SSL uyarıları

Merhaba,

Her hafta TOBB ETÜ’de yapmaya çalıştığımız okuma grubunda bu haftayı SSL uyarılarının etkinliğini inceleyen bir makaleye ayırdık. Bruce Schneier bu çalışmayı “bildiğimizi kanıtlayan araştırma” olarak özetlemiş. Evet gerçekten de SSL uyarılarının genelde dikkate alınmadığını, insanların bu uyarıları rahatsızlık olarak gördüklerini vs. uzun uzun anlatmaya gerek yok. Peki makalede kayda değer neler var?

Öncelikle satır aralarında Firefox 3 geliştiricilerinin ilk başta kullanıcıların SSL uyarılarını atlayabilmesi için 11 adımdan geçer bir sistem kurduklarını fakat biraz da IE’a geçiş olur korkusuyla bunu nasıl 4 aşamaya indirdikleri gibi ilginç bilgiler bulunuyor.

Ama daha önemlisi yazarların daha etkin SSL uyarıları geliştirme yönünde başarısız olduklarını deneylerle kanıtladıkları bilgisini okuyorsunuz. Varılan sonuç SSL uyarıları yerine güvensiz bağlantılara hiç bir şekilde izin vermeyen bir sistem kurulmasının gerekliliği. Herhalde böyle bir şey en çok Verisign gibi CA’leri sevindirir. Yoksa üniversite web e-posta sunucusu vs.’ye böyle bir sertifika yüklemesi gereken büyük bir çoğunluk bu öneriye burun kıvıracakladır. Haklılar ama kararı onlar vermiyor maalesef. Nedense bu sonuç cümlesini okuyunca web tarayıcısı olarak sadece IE olmamasının ne kadar da iyi bir şey olduğunu hissettim. İyi ki varsın Firefox ve diğerleri.

Kendi önerilerinin başarısız olduğunu gösteren çalışmaların iyi güvenlik konferanslarında yayınlanması bir ilk değil. Bu durumun makale sahiplerinin kim olduklarıyla ilişkili olduğunu söylemek biraz kolaya kaçmak olabilir. Makaleyi okurken geçenlerde katıldığım SOUPS 2009 tutorial’inde  Roy Maxion‘un üzerinde ısrarla durduğu bir konuyu hatırladım. Roy bazı güvenlik uzmanlarının kullanışlılık deneyleriyle ilgili verilen bilgiyi sıkıcı bulabildiklerini hayretle aktarmıştı. Kullanışlı Güvenlik konusunda ilerlemenin ancak tekrar edilebilir deneyler yoluyla mümkün olduğunu ve yapılan deneylerin ayrıntılarının bilinmemesinin bu alanda mesnetsiz iddialar dışında elle tutulur bir şey olmaması sonucunu doğuracağına ben de inanıyorum. 

Titiz bir deney sonrasında gerekli ayrıntıda bir anlatım ve analiz bu makalede de kendini hissettiriyor. Yine de makale özünde iddia edilen kendi SSL uyarılarının mevcut uyarılardan daha iyi olduğu savının biraz havada kaldığını düşündüğümü de ekleyeyim.

Son olarak yapılan deneylerde 10-20 dolar gibi paralar dağıtılması ile katılımcıların %69′unun Hindistan doğumlu olması arasında nasıl bir ilişki olduğunun makalenin ilginç sonraki çalışmalarından biri olabileceğini bir şekilde Lorrie’ye iletmeyi siz değerli okuyuculara bırakıyorum demek isterim.

Kullanışlı Güvenlik Konferansı

Uzun zamandır geçen ay katıldığım SOUPS 2009 konferansı ile ilgili bir şeyler yazmak istiyordum. Kısmet bugüne imiş.

Güvenlik teknolojisinin hızla ilerlemesine rağmen güvenlik problemleri azalmıyor aksine artıyor. Bunun önemli bir sebebi varolan güvenlik teknolojilerinin kullanışlılığının düşük olması. Başka bir ifadeyle teknoloji geliştirilirken insan unsurunun ihmal edilmesi. Bu konuda çok şeyler yazılabilir hatta daha önce birkaç yazımızda bu konuya değindik. Fakat bugün ben yukarıdaki tespit ile başlamış ve bu sene beşinci düzenlenen konferans ile ilgili yazacağım.

