Bir yazılım uygulamasının güvenlik analizini yapmak için otomatik tarama, manuel ve otomatik güvenlik testleri, statik analiz ve manuel kod inceleme gibi teknikler vardır. Tabii ki, bu tekniklerin kör noktaları, güçlü ve zayıf yönleri vardır. Her yazılım uygulaması farklıdır. Bu nedenle uygulamada güvenliği sağlamak için en uygun maliyet tekniklerini kullanarak “birleşik”yaklaşımı uygulamak doğru bir tercih olacaktır.

Bu çalışmada da güvenli yazılım geliştirme sürecinde yer alması gereken kaynak kod analizinden bahsedilecektir.

Kaynak Kod Analizi

Bir yazılımı çalıştırmadan yazılımın kaynak kodunda yer alan olası hataları bulmak ve yazılımın kodlama kurallarına uygunluğunutest etmek için kullanılan yöntemler statik kod analizi olarak adlandırılır. Kaynak kod analiziyle yazılım geliştirme sürecinde kodun yazılım açısından uygunluğuna ve mantıksal açıdan doğruluğuna bakılmaktadır. Ayrıca kaynak kod analiziyle yazılım bileşenleri güvenli yazılım geliştirme kuralları açısından da incelenmekte ve yazılım için zafiyet oluşturacak içerikler temizlenmektedir. Statik kod analiz biçimi, yapısı, içeriği veya belgelerine dayalı bir sistem veya bileşen değerlendirilmesi sürecidir.

Güvenli bir kod incelemesi yedi güvenlik mekanizmasına veya alana odaklanmaktadır. Güvenli bir kod incelemesi bu alanların her birinde kaynak kodunun sağlamlığı konusunda yazılım geliştiricileri bilgilendirmelidir:

• Doğrulama

• Yetkilendirme

• Oturum yönetimi

• Veri doğrulama

• Hata işleme

• Loglama

• Şifreleme

Kaynak kod analizi iki yöntemle uygulanmaktadır.

1. Göz ile tarayarak
2. Otomatik araçlar

Göz ile Tarayarak Statik Kod Analizi

Kaynak kodun doğrudan göz ile taranması yolu ile analiz edilmesidir. Bu analiz türünde analizi yapan kişinin yazılım konusunda tecrübeli olması ve analiz ettiği yazılım dilini iyi bilmesi gerekmektedir. Kod analizi zafiyete neden olabilecek kod açısından bakılır. Ayrıca kaynak kodun içinde saldırganın işine yarayacak bilgilerin bulunup bulunmadığı konusunda analiz yapılır. Örneğin veri tabanına bağlanma parolasına kod içerisinden ulaşılamaması gerekmektedir. Statik kaynak kod analiziyle verinin izlediği yol boyunca ne tür kontrollerden geçirildiği, güvenlik açısından sakıncalı bulunan işlevlerin kullanılıp kullanılmadığı gibi birçok açıdan incelenmektedir.

Otomatik Araçlarla Statik Kod Analizi

Otomatik araçlarla yapılan statik kod analizi ise bir araç yardımı ile aracın doğrudan kod üzerinde çalışarak güvenlik açısından riskli gördüğü kodları göstermesidir. Bu araçların bir kısmı açık kaynak kodlu ücretsiz bir kısmı ise firmalar tarafından geliştirilen ücretli ürünlerdir.

Modern statik analiz araçları; daha çabuk, güvenilir ve düşük bir maliyetle uygulamanın zafiyetlerini ortaya çıkarmasından dolayı göz ile tarayarak yapılan statik analizlerine göre daha çok tercih edilmektedir. Kod içerisindeki zafiyetlerin tespiti erken olacağı için düzeltmesi de erken olacaktır. Kritik zafiyetler için yamalar oluşturmak hem hızlı hem de ucuza mal olacaktır. Şekil- 1görüldüğü gibi zaman ve kaynak açısından büyük miktarda tasarruf sağlayacaktır.

Şekil- 1: Tespit edilme sürecine göre hata giderme maliyeti

Statik Kaynak Kodu Analiz Teknikleri

Statik kaynak kodu analiz için çeşitli teknikler vardır. Bu teknikler, çoğu zaman derleyici teknolojilerinden türetilmiştir.

Veri Akış Analizi (Data Flow Analysis)

Programların veri-akış analizi gerçekleştirmek için basit bir kontrol akış diyagramıdır. Her düğüm için veri-akış denklemleri kurmak ve tüm sistemi dengelemek için tekrar tekrar her düğüm için girdi çıktı hesaplayarak sistemi dolaşmasıdır. Veri akışı analizi bir işlemin her noktasında özel bilgi elde etmek için çalışır. Genellikle, temel blok noktalarında bilgileri hesaplamak daha kolay olduğu için, temel blok sınırları bu bilgiyi elde etmek için yeterlidir.

