Posts Tagged ‘Güvenlik’

Genelgeçer güvenlik anlayışı ve dijital tasmalar

Pazar, 2012.07.01

 

Kapitalizm genel olarak sirayet ettiği her şeyin tadını kaçıran, insanları hırs ve ihtirasla yoldan çıkartan ve açgözlülüğü tetikleyip insanlığı ortadan kaldıran bir şey olarak biliniyor. Bunun teknolojiye bulaştığı noktada fikri mülkiyetlerin (patentler ve telif hakları mesela) kötüye kullanılmasına ve rekabet yerine rakipleri devre dışı bırakmaya yol veren kanunlar ve lobilerin oluşumuna sebebiyet vermesinden tutun da kullanıcıların satıcı kilitleriyle (vendor lock) parasını verip aldıkları ürünlerin sadece satıcının istediği biçimlerde kullanılmaya zorlanması gibi durumlar akla nereye gidiyoruz sorusunu getiriyor.

 

Fotoğraf: sxc.hu – antixsar

İşin siyasete yansıyan omurgasızlık abidesi kısımlarına burada girip siteyi amacından saptırmak istemiyorum; sadece olayın teknolojik tarafındaki net uygulamaları ve insanların güvende olma kavramına yaptıkları atıflara bi bakıp çıkacağım. Çıkartılamayan tasmalar ve güvenlik sanrıları konusunda biraz hafızanızı tazelemek istiyorum. Madem süregiden düzenin içinde yaşamaya birçok farklı kademede mecbur bırakılıyoruz en azından bizi kim, neden, nasıl kafalamak istiyor bilsek fena olmaz.

 

 

Geçen gün, malum bankanın Android işletim sistemi için ürettiği uygulamayı denemeye giriştim. Cep şubesini cep telefonu arayüzüyle tarayıcı üzerinden kullanmayı tercih edenlerdenim. Her bi nane için katma değersiz uygulama derlemek yerine genelgeçer standartlarda, İnternet tarayıcısı üzerinden çalışan sistemleri her zaman daha çok sevdim. Elbette sayfa başına onlarca AJAX çağrısı yerine doğrudan uygulama oluşturmak daha iyi, giriş seviyesi telefonlara yazık etmemek lazım; bu da başka bir mesele.

Tek kullanımlık parola üretme yazılımına giriş yapıp cep şubesine girmeye çalıştım; daha kullanıcı adı ve sabit parolamı girmeye vakit kalmadan karşıma bir uyarı çıktı, tıpkı daha evvel Blizzard tarafından sağlanan Battle.Net Authenticator‘da olduğu gibi… Gerçi Blizzard bu mantığın doğru olmadığını anladı ama olmuş olmuştur ve başkaları tarafından yapılmaya da devam ediyor.

 

Paradigma kayması

 

Elbette üretilen bir akıllı telefonun, güvenliği sağlanmış yazılımla gelmesi, dışarıdan kullanıcı müdahalesinin bilinçsiz olacağının düşünülerek güvensiz (kime göre neye göre) kabul edilmesini kafada meşrulaştıracak onlarca şey var. Aynı şeyi, Windows veya bir başka işletim sistemiyle gelen kişisel bilgisayarlara da uygulamayı dener misiniz? Son kullanıcının müdahale edip sağlamlaştırmadığı herhangi bir işletim sisteminin herhangi bir ağa bağlandığı anda maruz kalabileceği güvenlik tehditlerine girsem, özellikle son zamanlarda yapmaya gayret ettiğim güvenilirleştirme çalışmaları doğrultusunda gördüğüm şeyleri katarak, onlarca sayfa yazabilirim. 2011 sonunda ortaya çıkan Carrier IQ olayına hiç girmiyorum.

