Anlık İletiler ve Bireysel Internet Güvenliği
Transkript
Anlık İletiler ve Bireysel Internet Güvenliği
Anlık letiler ve Bireysel Internet Güvenli i Murat Lostar* Internet, yaygınla maya ba ladı ı günlerde "en büyük bilgi bankası" diye adlandırılıyordu. Artık, hem elektronik banka ubesi, hem de telefondan sonra en önemli haberle me aracımız. E-posta, Internet'in bize sa ladı ı önemli olanaklar arasında günlük hayatımıza yerle ti. Ancak, Internet ve sa ladı ı fırsatlar, beraberlerinde, daha önce tanımadı ımız problemleri de getiriyorlar. Internet üzerinden bize hizmet veren (bankalar, e-posta ile anlık ileti firmaları ve elektronik ticaret) siteler, Internet'in ve yeni teknolojinin getirdi i problemleri çözmek için kendi alanlarında yo un biçimde çalı ıyorlar. Bu çalı malar oldukça yo un olmakla (ya da olması gerekmekle) birlikte, yeterli de il. Biz kullanıcıların da üzerine dü en bazı görevler var. Bizlere ait sorumlulukları, a a ıda ayrıntılı biçimde inceleyece iz. Ancak yine de burada, ilk ve en önemli sorumlulu umuzun yeni teknolojinin getirdi i tehdit ve problemleri anlamak oldu unu belirtmekte yarar var. Elektronik ticaretten bankacılı a, e-posta'dan Internet-telefon görü melerine kadar birçok konu benzer sonuçlar vermekle birlikte, bu yazıda daha çok anlık iletiler üzerinde duraca ız. 1988'de ba layan IRC (Internet Relay Chat), A ustos 1996'da Mirabilis irketinin ICQ ("I seek you" diye okunur) programıyla birlikte daha da yaygınla tı. Uzun süre sadece özel kullanıcılar ile ev kullanıcılarının yararlandı ı "anlık ileti" (A - Instant Messaging) programları, gün geçtikçe özel irketlerde de hızlı ve kolay ileti im yollarından biri olarak kabul görmeye, kullanılmaya ba landı. Bugün Microsoft (MSN Messenger), America Online (AOL Messenger / ICQ), IBM (Lotus STEP) gibi birçok seçenek, özel ve ev kullanıcıları kadar, kurumlar tarafından da tercih ediliyor. A , kurumlar için hayatı gerçekten kolayla tıran özelliklere sahip. ster masasında, ister evde, isterse de yeni mobil çözümlerle birlikte seyahatte olsun, çalı ma arkada ınızın bilgisayarının açık olup olmadı ını anlayabiliyorsunuz.Yazılı mesajınızın anında onun ekranında belirmesi ve cevabını da hemen alabilmenizin yanı sıra, geli mi ürünlerle dosya aktarımı ile sesli, görüntülü ileti im gibi ek özellikler de sa lanabiliyor. Anında ileti im, bilgisayarı ba ında olmayanlar için bilgisayardan cebe kısa mesaj (SMS) özellikleri ile daha da arttı. Anlık leti ile Gelen Tehlikeler (Problemler) Virüsler Virüsler, günümüz i letmelerinin yaygın bilgi i lem problemlerinin ba ında geliyor. Sürekli Internet ba lantısı sahibi i letmeler, virüsleri giri te durduran çözümler üzerinde duruyorlar. Ne var ki, bu çözümlerin ço u, Internet giri inde çalı maktadır ve sadece e-posta içindeki virüsleri bulmaya yöneliktir. A programlarıile yollanan dosyaları tarayamadıklarıiçin, virüslerin kolayca kurum içine girmesine ve kurum içinde yayılmasına engel olamazlar. Özel Virüs, Solucan ve Truva Atları "FunnyFile", ICQ.PWS.Trojan ve "Choke" gibi A programları üzerinden bilgi hırsızlı ı ve kendilerini yaymak için yaratılmı özel virüs, solucan ve Truva Atları, aslında hiç de yeni tehditler de il. Internet' te kullanılan her yaygın ürün için oldu u gibi, A programlarının da açıklarından veya kullanıcıların hatalarından yararlanarak yayılan zararlı programlar sürekli artıyor. Bu zararlı programları bazıları sadece kendilerini yayarken, bazılarıbilgisayardaki gizli olabilecek dosyaları ba kalarına yollamakta ve dı arıdan bilgisayarın kontrolünü