Dijitalleşmeyle birlikte internet ve network kullanımı artmıştır. Ayrıca Covid 19’un etkisiyle birlikte uzaktan çalışma modellerinin hayatımızdaki konumu güçlenmiştir. Bunun doğal sonucu olarak da siber güvenlik kapsamında, çalışanları denetlemek ve onların dijital güvenliğini sağlamak hem önem kazanmış hem de bir hayli zorlaşmıştır. Bireysel olarak karşılaşabileceğimiz siber saldırılarda ya da kişisel verilerimize yönelik kötü amaçlı yazılımların (malware) kullanımında da ciddi bir yükselme meydana gelmiştir. Hemen her gün medyada bu durum ile ilgili bir haber okumak mümkün.
Alanda aktif olarak çalışan siber güvenlik uzmanları, karşılaşabileceğimiz ve ciddi sonuçlar doğurabilecek siber saldırılar veya kötü amaçlı yazılımlar hakkında sık sık uyarılarda bulunuyorlar. Buna rağmen çok sayıda kişi, kişisel veri güvenliğinin ilk adımlarından birisi olan şifre oluşturma sürecinde, çözülmesi kolay şifreler kullanmayı tercih ediyor. NordPass, tarafından her yıl yayınlanan “En yaygın Şifreler” raporuna göre; insanların şifre olarak futbol takımlarını, otomobil markalarını, müzik grubu isimlerini veya kendi isimlerini yaygın olarak kullanıldığı belirlendi.
İlginç örnekler var…
İsrail’de yapılan bir araştırmada, güvenlik araştırmacısı Ido Hoorvitch, Tel Aviv’deki 5.000 WiFi ağı üzerinde bir araştırma yapmıştır. Araştırmacı PMKID (Pairwise Master Key Identifier) olarak ifade edilen, ağdaki dolaşım özelliğini ifade eden ve kimlik doğrulama maksatlı kullanılan değeri ele geçirmeye odaklanmıştır. Şifre başına ortalama dokuz dakikalık bir hızda 2.200 şifre kırabilmiştir.
Basit ve kolay bir kırma yöntemi kullanan Hoorvitch, araştırmanın sonucunda WiFi şifrelerinin yaklaşık %70’ni kırmıştır. Bu durum WiFi ağları için güçlü bir parola politikası belirlenmediğini göstermektedir. Eğer saldırganlar kişisel WiFi şifremizi ele geçirecek olurlarsa; kişisel ağımıza erişebilirler (LAN – Local Area Network), modem ayarlarımızı değiştirebilirler ve kusurlardan yararlanarak ağdaki cihazlarımızı ele geçirebilirler. Bu tür siber saldırılardan korunabilmek için öncelikle güçlü bir parola politikası kullanmamız gerekmektedir.
Yazının devamında konu ile ilgili özet bir değerlendirme yapacağız ve kişisel verilerin nasıl daha güvenli hale getirilebileceğinin cevabı bulunmaya çalışacağız. Konu kapsamında kişisel olarak maruz kalabileceğimiz olumsuz durumlar ve şifrelemede dikkat edilmesi gereken önemli yöntemlere de değineceğiz.
Kullanmakta olduğumuz kişisel sosyal medya hesaplarından, mail ve banka hesaplarına kadar geniş bir alanı kapsamakta olan kişisel güvenlik kavramı hayati bir öneme sahiptir ve kesinlikle göz ardı edilmemelidir. Kişisel sosyal medya hesaplarımız ele geçirilecek ya da hacklenecek (hacking activities) olursa; maruz kalabileceğimiz olaylar çok ciddi boyutlara ulaşabileceği gibi bu hesaplardan yapılabilecek suç niteliği taşıyacak paylaşımlar da bizleri adli olaylarla karşı karşıya getirebilir.
Hesaplarımızın ele geçirilmesi durumunda kimlik bilgilerimizi ele geçiren kişi ya da kişiler tarafından, kimlik bilgilerimiz hem illegal hem de bazı finansal çıkarlar için kullanılabilmektedir. Adımıza oluşturulacak olan sahte bir kimlik kartı, adımıza açılacak olan bir kredi kartı hesabı, bunlardan akla gelebilecek ilk örneklerdir. Bu kadar ciddi sonuçları olan bir duruma karşı duyarsız kalınması anlamsız olacaktır.
Peki söz konusu siber saldırılara karşı neler yapılabilir? Aslında sorunun cevabı biraz karmaşık gibi görünse de kullanacağımız etkin şifreleme yöntemleri ile sorunu aşabiliriz. Peki bu şifreleme teknikleri ya da yöntemleri neler olabilir? Biraz da bu teknikler üzerine açılama yapmakta fayda var. İlgili tekniklere değinmeden önce siber saldırganların (attacker) kullandığı genel yöntemler hakkında bilgi sahibi olunmasında fayda var.
