Etiket arşivi: güvenlik

Siber Güvenlik

Öğrencilerin siber güvenliği için işte 5 altın öneri

Yorum yapın

Çocuklar ortalama 10 ile 11 yaşları arasında ilk telefonlarını alıyor. Yani bu çocuklar ortaokul ve liseye geçtiklerinde teknoloji konusunda muhtemelen sizden daha çok bilgi sahibi oluyorlar. Ancak onları tehlikeye atacak ya da başlarını belaya sokacak olaylar hakkında sizin kadar deneyime sahip değiller.

ESET, okul sezonu başlarken çevrimiçi güvenlik konusunda yapılması gerekenleri sıralıyor.

Şahsi Cihazlar:

Güvenlik yazılımı yükleyin: Korunması gereken bütün cihazlarınıza güvenlik yazılımı yüklediğinizden emin olun. Bitmek tükenmek bilmeyen merakları, arama motoru kullanımları ve sosyal medya alışkanlıkları nedeniyle bu yaş grubundaki öğrenciler zararlı yazılımlarla daha çok karşılaşıyor.

Yedekleyin: Fidye yazılımı saldırılarında, sürücü hatasında ya da yanlışlıkla silinme sonucunda okulla ilgili yaptıkları çalışmaları kaybetmemelerini sağlayın. Büyük bir USB’ye veya taşınabilir sürücüye yatırım yapın, ya da işleri daha da kolaylaştırıp çevrimiçi yedekleme hizmeti kullanın.

Ebeveyn koruma sistemlerini gözden geçirin: Ebeveyn koruma sistemleri belirlenen kategorilerdeki sakıncalı sayfalara erişimi engelleyebilir ve cihaz kullanımına sınırlama getirebilir. Ancak bunun da dozunu kaçırmak zararlı olabilir. Çocuklarınızın arkadaşları, onları fazla kısıtlamayan ailelere sahip olabilir. Çocuklarınız büyüdükçe sınırlamaları azaltın, çünkü artık başlarının çaresine bakabilirler ve kendi kararlarını kendileri verebilirler.

Kameraların güvenli olmasını sağlayın: İnternette dolaşan saldırganlar, zararlı yazılımlar sayesinde kameraların uzaktan kontrol edilmesini sağlayabiliyor. Masum gençlerin ve yetişkinlerin fotoğrafları çekilebiliyor, bu kişiler tehditlerin ve şantajların kurbanı olabiliyorlar. Kamerayı bantlayarak ya da üzerini bir şekilde kapatarak bu konuda kolaylıkla önlem alabilirsiniz.

Sosyal medya alışkanlıklarına dikkat edin: Bu şekilde arkadaşlarıyla iletişim kuruyorlar. Ama arkadaş arasında söylenen sözler yüzlerce ya da binlerce insanın gözü önündeyken başka bir kılığa bürünebilir. Bu nedenle onlara şunları hatırlatın:

  • Paylaşım yapmadan önce düşün. Seni arkadaşların kadar iyi tanımayan insanların bunu görmesini ya da paylaşmasını gerçekten istiyor musun?
  • Sosyal medya uygulamalarındaki güvenlik ayarlarını kontrol et. Ne işe yaradıklarını, kimin neyi görebileceğini öğren. Bir yere gitmen gerekmiyorsa konumunun izlenmesine izin verme.
  • İnsanların her zaman söyledikleri gibi olmayabileceğini sakın unutma. Sosyal medya, artık bir okul bahçesi gibi oldu. Çocukların eğlenebileceği ama avcıları da kendine çeken bir yer.

Okul cihazları:

Okulun cihazlarını kullanan çocuklarınızı korumak için neler yapılabileceğine dair tavsiye almak istiyorsanız ESET’in sitesinde yer alan okul sezonu başlayan ilkokul öğrencileri için güvenlik yazısını okuyabilirsiniz.

Siber Bülten abone listesine kaydolmak için doldurunuz!

Siber Güvenlik

Parmak izine o kadar da güvenmeyin!

