SAP PI or Not?

There have been lots of discussions on using SAP PI or not. The same applies to my projects as well: Often enough, project management needs to make a decision on running integrations through PI.

I want to share my highly subjective point of view regarding this matter.

Using PI has its advantages, which you can find on any SAP documentation. Some of them are:

  • The requirement of middleware development in .NET, Java, or even ABAP virtually disappears. You make PI configurations instead, which is theoretically easier in most cases.
  • Centralizing the entire communication makes everything more transparent and managable.
  • In case an integration error occurs, it is nice to have a neutral central system to do all the logging & monitoring of the data traffic.

However, there are disadvantages as well:

  • PI requires an extra licence. SAP won’t give if for free at this time.
  • It requires extra human resources to configure & manage & monitor everything.
  • ABAP development is not enough to build or extend an integration. Every time an ABAPer does something, PI needs to be touched as well. Therefore, development time could be longer than a direct ABAP solution.
  • PI inevitably has a performance cost, making the integration run slower in most cases.
  • If you run everything through PI and the machine running PI gets in trouble, all of your integrations will stop.

Considering those points, here is my (once again) highly subjective evaluation.

If you have to integrate SAP with external applications (meaning: 3rd part companies outside your firewall) and you don’t want to make SAP accessible without VPN due to security reasons, using PI is a good idea. Just make PI directly accessible through the Internet, and make it communicate with SAP securely behind the firewall.

If you have lots of SAP & NonSAP systems talking to each other, having a centralized system to conduct & log & monitor all the trafic could be preferrable. This would save development time on middleware & transformation & log coding. Especially if there are lots of asynchronous integrations & the integration methods vary greatly (meaning: web service, FTP, file, RFC, etc), letting PI do the heavylifting could save even further development time. Just make sure that you are beyond the break even point.

On the other hand…

Having PI might not be worth it if you merely have a handful of internal applications communicating via simple Web services or files or something. Especially if you don’t need to develop external middlewares.

In case you have a synchronous integration, the performance cost of PI might start to be a pain – especially if it’s a GUI application facing the users directly.

In such cases, you can make the applications communicate directly, and do some minor coding for error management & data logging – instead of inviting PI to the party.

During your evaluation, please remember that PI is merely a “FedEx” application: It will carry your data package from one system to the other, but it doesn’t care what you do with it. This means, it will ensure that you get the TXT file correctly. However; if you get in trouble during your BAPI calls, PI couldn’t care less – unless you develop a secondary integration to return your BAPIRET2 or something.

Here are some further resources on the subject I found to be useful:

