Archive for the ‘Güvenlik’ Category

Büyük birader her yerde

Çarşamba, 2013.08.21

1984 gerçekleşti, Cesur Yeni Dünya yolda. Zannedersem tek eksiğimiz Skynet!

Bu yazı ilk olarak Dağ Medya’da 14 Ağustos 2013 tarihinde yayınlanmıştır.

Birleşik Devletler’in CIA ve NSA güvenlik operasyonlarında çalışan Edward Snowden’in elindeki bilgileri kamuya açmasından sonra her tarafımızın birileri tarafından didik didik edildiğiyle ilgili hiçbir şüphemiz kalmadı. Elbette bu tür fikirler 21. Yüzyılın başından bu yana asla bilim kurgu edebiyatı muamelesi görmedi; zira birbirine bağlı bilgisayarlar ve yakınsama sayesinde ceplerimize kadar giren akıllı, daha önemlisi İnternet bağlantılı telefonlar sayesinde veri hareketi hızlandı ve her yere yayıldı.

Hepimiz potansiyel suçluyuz

İstisnaları olabilir fakat dünya üzerindeki birçok ülke şu an terbiye sınırlarının çok ötesinde bizi, hepimizi izliyor. Birleşik Devletler çok daha eğlenceli mesela; tüm dünyayı izliyoruz ama vallahi Amerikan vatandaşlarını izlemiyoruz diyebiliyorlar, hem de tüm dünyanın gözünün içine bakarak… Çünkü istihbarat örgütleri artık insanları, bunu açık açık söylemeseler de, ikiye ayırıyor: Suç işlemişler, muhtemelen bir gün bir yerde bir suç işleyecek olanlar. Bu paranoya seviyesi insanlar ve hükümetler arasındaki büyük dijital duvarın yıkılmak yerine güçlenmesi nedeniyle gittikçe artıyor. Ara sıra bu duvarı ifşa eden Snowden gibi insanlar sayesinde konunun ciddiyetinden haberdar oluyoruz.

Dijital ortamda yaptığımız her şey ve analog olarak hazırlandıktan sonra dijital hale getirilen şeylerle birlikte tamamen takip altında. Bir örnek vereyim: Elektronik postaları düşünün. Hangi tarih ve saatte hangi sunucudan yola çıktığı, hangi sunucu ve yönlendirici sistemlerinden, hangi İnternet omurgası üzerinden taşınarak hangi e-posta sağlayıcısının hangi konumdaki sunucusu tarafından hangi tarih ve saate alındığı hemen tespit edilebilir. Elbette kendi, geçici e-posta sunucunuzu oluşturup, oraya da dolambaçlı yollardan bağlanarak e-postanın sizin tarafından gönderildiğini gizlemeniz mümkün. Bu elbette zor bir iş, yine bir şekilde takip edilebilme olasılığınız var. Ama isterseniz bir de konvansiyonel posta sistemini kullanmayı deneyin…

Yolda yürümek daha fena desem?

Dijital takip bir yere kadar çalışıyor, henüz sınırları var (vah vah!). Mesela, elbette açıkça görülebileceği gibi, İnternet’e girmeyenleri izleyemiyorlar. Her ne kadar dünya nüfusunun önemli bir kısmı İnternet’i olan bölgelerde yaşıyor ve neredeyse her cep telefonu bir şekilde İnternet erişimine sahip olsa da en nihayetinde herkes cep telefonu sahibi değil veya İnternet erişimi imkanını cep telefonu aracılığıyla değerlendirmiyor.

surveillance_cam_500px

Daha fazla oranda müşterek yaptığımız şey ise evden çıkmak. Evden çıkınca ise bankaların ATM’lerinden para çekiyoruz, toplu taşıma için elektronik biletlerimizi kullanıyoruz, alışveriş yaparken plastik para kullanıyoruz, çeşitli güvenlikli mekanlara girip çıkıyoruz… Hepsini yaparken hem kullandığımız ödeme şekilleriyle hem de fiziksel olarak kameralarla tespit ediliyoruz. Yalnızca devlet terörüne ve polis şiddetine tanık olduğunda çalışmayan kameralar veya imha edilen kayıtlar bizim için sürekli devrede ve potansiyel suçlu olarak görünen sade vatandaşları sürekli röntgenlemek için kullanılıyor.

Skynet adımı henüz yok

Tüm denetim mekanizmaları ve takip teknolojileri insanların dikizlenmesi, fişlenmesi ve “hassas” sözcüklere karşı daha duyarlı hale getirilmiş tarama algoritmaları haricinde doğrudan evinden aldırma alarmı gibi meselelerde yapay zekâya bırakılmış bir sistem yok. Hâlâ insan iş gücüyle ilerleyen istihbarat sistemleri Terminator filminde gördüğümüz kendi kendisine karar verip uygulayan, insanlığa ve kendisine tehdit olarak gördüğü şeyleri ortadan kaldırmak için kendisini harekete geçiren Skynet’e dönüşmedi.

