Bulut Servisleri Ne Kadar Güvenli?

Bulut bilişim, hem şirketlerin hem de standart kullanıcıların hayatlarının bir parçası haline geldi. Peki verilerimizi emanet ettiğimiz bu servisler yeterince güvenilir mi?

Eskiden sadece e-posta adreslerimiz vardı. İnternette fotoğraf veya küçük herhangi bir veri depolamamız gerektiğinde kendimize bir e-posta gönderirdik. Hali hazırda 5 MB depolama alanı sağlayan e-posta sağlayıcılar, çoğu zaman birden fazla hesap açmamıza sebep oluyordu.

Teknolojinin ilerleyişi elbette ki kurumsal tarafta olduğu kadar son kullanıcı tarafında da önemli gelişmelere sahne oluyor. Bulut bilişim elbette ki bu teknolojilerden biri. Bulut depolama sayesinde çok daha büyük dosyaları, çok daha kolay erişilebilecek bir şekilde çeşitli şirketlere bağlı sunucularda saklayabiliyoruz. iCloud, Google Drive, One Drive, Dropbox gibi servisler, şu sıralar hem son kullanıcılara hem de şirketlere hizmet veren en popüler bulut depolama hizmetlerini oluşturuyorlar.

Bulut depolamanın amacı, sonuçta veri depolama. Bu noktada hangi verileri depolayacağımızın sınırı yok. Pek çok kullanıcı bulut depolama üzerinde gizli verilerini de saklıyorlar. Gerek şirket verileri olsun, gerek gizli projeler olsun, gerek “çok özel” videolar – fotoğraflar olsun, güven veren markaları kullandığımız sürece bulutta saklayabiliyoruz.

iCloud’a büyük saldırı: The Fappening

Her ne kadar bu popüler şirketler güvenli olsalar da gerekli önlemler alınmadığı durumda çok ciddi ortaya problemler çıkabiliyor. Eylül’ün başında “The Fappening” adıyla başlayan iCloud saldırıları, ünlüleri çok zor duruma düşürdü.

Apple’ın iOS ve Mac OS işletim sistemleri için hazıramış olduğu iCloud bulut servisi, iPhone’lar ile son derece başarılı bir şekilde çalışıyor. iPhone üzerinde yaptığımız tüm değişiklikler sürekli olarak iCloud’da yedekleniyor, notlarımız senkronize ediliyor, fotoğraflarımız otomatik olarak upload ediliyor. Tabii bunların gerçekleşmesi için iCloud’a izin vermemiz gerekiyor. İzni verdikten sonra çektiğimiz tüm fotoğraflar ve videolar WiFi ağı bulunduğu anda bulut depolama alanımıza gönderiliyor.

Telefonlar -haliyle- çekilen fotoğrafların veya videoların gizlilik derecesini ölçümleyemiyor ve ekran görüntülerine kadar tüm resimleri iCloud hesabına gönderiyor. Bu resimler, sonrasında telefonumuzdan silsek bile bulut depolama servisinde kalıyor. Eğer bir şekilde bulut hesabı üzerinden silmezsek, tüm fotoğraf arşivimiz orada birikmeye devam ediyor. İşte Fappening faciası da bu noktada başlıyor.

Ünlülerin fazlasıyla özel fotoğraflarının iCloud üzerinde birikmesi ve hackerların bir şekilde bu hesaplara giriş yapmış olmaları sonucunda çok sayıda çıplak fotoğraf internete sızdırıdı. 4chan üzerinden servis edilen fotoğraflar, kısa sürede torrente, sonrasında büyük bir kitlenin bilgisayarına ulaştı. Ünlüler arasında Jeniffer Lawrance ve özellike Türkiye’de çok sayıda seveni bulunan Kate Upton’ın fotoğraflarının da ortaya çıkması, tahmin edeceğiniz üzere dünya üzerinde büyük ses getirdi.

