Parolalar açık metin halindedir ve siber güvenlik dünyasında gizli tutulması gereken hassas bilgiler olarak tanımlanır. Parolalar kullanıcı tarafından belirlenir. Bir sisteme üye olurken veya bir sistemde yetkili hesabı açılırken belirlenen parolalar için, genel olarak önceden tanımlanmış prosedür ve formatlar kullanılır. Bu prosedürler büyük küçük harf kullanımı, rakam kullanımı, minimum karakter ve benzeri şekilde tanımlanır. Parola kırma saldırılarına karşı korunmak için önceden sisteme tanımlanan bu güvenlik kuralları sayesinde proaktif bir güvenlik politikası izlenir. Şifreler ise açık halde tutulan kritik verimiz olan parolanın bir algoritma aracılığı ile yeni bir formata dönüştürülerek okunmasını engeller. Bu sayede siber saldırgan sisteme bir şekilde erişim elde ederse parola yerine hash adını verdiğimiz şifreler karşısına çıkar.
Örnek Parola; PriviaSecurity
MD5 Formatında Şifreye Dönüştürülmüş Hali; b96a1265a4a1cdea5c5cb2f6708863c2
Parolaları kırma saldırıları güvenlikte en kritik noktalardan biridir. Çünkü parolanız tespit edildiğinde, kırıldığında veyahut bir şekilde ele geçirildiğinde sistemde alınan diğer güvenlik önlemleri önemsiz bir hale gelir. Artık parola ile siber saldırgan sisteme erişir ve normal bir kullanıcı gibi görülür.
Parola kırma saldırılarında parola tahmini için genelde brute force adını verdiğimiz kaba kuvvet saldırıları ön plana çıkmaktadır. Genel olarak bu saldırılara karşı sistem yöneticileri hesabın belirli bir deneme yapılmasından sonra hesabın kilitlenmesini (Lockout Policy) sağlamak ve SIEM üzerinde parola denemelerin alarm üretmesi gibi önlemler alabilir.
Ancak birçok kurum veya kuruluşta bu saldırılar için gerekli önlemler eksik kalmaktadır.
- Kurum içi gerekli parola politikalarının yetersiz olması,
- SIEM kullanılmaması,
- Hesap kilitleme politikalarının bulunmaması,
- Basit parola kullanımı,
- Aynı parolanın başka yerlerde kullanılması…
Gibi hatalar sebebiyle ciddi zararlar ortaya çıkabilir. Özellikle de kripto / fidye saldırıları bu noktada başarılı olabilmekte ve sisteme giriş yapan bir siber saldırgan hak ve yetki yükselterek tüm sistemi ele geçirebilir. Parola kırma saldırıları genel olarak ikiye ayrılmaktadır.
Aktif Saldırılar:
- Brute Force (Kava Kuvvet) Saldırıları
- Password Spraying Saldırıları
Pasif Saldırılar:
- Hash Crack Saldırıları
- Rainbow Table Saldırıları
Parola Kırma Araçları
John The Ripper
John the Ripper, hem ağ yöneticileri hem de bilgisayar korsanları arasında popüler olan bir parola kırma aracıdır. Başlangıçta Unix işletim sistemi için geliştirilen bu araç, bugünkü teknoloji dünyasında ondan fazla platformu desteklemektedir.
John The Ripper uygulaması komut satırı tabanlıdır ve Windows arabirimi yoktur. Kullanıcının şifre kırmaya çalışmak için Word List adını verdiğimiz kelime listeleri için metin dosyaları seçmesini sağlar. John The Ripper komut satırı kullansa da uzun zamandır varlığını sürdürmekte ve güvenlik camiasından hacker topluluklarına kadar aktif olarak kullanılmaktadır.
John The Ripper belirli bir sistemde canlı şifreleri kırmaya çalışmak yerine şifre dosyalarıyla çalışır. Parolalar genellikle şifrelenir ve işletim sistemindeki bir dosyada saklanır. Hackerlar sık sık bu dosyayı hackledikleri sistemden kopyalarayak kendi sistemlerine indirip, John The Ripper üzerinde kırmaya çalışırlar. Her işletim sistemi bu dosyayı farklı bir yerde saklar:
- Linux’ta, /etc/passwd ve /etc/ shadow kullanılır.
- Windows 2000 ve sonrasında gizli bir .sam dosyası kullanılır.
John The Ripper’ı indirdikten sonra, (komut satırına) john kelimesini ve ardından kırmasını istediğiniz dosyayı yazarak çalıştırabilirsiniz:
- john passwd
- john –wordfile: /usr/share/wordlists/rockyou.txt –rules passwd
Rainbow Tabloları
Gökkuşağı tablosu ya da gökkuşağı başvuru çizelgesi kriptografik karma işlevlerini tersine çevirmek için önceden hesaplanmış bir tablodur. Gökkuşağı tabloları Philippe Oechslin tarafından icat edilmiştir. 1980 yılında Martin Hellman tarafından hafızada saklanan önceden hesaplanmış verileri kullanarak kriptanaliz süresini azaltan bir zaman-bellek tekniği tanımladı. Temel olarak, bu tür parola kırıcılar, “az” veya “a-zA-z” veya “a-zA-Z0-9” gibi belirli bir karakter alanında bulunan tüm parolaların önceden hesaplanmış hash değerleriyle çalışır.
Parola kırmanın diğer bir yolu ise bir eşleşme bulmaya çalışmaktır. Saldırgan, hash değerini alır ve hash ile eşleşme aramaya başlar. Bu tekniğe gökkuşağı tabloları adı verilir. Biri bulunursa, hash için orijinal metin bulunur. Ophcrack gibi popüler hackleme araçları gökkuşağı tabloları adını verdiğimiz Rainbow tablolarına bağlıdır.
Brute Force Saldırıları
Bu yöntem, mümkün olan her anahtarı denemeyi içerir. Çalışması garanti edilir, ancak parolanın kırılma süresi uzayabilir. Örnek olarak bir Sezar şifresini kırmak için çok kısa sürede deneyebileceğiniz sadece 26 olası anahtar vardır. Ancak 128 bitlik en küçük anahtar boyutuna sahip AES’ şifrelemesini düşündüğünüzde saniyede 1 trilyon anahtar deneyerek tüm olasılıkları denemek 112.527.237.738.405.576.542 yıl sürebilir. En sonunda teorik olarak parola kırılacaktır. Ancak parolanın uzunluğu, karakter seti, şifreleme algoritması ve benzeri güvenlik politikaları nedeniyle pratikte zaman ve kaynak yetersiz kalacaktır.