İnsanlığın kendisinin insanlığa tehdit oluşturduğunu ve durdurulması gerektiğini düşünen yapay zeka sistemleri Asimov’la başlayan ve oradan birçok farklı kurgu öğesinde yer bulan bir yaklaşım. Bizim istihbaratçı doğal zekâların da aynı şeyi bizlere çok daha ileri bir paranoya seviyesinde önleyiciliğin en aşırı uçlarında yapması en kibar deyişle biraz cık huzursuzluk veriyor.

Müteakip yazıda takip edenlerle onlardan kurtulmaya çalışanların arasında kızışan mücadele ve devamında ise bu fişleme delisi doğal zekâları nasıl delirtebileceğimizle ilgili birkaç şey anlatacağım. Madem insanlık adına bizleri hoş olmayan günler bekliyor, son anlarımızı eğlenerek geçirelim.

 

 

TurkTrust ve sertifika sorunu

Cuma, 2013.01.11

 

2012’nin son günleri dijital güvenlik alanında karın ağrıtıcı bir olayla anılacak. Yankıları hâlâ süren ama basınımızda ya kendisine yer bulamayan ya da çok da mühim bir olay değilmiş gibi anlatılan, devlete göbekten bağlı olmayan fakat Türk Silahlı Kuvvetleri’yle ilintili bir vakfa ait şirketin, devlete ait kurumlara sertifika üretme yetkisini isteyerek veya istemeyerek devretmesi, bu kurumların bu yetkiyle sahte Google sertifikaları üretmesi ve bu sertifikalarla ne yapıldığıyla ilgili gereksiz iyimser açıklamaların kabul gördüğü olaylar silsilesi, öyle “kazadır, olmuştur, geçmiştir” denilecek kadar basit bir niteliğe sahip değil.

Basınımız, özellikle de teknoloji basınımız konuya pek fazla değinmedi, herhalde şu sıralarda süren CES’e yöneldiler. Gazetelerimizde de konuyu anlayan birileri mevcut olmasa gerek ki çok yüzeysel verilmiş. Biraz tat biraz çeşni ekleyip meseleyi ve kıyamet senaryolarını birazcık daha ayrıntılı şekilde anlatmak istedim.

Not: Bazı şeyler genel olarak anlaşılsın diye basitleştirilmiştir, takılmayınız. Bilgisayardan biraz anlayan insanlar bile anlasın diye yazıyorum.

 

Küçük bir teknik bilgi

Konumuz, tarayıcınızla güvenli sitelere girdiğinizde tarayıcının adres çubuğunda çıkan ve size huzur ve güven telkin eden (ayrıca karşıdaki sunucuyla veri iletişimini kriptolayan, hatta yerine göre karşıdaki sunucunun adres satırında ismi yazan sunucu olduğunu belirten) simgenin derinlikleri ve kötüye kullanımı. Canlı örneğimizi mesela Twitter üzerinden vereyim. Twitter.com’a gittiğinizde sizi http://twitter.com adresinden alır https://twitter.com adresine yönlendirir. Oradaki fazladan s harfi secure anlamına gelmektedir ve Twitter’ın sunucusu ile bilgisayarınızda kurulu tarayıcı arasında belirli bir standartta kriptolama olduğunu, hatta örneğimizde göreceğiniz üzere sertifika sahibinin Twitter Inc. isimli şirket olduğunu gösterir.

twitter_500px
Aşağıda bir yerde tarayıcınızla sunucunun izdivacına nikâh şahitliği yapan VeriSign şirketini görebilirsiniz, özetle “bak valla Twitter Inc. şirketine ait twitter.com sunucusuna https protokolüyle bağlanıyorsun” diyor. Çünkü VeriSign sadrazamın sol çocuğu değil güvenilirliği çeşitli standartlar ve beynelmilel sözleşmelerle hükme bağlanmış bir kök sertifika sağlayıcı (CA, certificate authority), kullandığı şey de bir SSL sertifikası (SSL certificate). İsterse kendi yetkilerini bir nevi kopyalayan ara sertifika sağlayıcılığı gibi şeyler de sunabilir, bunun üzerinden benzer bir hizmeti sağlayabilir, sağlatabilir (buna da subordinate certificate diyoruz).