How To Bypass Internet Blocks

It is a fact that some companies block your Internet access; as if you can’t do anything else if you want to be loafing. In such networks, you are unable to reach certain websites; such as Facebook, YouTube, sometimes even E-Mail services such as Gmail or chat applications like Gtalk, MSN, etc. In this article, I will teach you alternative methods of bypassing firewalls and having unblocked Internet access.
Please note that easier & cheaper solutions have less chance of success. As solutions get harder and more expensive, the chance of success will increase to 100%.
I can’t guarantee that you won’t be caught (personally or technically) using those techniques. If you get in trouble using those methods, you are responsible. If you keep reading, it means that you are accepting this.
VPN Service
Dummy-Proof: No, Free: No, Quality: High, Success Rate: High
VPN ports are usually not blocked. If you are ready to spend some money (around 5$ per month), you can purchase a VPN service and connect to the Internet through VPN, bypassing all limitations of your local company network. www.unblockvpn.com is such a service that I personally tried, it worked on many occasions. www.ultrasurf.com and www.hotspotshield.com also offer similar services. Google for more.
Remote Desktop
Dummy-Proof: No, Free: Yes, Quality: Low, Success Rate: High
Many companies leave the ports for remote desktop access open. This means, you can use Windows Remote Desktop, TeamViewer, etc. If you know the credentials of a remote computer, open a remote desktop connection to that computer and access the Internet through the browser of the remote computer; bypassing all limitations of your local company network. You can even leave your home PC running; just enable remote connections and write down your IP address. When you go to work, access your home computer remotely and browse any site you want.
The downside is; you may not be able to watch videos properly due to remote desktop resolution. To overcome this difficulty, you can consider installing a SSH server to your home computer and access the Internet over the remote SSH; instead of the remote desktop connection. How? It is explained here: http://tinyurl.com/d55ys7 .
Private Modem
Dummy-Proof: Yes, Cost Efficient: No, Quality: Low, Success Rate: 100%
Having a USB modem is a 100% working method. Contact your mobile operator, and purchase a USB modem (such as Turkcell Vınn or Vodaphone Vodem) with a 3G Internet package. Whenever you need unblocked Internet access, plug your USB modem and connect. You may (or may not) need to disable your wireless or LAN connection meanwhile. You will be bypassing the corporate network to access the Internet; you will have a direct connection between your computer and your mobile operator. Therefore; you will have unblocked Internet access. But your connection speed may not be very fast.
The same logic applies to your mobile phone. If you have an Internet-enabled mobile phone, you can access the Internet through your phone; there is no one to block you. However, the Internet speed and experience on a small device may not be ideal.
If you have your own room and phone line, you can bring your own modem into the company and connect directly to the phone line. Use your own ADSL password, and you have a direct connection from your computer to your Internet provider; bypassing all corporate limitations.
Alternative Networks
Dummy-Proof: Yes, Free: Yes, Quality: High, Success Rate: Medium
If you can find an alternative wireless network around you, try joining that network and browsing the Internet through that one.
Some companies have special wireless networks for visitors, which are not blocked at all. If that’s the case and the network doesn’t ask for a password, you are good to go. If the network does ask for a password, it shouldn’t be that hard to learn since all guests would ask for it anyway.
Some companies have neighbours with unsecured wireless networks. You can join them for unblocked Internet access, but you could be consuming a limited Internet bandwidth. Make sure that you are not stealing your neighbours bandwidth.
If there are secure wireless networks around, you can try becoming friends with one of the neighbours, he/she may give you their wireless network password so you can use their modem for unblocked Internet access.
If you are in Turkey and find a TTNet ADSL Hotspot around, use your own ADSL password to access that hotspot and have unblocked Internet access.
HTTPS
Dummy-Proof: Yes, Free: Yes, Quality: High, Success Rate: Low
Some networks are configured to block HTTP, but they don’t block HTTPS. If you can’t access http://www.twitter.com , try accessing https://www.twitter.com . This has a weak chance of success, but I have seen it work.
HTTP Tunneling
Dummy-Proof: Yes, Free: Yes, Quality: Low, Success Rate: Low
HTTP tunneling is also an easy method; therefore, it has a weak chance of success because many corporations block tunneling services as well. Anyway; try entering the blocked website through a HTTP tunnel website. Some popular servers are www.ktunnel.com , www.vtunnel.com and www.hidemyass.com ; Google for more.
However; you can setup your own Google Apps server at your home computer and access the Internet freely through that proxy; if Appspot is not blocked. It is explained here: http://www.youtube.com/watch?v=3f6Zq4prys0 . A similar method is to use PHProxy; as explained here: http://tinyurl.com/ykhs3kx .
Even if you succeed, you may experience slow connections or disconnections due to high traffic on public tunneling servers; or because of the technical framework of heavy Ajax websites.
Public Proxies
Dummy-Proof: No, Free: Yes, Quality: High, Success Rate: Low
You can also try using a public proxy (8080) to access to the Internet. Google about proxies, and try using a public proxy to browse the Internet; but those ports would most probably be blocked.
If you still want to give it a shot, visit http://www.aplusproxy.com/torpark.php to find fresh lists of proxies.

Cisco VPN + ESET NoD32 Uyumsuzluğu

Bir süredir yaşadığım bir sorun vardı; Cisco VPN’ e bağlanınca, bağlantı kurulduğu anda bilgisayarım kilitleniyordu. Aslında hardisk vs. çalışıyor görünüyor fakat touchpad ve klavye gibi donanımlar etkisiz hale geliyordu. Harici mouse takınca ise mouse kullanılabiliyor fakat bu sefer de klavye çalışmıyordu, mouse u çıkartınca ise bilgisayar dump yiyiyordu. Neyse daha fazla uzatmayayım. bunun sebebi Nod32 antivirüs programından kaynaklanıyormuş. VPN e bağlanmadan önce Nod32 yi disable moduna getirirseniz ve daha sonra bağlanırsanız herhangi bir problem olmuyor. Benzer sorunu yaşayanlar/yaşayacak olanlar olursa faydalı olacağını düşündüğüm için paylaşmak istedim.
Cisco VPN Sürümü: 5.0.01.0600
(Kaynak: Onur Vatansever)

Access Üzerinde 3DES


veritabanı mantığı adlı kitabınızı zaten uğraştığım access işinde yanlış yapmamak için okuyorum. Uygulama geliştirmek yerine tablo yapılarımda sorun varsa gidermek istiyorum. belki biz çoğu zaman bir iş biterken öğrendiğimiz son şey o işe nasıl başlamamız gerektiğidir.

her şey iyi güzel çok gerekli bir şey sunucu üzerindeki *.mdb dosyalarımızdaki bilgileri başkalarının okuması ya da offline iken okunması. açma parolasını nirsoft ‘un ücretsiz yazılımı bile mükemmel buluyor ücretsizce access 2003’e kadar.