Konferans Google sponsorluğunda ve evsahipliğinde yapıldı. O yüzden hem konferans ücreti düşüktü hem de bize iyi baktılar orda  Google kafeteryalarında her saat  açık büfe yiyecek içecek bulunuyor. Seneye Microsoft evsahipliğinde Redmond, WA’da olacak SOUPS 2010. Makale (veya poster) göndermeyi şiddetle öneririm konuyla ilgili olanlara.

Konferansın açılış konuşmasını Google’da yönetici olarak çalışan Eric Sachs yaptı. Endüstrinin bu konuya olan yoğun ilgisinin bir başka kanıtı idi sanki konuşması. OpenID (tüm İnternette tek bir sayısal kimlik kullanımı)projesinin büyük şirketlerce sürüklenmeye çalışıldığını ve böyle bir sistemin kullanışlı olması için yapılan çalışmalar vs. konularının gündemde olduğunu öğrendik sayesinde.

Poster oturumunda daha önce IFIPTM konferansında sunduğumuz çalışmayı anlattık. Çok güzel yorumlar aldık. Paul Van Oorschot bilhassa ilgilendi çalışmamızla.

Programdaki konuşmaların hepsinden bahsedemeyeceğim. Fakat iki sunumdan kısaca bahsetmek istiyorum. 

Carnegie Mellon üniversitesinden SOUPS konferanslarının da genel başkanı Lorrie Cranor‘un grubunun bir çalışması phishing (olta saldırıları) üzerine idi.  Tabii bu konu eski, ne yapmışlar diye burun kıvırdığınızı tahmin ediyorum. Ama bu saldırılar hala yapılıyor (bana gelen maillerden öyle tahmin ediyorum). Makaledeki ana fikir yani insanların tam ihtiyaç duyduğu anda (gelen olta saldırısı e-postasındaki linke tıkladığı anda) eğitilmesi fikri bana oldukça orjinal geldi. Ayrıntılar makalede.

Bir diğer çalışmada Video CAPTCHA fikri sunuldu. Kullanışlı güvenlik konferansında böyle kullanışsız çözümlerin kabul edilmiş olması beni bu konuda daha çok şeyler yapılması gerektiği konusunda heyecanlandırdı açıkçası.

Bu konuda şu an mümkün mertebe fazla okuma yapmaya çalışıyorum. Ülkemiz içinde oldukça yeni bir konu. Bu konuda bir ders vermek çok faydalı olabilir. Bu fikri hayata geçirmek üzere öncelikle şu dökümanı inceledim. Okunması gereken daha onlarca makale var pek tabii ki.

(Bir de usable security’ye karşılık olarak kullanışlı güvenlik mi kullanılabilir güvenlik mi demeliyiz karar veremiyorum. Sözlükten tekrar baktım iki anlama da geliyor)

Estonya’dan Avrupa Parlementosu Seçimlerinde İnternet Oylamasına Resmi Onay

7 Haziran 2009 tarihinde Estonya Avrupa Parlementosu seçimlerinde internet oylamasının kullanılmasına resmi onay vermiştir. Verilen bilgilere göre seçmenlerden %15’i geleneksel seçim yerine e-oylama’yı tercih etmiştir. İlgili haberde Estonya’nın geleneksel oylamayı tamamen kaldırmak yerine internet üzerinden oylamayı destekleyici bir araç olarak kullanmayı düşündüğü belirtilmiştir. Oylamada kullanılan prosedür şu basamaklardan oluşmaktadır:

1. Seçmen Kart okuyucusuna devlet tarafından kendine verilen kimlik kartını yerleştirip, ilgili web sayfasına bağlanır.
2. Daha sonra kişi kimlik kartının PIN1 numarasını girerek kendini doğrular.
3. Elektronik Oylama Sunucusu ilk etapta seçmenin oy kullanıp kullanamayacağını doğrular.
4. İlgili doğrulama işlemleri başarı ile geçildiği takdirde seçmenin karşısına kendi oy vereceği bölge ile ilgili aday listesi çıkar.
5. Seçmen tercihini yapar. Bu tercih şifrelenmiş bir şekilde aktarılır.
6. Aynı zamanda seçmen tercihini bir de elektronik imzası ile doğrular. Bu işlem esnasında PIN 2 numarası kullanılır.
7. Oy sayımı esnasında kişilerin elektronik imzaları anonimliği sağlamak adına kaldırılır. Yüksek seçim kurulu anonim elektronik oyları birlikte açar ve sayım işlemini tamamlar.

