Rik Ferguson

Dropbox Sızıntısı ve tehlike çanları!

Dropbox Sızıntısı Akıllarda Soru İşaretleri Bıraktı...

18 Temmuz günü Dropbox, sadece Dropbox hesaplarıyla bağlantılı olarak kullandıkları e-mail hesaplarına spam mesajlar almaya başlayan kullanıcılarının iddialarını incelemeye başladıklarını duyurdu. Aradan geçen iki hafta sonunda, gizem çözülmüşe benziyor.


Dropbox'ın açıklaması, "başka sitelerden çalınan kullanıcı adı ve şifreler çok az miktarda Dropbox hesabına giriş yapmakta kullanıldı" yönündeydi. İşte bu girişlere hedef olan az sayıdaki hesaptan birinin, içinde "kullanıcı e-mail adresleri içeren bir döküman" bulunduran bir Dropbox çalışanına ait olduğu belirlendi. Bu döküman, istenmeyen mesajların kaynağıydı.


Benim açımdan bu haber ve olayların ele alınış biçimi endişe verici bir kaç detay içeriyor. Örneğin, bir Dropbox mühendisinin geliştirdiği projede gerçek kullanıcı bilgileri üzerinde çalışıyor olması. Sadece iş görmesi için üretilmiş yapay bilgiler kullanılamaz mıydı? Bu döküman ele geçirildi, çünkü Dropbox çalışanı firma şifresini başka web sitelerinde de kullanıyordu. Tam olarak hangi sitelerden bahsedildiği belli değil, ama bu büyük bir hata değil mi?


İki detay, Dropbox'ın kullanıcılarına bu güvenlik açığını içinde şifrelerini baştan oluşturmalarını sağlayan bir link bulunduran e-mail mesajlarıyla bildirmiş olması. Kullanıcılarımıza yıllardır e-mail yoluyla gelip bazı linklere tıklayarak açılan web sitelerine kişisel bilgilerini girmelerini isteyen mesajlara asla uymamalarını öğütleriz. Dropbox'ın uygulamasıysa, bizim bu en temel güvenlik önerimizin tam zıttı. Üstelik kullanıcıların belirttiğine göre, Dropbox'ın ana sayfasında bu saldırı ve şifre resetleme gerekliliği üzerine hiç bir bilgi olmaması, firmanın yolladığı mesajların güvenilirliğini daha da belirsiz hale getirmiş. En ideal durumda etkilenen firmanın kullanıcılarına bir bilgilendirme mesajı göndermesi, ama mesajın içinden link vermek yerine kullanıcıları firmanın ana sayfasında verilecek yöntemi izlemeye davet etmesi gerekirdi.
Son detaysa Dropbox'ın uğradığı saldırı sonucunda bazı kullanıcı şifrelerinin sıfırlandığını belirtmesi. Firmaya göre, bazı durumlarda kullanıcı şifresini değiştirmek zorunda kalabilir. Kullanıcı şifresinin çok kullanılan bir şifre olması ya da çok uzun süredir değiştirilmemesi bu durumlara örnek olarak belirtilmiş. Peki, Dropbox bir kullanıcı şifresinin "çok kullanılan bir şifre" olduğunu nasıl anlıyor? Şifreleri jargonda "tuz" denilen ek bilgilerle şifrelemeden, düz metin olarak mı kaydediyorlar? Ya da güvenlikten çok hız için optimize edilmiş bir şifreleme algoritmasına dayanarak tüm şifreler için aynı "tuz" verisini mi kullanıyorlar? Eğer bu düşüncelerimizden herhangi birisi doğruysa, şifre veritabanları "Rainbow Attack" denen türde saldırılara açık demektir. Uygun olan, her kullanıcının şifresinin kendisine özel bir "tuz" ile işlenerek depolanması ve Blowfish gibi ek çalışma faktörleri eklenebilen algoritmaların kullanılmasıdır. Bu yöntem şifrelerin kırılması için gerekecek süreyi büyük ölçüde arttırır ve ek çalışma faktörü değiştirilebildiğinden işlemci gücü arttıkçe şifrelemenin gücü de arttırılabilir. Çalışma faktörünün artması kullanıcı şifresinin tekrar şifrelenmesini yavaşlatır, bu yavaşlama tek bir kullanıcı düşünüldüğünde önemsiz düzeydedir ancak şifreleri kırmaya yarayan tabloların oluşturulmasını yararsız kılar.
Dropbox'ın kullanıcılarına ikili şifre kontrolü olanağını sağladığını duymak güzel, üstelik diğer bazı güvenlik iyileştirmeleri de söz konusu, ancak bu bahsettiğimiz detaylar ve firmanın olaya yaklaşımı kafamızdaki soru işaretlerini hala silmedi.


