Bu blog yazısını AB tarafından finanse edilen “V2B: Sanat Mesleki Eğitim Kursiyerleri için Metaverse’de NFT Fırsatları Yaratmak” projesi için oluşturduk ve proje referans numaramız 2022-1-DE02-KA210-VET-000080828. L4Y Learning for Youth GmbH tarafından Adana Çukurova Güzel Sanatlar Lisesi ve EMC Services Ltd işbirliğiyle koordine edilen “Blockchain Alanındaki Temel Güvenlik Endişeleri” giriş yazısındaki eğitim çerçevesiyle ilgili olarak hazırlanmıştır.

Blockchain teknolojisinin iki önemli boyutu vardır: dağıtık mutabakat ve anonimlik ve dijital olarak (çevrimiçi) değiş tokuş edilen herhangi bir dijital varlık işlemi için geçerlidir. Dağıtık mutabakat modelinden yararlanarak gelecekte herhangi bir noktada doğrulayarak dijital işlemlerde (geçmiş veya şimdiki) devrim yaratma potansiyeline sahiptir. Blok zinciri teknolojisinden büyük beklentiler olmasına rağmen, yaygın olarak benimsenmesine yol açan zorlukları, potansiyel fırsatları ve uygulamaları anlamak için yeterli bilgi bulunmamaktadır1.

Blockchain teknolojisi, kripto para birimleri, tedarik zinciri yönetimi, dijital kimlikler ve daha fazlası dahil olmak üzere çeşitli uygulamalar için merkezi olmayan ve güvenli bir sistem olarak büyük bir popülerlik kazanmıştır Blockchain çeşitli avantajlar sunar, ancak güvenlik endişelerine karşı bağışık değildir. Teknoloji geliştikçe, bütünlüğünü tehlikeye atabilecek tehditler ve güvenlik açıkları ortaya çıkmaktadır. Bu modül, blok zinciri alanındaki bazı temel güvenlik endişelerini ele almaktadır. Bu yazı, gelişmekte olan teknolojiler, dijital buluşlar ve çevrimiçi ilişkilerin geleceği ile ilgilenen öğrenciler için hazırlanmıştır. R2 kategorimizde daha fazla blog yazısı da bulabilirsiniz. Bu yayınlardan biridir.

Blockchain Alanındaki Temel Güvenlik Endişeleri: Öğrenme Hedefleri

Blockchain Teknolojisinin Temellerini Anlamak

Blockchainin Güvenliği Konusunda Farkındalık Kazanmak

51% Saldırılarının ve Mutabakat Mekanizmalarının Gözden Geçirilmesi

Akıllı Sözleşme Güvenliği Konusunda Farkındalığın Artırılması

Gizlilik Konularının Gözden Geçirilmesi

Farklı Blockchain Ağları Arasındaki Etkileşimi Anlamak

Blockchain Alanındaki Temel Güvenlik Endişeleri: Giriş

Üniteye blok zincirinin ne olduğunu açıklayarak başlamak uygun olacaktır. Blok zinciri, tek bir taraf yerine bir bilgisayar ağı tarafından yönetilen paylaşılan bir veritabanıdır. Bu merkezi olmayan yapı daha fazla şeffaflık ve güvenlik sağlar, çünkü zincirdeki her bir taraf her işlemi blok zincirinin tüm geçmişine karşı doğrulayabilir.

Blok zincirinin nasıl çalıştığını anlamanın anahtarı, onu dijital bir defter olarak düşünmektir. Geleneksel defterlerde banka ya da hükümet gibi merkezi bir otorite işlemleri kaydeder ve denetler. Buna karşılık, blok zincirleri merkezi değildir, yani defteri yöneten merkezi bir otorite yoktur. Bunun yerine, defter zincirdeki tüm taraflar arasında paylaşılır ve ayrıştırılır.

Her yeni işlem gerçekleştiğinde, bu işlem blok zincirine kaydedilir. Zincirdeki tüm taraflar daha sonra bu işlemleri doğrulamak için gelişmiş matematiksel algoritmalar kullanır. Bir işlem doğrulandıktan sonra değiştirilemez veya silinemez. Bu, blok zincirinde gerçekleşen tüm işlemlerin kalıcı ve güvenli bir kaydını oluşturur.2

Blok zinciri teknolojisine yönelik saldırıların nasıl gerçekleştiğine bir göz atalım: Blok zinciri ve veri güvenliği kullanıcılar için her zaman endişe verici bir konudur. Blockchain teknolojisi de güvenlik açıklarıyla ilgilenir ve dört tür saldırıya karşı savunmasızdır: kimlik avı, yeniden yönlendirme, Sybil ve %51 saldırıları.

