Bilgisayar Mahremiyetinizi Nasıl Korursunuz?
https://www.enpedi.com/2012/01/bilgisayar-mahremiyetinizi-nasl.html
Başlarken...
Bilgisayar kullanıcılarının içinde bulunduğu durumlar hem kişiden kişiye hemde bilgisayardan bilgisayara çok farklılık gösterir. Aynı kişinin kullandığı farklı bilgisayarlardaki güvenlik ihtiyacı bile birbirinden farklı olabilir. Bu yüzden alınabilecek önlemlerde çok farklıdır. Pek çoğunuzun kardeşiyle, ablasıyla hatta ebeveynleri ile aynı bilgisayarı -farklı kullanıcı hesapları vasıtası ile- kullandığınızı tahmin edebiliyorum. Bu kullanıcıların pek çoğunun kafasında -hele yeni bir kullanıcı iseler- kendi kişisel hesaplarının mahremiyetinin diğer kullanıcı hesaplarına karşı güvende olup olmadığı ile ilgili pek çok soru oladuğunu da biliyorum. Bu yazıda bu soruların hepsine elimden geldiğince cevap vermeye çalışacağım.
Ancak Internet üzerinden gelecek tehlikelere karşı güvenliğinizi sağlamak ve/veya aynı kullanıcı hesabını başkaları ile paylaşarak kullandığınız durumlar ve/veya çocuklarınızın bilgisayar kullanımı esnasında güvenliğinin sağlanması bu yazının kapsamı dışında. Bunları daha önceki yazılarımda detaylıca anlatmıştım:
Bu yazıda anlatacaklarım ise karşılaşabileceğiniz veya içinde bulunabileceğiniz muhtemel 3 durum hakkında olacak:
İşte bütün bu durumlara karşı mahremiyetinizi korumak için yapmanız gerek şeyler birbirinden farklıdır. Örneğin, bir saldırgan kşisel bilgilerinize ulaşmak için Windows parolanızı sıfırlama yöntemini -kurbanın bundan haberi olacağı için- 1 ve 2 nolu durumlarda kesinlikle uygulamayacakken, 3 nolu durumda saldırgan için en kolay yöntem bu olacaktır gibi...
|
Başlayalım...
| I- Bilgisayarınızı -farklı kullanıcı hesaplarını kullanarak- başkaları ile paylaşıyorsunuz. |
Yönetici hesabına sahip tek kullanıcı siz olun!
Çoğunuzun bu durumda olduğunu tahmin ediyorum. Bu durumda iseniz bilmeniz gereken birşey var: Bilgisayarda Yönetici Hesabı¹ kullanan bir kullanıcı bilgisayardaki her dosyaya erişebilir. Örneklendirmek gerekirse; Bilgisayarda 3 adet kullanıcı hesabı olsun; Yiğit (Yönetici hesabı), Yağmur (Yönetici hesabı) ve Selim (Standart Hesap)
Bu bilgisayar yapılandırmasında;
- Yiğit; Yağmur ve Selim'in bütün dosyalarına erişebilir.
- Yağmur; Yiğit ve Selim'in bütün dosyalarına erişebilir.
- Selim; Yiğit ve Yağmur'un kullanıcı hesabı altındaki hiçbir dosyasına erişemez. (Masaüstü, Resimlerim vs.)
- Bilgisayarda sistem bölüntüsü dışında herhangi bir bölüntü varsa (Örneğin D olsun) buraya depolanan bütün dosyalara bütün kullanıcılar erişebilir.
Buradan çıkan sonuç şudur; Aynı bilgisayarı kullanan birden fazla kullanıcı varsa yönetici hesapları marifetiyle bunlardan sadece biri mahremiyetini koruyabilir. Çünkü yönetici hesapları marifetiyle mahremiyetinizi korumanın tek yolu vardır: Bilgisayarda yönetici hesabına sahip tek kullanıcı siz olmalısınız! Bu yüzden sizin dışınızdaki kullanıcıların hesabını Standart Hesap türüne çevirin.
Benim zaten saklayacak dosyam yok ki?
Olmayabilir. Peki saldırganın tarayıcınızda kullandığınız bütün yerimlerine, şifrelere, gezinti geçmişinize kolayca ulaşılabileceğini söylesem? Sizin Facebook hesabınızda fink atabileceğini bütün özel mesajlarınızı okuyabileceğini söylesem?