Peki bu saldırı nasıl gerçekleşti? Bu konu henüz gizemini koruyor. Apple CEO’su Tim Cook’a göre hackerlar direkt olarak iCloud sunucularına erişmeye gerek duymadan, bir şekilde ünlülerin e-posta adresleri ve şifrelerine ulaşarak normal bir giriş yapmışlar. Böylece Apple’ın hiçbir suçunun bulunmadığını düşünebiliriz.

bulut

Peki ya bu kadar ünlünün iCloud’da kullandığı e-posta adresinin yanı sıra şifreleri nasıl ele geçirildi? Bu noktada biraz şüpheci davranmakta fayda var. “Çok güvenli” olarak bildiğimiz iOS’un belki de bir açığından faydalandılar ve bir uygulama aracılığıyla şifrelere ulaştılar. Yayınlanmak istenen tüm uygulamaların didik didik incelenerek belirli bir onay sürecinden geçtiğini düşünürsek, bu teorinin kendini yokedeceğini düşünebiliriz. Fakat uygulamalar, belli başlı internet sayfalarına da bağlanabiliyorlar. Onay sürecindeki bir uygulama X sitesine bağlandığında normal, zararsız bir sayfa görüntüleyebilir. Uygulama onaylandıktan sonra bu sitenin arayüzü değiştirilip, iCloud hesabını ve şifresini isteyen bir sayfa haline getirilebilir.

Her ne kadar Apple’ın iCloud sistemlerinde herhangi bir açık bulunmadığı iddia ediliyor olsa da yeterince güvenli olmadığı kesin. Bulut servislerinin pek çoğunda onaylanmamış bilgisayarlardan / cihazlardan giriş yapmak için SMS veya e-posta doğrulaması gerektirmesi gibi seçenekler bulunuyor. Hatta bu sistemi Steam gibi sadece oyuna yönelik, eğlence amaçlı sistemler bile kullanıyor.

Fappening saldırısı ünlülerin özeline değil de çok daha önemli verilere de yapılmış olabilirdi. Tabii ki bir kişinin çıplak fotoğraflarının internete sızması o kişi için fazlasıyla sıkıntılı bir durum fakat sadece 1 veya 2 kişiyi etkiliyor. Büyük bir şirketin önemli verilerinin rakip firmalara sızdırılması veya devlet verilerinin (gerçi devlet verisini Amerikan şirketlerinin sunduğu bulut hizmetlerinde kim tutar, orası soru işareti) bir şekilde ortaya çıkması çok daha büyük sonuçlar doğurabilirdi.

Şifrelenmiş dosyalara erişim

Adını sık sık duyduğumuz iCloud, One Drive, Box ve Dropbox gibi servislerin tamamı son derece yüksek güvenlik önlemlerine sahipler. Şu anda Fappening yüzünden en az güven hissi uyandıran iCloud’da bile verilerimiz 128 bit şifrelemeyle korunuyor. 128 bit şifrelemeyle korunan dosyalara erişmeyi başarsak bile şifrelenmiş dosyaları çözmek neredeyse imkansız.

Şifreli olarak kaydedilen dosyalar, aktarım esnasında da şifreleniyorlar. Yani internete erişim için kullandığımız ağ üzerinden dosyalarımızı bulut servislerine gönderirken bir şekilde araya karışıp dosyalarımızı görüntülemeleri pek de mümkün değil.

