21 Kasım 2018

Apple iCloud Bile Kırılabiliyorsa Bizim Bulutlar Ne Kadar Güvenli?

Jennifer Lawrence ve Kate Upton gibi ünlülerin çıplak fotoğrafları, Apple iCloud hesaplarının ele geçirilmesinin ardından internette yayılmaya başladı. Apple’ın zamanında neredeyse dünyanın en güvenli bulut sistemi olarak lanse ettiği iCloud bile kırılabiliyorsa, bulut teknolojisi gerçekten ne kadar güvenli? Ya da, kullanıcıların bu konuda yaptıkları bir hatalar silsilesi mi var?

Ünlülerin cep telefonlarını veya bilgisayarlarını ele geçirip, kişisel bilgilerini ya da görsellerini çalmak internette yeni bir şey değil. Pazar gecesi olan olayın ise çok önemli ve rahatsız edici başka bir boyutu var. İddiaya göre bu sefer ele geçirilen yalnızca ünlülerin hesapları değil; Apple’ın iCloud bulut depolama ve yedekleme sisteminin tamamen kırılmış olması.

Bu şimdilik yalnızca saldırganların ortaya koyduğu bir iddia. iCloud sisteminin gerçekten kırıldığına dair henüz kimsenin elinde bir veri yok. Apple da henüz bir açıklama yapmadı, herhalde onlar da olayın nasıl gerçekleştiğini anlamaya çalışıyorlar. Fakat ortadaki durum, sistemin kendisinden çok kullanıcıların yaptıkları bir takım hatalar neticesinde şekillenmiş gibi duruyor.

Apple, iCloud için nasıl güvenlik önlemleri kullandığını sitesinde yazıyor. iCloud verileri hem sunucu tarafında, hem de gönderilirken cihaz tarafında en az 128 bit AES ile şifreleniyor. Bazı durumlarda (iCloud Anahtar Zinciri, e-postalar, Back to My Mac gibi) 256 bit AES veya SSL şifreleme de kullanılıyor.

Apple ayrıca hesap bilgilerini uygulamalar üzerinde değil, yine cihaz veya sunucu tarafında şifrelenmiş olarak saklıyor. Eğer üçüncü parti bir uygulama bu bilgilere erişmek istiyorsa, verilen SSL üzerinden gönderiliyor.

Bütün bunlar demek oluyor ki, eğer şifreniz yeterince güçlüyse, bir saldırganın cihazınızdan, sunucudan veya verilerin transferi sırasında bilgilerinizi çalması neredeyse imkansız.

Ama şifreniz ne kadar güçlü olursa olsun, bir yerlerde açık ederseniz, saldırganlar saniyeler içinde hesabınızı, cihazınızı, bilgisayarınızı ele geçirebilir hatta kullanılmaz duruma getirebilir. Öncelikle şifrenin nasıl güçlendirileceğine bakalım.

Güçlü ve Güvenli Şifreleme

Hollywood ünlülerinin özel fotoğrafları yüksek ihtimalle bütün iCloud sisteminin değil, doğrudan bu ünlülerin hesaplarına girilerek alındı. Bunun iki yolu var: Ya çok zayıf şifreler kullanıyorlardı ve basitçe şifreler tahmin edilip hesaplara girildi, ya da şifrelerini yanlışlıkla açık ettiler.

Apple, kullanıcılarından şifre isterken çok sert ölçütler koyuyor. Bir şifre 8 karakterden kısa olamaz, içinde mutlaka bir rakam, bir büyük harf, bir de küçük harf içermek zorunda. Bu kombinasyondaki bir şifrenin kırılması veya tahmin edilmesi, en gelişmiş bilgisayarlarla bile birkaç yüz yıl sürüyor.