Yönetici hesabına sahip herhangi bir diğer kullanıcı küçük bir çaba ile sizin tarayıcınızı sanki sizin hesabınızda oturum açmış gibi kullanabilir. Böylece size ait yer imlerini görebilir, tarayıcıda depolanan şifreleri kullanarak sizin hesaplarınızda (Mail, Google, Facebook, Twitter vs.) oturum açabilir.
Tarayıcınızda şifre depolamıyor olsanız bile oturum açtığınız Web sitelerinde genelde "Oturumum açık kalsın" seçeneği seçili olduğu için buna bile gerek yoktur. Örneğin, Facebook'ta dolaştıktan sonra tarayıcıyı ve bilgisayarı kapatıp gitseniz bile tarayıcı tekrar çalıştırıldığında çerezler marifetiyle tarayıcınız Facebook'da otomatik olarak oturum açacaktır. Buda saldırganın bu hesaba kolayca ulaşabileceği anlamına gelir. Şimdi gelin bunun ne kadar kolay olduğunu görelim. Böyle bir saldırıyı simule edebilmek için bilgisayarımda "Deneme" adı ile yeni bir Yönetici Hesabı oluşturdum ve bu hesapta oturum açarak kendi hesabıma saldırdım;
Peki bu mümkün olmazsa?
Eğer bunu yapmanız mümkün değilse özel dosyalarınızı güvende tutmanın tek yolu şifrelemek. Bunun en kolay yolu Şifreleme Dosya Sistemi (EFS)² kullanmak. Ancak bu özellik sadece Windows 7 Professional, Ultimate ve Enterprise sürümlerinde deseteklendiği için çoğu kullanıcı bu özelliği -Kullandığı Windows sürümünden dolayı- kullanamayacaktır. Bu durumda iseniz pek çok 3. parti şifreleme programı mevcut. Ancak özel dosyalarınızın boyutu fazla değilse hemen her bilgisayarda zaten yüklü olan WinRar ile sıkıştırabilir ve sıkıştırma esnasında şifre belirleyebilirsiniz;
Alternatif olarak daha kolay ve daha amatör ama oldukça etkili bir yöntem olarak daha önce Windows 7 : Bir Klasörü Programsız Şifrelemek adlı yazımda anlattığım yöntemi uygulayabilirsiniz. Bu yöntemde hiçbir program yüklemek/kullanmak zorunda kalmazsınız.
Bilgisayardaki tek yönetici siz olsanız dahi herhangi bir saldırgan (Bilgisayarda bir hesabının olması gerekmez) bilgisayarınızı herhengi bir Canlı CD'den başlatarak (Örneğin Linux dağıtımları. Bilgi için Bknz: "Süper" Bootable Usb Disk Bknz: Windows 7 Çalışır (Canlı-Live) CD/USB Oluşturmak) kolayca bütün dosyalarınıza ulaşabilir. (Alttaki resim) Aynı yukarıdaki videoda anlatığım gibi tarayıcınıza ait bilgileri kopyaladıktan sonra bu bilgileri Windows yüklü başka bir bilgisayarda yine videoda anlattığım gibi kolayca kullanabilir.
Bunu önlemek için BIOS erişimini sınırlamanız gerekir. Bilgisayarınız varsayılan olarak bilgisayar açılışında belirli bir tuşa basıldığında herkesin BIOS'a girebileceği şekilde ayarlanmıştır. Buna bir şifre koyarak USB veya DVD sürücünüz üzerinden bilgisayarı başlatmak için gerekli olan BIOS erişimini engelleyebilirsiniz. Bu işlem her BIOS için farklı olabilir. Bunu yapmak için anakartınızın yada bilgisayar üreticinizin dokümanlarına başvurun. Bu konuda destek vermeyeceğim.
Bu durumda bilgisayarınızın bir Canlı CD üzerinden başlatılmasını engellemek için -üstte anlattığım gibi- BIOS şifresi atamanız yeterli olacaktır.Benim zaten saklayacak dosyam yok ki?
Olmayabilir. Peki saldırganın tarayıcınızda kullandığınız bütün yerimlerine, şifrelere, gezinti geçmişinize kolayca ulaşılabileceğini söylesem? Sizin Facebook hesabınızda fink atabileceğini bütün özel mesajlarınızı okuyabileceğini söylesem?
