Telefonum Dinleniyor mu?/ Bilgi Güvenliği Danışmanı Ozan Uçar


Cep telefon dinleme ve bilgisayar dinlemeye karşı ne yapılabilir?
Telefon dinleme iki türlü gerçekleştirilmektedir; cep telefonlarına kurulan casus yazılımlar/monte edilen ek cihazlarla ve şebekeler aracılığı ile yapılmaktadır.
Casus yazılımların çalışma prensiplerinden biri, aktif bir telefon görüşmesi olduğunda casusu tele konferans yöntemi ile bu görüşmeye dâhil etmektir. Kısa mesajların bir kopyasını yine casusa kısa mesaj olarak iletir. Bu durum telefon faturanıza doğrudan yansır, eğer faturanızda aynı saniyelerde iki farklı numara ile görüştüğünüz bir kayıt varsa sizi dinleyen numara ikinci kişidir. Casus yazılımların sık kullandığı diğer yöntem ise telefon görüşmelerinin ve kısa mesajların kaydını internet ortamına aktarmasıdır. Bu durum, telefonun internet trafiği incelenerek bilgilerin servis edildiği ip numarası bilgisinden aydınlatılabilir. Casus yazılımlar, cep telefonu kapalı bile olsa ortam dinleme yapabilmektedir!
İkincisi ise devlet/istihbarat ağırlıklı yapılan dinlemeler, doğrudan şebekeler aracılığı ile yapıldığından kişinin dinlendiğini bilmesi teknik açıdan mümkün değildir.
Casus yazılımlara karşı korunmak için telefonlara kaynağı güvenilir olmayan uygulamaların kurulmaması, hediye telefonların kullanılmaması, akıllı telefonların işletim sistemlerinin ve uygulamalarının güncel tutulması, yazılım desteği bulunmayan monofonik telefonların tercih edilmesi önemli ölçüde güvenlik sağlar.
İstihbarat amaçlı dinlemelere karşı korunmak için en etkili ve bence geçerli olan tek yöntem karşılıklı olarak kriptolu (şifreli) iletişim kurmaktır. Fakat ülkemizde özel şirketlerin kriptolu telefon veya yazılım üretmeleri yasalarla engellenmiş ve kullanımıda suç oluşturmaktadır. Medya’ya yansıyan en iyi örneklerden biri de Blackberry’lerin yasaklanma durumudur. İki Blackberry cihaz kendi arasında kriptolu haberleştiği için dinleme yapmak mümkün olmuyordu. Bu yüzden kriptoyu çözecek gizli anahtarın paylaşılmaması durumunda satışının engellenmesi gündemdeydi.

Güvenlikte şifreleme yetkilendirme dışında yeni teknolojiler var mı?

Web tabanlı kimlik doğrulamalarda kullanıcı adı ve parolaya ek olarak, sms ile kimlik doğrulama en yaygın kullanılan yetkilendirmelerden biridir. Bankalar, Gmail, Facebook vb. servisler kullanmaktadır.
Kullanıcı adı şifre ne kadar güvenli?
Bir kullanıcı hesabı, karmaşıklığı ve tahmin edilebilirliği kadar güvenlidir! Parolanızın güvenliği, karakter sayısı, içinde bulunan rakam, büyük/küçük harf, alfanumerik karakterler ile doğru orantılıdır. Örneğin; “gizliparolam” yerine “G1zL1P@r0l4M!!” kullanmak parola kırma işlemini zorlaştırmakta, kimi durumlarda imkansızlaştırmaktadır. Fakat bilgisayarınızdaki bir casus yazılım, parolanız ne kadar karmaşık olursa olsun elde edebilir, farklı olarak “okunabilir (clear text) protokoller” aracılığı ile (http, ftp gibi) aktarılan trafiklerden yine parolanız ne kadar güvenli olursa olsun ele geçirilebilir. Bu durumda karmaşık parola seçimine ek olarak ssl gibi güvenli iletişim katmanlarını da kullanmak gerekir.

Yedekleme konusunda neler yapılabilir, neyi öneriyorsunuz? Verilerimiz kaybolursa neler yapabiliriz? Veri kaybı, silinmesi, çalınmasına karşı nasıl önlemler alınabilir?

Yedekleri belirli periyotlarla almak, her seferinde verinin tümü yerine yeni eklenenleri ve farklılıkları yedeklemenizi öneririm. En sık yapılan ölümcül hatalardan biri alınan yedeğin yine aynı sistem üzerinde tutulmasıdır. Fiziksel bir hasar olduğunda, gerçek verileriniz ile yedeğinizide kaybedersiniz. Güvenlik için, bilgisayarınızda full disk encryption kullanmanızı öneririm. Bu işi yapan truecrypt vb. ücretsiz ve güvenilir araçlar bulunmaktadır. Fakat kullanmadan önce mutlaka bir uzmandan destek alın, verilerinizi geri dönülemez hale getirebilirsiniz.
Veri kurtarma için ciddi çalışmalar yapan firmalar bulunuyor. Yazılımsal olarak veri kurtarma yapan araçlar tek disk’ten veri kurtarmada kısmen başarılı olabiliyor. Fakat bir sistem için birden çok diskin birlikte çalıştırıldığı raid yapılarında veriler her diske bölünerek yazıldığından kurtarma işlemi oldukça zorlaşıyor.

