Root > Documents > Security > Parola Güvenliği
Cyber-Warrior.Org \ Doküman \ Security > Parola Güvenliği
Madde
  Yazar : VEHUL
  Date : 19.08.2009 00:57:00
 
# Parola Güvenliği
 

Harfler, semboller, rakamlar vb. karakterler kullanarak olusturdugumuz ve ismine parola/sifre dedigimiz bu anahtarlar günlük hayatimizda bir çok alanda karsimiza çikmaktadir. ( Bilgisayarlar, Cep Telefonlari, Kredi Kartlari, Internet ve Telefon Bankaciligi, Isyeri, Kurum Çalisanlarina Mahsus Sifreler gibi...) Özellikle internet bankaciligi kullaniminda önemle dikkat edilmesi gereken konu; bankalarin müsterilerine sunmus olduklari güvenlik uygulamalarinin yani sira kullanicininda son derece dikkatli ve bilinçli olmasinin gerektigidir. Genel olarak, internet ortaminda güvenlik, kullanici dikkati ile baslar. Güvenlik seviyesi mükemmel olan bir sistemde bile dikkatinizden kaçiracaginiz küçük bir nokta sizin tüm verilerinizi kaybetmenize neden olabilir. Verilerimizin yetkimiz disinda ulasilmaz olmasi ve onlarin güvenligi bu olusturulan sifrelerin güvenligi ile dogrudan orantilidir. Bilinçsizce olusturulan parolalar günümüzde internet korsanlari olarak tabir edilen kisiler tarafindan pratik bir sekilde kirilmakta ve maddi, manevi zararlarla bir çok bilinçsiz kullanici bas basa birakilmaktadir. Sanal dünyadaki suç oranlarinin özellikle son dönemlerde artis içerisinde oldugu ülkemizde de bu yollardan magdur olan kisi sayisinda hafife alinmayacak oranda artis izlenmektedir. Bu artisin kaynagindaki etkenlerden biriside, sizlerinde tahmin ettigi gibi bilinçsiz kullanicilar ve onlar tarafindan olusturulan basit parolalardir. Bu kullanicilarin gerekçeleri her zaman hazirdir, neden bu kadar basit bir sifre kullaniyorsunuz ? sorusuna emin olun verecegi cevap " korsanlar benim bilgisayarima girip ne yapacaklar? Hesabimda zaten çok az para var, benim üç kurusumla mi ugrassinlar" bu ve benzeri sekilde olacaktir. Fakat, sanal banka magdurlarinin sorunlarini paylastiklari, çözüm aradiklari web sitelerinde gözlemleyeceginiz, bu hirsizlarin çok küçük meblaglar ile de ugrastiklari yönünde olacaktir. ( Bknz. http://sanalbankamagdurlari.com/tablo.htm )

Korsanlarin Sifre Kirmakta Sik Kullandiklari Iki Yöntem;

-Brute Force Attack ( Deneme/Yanilma Yöntemi)

    Sanal korsanlar, yaygin olarak kullandiklari brute force attack yöntemi olarak tabir edilen özel yazilimlar ve gelismis programlar ile binlerce sifre denemesi yapabilmektedirler. Programin veri tabaninda bulunan sifre kombinasyonlarinin birer birer denenmesi ile saldiri gerçeklestirilir. Genel olarak bu mantik ile çalisirken, korsan tarafindan olusturulan wordlistler (kelime listeleri) de programa yüklenebilmektedir. Yüklenen kelimeler listesi ile deneme yanilma yöntemi program tarafindan otomatik olarak atak seklinde gerçeklestirilir. Genellikle üyesi oldugunuz veya alis veris yaptiginiz online bir web sitesinin veri tabaninda saklanan, hash algoritmasi halindeki sifreleriniz (hashler) de bu ve benzeri yöntemler ile kirilabilmektedir. Kullanilan hash algoritma islemlerinden bir tanesi Md5 hash olarak bildigimiz yöntemdir. Md5 hash lerde korsanlar tarafindan Perl ve farkli programlama dillerinde kodlanmis olan bir çok yazilimin saldirisina maruz kalmaktadir. Sql Injection (Veri Tabani Saldirilari) ile hashlere ulasan korsanin bu atak yöntemleriyle gerçek sifrenize ulasabilmesi bazen günlerce sürse de bazen de an meselesidir.

