Ve bu etki ticaret hayatını o kadar büyük bir şekilde etkiledi ki paranın kullanılmasından sonraki en büyük ticari milat olarak interneti görebiliriz. Neden mi? İnternet dünyayı ufacık bir bakkal dükkanı haline getirdi. Tüm dünyada ne varsa ne arıyorsanız ve ne istiyorsanız, onu almak için saatlerce aramanız, kendiniz için en uygun fiyatı aramanız, yurt dışına çıkmanız hatta evden dışarı çıkmanıza bile gerek yok. Bir mouse, bir klavye ile ve birazcık internet kullanımı bilgisi ile dünya üzerinde ulaşmak veya almak istediğiniz herşeyi satın alabilirsiniz. Ayakkabı, telefon, bilgisayar, kitap, 2. el ürünler, ve artık büyük alışveriş firmalarının siteleri sayesinde peynir, ekmek, zeytin gibi gıdaları bile evden tek bir adım atmadan internet üzerinden seçerek sipariş edebilir ve kapınıza kadar bırakılmasını isteyebilirsiniz. Peki bu kadar büyük bir teknolojiyi kötüye kullanmak isteyenler olmayacak mı? Bu kadar büyük sistemler sizce tam olarak güvenilirler mi? İstediğiniz ürünleri almak için kullandığınız Kredi kart numaraları, Banka hesap bilgileri, PayPal hesapları sizce güvende mi? Sorunun cevabı : "Kesinlikle Hayır!" Düşünün ki sizin için son derece önemli ve içinde sizin hakkınızda en gizli bilgilerin bulunduğu bir defteri sokağın ortasına bırakıp gidebilir misiniz? İşte bilinçsizce ve güvensizce internet üzerinden alış-veriş yapmak ile bu verdiğim örnek arasında emin olun ki hiçbir fark yok. Unutmayın ki ortam ve mekan sanal da olsa işlenen suç ve verilen zarar gerçektir. Üstelik bu tarz işler reel dünyada olduğundan daha sinsice ve daha profesyonel bir şekilde yapılmakta. Şu zamana kadar örnekleri çok olmakla birlikte bu yüzden canı yanan, binlerce hatta milyonlarca dolarlık zarara uğrayan, kişisel kimlik bilgileri üzerinden paravan şirketler kurulan, çaldırdığı bilgiler yüzünden masum olduğu halde üzerinden adli suç işlenen bir sürü kişi ve kurum bulunmaktadır. Bu verdiğim örnekler işlenen suçlar arasında belkide devede kulak kalıyor ama işin ciddiyetini izah etmek için yeterli olacaktır. Bu suçlar kimi zaman o kadar aşağılıklaşmaktadır ki kişisel bilgisayarlardan çıkarılan bilgiler ile tehtid, şantaj gibi şeyler ile para istismarı yapılmaktadır. Belki masum görünen bir site veya bilgisayarda yazdığınız bir Kredi Kartı şifresi bile hayatınızda yaptığınız en büyük hata olabileceğini asla unutulmamalıdır.. Şu ana kadar bahsi geçen örnekler sanırım sizi yeterince korkuttu. Ama böyle suçlar işleniyor diye Kredi kartı numaranızın peşinde gece gündüz çalışan "Korsanlar" var diye, böyle muazzam bir teknolojiden mahrum kalmanıza gerek yok. Madem geliştirilen o kadar şey insanlığın faydasına o zaman yapılacak şey bilinçlenmek ve "Güvenlik" kavramını hayatımızın bir parçası haline sokmak. Güvenliğin altın ve değişmeyen tek bir kuralı vardır. (Muhtemelen bunu ileri ki yazılarımda sık sık tekrarlıyacağım) "Nasıl saldırılacağını bilmeden, nasıl korunabiliceğinizi bilemezsiniz" Bu ne anlama geliyor? Siz eğer bir hacker nasıl düşünür, bakış açısı mantalitesi nedir, nelere dikkat eder, nelerin izini sürer, ve nihai amacına nasıl ulaşır hangi yöntemleri dener... Bunları bilmezseniz kendinizi günün birinde Kredi Kartı mağduru olarak bulmanız kaçınılmaz. Kim bilir belki bu yazıyı okurken çoktan bir mağdur olmuşsunuzdur bile ama haberiniz yoktur. Eğer böyle ise en azından geçmişte ne hata yaptığınızı bulabilirsiniz. İnsan bilmediğinden korkar ve sizin bunları bildikten sonra korkmanız için hiçbir sebebiniz kalmayacak. Bir bilgisayar korsanı (bilinen adıyla 'Hacker') neler düşünür ve neler yapar şimdi bunlara bakalım. Bir Hacker'ın aklında 2 şey vardır. - Ulaşabildiği tüm bilgilere ulaşmak - Yakalanmamak Bir Hacker için en önemli şey yapacağı eylemi yaparken yakalanmamaktır. Hacker herşeyden önce kendi kişisel güvenliğine azami özen gösterir. Çünkü çok önemli bir bilgiye ulaşmış olsa bile eğer kendini yakalatmışsa bu bilgi hiçbir işe yaramaz. Bu yüzden Hacker ilk önce yakalanmamayı amaçlar. Hacker yakalanmamak için internet üzerinde vekil sunucular (proxy) kullanır. Bu vekil sunucular, Hacker bir web sitesine giriş yaptığı zaman onu dünyanın başka bir yerine giriş yapıyormuş gibi gösterir. Bunun Hacker için faydası bir sisteme giriş yaptığında sistem tarafından loglanmamaktır. (kayıt altına alınmamaktır).

