Yeni Çağ gazetesi yazarları Murat Ağırel ve Batuhan Çolak arkasındaki gücün hiç de hafife alınamayacağı bir siber operasyona maruz kaldılar.
Murat Ağırel'in 24 Şubat tarihli köşe yazısında Libya konusundaki paylaşımlarından sonra GSM bağlantı hızının önce 2G'ye düşürüldüğünü ve GSM operatöründen buna dair bir bilgilendirme SMS'i aldığını, e-posta erişiminde hata aldığını, sonrasında da mail hesabının bağlı bulunduğu Twitter hesabının ele geçirildiğini belirtiliyor.
Ağırel, GSM operatörünü arayıp değişikliğin sebebini sorduğunda talebin kendisinden geldiği yanıtını alıyor.
Bu senaryoda ilginç olan ayrıntılar var. Bunlardan ilki bir bilgilendirme SMS'i almış olması.
Doğrudan operatörün dahil olduğu bir operasyon olsa muhtemelen Ağırel böyle bir bilgilendirme SMS'i almayacaktı.
Twitter'da bu hadisenin teknik ayrıntılarına dair yazılıp çizilenler SS7 protokolünü işaret ediyor olsa da yine puzzle'ın başka parçaları da mevcut. Ama merak edenler için SS7 protokolü kısaca,
"SS7 (Signal System 7) çok basit tabiri ile cep telefonlarının kendi GSM operatörleri dışındaki operatörler ile haberleşmesini sağlayan bir iletişim ağıdır. (...) SS7 açıkları kullanılarak cep telefonu kullanıcılarının neredeyse tüm hareketleri izlenilebilmekle kalmayıp araya girilerek kendisi adına işlemler de gerçekleştirilebilmektedir. Bu alanda medyaya en çok yansıyan haberlerden birisi de iki faktörlü kimlik doğrulama (2FA) zafiyetleri olmuştur. SS7 ağı üzerinden hedefin cep telefonuna gelen SMS mesajlarının başka bir telefona yönlendirilmesi yöntemiyle ile birçok kişisinin internet bankacılığı hesabının ele geçirildiği haberlerine sık sık rastlanmaktadır." (SS7 Protokolü ve GSM Ağlarındaki Potansiyel Tehlikeler, Murat Şişman, Arka Kapı Dergi Sayı 4, https://arkakapidergi.com/ss7-protokolu-ve-gsm-aglarindaki-potansiyel-tehlikeler/)
Puzzle'ın parçalarından söz ediyorduk, devam edelim:
Örneğin, Ağırel'in ya e-posta parolası biliniyor ya da GSM hattının ele geçirilmesi ile birilikte parola sıfırlama işlemi de yapılmış olmalı. Ağırel'in açıklamasından bunu anlamak mümkün değil.
Burada Ağırel özelinde tüm gazeteciler için dijital güvenlik bahsinde birkaç adımdan bahsetmek istiyorum. Bu adımları da Türkiye'nin ilk basılı hacker dergisi Arka Kapı Dergi'de yayımlanan ve ücretsiz erişime açık olan makaleleri referans vererek destekleyeceğim. Arka Kapı Dergi'de devam etmekte olan, Eren Altun'un kaleme aldığı Gazeteciler İçin Dijital Güvenlik başlıklı bir yazı dizisinin olduğunu da not etmeliyim.
1) Tüm çevrimiçi hesaplarınızda benzersiz bir parola kullanın. Bu parolaları parola yöneticsi programlarında saklayabilirsiniz, örneğin KeePassX. Bu parolaların belirli zaman aralıklarında değiştirilmesi de parola güvenliğinin olmazsa olmazlarından diyebiliriz. Konuyla ilgili olarak İmparatorluğun Anahtarı: Parolalar başlıklı yazımızı okuyabilirsiniz: https://arkakapidergi.com/imparatorlugun-anahtari-parolalar/
2) İki aşamalı doğrulamayı mutlaka hesaplarınızda aktifleştirin. İki aşamalı doğrulama, 2FA ya da MFA, özetle hesaplarınıza erişim için kullandığınız kullanıcı adı ve parola dışında, sahip olduğunuz bir cihaz ya da sanal bir cihaz vasıtasıyla yapılan ek bir kimlik doğrulama adımıdır. Online bankacılık başta olmak üzere yaygın olarak SMS doğrulama kullanılsa da kimi riskler barındırıyor. Bu hususu daha önce bu köşede dile getirmiştik, bkz. Dikkat SIM Kartınız Kopyalanabilir (https://www2.karar.com/yazarlar/ziyahan-albeniz/dikkat-sim-kartiniz-kopyalanabilir-7629).