1. Kimlik avı

Kimlik avı saldırısı, bir saldırganın mağdurları kandırarak oturum açma bilgileri veya finansal bilgiler gibi hassas bilgileri ifşa etmelerini sağlamak amacıyla güvenilir bir kuruluşun kimliğine büründüğü bir siber saldırı türüdür. Yani bu kimlik avı saldırıları genellikle kurbanları meşru borsalar veya cüzdanlar gibi görünecek şekilde tasarlanmış kötü niyetli web sitelerine yönlendiren sahte bağlantılar göndererek kurbanlardan kripto para çalmak için kullanılır.

Bu web siteleri daha sonra kullanıcıdan giriş bilgilerini girmesini isteyecek ve saldırgan da bu bilgileri kullanarak hesaplarına erişip kripto paralarını çalabilecektir. Bu nedenle birçok farklı ülkede blockchain güvenlik maaşları yüksektir çünkü mühendisler ve geliştiriciler kimlik avından kaçınmak için gerçekten çok çalışmak zorundadır.

Kimlik avı, saldırganların insanları kandırarak kullanıcı adları, şifreler ve kredi kartı bilgileri gibi hassas bilgileri ifşa etmeye çalıştığı bir siber saldırı türüdür. Bu genellikle bir banka veya sosyal medya platformu gibi meşru bir kaynaktan geliyormuş gibi görünen sahte e-postalar veya mesajlar aracılığıyla yapılır. Kimlik avının amacı, kimlik hırsızlığı veya finansal kazanç için kullanılabilecek kişisel bilgileri çalmaktır. Kimlik avı dolandırıcılığının kurbanı olmamak için, bilinmeyen gönderenlerden gelen e-postaları veya mesajları açarken dikkatli olmak önemlidir. Kişisel bilgi taleplerine karşı dikkatli olun ve şüpheli kaynaklardan gelen bağlantılara asla tıklamayın veya ekleri indirmeyin. Bilgisayarınızı ve mobil cihazlarınızı en son güvenlik yamaları ve antivirüs yazılımları ile güncel tutmanız da önemlidir.

Şüpheli bir e-posta veya mesaj alırsanız, yanıt vermeyin veya herhangi bir bağlantıya tıklamayın. Bu mesajı ilgili makamlara bildirin ve gelen kutunuzdan silin.

2. Yönlendirme Saldırısı

Blok zinciri teknolojisinde meydana gelebilecek bir diğer saldırı türü de yönlendirme saldırısıdır. Bu, bilgisayar korsanlarının internet servis sağlayıcılarına aktarılırken verilere müdahale etmesidir. Bunu yaparak ağı bozabilir ve işlemlerin tamamlanmasını engelleyebilirler. Yönlendirme saldırısı, bir saldırganın meşru bir yönlendirici gibi davranarak sahte yönlendirme güncellemeleri gönderdiği bir siber saldırı türüdür. Bir başka yönlendirme saldırısı türü de kaynak yönlendirme saldırısı olarak adlandırılır ve burada bir paketin göndericisi, paketin ağ üzerinden geçeceği rotayı belirler.

Yönlendirme saldırılarını tespit etmek ve önlemek zor olabilir, ancak alınabilecek bazı önlemler vardır. Örneğin, veriler gönderilmeden önce şifrelenebilir ve düğüm operatörleri ağlarını şüpheli etkinliklere karşı izleyebilir.

Bu tür saldırıların farkında olmak ve kendinizi ve ağınızı korumak için uygun önlemleri almak önemlidir. Bu riskleri azaltmanın bazı yolları arasında yazılımınızı güncel tutmak, güçlü parolalar kullanmak ve bilinmeyen gönderenlerden gelen e-postaları veya mesajları açarken dikkatli olmak yer alır.

