Posts Tagged ‘garanti bankası’

Garanti Bankası cep şubesinde güvenlik sorunu

Cuma, 2011.10.14

 

Ülkemizdeki en çok müşteriye sahip bankalardan olan Garanti Bankası, internet şubesi ve sanal bankacılık uygulamaları alanında da sürekli kendisini geliştiriyor. Her ne kadar Android işletim sistemine sahip aygıtlar için Şifrematik uygulamasını biraz geç çıkartmış olsa da Garanti’nin teknolojiyi yakından takip ettiğini söyleyebiliriz. Her güzelin bir kusuru vardır diyerek yola çıkarsak, çok müşterisi olması ve buna bağlı olarak genel bir ulaşım sorunu yaşayan müşteriler haricinde  başka şeyler de ortaya çıkıyor tabii. Örneğin cep şubesi üzerinden girişlerde BDDK tarafından istenen güvenlik aşamalarından bir tanesinin aşılabilmesi gibi…

 

 

BDDK ne diyor?

 

Bankacılık Düzenleme ve Denetleme Kurumu, memlekette bankacılık işlemlerini düzenleyen yetkili kurumlardan birisi. Bankaların faaliyetlerini denetleyip güvenli ve makul biçimde hayatlarına devam etmesi ve krizlerde batmamaları gibi konularda destek veren ve denetim yapan kurum İnternet bankacılığı için de çeşitli yönetmelikler sunuyor. BDDK tarafından çıkarıldıktan sonra 14 Eylül 2007 tarihinde Resmî Gazete’de yayınlanan, ardından ise 1 Haziran 2010‘da güncellenen Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ ‘de kimlik doğrulamayla ilgili kısım şu şekilde:

 

Kimlik doğrulama – Madde 27

(4) Müşterilere uygulanan kimlik doğrulama mekanizması birbirinden bağımsız en az iki bileşenden oluşur. Bu iki bileşen; müşterinin “bildiği”, müşterinin “sahip olduğu” veya müşterinin “biyometrik bir karakteristiği olan” unsur sınıflarından farklı ikisine ait olmak üzere seçilir. Müşterinin “bildiği” unsur olarak parola/değişken parola bilgisi gibi bileşenler, “sahip olduğu” unsur olarak tek kullanımlık parola üretim cihazı, kısa mesaj servisi ile sağlanan tek kullanımlık parola gibi bileşenler kullanılabilir. Bileşenler tamamen müşterinin şahsına özgü olmalı ve bunlar sunulmadan kimlik doğrulama gerçekleştirilememeli, hizmetlere erişim sağlanamamalıdır.

 

Araştırmada, bankaların cep telefonu erişimi için kimlik doğrulama işlemini kırpabilmesine olanak tanıyan herhangi bir madde okumadım. Dolayısıyla iki seçenek illa değerlendirilmek zorunda; biyometrik doğrulama bile tek başına yeterli değil. Bunun yanında hatırlatmak isterim ki başka bir bankanın düzenli müşterisi değilim; dolayısıyla oralardaki uygulamaları bilmiyorum.

 

Normal İnternet şubesine giriş

 

Olağan şartlarda, eğer Garanti Şifrematik bir özel şifre üretme aygıtınız veya akıllı telefon yazılımınız yoksa İnternet bankacılığı için şu adımlardan geçmeniz gerekiyor: İlk ekranda  müşteri numaranız (açık, sabit bilgi, sayısal, 8 hane) ve parolanız (gizli, sabit bilgi, b/k duyarlı harf ve sayı, en az 6 hane) soruluyor. Bunun ardından, herhangi bir kandırmaca siteye yönlendirmediğinizden (phishing, olta saldırısı) emin olmanız için,  daha önceden seçtiğiniz ve sadece sizin bildiğiniz küçük resim gösteriliyor ve şifreniz (gizli, uzun aralıkla değişen bilgi, sayısal, en az 6 hane) isteniyor. Ardından ise size SMS ile gönderilen şifreyi giriyorsunuz.

Eğer Şifrematik kullanıcısıysanız şifreniz ve SMS şifresi istenmiyor. Bunların yerine, yine bir şifreyle çalışan aygıt veya yazılımsal Şifrematik tarafından üretilen tek kullanımlık şifre ve küçük resim doğrulamasından geçip sisteme giriş yapıyorsunuz.

