05:32:08

İhlal Edi̇len Şi̇freleri̇n Büyük Bölümü Muhtemelen Si̇zi̇nki̇leri̇ de İçeri̇yor

Kötü niyetli kişiler tarafından devasa bir şifre hazinesi yayınlandı ve sizinkinin de orada olma ihtimali çok yüksek. Kullanıcıların e-postalarına bakarak şifrelerinin ve diğer kullanıcı bilgilerinin ele geçirilip geçirilmediğini ve nerede ele geçirildiğini görmelerini sağlayan “Have I Been Pwned” adlı mükemmel ihlal bildirim sitesinin arkasındaki isim olan Troy Hunt'a göre, bu şimdiye kadar internette gördüğü en büyük ihlal edilmiş veri koleksiyonlarından biri…

Hunt gibi bir veri savunucusu için “büyük” kelimesi hafif bir ifade değil. “Naz.API” olarak adlandırılan dosya önbelleği 71 milyondan fazla e-posta adresi ve 100 milyon şifre içeriyor. Şimdiye kadar 400.000'den fazla Have I Been Pwned (HIBP) abonesi bu durumdan etkilendi.

Hepsi yeni değil. Araştırmacı blog yazısında, ihlaldeki e-posta adreslerinin yüzde 65'inden fazlasının daha önce diğer HIBP veri kümelerinde görüldüğünü söyledi. Hunt'a göre bu durum, çalınan verilerin büyük bir kısmının halihazırda ortalıkta dolaşıyor olmasına rağmen, üçte birinden fazlasının yeni elde edilmiş gibi göründüğünü gösteriyor.

“E-posta adreslerinin üçte biri daha önce hiç görülmemişse, bu istatistiksel olarak önemlidir” diye yazdı. “Bu sadece yeniden düzenlenmiş listelerin yepyeni bir fiyonkla sarılıp bir sonraki büyük şey olarak sunulduğu olağan bir koleksiyon değil; bu önemli miktarda yeni veri.”

Hunt'ın açıkladığı gibi, verilerin çoğu “hırsız günlükleri” olarak bilinen veya birinin cihazına yüklenen ve giriş bilgilerini yakalayan kötü amaçlı yazılımlardan geliyor. Naz.API örneğinde, bu listelerin kötü niyetli kişilerin bir kişinin adı ya da e-posta adresine dayalı olarak kolayca veri aramasına olanak tanıyan ve artık feshedilmiş bir site olan illicit.services'den toplandığına inanılıyordu.

Hunt, ele geçirilen verileri kendi verileri için tararken, 2011 yılından önce kullandığı bir şifreyi keşfetti; bu da bazı bilgilerin gerçekten çok eski olduğunu gösteriyor gibi görünüyor.

Özellikle Hunt'ın veri setinde bulduğu on yıldan daha eski şifre göz önüne alındığında, belki de en büyük çıkarım, şifrelerin yıllar ve siteler arasında yeniden kullanılmasının çok güvensiz bir veri uygulaması olduğudur. Yakın zamanda yaşanan 23andme ihlaline atıfta bulunan araştırmacı, “şifrelerin yeniden kullanımı yaygınlaşmaya devam ettiği sürece” bu tür saldırıların da artacağına dikkat çekti.

Tavsiyesi nedir?
Geri dönüştürülmüş kimlik bilgilerinizi bir parola yöneticisi ile değiştirerek “kesinlikle bunun önüne olabildiğince erken geçin”.

Bu içeriği beğendiyseniz lütfen çevrenizle paylaşınız…

00:19:49

Şifre Yerine Geçiş Anahtarıyla Oturum Açma

Google, geçiş anahtarlarını tüm kişisel hesaplar için varsayılan oturum açma seçeneği haline getiriyor. Google, Geçiş anahtarlarının şifrelere göre %40 daha hızlı ve daha güvenli olduğunu söylüyor. İşte bilmeniz gereken diğer şeyler…

Çok fazla şifre hatırlamak zorunda kalmaktan şikayetçiyseniz, Google‘ın yeni bir girişimi size yardımcı olabilir. Aslında Google, şifrelerden tamamen vazgeçmeye karar vereceğinizi umuyor.

Bugünden itibaren Google, Google hesabınızda oturum açmak için tercih edilen giriş ayarını geçiş anahtarları haline getiriyor. Geleneksel bir parolaya güvenmek yerine, kullanıcılardan bir geçiş anahtarı oluşturmaları ve bunu kullanmaya başlamaları isteniyor. Varsayılan olarak, Google hesabınızdaki “Mümkün olduğunda şifreyi atla” ayarı açık olacaktır. Eski şifrenizden vazgeçmeye tam olarak hazır değilseniz, bu ayarı kapatabilirsiniz ve bir geçiş anahtarı istemi almazsınız.

