Desing by Sgt.Simon Riley

İnternet ve Sosyal Medya Hesapları Güvenliği

Geçtiğimiz günlerde Efe Kerem Sözeri tarafından güzelce ele alınan bir konuydu yalnız bende bu konuya kayıtsız kalamayıp bir kaç ilave yapmak istedim. Mümkün mertebe sade bir dil kullandım ve teknik konulara pek girmedim.

Evvela Starbucks, Midpoint ve benzeri mekanlarda katiyen Wi-Fi ağına katılmayınız. Çünkü hiç kimse köşe başında sessizce kahvesini yudumlayıp MacBook’unu kendine has havasıyla kullanan genç kadar masum değil.
Çeşitli programlarla ağdaki kişilerin ön bellekteki şifreleri, kayıtlı şifrelerini çalabilir ve de o an ki veri akışını an ve an dinliyor olabilir.

Yukarıdaki Wifizoo buna sadece bir örnek benzer olarak çeşitli programlar var. “Siz Apple MacBook kullanan çocuktan hoşlanırsız ama asıl maharet sessizce bir köşede BlackArch kullanan çocukdadır.” Neyse konumuz bu değil.
Diyelim ki herkese açık bir ağda bağlamak zorundasınız bazı belediyeler meydanlarda herkesin bağlanması için ücretsiz hizmetler sunuyor bu hizmetler hackerların ağzını sulandırıyor. Bu tip ağlarda iki adımlı şifre ile giriş yapın bankalarda olduğu gibi yani hem şifre gireceksiniz hemde SMS ile gelen tek kullanımlık şifreyi gireceksiniz.
(Facebook’da uzun bir süredir bu özellikler var Twitter’a yakında geliyor). Böylelikle işi biraz daha zorlaştırmış olacaksınız. Ve mümkün olduğunca ssl(httpS) ile bağlanın. Şifre girerken de mutlaka sitede varsa sanal klavye yoksa bilgisayardaki sanal klavyeyi kullanmayı tercih edin. Zira siz farkında olmadan bilgisayarınıza keylogger ve benzeri bir sinsi bir program girdiyse klavyeden girdiğiniz her karakteri takip edebilirler.

İnternette gezerken dikkat edilmesi gereken bir diğer önemli husus. Karşınıza çat diye çıkan Flash Player’ı güncelle gibi şeyler, katiyen itibar etmeyiniz. Eğer Flash Player güncellenmesi gerekiyorsa bunu size bir web sayfasından değil masa üstünde ki bildirim merkezinden size seslenir.
Bir diğer önemli nokta internettende bir şey indirmeniz gerek diyelim “download” ederken sayfada zilyon tane download butonu var doğru buton en az gösterişli olan ama siz yanlış olana yanlışlıkla tıkladınız diyelim oradan kesinlikle bir şey indirmeyin tarayıcı için bir plug-in ya da her hangi bir virüsün habericisidir Hotfile, MegaUpload gibi sitelerden indirirken indireceğiniz dosyayı farklı kaydetme esnasında kontrol edin eğer .exe uzantısı ile inecekse sakın indirmeyin bilin ki o kötü amaçlı bir yazılımdır. İndirilen dosya her zaman .rar uzantısıyla iner.
Örnek: crack.rar olarak inmesi gerekir eğer ki crack.exe olarak indiyse %100 kurulmayı bekleyen bir virüstür derhal silin ve anti virüs taraması yapın. İsme dikkat edin siz ne indirecekseniz o isme bürünüyor. müzik.exe, crack.exe, indireceğinizdosyaisimi.exe gibi gibi gibi…

Bu tip uzantılar geçtiğimiz günlerde bir yakınıma bulaştı, chrome’a bir eklenti olarak geliyor ama eklentiyi kaldıramıyorsunuz neredeyse imkansız. Admin yetkisiyle yerleşiyor Group Policy’lerden aldığı yetki ile silmek tamamen imkansız hale geliyor. AppLocal’den silseniz dahi kalkmıyor. Ad-Aware, Malware tarzı programlarda pek bir işe yaramıyor eğer chrome hesabınıza giriş yapılıyken bu olay oluyorsa diğer cihazlarınızla sync oluyor kaldırsanız dahi her yere sıçrıyor çok zekice düşünülmüş ve her türlü ihtimali düşünmüşler. Hesabı disable hale getirip applocal’den, regedittenden, admin yetkisiyle gp’den kaldırmanız gerekiyor hatta mümkünse bilgisayarı bir gün kadar geri alın.

Sitelere üye olurken forum, warez tarzı oluşturduğunuz şifre, e-mail hesabınızın ki ile aynı olmasın vaktiyle istatistiksel maksat ile denedik yaklaşık 500 kişiden 300 kişi kadarı forumdaki şifresiyle mail şifresi aynı, bu yüzlerce sosyal medya hesabını ele geçirmek demek.

Hackerlar bir kaç gruba ayrılırlar bunları hepimiz biliyoruz birde sadece normal bir vatandaştan bir tık ileri seviyede bilgisayar bilgisine sahip günümüz sosyal mühendisleri var bunlardan korunmak için facebook ve twitterdaki vb yerlerde detaylı bilgilerinizi profilinize girmeniz çok büyük bir hata bunlar üzerinden yürüyerek çok şey yapılabilir.

Bknz: Kevin Mitnick — Aldatma Sanatı (Şiddetle tavsiye edilir)

Şifre oluştururken, şifre şifre dedik ama nasıl olacak bu iş?

Şimdi herkes şifre kırmayı duymuştur peki nasıl oluyor bu muhabbet?
Temel olarak bir şifre vardır “X” bu bir sayı olduğunu farz edelim X’i nasıl bulacağız?

Kullanıcı adınız: xyx şifre: X kırıcı program gelir şifre 1'mi? değil. 2'mi cıkk 3? hayır …. 1992? hayır 1993? Evet! şeklinde saydırarak gider.

Ama doğum tarihiniz yanına “1993istanbul” desek bu iş biraz daha zorlanacak M.İ.T’de dinlediğim bir algoritma dersinde hoca şöyle anlatmıştı sadece sayılardan oluşan bir şifreyi kırmak 3 saat ile 3–4 gün arasında değişir sayı ve harf ve büyük küçük harf işin içine girince sistemin gücüne bağlı olarak 3 aydan 3 yıla kadar sürüyor ama hem sayı hem b-k karakter ve buna ek olarak *, -, _, / gibi özel karakterler dahil olunca bu süre 3 milyon yıla kadar gidebiliyormuş. Wow.

Tabi günümüz şartlarında 25 tane ekran kartı ile saniyede 250.000 tane şifre denemesi yapılıyor bu rakamlar pekte geçerli değil ama yok saymak yanlış olur.

Brute Force dediğimiz olayda TDK ve sağlam bir Oxford Eng. sözlükten tüm kelimeleri indirin birleştirin ve başlayın 100 hesaptan 95'i en geç 5 saatte kırılır. Bu oyunlara gelmeyin sağlam bir şifre oluşturun kompleks bir yapıda olsun.

Son olarak sağlam ve güncel bir anti-virüs programınız olsun ve bilgisayardaki oturumunuzu admin hesabıyla değil ikinci bir standart kullanıcı olarak kullanın ve yetkileri biraz kısıtlamanız da faide var.
Muhtemelen ilerleyen zamanlarda bu yazının devamı niteliğinde yada benzer bir şekilde bir yenisi daha gelir.

Yuri Korolyov
System Admin

One clap, two clap, three clap, forty?

By clapping more or less, you can signal to us which stories really stand out.