Google, verilerinizi nasıl güvende tutuyor?
Siber suçlular, kullanıcı hesaplarını ele geçirmek için bilgisayar korsanlığı, kimlik avı ve kötü amaçlı yazılım gibi çeşitli yöntemler kullanır. Google'dan Stephan Micklitz ve Tadek Pietraszek'in görevi ise onların başarıya ulaşmasını engellemektir.
Bay Pietraszek, siz ve ekibiniz kullanıcı hesaplarının güvenliğini sağlamaktan sorumlusunuz. Bilgisayar korsanlarının hesaplara erişmesini nasıl engelliyorsunuz?
Kullanıcı hesabı güvenliği alanında Baş Yazılım Mühendisi olan Tadek Pietraszek: Öncelikle ilk saldırıyı tespit edebilmemiz önemli. Şüpheli etkinliği tanımlamak için yüzden fazla değişken kullanıyoruz. Almanya'da yaşadığınızı, nadiren yurt dışına çıktığınızı ve birisinin başka bir ülkeden hesabınıza erişmeye çalıştığını düşünün. Bu bir uyarı işaretidir.
Google'ın Gizlilik ve Güvenlik ekibinde Mühendislik Bölümü Yöneticisi olan Stephan Micklitz: Bazen bize verdiğiniz telefon numarasını ya da hesap sahibi olarak yalnızca sizin bileceğiniz başka bir bilgiyi onaylamanızı istememizin nedeni budur.
Tadek Pietraszek (solda), kimlik avının internetteki en büyük güvenlik tehditlerinden biri olduğunu düşünüyor.
Bu tür saldırılar ne sıklıkla meydana geliyor?
Pietraszek: Her gün yüz binlerce siber saldırı düzenleniyor. En büyük sorunumuz, saldırıya uğramış web sitelerinden çalınan kullanıcı adı ve şifrelerin yer aldığı sayısız listenin internette dolaşmasıdır. Kullanıcılarımızın bir kısmı farklı hesaplarda aynı şifreyi kullandığından bu listelerde Google Hesabı giriş verileri de yer almaktadır.
En büyük güvenlik tehdidini bu listeler mi oluşturuyor?
Pietraszek: Kesinlikle. Bu listeler ve klasik kimlik avı saldırıları. Hesap şifrelerini ele geçirmeye çalışan suçlulardan e-posta almayan hemen hemen yoktur. Başarıya ulaşamamaları için doğal olarak biz de üstümüze düşeni yapıyoruz. Gmail gelen kutunuza gönderilen bir e-postayı şüpheli bulursak daha iyi incelemeniz için bir uyarıyla işaretleyebilir ya da otomatik olarak filtreleyebiliriz. Ayrıca kimlik avı web sitesi olduğunu bildiğimiz bir siteye girmeye çalıştığınızda Chrome Tarayıcımız da sizi uyarır.
Micklitz: Kimlik avının iki temel çeşidi vardır. Biri, suçluların mümkün olduğunca fazla giriş verisi toplamak için kullandığı toplu e-postalar, diğeri de belirli bir kişinin hesabını hedef aldıkları "hedefli kimlik avı"dır. Bunlar aylarca süren, karmaşık operasyonlar olabilir. Bu esnada suçlu, mağdurun hayatını ayrıntılı bir şekilde inceler ve doğrudan hedefe yönelik bir saldırı başlatır.
"Gmail gelen kutunuza gönderilen bir e-postayı şüpheli bulursak bir uyarıyla işaretleyebiliriz."
Tadek Pietraszek
Google, kullanıcılarının bu tür saldırılardan korunmasına nasıl yardımcı oluyor?
Pietraszek: Örneğin, 2 adımlı doğrulama sistemini kullanıyoruz. Birçok kullanıcı, online banka hesaplarından bu sisteme aşina. Mesela para aktarmak istiyorsanız hem şifrenizi hem de kısa mesajla gönderilen kodu girmeniz gerekebilir. Google, iki faktörlü kimlik doğrulamayı diğer önde gelen e-posta sağlayıcıların çoğundan önce, 2009'da kullanmaya başladı. Ayrıca cep telefonu numaralarını kaydeden Google kullanıcıları, şüpheli oturum açma girişimlerine karşı benzer seviyede bir korumadan otomatik olarak yararlanır.