Siber saldırganların şifre çözmede kullandığı genel bazı teknikler şöyle ifade edilebilir:
- Tahmin (Guessing): Saldırgan, hedef kişinin doğduğu şehir, spor takımı, çocuklarının adları gibi genel bilgileri içerecek şekilde sürekli bir denemede bulunmaktadır.
- Online Sözlük Saldırıları (Online Dictionary Attack): Saldırgan, online olan ve sürekli güncellenmekte olan sözlükleri otomatik bir program vasıtası ile kullanarak ataklarını gerçekleştirmektedir. Sözlük kavramı, daha önce kullanılan şifreler veya genellikle geçmişteki güvenlik ihlallerinden elde edilen listeleri ifade etmektedir.
- Offline Sözlük Saldırıları (Offline Dictionary Attack): Saldırgan, online sözlük saldırılarına benzeyen yöntemi kullanırken kopyasını aldığı online olmayan sözlükten istifade etmektedir. Saldırılar yine otomatikleştirilmiş programlar vasıtasıyla gerçekleştirilmektedir.
- Offline Zorlayıcı Saldırılar (Offline Brute Force Attack): Kapsamlı anahtar arama şeklinde de ifade edilen zorlayıcı saldırı, şifrelenmiş verinin şifresini çözmeye çalışmak için kullanılabilen bir kripto analitik (cryptanalytic method) saldırıdır. Özetle bu saldırıdaki hedef şifreleme algoritmasının kendisidir.
Söz konusu saldırılara karşı alınabilecek belli başlı yöntemler olarak; kullandığımız sisteme fiziksel erişim kontrol edilmeli, parola dosyalarına elektronik erişim kontrol edilmeli, parola dosyaları şifrelenmeli, güçlü parola politikaları oluşturulmalı, parolalar maskelenmeli (yazdığımız parolalar ekranda metin olarak görülmemeli), çok faktörlü kimlik doğrulaması ve hesap kilitleme yöntemleri kullanılmalıdır.
Güçlü parola politikaları oluştururken nelere dikkat edilmelidir? Birkaç önemli hususu burada belirtmekte yarar var:
- Küçük ve büyük harf kombinasyonu kullanılmalıdır.
- Ardışık olmayan rakamlar kullanılmalıdır.
- Harfler haricindeki semboller de kullanılmalıdır.
- Tek kod karakterler şeklinde ifade edilebilecek olan unicode characters kullanılmalıdır.
- Sosyal medyada kişisel nitelik taşıyan ve kullanmış olduğumuz isim ya da kelimeler kullanılmamalıdır. Örneğin facebook hesabımızdaki profil fotoğrafımızda yer alan kedi ismimizi şifre olarak kullanmamalıyız. Çünkü saldırganlar hedef kişiye bir saldırı başlatmadan önce ilgili kişi hakkında araştırma ve analiz yapmaktadır.
- Öte yandan kullanılan parolalar insanlar tarafından akılda kalabilecek şekilde oluşturulmalıdır.
- 14 karakterden daha uzun olan şifrelerin tahmin edilme ve çözülme olasılıkları, daha az karakterli olanlara göre oldukça zordur. Bu nedenle en az 14 karakterden oluşan parolalar daha güvenlidir. Daha az karakterli bir şifre kullanılacaksa karmaşık bir karakter yapısı olması gerekmektedir.
- Şifreler genellikle 42 günde bir değiştirilmeli ve eski şifreler tekrar kullanılmamalıdır.
- Kullandığımız şifreler bilgisayar ya da telefona kaydedilmemelidir. Elektronik ortamda kaydı yapılacaksa kesinlikle tescilli bir şifre yöneticisi kullanılmalıdır. Bu sayede şifreler, şifreli bir şifre kasasında muhafaza edilmiş olmaktadır. Fiziksel bir ortamda kayıt altına almanın da ciddi riskleri bulunmaktadır. Bu yöntem kullanılacaksa en azından kendi belirlemiş ve geliştirmiş olduğumuz bir şifreleme yöntemi kullanılmalı ve bu kayda ulaşan kişi burada yazılı olan verilerle hesaplarımıza erişememelidir.
Sonuç olarak kişisel verilerimizi korumak öncelikli olarak kişisel bir sorumluluktur ve gerekli tedbirlerin alınması gerekmektedir. Müteakip zaman dilimlerinde herhangi bir suçlamaya maruz kalmamak ve kişisel verilerimizi koruyabilmek için yukarıda ifade edilen tedbirleri almak çok önemlidir. Kişisel güvenlik, beraberinde mutluluk ve huzuru da getirecektir. Günümüz dijital dünyasının temel problemlerinden olan siber saldırılara karşı kişisel tedbirlerimizi almak ve bunları ihmal etmemek büyük önem taşımaktadır.