kralhakan2009 1
kralhakan2009
Vahsi Uzman 1
Vahsi Uzman
Cancan.1234 1
Cancan.1234
Hikaye Ekle

Siber Güvenlik Şifreler

Ayyıldız2 | 2008 TR Yapısı • 1-99 Orta Emek Destan • Oto Avsız • 10 Temmuz 21:00 HEMEN TIKLA!

Birçok sistem basit bir parola ile korunmaktadır. Bu ideal bir durum değildir çünkü parolalar çoğu durumda saldırganlar tarafından kolayca kırılabilir, tekrar kullanılabilir veya başka şekillerde kötüye kullanılabilir. Bu bölümde parolalara yönelik saldırılar ve savunmalar incelenecektir.

Parola Gücü

Güçlü bir parolayı ne belirler? Parolanın karmaşıklığı mı? Kaç karakteri olduğu mu? Özel karakter sayısı mı?

Ünlü çizgi roman yaratıcısı xkcd.com, aşağıdaki çizgi romanda parolaların nasıl saldırıya uğrayabileceğini mükemmel bir şekilde gösteriyor. Bir saniye inceleyin ve daha sonra tartışalım.

1773316511836.png


İlk şifre olan Tr0ub4dor&3'ü ele alırsak, bu şifre büyük harf, rakam, özel karakter içermesi ve 11 karakter uzunluğunda olması gibi çoğu şifre politikası kuralına uyacaktır. Ancak bu şifrenin bazı sorunları vardır:

Hatırlaması zor. İlk o (harf) karakterini 0 (rakam) ile mi değiştirdiniz, yoksa ikinciyi mi? a karakterini 4 ile mi değiştirdiniz, yoksa değiştirmediniz mi?

Yazması zor. Farklı harfleri, rakamları ve özel karakterleri özel bir sırayla yazmanız gerekiyor. Klavyenizde yazılan en hızlı kelimelerden biri olmayacaktır.

Çok güçlü değil! Şifre oldukça yaygın bir kelimeye dayanıyor ve çok fazla güç sunmuyor, sadece yaklaşık 28 bit entropi.

Bu olumsuz faktörlere sahip şifreler seçmek yerine, şifrelerin entropisini basit yollarla büyük ölçüde artırabiliriz. CorrectHorseBatteryStaple şifresini ele alırsak, şifrede önemli bir iyileşme görüyoruz:

Şifre yazması kolay. Birçok kişi için düzenli kelimeler yazmak günlük bir aktivitedir ve bu konuda gerçekten hızlanabilirsiniz.
Hatırlaması kolaydır. Şifrenin görsel bir resmini, bir atı, bir pili, bir zımba telini ve "doğru" kelimesini kullanarak, onu çok daha kolay hatırlayabiliriz.
Çoğu şifre kırma faaliyetine karşı önemli ölçüde daha güçlüdür! Yaklaşık 44 bit entropi sunarak kırılmasını gerçekten zorlaştırır.
Bu tür şifrelere parola cümlesi denir ve genellikle biraz karmaşıklığı olan basit bir kelimeden çok daha iyi bir uygulamadır. Şifrenizi daha da güçlü hale getirmek ve özel karakterler ve büyük harfler gibi şifre politikası kurallarına uymasını sağlamak için nasıl geliştirebileceğinizi düşünün! Şifrenizde boşluk bile kullanabilirsiniz, bu da parola cümlelerini yazmayı daha da doğal hale getirir.

Şifre Yöneticileri

Şifrenizi yazmak uzun yıllardır kötü bir uygulama olarak kabul edildi, ama gerçekten öyle mi? Çevrimiçi olarak birden fazla hizmette aynı şifreyi kullanmanın önemli bir riski vardır, ya bu platformlardan biri hacklenirse? O zaman bu şifre tehlikeye girer ve saldırganlar şifreyi kullanıldığı diğer tüm hizmetlerde yeniden kullanabilir.

Bu sorunu çözmek için, aynı şifrenin birden fazla hizmette tekrar kullanılmaması önerilir. Bu, kullanıcılar için gerçekten zor bir durumdur çünkü yalnızca benzersiz şifreler kullanmaları değil, aynı zamanda güçlü ve sağlam şifreler oluşturmaları da gerekmektedir! Bir şifre yöneticisi, kullanıcılara şifrelerini mümkün olduğunca güvenli bir şekilde bir dosyaya, veritabanına veya başka bir sisteme yazma olanağı sunarak bu sorunu çözmeye yardımcı olur; böylece şifrelere kolayca erişilebilir ve farklı hizmetlerde güçlü ve benzersiz olmaları sağlanır.

