Bir zamanlar internette bir sayfanın sonuna gelmek, bir kitabın kapağını kapatmak gibiydi. Şimdi ise Instagram, TikTok veya X (Twitter) gibi platformlarda “son” diye bir kavram kalmadı. Peki, bu dipsiz kuyu nasıl çalışıyor ve bizi nasıl etkiliyor? İşte bu dijital labirentin anatomisi.

1. Algoritmanın Arkasındaki “Dipsiz Çorba” Etkisi

Sonsuz kaydırma, içeriğin kullanıcı aşağı indikçe otomatik olarak yüklendiği bir kullanıcı arayüzü tasarımıdır. Tasarımın yaratıcısı Aza Raskin, bu mekanizmayı geliştirirken amacının kullanıcı deneyimini akıcı hale getirmek olduğunu söylemişti; ancak daha sonra bu buluşun “dijital kokain” gibi çalıştığını itiraf ederek pişmanlığını dile getirdi.

Bu sistem, psikolojideki “Durma İpucu” (Stopping Cue) eksikliğinden yararlanır. Gazete okurken sayfa biter, yemek yerken tabak boşalır. Ancak sonsuz kaydırmada bir bitiş çizgisi yoktur; bu da beynin “dur ve değerlendir” sinyalini devre dışı bırakır.

2. Dopamin ve Değişken Ödül Mekanizması

Sonsuz kaydırma algoritmaları, kumar makineleriyle (slot makineleri) aynı psikolojik temele dayanır: Değişken Oranlı Ödül.

• Ekranı her kaydırdığınızda karşınıza ne çıkacağını bilmezsiniz.
• Bazen sıkıcı bir reklam, bazen de çok komik bir video gelir.
• İşte o “bir sonraki harika içerik” ihtimali, beyninizde sürekli bir dopamin salgısına neden olur.

Bu döngü, beyni bir tür “avcı-toplayıcı” moduna sokar. Sürekli yeni ve ödüllendirici bir bilgi arayışı, mantıklı düşünme yetimizi gölgeler.

3. Sonsuz Kaydırmanın Görünmez Zararları

Bu teknoloji sadece vaktimizi çalmıyor, aynı zamanda bilişsel ve psikolojik sağlığımızı da erozyona uğratıyor:

Bilişsel Aşırı Yükleme ve Dikkat Dağınıklığı

Sürekli yeni bilgiye maruz kalmak, beynin “çalışma belleğini” doldurur. Sonuç? Okuduğumuz hiçbir şeyi derinlemesine kavrayamayan, odaklanma süresi bir Japon balığından daha kısa bir zihin yapısı.

Karar Yorgunluğu

Her kaydırma, beynin “Buna bakmalı mıyım?”, “Beğenmeli miyim?” gibi binlerce mikro karar vermesine neden olur. Bu da gün sonunda zihinsel olarak tükenmiş hissetmemize yol açar.

Yankı Odaları ve Algı Manipülasyonu

Algoritma, sizin neyi sevdiğinizi öğrenir ve size sadece onu gösterir. Bu durum, sizi farklı fikirlerden izole eder (Filter Bubble) ve dünya görüşünüzü daraltarak radikalleşmeye zemin hazırlar.

Uyku ve Fiziksel Sağlık

“Yatmadan önce son bir kez bakayım” cümlesi, genellikle iki saatlik uykusuzlukla sonuçlanır. Mavi ışığın melatonin üzerindeki etkisi bir yana, sürekli dopamin uyarımı beynin uykuya geçişini imkansızlaştırır.

4. Dijital Prangadan Kurtulmak Mümkün mü?

Tamamen çevrimdışı olmak bir çözüm olmayabilir, ancak kontrolü geri almak için şu adımlar atılabilir:

Dijital Anayasa

Belirli bir platformun bağımlısı olmamak, dijital savunma hattını kurmak için en doğru zaman. “Dipsiz kuyu” sadece bir uygulama tasarımı değil, bir dikkat ekonomisi stratejisidir. Bu yüzden bizim stratejimiz de “Bütünsel Dijital Hijyen” üzerine kurulu olmalı.

İşte tüm platformlarda kontrolü elinde tutmanı sağlayacak 3 Katmanlı Savunma Stratejisi:

1. Katman: Cihaz Seviyesinde Engeller (Fiziksel Bariyerler)

Algoritmalar sürtünmesiz bir deneyim ister. Bizim görevimiz, araya bilinçli “sürtünmeler” eklemek.

• Gri Tonlama Modu (Grayscale): Instagram ve TikTok gibi platformlar renk psikolojisini (kırmızı bildirimler, canlı renkler) dopamin tetiklemek için kullanır. Ekranı siyah-beyaz yapmak, içeriğin “lezzetini” alır ve seni uygulamadan soğutur.
• Ana Ekran Temizliği: Sosyal medya uygulamalarını ana ekranından kaldır. Onları bir klasörün içine, en son sayfaya sakla. Uygulamaya ulaşmak için “arama” çubuğunu kullanmak zorunda kalman, beynine “Gerçekten girmek istiyor musun?” sorusunu sorması için zaman tanır.
• Bildirim Diktatörlüğüne Son: Sadece gerçek insanlardan gelen mesajlar için bildirim aç. Beğeniler, “X kişisi şunu paylaştı” gibi dürtüklemeler tamamen kapalı olmalı.

