Rik Ferguson

Dropbox Sızıntısı ve tehlike çanları!

Dropbox Sızıntısı Akıllarda Soru İşaretleri Bıraktı...

18 Temmuz günü Dropbox, sadece Dropbox hesaplarıyla bağlantılı olarak kullandıkları e-mail hesaplarına spam mesajlar almaya başlayan kullanıcılarının iddialarını incelemeye başladıklarını duyurdu. Aradan geçen iki hafta sonunda, gizem çözülmüşe benziyor.


Dropbox'ın açıklaması, "başka sitelerden çalınan kullanıcı adı ve şifreler çok az miktarda Dropbox hesabına giriş yapmakta kullanıldı" yönündeydi. İşte bu girişlere hedef olan az sayıdaki hesaptan birinin, içinde "kullanıcı e-mail adresleri içeren bir döküman" bulunduran bir Dropbox çalışanına ait olduğu belirlendi. Bu döküman, istenmeyen mesajların kaynağıydı.


Benim açımdan bu haber ve olayların ele alınış biçimi endişe verici bir kaç detay içeriyor. Örneğin, bir Dropbox mühendisinin geliştirdiği projede gerçek kullanıcı bilgileri üzerinde çalışıyor olması. Sadece iş görmesi için üretilmiş yapay bilgiler kullanılamaz mıydı? Bu döküman ele geçirildi, çünkü Dropbox çalışanı firma şifresini başka web sitelerinde de kullanıyordu. Tam olarak hangi sitelerden bahsedildiği belli değil, ama bu büyük bir hata değil mi?


İki detay, Dropbox'ın kullanıcılarına bu güvenlik açığını içinde şifrelerini baştan oluşturmalarını sağlayan bir link bulunduran e-mail mesajlarıyla bildirmiş olması. Kullanıcılarımıza yıllardır e-mail yoluyla gelip bazı linklere tıklayarak açılan web sitelerine kişisel bilgilerini girmelerini isteyen mesajlara asla uymamalarını öğütleriz. Dropbox'ın uygulamasıysa, bizim bu en temel güvenlik önerimizin tam zıttı. Üstelik kullanıcıların belirttiğine göre, Dropbox'ın ana sayfasında bu saldırı ve şifre resetleme gerekliliği üzerine hiç bir bilgi olmaması, firmanın yolladığı mesajların güvenilirliğini daha da belirsiz hale getirmiş. En ideal durumda etkilenen firmanın kullanıcılarına bir bilgilendirme mesajı göndermesi, ama mesajın içinden link vermek yerine kullanıcıları firmanın ana sayfasında verilecek yöntemi izlemeye davet etmesi gerekirdi.
Son detaysa Dropbox'ın uğradığı saldırı sonucunda bazı kullanıcı şifrelerinin sıfırlandığını belirtmesi. Firmaya göre, bazı durumlarda kullanıcı şifresini değiştirmek zorunda kalabilir. Kullanıcı şifresinin çok kullanılan bir şifre olması ya da çok uzun süredir değiştirilmemesi bu durumlara örnek olarak belirtilmiş. Peki, Dropbox bir kullanıcı şifresinin "çok kullanılan bir şifre" olduğunu nasıl anlıyor? Şifreleri jargonda "tuz" denilen ek bilgilerle şifrelemeden, düz metin olarak mı kaydediyorlar? Ya da güvenlikten çok hız için optimize edilmiş bir şifreleme algoritmasına dayanarak tüm şifreler için aynı "tuz" verisini mi kullanıyorlar? Eğer bu düşüncelerimizden herhangi birisi doğruysa, şifre veritabanları "Rainbow Attack" denen türde saldırılara açık demektir. Uygun olan, her kullanıcının şifresinin kendisine özel bir "tuz" ile işlenerek depolanması ve Blowfish gibi ek çalışma faktörleri eklenebilen algoritmaların kullanılmasıdır. Bu yöntem şifrelerin kırılması için gerekecek süreyi büyük ölçüde arttırır ve ek çalışma faktörü değiştirilebildiğinden işlemci gücü arttıkçe şifrelemenin gücü de arttırılabilir. Çalışma faktörünün artması kullanıcı şifresinin tekrar şifrelenmesini yavaşlatır, bu yavaşlama tek bir kullanıcı düşünüldüğünde önemsiz düzeydedir ancak şifreleri kırmaya yarayan tabloların oluşturulmasını yararsız kılar.
Dropbox'ın kullanıcılarına ikili şifre kontrolü olanağını sağladığını duymak güzel, üstelik diğer bazı güvenlik iyileştirmeleri de söz konusu, ancak bu bahsettiğimiz detaylar ve firmanın olaya yaklaşımı kafamızdaki soru işaretlerini hala silmedi.


Tüm bunlardan öte, Dropbox kullanıcılarının şimdi Dropbox temalı phising furyalarına hazır olmaları gerekiyor. Açığa çıkan bilgilerin eninde sonunda kötü niyetli birilerinin ekmeğine yağ süreceği kesin. İşte bu durum, şifre oluşturma servislerini kullanarak her kullanıcı hesabınız için farklı şifreler belirlemeniz gerekliliğinin göstergesi. Eğer servis sağlayıcı firmalara güvenemiyorsanız, kendi güvenliğinizi kendiniz sağlamanız gerekiyor.

Takip Edin

 

Turhost