Bu atak türüne karsi dikkat edilmesi gereken hususlar;

Parolaniz/Sifreniz;

- En az 8 karakter uzunlugunda olmali
- Alfanumerik olmayan en az bir karakter içermeli
- En az bir büyük harf içermeli
- En az bir küçük harf içermeli
- Profil, kullanici adi, nick, ad, soyad vb. sizi tanimlayabilen kelimelerin yarisindan daha uzun herhangi bir parçasini içermemeli
- Parola uzunlugunun yarisindan daha fazla sayida ayni harf tekrar edilmemeli
- En son kullanilan parola kullanilmamali
- Login olacaginiz alan destekliyor ise sifre içerisinde mümkün oldukça klavyede nadir kullanilan karakterlerden de tercih edilmeli ( ß, €, ~, æ, %, ø, ¢, gibi )


- Keylogger ( Tus Kayit Edici ) Yazilim

    Keylogger kelimesini Key=Tus, Logger=Kayit Edici olarak tanimlayabiliriz. Kisacasi bilgisayarda basilan tuslari kayit eden bu yazilimlara Keylogger diyoruz. Aralarinda çok gelismis özellikler ile desteklenmis olan ekran görüntüsü alabilme, kendini sistem arkasinda gizleme gibi fonksiyonlari olan türleride mevcuttur. Çogunlukla mail veya ftp ( file transfer protocol) rapor destegi sunarlar, kuruldugu bilgisayarda basilan tuslari txt veya html sayfalar olarak korsanin belirleyecegi boyutlarda ve zamanlarda yine korsanin belirleyecegi mail veya ftp adresine düzenli olarak gönderirler. Casus yazilim Registry ( Kayit Defterine) kendi degerlerini yazar ve sistem her açildiginda kendisini otomatik olarak baslatir.

Keyloggerlar hakkinda ön bilgi verdikten sonra

Bu atak türüne karsi dikkat edilmesi gereken hususlar;

Görüldügü üzere basilan her tusu kayit edebilen bu yazilimlar, sifremiz ne kadar etkili ve güçlü olursa olsun özenle sakladigimiz verilerimizin anahtarini sanal korsana basit bir sekilde göndermektedir.

- Çok zorunlu olmadikça internet cafelerden banka, kredi karti gibi önem arzeden islemlerinizi yapmayiniz. Sizden önce o bilgisayara oturabilecek bir sanal korsan kuracagi keylogger ile bastiginiz her tusun raporunu alabilir.

- Sahsi bilgisayarinizda mutlaka antikeylogger yazilimlar kullanin. Kendilerini son dönemde bir hayli gelistiren antivirüs yazilim firmalari Internet Security sürümlerinde genellikle bu koruma desteginide sunulmaktadirlar.

- Bilgisayarinizi tanimadiginiz sahis ve kisilerin kullanimina sunmayiniz.

- Kesinlikle tanimadiginiz kisiler ile veri transferinde bulunmayiniz. Onlardan program, resim, link, almayiniz... bu verilere kesinlikle tiklamayaniz.

- Korsanlarin kullabilecekleri HTML TRojanlar ( keylogger özelligi tasiyabilirler) daha çok internet explorer veya mozilla tarayicilari dikkate alinirak kodlanirlar. Sizlere tavsiyem size verilen her siteyi gözünüz kapali ziyaret etmemeniz ve opera gibi tarayicilar kullanmanizdir. Zira ziyaret etmeniz istenilen web sitesinin arkasinda html trojan olabilir.

- Sifre ve parololarinizi kesinlikle txt, word gibi belgelere yazmayiniz. Özellikle Limewire, ares, imes gibi kendi bilgisayarinizi kullanima açan yazilimlardan uzak durunuz. Bilgisayariniza txt veya baska bir belgeye kayit edeceginiz sifre ve parolalariniz bu programlar yardimi ile korsan tarafindan basit bir sekilde çekilebilir.

Bilgisayarlar konusunda bilginiz varsa;

Görev yöneticinizde çalisan process lere mümkün oldukça hakim olunuz. Sistemde çalisan yabanci bir process gördügünüzde kaynagini arastiriniz. Bu islem için process scanner tarzi yazilimlar kullanabilirsiniz.

- Süphelendiginiz durumlarda ag trafiginizi analiz ederek sistemden bir veri gönderilip gönderilmedigini kontrol ediniz. Bagli olunan web sitelerini ve protokolleri kontrol altinda tutunuz.

- Sisteminizde gereksiz olan tüm portlari kapatiniz. Port kapatma yöntemleri ile ilgili olarak forumdaki konulari okuyabilirsiniz.

Buradaki bilgilerin sizlerin kisisel güvenliginizde yardimci olabilmesi ve bir sonraki makalede görüsmek dilegiyle..

Saygilarimla...

Dökümani yazan: VEHUL

( Kismende olsa alinti yapilmamistir...)
   
   
Cyber-Warrior TIM All Legal and illegal Rights Reserved.\CWDoktoray 2001©