7 Kasım 2014 Cuma

BruteForce ve Şifre Güvenliği

Bruteforce ve Şifre güvenliği

Şifreler güvenliğimizin en önemli yapıtaşlarından biridir.E-mailler , üyeliklerimiz , yönetici panelleri vs her türlü alanda şifre kullanılmaktadır.Web üzerinde genelde application(uygulama) lardan kaynaklanan hatalar nedeni ile şifreler alınabiliyor veya keylogger yazılımlarıyla çalınıyor.Konumuzda farklı bir yöntem olan bruteforceyi daha derinlemesine işleyeceğiz.

Bruteforce Anatomisi

Bruteforce nin karşılığı kabakuvvettir.Bir wordlist yardımı ile verilen kulanıcı adına şifreler teker teker denenir.İşte bu işleme bruteforce denir. Web hack , mail hack vs bir çok alanda bruteforce kullanılır.Bu yöntem aslında tamamen wordlist ile alakalıdır.Wordlist bir txt dosyası ve içerisinde denenmek istenen şifreler mevcuttur.Bu 50 gb lik bir wordlistte olabilir 1 mb lık bir wordlistte.Kullanılan bruteforce yazılımı , kullanılan makine ve denenen sisteme göre hızı değişebilir.Başta da söylediğim gibi şifreler güvenliğimizin en önemli yapıtaşlarındandır.O yüzden kullandığımız şifrelere dikkat etmeliyiz.Bruteforcenin önüne geçmek için artık bir çok yöntem geliştirildi.Firewall güvenlik duvarları , captcha gibi.




Örnek yukarıda gördüğünüz bir login ekranı ve captcha ile koruma altına alınmış.Her defasında random bir şifre üretir ve giriş yaparken kullanıcıdan bu şifreyide girilmesi istenir.Bu önlem hem bruteforceyi önlemek için hemde sürekli flood saldırısı olmaması içindir.Artık bu yöntemlerde birbakıma çare etmiyor.Yazılan yazılımlar bu captcha yıda çözüyor lakin yazılım bunu uzun bir süre içerisinde kırdığı için bu yöntemi bu gibi önlemler alan yerlerde saldırganlar kullanmıyor.1 gün süreceği yerde 1 ay a çıkarabiliyor süreyi.Ayrıyetten birde Firewall güvenlik duvarıda fark ettiğinde ip üzerinden kullanıcıyı banlayıp sistemden uzaklaştırıyor.Ama yinede en önemli güvenlik önlemi sağlam şifredir.Şifre ne kadar zor olursa kırılmasıda doğru orantılı olarak bi okadar zor olacaktır.

Hotmail Şifreleri gibi Şifrelerin Kırılma Hikayesi

Bruteforce atakları dediğim gibi wordliste bağlı.Ne kadar kuvvetli olursa o kadar şifre kırma oranı artacaktır.Kişiye göre wordlistler ve random kafadan oluşturulan wordlistler vardır.Saldırgan sizden birtakım bilgiler toplar.Örnek olarak ad soyad , hobileriniz , en sevdiğiniz hayvan veya hayvanınızın ismi , en sevdiğiniz araba markası , sevgilinizin ismi ve çocuğunuzun ismi ve doğum tarihiniz gibi.Peki bunlar saldırganın ne işine yarayacak derseniz , bu bilgiler ile bir wordlist oluşturacak ve işini birazdaha sağlama alacak.İnsanlar genelde bu gibi hoşlandığı şeylerin isimlerini şifrelerinde barındırırlar.Unutmamaları için ve sevdiğini göstermesi için veya başka bir nedenden dolayı.Şifrelere örnek olarak ”bmw123,bjk1903,123456ahmet” gibi basit şifreler dolayısıyla şifreler kolaylıkla kırılıyor.Sosyal mühendislik bölümünde gizliliğiniz için tavsiyeler vermiştim.İşte gizlilik için bir neden daha.



Evet resimde örnek olarak bilgiler ile wordlist oluşturacağız.


Name(İsim) : Hack
Surname(Soyad) : Security
Nickname: eSckraL
Birthdate (Doğum yılı) : 10102014


gibi bilgiler girdik.Bunlar kurbanın bilgileri olsun , ad soyad , internet ortamında kullandığı takma adı , doğum yılı (gün ay yıl) gibi bigiler ile oluşturmak istedik.



