Güncel Teknoloji

Gazetecilerin Hesaplarına/Telefonlarına Girildi! Ne Yapmalı?

Gazeteci Murat Ağırel ve Batuhan Çolak’ın telefonlarına, Twitter ve e-posta hesaplarına, Cumhurbaşkanı’nın “Birkaç şehit” ifadesini kullanmasıyla ve Libya’daki kayıplarımızla ilgili haber yapmalarının ardından sızılmış, haberle ilgili yaptıkları paylaşımlar silinmişti. Her ikisi de tek kullanımlık SMS parolası ile iki adımlı kimlik doğrulaması gibi güçlü bir kimlik doğrulama yöntemi kullandıklarını ifade ediyorlardı. Ağırel, olayın gelişimini anlattığı yazısında Turkcell’den telefonuna istemi dışında gelen bir ileti ile hattının 2G hızına düşürüldüğünü, ardından tüm hesaplarının ele geçirildiğini anlatıyordu. [1] Ayrıca T24’teki yazısında Füsun Sarp Nebil, olayın cep telefonu operatörlerinin kullandıkları altyapı protokollerinden SS7’de bilinen bir açığın suiistimal edilmesiyle gerçekleşmiş olabileceğini yazdı. [2]

Bu gelişmeler üzerine Yeniçağ Gazetesi’ni ve gazeteci Murat Ağırel’i, bu gibi durumlarda mağdur kişinin talebi üzerine telefonları ve olayı inceletmek üzere Teknik Uzman Görüşü Raporu hazırlamak için bilirkişi atamasında TMMOB Bilgisayar Mühendisleri Odası’nın tek yetkili olduğu konusunda bilgilendirdim. Mahkemelerde de, mevzuata göre yalnızca, beş yıldır Bilgisayar Mühendisliği yapan ya da beş yıldır BMO üyesi olan Oda üyeleri, yine Oda’nın eğitim sonucu verdiği Bilirkişilik Sertifikası sahibi olmaları koşuluyla bilirkişilik görevi yapabilmektedir. Bunu tüm kamuoyuna duyurmakta mağduriyetlerin önüne geçmek için yarar olduğunu düşünüyorum.

Olayın yaşanmasının ardından, ülkemizdeki GSM operatörlerinin güvenliğimizi sağlama konusunda ne kadar isteksiz olduklarını, bu açığın zaten tamamen kapatılamayacağını ve sızmanın kötü niyetli kişiler/servisler için ne kadar basit olduğunu bizde ve yurtdışında yayımlanan yazılardan okuyunca, kullanmaya alışık olduğum SMS doğrulamasının ve hesap kurtarma telefon numarasının ne kadar riskli olduğu konusunu düşünüp dehşete kapıldım. Hesaplarımı güvenli hale getirdikten sonra, herkese yardımcı olmak için bu yazıyı hazırladım. Uzunluğuna aldanmayın. Alt kısımlar uygulama ile ilgili ayrıntılar içeriyor. Temel gerçekler daha önemli.

En başta kabul etmemiz gereken gerçekler… Sonra sırasıyla, hesaplarımızın güvenliğinde telefon numaramızı kullanmaktan nasıl vazgeçeceğimizi, parola seçiminde uyulması gereken kuralları, parolalarımızı güvenli biçimde nasıl saklayabileceğimizi yazayım, Hotmail ve Gmail örneklerinde hesap güvenlik ayarlarını göstereyim.

Kabul etmeliyiz ki;

1. GSM hattı kullanarak yaptığımız tüm konuşmalar dinlenebiliyor ve SMS’ler okunabiliyor. Çaresi GSM yerine Whatsapp, Facetime, Signal vb. uygulamalardan sesli görüşme yapmak ve mesajlaşmak.

2. Konum bilgimiz, GSM hattı açık olduğu müddetçe tam kesinlikle olmasa bile bağlı olduğumuz baz istasyonu sayesinde bilinebiliyor. Çaresi yerimizin takip edilmesini istemediğimizde telefonu uçak kipine almak ya da kapatmak.

Hesaplarımızın güvenliğinde telefon numaramızı kullanmaktan nasıl vazgeçeceğiz?

Öncelikle diğer hesaplarda, hesap kurtarma e-posta adresi olarak tanımlı ana e-posta hesabınızın ve bankacılık uygulamalarınızın; daha sonra diğer e-posta hesapları, sosyal medya hesaplarınız ve sizin için ele geçirilmesi gizliliğinizin ihlaline neden olacak tüm internet uygulamalarının güvenliğini aşağıdaki adımları takip ederek yeniden sağlayın.

