Tam anlamıyla ihata edemediğimizi düşündüğüm bir bilgi çağının içinde bulunuyoruz. Bilgiye ulaşmak, öğrenmek ve özümsemek için binlerce seçenek önümüzde dağ gibi yığılmış. Ne demek istediğimi konumuz olan güvenlik alanında iki örnekle açıklayayım. Birinci örnek Stanford Üniversitesi profesörlerinden ve kripto camiasının meşhurlarından Dan Boneh’in vereceği Ocak 2012′de başlayacak ve herkesin ücretsiz takip edebileceği çevrimiçi Kriptografi dersi.  Konuyla ilgiliyseniz (ki bu bloğu takip etmenizden ilgili olduğunuz anlaşılıyor) bu derse en azından bir göz atmanızı şiddetle tavsiye ederim. Bu dersin yanında onlarca diğer çevrimiçi dersten hangisini seçmek isterseniz artık.

İkinci örnek USENIX Security Symposium. Güvenlik alanındaki en önemli 4 konferanstan biri kabul edilen (diğerleri ACM CCS, IEEE S&P ve NDSS) bu aktivitenin tüm makalelerine (isterseniz E-book formatında) ulaşabildiğiniz gibi isterseniz sunumların videolarına, isterseniz MP3 ses dosyalarına yine ücretsiz, kayıtsız ulaşmanız mümkün. “Network Security in the Medium Term: 2061–2561 AD” gibi enteresan başlıklı konuşmalardan seçim yapmak çok kolay değil.

Burada bir öğrenci arkadaş ben bilgi güvenliğinden çok bilgi paylaşımı konusunda çalışmak istiyorum, bilgiyi kısıtlamak yerine bilgiyi erişebilir ve kullanılabilir hale getirmek çok daha önemli bir konu demişti. Gerçekten de bahsettiği konu çok önemli ama bu konunun bilgi güvenliği alanına giren cihetleri de yok değil. Bilgi güvenliğini gizlilik, bütünlük ve erişilebilirlik boyutlarıyla beraber düşünmek gerekli. Erişilebilirlik hakkında yukarıda bahsettiğim Usenix sempozyumunda sunulan ve bir süre önce zevkle okuduğum bir makaleden kısaca bahsederek bu yazımı sonlandırmak istiyorum.

Kablosuz ağların servis engelleyici saldırılarılara son derece açık olduğu bilinen bir gerçek. Wi-Fi’da veya başka ağlarda bu saldırılarla ilgili yoğun bir şekilde çalışılıyor. Why (Special Agent) Johnny (Still) Can’t Encrypt: A Security Analysis of the APCO Project 25 Two-Way Radio System makalesinde ise bu konu daha farklı bir uygulama için araştırılmış. Günümüzde kullanılan en yaygın iki telsiz haberleşme standardından biri olan APCO P25 bağlamında. 15 dolarlık bir oyuncak kullanılarak nasıl telsiz konuşmalarının engellenebildiğini makaleden öğrenebiliyorsunuz.

Bu makalede ayrıca kullanışlılık konusuna da girilmiş. Telsiz ara-yüzündeki bazı zayıflıklardan dolayı pek çok gizli telsiz haberleşmesinin dinlenebildiğini de yine bu makaleden şaşırarak öğreniyorsunuz.  Şu alıntıyı aynen yapmama müsaade edin:

“While we will not identify here the agencies, locations, or particular operations involved, we note that the traffic we monitored routinely disclosed some of the most sensitive law enforcement information that the government holds, including: Names and locations of criminal investigative targets, including those involved in organized crime. Names and other identifying features of confidential informants. Descriptions and other characterizing features of undercover agents. Locations and description of surveillance operatives and their vehicles. Details about surveillance infrastructure being employed against particular targets (hidden cameras, aircraft, etc.). Information relayed by Title III wiretap plants. Plans for forthcoming arrests, raids and other confidential operations.”

Ee, boşuna bu makale ödüle layık görülmemiş. Matt Blaze ve arkadaşlarını biz de tebrik ediyoruz.

