Aklınıza girebi’leceği şekilde: Siber Güvenliğin 10 Temel Kuralı

İnternet hayatımıza gireli 20 yıldan fazla oldu ama hala internet güvenliği ya da diğer bir tabirle siber güvenlik konusunda bir arpa boyu yol almış değiliz. Yeni çıkan cep telefonu ve tabletleri almada, facebook, twitter gibi sosyal medya uygulamalarını kullanmada her zaman en önde olan necip Türk milleti, ne yazık ki, sıra “Siber Güvenlik” konusuna geldiğinde sınıfta kalıyor. Üstelik yıllardır kullanılan hep aynı yöntemlerle dolandırılıyoruz.


10Asla, asla, asla nereden geldiği belli olmayan bir linke tıklama!

Et tekrarü ahsen, velev kane yüzseksen. Bir kez daha tekrar edelim: “Asla, asla, asla nereden geldiği belli olmayan bir linke tıklama”. Anlamadıysanız, bir kez de “italik” tekrar edelim:

“Asla, asla, asla nereden geldiği belli olmayan bir linke tıklama”

Siber saldırıların büyük çoğunluğu, hâlâ (sene olmuş 2016) “phishing”  yani “oltalama” yöntemi ile çalışır. Geniş çaplı e-posta kampanyalarıyla gönderilen e-postalara tıklanması durumunda adım adım bilgisayar ele geçirilir.  Güncel e-posta programları ekli dosya alınmasına izin vermez, bu yüzden, gönderilen e-posta’daki linke tıklanması sağlanarak, adım adım zararlı yazılımın indirilmesi sağlanır. Örneğin, size bir fatura e-postası gelmişse, linke tıklama, “Google“dan ilgili kurumun web sitesini bul, faturanı oradan indir.




9Tanıdığını sandığın birinin gönderdiği linke de tıklama!

Phishing“‘in en çok kullanılan ikinci yöntemi, hedefli saldırıdır. Buna da “spare phishing” yani “mızraklı oltalama” denir. Bu yöntemde size gelen linkler tanıdığınız birinden gelir. Adınıza yazılmıştır, bazı kişisel detaylarınız vardır, belki ilk başta hitabı size garip gelebilir ya da aranızda kullandığınızdan farklı bir dil kullanmıştır, ama yine de merakınızdan gönderilen linke tıklarsanız başınız belaya girebilir. Bu kuralı, 3. kuralla beraber hatırlamakta fayda var.


8Tanıdığın birine yardım etmeden önce farklı yollardan teyit et

Sosyal medyada, özellikle Facebook‘tan, Twitter‘dan, diğer sosyal medya ortamlarında, tanıdığınızın profil resmi olan birinden gelen bir linke tıklamadan, bir isteği, bir ricayı yerine getirmeden, bir kampanya SMS’i göndermeden önce farklı yollardan teyit et. Telefon, email, whatsapp, telegram, skype gibi diğer mesajlaşma yollarıyla erişilebilir olduğunu bildiğiniz başka bir yoldan iletişime geç. Tanıdığınız birinin adına açılmış sahte ya da ele geçirilmiş hesaplarla  yapılan dolandırıcılık en popüler dolandırıcılık biçimi.


7Kullandığın cihazları ve programları düzenli olarak güncelle

Siber saldırıların büyük çoğunluğu, hangi yazılımı hedefliyorsa, o yazılımın güncel olmayan sürümündeki güvenlik açıklarını hedefler. Mesela, iPhone kullanıcıları için konuşursak, IOS 9.0 sürümündeki bir açığı hedefleyen bir kötücül yazılım, IOS 9.1’e yükseltilmesi durumunda etkisiz hale gelir. Bu durum bir çok yazılım için böyledir. Yazılımların henüz üreticisi tarafından keşfedilmemiş açıklarına “zero-day” yani “sıfır gün açığı” denir. Bir saldırgan eğer sıfır gün açığı kullanıyorsa bilin ki arkasında ya bir devlet vardır ya da çok yüksek bedeller ödenerek oluşturulmuş bir siber silah kullanıyordur. Bir çok anti-virus ya da anti-malware, güncellenmediği takdirde hiç bir işe yaramaz,  “sıfır gün açığı”na karşı çare değildir, o yüzden anti-virus kullanıyorum nasıl olsa diyerek tedbiri elden bırakma.



