Facebook, MySpace, Twitter vb. sosyal ağlara son yıllarda milyonlarca yeni kullanıcı katılmıştır. Bu ve benzeri platformlar kişisel iletişim, çevre edinme ve iş amaçlı kullanılmaktadır. Bunları sağlamak için kullanıcılara kendi profillerini oluşturma ve bu yolla diğer kullanıcılarla alaka kurma imkanı sunulmaktadır. Kişi, ağında yer alan diğer profillerle paylaşım, mesajlaşma ve uygulamalar yoluyla etkileşim sağlamaktadır.

Sosyal ağların bu kadar popüler hale gelmesiyle birlikte bu alana yönelik tehditler de hızla artmıştır. Bu yazıda sosyal ağlarda karşılaşılması muhtemel tehditler ve çözüm önerileri anlatılmaktadır.

• Taklit Hesap
  
  En kolay uygulanabilecek yöntemlerden biridir. Genellikle hedef olarak seçilen kişinin ya da kurum çalışanlarının tuzağa düşürülebilmeleri için kullanılır. Hedefi yakından tanıyan birinin hesabı taklit edilerek hedef kullanıcıya yaklaşılmaktadır. Taklit hesap, seçilen kişinin okul arkadaşı, tanıdığı ya da aynı şirkette çalıştığı bir insan olabilir. Bu konuda SNOsoft’un yaptığı çalışma gerçekten ders verir nitelikte. SNOsoft, müşterisi olan şirketin bir personelini taklit ederek başladığı çalışmada sonuç olarak şirketin tüm IT altyapısını ele geçirmiştir. Olayı anlatan Facebook from the hackers perspective isimli yazıyı incelemenizi tavsiye ederim.
  
  
• Spam ya da Bot Enfeksiyonları
  
  Sosyal ağlar paylaşım-merkezli platformlardır. Dolayısıyla kullanıcıların denetimsiz biçimde içerik girmesi durumu söz konusudur. Bu özellikten yararlanan saldırganlar sosyal ağlarda çalışan ve spam ileti ekleyen botlar geliştirmişlerdir. Bu iletiler kimi zaman reklam amaçlı sitelere, kimi zaman da kötücül yazılım bulaştırabilen sitelere yönlendirmektedir.
  
  
• Sosyal Ağ Yazılımları
  
  Sosyal ağlar İnternet tabanlı yazılımlardır. Çok sayıda sosyal ağa üye olan kullanıcılar, oturum açma, güncellemeleri alma, yeni ileti girme işlemlerini bilgisayarlarına kurdukları sosyal ağ yazılımlarına bırakmışlardır. Sosyal ağ etkileşimini masaüstü yazılımları ya da tarayıcı eklentileri yoluyla gerçekleştiren kullanıcılar hackerların açık hedefi haline gelebilmektedir. OpenSocial bunlar arasında en büyük risk taşıyan yazılım olduğu söylenmektedir.
  
  
• Mesleki ve Kişisel Dünya Arasında Geçişler
  
  Sosyal ağların kimi zaman insan psikolojisini de tehdit ettiği bir gerçek. Facebook vb. sosyal ağlar arkadaş ve okul çevresini içerirken; LinkedIn ve Xing gibi iş sosyal ağları ise çoğunlukla mesleki çevreyi barındırmaktadır. Pek istenen bir durum olmasa da kimi zaman bu ikisi arasında geçişler yaşandığı bilinektedir. Facebook’ta paylaşılan bir fotoğraf bir şekilde iş sosyal ağlarında paylaşılabilir bu da ciddi problemlere neden olabilir. Bu durum 3. parti yazılımlar ya da sosyal ağ üzerinde yer alan eklentiler nedeniyle de gerçekleşebilir.
  
  
• XSS Atakları
  
  XSS açığı girdilerin düzgün ele alınmaması nedeniyle ortaya çıkmaktadır. Sosyal ağlar kendi alt yapılarında bu açığı engellemiş olabilir fakat sisteme eklenebilen 3. parti bir yazılımın(Facebook uygulamaları gibi) bu açığı barındırabileceği unutulmamalıdır. O nedenle 3. Parti yazılımları işaret eden bağlantıların XSS riskini barındırabileceğini akılda bulundurmak gerekir.
  
  
• Kimlik Hırsızlığı
  
  Sosyal ağ profillerinden kişinin adı-soyadı ve doğum yılı bilgisine ulaşmak genellikle zahmetsiz bir iştir. Kimi hackerlar bu ve benzeri kombinasyonları kullanarak şifre tahmini yapmaktadır. Bu yolla kaybedilecek bir e-posta hesabıyla tüm sosyal ağ kimliklerinin ele geçirilebileceği ihtimali de unutulmamalıdır.
  
