Kaç tane cüzdan bir tane doğru Pin Kodu eder?

Cüzdanınızda kaç tane banka kartı var? Ya kredi kartı sayısı? Peki cüzdanınızı hırsıza kaptırırsanız hırsızın pin kodunu doğru tahmin edip ATM’den para çekmesi veya kredi kartınızı bir yerde kullanması ihtimali nedir? Hiç düşündünüz mü? (cüzdanınızdaki bir küçük kağıtta pin’inizin yazmadığı varsayımı ile ki aksi halde bu ihtimal % 100 olur haliyle)

Öncelikle cüzdanızda nufüs cüzdanı veya başka bir kimliğin olduğunu ve bu sayede doğum tarihinizin kolayca öğrenilebileceğini kabul edelim. İkinci varsayımımız banka ve kredi kartlarını kullanırken 3 kez yanlış pin girilmesi durumunda kartınızın bloklandığı. Bu şartlar altında eğer 4 tane kartınız varsa (hem kredi kartı hem banka kartı olarak kullanılan kartlar ile ayrı ayrı 3 kez pin tahmini yapılabildiği için bu kartları iki sayalım), hırsızın doğru pin tahmini yapma olasılığı % 10,9’dur (teorideki olasılıktan çok daha yüksek bir oran). Bir diğer ifadeyle bir hırsızın 9 cüzdan çalması doğru Pin tahmini yapması için yeterlidir.

Peki ne yapmalısınız? Cevap doğum tarihinize bağlı. Örneğin doğum tarihinizin 3 Haziran 1983 olduğunu varsayalım. Bu durumda ilk etapta kaçınmanız gereken pin’ler şöyledir: 1983, 6383, 0306, 0603, 1234 ve 0683 (Bu pin’ler aynı zamanda saldırgan için optimal olan pin denemeleridir).

Peki bankalar ne yapmalı? Diyelim ki genel (her kullanıcı için ayrı ayrı olmayan) bir pin kara listesi oluşturulacağını varsayalım. 100 elemanlı kara liste şu PİN’lerden oluşturulmalı:

0000, 0101-0103, 0110, 0111, 0123, 0202, 0303, 0404, 0505, 0606, 0707, 0808, 0909, 1010, 1101-1103, 1110, 1112, 1123, 1201-1203, 1210-1212, 1234, 1956-2015, 2222,2229, 2580, 3333, 4444, 5252, 6666, 7465, 7667.

Peki bu liste hırsızlığa karşı ne kadar etkin? Doğum tarihinin hırsız tarafından bilinemediği durumda bir hayli etkin. Fakat hırsız doğum tarihinizi biliyorsa bu kara listenin etkisi çok az maalesef. Kullanıcıya özgü kara listeler kullanılamıyorsa iş biraz kullanıcıya kalıyor dolayısıyla.

Özenle duyurulur.

Kaynak: A birthday presents every eleven wallets? The security of customer-chosen banking PINs, Joseph Bonneau, Sören Preibusch, Ross Anderson, Financial Cryptography 2012.

Bir Windows Bilgisayarın Ele Geçmesi Kaç Dakika Sürer?

 

John Viega “the myths of security” kitabında güvenlik konusundaki söylentilerden (mitlerden) bahsetmeye çalışıyor. Çoğu zaman bilindik bazı konuları işliyor olsa da istisnalar elbette yok değil.  

SANS enstitüsü  Temmuz 2008′de yapmış olduğu araştırma sonucunda yamasız ve korunmasız bir Windows XP makinesinin ortalama 4 dakika içerisinde zararlı programlara hedef olacağını duyurmuş. Bu verinin epey sansasyona sebep olduğunu ben de hatırlar gibiyim.  

John bu korkunç haberin bir söylentiden ibaret olduğunu belirtiyor. Özetle,  

1. Bugün çoğu bilgisayarın NAT ile Internet’e bağlandığını, bu durumun da çok da fena olmayan bir korumayı zaten sağladığını,  

2. 2004 yılında çıkarılan SP2 ile Windows XP’de kişisel ateş duvarının geldiğini ve bu duvarın da çoğu atağı engellediğini,  

3. Çoğu makinenin (şirket bilgisayarları vs.) ağ ateş duvarları ile de korunduğunu (kullanıcıların haberi olmasa bile),  

söylüyor ve ekliyor bugün dışarıdan birinin bilgisayarınıza zarar vermesi sizin yanlış bir şey yapmamanız (zararlı bir program yüklemek veya kişisel ateş duvarını etkisizleştirmek gibi) halinde çok zor.  

