Mail ile bize ulaşanlardan bir tanesinin oldukça enteresan olan hikayesini ve uzantısında hacker’lar dünyasından bazı noktaları sizlere de sunmak istedik. Ferruh Mavituna önceki bölümlerde
- Hack Etmek Yerine Yardım Edince İş Buldu – 1)
- Hack Etmek Yerine Yardım Edince İş Buldu – 2)
- Hack Etmek Yerine Yardım Edince İş Buldu – 3)
Bize kendisinden ve yaptığı işlerden ve Türk hacler’larla elektronik ticaretin güvenilirlik-güvenmezlik kavramlarından bahsetti. Bugünkü bölümde, yaşadığı ilginç tecrübeyi konuşacağız.
turk-internet.com : Yurtdışındaki firmaların verdikleri sertifikaları taşıyan e-ticaret sistemleri ya da online bankaların güvenliği konusunda ne diyeceksiniz?
Ferruh Mavituna : Bu internet güvenliği hakkında bir yanılgıyı ortaya koymak açısından iyi bir soru. SSL Sertifikaları sadece gidip gelen verinin güvenliğini sağlayan çift yönlü şifrelemeyi sağlarlar. Bu firmalar ise (CA – Certificate Authority) sadece bu sertifikaları onaylarlar.
Bildiğimiz gibi internette her siteye girdiğimizde bizim girdiğimiz bilgiler karşı bilgisayara giderken bir çok bilgisayar üzerinden geçtiği gibi, geri dönen bilgide bir çok bilgisayar üzerinden geçer. Eğer site SSL kullanmıyorsa basit bir “sniffer” programı ile bu veriler yakalanabilir.
SSL bu gidip gelen verinin gerçek zamanlı olarak şifrelenmesini sağlar. Bu sayede gidip-gelen veri yakalansa bile şifreli olduğundan dolayı güvenlidir.
Aslında SSL bu tip sistemlerde neredeyse en son dert etmememiz gereken şeylerden biridir. Ek olarak zaten şu an tüm e-ticaret sistemlerinde SSL var. Ama firmalar bunu müşterilere daha büyük bir şeymiş gibi gösterip ekstra güven sağlamak istiyorlar.
Özetle SSL siteyi değil sadece gidip-gelen verileri üçüncü gözlerden korur.
Oysa burada sorgulanması gereken husus sitenin sistem güvenliği olabilir ki bud a apayrı bir konudur.
turk-internet.com : İnsanlar internette Kredi kartı kullanmasın mı? Ya da nasıl kullansınlar. Tavsiyeniz? Alışveriş edecekleri siteleri seçerken nelere dikkat etmeliler..
Ferruh Mavituna : İnsanlar internette Kredi Kartı kullanmasın dersek çok büyük bir yanlış olur. Tabii ki kullanılmalı. Ancak biraz daha fazla güven ve rahatlık için “Sanal Kart” benzeri yapıları öneririm.
Ek olarak aslında bu tip olayların bir çoğunda madur olan son kullanıcılar değil e-ticaret firmalarıdır. Çünkü bankalar sizin Kredi Kartınızın izniniz olmadan kullanılması durumunda genelde çok anlayışlı davranıyor ve bu durumda paranız %90 geri iade ediliyor.
Ancak e-ticaret sitesi sahipleri bu tip durumlarda direk maddi kayıp ve prestij kaybı ile yüzyüze geliyorlar.
Alışveriş sitesi seçerken dikkat edebileceğiniz pek bir şey yok. Çünkü bir uzman harici bir sitenin güvenliğinin test edilmeden o site için güvenlidir yada değildir denilemez. Hatta firmanın site güvenliği hariç firma içi güvenlik politikası da çok önemlidir.
Kimlerin sunuculara direk erişim hakkı var, Kaynak Kodları hangi personel gruplarına açık, Kredi Kartı Numaraları veritabanlarında tutuyorsa kimin bunlara erişim hakkı var ? Bu veriler ve hatta kullanıcıların kişisel verileri şifreli olarak mı tutuluyor gibi…
Gene de son kullanıcılar temel olarak Kredi Kartlarını saklı tutup tutmadıkları (sanırım hiç kimse Kredi Kartı numarasının bir firmada saklanmasından hoşnut olmaz), SSL kullanımına bakabilirler.
Tekrar belirtmek isterim ki son kullanıcı bu konuları kendine pek dert etmemeli, en kötü ihtimallerde bile en fazla banka ile birkaç telefon konuşması sorunu çözecek ve zararı giderecektir. Sanal Kartlar da ekstra bir rahatlık sağlayabilir.
turk-internet.com : Trojan ya da diğer konularda nasıl davranmak gerekli? Bireysel kullanıcılar güvenlik açısından nelere dikkat etmeli?
Ferruh Mavituna : Bu sonuçta geniş bir konu. Trojan, virüs, sisteme sızan crackerlardan vs.’den genel korunma yöntemleri olarak özetle şunları sayabilirim;
- Windows Update aracılığı ile güncellemelerinizi düzenli yapın. Bu en önemli konulardan biridir. Windows Update’ i tam olan bilgisayarlara Blaster’ ın bir etkisi olmadı mesela. Virüsler, wormler genelde bu güncel açıkları kullanırlar.
- Kullandığınız diğer programları güncel tutun (SQL Server gibi) SQL Slammer’ ın yaması aylar önce yayınlanmıştı, hatırlarsanız bu worm yayıldığı gün bir çok Servis Sağlayıcı serverların fişini çekmişti ve veri yoğunluğundan internet tamamen kilitlenmişti.