İlgili Haberin detayları için şu linke göz atabilirsiniz.

802.11 Ağlarında Servis Engelleyici Saldırılar ve Karşı Koyma Yolları

Bir çok araştırmacı gibi Larry Peterson da yazmış olduğu bilgisayar ağları kitabında güvenlik konusunda ucu açık problemlerden en önemlilerinden birinin servis engelleyici saldırılar (ing: denial of service attacks) olduğunu belirtmekte. Telsiz yerel alan ağlar kapsamında bu konudaki çalışmaları İngilizce olarak yayınlanmış makalemizde özetlemeye ve bir güvenlik modeli içerisinde tüm yönleriyle ele almaya çalıştık. İlgili olanlara duyurulur.

Estonya E-seçimlerde Cep Telefonu Üzerinden Doğrulama Yapmak için Kolları Sıvadı

E-seçim çalışmalarında başı çeken ülkelerden biri olan Estonya şimdi de 2011 yılındaki seçimlerde cep telefonu üzerinden doğrulama yapabilmek için hazırlıklara başladı. 2005 yılından beri ulusal kimlik kartlarını elektronik seçimlerde doğrulama aracı olarak kullanıma sokan Estonya, özellikle yurtdışındaki vatandaşların lokal güvenlik nedeniyle bazen bu kartlar üzerinden doğrulama gerçekleştiremediğini bu nedenle cep telefonları üzerindeki SIM karta gömülmüş sertifikalarla doğrulama yapabilmek için bir yazılım projesi başladıklarını duyurdu. Mobil doğrulama fonksiyonunun mevcut yazılıma eklenmesi için öngörülen süre ise 6 ay olarak belirtiliyor. Doğrulama dışındaki seçim işlemlerinin güvenlik nedeniyle şuan için cep telefonu üzerinden düşünülmediği de vurgulanan konulardan bir tanesi. Haberin detaylarını bu linkten öğrenebilirsiniz.

“Karakutu Elektronik Seçim Aygıtları” gerçekten kurtarıcı mı?

Elektronik seçim çalışmalarında iki temel yaklaşım göze çarpmaktadır. Bir tanesi uzaktan seçim, diğeri oy verme kabininde yapılan e-oylama. Uzaktan seçim, belirli bir mekana sınırlı olmadan istediğimiz yerden bilgi ve iletişim cihazları vasıtasıyla oy kullanabilmeye olanak sağlayan yöntemleri içermektedir. Dijital televizyonlar, mobil telefonlar uzaktan seçim için kullanılabilen aygıtlar olsa da uzaktan seçim deyince akla daha çok internet üzerinden oy kullanma gelmektedir. Bu kısaca i-oylama (i-voting) olarak da bilinmektedir. Yapılan bilimsel çalışmalar bu iki odak etrafında yoğunlaşmaktadır.

