BULUT BİLİŞİMDE GÜVENLİK
Bulut Bilişimin en önemli ve soru işareti olan konularından birisi güvenliktir. IDC’nin yaptığı bir çalışmaya göre bulut bilişim kullanımına geçiş sırasında yaşanılan en önemli çekince olarak güvenlik gösterilmektedir.
Bulut bilişim popülerliğini artırdıkça, bu yeni modelle ortaya çıkan güvenlik sorunları endişeleri artırmıştır. Geleneksel koruma mekanizmalarının etkinliği ve verimliliği yeniden değerlendirilmektedir, çünkü bu yeni yerleştirme modelinin özellikleri büyük ölçüde geleneksel mimarilerden farklılık arz etmektedir. Bulut bilişim hizmetlerinin göreceli güvenliği geniş kitleler tarafından kabulünü geciktiren tartışmalı bir meseledir. Özel bulut ekipmanlarının fiziksel kontrolünün yapılabilirliği ekipmanların tesis dışında ve başkalarının kontrolünde olmasından daha güvenlidir. Veri bağlantılarının güvenliği için fiziksel kontrol ve veri bağlantılarını görsel olarak incelemek ve portlara erişebilmek gereklidir. Bulut bilişimin benimsenmesi yolundaki engellerin sebebi çoğunlukla özel ve halk sektörünün güvenlik tabanlı hizmetlerinin harici yönetiminin korku ve endişeye sebep olmasıdır. Bulut bilişim tabanlı hizmetlerin dışarıdan sağlanması ise en temel özelliğidir. Bu durum bulut bilişim hizmet sağlayıcılarına güvenli hizmetlerin yönetimini kurma ve sürdürmeye öncelik verilmesi hususunda iticidir.
Güvenlik meseleleri kategorize edilmiştir: hassas veri erişimi, veri ayırma, gizlilik hakkı, virüs kullanımı, geri kazanma(kurtarma), sorumluluk, malicious insiders, yönetim kontrol güvenliği, hesap kontrolü ve çoklu kullanıcı sorunları. Çeşitli bulut güvenlik sorunlarına üretilen çözümler, kriptografi, özellikle kamu anahtar altyapısı(PKI), çok sayıda bulut sağlayıcısı kullanımı, API’lerin standartlaştırılması, sanal makine desteğinin ve yasal desteğin geliştirilmesi gibi. Bulut bilişimin çok fazla faydasının yanında tehditlere karşı savunmasızdır da. Bulut bilişim kullanımları yaygınlaştıkça, bilişim suçluları muhtemelen sistemde korunmasız yerlere zarar vermek için yeni yollar bulacaklardır. Bulut bilişimde temel düzeyde riskler ve sıkıntılar vardır, bu durum veri güvenliğini tehdit etmektedir. Tehditleri azaltmaya yardım etmek üzere, bulut bilişim sektör liderleri sistemin veriyi koruması için şifrelemesini garanti etmeyi sağlayacak risk değerlendirmeye ağırlıkla yatırım yapmalıdır, yine sektör liderleri platform ve altyapıyı güvenli hale getirmek üzere ve değerlendirme de yüksek güvence sağlayacak güvenilir bir kuruluş kurmalıdır. Güvenilir bir bulut bilişim teknolojisi için güvenlik sorunları ele alınmalıdır.
HİZMET REDDİ
DoS ve DDos saldırıları kullanıcıların veri veya uygulamalarına erişmelerini engellemektedir. Bu gibi saldırılarla bulut servislerindeki kaynakların aşırı tüketimiyle sistem ya çok yavaş hizmet verir ya da hiç hizmet veremez. Daha da kötüsü, bulut sağlayıcıları, faturalandırmayı tüketime göre belirlediği için, saldırgan hizmeti durdurmasa da çok pahalı sonuçlar doğuracağı için kurbanlar kendi sistemlerini kendileri kapatmak zorunda kalabilirler. Böyle bir durumda beklemekten başka bir çare olmadığı için, kullanıcıların sırf masrafları azaltmak adına kritik verilerini buluta koymadan önce tekrar düşünmeleri gerekmektedir.