Tüm bunlardan öte, Dropbox kullanıcılarının şimdi Dropbox temalı phising furyalarına hazır olmaları gerekiyor. Açığa çıkan bilgilerin eninde sonunda kötü niyetli birilerinin ekmeğine yağ süreceği kesin. İşte bu durum, şifre oluşturma servislerini kullanarak her kullanıcı hesabınız için farklı şifreler belirlemeniz gerekliliğinin göstergesi. Eğer servis sağlayıcı firmalara güvenemiyorsanız, kendi güvenliğinizi kendiniz sağlamanız gerekiyor.

DNS günü – Evde biri var mı?

DNSChanger'ın ne kadar büyük bir baş belası olduğundan haberiniz var mı?

DNSChanger zararlı yazılımı sızdığı bilgisayardaki DNS ayarlarını değiştirebiliyor. Aslında bunun anlamı siber suçlular DNS sayesinde kurbanın bilgisayarını kontrol edebiliyor, istedikleri gibi seçecekleri yere yönlendirebiliyor, kullanıcı bir banka ya da arama motoruna girmeye çalışırken kolaylıkla tuzağa düşürülüyor.

Bu hack'leme yöntemi Esthost çetesi tarafından tıklama dolandırıcılığı amacıyla kullanılmıştı. Saldırganlar kullanıcı aramaları ve siteleri başka yerlere yönlendirerek reklamverenler ve reklam ağlarını dolandırarak milyonlarca dolar kazanmıştı.

Zararlı yazılımdan etkilenen ya da henüz etkilendikten sonra DNS ayarları düzeltilmeyen kişisel bilgisayarların, zararlı yazılım temizlense bile suçluların istedikleri yerlere yönlendirildiğini hatırlatmakta fayda var. FBI'ın takibinde bulunan zararlı yazılım bulaşmış farklı IP adresleri için verilen süre doldu ve temizlenmemiş bilgisayarların internet bağlantıları kesildi. Yaklaşık 300 bin bilgisayarın internetle ilişkisine son verildiği tahmin ediliyor.

Trend Micro'nun FBI'la ortak çalışmalar yürüttüğü Esthost çetesinin adalet sürecine taşınmasında 4 milyon PC'nin o dönemde etkilendiği tespit edilmişti. Şu anda bu rakamın 300 bin seviyesine çekilmesi büyük bir başarı olarak görülmelidir. Yine de DNS sunucularının kapatılmasının ardından en azından 300 bin insanın web erişiminin tamamen kaybettiğini unutmamak gerekiyor.

Şu an bunu okuyorsanız şanslısınız, ancak eğer olan bitenden bihaber komşular kapınıza gelip de internet neden kesildi diye sorarsa, zırhınızı kuşanıp şövalyecilik oynayabilirsiniz. Eğer internet servis sağlayıcınızın yardım masasına müracaat ederseniz... Güç sizinle olsun! (May the force be with you!)

Şapşal olma, sessiz ol! Şapşal olma, sessiz ol!

Uzun dönemde emniyet güçlerinin başarısı, sadece basit pazarlama inisiyatiflerine kurban edilmemelidir.

