Androidler ve iOS’lar tehdit altında
Her yıl artarak devam eden siber saldırılar, 2014 yılında bu kez sadece Android’i değil, güvenilirliğiyle bilinen iOS’u da hedef aldı. Zira geçen yılın Ağustos ayında meydana gelen iCloud skandalı da bunun en çarpıcı örneği oldu
DERYA COŞKUN
Devlerin ciddi güvenlik açıklarıyla boğuştuğu 2014 yılında kuşkusuz herkesi en çok şaşırtan Amerikalı teknoloji devi Apple oldu. iCloud’ın hack’lenmesi ve bunun neticesinde Hollywood yıldızlarının fotoğrafl arının internet ortamında yayılması tüm dünyayı ayağa kaldırırken, Apple’ın güvenlik tacını da elinden aldı.
Apple her ne kadar güvenlik açıklarıyla boğuşmuş olsa da, iOS cihazlarındaki yeni güncellemelerle kullanıcılarının güvenini yeniden kazanacağa benziyor. Verilerin gizliliğini koruma altına alan şirket, iOS cihazlardaki veri toplamak için kullanılan arka kapıyı kapatarak, verilere dışarıdan ulaşımı tamamen engelledi. Bu uygulama son kullanıcı tarafında gizlilik konusunda büyük bir gelişme olarak kabul edilirken, bütün bunlara rağmen iOS cihazlarda güvenlik açıklarıyla ilgili önlemler anlınmasının gerekliliği de ortaya çıkmış oldu.
Kısa süre öncesine kadar şirketin aldığı güvenlik önlemleriyle huzurlu günler geçiren Apple kullanıcıları, 2014’ün ortalarında iCloud’ta meydana gelen açıkla sarsıldı. Bu aşamadan sonra kullanıcıların da bireysel olarak cihazlarının güvenilirliğini sağlaması kaçınılmaz oldu. Peki, iOS işletim sistemi yüklü cihazlarda güvenlik açıklarının önüne geçmek için neler yapılmalı?
iCloud servisinden tamamen yararlanmaktan vazgeçilebilir
Öncelikle iOS’ta alınan son güvenlik önleminden sonra cihazlara SMS ya da internet adresleri dışında kolay kolay bir hacker saldırısı olmayacağını söyleyerek başlayalım ancak bu durum, iCloud skandalında da tanık olunduğu gibi "asla" bir saldırı yaşanmayacağı anlamına gelmiyor.
►iCloud açıklarından tamamen kurtulmanın öncelikli yolu bu servisten yararlanmamaktan geçiyor. Yedekleme özelliğini kullanmayan kişiler, böylece verilerini sadece cihazında tutarak olası bir hack’lenmenin de önüne geçiyor. iCloud’u her şeye rağmen kullanmak isteyen cihaz sahiplerine de ikinci bir yöntem olarak çift doğrulamalı oturum açma özelliği öneriliyor. Oturum açma aşamasında mevcut şifrenin dışında kullanıcıların bir doğrulama parolası kullanmasının muhtemel açıkların önüne geçeceği aşikar görünüyor.
►iOS’ta bulunan bir güvenlik açığının yankıları da hala sürüyor. Özellikle banka uygulamalarıyla kişisel bilgiler ve şifreler ele geçirilirken sahte yazılımlarla değiştirilen banka uygulamalarının bu nedenle mobil olarak kullanılmaması iOS kullanıcılarında öncelikli tercih olmalı. iOS’un olası açıklarına karşı, AppStore dışında uygulama indirilmemesi öneriliyor. Zira, yazılımda kısa süre önce ortaya çıkan açık ile özellikle uygulamaların yerini alan sahte uygulamalara kapı aralandığı söylentiler arasında.
►Güvenlik açıkları hâlâ çözülemedi
Bunların yanında, güvenlik açıklarının Android boyutu da mevcut. Son dönemin yükselen işletim sistemi Android’in iOS’un tahtını sallamaya başladığı kuşkusuz. Ancak hala Android’teki güvenlik açıklarının tam anlamıyla çözüldüğü söylenemez. Zira 2014 yılında meydana gelen irili ufaklı tehditler bu durumu destekler nitelikte. Geçen yılın Ekim ayında Android cihazların, SOP adı verilen bir açığa maruz kalması sonucu cihazların yüzde 75’inin olası bir tehlikeyle karşı karşıya olması dünya gündeminde adeta bomba etkisi yaratmıştı. Bu açığın kapatılmasından sonraki dönemde de Android birçok güvenlik sorunuyla karşı karşıya kaldı.
►Bu güvenlik açıklarının yaratacağı tehlikeden korunmak amacıyla Android kullanıcılarının öncelikle yapması gerekenlerin başında güncelleme geliyor. Özellikle Android’in son güncellemesi Lollipop 5.0 bu açıklara karşı yazılımı koruyacak niteliklere sahip.
►Android cihaz kullanan kişilerin, işletim sisteminin aralık olan arka kapısı nedeniyle mümkün olduğunca kişisel verilerini barındıran uygulamalardan uzak durmaları gerekiyor.
►Banka uygulamaları, sosyal medya uygulamaları, kredi kartı, özel şifreler ve kişisel bilgilerin yer aldığı Android uygulamalarında 2015 yılında da güvenlik açıkları ne yazık ki olası görünüyor.