ele geçirmeye çalı maktadırlar. Kimlik Hırsızlı ı Internet' te kimlik hırsızlı ı, hem kolaydır, hem de sık gerçekle ebilmektedir. Ancak, A çözümleri, ki ilerin kar ılıklırahat görü melerine olanak sa ladı ı için, kimlik hırsızlıklarıolasılı ını artırmanın yanı sıra, ortaya çıkabilecek olumsuz sonuçların etkilerini de büyütür. Telefonda konu tu unuz ki inin sesi, e-posta' da ise ba lıklar, ileti im içinde oldu unuz ki i hakkında bilgi verirken, A çözümleriyle yapılan özellikle yazılıhaberle melerde bu tip yardımcıö eler bulunmaz. Kullanıcı adı ve parolaların çalınmasısonucu, bir ba kası gibi davranarak bilgisayarın ba ına geçen biri, A programı aracılı ıyla kar ısındakini kolaylıkla yanıltabilir, gizli bilgilere eri ebilir. Taklitçilik Sizinle ilk kez A üzerinden ba lantıya geçen birinin kimli inden nasıl emin olabilirsiniz. Ne yazık ki, cinsiyet, ya ve dı görünü leriyle ilgili bilgileri de i tirerek kendini tanıtmayı ye leyen çok sayıda Internet kulanısı var. Kurumlarda da, A programına kendi adı yerine patronunun adını yazarak di er çalı anlarıkandırmak çok kolaydır. Takip A programlarının hemen hepsi, bilgisayarınızın açık olup olmadı ı, hatta sizin bilgisayarın ba ında olup olmadı ınız hakkında bilgi vermektedir. A programları kullanım kolaylı ı adına, kar ıdaki kullanıcılar için bilgisayarın online/çevrimiçi ya da uzakta/away gibi bilgiler veriyorlar. Bu bilgilere bakarak arkada larımızın bilgisayarının ba ında olup olmadı ını kolaylıkla anlayabiliyoruz. lk bakı ta çok kullanı lı gibi görünen bu özellik, kötüye de kullanılabilir. Basit hırsızlıktan, sanayi casuslu una kadar birçok konuda, bu özellikten yararlanılmaktadır. Birinci körfez sava ıçıkmadan hemen önce, dı arıya hiç bilgi sızdırılmamasına kar ın, ak amları Pentagon' a sipari edilen pizzaların artmasıbasına yansımı tı. SPAM/SPIM E-posta' da oldu u gibi, özellikle ICQ gibi, A programlarısayesinde istemedi iniz mesajların bilgisayarınıza gelmesi ve en azından zamanınızıalması A programlarının beraberinde getirdi i sorunlardan biridir. Türkiye' de de 3 Kasım 2002 seçimleri öncesi birçok A kullanıcısı, kendi istekleri dı ında, tanımadıkları ki ilerden, partiler ve adaylar hakkında mesajlar aldılar. Tele kulak Masanızda oturuyorsunuz, yan odada, hatta yan masada oturan bir arkada ınıza, telefon etmek veya seslenmek yerine, A üzerinden hassas bir konuda bir soru sordunuz. O da cevap yazdı. Bu soru ve cevabın tüm dünyayı dola mı olabilece ini biliyor musunuz? Günümüzde çok yaygın kullanılan bazıA programlarının, kimli inizi ve bulundu unuz yeri korumak amacıyla, tüm haberle meleri kendi sunucuları üzerinden iletti ini biliyor musunuz? Üstelik ifrelenmeden. Yan masadaki arkada ınıza yazdı ınız yazı, geçti i tüm a larda ba kalarıtarafından "dinlenebilir". Kötüye Kullanım A programları, kurum çıkı ında filtrelenmedi i sürece, aile fertleri ve özel arkada larla haberle mek için de rahatlıkla kullanılabilir. Pratikte bu kullanım olasılı ını kötüye kullanarak, çalı ma saatlerinin çok büyük bir kısmını, e-postalar ile birlikte A üzerinden haberle erek geçiren çalı anlara rastlamak hiç de küçük bir olasılık de ildir. Peki Ne Yapaca ız? Korunma Yöntemleri Yazının ba ında da belirtti imiz gibi, burada, kurumlar için de il, bizim birey olarak uygulayabilece imiz korunma yöntemlerini i leyece iz. Kısaca ba lıklarımız u ekilde: 1. Bilinçli kullanıcı olalım 2. Parolalarımızı koruyalım 3. Virüslere kar ı koruma sa layalım 4. Yazılım deliklerine kar ı bilgisayarımızı koruyalım 5. Di er önlemler imdi sırayla bu önlemler