Hiç internet kafeye gittiniz mi ?

Sanırım herkes, ister evinde bilgisayar olsun,  ister işyerinde bilgisayarı olsun,  bir şekilde  internet kafeye gitmiştir.

İnternet kafelerde kim ne yapar ?

• Kimi internet kafede oyun oynar.
• Kimi sohbet eder.
• Kimi ev ödevini yapar.
• Kimi de faturalarını öder.
• Kimi bankacılık işlemi,
• Kimiyse internette sörf.

Siz bunlardan hangilerini yaptınız yada yapmaktasınız ?

Ne yaparsanız yapın ama ;

• İnternet kafede bankacılık işlemi yapmayın.
• İnternet kafede kredi kartınız üzerinden fatura ödemeyin.
• İnternet kafede EFT yada havale göndermeyin.
• İnternet kafede  kredi kartı yada banka kartı bilgilerinizi  girmeyin. Hele şifrelerini asla.
• İnternet kafede özel bilgilerinizi girmeyin ( TC Kimlik no, Emekli Sandık no, Nüfus Cüzdan no gibi…)

” Vay internet kafe düşmanı! ” diyenleri duyar gibiyim. Herhalde diyenler de elit müşterilerini kesmeye çalıştığım internet kafe sahipleridir.

Burada sahneye keylogger giriyor. Nedir bu keylogger ?

Keylogger bilgisayara klavye ile girdiğiniz tüm bilgileri harfi harfine kaydeden bir programcık. Küçük ufacık ama boyundan büyük işler yapan program.

Keylogger;

• klavyeden girdiğiniz tüm karakterleri bir text dosyası halinde bilgisayara kaydeder.
• Keylogger yazılımının yeteneğine göre bu bilgileri belli e-postaya gönderir. Hatta periyot oluşturularak hergün, haftada bir gibi zaman planlaması bile yapılabilir.
• Virüs temizleme proğramları genelde keylogger programını virüs gibi tespit edip siler. Ancak MacAfee, Norton gibi güçlü en güncel yazılımların bile göremediği keyloggerlar mevcuttur.
• Bilgisayarda kurulu keyloggeri kısayollarda, sağ alt menüde farketmek mümkündür. En sağlamı denetim masasından bilgisayarda kurulu programlarda gözlemleyebiliriz. Yine ancak kurulum gerektirmeyen modelleri de vardır. Bu demektir ki  Avrupa Yakasındaki Burhanın dediği gibi ” ben aslında yooğuuum ! “

Anlayacağınız bankacılık işlem yapacam diye girdiğiniz tüm bilgiler ( kart numarası, son kullanma tarihi, son üç rakam, şifresi gibi) art niyetli başka şahısların eline geçer.Gerisini siz düşünün artık.

İnternet kafe sahibi ” benim kalbim temiz yapmam ” desede gerçekten doğrudur. O yapmaz.  Ama internet kafeye gelen herhangi art niyetli bir kişi kullandığı bilgisayara keylogger programcığını yükler. Ondan sonra o bilgisayarı kullanan tüm kullanıcıların bilgisine erişebilir.

Şimdi diyeceksiniz ki ” internette bankacılık işleminde sadece klavyeden şifre girmiyoruz. Aynı zamanda ekrandan farklı versiyonlarda oluşmuş görüntülü klavyeden de ikinci bir şifre giriyoruz. Buna ne diyecen ? ” . Allah derim. Bilgisayar ekranını görüp takip edecek bir çok admin ( yönetici ) yazılımları mevcuttur. Bu tip admin programların en basiti ağdaki bilgisayarın ekranını karşısına getirtir. Sizin girdiğiniz şifreleri görür. Diyeceğim odur ki görüntülü şifre girişi de  para etmiyor.

İnternet kafeler ” her horoz kendi çiftliğinde öter” misali sizin kontrolünüz dışında farklı bir mekan. Her tür hack, crack işleminin alt yapısının ağa kurulabileceği bir ortam.

Siz siz olun internet kafelerde mahrem konularınıza girmeyin. Sörf yapın, ödev yapın. Bol bol oyun oynayın. Çok güzel online oyunlar var. Tadını çıkarın.

