Rik Ferguson

Nedir bu Consumerisation?

Sadece moda olmuş bir sözcük değil. Pek yakında bu sözcüğü çok daha fazla duymaya başlayacağız, ben size şimdiden anlatayım en iyisi…

‘Consumerisation’ son dönemde sıkça duyduğumuz kelimelerin başında geliyor. Kelimeyi bilgisayarımda yazdığımda bu kelimenin henüz yolun başında olduğunu görüyorum. Zira kelime işlemcim bile kelimeyi algılayamadı. Peki bu fenomen nasıl hayatımıza girdi?

‘Consumerisation’ kurumların bünyesinde çalışanların kendi cihazlarını şirket ağına dahil etmesinden çok daha fazlası aslında. İşin özünde şu yatıyor; consumerisation yenilikçi bilgi teknolojilerinin evde nasıl kullanılabileceğini ve iş yaşamına nasıl adapte edilebileceğini tarif ediyor. Bu değişimi net olarak dört kelimede tarif etmek mümkün; beklenti, görünürlük, fayda ve esneklik.

Büyük Beklentiler
İnternet elbette günlük hayatımızın bir parçası haline geldi. Yediden yetmişe hemen herkes hayatının önemli bir kısmını internette geçiriyor. Excite, Hotmail ve Yahoo gibi geniş ölçekli, bedava web e-posta servisleri yaklaşık 20 yaşında; aynı şeyler anında mesajlaşma servisleri için de söylenebilir. Sosyal ağlar AOL’un 1989’da açılmasından bu yana bir şekilde hayatımızın içinde yer alıyor. Uygulama Servis Sağlayıcı (USS) nokta com dönemine kadar uzanıyor ve bilgisayar donanımı gün geçtikçe daha küçük hale geliyor.

Bugünün mezunları birbiriyle tamamen bağlı bir dünyada büyüdü ve hayatlarının tüm alanlarını bu dünya ile doldurdu. Artık web 2.0 kullanmadan yeni bir iş bulmayı beklemenin, telefon ve e-posta alıp vermek gibi basit iletişim araçlarını kullanamadan iş bulmayı beklemekten farkı yok.

Peki, neden şimdi?
Tamamen görünürlük, fayda ve esneklikle ilgili. Teklifin kapasitesi, çekicilikleri ve ölçeklenebilirlikleri geçmişten beri maliyetle sınırlandırıldı. Bir cep telefonunun, tabletin ya da bant genişliğinin maliyetini her zaman bir bariyer oldu. Bunun anlamı şuydu; satın alma gücü, bu teknolojilerin kullanımını ve daha da önemlisini kullanımın kontrolünü kurumlara taşıma anlamını geliyordu.

Son teknolojik gelişmeler oyun alanını değiştirmekle kalmadı; oyunun kendisi değişti. Veri taşıma maliyetleri hem geniş bantta hem de 3G bağlantısında düştü ve sınırsız kullanım paketleri, hayatımızın normlarından biri haline geldi. iPhone’un yarattığı etki cihaz tercihlerini son kullanıcı yönüne çevirdi ve Android’in başarısı bu yönelimi genişletti. iPad’in başarısı da dizüstü bilgisayarları masaüstü bilgisayarların durumuna düşürdü. Twitter, Facebook, Google Apps, Amazon Web Servisleri, Apple’ın yeni iCloud’u gibi bulut servisleri işbirliği ve iletişim platformlarını kurum sınırlarından çıkartıp kullanıcının eline kadar getirdi.

Bizler artık nerede olursak olalım, hangi donanıma sahip olursak olalım işimizin istediğimiz anda görünür olmasını istiyoruz ki bu saydığımız özellikler Bulut’un karakteristik özelliklerinden bir kaçını oluşturuyor. Dosya paylaşım servisleri, sanal sunucuların kullanılabilirliği, sosyal ağlar, bloglar, vikiler, anında mesajlaşma, kamusal internet bağlantı noktaları, düşük maliyetli mobil internet, yüksek performanslı donanım ve tüm bunların işbirliği aslında eski çevrenin yeni içyapımızı oluşturduğu anlamına geliyor. Bu müşteri servislerinin bir araya gelmesiyle sizin merkez ofiste oturup, hiç şirket ağına bağlantı kurmadan ve tüm ihtiyaçlarınızı karşılayabilmeniz ve işinizi etkin şekilde yürütebilmeniz tamamen mümkün hale geldi.