çok laf kalabalığı oldu biliyorum. sizden ricam kitabınızda kullanıcı şifrelerini 3DES ile şifrelemişsiniz. Ben de bunu uygulamak istiyorum bu konuda access içine yazacağım kod, yardımcı araç ya da farklı şeyler neledrdir? hangi kaynaklara başvurmalıyım?

Öncelikle iki kavramı birbirinden ayırmakta fayda var. Sizin .mdb dosyasına koymuş olduğunuz şifre, Access içerisindeki tablolarda değil, .mdb dosyasının başlığında bir yerlerde Binary olarak saklanmaktadır. Bu, oluşturmuş olduğunuz veritabanı tablolarından ziyade Microsoft Office’in bir özelliğidir. Dosyaya koyduğunuz genel şifreyi programlama yaparak güçlendirmeniz, benim bilgim dahilinde mümkün değildir.

Benim kitapta bahsetmiş olduğum şifreleme, veritabanı tablolarında sakladığınız hassas verileri şifrelemektir. Örnek olarak User – Password değerlerinin tutulduğu bir tablo vermiş olmam, sanırım bu iki kavramın karışmasına yol açmış sizin tarafınızda. Örnekteki tablo .mdb dosyasına konan genel şifreyi saklayan tablo değildir – zaten öyle bir tablo da yok, dosyanın genel şifresi (az önce de belirttiğim gibi) tablolarda değil dosyanın içerisinde Binary olarak saklanır. Örnekteki User + Password, (örneğin) bir Web sitesinin üyelerine ait User + Password değerleri olabilir – yani Microsoft Office’in bir özelliği olmaktan ziyade, Access üzerinde geliştirmiş olduğunuz uygulamaya ait değerlerdir.

Aynı şekilde; veritabanı tablolarındaki kredi kartı numaralarının da şifrelenerek saklanması gerekir. Buna benzer diğer hassas bilgiler de şifrelenerek saklanmalıdır. Ama bunun, .mdb dosyasının genel şifresiyle bir ilgisi yoktur. .mdb dosyalarının genel olarak şifrelenmesi, sizin de işaret ettiğiniz gibi, Access 2007 itibariyle daha güçlü bir hale geldi. Access sürümünüzü yükselterek bu konudaki güvenliğinizi arttırabileceğinizi düşünüyorum – ama yine de Access 2007’yi kırabilen programların olup olmadığını bir araştırmakta fayda var.

Eğer kullanıcı bazlı erişim kontrolü (yani kim hangi tabloya erişebilir, kim okuyabilir, kim yazabilir) gibi bir ihtiyacınız varsa, Access yerine Microsoft SQL Server veya Oracle gibi daha kapsamlı bir RDBMS ürünü kullanmanızı tavsiye ederim. Bu ürünlerdeki erişim kısıtlama ve güvenlik özellikleri Access’e kıyasla çok daha güçlüdür. Access daha ziyade ufak tefek işlerde kullanmak üzere hazırlanmıştır. Microsoft SQL Server Express Edition’a bir göz atmanızı tavsiye ederim – bildiğim kadarıyla kişisel kullanım için ücretsiz; ama kurumsal amaçla kullanacaksanız lisans şartlarını bir okuyun, sonradan lisans ihlali yapmış olmanızı istemem. Yine kişisel kullanım için ücretsiz olan MySql’i de inceleyebilirsiniz; bu ürünü sadece 1-2 kez kullandığım için lisans şartlarını ve kullanıcı bazlı yetkilendirme konusundaki yeteneklerini tam bilmiyorum.

