Her gün yeni bir güvenlik önlemi adı altında çıkan yazılımlar sanıldığı kadar gerçekten de güvenlik önlemi sağlıyor mu? Yoksa kullanıcılar güvenlik bahanesi ile yeni cihazlar almaya mı teşvik ediliyor?

Bir güvenlik yazılımının öncelikli görevi tehlikeyi tespit etmek ve onu engellemektir. Eğer siteye gelen ziyaretçi gerçekten tehdit ise ona göre önlem almaktır. Son zamanlarda oldukça yaygınlaşan ve sitelerin tercihi haline gelen Cloudflare ise biraz amacı dışında hizmet vermektedir.

Siz güvenlik amaçlı bir yazılım kullanmayı tercih ederek aslında 3.parti bir yazılıma kapılarınızı sonuna kadar açmış oluyorsunuz. Çünkü bu tarz bir yazılımı kullanarak sitenizin birçok verisine erişim izni verdiğinizi de onaylamış oluyorsunuz. Sözleşmelerinde açıkça belirttiği üzere site sahibinin günlük ne kadar ziyaretçi çektiği, ziyaretçilerin ne kadar süre sitede kaldığı gibi verileri toplayıp işlemesine izin verip, sitenize erişebilecek olan ziyaretçileri de bu yazılımın belirlemesine izin veriyorsunuz.

Bu tarz 3.parti bir yazılıma aslında şunu demiş oluyorsunuz: “Siteme giren ziyaretçiye ait IP adresi, cihaz bilgisi, kullandığı dil, saat, kulllandığı işletim sistemi, kullandığı tarayıcı ve tarayıcı versiyonu gibi tüm bilgileri seninle paylaşıyorum, şayet kullanıcı bir tehdit ise bunu engelle, buna göre bir önlem al.”

Fakat yazılım ne yapıyor? Aslında yazılımın önceliği kendi kuralları. Sitenize giren ziyaretçinin tehdit olup olmadığına bakmaksızın, şayet kriterlerine uymayan bir ziyaretçi ise onun sitenize girişini engelliyor.

Bu yazılımı şöyle düşünebilirsiniz; fiziki bir mağazanız var ve mağazanızın önünde hırsızları tespit edip engellemesi için bir güvenlik görevlisini işe aldınız. Fakat görevli kendi kriterlerine uymayan, potansiyel müşteriniz olabilecek kişilerden hiçbirini de mağazaya almamaya karar veriyor.

Paki bu tarz 3.parti yazılımın uyguladığı kriterler neler?
Sitenize giren ziyaretçiye ait cihaz, kulllandığı işletim sistemi, kullandığı tarayıcı ve tarayıcı versiyonu son çıkan sürümlerden herhangi biri değilse kullanıcıyı bir tehdit olarak algılayıp sitenize girişini engelliyor. Örneğin tamamen sıradan bir kullanıcı eski bir işletim sistemi veya eski sürüm bir tarayıcı kullanıyorsa bu kullanıcının sitenize girişine izin verilmiyor. Faşistçe bir yaklaşım sergileyen bu tarz 3.parti bir yazılımı kullanmadan önce internet sayfanız bu ziyaretçiye açılırken, bu yazılımı kullanmaya başladıktan sonra ziyaretçinizin sitenize girişi yasaklanıyor ve aşağıdaki ekran ile karşılaşıyor.

Bir başka örnek düşünelim. Şayet bir internet kullanıcısı bu tarz 3.parti yazılıma ait IP adreslerini kendi cihazında açılmasını yasaklamışsa ve ardından sitenize girmeye çalışıyorsa, sitenizdeki 3.parti yazılım ziyaretçiden önce bu yasağı kaldırmasını istiyor. Şayet ziyaretçi bu engeli kaldırmazsa, kullanıcının sitenize girişine yine izin vermiyor. Bir başka deyişle tehdit içermeyen potansiyel ziyaretçinizin sitenize girişi 3.parti yazılım tarafından engelleniyor.

Fiziki mağaza örneğimize geri dönerek açıklayalım; müşteri mağazanıza girmek istiyor, ama kapıdaki güvenlik görevlisi içeri almıyor. Müşteri mağazanıza girebilmek için başka bir kapı ararken, güvenlik görevlisi “mağazaya girebilmen için önce beni geçmen lazım” diyor.

Tüm bunlar dışında 3.parti yazılımlar sitenize erişen her doğal kullanıcı için bulmacaları çözmeye zorlanıyor. Şayet kullanıcı bunları çözmezse veya çözemezse yine sitenize bağlanması engelleniyor.

“Önce bu testi çözün yoksa mağazaya sizi almam!” diyen bir güvenlik görevlisi düşünün.

Sonuç olarak bu tarz yazılımlar aslında tehdidi engellemek, güvenliği sağlamak yerine normal kullanıcıların kullandıkları sistem özelliklerine bakarak internet sayfası girişine ya izin veriyor ya da vermiyor. Bu hem ziyaretçi kaybına hem de markanızın zarar görmesine sebep olmaktadır. Özellikle e-ticaret siteleri için potansiyel müşteri kaybı demektir. Bir kullanıcının kullandığı sistem günümüzde hiç kullanılmayan %1 oranında kullanıcıya sahip bir sistem bile olsa, bu müşteriyi kaçırmayı göze almamalısınız. Eski yazılım kullanan bir kullanıcı tehdit değildir, bilakis son sürüm çıkan cihazlar ve yazılımlar kullanıcılar için daha çok tehdit barındırmaktadır.

Normalde güvenlik yazılımlarının görevi tehditi tespit edip engellemek iken bu tarz yazılımların görevi ziyaretçinin tehdit olup olmadığına bakmaksızın eski sürüm kullanan her kullanıcıyı engellemesidir.

Peki Çözüm Nedir?
Yapay zekanın bu kadar yaygınlaştığı bir dönemde her internet site sahibi kendine özel güvenlik yazılımını rahatlıkla yazabilecekken firmalar bu tarz 3.parti yazılımları tercih ederek sitelerinde ziyaretçi kaybı yaşıyor.

Her site kendine özgü güvenlik yazılımını yazarak 3.parti yazılım bağımlılığından kurtulmalıdır. Güvenlik açığı arayanlar bilindik yazılımların açıklarını ararlar. Bilinmeyen yazılımlarla ilgilenmezler. Doğal olarak özel yazılım sizin için daha güvenli olacaktır. Kaldı ki sürekli kendi yazılımınızı geliştirerek daha üst düzey güvenlik önlemi almış olursunuz.

Siber Güvenlik Uzmanı İrfan Bilgin