Teknolo氣.com

Ülkemizdeki en çok müşteriye sahip bankalardan olan Garanti Bankası, internet şubesi ve sanal bankacılık uygulamaları alanında da sürekli kendisini geliştiriyor. Her ne kadar Android işletim sistemine sahip aygıtlar için Şifrematik uygulamasını biraz geç çıkartmış olsa da Garanti’nin teknolojiyi yakından takip ettiğini söyleyebiliriz. Her güzelin bir kusuru vardır diyerek yola çıkarsak, çok müşterisi olması ve buna bağlı olarak genel bir ulaşım sorunu yaşayan müşteriler haricinde  başka şeyler de ortaya çıkıyor tabii. Örneğin cep şubesi üzerinden girişlerde BDDK tarafından istenen güvenlik aşamalarından bir tanesinin aşılabilmesi gibi…

BDDK ne diyor?

Bankacılık Düzenleme ve Denetleme Kurumu, memlekette bankacılık işlemlerini düzenleyen yetkili kurumlardan birisi. Bankaların faaliyetlerini denetleyip güvenli ve makul biçimde hayatlarına devam etmesi ve krizlerde batmamaları gibi konularda destek veren ve denetim yapan kurum İnternet bankacılığı için de çeşitli yönetmelikler sunuyor. BDDK tarafından çıkarıldıktan sonra 14 Eylül 2007 tarihinde Resmî Gazete’de yayınlanan, ardından ise 1 Haziran 2010‘da güncellenen Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ ’de kimlik doğrulamayla ilgili kısım şu şekilde:

Kimlik doğrulama – Madde 27

(4) Müşterilere uygulanan kimlik doğrulama mekanizması birbirinden bağımsız en az iki bileşenden oluşur. Bu iki bileşen; müşterinin “bildiği”, müşterinin “sahip olduğu” veya müşterinin “biyometrik bir karakteristiği olan” unsur sınıflarından farklı ikisine ait olmak üzere seçilir. Müşterinin “bildiği” unsur olarak parola/değişken parola bilgisi gibi bileşenler, “sahip olduğu” unsur olarak tek kullanımlık parola üretim cihazı, kısa mesaj servisi ile sağlanan tek kullanımlık parola gibi bileşenler kullanılabilir. Bileşenler tamamen müşterinin şahsına özgü olmalı ve bunlar sunulmadan kimlik doğrulama gerçekleştirilememeli, hizmetlere erişim sağlanamamalıdır.

 

Araştırmada, bankaların cep telefonu erişimi için kimlik doğrulama işlemini kırpabilmesine olanak tanıyan herhangi bir madde okumadım. Dolayısıyla iki seçenek illa değerlendirilmek zorunda; biyometrik doğrulama bile tek başına yeterli değil. Bunun yanında hatırlatmak isterim ki başka bir bankanın düzenli müşterisi değilim; dolayısıyla oralardaki uygulamaları bilmiyorum.

Normal İnternet şubesine giriş

Olağan şartlarda, eğer Garanti Şifrematik bir özel şifre üretme aygıtınız veya akıllı telefon yazılımınız yoksa İnternet bankacılığı için şu adımlardan geçmeniz gerekiyor: İlk ekranda  müşteri numaranız (açık, sabit bilgi, sayısal, 8 hane) ve parolanız (gizli, sabit bilgi, b/k duyarlı harf ve sayı, en az 6 hane) soruluyor. Bunun ardından, herhangi bir kandırmaca siteye yönlendirmediğinizden (phishing, olta saldırısı) emin olmanız için,  daha önceden seçtiğiniz ve sadece sizin bildiğiniz küçük resim gösteriliyor ve şifreniz (gizli, uzun aralıkla değişen bilgi, sayısal, en az 6 hane) isteniyor. Ardından ise size SMS ile gönderilen şifreyi giriyorsunuz.

Eğer Şifrematik kullanıcısıysanız şifreniz ve SMS şifresi istenmiyor. Bunların yerine, yine bir şifreyle çalışan aygıt veya yazılımsal Şifrematik tarafından üretilen tek kullanımlık şifre ve küçük resim doğrulamasından geçip sisteme giriş yapıyorsunuz.