Temel Blok (Basic block): Ardışık talimatlar dizisi kontrolüdür. Bir blok başında girer, kontrolü bir blok sonunda bırakır. Bloku durdurmak olmaz.

PHP temel blok örneği:

1. $a = 0;

2. $b = 1;

3.

4. if ($a == $b)

5. { # blok başlangıcı

6.   echo “a ve b aynı”;

7. } # blok bitişi

8. else

9. { # blok başlangıcı

10. echo “a ve b farklı”;

11.} # blok bitişi

Kusur Analizi (Taint Analysis)

Kusur analizi de Kullanıcı Girişi Bağımlılık Denetleme olarak bilinir. Perl ve Ruby gibi bazı programlama dillerinin kendi yerleşik kusur denetimi vardır. Kusur analizinin ardındaki ana fikir, kullanıcı tarafından (doğrudan veya dolaylı) değiştirilebilir herhangi bir değişkenin bir güvenlik açığı oluşturup oluşturmayacağına bakmaktadır. Kullanıcı kontrol girişi ile ‘kusurlu’ olan hassas fonksiyonlar izler. Kusurlu değişken ilk dezenfekte geçemezse bir güvenlik açığı olarak işaretlenir. Çünkü farklı işlemler yoluyla kusurlu bir değişken bir güvenlik ihlali oluşturabilir. Tehlikeli komutları çalıştırmak için kullanılabilir. Kusur analizi dinamik ve statik kusur analizi olmak üzere ikiye ayrılır.

Sözcük Analizi (Lexical Analysis)

Sözcük Analizi kaynak kodu soyut kaynak kodunu daha kolay işlemek için simge halinden bilgiye dönüştürür. Kodu alt parçalara ayırma işlemidir. Örneğin Php web programlama dilinde sözcük (lexical) analizi yapılırken iki fonksiyon kullanılır:

• token_get_all

• token_name

token_get_all foksiyonu kodu alt parçalara ayırmamızı sağlar.

array token_get_all(string $source) şeklinde kullanılır.

Kodu çalıştırdığımız da şöyle bir çıktı alınır.

Array ( [0] => Array ( [0] => 368 [1] => 1 )   [1] => Array ( [0] => 316 [1] => echo [2] => 1 )   [2] => ; [3] => Array ( [0] => 371 [1] => [2] => 1 )   [4] => Array ( [0] => 370 [1] => ?> [2] => 1 )   )

Fonksiyon bir dizi olarak geri dönüyor.

Dizinin parçalarını incelemek için token_name fonksiyonunu kullanılır.

string token_name(int $token) şeklinde kullanılır.

token_name fonksiyonu aşağıdaki gibi sonuç döndürür:

T_OPEN_TAG ==> <?php, <? or <%

T_ECHO ==> echo

T_WHITESPACE ==> \t \r\n

T_CLOSE_TAG ==> ?> or %>

Kaynak Kod Analizinin Yazılım Güvenliğine Etkisi

Kaynak kod analizi süreci uzun ve zorlu bir süreçtir. Özellikle göz ile taranarak yapılan kaynak kod analizi proje büyük ve iş akış süreci karmaşık ise süreci daha da zorlaştırmaktadır. Fakat klasik güvenlik kontrolleri ile ortaya çıkarılması zor olan güvenlik zafiyetleri kaynak kodların detaylı bir şekilde incelenmesi ile bulunabilmektedir.

Kaynak kod analizi yazılımın herhangi bir aşamasında yapılabilir. Fakat yaygınlaştırma (deployment) aşmasından önce yapılması güvenlik açıklarını ve kalite kusurlarını tespit etmek ve düzeltmek için yararlı olacaktır. Bu işlem maliyet ve zaman açısından da tasarruf sağlayacaktır. Ayrıca Waterfall Sistem Geliştirme Yaşam Döngüsüne göre yazılım geliştirmenin son aşamasında güvenlik kod analizinin yapılması gerektiği belirtilmektedir. Çevik Güvenlik Metodolojisine göre ise yayınlanma (deployment) yani uygulama kullanılmaya başlanacağı zaman güvenlik kod analizinin yapılması gerekmektedir.