3. Sybil Saldırısı

Sybil saldırısı, bilgisayar korsanlarının ağı kalabalıklaştırmak ve sistemi çökertmek için birçok sahte kimlik oluşturup kullandığı bir tür blok zinciri saldırısıdır. Bu, birden fazla hesap, bilgisayar veya kimlik oluşturularak yapılabilir. Sybil saldırıları blok zincirine olan güveni azaltabileceği gibi finansal kayıplara da yol açabilir. Bir Sybil saldırısını önlemek için güçlü güvenlik önlemlerinin alınması önemlidir. Bu önlemler arasında dijital imzaların ya da kimliklerin kullanılması ve bilinen kimliklerin bir listesinin tutulması yer alabilir.

Bir Sybil saldırısının risklerini azaltmak için kimlik doğrulama ve itibar sistemleri gibi uygun güvenlik önlemlerinin uygulanması önemlidir. Ayrıca kullanıcıları Sybil saldırılarının riskleri ve kendilerini bu tür saldırılardan nasıl koruyacakları konusunda eğitmek de önemlidir.

4. %51 Saldırısı

%51 saldırısı, bir grup madencinin veya tek bir madencinin ağın madencilik gücünün %50’sinden fazlasını kontrol ettiği bir tür blockchain saldırısıdır. Bu kontrol, defterleri manipüle etmelerine olanak tanıyor ve bu da çifte harcamaya veya diğer dolandırıcılık türlerine yol açabiliyor. %51 saldırıları çok nadir olmakla birlikte, blockchain güvenliği açısından ciddi bir güvenlik endişesidir. Bunlara karşı korunmak için blockchain ağlarının büyük ve merkezi olmayan bir madencilik topluluğuna sahip olması önemlidir. %51 saldırısı risklerini azaltmak için kimlik doğrulama ve itibar sistemleri gibi uygun güvenlik önlemlerinin uygulanması önemlidir.

Bunlar Blockchain siber güvenliğini etkileyebilecek ve zarar verebilecek birçok yoldan sadece birkaçı. (1)

Blockchain Alanındaki Güvenlik Endişeleri için İpuçları ve En İyi Uygulamalar

Herkes için geçerli olan belirli Blockchain güvenlik ipuçları ve uygulamaları vardır:

1. İki Faktörlü Kimlik Doğrulamasının Uygulanması

Blockchain alanındaki güvenlik endişeleri ‘ni önlemenin en önemli yönlerinden biri iki faktörlü kimlik doğrulamadır (2FA). 2FA’yı uygulamak, oturum açmak için şifrenize ek olarak ikinci bir faktör gerektirerek çevrimiçi hesaplarınıza ekstra bir güvenlik katmanı ekler. Bir donanım belirteci, parmak iziniz veya iris taramanız gibi biyometrik bir faktör veya bir kimlik doğrulama uygulaması tarafından oluşturulan tek seferlik bir kod bu ikinci faktör olarak kullanılabilir.

2FA kusursuz olmasa da, çevrimiçi hesaplarınızın güvenliğini önemli ölçüde artırır ve mümkün olduğunda kullanılmalıdır. Blok zinciri alanında, dijital varlıkların yüksek değeri ve bir hack veya hırsızlığın neden olabileceği genellikle onarılamaz hasar nedeniyle 2FA özellikle önemlidir. Ayrıca, sistemdeki herhangi bir boşluğu tespit edebilecek ve güvenlik açıklarını ortadan kaldırabilecek saygın blok zinciri güvenlik denetim şirketleri bulmaya çalışın.

İki faktörlü kimlik doğrulama (2FA), geleneksel şifrelere başka bir güvenlik katmanı ekleyen gelişmiş bir kullanıcı kimlik doğrulama yöntemidir. İşte 2FA’yı uygulamak için bazı adımlar:

