Şu anda Birleşik Krallık sitesini ziyaret ettiğinizi fark ettik. Bunun yerine ana sitemizi ziyaret etmek ister misiniz?

Ofiste klavye kullanan bir kişi. Üstünde birden fazla e-posta logosu ve bir kalkan/kilit logosu.

E-posta ile Gönderilen Parola Korumalı Belgeler: Yeni ve Sessiz İhlal

E-postalara çok bağımlıyız

İster kişisel ister iş amaçlı olsun, e-posta göndermek modern yaşam tarzımızın her yerinde. COVID salgınının ardından, işletmeler giderek kişisel ziyaretler yerine uzaktan toplantılara daha fazla güveniyor. Bunun sonucunda şirket çalışanları iş arkadaşları, müşteriler veya diğer üçüncü taraflarla (örneğin hizmet sağlayıcılar, yükleniciler, finans, hukuk ve mühendislik iş ortakları, vb) daha fazla dosya paylaşıyor. E-postalarımıza hassas bilgiler içeren dosyalar eklerken hassas verilerimizin, mesajlarımızı uçtan uca düzgün bir şekilde şifreleyen e-posta sağlayıcıları ile güvende olduğu konusunda kendimizi güvende hissetmemiz her zamankinden daha önemlidir.

Birçok insan daha da ileri gidiyor. Word, Excel®, Adobe® Acrobat® gibi uygulamalar kullanıcıların bir dosyayı parola ile korumasına olanak tanıyor. Bu dahili şifreleme, içindeki verilerin güvende kalacağına ve yalnızca doğru parolaya sahip hedeflenen alıcılar tarafından erişilebileceğine dair güveni artırmayı amaçlıyor.

Ancak bu güven yanlış değerlendirilmiş olabilir. IT departmanları, korunan verilerin olası ihlallerine karşı giden e-postaları yasa ve yönetmeliklerin gerektirdiği şekilde, şirketin kendi veya bulut sunucularında bulunan verilerde yaptığı gibi rutin olarak kontrol etmemektedir. Çoğu durumda, e-posta ihlali yaşayan bir yüklenici bunu iş ortaklarına bildirmeyebilmektedir.

Peki, e-posta ile gönderilen ekler ne kadar güvenli?

E-posta sunucularımızın, İnternet sağlayıcılarımızın ve müşteri/iş ortağı sunucularımızın gerektiği şekilde güvenli olduğunu varsaymalıyız. Bulut veya şirket bünyesindeki veri ihlalleri hakkında sürekli haberler çıkıyor olmasına karşın e-postada yaşanan ihlallerle ilgili bildirim sayısı çok az.

Buna karşın Temmuz 2023'te bilgisayar korsanları ABD hükümetinin e-posta hesaplarına girdi. Ocak 2024'te Microsoft®, yöneticilerin şirket içi mesajlarının ve eklerinin çalındığı iki ay boyunca devam eden bir e-posta ihlalinin kurbanı olduğunu açıkladı.

Hassas veriler söz konusu olduğunda güvende hissetmek hala mümkün mü? Avukatlar, mali danışmanlar, vergi hazırlayıcıları, sigorta şirketleri gibi değerli verilerle çalışan meslekleri düşünün. Dosyaların şifrelenebilmesi için parola ile korunması pek çok kişinin içini rahatlatmasını sağlasa da artık bir güvenlik açısından bir garanti olarak kabul edilemez.

Yazılım şifrelemesi kullanan parola korumalı dosyalar

Masa başında otururken klavye ve fare kullanan bir kişi. Üzerine yansıtılan parola korumalı bir belgeyi tasvir eden bir grafik.

Müşteri bilgilerinin parola korumalı Microsoft Excel elektronik tabloları veya yasal kanıtların yer aldığı şifrelenmiş Acrobat PDF dosyaları iç rahatlığı sağlayabilir, ancak bilgisayar korsanları bu belgeleri ele geçirirse ne yapabilir?

Bu gibi dosyalar bilgisayarda yazılımla şifrelenir ve verilere erişmek için parolayla giriş olanağı eklenir. Yanlış parola girildiğinde, dosya erişime izin vermeyecek ve erişilemez durumda kalacaktır.

Ne yazık ki bu dosyalar kaba güce (Brute force) (sözlük_ saldırıları olarak da bilinir, bir parolayı oluşturabilecek tüm karakter kombinasyonlarının tahmin edilmesi) karşı koruma sağlamaz.

