Browse > Home / Archive by category 'Physical Security'

| Subcribe RSS

Görevimiz: Dizüstü PC Güvenliği

November 5th, 2009 | No Comments | Posted in Güvenlik, Physical Security

Aslında bu yazıyı 2007 senesinde blogspot’taki blogumda yazmıştım. Ancak görüyorum ki, özellikle Dizüstü PC güvenliği konusunda gerek fiziksel, gerekse yazılımsal olarak  sıkıntılar devam ediyor; bu nedenle hatırlatmakta fayda var.
More »

Tags: , ,

DES Şifrelemeyi, Brute Force ile kırmak çocuk oyuncağı

April 13th, 2009 | No Comments | Posted in Encryption, Hacking, Physical Security

Şifreleme ciddi bir tasarım, emek ve öngörü ister. Daha çok PKI dediğimiz platformlarda uygulanan şifreleme yöntemleri kurumsal ölçekte olabileceği gibi, kişisel olarak ta kullanılabilir. Bunun uygulamalı örneğini geçtiğimiz günlerde yazmıştım.

Asimetrik ve simetrik algoritmalardan oluşan genel sistemin başlıca bileşenlerinden biri olan DES (Data Encryption Standard – Bilgi Şifreleme Standardı) algoritması, 1976 senesinde FIPS (Federal information processing Standard) dediğimiz önemli bilgilerin güvenli olarak işlenmesi onayını alarak birçok platformda uygulanmaya başlandı. 56-bit uzunluğunda simetrik bir algoritma olan DES, teknolojiye yenik düştü ve ne yazık ki gücünü yitirerek 🙁 , yerini 3DES ve şimdilerde şifreleme konusunda henüz kırılamayan AES (128 ve 256-bit) algoritmalarına bıraktı. 3DES, AES’ten farklı olarak bünyesinde bilgiyi 3 kere DES yöntemi kullanılarak şifreleme prensibine dayanıyor.

Genel bir bilgi verdikten sonra konumuza dönelim. 56-bit olması nedeniyle diğer algoritmalara nazaran daha zayıf kalan DES algoritması, meşhur Brute Force atağına yenik düşerek, 1 gün içinde (Yaklaşık 22 saat) pes edilebilir hale geldi (Bilinen eski kırma zamanı 10bin dolarlık bir donanım ile 6 gündü). Electronic Frontier Foundation (EFF) tarafından üretilen “DES Cracker” adlı cihaz, kendi bünyesinde barındığı çok hızlı bir kriptografik motoru (Altera Cyclone II FPGA) sayesinde Brute Force tekniğini kullanarak ilgili algoritmayı bir gün içinde (Yaklaşık 22 saat) kırabiliyor ve bulduğu şifreyi ekranındaki minik bir lcd’de görüntülüyor.

Sistemin bu kadar kolay işlediğine aldanmamak gerek. Böyle “custom made” bir cihazı satın almak o kadar da kolay değil. Bütçenizi şöyle bir “250.000 dolarcık” zorlamanız gerekiyor. 😀 Kişilere göre fazla gözükse de, özellikle Siber alemde firmaların birbirleriyle mücadelesinde o kadar da fazla gözükmüyor  8)

Son Sözler…

Burada yazacaklarımın konuyla ilgisi yok ama genel olarak söylemek istiyorum. Her zaman diyoruz, mevcut teknolojilerle bağımlı kalmayın, her zaman bir adım ileride olmayı hedefleyin diye. Buna örnek olarak iyi tasarlanmayan MD5 hash algoritmasının yaklaşık 100’ün üzerinde PlayStation 3 kullanılarak kırıldığına tanık olmuştuk (Gezdiğiniz sitelerindeki bu açıklığı tespit etmek için Firefox için SSL Blacklist eklentisini kurmanızı öneririm). Peki, bundan sonra yapılması gerek bir sonraki SHA-1 hash algoritmasına geçmek mi? – Hiç sanmıyorum. Tamam bu tür sistemleri kırmak için çok emek, işlem gücü ve maddiyat gerekiyor ancak tüm dünyanın kullandığı bir standart oluşturacaksanız, bazı tedbirleri şimdiden almalısınız. Bu konuda Sertifika Otoritelerinin önde gelen firmalarını bundan sonra MD5 hash algoritmasına sahip hiçbir CA’yı bünyelerinde barındırmayacaklarını duyurdular. Bundan sonraki adım benim görüşüme göre SHA-1 değil, bir sonraki adım olan SHA256 olması. Beraberinde bazı donanım yenilemeleri ve bir nebze yavaşlık, kullanım zorlukları getirebilir. Ancak olması gereken budur diye düşünüyorum.

Tags: , , , , ,

Vandallar iş başında: San Francisco’daki internet sabotajı çok pahalıya maloldu!

