Sifre Kirma Yöntemlerini Bilelim, Kendimizi Koruyalim

35
55

TarArsevenin yazisini okuduktan sonra bunu yazmaya karar vermis bulunuyorum efendim, ilk yazim vatana millete hayirli olsun 🙂
Günümüzde her isimizi internet üzerinden hallettigimiz için güvenlik de büyük önem tasiyor. Ayrica sadece internet degil, bilgisayarimizda sifreyle koruma altina aldigimiz dosyalarimiz da kötü niyetli kisilerin hedefi halinde. Zaferin yolu düsmanini tanimaktan geçtigine göre, herkesin sifre kirmakla ilgili birkaç sey bilmesinde fayda var 😉
hackedSifreler Nasil Kirilir?

Sifre kirmak konusunda bilinen en basit yöntem; sifresi kirilacak kisinin dogum tarihi, yasadigi yer, sevgilisinin ya da köpeginin adi gibi seyler ve bunlarin ilk akla gelen kombinasyonlarini denemektir. Sifreniz bu bahsettigim seylerden olusuyorsa 13 yasinda velet bile hakkinizda her seye ulasip basinizi agritabilir…

Yine gayet basit olan baska bir yöntem ise Hotmaildeki gizli soru gibi yan seçeneklere basvurmaktir. Eger gizli sorunuz “Arabanizin markasi nedir?” ise ve siz de salak gibi bu sorunun cevabi olarak gerçekten arabanizin markasini ayarladiysaniz bu bilgiye sahip olan herhangi bir insan Hotmail sifrenizi kolayca ele geçirir…

Bu konuya özellikle önem veren kisiler ise isi biraz daha abartip çesitli programlardan faydalanirlar. Bu programlara sifrenin kaç karakter içerebilecegi, içinde rakam ya da özel sembol olup olamayacagi gibi basit detaylar verildikten sonra duruma göre alfabedeki her harfi, rakami, vesaireyi kullanarak teker teker dener ve bu sekilde saniyede birkaç bin sifre denenmis olur. Bu programlari bulmak bir Hacker için birkaç saniyelik istir, Hackerliktan hiç anlamayan ama birinin sifresini kirmaya yemin etmis siradan bir insan (Mesela aldatilmis bir kadin) için ise programi bulmak en fazla 15 dakika, ögrenip uygulamaya geçmek ise en fazla yarim saat sürer. Anlayacaginiz, sifreniz yeterince güvensizse birine bir uyuzluk yaptiktan sonra 1 saat içinde sifreniz kirilabilir. Simdi bir örnekle konuyu biraz daha pekistirelim: Diyelim bilgisayarinizdaki bir dosyanin sifresi 6 karakterden ve sadece küçük harflerden olusuyor (ki en genel sifre tipi budur). Bilgisayarinizin basindan kalktiniz, kötü niyetli arkadasiniz makinanizi ele geçirdi. Bu arkadasinizin; yaniniza yilan gibi sokulmus biri olmasina da gerek yok, internetten ya da bulundugunuz ofisin yerel agindan bilgisayariniza giren biri de olabilir (Bunu yapmak hiç de zor degil). Dosyayi açmak istedi ve sifreyle karsilasti. Sizin huyunuzu suyunuzu da biliyor ve sifre kiriciya gerekli talimatlari verdi: “4-8 karakter arasi, sadece küçük harf, rakam da olabilir.” Sifre kiricinin bu bilgiler isiginda yapacagi sudur:

  • “aaaa, aaab, aaac, …, aabr, aabs, …, zzzz” seklinde 4 harfli bir kelime olusturan her sifreyi sirayla ya da rastgele denemek.
  • Sonra aynisini 5, 6, 7 ve 8 karakterli olacak sekilde denemek (Karakter sayisi arttikça süre de uzar.)
  • Harflerden sonuç çikmazsa bir de rakamlarla olusacak kombinasyonlari denemek, ki bu sefer sifreyi bulma süresi biraz daha uzar çünkü alfabedeki 29 harfin yanina bir de 10 rakamli sayi alfabesi eklenmistir.
  • Program kendisine verilen bilgiler isiginda dogru sifreyi bulamazsa, farkli ihtimaller üzerinde çalismak için kullanicisindan yeni talimatlar ister.

