Türk hacker Apple'ı uyarmış!
İngiltere’nin başkenti Londra’da yaşayan bilgi güvenliği uzmanı, yazılımcı Türk İbrahim Baliç, bundan yaklaşık 6 ay önce Apple'a sitenin yeterince güvenli olmadığını şifre kırma konusunda açıklık olduğunu bildirdi. İbrahim Baliç'i dikkate almayan Apple şimdilerde ise kendisinden tekrar rapor istiyor.
DÜNYA , 30 Eylül 2014 Salı, 12:25
Türk hacker Apple'ı uyarmış!
İngiltere’nin başkenti Londra’da yaşayan bilgi güvenliği uzmanı, yazılımcı Türk İbrahim Baliç, Apple’a altı ay önce hesaplarda ‘brute force’ (şifre kırma) saldırısına izin veren güvenlik açığının olduğunu bildirdiğini, ancak teknoloji devinin gerekli önlemleri almadığını ileri sürdü. Baliç’in ilk olarak Amerikan The Daily Dot sitesinde dile getirdiği iddia, “Apple, altı ay önce uyarılmış ama önlem almamış” tepkilerine neden oldu. Yaklaşık 100 ünlünün iCloud hesaplarını hack’leyerek çıplak fotoğraflarını 4chan isimli internet sitesine sızdıran hacker’ların son kurbanı ise önceki gün İngiliz genç model Cara Delavigne olmuştu.

BRUTE FORCE SALDIRISI

Baliç, yaptığı açıklamada ünlülere ait yayınlanan fotoğrafların hangi yöntem ile elde edildiğinin hâlâ belirsiz olduğunu söylerken, “Ancak Apple, resmi açıklamasında fotoğrafları yayınlanan ünlülerin hesaplarına yönelik olarak ‘brute-force’ dediğimiz yöntem ile saldırı yapıldığını duyurdu. Deneme-yanılma yolu ile şifrelerin bulunması olarak da bilinen bu saldırıda, aynı anda binlerce şifre denenerek doğru şifre tespit edilmeye çalışılıyor. “Brute-force” ile elde edildiği düşünülen şifreler ile back-up(yedek) dosyalarını almaları oldukça yüksek ihtimal. Eğer gerçekten hacker’lar böyle bir zafiyet kullanarak ilgili hesaplara ulaştıysa, bizim bu olay yaşanmadan çok öncesinde 26 Mart’ta maille Apple şirketine yapmış olduğumuz bir bildirim söz konusu. Onlara, “Sistemlerinizde “brute-force” yapılabilmesine olanak sağlanıyor. Hesaplarda 20 bini aşkın kez şifre deneyebildim. Saldırganlar burayı sömürebilir, kullanabilir” uyarısında bulunmuştuk. “ dedi.

20 BİNDEN FAZLA ŞİFRE DENEDİK

Baliç, iCloud’daki açığı nasıl tespit ettiklerini şöyle anlattı:

Tüm araştırmalarımda ilgili sistemlere zarar vermemek adına çaba sarf ediyoruz. Bu nedenle etik kurallar çerçevesinde araştırmalar yaptık, hatta tüm denemeleri sadece test hesaplarında denedik. Apple şirketinin güvenlik ekibinden Brandon adlı bir arkadaş, “Bu tekniği kullanarak herhangi birine saldırı yaptınız mı”, “Yaptıysanız erişim bilgilerini bizimle paylaşır mısınız” diye sordu. Biz de yapmadığımızı söyledik. Sorun şuydu; herhangi bir hesap adına ben çok sayıda yanlış şifre deniyorsam ilgili sistemin beni engellemesi gereklidir. Bunun bir politika olarak uygulanması o sistemin güvenli olduğu anlamına gelir, buradaki eksiklik buydu, biz de bunu raporladık. Apple’a “biz herhangi bir sistemde 20 binden fazla şifre denedik ve sistem bizi engellemedi. Bunun böyle olmaması gerekli” uyarısında bulunduk.



BANA İNANMADILAR ŞİMDİ RAPOR İSTİYORLAR

İbrahim Baliç, uyarının ardından sonraki süreci ise “Apple bize geri dönüş yapsa da yeterli ilgi gösterilmedi ve görüşmeler aylarca sürdü. Sonrasında nisan ayı içerisinde ben Türkiye’deki ticari işlerime yöneldim ve olay böylece askıda kaldı. Apple şirketi de ben onlara tekrar yazmayınca anlaşılan konuyla ilgili pek araştırma yapmadı. 26 Eylül’de ise Apple şirketinden yeni bir teklif geldi. Hem Türkçe hem de İngilizce olarak üzere atılan e-mailde ilgili güvenlik açığı hakkında tekrar bir rapor hazırlamam istenildi. Şu an bu rapor üzerinde çalışıyorum. Apple’ın istediği rapor kendi araştırmam üzerinden elde ettiğim bulguların daha detaylı hali. Bu alanda “neler buldum, nasıl buldum, bunları nasıl kullandığıma” yönelik olarak bir rapor hazırlıyorum… Apple güçlü bir şirket. Alt yapısı üzerine oldukça ciddi yatırımlar yapıyor ve işinde çok başarılı insanları ekiplerinde çalıştırıyorlar. Ama herkesin kullanacağı ve yüzde 100 güvenli bir sistem oluşturmak imkansız. Önemli olan bu zafiyetlerin bulunması ve hızlı bir şekilde kapatılması. ” sözleriyle anlattı.

SİTEDE İŞİNİZ BİTİNCE OTURUMU KAPATIN

Apple şirketinin “two factor authentication” (iki faktörlü doğrulama) sistemini devreye soktuğunu söyleyen Baliç, bununla birlikte iCloud kullanıcılarının alabilecekleri önlemleri şöyle sıraladı:
* Güçlü şifreler kullanın, tüm sitelere aynı şifrelerle girmekten kaçının.
* Ortak kullanıma açık bilgisayarlar üzerinde hesaplara girmemeye özen gösterin.
* Kişisel bilgisayarlarınızda tanımadığınız kişilerden gelen her türlü iletiyi açmadan silin.
* Girdiğiniz sitede işiniz bittikten sonra oturumları kapatın.
* En önemlisi lisanslı bir işletim sistemi kullanın.

BUNLAR DA İLGİNİZİ ÇEKEBİLİR