Son yıllarda teknolojideki gelişim ile blockhain, metaverse, DEFİ, DAO gibi pek çok kavram hayatımıza girdi. Ancak teknolojinin gelişimi her zaman iyi gelişmelere sahne olmuyor. Bununla birlikte siber saldırılar da ciddi artış gösterdi ve kullanıcılar için önemli bir endişe kaynağı olarak görülüyor. Özellikle metaverse ve CBDC gibi alanlarda kişisel gizliliğe yönelik tartışmaların zirve yapmış dönemlerde siber saldırılardan korunabilmek oldukça önemli. Peki gelişen teknolojilere güvenli erişim için neler yapılmalı, internetin karanlık tarafına karşı nasıl bir önlem almalıyız? ESET Türkiye Bilgi Güvenliği Uzmanı Ulaşcan Şahin ile Kaspersky Baş Veri Bilimcisi Vladislav Tushkanov yanıtladı.
Cointelegraph’tan Hazal Orta’nın haberine göre, son yıllarda DeFi, yani merkeziyetsiz finans, milyon dolarlık bir sektör haline geldi. Dolayısıyla buradaki pastadan payını almak isteyenler ellerini iştahla ovuştururken, bunların bir kısmı ‘kötü niyeti’ni de yanında getirdi. Yaşanan birçok siber saldırı, milyonlarca dolarlık kayıp bunun en somut göstergesi oldu. Tabii ki bu saldırılardan kullanıcıların minimum hasarla çıkması çok önemli. Sahip olduklarını kaybeden kişilerin, hayatlarının ne seviyelerde olumsuz etkilendiğini tahmin etmek bile çoğu zaman zor. Siber güvenliği sağlama noktasında, yazılımsal açıkların olduğu su götürmez bir gerçek. Öte yandan, kullanıcıların da alması gereken önlemler var. ‘Güvenlik İhtiyacı’nın karşılanması için, kullanıcıların bilinçlenmesi oldukça önemli.
Gelişen Teknolojilere Güvenli Erişim İçin Yapılması Gerekenler…
İnternete bağlandığımız her an bir tehditin ortasında olduğumuza dikkat çeken ESET Türkiye Bilgi Güvenliği Uzmanı Ulaşcan Şahin, ister bir metaverse projesi olsun ister MetaMask gibi cüzdan ile bağlandığımız bir merkeziyetsiz borsa, kullanıcının bunlardan herhangi birine bağlanmak istediğinde karşı tarafın sunucusuna bir takım verilerinin gönderildiğini bilmesi gerektiğinin altını çiziyor. Aslında bunlar, sanal ortamdaki parmak izi gibi düşünülebilir.
Çoğunlukla karşılaşılan durum da bu parmak izlerinin saldırganlar tarafından ters bağlantı ya da oltalama yöntemleriyle ele geçirilmesinden kaynaklanıyor. Şahin’e göre, bu izler alındıktan sonra 2FA da kullanıcıları kurtaramıyor. Dolayısıyla Şahin, cookie bilgilerimizi iyi saklayacak, Brave gibi tarayıcıların, girdiğimiz sitelerin güvenlik taramalarını yapacak guard.io gibi eklentilerin ve her bağlantıdan sonra bağlantı temizliğini yapmanın büyük ölçüde kullanıcıların güvenliğini sağlayabileceğine dikkat çekiyor.
Kaspersky’nin Baş Veri Bilimcisi Vladislav Tushkanov’a bu durumu sorduğumuzda, en ciddi tehdidin, bir kişinin sahip olduğu tüm kripto varlıklarının tek merkezde toplanması olduğunu söyledi. Çoğu proje Ethereum ekosistemini kullandığından, bir kişinin tüm eşyaları aynı cüzdana bağlı olabilir. Bu senaryoda kişisel anahtara olan erişimin kaybedilmesi, diğer varlıkların kaybedilmesi anlamını da taşıyabilir. Tushkanov, kullanıcıların cihazlarının güvenliği ve key storage drive (KSD) konusunda çok dikkatli olmaları gerektiğine vurgu yaparak, olası kimlik avı saldırılarına karşı daima tetikte olunmasının hayati önem taşıdığını vurguladı.
Kullanıcı güvenliğinin sağlanmasıyla ilgili yapılması gerekenler ise Tushkanov’a göre, çoğunlukla aynı. Yani aslında bazı önlemler kriptoya özgü olsa da insanların güvenliklerini sağlamak için göz önünde bulundurması gerekenler aslında çevrimiçi olan her yerde aynı. Hesaplara erişirken potansiyel kimlik avına dikkat etmek şart. Kötü amaçlı yazılımların bulaşmasını önlemek için güvenlik çözümleri de kullanılmalı. Gerçek olmayacak kadar iyi görünen bir teklifle karşılaşıldığında mutlaka 2 kez düşünmek gerekiyor. Parola yöneticisi gibi güvenli bir çözüm kullanmak da hesap korumasına yardımcı olabilir. Tushkanov’un bu konu ile ilgili son sözleri şöyle: “Eğer donanım şifrelemeli bir cüzdan kullanmaya karar verirseniz, saygın bir şirketten satın aldığınızdan emin olun ve üçüncü kişilerden satın almaktan kaçının”
ESET Türkiye Bilgi Güvenliği Uzmanı Ulaşcan Şahin ise işin güvenlik kısmından ziyade devletlerin alması gereken role ve onların yapıcı regülasyonlar getirmesine dikkat çekiyor. Özellikle DEX’ler ile birlikte bazı yardımcı platformlar kullanarak 5-10 dakikada kripto para çıkarabilir hale gelmek mümkün. Bu da aslında dolandırıcıların ekmeğine yağ sürmek. Şahin, burada kullanıcıların neye yatırım yaptığını bilmesi gerektiğine dikkat çekiyor. “Gerekli farkındalığı ve bilgisi olmadığı halde kolay para kazanma hırsıyla paralarını dolandırıcılara, scam projelere kaptıran çok insan var” diyen Şahin, Cointelegraph Türkiye’ye yaptığı yorumda, kişisel farkındalığı artırmanın öneminin altını önemle çizdi.
Yazılım dünyasının neredeyse kalbinin attığı yardımlaşma forumları ve açık kaynak kodları, birçok önemli ‘derdin’ de çözümü oluyor. Tabii burada yazılan benzer kodların blokzincir projelerinde kullanılmasıyla ilgili de bir risk var. Yaşanan son Ulaşcan Şahin’e göre, burada açık kaynak kodlu yapılar olsa bile, eliptik eğri dediğimiz dijital imza algoritmaları devreye giriyor. Yani sisteme başkasının parası aslında benim demeniz için bu algoritmaları kırmanız gerekiyor ki şu an dünyadaki bütün işlem yapan cihazları kullanabiliyor olsanız bile birinin gizli anahtarını bulana kadar geçen süre bin yıllar boyunca devam edebilir. Teknik olarak bu gizli anahtarlar 256 bitlik sayılardan oluşur. Bu 2 üzeri 256 farklı anahtar demektir ve gözlemlenebilir evrendeki atom sayısından bile fazla bir sayıya denk gelir. Bu algoritmaları bir şekilde kırabilirseniz sadece Bitcoin değil herkesin bankasındaki paraları da alabilirsiniz çünkü oralarda da aynı kriptografik algoritmalar kullanılıyor.
