Paylaş
Sony, LinkedIn, eHarmony ve Formspring gibi firmaların ortak özelliği ne biliyor musunuz? Geçtiğimiz yıl tümünün parola içeren veritabanları ele geçirildi ve halka açık biçimde veya korsanlar arasında paylaşıma sunuldu.
Siber güvenlik yeni bir kavram değil ama saldırganlar hâlâ internet sitelerini ele geçirebiliyor. Böyle bir durumda size ait kişisel detayların ele geçirilip geçirilmediğini anlamak için ne yapabilirsiniz?
Bir web sitesi sadece sayfalar içeren bir sitedir değil mi? Aslında idaresi ve güvenli hâle getirilmesi karmaşık olan büyük ticari ortamlar söz konusu olduğunda pek de böyle basit değil. En başta hayli güvenli olan bir web sitesi altyapısı site geliştikçe ve büyüdükçe güncellenmek zorundadır.
Planlanmamış ağ değişikliklerinden ötürü veritabanı internet üzerinden kolayca erişilebilir hâle gelebilir. Her ne kadar iyi bir fikir olmasa da sitenin yöneticisi böyle bir sorunu aşmak için basit değişiklikler yaparak çözüme ulaşabilir ve ağı tekrar güvenli hâle getirme çalışmasını ileri bir zamana erteleyebilir. Bununla birlikte bir kez açığa maruz kaldıktan sonra tehlike durumu devam eder. İşte bundan ötürü tehlikeli saldırganların içeri sızmak için fırsat kolladığını ve hata yapmanızı beklediğini düşünmeniz yerinde olur.
Bir sitenin sunucuları güvenli biçimde bir güvenlik duvarı arkasında tutuluyor ve dâhili veritabanına sadece dâhili sistemlerden bağlantı izni veriliyor olsa bile bilgiye erişim için başka yollar bulunmakta.
Örnek vermek gerekirse normal bir kullanıcı oturum açtığında kullanıcı adı ve parolasını kontrol eden yazılım arka plandaki ağa ve üye bilgilerini tutan veritabanına erişir. Bazı durumlarda bu bağlantıyı kandırmak ve doğru bir kullanıcı adı ve parolası girilmiş havası vermek mümkün. Bu sayede oturum açılmış olur.
Bu tekniğe SQL enjeksiyonu adı verilmekte ve açığa sahip olan yazılımları aşmada kullanılan ciddi derecede basit bir yöntem.
SQL enjeksiyon yöntemi, arka planda veritabanı erişimi olan çok sayıda farklı bağlantıyı aşmak için kullanılabiliyor. Bu yöntem son derece tehlikeli çünkü çok az çabayla fazla sayıda kişisel bilgi içeren bir veritabanı ele geçirilebilir. Peki, bu yöntem gerçek hayatta işe yarıyor mu? Evet, gerçekten de işe yarıyor. Çok sayıda haberde ortaya çıktığı üzere açığa sahip olan sitelerde gayet başarılı biçimde kullanılabilen bir yöntem.
12 Temmuz’da ortaya çıkan bir habere göre Yahoo’ya ait alt alan adlarından birine SQL enjeksiyonu gerçekleştiren D33DDs Company adlı ekip, 450 bin e-posta adresi ve düz metin biçiminde parolayı ele geçirerek bir hacking sitesinde yayımladı. Bu saldırı, Yahoo! gibi bir ticari sitenin ve 300 SQL değişkeni içeren 2700 veritabanı tablosunun karmaşıklığını gözler önüne serdi. Yapılan analizlere göre bu saldırıyla ilgili en dehşet verici durumsa listede geçen parolaların büyük kısmının “123456” ve “password” gibi bulunması kolay olan ifadeler olması.
Hasar tespiti yapın
Her sene çok sayıda kullanıcı veritabanının ele geçirildiği düşünülürse böyle bir saldırının kurbanı olup olmadığınız nasıl anlayabilirsiniz? Adınız kullanılarak istenmeyen e-posta gönderiliyor mu? Bunu anlamanın yollarından biri, bazı çevrimiçi araçları kullanarak hesabınızı test etmek.
Hacker’lar çaldıkları parola veritabanlarını yayımlayarak övünmeyi çok severler. Bu sayede tüm veritabanlarını toplayıp içlerinde kendi hesabınızı aramanız da mümkün oluyor. Bu servislerden biri “Should I Change My Password (http://goo.gl/UV0TL)”. Bu siteyi hazırlayan kişi internete yayılmış olan veritabanlarını toplayarak arama yapma şansı veriyor. Test etmek istediğiniz e-posta adresini girip “check it” düğmesine tıklayın.
E-posta adresinizle ilgili durum karşınıza gelecek. Adresiniz güvenli olabilir veya açığa çıkmış bazı veritabanlarında bir veya birden çok kez geçiyor olabilir. Sonuç ne olursa olsun, ileride yeni açıklar yaşandığında sitenin sizi durumdan haberdar etmesini sağlayabilirsiniz. Bu seçenek sayesinde sizin siteyi takip etmeniz gerekmiyor. Sitedeki veritabanına yeni kayıtlar eklenince e-posta adresiniz kontrol ediliyor ve size bilgi gönderiliyor.
Bu türden araçlar mükemmel olmasa da şu ana kadar birileri tarafından paylaşıma sunulmuş veritabanlarında yer almamak kafanızın rahat etmesini sağlıyor. Oturum bilgilerinizi içeren diğer kaynakları etkisiz hâle getirmek için parolalarınızı düzenli olarak değiştirmenizi öneriyoruz.
Bir sitenin saygınlığını kontrol edin
Bir web sitesine üye olmadan ve hatta ziyaret bile etmeden önce bu sitenin güvenli, tehlikesiz ve bilginizi satmayan bir ortam olduğunu nasıl anlarsınız? Bu ortamın paranızı alan ama ürünleri göndermeyen sahte bir işletme olduğunu anlayabilir misiniz? Çözüm yollarından biri internet araması yapıp kullanıcıların başından geçen kötü olayları taramak ama daha verimli bir yöntem saygınlık kontrolü gerçekleştirmek.
Böyle bir servisi Webutation (http://goo.gl/gmGeX) sunuyor. Sitenin temelini topluluk katılımı oluşturuyor ve listelediği siteleri ziyaret etmiş kullanıcıların geri beslemelerini topluyor. Gerçek zamanlı olarak siteleri tarayıp kötü niyetli yazılım ve kodları bulabiliyor. Aynı zamanda Google Safebrowsing, Norton Safe Web ve çevrimiçi kara listelere danışıyor. Şu ana kadar Webutation listesine 6 milyon site eklenmiş ve Firefox ile Chrome için eklentiler de sunuluyor.
E-posta: ekaplanseren@hurriyet.com.tr
Twitter: https://twitter.com/kaplanseren
Yazarın son yazıları |
#16 Mayıs 2013 Google Glass’la ilk bakış
#12 Mayıs 2013 Teknoloji, suçları işlenmeden önleyecek
#8 Mayıs 2013 Geleceğin eğitimi teknolojiden geçiyor
#5 Mayıs 2013 Yazıcıyla silah üretmek mümkün mü?
#1 Mayıs 2013 HTML5 tabanlı en güzel 10 site
#28 Nisan 2013 Teknolojinin vicdanı temiz mi?
YAZARIN TÜM YAZILARI İÇİN >>
Paylaş