beşeri güvenlik ve bir kısım ciahz güvenliği değişikliği girildi

ag_guvenlik_duzenleme
AA 5 years ago
parent 3b60c3cc5b
commit fbde44d7d7
Signed by untrusted user: AA
GPG Key ID: 471A839AB4DD8E6D
  1. 8
      src/README.md
  2. 9
      src/device_security/README.md
  3. 39
      src/device_security/software_safety.md
  4. 34
      src/human_security/2fa.md
  5. 8
      src/human_security/README.md
  6. 22
      src/human_security/message_hygiene.md
  7. 40
      src/human_security/passwords.md

@ -2,9 +2,9 @@
## Buradan Başlayın
Zaman sıkıntısı mı çekiyorsunuz? Baskıyla mücadele etmek veya daha iyi bir dünya inşaa etmek için çok mu meşgulsünüz? Muhteşem! Size güvenlik yolculuğunuza burada bahsedeceğimiz kolay adımlarla herkes sayısal hayatını daha güvenli kılabilir.
Zaman sıkıntısı mı çekiyorsunuz? Baskıyla mücadele etmek ve daha iyi bir dünya inşaa etmek için çok mu meşgulsünüz? Muhteşem! Burada bahsedeceğimiz kolay adımlarla kendinizin ve herkesin sayısal hayatını daha güvenli kılabilirsiniz.
* [Yazışma temizliğine giriş yapın](./message-hygiene.md): Yazışma temizliğine giriş yapın: Saldırıların çoğu posta kutunuzdan gelir. E-posta ve anlık yazışma kullanırken uygun önlemleri nasıl alacağınızı öğrenin.
* [Yazışma disiplinine giriş yapın](./message-hygiene.md): Yazışma disiplinine giriş yapın: Saldırıların çoğu posta kutunuzdan gelir. E-posta ve anlık yazışma kullanırken uygun önlemleri nasıl alacağınızı öğrenin.
* [Parola yöneticisi kullanın](./passwords.md): Parola yöneticisi kullanarak kendinizi çok sayıda tehlikeden koruyabilirsiniz.
* [Cihazlarınızı şifreleyin](./device-encryption.md): Tam disk şifreleme kullanması çok kolay, pek çok işletim sisteminde dahili olarak gelen ve cihazlarınızdaki verilerin korunmasında çok etkili bir sistemdir.
* [Web sitelerini daha güvenli gezin](./better-web-browsing.md): Varsayılan tarayıcınızı ve varsayılan ayarlarını değiştirip birkaç eklenti kurarak web üzerindeki güvneliğinizi ve keyfinizi fazlasıyla arttırabilirsiniz.
@ -16,13 +16,13 @@ Bilgi ve iletişim (bilişim) teknolojilerinin giderek yükselen önemi bir baş
**Ulus Devletler;** yeni iletişim teknolojilerine, bu yolla yapılacak iletişimi ve kitleleri topluca kontrol etmek için gerekli altyapıları geliştirerek tepki vermiştir. Pek çok devlet aynı zamanda ahlaki değerleri olmayan özel şirketlerle insanların ve toplumun öncülerinin iletişimlerine ve cihazlarına girmek için işbirliği yapmakta.
**Şirketler;** İnternet sayesinde ortaya çıkan veriye dayalı düzende rekabette sağ kalabilmek için insanların kişisel verilerini toplayıp, inceleyip sonuç çıkarmak zorunda olduklarını fark ettiler. Özellikle reklamcılık sektörü tamamen kişilerin takip edilmesi ve davranışlarının incelenmesi üzerine kurulu bir sisteme geçiş yapmışr.
**Şirketler;** İnternet sayesinde ortaya çıkan veriye dayalı düzende rekabette sağ kalabilmek için insanların kişisel verilerini toplayıp, inceleyip sonuç çıkarmak zorunda olduklarını fark ettiler. Özellikle reklamcılık sektörü tamamen kişilerin takip edilmesi ve davranışlarının incelenmesi üzerine kurulu bir sisteme geçiş yaptı.
**Suçlular;** kişilerin cihazlarına ve hesaplarına yapacakları saldırılar aracılığı ile yapabilecekleri şantaj ve sahteciliğin çokça karlı olduğunu farketti.
Bu bağlamda, sayısal güvenlik hayati bir öneme sahiptir.
* Devlet gözetiminin sosyal hareket ve ilerlemeyi bastırdığı gerçeği tarihi olarak bilinen bir gerçektir.
* Devlet gözetiminin, sosyal hareket ve ilerlemeyi bastırdığı gerçeği tarihi olarak bilinen bir gerçektir.
* Dolaylı bile olsa, kontrolsüz gözetimin sosyal hareketler ve insanlar üzerinde olumsuz etkileri vardır.
* Şirket gözetimi devletlerinki kadar ciddi bir tehlikedir. Sadece şirketlerin insanlar hakkında topladığı sınırsız bilginin devletler tararfından başka amaçlarla kullanılması değil, şirketlerin tüketiciler üzerinde hiç olmadığı şekilde kontrol sahibi olması da tehlikenin bir parçasıdır.

@ -1 +1,10 @@
# Cihaz Güvenliği
## Güvendiğiniz cihazlar, güvenmediğiniz şirketler
Sayısal dünya ile kurduğunuz her iletişim, sayısal bir cins cihaz ile etkileşim gerektirmekte. Bu dünyanın kapıları olan cihazlarımız bizimle ilgili her türlü bilgiyi, en derin sırlarımızı bilmekle en çok güven duyulması ve korunması gereken nesneler konumundalar. Fakat günümüzde yazılımların özgürlüğünün mücadelesi sürdüğü gibi donanımlarında özgürlüğü benzer bir mücadele içindedir.
Elbette günümüzdeki üretim sistemlerinin ve üretilen donanımların karmaşıklığı bireysel olarak bu cihazların incelenmesini ve kesinlikle güvenilirliğinin kanıtlanmasını çok zorlaştırmakta fakat basit birkaç adım ile bir çok tehdite karşı koyabilecek şekilde cihazlarınızı güvenli kılabilirsiniz.