SANS enstitüsü 4 dakika sonucuna nasıl bir metot takip ederek ulaştığını açıklamamış. Kasım 2008′de süreyi 100 dakikaya çıkarmışlar. Sonrasında da bu çalışmayı devam ettirmemişler.  

Özetlemek gerekirse (her zaman dediğimiz gibi):  

Bilgi güvenliğinin özünü kavramışsan

Biliyorsundur ki en zayıf halka insan.  :)

Zorunlu Tek Kullanımlık Şifreler ve Düşündürdükleri

 

Epeydir Türkiye’de e-bankacılık alanında zorunlu hale getirilen tek kullanımlık şifrelerle ilgili yazmak istiyordum. Bu arada Çetin Kaya Koç hocamın bu konuda yazdıklarını okudum. Genel itibariyle yazdıklarına katılıyorum. Mobil ortamdaki güvenlik problemleri, bilhassa yurtdışına gidince karşılaşılabilecek kullanışlılık sıkıntıları hepsi de geçerli bazı yorumlar, gerekçeler.

Ben bu yazıda problemin diğer bazı yönlerine değineceğim ve şu anki uygulamadan daha güvenli ve kullanışlı olacağını düşündüğüm bir çözüm önereceğim. Benimle beraber bitirme projesini ilgili bir konuda yapan bir öğrencimden bir süre önce şu iki haber linkini içerir bir e-posta mesajı aldım. Cevabında ise kısaca “beklenen gelişme” diye yazdım. Şimdi bana göre niye bu haber beklenen bir gelişme, onu açıklayayım.

Bruce Schneier Nisan 2005’de yazdığı makalesinde “İki-Unsurlu Kimlik Tanıma (Two-Factor Authentication) Çok Az, Çok Geç” diyordu. Demek istediği şey tam da yukarıdaki haberde anlatıldığı gibi olta saldırısı, zararlı programlar, vb. yollarla yapılan saldırıların gerçek zamanlı gerçekleştirildiği durumda Tek-kullanımlık SMS mesajı yöntemindeki gibi ikinci unsurun çok da fazla işe yaramayacağı idi.

Şöyle bir itiraz gelebilir, “tamam belki bu zorunlu kullanım problemin tamamını çözmüyor ama hiç yoktan iyidir, e-bankacılık yüzünden her yıl binlerce mağdur oluşuyor. Bir şeyler yapmak lazım”. Bu itiraza karşın aşağıya benim e-bankacılıkta nasıl bir çözüm önerdiğimin çerçevesini kısaca çizmeye çalışacağım.

1. Kullanıcının e-bankacılık uygulamasına ilk girişinde tek-kullanımlı şifre sorulmaz. Netice de kullanıcı belki sadece hesabına beklediği para yatmış mı ona bakacak. Elbette başka bir kişi kullanıcının hesabında ne kadar para var sorusunun cevabını merak ediyor olabilir. Ama burada gerekli olan güvenlik birazdan anlatacağım mesela bir para transferi sözkonusu olduğundaki güvenlikten çok daha aşağı seviyelerde.
2. Kullanıcı ne zamanki İnternet’ten para transferinde bulunmak istiyor veya buna benzer başka kritik bir işlem yapacak, o zaman bu işlemi doğrulaması için kendisine sistem bir SMS mesajı gönderir. Bu SMS mesajında sadece tek kullanımlık şifre olmaz. Aynı zamanda işlem bilgileri de yer alır (Falanca hesap no’lu falanca kişiye şu kadar para transferi yapmak istiyor musunuz? gibi).