hackBahsettigim adimlarda yer alan her sifre, islemin yapildigi bilgisayarin hizina bagli olarak 1 saliseden de kisa süre içinde denenip yerini bir sonrakine birakir. Siradan bir Pentium 4 islemcinin saniyede birkaç milyon islem yapabildigini düsünecek olursak, basit bir sifreniz varsa kirilmasi en fazla çeyrek saat, hadi bilemedin yarim saat sürer. Ayrica gelismis sifre kiricilarin hafizalarinda ya da internetteki bir databasede yer alan kelimelerden de faydalandigini düsünecek olursak basit sifrelerin kirilmasi sadece birkaç dakikalik is…

Yalniz bu son paragrafta bahsettigim yöntem Gmail, Hotmail gibi internet üzerinden hizmet veren servislerde ise yaramaz, daha dogrusu sifreyi kirmak günler (kirilmasi zor sifrelerde aylar) sürer çünkü bu sirketler böyle bir seri sifre denemesinde hesabi kilitler, dogru sifre girilse bile açmaz. Hesaba giris yapabilmek ya da yeni sifreler deneyebilmek için bu saldiri bittikten sonra birkaç dakika beklenmelidir, ki bu sirada hesabin gerçek sahibi giris yapmaya çalisirsa ekranda bir uyari görüntülenir. Böyle bir uyariyla karsilasirsaniz yapmaniz gereken tek sey bir an önce hesabiniza giris yapip sifrenizi üst düzey korumali olacak sekilde degistirmektir, ki simdi o konuya giriyorum…

Ilk bilinmesi gereken sudur: Sifre kirma programlarini ya da ayni yöntemi kullanan Hackerlari en çok zorlayan sifreler; su 4 seyin hepsini birden içinde bulunduran sifrelerdir:

  • Büyük Harf
  • Küçük Harf
  • Rakam
  • Özel Semboller (@, !, &, /, vs.)

Sadece bunlar yetmez, sifrenin uzun da olmasi gerekir. Ayrica sifrenizde herhangi birseyin tarihi ya da bir anlam ifade eden kelimeler bulunmamasi faydaniza olur. Tüm bunlara dikkat edilerek olusturulmus bir sifrenin kirilmasi çogu durumda neredeyse imkânsizdir. “Tamam da öyle komplike bir sifreyi ben nasil hatirlayacam?” diye soracak olursaniz, sizin için bir anlami olan seyleri degistirerek yazmanizi tavsiye edebilirim. Yalniz ne yaparsaniz yapin, bu sifreleri bir yerlere oldugu gibi yazmayin. En azindan hatirlatici notlar seklinde yazin ki bu notlari ele geçiren bir kisi yine de sifrenize ulasamasin 😉

Yine de bilinmesi gerekir; yeterince vakti ve sabri olan, farkli bir deyisle size kafayi manyaklik derecesinde takmis birisi sifrenizi er ya da geç kiracaktir. Bu nedenle olusturdugunuz tek bir sifreye güvenmeyip, caniniz sikildikça sifrenizi sebepsiz yere degistirmelisiniz. Ayrica mail adresinizin sifresiyle bu adresi kullanarak üye oldugunuz sitelerdeki sifreniz farkli olsun, böylece sitedeki sifreniz kirilsa bile mail hesabiniz hâlâ elinizde olacagi için bu mail adresinize gönderilecek sifreyle internet sitesindeki hesabinizi kolayca geri alabilirsiniz.

Son olarak sifrenin kendisine yönelik olmayan yöntemlerden de korunmaniz gerekir. Daha önce bahsettigim Gizli Soru hadisesinde asla unutmayacaginiz ve sorulan soruyla tamamen alakasiz bir cevap ayarlayin. Sahsi favorim “Köpeginizin adi?” sorusuna cevaben nefret ettigim ve yillar önce tarihin tozlu sayfalarin gömmüs oldugum, çogu kisinin varligini bile unuttugu bir insanin adini yazmak…

