Anlık İletiler ve Bireysel Internet Güvenliği

Anlık letiler ve Bireysel Internet Güvenli i
Murat Lostar*
Internet, yaygınla maya ba ladı ı günlerde "en büyük bilgi bankası" diye
adlandırılıyordu. Artık, hem elektronik banka ubesi, hem de telefondan sonra en önemli
haberle me aracımız. E-posta, Internet'in bize sa ladı ı önemli olanaklar arasında günlük
hayatımıza yerle ti. Ancak, Internet ve sa ladı ı fırsatlar, beraberlerinde, daha önce
tanımadı ımız problemleri de getiriyorlar.
Internet üzerinden bize hizmet veren (bankalar, e-posta ile anlık ileti firmaları ve
elektronik ticaret) siteler, Internet'in ve yeni teknolojinin getirdi i problemleri çözmek
için kendi alanlarında yo un biçimde çalı ıyorlar. Bu çalı malar oldukça yo un olmakla
(ya da olması gerekmekle) birlikte, yeterli de il. Biz kullanıcıların da üzerine dü en bazı
görevler var. Bizlere ait sorumlulukları, a a ıda ayrıntılı biçimde inceleyece iz. Ancak
yine de burada, ilk ve en önemli sorumlulu umuzun yeni teknolojinin getirdi i tehdit ve
problemleri anlamak oldu unu belirtmekte yarar var.
Elektronik ticaretten bankacılı a, e-posta'dan Internet-telefon görü melerine kadar birçok
konu benzer sonuçlar vermekle birlikte, bu yazıda daha çok anlık iletiler üzerinde
duraca ız.
1988'de ba layan IRC (Internet Relay Chat), A ustos 1996'da Mirabilis irketinin ICQ ("I
seek you" diye okunur) programıyla birlikte daha da yaygınla tı. Uzun süre sadece özel
kullanıcılar ile ev kullanıcılarının yararlandı ı "anlık ileti" (A - Instant Messaging)
programları, gün geçtikçe özel irketlerde de hızlı ve kolay ileti im yollarından biri
olarak kabul görmeye, kullanılmaya ba landı. Bugün Microsoft (MSN Messenger),
America Online (AOL Messenger / ICQ), IBM (Lotus STEP) gibi birçok seçenek, özel
ve ev kullanıcıları kadar, kurumlar tarafından da tercih ediliyor.
A , kurumlar için hayatı gerçekten kolayla tıran özelliklere sahip. ster masasında, ister
evde, isterse de yeni mobil çözümlerle birlikte seyahatte olsun, çalı ma arkada ınızın
bilgisayarının açık olup olmadı ını anlayabiliyorsunuz.Yazılı mesajınızın anında onun
ekranında belirmesi ve cevabını da hemen alabilmenizin yanı sıra, geli mi ürünlerle
dosya aktarımı ile sesli, görüntülü ileti im gibi ek özellikler de sa lanabiliyor. Anında
ileti im, bilgisayarı ba ında olmayanlar için bilgisayardan cebe kısa mesaj (SMS)
özellikleri ile daha da arttı.
Anlık leti ile Gelen Tehlikeler (Problemler)
Virüsler
Virüsler, günümüz i letmelerinin yaygın bilgi i lem problemlerinin ba ında geliyor.
Sürekli Internet ba lantısı sahibi i letmeler, virüsleri giri te durduran çözümler üzerinde
duruyorlar.
Ne var ki, bu çözümlerin ço u, Internet giri inde çalı maktadır ve sadece e-posta içindeki
virüsleri bulmaya yöneliktir. A programlarıile yollanan dosyaları tarayamadıklarıiçin,
virüslerin kolayca kurum içine girmesine ve kurum içinde yayılmasına engel olamazlar.