“Microsoft tarafından açılan davanın da bir parçası olduğu (siber suçlardaki) temizlikte, suçla mücadelede yürütülen agresif kampanyalar, yasal mercilerin hareketini beklemekten daha fazla etkili oluyor” cümlesi benim şu tweet’i atmama sebep oldu:

“Emniyet güçlerini beklemeden 39 John Does’a ve bulundurduğu online varlığa karşı harekete geçmek çok saçma bir fikir.”

Günvelik endüstrisi ve araştırma şirketleri emniyet güçleriyle birlikte hareket etmeli, onlara rağmen değil. Bu nedenle botnetlerin varlığından sorumlu olduğu düşünülen 39 kişi, şu anda araştırmaya dahil olduklarını biliyor ve “kaçma” şansları bulunuyor.

Daha önce benzer bir durum Koobface’in emniyet güçlerini beklemeden ortaya çıkarılmasında yaşandı. Bilgi, yasal süreci beklemeden bir kez yayımlandığında suçluların kaçma fırsatı ortaya çıkıyor.

Microsoft’un sivil örneğine geri dönersek, çalışan gruplar arasında bilginin paylaşılmasına istinat ediliyor. Normalde, endüstri ve yasa güçlerinin bir araya gelerek işbirliğine gitmesi gerekiyor.

Esthost botnetinin ortadan kaldırılmasındaki başarı, güvenlik endüstrisi ve emniyet güçleri bir arada çalışarak suçluların yakalanmasından kaynaklanmıştı. Bu sayede internet ve internet kullanıcılarının daha fazla güvende olması sağlanmıştı. Bu soruşturma tam 6 yıl sürmüş ve tüm suç zincirinin tutuklanmış ve tüm altyapının çökertilmişti.

Uzun dönemde emniyet güçlerinin başarısı, sadece basit pazarlama inisiyatiflerine kurban edilmemelidir.

Yılbaşı alışverişinde yalancı fırsatlara kanmayın!

Sahte mağazalar çok ciddi bir tehdit, haberiniz var mı?

Yılbaşının gelmesiyle birlikte siber saldırganlar da bilgisayar kullanıcılarının yorgun gözler ve parmaklarla yapacakları alışverişleri beklemeye başladı. İnternet üzerinden satış yapan mağazaların isimleriyle oynayarak binlerce sahte site yaratıldı. Birçok markanın web sitesinin benzerleri şimdiden ortaya çıktı.

Suçluların yarattığı web siteleri genelde ismen benzer oldukları markaların web sitelerinin birebir kopyası oluyor. Bu sitelerde ziyaretçiler doğrudan saldırganlara para getiren reklam bağlantılarına yönlendiriliyor ya da kişisel ve finansal bilgilerin paylaşılmasına zorlanıyor. Ayrıca, bazı sahte web sitelerinde de birçok zararlı yazılım ziyaretçilerin bilgisayarına sızarak kişisel bilgileri ele geçirmek ya da saldırganların bilgisayarları uzaktan kontrolüne imkan vermek için bekliyor.

İnternet kullanıcılarının yanlış web sitelerine yönlenmesine sebep olan ‘typosquatting’ yöntemi neredeyse dünyanın her yerinde kullanılıyor. Konuyla ilgili Amerika Birleşik Devletleri, 1999 yılında Anticybersquatting Müşteri Koruma Hareketi ile önlem almaya çalışarak bu sorunla savaşmaya başladı. Geçmişte birçok şirket bireysel başvuruları sonucunda kendi markaları üzerinden para kazanan bu sitelerle mücadele etmek için önemli miktarlarda para harcadı. Örneğin Lego, kendi markasını korumak için yarım milyon dolardan fazla bütçe kullandı.

Son zamanlarda karşımıza çıkan ‘typosquatting’ saldırılarında sadece sıkça duyduğumuz markaların isimleri üzerinden alınmış alan adları sorun teşkil etmiyor, doğrudan bizim dikkatsizliğimizden para kazanılmaya çalışılıyor. Örneğin, yılbaşı alışverişlerinde hepsiburada.com yerine hepsiburda.com adresine ya da gittigidiyor.com yerine gitigidiyor.com adresine girmediğinizden nasıl emin olabilirsiniz ki?