Kötü amaçlı bilişim faaliyetlerinde Dünya sıralaması:
İnternet güvenliği tehditlerinde Türkiye’nin Dünya’daki yeri:
Bulut Servisleri Ne Kadar
Güvenli?
Bulut bilişim, hem
şirketlerin hem de standart kullanıcıların hayatlarının bir parçası haline
geldi. Peki verilerimizi emanet ettiğimiz bu servisler yeterince güvenilir mi?
Eskiden sadece e-posta adreslerimiz vardı. İnternette fotoğraf
veya küçük herhangi bir veri depolamamız gerektiğinde kendimize bir e-posta
gönderirdik. Hali hazırda 5 MB depolama alanı sağlayan e-posta sağlayıcılar,
çoğu zaman birden fazla hesap açmamıza sebep oluyordu.
Teknolojinin ilerleyişi elbette ki kurumsal tarafta olduğu
kadar son kullanıcı tarafında da önemli gelişmelere sahne oluyor. Bulut bilişim
elbette ki bu teknolojilerden biri. Bulut depolama sayesinde çok daha büyük
dosyaları, çok daha kolay erişilebilecek bir şekilde çeşitli şirketlere bağlı
sunucularda saklayabiliyoruz. iCloud, Google Drive, One Drive, Dropbox gibi
servisler, şu sıralar hem son kullanıcılara hem de şirketlere hizmet veren en
popüler bulut depolama hizmetlerini oluşturuyorlar.
Bulut depolamanın amacı, sonuçta veri depolama. Bu noktada
hangi verileri depolayacağımızın sınırı yok. Pek çok kullanıcı bulut depolama
üzerinde gizli verilerini de saklıyorlar. Gerek şirket verileri olsun, gerek
gizli projeler olsun, gerek “çok özel” videolar – fotoğraflar olsun, güven
veren markaları kullandığımız sürece bulutta saklayabiliyoruz.
iCloud’a
büyük saldırı: The Fappening
Her ne kadar bu popüler şirketler güvenli olsalar da gerekli
önlemler alınmadığı durumda çok ciddi ortaya problemler çıkabiliyor. Eylül’ün
başında “The Fappening” adıyla başlayan iCloud saldırıları, ünlüleri çok zor
duruma düşürdü.
Apple’ın iOS ve Mac OS işletim sistemleri için hazıramış
olduğu iCloud bulut servisi, iPhone’lar ile son derece başarılı bir şekilde
çalışıyor. iPhone üzerinde yaptığımız tüm değişiklikler sürekli olarak
iCloud’da yedekleniyor, notlarımız senkronize ediliyor, fotoğraflarımız
otomatik olarak upload ediliyor. Tabii bunların gerçekleşmesi için iCloud’a
izin vermemiz gerekiyor. İzni verdikten sonra çektiğimiz tüm fotoğraflar ve
videolar WiFi ağı bulunduğu anda bulut depolama alanımıza gönderiliyor.
Telefonlar -haliyle- çekilen fotoğrafların veya videoların
gizlilik derecesini ölçümleyemiyor ve ekran görüntülerine kadar tüm resimleri
iCloud hesabına gönderiyor. Bu resimler, sonrasında telefonumuzdan silsek bile
bulut depolama servisinde kalıyor. Eğer bir şekilde bulut hesabı üzerinden
silmezsek, tüm fotoğraf arşivimiz orada birikmeye devam ediyor. İşte Fappening
faciası da bu noktada başlıyor.
Ünlülerin fazlasıyla özel fotoğraflarının iCloud üzerinde
birikmesi ve hackerların bir şekilde bu hesaplara giriş yapmış olmaları
sonucunda çok sayıda çıplak fotoğraf internete sızdırıdı. 4chan üzerinden
servis edilen fotoğraflar, kısa sürede torrente, sonrasında büyük bir kitlenin
bilgisayarına ulaştı. Ünlüler arasında Jeniffer Lawrance ve özellike Türkiye’de
çok sayıda seveni bulunan Kate Upton’ın fotoğraflarının da ortaya çıkması,
tahmin edeceğiniz üzere dünya üzerinde büyük ses getirdi.
