Ocak ayı borsalarda tam anlamıyla hacking ayı oldu... Global borsaların ve kurumların resmi twitter hesaplarına yapılan siber saldırıların ardı arkası kesilmedi. Siber saldırılarla dolu dizgin geçen ocak ayı ile rekor oranla neredeyse bitmek üzere.

Blockchain ve kripto paralar birçok açıdan geleceğin teknolojisi ve dünya çapında para transferleri için kolay, güvenli bir yol olarak gösteriliyor. Blockchain adı verilen teknoloji sayesinde dünyanın herhangi bir yerinden başka bir yerine saniyeler içinde transfer işleminin gerçekleşmesi ve takip edilememesi oldukça avantajlı bir konu. Ancak geçmişten günümüze birçok kez takip edilemeyen bu transferlerin hacklenmesi ile geri dönüşü olmayan kayıplar yaşandı...

Genel olarak ana hedef, kripto para cüzdanları değil, kripto para borsaları oldu. Ocak ayını referans aldığımız bu analizde, sadece 8 tane borsa ve 1 resmi kurum hacklenmesi yaşandı. 

Peki borsalara ait sosyal medya hesaplarının hacklenmesinin arkasındaki zayıf güvenlik önlemleri ne oldu?

Kripto para borsalarına yapılan sosyal medya saldırılarının çoğu, teknolojik altyapının govarnance modelinin olmaması ve altyapıda çalışan güvenlik mimarilerindeki eksiklik sonucu yaşandığını, birçok saldırının detayında gözlemledik. Bu yüzden yatırım yapılacak kripto para birimi kadar kripto para borsaları da çok önem arz ediyor. Özellikle “sadece” sms güvenlik kodu uygulamasını kullanan borsaların güvenlik sistemlerinde zafiyetler bulunuyor. Siber saldırıya maruz kalmak istemeyen kripto borsaları güvenlik mimarisini dört ana kapsamda ele almak zorunda.

• Sistem Güvenliği
  
  
• Operasyonel Faaliyetler için Güvenlik
  
  
• Finansal Güvenlik
  
  
• Kullanıcı Güvenliği

Kripto Para Sisteminin Siber Riskleri

Bazı araştırmacılara göre blockchain teknolojisinin değiştirilemez defter yapısı yüzünden kendi temel doğası bile risk altında. Süreci daha derinlemesine incelemek adına kripto para sisteminin risklerine, gelin hep birlikte bir göz atalım.

1. %51 saldırısı riski

Bir blockchain’deki en önemli şeyler arasında gelişime katkı sağlayan miner’lar vardır. Blockchain teknolojisi karar verme konusunda genelde kamuoyuna göre hareket etmektedir. Örneğin aynı anda farklı işlem içeren iki farklı bloğun kazılması topluluğun düşüncesidir.

Ancak kripto para sisteminin sorunları arasında yer alan %51 saldırısı çoğunluk özelliğini istismar etmektir. Örneğin bir grup hacker’a önemli kontrol sağlayabilen %51’lik çoğunluk oldukça risklidir.

Saldırganlar karar almada çoğunluk özelliğini konumlarını iptal etmek ve sahte işlemler oluşturmak için kullanmaktadır. Ancak yine de tüm blockchain’i yeniden yazmak oldukça yorucu olacaktır.

2. Sybil saldırısı riski

Kripto para sisteminin riskleri arasında olan sybil saldırısı ağda çok sayıda sahte node oluşturmaya dayalıdır. Korsanlar bu node’ları çoğunluk fikir birliğine ulaşmak ve zincirdeki işlemleri yavaşlatmak için kullanmaktadır. Kısacası büyük ölçekli bir sybil saldırısı, %51 saldırısının bir başka versiyonudur.

Dışarıdan bakanlar için node’lar oldukça gerçekçi gözükecektir ancak hepsi tek bir varlık tarafından kontrol edilmektedir. Doğrudan ve dolaylı olmak üzere iki tip Sybil saldırısı vardır.

3. Çifte harcama saldırıları riski

Kripto paraların riskleri arasında bir diğeri de double spending veya çifte harcama saldırısıdır.

Fiziksel paranın bazı önemli dezavantajları vardır; bunlardan ilki aynı parayla iki farklı yerde ödeme yapamamaktır.

Dijital varlıklar ise zahmetsizce yeniden üretilmektedir; sonuçta sadece birler ve sıfırlardan oluşan bir nevi kod parçasıdır.

