Siber Güvenlik ve Veri Güvenliği Yönetimi

ÖZET

Siber güvenlik ve veri güvenliği sağlama konuları günümüzde hem bireyler hem özel kuruluşlar hem de kamu kurumları için çok önemli hale gelmiştir. Eskiden daha çok devletlerin ve istihbarat örgütlerinin sorunu gibi görülen bu konular; teknoloji ve küreselleşmenin gelişmesi ile sıradan bireylerin dahi günlük sayısız veri paylaşması, internet üzerinden sayısız siteye, uygulamaya giriş yapması ve bu verilerin artık hem devletler hem istihbarat örgütleri hem özel kuruluşlar hem de sadece onları başka müşterilere meta olarak satmak isteyen şirketler için en aranan, en değerli mallar, araçlar haline geldikleri için herkesin en kritik sorunu olarak ortaya çıkmıştır. Hem kendisini hem verilerini korumak sadece devletler, kamu kurumları, dev şirketler için değil, sıradan insan için de elzem hale gelmiştir. Bu makalede, siber güvenlik ve veri güvenliği konusunda dikkat edilmesi gereken hususlar, günlük hayatta sıkça kullanılan uygulamaların güvenirliği ve verilerinizi koruma konusunda öneriler yer almaktadır. Siber güvenlik ve veri güvenliği yönetimini bilmeyen devletlerden şirketlere, sivil kuruluşlardan bireylere kadar herkes büyük bir tehdit altındadır ve kendisini de başkalarını da sürekli riske atmaktadır.

Giriş

Günümüzde birçok işimizi online olarak internet üzerinden yapmaktayız. Sevdiklerimizle mesajlaşma, görüntülü ve sesli konuşma, resim gönderip almak, e-postalar aracılığı ile yazışma ve hatta önemli verilerimizi bulut üzerinde saklanması da dahil olmak üzere artık neredeyse tamamen sanal bir ortamda verilerimizi ve özel bilgilerimizi saklamaktayız.

En son baskıdan aldığınız fotoğraf muhtemelen bir düğün fotoğrafıydı. Fotoğraf çerçeveleri bile artık baskılı olanlardan çıkıp, tablet şeklinde olan çerçevelere geçilmeye başladı. Tabi bunun en önemli avantajlarından biri de resmi istediğiniz gibi değişebilmenizdir.

Şahsi verilerinizin online bir ortamda bulunması her ne kadar size ulaşılabilirlik açısından bir kolaylık sağlasa da başkalarının da ulaşabilmesi açısından internet korsanlarına da kolaylık sağlamaktadır.

Bu yazımızda siber güvenlik alanında detaylı bir inceleme yapacağız ve verilerimizi nasıl koruyabileceğimizi anlatacağız. En güvenli mesajlaşma uygulamalarından en güvenli e-posta hesaplarına detaylı bir inceleme yapacağız.

İnternette Gezerken Hangi Verileriniz Paylaşılır?

İnternetteyken gezindiğiniz siteler birçok veriyi saklamaktadır. Bunlar arasında bilgisayarınıza ait veriler, sitede geçirdiğiniz süre, bağlandığınız IP adresi, kullandığınız tarayıcı, telefondan mı yoksa bilgisayardan mı bağlandığınız, telefonun modeli vs. gibi birçok veriyi toplamaktadır. Bununla ilgili olarak genelde Cookie (Çerez) olarak bilinen yazılımlar kullanılsa da birçoğu için buna pek de bir gereksinim yoktur.

Web siteleri her gezdiğiniz siteden Cookie (çerez) toplar ve bu Cookie’ler (çerezler) ile size daha kişiselleştirilmiş reklamlar göstermeye başlalar. Siz de fark etmişsinizdir ki, mesela bir TV almak için sitelerde gezinirken, ertesi gün haber sitesinde gezinirken TV reklamları karşınıza çıkmaya başlar. Bunların hepsi sizin hakkınızda toplanan veriler ile ilgilidir.

Sizinle ilgili toplanılan veriler bunula da bitmiyor. Mesela birçok insan Google Haritaları kullanmakta ve eğer birçok insan gibi varsayılan ayarları değiştirmemişseniz muhtemelen geçen sene yılbaşında nerede olduğunuz orada kayıtlı bir şekilde duruyordur. Eğer Google şifrenizi çaldırırsanız birisi o hesaba girdiğinde sizin saat kaçta nerde olduğunuzu, hangi rotayı kullandığınızı, ne kadar kaldığınız görebilir. Evinizin adresini, iş yerinizin adresini, eve giriş ve çıkış saatlerinizi, yemek yediğiniz restoranlar, araçla mı yoksa metro ile işe gittiğiniz gibi birçok veriyi bilmeden kayıt altına alıyorsunuz. Eğer şifreniz gerçek bir hırsız ile paylaşılmış olsa, o hırsız sizin evden ayrıldığınız saati ve geleceğiniz saati bileceği için çok güzel bir ortam hazırlamış olacaksınız.

