[erdinç]

Selamlar,

forum müdavimlerinden birinin başına tatsız bir olay gelince güvenlik konusu benim de kafama takılmaya başladı.

Benim için önemli olan 3 şey var:
1. hosting firmasındaki hesabıma ait kullanıcı adım ve şifrem
2. domain firmasındaki hesabıma ait kullanıcı adım ve şifrem
3. O domain altında yarattığım email hesaplarına ait şifreler

Bunlardan hangileri ele geçirilebilir?
Bu konuda korunmak için ne yapmam lazım?
Acemi webmasterların (bu ben oluyorum) en çok yaptığı hatalar nelerdir?

[BYK]

KeePass gibi ücretsiz bir parola yönetici program ile parolalarının kırılamayacak karmaşıklıkta olmasını sağlamak ilk adım olur bence. Sonuçta en sık yapılan hata hatırlaması kolay olsun diye yeterince kamaşık olmayan parolalar kullanmak bence.

Diğer konularda Zoque'daki uzmanlarımız bir şeyler söyleceklerdir sanırım

[FikretAkın]

Öncelikle Şifre seçimi:
Ben yaklaşık 3-4 yıldır şifremi hep aynı kullandım ve bu senede degiştirdim şifremi uzun tutup ve içinde "+-*/^+%&/()=?_" gibi karakter kullanırım.
Bazı kişiler dogum tarihi yazar, çok sevdigi dizinin adını yazan bile duydum bu kişilerle muhabbet ederek onun bilgilerini analiz ederek şifre kıran ve kırmaya çalışan çok. Buna Sosyal Muhendislik denir. Kevin Mintick ın yazmış oldugu kitap ta daha detaylı şekilde anlatılıyor

Bir yaşanmış olayı anlatarak sizleri bilgilendireyim.
CEH ( Certifield Ethical Hacker ) sertifikası seminerine gitmiştim. Ordaki bir uzman ile sohbet ederken tanık oldugu bir olay anlattı. Aynen aktarıyorum.
" Bundan uzun zaman önce bir domain tecil ve host kayıt sitesnin serverına saldırı yaptılar ve şifreyi 1-2 deneme yöntemi ile kırdılar ve sunucudaki tüm hostingi olan sitelerin kopyasını alıp ve domainlerine index bastılar.

İşin en garibi ise ilgili sistem müdürünün şifresi domain kayıt yapılan kontrol panelin de şifresi aynı olması bu sefer şifreyi çözen kişi domaini kendi hesabına transfer edince olanlar oluyor. "

Uzun lafın kısası: Kimseye özel bilgilerinizi vermeyin. ve X firması güvenlidir fln diye güvenip kontrolu elden bırakmayın.

Mesela ben genellikle başka bir mail hesabı açıp onu sadece şifrelerimi tutmak için kullanıyorum ama o e mail hesabını sadece ben biliyorum ve güvenemedigim bilgisayarlardan giriş yapmıyorum.
Veya başka bir öneri olarak usb bellek alman ve onu şifreleyici programlar ile şifreleyek yanında taşıman ama unutma takılı olan pc de keylogger vb. program olursa korumaların hiç bir işe yaramaz.

[nurkan]

Artık host güvenliği benim için de çok önemli. Çünkü yakın zamanda bir sunucu kiraladım ve yazdıracağım hosting paneli bittikten sonra alan satmaya başlayacağım.
domain hakkında yeteri kadar bilgim yok.Nasıl güvende olur ne yapmak lazım bilmiyorum. Resellercluba üye oldum o kadar hosting için konuşmak gerekirse şifre çalınma olayı tabiki önemli ama bana sorarsanız en önemli etken hazır script kullanmından doğan açıklar. iş size hosting hizmeti sağlayan firmaya düşüyor. siz sizinle aynı server üzerindeki sitelerin ne şekilde yayın yaptıklarını bilemezsiniz bile ama sizin serverınızdaki herhangi bir siteye sızan düşman sizi de tehlikeye sokabilir.
Bir diğer önemli konu ise tasarımcılardan çok programcıları ilgilendiriyor. Aylarca uğraşıp yazdığınız bir proje host firmasındaki bir hırsız yüzünden warez e düşürülüp herkese ücretsiz dağıtılabilir. Bunun için siz hostunuza gelebilecek muhtemel saldırılara karşı ne kadar önlem alırsanız alın dosyalarınız harddiskinizden alınır gibi rahatça alınır ve marifetmiş gibi dağıtılır, tüm emeğiniz gider. Bu nedenle ucuz hosting firmalarından uzak durmak şarttır.

