Rik Ferguson

Güvenlik umursanıyor mu ki?

Bütün büyük ve sorular gibi, bunun da yanıtı başta göründüğünden çok daha karmaşık.

 
Umursamayın; umursamak zorunda kalmayın. Freeform Dynamics’ten meslektaşım Jon Collins, The Register’da gerçekten ilginç bir soru sormuş: “İş dünyası güvenliği gerçekten umursuyor mu?”
 
Bütün büyük ve sorular gibi, bunun da yanıtı başta göründüğünden çok daha karmaşık.
 
İstatistiksel bir yaklaşım -İşletmelerin kaçta kaçı masaüstlerinde antivirüs yazılımı kullanıyor?- benimseyip, “Evet umursuyorlar” (ya da belki tersi) anlamına gelen yüksek bir rakama ulaşabilirsiniz.
 
Örnek olarak seçtiğiniz kimi büyük işletmelerin bilgi işlem yöneticileriyle sohbet edip, onlardan detaylı örnek ve görüşler vermelerini isteyebilirsiniz. Yine, büyük ihtimalle, olumlu bir tabloyla karşılaşırsınız.
 
Ne var ki, bu sonuçlar, bazı açılardan yanıltıcıdır. Bence bunun nedeni, sorunun iki büyük soyut terim içermesidir. “İş”, bir kişi değil, bir fikirdir; dolayısıyla, herhangi bir şeyi çok umursamaz. Güvenlik, hedef tanımında yer almaz, bunun için bahse bile girerdim. Zaten o tanımda yer alması da uygun olmazdı. Sağlık, emniyet, çevrecilik, fırsat eşitliği gibi konularla birlikte işletmelerin umursamasını beklediğimiz türden bir konudur; ama, onların temel fonksiyonu olmadığını biliriz. Hem, “iş”in anlamı nedir; kurul mu, BT departmanı mı, yoksa şirketin her bir üyesi mi kastediliyor?
 
Benzer biçimde, “güvenlik”, bir fikir olarak bakıldığında son derece kaypaktır; sistemler, yazılımlar, yaklaşımlar, süreçler ve politikadan bahsederiz.
 
Biraz daha ayrıntıya girecek olursak, lojistikteki Jon internet tarayıcısının halihazırda tavsiye edilen seviyelerde yamalanmasını sağlıyor mu? Hayır, bundan daha umursamaz olamazdı. Yarın Paris’te olması gereken önemli bir sevkıyatı var. Dolayısıyla, şu anda bilgisayarını karıştırmayın, çok teşekkür ederiz. Ama, sisteminin çalışmasını ve sorun yaşamamayı gerçekten “çok” umursuyor.
 
Savunageldiğimiz şey, güvenliğe yönelik bütünsel bir yaklaşımdır. Bunun anlamı, yama seviyelerinin güncel olması gerektiği konusunda Jon’u ikna etmek zorunda olmamız değildir. Bu olmaz. Üzgünüm. 
 
Bunun anlamı şudur; güvenlik ve BT departmanı, onun güvenliğini onun adına yönetebilir, hem de her zaman. Jon’un her şeyi berbat etmesi ya da bilgisayarının gizliliğinin ihlal edilmesi neredeyse imkansızdır; çünkü, politikalar süreçlere ve teknolojiye dahil edilmiştir.

Facebook kullanıcıları… Paniğe kapılmayın!

Medyada sık sık “Panik Tuşu” olarak anılan bir uygulama, endişeli Facebook kullanıcılarını güvenceye alıyor...


 
Haberlerde dikkatinizi çekmiş olabilir; Facebook, ClickCEOP uygulamasını kullanıcılarına sunmaya karar verdi. Medyada sık sık “Panik Tuşu” olarak anılan bu uygulama, endişeli Facebook kullanıcılarına online güvenliğin çeşitli yönleriyle ilgili olarak yardım ve tavsiye alabilecekleri bir yer sunuyor.
 
CEOP (Çocuk İstismarı ve Online Koruma Merkezi), 13-18 yaşlarındaki Facebook kullanıcılarını profillerine bir ClickCEOP sekmesi (tab) eklemeye teşvik ediyor. Sekme, CEOP İstismar Raporlama sitesine giden bir bağlantı (link) içeriyor. Bu site, siber zorbalık ve korsanlık (Bununla hesapların ele geçirilmesini kastediyorlar) girişimlerini, virüsleri, mobil sorunları, zararlı içerikleri, uygunsuz ya da istenmeyen cinsel davranışları ihbar etmeye ya da bu konularda tavsiye almaya yönelik doğrudan bağlantılar sunuyor.
 