Micklitz: İki faktörlü kimlik doğrulama iyi bir yöntem olsa da kısa mesajla gönderilen kodlar bile engellenebiliyor. Örneğin, suçlular mobil hizmet sağlayıcınızla iletişime geçerek kendilerine ikinci bir SIM kartın gönderilmesini sağlamaya çalışabiliyor. Bluetooth vericisi veya USB çubuğu gibi fiziksel bir güvenlik jetonuyla kimliği doğrulamak daha da güvenlidir.
Pietraszek: Bu kaynağı Gelişmiş Koruma Programımız kapsamında kullanıyoruz.
Bu program nedir?
Pietraszek: Google'ın 2017'de başlatılan Gelişmiş Koruma Programı'nın amacı; gazeteciler, CEO'lar, siyasi muhalifler ve politikacılar gibi saldırıya uğrama riski yüksek olan kullanıcıları korumaktır.
Micklitz: Fiziksel Güvenlik Anahtarımızın yanı sıra kullanıcıların anahtarlarını kaybetmeleri halinde kimliklerini doğrulamalarını gerektiren ek adımlar koyarak üçüncü taraf uygulamalarından veri erişimini sınırlandırıyoruz.
Mühendislik Direktörü Stephan Micklitz, Google'da küresel gizlilik ve güvenlikten sorumludur. Münih Teknik Üniversitesinde bilgisayar bilimi eğitimi almış olup 2007'nin son aylarından beri Google'ın Münih ofisinde çalışmaktadır.
Bize bugüne kadar gerçekleşen büyük bir siber saldırıdan ve nasıl karşılık verdiğinizden bahseder misiniz?
Pietraszek: 2017'nin başlarında öyle bir saldırı olmuştu. Bilgisayar korsanları, mağdurların Google Hesaplarına erişim sağlamak ve kişi listelerine sahte e-postalar göndermek için kötü niyetli bir program geliştirmişti. Bu e-postalarda, alıcılardan sahte bir Google dokümanına erişim izni vermesi isteniyordu. O dokümana erişim izni verenler istemeden kötü amaçlı yazılıma da erişim izni vermiş oldu ve aynı sahte e-postaları otomatik olarak kişiler listesindeki diğer kullanıcılara gönderdi. Virüs hızlı bir şekilde yayıldı. Bu gibi durumlar için acil eylem planlarımız var.
Micklitz: Mesela bu vakada, bu e-postaların Gmail'de dağıtılmasını engelledik, programa verilen erişim iznini iptal ettik ve hesapların güvenliğini sağladık. Tabii ki ileride benzer saldırıların gerçekleştirilmesini zorlaştırmak için sistematik önlemler de ekledik. Google Hesaplarına sürekli saldırı yapılıyor ama otomatik sistemlerimiz en etkili korumayı sunarak bunları engelliyor. Buradaki başarımız tabii ki kullanıcılarımıza ikinci bir e-posta adresi veya cep telefonu numarası gibi Google Hesapları dışında bir kanaldan ulaşabilmemize bağlı.
"Aslında birkaç temel kuralı uygulamak genellikle yeterli oluyor."
Stephan Micklitz
Güvenlik, ortalama bir kullanıcı için ne kadar önemli?
Pietraszek: Birçok kişi çok önemli olduğunu düşünüyor, ancak gerekli güvenlik önlemlerini almak zahmetli olabiliyor. Mesela kullanıcıların genellikle farklı hesaplarda aynı şifreyi kullanmak gibi korkunç bir hata yapmasının nedeni de bu. Bizim işimiz, kullanıcılara minimum çaba sarf ederek hesaplarını nasıl koruyabileceklerini açıklamak. Google Hesabı'nda kullanıcıların ayarlarını kolayca kontrol edebilmesini sağlayan Güvenlik Kontrolü işlevini sunmamızın nedeni de bu.
Micklitz: Aslında birkaç temel kuralı uygulamak genellikle yeterli oluyor.
Bu kurallar neler?
Micklitz: Farklı hizmetlerde aynı şifreyi kullanmayın, güvenlik güncellemelerini yükleyin ve şüpheli yazılımlardan uzak durun. Size başka yollardan da ulaşılabilmesi için bir telefon numarası veya alternatif e-posta adresi sağlayın. Ayrıca, yetkisiz kişilerin erişmesini zorlaştırmak için telefonunuzun ekran kilidini etkinleştirin. Bu adımlar bile başlı başına iyi bir başlangıçtır.
.
Fotoğraflar: Conny Mirbach