Statik kod analizi sürecinde yazılımcının geliştirdiği kaynak kodundaki zafiyetleri görmesi ve bu zafiyetleri düzeltmesi ile birlikte yazılımcı tecrübe kazanmış olmaktadır. Bu şekilde yazılımcı eksiklerini görmüş ve bunları giderme konusunda eğitilmiş olacaktır. Kaynak kod analizinde ister göz ile taranarak yapılsın ister otomatik araçlarla yapılsın risk sıfır düzeyine indirilememektedir. Mantıksal zafiyetler ve uygulamanın yaygınlaştırıldığı ortamlardaki zafiyetlerin tespiti için karakutu ve sızma testleri toplam güvenliğin sağlanması açısından gözardı edilmemelidir.

Test sırasında uzmanlar tıpkı bir saldırgan gibi hareket eder ve sistemin tüm açıklarını, riskleri ve erişilebilirliği ortaya çıkarırlar. Çok farklı yöntemler ve değişkenler söz konusu olduğundan uzmanlar tarafından gerçekleştirilmesi gerekmektedir.

Penetrasyon Testlerinin Çeşitleri

White Box, Black Box ve Gray Box olmak üzere üç çeşittir.

İngilizce “Distributed Denial of Service Attack” baş harflerinden oluşan DDOS ; Sistemlerinize, farklı farklı kaynaklardan birçok sayıda ve aynı anlarda gelen isteklerdir. Sistemin kaldırabileceği yükün çok üzerinde gelen anlık istekler  ile sistem yorulur ve cevap veremez hale getirilir. Bunun yanı sıra, doğrudan sistemin kendisini yormak yerine, firmaya gelen internet hattı doldurarak da sistemin erişilebilirliği hedef alınabilir.

DoS saldırıları, her zaman, kapasite fazlası isteğin gelmesi ile gerçekleştirilmeyebilir. Sistemlerde bulunan zayıflıklar, konfigürasyon hataları ya da eksiklikleri de bu tür saldırılar için risk oluşturabilmektedir. Linux, Windows vb. İşletim sistemlerinde, IIS, Apache vb Web sunucularında, arkadaki Application yani  uygulama sunucularında  ya da sistemin diğer kısımlarında bulunan zayıflıklardan ya da eksikliklerden yararlanarak, sistemin işleyemeyeceği şekilde bir istek gönderildiğinde, sistemin herhangi bir bileşeninde bu isteğin işlenememesi durumunda da sistem erişilemez hale gelebilmektedir.

Kısacası sistemlerin erişilebilirliğini engellemeye yönelik bir saldırı türüdür.

DDOS Testi Hizmetimiz

Firmanızın Bilgi Sistemleri ve Teknolojilerini oluşturan tüm network cihazları, serverlar, uygulama ve web yazılımları ve veri tabanları, Botnet’ler yani köleleştirilmiş server ya da bilgisayarlar aracılığı ile, tamamen kontrollü ve süreli bir şekilde saldırıya tabi tutulur. Açıklar ve zafiyetler belirlenir. Tüm bu işlemler detaylı bir şeklide raporlanır. Amacımız sizlerin farkında olmadığınız güvenlik açıklarınızın ve zafiyetlerinizin, olası saldırı metodları kullanarak tespit edilmesi, tamamen gizli ve size özel olarak raporlanması ve iyileştirilmesidir. Bir çeşit saldırı simülasyonudur.

Yapılan testlerde HTTP Flood, SYN Flood, DNS Flood, UDP Flood, vs. çok sayıda teknik kullanılır. Network ve sistemlerin ne kadar süre servis verebileceği (ayakta kalacağı) test edilir. Ayrıca tüm  cihazların konfigürasyon eksiklikleri ve hataları tespit edilir.

Testlerin tamamı bulut altyapısına bağlı sunucu ve bilgisayarlar ile gerçekleştirilir. Gerçek yaşama uygun dağıtık saldırı simülasyonları uygulanır

DDoS Saldırılarında Amaç Nedir ?

Neden Yapılır ?

• DDOS Saldırılarının amacı sistemlere sızma değildir! Sistemleri ve bunlara ulaşım yollarını etkisizleştirmektir.

• Web sitelerinin , E-posta servislerinin, bankacılık sistemlerinin, telefon sistemlerinin vb. çalışmamasını sağlamaktır.

• Kafayı takan bir kişi ya da grup sistemlerde güvenlik açığı bulmazsa zarar verme amaçlı yapılabilir.

• Firmanızı sevmeyen birileri yapabilir.

• Siyasi ve Politik sebeplerle yapılabilir.

• Ticari sebeplerle yapılabilir.

• Can sıkıntısı, karizma amaçlı ya da bahis amaçlı yapılabilir.

