İnternet şifrelerini yönetme

Konu internette güvenlik olduğunda birçok kullanıcı kendisini bunalmış hissediyor. Google'dan Mark Risher ve Stephan Micklitz güvenlik önlemleri geliştirirken bu duyguları hesaba katmaktan bahsediyor.

Bay Risher, Google'da internet güvenliği alanında çalışan Ürün Yönetimi Direktörüsünüz. Hiç internet dolandırıcılığı kurbanı oldunuz mu?

Mark Risher: Şu anda somut bir örnek aklıma gelmiyor ama internette gezinirken herkes gibi hatalar yaptığımı varsayabiliriz. Örneğin, yakın zaman önce Google şifremi yanlış web sitesine girdim. Neyse ki, Chrome Şifre Uyarısı eklentisini yüklemiştim ve uyarı aldım. Elbette bu olaydan sonra şifremi hemen değiştirdim.

Stephan Micklitz, Google'ın Gizlilik ve Güvenlik ekibinde Mühendislik Bölümü Yöneticisi: İnsanlık hali. Bir şifreyi ezberledikten sonra nereye girdiğimize yeterince dikkat etmeden onu kolayca kullanabiliriz.

Risher: Şifreleri tamamen ortadan kaldırmak iyi olurdu ancak ne yazık ki bu o kadar kolay değil.

"Birçok güvenlik önlemi perde arkasında gerçekleşir."

Mark Risher

Şifrelerin nesi bu kadar kötü?

Risher: Pek çok dezavantajları var. Çalınmaları kolay, hatırlanmaları zordur. Ayrıca şifreleri yönetmek zahmetli bir hal alabilir. Çoğu kullanıcı bir şifrenin olabildiğince uzun ve karmaşık olması gerektiğine inanıyor. Aslında bu durum güvenlik riskini artırır. Karmaşık şifreler, kullanıcılarda bu şifreleri birden fazla hesapta kullanma eğilimine neden olarak güvenlik açığını arttırabilir.

Micklitz: Bir şifreyi ne kadar az girerseniz o kadar iyidir. Bu yüzden hesaplarınızda sürekli olarak oturum açıp kapatmamalısınız. Zamanla bu davranış kullanıcıların o anda hangi web sayfasında olduklarına dikkat etmemelerine neden olarak şifre hırsızlarının işini çok daha kolaylaştırabilir. Bu sebeple, kullanıcılarımıza oturumlarını açık tutmalarını tavsiye ediyoruz.

Bankamın web sitesi birkaç dakika işlem yapmadığımda oturumumu otomatik olarak sonlandırıyor.

Micklitz: Maalesef birçok şirket güncelliği kalmamış kuralları uygulamaya devam ediyor. Sürekli çıkış yapma tavsiyesi, çoğu kullanıcının internet kafelerde internete bağlı olduğu veya bir bilgisayarı başkalarıyla paylaştığı dönemlerden kalmadır. Araştırmamıza göre, kullanıcılar şifrelerini ne kadar çok girererse siber saldırı kurbanı olma olasılıkları o kadar yüksektir. Bu nedenle, basitçe cep telefonunuzun veya bilgisayarınızın ekran kilidini etkinleştirmeniz ve güvenli bir şifre kullanmanız daha iyidir.

Risher: Doğru. Ne yazık ki, yanlış veya pratik olmayan çok sayıda tavsiye ortalıkta dolaşıyor ve bunlar birçok kullanıcının kafasını karıştırabiliyor. En kötü senaryoda, kullanıcıların kafa karışıklığı o kadar artıyor ki, pes ederek, “Kendimi korumak bu kadar zorsa hiç uğraşmasam daha iyi” diyebiliyorlar. Bu bir bakıma etrafta hırsızlar olduğunu bilmenize rağmen evinizin kapısını sürekli açık bırakmaya benziyor.

Mark Risher
USB Sicherheitsschlüssel

Mark Risher, Google'ın güvenlik ve gizlilik Ürün Yönetimi Direktörüdür. 2010'da siber güvenlik girişimi Impermium'u kurdu. Bu girişim 2014'te Google tarafından satın alındı. Risher, o tarihten beri şirketin Mountain View, Kaliforniya'daki merkezinde çalışmaktadır. Sağda: Gelişmiş Koruma Programı'nda kullanıldığı şekliyle bir güvenlik anahtarı. Güvenlik anahtarları küçük bir ücret karşılığında satın alınarak çeşitli web sitelerinde kullanılabilir.

