Kablosuz misafir ağ güvenliği

Sadece otel, tatil köyü gibi uzun süreli konaklama alanlarında değil, artık konser alanları, stadyumlar, bekleme salonları gibi kısa süreli misafir ağırlanan alanlarda da kuruluşlar Internet 'i paylaştırarak misafirlerinin tesiste geçirdiği zamanın daha kaliteli olmasını sağlıyor. Bu alanlardaki güvenlik ihtiyacı ve metotları da personel ağı güvenliği gibi (hatta bazı uygulama alanlarında daha fazla) önem kazanmış durumda.

Misafir ağları personel ağlarından farklı olarak genellikle misafir kullanıcıların istekleri ve ihtiyaç duydukları erişim ve kullanım serbestileri doğrultusunda şekillenen, fakat yasal zorunluluklar ve/veya genel şirket politikalarının da çerçevesinde yönetilmesi gereken ağlardır.

Misafir ağları söz konusu olduğunda güvenlik politikalarını iki kategoride incelemek doğru olacaktır;


1- Kablosuz ağ güvenliği
2- Personel (iç ağ) güvenliği

Kablosuz ağ güvenliği: Suçlarını gerçekleştirmek için saldırganlar herhangi bir kişisel bilgi vermeden  kullanabilecekleri internet hatları ararlar ve bu tür kablosuz ağlar bu tür suçlular için adeta bir cazibe merkezidir.

Kablosuz ağ güvenliği halen pek çok yerde WPA ve/veya WEP şifreleri misafirlere verilerek gerçekleştiriliyor. Ancak bu yol hem ziyaretçiler, hem de tesis için oldukça riskli. Tüm ziyaretçilerin, semt hatta sokak sakinlerinin bile bildiği kablosuz ağ şifreleri tesisi dijital suçlar için ve amaç dışı fazla kullanımlar için tam bir merkez haline getiriyor. Oysa bu tip ağlarda kullanıcıların ve ağın yönetimine yönelik yerli ve yabancı pek çok profesyonel cihaz çözümü mevcut. Bu cihazların yanı sıra oldukça pratik yönetim sistemleri ile uzmanlık gerektirmeden ve altyapı yatırımı yapmadan bu konuya çözüm getiren yazılımlar mevcut. (ISR Bilgi Güvenliği'nin bu konuda lansmanını yeni gerçekleştirdiği KolaySpot ürününü 6 eş zamanlı kullanıcıya kadar ücretsiz olarak kullanabilirsiniz (www.kolayspot.com)) Kablosuz ağın gerek güvenliğini, gerekse verimli ve amacında kullanımını sağlamak bir işletmenin artık temel görevlerinden birisi.

Personel ağ güvenliği; Misafir ağı güvenliğinin en önemli bölümü personel ağı ile misafir ağının tamamen birbirinden ayrılmasıdır. Ağ yapılarında en sık karşılaşılan, personel ağına iliştirilen bir ya da birden fazla access point 'e şifre vermektir. Bu tür yapılarda misafir ağında bulunan saldırganlar, personel ağında yer alan bilgilere erişme hedefindedirler. Bu saldırılar büyük çoğunlukla misafir trafiğinin yoğun, kalıcı ve misafir bilgilerinin kayıt altına alındığı özellikle otelcilik yazılımlarını hedef almakta, saldırganlar burada bulunan misafirlere ait kişisel ve oldukça hassas bilgileri ele geçirmek istemektedirler.

Maliyetleri düşürmek için tercih edilen birden fazla access point 'i aynı ağ üzerinde farklı şifre ile çalıştırma yolu, özellikle otellerde tutulan misafir bilgileri, merkez sistem ile iletişimde bulunan yazarkasa satış cihazları (P.O.S. cihazları) için ciddi tehditler oluşturmakta, gelir ve itibar kaybına müsait çarpık bir yapıyı beslemektedir.

Misafir ağlarının güvenliğini sağlamak üzere tasarlanan hotspot sistemleri, hem misafirlerin gerektiği kadar interneti kullanmalarını, hem de tesisten ayrıldıklarında artık interneti kullanamamalarını sağlamaktadır. Bu tür sistemler aynı zamanda personel ağı internet erişimini sağlamakta ve tesis tarafından belirlenen güvenlik politikalarını uygulamaktadır. Personellerinizin politikalarınız doğrultusunda mesai saatleri içerisinde erişiminlerinin kısıtlandığı facebook, youtube, çeşitli oyun siteleri gibi siteleri misafir ağı üzerinden kısıtlama olmaksızın kullanma ve politikaları aşma olasılığına izin vermeyip tüm ağ erişimini kontrolünüz altında tutmanıza imkan vermektedir.