üzerinde duralım: 1. Bilinçli kullanıcıolalım Di er tüm önlemler bir yana, en önemlisi, teknolojik problemlerin ve tehditlerin farkında olup, buna uygun davranı lar içinde olmaktır. Bu konudaki temel birkaç maddeyi burada sıralamakta yarar var: a. Gizli bilgiler söz konusu oldu unda, hiçbir zaman A programları ile haberle meyin. Kredi kartınız, kullanıcı adı, parola gibi gizli bilgileri ve kimlik ile di er ki isel bilgileri, kar ınızdaki kim olursa olsun, A programlarıile yollamayın. Unutmayın, bu haberle me Internet üzerinde rahatlıkla ba kaları tarafından dinlenebilir, kaydedilebilir. b. Okudu unuz her eye inanmayın. Unutmayın, kar ınızdaki ki i, görünen, ya da iddia etti i ki i olmak zorunda de ildir. Internet üzerinde insan aldatma ve ilgili sahtekârlıklar her geçen gün artmaktadır. c. A üzerinde sadece kayıtlı ki ilerle ve arkada larımızla görü elim. Kendiliklerinden yeni ba lantı kurup bize mesaj/dosya gönderebilenler bilgisayarımıza zarar verebilirler, bizi aldatacak mesajlar gönderebilirler. d. A programlarında kullandı ımız e-posta adresini ve kod adımızı Internet' te yayınlamayalım. Tanımadı ımız ki ilerin bizimle ba lantıya geçebilme olasılı ını en dü ük düzeyde tutalım. e. Ba kalarının da kullanabilece i ortak bilgisayarlarda (Internet Cáfe' ler, vb.) A programlarına girerken, parolamızı hatırlamasınıengellemek için "otomatik olarak ba lan" seçene ini iptal edelim. 2. Parolalarımızıkoruyalım Internet ve teknoloji ortamında bizi ve bilgilerimizi korumanın en yaygın yolu parolalardır. Hem A programlarına ba lanırken, hem de di er tüm kimlik do rulama süreçleri parolalarla ili ki yapılmaktadır. Dolayısıyla, parolamızın bir ba kasının eline geçmesi, bir anlamda, Internet dünyasında kimli imizi kaybetmemiz anlamına gelebilir. Parolalarımızınasıl koruruz? Parolalarımızı korumanın birkaç temel yolu vardır: a. Güçlü parolalar yaratalım (a a ıda ayrıntılarıyla i lenmi tir) b. Parolalarımızı düzenli olarak de i tirelim Ne kadar özel, uzun, kısaca güçlü olursa olsun, bütün parolaların dönemsel olarak de i tirilmesi gerekmektedir. Ayrıca, yeni parolalar seçerken, eski parolamızın herhangi bir kısmının yeniden kullanılmadı ından emin olmalıyız. c. Parolalarıhiçbir zaman ba kalarıyla payla mayalım. Kendi kullanıcı hesabımızla yaptı ımız tüm i lemlerden ahsen biz sorumluyuz. Kullanıcı hesabımızın bir ba kası tarafından kullanılmamasıhem maddi, hem de ço u zaman kanuni bir zorunluluktur. d. Her parolayısadece bir kez kullanalım. Bir web sitesinde, uygulama programında, cep telefonunuzda ya da kredi kartınızda kullandı ınız bir parolayı ele geçiren herhangi biri, aynı parola ile ba ka bilgilere ula amamalıdır. Bunu sa lamanın en basit yolu, farklıalanlarda farklı parolalar kullanmaktır. Peki tüm bu parolalarınasıl hatırlayaca ım? Bu sorunun cevabını"güçlü parolalar yaratma" bölümünde bulabilirsiniz. Güçlü parolalar yaratmak Önemli olan, sizin hatırlayabilece iniz ancak ba kalarının tahmin edemeyece i bir parola olu turmaktır. Parolanızın a a ıdaki özelliklere sahip olmasına dikkat edin: • En az yedi karakter içermelidir, ne kadar uzun olursa, tahmin edilmesi o kadar güç olur (Microsoft Windows® 2000 ve Windows XP parolaları 128 karakter uzunlu unda olabilir) • Büyük ve küçük harfler, sayılar, simgeler içermelidir • kinci ile altıncıkarakter arasında en az bir adet simge bulunmalıdır • En az dört farklı karakter olmalı, tekrarlar bulunmamalıdır. • Rasgele seçilmi harfler ve sayılardan olu mu gibi görünmelidir Güçlü bir parolada yapılmaması gerekenler: • Parolanızda