1 Yorum

Dijital güvenlik konusunda parmak izleri uzun zamandır nihai bir tamamlayıcı olarak görülüyor. Parmak izi okuyucular bir süredir artık akıllı telefonlara da entegre oldular. Parmakların tamamen kişiye özel ve çalınması imkansız olması nedeniyle parmak izi okuyucularının çok güvenli olmaları bekleniyor. Ama görünen o ki, tam olarak da öyle değiller. ESET Güvenlik Uzmanları, parmak iziyle ilgili 3 önemli efsaneyi mercek altına aldı.

Efsane 1: Parmak izleri, parolalardan daha güvenlidir.

Birçok insanın düşündüğünün aksine biyometrik okuyucular hatasız değiller. Kendilerine has açıkları, zayıf noktaları var, kandırılabilirler. Ayrıca izleri çalınabilir hatta bir fotoğraftan bile kopyalanabilir.

Örneğin Amerika’yı ziyaret eden 14 – 79 yaş arasındaki herkesin parmak izinin alınması kanuni bir zorunluluktur. Bu arada FBI’ın elinde yaklaşık 100 milyona yakın insanın parmak izi dosyası bulunuyor, üstelik bunların 30 milyondan fazlası hiç suça bulaşmamış insanların izi.

Söz konusu bu örnek, suçluların erişimine açık olabilecek özel bilgi depolarının varlığını gösteriyor. Eğer bilgiye erişilebiliyor ise, o bilgi çalınabilir ve aynen kredi kartlarında olduğu gibi suçlular tarafından kullanılabilir.

Efsane 2: Parmak izi kopyalanamaz

Apple 2013 yılında iPhone 5s’e parmak izi okuyucu dahil ederek yeni bir çığır açtı. Hem telefonunuzun süper koruma altında olacağını hem de Touch ID kullanarak iTunes ve Apple Store üzerinden parola girmeye gerek kalmadan kolaylıkla alışveriş yapabileceğinizi vaat etti.

Fakat gelin görün ki daha iPhone 5s’in piyasaya çıkmasının üzerinde iki gün geçmişti ki, kendine Starburg diyen bir Alman güvenlik araştırmacısı, herkesin indirebileceği bir yazılım olan VeriFinger’ı kullanarak Alman İçişleri Bakanı‘nın parmak izlerini kopyaladı. Hem de yüksek çözünürlüklü fotoğraflardan faydalanarak.

Daha günceli; 2016 yılında Biyometrik firması Vkansee, teknolojinin kandırılabileceğini gösterdi. Tek yapmanız gereken biraz kil ve biraz oyun hamuru edinmek. Bu şekilde sensörleri kandırmaya yetecek kadar detaylı parmak izleri edinmek gayet de mümkün oluyordu.

Efsane 3: Parmak izleri gelecekte parolaların yerini alacak.

Parmak izlerinin kopyalanarak cihazları kandırmak için kullanılabileceklerini düşünürsek, parolaların yakın zamanda işlevsiz hale gelmesi pek de mümkün görünmüyor.

Altı çizilmesi gereken nokta; tek bir çözüm hiçbir zaman tam güvenlik sağlamayak. Birçok uzman birden fazla güvenlik önlemi alınması gerektiğinde birleşiyor. Çünkü korumakta olduğunuz veriye birden fazla erişim yolu bulunuyor. Pratik hayatta parmak izi, parola ve iki faktörlü doğrulama gibi yöntemlerin kombinasyonu en doğru yol olacaktır. Özellikle de erişilmesini istemediğiniz fiziksel veya dijital veri çok önemli ise.

Siber Bülten abone listesine kaydolmak için formu doldurunuz
[wysija_form id=”2″]

 

Siber Güvenlik

Bilgisayarları güvenli hale getirmeyi unutun!

Yorum yapın

Anti-virüs programlarını yüklediniz. Hackerlara karşı önlemleriniz de yerinde. Sanal alemde iz bırakmamak için de elinizden geleni yapıyorsunuz. Ama yine de güvende misiniz?

İngiliz The Economist dergisine göre, güvende olmanıza imkan yok. Dergiye konuşan uzmanlar da bilgisayarları “tamamen” güvenli hale getirmenin imkanı olmadığı düşüncesinde.

Dergi, Google’dan örnek vererek şirketin, yaklaşık iki milyardan fazla kod ile baş etmek zorunda kaldığını ve bu kadar büyük veri içerisinde hataların “kaçınılmaz” olduğunu savundu. The Economist uzmanlarına göre manşetlerin ötesinde, dijital hırsızlığın yaygınlaştığı ve “hackerların kiralandığı” karaborsa hacim olarak da giderek büyüyor.