Hacker'in yakalanmamak için yapacağı diğer bir tedbir ise internet cafelerden veya halka açık bilgisayar laboratuarlarından faydalanarak yapacağı eylemleri buralardan gerçekleştirmesidir. Her gün yüzlerce insanın girip çıktığı bir internet cafe de Hacker  dikkat çekmeden işini göerbilecektir.

Hacker'in gizlenmek için yapacağı diğer bir yöntem başkasının wireless bağlantısını kırıp veya hiç kırmadan kullanıp o bağlantı ve internet kullanıcı hesabı ile eylemini gerçekleştirmektir. WiFi (Kablosuz Ağlar) Güvenliği ayrı bir makale konusudur burada değinmeye gerek görmüyorum.

Hacker ulaşabileceği bütün bilgilere ulaşmak isteyeceğini söylemiştim.

Peki nasıl?

Hacker nasıl size ait olan bilgileri güvendiğiniz yerlerden çalar. Şimdi bunu nasıl yaptığını ve hangi yöntemleri kullandığını en önemlisi de internet kullanıcılarının bunlara karşı nasıl tedbir alıcağınızdan bahsedelim.

Bir hacker sizin kredi kartı bilgilerinize nerelerden ulaşabilir;

1)      Kredi kartı Sahibi olduğunuz bankanın sisteminden

2)      Alış-veriş yaptığınız sitelerden

3)      Kişisel bilgisayarınızdan

4)      Direk sizden

Az öncede bahsettiğim gibi hacker için en önemli şey kendisini yakalatmamasıdır. Bu yüzden hacker asla bir Bankanın sistemine girmek için uğraşmaz. Çünkü kendisinde bilir ki bir bankanın sistemine saldırmak hem çok tehlikelidir hem büyük bir zaman kaybıdır. Çok tehlikelidir çünkü hiç kimse bu kadar büyük bir güvenlik duvarını, İleri düzey şifrelemeleri, 24 saat takip altında olan makineleri ve güvenlik politikasını yakalanmadan aşamaz. (Tabi hiçbir şey imkansız değildir. Tüm sistemler delinebilir ama dediğim gibi çok çok zor bir ihtimaldir.) Aşıp ta bilgilere ulaşmış olsa bile çok kısa bir süre sonra anında yakalanır. Hacker bu durumda bir banka görevlisi ile irtibata geçip onu kandırma (Sosyal Mühendislik) yolunu deneyebilir. Bu zor bir durum değildir üstelik başarı ihtimali de yüksek olabilir. Ama hacker telefon destek servislerinden bu işi yapamaz. Çünkü her banka güvenlik gerekçeleri ile müşteri hizmetleri konuşmalarını kayıt altına almaktadır. Hacker banka görevlisine ulaşmak için kişisel mail, msn, icq gibi yolları deneyecektir. Burada yapılanların sizin için bir önemi yok ve sizin yapabilecek bir şeyinizde yok. Çünkü Banka kaynaklı bir sorun olduğunda sorumlusu siz değilsinizdir. Ve zararınız banka tarafından karşılanmak mecburiyetindedir.

Hackerin bundan sonraki durağı Alışveriş yapılan web siteleri olacaktır.