Siz de İnternet siteniz için herhangi bir SSL sertifikası alıp kullanıcıların sitenize https protokolüyle erişmesini sağlayabilirsiniz. Yapmanız gereken sunucunuzda bir kripto anahtarı üretmek ve anahtarın açık kısmını sertifika sağlayıcıya göndermek ve o anahtarın benimsitem.com’a ait olduğunu belirterek imzalanmasını istemek ve imzalanmış sertifikayı kendi sunucunuza koyarak gelen trafiği “öz ve hakiki benimsitem.com’a eriştiği” yönünde ikna etmek. Baktığınız yerde doğru yerdeyim ve trafiğim şifreleniyor fikrine kendinizi alıştırabilirsiniz. Bunun doğrulamasını nasıl yapacağını ise tarayıcınız kendi içindeki kök sertifika sağlayıcıları listesi üzerinden yapıyor (bu liste tarayıcınızda olduğu gibi her yazılım veya sistem için ayrı ayrı kendi içinde tutuluyor). Teorik olarak aradaki bağlantıyı, başlangıç (bilgisayarınız) veya bitiş noktası (karşıdaki sunucu) haricinde kimse izleyemeyecektir.

 

Kronolojik TürkTrust ve sertifika meselesi – Editor’s Cut

  • 2011 yılında TürkTrust şirketi bir tanesi e-islem.kktcmerkezbankasi.org diğeri ise ego.gov.tr olmak üzere iki adet SSL sertifikası vermeye çabaladı fakat başarısızlık sonucu bu sertifikalar SSL sertifikaları değil ara sağlayıcı sertifikası olarak üretildi. (Ağustos 2011)
  • Kktcmerkezbankasi.org için üretilen sertifika çalışmadı (vah vah) ve hemen geri çekildi. EGO sertifikası ise yürürlükte kaldı. (Yaklaşık aynı tarih)
  • EGO’nun ara sağlayıcı sertifikası bir IIS ve e-posta sunucusuna kullanıma girdi (Ağustos 2011 ile 6 Aralık 2012 arasında bir vakit)
  • Checkpoint güvenlik duvarı sistemine yüklenen gereğinden fazla yetkili sertifika bu sistem tarafından kriptolu trafiği gözlemleme yeteneği (man-in-the-middle attack) sayesinde otomatik olarak SSL trafiğinin arasına girebilecek bir sertifika yaratıyor. (6 aralık 2012)
  • Üretilen sahte Google sertifikası bir şekilde Chrome tarayıcı üzerinden akan trafik içinde rol alıyor ve Google tarafından tespit ediliyor. (26 Aralık 2012)
  • Durum TürkTrust’a ve İnternet camiasının geri kalanına aksettiriliyor ve kıyamet kopuyor. (26 Aralık 2012)
  • TürkTrust “vallahi kötü amaçlı yapılan bir şey değil, kazadır olmuş, kusura bakmayın” minvalinde açıklamalarla durumu izah etmeye ve İnternet üzerinden ürün ve hizmet sunan firmalar TürkTrust’ı kendi güvenilir sertifika sağlayıcı listelerinden çıkartmaya ve güvenilirlik durumunu askıya almaya başlıyorlar. (26 Aralık 2012 ve devam ediyor)

 

Konunun izahı ve ek bilgiler

İki ara sağlayıcı sertifikasından bir tanesinin hemen imha edildiğini belirtmiştim. Buradaki bağlantıda EGO için üretilen ve hayatta kalan ara sağlayıcı sertifikasını ve konuya malzeme olan sahte Google sertifikasını bulabilirsiniz. Fakat memleketimden bu siteye gitmeniz için sansürsüz DNS kullanmanız gerekiyor. Bağlantıya tıkladıysanız, aşağıdaki sertifikanın içinde rahatlıkla ilgili alan adalarının listesini görebilirsiniz. Liste gayet uzun, insan ister istemez ürküyor.

Kronolojide durumu Google’ın tespit ettiğini yazdım. Google bunu açık anahtar iğneleme (public key pinning) ile tespit ediyor. Chrome’un 13 sürümünden bu yana bulunan bir özellik, istenilen site veya hizmetlerin sadece ilgili sertifika otoritesi veya otoriteleri (yani ilgili hizmet/site sahibinin belirlediği sağlayıcılar) tarafından imzalanması durumunda kabul gördüğü bir sistem. Ben BerkinTech diye güvenilir bir sertifika sağlayıcısıysam bile Google benimle iş yapmıyorsa ve bu iğneleme listesine yoksam benim verdiğim, örneğin, Google.com sertifikasını kabul etmez. Google’ın isteyen kurumlar için kendi ürünlerinde böyle bir hizmeti sunması ve diğerlerine de kabul ettirmeye çalışmasının sebebi belli, BerkinTech şirketini kuran herkes bu güvenilirliği suiistimal etmesin diye değil, daha ziyade bir güvenlik sızıntısı sırasında oluşabilecek zayiatı en aza indirebilmek.

turktrust_logo

Yukarıdaki paragraftan anlayacağımız üzere, kök sertifika sisteminde ciddi bir arıza var ve bu çeşitli çabalarla kapatılmaya, bir “kaza” halinde yaşanacak kriz en aza indirgenmeye çalışılıyor. Tabii burada olan şeyin bir kaza olup olmadığını anlamak benim açımdan güç, o nedenle sonuç bölümünde sadece bir aralık tanımlayıp olayın nereye kadar gidebileceğini anlatmakla yetineceğim.