Fakat burada bir açık var: Eski Apple kullanıcılarının şifreleri böyle değil. Apple, belli bir tarihten önce kullanıcılarından bu şekilde şifre yaratmalarını istemiyordu ve hali hazırda yaratılmış şifrelerin yenilenmesi için kullanıcılarından bir yenileme talep etmiyordu. Yalnızca, iki aşamalı güvenlik sistemine geçerseniz böyle bir yenileme istiyor. Yani ilk iPhone kullanıcıları eğer hiç şifre yenilemedilerse, şifreleri bu kriterlere uymuyor ve bu büyük bir güvenlik riski.

Bir başka sorun ise, biz insanların üşengeçlik ve kısıtlı hafızalarından kaynaklanıyor. Her gün kullandığımız hizmetler, siteler ve cihazlar için ayrı şifreler yaratmıyoruz. Yaratsak bile bunları ya bir belgenin içine yazıp oradan bakıyoruz, ya da şifre depolama programları ile bir yerlerde tutuyoruz. Genellikle, yeterince güvenli olduğunu düşündüğümüz aynı şifreyi her yerde kullanıyoruz.

Bu yanlış alışkanlığın yarattığı sonuç, şifrenizi kullandığınız başka bir hizmet veya internet sitesine saldırganlar tarafından girildiğinde, potansiyel olarak her şeyinizin tehdit altında olması. Artık, fark ettikleri anda tüm hesaplarınıza, cihazlarınıza ve hizmetlerinize erişebilirler. “Ben kimim ki hacker’lar benimle uğraşsınlar?” diye düşünebilirsiniz. Haklısınız. Ama işte Kate Upton gibi ünlü bir Hollywood yıldızı olduğunuzda işler değişiyor.

Burada dikkat edilmesi gereken şey, mutlaka her hizmet için farklı şifreler kullanmak ve bir hizmet veya uygulamayı başka bir cihaz üzerinde kullandıktan sonra şifrenizi mutlaka değiştirmek. Bunu yapmazsanız, kişisel veya kurumsal ne kadar güvenli bir bulut sistemi kullanırsanız kullanın, büyük risk altında olursunuz.

İki Aşamalı Güvenlik Sistemi

Bu güvenlik sistemini artık çoğu hizmet sağlayıcı kullanıyor. Basitçe, hesap detaylarınızı bağlanmak için yazdığınızda cep telefonunuza veya e-posta adresinize bir kod geliyor ve girişi tamamlamak için bu kodu girmeniz gerekiyor. Bu yöntem, çok daha iyi bir güvenlik seçeneği sunuyor. Sonuçta saldırgan, başka bir cihazdan sizin hesabınıza erişmeye çalışıyorsa, elinde bu kod olmadan hiçbir şey yapamıyor. Ancak, cep telefonunuzu veya bilgisayarınızı çaldırırsanız işler değişebilir. Gönderilen kod, doğrudan saldırganın eline geçer ve ilk önce hesap bilgilerinizi değiştirerek hiçbir şekilde hesabınıza erişememenizi sağlayabilir. Dahası, hesap kurtarma seçeneklerinizi de elinizden alabilir. Bu durumlar yine yalnızca kişisel bulut sistemlerinde değil, kurumsal sistemlerde de geçerli. Doğal olarak kurumsal bulut sistemlerinin çok daha kapsamlı hesap kurtarma protokolleri var.