* [Özgür Yazılım Derneği / Donanım Özgürlüğü](adres girilmeli)

@ -1,45 +1,50 @@
# Yazılım Güvenliği
## Yazılımını güncel tut
## Yazılımlarını ggüncel tutun
Bir saldırgan yazılımın kırılgan noktasını bularak bilgisayarı tehlikeye atabilir ancak bu neredeyse her zaman yazılımınızı güncel tutarak önlenebilir. Çünkü bu kusurlar, saldırganlar onlardan nasıl yararlanacağını fark etmeden önce genellikle yazılımı geliştiren kişiler tarafından onarılır.
Bir saldırgan yazılımlarınızdaki bir zayıflığı kullanarak cihazlarınızın güvenliğini tehlikeye atabilir. Bu risk çoğu zaman sadece yazılımlarınızı güncel tutarak önleyebileceğiniz bir durumdur. Yazılım geliştiricileri çoğunlukla bu açıkları saldırganlar durumu keşfetmeden önce düzelterek güncellemeler aracılığı ile yamarlar.
Özellikle işletim sisteminizi güncel tutmak önemlidir çünkü işletim sisteminiz cihazınızda olan herşeye ayrıcalıklı ulaşım yetkisi vardır.
Özellikle işletim sisteminizi güncel tutmak önemlidir çünkü işletim sisteminiz cihazınızdaki her işleme ayrıcalıklı ulaşım yetkisi vardır.
Otomatik Güncellemer Nasıl Açılır?
* **Gnu/Linux**: Çoğu dağıtımda otomatik güncelleştirmeler zaten açık gelir ve kritik güncelleştirmeler konusunda uyarılırsınız. Elle güncelleme yapmak isterseniz kullandığınız dağıtımın grafik arayüzünden faydalanabilir veya;
*Debian tabanlı dağıtımlar için: Terminalden **sudo apt-get update & sudo apt-get upgrade -y** komutunu kullanarak güncelleme yapabilirsiniz.
*RPM tabanlı dağıtımlar için: Terminalden **sudo yum update -y** komutunu kullanrak güncelleme yapabilirsiniz.
* **macOS**: **Apple** menüsüne tıklayın, **Sistem tercihleri** > **App Store** > **Güncellemeleri otomatik olarak denetle**
* **Windows**: **Başlat** çubuğuna tıklayın, daha sonra **Ayarlar** > **Güncelleme ve güvenlik** > **Windows Güncellemeleri** > **İleri seçenekler**i tıkladıktan sonra **Güncellemeler nasıl indirilsinin** altındaki **Otomatik (önerilen)**'i seçin.
Uyarılar:
* Bazı güncellemerin işe yaraması için güncellemeden sonra cihazınızı yeniden başlatmanız gerekebilir. Bu yüzden koruma sağlamak için güncellemelerden sonra cihazınızın yeniden başlatılmasına izin vermeniz gerekir.
* Eğer özel yazılım gereksinimleriniz varsa otomatik güncellemeler yazılımınızın çalışmasında aksamalara sebep olabilir. Örneğin bazı işletim sistemi güncellemeleri mevcut yazılımla uyuşmayabilir.
* Yazılımınızı güncel tutmak, kullanıcıyı kandırarak tehlikeli davranışlarda bulunmasını sağlayan kötü amaçlı yazılım ve oltalama saldırılarından korumaz.
* Bazı güncellemerin işe yaraması için güncellemeden sonra cihazınızı yeniden başlatmanız gerekebilir. Bu yüzden güncellemelerden sonra cihazınızın yeniden başlatılmasına izin vermeniz gerekir.
* Eğer özel yazılım gereksinimleriniz varsa otomatik güncellemeler yazılımlarınızın çalışmasında aksamalara sebep olabilir. Örneğin bazı işletim sistemi güncellemeleri mevcut yazılımla uyuşmayabilir.
* Yazılımınızı güncel tutmak, kullanıcıyı kandırarak yapılan kötü amaçlı yazılım ve oltalama saldırılarından korumaz.
## Uygulama mağazasını kullan
## Uygulama mağazasını kullanın
Mümkün olduğunca yazılımlarınızı işletim sisteminize ait uygulama mağazasından indirmelisiniz;
* **Güvenilirlik**: Uygulama mağazasındaki uygulamalar geliştiricileri tarafından imzalanır ve mağaza tarafından doğrulanır.
* **Güvenilirlik**: Uygulama mağazasındaki uygulamalar geliştiricileri tarafından imzalanır ve mağaza tarafından doğrulanır. Bu doğrulama çoğu zaman sığ bir inceleme olduğu için mutlak olarak güven duyulmamalıdır ama hiç yoktan iyidir.
* **Güncellemeler**: Uygulama mağazası uygulamalarınızı güncel tutmanıza yardım eder.
* **Side Loading Saldırılarını Önler**: Uygulama mağazası dışından uygulama indirmeye "Side Loading" denir. Side loading şuanda Android'de varsayılan olarak engelli, iOS'te imkansız ancak macOS ve Windows'ta seçime bağlı durumda. Side loading'e olanak sağlandığında bilgisayarınız kötü amaçlı yazılımlara karşı daha savunmasız durumda olur. Bu nedenle hem macOS hem Windows, side loading'i engelleyebilecekleri bir modele geçmeye çalışıyorlar.
* **Side Loading Saldırılarını Önler**: Uygulama mağazası dışından uygulama indirmeye "Side Loading" denir. Side loading şuanda Android'de varsayılan olarak engelli, iOS'te ise imkansız ancak Gnu/Linux'ta, macOS seçime bağlı durumda. Windows sistemler ise çoğunlukla side loading'e dayanmakta. Side loading kullanarak indirdiğiniz ve doğrulamadığınız her yazılım nihayetinde sisteminizi kötücül yazılımlara karşı tehlikeye atar. Bu neden ile sistemlerinize kurduğunuz yazılımları güvenilir kaynaklardan ve uygulama mağzalarından yüklemeniz önerilir.
Not: Resmi Android uygulama mağazası Google Play'i taklitçi uygulamalardan kaçınmak için dikkatli kullanmalısınız.
Not: Resmi Android uygulama mağazası Google Play'i taklitçi uygulamalardan kaçınmak için dikkatli kullanmalısınız. En iyisi sadece özgür yazılımların sunulduğu [F-Droid](https://f-droid.org) uygulama mağzasını kullanmanızdır.
