Sosyal hayatın içinde bir kavgayı çözmeye çalışırken “Kaba kuvvet hiçbir şeyi çözmez.” deriz. Öyleyse internet ortamını sosyal hayat gibi düşünmemeye başlayabilirsiniz, çünkü kaba kuvvet bu ortamda bazı bilgilerinizin çalınmasına olanak sağlayabiliyor!

Sosyal medya hesaplarına yapılan hack saldırılarının mantığını anlatıp korunma yollarından bahsettiğim serinin ikinci bölümündeyiz. Bir önceki bölümde “Phishing” saldırısından bahsetmiştik. Şimdiki saldırımızın adı “Brute Force Attack” yani “kaba kuvvet saldırısı”. Sosyal medya hesaplarına yapılan hack saldırılarının mantığını anlatıp korunma yollarından bahsettiğim serinin ikinci bölümündeyiz. Bir önceki bölümde “Phishing” saldırısından bahsetmiştik. Şimdiki saldırımızın adı “Brute Force Attack” yani “kaba kuvvet saldırısı”.

2)_ Brute Force Attack / Kaba Kuvvet Saldırısı

Telefonunuzda şifrenizi peş peşe 5 kez yanlış girerseniz 30 saniye beklemeniz gerekir. Çünkü eğer böyle olmasaydı bir arkadaşınız gelip rastgele desenler çizip illaki bir yerden sonra deseninizi tutturacaktı. Şifreniz eğer pin şeklindeyse ve 4 haneli ise 10^4 (10000 – on bin), 6 haneli ise 10^6 (1000000 – bir milyon) deneme sonunda kesinlikle tutturabilirdi! Sadece küçük harflerden oluşan 10 haneli bir şifreye sahipseniz 29^10 deneme sonunda kesinlikle şifrenizi bulabilirdim! (29^10 = 420707233300201 – dört yüz yirmi trilyon yedi yüz yedi milyar iki yüz otuz üç milyon üç yüz bin iki yüz bir).

Tamam, biraz gerçekçi olalım… Burada söylediğim en küçük rakam bile 10.000. Bu kadar şifreyi her saniye bir şifre denesem bile (ki her saniye bir şifre denemem bile imkansız) yaklaşık 3 saat sürer. Daha büyük sayılar hakkında konuşmuyorum bile.

Ancak bir hacker için çareler tükenmez. Her saniye 1 şifre deneyemeyebilir, ancak kendisi için her saniye yeni bir şifre deneyebilecek bir program yazabilir! Ve programı başlattığında Gym’e gider, sporunu yapar, daha sonra yemeğini de yiyip eve gelir. Duşunu alıp bilgisayarın başına oturduğunda 3 saat geçmiştir ve şifreniz çoktan deşifre olmuştur. Hatta bu işlemi 2 bilgisayar ile yaparsa sadece 1.5 saat, 3 bilgisayar ile yaparsa 1 saat, 9 bilgisayar ile yaparsa sadece 20 dakika içinde şifrenizi kırabilir! Gym’de zaman geçirmesine gerek bile kalmaz!

İşte hackerin yaptığı bu “tüm şifreleri teker teker deneyip doğruyu bulma” saldırısına Brute Force deniyor.

Olay Şöyle İşliyor:

Hacker yine sizin hakkında öncelikle bilgi toplamıştır. İlgi alanlarınızı, evcil hayvanınızın adını, annenizin babanızın adını, hobilerinizi, Facebook’ta ve Twitter’da yaptığınız durum güncellemelerinden öğrenmiştir. Somut örnek daha kolay anlaşılacağı için geçen bölümdeki hayali kedi sever arkadaşımı tekrar buraya davet ediyorum.

Ben bu arkadaşımın bir kedisi olduğunu ve adının Hera olduğunu, ayrıca arkadaşımın koyu bir Fenerbahçe’li olduğunu biliyorum. Bunlarla alakalı bir şifre listesi oluşturmaya çalışacağım.

  • Hera123
  • FbHera55
  • Fenerbahce55
  • Fenerbahce123
  • Hera55

Şimdi bir program yazdım ve benim yerime her birkaç saniyede bir yeni bir şifre denemesini sağladım. Örneğin 300 şifrelik bir şifre listesi hazırladıysam, program ile birlikte yaklaşık 15 dakika içinde şifrelerin hepsini deneyebilirim. Ancak elime denemeye çalışsam 300 şifreyi 1.5-2 saatten önce bitirebileceğime inanmıyorum.

Saldırının genel hatları bu şekilde işliyor. Ancak bu iş tek bir bilgisayarla olacak bir iş değil. O yüzden bu saldırıda genellikle “BotNet / Köle bilgisayarlar” kullanılıyor.

