Popüler sosyal ağlardan Twitter, bir çok kullanıcısına şifrelerini sıfırlamaları için e-postalar gönderdi. Bazı hesaplarda beklenmedik bir şekilde takipçi sayıları artınca geliştiriciler bunun hesaplara yönelik bir saldırı olduğu kanaatine varmışlar.

Twitter'ın durum blog'una göre çeşitli forum ve torrent sitelerinde, Twitter hesabınızla aynı şifre ve e-posta kombinasyonunu kullanmak çeşitli siteler tarafından sömürülmekte. Buna göre özellikle çeşitli torrent siteleri Twitter hesaplarına yönelik kendi databaselerini kullanarak kullanıcıların şifrelerini ele geçirmekte hatta bu hesap bilgilerini başkalarına satmakta.

Facebook,MySpace, Hi5, Orkut, Bebo ve Friendster gibi sosyal paylaşım platformlarına uygulama geliştiren RockYou adlı firmanın web sitesine geçtiğimiz günlerde yapılan saldırı sonucunda 32 milyon şifre çalınmıştı. Saldırıyı gerçekleştiren hacker şifreleri kamuya açık bir sitede dosya içinde yayınladı. Çalınan bu şifreler üzerinde çalışma yapan iMPERVA uzmanları sonuçları bir rapor haline getirip yayınladılar.

Grafikte görülen %41.69 ‘luk oran yani en büyük bölüm sadece “küçük harf” kullanılan şifreleri kapsıyor. Bu da büyük bir çoğunluğun basit bir kelimeyi, bir özel ismi, argo sözcüklerden birini hatta bir küfrü ya da sadece “asdasd” gibi anlamsız fakat klavye sıralamasına uygun harf dizilimini şifre olarak belirlediğini gösteriyor.

27 Temmuz 1993'te Windows NT 3.1 sürümünün çıkışından beri Windows'ta bulunan bir güvenlik açığı yeni fark edildi.O sürümden beri Windows'un tüm 32bit versiyonlarında bulunan güvenlik açığı Windows 2000, XP,Server 2003, Vista, Windows Server 2008 ve Windows'un çok sevilen ve güvenilen yeni işletim sistemi Windows 7'yi de içeren tüm sürümlerde bulunuyor. Fakat bu güvenlik açığından Windows Server 2008 R2 dahil, Windows'un 64-bit versiyonları etkilenmiyor.

Bu açık sıklıkla kullanılan bir yerde değil, 16-bit uygulamalarını destekleyen Virtual DOS Machine'de mevcut. Açığı fark eden Google güvenlik üyesi Tavis Ormandy'ye göre bu uygulamada birçok güvenlik açığı bulunuyor.

Kriptoloji, kısa ve basit bir tanımla şifreleme bilimi diyebiliriz. Çocukluğumuzdan, gençlik ve yaşlılık dönemine kadar arkadaşlarımızla muhakkak şifreli bir konuşma yapmışızdır adına “şifreleme” demişseniz de bu bilimin asıl adını bilmiyor olabilirdiniz artık bu bilimin adının “kriptoloji” olduğunu öğrenmiş oldunuz. Bu bilim şans, zeka , matematik, sabır bilimidir temelini matematiğin zor anlaşılmaz konularından almaktadır.

İlk başlarda askeri alanlarda “gizlilik” kavramını gerçekleştirmek için bu bilime ihtiyaç duyulmuştur. Devir değiştikçe bu bilime daha çok muhtaç kalınıp ilgilendiği alanlar daha da çoğalmıştır. Özellikle bilgisayar gibi çağımızın en önemli teknolojik aletlerinin gizliliğini, bütünlüğünü bu bilim sayesinde sağlamaktadır. Bilgisayarların çoğalmasıyla bu bilim bilgisayarların alt bir bilimi olarak düşünülmeye başlanması tamamen bilgisizlikten doğmaktadır zira kriptoloji temelini matematikten almaktadır aynı şekilde bilgisayarlar da temelini matematikten almaktadır.