## Şüpheliyse indirme
## Şüpheliyse indirmeyin
Mobil uygulamalar, tarayıcı eklentileri, ücretsiz programların artması birçok güvenlik problemine sebep oldu. Güvendiğiniz kuruluşların (örneğin daha önce kullanmış olduğunuz) yazılım geliştiricileri tarafından geliştirilmeyen yazılımlardan kaçının.
Mobil uygulamalar, tarayıcı eklentileri ve ücretsiz programların artması ile birçok güvenlik problemi de ortaya çıktı. Bu sebep ile güvendiğiniz kuruluşların (örneğin daha önce kullanmış olduğunuz) yazılım geliştiricileri tarafından geliştirilmeyen yazılımlardan mümkün ise kaçının.
Görünürde iyi niyetli olan veya faydalı görünen yazılımlar (antivirüs tarayıcıları gibi) aslında arkaplandaki kötü hareketlerini gizliyor olabilir. Çoğu tarayıcıda ve mobil cihazda bir uygulama kurulum sırasında cihazda ulaşabileceği bilgiler ve donanımlar hakkında çeşitli izinler ister. Bu izinlerin uygulamanın beklenen amacı kapsamında kaldığına kabaca göz atmak yerinde olur.Örneğin bir fener uygulaması sizin kişilerinize erişmek veye telefon aramaları yapabilmek isterse muhtemelen bu yazlımı kurmak istemezsiniz. Aramalarınıza, kişilerinize, kameranıza, mikrofonunuza, konum servislerinize veya tüm saklama alanınıza verdiğiniz erişim iznileri hakkında çok dikkatli olunmalıdır.
Görünürde iyi niyetli olan veya faydalı görünen yazılımlar (antivirüs tarayıcıları gibi) aslında arkaplandaki kötü hareketlerini gizliyor olabilir. Çoğu tarayıcıda ve mobil cihazda bir uygulama kurulum sırasında cihazda ulaşabileceği bilgiler ve donanımlar hakkında çeşitli izinler ister. Bu izinlerin uygulamanın beklenen amacı kapsamında kaldığına kabaca göz atmak gereklidir.Örneğin bir fener uygulaması cihazınızın rehberine erişmek veya telefon aramaları yapabilmek isterse bu yazılımı kullanmamalısınız. Aramalarınıza, kişilerinize, kameranıza, mikrofonunuza, konum servislerinize veya tüm saklama alanınıza verdiğiniz erişim iznileri hakkında çok dikkatli olunmalıdır.
İndirdikten sonra verdiğiniz izinlere bakmak, cihaza ve koşula göre farklılık gösterebilir. Chrome'da, chrome://extensions/'a gidin ve her eklenti için izinlere tıklayın. iOS cihazlarında, ayarların altında tüm izinlerin listesi vardır. Her iznin altında da o izinleri kullanan uygulamalar yer alır. Android cihazlarında Ayarlar > Uygulama yöneticisinde uygulama listesini görüntüleyebilirsiniz. Her uygulamanın altında uygulamanın kullandığı izinleri gösteren bir liste vardır.
İndirdikten sonra verdiğiniz izinlere bakmak, cihaza ve koşula göre farklılık gösterebilir. Firefox tarayıcısında, ayarlar altında mahremiyet ve güvenlik sekmesinde verilen izinleri görebilirsiniz. Chrome ve Chromium'da, chrome://extensions/'a gidin ve her eklenti için izinlere tıklayın. iOS cihazlarında, ayarların altında tüm izinlerin listesi vardır. Her iznin altında da o izinleri kullanan uygulamalar yer alır. Android cihazlarında Ayarlar > Uygulama yöneticisinde uygulama listesini görüntüleyebilirsiniz. Her uygulamanın altında uygulamanın kullandığı izinleri gösteren bir liste vardır.
Maalesef dizüstü ve masaüstü bilgisayarlarındaki çoğu yazılım kurulum sistemleri kaynaklara erişimleri için izin istemiyor. Bu yüzden bilgisayarlarınıza indirdiğiniz yazılımlarda çok daha dikkatli olmanız gerekiyor.
Genel bir alışkanlık olarak cihazlarınızda gereksiz veya çok seyrek kullandığınız yazılımları kullanmamak gerekir. Şayet bir yazılımın sunduğu hizmeti Web'den alabiliyorsanız, yazılımını cihazınıza kurmak yerine tarayıcınız aracılığı ile web üzerinden hizmet almayı seçebilirsiniz. Genel olarak da bir yazılım hem özgür değil hem de ücret istemeden çok şey vaad ediyorsa işin içinde bir bit yeniği var mı bakmalıdır.
## Korsan yazılım kullanma
Maalesef dizüstü ve masaüstü bilgisayarlarındaki çoğu işletim sisteminin bir izin yönetimi yok ve yazılımlar kurulum sırasında sistem kaynaklarına erişim için izin istemiyor. Bu yüzden bilgisayarlarınıza indirdiğiniz yazılımlarda çok daha dikkatli olmanız gerekiyor.
Korsan yazılım indirmek bilgisayarınıza virüs veya kötü amaçlı yazılım bulaştırmak için harika bir yoldur.
## Korsan yazılım kullanma / Mümkünse mülk yazılım kullanma
Korsan yazılım indirmek bilgisayarınıza virüs veya kötü amaçlı yazılım bulaştırmak için harika bir yoldur. Pek çok mülk yazılım da kaynak koduna erişemediğiniz için şüpheli ve bazen amacı gereği zaten güvenlik tehlikesidir.
Buna ek olarak, eğer korsan yazılım yüklerseniz şirketinizin her cihaz için binlerce dolar ödemek zorunda kalması çok yüksek bir ihtimaldir. Bu olduğunda, işvereninin gizlilik ve güvenlik politikasını ihlal ettiğiniz için kovulabilirsiniz.

