Tüm Şifrelerimizi Emanet Ettiğimiz “LastPass” Gibi Şifre Kasaları Nasıl Güvenlik Sağlıyor?
Bilgisayarların her eve girmeye başladığı dönemlerde kullandığımız 123456789’lu ve QWERTY’li şifrelerimizi bırakıp, onlara nazaran oldukça karışık olan yeni şifrelerimize geçmemizin temelinde siber güvenlik endişeleri bulunuyordu. Her geçen gün daha çok web sitesi ve uygulama çıktığı için de hatırlamamız gereken şifre sayısı kabardıkça kabarıyor.
Bu yüzden de çoğumuz ya her yerde aynı/benzer şifreyi kullanıyoruz ya da birbirinden farklı bir sürü şifreyi kafamızda tutmak zorunda oluyoruz. Fakat bazı uygulamalar periyodik olarak şifre değiştirmemizi istediğinde her şey altüst olabiliyor. Hem bu yüzden hem de şifre sayısı giderek arttığından, çoğu kişi şifre yöneticisi kullanıp kullanmama konusunda kararsız kalıyor.
En temel soru: Nedir bu şifre yöneticisi?
Şifre yöneticileri; şifrelerinizin yanında adres, telefon numarası ve banka kartı gibi bilgileri de saklamanıza imkân tanıyan dijital kasalardır. Şifrelerinizi barındıran bu kasa, siz bir yere giriş yapmak istediğinizde şifrenizi ve adres bilgilerinizi otomatik olarak doldurarak kolaylık sağlıyor.
Bir alışveriş yapmak istediğinizde de cüzdanınızdan kartınızı çıkarıp numaraları girme zahmetine gerek kalmadan kart bilgilerinizi aktarabilmeniz sağlanıyor. Tüm bunlar kulağa hoş gelse de verilerimizi girdiğimiz bu uygulamalardan birine siber saldırganların eriştiğini düşünsenize. Sadece tek uygulamaya erişen bu kişiler, tüm şifrelerimizi kolayca ele geçiremez mi?
Bunun neden ekstrem derecede zor olduğunu, kafaları karıştırmadan anlatalım.
Çok yaygın olduğu için bu şifre yöneticilerinden LastPass’ı temel alalım. Siz şifrelerinizi burada saklamak istediğinizde öncelikle LastPass hesabı oluşturuyor ve bu hesap için bir ana şifre belirliyorsunuz. Elbette bu, örneğin Webtekno üyeliğinde kullandığınız şifreden farklı oluyor.
Hesabınızı oluşturduğunuz zaman da eklenti veya uygulama olarak şifre yöneticisi, girdiğiniz sitelerdeki kullanıcı bilgilerinizi kaydetme izni istiyor. Bu sayede bilgileriniz size özel kasanıza yerleştiriliyor. Daha sonra ise Google’ın otomatik form doldurma özelliğini LastPass devralabiliyor.
Şifrelerinizi içeren LastPass kasanız, LastPass’ın kendisi bulut temelli bir hizmet olduğundan LastPass sunucularında saklanıyor. Peki buradaki güvenlik nasıl sağlanıyor?
Siz şifre kasanıza erişmek istediğinizde öncelikle bu kasayı açmak için bir anahtar oluşturuyorsunuz. Bunun için önce ana şifrenizi giriyorsunuz. Doğrulama adımının ardından ana şifrenizle mail adresiniz, son güncellemelerle birlikte 600.000 kombinasyondan geçerek bir kasa anahtarı oluşturuyor.
Bunun ardından sunucudaki kasamıza erişmek kalıyor. Bunun için de mail adresimizin ve şifremizin 600.000 kez kombinasyonlanması sonucu oluşan şifre, tekrardan ana şifremizle 600.000 kombinasyona girerek sunucudaki kasaya iletiliyor ve bu sayede sunucu, ana şifremizi görmeden kasaya erişmeye çalışanın biz olduğunu anlıyor.
Bunun sonucunda bir adet doğrulama, bir adet de kasa anahtarı elde etmiş oluyoruz. Doğrulama anahtarı sunucudaki kasaya erişmemizi sağlarken kasa anahtarı da onu açabilmemizi mümkün kılıyor. İki anahtarın da güvenliği için ana şifrenizin sağlam olması gerekiyor.
Yani sizin oluşturduğunuz bir anahtar, kasaya giden bir anahtarı açarken ona ek olarak oluşturduğunuz diğer anahtar da o kasayı açmanıza yarıyor.
Ve siz en başta bu anahtarı oluşturmak için gereken şifreyi LastPass gibi şifre yöneticilerine iletmiyorsunuz. Bu yüzden kasanızın kopyası, birazdan değineceğimiz üzere ele geçirilmiş olsa bile açılması neredeyse imkânsız oluyor. “Neredeyse” kısmı bu noktada önemli.