2009 senesi özellikle sosyal ağlar için güvenlik açısından tam bir kabustu. Aynı şekilde Web 2.0'ın getirdiği bir çok yerde güvenlik zafiyetleri baş gösterdi. Botnetler ve sahte antivirüs tehditleri ise kullanıcıları zor durumlarda bıraktı. Güvenlik açısından sıkıntılı bir yıl olan 2009 geride kaldığı şu günlerde V3 yazarı Phil Muncaster 2010 yılında bizleri bekleyen güvenlik eğilimlerini kaleme almış.

Güvenlik, gelecek için tahmin etmesi zor bir konu olsa da geçmiş yıllara bakarak ve uzmanlarla konuşarak trendleri aşağı yukarı görebiliriz. Yazının devamında 2010 yılında IT profesyonellerinin öngördüğü güvenlik trendlerini bulabilirsiniz.

PHP geliştiricileri PHP versiyon 5.2.12'yi duyurdu. Bu versiyonla birlikte kararlılığı etkileyen 60 küçük hatanın giderilmesinin yanı sıra bazı önemli güvenlik açıkları da kapatılmış. PHP 5.3 2009 ortalarında duyurulmasına rağmen uyum problemleri nedeniyle çoğu kullanıcı hala 5.2 kullanmaktaydı bu nedenle yapılan bu güncelleme önemli olarak nitelendirilmekte.

Yapılan bu güncelleme ile safe_mode ve open_basedir güvenlik fonksiyonlarının, tempnam() ve posix_mkfifo() fonksiyonları ile bağlantılı bir şekilde bypass edilmesini sağlayan güvenlik zafiyetleri giderilmiş oldu. Yeni eklenen max_file_uploads seçeneği ile birlikte ise dosya yüklerken karşılaşılabilecek potansiyel DoS atakları engellenmekte.

WPA Cracker isimli servis, sistem yöneticilerinin ağdaki zayıf şifreleri yüksek maliyet gerektirmeden tespit edebilmelerini sağlıyor. Kendi sunucularında WPA şifreleri için hazırladıkları 135 milyon kelimelik sözlük yardımıyla 17$ karşılığında WPA şifrelerini kırabildiklerini iddia ediyorlar.

Servis sağlayıcısının belirttiğine göre işlem yaklaşık 40 dakika sürmekte, ayrıca 2 katı ücret karşılığında bu süre yarıya inebilmekte. Fakat şifrelerin kırılma garantisi yok. Sözlük saldırısı yöntemi kullandıkları için veritabanında olmayan bir şifreyi kırmak mümkün olmuyor. Bu işlemler için öncelikle sizden ağ trafiğinin bir örneğini PCAP formatında istiyorlar.

FreeBSD'de ciddi bir güvenlik açığı tespit edildi. Nikolaos Rangos isimli güvenlik uzmanının geliştirdiği exploit ile FreeBSD üzerinde kısıtlandırılmış alanlarda root yetkisine sahip olmak mümkün. Run-time bağlantı editörü (rtld) üzerinde bulunan bir problemden ortaya çıkan güvenlik açığı Rangos'a göre çok kolay bir şekilde aktif hale getirilebilir. Örnek olarak LD_PRELOAD değişkeni için özel hazırlanmış bir kütüphane ve arkasından yapılan SUID program'ı, ping gibi, bu exploit'i tetikleyebilir.

LD_PRELOAD'ın görevi program başlatılırken yükleyiciye ek kütüphaneler yüklemek fakat burada gerekli filtrelemelerin yapılmaması sonucunda böyle bir güvenlik açığı meydana gelebilmekte. FreeBSD 8.0 ve FreeBSD 7.1'in etkilendiği güvenlik açığı ile bir saldırgan tüm bir sunucuda root yetkilerini ele geçirebilir. FreeBSD 6.3 ve FreeBSD 4.9 ise bu güvenlik açığından etkilenmemekte.