Onur Gözüpek
KRİPTO PARA
YATIRIMCISI VE DANIŞMANI
Kripto Para Yatırımcısı ve Danışmanı Onur Gözüpek, Fintechtime Dergisi Kış 2020 – Ocak sayısı için kaleme aldı “Blokzinciri ve Özel Anahtar Güvenliği”.
Dağıtık kayıt defteri olan blokzinciri, 11 yıldır hiç durmadan çalışıyor ve herhangi bir şüpheye yer vermeyecek şekilde güvenle Bitcoin işlem dökümlerinin saklanmasını sağlıyor. Konu, veri güvenliği olunca, blokzinciri, en güvenilir veri saklama alanlarından biri ancak, bu durum blokzincirinin en popüler ürünü olan Bitcoin ve kriptoparaların da aynı şekilde güvenle saklandığı anlamına gelmiyor.
Öncelikle, Bitcoin’in, olduğu yerde, yani blokzincirinde her zaman güvenle saklanacağının altını çizmek istiyorum. Bitcoin saklamak için değil ancak, Bitcoin’lerimizi yönetmemizi sağlayan özel anahtarları saklamak için kullanılan yazılımlar Bitcoin Cüzdanı olarak adlandırılıyor. Masaüstü, mobil, donanım, web servisi ve hatta kağıda basılı bir kod bile Bitcoin Cüzdanı olarak kullanılabiliyor.
Bitcoin’in sahipliğinin göstergesi, kriptovarlıkların tapusu olarak adlandırabileceğimiz Özel Anahtarlar’ı saklama, koruma ve kullanma ile ilgili problemler, Bitcoin ve kriptoparaların yaygınlaşmasıyla beraber artıyor. Bu süreçte de, Bitcoin’lerimize ulaşmamıza aracılık eden cüzdanlar da gün geçtikçe gelişmeye, çeşitlenmeye devam ediyor. Seçenek çok ve donanım cüzdanları hariç neredeyse tamamı ücretsiz olunca, en güvenli saklama yöntemini seçmek de zamanla zorlaşıyor.
Dijital cüzdanların çalıştığı platformlar çeşitlendikçe, bu platformların güvenliği de cüzdanlarımızın güvenliği etkileyen en önemli konuların başında geliyor. Örneğin bilgisayarımızda barındırdığımız cüzdanlar, bilgisayarımıza bulaşan zararlı yazılım veya virüslerin ana hedefi haline gelmiş durumda. Son bir kaç yılda sayıları artan fidye yazılımları sayesinde, dijital korsanlar, bilgisayarlarımızdaki dosyaları şifreleyerek, dosyaları kurtabilmemiz için kurbanlardan, Bitcoin ile fiyde talep ediyorlar. Bir diğer tehlikeli saldırı da kopyaladığınız Bitcoin adresinin değiştirilmesiyle gerçekleştiriliyor. Kullanıcı, panoya kopyaladığı adrese Bitcoin transfer etmeye çalışırken, eğer dikkatli olunmazsa, ödeme, zararlı yazılımı bilgisayara yükleyen korsanın hesabına gidiyor. Tabi ki, bu işlemlerin geri dönüşü mümkün olmuyor.
Akıllı telefonlar, bu tarz saldırılara karşı daha güvenli görünse de özellikle Android işletim sistemli cihazlar, orijinalinin kopyası veya tamamen dolandırıcılık amacıyla yayınlanmış korsan yazılımların tehdidi altında. Bu yazılımlardan birini yükleyen kullanıcılar, kontrolün kendilerinde olduğunu düşünerek mobil cüzdanlarına Bitcoin transfer ediyorlar ancak, Bitcoin’ler, doğrudan korsanların kontrolünde olan adreslere gönderilmiş oluyor.
Donanım cüzdanları ise, zorunlu olarak parola korumalı olmaları ve her an internete bağlı olmamaları nedeniyle daha güvenli kabul edilseler de tamamen güvenli değiller. Taşınabilir olmaları aynı zamanda kolay kaybolma riski ile karşı karşıya kalmalarına neden olur.
Kağıt cüzdanlar ise, yanma, yıpranma, ıslanma gibi tehlikelere karşı da diğer alternatiflerine göre en riskli cüzdan olarak kabul edilebilir. Özel anahtar ve QR kodu şifrelenmemişse, kağıdı bulan herhangi biri, Bitcoin’leri kolaylıkla ele geçirebilir.
Kullanıcılarına daha erişilebilir, daha basit arayüzlerle cüzdan hizmeti sunmaya çalışan çevrimiçi cüzdanlar (internet siteleri) ise sürekli internete bağlı olmaları nedeniyle her daim saldırganların hedefinde yer alırlar. Ayrıca, bazı kötü niyetli servis sağlayıcıları da, tıpkı kötü niyetli mobil yazılımlar gibi, kullanıcıların kriptovarlıklarını ele geçirmek amacıyla hizmet sunarlar.
Tüm bu felaket senaryolarını gözünüzü korkutmak için anlatmadım. Güvenliğin önemli unsurlarından biri farkındalıktır. Riskleri tam olarak bilmeden alacağınız tedbirler de eksik olacaktır.
Dijital cüzdanınızın güvenliği için, mutlaka topluluğun tavsiye ettiği, güvenilirliği ispatlanmış cüzdanları tercih etmelisiniz. Her cüzdanı test etmekte özgürsünüz ancak, varlıklarınızı saklayacağınız cüzdana karar verirken çok dikkatli olmalısınız. Hangi cüzdanı tercih ederseniz edin, arayacağınız ilk özellik, özel anahtarın veya özel anahtarınızı oluşturan 12-24 kelimelik anahtar kelimeleri grubunun, sadece sizin tarafınızdan bilindiğinden emin olmanızdır. Özel anahtarınızın ya da anahtar kelimelerin herhangi bir güvenlik önlemi olmadan ya da yetersiz güvenlik tedbirleriyle saklandığından kuşku duyuyorsanız, o cüzdanı kesinlikle kullanmayın.
3. Parti cüzdanların neredeyse tamamı, özel anahtarı paylaşmak yerine, bu anahtarları oluşturan 12-24 kelimelik anahtar kelime gruplarını kullanıyor. Anahtar kelimelerinizi birden fazla yerde, güvenliğinden emin olmak şartıyla saklamalısınız. Ancak Bitcoin Core ya da diğer masaüstü cüzdanları kullanıyorsanız, bu cüzdanların anahtar kelimesi değil, bir döküm dosyası (wallet.dat) bulunmaktadır. Bu dosyayı da mümkünse şifreli disklerde ya da disk alanlarında saklamalısınız. E-posta kutunuz, mobil ya da masaüstü not defteriniz, çekmecenizde duran ya da çantanızda gezdirdiğiniz ajandanız, parmak belleğiniz veya harici diskiniz, anahtar kelimeleri saklamak için güvenli alanlar değildir.
Blokzincirinin, herhangi bir otoriteye bağlı olmayan merkeziyetsiz yapısı nedeniyle, Bitcoin’lerinizi kontrol etmenizi sağlayan özel anahtarlarla ilgili herhangi bir sorun yaşadığınızda, destek alabileceğiniz bir otorite bulunmadığını da hatırlatmakta fayda var. Bu nedenle, her kullanıcı kendi güvenliğinden sorumludur.
Yaygın olarak bilinen şu ifadeyi de aklınızın bir köşesine yazmanızı tavsiye ederim: “Not your keys, not your coins” (Anahtarları sizde değilse, kriptoparalar sizin değildir).