Sonuç olarak tıkladığınız yere dikkat etmeli ve eğer yılbaşında önemli miktarda online alışveriş yapacaksanız, daha önceden doğruluğundan emin olduğunuz online satış sitelerini işaretleyerek, yılbaşı telaşından yanlış yazma riskini ortadan kaldırabilirsiniz.

Karanlıktan Korkmak!

Dışarıda bir yerlerde başka bir internet var. Öyle bir internet ki, bizlerin her gün dahil olduğu internete hiç benzemiyor!

Birçok sebepten kullanılabilen bir internet; bazıları yasal, bazılarıysa yasadışı. 

Bir vatandaşın özgürce kendini ifade edebilme olanağı bulduğu ya da bir ulusal güvenlik ajanının takip edilmeden konuşabildiği bir ortam ancak ‘anonim’ olabilme koşulları altında gerçekleşebiliyor. Aslında uyuşturucu, fotoğraf ya da silah satan biri de –elbette daha az kabul edilebilir- sebepler neticesinde kimliğini gizleme endişesi taşıyor. Görünmezliğe olan talep doğrudan “gizli internet” için gelişim ve kısa sürede yayılma şansını etkiliyor. Bizlerin pek içinde olmadığı bu diğer internetin ne denli büyük olduğuyla ilgili bir tahmin bulunmuyor ancak geniş ölçekte olduğu çağrıştıran isimlerle anılıyor; Deep web (Derin web), Darknet (Kara net) ya da Dark web (Kara web). Bu tarz servisler daha çok dosya paylaşımı, özel izinle satılan şeylerin satış ya da dağıtımı, kişisel ya da doğal gözetimden kaçmak için kullanılıyor ve şimdiden önemli bir geçmişleri bulunuyor.

Dartnet’in doğuşu
Telif hakları koruma altındaki içeriğin internette yasadışı olarak paylaşılması, herkes tarafından bilinen geniş ölçekli sunucularda ortaya çıktı. Hızla daha görünür ve popüler olan bu sunucuların mahkemeler ya da düzenleyiciler tarafından algılaması ve kapaması oldukça kolaydı. Bu sebeple beklenen şekilde popülerlikleri de kısa sürdü.

Devrim niteliği taşıyan bir sonraki adım 1999’da yaşandı. O günlerde internete giren kullanıcılar Napster günlerini mutlaka hatırlayacaktır. Napster modeli verilerin bir merkezde toplanmasına gerek bırakmadan, aracılar ve kullanıcıların bilgisayarındaki içeriğin herkes tarafından paylaşılmasına olanak sağladı. Yine de servisin kuralları ve içeriğin listesi merkezileştirildiği için sanatçılar ve yapımcılar tarafından telif haklarını ihlal ettiği gerekçesiyle Napster üzerindeki baskı arttı. Napster’ın artan baskı nedeniyle paralı bir servise dönüşmeye başlamasının ardından Gnutella’nın yükselişi kaçınılmaz oldu. Açık kodlu bir proje olan Gnutella, tamamen veri tabanını dağıtmış ve hiçbir merkezi servis barındırmayan tamamen kullanıcıdan kullanıcıya (peer to peer) iletişim sağlanan bir ağ haline geldi. Gnutella günümüzde hala çok büyük bir kitle tarafından kullanılıyor ve çoktan Napster’ı gölgede bıraktı. P2P’nin ortaya çıkmasıyla, anonim olmanın bir sonucu olarak kimin niyetinin yasadışı ya da sahiden suç işlem
e olduğu birbirine girdi.

Freenet ve görünmez Onion
Doksanların sonlarında web’in arka sokaklarının iletişiminde iki önemli gelişme yaşandı; Freenet ve Tor.