Çocuk pornosunu ve terörizmi bahane edip İnterneti istediği gibi sansürleme gücünü sonuna kadar kullanan hükumetlerin olduğu bir dünyada üreticilerin de güvenlik tehditlerini gösterip kapalı sistemleri dayatması çok garipsenecek bir şey değil. Kapalı sistemi güvenliğini överek sokuşturduğunuz kitleler elbette bunu çok takmıyor ama tamamen açık kaynak kodlu ve özgür sistemlerin, üreticilerin eksenleri dışında seyrediyor olmaları önemli bir sağlamlık, açıkların kapanabilmesi ve herkes tarafından gözetim imkanı sunuyor. Elbette buna karşı çıkmak için “kaç kişi açıp bakıyor?” savıyla ortaya atlayanlar çıkacaktır. Siz ülkenizin yasalarında size tanınan her hakkı kullanıyor musunuz? Hayır. Peki diğer insanların sizin kullanladığı hakka sahip olması önünde engel teşkil ediyor musunuz? Bu soruya cevabınız evet şeklindeyse zaten çok ciddi başka sorunlarınız var demektir.

Elbette burada yazılanlar tamamen ücretini ödeyip sahibi olduğunuz ürün ve hizmetlerle ilgili; yoksa meşhur sözün anlattığı gibi, aldığınız bir hizmete veya ürün için bedel ödemiyorsanız satılan ürün sizsinizdir. O son kullanıcı sözleşmesinde size dayatılan FİRMA, ben bilgisini sağladığım sürece don rengime kadar bilir, bu rengi bana çeşitli reklamları göstermek için kullanabilir, bu bilgiyi iş ortaklarıyla veya diğer üçüncü şahıslarla kafasına göre paylaşabilir maddesine hay hay dediyseniz yapacağınız çok fazla bir şey yok.

 

Nereye gidiyoruz?

 

DRM sistemleri, güvenilir bilgiişlem (trusted computing), donanım ve yazılımda kullanıcıların sisteme dokunması engellemeye yönelik kasıtlı değişiklikler (satıcı kilidi) ve bunlar gibi her şey aslında, teknoloji önünde çeşitli engeller oluşturarak, halka inecek teknolojinin önünde bir kontrol mekanizması  yerleştirip özgürlükleri kısıtladıktan sonra bir sonraki ürünü de aynı müşteriye nasıl satarım gibi düşüncelere hizmet eden bir yaklaşımın en bilindik başlangıç noktasını oluşturuyor. Görünüşe göre, bizler de bu engelleri gücümüz yettiğinde kaldırıp kapitalizmin parasını verdim kardeşim yaklaşımıyla ürettiği sahiplik hakkını sonuna kadar kullanabilecek önlemleri almaya devam edeceğiz.

Özgürlüklerinizi sizin deneyiminizin kalitesi ve sözde güvenliğiniz için gasp ettiğini anlatanlardan mümkün mertebe uzak durmanız dileğiyle…

 

 

 

 

 

Garanti Bankası cep şubesinde güvenlik sorunu

Cuma, 2011.10.14

 

Ülkemizdeki en çok müşteriye sahip bankalardan olan Garanti Bankası, internet şubesi ve sanal bankacılık uygulamaları alanında da sürekli kendisini geliştiriyor. Her ne kadar Android işletim sistemine sahip aygıtlar için Şifrematik uygulamasını biraz geç çıkartmış olsa da Garanti’nin teknolojiyi yakından takip ettiğini söyleyebiliriz. Her güzelin bir kusuru vardır diyerek yola çıkarsak, çok müşterisi olması ve buna bağlı olarak genel bir ulaşım sorunu yaşayan müşteriler haricinde  başka şeyler de ortaya çıkıyor tabii. Örneğin cep şubesi üzerinden girişlerde BDDK tarafından istenen güvenlik aşamalarından bir tanesinin aşılabilmesi gibi…

 

 

BDDK ne diyor?

