Şifre Güvenliği Ve Hack

**Prof. Dr. Sinsi** · 08-26-2012

Hayatımızı saran şifrelerin anlamı, gücü ve onları çözen hackerların kullandığı yöntemler

Hayatımız şifrelerle dolup taştı! Evde, işte, sokakta, her yerde şifre üzerine şifre kullanıyoruz

Daha 2002 yılında yapılan araştırmalar, ortalama bir modern insanın 21 şifreyi aklında tutması gerektiğini gösteriyordu

E-posta hesabının, üye olunan sitelerdeki kullanıcı hesaplarının ve çok yaygın kullanılan MSN ve Facebook gibi sosyal araçların şifreleri günlük hayatın bir parçası

Cep telefonunun pin kodundan, kredi kartı şifresine herkesin hatırlamak zorunda olduğu şifrelerin yanında, internet kullanımının da kafalarımıza yüklediği bir yük söz konusu

Peki bu şifreler hayatımıza nereden girdi? Bir şifre nedir? En basit cevap şu ki, şifre sadece iki tarafın bildiği gizli bir bilgidir

Bu gizli bilgi sayesinde taraflar birbirlerini güvenli olarak tanımlayabilirler

Şifre ve parola tarihinden bir sayfa

Şifrelerin kayıtlı kullanımı Roma tarihine ve hatta daha öncesine uzanıyor

Bir cumhuriyet ve bir imparatorluk olarak Roma, modern dünyadaki pek çok unsura, kolayca anlaşılır örnekler bulabileceğimiz bir uygarlık

Roma'da muhafızlar belirli bölgelere ya da binalara girmeye çalışan insanları durdurarak şifre sorarlardı

Ancak şifreyi bilenlerin oraya girmeye izni vardı

Kamp kumandanı her gün şifrenin yazılı olduğu tahta bir tableti muhafızlara verirdi

Muhafızlar bu tableti kendi aralarında dolaştırarak kendi kişisel işaretlerini üzerine kazırdı

Tablet kumandana geri döndüğünde, kumandan bütün muhafızların şifreyi aldığını anlardı

Bugün şifre ya da parola halen askerliğin temellerinden birisidir

Karşıdakinin dost mu yoksa düşman mı olduğunu anlamak için parola sorulur

Bilmiyorsa ya tutulur ya da vurulur; genellikle vurulur

Bilgisayar tarihinde şifre

Bilgisayarda ise şifreler neredeyse işletim sistemleri kadar eskidirler

Şifrelerin ilk kullanımının MIT'in Compatible Time Sharing System'de, 1961 yılında kullanıldığı söylenmektedir

Şifre konuyorsa ortada gizli bir bilgi var demektir

Bilgi gizleniyorsa ortada o bilginin korunduğu bir 3

kişi de söz konusudur

Bu kişiler, bilgiye erişebilmek için şifreyi tahmin etmeye çalışırlar

O zamandan bu yana hem şifre oluşturmak, hem de bu şifreleri çözmek karşılıklı bir yarış halini almıştır

Şifreleri çözmenin ilk yolu tahmin etmektir

İhtimaller çok düşük görülse de, zeki tahminler, tahmin edebileceğinizden daha çok şifrenin çözülmesinde rol oynamaktadır

Kart şifresi, PIN kodu, e-posta

Günlük hayatını sürdüren sıradan bir kullanıcının hatırlamak zorunda olduğu şifre sayısı, miktar olarak hiç de az değil

Bu tür şifrelerle başa çıkmak için kullanılabilecek bazı araçları daha önceki makalelerimizde sizlerle paylaşmıştık

Şifre depolayan ve otomatik olarak giren araçlar, her kullanıcının tercihi değil

Sonuçta bilgisayardan çok, insanın kendi aklına güvenmesi gayet doğal bir durum

Peki ya insan aklı nasıl çalışıyor? Aklımızda tuttuğumuz şifreler, programlar içerisinde sakladığımı şifrelerden daha mı güvende? Ne yazık ki hayır, sizi tanıyan biri söz konusuysa, akılda tuttuğunuz şifreler de güvenli değil