Şirket kördür!
İş e-postalarıma 3G tabletimden bir web arayüzü kullanarak ulaştığımda ve dosyalarımı senkronize etmesi için halka açık bir dosya paylaşım servisi kullandığımda, dizüstü bilgisayarım masamda zincirli halde kaldığında ve benim iş hayatım mobil olduğunda, ben sosyal ağları profesyonel iletişim aracı olarak kullandığımda ve VPN’e bağlanmadığımda, şirket kör mü olur?

Doğru bir consumerisation stratejisi, 3G gibi halka açık ağlar üzerinden kurumsal varlıklara bağlanabilen herhangi bir cihazın yönetimini oluşturmaya ihtiyaç duyar. Kurumsal ve kişisel içeriğin kullanıcının sahip olduğu cihazda sınırlar aşılmayacak şekilde ayrılması gerekir. Ayrıca consumerisation’ın sadece çalışanların kullanmayı seçtiğini cihazlar olmadığını unutmamak gerekiyor. İçeri ve dışarıdaki bilgi ve servislere erişimin, ortaya çıkacak yeni belirleyiciler ışığında yeniden incelenmesi gerekir. İlk sıralarda yer alan, öncü şirketler gerçeğin onları bulduğunu ve bu doğrultuda politikalarını, pratiklerini ve belki de en önemlisi çalışmalarını gözden geçirmeleri gerektiğinin farkına varmalıdır. Trend Micro tarafından 2009 yılında sponsor olunun ve Economist Intelligence Unit tarafından hazırlanan çalışmada belirtildiği gibi, “Birçok eğitim, çalışma ve organizasyonel deneyimleme, daha iyi teknolojilerin üretkenliğini baltalamadığını ya da şirkete zarar vermediğini ortaya koymaktadır. Yakında şirket bunun üstesinden gelmeye başlar, daha da yakında teknoloji eşitliğinin faydaları gelmeye başlar.”

Hackerlar bugüne kadar bizim için ne yaptı?

Umuyorum, bu kez bizlere acı da olsa bazı dersler vermişlerdir.

Geçtiğimiz elli gün boyunca tüm dünyayı sarmalayan Lulz Security’nin hack gösterisi ve grubun kendi isteğiyle dağılmasıyla dünya çapındaki şirketlerin güvenlik mimarilerini, planlamalarını ve politikalarını yeniden gözden geçirmeleri gerektiği ortaya çıktı. Sony, Nintendo, Fox ve daha birçok üst düzey şirkete sızılması ürkütücü ve şaşırtıcıydı. Bunların yanında hükümet, güvenlik ve yasa koyucu kurumlara yapılan saldırıların da başarılı olması beklenmedik ve fazlasıyla endişe vericiydi.

Bu saldırıların bazılarında hackerlar sadece ağlar ve sunuculardaki savunma açıklarını bildirdi ancak birçok olayda açıkların bildirilmesinden çok hassas, kişisel ve kurumsal bilgilerin yayınlandığı, indirilebildiği ve dağıtıldığı görüldü. Arizona Eyalet Polisi’ne yapılan saldırılarda ortaya çıkarılan bilgiler polis memurlarının hayatını riske attı.

Olayların ardından geride bazı sorular kaldı. Hackerlar bugüne kadar bizim için ne yaptı? Umuyorum, bu kez bizlere acı da olsa bazı dersler vermişlerdir.

Lulz Security ve diğer hacker grupları tarafından gerçekleştirilen saldırıların detaylarının nasıl gerçekleştiği, kullanılan araçlar ve teknikleri çoğunlukla detaylandırılabiliyor. Bir botnetin etrafında toplanan hackerlar tarafından gerçekleştirilen Distributed Denial of Servise (DDoS) saldırıları üst düzey sitelerin çökertilmesi için kullanıldı. SQL enjeksiyon saldırıları da bilgilerin çalınmasında başrolü oynadı. Ayrıca birçok olayda önemli bir şüphe üzerinde de duruldu: İçeriden doğrudan bilgiyi paylaşan biri ya da birilerinin varlığı.