Şimdi bu senin dediğin ikinci basamak zaten bazı bankalarda var diyebilirsiniz. Ben de cevap olarak derim ki bu çok güvenilir olduğu düşünülebilen “kişi onaylama” (entity authentication) yerine “işlem onaylama”  (transaction authentication) olarak adlandırılan yöntem bile %100 güvenlikle çalışmıyor. Yani ya okumadığından veya başka sebeplerle bir e-bankacılık kullanıcısının hiç tanımadığı bir kişiye para transferini onaylaması mümkün. Benim burada vurgulamak istediğim şey ise şu: bu SMS şifre olayını abartırsak ve kullanıcının ne yaptığına bakmadan her işlemde - sisteme giriş dahil – bir SMS mesajı gönderirsek, bu durum kullanıcının SMS mesajlarını dikkatli okumaması ve ilgili ilgisiz her SMS mesajında gelen tek kullanımlık şifreyi kullanmaktan şüphelenmemesi sonucunu doğurabilir. Doğurabilir diyorum çünkü bu konuda yapılmış bir kullanıcı çalışması var mı bilmiyorum.

Netice de bankanın yapacağı çok önemli bir üçüncü iş daha var. O da yapılan tüm işlemleri arka planda bir süzgeçten geçirmek ve şüpheli gördüklerine karşın ilave önlemler almak. Zaten bu belli ölçüde başka işlemler için yapılıyor. Mesela farklı bir ATM’den yüklü bir miktar para çektiğinizde size yine bir SMS geliyor. Benzer şekilde hesabınızdan mesela Rusya’daki bir hesaba transfer yapıldığında bir görevli kullanıcıya telefon açabilir (sabit telefonuna), başka doğrulamalarda bulunabilir. Hatta şubeye bile çağırabilir, vs.

Sonuç olarak, güvenlikte ve bilhassa konumuz olan kapsamda bir teknolojiyi zorunlu hale getirmek çok akıllı bir fikir değil diye düşünüyorum. Çünkü problemi tam olarak çözen bir teknoloji henüz yok. Genelde kullanışlılık-güvenlik ikilemleri sözkonusu.  Bana kullanışlılık önemli değil derseniz size pek çok mükemmel çalışan güvenlik çözümleri önerebilirim. Kanaatimce teknolojiden önce sorumlulukları, görevleri vs. daha ayrıntılı ortaya koymaktan başlanmalı. Belki ben bilmiyorumdur ama e-bankacılık dolandırıcılığı olduğunda sorumluluğun ne kadarı bankaya ne kadarı kişiye ait. Bu belli mi? Mesela kredi kartı işlemlerinde herkesin bildiği bir limit sözkonusu. Bu limitin üstü kredi kartı şirketinin taahhüdü altında. Benzer bir şey e-bankacılık için niye olmasın? (evet bu bahsettiğim konu başka ülkelerde de tartışılıyor).

Verilerinizi Gerçekten Sildiniz mi?

 

Kullanışlı güvenlik deyince akla hemen gelen konular var: Parolaların hatırlanma zorluğu, PKI gibi güvenlik teknolojilerinin karmaşıklığı, antivirüs ve benzeri yazılımların performans etkileri vb. Bugün hemen hergün belki de yanlış olarak kullandığımız ve kullanışlı güvenlik kavramı içerisinde çok da düşünmediğimiz bir konu hem de gayet önemli bir konuda bir kaç söz söylemek istiyorum.

Simson Garfinkel ve Abhi Shelat 2002 yılında yazdıkları makalede ve Kevin Mitnick The Art of Deception (Aldatma Sanatı) kitabında bahsettikleri güvenlik problemi şu: ikinci el satın alınan veya çöp karıştırırken bulunan hard disk ve benzeri veri depolama aygıtlarının üzerinde silinmesi unutulan veya silinmiş zannedilen hassas bilgilerin varlığı. 

Garfinkel ikinci el olarak aldığı harddisklerde hangi bilgilerin olduğuna ilişkin bir liste vererek bu problemin ne kadar ciddi olduğunu  önce bizleri ikna ediyor. Daha sonra bu problemin sebebini açıklıyor. Sebep bize oldukça tanıdık: Bilgisayar kullanımının oda dolusu devasa mainframe yapılardan günümüz kişisel ve mobil cihazlara zamanla kayması esnasında bazı önemli noktaların yazılım geliştiriciler tarafından atlanmış olması. Garfinkel MS-DOS’daki FORMAT komutunun kullanılmasının gerçekte sadece dosya sisteminden ilgili dosyaya erişim bilgisinin silinmesi anlamına geldiğini ve iddiaların aksine bunun bilinçli bir tercih olamayacağını söylüyor. Sonrası ise malum, basit bir yanlışı düzeltmek zaman geçtikçe çok daha zor bir hale geliyor.