Doğru şekilde uygulandığında, bir şifre yöneticisi şunları sağlayacaktır:

İnternet kullanımını çok daha güvenli bir aktivite haline getirecektir.
Farklı hizmetler için şifreler kolayca bulunup, kopyalanıp, kullanıcının giriş yapmak istediği ilgili hizmetlere yapıştırılabildiğinden verimliliği artıracaktır.
Gerekirse yeni şifreleri sıfırlamanın ve yeniden oluşturmanın kolay yollarını sunacaktır.
Şifreleri yazmak, kullanıcılarımızın şifreleri tekrar kullanmalarına kıyasla çok daha düşük riskli olarak kabul edilir. Evet, bu mükemmel bir çözüm değildir çünkü şifre yöneticisi potansiyel olarak tehlikeye girebilir, ancak çok daha güvenli bir yaklaşım olarak kabul edilir.

Şifresiz Çözümler

Peki ya şifrelerin kendisi tamamen ortadan kaldırılabilseydi? Her gün uzun bir parola cümlesi yazmakta zorlanan biri mutlaka vardır. Bunun birkaç nedeni olabilir, örneğin:

Ofiste BT konusunda bilgisi olmayan çalışanlar
Hastanede farklı odalarda farklı hastaları ziyaret ederken her gün birçok farklı bilgisayarı kullanan bir doktor
Parola gerektiren sistemde parolayı yazmak zor olabilir
Kullanıcıların parola girmesini gerektirmeyen sistemlerin geliştirilmesi ve uygulanması hızla gelişmektedir. Kullanıcılardan parola ile kimlik doğrulaması istemek yerine, örneğin şunları kullanmalarına izin versek ne olurdu:

Örneğin yüzleri veya parmak izleri gibi kendileri olan bir şey
Örneğin bir token veya cep telefonları gibi sahip oldukları bir şey
Bunun zorlukları var, ancak güvenlik açısından, sorunu kullanıcılarımız için daha mı kötü yoksa daha mı iyi hale getiriyoruz? Mükemmel güvenlik sistemleri uygulamaya çalışmadığımızı, bunların genellikle ulaşılamaz ve uygulanamaz olduğunu hatırlamalıyız; bu nedenle, tehditleri nasıl sınırlayabileceğimiz ve aynı zamanda kullanıcılarımızın hayatını nasıl kolaylaştırabileceğimiz konusunda dikkatli düşünmeliyiz. Parolalar mükemmel değildir, parolasız çözümler de öyle. Kullanıcılarınız için hangisini uygulayacaksınız?

Çok Faktörlü Kimlik Doğrulama

Kullanıcıları doğrulamak için hangi çözüm kullanılırsa kullanılsın, hesaplarıyla ilgili önemli riskler olacağını öğrendiğimize göre, riski azaltmaya yardımcı olmak için başka çözümler de uygulanabilir.

Çok Faktörlü Kimlik Doğrulama, çözümlerin yalnızca örneğin şifrelerine göre bir kullanıcıyı doğrulamakla kalmayıp, aynı zamanda kullanıcıların kim olduklarını kanıtlamak için ikinci bir faktör sunmalarını gerektirmesine olanak tanır.

1773316551076.png


İkinci bir faktör istemenin birkaç farklı yolu olabilir. İşte birkaç örnek:

Akıllı telefonda bir kimlik doğrulama uygulaması kullanarak gizli bir kod sağlamak
Telefona SMS ("Kısa Mesaj Servisi") yoluyla gizli bir kod almak
Gizli bir kod sağlamak için donanım belirteci kullanmak
Kişiyi tanımlamak için parmak izi veya yüz sunmak
Yukarıdakilerin tümü, yalnızca şifrenin bilinmesini değil, aynı zamanda ikinci bir öğenin (bir faktörün) sağlanmasını da gerektirir.