Özet: Şifre (parola) kullanımı kaynaklı sıkıntıları azaltan araçlardan biri de tarayıcıların şifre otomatik tamamlama özelliğidir. Kullanıcı adını ve şifresini kullanıcının izni ile kaydetmek ve daha sonrasında otomatik tamamlama için kullanmak tüm tarayıcılarda var olan bir özelliktir ama iznin sorulduğu kullanıcı ile olan iletişim farklı şekillerde gerçekleştirilmiştir. Bu çalışmada bloke eden diyalog kutuları kullanan aktif iletişim ile araya girmeyen edilgen (pasif) iletişimi karşılaştıran kullanıcı çalışmalarını rapor ediyoruz. Çalışmalarımızda diyalog kutularının kullanıcıları herkese açık umumi bilgisayarlarda şifrelerini yanlışlıkla kaydetmeye yönlendirdiğini fakat edilgen iletişimde benzer bir güvenlik probleminin oluşmadığını tespit ettik. Araştırmamız şifre otomatik tamamlama ve benzer etkileşimler için aktif iletişimin riskleri için deneysel kanıtlar sağlamakta ve şifre otomatik tamamlama özelliğinin diğer pek çok yönüne ışık tutmaktadır.

Bu yoruma karşın akademik bir yayını pratikte o an uygulanma/uygulanmama  ile ilintilendirmek ne derece doğrudur? Araştırma lablarında ortaya konulmuş en parlak fikirlerin bile günlük hayata yansımaları ortalama 15-20 sene sürmez mi? vb. argümanlar getirilebilir ama bu konu bu yazının konusu değil. Bu yazıda daha somut bazı bilgileri kısaca paylaşmak istiyorum.

Önce Android Pattern Lock ile tanıştık günlük hayatta grafik şifrelerle. Şimdi de Windows’un en yeni sürümü olacak Windows 8′de grafik şifrelerin kullanılacağı söyleniyor.

Fakat bu iki örnekte de İnternette kullanmaya uygun yöntemler değil mevzu bahis olan. Çünkü parola uzayı (password space) bu iki yöntemde de oldukça düşük. Acaba grafik şifreleri İnternette de kullanmaya ne zaman başlayacağız? İnternet kullanımını amaçlayan bir öneri için şu çalışmamıza bakmak isteyebilirsiniz.

 Tuomas’ın bir arkadaşının oğlu bir doktora programına yeni kayıt yaptırmış ve tez konusu olarak güvenliği düşünüyormuş. Tuomas, “Hayır, yapma” demiş. “Dünyada daha ilginç pek çok başka şey var.”

 Güvenlik konusunda çalışmaktan (güvenlikçi olmaktan) memnun olmasına ve güvenliğin de çok sıcak bir konu olmasına rağmen niye böyle bir tavsiyede bulunduğunun uzunca izahı söz konusu yazıda. Özetlemek gerekirse:

1. Mühendisler ve çalışma arkadaşları güvenlikçileri hiç sevmezler. Güvenlikçiler avukatlara benzerler ve genelde söyledikleri ilk şey “bunu yapmaktan kaçınamaz mısın?” olur. O yüzden kimse zorda kalmadıkça avukatlarla ve güvenlikçilerle konuşmak istemez.
2. Güvenlikçiler çözüm değil problem üretirler. Bilhassa “yayın sayaç”ının çalıştığı durumlarda başkalarının güvenlik açığını bulmak çözüm üretmekten çok daha verimli ve akılcı bir yol olur.
3. İşe yarar güvenlik ürünü çok azdır. “Güvenlik sonradan eklenmemeli, baştan düşünmeli” prensibini bilirsiniz. Tuomas diyor ki bu prensip aynı zamanda “güvenlik ürünlerinin çoğu işe yaramaz” anlamına gelir. Çünkü bu güvenlik ürünü ister bir izinsiz giriş algılayıcı sistem (intrusion detection system), ister bir biyometrik tanıma sistemi, ister başka bir şey olsun hep var olan bir sisteme sonradan eklenmesi için tasarlanan sistemlerdir.
4. Geleneksel güvenlik konuları ile pratik güvenlik problemleri arasında uçurum vardır: Evet bu en sonuncu konu benim de üzerinde durmak istediğım kısım, diğerleri ile ilgili düşüncelerimi bir başka yazıya havale edip, bu son konu üzerinde durmak istiyorum.

 Son zamanların sıcak güvenlik konuları veya endüstrinin gerçekten sıkıntısını çektiği konular neler derseniz 3 örnek verelim: 1) Zararlı yazılımlar 2) Çöp postalar ve olta (phishing) saldırıları 3) Donanım güvenliği.

