Sıfır Güven: Yemek Sepeti Olayı, Zero Trust ve Parolalarınızın Güvenliği

Merhaba,

25 Mart’ta Yemek Sepeti’ne yapılan saldırının hatırlattıklarından bahsetmek istiyorum. 

Açık Kaynak Fikirler’in hem bültenlerinde, hem de makalelerinde Siber Güvenliğin ne kadar hassas bir konu olduğundan defalarca bahsettik. Doğrusu, ülke ve dünya gündemi de bu konudan bahsetmeye çok uygun.

Zira gün geçmiyor ki, yeni bir hackleme haberi gündeme gelmesin. Solarwinds, Twitter, Microsoft; ülkemizde bakacak olursanız e-bebek, Ziraat Bankası ve şimdi de Yemek Sepeti.

Bu bolluktan sebep sanırım, Yemek Sepeti yaptığı açıklamada şöyle talihsiz bir ifadeye yer verdi:

“Siber saldırılar bugün devletlerden, en büyük şirketlere; ünlülerden, finans kurumlarına kadar pek çok veri kaynağını tehdit etmekte olup, çağımızın en büyük suçlarından ve güvenlik sorunlarından biri haline gelmiştir.

Dünya’da siber saldırılara karşı%100 güvenli bir sistemden söz etmek mümkün olmasa bile…”

“Elimizden geleni yaptık..” minvalinde devam ediyor açılama. Yukarıda söylenenleri son derece talihsiz bir açıklama olarak değerlendiriyorum.

Öncelikle bu tür bir güvenlik zafiyetini, “Herkesin başına geliyor” diyerek normalleştirmek Yemek Sepeti gibi firmaya yakışmıyor.

Bu tür durumlarda şirketlerin, hatalı yada eksik davrandığı için özür dileyerek, hatanın giderilmeye çalışıldığını belirtmesi çok daha olgun bir tutum olur.

Diğer taraftan, aynı açıklamada çalınan bilgilerin ad-soyad, adres, doğum tarihi, telefon  ve siteye giriş şifresi olduğu, neyse ki(!) kredi kartı bilgilerinin güvende olduğu belirtiliyor.

Elbette kredi kartı bilgileri önemli. Fakat çalınan diğer bilgiler için ” Ne olacak ki?” rahatlığı yaşamak doğru değil.

Çünkü bu, pek de öyle içimizi rahatlatacak bir durum değil. 

Türk İnternet’te sayın Füsun Nebil’in yazısı bu konuda oldukça net açılayıcı. Deniyor ki;

  1. Yemek Sepeti şifrelerini herkes hemen değiştirmeli. Çünkü saldırganlar, ellerindeki parolaların mail hesaplarında ya da diğer üye olunan sitelerde aynı şekilde kullanılmış mı diye kontrol edebilirler. 
  2. Kimlik ve adres bilgilerinin çalınması küçümsenecek bir durum değildir. Çünkü bu bilgiler sosyal mühendisleri harekete geçirebilir. 

Ve böylece, basında bolca yer bulan, koskoca profesörleri bile dolandıran çetelerin ekmeğine yağ sürülür.

Öyle ki kolaylıkla email hesaplarına virüs gönderilebilir, hesaplar satılabilir, hatta bizzat adresinize giderek hırsızlık, dolandırıcılık vs. yapılabilir.

Bu konuyla ilgili Sayın Nebil’in yazısını aşağıdaki linkde paylaşıyorum. Açık kaynak Fikirler’in siber güvenlik ile ilgili son derece geniş kapsamlı iki yazısını da İki Makale bölümünde okuyabilirsiniz.

Yemek Sepeti Hacklemesi Ne Anlama Geliyor | Türk İnternet

İki Makale

Aşağıdaki iki makalelik mini yazı dizisinin ilki, bir siber saldırının ne şekilde gerçekleştirildiği üzerinde duruyor ve hangi güvenlik açıklarını kovaladığı üzerinde duruyor.

İkinci yazı ise siber güvenliğin sağlanmasına dair oldukça net bir yol haritası ve taslak halinde bir kurumsal güvenlik dökümanı sunuyor. 

Yazıların ikisi birlikte sağlam bir siber güvenlik politikası oluşturabilmek için rehber niteliğinde.

Hacker Gibi Düşünmek

“Sahadaki pratikte, Siber Güvenlik konusu oldukça önemli bir gündem maddesi.