Özel Virüs, Solucan ve Truva Atları
"FunnyFile", ICQ.PWS.Trojan ve "Choke" gibi A programları üzerinden bilgi hırsızlı ı
ve kendilerini yaymak için yaratılmı özel virüs, solucan ve Truva Atları, aslında hiç de
yeni tehditler de il. Internet'
te kullanılan her yaygın ürün için oldu u gibi, A
programlarının da açıklarından veya kullanıcıların hatalarından yararlanarak yayılan
zararlı programlar sürekli artıyor.
Bu zararlı programları bazıları sadece kendilerini yayarken, bazılarıbilgisayardaki gizli
olabilecek dosyaları ba kalarına yollamakta ve dı arıdan bilgisayarın kontrolünü ele
geçirmeye çalı maktadırlar.
Kimlik Hırsızlı ı
Internet'
te kimlik hırsızlı ı, hem kolaydır, hem de sık gerçekle ebilmektedir. Ancak, A
çözümleri, ki ilerin kar ılıklırahat görü melerine olanak sa ladı ı için, kimlik
hırsızlıklarıolasılı ını artırmanın yanı sıra, ortaya çıkabilecek olumsuz sonuçların
etkilerini de büyütür.
Telefonda konu tu unuz ki inin sesi, e-posta'
da ise ba lıklar, ileti im içinde oldu unuz
ki i hakkında bilgi verirken, A çözümleriyle yapılan özellikle yazılıhaberle melerde bu
tip yardımcıö eler bulunmaz.
Kullanıcı adı ve parolaların çalınmasısonucu, bir ba kası gibi davranarak bilgisayarın
ba ına geçen biri, A programı aracılı ıyla kar ısındakini kolaylıkla yanıltabilir, gizli
bilgilere eri ebilir.
Taklitçilik
Sizinle ilk kez A üzerinden ba lantıya geçen birinin kimli inden nasıl emin olabilirsiniz.
Ne yazık ki, cinsiyet, ya ve dı görünü leriyle ilgili bilgileri de i tirerek kendini
tanıtmayı ye leyen çok sayıda Internet kulanısı var. Kurumlarda da, A programına kendi
adı yerine patronunun adını yazarak di er çalı anlarıkandırmak çok kolaydır.
Takip
A programlarının hemen hepsi, bilgisayarınızın açık olup olmadı ı, hatta sizin
bilgisayarın ba ında olup olmadı ınız hakkında bilgi vermektedir. A programları
kullanım kolaylı ı adına, kar ıdaki kullanıcılar için bilgisayarın online/çevrimiçi ya da
uzakta/away gibi bilgiler veriyorlar. Bu bilgilere bakarak arkada larımızın bilgisayarının
ba ında olup olmadı ını kolaylıkla anlayabiliyoruz.
lk bakı ta çok kullanı lı gibi görünen bu özellik, kötüye de kullanılabilir. Basit
hırsızlıktan, sanayi casuslu una kadar birçok konuda, bu özellikten yararlanılmaktadır.
Birinci körfez sava ıçıkmadan hemen önce, dı arıya hiç bilgi sızdırılmamasına kar ın,
ak amları Pentagon'
a sipari edilen pizzaların artmasıbasına yansımı tı.
SPAM/SPIM
E-posta'
da oldu u gibi, özellikle ICQ gibi, A programlarısayesinde istemedi iniz
mesajların bilgisayarınıza gelmesi ve en azından zamanınızıalması A programlarının
beraberinde getirdi i sorunlardan biridir.
Türkiye'
de de 3 Kasım 2002 seçimleri öncesi birçok A kullanıcısı, kendi istekleri
dı ında, tanımadıkları ki ilerden, partiler ve adaylar hakkında mesajlar aldılar.
Tele kulak
Masanızda oturuyorsunuz, yan odada, hatta yan masada oturan bir arkada ınıza, telefon
etmek veya seslenmek yerine, A üzerinden hassas bir konuda bir soru sordunuz. O da
cevap yazdı. Bu soru ve cevabın tüm dünyayı dola mı olabilece ini biliyor musunuz?