TürkTrust olayı kendi açısından adım adım anlattı ve sürekli güncellediği bir duyuru hazırladı. Yukarıda da bağlantısını verdiğim açıklamalara buraya tıklayarak ulaşabilirsiniz. Açıkçası çok ayrıntılı şekilde anlattıkları olaylar gayet makul görünüyor, fakat elbette EGO’ya sağlanan geçici yetkiyle nerelerde nasıl sertifikalar üretildi, nasıl kullanıldı, neler yapıldı bilemiyoruz.

Elbette TürkTrust sistemine sızma olmadığını, başka sertifikalar üretilmediğini ve konu anlaşıldığı gibi sertifikaların devreden çıkartıldığını belirtiyor. Bunlar elbette ispat isteyen iddialar. Sızma iddiasını kapsamlı bir güvenlik denetiminden sonra yayınlanacak raporlardan anlayabiliriz. Sertifika üretimi açısından da başka sertifikalar üretilmediğini belki bu güvenlik denetiminden sonra anlarız veya hiç anlayamayız, bu konuda bilgim yok zira konu adli bilişime giriyor.

 

Dünyadan tepkiler

Konu birçok yazılım şirketi tarafından kabul görmüş bir kök sertifika sağlayıcı olunca böylesi bir olayın elbette dünya çapında tepki ve hatta infial uyandırması olağan. Zira kök sertifika sağlayıcılığı ve doğrulanmış SSL sertifika sisteminin yumuşak karnına, herhangi bir sızma olmadığı iddiası gündemde tutularak yanlışlıkla böyle bir darbe vurulabiliyor olması konuyu çok daha hazmı zor bir hale getiriyor.

TurkTrust’ın kendi internet sitesinde de yer verdiği birkaç “ne dediler?” bağlantısı mevcut. Google’ın konuyu ne oluyor ulan orada şeklinde değerlendirdiği tahmin edilebilir, fakat biraz daha nazik konuştuklarını, sadece olayı tanımladıkları ve aldıkları önlemleri anlattıklarını görebilirsiniz. Microsoft ise her zamanki takım elbiseli tavrıyla bir yama yayınlayacağını ve bir KB makalesinin okunmasının iyi olacağını belirtmiş. Google ve Microsoft, Mozilla Vakfı gibi, bildirilerinde ilgili sertifikaların sistemden kaldırılacağını belirtmiş. Ayrıca Mozilla Vakfı TurkTrust’un kök sertifika sağlayıcılık durumunu inceleme için askıya alacağını belirtmiş.

Önemli bir İnternet tarayıcısı olan Opera’nın ise açıklaması ilginç, sanki meseleye biraz duygusal yaklaşmışlar. Kök sertifika sisteminden TurkTrust’ı kaldırmayacaklar ama tarayıcı içinde en üst seviye doğrulama da sağlanmayacak.

Yabancı basında durum daha da vahimdi. Bunun, zaten halkına İnternet konusunda pek iyi davranmayan Türkiye Cumhuriyeti devletinin bir hareketi olduğunu düşünenler, hem içeride hem de dışarıda, bolca mevcut. Yer yer, konunun bir ucu Ankara EGO’ya dayanınca, İnternet fenomenimiz Melih Gökçek’e de atıfta bulunan insanlar çıkabiliyor.

melih_gokcek_paranoia_500px“Türksünüz, paranoya ihtiyari değil elzemdir.”

 

Sonuç itibariyle şu an etrafta geçersiz sertifika kalmadı fakat işin arkasında “daha büyük bir güç” olabileceği nedeniyle bazı arkadaşlarımız “tarayıcınızda ve sisteminizdeki bütün Türkiye menşeli sertifika sağlayıcıları kaldırmanızda fayda olabilir” diyorlar. Zira her şey sadece bir teknik hatadan fazlası olabilir.

En nihayetinde elinizde bir maymuncuk var ve İnternet’teki mahrem sayılan her kapıyı açabiliyor. Bu maymuncuk zaten siyasi olarak sürekli karmaşa içinde olan, son zamanlarda İnternet’e devlet müdahalesi anlamında tüm dünyada rezilliğin başarılı bir örneği olarak konuşulan, en tepe yöneticisinin bile orasından burasından böcekler çıktığı iddia edilen bir ülkede üretilip devletin iki kurumuna teslim ediliyor.