[apiko]

Merhabalar,

Ben de bir kac kelam etmek isterim.

Sifrenin kuvveti ve tekligi:

Bazen denk gelipte kisaca göz gezdirdigim güvenlik konularinda da bahseldigi gibi, site´nin domain sifresi, alanini kullandiginiz host´un admin paneli sifresi, ftp server sifresi ve SQL databank sifreleri asla asla baska sitelerde üyelik icin kullanilmamalidir.

Birden cok site kullananlar ve daha fazla güvenlik isteyenler icin; Sitelerinizi yönettiginiz giris biglileri birbirlerinden farkli olmalidir. Herhangi bir sitenizin bilgileri ele gecirilirse, ki bu kisiler diger sitelerinizi de eskaza ögrendilerse, diger sitelerinizde de sorun yasabilirsiniz diye düsünüyorum.


Nedeni : Üye oldugunuz sizlere ait olmayan forum, site, blog vb. yerlerin yöneticileri isterlerse kullandiginiz sifreleri görebilirler. Art niyetli kimselere bir kapi acmaktan baska bir sey degildir tabi bu. Hatta daha ileri seviye bir tanim yapmak gerekirse, üye oldugunuz sitelerden biri hacklenirse iyi bir inceleme halinde size dahi kullandiginiz sifrenin ayni olmasi nedeniyle dadanabilirler. Tabi bunlarin cogu benim düsündügüm seyler. Eksik veya yanlis bilgi varsa bilenler düzeltsin lütfen.


En son olarak, eminim tecrübeli bir arkadasimizda deginecektir. site kodlarinda acik olmamasi gerekiyor. Özellikle hazir paket site kullananlar güvenlik acikligi üzerine sürekli denetim yapilan paketleri secmeliler.

[kuduk]

güvenli bir erişimde bulunması gereken fonksiyonlar:

1. kimliklendirme (authentication) : kaynağa erişecek olan kullanıcının kimliğinden emin olunmalıdır. bunu sağlamak üzere 1 aşamalaı kimliklendirmelerin yanında 2 aşamalı kimliklendirmeler güvenliği gerçek anlamda arttırmaktadır.
2. yetkilendirme (authorization) : kimliklendirilen kullanıcının kaynağa her erişiminde yetkisinin olup olmadığı muhakkak kontrol edilmelidir.
3. şifreleme (encryption) : kullanıcının kaynağa erişmesine imkan sağlayan, kaynağı veya kullanıcıyı ortaya çıkaran her erişim osi katman en az 7-7 seviyeleri arasında kolaylıkla çözülemez bir anahtarlama metodu ile şifrelenmelidir.
4. kayıt altına alma (logging): gerçekleştirilen her erişim kayıt altına alınmalı ve sonraki erişimlerde bunlar periyodik olarak belirlenen seviyelerde kullanıcıya kontrol ettirilmelidir.

iletişim güvenliğinin bu fonksiyonları çeşitli teknolojiler kullanılarak karşılanır. olayın teorisinin özeti bu kadardır.

pratiği:

belirli bir sisteme güvenli bir veri aktarmak istiyor iseniz şunları dikkate alın:
1. 2 aşamalı kimliklendirmeye geçin.
2. son kullanıcı olarak web tabanlı uygulamalarda muhakkak session kaydını sonlandırmak üzere uygulamadan log out ile çıkın (burada güvenli bir web uygulaması nasıl yazılır sorusunun cevabı ile kafa karıştırmak istemiyorum).
3. mümkün olan en alt OSI seviyesinde istemciniz ile - uygulama arasında şifreli bir iletişim sağlayınız.
4. son kullanıcının loglama konusunda pek tercihi yoktur daha çok sistem mimarlarının ve analizcileri ilgilendirir. fakat yine de güvenli işlem esnasında girmiş olduğnuz uygulamada son işlemlerinizi kontrol ederek uygulamanın fake olup olmadığını kontrol edin. son işlemlerinize erişemiyor iseniz muhakkak uygulama sağlayıcı ile irtibat kurunuz.

