Verilerinizi Gerçekten Sildiniz mi?

 

Kullanışlı güvenlik deyince akla hemen gelen konular var: Parolaların hatırlanma zorluğu, PKI gibi güvenlik teknolojilerinin karmaşıklığı, antivirüs ve benzeri yazılımların performans etkileri vb. Bugün hemen hergün belki de yanlış olarak kullandığımız ve kullanışlı güvenlik kavramı içerisinde çok da düşünmediğimiz bir konu hem de gayet önemli bir konuda bir kaç söz söylemek istiyorum.

Simson Garfinkel ve Abhi Shelat 2002 yılında yazdıkları makalede ve Kevin Mitnick The Art of Deception (Aldatma Sanatı) kitabında bahsettikleri güvenlik problemi şu: ikinci el satın alınan veya çöp karıştırırken bulunan hard disk ve benzeri veri depolama aygıtlarının üzerinde silinmesi unutulan veya silinmiş zannedilen hassas bilgilerin varlığı. 

Garfinkel ikinci el olarak aldığı harddisklerde hangi bilgilerin olduğuna ilişkin bir liste vererek bu problemin ne kadar ciddi olduğunu  önce bizleri ikna ediyor. Daha sonra bu problemin sebebini açıklıyor. Sebep bize oldukça tanıdık: Bilgisayar kullanımının oda dolusu devasa mainframe yapılardan günümüz kişisel ve mobil cihazlara zamanla kayması esnasında bazı önemli noktaların yazılım geliştiriciler tarafından atlanmış olması. Garfinkel MS-DOS’daki FORMAT komutunun kullanılmasının gerçekte sadece dosya sisteminden ilgili dosyaya erişim bilgisinin silinmesi anlamına geldiğini ve iddiaların aksine bunun bilinçli bir tercih olamayacağını söylüyor. Sonrası ise malum, basit bir yanlışı düzeltmek zaman geçtikçe çok daha zor bir hale geliyor.

Makalenin computer forensik  taraflarına girmeyeceğim. Kullanışlılık adına yapılan hata ise bariz: FORMAT komutu çalıştırıldığında  kullanıcının karşısına çıkan aşağıdaki uyarı mesajının yanlış anlamalara sebep vermesi (işlemin oldukça uzun sürmesi de yanlış anlamalara kuvvet veriyor). 

“ALL DATA ON NON-REMOVABLE DISK DRIVE C: WILL BE LOST”

Böyle bir mesajı okuyan bir kişinin verilerin gerçekten de silindiğinin düşünmesi kadar doğal birşey olamaz herhalde. Tabii 2009 yılına geldiğimizde biraz da konu üzerinde ilgili yazılı ve görsel basının durmasının ardından biraz daha bilinç oluşmuş durumda.

Bu bilinçle birlikte işletim sistemlerinde bilhassa Windows’da bu konuda gözle görülür bir iyileştirme sanırım henüz yok. Halbuki yapılacak olan işlem belli: verileri gerçekten silmek için üzerine birkaç kez yeni veri yazmak. Gerçi verilerin üzerine birkaç kez tekrar veri yazmanın nihai çözüm olmadığı biliniyor (bkz: Secure Deletion of Data from Magnetic and Solid-State Memory) ama bu yönde doğru bir adım olacak bu işlem elbetteki.

Garfinkel başka bir yazısında (bkz: Security and Usability: Designing Secure Systems that People Can Use, Chapter 15) Mac işletim sisteminde nasıl bu yönde doğru adımlar atıldığını fakat kullanışlı bir arayüz geliştirilmesi konusunda yanlışlıkların da olduğunu anlatıyor. Mesela bu işlem için kullanılması gereken tanımlamanın Güvenli Çöp Boşaltma (Secure Emptry Trash) gibi ne anlama geldiği anlaşılmaz bir ifade değil de İmha Makinesi (Shredder) olması gerektiğini belirtiyor.

Ben de bu kağıt kırpma makineleri ne işe yarar diye düşünüp duruyordum. Halbuki yaşamsal öneminin olduğunu en azından bazı ortamlarda şu an anlamış bulunmaktayım.