Bunun için zihin okumaya gerek yok, iş yerinde bilgisayarınızın yanında duran bir fotoğraf, bir yazı, ya da arada yaptığınız futbol muhabbetlerinden akılda kalan isimler bir hackerın işini rahatlıkla görebiliyor

Bazı şifre kırıcılar, eğlencesine çevrelerindeki insanlar ile gündelik hayat üzerine sohbet edip, öğrendikleriyle şifre çözdüklerini itiraf ediyorlar

Çünkü insanlar, kendileri için önemli olan, devamlı akıllarında kalacak kelimeleri şifre olarak kullanıyor

Şifreleme olmadan internet

Bilgisayar çağı boyunca pek çok şifreleme yöntemi geliştirildi ve kırıldı; yenisi geliştirildi ve o da kırıldı

Sonuçta bu devamlı ilerleyen bir alan ve eski yöntemlerde ısrar edenleri kesinlikle affetmiyor

En kötü veri saklama yöntemlerinden bir tanesi, kullanıcı isim ve şifrelerini sunucuda düz metin dosyaları olarak saklamak

Bu bilgileri veritabanına giren herkes ele geçirebiliyor

Bir diğer güvensiz yöntem de verileri şifrelemeden aktarmak da aynı şekilde güvensiz

Zararlı yazılımlar aktarım sırasında araya girerek veriyi kopyalayabiliyorlar

İşte bu yüzden veri paketlerinin şifrelenerek aktarılması gerekiyor

İnternet kullanıcılarının hassas bilgilerini kesinlikle ve kesinlikle şifrelenmemiş bağlantılar üzerinden yollamamalarını tavsiye ediyoruz

Bankacılık işlemlerinizde ve online alışveriş yaparken hangi sayfada olduğunuza bir bakın

Güvende olduğunuzu nasıl anlarsınız?

Verilerinizin şifrelenerek aktarıldığını anlamak ise çok kolay

İnternet tarayıcınızdaki adres çubuğunda, bulunduğunuz sayfanın adresinin yanında bunu gösteren bir sembol var

Bu sembol bir asma kilit, asma kilit gördüğünüz sayfalarda, adresin başına dikkat ederseniz protokol olarak http değil https kullanıldığını görürsünüz

Https'in sonundaki S harfi, Secure yani güvenli manasına gelir

Https dijital sertifikalardan yararlanır

Bu sertifikalar, bağlandığınız sitenin güvenli olduğunun yetkili makamlarca denetlendiğini ve onaylandığını gösterir

Asma kilit ikonuna tıklayarak, o sitenin sahip olduğu güvenlik sertifikasını görebilirsiniz

En yaygın göreceğiniz sertifikalardan birisi de Verisign'dır

Detaylar kısmına girerek site ile aranızdaki trafiğin şifrelenmesinde ne kadar güçlü bir sistemin kullanıldığını görebilirsiniz

Kullanıcı dostu bir örnek: PayPal

PayPal gibi ödeme sistemlerinde tüketici güveni ve güvenliği son derece önemli olduğu için, ticari kullanımına izin verilen en güvenli şifreleme sistemi olan 168 bit SSL'yi kullanıyor

Firefox altında da https kullanan bir sayfada adres satırının solunda site ismine tıklarsanız güvenlik sertifikasını görebilir, detaylara inerek daha fazla bilgi edinebilirsiniz

Erişeceğiniz bilgiler oldukça çeşitli olacaktır

Ancak AES ve RSA şifreleme sistemlerinin birbirinden farklı olduğunu ve verilen bazı bit değerlerinin de birbiriyle kıyaslanamayacağını belirtelim

Yine de daha çok bit, hangi sistemde olursa olsun, o şifrenin kırılması için daha çok kombinasyonun denenmesi gerektiği ifade eder

Bu arada bazı sitelerde http'nin sonuna s eklediğinizde, admin'in sessizce açtığı güvenli 443 portu üzerinden bağlanabilirsiniz

Ancak önemli sitelerde bu zaten açıkça görülür

Hackin H'sinden habersizler, hesap hackleyebilir!

