Erişilmesi imkansız görünen devlet veya güçlü kurumların yıl içinde çok sayıda saldırıya maruz kaldığını biliyoruz. Diğer yandan çoğu üst düzey yetkili şifre güvenliğinin yetersizliği nedeniyle gizli bilgilerin kamuoyuna ulaşmasına sebep oluyor. Bu durum sadece resmi kurumlar için geçerli değil. Bireysel kullanıcılar da şifre oluşturma konusunda çoğu zaman dikkatli davranmıyor.

Yukarıda belirtilen tüm durumlara Deloitte’ın teknoloji, medya ve telekomünikasyondan sorumlu başkanı Jolyon Barker da dikkat çekiyor. Barker’a göre uzun şifreler yeterli güvenliği sağlasa da akılda tutması zor olduğu için kullanıcılar tarafından tercih edilmiyor. Buna karşın piyasada şifre güvenliğine yardımcı çift aşamalı doğrulama gibi ek güvenlik önlemlerinin uygulandığını belirten Barker, kurumların cep telefonuna şifre gönderme, USB üzerinden fiziksel cihazlarla koruma sağlama veya biometrik sistemler geliştirme gibi yöntemlerin bu konuda daha faydalı olabileceğini öne sürüyor.

Raporda ayrıca yetersiz şifre korumasının ekonomide milyarca dolar kayba, kullanıcıların internetten yapılan işlemlere olan güveninin azalmasına ve şirketleri saldırılara açık bırakarak itibarlarının zedelenmesine neden olabileceği dile getiriliyor. Yüksek güvenlikli şifreler ise başarılı oldukları süre uzadıkça korudukları bilgiyi daha değerli kılıyor ve dolayısıyla saldırıların hedefinde yer alma olasılığı giderek artıyor. Bu açıdan bilgi güvenliği için sadece şifre koruması yoluna başvurmamak gerekiyor.

Bireysel kullanıcılarda ise durum daha vahim. Zira SplashData‘nın yayınladığı listeye göre kullanıcıların Facebook ve e-posta girişleri için en çok “Password” kelimesini şifre olarak atadıkları ortaya çıkmış. İkinci sırada ise ülkemizde de popüler olan “123456” şifreleri yer alıyor. Diğer yandan Facebook’un her gün yaklaşık 600 bin kişinin sahtekarlık yoluyla diğer kullanıcıların bilgilerine erişmeye çalıştığını açıklaması, durumun ciddiyetini anlatmaya yetiyor.

Bir FBI ajanının dizüstü bilgisayarındaki güvenlik açığını kullanarak özel kimlik bilgilerine ulaşan AntiSec’in yayınladığı dosyalarda Apple’ın şifrelediği 40 karakterlik UDID’ler bulunuyor. Apple cihazlarını tanımlayan özel bir seri numarası olarak da niteleyebileceğimiz bu numaranın yanı sıra yayınlanan dosyada kullanıcı adları, zip kodları, cihaz isimleri ve tipleri, adresler, cep telefonu numaraları ve anlık bildirim kayıtları gibi bilgiler de yer alıyor.

Geçtiğimiz Mart ayında ele geçirilen kimlik bilgilerindeki kullanıcı verilerinin değişkenlik gösterdiğini ve birçok uygulama geliştiricinin de bu bilgilerin bazılarına zaten ulaşabildiğini de belirtmek gerekiyor. Diğer yandan Apple’ın UDID sisteminden en başından beri hoşlanmadığını dile getiren Anonymous ise, çalınan bilgilerin kullanıcılara kendi cihazlarına ait bilgilerin bulunup bulunmadığını kontrol edebilmelerine yardımcı olmak için halka açıldığının altını çiziyor.

UDID’lerin yayılması endişesiyle geçtiğimiz Mart ayında uygulamaların özel kimlik bilgilerine erişim yolunu tıkayan Apple’ın bu hamlesiyle AntiSec’in FBI’daki 12 milyon UDID’e ulaşması zamanlama bakımından ilginç. Diğer yandan FBI’ın online taramalarla ilgilenmediğini vurgulamasının ardından, AntiSec grubuna Apple’ın önemli kimlik bilgilerini çaldırması, Amerikan Gizli Servisi’nin bu tür özel verilerle ne yaptığı sorusunu da akıllara getiriyor.

