Bilim-Teknoloji

'Sorumluluk iCloud'a yüklenmemeli'

Hollywood ünlülerinin müstehcen fotoğraflarının internete düşmesi gözleri Apple'ın yedekleme sistemi iCloud'a çevirdi. Apple güvenlik açığı olmadığını savunurken, uzmanlar bireylerin de dikkatli olması gerektiği görüşünde.

Konular: Bilim-Teknoloji
Uzmanlar saldırının sorumluluğunun bir tek iCloud'a yüklenemeyeceği görüşünde. [Fotoğraf: Shutterstock]

1 Eylül sabahı erken saatlerden itibaren Hollywood'un ünlü oyuncularının müstehcen fotoğrafları internette yayılmaya başladı. Konuyla ilgili fotoğrafların yayıldığı sitelerden yapılan açıklamalar gözleri Apple'ın bulut yedekleme çözümü iCloud'a çevirdi. Çünkü fotoğrafları yayınlayanların iddiaları dosyaları iCloud'daki bir açık yardımı ile elde ettikleri yönündeydi.

Jennifer Lawrence, Kate Upton, Avril Lavigne, Mary Elizabeth Winstead, Mary Kate Olsen ve Hillary Duff gibi ünlülerin fotoğraflarının iCloud üzerinden çalındığı iddiaları üzerine Apple da araştırma başlattığını açıkladı. Konuyla ilgili olarak ABD Federal Soruşturma Bürosu FBI soruşturma başlattı. Ünlülerden bazıları fotoğrafların sahte olduğunu açıkladı. Bazı ünlüler ise fotoğrafların kendine ait olduğunu kabul etti.

Gözler iCloud'a çevrildi

Fotoğrafların nasıl çalındığı konusunda çeşitli iddialar bulunuyor. Bunlar arasında Apple'ın Find My iPhone hizmetinde yer alan bir açığın kullanıldığı iddiası da yer alıyor. Siber saldırganların iCloud'daki bir açığı kullanmış olsalar bile ünlülerin fotoğraflarına nasıl eriştiği ise henüz bilinmiyor. Bu konuda birçok teori ortaya atılsa da akla yatkın bir açıklama yapılamıyor. Öte yandan iCloud'daki bir açık kullanılmış olsa da ünlülerin kullanıcı adlarına nasıl ulaşıldığı bilinmiyor. 

Apple: iCloud'da güvenlik hatası yok

Konuyla ilgili resmi bir açıklama yapan Apple, iCloud sisteminde bir açık bulunduğu iddialarının gerçek olmadığını belirtti. Fotoğrafların iCloud sisteminden alındığını belirten Apple, saldırının tahmin edilebilir şifreler kullanılmasından, kullanıcı adı/güvenlik sorularını birkaç kez deneyerek tahmin etmekten kaynaklandığını açıkladı.

iCloud'u hacklemek kolay mı?

Saldırının ardından eleştiriler ağırlıklı ve tek taraflı olarak iCloud'a yüklendi. Guardian tarafından yapılan bir araştırma, bir kişinin iCloud hesabının birçok deneme sonucunda hack'lenebileceğini gösteriyor. Ancak burada dikkat edilmesi gereken nokta, 'iki adımlı güvenlik doğrulaması yapılmayan' hesapların tehdit altında olması. 

Bir kullanıcının Apple hesabına girebilmek için üç bilgi gerekiyor: E-posta adresi, doğum tarihi ve iki veya üç güvenlik sorusunun cevabı. Bu bilgilerin hepsine sahipseniz, kişinin hesabını resetleyebilir ve iCloud ile iTunes hesaplarına erişebilirsiniz. Bunlar için kullanıcının e-posta hesabının şifresi değil, Apple kimliğinde yer alan e-posta adresiyle kullandığı şifre gerekiyor. 

Apple kimliğine erişim için son basamak, güvenlik soruları. Doğduğunuz şehirden ilk evcil hayvanınızın adına kadar 21 farklı sorudan birkaçını geçmenin tek yolu, doğru cevabı bilmek. İşte bu aşamada, kimse hacker'ların doğru cevapları nasıl temin ettiğini bilmiyor. Bu noktada, sorulması gereken asıl sorular beliriyor. Saldırıya izin veren asıl açık nereden geldi?

