Anasayfa Makale WinRAR ve 7Zip Şifrelerini Kırmak

WinRAR ve 7Zip Şifrelerini Kırmak

WinRAR ve 7Zip ile oluşturulan arşiv dosyalarının şifrelerini kırmak için bilmeniz gerekenler.

Birçoğumuz belgelerimizi veya önemli dosyalarımızı bir arada düzenli tutmak amacıyla çeşitli programlar yardımıyla arşivliyor ve şifreliyoruz. Aksilik olacak ya, tekrardan o dosyalara ihtiyaç duyduğumuzda parolasını unuttuğumuz için açamayabiliyoruz. Bazen de paroladaki tüm kelimeleri hatırlasak bile doğru kombinasyonu tutturamadığımız için arşivdeki dosyalara erişimi kaybediyoruz. İşte bu yazımızda arşivlerin parolalarını kırmak amacıyla kullanabilecek yazılımları ve nasıl kullanılacağını anlatacağız.

Elcomsoft Arşiv Şifre Kırma Yazılımlarının Tarihi

Elcomsoft tarafından geliştirilip piyasaya sürülen ilk arşiv parolası kurtarma ve saldırı aracı yaklaşık 24 sene önce yani 1997 yılında piyasaya çıkan Advanced Zip Password Recovery idi. Yazılım o zamanlar aşağıdaki gibi bir görüntüye sahipti.

Advanced Zip Password Recovery Şifre Kırma Aracı
Resim Kaynağı: Elcomsoft.

Daha önce hiç “shareware” terimini duymuş muydunuz? 90’lı ve 2000’li yıllarda birçok yazılım geliştiricinin rekabet ettiği en önemli şeylerden biri deneme süreli yazılımlardı. Advanced Zip Password Recovery de Elcomsoft’un ilk deneme sürümü olan parola kurtarma yazılımlarından biriydi.

Aracın geliştirilmesindeki süreci Elcomsoft kendi bloğundaki yazısında “her şey bir müşterimiz için ZIP arşivini kırmaya çalışmamızla başladı” diyerek anlatıyor. Sonunda bu arşiv türü için çabalar sonucunda kaba kuvvet saldırısı yapabilen bir komut satırı aracı tasarladık diye ekliyorlar.

Daha sonrasında aracın ilk GUI sürümü birkaç ay sonra yayınlanıyor. Daha fazla sıkıştırma desteği eklendikten sonra piyasaya birçoğunuzun bildiği arşiv şifresi kırma programı olan Advanced Archive Password Recovery sürülüyor.

Peki ya Elcomsoft’un aracı Advanced Archive Password Recovery’i o dönemde yavaş yavaş çıkmaya başlayan diğer araçlardan ayıran fark neydi? Aslında çok basit. ZIP arşivlerin şifrelenme şeklindeki zayıflıklardan faydalanılıyordu. Bu şekilde yapılan saldırılarla kaba kuvvet uygulanmadan şifre kombinasyonları yardımıyla arşiv kilidi açılabiliyordu.

Arşiv Türüne Bağlı Yaklaşım ve ZIP Şifreleme

Bir arşivin parolasını/şifresini kırmak için öncelikle arşivin hangi türden olduğunu öğrenmemizde yarar var. Zira her arşiv türünde aynı şekilde şifreleme uygulanmış olmayabilir. Doğruca kaba kuvvet saldırısı yöntemine başvurmak oldukça mantıksızdır.

İlk yapmanız gereken şey, ufak ipuçları barındırabileceğinden arşivin kendisini  incelemek. Dosya adları şifreli mi, arşivin adı nedir, dosyaların adları nedir ve arşivin içinde  tahminen ne var gibi bilgileri kenara not almalıyız. Ayrıca arşivin uzantısı ve ne zaman oluşturulduğu da oldukça önemli. Bazı arşivlerin parolası sıkıştırıldığı zamanki algoritmaya bağlı olarak daha farklı şekillerde kırılabilmekte.

ZIP Arşivlerinin Şifreleme Şekli

ZIP arşivleri söz konusu olduğunda genellikle şifreleme için kullanılan iki standart mevcut. Bunlardan biri eski Zip 2.0 şifrelemeyken, diğeri daha güvenli olan AES algoritması. AES-128 ve AES-256 kullanılarak ZIP dosyalarını oldukça yüksek güvenlikle şifrelemek mümkün.

WinZip, ZIP dosyalarının şifrelenme şekilleriyle alakalı kendi web sitesinde bizlere şu bilgileri veriyor:

“Eski Zip 2.0 şifreleme: Bu eski şifreleme yöntemi, şifreye sahip olmayan ve dosyaların ne olduğunu anlamaya çalışan sıradan kullanıcılar karşı koruma sağlar. Fakat Zip 2.0 şifrelemesinin diğerlerine kıyasla daha zayıf olduğu biliniyor ve özel parola kurtarma yazılımlarına karşı koruma sağlanması beklenmemeli.”