Not: Böyle yazınızın başkaları tarafından saklandığı ve yayınlandığı ortamlarda ise verinizi gerçekten silme gibi bir imkanınız kesinlikle yok. Bu durum ve beraberinde getirebileceği olası problemler ise ayrı bir yazı konusu.

SSL uyarıları

Merhaba,

Her hafta TOBB ETÜ’de yapmaya çalıştığımız okuma grubunda bu haftayı SSL uyarılarının etkinliğini inceleyen bir makaleye ayırdık. Bruce Schneier bu çalışmayı “bildiğimizi kanıtlayan araştırma” olarak özetlemiş. Evet gerçekten de SSL uyarılarının genelde dikkate alınmadığını, insanların bu uyarıları rahatsızlık olarak gördüklerini vs. uzun uzun anlatmaya gerek yok. Peki makalede kayda değer neler var?

Öncelikle satır aralarında Firefox 3 geliştiricilerinin ilk başta kullanıcıların SSL uyarılarını atlayabilmesi için 11 adımdan geçer bir sistem kurduklarını fakat biraz da IE’a geçiş olur korkusuyla bunu nasıl 4 aşamaya indirdikleri gibi ilginç bilgiler bulunuyor.

Ama daha önemlisi yazarların daha etkin SSL uyarıları geliştirme yönünde başarısız olduklarını deneylerle kanıtladıkları bilgisini okuyorsunuz. Varılan sonuç SSL uyarıları yerine güvensiz bağlantılara hiç bir şekilde izin vermeyen bir sistem kurulmasının gerekliliği. Herhalde böyle bir şey en çok Verisign gibi CA’leri sevindirir. Yoksa üniversite web e-posta sunucusu vs.’ye böyle bir sertifika yüklemesi gereken büyük bir çoğunluk bu öneriye burun kıvıracakladır. Haklılar ama kararı onlar vermiyor maalesef. Nedense bu sonuç cümlesini okuyunca web tarayıcısı olarak sadece IE olmamasının ne kadar da iyi bir şey olduğunu hissettim. İyi ki varsın Firefox ve diğerleri.

Kendi önerilerinin başarısız olduğunu gösteren çalışmaların iyi güvenlik konferanslarında yayınlanması bir ilk değil. Bu durumun makale sahiplerinin kim olduklarıyla ilişkili olduğunu söylemek biraz kolaya kaçmak olabilir. Makaleyi okurken geçenlerde katıldığım SOUPS 2009 tutorial’inde  Roy Maxion‘un üzerinde ısrarla durduğu bir konuyu hatırladım. Roy bazı güvenlik uzmanlarının kullanışlılık deneyleriyle ilgili verilen bilgiyi sıkıcı bulabildiklerini hayretle aktarmıştı. Kullanışlı Güvenlik konusunda ilerlemenin ancak tekrar edilebilir deneyler yoluyla mümkün olduğunu ve yapılan deneylerin ayrıntılarının bilinmemesinin bu alanda mesnetsiz iddialar dışında elle tutulur bir şey olmaması sonucunu doğuracağına ben de inanıyorum. 

Titiz bir deney sonrasında gerekli ayrıntıda bir anlatım ve analiz bu makalede de kendini hissettiriyor. Yine de makale özünde iddia edilen kendi SSL uyarılarının mevcut uyarılardan daha iyi olduğu savının biraz havada kaldığını düşündüğümü de ekleyeyim.

Son olarak yapılan deneylerde 10-20 dolar gibi paralar dağıtılması ile katılımcıların %69′unun Hindistan doğumlu olması arasında nasıl bir ilişki olduğunun makalenin ilginç sonraki çalışmalarından biri olabileceğini bir şekilde Lorrie’ye iletmeyi siz değerli okuyuculara bırakıyorum demek isterim.

Kullanışlı Güvenlik Konferansı

Uzun zamandır geçen ay katıldığım SOUPS 2009 konferansı ile ilgili bir şeyler yazmak istiyordum. Kısmet bugüne imiş.