 

Gerçek orada bir yerde

Konuyla ilgili olarak günlerdir analiz ve yorumları okuyorum. İşin teknik kısmını da az biraz biliyorum. Dünyanın konuya neden böylesine şaşkınlık ve endişeyle eğildiğini buraya kadar yazdıklarımdan tam olarak anlamadıysanız size iki tane hayal ürünü senaryo vereceğim. Bunlardan birisi en iyi durum, ötekisi ise en kötü durum senaryosu olarak kabul edilebilir.

Birincisi, her şey TurkTrust’ın anlattığı gibi basit bir hataydı, üretilen dinleme sertifikası veya sertifikaları asla kullanılmadı, ilgili ara sertifikalar ve malum maymuncuk sertifika devre dışı bırakıldı ve aslında asayiş berkemal.

İkincisi, bir güvenlik açığı sonucu veya kasıtlı olarak ara sertifikalar ve onlara bağlı sahte SSL sertifikaları birçok farklı site ve hizmet için birileri tarafından üretildi, olay ortaya çıkana kadar çeşitli kurum veya kişilerin özel iletişimleri man-in-the-middle saldırılarıyla dinlendi ve buradan elde edilen bilgiler bir şekilde kullanıldı veya kullanılacak.

Gerçek, bu ikisinin arasında bir yerde duruyor.

 

 

Garanti Bankası cep şubesinde güvenlik sorunu

Cuma, 2011.10.14

 

Ülkemizdeki en çok müşteriye sahip bankalardan olan Garanti Bankası, internet şubesi ve sanal bankacılık uygulamaları alanında da sürekli kendisini geliştiriyor. Her ne kadar Android işletim sistemine sahip aygıtlar için Şifrematik uygulamasını biraz geç çıkartmış olsa da Garanti’nin teknolojiyi yakından takip ettiğini söyleyebiliriz. Her güzelin bir kusuru vardır diyerek yola çıkarsak, çok müşterisi olması ve buna bağlı olarak genel bir ulaşım sorunu yaşayan müşteriler haricinde  başka şeyler de ortaya çıkıyor tabii. Örneğin cep şubesi üzerinden girişlerde BDDK tarafından istenen güvenlik aşamalarından bir tanesinin aşılabilmesi gibi…

 

 

BDDK ne diyor?

 

Bankacılık Düzenleme ve Denetleme Kurumu, memlekette bankacılık işlemlerini düzenleyen yetkili kurumlardan birisi. Bankaların faaliyetlerini denetleyip güvenli ve makul biçimde hayatlarına devam etmesi ve krizlerde batmamaları gibi konularda destek veren ve denetim yapan kurum İnternet bankacılığı için de çeşitli yönetmelikler sunuyor. BDDK tarafından çıkarıldıktan sonra 14 Eylül 2007 tarihinde Resmî Gazete’de yayınlanan, ardından ise 1 Haziran 2010‘da güncellenen Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ ‘de kimlik doğrulamayla ilgili kısım şu şekilde:

 

Kimlik doğrulama – Madde 27

(4) Müşterilere uygulanan kimlik doğrulama mekanizması birbirinden bağımsız en az iki bileşenden oluşur. Bu iki bileşen; müşterinin “bildiği”, müşterinin “sahip olduğu” veya müşterinin “biyometrik bir karakteristiği olan” unsur sınıflarından farklı ikisine ait olmak üzere seçilir. Müşterinin “bildiği” unsur olarak parola/değişken parola bilgisi gibi bileşenler, “sahip olduğu” unsur olarak tek kullanımlık parola üretim cihazı, kısa mesaj servisi ile sağlanan tek kullanımlık parola gibi bileşenler kullanılabilir. Bileşenler tamamen müşterinin şahsına özgü olmalı ve bunlar sunulmadan kimlik doğrulama gerçekleştirilememeli, hizmetlere erişim sağlanamamalıdır.

 

Araştırmada, bankaların cep telefonu erişimi için kimlik doğrulama işlemini kırpabilmesine olanak tanıyan herhangi bir madde okumadım. Dolayısıyla iki seçenek illa değerlendirilmek zorunda; biyometrik doğrulama bile tek başına yeterli değil. Bunun yanında hatırlatmak isterim ki başka bir bankanın düzenli müşterisi değilim; dolayısıyla oralardaki uygulamaları bilmiyorum.

 

Normal İnternet şubesine giriş

 

Olağan şartlarda, eğer Garanti Şifrematik bir özel şifre üretme aygıtınız veya akıllı telefon yazılımınız yoksa İnternet bankacılığı için şu adımlardan geçmeniz gerekiyor: İlk ekranda  müşteri numaranız (açık, sabit bilgi, sayısal, 8 hane) ve parolanız (gizli, sabit bilgi, b/k duyarlı harf ve sayı, en az 6 hane) soruluyor. Bunun ardından, herhangi bir kandırmaca siteye yönlendirmediğinizden (phishing, olta saldırısı) emin olmanız için,  daha önceden seçtiğiniz ve sadece sizin bildiğiniz küçük resim gösteriliyor ve şifreniz (gizli, uzun aralıkla değişen bilgi, sayısal, en az 6 hane) isteniyor. Ardından ise size SMS ile gönderilen şifreyi giriyorsunuz.

