Bir Yazılımcının Siber Güvenlik Günlüğü: Kod Satırlarının Ötesindeki Tehlikeler ve Kendi Savunma Hatlarım

Selamlar kod yoldaşları, teknoloji meraklıları ve dijital dünyanın labirentlerinde benim gibi yolunu bulmaya çalışanlar! Ben de sizler gibi, gününün büyük bir kısmını ekran başında, kodlarla, algoritmalarla ve sistemlerle haşır neşir olarak geçiren bir bilgisayar mühendisi ve yazılımcıyım. İşimiz gereği teknolojinin göbeğindeyiz, sistemlerin nasıl çalıştığını, verinin nasıl aktığını az çok biliyoruz. Ama gelin görün ki, bu "bilmek" hali, siber güvenlik söz konusu olduğunda bazen yetersiz kalıyor, hatta bazen de sahte bir güven hissine kapılmamıza neden olabiliyor. Çünkü siber güvenlik, başlı başına bir uzmanlık alanı ve dipsiz bir kuyu gibi, öğrendikçe daha ne kadar çok şey bilmediğimizi fark ediyoruz.

Bu yazıda, ne bir siber güvenlik gurusu gibi ahkâm keseceğim ne de size "kesin çözümler" sunacağım. Zaten bu alan o kadar dinamik ki, bugün "kesin çözüm" dediğimiz şey yarın bir "açık kapı" olabiliyor. Amacım daha çok, benim gibi bu alanda kendini geliştirmeye çalışan bir yazılımcının siber tehditlere dair gözlemlerini, kendi kişisel dijital hayatımda almaya çalıştığım (ya da almaya niyetlendiğim diyelim, çünkü itiraf edelim, bazen tembellik ağır basıyor) önlemleri ve bu bitmek bilmeyen öğrenme sürecindeki kafa karışıklıklarımı, endişelerimi sizlerle paylaşmak. Belki benim "acaba?" dediğim bir noktada sizin bir "aha!" anınız olur ya da tam tersi, sizin deneyimleriniz benim ufkumu açar. Öyle, karşılıklı bir siber güvenlik sohbeti gibi düşünün.

Sadece Son Kullanıcının Derdi Değil: Biz Yazılımcıları da Avlayan Siber Tehditler

Hani hep son kullanıcıyı uyarırız ya, "o linke tıklama", "şifreni güçlü yap" diye. Doğru, bunlar önemli. Ama biz işin mutfağındaki insanlar olarak, bazen daha sofistike, daha hedefli saldırıların da odağında olabiliyoruz. Ya da en basiti, kendi dikkatsizliğimizle başımıza iş açabiliyoruz.

• Oltalama (Phishing) ve Hedef Odaklı Oltalama (Spear Phishing): "Bu E-posta Gerçekten İK'dan Mı Geldi?" Evet, biz bile düşebiliyoruz. Özellikle o kadar ustaca hazırlanmış spear phishing saldırıları var ki, sanki gerçekten patronunuzdan, iş arkadaşınızdan ya da kullandığınız bir servisten geliyormuş gibi duruyor. İçinde zararlı bir makro olan bir Word dosyası, sahte bir login ekranına yönlendiren bir link... Bir anlık dalgınlıkla tıkladığınızda, sadece kendi bilgilerinizi değil, çalıştığınız şirketin sistemlerine erişim anahtarlarını bile kaptırabilirsiniz. GitHub hesabınızın, bulut servislerinizin kimlik bilgilerinin çalındığını düşünsenize... Felaket!

• Kötü Amaçlı Yazılımlar (Malware): Sadece .exe Dosyalarından İbaret Değil Virüs, solucan, Truva atı, ransomware, rootkit... Liste uzayıp gidiyor. Bir yazılımcı olarak, bu zararlıların sadece bilinçsizce indirilen ".exe" dosyalarından bulaşmadığını biliriz. Güvenli olmayan bir Docker imajı, ele geçirilmiş bir npm paketi (supply chain attack dediğimiz bela), hatta bazen kullandığımız IDE eklentileri bile risk taşıyabilir. Ransomware yediğinizde sadece kişisel dosyalarınız değil, üzerinde çalıştığınız projeler, kaynak kodlarınız da kilitlenebilir. Benim en büyük korkularımdan biri bu.

• Kimlik Hırsızlığı ve Veri Sızıntıları: "Benim Şifrem Orada Var Mıydı Acaba?" Devasa şirketlerin bile veri sızıntılarına maruz kaldığını görüyoruz. Milyonlarca kullanıcının e-postası, şifresi, kişisel bilgileri ortalığa saçılıyor. "Have I Been Pwned?" gibi sitelerde kendi e-posta adresimi kontrol ettiğimde çıkan sonuçlar bazen canımı sıkıyor. Bir yazılımcı olarak, hem kendi verilerimizin hem de eğer üzerinde çalışıyorsak kullanıcı verilerinin ne kadar değerli ve ne kadar hassas olduğunu daha iyi idrak etmemiz gerekiyor.