  
• Kurumsal Casusluk
  
  İlk maddede anlatılan taklit hesaba benzer bir durumdur. Hedef olarak seçilen şirketten bir çalışanın profiline ulaşılarak kişiye risk taşıyan bir ileti gönderilebilir. Örneğin insan kaynakları biriminden gönderildiği söylenen ileti kullanıcıyı kimlik avlama(phishing) sitesine yönlendirebilir. Eğer çalışan bu tehditin farkına varamazsa hesabı kötü niyetli kişilerin eline geçebilir. Bu tarz bir olay hesabı çalınan kişinin şirketteki konumuna bağlı olarak şirketin tahmin edilemez boyutlarda zarara uğramasına neden olabilir.
  
  
• Elektronik Posta Yoluyla Kimlik Avlama
  
  Klasik hesap ele geçirme yöntemlerinden birisidir. Kişiye üyesi olduğu sosyal ağdan kimlik doğrulaması gerektiği yönünde bir yem e-posta gönderilir. Bağlantıya tıklayan kişi ilgili sosyal ağın birebir kopyası olan siteye yönlendirilerek giriş yapması sağlanır. Sonuç olarak kullanıcı hesabı kötü niyetli kişilerin eline geçer.
  
  
• Sosyal Ağ Tabanlı Kimlik Doğrulama Yoluyla Kimlik Avlama
  
  Artık çoğu İnternet sitesi kendine özel üyelik yerine Facebook ile giriş yapma vb. yolları sunmaktadır. Bu alt yapılar sosyal ağlar tarafından sağlanmaktadır. Sıradan bir İnternet sitesinde yer alan “Facebook ile giriş yap” bağlantısının, kişiyi Facebook kullanıcı adı ve şifresini soran bir kimlik avlama sayfasına yönlendirebilmesi ihtimal dahilindedir. Burada kullanıcı adı ve şifresini giren kişi sosyal ağ kimliğini kötü niyetli kişiye kaptırmış olur.
  
  
• URL Kısaltma Servisi Yoluyla Kimlik Avlama ve XSS
  
  Sosyal ağ kullanıcıları genellikle bir adresin uzun versiyonu yerine kısaltma servisleri ile kısaltılmış versiyonlarını paylaşmaktadırlar. Bu yolla bu kısaltılmış adres ardına gizlenebilecek bir kimlik avlama web sitesi ya da XSS açığı uygulaması kurbanın bilgilerini kaybetmesine neden olabilir.
  
  

Ne tür önlemler alınabilir?

Bu yazıdan da anlaşılacağı üzere sosyal ağlarda çok sayıda tehditle karşı karşıya kalabiliriz. Bu tehditleri ortadan kaldırmak için alınabilecek önlemleri aşağıdaki şekilde sıralamak mümkündür.

• Sosyal ağ ve İnternet’in tehlike barındırdığı konusunda bilinç kazanmaktır. Bu bağlamda şirket çalışanlarının eğitilmesi önemli bir ilk adım olabilir.
• Sosyal ağlarda doğum tarihi, aile bireyleri, adres ve telefon bilgileri gibi kişisel bilgiler paylaşılmamalıdır. Mümkünse takma isim kullanılması faydalıdır.
• O an nerede ve kiminle bulunulduğu ile ilgili bilginin paylaşılmamasında fayda vardır. Aksi taktirde hırsızlık vb. kötü durumlarla karşılaşılabilinir.
• Talep eden yakın bir arkadaş bile olsa sosyal ağlar üzerinden kimseye kişisel bilgiler ya da kredi kartı bilgileri verilmemelidir.
• Aynı ağda kayıtlı olduğunuz bir kişiden bağlantı gönderildiğinde bunun spam bir bağlantı olabileceği ihtimali düşünülmelidir.
• Hakkında bilgi sahibi olmadığınız 3. Parti uygulamalar yüklenmemelidir.
• Sosyal ağ tabanlı kimlik doğrulama yapıldığında yönlendirilen sitenin gerçekten ilgili sosyal ağ sitesi olduğundan emin olunmalıdır.
• Paylaşılan bağlantı, bilinmeyen bir kısaltma servisine aitse bu bağlantının hangi adrese yönlendirme yaptığını öğrenmenizde fayda var.

Sonuç olarak

İnsanların sanal mecralardaki tercihleri ne kadar hızlı değişirse değişsin sanal korsanlar buna bir şekilde ayak uydurmaktalar. Önceleri başka alanlarda karşılaşılan tehditler şimdilerde sosyal mühendislik yöntemleriyle birleştirilerek yeni kombine tehditler olarak karşımıza çıkmaktadır. İşin kötü tarafı ise almamız gereken önlemlerin birbirine bağlı olarak uygulanması zorunluluğudur. Bu yazıda anlatılan yöntemleri uygulanıp kişisel bilgi güvenliğine dikkat edilmemesi bu önlemleri de anlamsız kılmaktadır.