Günümüzde çok yaygın kullanılan bazıA programlarının, kimli inizi ve bulundu unuz
yeri korumak amacıyla, tüm haberle meleri kendi sunucuları üzerinden iletti ini biliyor
musunuz? Üstelik ifrelenmeden. Yan masadaki arkada ınıza yazdı ınız yazı, geçti i tüm
a larda ba kalarıtarafından "dinlenebilir".
Kötüye Kullanım
A programları, kurum çıkı ında filtrelenmedi i sürece, aile fertleri ve özel arkada larla
haberle mek için de rahatlıkla kullanılabilir.
Pratikte bu kullanım olasılı ını kötüye kullanarak, çalı ma saatlerinin çok büyük bir
kısmını, e-postalar ile birlikte A üzerinden haberle erek geçiren
çalı anlara rastlamak hiç de küçük bir olasılık de ildir.
Peki Ne Yapaca ız? Korunma Yöntemleri
Yazının ba ında da belirtti imiz gibi, burada, kurumlar için de il, bizim birey olarak
uygulayabilece imiz korunma yöntemlerini i leyece iz.
Kısaca ba lıklarımız u ekilde:
1.
Bilinçli kullanıcı olalım
2.
Parolalarımızı koruyalım
3.
Virüslere kar ı koruma sa layalım
4.
Yazılım deliklerine kar ı bilgisayarımızı koruyalım
5.
Di er önlemler
imdi sırayla bu önlemler üzerinde duralım:
1. Bilinçli kullanıcıolalım
Di er tüm önlemler bir yana, en önemlisi, teknolojik problemlerin ve tehditlerin farkında
olup, buna uygun davranı lar içinde olmaktır. Bu konudaki temel birkaç maddeyi burada
sıralamakta yarar var:
a.
Gizli bilgiler söz konusu oldu unda, hiçbir zaman A programları ile
haberle meyin. Kredi kartınız, kullanıcı adı, parola gibi gizli bilgileri ve kimlik ile
di er ki isel bilgileri, kar ınızdaki kim olursa olsun, A programlarıile
yollamayın. Unutmayın, bu haberle me Internet üzerinde rahatlıkla ba kaları
tarafından dinlenebilir, kaydedilebilir.
b.
Okudu unuz her eye inanmayın. Unutmayın, kar ınızdaki ki i, görünen,
ya da iddia etti i ki i olmak zorunda de ildir. Internet üzerinde insan aldatma ve
ilgili sahtekârlıklar her geçen gün artmaktadır.
c.
A üzerinde sadece kayıtlı ki ilerle ve arkada larımızla görü elim.
Kendiliklerinden yeni ba lantı kurup bize mesaj/dosya gönderebilenler
bilgisayarımıza zarar verebilirler, bizi aldatacak mesajlar gönderebilirler.
d.
A programlarında kullandı ımız e-posta adresini ve kod adımızı
Internet'
te yayınlamayalım. Tanımadı ımız ki ilerin bizimle ba lantıya geçebilme
olasılı ını en dü ük düzeyde tutalım.
e.
Ba kalarının da kullanabilece i ortak bilgisayarlarda (Internet Cáfe'
ler,
vb.) A programlarına girerken, parolamızı hatırlamasınıengellemek için
"otomatik olarak ba lan" seçene ini iptal edelim.
2. Parolalarımızıkoruyalım
Internet ve teknoloji ortamında bizi ve bilgilerimizi korumanın en yaygın yolu
parolalardır. Hem A programlarına ba lanırken, hem de di er tüm kimlik do rulama
süreçleri parolalarla ili ki yapılmaktadır. Dolayısıyla, parolamızın bir ba kasının eline
geçmesi, bir anlamda, Internet dünyasında kimli imizi kaybetmemiz anlamına gelebilir.
Parolalarımızınasıl koruruz?
Parolalarımızı korumanın birkaç temel yolu vardır:
a.
Güçlü parolalar yaratalım (a a ıda ayrıntılarıyla i lenmi tir)
b.
