Kaba kuvvet saldırıları, hacker dünyasının en eski yöntemlerinden biridir; yine de son derece etkili olmaya devam etmektedir. Kasanızın kombinasyonunu tahmin etmeye çalışan birini düşünün; ama bu sefer tek bir kişi değil, her saniye milyonlarca kombinasyonu deneyen güçlü bir algoritma söz konusudur.
Bu makalede, kaba kuvvet saldırılarının nasıl çalıştığını, farklı türlerini ve en önemlisi bu saldırıları etkili biçimde nasıl önleyeceğinizi ele alacağım. Temel stratejileri, platforma özgü savunma yöntemlerini ve sistemlerinizi güvende tutmanıza yardımcı olacak gelişmiş araçları inceleyeceğiz.
- Kaba Kuvvet Saldırısı Nedir?
- Kaba Kuvvet Saldırılarını Önlemek için En İyi Uygulamalar
- WordPress'de Kaba Kuvvet Saldırılarına Karşı Koruma
- SSH Kaba Kuvvet Saldırılarına Karşı Güvenlik
- Yaygın Kullanılan Kaba Kuvvet Saldırı Araçları ve Bunlarla Nasıl Başa Çıkılır
- Son Değerlendirme ve Kaba Kuvvet Saldırılarına Karşı Önlemler
Kaba Kuvvet Saldırısı Nedir?
Bir web geliştiricisinin karşılaşabileceği en yaygın saldırı türlerinden biri kaba kuvvet saldırısıdır. Bu tür saldırılarda saldırganlar, doğru kombinasyonu bulana kadar harf, rakam ve sembollerden oluşan her olası kombinasyonu deneme-yanılma yöntemiyle deneyen algoritmalar kullanır.
Bu saldırı türünü zorlaştıran şey, basitliği ve inatçı süreğenliğidir. Şifreler her güvenlik sisteminin temel bir parçası olduğundan, kolayca keşfedilip engellenebilecek akıllıca bir hile veya özel bir açık yoktur.
Kaba kuvvet saldırıları seçici değildir; kişisel hesaplardan büyük kurumsal sistemlere kadar her şeyi hedef alır. Ancak bu saldırıların etkisi büyük ölçüde hedef platforma bağlıdır. Ele geçirilmiş bir WordPress yönetici girişi web sitelerinin tahrip edilmesine veya müşteri verilerinin çalınmasına yol açabilirken, SSH üzerindeki bir kaba kuvvet saldırısı şirketin tüm sunucu altyapısını tehlikeye atabilir.
Bu saldırılar aynı zamanda itibar kaybına ve maliyetli kesinti sürelerine neden olur. eCommerce veya SaaS sağlayıcıları gibi çevrimiçi operasyonlara dayanan işletmeler, güvenlik ihlalleri sırasında hem gelir hem de müşteri güveni kaybeder. %60 küçük işletmelerin büyük bir siber saldırının ardından altı ay içinde kapanıyor; bu da söz konusu olayların ne denli yıkıcı olabileceğini açıkça ortaya koyuyor.
Ancak kaba kuvvet saldırılarını nasıl önleyeceğimizden bahsetmeden önce, bu saldırıların nasıl çalıştığını ve saldırganların kullandığı farklı kaba kuvvet yöntemlerini anlamanız gerekiyor.
Blog Yazmaya Başlayın
WordPress'nizi NVMe depolama ve dünya genelinde düşük gecikme süresi sunan üst düzey donanım üzerinde kendiniz barındırın; istediğiniz dağıtımı seçin.
WordPress VPS Edinin
Kaba Kuvvet Saldırısı Türleri
Kaba kuvvet saldırılarının birkaç farklı türü vardır.
- Sözlük Saldırıları: "123456" veya "password" gibi yaygın olarak kullanılan şifrelerden oluşan bir listeyi tekrar tekrar deneyerek kolayca tahmin edilebilen şifreleri hedef alır.