Yukarıda anlattığım sadece Google haritalar üzerinden bir örnekti ve daha birçok örnek verilebilir ama bence burada değinilmek istenilen konu anlaşılmıştır. Verileriniz her yerde ve sizin ilgili olarak her veri saklanıp kayıt altına alınmaktadır. Burada aslında yapabileceğiniz pek bir şey yok. Mutlaka belirli yerlerde verileriniz paylaşmak zorunda kalacaksınız. Ama önemli olan o verileri nasıl güvende tutabileceğinizdir.

Siber Güvenlik ve Verilerin Güvenliği

Veri güvenliği ile ilgili en önemli ilk madde şifre güvenliğiniz olacaktır. Şifreleriniz sizin her şeyinizdir. Asıl tavsiye edilen her mail (e-posta), site, forum ve sosyal medya için farklı bir şifre tanımlamaktır. Fakat gelin görün ki bu pek de mümkün değil. Çoğu insan için 2 tane şifreyi bile akıllarında tutmak zordur, o nedenle her hesap için ayrı şifre biraz zor olacaktır ve gerçekçi olmayacaktır. Her ne kadar şifre saklayıcı programlar olsa da o programların da çok büyük hayranı değilim. Birçok güvenlik kontrolünden geçmiş olsalar da yine de ben pek tavsiye edemiyorum. Çünkü o şifre programının şifresini unuttuğunuzda geri getirme konusunda çok zorlanabilirsiniz. Ayrıca bu gibi programlar paralıdır.

Peki ne gibi bir formül izlemeliyiz? Benim tavsiyem en az 5 şifrenizin olması yönünde olacaktır. 5 ayrı, 5 güçlü şifre. Bunları hesaplarınıza güvenlik önemine göre paylaştırmanız gerekiyor. Önem sırasına göre aşağıda açıklayayım:

1. Banka / Kredi kartı şifreniz
   • Bunun ne kadar önemli olduğunu anlatmaya gerek yok herhalde. Bu şifreyi hiçbir yerde kullanmayın. Sadece bankanızda kullanın. Unutmayın, giden paranın telafisi zor oluyor.
2. E-mail (E-posta) Şifreniz (Ana e-mail şifreniz)
   • Bu şifreniz de ikinci önemli şifreniz oluyor. Çünkü birçok forum, sosyal medya uygulaması e-mail üzerinden doğrulama vs. alıyorsunuz. Eğer şifrenizi kaybederseniz e-postanıza gelecek olan şifre ile doğrulama yapabilirsiniz.
   • Burada önemli olan sizin asıl e-mail hesabınızın (yani her yere vermediğiniz sadece iş için kullandığınız veya özel işlerinizde kullandığınız posta adresi) şifresinin de başka hiçbir yerde kullanılmamasıdır.
3. İkincil e-mail (e-posta) hesabı şifresi
   • Bu e-posta adresiniz sizin sitelere üye olurken veya sosyal medya hesaplarına üye olurken kullanacağınız e-posta adresinizdir. Tercihen gmail den alabilirsiniz çünkü bugünlerde neredeyse her siteye gmail ile giriş yapılabiliyor. Burası sizin aynı şekilde çöplük e-postanız da olacaktır. Çünkü birçok reklam e-postası gelecektir.
   • Ana e-mailinizi, çöp e-mailinizden ayırmanızın en güzel yanlarından biri de önemli mailleri kaçırma olasılığınızı en aza indirmesidir. Örnek vermek gerekirse bir çöp e-maili gmail iken (üyeliklerde kullandığınız e-mail) ana e-mailiniz yahoo olabilir. Burada yahoo’ya bir mail geldiğinde onun önemli olduğunu anlarsınız. Sizi çok büyük zaman kaybından da kurtarır.
   • Bu gmail hesabınızın şifresi de ayrı olmalı çünkü üyelikleri bu e-mail adresiniz üzerinden yapacaksınız. Ve asla unutmayın, asla ama asla bir siteye üye olurken kullandığınız şifreniz, üye olurken kullandığınız e-mail ’in şifresi ile aynı olmasın. Çünkü o forum sitesinin hacklenmesi durumunda hacker sizin e-mail şifrenizi de almış olur ki bu diğer hesaplarınızın da hacklendiği anlamına gelir. Yani Facebook hacklenirse ve sizin Facebook hesabınıza da gmail ile giriş yapmışsanız ve şifreleriniz aynı ise Twitter hesabınıza da güle güle diyebilirsiniz.
   • Burası da ikinci önemli konu: Bu çöp e-mail hesabınızın kurtarıcı e-mail hesabı olarak ana e-mail hesabınızı tanımlayın. Bu şekilde mail adresiniz hacklense bile ana e-mail hesabınızın sayesinde bu mailinize ve aynı şekilde diğer hesaplarınıza tekrar erişebilirsiniz.

