Bilim-Teknoloji
'Sorumluluk iCloud'a yüklenmemeli'
Hollywood ünlülerinin müstehcen fotoğraflarının internete düşmesi gözleri Apple'ın yedekleme sistemi iCloud'a çevirdi. Apple güvenlik açığı olmadığını savunurken, uzmanlar bireylerin de dikkatli olması gerektiği görüşünde.
Konular:
Bilim-Teknoloji
1 eylül sabahı erken saatlerden itibaren hollywood'un ünlü oyuncularının müstehcen fotoğrafları internette yayılmaya başladı. konuyla ilgili fotoğrafların yayıldığı sitelerden yapılan açıklamalar gözleri apple'ın bulut yedekleme çözümü icloud'a çevirdi. çünkü fotoğrafları yayınlayanların iddiaları dosyaları icloud'daki bir açık yardımı ile elde ettikleri yönündeydi.
jennifer lawrence, kate upton, avril lavigne, mary elizabeth winstead, mary kate olsen ve hillary duff gibi ünlülerin fotoğraflarının icloud üzerinden çalındığı iddiaları üzerine apple da araştırma başlattığını açıkladı. konuyla ilgili olarak abd federal soruşturma bürosu fbi soruşturma başlattı. ünlülerden bazıları fotoğrafların sahte olduğunu açıkladı. bazı ünlüler ise fotoğrafların kendine ait olduğunu kabul etti.
gözler icloud'a çevrildi
fotoğrafların nasıl çalındığı konusunda çeşitli iddialar bulunuyor. bunlar arasında apple'ın find my iphone hizmetinde yer alan bir açığın kullanıldığı iddiası da yer alıyor. siber saldırganların icloud'daki bir açığı kullanmış olsalar bile ünlülerin fotoğraflarına nasıl eriştiği ise henüz bilinmiyor. bu konuda birçok teori ortaya atılsa da akla yatkın bir açıklama yapılamıyor. öte yandan icloud'daki bir açık kullanılmış olsa da ünlülerin kullanıcı adlarına nasıl ulaşıldığı bilinmiyor.
apple: icloud'da güvenlik hatası yok
konuyla ilgili resmi bir açıklama yapan apple, icloud sisteminde bir açık bulunduğu iddialarının gerçek olmadığını belirtti. fotoğrafların icloud sisteminden alındığını belirten apple, saldırının tahmin edilebilir şifreler kullanılmasından, kullanıcı adı/güvenlik sorularını birkaç kez deneyerek tahmin etmekten kaynaklandığını açıkladı.
icloud'u hacklemek kolay mı?
saldırının ardından eleştiriler ağırlıklı ve tek taraflı olarak icloud'a yüklendi. guardian tarafından yapılan bir araştırma, bir kişinin icloud hesabının birçok deneme sonucunda hack'lenebileceğini gösteriyor. ancak burada dikkat edilmesi gereken nokta, 'iki adımlı güvenlik doğrulaması yapılmayan' hesapların tehdit altında olması.
bir kullanıcının apple hesabına girebilmek için üç bilgi gerekiyor: e-posta adresi, doğum tarihi ve iki veya üç güvenlik sorusunun cevabı. bu bilgilerin hepsine sahipseniz, kişinin hesabını resetleyebilir ve icloud ile itunes hesaplarına erişebilirsiniz. bunlar için kullanıcının e-posta hesabının şifresi değil, apple kimliğinde yer alan e-posta adresiyle kullandığı şifre gerekiyor.
apple kimliğine erişim için son basamak, güvenlik soruları. doğduğunuz şehirden ilk evcil hayvanınızın adına kadar 21 farklı sorudan birkaçını geçmenin tek yolu, doğru cevabı bilmek. işte bu aşamada, kimse hacker'ların doğru cevapları nasıl temin ettiğini bilmiyor. bu noktada, sorulması gereken asıl sorular beliriyor. saldırıya izin veren asıl açık nereden geldi?
'saldırı icloud'da güvenlik açığı olduğu anlamına gelmiyor'
yaşanan saldırıyı al jazeera türk'e değerlendiren pwc türkiye bilgi güvenliği ve siber güvenlik hizmetleri lideri burak sadıç, saldırının arka planının henüz bilinmediğini belirtirken, doğrudan icloud'da bir güvenlik zafiyeti bulunduğuna işaret etmediğine dikkat çekti:
"hollywood yıldızlarının da dahil olduğu bir çok ünlüye ait özel fotoğrafların internet'te dolaşmaya başlaması, fotoğrafların bir bulut yedekleme hizmetinden çalındığı düşüncesini doğurdu ve kısa bir süre sonra da bu saldırıyı üstlenen kişiler fotoğrafları icloud photostream hizmetinin zaafiyetlerinden faydalanarak çaldıklarını iddia ettiler. öncelikle bu fotoğrafların çalınması, ve hatta bu fotoğrafların ünlülerin icloud hesaplarından çalınması bile saldırganların icloud photostream hizmetiyle ilgili bir zaafiyet bulduğu anlamına gelmiyor. yani hemen bulutta yedeklemenin ve hatta daha büyük bir genelleme ile bulut hizmetlerinin güvensizliğinden bahsetmek doğru olmayacaktır. saldırganların ünlülerin icloud şifrelerini ele geçirmesi bu ve benzeri bir saldırı için yeterli. söz konusu olan şifrelerin ele geçirilmesi olduğunda ise icloud veya herhangi bir internet hizmetinde kullanılan şifrelerin ele geçirilmesi için benzer yöntemler kullanılıyor. 