Cep şubesine giriş

Herhangi bir şekilde Garanti Bankası’nın cep şubesine, bir mobil aygıttan veya mobil aygıt taklidi yapan tarayıcıyı kullanarak bilgisayarınızdan (mesela user agent değiştiren eklentiler kullanılarak), herhangi bir bağlantıyı (mobil data hattı veya karasal internet bağlantısı fark etmiyor) eriştiğinizde ilk ekranda müşteri numarası ve parola, ardından ise ikinci ekranda küçük resim doğrulaması sunularak ara sıra değiştirmeye zorlandığınız (zorunlu hale gelene kadar da kimsenin değiştirmediği) şifre isteniyor. Ardından şubeye erişiyorsunuz.

iPhone gibi tanıtılan Firefox ile wap.garanti.com.tr
üzerinden cep şubesine giriş mümkün

Eğer Şifrematik kullanıcısıysanız şifreniz ve SMS şifresi istenmiyor. Bunların yerine, yine bir şifreyle çalışan aygıt veya yazılımsal Şifrematik tarafından üretilen tek kullanımlık şifre ve küçük resim doğrulamasından geçip sisteme giriş yapıyorsunuz. Cep Şifrematik kullanıyorsanız da onun üzerinden mobil aygıtın tarayıcısını çalıştırarak tek kullanımlık şifre doğrulaması yapılmış olarak müşteri numarası ve parola girdiğiniz ekrana yönlendiriliyorsunuz. Ardından ise ikinci ekranda küçük resim doğrulaması kısmında devama tıklayıp giriş yapıyorsunuz.

Sorun nerede?

Cep şubesine cep telefonu veya cep telefonu gibi davranan masaüstü bilgisayardan girebilmek doğrudan BDDK tarafından zorunlu tutulan güvenlik önlemlerinden bir tanesini devre dışı bırakılması için yeterli oluyor. Elbette çoklu görev (multi-tasking) desteği olmayan telefonlar veya mobil aygıtlar için SMS ile gelecek olan şifreyi okuyup geri dönmek mümkün olmayabilir; fakat zorunlu olan üç çeşit güvenlik önleminden ikisi ile oluşturulan güçlü güvenlik yerine, tek güvenlik önleminin iki defa uygulanmasıyla oluşturulan (aynı algoritmayla iki kere şifrelemek gibi, sadece gibi) daha düşük bir güvenliğe tamah edilmiş oluyor. Kaldı ki bir tane sabit, bir tane de uzun aralıklarla değiştirilen gizli bilginin bir şekilde ele geçirilmesi ve kullanılması diğer yöntemlere göre çok daha kolay ve sosyal mühendislik destekli şifre kapma girişimlerine karşı daha kırılgan bir güvenliğe sebep olacaktır. Şifrelerinizi bir şekilde kaptırırsanız SMS doğrulamasına gerek duymadan herkes bu bilgilerle şubeye girmeyi deneyebilir.

Büyük ihtimalle Türkiye’nin en büyük bankalarından birisinin bu hizmete tedbirsiz veya hukuksuz girişmeyeceğini tahmin ediyorum. İlla benim atladığım bir yönetmelik veya kanuna dayanarak bu işlemleri yapmışlardır diye düşünüyorum ama eriyip giden güvenlik algısı aşırı derecede dikkat çekici. Bir kanuna kurala uygunsa bile bu uygulama önerilen standartlara göre yeterince güvenli değil.

Garanti Bankası’nın konuyla ilgili yapacağı herhangi bir açıklama olursa burada yer vereceğim.

Faydalı bir not

Konuyu bitirirken maddi fayda sağlayacağınız bir bilgi vereyim: Uzun uzun IBAN numaralarını cepten yazıp havale veya EFT yapmak istemeyenler, bilgisayarlarını cep telefonu gibi tanıtıp (“user agent changer add-on” diye aratın) cep şubesine girdiklerinde (belirli saatler içinde kaldığı sürece) EFT ve havale için ücret ödemiyorlar. Üç tane EFT yapsanız 15 lira kârdasınız.

氣

Malumunuz, bir soruşturma için memleket sathında yazılmış ama yayınlanmamış bir kitap “örgütsel belge” olarak adlandırılıp toplumdan köşe bucak kaçırılıyor. En azından bende oluşan kanaat bu. Elbette işin “dijital belgenin nüshalarını toplayıp imha eden” polisler gibi komedi unsurları da konuyu daha eğlenceli hâle getiriyor. Aslında beni ilgilendiren kısmı da bu.

