Zorunlu Tek Kullanımlık Şifreler ve Düşündürdükleri

 

Epeydir Türkiye’de e-bankacılık alanında zorunlu hale getirilen tek kullanımlık şifrelerle ilgili yazmak istiyordum. Bu arada Çetin Kaya Koç hocamın bu konuda yazdıklarını okudum. Genel itibariyle yazdıklarına katılıyorum. Mobil ortamdaki güvenlik problemleri, bilhassa yurtdışına gidince karşılaşılabilecek kullanışlılık sıkıntıları hepsi de geçerli bazı yorumlar, gerekçeler.

Ben bu yazıda problemin diğer bazı yönlerine değineceğim ve şu anki uygulamadan daha güvenli ve kullanışlı olacağını düşündüğüm bir çözüm önereceğim. Benimle beraber bitirme projesini ilgili bir konuda yapan bir öğrencimden bir süre önce şu iki haber linkini içerir bir e-posta mesajı aldım. Cevabında ise kısaca “beklenen gelişme” diye yazdım. Şimdi bana göre niye bu haber beklenen bir gelişme, onu açıklayayım.

Bruce Schneier Nisan 2005’de yazdığı makalesinde “İki-Unsurlu Kimlik Tanıma (Two-Factor Authentication) Çok Az, Çok Geç” diyordu. Demek istediği şey tam da yukarıdaki haberde anlatıldığı gibi olta saldırısı, zararlı programlar, vb. yollarla yapılan saldırıların gerçek zamanlı gerçekleştirildiği durumda Tek-kullanımlık SMS mesajı yöntemindeki gibi ikinci unsurun çok da fazla işe yaramayacağı idi.

Şöyle bir itiraz gelebilir, “tamam belki bu zorunlu kullanım problemin tamamını çözmüyor ama hiç yoktan iyidir, e-bankacılık yüzünden her yıl binlerce mağdur oluşuyor. Bir şeyler yapmak lazım”. Bu itiraza karşın aşağıya benim e-bankacılıkta nasıl bir çözüm önerdiğimin çerçevesini kısaca çizmeye çalışacağım.

1. Kullanıcının e-bankacılık uygulamasına ilk girişinde tek-kullanımlı şifre sorulmaz. Netice de kullanıcı belki sadece hesabına beklediği para yatmış mı ona bakacak. Elbette başka bir kişi kullanıcının hesabında ne kadar para var sorusunun cevabını merak ediyor olabilir. Ama burada gerekli olan güvenlik birazdan anlatacağım mesela bir para transferi sözkonusu olduğundaki güvenlikten çok daha aşağı seviyelerde.
2. Kullanıcı ne zamanki İnternet’ten para transferinde bulunmak istiyor veya buna benzer başka kritik bir işlem yapacak, o zaman bu işlemi doğrulaması için kendisine sistem bir SMS mesajı gönderir. Bu SMS mesajında sadece tek kullanımlık şifre olmaz. Aynı zamanda işlem bilgileri de yer alır (Falanca hesap no’lu falanca kişiye şu kadar para transferi yapmak istiyor musunuz? gibi).

Şimdi bu senin dediğin ikinci basamak zaten bazı bankalarda var diyebilirsiniz. Ben de cevap olarak derim ki bu çok güvenilir olduğu düşünülebilen “kişi onaylama” (entity authentication) yerine “işlem onaylama”  (transaction authentication) olarak adlandırılan yöntem bile %100 güvenlikle çalışmıyor. Yani ya okumadığından veya başka sebeplerle bir e-bankacılık kullanıcısının hiç tanımadığı bir kişiye para transferini onaylaması mümkün. Benim burada vurgulamak istediğim şey ise şu: bu SMS şifre olayını abartırsak ve kullanıcının ne yaptığına bakmadan her işlemde - sisteme giriş dahil – bir SMS mesajı gönderirsek, bu durum kullanıcının SMS mesajlarını dikkatli okumaması ve ilgili ilgisiz her SMS mesajında gelen tek kullanımlık şifreyi kullanmaktan şüphelenmemesi sonucunu doğurabilir. Doğurabilir diyorum çünkü bu konuda yapılmış bir kullanıcı çalışması var mı bilmiyorum.

