Kırılamayacak şifre mümkün mü?

Son haftaların en çok konuşulan konusu hiç şüphesiz Wikileaks... Ülkelerle ilgili önemli verilerin Wikileaks aracılığıyla açığa çıkması verilerin güvenliği konusunu tekrar gündeme getirdi. Kamu ve özel kuruluşların gizli bilgileri gerçekten de güvende mi? Kırılamayacak bir şifre yaratmak ve verileri tamamen üçüncü gözlerden uzak hale getirmek mümkün mü? Symantec Veri Sızdırma Önleme ve Şifreleme Teknolojileri Direktörü Jamie Cowper ile veri güvenliğini ve şifreleme sistemleri üzerine konuştuk.

TE Bilişim

Editör

17.12.2010 - 09:57 Yayınlanma

Kamu ya da özel sektördeki kurumlar, sahip oldukları bilgilerin güvenliğiyle ilgili endişeler taşıyor. Bilginin korunması esnasında ne gibi zorluklarla karşılaşılıyor?

Aslında bu konuda özel sektör ve kamu kurumları arasında bir fark yok. Örneğin sağlık sektörünü ele alırsak hastalarla ilgili bilgilerin korunması, bankalarda kullanıcıların kredi kartı bilgilerinin korunması veya özel bir kuruluştaki müşteri bilgilerinin korunması kurumlar için son derece önemli. Buradaki en önemli nokta ise şu: Bu kritik bilgiler nerede tutulduğu ve elbette hangi bilgimizin kritik önemde olduğunu bilmek gerekiyor.

- Kurumlara içeriden ya da dışarıdan gelebilecek güvenliğe ve gizliliğe yönelik tehditler neler olabilir?
Symantec olarak yaptığımız araştırmalara bakıldığında kurumlara yönelik tehditleri üç ana başlık altında topluyoruz. İlki dışarıdan gelebilecek olası tehditler… Bu tür tehditlerin en bilineni ve büyüğü ise şüphesiz Stuxnet… Wikileaks olayından sonra Stuxnet geri planda kaldı ancak bu tehdidin en önemli özelliği endüstriyel kontrol sistemlerini de etkileyebiliyor olması aslında. Yani önceleri salt sistem çökmelerinden bahsederken, şimdi toplumun genelini etkileyen tehditlerle yüz yüzeyiz. Bu tür tehditlere ise organize suç birimleri neden olmaktadır, zira hacker’lar artık sadece tek başına hareket etmiyor, örgüt şeklinde bir araya gelerek organize şekilde kuruluşlara saldırı düzenleyebiliyor. İç tehdit ise daha çok bilgi işlem departmanına yeni gelenler veya konuyu yeni yeni öğrenenler, laptop’larındaki verilerini şifrelemeyen veya şifresini belirli aralıklarla değiştirmeyen bilinçsiz kullanıcılardan geliyor. Son tehdit ise işten ayrılan ve ayrılırken beraberinde şirketle ilgili önemli bilgileri de götürenler… Bu tip durumlarda şirketle ilgili çok önemli veriler kolayca dışarı sızabiliyor ve güvenlik bariyerleri doğrudan aşıldığı için bu durum hemen fark edilemeyebiliyor. Verileri bu şekilde şirket dışına çıkaran eski çalışanlar, şirkete karşı bu verileri koz olarak kullanabiliyor ve para karşılığı diğer şirketlere bu verileri satabiliyor.

- Şifreleme neden kritik bir unsurdur?

Şifreleme dendiğinde en önemli özellik şifrelerin endüstri standartlarının olması… Bu şifreleme Symantec veya başka şirketlerin yaptığı şifrelemeler değil, endüstri standartları olan bir sistemi ifade ediyor. Diğer bir deyişle dünyada bu alanda belirli standart kuruluşları vardır ve şifreleme sistemini bu kuruluşlar belirler. Şifreler kimseye özel olmadığı için bu sistemler, kanunlarla korunan mekanizmalardır. Bizim gibi üretici firmalar ise bu standardı alıp kendi çözümleri içinde kullanıyor. Uygun şifreleme yöntemleri kullanıldığı zaman sokaktaki herhangi bir kullanıcının, suç örgütlerinin ve hatta devletin bile açamayacağı şifreler geliştirilebilir.

- Şifreleme teknolojilerindeki en yeni gelişmeler nelerdir?

Bir yandan şifreleme standartları geliştirirken karşı taraf sürekli saldırı durumunda olduğu için şifrelemelerin kırılması sistemi üzerine çalışmalar sürdürülüyor. O yüzden öncelik sürekli güçlü şifreleme algoritmalarının oluşturulmasına verilir.

- Kırılamayacak şifre var mıdır?

Kırılamayacak şifre “o an için” vardır. Açmak gerekirse, sonsuza kadar “kırılamayacak şifre” yoktur; ancak uzun vadede kırılması imkan dahilinde olmayan şifreleme sistemleri vardır. Yani, şifreleme sistemi ne olursa olsun, eninde sonunda mutlaka kırılabilir. Ancak önemli olan kırılma süresini olabildiğince geciktirmektir. Örneğin güçlü bir şifreleme ile 10 yılın ardından kırılma ihtimali olan şifreler dahi söz konusu olabilir.

- Kullanıcıların en büyük derdi şifrelerini çaldırmak… Güçlü şifre oluşturmak için kullanıcılar hangi adımları izlemeli?

Şifreleri çalmak isteyenler, sözlük kullanarak veya kullanıcılarla bağlantısı olabilecek kelimeleri tek tek denemeye başlar. Kullanıcının memleketinin ismi, kardeşinin ismi, okulu gibi kolay tahmin edilebilir şifrelerin çözülmesi son derece kolaydır. Bu nedenle kullanıcıların öncelikle kolay tahmin edilemeyecek şifre yaratmaları gerekiyor. Numaralı şifreler söz konusu olduğunda ise yine kolaya kaçmamak gerekiyor. Sözlükle şifre tarama sistemlerinin yanında sıfırdan başlayıp 1, 2, 3, 4 şeklinde rakamları ve beraberinde harfleri de tarayarak şifrelerin çözülmesine imkan veren ve “kaba kuvvet taraması” olarak da bilinen tarama teknikleri de mevcut. Bunu aşmak için ise kullanıcının şifre oluştururken büyük harf/küçük harf kullanması, şifresinde rakamlara da yer vermesi ve son olarak “@” , “&” gibi özel sembollerin kullanılması şifreyi daha da güçlendirecektir. Elbette şifrelerin hane sayısına da dikkat etmek gerekiyor. Şifre yaratırken şifrelerin minimum 8 karakterden oluşması oldukça önemli.

(sb)

Editör Hakkında

TE Bilişim