4. Özel Şifreniz
   • Bu şifrenizi genelde sosyal medya hesaplarınız için kullanırsınız. Çalınması durumunda birçok özel yazışmanızın paylaşılmasını istemiyorsanız bu şifreyi sadece sosyal medya hesaplarında kullanın. İdeal olarak her sosyal medya hesabı için ayrı bir şifre öneririm ama yapamazsanız da en azından hepsi için bir tane güçlü şifre mutlaka lazım.
   • Bu şifreyi de o özel hesaplarınız dışında kullanmayın bir yerde.
5. Çöp Şifreniz
   • Çöp şifresi genellikler her yerde kullanacağınız, çalınsa da bir şey olmaz zaten kırk yılda 1 girerim bu siteye değiniz şifredir. Önemli bilgilerinizin bulunmadığı sitelere giriş yaparken bu şifreyi kullanabilirsiniz. Çalınsa da bir şey olmaz diyeceğiniz yerler için birebirdir.

Şifre Belirleme

Bir diğer önemli husus da şifre belirleme konusudur. Şifre belirlerken mutlaka;

• Rakam (0-9)
• BÜYÜK- küçük harf
• Semboller (*/-++%/() içermelidir.

Hepsinin kombinasyonunu kullanmak bilgisayar bruteforce dediğimiz yani deneme yanılma yöntemi ile şifre kırmayı zorlaştırmaktadır. İdeal şifre uzunluğu 8-12 karakter arasında olmalıdır. Benim şahsi tavsiyem 10 civarında kalın. 8-9 karakterden sonra şifrenizin 12 karakter veya 20 karakter olması arasında pek bir fark yok. Her iki durumda da şifreniz kırılana kadar muhtemelen 30 yıldan fazla zaman geçeceğinden dolayı çok uzun şifre yazıp sonra devamlı yanlış yazma sarmalına düşmeyin. Ardışık sayılar kullanmayınve kişisel bilgileriniz olmasın. Mesela isminizi veya doğum tarihinizi kullanmayın şifrenizde.

Şifrenizi ezberlemek için de bazı yöntemler vardır. En güzeli hecelemek, bunu bir örnek ile size anlatayım:

• Ali’nin atı 13 yaşında = @li+nin#i13YAS
• I drink 4lt of water = !dr’nk4ltw@ter

Bu şekilde siz de yaratıcı olabilirsiniz. Bu gibi şifreleri hatırlamak da kolaydır. Sadece cümleyi ezberleyeceksiniz. Ama çok fazla karakter kullanmayın, sonra unutabilirsiniz.

Doğrulama Programları

Şifre belirledikten sonra ikincil doğrulama yöntemi olarak authentication yani tasdik programlarını da kullanabiliriz. Bu programlar telefonunuza kurulan her 60 saniyede değişen bir kod verir. O kod sizin hesabınıza giriş için ikincil bir doğrulama sunmaktadır. Her 60 saniyede bir değiştiği için bruteforce gibi yöntemler ile aşılamaz. Bu gibi hizmetleri sağlayan birçok uygulama bulunmaktadır. Google, Microsoft ve daha birçok uygulama bu hizmeti vermektedir. Güvenliğinizi en üst seviyeye taşımak için önemlidir. Tek negatif yanı telefonunuzu kaybederseniz veya telefon bozulursa ve siz kurtarma kodunu bir yere kaydetmemişseniz o zaman hesaba giriş yapabilmek için bir dizi uzun doğrulama yapmanız gerekir. Şirketten şirkete fark etmekle birlikte bu bazen haftaları bile bulabilmektedir.

Mesajlaşma uygulamaları

Günümüzde haberleşmenin büyük bir kısmı mesajlaşma uygulamaları arasında olmaktadır. Bunlardan en popülerleri;

• Whatsapp
• Telegram
• Signal
• Facetime
• Imessage
• Skype
• Wechat
• Turkcell Bip

Bu uygulamalardan hangileri gerçekten güvenli ve hangilerinde verilerimiz gerçekten korunmaktadır? Gelin teker teker inceleyelim.

Whatsapp

Whatsapp Facebook tarafından 2014 yılında satın alınmıştır. Dünya’da en yaygın kullanılan mesajlaşma uygulamasıdır. 2020 verilerine göre 2 milyardan fazla kullanıcısı bulunmaktadır. Şirket 2014 yılında Open Whisper Systems ile protokol imzalayarak uçtan uca şifreleme algoritmasını devreye almıştır. Uçtan uca şifrelemenin çalışma prensibine göre, siz mesajı yazıp gönder tuşuna bastığınızda mesaj telefonunuzdaki size özel bir şifre ile şifreleniyor ve Whatsapp sunucularından geçip karşı kullanıcıya varınca da o kullanıcıdaki anahtar ile şifre çözülüp okunulabiliyor. Bu şekilde mesajın telefonunuzu terk ettiği andan karşı kullanıcıya kadarki yolculuğunda şifreli bir şekilde ilerliyor.

