Microsoft, uzun yıllar boyunca Windows’un varsayılan olarak desteklediği geçersiz ve savunmasız bir şifreleme şemasını sonlandırıyor. Bu, on yılı aşan süre zarfında bu şifrelemenin istismarına yönelik büyük siber saldırılar sonrası ve önde gelen bir ABD senatörünün sert eleştirileri sonrasında gerçekleşiyor.
RC4’ün Tarihçesi ve Zayıflıkları
2000 yılında Microsoft, Active Directory’yi tanıttığında, Windows bileşenlerinin güvenliğini sağlamak için tek bir yöntem olarak RC4’ü (Rivest Cipher 4) seçti. Matematikçi ve kriptograf Ron Rivest tarafından geliştirilen bu akış şifrelemesi, piyasaya çıktığı 1987 yılından bu yana sıkça kullanıldı. Ancak, 1994 yılında algoritmanın ticari sırlarının sızması ile birlikte, bir araştırmacı bu şifrelemenin güvenliğini büyük ölçüde zayıflatan bir kriptografik saldırıyı gösterdi.
Bilinen savunmasızlıklara rağmen, RC4, SSL ve onun halefleri olan TLS gibi şifreleme protokollerinde uzun yıllar boyunca bir temel haline geldi. Ancak, son on yıl içinde bu uygulama giderek fazla tartışılır hale geldi.
Microsoft’un Değiştirdiği Tutum
Microsoft, Active Directory’yi daha güvenli olan AES (Advanced Encryption Standard) şifreleme standardıyla güncellemeye başladı, ancak Windows sunucuları hâlâ varsayılan olarak RC4 tabanlı kimlik doğrulama taleplerine cevap vermekteydi. Bu durum siber saldırganlar için büyük bir zaaf olarak karşımıza çıkıyordu. Örneğin, RC4 kullanımı geçen yıl yaşanan Ascension sağlık devinin veri ihlalinde önemli bir rol oynadı. Bu ihlal, 140 hastanede hayatı tehdit eden kesintilere yol açarak 5.6 milyon hastanın tıbbi kayıtlarını saldırganların eline geçirdi.
Senatörün Eleştirileri ve Kamu Tepkisi
Amerikalı Senatör Ron Wyden, Eylül ayında Microsoft’u “büyük siber güvenlik ihmaline” karışmakla suçlayarak, Federal Ticaret Komisyonu’nu bu durumu soruşturmaya davet etti. Senatör, RC4’ün varsayılan olarak hâlâ desteklenmesini eleştirdi.
Gelecekteki Planlar ve Yenilikler
Microsoft, 2026 yılının ortalarına gelindiğinde, Windows Server 2008 ve üzeri sistemler için Kerberos Anahtar Dağıtım Merkezi’ndeki (KDC) varsayılan ayarlarını yalnızca AES-SHA1 şifrelemesini destekleyecek şekilde güncelleyeceğini duyurdu. Bu tarihten itibaren RC4 varsayılan olarak devre dışı bırakılacak ve yalnızca bir sistem yöneticisi tarafından açıkça yapılandırılmadığı sürece kullanılamayacak.
AES-SHA1 algoritması, Windows’un tüm desteklenen sürümlerinde hazır bulunuyor ve güvenli bir standart olarak kabul ediliyor. Ancak, mevcutta bazı üçüncü taraf eski sistemler hâlâ RC4 kullanarak Windows ağlarına kimlik doğrulama gerçekleştiriyor. Bu sistemler genellikle gözden kaçabiliyor ve acil işlevler için kritik öneme sahip olabiliyor.
Sonuç Olarak
Microsoft’un RC4’ü resmi olarak sonlandırması, siber güvenlik alanında önemli bir adım olarak değerlendiriliyor. Bu değişiklik, devlet ve özel sektörde birçok kuruluşun güvenliğini artırabilir. Ancak, sistem yöneticilerinin mevcut ağlarına yönelik gerekli güncellemeleri yapmaları hayati önem taşıyor. Mevcut durumu göz önünde bulundurursak, güvenlik zaaflarını azaltmak için öncelikle eski sistemlerin gözden geçirilmesi ve yeni standartlara geçişin sağlanması gerekiyor.
Teknoloji
US-1
