Zorunlu Tek Kullanımlık Şifreler ve Düşündürdükleri

 

Epeydir Türkiye’de e-bankacılık alanında zorunlu hale getirilen tek kullanımlık şifrelerle ilgili yazmak istiyordum. Bu arada Çetin Kaya Koç hocamın bu konuda yazdıklarını okudum. Genel itibariyle yazdıklarına katılıyorum. Mobil ortamdaki güvenlik problemleri, bilhassa yurtdışına gidince karşılaşılabilecek kullanışlılık sıkıntıları hepsi de geçerli bazı yorumlar, gerekçeler.

Ben bu yazıda problemin diğer bazı yönlerine değineceğim ve şu anki uygulamadan daha güvenli ve kullanışlı olacağını düşündüğüm bir çözüm önereceğim. Benimle beraber bitirme projesini ilgili bir konuda yapan bir öğrencimden bir süre önce şu iki haber linkini içerir bir e-posta mesajı aldım. Cevabında ise kısaca “beklenen gelişme” diye yazdım. Şimdi bana göre niye bu haber beklenen bir gelişme, onu açıklayayım.

Bruce Schneier Nisan 2005’de yazdığı makalesinde “İki-Unsurlu Kimlik Tanıma (Two-Factor Authentication) Çok Az, Çok Geç” diyordu. Demek istediği şey tam da yukarıdaki haberde anlatıldığı gibi olta saldırısı, zararlı programlar, vb. yollarla yapılan saldırıların gerçek zamanlı gerçekleştirildiği durumda Tek-kullanımlık SMS mesajı yöntemindeki gibi ikinci unsurun çok da fazla işe yaramayacağı idi.

Şöyle bir itiraz gelebilir, “tamam belki bu zorunlu kullanım problemin tamamını çözmüyor ama hiç yoktan iyidir, e-bankacılık yüzünden her yıl binlerce mağdur oluşuyor. Bir şeyler yapmak lazım”. Bu itiraza karşın aşağıya benim e-bankacılıkta nasıl bir çözüm önerdiğimin çerçevesini kısaca çizmeye çalışacağım.

1. Kullanıcının e-bankacılık uygulamasına ilk girişinde tek-kullanımlı şifre sorulmaz. Netice de kullanıcı belki sadece hesabına beklediği para yatmış mı ona bakacak. Elbette başka bir kişi kullanıcının hesabında ne kadar para var sorusunun cevabını merak ediyor olabilir. Ama burada gerekli olan güvenlik birazdan anlatacağım mesela bir para transferi sözkonusu olduğundaki güvenlikten çok daha aşağı seviyelerde.
2. Kullanıcı ne zamanki İnternet’ten para transferinde bulunmak istiyor veya buna benzer başka kritik bir işlem yapacak, o zaman bu işlemi doğrulaması için kendisine sistem bir SMS mesajı gönderir. Bu SMS mesajında sadece tek kullanımlık şifre olmaz. Aynı zamanda işlem bilgileri de yer alır (Falanca hesap no’lu falanca kişiye şu kadar para transferi yapmak istiyor musunuz? gibi).

Şimdi bu senin dediğin ikinci basamak zaten bazı bankalarda var diyebilirsiniz. Ben de cevap olarak derim ki bu çok güvenilir olduğu düşünülebilen “kişi onaylama” (entity authentication) yerine “işlem onaylama”  (transaction authentication) olarak adlandırılan yöntem bile %100 güvenlikle çalışmıyor. Yani ya okumadığından veya başka sebeplerle bir e-bankacılık kullanıcısının hiç tanımadığı bir kişiye para transferini onaylaması mümkün. Benim burada vurgulamak istediğim şey ise şu: bu SMS şifre olayını abartırsak ve kullanıcının ne yaptığına bakmadan her işlemde – sisteme giriş dahil – bir SMS mesajı gönderirsek, bu durum kullanıcının SMS mesajlarını dikkatli okumaması ve ilgili ilgisiz her SMS mesajında gelen tek kullanımlık şifreyi kullanmaktan şüphelenmemesi sonucunu doğurabilir. Doğurabilir diyorum çünkü bu konuda yapılmış bir kullanıcı çalışması var mı bilmiyorum.