Bu şekilde bakınca güvenli gözükebilir ama burada şeytan ayrıntıda gizli. Öncelikle Whatsapp açık kaynak kodlu bir yazılım değil. Açık kaynak kodlu yazılım demek Linux işletim sistemi gibi, bütün koduna satır satır bakıp inceleyebildiğiniz bir yazılım değildir.  Windows gibi düşünebilirsiniz. Windows’un da ne kadar güvenli olduğuna ancak Windows’taki yazılımcıların dediği kadar inanabiliriz. Fakat açık kaynaklı yazılımlarda bütün yazılım incelenebilir ve eğer size yalan söylüyorlarsa bu anlaşılır. Yani burada demek istediğim, Whatsapp’ın gerçekten de uçtan uca şifreleme kullanıp kullanmadığını aslında gerçek anlamda bilemiyoruz. Kullandıklarını söylüyorlar. Kısaca Facebook’a ne kadar güveniyorsanız Whatsapp’a da o kadar güvenebilirsiniz.

Telegram

Telegram, 2013 yılında Nikolai Durov ve Pavel Durov kardeşleri tarafından başlatıldı. Daha önce, çift Rus sosyal ağı VK’yı kurdu. 2014’te Başkan Putin’in müttefikleri ile sorun yaşadıktan sonra ayrıldılar. Pavel Durov, VK’daki kalan hissesini sattı ve hükümet baskısına direndikten sonra Rusya’yı terk etti. Nikolai Durov, Telegramın temeli olan MTProto protokolünü oluştururken Pavel Durov, Dijital Kale fonu aracılığıyla finansal destek ve altyapı sağladı. Telegram Messenger, nihai amacının kâr getirmek olmadığını, ancak kâr amacı gütmeyen bir kuruluş olarak yapılandırılmadığını belirtti.

Buraya kadar hikâye güzel gibi duruyor. İki kafadar Rusya’daki diktatöryel baskıdan kaçarak bir mesajlaşma programı kuruyorlar. Bu arada kurucuları olduğu VK.com (Facebook tarzı bir Rus sosyal medya platformu) halen daha merkezi St. Petersburg’da faaliyetlerine hiçbir kısıt olmadan devam ediyor. Ama dünyada bir anda “Telegram güvenli, hacklenmiyor ve her ne kadar kurucuları Rus olsa da Putin ile kavgalı olduklarından Rus hükümeti ile veri paylaşmıyorlar” senaryoları dolanmaya başlıyor. Bana pek inandırıcı gelmese de onlar da uçtan uca şifreleme programı kullanıyorlar ve Dünya’da son derece yaygın olarak kullanılan bir program haline geldi.

Fakat bu programda da yine Whatsapp’daki sorun var. Açık kaynak kodlu bir yazılım değil. Haliyle bize anlatılan hikâyenin ne kadarı hikâye ne kadarı gerçek bilemiyoruz. O yüzden tam anlamı ile güvenli bir uygulama diyemem. Bu programa da KGB’ye güvendiğiniz kadar güvenebilirsiniz.

Facetime / Imessage

Apple tarafından geliştirilen, IOS işletim sistemli cihazlar için tasarlanmış bir haberleşme programı. Bu da kapalı kaynak kodludur. Genelolarak yabancı devletler ile bilgi paylaşımı yapmadıkları doğru fakat ABD hükümeti ile ne derece bilgi paylaşımı yapıyorlar orası biraz muamma. Basında CIA’in veri istediği ama Apple’ın bunu reddettiği haberlerini sıklıkla gördük. Fakat bunlar acaba ne kadar gerçeği yansıtıyor? Sonuçta ulusal güvenlik söz konusu olunca ABD hükümeti katı kurallar uygulayabiliyor. Kısacası 3. bir parti tarafından hacklenemeyeceği konusunda güvenli olsa da verilerinizin ABD hükümetinde olup olmadığı konusunda asla emin olamayacağız. Bu da kapalı kaynak bir haberleşme programı ve hangi verilerimizin nasıl tutulduğunu ancak söyledikleri kadar biliyoruz. Buna da CIA’e ne kadar güveniyorsanız o kadar güvenebilirsiniz.

Skype

Estonya’da geliştirilen haberleşme programı daha sonrasında Microsoft’a satıldı. Skype’ın güvenlik ile ilgili herhangi bir iddiası bulunmamaktadır. Ama eş dost arasında konuşmak için halen daha iyi bir programdır, özellikle ses ve görüntü kalitesi olarak.

WeChat

Bu program tamamen Çin Komünist Partisi (CCP) tarafından kontrol edilmektedir. Yaptığınız paylaşımda eğer CCP aleyhine bir yazı yazmışsanız, programdan atılmanız an meselesi olabilir. Bütün yazışmalar okunmaktadır. Güvenlik olarak zaten pek bir iddiaları da yok. Tek iddiaları sadece CCP okur şeklinde. Onun dışında herhangi bir 3. Parti okuyamaz. Ama tabi açık kaynak olmadıkları için 3. Parti konusunda da pek bir güvence sunamıyorlar. Hiç güvenli değil, hele de özel resimlerinizi paylaşmayı düşünüyorsanız.

