BtcTurk Siber Güvenlik Direktörü

Emre Yılmaz

 

BtcTurk Siber Güvenlik Direktörü Emre Yılmaz, Fintechtime okurları için kaleme aldı, “Kripto Para Güvenliği Nasıl Sağlanır?”.

Satın alınmasından harcanmasına, nasıl çalıştığından değerine kadar hepimizi yeni kavramlarla tanıştıran kripto paraların güvenli saklama koşulları ile ilgili farklı alışkanlıklar var. Bu, gerçekten de tek bir doğrunun olmadığı, ihtiyaca göre şekillenen güvenlik yaklaşımları gerektiren bir konu.

 

Kripto para güvenliği…

Kripto para satın almak isterseniz, bugün en güvenilir ve en hızlı yol alım satım platformlarını (A/SP) kullanmaktır. Satın alınan kripto varlıklar genellikle aynı A/SP’de tutulur. Bu, teknik olarak aldığınız kripto varlığı AS/P’nin cüzdanına bırakmakdır. Bu sebeple, platformlar resmi olarak olmasa da pratikte birer kripto para bankasıdır. Bundan dolayı alım satım anında hız ve kolaylık gibi özellikleri ile ön plana çıkan platformların saklama konusundaki disiplinlerini ve kullandığı teknolojileri de incelemek ve sorgulamak gerekir. Bu konuda tecrübeli, işini ciddiye alan A/SP’ler ile çalışmak güvenlik açısından şarttır.

Düzenli alım satım (trading) yaptığınız varlıkları platformlardan taşımak hem maliyet dezavantajına, hem de zaman kaybından dolayı anlık fiyatları kaçırmanıza sebep olabilir. Kısa süreli yatırımlar için kullandığınız varlığınızı A/SP’lerde saklamak genellikle doğru seçimdir.  A/SP’lerin depolama sorumluluğu, varlığın korunması zorunluluğunu da beraberinde getirir. Regülasyonlara tabi olan yada işini ciddiye aldığından emin olduğunuz A/SP’lerde sakladığınız varlıklarınız için oluşabilecek tek güvenlik riski neredeyse oltalama saldırılarıdır.

Ancak, orta-uzun vadeli varlıklarınız için en doğru seçim A/SP’ler değildir. Bu durumda varlıklarınızı kendi cüzdanınızda saklamanızı tavsiye ederim. Farklı cüzdan türlerinden size uygun olanı seçebilirsiniz. (Mobil uygulama cüzdanları, masaüstü cüzdanlar, donanım cüzdanlar) Bir güvenlik uzmanı olarak önerim çevrimdışı (offline, soğuk, donanım cüzdanlar da denir) cüzdanları tercih etmenizdir. Çevrimdışı cüzdanların sürekli internet erişimi olmadığı için oltalama ya da benzeri bir siber saldırı riski altında olması söz konusu değildir. Diğer cüzdan türlerine göre kesinlikle daha güvenlidir. Üstelik sanılanın aksine, donanım cüzdanlar kırıldığında, kaybolduğunda ya da çalındığında varlıklarınız riske girmez.

 

Bu noktaya değinmişken doğru bilinen bir yanlışı düzeltmekte fayda var:

İster donanım, ister mobil, ister kağıt cüzdan olsun, varlıklarınız cüzdanlarda saklanmaz. Cüzdanlarda sadece o varlığın size ait olduğunu kanıtlayan özel anahtarınız saklanır. Bu özel anahtarı oluşturan 12/24 kelimeyi bildiğiniz sürece donanım cüzdanınızın kaybetmeniz sorun teşkil etmez. Kırılabilir, çalınabilir, suya düşebilir yada bir yerde unutabilirsiniz. Genellikle BIP39 standardında, cüzdanınız tarafından üretilerek size verilen bu sihirli kelimeler cüzdanınızdaki varlıkların size ait olduğunu kanıtlayan özel anahtarı oluşturur. Cüzdanınızın başına ne gelirse gelsin, tohum (seed) kelimeleriniz güvende olduğu sürece varlığınız sizindir.

Cüzdanların bir avantajı da kendi bankanız olma konforunu/güvenini size yaşatmasıdır. Herhangi bir otoriteye, bankaya, aracıya, A/SP’ye ihtiyacınız olmadan %100 güvenli bir şekilde değer transfer edebildiğiniz başka bir yapı günümüzde yok. Hiç durmadan yıllardır çalışan ve merkezi olmayan bir ödeme sistemi düşünün. Bunu mümkün kılan merkeziyetsiz, dağıtık blockchain yapısıdır.

Kripto para alım satım ve saklama ile ilgili tüm konuları değerlendirdikten sonra bütün bireysel güvenliğimizi sağlayabilecek bazı temel prensipleri hatırlatmak istiyorum;

  • Girmek istediğiniz siteyi asla Google’da aratmayın; adres satırına elle yazın, (Ya da favorilere ekleyin, erişimi favorilerden yapın)
  • Her zaman 2FA (iki aşamalı doğrulama) kullanın. 2FA desteklemeyen herhangi bir platform ya da hizmeti asla kullanmayın,
  • Mobil cihazınızın, masaüstü işletim sisteminizin güncellemelerini aksatmadan yapın. Özellikle mobil cihazlarda üreticinin işletim sisteminden başka bir işletim sistemi asla kullanmayın,
  • Sizi panikletip şifrenizi, gönderilen linki yada 2FA kodunu söylemenizi isteyen sosyal mühendislik saldırılarına karşı uyanık olun,

Tüm siber güvenlik konularında olduğu gibi kripto para güvenliğinde de en zayıf halka yine insan faktörü. Varlıklarımızı saklayan AS/P’lerin güvenilirliğini sorgularken bir taraftanda kötü niyetli aktörlerin sebep olabileceği sosyal mühendislik saldırılarına karşı farkında ve tetikte olmak bireysel olarak alınabilecek en önemli önlemlerin başında geliyor.