“Verilerinizi daha güvenli bir şekilde saklamak istiyorsanız Zip 2.0 şifrelemesinden uzak durmalısınız. Verilerinizin güvenliği sizin için önemliyse bunun yerine WinZip’in AES şifrelemesini kullanmayı düşünmelisiniz.”

AES algoritması uzun yıllar boyunca WinZip’in varsayılan şifrelemesi oldu. Yine de diğer arşivleme programları ZIP’leri şifrelemek için genellikle açık kaynaklı bazı bileşenlerden yardım alıyor. Serbest kullanıma izin verilen açık kaynaklı bileşenler, ZIP sıkıştırma formatını Windows üzerinde yazılım geliştiricileri arasında tercih edilen en popüler format haline getirdi. Böylece ZIP, birçok kullanıcı için asıl sıkıştırma standardı halini aldı.

Bugün hala aynı açık kaynak bileşenleriyle oluşturulmuş birden çok uygulama, WinZip’in ilk sürümlerinde kullanılan, son derece modası geçmiş, AES öncesi şifreleme sorunuyla birlikte geliyor. Sonuç olarak güncel AES algoritmasıyla şifrelenenler kadar eski şifrelemenin kullanıldığı ZIP dosyaları da görüyoruz.

AES Şifreleme Ne Kadar Güçlü?

Tek bir Xeon E5-2603 işlemci kullanarak klasik ZIP şifrelemesiyle korunan bir arşive saniyede 54 milyon parola denemesi ile sözlük saldırısı yapabilirsiniz. Aynı güçteki bir bilgisayar kullanarak AES ile şifrelenmiş bir ZIP arşivine yapılan saldırıda ise saniyede yalnızca 2400 şifre deneyebilirsiniz. Bu yaklaşık 22.500 kat daha yavaş olması anlamına geliyor.

Eğer parolalarınızı daha hızlı bir şekilde kurtarmak istiyorsanız Elcomsoft Distributed Password Recovery gibi GPU hızlandırmasından faydalanan araçları kullanabilirsiniz. Eski bir NVIDIA GTX 1080 ekran kartı yardımıyla AES algoritmasıyla şifrelenen ZIP arşivine saniyede 203000 parola denemesi yaparak saldırmak mümkün. Bu da tek başına işlemci gücü kullanılarak yapılan kaba kuvvet saldırılarına kıyasla 85 kat daha hızlı. Daha yeni olan NVIDIA Ampere mimarisiyle güçlendirilmiş ekran kartlarından birini kullanırsanız büyük olasılıkla kurtarma hızınız bu inanılmaz rakamları da ikiye katlayacaktır.

Elcomsoft Şifre Kırma Performansı
Resim Kaynağı: Elcomsoft.

Eski ZIP şifrelemesi kullanan arşivlerin parolasını kırmak için yapabileceğiniz iki büyük saldırı metodu mevcut. Bunlardan biri klasik düz metin saldırısı, diğeri ise “guaranteed recovery attack” yani garantili kurtarma saldırısı.

Bilinen Düz Metin ZIP Saldırısı

Düz metin saldırısı, orijinal parolaya yönelik uzun bir saldırı gerçekleştirmeye gerek kalmadan belli başlı türlerdeki ZIP arşivlerinin şifrelerinin çözülmesini sağlayan bir teknik. Günümüzde bu tekniği AES algoritmasıyla şifreli bir arşivde kullandığınızda bir işe yaramayacaktır. Yalnızca eski arşivler üzerinde oldukça işe yarıyor.

Bu saldırının temelinde ise aslında şifrelenmiş ZIP arşivinin içindekilerle eşleşen en az bir tane şifrelenmemiş dosya veya bu dosyanın bir kısmının bulunması gerekiyor. Bu tarzda bir dosyanız ve aynı eski şifreleme algoritmasını kullanan basit bir ZIP arşivleme yazılımınız bulunuyorsa arşivin parolasını hızlıca kurtarmak için Advanced Archive Password Recovery içndeki “known plaintext attack” saldırısı seçeneğini kullanabilirsiniz. Özellikle saldırının arşivi çözmek için orijinal düz metnin şifresini kurtarmaya çalışması gerekmez fakat şifrelerin kurtarılma hızı çok daha fazla artar.

Garantili WinZip Kurtarma

1990’lar boyunca ve 2000’lerin başlarında o dönemin en popüler arşivleme aracı WinZip, ve Info-ZIP kaynaklarına dayanan diğer araçların birçoğu rastgele sayı üretecine sahip bir güvenlik açığı barındırıyordu. Bu güvenlik açığı sayesinde “known plaintext attack” saldırısına benzer şekilde bir saldırı oluşturulabiliyordu fakat oldukça büyük bir fark vardı, şifrelenmemiş herhangi bir dosyaya ihtiyaç yoktu. Bu saldırı türündeki tek sınırlama ise arşivin kırılması için en az 5 dosyanın arşiv içerisinde olması gerekiyordu. WinZip bu açığı Ağustos 2001 yılında piyasaya sürdüğü 8.1 sürümüyle beraber yamaladı.

