Alanya Alaaddin Keykubat Üniversitesi (ALKÜ) Rafet Kayış Mühendislik Fakültesi Bilgisayar Mühendisliği Öğretim Üyesi Doç. Dr. Alper Kürşat Uysal, siber güvenlikle ilgili ikazlarda bulunarak “Kişiler yahut kurumlar iki faktörlü kimlik doğrulama kullanarak siber güvenliklerini en üst düzeyde tutabilirler” dedi.
Alanya Alaaddin Keykubat Üniversitesi (ALKÜ) Rafet Kayış Mühendislik Fakültesi Bilgisayar Mühendisliği Kısım Lideri Doç. Dr. Alper Kürşat Uysal kişi ve kurumlara siber güvenlik ile ilgili yapılması gerekenler hakkında kıymetli ikazlarda bulundu. Siber güvenliğin; kritik sistemlerin, dataların ve bilgisayar ağının dijital akınlara karşı korunmasını amaçlayan faaliyetlerinin bütünü olduğunu belirten Doç. Dr. Uysal; dolandırıcılıkta en çok kullanılan oltalama saldırısı hakkında bilgi verdi. Uysal, “Kişisel bilgilerin korunmasına yönelik kolay bir örnek vermek gerekirse kişinin bankasından yahut diğer bir resmî siteden gelmiş üzere görünen bir e-posta ile düzmece bir web sitesine yönlendirilip şifre girmesi isteniliyor. Genelde yönlendirilen site, ilgili gerçek resmî siteye çok misal oluyor. Sonuç olarak kişinin kullanıcı ismi ve şifresi çalınıyor. Buna oltalama saldırısı (phishing attack) denir. Bunun yanında siber taarruzlarla da kurumlar gaye alınıyor. 2007 yılında Estonya’ya yönelik siber ataklar olmuştur. Bu hücum sonucunda kamu kurumları, bankalar, medya siteleri günlerce çalışamaz hale geldi. Bu tip hücumlarda, farklı coğrafik pozisyonda bulunan çok sayıda bilgisayar üzerinden ilgili sitelere birebir anda girilmeye çalışılır ve kullanıcı kapasitesi aşıldığı için sistemler olağan kullanıcılar tarafından erişilemez hale gelir” dedi.
İki faktörlü kimlik doğrulama itimada alıyor
Kişi ve kurumların sahtecilik, dolandırıcılık ve olumsuz durumlar ortaya çıkmaması için yapması gereken tedbirler hakkında değerli bilgiler veren Doç. Dr. Uysal, “Kişilerin veya kuruluşların yapması gereken birinci tedbir, şayet sistemler elveriyorsa iki faktörlü kimlik doğrulama kullanmaktır. İki faktörlü doğrulama, bir kullanıcının hesabına yahut sistemine giriş yaparken kimliğini doğrulamak için iki farklı güvenlik katmanı kullanılmasıdır. Bu yol, yalnızca şifreyle yetinmeyip ikinci bir doğrulama adımı ekleyerek güvenliği artırır. Mevcut durumda, e-devlet üzerinden de iki faktörlü kimlik doğrulama yapılabilmektedir. Lakin bu seçenek bireylerin tercihine bırakılmış durumdadır. Standart yaklaşımla bağlanan kullanıcılar yalnızca T.C. kimlik numarası, şifre ve ekranda anlık olarak karşılarına çıkan doğruluma kodunu girmektedir. İki faktörlü doğrulamayı etkin hale getiren kullanıcılar ise ikinci basamak olarak cep telefonuna SMS olarak gelen kodu sisteme girmek zorundadır. İki faktörlü kimlik doğrulama, dünyanın farklı yerlerinde de kullanılmaktadır” diye konuştu.
Dolandırıcıların kullandıkları sistemlere dikkat
Dolandırıcıların siber sızma teşebbüsünü nasıl yaptığını ve bunlara karşılık olarak gerekli önlemlerin ne olduğunu da ele alan Doç. Dr. Uysal, “Dolandırıcılar; siber sızma teşebbüslerini çoklukla insan zaaflarını, teknik açıkları yahut ikisini birden kullanarak gerçekleştirirler. İnsan odaklı yollara en kolay örnek düzmece e-posta/SMS ile kişinin kullanıcı bilgilerinin ele geçirilmesidir. Teknik açıkların kullanılması noktasında ise kişinin bilgisayarına ziyanlı yazılımların yüklenmesi bir örnek olarak verilebilir. Truva atı (trojan), tuş kaydedici program (keylogger) ile şifreler çalınabilir. Bu tip programlar art planda çalışır ve kullanıcılar bu programların çalıştığının farkında olmaz. Örneğin, tuş kaydedici program kişinin klavye kullanırken bastığı tuşları takip edebilir” dedi.
Gereksiz yetkilendirmeler güvenlik açığı oluşturuyor
Doç. Dr. Uysal, bazı durumlarda da siber ortamlarda güvenlik açıklarının olduğunu belirti. Hem insan zaafı hem de teknik açıkların kullanıldığı durumları anlatan Doç. Dr. Uysal, “Bu tip durumların önüne geçmek için çift etaplı doğrulamanın yanı sıra kullanıcılara gereğinden fazla yetki verilmemesi üzere tedbirler de kıymetlidir. Örneğin, bir öğrenci bilgi sistemini kullanan kullanıcıların gereksiz yere yönetici yetkilerine sahip olması sistemde açıklar ortaya çıkarabilir. Rol tanımlamaları muhtaçlıklar düzeyinde gerçekleştirilmelidir. Bilgilerin nasıl çalındığının yanı sıra toplu olarak çalışan bilgilerin karanlık ağ (dark web) denilen ortamlarda satışa çıkabilmesi kelam mevzusudur. Örneğin, kimi vakit Facebook vb. birçok uygulamadan sızan dataların bu tip platformlarda satışa çıktığı istikametinde haberlere rastlamak mümkündür. Birtakım kurumsal firmalar, karanlık ağ (dark web) ortamlarını tarayarak bir e-posta adresinin bu ortamlarda bulunup bulunmadığını araştırabilmektedir. Kullanıcıların bu tip durumlardan kaçınması mümkün olmayabilir zira sızıntının kaynağı öteki uygulamalardır. Lakin her yerde tıpkı şifrelerin kullanılması üzere yaklaşımlar bu tip sızmalara karşı kullanıcıları daha muhafazasız bırakır” dedi.
Anlık Sivas Haber