 

Bankacılık Düzenleme ve Denetleme Kurumu, memlekette bankacılık işlemlerini düzenleyen yetkili kurumlardan birisi. Bankaların faaliyetlerini denetleyip güvenli ve makul biçimde hayatlarına devam etmesi ve krizlerde batmamaları gibi konularda destek veren ve denetim yapan kurum İnternet bankacılığı için de çeşitli yönetmelikler sunuyor. BDDK tarafından çıkarıldıktan sonra 14 Eylül 2007 tarihinde Resmî Gazete’de yayınlanan, ardından ise 1 Haziran 2010‘da güncellenen Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ ‘de kimlik doğrulamayla ilgili kısım şu şekilde:

 

Kimlik doğrulama – Madde 27

(4) Müşterilere uygulanan kimlik doğrulama mekanizması birbirinden bağımsız en az iki bileşenden oluşur. Bu iki bileşen; müşterinin “bildiği”, müşterinin “sahip olduğu” veya müşterinin “biyometrik bir karakteristiği olan” unsur sınıflarından farklı ikisine ait olmak üzere seçilir. Müşterinin “bildiği” unsur olarak parola/değişken parola bilgisi gibi bileşenler, “sahip olduğu” unsur olarak tek kullanımlık parola üretim cihazı, kısa mesaj servisi ile sağlanan tek kullanımlık parola gibi bileşenler kullanılabilir. Bileşenler tamamen müşterinin şahsına özgü olmalı ve bunlar sunulmadan kimlik doğrulama gerçekleştirilememeli, hizmetlere erişim sağlanamamalıdır.

 

Araştırmada, bankaların cep telefonu erişimi için kimlik doğrulama işlemini kırpabilmesine olanak tanıyan herhangi bir madde okumadım. Dolayısıyla iki seçenek illa değerlendirilmek zorunda; biyometrik doğrulama bile tek başına yeterli değil. Bunun yanında hatırlatmak isterim ki başka bir bankanın düzenli müşterisi değilim; dolayısıyla oralardaki uygulamaları bilmiyorum.

 

Normal İnternet şubesine giriş

 

Olağan şartlarda, eğer Garanti Şifrematik bir özel şifre üretme aygıtınız veya akıllı telefon yazılımınız yoksa İnternet bankacılığı için şu adımlardan geçmeniz gerekiyor: İlk ekranda  müşteri numaranız (açık, sabit bilgi, sayısal, 8 hane) ve parolanız (gizli, sabit bilgi, b/k duyarlı harf ve sayı, en az 6 hane) soruluyor. Bunun ardından, herhangi bir kandırmaca siteye yönlendirmediğinizden (phishing, olta saldırısı) emin olmanız için,  daha önceden seçtiğiniz ve sadece sizin bildiğiniz küçük resim gösteriliyor ve şifreniz (gizli, uzun aralıkla değişen bilgi, sayısal, en az 6 hane) isteniyor. Ardından ise size SMS ile gönderilen şifreyi giriyorsunuz.

Eğer Şifrematik kullanıcısıysanız şifreniz ve SMS şifresi istenmiyor. Bunların yerine, yine bir şifreyle çalışan aygıt veya yazılımsal Şifrematik tarafından üretilen tek kullanımlık şifre ve küçük resim doğrulamasından geçip sisteme giriş yapıyorsunuz.

 

Cep şubesine giriş

 

Herhangi bir şekilde Garanti Bankası’nın cep şubesine, bir mobil aygıttan veya mobil aygıt taklidi yapan tarayıcıyı kullanarak bilgisayarınızdan (mesela user agent değiştiren eklentiler kullanılarak), herhangi bir bağlantıyı (mobil data hattı veya karasal internet bağlantısı fark etmiyor) eriştiğinizde ilk ekranda müşteri numarası ve parola, ardından ise ikinci ekranda küçük resim doğrulaması sunularak ara sıra değiştirmeye zorlandığınız (zorunlu hale gelene kadar da kimsenin değiştirmediği) şifre isteniyor. Ardından şubeye erişiyorsunuz.

