Dünya Şifre Günü
Bugün dünya şifre günü. Her yıl Mayısın ilk perşembesinde kutlanıyor.
Bunu hangi tedarikçinin akıl ettiği* ya da arkasındaki etik gerekçeyi veya buzzwordleri bir kenara bırakarak, bir nevi genel hatırlatma olarak değerlendirmeyi daha yararlı buluyorum.
Şifreler ile ilgili olarak herkesin farklı farklı görüşleri var. Günümüz şartlarında artık pek çok işkolunun dışarıdan çalıştığını düşünecek olursak “kuvvetli şifre kullanımı”nın öneminin arttığı ise çokta tartışmalı bir konu değil. Diğer yandan neyin kuvvetli olduğu konusunda farklı farklı görüşler var.
Şifre içerisinde kullanılacak büyük-küçük harf, karakter vesaireden tutun kaç ayda bir şifrenin değiştirilebileceği, şifre kasalarının (password vault) güvenliği vb. pek çok konuda herkesin fikirleri var. Ne var ki bu konuda kullanıcı tarafında belli bir bilincin oluştuğunu düşünmek halen mümkün değil, çünkü bu konunun uzmanı firmalar dünya çapında en çok kullanılan şifreleri (tabi kullananları afişe etmeden ki bence etmeliler) yayımlıyorlar ve sonuçlar iç açıcı değil.
Şifre tek korunma yolumuz tabii ki değil, ancak kuvvetli bir şifre politikası ve kuvvetli şifrelerin önemli bir önlem teşkil ettiği saldırılardan kısaca bahsetmek istiyorum.
Sosyal mühendislik: Bu saldırılarda aslında illa teknik konular olmak durumunda değil. Ağzı (duruma göre elleri, yazışıyorsanız) iyi laf yapan biri teorik olarak şifrenizi ele geçirebilir. Bu durum eğitimden ya da “enayi olmamaktan” tamamen bağımsız bir durum, herkesin boşluğuna gelebilir, dalgınlığına gelebilir. Bu nedenle her zaman dikkatli olmakta yarar var.
Oltalama (phishing) saldırıları ile ilgili kurumlarınızda sık sık eğitim verilmesi bu yüzden. Gerçekten saldırı olması halinde tüm banka bilgilerinizi kaptırmak istemezsiniz.
Gerçekten boşluğunuza gelebiliyor. Titrim “bilgi güvenliği uzmanı” iken tıklamışlığım var (neyse ki test amaçlı gönderilmişti). Tamamen yabancılarla çalışan, yüzlerce milyon euroluk projeleri yöneten ama bir anlık dalgınlığı yüzünden telefonla kandırılan tanıdığım var. Boşluğunuza gelebiliyor. Sosyal mühendislik bence buradaki en tehlikeli saldırı tipi.
FBI’a göre 2016'dan bu yana iş e-posta adreslerinin ele geçirilmesine yönelik saldırılar sonucunda saldırganların ele geçirdiği toplam para 43 milyar dolar.
Sözlükle saldırmak: Yukarıda bir liste paylaşmıştım. Saldırganlarda o listelerden bir sürü var gibi düşünebilirsiniz. Siz de ufak bir Google aramasıyla bir tane bulabilirsiniz. Şifrenizin ucuna numara ya da başına “-” eklemeniz şifrenizin bu şekilde bulunabilmesi açısından tek başına çok büyük bir engel değil.
Sizi hafif geren, sorduğunuz sorulara biraz sinirlenebilen, arada sırada mesaj attığınız IT’ciler bu saldırıya kurum içinde uğramanızı önlemek için baya bir uğraşıyor aslında. Arada size şifre değiştirtmekten tutun belli bir sayıda hatalı giriş denemesi sonrası kitlenen hesaplarınız bu saldırıyı önlemek için aslında, siz sinir olun diye değil. Kuvvetli şifre politikası burada önemli.
Daha önce çalıştığım yerlerden birinde benden yaka silkmişlerdi çünkü devamlı olarak şifrelerimi unutup hesabı kilitliyordum. Şifrelerinizi devamlı unutuyorsanız “password vault” uygulamalarını deneyebilirsiniz.
Brute force: Brute force olarak geçen bu saldırı aslında sözlük saldırısı ile paralel gidiyor. Normal şartlar altında şifreleriniz, şifreyi girdiğiniz yer ile ilintili bir yerlerde tutulmak zorunda. Şimdi burada bu şifrelerin tabii ki şifreli (Türkçe yetmiyor, encrypted diyelim) tutuluyor olduğunu söyleyebilirim ama bazen insanın basireti bağlanabiliyor ve öööyle tutabiliyorlar. Bu tip olaylar olduğunda ana habere falan çıkıyorsunuz.
Biz gene de örneğimizde şifreli tutalım bu şifreleri. Bu şifreleri tutan kurum haliyle göremiyor, hash değeri var ellerinde sadece. Şayet hash, girdiğiniz şifreden alınan hash ile tutuyorsa tamam, şifre doğru deniyor. Bu saldırı tipinde devamlı şifre denenerek girişe çalışılıyor. Yukarıdaki sözlük saldırısı ve aşağıda devam edeceğim birkaç farklı tip aslında brute force alt tipleri.
