Parola kurtarmanın ne olduğunu, parola kırmadan ne farkı olduğunu ve farklı parola korumalarının hangi senaryolar için kullanıldığını bu yazımızda anlatıyoruz.
Parola kurtarma ve kırma aslında farklı kavramlara işaret etse de bazen benzeri amaçlar için kullanılan iki kavram olarak karşımıza çıkıyor. Bazen parolaları kırmaya bazı durumlarda ise kurtarmaya ihtiyaç duyarız. Tüm parola koruma yöntemleri de aynı değildir ve her bir yöntem için ayrı kullanım senaryosu vardır. Bu yazımızda farklı parola koruma yöntemleri arasındaki farklardan bahsedeceğiz.
Parola İle Erişimin Kilitlenmesi
Bu senaryoda, parola kilit olarak kullanılıyor. Asıl veri şifresiz olarak yer alıyor ya da ana paroladan bağımsız bir parola ile şifrelenmiş durumda yer alıyor.
- Veri : Şifresiz ya da başka bir parola ile şifreli
- Parola : Bilinmiyor
- Veri Erişimi : Anında, parola bypass edilebilir, kaldırılabilir ya da sıfırlanabilir
Bu duruma örnek olarak eski Android telefonlarda kullanılan güvenli başlatma özelliğine sahip olan tam disk şifreleme gösterilebilir. Bu cihazlar için cihaz parolası kullanıcı arayüzüne erişimini kilitler. Sistem parolayı sorduğu zaman veriler zaten donanım bilgileri ve varsayılan parola kullanılarak şifresi çözülmüş halde bulunur. Dosyaların sadece belirli bir özelliğini koruyan parolalar da (düzenleme, kopyalama, yazdırma) bu kategori altındadır.
Bu parola korumasına karşıt olarak gösterilebilecek örnek ise modern Android telefonlarda veya tüm Apple iOS cihazlarında kullanılan dosya temelli şifreleme yöntemidir. Bu cihazlar için kullanıcı parolası veri güvenliği için oldukça önemlidir. Asıl şifreleme anahtarı cihaz üzerinde depolanmaz. Anahtar kullanıcı cihaz açıldığında parolasını girdiği zaman oluşturulur.
Kullanıcılar PDF dosyalarının ya da Microsoft Office belgelerinin belirli özelliklerini (yazdırma, düzenleme) kısıtlayabilir. Bu tür parolalar çeşitli uygulamalar kullanılarak kolaylıkla kaldırılabilir.
Anında Kurtarmanın Mümkün Olduğu Parolalar
Paspasın altında yer alan anahtar gibi birçok parola da koruması için kullanılan veriyle birlikte depolanır. Bu tarz durumlarda veri şifrelidir. Yani veriye anahtar olmadan erişmek mümkün değildir. Ancak parolaya veri ile birlikte erişmek mümkün olduğu için şifreyi anında çözmek de mümkündür.
- Veri : Şifreli
- Parola : Veri ile birlikte depolanıyor.
- Veri Erişimi : Anında, parola şifre çözmek için elde edilebilir.
iPhone ile oluşturulan iCloud yedekleri endüstri standardında AES256 şifrelemeye sahiptir. Şifre çözme anahtarları farklı bir fiziksel sunucu üzerinde tutulur. (En azından fiziksel olarak elde etmek mümkün değildir.) Ancak veri yığınlarını elde ettiğiniz zaman bu parolaya erişmek mümkündür.
BitLocker, TrueCrypt veya PGP şifreleme konteynerları, şifreleme anahtarlarını bilgisayarın değişken belleği içerisinde depolar. Bilgisayarın RAM’i üzerinden elde edilebilecek bu anahtarları kullanarak şifreli bölümlere anında erişmek mümkündür.BitLocker, FileVault2 gibi şifreleme yöntemleri için var olan ek kurtarma anahtarlarını da çeşitli araçlar kullanarak elde etmek mümkündür.
Online hesaplarınıza giriş yapmak için kullandığınız parolalar da tarayıcı ön belleği içerisinde yer alır. Bunları da uygun araçları kullanarak elde etmek mümkündür.
Zayıf Şifreleme
Bu senaryoda veri şifrelidir. Parolayı bilmiyorsunuzdur ve parola veri ile birlikte depolanmaz. Ancak tüm şifreleme şeması halen güvenlik açığına sahiptir.
- Veri : Şifreli
- Parola : Bilinmiyor
- Veri Erişimi : Şifreyi çözmek için ikili şifreleme anahtarı kullanılabilir. (Gerçek parola değil.)
- Saldırı Yöntemi : Parola yerine şifreleme anahtarına saldırmak, parolaya saldırmak, parola olmadan şifre çözmeye yarayacak bir güvenlik açığını kullanmak, verinin kendisinden parolayı elde etmek
Aşağıdaki durumlardan herhangi biri zayıf şifrelemeye sebep olur:
- Şifreleme anahtarının çok kısa olması (40-bit veya 56-bit şifreleme yöntemleri günümüz için kullanışsızdır. Örneğin; Microsoft Office 2007 öncesi tüm sürümlerde bu tarz şifreleme kullanılır.) Eğer böyle bir şifreleme kullanılıyorsa parolanın kendisi yerine şifreleme anahtarına saldırmak daha mantıklı olabilir. (Rainbow Tables / Thunder Tables)
- Şifreleme şemasının zayıf şekilde yerleştirilmesi (.ZIP dosyaları için kullanılan şifreleme gibi) Eski .ZIP arşivlerinde kullanılan şifrelemeyi kolaylıkla çözmek mümkündü. Bu açık daha sonra geliştiriciler tarafından kapatıldı.
