Posts Tagged ‘fraudulent certificate’

TurkTrust ve sertifika sorunu

Cuma, 2013.01.11

 

2012’nin son günleri dijital güvenlik alanında karın ağrıtıcı bir olayla anılacak. Yankıları hâlâ süren ama basınımızda ya kendisine yer bulamayan ya da çok da mühim bir olay değilmiş gibi anlatılan, devlete göbekten bağlı olmayan fakat Türk Silahlı Kuvvetleri’yle ilintili bir vakfa ait şirketin, devlete ait kurumlara sertifika üretme yetkisini isteyerek veya istemeyerek devretmesi, bu kurumların bu yetkiyle sahte Google sertifikaları üretmesi ve bu sertifikalarla ne yapıldığıyla ilgili gereksiz iyimser açıklamaların kabul gördüğü olaylar silsilesi, öyle “kazadır, olmuştur, geçmiştir” denilecek kadar basit bir niteliğe sahip değil.

Basınımız, özellikle de teknoloji basınımız konuya pek fazla değinmedi, herhalde şu sıralarda süren CES’e yöneldiler. Gazetelerimizde de konuyu anlayan birileri mevcut olmasa gerek ki çok yüzeysel verilmiş. Biraz tat biraz çeşni ekleyip meseleyi ve kıyamet senaryolarını birazcık daha ayrıntılı şekilde anlatmak istedim.

Not: Bazı şeyler genel olarak anlaşılsın diye basitleştirilmiştir, takılmayınız. Bilgisayardan biraz anlayan insanlar bile anlasın diye yazıyorum.

 

Küçük bir teknik bilgi

Konumuz, tarayıcınızla güvenli sitelere girdiğinizde tarayıcının adres çubuğunda çıkan ve size huzur ve güven telkin eden (ayrıca karşıdaki sunucuyla veri iletişimini kriptolayan, hatta yerine göre karşıdaki sunucunun adres satırında ismi yazan sunucu olduğunu belirten) simgenin derinlikleri ve kötüye kullanımı. Canlı örneğimizi mesela Twitter üzerinden vereyim. Twitter.com’a gittiğinizde sizi http://twitter.com adresinden alır https://twitter.com adresine yönlendirir. Oradaki fazladan s harfi secure anlamına gelmektedir ve Twitter’ın sunucusu ile bilgisayarınızda kurulu tarayıcı arasında belirli bir standartta kriptolama olduğunu, hatta örneğimizde göreceğiniz üzere sertifika sahibinin Twitter Inc. isimli şirket olduğunu gösterir.

twitter_500px
Aşağıda bir yerde tarayıcınızla sunucunun izdivacına nikâh şahitliği yapan VeriSign şirketini görebilirsiniz, özetle “bak valla Twitter Inc. şirketine ait twitter.com sunucusuna https protokolüyle bağlanıyorsun” diyor. Çünkü VeriSign sadrazamın sol çocuğu değil güvenilirliği çeşitli standartlar ve beynelmilel sözleşmelerle hükme bağlanmış bir kök sertifika sağlayıcı (CA, certificate authority), kullandığı şey de bir SSL sertifikası (SSL certificate). İsterse kendi yetkilerini bir nevi kopyalayan ara sertifika sağlayıcılığı gibi şeyler de sunabilir, bunun üzerinden benzer bir hizmeti sağlayabilir, sağlatabilir (buna da subordinate certificate diyoruz).

Siz de İnternet siteniz için herhangi bir SSL sertifikası alıp kullanıcıların sitenize https protokolüyle erişmesini sağlayabilirsiniz. Yapmanız gereken sunucunuzda bir kripto anahtarı üretmek ve anahtarın açık kısmını sertifika sağlayıcıya göndermek ve o anahtarın benimsitem.com’a ait olduğunu belirterek imzalanmasını istemek ve imzalanmış sertifikayı kendi sunucunuza koyarak gelen trafiği “öz ve hakiki benimsitem.com’a eriştiği” yönünde ikna etmek. Baktığınız yerde doğru yerdeyim ve trafiğim şifreleniyor fikrine kendinizi alıştırabilirsiniz. Bunun doğrulamasını nasıl yapacağını ise tarayıcınız kendi içindeki kök sertifika sağlayıcıları listesi üzerinden yapıyor (bu liste tarayıcınızda olduğu gibi her yazılım veya sistem için ayrı ayrı kendi içinde tutuluyor). Teorik olarak aradaki bağlantıyı, başlangıç (bilgisayarınız) veya bitiş noktası (karşıdaki sunucu) haricinde kimse izleyemeyecektir.