@ -0,0 +1,34 @@
#Çift Aşamalı Doğrulama
##Çift aşamalı doğrulama kullanın
Çift aşamalı doğrulama veya kısa adı ile 2FA(two factor Authentication) bir sisteme veya hesaba erişim için iki farklı girdinin gerekmesi demektir. Genellikle girdilerin kaynaklarının veya elde edilme şekillerinin farklı olması istenir. Sadece parola ile giriş yapılan sistemlerde "parola" bilinen bir şey olarak bir aşamayı ifade eder. Bunun yanında bir başka "şey" daha gerekmesi durumunda ikinci aşama elde edilmiş olur.
Bugün bankacılık işlemleri yapan neredeyse herkes 2FA'nın en yaygın methoduna aşinadır. Bankacılık sistemine giriş yaptığınızda banka sizden parolanızı girmenizi istediği gibi bir de atılan SMS'teki kodu girmenizi ister. Bu durumda parolanız **bildiğiniz** bir şey olarak ilk aşamayı SMS'in gönderdildiği simkart'da **sahip olduğunuz** ikinci aşamayı oluşturur. Bu bakımdan bir kişinin hesabınıza erişmek için hem parolanızı öğrenmesi hem de simkartınız ile birlikte onun parolasını da bilmesi gereklidir.
##2FA neden önemlidir?
2FA basit bir çaba ile bir sistemi çok daha güvenli kılar. Bir saldırgan birden fazla fiziki koşulda bulunan ve elde etmesi görece daha zor olan iki ayrı sırrı elde etmesi gerekir. 2FA kodları çoğunlukla zamana bağlı olduğu için bu sırrın öğrenilmesi de ileride kullanılabileceği anlamına gelmeyecektir. Bu sebeple mümkün olunan her hesap ve sistemde bir şekilde 2FA kullanılması tavsiye edilir. Görece en güvensizi SMS yolu ile olsa da, akıllı cihazınızda çalışacak bir yazılım veya özellikle bu iş için geliştirilmiş bir donanım 2FA olarak kullanılabilir.
##2FA nasıl kullanılır?
2FA kullanımı hesaplarınızın hizmet sağlayıcısına bağlıdır.
* **SMS Aracılığı İle**: Pek çok hizmet size sms ile bu imkanı sunacaktır. SMS uygulaması kolay bir yol olduğundan tercih edilmektedir. Fakat GSM şebekesi doğası gereği güvensiz olduğundan size gönderilen kodun çalınması veya simkartınızın çeşitli şekillerde kopyalanması sizi riske atabilir. Aynı zamanda kişisel veriniz ve günümüzde kimliğinizin bir parçası olan cep telefonu numaranızı vermek anonimliğinizi bozacağı gibi güvenliğinizi tehlikeye de atabilir.
* **Yazılım Aracılığı İle**: Akıllı cihazlarınıza kurabileceğiniz bir yazılım aracılığı ile 2FA kullanmanız mümkün olabilir. Bu imkan her zaman SMS'e tercih edilmelidir. Cihazınız zamana bağlı olarak çoğunlukla 60 saniye geçerli kodları yerel olarak üretecek ve size gösterecektir. Bunu yapmak için ilgili yazılımı çalıştırmanız ve hesap yöneticisinin size gösterdiği adımları takip edip ilgili karekodu okutmanız yeterlidir.
* [Freeotp](https://freeotp.github.io/) ve [andOtp](https://github.com/andOTP/andOTP) Android cihazlarınızda 2FA kodları üretmek için kullanabileceğiniz özgür yazılımlardır.
* **Donanımsal anahtarlar ile**: Özellikle çift aşamalı yetkilendirme için tasarlanmış cihazlar güvenlik için en iyi çözümdür. Lakin donanımların pahalı olması sebebi ile pek az hizmet bu yöntemi tercih etmektedir. Bu amaçla kendi cihazınızı alıp yazılım yerine bu cihazlar ile kod üretimi yapabilirsiniz.
* [Yubikey](https://www.yubico.com) Sadece bir 2FA cihazı olmaktan çok daha fazlasını yapabilen en yaygın kullanılan çift aşamalı yetkilendirme cihazıdır. Birden protokolü desteklemekle tavsiye edilebilecek ilk üründür.
* [RSA Tokens](https://community.rsa.com/community/products/securid/hardware-tokens) Bulabilir ve kullanabilirseniz RSA donanımlarını kod tabanlı 2FA uygulamalarında kullanabilirsiniz.
##2FA kullanırken nelere dikkat edilmeli?
2FA başkalarının hesabınıza girmesini etkili şekilde engellediği gibi sizin de hesabınıza erişmenizi aynı şekilde engelleyebilir. Bu sebeple 2FA kodlarınızın gönderildiği sim kartınızı veya kodların üretildiği cihazınızı korumalısınız. Hayat sürprizlerle dolu olduğundan genellikle SMS harici her 2FA uygulaması size çoğunlukla 10 tane olan yedek kodlar verir. Bu yedek kodları bastırarak güvenilir bir yerde saklamanız hatta bir iki tanesini cüzdanınızda taşımanız şiddetle önerilir. Bu şekilde ikinci aşamanızı kaybetmeniz durumunuzda hesaplarınızdan mahrum kalmazsınız.
##Ek okuma listesi
* [Olağan Paranoya / Çift Aşamalı Kimlik Doğrulama İle Hesabınızın Güvenliğini Arttırın](https://www.olaganparanoya.com/cift-asamali-kimlik-dogrulama/)

@ -1 +1,9 @@
# Beşeri Güvenlik
##Her sistemin en zayıf halkası **insandır**
Dünyanın en iyi algoritmaları, şifreleme yazılımları, güvenlik duvarları veya çelik kapıları bunları kullanan kişilerin dikkati ve özeni kadar güvenlidir. Parolanız "1234" ise veya gelen her e-postayı açıp içindekilere tıklayıp bilgisayarınıza kuruyorsanız sizi hiçbir şey koruyamaz. Her sistemin güvenliğinin insanda başlayıp insanda bittiğinin farkındalığı ile donanıp kullandığınız sistemleri bu disiplin içinde güvenli kılmalısınız. Unutmayın sizi güvende tutacak bir sihirli değnek yok, güvenliğinizi siz güvenebileceğiniz tek kişi olarak kendiniz sağlamalısınız!