Netice de bankanın yapacağı çok önemli bir üçüncü iş daha var. O da yapılan tüm işlemleri arka planda bir süzgeçten geçirmek ve şüpheli gördüklerine karşın ilave önlemler almak. Zaten bu belli ölçüde başka işlemler için yapılıyor. Mesela farklı bir ATM’den yüklü bir miktar para çektiğinizde size yine bir SMS geliyor. Benzer şekilde hesabınızdan mesela Rusya’daki bir hesaba transfer yapıldığında bir görevli kullanıcıya telefon açabilir (sabit telefonuna), başka doğrulamalarda bulunabilir. Hatta şubeye bile çağırabilir, vs.

Sonuç olarak, güvenlikte ve bilhassa konumuz olan kapsamda bir teknolojiyi zorunlu hale getirmek çok akıllı bir fikir değil diye düşünüyorum. Çünkü problemi tam olarak çözen bir teknoloji henüz yok. Genelde kullanışlılık-güvenlik ikilemleri sözkonusu.  Bana kullanışlılık önemli değil derseniz size pek çok mükemmel çalışan güvenlik çözümleri önerebilirim. Kanaatimce teknolojiden önce sorumlulukları, görevleri vs. daha ayrıntılı ortaya koymaktan başlanmalı. Belki ben bilmiyorumdur ama e-bankacılık dolandırıcılığı olduğunda sorumluluğun ne kadarı bankaya ne kadarı kişiye ait. Bu belli mi? Mesela kredi kartı işlemlerinde herkesin bildiği bir limit sözkonusu. Bu limitin üstü kredi kartı şirketinin taahhüdü altında. Benzer bir şey e-bankacılık için niye olmasın? (evet bu bahsettiğim konu başka ülkelerde de tartışılıyor).

SSL uyarıları

Merhaba,

Her hafta TOBB ETÜ’de yapmaya çalıştığımız okuma grubunda bu haftayı SSL uyarılarının etkinliğini inceleyen bir makaleye ayırdık. Bruce Schneier bu çalışmayı “bildiğimizi kanıtlayan araştırma” olarak özetlemiş. Evet gerçekten de SSL uyarılarının genelde dikkate alınmadığını, insanların bu uyarıları rahatsızlık olarak gördüklerini vs. uzun uzun anlatmaya gerek yok. Peki makalede kayda değer neler var?

Öncelikle satır aralarında Firefox 3 geliştiricilerinin ilk başta kullanıcıların SSL uyarılarını atlayabilmesi için 11 adımdan geçer bir sistem kurduklarını fakat biraz da IE’a geçiş olur korkusuyla bunu nasıl 4 aşamaya indirdikleri gibi ilginç bilgiler bulunuyor.

Ama daha önemlisi yazarların daha etkin SSL uyarıları geliştirme yönünde başarısız olduklarını deneylerle kanıtladıkları bilgisini okuyorsunuz. Varılan sonuç SSL uyarıları yerine güvensiz bağlantılara hiç bir şekilde izin vermeyen bir sistem kurulmasının gerekliliği. Herhalde böyle bir şey en çok Verisign gibi CA’leri sevindirir. Yoksa üniversite web e-posta sunucusu vs.’ye böyle bir sertifika yüklemesi gereken büyük bir çoğunluk bu öneriye burun kıvıracakladır. Haklılar ama kararı onlar vermiyor maalesef. Nedense bu sonuç cümlesini okuyunca web tarayıcısı olarak sadece IE olmamasının ne kadar da iyi bir şey olduğunu hissettim. İyi ki varsın Firefox ve diğerleri.