Genellikle belli sayıda giriş sonrası hesabı kilitlemek, belli sürelerde şifre değiştirtmek, belli şifre tiplerini (büyük — küçük harf, rakam, karakter vb.) zorlamak gibi önlemler alınıyor.
Şifre spreyleme (Password Spraying): Bunu kafada şaka yollu çevirmemek çok zor. Bu da bir brute force saldırı yöntemi aslında, sadece “tek bir hesaba giriş yapmayı hesap kilitlenene kadar dene” olarak özetleyebileceğimiz brute force’tan (adı üzerinde) farklı olarak burada birden fazla kullanıcı için, sık kullanılan belli başlı şifreler ile şans deneniyor. Bu sayede hem ya tutarsa saldırı alanı genişlemiş oluyor hem de kilitlenme ihtimali azaltılıyor.
Key logging attack: Keylogging ile yapılmak istenen şey yazdığınız her şeyin bir kaydının saldırgana gitmesi. Burada saldırganın, diğer yöntemlerden biri aracılığıyla bu tip kötü amaçlı bir programı bilgisayarınıza kurması gerekiyor.
Çoklu kimlik doğrulama (Multi Factor Authentication) yöntemleri burada tek başına şifre ile bir yere girişi imkansız hale getiriyor. Ancak MFA kullanmadığınız bir yere girerken şifrenizi yazdığınızda, bu tip bir araç arkada çalışıyorsa şifreniz çalınabiliyor demektir.
Traffic Interception: Internette dolaşırken aslında bir yerlere veri gönderirsiniz ya da bir yerlerden size veri gelir. Bu verilere paket deniyor. Bu paketlerin içine bakılabiliyor. İngilizcede bu işleme packet sniffing demeyi uygun görmüşler çünkü yazılımcılar geliştirdikleri araçların yaptığı şeyleri çok ilginç şekillerde tanımlayabiliyorlar. Packet sniffer denilen bu araçlar ile, şayet giden ve gelen paketler şifrelenmiş (encryption) değilse ya da kullanılan şifreleme yöntemi yeterince kuvvetli değilse, bu kokudan şifrelerinizin ele geçme riski var.
Packet sniffer araçları aynı zamanda zafiyet analizlerinde ve sızma testlerinde de kullanılıyor. Burada sizin şifrenizin gücünden ziyade trafiğin şifrelenip şifrelenmediği önem taşıyor. Siz ne kadar önlem almış olursanız olun, tam olarak da bu önlemlerin önüne geçebilmek için, saldırı bu sefer siz girme iznini alırken yapılıyor. Yani adeta araya giriyor saldırgan.
Araya girmek demişken,
Ortadaki adam (Man in the Middle, MitM): Authentication ve Authorization farklı şeyler.
Siz, girmek istediğiniz yer ve elinizde tuttuğunuz kimlik olarak üçe bölünelim. Bir yere gireceksiniz. Sizinle kimlik arasındaki bağlantı authentication, sizin girmek istediğiniz yere girip giremeyeceğinizin karşılaştırılması ise authorization oluyor.
Şirketinize gireceksiniz, kimliğinizi okutarak auhtentication’dan geçtiniz. Sistem odasına geldiniz. Kimliği okuttuğunuz yere girme yetkiniz var mı? Mesela şirketin kapısından girebiliyorken sistem odasına girme yetkiniz olmayabilir, kartı okuttunuz ama kilit açılmadı; çünkü authorization yok.
Bu saldırıda saldıran kişi aslında sizinle girmek istediğiniz yer arasına girip, sizmiş gibi davranarak içeri girmeyi başarıyor. Burada başka saldırı tiplerini de kullanıyor olabilir, örneğin kimlik bilgilerinizi sizi bir şekilde girmek istediğiniz siteye çok benzeyen bir yere sokup size bizzat girdirerek ele geçiriyor olabilir (phishing). E-maillere dikkat etmekten şifrenizi basit bir şekilde ortalık yerlerde tutmamaya kadar, pek çok genel güvenlik farkındalığı uygulaması bu atağa karşı önlem olarak kabul edilebilir.
Burada aslında bazı saldırı tiplerini kuvvetli şifre ile engelleyemeyebilirsiniz, ancak ne olduklarını bilmek ister istemez riski azaltacaktır.
Tabi kuvvetli bir şifre kullanmak, bu kuvvetli şifreleri sık sık değiştirmek, Bu sık sık değiştirdiğiniz kuvvetli şifreleri oraya buraya yazmamak, oraya buraya yazmadığınız ve sık sık değiştirdiğiniz ama yaz yaz illallah ettiren bu kuvvetli şifreleri bir şifre kasasına koymak ve artık akılda sadece bir tane, mümkün olduğunca değiştirilen, tercihen MFA ile öyle herkesin rahat rahat açamayacağı derecede şifrelenmiş olarak korunmakta olan telefonunuzdaki bir authenticator’a da bağlı olan şifre ile bu kasayı şifrelemek iyi bir fikir olabilir. Bu konudaki ciddiyetiniz kredi kartınızın ya da kimlik bilgilerinizin çalınmasından sizi bir gün kurtarabilir.
- Buna baktım. Dünya Şifre Günü’nü ilk olarak 2005 yılında Perfect Passwords adlı kitabında Mark Brunett önermiş. Daha sonrasında farkındalığı artırma amacıyla 2013’te Intel uygulamaya geçirmiş. Tedarikçi tahminim tuttu 🙂