Bu saldırı kullanılarak WinZip’in savunmasız sürümlerinde oluşturulan herhangi bir ZIP arşivinin yaklaşık %99,6’sı veya daha anlaşılır bir tabirle 256 arşivden 255’i açılabilir.

Fakat AES ile şifreli ZIP arşivlerinin hiçbir zaman bu tarz güvenlik açıklarına ve diğer bilinen güvenlik açıklarına sahip olmadığını unutmayın, parolalarınızı unutmamaya çalışın. Yoksa güçlü bir parolayı hatırlamadığınız takdirde arşivi açmanız neredeyse imkansıza yakın.

RAR5 ve 7Zip Arşivleri

Konu şifrelemeye geldiğinde ne RAR ne de 7Zip arşiv formatında bilinen herhangi bir güvenlik açığı bulunmuyor. Bu formatlar için yapılabilecek tek şey kaba kuvvet veya sözlük saldırıları ile deneme yanılma yöntemlerini uygulamak. Hem RAR hem de 7Zip arşivleri koruma amacıyla AES algoritması kullanılırken, parola korumasının uygulama şekli farklıdır. Daha ilginç olan ise eski ve yeni RAR arşivler arasında (örneğin RAR4 ve RAR5) önemli ölçüde farklılıklar mevcut.

RAR4 Şifrelemesi

RAR4 arşivleme biçiminde WinRAR 128-bit veya 256-bit şifreleme anahtarları ile AES şifreleme algoritmasını kullandı. Ancak kullanıcılar şifreli bir arşivi açmaya çalıştıklarında arşivleyici aslında hiçbir zaman bir şifreyi kontrol etmiyordu. Öncelikle decryption işlemi gerçekleşiyor daha sonra dosyalar tam olarak işlendikten sonra sağlama toplamı dosya sonunda kontrol ediliyordu.

Bu nedenle bu algoritmayla arşivlenen dosyalara karşı yapılan saldırılar çok yavaştı. Şifrenin eşleşip eşleşmediğini anlamak için tüm dosyaların şifresinin çözülmesi gerekiyordu. Büyük dosyalar içeren arşivlere deneme yanılma saldırıları yapmak bu nedenle neredeyse imkansıza yakın zor hale geliyordu.

RAR5 ile RAR4 Şifreleme Yöntemi Farklılığı

Yeni RAR5 arşiv formatıyla beraber WinRAR artık sıkıştırılmış dosyanın içinde parolaya ait bir karma (hash) değeri saklar ve ayıklama gerçekleşmeden önce parolanın uyuşup uyuşmadığını kontrol eder. RAR5’deki bu yeni değişikliğin asıl amacı arşivden çıkarma sürecini hızlandırmaktı. Geliştiriciler seçilen hash türünün bilinçli olarak yavaş olduğundan ve saldırıları önemli ölçüde yavaşlatmak için PBKDF2’ye dayanıldığını söyledi.

Yine de RAR4 arşiv biçiminde olduğu gibi bir dosyayı ayıklama ve ondan sonra sağlama toplamı yapılıp kontrollerin sağlanması gibi süreçler olmadığından, RAR4’e kıyasla RAR5 arşivlerinin deneme yanılma saldırılarıyla kırılabilirliği çok daha hızlı ve kolay diyebiliriz. RAR5 sayesinde sonunda nispeten daha katlanılır derecede hızlı çalışan saldırı teknikleri oluşturulabildi.

7Zip Arşivlerin Şifrelemesi

7-zip.org’da yazdığına göre 7Zip dosyaları CBC modundaki AES-256 algoritmasını kullanarak şifreler. Şifreleme anahatarı ise SHA-256’nın 524288 yani 2 üzeri 19 üzeri yinelemeleri kullanılarak türetilir. İlginç şekilde bu kadar katı güvenlik sunan 7Zip, arşivlerin güvenliği için ekstra bir salt değeri kullanmıyor. Bu çeşitli saldırılar için ufak bir zayıflık olarak görülebilir.

Peki ya 7Zip arşivlerinin kırılabilirliği hız anlamında ne durumda? Bunun için Advanced Archive Password Recovery yerine çok daha hızlı ve iyi bir araç olan Elcomsoft Distributed Password Recovery aracını kullandığınızda 7Zip için aşağıdaki değerleri görebilirsiniz.

Elcomsoft Distributed Password Recovery
Resim Kaynağı: Elcomsoft.

RAR5 söz konusu olduğunda sayılar 7Zip arşivlere göre çok daha yüksek. Yani RAR5 arşivlere 7Zip arşivlere kıyasla yaklaşık 3 kat daha hızlı saldırmak mümkün.

Resim Kaynağı: Elcomsoft.

Kaynak: Elcomsoft Blog

https://www.technopat.net/