Parolalarımızı düzenli olarak de i tirelim
Ne kadar özel, uzun, kısaca güçlü olursa olsun, bütün parolaların dönemsel olarak
de i tirilmesi gerekmektedir. Ayrıca, yeni parolalar seçerken, eski parolamızın
herhangi bir kısmının yeniden kullanılmadı ından emin olmalıyız.
c.
Parolalarıhiçbir zaman ba kalarıyla payla mayalım.
Kendi kullanıcı hesabımızla yaptı ımız tüm i lemlerden ahsen biz sorumluyuz.
Kullanıcı hesabımızın bir ba kası tarafından kullanılmamasıhem maddi, hem de
ço u zaman kanuni bir zorunluluktur.
d.
Her parolayısadece bir kez kullanalım.
Bir web sitesinde, uygulama programında, cep telefonunuzda ya da kredi
kartınızda kullandı ınız bir parolayı ele geçiren herhangi biri, aynı parola ile
ba ka bilgilere ula amamalıdır. Bunu sa lamanın en basit yolu, farklıalanlarda
farklı parolalar kullanmaktır. Peki tüm bu parolalarınasıl hatırlayaca ım? Bu
sorunun cevabını"güçlü parolalar yaratma" bölümünde bulabilirsiniz.
Güçlü parolalar yaratmak
Önemli olan, sizin hatırlayabilece iniz ancak ba kalarının tahmin edemeyece i bir parola
olu turmaktır.
Parolanızın a a ıdaki özelliklere sahip olmasına dikkat edin:
• En az yedi karakter içermelidir, ne kadar uzun olursa, tahmin edilmesi o kadar
güç olur (Microsoft Windows® 2000 ve Windows XP parolaları 128 karakter
uzunlu unda olabilir)
• Büyük ve küçük harfler, sayılar, simgeler içermelidir
• kinci ile altıncıkarakter arasında en az bir adet simge bulunmalıdır
• En az dört farklı karakter olmalı, tekrarlar bulunmamalıdır.
• Rasgele seçilmi harfler ve sayılardan olu mu gibi görünmelidir
Güçlü bir parolada yapılmaması gerekenler:
• Parolanızda oturum açma adınızın HERHANG B R BÖLÜMÜNÜ kullanmayın.
• HERHANG bir dilde anlamı olan bir kelimeyi veya adı kullanmayın
• Benzer harfler yerine sayılar kullanmayın
• Eski parolanızın herhangi bir kısmını yeniden kullanmayın
"klmno" ve "34567" gibi ardı ık harfler veya sayılar kullanmayın
• Klavyede yan yana bulunan harfleri kullanmayın (örne in, "asdfg")
Yukarıdaki örnek ve tanımlara uygun olan, her seferinde de farklıparolalar nasıl
yarataca ız. Cevap parolalarıde il, parola yaratma yöntemini belirlemek ve bunu akılda
tutmak. imdi birkaç örnekle bu yöntemi açıklayalım:
•
•
Kredi Kartları: Günümüzde cüzdanımızda birden fazla kredi kartı, banka kartıvb.
bulunmaktadır. Her kart için farklı parola hatırlamak ya da her biri için aynı
parolayı kullanmak yerine, dört haneli tek bir sayı ile farklı kartlarda farklı
parolalar yaratabiliriz. Örnek olarak 3685 sayısını alalım. Kartlarımız üzerindeki
3, 6, 8 ve 5 sayılar, ilgili kartın parolasınıolu turacak. Örne in kartımızın
numarası 3450 4304 5542 7822 ise, o kartın parolası: 5344, bir ba ka kartın
numarası 5422 5498 7866 1233 ise, parolası2485 oluyor. Oysa bu numaraları
hatırlamak yerine sadece "3685"'
i hatırlamak yetiyor.
