Kullanıcılar, kuruluşlar, devletler ve işletmeler için orijinal fırsatların kapısını aralayan Web 3.0, artan güvenlik tehditlerini de birlikteinde getiriyor. Cisco Talos da dünyada giderek daha da yaygın olarak kullanılan Web 3.0 ortamında ortaya çıkan en değerli 5 güvenlik riskini derledi
CISCO Talos, Web 3.0’daki en büyük 5 güvenlik riskini derledi. “Metaverse” olarak bilinen, insanı içine alan 3 boyutlu tecrübesi de içeren ağın bu son sürümü, insanların bir şeyler keşfedebileceği, alışveriş yapabileceği, oyun oynayabileceği, arkadaşlarıyla vakit geçirebileceği, konsere gidebileceği yahut iş toplantılarına katılabileceği bir sanal gerçeklik ortamı. Web 3.0’ın dünya çapında giderek yaygınlaşması, birtakım riskleri de birlikteinde getiriyor. Cisco Talos da bu ortamdaki en büyük 5 güvenlik riskini ortaya koydu:
ENS alanları
Dijital paranın artan popülaritesi kararında Ethereum Name Service (ENS) alanları daha epeyce kullanılmaya başlandı. ENS alanları, bağlı kripto para cüzdan adresini bulmak için kullanılan bir isim. Bu da tanınan alan isimlerinin üçüncü şahıslar tarafınca ticari marka yapılması ve satışını sağlamakta. Sonuç olarak, bir ENS alanı sahibini, kullanıcıları yasal bir kuruluşla görüştüklerine inandıracak biçimde bu ismi kullanmaktan hiç bir şey alıkoyamaz. Ayrıyeten bu ENS alanları cüzdan adreslerini gösterir, ötürüsıyla herkes dilediği vakit bu isimle bağlantılı cüzdanın içeriğini inceleyebilir.
Sosyal mühendislik
Yeni bir teknolojiye uyarlama çoklukla toplumsal mühendislik tehdidiyle gelmekte ve de bu durum Web 3.0’da da farklı değil. Web 3.0 kullanıcılarını etkileyen güvenlik olaylarının büyük çoğunluğu, cüzdanların kopyalanması üzere toplumsal mühendislik akınlarından kaynaklanmakta. Kullanıcılar “seed phrase”lerini (özel anahtarı) paylaşmaları konusunda son derece dikkatli olmalıdır. Bir kripto para cüzdanının kaybolması yahut ziyan görmesi durumunda bir kullanıcı, aslında özel anahtarları olan ve 12 – 24 sözcükten oluşan “seed phrase”i kullanarak cüzdanlarını ve ortasındaki her şeyi kurtarabilir. Seed phrase’i bilen herkes, kripto para cüzdanını kopyalayıp kendisine aitmiş üzere kullanabilir. Bu niçinle, kripto para yahut NFT (takas edilemeyen token) çalmak isteyen biroldukca siber hatalı bir kullanıcının asıl söz kümesini maksat alır.
Sahte müşteri temsilcilerine dikkat
Kullanıcıları seed phrase’lerinden ayırmak için saldırganların kullandığı bir başka metot de kullanıcıların Twitter yahut Discord sunucu isteklerine cevap veren bir müşteri temsilcisi üzere davranmak. Saldırganlar, “yardım” sunma mazeretiyle kullanıcılarla bağlantıya geçerek, seed phrase’lerini paylaşmalarını sağlayabilir.
Whale hesaplar
Whale (Balina) hesaplar, yüksek meblağda kripto para yahut NFT içeren, yüksek profilli kripto para hesaplarıdır. Birtakım varsayımlara nazaran 40.000 “whale” hesap tüm NFT’lerin 80’ine sahiptir ve bu sebeple siber güvenlik suçluları için ülkü bir gayedir. Dolandırıcılar, birfazlaca küçük yatırımcının bu whale’lerin cüzdanlarını izlediğini bilir ve kendi geçersiz projelerine yatırım yapmaları için toplumsal mühendislik uygulamasına başvurur. Birden fazla yasal NFT projesi, akıllı mukaveleleri için kaynak kodlarını serbestçe yayınlar. Bu proje kodunun yayınlanmamış olması, muhtemel yatırımcılar için bir kırmızı bayrak olmalıdır.
Akıllı kontratlardaki açıklar
Bazı saldırganlar yasal akıllı kontratlardaki açıkları kullanmaya odaklanırken kimileri da farklı bir yaklaşım benimseyerek makus niyetli akıllı mukavele kodu biçiminde blok zincire yerleştirilen kendi ziyanlı yazılımlarını müellif. Berbat hedefli akıllı kontratlar, tüm standart akıllı mukavele işlevlerine sahiptir, lakin beklenmedik biçimde hareket eder.
Cisco’dan çevrimiçi güvenliğin ipuçları
Cisco Orta Doğu ve Afrika Siber Güvenlik Yöneticisi Fady Younes bu yeni periyotla ilgili şunları söylemiş oldu: “İnternetin metaverse’e dönüşümüyle birlikte kullanıcılar, kuruluşlar, devletler ve işletmeler için orijinal fırsatlar ve özelliklerin kapıları aralanıyor. Tüm bu imkanlara karşılık Web 3.0, korsanların ve hatalıların kullanabileceği güvenlik tehditlerini de içeriyor. Cisco Talos araştırma grubu; kripto para, blok zincir teknolojisi, merkezi olmayan dağıtılmış uygulama ve belge depolaması niçiniyle ortaya çıkan en yaygın güvenlik meselelerini öne çıkarmak için detaylı bir çalışma yaptı. Araştırma, kullanıcıların çevrimiçiyken güvenliklerini sağlamak için nelere dikkat etmesi gerektiğine ait içgörüler de sunuyor.”