Var olan araçlarla ve yöntemlerle şirketlerin bu düşük düzeydeki risklerden korunması mümkün olabilir. Utanç verici olan durumsa bu araçlar bahsettiğimiz saldırılar esnasında şirketleri koruyamaması oldu. Şirket veritabanından bilgilerin çalınması olaylarına karşılık kesinlikle bir strateji ve uygulama yürürlüğe sokulmalıdır. Asla hassas bilgilerinizi düz metin olarak saklamayın. Yapılacak şifreleme zararı büyük ölçüde azaltacaktır. Düzenli olarak veritabanınızı, sunucularınızı ve uygulama platformlarınızı içeriden ve dışarıdan gelebilecek tehlikelere benzer şekilde deneyin. Eğer bulundurduğunuz veri kısmen hassas ya da kısıtlı sayıda kullanıcıya verilecekse güçlü bir kimlik doğrulama sistemi kullanın. Çerezlerden kaçının, zira çerezler bilgi hırsızlığının ilk aşamasını oluşturabilir. Sınırların kontrol edilmesi aşırı yüklenmeler ve SQL saldırılarının önüne geçer. Bilgi erişimini “bilgiye ihtiyacım var” standardına oturtun ve mümkün olduğunca en az düzeyde imtiyaz tanıyın. Tarayıcılara detaylı hata bilgisini taşımayın, sonuçta müşterilerinizin bu hatayı çözemeyeceğini biliyorsunuz. Tabii hata mesajını da tamamen kaldırmayın.

Kurumlar, artık güvenlik duvarı, IPS, sunucu, barındırma katmanları gibi geleneksel teknolojilerin ötesine geçebilmek için yatırımlara başlamalı. Güvende kalmasını istediğiniz değerli şeyin –veri ya da her hangi bir şeyin- güvenliği farklı durumlarda da koruma altında olmalıdır. Şirket ağında gerçekleşen faaliyetlerin dikkatle izlenmesi gerekir. Özellikle çok büyük miktarda veri akışı ya da gizliliği ihlal edilerek sistemin kullanılmasına dikkat edilerek anormal davranışlar tespit edilmelidir. Görevini tamamlamış bir hacker için son işlem geride bıraktığı kayıt ve izleri ortadan kaldırmaktır. Eğer güvenlik yazılımı farklı kayıtlar tutabilirse bu işlem çok daha zor olacaktır.

Son olarak, güvenlik sistemlerinin mimarisini, daha hassas olan ağımızın kalbinden ayrılarak damdan düşer gibi kurmamamız gerekiyor. Her sunucu, her gizli bilginin kendine ait güvenlik parametreleri olması gerekir. Katmanlı bir güvenlik modeli mutlaka içeriden dışarı doğru inşa edilmelidir.

Özel hayatınızda, her günü sanki sonmuş gibi yaşayın, ağınızdaysa değerli bilgilerinizi sanki sahip olduğunuz tek şey gibi koruyun.

IPv4 bitti, peki ya IPv6 yeterli ve güvenli mi?

IPv6 ile alınabilecek adres alanı elbette artıyor ama başka şeyler de var...

Ağ yöneticilerinin yıllardır düzeltmeyi, telafi etmeyi ya da yeniden düzenlemeyi öğrendiği TCP/IP’nin sayısız “özelliklerinden” Ping of Death (Ping’in Ölümü), kaynak yönlendirme, bulunduğu yer belli olmayan güvenlik duvarı ve IP kandırmacası gibi sorunları hatırlayın.

Ticari yaygın internetin şafağında, 1994 yılında TCP/IP ile çalışmaya başladım. TCP/IP ile çalıştığım yıllarda, şu anda TCP/IP’nin en yaygın sürümü olan IPv4 tarafından içerik olarak kısıtlı adres alanının korunmasını amaçlayan Sınıfsız Alanlar Arası Yönlendirme (Classless Inter-Domain Routing –CIDR) tanıtıldı.

Aslında IPv4 1980’de RFC 760 içinde resmiyet kazandı ve daha sonra 1981 yılında RFC 791 ile yeniden şekillendirilerek şu anda kullandığımız halini aldı. IPv4 birçok konuda sıkıntılar getirse de esas olarak gözümüze batan iki önemli konudan muzdarip oldu.

TCP/IP çoğu çekirdek internet protokolü gibi “dost canlısı” bir çevrede kullanılmak için tasarlanmıştı.

Protokolün tasarım aşamasında internetin gelişimi öngörülemedi.

Son 15 yıldır ve bugün karşılaştığımız konuların başında güvenlik çalışmalarının hep sonradan, ya işlem sırasında ya da internet tam anlamıyla çalışırken düşünülmüş olması geliyor. Ayrıca tüm adres alanlarını kullandık bile. Son IPv4 alanları da 2011 yılının 3 Şubat’ında tahsis edildi.

IPv6’ya, internet çağı için tasarlanmış bir protokole girin… Fikir aşamasında güvenlik hesaba katılarak tasarlanmış bir protokol. Alınabilecek adres alanı elbette artıyor. IPv4’e göre hem de tam 4 milyar kat daha fazla adres bizleri bekliyor. Ayrıca IPv6 IPSec, şifreleme ve çoktan beri ihtiyaç duyulan TCP/IP ile bütünlüğü içeriyor. Bunların hepsi elbette iyi, değil mi?