DOS/DDoS Hakkında Yanlış Bilinenler

• Bizim Firewall tek başına DDoS’u engeller

• Bizim IPS tek başına DDoS’u engeller

• Linux DDoS’a karşı daha dayanıklıdır

• Biz de DDoS engelleme ürünü var, korunuyoruz! Acaba yapılandırılmış mı? Test edilmiş mi?

• Donanım tabanlı firewallar DDoS’u engeller.

• Bizde antivirüs programı var

• DOS/DDOS zaten engellenemez

DDOS Testi Yaptırmanın Kurumunuza Faydaları Nelerdir ?

Konusunda ehil uzmanlar tarafından yapılan Penetrasyon ve DDOS testleri, firmalar için çok ama çok yararlıdır. Öncelikle firmalar açıklarının farkına varır ve her türlü tehlikeye karşı etkili önlemler almaya başlar.

Kısaca faydalarından bahsedersek ;

• Sistem üzerinde çalışan tüm DNS , HTLML, HTTP, HTTPS, vb. servislerin istismar edilebilecek protokol ve parametreler kullanarak DoS saldırı türleriyle sınanır ve açıklıklarınızı görür, ÖNLEM ALIRSINIZ !

• Donanımlarınızdaki, Serverlarınızdaki ya da sistemlerinizdeki DoS saldırılarına imkan veren konfigürasyon eksikliklerini ya da hatalarını görür, ÖNLEM ALIRSINIZ !

• Web tabanlı yazılımlarınızın, Uygulamalarınızın ve veri tabanlarınızın hatalarını ya da eksikliklerini tespit eder, ÖNLEM ALIRSINIZ !

• IT altyapınızla ilgili (Tüm donanım ve yazılımlar) açıklıkları bilir, gerekli önlemleri vakit kaybetmeden ve tehditle karşılaşmadan alabilirsiniz.

• Bilişim sistemlerinize yönelik saldırılara karşın daha hazır ve güvenli olursunuz.

• Risklerini daha iyi yönetebilirsiniz. Sistemlerinizin durdurulma veya kaynak yetersizliklerinden yavaşlayabilme gibi riskleri öngörebilir ve gerekli önlemleri önceden alabilirsiniz.

• İş sürekliliğinizi güvence altına alırsınız.

• Olası saldırılara karşı daha dirençli bir Bilgi Teknolojileri altyapısını temin edebilirsiniz.

• Kurumunuzun prestijinin ve marka değerinin korunmasını sağlarsınız.

Şifreler basit ve karmaşık olarak ikiye ayrılır. Bunlar da kendi içinde durağan ve değişken olarak yine ikiye ayrılır: Yani bir şifre bir sene boyunca aynı kalırken, diğer şifre yönetici tarafından düzenli olarak, arasında hiçbir algoritma olmadan değiştirilir. Bu durumda, tahmin edilemez benzerlik ve anlam taşımaz şifreler söz konusudur.

Bazı sayılardan oluşan …bitlik şifreler şeklinde geçen sistem; şöyledir: Örneğin 64 bit’lik bir şifre 8 karakterden oluşur. Bu karakterler rakam harf ya da karakter simge olabilir. Her biri bağımsız karışık ya da sadece sayılardan oluşabilir. Bu şifrelerin bir algoritması olabilir ya da olmayabilir. Bu tür bir şifrenin, üniversiteler ve birkaç bin taneden oluştuğu söylenen bilgisayarlarca yapıldığı söylenen deneme çalışmalarında 10 yılda kırıldığı bilinir. Bir yazışma bu tip bir algoritma ile şifrelenebilir. 128 bit şifre sistemi aslında yazılan bir belgenin rakam harf ya da karakterlerle şifrelenmiş halidir. Örneğin: @=b # = e s =r & =t : = a {%& =n bunun anlamı oluşturulan bir şifreleme programı ile okunduğunda ortaya çıkan yazının anlamı ( örneğin: Bertan ) olabilir. Bir sisteme giriş şifresi de 128 bit olabilir ancak inanışa göre kırılamaz değildir.

Şifreler genelikle şu şekillerdedir:

1. Basit durağan 4-8 karakterli şifreler
2. Karmaşık durağan 4-8 karakterli Şifreler
3. Sistem yöneticisi tarafından kullanıcılara verilen yüksen güvenlikli karmaşık değişken şifreler

Yukarıda anlatılanlar, 3. maddede geçen grubu içermektedir.

Diğer iki maddede geçen şifrelere ulaşmanın en kolay yolunun Sosyal mühendislik yöntemi olduğu söylenmektedir.