Kaynak: (BHA) – Beyaz Haber Ajansı
CISCO Talos, Web 3.0’daki en büyük 5 güvenlik riskini derledi. “Metaverse” olarak bilinen, insanı içine alan 3 boyutlu tecrübesi de içeren ağın bu son sürümü, insanların bir şeyler keşfedebileceği, alışveriş yapabileceği, oyun oynayabileceği, arkadaşlarıyla vakit geçirebileceği, konsere gidebileceği yahut iş toplantılarına katılabileceği bir sanal gerçeklik ortamı. Web 3.0’ın dünya çapında giderek yaygınlaşması, birtakım riskleri de birlikteinde getiriyor. Cisco Talos da bu ortamdaki en büyük 5 güvenlik riskini ortaya koydu:
ENS alanları
Dijital paranın artan popülaritesi kararında Ethereum Name Service (ENS) alanları daha epeyce kullanılmaya başlandı. ENS alanları, bağlı kripto para cüzdan adresini bulmak için kullanılan bir isim. Bu da tanınan alan isimlerinin üçüncü şahıslar tarafınca ticari marka yapılması ve satışını sağlamakta. Sonuç olarak, bir ENS alanı sahibini, kullanıcıları yasal bir kuruluşla görüştüklerine inandıracak biçimde bu ismi kullanmaktan hiç bir şey alıkoyamaz. Ayrıyeten bu ENS alanları cüzdan adreslerini gösterir, ötürüsıyla herkes dilediği vakit bu isimle bağlantılı cüzdanın içeriğini inceleyebilir.
Sosyal mühendislik
Yeni bir teknolojiye uyarlama çoklukla toplumsal mühendislik tehdidiyle gelmekte ve de bu durum Web 3.0’da da farklı değil. Web 3.0 kullanıcılarını etkileyen güvenlik olaylarının büyük çoğunluğu, cüzdanların kopyalanması üzere toplumsal mühendislik akınlarından kaynaklanmakta. Kullanıcılar “seed phrase”lerini (özel anahtarı) paylaşmaları konusunda son derece dikkatli olmalıdır. Bir kripto para cüzdanının kaybolması yahut ziyan görmesi durumunda bir kullanıcı, aslında özel anahtarları olan ve 12 – 24 sözcükten oluşan “seed phrase”i kullanarak cüzdanlarını ve ortasındaki her şeyi kurtarabilir. Seed phrase’i bilen herkes, kripto para cüzdanını kopyalayıp kendisine aitmiş üzere kullanabilir. Bu niçinle, kripto para yahut NFT (takas edilemeyen token) çalmak isteyen biroldukca siber hatalı bir kullanıcının asıl söz kümesini maksat alır.
Sahte müşteri temsilcilerine dikkat
Kullanıcıları seed phrase’lerinden ayırmak için saldırganların kullandığı bir başka metot de kullanıcıların Twitter yahut Discord sunucu isteklerine cevap veren bir müşteri temsilcisi üzere davranmak. Saldırganlar, “yardım” sunma mazeretiyle kullanıcılarla bağlantıya geçerek, seed phrase’lerini paylaşmalarını sağlayabilir.
Whale hesaplar
Whale (Balina) hesaplar, yüksek meblağda kripto para yahut NFT içeren, yüksek profilli kripto para hesaplarıdır. Birtakım varsayımlara nazaran 40.000 “whale” hesap tüm NFT’lerin 80’ine sahiptir ve bu sebeple siber güvenlik suçluları için ülkü bir gayedir. Dolandırıcılar, birfazlaca küçük yatırımcının bu whale’lerin cüzdanlarını izlediğini bilir ve kendi geçersiz projelerine yatırım yapmaları için toplumsal mühendislik uygulamasına başvurur. Birden fazla yasal NFT projesi, akıllı mukaveleleri için kaynak kodlarını serbestçe yayınlar. Bu proje kodunun yayınlanmamış olması, muhtemel yatırımcılar için bir kırmızı bayrak olmalıdır.
Akıllı kontratlardaki açıklar
Bazı saldırganlar yasal akıllı kontratlardaki açıkları kullanmaya odaklanırken kimileri da farklı bir yaklaşım benimseyerek makus niyetli akıllı mukavele kodu biçiminde blok zincire yerleştirilen kendi ziyanlı yazılımlarını müellif. Berbat hedefli akıllı kontratlar, tüm standart akıllı mukavele işlevlerine sahiptir, lakin beklenmedik biçimde hareket eder.
Cisco’dan çevrimiçi güvenliğin ipuçları
Cisco Orta Doğu ve Afrika Siber Güvenlik Yöneticisi Fady Younes bu yeni periyotla ilgili şunları söylemiş oldu: “İnternetin metaverse’e dönüşümüyle birlikte kullanıcılar, kuruluşlar, devletler ve işletmeler için orijinal fırsatlar ve özelliklerin kapıları aralanıyor. Tüm bu imkanlara karşılık Web 3.0, korsanların ve hatalıların kullanabileceği güvenlik tehditlerini de içeriyor. Cisco Talos araştırma grubu; kripto para, blok zincir teknolojisi, merkezi olmayan dağıtılmış uygulama ve belge depolaması niçiniyle ortaya çıkan en yaygın güvenlik meselelerini öne çıkarmak için detaylı bir çalışma yaptı. Araştırma, kullanıcıların çevrimiçiyken güvenliklerini sağlamak için nelere dikkat etmesi gerektiğine ait içgörüler de sunuyor.”
Kaynak: (BHA) – Beyaz Haber Ajansı