İnternet bankacılık işlemlerinizi kendi şahsınıza ait özellikle evinizde sizden başka şahsın ulaşamayacağı bilgisayarlarda yapın. Bir şartla. Bilgisayarınızda güvenlik tedbirlerini almanız şartıyla.

” Kendi bilgisayarımda almam gereken bu güvenlik tedbirleri nedir ? ” derseniz o da başka bir yazımda. Saygı ve sevgilerimle…

Bu sitede sizlere kendimi tanıtmaktan ziyade fikirlerimi tanıtmayı düşünüyorum. Kendimi tanıtacak bir bölüm oluşturup orda kendimden elbette bahsedeceğim. Dileyen ordan benim hakkımda bilgi edinebilir. Bu sadece bir ayrıntı.

Burada  yazmayı düşündüğüm konu sadece kendimle ilgili bilgiler değil, özellikle uzun yıllar gerek amatör, gerekse profesyonel olarak uğraştığım alanlarla ilgili olacak.

“ Peki ben uzun yıllar neyle uğraştım. Hangi konularda yazacağım? “

• Özellikle son yıllarda PHP ve MySQL yazılım dilleri hakkında,
• Uzun yıllar uğraşı verdiğim bilgi güvenliği konularında,
• Henüz yeni tanıştığım ( yeni dediğim yaklaşık 6 aydır) wordpress blog yazılımı hakkında,
• Teknolojinin kullanımı, yeni çıkan teknolojilere farklı bir yorum katmada,
• Az biraz ağ teknolojileri hakkında,
• HTML hakkında,
• CSS hakkında,
• Paket yazılımlar hakkında,
• az biraz SEO
• bilgisayar dışı farklı konularda,

kısacası benimde tuzum olsun diyebileceğim her konuda.

Yorumlar kısmını herkese açık tutmayı düşünüyorum. Herkesin fikri benim için değerlidir.

Şu an itibariyle henüz beni duyan izleyen kimse yok. Çünkü google amca, yahoo amca, msn amca ve diğer amcalar beni arama motorlarına henüz katmadılar. Umarım en kısa sürede arama motorlarında olurum.

Burdan müsadenizle bir anons geçmek istiyorum.

” Google,yahoo, msn, altavista ve tüm amcalar duyun beni. Sitemi yeni açmış bulunmaktayım. Daha önce http://www.kolaytest.web.tr sitesinde önceden yazdığım wordpress ve bilgi güvenliği konulu yazılarımı bu siteye aktaracağım. Sakın spam olarak algılamayın.  Daha baştan bu site spam yazılar yayınlıyor diye neydi o kum havuzu mu ne ha sandbox olmayalım. ”

Bilgi paylaştıkça çoğalır.

Herkese sevgi ve saygılarımı sunuyorum.

Ortaçağ skolastik düşünce sisteminin terkedilmesiyle birlikte, hızla gelişen teknoloji sanayi devrimini doğurmuş ve bunun doğal bir sonucu olarak ta insanlık yepyeni bir bilgi çağına adım atmıştır. İlerleyen yıllarda iletişim teknolojilerinin sürekli artan bir ivmeyle gelişmesi sonucunda bilgi ve bilginin güncelliği insan yaşamındaki en önemli unsur haline dönüşmüştür.

Daha önceki çağlarda dünyanın farklı yerlerinde yaşayan insanlar atlı haberci, posta güvercini gibi hız ve güvenlik açısından zayıf yöntemlerle iletişim sağlarken, 19. yüzyılın ikinci yarısından itibaren telgraf ve telefon gibi daha pratik ve hızlı iletişim yöntemleri geliştirilmiştir. Teknolojik gelişim bunlarla da yetinmemiş geçtiğimiz asırda insanoğlu tarihindeki en büyük ilerlemeleri kaydetmiştir. Radyo ve televizyon kullanımı ile gelişen bilgi çağı uydu iletişimi, mobil telefonlar ve nihayet internetin hayatımıza girmesiyle birlikte insanoğlunu hayallerinin ötesinde bir hızlı iletişime ve bilgi paylaşımına sürüklemiştir.