nasıl yaparım?

keylogger larda dahil olmak üzere benim sizin talebinizi (bildiğim en yüksek güvenlik seviyesi ile) karşılayacak çözümüm şudur:

erişim bilgilerinizi güvenli olarak kabul edeceğiniz ve sertifika ile korunan bir host (amazon gibi) altında tutacağınız bir sunucu aracılığı ile terminal servis kullanarak erişin. bu durumda şifrenin kesinlikle sizden çıkmadığına emin olabilirsiniz. güvenli hostta tutacağınız sunucuya terminal servis ile default olarak 128 bit şifreleme kullanrak uygulama seviyesinde (layer 7) erişirsiniz. opsiyonel olarak bu sunucu ile istemciniz arasında bir vpn bağlantısı da kurarak erişimi layer 3'ten şifrelemeye başlarsınız. daha sonra bir direct x tabanlı bir sanal klavyenin de yardımı ile güvenli sunucudaki web tabanlı istemciyi kullanarak sadece mouse hareketleri ile hesap işlemlerinizi kontrol edebilirsiniz. kendi bilgisayarınızda bulunan herhangi bir keylogger veya hareketleri alamayacaktır. ancak ekranınızı video olarak yakalayabilir bunu da terminal servis penceresinde direct x veya open gl ile üretilmiş görüntüler içinde beceremeyecektir. bu senaryoda sizin şifrenize erişilebilme imkanı güvenli hosta açmış olduğunzu browserin bellek kayıtlarına erişilmesi ve bunun da sizin uygulamayı açık tutuluyorken yapılıyor olması gerekmektedir. bahsettiğim senaryo şu an bankacılık faaliyetlerinde kullanılan metoda oldukça yakın bir çözümdür.

[Haydar]

Alıntı:

erdinç tarafından gönderilen mesaj:

Acemi webmasterların (bu ben oluyorum) en çok yaptığı hatalar nelerdir?

Benim uyguladığım ve tavsiye edebileceğim bazı şeyler:
- Genelde kullanıcılara bir hesap açıldığında verilen varsayılan şifreler vardır. Onları hemen değiştirmek gerekir.
- Ad, soyad, firma ismi, tuttuğun takımın kuruluş yılı, çocuğunun-eşinin-köpeğinin adı, klavyedeki tek harfler ve kullanıcı adının aynısı genelde şifre kırılmaya çalışılırken ilk denenenlerdir.
- Şifreleri sınıflandırmak gerekir. Örneğin banka şifreleri, domain şifreleri, genel forum şifreleri gibi. Pek çok beceriksiz yazılımcı, uğraşmamak için şifreleri düz metin olarak saklar (Bunu 15,000 kişinin şifresini barındıran, güvenilir sayılan bir yerin bile yaptığına şahit oldum). Güven vermeyen yerlerde kritik şifreleri kullanmamak gerekir. Örneğin sitesine üye olduğun arkadaşın, "Erdinç'in şifresi neymiş" diye merak edebilir Ucuz hosting satan yerler, hazır paket kullanmak yerine kendisi için kod yazdırmış küçük e-ticaret siteleri veya "üye ol" alanlarına özellikle dikkat ederim. Buraları bence tekin yer değiller.
- Şifrede rakam ve harf olması tavsiye edilir. Türkçe ve özel karakterler klavye değiştiğinde insanın başını ağrıtır. 8-10 karakter arası makul bir uzunluktur. Daha fazlası yazarken ve değiştirirken zorluk çıkarabilir.
- İş arkadaşınızla veya müşterinizle paylaşmak zorunda kalabileceğiniz bir şifre varsa bu genel şifre politikanız hakkında fikir vermesin ve akılda kalıcı olsun. Örneğin "kalem75defter85". Şifreleri unutmamak için ajandasına veya ekranın yanına yapıştırdığı post-ite yazan bolca insan var
- Tüm şifreleri aynı yapmak yerine kritik şifrelerin ilk karakterini veya son karakterini o siteye özgü yapmak, bir şifre çalınsa bile olası kayıpları azaltacaktır. Örneğin "z"oque için: abc123z "f"otokritik : abc123f Wordpress: abc123w
Son zamanlarda keylogger trojenler en çok kullanılan şifre çalma yöntemleri. Ama ne yaparsan yap kesin çözüm yok. Senin yazdıkların içinde "domain firmasındaki hesabıma ait kullanıcı adım ve şifre" en tehlikelisi. O nedenle ona özellikle dikkat etmek gerekir! Çünkü hosting şifren giderse sitedeki bilgiler çalınır ama domain sende kalır

