile inançta kalabiliriz. İki evreli doğrulama hücumların çok büyük bir kısmını engelleyebilmektedir.” formunda konuştu.
5 unsurda inançlı internet rehberi
Dr. Öğr. Üyesi Fatih Pak, internet kullanıcıları için temel güvenlik tekliflerini şu formda sıraladı:
“Parolanızı mümkün olduğunca uzun, kestirim edilemez ve yalnızca sizin için manalı olacak halde seçin. İki basamaklı doğrulama kullanın.
Sosyal medyada şahsî bilgilerinizi tanımadığınız bireylerin görebileceği halde paylaşmayın.
Kaynağı meçhul yahut kuşkulu linklere tıklamayın.
Yazılımlarınızı yeni tutun ve korsan yazılımlardan uzak durun.
Halka açık ağlara bağlanıyorsanız muteber bir VPN kullanın.”
Kaynak: (BYZHA) Beyaz Haber Ajansı
