Güvenli sandığınız bu şifreyi hack’lemek, bu kuralları koyan yazılım mühendisi Bill Burr’a göre birkaç dakika...

     Çıldırmak istiyorsanız, bir ara kaç şifreniz olduğunu, kaçını hatırlayamadığınızı, kaçını 60 günde bir değiştirmek gerektiğini düşünün. Bunu yaparken etrafta silah, bıçak gibi kendinize zarar verebileceğiniz bir şeyler olmamasına dikat edin, balkon kapısını sıkıca kapatın! Peki başımıza bu dertleri açan insafsız adam kim biliyor musunuz? Bill Burr. Kendi de pişman. Ortalıkta fotoğrafı da yok ki şifresiz iki çift laf edip rahatlayalım! Neyse, olan oldu. Sonuçta çoğumuz için e-Devlet şifresi bile bitmeyen bir sınava dönüşmüş durumda. Şimdi bir şifrede istenen nitelikleri tekrardan sayıp bunalıma girmeyelim. Ama onca hack’lenme vakasına rağmen hâlâ en çok kullanılan şifre “123456”, çünkü iyi bir şifre bulmak kullanıcılar için denklem çözmek gibi. Zaten iyi şifreleri kullanıcılar ya unutuyor ya da yazdığı kâğıdı kaybediyor. Ayrıca iyi şifreler de iyi değilmiş ya; buyur Burr’dan yak!

     PTT’nin Gültepe şubesinde çalışan Serdar Bey, “İnsanlar her gün yeni e-Devlet şifresi almaya geliyor. Üstelik her biri için de 4 lira ödeniyor” diyor. PTT’nin yılda kaç e-devlet şifre zarfı verdiği verisi yok ama Serdar Bey “Buraya her gün en az 4 kişi geliyor” diyor. Etrafımdaki insanlara e-Devlet şifrelerinin hatırlayıp hatırlamadıklarını sordum, hemen hepsi “Neydi ya?” deyip kara kara düşünmeye başladı. İnsanların hatırlayamadığı bu şifreleri kırmaksa artık sadece birkaç dakika sürüyormuş. Bill Burr gibi şifrelemeyi bulup güvenli olduğunu söyleyenler bile şimdilerde bin pişman...

1- BÜYÜK VE KÜÇÜK HARF, RAKAM, ÖZEL KARAKTER...

     Yıllarca ABD Ulusal Standartlar ve Teknoloji Enstitüsü’nde çalışan 72 yaşındaki Yazılım Mühendisi Bill Burr, şifreleme kurallarının kitabını yazan adam. E-Devlet’te istenen parola kriterlerinin hack’lenmesinin zor olduğunu anlatan uzunca araştırmalar yapmış. Bunu önce Beyaz Saray’a kabul ettirmiş, sonra da tüm devlet dairelerine... Bu sistem şimdi dünyada kullanılıyor. Zamanında birçok başarı elde eden Burr, geçenlerde Wall Street Journal’a bir röportaj verdi. Şöyle diyordu: “Böyle bir sistem geliştirdiğim için pişmanım. İnsanların kafası karıştı, daha da fenası kötü niyetli hacker’lara algoritmalarında kullanmaları gereken sistemi de sundum...” Yani sıkı bir yazılımcı, algoritmasını hazırlarken şifrenin içeriğinde büyük harf, küçük harf, özel karakter, rakam olacağını biliyor. Bu da işini epeyce kolaylaştırıyor, ihtimallerini ona göre hazırlıyor. Kendisi de yıllarca bu yöntem sayesinde iş yapmış ama güvenli şifre kurallarını hazırlarken bu durumu öngörememiş.

‘HATIRLAMASI İNSANA ZOR BİLGİSAYARA DEĞİL’

     Parola gurusu olarak anılan Burr, özel durumlarda hükümet için de şifre kırmış. “Şifreleriniz hayal gücünüzle sınırlı. Daha da ileri gideceğim, koyduğunuz şifre kadar akıllısınız. İnsanlar için hatırlanması zor şifreler yazılımlar için hiç zor değil” diyor. Sonra da birkaç tecrübesini anlatıyor.