Aynı kutuda sunulan hem firewall, hem doğrulama sistemleri düşük maliyetli, kullanımı kolay ve  güvenli misafir ağ yönetimi imkanı sağlamakta.

Mobil Güvenlik İçin Telefonlar Cebe, Yoksa "Eller Yukarı"!

Hepimizin tercih ettiği cep telefonunun marka ve modeli farklı da olsa kullanım ihtiyacı doğrultusunda hepsinin ortak bir yönü var; artık hepsi akıllı!

Akıllı telefon kullanımı pek çok noktada hayatımızı kolaylaştırıyor; mobilite dediğimiz cihazlarımızın bir noktaya bağlı olmadan hareket edebilme serbestliğini kazandırıyor. Mobil cihazların gerekliliği, yarattığı bağımlılık ve ekonomik fayda gibi tartışmalar bir yana dursun kolaylık ve yenilik denildiğinde her bilgi güvenliği uzmanının aklına tek soru geliyor; güvenli mi?

Hayatımızı kolaylaştıran pek çok cihaz aslında ilk piyasaya sürüldüğünde güvenlikle ilgili yeni risk ve sıkıntıları da piyasada oluşturmaya başlıyor. Örneğin eski telefonlarda "1 Yeni Mesajınız Var" uyarısı artık akıllı telefonlarda kullanıcıya kolaylık sağlamak amacıyla bir ön izleme seçeneği ile sunuluyor. Mesajı gönderen kişi, saati ve mesajın ilk satırlarını telefon kilidini dahi açmadan kolaylıkla önizlemesini yapmanız mümkün! Üstelik bu sadece mesaj ile de sınırlı değil, neredeyse tüm uygulamalarda ön izleme yapmak mümkün.

Yakın zamanda bir telefon üreticisinin çıkarmış olduğu işletim sistemi güncellemesiyle artık varsayılan ayar olarak ekran kilitli iken dahi gelen mesajın büyük bir bölümü okunabilir durumda. Güncellemenin yarattığı bu farklılık ve bu farklılıktan doğan güvenlik riski dolayısıyla artık telefonların ortada gezmesi maddi kayba yol açabilecek bir risk taşıyor.

Alışkanlıklarımız doğrultusunda elimizin altında, masamızın üzerinde tuttuğumuz her türlü bilgimizi de içeren cep telefonumuzu çeşitli kilitleme sistemleri ile kilitlemiş olsak dahi arkadaşlarımızın adları, mesajın içeriği hatta banka onay kodumuz dahi görülebilir durumda. Pek çok banka güvenlik konusunda uyması gereken onlarca standarda ve müşterilerinin bilgi güvenliğine yönelik çalışmasına karşın bazı noktaları atlayabiliyor, bu da onlardan bir tanesi (bu konuya daha sonra ayrıca değineceğiz).

Özellikle android cihaz kullanıcıları alışkanlıklarını tekrar gözden geçirmeli ya da kullanım alışkanlıkları doğrultusunda güvenlik gereklerinin bilinciyle ön izleme ayarlarını yaparak önlemlerini almalılar.

Bu ve benzeri pek çok örnek bize göstermektedir ki; çağımızda teknolojinin hızlı gelişimine paralel olarak bilgi paylaşımı ve bilgiye erişim ne kadar kolaylaşmaktaysa bu yeniliklere bağlı güvenlik ihtiyaçları da neredeyse aynı düzeyde artmaktadır. Kullanıcıların takip etmesi gereken bilgi güvenliğine yönelik önlemler de sürekli gelişmekte, şekil değiştirmekte, sorunların çözümlerine yeni yazılım, donanım vb. yeni çözümler eklendiği gibi sorunlara da yenileri eklenmektedir.

Bilgi güvenliği dinamik bir alan olup geçmiş bilgi birikimlerinin yanı sıra güncel araştırma ve birikimler ile de sürekli takip edilmelidir.

Artarak Devam Eden Çağrı Merkezi Aramaları ve Güvenlik Zorlamaları

Gündelik hayatımızda aldığımız elektrik, su, TV, internet, telefon vb. altyapı hizmetleri, gerekse gıda, giyim ve ihtiyaç malzemeleri gibi temel alışverişlerimizde hepimiz kişisel bilgilerimizi vermek durumunda kalabiliyoruz.

Hizmetin kalitesini artırma ve hızlı iletişim gerekliliği gibi sebepler dolayısıyla belirtmek zorunda kaldığımız bu bilgilerimiz, paylaştığımız kurum tarafından pek çok sefer bizden izin alınmadan amacı dışında 3. taraflarla; çeşitli kurumlara da dağıtılıyor.

Bilgileri elde edilen kişinin eziyet derecesinde reklam iletişimlerine, otomatik reklam aramalarından tutun da ilgisi dahilinde olmayan pek çok konu ile tacize maruz kalması bir yana, bilgileri kullanılan bizlerin hakları iyiden iyiye hiçe sayılarak adeta aşağılanıyoruz.