Aralarındaki fark nedir?

Geçiş anahtarı aslında bir paroladır, ancak parmak izi sensörü, PIN veya Face ID gibi bir cihazın kendi kimlik doğrulama yöntemini kullanır – tıpkı telefonunuzun kilidini açtığınızda olduğu gibi. Bir geçiş anahtarı oluşturulduğunda, iki parçadan oluşur – biri kimliği doğrulamak için kullanılan cihazda, diğeri ise giriş yapmaya çalıştığınız web sitesi tarafından saklanır.

Hem Apple hem de Google, çoğu üçüncü taraf parola yöneticisi gibi cihazlarda geçiş anahtarlarını yoğun bir şekilde kullanıyor, bu nedenle bu tamamen yeni bir alan değil. Ancak ilk kez sektörün önemli bir ismi, kullanıcıların varsayılan olarak parola kullanmasını tercih ederek parolaları kaldırıma atmaya çalışıyor.

Değişikliği duyuran bir blog yazısında Google, geçiş anahtarlarının şifrelere göre %40 daha hızlı ve daha güvenli olduğunu belirtti. “Bu yılın başlarında kullanıma sunulduğundan bu yana insanlar YouTube, Arama ve Haritalar gibi favori uygulamalarında geçiş anahtarlarını kullandılar ve sonuç bizi cesaretlendirdi.”

Google‘ın söylediğine göre nihai hedef, diğer şirketleri de geçiş anahtarlarını benimsemeye teşvik etmek ve nihayetinde şifreleri tarihe gömmek. Elbette bu biraz zaman alacak ve şifreler bir süre daha hayatımızın bir parçası olmaya devam edecek. Ancak yine de, rastgele hesaplar için giriş bilgilerini hatırlamaya çalışmaktan bıktıysanız veya hâlâ Myspace‘e kaydolduğunuz temel şifreyi kullanıyorsanız, bu dijital refahınız için cesaret verici bir işarettir.

Geçiş anahtarlarını kullanmaya başlamak istiyorsanız, Google bunu varsayılan hale getirdiği için hiçbir şey yapmanıza gerek yok. Geleneksel yöntemi biraz daha sürdürmek ve Google‘ın sormasını engellemek istiyorsanız, Google‘daki profil resminize dokunarak Google hesap ayarlarınıza gidin, ardından geçiş anahtarı ve şifre seçeneklerini göreceğiniz “Güvenlik” seçeneğine gidin.

Bu içeriği beğendiyseniz lütfen çevrenizle paylaşınız…

18:37:15
LastPass, çalışanının ev bilgisayarının hacklendiğini ve şirket kasasının alındığını açıkladı…

Müşteri kasalarının çalınmasına neden olan ihlalin yaralarını sarmaya başlayan LastPass'e kötü haberler gelmeye devam ediyor. Kısmen şifrelenmiş oturum açma verilerinin bir tehdit aktörünün eline geçmesine neden olan bir ihlalden zaten muzdarip olan LastPass, Pazartesi günü aynı saldırganın bir çalışanın ev bilgisayarını hacklediğini ve yalnızca bir avuç şirket geliştiricisinin kullanabildiği şifresi çözülmüş bir kasayı ele geçirdiğini söyledi.

LastPass'e yapılan ilk saldırı 12 Ağustos'ta sona ermiş olsa da, önde gelen şifre yöneticisi yetkilileri tehdit aktörünün 12 Ağustos'tan 26 Ağustos'a kadar “aktif olarak yeni bir dizi keşif, numaralandırma ve sızma faaliyetinde bulunduğunu” söyledi. Bu süreçte, kimliği bilinmeyen tehdit aktörü kıdemli bir DevOps mühendisinden geçerli kimlik bilgilerini çalmayı ve bir LastPass veri kasasının içeriğine erişmeyi başardı. Diğer şeylerin yanı sıra, kasa, Amazon S3 kovalarında depolanan müşteri kasası yedeklemeleri için şifreleme anahtarlarını içeren paylaşılan bir bulut depolama ortamına erişim sağladı.

