Teknolojik aletlerdeki verilerimiz güvende mi?

Sorunun net cevabı: "Verilerin senin teknik ve güvenlik bilgin kadar güvendedir." Eğer normal ve sıradan bir bilgisayar, mobil aygıt, smart tv veya herhangi bir dijital aygıt kullanıcısı iseniz cevap: hayır hiç bir veriniz güvende değil ve bunu açıkça söyleyebilirim. Yani burada anlatmak istediğim eğer verileriniz için özellikle güvenlik tedbirleri almıyorsanız veya alacak bilgi dahilinizde değilse güvende değilsiniz. Şuan bağlı olduğunuz internet ağı, bilgisayarınızın veya cihazınızın mac adresleri/fiziksel mac adresleri, şifresiz dosyalarınız(verileriniz), çok güvenerek kullandığınız o meşhur "ICLOUD" veya "Google drive" vs hepsi verileriniz teker teker süzmekte hepsine meta yerleştirerek işlemekte. Yani gözünüz arkada kalmasın verilerinizi sizin için kontrol eden "bir" değil "onlarca" kurum var :)

Evet bu yazıyı okuyanları duyabiliyorum hadi oradan benim dosyalarım, bilgilerim, yaptıklarım, konuştuklarım kimin işine yarayacakta beni izleyecekler diyebilirsiniz fakat bu izleme zannettiğiniz bir izleme değil. Hani biri bilgisayarın karşısına geçip sizin masaüstünüzü veya fotoğraflarınızı amaçsız bir "hacker" gibi izlemiyor :) Özellikle Amerika, Çin, Rusya gibi büyük devletlerin internet tabanlı güvenlik kuruluşları (NSA, FSB, FAPSI gibi kurumlar) dünya üzerinde ki akan çoğu veriyi ilk elden geçiren oluşumlardır denebilir.

Bu yazıyı eğer detaylı yazarsak çok ama çok uzar o yüzden sadece sorunuzun cevabını yukarıda ki şekilde vermek yeterli. Eğer kişisel özgürlüğü ve güvenliğinizi önemsiyorsanız "açık kaynak kodlu" yazılımlar kullanmaya özen gösterin. (Windows veya Macintosh değilde "Linux" gibi...)

Ayrıca şuan dünyada ki internetin çoğunluğunu normal düzeyde ki dijital aygıt kullanıcısı yani (yazılımcı, hacker, pentest uzmanı, bilişimciler) dışında ki kişiler hariç %97'sini oluşturmakta. Bu %97'lik kısım kendini her zaman çok güvende hissederler ve herhangi bir güvenlik önlemi alma gereksinimi duymazlar çünkü kullanıldıklarının farkında değildirler. Güvenlik gerçekten var terimini absürt olarak şu şekilde tanımlayabiliriz; Bizi virüsten koruması için indirdiğimiz anti-virüs yazılımları aslında bizlerin bilgisayarlarını tararken, kişisel bilgi ve dosyalarımızı da kendi sunucularında işlemekte ve bunları satıp/pazarlamaktadırlar.

Eğer bu içinde bulunduğumuz uçsuz bucaksız ve bulunmaz bir nimet olan internetin güvenliğini hakkında çarpıcı detayları daha çok öğrenmek istiyorsanız. Eski CIA ajanı olan "Edward Snowden"in kendi yazdığı biyografi kitabı olan "Sistem Hatası"nı okumanızı şiddetle öneririm.

Merhaba, bu sorunun çok çeşitli cevapları var. Öncelikle bir örnek üzerinden gidersek. Telefonunuzun işletim sistemi resmi bir işletim sistemi mi yoksa "custom rom" denilen özel bir işletim sistemi mi? Resmi işletim sistemi ise birazcık daha güvendesiniz. Fakat işin kötü yanı hackerlar resmi işletim sistemleri kolaylıkla hackleyip insanlara da bunun nasıl yapıldığını anlatıyor. Bu duruma Android üzerinde "root" Iphone üzerinde "jailbreak" deniyor. Telefonunuzda "custom rom" varsa yani özelleştirmeye daha açık daha esnek fakat resmi bir destekçiden ziyade bir topluluk ile ayakta duruyorsa bu durumda sıkıntı. Çünkü herhangi bir açık bulunduğunda bunun güvenlik yamaları çok geç yayınlanabilir belki de hiç yayınlanmaz.

