GetContact ve Bilgi Güvenliği

Mobil uygulamalar, web uygulamaları ve diğer üçüncü parti yazılımlar son dönemlerde bize “bilmediğimiz” bazı şeyleri vererek indirilme sayılarını arttırıyorlar. Bir ara “Facebook profiline kim bakmış” gibi uygulamalarla birçok kişinin profili için izin alındı ve bu profillerde, kişilerin istemedikleri şeyler gerçekleştirildi. Sosyal medyanın yaygınlaştığı ve birçok kişinin hesap oluşturduğu 2009 yılından itibaren ülkemizde bu tip durumlara çok sık rastladık. Uygunsuz paylaşımlar, gayri ihtiyari sayfa beğenmeler, takip etmeler, DM atmalar vb. gibi şeyler yaşadı birçok kişi. Hala, sınırsız yetki vererek uygulama kuran birçok kişi var. Sürekli hesabı “hacklenen” kişilere denk geliyorum Twitter‘da. Bu da gösteriyor ki biz hala iyi bir “İnternet okuryazarı” değiliz. Okullarda bilgisayar dersleri veriliyor ama internet/bilgisayar/sosyal medya okuryazarları yetişmiyor. Bunun sonucunda da “hala” bilgi güvenliğini sağlayamayan insanlar oluyor. Son dönemde yaygınlaşan GetContact uygulamasını kullanan onbinlerce belki yüzbinlerce kişi gibi.

Bilgi Güvenliği: 21. yy’ın En Önemli Konusu

Bilgi güçtür. Bilgiyi elinde bulunduran kişi, kurum veya devletler her zaman diğerlerinden üstün olmuştur/olacaktır. Özellikle, dünyanın iyice küçüldüğü, mesafelerin saatlere indiği, en uzak yerle olan irtibatın saniyeler sürdüğü günümüzde bilgi daha da kıymetli bir hale gelmiştir. Çünkü internet, bilginin üretilmesi ve yaygınlaştırılmasını kolaylaştırmıştır. İnternetin milyarlarca insan tarafından kullanılması neticesinde de ham bilgi dağları meydana gelmiştir. Buna Big Data diyorlar, “Büyük Veri” yani. Big data, aslında işlenmemiş bilgi yığınıdır. Dünya üzerinde belirli özelliklere sahip her kişi ve kurum big data’ya sahip olabilir. Bunu işlemek ise herkesin harcı değildir. Big data’dan anlamlı bir şeyler üreten, onu analiz edip kullanabilenler maddi olarak oldukça yüksek konumlara erişiyorlar. Bunun en büyük örneği de sosyal medya mecraları.

Facebook’ta hedef kitle seçmek oldukça kolay

Facebook, yıllık 40 milyar dolarlık reklam gelirini big data sayesinde elde ediyor. Big data’ya sahip olması yetmiyor tabii ki, bunu işlenebilir hale getirip reklamverenlere kullandırmak asıl maharet. Facebook’ta reklam yayınlayanların bildiği gibi, insanları birçok ayrıntıya göre sınıflandırıp reklamı doğru kişilere gösterebiliyoruz. Bu, big data’nın işlenmiş halinin bize sunulmasıdır. Aynı şekilde Twitter, Google, Linkedin gibi ortamlar da bunu bizlere sağlıyorlar. Biz adımlarımızı gizlesek bile davranışlarımızla bu mecralara izler bırakıyoruz. Bıraktığımız izler de “üstün mühendislik” teknikleri ile işlenip bize “yol, su, elektrik” olarak geri dönüyor.