Turkcell Bip

Turkcell tarafından geliştirilmiş bir program. Herhangi bir güvenlik incelemesinden geçmiş değildir. Kapalı kaynak kod ve verilerinizin nasıl saklanıldığı ile ilgili olarak da pek bir bilgi paylaşılmıyor. Hangi verilerin saklanıldığı ve paylaşılacağı bilinmiyor. Turkcell’e ne kadar güveniyorsanız bu programa da o kadar güvenebilirsiniz.

Signal

Şimdiye kadar saydığım mesajlaşma uygulamaları arasında en güvenlisi diyebileceğim uygulamadır. Whisper Systems tarafından geliştirilen programın uçtan uca şifreleme uygulaması Whatsapp tarafından da kullanılmaktadır. Fakat Whatsapp’ın aksine bu program tamamen açık kaynak kodlu. Bu da size programı baştan sonra inceleme imkânı veriyor. Söylediklerinin dışında veri saklama veya protokollerinde bir aksama olup olmadığını kontrol edebilme imkanını tanıyor. Signal’in belli başlı özellikleri:

• Signal, kullanıcıların İOS, Android ve masaüstünde, 40 kişiye kadar bire bir ve grup sesli ve görüntülü arama yapmasına olanak tanır. Tüm aramalar bir Wi-Fi veya veri bağlantısı üzerinden yapılır ve (veri ücretleri hariç) uzun mesafe ve uluslararası dahil olmak üzere ücretsizdir. Signal ayrıca kullanıcıların bir Wi-Fi veya veri bağlantısı üzerinden İOS, Android ve bir masaüstü programındaki diğer Signal kullanıcılarına metin mesajları, dosyalar, sesli notlar, resimler, GIF’ler ve video mesajları göndermesine olanak tanır. Platform ayrıca grup mesajlaşmasını da destekler.
• Signal kullanıcıları arasındaki tüm iletişimler otomatik olarak uçtan uca şifrelenir (şifreleme anahtarları sunucularda değil telefonlarda oluşturulur ve saklanır). Bir muhatabın gerçekten iddia ettikleri kişi olduğunu doğrulamak için Signal kullanıcıları bant dışı anahtar parmak izlerini karşılaştırabilir (veya QR kodlarını tarayabilir). Platform, bir muhatabın anahtarının değişmesi durumunda kullanıcıyı bilgilendirmek için ilk kullanımda güven mekanizması kullanır.
• Android’de kullanıcılar, standart uçtan uca şifreli Signal mesajlarına ek olarak şifrelenmemiş SMS mesajları gönderip almalarına izin vererek, Signal’i varsayılan SMS/MMS uygulaması yapmayı seçebilirler. Kullanıcılar daha sonra Signal’i olmayan kişilerle iletişim kurmak için aynı uygulamayı kullanabilir. Şifrelenmemiş bir mesaj göndermek, Signal kullanıcıları arasında geçersiz kılma olarak da mevcuttur.
• Android ve İOS’taki Signal uygulamaları, telefonun şifresi, parolası veya biyometrik kimlik doğrulaması ile kilitlenebilir. Kullanıcı, telefonun kaybolması veya çalınması durumunda ek bir koruma mekanizması sağlayan bir “ekran kilidi zaman aşımı” aralığı tanımlayabilir.
• Signal ayrıca kullanıcıların mesajlara zamanlayıcılar ayarlamasına da olanak tanır. Belirli bir zaman aralığından sonra mesajlar hem göndericinin hem de alıcıların cihazlarından silinecektir. Zaman aralığı beş saniye ile bir hafta arasında olabilir ve zamanlayıcı her alıcı için mesajın kopyasını okuduktan sonra başlar.
• Signal, kullanıcıların mesajlarını varsayılan olarak şifrelenmemiş bulut yedeklemelerinden hariç tutar.
• Signal, kullanıcıların kimliklerini korumak için fotoğraflardaki kişilerin yüzlerinin otomatik olarak bulanıklaştırılmasına olanak tanır.
• Ve en önemlisi, Signal’in bu dediklerini yapıp yapmadığını kontrol edebilmeniz için kaynak kodları herkese açıktır ve binlerce siber güvenlikçi tarafından bu kodlar incelenerek teyit edilmiştir.

Sonuç olarak verilerinizin güvenliği konusunda en güvenilir mesajlaşma uygulaması Signal’dir. Linux İşletim sistemine güvendiğiniz kadar güvenebilirsiniz.

E-mail Hesapları

E-mail hesaplarının da güvenilirliği tartışılır bir durumdadır. Unutmayın ki bir e-mail gönderdiğiniz zaman, her ne kadar e-maili kendi kullanıcı adınız ile almamış olsanız dahi e-mail içerisinde başlıkta sizin epostayı gönderirken ki IP adresiniz de karşı tarafa sunulmaktadır. Yani sahte bir e-mail adresi ile gönderdiğiniz e-mail’in takip edilip bulunamayacağını düşünüyorsanız bir daha düşünün. Ayrıca bunun için e-posta sunucularının iznine de gerek yok. Birçok e-mail sunucusunun verdiği hizmetler aslında çok basittir ve sizin güvenliğinizi sağlamaktan uzaktadırlar.

