Kriptolarınızı #SAFU Tutun (CZ'den İpuçları)

2020-02-23

Kripto topluluğunu daha güvende tutma hedefimizin bir parçası olarak Binance CEO’su CZ (Changpeng Zhao) kripto güvenliğini birçok farklı açıdan ayrıntılarıyla değerlendiriyor.

Güvenlik çok önemli. Bu çok açık olsa da, güvenlik bilincinin insanlarda ne kadar eksik olduğunu izlemek acı verici. Uzmanların, herkesin güvenlik konusunda eşit derece bilgiye sahip olduğunu varsaydığını ve daha sonra buna dayanarak kullanımı zor ve bozması kolay gelişmiş kurulumlar tasarladığını veya tavsiye ettiğini görmek de eşit derecede acı verici. Güvenlik geniş bir konu, kapsadığı alanların çoğunda uzman değilim ama insanların yaşadığı güvenlik sorunlarının bir çoğuna tanık oldum. Kripto fiyatlarının yükselmesi ve piyasadaki hareketin artması ile yine birçok yeni kullanıcı kripto alanına giriyor. Bu makalede, kripto tutmayla ilgili güvenlik kavramlarından bazılarını herkesin anlayabileceği bir şekilde açıklamak için elimden geleni yapacağım. Bu yazıda şunlardan bahsedeceğim:

  1. Birkaç temel güvenlik kavramı

  2. Coinlerinizi neden ve nasıl kendi başınıza saklayabilir ya da saklayamazsınız

  3. Coinlerinizi neden ve nasıl bir borsada saklayabilir ya da saklayamazsınız

  4. Diğer bazı konular

İlk olarak hiçbir şey %100 güvenli değildir. Eğer küçük gezegenimize bir asteroid çarparsa nasıl saklıyor olursanız olun fonlarınız muhtemelen güvende olmayacaktır. Evet fonlarınızı uzayda saklayabilirsiniz ama ne kadar uzun süre orada kalabilecekleri ya da dünya yok olduktan sonra bir değerleri olup olmayacağı konusu da var. Muhtemelen fonlarınız bu noktada çok da umrunuzda olmayacaktır. Bu örnek sizin gerçekten sormanız gereken sorunun “yeterli derecede güvenli mi?” olduğunu gösteriyor.

O zaman “yeterli derece güvenli” kavramını tanımlayalım. Farklı kişiler ve amaçlar için yanıtlar farklı olacaktır. Harcama yaptığınız cüzdanda 100 USD tutuyorsanız yüksek ihtimalle ultra yüksek güvenliğe ihtiyacınız olmayacaktır. Mobil telefonunuzun cüzdanı yeterli olacaktır. Milyonlarca doları ya da tüm birikiminizi tutuyorsanız o zaman daha güçlü güvenlik önlemlerine ihtiyaç duyarsınız. Bu makalenin geri kalanında, güvende tutmaya çalıştığınız fonların yüksek tutarda olduğu varsayımı üzerinden ilerleyeceğiz.

Coinlerinizi güvene almak için yalnızca şu 3 şeyi yapmanız gerekiyor:

  1. Başkalarının coinlerinizi çalmasını engellemek

  2. Coinlerinizi kaybetmenizi engellemek

  3. Sizin ulaşılamaz olduğunuz bir durum olursa coinleri sevdiklerinize geçirmek için bir yola sahip olmak

Basit değil mi? Evet ama bu üçünü tam anlamıyla yapabilmek bilgi, çaba ve azim gerektiriyor ve bunlar çoğu kişi tarafından ya bilinmiyor ya da göz ardı ediliyor.

Haydi o zaman başlayalım.

Coinlerinizi neden kendiniz saklamak isteyebilir ya da istemeyebilirsiniz?

Sizin anahtarınız, sizin fonlarınız. Gerçekten mi?

Birçok kripto uzmanı kriptolarınızın yalnızca kendiniz tutmanız durumunda güvende olacağını kati bir şekilde savunur oysa bunun ortalama bir insan için ne kadar teknik bilgi gerektirdiğini göz önünde bulundurmaz. Bu sizin için gerçekten en iyi tavsiye mi? Haydi bu seçeneği daha yakından inceleyelim.

Size önce şunu sormak istiyorum: bir bitcoin özel anahtarının neye benzediğini biliyor musunuz? Emin değilseniz kesinlikle okumaya devam etmelisiniz.

Bir bitcoin özel anahtarı şöyle gözükür: KxBacM22hLi3o8W8nQFk6gpWZ6c3C2N9VAr1e3buYGpBVNZaft2p

Sadece bu kadar. Karakterlerden oluşan bir dizi. Kim bu anahtarın bir kopyasına sahip olursa o adresteki bitcoinleri hareket ettirebilir.

Bir de belirli bir sırayla dizilmiş 12 ya da 24 İngilizce kelimeden oluşan “tohum cümle” kavramı vardır. Tohum cümleler özel anahtarlar yaratmak için kullanılabilir. Birçok cüzdan tohum cümleleri kullanır. Bu makalenin geri kalanında “özel anahtar” terimini kullanacağız ama birçok prosedür ve tavsiye aynı şekilde “tohumlar” için de geçerli olacak.

Konuya geri dönersek, kriptoları kendi başınıza güvende tutabilmek için şunları yapmanız gerekir:

  1. Başkalarının özel anahtarlarınızı ele geçirmesini engellemek; hacker’ları engellemek, bilgisayarınızı virüslerden korumak, internetinizi güvene almak, vb.

  2. Özel anahtarlarınızı kaybetmeyeceğinizden emin olmak: kayıp ya da arızalı cihazlara karşı yedekleme yapmış olmak ve bu yedeklemeleri güvende tutmak

  3. Ölmeniz durumunda özel anahtarlarınızın sevdiklerinize geçmesini sağlayacak bir yola sahip olmak. Bu düşünmesi keyifli bir senaryo olmasa da sorumluluk sahibi yetişkinler olarak bu riski de yönetmemiz gerekir.

