ABD Dışişleri Bakanlığı'na ait gizli belgeleri yayınlayan internet sitesi WikiLeaks tam bir bilgi güvenliği paranoyası meydana getirdi. Pek çok ülke siber ordu kurduğunu açıklarken Türkiye 25-28 Ocak günleri arasında siber tatbikata hazırlanıyor. Tatbikat öncesi bilgi güvenliği alanında merak edilenleri uzmanlarına sorduk İşin içine bilgisayar kodları 1'ler ve 0'lar girince yüzde 100 güvenlikten bahsetmek hayal oluyor. İnternet hayatımıza girdiğinden beri en büyük kabusumuz bilgilerimizin ele geçirilmesi. Bu korku sadece biz bireysel kullanıcıları değil, kurum ve kuruluşları hatta dünyanın en güçlü ülkelerini bile sürekli tetikte tutuyor. Özellikle de ABD Dışişleri Bakanlığı'na ait gizli belgeleri yayınlayan internet sitesi WikiLeaks'ten sonra... WikiLeaks olayıyla birlikte tüm devletler bilgi güvenliği alanında kendilerini bir kez daha gözden geçirme çabasına girişti, pek çok ülke ‘siber ordu' kurduğunu açıkladı. 25-28 Ocak günleri arasında Türkiye'de de kurum ve kuruluşların bilgi güvenliğindeki konumlarının tespit edilmesini amaçlayan bir siber güvenlik tatbikatı yapılacak. TÜBİTAK Bilişim ve Bilgi Güvenliği İleri Teknolojiler Araştırma Merkezi ve Bilgi Teknolojileri ve İletişim Kurumu koordinasyonundaki tatbikatın detayları tabii ki gizli tutuluyor. Ancak bilgi güvenliği konusunda hem ülke hem bireyler olarak ne durumda olduğumuzu, hangi önlemlere ihtiyaç duyulduğunu tatbikat öncesi Educore Eğitim Danışmanlık'tan bilgi güvenlik uzmanları Erman Taşkın ve Özkan Kaynak ile konuştuk. ‘RUSYA SALDIRIYOR' İDDİASI TÜBİTAK'ın önceki yıllarda bünyesinde oluşturduğunu duyurduğu, bir nevi siber ordu sayılan Bilgisayar Olaylarına Müdahale Ekibi'nin (BOME) dışında basına özerk bir ‘Siber Ordu Komutanlığı' kurulacağı bilgisi de yansıdı. Peki son dönemlerde sıkça duyduğumuz ‘siber ordu' nedir? İşte uzmanların yanıtı: “Siber ordu teknolojik saldırı ve savunma tekniklerini kullanarak başka bilgi sistemlerine saldıran veya bilgi sistemlerini savunan anlamına geliyor.” Güçlü siber ordulara sahip ülkeler olup olmadığı konusunda yazılı bir bilgi olmadığını söyleyen Erman Taşkın “Bu tür bilgilerin ancak yansımalarından haberdar olunabilir. İlk akla gelen yakın geçmişte Estonya'da gerçekleşen olaylar. Bir Rus askerini simgeleyen heykelin yerinin değiştirilmesinin ardından Estonya, Rusya'nın organize bir şekilde Estonya'daki kamu ve özel sektöre ait birçok bilgi sistemine saldırdığını iddia etmişti. Benzer şekilde Rusya'nın Gürcistan üzerine tanklarını göndermeden bir gün önce web sunucularına saldırılar düzenlediği üzerine medyada birçok haber yayımlandı” diyor. ZARARLI YAZILIMDA İLK 5'TEYİZ Türkiye bilgi güvenliğinde hangi noktada? Her iki uzman da kurumsal anlamda birçok iyi örneğe sahip olduğumuzu söylüyor. Ancak tablo bu kadar olumlu değil: “Bizde çok çeşitli teknolojilerde, çok zengin bankacılık ürünleri mevcut. Bu nedenle kurumsal önlem eksikliğiyle gerçekleşen dolandırıcılık çok çok az. Gerçekleşen dolandırıcılık işlemlerinin tamamına yakını kullanıcılardaki bilgi ve bilinç eksikliği sebebiyle gerçekleşiyor. Maalesef istatistiklere bakılınca birçok internet saldırısının -spam e-posta, servis dışı bırakma, web sayfası değiştirme- kaynağı da Türkiye. Brezilya ve Rusya da benzer üne sahip. Bunun anlamı birçok durum için saldırı kaynağı ülkeler arasında olduğumuzdur, hatta bu yüzden Türkiye kaynaklı