Ben hacker olarak bir program yazıyorum ve bu program çalıştırıldığı bilgisayarı benim kölem ediyor. Örneğin bu programı yazdım ve bir arkadaşımın bilgisayarında çalıştırdım. Artık arkadaşımın bilgisayarı benim ordumun bir parçası oluyor. Bunu internet üzerinden virüs olarak yayıyorum ve akşam 200 kişilik bir bilgisayar ordusu emrimde oluyor. Sonra bu bilgisayarların başkomutanı olarak diyorum ki “Bu 500 şifrelik listeyi beraber deneyeceğiz! Sen, sen ve sen ‘A’ ile başlayan şifreleri deniyorsunuz. Beyler siz de ‘B’ ile başlayan şifreleri deniyorsunuz!”. Bu şekilde iş bölümü yapıyorum ve çok uzun sürecek işim saniyeler içinde halloluyor.

Diyelim ki kurban hakkında hiçbir şey bilmiyorum. Bir şifre listesi hazırlayamadım. Bu sefer de orduma diyorum ki “Gençler 000000’dan başlayıp ZZZZZZZZZ’ye kadar tüm şifreleri teker teker deniyoruz!”. Bunun içinde “Zaqwe249a” da var “Hera123” de var. Tabii ki diğerine göre çok daha uzun sürecek bir yöntem ancak çok fazla köle toplanmışsa ve şifreniz de çok güçlü değilse maksimum birkaç hafta içinde halledilebilir gibi görünüyor!

Korunmamızın bir yolu yok mu?

Tabii ki var. Öncelikle bu saldırıyı kolaylaştıran en büyük şey, şifre listesini oluşturmaktır. Eğer saldırgan size karşı bir şifre listesi oluşturamıyorsa kesinlikle bu saldırı için güvenli bir yerdesiniz demektir. Size karşı şifre listesi oluşturulmasını engellemenin en iyi yolu da özel/kişisel bilgilerinizi ve hobilerinizi sosyal medyada çok fazla anlatmamak, anlatacaksanız da sadece arkadaşlarınızın isteklerini kabul ettiğiniz gizli hesaplarda anlatmaktır.

Korunmanın en iyi yollarından bir diğeri, şifrenizde en az bir büyük karakter, bir küçük karakter, bir sayı ve bir özel karakter (*, %, &, !, @ gibi.) bulundurmaktır. Çünkü genelde Brute Force saldırıları yapılırken kullanılan programlar şunu diyor : “Ben şimdi her şifreyi denemeyi çalışacağım ama nasıl şifreler deneyeyim? İçinde sayı da olsun mu? Özel karakter de olsun mu? Büyük harf de olsun mu? Küçük harf de olsun mu?”. Bu programın sorularına verdiğiniz her “evet” cevabı saldırının süresini uzatıyor. Bununla ilgili çok güzel bir site var. Siteye kafanızdan bir şifre yazıyorsunuz, site de şifrenizin yaklaşık ne kadar sürede kırılabileceğini size söylüyor. Burada önce sadece küçük harflerle şifre yazıp daha sonra özel karakter, sayı vs. ekleyerek sürenin ne kadar değiştiğini görebilirsiniz. Site: How Secure is My Password

Siteye giremeyecek olanlar için birkaç örnek:

  1. Şifre : murathan / Kırma süresi : 5 saniye
  2. Şifre : Murathan / Kırma süresi : 22 dakika
  3. Şifre : Murathan1 / Kırma süresi : 3 gün
  4. Şifre : [email protected] / Kırma süresi : 5 yıl
  5. Şifre : [email protected] / Kırma süresi : 1 trilyon yıl

Not : Bu süreler bir bilgisayarın tek başına yapacağı süredir. Örneğin 4. şifreyi 5 bilgisayar beraber denersek 1 yılda kırılır. Ancak 5. şifre o kadar güçlü ki bu şifreyi 1 milyar bilgisayar beraber denersek yine de kırması 1000 sene alıyor! Tabii ki bu değerler normal bilgisayarlar için. Google’in 5G’ye bağlı kuantum bilgisayarları ile denerseniz sonuçlar çok daha farklı olur 🙂

Dipnot : 2. bölümün de sonuna geldik. Bir sonraki bölümde MITM saldırısından (Man In The Middle / Ortadaki Adam) bahsetmeyi planlıyorum. Anlattığım olayların, konuyu açıklamak adına hayali olduğunu ve sayfanın amacının sadece sizi bilgilendirmek ve farkındalık oluşturmak olduğunu belirtmeden bitirmiyorum. Kendinize iyi bakın!

© Bu yazının her türlü telif hakkı yazarın kendisine ve / veya temsilcilerine aittir.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir