Başlığı yanlış okumuyorsunuz. Aynen yukarıya da yazdığım gibi bilgisayarınızdaki en büyük tehlike sizsiniz. Yıllardır kapatılamayan ve önlemi alınamayan en büyük açık insan faktörüdür. Bunu yazının ilerki safhalarında tekrar tekrar vurgulayacağım ama yine de tekrarlıyorum; Bilgisayar güvenliğinin en zayıf ve en kritik halkası insan faktörüdür. Evet dışarda yüzbinlerce zararlı kod var, binlerce “hack tool” adı verilen sözde hackerların sistemlere sızmak, birilerine zarar vermek için kullandığı araçlar var. Hatta en çok kullanılan işletim sistemi Windows bir açık makinası ve sık kullandığımız bütün programlarda gün geçmiyor ki yeni bir açık çıkmasın. Ancak şuna inanın, sıradan ev kullanıcıları, yani mesleği ve ya hobisi bilgisayar olmayan sadece günlük işlerini bilgisayarla halleden, oyun oynayan, film seyreden, sohbet eden ve bilgisayar kullanıcılarının büyük bir yüzdesini oluşturan kesim, bu açıkları takip ettikleri dergi ve gazete gibi basın organlarından öğrendiklerinde genellikle bu açıklar çoktan yamanmış oluyor. Ya da Anti-Virüs üretcileri bu açıklara karşı önlemlerini almış oluyorlar. Hack tool adı verilen araçların da hiçbiri mucize yaratmaz. Yani o araçlara birinin e-mail adresini yazarsanız size şifresini söylemez. Ve ya kurbanın IP adresini yazıp “bağlan” tuşuna bastığınızda bilgisayarın masaüstüne bağlanan bir araç bulmazsınız. O araçların da tamamı güvenliğin en zayıf halkasını kullanır. Yüzbinlerce zararlı kod derken kastettiğimiz şey virüsler, casus yazılımlar, solucanlar ve truva atlarıydı, ve evet hiçbiri kendi kendine bir bilgisayara kurulmaz. Acı ama gerçek. Anti-virus yazılımınızla tarama yaptığınızda, bilgisayarda bulduğunuz onlarca zararlı nereden çıktı diye boşuna düşünmeyin. Onları birer birer siz kurdunuz bilgisayarlarınıza. Çünkü hiçbir işletim sistemi ya da anti-virus yazılımı üreticisinin kapatamadığı ve muhtemelen hiçbir zaman kapatamayacağı en büyük güvenlik açığının parmakları klavyenizde, odanızda, bilgisayarınızın tam karşısında. En sevdiği şarkıcının hain hain sırıttığı bir siteden arkaplan resmi yüklüyor. Evet yüklüyor, indirmiyor yüklüyor... İnternette “Karşılıklı Güven” Meselesi İnternette kimseye güvenmeyin. Bunun herhangi bir sınırı yok. Kesinlikle ve kesinlikle internet üzerinde tanıştığınız birisine güvenmeyin. Hatta daha da ileri gideyim, yıllardır anında mesajlaşma yazılımınızın listesinde bulunan lise arkadaşınıza da güvenmeyin. Kesinlikle, çok yakından tanıdığınız biri dahi olsa, anında meajlaşma yazılımları üzerinden kişisel bilgilerinizi paylaşmayın. Sanılanın aksine hackerlar sistemlere sızma, şifre çalma gibi işlerini sadece kendi geliştirdikleri yazılımlarla yapmazlar. En çok kullandıkları yöntem insan üzerine oynamaktır. E-posta adresiniz çalındığında aklınıza gelen bunu ne tür yazılımları kullanarak yaptıkları olmamalı. Ya da e-posta servisinin ne gibi açıkları olduğunu sorgulamadan önce, “ben son günlerde internette kimlerle konuştum” ve “ne konuştum” olmalıdır. Şimdi size muhtemel bir saldırı senaryosu yazacağım. Buradaki kötü niyetli kişiler, kodlama konusunda usta, bilgisayarlar ve güvenlik konusunda hepimizden daha fazla şey biliyor olabilirler. Bazı kilit işlemleri kendi teknik kapasiteleri ile yapıyor olabilirler. Ancak göreceksiniz ki güvenliğin en zayıf halkası olan insan faktörü olmadan gene de bu işlemleri gerçekleştiremeyeceklerdi. Burada bahsedeceğim senaryo tamamen gerçek olaylardan alınmıştır ve sadece Türkiye şartlarına uyarlanmıştır. Olayların işleyişi ve yöntemler tamamen gerçektir. Kötü niyetli kişiler teknik bilgilerini kullanarak internette izlerini bulunamayacak hale getirmişler ve herhangi bir kredi kartı ve sahibinin