{"id":6496,"date":"2016-01-22T12:05:11","date_gmt":"2016-01-22T10:05:11","guid":{"rendered":"https:\/\/ihs.com.tr\/blog\/?p=6496"},"modified":"2016-01-22T12:05:11","modified_gmt":"2016-01-22T10:05:11","slug":"lastpass-o-kadar-da-guvenli-degilmis","status":"publish","type":"post","link":"https:\/\/www.ihs.com.tr\/blog\/lastpass-o-kadar-da-guvenli-degilmis\/","title":{"rendered":"LastPass o kadar da g\u00fcvenli de\u011filmi\u015f!"},"content":{"rendered":"

Bir g\u00fcvenlik ara\u015ft\u0131rmac\u0131s\u0131 LastPass<\/strong> kullan\u0131c\u0131lar\u0131n\u0131 endi\u015feye sokacak bir durumu fark etti. \u015eifre y\u00f6neticisine yap\u0131lan bir sald\u0131r\u0131s\u0131yla kullan\u0131c\u0131lar\u0131n e-posta adreslerinin, \u015fifrelerinin, hatta iki unsurlu oturum a\u00e7ma kodlar\u0131n\u0131n \u00e7al\u0131nabilmesi m\u00fcmk\u00fcn. Bu da hackerlar\u0131n LastPass\u2019ta depolanm\u0131\u015f halde duran t\u00fcm belgelere veya \u015fifrelere ula\u015fabilece\u011fi anlam\u0131na geliyor.<\/span><\/p>\n

LostPass ad\u0131 verilen zararl\u0131 kod, 12 milyon ki\u015finin yaz\u0131l\u0131m projelerini ke\u015ffetmek ve projelere katk\u0131da bulunmak i\u00e7in kulland\u0131\u011f\u0131 Github isimli sitede yay\u0131nland\u0131. Bulut tabanl\u0131 g\u00fcvenlik \u00e7\u00f6z\u00fcm\u00fc \u00fcreticisi Praesido\u2019nun ba\u015f teknoloji sorumlusu Sean Cassidy<\/strong> incelemeyi Cumartesi g\u00fcnk\u00fc ShmooCon\u00a0 hacker konferans\u0131ndaki \u00f6zel sunumunda dinleyicilere aktard\u0131.<\/span><\/p>\n

Cassidy<\/strong> incelemesinde\u201cLostPass \u00e7al\u0131\u015f\u0131yor \u00e7\u00fcnk\u00fc LastPass mesajlar\u0131 sald\u0131rganlar\u0131n sahtesini olu\u015fturabilece\u011fi taray\u0131c\u0131da g\u00f6steriyor\u201d\u00a0 Kullan\u0131c\u0131lar sahte LostPass mesaj\u0131yla ger\u00e7ek mesaj aras\u0131ndaki fark\u0131 ay\u0131rt edemiyorlar \u00e7\u00fcnk\u00fc aralar\u0131nda hi\u00e7bir fark yok. Son pikseline kadar ayn\u0131 bildirim ve oturum a\u00e7ma ekran\u0131 s\u00f6z konusu.<\/span><\/p>\n

LostPass Nas\u0131l \u00c7al\u0131\u015f\u0131yor<\/span><\/strong><\/p>\n

LastPass birka\u00e7 ay \u00f6nce Cassidy\u2019nin taray\u0131c\u0131s\u0131na bir mesaj g\u00f6ndererek oturumunun sona erdi\u011fini bildiriyor ve yeniden oturum a\u00e7mas\u0131n\u0131 s\u00f6yl\u00fcyor. Halbuki Cassidy o esnada ne LastPass kullan\u0131yor ne de otomatik oturum sonland\u0131rmaya y\u00f6nelik herhangi bir \u015fey yapm\u0131\u015f.<\/span><\/p>\n

\u201cUyar\u0131ya t\u0131klay\u0131nca bir \u015fey fark ettim: Program bunu taray\u0131c\u0131n\u0131n viewportunda g\u00f6steriyordu. Bu uyar\u0131y\u0131 bir sald\u0131rgan olu\u015fturmu\u015f olabilirdi,\u201d diyor Cassidy. \u201cLastPass uzaktan eri\u015filebilen bir API oldu\u011fu i\u00e7in sald\u0131r\u0131 ihtimali zihnimde iyice g\u00fc\u00e7lendi.\u201d<\/span><\/p>\n

\"LastPass<\/a><\/p>\n

LostPass\u2019in \u00e7al\u0131\u015fmas\u0131 i\u00e7in kurban\u0131n \u00f6nce k\u00f6t\u00fc ama\u00e7l\u0131 bir siteye girmesi, sonra da hacker\u0131n s\u0131ras\u0131yla \u015funlar\u0131 yapmas\u0131 gerekiyor:
\n1- LastPass\u2019i kontrol etmesi ve kullan\u0131c\u0131ya bir oturum sona erdi bildirimi g\u00f6ndermesi.
\n2- kurban\u0131 oturum a\u00e7ma sayfas\u0131na y\u00f6nlendirmesi ve onu LastPass sayfas\u0131n\u0131n bire bir ayn\u0131s\u0131 olan ve hacker\u0131n kontrol\u00fc alt\u0131nda bulunan bir sayfaya y\u00f6nlendirecek sahte bir bannera t\u0131klatmas\u0131.
\n3- kurbana \u015fifresini ve kullan\u0131c\u0131 ad\u0131n\u0131 yazd\u0131rmas\u0131 ve kurban\u0131n t\u00fcm bilgilerini almas\u0131.<\/span><\/p>\n

