Murat Demirten

Maalesef yanılıyorsunuz.

1990 - 2010 yılları arasında edindiğiniz bilgiler, 8 karakter uzunluğunda ve rastgele büyük harf, küçük harf, rakam ve sembol içeren bir parolanın standart bilgisayar sistemlerinde deneme-yanılma (brute-force) ataklarıyla kırılmasının uzun yıllar aldığını söylüyordu. Bu denklemi bozan ve mevcut bilgilerimizi gözden geçirmemizi gerektiren değişim şu ki, şimdilerde görece düşük maliyetle sahip olunabilecek veya kiralanabilecek bir son kullanıcı sistemiyle bu süreler 6 saat gibi sürelere inmiş durumda!

Bu yazımızda konunun şu anki vahim boyutunun detaylarına değinecek ve güvenli parola kullanımı için hem yazılım geliştiricilere hem de son kullanıcılara yönelik tavsiyelerde bulunacağız.

Geçtiğimiz haziran ayında yerli ve yabancı basında görmüş olabileceğiniz üzere Google Chrome web tarayıcısının ortam dinlemesi yapıyor olabileceğine dair bazı iddialar gündeme geldi. Ülkemiz basınının bunun gibi teknik konulara yaklaşımındaki tutumu maalesef magazin haberi seviyesinin ötesine geçemiyor. Bu yazıda geleceğimizi de ilgilendiren bu konuyu incelemeye çalışacağız.

Geçtiğimiz Temmuz ayında, devletlere casus yazılımlar sağlayan ve son yıllarda popülaritesi giderek artan İtalya merkezli Hacking Team firması, bir başka ekip tarafından hack edildi ve geliştirdikleri yazılımların kaynak kodları da dahil olmak üzere, pek çok doküman ve eposta arşivi internette yayınlandı [1]. Konu basında geniş yer buldu ancak teknik yönlerine pek değinilmedi. Bunun üzerine merakımı gidermek için yazılım kaynak kodlarını inceleyerek sistemi çalışır hale getirdim. Bu yazıda konuyla ilgili teknik ya da değil herkese faydalı olabileceğini umduğum izlenimlerimi paylaşacağım.

İnternet ağında biri gizli diğeri açık olmak üzere ikili anahtar sistemini kullanan protokoller üzerinden (https, ssh,  vpn çözümleri vb.) iletişim kurduğumuzda güvende olduğumuzu düşünüyoruz. İki bilgisayar sistemi arasında bu şekilde gerçekleştirilmiş olan bağlantıdaki veriler üçüncü bir sistem tarafından gözlemlenebilir ancak görülebilenler tümüyle şifreli olacaktır. Bu şifreyi çözmek ise güncel teknolojiyle yüzyıllar mertebesinde süre almaktadır. Dolayısıyla iletişimin güvenli olduğunu söyleyebiliriz. Bu temel varsayım üzerinde sadece kişisel bilgilerimiz, eposta arşivimiz değil e-ticaret ve ödeme sistemleri de dahil olmak üzere pek çok operasyon güvenli biçimde çalışmasını sürdürmektedir. Peki gerçekten de bu kadar güvende miyiz? Örneğin NSA gibi kuruluşların bu trafiği izlemesi mümkün müdür?