Kaynak: dilate.com.au

Bize yol, su, elektrik olarak geri dönen izlerimizin neticesi olarak gün içerisinde birçok reklama maruz kalıyoruz. Kimisi ilgimizi çekmiyor, kimisiyle etkileşime geçmiyor, kimisiyle de oldukça ilgileniyoruz. Birçok kişi bir alışveriş sitesinde gezinip baktığı ürünlere başka mecralarda reklam olarak denk geldiğinde “CIA bizi izliyor” hissine kapılıyordur. Aslında öyle değil. İş sadece basit bir “çerez” izlemesinden ibaret. Güvenli tarayıcılar kullanıp reklam engelleyici programları da üzerine kaymak olarak eklerseniz hiçbirisine denk gelmezsiniz. Peki, reklam dışındaki verilerimiz?

Reklama dönüşmeyen verilerimiz bizi ele veren, aslında en mahrem olan bilgilerimizdir. Bunlar, Google Maps‘in konum izleme özelliği gibi, Facebook‘un etkileşime geçtiğimiz postları kayıt altına aldığı gibi, Instagram‘ın en çok baktığımız profilleri listelemesi gibi mahrem bilgilerdir. Ve biz, umursamaz bir şekilde bu bilgilerimizi kullandırtmaya devam ediyoruz. Bunun neticesinde de Cambridge Analytica gibi firmalar ortaya çıkıyorlar. Geçtiğimiz günlerde Facebook’ta patlak veren bu olay, yazımızın konusunu da doğrudan etkilediği için birazcık da olsa değinmek istediğim bir konu. Cambridge Analytica, ABD başkanlık seçimlerinde, seçmen tercihini “cebren ve hile ile” değiştirmeye yönelik sağlam çalışmalar yapmış ve veri güvenliğini ihlal etmiş. Bu olay patlak verdikten sonra Facebook, doğrudan olmasa da dolaylı olarak bu saçmalığa göz yumduğu için büyük değer kaybı yaşamış durumda. Bu da bize bilgi güvenliğinin ne kadar önemli bir konu olduğunu gösterdi.

Bilgi güvenliği, bize bedava sunulan her dijital şeyin bizden almak istediği bilgilerimizi korumamız anlamına geliyor. Bilgimizi koruyamadığımız durumlarda ise en masum şekilde “hedeflenmiş” reklamlara maruz kalıyor, en kötü şekilde de hesaplarımızı kaybedebiliyor, hatta maddi olarak büyük zararlar yaşayabiliyoruz. Bilgimizi koruyabildiğimiz müddetçe dijital insan olabiliriz ve dijital dünyada kayıplara karışmayız. Nasıl ki gerçek dünyada kendimizi bir şekilde olumsuz her şeyden korumak için tedbirler alıyorsak dijital dünyada da bunu gerçekleştirebilmeliyiz. Bunu yapmak için de belirli bazı şeyleri bilmemiz gerekecektir.

Öncelikle, kullandığımız uygulamalar veya programların bizden talep ettiği şeyleri özellikle incelememiz gerekir. Bir uygulamayı telefonumuza indirdiğimizde bizden bazı izinler talep edecektir. Konum, galeriye erişim, kişi listesine erişim, kameraya veya mikrofona erişim gibi istekler uygulamaların bize sunduğu hizmetlerin daha kolay hale gelmesi için istenebildiği gibi, bizim isteğimiz dışında şeyleri gerçekleştirmek için de kullanılabilir. Bir uygulama bizden konum izni istiyorsa bunu bir harita için kullanacak ve bize bu izinle yakındaki bir şeyleri gösterecektir. Ama zararlı bir uygulama bu izni kullanarak nerelere sık sık gittiğimizi ve ne kadar süre kaldığımızı öğrenebilir. Bunu “masumane” bir şekilde coğrafi olarak hedefleme yaparak reklamda kullanabildiği gibi istihbarat için de kullanabilir. Aynı şekilde, ses kayıt için mikrofon izni isteyen bir uygulama bu izni kullanarak ortamı dinleyebilir. İşte bu tip durumlara maruz kalmamak adına verdiğimiz izinlere özellikle dikkat etmemiz gerekiyor. Burada da uygulamayı kurmadan önce hakkında yazılmış yorumlara bakmak, alakasız bir isteği olan uygulamayı kurmamak gibi önlemler alınabilir.