Tüm bu parçalar bir araya getirilince bulut depolamanın aslında güvenilir olduğu sonucunu çıkarabiliriz. Bulut servisi sunan çok sayıda firma var ve bulut depolamanın şimdiki gelişim sürecinde en doğru işler yapan firmanın, uzun yıllar boyunca işin kaymağını yiyeceğini tahmin etmek zor değil. Bu sebepten dolayı her firma müşterisine bol miktarda güven aşılamaya çalışıyor. Müşterilerinde oluşturduğu güven hissini bir kere kaybeden firmanın, böylesine hassas bir sektörde geri dönmesi pek de kolay değil. Bulut depolama ciddi bir sektör ve gelecek vaadediyor. Haliyle dev firmalar birbirleriyle rekabet içerisindeler.

bulut

Kullanıcılar bilinçlendirilmeli

Orta ve büyük ölçekli şirketlerin bir çoğu çalışanlarına akıllı telefon dağıtıyor. Şirketlerin akıllı telefon dağıtmalarının sebebi ise öncelikli olarak tüm çalışanların standart bir akıllı telefona sahip olması gerekliliği. Böylece bir sorun yaşanması durumunda IT çalışanları çok daha kolay bir şekilde müdahalede bulunabiliyorlar. Ayrıca yönetici hesabı kurularak, telefonlara istendiği anda müdahale ve kontrol imkanı sunuluyor. Çalışanların yanlış bir iş yaptığı düşünüldüğünde telefon dışarıdan kontrol edilerek emin olunabiliyor.

Her ne kadar şirket telefonları bu şekilde korunabiliyor olsalar da iş yine kullanıcıda bitiyor. Kullanıcının yaptığı yanlış bir hamle sonucu telefonun bağlı olduğu bulut hizmetlerine sızılabilir ve buluttaki veriler elde edilebilir.

Günümüzün en yaygın mobil işletim sistemi Android’de uygulamalar herhangi bir kontrolden geçmiyor ve telefonun neredeyse her yanına erişim sağlayabiliyor. Windows Phone’larda uygulamaların yetkileri bir hayli kısıtlıyken, iOS’ta mağazaya gelen her bir uygulamanın didik didik incelendiği düşünülünce, asıl güvenlik sorunu olan işletim sisteminin Android olduğunu farketmemek mümkün değil. Bulut hizmetlerinin, e-postaların ve çeşitli yazışmaların gerçekleştirileceği akıllı telefonların işletim sistemini seçerken dikkatli davranmakta fayda var.

İşletim sistemini seçtikten sonra çalışanların / kullanıcıların bilinçlendirilmesine de çalışmak gerekiyor. Yine Android’den örnek vereceğim. Android’in uygulama paketleri olan .apk dosyaları, internet siteleri üzerinden de yüklenebiliyor. Yani eğer “Bilinmeyen Kaynaklar” seçeneği açıksa, cihaza tarayıcı üzerinden bile uygulama yüklenebiliyor. Eğer bilinçli bir kullanıcı değilse ve ekranda gördüğü hiçbir yazıyı okumadan “Tamam” butonunu tıklayarak ilerlemeye çalışan biriyle, çok rahat bir şekilde bu tip tuzaklara düşebilir.

Sadece tablet veya telefonlarda değil…

Her ne kadar ağırlıklı olarak mobilden bahsetmiş olsak da masaüstü veya dizüstü bilgisayarlarda da dikkatli olmak gerekiyor. Bilgisayar üzerindeki verilere zararlı yazılımlarla erişim nasıl sağlanabiliyorsa benzer bir şekilde bulut depolamadaki verilere de ulaşılabilir.

Böyle bir durumla karşılaşmamak için hem bilgisayarın kendisini, hem de bilgisayarın bağlı olduğu bulut depolama sistemini korumak için antivirüs yazılımları kurmak gerekiyor.

En son kim bağlandı?

Dropbox gibi bazı bulut depolama servisleri, en son hangi cihazdan bağlanıldığını gösteren bir sayfaya sahip olabiliyorlar. Bu sayfalar üzerinden en son hangi cihaz üzerinden, ne zaman bağlanıldığını görebiliyoruz. Eğer bağlı olmasını istemediğimiz bir cihaz bağlı görünüyorsa şifreyi değiştirip, o cihazın erişimini kaldırabiliyoruz.

Leave a Reply

Your email address will not be published.