Mahrem verilerinizi buluta taşımayın

Bilişim Zirvesi’nin bulunduğu bu hafta özel sayılarımızı okuyucularımızla buluşturmanın heyecanını yaşıyoruz. Yılın en önemli olaylarını sıraladığımız “en önemli 10 haber” konu başlığı üzerinde düşünürken, yılın en önemli olaylarından birinin iCloud üzerindeki fotoğrafların hacker’ların eline geçmesi olduğunu fark ettik. Birçok konunun ele alınması gerekirken belki de bu konunun üzerinde daha fazla durmak gerektiği için bulut güvenliği ve kişisel mahremiyet hakkında bir makalede karar kıldık.

Kamuoyunun yakından tanıdığı ve birçoğu cinsellik içeren yaklaşık 200 özel fotoğraf Imgur, Reddit ve Tumblr gibi sosyal ağ ve web sitelerinde yer buldu. Sızıntıların Apple’ın bulut hizmeti iCloud üzerinde yaşandığı sanılırken, Apple, iCloud üzerindeki herhangi bir açık yerine doğrudan ünlü hesaplarına saldırıda bulunulduğu açıklamasında bulundu. Konuyla ilgili FBI’ın araştırması sürerken Apple, hiçbir kullanıcısının fotoğraflarının garanti altına alınamayacağını duyurdu.

Aralarında Jennifer Lawrence, Rihanna ve Kirsten Dunst gibi ünlülerin bulunduğu sızıntılarla ilgili ilk dava Amerikalı model Joy Corrigan’dan geldi. Corrigan, Apple’ın kendisine şifresini değiştirmesini tavsiye etmekten başka bir yardımı bulunmadığını açıkladı. Kate Upton ve Victoria Justice’in de yasal sürece girecekleri duyuruldu ancak detayları paylaşılmadı.

Peki, işin yasal süreci bir kenara bırakıldığında dünya çapındaki milyonlarca kullanıcı sahiden bulut hizmetlerine ya da Apple’a nasıl güvenecek? Apple CEO’su Tim Cook, The Wall Street Journal’a verdiği röportajda şirketin, iCloud kullanıcılarının mahremiyet ve güvenliğini artırmak için farklı adımlar atmayı planladıklarını duyurdu. Bundan kısa bir süre sonra Apple iCloud’a tarayıcı üzerinden girildiğinde ve cihazdaki veriler iCloud’a taşındığında kullanıcıları bilgilendirecek sistemi hayata geçirdi. Daha önce sadece iCloud şifresi değiştirildiğinde kullanıcıya bilgilendirme mesajı ulaşıyordu. Apple’ın iOS 8 ile birlikte başlamak üzere kullanıcıların iki adımlı doğrulama kullanması için teşvik edici çalışmalara başlaması bekleniyor.

Bu saldırı bize ne söylüyor?

Saldırıların doğrudan ünlülerin hesaplarına yapıldığı yönünde açıklamalara rağmen birçok uzman saldırının iCloud üzerinden gerçekleşme ihtimali üzerinde duruyor. Apple’ın Find My Phone uygulama programlama arayüzündeki açık nedeniyle sisteme sızıldığından söz edilirken, iBrute adı verilen açık hesaplardaki şifrelerin kırılmasına imkan tanıdığı bilgisi verildi. Hem de bu bilgi sızıntının ortaya çıktığı 31 Ağustos tarihinden bir gün önce ZDnet tarafından kaleme de alındı. Apple bu açığı Eylül ayında kapadı.

iBrute adı verilen açığa saldırmak için birçok e-posta adresi ve şifresinin kombinasyonuna ihtiyaç duyuluyor. Ünlülerin e-posta adreslerine ulaşmanın kolaylığı düşünüldüğünde olası şifrelerle birlikte hesaplara sızılmış olma ihtimali yüksek gibi duruyor. Find My Phone hizmetine yapılan sayısız erişim denemesi sonuçsuz kalsa bile Apple bu denemeleri kullanıcılara bildirmedi ya da hesabı dondurmadı. Böylece hacker’lar için e-posta adresi bilinen ünlülerin hesaplarına sızmak için sadece deneme yapmak kaldı. Bir kez başarılı olunduğunda da iCloud’a bağlanarak tüm iPhone yedeği, fotoğraflar ve çok daha fazla veri saldırganların eline geçti. Bu yöntemin gerçekleşmediğini savunan Apple ise saldırıların “oltalama” saldırılarından kaynaklandığını dile açıkladı.

Apple’ın iCloud hizmetine daha önce de sızılmıştı. 2011 yılında Christina Aguilera, Scarlett Johansson gibi ünlülerin hesaplarına girilerek kişisel verileri ele geçirilmişti. Ünlülerin hesaplarına bir şekilde sızan saldırgan, bu hesaplardaki e-postaların otomatik olarak kendisine yönlendirilmesini sağlayarak ünlülerin tüm cihazlarına sızmayı başarmıştı.

Nasıl güvende oluruz?