►Antivirüs yazılım geliştiricisi Avast’ın araştırmalarına göre, Android cihazlar fabrika ayarlarına geri dönse bile ne yazık ki kişisel bilgiler cihazdan silinmiyor. Dolayısıyla cihazın satılması durumunda doğacak büyük tehlikelere de kapı açılmış oluyor. Bu yıl olası Android açıklarına karşı, bazı firmaların geliştirdiği güvenlik programlarının, bu sorunu büyük ölçüde çözebileceği öngörülüyor.
BYOD ve bulut uygulamalarına dikkat!
Peki şirketler 2014 yılında uğradıkları siber saldırıların ardından 2015 yılında nelerle karşılaşabilir ve ne gibi önlemler alabilirler?
►Bu konuda en büyük tehlikelerden birinin buluttan geldiği söylenebilir. Bulut bilişimin popülaritesi artmasına rağmen, şirketlerin politikalarını belirlerken bu konudaki endişelerinin aslında hiç de haksız yere olmadığını söylemek gerekiyor. Yapılan araştırmalarda, hâlâ şirketlerin yaklaşık yüzde 7’si duyduğu endişeden kaynaklı olarak herhangi bir bulut bilişim servisiyle çalışmak istemiyor.
►Şirketlerin verilerini bulutta saklarken atmaları gereken en önemli adım bulut tabanlı bir güvenlik yazılımı olabilir. Zira bulut tabanlı güvenlik yazılımları ortak bir havuzdan veri bilgileri paylaştıkları için tehlikeleri henüz bilgisayarlara gelmeden tanımlayıp çözebiliyor.
►Şirketlerin kablosuz ağ yapılandırması sırasında da oldukça dikkatli olmaları gerekiyor. Kablosuz ağ yapılandırmasında kriptolu erişim kullanılmamas ve kablosuz ağların güvenlik duvarı aracılığıyla erişim denetimine tabi tutulmaması gibi etkenler, siber saldırıların daha kolay gerçekleşmesine yol açıyor. Bu yüzden kullanıcıların sistemlerinde kurumda kullanılmamasına rağmen kablosuz ağ kartı bulunması engellenirse ve istemci kurumda iken ağ kartının devre dışı olması sağlanırsa bu sorun da büyük ölçüde çözülebiliyor.
►BYOD (kendi cihazını kendin getir) uygulamaları henüz Türkiye’de yeterli seviyeye ulaşmadı fakat BYOD politikası geliştiren şirketlerin 2015 yılında da birtakım tehlikelerle karşı kalması muhtemel. BYOD uygulamasını benimseyen şirketler bir güvenlik politikası oluşturmalı ve uygulamalar konusunda kısıtlamalara gidilmeli. Bu önlemlerin olası güvenlik açıklarının büyük ölçüde önüne geçeceği tahmin ediliyor.
►BYOD uygulamasını henüz benimsemeyen şirketlerin çalışanlarına verdiği mobil cihazlar da tehlikeyi farklı bir noktaya taşıyor. Çünkü çalışanın cihazını kaybetmesi veya çaldırması durumunda ortaya çıkabilecek tehlikelerin boyutu tahmin edilir türden değil. Piyasadaki özel güvenlik çözümleriyle bu tehdidin de bir nebze önüne geçilebilir.
2014'te meydana gelen siber saldırılar dev şirketlerin güvenlik açıklarının boyutunu ortaya koydu
>> iCloud’da meydana gelen açıkta ünlü Hollywood yıldızlarının hesapları hack’lendi ve fotoğrafları internette paylaşıldı. Hacker’lar bulunamadı ama çok güvenilir olduğu söylenen Apple cihazlarının verdiği fire acı bir şekilde ortaya çıkmış oldu.
>> eBay’da Mayıs ayında ortaya çıkan açık, kullanıcıları adeta şoke etti. Kayıtlı isim, şifre ve kişisel bilgilerin çalındığı eBay’da hacker’ların kredi kartı bilgilerine ulaşamaması büyük bir şans olarak değerlendirildi.
>> Geçen yıl Snapchat’te 4 milyon kullanıcının gizli verilerine ulaşılması binlerce fotoğrafın ve videonun internette paylaşılmasına yol açtı.
>> Nisan ayında meydana gelen Internet Explorer açığı, birçok kullanıcıyı etkiledi çünkü XP için desteği durduran sunucular diğer Windows sürümlerinde de bu açığı yamamayı unuttular. Güvenlik açığının boyutunu hesaplamak pek mümkün olmadı ancak açık, herkesin bilgisayarının herhangi birine açılmasını oldukça kolaylaştırdı.
>> Sony’nin film stüdyosu Sony Pictures hack’lendiğinde Sony’nin gelecekte gerçekleştireceği projelerin detaylı yazışmaları, bütçe planları ve vizyona girmemiş filmlerin DVD kopyaları da maalesef herkese duyurulmuş oldu. Hatta Kuzey Kore’yi konu alan “The Interview” filminin tüm detayları ortaya çıkınca, The Interview’ın gösteriminin sinema salonlarında yapılmayacağı duyuruldu. >> Bir skandal da Dropbox’da meydana geldi. 13 Ekim’de 7 milyon Dropbox hesabı hacklendi.
>> İnternet trafiğinin önemli bir kısmının güvenliğini sağlayan kriptografik yazılım kütüphanesi OpenSSL’de çok ciddi bir güvenlik açığı tespit edildi.”Heartbleed Bug” adı verilen bu açık birçok popüler internet sitesini etkiledi ve tarihe gelmiş geçmiş en büyük güvenlik açığı olarak kaydedildi.