Eğer Şifrematik kullanıcısıysanız şifreniz ve SMS şifresi istenmiyor. Bunların yerine, yine bir şifreyle çalışan aygıt veya yazılımsal Şifrematik tarafından üretilen tek kullanımlık şifre ve küçük resim doğrulamasından geçip sisteme giriş yapıyorsunuz.

 

Cep şubesine giriş

 

Herhangi bir şekilde Garanti Bankası’nın cep şubesine, bir mobil aygıttan veya mobil aygıt taklidi yapan tarayıcıyı kullanarak bilgisayarınızdan (mesela user agent değiştiren eklentiler kullanılarak), herhangi bir bağlantıyı (mobil data hattı veya karasal internet bağlantısı fark etmiyor) eriştiğinizde ilk ekranda müşteri numarası ve parola, ardından ise ikinci ekranda küçük resim doğrulaması sunularak ara sıra değiştirmeye zorlandığınız (zorunlu hale gelene kadar da kimsenin değiştirmediği) şifre isteniyor. Ardından şubeye erişiyorsunuz.

 


iPhone gibi tanıtılan Firefox ile wap.garanti.com.tr
üzerinden cep şubesine giriş mümkün

 

Eğer Şifrematik kullanıcısıysanız şifreniz ve SMS şifresi istenmiyor. Bunların yerine, yine bir şifreyle çalışan aygıt veya yazılımsal Şifrematik tarafından üretilen tek kullanımlık şifre ve küçük resim doğrulamasından geçip sisteme giriş yapıyorsunuz. Cep Şifrematik kullanıyorsanız da onun üzerinden mobil aygıtın tarayıcısını çalıştırarak tek kullanımlık şifre doğrulaması yapılmış olarak müşteri numarası ve parola girdiğiniz ekrana yönlendiriliyorsunuz. Ardından ise ikinci ekranda küçük resim doğrulaması kısmında devama tıklayıp giriş yapıyorsunuz.

 

Sorun nerede?

 

Cep şubesine cep telefonu veya cep telefonu gibi davranan masaüstü bilgisayardan girebilmek doğrudan BDDK tarafından zorunlu tutulan güvenlik önlemlerinden bir tanesini devre dışı bırakılması için yeterli oluyor. Elbette çoklu görev (multi-tasking) desteği olmayan telefonlar veya mobil aygıtlar için SMS ile gelecek olan şifreyi okuyup geri dönmek mümkün olmayabilir; fakat zorunlu olan üç çeşit güvenlik önleminden ikisi ile oluşturulan güçlü güvenlik yerine, tek güvenlik önleminin iki defa uygulanmasıyla oluşturulan (aynı algoritmayla iki kere şifrelemek gibi, sadece gibi) daha düşük bir güvenliğe tamah edilmiş oluyor. Kaldı ki bir tane sabit, bir tane de uzun aralıklarla değiştirilen gizli bilginin bir şekilde ele geçirilmesi ve kullanılması diğer yöntemlere göre çok daha kolay ve sosyal mühendislik destekli şifre kapma girişimlerine karşı daha kırılgan bir güvenliğe sebep olacaktır. Şifrelerinizi bir şekilde kaptırırsanız SMS doğrulamasına gerek duymadan herkes bu bilgilerle şubeye girmeyi deneyebilir.

Büyük ihtimalle Türkiye’nin en büyük bankalarından birisinin bu hizmete tedbirsiz veya hukuksuz girişmeyeceğini tahmin ediyorum. İlla benim atladığım bir yönetmelik veya kanuna dayanarak bu işlemleri yapmışlardır diye düşünüyorum ama eriyip giden güvenlik algısı aşırı derecede dikkat çekici. Bir kanuna kurala uygunsa bile bu uygulama önerilen standartlara göre yeterince güvenli değil.

Garanti Bankası’nın konuyla ilgili yapacağı herhangi bir açıklama olursa burada yer vereceğim.

 

Faydalı bir not

 

Konuyu bitirirken maddi fayda sağlayacağınız bir bilgi vereyim: Uzun uzun IBAN numaralarını cepten yazıp havale veya EFT yapmak istemeyenler, bilgisayarlarını cep telefonu gibi tanıtıp (“user agent changer add-on” diye aratın) cep şubesine girdiklerinde (belirli saatler içinde kaldığı sürece) EFT ve havale için ücret ödemiyorlar. Üç tane EFT yapsanız 15 lira kârdasınız. 🙂

 

 

 

Bilgiyi saklamak kolay mı sanıyorsunuz?