Bunların her birini ayrıntılı şekilde inceleyelim.

1. Başkalarının anahtarlarınızı ele geçirmesini engellemek

Bu çok aşikar bir önlem. Hepimiz hacker’lar, virüsler, Truva atları vb. hakkında bir şeyler duyduk. Coinlerinizi sakladığınız aygıtta bunların hiçbirinin olmaması gerekli.

Bunu başarabildiğinizden nispeten emin olmanız için cihazınızın hiçbir zaman internete bağlanmaması ve bu cihaza hiçbir zaman dosya indirmemeniz gerekir. Peki o zaman böyle bir cihazı güvenle kripto almak ve göndermek için nasıl kullanabilirsiniz?

Kullanabileceğiniz farklı türde cihazlardan bahsedelim.

Bilgisayar yaygın bir seçenek ve çoğu zaman çok kullanışlı olabilir. Eğer coinlerinizi saklamak için bir bilgisayar kullanmayı tercih ederseniz o zaman bu bilgisayarı hiçbir zaman internete ya da bir ağa bağlamamanız gerekir. Eğer bir ağa bağlarsanız, bir hacker’in İşletim Sistemindeki ya da kullandığınız yazılımdaki bir açık aracılığıyla cihazına girme riski olur. Yazılımlar hiçbir zaman tam olarak güvenli değildir.

Peki internete bağlı olmayan bir bilgisayara nasıl yazılım yükleyebilirsiniz? Bir CD ROM ya da USB bellek kullanabilirsiniz. Bunların temiz olduğundan emin olmanız gerekir. Tam kapsamlı bir güvenlik taraması için en az 3 farklı antivirüs yazılımı kullanın. Kurmak istediğiniz yazılımı (işletim sistemi ya da cüzdan) USB belleğe yükleyin, 72 saat bekleyin, indirdiğiniz yazılımın ya da indirme işlemini yaptığınız sitenin güvenliğine ilişkin yeni bir haber ya da sorun olup olmadığını kontrol etmek için haberleri takip edin. Bugüne kadar resmi sitelerin hacklendiği ve indirme paketlerinin bir Truva atıyla değiştirildiği birçok örnek yaşandı. Yazılımları yalnızca resmi web sitesinden indirmelisiniz. Ayrıca arka kapı ihtimalini azaltmak için yalnızca açık kaynak yazılımlar kullanmalısınız. Kendiniz kod yazmıyor olsanız bile açık kaynak yazılımlar kod yazan diğer kişiler tarafından incelenir ve bu yazılımlarda arka kapı olma ihtimali daha düşüktür. Bu da işletim sisteminiz için Linux’ün (Windows ya da MAC değil) tutarlı bir versiyonunu ve yalnızca açık kaynak cüzdan yazılımlarını kullanmanız gerektiği anlamına gelir.

Her şey yüklendiğinde işlemlerin çevrimdışı imzalanması için temiz bir USB bellek kullanırsınız. Bu işlem cüzdanlar arasında farklılık gösterir ve bu makalenin kapsamı dahilinde değil. Bitcoin haricinde birçok coinde çevrimdışı imzalama yapabilen cüzdanlar bulunmaz.

Cihazınızın fiziksel güvenliğini de garanti altına almanız gerekir. Eğer birisi cihazınızı çalarsa cihazın içeriğine de fiziksel olarak erişim sağlayabilir. Bu nedenle eğer bir kişi hard diskinize ulaşırsa bile içeriği okuyamaması için belleğin güçlü bir şekilde şifrelendiğinden emin olmanız gerekir. Farklı işletim sistemleri farklı şifreleme araçları sunar. Yine bir belleğin nasıl şifrelenebileceği bu makalenin kapsamının dışında ama internetten çok sayıda rehbere ulaşabilirsiniz.

Eğer yukarıdakileri başarıyla gerçekleştirebiliyorsanız muhtemelen makalenin geri kalanını okumanıza gerek yok. Eğer yukarıdaki işlemlerin sizi zorlayacağını düşünüyorsanız o zaman başka seçenekler de var. 

Mobil telefonunuzu kullanabilirsiniz. Bugünlerde, root edilmemiş/jailbreak yapılmamış bir telefon, mobil işletim sistemlerinin sandbox tasarımı nedeniyle genellikle bir bilgisayardan daha güvenli. Android’in çok fazla versiyonu var bu nedenle genelde iPhone kullanılmasını öneriyorum. Yine telefonunuzu yalnızca cüzdanınız için kullanmalı ve günlük kullanım için olan telefonunuzla karıştırmamalısınız. “Tüm içeriğini ve ayarlarını” silerek telefonu sıfırlamalısınız. Daha sonra yalnızca cüzdan yazılımını indirmeli ve başka hiçbir şey indirmemelisiniz. Transferler için cüzdanı kullandığınız zamanlar haricinde telefonu sürekli olarak uçak modunda tutmalısınız. Bunun dışında telefon için ayrı bir SIM kart kullanılmasını ve internete yalnızca 4G üzerinden bağlanılmasını tavsiye ediyorum. Telefonunuzu hiçbir zaman bir WiFi’ya bağlamayın. İnternete yalnızca işlemleri imzalamak ve yazılımları güncellemek için telefonunuzu kullanırken bağlanın. Eğer cüzdanınızda çok çok yüksek tutarlarda fon tutmuyorsanız bu önlemler yeterli olacaktır. Birkaç mobil cüzdan işlemlerin çevrimdışı imzalanmasına imkan tanır (QR kod taraması yoluyla), böylece cüzdan uygulamalarını yüklemeyi bitirdiğiniz andan itibaren özel anahtarlarınızı oluşturana kadar telefonunuzu tamamen çevrimdışı tutabilirsiniz. Bu şekilde, özel anahtarlarınız hiçbir zaman internete bağlı bir telefonda bulunmaz. Böylece cüzdan uygulamasının arka kapıya sahip olması veya geçmişte birden fazla cüzdan uygulamasında hatta resmi sürümlere bile görülen geliştiriciye veri göndermesi durumunda yaşanacak sorunlar engellenir. Fakat cüzdan uygulamalarınızı veya işletim sisteminizi güncelleyemezsiniz. Yazılım güncellemelerini yapmanın yolu başka bir telefon kullanmak, uygulamanın yeni sürümünü bu diğer telefona yüklemek, telefonu uçak moduna almak, yeni bir adres oluşturmak, yedekleme yapmak (ileride bahsedeceğiz) ve daha sonra fonları yeni telefona göndermektir. Bu pek de kullanıcı dostu değildir. Ayrıca, bu cüzdanlar sınırlı sayıda coini/blockchaini destekler.

Ayrıca telefonunuzun fiziksel güvenliğini de sağlamanız gerekir. En yeni iPhone disklerinin tamamen şifrelenmiş olduğu söylense de iPhone'a fiziksel erişimleri olması durumunda PIN kodunu kırarak telefonun kilidini açabileceğini iddia eden cihazlara dair raporları vardır.

Donanım cüzdanları

Bir donanım cüzdanı da kullanabilirsiniz. Bu cihazlar özel anahtarlarınızın cihazınızdan hiçbir zaman ayrılmayacağı şekilde tasarlanmıştır yani anahtarın bir kopyası bilgisayarınıza geçmez. İşlemlerin imzalanması cihaz üzerinden yapılır. Fakat hiçbir şey %100 kusursuz değildir. Donanım cüzdanları da dahili yazılımlarında, indirilen yazılımlarında vs. açıklar içerebilir. Piyasada birçok farklı donanım cüzdanı vardır. Daha fazla test edildikleri için genellikle eski ve daha tanınmış markaları seçmek tavsiye edilir. Başlıca 2 donanım cüzdanı markası için, bir hacker’ın cihaza fiziksel olarak erişmesi durumunda anahtarları kolayca ele geçirebileceğine yönelik birkaç farklı rapor mevcuttur. Bu nedenle donanım cüzdanlarınızı güvende tutmanız gerekir. Ayrıca neredeyse tüm donanım cüzdanlarının çalışabilmek için bilgisayar (ya da mobil telefon) üzerindeki bir yazılımla etkileşim kurması gerekir. Dolayısıyla burada da bilgisayarınızın temiz olduğuna ve bilgisayarda hacker/virüs bulunmadığına emin olmanız şarttır. Transfer sürecinde gönderim adresini son dakikada hacker’ın adresi olarak değiştirebilen virüsler vardır. Bu nedenle cihaz üzerindeki gönderim adresini dikkatle doğrulamalısınız. Ve yine bilgisayarınızı güvende tutmalısınız. Donanım cüzdanları hacker’ların özel anahtarlarınızı ele geçirmek için kullanabileceği bazı temel saldırı türlerini engeller ama yine de bu işlemler için çok temiz bir bilgisayar kullanmanızı ve bu bilgisayarı başka hiçbir işlem için kullanmamanızı, güvenlik duvarını maksimuma kadar açmanızı öneririm. Fakat coinlerinizi kendiniz saklamak istiyorsanız donanım cüzdanları genel anlamda iyi bir tercihtir. Donanım cüzdanlarına yönelik ince ve genellikle de en zayıf nokta ise yedeklemeleri nasıl saklayacağınızdır ve bir sonraki bölümde buna değineceğiz.

Cüzdanların ve cihazların başka birçok varyasyonu vardır. Burada hepsinden bahsetmem mümkün değil ama en standart kategoriler yukarıda bahsettiklerim. Başka birinin anahtarlarınıza ulaşma ihtimalini nasıl düşüreceğinizden (ortadan kaldırmak değil) bahsettiğimize göre coinlerinizi kendi kendinize nasıl saklamanız gerektiğini anlatma aşamasının üçte birini tamamlamış olduk.

2.Anahtarlarınızı Kaybetmenizi Engellemek

Coinlerinizi saklamak için kullandığınız cihazı kaybedebilirsiniz ya da cihaz zarar görebilir. Bu nedenle şunu yapmanız gerekir:

Yedeklemeler.

Birçok farklı yöntem vardır. Her bir yöntemin de kendine has artı ve eksi yönleri bulunur. En temelde başka kişilerin göremeyeceği (şifreli), farklı yerlerde bulunan, birden fazla yedeğe sahip olmanız gerekir.

Anahtarı bir kağıda yazabilirsiniz. Tohum cümle kullanan bazı cüzdanlar bunu önerir çünkü 12 ya da 24 ingilizce kelimeyi yazmak nispeten kolaydır. Özel anahtarlarda ise kolayca büyük harf-küçük harf hatası yapılabilir ya da el yazısını okumada zorlanılabilir (0 ve O farkı gibi) ve daha sonra neyin yanlış gittiğini anlamak çok zor hale gelebilir. Kağıt kullanmak bazı ciddi sorunlara da yol açabilir. Örneğin:

  • Yazdığınız kağıt diğer birçok kağıdın arasında kaybolabilir

  • Yangında ya da su baskınında zarar görebilir

  • Şifreli olmadığı için başkaları tarafından kolayca okunabilir

Bazı kişiler kağıt anahtarları saklamak için banka kasalarını kullanır. Yukarıda listelenen nedenlerden dolayı genel olarak bunu önermiyorum.