 


iPhone gibi tanıtılan Firefox ile wap.garanti.com.tr
üzerinden cep şubesine giriş mümkün

 

Eğer Şifrematik kullanıcısıysanız şifreniz ve SMS şifresi istenmiyor. Bunların yerine, yine bir şifreyle çalışan aygıt veya yazılımsal Şifrematik tarafından üretilen tek kullanımlık şifre ve küçük resim doğrulamasından geçip sisteme giriş yapıyorsunuz. Cep Şifrematik kullanıyorsanız da onun üzerinden mobil aygıtın tarayıcısını çalıştırarak tek kullanımlık şifre doğrulaması yapılmış olarak müşteri numarası ve parola girdiğiniz ekrana yönlendiriliyorsunuz. Ardından ise ikinci ekranda küçük resim doğrulaması kısmında devama tıklayıp giriş yapıyorsunuz.

 

Sorun nerede?

 

Cep şubesine cep telefonu veya cep telefonu gibi davranan masaüstü bilgisayardan girebilmek doğrudan BDDK tarafından zorunlu tutulan güvenlik önlemlerinden bir tanesini devre dışı bırakılması için yeterli oluyor. Elbette çoklu görev (multi-tasking) desteği olmayan telefonlar veya mobil aygıtlar için SMS ile gelecek olan şifreyi okuyup geri dönmek mümkün olmayabilir; fakat zorunlu olan üç çeşit güvenlik önleminden ikisi ile oluşturulan güçlü güvenlik yerine, tek güvenlik önleminin iki defa uygulanmasıyla oluşturulan (aynı algoritmayla iki kere şifrelemek gibi, sadece gibi) daha düşük bir güvenliğe tamah edilmiş oluyor. Kaldı ki bir tane sabit, bir tane de uzun aralıklarla değiştirilen gizli bilginin bir şekilde ele geçirilmesi ve kullanılması diğer yöntemlere göre çok daha kolay ve sosyal mühendislik destekli şifre kapma girişimlerine karşı daha kırılgan bir güvenliğe sebep olacaktır. Şifrelerinizi bir şekilde kaptırırsanız SMS doğrulamasına gerek duymadan herkes bu bilgilerle şubeye girmeyi deneyebilir.

Büyük ihtimalle Türkiye’nin en büyük bankalarından birisinin bu hizmete tedbirsiz veya hukuksuz girişmeyeceğini tahmin ediyorum. İlla benim atladığım bir yönetmelik veya kanuna dayanarak bu işlemleri yapmışlardır diye düşünüyorum ama eriyip giden güvenlik algısı aşırı derecede dikkat çekici. Bir kanuna kurala uygunsa bile bu uygulama önerilen standartlara göre yeterince güvenli değil.

Garanti Bankası’nın konuyla ilgili yapacağı herhangi bir açıklama olursa burada yer vereceğim.

 

Faydalı bir not

 

Konuyu bitirirken maddi fayda sağlayacağınız bir bilgi vereyim: Uzun uzun IBAN numaralarını cepten yazıp havale veya EFT yapmak istemeyenler, bilgisayarlarını cep telefonu gibi tanıtıp (“user agent changer add-on” diye aratın) cep şubesine girdiklerinde (belirli saatler içinde kaldığı sürece) EFT ve havale için ücret ödemiyorlar. Üç tane EFT yapsanız 15 lira kârdasınız. 🙂

 

 

 

Bilgiyi saklamak kolay mı sanıyorsunuz?

Cuma, 2011.03.25

 

Malumunuz, bir soruşturma için memleket sathında yazılmış ama yayınlanmamış bir kitap “örgütsel belge” olarak adlandırılıp toplumdan köşe bucak kaçırılıyor. En azından bende oluşan kanaat bu. Elbette işin “dijital belgenin nüshalarını toplayıp imha eden” polisler gibi komedi unsurları da konuyu daha eğlenceli hâle getiriyor. Aslında beni ilgilendiren kısmı da bu.