- Kimlik Bilgisi Doldurma: Saldırganlar, birden fazla hesaba erişim sağlamak için geçmiş veri ihlallerinden sızdırılmış kullanıcı adı-şifre kombinasyonlarını kullanır.
- Ters Kaba Kuvvet Saldırıları: Tek bir yem ile balık tutmaya benzer şekilde; "123456" veya "welcome" gibi bilinen bir şifreyle başlanır ve bu şifre eşleşme bulunana kadar çok sayıda kullanıcı adına karşı sistematik olarak denenir.
- Rainbow Table Saldırıları: Hash değerlerini şifrelerle eşleştiren önceden hesaplanmış tablolar kullanılır. Bu yöntem, her hash'i tek tek hesaplamadan hashlenmiş şifrelerin çok daha hızlı kırılmasını sağlar.
- Parola Püskürtme: Tek bir hesabı çok sayıda şifre denemesiyle bombardımana tutmak yerine, birkaç yaygın şifre pek çok kullanıcı adında denenir. Böylece hesap kilitlemeyi tetiklemeden zayıf noktalar istismar edilir.
- Çevrimiçi Kaba Kuvvet Saldırıları: Web siteleri ve uygulamalar gibi canlı sistemleri hedef alır. Sunucularla doğrudan etkileşime girerler; ancak hız sınırlaması veya kısıtlamayla karşılaşabilirler. Bu durum saldırıları yavaşlatsa da zayıf giriş formlarına karşı tehlikeli olmaya devam ederler.
- Çevrimdışı Kaba Kuvvet Saldırıları: Çalınmış şifreli bir dosya üzerinde gerçekleştirilir. Saldırganlar, güvenlik duvarları veya izleme sistemleri tarafından fark edilmeden kendi makinelerinde yüksek hızda şifre çözme anahtarlarını deneyebilir.
Bu saldırılar neden bu kadar yaygın? Sorunun büyük bir kısmı bizden kaynaklanıyor. Araştırmalar, %65 oranında insanlar birden fazla hesapta aynı parolayı kullandığını gösteriyor. Bu, bir hırsıza ana anahtar vermek gibidir: bir parolayı ele geçiren biri her şeyin kapısını açabilir. Üstelik "qwerty" gibi parolaların yıldan yıla en popüler seçenekler arasında yer almaya devam etmesi de işleri kolaylaştırmıyor.
Bu saldırıların ne denli yaygın olduğunu göstermek için bir istatistik: Tüm giriş denemelerinin %22,6'sı 2022 yılında e-ticaret sitelerinde gerçekleştirilen giriş denemelerinin neredeyse dörtte biri brute force veya credential stuffing saldırısıydı. İşletmeler, bu saldırılar nedeniyle sahte satın almalar, müşteri veri hırsızlığı ve ciddi itibar kayıplarıyla karşı karşıya kaldı.
Bunun yanı sıra, saldırganlar hedef siteleri inceleyerek brute force araçlarını sitenin parametrelerine göre ince ayarlıyor. Giriş sayfaları en belirgin hedefler olmakla birlikte, CMS yönetici panelleri de saldırganların sıklıkla uğradığı noktalardır. Bu noktalar şunlardır:
- WordPress: wp-admin ve wp-login.php gibi yaygın giriş noktaları.
- Magento: /index.php ve yönetici panelleri gibi savunmasız yollar.
- Joomla!: Yönetici sayfası, saldırganların sıkça nişan aldığı bir hedef.
- vBulletin: admin cp gibi yönetici panelleri çoğu zaman saldırıların odağında yer alır.
İyi haber şu: riskleri anlamak, savaşın yarısını kazanmaktır. Bir WordPress sitesini, SSH sunucusunu veya başka bir platformu güvende tutmaya çalışıyor olun, zayıf noktalarınızın nerede olduğunu bilmek, brute force saldırılarını önlemenin ilk adımıdır.