Peki bu saldırı nasıl gerçekleşti? Bu konu henüz gizemini
koruyor. Apple CEO’su Tim Cook’a göre hackerlar direkt olarak iCloud
sunucularına erişmeye gerek duymadan, bir şekilde ünlülerin e-posta adresleri
ve şifrelerine ulaşarak normal bir giriş yapmışlar. Böylece Apple’ın hiçbir
suçunun bulunmadığını düşünebiliriz.
Peki ya
bu kadar ünlünün iCloud’da kullandığı e-posta adresinin yanı sıra şifreleri
nasıl ele geçirildi? Bu noktada biraz şüpheci davranmakta fayda var. “Çok
güvenli” olarak bildiğimiz iOS’un belki de bir açığından faydalandılar ve bir
uygulama aracılığıyla şifrelere ulaştılar. Yayınlanmak istenen tüm
uygulamaların didik didik incelenerek belirli bir onay sürecinden geçtiğini
düşünürsek, bu teorinin kendini yokedeceğini düşünebiliriz. Fakat uygulamalar,
belli başlı internet sayfalarına da bağlanabiliyorlar. Onay sürecindeki bir
uygulama X sitesine bağlandığında normal, zararsız bir sayfa görüntüleyebilir.
Uygulama onaylandıktan sonra bu sitenin arayüzü değiştirilip, iCloud hesabını
ve şifresini isteyen bir sayfa haline getirilebilir.
Her ne
kadar Apple’ın iCloud sistemlerinde herhangi bir açık bulunmadığı iddia
ediliyor olsa da yeterince güvenli olmadığı kesin. Bulut servislerinin pek
çoğunda onaylanmamış bilgisayarlardan / cihazlardan giriş yapmak için SMS veya
e-posta doğrulaması gerektirmesi gibi seçenekler bulunuyor. Hatta bu sistemi
Steam gibi sadece oyuna yönelik, eğlence amaçlı sistemler bile kullanıyor.
Fappening
saldırısı ünlülerin özeline değil de çok daha önemli verilere de yapılmış
olabilirdi. Tabii ki bir kişinin çıplak fotoğraflarının internete sızması o
kişi için fazlasıyla sıkıntılı bir durum fakat sadece 1 veya 2 kişiyi
etkiliyor. Büyük bir şirketin önemli verilerinin rakip firmalara sızdırılması
veya devlet verilerinin (gerçi devlet verisini Amerikan şirketlerinin sunduğu bulut
hizmetlerinde kim tutar, orası soru işareti) bir şekilde ortaya çıkması çok
daha büyük sonuçlar doğurabilirdi.
Şifrelenmiş dosyalara erişim
Adını sık
sık duyduğumuz iCloud, One Drive, Box ve Dropbox gibi servislerin tamamı son
derece yüksek güvenlik önlemlerine sahipler. Şu anda Fappening yüzünden en az
güven hissi uyandıran iCloud’da bile verilerimiz 128 bit şifrelemeyle
korunuyor. 128 bit şifrelemeyle korunan dosyalara erişmeyi başarsak bile
şifrelenmiş dosyaları çözmek neredeyse imkansız.
Şifreli olarak
kaydedilen dosyalar, aktarım esnasında da şifreleniyorlar. Yani internete
erişim için kullandığımız ağ üzerinden dosyalarımızı bulut servislerine
gönderirken bir şekilde araya karışıp dosyalarımızı görüntülemeleri pek de
mümkün değil.
Tüm bu
parçalar bir araya getirilince bulut depolamanın aslında güvenilir olduğu
sonucunu çıkarabiliriz. Bulut servisi sunan çok sayıda firma var ve bulut
depolamanın şimdiki gelişim sürecinde en doğru işler yapan firmanın, uzun
yıllar boyunca işin kaymağını yiyeceğini tahmin etmek zor değil. Bu sebepten
dolayı her firma müşterisine bol miktarda güven aşılamaya çalışıyor.
