MAIL GÜVENLIGI
E-Mail Sistemleri Nasil Çalisir?
Geleneksel posta sistemini düsünelim. Mektubunuzu yazarsiniz. Zarfin üzerine adres yazip, mektubu zarfa koyarsiniz. Postaneye veya mektup kutusuna gidip mektubu atarsiniz. Posta isleme merkezinde mektubunuz gidecegi adrese göre ayrilir. Önce ilgili posta dagitim merkezine gönderilir. Sonra postaci mektubunuzu yazdiginiz adrese teslim eder. Mektubunuz, postaneye teslim ettiginiz andan, aliciya ulasana kadar yasalarin güvencesi altindadir. Kimsenin zarfi açmaya, kaybetmeye, yanlis adrese teslim etmeye hakki yoktur. Özellikle "taahütlü" gönderiyi tercih etiyseniz mektubunuz bir kat daha güvencede demektir. Tabi “özel ulak” veya APS gibi gelismis baska seçenekler de vardir. Mektubunuz gidecegi yola bagli olarak en az bir kaç saat içinde aliciya ulasabilir.
Gelelim email sistemine. Uygun bir email kullanici programi ile mesajinizi yazarsiniz. Adres satirina alicinin email adresini yazarsiniz ve mesaji gönderirsiniz. Bagli bulundugunuz email sistemi mesajinizi alir ve alicinin bagli bulundugu email sistemine gönderir. Mesajiniz, alicinin email kullanici programi hazir oldugunda aliciya ulasir. Bütün bu süreç birbirine bagli elektronik sistemler üzerinde gerçeklesir. Mesajinizin güvenligi, mesajinizin sifrelenmesi ve kullandiginiz email sistemlerinin güvenli olmasina baglidir. Mesajiniz en az bir kaç saniye içinde aliciya ulasir.
Genel yapilari açisindan geleneksel posta sistemi ile email sistemleri arasinda büyük benzerlik vardir. Temel fark ise, geleneksel sistemde mesajiniz nesnel bir ortamdadir (kâgit vb), email mesaji ise elektriksel ve manyetik ortamdadir. Ortam farkliligi dolayisiyla mesajlarinizin güvenligi önemli ölçüde farkliliklar göstermektedir.
E-Mail Güvenligi Için Yapmaniz Gerekenler
1. E-mail adresi alirken doldurdugunuz form içinde eger sifrenizi unuttugunuz taktirde size sorulmasi gereken bir gizli soru seçenegi bulunmaktadir.Bu seçenek sevdiginiz film, yemek veya hayvan ismi vs.. olabilir.
Sizin bu soruya cevabiniz alakasiz cevaplar seklinde olmalidir.
Örnek:
Gizli soru : sevdiginiz film – Cevabi : yengeçleryanyangider
Gizli soru : sevdiginiz hayvan – Cevabi : portakal
2. Bunlarin haricinde sifreleme konularinda oldugu gibi mail gizli sorularini ve cevaplarini her yerde ayni kullanmamaya özen göstermelisiniz. Örnek olarak herhangi bir website üyeliginde kullandiginiz bir gizli sorusunu ve cevabini önemli bir email adresinizde kullanmayin.
3. Özel islerde veya yazismalarda kullanilan email adresleri website üyelikleri, forum veya sohbet servisleri için kullanilan email adreslerinden ayri olmalidir. Bu sayede hem spam maillerden hemde özel bilgilerinizin bulundugu email adresinizin çalinmasini engellemis olursunuz.
Asagida verilen e-mail çalma yöntemleri genel sifre ve bilgi çalma yöntemlerinide kapsamaktadir. Bu yöntemleri ögrenerek e-mail güvenligi hakkinda birkaç sey daha ögrenmis olacaksiniz.
1. Fake Mail
Fake Mail gerçek bir mailin veya bilgi formunun içerigi ve görünüsünün sahte bir sekilde hazirlanmasiyla ortaya çikan bir bilgi çalma yöntemidir. Sahte e-mail içerikleri, site üyelik girisleri, bilgi formlari seklinde hazirlanabilirler. Ayrica e-mail içine virüslü bir dosya eklenebilir veya önceden hazirlanmis trojanli bir site linki koyularak bu linkin ziyaret edilmesi saglanabilir. Bu tür sahte mailleri hazirlayan kisinin iyi düzeyde programlama bilgisi varsa daha degisik sekillerde hazirlanmis fake maillerle karsilasabilirsiniz.
