Bilim-Teknoloji

'Türkiye siber güvenlikte hız kazanmalı'

Siber saldırıların günümüzde çok büyük bir risk doğurduğunu belirten güvenlik araştırmacısı İbrahim Baliç, Türkiye'nin siber güvenlikte doğru bir yol izlediğini ancak yavaş ilerlediğini belirtti. Baliç, NSA skandalının buzdağının görünen ucu olduğunu ifade etti.

Konular: Bilim-Teknoloji

Haberin Öne Çıkanları

'NSA skandalı ABD'nin güç gösterisi oldu'

Uygulamalar mutlaka filtreden geçirilmeli

Siber güvenlik personelinin eğitimi çok önemli

Facebook, Apple ve Google’da bulduğu güvenlik açıklarıyla dünya çapında tanınan güvenlik araştırmacısı İbrahim Baliç, ülkelerin hızla siber ordular kurmaya başladığı günümüzde Türkiye’nin siber güvenlik altyapısını yeterince hızlı geliştiremediğini belirtti. Baliç, 17 Aralık operasyonuyla siber güvenlik personeli yetiştirilmesi sürecinde aksaklıklar meydana geldiğini belirterek, yeni nesil uzmanların kesinlikle yeni bir çalışma disiplini altında görev yapmaları gerektiğini söyledi.

Mobil teknolojiler ve internette kullanıcıları en çok tehdit eden güvenlik hususlarına değinen İbrahim Baliç, Al Jazeera Türk’e yaptığı açıklamada Facebook gibi teknoloji devlerinin gizlilik ve mahremiyet konusunda da samimi olmadığını ifade etti.

NSA operasyonlarında beliren örneklerin günümüzde hackerlar için sıradan kaldığına dikkat çeken Baliç, ABD’nin NSA skandalıyla dünyaya siber istihbarat alanındaki gücünü sergilediğini ve bundan hoşlandığını öne sürdü. Baliç, asıl tehdidin, giderek artmakta olan siber saldırılar olduğunu Türkiye’nin siber güvenlik politikasındaki hatalarını gidermesi gerektiğini söyledi. 

NSA skandalının ardından teknoloji şirketlerinin kullanıcılara verdiği gizlilik güvencesi nasıl anlamlar taşıyor? Bilgilerimiz gerçekten korunuyor mu?

"Açıkçası bilginin 'kimden korunduğunu' sormamız gerekir. Şirketler her ne kadar aksini söyleseler de, kullanıcılar hakkında elde ettikleri bilgileri birçok farklı alanda kullanıyor. Verilerin kullanımı, şirketlerin büyümesi ve güçlenmesiyle doğru orantılı olarak artıyor. En iyi bilinen örnek, reklamlar. Facebook'ta bugün kullanıcıların ilgi alanlarına yönelik verilerden kitle araştırması yapılabiliyor. Kısaca, teknoloji şirketlerinin kendi çıkarları doğrultusunda kullanıcı bilgilerini koruduğunu söyleyemeyiz. Devletler bazında baktığımızda, insanların bilgilerinin erişilmesine yönelik belli anlaşmalar yok. Ancak belli durumlarda, örneğin bir cinayet soruşturmasında resmi talepte bulunarak gerekli olan bilgileri elde edebiliyorlar. Şirketlerin, devletlere yardım amaçlı bilgi paylaşımlarında bulunması bilinen ve anlaşılan bir durum. Ancak bunun dışında bilmediğimiz ve öne sürülen birçok söylenti söz konusu. Bu söylentilerin birçoğunun gerçek olduğunu da biliyoruz ancak biraz abartı olduğuna da dikkat etmeliyiz. Şahsi düşüncem, ABD’nin NSA ile uluslararası alanda bir güç gösterisi yapması. Ancak bu bir gerçek ve içinde Türkiye, Rusya, Çin ve daha birçok ülke olmak üzere çalışmalar yürütülüyor."

‘SMS takibi yapan mobil uygulamalara dikkat edin’

Baliç, kişilerin devlet takibine alınmaları halinde isteseler de kaçamayacaklarını söylerken, mobil ve internetteki casusluklara karşı dikkatli olmaları için önemli ipuçları verdi:

"Eğer sıradan bir vatandaşsanız fazla bir endişe duymanız gerektiğini düşünmüyorum ama bir suçlu, aranan bir kişiyseniz risk altındasınız. Teknolojinin geldiği noktada, günlük hayatınızdaki detaylar ve evinizin içindeki dekora kadar birçok bilgi elde edilebiliyor. Ayrıca, istihbarat kurumlarının yasa dışı yollarla elde edeceği bilgileri de fark etmenin yolu yok. Bireyler olarak, belki devletlerden kaçamayız ama firmalardan kaçabiliriz. Bilgilerimizin elde edilmesini sağladığımız en kolay yollardan biri, mobil uygulamalar.