Sosyal Mühendislik, şifre kırma kapsamında; yaşarken, konuşurken, hareket ederken, insan davranışlarını takip etmek, kişi hakkında yeteri kadar bilgi toplamak, karakter tahmini çıkartmak, davranış yapılmadan ya da yapıldıktan sonra ne yapılacağını ya da ne yapıldığını tahmin etme yeteneği şeklinde tanımlanabilir. Örnek olarak, şifresi kırılması hedeflenen kişinin doğum tarihini, evlilik yıldönümünü, köpeğinin ismini, aracının plaka numarasını ya da bir kapıdan geçerken veya klavyede yazı yazarken; klavyenin hangi bölümünde neleri kullandığı gibi ayrıntıları izleyip denemek sosyal mühendisliğe girer.

Bir başka yöntem; 8 bitlik bir “wordlist” oluşturmak ve bunu da rakam harf ve karakterlerden oluşan karmaşık bir sıralamaya göre yapmaktır.Bunun oluşumu çok uzun sürer ve tahminen 150-200 gigabayt yer tutar.

Şifre kırma konusunda geliştirilmiş birçok yazılım bulunmakta olup (örneğin keygen denen türler), paylaşım sitelerinde dağıtılmaktadır.

Şifreler genelde asal sayı yöntemi ile kırılır.

Çalınan Facebook Hesabını Nasıl Geri Alacağız?

Bugün oldukça tatsız bir sürprizle karşılaştım diyebilirim. Babama ait Facebook hesabı egolarını tatmin etmek ya da kendini kanıtlamak isteyen biri tarafından çalınmıştı. Babamın arkadaş çevresi çok geniş olduğundan Facebook hesabı da oldukça popüler. Doğal olarak çalınan Facebook hesapları kategorisinde görmek aslında şaşırtıcı olmadı benim için. Yalnızca zaman meselesiydi ve gerçekleşti.

Facebook her ne kadar dünyanın en büyük internet sitelerinden birisi bile olsa, veri güvenliği açısından amatör sitelerle bile karşılaştırılamayacak kadar savunmasız. Şifreleme sistemi o kadar kolay aşılabiliyor ki, 12-13 yaşında bir çocuk bile internet üzerinde bulabildiği programlar ile başkasının Facebook hesabını ele geçirebiliyor. Ya da güvenlik sorunuzun yanıtı herkesin tahmin edebileceği kadar basit olabiliyor. Neyse kısa bir uğraştan sonra hesabı geri almayı başardık. Peki Facebook hesabınız çalınırsa nasıl geri alabileceğinizi biliyor musunuz?

Eğer şu anda bile Facebook tarafından onaylanmış bir telefon numaranız yoksa, bir an önce Facebook hesabınızın çalınması durumumda yeni şifrenizin gönderileceği bir telefon numarasını onaylatın. Çünkü Facebook hesabınızı çalan birisi e-posta hesabınızı da çalıp hesap sahibi olarak yeni bir e-posta adresini verebilir. Ama Facebook tarafından hesap çalınması durumunda onaylı telefonunuza gönderilecek bir doğrulama kodunu görebilmesi, ancak telefonunuzu çalması ile mümkün. O yüzden şimdiden bir telefon numarasını onaylatmanızda büyük yarar bulunmakta.

Çalınan Facebook Hesabını Nasıl Geri Alacağız?

www.facebook.com/hacked adresinden hesabınıza giriş yapın. Burada karşınıza“Başkasının Eline Geçmiş Hesabı Şikayet Et” penceresi çıkacak. Onaylayıp diğer pencereye geçiniz. Burada sizden gerekli bilgileri isteyen bir pencere çıkacak.

Kişisel güvenliğinizi korumanız için parola konusunda uzman olmanı z gerekiyor. Bu parolalar kaybolduğunda ya da kırıldığında başınıza türlü dertler açılabiliyor. Hem maddi hem de manevi zararları telafi edilemeyecek kadar önemli olan bu konuda bilmeniz gerekenler ise aslında o kadar da zor değil. Bu yazıyı okuduktan sonra, kırılması çok zor parolalar oluşturmayı, unuttuğunuz parolaları kırmanı n yöntemlerini ve sayısı her geçen gün artan parolalarınızı nasıl yöneteceğinizi öğrenmiş olacaksınız.

Parolalarınızı kırılmaktan korumanı n ilk adımı onları oluştururken atılı- yor. Güvenlik konusunda canınızın yanmasını istemiyorsanız, kendinizi her zaman için, parolanızda gözü olan bir korsanın yerine koymalısınız. Bu pencereden bakarak, almanız gereken önlemleri daha kolay oluşturabilirsiniz.

