Bugünkü yazımda bugüne kadar üzerinde durulmayan bir konuya dikkat çekerek, bu konudaki farkındalığı biraz olsun arttırmak istiyorum. Uzun zaman emek verilmiş çok güzel bir projeyi bitirmiş olabilirsin, veya şirketin ve senin yaptığın çalışmaların sonucunu müşterilerinle paylaşmak isteyebilirsin ve bu anı bir fotoğrafla veya video ile ölümsüzleştirmek isteyebilirsin. Hatta Linkedin vb. sosyal medya mecralarında bu başarını bir video çekerek insanlarla paylaşmak ve reklam yapmakta isteyebilirsin. Bu şekilde baktığımızda gerçekten çok masum, olağan bir şey gibi duruyor, eğer dikkatli olmazsan bu masumhane davranışın beraberinde senin ve şirketin için güvenlik risklerini ve tehlikelerini beraberinde getirecek !!!
Hızlı yaşam döngüsü, teknolojik gelişim, iletişimin dijitalleşmesi, sosyal medya uygulamalarının ortaya çıkması ve çeşitlenmesi, insan yaşamındaki bazı değişiklikleri de beraberinde getirmiştir. Yaşadığımız teknoloji çağında, artık anlık durum bildirme, resim, video gibi yazılı ve görsel içerik paylaşma, kişiyle değil, paylaştığı içerikle etkileşime girme dijitalleşen toplumun en belirgin göstergesi olmuştur. Teknoloji hayatımızın her alanında ve sürekli olarak bizimle birlikte konumlanmaya başlamıştır. Teknolojiyi geliştiren de, uygulayan da, yaşam tarzına uygun hale getiren de, yaşam tarzlarını ona uyumlu hale getiren de biz bireyleriz. Şu an içinde bulunduğumuz teknoloji döneminde, teknolojinin içinde doğmuş ve doğacak olan kuşakları da düşündüğümüzde teknoloji hayatımızın ayrılmaz bir parçası olarak önemini kat kat artıracağını düşünüyorum. İletişim alanındaki katkıları sayesinde dünyaya oturduğumuz yerden sesimizi duyurmamız, kitlelerin harekete geçmesi, internetin bulunduğu her an ve yerde dünyaya bağlanmamız, o andaki durumumuzu paylaşmamız, paylaşılanları takip etmemiz, istediğimiz bilgiye kolayca erişmemiz artık çok kolaylaşmıştır. Bu olumlu yönde hayatımıza giren teknoloji, dikkatli olunmadığı taktirde güvenlik risklerini ve tehditlerini de beraberinde getirmektedir.
Birileri resim ve video paylaşımlarınıza sadece bakar, geçer; ama kötü niyetli kişiler bakmakla kalmaz, görür, analiz eder ve bu bilgileri kullanır.
Özden ERÇİN
Eğer telefonunun kamerası (GPS özelliği olmayan telefon günümüzde hemen hemen hiç kalmadı) konum bilgisi özelliğine sahipse, paylaştığın şey sadece fotoğrafın veya kaydettiğin video olmayabilir. EXIF metadata özelliği sayesinde internette coğrafi konum etiketiyle bir fotoğraf ya da video paylaştığınız zaman, kötü niyetli insanların fotoğrafı paylaşan kişinin yerini bulmasını sağlıyor. Tabii bazı kişiler daha çok senin nerede olmadığınla ilgileniyor. Amerika’da bu bilgi sayesinde; 3 hırsız, evde kimse yokken 18 evi soyduğu haberini okumuştum. Peki bu hırsızlar evlerin boş olduğunu nereden biliyorlardı? İnternetten ve sosyal medya aracılığıyla evde yaşayanların nerede olduğunu takip ettiler. Bunun sonucunda değeri 100.000 doları geçen eşya çaldılar.
Diğer bir dikkat edilmesi gereken konu ise; Askeri personellerin bir operasyon sırasında Akıllı telefonlar aracılığı ile paylaşıtığı her fotoğraf ve video askeri birliklerin konum, nitelik ve intikal güzergâhlarının yanı sıra askeri personelin kimliğinin rahatlıkla tespit edilebilmesini sağlamaktadır ve istihbari bilgi niteliğindedir. (Fotoğraf meta-data’sı olan EXIF bilgilerinden konum bilgisi çıkartılabiliyor, bizzat kendim denedim ve sonuçları inanılmaz.)