“Peki şu anda bunlara güvenebilir miyiz?” sorusu kişisel bir karara varacak olsa da biz, LastPass’in yakın zamanda yaşadığı talihsiz olaylara değinelim.
LastPass, geçtiğimiz yılın farklı zamanlarında siber saldırılara maruz kaldı. Bunun sonucunda da şifrelerin kayıtlı olduğu internet sitelerinin isimleri, fatura adresleri, telefon numaraları ve IP adresleri gibi bilgiler saldırganların eline geçti. Bunlara ek olarak kullanıcıların kasa yedekleri de ele geçirildi. Bunların içinde de hem şifrelenmemiş hâldeki internet sitesi adresleri hem de kullanıcı adı ve şifreler gibi şifrelenmiş bilgiler yer alıyordu.
Fakat biz, LastPass’ın ana şifremizi bilmediğini ve kasaların sadece bu şekilde açılabileceğini söylemiştik. Şirket de açıklamasında buna yer verdi. Yine de saldırganların bu kasaları brute force ve oltalama yöntemleriyle açmayı deneyebileceğini belirten şirket, özellikle de ana şifresi zayıf olan kişilerin kaydettiği parolaları değiştirmelerini önerdi.
Geçtiğimiz Ocak ayında ise LastPass’ın üst şirketi GoTo, söz konusu saldırılardan şirket çatısı altındaki diğer hizmetlerin de etkilendiğini açıkladı. Fakat bu sefer tamamen olmasa da bazı kullanıcı isimlerinin, şifrelenmiş hâldeki şifrelerin ve 2 adımlı doğrulama ayarlarının da sızdığına yönelik açıklama geldi. Bu, başlı başına hesaplar tamamen sızdı demek olmasa da telefon numaralarının, adreslerin ve e-postaların saldırganların elinde olduğu anlamına geliyor.
Bu da bilgileri ele geçirilen kişilere daha kolay ulaşacaklar demek.
Etkisi hâlâ süren bu konu ile ilgili olarak en son, farklı kişilerin kripto cüzdanlarının boşaltıldığını öğrenmiştik.
25 Ekim’e dayalı verilere göre LastPass verileri sızıntısından etkilenen 25 kişinin kripto para cüzdanına sızıldı ve toplamda 4,4 milyon dolar değerinde soygun yapıldı. Metamask ve ZachXBT tarafından söylenene göre de toplamda 80 kripto para cüzdanı saldırıdan etkilenmiş. Bunun sonucunda da aşağı yukarı 35 milyon dolar para çalınmış.
İyi de bizim için bu kadar güvenlik sağlayan şirketin kendisi nasıl böyle bir saldırıya maruz kaldı?
12 Ağustos tarihindeki ilk saldırıda, yazılım mühendisi olan bir çalışanın cihazında tutarsız hareketler gözlemlendi. Geliştirici kaynaklarına erişen bilgisayarın ele geçirildiği anlaşılınca kaynaklara olan erişimi kesildi. VPN ile kendi yerini gizleyerek geliştirme ortamına erişen saldırgan, bunu yapmak için o çalışanın domain bilgilerini ve iki adımlı doğrulamasını ele geçirmişti. Bu saldırıda sadece kaynak kodları ele geçirildi.
Bulut ortamından veri yedeklerinin çekildiği İkinci saldırı ise ilkinin devamı olarak gelmişti. Edindiği bilgilere erişebilmek isteyen saldırgan, bunun için gerekli olan anahtara sahip 4 geliştiriciden birinin evindeki kişisel bilgisayarına keylogger kurdu. Bu sayede geliştirici, şifreyi girdiği sırada saldırgan da şifreyi öğrendi. Bu sayede hâlâ etkisini gördüğümüz sızıntı durumu patlak verdi.
Şimdi biz bunlara güvenelim mi, güvenmeyelim mi?
Bu -bulut tabanlı- uygulamaların nasıl çalıştığını LastPass örneği üzerinden size anlattık. Böyle bir olay yaşanmasaydı bile en kıymetli şifrelerinizi farklı yerlere emanet etmemenizi önerirdik, hâlâ da bunun daha mantıklı olduğunu söyleyebiliriz. Söz konusu açıklar ortaya çıkar çıkmaz geliştiriciler o boşluğu kapatıyor. Fakat bu, şifre yöneticilerinin temelde hâlâ daha güvenli olduğu gerçeğini değiştirmiyor.
Sonuç olarak sizin hesabınıza erişilmiş olsa dahi şifreleri görebilmek için yine sizin belirlediğiniz şifrenin kombinasyonlanmış hâlinin bilinmesi gerek. Bu yüzden de bizim üstümüze düşen, bu konuya yönelik bilgileri verdikten sonra son kararı size bırakmak oluyor.