Bu sebepten ötürü sanal bir cihaz, Google Authenticator, Authy gibi bir uygulama kullanarak SMS yerine bu uygulama vasıtası ile iki aşamalı doğrulamayı gerçekleştirebilirsiniz. Yine Google'ın gazetecilere yönelik bir USB sticki ile oturum açabilecekleri bir uygulaması mevcut. Google Advenced Protection Program'ının ayrıntıları için: https://landing.google.com/advancedprotection/
Ayrıca yaygın olarak kullanılan çift aşamalı doğrulama programının teknik analizi için, şu yazıya göz atabilirsiniz:
Google Authenticator ve Authy'nin mukayese edildiği bir yazı için: https://arkakapidergi.com/google-vs-authy-2fada-guvenlik-savaslari/
3) Eposta adreslerimiz hesaplarımızın güvenliği için en önemli unsur. 1. adımda parola güvenliğimizi sağlarken, şu noktanın da altını çizmeliyiz. Bilgi ifşalarında bizim e-posta adresimiz ve parolamız mevcut mu? Bunu en kolay kontrol edebilmenin yolu www.haveibeenpwned.com servisini kullanmak. Bu hususta daha önce kaleme aldığımız "Bana e-posta adresini söyle, sana parolanı söyleyeyim" başlıklı yazımıza müracaat edilebilir: https://www.karar.com/yazarlar/ziyahan-albeniz/bana-e-posta-adresini-soyle-sana-parolani-soyleyeyim-9082
4) Murat Ağırel köşe yazısında e-posta yazışma geçmişinin arşivlendiğini ve indirildiğini belirtiyor. Bu da bir diğer risk. E-postamıza erişim elde eden bir saldırgan tüm yazışma geçmişini görüntüleyebilir. Peki bundan korunmak mümkün mü? Açık anahtarlı şifreleme teknolojisi kullanarak e-postalarımızı gönderirken alıcının anahtarı ile şifreleyebilir; yine bize gönderilen e-postaları okumadan önce kendi anahtarlarımızla deşifre edebiliriz. Teknik ayrıntıları "göz korkutan" bir işlem olduğu için, bunu destekleyen hali hazırda e-posta servisleri kullanılabilir: Tutanota, Protonmail gibi. Bu hususta daha önce kaleme aldığımız "Google e-postalarımızı okuyor mu?" başlıklı yazımıza göz atabilirsiniz: https://www.karar.com/yazarlar/ziyahan-albeniz/google-e-postalarimizi-okuyor-mu-7430
5) Anlaşılacağı üzere klasik iletişim yöntemlerinin tercih edildiği durumlarda sadece SMS'lerimiz değil, telefon görüşmelerimiz de risk altında olabilir. Mobil internet kullanımının oldukça yaygın olduğu günümüzde pek çok kişi hali hazırda görüşmelerde WhatsApp gibi anlık mesajlaşma programlarını kullanıyor. Şu an bir defacto olarak tüm bu programlar uçtan uca şifreleme kullanıyor olsa da gerçekten hangisinin daha güvenli olduğunu merak ediyor olabilirsiniz. Bu hususta daha önce kaleme aldığımız "Hangi mesajlaşma uygulaması daha güvenli?" https://www.karar.com/yazarlar/ziyahan-albeniz/hangi-mesajlasma-uygulamasi-daha-guvenli-9659 yazımızı okuyabilirsiniz.
6) Ziyaret ettiğimiz web sayfalarının güvenli olması büyük bir önem arz ediyor. Bu güvenlik sadece web sitesi geliştirilirken geliştiricilerin nazarı dikkate aldığı yazılımsal güvenlik değil, sayfa ve bizim aramızdaki veri trafiğinin güvenliğinin sağlanmasını da içeriyor. Yani bir sayfayı ziyaret ettiğimizde gerek hizmet aldığımız servis sağlayıcısı, gerekse de internet ağında konumlanmış bir saldırganın bu veri trafiğini izleyemiyor ve değiştiremiyor olması şart. Bunun için karşımıza web sayfalarının güvenli bir bağlantıdan servis edilmesi zorunluluğu çıkıyor. Bu hususta kaleme aldığımız yazıda ayrıntılarını paylaştığımız konu mutlaka dikkate alınması gereken bir başka husus: "Ziyaret ettiğimiz web sayfaları güvenli değil miymiş?" https://www.karar.com/yazarlar/ziyahan-albeniz/ziyaret-ettiginiz-web-sayfalari-guvenli-degil-miymis-7578
Elbette operatörler, yasal kurumlar vatandaşlarını bu tarz saldırılardan korumakla mükellef olmalı. Fakat dijital güvenlik hiçbir kurumun insafına bırakılmayacak kadar değerli ise, biz bu işi önce kendi yaşantımızda tesis etmeliyiz.
Arka Kapı Dergi bir süredir Gazeteciler İçin Dijital Güvenlik yazıları yayımlıyor. Bu yazılar derhal bir kitapçık haline getirip ücretsiz olarak en kısa sürede paylaşılacaktır.
Murat Ağırel ve Batuhan Çolak'a geçmiş olsun diliyor; bir daha bu tarz hadiselerin yaşanmamasını umut ediyorum.