* [Mesaj Disiplini](https://guvenlik.oyd.org.tr/human_security/message_hygiene.html)
* [Parolalar](https://guvenlik.oyd.org.tr/human_security/passwords.html)
* [2FA](https://guvenlik.oyd.org.tr/human_security/2fa.html)

@ -1,8 +1,8 @@
# Mesaj Temizliği
# Mesaj Disiplini
## Gönderene asla güvenmeyin
E-postanın yaşanan çoğu saldırının temel kaynağı olmasının temelinde gönderenin doğrulanmasının imkanı olmamasıdır.
E-postanın yaşanan çoğu saldırının temel kaynağı olmasının temelinde gönderenin kimliğinin doğrulanmasının imkanı olmamasıdır.
Tekrar edelim; Herhangi biri e-postanın gönderen bilgisini başka birinden gelmiş gibi taklit edebilir.
@ -12,27 +12,27 @@ Gönderenin doğrulanması zor olduğundan, e-posta kutusu **oltalama ve kötüc
* **Kötücül Yazılım saldırısı**: Bir saldırganın sizi, bilgisayarınıza bir bağlantı veya eklenti aracılığı ile kötücül bir yazılımı yüklemeniz için kandırmasıdır.
Genel olarak posta kutunuzda beklenmedik her e-postaya şüphe ie yaklaşılmalıdır. Sizden; bir bağlantıya tıklamak, bir eklentiyi indirmek veya bir bilgiyi göndermek gibi bir şey yapmanızı isteyen her e-posta tanıdığınız birinden bile olsa şüphe uyandırmalıdır.
Genel olarak posta kutunuzda beklenmedik her e-postaya şüphe ie yaklaşmalısınız. Sizden; bir bağlantıya tıklamak, bir eklentiyi indirmek veya bir bilgiyi göndermek gibi bir şey yapmanızı isteyen her e-posta tanıdığınız birinden bile olsa şüphe uyandırmalıdır.
Eğer hesabınıza girdiyse bilmediğiniz cevaplar, yeni girdiler, dizinler veya yaratılmış filtreler veya ayarlarınızda değişiklikler görmeniz mümkündür. Bu gibi şüpheli durumlar teknik desteğe bildirilmeli ve önleyici olarak parolalarınızı değiştirmelisiniz.
Eğer hesabınıza girildiyse; hatırlamadığınız yanıtlar, yeni girdiler, dizinler, yaratılmış filtreler veya ayarlarınızda değişiklikler görmeniz mümkündür. Bu gibi şüpheli durumlarda teknik destek almalı ve önleyici olarak parolalarınızı değiştirmelisiniz.
## E-postalardaki bağlantılardan sakının
Bağlantılar, çoğunlukla masum görünümlü hatta kimi zaman e-postanın içinde gizli olmakla saldırganların bilgi çalmasının veya cihazları ele geçirmeleri için en temel yoldur.
Bağlantılar (linkler), çoğunlukla masum görünümlü, hatta kimi zaman e-postanın içinde gizli olmakla saldırganların bilgi çalmasının veya cihazları ele geçirmeleri için en temel yoldur.
En iyisi e-postalarla gelen bağlantılara asla tıklamamaktır. Eğer e-posta ile gelen bir bağlantının açılması gerekiyorsa aşağıdakiler hatırlanmalıdır:
* E-posta bekliyor muydunuz? Gelen adres tanıdığınız birinden gibi görünse bile, beklenmedik e-postalara dikkat ile yaklaşmanız gereklidir.
* Gelen bağlantıya tıklamak yerine elle yazabilir misiniz? Gönderilen bağlantı göründüğü gibi olmayabilir. Alan adları, aslına benzer eşyazımlar veya farklı harfler içeriyor olabilir (ör: rakam olan "0" ile büyük "O", veya latin ile kiril harfler gibi). Gelen bağlantı, <https://riseuρ.net> gibi görünüyor olabilir fakat aslında saldırganın web sitesi olan <https://riseuρ.net> (ikinci bağlantı yunan "p" harfi kullanmakta.) sizi yönlendiriyor olabilir. Bu tip saldırıları önlemenin en güvenki yolu ilgili bağlantıyı adres çubuğuna elle yazmaktır.
* Gelen bağlantıya tıklamak yerine elle yazabilir misiniz? Gönderilen bağlantı göründüğü gibi olmayabilir. Alan adları, aslına benzer eşyazımlar veya farklı harfler içeriyor olabilir (ör: rakam olan "0" ile büyük "O", veya latin ile kiril harfler gibi). Gelen bağlantı, <https://riseuρ.net> gibi görünüyor olabilir fakat aslında saldırganın web sitesi olan <https://riseuρ.net> (ikinci bağlantı yunan "p" harfi kullanmakta.) sizi yönlendiriyor olabilir. Bu tip saldırıları önlemenin en güvenli yolu ilgili bağlantıyı adres çubuğuna elle yazmaktır.
* Alan adını tanıyor musunuz? Çoğu e-posta istemcisi, web tarayıcılarında olduğu gibi, imleci bağlantıların üzerinde tuttuğunuzda gittiği URL'yi gösterir. Eğer bağlantının gittiği yer beklenmedik veya yabancı ise, göndereni gerçek olup olmadığı yönünde teyit edin. Bağlantılar her zaman "https://" ile başlamalıdır. Eğer "data://" ile başlıyorsa bu kesinlikle bunun bir oltalama saldırısı olduğuna işarettir.
Bilinmeyen kişilerden veya şüpheli görünen e-postalarla gelen bağlantılar ile dosyaları asla açmayın. Tanıdığınız kişilerin aksine bilinmeyen kimseler size gerçekten ihtiyacınız olacak bir bağlantı veya dosya göndermeyecektir. Eğer bilinmeyen bir gönderenin bağlantısı gerçekten gerekli bir bilgi içeriyorsa, bu bilgiye başka web araması gibi daha güvenilir bir şekilde ulamak mümkündür.
Bilinmeyen kişilerden veya şüpheli görünen e-postalarla gelen bağlantılar ve dosyaları asla açmayın. Tanıdığınız kişilerin aksine bilinmeyen kimseler size gerçekten ihtiyacınız olacak bir bağlantı veya dosya göndermeyecektir. Eğer bilinmeyen bir gönderenin bağlantısı gerçekten gerekli bir bilgi içeriyorsa, bu bilgiye ayrıca yapılacak bir arama gibi daha güvenilir bir şekilde ulamak mümkündür.