Özel olarak hazirlanmis Fake Mailler ne gibi teknikler içeriyor inceleyelim
a ) Kullandiginiz Email servisinden geliyormus gibi ( Hotmail, Yahoo, vb. ) ilgilendiginiz konuyla alakali bir email gönderilir. Ilgilendiginiz konuya ulasmaniz için bir linke tiklamaniz istenebilir bu sirada sahte bir sifre sorgu penceresi açilir ve size kullandiginiz mail servisinde bir sorun oldugunu mail sifrenizi tekrar girmeniz gerektigi söylenir. Böylece girilen sifre bilgileri fake maili hazirlayan kisiye ulasir.
Ilgilendiginiz konulara örnek olarak : Taninmis sanatçilara ait konser biletleri için çekilis, Spor Dali, Bilgisayar, Gezi vb… birçok konu ile ilgili mailler gelebilir.
b ) Ilgilendiginiz konu mailini açtiginizda size direkt olarak sifreniz sorulmayabilir. Konu devaminda sitemize veya arkadas grubumuza kayit yaptirmak için gösterilen formu veya bilgileri doldurunuz gibi bir istekte bulunulabilir.Böyle bir form veya bilgi bölümleri gerçek olmayacagi için bu bilgiler direkt olarak Fake Maili hazirlayan kisiye ulasacaktir.Mesela doldurulmasi zorunlu isim, soyad, postakodu, adres bilgileri, gizli soru seçenekleri, sifre gibi bölümleri doldurduk ve gönder diyerek bilgilerimizi gönderdik.Fake Maili hazirlayan kisi bu bilgileri alir ve çalmak istedigi mail bilgilerinle almis oldugu bilgileri karsilastirarak sonuca ulasmaya çalisir.
c ) Ilgilendiginiz veya herhangi bir konuyla alakali bir mail gönderildi varsayalim.Içinde bulunan linkleri veya butonlari tiklamaniz istenebilir.Örnek olarak anlatilan konuya ulasmak için www.cyber-warrior.org’u tiklamaniz gerekiyor.Fakat tikladiginiz link bu site yerine özel olarak hazirlanmis ve içinde virus bulunduran bir siteye gidiyor.Firewall programiniz yoksa veya aktif degilse bilgisayariniza yerlesen trojan veya virus sizin her türlü sifre bilginizin karsi tarafa gitmesini saglayacaktir.
2. Trojan, Virüs, Backdoor, KeyLogger
Bir malware genellikle temel olarak 2 kisimdan olusur. Bunlar “server” ve “client”tir. Zararli dosya hedef kisiye çesitli yöntemlerle kabul ettirilmeye çalistirtilmalidir. Server dosyasini hedef kisi çalistirdigi andan itibaren client ile hedef üzerinden veri gönderilir/alinir, ekran görüntüsü alinir, klavye vuruslari loglanir vs. Her malware farkli karakteristik özellikler barindirir. Bir keylogger veya trojan sayesinde hedef seçilen bilgisayarda yapilan islemlerin loglari edinilebilir. Keyloggerlar sonucu baska istenmeyen seylerde yasanabilir.. Avusturya’dan Wenzl Thomas isimli sahsin online bankacilik yapmasi sonucu :
Saldirgana kalan parayi önce paypal hesabina transfer etmek, daha sonra belirli bir kesinti karsiligi banka kartina transfer etmek olacaktir.
3. Bilgileri Deneme Yanilma Yöntemi
Sifreleriniz tahmin edilebilir (isim-soyisim-futbol takimi, cep telefonu numaraniz, dogum tarihiniz vs.) olmamalidir. Olabildigince farkli tip karakter barindiran sifreler kullanilmalidir. Küçük/Büyük harf, rakam, sembol vs. Eger izin verilmis ise türkçe karakter (ö, ç, s, i, g) kullanmaniz yabanci saldirilari kismen engelleyecektir çünkü bir çok yazilim sadece Q klavye karakterlerini tanimakta..
Web uygulamalari saldiriya maruz kalip, veritabanlari ele geçirildiginde saldirgan bir çok kullanici adi/sifre bilgisine ulasacaktir. Bir çok uygulamanin artik veritabanlarinda MD5 sifreleme sistemini kullandigini düsünürsek uzun ve karmasik sifrelerin önemi bir kez daha anlasilir. Çünkü “123456” gibi bir sifrenin MD5 ile sifreli hali oldukça çabuk kirilabilirken “Sam?Sun_55&/” gibi bir sifrenin MD5’ini kirmak yüzlerce yil sürebilir.
Yukarida ki sifrenin Md5 ile kriptolanmis hali : acf4f8427d0833728cf6920159cc172d
Bir sifre 2 farkli yerde kullanilmamalidir.