Kendi önerilerinin başarısız olduğunu gösteren çalışmaların iyi güvenlik konferanslarında yayınlanması bir ilk değil. Bu durumun makale sahiplerinin kim olduklarıyla ilişkili olduğunu söylemek biraz kolaya kaçmak olabilir. Makaleyi okurken geçenlerde katıldığım SOUPS 2009 tutorial’inde  Roy Maxion‘un üzerinde ısrarla durduğu bir konuyu hatırladım. Roy bazı güvenlik uzmanlarının kullanışlılık deneyleriyle ilgili verilen bilgiyi sıkıcı bulabildiklerini hayretle aktarmıştı. Kullanışlı Güvenlik konusunda ilerlemenin ancak tekrar edilebilir deneyler yoluyla mümkün olduğunu ve yapılan deneylerin ayrıntılarının bilinmemesinin bu alanda mesnetsiz iddialar dışında elle tutulur bir şey olmaması sonucunu doğuracağına ben de inanıyorum. 

Titiz bir deney sonrasında gerekli ayrıntıda bir anlatım ve analiz bu makalede de kendini hissettiriyor. Yine de makale özünde iddia edilen kendi SSL uyarılarının mevcut uyarılardan daha iyi olduğu savının biraz havada kaldığını düşündüğümü de ekleyeyim.

Son olarak yapılan deneylerde 10-20 dolar gibi paralar dağıtılması ile katılımcıların %69’unun Hindistan doğumlu olması arasında nasıl bir ilişki olduğunun makalenin ilginç sonraki çalışmalarından biri olabileceğini bir şekilde Lorrie’ye iletmeyi siz değerli okuyuculara bırakıyorum demek isterim.

Elektronik Para ve Microsoft

Elektronik Para kavramı 1980’lı yıllarda ortaya atılmış bir kavram. Amacı bildiğimiz kağıt paraların özelliklerine haiz elektronik ortamlarda kullanılabilecek mekanizmaları kurmak. Tabii para konu olunca güvenlik de en önemli gereksinim oluyor. Güvenliği sağlama adına da bol miktarda kriptografiden yararlanılıyor.

Bildiğimiz paralar fiziksel bir nesne olduğu için kalpazanlık yapmadan sahte para üretmek mümkün değil, dijital dünyaya gelindiğinde ise sadece 0 ve 1’lerden oluşan elektronik paranın kopyasının çıkarılmasını engellemek mümkün değil. Önlemek mümkün değilse öyleyse biz de tespit eder ve cezalandırırız yaklaşımı da elektronik para konusunda aynen uygulanamıyor.

Çünkü kağıt paraların elektronik ortama aktarmaya çalıştığımız bir özelliği daha var. Her ne kadar üzerinde seri numarası vs. olsa da bizim ATM makinesinden çekdiğimiz para kimlik bilgimiz ile eşlenmez ve harcamalarımızı tamamen anonim olarak yapabiliriz. Para kullanımının kredi kartına göre böyle bir avantajı var. Hiç düşünmüş müydünüz?

Aynı şeyi elektronik para için nasıl yapacağız hem banka veya elektronik parayı basan yani imzalayan her kim ise bu parayı verirken kişinin kim olduğuna bakmayacak hem de bu parayı o kişi iki kere kullanınca cezalandırabilecek. İşte bu aşamada kriptografinin gücü devreye giriyor. Kör imzalar dediğimiz yapıları kullanarak bu iki birbirine zıt gibi görünen gereksinimi karşılayabilen ilk kişi 1988 yılında David Chaum olmuştur.

Bütün bunları niye anlattım? Şu an yukarıda anlattığım özellikte elektronik para kullanımı yaygın değil hatta yok belki de. Bunun pek çok sebebi olduğu gibi kriptografici paranoyasının kriptografinin günlük hayatımıza girmesini engellemesi paradoksuyla da açıklayanlar var. 