Diyelim telefonunuz da resmi işletim sistemi var ve "root" veya "jailbreak" yapılmamış halde. Bir haber sitesine girdiniz. Haber sitesi ise bir hacker tarafından hacklenmiş ve siteye giren her kullanıcıya kredi kartı bilgilerinizi çalan bir zararlı bulaştırıyor. Ve size de bulaştırdı. Üstelik bu durumdan haberiniz olmadığı gibi herhangi bir sizden kaynaklı sebepte yok. Hacklendiniz. Bu saldırıya "Wather Hole" deniyor.

Diyelim girdiğiniz siteler hacklenmedi. Ve evinizde bağlı olduğunuz kabosuz internet üzerinden oyun oynuyorsunuz. Yan dairedeki hacker ise kablosuz ağınızın şifresini kırıp ağınıza sızdı. Telefonunuzu tespit etti ve yaptığı "Enumeration" işlemi ise telefonunuzun açık port ve açıklarını tespit etti ya da bizzat kendi bulduğu ve halka veya ilgili şirkete haber vermediği bir açığı telefonunuzda kullandı. Hacklendiniz. Bu saldırıya da "Zero Day" denir.

Diyelim telefonunuzun ekran kilidi aktif değil ve arkadaşlarınız ile oturduğunuz bir ortamda tam olarka 1 dakika boyunca telefonunuzun masada kalacağı bir süre boyunca elinizi yıkmaya gittiniz. Ortamdaki bir kişi 30 saniye içinde telefonunuzu alıp içine gizli bir ajan programı yerleştirebilir. Üstelik bu uygulamanın simgesi de olmaz, siz bu durumun farkında bile olmazsınız. Galeriniz, mesajlarınız telefonunuzdaki her şey çalınır. Tüm verilieniz... Hacklendiniz. Buna da "Trojan" denir.

Diyelim yemek siparişi verdiğiniz site hacklendi ya da seçim sistemi hacklendi. Tüm kredi kartı ya da TC kimlik numarası dahi çalınır. Üstelik bunda sizin suçunuz yok! Kullandığınız sistemi tasarlayanlar hacklendi çünkü. Geçtiğimi yıllarda CIA'nın hacking işletmleri ile uğraşan alt yapılarından biri hacklendi, İtalya'da dünyanın en ciddi hacking hizmetlerini veren şirket hacklendi. Windows üzerinde her yıl onlarca zafiyet çıkıyor. GNU/Linux'un kalbi olan çekirdekleri yayınlayan site hacklenip çekirdeklere zararlı yerleştiriliyor. Bangladeş'te banka hacklenip 100 milyon dolara yakın para çalınıyor. Kuzey Kore devlet destekli hacklerlar diğer ülkelerin bankalarını hackliyor. İsrail, İran'ın nükleer alt yapısını çökertecek zararlı kullanıyor. 10 dolara en büyük siteleri saatler boyunca işlemez hale getirecek hizmet alıp hiçbir teknik bilgi olmadan kullanabiliyorsunuz. Dark Web içersinde istediğiniz kadar kredi kartı bilgisi bulabiliyorsunuz. Bir hacker Amerika devlet başkanının sosyal medya hesabını hackleyip "Beyaz Saray Saldırıya uğradı." yazıyor arından borsayı onlarca dakika işlemez hale getirebiliyor. Ünlülerin Twitter hesapları hacklenip insanları kandıracak "Bana 100 dolarlık BTC atın size 10000 dolarlık BTC atacağım" deyip yüzbinlerce dolar toplayabiliyorlar.

Veriler hiçbir yerde güvende değil bu yüzden verileri tek yönlü olarak şifrelenip "hash" denilen işleme tabi tutuluyor böylece saldırgan facebook.com'u hacklediğinde parolanızı "asa24rsoflsdfoa0" olarak görüyor. Peki ya "hash" işleminin uygulanmadığı yerlerde örneğin Iphone bulut alt yapısında ortaya çıkan açık ile ünlülerin özel resimleri çalınmıştı.