Başka bir bomba daha düştü
LastPass yetkilileri, “Bu, DevOps mühendisinin ev bilgisayarını hedef alarak ve uzaktan kod yürütme özelliğini etkinleştiren ve tehdit aktörünün keylogger kötü amaçlı yazılımını yerleştirmesine izin veren savunmasız bir üçüncü taraf medya yazılımı paketinden yararlanarak gerçekleştirildi” diye yazdı. “Tehdit aktörü, çalışan MFA ile kimlik doğrulaması yaptıktan sonra, çalışanın ana parolasını girildiği sırada yakalayabildi ve DevOps mühendisinin LastPass kurumsal kasasına erişim sağladı.”

Hacklenen DevOps mühendisi, kurumsal kasaya erişimi olan dört LastPass çalışanından biriydi. Şifresi çözülmüş kasayı ele geçiren tehdit aktörü, “AWS S3 LastPass üretim yedeklerine, diğer bulut tabanlı depolama kaynaklarına ve bazı ilgili kritik veritabanı yedeklerine erişmek için gereken şifre çözme anahtarları” da dahil olmak üzere girişleri dışa aktardı.

Pazartesi günkü güncelleme, LastPass'ın önceki iddiaların aksine, saldırganların hem şifreli hem de düz metin verilerini içeren müşteri kasası verilerini elde ettiğini ilk kez söyleyen bomba gibi bir güncelleme yayımlamasından iki ay sonra geldi. LastPass daha sonra, tehdit aktörünün ayrıca bir bulut depolama erişim anahtarı ve çift depolama konteyneri şifre çözme anahtarları elde ettiğini ve böylece şifrelenmiş depolama konteynerinden müşteri kasası yedekleme verilerinin kopyalanmasına izin verdiğini söyledi.

Yedekleme verileri, web sitesi URL'leri gibi şifrelenmemiş verilerin yanı sıra web sitesi kullanıcı adları ve parolaları, güvenli notlar ve 256 bit AES kullanılarak ek bir şifreleme katmanına sahip form doldurulmuş verileri içeriyordu. Yeni ayrıntılar, tehdit aktörünün S3 şifreleme anahtarlarını nasıl elde ettiğini açıklıyor.

Pazartesi günkü güncellemede, ilk olayda kullanılan taktik, teknik ve prosedürlerin ikincisinde kullanılanlardan farklı olduğu ve sonuç olarak araştırmacıların başlangıçta bu ikisinin doğrudan ilişkili olduğunu anlayamadığı belirtildi. İkinci olay sırasında tehdit aktörü, S3 kovalarında depolanan verileri numaralandırmak ve dışarı çıkarmak için ilk olay sırasında elde edilen bilgileri kullandı.

LastPass yetkilileri, “Bu olaylar sırasında uyarı ve günlük kaydı etkinleştirildi, ancak soruşturma sırasında geriye dönük olarak daha net hale gelen anormal davranışı hemen göstermedi” diye yazdı. “Özellikle tehdit aktörü, paylaşılan bir bulut depolama ortamına erişmek için üst düzey bir DevOps mühendisinden çaldığı geçerli kimlik bilgilerinden yararlanabildi ve bu da başlangıçta araştırmacıların tehdit aktörü faaliyeti ile devam eden meşru faaliyet arasında ayrım yapmasını zorlaştırdı.”

LastPass ikinci olayı, tehdit aktörü yetkisiz faaliyet gerçekleştirmek için Bulut Kimlik ve Erişim Yönetimi (IAM) rollerini kullanmaya çalıştığında Amazon'un anormal davranış uyarılarından öğrendi.

LastPass'in özel raporu hakkında bilgi sahibi olan ve isminin açıklanmaması koşuluyla konuşan bir kişiye göre, çalışanın ev bilgisayarında istismar edilen medya yazılım paketi Plex'ti. İlginç bir şekilde Plex, ikinci olayın başlamasından sadece 12 gün sonra, 24 Ağustos'ta kendi ağ izinsiz girişini bildirdi. Bu ihlal, tehdit aktörünün özel bir veritabanına erişmesine ve 30 milyon müşterisinden bazılarına ait şifre verileri, kullanıcı adları ve e-postalarla kaçmasına izin verdi. Plex, kullanıcıların film ve ses akışı yapmalarına, oyun oynamalarına ve evlerinde ya da şirket içi medya sunucularında barındırılan kendi içeriklerine erişmelerine olanak tanıyan önemli bir medya akış hizmetleri sağlayıcısıdır.

Plex ihlalinin LastPass izinsiz girişleriyle herhangi bir bağlantısı olup olmadığı net değil. LastPass ve Plex temsilcileri bu haber için yorum isteyen e-postalara yanıt vermedi.