Yazı oldukça ilginç. Ama belki de en ilginç olan bilgi Microsoft’un Windows 95’e entegre etmek için teklif ettiği 100 milyon doların (Bill Gates’i bir kere daha takdir edelim) reddedilmiş olması. Eğer o zaman Chaum teklifi reddetmese idi belki hala elektronik para kullanıyor olmayacaktık ama çok daha güvenli işletim sistemlerine sahip olacağımız kesindi. Netice de elektronik para kullanılabilecek bir işletim sistemi mecburen güvenli olacaktı (burada güvenliğin zor ama yeteri kadar kaynak ayrılırsa aşılabilir bir problem olduğuna bir gönderme var).

Her neyse son olarak en son haberlere göre Chaum’un öğrencisi olan (Chaum’un önce Brands’ın buluşunu anlamadığı daha sonrada bu ikisinin kavga ettikleri falan anlatılır) ve elektronik para konusunda çok daha aşmış buluşlara sahip Brands’ın patentlerini Microsoft satın almış. Acaba niye? (İpucu: Brands’ın buluşlarının elektronik para ötesi kullanım alanları var.)

Kim Korkar Sanal Klavyeden?

İnternet Bankacılığı konusunda yanlış demeyeceğim ama etkin olmayan bir çözüm de sanal klavyeler. Hani PIN kodunu klavyeden değil de fare ile ekrandaki düğmelere tıklayarak girdiğiniz nesne. Her girişte bir de sayıların yer değiştirmesi yok mu, yani o zaman bu sistem bayağı güvenli olmalı.

Güvenli mi? On sene önce olsa evet. Çünkü on sene önce anahtar-toplayıcı (keylogger) dediğimiz programlar sadece klavyeden girilen karakterleri toplarlardı. Sene 2008 olunca , bu sitedeki birkaç programı denedik ve gördük ki her fare tıklamasındaki ekran görüntülerini toplayan ve oldukcada performanslı programlar var. Bu tip bir program karşısında sanal klavyeler çaresiz kalıyor haliyle. (Ekran görüntülerini transfer etmek çok bant genişliği ister vs. gibi karşı argümanların da çok geçerli olduğunu düşünmüyorum.) 

Sonuç: Güvenlik bir silah yarışı olmuş günümüzde. Önlemler bu yarışta çoğu zaman epey geriden geliyor maalesef.

Konuyla ilgili bir fıkra ile bitireyim. İki arkadaş ormana gitmişler, gezerlerken bakmışlar meşelikten bir aslan geliyor üstlerine. Arkadaşın biri çantasındaki spor ayakkabılarını giymeye başlamış. Diğeri sormuş: “bu ayakkabıları giyince aslandan daha hızlı koşabileceğini mi düşünüyorsun?”. Cevap beş-on metre öteden gelmiş: “hayır ama senden daha hızlı koşacağımdan eminim.”

Konumuzla ilgisi mi? Herkesin tek-zamanlı şifrelere geçtiği ve bu şifrelerin yetersiz kalabileceği gerçek zamanlı kimlik avı saldırılarının (online phishing attacks) düşünüldüğü bir zamanda sanal klavyeler aslana yem olmayı ne kadar geciktirebilir acaba?

Karikatür ile Güvenlik Farkındalığı

Bu pazar “The Silver Bullet Security Podcast” de Markus Jakobsson ile kimlik avı (phishing) ağırlıklı yapılan röportajı dinlerken, eşiyle birlikte http://www.securitycartoon.com/ adresinde yer alan bir karikatür sitesi oluşturduklarını duydum ve siteyi ziyaret eder etmez sık kullanılanlarım arasına ekledim. Kendisinin de röportajda belirttiği gibi Bilişim Güvenliği farkındalığı yaratma anlamında karikatürlerin çok büyük etkisi bulunmaktadır. Bu konu üzerine bir de teknik rapor formatında yazıları bulunmaktadır. İlginizi çekerse bu link’ten inceleyebilirsiniz. İnsanlara mesaj iletiminde görsel nesnelerin etkisinin çok büyük olduğu bilimsel bir gerçek. Bir de bunun üzerine duyguları harekete geçirecek öğretme tekniklerini uyguladığınızda bu etkinin daha da büyüyeceği aşikar. İşte Markus Jakobsson bu fikirden yola çıkarak bir karikatür sitesi oluşturmuş. Gerçekten site çok güzel. Sitede aynı zamanda bulmaca tipinde karikatürler de mevcut. Örneğin size bir tane banka sitesi verip, bu sitenin güvenli olup olmadığını soruyor. Siz de siteyi inceleyip phishing yönünden veya başka yönlerden ekranda bir gariplik olup olmadığını bulmaya çalışıyorsunuz. Şuana kadar Türkçe olarak böyle bir çalışma yapılıp yapılmadığını bilmiyorum ama yapılmasının bilişim güvenliği farkındalığı anlamında çok büyük katkı sağlayacağı kanaatini taşıyorum.