Bu tür çözümler bazen kullanıcılar için çok müdahaleci olarak kabul edilir. Bu sorunu çözmeye yardımcı olmak için DAC ("İsteğe Bağlı Erişim Kontrolü") kavramı uygulanabilir. DAC, giriş çözümünün bir kullanıcıya çok faktörlü bir kodla meydan okuyup okumayacağını değerlendirmesine olanak tanır. Örneğin, çok faktörlü bir kod yalnızca bir kullanıcı şu durumlarda gerekli olabilir:

Yeni bir konumdan giriş yaptığında
Uygulamaya erişmek için farklı bir tarayıcı veya yazılım kullandığında
Uygulamada hassas bir işlem yapmaya çalıştığında, örneğin şifre değiştirme veya belirli bir eşiğin üzerinde para işlemi gerçekleştirme

Şifre Tahmini

Saldırganlar uygulamalar ve hizmetlerle karşılaştıklarında, şifre tahmin etme fırsatı bulabilirler. Şifre tahmin etme, saldırganların ağ üzerinden uygulamayla etkileşime girerek farklı kullanıcı adı ve şifre kombinasyonlarını denemesini içeren bir faaliyettir.

Şifre tahmin etme, saldırgana zayıf kullanıcı adı ve şifre kombinasyonuna sahip hesapları bulma fırsatı verir.

1773316625817.png


Saldırgan, giriş yapabileceği geçerli bir hesap bulmayı başarırsa, saldırgana yeni fırsatlar sunulur. Saldırganın artık hangi işlevselliğe ve verilere erişebileceğini düşünün. İşte bir saldırganın birinin şifresini başarıyla tahmin ettiği bazı örnekler:

Saldırgan, bir çalışanın e-posta hesabına erişir. İçinde yıllar öncesine dayanan binlerce e-posta bulunur. E-postaların içinde şifreler yer alır ve bu da saldırganın daha fazla sisteme giriş yapmasına olanak tanır. Ayrıca, bazıları çok hassas bilgiler içerebilecek yüzlerce ek dosya da mevcuttur.
Saldırganlar, sunucu odasını soğutmaktan sorumlu bir HVAC ("Isıtma, Havalandırma ve Klima") sisteminin yönetici hesabının şifresini başarıyla tahmin eder. Saldırganlar, HVAC'nin parametrelerini değiştirebilir ve dikkatli bir şekilde yapılan değişikliklerle sunucu odasının aşırı ısınmasına neden olabilir.
İnternette, çalışanların iç kaynaklara erişmesini sağlayan bir VPN hizmeti mevcuttur. Çalışanlardan birinin zayıf bir şifresi vardır ve saldırgan, günlerce tekrarlanan şifre tahminleriyle bu şifreyi tahmin eder. Saldırgan VPN hizmetine erişir ve artık kuruluşun iç ağındadır. Buradan itibaren saldırgan, kuruluş içinde fidye yazılımı kurar.
İnternette bir web uygulaması dağıtılır. Dışarıdan bakıldığında belirgin bir güvenlik açığı bulunmaz, ancak saldırganlar sistemdeki normal bir kullanıcının hesabına şifre tahmin ederek giriş yapabilirler. Web uygulamasını barındıran şirket kullanıcılarına güvendiği için, uygulamanın içindeki web güvenliği zayıftır. Buradan itibaren saldırgan, sunucuyu tehlikeye atmak için web açıklarından yararlanabilir.
Birçok ağ hizmetinin yerleşik yönetici hesapları vardır, hatta bazılarının varsayılan şifresi kurulduğundan beri değiştirilmemiştir. Ağdaki her hizmet için saldırganlar varsayılan kimlik bilgileriyle giriş yapmayı deneyebilirler. Ayrıca, saldırgan tipik ve zayıf şifreler de deneyebilir. İşte tipik ve zayıf şifrelere bazı örnekler. Şifre politikalarını alt etmek için hepsinin ünlem işaretiyle bittiğine dikkat edin:
Şifre Yorumu
Yaz2021! Şirketlerin yardım masaları da dahil olmak üzere birçok kişi, şifre sıfırlama işlemi yaparken şifrelerini yılın mevsimine ve içinde bulunduğumuz yıla göre belirliyor.
test123! Şirket adı genellikle insanların şifrelerinde kullanılıyor. Sonundaki 123 ve ! işareti, kullanıcılar tarafından şifre politikalarını aşmak ve şifreyi biraz daha karmaşık hale getirmek için seçiliyor.
Rosalynn2006! Rosalynn, belki de birinin çocuğu? Kullanıcılar genellikle kişisel sevgilerini ifade eden bir şeyi şifre olarak kullanıyorlar. Çocukların isimleri ve belki de doğdukları yıl çok popüler.
Qwerty123456! Görünüşte rastgele bir şifre mi? Bu şifre, birinin klavye tuşlarına sırayla basması ve ardından aynı şeyi yapmak için sayılar kullanması sonucu oluşmuştur.​