 

Kronolojik TürkTrust ve sertifika meselesi – Editor’s Cut

  • 2011 yılında TürkTrust şirketi bir tanesi e-islem.kktcmerkezbankasi.org diğeri ise ego.gov.tr olmak üzere iki adet SSL sertifikası vermeye çabaladı fakat başarısızlık sonucu bu sertifikalar SSL sertifikaları değil ara sağlayıcı sertifikası olarak üretildi. (Ağustos 2011)
  • Kktcmerkezbankasi.org için üretilen sertifika çalışmadı (vah vah) ve hemen geri çekildi. EGO sertifikası ise yürürlükte kaldı. (Yaklaşık aynı tarih)
  • EGO’nun ara sağlayıcı sertifikası bir IIS ve e-posta sunucusuna kullanıma girdi (Ağustos 2011 ile 6 Aralık 2012 arasında bir vakit)
  • Checkpoint güvenlik duvarı sistemine yüklenen gereğinden fazla yetkili sertifika bu sistem tarafından kriptolu trafiği gözlemleme yeteneği (man-in-the-middle attack) sayesinde otomatik olarak SSL trafiğinin arasına girebilecek bir sertifika yaratıyor. (6 aralık 2012)
  • Üretilen sahte Google sertifikası bir şekilde Chrome tarayıcı üzerinden akan trafik içinde rol alıyor ve Google tarafından tespit ediliyor. (26 Aralık 2012)
  • Durum TürkTrust’a ve İnternet camiasının geri kalanına aksettiriliyor ve kıyamet kopuyor. (26 Aralık 2012)
  • TürkTrust “vallahi kötü amaçlı yapılan bir şey değil, kazadır olmuş, kusura bakmayın” minvalinde açıklamalarla durumu izah etmeye ve İnternet üzerinden ürün ve hizmet sunan firmalar TürkTrust’ı kendi güvenilir sertifika sağlayıcı listelerinden çıkartmaya ve güvenilirlik durumunu askıya almaya başlıyorlar. (26 Aralık 2012 ve devam ediyor)

 

Konunun izahı ve ek bilgiler

İki ara sağlayıcı sertifikasından bir tanesinin hemen imha edildiğini belirtmiştim. Buradaki bağlantıda EGO için üretilen ve hayatta kalan ara sağlayıcı sertifikasını ve konuya malzeme olan sahte Google sertifikasını bulabilirsiniz. Fakat memleketimden bu siteye gitmeniz için sansürsüz DNS kullanmanız gerekiyor. Bağlantıya tıkladıysanız, aşağıdaki sertifikanın içinde rahatlıkla ilgili alan adalarının listesini görebilirsiniz. Liste gayet uzun, insan ister istemez ürküyor.

Kronolojide durumu Google’ın tespit ettiğini yazdım. Google bunu açık anahtar iğneleme (public key pinning) ile tespit ediyor. Chrome’un 13 sürümünden bu yana bulunan bir özellik, istenilen site veya hizmetlerin sadece ilgili sertifika otoritesi veya otoriteleri (yani ilgili hizmet/site sahibinin belirlediği sağlayıcılar) tarafından imzalanması durumunda kabul gördüğü bir sistem. Ben BerkinTech diye güvenilir bir sertifika sağlayıcısıysam bile Google benimle iş yapmıyorsa ve bu iğneleme listesine yoksam benim verdiğim, örneğin, Google.com sertifikasını kabul etmez. Google’ın isteyen kurumlar için kendi ürünlerinde böyle bir hizmeti sunması ve diğerlerine de kabul ettirmeye çalışmasının sebebi belli, BerkinTech şirketini kuran herkes bu güvenilirliği suiistimal etmesin diye değil, daha ziyade bir güvenlik sızıntısı sırasında oluşabilecek zayiatı en aza indirebilmek.

turktrust_logo

Yukarıdaki paragraftan anlayacağımız üzere, kök sertifika sisteminde ciddi bir arıza var ve bu çeşitli çabalarla kapatılmaya, bir “kaza” halinde yaşanacak kriz en aza indirgenmeye çalışılıyor. Tabii burada olan şeyin bir kaza olup olmadığını anlamak benim açımdan güç, o nedenle sonuç bölümünde sadece bir aralık tanımlayıp olayın nereye kadar gidebileceğini anlatmakla yetineceğim.

TürkTrust olayı kendi açısından adım adım anlattı ve sürekli güncellediği bir duyuru hazırladı. Yukarıda da bağlantısını verdiğim açıklamalara buraya tıklayarak ulaşabilirsiniz. Açıkçası çok ayrıntılı şekilde anlattıkları olaylar gayet makul görünüyor, fakat elbette EGO’ya sağlanan geçici yetkiyle nerelerde nasıl sertifikalar üretildi, nasıl kullanıldı, neler yapıldı bilemiyoruz.