oturum açma adınızın HERHANG B R BÖLÜMÜNÜ kullanmayın. • HERHANG bir dilde anlamı olan bir kelimeyi veya adı kullanmayın • Benzer harfler yerine sayılar kullanmayın • Eski parolanızın herhangi bir kısmını yeniden kullanmayın "klmno" ve "34567" gibi ardı ık harfler veya sayılar kullanmayın • Klavyede yan yana bulunan harfleri kullanmayın (örne in, "asdfg") Yukarıdaki örnek ve tanımlara uygun olan, her seferinde de farklıparolalar nasıl yarataca ız. Cevap parolalarıde il, parola yaratma yöntemini belirlemek ve bunu akılda tutmak. imdi birkaç örnekle bu yöntemi açıklayalım: • • Kredi Kartları: Günümüzde cüzdanımızda birden fazla kredi kartı, banka kartıvb. bulunmaktadır. Her kart için farklı parola hatırlamak ya da her biri için aynı parolayı kullanmak yerine, dört haneli tek bir sayı ile farklı kartlarda farklı parolalar yaratabiliriz. Örnek olarak 3685 sayısını alalım. Kartlarımız üzerindeki 3, 6, 8 ve 5 sayılar, ilgili kartın parolasınıolu turacak. Örne in kartımızın numarası 3450 4304 5542 7822 ise, o kartın parolası: 5344, bir ba ka kartın numarası 5422 5498 7866 1233 ise, parolası2485 oluyor. Oysa bu numaraları hatırlamak yerine sadece "3685"' i hatırlamak yetiyor. Cep telefonları: Cep telefonlarında, sayılar yerine, üzerindeki harfleri kullanarak güçlü parolalar yaratabiliriz. Örne in cep telefonumuzu açarken kullandı ımız PIN kodu için, (pin kodu, fabrika çıkı ıdört hane olmakla birlikte, sekiz haneye kadar çıkarılabilir) aklımızda sayılar tutmak yerine, basit ve hatırlaması kolay bir kelime tutup, onu tu layabiliriz. Örne in benim PIN kelimem "MIHRIBAN" olsun. lgili sayıları bilmeden her ihtiyacım oldu unda bu kelimeyi yazıyorum. M=6, I=4, H=4… . Sonuç olarak PIN kodum 64474226 ve ben bu sayıyı hiçbir zaman hatırlamak zorunda de ilim. • • • Kısaltmalar kullanmak: Uzun ve karma ık parolalar yaratırken kullanılabilecek önemli yöntemlerden biri de, kolay hatırlayabilece iniz, uzun bir yazının içinden parolaları yaratmak. Örne in stiklal Mar ı' nı ele alalım. Korkma sönmez bu afaklarda yüzen al sancak, Sönmeden yurdumun üstünde tüten en son ocak… Parolamız, her kelimenin ikinci harfi ile olu sun: Korkma sönmez bu afaklarda yüzen al sancak, Sönmeden yurdumun üstünde tüten en son ocak… Parolamız: "oöuaülaöusünoc" oldu. Ancak bu harfleri hiçbir zaman ezberlememiz gerekmiyor. Tek hatırlamamız gereken " stiklal Mar ı' nın ikinci harfleri" Klavye' de kaydırma: Seçti imiz anahtar kelimeyi, klavyedeki ilgili tu lar yerine yanlarındaki tu lara basarak yazabiliriz: Örne in (Q klavyede bir sa a kaydırırsak): Murat M-Ö, U-I, R-T, A-S, T-Y. Murat-Öıtsy ortaya çıkıyor. Harflerin yerine benzeyen rakamları ve i aretleri de i tirmek: Yukarıda yarattı ımız parolalarıdaha güçlü hale getirmek için bazı harfleri de i tirebiliriz: Örne in: -$, o0, l-1, j-!, . Önemli: Bu yazıdaki örnek parolaları de i tirmeden kullanmayın! 3. Virüslere kar ıkoruma sa layalım Virüslere kar ı korunabilmek için a a ıdaki temel koruma önlemlerini almamız gerekir: a. Anti virüs yazılımı kullanın Yeni bir bilgisayar satın aldı ınızda, virüse kar ı koruma yazılımının önceden yüklenmi olmasına dikkat edin. Yüklenmemi se, yazılımı satın alın, yükleyin ve yeni bilgisayarınızı çalı tırmadan önce yazılımı etkinle tirin. Yeni koruma yazılımınızı kaydettirin. Kayıt yaptırırken, ürün güncelle tirmeleri oldu unda size bildirilmesi seçene ini i aretleyin. b. Virüse kar ı koruma yazılımınızı en iyi verimi alacak biçimde kullanın • • • • • • • Otomatik güncelle tirme yapan ve virüs olup olmadı ının anla ılmasıiçin