Deneyde, internet üzerinden $299 gibi ucuz sayılabilecek bir fiyat etiketiyle satışa sunulan EmotivEPOC beyin-bilgisayar arayüzü (BCI) kullanıldı. Mac ve PC ile uyumlu bu kontrol arayüzü, oyun oynamaktan, sanal  klavyeye, başarılı meditasyondan, beyninizin durumunu gözlemlemeye birçok senaryoya uygun ürünü uygulama mağazasından kullanıcılara sunuyor.

Bilim ekibini araştırmaya iten risk açığı, işte bu her türlü yazılımcıya açık ve potansiyeli geniş API’ler üzerinden dönen uygulama merkezi oldu. Bilim adamları P300 adı verilen ve insan beyninin karar mekanizmasında önemli bir yeri olan beyin dalgasını ölçtüler. P300 adı verilen dalga, bir kişi bir şeyi tanırken veya sınıflandırırken yaklaşık 300ms içinde tavan yapan ve özellikle kişinin amacına uygun bir şey amacına uygun olmayan birçok şey arasında belirdiğinde istemsiz olarak yayılan bir sinyal. Mesela tanımadığımız suratlar önümüzden teker teker akarken tanıdığımız bir surat çıktığında, P300 çok kolay tespit edilebiliyor.

Bilim adamları manalı verilere tepki olarak yayılan P300 dalgalarını ölçerek, tek denemede; deneklerin doğum aylarını %60 başarıyla; ATM resimlerinden yola çıkarak hangi bankayı kullandıklarını %30 başarıyla; nerede yaşadıklarını, hangi bankanın kartını kullandıklarını, banka kartı pinlerinin ilk hanesini, ve hangi suratları tanıdıklarını %20 başarıyla tespit etti. Deneme hakkı arttıkça başarı oranında da artış görüldü.

Böylece engellilerin dünyayla etkileşime girmesinden, çocukların Jedi gibi top uçurmasına yarayan BCI’lerin, beyninizden veri çalmak için kullanılabileceği kanıtlandı. Pazar araştırmaları, polis sorgusu gibi P300 dalgalarının önemli olduğu durumlarda çok işe yarayabilecek olan buluşun, kötü niyetli hackerların veya sosyal ağların elinde neler yapabileceğini düşünmek hiç zor değil.

Birkaç hafta önce kullanıcıların yabancı sitelerden aldıkları spam e-postalar nedeniyle şikayetlere maruz kalan Dropbox, yaptığı incelemenin ardından bazı müşterilerin giriş bilgilerinin çalındığını itiraf etti. Resmi blogundan yaptığı açıklamada kullanıcı adı ve şifre bilgilerini ele geçiren web sitelerinden hesapların bir kısmına giriş yapıldığı belirtildi.

Dropbox kullanıcıları için kötü haberler bununla sınırlı değil. Belirtilene göre bazı kullanıcıların yanı sıra bir Dropbox çalışanın da hesabına girilmiş ve proje dökümanlarına ulaşılmış. Dropbox bu konuda üzgün olduğunu söylüyor ve aynı olayın bir daha yaşanmaması için ek önlemler koyduklarının altını çiziyor.

Alınan güvenlik önlemleri geç de olsa muhtemel tehlikenin önüne geçebilecek nitelikte. Örneğin bundan böyle kullanıcılar kullanıcı adı ve şifre bilgilerini girdikten sonra telefonlarına gönderilen özel kod ile hesaplarına erişebilecekler. Diğer yandan internette güvenlik konusu kullanıcıların bu konudaki temel bilgileriyle de alakalı. Kullanıcıların özellikle kendisinin veya bir yakınının doğum tarihini şifre olarak belirleyebiliyorlar. Buna ek olarak aynı şifrenin birden fazla hesapta kullanılması da bu tür şifre çalınma olaylarına davetiye çıkarıyor.