Gereksinimler ve güvenlik açısından baktığımız zaman i-oylama’nın daha zor bir problem olarak karşımıza çıktığını söyleyebiliriz. Çünkü doğası gereği dağıtık ve çeşitlilik arz eden bir topolojiye sahip olan i-oylama’nın güvenliğini sağlamak da çok zordur. Bruce Schneiner’in şu sözü olayın ne kadar kritik olduğunu gözler önüne sermektedir: “An Internet Voting System would be the first secure network application ever created in the history”. Sunucu, iletişim güvenliği ve benzeri bir takım faktörleri bir kenara bırakırsak, sadece istemci güvenliğini bile sağlamak i-oylamada kullanılan bütün istemcilerin güvenli olması anlamına gelmektedir ve bu da pratikte gerçekten çok zor bir konudur. Ayrıca güvenliğin dışında demokratik gereksinimlerden kaynaklanan sıkıntılar da bulunmaktadır. Bunlardan en belirgini oy ticareti ve zorla oy kullandırma olaylarıdır. İnternet üzerinden oylama esnasında her kişinin başına bir güvenlik görevlisi dikmek mümkün değildir. Bu da kişilerin bazı maddi imkanlar karşılığında oylarının hangi yönde kullandıklarını başka kişilere ispatlama olanağını doğurmaktadır. Aynı zamanda bir grubun zorla bir odaya alınıp, belirli bir kişi veya grup yönünde oy kullanmaları yönünde zorlama yapma gibi hadiseler de internet oylamada karşılaşabileceğimiz uınsurlar arasındadır. Dolayısıyla dünya çapındaki e-seçim örneklerinin çoğu oy verme kabininden yapılan e-oylama’yı temel almaktadır. Günümüze kadar bu konuda birçok farklı yöntem ve mekanizma denenmiştir. En son olarak DRE olarak adlandırılan kapalı kutu cihazlar ve dokunmatik ekranlar vasıtasıyla gerçekleştirilen e-seçim uygulamaları göze çarpmaktadır. Her ne kadar mekan bağımsız bir seçim mekanizması olmasa da, güvenlik ve seçim verimliliğinin arttırılması yönünde baktığınızda gerçekten de daha uygulanabilir bir çözüm olarak karşımıza çıkmaktadır.

Peki karakutu e-seçim aygıtları güvenlikle ilgili bütün problemleri çözmüş müdür? Bunu söylemek ne yazık ki çok zordur. Çünkü sözkonusu e-secim aygıtları her nekadar karakutu olsa da içerisinde bir yazılım barındırmaktadır. Bruce Schneier’ın bu konuda blogunda yazdığı çok güzel bir yazı bulunmaktadır. Bu yazıda birçok e-seçim cihazının oyları yanlış hesapladığına dair örnekler yer almaktadır. Bu da e-seçim cihazları üreticilerinin güvenilirliği konusunda çok büyük şüpheler doğurmaktadır. Çünkü hepimizin bildiği gibi seçimler çok kritik hususlardır ve bu konuda güvenilirliğin kesinlikle bir grup insana emanet edilmemesi gerekmektedir. Ayrıca kapalıkutu e-seçim cihazlarıyla ilgili yaşanan bir başka sıkıntı da seçimlerin tekrar sayılamamasıdır. Bilindiği üzere normal manuel sistemde, oylar sandıkta fiziki olarak bulunduğu için çıkan sonuçlarla ilgili herhangi bir şüphe durumunda sandıkların tekrar sayılması söz konusu olmaktadır. Fakat elektronik uygulamalarda ayrı bir fiziki materyal oluşturmadan tekrar sayım söz konusu değildir. Bu da şüphelerin sorgulanamaması ve güvensizliğin artması anlamına gelmektedir.

Kapalıkutu e-secim aygılarına yönelik güvenlik problemlerini sadece üretici bazda ele almak da yanlıştır. Çünkü her nekadar karakutu olarak tasarlanmış olsa da organize bir hacker grubu bu kutulara karşı saldırılar düzenleyip bir takım zararlı kodları bu makinelere sızdırmaları da mümkündür. Ayrıca geçmişteki örnekler, bu kutuların fiziki olarak da korunaklı yerlerde saklanmadığını gözler önüne sermektedir. Bu konuyla ilgili Dan Wallach blogunda “Vendor misinformation in the e-voting world” başlığında güzel bir yazı yazmıştır. İlgilenenler göz atabilir.

Sonuç olarak e-seçimlerde kullanılan teknolojiler ve sistemlerle ilgili hala birçok problem göze çarpmaktadır. Bu problemlere yönelik bir çok bilimsel araştırma yürütülmektedir. E-seçim cihazlarının güvenliğini arttırmaya yönelik ise yapılabilecek çalışmaların mevcut olduğuna inanıyor, konu üzerinde daha fazla çalışmanın yapılması, kapalı yazılımlardan ziyade güvenliği herkes tarafından test edilebilen açık yazılımlar vasıtasıyla bu işlemin gerçekleştirilmesi ve çok yönlü kontrol mekanizmalarının kurulması gerektiğini düşünüyorum.