## Asla bir bağlantıya girdikten sonra hesap girişi yapmayın
## Asla bir bağlantıya tıkladıktan sonra hesap girişi yapmayın
Eğer e-posta ile gelen bir bağlantıya tıklarsanız, açılan sayfada herhangi bir hesabınızın bilgileri ile giriş yapmamanız önemlidir. Eğer bir web sayfası sizden giriş yapmanızı isterse şu adımları takip edin:
1. Tarayıcınızda yeni bir sekme açın ve alan adını elle girin.
1. Tarayıcınızda yeni bir sekme açın ve alan adını elle tekrar girin.
2. Yeni açtığınız sekmeden hesabınıza giriş yapın.
3. E-postadaki bağlantıya geri dönüp tekrar tıklayarak açın.
4. Bağlantı açıldığında sizden giriş yapmanızı istemiyor olması gereklidir. Eğer giriş yapmanızı yine de istiyorsa e-posta muhtemelen oltalama saldırısıdır.
@ -41,9 +41,9 @@ Bu yöntem sizi çoğu oltalama saldırısından koruyacaktır.
## Eklentilerden uzak durun
E-posta eklentileri oltalama saldırıları için aracı olmak dahil ciddi tehlikeler içerir. Eklentiler gönderenler arasında görülmediği veya değiştirilmediğine dair güvenceye sahip değillerdir, hali ile gönderdiğiniz eklentinin alıcıya ulaşan ile aynı olduğuna emin olamazsınız. Sizin ile alıcınız arasındaki kötücül bir sunucu, gönderinizi istediği gibi bir virus veya kötücül yazılım ile değiştirebilir. Ek olarak gönderilen ekler alıcının, kontrol edilmesi kolay olmayan e-posta kutusunda kalmaktadır. Örneğin, kredi kartı bilgilerinizi içeren bir ödeme formunu satıcıya göndermeniz durumunda satıcı silmediği sürece o bilgi kendilerine ait e-posta sunucusunda duracaktır. Bir ihlal olması durumunda, sunucuya giren saldırganlar gönderdiğiniz bilgiye de erişecektir.
E-posta eklentileri oltalama saldırıları için aracı olmak dahil ciddi tehlikeler içerir. Eklentilerin gönderenler arasında gözlenmediği veya değiştirilmediğine dair güvence yoktur. Hali ile gönderdiğiniz eklentinin alıcıya ulaşan ile aynı olduğuna emin olamazsınız. Sizin ile alıcınız arasındaki kötücül bir sunucu, gönderinizi istediği gibi bir virus veya kötücül yazılım ile değiştirebilir. Ek olarak gönderilen ekler alıcının, kontrol edilmesi kolay olmayan e-posta kutusunda kalmaktadır. Örneğin, kredi kartı bilgilerinizi içeren bir ödeme formunu satıcıya göndermeniz durumunda satıcı silmediği sürece o bilgi kendilerine ait e-posta sunucusunda duracaktır. Bir ihlal olması durumunda, sunucuya giren saldırganlar gönderdiğiniz bilgiye de erişecektir.
E-posta eklentileri yerine, ekleri sunucuda tutup bağlantılarını e-posta ile göndermek daha iyidir. İdeali, bu bağlantıların dosyaları bir parola ile korunduğu veya bir tür yetkilendirme sistemi ile giriş yapılan ve bir süre sonra süresi geçen sistemlerle sunulmasıdır. Bu bağlantılar çoğu veri depolama sistemi tarafından kolaylıkla üretilebilmektedir. Kendi sunucunuzda duran veya uzak sunucularda çalıştırdığınız sistemler bu imkana sahip olabilir (ör:Nextcloud)
E-posta eklentileri yerine, ekleri sunucuda tutup bağlantılarını e-posta ile göndermek daha iyidir. İdeali, bu bağlantıların dosyaları bir parola ile korunduğu veya bir tür yetkilendirme sistemi ile giriş yapılan ve bir süre sonra süresi geçen sistemlerle sunulmasıdır. Bu bağlantılar çoğu veri depolama sistemi tarafından kolaylıkla üretilebilmektedir. Kendi sunucunuzda duran veya uzak sunucularda çalıştırdığınız sistemler bu imkana sahip olabilir ([ör:Nextcloud](https://nextcloud.com/))
Fazladan tedbir için, şifrelenmiş dosyaları <https://share.riseup.net> üzerinden geçici bağlantılar aracılığı ile paylaşabilirsiniz.

@ -2,24 +2,24 @@
## Parola yöneticisi kullanın
Parola yöneticisi kullanmak, kişisel güvenliğinizi arttırmak için yapabileceğiniz en önemli şeyler arasından en önemlisidir.
Parola yöneticisi kullanmak, kişisel güvenliğinizi arttırmak için yapabileceğiniz en önemli şeydir. Bilgisayarların işlem güçlerinin giderek arttığı ve sızıntılar dolayısı ile çokça kişinin parolaları İnternet'e saçıldığı için insanların kafalarından uydurduğu parolalar artık yetersiz kalmaktadır. Güvenli parolalar artık **xoo|Z'eetohth3Zoaph^** gibi göründüğünden insanların hatırlaması mümkün değildir.
Bir parola yöneticisi, size hem güçlü hem de eşsiz parolalar kullanma imkanı sağlar. Parola yöneticisi ile diğer tüm parolalarınıza erişmenizi sağlayacak bir adet parola hatırlarsınız.
Bir parola yöneticisi, size hem güçlü hem de eşsiz parolalar kullanma imkanı sağlar. Parola yöneticisi ile her hesabınız için benzersiz parolalar atar ve tüm hesaplarınızın parolalarına erişmenizi sağlayacak sadece bir adet parola hatırlarsınız. Özetle siz bir tane güvenli parola hatırlarsınız, parola yöneticisi sizin için yüzlerce!