Tehlikenin Diger Boyutlari
Sifre kirmanin en klasik yöntemlerini ve bunlardan korunmanin yollarini anlattim, peki güvenlik sadece bunlardan mi ibaret? Tabii ki hayir… O kadar çok güvenlik açigi ve buralardan sizarak yapilan o kadar çok saldiri çesidi var ki, hepsini anlatmaya kalksam günler sürer… Ayrica siradan bir bilgisayar kullanicisi olarak benim de bu konuda bilgim sinirli. Yine de en yaygin olanlardan kisa kisa bahsedeyim:
özel mülkiyetKeylogger: Bilgisayara yerlesip klavyede basilan her tusu kaydeden basit bir yazilim. Bu kayitlar daha sonra program tarafindan mail ya da baska bir yolla sizi takip etmekte olan kisiye yollaniyor ya da hacker bizzat bilgisayara girip kayitlari aliyor. Bu sayede MSNde insanlara yazdiklariniz ve her türlü ortama girdiginiz kullanici adi ve sifreler kabak gibi meydana çikiyor. Korunmanin yolu, antivirüs programi yüklemek ya da kayitlarin tutuldugu dosyalari bulup imha etmek.
MSN Virüsleri: Son zamanlarda bu virüsler iyice yayginlasti ve eminim bu yaziyi okuyan çogu kisinin basina gelmistir. Listenizdeki biri size durduk yere bir zip dosyasi ya da link yolluyor, yolladigi seye tiklarsaniz virüs size de bulasiyor ve kendini kisi listenizdekilere yaymak için kollari siviyor. Duruma göre bilgisayariniz çöküyor ya da çesitli bilgileriniz baskalarinin eline geçiyor. An itibariyle en yaygin olani www.engelleyenibul.info adresini yollayan virüsümsü olusum. Bu adrese girdiginizde site sizden MSN adresinizi ve sifrenizi istiyor, siz de kimlerin sizi engelledigini görmek adina saf saf bu bilgileri veriyorsunuz. O andan itibaren MSN hesabiniz sitenin eline geçiyor ve sizin bilgisayariniz bile kapaliyken baska bir bilgisayardan MSNinize girilerek listenizdeki herkese ayni link yollaniyor. Bu tür tuzaklardan korunmak için size MSN üzerinden dosya ya da link yollayan arkadasiniza en azindan “Bu ne babacim?” diye sorun, verdigi cevaptan tatmin olmazsaniz “Sen simdi nerdesin?, Yaninda kimler var?” gibi sorular da sorun. Gelen cevaplar alakasizsa karsinizdaki arkadasiniz degil, MSNde oturum açmis bir programdir.

Taklit Siteler: Yaygin kullanilan siteleri taklit ederek kisisel bilgilerinize ulasmayi amaçlayan siteler. Bir önceki maddede bahsettigim virüsler de bunlardan siklikla faydalaniyor.En son duyulani www.facebook.com.tr adresi. Güya Facebook Türkçe olmus, siz de siteye giris yapacaksiniz ki bu olusumdan Türkçe faydalanin. Giris yaptiktan sonra sayfa açilmiyor, ama Facebook için kullandiginiz mail adresiniz ve Facebook sifreniz çoktan ele geçirilmis oluyor. Eger mail hesabiniza girerken kullandiginiz sifreyle Facebook sifreniz ayniysa tebrikler, mail sifrenizi de altin tepside sundunuz… Bunun gibi yaratici yöntemler kullanilarak saf kullanicilar kolayca tuzaga düsürülüyor. Korunmak ise hakikaten zor, çünkü bunlari yapanlar yaraticiligin sinirlarini sonuna kadar zorluyorlar. Benim aklima gelen tek kesin yöntem, McAffee SiteAdvisor. Bu program tarayicinizla gezdiginiz her siteyi eszamanli olarak kendi databaseiyle karsilastirip o sitenin tehlikeli olup olmadigini size renkler araciligiyla gösteriyor, ayrica Google ve diger popüler arama motorlarinda çikan arama sonuçlarinin yanina birer isaret koyuyor. Kendimi bildim bileli kullaniyorum, mutlaka bulup indirin.

Simdilik aklima gelenler bunlar… Bir uyariyla yaziyi noktalamak istiyorum:

YASAL UYARI: Bu yazida bahsettiklerimin tamami okuyucularin kendini korumasi için bizzat tarafimdan yazilmistir ve Hackerliga soyunan kisilere hizmet etmek gibi bir amaci yoktur. janny rumuzlu renklidergi.com üyesi bu yazidan dolayi olusabilecek zararlardan sorumlu tutulamaz. Bu yaziyi okuyan her kisi bunlari da okumus sayilir. (Böyle de yasal uyari yaparim arkadas)