Kırılması çok zor bir parola nasıl oluşturulur?

Parolaların kırılması için kullanılan en eski ve halen de en etkili yöntem, deneme yanılma yöntemidir. Eğer sizin de kredi kartınızın parolası doğum tarihiniz ise, şimdi söyleyeceklerimize biraz daha dikkat edin. Daha iyi anlaşılması için hedefteki parolamızın MSN Messenger parolası olduğunu varsayalım. Sizinle MSN’de sohbet eden kötü niyetli bir arkadaşınızın bu hesapta gözü varsa yapacağı ilk iş, MSN Messenger’ın kullanıcı girişi sayfasına giderek parolanızı tahmin edip denemek olacaktır. Parolanız, sevgilinizin adı, köpeğinizin adı veya en sevdiğiniz film kahramanının adı ise o zaman durum biraz kötü sonuçlanabilir. Kısa sürede kırılan bu paroladan dolayı bir anda MSN Messenger penceresinde Bu hesap, başka bir bilgisayarda açıldı yazısını görebilirsiniz. O nedenle hazırlayacağınız parola yakınlarınız tarafından bile kolayca bulunamayacak cinsten olmalı. Eğer parola üretme konusunda iyi değilseniz o zaman size bir önerimiz var. Quicky Software tarafından bilgisayar kullanıcılarına ücretsiz olarak sunulan Quicky Password Generator adlı yazılım ile oluşturacağınız parolaların kırılması gerçekten de çok zor.

Kırılamayacak parolayı oluşturuyoruz

Yazılımın kurulumu ve kullanımı ise çok basit. Gpg200.exe adlı kurulum dosyasını çalıştırdıktan sonra sihirbazı takip ederek kısa zamanda Quicky Password Generator’ı bilgisayarınıza kurmuş olacaksınız. Kurulumun bitmesiyle beraber, yazılımı çalıştırdığınızda gerçekleştirmeniz gereken ilk adım kendinize bir parola grubu oluşturmak. Bunun için sağ tarafta bulunan Add Password Group butonuna basın ve gelen pencerede bu gruba yeni bir isim vererek OK butonuna basın.

Şimdi sıra geldi bu parola grubundan parola üretmeye. Grubu seçtikten sonra, sağ tarafta bulunan Modify Password Group’a tıkladığınızda açılan pencere sizi ürkütmesin. Burada da yapmanı z gerekenler bir hayli kolay. Kırılması en zor olan şifreleri oluşturmak için, Character Selections bölümünde önerdiğimiz ayarlar şu şekilde: Mixed case seçeneği ile oluşturacağınız parolada hem büyük harf hem de küçük harf kullanılmış olsun. Include numbers onay kutucuğunu işaretlerseniz parolanıza rakamların da eklendiğini göreceksiniz. Include special characters seçeneği de onaylanırsa, o zaman sizin bile yazmakta güçlük çekeceğiniz bir parola oluşturmak için gerekli bütün ayarları da yapmış olacaksınız. Bu pencerenin sağ tarafında bulunan Length of each password seçeneğindeki 10 rakamı ise, oluşturacağınız parolanın kaç karakterli olduğunu gösteriyor. Bu bölümü değiştirmek size kalmış.

Geriye tek tıklamayla parolalarınızı oluşturmak kalıyor. Bunun için pencerenin sağında yer alan Generate Passwords butonuna basın. Kısa sürede, kırılması zor parolalar karşınızda olacaktı r. Oluşturulan bu parolaları bir dosyaya kaydetmek için Export Passwords butonunu kullanabilir ya da çıktı alabilirsiniz.

Parolanızı mı unuttunuz? Dert etmeyin, kırın!

Kendi dosyalarınızı hack’leyeceğiniz aklınıza hiç gelir miydi? Bunu en kısa zamanda öğrenmeniz gerekiyor. Her an için buna ihtiyacınız olabilir. Çok önemli bir oŞs belgesini şifrelediniz ve o belgeyi açmak istediğinizde nedense girdiğiniz parola hiçbir işe yaramıyor. Yapacak başka bir şey yoksa o zaman şimdi anlatacağımız yazılımlarla kendi dosyalarınızı nasıl hack edeceğinizi anlatacağız.