ClickCEOP uygulaması her gencin profiline önceden tanımlanmış olarak yüklenmese de, Facebook, site genelinde genç kullanıcılara yönelik olarak yürüteceği farkındalık kampanyasıyla uygulamayı destekleyeceğini ve uygulamanın ağızdan ağıza ve tavsiye yoluyla yayılmak üzere tasarlandığını açıkladı.
 
Facebook’un daha savunmasız konumdaki kullanıcılarının güvenliğini daha ciddi bir biçimde ele aldığını görmek sevindirici. Eğitim ve farkındalık, online tehditlere karşı güçlü birer araç. Umut ederiz ki insanlar arkadaşlarının bu uygulamayı profil sayfalarına eklediklerini gördükçe, uygulama hızla neredeyse öntanımlı bir kurulum haline gelir.
 
Avcıların sosyal ağlarda ve genel olarak online ortamda bu kadar başarılı olmalarının nedeni, kurbanlarının hissedebileceği herhangi bir şüpheyi ya da korkuyu hafifletmek için yoğun bir biçimde çalışmalarıdır. Olmadıkları bir kişi gibi görünmek amacıyla çalıntı fotoğraf ve kimliklerin yanı sıra yalan olduğu kesin olan ifadeler kullanırlar. Bazı yorumcuların Panik Tuşu’nun umulduğu kadar etkili olamayacağını düşünmelerinin nedeni budur. Ama hiç kuşkusuz, hiçbir şey yapmamaktansa bir şey yapmak yeğdir.
 
Bir görüşe göre, tuşun varlığı bile farkındalığı artırmaya ve daha savunmasız olanların şüphe seviyesini yükseltmeye yardımcı olacak. Yine bir başka olasılık da tek bir potansiyel kurban bile alarm verse sürekli rahatsızlık yaratan durumların daha hızlı ortaya çıkarılacak olmasıdır.
 
Ne yazık ki, alternatif sonuçlardan biri de bu işlevselliğin zorbaları ve avcıları daha çapraşık taktiklere yöneltmesi olabilir. Örneğin, onları bulmayı ve durdurmayı daha da karmaşık hale getiren “bir kez kullan ve yok et” türü dostluklar yaratabilirler. 
En azından, daha genç ya da savunmasız olanların bir şekilde hedef alındıklarını hissettiklerinde nereye gidecekleri ya da ne yapacakları konusunda kafa karışıklığı yaşamalarına artık gerek yok. Online suçu ciddi boyutlara ulaştıran faktörlerden biri de ihbarda bulunulacak bir merkezin olmamasıdır. Facebook kullanıcıları açısından, sorunun bu küçük bölümü, en azından şimdilik çözülmüş durumda. 
 

Bir bot ağı ile parayı kaldırdılar!

Bir bot ağı, suçlulara 100 bin avronun üzerinde para kazandırdı. Soruşturma bugüne kadar gizli tutuldu.

 
Belçika gazetesi De Tijd’de çıkan bir habere göre, Belçikalı yatırımcıların online portföylerinin gizliliğini ihlal etmek amacıyla tehdit içerikli yazılımlar kullanıldı. Bot ağı, daha sonra hisse bedellerini etkilemek için kullanıldı ve suçlulara 100 bin avronun üzerinde para kazandırdı. Soruşturma bugüne kadar gizli tutuldu.
 

Görüntü, rednuht'ın Creative Commons başlıklı Flickr fotoğraf arşivinden.
 
Belçika’daki federal savcı ve ulusal polis teşkilatının bilgisayar suçları birimi, 2007’de meydana gelen olayları araştırıyordu. 2007’nin Nisan ve Mayıs ayları arasında suçlular Dexia, KBC ve Argenta gibi bankaların müşterilerine ait PC’lere bir botla (Botun özelliği tam olarak bilinmiyor) sızdı. Bot, online hisse alışverişi platformlarında kullanılan kullanıcı adlarını ve şifreleri çaldı. 
 
Makale, bot ağ genelinde hisse alışverişini otomatikleştirmeyi başaran ve son derece hedef gözeterek özel yazılmış gibi görünen saldırı hakkında detaylar vermeye devam ediyor. 
 