Sosyal ağları kullanmanın ne kadar risk barındırdığının farkedilmesi için bu yazıyı hazırladım. Umarım faydalı olmuştur.

Kaynaklar

1. Daniel Siegel, “On the New Threats of Social Engineering Exploiting Social Networks”, 2009, FAKULTÄT FÜR INFORMATIK TECHNISCHE UNIVERSITÄT MÜNCHEN

2. http://www.darkreading.com/security/app-security/showArticle.jhtml?articleID=211201065

Yaşamakta olduğumuz zaman diliminin sağladığı kolaylıkları saymakla bitiremeyiz. Alışveriş, vergi ve fatura ödemeleri, sınav başvurusu gibi bir çok işi Internet aracılığıyla gerçekleştirebilmekteyiz. Hal böyle olunca kişisel ve hassas bilgilerin korunması daha önemli hale gelmiştir. Öncelikle korunması gereken bilgilerin ne olduğunu listelemek gerekir. Bunlar;

• Kimlik bilgileri
• E-devlet giriş bilgileri
• Internet bankacılığı giriş bilgileri
• Kredi kartı bilgileri
• Elektronik posta giriş bilgileri

Bu bilgilerin korunabilmesi için birbirine bağlı çok sayıda önlem almak gerekiyor. Bu önlemlerden birinin atlanması durumunda bile diğer alınan önlemlerin bir anlamı kalmayabilir. Araştırmalarım ve kendi tecrübelerime dayanarak kişisel bilgi güvenliğinin sağlanmasında aşağıdaki önlemleri almanın faydalı olacağını düşünüyorum.

• Kişisel ve hassas bilgilerinizi bilgisayarınıza kaydetmeyin
  
  Virüs ve casus yazılımlar bilgisayarınızda var olan verileri kullanabilirler. Dolayısıyla korunması gereken bilgilerinizi bilgisayar üzerinde tutmayın. Eğer bu bilgilerinizi elektronik bir ortamda tutmanız gerekiyorsa şifreli USB bellek kullanabilirsiniz.
  
  
• Kredi kartı bilgilerinizi alışveriş yaptığınız sistemlere kayıt ettirmeyin
  
  Kimi alışveriş siteleri kolay alışveriş imkanı sağlamak için kullanıcılara kredi kartı bilgilerini sisteme kaydettirmeyi önermektedir. Firmalar ne kadar güvenli olduğunu iddia etse de sisteme birilerinin sızılabilmesi ihtimaline karşı kredi kartı bilgilerinizi asla kaydettirmeyin. Amerika’da çok sayıda bilinen markanın sistemlerinde kayıtlı müşteri kredi kartı bilgilerinin çalındığını unutmayalım.
  
  
• Tahmin edilebilir şifreler kullanmayın
  
  Her ne kadar kullanılan sistemde açık olmasa da basit şifre seçimi nedeniyle mağdur olmanız ihtimali her zaman vardır. Sadece rakamlardan oluşan, içinde adınız, doğum tarihiniz, eşinizin adı vb bilgileriniz geçen şifreler kullanmayınız. Şifrelerinizi yılda bir kaç kez değiştirin.
  
  
• Internet’te her sitede aynı giriş şifresini kullanmayın
  
  Sıkça yapılan hatalardan birisi de her sitede aynı giriş şifresini kullanmaktır. Her site için ayrı bir şifre tanımlamak biraz zahmetli bir iştir. Fakat bunu yapamıyorsanız bile en azından e-posta şifrenizle diğer sitelere üye olduğunuz şifreyi mutlaka ayrı seçin. Aksi taktirde bir foruma üyeliğiniz sonrasında e-posta hesabınıza girilebilir ve kişisel bilgilerinize erişilebilir.
  
  
• Sizden elektronik posta ya da anlık ileti yoluyla bilgilerinizi isteyen kişileri dikkate almayın
  
  Hiç bir banka ya da alışveriş sitesi sizden elektronik yolla bilgilerinizi göndermenizi ya da onaylamanızı istemez. Elektronik postalara aracılığıyla sizden böyle bir bilgi talep ediliyorsa bir phishing vakası ile karşı karşıyasınız demektir. Bu tarz e-postaları sağlayıcınıza ve adli makamlara bildirmeyi unutmayın.
  