Makalenin computer forensik  taraflarına girmeyeceğim. Kullanışlılık adına yapılan hata ise bariz: FORMAT komutu çalıştırıldığında  kullanıcının karşısına çıkan aşağıdaki uyarı mesajının yanlış anlamalara sebep vermesi (işlemin oldukça uzun sürmesi de yanlış anlamalara kuvvet veriyor). 

“ALL DATA ON NON-REMOVABLE DISK DRIVE C: WILL BE LOST”

Böyle bir mesajı okuyan bir kişinin verilerin gerçekten de silindiğinin düşünmesi kadar doğal birşey olamaz herhalde. Tabii 2009 yılına geldiğimizde biraz da konu üzerinde ilgili yazılı ve görsel basının durmasının ardından biraz daha bilinç oluşmuş durumda.

Bu bilinçle birlikte işletim sistemlerinde bilhassa Windows’da bu konuda gözle görülür bir iyileştirme sanırım henüz yok. Halbuki yapılacak olan işlem belli: verileri gerçekten silmek için üzerine birkaç kez yeni veri yazmak. Gerçi verilerin üzerine birkaç kez tekrar veri yazmanın nihai çözüm olmadığı biliniyor (bkz: Secure Deletion of Data from Magnetic and Solid-State Memory) ama bu yönde doğru bir adım olacak bu işlem elbetteki.

Garfinkel başka bir yazısında (bkz: Security and Usability: Designing Secure Systems that People Can Use, Chapter 15) Mac işletim sisteminde nasıl bu yönde doğru adımlar atıldığını fakat kullanışlı bir arayüz geliştirilmesi konusunda yanlışlıkların da olduğunu anlatıyor. Mesela bu işlem için kullanılması gereken tanımlamanın Güvenli Çöp Boşaltma (Secure Emptry Trash) gibi ne anlama geldiği anlaşılmaz bir ifade değil de İmha Makinesi (Shredder) olması gerektiğini belirtiyor.

Ben de bu kağıt kırpma makineleri ne işe yarar diye düşünüp duruyordum. Halbuki yaşamsal öneminin olduğunu en azından bazı ortamlarda şu an anlamış bulunmaktayım.

Not: Böyle yazınızın başkaları tarafından saklandığı ve yayınlandığı ortamlarda ise verinizi gerçekten silme gibi bir imkanınız kesinlikle yok. Bu durum ve beraberinde getirebileceği olası problemler ise ayrı bir yazı konusu.

802.11 Ağlarında Servis Engelleyici Saldırılar ve Karşı Koyma Yolları

Bir çok araştırmacı gibi Larry Peterson da yazmış olduğu bilgisayar ağları kitabında güvenlik konusunda ucu açık problemlerden en önemlilerinden birinin servis engelleyici saldırılar (ing: denial of service attacks) olduğunu belirtmekte. Telsiz yerel alan ağlar kapsamında bu konudaki çalışmaları İngilizce olarak yayınlanmış makalemizde özetlemeye ve bir güvenlik modeli içerisinde tüm yönleriyle ele almaya çalıştık. İlgili olanlara duyurulur.

İnsan, Bilgisayar, Kedi ve Köpek

Bugün sizlere ”birgün bir insan, bir bilgisayar, bir kedi ve bir köpek giderlerken…” diye başlayan bir fıkra anlatacaktım ama onun yerine BİTOGET’lerden bahsedeceğim. BİTOGET (Bilgisayar ve İnsanları Ayırt Eden Tamamen Otomatik Genel Turing Testi), İEİ (İnsan Etkileşimi İspatı), CAPTCHA veya HIP kısaltmaları hep aynı mekanizmadan bahsediyor: hani son zamanlarda bir siteye giriş yaparken karşılaştığımız ve resimdeki karakterleri tekrar girmemizi isteyen güvenlik testleri var ya. Bu testlerin amacı küçük bilgisayar programları vasıtasıyla ayrı makinelerden de yapılabilen servis engelleyici saldırıları engellemek. Başka ifadesiyle ancak karşı taraftakinin bilgisayar değil de insan olduğunu anladıktan sonra istenileni yapmak amaç. Böylelikle kötü niyetli saldırıların otomatik araçlar ile fazla iş yükü oluşturarak sitemizi kullanıcılara hizmet veremez hale getirmesini engellemek.