Hemen bu fikrin nasıl uygulanabileceği ile ilgili gerçek hayattan bir örnek verelim. Çocuklarımızı internet ortamında bakleyen risklerin başında tanımadığı kişilerle chat yapmaları gelmektedir. Özellikle çocuk pornografisi ile uğraşan kişiler çocukları chat odalarından kandırmaya çalışmaktadırlar. Örneğin Türkiye’de yaşanmış gerçek bir olaya değinelim: Çocuk pornografisi çetesi mensubu bir takım kişiler küçük yaştaki erkek çocuklarını kandırmak için kendilerini karşı tarafa genç bir kız görünümünde sunarak arkadaşlık kurmaya çalışırlar. Konuşmalar esnasında MSN’de gerçekten kız olduklarını karşı tarafa inandırmak için daha önceden ellerinde bulunan bir kız videosunu MSN’de sanki web kamerası açmış gibi karşı tarafa verebilmektedirler. Bu videoda kız çocuğu sanki bilgisayarın başında yazışıyormuş gibi yapmakta ve üzerindeki kıyafetleri teker teker çıkarmaktadır. Bu görüntüler çocuk pornocularının ellerinde dolaşan birbirleriyle erkek çocuklarını kandırmak için paylaştıkları görüntülerdir. Bu kötü niyetli kişiler erkek çocuklarına “eğer sen web kameranı açıp bizim istediğimiz şeyleri yaparsan, ben de üzerimdeki kıyafetleri çıkaracağım” şeklinde telkinde bulunarak çocukları web kamerası karşısında soyunmaya ikna etmekte ve bu esnada da görüntülerini kaydetmektedirler. Kaydedilen görüntüler daha sonradan çocukla temasa geçilip izlettirilir ve “eğer bizim istediğimiz yere gelmezsen bu görüntüleri öğretmenine, okul arkadaşlarına, ailene yollayacağız” şeklinde şantaj yapılarak çocuğun istenilen adrese gelmesi sağlanır. Daha sonra çocuklar kaçırılarak tecavüz edilir ve resimleri çekilir. Bilişim Suçları ile uğraşan Emniyet yetkililerinden alınan bilgilere göre bu tip hadiseler gerek Türkiye’de gerekse Dünya’da çok sık karşılaşılagelmektedir. Aileler çocuklarının internette bu tip tehlikelerle karşılabileceğinden, çocuklar ise internetteki her görüntünün gerçek olmadığından habersizdir. İşte bu noktada gerek ailelerde gerekse çocuklarımızda farkındalık yaratmak için özellikle basılı ve görsel medyalarda bu hususları işlemek çok büyük önem arz etmektedir. Trajı yüksek gazetelerin bulmaca sayfalarında veya hafta sonu eklerinde bu konuları işleyen karikatürlerin, bulmacaların olduğunu düşünün. Bu tip bir uygulamanın bilişim güvenliği farkındalığı yaratmaktaki etkisinin çok büyük olacağını düşünüyorum.