Özellikle internetin kullanımı, insanların dünyanın diğer bir ucundaki bilgiye çok kısa bir zamanda ve özgürce ulaşmasına olanak tanımıştır. İnternet kullanımının bu denli yaygınlaşması sonucu ortaya çıkabilecek uyumsuzluğu ve kaosu ortadan kaldırmak için, bir takım standartların geliştirilmesi de kaçınılmaz hale gelmiştir. TCP/IP protokolü internet bağlantılarını dünya çapında belli bir standarda oturtan bir sistem olarak karşımıza çıkmış ve hızla yayılmıştır. Daha önceleri akademik ve eğlence amaçlı kullanılan bu yeni teknoloji, zamanla iş dünyasının da kaçınılmaz bir parçası haline gelmiş ve dünyanın her köşesindeki firmalar büyük bir hızla kendini internete adapte etmeye başlamışlardır.

Elbette ki internetin bu denli yaygın kullanımı bir takım art niyetli kişilerin de dikkatini çekmiş ve eskiden açık denizlerde ticaret gemilerini avlayan korsanların teknolojik versiyonu olan internet korsanları “hacker” türemiştir. İnternet üzerindeki veriler herhangi bir korumaya tabi tutulmadan çıplak olarak aktığı için, bu verilerin istenmeyen kişiler tarafından ele geçirilmesi işten bile değildir. Ayrıca TCP/IP protokolünün tasarım yönünden sahip olduğu güvenlik zaafı tehlikeyi artırmaktadır.

Dünyada en yaygın olarak kullanılan işletim sistemi olan MS Windows’un güvenlik ayarları korsanlara karşı korunma için yeterli olamamaktadır. Ayrıca tüm dünyada kullanılan güvenlik duvarları(firewall), virüs tarayıcıları, şifreleme araçları gibi çok sayıda güvenlik programı PC’leri sürekli kontrol altında tutmak ve bu şekilde tüm saldırılara karşı güvenli kılmak şeklinde bir görev üstlense de, maalesef bu konuda yetersiz kalmaktadırlar. Zira, işinde uzmanlaşmış bir hacker, gerekli gördüğü her sisteme sızabilmektedir.

E-posta bombardımanları, truva atları, web hijacking ve hatta alışılagelmiş basit ve küçük aldatma hileleri… Konfigürasyonu kötü yapılmış güvenlik duvarları ve güvenlik güncellemelerindeki eksiklikler, bilgisayarları saldırganlara kendi elleriyle teslim etmektedirler. Her türlü saldırıya karşı önlem aldığını düşünen kullanıcılar, birçok kez hayal kırıklığına uğrayabilmektedirler. Bunun en güncel örneği Norton Antivirus 2004 vakasıdır. Symantec’in yazılım güncelleme aracı “Live Update“in sahip olduğu bir güvenlik açığı sayesinde, saldırganlar PC üzerinde yönetici haklarına sahip olabilmektedirler. İşte size internet denizinin köpek balıkları için keşfedilmiş büyük bir besin kaynağı.¹

Korsanlar ve köpekbalıkları cephesinde gelişmeler çok büyük bir hızla yaşanırken, güvenlik ile ilgili çalışmalar çok yavaş bir tempoda devam etmektedir. Güvenlik konusunda ulaşılan nokta henüz arzulanan düzeye gelememiştir. Yine de internet üzerinde güvenliğin sağlanması için bir takım yöntemler vardır. İnternette güvenlik; internet aracılığı ile bir yerden bir yere akan verilerin gideceği yere doğru, bozulmamış, başkaları tarafından ele geçirilmemiş ve silinmemiş bir halde ulaşmasıyla sağlanır. Verilerin istenilen yere bu şekilde ulaşması için izlenmesi ve alınması gereken bir takım önlemler vardır. Bu önlemler güvenli ağ katmansal yaklaşımı ile sağlanabilir. Bu da pek çok güvenlik konusunu dikkate almayı gerektirir. Bunun için de güvenlikte dikkate alınması gerekli noktaları sıralayacak olursak ;

Güvenlik politikası: Bir kurumda tam anlamı ile tanımlanmış ve belgelenmiş bir güvenlik politikası yok ise, veya varolan politika her kademedeki kullanıcıya sistemli bir eğitim ile aktarılmamış ise, ve bu politikanın uygulanışı tarafsız bir kişi veya kurum tarafından düzenli kontrollerle denetlenmiyor ise, ne kadar sıkı önlem alınırsa alınsın, en alt düzeyde görevlinin yapacağı basit bir hata güvenliği tümüyle tehlikeye atabilir.