 

Cep şubesine giriş

 

Herhangi bir şekilde Garanti Bankası’nın cep şubesine, bir mobil aygıttan veya mobil aygıt taklidi yapan tarayıcıyı kullanarak bilgisayarınızdan (mesela user agent değiştiren eklentiler kullanılarak), herhangi bir bağlantıyı (mobil data hattı veya karasal internet bağlantısı fark etmiyor) eriştiğinizde ilk ekranda müşteri numarası ve parola, ardından ise ikinci ekranda küçük resim doğrulaması sunularak ara sıra değiştirmeye zorlandığınız (zorunlu hale gelene kadar da kimsenin değiştirmediği) şifre isteniyor. Ardından şubeye erişiyorsunuz.

 


iPhone gibi tanıtılan Firefox ile wap.garanti.com.tr
üzerinden cep şubesine giriş mümkün

 

Eğer Şifrematik kullanıcısıysanız şifreniz ve SMS şifresi istenmiyor. Bunların yerine, yine bir şifreyle çalışan aygıt veya yazılımsal Şifrematik tarafından üretilen tek kullanımlık şifre ve küçük resim doğrulamasından geçip sisteme giriş yapıyorsunuz. Cep Şifrematik kullanıyorsanız da onun üzerinden mobil aygıtın tarayıcısını çalıştırarak tek kullanımlık şifre doğrulaması yapılmış olarak müşteri numarası ve parola girdiğiniz ekrana yönlendiriliyorsunuz. Ardından ise ikinci ekranda küçük resim doğrulaması kısmında devama tıklayıp giriş yapıyorsunuz.

 

Sorun nerede?

 

Cep şubesine cep telefonu veya cep telefonu gibi davranan masaüstü bilgisayardan girebilmek doğrudan BDDK tarafından zorunlu tutulan güvenlik önlemlerinden bir tanesini devre dışı bırakılması için yeterli oluyor. Elbette çoklu görev (multi-tasking) desteği olmayan telefonlar veya mobil aygıtlar için SMS ile gelecek olan şifreyi okuyup geri dönmek mümkün olmayabilir; fakat zorunlu olan üç çeşit güvenlik önleminden ikisi ile oluşturulan güçlü güvenlik yerine, tek güvenlik önleminin iki defa uygulanmasıyla oluşturulan (aynı algoritmayla iki kere şifrelemek gibi, sadece gibi) daha düşük bir güvenliğe tamah edilmiş oluyor. Kaldı ki bir tane sabit, bir tane de uzun aralıklarla değiştirilen gizli bilginin bir şekilde ele geçirilmesi ve kullanılması diğer yöntemlere göre çok daha kolay ve sosyal mühendislik destekli şifre kapma girişimlerine karşı daha kırılgan bir güvenliğe sebep olacaktır. Şifrelerinizi bir şekilde kaptırırsanız SMS doğrulamasına gerek duymadan herkes bu bilgilerle şubeye girmeyi deneyebilir.

Büyük ihtimalle Türkiye’nin en büyük bankalarından birisinin bu hizmete tedbirsiz veya hukuksuz girişmeyeceğini tahmin ediyorum. İlla benim atladığım bir yönetmelik veya kanuna dayanarak bu işlemleri yapmışlardır diye düşünüyorum ama eriyip giden güvenlik algısı aşırı derecede dikkat çekici. Bir kanuna kurala uygunsa bile bu uygulama önerilen standartlara göre yeterince güvenli değil.

Garanti Bankası’nın konuyla ilgili yapacağı herhangi bir açıklama olursa burada yer vereceğim.

 

Faydalı bir not

 

Konuyu bitirirken maddi fayda sağlayacağınız bir bilgi vereyim: Uzun uzun IBAN numaralarını cepten yazıp havale veya EFT yapmak istemeyenler, bilgisayarlarını cep telefonu gibi tanıtıp (“user agent changer add-on” diye aratın) cep şubesine girdiklerinde (belirli saatler içinde kaldığı sürece) EFT ve havale için ücret ödemiyorlar. Üç tane EFT yapsanız 15 lira kârdasınız. 🙂