2. Katman: Psikolojik “Durma İpuçları” Oluşturma

Sonsuz kaydırmanın en büyük silahı, zaman algını yok etmesidir. Bunu şu yöntemlerle kırabilirsin:

• “Neden Buradayım?” Testi: Bir uygulamayı açmadan önce kendine şu üç sorudan birini sor:
  1. Belirli bir şeyi mi arıyorum?
  2. Birine cevap mı vereceğim?
  3. Sadece canım mı sıkıldı? (Cevap buysa, 5 dakika süre sınırı koy).
• Fiziksel Çapalar: Sosyal medyada gezinirken ayakta durmak veya tek ayak üzerinde durmaya çalışmak gibi rahatsız edici pozisyonlar dene. Beynin rahatsızlık hissettiğinde, “kaydırma” büyüsü bozulur.
• Bölümlendirilmiş Zaman (Time Boxing): “Günün her anı bakabilirim” yerine, “Sadece akşam 19:00 – 19:30 arası bakacağım” kuralını koy.

3. Katman: Algoritmayı Terbiye Etmek (Aktif Direniş)

Algoritma senin neyi sevdiğini değil, neye uzun süre baktığını ölçer. Onu yanlış besleyerek şaşırtabilirsin:

Altın Kural: Eğer bir platformda “son” (End of Feed) yazısını görmüyorsan, o platform senin için çalışmıyordur; sen o platform için çalışıyorsundur.

Bu stratejileri bir “dijital anayasa” gibi düşünebilirsin. Her hafta birini uygulamaya koymak, birden hepsini denemekten daha kalıcı sonuçlar verir.

Özetle: Sonsuz kaydırma, bizi içeriğin tüketicisi değil, içeriğin kendisinin ürün olduğu bir ekonomi içinde tutmak için tasarlanmıştır. Algoritma sizin ilginizi değil, vaktinizi ister.

The post Sonsuz kaydırma Algoritmaları ve Neden Önlem Alınmalı appeared first on Ali Karahisar.

1. Authentication (Kimlik Doğrulama) – Sen Gerçekten Kimsin?

Kimlik doğrulama, bir kullanıcının veya sistemin gerçekten iddia ettiği kişi olup olmadığını kanıtlama sürecidir. Bilgisayar dünyasında sıklıkla kullanıcı adı ve şifre kombinasyonu ile yapılıyor. Ancak bu sistemin güvenliğini arttırmak için ek adımlar da uygulanabilir.

Gerçek Hayattan Örnekler:

• Kullanıcı Adı ve Şifre: E-posta hesabınıza girmek için girdiğiniz bilgiler.
• Biyometrik Doğrulama: Parmak izi, yüz tanıma veya retina taraması ile kimliğinizi kanıtlamak.
• Tek Kullanımlık Kodlar (OTP – One Time Password): Online bankacılıkta SMS veya e-posta ile gelen ek bir doğrulama kodu.
• Donanım Anahtarları: Google ve Yubikey gibi cihazlarla ek bir doğrulama adımı eklemek.

Güvenli Kimlik Doğrulama İçin İpuçları:

• Her hesap için benzersiz şireler kullan.
• Mümkünse çok faktörlü kimlik doğrulama (MFA) etkinleştirmelisin.
• Parolalarını yöneticilerle (LastPass, Bitwarden gibi) sakla.

2. Authorization (Yetkilendirme) – Ne Yapabilirsin?

Yetkilendirme, kimliği doğrulanan bir kullanıcının hangi kaynaklara erişimi olduğunu ve hangi eylemleri gerçekleştirebileceğini belirler. Bir kullanıcının sisteme girmesi, her şeyi yapabileceği anlamına gelmez.

Gerçek Hayattan Örnekler:

• Role-Based Access Control (RBAC): Bir banka çalışanı sadece kendi müşteri portföyündeki hesaplara erişebiliyorken, sistem yöneticisi (admin) tüm hesaplara erişebilir.
• Dosya ve Dizin İzinleri: Bir okul sisteminde, öğrenciler yalnızca kendi notlarını görebilirken, öğretmenler bütün sınıfın notlarını düzenleyebilir.
• Uygulama Yetkileri: Mobil uygulamaların konum, mikrofon veya kamera erişim izni istemesi.

Yetkilendirme için En İyi Uygulamalar:

• Asgari yetki prensibini (Least Privilege Principle) uygula. Yani, herkes sadece ihtiyacı kadar izin almalı.
• Hassas verilere erişim için ek onay mekanizmaları oluştur.
• Yetkilendirmeleri düzenli olarak gözden geçir ve gereksiz erişimleri kaldır.