Örneğin, büyük harf, küçük harf, rakamlar ve özel karakterler dahil olmak üzere dört karakter kümesinden üçünü kullanan güvenli ve karmaşık bir parola olduğunu varsayalım. Bu, IT güvenlik politikaları tarafından en iyi uygulama olarak istenen tipik bir parola türüdür. Karmaşık parolalar genellikle 8 karakter uzunluğundadır.

Temelde bu tür karmaşık parolaların bir bilgisayar tarafından tahmin edilmesi uzun yıllar almalıdır. Parola korumalı dosyaların, seçilen parolanın rastgeleliği (veya entropisi) dışında parolanın tahmin edilmesine karşı hiçbir savunması yoktur.

Modern Bilgisayarlar ve Araçlar

Günümüzdeki bilgisayarlar saniyede 1 milyar veya daha fazla parola tahmini yapabiliyor. Bu, parola korumalı dosyaların ilk oluşturulduğu zamana göre büyük bir adımdır.

Siber suçlular parola korumalı dosyalara nasıl giriyor?

İnternette Excel veya Acrobat dosyalarındaki parolaları kaldırmak için birçok ücretsiz araç bulunmaktadır. Özel güvenlik şifrelemesine sahip dosyalar, parola korumalı bir dosyaya tek bir bilgisayarla veya ağa bağlı bin veya daha fazla bilgisayarla saldıran (yüksek değerli verilere ulaşmak isteyen kararlı saldırganlar için) ücretli araçlar tarafından hedef alınabilir. Bu güçlü araçlardan bazıları kanun uygulayıcıları için adli tıp araçları olarak pazarlanıyor, ancak kredi kartıyla satın alıp indirebileceğiniz kadar kolayca ulaşılabiliyor.

Home Security Heroes'a göre yapay zeka tabanlı bir parola kırma aracı, 8 karakterli karmaşık şifreleri dakikalar içinde veya en fazla yedi saat içinde kırabiliyor. Ağa bağlı bilgisayarlarda, parola korumalı tek ir dosyaya yapılan kaba güç (brute force) saldırısı daha kısa sürede sonuç verebiliyor.

Mobil verilerin korunması

Bir Kingston IronKey Vault Privacy 50 USB, masada duran, bir ofis bilgisayarına bağlı çok bağlantı noktalı bir hub'a takılı.

Bu noktada, hassas verilerin elektronik yollarla iletilmesinin, bir dosyanın ele geçirilmesi veya dosyayı ek olarak veya bir dosya olarak içeren sunuculara girilmesi durumunda bir ihlale maruz kalabileceği barizdir. Aynı durum, yazılım şifrelemesinin kullanılması zorunlu olan bir bulutta - herhangi bir bulutta - saklanan şifrelenmiş dosyalar için de geçerlidir. Birisi parola korumalı dosyayı ele geçirirse, dosya türüne göre özelleştirilmiş bir yazılım kullanarak kaba kuvvet saldırılarına tabi tutabilir.

Bu riski azaltmanın yolu, bu verileri “ağdan uzak” veya bağlantısız tutmaktır. İnternete bağlı olmayan bir bilgisayarda saklanabilir veya veriler kaba güç (brute force) parola saldırılarına karşı güçlendirilmiş bir ortam üzerinden iletilebilir. Bu zahmetli bir çözüm olabilir. Ancak bu, verilerin değeriyle bağlantılı bir hafifletici önlemdir. Bazı ihlal türleri milyonlarca dolara ve kaybedilen verilere bağlı olarak yüksek yasal maliyetlere ve uzlaşmayla ilgili sorunlara mal olabilir. Örneğin, müşteri hesaplarının ayrıntılarını içeren bir elektronik tablo kaybolduğunda bir işletmeye büyük zarar verebilir. Bir müşterinin yasal bir davada kullanılan fikri mülkiyetleri, bunların kaybolması ve dark web'de satılması durumunda bir şirketi ciddi şekilde etkileyebilir.

Mobil veriler için tam da bunu yapan uygun maliyetli bir çözüm var: donanım şifrelemeli USB sürücüler veya SSD'ler. Bu cihazlar parola saldırılarına karşı koruma sağlayan ve her zaman açık olan AES-256 bit şifreleme kullanan bağımsız, donanım tabanlı bir güvenlik ekosistemine sahiptirler. İnternette satılan ucuz sürücüler parola güvenliği veya şifrelemeyi düzgün bir şekilde uygulamayabileceğinden, bu tür veri saklama cihazlarını bilinen ve güvenilir üreticilerden almak önemlidir.

