You are currently browsing the category archive for the ‘Güvenlik’ category.
Teze yoğunlaşmam sebebiyle uzun zamandır yazamıyorum. Son dönemlerde IE zafiyetlerinde belirgin bir artış sözkonusuydu. En son –ve halen 0-day özelliğini koruyan– zafiyetle durum daha da ilginç bir hal aldı. Açıklamaya göre zafiyet, HTML elemanlarının aynı veri kaynağına bağlanması durumunda ortaya çıkıyor. Başarılı bir saldırıda, kurban sistem üzerinde kod çalıştırılabiliyor. Microsoft’un kısmi çözüm önerisi ise “Oledb32.dll” kütüphanesinin devre dışı bırakılması şeklinde. Çok sayıda IE kullanıcısı ve çok sayıda art niyetli site olduğunu düşününce durumun vehameti ortada…
Martin Beck ve Erik Tews tarafından gerçekleştirilen çalışmalar sonrasında, WPA’nın TKIP protokolünde bir zafiyet tespit edildi. Bu matematiksel zafiyet sayesinde TKIP anahtarının, yaklaşık 12 ila 15 dakikalık bir süre içerisinde kırılabildiği belirtiliyor. Bilindiği gibi şu ana kadar WPA protokolüne sözlük ve RADIUS kandırma saldırıları gerçekleştiriliyordu. Yani bu saldırı WPA’e gerçekleştirilen ilk kriptografik saldırı olmasıyla da dikkat çekiyor. Yani başlıktaki sorunun yanıtı büyük olasıklıkla “evet!”.
Ayrıntılar PAC/SEC 2008 konferansında açıklanacak.
Kullanılan yöntemdeki saldırı vektörü, kablosuz erişim noktasının kandırılması ve saldırgana çok miktarda veri göndermesiyle başlıyor. Tabii bu noktada WPA’in kendi yapısında ayrıca bir zafiyet olup olmadığı da merak konusu.
Bu zafiyetin çıkışı firmalarda WPA’den WPA2 ye geçiş sürecini hızlandıracağa benziyor. Zafiyet çok tehlikeli çünkü bildindiği gibi WPA protokolüne yalnızca sözlük saldırıları yapılabiliyordu. Bu saldırıyı yapabilmenin bir kaç tane yolu vardı. Bu yollardan en çok kullanılanı ise geçerli anlaşma (valid handshake) yakalamaktı ve bunu zorlayarak yaptırmak bile çok kolay değildi. Sözkonusu olan saldırı ise bir matematiksel bir zafiyetten kaynaklanıyor ve kullanılan yöntem kaba kuvvet gibi çok zaman alan bir yöntem değil.
Firmalar / Kamu Kurum ve Kuruluşlar açısından bakıldığında ise durumun vehameti ortada. Çünkü birçok kablosuz erişim noktası WPA2 desteğinden yoksun. Kablosuz ağ güvenliğinin teknolojik tarafı da gözönüne alındığında, küçük bir çocuğun eline geçen bir araçla evinden bir bankanın kablosuz ağ sistemi üzerinden hesaplarla oynadığını düşünmek işten bile değil. Yakın bir gelecekte kablosuz ağ güvenliği konusu firmaların şu anda olduğundan daha çok başını ağrıtacak gibi görünüyor.
Veri güvenliği, ister bizler gibi güvenlik işiyle uğraşanlar, isterse standart ev kullanıcıları için olsun oldukça kritik bir konu. Veriyi transfer ederken veya saklarken ise mevcut yapının güvenlik standartlarıyla sınırlı kalıyoruz/yetiniyoruz. Bunun sebebi ise çoğunlukla zaman kısıtından veya mevcut sisteme güvenmemizden kaynaklanıyor. Acaba işyerimizdeki mail sunucuya ve/veya üçüncü parti bir mail veya web sunucusuna ne kadar güvenebiliriz ? Bilgiyi hem transfer etmek hem de güvenliğini sağlamak sözkonusu olduğunda ne yapabiliriz ? Eğer “ben işimi sağlama alayım” diyorsanız yazıyı okumaya devam edin.
GPG ile dosyaları şifrelemek ve imzalamak mümkün.
gpg --recipient Mehmet --encrypt my-file.txt
komutunu verdiğinizde my-file.txt dosyası sizin listenizde bulunan (yoksa hata verecektir) Mehmet kullanıcısı’nın sizde bulunan public anahtarı ile şifrelenir. Bu sayede ilgili dosyayı sadece Mehmet kullanıcısı kendi private anahtarı ile açabilir. Mehmet’in tek yapması gereken ise üretilen my-file.txt.gpg dosyasını; gpg my-file.txt.gpg komutuyla açmak.
Ayrıca http://keyserver.veridis.com adresinden public anahtarınızı internet üzerinde paylaşıma da açabilirsiniz.
Teknik detaylar’ı http://www.gnupg.org/howtos/tr/GPGMinikNasil.html adresinde bulabilirsiniz.
