Günümüzde Bireysel ve Kurumsal birçok organizasyon Teknoloji Altyapı güvenliğini sağlamak için şifreleme teknolojileri kullanmakta veya kullandığını sanmaktakdır…
Fakat görünen O ki kullanıcıların ve şirketlerın buna cok fazla itibar etmedigini yada daha doğrusu önemsemiş gorunerek aslında bilgi yetersizliğinden kendilerini koruyamamakta olduğunu görüyorum. Her geçen gün Şahısların ve kurumların Karşılarına Koca yazılarla bilbirinden farklı şifre koruma yöntemleri adı altnda birbirinden karmaşık bilgiler içeren tavsiyeler çıkmakta...
Bu durum çok can sıkıcı ve kafa karıştırıcı oluyor değil mi ?
O Halde bu durumlarla başa çıkmanız için şifre güvenliği hakkında işte Doğrularım ve Saptamalarım... ;
1 - Güvenliğinizi sağlamak için her zaman dışarıdan saldırı gelicekmiş gibi kendinizi sartlamayın. İçerden yapılan Saldırılar, Dışardan yapılanlara oranla %60 daha fazla ve her zaman öyle de olacaktır. Yine İçerden yapılan saldırılar, dışarıdan yapılanlara göre çok daha tehlikeli olmaktadır.
Mevcut kullandığınız şifreniz dışında farklı bir parolanız olsun. Fakat bu şifrelenmiş parolanızı , sadece Dökümanlarınız, Önemli Sunucu Bilgilerinizi korumak için kullanın.
Nasıl mı ?
a. Güçlü Algoritmalar içeren bir sertifika(CA) kullanın.
b. Veri transferlerinizi şifrelenerek yerlerine ulaşmalarını sağlayın.
c. Çoğunlukla 6-8 haneli olan şifreleriniz de “basit karakterler ve ardaşık sayılar kullanmayın.
Örnek :
456abc, Ali12345…gibi.
2 - Kullanıcı Adlarınızı asla şifreleriniz olarak Kullanmayın.
Bu konuda bir çok Bireysel ve kurumsal Organizasyonda büyük hatalar yapıldığını görüyorum. Bazılarının bana kızacağına eminim ama İşin En Aptalca olanı da IT ekibinde yer alan Uzman arkadaşların bu tip kullanımları bildiği halde, göz yumması ve dikkate almamasıdır.
Sizlere tanık olduğum 2 örneği vererek durumun ne kadar korkunç seviyelerde olduğunu göstereceğim….
a . Türkiyenin en büyük Hizmet Kurumlarından birinde Bireysel Kullanıcı Güvenliği ilgili eğitim veriyordum. Fakat karşımdaki kullanıcılardan biri doğru eğitilmediği ve doğru bilgiler verilmediği için kendinden emin bir tutumla “Benim Şifremi kırmanız Mümkün değil , Bırakın Bu ayakları..” şeklinde söz sarfetmişti. Ben bunun üzerine Ona doğru olanı göstermek ve ön yargılarını kırmak için kullandığı şifreye birkaç deneme yaptım. Bu denemeler sonucunda şifresini kendisine söylediğimde yüzündeki ifadeyi bir görmeliydiniz…
b. Diğer örnekte büyük ve tanınmış Sanayi Organizasyonlarından birinde…
Bilgi Sistemleri Güvenliği kurulumu için gittiğim bir şirketin Ana Sunucularının yetkili hesap şifresinin ne olduğunu ona söylediğimde sonra ne oldu tahmin edin bir bakalım…
3 –Sunucularda kullandığınız Yönetici Hesaplarınızda asla Basit karakterler, Ardaşık Sayılar ve “En Önemlisi” kurumunuzun İsim kısaltmasını veya isimlerini asla kullanılmamalı. Bu tip şifreler çok kolay bulunabilmektedir.
4 – Network Yapınızda kullandığınız WAN ve LAN cihazlarınızın erişim şifreleri her zaman komplex karakterler içeren şifreler olsun.
Çok değil bundan 1 sene evvel Türkiye’nin En büyük Servis Sağlayıcı(ISP) lerinden birinin kullandığı Omurga cihazlarından birine erişim sağlanmış ve şifresinin de “ ISP ismi ve Yıl” olduğunu görünce şok olmuştuk. Bu çok büyük bir güvenlik zaafiyeti ve içerde bir şeylerin yanlış gittiğinin göstergesidir.
Aynı şekilde Fiber tabanlı bir “Metro Hat” dinlenerek aynı cihaza bağlı hizmet gören Şirketlere bağlanılıyor ve network cihazlarına erişiliyordu.
Sonuç olarak ;
Kötü niyetli biri eğer kafaya koymuşsa sizi deşifre edebilir. Evet bunu normal yoldan yapmayacak elbette ! . Fakat yukarıda örnekleriyle birlikte verdiğim açıklamalar ve saptamalar sizin için yol gösterici olacaktır.
ve… Şunu asla aklınızdan çıkarmayın. Bu tip insanlar günün 24 saatinin – bunun 18 saatini bilgisayar başında geçiren insanlar… Bir kapıyı açtıkça, bir diğerini merak edecek ve öğrenmek isteyecektir.
Yazımı hep kullandığım ve “Unutmamanız gereken” bir cümle ile tamamlıyorum ;
- SECURITY DOESN’T WAIT…THEY FOUND UP TO YOU !
Kerem ÇELİKER