Örneğin, sizi arayan kişinin kimliğini belirlemek için uygulamalar kullanıyorsunuz. Uygulama, sizin telefon rehberinizi, sizin arayan kişilerin numaralarını topluyor ve kimlik karşılaştırması amacı altında büyük bir veri tabanı oluşturuyor. Uygulamayı kullanan kişi rehberindeki tüm bilgileri teslim etmiş oluyor. Bu tür uygulamalara, oynadığımız oyunlara ve hesap makinesi, döviz çevirici gibi araçlara dikkat etmemiz gerekiyor. Örneğin SMS okumak için izin isteyen hesap makinesi uygulaması mevcut. Hesap makinesinin SMS'lerle nasıl bir bağlantısı olabilir? Kullanıcılar, bilerek veya bilmeyerek indirdikleri ve veri toplama amacı taşıyan bu tür uygulama ve hizmetlere dikkat etmeliler. Devlet tarafından bakıldığında, şu an isteseler bu mekana girmeden veya buradaki bir cihazı kullanmadan bile bu röportajı dinleyebilirler. Teknolojiyi kullanmayarak ise kendinizi sadece belli etmemiş olursunuz. Ancak devlet zaten sizi takip ediyorsa, bundan kaçamazsınız.

Facebook, Apple ve Google'da güvenlik açıkları buldun. Dev firmaların yaşadığı güvenlik sorunları onlar için nasıl bir anlam taşıyor?

Dünyanın en büyük firması olmak, en güvenli firma olmak anlamına gelmiyor. Çünkü firmalar kendilerini var olan sistem mümkün kıldığı kadar güvenli kılabiliyor. Büyük şirketler bugüne kadar var olan imkanlar ve o imkanların geliştirdiği sistemle büyüyorlar ve kullanıcılara da o kadarını sunabiliyorlar. Öte yandan, birileri bu sistemin içindeki olgularla uğraşıyor, onu kurcalıyor. Burada bulunan küçük ya da büyük çaplı bir zafiyet, bütün sistemlerde geçerli ve bu tür güvenlik açıkları her zaman var olacak. Çünkü firmalar bilgi güvenliği için her zaman uygulamalar ve teknolojiler geliştiriyor. Geliştirilen bu yazılım ve donanımları kurcalayanlar bir zafiyet bulduklarında, o uygulama veya donanımın bir özelliği kalmıyor. Teknoloji firmalarının bir güvenlik açığının çıkması başarısız oldukları anlamına gelmez. eBay'in milyonlarca kullanıcısına ait bilgi çalındı. eBay birçok ödül programı da dahil güvenliğini geliştirmeye çalıştı ancak güvenlik açığı çıktı. Bu şirketle değil, sistemle bağlantılı bir durum."

‘VPN kesinlikle kullanmayın’

Türk kullanıcıların güvenlik hatalarına değinen Baliç, özellikle kadın hassasiyeti nedeniyle kullanıcıların sistemlerini saldırılara açtıklarını söyledi. Baliç ayrıca, erişim yasaklarıyla öne çıkan VPN (sanal özel ağ) hizmetlerinin kesinlikle güvenilir olmadığını belirtti:

"Türkler için sanal ortamdaki en büyük tehdit kadın unsuru. Bu unsurdan dolayı kullanıcılar bir sorun olmayan sistemlerinde bile güvenlik açığı yaratıyorlar. Burada insan faktörüne dikkat çekmek gerek. Sistemleri kullanan kişilerin zafiyetini bulmak, zaten sistemlerin daha kolay hack'lenmesini sağlıyor. Türk kullanıcılar da özellikle kadın faktöründen dolayı sürekli zafiyet gösteriyor. İnternette insanlar karşılarında canlı biri olduğunu görmek için kamera açtırıyor veya sesli görüşme talep ediyor. Kullanıcılar kesinlikle internette tanıştıkları insanlara güvenmemeli. İkinci önemli unsur, internette girilen bir sistemde işlemleriniz bittikten sonra, o sistemden çıkmanız. Bilgisayarınızda bulunduğunuz sitenin oturum bilgilerinin kalmaması büyük önem taşıyor. Üçüncü olarak, farklı özellikler taşıdığını iddia eden uygulamaların indirilmemesi.