Cuma, 2011.03.25

 

Malumunuz, bir soruşturma için memleket sathında yazılmış ama yayınlanmamış bir kitap “örgütsel belge” olarak adlandırılıp toplumdan köşe bucak kaçırılıyor. En azından bende oluşan kanaat bu. Elbette işin “dijital belgenin nüshalarını toplayıp imha eden” polisler gibi komedi unsurları da konuyu daha eğlenceli hâle getiriyor. Aslında beni ilgilendiren kısmı da bu.

Haberlerde bahsi geçtiği şekilde aktaracak olursak bir gazete, bir yayınevi ve bir veya birkaç gazetecinin evi basılarak taslak halinde olan bir kitap toplatılıyor. Tabii bu toplatma işi biraz değişik: Fiziksel varlığı olmayan bir şeyi toplatmak fiiliyle ilişkilendirmek mümkün olamaz. Yani çok yanlış bulduğumdan demiyorum, teknik imkânsızlıklardan bahsediyorum. Dijital bir belgenin onlarca kopyasını çıkartmak, belgeleri gizlemek, çeşitli sistemlerle varlığının sürmesini sağlamak ve benzeri konular çok kolay. Elbette bu işleri kovuşturan kolluk kuvvetlerinde de bu işten anlayan birileri vardır velâkin bilginin yayılmasını engellemek çok zordur.

 


Bu bir şifreleme makinesi. Yakında her şeyimizi bunun 21. yüzyıldaki

benzerleriyle yapmaya başlarsak şaşırmayın. Fazlaca takip ediliyoruz.

 

İşin hukukî boyutunda ise bu tür durumlar iletişim özgürlüğüne tecavüz boyutuna geldiği için birilerinin dur diyeceğini beklemekten başka çare yok gibi görünüyor. Sonuçta  sistemler hangi amaca hizmet ettiklerine göre değer kazanırlar; güvenlik kamerasıyla insanları fişleyebilirsiniz veya sadece bir sorun olduğunda başvurmak için kayıt yapabilirsiniz. Burada vatandaşın devlete güvenmek ve onu denetleyecek sistemleri talep etmekten başka şansı yok gibi görünüyor.

 

Bu noktada internette rastladığım önemli bir vurguyu da eklemeden geçmek istmiyorum: Bir ünlünün pornosu olsa herkeste kolayca bulunurdu ama bir kitabı bulmak mümkün değil. Garip bir ülkede yaşıyoruz.

 

 

 

Hacker’ın bilgisayarını çalanın sonu…

Salı, 2010.12.28

Güvenlik konferansı Def Con‘un on sekizincisinden bir videoyu sizlerle paylaşmak istiyorum. Bu videoda bir heykır’ın bilgisayarını çalanın (veya çalındıktan sonra kullananın) başına neler geldiğini eğlenceli bir şekilde izleyebilirsiniz. Tabii kendisini bir güvenlik uzmanı olarak tanımlayan bir kişinin veri güvenliği açısından ne gibi ihmalkârlıklara imza attığını da görünce şok geçirebilirsiniz. Ya da geçirmezsiniz ama kendi kendinize ben ne yapıyorum, yuh bana diyebilirsiniz.

Bu videodaki içeriklerin memleketimin kanunlarına göre (en azından burada icra edilse) suç kabul edilebileceğini tahmin ediyorum. Ama nasıl olduysa ABD’de yayınlanmasında bir sakınca görmemişler. En azından kişisel hayatın gizliliği gibi şeylere aykırı. O sebeple göreceğiniz şeylere hazırlıklı olun ve sorumluluğunu alarak izleyin. Videonun dili İngilizce. Sunumu yapan kişi ise MIT’den Dr. Zoz Brooks.


BlackBerry’nin derdi ne?

Perşembe, 2010.08.26

Son zamanlarda iki Körfez ülkesinin Research In Motion‘un akıllı telefon sistemi BlackBerry’ye karşı başlattığı bazı hizmetleri engelleme girişimleri “sıra kimde” sorusunu akıllara getirirken bunun sıradan bir devlet rahatsızlığı olmadığı kanısında olanlar da “neden” diye sormaya başlamış durumda.

BlackBerry cihazları özellikle kurumsal kullanım için tasarlanmış, son derece güvenli veri iletişim teknolojilerine sahip biçimde şirketlerin saha elemanlarıyla iletişimde kalmasını, kendi şirket ağları, e-posta sistemleri ve bilgi paylaşım mekanizmalarına kolayca iletişimde kalacak şekilde kullanmalarını sağlayan ürünler olarak eşsizler. Eğer BlackBerry sistemlerini hakkını verecek şekilde kullanacak altyapınız yoksa gerçekten BlackBerry kullanıyor sayılmazsınız; zira bu akıllı telefonların uzaktan yönetilebilirlikleri ve güvenlik sistemleri tamamen üst seviye kurumsal pazara hitap ediyor. Elbette bunlar şahsi kanaatim; sadece e-posta için de kullanan yok mudur? Vardır.