3. Accounting (Hesap Verebilirlik) – Ne Yaptın?

Hesap verebilirlik, bir kullanıcının sistemde gerçekleştirdiği tüm işlemlerin kaydedilmesi ve izlenmesi sürecidir. Böylece herhangi bir güvenlik ihlali veya hata durumunda, olayın kim tarafından ve ne zaman gerçekleştirildiği belirlenecektir.

Gerçek Hayattan Örnekler:

• Sistem Logları: Bir banka çalışanın hangi hesaplara erişim sağladığını kayıt altına almak.
• Oturum Takibi: VPN kullanıcıların hangi IP adreslerinden bağlandığını izlemek.
• SIEM (Security Information and Event Management) Sistemleri: Bütün güvenlik olaylarını merkezi bir noktada toplamak ve analiz etmek.

Hesap Verebilirlik için En İyi Uygulamalar:

• Tüm kritik işlemleri log kaydı ile takip et.
• Olası anormallikleri belirlemek için otomatik analiz sistemleri kullan.
• Kullanıcı aktivitelerini izleyerek güvenlik ihlallerini erkenden tespit et.

Son Sözler

Siber güvenliğini sağlamak istiyorsan, Triple A (AAA) prensibini unutmamalısın. Kimlik doğrulama, yetkilendirme ve hesap verebilirlik birlikte kullanıldığında, sistemlerin daha güvenli hale gelmesini sağlar.

Bunu bir gece kulübüne giriş yapmak gibi düşün:

1. Kapıdaki görevliler seni kimlik kartıyla kontrol eder (Authentication).
2. VIP alanına girip giremeyeceğini belirlerler (Authorization).
3. Ne kadar harcadığın ve içeride ne yaptığın kaydedilir (Accounting).

Böylece hem sistem güvenli kalır hem de her şey kontrol altında olur.

Siber dünyada da aynı prensip geçerli. Peki, sen kendi dijital güvenliğini sağlamak için hangi adımları atıyorsun? Yorumlarda paylaşabilirsin!

The post Triple A (AAA) Prensibi ve Siber Güvenlik: Kimlik Doğrulama, Yetkilendirme ve Hesap Verebilirlik appeared first on Ali Karahisar.

1. Gizlilik (Confidentiality): Verilerimize Kimler Erişebilmeli?

Gizlilik, en basit haliyle, verilerimizin yetkisiz kişilerin eline geçmemesi anlamına gelir. Mesela banka bilgilerinizin ya da kişisel mesajlarınızın yanlışlıkla ya da bilerek başkaları tarafından görülmesini istemezsiniz, değil mi?

Gerçek Hayatta Nasıl Korunacağız?

• Şifreleme (Encryption): WhatsApp gibi mesajlaşma uygulamalarının “Uçtan Uca Şifreleme” kullanması.
• Kimlik Doğrulama (Authentication): Banka hesaplarımıza girerken iki adımlı doğrulama (2FA) kullanmak.
• Yetkilendirme (Authorization): Şirketlerde, hassas belgelere herkesin erişememesi için belirli yetkiler verilmesi.

Saldırı Senaryosu:

• Veri Sızıntısı (Data Breach): 2019’daki Facebook veri sızıntısında milyonlarca kullanıcının telefon numaraları açığa çıkmıştı. Hackerlar, bu bilgileri kimlik avı (phishing) saldırılarında kullanabilir.
• Omuz Süzme (Shoulder Surfing): Kafede otururken birinin bilgisayar ekranınıza bakarak Şifrenizi çalması.

2. Bütünlük (Integrity): Veriler Değiştirilmedi mi?

Verilerimizin yetkisiz kişiler tarafından değiştirilmediğinden emin olmak gerekir. Bunu, bir belgeyi imzaladıktan sonra bir başkasının içeriğini değiştirip değiştirmediğini kontrol etmeye benzetebiliriz.

Gerçek Hayatta Nasıl Korunacağız?

• Hashleme (Hashing): Şifrelerimizi düz metin olarak saklamak yerine karma (hash) fonksiyonlarıyla korumak.
• Dijital İmzalar: E-postaların ve belgelerin kaynağını doğrulamak için kullanılır.
• Versiyon Kontrol Sistemleri: Yazılım geliştirirken kodların kim tarafından ve ne zaman değiştirildiğini izlemek.

Saldırı Senaryosu:

• Man-in-the-Middle (MitM) Saldırısı: Bir hacker, iki taraf arasındaki iletişimi ele geçirerek örneğin, bir banka transferinde alıcının IBAN’ını kendi hesabıyla değiştirirse paranız başka bir yere gider!
• Veri Manipülasyonu: Bir hacker, hastane sistemine girip hastaların tıbbi geçmişini değiştirirse, hastalar yanlış tedavi görecektir.