- Şifrelerinizi en az 6 karakter ve numerik + alfanumerik seçin, Asla boş şifre yada 1234, asdf gibi şifreler kullanmayın. Bu otomatik şifre denemelerinden ve sözlük bazlı deneme-yanılmalardan (Brute Force ve Dictionary Attack) korunmanıza yardımcı olacaktır.
- Farklı sitelerde aynı şifreyi kullanmayın. Hatta hiç bir zaman aynı şifreyi 2 defa kullanmayın. Üye olduğunuz sitenin arkasındaki kişiler seçtiğiniz şifreyi e-mail hesabınızda deneyebilir. Bunu yaptığınız takdirde bir şifrenizi kıran-ele geçiren bir cracker diğer tüm şifrelerinize de ulaşmış olur.
- Bir firewall size çok yardımcı olacaktır. Bu sayede olası bir çok soruna kökten çözüm getirebilirsiniz. Ek olarak trojanlara karşı en iyi korumadır. ZoneAlarm son kullanıcı için basit ve pratik bir seçim olabilir ancak ne kadar pratik olsa da deneyimsiz kullanıcılar için çok zorluk çıkarabilir.
- Antivirus programı kullanın, Onu güncel tutun. Bugünün antivirus programlarının bir çoğu sizi trojanlardan, web sitelerinden yayılan virüslerden (siteye girer girmez yayılan virüsler ve trojanlar var), e-mail aracılığı ile gelen virüslerden ve olası daha bir çok sorundan koruyacaktır.
- E-maillardan gelen yada ICQ, MSN aracılığı ile gelen dosyaları açmayın. Güvendiklerinizi de antivirus programınız ile tarayıp açın.
- Bilmediğiniz programları çalıştırmayın, bilmediğiniz sitelerden download yapmayın. Her zaman firmaların resmi sitesinden download yapmaya çalışın. Popüler programınıza bir trojan sıkıştırmış ve onu sitelerinden size download ettirmek isteyen sitelerle karşılaşabilirsiniz ve programı kurarken trojan da sessizce bilgisayarınıza yerleşecektir.
- Spyware ve Adwarelardan kurtulmak için bir program kullanın Bu özellikle kişisel bilgilerinizin kişisel kalmasını sağlaması açısından ve dialer gibi programları ilgisayarınızdan silmesi açısından çok önemlidir. Spybot ve Adaware programları bu konuda size çok yardımcı olacaktır.
Belirttiğim gibi, liste çok uzayabilir ancak şu an aklıma gelen önemli önlemler bunlar.
turk-internet.com : e-Ticaret sitesi açmak isteyen Firmalara tavsiyeleriniz nelerdir?
Ferruh Mavituna : İlk olarak güvenliği gelişimin bir parçası gibi algılamaları gerekiyor, sistemleri tamamlandıktan sonra bu konuda profesyonel bir danışman / firma ile birlikte çalışıp sistemin tüm güvenlik kontrollerini yapmaları gerekir. Ancak bundan sonra sitelerini açmalılar. Ek olarak her yeni geliştirmede de bunu gözönünde bulundurmalılar.
Bu noktada bir diğer seçenekte projelerini geliştirecek olan programcı ekibe güvenlik eğitimi verdirmeleri olabilir. Temel bir güvenlik eğitimi bir çok sorunu kökten engelleyecektir. Bundan sonra yapılacak olan sisteminde bir defa daha dışarıdan test edilmesi çok daha güvenli bir yapı ortaya çıkaracaktır.
turk-internet.com : Siteleri olan ya da network’leri internete açık normal firmaların dikkat etmeleri gereken hususlar..
Ferruh Mavituna : Siteleri olan firmalar az önce de belirttiğim gibi bu konuda profesyonel kişilerle çalışmalı, hele ki e-ticaret firmasıysa dışarıdan bir güvenlik danışmanı / firmasıyla çalışarak sistemlerinin güvenliğini tam olarak sağlamalıdırlar.
Güvenlik danışmanları / firmaları güncel açıkları sizin için takip edecek, sisteminizdeki geliştirmeleri takip ederek kontrol edecek ve loglarını düzenli olarak analiz ederek olası açıkları tespit edecek yada durduracaktır. Aynı zamanda saldırılara karşı oluşacak durumlarda size hukuki konularda yol göstermesi de size büyük kolaylık sağlar.
Bunun yanında internet siteleri SSL ve firewall ile korunmaz, bunlar sadece yan etkenlerdir. Dolayısıyla bir firma olarak güvenlik konusu üzerinde dururken bunu server güvenliğine indirgenmemeniz gerekir, güvenlik yatırımı yapılırken bu da gözönünde bulundurulmalıdır.
Firmada network’ lerin konusunda da firewall kullanmaları önemlidir. Eğer wireless network kullanıyorlarsa kesin olarak sisteme sadece tanımlı MAC’ lerin girebilmesini sağlamaları ve ekstra güvenlik önlemleri de almaları önemlidir. Ciddi diğer bir sorunda firmaların networklerinde şifresiz shared klasörlerin bulunmasıdır. Bunlar genelde firma dışı networke açık olurlar ve dışarıdan ulaşılabilirler. Firma için güvenlikte sadece personelin de
bilinçlendirilmesi çok önemlidir. Ek olarak admin tarafından her network bireyinin internet giriş ve çıkışları özel kısıtlamalara tabii tutulmalıdır. Firma içi proxyler ve IDS’ ler de network yöntecilerine takip ve filter konusunda ekstradan yardım edebilir.
Yazının son bölümünde Mavituna’nın yaşadığı bir olayı ve sonucunda gelişen olayları konuşacağız. Bu bölümü okumak için Hack Etmek Yerine Yardım Edince İş Buldu – 5) satırını tıklayınız.