Konunun pek çok yönü var elbet. Mesela kullanışlılık-güvenlik ikilemi boyutunu en güzel şu blogdaki bilgiler doğruluyor. Burada basit BİTOGET’lerin nasıl kolay kırılabildiği, kırılamayanların ise nasıl da okunamaz hale geldiği örneklerle anlatılmış. Örneklerde en iyi BİTOGET google’ınki gibi.

CAPTCHA kısaltmasını türeterek bu kavramın popüler hale gelmesini sağlayan Luis von Ahn demiş ki BİTOGET’lerin kırılması veya kırılamaması iki olasılık da bize fayda sağlar. Kırılabilmesi yapay zeka alanında bir gelişmeye yani insanın yapabildiği bir şeyin bilgisayarlarla da yapılabilmesine başlanılması anlamına geliyor. Kırılamaması ise etkin güvenlik mekanizmaları kurabilmemize olanak sağlıyor.

Karakter tanıma tabanlı BİTOGET’ler en yoğun kullanılanlar. Luis von Ahn’ın söylediği genel anlamda doğru ama gittikçe okuması imkansız hale gelen karakterlerle uğraşırken son kullanıcının “vay be, yapay zeka ne kadar gelişmiş!” diye düşünmediği de kesin. 

Alternatif BİTOGET’ler var mı var. Mesela Asirra ismi verilen yeni bir BİTOGET tasarımı insanların bilgisayarlara göre çok daha kolay kedi ve köpek resimlerini ayırt edebilmesinden hareketle petfinder.com sitesinin veri tabanındaki 3 milyon kedi ve köpek resmini kullanan bir sistem öneriyor.

Kullanıcılardan basit matematiksel ve mantıksal işlemler yapmasını isteyen yazı tabanlı alternatifler de yok değil. Ama tüm bu alternatifler ile karakter tanımalı BİTOGET’leri ayıran temel fark “otomatik” ibaresinde gizli. Yani bu alternatif sistemler tamamen otomatize edilememekte ve sistemin güvenliği veri tabanının büyüklüğü ile sınırlı kalmakta. 3 milyon kedi ve köpek bir kere birisi tarafından ayırt edildi mi artık bu bilginin bilgisayar programları ile kullanılamaması için hiç bir sebep yok. Önerilen yazı tabanlı sistemde çok daha fazla (150 milyonun üstünde) soru var. Dolayısıyla bu şekilde insan tarafından çözülerek kırılabilmesi çok daha zor. Lakin burdaki sıkıntı soruların ingilizce olması ve Türkçe sitelerde kullanılma zorluğu. Acaba yazı tabanlı Türkçe BİTOGET var mı? merak etmekteyim.

İnternet’in Ana Şalteri

 

Yaklaşık 1.5 sene önce hazırladığım ağ teknolojileri ile ilgili sunum burda (biraz büyükce bir dosya ama ilginç bulacağınızı umuyorum).  Biraz önce bilgi kirlenmesi ve bilinçli manipülasyon ile ilgili dokuzuncu sayfada anlatılmış olan küçük araştırmayı yeniledim. Sonuç olarak ilerleme değil bilakis gerileme olduğunu gördüm: Türkiye tezlerinin savunulduğu tek sitenin de google.com’da ilk on’dan daha gerilere itildiğini görmek insanın sadece içini burkuyor.