Şunu hiçbir zaman unutmayın ki internet üzerinde yaptığınız tüm işlemler kayıt altına alınır. Ve sonuçta hiçbir alışveriş sitesi bir banka kadar güvenli değildir. Bu durumu çok iyi bilen hacker için alışveriş siteleri tam bir hazinedir. Üstelik e-ticaret piyasasının çok büyümesi ile e-ticaret işini ehli olanlar yanında bu işte çok yeni olan firmalarda yapmaktadır. Her gün açılan bir sürü yeni alışveriş sitesi var. Ve öyle ki bazı alışveriş siteleri sıradan hosting makinaları içinde bulunmaktadır. Bu inanılmaz büyük bir tehlikedir.

Alışveriş sitelerinde genelde şöyle bir ibare yazar. Hiçbir site görevlisinin Kredi Kartları numaralarını görmediğini belirtirler. Fakat hiçbir zaman unutmayın kredi kartı bilgilerinizi girip alışveriş yaptığınız anda tüm bilgileriniz veritabanında bir tablo içinde kayıt altına alınır. Bu kaçınılmaz bir durum çünkü alışverişin tamamlanması için veritabanından bilgi çekilmesi ve sizi tanımlaması gerekir.

Hacker bunu bildiği için alışveriş sitesinin bulunduğu host makinesine girmeye çalışacaktır. Veya sizin site içindeki kullanıcı hesabınızı çalmak için site üzerinde web uygulamaları tabanlı açıklar arayacaktır. Bu tür zayıflıkları çok teknik detaya girmeden anlaşılır bir dille izah edeceğim. XSS açığı bir alış veriş sitesi üzerinde kullanılabilecek en tehlikeli ve hacker için en akıllıca açıktır. Bu açık web sitesine girerken, web sitesinin sizin bilgisayarınızda bıraktığı oturum bilgilerini çalarak hackerin kendi bilgisayarında sizin kullanıcı adı ve şifrenizle oturum açması sağlayan bir sömürme tekniğidir. Hacker size site üzerinden veya msn, mail iletişim yolu ile istediği bir link e tıklatarak oturum bilgilerinizi çalarak giriş yapmayı deneyecektir. Veya bir diğer yöntem olarak host servisinin içine girmek isteyecektir. İçeri girmek için sistemi tanıyarak açıkları tespit edip buna göre var olan açıkların sömürülmesi ile veya kendi yazdığı programlar ile (Exploits) Server in içine girmeye çalışacaktır. Yada genel piyasadaki yöntemleri kullanarak server üzerindeki başka bir siteden sisteme RFI veya FSO yöntemleri ile makine içinde ki dosya dizinlerine ulaşarak okumaya çalışacaktır. Ek olarak hacker yine bankada olduğu gibi alışveriş sitesinin teknik destek veya satış destek elemanlarını kandırarak bilgisayarlarına erişim sağlamaya çalışacaktır. Bu çok sık kullanılmaya çalışan ve yapılan bir yöntemdir. Eğer firma elemanları iyi yetiştirilmemiş ise görevlinin yönetici girişleri Hacker'in eline geçebilir.

Burada  internet kullanıcılarının yapması gereken şey, alışveriş yaparken köklü ve gerçekten güvenli olduğuna emin olduğunuz büyük firmaların sitelerini tercih etmeniz gerekmektedir. Bu işi yıllardır yapan çok sayıda firma var. Gerekirse bu konuda mutlaka telefon desteği alın. Kesinlikle bilmediğiniz güvenilir olmayan ve bu işi en azından 4-5 senedir yapmayan hiçbir firma sitesi üzerinden alışveriş yapmayın.

Bir alışveriş sitesinde mutlaka banka veya posta havalesi tercihleri mevcuttur. Kredi kartı kullanmak yerine banka havalesini tercih edin. Mümkün olduğu kadar kişisel bilgilerinizi site üzerinde saklı tutun. Bunun için telefon desteği ile alışveriş yapın. Hiçbir zaman size site üzerinden tanımadığınız kişiler tarafından gelen linklere tıklamayın. Dışarıdan gelen tehlikeler için ise mutlaka "Mozilla Firefox" İnternet tarayıcısı ile birlikte "No Script" Eklentisini kullanın. Bu size site üzerinden web tabanlı gelecek olan Hacker saldırılarına karşı koruyacaktır.

Bir hacker sizi kullanarak, sizin bilgisayarınızdan, bilgilerinizi çalar.