trafikleri kesenler var. Birçok güvenlik yazılımının topladığı verilere göre bilgisayarların taşıdığı zararlı yazılım sıralamasında da Türkiye son üç yıl istatistiklerine göre ilk beşten aşağı düşmüyor.” Ülkelere kabus yaşatan iki virüs yayılıyor KÖTÜ amaçlı bilgisayar korsanları teknolojik ekipmanların vasıtasıyla artık çoklu eylemlere imza atıyor. Bilgi güvenliği uzmanları “Bir bilgisayara kötü uygulamayı gönderiyorsunuz ve o uygulama çalıştırıldığı anda sizin bilgisayarınız bir komutla yönlendirilebilir hale geliyor. Buna ‘zombie bilgisayar' deniyor. Zombie bilgisayar yaratılıp kötü amaçlı kullanılması son bir-bir buçuk sene içinde çok gelişti. Bunların illegal satış-kiralamaları yapılıyor” diyor. Son dönemlerde uzmanları çok şaşırtan ve tedirgin eden iki virüs var. Zeus ve Stuxnet olarak bilinen bu virüslere karşı önlem almak çok zor. Zeus, cep telefonlarına yerleşebiliyor ve örneğin internetten banka işlemi yaparken bankanın size gönderdiği doğrulama şifresini başka bir telefona yönlendiriyor. Geçtiğimiz yıl ortaya çıkan Stuxnet adlı zararlı yazılımın İran'ın nükleer santralini ele geçirdiği, bu yazılımı İsrail ve ABD'nin geliştirdiği iddia edildi. Ulusal güvenlik teşkilatlarını bile tedirgin eden Stuxnet'in USB aygıtlarından kopyalanarak ve kendi kendini bulaştırarak yaydığı belirtiliyor. Yazılımda kullanılan tekniklerin onlarca bilgisayar uzmanının katılımıyla yaratılabileceği söyleniyor. Bu nedenle yazılımın bir devlet desteğiyle üretildiği düşünülüyor ve bu açıkça ifade ediliyor. Bireysel kullanıcılara öneriler ŞİFRELERİ mümkün olduğunca uzun tutup içinde büyük harf, küçük harf, rakam, özel karakter bulundurun. Mümkünse şifrelerde Türkçe karakter kullanın. Çünkü yurtdışından yapılan saldırılarda Türkçe karakterler göz ardı ediliyor. SOSYAL paylaşım sitelerinde ‘Profilime kim bakmış?' ‘Beni beğenin' ‘Bütün listenize ....... gönderin' gibi tuzak uygulamalar var. Bunların çoğu sizin ağınızı açmaya yönelik. Oradan mesela dayınızın ismine ulaşıp anne kızlık soyadınızı öğrenebiliyorlar. Bu da banka işlemlerinde önemli bir güvenlik engelini aşmak demek. Bilgilerinizi sosyal paylaşım sitelerinde paylaşmayın. KABLOSUZ ağ kullanımında WPA2 şifreleme sistemini kullanın ve parolanız 10 karakterin üzerinde uzun ve karmaşık olsun. HALKA açık kablosuz ağ kullanımında kişisel güvenlik duvarı ve antivirüs kullanımı şart. Buralarda özel bilgi içeren yazışma ve parasal işlem yapmamaya da dikkat etmek gerek. PROGRAMLARI mutlaka yazılımı yapan ana kaynağından indirin. İŞLETİM sistemi ve antivirüs yazılımlarını güncellemeyi ihmal etmeyin. İyi olmak için KÖTÜLÜĞÜ bilmeniz şart BİLGİ güvenliği camiasında saldırgan “black hat” (siyah şapka), onları durdurmaya çalışan “white hat” (beyaz şapka) olarak adlandırılıyor. Siyah şapka kötü niyetle, para, tanınırlık veya zevk için bilgisayar korsanlığı yapan kişiler için kullanılan bir tanım. Beyaz şapka ise kötü niyetli saldırılara veya olası diğer felaketlere karşı bilgisayar sistemlerinin güvenliğini artırmayı amaçlayan kişilere verilen ad. İlginç olan şu ki black hat olmadan white hat olamıyorsunuz. Sertifikalı etik hacker'lar var ve bu kişiler yetkinliklerini belirli sınavlara girerek kanıtlıyor, istihdam ediliyor. Uzmanlar “Bir açık bulunarak sistemin zarar görmesi gerekiyor ki siz oradaki açığı ve giriş yöntemini öğrenebilesiniz” diyor. Esra Cengiz