Güvenlik teknolojisinin hızla ilerlemesine rağmen güvenlik problemleri azalmıyor aksine artıyor. Bunun önemli bir sebebi varolan güvenlik teknolojilerinin kullanışlılığının düşük olması. Başka bir ifadeyle teknoloji geliştirilirken insan unsurunun ihmal edilmesi. Bu konuda çok şeyler yazılabilir hatta daha önce birkaç yazımızda bu konuya değindik. Fakat bugün ben yukarıdaki tespit ile başlamış ve bu sene beşinci düzenlenen konferans ile ilgili yazacağım.

Konferans Google sponsorluğunda ve evsahipliğinde yapıldı. O yüzden hem konferans ücreti düşüktü hem de bize iyi baktılar orda  Google kafeteryalarında her saat  açık büfe yiyecek içecek bulunuyor. Seneye Microsoft evsahipliğinde Redmond, WA’da olacak SOUPS 2010. Makale (veya poster) göndermeyi şiddetle öneririm konuyla ilgili olanlara.

Konferansın açılış konuşmasını Google’da yönetici olarak çalışan Eric Sachs yaptı. Endüstrinin bu konuya olan yoğun ilgisinin bir başka kanıtı idi sanki konuşması. OpenID (tüm İnternette tek bir sayısal kimlik kullanımı)projesinin büyük şirketlerce sürüklenmeye çalışıldığını ve böyle bir sistemin kullanışlı olması için yapılan çalışmalar vs. konularının gündemde olduğunu öğrendik sayesinde.

Poster oturumunda daha önce IFIPTM konferansında sunduğumuz çalışmayı anlattık. Çok güzel yorumlar aldık. Paul Van Oorschot bilhassa ilgilendi çalışmamızla.

Programdaki konuşmaların hepsinden bahsedemeyeceğim. Fakat iki sunumdan kısaca bahsetmek istiyorum. 

Carnegie Mellon üniversitesinden SOUPS konferanslarının da genel başkanı Lorrie Cranor‘un grubunun bir çalışması phishing (olta saldırıları) üzerine idi.  Tabii bu konu eski, ne yapmışlar diye burun kıvırdığınızı tahmin ediyorum. Ama bu saldırılar hala yapılıyor (bana gelen maillerden öyle tahmin ediyorum). Makaledeki ana fikir yani insanların tam ihtiyaç duyduğu anda (gelen olta saldırısı e-postasındaki linke tıkladığı anda) eğitilmesi fikri bana oldukça orjinal geldi. Ayrıntılar makalede.

Bir diğer çalışmada Video CAPTCHA fikri sunuldu. Kullanışlı güvenlik konferansında böyle kullanışsız çözümlerin kabul edilmiş olması beni bu konuda daha çok şeyler yapılması gerektiği konusunda heyecanlandırdı açıkçası.

Bu konuda şu an mümkün mertebe fazla okuma yapmaya çalışıyorum. Ülkemiz içinde oldukça yeni bir konu. Bu konuda bir ders vermek çok faydalı olabilir. Bu fikri hayata geçirmek üzere öncelikle şu dökümanı inceledim. Okunması gereken daha onlarca makale var pek tabii ki.

(Bir de usable security’ye karşılık olarak kullanışlı güvenlik mi kullanılabilir güvenlik mi demeliyiz karar veremiyorum. Sözlükten tekrar baktım iki anlama da geliyor)

10 soruda Açık Anahtar Altyapısı

Açık Anahtar Altyapı (AAA) Teknolojisi günlük hayatımıza girmeye başladı (Link1 ve Link2). Her yeni teknolojide olduğu gibi bu projelerin başarısı için de teknik detayların mümkün olduğu ölçüde son kullanıcıdan saklanması önemli. Ama karar vericilerin, yöneticilerin ve işin teknik tarafında olanların temel bazı bilgilerle donanmış olması gerekiyor. AAA bilgisini ölçmek isteyenler için hazırladığımız aşağıdaki küçük test umarım bu açıdan faydalı olur.

AÇIK ANAHTAR ALTYAPISI

TEST SORULARI

 

1.)      Açık Anahtar Altyapısı (AAA) ile ilgili aşağıdakilerden hangisi doğrudur?

a.) AAA sadece açık anahtar şifrelemesinin güvenli çalışması için gereklidir.

b.) AAA sadece sayısal imzanın güvenli çalışması için gereklidir.

c.) AAA hem açık anahtar şifrelemesinin hem sayısal imzanın güvenli çalışması

     için gereklidir.

d.) AAA olmazsa açık anahtar şifrelemesi klasik şifreleme gibi çalışır.

e.) Hem imza hem şifre kullanıldığı durumlarda AAA’ya ihtiyaç kalmaz.