Hiç düşündünüz mü sizi bilgisayarınızda yaptıklarınızı uzaktan izleyen, bastığınız her tuşu, attığınız her adımı takip eden, girdiğiniz her siteyi kullanıcı adını şifreyi kayıt altına alan birilerinin olabileceğini. Şimdiye kadar düşünmemişseniz bundan sonra düşünmeye başlayacaksınız artık. Hacker bunu öyle sinsice yapar ki haberiniz olmadan sizden her şeyinizi hiç uğraşmadan internet sayesinde alır.

Peki, Hacker bunu nasıl başarır?

Hacker bunun için kendi yazdığı trojan ve keylogger programları kullanır. Yalnız şu iki şeyi karıştırmayın; trojan ve keylogger kavramları aynı şeyler değildir. İkisininde ortak olduğu nokta trojan ve keylogger da Hacker'in sizin bilgisayarınızda ki ajanlarıdır. Ve o ne isterse bilgisayarınızda onları yaparlar. Keylogger' ın görevi klavyede hangi tuşa bastıysanız neler yaptıysanız bunları bilgisayarınızın içindeki bir klasörde text ve resim olarak saklayarak belirli zaman periyotlarında sahibi olan Hacker' a göndermektir. Keylogger, siz neler yapmışsanız hepsini teker teker yazar takip eder. Trojan ise keyloggerdan prensip olarak farklıdır. Trojan, kurbanın bilgisayarı üzerinde üzerinde  tam bir hakimiyet kurmak ve onu uzaktan erişim sağlayarak yönetmek için yazılmıştır. Yani kurbana ait bilgisayara portlarından (internet bağlantısı için kullanılan giriş kapıları) birinden içeri girip bilgisayardaki dosya, resim ve klasörleri çalma, Web Cam görüntülerini gizlice kaydetme, Klavye kayıtlarını çalma ve daha bir sürü şeyi yapar. Burada şunu söylemek istiyorum eminim ki hiçbir kimse çok özel resimleri veya bilgilerinin başkasının eline geçmesini istemez ama son zamanlarda bilgisayarlara girilip gizlice webcam görüntülerini çekip şantaj yapma olaylarını hatırlatmak istiyorum. Yazmıyorum konuyla alakası yok diye ama bilmenizde de fayda olduğuna inanıyorum. Bunların başınıza gelmemesi için iyice bundan sonra ki kısımları daha dikkatli okumanızı tavsiye ediyorum.

Hacker bu trojan veya keylogger programlarını sizin bilgisayarınıza nasıl bulaştırır?

Hacker'ın burada iki yöntem kullabilir. Birincisi Genel saldırı. İkincisi Spesifik saldırı.

Genel saldırı nedir? Hacker demiştik ya ulaşabildiği her şeye ulaşmak ister diye. Bu amaca ulaşmak için interneti kullanır. Unutmayın internet ve arama motorları normal kullanıcıların olduğu kadar Hacker'ların da en iyi dostudur. Hacker trojanini veya keyloggerini değişik alanda ve işlevdeki dışarıdan masum görünen programların içine saklar. Ve bu programları internet üzerinde yayar. Hiçbir şeyden şüphelenmeden masum görünen programı indiren kullanıcı, programı bilgisayarında açması ile birlikte artık onun bilgisayarı Hackerin eline geçmiş demektir. Bu program kimi zaman bir video oynatıcı, oyun, crack dosyası, sözlük programı, resim düzenleme programı olabildiği gibi direk resim ve media dosyalarının içinde de olabilir. Hacker bunlar için warez siteleri, torrent ve P2P paylaşım sitemlerini çok sık kullanır.

Spesifik saldırı nedir? Hackerin hedefi sadece sizsinizdir. Ve hackerin amacı sizin bilgilerinizi ele geçirmektir. Bu durumda hacker sizinle irtibata geçecektir. En önemli irtibat yolu yine mail veya msn gibi aktif olarak iletişim sağlayan araçlardır. Bu yollar ile sizinle samimiyet kurmaya çalışacaktır. Veya hiç samimiyet kurmadan da işi halletme yoluna gidebilir. Size trojanini veya keyloggerini yukarıda anlattığım yanıltıcı şeylerin içinde veya yeteri kadar sizi saf bulmuşsa direk olarak göndermeyi deneyecektir. Hacker'in burada ki amacı size göndereceği dosyayı güzel ve çekici gösterip onu kendi bilgisayarınızda açmanızı sağlamaktır.

Bu saldırılara karşı kendimizi nasıl savunacağız ?

Önce şu aklınızdaki güvenlik klişesini tamamen yıkmak istiyorum.

HİÇBİR ANTİ VİRUS PROGRAMI SİZİ KORUMAZ.

