Evet şifre değil, parola! Bizde parolaya şifre, şifreye de parola demek bir galat-ı meşhurdur. Şifre açık olan bir kaynağı, alıcıları hariç tanınmaz hale getirmek için kullanılan anahtara verilen addır. Parola ise bir sisteme erişmek için kullanılan bir geçiş anahtarıdır. Nitekim konu özelinde e-posta kutunuza erişmek için, sosyal medya hesabınızda erişmek için parolanızı kullanırsınız. İngilizce karşılığı olan password, passphrase de bu mananın anlaşılabilmesi için yardımcı olacaktır. Bin yıllık bir tartışmayı bir paragrafta neticelendirmenin haklı gururunu yaşıyorum. Devam edelim.
Gün geçmiyor ki yeni bir veri sızıntısı haberi duymayalım. 10 gün önce yani 17 Ocak tarihinde Collection 1 adı verilen yeni bir sızıntı Avustralyalı güvenlik araştırmacısı Troy Hunt tarafından duyuruldu. Daha doğrusu Troy Hunt sayesinde biz ölümlüler tarafından öğrenilmiş oldu. Zira Troy Hunt'un duyurusundan önce hacking dünyasının yeraltı olarak tabir edilen forumlarda veri sızıntısına dair pazarlıklar başlamıştı bile.
Veri sızıntısına ait paylaşılan dizin hiyeraşisinin en üstünde Colllection 1 isimli klasörü görüyoruz. Buradan hareketle Troy Hunt da bu sızıntıyı bu şekilde isimlendirmeyi tercih etmiş.
Veri sızıntısı Çarşamba Pazarı gibi peşinen söyleyeyim. Yeni bir veri sızıntısı olabileceği gibi, önceki veri sızıntılarına eklenen yeni verilerle oluşturulmuş bir karma da olabilir. Kaynakların neler olduğu belli değil, farklı dosyalar olarak örneğin Collection_#1_BTC_Combo, Collection_#1_EU_Combo, Collection_#1_Games_Combo olarak taksim edilmiş.
Şimdiye kadar bu data üzerinde yapılan ve ülkemizi ilgilendiren tek analiz bendenizin sorumlu yazı işleri müdürü olduğu, Türkiye'nin ilk basılı hacker dergisi Arka Kapı Dergi (www.arkakapidergi.com) tarafından yapıldı. Olayı yine Karar gazetesi haberleştirdi. [1]
Dergimizin yaptığı araştırmada artık bir tık uzağınızda olan Collection 1 veri sızıntısında TR uzantılı domainlere ait 446 bin e-posta adresi tespit edildi. Bunların 336 bini .com.tr uzantılı domainlere, 24 bini .edu.tr uzantılı domainlere ve 4 bini de devlet kurumları tarafından kullanılan .gov.tr uzantılı domainlere ait.
Peki bu veri sızıntıları ne işe yarıyor?
Ortalama bir internet kullanıcısı genellikle farklı platformlarda aynı parolayı kullanma eğilimine sahip. Dolayısıyla bu ifşaatlardan birinden, bir platformdaki üyeliğinize ait e-posta - parola çiftine ulaşan saldırgan, buradan elde ettiği bilgiyi mutlaka farklı platformlardaki hesaplarınız için deneyecektir. Facebook'un kurucusu Mark Zuckenberg'in olağanüstü parolası "dadada" da böyle bir listeden elde edilmiş ve Mark'ın Twitter, Linkedin ve Pinterest hesapları bu yol ile hacklenmişti.
Beni bu sızıntılarda arama, kapıda adımı sorma!
Sizi bu sızıntılarda nasıl mı buluyorlar? Çünkü isim ve soyisim çiftinden oluşan e-postalara sahip olmayı bir ciddiyet ve prestij emaresi sayıyoruz. Ortalama bir internet kullanıcısının e-posta adresi isimsoyisim@... şeklinde olacaktır. Dolayısıyla listelerde av bulmak saldırganlar için gayet basit.