1. Doğru teknolojiyi seçin: SMS tabanlı kimlik doğrulama, mobil uygulamalar ve donanım belirteçleri gibi çeşitli 2FA teknolojileri mevcuttur. İhtiyaçlarınıza ve bütçenize en uygun olanı seçin.
2. Kullanıcıları eğitin: Kullanıcıları 2FA’nın faydaları ve nasıl kullanılacağı konusunda eğitmek önemlidir. Başlamalarına yardımcı olmak için açık talimatlar ve eğitim materyalleri sağlayın.
3. Kullanımı kolay hale getirin: 2FA’nın kullanımı kolay olmalı ve kullanıcılar için ek yük oluşturmamalıdır. Kullanıcıların bir kez oturum açmasına ve birden fazla uygulamaya erişmesine olanak tanıyan çoklu oturum açma (SSO) çözümlerini kullanmayı düşünün.
4. Kullanımı izleyin: 2FA’nın doğru ve etkili bir şekilde kullanıldığından emin olmak için kullanımını izleyin. Herhangi bir sorunu veya iyileştirme alanını belirleyin ve bunları derhal ele alın.
5. Güncel kalın: En son güvenlik tehditlerini ve güvenlik açıklarını takip edin ve 2FA teknolojinizi buna göre güncelleyin.

2FA’nın nasıl uygulanacağı hakkında daha fazla bilgi için bu Microsoft Güvenlik Blogu makalesine göz atın(3).

2. Güvenilir Gönderenlerin ve Alıcıların Listelenmesine İzin Verin

Blockchain platformunuzun güvenliğini sağlamak için yapabileceğiniz en iyi şeylerden biri, yalnızca güvenilir gönderici ve alıcılara izin vermektir. Bu zahmetsiz gibi görünebilir, ancak inanılmaz derecede önemlidir. Yalnızca güvenilir varlıkların blok zinciri ile etkileşime girmesine izin vererek kötü niyetli faaliyet olasılığını önemli ölçüde azaltabilirsiniz. Elbette bu, Blockchaine yeni varlıkların girmesine asla izin vermemeniz gerektiği anlamına gelmez.

Aksine, sadece kime erişim izni verdiğiniz konusunda çok dikkatli olmanız gerektiği anlamına gelir. Her bir gönderici ve alıcının kimliğini doğrulamak için zaman ayırın ve ağa girmelerine izin vermeden önce güvenilir olduklarından emin olun.

Kullanıcıların güvenilir gönderenleri ve alıcıları listelemesine izin vermek, kimlik avı dolandırıcılıklarına ve diğer siber saldırılara karşı korunmaya yardımcı olabilecek bir güvenlik önlemidir. İşte bu önlemi uygulamanın bazı yolları:

1. Kullanıcı İzin Verme/Engelleme Listesi: Bu, güvenilir gönderenlerden veya etki alanlarından gelen postalara izin vermek için en çok önerilen seçenektir. Sahte göndericiler de dahil olmak üzere etki alanları ve e-posta adresleri için izin girişleri oluşturabilirsiniz.
2. Posta akış kuralları: Posta akış kuralları, güvenilir gönderenlerden gelen iletileri tanımlamak ve uygun eylemleri gerçekleştirmek için kullanılabilir.
3. Outlook Güvenli Gönderenler: Outlook’taki Güvenli Gönderenler listesi, güvendiğiniz e-posta adreslerini veya etki alanlarını eklemek için kullanılabilir .
4. IP İzin Verilenler Listesi: IP İzin Verme Listesi, belirli IP adreslerinden veya aralıklarından gelen e-postalara izin vermek için kullanılabilir.

Posta listeleri: Güvenilir kaynaklardan e-posta aldığınızdan emin olmak için güvenli gönderenler listenize posta listeleri ekleyebilirsiniz.
Kullanıcıları kimlik avı dolandırıcılığı ve diğer siber saldırıların riskleri ve kendilerini bu tür saldırılardan nasıl koruyacakları konusunda eğitmek önemlidir. Bu güvenlik önlemlerinin nasıl uygulanacağı hakkında daha fazla bilgi için bu Microsoft Learn makalesine göz atın(4).

3. Yazılımınızı Güncel Tutun

Bu, güvenlik güncellemelerini yüklemek ve herhangi bir güvenlik açığını keşfeder keşfetmez düzeltmek anlamına gelir. En son güvenlik tehditlerini takip ederek blockchain ağınızın güvenli ve güvenli kalmasını sağlamaya yardımcı olabilirsiniz. Ayrıca blockchain güvenlik ihtiyaçlarınız için saygın ve güvenilir bir sağlayıcı seçmeniz önemlidir. Ağlarını güvende ve emniyette tutma konusunda kanıtlanmış bir geçmişe sahip bir sağlayıcı arayın.