Bilgisayarlarda şifreler ve kullanıcı hesapları şifreli olarak saklanır

İşletim sistemleri asimetrik algoritmalar ile girilen şifreleri hesaplar ve çözülmesi zor biçimlerde iletir

Bu şifreler yeterince fazla deneme yapılırsa çözülebilir

Buna kaba güç metodu denir ve uzun şifrelerde, yüksek güvenlik sağlayan algoritmalarda bu metodun başarılı olması zordur

Eklenen her karakter veya farklı karakter denenecek pek çok kombinasyon ekler

Ancak genellikle kaba kuvvete, yani bütün potansiyel karakter kombinasyonlarını tek tek denemeye gerek yoktur

Sözlük saldırıları daha kısa sürede ve daha az denemede şifreleri bulabilir

Kullanıcılar akılda kalması için anlam ifade eden kelimeler seçer

Sözlük saldırıları da anlamlı kelimeleri dener

Böylece bir futbol takımının adını şifre olarak kullananlar, ilk ve en kolay avlananlar olurlar

Teknolojinin kullanıcı hatasına karşı yapabileceği bir şey yok, algoritma istediği kadar gelişmiş olsun, iş kullanıcıda bitiyor

İşte yaşanmış gerçek bir olay!

Şifrelerinizi akılda kalıcı ama güvenli tutmak istiyorsanız anlamlı kelimelerin baş harflerinden anlamsız bir şifre oluşturun

Akılda tutması biraz daha zor olsa da buna değecektir

Bazı şifre kırıcıların, kullanıcıların özel hayatlarından yararlanmayı sevdiğini aktarırken dalga geçmiyorduk

Croll isimli bir hacker, Google Apps'ın şifre resetleme mekanizmasını kullanarak, bir Twitter çalışanının Gmail hesabını ele geçirdi

Şifre resetleme işlemi, şifresini unutan kullanıcılara özel bir soru soruyor

Croll, Twitter çalışanı hakkında bilgi toplayarak hesabının sorusunu tahmin etmeyive ele geçirmeyi başardı

Sonra onun hesabıyla başka kişilerin kişisel bilgilerini öğrendi ve bunları kullanarak daha fazla insanın hesabını hackledi

Bunlar arasında Twitter CEO'su Evan Williams'ın eşi bile vardı

Yani keskin bir zeka ve iyi gözlemcilik insana pek çok kapıyı açıyor

Sözlük saldırısının inanılmaz gücü!

Bazen işler bunda da kolay olabiliyor

Tembel bir sistem yöneticisinin kullanıcı hesap adıyla şifresini aynı koyması yolu açabiliyor

Kendi şifrenizin gücünü ölçmek için 15 gün ücretsiz denemeye izin veren L0phtcrack yazılımını kullanabilirsiniz

Pcap isimli eklentiyi kurarak ağ bağlantı kartından geçen verileri yakalıyor

Wireshark gibi bir yazılım kullanıyorsanız zaten sisteminizde kurulu olacaktır

Bu yazılım testlerde 8 karakterli İngilizce kelimeleri 29 saniye içerisinde kırabiliyor

10 Karakterli yine İngilizce sözlükten seçilen bir kelimeyi de 32 saniyede kırıyor

Bunu ortalama bir bilgisayarda yaptığı düşünülürse, dümdüz bir kelime yazmanın ne kadar anlamsız olduğu anlaşılır

Lisanslı sürümü farklı test yöntemlerini de beraberinde getiriyor

Ancak amacımız bu yazılımı tanıtmak değil, sizleri daha dikkatli olmaya çağırmak

Bütün şifreler kırılabilir ama yeterince zor bir şifre, sizi can sıkıcı ve düşük yetenekli saldırganlardan koruyacak, onları bezdirecektir

Gerçekten önemli şifrelerinizi belirli aralıklarla değiştirmeniz de uzun vadede güvenliğiniz için yararlı olacaktır

Özellikle e-posta adresinizde kullandığınız kullanıcı isim ve şifrenizi başka sitelerde kullanmayın