HİÇBİR FİREWALL PROGRAMI SİZİ TAMAMEN KORUMAZ.

İnsanların aklında şöyle bir düşünce vardır. "Anti virus programı zaten beni koruyor. Bilgisayarcım kurdu bilgisayarıma artık istediğimi yapabilirim. Bir şey uyarı vermediği sürece problem yok" gibi.

Unutmayın Anti Virus programları sizi 2. sınıf hacker olma amacı güden kişilerden koruyabilir. Ama gerçek bir hackeri anti virus programları engelleyemez. Çünkü anti virus programları bir yapay zeka çerçevesinde değil, düz mantık ile çalışırlar. Hafızasındaki zararlı kodlara rastladığı zaman uyarı verir rastlamamışsa vermez. Ama bu o programın zararsız olduğu anlamına gelmiyor.

Kişisel güvenliğinizin en büyük koruyucusu : Kendinizsiniz!

Kişisel güvenliğinizi sizden başka hiçbir program veya yazılım koruyamaz. Çünkü hiçbir program bir insan zekasına sahip değildir ve aşılması yeterince olanaklıdır. Sizin korunmak için yapmanız gerekenler:

- Uyanık olun

- Güvenilir olmayan hiçbir yerden hiçbir program veya yazılım indirmeyin - Tanımadığınız ve yüzyüze görüşmediğiniz kimseden bir şey kabul etmeyin

- Tanımadığınız kimsenin mailini, gönderdiği içeriği açmayın.

- Alışveriş yaparken normal klavye yerine yazacaklarınızı yazmak için sanal klavye kullanın

- Zor şifreler seçin. Tahmin edilmesi çok zor şifreler kullanın. Örneğin gidip de doğum tarihinizi şifre olarak kullanmayın.

- DeepFreeze programını bilgisayarınıza kurun ve kullanımını iyice öğrenin. Sizi anti viruslerden daha iyi koruyacaktır.

- İyi bir firewall programı ile internetinizi kontrol etmesini öğrenin. (BlackIce Firewall öneririm)

- IP numaranız çok değerlidir. Bilinçsizce her sitede kayıt altına alınmayın.

- Modem şifrenizi defoult (varsayılan) olarak bırakmayın.

Hacker kredi kartı bilgilerinizi direk sizden nasıl ister ?

İşte biz bu yöntemlerin bütününe "Sosyal Mühendislik" (Social Engineering) diyoruz.

Sosyal mühendislik kitaplarca anlatılabilecek bir konu. Bu konuda detaylı bilgilenmek zorundasınız. Zorundasınız diyorum çünkü sosyal mühendislik kavramı ve teknikleri hayatın her kesiminde geçerlidir. Dünyanın en büyük sosyal mühendisi kabul edilen Kevin Mitnick in yazdığı "Aldatma Sanatı" isimli kitabı okumanızı tavsiye ediyorum.

Ama kısaca ne olduğuna değinmek gerekirse; Sosyal Mühendislik insanları kandırmak demektir. Belki basite indirgenmiş bir tanım olsa da işin özü itibariyle tüm amaç karşı tarafı kandırıp kendi çıkarları doğrultusunda kullanmaktır. Sosyal mühendisliğin teknik yöntemlerine çok girmeyeceğim ama şunu söyleyeyim: Günün birinde sizi sesi çok tatlı bir bayan arayıp, xxx bankasından aradığını, bilgilerinizi güncellenmesi gerektiğini söyleyip sizden kredi kartı bilgilerinizi isterse emin olun ki bir sosyal mühendislik vakası ile karşı karşıyasınızdır. Yada günün birinde alış veriş yaptığınız sitelerin birinden gelen mailde sizden şifrenizi isteniyorsa sosyal mühendislik olayı ile karşı karşıyasınız. Çünkü hiçbir zaman bir site sizden şifrenizi istemez.

Bu durumda yine üstteki kurallar geçerli. Sizi, kendinizden başka hiçbir şey koruyamaz.

Sizi biri telefonla arayıp ta ne olursa olsun bilgi isterse asla vermeyin. Bu şekilde gelen hiçbir maile cevap vermeyin hatta web sitesini telefonla arayıp ihbarda bulunun.

Altın kuralı asla unutmayın. Düşmanınızı tanımadan ondan korunamazsınız. Korunmak istiyorsanız onunla yüzleşmeli ve tanımalısınız ki ileride bu yüzden canınız yanmasın.

Bilişim Güvenliği Derneği basın açıklamasıdır.