PwC Türkiye Bilgi Güvenliği ve Siber Güvenlik Hizmetleri Lideri Burak Sadıç.
bu bağlamda bu saldırıdan yola çıkarak kullanıcıların alması gereken dersleri iki başlıkta özetlemek mümkün. birinci başlık şifre güvenliği. kullanıcıların mümkün olduğunca karmaşık, uzun ve tahmin edilemez şifreleri seçmeleri, aynı şifreyi birden fazla internet uygulaması için kullanmamaları ve bu şifreleri belli aralıklarla değiştirmeleri gerekiyor. kullandıkları internet hizmeti şifre ve kullanıcı adı dışında sms veya parmak izi ve benzeri ilave güvenlik unsurları kullanılmasına imkan sağlıyorsa bu özellikleri de muhakkak devreye almalılar. ikinci başlık ise bulut hizmetlerinin güvenliği. kullanıcılar eğer bilgi ve verilerinin sadece kendilerinin görmesi gereken çok mahrem detaylar içerdiğini düşünüyorsa bu verileri buluta transfer etmemeleri, ya da ediyorlarsa da güvenli yöntemlerle kriptolayarak transfer etmeleri gerekiyor. bulut hizmetleri çok kaba bir benzetme ile bir banka kasası gibi, ve maalesef internet'in doğal özelliklerinden ötürü bu banka kasasına dünyanın her yerinden erişim imkanı var, yani savunulması çok daha zor. ama bu ürkütücü gerçek kullanıcıları bulut hizmetlerinden tamamen uzaklaştırmamalı. bulut bilişim tüm internet kullanıcılarına inanılmaz kolaylıklar sağlıyor ve herkes şahsi risk değerlendirmesini yapıp bu hizmetleri olabildiğince avantaja çevirebilir. bu hem bireyler, hem de kurumlar için geçerli."
'çalınmak istenen bilginin değeri saldırıları motive ediyor'
al jazeera türk'e saldırıyı yorumlayan bilgi güvenliği uzmanı osman doğan, güvenlik alanında yapılan büyük yatırımlara rağmen saldırıların tamamen önüne geçilmesinin mümkün olmadığını belirtti.
siper savaşların, siber savaşlara dönüştüğü günümüzde teknoloji alanında atılan her adım ve yenilik yeni bilgilerin elde edilmesi adınadır. sizin için çok da anlam ifade etmeyen bilgilerin merkezi bir lokasyonda toplanması ve bu bilgilerin istihbarat amaçlı birleştirilerek anlamlı hale getirilmesi maalesef yaşadığımız siber ortamın vazgeçilmez unsurudur. bu durum özellikle sosyal medya ve cloud veri depolama servislerini hedef haline getirmekte, bu alanda faaliyet gösteren kişi/kurumların iştahını kabartmaktadır.
Bilgi Güvenliği uzmanı Osman Doğan.
'internete konan her bilgi risk altına girmiş demektir'
doğan, internete konan bir bilginin artık sadece bireye ait olmaktan çıktığını ve bir gün herkesin erişime açılma riski altına girdiğine dikkat çekti. özellikle mobil mesajlaşma uygulamalarında çok fazla veri toplandığını belirten doğan, kullanıcıların paylaştıkları bilgiler konusunda dikkatli olmaları gerektiğini ifade etti.
icloud benzeri çok sayıda hizmet bulunuyor
dökümanları internet üzerindeki bir depolama alanına saklamaya yarayan bulut depolama sistemleri uzun yıllardır kullanılıyor. apple'ın icloud servisi de bunlardan biri. sadece apple ürünleriyle çalışan servise bir kere üye olduktan ve gerekli ayarları yaptıktan sonra iphone ya da ipad'deki seçilen bilgiler ve dökümanlar otomatik olarak yedekleniyor. mobil cihazdaki fotoğraf, video ve benzeri dökümanlar ile adres defteri de icloud tarafından yedeklenebiliyor. bu yedekler telefon kaybolduğunda, çalındığında ya da bozulduğunda geri getirmek üzere kullanılıyor.
halen kullanımda olan birçok bulut yedekleme servisi bulunuyor. bunlar arasında dropbox, onedrive, google drive ve box gibi servisler yer alıyor. bu servislerin birçoğu icloud gibi fotoğraf ve video yedekleme hizmeti veriyor.
geçmişte türkiye'de de yaşandı
geçmişte türkiye'de de ünlülerin müstehcen fotoğraf ve videoları internette yayınlanmıştı. bazı olaylarda fotoğrafları internette dağıtan kişilere dava açılmış ve bu kişilerden bazılarına ceza verilmişti.
'apple önlemlerini artırmalı'
apple geliştirici merkezi'nin güvenlik açığını bularak temmuz 2013'te dünya basınına konu olan güvenlik araştırmacısı ibrahim baliç, teknoloji devinin şifreleme konusunda daha dikkatli çalışması gerektiğini ifade etti. apple'ın kurumsal kaygıları bulunmadığı için bazı alanlarda gereken hassasiyeti göstermediğini belirten baliç, kullanıcı güvenliğine daha fazla dikkat edilmesi gerektiğini vurguladı. baliç, veri şifreleme konusunda apple'ın gereken çalışmaları yapması gerektiğini ifade etti.
kaynak: al jazeera
Yorumlar