  
  Anlık ileti araçlarını(MSN, Gtalk, Skype …) hemen hergün kullanmaktayız. Yaygınlığı e-posta kullanımına yakındır. Hal böyle olunca bilgi hırsızları bu yolla bilgilerinizi çalmak isteyebilir. Yakın bir arkadaşınız dahi olsa sizden para göndermenizi veya kredi kartı bilgilerinizi vermenizi isterse mutlaka arkadaşınıza telefon vb bir yolla ulaşıp bunu teyit ettirin aksi taktirde arkadaşınızın hesabını ele geçirmiş bir bilgi hırsızına kendi bilgilerinizi verebilir ya da paranızdan olabilirsiniz.
  
  
• Yalnızca güvenilir kablosuz bağlantıları kullanın
  
  Artık hemen her kafe vb mekanda kablosuz internete bağlanma hizmeti verilmektedir. Bu ağlar herkese açık olduğu için ağa sızmış bir virüs ya da casus yazılım bilgisayarınıza bulaşabilir. Eğer gerekli değilse bu tarz ağları kullanarak internete bağlanmayın.
  
  
• İşletim sisteminizi ve İnternet tarayıcınızı kısa aralıklarla güncelleyin
  
  Her gün yeni güvenlik açıkları ortaya çıkmaktadır. Bu açıkların kapatılması için işletim sisteminizi üreten firmanın güncellemelerini mutlaka yükleyin. En azından kritik kategorisinde yayınlanan güncellemeleri yükleyin.
  
  
  Internet’e bağlandığınız tarayıcıda bazı güvenlik açıkları meydana gelebilir. Bunlarla ilgili güncellemeleri takip edin ve tarayıcınızın son sürümünü kullanın.
  
  
• Orijinal Yazılım Kullanın
  
  Orijinal olmayan yazılımların içerisinde viral programlar gizlenebilir. Bu riske girmemek için mümkün olduğunca orijinal yazılım kullanmak gerekmektedir. Eğer kullanacağınız yazılımın bedeli bütçenize uygun değilse benzer işlevli ücretsiz yazılımları tercih edin.
  
  
• Anti-virüs ve güvenlik duvarı yazılımı kullanın ve güncellemeleri aksatmayın
  
  Her gün çok sayıda yeni virüs ortaya çıkmaktadır. Anti-virüs üreticileri bu yeni virüs imzalarını veri tabanlarına kaydederler ve kullanıcılara sunarlar. Bu nedenle anti-virüs yazılımınızın güncellemelerini aksatmayın.
  
  
• Hassas bilgilerinizi SSL bağlantısı olan siteler üzerinden girin
  
  SSL(Secure Socket Layer) bağlantısı sayesinde tarayıcı tarafından karşıya iletilen bilgiler şifreli gönderilmektedir. Dolayısıyla ağı ya da gönderilen veriyi dinlemek isteyen 3. kişiler şifreli veri ile karşılaşacaklardır. Bu nedenle önemli işlemler yaptığınız Internet sitelerinde SLL bağlantısının varlığını kontrol ediniz. Site adresi https:// şeklinde başlıyorsa SSL ile bağlantısı etkin demektir.
  
  
• Kısa bir ara bile verseniz bilgisayarınızı kilitli konumda bırakın
  
  Özellikle işyerinde bilgisayar başından kısa süreli kalksanız bile bilgisayarınızı mutlaka kilitli konumda bırakın. Böylece istemediğiniz bir kişinin bilgisayarınızı karıştırıp bilgilerinize ulaşmasını engellemiş olursunuz.
  
  
• Bilgisayarınızı teknik servise verirken dikkatli olun
  
  Eğer bilgisayarınız arıza yapmışsa teknik servise göndermeden önce mutlaka kişisel verilerinizi silin. Hatta mümkünse bilgisayarı boş bir hard disk ile teslim etmeniz faydanıza olacaktır. Bu mümkün değilse kişisel bilgilerinizi özel programlarla Gutmann metodunu kullanarak siliniz.
  
  
• Verilerinizi yedekleyin
  
  Yedekleme, çoğu zaman ihmal edilen bir konudur. Bilgisayarda meydana gelecek bir donanım hatası nedeniyle verilerimizi kaybetmemiz ihtimal dahilindedir. Bunun yanında bazı kötücül yazılımlar da verilerimizi silebilirler. Bunlara önlem olarak kısa süreli aralıklarla verilerinizi yedekleyin.
  
  

Unutmayalım:

%100 güvenli bir sistem yoktur, önlem alınarak risk minimize edilir

Kaynaklar

1.Shon Harris, “How to protect personal data”, 2006, searchsecurity.com

2.“13 ways to protect personal data from online fraud and identity theft”, 2007, online-tech-tips.com