Kaba Kuvvet Saldırılarını Önlemek için En İyi Uygulamalar
Brute force saldırılarını durdurmak, sağduyuyu akıllı stratejilerle birleştirmeyi gerektirir. Bunu evinizin her kapısını ve penceresini kilitlemek, ardından bir güvenlik sistemi kurmak gibi düşünebilirsiniz. Aşağıdaki en iyi uygulamalar çoğu platformda geçerlidir ve sistemlerinizi güvende tutmak için sağlam bir temel oluşturur.
Güçlü ve Benzersiz Parolalar Kullanın
Zayıf veya yeniden kullanılan parolalar, brute force saldırıları için açık bir davetiye niteliği taşır. En az 12 karakter uzunluğunda, büyük-küçük harf, rakam ve sembol içeren parolalar seçin; tahmin edilmesi kolay kombinasyonlardan kaçının. araştırma bulundu "123456" ve "password" parolalarının 2022 yılında da en yaygın parolalar arasında yer aldığını gösteriyor.
Çok Faktörlü Kimlik Doğrulamayı (MFA) Etkinleştirin
MFA ile bir saldırgan parolanızı tahmin etse bile telefona gönderilen tek kullanımlık kod gibi ek bir doğrulama adımını aşmak zorunda kalır. Microsoft'e göre, MFA hesap ele geçirme saldırılarının %99,2'sinden fazlasını engelliyor. Aşağıdaki rehberimize göz atın: Windows 10'da İki Faktörlü Kimlik Doğrulama nasıl etkinleştirilir.
Hesap Kilitlemeyi Etkinleştirin
Belirli sayıda başarısız giriş denemesinin ardından hesabı geçici olarak kilitleyin. Bu basit önlem, brute force saldırılarını başlamadan durdurur.
Hız Sınırlaması Ayarlayın
Belirli bir zaman diliminde yapılabilecek giriş denemesi sayısını sınırlayın. Örneğin, dakikada yalnızca beş denemeye izin vermek, brute force saldırılarını önemli ölçüde zorlaştırır.
Olağandışı Aktiviteyi İzleyin ve Yanıt Verin
Brute force girişimlerini erkenden tespit etmek için saldırı tespit sistemleri (IDS) gibi araçlar kullanın.
En güçlü savunma, katmanlı savunmadır. Bu yöntemleri bir arada uygulamak, saldırganların başarıya ulaşmasını çok daha güç hale getirir. Şimdi bu ilkeleri özellikle brute force saldırılarının sık görüldüğü WordPress gibi platformlara nasıl uygulayacağınıza bakacağız.
WordPress'de Kaba Kuvvet Saldırılarına Karşı Koruma
WordPress siteleri, saldırganlar için cazip bir hedef. Platformda milyonlarca web sitesi çalıştığından, saldırganlar zayıf güvenlikli bir site bulma olasılıklarının yüksek olduğunu biliyor. WordPress'de brute force saldırılarını önlemek sandığınızdan çok daha kolay.
Varsayılan Giriş URL Adresini Değiştirin
Saldırganlar, varsayılan giriş sayfasını (/wp-admin veya /wp-login.php) hedef alır. Özel bir URL'ye geçmek, ön kapıyı taşımak gibidir: saldırganların bulması çok daha güç olur.
Güvenlik Eklentileri Yükleyin
Wordfence ve Sucuri gibi eklentiler, CAPTCHA, IP engelleme ve gerçek zamanlı izleme dahil olmak üzere etkili brute force saldırısı önleme araçları sunar.
XML-RPC'yi Devre Dışı Bırakın
XML-RPC, saldırganların giriş denemeleri için sıklıkla kötüye kullandığı bir açıktır. WordPress sitelerinde bu özelliği devre dışı bırakmak, brute force saldırılarına karşı savunmasızlığı önemli ölçüde azaltır.