Bir parola yöneticisinin dikkat edilmesi gereken üç önemli özelliği vardır:
İyi bir parola yöneticisinin dikkat edilmesi gereken üç önemli özelliği vardır:
* **Yerel Yazılım**: Amaca uygun bir yazılım olarak parola yöneticisinin sakladığı parolaları yerel olarak bilgisayarınızda bulundurması, bir ana parola ile şifrelemesidir. Bu en güvenli seçenek olmakla birlikte birden fazla cihaz arasında eşitlemeyi güçleştirecektir.
* **Bulut Hizmetleri**: Genellikle ücretli olmakla parolalarınızı cihazlarınızdan bağımsız olarak saklayan bir hizmeti ifade eder. Bulut hizmetleri aracılığı ile parolalarınıza heryerden ulaşmanın rahatlığını daha az güvenlik elde etmekle ödersiniz.
* **Tarayıcı Eklentileri**: Hem yerel yazılım hemde bulut hizmeti olarak sunulan parola yöneticilerinin çoğunlukla, parolalarınıza kolaylıkla erişebilmeniz için bir tarayıcı eklentisine sahiptirler. Bu eklentiler rahatlık sağlar fakat biraz daha az güvenlidirler.
* **Yerel Yazılım**: Özel bir amaçla yazılmış bir yazılım olarak parola yöneticisinin sakladığı parolaları yerel olarak bilgisayarınızda bulundurması, bir ana parola ile şifrelemesidir. Bu en güvenli seçenek olmakla birlikte birden fazla cihaz arasında eşitlemeyi güçleştirecektir.
* **Bulut Hizmetleri**: Genellikle ücretli olmakla parolalarınızı cihazlarınızdan bağımsız olarak saklayan bir hizmeti ifade eder. Bulut hizmetleri aracılığı ile parolalarınıza heryerden ulaşmanın rahatlığını daha az güvenlik olarak ödersiniz.
* **Tarayıcı Eklentileri**: Hem yerel yazılım hemde bulut hizmeti olarak sunulan parola yöneticileri çoğunlukla, parolalarınıza kolaylıkla erişebilmeniz için bir tarayıcı eklentisine sahiptirler. Bu eklentiler rahatlık sağlar fakat daha az güvenlidirler.
Hangi aracı seçtiğinizden bağımsız olarak gerçekten önemli olan bir parola yöneticisi kullanmanızdır. Lütfen aşağıdaki önerileri aklınızda tutun:
* **Ana Parola**: Bir parola yöneticisi kullanırken, ana parolanızı kaybetmemeniz hayati öneme sahiptir. Şayet unutacağınıza en kücük ihtimal bile veriyorsanız parolanızı güvendiğiniz bir yerde yazılı olarak saklamalısınız.
* **Yedekler**: Parola yöneticinizin verilerini düzenli olarak yedeklemeniz de bir o kadar önemlidir. Bulut hizmetinin kesilmesi sonunuzun gelmesi demektir bu yüzden düzenli yerel yedek almak iyi bir fikirdir. Yerel yazılımlar için yedek almak yeterlidir.
* **Ana Parola**: Bir parola yöneticisi kullanırken, ana parolanızı kaybetmemeniz hayati öneme sahiptir. Bunun için **[Zarola](zarola.oyd.org.tr)** kullanmanızı öneriyoruz. Bilgisayarlar için zor ama hatırlamanız için kolay bir parola tüm sayısal hayatınızın dayanacağı bir parolayı unutmamak için en garanti yoldur.
* **Yedekler**: Parola yöneticinizin verilerini düzenli olarak yedeklemeniz de bir o kadar önemlidir. Bulut hizmetinin kesilmesi sonunuzun gelmesi olur bu yüzden düzenli yerel yedek almak iyi bir fikirdir. Yerel yazılımlar için basitçe yedek almak yeterlidir. Ara sıra parola yöneticinizin parolaları sakladığı küçük dosyayı bir flash belleğe koyup kenara kaldırmak sizi çokça baş ağrısından kurtarabilir.
Yaygın parola yöneticileri;
* Keepass ve KeepassX (yazılım-türü) ciddi şekilde önerilen iki yerel parola yöneticisinin versiyonlarıdır. Bu iki araç aynı şifreli dosya tipini kullanmakta ve neredeyse her bilgisayarda çalışabilmektedir.
* Keepass ve KeepassX (yerel yazılım) ciddi şekilde önerilen iki yerel parola yöneticisinin versiyonlarıdır. Bu iki araç aynı şifreli dosya tipini kullanmakta ve neredeyse her bilgisayarda çalışabilmektedir.
* [Security Self-defense / How to: Use KeepPassXC](https://ssd.eff.org/en/module/how-use-keepassxc)
* [Security In-a-box / KeePass overview](https://securityinabox.org/en/guide/keepass/windows)
* LassPass (Bulut)
@ -27,27 +27,31 @@ Yaygın parola yöneticileri;
## Güçlü Parolalar Kullanın
Rastgele üretilmiş güçlü parolalar kullanın. Bunun istisnası cihazınızı ve parola yöneticinizi açacak parolalardır. Diğer tüm parolalarınız parola yöneticisi tarafından rastgele üretilmiş ve en az 12 karakterden oluşmalıdır ama 26'dan fazlası gerekli değildir.
Rastgele üretilmiş güçlü parolalar kullanın. Bir parolanın gücünü, uzunluğu ve rastgeleliği belirler. Parolalarınız parola yöneticisi tarafından rastgele üretilmiş olması gereklidir. Parola yöneticinizin hafızası ile bir sıkıntısı olmadığından 24 karakterden kısa parolalar kullanmamanız geleceğe yönelik iyi bir yatırımdır.
İnsanlar, bilgisayarların aksine güvenli parolalar yaratmakça çok başarısızlardır. Bırakın bilgisayar bu işi sizin için yapsın.
Güçlü ve rastgele parolaların istisnası olarak cihazlarınızın ekran kilitlerine koyduklarınız sayılabilir. Bu sistemler birden fazla giriş denemesini engellediklerinden ve sizin tarafınızdan ara sıra değiştirildiklerinde görece kısa olsalar da amaçlanan güvenlik için yeterlidirler.