1. SMS onay kodunu hangi hesaplarınıza giriş için kullanıyorsunuz? Bir listesini yapın ve hemen bu yöntemin kullanımını hesap ayarlarından kaldırın.

2. Son bir kurtarma yöntemi olarak telefon numaranızın tanımlı olmadığından emin olun. Varsa ve hesabınızın kullanıcı kodu olarak kullanılmıyorsa hesabınıza tanımlı tüm telefon numaralarınızı kaldırın.

3. İki faktörlü/adımlı kimlik doğrulama uygulamasından vazgeçmeyin. SMS parola yerine, tek kullanımlık parola üreten cep telefonu uygulamalarını kullanın. Uygulamayı bulamıyorsanız bankanızın yardım sayfalarını araştırın. Yine bulamazsanız müşteri hizmetlerine danışın. Banka SMS onay kodunu zorluyorsa, şubenize başvurup ya hesabınızı internet bankacılığına kapatın ya da transfer limitlerini azaltmak veya hesabı yalnızca sorgulamaya/görüntülemeye açmak seçeneklerinden birine başvurun.

4. İki faktörlü/adımlı kimlik doğrulama yöntemi ilk faktör olan parolanızı zayıf bir parola seçmenize neden olmamalıdır. Parola seçiminde uyulması gereken kurallara uyun. Bu kurallara uygun parolaları her banka ya da hizmet hesabı kabul etmez. Mümkün olduğu oranda parolanızı zorlaştırın. (Aşağıda kurallar ayrıca listelenmiştir.)

5. Hesap kurtarma sorusu ya hiç kullanılmamalı ya da yanıtı kolaylıkla bilinemeyecek doğru olmayan, ezberinizde tutabileceğiniz, kısa olmayan bir yanıt olmalıdır.

Parola seçiminde uyulması gereken kurallar;

1. En az 8 karakterden oluşmalıdır.

2. Büyük küçük harfler, rakam ve özel karakter gruplarının tümünden en az birer tane barındırmalıdır. (? , @ . ! # % + – * % ” ‘ / ( ) [ ] $ & / \ _ { }) Klavyede birbirine sıralı yerleşmiş karakter dizileri içermemelidir.

3. Herhangi bir dilin sözlüklerinde geçebilecek sözcükler kullanılmamalıdır.

4. Birden çok yerde aynı parola kullanılmamalıdır.

5. Üç ay gibi düzenli aralıklarla parolanızı değiştiriniz.

6. Parolalarınızı kâğıda ya da elektronik ortama yazmayınız.

Bu altı temel kurala bakıldığında normal bir insanın günümüzde tüm kurallara uymasının mümkün olmadığı kolaylıkla anlaşılır. Bu durumda içlerinden bazılarını esneterek kullanarak, herkes kendi çözümünü üretebilir ancak her bir kuralın neden konulduğunu anlamanız, sizi felaketle sonuçlanabilecek hatalardan kurtarabilir.

İlk iki kural, bilgisayar tüm permütasyonları hızla deneyebileceği için geçerlidir. Kısa parolalar saniyeler içinde kırılabilecekken birkaç karakter daha eklemek normal bir kişisel bilgisayar için süreyi yıllara çıkarabilmektedir. Bu süre içinde parola değiştirilirse eskisinin kırılmış olmasının bir anlamı kalmayacaktır. Aşağıdaki tabloda 2017 yılının işlemci güçlerine göre parolaların ne kadar sürede kırılabildiğini görmektesiniz.

Üçüncü kural, sözlük saldırısı dediğimiz, dilde geçen tüm sözcükleri, terimleri, özel adları içeren bir sözlüğü sıradan ve bunlardan permütasyon yaratarak parolalar oluşturup sırayla deneme taktiğine karşı tedbirdir. Burada kişi zaten hesap üç yanlış denemede kilitleniyor ya da benzer güvenlik tedbirleri var, diye tehlikeyi göz ardı edebilir ancak unutulmamalıdır ki, zaman zaman Facebook, Hotmail, Yahoo, LinkedIn vb. hizmetler kullanıcı parolalarını çaldırabilmektedir. Her ne kadar parolalar genellikle geri dönüşsüz bir yöntemle kodlansa (hashing) bile, bu yöntem ortaya çıkarılıp saniyede belki de yüzbinlerce farklı parola ile doğrulama denenebilir.

