'Siber aptal' olmaktan nasıl kurtulabilirsiniz?

Mark Ward ve Matthew Wall – BBC

Bilgisayar destek hattını aradığınızda, hattın diğer tarafındaki uzmanın sizi aptal yerine koyduğunu hissedersiniz. Telefondan duyulan derin iç çekişler ve tepeden bakan ses tonu bunu fark etmenizi sağlar.

Aslında bizler için kullandıkları bir kısaltma da vardır: KİSAS. Açılımı, Klavye İle Sandalye Arasındaki Sorun'dur. İşte bu sorun biziz.

Şimdi bu tanıma öfkelenmeden önce kendinize sorun: En son ne zaman verilerimi yedekledim? Kaç farklı online hesabımda aynı şifreyi kullanıyorum? Kaç e-postadaki linke kimin yolladığını bilmeden tıkladım?

Şifre seçimlerimizde ne kadar kötü olduğumuza dair her yıl çok sayıda örnek görüyoruz.

Bunlar "123456" veya "password" ile başlayıp, biraz daha gelişmiş "12345678" veya "admin" şifrelerine ilerleyen bir skalada değişiyor.

Bunun gibi şifreler kullanıyorsanız, elinde bir çekiçle klavyeye birkaç saat boyunca rastgele vuran bir çocuk bile sizin hesabınızı ele geçirebilir.

Gerçek şu ki, tembeliz.

Kimlik ve erişim yönetimi şirketi OneLogin'den Thomas Pedersen, "Pek çok kişi şifrelerini unutuyor ve sonrasında bilgisayar destek hatlarının onlara verdiği geçici şifrelerle yola devam ediyor" diyor ve ekliyor:

"Sorun bu geçici şifrelerin bir ay gibi uzun süreler boyunca kullanılabilmesi. Bu yüzden büyük şirketlerde yüzlerce kişinin aynı şifreyi kullanması mümkün.

"Bu da hackerların kazıma yöntemi denen yöntemle, yani en sık kullanılan şifreleri milyonlarca hesapta otomatik olarak deneyerek yaptığı saldırıların başarıya ulaşma ihtimalini artırıyor.

"Hackerlar 5 bin, 6 bin denemeden birinde başarıya ulaşabilir."

Bir hacker 5 bin hesaptan birini bile ele geçirse sistemin içine sızdıktan sonra çok daha büyük zararlar verebilir.

6 adımda şifre güvenliği

Aklınızda tutabileceğiniz en uzun şifreyi seçin, en az sekiz karakterden oluşsun

Büyük ve küçük harfleri semboller ve rakamlarla birlikte kullanın

Çocuğunuzun veya tuttuğunuz takımın adı gibi tahmin etmesi kolay şifreler seçmeyin

Şifrelerinizi başka insanlarla paylaşmaktan sakının

İki aşamalı güvenlik kullanın, şifrenizi girdikten sonra cep telefonunuza gelen ikinci bir şifreyle hesaplarınıza erişin

Dashlane, Sticky Password veya Roboform gibi bir şifre yöneticisi kullanmayı değerlendirin

Neredeyse her hafta, Facebook, British Airways, Reddit gibi büyük şirketlerin sistemlerinin ele geçirildiğine dair haberler okuyoruz.

İki aşamalı güvenlik sistemleri veya parmak izi, ses, yüz tanıma gibi biyometrik sistemler her geçen gün daha popüler hale geliyor.

Fakat biyometrik sistemlerin ofis bilgisayarlarında kullanılması kolay değil: Bilgisayarlarda bunların kullanılmasına olanak sağlayan cihazlar genellikle bulunmuyor.

Siber güvenlik şirketi Bromium'un kurucularından Ian Pratt, bilgisayarlarımıza indirmememiz gereken şeyleri indirme konusunda da epey salakça davrandığımızı söylüyor.

Tıkladığımız linklerde güvenlik sistemlerini aşmak için tasarlanmış kötü niyetli yazılımlar bulunma ihtimali var. Bunlar verilerimizi çalabilir ve hatta cihazlarımızın kontrolünü ele geçirebilir.