3. Erişilebilirlik (Availability): Verilere Ne Zaman Ulaşabiliriz?

Bir sistem ne kadar güvenli olursa olsun, eğer ihtiyacımız olduğu anda erişilemiyorsa işe yaramaz. Erişilebilirlik, sistemlerin her zaman çalışabilir olmasını ve hizmet dışı kalmamasını sağlar.

Gerçek Hayatta Nasıl Korunacağız?

• Yedekleme ve Kurtarma (Backup & Recovery): Verilerimizin bozulma veya kaybolma ihtimaline karşı düzenli yedekler almak.
• DDoS Koruma: Web sitelerinin ve sistemlerin suni trafikle çökmemesi için siber süzgeçler kullanılması.
• Fazlalık Sistemler (Redundant Systems): Kritik sistemler için birden fazla sunucu kullanarak kesintisiz hizmet vermek.

Saldırı Senaryosu:

• DDoS Saldırısı: 2016’da Dyn DNS servisine yapılan büyük DDoS saldırısı, Twitter, Netflix ve PayPal gibi dev platformları geçici olarak erişilemez hale getirmişti.
• Fiziksel Hasar: Veri merkezine yapılan fiziksel bir saldırı ya da doğal afet (deprem, yangın) sistemlerin erişilemez hale gelmesine neden olacaktır.

Son Söz

CIA Prensibi, siber güvenlik dünyasının temelini oluşturuyor. Bir sistem ne kadar modern olursa olsun, eğer gizlilik, bütünlük ve erişilebilirlik dengesine dikkat edilmezse, siber saldırılara karşı savunmasız kalır. Unutmayın, verileriniz size özel ve değerlidir. Onları korumak da sizin elinizde!

Sizce en önemli siber güvenlik riski hangisi? Yorumlarda görüşelim!

The post Siber Güvenlikte CIA Prensibi: Gizlilik, Bütünlük ve Erişilebilirlik appeared first on Ali Karahisar.

What is SQL Injection?

SQL injection (SQLi) is like a security breach where malicious users exploit software vulnerabilities. When you input your username and password into a login page, the system may mistakenly check if someone else exists with those details instead of verifying your account directly. This happens because of improper handling of user inputs in database queries.

Why It’s a Problem

SQLi is dangerous because it lets attackers access data they shouldn’t. If a hacker can exploit a vulnerable system, they might gain control over sensitive info, leading to identity theft or financial fraud. It’s like leaving a back door open in your home—uninvited guests could walk right in.

How to Protect Against SQL Injection

Preventing SQLi requires careful handling of user data. Always use parameters when writing database queries. For example, instead of inserting user data directly into the database without validation, use prepared statements. In PHP, this might look like using mysqli Prepare Statements to safely input values.

Here’s an example in PHP:

// Bad practice: vulnerable to SQL injection
$user = $_GET['user'];
$password = $_GET['pass'];
$sql = "SELECT * FROM users WHERE username='$user' AND password='$password'";
$result = mysqli_query($db, $sql);

In this code, user inputs are directly inserted into the query. Attackers can manipulate these inputs to gain access.

// Safer practice: using parameters
$user = $_GET['user'];
$password = $_GET['pass'];
$stmt = mysqli_prepare($db, "SELECT * FROM users WHERE username=? AND password= ?");
mysqli_stmt_bind_param($stmt, 'ss', $user, $password);
$result = mysqli_execute($db, $stmt);

Here, inputs are enclosed in ? placeholders and bound securely. Attackers can’t easily inject malicious code.

Avoid Dynamic SQL

Dynamic SQL, where queries are built at runtime using user input, is risky. Instead of hardcoding all possible queries, use parameterized statements to limit what users can influence.

Use ORMs (Object-Relational Mapping)

Frameworks like Laravel or Symfony come with ORM tools that help build safe queries by abstracting database interactions. These tools can reduce the risk of SQLi by handling parameterization automatically.

Additional Tips

• Encrypt Communication: Use SSL/TLS to encrypt data in transit, making it harder for attackers to intercept.
• Security Headers: Implement headers like Content Security Policy to restrict what can be executed on the server side.

Stay Updated and Test

Regularly update your software and test for vulnerabilities. Tools like Burp Suite or SQLMap can help find weaknesses without needing technical expertise.

Conclusion

Preventing SQL injection is crucial for protecting sensitive data. By using parameters, avoiding dynamic SQL, and employing ORMs, you can safeguard your applications. Remember, staying informed and proactive is the best defense against these threats. Keep it safe online!

The post SQL Injection: A Friendly Guide to Understanding the Threat appeared first on Ali Karahisar.

Daha önce de SOLID Prensiplerini anlatmıştım. O konu hakkında da SOLID Prensipleri ile Daha İyi Yazılım Tasarımı adlı yazımdan bilgi alabilirsin.

ACID Nedir?