Müşterilerinde oluşturduğu güven hissini bir kere kaybeden firmanın, böylesine
hassas bir sektörde geri dönmesi pek de kolay değil. Bulut depolama ciddi bir
sektör ve gelecek vaadediyor. Haliyle dev firmalar birbirleriyle rekabet
içerisindeler.
Kullanıcılar bilinçlendirilmeli
Orta ve
büyük ölçekli şirketlerin bir çoğu çalışanlarına akıllı telefon dağıtıyor.
Şirketlerin akıllı telefon dağıtmalarının sebebi ise öncelikli olarak tüm
çalışanların standart bir akıllı telefona sahip olması gerekliliği. Böylece bir
sorun yaşanması durumunda IT çalışanları çok daha kolay bir şekilde müdahalede
bulunabiliyorlar. Ayrıca yönetici hesabı kurularak, telefonlara istendiği anda
müdahale ve kontrol imkanı sunuluyor. Çalışanların yanlış bir iş yaptığı
düşünüldüğünde telefon dışarıdan kontrol edilerek emin olunabiliyor.
Her ne
kadar şirket telefonları bu şekilde korunabiliyor olsalar da iş yine
kullanıcıda bitiyor. Kullanıcının yaptığı yanlış bir hamle sonucu telefonun
bağlı olduğu bulut hizmetlerine sızılabilir ve buluttaki veriler elde
edilebilir.
Günümüzün
en yaygın mobil işletim sistemi Android’de uygulamalar herhangi bir kontrolden
geçmiyor ve telefonun neredeyse her yanına erişim sağlayabiliyor. Windows
Phone’larda uygulamaların yetkileri bir hayli kısıtlıyken, iOS’ta mağazaya
gelen her bir uygulamanın didik didik incelendiği düşünülünce, asıl güvenlik
sorunu olan işletim sisteminin Android olduğunu farketmemek mümkün değil. Bulut
hizmetlerinin, e-postaların ve çeşitli yazışmaların gerçekleştirileceği akıllı
telefonların işletim sistemini seçerken dikkatli davranmakta fayda var.
İşletim
sistemini seçtikten sonra çalışanların / kullanıcıların bilinçlendirilmesine de
çalışmak gerekiyor. Yine Android’den örnek vereceğim. Android’in uygulama
paketleri olan .apk dosyaları, internet siteleri üzerinden de yüklenebiliyor.
Yani eğer “Bilinmeyen Kaynaklar” seçeneği açıksa, cihaza tarayıcı üzerinden
bile uygulama yüklenebiliyor. Eğer bilinçli bir kullanıcı değilse ve ekranda
gördüğü hiçbir yazıyı okumadan “Tamam” butonunu tıklayarak ilerlemeye çalışan
biriyle, çok rahat bir şekilde bu tip tuzaklara düşebilir.
Sadece tablet veya telefonlarda değil…
Her ne
kadar ağırlıklı olarak mobilden bahsetmiş olsak da masaüstü veya dizüstü
bilgisayarlarda da dikkatli olmak gerekiyor. Bilgisayar üzerindeki verilere
zararlı yazılımlarla erişim nasıl sağlanabiliyorsa benzer bir şekilde bulut
depolamadaki verilere de ulaşılabilir.
Böyle bir
durumla karşılaşmamak için hem bilgisayarın kendisini, hem de bilgisayarın
bağlı olduğu bulut depolama sistemini korumak için antivirüs yazılımları kurmak
gerekiyor.
En son kim bağlandı?
Dropbox
gibi bazı bulut depolama servisleri, en son hangi cihazdan bağlanıldığını
gösteren bir sayfaya sahip olabiliyorlar. Bu sayfalar üzerinden en son hangi
cihaz üzerinden, ne zaman bağlanıldığını görebiliyoruz. Eğer bağlı olmasını
istemediğimiz bir cihaz bağlı görünüyorsa şifreyi değiştirip, o cihazın
erişimini kaldırabiliyoruz.