Elbette hassas verilerin tutulacağı en iyi yer internet ya da farklı bir ağa bağlı olmayan bir makine. Eğer bu durum mümkün değilse oldukça dikkat etmek gerekiyor. İşletim sistemi ne olursa olsun akıllı telefonların tüm içeriklerini bulutta yedeklemesi önemli bir risk oluşturuyor. Bir şekilde sisteme sızılabilir ya da şifre ve kullanıcı adı kullanılarak hesaplardan giriş yapılabilir. Bu sebeple telefondaki mahrem verilerin saldırganların eline geçmesini istemiyorsak bulutta depolamadan önce sıkı güvenlik önlemleri almalı ya da otomatik yedeklemeyi iptal etmeliyiz.

Dijital yaşamda birçok farklı yerden bağlantı kurarak hesapları ele geçirmek mümkün. Elimizdeki tüm verilerin bir şekilde annemizin kızlık soyadı ya da sıfırıncı gün açıklarına bağlı olduğunu unutmamak gerekiyor. İki aşamalı doğrulamanın bile telefonun çaldırıldığında bir çözüm olmayacağı açıkça görülüyor. Zira Wired’ın yazarları arasında yer alan Mat Honan da 2012 yılında bir saldırgan tarafından hack’lenmişti. Amazon üzerinden kredi kartının son dört rakamına ulaşan saldırgan, bu bilgiyle Honan’ın Gmail hesabına girmişti. Bununla da yetinmeye saldırgan Apple’ın teknik desteğini arayarak kendisinin Honan olduğuna ikna ederek hesabının şifresinin sıfırlanmasını sağlamıştı.

Apple tüm fotoğraf ve verileri iCloud’a yedekleyecek şekilde cihazlarını ayarlayarak kullanıcılara ulaştırıyor. Bu özelliği kapatmadığınız sürece tüm veriler buluta taşınıyor. Android de aynı işlemi yapıyor. Bununla birlikte Google Plus, Yahoo Flickr ve diğer birçok hizmet de benzerini uyguluyor. Bununla birlikte hayatımızın önemli bir parçası haline gelen anlık mesajlaşma hizmetleri SnapChat, Glimpse gibi uygulamalar kullanıcıların ekran görüntüsü almasının önüne geçmiyor. Dolayısıyla kritik bilgileri barındıran yazışmaların ekran görüntüleri de buluta otomatik olarak taşınma riskiyle karşılaşıyor.

Teknik olarak bakıldığında Apple’ın iCloud’a gönderilen veriler için 128 bit AES şifreleme kullandığı biliniyor. iCloud’a erişmesi gereken üçüncü parti uygulamalar için Apple kullanıcı adı ve şifreyi SSL üzerinden gönderiyor. Yani şifreler ele geçirilmedikçe Apple’ın sunucularına sızmak gerçekten zor görünüyor. Tabii Amerikan Ulusal Güvenlik Ajansı (NSA) dışında. Zira NSA’in tüm Apple sunucularına ulaştığını açıklayan Edward Snowden’ın ünlülerin fotoğraflarının ortalığa saçılmadan önce verdiği bilgilere göre, NSA içerisindeki çalışanlar, kişisel veriler arasında aramalar yaparak kullanıcı ayırt etmeksizin çıplak fotoğrafları kendi arasında paylaşıyor.

Şifremiz ne kadar güçlü?

Tüm bu yaşanan sızıntılar sonunda aynı yere bağlanıyor: Güçlü şifreler belirlemek. Sonuçta verilerimizi paylaşırken dikkat etmenin yanı sıra bir sızıntının önüne geçmek için güçlü şifreere sahip olmak öncelik taşıyor. Ülkemizdeki sızıntılarda da görüldüğü üzere en üst düzeydeki kamu yöneticilerinin dahi şifreleri “123456” gibi basit olabiliyor. Bir şifrenin kişinin kendine özgü ve mümkün olduğunca karmaşık, anlamsız bir içerikten oluşması gerekiyor.

Kurumların buluta taşıdıkları verileri şifrelemesinde fayda var. Bu şifrelemenin bulut sağlayıcının sunduklarından biri olmaması gerekiyor. Zira buluta sızabilen saldırganların o sistemin şifreleme altyapısını da aşma ihtimalleri yüksek görünüyor. Eğer ünlü değilseniz kurumların size göstereceği ilginin de az olacağı düşünüldüğünde daha fazla dikkat etmeniz gerektiği açık.

Sosyal mühendislik

İnternetin ortaya çıkmasının ardından sıkça kullanılan sosyal mühendislik kavramı, saldırganlar tarafından hedefli saldırılarda sıkça başvuruluyor. Bir kullanıcının verilerini ele geçirmek isteyen saldırgan, kullanıcılara orijinallerine çok benzeyen e-postalar gönderiyor ya da sosyal medya ve benzeri ortamlardan topladığı verileri kullanarak kullanıcıların şifrelerini paylaşmasını sağlaması için tuzaklar hazırlıyorlar. Bu tuzaklara adını veren sosyal mühendislik kavramı, birçok birey ve kurumun korkulu rüyası olarak biliniyor.