5 Saniyede Kırılan Kablosuz Ağ Parolaları ve Kurumlardaki Güvenlik Kültürü

Kablosuz ağ
Kablosuz internet ağlarının güvenliği konusunda CPP tarafından İngiltere’de 6 şehirde 40 bin kablosuz ağ üzerinde yapılmış bir araştırmaya göre 40 bin internet kablosuz ağ bağlantısının 20 bininin parola korumasız olarak kullanıldığı, bir saatte 350’den fazla kablosuz ağ parolasının kırılabildiği ve bir saldırganın yetkisiz erişim sağlamak istediği ağın parolasını kırması için geçen sürenin 5 saniye olduğu sonucu ortaya çıkmıştır.

Kablosuz ağların sadece evlerde değil, kurumlar dâhilinde de bir İnternet erişimi çözümü olarak kullanılması, bu araştırmaya ait sonuçların kafaları kurcalamasına neden olmaktadır. Günümüzde birçok kurum, çalışanlarına İnternet hizmeti verebilmek için kablosuz ağ yayını kullanmaktadır.

Kablosuz ağların güvenliğinin sağlanmasında kullanılan yöntemler, şifreleme seviyesi ve yetkilendirme seviyesi olarak ikiye ayrılmaktadır. Şifreleme seviyesi güvenlikte ağ ortamına dâhil olmak isteyen bir kullanıcı gerekli kimlik bilgilerini ve şifreleme standartlarını sağlamak zorundadır. Yetkilendirme seviyesi güvenlikte ise ağa dâhil olan bir kullanıcıya İnternet erişimi sağlamak gibi ek yetkilerin verilmesine dair denetimler gerçekleştirilir.

Kablosuz ağın güvenliğinin sağlanması için kullanıcılar ağa dâhil olmadan veya İnternete çıkmadan önce birçok kimlik kontrolü adımına tabi tutulmakta ve İnternet erişimi belirli kısıtlamalar dâhilinde sunulmaktadır. Ancak, kablosuz ağ yapısına ait diğer güvenlik unsurları gözden kaçabilmekte ve ağa ait teknik güvenlik zafiyetleri göz ardı edilebilmektedir. Bu aşamalardan bahsedilirken her kurumun burada anlatılan adımları dahi takip etmediğinden ve birçok kurumun yukarıda bahsi geçen araştırma sonuçlarını doğrulayacak bir şekilde parola korumasız kablosuz ağ yayını kullandığından da bahsetmek yerinde olacaktır.

Kurum içi bilgilerin gizliliğinin, erişilebilirliğinin ve bütünlüğünün riske girmesine sebep olabilecek bu durum için kurum içi güvenlik kültürünü geliştirecek önlemlerin alınması ve bilgi güvenliği yönetimi konusundaki standartların hayata geçirilmesi, bu bağlamda uygulanması gereken en önemli adımlardandır. Güvenlik birçok küçük parçanın bir araya gelmesiyle oluşan bir bütündür. Bu bütün bir zinciri oluşturan halkalar ile tarif edilebilir. Bu durumda bir zincirin sağlamlığı en zayıf halkasının sağlamlığı kadar olacaktır.

Evinde bireysel olarak kendi kullandığı kablosuz ağın ayarını yapar gibi çalıştığı kurumun kablosuz ağ ayarlarını yapan bir çalışan, aslında kurum içinde geliştirilmemiş bir güvenlik kültürünün ve uygulanmayan bir güvenlik standardının kurbanı sayılabilir. Bunun bir sonucu olarak sadece birey değil, kurum da bu durumdan zarar görecektir. Güvenlik kültürünün kurum içinde bireylerin güvenlik kültürünün baz alınarak, hiçbir standart ve bilgi güvenliği yönetimi sistemine dayandırılmadan oluşturulması kurumlar için bir zafiyet oluştururken, saldırganlar için ise büyük fırsatların kapısını aralamaktadır.

Gökhan MUHARREMOĞLU