Haberlerde bahsi geçtiği şekilde aktaracak olursak bir gazete, bir yayınevi ve bir veya birkaç gazetecinin evi basılarak taslak halinde olan bir kitap toplatılıyor. Tabii bu toplatma işi biraz değişik: Fiziksel varlığı olmayan bir şeyi toplatmak fiiliyle ilişkilendirmek mümkün olamaz. Yani çok yanlış bulduğumdan demiyorum, teknik imkânsızlıklardan bahsediyorum. Dijital bir belgenin onlarca kopyasını çıkartmak, belgeleri gizlemek, çeşitli sistemlerle varlığının sürmesini sağlamak ve benzeri konular çok kolay. Elbette bu işleri kovuşturan kolluk kuvvetlerinde de bu işten anlayan birileri vardır velâkin bilginin yayılmasını engellemek çok zordur.

Bu bir şifreleme makinesi. Yakında her şeyimizi bunun 21. yüzyıldaki
benzerleriyle yapmaya başlarsak şaşırmayın. Fazlaca takip ediliyoruz.

İşin hukukî boyutunda ise bu tür durumlar iletişim özgürlüğüne tecavüz boyutuna geldiği için birilerinin dur diyeceğini beklemekten başka çare yok gibi görünüyor. Sonuçta  sistemler hangi amaca hizmet ettiklerine göre değer kazanırlar; güvenlik kamerasıyla insanları fişleyebilirsiniz veya sadece bir sorun olduğunda başvurmak için kayıt yapabilirsiniz. Burada vatandaşın devlete güvenmek ve onu denetleyecek sistemleri talep etmekten başka şansı yok gibi görünüyor.

Bu noktada internette rastladığım önemli bir vurguyu da eklemeden geçmek istmiyorum: Bir ünlünün pornosu olsa herkeste kolayca bulunurdu ama bir kitabı bulmak mümkün değil. Garip bir ülkede yaşıyoruz.

氣

Güvenlik konferansı Def Con‘un on sekizincisinden bir videoyu sizlerle paylaşmak istiyorum. Bu videoda bir heykır’ın bilgisayarını çalanın (veya çalındıktan sonra kullananın) başına neler geldiğini eğlenceli bir şekilde izleyebilirsiniz. Tabii kendisini bir güvenlik uzmanı olarak tanımlayan bir kişinin veri güvenliği açısından ne gibi ihmalkârlıklara imza attığını da görünce şok geçirebilirsiniz. Ya da geçirmezsiniz ama kendi kendinize ben ne yapıyorum, yuh bana diyebilirsiniz.

Bu videodaki içeriklerin memleketimin kanunlarına göre (en azından burada icra edilse) suç kabul edilebileceğini tahmin ediyorum. Ama nasıl olduysa ABD’de yayınlanmasında bir sakınca görmemişler. En azından kişisel hayatın gizliliği gibi şeylere aykırı. O sebeple göreceğiniz şeylere hazırlıklı olun ve sorumluluğunu alarak izleyin. Videonun dili İngilizce. Sunumu yapan kişi ise MIT’den Dr. Zoz Brooks.

氣

Son zamanlarda iki Körfez ülkesinin Research In Motion‘un akıllı telefon sistemi BlackBerry’ye karşı başlattığı bazı hizmetleri engelleme girişimleri “sıra kimde” sorusunu akıllara getirirken bunun sıradan bir devlet rahatsızlığı olmadığı kanısında olanlar da “neden” diye sormaya başlamış durumda.

BlackBerry cihazları özellikle kurumsal kullanım için tasarlanmış, son derece güvenli veri iletişim teknolojilerine sahip biçimde şirketlerin saha elemanlarıyla iletişimde kalmasını, kendi şirket ağları, e-posta sistemleri ve bilgi paylaşım mekanizmalarına kolayca iletişimde kalacak şekilde kullanmalarını sağlayan ürünler olarak eşsizler. Eğer BlackBerry sistemlerini hakkını verecek şekilde kullanacak altyapınız yoksa gerçekten BlackBerry kullanıyor sayılmazsınız; zira bu akıllı telefonların uzaktan yönetilebilirlikleri ve güvenlik sistemleri tamamen üst seviye kurumsal pazara hitap ediyor. Elbette bunlar şahsi kanaatim; sadece e-posta için de kullanan yok mudur? Vardır.