     Mesela hükümeti ilgilendiren verileri ele geçiren bir adamın şifresini kısa sürede kırmak için yapması gereken tek şey şu olmuş: Hazırladığı yazılıma adamın çalışma odasındaki nesneleri ve hayranı olduğu beyzbol takımının oyuncu isimlerini girmiş. “Bir tuşa bastım, sadece 4 saniye sürdü” diyor Burr. Fal bakar gibi şifreyi bulmuş. Deneyimlerine göre insanlar göz önünde bulundurdukları nesnelerden ya da tanıdığı insanlardan esinleniyor, kendilerine hatırlatmak için ortaya bıraktıkları ipuçları farkında olmadan yabancıların da işine yarıyor. “Kimisi de çekmecesinin gözüne ‘Şifrelerim’ yazılı bir not koyuyor” diye ekliyor. Bunu okuduktan sonra defterimin arkasındaki şifrelerimin yazılı olduğu sayfayı yok ettim.

     Pekin Üniversitesi ve Lancaster Üniversitesi’nden araştırmacılar, bireysel kullanıcıları hedef alan TarGuess adında bir yazılım geliştirdi. Yazılıma kullanıcının adı, doğum tarihi, tuttuğu takım, aile bireylerinin ismini girildi. Sonuç, tesadüfen seçilen bin kişinin hesabında yapılan ilk 100 tahminde yüzde 50 başarı sağlandı.

‘BU BİR ZORBALIĞA DÖNÜŞTÜ’

     Burr’un pişmanlığının altında aslında, yıllar önce hazırladığı şifreleme rehberlerinin hem hayal gücünü kısıtlayıcı olması hem de fazla 2 gün içinde bulunabilmesi yatıyor. “Büyük şirketler bu uygulamaya geçtiğinden beri çalışanlarından 60 günde bir kriterlerde yeni şifre koymasını istiyor. Bu bir zorbalığa dönüştü, insanlar sıkılıyor ve geçiştirmek ve unutmamak daha basit şifreler koyuyor” diyor ve örnekliyor: P@55w0rd, Dropbox, 2012’den önce kayıt olan üyelerine şifrelerini değiştirmedilerse hesaplarının tehlikede olduğunu açıkladı. meğer 68 milyon kullanıcının hesap bilgileri ele geçirilmiş. o sırada ortaya çıplak fotoğraflar, seks videoları furyası çıkmıştı.

     Football123, ManchesterUnited.2, 112233Aa!!... Burr, “On binlerce kişi aynı şifreyi seçiyorsa tahmin edilemez değilsinizdir” ifadesini kullanıyor. Ama oldu bir kere! İnsanlar aynı parolayı art arda kullandıklarından veya ekranlarına yapıştırılan notlara yazdıklarından güvenliği iyileştirmek yerine bilgisayar sistemlerini daha az güvenli hale getirdi. “Sözde güvenli Beyaz Saray’da bile köpeğinin adını şifresi yapanlar var. Birine sızmak yeterli olur” diyor Burr başka bir dergiye verdiği demeçte. Parola gurusunun haklı olduğunu biliyoruz. Keeper Security’nin geçen yıl yaptığı araştırmaya göre kişisel şifrelemelerde en çok kullanılan ‘zor’ şifreler şunlar: 123456, 123456789, qwerty, 11111, 123123, password... Şifremiz kadar akıllıysak, ortada ciddi bir sıkıntı var Burr! Bu açıklamalar ve araştırmalardan sonra Amerika’nın Ulusal Bilim ve Teknoloji Enstitüsü Burr’un yazdığı şifre kurallarını güncelledi ama açıklamadı.