Haberlerde bahsi geçtiği şekilde aktaracak olursak bir gazete, bir yayınevi ve bir veya birkaç gazetecinin evi basılarak taslak halinde olan bir kitap toplatılıyor. Tabii bu toplatma işi biraz değişik: Fiziksel varlığı olmayan bir şeyi toplatmak fiiliyle ilişkilendirmek mümkün olamaz. Yani çok yanlış bulduğumdan demiyorum, teknik imkânsızlıklardan bahsediyorum. Dijital bir belgenin onlarca kopyasını çıkartmak, belgeleri gizlemek, çeşitli sistemlerle varlığının sürmesini sağlamak ve benzeri konular çok kolay. Elbette bu işleri kovuşturan kolluk kuvvetlerinde de bu işten anlayan birileri vardır velâkin bilginin yayılmasını engellemek çok zordur.

 


Bu bir şifreleme makinesi. Yakında her şeyimizi bunun 21. yüzyıldaki

benzerleriyle yapmaya başlarsak şaşırmayın. Fazlaca takip ediliyoruz.

 

İşin hukukî boyutunda ise bu tür durumlar iletişim özgürlüğüne tecavüz boyutuna geldiği için birilerinin dur diyeceğini beklemekten başka çare yok gibi görünüyor. Sonuçta  sistemler hangi amaca hizmet ettiklerine göre değer kazanırlar; güvenlik kamerasıyla insanları fişleyebilirsiniz veya sadece bir sorun olduğunda başvurmak için kayıt yapabilirsiniz. Burada vatandaşın devlete güvenmek ve onu denetleyecek sistemleri talep etmekten başka şansı yok gibi görünüyor.

 

Bu noktada internette rastladığım önemli bir vurguyu da eklemeden geçmek istmiyorum: Bir ünlünün pornosu olsa herkeste kolayca bulunurdu ama bir kitabı bulmak mümkün değil. Garip bir ülkede yaşıyoruz.

 

 

 

BlackBerry’nin derdi ne?

Perşembe, 2010.08.26

Son zamanlarda iki Körfez ülkesinin Research In Motion‘un akıllı telefon sistemi BlackBerry’ye karşı başlattığı bazı hizmetleri engelleme girişimleri “sıra kimde” sorusunu akıllara getirirken bunun sıradan bir devlet rahatsızlığı olmadığı kanısında olanlar da “neden” diye sormaya başlamış durumda.

BlackBerry cihazları özellikle kurumsal kullanım için tasarlanmış, son derece güvenli veri iletişim teknolojilerine sahip biçimde şirketlerin saha elemanlarıyla iletişimde kalmasını, kendi şirket ağları, e-posta sistemleri ve bilgi paylaşım mekanizmalarına kolayca iletişimde kalacak şekilde kullanmalarını sağlayan ürünler olarak eşsizler. Eğer BlackBerry sistemlerini hakkını verecek şekilde kullanacak altyapınız yoksa gerçekten BlackBerry kullanıyor sayılmazsınız; zira bu akıllı telefonların uzaktan yönetilebilirlikleri ve güvenlik sistemleri tamamen üst seviye kurumsal pazara hitap ediyor. Elbette bunlar şahsi kanaatim; sadece e-posta için de kullanan yok mudur? Vardır.

Fazla güvenlik zararlı

Her yerel yönetim gibi Türkiye’de de BlackBerry’nin korunaklı yapısı devlet organları tarafından “ulan ne oluyoruz?!?” nidalarıyla incelemeye alındı. Zira, bu telefonlar üzerinden aktarılan veriler, varacağı yere gidene kadar (basitleştirilmiş tanım 🙂 ) takip edilemiyor. Yani, siz bireysel bir kullanıcıysanız bile gönderdiğiniz veri Research In Motion‘un Kanada’daki merkezleri üzerinden internete çıkacağı ve oradan denize dökü… öhm… ilgili yere ulaşacağı için kendi memleketiniz sınırlarında takip edilemiyor.

İsteyen nasıl izliyor?