E-posta pek çok hesabınızı hacklemekte kullanılan, önemli bir bilgi kaynağı, anahtar bir hesaptır; onu ve kendinizi koruyun

08-26-2012	#1
Prof. Dr. Sinsi	Şifre Güvenliği Ve Hack Hayatımızı saran şifrelerin anlamı, gücü ve onları çözen hackerların kullandığı yöntemler Hayatımız şifrelerle dolup taştı! Evde, işte, sokakta, her yerde şifre üzerine şifre kullanıyoruz Daha 2002 yılında yapılan araştırmalar, ortalama bir modern insanın 21 şifreyi aklında tutması gerektiğini gösteriyordu E-posta hesabının, üye olunan sitelerdeki kullanıcı hesaplarının ve çok yaygın kullanılan MSN ve Facebook gibi sosyal araçların şifreleri günlük hayatın bir parçası Cep telefonunun pin kodundan, kredi kartı şifresine herkesin hatırlamak zorunda olduğu şifrelerin yanında, internet kullanımının da kafalarımıza yüklediği bir yük söz konusu Peki bu şifreler hayatımıza nereden girdi? Bir şifre nedir? En basit cevap şu ki, şifre sadece iki tarafın bildiği gizli bir bilgidir Bu gizli bilgi sayesinde taraflar birbirlerini güvenli olarak tanımlayabilirler Şifre ve parola tarihinden bir sayfa Şifrelerin kayıtlı kullanımı Roma tarihine ve hatta daha öncesine uzanıyor Bir cumhuriyet ve bir imparatorluk olarak Roma, modern dünyadaki pek çok unsura, kolayca anlaşılır örnekler bulabileceğimiz bir uygarlık Roma'da muhafızlar belirli bölgelere ya da binalara girmeye çalışan insanları durdurarak şifre sorarlardı Ancak şifreyi bilenlerin oraya girmeye izni vardı Kamp kumandanı her gün şifrenin yazılı olduğu tahta bir tableti muhafızlara verirdi Muhafızlar bu tableti kendi aralarında dolaştırarak kendi kişisel işaretlerini üzerine kazırdı Tablet kumandana geri döndüğünde, kumandan bütün muhafızların şifreyi aldığını anlardı Bugün şifre ya da parola halen askerliğin temellerinden birisidir Karşıdakinin dost mu yoksa düşman mı olduğunu anlamak için parola sorulur Bilmiyorsa ya tutulur ya da vurulur; genellikle vurulur Bilgisayar tarihinde şifre Bilgisayarda ise şifreler neredeyse işletim sistemleri kadar eskidirler Şifrelerin ilk kullanımının MIT'in Compatible Time Sharing System'de, 1961 yılında kullanıldığı söylenmektedir Şifre konuyorsa ortada gizli bir bilgi var demektir Bilgi gizleniyorsa ortada o bilginin korunduğu bir 3 kişi de söz konusudur Bu kişiler, bilgiye erişebilmek için şifreyi tahmin etmeye çalışırlar O zamandan bu yana hem şifre oluşturmak, hem de bu şifreleri çözmek karşılıklı bir yarış halini almıştır Şifreleri çözmenin ilk yolu tahmin etmektir İhtimaller çok düşük görülse de, zeki tahminler, tahmin edebileceğinizden daha çok şifrenin çözülmesinde rol oynamaktadır Kart şifresi, PIN kodu, e-posta Günlük hayatını sürdüren sıradan bir kullanıcının hatırlamak zorunda olduğu şifre sayısı, miktar olarak hiç de az değil Bu tür şifrelerle başa çıkmak için kullanılabilecek bazı araçları daha önceki makalelerimizde sizlerle paylaşmıştık Şifre depolayan ve otomatik olarak giren araçlar, her kullanıcının tercihi değil Sonuçta bilgisayardan çok, insanın kendi aklına güvenmesi gayet doğal bir durum Peki ya insan aklı nasıl çalışıyor? Aklımızda tuttuğumuz şifreler, programlar içerisinde sakladığımı şifrelerden daha mı güvende? Ne yazık ki hayır, sizi tanıyan biri söz konusuysa, akılda