Yazılımınızı güncel tutmak, bilgisayarınızı güvenlik tehditlerinden korumanın önemli bir adımıdır. Yazılım güncellemeleri genellikle olası saldırıları engelleyen ve uygulamalara ve verilere yetkisiz erişimi önleyen güvenlik yamaları ve düzeltmeleri içerir. Yazılımınızı güncel tutmak için atabileceğiniz bazı adımlar şunlardır:

1. Otomatik güncellemeleri etkinleştirin: Çoğu yazılım uygulamasında otomatik güncellemeleri etkinleştirme seçeneği bulunur. Bu, herhangi bir manuel müdahaleye gerek kalmadan yazılımınızın her zaman güncel olmasını sağlayacaktır.
2. Güncellemeleri düzenli olarak kontrol edin. Otomatik güncellemeler mevcut değilse güncellemeleri düzenli olarak kontrol ettiğinizden emin olun. Bu genellikle uygulamanın ayarları veya tercihler menüsü aracılığıyla yapılabilir.
3. Güncellemeleri güvenilir kaynaklardan indirin: Yazılım güncellemelerini indirirken bunları yazılım satıcısının resmi web sitesi gibi güvenilir kaynaklardan indirdiğinizden emin olun.
4. İşletim sisteminizi güncel tutun: Yazılımınızı güncel tutmanın yanı sıra, işletim sisteminizi en son güvenlik yamaları ve güncellemelerle güncel tutmanız da önemlidir.
5. Kullanılmayan yazılımları kaldırın: Kullanılmayan yazılımları kaldırmak, bilgisayarınızın saldırı yüzeyini azaltmaya ve güvenlik ihlali riskini en aza indirmeye yardımcı olabilir.

4. VPN Kullanma – Sanal Özel Ağ

VPN’lerin kullanımı yeni olmasa da, çevrimiçi güvenlik tehditlerine ilişkin farkındalığın artması nedeniyle popülerlik kazanmaktadır. VPN, iki cihaz arasında güvenli, şifreli bir bağlantıdır. Bu bağlantı, veri trafiğini internet gibi güvenilmeyen bir ağ üzerinden aktarabilir.

VPN, veri trafiğini şifreleyerek bilgilerinizin kötü niyetli aktörlerden korunmasına yardımcı olabilir. Ayrıca VPN, gerçek IP adresinizi ve konumunuzu gizleyerek gizliliğinizi artırmanıza da yardımcı olabilir. Aralarından seçim yapabileceğiniz pek çok farklı VPN sağlayıcısı olsa da, güçlü şifreleme ve güvenlik özelliklerine sahip saygın bir sağlayıcı seçmek önemlidir.

Sanal özel ağ (VPN), cihazınız ile internet arasında güvenli ve şifreli bir bağlantı oluşturan bir hizmettir. VPN’ler, IP adresinizi gizleyerek, internet trafiğinizi şifreleyerek ve üçüncü tarafların çevrimiçi etkinliklerinizi izlemesini engelleyerek çevrimiçi gizliliğinizin ve güvenliğinizin korunmasına yardımcı olabilir. VPN kullanmanın bazı yararları şunlardır:

1. Çevrimiçi gizlilik: VPN, IP adresinizi gizleyerek ve internet trafiğinizi şifreleyerek çevrimiçi gizliliğinizin korunmasına yardımcı olabilir. Bu, üçüncü tarafların çevrimiçi etkinliklerinizi izlemesini zorlaştırır.
2. Güvenlik: VPN, internet trafiğinizi şifreleyerek ve bilgisayar korsanlarının verilerinizi ele geçirmesini önleyerek çevrimiçi güvenliğinizin korunmasına yardımcı olabilir.
3. Kısıtlanmış içeriğe erişim: VPN, coğrafi kısıtlamaları atlamanıza ve bölgenizde engellenebilecek içeriğe erişmenize yardımcı olabilir.
4. Herkese açık güvenli Wi-Fi: VPN, internet trafiğinizi şifreleyerek ve başkalarının verilerinize müdahale etmesini önleyerek genel Wi-Fi ağlarında güvende kalmanıza yardımcı olabilir.
5. Uzaktan erişim: VPN, özel bir ağdaki kaynaklara uzak bir konumdan güvenli bir şekilde erişmenize olanak tanır.

VPN sağlayıcı seçerken hız, güvenlik, gizlilik politikası ve kullanım kolaylığı gibi faktörleri dikkate almak önemlidir.