 

2.)      Sayısal imza aşağıdaki işlevlerden hangisi veya hangilerine sahiptir?

a.) Mesaj göndereni tanıma     

b.) Mesaj bütünlüğü     

c.) İnkar-edememe     

d.) Hiçbiri     

e.) Hepsi

 

3.)      Sayısal imza, Elektronik İmza ve Islak imza ile ilgili olarak aşağıdakilerden hangisi

          doğrudur?

a.) Islak imzanın tarayıcıdan geçirilerek sayısal forma dönüştürülmesi ile sayısal imza

     üretilebilir.

b.) Islak imzanın tarayıcıdan geçirilerek sayısal forma dönüştürülmesi ile elektronik imza

     üretilebilir.

c.) Bu üçü arasında en güvenilir olanı ıslak imzadır.

d.) Bu üçü arasında en güvenilir olanı sayısal imzadır.

e.) Bu üçü arasında en güvenilir olanı elektronik imzadır.

 

4.)    Ayşe’nin Bora’ya sayısal imzalı bir mesaj göndermesi ve Bora’nın bu mesajı doğrulaması sırasında aşağıdaki anahtarlardan sırası ile hangileri kullanılır?

a.) Bora’nın açık anahtarı – Bora’nın gizli anahtarı

b.) Ayşe’nin açık anahtarı – Ayşe’nin gizli anahtarı

c.) Bora’nın gizli anahtarı – Bora’nın açık anahtarı

d.) Ayşe’nin gizli anahtarı – Ayşe’nin açık anahtarı

e.) Bora’nın açık anahtarı – Bora’nın açık anahtarı

 

5.)    Ayşe’nin Bora’ya şifreli bir mesaj göndermesi ve Bora’nın bu mesajı çözmesi sırasında aşağıdaki anahtarlardan sırası ile hangileri kullanılır?

a.) Bora’nın açık anahtarı – Bora’nın gizli anahtarı

b.) Ayşe’nin açık anahtarı – Ayşe’nin gizli anahtarı

c.) Bora’nın gizli anahtarı – Bora’nın açık anahtarı

d.) Ayşe’nin gizli anahtarı – Ayşe’nin açık anahtarı

e.) Bora’nın açık anahtarı – Bora’nın açık anahtarı

 

6.)    Sayısal İmzanın doğrulanması işleminde aşağıdakilerden hangisi kullanılmaz?

a.) Özet algoritması           

b.) İmza            

c.) İmza doğrulama algoritması            

d.) Açık anahtar        

e.) Gizli anahtar

 

7.)    Sayısal İmzanın güvenliği için aşağıdakilerden hangisi gerekli değildir?

a.) Açık Anahtar Altyapısı

b.) İmzalayan kişinin gizli anahtarının gizliliği

c.) İmzayı onaylayan kişinin gizli anahtarının gizliliği

d.) İmzalayan kişi ile açık anahtarı arasında güvenli bir bağ

e.) Sayısal imza algoritmasının güvenli çalışması

 

8.)    Sayısal sertifikalar ne işe yarar?

a.) Sayısal imzanın doğru çalışıp çalışmadığının kontrolünü sağlar.

b.) Sayısal imza doğrulamasında kullanılan açık anahtar ile anahtar sahibi arasında güvenli

     bir bağ oluşturulmasını sağlar.

c.) Ehliyet, nüfus cüzdanı gibi kimlik belgelerinin yerine kullanılır.

d.) Sertifika otoritesinin imzaları doğrulamasına olanak verir.

e.) Sertifika otoritesinin açık anahtarı yerine kullanılır.

 

9.)    Telekomünikasyon kurumunun sayısal imza ile ilgili görevi nedir?

a.) İkincil düzenleme ve denetleme görevi

b.) Kök sertifikasyon makamı olma görevi

c.) Güvenlik uygulamalarının geliştirilmesi görevi

d.) Sayısal sertifikaların dağıtılması görevi

e.) Hepsi

 

10.)    Sayısal imza ile ilgili aşağıdakilerden hangisi veya hangileri yanlıştır?

