Kaçımız Şifresini Değiştirdi

Bildiğiniz gibi birkaç ay önce Heartbleed diye bir bug üredi. Bunun sebebi Open SSL’in transport level (datanın taşınırken şifrelendiği seviye) güvenlik protokolünde yeni bir eklenti yapılması ve bu eklentinin kodlanma açığı sonucu o an sunucu hafızasında ne varsa elde edilebilmesiydi. Şifreleriniz, kredi kartı bilgileriniz, mesajlarınız, e-posta’larınız, dokümanlarınız, kısacası internet üzerinde SSL ile kullandığınız ne varsa birden bire güvenlik zaafiyetine yakalanmış oldu.

OpenSSL hemen yama çıkarttı. Firmalar uğraşarak bu yamayı yüklediler. Fakat bilinçsizlik bazen çok ciddi sonuçlar getirir. Aşağıda birkaç örnek ve sebebini yazdım;

Firmanız OpenSSL’in o meşhur 1.0.1 versiyonunu kullanıyor ve siz bunu farkedip yama yüklediniz. “Çok güzel, rahatladık, artık tamamen güvenliyiz” diye düşünüyorsunuz.
Fakat öyle değil. Eğer OpenSSL 1.0.1 versiyonu kuruluyken transport key dediğimiz taşıma sırasındaki kriptolamada kullanılan şifreniz bir kez çalındıysa OpenSSL’in yamasını yüklemeniz malesef yeterli değil. Hacker bir kez bu key’i aldığı için hala trafiğinizi dinleyip paketlerinizi decrypt edebilir ve okuyabilir.
Yapmanız gereken OpenSSL yaması yüklemek, sonrasında içinde trojan olmayan güvenli bir makinede (mümkünse yeni kurulmuş bir pendrive linux sunucu) bu key’i oluşturarak SSL sertifikanızı bu key ile satın almak. Böylece transport key yenilendiği için yeni şifre ile kriptolanacak. Bu aşamadan sonra güvende olacaksınız.

Peki kişisel olarak ne yaptınız? Büyük web sitelerine üyesiniz. Aralarında Facebook var, Yahoo var, Dropbox var. Bu firmalar da OpenSSL yamasını yakından takip edip yükledi.
Fakat onlar yükleyene kadar hacker’lar sizin bilgilerinizi ele geçirdilerse kullanıcı adınız, şifreniz internette hacker listelerinde geziyor olabilir ve bundan sizin haberiniz olmayabilir.
Benim 235 siteye (en az) üyeliğim varmış. Bunlardan önemli olarak kabul ettiklerimin şifresini değiştirdim. Bayağı bir vaktimi aldı fakat bunu yapmak zorunda hissettim kendimi.

Peki ya birden fazla sitede aynı şifreyi kullanıyorsanız? O zaman bir sitede Heartbleed açığından faydalanıp şifrenizi çalan bir hacker bütün bilinen sitelerde e-posta ve şifrelerinizi deneyeceği için yine başka hesaplarınızı da kaybetmekle karşı karşıyasınız.
Burada kısaca şifre kullanma alışkanlıklarına değinmek gerekiyor.
1. Kısa şifre kullanmayın. Doğum tarihi vb. artık çok kolay hackleniyor.
2. Sözlükte kolay bulunacak, üzerine sözlük uygulanacak kelimelerden kaçının.
3. Şifreleriniz en az 2 nümerik 2 büyük harf ve en az bir ASCII karakter içersin (!’^+%&/()=?-_@€ gibi)
4. İki sitede aynı şifreyi kullanmayın. Şirket şifrenizi çalan birisi hemen GMail’de deneme yapacaktır.
5. Password generator kullanın, şifrelerinizi password generator ile oluşturun.
6. Password reminder kullanmayın. Tarayıcınız şifre hatırlamasın.
7. Şifre programlarından birini kullanacaksanız (KeePass, LastPass) bunları güvenli ortamlarda çalıştırın, bunların ana şifrelerinin kurallara uyduğundan emin olun.

Şöyle bir hikaye anlatayım; Hash algoritmaları üzerine bir araştırma yapıyorken çalıştığımız şirketin hashlenmiş 12 milyon kullanıcısının şifrelerini veritabanı üzerinde grupladık.
Kullanıcıların %70’inin şifrelerinin ortak olduğunu gördük. Bazılarını dictionary-hashing sitelerinde kolayca geri döndürebildik. Yani şifreniz “121212” ise bilin ki bu tip şifreler hacking için kullanılan sözlüklerde geçiyor ve hesabınızın olduğu site brute-force algoritmalarına açık ise önce siz hackleneceksiniz. Bu tip şifreler hash’lense bile kolayca geri dönülebiliyor çünkü sözlüklerde karşılıkları var. Yukarıdaki kuralları tekrar okuyup uymaya çalışın.

Kısaca OpenSSL Heartbleed bug’dan IT çalışanı ve kullanıcı olarak nasıl korunacağınızı anlatmaya çalıştım.
Lütfen bugün, şimdi gidip şifrelerinizi gözden geçirin. Değiştirmeye üşenmeyin.

Sevgiler,
Serkan Berksoy