[kuduk]

Alıntı:

Haydar tarafından gönderilen mesaj:

Son zamanlarda keylogger trojenler en çok kullanılan şifre çalma yöntemleri. Ama ne yaparsan yap kesin çözüm yok.

belirtilen risklerin (keylogger/screenlogger, trojen) giderilmesi için uygun yöntem aynı başlıkta bir önceki postta verilmiştir.

[Haydar]

Alıntı:

kuduk tarafından gönderilen mesaj:

belirtilen risklerin (keylogger/screenlogger, trojen) giderilmesi için uygun yöntem aynı başlıkta bir önceki postta verilmiştir.

Bence bu yöntemler yeterli değil. Nereye ve ne şekilde bağlanacak olursan ol, girmen gereken bir kullanıcı adı-şifre vardır. Şu anda genel olarak kullanılan yöntem, bunu gerçek veya sanal klavyeyle girmek.
-Normal klavyeden girilen bilgiler için keylogger bu bilgileri ele geçirebilir. Bu nedenle bu şifre öğrenilebilir.
-Sanal klavyeden girilen bilgiler için de screenloggerlar OpenGL ve Direct X görüntülerini de yakalayabilirler. Bu şifre de öğrenilebilir. Denemek isteyen olursa:
Burada örnek bir OpenGL uygulaması var. Bazı screenloggerlar kaydedemiyor ama onu kaydedebilecek ticari bir screenlogger yazılımı bu adresten indirilebilir (Bu işi aynısını yapacak bir trojen yazmak bence hiç zor değil).
Bu şifre nasıl öğrenildiyse benzer şekilde bir sonraki şifre de ele geçirilebilir. Sonuç olarak tüm kullanıcı adı ve şifreler öğrenildiği için altta Layer 3 şifreleme, VPN , terminal, 128-bit, vs... olması bence hiçbir şey ifade etmiyor.
OpenGL olsun Direct X olsun veya başka bir şekilde ekrandaki görüntülerin kaydedilememesinin şimdilik başka bir yolu var mı ben bilmiyorum (one-time pad falan konumuz dışında). Ama varsa bile bunun çoğa kalmadan aşılabileceğini düşünüyorum. O nedenle Erdinç'in sorusu için hala "Ama ne yaparsan yap kesin çözüm yok" diyorum. Linus Torvalds'ın da bir sözünü de hatırlatmak isterim: “En güvenli bilgisayar fişi çekilmiş bilgisayardır”

[kuduk]

eğer özel bir yazılım geliştirilmesini çözüme dahil ediyor isek; elbette ağdaki rastgele bir yazıcının belleğini ve kaynaklarını kullanan bir soft klavyeyi de capture edecek bir trojan yazılabilir (kim tutar hackerları). ancak öncelikle yazıcının modelini, driver sürümünü, yazıcı kontrol dilini (pcl, postscript, pdf, gdi, kyocera) ve her şeyden önce sanal klavyenin bu methodu kullandığını bilmek gerekir.

şüphesiz en kolayı fişi çekmek.