Analize göre, dijital sektörün yüzleştiği bu zorluklarla mücadele yeni bir bakış açısının geliştirilmesini zorunlu hale getiriyor. Uzmanlara göre internetin henüz yeni yayılmaya başladığı dönemde hatalar “affedilebilirdi” ancak bugün güvenliğe ilişkin aynı hataları tekrarlamak için artık herhangi bir bahane yok. Dergiye göre güvenlik sektöründe bugün daha fazla aksiyon almak sadece “teknik” değil “ekonomik” araçların da – örneğin regülasyon- kullanılma zorunluluğunu beraberinde getiriyor.

IT sektörü ve regülasyon

Derginin kapak konusunda hackerlar için bir güvenlik açığının istismar edilmesinin ne kadar “karlı” bir iş olduğu, konusu ve güvenlik yatırımlarının devasa büyüklüğü de ele alındı.

Ayrıca dergi, güvenliğin yüzde yüz sağlanamayacağı ya da zararların sıfıra indirilemeyeceği çok sayıda sektör olduğuna da dikkat çekti. Ancak bu sektörlere ilişkin risklerin bir takım kanuni düzenlemeler ve regülasyonlarla azaltılabileceği ifade edildi. Bu çerçevede, yazarların IT sektörüne ilişkin önerdiği bir diğer çözüm “daha fazla regülasyon”.

Siber alem saldırgan için “kârlı”

Makalenin değindiği bir diğer konu da güvenlik endüstrisinin de kanayan yarası olan “neden her şey hacklenebilir?” sorusu. Bu noktada analize göre püf nokta aslında “karmaşıklık” arttıkça saldırıların ve saldırganların da erişebileceği alanın genişlemiş olması. Uzmanlar bu noktada, küresel ölçekte faaliyet gösteren firmaları “saldırı yüzeyini” daraltmaları için işbirliğine de davet ediyor.

İlgili haber >> Siber güvenliğin dünyaya maliyeti 1 trilyon dolar olacak

Economist dergisinin yorumuna göre, siber uzay saldırganlar için ekonomik anlamda oldukça “kârlı”. Nitekim kötücül ya da zararlı yazılımlara erişmek eski dönemlere nazaran daha kolay, güvenlik yatırımları görece düşük, kazanılabilecek gelir potansiyeli ise yüksek. Gerçek anlamda net rakamlardan bahsetmek zor ancak uzmanların işaret ettiği pazar milyar dolarlarla ifade ediliyor.

İleri teknoloji üreten şirketlerdeki körlük…

Öte yandan dikkat çekilen bir konu, ileri teknoloji kullanan endüstrilerin güvenlik konusundaki duyarsızlığı. Bu hususta, yazarlara göre, ileri güvenlik kullanan sektörlerde “ürünü gönderin güvenlikle önümüzdeki hafta ilgileniriz” mantalitesi ağır basıyor. Öte yandan yine de bu konuda çok kötümser de olmamak gerekiyor, nitekim uzmanlara göre bir çok start-up ve büyük şirket güvenlik konusunu öncelemeye başladı ve bu konudaki yatırımlarını hızlandırdı.

Donanım tarafında izolasyon çözüm mü?

Yazarların getirdiği bir diğer çözüm önerisi, donanımsal izolasyona ilişkin. Nitekim uzmanlara göre bu izolasyonun kullanılması saldırı yüzeyini giderek daraltarak daha çok güvenlik sağlayabilir ve siber saldırıların ekonomisi üzerinde önemli bir fark yaratabilir. Donanım tarafında yapılacak bir izolasyon, güvenlik açıklarının bulunmasını güçleştirirken saldırganlar için bir saldırıyı daha maliyetli ve dolayısıyla daha az çekici kılacaktır.