Kağıdın fotoğrafını çekip (ya da ekran görüntüsü alıp) bunu bulut depolamaya yükleyip anahtarın güvende olduğunu varsaymamalısınız. Bir hacker bilgisayarınızı ya da e-posta hesabınızı ele geçirirse anahtarı kolayca bulabilir. Buna ek olarak bulut sunucuları içeriğin kopyalarını farklı yerlerde tutabilir ve çalışanlar bu içerikleri görebilir.

Yedekleme cümlelerini saklamak için tasarlanmış metal fişler de vardır. Bunların neredeyse zarar göremez olduğu iddia edilir ve bu da yangında ya da su baskınında zarar görme sorununu ortadan kaldırır. Ama kaybolma ya da fiziksel erişimi olan birinin içeriği kolayca okuyabilme sorununu çözmez. Yine bazı kişiler bunları banka kasalarında diğer altın ve metalleriyle birlikte saklar. Sanırım bu metallerle ilgilenen kişilerin kolayca benimseyebileceği bir yaklaşım olabilir ama sınırlamaları ve riskleri iyi anlamak gerekir.

Benim önerdiğim yaklaşım ise birkaç USB bellek kullanılmasını içerir ama bunun için belirli bir seviyede teknik beceri gereklidir (tipik, uzmanlar için tasarlanmış yanılgısı). Şoka/suya/yangına/manyetik alanlara dayanıklı USB bellekler vardır. Özel anahtarlarınızın şifrelenmiş versiyonlarını bu tarz birkaç USB bellekte saklayabilir ve bellekleri de birkaç farklı yerde (arkadaşlar ya da akrabalar) tutabilirsiniz. Böylece bu bölümün başında bahsettiğimiz tüm gereklilikler (farklı yerlerde olma, kolayca hasar görmeme ve kaybolmama, başkaları tarafından kolayca okunmama) yerine getirilmiş olur. Buradaki önemli nokta şifrelemedir. Bunun için piyasada birçok farklı araç vardır ve araçlar zaman içinde gelişmektedir.

VeraCrypt, yeterli miktarda şifreleme sunan başlangıç seviyesi bir araçtır. VeraCrypt’ten önce gelen TrueCrypt bir süre popüler olmuş fakat daha sonra akran değerlendirmelerinin bazı güvenlik açıklarını ortaya çıkarması ile ürün geliştirme sonlandırılmıştır. Bu nedenle kendi araştırmanızı yapmanız, en iyi ve güncel şifreleme araçlarını kendiniz bulmanız önerilir. Ayrıca şifrelenmiş bile olsa yedeklemenizi hiç kimseyle paylaşmamanız önemlidir. Bunun haricinde özel anahtarlarınızı belirli aralıklarla değiştirmeniz (yeni anahtarlar yaratmak ve fonları eski anahtardan yeni anahtara transfer etmek) önerilir.

Artık coinlerinizi kendiniz saklayabilmeniz için gerekenlerin üçte ikisini açıkladık.

3. Sevdiklerinizi Korumak

Sonsuza dek yaşamıyoruz. Bu nedenle fonların geçeceği kişi/varis planına ihtiyacınız var. Aslında kripto, birikimlerinizi varislerinize daha az üçüncü parti müdahalesi sayesinde daha kolay geçirmenize imkan tanır.

Yine bunu yapmanın birkaç farklı yolu vardır.

Kağıt cüzdan ve metal fiş gibi düşük güvenlikli bir yaklaşımı tercih ediyorsanız, bunları varislerinizle paylaşmanız yeterli olur. Ama tabi ki bunun da bazı potansiyel riskleri vardır. Varisleriniz gençse ya da teknik bilgiye sahip değilse yedeklemelerin kopyalarını güvende tutmak için uygun araçlara sahip olmayabilir. Güvenlik konusunda başarısız olurlarsa bir hacker fonlarınızı bu kişiler aracılığıyla sizden kolayca çalabilir. Ayrıca varisleriniz de istedikleri an paranızı sizden alabilir. Aranızdaki güven ilişkisine bağlı olarak bunu isteyebilir ya da istemeyebilirsiniz.

İlişkinin boyutundan bağımsız olarak anahtarların başka kişilerle paylaşılmamasını şiddetle öneririm çünkü fonlar taşınır/çalınırsa, bunu kimin yaptığını ya da güvenlik sızıntısının kimden kaynaklandığını belirlemek imkansız hale gelir. Ve bu durumda işler çok karmaşık bir hal alır. 

Kağıt cüzdanınızı ya da metal fişinizi banka kasanıza ya da avukatınıza bırakabilirsiniz. Ama yukarıda bahsettiğimiz gibi dahil olan kişilerden biri anahtarlarınızın bir kopyasına ulaşırsa arkada çok iz bırakmadan fonlarınızı hareket ettirebilir. Bu durum avukatların hesap bakiyenizi varislerinize geçirmek için banka kanalından ilerlemesinden farklıdır. 

Yukarıda bahsettiğimiz USB bellek yaklaşımını kullanırsanız birikimlerinizi daha güvenli bir şekilde aktarabilmek için birkaç yolunuz olabilir. Ama yine bu da belirli bir hazırlık gerektirir.

Ölü adam sistemi (deadman’s swtich) adlı online sistemler vardır. Size belirli aralıklarla ping/e-posta gönderirler (mesela ayda bir). Yanıt vermek için bir bağlantıya tıklamanız ya da giriş yapmanız gerekir. Belirli bir süre boyunca yanıt vermezseniz, “ölü adam” olduğunuzu varsayar, içeriği ve alıcıları daha önceden belirlenmiş istediğiniz sayıda e-postayı gönderir. Bu sistemlerin hiçbirini tavsiye edemem ya da bunlara kefil olamam, bunları google’da aramanız ve kendiniz test etmeniz gerekir. Aslında Google’ın kendisi bir ölü adam sistemidir. Google ayarlarının derinliklerinde hesabınıza 3 ay boyunca erişmemeniz durumunda başka birisinin hesabınıza girmesine izin veren bir seçenek bulunur. Şahsen bunu denemedim ve kefil olamam. Kendi testinizi yapmanız gerekli.