5. Kimlik Avı Koruması Araçlarını Kullanın

Kimlik avı saldırıları giderek yaygınlaşıyor ve tespit edilmesi ve önlenmesi zor olabiliyor. Yani kimlik avına karşı koruma aracı, kimlik avı girişimlerini tanımlamanıza ve engellemenize yardımcı olarak blok zincirinizi güvende tutar. Ayrıca, kimlik avı saldırısının işaretlerinin farkında olmak da önemlidir. Sizden bir bağlantıya tıklamanızı veya kişisel bilgilerinizi vermenizi isteyen herhangi bir e-posta veya mesajdan şüphelenin. Bir e-postanın meşruluğu konusunda şüpheniz varsa, orijinalliğini doğrulamak için gönderenle iletişime geçin. (1)

Kimlik avı saldırıları, kimlik hırsızlığına, mali kayba ve diğer olumsuz sonuçlara yol açabilecek yaygın bir siber suç biçimidir. Kimlik avı önleme araçları, kimlik avı e-postalarını gelen kutunuza ulaşmadan önce tespit edip engelleyerek bu saldırılara karşı korunmanıza yardımcı olabilir.

Farklı düzeylerde koruma ve işlevsellik sunan birçok kimlik avı önleme aracı vardır.

Blockchain Alanındaki Temel Güvenlik Endişeleri

Blockchain teknolojisi son yıllarda oldukça popüler hale gelmiştir. Yani Blockchain dağınık bir defter sistemidir ve bu nedenle geleneksel veri tabanlarından çok daha güvenlidir. Bununla birlikte, blok zinciri teknolojisinin hala bazı güvenlik endişeleri vardır. Bu endişeler şunlardır:

Hacklenmeler: Blok zinciri ağları saldırılara karşı savunmasızdır. 2016 yılında DAO adlı bir Ethereum akıllı sözleşmesi hacklenmiş ve 50 milyon dolar değerinde kripto para çalınmıştır.5

DDoS saldırıları: Blockchain ağları DDoS saldırılarına karşı da savunmasızdır. DDoS saldırıları bir blok zinciri ağını yavaşlatabilir veya durdurabilir ve ağ üzerinde işlem yapmayı imkansız hale getirebilir.

Yanlış bilgilendirme: Blockchain teknolojisi kullanılarak yanlış bilgilerin yayılması mümkündür. Örneğin sahte sosyal medya paylaşımları veya haberler blok zincirinde saklanabilir.

Sansür: Blockchain sansür için kullanılabilir. Örneğin, bir hükümet blok zincirinde depolanan bilgileri sansürleyebilir.

Gizlilik: Blockchain gizlilik için bir tehdit oluşturabilir. Çünkü Blockchain tüm işlem geçmişini saklar. Bu da kullanıcıların finansal ve diğer hassas bilgilerini açığa çıkarabilir.

Blockchain Güvenlik Endişeleri: Sonuç

Bu güvenlik endişelerine rağmen, Blockchain teknolojisi hala çok güvenli bir teknolojidir. Geliştiriciler Blockchain ağlarını düzenli olarak güncelleyip iyileştirerek hacklenmeye karşı daha dirençli hale getirmektedir. Ayrıca geliştiriciler blok zinciri ağlarını DDoS saldırılarına karşı güçlendirecek eklentiler de yapmaktadır.

Blockchain teknolojisi daha yaygın bir şekilde kullanılmaya başlandıkça güvenlik endişeleri de artmaktadır. Ancak geliştiriciler Blockchain ağlarını sürekli güncelleyip geliştirerek daha güvenli hale getirmektedir.

Referanslar ve Kaynaklar

Upadhyay N., 2020 Demystifying blockchain: A critical analysis of challenges, applications and opportunities,International Journal of Information Management,Volume 54,102120, ISSN 0268-4012 ↩︎https://doi.org/10.1016/j.ijinfomgt.2020.102120
Blockchain Security – All You Need to Know ↩︎
https://www.microsoft.com/en-us/security/blog/2020/01/15/how-to-implement-multi-factor-authentication/ ↩︎
https://learn.microsoft.com/en-us/microsoft-365/security/office-365-security/create-safe-sender-lists-in-office-365?view=o365-worldwide ↩︎