Giriş Sayfalarına CAPTCHA Ekleyin
CAPTCHA, yalnızca gerçek kullanıcıların oturum açmasını sağlayarak otomatik kaba kuvvet araçlarını devre dışı bırakır.
wp-config.php Dosyasını Güvenli Hale Getirin
wp-config.php dosyasına erişimi .htaccess veya sunucu kurallarını düzenleyerek kısıtlayın; bu dosya sitenizin temel yapı taşıdır.
Düzenli Olarak Güncelle
Güncel tutulmayan eklentiler ve temalar saldırganlara açık kapı bırakır. Düzenli güncellemeler bilinen güvenlik açıklarını kapatarak brute force saldırısı WordPress risklerine karşı koruma sağlar. Bu, WordPress sitelerinin sıklıkla maruz kaldığı brute force saldırılarına karşı savunmanın temel adımıdır.
Bu adımları uyguladıktan sonra WordPress siteniz çok daha güvenli hale gelecektir. Şimdi, brute force saldırılarının bir diğer sık hedefi olan SSH sunucularını güvence altına almaya geçeceğiz.
SSH Kaba Kuvvet Saldırılarına Karşı Güvenlik
SSH sunucuları, sistemlerinizin dijital anahtarları gibidir; bu da onları saldırganlar için birincil hedef haline getirir. SSH üzerinde brute force saldırılarını nasıl önleyeceğinizi bilmek yalnızca akıllıca değil, hassas sistemleri korumak açısından zorunludur.
SSH Anahtar Doğrulaması Kullanın
Parola tabanlı oturum açma yöntemleri risk taşır. SSH anahtar kimlik doğrulamasına geçmek ek bir güvenlik katmanı ekler; saldırganların yalnızca bir parola tahmin etmesi yetmez, özel anahtarınıza da erişmeleri gerekir. Bu, SSH brute force saldırılarının başarı oranını önemli ölçüde düşürür.
Root Girişini Devre Dışı Bırakın
Root kullanıcısı, SSH brute force saldırılarında genellikle ilk hedef alınır. Doğrudan root girişini devre dışı bırakın ve sınırlı yetkilerle ayrı bir kullanıcı hesabı oluşturun. Hedef alınamayan hesabı kaba kuvvetle kırmak mümkün değildir.
UFW ve Fail2Ban Kurun
UFW ve Fail2Ban gibi araçlar başarısız oturum açma girişimlerini izler ve şüpheli davranış sergileyen IP adreslerini engeller. SSH sunucularında brute force saldırılarını durdurmak için en etkili yöntemlerden biridir. Ayrıntılı kılavuzumuza göz atın: UFW ve Fail2Ban'ı kurma, etkinleştirme ve yönetme.
Varsayılan Portu Değiştirin
SSH varsayılan olarak 22 numaralı portu kullanır ve saldırganlar bunu bilir. SSH'yi standart dışı bir porta taşımak basit ama işe yarayan bir gizlilik katmanı ekler.
IP Beyaz Listesi Kullan
SSH erişimini belirli IP adresleriyle sınırlayın. Bu, istenmeyen trafiği tamamen engeller ve brute force araçlarının bağlantı kurmasını baştan önler.
Bu adımları uyguladıktan sonra SSH sunucunuz saldırılara karşı çok daha az açık hale gelecektir. Yaygın önlemleri ele aldığımıza göre şimdi saldırganların kullandığı belirli araçlarla nasıl başa çıkılacağına bakalım.
Yaygın Kullanılan Kaba Kuvvet Saldırı Araçları ve Bunlarla Nasıl Başa Çıkılır
Yukarıdaki uygulamalar brute force saldırılarını önlemede önemli ölçüde yardımcı olsa da bunlar büyük ölçüde genel önlemlerdir. Gerçek şu ki saldırganların çoğu belirli araçlara başvurur ve bu araçlarla nasıl mücadele edileceğini bilmek kritik önem taşır.