I.       Önümüzdeki birkaç yıl içerisinde ıslak imzanın yerini alması beklenmektedir.

II.      E-oylama gibi yeni uygulamalarda kullanılması mümkündür.

III.    Sayısal imzaya geçilmesi ile iş süreçlerinin iyileşmesi sağlanabilecektir.

a.) Sadece I    

b.) Sadece II           

c.) Sadece III          

d.) I ve III              

e.) I, II ve III

 

İnsan, Bilgisayar, Kedi ve Köpek

Bugün sizlere ”birgün bir insan, bir bilgisayar, bir kedi ve bir köpek giderlerken…” diye başlayan bir fıkra anlatacaktım ama onun yerine BİTOGET’lerden bahsedeceğim. BİTOGET (Bilgisayar ve İnsanları Ayırt Eden Tamamen Otomatik Genel Turing Testi), İEİ (İnsan Etkileşimi İspatı), CAPTCHA veya HIP kısaltmaları hep aynı mekanizmadan bahsediyor: hani son zamanlarda bir siteye giriş yaparken karşılaştığımız ve resimdeki karakterleri tekrar girmemizi isteyen güvenlik testleri var ya. Bu testlerin amacı küçük bilgisayar programları vasıtasıyla ayrı makinelerden de yapılabilen servis engelleyici saldırıları engellemek. Başka ifadesiyle ancak karşı taraftakinin bilgisayar değil de insan olduğunu anladıktan sonra istenileni yapmak amaç. Böylelikle kötü niyetli saldırıların otomatik araçlar ile fazla iş yükü oluşturarak sitemizi kullanıcılara hizmet veremez hale getirmesini engellemek.

Konunun pek çok yönü var elbet. Mesela kullanışlılık-güvenlik ikilemi boyutunu en güzel şu blogdaki bilgiler doğruluyor. Burada basit BİTOGET’lerin nasıl kolay kırılabildiği, kırılamayanların ise nasıl da okunamaz hale geldiği örneklerle anlatılmış. Örneklerde en iyi BİTOGET google’ınki gibi.

CAPTCHA kısaltmasını türeterek bu kavramın popüler hale gelmesini sağlayan Luis von Ahn demiş ki BİTOGET’lerin kırılması veya kırılamaması iki olasılık da bize fayda sağlar. Kırılabilmesi yapay zeka alanında bir gelişmeye yani insanın yapabildiği bir şeyin bilgisayarlarla da yapılabilmesine başlanılması anlamına geliyor. Kırılamaması ise etkin güvenlik mekanizmaları kurabilmemize olanak sağlıyor.

Karakter tanıma tabanlı BİTOGET’ler en yoğun kullanılanlar. Luis von Ahn’ın söylediği genel anlamda doğru ama gittikçe okuması imkansız hale gelen karakterlerle uğraşırken son kullanıcının “vay be, yapay zeka ne kadar gelişmiş!” diye düşünmediği de kesin. 

Alternatif BİTOGET’ler var mı var. Mesela Asirra ismi verilen yeni bir BİTOGET tasarımı insanların bilgisayarlara göre çok daha kolay kedi ve köpek resimlerini ayırt edebilmesinden hareketle petfinder.com sitesinin veri tabanındaki 3 milyon kedi ve köpek resmini kullanan bir sistem öneriyor.

Kullanıcılardan basit matematiksel ve mantıksal işlemler yapmasını isteyen yazı tabanlı alternatifler de yok değil. Ama tüm bu alternatifler ile karakter tanımalı BİTOGET’leri ayıran temel fark “otomatik” ibaresinde gizli. Yani bu alternatif sistemler tamamen otomatize edilememekte ve sistemin güvenliği veri tabanının büyüklüğü ile sınırlı kalmakta. 3 milyon kedi ve köpek bir kere birisi tarafından ayırt edildi mi artık bu bilginin bilgisayar programları ile kullanılamaması için hiç bir sebep yok. Önerilen yazı tabanlı sistemde çok daha fazla (150 milyonun üstünde) soru var. Dolayısıyla bu şekilde insan tarafından çözülerek kırılabilmesi çok daha zor. Lakin burdaki sıkıntı soruların ingilizce olması ve Türkçe sitelerde kullanılma zorluğu. Acaba yazı tabanlı Türkçe BİTOGET var mı? merak etmekteyim.