- Hash için tek tekrarlı parolaların kullanıldığı durumlar (iOS 10.0 için oluşturulan iTunes yedekleri gibi)
Rainbow Tabloları / Thunder Tabloları
Microsoft Office, zayıf şifreleme yönteminin nasıl olduğuna gösterilebilecek en iyi örnektir. Office 97’de Microsoft, şifreleme için RC4 şifreleme yöntemini ve hash için MD5 değerini kullandı. A.B.D ihracat sınırlamaları nedeniyle şirket şifreleme anahtarını yalnızca 40-bit olarak kullandı. Bu sayede kullanılan parolalar o zamanda bulunan bir süper bilgisayar tarafından (A.B.D’nin sahip olduğu) kolaylıkla kırılabiliyordu. Günümüzde, Intel i7 işlemciye sahip bir bilgisayar bu parolayı birkaç gün içerisinde çözebilir.
Microsoft, Office 2003 ile de zayıf bir şifreleme şeması kullanmaya devam etti. Harici şifreleme metodu kullanma özelliği getirilse de varsayılan olarak 40-bit şifreleme kullanılmaya devam edildi.
Rainbow tabloları gibi 40-bit şifreleme anahtarlarının %97-99’unu kapsayan çeşitli tablolar mevcut. Elcomsoft tarafından geliştirilen Thunder Tables patentli yönteminde ise dakikalar içinde bu şifreleme yöntemini çözmek mümkün. Microsoft Office’in daha sonraki sürümlerinde uyumluluk modu kullanılarak kaydedilen belgeler için de aynı yöntem kullanılabiliyor.
Zaman içerisinde A.B.D şifreleme teknolojilerinin ihracı için sınırlamalarını genişletti ve Office 2007 ile birlikte daha güçlü şifreleme şeması kullanıldı.
Güçlü Şifreleme
Bilinen herhangi bir güvenlik açığına sahip olmayan güçlü bir şifreleme yöntemi ve AES-256, AES-128 gibi uzun şifreleme anahtarı kullanıldığı durumda ise parolaya saldırmak gerekiyor. Bu yöntem oldukça yavaş olabiliyor.
- Veri : Şifreli
- Parola : Bilinmiyor.
- Veri Erişimi : Şifreleme anahtarının hesaplanması için orijinal parolaya gereksinim vardır. Şifreleme anahtarı verinin şifresini çözmek için kullanılır.
- Saldırı Yöntemi : Tüm kombinasyonları deneyerek orijinal parolanın elde edilmesi gerekir.
Parola kurtarma şirketleri bir saniyede maksimum şifre çözme girişimini sağlamak için çalışırken, veri koruma şirketleri de parolaların mümkün olduğunca yavaş şekilde çözülmesini sağlamak için uğraşıyor. Eğer şifreleme anahtarı direkt olarak hash üzerinden oluşturuluyorsa saniyede bir milyon kadar parola denemek mümkün oluyor. Ancak parolanın 10,000 hash tekrarı kullanılarak oluşturulan bir şifreleme anahtarı için saniyede yanızca 100 parola denenebilir.
Saniyede 100 civarında parola deneyerek bir şifreyi kırmak mümkün değildir. Bunun için ya saldırı hızını arttırmak ya da denenecek parolaların sayısını azaltmak gerekir. Saldırıları daha hızlı hale getirmek için GPU’lar kullanılarak hızlandırma yapılabiliyor. Çoklu GPU’ya sahip ağlar kullanılarak yapılan saldırılarda bile saniyede 1 milyon parola denenebiliyor. Üstelik böyle bir ağın maliyeti oldukça fazladır. Bu şekliyle 12 haneli bir parolayı çözmek milyarlarca yıl alır.
Ancak aynı parolayı sözlük saldırısı kullanarak dakikalar içerisinde çözmek mümkündür. Kelime ve yıl kullanılarak oluşturulan şifreler bu yöntem için uygundur. Sıklıkla kullanılan kelimelerin listesi, sözlük kelimelerine yıl ya da iki rakam ekleyerek deneme yapma, kullanıcının bilgisayarından elde edilen diğer parolaların kullanılması gibi yöntemlerle bu süreç oldukça hızlanıyor.
Arka Kapı Saldırıları
Güçlü bir parola güçlü bir şifreleme yöntemi ile birlikte kullanıldığında şifreyi kırmak oldukça uzun zaman alıyor. En güçlü devletler bile bu tarz parolaları kırmakta güçlük yaşıyor. Bu yüzden bunun yerine büyük devletler şifreleme yöntemlerine arka kapılar yerleştirerek sorun yaşamadan ihtiyaç halinde şifre çözmeyi amaçlıyor.
Avustralya, İngilitere, A.B.D gibi devletler şirketlerin zayıf şifreleme kullanması için baskı yapıyor. Örneğin bu devletlerin isteği üzerine Facebook şifreli mesajlar için bir arka kapı bırakmıştı. Ancak üreticiler ne kadar arka kapı bıraksa da bu durum fark edilecek, açık kapatılacak ve herkese açık hale gelecektir.