Wi-Fi Şifre Kırma Araçları
Aircrack-ng: WEP, WPA ve WPA2-PSK üzerinde sözlük saldırıları yoluyla Wi-Fi parolalarını kırmaya yarayan çok platformlu çok yönlü bir araç.
- Hafifletme: WPA3 şifrelemesi kullanın, uzun ve karmaşık parolalar oluşturun, MAC adresi filtrelemesini etkinleştirin ve kablosuz saldırı tespit sistemleri (WIDS) dağıtın.
Genel Şifre Kırma Araçları
John the Ripper Brute force veya sözlük saldırıları kullanarak zayıf parolaları tespit edip kırar; Windows ve Unix dahil 15'ten fazla platformu destekler.
- Hafifletme: Güçlü parola politikaları uygulayın (en az 12 karakter, yüksek karmaşıklık), tuzlu hash kullanın ve düzenli parola denetimleri ile rotasyonu gerçekleştirin.
Rainbow Crack Parola kırmayı hızlandırmak için önceden hesaplanmış rainbow table'lardan yararlanır; hem Windows hem de Linux'yi destekler.
- Hafifletme: Rainbow table'ları etkisiz kılmak için tuzlu hash kullanın; bcrypt, Argon2 veya scrypt gibi hashing algoritmalarını tercih edin.
L0phtCrack: Windows parolalarını sözlük, kaba kuvvet, hibrit saldırılar ve gökkuşağı tabloları kullanarak kırar; hash çıkarma ve ağ izleme gibi gelişmiş özellikleri de destekler.
- Hafifletme: Başarısız girişimlerin ardından hesapları kilitleyin, daha yüksek entropi için parola öbekleri kullanın ve çok faktörlü kimlik doğrulamayı (MFA) zorunlu kılın.
Ophcrack: Yerleşik gökkuşağı tabloları aracılığıyla LM hash'lerini kullanarak Windows parolalarını kırmaya odaklanır; genellikle dakikalar içinde tamamlar.
- Hafifletme: LM hash'lerine dayanmayan sistemlere geçin (ör. Windows 10+), uzun ve karmaşık parolalar kullanın ve SMBv1'i devre dışı bırakın.
Gelişmiş ve Çok Amaçlı Şifre Araçları
Hashcat: Kaba kuvvet, sözlük ve hibrit gibi çeşitli saldırı türlerini ve hash formatlarını destekleyen GPU hızlandırmalı bir araçtır.
- Hafifletme: Güçlü parola politikaları uygulayın, hash dosyalarını güvenli şekilde saklayın ve hassas verileri güçlü anahtarlarla şifreleyin.
DaveGrohl: Dağıtık kaba kuvvet ve sözlük saldırılarını destekleyen, yalnızca Mac OS X'e özel bir araçtır.
- Hafifletme: Mac OS X sistemlerini denetleyin, parola dosyalarına erişimi kısıtlayın ve çok faktörlü kimlik doğrulamayı (MFA) zorunlu kılın.
Ağ Kimlik Doğrulama ve Protokol Araçları
Ncrack: RDP, SSH ve FTP gibi ağ kimlik doğrulama protokollerini farklı platformlarda kırar.
- Hafifletme: Ağa açık servislere güvenlik duvarlarıyla erişimi kısıtlayın, art arda başarısız giriş denemelerinden sonra IP tabanlı engelleme uygulayın ve kritik servisler için varsayılan olmayan portlar kullanın.
THC Hidra Telnet, FTP ve HTTP(S) dahil 30'dan fazla protokolde sözlük tabanlı kaba kuvvet saldırıları gerçekleştirir.
- Hafifletme: Yeniden denemeleri sınırlamak için CAPTCHA veya benzeri mekanizmalar uygulayın, şifreli protokollerden (ör. FTPS, HTTPS) yararlanın ve güvenli erişim için MFA isteyin.