• Zayıf Şifreler ve Kimlik Doğrulama Açıkları: "Kendi Söküğümüzü Dikememek Mi?" Müşterilerimize "güçlü şifreler kullanın, MFA açın" derken, acaba kendi kişisel hesaplarımızda ne kadar titiziz? Ya da geliştirdiğimiz uygulamalarda kimlik doğrulama mekanizmalarını ne kadar sağlam kurguluyoruz? OAuth2 implementasyonundaki ufacık bir hata, JWT token'larının güvensiz saklanması gibi konular, hepimizin dikkat etmesi gereken şeyler. Parolaların hash'lenip salt'lanması zaten artık standart olmalı.

• Sosyal Medya ve API Güvenliği: Sadece "Fazla Paylaşım" Değil Sosyal medya riskleri bizim için sadece "çok fazla kişisel bilgi paylaştım"dan öteye geçebilir. Geliştirdiğimiz uygulamaların sosyal medya entegrasyonları, kullandığımız API anahtarlarının güvenliği, OAuth token'larının sızma riski gibi daha teknik boyutları da var. Veri kazıma (data scraping) saldırılarıyla uygulamamızdaki kullanıcı verilerinin çekilme ihtimali de cabası.

• Ağ Güvenliği ve Yanlış Yapılandırmalar: Evdeki Modem de Bir Kale Sayılır Herkese açık Wi-Fi ağlarındaki "Man-in-the-Middle" (MITM) saldırıları zaten malumumuz. Ama bir de kendi ev ağlarımızın, modemlerimizin, hatta IoT cihazlarımızın güvenliği var. Kaçımız modem arayüz şifresini değiştirdi? Kaçımız IoT cihazları için ayrı bir VLAN oluşturdu? Ya da SSH portunu herkese açık bırakmadığından emin? Bunlar küçük detaylar gibi görünse de, ciddi zafiyetlere yol açabilir.

• Yazılım Geliştirme Süreçlerindeki Zafiyetler: OWASP Top 10 Hala Başımızın Belası Bu konu tam da bizim alanımız. SQL Injection, Cross-Site Scripting (XSS), Insecure Deserialization, SSRF... OWASP Top 10 listesi her yıl güncellense de, temel zafiyetler ne yazık ki varlığını sürdürüyor. Güvenli kod yazma prensiplerine (secure coding practices) ne kadar hakim olduğumuz, kod review süreçlerimizin ne kadar etkin olduğu, kullandığımız framework ve kütüphanelerin güvenlik açıklarını ne kadar takip ettiğimiz hep sorgulamamız gereken noktalar.

Peki, Ben Bu Siber Tehditler Karşısında Bir Yazılımcı Olarak Ne Yapıyorum (Ya Da Yapmaya Gayret Ediyorum)?

Dediğim gibi, ben de hala öğrenme aşamasındayım ve mükemmel olduğumu iddia edemem. Ama en azından farkındalığımı artırmaya ve bazı alışkanlıklar edinmeye çalışıyorum:

1. Parola Yönetimi ve Kimlik Doğrulama Benim İçin Kutsal: Kesinlikle güçlü, her hesap için farklı ve tahmin edilemez parolalar kullanıyorum. Bunları aklımda tutmam mümkün olmadığı için güvenilir bir parola yöneticisi (Bitwarden favorim) kullanıyorum. Neredeyse tüm hesaplarımda İki Faktörlü Kimlik Doğrulama (2FA) veya Çok Faktörlü Kimlik Doğrulama (MFA) aktif. Zamanla "passkey" teknolojisine de daha çok adapte olmaya çalışıyorum. Kendi projelerimde ise kimlik doğrulama için endüstri standartlarını (OAuth 2.0, OpenID Connect) dikkatlice implemente etmeye özen gösteriyorum.

2. E-posta ve İletişim Güvenliğini Ciddiye Alıyorum: Şüpheli e-postalara karşı paranoyaklık seviyesinde dikkatliyim. E-posta başlıklarını (headers) incelemek, gönderen adresin gerçekten doğru olup olmadığını teyit etmek artık bir refleks haline geldi. Mümkün olduğunca PGP/GPG şifrelemesi kullanmaya çalışıyorum, özellikle hassas bilgiler paylaşacaksam. Güvenli mesajlaşma uygulamalarını tercih ediyorum.