Aranılan Şalter Böyle Bir Şey

Peki bu 1.5 sene boyunca biz ne yaptık, sanırım sayfa 22′de bahsedilen ana şalteri aramakla meşgulduk

Dizüstü Bilgisayarınız Çalınırsa…

İlk bilgisayar 167 metrekarelik bir alanda kurulu 30 ton ağırlığındaydı. O zaman kimin aklına gelirdi bilgisayarların cebe girecek kadar küçüleceği ve hayatın vazgeçilmezleri arasına gireceği? Display Search araştırma şirketinin yaptığı bir araştırmaya göre 2008′in ilk çeyreğinde 31.108 Milyon dizüstü bilgisayar satılmış. Bu geçen yılın ilk çeyreğine göre 35% daha fazla [1]. Dizüstü bilgisayar kullanımı o kadar çok yaygınlaştı ki; artık hayatımızın bir parçası haline geldi. Dizüstü bilgisayarlar nereye gidersek gidelim yanımızdan ayıramayacağınız bir aygıt haline geldi. Bazen uzun bir yolculuğa çıktığımızda uçak veya otobus beklerken veya bir otel odasında evden uzakta bir yerlerde açıp işle, özel çalışmalarımızla alakalı bir şeyler yapmamızı sağlarken, bir kafede çayımızı yudumlarken kablosuz bir ağa bağlanıp haberleri takip etmemize, maillere bakmamıza veya mail atmamıza olanak sağlar. Peki hiç düşündük mü dizüstü bilgisayarımızı kaybetmemiz bize nelere mal olur? Türkiye’de yapılan bir araştırma göremedim ama Amerika’da yapılan bir araştırmaya göre dizüstü bilgisayarların 10 da 1′i kullanım süreleri içerisinde çalınıyormuş [2]. Ben şahsen kendi yakınlarımdan iki kişinin dizüstü bilgisayarının çalındığını biliyorum. Daha ilginç olan çok yeni bir araştırmaya göre Amerikada havaalanlarında haftada 12,000 dizüstü bilgisayar kayboluyormuş. Bu da yılda 600 000 bilgisayar yapar[3].

Çalınırsa ne olur: Mali olarak size zarar verir. Eğer dizüstü bilgisayar işinizin bir parçası ise yenisini almak zorunda kalırsınız. Daha da kötüsü eger dizüstü bilgisayar işinizin bir parçası ve bir çok işi de evde yaparım diyerek dizüstü bilgisayarınıza değerli bilgi kaydettiyseniz. Çalındığında veya kaybolduğunda maddi kaybın yanında işinizle alakalı bir çok bilginin de kaybı söz konusu olabilir ki; bu bazen işinizle alakalı binlerce Ytl’lik zarara neden olmakla beraber kaybolan verilerin zararlı kisiler tarafından kullanılması ile sirketin prestij kaybı da soz konusu olabilir.

 

Bir örnek; 8 Ocak 2008 tarihinde İngiliz Kraliyet Donanma görevlisinin arabasından dizüstü bilgisayarı çalınmış. Bu bilgisayar içerisinde 600 000 askerin bilgisi, 3500 kişinin banka detayları,153 000 kişinin içerisinde pasaport bilgilerinin ve çeşitli diğer bilgilerin bulunduğu başvuru dosyası bulunuyormuş[4].

 

Yukarıdaki sadece tek bir dizüstü bilgisayar ama kaybedilen veri, kötü niyetli kişiler için paha biçilemez.

 

 

Bununla birlikte dizüstü bilgisayarınızı iş için değil de, kişisel olarak kullanıyorsanız değerli bir çok bilginizi kaybetmeniz olası. Bazen bütün bir geçmişiniz bilgisayarla birlikte gidebilir. Bir yazarın kitabını yazdığı dizüstü bilgisayarının çalınması sonucu televizyonlara yansıyan durumunu hatırlıyorum. “Bilgisayar onun olsun, bana yazılarımı ver” diyordu. Bunların haricinde şöyle bir dizüstü bilgisayarımıza baktığınızda yılların birikimi olan bir çok bilgi gözünüze çarpacak, ailenizle, arkadaşlarınızla çekildiğiniz fotoğraflar, videolar, güzel anlar hepsi dizüstü bilgisayarınızla birlikte kaybolabilir.