E-posta adresleri hâlâ kimlik doğrulamadaki başat faktörlerden biri. Dolayısıyla benim nacizane önerim servis aboneliklerine mahsus olarak sizinle eşleştirilemeyecek bir e-posta hesabı açarak bunu kullanmanız. Dolayısıyla bu ifşa listelerinde bulunmanızı zorlaştıracak. Tabii bu aşama, aşağıda saydığım adımların tatbikinden sonraki "Ustamın adı Hıdır, elimden gelen budur" aşaması.
1) Tahmini zor, güvenli bir parola seçin.
Bunu nasıl yapacaksınız? En az sekiz karakter uzunluğunda, harf, rakam ve özel karakterlerden (nokta, virgül, parantez, köşeli parantez vb.) oluşan bir parola saldırganın işini zorlaştıracaktır.
2) Üye olduğunuz her serviste farklı bir parola kullanın.
İşin en zor kısmı da bu. Hem zor bir parola seçeceğiz, hem de her serviste farklı bir parola kullanacağız. Evet mümkün! Bunun için tasarlanmış Password Manager yani Parola Yöneticisi olarak tabir edilen programlar var. Bunların ücretli olanları olduğu gibi, ücretsiz olanları da mevcut. Nitekim Arka Kapı Dergi'nin ilk sayısında KeePassX adındaki ücretsiz ve açık kaynak kodlu parola yöneticisinin adım adım kullanımını anlatan bir yazı kaleme almış idik. Arka Kapı Dergi'nin bu ilk sayısı tüm satış kanallarında tükendiği için sonradan bu yazıyı Arka Kapı Dergi'nin web sitesinde de ücretsiz olarak yayınladık.[3]
3) Üye olduğunuz servislerde iki aşamalı doğrulamayı (2FA) etkinleştirin.
2FA ibaresi yabancı gelse de sistem online bankacılığı kullanan tüm kullanıcılara tanıdık gelecektir. Kullanıcı adı ve parolanızı girdikten sonra size ait olan bir unsur ile (SMS, OTP cihazı vs.) ayrıca bir kimlik doğrulaması yapmanız gerekir. Neredeyse tüm servisler tarafından desteklenen bu özelliği derhal devreye almalısınız. Kullanıcı adı ve parolanızı girdikten sonra iki aşamalı doğrulamada SMS kullanabilirsiniz. SMS kullanmanın risklerini daha önce kaleme aldığım SİM Kartınız Kopyalanabilir [4] yazımda belirtmiş idim. Bunun yerine Google Authenticator ya da Authy gibi bir program kullanabilirsiniz.
4) Kullandığınız servislerden birinde bir veri sızıntısı vuku bulduysa derhal parolanızı değiştirin.
Bu yazı ile merakınızı birazcık gıdıklamayı becerebildiysem, siz de hesabınıza ait parolaların bu listelerde yer alıp almadığınız merak ediyorsanız Troy Hunt'un ücretsiz bir servisi olan Have I Been Pwned (https://www.haveibeenpwned.com) 'a giriş yaparak e-posta adresinizin bu listelerde olup olmadığını sorgulayabilirsiniz.
Sisteme üye olarak ileride vuku bulacak sızıntılarda da e-posta adresiniz geçiyorsa haberdar olabilirsiniz.
Şimdilik bu kadar olsun. Güvenli bir hafta diliyorum.
[1] https://troyhunt.com/the-773-million-record-collection-1-data-reach/
[2] https://www.karar.com/teknoloji-haberleri/tarihin-en-buyuk-sizintisi-collection-1de-turkiye-alarmi-1099025
[3] https://arkakapidergi.com/imparatorlugun-anahtari-parolalar/
[4] https://www.karar.com/yazarlar/ziyahan-albeniz/dikkat-sim-kartiniz-kopyalanabilir-7629