4. Internet Cafeler
Internet üzerindeki islemlerinizi internet cafeleri kullanarak yapiyor olabilirsiniz veya evinizdeki bilgisayar sorunlarindan dolayi cafelere gitmeniz gerekebilir. Bu durumda cafede kullandiginiz bilgisayara daha önceden virüs veya trojan bulasmis olabilir. Ayrica bilgisayari sizden önce kullanan kisi keylogger programi kurmussa tüm sifre bilgilerinizi çalabilir.
5. Bilgisayarinizdaki Açiklar
Bilgisayarinizdaki sistem güvenlik açiklari kullanilarak trojan, virus, backdoor, keylogger programlari yerlestirilebilir ve sifre bilgileriniz çalinabilir.
6. Gizlilik Adimindaki Eksiklik
Baskalari tarafindan ele geçirilmesini istemediginiz mail adresinizi asla herhangi bir yere üye olmak için kullanmayiniz !
Herhangi bir web sayfasina üye oldugunuz anda o sayfanin arama motorlarinin robotlari tarafindan indexlenmesi sonucunda mail adresiniz “bulunabilir” olacaktir. Diger bir ihtimal ise üyelik profilinizden adresinizin okunabilmesidir. Arama motoru kayitlarina mail adresiniz girdigi anda spam listelerine de girdiniz demektir, brute force ile saldiri yapanlarinda “tesadüfen” saldiri listesine dahil olabilirsiniz.
Üye oldugunuz web uygulamasinin veri tabani hacklendigi zaman büyük bir ihtimalle üyelik için kullandiginiz sifre de ele geçirilecektir. Genel olarak kullanicilarin birçok yerde ayni sifreyi kullandigini düsünürsek bu ciddi bir durum.
7. Brute-Force ( Kaba Kuvvet)
Kimi yazilimlar wordlistleri (kelime listeleri), kimi yazilimlar rainbow tablolarini (daha çok kriptolu sifrelerin kirilmasinda) kullanarak bu islemi yapar. Tabi ki baska methodlarda vardir ancak genel olarak özelligi deneme-yanilma yöntemini kullanmasidir. Kesin hedefi olmayan, rastgele saldiran kisilerce de kullanilabilir. Örn: RMC
RMC nedir kisaca tanimlayalim; RMC belirlenen sifreyi kullanan mail adreslerini, yogun bir maillistesini kullanarak dener. Bu mail listesi harvester gibi yazilimlarla olusturulabilir.
Her adrese 1 deneme yaptigindan sunucular tarafindan saldiri girisiminizin tespit edilmesi zordur. Ayrica saldirgan kisi proxy’de kullanilabilir.
Yazilimi test etmek için mail sifremi 123456 yaptim :
Bir milyon kisilik bir mail listesinde en azindan binlerce kisinin mail sifresi 123456’dir... Bunun gibi çok kullanilan kelimeleri ve sayilari deneyerek saldiri yapilabilir.
8. Phishing
“ Sosyal Mühendislik” teknikleri kullanilarak, kurbanin Kredi, Debit/ATM Kart Numaralari/CVV2, Sifreler ve Parolalar, Hesap Numaralari, Internet Bankaciligina Giriste Kullanilan Kullanici Kodu ve Sifreleri gibi büyük önem arz eden ve çok iyi korunmasi gereken bilgilerini, kurbani aldatarak elde etme yöntemi olarak tanimlanabilir. Baska bir ifadeyle Phishing; kisileri, yasal bir sirket, ajans veya organizasyon olduguna inandirarak, kisisel ve finansal bilgilerini ele geçirme yöntemidir.
Maili gönderen kisinin adresine asina olmaniz, bu mailin gerçekten o kisi tarafindan yollandigi anlamina gelmez ! Gönderen kisminda yazan adres saldirgan tarafindan istedigi gibi degistirilebilir. Örnegin [email_address] adresinden gelen bir mail ile hesap numaraniz/sifreniz sorulabilir veya [email_address] gibi çesitli adresler saldirilarda kullanilabilir. Istediginiz mail adresinden mail göndermek oldukça basittir.
Temel olarak 6 basamaktan olusur. Tek korunma yöntemi dikkatli ve bilinçli olmaktir. Çesitlerini; Aldatici Phishing (Deceptive Phising), Kötü Yazilim Phishingi (Malware Phishing), Sahte Website Phishingi (Faulty Website Phishing) ve Içerik Gönderme Phishingi (Content Injection Phishing) olarak siniflandirabiliriz.