Net ortamında çocukların güvenliği, internetteki zararlı yayın ve tehlikeli kişilerden çocukları nasıl koruruz?
TIB’in (Telekomünikasyon İletişim Başkanlığı) bu konuda sunduğu hizmeti öneririm; adsl hizmetine ek olarak zararlı ve +18 içeriklerin filtrelendiği bir internet servisi. Buna ek olarak, bilgisayarda gizlice çalışan ve zararlı sitelere karşı (kumar, oyun, eğlence ve pornografik) filtreleme uygulayan yazılımlar tercih edilebilir.

Kablosuz ağlarda nelere dikkat edilmeli?

Kablosuz ağların güvenliği en başta kullanılan şifreleme türüne bağlıdır. WEP ile korunan kablosuz ağlar, parola ne kadar karmaşık ve zor olursa olsun pratikte 10 dakikada kırılabilmektedir.Tahmin edilmesi güç bir parola ile WPA2 anahtarını kullandığınızda dışarıdan girişleri zorlaştırmış olursunuz.
Flash belleklerde güvenlik sıkıntısı?
Flash bellekler, zararlı yazılımların bulaşma riski en yüksek donanımlardan biridir. Özellikle, windows sistemlerin “autorun” özelliğinden dolayı (varsayılan olarak açık gelir bu özellik) zararlı bir yazılımın kendini bulaştırması için usb sürücünün takılması yeterli olur !
Bu konuda hacking amaçlı geliştirilmiş bir çok yazılım bulunmaktadır. SET (social engineering toolkit) usb belleklerden bulaşan ve antivirüsler tarafından tanınmayan zararlı/casus yazılımlar oluşturabilmektedir.
Korunmak için, usb/cdroom vb. tak çalıştır aygıtları için “autorun” özelliğini kapatın ve sisteminizde güncel bir antivirüs bulundurun.

Bilişim güvenliğinde teknik ve hukuki altyapı müsait mi? Kişisel hak ve özgürlükler konusunda müsait mi?

Değil, Türkiye’de herkesin kişisel bilgileri kapı numarasına kadar internet üzerinden erişilebilmektedir. Bunları yapanların ceza almaması bu konudaki istismarların artmasına neden olmaktadır
Bazı ülkelerin windows kullanmamasına ne diyorsunuz? Casus yazılım mı?
Windows kullanmak ya da kullanmamak guvenlik açısından çok birşey katmaz. Mesele o sistemi yönetenin güvenlikten anladığıdır. İyi bir sistem yöneticisi Windows kullanarak iyi bir güvenlik sağlayabilir.

Güvenlik yazılım konusunda yerel yazılımlarımız ne durumda?
İhtiyaçların artması ile yerel sektörde arge çalışmaları başladı. Firewall, AntiLogger, Zaafiyet tarama yazılımı vb. çalışmalarda yerel yazılımlar üretiliyor ve bu konuda kaliteyi yakalamış durumdayız.

Kritik bilgiler nerede tutulacak? Güvenlikçilerin söylediği en iyi şifre saklama yeri insan hafızası mı?
Şu ana kadar yalnızca insan hafızası okunamadı. Verinin bütünlüğünü ve güvenliğini sağlamak için veriler kriptolanmalıdır. MD5, SHA1 geri dönüşümü mümkün olmayan şifreleme algoritmaları son kullanıcı için ideal olabilir. Trucrypt vb. yazılımlarda 128 bit şifreleme ile verilerinizi güvenle saklar.

Lisanslı yazılım kullanmamanın güvenlik sorununa etkileri nelerdir?
Saldırganların hedef sisteme sızmak için kullandığı tekniklerden biri, yazılımların güvenlik açıklıklarından faydalanmaktır. Bir yazılımın güvenlik açığı çıktığında ilgili firma çoğu durumda hızlıca bir güvenlik güncelleştirmesi yayımlar. Yazılımınız lisanslı ve otomatik güncelleştirmeleri açıksa sizi bundan haberdar eder ve güvenlik açığından etkilenmemeniz için yazılımınızı günceller. Lisanssız kullandığınız durumlarda, bu güvenlik açığından haberdar olmanız çok zordur ve güvenlik güncelleştirmesi yazılımın bir üst versiyona geçmeyi gerektiriyorsa sizin için çareler tükenmiş demektir. Mutlaka lisanslı yazılım kullanmanızı öneririm.

Ufukta, günümüzdeki mantıktan farklı yeni işletim sistemleri, cihazlar var mı?
Hızlı bir şekilde web tabanlı sistemlere doğru koşuyoruz. Birkaç yıla web tabanlı işletim sistemlerinin piyasalarda yer alacağını söyleyebiliriz.

Yorum bırakın