İlgili haber >> Hackerları durdurmak için bir sonraki hedef: Yüksek Güvenlikli Hapishaneler  

Bununla beraber, karmaşık ve büyük ölçekteki bir bilgisayar kodunu geçmişe dönük şekilde güvenli kılma çabası hem çok maliyetli hem de zorlayıcı. Bu açıdan elbette her ne kadar pratikte bazı uygulamalar için zor olsa da uzmanların önerisi güvenliğin henüz inşa sürecinde hesaba katılması. Bu çerçevede uzmanlara göre, donanım tarafında yapılacak bir izolasyon var olan uygulamaların “güvenli” hale getirilmesinde ve saldırı yüzeyinin daraltılmasında şirketler için önerilen maliyet dostu uygulamalardan biri olarak karşımıza çıkıyor. Son olarak siber güvenliğin oldukça prestijli bir ekonomi yayını tarafından konu edilmesi oldukça önemli, nitekim siber uzaydaki çözümler artık teknik boyutlarının yanı sıra ekonomik etkileriyle de manşetlerin ön sıralarında yer tutuyor.

Siber Bülten abone listesine kaydolmak için formu doldurunuz
[wysija_form id=”2″]

Makale & Analiz

Sosyal Mühendislik Neden En Büyük Kaygımız Olmalı?

Yorum yapın

Hepimiz temel önlemleri biliyoruz aslında: güçlü şifreler, iki katmanlı onaylama vb. Fakat son zamanlardaki güvenlik ve mahremiyet ihlali içeren saldırılara baktığımızda, bu saldırıların kötü seçilmiş şifrelerle ilgili değil, daha çok sosyal mühendislike ilgili olduğunu görüyoruz. Şimdi hep birlikte sosyal mühendisliğin ne olduğuna, nasıl gerçekleşebileceğine ve kendinizi nasıl koruyacağınıza bakalım.

Sosyal Mühendislik Nasıl Çalışır?

Sosyal mühendislik, güvenlik sistemlerini – ya da herhangi bir sistemi – aşmayı amaçlayan bir saldırıdır. Bu saldırı, sistemin içindeki sistem zaafiyetlerini kullanarak değil de, sistemin içindeki insanların zaafiyetlerini kullanır. Sistemin içine sızmak ya da şifre kırmak yerine, bir teknoloji destek uzmanını şifreyi değiştirtip size vermesini sağlayarak, veya elinizdeki bilgileri kullanıp onaylı bir kullanıcı gibi davranarak sistemi kandırarak içine girmek gibi.

Sosyal mühendislik, temelinde, bir hacking türüdür. Masum şakalar için kullanılabilmesi mümkün olduğu gibi, kimlik bilgileri çalmak için, insanların mahremiyetlerini ihlal etmek için veya sistemlere zarar vermek için kullanılabilmektedir. Son günlerde de ünlülerin mahrem fotoğraflarının internete sızdırılmış olması da, brute force saldırılarından veya gevşek güvenlik önemlerinden dolayı değil, sosyal mühendislik kullanılarak gerçekleştirilmiştir. Sosyal mühendislik konusunda asıl korkutucu olansa, hedef hakkında biraz araştırma yaparak kolaylıkla bu tür saldırıların gerçekleştirilebilmesidir.

Sosyal mühendisliğin bir kaç çeşidi vardır. Hedef kullanıcıyı ikna ederek ondan bilgi almak kullanılan yöntemlerden biridir. En başarılı olan yöntemse, hedefinizin sizin kim olduğunuzu anlamamasını sağlamaktır.

Sosyal Mühendislik Saldırılarına Neden Dikkat Etmeliyiz?

Sosyal mühendislik saldırılarına karşı korunmada en önce şifre güvenliği gelmektedir. Kolay tahmin edilemeyecek şifre seçimi ve iki katmanlı onayla giriş yapmak çok önemlidir. Şifre güvenliğine önem verilmeli, fakat unutulmaması gereken başka bir mesele de artık hackerların sadece tek bir şifreyle ya da hesapla zaman kaybetmek istemedikleri gerçeği. Bundan dolayı, fazlaca değerli gördükleri hedeflerin hesapları hackerlar için daha cazip görünüyor.

Sosyal Mühendislik Saldırılarından Nasıl Korunuruz?

The Washington Post gazetesinde çıkan bir yazıda, bir kullanıcının iCloud hesabındaki güvenlik sorularının nasıl aşılabileceği ve bunun ne kadar kolay olduğu anlatılıyor. Ünlülerin mahrem fotolarının sızdırıldığı son saldırıda da bu şekilde bir yöntem kullanıldığı düşünülüyor. Hedef hakkında biraz araştırma yapmak bu tür gerekli bilgileri saldırganlara kolayca sağlıyor. Peki bu durumda, bu tür saldırılardan korunmak için neler yapabiliriz?