En Büyük Güvenlik Açığı: İnsan

Çoğunluğun sandığının aksine, hesapların çalınması veya saldırganların ele geçirmesi, bilgisayar şifrelerinin kırılması, sistemlerdeki açıklardan yararlanarak olmuyor. Sosyal mühendislik denilen, kullanıcıyı, kullanıcının yakınlarını veya kullanıcının hesap bilgilerini bilen yahut erişimi olan bireyleri kandırarak bu bilgileri elde etme şeklinde oluyor. Örneğin, tam olarak ne yaptığından habersiz teknik destek veya müşteri ilişkileri personeli gibi. Teknik destek ve müşteri ilişkileri departmanları, kullanıcıların hesaplarına doğrudan erişimi olabilecek en büyük adaylar, dolayısıyla buralarda saldırganlar sosyal mühendislik becerileri ile kendilerini kullanıcı olarak tanıtıp, hesapların şifrelerinin resetlenmesini veya bilgilerin kendilerine iletilmesini isteyebiliyorlar; kimi zaman da başarılı oluyorlar. Böylece gerçek kullanıcının haberi bile olmadan kişisel bilgileri ele geçirilmiş oluyor. Bu yüzden, firmaların bu iki departmanının nasıl işlediği ve nasıl yapılandığı çok önemli.

Şu an, Rusya’daki hacker’ların elinde olduğu söylenen 1,5 milyardan fazla kullanıcı adı ve şifrenin ele geçirilebilmesinin temel nedeni sosyal mühendislik. Kullanıcının herhangi bir hesabındaki şifre ele geçirildiğinde, akıllı bir hacker hesapta değişiklik yapmıyor. Yalnızca bulabildiği tüm bilgileri kendine kopyalıyor ve kullanıcının olması muhtemel başka hizmet ve uygulamalarda ele geçirdiği hesabın kullanıcı adını ve şifresini denemeye başlıyor. Ve maalesef çoğumuz yukarıda anlattığımız gibi her hesapta aynı şifreyi kullandığımızdan, zincirleme bir reaksiyon gibi bir anda kullanıcının çoğu hesabına girebiliyor.

Bütün Bunlardan Çıkartılacak 6 Ders

  • 8 karakterden kısa şifre belirlemeyin. Şifrelerinizin içinde mutlaka büyük harf, küçük harf, rakam ve mümkünse bir de sembol (+, /, % gibi) bulunsun.
  • İstisnasız her hesap ve uygulamanız için farklı bir şifre kullanın. Uygulamanın örneğin Facebook üzerinden hesap açma opsiyonu varsa bunu kullanmayın, o uygulama için ayrı hesap yaratın.
  • Mutlaka iki aşamalı güvenlik sistemi kullanın.
  • Hizmete erişmek için kullandığınız yazılımın (işletim sistemi, internet tarayıcı vs.) veya uygulamanın her zaman son sürümünü kullanın.
  • Normalde kullandığınızdan farklı bir cihazdan hesabınıza erişmek zorunda kalırsanız, sonrasında mutlaka şifrenizi değiştirin.
  • Bu en önemlisi: Herkese göstermek istemeyeceğiniz bilgileri, verileri, fotoğrafları ve belgeleri internet ortamında tutmayın. Eğer buna mecbursanız, dosyaları buluta yüklemeden önce kendiniz şifreleyin, öyle yükleyin. Basitçe dosyalarınızı zip’leyin ve ziplerken bir şifre belirleyin.


Sosyal medya ve e-bülten ile de EticaretMag'ı takip edebilirsiniz!

EticaretMag Twitter EticaretMag 

Facebook Sayfası EticaretMag Youtube EticaretMag Google+ E-ticaret 

Türkiye Linkedin Grubu E-

ticaretMag RSS E-

ticaretMag RSS

Yorumlar

  1. Daha olayın sebebi anlaşılmadan olay ilgili tahmin yaptığınız gibi apple ı savunuyorsunuz. Bu kadar insan şifresini çaldıramaz.

  2. Cemal kaan der ki:

    Bir internet hizmeti veren firmada çalışıyorum. Yıl olmuş 2014 hala bir çok insan 123456 gibi şifreler kullanıyor. Güvenlik için önce kullanıcıların eğitilmesi şart. Her site her servis için farklı şifre kullanılması pek mümkün değil. En az 50 uygulama veya serviste üyeliğiniz var. 50 farklı karisik şifre uretip nasıl hatirlayacaksiniz. Bir de bunları bir yere yazmayın diyorlar.

Fikrini söyle

*