“Tamam harika, özel anahtarlarımı e-postaya koyar çocuklarıma gönderilmesini sağlarım” diye düşünüyorsanız lütfen makaleyi başından itibaren tekrar okuyun.

Bu e-postalara USB bellekleri şifrelemek için kullandığım parolaları koyarım böylece eşim ya da çocuklarım kilidi açabilir diye düşünüyor olabilirsiniz. Yaklaştınız ama tam doğru değil. Çünkü yedeklemenizin parolasını internet üzerindeki bir sunucuda bırakmamalısınız. Aksi takdirde yedeklemelerinizin/fonlarınızın güvenliği büyük ölçüde zayıflatırsınız.

USB bellekler için parolaların bulunduğu e-postaları yakınlarımla paylaştığım başka bir parola ile kilitlerim/şifrelerim diye düşünüyorsanız o zaman doğru yoldasınız. Aslında ikinci bir parolaya ihtiyacınız yok. PGP (ya da GPG) adlı uzun zamandır kullanılan ve test edilmiş bir e-posta şifreleme aracını kullanabilirsiniz. PGP aslında asimetrik şifreleme yapan (bitcoinde kullanılanın aynısı) ilk araçlardan biridir. Burada yine tam kapsamlı bir PGP kullanma rehberi sunmayacağım, internetten birçok rehbere ulaşabilirsiniz. Özetle eşinizin ve/veya çocuğunuzun kendi PGP özel anahtarlarını oluşturması ve sizin de onların açık anahtarını kullanarak ölü adam mesajınızı şifrelemeniz gereklidir, böylece içeriği yalnızca onlar okuyabilir ve başka kimse bu içeriğe ulaşamaz. Bu yöntem nispeten daha güvenlidir ama yakınlarınızın PGP özel anahtarlarını güvende tutabileceğine ve kaybetmeyeceğine büyük ölçüde emin olmanızı gerektirir. Ve tabi ki PGP e-postayı nasıl kullanacaklarını bilmeleri gerekir, ki bu da kendi başına bir derece teknik/zorlayıcı olabilir.

Bu noktaya kadar verilen önerileri takip edebildiyseniz, yüksek tutarlı coinlerinizi kendi başınıza saklamak için gerekli temel (ileri seviye değil) bilgilere sahipsiniz demektir. Şu ana kadar bahsettiğimiz sorunların bazılarına yönelik de olan çoklu imza, eşik değerli imza ve benzeri birçok farklı konudan bahsedebiliriz ama bunlar muhtemelen daha ileri seviye bir rehbere uygun olur. Bir sonraki bölümde borsaları inceleyeceğiz. 

Borsa Kullanmak

Bu makalede borsa dediğimizde, fonlarınızı emanet ettiğiniz merkezi borsalardan bahsediyoruz.

Bir önceki bölümü okuduktan sonra “of, yapılması gereken çok fazla şey var. En iyisi ben coinlerimi borsa üzerinde tutayım” demiş olabilirsiniz. Ama borsa kullanmak da risksiz değildir. Borsalar fonları ve sistemleri güvende tutmakla sorumlu olsa da hesabınızı güvene almak için yine de gerekli uygulamaları takip etmeniz gerekir.

Yalnızca büyük tanınmış borsaları kullanın

Evet, benim için bunu söylemek kolay, çünkü Binance dünyanın en büyük borsalarından biri. Ama bunu söylememin önemli nedenleri var. Tüm borsalar aynı değil.

Büyük borsalar güvenlik altyapısına büyük yatırımlar yapar. Binance güvenliğe yüz milyonlarca dolar yatırıyor. İşletmemizin büyüklüğü göz önüne alınca bunu yapmamız mantıklı. Güvenlik, ekipmandan, ağlara, prosedürlere, çalışanlara, risk takibine, büyük veriye, yapay zekaya, eğitime, araştırmaya, test etmeye, 3. parti ortaklara ve hatta dünyanın farklı yerlerinde emniyet birimleriyle ilişkilere kadar birçok farklı alana dokunur. Güvenliği uygun şekilde sağlamak önemli ölçüde para, insan ve çaba gerektirir. Daha küçük borsalar bunu yapacak ölçeklere ve finansal araçlara sahip değildir. Bunu söylediğim için eleştirilecek olabilirim ama sıradan insanlar için güvenilir merkezi bir borsa kullanmanın coinleri kendi başına saklamaktan daha güvenli olduğunu sıklıkla söylememin sebebi de bu. 

Karşı taraf riski konusu var. Birçok küçük/yeni borsa en başından “exit scam” (paraları alarak kaçma dolandırıcılığı) niyetiyle kuruluyor. Yatırdığınız paraları topluyor ve fonlarınızla kaçıyorlar. Bu nedenle, “kar getirmeyen” borsalardan ya da işlem ücreti almayan, büyük geri ödemeler yapan ve/veya diğer negatif kar girişimlerinde bulunan borsalardan uzak durun. Eğer hedefleri işten kazanacakları kar değilse, tek hedef sizin fonlarınız olabilir. Sağlam güvenlik pahalıdır ve sürdürülebilir bir işletme modelinden gelecek fonları gerektirir. Konu fonlarınız olduğunda güvenliği pas geçmeyin. Halihazırda karlı ve sürdürülebilir milyar dolarlık bir şirketiniz varsa, birkaç milyon doları çalmak, saklanarak ve korku içinde yaşamak için sizi teşvik edebilecek ne olabilir ki?