Netice de bankanın yapacağı çok önemli bir üçüncü iş daha var. O da yapılan tüm işlemleri arka planda bir süzgeçten geçirmek ve şüpheli gördüklerine karşın ilave önlemler almak. Zaten bu belli ölçüde başka işlemler için yapılıyor. Mesela farklı bir ATM’den yüklü bir miktar para çektiğinizde size yine bir SMS geliyor. Benzer şekilde hesabınızdan mesela Rusya’daki bir hesaba transfer yapıldığında bir görevli kullanıcıya telefon açabilir (sabit telefonuna), başka doğrulamalarda bulunabilir. Hatta şubeye bile çağırabilir, vs.

Sonuç olarak, güvenlikte ve bilhassa konumuz olan kapsamda bir teknolojiyi zorunlu hale getirmek çok akıllı bir fikir değil diye düşünüyorum. Çünkü problemi tam olarak çözen bir teknoloji henüz yok. Genelde kullanışlılık-güvenlik ikilemleri sözkonusu.  Bana kullanışlılık önemli değil derseniz size pek çok mükemmel çalışan güvenlik çözümleri önerebilirim. Kanaatimce teknolojiden önce sorumlulukları, görevleri vs. daha ayrıntılı ortaya koymaktan başlanmalı. Belki ben bilmiyorumdur ama e-bankacılık dolandırıcılığı olduğunda sorumluluğun ne kadarı bankaya ne kadarı kişiye ait. Bu belli mi? Mesela kredi kartı işlemlerinde herkesin bildiği bir limit sözkonusu. Bu limitin üstü kredi kartı şirketinin taahhüdü altında. Benzer bir şey e-bankacılık için niye olmasın? (evet bu bahsettiğim konu başka ülkelerde de tartışılıyor).

İnternet’in Ana Şalteri

 

Yaklaşık 1.5 sene önce hazırladığım ağ teknolojileri ile ilgili sunum burda (biraz büyükce bir dosya ama ilginç bulacağınızı umuyorum).  Biraz önce bilgi kirlenmesi ve bilinçli manipülasyon ile ilgili dokuzuncu sayfada anlatılmış olan küçük araştırmayı yeniledim. Sonuç olarak ilerleme değil bilakis gerileme olduğunu gördüm: Türkiye tezlerinin savunulduğu tek sitenin de google.com’da ilk on’dan daha gerilere itildiğini görmek insanın sadece içini burkuyor.

Aranılan Şalter Böyle Bir Şey

Peki bu 1.5 sene boyunca biz ne yaptık, sanırım sayfa 22′de bahsedilen ana şalteri aramakla meşgulduk

DİJİTAL DELİL ARAŞTIRMA SÜREÇ MODELİ

Dijital delilleri belirli metod ve prosedürlere uyun olarak araştırabilmek için bir takım ortak süreçlere ihtiyaç duyulmaktadır. Aşağıda Casey’in oluşturduğu 12 basamaklı süreç modeli görülmektedir (Casey, 2004):

Dijital Delil Araştırma Süreç Modeli (Casey, 2004)

Bu süreç modelini 2005 yılında Polis Bilişim Sempozyumu’nda sunduğumuz makalede tek tek anlattık. Makalenin orijinal versiyonuna şu linkten ulaşabilirsiniz.

Süreç modelindeki en önemli basamaklardan biri “Tanımlama ve Toplama” aşamasıdır. Olay yerinden elde edilebilecek deliller kritik öneme sahip olduğu için bu sürecin çok hassas ve dikkatli ele alınması gerekmektedir. Makaledeki bu bölümü önemine binaen aşağıda kısaca değinelim:

Tanımlama ve Toplama

Olay yeri güvenli hale getirildikten sonra, söz konusu suç veya vaka ile ilgili potansiyel delillerin toplanması gerekmektedir. Sürecin doğru bir şekilde işlemesi için öncelikle uygun prosedürleri ve gerekli hukuki şartları anlamak büyük önem arz etmektedir. Deneyimli ve tecrübeli araştırıcılar için bu safhadaki amaç sanal veya fiziksel bütün delilleri toplamak değil, nelerin toplanıp nelerin toplanmayacağı konusunda mantıklı kararlar vermek, doküman oluşturmak ve ondan sonra eylemi gerçekleştirmektir.

Dökümantasyon bütün basamaklarda yapılması gereken bir iştir ancak delillerin toplanması esnasında ayrı bir öneme sahiptir. Toplanan her bir delille ilgili ayrıntılı rapor tutmak, bunların doğrulanabilirliğini kolaylaştırıp, koruma zincirini (chain of custody) başlatacaktır.

