Güleriz Ağlanacak Halimize…
Siber saldırılara karşı 123456 gibi “kolay” kırılabilecek şifreler kullanılmayacak.
8 karakterli oluşturulacak şifrelerde ardışık rakam, harf ve ya kullanıcı adı, soyadı yer almayacak.
RedHack üyeleri 1 ay önce Ankara ve Kırıkkale Emniyetleri ile bazı ilçe emniyet müdürlüklerinin “server”larının şifrelerini kırarak birimlerin sistemine sızmıştı.
Hackerler, emniyet müdürlüklerine gönderilen ihbar maillerinin içeriği ile silah ruhsat başvurularında bulunan kişilerin kapsamlı kimlik bilgilerine erişmişti. Siber saldırıdan sonra RedHack grubu, medya organlarına polisin kullandığı 1,2,3,4,5,6 yazılı şifre ile dalga bile geçmişti.
Hackerların sisteme sızmasından sonra polisin bilgi işlem birimleri internet bağlantılı sistemleri kapatmıştı.
Bunun üzerine harekete geçen Emniyet Genel Müdürü Mehmet Kılıçlar, “bilgisayar sistemleri” güvenliği konusunda 81 il emniyetine genelge gönderdi. Genelgede, emniyet birimlerine ait bilgisayar sistemlerine erişilmemesi için alınması gereken önlemler tek tek sıralandı.
İŞTE O TEDBİRLER
Mehmet Kılıçlar, siber saldırılara karşı alınması gereken tedbirleri de şöyle açıkladı:
- Birimlerimizce kullanılan her türlü bilgisayar ağları ve sistemlerine sadece yetkilendirilmiş personelin, yetkileri dahilinde girişlerine müsaade edin. Teknolojik imkanlar ölçüsünde yetkisiz erişimi engelleyecek gerekli tedbirleri alın.
- Her kullanıcı için ayrı kullanıcı adı ve şifre verin. Personelin bu kullanıcı adı ve şifrelerin kötü amaçlı kullanımından sorumlu olacağının bilincinde olmasını sağlayın.
- Sistemlere girişte kullanılan şifrelerin “kolayca” tahmin edilmesini ve kırılmasını engelleyin.
- Şifreler en az 8 karakter uzunluğunda olacak,
- Şifrenin klavye üzerinde yer alan büyük harf, küçük harf, noktalama işaretleri ve rakamlardan oluşan 4 karakter grubunun en az 3’ünü içinde muhafaza etmesi sağlanacak. (Örneğin; 357984Ea ve ya EA357984.! gibi)
- Şifrenin içerisinde ardışık rakam, ardışık harf, kullanıcının adı, soyadı ve ya kullanıcı adının bir kısma ya da tamamı yer almayacak.
- Son 10 şifre kullanılmayacak.
- Şifreler periyodik olarak maksimum 60 günde bir değiştirilecek.
Ayrıca Web site sorumlularına, web sayfalarındaki açıkları gidermeleri için yayınlanan 6 maddelik genelge ile
- Ziyaretçi defteri kullanan birimler, onay sistemi olmadan mesajları direkt yayınlamamalı, mesaj içerikleri kontrol edilerek html.SQL cümleleri ve javascript içeren mesajlar silinmeli.
- Form uygulamalarında, arama motorlarında, randevu sistemlerinde vb. uygulamalarda javascript ve ya validator kullanılarak yapılan kontrollerin yazılım kodları tarafından da kontrolü yapılmalı.
- Yönetici giriş ekranlarında kesinlikle kullanıcı adı ve kullanıcı parolası olarak 2 alan kontrolü bulunmalı ve yanlış girişlerde ‘bilgilerinizi kontrol ediniz‘ gibi bir mesaj verilmeli. Giriş hatasına göre kullanıcı adınız yanlış ve ya parolanız yanlış gibi tekil mesajlar verilmemeli.
- Sayfalararası veri gönderme işlemlerinde ‘querystring’ yöntemi kullanan birimler, verinin gönderildiği sayfada gelen ‘querystring’ değerin içinde gönderilmesi muhtemel kötü amaçlı kodları ‘replace’ ederek temizlenerek kullanılmalı. Bu yöntem; asp, php ve benzeri gibi dillerde de aynı karakterler ve kelimeler kullanılarak temizlenmeli.
- Site içi aramalarda ve kullanıcıya değer döndürülen uygulamalarda, örneklerde açıklandığı gibi “replace” yöntemi kullanılarak gelen değer temizlenmeli.
- Yönetim paneli olan veya Joomla gibi hazır web siteleri kullanan birimler, admin olan default giriş kullanıcı adını bloke edip, tahmin edilmesi zor yetkili bir kullanıcı adı ve karmaşık yapıdan oluşan 14 karakterli şifre tanımlamalıdır.
2013’TE HİZMETE GİRECEK
RedHack grubunun son günlerde Emniyet Genel Müdürlüğü, Adalet Bakanlığı ve Yargıtay gibi birçok kurumun serverlarını çökertmesi üzerine harekete geçildi.
Emniyete karargahına yapılan siber saldırı sonrası Kızıl Hacker grubu, Interpol Genel Sekreterliği ile işbirliğine gidilerek uluslararası düzeyde takibe alınırken, Bilgi İşlem Daire Başkanlığı, emniyete ait web sitelerinin yazılım güvenliği için “Portal” adı verilen özel proje geliştirildi.
2013 yılının başında hizmete sokulacak proje sayesinde yerli/yabancı hackerlar, polisin serverlarını çökertemeyecek ve bilişim sistemlerine erişemeyecek.