Bir access tablosu içerisindeki verilerin nasıl şifreleneceğine gelince… Uzun yıllardır SQL Server / Oracle / Lotus Notes dışında veritabanı kullanmamış olmamın yanı sıra, bugüne kadar Access’i sadece bir veri dosyası gibi kullandım, Access’in kendi geliştirme araçlarını kullanarak uygulama geliştirme ihtiyacım hiç olmadı. Yani; Access dosyasında tablolarım duruyor – işin uygulama kısmını ise .NET veya Java gibi ayrı bir platformda yapıyorum. Bu platformda geliştirdiğim uygulama, Access veritabanıyla sürekli etkileşim halinde olup gerekli yerlerde okuma / yazma işlemlerini yapıyor. Dolayısıyla, 3DES Encoding / Decoding işlemlerini de uygulamayı geliştirdiğim platform üzerinde hallediyorum. Yani veritabanı seviyesinde bu tarz bir işi hiç yapmadım. Bu durumda; tablolarınızdaki verileri şifrelemek istiyorsanız veri okuma / yazma kısmı için Java / .NET ile geliştirme yapmanızı tavsiye edeceğim. Access içerisinde böyle bir iş doğrudan yapılabilir mi diye merak ediyorsanız, bu sorunun cevabını bilmiyorum çünkü hiç denemedim. Eğer SQL Server, Oracle, MySql gibi bir ürün kullanmaya karar verirseniz; yine bu ürünlerin kendi şifreleme fonksiyonları olup olmadığını araştırabilirsiniz.

Ancak; güvenlik açısından, herhangi bir ürünü / algoritmayı olduğu gibi kullanmak pek tavsiye edilmez. Mesela bugüne kadar 3DES’i olduğu gibi kullandığımı hiç hatırlamıyorum. Genelde 3DES’i temel alıp, algoritmayı biraz değiştirerek (üzerine ek 1-2 işlev daha katarak) kullanıyorum. Böylece hem 3DES’in gücünden faydalanıyor, hem de 3DES’i kırmak üzere yazılmış standart programlara karşı nispeten güvende olduğumdan emin olabiliyorum. Bu mantıkla hobi anlamında geliştirmiş olduğum örnek bir algoritmayı http://www.codeplex.com/milkshake adresinde inceleyebilirsiniz, sanırım ne demek istediğimi daha net göreceksiniz. Bu tarz genişletmeler için yine Java / .NET tarzı bir platformda uygulama geliştirmeniz gerekecektir diye düşünüyorum.

Web Sitesindeki Veritabanı Nasıl Tespit Edilir

Asp ile yazılan bir sayfada da SQL Injection tipi bir açık olma ihtimali var değil mi?

Önemli olan kodun nasıl yazılmış oldugu sanırım?

Ayrıca, login kısmı olan bir baska sitede, arkada mutlaka database kullanılmıştır diyebilir miyiz ?

Kullanılıp kullanılmadıgını nasıl anlarız ? Kullanılmışsa, SQL veya Oracle olup olmadıgını anlama sansı var mı ?

ASP, PHP, JSP; hangi teknoloji olursa olsun, veirtabanı kullanan ve QueryString’den aldığı değeri doğrudan doğruya sorguya dahil eden her Web sayfası SQL Injection’dan etkilenebilir. Önemli olan arkasındaki mimari.

Login olan bir site %90 veritabanı kullanmıştır arkasında. %10’luk ihtimal; Hard Code girilmiş User değerleri veya XML, TXT gibi dosyalarda saklanan Login bilgileri olabilir. Ya da, bazı lokal intranetlerde Active Directory veya Domino Server tabanlı bir kontrol de olabilir; ama bu tarz kontrollere Internet ortamında bulacağın sitelerde rastlama ihtimali sıfıra yakın.

Arkada çalışan veritabanı SQL Server mı Oracle mı (ya da MySql mi, PostGreSQL mi, Access mi, vs) anlamanın genel geçer bir yolu yok sanırım. SQL Injection ile zorlayıp çıkan hata iletilerinden tahmin yürütülebilir. Ya da, Hosting firmasının veritabanının IPsini biliyorsan, o IP’ye Oracle ve SQL Server portlarından (ezbere bilmiyorum) Telnet açmayı deneyebilirsin, Telnet açabildiğin portun veritabanını kullanıyordur. Daha basit bir yol; mesela SQL Server Manager ile o IP’ye bağlanmayı denersin, bağlanıp User sorduysa SQL Server’dır. Ama veritabanı IP’si, muhtemelen sitenin IP’sinden farklı olacaktır.

Cracker’lara Karşı Önlem

Kerem Bey size bir konuda danışmak istiyorum mümkünse.İnternette Türk crackerların bir sitesi var.orada benim programların ve yüzlerce programın crackleri var.hemen programlarımı güncelledim ama bunlar yine kıracaklar eminim. pack programları kullandım ama unpack kullanıyorlar.Sizce etkili bir önlem alınabilir mi? Sınamaları tesrsine çeviriyorlar ve olly denilen bir hex editörü ile seriali buluyorlar.