Örneğin, Facebook, Hotmail hackleme uygulamaları tamamen sahte uygulamalar. Ayrıca ücretsiz uygulama, dizi-film indirme uygulamaları, 'oltalama' dediğimiz yöntem için kullanılıyorlar. Dahası, girdiğiniz sitelerde 'Flash Player yükle' veya belli bir program olmadan çalışmıyor gibi ibarelere dikkat edilmesi gerekiyor. Son tavsiyem, aynı şifrenin birden fazla site veya uygulama için kullanılmaması. Böyle bir durumda bir site hacklendiğinde, aynı şifreyi kullandığınız diğer hizmetler de risk altına giriyor.

Türkiye’deki erişim yasaklarıyla kullanımı artan VPN ne kadar güvenli?

VPN (sanal özel ağlar) kesinlikle kullanılmamalı çünkü çok büyük bir risk getiriyor. VPN ile bağlantı kurduğunuz zaman, bir başka bilgisayar üzerinden yasaklı sitelere girmiş oluyorsunuz. Bu işlemde alan adı ve sunucuları koruyan SSL sertifikalarının takas edildiği ortaya çıktı. Bu durum, bilgisayarınızın tamamen bağlandığınız bilgisayara açılması ve tüm şifrelerinizin karşı tarafa geçmesi anlamına geliyor. Özellikle bankacılık sektörünü tehdit eden bu duruma karşı bazı bankalar yurt dışından gelen IP’leri anında bloke ederek önlem almaya çalışıyor ama bu önlemlerin geliştirilmesi gerekiyor."

‘Siber güvenlik uzmanlarını memur gibi çalıştıramazsınız’

17 Aralık operasyonuyla Türkiye’nin siber güvenlik altyapısında aksamalar meydana geldiğini ifade eden Baliç, yeni yetiştirilen siber uzmanların eğitimleri ve çalışma sistemlerinde çok dikkat edilmesi gereken noktalar olduğunu ifade etti:

"Türkiye’nin siber güvenlik için belirlediği bir yol var ancak bu yolda ilerlediğini söyleyemeyiz. Basit bir örnek verirsem, İstanbul Siber Suçlar Şube Müdürlüğü’nün oldukça sık takip ettiğim bir web sitesi var. Henüz birkaç gün önce girip baktığımda, Eylül 2013’ten bu yana bir operasyon olmadığını gördüm. Ancak bu tarihin öncesinde ayda en az bir kez yapılan operasyonlar hakkında güncelleme ekleniyordu. 17 Aralık operasyonundan sonra birçok polisin yerinin değişmesi nedeniyle, yeni gelen personel bilinçsiz. Dahası, sadece Emniyet’te değil, diğer alanlarda da personellerin tamamen memuriyet zihniyetiyle çalıştırılmak istenmesi yanlış bir düşünce. Memur düzeniyle çalışan bir kişiden dünya standartlarında bir iş beklentisi yanlış olur. Türkiye’nin bu yaklaşımı çok büyük bir kayıp çünkü dünyanın hiçbir yerinde siber meseleleri memur çalışma düzeniyle yapılamaz.

Bir diğer hata, bu işleri yapması için üniversite öğrencilerine, hatta doktora seviyesindeki insanlara yönelmek. Yıllarca eğitim alan bu insanlar günde belli bir süre çalışmak için kendisini yetiştiriyor. Ancak bir siber güvenlik araştırmacısına bir gün yetmiyor. Türkiye’nin izlediği yol doğru olsa da aşamalarda giderilmesi gereken hatalar var. Her türlü kurumda çalışacak personeller yetiştiriliyor ve eğitimleri için iyi bir bütçe ayrıldı. Türkiye’nin 10 yıl içinde çok iyi bir yerde olacağına inanıyorum."

Kaynak: Al Jazeera

Özgür Çetin

Bilim-Teknoloji yazarı Devamını oku

Müfit Yılmaz Gökmen

Bilim-Teknoloji yazarı Devamını oku

Yorumlar

Bu sitede yer alan içerikler sadece genel bilgilendirme amacı ile sunulmuştur. Yorumlarınızı kendi özgür iradeniz ile yayınlanmakta olup; bununla ilgili her türlü dolaylı ve doğrudan sorumluluğu tek başınıza üstlenmektesiniz. Böylelikle, Topluluk Kuralları ve Kullanım Koşulları'na uygun olarak, yorumlarınızı kullanmak, yeniden kullanmak, silmek veya yayınlamak üzere tarafımıza geri alınamaz, herhangi bir kısıtlamaya tabi olmayan (format, platform, süre sınırlaması da dahil, ancak bunlarla sınırlı olmamak kaydıyla) ve dünya genelinde geçerli olan ücretsiz bir lisans hakkı vermektesiniz.
;