'Saldırı iCloud'da güvenlik açığı olduğu anlamına gelmiyor'

Yaşanan saldırıyı Al Jazeera Türk'e değerlendiren PwC Türkiye Bilgi Güvenliği ve Siber Güvenlik Hizmetleri Lideri Burak Sadıç, saldırının arka planının henüz bilinmediğini belirtirken, doğrudan iCloud'da bir güvenlik zafiyeti bulunduğuna işaret etmediğine dikkat çekti: 

"Hollywood yıldızlarının da dahil olduğu bir çok ünlüye ait özel fotoğrafların İnternet'te dolaşmaya başlaması, fotoğrafların bir bulut yedekleme hizmetinden çalındığı düşüncesini doğurdu ve kısa bir süre sonra da bu saldırıyı üstlenen kişiler fotoğrafları iCloud Photostream hizmetinin zaafiyetlerinden faydalanarak çaldıklarını iddia ettiler. Öncelikle bu fotoğrafların çalınması, ve hatta bu fotoğrafların ünlülerin iCloud hesaplarından çalınması bile saldırganların iCloud Photostream hizmetiyle ilgili bir zaafiyet bulduğu anlamına gelmiyor. Yani hemen bulutta yedeklemenin ve hatta daha büyük bir genelleme ile bulut hizmetlerinin güvensizliğinden bahsetmek doğru olmayacaktır. Saldırganların ünlülerin iCloud şifrelerini ele geçirmesi bu ve benzeri bir saldırı için yeterli. Söz konusu olan şifrelerin ele geçirilmesi olduğunda ise iCloud veya herhangi bir Internet hizmetinde kullanılan şifrelerin ele geçirilmesi için benzer yöntemler kullanılıyor. 
PwC Türkiye Bilgi Güvenliği ve Siber Güvenlik Hizmetleri Lideri Burak Sadıç.
Bu bağlamda bu saldırıdan yola çıkarak kullanıcıların alması gereken dersleri iki başlıkta özetlemek mümkün. Birinci başlık şifre güvenliği. Kullanıcıların mümkün olduğunca karmaşık, uzun ve tahmin edilemez şifreleri seçmeleri, aynı şifreyi birden fazla Internet uygulaması için kullanmamaları ve bu şifreleri belli aralıklarla değiştirmeleri gerekiyor. Kullandıkları internet hizmeti şifre ve kullanıcı adı dışında SMS veya parmak izi ve benzeri ilave güvenlik unsurları kullanılmasına imkan sağlıyorsa bu özellikleri de muhakkak devreye almalılar. İkinci başlık ise bulut hizmetlerinin güvenliği. Kullanıcılar eğer bilgi ve verilerinin sadece kendilerinin görmesi gereken çok mahrem detaylar içerdiğini düşünüyorsa bu verileri buluta transfer etmemeleri, ya da ediyorlarsa da güvenli yöntemlerle kriptolayarak transfer etmeleri gerekiyor. Bulut hizmetleri çok kaba bir benzetme ile bir banka kasası gibi, ve maalesef Internet'in doğal özelliklerinden ötürü bu banka kasasına dünyanın her yerinden erişim imkanı var, yani savunulması çok daha zor. Ama bu ürkütücü gerçek kullanıcıları bulut hizmetlerinden tamamen uzaklaştırmamalı. Bulut bilişim tüm Internet kullanıcılarına inanılmaz kolaylıklar sağlıyor ve herkes şahsi risk değerlendirmesini yapıp bu hizmetleri olabildiğince avantaja çevirebilir. Bu hem bireyler, hem de kurumlar için geçerli." 

'Çalınmak istenen bilginin değeri saldırıları motive ediyor'

Al Jazeera Türk'e saldırıyı yorumlayan Bilgi Güvenliği Uzmanı Osman Doğan, güvenlik alanında yapılan büyük yatırımlara rağmen saldırıların tamamen önüne geçilmesinin mümkün olmadığını belirtti. 

Siper savaşların, siber savaşlara dönüştüğü günümüzde teknoloji alanında atılan her adım ve yenilik yeni bilgilerin elde edilmesi adınadır. Sizin için çok da anlam ifade etmeyen bilgilerin merkezi bir lokasyonda toplanması ve bu bilgilerin istihbarat amaçlı birleştirilerek anlamlı hale getirilmesi maalesef yaşadığımız siber ortamın vazgeçilmez unsurudur. Bu durum özellikle sosyal medya ve cloud veri depolama servislerini hedef haline getirmekte, bu alanda faaliyet gösteren kişi/kurumların iştahını kabartmaktadır.