bilgisayarınızın belirli aralıklarla incelenmesini sa layan seçenekleri kullanın. Gelen e-postalarıve ekleri koruma yazılımına inceletin. Etraflıbir koruma uygulayın, dosyaları açmadan önce virüs olup olmadı ına bakın. Otomatik güncelleme için kaydolun. Program otomatik olarak virüs kaydı dosyalarını güncelle tirerek iyi bir koruma sa layacaktır. Programı, disk sürücülerinizi her hafta inceleyecek biçimde ayarlayın. Sistem incelemesini siz uyurken yapacak biçimde ayarlayın. Sabah kalktı ınızda bir inceleme raporunu hazır bulacaksınız. Çalı tı ından emin olun. Yazılımın çalı ıp çalı madı ınıanlamak için ekranın alt kısmındaki görev çubu unda bulunan yazılım simgesine sık sık göz atın. Di er programları üst sürüme terfi ettirdi inizde, koruma yazılımı için de aynı i lemi uygulayın. Bilgisayarınızın i letim sistemini veya di er yazılım programlarınıüst sürüme terfi ettirdi inizde, virüse kar ı koruma yazılımınızın da en son sürümünü edinin. Yeni bir virüsün ortaya çıktı ını duydu unuzda, koruma yazılımını aldı ınız satıcının Web sitesine giderek, nasıl bir virüs oldu unu ve hangi yazılım ürünlerini etkiledi ini ö renin. c. Bilgisayarınızda virüs olup olmadı ınıtakip edin: A a ıdaki belirtilerden birine rastladıysanız virüsten üphelenin: • Bilgisayar kapanıyor. Bu durum, bilmedi iniz bir i lemin yürütüldü ü anlamına gelebilir. • Modem çok yo un çalı ıyor. Harici bir modeminiz varsa, bilgisayarıetkin olarak kullanmadı ınız zamanlarda dahi ı ıkların yo un bir biçimde (sanki kar ıdan dosya yükleniyormu gibi) yanıp söndü ünü görebilirsiniz. Bilgisayarınıza korsan bir yazılım yükleniyor ya da çalı ıyor olabilir. • Bilgisayar normal biçimde çalı mıyor. Uygulamaların do ru biçimde çalı ıp çalı madı ına veya dosyalardaki içeri in bozuk görünüp görünmedi ine bakın. 4. Yazılım deliklerine kar ıbilgisayarımızıkoruyalım Bilgisayarımızda kullandı ımız tüm yazılımlarda, (i letim sistemi, ofis uygulamaları, eposta yazılımı, vb.) kullanıma ba landıktan sonra bazı hatalar ve güvenlik açıkları ke fediliyor. Bu açıklara kar ıüretici firmalar, düzenli olarak, yeni yamalar çıkarıyor. Bize dü en, bilgisayarımızın, son yamalar da yüklenerek, güncel tutulmasıdır. a. Bilgisayarımızda kullanılan i letim sistemi ve di er programların üreticilerinin yayınladı ı güvenlik e-postalarına abone olalım. Böylece çıkan yamalardan haberimiz olur. b. Çıkan yamaları zaman kaybetmeden bilgisayarımıza yükleyelim. , c. Dönemsel olarak, bilgisayarımızda ortaya çıkabilecek güvenlik açıklarınıkontrol edelim. Bu amaçla, Internet' te bulunan ücretsiz yazılımlar kullanılabilir. Son Söz Son on yılda her yönüyle hayatımıza giren Internet ve benzeri olanaklar, di er konularda oldu u gibi, anlık iletiler konusunda da pek çok kolaylık sa larken , daha önce ya amadı ımız, dü ünmedi imiz sorunları beraberinde getirmi tir. Bu durumda bize (yazıyı buraya kadar okudu unuza göre size de) dü en ise, geli en teknolojiden korkmak ve kullanmayı reddetmek yerine, sorunlarını çözüp yararlanmaktır. Güvenli günler. Referanslar http://www.irc.org/history.html http://www.rpi.edu/~leec7/cyber_art/icq.htm http://securityresponse.symantec.com/avcenter/venc/data/w32.choke.worm.html http://securityresponse.symantec.com/avcenter/venc/data/msnpws.trojan.html http://securityresponse.symantec.com/avcenter/venc/data/w32.funnyfiles.worm.html http://securityresponse.symantec.com/avcenter/venc/data/w32.annoying.worm.html http://www.microsoft.com/turkiye/guvenlik/ * Güvenlik Yönetimi Danı manı, Lostar Bilgi Güvenli i A. . (murat @ lostar com ) nospam