Hatırlamanız gereken güçlü parolalar üretmek için çokça yol bulunmaktadır. Eğer parola yöneticisi kullanıyorsanız, bırakın o sizin için bir tane üretsin. Bunun için Gözetim Meşru Müdafaa'nın [Güçlü Parolalar Üretmek](https://ssd.eff.org/en/module/creating-strong-passwords) rehberine bakabilirsiniz.
İnsanlar, bilgisayarların aksine güvenli parolalar yaratmakça çok başarısızdır. Bırakın bilgisayar bu işi sizin için yapsın.
[Diceware](https://world.std.com/~reinhold/diceware.html) (zarola?) günlük nesneler ve bir kelime listesi ile hatırlanabilir ve güçlü parolalar üretmek için eğlenceli bir yöntemdir. Diğer iyi bir yöntem ise kimsenin daha önce söylemediği aptalca bir cümle uydurup her kelimenin ilk veya ilk iki harfini parola olarak başka karakterlerle karıştırarak kullanmaktır.
Hatırlamanız gereken parolalar üretmek için çokça yol bulunmaktadır. Eğer parola yöneticisine bırakmak yerine hatırlamanız gereken parolalar varsa bunlar için biz [Zarola](zarola.oyd.org.tr) kullanmanızı öneriyoruz.
Her hesabın güvenli parolalar ile korunması önemlidir, öyle ki bir hesaba erişim çoğunlukla diğer sistemlere giriş için de kullanılabilir. Bu özellikle hesaplarınızı sıfırlama imkanı olan her e-posta hesabı için geçerlidir (genellikle "parolamı unuttum" bağlantıları ile).
[Zarola](zarola.oyd.org.tr) Zarola, kolayca hatırlanabilir ve yüksek derecede güvenli parolalar oluşturabilmenizi sağlayan bir yöntemdir. İnsanlar rastgele şeyler üretemeyeceklerinden rastgelelik kaynağı olarak zar veya bozukpara kullanılır. 7776 Tane kelime içinden seçilen 7 adet ile parola oluşturulur ve hikayeleştirilerek ezberlenir. Bazen komik hikayeler bile çıkar!
Konuya ilişkin Gözetim Meşru Müdafaa'nın [Güçlü Parolalar Üretmek](https://ssd.eff.org/en/module/creating-strong-passwords) rehberine bakabilirsiniz.
Her hesabın güvenli parolalar ile korunması önemlidir, öyle ki bir hesaba erişim çoğunlukla diğer hesap ve sistemlere giriş için de kullanılabilir. Bu özellikle hesaplarınızı sıfırlama imkanı olan her **e-posta hesabı** için geçerlidir (genellikle "parolamı unuttum" bağlantıları ile).
## Eşsiz parolalar kullanın
Bu tavsiyeleri takip etmek, üçüncü taraf yazılımları kullanmayarak aldığınız riski azaltmak için gayet iyidir. Eğer parolarınızı tekrar kullanmaz iseniz bir kişinin kullanıcı adı ve parolanızı bir sızıntı veya ihlal aracılığı ile öğrenerek diğer hesaplarınıza girmesine imkan vermez. Kullandığınız her hizmet için farklı bir parola kullanarak, önemli bilgilerinizin korunması için kullandığınız hizmetin becerilerine güvenmek zorunda kalmazsınız. Eğer bir parola yöneticisi kullanırsanız bu sizin için çok kolay olacaktır.
Şayet bir parolayı birden fazla hesap için kullanırsanız, bir hesaptan sızan parolalar ile diğer hesaplarınıza erişilebilir. Paralolarınızı hesap başına ayrı tutmanız hesaplarınızı izole ederek riskinizi azaltacaktır. Bir parola yöneticisi kullanmak bunu yapmayı çok kolaylaştırır.
## Parolalarınızı gizli tutun
Biri kendisini IT veya teknik destek olarak tanısa bile asla kimseye parolarınızı vermeyin. Neredeyse her sistem yönetim amacı ile parola sıfırlanmasına olanak tanımakta. Gerçek bir IT personeli size parolanızı sormak yerine bu imkanı kullanır. Bu tip sistemler aynı zamanda takip edilebilir bir erişim izi bırakmakta ve sizi sıfırlama hakkında bilgilendirmektedir. Sizin de her yönetici erişiminden sonra parolanızı değiştirmeniz gerekmektedir ki sadece sizin sayısal bilgilerinize erişiminiz olduğuna emin olun. Bu aynı zamanda kurumda kimin hesabınızda değişiklik yaptığını da öğrenmenizi sağlar.
Biri yardım teklif etse veya kendini teknik destek olarak tanıtsa bile asla kimseye parolalarınızı vermeyin. Neredeyse her hesap ve sistem parola sıfırlanmasına olanak tanımakta. Gerçek bir IT uzmanı size parolanızı sormak yerine sahip olunan bu imkanları kullanabilir. Bu tip sistemler aynı zamanda erişimleri takip altında tutar ve sizi sıfırlama hakkında bilgilendirir. Sizin de her yönetici erişiminden sonra parolanızı değiştirmeniz gerekmektedir ki sadece sizin söz konusu sistemlere erişiminiz olduğuna emin olun.
## Kurum ve kişisel parolalarınızı ayırın
## Kurumsal ve kişisel parolalarınızı ayırın
Kurum parolaları, kurumunuzun sistemlerine ve sayısal kimliklerine yönetici yetkisi tanıyan herhangi bir paroladır. Bunlar gerçekten önemli bilgiler olduğundan kişilerin kendi kişisel hesaplarına girmek için kullandıklarından farklı olmalıdır. Bunu parola yöneticisinde ayrı bir giriş veya farklı bir parola dosyası kullanarak veya tamamen farklı bir parola yöneticisi seçerek sağlayabilirsiniz.
Kurumsal parolalar, kurumunuzun sistemlerine ve sayısal kimliklerine erişim sağlayan herhangi bir paroladır. Bunlar gerçekten önemli bilgiler olduğundan kişilerin kendi kişisel hesaplarına girmek için kullandıklarından farklı olmalıdır. Bunu parola yöneticisinde ayrı bir giriş veya farklı bir parola dosyası kullanarak veya tamamen farklı bir parola yöneticisi seçerek sağlayabilirsiniz.
## Ek okuma listesi

Loading…
Cancel
Save