E-Cognocracy (Cognitive Democracy) Bilişsel Demokrasi

Son zamanlarda “e” li kavramların hayatımızın daha da içine sokulmasıyla bir çok yeni kavram ve paradigmalar ortaya atılmaya başlamıştır. Tezimle ilgili araştırmalarım esnasında ilginç bir kavram daha dikkatimi çekti: E-Cognocracy. Aynı zamanda “Cognitive Democracy” olarak da kullanılabildiği için Türkçe çevirisi olarak Bilişsel Demokrasi olarak ele almanın daha uygun olduğunu düşünüyorum. Bildiğimiz üzere ODTU Enformatik Enstitüsünde de bir akademik program olarak yer alan “Cognitive Science” başlığı altındaki çalışmalar Türkçe’ye “Bilişsel Bilim” olarak geçmiş ve insan beyninin analiz edilerek bilişim alanındaki bir takım problemlere çözümler üretilmesi fikrine odaklanılmaktadır. Bilişselliğin demokrasiye uyarlanması ilk defa Moreno-Jimenez ve Polasek tarafından 2003 yılında ortaya atılmış ve bu düşünüş E-Cognocracy kavramını ortaya çıkarmıştır. E-Cognocracy, canlılardan sadece öğrenebilen (bilgiyi ortaya çıkarıp yayabilen) ve çevre şartlarına ayak uydurabilenlerinin hayatta kalmayı başabileceğinden yola çıkarak, toplum yönetişimi bağlamında halkın karar verme süreciyle ilgili kompleks problemlerin bilimsel çözümlerinden çıkarılan üstbilgi’nin (knowlegde) sosyal yayınım ve çıkarımına odaklanmıştır. Amaç üstbilginin demokratikleşmesi ve böylece vatandaşların yaşam kalitesinin arttırılması, daha açık, şeffaf, sivilleştirilmiş, özgür ve aynı zamanda birbirine bağlı ve uyumlu, daha katılımcı ve eşit bir toplumun yaratılmasıdır. Bilişsel demokrasi temsili ve katılımcı demokrasilerin bir bileşimi olarak düşünülebilir. Bilindiği üzere ülkemizin de içinde bulunduğu demokrasi temsili demokrasidir. Yani seçimler vasıtasıyla halk kendini temsil edecek kişileri belirli bir süreliğine yönetime getirir ve bu kişiler bu süre zarfında halk adına kararlar alır ve uygularlar. Aslına bakılırsa bu yönetimsel anlayış halkın yönetime katılımını ana ilke olarak benimseyen demokrasinin doğasına pek uymamaktadır. Bilginin ön plana çıktığı günümüzde, insanlar teknolojik olanaklar sayesinde birbirleriyle artık daha kolay ve hızlı temas kurabilir hale gelmiştir. Bu da mekanları farklı olan insanların ortak karar alma süreci içerisinde bulunmalarına olanak sağlamıştır. Dolayısıyla günümüz gereksinimleri artık devletin karar alma süreci içerisinde, vatandaşların daha çok dahil edilmesi ana temasına vurgu yapmaktadır. Tam demokrasi ancak şeffaf ve halkın tam katılımda bulunduğu bir anlayışla mümkündür. İşte bu noktada Bilişsel Demokrasi’nin amacı tam demokratik bir ortamın yaratılması adına halkın karar alma mekanizması içerisine çekilmesi ve bu süreçte canlıların yaşayışları örneklenmek suretiyle, bilgi ve iletişim teknolojilerinden en etkin şekilde yararalanmaktır.

Bastır Şamata

2005 yılında SHA-1 standardında ortaya çıkarılan güvenlik açıklarından sonra NIST’in SHA-3 adını vereceği yeni özet fonksiyonu (hash function) için açmış olduğu yarışma için gönderimler tamamlandı. Türkiye’den iki katılım var: Shamata ve Sarmal. Yarışma sürecini takip etmek için bu siteyi kullanabilirsiniz. İlk turu atlayanların 2009′un 2. çeyreğinde duyurulacağı ve 2012′nin 2. çeyreğinde ise kazananın açıklanacağı bilgisinin yer aldığı yarışma takvimi ise burada.

Sitelerde yaptığınız yorumlar gerçekten sizin mi ?

