Son yılların en önemli sorunlarından biri de sanal dünyada yaşanan güvenlik sorunları. Bir çok bilim adamı, İnternet üzerinde ve web sitelerinde güvenlik nasıl sağlanabilir? Bunun cevabını arıyor ve çözümler üretiyor. İnternetin hayatımıza ne kadar dahil ve de müdahil olduğunu artık herkes kabul ediyor olmalı. Evet, çoğunlukla bize zaman kazandırıyor, istediğimiz bilgilere anında ulaşmamızı sağlıyor. Özellikle bankalarda kuyruklarda bekleme çilesini neredeyse yüzde 90 oranında azalttı. Çünkü size verilen müşteri numarası ve aldığınız şifrelerle girdiğiniz sanal bankada dilediğiniz banka işlemlerini yapabiliyorsunuz. Bu kimi zaman bir fatura ödemesi kimi zaman da yatırım yapmak şeklinde olabiliyor. Ve kimi zaman da bir alışveriş sitesinde dilediğiniz ürünün sahibi olmak için kredi kartı numaranızı kullanmanız gerekebiliyor. İnternet üzerinde yapılabilen işlemlerin bunlarla sınırlı olduğu tabii ki düşünülemez. Hayatımızın bir çok alanına giren internet üzerine biraz oturup kafa yormak gerekiyor. Neden mi? Çünkü bir çok yöntemi kullanarak kişilerin şifrelerini ele geçiren hackerlar büyük bir ustalıkla hesapların içini boşaltabiliyorlar. Uzmanlar bu konuda gerek firmaları gerekse kişileri dikkatli olmaya çağırıyor. Kurduğu internet sitesi mezun.com ile büyük bir gruba dönüşen Mezun Group Ceo'su Ali Hantal ile internette güvenlik üzerine konuştuk.
İnternet üzerinde hacker'ların en çok kullandıkları yöntemler neler
Hackerlar genellikle bilgisayar sistemlerindeki açıklardan faydalanmaya çalışıyor.
Bu açıkları kullanırken "trojan" adı verilen programları devreye sokuyorlar. Hackerlar trojan ve benzeri programlarla, kullanıcıların bilgisayarlarını ele geçirerek, istedikleri işlemi yapabiliyorlar. Bu tehlikeden korunmanın en hızlı ve verimli yolu ise her zaman güncellenen bir antivirus programı ve spyware(casus yazılım önleyici) kullanmak olabiliyor.
Bu programların yanında ayrıca kullanıcıların gizli bilgilerini ele geçirmek için "phishing" denilen yöntemi de kullanabiliyorlar. Bu yöntemde hackerlar ilk önce çok kullanılan ve güvenilir bir kurumun (banka veya e-ticaret sitesinin) sahte websitesini oluşturuyor ve bu sitede çeşitli bilgi güncelleme formları yaratıyorlar. Sonra bu bilinen ve güvenilir kurumdan gelmiş gibi görünen sahte bir maili internetten topladıkları mail adreslerine gönderiyorler. Burada amaçlanan bu kurumla iletişimde olan üyelere/kullanıcılara ulaşma oluyor. Zaten bu sebeple bu yönteme balıkçılık yapmak anlamına gelen "phishing" deniyor.
Bu şekilde kandırılan kullanıcılar güvendikleri bir kurumdan geldiğini düşündükleri bu maildekie tıklayarak sahte sitedeki sahte formları dolduruyor, bilgilerini güncellemek suretiyle tüm kişisel bilgilerini hackerlara kendi elleriyle ulaştırıyorlar.
Bu yöntemden korunmak için bir çok e-ticaret sitesi ve banka hiç bir mailde göndermediklerini ve göndermeyeceklerini açıklıyor sürekli olarak. Ayrıca yine bir çok kurum "sitekey" denilen yöntemle her log-in öncesinde sadece kişinin bildiği bir resmi kişiye gostererek bizzat kullanıcıya dogru sitede oldugunu onaylama şansı tanımayı seçiyor.
Bu konuda kullanıcılara düşen görev bu tip kişisel bilgilerini paylaştığı sitelere her zaman kullandıkları web site adreslerini kullanarak ulaşmaları ve sitekey'lere dikkat etmeleri olabilir. Bir diğer kullanılan yöntem de kullanıcıların bilgisayarlarında yazdıkları her türlü bilginin key logger adı verilen programlar sayesinde hackerlara gonderilmesi.
İnternet bankacılığının böylesine yaygınlaştığı günümüzde hacker'ların şifrelere ve parolalara ulaşma yolu kesin olarak engellenebilir mi? Ya da başka bir deyişle nasıl engellenebilir?
Bu sorunun cevabını hem kurum hem de kullanıcılar tarafindan yapılabilecekler olarak ikiye ayırmak mümkün.