Dört numaralı kuralı herhangi bir parolanız ele geçirildiği durumda düşününüz. İnternette öyle siteler var ki, verdiğiniz bir kullanıcı adı birkaç saniye içinde bilinen yüzlerce sitede kullanılmış mı listeleyebiliyor. Bir parolanız ele geçti mi, farkına varsanız bile, nerelerde kullandınız hatırlayana kadar kötü niyetli kişiler diğer sitelerin parolalarını değiştirip hesaplarınızı sahiplenebilir.

Beş numaralı kural dördüncüde anlatılan ve yaşanmış olan güvenlik olayları oluştu, yani bir site kullanıcı parolalarını çaldırdıysa kötü niyetli kişiler sizi hedef almadan riski bertaraf etmeniz içindir.

Son kurala gelince. Cep telefonlarınıza kurduğunuz kaynağı doğrulanmamış programlar ya da kötü niyetli kod içerdikleri henüz ortaya çıkarılmamış doğrulanmış programlar dosyalarınızı okuma yetkisine sahip olabilir ve bir not dosyanıza erişebilir, ekran görüntünüzü canlı olarak kaydedip gönderebilir. Benzer şeyler kişisel bilgisayarlarda da olabilir. Bu durumda parolalarınız başkalarının eline geçer. Kâğıda yazmak bu kadar riskli olmasa da kağıt da kaybolabilir, başka şeyler olabilir.

Tüm kurallara uymayan ama güçlü bir parolaya örnek vereyim.

ahmet.2dayı@Köyden7geldi ya da

manisaya22.Dakikadagirdim

Öncelikle bu parolalar uzun olduğu için ve iki numaralı kuralı karşıladığı için güçlüdür. Sözlükte geçen sözcükler içerdiği halde iyi bir paroladır. Akılda tutulabilir. Tabii bunun gibi onlarca parolayı akılda tutmak elbette özel yetenekler gerektirir ve pratikte mümkün değildir. Bu durumda altı numaralı kuralı nasıl esnetiriz ona bakalım.

Bu arada, tüm kurallara uyarak ancak benzer hizmetler için benzer parolalar kullanmak kötünün iyisi bir çözümdür.

Parolalarımızı güvenli biçimde nasıl saklayabiliriz?

Parola yöneticisi yazılımları telefonumuza ve bilgisayarımıza yükleyerek, parolalarımızı güvenli biçimde saklayabiliriz. Onlarcası, belki yüzlercesi var. Yalnızca özgür yazılım ve ücretsiz olan KeepassXC’yi tanıtacağım. Windows/MacOS/Linux’ta var ve güncelleniyor. Android ve iOS sürümleri için ise keepass.info sayfasına bakabilirsiniz. Yalnızca Keepass’e giriş için kullanacağınız zor ve asla unutmayacağınız bir parola üretip ezberleyeceksiniz. Gerisini program çözüyor. Programı kendi içinden türetilebilen bir anahtar dosyasıyla kullanmak daha güvenli. Sıklıkla parolanızı ve/veya anahtar dosyasını değiştirmek güvenliğinizi arttıracaktır. Bir de saklamanız gereken *.kdbx şeklinde adlandırılan parolaları barındıran veritabanı dosyası var. Anahtar ve veritabanı dosyasını internette saklayabilirsiniz ya da ikisini aynı ortamda barındırmamak için alternatifler de düşünebilirsiniz.

Hotmail Hesap Güvenlik Ayarları

Öncelikle güvenlik ayarlarını değiştirmek istediğinizde size güvenlik için her seferinde parolanız sorulur. Aşağıda bunları girmeniz gerektiğini ayrıca yazmadım. Bir de telefon doğrulamalarında da yönlendirmeye uyup telefonunuza gelen kodları girin.

Web’de e-posta hesabınıza girdikten sonra sağ üst köşede adınızın baş harflerinin ya da profil resminizin olduğunu göreceksiniz. Buna tıklayınca “Hesabım” seçeneğini göreceksiniz.

Hesabım/Güvenlik/Parola Güvenliği

Adımlarını takip ettiğinizde, vermediyseniz sizden bir telefon numarası istenecek, bununla kimliğiniz doğrulanacak. Hotmail’de bir telefon numaranızın kayıtlı olması şart. Silmek için yenisini vermek zorundasınız ancak aşağıdaki yöntemleri kullanırsanız bunun tek başına bir hesap kurtarma telefonu olmasına engel olabiliyorsunuz.