April 10th, 2009 | No Comments | Posted in Physical Security, Technology

İnternet varolduğundan beri hayatımızı daha çok mobil olarak internete bağlı aygıtlarla sürdürüyoruz. Hal böyle olunca, özellikle internet servis sağlayıcılarımızdan (ISS) kesintisiz internet hizmeti bekliyoruz. Bu teknik olarak mümkün olsa da pratik olarak pek mümkün olamıyor. Özellikle birçok firma %100 UP olma garantisi ne yazık ki veremiyor (Hizmeti 1 kere kurup, onun üzerinden bedel aldıkları için ve ayrı bir masraf yapmadıkları için bana göre  gerekli altyapıları kurarak, vermeleri gerekiyor). Ancak bazen öyle anlar yaşanıyor ki, bu altyapı hizmeti de işe yaramıyor. En iyi örneğini kısa süre önce Kuzey Sanfrancisco’da gördük.

Vandalizm dediğimiz zarar vermeye yönelik bir akımı takip eden Vandallar, bu bölgedeki internet iletişim kablolarını çeşitli bölgelerden  kesmişler. Bu kesinti sonucu internet ve telefon hatları etkilenmiş ve yaklaşık olarak 50.000 kişi ve binlerce kurum iletişimden (ATM’ler, online bankacılık dahil) yoksun kalmış. Sabotaj süresince; hastaneler, AVM’ler, finansal ağlar ve acil yardım hizmetleri devre dışı kalmış. Üstelik buna ABD’nin meşhur 911‘ hizmeti de dahil.

Bu sabotajtan en çok etkilenen AT&T firması ise, vandalların yakalanması için yardım edecek kişilere 100.000 dolarlık vaadediyor. Canları çok yanmış olacak ki, bu açıklamayı internet üzerinden yayınlamışlar : 😀

“Anyone who tampers with, destroys or disrupts the company’s network or its components is in violation of federal and state laws and AT&T will assist with any prosecution to the fullest extent of the law”

Peki ben bu yazıyı niye yazdım? Bu tarzda fiziksel gerçekleştirilen ataklar, özellikle dijital&siber ataklara nispeten ne kadar önemli olduğunun bir kanıtı olarak karşımıza çıktığını belirtmek için. Siz ağ yapınızı ne kadar üstün donanımlarla donatırsanız donatın, kablolama ve ağ politikalarınızı ne kadar üstün tasarlarsanız tasarlayın; sokak ortasında yapılacak basit bir kazı ile tüm bu birikim bir anda çöpe gidebilir. Peki bu tarz fiziksel atakları önlemek için neler yapılabilir? Elimden geldiğince saymaya çalışayım:

  • Fiber optik yerine, temiz(Çevre dostu) Kent Güvenlik Sistemleri kurulabilir. Özellikle WiMAX gibi hızlı kablosuz iletişim teknolojisi bu konuda tartışılmaz bir avantaja sahip.

  • Fiber Optik gibi kablolama teknolojisi hızlı olduğu kadar bir o kadar da kırılgan. Küçük bir el hareketiyle bu kabloları kolay bir şekilde bozabilirsiniz. Bunun için “housing” denilen sert kaplama güvenlik unsurları kullanılabilir.

  • Bu konuda özellikle Telekomünikasyon Kurumları, firmalara ve kendi bünyelerine çeşitli yaptırımlar getirmek zorunda. Aksi halide Telekom üzerinde gerçekleştirilecek böyle bir saldırının boyutunu düşünemiyorum bile..

  • Firmaların dijital&siber güvenlikten çok, bu tarzda fiziksel güvenliklere de önem vermesi gerekiyor. Önceden tedbir almayan firmalar, AT&T gibi durumlara düşebilir ve kanuni olarak müşterilerine ciddi tazminatlar ödeyebilir diye düşünüyorum.

Benzer bir konu sanırım geçen seneki Telekom grevinde yaşanmış ve grev yapan görevliler Türkiye’nin yurtdışına çıkan fiber optik kablolarını kesmişlerdi. Amaç farklı olsa da, güvenlik açığı aynı açık olduğu için önem kazanıyor. Sonra bunu yapanlar eminim çok pişman olmuştur: Kısa bir süre açılan davada ” HABER-İŞ Başkanı ve 10 üyesine toplam 387 yıl hapis istemi gerçeklemişti” . 🙁

Olaylara tek bir çıkış noktasından yaklaşmamak gerek. “Burası Türkiye, burda herşey olur” diyen zihniyeti Amerika’da gerçekleşen bu olay sonrası tekrar düşünmeye davet ediyorum. 😉 Konu hakkındaki yorumlarınızı bekliyorum.

Tags: , , , , ,
  • Site istatistik

    Bugünkü ziyaret: 4
  • Add to Technorati Favorites

    Mail adresinizi girin:



  • Google Connnect
  • RSS DarkHardWare News