Yetersiz \u00c7\u00f6z\u00fcm<\/span><\/strong><\/p>\n

LastPass bir blog g\u00f6nderisinde k\u00f6t\u00fc niyetli bir sayfan\u0131n kullan\u0131c\u0131n\u0131n LastPass\u2019teki oturumunu sona erdirmesini engelleyecek bir y\u00f6ntem geli\u015ftirdi\u011fini yazd\u0131. LastPass art\u0131k kullan\u0131c\u0131lar ana \u015fifrelerini sahte bir LastPass sayfas\u0131na girecek olurlarsa fark edecek ve kullan\u0131c\u0131lar oturum a\u00e7madan bir pop-up mesaj\u0131yla uyar\u0131 g\u00f6nderecek. Kullan\u0131c\u0131 bu uyar\u0131y\u0131 g\u00f6rmeyecek veya dikkate almayacak olursa ikinci bir g\u00fcvenlik katman\u0131 var: Kullan\u0131c\u0131dan e\u011fer bilinmeyen bir cihazdan oturum a\u00e7\u0131yorsa kimli\u011fini do\u011frulamas\u0131n\u0131 istemek.<\/span><\/p>\n

Bunun yan\u0131nda, geli\u015fmi\u015f tehdit tespiti \u015firketi Tripwire\u2019da IT g\u00fcvenli\u011fi ve risk stratejisi sorumlusu olan Tim Erlin<\/strong> web sitelerinin taklidini yaparak kullan\u0131c\u0131 bilgilerini ele ge\u00e7irmenin yeni bir olgu olmad\u0131\u011f\u0131n\u0131 s\u00f6yl\u00fcyor.<\/span><\/p>\n

\u201cBu sald\u0131r\u0131 y\u00f6ntemi finans sekt\u00f6r\u00fcnde y\u0131llardan beri kullan\u0131l\u0131yor. Buradaki sald\u0131r\u0131 da ciddi olsa da, LastPass\u2019in h\u0131zl\u0131 bir \u00e7\u00f6z\u00fcm getirece\u011finden \u015f\u00fcphem yok.\u201d<\/span><\/p>\n

Erlin t\u00fcm \u015fifreleri tek bir yerde saklaman\u0131n kullan\u0131m a\u00e7\u0131s\u0131ndan b\u00fcy\u00fck rahatl\u0131k sa\u011flad\u0131\u011f\u0131n\u0131, ayr\u0131ca LastPass gibi ara\u00e7lar\u0131n \u015fifre kullan\u0131m\u0131n\u0131 b\u00fcy\u00fck \u00f6l\u00e7\u00fcde azaltt\u0131\u011f\u0131n\u0131, ama yine de tek bir deponun b\u00fcy\u00fck bir hedef olu\u015fturdu\u011funu da s\u00f6zlerine ekliyor.<\/span><\/p>\n

\u201cKullan\u0131c\u0131lar \u015fifrelemenin kesin bir \u00e7\u00f6z\u00fcm olmad\u0131\u011f\u0131n\u0131 unutmamal\u0131. \u015eifrelendirilmi\u015f veriler ayn\u0131 zamanda \u015fifreleri \u00e7\u00f6z\u00fclecek \u015fekilde tasarlan\u0131rlar. Dolay\u0131s\u0131yla \u00e7ok kullan\u0131lan bir uygulamay\u0131 hacklemek sald\u0131rganlar\u0131n o veriye ula\u015fmak i\u00e7in kullanabilecekleri y\u00f6ntemlerden biri.<\/span><\/p>\n","protected":false},"excerpt":{"rendered":"

Bir g\u00fcvenlik ara\u015ft\u0131rmac\u0131s\u0131 LastPass kullan\u0131c\u0131lar\u0131n\u0131 endi\u015feye sokacak bir durumu fark etti. \u015eifre y\u00f6neticisine yap\u0131lan bir sald\u0131r\u0131s\u0131yla kullan\u0131c\u0131lar\u0131n e-posta adreslerinin, \u015fifrelerinin, hatta iki…<\/p>\n","protected":false},"author":3,"featured_media":6498,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-6496","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-haberler"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.ihs.com.tr\/blog\/wp-json\/wp\/v2\/posts\/6496","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ihs.com.tr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ihs.com.tr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ihs.com.tr\/blog\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ihs.com.tr\/blog\/wp-json\/wp\/v2\/comments?post=6496"}],"version-history":[{"count":3,"href":"https:\/\/www.ihs.com.tr\/blog\/wp-json\/wp\/v2\/posts\/6496\/revisions"}],"predecessor-version":[{"id":6507,"href":"https:\/\/www.ihs.com.tr\/blog\/wp-json\/wp\/v2\/posts\/6496\/revisions\/6507"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ihs.com.tr\/blog\/wp-json\/wp\/v2\/media\/6498"}],"wp:attachment":[{"href":"https:\/\/www.ihs.com.tr\/blog\/wp-json\/wp\/v2\/media?parent=6496"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ihs.com.tr\/blog\/wp-json\/wp\/v2\/categories?post=6496"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ihs.com.tr\/blog\/wp-json\/wp\/v2\/tags?post=6496"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}