35 YORUMLAR

  1. Ben zaten kendimi bildim bileli sifremi öyle kelimeymis tarihmis cep telefonu numarasiymis falan yapmadim… Ama iste, ipucuyla falan bile hatirlanacak gibi olmadiklari için mecbur yazmistim bir yere, ufak kagida yazsam bu odamin daginikliginda (yaratici insanlar daginik olur!! 😛 ) kaybedecegimi bildigim için ajandama yazmistim… Ajandayi ele geçiren pek sevgili insanlar neyse ki benden daha zeki ve çabuk degillerdi 🙂 kurtardigim hesabim disindaki bütün sifreleri degistirmisler fakat bütün hepsine ayni sifreyi koymuslar. Turkticaret.nete göndermis oldugum tc kimligim ve dilekçem sayesinde sifreye ulasmam çok sürmedi. Yine söylüyorum, sansliydim 🙂 Hani gönül ister o 3 magandaya burdan bir nanik çekiyim dil çikartayim falan :))

     Eline saglik bu arada, ilk yazin hayirli olsun 😛

  2. Tesekkür ederim Tara, ilk yorumu senden almak nasil hosuma gitti bilemezsin 🙂

    Yazinin o kismini zaten sana özel yazmistim, ama görüyorum ki bu sefer de masa altlarina kagitlar yapistirmaya baslamissin 🙂 Fotografçilikla ilgili çok az bilinen terimleri tersten ya da 1-2 harfini degistirerek yazabilir, sonra da sifreleri not ettigin kagitlara hangi kelimeyi nasil degistirdigini sadece kendin anlayacagin bir dilde yazabilirsin sevgili sipsakçi kalemsör 😉 Umarim bir daha ayni seyleri yasamazsin 😉

  3. Keylogger olayina özellikle internet kafelerde dikkat etmemiz gerekiyor. Ben ne zaman yabanci bir internet kafeye otursam bir paranoya yasarim. Hatta bazen keylogger var mi yok mu anlamak için KL-Detector  adli yazilimi kullandigim da olur.

    • Sahsen ben internet cafelerde keylogger oldugunu sanmiyorum, çünkü böyle bir durum cafenin müsteri kaybetmesine neden olur. Olsa olsa sizden önce o bilgisayara oturan birisi keyloggeri kurup gitmistir, bu riskten kurtulmak için en güzel çare de basina oturdugunuz bilgisayari resetlemektir. Cafe sahibi tepenize dikilirse de "kilitlenmisti" diye kestirip atarsiniz 😉

  4. Bugün bir sifre test sitesini kesfettim: http://www.passwordmeter.com

     
    Bu sitede password yazan bölüme herhangi bir yerde kullandiginiz sifrenizi girip ne kadar güvenli oldugunu ögrenebiliyorsunuz. Güvenli sifrenin nasil olusturuldugunu zaten yazida anlatmistim, bu da kendi sifrenizi test edebilmeniz için güzel bir yol 😉 Kesinlikle sifre avciligi falan yapmiyor, güvenle deneyebilirsiniz…

  5. Eee artik bana da senin baska bir sitede yorumculugunu torpilli olarak görmemek düser :)) sevgili jnny (sss tamam yeterince ayipsadim kendimi)… 😉 yazi için tesekkürler güzel bir paylasim olmus.

  6. bunun üzerine çok haince bi yorum getiriyorum : ) keyLogger programini istiyorum !! :D:D:D

    bu biLgiLer içinde yazan arkadasa ayrica tesekkürLer : ) hiç biLmiyodum bunLari ögrenmem iyi oLdu : ) war oLun ..

  7. Sifrelerim alfanumerik ve en az 12 karakter olur. Sanal klavye yazilimim olmaksizin önemli gördügüm hiç bir girisi yapmam. Bunlara dikkat ettikçe, planformum ne olursa olsun rahatça giris çikis yaparim. Simdiyedek sifre kaybetmedim, herhalde bu gidisle kaybetmem de 🙂

  8. @teomaster, güvenlik diye bir sey yoktur. Bir CEH (Certified Ethical Hacker) dökümaninda söyle diyordu: Sizi yenmeyi kafaya koymus bir hackera karsi yapabileceginiz tek sey onu yavaslatmaktir.
    Sifrenize göz koymus biri, napar neder, internet baglantinizi dinler, ekraninizin video kaydini alir, sizi farkedemeyeceginiz sekilde sahte bir siteye giris yapmaya zorlar, yine de ögrenir o sifreyi. Yapabileceginiz tek sey, (bir banka yapmisti bunu galiba) bir kullandiginiz sifrenin ikinci defa geçerli olmamasi. Her giriste seçtiginiz düzene göre sifre degisecek. Hos olurdu…