LastPass ihlalinin arkasındaki tehdit aktörü özellikle becerikli olduğunu kanıtladı ve bir çalışanın ev bilgisayarındaki bir yazılım açığından başarıyla yararlandığının ortaya çıkması bu görüşü daha da güçlendiriyor. Bu durumda yapılması gereken, tüm LastPass kullanıcıları ana şifrelerini ve kasalarında sakladıkları tüm şifreleri değiştirmektir. Tehdit aktörünün her ikisine de erişimi olup olmadığı net olmasa da, önlemlerin alınması gerekiyor.

Bu içeriği beğendiyseniz lütfen çevrenizle paylaşınız…

LastPass geliştirici sistemleri kaynak kodunu çalmak amacıyla hacklendi…

Parola yönetim firması LastPass iki hafta önce saldırıya uğradı ve tehdit aktörlerinin şirketin kaynak kodunu ve tescilli teknik bilgilerini çalınmasına neden olduğu söyleniyor.

Saldırıyla ilgili soruların gönderilmesinin ardından LastPass bugün, bilgisayar korsanlarının şirketin geliştirici ortamına erişmek için kullandıkları güvenliği ihlal edilmiş bir geliştirici hesabı aracılığıyla ihlal edildiğini doğrulayan bir güvenlik uyarısı yayımladı.

LastPass, müşteri verilerinin ya da şifreli parola kasalarının ele geçirildiğine dair bir kanıt olmadığını, ancak tehdit aktörlerinin kaynak kodlarının bazı bölümlerini ve “tescilli LastPass teknik bilgilerini” çaldığını söyledi.

LastPass'tan yapılan açıklamada, “Olaya yanıt olarak, sınırlama ve hafifletme önlemleri aldık ve önde gelen bir siber güvenlik ve adli tıp firmasını görevlendirdik” denildi.

“Soruşturmamız devam etmekle birlikte, bir kontrol altına alma durumu elde ettik, ek gelişmiş güvenlik önlemleri uyguladık ve yetkisiz faaliyete dair başka bir kanıt görülmüyor.”

LastPass saldırıya, tehdit aktörlerinin geliştirici hesabını nasıl ele geçirdiğine ve hangi kaynak kodunun çalındığına ilişkin daha fazla ayrıntı vermedi.

LastPass, 33 milyondan fazla kişi ve 100.000 işletme tarafından kullanıldığını iddia eden dünyanın en büyük parola yönetim şirketlerinden biridir.

Tüketiciler ve işletmeler şifrelerini güvenli bir şekilde saklamak için şirketin yazılımını kullandıklarından, şirketin saldırıya uğraması durumunda tehdit aktörlerinin saklanan şifrelere erişmesine izin verebileceği konusunda her zaman endişeler vardır.

Ancak LastPass, şifreleri yalnızca müşterinin ana şifresi kullanılarak çözülebilen 'şifreli kasalarda' saklıyor ve LastPass bu siber saldırıda şifrenin ele geçirilmediğini söylüyor.

Geçtiğimiz yıl LastPass, tehdit aktörlerinin bir kullanıcının ana parolasını doğrulamasına olanak tanıyan bir kimlik bilgisi doldurma saldırısına maruz kalmıştı. LastPass ana parolalarının RedLine parola çalan kötü amaçlı yazılımı dağıtan tehdidin aktörleri tarafından çalındığı da ortaya çıkmıştı.

Bu nedenle, LastPass hesaplarınızda çok faktörlü kimlik doğrulamayı etkinleştirmeniz hayati önem taşımaktadır, böylece parolanız ele geçirilse bile tehditin aktörleri hesabınıza erişemeyecektir.

Bu içeriği beğendiyseniz lütfen çevrenizle paylaşınız…

Hesaplarınızın her biri için benzersiz, rastgele bir şifre oluşturmak, saldırıya uğrama şansınızı önemli ölçüde azaltacaktır. Bu güvenli ve basit araç bunu kolaylaştırır. Güçlü ve çeşitli parolalar, çevrimiçi hesaplarınıza erişmeye çalışan bilgisayar korsanlarına ve diğer yetkisiz kullanıcılara karşı en iyi savunmadır. Bilgisayar korsanları, bir parolayı kırmak için olası karakter kombinasyonlarını tahmin etmeye yarayan karmaşık araçlar kullanabilir.