Daha sonra, örneğin bir oyun oynayacağız veya bir siteye üye olacağız. Bizden “Facebook ile giriş” yapmamızı talep edebilirler. Bu durumda, bu giriş izni ile bizden ne gibi talepleri olduğuna dair izin kısmına mutlaka bakmalıyız. Bir oyun bizden arkadaş listemize erişmeyi talep edebilir. Çünkü arkadaşlarımızla yarışmamız için bir özelliği bulunuyordur. Ama aynı oyun bizden sayfa beğenme izni talep ederse bunun altında bir hinlik yattığını düşünmemiz gerekir. Çünkü bir oyun, sayfa beğenme izni talep ediyorsa bunu “sayfa beğenisi yüklemek” adına başka sayfalarda kullanabilir. Bunun neticesinde kendimizi istemediğimiz sayfaları beğenmiş olarak buluruz. Bu sadece Facebook için geçerli değil. Twitter ve Instagram’da da benzer uygulamalar yayılıyor. Bir bakıyoruz hesaplardan spam mesajlar gelmeye başlıyor, hesaplar istenilmeyen kişileri takip ediyor ya da hesap el değiştirebiliyor yani hackleniyor.

Bu kadar kısmı uzun uzun yazmamın sebebi, hem bilgi güvenliği noktasında bir farkındalık oluşturmak hem de asıl konuya girişte bir önbilgi vermekti. Şimdi, yazımızın konusuna gelebilirim.

GetContact Sizi Sazan Yerine Koyuyor!

GetContact uygulaması son bir haftadır adeta çığ gibi yayılıyor. Daha önce benzer uygulamalara şahit olmuştuk. CIA gibi “rehber” uygulamaları neticesinde birçok kişinin “arayanı bul” özelliğini kullanması ile rehberleri kopyalanmıştı. GetContact ise durumu birkaç adım öteye götürüp iyi bir pazarlama stratejisi ile virüs gibi yayıldı. İnsanların merak duygularına hitap eden GetContact, “Başkaları bizi nasıl kaydetmiş” merakımızı kullanarak birçok kişinin telefonunda kendisine yer buldu. Gerçekten de, başkalarının rehberlerini kopyalayarak, numaranızı nasıl kaydettiklerini size gösteren bu uygulama aslında göründüğü kadar masum değil. Yazımın büyük kısmında değindiğim bilgi güvenliği noktasında büyük zaafiyetler yaşatabilecek bu uygulama ile ileride başımıza büyük dertler açılacaktır. GetContact, belki de şu ana kadar elde ettiği yüzmilyonlarca telefon numarası ile arkaplanda büyük paralar kazanmaya başlamıştır bile.

Bir keresinde bir ders sırasında sektörün önde gelen isimlerinden birisi şu soruyu sormuştu: “Whatsapp neden 19 milyar dolara satıldı?” Tahmin edilebilir birçok cevap geldi topluluktan. O kişi ise şu doğrultuda bir açıklama yaptı: Tüm dünyada, kişilerin kimlik numarası gibi bir ID’ye sahip olduğunu düşünün. Her ülkenin kendi vatandaşlarına verdiği bu numara tüm insanlar arasında standart değil. Ama, telefon numarası büyük oranda bunu sağlıyor. Yani Whatsapp bize, telefon numaralarımız ile bir bakıma ID numarası veriyor. Bu da, uygulamayı kullanan her kişinin davranışlarını birebir öğrenmek demek. Bu numara ile giriş yapılan başka platformlarda da reklam gösterimi ve davranış takibi anlamına geliyor.

Yani, telefon numaralarımız en az kimlik numaralarımız kadar önemli. GetContact ise bu numaraları alarak bir nevi bizi izlemeye başlıyor. İleride bir firma, ilgi duyduğumuz bir şey için bizi aradığında aklımıza şu soru gelirse sorumlusu GetContact olabilir: “Bunlar numaramı nereden bulmuşlar?”