  9. Baglantimi dinleyemez sifresiz wireless kullanmiyorsam yada ona ait bir ag üzerinde degilsem, ekran video kaydi olayi zaten hepten abarti olmus, bilgisayarima erisemedigi için öyle bisey yapmasina imkan yok, zaten bilgisayarima girebiliyorsa kayit yapmasina gerek yok 😀

    sahte bir siteye yönlendirmek artik eski moda oldu. neredeyse tüm internet gezgincileri ssl sertifikasini gözümüze gözümüze sokuyorlar. girdiginiz yere ait olmayan bir sertifika görürseniz zaten süphelenmeniz lazim. bunun yaninda zaten bu tür siteler bir kez raporlandi mi kontrol edildikten sonra baskasi girdiginde bu sitenin yasal olmayan faliyetler yürüttügü size gezginci tarafindan bildiriliyor.

    insanlari internetin hep güvensiz olduguna inandirmaktan artik vazgeçmek lazim. internette sifrenizin çalinma ihtimali bankamatikte yaniza gelen birinin sifrenize bakmasindan yada cebinizden karti yürütmesinden yada yediginiz yemegin ücretini öderken kartinizin kopyalanmasindan fazla degil.

    birakalim artik teknolojiden korkmayi.

  10. Sevgili @muratmoon, bir konuyu atliyorsunuz.

    "Herkes sizler kadar bilgili degil"

    Insanin korkmasinin nedeni bilmemektir. Küçük yasta öcülerden korkariz. Karanlikta yasarlar, kims eonlarin neye benzedigini bilmez. Çünkü herkesin kendi hayal gücü ile sinirlidir sekil ve semalleri.

    Bilgi de böyle bir sey. Surada internetin, hele hele yurdumuzda tarihi ne kadar? 30 yas üstü büyük bir nüfus yogunlugumuz var ve bunun % kaçi sizin kadar konuya hakim acaba?

    Bir de bu açidan bakmali konuya derim ben.

  11. Ezilmis hissettim kendimi biraz. Ben size demiyorum ki internet güvensiz bir yer, girmeyin, gezmeyin. Ama su var ki, bir kaç zeki korsanin eline düserseniz sizle iyi kedi-fare oyunlari oynayabilirler. Zevk meselesi. Ssl ve sifreleme olayina gelince, iyi güvenlik sagladiklarina süphe yok; ancak tamamen de güvenilir yöntemler degil.

  12. @muratmoon tesekkür ederim. Sayende @Serkan Aygören arkadasima cevap vermeme gerek kalmamis. Ama onu da anliyorum. Topluma faydali olmak adina yaziyor. Nereden bilecek kimin ne kadar bilgisi var 😉

  13. slm arkadaslar bana yaridmci olablirmisnz bir arkadasimin facebook sifresini bulmak isityorum lütfen bu benim için çok önemli..mutlaka bulmam lazim..

  14. slm ben yaziniiz okudum çok begendim ama benim sizler gibi tecrübem ve bilgim yok sizden bisey rica edecem ban yardim ederseniz çok seviniirm benim facebook hesabim baskasi tarafindan kirildi 2 defa aldim ama tekrar aldi ve herseyi degisti simdi ordaki resimlerimi kullaniyo video yüklüyo açik saçik yani benim adima yorum yapiyo facemi nasil geri alirim lütfen bana yardim edin

  15. Üzgünüm ama sanirim paranoyaklasmaya basladik.Bende bir sürü islemimi internet araçiligiyla yapiyorum. Fakat hiç bir zaman acaba sifrem kirilir mi diye düsünerek yaklasmadim. ya da birinin sifresini kirimda onunla dalga geçim kendimi tatmin edim demedim. Siz söylemeseydiniz böyle bir tehlikenin olabileceginin farkinda bile degildim.Sonuçta kilitli kasamizdan paramiz çalinabiliyorsa neden sifremiz çalinmasinki? Hos çalinmis olsa ne olabilir? facebook ya da msn adresimi çalsalar arkadaslarim benim olmadigimi anlayinça engellerler yeniden açabilirim.eft we diger banka islemlerinde saten sifre herseferinde degisiyor we çep telefonuna geliyor.Demem o ki; çokta paranoyak olmaya gerek yok. Temkinli olmak yeter.teknoloji hayati kolaylastirmak içindir,hayati bize zehir etmek için degil.

CEVAP VER

Please enter your comment!
Please enter your name here