Fazla güvenlik zararlı

Her yerel yönetim gibi Türkiye’de de BlackBerry’nin korunaklı yapısı devlet organları tarafından “ulan ne oluyoruz?!?” nidalarıyla incelemeye alındı. Zira, bu telefonlar üzerinden aktarılan veriler, varacağı yere gidene kadar (basitleştirilmiş tanım ) takip edilemiyor. Yani, siz bireysel bir kullanıcıysanız bile gönderdiğiniz veri Research In Motion‘un Kanada’daki merkezleri üzerinden internete çıkacağı ve oradan denize dökü… öhm… ilgili yere ulaşacağı için kendi memleketiniz sınırlarında takip edilemiyor.

İsteyen nasıl izliyor?

Elbette böylesine bir güvenlik devletler tarafından aşılmaz değil. Her türlü kişisel mahremiyetinizi ayaklar altına almaya meraklı olan devletler Research In Motion ile anlaşmalara vararak ilgili ülkeden Kanada semalarına doğru ilerleyen veri paketlerini ulaştıkları noktada kendi istedikleri biçimde denetlemenin yolunu RIM ile anlaşarak bulabiliyorlar. Türkiye’de TK tarafından yapılan araştırma da bu konuları kapsar nitelikteydi. Körfez ülkelerinden farklı olarak (artık ne talep ettilerse alamadılar ki kullanıma kısıtlama getirdiler) Türkiye’de kullanımda bir sıkıntı yaşanmayacağı; fakat resmî olarak takip edildiğimizi bilerek kullanmaya devam edebileceğimizi söyleyebilirim.

İşin diğer tarafı

Elbette güvenlikle ilgili arka planda kalan bir sorun var: Sizin gizli dediğiniz bilgilerin doğrudan başka ülkeye taşınması. Bu da kendisini güvende hisseden firmalar için bir başka tehdit durumunda. Zira bir kere denetimden çıkan verinin kimin tarafından izlendiği hakkında çok fazla bilginiz olamayacağına bahse girerim.

Sıradan e-posta sistemleri de bu tür izlemelere açık; fakat BlackBerry sisteminin yarattığı güvenlik ve gizlilik hissinin bir yanılsamadan ibaret olduğu gerçeği herkesçe malum değilse daha büyük sorunlarımız var demektir. Yakında GPG ve benzer sistemlerin kullanımı konusunda da yasaklar havalarda uçuşursa çok fazla şaşırmayın.

氣

Uzun süredir haber niteliğinde bir şeyler yazmamış ve üzerine de Teknoloki.com’da haber içerikli şeyler yayınlamamak konusunda kararlılık göstermiş olsam da bu gelişmeyi daha iyi biçimde paylaşabileceğim bir başka platform yok. Bu sebeple “bunun burada ne işi var, biz makale istiyoruz” diyenlerden özür dilerim; güzel makalelerin yolda olduğunu belirtmek isterim.

İlginç bir durum

Bugün iş yerinde Alper Güçlü ile keşfettiğimiz bir arıza TTNet üzerinden ADSL kullananları ilgilendiriyor. Olağan şartlarda eğer birisi sizin fiziksel ADSL hattınıza modem bağlarsa modem üzerinden çalışan protokol, kullanıcı adı ve şifre girilmediği sürece sizin hattınız üzerinden veri akışını engelliyor ve bunu basit bir DMZ tarzı yönlendirme ve hatalı şifre uyarı sayfasıyla yapıyor.

Bu sabah Beyoğlu’nda yaşanan elektrik kesintisi (6-9 saat giden ve Germen’in bize 6 ay önce yeni sunucular için özenle dizdiği KGK sistemleri bile tükenmişti, gece 3 gibi kesilmiş olmalı) sebebiyle güvenlik duvarında ayar yaparken yanlış girilen şifre sebebiyle herhangi bir noktaya erişememeye başlamıştık. Herhangi bir siteyi açmaya çalışırken bizi hatalı şifre sebebiyle TTNet’in sayfasına yönlendiren sistem çalışıyordu fakat ilginç şekilde HTTPS taleplerinde herhangi bir şifre koruması yoktu.

Sözün özü

Özetle, eğer birisi hattınıza kanca atarsa en basitinden bankacılık işlemlerini görebiliyor veya Gmail gibi HTTPS kullanan hizmetlere kolaylıkla erişebiliyor. Daha kötüsü kendisi için aldığı HTTPS vekil sunucuyu kullandığı taktirde hattınızdan her türlü işlemi yapabiliyor. İsterseniz siz de deneyin; belki farklı santrallerde sistem farklı çalışıyordur.

氣