İmparatorun yeni güvenlik göstergeleri

Arkadaşlarla bir süredir resim-şifreler konusunda bir TÜBİTAK projesi yürütüyoruz. Projede hedef insanların resim hafızasının daha iyi olduğundan hareketle bildiğimiz şifrelere (parolalara) daha iyi alternatifler üretmek. Sonraki haftalarda projeden daha ayrıntılı bahsetmeyi düşünüyorum ama bugünkü yazının konusu daha farklı.

Arkadaşlarla konuşurken ne zamanki bizim projeden laf açılsa, “xxx bankasında da benzer bir şey var. Biliyor musun?” sorularıyla muhatap oluyorum. Öğrendiğim kadarıyla sözkonusu olan kullanıcıların sisteme ilk girişte kendine özgü bir resim seçmeleri ve daha sonraki girişlerde bu resmin doğru resim olup olmadığını kontrol etmeleri. Bu mekanizmanın amacı kimlik avı (phishing) saldırılarına karşı önlem almak. Yani kullanıcı yanlışlıkla xxx bankası yerine başka bir sahte URL’e bağlanırsa bu URL’de kullanıcının seçtiği resim gösterilemeyeceği için kullanıcı bir yanlışlık olduğunu anlayacak ve böylece dolandırılmaktan korunmuş olacak.

“So far so good” değil mi? Lakin daha sonrasında okuduğum bir makalenin çarpıcı sonuçları insanı tekrar düşündürüyor.  MIT ve Harvard üniversitesi çalışanları yapmış oldukları kullanışlılık deneylerinde site-tanıma resimleri (STR)’nin % 92 oranında başarısız olduğunu tespit etmişler. Yani 25 kullanıcıdan 23′ü kendilerine ait gerçek bir e-bankacılık işleminde seçtikleri resim yerine “xxx bankası ödüllü STR teknolojisini şu anda iyileştiriyor. Eğer seçtiğiniz resim 24 saat içerisinde gözükmezse müşteri servisi ile bağlantıya geçiniz.” şeklinde  bir uyarı mesajı çıkmasına rağmen bankacılık işlemlerine devam ediyorlar. İlginç ve çarpıcı değil mi? Bu işler demek ki o kadar kolay olamıyor.

Ayrıca, İnternet bankacılığı güvenliği konusunda Türkiyede eksikler olduğunu düşünüyorum. Çünkü öncelikle tek-kullanımlı şifre üreten donanımlar halen yaygın değil. Her ne kadar Schneier sadece bu donanımları kullanmanın yetersiz olduğunu söylüyorsa da bence bu donanımlar sadece güvenlik için değil kullanışlılık için de etkin. Yabancı bir ülkede kullandığım sistemde verilen küçük hesap makinesi büyüklüğünde bir cihaza banka kartınızı sokuyorsunuz ve ATM şifrenizi girerek tek kullanımlık şifre üretiyorsunuz. Yani ekstradan bir şifre ezberlemenize gerek yok. Aksi halde şifrenizi unutursanız Allah yardımcınız olsun! Türkiyede böyle bir durum yaşadım. Unuttuğum internet bankacılığı şifresi için aramam gerektiği söylenilen müşteri servisi numarasında uzun bir süre telesekreterle muhatap olduktan sonra İnternet şifremi değiştirmem için İnternet şifresini bilmem gerektiğini  öğrenerek telefonu kapatmak zorunda kaldım. Halen o bankanın internet bankacılığından yararlanamıyorum. Sonuç olarak: Şifre konusu öyle basite indirgenebilecek bir konu değil ama çözeceğiz inşallah. Çalışıyoruz netekim.

İnternet bankacılığı güvenliği konusunda çok güzel bir makaleyi tavsiye ederek sözlerimi bugünlük noktalıyorum.