THC-Hydra, çeşitli hizmetlere karşı denenecek kullanıcı adları ve parolaların listelerini kolayca yapılandırmamızı sağlayan bir araçtır. Aşağıdakiler gibi birçok saldırı protokolünü destekler:

RDP ("Uzak Masaüstü Protokolü")
FTP ("Dosya Transfer Protokolü")
SMB ("Sunucu Mesaj Bloğu")
Telnet
SSH ("Güvenli Soket Ana Bilgisayarı")
THC-Hydra'yı örneğin FTP'yi hedeflemek için kullanmak üzere aşağıdaki komut kullanılabilir:

hydra -L common_usernames.txt -P common_passwords.txt ftp://localhost/​

Kimlik Bilgisi Doldurma Saldırısı

Saldırganların sıkça kullandığı saldırılardan biri de Kimlik Bilgisi Doldurma Saldırısıdır. Bu saldırıda, saldırganlar büyük miktarda kimlik bilgisi veritabanı indirir ve ilgili kimlik bilgilerini ağ hizmetine karşı test eder. Kimlik bilgisi sızıntısı, üçüncü taraf bir hizmetin hacklenmesi, veritabanının çalınması ve ardından herkesin indirebileceği şekilde internete sızdırılması durumunda meydana gelir.

Ne yazık ki, birçok kullanıcı farklı hizmetlerde aynı şifreyi tekrar kullanır; bu da Kimlik Bilgisi Doldurma saldırılarının kuruluşlara karşı çok etkili hale gelmesine neden olur.

Şifre Kırma

Şifre tahmin etme çevrimiçi bir saldırı iken, şifre kırma çevrimdışı bir saldırıdır. Saldırganların önce hedef sistemden şifre temsillerini çalmasını içerir.

Şifreler genellikle şifre karması olarak temsil edilir. Karma, kullanıcı şifrelerini tek yönlü bir fonksiyondan geçirerek saklamanın bir yoludur ve şifre kırma kullanılmadıkça şifrenin tersine çevrilmesini imkansız hale getirir.

Saldırgan bir sistemden kimlik bilgilerini alabiliyorsa, bu kimlik bilgileri büyük olasılıkla şifreleme veya karma ile korunmaktadır. Karma, orijinal değerine geri döndürülemeyecek şekilde tasarlanmış tek yönlü bir fonksiyondur.

Şifre kırma, sistemden alınan korumalı kimlik bilgileriyle eşleşen şifre tahminleri oluşturmak için işlem gücünü, yani CPU ("Merkezi İşlem Birimi") ve GPU ("Grafik İşlem Birimi") kullanmayı içerir.

Kimlik Doğrulaması Olmayan Hizmetler

Uygulamaları keşfederken ve araştırırken bazen kimlik doğrulamasıyla korunmayan uygulamalarla karşılaşabilirsiniz. Bu uygulamalar, örneğin hassas bilgiler aramak için bir arama alanından yararlanmak gibi, saldırganlar için keşfedilmesi faydalı uygulamalardır.

Bir ağdaki birçok uygulama serbestçe keşfedilebilir ve bazen saldırganlara tam olarak aradıkları verileri sağlayabilir.

Ağ haritalama ve port tarama çalışmaları yapılırken, keşfedilen her sistem ve hizmet keşfedilmelidir.

Mevcut Kimlik Bilgilerini Kullanma

Tipik olarak, bir saldırgan zaten ortamdaki kullanıcıların kimlik bilgilerini kullanmaktadır. Örneğin, bir saldırgan birinin bilgisayar sistemini ele geçirmişse, sistem tarafından zaten kullanılan kimlik bilgilerini yeniden kullanabilir.

Bu, saldırganlara çok daha fazla fırsat sunar. Şimdi kötüye kullanılabilecek tüm uygulamaları düşünün. Örneğin:

E-posta
SharePoint
İK ve Muhasebe
VPN ("Sanal Özel Ağ")
Bir saldırgan erişim kontrolünün arkasındaki bir uygulamaya erişim sağladığında, güvenlik açıkları ve veriler genellikle çoktur.​
 

Şu an konuyu görüntüleyenler (Toplam : 0, Üye: 0, Misafir: 0)

Geri
Üst