ACID, veritabanı işlemlerinin güvenilir olmasını sağlayan dört temel özelliği ifade eder:

• Atomicity (Atomiklik) – İşlemler ya tamamen gerçekleşir ya da hiç gerçekleşmez.
• Consistency (Tutarlılık) – Veriler her zaman geçerli ve doğru kalır.
• Isolation (İzolasyon) – Aynı anda çalışan işlemler birbirini etkilemez.
• Durability (Kalıcılık) – Tamamlanan işlemler, sistem çökse bile kaybolmaz.

Şimdi her bir prensibi tek tek inceleyelim.

1. Atomiklik (Atomicity)

Atomiklik, bir işlemin ya tamamen gerçekleşmesini ya da hiç gerçekleşmemesini garanti eder. Eğer bir işlem tamamlanmadan hata oluşursa, tüm değişiklikler geri alınır.

Örnek: Banka Transferi

Bir hesaptan diğerine para transfer ettiğinde, para gönderici hesaptan düşer ve alıcı hesaba eklenir. Eğer sistem, parayı gönderen hesaptan düşüp alıcıya ekleyemezse, hesaplar arasında dengesizlik oluşur. İşte bu yüzden atomiklik ilkesi gereklidir.

Örnek Uygulama

Connection conn = DriverManager.getConnection(url, user, password);
try {
    conn.setAutoCommit(false);
    
    Statement stmt = conn.createStatement();
    stmt.executeUpdate("UPDATE hesaplar SET bakiye = bakiye - 100 WHERE id = 1");
    stmt.executeUpdate("UPDATE hesaplar SET bakiye = bakiye + 100 WHERE id = 2");
    
    conn.commit();
} catch (Exception e) {
    conn.rollback();
    e.printStackTrace();
} finally {
    conn.close();
}

Bu kod, işlemi atomik hale getirir. Eğer bir hata oluşursa rollback() fonksiyonu tüm değişiklikleri geri alır.

2. Tutarlılık (Consistency)

Tutarlılık, verilerin her zaman doğru ve kurallara uygun olmasını sağlar. Eğer bir işlem veritabanının bütünlüğünü bozuyorsa, işlem başarısız olur.

Örnek: Stok Yönetimi

Bir müşteri sipariş verdiğinde, sistem stoğu otomatik olarak günceller. Eğer sipariş edilen ürün stokta yoksa, işlem gerçekleştirilmez. Böylece tutarsız bir durum oluşmaz.

3. İzolasyon (Isolation)

İzolasyon, aynı anda çalışan işlemlerin birbirini etkilemesini engeller. Bu sayede her işlem, diğer işlemler tamamlanana kadar kendi başına çalışır.

Örnek: Banka Bakiye Güncelleme

Bir müşteri hesabını kontrol ederken, başka bir müşteri aynı hesaba para yatırıyorsa, bakiye bilgisi doğru görünmelidir. Eğer izolasyon sağlanmazsa, müşteri yanlış bakiye bilgisi görebilir.

İzolasyon Seviyesi Ayarlama

conn.setTransactionIsolation(Connection.TRANSACTION_SERIALIZABLE);

Bu kod, işlemlerin birbirinden tamamen bağımsız çalışmasını sağlar.

4. Kalıcılık (Durability)

Kalıcılık, başarılı bir işlemin sistem çökse bile kaybolmamasını garanti eder. İşlem tamamlandıktan sonra veriler güvenli bir şekilde saklanır.

Örnek: E-Ticaret Siparişleri

Bir müşteri sipariş verdiğinde, elektrik kesintisi olsa bile sipariş bilgileri kaybolmaz. Sipariş tamamlandıktan sonra veritabanına yazılır ve güvence altına alınır.

Kalıcılığı Sağlama

conn.commit();

Bu işlem, verinin veritabanında kalıcı hale gelmesini sağlar.

Sonuç

ACID prensipleri, veritabanı işlemlerinin güvenli, tutarlı ve hatasız olmasını sağlar. Eğer sağlam bir sistem geliştirmek istiyorsan, bu prensipleri mutlaka uygulamalısın.

Bu konu hakkında düşüncelerin neler? Aşağıya yorum bırakabilir veya sorularını paylaşabilirsin!

The post ACID Programlama Prensipleri: Veritabanlarında Güvenilirlik ve Tutarlılık appeared first on Ali Karahisar.

Smishing Nasıl Çalışır?

Dolandırıcılar, smishing saldırılarıyla genellikle bir banka, kargo şirketi ya da resmi bir kurumdan geliyormuş gibi görünen SMS mesajları gönderir. Bu mesajlar, kullanıcılara acil bir işlem yapmaları gerektiğini ya da ödül kazandıklarını bildirir. Mesajda yer alan bir linke tıklamanız istenir. Tıkladığınızda, sahte bir web sitesine yönlendirilirsiniz. Bu sahte site, sizden kredi kartı bilgilerinizi, şifrenizi ya da diğer hassas verilerinizi girmenizi talep eder. Bu bilgileri girdiğinizde, dolandırıcılar bu verilere anında erişim sağlar.