Cep telefonları: Cep telefonlarında, sayılar yerine, üzerindeki harfleri kullanarak
güçlü parolalar yaratabiliriz. Örne in cep telefonumuzu açarken kullandı ımız
PIN kodu için, (pin kodu, fabrika çıkı ıdört hane olmakla birlikte, sekiz haneye
kadar çıkarılabilir) aklımızda sayılar tutmak yerine, basit ve hatırlaması kolay bir
kelime tutup, onu tu layabiliriz. Örne in benim PIN kelimem "MIHRIBAN"
olsun. lgili sayıları bilmeden her ihtiyacım oldu unda bu kelimeyi yazıyorum.
M=6, I=4, H=4… . Sonuç olarak PIN kodum 64474226 ve ben bu sayıyı hiçbir
zaman hatırlamak zorunda de ilim.
•
•
•
Kısaltmalar kullanmak: Uzun ve karma ık parolalar yaratırken kullanılabilecek
önemli yöntemlerden biri de, kolay hatırlayabilece iniz, uzun bir yazının içinden
parolaları yaratmak. Örne in stiklal Mar ı'
nı ele alalım.
Korkma sönmez bu afaklarda yüzen al sancak,
Sönmeden yurdumun üstünde tüten en son ocak…
Parolamız, her kelimenin ikinci harfi ile olu sun:
Korkma sönmez bu afaklarda yüzen al sancak,
Sönmeden yurdumun üstünde tüten en son ocak…
Parolamız: "oöuaülaöusünoc" oldu. Ancak bu harfleri hiçbir zaman ezberlememiz
gerekmiyor. Tek hatırlamamız gereken " stiklal Mar ı'
nın ikinci harfleri"
Klavye'
de kaydırma: Seçti imiz anahtar kelimeyi, klavyedeki ilgili tu lar yerine
yanlarındaki tu lara basarak yazabiliriz: Örne in (Q klavyede bir sa a kaydırırsak):
Murat M-Ö, U-I, R-T, A-S, T-Y. Murat-Öıtsy ortaya çıkıyor.
Harflerin yerine benzeyen rakamları ve i aretleri de i tirmek: Yukarıda yarattı ımız
parolalarıdaha güçlü hale getirmek için bazı harfleri de i tirebiliriz: Örne in: -$, o0, l-1, j-!, .
Önemli: Bu yazıdaki örnek parolaları de i tirmeden kullanmayın!
3. Virüslere kar ıkoruma sa layalım
Virüslere kar ı korunabilmek için a a ıdaki temel koruma önlemlerini almamız gerekir:
a.
Anti virüs yazılımı kullanın
Yeni bir bilgisayar satın aldı ınızda, virüse kar ı koruma yazılımının önceden yüklenmi
olmasına dikkat edin. Yüklenmemi se, yazılımı satın alın, yükleyin ve yeni
bilgisayarınızı çalı tırmadan önce yazılımı etkinle tirin.
Yeni koruma yazılımınızı kaydettirin. Kayıt yaptırırken, ürün güncelle tirmeleri
oldu unda size bildirilmesi seçene ini i aretleyin.
b.
Virüse kar ı koruma yazılımınızı en iyi verimi alacak biçimde
kullanın
•
•
•
•
•
•
•
Otomatik güncelle tirme yapan ve virüs olup olmadı ının anla ılmasıiçin
bilgisayarınızın belirli aralıklarla incelenmesini sa layan seçenekleri kullanın.
Gelen e-postalarıve ekleri koruma yazılımına inceletin. Etraflıbir koruma uygulayın,
dosyaları açmadan önce virüs olup olmadı ına bakın.
Otomatik güncelleme için kaydolun. Program otomatik olarak virüs kaydı dosyalarını
güncelle tirerek iyi bir koruma sa layacaktır.
Programı, disk sürücülerinizi her hafta inceleyecek biçimde ayarlayın. Sistem
incelemesini siz uyurken yapacak biçimde ayarlayın. Sabah kalktı ınızda bir
inceleme raporunu hazır bulacaksınız.