Bu senaryolar gerçek yaşanmış, yaşanan ve sınırsızdırlar. En basit şekilde güvenlik ve kullanılabilirlik ters orantılıdır. Güvenliği sıkılaştırırsanız kullanılabilirlik düşer. Kullanılabilirlik artırılırsa güvenlik seviyesi düşer. Elektronik cihazların aptal birer aygıtlar olduğunu biz ne dersek onu yaptıklarını unutmamamız gerekiyor. Siz kendinizi korusanız bile çevrenizdeki biri veya kullandığınız bir teknoloji hacklendiği zaman sizde etkilenirsiniz. Yani ne kadar bilgili olursanız olun, hedef olarak görülüyorsanız hacklenme ihtimaliniz saldırganın bilgi, yetki, deneyim ve kullandığı teknojiye bağlı olarak tehdit içerisindesinizdir.

Eğer bir yerde %100 güvenden bahsediliyorsa arkanızı dönün ve gidin. Bu teorik ve pratik olarak imkansızdır.

Öncelikle sorunun kısaca cevabı çok büyük ihtimalle hayır, sürekli dinlenip izleniyor olma ihtimalimiz çok düşük. Ancak burda şunu belirtmek gerekir ki hiçbir bilgisayar sistemi tam anlamıyla güvenli değildir. Yani "bir kısım kişilerin", buna ister hackerlar diyin, ister devletler, isterse şirketler; normal bir kişiyi dinlemek veya izlemek isteyip de bunu başaramaması çok düşük bir ihtimaldir. Yani bir hacker çok fazla zorlarsa ve sisteminiz de yeterince iyi korunmuyorsa mikrofonunuza veya kameranıza erişebilir. Bu sebeple herkesin temelde kendisini koruyabilecek kadar güvenlik bilgisine sahip olması gerektiğini düşünüyorum.

Teknik pencereden bakmak gerekirse, bir sistemden sürekli olarak görüntü veya ses bilgisi almak çok maliyetli bir iştir. Bir kişi için başarılması kolay olsa da toplumun büyük bir kısmının verilerini sürekli olarak kaydetme ve işleme işleminin küçük topluluklar tarafından yapılması çok zordur. Eğer böyle bir şey gerçekten yapılıyorsa, bunun google, apple gibi devasa ve teknik kapasitesi yeterli şirketler tarafından yapılıyor olması çok daha olasıdır. Ancak yine de ben şahsi olarak "google sürekli bizi dinliyor, ona göre reklam çıkartıyor" fikrine sıcak bakmıyorum. Google daha çok arama ve gezinme verilerini dağınık haldeki pek çok merkezden kendi bünyesine alıp işlemek suretiyle reklam göstermek gibi bir politika izliyor.

Bir app i yuklerken hemen tamam a basip herseyi kabul etmeden sozlesmeyi okursaniz, nelere izin verdiginizi okursan hersey birden aydinlanir. App leri bos verin ozellikle IOS ve Draoid ara yuzu nerdeyse tum telefonlarida kullanilir ve hem microfon hemde kameradan 24 saat dinlenip gozetleniyorsunuz. Artik her turlu elektronik aletin cameralarini kapatan aparatlar satilmaya basladi. Mekanik acilip kapanabilen mikrofon ve kameralar tercih edilmeye basladi.

Eger kullanilan isletim sistemleri ticari urunlerse, periyodik olarak yapilan guncellemeler disaridan sisteme sizilmasina engel olacaktir; pek tabiki lisansiz, acik kaynak kodlu bir isletim sistemi her turlu mudahaleye acik olabilir. Kullanilan isletim sistemi lisansli ise eger, disaridan herhangi bir sekilde truva ati denilen virus sisteme bulasmadigi surece korkulacak bir sey yok diyebiliriz. Bu truva atlari (trojanlar) degisik formatlarda sizlere ulastirilip, baska dosya formatlarina komufle edilip dikkattinizi dagitarak acmanizi saglarlar ve sisteminizi disaridan mudahaleye acik hale getirirler. O yuzden basarili bir anti virus programi kullanmaniz siddetle tavsiye edilmektedir.