 

 

Nelere dikkat etmek lazım:

Çok basit ve biraz da komik gibi gelebilir ama Laptop çantaları birbirine benziyor. Standart çantalar çalınmaya veya çantaların karışmasına neden olabilir. Dizüstü bilgisayar çantanızı ayırt edecek dolayısıyla dizüstü bilgisayarın karışmasını engelleyecek etiket tarzı bir şey kullanılabilir.

 

Eğer dizüstü bilgisayarınızda önemli ve gizli tutulması gereken veriler varsa, tavsiye edilen hatta yapılması zorunlu olarak görülen önlem verilerin şifrelenmesi. Bu şekilde bilgisayar çalınsa bile, içerisindeki veriler çalan kişi tarafından ele geçirilemeyecek.

 

Bununla beraber dizüstü bilgisayar çalındıktan sonra hala çeşitli çözümler üzerinde çalışılmakla birlikte, çalınan bilgisayarın yerini bulabilmek için önerilen bazı çözümler de mevcut. Bunların genel çalışma prensibi, oluşturulan yazılım harddisk formatlansa (çalıntı dizüstülerde yapılan ilk işlem genellikle budur) bile kaybolmayacak şekilde Harddisk içerisinde düşük seviyede bir yere kaydediliyor ve antivirus programları da dahil olmak üzere bir çok tarama yazılımları tarafından farkedilmiyor. Program düzenli olarak izleme merkeziyle bağlantı kuruyor eğer dizüstü bilgisayarın çalındığı rapor edilmişse, o bilgisayar izlemeye alınıp gerekli devlet kurumlarıyla bağlantıya geçiliyor [5].

 

[1]http://www.chip.com.tr/konu/Dunyanin-en-cok-laptop-satan-sirketi-kim_7322.html

[2] http://www.cbronline.com/article_feature.asp?guid=C256F57D-6C54-4CA5-8181-142141ACC0AC

[3] http://www.geek.com/12000-laptops-lost-every-week-at-us-airports-20080707/

[4]http://www.sciencedirect.com/science?_ob=ArticleURL&_udi=B6VNT-4S3H495-3&_user=691352&_rdoc=1&_fmt=&_orig=search&_sort=d&view=c&_acct=C000038698&_version=1&_urlVersion=0&_userid=691352&md5=8ccdd77c80c3872b90c44c90fe13942e

[5] http://www.giac.org/certified_professionals/practicals/gsec/2641.php

Kim Korkar Sanal Klavyeden?

İnternet Bankacılığı konusunda yanlış demeyeceğim ama etkin olmayan bir çözüm de sanal klavyeler. Hani PIN kodunu klavyeden değil de fare ile ekrandaki düğmelere tıklayarak girdiğiniz nesne. Her girişte bir de sayıların yer değiştirmesi yok mu, yani o zaman bu sistem bayağı güvenli olmalı.

Güvenli mi? On sene önce olsa evet. Çünkü on sene önce anahtar-toplayıcı (keylogger) dediğimiz programlar sadece klavyeden girilen karakterleri toplarlardı. Sene 2008 olunca , bu sitedeki birkaç programı denedik ve gördük ki her fare tıklamasındaki ekran görüntülerini toplayan ve oldukcada performanslı programlar var. Bu tip bir program karşısında sanal klavyeler çaresiz kalıyor haliyle. (Ekran görüntülerini transfer etmek çok bant genişliği ister vs. gibi karşı argümanların da çok geçerli olduğunu düşünmüyorum.) 

Sonuç: Güvenlik bir silah yarışı olmuş günümüzde. Önlemler bu yarışta çoğu zaman epey geriden geliyor maalesef.

Konuyla ilgili bir fıkra ile bitireyim. İki arkadaş ormana gitmişler, gezerlerken bakmışlar meşelikten bir aslan geliyor üstlerine. Arkadaşın biri çantasındaki spor ayakkabılarını giymeye başlamış. Diğeri sormuş: “bu ayakkabıları giyince aslandan daha hızlı koşabileceğini mi düşünüyorsun?”. Cevap beş-on metre öteden gelmiş: “hayır ama senden daha hızlı koşacağımdan eminim.”

Konumuzla ilgisi mi? Herkesin tek-zamanlı şifrelere geçtiği ve bu şifrelerin yetersiz kalabileceği gerçek zamanlı kimlik avı saldırılarının (online phishing attacks) düşünüldüğü bir zamanda sanal klavyeler aslana yem olmayı ne kadar geciktirebilir acaba?