Blockchain, coin’lerin çifte harcanmasını önlemek üzere yerleşik mekanizmalara sahiptir.

4. Yönlendirme saldırıları riskleri

Blockchain teknolojisinin şu anki durumu daha güçlü bir ağa ihtiyaç duyulduğunu yansıtmaktadır.

ISP’nin BGP yani Sınır Ağ Geçidi Protokolü ile bağlantısı oldukça eskidir. Dolayısıyla ISP’nin saldırganlar tarafından istismar edilebilecek bazı zayıf yanları vardır.

Örneğin bir saldırgan bir ISS’yi kontrol ettiğinde bazı node’lar için işlemleri reddedecek veya geciktirecek yanlış bilgiler ve yollar yayınlamaktadır.

Borsalara ait resmi sosyal medya hesaplarının hacklenmesi çoğunlukla ilgili saldırı metodolojisi ile gerçekleşir.

5. Savunmasız akıllı kontratlar

Kripto para sisteminin riskleri arasında yer alan akıllı kontrat güvensizliği popüler bir saldırı alanıdır.

Kötü aktörlerin yararlanabileceği herhangi bir istismar olmadığından emin olmak adına akıllı kontratlar devamlı incelenmeli ve denetlenmelidir.

Kötü aktörlerin akıllı kontratları manipüle etmesinin bazı yolları gerçekten de ustacadır. Dolayısıyla bu alanda bir güvenlik denetimi yapılması şarttır.

Peki Siber Risklere Karşı Ne Yapmalıyız?

Birkaç madde ile Exchange platformlarının konumlandırması gereken güvenlik metodolojileri:

• Proof-of-Stake modelinin uygulanması %51 saldırılarına karşı koruma sağlamaktadır. Sonuçta seçimler zaten coin’lerin çoğunluk gücüne sahip kullanıcılar tarafından yapılmaktadır.
  
  
• Sybil saldırısı gerçekleştirmek zordur ve onlara karşı alınabilecek çeşitli yöntemler vardır. Kripto para güvenliği için önlem olması adına birçok kripto paranın da kullandığı Proof-of-Work modelini kullanmak mümkündür.
  
  
• Akıllı kontrat denetimine zorunluluk getirmek gerekir. Akıllı kontrat yönetişimi ve protokol güvenliği için en iyi uygulamalar takip edilmeli ve kapsamlı güvenlik denetimleri yapılmalıdır.
  
  
• Blockchain mining havuzları takip edilerek herhangi bir havuz %40 sınırını aştığında önlem alınması gerekir. Bu noktada miner’lardan bazılarını farklı havuzlara yönlendirmek en doğrusu olarak gözükmektedir.
  
  
• Güvenli yönlendirme protokolleri veya sertifikalar blockchain tabanlı yönlendirme saldırılarının önlenmesine yardımcı olacaktır.
  
  
• Yazılımı herkese açık hale getirmeden önce hata kontrol için test aşamasından geçirmek önemlidir.
  
  
• E-posta güncellemeleri ve haber bültenleri göndererek blockchain kullanıcılarını private key depolamaya yönelik uygulamalar konusunda bilgilendirmek gerekir.

Kullanıcı Olarak Hesaplarımın Güvenliği İçin Neler Yapabilirim?

 Güvenlik sorunlarıyla ilgili en belirgin tehditler, blockchain teknolojisinden veya Bitcoin gibi kripto para birimlerinden değil, bunlarla işlem yaptığımız yerlerden kaynaklanmaktadır: akıllı telefonlarımız, bilgisayarlarımız; cüzdanlarımızı ve kripto para birimlerini sakladığımız yerler ve kripto para alım satımı için kullandığımız web siteleri gibi.

Başka bir deyişle, blockchain tabanlı bir ağa bağlanmak için bir tür “köprü” olarak kullandığınız her şey, hacklenme riskine tabidir. Kendinizi bu tür güvenlik açıklarına karşı korumak için sizlere birkaç önerim var.

Öncelikli adımda bir kullanıcı olarak kendi davranışınızı değerlendirerek sürece başlayın. 

Tedbirli olun

Bilgisayar güvenliğindeki en zayıf halkanın insanlar, yani sizin ve benim gibi insanlar olduğuna dair bir söz vardır. Elimizdeki çeşitli güvenlik önlemlerine rağmen, hepimiz dikkatli olmalıyız ve güvenilir kaynak ve araçlarla ilgili sağlıklı bir değerlendirme yapmalıyız.