Ben de programın açılışında pc ‘nin belleğini taratıyorum olly yüklüyse kapatıyorum.ama onu da aşmışlar sanırım 😦

Sizin bu konudaki fikirleriniz nedir?Bir de bu konuda merak ettiğim bir şey daha var.Bütün yazılımların crackleri var orada neden kimse birşey yapmıyor?Neden siteyi kapatmıyorlar?

İyi çalışmalar dilerim…


Merhaba…

Assembler okuyabilen biri, bu tarz isler icin herhangi bir Disassembler / Debugger kullanabilir. Olly gibi tek bir urune odaklanip ona karsi cozum aramak mantikli degil. Programi guvenli hale getirmek icin oncelikle kiracak kisilerin kullanacaklari yontemleri bilmen gerekiyor. Bunu da tek bir mail icerisinde anlatmam mumkun degil.

Programin derlendiginde bir .EXE dosyasi uretecektir. Bu dosya, Disassembler yardimiyla Assembler diline kolayca cevrilebilir. Ardindan; kodu okuyan biri, Serial algoritmasini cozebilir. Cozulemeyecek algoritma yoktur, Cubase gibi Dongle tabanli programlari dahi kirabilen kisiler var. Olsa olsa algoritmayi zorlastirip kiran kisinin seviyesinin uzerine cikartabilirsin.

Mesela seri numarasini program icerisinde bir degiskende tutuyorsan, en basit araclarla bile kabak gibi gozukur 😉 Ama onun yerine girilen kod icerisindeki bazi sartlar ararsan(yani tek bir dogru kod olmazsa), isler biraz daha zorlasacaktir. O zaman Debug ederek algoritmani cozmek zorunda kalacaktir, acemi biri altindan kalkamaz.

Bir diger yontem de sudur: Kodun bir yerinde mutlaka “Eger a = b ise, Serial dogrudur, yoksa yanlistir” gibi bir ifade vardir. Koda yapilan ufak mudahelelerle “Eger a b ise Serial dogrudur” haline getirilebilir. Bu durumda algoritman istedigin kadar karisik olsun, ufacik bir noktaha mudahele ederek programini kirabilirler. O yuzden, birden fazla noktada guvenlik kontrolu yapmakta fayda var. Mesela program calisirken Random bazi yerlerde de girilmis Serial’i farkli sekillerde kontrol etmekte fayda var. Mesela (atiyorum) bir yerde 1. ve 6. karakterin ayni olmasi gerektigini kontrol ederken, bir baska yerde 2. karakterdeki sayinin 7. karakterdeki sayidan daha kucuk olup olmadigini kontrol edebilirsin. Bu kontrolleri cogalttiginda, programinin kirilmasi zorlasacaktir.

Burada saydiklarim, en basit noktalar tabii, bir fikir versin diye yazdim. Internet uzerindeki Crack Tutorial’lari okumani ve biraz Assembly ogrenip bulabildigin butun Crack alistirmalarini yapmani tavsiye ederim. Belli bir seviyeye gelip Cracker’lar gibi dusunmeye basladiginda programlarini daha guvenli hale getirebilirsin.

Son bir nokta daha var: Piyasada cesitli diller icin gelistirilmis Obfuscator yazilimlari var. Bu yazilimlar, EXE haline getirilmis olan kodu karmakarisik hale getirerek Assembler formatinda okunmasini ve kirilmasini cok daha zor hale getiriyor. Kullandigin dil / platform icin bir Obfuscator bulup onu kullanmayi da deneyebilirsin – ama cogu ucretlidir.

Umarim yardimci olabilmisimdir. Iyi calismalar…

E-Posta Adresini Spammer’lardan Saklayın

Hepimizin posta kutusuna, zaman zaman istemediğimiz reklam mesajları gelir. Bazen şöyle bir göz atarız, bazen de okumadan sileriz bu tür mesajları.

Ancak günde 30 tane reklam mesajıyla karşılaşmak, her kullanıcının canını sıkar. Bir süre sonra bu durum, tahammül edilmez bir hal alabilir. Bir haftalık tatilden stresten arınmış ve dinlenmiş bir şekilde dönüp keyifle posta kutunuza baktığınızda, sizi ilgilendirmeyen yüzlerce mesaj ile karşılaştığınızı düşünün. Henüz “Pazartesi Sendromu” başlamadan tatil keyfiniz sona erecek ve “Nereden buldular benim adresimi” diyerek mesajları çaresizce silmeye başlayacaksınız.

SPAM gönderen kişiler, genellikle bu iş için satılan E-Posta CD’lerini kullanırlar. 500.000 E-Posta adresinin 100$ gibi bir fiyata satıldığı bu CD’lerden birine adresiniz bir kez girdiğinde, CD’yi alan onlarca SPAM’ci posta kutunuzu görmek istemediğiniz ve sizi muhtemelen hiç mi hiç ilgilendirmeyen mesajlarla doldurmaya başlar.