Bilgi Güvenliği uzmanı Osman Doğan.
Son yaşadığımız Apple vakasında, bilgilerin nasıl sızdırıldığı ile ilgili kesin bir tespit olmamasına rağmen Apple firmasına ait  iCloud hizmetinin hack’lendiği veya ‘Find my iPhone’ özelliğine ait API (Uygulama Programlama Arayüzü) kullanılarak parola saldırıları sonucu elde edildiği söylenmektedir. Özellikle iCloud gibi veri depolama servisleri ve sosyal medya kullanımındaki güvenlik anlayışımızı verilen bilginin kıymeti belirler. Kişisel bilgilerin, mahrem fotoğrafların, finans, Ar-Ge çalışmaları vb. bilgilerin bu platformlarda tutulmaması, alınması gereken güvenlik önlemlerinin başında gelmektedir. Dünyanın önde gelen yazılım, finans, enerji firmaları ve devlet kurumlarının bu tarz saldırılara maruz kalmasının sebebi, tutulan bilgilerin kıymetidir. Her ne kadar uluslararası firmalar güvenlik alanında milyon dolar yatırım yapsa da yüzde 100 güvenliğin sağlanamayacağı bir gerçektir. Ek olarak ilgili servislere ait parola bilgilerini kaba kuvvet saldırılarından koruma adına Türkçe karakter, noktalama işaretleri içeren, uzun parolalar seçilmelidir. Özellikle OTP (Tek Kullanımlık Şifre) desteği veren servisler aktif  edilmeli, size ait cep telefonuna gelen parola bilgisi ile giriş sağlanmalıdır. Kritik verilerin lokal bilgisayar, çalıştığımız şirket sunucularında veya taşınabilir disklerde şifreli halde tutulması gerekmektedir. Bu konuda Bitlocker, PGP v.b.  disk şifreleme yazılımları kullanılmalıdır.

'İnternete konan her bilgi risk altına girmiş demektir'

Doğan, internete konan bir bilginin artık sadece bireye ait olmaktan çıktığını ve bir gün herkesin erişime açılma riski altına girdiğine dikkat çekti. Özellikle mobil mesajlaşma uygulamalarında çok fazla veri toplandığını belirten Doğan, kullanıcıların paylaştıkları bilgiler konusunda dikkatli olmaları gerektiğini ifade etti.

iCloud benzeri çok sayıda hizmet bulunuyor

Dökümanları internet üzerindeki bir depolama alanına saklamaya yarayan bulut depolama sistemleri uzun yıllardır kullanılıyor. Apple'ın iCloud servisi de bunlardan biri. Sadece Apple ürünleriyle çalışan servise bir kere üye olduktan ve gerekli ayarları yaptıktan sonra iPhone ya da iPad'deki seçilen bilgiler ve dökümanlar otomatik olarak yedekleniyor. Mobil cihazdaki fotoğraf, video ve benzeri dökümanlar ile adres defteri de iCloud tarafından yedeklenebiliyor. Bu yedekler telefon kaybolduğunda, çalındığında ya da bozulduğunda geri getirmek üzere kullanılıyor.

Halen kullanımda olan birçok bulut yedekleme servisi bulunuyor. Bunlar arasında Dropbox, Onedrive, Google Drive ve Box gibi servisler yer alıyor. Bu servislerin birçoğu iCloud gibi fotoğraf ve video yedekleme hizmeti veriyor.

Geçmişte Türkiye'de de yaşandı

Geçmişte Türkiye'de de ünlülerin müstehcen fotoğraf ve videoları internette yayınlanmıştı. Bazı olaylarda fotoğrafları internette dağıtan kişilere dava açılmış ve bu kişilerden bazılarına ceza verilmişti.

'Apple önlemlerini artırmalı' 

Apple Geliştirici Merkezi'nin güvenlik açığını bularak Temmuz 2013'te dünya basınına konu olan güvenlik araştırmacısı İbrahim Baliç, teknoloji devinin şifreleme konusunda daha dikkatli çalışması gerektiğini ifade etti. Apple'ın kurumsal kaygıları bulunmadığı için bazı alanlarda gereken hassasiyeti göstermediğini belirten Baliç, kullanıcı güvenliğine daha fazla dikkat edilmesi gerektiğini vurguladı. Baliç, veri şifreleme konusunda Apple'ın gereken çalışmaları yapması gerektiğini ifade etti. 

Kaynak: Al Jazeera

Özgür Çetin

Bilim-Teknoloji yazarı Devamını oku

Müfit Yılmaz Gökmen

Bilim-Teknoloji yazarı Devamını oku

Yorumlar

Bu sitede yer alan içerikler sadece genel bilgilendirme amacı ile sunulmuştur. Yorumlarınızı kendi özgür iradeniz ile yayınlanmakta olup; bununla ilgili her türlü dolaylı ve doğrudan sorumluluğu tek başınıza üstlenmektesiniz. Böylelikle, Topluluk Kuralları ve Kullanım Koşulları'na uygun olarak, yorumlarınızı kullanmak, yeniden kullanmak, silmek veya yayınlamak üzere tarafımıza geri alınamaz, herhangi bir kısıtlamaya tabi olmayan (format, platform, süre sınırlaması da dahil, ancak bunlarla sınırlı olmamak kaydıyla) ve dünya genelinde geçerli olan ücretsiz bir lisans hakkı vermektesiniz.
;