Şifreler kaldırılsaydı Google kullanıcı güvenliğini nasıl sağlardı?

Risher: Perde arkasında çalışan birçok ek güvenlik önlemimiz zaten mevcut. Bilgisayar korsanları şifrenizi ve cep telefonu numaranızı öğrenseler bile Google Hesabınızın güvenliğini yüzde 99,9 oranında garanti edebilliyoruz. Örneğin, bir kullanıcının hangi cihazdan veya ülkeden giriş yaptığını kontrol ediyoruz. Birisi yanlış şifre ile arka arkaya birkaç kez hesabınıza giriş yapmaya çalıştığında güvenlik sistemlerimizin alarmları harekete geçiyor.

Micklitz: Ayrıca geliştirdiğimiz Güvenlik Kontrolü sayesinde kullanıcılar Google Hesaplarındaki kişisel güvenlik ayarlarının üzerinden adım adım geçebilirler. Gelişmiş Koruma Programı ile bir adım daha ileri gidiyoruz.

Bu programın altında yatan fikir nedir?

Micklitz: Program başlangıçta, suçluların özellikle ilgisini çekebilecek politikacılar, CEO'lar, gazeteciler gibi kişiler için geliştirildi. Ancak günümüzde internette ek koruma isteyen herkes tarafından kullanılabilir. Yalnızca özel USB veya Bluetooth donanım kilidine sahip olanlar korumalı Google Hesaplarına erişebilirler.

Risher: Tüm Google çalışanları şirket hesaplarını güvende tutmak için güvenlik anahtarı kullandığından bu sistemin ne kadar etkili olduğunu deneyimlerimizden biliyoruz. Bu güvenlik önlemini uygulamaya koyduğumuzdan bu yana şifre onayına kadar izlenebilecek tek bir kimlik avı vakası bile yaşamadık. Jeton kullanımı, Google Hesabı güvenliğini büyük ölçüde iyileştiriyor. Saldırganlar şifreyi bilseler bile jeton olmadan hesaba erişemez. Çoğu zaman internetteki bir hesap dünyanın herhangi bir yerinden saldırıya uğrayabilir. Ancak fiziksel güvenlik jetonuyla korunan hesaplarda bu söz konusu değildir.

Micklitz: Bu arada, güvenlik jetonları yalnızca Google'ın Gelişmiş Koruma Programı'nda değil birçok web sitesinde kullanılabilir. Bunları küçük bir ücret karşılığında bizden veya diğer tedarikçilerden edinebilirsiniz. Tüm ayrıntılar g.co/advancedprotection adresinde bulunabilir.

"Kullanıcılar internetteki riskleri değerlendirmekte bazen zorlanıyorlar."

Stephan Micklitz

Size göre günümüz internetinde farkında olmadığımız en büyük tehlikeler nelerdir?

Risher: Sorunlardan biri, kullanıcı adları ve şifreleri içeren birçok listenin internette dolaşıyor olması. İş arkadaşımız Tadek Pietraszek ve ekibi altı hafta boyunca internette yaptıkları ayrıntılı araştırmada 3,5 milyar kullanıcı adı ve şifre kombinasyonu buldular. Bunlar saldırıya uğramış Google Hesaplarından elde edilen değil, diğer sağlayıcılardan çalınan verilerdi. Ancak birçok kullanıcı aynı şifreyi birkaç farklı hesapta kullandığından bu listeler bizim için de sorun oluşturuyor.

Micklitz: Hedefli kimlik avını büyük bir tehlike olarak görüyorum. Bu saldırı türünde saldırgan, kurbanın, hileli niyetin farkına varmasının zor olduğu akıllıca kişiselleştirilmiş bir mesaj oluşturur. Bilgisayar korsanlarının bu yöntemi giderek daha fazla ve başarılı bir şekilde kullandığını görüyoruz.