Detayli bilgi : http:// bilisimpolisi.net/phishing -password-harvesting-fishing/
9. Uygulama Zaaflari
Mail hesabiniza girislerinizde browserinizin “beni hatirla” seçenegini aktif edilmemelidir. Böyle bir durumda browserin sifreleri barindirdigi dosyanin çesitli yollarla saldirganin eline gelmesi ile mail adresiniz hacklenebilir. Firefox’un hatirladigi sifreleri görüntüleyebilirsiniz.
Outlook sifreleriniz “Protected Storage PassView” gibi yazilimlarla çalinabilir.Outlook gibi yazilimlarda zaman zaman bulunan zaaflar ile mail güvenliginiz tehlikeye düsebilir. Bu yüzden otomatik güncellestirmeleri açik tutmak tavsiye edilir.
Webmail uygulamalarinda, yazilimlara oranla daha çok zaaf çikmaktadir. Örnek vermek gerekirse okulumuzun kullandigi webmail uygulamasi “Squirrelmail” 1.4.7 sürümünde ciddi açiklar içermektedir. Bu uygulamanin en kisa zamanda 1.5 sürümüne yükseltilmesi gerekmektedir.Yaninda isaret olan zaaflar okulumuzun kullandigi 1.4.7 sürümünü etkileyen zaaflardir.
10. Sosyal Mühendislik
Sosyal mühendislik kisileri kandirarak degerli bilgi ve parolalarini ellerinden almayi amaçlamaktadir. Günümüzde google, bloglar, sosyal aglar ve daha bir çok yöntem ile hedef kisi hakkinda bilgi toplanabilir. Hedef kisinin ilgi alanlari, kisisel bilgileri, zaaflari vs. kesfedilerek ön hazirlik yapildiktan sonra saldiriya geçilir.
Örnek vermek gerekirse mail adresinin gizli sorusu “En sevdigim tarihi kisilik” olan birisinden bu sorunun cevabini almak için kisiyi tarihi bir forum ortamina çekmek veya arkadaslik kurarak sorunun cevabini ögrenmek zor olmayacaktir.
Sosyal Mühendislik sanati kisisel iletisim ve ikna kabiliyeti gerektiren bir istir. Karsi tarafin süphesini çekmeden elde edilmek istenilen bilgiyi almak her zaman sanildigi kadar kolay olmayabilir. Bu yüzden “sabir” çok önemli bir faktördür. Tüm teknik yöntemler tükendiginde bazen tek yol sosyal mühendisliktir.
Dünyanin en ünlü hackeri olarak anilan Kevin Mitnick ayni zamanda sosyal mühendisligin mucidi ve dünyanin en ünlü sosyal mühendisi olarak kabul edilir. Kendisinin “Aldatma Sanati” isimli bir kitabi bulunmaktadir.
11. XSRF – CSRF – XSS
Saldirganin çogunlukla Java Script kodunu siteye enjekte etmesiyle ortaya çikar. Saldirganin özel olusturdugu bir linki kurbana gönderdigini düsünelim. Kurbanin linke tiklamasiyla Java Script kodu çalismaya baslar ve kurbanin cookieleri saldirgana gider, cookieler sayesinde hedef kisinin oturumu yetkisizce çalinabiir. Hedef kisinin oturum bilgileri, saldirganin kurdugu sniffer’da toplanir. XSS saldirilarindan korunmanin herhangi bir yolu yoktur. Tek çözüm bilmediginiz linklere tiklamamaniz ve Hexli url’lere karsi süpheli yaklasmanizdir.
Hexli url örnegi :
http://3513587746@3563250882/d%65f.%61%73p%3F%69d=522
Hotmailde bu zaaf 1 ay kadar süreyle mevcuttu ve bir çok mail adresi bu durumdan zarar gördü. Gmail ise bu zaafin ilkini 2 gün digerini 3 gün içinde fixledi.
12. Clickjacking
Bir browser güvenlik açigidir. Iframe ; Bir web sayfasina zararli bir web sayfasinin (opacity(seffaflik) degeri=0) olarak gizlenmesidir. Sayfa içinde sayfa mantigidir.
Click and Redirect; Normal bir link yerine tiklanis esnasinda farkli bir action(yönlendirme) saglanmis, tuzaklanmis linklerdir. Clickjacking ile basit bir web sayfasi hazirlayip, ufak bir sosyal mühendislik senaryosu ile bir formu submit ettirebilir, dolayisi ile XSRF saldirisi gerçeklestirebilir, HTML Downloader, Keylogger gibi yazilimlar yedirebilirsiniz.
onmouseover=document.location=’ http:// www.siteadi.net ’ bu koddan anlayacaginiz üzere hedef adrese yönlenmek için mauseumuz ile framein üzerinde durmamiz yetecek !
Kaynak : Birçok siteden derleme ve kendi bilgilerimi de ekledim.