Çalı tı ından emin olun. Yazılımın çalı ıp çalı madı ınıanlamak için ekranın alt
kısmındaki görev çubu unda bulunan yazılım simgesine sık sık göz atın.
Di er programları üst sürüme terfi ettirdi inizde, koruma yazılımı için de aynı i lemi
uygulayın. Bilgisayarınızın i letim sistemini veya di er yazılım programlarınıüst
sürüme terfi ettirdi inizde, virüse kar ı koruma yazılımınızın da en son sürümünü
edinin.
Yeni bir virüsün ortaya çıktı ını duydu unuzda, koruma yazılımını aldı ınız satıcının
Web sitesine giderek, nasıl bir virüs oldu unu ve hangi yazılım ürünlerini etkiledi ini
ö renin.
c.
Bilgisayarınızda virüs olup olmadı ınıtakip edin:
A a ıdaki belirtilerden birine rastladıysanız virüsten üphelenin:
• Bilgisayar kapanıyor. Bu durum, bilmedi iniz bir i lemin yürütüldü ü anlamına
gelebilir.
• Modem çok yo un çalı ıyor. Harici bir modeminiz varsa, bilgisayarıetkin olarak
kullanmadı ınız zamanlarda dahi ı ıkların yo un bir biçimde (sanki kar ıdan dosya
yükleniyormu gibi) yanıp söndü ünü görebilirsiniz. Bilgisayarınıza korsan bir
yazılım yükleniyor ya da çalı ıyor olabilir.
• Bilgisayar normal biçimde çalı mıyor. Uygulamaların do ru biçimde çalı ıp
çalı madı ına veya dosyalardaki içeri in bozuk görünüp görünmedi ine bakın.
4. Yazılım deliklerine kar ıbilgisayarımızıkoruyalım
Bilgisayarımızda kullandı ımız tüm yazılımlarda, (i letim sistemi, ofis uygulamaları, eposta yazılımı, vb.) kullanıma ba landıktan sonra bazı hatalar ve güvenlik açıkları
ke fediliyor. Bu açıklara kar ıüretici firmalar, düzenli olarak, yeni yamalar çıkarıyor.
Bize dü en, bilgisayarımızın, son yamalar da yüklenerek, güncel tutulmasıdır.
a. Bilgisayarımızda kullanılan i letim sistemi ve di er programların üreticilerinin
yayınladı ı güvenlik e-postalarına abone olalım. Böylece çıkan yamalardan
haberimiz olur.
b. Çıkan yamaları zaman kaybetmeden bilgisayarımıza yükleyelim. ,
c. Dönemsel olarak, bilgisayarımızda ortaya çıkabilecek güvenlik açıklarınıkontrol
edelim. Bu amaçla, Internet'
te bulunan ücretsiz yazılımlar kullanılabilir.
Son Söz
Son on yılda her yönüyle hayatımıza giren Internet ve benzeri olanaklar, di er konularda
oldu u gibi, anlık iletiler konusunda da pek çok kolaylık sa larken , daha önce
ya amadı ımız, dü ünmedi imiz sorunları beraberinde getirmi tir. Bu durumda bize
(yazıyı buraya kadar okudu unuza göre size de) dü en ise, geli en teknolojiden korkmak
ve kullanmayı reddetmek yerine, sorunlarını çözüp yararlanmaktır.
Güvenli günler.
Referanslar
http://www.irc.org/history.html
http://www.rpi.edu/~leec7/cyber_art/icq.htm
http://securityresponse.symantec.com/avcenter/venc/data/w32.choke.worm.html
http://securityresponse.symantec.com/avcenter/venc/data/msnpws.trojan.html
http://securityresponse.symantec.com/avcenter/venc/data/w32.funnyfiles.worm.html
http://securityresponse.symantec.com/avcenter/venc/data/w32.annoying.worm.html
http://www.microsoft.com/turkiye/guvenlik/
* Güvenlik Yönetimi Danı manı, Lostar Bilgi Güvenli i A. . (murat @ lostar com )
nospam