TIKLA  Alternatif enerjilere ilgi artıyor, fosil yakıtların sonu geliyor

6Her yerde aynı şifreyi kullanma

İşte bu, uyulması en zorlu kurallardan biri. Bir şifreyi birden fazla yerde kullanma sonucu sadece kendini değil, başka kullanıcıları da tehlikeye atıyorsun. Kullandığın bu şifre, ele geçirilmesi durumunda “şifre sözlüğü” denen sözlüklere girer ve başkalarının da şifresinin kırılması için deneme-yanılma anahtarı haline gelir. O yüzden mümkün olduğunda “gelişigüzel“,  bir anlam ifade etmeyecek şifreler kullan.


5Mümkünse 2 aşamalı doğrulama kullan

Artık çift aşamalı doğrulama bir çok ana akım işletim sistemi ve uygulamada var. En basitinden, Google hesapları için çift aşamalı doğrulamaya buradan geçebilirsin. Ayrıca Google Authenticator uygulamasını cep telefonuna kurarak, bu yöntemi destekleyen bir çok yazılımda bunu kullanabilirsin. Hangi uygulamaların ya da websitelerin desteklediğine buradan ulaşabilirsin. Yine de, PayPal’in hala 2 aşamalı doğrulamayı desteklememesi, bir çok kullanıcı için hala büyük hayal kırıklığı.


4Kullanmadığın ekranı kilitle

Ekran kilidinin etkin kullanılması, özel bilgilerinizin sızmaması için şart. Eğer parmak izi okuyuculu bir telefonun yoksa, etkin bir ekran kilidi kullanma yöntemi olarak, Android 5.0 ve üzeri işletim sistemlerinde “Google Smart Lock“u kullanılabilirsin. Bu uygulama akıllı saat, bluetooth kulaklık, bluetooth araç sistemleri gibi bir cihaza bağlandığında ekran kilidini otomatik olarak açar ya da ev/işyeri gibi güvenli alanlarda ekran kilidinin açık kalmasını sağlar. Kullanılmayan bilgisayarlar, hem ekran tasarrufu hem de güvenlik için kapatılarak güvence alınmalı.




3Herkese açık kablosuz ağlara bağlanma

Amerikalıların güzel bir sözü var:

Bedava peynir yalnızca fare kapanında olur.

Hiç akıldan çıkarılmaması gereken şey, hiç bir şeyin bedava olmadığıdır. Rahmetli Steve Jobs’un dediği gibi, “ürün bedavaysa, ürün sensin.” Kablosuz ağ açıksa, her türlü bilgini de açtığını kabul etmelisin. Kablosuz ağa bağlanman şartsa, VPN kullan, en azından kişisel bilgilerin VPN’in öbür ucundan görünsün -bedava VPN’in de bu kurala girdiğini unutma!-.


2Sertifika hatası veren sitelere bağlanma

Kısa bir hatırlatma: Sertifika, seninle bağlantıda olduğun site arasında başka kimsenin olmadığının anlamanın bir yoludur. Elbette, farkı teknikler kullanarak sertifikaları da kandırmak mümkün, ancak özellikle Google Chrome, Google siteleriyle (google, youtube, gmail) arana kimsenin girmediğini garanti eder. Unutma, güvenli bağlantı [highlight color=”green”]YEŞİL[/highlight], güvensiz bağlantı[highlight color=”red”]KIRMIZI[/highlight]. Niye yaptığını bilmiyorsan KIRMIZI’ya bağlanma.




1Ekranda yazan uyarıyı okumadan hiç bir şeye basma

uac

“İleri” “Next”  ya da “yav he he” deyip geçmek kolaydır, geri dönmek zordur. Kötücül yazılımlar, bir çok uyarıyı inatla okumayan kullanıcılar sayesinde bu kadar hızlı yayılmakta. Senden bir şey izni isteyen ya da bir şey indirmek isteyen yazılımlar çoğunlukla kullandığın işletim sisteminden bazı izin talebinde bulunur, bunları okumadan bu izinleri verme. Okuyup anlayıp kabul ettiysen başına gelenlerden de sorumlu olursun.

Bu 10 kuralı uygularsan, SGB yani “siber güvenlik sahibi birey” olursun. Ancak unutma, seni özellikle hedefleyen birisi varsa, ne yapar eder, bir zayıf yanını bulur ve istediğini bugün olmazsa yarın yapar.

 

1 YORUM

CEVAP VER

Please enter your comment!
Please enter your name here