Bir kargo firmasının adını kullanan smishing örneği

Smishing Saldırılarının Özellikleri

Gerçekçi Görünen Mesajlar

Smishing mesajları, genellikle bankalar, kargo şirketleri, resmi kurumlar gibi güvenilir görünen kaynaklardan geliyormuş gibi görünür. Bu mesajlar, acil bir işlem yapılması gerektiğini, hesap bilgilerinizin güncellenmesi gerektiğini veya bir ödül kazandığınızı belirtebilir.

Kısa ve Öz İletiler

Mesajlar genellikle kısa ve acil bir eylem gerektirdiği izlenimini verir. Bu, kullanıcının paniğe kapılarak hızlı bir şekilde hareket etmesine neden olacaktır.

Linkler ve Telefon Numaraları

Smishing mesajları, genellikle sizi bir web sitesine yönlendiren bir link veya bir telefon numarası içerir. Bu linkler, zararlı web sitelerine yönlendirebilir veya kişisel bilgilerinizi çalmaya yönelik formlar içerebilir.

Smishing’in Tehlikeleri Nelerdir?

Smishing saldırıları, kullanıcıların kişisel ve finansal bilgilerini ele geçirme amacı güder. Bu tür saldırılar sonucunda, kimlik hırsızlığı, banka hesaplarının boşaltılması ya da kredi kartı bilgilerinizin kötüye kullanılması gibi ciddi sorunlarla karşılaşabilirsiniz. Ayrıca, dolandırıcılar sizin adınıza başka dolandırıcılıklar da gerçekleştirebilir. Bu durum, sadece maddi kayıplara değil, aynı zamanda itibar kaybına da yol açabilir. Aklınızda “belgelerim ya da resimlerim saldırganın eline geçer mi?” gibi bir soru varsa eğer; Cevabı da siz yüklemediğiniz sürece HAYIR.

Belgeler ve Resimler

Şimdi; öncelikle sakin. Belgeleriniz ve resimleriniz güvende, içiniz rahat olsun. Peki neden? Çünkü; belgeleriniz ya da resimlerini siz özellikle yüklemezseniz tarayıcı üzerinden alamazlar. Buna işletim sistemleri de tarayıcılar da izin vermeyecek. Çok küçük ama güvenlik için büyük nimet. Bu gibi bir durumun gerçekleşme ihtimali var mı derseniz; Evet. Ama henüz böyle bir uygulama açığı, mobil ya da kişisel bilgisayar işletim sistemi açığı bilmiyoruz. Zaten böyle bir açık olsa bile, yine mobil yani telefon işletim sistemlerinde yine bir nebze zor olacaktır. Çünkü dediğim gibi uygulama kurulması gerekecektir.

Smishing Saldırılarından Nasıl Korunursunuz?

Smishing saldırılarından korunmak için dikkat etmeniz gereken bazı önemli noktalar var. Öncelikle, tanımadığınız ya da beklemediğiniz bir numaradan gelen mesajlara şüpheyle yaklaşmalısınız. Bankalar ya da resmi kurumlar, SMS yoluyla kişisel bilgilerinizi talep etmez. Böyle bir talep aldığınızda, mesajdaki linke tıklamak yerine doğrudan ilgili kurumun resmi web sitesini ziyaret edin ya da telefonla ulaşarak durumu doğrulayın.

Ayrıca, güvenlik yazılımlarını kullanmak da smishing saldırılarına karşı koruma sağlar. Akıllı telefonunuza yükleyeceğiniz bir güvenlik yazılımı, zararlı linkleri tespit edebilir ve sizi uyarabilir. Son olarak, farkındalık sahibi olmak, smishing gibi siber tehditlerle başa çıkmanın en etkili yoludur. Siber güvenlik konusunda güncel kalın ve sevdiklerinizi de bu konuda bilinçlendirin.

Başlıklar halinde incelemek gerekirse;

Bilinmeyen Mesajlara Dikkat

Tanımadığınız veya beklemediğiniz bir numaradan gelen mesajlardaki linklere tıklamaktan kaçının.

Resmi Kanalları Kullanın

Banka veya resmi bir kurumdan geldiğini iddia eden bir mesaj alırsanız, doğrudan bu kurumun resmi web sitesi veya telefon numarası üzerinden iletişime geçin.

Kişisel Bilgilerinizi Paylaşmayın

Hiçbir güvenilir kurum SMS yoluyla şifre veya kimlik bilgisi talep etmez. Böyle bir talep alırsanız, bu büyük olasılıkla bir dolandırıcılık girişimidir.

Güvenlik Yazılımları Kullanın

Akıllı telefonunuza güvenlik yazılımları kurarak bu tür saldırılara karşı koruma sağlayabilirsiniz.

