Bulduğumuz her yerde internet erişim imkanını kullanmak istiyoruz, peki nasıl bir dünyaya girdiğimizin farkında mıyız? Peki ya ziyaretçilerine internet erişimi sağlayarak onları mutlu etmeye çalışan işletmeciler, sizce herkes masasında sakin sakin otururken sizin sahibi olduğunuz hattı kullanarak siber dünyada suç işliyor olabilir mi?
BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri Şirket Ortağı Fatih Emiral Kablosuz Ağ Erişiminden yayılan tehlikeyi ve alınması gereken önlemleri yazdı…
Dinlenebilirsiniz!
İletişim teknolojisi kablolu olduğunda insanlar onun ne olduğunu biraz da olsa hissedebiliyor, algılayabiliyordu. Kablosuz teknoloji geldiğinde onu algılamak daha da zorlaştı. İzin verin kablosuz bir ağa bağlanmanın ne demek olduğunu size açıklamaya çalışayım. Arabamızda radyo dinliyoruz değil mi, kablosuz ağlar da aynı fiziksel fenomeni kullanarak çalışıyor. Radyo analojisini anlıyorsanız ve radyoyu sinyali alan herkesin dinlediğini biliyorsanız kablosuz bir ağa bağlandığınızda bilgisayarınızın ilettiği ve erişim noktasının ilettiği verilerin de yakında olan herkes tarafından dinlenebileceğini anlayabilirsiniz. O halde elde var bir, kriptosuz iletişimleriniz ağa dahil olan (eğer ağ iletişimi kriptolu ise) ve olmayan (eğer ağ iletişimi kriptosuz ise, yani WPA, WEP gibi bir kablosuz ağ erişim kontrolü yok ise) herkes tarafından dinlenebilir. Dinlenirse ne olur, bu tamamen yaptığınız iletişimin içeriğine bağlı. Kişisel bilgileriniz, e-posta erişim bilgileriniz, finansal bilgileriniz, v.s. tanımadığınız birilerinin eline geçebilir. Bu imkanlar doğrudan size zarar vermek amacıyla kullanılabileceği gibi sizin yerinize geçerek işlenecek suçlarda suçu sizin üzerinize yıkmak amacıyla da kullanılabilir. Peki kriptolu iletişim nedir, ben bunu nasıl ayırt edeceğim derseniz, tarayıcı (browser) ile yapacağınız iletişim için HTTPS iletişiminin kriptolu olduğunu söyleyebiliriz, ama mobil uygulamalarınız ile ilgili son kullanıcının hiç bir fikri olamaz. Burada sorumluluk, kullanıcılarını koruma sorumluluğu, mobil uygulamayı geliştiren kurumda, ama risk elbette kullanıcıları da etkiliyor.
Güvenli Bağlantılarınız Dinlenebilir!
Diyelim ki HTTPS protokolü ile güvenli biçimde e-posta hesabınıza veya internet şubesine eriştiğinizi düşünüyorsunuz, böyle bir iletişimi dinlemenin herhangi bir yolu yok mu? Maalesef var. Teknoloji ürünleri belirli standart kurallar, yani protokollere bağlı kalarak çalışır. Aksi takdirde farklı üreticilerin ürettiği ürünlerin bir arada çalışabilmesi mümkün olmazdı. Ağ teknolojisi de bunlardan biridir. Bazen teknolojinin içsel zaafiyetleri olabilir ve ağ teknolojisinin de var. Protokol kuralları kötüye kullanılarak cihazınız aslında bir ağ cihazına bağlandığını zannederken bir saldırganın sistemine yönlendirilebilir. Bu yönlendirme ve araya girme işlemi bilgisayarınızın veya cihazınızın sertifika kontrolü sırasında tespit edilecektir. Ancak bunun anlamını herkesin bilmesini beklemek çok gerçekçi değil.
Bilgisayarınız Saldırıya Uğrayabilir!
Kişisel güvenlik duvarınız aktif değilse, dizin paylaşımlarınız var ve herkes erişebiliyorsa veya tahmin edilebilir kullanıcı parolalarınız varsa zararlı yazılımlar veya gerçek saldırganlar bilgisayarınızı ele geçirebilir. Bilgisayarınızdan kişisel bilgileriniz çalınabileceği gibi bilgisayarınız üzerinden başkalarına karşı saldırılar düzenlenirken sorumlu siz olabilirsiniz.
İnternet Erişiminiz Üzerinden Suç İşlenebilir!
Ortak kullanılan hotspot bağlantılarında bu hizmeti sağlayan kurum ve işletmeler de risk altında. Ziyaretçileriniz ve misafirlerinize sağladığınız hotspot imkanı kullanılarak üçüncü taraflara yönelik internet suçları işlenebilir. Bu suçlara örnek olarak farkı kurumların altyapılarına zarar verme, çalıntı kredi kartı ile alış veriş, hakaret içerikli mesajlaşmalar verilebilir. Böyle bir durumda internet hizmet sağlayıcı kayıtlarında sizin sahibi olduğunuz hat görüneceği için olası bir yasal süreçte siz sorumlu olacaksınız.
Ne Yapmalı?
Hotspot kullanıcısı iseniz kişisel güvenlik duvarınızın aktif olduğundan emin olmalısınız. Yaptığınız hassas bağlantılarda HTTPS protokolünün kullanıldığından emin olmalı ve tarayıcınızın uyarılarına dikkat etmelisiniz. Mobil uygulamaların HTTPS bağlantısı kurup kurmadığından normal bir kullanıcı olarak maalesef emin olamazsınız. Ancak mobil uygulamaların büyük çoğunluğu HTTPS protokolünü kullanıyorsa ve araya giriliyorsa uygulama çalışmasına son verecektir.
İnternet hizmeti sağlayan kurum veya işletmeciler ise mutlaka kullanıcılar için bir kimlik doğrulama kontrolü uygulayan ve erişimleri loglayan bir çözüm için gerekli yatırımı yapmalıdır. Bu aynı zamanda yasal bir zorunluluktur.