Peki, posta kutumuzu istemediğimiz mesajlarla dolduran kişiler, E-Posta adresimizi nereden buluyorlar? Çok sık sorulan bu sorunun tek bir cevabı yok; adresinizin ele geçirilebileceği birçok kanal mevcut. Bunlar arasında en popüler olanlarını hep birlikte görelim.

HABER GRUPLARI

Haber grupları, E-Posta adresi toplayan biri için harika bir ortamdır. Haber gruplarında genellikle aktif Internet kullanıcıları yer alır; arada sırada “Hadi biraz gezeyim” diyerek Internet Explorer’ı açan kişileri burada göremezsiniz. Bir haber sunucusuna bağlanırken ve mesaj gönderirken bir E-Posta adresi yazmak genelde zorunlu olduğu için, sunucudaki güncel mesajlar tarayan herhangi biri, birçok “kurt” Internet kullanıcısının adreslerini toplayabilir.

Adres toplama işini elle yapmak çok uzun zaman alacağından, SPAM’ciler bu iş için yazılmış otomatik programlar kullanmayı tercih ederler.

Adresinin ele geçirilmesini istemeyen ancak diğer grup üyelerinin kendilerine E-Posta atabilmesini isteyen kullanıcılar, adreslerinin arasına bir takım açıklamalar serpiştirerek programlar tarafından çekilen adreslerinin kullanılamamasını sağlamayı amaçlar. Mesela;

whitesaint@pcmagazine.com.tr

adresini haber gruplarına kaydolurken

whitesaint(BURAYISiLiN)@pcmagazine.com.tr

şeklinde değiştirmek buna bir örnek olabilir. PC Magazine E-Posta sunucusunda Whitesaint(BURAYISiLiN) adında bir hesap olmadığı için, adresleri otomatik çeken bir programın atacağı E-Posta WhiteSaint’e J asla ulaşmayacaktır. Ancak, WhiteSaint’in haber grubuna attığı bir mesaja E-Posta ile cevap vermek isteyen bir kullanıcı, (BURAYISiLiN) kısmını silerek kendisine ulaşabilir.

Bu yöntem, ne yazık ki gereken güvenliği sağlamamaktadır. Kullanıcıların geliştirdiği bu yöntemi elimine edecek yeni tekniklerle yazılmış programlar, parantezli E-Posta adreslerini özellikle tarayarak iki parantez arasındaki kısmı atacak şekilde tasarlanmıştır. Bunun ötesinde, bu veya benzer bir yöntemle “bozularak” girilmiş E-Posta adreslerini herhangi bir kelime işlem programında “Find&Replace” işlemini yaparak düzeltmek, azimli bir SPAM’ci için zor değildir.

Dolayısıyla, haber gruplarına girerken E-Posta adresinizi yazmak her zaman ve her şekilde risklidir. SPAM’ciler, öyle ya da böyle, adresinize ulaşabilir. Kesin bir çözüme ulaşmak isteyen kullanıcılar, gerçek adresleri yerine uydurma bir adres yazmalılar – hic@kim.se gibi.

İLETİLEN (FORWARD EDİLEN) E-POSTALAR

Hepimizin eline, Bill Gates’in her Forward başına 10$ ödediğini, kanserli bir kızın her Forward için 10 cent kazandığını, hatta Forward etmezsek Blair Cadısı’nın bizi bulup lanetleyeceğini iddia eden E-Postalar geçmiştir.

Söylemeye gerek yok; bu gibi mesajların hepsi denebilecek kadar büyük bir çoğunluğu, insanların E-Posta adreslerini silmeden Forward etmesini amaçlayan sahte haberlerdir.

Neden?

Çünkü bir SPAM’ci, bu şekilde bir haberi dünyaya yaydıktan sonra, Forward edile edile eninde sonunda kendisine tekrar geleceğini bilir. Ve tertemiz atmış olduğu bu mesaj, kendisine geri geldiğinde içinde muhtemelen Forward etmiş herkesin E-Posta adresini de taşıyarak gelir.

Dolayısıyla, posta kutumuza gelen bu tür haberleri hemen silmek, E-Posta adresimizi korumak adına yapabileceğimiz en iyi şeydir. Eğer ilginizi çekecek bir haber görürseniz ve kulağa doğru gibi geliyorsa, ilgili Web sitelerinden araştırmadan “Forward” tuşuna tıklamayın. Unutmayın ki, bu tür büyük haberler gerçek ise, dünyaya duyurulması E-Posta ile sınırlı olmayacaktır; en azından konu ile ilgili birşeyler bulabileceğiniz birkaç Web sitesi çıkacaktır.