Yönetici hesabına sahip herhangi bir diğer kullanıcı küçük bir çaba ile sizin tarayıcınızı sanki sizin hesabınızda oturum açmış gibi kullanabilir. Böylece size ait yer imlerini görebilir, tarayıcıda depolanan şifreleri kullanarak sizin hesaplarınızda (Mail, Google, Facebook, Twitter vs.) oturum açabilir.
Tarayıcınızda şifre depolamıyor olsanız bile oturum açtığınız Web sitelerinde genelde "Oturumum açık kalsın" seçeneği seçili olduğu için buna bile gerek yoktur. Örneğin, Facebook'ta dolaştıktan sonra tarayıcıyı ve bilgisayarı kapatıp gitseniz bile tarayıcı tekrar çalıştırıldığında çerezler marifetiyle tarayıcınız Facebook'da otomatik olarak oturum açacaktır. Buda saldırganın bu hesaba kolayca ulaşabileceği anlamına gelir. Şimdi gelin bunun ne kadar kolay olduğunu görelim. Böyle bir saldırıyı simule edebilmek için bilgisayarımda "Deneme" adı ile yeni bir Yönetici Hesabı oluşturdum ve bu hesapta oturum açarak kendi hesabıma saldırdım;
Eğer bunu yapmanız mümkün değilse özel dosyalarınızı güvende tutmanın tek yolu şifrelemek. Bunun en kolay yolu Şifreleme Dosya Sistemi (EFS)² kullanmak. Ancak bu özellik sadece Windows 7 Professional, Ultimate ve Enterprise sürümlerinde deseteklendiği için çoğu kullanıcı bu özelliği -Kullandığı Windows sürümünden dolayı- kullanamayacaktır. Bu durumda iseniz pek çok 3. parti şifreleme programı mevcut. Ancak özel dosyalarınızın boyutu fazla değilse hemen her bilgisayarda zaten yüklü olan WinRar ile sıkıştırabilir ve sıkıştırma esnasında şifre belirleyebilirsiniz;
Alternatif olarak daha kolay ve daha amatör ama oldukça etkili bir yöntem olarak daha önce Windows 7 : Bir Klasörü Programsız Şifrelemek adlı yazımda anlattığım yöntemi uygulayabilirsiniz. Bu yöntemde hiçbir program yüklemek/kullanmak zorunda kalmazsınız.
BIOS'u şifreleyin!
Bilgisayardaki tek yönetici siz olsanız dahi herhangi bir saldırgan (Bilgisayarda bir hesabının olması gerekmez) bilgisayarınızı herhengi bir Canlı CD'den başlatarak (Örneğin Linux dağıtımları. Bilgi için Bknz: "Süper" Bootable Usb Disk Bknz: Windows 7 Çalışır (Canlı-Live) CD/USB Oluşturmak) kolayca bütün dosyalarınıza ulaşabilir. (Alttaki resim) Aynı yukarıdaki videoda anlatığım gibi tarayıcınıza ait bilgileri kopyaladıktan sonra bu bilgileri Windows yüklü başka bir bilgisayarda yine videoda anlattığım gibi kolayca kullanabilir.
Bunu önlemek için BIOS erişimini sınırlamanız gerekir. Bilgisayarınız varsayılan olarak bilgisayar açılışında belirli bir tuşa basıldığında herkesin BIOS'a girebileceği şekilde ayarlanmıştır. Buna bir şifre koyarak USB veya DVD sürücünüz üzerinden bilgisayarı başlatmak için gerekli olan BIOS erişimini engelleyebilirsiniz. Bu işlem her BIOS için farklı olabilir. Bunu yapmak için anakartınızın yada bilgisayar üreticinizin dokümanlarına başvurun. Bu konuda destek vermeyeceğim.
UYARILAR!
|
II- Parola korumalı bilgisayarınıza başka insanların -bilgisayarınızı kurcalayabilecek ama bunu bilmenizi kesinlikle istemeyecek- erişimi var.
|
| III- Bilgisayarınız çalınıyor! |
Böyle bir durumda saldırganın ilk yapacağı iş Windows şifrenizi sıfırlamak olacaktır -ki bu son derece basittir. Saldırgan bunu yapabildikten sonra eğer Şifreleme Dosya Sistemi kullandıysanız bir anlamı olmayacaktır. Çünkü bu koruma çözümü tamamen dosyaları kullanıcının hesabı ile ilişkilendirmek üzerine kuruludur. Saldırgan diğer bir hesabı kullanarak, diski söküp başka bilgisayara takarak yada bilgisayarı bir Canlı CD'den başlatarak bu dosyaları kullanamaz ama hesabınızda oturum açabiliyorsa yapması gereken tek şey dosyaya çift tıklamaktır. Yani Şifreleme Dosya Sistemi bu tip durumlar için yararsızdır.
