Amerikan Hükümetinin 'Hedefteki Kişilere' Tavsiyesi: VPN Kullanmayın

Amerikan Hükümetinin 'Hedefteki Kişilere' Tavsiyesi: VPN Kullanmayın

ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı'nın (CISA) son kılavuzu, Amerikalıların "Salt Typhoon" telekom saldırıları konusunda daha az ekşi hissetmelerine neden olmayabilir. Ancak Çin devlet destekli saldırganların hedef aldığı kişileri daha iyi savunması gerekir.

CISA'nın Çarşamba günü yayınladığı güvenlik önerileri, "yüksek hedefli" kişilere yöneliktir; "üst düzey hükümet veya üst düzey siyasi pozisyonlarda bulunan ve bu tehdit aktörlerinin ilgisini çekebilecek bilgilere sahip olma olasılığı yüksek" kişiler olarak tanımlanır. Ancak bu karakteristik olarak ayrıntılı tavsiyelerin çoğu, tehdit modellerinde ulus devlet saldırganları bulunmayan kişiler için geçerli olmalıdır.

Ajansın beş sayfalık kılavuzu, yüksek hedefli kişilere "hükümet ve kişisel cihazlar dahil olmak üzere mobil cihazlar ile internet hizmetleri arasındaki tüm iletişimlerin ele geçirilme veya manipülasyon riski altında olduğunu varsaymalarını" tavsiye ediyor ve bu nedenle mesajlaşma uygulamaları için uçtan uca şifrelemenin önemini vurguluyor.

Ajans, birden fazla güvenli mesajlaşma uygulamasının bulunduğunu ancak yalnızca bir tanesinin, Signal'in adını verdiğini belirtiyor. Bu, mesajları ve aramaları doğrudan Çinli bilgisayar korsanları tarafından hedef alınan kişilere yönelik en spesifik CISA tavsiyesidir; Başkan seçilen Trump'ın da aralarında olduğu bildiriliyor.

CISA ayrıca çok faktörlü kimlik doğrulamanın kimlik avı siteleri tarafından kandırılamayacak yöntemlere yükseltilmesini tavsiye ediyor; gerçek oturum açma sayfalarına benzeyen ancak doğru alan adında bulunmayan sahte siteleri görmezden gelen donanım güvenlik anahtarlarını ve parola anahtarlarını onaylıyor.

Ajansın kılavuzu, daha az kritik hesaplar için Google Authenticator veya Twilio'nun Authy gibi uygulamalar tarafından oluşturulan tek seferlik kodların kullanılmasına izin veriyor ancak bir oturum açmayı doğrulamak için en az güvenli seçeneklerden biri olan kısa mesaj MFA'sını bırakmayı tavsiye ediyor. Ayrıca okuyucuları, telefon numaralarının SIM takası ile ele geçirilmesini engellemek için kablosuz hesaplarını ikincil bir PIN ile güvence altına almaya çağırıyor.

VPN'ler: Şüpheli Güvenlik ve Gizlilik Politikaları mı?

CISA'nın parola yöneticilerine güvenme, yazılım güncellemelerini ve özellikle güvenlik yamalarını derhal yükleme ve daha yeni güvenlik özelliklerini tam olarak destekleyen daha yeni akıllı telefon modellerini tercih etme konusundaki onayları, güvenliğe önem veren okuyucular için yeni bir haber olmamalıdır. Ancak, "Kişisel sanal özel ağ (VPN) kullanmayın" yönergesi bazı kaşları kaldırabilir.

Neden tüm çevrimiçi trafiğinizi şifrelemek için bir VPN kullanmıyorsunuz? "Kişisel VPN'ler, yalnızca kalan riskleri internet servis sağlayıcınızdan (İSS) VPN sağlayıcısına aktarır ve genellikle saldırı yüzeyini artırır," CISA'nın kılavuzunda oldukça açık bir şekilde açıklanmaktadır. "Birçok ücretsiz ve ticari VPN sağlayıcısının şüpheli güvenlik ve gizlilik politikaları vardır."

(Ayrıca, neredeyse tüm siteler artık aralarında ve bir ziyaretçinin tarayıcısı arasında akan verileri şifreler. İSS'niz veya VPN'iniz PCMag.com'u ziyaret ettiğinizi anlayabilir, ancak bu yazıyı okuduğunuzu anlayamaz.)

Telefonunuzu Unutmayın

CISA ayrıca mobil işletim sistemine özgü bazı tavsiyelerde bulunur. Cihazınızın Alan Adı Sistemi aramalarının site ve servis adreslerini Cloudflare ve Google gibi firmalardan şifrelenmiş DNS'e geçerek veya iOS'ta Apple'ın iCloud Özel Aktarımını etkinleştirerek korumasını öneriyor.

Rapor, hem Android hem de iOS kullanıcılarına uygulamalarına verdikleri izinleri kontrol etmelerini tavsiye ediyor; bu, bizim de paylaştığımız sağlam bir tavsiye; ayrıca Android kullanıcılarına Google'ın varsayılan olarak açık olan uygulama Play Protect taramasının hala etkin olduğunu doğrulamalarını hatırlatıyor.

Apple'ın iMessage'ı ve Google'ın RCS'si, metin mesajları için uçtan uca şifreleme sağlıyor, ancak CISA, Android ve iOS kullanıcıları arasındaki mesajlar gibi senaryolarda bu şifrelemenin ortadan kalktığı konusunda doğru bir şekilde uyarıyor. Bu, yalnızca Apple'ın RCS uyumlu iOS 18'inde geçiş sırasında şifreleniyor, ancak bu platformlar arası sohbetlere "e2e" şifrelemesi eklemek için çalışmalar devam ediyor.

Rapor, iOS kullanıcılarının şifrelenmemiş SMS yoluyla mesaj göndermek için geri dönüş seçeneğini devre dışı bırakmalarını öneriyor. Ve Android kullanıcılarının RCS'yi yalnızca bir sohbetteki herkes Google'ın Mesajlar uygulamasını kullanıyorsa kullanmasını öneriyor. Yani, yalnızca bir grup sohbetindeki hiç kimse iOS veya Google Voice kullanmıyorsa.

CISA, okuyucularına "güçlü güvenlik geçmişine ve uzun vadeli güvenlik güncelleme taahhütlerine sahip üreticilerden" satın almalarını tavsiye ederek, farklı telefon satıcıları arasındaki güvenlik yamaları için değişen kalitedeki desteğe onay veriyor. Ancak belgesinin bağlantı verdiği "Android Enterprise Recommended" cihazları listesi, ABD'deki hemen hemen her telefon satıcısını içeriyor.

CISA'nın en katı güvenlik tavsiyesi yalnızca iOS kullanıcıları için geçerlidir: Apple'ın Kilitleme Modunu etkinleştirin. Bu ciddi şekilde kısıtlanmış seçenek -Apple bunu "aşırı" bir önlem olarak nitelendiriyor- ticari casus yazılımları alt ediyor ancak birçok iPhone özelliğini bozuyor ve birçok okuyucu, genel olarak siber kibir kurbanı olmaktan kaçınsalar bile bu tavsiyeye karşı çıkabilir.

Kaynak: PCMag