Bu, internet ile alakalı olan her şey için geçerlidir, ancak kripto para birimleri söz konusu olduğunda çok daha önemli bir hale gelir. Ayrıca, para işin içinde olduğu için, varlıklarınızın dijital dünyada siz farkında bile olmadan çalınabileceği gibi bir gerçek vardır.

Kripto dünyasındaki varlıklarınızın üst düzeyde güvenliğini sağlamak için, alışkanlık haline getirilmesi gereken bir dizi uygulama ve alışkanlıklar vardır.

Güvenli siber alışkanlıklar edinin

Hepimiz ücretsiz wi-fi ağlarını seviyoruz ve fırsat bulduğumuz her yerde internete girmek bize çok cazip geliyor. Ancak aşina olmadığınız bir ağa erişmeden önce güvenli olduğundan emin olun. Güvenli olmayan ve üstünkörü kurulan ağlar ve web siteleri, telefonunuzda veya bilgisayarınızda sakladığınız herhangi bir cüzdan ve dolayısıyla paranız için ciddi riskler oluşturabilir.

Akıllı telefonunuzda veya bilgisayarınızda bir cüzdan bulundurmanız gerekiyorsa, şifreli olduğundan ve yalnızca minimum miktarda para içerdiğinden emin olun.

• Herkese açık olmayan bir e-posta adresi kullanın.
  
  
• Akıllı telefonunuzu veya bilgisayarınızı asla gözetimsiz bırakmayın veya kimseye ödünç vermeyin.
  
  
• Ayrıca, servise göndermeden önce cihazlarınızdaki cüzdanlardan tüm parayı aldığınızdan emin olun.

Yazılımınızı ve cihazınızı güncel tutun

Her ne kadar basit bir kural olsa da yine de hatırlamakta fayda var: Tüm yazılımlarınızı güncel tutun ve güncelleme geldiğinde hemen güncellemenizi yapın. Kötü amaçlı yazılımlar, genellikle yazılım ve işletim sistemlerinin eski sürümlerindeki zayıflıklardan yararlanır, bu nedenle hazırlıklı olmak çok önemlidir.

Yazılımınızı güncellemeyi alışkanlık haline getirmenizi önemle tavsiye ederiz. Belirli bir gün tanımlayabilir ve örneğin tüm cihazlarınızı o gün güncelleyebilirsiniz.

Ancak, kripto uygulamaları için otomatik güncellemeleri etkinleştirmeyin. Yeni çıkan sürümler hatalar içerebilir. Bu nedenle, akıllı telefonunuza veya bilgisayarınıza yüklemeden önce bir uygulamanın sorunsuz çalışıp çalışmadığını görmek için birkaç gün beklemek en iyisidir. Buna, hizmetlerini kullandığınız blockchain şirketleri tarafından önerilen ürün yazılımı güncellemeleri de dahildir.

Şifrelenmiş bir parola yöneticisi kullanın

Ortalama bir internet kullanıcısı olarak bile, çevrimiçi kullandığınız sayısız hizmet için muhtemelen yüzlerce hesap oluşturmuşsunuzdur ve de dürüst olmak gerekirse, e-posta hesabınız, online mağazalar ve en sevdiğiniz müzik uygulaması için muhtemelen aynı şifreyi kullanıyorsunuzdur. Bu da birinin şifrenizi öğrenmesi halinde, tüm hesaplarınıza erişebileceği anlamına gelir.

Bu sorun için kolay bir çözüm var: Her hizmet için farklı şifreler oluşturduğunuzdan ve kullandığınızdan emin olun. Merak etmeyin, düzinelerce hatta yüzlerce şifreyi ezberlemenize de gerek yok. Farklı şifreler kullanmak aslında çok kolaydır. Bunların hepsini şifrelenmiş bir şifre yöneticisinde saklamanız yeterli olacaktır.

Şifre yönetimini güvenli ve daha rahat hale getirmek için şifrelenmiş parola yöneticinizi kurduğunuzdan emin olun.