     ABD’de epey dinleyicisi olan bir program var; Busting Password Myths (Busting Şifre Mitleri). Paul Ducklin ve Chester Wisniewski, şifre kuralları ve yönetmelikleriyle verileri inceleyip tartışıyor. Burr’un kurallarının işe yaramadığını anlatıyorlar.

SİZİN ŞİFRENİZİN ÖNGÖRÜLEBİLİRLİĞİ NE?

     Burr’un anlattıklarından şifreleme konusuna daldım. İşin epey teknik detayı Araştırmalara göre olası bir siber saldırıda teoride ideal olan P55w0rd gibi bir şifre 1 dakikada kırılırken, Horsecarrotsaddlestable gibi bir kelimenin kırılması yıllar alabilirmiş. Parola entropisi denilen bir kavram var, bir parolanın ne kadar öngörülemeyeceğinin bir ölçümü. Şifredeki her karakter bir alt küme oluşturuyor ve yazılıma dahil edilmiş bütün harf, rakam, şekli deniyor. İşi biraz matematiğe dökersek, alt küme tabanının karesi hesaplanıyor ve şifrenin ne kadar sağlam olduğu belirleniyor. Yani P55w0rd şifresinin Horsecarrotsaddlestable’dan daha fazla alt kümesi var; ikincideyse özel karakterler, rakamlar, büyükküçük harf yok ama algoritma bunları da hesaba katarak şifreyi kırmaya çalışacağından çözmesi epey zaman alacak. Bizim HT Dokun ekibinden yazılım konusunda iyi Emre Acar’a konuyu anlattım. “Teoride doğru ama yine de kırılamaz değil. O da hacker’ın hayal gücüne bağlı” diyor.

     Have I been pwned? (Hack’lendim mi?) sitesinin güncel verilerine göre hack’lenen hesap sayısı: 4.000.536.425!

560 MİLYON HESAPTAN BİRİ SİZ OLABİLİRSİNİZ

     Bu arada karikatürist ve araştırmacı Randall Munroe, ortaya bir teori attı; “Doğruatpilzımba” yazılı bir şifreyi çözmenin tam 550 yıl süreceğini hesapladı.

     Bill Burr’un kurallarındaki Tr0ub4dor&3 parolası 3 günde kırılabilirken... Ulusal Standartlar ve Teknoloji Enstitüsü de Munroe’nun dediğini onaylamış: “Mümkün...” Ancak Emre yine de “Olasılık olarak evet haklı ama bilinen kelimeler olursa kolay çözülür şifreler bunlar” diyor. “Dediğim gibi zaten yaratılmış kelimelerden oluşuyor ve bu kelimelerin hepsi sözlük datasında hazır. Kırılamaza yakın şifre yapmak istiyorsan şifrenin şifresini yapman gerek, bu da yüzlerce algoritmik döngüye sebep olur. Sisteme ulaşma süresi uzar.” “Bunu ben yapabilir miyim?” dediğimde bıyık altından gülerek “Kriptoloji, algoritmik denklemler ve yazılım biliyorsan yaparsın” dedi. Bunun üzerine planım, Japon ve Rus alfabeleriyle karışık bir şey yapmak. Ama banka kartlarında ne yapacağız onu bilemedim. Topu topu 4 rakam, bazı bankalar kullanıcıları hâlâ doğum tarihini şifresi yapıyor diye 5 rakama çıkardı... Kırılamaz değil ancak telefona gelen doğrulama bilgileriyle engellenebilir. O yüzden benim gibi algoritma bilmiyorsanız kendinizi güvene almanın en iyi yolu içinize sinen bir şifre belirleyip iki faktörlü doğrulama sistemini kullanmak. Gerçi bir hacker kafaya koymuşsa işiniz yine de bitmiştir. Yani tevekkül de şart bi yerden sonra...