tuttuğunuz şifreler de güvenli değil Bunun için zihin okumaya gerek yok, iş yerinde bilgisayarınızın yanında duran bir fotoğraf, bir yazı, ya da arada yaptığınız futbol muhabbetlerinden akılda kalan isimler bir hackerın işini rahatlıkla görebiliyor Bazı şifre kırıcılar, eğlencesine çevrelerindeki insanlar ile gündelik hayat üzerine sohbet edip, öğrendikleriyle şifre çözdüklerini itiraf ediyorlar Çünkü insanlar, kendileri için önemli olan, devamlı akıllarında kalacak kelimeleri şifre olarak kullanıyor Şifreleme olmadan internet Bilgisayar çağı boyunca pek çok şifreleme yöntemi geliştirildi ve kırıldı; yenisi geliştirildi ve o da kırıldı Sonuçta bu devamlı ilerleyen bir alan ve eski yöntemlerde ısrar edenleri kesinlikle affetmiyor En kötü veri saklama yöntemlerinden bir tanesi, kullanıcı isim ve şifrelerini sunucuda düz metin dosyaları olarak saklamak Bu bilgileri veritabanına giren herkes ele geçirebiliyor Bir diğer güvensiz yöntem de verileri şifrelemeden aktarmak da aynı şekilde güvensiz Zararlı yazılımlar aktarım sırasında araya girerek veriyi kopyalayabiliyorlar İşte bu yüzden veri paketlerinin şifrelenerek aktarılması gerekiyor İnternet kullanıcılarının hassas bilgilerini kesinlikle ve kesinlikle şifrelenmemiş bağlantılar üzerinden yollamamalarını tavsiye ediyoruz Bankacılık işlemlerinizde ve online alışveriş yaparken hangi sayfada olduğunuza bir bakın Güvende olduğunuzu nasıl anlarsınız? Verilerinizin şifrelenerek aktarıldığını anlamak ise çok kolay İnternet tarayıcınızdaki adres çubuğunda, bulunduğunuz sayfanın adresinin yanında bunu gösteren bir sembol var Bu sembol bir asma kilit, asma kilit gördüğünüz sayfalarda, adresin başına dikkat ederseniz protokol olarak http değil https kullanıldığını görürsünüz Https'in sonundaki S harfi, Secure yani güvenli manasına gelir Https dijital sertifikalardan yararlanır Bu sertifikalar, bağlandığınız sitenin güvenli olduğunun yetkili makamlarca denetlendiğini ve onaylandığını gösterir Asma kilit ikonuna tıklayarak, o sitenin sahip olduğu güvenlik sertifikasını görebilirsiniz En yaygın göreceğiniz sertifikalardan birisi de Verisign'dır Detaylar kısmına girerek site ile aranızdaki trafiğin şifrelenmesinde ne kadar güçlü bir sistemin kullanıldığını görebilirsiniz Kullanıcı dostu bir örnek: PayPal PayPal gibi ödeme sistemlerinde tüketici güveni ve güvenliği son derece önemli olduğu için, ticari kullanımına izin verilen en güvenli şifreleme sistemi olan 168 bit SSL'yi kullanıyor Firefox altında da https kullanan bir sayfada adres satırının solunda site ismine tıklarsanız güvenlik sertifikasını görebilir, detaylara inerek daha fazla bilgi edinebilirsiniz Erişeceğiniz bilgiler oldukça çeşitli olacaktır Ancak AES ve RSA şifreleme sistemlerinin birbirinden farklı olduğunu ve verilen bazı bit değerlerinin de birbiriyle kıyaslanamayacağını belirtelim Yine de daha çok bit, hangi sistemde olursa olsun, o şifrenin kırılması için daha çok kombinasyonun denenmesi gerektiği ifade eder Bu arada bazı sitelerde http'nin sonuna s eklediğinizde, admin'in sessizce açtığı güvenli 443 portu üzerinden bağlanabilirsiniz Ancak önemli sitelerde bu zaten açıkça görülür Hackin H'sinden habersizler, hesap hackleyebilir! Bilgisayarlarda