“Bot ağ yöneticisi, tek bir tuşa basarak, bütün bilgisayarlara aynı anda aynı hisseleri satın alma ya da satma talimatı veriyor.”
Elbette, şirketin ardındaki suçlular, klasik “pump-and-dump” (hisse senedi fiyatlarıyla ilgili yanlış ve yanlı yorumlar sonrasında fiyatlarının birden artıp sonrasında sönmesi) taktikleri dahilinde doğru zamanlarda hisse alınıp satılmasıyla manipüle edilmiş, bir doların altındaki hisselerde yaşanan ani değişimlerden kâr etmeye devam ettiler.
Belçika Bankacılık, Finans ve Sigorta Komisyonu (CBFA) çalışanlarından Hein Lannoy, şunları söylüyor: “Temmuz 2007’deki korsan saldırının ardından ülkede benzeri başka bir olay yaşanmadı. Nisan 2009’da finansal kuruluşlarımızın güvenlik standartlarını iyileştirmeye yönelik bir sirküler gönderdik. Belçika online bankacılık hizmetleri şu anda çok iyi bir biçimde korunuyor. Standartlarımızı ülkemizdeki yabancı bankalarda uygulatma yetkimiz yok.”
 
Ne var ki, yerel bir gazetecinin yaptığı görüşmelere bakılırsa, pek çok Belçika bankası (aslında dünyadaki bankaların çoğu) hâlâ klasik iki faktörlü yetkilendirmeyi uyguluyor. Bu uygulamada, işlemden ziyade kullanıcıyı yetkilendirmek amaçlanıyor. Bu tür bir teknoloji bu botu mevcut haliyle engellese de, alt edilmesi imkansız bir teknoloji değil. Daha önce de bu sayfalarda yazdığım gibi, tehdit içerikli yazılımlar, çok faktörlü kullanıcı yetkilendirmeyi etkisiz kılacak aşamaya çoktan geldi. 
 
Bunu göz önüne alarak, online bankacılık güvenliğinde yapılacak herhangi bir iyileştirmede basitçe kullanıcıyı yetkilendirmekten ziyade tek tek işlemlerin doğrulanması hayati önem taşıyor. Yetkilendirme dizgeciğinin kendisi, işlemin içeriği ya da değeri ile ilgili doğrudan girdiyi kabul edebilecek kapasitede olmalı. Bu, daha sonra her iki tarafça doğrulanabilir ve “tarayıcıdaki kötü niyetli adam” tarafından değiştirilemez.
 
Belçika polis teşkilatı, şu anda suçluları takip etmek amacıyla diğer ülkelerden meslektaşlarıyla işbirliği yapıyor.

Sinsi sinsi izleniyor musunuz? Evet.

Bir kez daha Facebook dolandırıcıları, kullanıcıları topluca profil sayfalarını kimlerin ziyaret ettiğini öğrenebileceklerine inandırmaya çalışıyorlar

 
Çok sevdiğim bir şarkıcı ve söz yazarı, bir keresinde “Yeni birşey yoktur, sadece unutulmuşlar vardır” diye yazmıştı. Bugün de kısa süreli bellek kaybına bir örnek yaşıyoruz.
 
Bir kez daha Facebook dolandırıcıları, kullanıcıları topluca profil sayfalarını kimlerin ziyaret ettiğini öğrenebileceklerine inandırmaya çalışıyorlar. Pek çok arkadaşınızın şu anda aşağıdakine benzer mesajlar attığını fark etmiş olabilirsiniz:
 

Sahte bir uygulamadan sahte bir mesaj
 
Bu, yalnızca üç ay önce yazdığım bir konunun çeşitlemesi; ama, görünen o ki çekiciliğini yitirmemiş.  O zaman da söylediğim gibi, profilinizi kimlerin ziyaret ettiğini görebilmenizi sağlayan, resmi olarak onaylanmış bir Facebook uygulaması yok. Link’lere tıklamayın, uygulamayı indirmeyin.
 
Dolandırıcılık amaçlı bu yazılıma yetki verirseniz, duvarınıza yazı yazmayı ve bilgilerinize erişmeyi sağlayacak uygulamaya izin vermeniz talep edilecektir.
 

Sakın kanmayın…
 
Bu izni bir kez verdiğinizde, duvarınıza gelen otomatik bir mesajla arkadaşlarınızın ve ailenizin de aynı dolandırıcılığa kurban gitmesine neden olarak nahoş bir durum yaşarsınız.
 
Bir yandan da dolandırıcılara bol para kazandıran ve satış ortaklığı sistemine dayalı bir başka uygulamaya yönlendirilirsiniz.
 

 
“Lütfen bu link’e tıklayın ve bana biraz peşin para kazandırın.”
 
Eğer iyi bir güvenlik paketi kullanıyorsanız, şunu göreceksiniz…
 

Bende işlemez oğlum Jim.
 
Facebook olay yöneticilerini bu yeni dolandırıcılık yöntemi hakkında bilgilendirdim ve hiç şüphesiz, uygulama yakında ortadan kalkacak.

Takip Edin

 

Turhost