Büyük borsalar aynı zamanda güvenlik bakımından daha fazla test edilmiştir. Evet bu da bir risktir. Hacker’lar büyük borsaları daha çok hedef alır. Ama hacker’lar küçük borsaları da bir o kadar hedef alır ve bunların bir kısmı çok daha kolay hedeflerdir. Büyük borsalar genellikle sızma ve güvenlik testlerini yaptırmak için dışarıdan 5-10 güvenlik şirketini dönüşümlü olarak kullanır.

Binance güvenlik konusunda birçok diğer borsadan bir adım daha ilerde. Hacker’larla ve dolandırıcılarla savaşmak için büyük veri ve yapay zekaya büyük yatırımlar yapıyoruz. Birçok kullanıcımızın SIM kartları değiştirildiğinde bile fonlarını kaybetmelerini engelledik. Birden fazla borsa kullanan bazı kullanıcılar e-posta hesapları hacklendiğinde diğer borsalardaki fonlarının çalındığını ama yapay zekanın hacker’ların fon çekme işlemlerini engellemesi sayesinde Binance’teki fonlarının korunduğunu bize bildirdi. Küçük borsalar isteseler bile bunu yapamaz çünkü ellerinde büyük veri bulunmaz.

Hesabınızı Güvende Tutmak

Borsaları kullanırken, hesabınızı güvende tutmanız tabi ki çok önemlidir. En temel öğelerle başlayalım.

1. Bilgisayarınızı güvenli hale getirin.

Yine bilgisayarınız güvenlik zincirinin en zayıf noktasıdır. Mümkünse borsa hesabınıza ulaşmak için buna özel bir bilgisayar kullanın. Ticari bir antivirüs yazılımı yükleyin (evet, lütfen güvenliğe yatırım yapın) ve diğer gereksiz yazılımları minimumda tutun. Güvenlik duvarını maksimuma kadar açın.

Oyun oynama, internette dolaşma, indirme ve benzeri işleri başka bir bilgisayarda yapın. Bu bilgisayarda bile antivirüs kullanmaya ve güvenlik duvarını maksimumda tutmaya devam edin. Bu bilgisayardaki bir virüs, hacker’in aynı ağa bağlı diğer bilgisayarlara bağlanmasını çok daha kolay hale getirecektir. Bu nedenle bilgisayarınızı temiz tutun.

Dosya indirmekten kaçının

Bilgisayarınız üzerinde kendi cüzdanınızı tutmuyor olsanız bile, telefonunuza ya da bilgisayarınıza hiçbir dosya yüklememenizi şiddetle öneririm. Eğer birisi size bir dosya gönderirse, onlardan bir Google dokümanlar bağlantısı göndermelerini isteyin. Size bir PDF gönderirlerse, bunu bilgisayarınızda değil tarayıcının Google sürücüsünde açın. Size komik bir video gönderirlerse, çevrimiçi platform için bir bağlantı göndermelerini isteyin. Evet bunun çok meşakkatli olduğunu biliyorum ama güvenlik bedava değil ve aynı şekilde fonlarınızı kaybetmeniz de oldukça masraflı olur. Her şeyi bulut üzerinden görüntüleyin. Bilgisayarın dahili belleğine hiçbir şey yüklemeyin.

Ve mesajlaşma uygulamalarınızın “fotoğrafları ve videoları otomatik olarak kaydet” ayarını kapatın. Birçok uygulama varsayılan ayarlar nedeniyle gif’leri ve videoları indiriyor, bu hiç iyi bir güvenlik uygulaması değil. 

Yazılım Güncellemelerinizi Yapın

Sistem güncellemelerinin sinir bozucu olduğunu biliyorum ama bunlar genellikle kısa süre önce keşfedilmiş güvenlik açıklarını kapatır. Hacker’lar da bu güncellemeleri takip eder ve güncellemeleri yapmaya üşenen kullanıcıların bilgisayarlarına girmek için tam olarak bu güvenlik açıklarını kullanır. Cüzdan yazılımları ve borsa uygulamaları da genellikle bu güvenlik yöntemi kullanılır. Bu nedenle her zaman en yeni versiyonu kullandığınızdan emin olun. 

2. E-posta hesabınızı güvenli hale getirin

Bir Gmail ya da Protonmail hesabı kullanmanızı öneririm. Bu iki e-posta sunucusu güvenlik konusunda diğerlerine kıyasla daha güçlü olma eğilimindedir. Diğer e-posta platformlarında şimdiye kadar yaşanan güvenlik ihlallerinin sayısı daha yüksektir.

Kullandığınız her bir borsa için ayrı bir e-posta hesabı açmanızı ve bu hesabı tahmin edilmesi zor olacak şekilde belirlemenizi şiddetle öneririm. Bu sayede başka bir borsada güvenlik ihlali yaşanırsa, Binance üzerindeki hesabınız etkilenmez. Böylece aldığınız oltalama ya da hedefli e-posta dolandırıcılıklarının sayısı azalır.

E-posta hizmetinizin 2FA’ini etkinleştirin. E-posta hesaplarınız için Yubikey kullanmanızı öneririm. Oltalama siteleri dahil birçok farklı türde saldırıyı engellemek için Yubikey kullanmak oldukça güçlü bir yoldur. 2FA’den daha sonra bahsedeceğim.

SIM takası vakalarının görüldüğü bir ülkede yaşıyorsanız, telefon numaranızı e-posta hesabınız için bir kurtarma yöntemi olarak ilişkilendirmeyin. Birçok SIM takası kurbanının e-posta hesaplarının şifrelerinin sıfırlandığına ve sonuç olarak saldırıya uğradıklarına şahit olduk. Genel olarak, artık telefon numaralarını e-posta hesaplarına bağlamanızı önermiyorum. Bunları birbirinden ayrı tutun.