Pek değil aslında. Bundan dört yıl kadar öncesinde Philippe Biondi ve Arnaud Ebalard IPv6’nın canlandırmasını yaptıklarında IPv6 “yönlendirme başlığının” esrarengiz şekilde IPv4’teki “kaynak yönlendirme” ile benzerlik gösterdiğini ortaya koydu. Bir özellik, IP yığınlarında önce yöneticiler sonra da sağlayıcılar tarafından evrensel olarak yok sayılmış birçok güvenlik sancısına sebep oldu. Görünen o ki, standartların belirlenmesine rağmen geçmişten hiçbir ders alınmamış.

Şimdi IPv6 uyumlu yazılmış sayısız uygulamalar ve içlerine uyumlu yazılım yüklenmiş binlerde çeşit donanımı düşünün. Binlerce açığa gebe milyonlarca satır kod. 1994 yılında doğru olduğunu ve takip etmemiz gerektiğini öğrendiğim IPv4 standartlarında sadece bir sağlayıcıda gördüğüm TCP/IP yığın yenilemelerini sayamıyorum bile.

Kurumlar için mesaj oldukça açık aslında. Şimdiden yapacaklarınızı planlayın, sağlayıcılarınıza doğru soruları yönlendirin ve BT ile güvenlik ekiplerinizin IPv6 geçiş planlarının olduğuna emin olun. Ölçümlenebilir güvenlik duvarları, VPN’ler, IPS ve kalem testleri gibi kavramların oturması için v4 ve v6 bir süre aynı paralelde çalışırken suçlular zirvede yer alacaktır.

Usame Facebook’ta yeniden canlandı!

Suçlular, Usame Bin Ladin’in ölüm haberinin yadsınamaz etkisinden Facebook üzerinde kurdukları tanıdık tuzaklarla yararlanmaya çalışıyor.

Facebook’ta “sohbet virüsünün” tuzağına düşen “endişeli bir akrabamdan” biraz önce bir telefon aldım. Enfeksiyon zinciri bir arkadaştan gelen sohbet mesajıyla başladı. Mesajda, “Usame Bin Ladin’in öldürülürken ki videosunu canlı izle” yazıyor, hemen altında da bağlantı bulunuyordu. Mesaj güvenilir olduğunu düşündüğünüz, gerçek ismiyle arkadaşınızdan geldi.

Bağlantı aslında belli ki sizi tuzağa düşürmek istiyor ancak benim kard... mm… endişeli akrabam şahitlik edebilir, insan bazen sahiden dalgın olabiliyor.

Açılan sayfa üzerindeki yönergede videoyu görebilmek için “video kodunun” kopyalanması ve tarayıcıdaki adres çubuğuna yapıştırılması gerektiği belirtiliyor. Bu olağandışı bir istek gibi görünebilir ancak tavsiye güvendiğiniz arkadaşınızdan canlı sohbet mesajı olarak geldiği için güveniyor ve örümcek hisleriniz pek de harekete geçmiyor.

Adres çubuğuna yapıştırılan kod, önceden tasarlanmış ancak masum bir web sitesinde barındırılan ikinci bir Java Script’i çağıran bir JavaScript. İkinci dosya tüm arkadaşlarınızı numaralandırıyor ve sohbet mesajları gönderiyor, tüm arkadaşlarınızı davet ettiğiniz bir etkinlik yaratıyor ve sürekli Facebook durumunuzu güncelliyor. Yani video bağlantısı duvarınıza yerleşerek dalgın Facebook’çuları yakalarken sohbet mesajlarıyla bağlantıların istenmeyen mesaj olmasından kurtuluyor. Bunun yanında etkinlik daveti göndererek en yakın ve en kör (tamam tamam, her neyse işte, Facebook arkadaşlarınız diyelim) kişileri kandırıyor.

Kullanılan taktik birçok “Profil Casusluğu” ya da sürekli dönen “Profilinize kim bakmış, görün” oltalarının tıpa tıp aynısı. Bu suçlu JavaScript’te kör göze parmak sokar gibi şöyle bir satırı da barındırıyor: “var eventdesc = ‘Hey everyone, \n\ fb now lets you see who viewed your profile! to enable this feature, go here!” (etkinlik açıklaması= ‘Herkese selam, \n\ fb profilinize kim bakmış görmenize imkân veriyor! Bu özelliği açmak için buraya gidin!).  Bu durum şunu ifade ediyor, gönderilen şey yasadışı bir tuzaktan başka bir şey değil.