Freenet ağına bağlanmak küçük bir aracının yüklenmesi ile mümkün oluyordu. Öyle basit bir yükleme ki, ihtiyaç duyulan güvenlik seviyesine bağlı olarak düşük güvenlik seviyesi –“kaynakları yönetebilen bir saldırgan, Freenet’te yapmış olduklarınızı takip edebilir”- ya da yüksek güvenlik seviyesi – “bu ayarlar, geliştirilmiş güvenlik ayarlarıyla kendi Freenet internetinizi yaratmanıza olanak tanır” – seçilebiliyordu. Her şeye rağmen, ağdaki en önemli özellik hem kullanıcıların hem de bilgi sağlayıcıların ‘anonim’ olması. Bu ağda, klasik web’de tanık olduğumuzun dışında içerik sadece bir sunucuda barındırılmıyor. İçerik birçok sunucuya dağıtılıyor ve bilgisayarlar arasında dolaşıyor. Her kullanıcının içerik isteği birçok vekil sunucudan (Proxy) geçiyor ve kimin veriyi istediği ya da kimin depoladığı bilinmiyor. Her Freenet üyesi, diğer üyelerden gelecek talepleri karşılamak için belli bir alan ve bant genişliğini depolama ve işleme için ayırıyor.

Tor, normal web içeriğine ulaşmada vekil sunucuların ya da konum bilgilerinin gizlenmesinde çokça bilinen bir yöntem olarak bilinir ancak aynı zamanda “gizli servisler” için de sıkça kullanılır. Freenet’e benzer şekilde, internet çoğu tarafından ulaşılamaya konumlar sadece Tor ağı üzerinden erişilebilir. Tor ağındaki gizli servislerin pek de alışılmadık http://dppmftaacucpuzpc.onion/ gibi adresleme formatları vardır. Bu .onion uzantısıyla biten alan adı sadece Tor ağında bulunur ve görülebilen web’te yaygın olarak kullanılan DNS’in bir parçası değildir. Sadece Tor ağı tarafından algılanabilen adres, IP adresi ya da kimlik bilgisi verilmesine gerek kalmadan rotası belirlenmiş kaynak ve konum arasındaki trafiğe izin veriyor.

Bu gizli servisler ve darknetler suçlular tarafından çocuk pornosundan ağır uyuşturuculara kadar yasadışı dağıtım ve satışlarında kullanılmasının yanında Wikileaks benzeri içeriğin isim vermeden yayınlanmasını da kolaylaştırıyor. Bitcoin ve WebMoney gibi online para birimleri de yasaların aşılmasını sağlarken, suçluların kimliklerinin ortaya çıkmasının önüne geçiyor.

Bu gizli dünyada yer alan veri miktarını ölçmek oldukça zor ancak 2001 yılının Eylül’üne dönecek olursak Michael K. Bergman’ın yayımladığı “The Deep Web: Surfacing Hidden Value” makalesinde şu ifadelere yer veriyor: “Derin web’de yer alan bilgiler şu anda bizim bildiğimiz web’den 400 ila 550 kat daha fazla.” Günümüze gelindiğinde bu seviyenin değişmesi için hiçbir sebep bulunmuyor.

Dartnet’te bulabileceğiniz birçok içerik büyük ihtimalle yasadışı olacağında siz de potansiyel suçlu konumunda bulunursunuz. Ne yazık ki, geleneksel web filtreleme teknikleri sizleri zararlı içerikten korumayacaktır. Geleneksel kötücül dosya tespiti, suçlulardan kaçınmak için daha kolay hale gelmeye başladı. Bu nedenle Dartnet’e erişimde olduğu gibi gizli iletişim araçları kullanılarak geleneksel araçlar devre dışı bırakıldığında suçlular güvenliğinize zarar verebilecek duruma geliyor.

Görebildiğimiz internet inanılmaz boyutlara ulaşmış ve gitgide hızlanarak büyürken size tavsiyem aydınlık tarafta kalmanızdır. İnternet büyük. Ne kadar aklımızı kaçıracak kadar büyük, devasa olduğuna inanamazsınız. Demek istediğim, karanlık taraftan aydınlığa çıkmanız için çok yol kat etmeniz gerektiğini düşünebilirsiniz ancak henüz internetin en başlarındayız. Hiçbir şey için geç kalmadınız.

Takip Edin

 

Turhost