Kingston IronKey sürücüler gibi donanım şifrelemeli bir USB sürücü ya da harici SSD, sıradan USB ya da SSD'leriniz ile aynı değildir. En başından veri koruma cihazları olarak tasarlanmışlardır ve ana tasarım hedefi olarak güvenliğe sahip özel denetleyiciler kullanırlar. Bu sürücüler kurumsal ve askeri düzeylerde (AES-256 bit şifreleme sistemini oluşturan ve ABD devlet kurumları için standartları belirleyen ABD devlet kurumu olan NIST tarafından verilen FIPS 140-3 Seviye 3 sertifikası kazandırır) güvenlik sağlayabilir. Kingston ayrıca 20 yılı aşkın süredir dünya çapında kuruluşlar ve devlet kurumları için donanım şifrelemeli sürücüler tasarlamakta ve üretmektedir.

Etkili kaba güç (brute force) saldırı koruması

Bir IronKey sürücüsüne tüm erişimler güvenli bir mikroişlemci üzerinden yönlendirilir. Verilere erişim sağlamak için güvenli mikroişlemci geçerli bir parola ya da tuş takımlı sürücüleri için bir PIN gerektirir. Güvenli mikroişlemci parolanın kaç kez geçersiz olarak girildiği bilgisini saklar (daha önce cep telefonunuz sıfırlandıysa nasıl işlediğini bilirsiniz). IronKey sürücülerde birden fazla parola kullanılabilir: Yönetici, Kullanıcı ve Tek Seferlik Sıfırlama. Tek Seferlik Sıfırlama veya Kullanıcı parolaları arka arkaya 10 kez yanlış girilirse, sürücü parolaları kilitleyecektir. Ana Yönetici parolası arka arkaya 10 kez yanlış girilirse, güvenli mikroişlemci bir veri kendini imha moduna geçecektir. Bu modda tüm şifreleme parametreleri bir kripto silme işlemine tabi tutulacak, veri saklama alanı biçimlendirilecek ve sürücü fabrika durumuna sıfırlanacaktır. Bu noktada, daha önce sürücüde saklanan veriler kurtarılamayacak şekilde silinir. Bu, hassas verileriniz için istediğiniz çoğu saldırıya karşı bir savunmadır.

Hassas verilerin güvenliğini sağlamak için en iyi uygulamalar

Maalesef parola korumalı dosyaların e-posta yoluyla elektronik olarak iletilmesi veya bir bulut sunucusuna gönderilmesi, dosyaların kendileri günümüzün yapay zeka ve bilgisayar teknolojileri dolayısıyla korunamaması nedeniyle veri ihlallerine yol açabilir. En iyi güvenlik, mobil verilerin fiziksel sizin hakimiyetiniz, yani cebinizde veya çantanızda taşınmasını gerektirir. Ardından başka bir tarafla paylaşılabilir. Veya sürücüyü müşteriye/iş ortağına kargoyla gönderebilir ve verilere nasıl erişeceklerini söyleyebilirsiniz. Sürücü, verilerin güvende ve internet dışında tutulması için onlarda bırakılabilir. 8TB'a varan kapasitelere sahip IronKey harici SSD'leri, hukuk firmalarından tıbbi ya da finansal hizmetler sağlayıcılarına kadar her türlü profesyonele güçlü güvenlik sağlayabilir.

Pek çok üretici artık önemli fikri mülkiyet belgelerini ve ayrıntılarını e-postayla göndermiyor. Bunun yerine IronKey sürücüleriyle başkalarına (bazen farklı ülkelerdeki) gönderiyor ve ardından verilere erişim talimatlarını iletiyor. IronKey sürücülerinde, Yönetici rolü, dosyalara bir Kullanıcı parolasıyla erişildiğinde dosyalar üzerinde herhangi bir değişiklik yapılmasını önleyen genel bir salt okunur modu ayarlayabilir.

IronKey sürücüleri CIA Triad'in en iyi uygulamalarına uygundur ve hassas verilerinizi ticari açıdan mümkün olan en iyi düzeyde güvende tutmak ve korumak için uygun maliyetli bir tür sigortadır. Sonuçta konu bilgilerinizin algılanan değeriyle ilgilidir.

Bir devre kartı yonga seti üzerinde Kingston bir uzmana sorun sembolü

Bir Uzmana Sorun

Doğru çözümün planlanması, projenizin güvenlik hedeflerinin anlaşılmasını gerektirir. Kingston’ın uzmanları size yardımcı olabilir.

Bir Uzmana Sorun

İlgili Yazılar