TOPLUCA GÖNDERİLEN E-POSTALAR

Hemen hepimiz, Internet üzerinde rastladığımız komik bir fıkrayı, şirin bir bebek resmini veya mizah dergilerinden fırlamış bir karikatürü adres defterimizde yer alan herkese iyi niyetle göndermişizdir. Ancak, “Beni güldürdü onları da güldürsün” diyerek gönderdiğimiz bu mesajlar, arkadaşlarımızın günde 30 tane reklam postası almasına yol açabilir.

Unutmayalım ki, göndermiş olduğumuz komik resmi arkadaşlarımız da kendi adres defterlerindeki arkadaşlarına göndermek isteyecektir. 3-4 Forward sonrasında, E-Posta iletisi bir E-Posta hazinesi haline gelecektir; bu iletiyi şans eseri ele geçiren bir SPAM’ci, birkaç dakika içinde bütün arkadaşlarımızın ve arkadaşlarımızın arkadaşlarının adreslerini CD’ye yazılmak üzere veritabanlarına atmış olacaktır.

Bunun çözümü elbette toplu E-Posta göndermemek değil; adresleri saklayarak göndermek de mümkün. Genellikle birine posta göndereceğimiz zaman adresini TO: kısmına yazarız. Adresini saklamak istediğimiz kişilerin adreslerini ise BCC: kısmına yazarız. Dolayısıyla, bu şekilde toplu bir mesaj göndereceğimiz zaman arkadaşlarımızın adreslerini BCC: kısmına yazmamız, SPAM’cilerin tüm planlarını alt üst edecek ve sevdiklerimizin posta kutularını ferah tutmalarına yardımcı olacaktır.

Bunun haricinde, bize gelen komik bir mesajı iletirken mesajın içinde yer alabilecek olan bütün adresleri silmeyi ihmal etmeyin.

WEB SİTELERİNE VERİLEN E-POSTALAR

Web siteleri, kayıt olurken veya dosya indirirken bizden E-Posta adresimizi isterler. Bu, her zaman kötü niyetli bir istek değildir; bazen bir şifrenin bize gönderilmesi veya sitenin bizimle kontakt kurabilmesi için gereklidir.

Ancak; kötü niyetli bir Web sitesi, ziyaretçilerinden topladığı adresleri bir SPAM tüccarına rahatça satabilir. Dolayısıyla, güvenmediğimiz sitelere E-Posta adresimizi bırakmamalıyız.

Aynı şekilde, Web sayfalarında sıkça rastlanan “Arkadaşına Tavsiye Et” linkleri de tıklanması tehlikeli yerlerdir. Kötü niyetli bir Webmaster, size acımadığı gibi arkadaşınıza da acımayacak ve adresini bir CD’ye yazılmak için bekleyen diğer binlerce adresin arasına katıverecektir. Güvenmediğimiz sitelere arkadaşımızın adresini vermek yerine kendisine direkt atacağımız bir tavsiye mesajı, bu güvenlik problemini çözecektir.

MAILING LIST’LER

İnsanların birbiriyle E-Mail yoluyla mesajlaştığı bir Chat veya haber grubu olarak nitelendirilebilecek Mailing List’ler, SPAM’cilerin ağzını sulandıran ortamlardan biridir.

Biraz para kazanmak amacıyla adresleri satabilecek grup yöneticileri kadar, sırf adres toplamak için rastladığı her Mailing List’e üye olan adres tüccarları da E-Posta adreslerimiz için önemli birer tehdit oluşturur.

Mailing List’ler konusunda alınabilecek kesin bir önlem ne yazık ki yok. Haber gruplarında E-Posta adresimizi hiç yazmamak (veya uydurma bir adres yazmak) bir çözüm olabilirken, mesajların bize ulaşması için adresimizi yazmak zorunda olduğumuz Mailing List’lerde bu yöntem geçerli olmamaktadır. Adresimizi yazmışsak (ki yazmışızdır), risk vardır.

AÇIK LİSTELEMELER

Kayıt olduğumuz sitelerden bazıları, üyelerini adresleriyle birlikte açıkça listelerler. Bu listelemelere dahil olmak, E-Posta adresimizin peşine düşmüş bir SPAM’cinin adresimizi CD’sine atması için davetiye çıkarmak anlamına gelir.

