Google, verilerinizi nasıl güvende tutar?

Siber suçlular, kullanıcı hesaplarını ele geçirmek için bilgisayar korsanlığı, kimlik avı ve kötü amaçlı yazılım gibi çeşitli yöntemler kullanır. Google'dan Stephan Micklitz ve Tadek Pietraszek'in görevi ise onların başarıya ulaşamamasını sağlamaktır.

Bay Pietraszek, siz ve ekibiniz kullanıcı hesaplarının güvenliğini sağlamaktan sorumlusunuz. Bilgisayar korsanlarının hesaplara erişim sağlamasını nasıl engelliyorsunuz?

Kullanıcı hesabı güvenliği alanında Baş Yazılım Mühendisi olan Tadek Pietraszek: Öncelikle ilk saldırıyı tespit edebilmemiz önemli. Şüpheli etkinliği tanımlamak için yüzden fazla değişken kullanıyoruz. Almanya'da yaşadığınızı, nadiren yurt dışına çıktığınızı ve birisinin başka bir ülkeden hesabınıza erişmeye çalıştığını düşünün. Bu bir uyarı işaretidir.

Google'ın Gizlilik ve Güvenlik ekibinde Mühendislik Bölümü Yöneticisi olan Stephan Micklitz: Bazen bize verdiğiniz telefon numarasını ya da hesap sahibi olarak yalnızca sizin bileceğiniz başka bir bilgiyi onaylamanızı istememizin nedeni budur.

Tadek Pietraszek (solda), kimlik avının internetteki en büyük güvenlik tehditlerinden biri olduğunu düşünüyor.

Bu tür saldırılar ne sıklıkla meydana geliyor?

Pietraszek: Her gün yüz binlerce siber saldırı başlatılıyor. En büyük sorunumuz, saldırıya uğramış web sitelerinden çalınan kullanıcı adı ve şifrelerin yer aldığı sayısız listenin internette dolaşmasıdır. Kullanıcılarımızın bir kısmı farklı hesaplarda aynı şifreyi kullandığından bu listelerde Google Hesabı giriş verileri de yer almaktadır.

En büyük güvenlik tehdidini bu listeler mi oluşturuyor?

Pietraszek: Kesinlikle evet. Bu listeler ve klasik kimlik avı saldırıları. Hesap şifrelerini ele geçirmeye çalışan suçlulardan e-posta almayan hemen hemen yoktur. Başarıya ulaşamamaları için doğal olarak biz de üstümüze düşeni yapıyoruz. Gmail gelen kutunuza gönderilen bir e-postayı şüpheli bulursak daha iyi incelemeniz için bir uyarıyla işaretleyebilir ya da otomatik olarak filtreleyebiliriz. Ayrıca kimlik avı web sitesi olduğunu bildiğimiz bir siteye girmeye çalıştığınızda Chrome tarayıcımız da sizi uyarır.

Micklitz: Kimlik avının iki temel çeşidi vardır. Biri, suçluların mümkün olduğunca fazla giriş verisi toplamak için kullandığı toplu e-postalar, diğeri de belirli bir kişinin hesabını hedef aldıkları "hedefli kimlik avı"dır. Bunlar aylarca süren sofistike operasyonlar olabilir. Bu esnada suçlu, kurbanın hayatını ayrıntılı bir şekilde inceler ve doğrudan hedefe yönelik bir saldırı başlatır.

"Gmail gelen kutunuza gönderilen bir e-postayı şüpheli bulursak bir uyarıyla işaretleyebiliriz."

Tadek Pietraszek

Google, bu tür saldırıları engellemeye çalışan kullanıcılarına nasıl yardımcı oluyor?

Pietraszek: Burada 2 Adımlı Doğrulama sistemimizi örnek verebiliriz. Birçok kullanıcı, online banka hesaplarından bu sisteme aşina. Mesela para aktarmak istiyorsanız hem şifrenizi hem de kısa mesajla gönderilen kodu girmeniz gerekebilir. Google, iki faktörlü kimlik doğrulamayı diğer önde gelen e-posta sağlayıcıların çoğundan önce, 2009'da kullanıma sundu. Ayrıca cep telefonu numaralarını kaydeden Google kullanıcıları, şüpheli oturum açma girişimlerine karşı benzer seviyede bir korumadan otomatik olarak yararlanır.