Bu konu ile ilgili söyleceklerimi bitirmeden Markus’tan esinlenerek sizin için hazırladığım bir bulmacayı görüşlerinize sunmak istiyorum. Bu benim başıma gelen gerçek bir phishing vakaasıdır. İşte bulmaca:

phishing-sorusu

İmparatorun yeni güvenlik göstergeleri

Arkadaşlarla bir süredir resim-şifreler konusunda bir TÜBİTAK projesi yürütüyoruz. Projede hedef insanların resim hafızasının daha iyi olduğundan hareketle bildiğimiz şifrelere (parolalara) daha iyi alternatifler üretmek. Sonraki haftalarda projeden daha ayrıntılı bahsetmeyi düşünüyorum ama bugünkü yazının konusu daha farklı.

Arkadaşlarla konuşurken ne zamanki bizim projeden laf açılsa, “xxx bankasında da benzer bir şey var. Biliyor musun?” sorularıyla muhatap oluyorum. Öğrendiğim kadarıyla sözkonusu olan kullanıcıların sisteme ilk girişte kendine özgü bir resim seçmeleri ve daha sonraki girişlerde bu resmin doğru resim olup olmadığını kontrol etmeleri. Bu mekanizmanın amacı kimlik avı (phishing) saldırılarına karşı önlem almak. Yani kullanıcı yanlışlıkla xxx bankası yerine başka bir sahte URL’e bağlanırsa bu URL’de kullanıcının seçtiği resim gösterilemeyeceği için kullanıcı bir yanlışlık olduğunu anlayacak ve böylece dolandırılmaktan korunmuş olacak.

“So far so good” değil mi? Lakin daha sonrasında okuduğum bir makalenin çarpıcı sonuçları insanı tekrar düşündürüyor.  MIT ve Harvard üniversitesi çalışanları yapmış oldukları kullanışlılık deneylerinde site-tanıma resimleri (STR)’nin % 92 oranında başarısız olduğunu tespit etmişler. Yani 25 kullanıcıdan 23’ü kendilerine ait gerçek bir e-bankacılık işleminde seçtikleri resim yerine “xxx bankası ödüllü STR teknolojisini şu anda iyileştiriyor. Eğer seçtiğiniz resim 24 saat içerisinde gözükmezse müşteri servisi ile bağlantıya geçiniz.” şeklinde  bir uyarı mesajı çıkmasına rağmen bankacılık işlemlerine devam ediyorlar. İlginç ve çarpıcı değil mi? Bu işler demek ki o kadar kolay olamıyor.

Ayrıca, İnternet bankacılığı güvenliği konusunda Türkiyede eksikler olduğunu düşünüyorum. Çünkü öncelikle tek-kullanımlı şifre üreten donanımlar halen yaygın değil. Her ne kadar Schneier sadece bu donanımları kullanmanın yetersiz olduğunu söylüyorsa da bence bu donanımlar sadece güvenlik için değil kullanışlılık için de etkin. Yabancı bir ülkede kullandığım sistemde verilen küçük hesap makinesi büyüklüğünde bir cihaza banka kartınızı sokuyorsunuz ve ATM şifrenizi girerek tek kullanımlık şifre üretiyorsunuz. Yani ekstradan bir şifre ezberlemenize gerek yok. Aksi halde şifrenizi unutursanız Allah yardımcınız olsun! Türkiyede böyle bir durum yaşadım. Unuttuğum internet bankacılığı şifresi için aramam gerektiği söylenilen müşteri servisi numarasında uzun bir süre telesekreterle muhatap olduktan sonra İnternet şifremi değiştirmem için İnternet şifresini bilmem gerektiğini 😦 öğrenerek telefonu kapatmak zorunda kaldım. Halen o bankanın internet bankacılığından yararlanamıyorum. Sonuç olarak: Şifre konusu öyle basite indirgenebilecek bir konu değil ama çözeceğiz inşallah. Çalışıyoruz netekim.

İnternet bankacılığı güvenliği konusunda çok güzel bir makaleyi tavsiye ederek sözlerimi bugünlük noktalıyorum.