  • Kesinlikle gizli bilgilerinizi başkalarına vermeyin. Sosyal medyada sizi arkadaş olarak ekleyerek bir dostunuzmuş gibi yapan kullanıcılar ile herhangi bir bilginizi paylaşmayın. Tanımadığınız insanların arkadaşlık tekliflerini kabul etmeyin. Sizi bankanızdan aradıklarını söyleyen aramalara güvenmeyin.
  • Çalıştığınız kurumun IT departmanından aradıklarını söyleyen veya sisteminizde bir hatayı gidermek üzere görevlendirildiğini söyleyerek sizden herhangi bir bilgi talep eden kişi veya kişilere karşı dikkatli olun ve talep ettikleri bilgiyi asla vermeyin. Unutmayın, gerçek sistem uzmanları asla kişisel bilgileri sormazlar.
  • Kendiniz hakkında önemsiz olduğunu düşündüğünüz bilgileri bile koruyun. Özellikle güvenlik soruları, “Anne doğum yeri” veya “ilk evcil hayvan adı” gibi tahmin edilmesi son derece kolay cevaplardan oluşur. Hesap sahibi kullanıcılar da, cevapları kolay hatırlayabilecekleri soruları seçerler, ama bu sorular sadece kendileri için kolay değildir. Eğer güvenlik sorusu kullanacaksanız, en muğlak ve dengeli cevabı vermeye çalışın. Unutacağınızdan korkuyorsanız da bu cevabı kriptolayarak bilgisayarınızda muhafaza edin.
  • Güvenlik sorularına yalan cevaplar verin ve bu yalanları devamlı hatırlayın. Doğum yeriniz konusunda, örneğin, Cincinnati yerine Little Rock’da doğduğunuzu yazabilirsiniz. Ya da kendiniz bir cevap uydurabilirsiniz. Bu durumda önemli olan, burada verdiğiniz cevapları daha sonra hatırlayabilmenizdir.
  • Her şifre resetleme emailini şüpheyle karşılayın. Güvenli gibi görünen emailleri bile dikkatle inceleyin. Saldırganlar, bir taraftan şifrenizi değiştirmeye çalışırken, bir taraftan da size şifre değiştirme uyarıları gönderildiğinin farkındadırlar. Fakat bu uyarılarda, “Eğer bu talebi siz yapmadıysanız herhangi bir işlem yapmanıza gerek yoktur.” kısmı, sizi hiç bir şey yapmamaya itmesin. En azından kullandığınız servisin müşteri hizmetlerine ulaşmaya çalışarak, hesap şifre işlemlerinin dondurulmasını talep edebilirsiniz.
  • Hesabınızı ve hesap hareketlerinizi takip edin. Şifre işlemlerini takip ettiğiniz gibi, hesap işlemlerinizi de kontrol edin. Örneğin, hesabınızın nerelere bağlı olduğunu görmek için Google Dashboard’u inceleyebilirsiniz. Bulut bilişim hizmetleri, sosyal medya hesapları ve email sağlayıcılardaki hesaplarınız için bu kontrolleri gerçekleştirin. Finansal hesaplarınızı da kontrol edin, sadece bankanızın sağladığı sistem girişi ile online bankacılık kullanın.
  • Şifrelerinizi, önemli hizmet bilgilerinizi ve güvenlik sorularınızı mutlaka çeşitlendirin. Aynı şifreyi kesinlikle birden fazla platformda kullanmayın. Aynı güvenlik sorularına aynı cevapları vermeyin. Bu durumlarda, tek bir hesabınızı hacklemeyi başaranların, bütün internet hayatınızı bitirebileceğini unutmayın. Bir saldırıya uğrasanız bile, bu saldırının kısıtlı kalması sizin elinizde.

Sosyal mühendisliklere karşı bu gibi durumlar dışında da dikkatli olmak gerekiyor. Online oyun sitelerinde, chat odalarında veya benzeri internet platformlarında mutlaka dikkatli olmak şart. Çünkü sosyal mühendislik, en temel insan zaafiyeti üzerinden ilerliyor, yani, ikna edilebilirlik.