3. Şifrelerinizi güvene alın

Her site için güçlü ve benzersiz bir şifre kullanın. Şifreleri hatırlamaya çalışmayın. Bir şifre yöneticisi aracı kullanın. Çoğu kişi için LastPass veya 1Password muhtemelen işe yarayacaktır. Her ikisi de tarayıcılara, cep telefonlarına vb. iyi şekilde entegre edilmiştir. Her ikisi de şifreleri yalnızca yerel olarak depoladığını iddia eder, ama cihazlar arasında yalnızca şifrelenmiş parolaları kullanarak senkronizasyon yapın. Daha ciddi iseniz, KeePass veya işletim sisteminize uyan versiyonlarından birini kullanın. KeePass bilgiyi yalnızca yerel olarak depolar. Cihazlar arasında senkronize edilmez ve daha az mobil desteğe sahiptir. Açık kaynak kodludur, bu nedenle arka kapılar vb. için endişelenmenize gerek kalmaz. Kendi araştırmanızı yapın ve kendinize uygun bir araç seçin. Ancak, her yerde basit veya daha kötüsü aynı şifreyi kullanarak “zaman kazanmaya” çalışmayın. Güçlü bir şifre kullandığınızdan emin olun, aksi takdirde tasarruf ettiğiniz süre size çok pahalıya mal olabilir.

Bu araçlara sahipseniz ama bilgisayarınızda virüs varsa yine de saldırıya uğrayabilirsiniz. Bu yüzden iyi bir antivirüs programına sahip olduğunuzdan emin olun.

4. 2FA’i Etkinleştirin.

Binance’e üye olduktan hemen sonra hesabınızda 2FA (2 aşamalı doğrulama) özelliğini etkinleştirmeniz ya da henüz bu işlemi tamamlamadıysanız hemen şimdi tamamlamanız önemle tavsiye edilir. 2FA kodu genellikle cep telefonunuzda bulunduğundan, güvenliği ihlal edilmiş bir e-postaya ve şifreye karşı sizi bir ölçüde koruyabilir.

Ama 2FA sizi her şeye karşı koruyamaz. Bilgisayarınızda e-postanızı ve şifrenizi çalan bir virüs olabilir ve siz giriş yaparken tuş vuruşlarınızı izleyerek 2FA kodunuzu çalabilir. Bir kimlik avı sitesi ile etkileşim kuruyor olabilir ve sahte siteye e-posta adresinizi, şifrenizi ve 2FA kodunuzu girmenize neden olabilir. Böylece hacker bu bilgileri Binance'teki gerçek hesabınıza giriş yapmak için kullanabilir. Tümünü burada listeleyemeyeceğimiz birçok potansiyel durum mevcuttur. Bilgisayarınızı temiz tutmanız ve kimlik avı sitelerine dikkat etmeniz gereklidir (ileride daha ayrıntılı bahsedeceğiz).

5. U2F Kurun

U2F, benzersiz, zaman limitli bir kod üreten bir donanım cihazıdır ve kod burada da alana özeldir. Yubikey bu amaca yönelik en genelgeçer araçtır. (Birçok donanım cüzdanı U2F gibi hareket etse de bu cihazlar biraz daha az kullanıcı dostudur, uygulama yüklemeyi gerektirir ve cihazı kullanmak için çok daha fazla tıklama yapmak zorunda kalırsınız).

U2F üç önemli avantaj sunar. Birincisi donanım temellidir bu nedenle cihazda tutulan bilginin çalınması neredeyse imkansızdır. İkincisi, alana özeldir. Bu da farkında olmadan bir oltalama sitesiyle etkileşim halindeyseniz bile sizi korur. Ve son olarak kullanımları çok kolaydır.

Yukarıdaki nedenlerden dolayı, Binance hesabınıza bir Yubikey bağlamanızı şiddetle öneririm. Yubikey, hacker’ların fonlarınızı çalması ihtimaline karşı en iyi korumalardan birini sunar.

You should also bind your Yubikey to your Gmail, LastPass and any other supported accounts, to keep them safe as well.

Yubikey’inizi Gmail, LastPass ve desteklenen diğer tüm hesaplara bağlayarak bunları da güvende tutmanız gerekir.

6. SMS doğrulama kullanmayı bırakın.

Bir zamanlar SMS doğrulama öneriliyordu ama bu zamanlar artık eskide kaldı. SIM değiştirmelerdeki artış göz önüne alındığında SMS doğrulamayı bırakmanızı ve daha çok 2FA’i ve yukarıda anlattığımız gibi U2F’i kullanmanızı öneririz.

7. Bir çekim adresi beyaz listesi oluşturun.

Çekim işlemleri için Binance’teki beyaz liste özelliğini kullanmanızı öneririz. Böylece onaylanmış adreslere hızlı çekim yapabilir ve hacker’ların çekim yapmak için yeni bir adres eklemesini oldukça zor hale getirebilirsiniz.

8. API Güvenliği

Birçok kullanıcımız alım satım ve çekim işlemleri için API kullanıyor. Binance birkaç farklı türde API versiyonu sunuyor, son versiyon ise asimetrik şifrelemeyi destekliyor yani yalnızca açık anahtarınıza ihtiyacımız oluyor. Bu sayede, özel anahtarlarınızı kendiniz yaratıyor ve bize yalnızca açık anahtarınızı veriyorsunuz. Emirlerin size ait olduğunu doğrulamak için açık anahtarınızı kullanıyoruz ve özel anahtarınız hiçbir zaman bize geçmiyor. Özel anahtarlarınızı güvende tutmalısınız.

Coinlerinizi kendiniz tuttuğunuzda yaptığınız yedeklemeyle aynı şekilde API anahtarınızı yedeklemenize gerek yok. Bu durumda API anahtarınızı kaybederseniz her zaman için yeni bir anahtar yaratabilirsiniz. Yalnızca API anahtarınızın bir kopyasının başkasının eline geçmediğinden emin olmanız gerekir.

9. İkinci seviye KYC’nizi tamamlayın. 

Hesabınızı güvende tutmanın en iyi yollarından biri de ikinci seviye KYC’yi tamamlamak. Bu sayede nasıl göründüğünüzü bilebiliriz. Büyük veri motoru hesabınızda anormallikler saptadığında ileri seviye otomatik video doğrulamamızı kullanabiliriz.

Bu aynı zamanda “erişiminizin olmaması” durumu için de önemli. Binance uygun doğrulama işlemlerinin ardından, hayatını kaybetmiş kullanıcıların aile üyelerine hesap erişimi sağlar.

10.Telefon ve cihazlarınızı fiziksel olarak güvenceye alın.

Yine, telefonunuzu güvende tutmalısınız. Muhtemelen telefonunuzda e-posta uygulaması, Binance uygulaması ve 2FA kodlarınız vardır. Telefonunuza root ya jailbreak yapmayın. Bu işlemler güvenliği önemli ölçüde azaltır. Telefonunuzu fiziksel olarak da güvende tutmalı ve ekran kilidi kullanmalısınız. Aynı şey diğer cihazlarınız için de geçerlidir. Cihazların yanlış kişilerin eline geçmesini engelleyin.

11. Oltalama girişimlerine karşı dikkatli olun

Oltalama girişimleri konusunda dikkatli olun. Bunlar genellikle Binance’e benzeyen sahte bir siteye bağlantı içeren e-postalar, mesajlar ya da sosyal medya paylaşımları olarak gelir. Sizi kimlik bilgilerinizi girmeye yönlendirir ve hacker’lar bu bilgileri kullanarak gerçek Binance hesabınıza girer.

Oltalamayı engellemek yalnızca dikkatli olmayı gerektirir. E-postalardaki ya da sosyal medya sitelerindeki bağlantılara tıklamayın. Binance’e yalnızca URL’yi yazarak ya da yer işaretlerini kullanarak girin. E-posta adresinizi diğer partilerle paylaşmayın. Aynı e-posta adresini diğer sitelerde kullanmayın. Yabancılar (özellikle de CZ ya da benzeri isimlere sahip olanlar) sizinle aniden Telegram, Instagram vb. yerlerde konuşmaya başlarsa dikkatli olun.

Genel olarak yukarıdaki önerileri takip ederseniz Binance hesabınız nispeten güvende olacaktır.

Peki hangisi daha iyi?

Ben kişilerin genellikle hem merkezi borsaları hem de kişisel cüzdanlarını kullanmalarını öneriyorum. Teknolojik beceriniz çok güçlü değilse daha büyük bir kısmın Binance’te ve kendinize ait bir harcama cüzdanında (TrustWallet) kalmasını öneririm. Teknik bilginiz kuvvetliyse oranları buna göre ayarlayabilirsiniz.

Merkezi borsalar arada bir bakıma girer ve bu sırada bir işlem yapmanız gerekirse ayrı bir cüzdana sahip olmanız kullanışlı olabilir.

Diğer Birkaç Konu

Etrafta pek çok dolandırıcılık var.

İnsanlar @cz_binance_ gibi popüler hesaplara benzeyen sahte sosyal medya hesapları oluşturarak sizi onlara para göndermeye ikna etmeye çalışabilir. Sadece bir kuralı hatırlayın, işlemi ilk olarak siz yapmak istemediyseniz kimseye para göndermeyin. Gönderdiğiniz kişinin doğru kişi olduğundan emin olmak için her zaman 2 farklı kanal kullanın.

CZ aniden size yaklaşıyorsa ve bir şekilde, çok ikna edici bir hikaye aracılığıyla ona coin göndermenizi istiyorsa lütfen bu hesabı derhal bildirin.

Arkadaşınız aniden size bir kısa mesaj göndererek acil bir durum için kripto göndermenizi rica ederse doğrulamak için onu arayın ya da doğrulama için kısa bir video göndermesini isteyin. Sohbet hesaplarının biraz önce saldırıya uğradığını veya birisinin arkadaşınızın telefonunu çaldığını varsayın.

YouTube Dolandırıcılıkları 

YouTube’daki dolandırıcılar üzerinde oynama yapılmış videolarla CZ’nin airdrop’lar vb. şeyler sunduğu videolar paylaşabilir. Yine böyle bir videoyu gördüğünüz zaman bize bildirin.

Sosyal Dolandırıcılıklar

Önce bir adrese para göndermeniz gereken ve ardından daha fazlasını geri alacağınız hediye dağıtımlarına kanmayın. Bu hediyeler asla size gönderilmeyecek.

Tek bir basit kuralı hatırlayın: kripto gönderirken dikkatli olun.

E-postalardaki bağlantılara hiçbir zaman tıklamayın

Bir e-postadaki bağlantıya tıklayıp bu siteye kullanıcı adınızı ve şifrenizi HİÇBİR ZAMAN girmeyin. Bu her zaman bir tuzak olacaktır. Benzer şekilde bir sosyal medya sitesinde paylaşılan bağlantıyı takip etmeyin ve bu sitelere giriş yapmayın.

Bunların doğrudan oltalama sitelerine bağlantılar olduğunu varsayın. Bu bağlantıları kullanmayın.

Favori kripto borsanız için URL’yi manuel olarak girin. Binance.com’un doğru yazılışını öğrenin ya da yer işaretlerini kullanın.

Son olarak

Bu makalenin sonuna ulaştınız, sizi bunun için tebrik ediyorum. Umarım bu makale fonlarınızı daha iyi koruyabilmeniz için güvenliği daha iyi anlama konusunda size yardımcı olur. Burada paylaşılan önerileri takip ederseniz fonlarınızı kendi başınıza ya da Binance üzerinde güvenle tutabilirsiniz.

CZ