Sonuç

Sonuç olarak, smishing dolandırıcılığı, siber suçluların en yaygın kullandığı yöntemlerden biridir. Dikkatli olmanız, şüpheli mesajları ciddiye almamanız ve gerekli önlemleri almanız, bu tür saldırılardan korunmanıza yardımcı olacaktır. Unutmayın, siber güvenlik bireysel sorumluluklarla başlar.

The post Smishing ile Dolandırıcılık: SMS ile Gelen Tehlike appeared first on Ali Karahisar.

Herkesin bu yazıyı anlaması açısından öncelikle bazı anahtar kelimelerimiz var ve öncelikle bunların ne işe yaradığını açıklamamız lazım öncelikle.

Terimler

Kernel (Çekirdek)

Bilgisayarda donanım ve yazılım arasındaki bağlantıyı sağlayan arabirimdir. İşletim sistemi çalıştığında sistem üzerindeki temel işlemler arasında bir iletişim kurması gerekir. Bu iletişim işlemci yönetimi, bellek yönetimi ve I/O yani giriş çıkış işlemleri gibi bir çok işlemin yürütülmesi ve paylaşılması şeklindedir.

Driver (Sürücü)

Bilgisayarın işlevlerini yerine getirmesi için gerekli olan bir yazılım türüdür. Anakartın, işlemcinin ve diğer yazılımların efektif ve doğru bir şekilde çalışması ve işlevini yerine getirmesi için gereklidir.

Pointer (İşaretçi)

Bilgisayarın belleğindeki belirli bir adresin ki bu genellikle bir değişkene aittir kaydedildiği ve kaydedilen bu bellek adresine de doğrudan erişimi sağlayan değişken türüdür. Konumuz olan problemin asıl kaynağı burada ortaya çıkıyor zaten.

Bu terimi biraz açmamız gerekecek yazılımsal olarak

#include <stdio.h>

int main(void)
{
  int *myPointer, myVariable; // int bir işaretçi ve değişken bildirimi
  myVariable = 61;
  myPointer = &myVariable;    // myVariable değişken adresini myPointer işaretçisine atar.

  // İşaretçi kullanarak id değişken değerini ekrana yazar.
  printf("myVariable değişken değeri: %d\n", *myPointer);
  printf( "myVariable değişken bellek adresi: %p", myPointer);

  return 0;
}

Yukarıdaki kod bir pointer oluşturup, bir değişkene atanan değeri ilgili bellek adresine yazacak ve sonrasında bellek adresinden de bu değeri okuyup hem değeri hem de bellek adresini ekrana yazdıracak. Bu düzgün bir şekilde atama olduğundan dolayı bir hata ile karşılaşmayacak ve biz aşağıdaki bir çıktı ile karşılaşacağız.

id değişken değeri: 61
id değişken bellek adresi: 0x7ffe704aaadc

…Program finished with exit code 0
Press ENTER to exit console.

Bu doğru bir yazım olduğundan dolayı herhangi bir hata almadan çalıştı. Şimdi kodu biraz basite indirgeyelim ve şöyle yapalım. Biz myPointer isimli işaretçiyi tekrar oluşturalım ama hiç bir değer atamayalım. ve sonrasında da bu işaretçi adresine ulaşmaya çalışalım.

#include <stdio.h>

int main(void)
{
  int *myPointer = NULL;
 
  printf( "myPointer bellek adresi: %p", myPointer);

  return 0;
}

Ekrana işaretçinin adresini yazdırmak istedik ama ne yazık ki yazmayacak ve bize aşağıdaki gibi bir çıktı verecek.

id değişken bellek adresi: (nil)

...Program finished with exit code 0
Press ENTER to exit console.

Burası biraz teknik oldu farkındayım. O yüzden şöyle örneklendirelim; İlk kodda bir mektup yolladınız ve mektubun üzerinde kime gideceği ve adresi belli. İkinci kısımda ise mektubu zarfa koydunuz ama zarfa hiç bir bilgi yazmadınız. Bu mektup nereye gidecek? İşte şu son cümledeki soru bilgisayarın sorduğu soru diyebiliriz. Şimdi diğer anahtar kelimemize geçelim.

Blue Screen of Death (Ölümün Mavi Ekranı ya da Mavi Ekran)

Microsoft Windows üstesinden gelemediği bir sorun ile karşılaşıp kilitlendiğinde ekrana bu hata sebebini yazar. Bu ekran mavi şekildedir ve teknoloji dünyasında da bir çok espriye meze olmuştur. Hatta şöyle söyleyelim; Windows 98 tanıtılırken canlı olarak tarayıcı kilitlenmiş ve mavi ekran vermiştir. Böylece; daha piyasaya sürülmeden herkesin önünde çöken ilk işletim sistemi ünvanını da almıştır.

Bu ekran sadece Windows’da mı var? Hayır. Bu arkadaşın Unix, Linux ve MacOS’de ki adı da kernel panic‘dir.