Web, Alt Alan Adları ve CMS için Özel Araçlar
Gobuster: Web sızma testlerinde alt alan adları ve dizinler üzerinde kaba kuvvet uygulamak için idealdir.
- Hafifletme: Web uygulama güvenlik duvarları (WAF) kullanın, hassas dizinlere erişimi kısıtlayın ve varsayılan dosya yapılarını gizleyin ya da karmaşıklaştırın.
Araştırma: Güvenlik testleri sırasında gizli web yollarını ve dizinlerini keşfeder.
- Önlem: Erişimi kısıtlamak için .htaccess veya sunucu kuralları kullanın, kullanılmayan dizinleri kaldırın ve hassas web yollarını güvence altına alın.
Burp Suite: Kaba kuvvet ve zafiyet tarama özelliklerini barındıran kapsamlı bir web güvenliği test paketidir.
- Hafifletme: Web uygulamalarını düzenli olarak güncelleyin, sızma testleri yapın ve anormal kaba kuvvet aktivitesini izleyin.
CMSeek: Test sürecinde CMS zafiyetlerini keşfetmeye ve bunlardan yararlanmaya odaklanır.
- Hafifletme: CMS platformlarını güncel tutun, yapılandırmaları güvenli hale getirin ve koruyucu eklentilerle kaba kuvvet denemelerini sınırlayın.
Token, Sosyal Medya ve Diğer Araçlar
JWT Çözücü: Test amaçlı JSON Web Token kırmada uzmanlaşmıştır.
- Hafifletme: JWT imzalama için uzun ve güvenli anahtarlar kullanın, token süre sonunu kısa tutun ve zayıf ya da imzasız algoritmaları reddedin.
SocialBox: Sosyal medya hesaplarına yönelik kaba kuvvet testlerinde kullanılır.
- Hafifletme: Başarısız girişimlerin ardından hesap kilitlemeyi etkinleştirin, iki faktörlü kimlik doğrulamayı zorunlu kılın ve kullanıcıları kimlik avı konusunda bilinçlendirin.
Predictor: Kaba kuvvet saldırıları için özelleştirilmiş kelime listeleri oluşturan bir sözlük oluşturucusudur.
- Hafifletme: Kimlik bilgisi sızıntılarını izleyin, zayıf varsayılan parolalar kullanmaktan kaçının ve güvenlik için sürekli denetimler uygulayın.
Patator: Çeşitli protokolleri ve yöntemleri destekleyen çok amaçlı bir brute force aracı.
- Hafifletme: Saldırganları yavaşlatmak için hız sınırlaması, özel hata mesajları ve güçlü hesap kilitleme mekanizmaları uygulayın.
Nettracker: Brute force ve diğer değerlendirmeler dahil olmak üzere sızma testi görevlerini otomatikleştirir.
- Hafifletme: Ağ günlüklerini düzenli olarak izleyin, test kimlik bilgilerini izole edin ve sızma araçlarının güvenli şekilde yönetildiğinden emin olun.
Son Değerlendirme ve Kaba Kuvvet Saldırılarına Karşı Önlemler
Davranış analizi yazılımları, honeypot'lar ve IP itibar engelleyiciler gibi gelişmiş araçlar, tehditleri daha oluşmadan tespit edip durdurabilir. Bu önlemler; çok faktörlü kimlik doğrulama ve güçlü parolalar gibi temel savunmalarla birlikte çalışarak sağlam bir güvenlik katmanı oluşturur.
Brute force saldırılarını önlemeyi öğrenmek, uzun vadeli düşünmeyi gerektirir. Akıllı stratejileri brute force saldırı önleme araçlarıyla birleştirmek, sistemlerinizi en inatçı saldırılara karşı bile korur. Tetikte kalın, uyum sağlayın ve siber güvenliği geleceğinize yapılan bir yatırım olarak değerlendirin.