Geçmişte, bir parolanın basitçe kırılmaya çalışılması ile yani yazılım doğru sırada gerçekleşene kadar olası her harf ve sayı kombinasyonunu denenmesi anlamına geliyordu. Ancak günümüzde şifre kırma yazılımları çok daha gelişmiş durumda. Ortak kalıpları analiz ederek ve girerek olası alfasayısal kombinasyonları önemli ölçüde daraltır, bilgisayar korsanlarının zaman ve kaynaklarından tasarruf sağlar. Gelişmiş parola kırıcılar, her zaman gelişen kural kümelerine, sözlüklere ve artan sayıda sızdırılmış ve kırılmış parola listelerine dayalı olarak noktalama ve büyük harf kullanım kalıplarını tahmin edebilir.

Bu gelişmelerle mücadele etmek için günümüzün parolaları aşağıdaki özelliklere ihtiyaç duyar:

En az 8 karakter olmak üzere – 12 karakter uzunluğunda önerilir.
Hem büyük hem de küçük harf, sayı ve sembollerin birleşiminden oluşturulmalıdır.
Herhangi bir tahmin edilebilir dizi içermeyecek şekilde rastgele seçimler olmalıdır.

Ve büyük olasılıkla, bunlardan birkaçına ihtiyacınız olacak. Uzmanlar, her hesap için farklı bir şifre önerir. Güçlü bir parolanız olsa bile, bir ihlal durumunda şifreniz bilgisayar korsanlarının eline geçebilir. Aynı parolayı birden fazla hesapta kullanırsanız, bu hesapların tümü risk altında olacaktır.

Şifre yöneticileri
Tüm bu şifreleri ezberlemek zordur. Hepsini hatırlamak için mücadele etmek yerine, bir parola yöneticisi kullanmayı deneyin. Parola yöneticisi, tüm şifrelerinizi şifreli bir biçimde güvenli bir şekilde depolayan, genellikle bir uygulama veya tarayıcı uzantısı olan yazılımlardır. Bir web sitesine giriş yapmanız gerektiğinde, tek bir ana şifre girmeniz yeterlidir ve şifre yöneticisi sizin adınıza uygun depolanan şifreyi girer.

2 Adımlı Doğrulama ve 2FA
Son olarak, onları destekleyen tüm hesaplarda iki adımlı doğrulamayı (2SV) veya iki faktörlü doğrulamayı (2FA) etkinleştirmenizi öneririz. Bu güvenlik önlemleri, yeni veya tanıdık olmayan bir cihazdan hesaplarınızdan birine giriş yapan herkesin bazı alternatif yollarla kimliğini doğrulamasını gerektirir. İki adımlı doğrulama genellikle e-postanıza, SMS’inize veya kimlik doğrulama uygulamanıza (Google Authenticator, Authy ve diğerleri) süresi dolan tek kullanımlık bir PIN kodu göndermeyi içerir. 2FA, akıllı kartlar, Yubikey’ler ve biyometrik taramalar gibi teknolojileri içerir.

ŞİFRE OLUŞTURUCU ARAÇ NASIL KULLANILIR

En az 12 karakterden oluşan parolalar için: Parola dizisi elde edildikten sonra bir güç kontrolü yapılır. Kontrol 100 puana erişmezse parola yeniden oluşturulur ve %100’lük bir güç puanına ulaşılana kadar tekrar kontrol edilir.

Minimum sembol sayısı ile minimum basamak sayısının toplamı yapılandırılan parola uzunluğuna eşitse %100 güç kontrolü uygulanmaz. 12 karakterden kısa parolalar için güç puanı daha düşük olacaktır ve aynı uzunluktaki iki parolanın farklı güç puanları olabilir.

Kullanıcı, şifrede bulunması gereken minimum sayısal karakter sayısını ayarlayabilir. Bunu çok yükseğe ayarlamaktan kaçının, ancak çok fazla sayı içeren bir parola parolayı gerçekten zayıflatacaktır. Kullanıcılar, belirli yazı tiplerinde birbirine benzeyebilecek belirsiz karakterleri kaldırmak için kutucukları işaretleyebilir. Bunlar şunları içerir: B8G6I1lO0QDS5Z2.

Kullanıcılara, bilgisayar korsanlarının şanslı olabileceğini ve en güçlü şifreleri bile tahmin edebileceğini hatırlatıyoruz. Bu aracın ürettiği şifrelerin asla kırılmayacağının garantisi yoktur.

GÜVENLİ ŞİFRE ÜRET, yukarıda bahsedilen yöntemlerin tümünü tek bir kolay adımda gerçekleştirir. Ücretsiz olarak dilediğiniz kadar güçlü şifreler oluşturabilirsiniz.

Bu içeriği beğendiyseniz lütfen çevrenizle paylaşınız…