Alışveriş sitelerinin sattıkları ürünlerin altında bulunan yorumları görmüşsünüzdür hatta herhangi bir ürün almak istediğiniz de belkide sitede ürün özelliklerine baktıktan sonra dikkatli incelediğiniz ikinci yer ürün altındaki yorumlar olmuştur. Bu yorumlardan bazıları “ben aldım çok beğendim, sizde alın” gibi çok basit yorumlar olduğu gibi, bazıları ise sanki bir makale gibi çok detaylı bilgiler içerir. En çok önem verilen yorumlarda bunlardır zaten.  Varsayalım bu tarz yorumları yazanlardan birisi de sizsiniz. Kitap okumayı çok seviyorsunuz veya elektronik eşyaların örneğin cep telefonlarının, dizüstü bilgisayarların özelliklerini çok iyi biliyorsunuz, teknolojiyi sürekli takip ediyorsunuz ve de en önemlisi insanlara yardımcı olmak ve onları doğru yönlendirmek istiyorsunuz.  Özelliklerini çok iyi bildiğiniz, kitap, film, cep telefonu, bilgisayar vs. bir çok ürün altına yorum yazmak sizin en sevdiğiniz uğraşılardan birisi. Bir gün bir baktınız ve dediniz ki “O kadar çok ve güzel yorumlar yazmışım ki ben bunları toplayıp bir kitap oluşturayım.” Örneğin okuduğunuz kitapların sitelerde yazdığınız yorumlarından bir kitap oluşturmaya karar verdiniz. Şimdi sorumu sorayım.  Bunu yapabilirmisiniz? “Şimdiye kadar o kadar yorum yazmışım, emek harcamışım, kitabı da bu yorumlardan oluştururum elbette yapacağım şey sadece yaptığım yorumları derlemek olacak” dediğinizi duyar gibiyim. Peki sorumu değişik bir şekilde sorayım: Bunu yapmanıza kanunlar izin verir mi? “Yorum benim yorumum, ben yazdım” mı diyorsunuz ?

Her sitede “Kullanım Şartnamesi” adı altında sitenin kullanımı hakkında bilgiler bulunur. Dünyanın en büyük alışveriş sitelerinden birinde “Kullanım Şartnamesi” kısmında kısaca özetlersek: “… siteye gönderdiğiniz herhangi bir materyal; yorum, resim veya herhangi başka öğe için bu siteye o öğe için bütün kullanım haklarını vermiş olursunuz” şeklinde bir ibare var. Buradan, yaptığınız yorumların, aktardığınız fikirlerin hepsini bu siteye bağışlamış ve bütün haklarınızdan feragat ettiğiniz anlamı çıkar ki, kitabınız için bir bardak soğuk su içebilirsiniz. Bunlara rağmen hala yazarım diyorsanız bildiğim kadarıyla şu ana kadar açılmış herhangi bir dava olmamasına rağmen hakkınızda açılabilecek davaya hazırlıklı olsanız iyi olur. Çünkü yaptığınız telif hakkı ihlali olacaktır. Bol yorum yazmalı günler..

İnternet enerji krizini çözer mi?

 

Andrew Odlyzko son yazılarından birinde İnternet’in enerji krizindeki rolünü tartışıyor. Yazısının başında en az 1839′dan bu yana haberleşme ve ulaşımın birbirinin yerine geçebileceğini söyleyenlerin olduğunu fakat her seferinde bu görüşlerin yanlış olduğunun daha sonrasında anlaşıldığını aktarıyor ve bu yanılgının “Beraber büyüme“ diye nitelendirdiği olgunun anlaşılmamış olması ile açıklıyor. Odlyzko daha sonra tarihte ulaşım sektörünün gelişmesinin kullanılan enerjinin devamlı olarak ucuzlaması ile mümkün hale geldiğini fakat günümüz şartlarının ise daha farklı olduğunu söylüyor. Sonuç olarak, önümüzdeki dönemde İnternet’in ulaşımın yerine geçebileceğini ama bunun trafik sıkışıklığından rahatsız olmamız veya telekonferans yapmayı çok sevmemizden dolayı değil de ulaşım maliyetlerinin çok yükselmesinden dolayı olacağını tahmin ediyor.