CrowdStrike

Amerika merkezli bir siber güvenlik hizmetleri sağlayıcısı. Zaten sorunda bu firmanın bir ürünü olan Crowdstrike Falcon Sensor ürününden kaynaklandı. Ürün adını yanlış biliyor olabilirim.

Şimdi olay nasıl oldu buna bir bakalım artık.

Olay Nasıl Gerçekleşti?

Tam olarak şöyle; CrowdStrike kendi ürünü için bir güncelleme yayınlıyor. Bu güncelleme de bir tane de sürücü var. Bu sürücü ise doğası gereği kernel yani çekirdek seviyesinde işlem yapıyor. Ancak sürücünün içerisi null byte’lar ile dolu. Bu işaretçi ile kernel’de işlem yapmaya çalışınca Windows takılı kalıyor ve mavi ekran gösteriyor. Aslında işin kötü tarafı şu ki; bilgisayar yeniden başlatılırken bu sürücü tekrar çalışmaya başladığından sonsuz bir döngüye giriliyor. Hatta şurada çok güzel bir teknik anlatım da mevcut, orayı da inceleyebilirsiniz.

Çözüm

Çözüm olarak hemen güvenli modda açılıp ilgili sürücü silindiğinde ya da adı değiştirildiğinde işletim sistemi güvenli bir şekilde açılıyor. Peki neden güvenli mod’da açmak lazım? Çünkü işletim sistemi dışında bir ekstra içerik çalışmıyor olacak.

Ben bu yazıyı hazırlarken CrowdStrike’da kendi bloglarında bir içerik yayınladı. Onu da bu adresten inceleyebilirsiniz.

The post Crowdstrike Bilgisayarları Nasıl Çökertti? appeared first on Ali Karahisar.

Yaşanan hack girişimleri ile beraber ister istemez bizlerin de bazı bilgileri sızdırılan bilgiler (leaked data) arasında yer alıyor. Bunların en başında ise mail adresi, şifre gibi kombinasyonlar var. Ancak yemeksepeti örneğinde olduğu gibi adres vb. Bilgiler de ne yazık ki sızdırılmış veriler arasında yer alıyor. Hatta deepweb üzerinde ücretsiz bir şekilde 40+ milyon Türkiye Cumhuriyeti vatandaşının bilgilerinin olduğu bir postgreSQL dump (yani bu kadar kişinin verisine sahipsiniz demek aslında) mevcut. Bu arada bu veriler içerisinde TCKN, Adres, Aile Bilgileri gibi Mernis üzerinden sağlanan bilgiler var. Mernis nedir? diye soracak olursanız, Merkezi Nüfus İdare Sistemi demek. Mernis hakkında bilgiye ise, Nüfus ve Vatandaşlık İşleri Genel Müdürlüğü’nün internet sitesi üzerinde yer alan Mernis sayfasından ulaşabilirsiniz.

Veri sızıntısı hangi verilerimi içeriyor?

Yapılan saldırılarda mail adresim yer alıyor mu? Peki, bu sorunun cevabını nasıl öğreneceğim?

Aslında bu sorunun yani veri sızıntısı neticesinde hangi verilerim sızdırıldı sorusunun çok cevabı basit. Have I Been Pwned üzerinden bu bilgileri kontrol edebiliyorsunuz. Ya da aynı veritabanını kullanan, Mozilla Vakfının yaptığı, Firefox Monitor’ü de kullanabilirsiniz. Firefox Monitor henüz doğrulanmamış sızıntıları göstermiyor. Have I Been Pwned üzerinde ise onaylanmamış ihlalleri de görebiliyorsunuz.

Şimdi bu alan adı üzerinde deneme için bir mail adresi açalım. Aynı zamanda daha önce veri sızıntısı yaşamış başka bir mail adresi ile deneme yapalım. Ne gibi sonuçlara ulaşacağız, bir inceleyelim.

Not: Denemeler için Have I Been Pwned kullanılmıştır.

Daha önce veri sızıntısı mağduru olmuş anonim bir mail adresi ile deneme yaptım. Şimdi çıkan sonuçlara bir bakalım.

Yukarıda örnek olarak verilen mail hesabında görüldüğü gibi, birden fazla veri sızıntısına maruz kalmış. Sadace Mail adresi ve parolası değil, IP bilgisi gibi verilerde sızdırılmış. Şimdi yeni açtığımız mail hesabının durumuna bir bakalım.

Mail hesabı daha önce bir yerde kullanılmadı ve yeni açılmış bir hesap. Bu yüzden herhangi bir mağduriyete sahip değil.

Günümüzün en önemli madeni olan veri’nin, korunması da en büyük problemlerden birisi. Aslına bakarsanız, ülkemizde de uygulanması için karar alabileceğiniz bir hak ile bu yazıyı sonlandıralım. “Unutulma Hakkı”.

Veri gizliliğinizin sağlandığı ve sızıntı mağduru olmadığının sağlıklı günler dileklerimle.

The post Veri Sızıntısı Kurbanı Oldum mu? appeared first on Ali Karahisar.