Mümkün olan her yerde iki faktörlü kimlik doğrulamasını (2FA) etkinleştirin

Hesaplarınızın ve varlıklarınızın hacklenme riskini önemli ölçüde önlemenin bir başka yolu, mümkün olduğunda “İki Yönlü Kimlik Doğrulama” veya kısaca 2FA olarak da adlandırılan İki Faktörlü Kimlik Doğrulamasını kullanmaktır. İster Google hesabınız için, isterse kripto para birimlerini kullanmayı içeren herhangi bir hizmet için olsun, bu teknoloji düşük maliyetlidir ve ek güvenlik katmanı eklerken uygulanması çok kolaydır.

Cep telefonunuza bir kimlik doğrulama uygulaması indirdikten ve hizmetler veya uygulamalar için iki faktörlü kimlik doğrulamasını etkinleştirdikten sonra, her oturum açtığınızda şifrenize ek olarak altı haneli bir kod girmeniz istenecektir. Bu nedenle, kimlik doğrulama uygulamanızı indirin, kullandığınız tüm ilgili hizmetleri, uygulamaları ve cüzdanları kontrol edin ve 2FA'yı etkinleştirin. Bu, büyük fark yaratan küçük bir adımdır.

Kolay ve uygun olması nedeniyle, varlıklarınızı çevrimiçi olarak saklamak için bir donanım cüzdanı kullanma eğiliminde olmayabilirsiniz. Ne kadar rahat olursa olsun, dijital varlıkları çevrimiçi olarak saklamanızı önermiyoruz. Her zaman güvenli bir donanım cüzdanı kullandığınızdan emin olun.

Kripto para alım-satımı için güvenilir bir platform seçin

Dijital varlık işlemleriniz için en uygun platformu seçmek, maksimum güvenlik ve rahatlık sağlamak açısından çok önemlidir. Kripto para dünyasına girmeye karar verdikten sonra, kurulumun ayrılmaz bir parçası da size en uygun platformu bulmak için araştırma yapmaktır.

Tek bir hata noktasından kaçının ve riskleri çeşitlendirin

Güvenlik açısından, tek bir hata noktası veya saldırı noktası kötüye işarettir. Tek bir hata noktası (SPOF), başarısız olursa tüm sistemin çalışmasını durduran bir sistemin bileşeni olarak tanımlanır. Bu, bir yedekleme değil, birden çok yedekleme (örneğin, farklı USB belleklerde), birden çok cüzdan ve birden çok şifre oluşturmanız gerektiği anlamına gelir.

İşte tam da burada soğuk cüzdanların veya donanım cüzdanlarının önemini bir kez daha vurgulamakta fayda var. Sürekli internet bağlantısı olan, hatta bilgisayarınızla sürekli bağlantı halinde olan hiçbir şeye güvenmeyin. Kripto paralarınızın alım-satımı için güvenilir bir platform seçmekten bahsetsem de lütfen online olarak alım-satım işlemi yapsanız da online olarak saklamayın.

Bir borsada işlem yapıyorsanız, likidite oluşturmak için borsada kalan bazı fonlara ihtiyacınız vardır. Bununla birlikte, ne kadar alım satım yapmak isteyeceğinize karşı, gerçekten ne kadara ihtiyacınız olduğuna karar verin. Söz konusu borsa, hackerlar tarafından saldırıya uğrarsa, tüm kripto varlıklarınızın bu borsa cüzdanında durmasını istemezsiniz. Mt. Gox. Örneğini hatırlayalım. En saygın borsa bile ufacık bir zafiyetle uğradığı siber saldırının izlerini silmeyi başaramadı…

Sonuç olarak, bir borsa hacklendiğinde para kaybetme riskini ortadan kaldırmak için bir donanım cüzdanı kullanarak fonlarınızı internete bağlanmadan saklayın.

Bu tür güvenlik önlemlerini uygulamayı alışkanlık haline getirin ve kripto alanındaki tüm işlemlerinizin amaçlandığı gibi hızlı, güvenli ve gizli olduğundan emin olmak için düzenli olarak kontroller yapın.

Özel anahtarınızı (private key) asla paylaşmayın

Asla kişisel anahtarlarınızı veya unutulan şifreyi geri kazanmak için kullanılan "seed" dizilimini kimseyle paylaşmayın. Bunu yaparsanız, aslında kasanın anahtarlarını vermiş olursunuz. Saygın kripto şirketleri, sorunlarınızı çözmeye yardım ederken bile asla anahtarlar bilgilerinizi istemez.

Sorgulayın!