Pratt "Zararlı yazılımların yüzde 99'u, özel bir amaç için tasarlanmamış sıradan zararlı yazılımlar" diyor ve ekliyor:

"Bu yazılımlar agresif bir şekilde yayılmaya çalışıyor ama pek zeki sayılmazlar.

"Veri güvenliği ihlallerinin yüzde 70'i talihsiz bir kullanıcının, hackerların sisteme sızmasına izin veren bir linke tıklamasıyla başlıyor."

Bilgisayar departmanlarında çalışanlar, son yıllarda cep telefonları, dizüstü bilgisayarlar ve tabletlerin yayılmasıyla birlikte hayatlarının daha da zorlaştığını söylüyor.

Bu yüzden çok sayıda büyük şirket, bilgisayarları insanların aptallığına rağmen güvenli kalacak bir şekilde tasarlamak için çaba sarf ediyor.

Bromium'un geliştirdiği teknoloji, bilgisayardaki her işlemin birbirinden izole bir şekilde gerçekleşmesini sağlıyor. Buna teknoloji jargonunda sandbox (kum havuzu) deniyor.

Ian Pratt, "Bir bakıma gerçekleştirilen her işlem ayrı bilgisayarlarda gerçekleştirilmiş gibi oluyor. Bir işlemi bitirdiğinizde o bilgisayarı çöpe atıp bir sonraki işlem için yeni bir bilgisayar yaratmış gibi oluyorsunuz" diyor.

Yani bir linke tıklayıp zararlı bir yazılım indirseniz bile o yazılım bilgisayarı veya bağlı olduğu ağı ele geçiremiyor.

Fakat Barclays bankasının eski teknoloji şefi ve güvenlik şirketi Veracode'un danışmanı Paul Farrington kullanıcıların şirket ağları üzerinde yaptıklarını denetlemenin daha zor olduğunu söylüyor.

Büyük şirketlerin hangi kullanıcının ne kadar yetkisi olması gerektiği konusunda genelde hiçbir fikri olmadığını belirten Farrington'un çalıştığı Veracode, büyük bir banka için yaptığı projede bankanın kaydetmediği bin 800 internet sitesi fark etti.

Bu tahminlerin yüzde 50 üzerinde bir miktardı.

ECS güvenlik firmasının kurucusu Nathan Dornbrook'a göre şirketlerin sistemlerinin durumuyla ilgili yeterince bilgiye sahip olmaması yüzünden şirket ağlarında çok sayıda gereksiz bilgisayar bulunuyor.

Dornbrook "Bu bilgisayarlarda büyük veriler, şifreler, kullanıcı bilgileri ve sistemdeki diğer araçlara erişim sağlayacak bilgiler bulunuyor" diyor.

Başka bir ifadeyle, bu bilgisayarlardan her biri sisteme açılan bir kapı oluyor.

Dornbrook "Bu bilgisayarlardan tek biri bile ele geçirildiğinde bütün sistemi kaybedebilirsiniz" uyarısında bulunuyor.

Bilgisayar destek birimlerinin iş yükü ve hepimiz birer KİSAS olması nedeniyle, uzmanlara göre otomatik güvenlik sistemlerinin gerekliliği artıyor.

Örneğin ECS, bir başka güvenlik şirketi olan 1E'nin geliştirdiği Tachyon aracını kullanarak milyonlarca bilgisayarın son güncellemeleri almasını sağlıyor. Dornbrook, "Öbür türlü tepki verecek vakit bulamazdık" diyor.

Çok sayıda siber güvenlik şirketi firewall yöntemini terk ederek otomatik gerçek zamanlı trafik gözetimini kullanmaya başlıyor. Böylece sistemdeki sıra dışı trafikler daha kolay tespit edilebiliyor.

Öte yandan birer KİSAS gibi davranmayı bırakmamız, işleri çok daha kolaylaştıracak.