Bu konuda bize yardımcı olacak yazılımın adı Free Word / Excel Password Recovery. Program hem ücretsiz hem de yalnızca 237 KB dosya boyutuna sahip. Ancak bu yazılımı çalıştırmak için Microsoft .Net Framework’ün yüklü olması gerekiyor. .Net Framework yüklü değilse, Microsoft.com’dan ücretsiz olarak indirebilirsiniz. Eğer her şey tamam ise o zaman programı kuralım ve kullanmaya başlayalım. Kurulumunda anlatmamız gereken ekstra bir konu yok. Adımları kolayca geçtikten sonra programı çalıştırdığınızda karşınıza gelen ekran birden fazla parola kırma metodunuz var. Bunlardan ilki Dictionary Recovery. Bu bölümde elinizde bulunan bir veritabanını (parola olabilecek kelimelerin olduğu *.txt dosyası) kullanarak dosyaya saldırabiliyorsunuz. Bu adımda başarılı olmanı z için veritabanının içeriğinin gerçekten kaliteli olması gerekiyor. Hazır TXT dosyalarını web sayfalarında bulabilirsiniz. Saldırınızın etkin olması için bu kaynağın da geniş olması gerekiyor.

Ancak bu durum, saldırı süresinin sonuçlanmasını geciktiriyor. Bizim önerimiz, Brute force revocery seçeneğinden yana. Bu alanda kesin sonuca ulaşabiliyorsunuz.

Hatırlayabildiğiniz ipuçları en büyük yardımcınız olabilir

Unuttuğunuz parolanın özelliklerini hatırlıyorsanız o zaman bu süre daha da azalabiliyor. Bu özellikler arasında, büyük ya da küçük harf olması, uzunluğu, rakamlardan veya harflerden oluşuyor olması gibi değişik seçenekler bulunuyor. Deneme amaçlı olarak bir Microsoft Word 2003 dosyasının şifresini 1234 yaptık. Hem harf hem de rakam kullanılarak 6 harfli bir parola olabileceğini yazılıma belirttik ve işleme başladıktan 10 saniye sonra bize bu parolayı verdi. Sonuç gerçekten de başarılı. Siz de unuttuğunuz bir Word ya da Excel dosyasının parolasını kırmak istiyorsanız şu adımları uygulayın:

– Free Word / Excel Password Recovery’i çalıştırın.
– Selecet file sekmesinden kırılacak olan dosyayı seçin.
– Brute force recovery sekmesine geçin ve eğer hatırlıyorsanız unuttuğunuz şifrenin özelliklerini girin.
– Go butonuna basın ve unuttuğunuz şifrenin gelmesini bekleyin. Hepsi bu kadar.

Her ne kadar şifreyi hatırlatacak ipuçları bu yazılımın unutulan şifreyi belirlemesine yardımcı olsa da, bu ipuçlarını herhangi bir yere not etmekten kaçının.

Gizlenmiş şifreleri kolayca ortaya çıkarın

Parola konusunda okurlarımızdan gelen sorular içerisinde, daha önce bir yazılıma kaydedilen ama hatırlanmayan yazılımların nasıl ortaya çıkarılacağına dair mesajlar da alıyoruz. Bu konu, her zaman olmasa bile günün birinde sizin de başınıza gelebilir. Örneğin, bir FTP yazılımına kaydettiğiniz sitenizin FTP parolasını unuttuğunuzda, bu parolanı n ne olduğunu öğrenmek için FTP yazılımını kullanmanız sonuç vermeyebilir. Zira görecekleriniz sadece “****” simgelerinden ibarettir. Bu durum, tabii ki sizin çaresiz olduğunuz anlamına gelmiyor.

Özel bir yazılım ile bu problemin de üstesinden gelebilirsiniz. SnadBoy’s Revelation adlı yazılımı bilgisayarınıza kurup çalıştırın ve karışınıza gelen daire simgesine tıkladıktan sonra, fareyi görmek istediğiniz parolanın üzerine getirin. Bu becerikli yazılım size o parolanın ne olduğunu anında gösterecektir. SnadBoy’s Revelation’ın ücretsiz olduğunu da hatırlatalım.

Günlük bilgisayar kullanımında her geçen gün artan hesap sayıları, hafızanızı zorlamanıza neden olabilir. Kullanıcı adı ve parola sayısı belki de çoktan kafanızı karıştırmaya yetecek sayıya ulaşmıştır. Bazı bilgisayar kullanıcıları her hesap için hemen hemen aynı kullanıcı adı ve parolayı kullanarak bu problemin üstesinden gelmeye çalışsa da güvenlik açısından son derece riskli olduğunu söylememizde fayda var. Zira çalınan ya da hack edilen bir kullanıcı adı ve parolanızla diğer hesaplarınıza da ulaşılabilir.