Bazı sosyal mühendislik saldırıları, analitik düşünmenize engel olup sizi kandırmaya çalışır ancak durumun gerçeğe uygun olup olmadığını değerlendirmeye zaman ayırmak birçok saldırıyı tespit etmenize yardımcı olabilir. İşte size birkaç senaryo:

• Arkadaşınız gerçekten Çin'de mahsur kalmış olsaydı, size bir e-posta veya mesaj gönderir miydi ya da sizi arar mıydı?
  
  
• Nijeryalı bir prensin size bir milyon dolar bırakması mümkün mü?
  
  
• Bankanız sizi hesap bilgilerinizi sormak için arar mıydı? Aslında birçok banka, müşterilerine e-posta gönderdiğinde veya onları aradığında bu duruma dikkat çeker. Dolayısıyla emin değilseniz iki kez kontrol edin.

Çok hızlı hareket etmeyin

Görüşme sırasında karşınızdakinin sizde bir aciliyet hissi uyandırmak istediğini hissederseniz özellikle dikkatli olun. Kötü niyetli aktörler, hedeflerinin sorunu detaylıca düşünmesini engellemek için genelde bu yola başvurur. Kendinizi baskı altında hissediyorsanız yavaşlayın. İşleri yavaşlatan ve düşünmek için kendinize zaman verecek bir şeyler söyleyin; örneğin bilgiyi almak için zamana ihtiyacınız olduğunu, yöneticinize sormanız gerektiğini, şu anda doğru bilgilere sahip olmadığınızı...

Çoğu zaman, sosyal mühendisler şaşırtma avantajını kaybettiklerini anlarlarsa şanslarını zorlamazlar.

Dijital ayak izinizi düşünün

Tüm önlemlerin yanında dijital ayak iziniz hakkında da biraz kafa yormanız gerekir. Sosyal medya yoluyla kişisel bilgilerin çevrimiçi olarak paylaşılması saldırganlara yardımcı olabilir. Örneğin birçok bankanın güvenlik sorusu “ilk evcil hayvanınızın adı” ile ilgili olabilir. Bu bilgiyi Twitter’da paylaşmış mıydınız? Yanıtınız evetse güvenlik açığınız olabilir! Buna ek olarak bazı sosyal mühendislik saldırıları, sosyal ağlarda paylaşmış olabileceğiniz son etkinliklere başvurarak güvenilirlik kazanmaya çalışır.

Sosyal medya ayarlarınızı “yalnızca arkadaşlar” olarak değiştirmenizi ve paylaştıklarınıza dikkat etmenizi öneririm. Paranoyak olmanıza gerek yok, sadece dikkatli olun.

Hayatınızın çevrimiçi olarak paylaştığınız diğer yönlerini düşünün. Örneğin çevrimiçi bir özgeçmişiniz varsa, sosyal mühendislik saldırısı planlayan herkesin işine yarayacak tüm bilgileri (adresinizi, telefon numaranızı ve doğum tarihinizi) yeniden düzenlemeyi düşünmelisiniz. Bazı sosyal mühendislik saldırıları kurbanı derinden etkilemez ama bazıları titizlikle hazırlanır. Bu suçlulara faydalı bilgiler vermemeye çalışın.

Sosyal mühendislik çok tehlikelidir çünkü normal durumları, kötü amaçlar için mükemmel şekilde manipüle eder. Bununla birlikte, nasıl çalıştığını tam olarak anlayarak ve temel önlemleri alarak sosyal mühendislik kurbanı olma ihtimalinizi daha da azaltabilirsiniz.

Kripto para borsasının güvenli olduğundan nasıl kesin emin olabilirim?

Eylemler sözcüklerden daha önemlidir bu yüzden borsaların kendilerini siber saldırılara karşı korumak ve platformlarını güvende tutmak için neler yaptıklarını araştırın. Sisteme tanımlanabilecek ek güvenlik protokolleriyle kendi güvenlik kalkanınızı oluşturun.

Saldırı durumunda sistemini koruyabilecek kripto para borsası sayısı çok sınırlı. Kişisel güvenliğinizi alacağınız önlemlerle güçlendirirken, yeterince araştırmayıp girdiğiniz, güvenliği zayıf borsa platformları ve onların ilişkili olduğu resmi sosyal medya hesapları tarafından gafil avlanmayın.

Güvenliğinizin yönetimini kendinizden başkasına bırakmayın… Güvende kalın.