kişisel bilgileri ile bütün hesabı boşaltabilecek düzeneği hazırlamışlardır. Buraya kadar insan faktörünün bir önemi yok. Ancak bir kişinin kredi kartı bilgilerini ele geçirmek ve bunu, o kişinin kafasına sert bir cisimle vurup bayıltmadan yapabilmek için ne gereklidir? Bir Kurban. Burada kurbanımıza “Ayşegül” diyeceğiz. Ayşegül Bakırköy’de bir video kiralama dükkanları zincirinde kasiyerdir. Zincirimizin de adı “X” olsun. _Alo X video ben Ayşegül, nasıl yardımcı olabilirim? _Ayşegül merhaba, ben Ertan. Levent şubesinin müdürü, sana ufak birşey soracaktım. _Tamam _İyi bir müşterimiz Rocky 5’i kiralamak istiyor. Şu an elimizde hiç yok, sizde var mı bir kontrol eder misin? Bakırköy yolunun üstüymüşde, varsa size uğramasını sağlayacağım. _Peki bakıyorum... Evet varmış. Uğrayabilir. _Teşekkürler Ayşegül, sağol yardımın için. _Rica ederim. Bu Ayşegül için gayet yerinde bir konuşma olmuştu. Şüphelenecek kendini ve ya başka birilerini zor durumda bırakabilecek hiçbirşey konuşulmamıştı. Ayşegül bu konuşmayı çoktan hafızasının arkalarına yolladı. 3 Gün sonra. _Video X nasıl yardımcı olabilirim? _Ayşegül merhaba nasılsın? Ben Ertan, Levent’den. _Merhaba Ertan Bey, siz nasılsınız? _Teşekkürler, geçen gün müşterimiz size uğrayamadı galiba. Neyse bak ne soracaktım, şu an bilgisayarlarımızda belgesel DVD’lerinin fiyatları gözükmüyor. Ordan bakabilir misin? Bizde ona göre fiyatlandıralım burada. _Hiç sorun değil, hemen bakıyorum. _Çok sağol _Günlük kirası 2.5 YTL _Oldu teşekkürler. _Rica ederim. Ayşegül gene hiçbirşeyden şüphelenmeden konuşmayı bitirmişti. Ertan 2-3 günde bir Ayşegül’ü aramaya devam etti. Her seferinde ilk aramalarındaki gibi şüphe edilmeyecek şeyler soruyordu. Hatta Ayşegül ile Ertan neredeyse arkadaş olmuşlardı. Artık Ertan kendini tanıtmıyordu, Ayşegül sesinden arayanın Ertan olduğunu anlıyordu. Ve ilk aramasından üç hafta sonra Ertan son bir kez daha aradı, sesi biraz telaşlıydı. _Ayşegül merhaba. _Merhaba Ertan Bey, nasılsınız? _Sağol, başımızda bir dert var., _Nedir? _Bak bütün bilgisayarlarımız şu an çöktü, hiçbir bilgiye erişemiyoruz. Telefonla aldığımız bir sürü sipariş var ancak bilgisayar çalışmadığı için hesaplara giremiyoruz. Müşteriler saatlerdir siparişleri bekliyorlar. Şimdi sana bir kaç müşterinin isim ve adreslerini vereceğim, sen de bilgisayardan kontrol edip bana kredi kartı bilgilerini söyler misin? Elle giricem hesaplarına. Çok beklettik. _Tabi sorun değil. ........................................................ Ayşegül’ün akşama doğru, “acaba telefonla kredi kartı bilgilerinin başka bir şubeye aktarılması kurallara uygun muydu” diye düşünmesi ama hem bu bilgileri isteyenin bir müdür olması hem de o an yapacak daha önemli işlerinin olması sonucu değiştirmedi. Aynı saatlerde bazı müşterilerin banka hesapları çokdan boşaltılmıştı. Bu örnekte de gördüğümüz gibi, bize ya da çevremize ciddi maddi zarar verebilecek ataklar genellikle bilgisayarlarımızdaki zaafları değil, sizin zaaflarınızı kullanırlar. Bu yaşanmış ve çok basit bir örnekdir ve örnekler çoğaltılabilir. Yeni girdiğiniz bir işte, ilk gün şirketin dahili telefonundan size şirketin güvenlik politikasını anlatmak üzere, IT departmanından olduğunu söyleyen birisi size, şirkete kayıtlı e-postanızın şifresini şirket kurallarına göre nasıl yaratmanız gerektiğini anlatabilir. Hatta daha da ileri gidip adım adım yanınızda kontrol edebilir, varsayılan şifrenizin yeterli güvenlikte olup olmadığını kontrol etmek amacıyla, sizden bu şifrenizi söylemenizi isteyebilir vesaire. Bu örnekde de, şirketin dahili telefonundan aranmanız işin teknik kısmıdır ancak sizi asıl zarara, sokan atak doğrudan size yapılan telefon aramasıdır.