Siber güvenlik ve veri güvenliği ile ilgili olarak unutmamanız gereken 2 altın kural var;

• Eğer uygulama ücretsiz ve açık kaynak kodlu değilse muhtemelen sizin verileriniz üzerinden para kazanıyordur, her ne kadar aksini söyleseler dahi.
• Eğer ücretli bir e-mail (e-posta) sunucu ile çalışıyorsanız, verilerinizin güvenliğine son derece önem gösterirler. Sonuçta insanlar parayı verileri güvende olsun diye ödüyorlar. Yoksa herkes gibi gmail hesabı açabilirler.

Gmail, Yahoo, Outlook gibi e-mailler güvenlik açısından hepsi aşağı yukarı aynıdır. Hiçbirisi tam anlamıyla güvenli değildir. Başka bir ad ile e-mail hesaba alsanız bile anonimliğinizi koruyamazsınız. Eğer anonim olarak kalmak ve maillerinizi 3. Parti uygulamalardan ve gözlemlerden korumak istiyorsanız birkaç alternatif mail hizmeti bulunmaktadır.

Protonmail

ProtonMail, 2013 yılında CERN araştırma tesisinde zaman geçiren bilim adamları tarafından İsviçre’nin Cenevre kentinde kurulan uçtan uca şifreli bir e-posta hizmetidir. ProtonMail, Gmail ve Outlook.com gibi diğer yaygın e-posta sağlayıcılarının aksine, e-posta içeriğini ve kullanıcı verilerini ProtonMail sunucularına gönderilmeden önce korumak için istemci tarafı şifreleme kullanır. Hizmete bir web posta istemcisi, Tor ağı veya özel İOS ve Android uygulamaları aracılığıyla erişilebilir.

Son derece güçlü bir şifreleme algoritmasına sahip olduğundan eğer şifrenizi unutursanız hesabınızı şirket dahi geri getiremiyor. Ayrıca ana serverları İsviçre’de bulunduğundan dolayı herhangi bir şekilde veri paylaşımı yasasına da tabi olmamaktadır. Yani gönderdiğiniz e-mailler ile ilgili olarak kimseye bilgi paylaşımında bulunmuyorlar. Ayrıca mail içeriğini de görememektedirler. Birçok siber güvenlik uzmanı tarafından da incelenmiş ve en güvenilir e-mail sağlayıcısı olarak seçilmiştir. Kullanımı basit ve karşı taraf eğer ProtonMail kullanıcısı olmasa bile gönderdiğiniz mailleri bir şifre ile şifreleyerek güvenliği artırabilir hatta gönderdiğiniz mailler için zamanlayıcı da koyabilirsiniz. Koyduğunuz zaman dolunca mail hem serverlardan hem de sizden geri gelmeyecek bir şekilde siliniyor.

Protonmail ayrıca 500 MB depolama alanı ile bedava hizmet de vermektedir. Veri güvenliğinize önem veriyorsanız kesinlikle ana-mail olarak kullanabilecek bir seçenektir. Paralı seçeneklerinde daha yüksek depolama alanı ve kişiselleştirilmiş kullanıcı mail alan adlarını kullanabiliyorsunuz.

Protonmail muadili e-mail sağlayıcıları da var fakat hiçbirinin kullanımı ProtonMail kadar sade ve kolay değil. E-mail güvenliği olarak kesinlikle Proton mail adresini tavsiye etmekteyim.

VPN

VPN (Virtual Private Network) yani Özel Sanal Ağ, özellikle Wikipedia’nın ve zaman zaman Twitter’ın ülkemizde yasaklanması sonucunda sık sık duyduğumuz bir kavram.

Ticari bir sanal özel ağ, bilgisayarınız ve internet arasında şifreli bir tünel oluşturarak daha az özel bir ağ üzerinden özel bir bağlantı oluşturmanıza olanak tanıyan bir teknolojidir. Akıllı telefonunuzdaki veya bilgisayarınızdaki diğer herhangi bir uygulama veya program gibi bir VPN yükleyebilirsiniz. Bir VPN, ülkenizdeki sansürü aşmanıza veya başka bir ülkeden coğrafi olarak kısıtlanmış medya içeriğine erişmenize izin verebilir ve internet servis sağlayıcınızın internette gezinmenizi gözetleyerek gizliliğinize izinsiz girmesini engeller. VPN’ler bunu, farklı bir konumdan veya ülkeden bağlanıyormuşsunuz gibi görünmenize izin vererek yapar. Bir VPN, havaalanlarında, barlarda veya kafelerde sunulanlar gibi halka açık, korumasız Wi-Fi kullanan herkes için harikadır. VPN’iniz, iş projelerinizden banka hesabı giriş bilgilerinize kadar hassas bilgilerinizi, halka açık Wi-Fi ağlarında dolaşan kötü niyetli aktörler tarafından görülmekten korur. Bir VPN’deyken internette gezinirken, bilgisayarınız VPN’nizin şifreli bağlantısı üzerinden web sitesiyle iletişim kuracaktır. VPN daha sonra isteği sizin için iletecek ve web sitesinden gelen yanıtı güvenli bağlantısı aracılığıyla geri iletecektir.