Hesabım/Güvenlik/Diğer Güvenlik Seçenekleri/İki Basamaklı Doğrulama/

Adımlarını izleyin ve “İki basamaklı doğrulamayı ayarlayın” seçeneğine tıklayın. Buradan birkaç kez “İleri”yi tıklayarak adımları tamamlayım. Telefonunuza “Microsoft Authenticator” uygulamasını kurun ve hesabınızı buna ekleyin.

“Hesabım/Güvenlik/Güvenlik iletişim bilgileri” adımından geçerli telefonu değiştirebilirsiniz ancak yukarıdaki adımları uyguladıysanız hesabınızız SMS’leriniz okunsa bile sizin telefonunuzda kurulu Microsoft Authenticator’dan onay verilmeden parolası değiştirilemez.

Gmail Hesap Güvenlik Ayarları

Öncelikle güvenlik ayarlarını değiştirmek istediğinizde size güvenlik için her seferinde parolanız sorulur. Aşağıda bunları girmeniz gerektiğini ayrıca yazmadım. Bir de telefon doğrulamalarında da yönlendirmeye uyup telefonunuza gelen kodları girin.

Web’de e-posta hesabınıza girdikten sonra sağ üst köşede adınızın baş harflerinin ya da profil resminizin olduğunu göreceksiniz. Buna tıklayınca “Google hesabınızı yönetin” seçeneğini göreceksiniz. Ona tıklayın.

Sol menüde “Güvenlik”e tıklayın “2 Adımlı Doğrulama”yı açın. Önce telefonunuza gelecek Evet/Hayır sorusu demek olan “Google istemlerini” açın, telefon numarasıyla kısa mesajı da etkinleştirin. Daha sonra “Google Authenticator”u etkinleştirin, telefonunuza uygulamasını kurup kare kodu tarayıp ilk kodu girerek işlemi tamamlayın. Daha sonra kısa mesaj onayının yanındaki kalem işaretine basarak “Telefonu numarasını kaldır”a tıklayın. Aynı ekranda yedek kodlar alıp bir kâğıda yazıp çevrimdışındayken telefonunuzda giriş için ya da telefonunuzu kaybettiğinizde kullanmak için kullanabilirsiniz. Bu ekranda “Güvendiğiniz Cihazlar”ı da yönetebilirsiniz. Tarayıcı (Firefox/Safari/Edge/Chrome) ayarlarınızdan çerez (cookie) kabulünü kısıtlayıp çerezlerinin tarayıcıdan çıkışta silinmesini sağlarsanız, bilgisayarınızın yeniden açıldığında 2. güvenlik adımını otomatik olarak atlamasına engel olabilirsiniz. Bunu yapmanızı öneririm.

Yalnız şu geldiğimiz noktada bir güvenlik açığı oluştu. 2 Adımlı Doğrulama için verdiğimiz telefon numarası kurtarma telefon numarası olarak “Google Hesabınızı yönetin/Güvenlik” ekranı altında listeleniyor. Bu numaranın üzerine tıklayın. Çıkacak çöp kovası simgesine tıklayarak numarayı silin. Aynı ekranda kurtarma e-posta adresi varsa ve bu e-posta adresiniz başka hesaplarda kurtarma işlemi için kullanılıyorsa yani bu hesabınız ana hesabınızsa, kurtarma e-posta adresine tıklayıp metin olarak adresi silip “Tamam”a basarak bunu silmenizi öneririm.

Son bir uyarı: Telefon numaranızı silmeniz Google ve Hotmail’de anonim olduğunuz anlamına gelmez. Bu iki servis de tam olarak kimliğinizi ortaya çıkaracak bilgi vermeden kendilerini kullanmanıza olanak vermez. Hesap yarattığınızdan beri size hiç telefon numarası sorulmadıysa bile, bu sizi IP numarası üzerinden vb. izlerden takip ettikleri ve resmi makamlara bu bilgiyi sağlayabileceklerinden emin oldukları anlamına gelir. Anonimlik sağlamak için başka e-posta hizmetleri internette bulunabilir.

[1] E-Operasyon! – Murat Ağırel – Yeniçağ – 25 Şubat 2020

[2] BTK Asıl Şimdi Ceza Kesmeli ; Murat Ağırel ve Batuhan Çolak Telefonlarına Nasıl Sızıldı? – Füsun S. Nebil – T24 – 24 Şubat 2020