Ama Tennessee’de eski bir söz vardır – Aslında sadece Texas’ta olduğunu biliyorum, büyük olasılıkla  - Tennessee’dir – “Bir kez kandır beni, utan… yazık sana. Beni kandırdı. Biz tekrar kaldırılamayız.” (George W. Bush’a sevgilerimle)

Bundan ne öğrendik? Sanırım en basit ders, birinden hatta tanıdığınız birinden bile istenmeyen bir bağlantı aldığınızda tıklamadan önce kontrol edin. Bir iyilik yaparak aldatıldıklarının farkına varmalarını sağlayabileceğini hiçbir zaman bilemezsin. Ve HİÇBİR ZAMAN, HİÇBİR bağlantıyı adres çubuğunuza yapıştırmayın.

Bahsettiğimiz sadece Facebook’ta yayılan Usame aldatmacası için geçerli değil, tıklamaya teşvik ederek kullanıcıların duvarlarında yem olarak bekleyen CAPTCHA gibi birçok saldırı bulunuyor.

Büyük hack olayının yan etkileri!

Eğer aynı şifreyi birçok web sitesinde kullananlardansanız hemen şifreleri değiştirmeli ve bu huydan vazgeçmelisiniz!

Sony’den son gelen haberler ne yazık ki başımıza gelebileceklerin en kötülerinin birçoğunu kapsıyor. 17 ile 19 Nisan arasında “kimliği bilinmeyen kişi” Sony’nin 70 milyondan fazla müşterisinin kişisel bilgilerine erişti. Çalındığı onaylanan bilgiler şu şekilde:

  • İsim
  • Adres
  • E-posta adresi
  • Doğum tarihi
  • PlayStation Network/QRiocity kullanıcı adı ve şifresiyle online ID


“Çalınmış olması muhtemel” bilgilerse şöyle:

  • Fatura adresi
  • Satın alma geçmişi
  • PlayStation Network/Qriocity güvenlik sorusu cevapları
  • Bağımlı tüm hesapların yukarıdaki bilgileri (çocuğunuzun size bağlı hesabı gibi)

Kredi kartı bilgilerinin çalındığına dair hiçbir kanıt olmamasına rağmen Sony, “bu ihtimali göz ardı edilemeyeceğini” ifade etti ve müşterilerini uyardı.

Bu sizin için ne ifade ediyor? Eğer aynı şifreyi birçok web sitesinde kullananlardansanız hemen şifreleri değiştirmeli ve bu huydan vazgeçmelisiniz. Siber suçlular e-posta adresinizi ve ortak kullandığınız şifrenizle birlikte adresinizi geri alabilmek için kullandığınız güvenlik sorularınıza verdiğiniz cevapları biliyor bile olabilir.

Hiçbir zaman aynı şifreyi birçok web sitesinde kullanmak iyi bir fikir değildir. Bu sebeple her site için farklı bir şifre edinmeye özen gösterin. Bu belki size karmaşık ve hatırlaması imkansız bir seçenek gibi görünebilir ama bunu başarmanın kolay bir yolu var. Büyük ve küçük harfler, numaralar ve $%&! gibi özel karakterlerin bulunduğu karmaşık bir şifre oluşturun. Her site için farklı bir şifre oluşturmak için bir yol benimseyin. Örneğin, web sitesi isminin ilk ve son harflerini karmaşık şifrenizin başına ya da sonuna yerleştirin. Bu sayede şifreniz farklılaşırken hatırlamanız da kolaylaşacak.

Güvenlik ve şifre sıfırlama sorularıysa bir hesaba sızılmasının en yaygın yollarından biridir. Eğer “güvenlik sorularına” iyi cevaplar vermek istiyorsanız verdiğiniz cevabın gerçekten güvenli olup olmadığını düşünün. Güvenlinin buradaki anlamı sadece sizin verebileceğiniz bir cevap olması. Eğer kendi sorularınızı yaratma ihtimaliniz bulunuyorsa, bunu kullanın. Eğer “İlkokul” ya da “İlk hayvanınız” gibi daha standart sorulara cevap vermek zorundaysanız doğru cevabı vermek zorunda olmadığınızı unutmayın. Doğru cevap yerine hatırlayabileceğiniz bir cevabı tercih etmek daha iyi olacaktır.

Bunların yanında, Sony’nin uyarılarını dikkate alın ve banka hesaplarınızdaki hareketlerinizi sıkça kontrol ederek olası bilinmeyen aktiviteleri bankanıza bildirin.

Takip Edin