Bilginin izinsiz paylaşımı ile müşteri bilgilerinin güvenliğini hiçe sayan kurumlar bu verileri ilettikleri kurumlara bilgi kaynağının açıklanmaması üzere ciddi talimatlar vermekteler. Bu durumda bilgisi izinsizce el değiştiren, güvenliği hiçe sayılan bizler, tarafımıza gelen çağrılarda size nasıl ulaştıklarını sorduğunuzda aşağılarcasına bilgi kaynağının gizlilik taşıdığını saçmalar vaziyetteler.

Bu tip aramaların - e-postaların çokluğu bizim için zaman kaybından öte duyarsızlık gibi kötü bir alışkanlık kazanmamıza yol açıyor. Bilgimizin güvenliğinin sağlanamamasından şikayetçi olmayı bırakıp durumu kabullenerek bize önerilen hizmet ve/veya tarafımıza yönlendirilen soruları kolaylıkla yanıtlar hale geliyoruz.

Bu konuda en açık örnek yakın dönemlerde yaşanan bilindik çağrı merkezi benzeri numaraların lokal (0216 , 0212 , 0312, 0262 vb.) alan kodları ile aramalara yanıt verenlerin kurum aldatmacası çerçevesinde pek çok kullanıcıyı dolandırıcılık seviyesinde kandırması ve bilgi toplaması.

Unutmayalım ki karşımızdaki kurum ister devlet kurumu ister özel bir kurum olsun telefon üzerinden hukuken geçerli olan resmi bir bildirimde bulunamaz. Ses kaydı alındığını belirterek özellikle kayıt güncelleme, ihbar iletimi gibi konulara ilişkin bizleri arayanlar bu bildirimleri resmi çerçevede gerçekleştirme yetkisine sahip değildir.

Sizi arayıp hesabınızın, hattınızın, işlemin güvenliği vb sebepler ile kimliğinizi teyit etmek zorunda olduğunu belirten ve kimlik bilgilerinizi, özel bilgilerinizi "teyit amaçlı" isteyen, özellikle de daha önce tanımadığınız, genel markaların çağrı merkezi numaralarına benzemeyen şüpheli numaralardan gelen talepleri asla muhatap almayınız.

Unutmayınız ki güvenlik teyidi tek taraflı olamaz; arayan kişinin de aramakta olduğu kurumu, yetkili bulunduğunu, kimliğini size doğrulayabiliyor olması gereklidir ki bu doğrulama yapılmadan verilen bilgiler yüzünden pek çok vatandaşımız mağdur durumda kalmaktadır. Pek çok kurum bu dolandırıcılıkların önüne geçebilmek için görevlendirdikleri kişi ve/veya şirketleri kendi bünyesinde olmasa dahi web sayfaları ve/veya çeşitli reklamlarında anons ettiği çağrı merkezi numaraları üzerinden aramaktadır.

Şüpheli bir aramayla karşılaştığınız takdirde herhangi bir bilgi vermek istemediğinizi belirtmeli ve arayan kişi ikna sürecine girmeye çalışmadan görüşmeyi derhal sonlandırmalısınız. Görüşmenin gerekliliği had safhada belirtiliyor, acil olduğu belirtiliyor ve/veya inandırıcılığının yüksek olduğunu düşünüyorsanız bu durumda sizin ilgili kurumun beyan ettiği iletişim bilgilerü üzerinden iletişime derhal geçeceğinizi belirterek, görüşmeyi derhal sonlandırarak ilgili kuruma telefon veya bizzat başvuru ile sizin ulaşıyor olmanız hem olası bilgi çalınma - dolandırıcılık girişimini önleyecek hem de bildiri konusu gerçek ise gerekenin yerine getirilmesini sağlamış olacaktır.

Bu tip girişimlerde "saldırganlar" senaryo bazlı çalışmalarda bulunup ikna gücü yüksek kurgular ile sizden bilgi elde etmeye ve nihayetinde çıkarları doğrultusunda kullanmayı, size zarar vermeyi hedeflemektedirler. Teknolojinin yaygınlaşması dolayısıyla saldırı mecraları artık fiziki dolandırıcılık - saldırı safhasından da ileriye gitmekte; telefon ile saldırılara, e-posta, web türü elektronik saldırılara dönmüş bulunmaktadır.

Kullanıcısı olduğumuz teknolojik cihazların ve methotların bize sağladığı faydaların yanında risklerin de bilgisine sahip olmak; farkında olmak, kullanım sıklığınızın gerektirdiği ölçüde periyodik olarak fayda ve zararları hakkında bilgi araştırması yapmak, eğitimler almak artık çağımızda bir zorunluluk halini almıştır.