Elbette TürkTrust sistemine sızma olmadığını, başka sertifikalar üretilmediğini ve konu anlaşıldığı gibi sertifikaların devreden çıkartıldığını belirtiyor. Bunlar elbette ispat isteyen iddialar. Sızma iddiasını kapsamlı bir güvenlik denetiminden sonra yayınlanacak raporlardan anlayabiliriz. Sertifika üretimi açısından da başka sertifikalar üretilmediğini belki bu güvenlik denetiminden sonra anlarız veya hiç anlayamayız, bu konuda bilgim yok zira konu adli bilişime giriyor.

 

Dünyadan tepkiler

Konu birçok yazılım şirketi tarafından kabul görmüş bir kök sertifika sağlayıcı olunca böylesi bir olayın elbette dünya çapında tepki ve hatta infial uyandırması olağan. Zira kök sertifika sağlayıcılığı ve doğrulanmış SSL sertifika sisteminin yumuşak karnına, herhangi bir sızma olmadığı iddiası gündemde tutularak yanlışlıkla böyle bir darbe vurulabiliyor olması konuyu çok daha hazmı zor bir hale getiriyor.

TurkTrust’ın kendi internet sitesinde de yer verdiği birkaç “ne dediler?” bağlantısı mevcut. Google’ın konuyu ne oluyor ulan orada şeklinde değerlendirdiği tahmin edilebilir, fakat biraz daha nazik konuştuklarını, sadece olayı tanımladıkları ve aldıkları önlemleri anlattıklarını görebilirsiniz. Microsoft ise her zamanki takım elbiseli tavrıyla bir yama yayınlayacağını ve bir KB makalesinin okunmasının iyi olacağını belirtmiş. Google ve Microsoft, Mozilla Vakfı gibi, bildirilerinde ilgili sertifikaların sistemden kaldırılacağını belirtmiş. Ayrıca Mozilla Vakfı TurkTrust’un kök sertifika sağlayıcılık durumunu inceleme için askıya alacağını belirtmiş.

Önemli bir İnternet tarayıcısı olan Opera’nın ise açıklaması ilginç, sanki meseleye biraz duygusal yaklaşmışlar. Kök sertifika sisteminden TurkTrust’ı kaldırmayacaklar ama tarayıcı içinde en üst seviye doğrulama da sağlanmayacak.

Yabancı basında durum daha da vahimdi. Bunun, zaten halkına İnternet konusunda pek iyi davranmayan Türkiye Cumhuriyeti devletinin bir hareketi olduğunu düşünenler, hem içeride hem de dışarıda, bolca mevcut. Yer yer, konunun bir ucu Ankara EGO’ya dayanınca, İnternet fenomenimiz Melih Gökçek’e de atıfta bulunan insanlar çıkabiliyor.

melih_gokcek_paranoia_500px“Türksünüz, paranoya ihtiyari değil elzemdir.”

 

Sonuç itibariyle şu an etrafta geçersiz sertifika kalmadı fakat işin arkasında “daha büyük bir güç” olabileceği nedeniyle bazı arkadaşlarımız “tarayıcınızda ve sisteminizdeki bütün Türkiye menşeli sertifika sağlayıcıları kaldırmanızda fayda olabilir” diyorlar. Zira her şey sadece bir teknik hatadan fazlası olabilir.

En nihayetinde elinizde bir maymuncuk var ve İnternet’teki mahrem sayılan her kapıyı açabiliyor. Bu maymuncuk zaten siyasi olarak sürekli karmaşa içinde olan, son zamanlarda İnternet’e devlet müdahalesi anlamında tüm dünyada rezilliğin başarılı bir örneği olarak konuşulan, en tepe yöneticisinin bile orasından burasından böcekler çıktığı iddia edilen bir ülkede üretilip devletin iki kurumuna teslim ediliyor.

 

Gerçek orada bir yerde

Konuyla ilgili olarak günlerdir analiz ve yorumları okuyorum. İşin teknik kısmını da az biraz biliyorum. Dünyanın konuya neden böylesine şaşkınlık ve endişeyle eğildiğini buraya kadar yazdıklarımdan tam olarak anlamadıysanız size iki tane hayal ürünü senaryo vereceğim. Bunlardan birisi en iyi durum, ötekisi ise en kötü durum senaryosu olarak kabul edilebilir.

Birincisi, her şey TurkTrust’ın anlattığı gibi basit bir hataydı, üretilen dinleme sertifikası veya sertifikaları asla kullanılmadı, ilgili ara sertifikalar ve malum maymuncuk sertifika devre dışı bırakıldı ve aslında asayiş berkemal.

İkincisi, bir güvenlik açığı sonucu veya kasıtlı olarak ara sertifikalar ve onlara bağlı sahte SSL sertifikaları birçok farklı site ve hizmet için birileri tarafından üretildi, olay ortaya çıkana kadar çeşitli kurum veya kişilerin özel iletişimleri man-in-the-middle saldırılarıyla dinlendi ve buradan elde edilen bilgiler bir şekilde kullanıldı veya kullanılacak.

Gerçek, bu ikisinin arasında bir yerde duruyor.