Malicious Apps In Play Store

CynoSure Prime 320 Milyon Şifreyi Ele Geçirdi

AraÅŸtırmacılar SHA-1 ve Genel Åžifreler Hakkında Ä°lginç Veriler Elde Ettiler

Kendisini ‘Åžifre araÅŸtırma topluluÄŸu’ olarak adlandırılan CynoSure Prime adlı grup, reverse hash yöntemi kullanarak Troy Hunt’ın Have I Been Pawned veritabanından 320 milyon ÅŸifreyi ele geçirdi. Topluluk, baÅŸka bir grup araÅŸtırmacıyla daha çalışarak, sızdırılan ÅŸifre listelerinden ilginç bilgiler ele geçirildi.

CynoSure Prime’ın açıklaması ÅŸu ÅŸekilde oldu;

‘Yaygın ÅŸifreleri hesap açma esnasında engellemenin web sitelerinin genel ÅŸifre güvenliÄŸine olumlu etkileri var. 320 milyon sızdırılmış ÅŸifreyi kara listeye almak, ilerde ÅŸifre güvenliÄŸini geliÅŸtirmek için iyi bir fikir gibi görülebilir, bunlar kullanılabilirlik üzerinde ön görülemeyen sonuçlar doÄŸurabilir. Geleneksel kara liste yaklaşımları, çoÄŸunlukla en yaygın 10 bin ÅŸifreyi içeriyor ve böylece tahmin edilen saldırı sonuçlarını sınırlandırmak için kullanılıyor. Åžimdiye kadar kara liste geniÅŸliÄŸinin optimum denge saÄŸladığını destekleyen bir kanıt ise bulunmuyor.’

EÄŸer Infosec topluluÄŸunun düzenli bir parçası deÄŸilseniz, CynoSure Prime’ı muhtemelen sadece birkaç yıl önce gerçekleÅŸen Ashley Madison saldırısından tanıyacaksınızdır. O zaman dahi, 2015’ten bu yana CynoSure sadece bir dizi açıklama yapmıştı. Ne olursa olsun, araÅŸtırmanın etkileyici olduÄŸunu söyleyebiliriz ve alınacak bazı dersler var.

Daha da ileri gitmeden önce, hashing teriminin anlamını açıklayalım. Hashing, bir dizi karakteri daha kısa hâle, genellikle bir deÄŸer ya da anahtara çevirme hâlidir. Genellikle endekslemede ve veritabanındaki nesneleri bulmada kullanılır. Fakat aynı zamanda baÅŸka fonksiyonları da vardır.

SHA 1’in Mezarı

Hunt’ın veritabanında 15 farklı hashing algoritması ortaya çıkarken, bu ÅŸifrelerin büyük çoÄŸunluÄŸu eski SHA-1 yöntemiyle hash edilmiÅŸti. SHA-1 resmi olarak birkaç yıl önce modası geçmiÅŸ kabul edilirken, bu sırada Google da araÅŸtırmaya milyonlarca dolar ve zaman harcamıştı.

Büyük çoÄŸunluk araÅŸtırmacıların sözünü kıstas alarak, SHA-1’in savunmasız olduÄŸunu kabul etmiÅŸti. Google ise SHA-1’in hâlâ ‘ölü’ olmasına sevinecek gibi duruyor.

CynoSure, 320 milyon hash arasından hepsini ele geçirdi fakat sadece 116 tanesinde yüzde 99.9999 baÅŸarı oranına eriÅŸildi.

 

 

 

Hashler Ä°çinde Saklanan Ek Bilgiler

CynoSure aynı zamanda pek çok grubun orijinal hashlenmiÅŸ verileriyle birlikte, e-posta – ÅŸifre kombinasyonları gibi kiÅŸisel kimlik bilgilerini de sakladığını öÄŸrendi.

Troy Hunt, bu bilgileri veri yayınına dahil etmeyi hiç amaçlamamıştı ve bunları silmeyi taahhüt etmiÅŸti.

 

 

Ortaya Çıkan Sonuçlar

Ä°ÅŸte CynoSure’un araÅŸtırmasından ortaya çıkan bazı çabuk bilgiler:

- Bulunan en uzun şifre 400 karakter uzunluğundaydı.

- En kısa şifre ise 3 karakter uzunluğundaydı.

- Åžifrelerin yüzde 6’sı 50 karakterden uzundu.

- Åžifrelerin yüzde 67’si 16 karakterden kısaydı.

 

Zor Olmadı

Buradan çıkarılabilecek en önemli sonuçlardna birisi de, sektörde bulunan araçların bazılarının an itibariyle ne kadar güçlü olduÄŸu. MDXfind ve Hashcat’i quad-core Intel Core i7-6700k iÅŸlemci, dört tane GeForce GTX 1080 ekran kartı ve 64GB RAM’in bulunduÄŸu bir sistemde kullanan araÅŸtırmacılar, reverse iÅŸlemini bir saatin altında bir sürede gerçekleÅŸtirdi.

Bu da kesinlikle sıradışı bir durum.

Ne ÖÄŸrendik?

Bu olaydan öÄŸrendiklerimiz ise ÅŸu ÅŸekilde;

- Åžifre araÅŸtırma topluluÄŸu CynoSure Prime, Troy Hunt’ın verilerinde derin bir analiz gerçekleÅŸtirdi ve neredeyse 320 milyon ÅŸifreyi  reverse etti.

- SHA-1 bu araştırmada başarılı olamadı ve SHA-1 verilerinin neredeyse tamamı reverse hash edildi.

 

- Ortalama şifre uzunlukları 16 karakterden daha kısaydı.