     Guru Burr’un son uyarılarına göre, parolaları tekrar kullanmayın. Farklı karakterler kullanmak işi zorlaştırmaz. Onun yerine unutulmaz bir şifre bulunmalı. Örneğin; “salatalıkkuşkütleşapka”Dilediğiniz kadar uzatıp özel karakter de ekleyebilirsiniz. Güvenilir bir şifre yöneticisi satın alıp kullanabilirsiniz. Kendinizi korumanın en iyi yolu, bir kod içeren veya oturum açmayı doğrulamak için bir uygulama kullanan iki faktörlü kimlik doğrulama kullanmak.

SIRADAN BİRİYSENİZ BİLE TEHLİKE ALTINDASINIZ

     “Bunlar beni ilgilendirmez, kim hangi bilgimi ne yapacak, o kadar da zengin değilim” diyenlereyse, teknoloji yazarı Joe Kissell, Take Control at Your Passwords kitabında şöyle diyor: “Sıradan birisiyseniz bile hesabınız saldırıya uğramış olabilir ve bu size ileride sorunlar çıkarır. Kişisel verileriniz kopyalanabilir, kapınıza bir gün haciz memuru dayanabilir.” Daha da basit düşünebilirsiniz. Geçen yıl Eddie denilen bir hacker 560 milyondan fazla e-postayı şifresiyle birlikte toplayıp dev bir veri tabanı oluşturdu. Listede 243 milyon 692 bin 899 tekil e-posta adresi vardı ve üstelik herkesin ulaşabileceği bir şekilde paylaşmıştı. Bu veriler arasında, LinkedIn, Dropbox, Lastfm, Myspace, Adobe, Neopets, ooowebhost, Tumblr, Badoo ve Lifeboat gibi siteler var. Yani birileri para ödediğiniz bir uygulamaya sizin verilerinizi kullanarak giriyor olabilir. Kissell’e göre sonuna bir noktalama işareti ve sayı koyarak o şifreyi harika bir şifreye dönüştüremezsiniz. Her yerde aynı şifreyi kullanmak güvenli değil. Son olarak, her ay şifrelerinizi değiştirmeniz de akıllıca sayılmaz.

HEPSİ HACK'LENEBİLİR

ÇİPLİ VE MANYETİK OTEL KARTLARI, AKILLI OYUNCAKLAR

     Hedef yalnızca şifrelediğiniz hesaplarınız da değil. Dolaylı yoldan verileriniz ele geçirilebiliyor. Mesela geçen yıl Black Hat adlı güvenlik konferansında otellerin kullandığı çipli ve manyetik kart anahtarları ele alınmıştı. Anahtar kaybeden ya da check out saatinde çıkmayan müşterilerden dolayı birçok otel ve şirket bu kartları tercih ediyor. Bir anahtara göre elbette kullanışlı ama konferansta “Bu kartlarda kullanıcıların verileri depolanıyor ve hack’lenmesi de çok kolay” denildi.

     Başta ciddiye almamıştım ancak geçen hafta gittiğim Sziget Festivali’ne de söz ettiğimiz kartları okutularak giriyorduk. Kartım okunduğu an görevlinin ekranında pasaportumun tüm sayfaları, kaldığım otel bilgileri, meslek bilgilerim döküldü... Yani ben ikna oldum! Bunun üzerine Türkiye’de tanınan firmalardan Abacicard’a durumu danıştım. Hülya Hanım “Türkiye’deki kart içerisine genelde numara tanımlaması yapılıyor” diyor, pek bilgi girilmiyormuş ancak yurtdışı otellerinde söz ettiğimiz sistem yaygın. USA Today geçen gün bir yazı yayımladı, “İçiniz rahat olsun, kaybettiğiniz kartlar size zarar vermez” diye.