Elbette böylesine bir güvenlik devletler tarafından aşılmaz değil. Her türlü kişisel mahremiyetinizi ayaklar altına almaya meraklı olan devletler Research In Motion ile anlaşmalara vararak ilgili ülkeden Kanada semalarına doğru ilerleyen veri paketlerini ulaştıkları noktada kendi istedikleri biçimde denetlemenin yolunu RIM ile anlaşarak bulabiliyorlar. Türkiye’de TK tarafından yapılan araştırma da bu konuları kapsar nitelikteydi. Körfez ülkelerinden farklı olarak (artık ne talep ettilerse alamadılar ki kullanıma kısıtlama getirdiler) Türkiye’de kullanımda bir sıkıntı yaşanmayacağı; fakat resmî olarak takip edildiğimizi bilerek kullanmaya devam edebileceğimizi söyleyebilirim.

İşin diğer tarafı

Elbette güvenlikle ilgili arka planda kalan bir sorun var: Sizin gizli dediğiniz bilgilerin doğrudan başka ülkeye taşınması. Bu da kendisini güvende hisseden firmalar için bir başka tehdit durumunda. Zira bir kere denetimden çıkan verinin kimin tarafından izlendiği hakkında çok fazla bilginiz olamayacağına bahse girerim.

Sıradan e-posta sistemleri de bu tür izlemelere açık; fakat BlackBerry sisteminin yarattığı güvenlik ve gizlilik hissinin bir yanılsamadan ibaret olduğu gerçeği herkesçe malum değilse daha büyük sorunlarımız var demektir. Yakında GPG ve benzer sistemlerin kullanımı konusunda da yasaklar havalarda uçuşursa çok fazla şaşırmayın.

TTNet ADSL hattında bir garip açık

Çarşamba, 2010.02.03

Uzun süredir haber niteliğinde bir şeyler yazmamış ve üzerine de Teknoloki.com’da haber içerikli şeyler yayınlamamak konusunda kararlılık göstermiş olsam da bu gelişmeyi daha iyi biçimde paylaşabileceğim bir başka platform yok. Bu sebeple “bunun burada ne işi var, biz makale istiyoruz” diyenlerden özür dilerim; güzel makalelerin yolda olduğunu belirtmek isterim.

İlginç bir durum

Bugün iş yerinde Alper Güçlü ile keşfettiğimiz bir arıza TTNet üzerinden ADSL kullananları ilgilendiriyor. Olağan şartlarda eğer birisi sizin fiziksel ADSL hattınıza modem bağlarsa modem üzerinden çalışan protokol, kullanıcı adı ve şifre girilmediği sürece sizin hattınız üzerinden veri akışını engelliyor ve bunu basit bir DMZ tarzı yönlendirme ve hatalı şifre uyarı sayfasıyla yapıyor.

Bu sabah Beyoğlu’nda yaşanan elektrik kesintisi (6-9 saat giden ve Germen’in bize 6 ay önce yeni sunucular için özenle dizdiği KGK sistemleri bile tükenmişti, gece 3 gibi kesilmiş olmalı) sebebiyle güvenlik duvarında ayar yaparken yanlış girilen şifre sebebiyle herhangi bir noktaya erişememeye başlamıştık. Herhangi bir siteyi açmaya çalışırken bizi hatalı şifre sebebiyle TTNet’in sayfasına yönlendiren sistem çalışıyordu fakat ilginç şekilde HTTPS taleplerinde herhangi bir şifre koruması yoktu.

Sözün özü

Özetle, eğer birisi hattınıza kanca atarsa en basitinden bankacılık işlemlerini görebiliyor veya Gmail gibi HTTPS kullanan hizmetlere kolaylıkla erişebiliyor. Daha kötüsü kendisi için aldığı HTTPS vekil sunucuyu kullandığı taktirde hattınızdan her türlü işlemi yapabiliyor. İsterseniz siz de deneyin; belki farklı santrallerde sistem farklı çalışıyordur.