Bunun ana sebeplerinden birisi, eskiden statik ve monolitik yapıda olan yazılımların Mikroservis Dünyası’na geçmesi. Çünkü bu geçişle birlikte güvenlik problemleri büyük oranda arttı.”

Siber Güvenlik: Hacker Gibi Düşünmek | Açık Kaynak Fikirler

Siber Güvenlik: Şirketler Ne Yapmalı?

“Sık sık dile getirdiğim gibi, herşeyi sorgulayın, başkalarının doğrusunu kendi doğrunuz yapmayın. Mesela:

“Rakip şirket bu Firewall’u kullanıyor. Biz de öyle yapalım.”
veya “Rakiplerimizin backup çözümü halen teyp ünitelerinde, bizim de öyle yapmamız gerekli” şeklinde düşünmeyin.”

Siber Güvenlik: Şirketler Ne Yapmalı?| Açık Kaynak Fikirler

Gündem ve Yorum

Siber Güvenliğin En Önemli Yaklaşımı: Zero  Trust (Sıfır Güven)

Siber güvenlik ile ilgili son günlerin yükselen yıldızı: Zero Trust yani Sıfır Güven kavramından bahsetmek istiyorum.

İşletmelerdeki mevcut siber güvenlik önlemleri genellikle, “kapıları kilitlersek asla soyulmayız” üzerine kurulmuş gibidir.

 Cihazların “Ağda” olduğu için güvende olduğu ve dışarıdaki her şeyin “güvenli olmadığı” düşüncesine dayanır.

Ancak ağdaki bir cihazın güvenliği ihlal edildiğinde, her şey biter. Çünkü kurumsal ağlarda dolaşmak gülünç derecede kolaydır ve  saldırıya uğradıktan sonra güvenli bir şekilde kaldırılması daha da zordur.

Dolayısıyla fidye yazılımı kurbanı olmamak için kesinlikle Zero Trust yaklaşımı benimsenmelidir.

Zero Trust’ın arkasındaki temel fikir , her zaman ihlal edildiğimizi varsaymamızdır .

Sıfır Güven ilkeleri arasında:

  1. Açıkça Doğrula, yani her zaman kimlik doğrulama yapmak,
  2. En Az Ayrıcalık, yani yalnızca insanların ihtiyaç duyduklarında ayrıcalık tanınması ve
  3. Güvenlik İhlali Varsayımı, yani her zaman tehlikeye girmeyi beklemek yer alır.

Teoride bunlar hakkında konuşmak kolaydır. Peki bu konuda başka neler söylenebilir?

Yapmanız gerekenleri basitleştirelim. Bu önlemleri alırsanız, fidye yazılımından ödün verme riskiniz önemli ölçüde azalır.

Koşullu erişim:Bir kullanıcının eriştiği her uygulama veya hizmet (1) kimlik doğrulaması, (2) cihaz uyumluluğu, (3) cihaz sağlığı gerektirmelidir.

Bu nitelikler, risk durumu, farkındalık, konum veya uygulama türü gibi niteleyiciler tarafından vurgulanır.

Modern Masaüstü: Bu, mimari modeli değiştirmekle ilgilidir. Amaç, son kullanıcının bilgi işlem cihazını ağdan çıkarmaktır.

Cihazı bir misafir ağına yerleştirerek, temelde internete bağlı olduğu varsayılır ve diğer cihazlarla iletişim kurmasına izin verilmez.

Micro Ağ Segmentasyonu: Buluta geçmenin faydası, sadece veri merkezi yaklaşımının modernizasyonunu ele almakla kalmıyor, aynı zamanda tartıştığımız güvenlik risklerini de azaltıyor olmanızdır.

Ancak elbette sadece buluta geçmek, bahsettiğimiz segmentasyonu yaratmayacaktır.

Kuruluşların, uygulamalarını devreye almak için operasyonel hale getirilmiş modern bir bulut ortamı oluşturup oluşturmadığını göz önünde bulundurması gerekir. 

Konuyla ilgili iki linki aşağıya bırakıyorum:

Microsoft’s digital security team answers your Top 10 questions on Zero Trust | Microsoft

SSO: A Basic Security Need, Or An Enterprise-Level Luxury? | Sastrify

İş Kurarken Önce AI Demeyin

Andrew Ng’yi Google Brain ekibinin kurucusu veya Baidu’daki eski baş bilim insanı olarak tanıyoruz . Ayrıca son derece popüler çevrimiçi kursları aracılığıyla sayısız öğrenciye, meraklı dinleyiciye ve iş liderine makine öğreniminin ilkelerini öğretiyor.