     McAfee’de güvenlik araştırmacısı olan Mickey Shkatov, oda numarası ve tarih alanı dışında kartlarda hiçbir şey olmadığını söyledi. Ama yükleyenler varsa yapmamalarını, verileri başka bir bilgisayara aktarmanın çok kolay olduğunu da ekledi. Bu tür akıllı sistemin bir diğer endişelendirici yanı, otel odalarının kapılarının sistem numaralarının ele geçirilmesi. Şöyle bir örnek veriyorlar: Ünlü bir otelin kapıları hack’leniyor, kartlar çalışmıyor, misafirler ne içeri girebiliyor ne de dışarı çıkabiliyor. Üstelik çoğunun elektrik sistemi de bu kartlara bağlı, karanlıkta kalıyorlar. Hacker’lar anında fidye için kurumla bağlantıya geçiyor, daha da fenası şirketin güvenilirliği sarsılıyor.

     Akıllı sistemler insanı endişelendiriyor. Bu nedenle geleceğin meslekleri arasında yazılım polisi var. “Çok uçtun” diyenlere birkaç örnek de topladım. Geçen yıldan bu yana pek çok farklı siber suç çeşidi ortaya çıktı. Güvenlik şirketi Malwarebytes, 2015’in aralık ayında tespit ettikleri saldırıların yüzde 17’sinin fidye yazılımı olduğunu, 2016’nın mayıs ayında ise bu oranın yaklaşık 3 kat artarak yüzde 61’e yükseldiğini söyledi. Bu yazılımlarla akıllı bir ev ya da şirket sistemi hacker’lar tarafından rehin alınabilir; elektrikler kesilebilir, internet engellenebilir, hatta ısıtma ve soğutma sistemleri kapatılabilir.

ETRAFINIZI BİR DAHA GÖZDEN GEÇİRİN

     -Geçen aylarda da Fisher-Price’ın ürettiği akıllı ayı oyuncaklarının hack saldırılarına açık olduğu ortaya çıkmıştı. Çocuğun adı, doğum tarihi, cinsiyetini öğrenebiliyor, ses kaydı alabiliyordu. Firma bunu çözdüğünü açıkladı ama oyuncaklar geri verildi. Geçmişte kötü bir örnek var. 2015’te Hong Konglu oyuncak üreticisi VTech’in akıllı oyuncakları hack’lenmiş, 5 milyon ebeveynin e-posta adresi ve oyuncağı kullanan 200 bin çocuğun oyuncakla çekilen fotoğrafları ortalığa çıkmıştı. Akıllı oyuncaklar tehlikeli de olabiliyor...

     -Reklam panoları, uçak, otobüs gibi toplu taşıma araçlarındaki ekranlar, dijital sistemli megafonlar, uzaktan kontrol edilebilen ışık sistemleri... Hepsi hack saldırısına açık. 2 haftada bir yazılımları değişse de!

     -İnternet güvenliği girişimi Bastille, milyonlarca kablosuz fare ve klavyenin 90 metre uzaktan dahi kontrol edilebileceğini, dolayısıyla bu açığın bağlandıkları bilgisayarları zararlı yazılımlara karşı korunmasız bıraktığını keşfetti.

     -Evinizin bir köşesinde duran kameralı drone’lar da hack’lenmeye açık. İzleniyor ve dinleniyor olabilirsiniz.

     -Hack’lenebilir cihazlar arasında şu sıra İngiliz basınında en çok konuşulan, yaygınlaşan seks robotları. Kullanıcısı hakkında mahrem bilgileri depolayan bu robotlar, insanları zor durumda bırakabilir.

     -Londra Goldsmiths Üniversitesi Bilgisayar Bilimi Profesörü Kate Devlin, “Şu anda en büyük endişem veri üzerine. Başka insanların bizim ne zaman ve nasıl seviştiğimizi bilmelerini istiyor muyuz?” demişti. Daha da fenası, The Future Laboratory yöneticisi Tracey Follows “Gelecekte robotlar hack’lenerek intihar bombacılarına dönüştürülebilir” diyor.

     -Sürücüsüz GPS sistemini hack’leyip farklı bir yöne gitmesi sağlanabilir. Bu şekilde araç çalınabilir ya da birilerinin kasten ölümüne neden olunabilir.