Micklitz: İki faktörlü kimlik doğrulama iyi bir yöntem olsa da kısa mesajla gönderilen kodlar bile engellenebiliyor. Örneğin, suçlular mobil hizmet sağlayıcınızla iletişime geçerek kendilerine ikinci bir SIM kartın gönderilmesini sağlamaya çalışabiliyor. Bluetooth vericisi veya USB çubuğu gibi fiziksel bir güvenlik jetonuyla kimliği doğrulamak daha da güvenlidir.

Pietraszek: Bu kaynağı Gelişmiş Koruma Programımız kapsamında kullanıyoruz.

Bu nedir?

Pietraszek: Google'ın 2017'de kullanıma sunduğu Gelişmiş Koruma Programı'nın amacı; gazeteciler, CEO'lar, siyasi muhalifler ve politikacılar gibi saldırıya uğrama riski yüksek olan kullanıcıları korumaktır.

Micklitz: Fiziksel Güvenlik Anahtarımızın yanı sıra kullanıcıların anahtarlarını kaybetmeleri halinde kimliklerini doğrulamalarını gerektiren ek adımlar koyarak üçüncü taraf uygulamalarından veri erişimini sınırlandırıyoruz.

Stephan Micklitz
Sicherheitsschlüssel

Mühendislik Bölümü Yöneticisi Stephan Micklitz, Google'da küresel gizlilik ve güvenlikten sorumludur. Münih Teknik Üniversitesi'nde bilgisayar bilimi eğitimi almış olup 2007'nin son aylarından beri Google'ın Münih ofisinde çalışmaktadır.

Bize bugüne kadar gerçekleşen büyük bir siber saldırıdan ve nasıl karşılık verdiğinizden bahseder misiniz?

Pietraszek: 2017'nin başlarında öyle bir saldırı olmuştu. Bilgisayar korsanları, kurbanların Google Hesaplarına erişim sağlamak ve kişi listelerine sahte e-postalar göndermek için kötü niyetli bir program geliştirmişti. Bu e-postalarda, alıcılardan sahte bir Google dokümanına erişim izni vermesi isteniyordu. O dokümana erişim izni verenler istemeden kötü amaçlı yazılıma da erişim izni vermiş oldu ve aynı sahte e-postaları otomatik olarak kişiler listesindeki diğer kullanıcılara gönderdi. Virüs hızlı bir şekilde yayıldı. Bu gibi durumlar için acil eylem planlarımız var.

Micklitz: Mesela bu vakada, bu e-postaların Gmail'de dağıtılmasını engelledik, programa verilen erişim iznini iptal ettik ve hesapların güvenliğini sağladık. Tabii ki ileride benzer saldırıların gerçekleştirilmesini zorlaştırmak için sistematik önlemler de ekledik. Google Hesaplarına sürekli saldırı yapılıyor ama otomatik sistemlerimiz en etkili korumayı sunarak bunları engelliyor. Buradaki başarımız tabii ki kullanıcılarımıza ikinci bir e-posta adresi veya cep telefonu numarası gibi Google Hesapları dışında bir kanaldan ulaşabilmemize bağlı.

"Aslında birkaç temel kuralı uygulamak genellikle yeterli oluyor."

Stephan Micklitz

Güvenlik, ortalama bir kullanıcı için ne kadar önemli?

Pietraszek: Birçok kişi çok önemli olduğunu düşünüyor, ancak gerekli güvenlik önlemlerini almak zahmetli olabiliyor. Mesela kullanıcıların genellikle farklı hesaplarda aynı şifreyi kullanmak gibi korkunç bir hata yapmasının nedeni de bu. Bizim işimiz, kullanıcılara minimum çaba sarf ederek hesaplarını nasıl koruyabileceklerini açıklamak. Google Hesabı'nda kullanıcıların ayarlarını kolayca kontrol edebilmesini sağlayan Güvenlik Kontrolü işlevini sunmamızın nedeni de bu.

Micklitz: Aslında birkaç temel kuralı uygulamak genellikle yeterli oluyor.

Nedir o kurallar?

Micklitz: Farklı hizmetlerde aynı şifreyi kullanmayın, güvenlik güncellemelerini yükleyin ve şüpheli yazılımlardan uzak durun. Size başka yollardan da ulaşılabilmesi için bir telefon numarası veya alternatif e-posta adresi sağlayın. Bir de yetkisiz kişilerin erişmesini zorlaştırmak için telefonunuzun ekran kilidini etkinleştirin. Bu adımlar bile başlı başına iyi bir başlangıçtır.

Fotoğraflar: Conny Mirbach

Siber güvenlikteki gelişmeler

Dünyada internette güvenliğini sağladığımız kişilerin sayısı herkesten fazla. Google'ın bunu nasıl başardığını öğrenin.

Daha fazla bilgi