Risher: Stephan'a katılıyorum. Ayrıca, hedefli kimlik avı, göründüğü kadar zaman alan bir yöntem değil. Bir spam e-postayı kişiselleştirmek çoğu durumda yalnızca birkaç dakika alır. Bilgisayar korsanları, kullanıcıların internette kendileri hakkında yayınladıkları bilgileri kullanabilirler. Kripto paralarla ilgili bir örneği ele alalım. Birisi 10.000 bitcoin'i olduğunu herkese açıklarsa, bu bilgi siber suçluların dikkatini çektiğinde şaşırmamalıdır.

Micklitz: Bu durum bir pazar yerinin ortasında durup megafonla banka hesabımdaki para miktarını duyurmaya benziyor. Bunu kim yapar? Hiç kimse. Ancak kullanıcılar internetteki riskleri değerlendirmekte bazen zorlanıyorlar.

Sıradan spam e-postaları sorun olmaya devam ediyor mu?

Risher: Cihazların ve hizmetlerin birbirine bağlanması bizim için büyük bir zorluk. Kullanıcılar internete bağlanırken yalnızca dizüstü bilgisayarları ile akıllı telefonları değil aynı zamanda TV'leri, akıllı saatleri ve akıllı hoparlörleri de kullanıyorlar. Tüm bu cihazlarda çalışan çeşitli uygulamalar bilgisayar korsanlarına birçok potansiyel saldırı noktası sunuyor. Günümüzde birçok cihaz birbirine bağlı olduğundan, bilgisayar korsanları bir cihazı kullanarak diğer bir cihazda depolanan bilgilere erişmeye çalışabilirler. Bu durumda ele almamız gereken soru şudur: Çok sayıda yeni kullanım alışkanlığı karşısında kullanıcılarımızın güvenliğini nasıl garanti edebiliriz?

Micklitz: Önce kendimize her hizmet için gerçekte hangi verilere ihtiyacımız olduğunu ve hizmetler arasında hangi verilerin aktarıldığını sormalıyız.

Kullanıcıların korunmalarına yardımcı olmada yapay zekayı nasıl kullanıyorsunuz?

Micklitz: Google yapay zekayı epey bir süredir kullanıyor.

Risher: Bu teknoloji en başından beri e-posta hizmetimiz Gmail'e dahil edilmiş durumda. Google makine öğrenimi ile uğraşan programcıların işini kolaylaştıran TensorFlow adlı kendi makine öğrenimi kitaplığını bile geliştirdi. Gmail, tipik kalıpları tanıma konusunda değerli bir hizmet sunan TensorFlow'dan özellikle yararlanıyor.

Bu kalıp tanıma işlevinin nasıl çalıştığını açıklayabilir misiniz?

Risher: Bazı kullanıcılar arasında kategorize edemediğimiz şüpheli etkinlik gözlemlediğimizi varsayalım. Kendi kendine öğrenen bir makine bu olayları karşılaştırabilir ve en iyi senaryoda yeni dolandırıcılık türlerini internette yayılmaya başlamadan önce bile tespit edebilir.

Micklitz: Ama sınırları var: Bir makine ancak onu kullanan kişi kadar zekidir. Bir makineyi yanlış veya tek taraflı verilerle beslersem tanıdığı kalıplar da yanlış veya tek taraflı olur. Büyük heyecana neden olmasına rağmen yapay zekanın etkinliği her zaman onu kullanan kişiye bağlıdır. Makineyi yüksek kaliteli verilerle eğitmek ve daha sonra sonuçları kontrol etmek kullanıcıya kalmıştır.

Risher: Geçmişte farklı bir e-posta sağlayıcısında çalışırken Lagos'taki bir banka çalışanından mesaj almıştık. O zamanlar Nijerya'dan geldiği düşünülen çok sayıda dolandırıcılık e-postası ortalarda dolaşıyordu. Adam saygın bir bankada çalışmasına rağmen gönderdiği e-postaların her zaman alıcının spam klasörüne düştüğünden yakınıyordu. Bu çok sık karşılaşılan durumda, kalıp tanıma teknolojisinin yetersiz bilgi nedeniyle yanlış genellemelere ulaştığı görülüyor. Algoritmayı değiştirerek bu sorunun çözümüne yardımcı olabilmiştik.

Fotoğraflar: Conny Mirbach

Siber güvenlikteki gelişmeler

Dünyada internette güvenliğini sağladığımız kişilerin sayısı herkesten fazla. Google'ın bunu nasıl başardığını öğrenin.

Daha fazla bilgi