3. Geliştirme Ortamımı ve Kodumu Sağlama Almaya Çalışıyorum: İşletim sistemim, IDE'm, kullandığım tarayıcılar ve diğer geliştirme araçlarım her zaman güncel. Projelerimde statik kod analizi (SAST) araçlarını ve güvenlik odaklı linter'ları kullanmaya başladım. Bağımlılıklarımı (dependencies) düzenli olarak kontrol ediyorum (örneğin npm audit komutuyla) ve bilinen zafiyetleri olan paketleri güncellemeye çalışıyorum. Docker imajlarını güvenilir kaynaklardan seçiyor ve mümkünse kendim build ediyorum.

4. Ağ Güvenliği Ayarlarımı Gözden Geçiriyorum: Herkese açık Wi-Fi ağlarını kullanırken mutlaka VPN kullanıyorum. Evdeki modemimin arayüz şifresini değiştirdim, firmware'ini güncel tutuyorum ve gereksiz portları kapattım. IoT cihazlarım için misafir ağı gibi ayrı bir ağ segmenti oluşturmayı planlıyorum.

5. Sürekli Öğrenme Modu Açık: Siber Güvenlik Bir Maraton: Bu alan o kadar hızlı değişiyor ki, bir kere öğrendim bitti demek mümkün değil. Güvenlik odaklı blogları, podcast'leri (Darknet Diaries, Risky Business gibi), haber sitelerini takip etmeye çalışıyorum. Arada sırada Capture The Flag (CTF) yarışmalarına katılıp pratik yapıyorum ya da online siber güvenlik kurslarına göz atıyorum. Bu, bitmeyen bir öğrenme süreci.

6. Yedekleme Stratejim "3-2-1" Kuralına Yakın: Veri kaybı bir yazılımcı için en büyük kâbuslardan biri. Önemli verilerimin en az üç kopyasını (biri orijinal, ikisi yedek), iki farklı medya türünde (örneğin, harici disk ve bulut) ve bir yedeği de fiziksel olarak farklı bir lokasyonda tutmaya çalışıyorum (3-2-1 kuralı). Git zaten kodlarımız için bir nimet ama kişisel veriler ve proje dışı dosyalar için de bu kuralı uygulamak önemli.

7. Gizlilik Odaklı Araçları Keşfediyorum: Tarayıcı tarafında gizliliği artıran eklentiler (uBlock Origin, Privacy Badger), gizlilik odaklı arama motorları (DuckDuckGo gibi) ve mümkün olduğunca verilerimi toplamayan servisleri tercih etmeye çalışıyorum.

Bu İşin Sonu Yok, Sürekli Bir Tetikte Olma Hali...

Bazen düşünüyorum da, bu siber güvenlik mesaisi hiç bitmeyecek mi? Sürekli yeni bir tehdit, yeni bir zafiyet, yeni bir saldırı yöntemi... Bir yandan teknolojiyi üreten, geliştiren bizleriz; bir yandan da o teknolojiyi kötüye kullanmak isteyenlerle sürekli bir mücadele halindeyiz. Bu durum, özellikle bizim gibi işin mutfağında olanlar için ekstra bir sorumluluk ve bazen de yorucu bir dikkat gerektiriyor.

Yüzde yüz güvenlik diye bir şeyin olmadığını biliyoruz. Her zaman bir risk var. Amaç, bu riski minimize etmek, olası bir saldırının etkisini azaltmak ve en önemlisi, bir "güvenlik düşünce yapısı" (security mindset) geliştirmek. Yani, yaptığımız her işte, yazdığımız her kod satırında, tıkladığımız her linkte o "acaba güvenli mi?" sorusunu sormak.

Bir "Sonuç" Değil, Devam Eden Bir Yolculuk ve Ortak Bir Çaba...

İşte böyle sevgili meslektaşlarım, teknoloji dostları... Benim siber güvenlik ve bireysel korunma konusundaki düşüncelerim, endişelerim ve yapmaya çalıştıklarım aşağı yukarı bunlar. Gördüğünüz gibi, ortada "işte budur, artık güvendesiniz!" diyebileceğim sihirli bir formül yok. Bu, sürekli öğrenmeyi, sürekli dikkatli olmayı ve bazen de hatalarımızdan ders çıkarmayı gerektiren bir yolculuk.

Belki de en önemlisi, bu konudaki bilgi ve deneyimlerimizi birbirimizle paylaşmak. Çünkü siber güvenlik sadece bireysel bir çaba değil, aynı zamanda kolektif bir sorumluluk. Özellikle bizler, teknolojiyi üreten ve şekillendiren insanlar olarak bu sorumluluğun daha da farkında olmalıyız.

Sizin bu konudaki düşünceleriniz neler? Kendi dijital kalenizi korumak için ne gibi yöntemler izliyorsunuz? Hangi araçları kullanıyorsunuz ya da hangi konularda zorlanıyorsunuz? Yorumlarda paylaşırsanız, hepimiz için faydalı bir bilgi alışverişi olur.

Güvenli kodlamalar,