Merak etmeyin; bu tür listelemeler yapan ciddi sitelerin hemen hepsi, bize listelenmek istemediğimizi söyleme hakkını da tanıyor. Kayıt sırasında “Listelenmek istemiyorum” kutucuğunu işaretlememiz, bu riski büyük ölçüde ortadan kaldıracaktır.

CHAT PROGRAMLARI

Hepimizin kullandığı ICQ türü programlar, arkadaşlarımıza kolay ulaşmamızı ve Online’ken bile sosyalliğimizi korumamızı(!) sağlayan faydalı buluşlardır. Programın içinden yapacağımız bir arama ile, kayıtlı birçok kullanıcıya erişebilir ve arasından beğendiğimiz kişileri “Hadi sohbet edelim” diyerek listemize dahil edebiliriz.

Bu kadar çok insanın açıkça listelendiği bu ortam, SPAM’ciler için de son derece caziptir. ICQ’nun arama bölümünde birkaç saatini geçiren; veya bir adım ileri giderek ICQ protokolünü manipule edip bu işi otomatik yapacak bir program yazan biri, binlerce E-Posta adresine bir anda ulaşabilir.

Bu tehlikenin, E-Posta adresini hiç yazmamak dışında kesin bir çözümü ne yazık ki yok.

ALTERNATİF BİR YÖNTEM: ÇİFT E-POSTA HESABI KULLANMAK

SPAM’cilerin adreslerimizi nasıl ele geçirdiklerini ve bu yolda kullandıkları yöntemleri ana hatlarıyla görmüş olduk.

Peki biz buna karşılık ne yapacağız? Adresimizin ele geçirilme korkusundan haber gruplarına veya ICQ’ya girmeyecek, okulumuz mezunlar derneğinin Mailing List’ine üye olmayacak mıyız?

SPAM’cilerin özgürlüğümüzü kısıtlamasına tabii ki izin veremeyiz. Internet’te istediğimiz herşeyi korkmadan yapabilmemizi sağlayacak alternatif bir yöntem mevcut: Çift E-Posta hesabı kullanmak.

Daha iyi anlaşılması açısından, bu yöntemi bir örnek ile anlatmakta fayda var. SPAM’cilerden saklamak istediğimiz E-Posta adresimizin whitesaint@pcmagazine.com.tr olduğunu varsayalım. Bu adresi kesinlikle çok iyi saklayacak ve tanıdığımız, güvendiğimiz kişiler dışında hiçbir yerde telaffuz etmeyecek ve hiçbir yere yazmayacağız.

Güvenmediğimiz ortamlarda kullanmak üzere ikinci bir E-Posta adresi edindiğinizde, tüm sorun ve kaygıların sihirli bir değnek değmişçesine ortadan kalktığını göreceksiniz. Örneğimizde, Yahoo’ya gidiyor ve whitesaint123@yahoo.com adlı E-Posta hesabımızı açtırıyoruz. Hemen ardından, E-Posta ayarlarına giriyor ve bu hesaba gelen iletilerin whitesaint@pcmagazine.com.tr adresine iletilmesini sağlıyoruz.

İşte bu kadar! Bundan böyle güvenmediğimiz, ama E-Posta adresimizi vermemiz gereken ortamlarda whitesaint123@yahoo.com adresini kullanacağız. Bu adres bir şekilde bir SPAM CD’sinde yer aldığında ve posta kutumuz reklam mesajlarıyla dolmaya başladığında, Yahoo’ya giderek whitesaint123@yahoo.com adresini iptal edecek ve aynı amaçla kullanmak üzere whitesaint234@yahoo.com adlı yeni bir adres alacağız.

Tabii yeni bir adres aldığınızda, bu adresle kayıt olmuş olduğunuz yerlere yeni adresinizi girmeyi unutmayın (haber grupları, Mailing List’ler, vs) ki, mesajlar size iletilmeye devam edebilsin.

Bu şekilde, whitesaint@pcmagazine.com.tr adresini kem gözlerden korumuş ve güvenliğini sağlamış oluruz.

SONUÇ

Bu yazıda, SPAM’cilerin kullandığı ana yöntemleri ve adreslerimizi onlardan nasıl saklayacağımızı öğrenmiş olduk.

Ancak unutmayın ki, siz ne kadar dikkat ederseniz edin, sizden gelen bir mesajı dikkatsizce Forward eden bir arkadaşınız, adresinizin istemediğiniz ellere ulaşmasına yol açabilir. Bu yüzden, SPAM konusunda yakın çevrenizi bilinçlendirmenizde fayda var.