Bugün Resonance Security’de bilgisayar güvenliğine yaklaşımınızın şirketinizin kamuoyunda farkındalığının artmasına yol açabileceği alışılmadık yollardan birine bakacağım.
Bir şirket kurmanın pek çok motivasyonu vardır: zengin olmak, ilginç ve faydalı bir şey yapmak ve tarihte bir tür miras veya iz bırakmak akla gelen başlıca motivasyonlardan üçüdür.
Bu miras hakkında: 21. yüzyılın en önemli hack’lerinden birini temsil eden bir dosyaya şirketinizin adının eklendiğini hayal edin!
Bu oldukça dikkate değer, ancak muhtemelen belirli bir şirketin kurucularının kendi girişimlerinde aradıkları şey değil.
Seni sallamayacağız
2000’li yılların ortasında RockYou, Inc., MySpace ve Facebook gibi sosyal medya şirketleri için widget üreticisi olarak iyi bir performans sergiliyordu. Bununla birlikte, 2009 yılında, bir bilgisayar korsanının, yama yapılmamış on yıllık bir hataya sahip bir SQL veritabanı sunucusunu keşfettiği bir veri ihlali yaşadı; veritabanı, kullanıcı hesapları için 32 milyondan fazla kullanıcı adı ve şifre içeriyordu.
Aynen öyle; 32 milyon kullanıcı adı ve bunlarla ilişkili şifreler. Karşılaştırma yapmak gerekirse, bu, Facebook’un o dönemde sahip olduğu aktif aylık kullanıcıların yaklaşık %10’una tekabül ediyor.
Şifreler düz metin olarak saklandı.
Yüzün çamur, büyük rezalet
RockYou başlangıçta kullanıcılarını bilgilendirme konusunda başarısız olmakla kalmadı, daha sonra ihlalin daha hafif olduğunu iddia eden sahte bir resmi açıklama yayınladı.
Açık olmak gerekirse, bu çok çok ciddi bir ihlaldi.
On beş yıl önce insanlar şifre güvenliği konusunda şimdikinden çok daha kötüydü. Parola yöneticileri neredeyse hiç duyulmamıştı; açıklanamayan tuhaf bir nedenden dolayı bazı siteler, belirtilmemiş “güvenlik nedenleriyle” parola yöneticilerinin kullanımını engelledi ve iki faktörlü kimlik doğrulama, hemen hemen yalnızca uygun fiyatlıydı ve iş kullanıcıları tarafından kullanılabiliyordu.
İnsanlara şifrelerini yazmamaları söylendiği için bu, sızdırılan kimlik bilgilerinin çoğunun başka web sitelerinde kullanıldığı anlamına geliyordu. Sonuçta, aklı başında kim yirmi ya da otuz farklı rastgele şifreyi ezberleyecek? Sonuç olarak bankalar, çevrimiçi mağazalar, sağlık veritabanları, sosyal medya, sözde özel çevrimiçi dergiler ve çevrimiçi oyunlar gibi siteler aynı şifreleri kullanan hesapları tuttu.
Miras
Yıllardır RockYou şifrelerinin tam listesi herkes tarafından indirilebiliyordu. Genellikle adlı bir dosyada bulunur. rockyou.txt ve onu bulabileceğiniz çok sayıda GitHub deposu var.
Sızma testleri için özel olarak tasarlanıp üretilen bir Linux dağıtımı olan Kali Linux’ta RockYou metin dosyası varsayılan olarak kurulum sırasında yer almaktadır.
Çözüm
Hayal edin; biraz güvenlik dikkatsizliğiyle, siz de mütevazı derecede başarılı şirketinizi elinizden alabilir ve onu yok etme sürecinde adının sonsuza kadar yaşamasına izin verebilirsiniz.
2009’dan bu yana bir şey öğrendik mi? Her zaman değil.
Örneğin: 2017 yılında, LiveJournal adlı, geçmişi 90’lı yıllara dayanan (ancak günümüze kadar varlığını sürdüren) eski bir sosyal medya sitesinin, 26 milyon benzersiz kullanıcı adının, e-posta adresinin ve düz metin şifresinin ele geçirildiği bir ihlale maruz kaldığı ortaya çıktı. İhlalin kabul edilmesi 2019 yılına kadar sürdü.
Bu doğru; şifreler 2017’de hala düz metin olarak saklanıyordu ve orijinal RockYou ihlalinin üzerinden on buçuk yıl geçmiş olmasına rağmen, daha fazla sitenin aynı şeyi yaptığına dair iyi paraya bahse girerim.
Şifre sızıntısının ancak şifre kullanmayı bıraktığımızda ve kimlik doğrulama sistemlerimiz için güvenlik anahtarları ve kendi kendini yöneten kimlik gibi gelişmiş sistemleri kullanmaya başladığımızda sona ereceğini tahmin ediyorum.
Bu arada, bir web sitesine sağladığınız herhangi bir şifrenin eninde sonunda sızdırılacağını varsaymanız gerekir, bu nedenle:
- Hesaplarınız için uzun, rastgele, benzersiz şifreler oluşturmak amacıyla bir şifre yöneticisi kullanın,
- iki faktörlü kimlik doğrulamayla şifre yöneticisine erişimi koruyun ve
- Şifre yöneticiniz için kullandığınız şifrenin hiçbir zaman başka bir yerde kullanılmadığından emin olun.
Senaryo sonrası
Kaçıp şifrenizi girmenize ve şifrenizin bir ihlal sonucu ortaya çıkıp çıkmadığını görmenize izin veren bir web sitesi aramayın! Bunun bir kimlik avı sitesi olacağını garanti edebilirim. Bunun yerine, e-posta adresinizi yazabileceğiniz ve kötü güvenlik uygulamaları yoluyla kimlik bilgilerinizi karanlık ağa sızdırmayı başaran şirketlerin ve web sitelerinin bir listesini alabileceğiniz HaveIBeenPwned’i öneririm. Diğer bir seçenek ise kimlik bilgilerinizin 7/24 sızdırılıp sızdırılmadığını izleyen ve size otomatik olarak bildirimde bulunan Rezonans Veri Sızıntısı Dedektörüdür.
Rezonans Güvenliği Hakkında
Resonance Security, uçtan uca siber güvenlik ürünleri ve hizmetleri için seçilmiş bir platformdur. Kuruluşunuzun uçtan uca siber güvenlik ihtiyaçları için bir konsiyerj görevi görür ve değerli güvenlik tekliflerini tek bir platformda toplayarak teknoloji yığınınızı uçtan uca güvence altına almak için ne gerektiğine dair farkındalığı yayar.
Ben Keir Finlow-Bates, genellikle Blockchain Gandalf olarak bilinir ve öncelikle bir blockchain araştırmacısı ve mucidiyim. Bu yolculuğa 2010 yılının sonlarında orijinal Bitcoin kodunu inceleyerek başladım ve o zamandan beri blockchain konusunda takıntılıyım.
Aynı zamanda konuyla ilgili iki kitabın da yazarıyım: Blockchain’i açıklayan Move Over Brokers Here Comes The Blockchain ve web3 dolandırıcılıklarının nasıl çalıştığını pratik örneklerle gösteren Evil Tokenomics. Daha fazlasını web sitemde bulabilirsiniz: Thinklair.com
İLGİLİ KONU
- Veri İhlalinin Unutulan Kurbanları
- Siber Güvenlik Sorununu Çözmek: İmkansız Görev
- Botlar internet için savaşırken iyi kötüyü yenebilecek mi?
- Bir Siber Güvenlik Raporu Ormana Düşerse Dinleyen Var mı?