Şema olarak anlatılacak olursak,

• Verileriniz sizin bilgisayarınızdan çıkarken kullandığınız VPN Programı tarafından şifrelenir.
• Başka bir konumdaki bilgisayara iletilir.
• Karşıdaki bilgisayar şifreli gelen mesajı çözümler ve istediğiniz internet sitesi veya istemciye bağlanır.
• İlgili internet sitesinden gelen bilgileri tekrar şifreler ve size şifreli olarak geri gönderir.
• Bilgiler (gözlemlemek istediğiniz internet sitesi) sizin bilgisayarınıza şifreli geldiğinde VPN programınız tarafından çözümlenir ve internet sitesini olduğu gibi görürsünüz.

IP adresiniz VPN kullanarak bağlandığınız bilgisayarın IP adresi olarak gözükecektir.

VPN kullanmanız durumunda internet sağlayıcınız sizin hangi sitelerde gezdiğinizi, gönderdiğiniz içerikleri göremeyecektir. Aynı şekilde havalimanı ve kafeler gibi halka açık alanlarda internete girmeniz gerekiyorsa, aynı ağa bağlanmış kötü niyetli kişilerin ağ üzerinden sizin bilgilerinizi ele geçirmesinin de önüne geçmiş olursunuz. Ama burada da önemi bir detay var. Bedava olan VPN hizmetleri genellikle sizin verilerinizi satarak para kazandıklarından dolayı bankacılık gibi işlemler için Opera tarayıcısının sizlere sunduğu bedava VPN hizmetini kullanmayın. Wikipedia gibi siteler için kullanılabilir ama iş ile ilgili alanlarda bedava olanlardan mutlaka kaçının.

Önde gelen bazı VPN sağlayıcıları var. Hepsine burada değinmek istemiyorum ama VPN sağlayıcınızı seçerken VPN sağlayıcının hangi ülkenin kanunlarına bağlı olduğuna, kullandığı protokollere bakarak karar verin. Her ücretli VPN sağlayıcısı da aynı güvenliği vermiyor.

TOR Network

Bedava olan bir VPN hizmeti istiyorsanız, TOR kullanmayı deneyebilirsiniz. TOR ağı aslen CIA tarafından soğuk savaş döneminde ajanlarının anonim olarak haberleşebilmesi için geliştirilmiş bir protokoldü. Fakat o kadar iyi çalışıyordu ki daha sonraları SilkRoad adında illegal satışların döndüğü siteye de ev sahipliği yapmaya başladı.

TOR en basit olarak kullanıcıların ağdaki diğer kullanıcılar üzerinden internete erişmesine olanak vermesidir. Birçok kullanıcı üzerinden geçen ağ VPN’lere kıyasla daha yavaş olmasına karşın çok daha güvenlidir.

Tor’u günlük internet kullanıcıları ve aktivistler için daha erişilebilir hale getirmesiyle Tor, 2010’un sonlarında başlayan Arap Baharı sırasında önemli bir araç oldu. İnsanların çevrimiçi kimliğini korumakla kalmadı, aynı zamanda kritik kaynaklara, sosyal medyaya ve engellenen web sitelerine erişmelerine de izin verdi. Snowden’in 2013’teki ifşaatları sayesinde, kitlesel gözetime karşı koruma araçlarına duyulan ihtiyaç ana kaygılardan biri haline geldi. Tor, Snowden’ın bilgi uçurmasında etkili olmakla kalmadı, aynı zamanda belgelerin içeriği Tor’un kırılamayacağına dair güvenceleri de destekledi. İnsanların izleme, gözetleme ve sansür konusundaki farkındalıkları arttı, ancak bu engellerin internet özgürlüğü üzerindeki yaygınlığı da arttı. Bugün ağ, gönüllüler ve dünya çapında milyonlarca kullanıcı tarafından işletilen binlerce düğüme sahiptir. Tor kullanıcılarını güvende tutan da bu çeşitliliktir.

Ayrıca Deepweb olarak bilinen, normal tarayıcılarınız ile ulaşamayacağınız sitelere yani onion sitelerine de yine TOR üzerinden ulaşabilirsiniz.

Telefonunuzdaki Uygulama İzinleri

Son olarak da telefonunuza her yeni uygulama yüklediğinizde verdiğiniz izinler ile ilgili olarak uyarılarımız olacak. Birçok insan neye onay verdiğini bilmeden her şeyi kabul ediyor. Ama bu son derece yanlış bir yaklaşımdır. Örnek vermek gerekirse, bankacılık uygulaması eğer sizden mikrofona erişim istiyorsa orada bir durup düşünmek gerekir. Bankacılık uygulamasının benim mikrofonum ile ne işi olabilir? Hesabımdaki paraya bakacağım ya da havale yapacağım. Sesli komut da vermiyorum o zaman bu izni hiç vermeye gerek yok şeklinde yorumlayabilirsiniz.