Fazla güvenlik zararlı

Her yerel yönetim gibi Türkiye’de de BlackBerry’nin korunaklı yapısı devlet organları tarafından “ulan ne oluyoruz?!?” nidalarıyla incelemeye alındı. Zira, bu telefonlar üzerinden aktarılan veriler, varacağı yere gidene kadar (basitleştirilmiş tanım 🙂 ) takip edilemiyor. Yani, siz bireysel bir kullanıcıysanız bile gönderdiğiniz veri Research In Motion‘un Kanada’daki merkezleri üzerinden internete çıkacağı ve oradan denize dökü… öhm… ilgili yere ulaşacağı için kendi memleketiniz sınırlarında takip edilemiyor.

İsteyen nasıl izliyor?

Elbette böylesine bir güvenlik devletler tarafından aşılmaz değil. Her türlü kişisel mahremiyetinizi ayaklar altına almaya meraklı olan devletler Research In Motion ile anlaşmalara vararak ilgili ülkeden Kanada semalarına doğru ilerleyen veri paketlerini ulaştıkları noktada kendi istedikleri biçimde denetlemenin yolunu RIM ile anlaşarak bulabiliyorlar. Türkiye’de TK tarafından yapılan araştırma da bu konuları kapsar nitelikteydi. Körfez ülkelerinden farklı olarak (artık ne talep ettilerse alamadılar ki kullanıma kısıtlama getirdiler) Türkiye’de kullanımda bir sıkıntı yaşanmayacağı; fakat resmî olarak takip edildiğimizi bilerek kullanmaya devam edebileceğimizi söyleyebilirim.

İşin diğer tarafı

Elbette güvenlikle ilgili arka planda kalan bir sorun var: Sizin gizli dediğiniz bilgilerin doğrudan başka ülkeye taşınması. Bu da kendisini güvende hisseden firmalar için bir başka tehdit durumunda. Zira bir kere denetimden çıkan verinin kimin tarafından izlendiği hakkında çok fazla bilginiz olamayacağına bahse girerim.

Sıradan e-posta sistemleri de bu tür izlemelere açık; fakat BlackBerry sisteminin yarattığı güvenlik ve gizlilik hissinin bir yanılsamadan ibaret olduğu gerçeği herkesçe malum değilse daha büyük sorunlarımız var demektir. Yakında GPG ve benzer sistemlerin kullanımı konusunda da yasaklar havalarda uçuşursa çok fazla şaşırmayın.

TTNet ADSL hattında bir garip açık

Çarşamba, 2010.02.03

Uzun süredir haber niteliğinde bir şeyler yazmamış ve üzerine de Teknoloki.com’da haber içerikli şeyler yayınlamamak konusunda kararlılık göstermiş olsam da bu gelişmeyi daha iyi biçimde paylaşabileceğim bir başka platform yok. Bu sebeple “bunun burada ne işi var, biz makale istiyoruz” diyenlerden özür dilerim; güzel makalelerin yolda olduğunu belirtmek isterim.

İlginç bir durum

Bugün iş yerinde Alper Güçlü ile keşfettiğimiz bir arıza TTNet üzerinden ADSL kullananları ilgilendiriyor. Olağan şartlarda eğer birisi sizin fiziksel ADSL hattınıza modem bağlarsa modem üzerinden çalışan protokol, kullanıcı adı ve şifre girilmediği sürece sizin hattınız üzerinden veri akışını engelliyor ve bunu basit bir DMZ tarzı yönlendirme ve hatalı şifre uyarı sayfasıyla yapıyor.

Bu sabah Beyoğlu’nda yaşanan elektrik kesintisi (6-9 saat giden ve Germen’in bize 6 ay önce yeni sunucular için özenle dizdiği KGK sistemleri bile tükenmişti, gece 3 gibi kesilmiş olmalı) sebebiyle güvenlik duvarında ayar yaparken yanlış girilen şifre sebebiyle herhangi bir noktaya erişememeye başlamıştık. Herhangi bir siteyi açmaya çalışırken bizi hatalı şifre sebebiyle TTNet’in sayfasına yönlendiren sistem çalışıyordu fakat ilginç şekilde HTTPS taleplerinde herhangi bir şifre koruması yoktu.

Sözün özü

Özetle, eğer birisi hattınıza kanca atarsa en basitinden bankacılık işlemlerini görebiliyor veya Gmail gibi HTTPS kullanan hizmetlere kolaylıkla erişebiliyor. Daha kötüsü kendisi için aldığı HTTPS vekil sunucuyu kullandığı taktirde hattınızdan her türlü işlemi yapabiliyor. İsterseniz siz de deneyin; belki farklı santrallerde sistem farklı çalışıyordur.