Bunun dışında görüldüğü gibi Wife (Eş) , Child (Çocuk) ve Pet (Hayvan) isimlerinide girebilirdik.Saldırganda bu bilgilerin olmadığını düşünerek devam edelim ve oluşturalım.Ne kadar bilgi edinilirse kurbandan okadar etkili wordlist elde edilir. 



Görüldüğü gibi 10538 adet şifre oluşturdu ve hack.txt olarak kayıt etti.Şifre adeti arttırılabilir elbet.Ek olarak özel karakterlerde ekledik.($,@) gibi.Bu hackerin topladığı bilgilere bağlı olarak değişebilir veya sistemin hızı ve güvenliğine göre. 




Görüldüğü üzere örnek şifrelerden birkaçı.Nick-adsoyad , doğum tarihi – soyad gibi algoritmalarla şifreler birleştirilip karıştırılıyor ve en etkili olabilecek şifreler ortaya çıkıyor



Buradada soyad ile tarih birleştirilmiş farklı kombinasyonlarla.Verilen bilgilere göre wordlist oluşturuldu.
Şimdi kurbanın e-postasına saldırıya geldi sıra.




Evet yukarıda “gg7338946@gmail.com” hedefimiz yani kurban.Wordistimizde hack.txt idi hatırlarsanız.Gmail bir hesap ayarlamaları yaptık ve saldırıya başlayalım.



Görüldüğü gibi şifreleri tek tek deniyor.Bu işlem çok hızlı bir şekilde yapılıyor elbet.Bu hız internet hızına ve bilgisayarın hızına göre değişkenlik gösterir.



Evet Son olarak bakıldığında “login : gg7338946@gmail.com password: 35ckr4l! “ olarak bize uyarı verdi ve işlemi sonlandırdı. Password gördüğünüz gibi bulundu.Wordlist ne kadar sağlam olursa okadar saldırganın şansı yüksek olur ve wordliste kendide en çok kullanılan şifreleri ekleyebilir.



Gmail den giriş işlemini gerçekleştirelim



Görüldüğü üzere giriş başarılı bir şekilde tamamlandı.Güvensiz şifreler yüzünden bu şekilde şifreler kırılabiliyor.Bu saldırı sadece Gmail değil , yahoo , Hotmail vs bir çok mail servisine yönelikde yapılabilir.Servisler bir yere kadar güvenliğini yapar.Sonrası bizlere kalmıştır.

Doğru Şifre Kombinasyonu


Şifrelerin nasıl kırıldığını gördük.Elbet bunun önlemi sağlam bir şifre.Peki ne gibi şifreler kullanmalıyız ?

Şifreler kesinlikle 123456 , qwert123 , 123456789 , istanbul123 … gibi olmamalıdır.

Bunlar artık kalıplaşmış wordlistlerde bile mevcuttur.Bir şifrede bulunması gerekenler ;


-Büyük , küçük harf kombinasyonu
-String karakterler (@,!,*..)
-Uzunluk


Bu kurallara uyduğumuz takdirde şifremiz kırılmayacaktır.
Örnek olarak “bruteforce” şekilde değilde “bRu!te*fOrce548” gibi.Elbet bukadar uzun olmayabilir.Ezberlemesi zor ve karışık olabilir.Unutmayın bunlar güvenliğiniz için.





Yukarıda hesap oluştururken Şifre gücünü gösteren bir yer var.”bruteforce” yazdığımızda İyi olarak görünüyor.



Daha öncede söylediğim gibi “bRu!te*fOrce548” yazdığımızda Güçlü olduğunu görüyoruz.Bu gibi uyarılara dikkat edelim ve kesinlikle büyük-küçük harf , rakam ve özel karakterler kullanalım.Mümkünse şifrelerimiz basit kelimelerden ve sevdiğimiz şeylerden olmaz ise daha sağlıklı olur.Daha öncede anlattığım gibi saldırgan sizden bilgi toplayarak wordlist oluşturabilir ve risk bir adım daha yaklaşmış olur.