Bir başka örnek de üniversitenin ring saatlerini gösteren bir uygulama yüklemek istiyorsunuz ama uygulama sizden medyaya erişim istiyor. Bu gibi durumda erişim vermeniz gerçekten gerekiyor mu? Unutmayın erişim verdiğinizde o bilgiler uygulama tarafından görülebilir anlamına gelmektedir. Veya kütüphane uygulamasında gerçekten konum bilgilerinizi paylaşmanıza gerek var mı?

Bir uygulama yüklediğinizde mutlaka kabul ettiğiniz izinleri de gözden geçirin. Eğer mantığınıza yatmıyorsa o izni vermeyin veya sonra iptal edin.

Phishing / Oltalama

Siber güvenlikten bahsederken son zamanların en popüler hackleme yöntemi olan Phising yani Oltalama yönteminden bahsetmezsek olmaz.

Birçok teknoloji şirketinin 2 adımlı doğrulamaya geçmesinden sonra şifrelerin ele geçirilerek hesapların da ele geçirilmesinin önlenmesine olanak sağlandı fakat bunun da etrafından dolanan bir yöntem olarak Oltalama yöntemine halen daha birçok kişi yakalanmaktadır.

Örnek olarak Twitter hesabınızın nasıl bu yöntem ile çalınabildiğini adım adım aktaralım.

• Size Twitter’dan gelmiş gibi bir mail gönderilir. Muhtemelen mailin uzantısı security@twiter.com gibi mail adresinden gelir. Dikkat etmişseniz @twitter.com yerine tek “t” ile bir mail adresi geliyor. Kullanıcılar genellikle buna pek dikkat etmiyorlar. Mailde, “hesabınıza Moskova’dan giriş yapıldı lütfen hesabın size ait olduğunu aşağıdaki linkten kontrol edin.” Şeklinde bir uyarı mesajı da oluyor.
• Bunu gören kullanıcı hesabının çalındığını düşünerek linke tıklıyor. twiter.com adresine yönlendiriliyor. Burada kullanıcı adresin tek “t” ile mi çift “tt” ile mi yazıldığına pek bakmıyor. Site aynı Twitter gibi gözüküyor. Haliyle kullanıcı şüphelenmeden kullanıcı adını ve şifresini giriyor. Fakat bu site 3. bir şahıs tarafından hazırlanmış tek amacı sizin şifrenizi çalmak olan kopya sitedir.
• Kullanıcı adı ve şifrenizi girdikten sonra, sorun yok diyerek sizi sistemden atıyor. Fakat artık çok geç, çünkü kendi elleriniz ile şifrenizi ve kullanıcı adınızı karşı tarafa vermiş bulunmaktasınız.

Bundan korunmak için mutlaka gelen mail adreslerini inceleyin. E-posta üzerinden siteye girip doğrulama yapmak yerine adresi kendiniz yazıp siteye kendiniz girin. Ve en önemlisi mutlaka sitenin adını kontrol edin.

Sonuç

Siber güvenlik ile ilgili olarak alınması gereken önlemler, internetin hayatımıza daha da fazla girmesiyle her gün daha çok artıyor. Özellikle pandemi ile başlayan uzaktan çalışma, siber güvenliğin ne kadar önemli olduğunu bir kere daha gösteriyor. Fakat unutmamak lazım ki en zayıf halka her zaman için kullanıcı kaynaklı olmaktadır. Bu yüzden verdiğiniz izinlere, şifrelerinize, şifrelerinizi nerelerde kullandığınıza çok dikkat etmeniz gerekiyor.

Kamu olarak siber güvenlik alanında ise çok az eğitim verilmektedir. Çevremdeki birçok insan şifre olarak adını kullanmakta veya genel olarak kullanılan 12345 gibi şifreler almaktadır. Tabi şifre sadece siber güvenlik alanında buzdağının görünen yüzüdür. Makalede anlatılanlar gibi, verilerinizi şifreye gerek duymadan sadece sağlayıcının hizmet aksamasından faydalanarak da çalabilirler. Yani sizin sadece kendinizi siber korsanlardan korumanız ne yazık ki yeterli değil, kendinizi aynı şekilde hizmet sağlayıcılardan da korumanız gerekiyor.

Paylaşılmasını istemediğiniz bilgi ile kamunun öğrenmesinde sakınca görmediğiniz bilginin ayrımını iyi yapabilmeniz gerekiyor. Saklayacağınız bilgileri ona göre sınıflandırıp uygun hesaplarda saklamanız gereklidir. Yoksa maliyeti çok yüksek olabilecek güvenlik sızıntıları ile karşılaşabilirsiniz.

Hayatımızın giderek daha çok içine giren siber dünya ile siber güvenliğimizi nasıl sağlayabiliriz alanında her bireyin ve özellikle de hükümetin mutlaka bilgilendirilmesi gerekiyor.