GetContact kullanan kişiler, eğer sırf meraklarından bunu kurmuşlarsa ve bu tip uygulamaların tehlikelerini biliyorlarsa asla ve asla bilgi güvenliğinin öneminden dem vurmamalılar. Ve, izinleri olmadığı halde telefon numaraları sisteme aktarılan rehberindeki kişilerden de özür dilemeliler. Ama, bilgi güvenliğini düşünmeden, konu hakkında bilgisi olmadan GetContact’i kurup rehberini paylaşmış insanlar var ise acilen bilgi güvenliği, internet okuryazarlığı konularında ansiklopedik bilgilerden öteye gidecek şekilde bilgi edinmeliler ve bunu hayatlarına tatbik etmeliler. Sonuçta, bunun gibi “basit” uygulamalara rehberini açabilen kişiler ileride bulut yazılımlar yaygınlaşıp herkes tarafından kullanıldığı durumlarda fotoğraflarını da haberleri olmadan paylaşabilirler. Bu durumda çıkıp “benim özel fotoğraflarım, uygunsuz fotoğralarım internette nasıl dolaşabiliyor” diye ağlama hakları olamaz.

Üstelik, 2 milyara yakın numara bulunan GetContact veritabanından çıkmak da neredeyse mümkün değil. Uygulamayı kurduktan sonra “numaramı kaldır” seçeneğini size sunuyor. Ama bu, ileride tekrar numaranız sisteme kaydolduğunda silineceği garantisini de vermiyor. Yani, silseniz bile tekrar burada bulunabilirsiniz.

Bir de, Google Play‘de yer alan GetContact uygulamasının istediği izinlere bir bakalım. Utanmasa annemizin kızlık soyadını da talep edecek gibi duruyor:

Kimlik
  • cihazdaki hesapları bulma
Kişiler
  • cihazdaki hesapları bulma
  • kişilerinizi okuma
  • kişilerinizi değiştirme
Telefon
  • telefon numaralarına doğrudan çağrı yap
  • giden çağrıları yeniden yönlendir
  • çağrı günlüğünü oku
  • telefonun durumunu ve kimliğini okuma
  • çağrı günlüğüne yaz
Fotoğraflar/Medya İçerikleri/Dosyalar
  • USB depolama biriminizin içeriğini okuma
  • USB belleğinizin içeriğini değiştir veya sil
Depolama
  • USB depolama biriminizin içeriğini okuma
  • USB belleğinizin içeriğini değiştir veya sil
Kamera
  • resim çek ve video kaydet
Cihaz Kimliği ve çağrı bilgileri
  • telefonun durumunu ve kimliğini okuma
Diğer
  • İnternet’ten veri alma
  • ağ bağlantılarını görüntüleme
  • tam ağ erişimi
  • başlangıçta çalıştırma
  • diğer uygulamaların üzerinde görüntüleme
  • bu cihazdaki hesapları kullanma
  • cihazın uyku moduna geçmesini engelle
  • Google hizmet yapılandırmasını okuma

Bilgi güvenliğinizi ilk başta kendiniz sağlamalısınız. Nasıl ki dışarı çıkarken elbiseleriniz giyiyor ve tedbir alıyorsanız internete girdiğinizde de bilgilerinizi ortalığa saçmamak için bilgi güvenliğinizi sağlama almalısınız. Almazsanız, GetContact gibi uygulamalar bizleri kandırmaya devam eder ve özel bilgilerimizle dünyalar kadar para kazanabilirler.

Son bir not: Lütfen GetContact kullanmıyorsanız merakınıza yenilip kurmaya kalkışmayın. Birkaç arkadaşınızın salak salak isimlerle sizi kaydetmesini öğrenmek size hiçbir fayda sağlamayacak çünkü.

YOUR COMMENT