Programlanmış tehlikeler ve güvenlik duvarları: Dışarıdan gelecek her türlü virüs, truva atı, solucan vb. saldırılarını önlemek için güvenlik duvarlarına (Firewalls) ek olarak, yeni üreyen virüslere karşı sürekli güncelleştirilen virüs bekçileri kullanmak gerekir. Bugün iki saatte bir yeni bir virüs üretildiği düşünülür ise, bu güncelleştirmenin ne kadar önemli olduğu ortaya çıkacaktır.

Ancak kurumlar için güvenlik duvarlarının ne kadar önemli ve yararlı olduğunun pek çok kişi ve kurum tarafından bilinmesine karşın, yapılan anket çalışmaları kurumların halen % 50 sinin güvenlik duvarına sahip olmadığını göstermiştir.

Ağ ve sistem kuruluşu: Kullanım amaçlarına göre pek çok farklı ağ kurulumu gerçekleştirmek olasıdır. Bu ağ kurulumları gerçekleştirilirken kurumun kendisine en uygun olan ve güvenliği en iyi sağlayabileceği ağ yapısını kullanması çok önemlidir.

İşletim sistemleri: Servis sağlayan işletim sistemleri, çok karmaşık ve çok esnek yapıya sahiptir. Çok sayıda servis ise dışarıdan gelen saldırılara çok sayıda açık kapı demektir.

Örneğin UNIX ve Windows için halen daha pek çok saldırıya açık deliklerin bulunduğunu söylemek yanlış olmayacaktır. Bu nedenle işletim sistemlerinde internete bağımlı servislerle, File Transfer Protocol (FTP) ve Telnet gibi uygulamalarda çok dikkatli olunması gerekmektedir. Böyle durumlarda güvenlik duvarları kullanmak gerekli bir yöntemdir.

Bu özellikler internet güvenliğinin sağlanması için temel oluşturmaktadır. Bunların dışında birçok güvenlik tedbirlerinin alınması da gerekmektedir. Kullanıcıların dikkatli ve ne yaptığını bilen kişiler olması güvenliği tehdit eden unsurların gücünü olabildiğince azaltacaktır. İnternette güvenlik ilk önce kullanıcı tarafından sonrada sistemin bizlere sunduğu özelliklerden yararlanılarak sağlanabilir.

Nasıl bir zincirin gücü en zayıf halkası ile temsil edilir ise bir sistemin güvenliğinin gücü de o sistemin en zayıf noktası ile belirlenir. İngilizlerin deyimiyle “You are as strong as your weakest unit“. Yani “En zayıf biriminiz kadar güçlüsünüz“.

Kuzey Kore’nin Hyungsan bölgesindeki dağlarda, askeri bir akademi 100 siber-asker eğitiyor. Neredeyse 20 yıldan beri var olan bu okulun temel hedefi, kendisini siber dünyada savaş vermeye adamış kalifiye hackerlar yetiştirmektir. Mirim Koleji olarak bilinen bu yerden mezun olanlar, tanınmış virüsler yazmaktan, en uç güvenlik önlemlerine sahip networklere ulaşmaya kadar her şeyi öğrenerek mezun oluyorlar.²

Dünyadaki bir çok gelişmiş ve gelişmekte olan ülkede internet güvenliği konusunda çok ciddi araştırmalar ve çalışmalar yapılırken, ülkemizde bir çok bilişim şirketi güvenliği halen fiziksel zararlardan korunma olarak algılıyorlar. Birçok şirket kapısında koruma görevlisi çalıştırırken, asıl maddi gelir elde ettiği bilişim sistemleri için herhangi bir güvenlik personeli istihdam etmekten kaçınmaktadır. Oysa bu konuda, Türkiye’de, dünya çapında adı duyulmuş şirketlerden bile daha kaliteli hizmet sunan güvenlik şirketleri bulunmaktadır. Durumun ortaya çıkarabileceği tehlike, kopan bir fiber optik kablodan daha sıkıntılı bir internet ortamı yaratacaktır.³