BIOS erişimini şifreleme de BIOS pilinin çıkarılıp yeniden takılması ise kolayca aşılabileceğinden bir koruma sağlamayacaktır.
Daha önceki adımlarda anlattığım BIOS üzerinden sabit diskinizi şifrelemek ise tamamen güvenilir bir yöntem olacaktır. Bu şifreleme neredeyse aşılmaz bir güvenlik önlemi ile sabit disikinizi korumayı sağlar. Bu yöntemin en kullanışsız tarafı ise her bilgisayar açılışında şifre girmek zorunda kalmanızdır. Yanlız uyarayım; Bazı BIOS türlerinde bir kere şifre atandıktan sonra şifrenin değiştirilmesi mümkün olsa bile tamamen kaldırılması mümkün olmamaktadır.
Tabii Windows 7 Ultimate veya Enterprise sürümü kullanıyorsanız daha korkutucu bir yöntem olan BIOS'tan sabit diski şifrelemek yerine BitLocker Sürücü Şifrelemesi kullanmanız en iyi çözümdür. Bu şifreleme yöntemi bir yandan diskinizi donanımınıza mühürlediği için diskin başka bilgisayarda kullanılmasını kesin olarak engelleyecek hemde Windows parolanızı kırmak isteyen saldırgana karşı Windows dosyalarının bütünlüğünü koruyacaktır. (Windows şifresini sıfırlama konusunda BitLocker'in sunduğu koruma aşılabilir, bu durumda saldırganın bu yeterlilikte olmadığını ummaktan başka çare yokur)
UYARI!
|
¹ Kullanıcı hesabı, Windows'a erişiminizin olduğu dosya ve klasörleri, bilgisayarda yapabileceğiniz değişiklikleri ve masaüstü arka planı veya ekran koruyucu gibi kişisel tercihlerinizi bildiren bir bilgi koleksiyonudur. Kullanıcı hesapları, bilgisayarı birden çok kişiyle paylaşmanızı ve aynı zamanda kendi dosya ve ayarlarınıza sahip olmanızı sağlar. Her kişi kendi kullanıcı hesabına bir kullanıcı adı ve parolayla erişir.
Üç hesap türü vardır: Her tür kullanıcılara bilgisayar üzerinde farklı bir denetim düzeyi sağlar:
- Standart hesaplar günlük bilgisayar kullanımı içindir.
- Yönetici hesapları bilgisayar üzerinde en yüksek düzeyde denetim sağlar ve yalnızca gerekli olduğunda kullanılmalıdır.
- Konuk hesapları, özellikle bilgisayarı geçici olarak kullanmaları gereken kişilere yöneliktir.
² Şifreleme Dosya Sistemi (EFS) sabit diskinizde, şifrelenmiş biçimde bilgi depolamanıza olanak sağlayan bir Windows özelliğidir.
EFS'nin en önemli özelliklerinden bazıları:
- Şifreleme basittir; şifrelemeyi açmak için dosya veya klasörün özelliklerinde bir onay kutusunu işaretlemeniz yeterlidir.
- Dosyaları kimlerin okuyabileceğini denetleyebilirsiniz.
- Dosyalar, kapatıldıklarında şifrelenir, ancak açıldıklarında otomatik olarak kullanıma hazır olurlar
- Bir dosyayı şifrelemekten vazgeçerseniz, dosyanın özelliklerindeki onay kutusunu temizlersiniz.
³ BitLocker Sürücü Şifrelemesi: Windows'un yüklü olduğu sürücüde (işletim sistemi sürücüsü) ve sabit veri sürücülerinde (örn. dahili sabit sürücüler) saklanan tüm dosyaların korunmasına yardımcı olmak için BitLocker Sürücü Şifrelemesi'ni kullanabilirsiniz. Çıkarılabilir veri sürücülerinde (örn. harici sabit diskler veya USB flash sürücüler) saklanan tüm dosyaların korunmasına yardımcı olmak için ise BitLocker To Go'yu kullanabilirsiniz.