Geleneksel delil toplama, delillerin daha sonradan incelenmek üzere sahiplenilmesi anlamına gelmektedir. Fakat dijital delillerde durum biraz farklıdır. Delillerin doğrudan toplanması esnasında bazılarının kaybedilmesi, bozulması ile karşılaşılabilir. Özellikle uçucu veriler (Ör: Bellek, CPU Kaydedicileri, Çalışan süreçlerin durumu) dediğimiz elektrik kesildiğinde içeriği sıfırlanan ve tekrar kurtarılması mümkün olmayan delilleri barındıran bilgisayarlarda bazı ek işlemlerin gerçekleştirilmesi gerekmektedir.

İngiltere Polis Başkanları Birliği tarafından yayınlanan “Bilgisayar Tabanlı Elektronik Deliller için İyi Pratikler Rehber’inde 4 prensipten bahsedilmiştir (NHCTU,2003):

Prensip 1 : Kanun uygulayıcılar ve görevlileri tarafından, mahkemede kullanılma ihtimali olan bilgisayar veya farklı bir medya üzerinde bulunan verileri değiştirecek herhangi bir eylemde bulunulmayacaktır.

Prensip 2 : Bir kişinin hedef sistem üzerinde bulunan orijinal verilere erişmesi gerektiği istisnai durumlarda, ilgili kişinin mutlaka o konuda tecrübeli ve uzman olması ve aynı zamanda yaptığı bütün işlemleri ve gerekçelerini daha sonradan ispatlayacak bir durumda olması gerekir.

Prensip 3 : Bilgisayar tabanlı delillere uygulanmış olan bütün süreçlerin bir izleme kaydı oluşturulmalı ve koruma altına alınmalıdır. Üçüncü bir şahıs tarafından bu süreçler incelenebilmeli ve aynı sonuçlara varılmalıdır.

Prensip 4 : Olaydan sorumlu memur, yapılan işlemlerin hukuka ve prensiplere uygun olup olmadığını denetlemekten de sorumludur.

OLAY YERİNDEN ALINAN DİJİTAL DELİLLERiN HUKUKİ KABUL EDİLEBİLİRLİĞİNİ ARTTIRMAK

Dijital Delil

Bilişim suçları, son zamanlarda karşılaşılan önemli suç tipleri arasında yer almaktadır. Özellikle bilişim teknolojilerinin kullanımındaki artış, bilişim suçlarının etkisini arttırmakta ve büyük riskler oluşturmaktadır. Bir suçun aydınlatılmasında ve failinin tespitinde kullanılan en önemli mekanizma delillendirmedir. Bilişim suçları kapsamına giren bir olay araştırılırken, en önemli delil tiplerinden bir tanesi ise dijital delillerdir. Dijital Deliller, bir bilişim suçu ile ilgili, dijital biçimde kayıt edilen veya aktarılan bilgiler olarak tanımlanabilir. Dijital deliller, bir çok tipte karşımıza çıkmaktadır. Bunlar veri dosyaları, kurtarılmış silinmiş dosyalar, kayıp alanlardan kurtarılmış veriler, dijital fotoğraf ve videolar, sunucu kayıtları, e-posta, internet geçmişi, web sayfaları, abone kayıtları gibi doğrudan bilgisayar sistemleriyle alakalı deliller olabileceği gibi, günümüzde gömülü bilgisayar sistemlerine sahip bir mikro dalga fırından elde edilebilecek ve bir kundakçılık olayında fırının belirli bir zamanda yangın çıkarmak için programlandığını ortaya çıkarabilecek veriler de dijital deliller olarak karşımıza çıkmaktadır.

Dijital deliller, dijital verilerden oluşur. Bu veriler ise bilişim sistemleri üzerine kayıt edilmiş bir ve sıfır ikililerine verilen anlam sonucunda ortay çıkar. Dolayısıyla doğrudan elle tutulabilir ve gözle görülebilen bir yapının olmayışı, dijital verileri soyut hale getirmektedir. Soyut kavramlardan kesinlik çıkartmak ise çok zordur. Fakat deliller, işlevi itibariyle bir suçu ispat edici nitelikte kesin bulgular barındırmalıdır. Bu nedenle dijital verilerin yüzde yüz delil olarak kullanılması yönünde, büyük problemler meydana gelmektedir. Bu problemler şu ana başlıklar altında toplanabilir :

1.Yapısal Problemler

Dijital veriler çok kolay bir şekilde değiştirilebilmektedir.

Dijital verilerin bire bir aynısı oluşturulabilmektedir.