DİJİTAL DELİL ARAŞTIRMA SÜREÇ MODELİ

Dijital delilleri belirli metod ve prosedürlere uyun olarak araştırabilmek için bir takım ortak süreçlere ihtiyaç duyulmaktadır. Aşağıda Casey’in oluşturduğu 12 basamaklı süreç modeli görülmektedir (Casey, 2004):

Dijital Delil Araştırma Süreç Modeli (Casey, 2004)

Bu süreç modelini 2005 yılında Polis Bilişim Sempozyumu’nda sunduğumuz makalede tek tek anlattık. Makalenin orijinal versiyonuna şu linkten ulaşabilirsiniz.

Süreç modelindeki en önemli basamaklardan biri “Tanımlama ve Toplama” aşamasıdır. Olay yerinden elde edilebilecek deliller kritik öneme sahip olduğu için bu sürecin çok hassas ve dikkatli ele alınması gerekmektedir. Makaledeki bu bölümü önemine binaen aşağıda kısaca değinelim:

Tanımlama ve Toplama

Olay yeri güvenli hale getirildikten sonra, söz konusu suç veya vaka ile ilgili potansiyel delillerin toplanması gerekmektedir. Sürecin doğru bir şekilde işlemesi için öncelikle uygun prosedürleri ve gerekli hukuki şartları anlamak büyük önem arz etmektedir. Deneyimli ve tecrübeli araştırıcılar için bu safhadaki amaç sanal veya fiziksel bütün delilleri toplamak değil, nelerin toplanıp nelerin toplanmayacağı konusunda mantıklı kararlar vermek, doküman oluşturmak ve ondan sonra eylemi gerçekleştirmektir.

Dökümantasyon bütün basamaklarda yapılması gereken bir iştir ancak delillerin toplanması esnasında ayrı bir öneme sahiptir. Toplanan her bir delille ilgili ayrıntılı rapor tutmak, bunların doğrulanabilirliğini kolaylaştırıp, koruma zincirini (chain of custody) başlatacaktır.

Geleneksel delil toplama, delillerin daha sonradan incelenmek üzere sahiplenilmesi anlamına gelmektedir. Fakat dijital delillerde durum biraz farklıdır. Delillerin doğrudan toplanması esnasında bazılarının kaybedilmesi, bozulması ile karşılaşılabilir. Özellikle uçucu veriler (Ör: Bellek, CPU Kaydedicileri, Çalışan süreçlerin durumu) dediğimiz elektrik kesildiğinde içeriği sıfırlanan ve tekrar kurtarılması mümkün olmayan delilleri barındıran bilgisayarlarda bazı ek işlemlerin gerçekleştirilmesi gerekmektedir.

İngiltere Polis Başkanları Birliği tarafından yayınlanan “Bilgisayar Tabanlı Elektronik Deliller için İyi Pratikler Rehber’inde 4 prensipten bahsedilmiştir (NHCTU,2003):

Prensip 1 : Kanun uygulayıcılar ve görevlileri tarafından, mahkemede kullanılma ihtimali olan bilgisayar veya farklı bir medya üzerinde bulunan verileri değiştirecek herhangi bir eylemde bulunulmayacaktır.

Prensip 2 : Bir kişinin hedef sistem üzerinde bulunan orijinal verilere erişmesi gerektiği istisnai durumlarda, ilgili kişinin mutlaka o konuda tecrübeli ve uzman olması ve aynı zamanda yaptığı bütün işlemleri ve gerekçelerini daha sonradan ispatlayacak bir durumda olması gerekir.

Prensip 3 : Bilgisayar tabanlı delillere uygulanmış olan bütün süreçlerin bir izleme kaydı oluşturulmalı ve koruma altına alınmalıdır. Üçüncü bir şahıs tarafından bu süreçler incelenebilmeli ve aynı sonuçlara varılmalıdır.

Prensip 4 : Olaydan sorumlu memur, yapılan işlemlerin hukuka ve prensiplere uygun olup olmadığını denetlemekten de sorumludur.