Aslında bu sorunların çözümü oldukça basit. Öncelikle her hesap için ayrı bir kullanıcı adı ve parola kullanmak gerekiyor.

Şifreleri yönetmenin kolay yolu: Password Manager XP

Peki, bu kadar fazla sayıda bilgiyi hafızamızda tutmak zor olmayacak mı? Kesinlikle haklısınız. Ama bu konuda düşünmesi gereken biz değil, Password Manager XP adlı yazılım. Ücretsiz deneme sürümü olan yazılımın en büyük avantajı ise Türkçe arabirime de sahip olması. Sabit diskinizde fazla yer kaplamadan kolayca kurulabilen programı ilk çalıştırdığınızda, size bir parola soracak. Bu parola, yazılımı kullanabilmeniz için gerekli olan ana paroladır.

Deneme sürümü olması nedeniyle, ilk parola 12345678 olarak geliyor. Bu girişi yaptıktan sonra sizi karşılayan ekranı n tasarımını da beğeneceğinizden şüphemiz yok. Programın tek kusuru ise, Türkçeleştirmenin her yerde yapılmamış olması.

Bilgisayar kullanırken sık sık karşılaştığınız bu terimlerde de yabancılık çekeceğinizi sanmıyoruz. Gelelim bu programın hangi işleri başardığına. Password Manager XP’yi cüzdana benzetebilirsiniz. İçinde kredi kartınız, kişisel bilgileriniz gibi önemli ve başkası tarafından görülmesi kesinlikle sakıncalı olan verilerin saklandığı bir ortamı n sayısal ortamdaki halini düşünün. Password Manager XP de tam olarak bu işi yapıyor.

Bilgisayarınızda gerekli olan bütün hesap bilgilerini bu yazılım içerisinde kolayca ve düzenli olarak saklayabiliyorsunuz. Bu hesaplar arasında, sadece internet siteleri bulunmuyor. Oyunlardan tutun, kullandığınız yazılımları seri numaralarına kadar hemen hemen her türlü hesap bilgilerini bu yazılımda güvenle saklayabiliyorsunuz.

OFFICE’TE ŞİFRELEME

Microsoft Office dosyalarınızı şifrelemek için aşağıdaki adımları uygulamanız gerekiyor.

– Belgeyi açın.
– Dosya menüsünden Farklı kaydet seçeneğine tıklayın.
– Gelen penceredeki sağ üst köşede bulunan Araçlar / Güvenlik Seçenekleri seçeneğine tıklayın.
– Açılan penceredeki yazı alanına parolanızı iki kez yazın, Tamam butonuna tıklayarak dosyayı kaydedin.
– Microsoft Office belgeniz artık parola korumalı.

WINZIP VE WINRAR ŞİFRELERİNİ KIRMA

Dosya şifreleme yöntemlerinin belki de ilk sırasında sıkıştırma yazılımları geliyor. Bir dosyaya ya da klasöre şifre koymak için, sıkıştırırken bir de parola ekleyebiliyorsunuz. Çok kolay ve kısa zamanda yapılan bu işlemle eklenen parolaların unutulması durumunda ise çaresiz değilsiniz. Şimdi sıra Winzip ve Winrar şifrelerini kırmada. Bunun için de kullanacağımız başarılı yazılımlar bulunuyor. Deneme sürümünü ücretsiz kullanabileceğinizUltimate ZIP Cracker adlı yazılım da bunlardan biri. Yazılımın kurulumunu yaptıktan sonra hemen bir teste tabi tuttuk. Şifremiz yine 12345 oldu. Bir MP3 dosyasını Winrar ile sıkıştırırken şifreledik. Şifresini kırmak istediğimiz sıkıştırılmış dosya için Ultimate ZIP Cracker ile yapacaklarımız şu şekilde:

– Yazılımı çalıştırın ve gelen penceredeki Browse butonu ile şifresi kırılacak olan dosyayı seçin.
– Search method kısmından dosyanıza nasıl saldıracağınızı seçin. Biz, Brute force atack’ı işaretledik.
– Start’a basarak işlemi başlatın.

Yukarıdaki işlemleri uyguladıktan bir süre sonra, güvenli olması için şifrelediğimiz sıkıştırılmış dosyanın şifresi karşımızda idi. Bu durum bizi şaşırttı ve yazımızın başında belirttiğimiz “İyi şifre nasıl oluşturulur?” sorusunu bir kez daha hatırlattı.

Sıkıştırılmış dosyayı şifrelemek için kullanacağınız şifrenin uzunluğu, içeriği ne kadar karmaşık olursa kırılması için harcanması gereken süre de aynı oranda artıyor.