Dijital veriler hassas bir yapıdadır ve manyetik alan, sıcaklık, çarpma gibi çeşitli çevresel etkenler yüzünden kolay bir şekilde bozulabilmektedir.

Dijital veriler, nasıl kodlandıklarına bağlı olarak anlam kazanabilirler. Günümüzde virüs, truva atı gibi zararlı kodlar sayesinde verilere değişik anlamlar yüklemek mümkündür.

2.Yapısal Problemler Sonucu Oluşan Problemler:

Dijital Delillerin Bütünlüğü: Dijital veriler üzerinde çok kolay bir şekilde değiştirme, silme ve yenisini oluşturma gibi işlemlerin yapılabilmesi bu delillerin bütünlüğünü sağlamayı çok zorlaştırmaktadır.

Dijital Delillerin Doğrulanması: Bir kişiyi dijital delillerle birlikte yakaladıktan sonra, mahkeme sürecinde o verilerin gerçekten o kişiye ait olduğunun ispatı gerekmektedir. Fakat delil olarak ele geçirilen verilerin aynısı her hangi bir kişi tarafından da oluşturulabilir.

Dijital Delillerin İnkar Edilememesi: Dijital delillendirme işlemindeki dijital delilin sahibi, onu ele geçiren şahıslar (Ör: Polis), delilin alındığı medya, delilin ele geçirildiği zaman, delilin içeriği gibi bütün unsurların daha sonradan inkar edilememesi gerekmektedir.

Dijital Delillerin Doğruluğu: Dijital delillerin ele geçirilmesi esnasında kullanılan teknikler ve yararlanılan bilgilerin (Örneğin delilin ele geçirilme zamanı) doğruluğunun ispatı gerekir.

Dijital Delillerin Daha Sonradan Ele Alınabilirliği: Dijital deliller oluşturulduktan sonra, bu delilleri üçüncü bir şahıs inceleyebilmelidir.

Dijital deliller, yukarıda bahsedildiği gibi yapı itibariyle bozulmaya ve kolay bir şekilde değiştirilmeye müsait oldukları için, hukuki yönden kabul edilebilirlikleri konusunda sıkıntılar ile karşılaşılmaktadır. Bu delillerin mahkeme esnasında gerçek delil özelliği gösterebilmeleri için, delillerin ilk alındığı andan itibaren değişmediğinin, hangi tarihte, nereden ve kimlerden alındığının doğrulanması büyük önem arz etmektedir.

Literatür incelendiğinde, konunun bazı boyutları üzerine geçmişte yapılmış çalışmalar olmasına rağmen, sorunu çözmeye yönelik entegre bir çözüme rastlanılamamaktadır. Biz bu konu ile ilgili 2005 yılında bir çalışma yapmış ve bu çalışmamız sonucunda A3D3M (Açık Anahtar Altyapısı Destekli Dijital Delilleri Doğrulama Modeli) isimli bir model öne sürmüştük. Bu modeli ilk olarak 2005 yılında İstanbul’da düzenlenen Ağ ve Bilgi Güvenliği Ulusal Sempozyumunda yayınladık. Daha sonra bu makelenin ingilizce versiyonunu ufak değişiklikler ışığında “Towards Trustable Digital Evidence with PKIDEV: PKI based Digital Evidence Verification Model” ismi ile İngiltere’deki 2nd European Conference on Computer Network Defence (EC2ND) konferansında yayınlamış bulunmaktayız. İlgisini çekenler için Türkçe olan versiyonuna bu linki tıklayarak, ingilizce olan versiyonuna da bu linki tıklayarak ulaşabilirsiniz.

Türk Ceza Kanununda Bilişim Suçları ile ilgili Yararlanılabilecek Maddeler

Türk Ceza Kanununda bilişim suçları ile mücadelede yararlanılabilecek maddeler iki kısımda ele alınabilmekte. Bir tanesi salt bilişim suçu olarak nitelendirilenler diğeri salt bilişim suçu olarak nitelendirilmeyenler. Aşağıda kısaca bu maddelerin isimlerini belirtmeye çalışalım:

1. SALT BİLİŞİM SUÇU OLARAK NİTELENDİRİLENLER

Salt bilişim suçu olarak nitelendirebileceğimiz suçlar 5327 sayılı yeni Türk ceza kanununun “Bilişim Alanında Suçlar” başlıklı bölümünde yer almıştır:

Madde 243: Bilişim Sistemine Girme

Madde 244: Sistemi engelleme, bozma, verileri yok etme veya değiştirme

Madde 245: Banka veya kredi kartlarının kötüye kullanılması

2. SALT BİLİŞİM SUÇU OLARAK NİTELENDİRİLEMEYENLER

81 ve 82. maddelerde “Kasten öldürme suçu”,

84. maddede “İntihara azmettirme, intiharı teşvik, intihar kararını kuvvetlendirme suçları”

86 ve 87. maddelerde “Kasten yaralama suçları”

91. maddede “Organ ve doku ticareti”

96. maddede “Eziyet suçu”

105. maddede “Cinsel taciz suçu”

106. maddede “Tehdit suçu”

107. maddede “Şantaj suçu”

123. maddede “Kişilerin huzur ve sükununu bozma suçu”

124. maddede “Haberleşmenin engellenmesi”

125. maddede “Hakaret suçu”

132. maddede “Haberleşmenin gizliliğini ihlal suçu”

133. maddede “Kişisel konuşmaların dinlenmesi ve kayda alınması suçu”

134. maddede “Özel hayatın gizliliğini ihlal suçu”

142. maddenin 2. fıkrasının (e) bendinde “Bilişim sistemlerinin kullanılması suretiyle hırsızlık suçu”

148 ve 149. maddelerde “Yağma suçu”

157 ve 158. maddelerde “Dolandırıcılık suçu”

170. maddenin 1. fıkrasının (a) bendinde “Kasten yangın çıkarma suçu”,

179. maddenin 1. fıkrasında “Kara, deniz, hava ve demiryolu ulaşımının güven içinde akışını sağlamak için kurulmuş teknik işletim sistemine müdahale ederek trafik güvenliğini tehlikeye sokma suçu”

213. maddede “Halk arasında korku ve panik yaratmak amacıyla tehdit suçu”

214. maddede “Suç işlemeye tahrik suçu”

215. maddede “Suçu ve suçluyu övme suçu”

216. maddede “Halkı kin ve düşmanlığa tahrik veya aşağılama suçu”,

217. maddede “Halkı kanunlara uymamaya tahrik suçu”

225. maddede “Alenen cinsel ilişkide bulunmak ve teşhircilik suçları”,

226. maddede “Müstehcenlik suçu”

227. maddede “Fuhşa teşvik ve aracılık suçları”

228. maddede “Kumar oynanması için yer ve imkan sağlama suçu”

237. maddede “Fiyatları etkilemek amacıyla yalan haber veya havadis yayma suçu”

239. maddede “Ticari sır, bankacılık sırrı veya müşteri sırrı niteliğindeki bilgi ve belgelerin açıklanması suçu”

258. maddede “Göreve ilişkin sırrın açıklanması suçu”

267. maddede “İftira suçu”

271. maddede “Suç uydurma suçu”

281. maddede “Suç delillerini yok etme, gizleme veya değiştirme suçu”,

282. maddede “Suçtan kaynaklanan malvarlığı değerlerini aklama suçu”,

285. maddede “Soruşturmanın gizliliğinin ihlali suçu”

286. maddede “Soruşturma ve kovuşturma işlemleri sırasındaki ses veya görüntülerin yetkisiz olarak kayda alınması veya nakledilmesi suçu”

288. maddede “Adil yargılamayı etkilemeye teşebbüs suçu”

299. maddede “Cumhurbaşkanına hakaret suçu”

300. maddede “Devletin egemenlik alametlerini aşağılama suçu”

301. maddede “Türklüğü, Cumhuriyeti, Devletin kurum ve organlarını aşağılama suçu”

304. maddede “Devlete karşı savaşa tahrik suçu”

318. maddede “Halkı askerlikten soğutma suçu”

319. maddede “Askerleri itaatsizliğe teşvik suçu”

323. maddede “Savaşta yalan haber yayma suçu”

327. maddede “Devletin güvenliğine ilişkin bilgileri temin etme suçu”,

329. maddede “Devletin güvenliğine ve siyasal yararlarına ilişkin bilgileri açıklama suçu”

330. maddede “Devletin güvenliği için gizli kalması gereken bilgileri açıklama suçu”

331. maddede “Uluslar arası casusluk suçu”

334, 335, 336, 337. maddelerde “Yasaklanan bilgileri temin, casusluk maksadıyla temin, açıklama, casusluk maksadıyla açıklama suçları”,

340. maddede “Yabancı devlet başkanına karşı suç”

342. maddede “Yabancı devlet temsilcilerine karşı hakaret suçu”