Diğer bir konu; “Sosyal medyada paylaşılan evcil hayvan isimleri, aile fertlerinin isimleri, en yakın arkadaşın isimleri, tutulan takımın ismini” gibi kişisel bilgileri yayınlamak, özellikle internet hesaplarınızda yer alan gizli sorularınızın cevaplarıyla aynıysa, şifrelerinizin kırılarak hesaplarınızın ele geçirilmesi çok kolay. Bu tür paylaşımları yaparken dikkatli olmanız gerekiyor, şifrelerinizi oluştururken paylaşımda bulunduğunuz bilgilerinizi gizli şifre olarak yazmak ileride sizi sıkıntıya sokabilir. (cupp.py vb. programlarla kişisel bilgilere özel muhtemel şifre kombinasyonları yaratılabiliyor. Basit bir python kodu ile harikalar yaratılabiliyor.)
Ve son olarak bir örnek vererek bu konuyu kapatmak istiyorum. Uzun zamandır sosyal medya ortamlarında (Linkedin vb.) kritik altyapıların önünde çektirilen resim ve videolar görüyorum. Bu tür masum bir şekilde yapılan paylaşımlar yeni stuxnet ataklarına ve ulusal anlamda zafiyetlere davetiye çıkarmaktadır. Lütfen kritik bir alt yapıyı veya prosesi yönettiğinizin farkında olun, uluslarası siber savaşlarda karşı tarafın başarı sağlamasına katkıda bulunmayın veya bilmeyerek de olsa karşı tarafın istihbari ajanı haline gelmeyin. Paylaştığınız fotoğraf veya video’daki bir sisteme ait bileşenlerdeki marka model çıkartımı (xxx firmasının yyy model SCADA’sı, PLC’si vb.) sayesinde amaca yönelik saldırı ve zararlı yazılımın kodlanmasında büyük öneme sahiptir. Veya sosyal medya’da paylaşmış olduğunuz resim veya video içerisinde unutmamak için bilgisayarınızın ekranına yapıştırmış olduğunuz bir sticker, masanızın üstündeki bir not defterindeki şifre sayesinde hem siz, hemde kurumunuz zarar görebilir.
Hadi bu anlattıklarımızı bir yaşanmış örnekle birazda somutlaştıralım. Şimdi aşağıda paylaştığım resme bakmanızı rica ediyorum, ne kadar normal ve masum bir resim değil mi ?
Şimdi biraz daha yakından bakalım ve resimdeki detaylara hakim olalım. Aşağıdaki resimde ne görüyoruz ? (Kullanıcı adı ve bir şifre) BINGO !!! Tam’da bir saldırganın aradığı şey, tadından yenmez 🙂 İşte bu örnekte olduğu gibi saldırganlar sadece bakmayıp, detayları görüyor ve sonrasında; Havaii’ye bir füzenin yaklaştığı uyarısı, panik, kaos ve prestij kaybı… Merak edenler bu paylaştığım linkten ilgili haberi okuyabilir.
Bu yazımda farkındalığınızın artması amacıyla bu konudaki güvenlik risklerine dikkat çekerek sizleri uyarmak istedim. Peki bu konuda neler yapabiliriz birazda bu konu üzerinde durarak yazımızı tamamlayalım.
- İnternet ortamında hassas içerikli bir resim ve video paylaşırken EXIF meta verilerini manüpüle eden programlar sayesinde anonim hale getirebilirsiniz. (Her fotoğraf için bunu mu yapacam, kim uğraşacak şimdi bununla dediğinizi duyar gibiyim, söylemesi benden uygulaması sizden)
- Kurumsal ortamda başarılarınızı paylaşırken veya kritik ve hassas bilgi içeren altyapılar yakınında resim ve videolarınızı çekerken, sosyal medya’da paylaşmadan önce mutlaka bir kez daha gözden geçirin. Hassas bilgi içerebilecek ve bu resimlerden anlam çıkartılabilecek kısımlar varsa resim ve videolarınız üzerinde bulanıklaştırma efekti uygulayarak veya arka planı bulanıklaştırarak sosyal medya ortamlarında paylaşmaya özen gösterin.
- Kritik altyapıların operasyonunda görev yapan operatörlerimizi ve mühendilerimizi bu konunun önemi hakkında bilgilendirmemiz, bilinçlendirmemiz ve gerekli eğitimlerin verilmesini sağlamamız gerekmektedir. İnsan faktörü siber güvenlikte en zayıf halkanın bir parçasıdır.
Umarım bu yazımla birlikte bir farkındalık oluşmuştur ve bu zamana kadar yapmış olduğunuz sosyal medya paylaşımlarınızı tekrar gözden geçirme fırsatı bulmuşsunuzdur. Bundan sonraki sosyal medya paylaşımlarınızda daha dikkatli olmanız ve güvende kalmanız dileğimle.
Dikkatli bir şekilde izlediğinizde, dinlediğinizde ve hissettiğinizde etrafınızda bulunan güvenlik açıklarının ışıklı neon tabela’daki gibi parladığını göreceksiniz.
Özden ERÇİN