Farklılık ve rekabet avantajı sağlayan entellektüel varlıklar, organizasyonlar için çok değerlidir. Birçok varlığın kaybedilmesi durumunda bunlar kolaylıkla telafi edilebilirken, organizasyonların yaşam deneyimlerini de yansıtan “bilgi” para karşılığı kolaylıkla yerine konamamaktadır. Bilgiyi korumak, bilginin güvenliğini sağlamak artık zorunludur; eskiden olduğu gibi güvenlik sadece “ek” bir yatırım olarak değerlendirilmemelidir. Bir bilgi sistemi, hatta geniş bakış açısıyla bir organizasyon tasarlanırken, bilgi güvenliği de düşünülerek bu konu çözümlerin içine gömülmelidir ve temel hedefler arasında bulunmalıdır.

Bir organizasyonun “bilgi sistemine” yönelik güvenlik tehdidi çoğu zaman iş kalitesine ve verimliliğine yönelik tehdide dönüşmektedir. İşte bu noktada, bir akıllı sistemi kurgularken, bilgi güvenliğini sağlamaya yönelik çözümleri de kontrol listesi içinde bulundurmak, çözümün içine gömmek günümüzde vazgeçilemez olmuştur. Çünkü bilgi güvenliği en basit tanımıyla, “iş”inizi kesintiye uğratmaksızın devam ettirmenizi garantileyecek önlemlerin bir bütünüdür.

Güvenlik yolculuğunun ilk adımı, ilgili riskleri ve gereksinimleri doğru saptamaktır. Güvenlik konusunda, en optimum çözümlere karar verilebilmesi, Nelerin?, Ne derecede?, Neye karşı? ve Nasıl? korunması gerektiğinin bilinmesi ile mümkündür. Bu, “güvenlik değerlendirmesi” sürecidir.

Hep adreslendiğinin aksine, bilgi güvenliği sadece bir bilgi teknolojisi ya da yine yaygın söylemle bilgi sistemleri işi değildir; kurumun her bir çalışanının katkısını ve katılımını gerektirir. Ciddi boyutta bir kurum kültürü değişimi gerektirdiği için, en başta yönetimin onayı, katılımı ve desteği şarttır. Bilgi teknolojilerinin gerekli gördüğü ve uyguladığı teknik güvenlik çözümleri, tasarlanmış iş süreçleri ve politikalarla desteklenmemiş ve kurum kültürüne yansıtılmamışsa etkisiz kalacaklardır. Gerekli inanç ve motivasyon yaratılamamışsa, çalışanlar şifrelerini korumakta özensiz, hassas alanlarda gördükleri yabancı kişilere karşı aldırmaz ve kâğıt çöpüne gerekli imha işlemini yapmadan atacakları bilgilerin değeri konusunda dikkatsiz olabilecekler ve yapılan güvenlik yatırımlarına karşın büyük bir açık oluşturmaya devam edebileceklerdir. Yüzde yüz güvenlik sağlamanın mümkün olmadığı bilinir. Bu döngünün amacı, caydırıcı, önleyici, düzeltici ve algılayıcı kontrollerle riskleri, tehditleri, açıkları ve işimize etkilerini önemli ve kabul edilebilir ölçüde azaltmaktır.

Bu konunun uzmanlarından Mehmet Güven’in : “Saldırının nereden ve nasıl geleceğini bilmeyen hiçbir kimse savunma yapamaz“⁴ saptamasında olduğu gibi, hackerden öte olayları algılayabilen ve müdahale edebilen güvenlik uzmanlarına da ihtiyacımız vardır. Bu yetenek ve bilgi birikimine sahip elemanların yetiştirilmesi ve şirketlerde bilişim sistemlerinde görev yapması hayati önem taşımaktadır.

Yararlanılan Kaynaklar:

1. 2004 Hacker Raporu, Chip Bilgisayar Dergisi, Nisan 2004, s.44
2. Web Sayfaları Nasıl Hack’leniyor? , PCWorld Bilgisayar Dergisi, Eylül 2003, s.28,30
3. Kuzey Kore’de Hacker okulu , PCWorld Bilgisayar Dergisi, Temmuz 2003, s.18
4.  Mehmet Güven, İnternette Güvenlik ve Hacker Cracker Meselesi, Grafiker Yayınları, Ankara, Ağustos 2004, s.kapak.

Hazırlayan: Günay ŞATANA