Ayrı ayrı dosyaları şifrelemenizi sağlayan Dosya Şifreleme Sistemi'nden farklı olarak, BitLocker sürücünün tamamını şifreler. Normal şekilde oturum açıp dosyalarınızla çalışabilirsiniz ancak BitLocker, korsanların parolanızı keşfetmek için güvendiği sistem dosyalarına erişmesini veya sürücünüzü bilgisayarınızdan çıkarıp farklı bir bilgisayara takarak sürücünüze erişmesini engelleyebilir.
İşletim sistemi sürücüsünü şifrelerseniz, BitLocker başlangıç sırasında bilgisayarınızda güvenlik riski oluşturabilecek koşullar (örneğin, BIOS üzerindeki değişiklikler veya başlangıç dosyalarındaki değişiklikler) olup olmadığını kontrol eder. Olası bir güvenlik riski algılanırsa, BitLocker işletim sistemi sürücüsünü kilitler ve sürücünün kilidinin açılması için özel bir BitLocker kurtarma anahtarı gerektirir. BitLocker'ı ilk etkinleştirdiğinizde bu kurtarma anahtarını oluşturduğunuzdan emin olun; aksi takdirde, dosyalarınıza erişiminizi kalıcı olarak kaybedebilirsiniz. Bilgisayarınızda Güvenilir Platform Modülü (TPM) yongası varsa, BitLocker bu yongayı kullanarak, şifrelenmiş işletim sistemi sürücüsünün kilidini açmak için kullanılan anahtarları mühürler. Bilgisayarınızı başlattığınızda, BitLocker, sürücünün anahtarlarını TPM'ye sorar ve sürücünün kilidini açar.Veri sürücülerini (sabit veya çıkarılabilir) şifrelerseniz, bir parola veya akıllı kartla şifrelenmiş sürücünün kilidini açabilir ya da bilgisayarda oturum açtığınızda otomatik olarak kilidi açılacak şekilde sürücüyü ayarlayabilirsiniz. BitLocker'ı istediğiniz zaman askıya alıp geçici olarak veya sürücünün şifresini çözüp kalıcı olarak devre dışı bırakabilirsiniz.
Ayrı ayrı dosyaları şifrelemenizi sağlayan Dosya Şifreleme Sistemi'nden farklı olarak, BitLocker sürücünün tamamını şifreler. Normal şekilde oturum açıp dosyalarınızla çalışabilirsiniz ancak BitLocker, korsanların parolanızı keşfetmek için güvendiği sistem dosyalarına erişmesini veya sürücünüzü bilgisayarınızdan çıkarıp farklı bir bilgisayara takarak sürücünüze erişmesini engelleyebilir.
İşletim sistemi sürücüsünü şifrelerseniz, BitLocker başlangıç sırasında bilgisayarınızda güvenlik riski oluşturabilecek koşullar (örneğin, BIOS üzerindeki değişiklikler veya başlangıç dosyalarındaki değişiklikler) olup olmadığını kontrol eder. Olası bir güvenlik riski algılanırsa, BitLocker işletim sistemi sürücüsünü kilitler ve sürücünün kilidinin açılması için özel bir BitLocker kurtarma anahtarı gerektirir. BitLocker'ı ilk etkinleştirdiğinizde bu kurtarma anahtarını oluşturduğunuzdan emin olun; aksi takdirde, dosyalarınıza erişiminizi kalıcı olarak kaybedebilirsiniz. Bilgisayarınızda Güvenilir Platform Modülü (TPM) yongası varsa, BitLocker bu yongayı kullanarak, şifrelenmiş işletim sistemi sürücüsünün kilidini açmak için kullanılan anahtarları mühürler. Bilgisayarınızı başlattığınızda, BitLocker, sürücünün anahtarlarını TPM'ye sorar ve sürücünün kilidini açar.Veri sürücülerini (sabit veya çıkarılabilir) şifrelerseniz, bir parola veya akıllı kartla şifrelenmiş sürücünün kilidini açabilir ya da bilgisayarda oturum açtığınızda otomatik olarak kilidi açılacak şekilde sürücüyü ayarlayabilirsiniz. BitLocker'ı istediğiniz zaman askıya alıp geçici olarak veya sürücünün şifresini çözüp kalıcı olarak devre dışı bırakabilirsiniz.
%2B190.png)