Aşağıdaki röpötajında AI konusunda oldukça ilginç saptamaları var:

Bugün gezegendeki hiçbir şirketin – belki teknoloji devlerinin bile – verilerinin tamamen temiz ve mükemmel olduğunu sanmıyorum. Bu bir yolculuk. Güzel bir veri altyapısı oluşturmak için iki veya üç yıl harcamak, hangi BT altyapısının oluşturulacağına öncelik vermenize yardımcı olacak AI ekibinden geri bildirim alamadığınız anlamına gelir.

Andrew Ng: Forget about building an AI-first business. Start with a mission. | MIT Technology Review

Teknolojide Öne Çıkan 

Daha önceki bültenlerimizde parola saklama programlarından bahsetmiştik. Yaşanan Yemeksepeti olayından sonra, şirketler ve bireyler için iki ayrı önerimiz olacak.

Ancak öncelikle şunu önemle hatırlatmak istiyorum:

Lütfen 15 dakikanızı ayırıp tüm şifrelerinizi depolayabileceğiniz, güvenli bir ortam oluşturun. Bu sayede hiçbir şifrenizi hatırlamak zorunda kalmazsınız ve daha fazla güvende olursunuz.

Çünkü bu yıl için beklentim, yaşananlara benzer şekilde 2-3 büyük sızıntı olayının gerçekleşmesi.

Bunun için kullanabilceğiniz iki yazılım ise şöyle:

Bireysel Kullanım: KeepassXC

KeepassXC bilgisayarınıza ve telefonunuza kolaylıkla kurabileceğiniz bir yazılım. Şifrelerinizi bir dosya içinde saklıyor ve sizin hatırlamanız gereken tek şifre “Master Password”

Şifre ve parmak izi ile programı telefonunuzda da kullanabiliyorsunuz. Şifre dosyanızı Dropbox veya Google Drive üzerinde saklayabilirsiniz, böylece Farklı bilgisayar veya telefonlardan aynı şifrelere her zaman erişebilirsiniz.

KeepassXC indirin – KeepassXC sitesi

KeepassXC Kurulum/Kullanım – Arkakapı dergisi

Şirket içi kullanım: Bitwardenrs

Bitwarden ve Bitwardenrs iki ayrı yazılım.

Şirketinizde sunucularınız varsa ve ekip içersinde şifrelerinizi rahatlıkla paylaşmak istiyorsanız “Bitwardenrs” sizin için harika bir çözüm olacaktır.

Bitwarden yazılımı ise NET ile geliştirilen ve MSSQL veri tabanı kullanan bir yazılım.

Bitwardenrs, sıfırdan Rust programlama dili ile yazılmış, Bitwarden uygulaması ile %100 uyumlu çalışan bir yazılım. 

Bitwarden kurduktan sonra, tarayıcınız üzerinde Bitwarden sitesine giderek size uygun tarayıcı eklentisini kurmanız gerekiyor.

Başka Şeyler

Bu Senenin En Güçlü Oscar Adayı  

Oyuncuları görüyorsunuz. Bu bile filmin kalitesi hakkında çok şey vadediyor.

Diyebilirim ki beklentilerinizin çok ötesinde başarılı bir film.

Alzeimer hastalığından muzdarip bir “Baba”anın içinde yaşadığı dünyayı ve evladının çaresizliğini tüm çıplaklığıyla kalbinizin ortasına bırakıveriyor.

Gerçeklik karşısında göz yaşlarınızı tutamayabilirsiniz.

Biyoteknolojinin bu amansız hastalığa en yakın zamanda bir çare bulmasını diliyorum.

The Father| IMDB

Bu haftalık bu kadar. Bize iletmek istediğiniz fikir ve yorumlarınız varsa duymayı çok isteriz. Bunun için, bu maili cevaplayarak bize yazabilirsiniz.

Telegram’daki iletişim platformumuza gelmeyi unutmayın. Ve eğer yayınımız hoşunuza gittiyse, bu bülteni lütfen arkadaşlarınıza da önerin.

Çünkü tarafsız yorum, herkesin hakkı.

Görüşmek üzere

Şenol

Yorum bırakın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir