Karşılaştırma: Mitilena, MetaMask kripto cüzdanından neden daha iyi?
Aslında çok basit. Kripto para cüzdanının kendisini içeren MetaMask tarayıcı uzantısını etkinleştirdiğinizde ilginç bir şey olur.
Ziyaret edeceğiniz her web sayfası bilgisayarınızda bu kripto para cüzdanının kurulu olduğunu bilir. Nasıl mı? Aşağıdaki kısa kodlar sayesinde:
window.addEventListener('load', function() {
// Check if Web3 has been injected by the browser (Mist/MetaMask).
if (typeof web3 !== 'undefined') {
// Use Mist/MetaMask's provider.
web3js = new Web3(web3.currentProvider);
} else {
// Handle the case where the user doesn't have web3. Probably
// show them a message telling them to install Metamask in
// order to use the app.
}
});
“Peki. O halde hangi sayfayı ziyaret edersem edeyim, bu cüzdanın bilgisayarımda kurulu olduğu kesinlikle fark ediliyor mu?”
Evet.
“Bu ne demek oluyor?”
Ne mi demek oluyor? Ziyaret ettiğiniz her web sitesine “Baksana kripto para cüzdanıma, göstereyim mi sana cüzdanımı, cüzdanım kapalı ama bak ne kadar da güzel” demiş oluyorsunuz. Elbette BBC.com web sitesindeyseniz sizi tehdit eden bir şey olmaz. Ama farklı farklı sayfaları ziyaret ediyorsanız hepsine de tamamen güvenmek yanlıştır.
Daha iyi anlaşılması için bu durumu şuna benzetebiliriz: Suç oranının yüksek olduğu bir mahallede bir bara giriyorsunuz, cüzdanınızı çıkarıp bar tezgahına koyuyorsunuz, içindeki banknotları da ucundan herkes görüyor. Doğru, sahip olduğunuz her şey o cüzdanın içinde. Doğru, bir şey olsa sizi koruyacak kanunlar var. Ancak tezgaha cüzdanınızı koyduğunuz anda sabıkası kabarık birilerinin sizi fark etmesi ve bardan çıktığınızda da cüzdanınızı aşırma fikrinin akıllarına düşmesi riskiyle karşı karşıya kalırsınız.
Kısacası cüzdanınızı ulu orta göstermek illa ki hırsızlığa veya soyguna uğrayacağınız anlamına gelmez. Ama bunun üzerine şöyle fikir yürütelim. Öncelikle cüzdanınızı göstererek ilk riski almış oldunuz.
Aldığınız ikinci risk ise suç oranı yüksek mekanları ya da bizim durumumuzda web sitelerin ziyaret etmek. İki tane risk almış oldunuz bile. Bu riskler katlanarak artar.
Artık işiniz şansa kalmış durumda. Cüzdanınızın kaderini, dolaylı olarak da olsa üçüncü ellere, yani şansa bıraktınız. Acaba başkasının parasına büyük bir açlıkla gözünü dikmiş, sabıka kaydı kabarık biri var mıydı oturduğunuz barda? Belki vardı, belki de yoktu. Ama artık durum sizin kontrolünüzden çıktı. Geleceğiniz artık kaderin ellerinde.
Web sitelerine geri dönersek… Ziyaret ettiğiniz web siteleri karar verirlerse cüzdanınıza saldırı gerçekleştirmek gibi bir teknik yeteneğe sahip olacak, belki de olmayacak. Ama siz cüzdanınızı onlara açarak zaten kontrolü şansın ellerine teslim ettiniz bile.
Özetlemek gerekirse, böyle bir cüzdanı tarayıcınıza kurmak kaderinizi başkalarının ellerine teslim etmek demektir.
“İyi de benim cüzdanım şifrelerle korunuyor.”
Kısaca yanıtlayalım: Her şey göründüğü kadar basit değil.
Örneğin bu makalenin yazıldığı 29 Aralık 2022 tarihi itibariyle Chrome tarayıcısının sahibi Google, bir yıl içinde 9 farklı kritik sıfırıncı gün açığını düzeltti. Peki, sıfırıncı gün güvenlik açığı nedir?
“Sıfırıncı gün güvenlik açığı yazılım üreticilerinin haberi olmadan önce saldırganlar tarafından keşfedilen yazılım açığı türüdür. Sıfırıncı gün açıkları için henüz yama yayınlanmadığı için bu açıklar saldırı olasılığını artırır.”
Google bünyesinde 200.000 kişi çalışıyor. Şirkette Chrome tarayıcısından sorumlu kişilerin tam sayısını bilmiyorum, ama eminim çok fazladır. Buna rağmen, Google Chrome gibi bir tarayıcıda BİLE en az 9 ciddi güvenlik açığı bulundu. Binlerce insan, olabilecek en güvenli ürünmüş gibi görünen, ama yine de zaman zaman saldırganlar tarafından hedef alınan bir tarayıcı geliştirmiş.
Bu saldırılar öyle saldırılar olabiliyor ki Google, güvenlik yamaları yayınlasa da hangi güvenlik açığını düzelttiğini açıklamıyor. Çünkü bu durum, güncellemeyi henüz kurmayan kullanıcıların, yamanın hangi güvenlik açığını kapattığını açıklayan metni okumakta oldukları anda bile hacklenme riskini oldukça arttırıyor.
Bu bağlamda, günümüz dünyasında neredeyse her şeyin hacklenebileceği gerçeğinin farkında olmalısınız. Devletin resmi web sitelerinin ve sistemlerinin dahi saldırıya uğradığını unutmamalısınız.
Kısacası hacklenebilecek bir şey varsa, istediğiniz kadar güvenli görünsün, o şey hacklenebilir.
Peki burada nasıl bir bağlantı var ne yapmak gerekir?
Mantıklı bir şekilde düşünürsek buradaki bağlantıyı anlamak kolay:
- Ziyaret ettiğiniz web sitelerine bilgisayarınızda bağlanabilecekleri bir nesne olduğunu söylüyorsunuz. İşte bu söz konusu nesne, kripto para cüzdanınız.
- Karşı taraftaki bilgisayar korsanı, şifreyle koruduğunuzu düşündüğünüz nesnenizi alır ve çeşitli güvenlik açıklarını araştırmaya başlar. Bu nesnenin bir ucu da zaten doğrudan kripto para cüzdanınıza bağlıdır.
Peki, ne yapmak gerekir? Oldukça temel görünse de en etkili ilk kural izolasyondur. Hacker ile cüzdanınız arasındaki bağlantıyı koparırsanız dokunacak, oynayacak, hackleyecek hiçbir şey kalmaz. Hacker’ın bilgisayarından, cüzdanınıza kadar izlediği yolu ortadan kaldırmanız gerekir. Örneğin şu anda bilgisayarınızda bir cüzdan yüklüyse, hacker’a doğrudan ulaşan hızlı bir yol var demektir. Bu yolu ortadan kaldırırsanız hacker, saldıracak herhangi bir şey bulamaz.
Bağlantının kurulduğu iplik kesilmelidir.
Orta Çağ kalelerini hatırlar mısınız?
Dışarıdan gelecek tehlikeleri bertaraf etmek için kalelerin etrafına hendekler kazılır, içlerine su doldurulurdu. Savaş atları su üzerinde koşturamaz. Kaleye ulaşmaları için bir geçit inşa etmeniz gerekir.
Örneğin kalelerin yüksek tepelere inşa edilmesi de bir tür izolasyondur. Böylece ağır zırhlarla kaleye çıkmak zorlaşır.
İzolasyon, güvenlik unsuru olarak her yerde karşımıza çıkmaktadır. Örneğin, tehlikeli kişiler toplumdan cezaevleri aracılığıyla tecrit edilir. Elektrikli teller, güvenlikli bölgeler, duvarlar, çitler, cepler, gemiler, kupalar hepsi tecrit katmanlarıdır. Güvenliği sağlayan bileşenler olarak her yerde karşımıza çıkarlar.
Sonuç
Cüzdanınızdan herkese bahsederseniz ve cüzdanınızın bağlantısını isteyen herkese verirseniz, güvenliğin ana ilkelerinden izolasyon kuralını ihlal etmiş olursunuz.
Yukarıda verdiğimiz örnekler sayesinde MetaMask cüzdanındaki ana güvenlik sorununu açıkça anlattığımı düşünüyorum. Bu sorun cüzdanın çalışma prensibinin doğasında olduğu için ortadan kaldırılamaz.
Bu nedenle, sizin için önemli tutarlarda kripto para sakladığınız cüzdanları MetaMask’la ilişkilendirmenizi şahsen tavsiye etmiyorum.
Bu büyük bir güvenlik sorunu olsa da, karşılaşabileceğiniz sorunlardan yalnızca biri. Gelecekteki yazılarımda başka güvenlik sorunlarından da bahsedeceğim.
Ama bu noktada Mitilena cüzdanına geri dönelim. Fark etmiş olabileceğiniz üzere Mitilena, tarayıcıya gömülü değildir. Böylece sisteminizde bu cüzdanın kurulu olduğu bilgisi ziyaret ettiğiniz her siteye verilmez. İzolasyonla ilgili yukarıda bahsettiğim güvenlik ilkesini takip etmiş ve çok daha güvenli bir cüzdan kullanmış olursunuz. Mitilena’da izolasyonun yanı sıra güvenlikle ilgili sağladığı çok başka avantajlar da var. Askeri kurumlarla devlet kurumlarında kullanılan güncel tedbirlerin benzerini kullanan Mitilena’nın bu özelliklerinden sonraki yazılarımda bahsedeceğim.
Mitilena web sitesinde giriş seviyesi cüzdan ücretsizdir. Premium abonelik satın almak isteyenler MarekHruska promosyon koduyla cüzdanı %25 indirimle kullanmaya başlayabilir.
29 Aralık 2022