Kurum , kullanıcıların giriş yaptığı sunucularda sürekli olarak güvenlik kontrollerini yapmalı ve bu sunucuları mutlaka bir firewall ile koruma altına almaı, sitekey kullanmalı ve kullanıcılarını "phishing" gibi yöntemler konusunda ve güvenlik konuları hakkında her zaman bilgilendirmelidir.
Kullanicilar ise özellikle şifre seçimlerinde tahmin edilmesi kolay olmayan (doğum tarihi , isim-soyisim gibi) şifreler seçmelidir. Bu şifrelerin alfanumerik olması yani hem rakam hem de harflerden oluşması şifrelerin tahmin edilmesini zorlaştıracaktır. Ayrıca kullanıcılar internet bankacılığına giriş yaptığı bilgisayarın herkesin kullanımına açık bir bilgisayar olmamasına ve kullandığı bilgisayarda antivirus ve firewall yazılımlarının güncel halleriyle yüklü olmasina dikkat etmeli.
İnternette alışverişin yaygınlaşması bu alanda kredi kartı kullanımını da bir riskli hale getiriyor. Bu alandaki riskler ve nasıl üstesinden gelinebileceği konusunda bilgi verebilir misiniz?
Bu konuda kullanıcılara çok önemli bir iş düşüyor. Şu anda internet dünyasında hangi kurum veya kişi tarafından sahip olunduğu bilinmeyen ve kredi kartı bilgisi toplayarak satış yaptığını soyleyen binlerce websitesi mevcut.
Kullanıcıların kredi kartı gibi önemli bilgilerini bir site ile paylaşmadan önce kesinlikle sitenin sahibi olan kurum veya kişileri araştırmaları gerekir. Eger site bilenen bir kuruma ait ise, yapılması gereken ikinci kontrol ise websitesinde SSL (Secure Socket Layer) güvenlik sertifikalarının kullanıldığından emin olmaktır. Bu sertifikalar tüm dunyada geçerlidir ve görevleri kişisel bilgilerinizin bilgisayarınızdan alışveriş yaptığınız firmanın sunucusuna gidene kadar internet ortamında korunmasını sağlamaktır. Bu sertifikaları kullanan siteler web sitelerinde en yaygın kullanılan güvenlik sertifikalarının logolarını bulundururlar. Bu şirketler arasında en çok kullanılanları Verisign ve Thawte'dir. Browser'ınızın altında beliren ufak sarı bir kilit işareti de güvenlik sertifikasının kullanıldığını gösteren bir işarettir.
Virüs gönderilen e-mail adresleri kesin olarak tehlike altında mıdır?
Gönderilen her virüsün amacı bilgisayarınızı ele geçirmek olmasa da bunun dışında başka zararları da vardır. Eğer virüs gönderilen e-mail adresleri korumasız bir durumda bulunuyorlarsa (kullanılan bilgisayarda antivirus programi ve firewall yüklü degilse) virüs tehlikesi var demektir.
Bir yazılımın güvenlik anlamında riski azaltmasının yöntemi ne olabilir?
Antivirus , spyware ve firewall gibi güvenlik sağlayan yazılımlar ile bilgisayarlarımızdaki riski azaltabiliriz.
Kablosuz internete bağlanılabilien alanlar kredi kartı kullanımı ya da internet şubesine girmek açısından kesinlikle riskli midir bu risk minimize edilebilir mi?
Kablosuz internete bağlanılan ortamlar kredi kartı kullanımı veya internet bankacılığı için riskli ortamlardır. Kullanıcılar kendi bilgisayarlarını koruma altına almış olsalar bile , kullanılan bilginin iletimi kablosuz bir ortamda olduğundan dolayı aynı kablosuz ortamı kullanan bir hackerin bu iletilen bilgileri yakalama olasılığı bulunuyor. Kablosuz internet ortamı bir özel kurum veya kişiye ait ise ve özel bir şifre (WEP, WAP vb.) ile korunuyorsa internet ortamı daha güvenli olabilir. Eğer kendi evinizde kablosuz ortamda internete bağlanmak isterseniz sadece sizin bildiginiz bir şifreleme ve erişim kontrolü yapılarak sadece sizin izin verdiğiniz bilgisayarların network'e bağlanmasına izin verme yolu ile guvenli bir kablosuz ortamı yaratmanızı öneririz..
Amerika'da birçok İnternet Güvenlik Şirketinin ve sertifikalı Etikal Hacker'lar (Certified Ethical Hackers) bulundurduğu söyleniyor. Türkiye için ne önerirsiniz?
Türkiye'de bilginin güvenliğine verilen önem son yıllarda artmaya başladı. Özellikle bilginin para ile eşdeger olduğu günümüzde bilginin korunması adına firmaların teknik departmanlarında guvenlik üzerine yetişmiş personel bulundurması veya bu hizmeti outsource ederek bir guvenlik danışmanlık şirketinden almaları doğru bir hareket olacaktır. Bu gelişmeleri takiben ülkemizde de CEH (Certified Ethical Hacker-Iyi Huylu Hacker) kurslarının açılması da sevindirici.