şifreler ve kullanıcı hesapları şifreli olarak saklanır İşletim sistemleri asimetrik algoritmalar ile girilen şifreleri hesaplar ve çözülmesi zor biçimlerde iletir Bu şifreler yeterince fazla deneme yapılırsa çözülebilir Buna kaba güç metodu denir ve uzun şifrelerde, yüksek güvenlik sağlayan algoritmalarda bu metodun başarılı olması zordur Eklenen her karakter veya farklı karakter denenecek pek çok kombinasyon ekler Ancak genellikle kaba kuvvete, yani bütün potansiyel karakter kombinasyonlarını tek tek denemeye gerek yoktur Sözlük saldırıları daha kısa sürede ve daha az denemede şifreleri bulabilir Kullanıcılar akılda kalması için anlam ifade eden kelimeler seçer Sözlük saldırıları da anlamlı kelimeleri dener Böylece bir futbol takımının adını şifre olarak kullananlar, ilk ve en kolay avlananlar olurlar Teknolojinin kullanıcı hatasına karşı yapabileceği bir şey yok, algoritma istediği kadar gelişmiş olsun, iş kullanıcıda bitiyor İşte yaşanmış gerçek bir olay! Şifrelerinizi akılda kalıcı ama güvenli tutmak istiyorsanız anlamlı kelimelerin baş harflerinden anlamsız bir şifre oluşturun Akılda tutması biraz daha zor olsa da buna değecektir Bazı şifre kırıcıların, kullanıcıların özel hayatlarından yararlanmayı sevdiğini aktarırken dalga geçmiyorduk Croll isimli bir hacker, Google Apps'ın şifre resetleme mekanizmasını kullanarak, bir Twitter çalışanının Gmail hesabını ele geçirdi Şifre resetleme işlemi, şifresini unutan kullanıcılara özel bir soru soruyor Croll, Twitter çalışanı hakkında bilgi toplayarak hesabının sorusunu tahmin etmeyive ele geçirmeyi başardı Sonra onun hesabıyla başka kişilerin kişisel bilgilerini öğrendi ve bunları kullanarak daha fazla insanın hesabını hackledi Bunlar arasında Twitter CEO'su Evan Williams'ın eşi bile vardı Yani keskin bir zeka ve iyi gözlemcilik insana pek çok kapıyı açıyor Sözlük saldırısının inanılmaz gücü! Bazen işler bunda da kolay olabiliyor Tembel bir sistem yöneticisinin kullanıcı hesap adıyla şifresini aynı koyması yolu açabiliyor Kendi şifrenizin gücünü ölçmek için 15 gün ücretsiz denemeye izin veren L0phtcrack yazılımını kullanabilirsiniz Pcap isimli eklentiyi kurarak ağ bağlantı kartından geçen verileri yakalıyor Wireshark gibi bir yazılım kullanıyorsanız zaten sisteminizde kurulu olacaktır Bu yazılım testlerde 8 karakterli İngilizce kelimeleri 29 saniye içerisinde kırabiliyor 10 Karakterli yine İngilizce sözlükten seçilen bir kelimeyi de 32 saniyede kırıyor Bunu ortalama bir bilgisayarda yaptığı düşünülürse, dümdüz bir kelime yazmanın ne kadar anlamsız olduğu anlaşılır Lisanslı sürümü farklı test yöntemlerini de beraberinde getiriyor Ancak amacımız bu yazılımı tanıtmak değil, sizleri daha dikkatli olmaya çağırmak Bütün şifreler kırılabilir ama yeterince zor bir şifre, sizi can sıkıcı ve düşük yetenekli saldırganlardan koruyacak, onları bezdirecektir Gerçekten önemli şifrelerinizi belirli aralıklarla değiştirmeniz de uzun vadede güvenliğiniz için yararlı olacaktır Özellikle e-posta adresinizde kullandığınız kullanıcı isim ve şifrenizi başka sitelerde kullanmayın E-posta pek çok hesabınızı hacklemekte kullanılan, önemli bir bilgi kaynağı, anahtar bir hesaptır; onu ve kendinizi koruyun