 Bu üç problem de yeni problemler ve şu ana kadarki mevcut standart güvenlik literatürü konuları (ispatlanabilir güvenlik, kripto savaşları, vs.) ile çok az örtüşmekte. Üç yeni konu da daha farklı alanlarda uzmanlık gerektiriyor. Birincisi için yazılım mühendisliği, ikincisi için makine öğrenme ve veri madenciliği veya yasal konularda uzmanlık, üçüncüsü için ise donanım mühendisliği konularında uzmanlık.

 O zaman Tuomas diyor ki bu konularda gerçekten başarılı olmak ve çözüm için katkı sağlamak için bu farklı konulardan birinde uzman olmaya çalışmak ile işe başlanması çok daha doğru bir yol olur. Çünkü bir güvenlikçinin bu konuların hepsinde uzman olması nerdeyse imkansız. Bir diğer ifadeyle güvenlik alanında başarılı olmak için başka bir alandan başlamak tavsiye ediliyor.

 Bu tavsiyeye katılıyor musunuz derseniz biraz yumuşatarak “evet” diyorum. Yani, güvenlik konusunda çalışmak isteyen genç arkadaşlara güvenlik konusunun yanına en az bir başka alanı belirlemesini ve bu konuda kendisini geliştirmesini hararetle tavsiye ediyorum. Bu alan ne olabilir diye de sorarsanız, yukarıda bahsedilenlere ek olarak benim de şu an bilgi dağarcığımı geliştirmeye çalıştığım kullanışlılık, insan-bilgisayar etkileşimi konularını ve çok daha farklı bir konu olan yöneylem araştırmaları, optimizasyon alanlarını düşünmelerini öneririm. Daha ayrıntılı sormak veya tartışmak istediğiniz bir şey olursa bana yazabilirsiniz.  

Kemal Bıçakcı, “Kullanışlı Güvenlik için Temel Prensipler”, 4. Uluslararası Bilgi Güvenliği ve Kriptoloji Konferansı, 6-8 Mayıs 2010, Ankara, Turkey.

Not: Biz de boş yere bu parola problemine kafayı takmışız. Halbuki ne kadar da kolay bir çözümü varmış bu işin.

Bu gerçeklerden 5 tanesini sizler için tercüme ettik:

1. Bruce Schneier için SHA-1 sadece bir veri sıkıştırma algoritmasıdır.

2. Bruce Schneier’in doğum günü hiç kimse ile çakışmaz.

3. Bruce Schneier’in elinde ROT-13 güvenli bir algoritmadır.

4. Eğer Bruce Schneier iseniz NP “no problem – problem yok” anlamına gelir.

5. Yemek yiyen kriptocular (dining cryptographers) her zaman önce Bruce Schneier’a servis yapılmasını beklerler.

 Yukarıdaki 5 gerçeğin şöyle bir işlevi olabileceğini düşündük. Yukarıdaki 5 cümleyi teker teker tekrar okuyunuz. Her cümlenin ardından yüzünüzde hafiften bir gülümseme oluştuysa test puanınıza 1 ekleyiniz. Eğer “bunlar ne saçma şeyler” der gibi fare imlecinizi sağ üst köşeye doğru yönlendirme eğilimine girmiş iseniz  test skorunuzu değiştirmeyiniz ve cümleleri okumaya devam etmeye çalışınız. Aşağıdaki tablo yardımı ile kriptografi bilgi ve görgünüzü ölçebilirsiniz:

0  puan: Muhtemelen kripto ile daha önce hiç ilgilenmediniz. Bu blog’a da zaten yanlışlıkla erişmiştiniz.

1 puan: Uzun yıllar önce bu konularla ilgili bir seminere vs. katılmışlığınız var ama o kadar işte.

2 puan: Çaylaksınız.

3 puan: Kripto konuları ilgi alanınıza giriyor.

4 puan ve üzeri: Kim tutar sizi.

SANS enstitüsü  Temmuz 2008′de yapmış olduğu araştırma sonucunda yamasız ve korunmasız bir Windows XP makinesinin ortalama 4 dakika içerisinde zararlı programlara hedef olacağını duyurmuş. Bu verinin epey sansasyona sebep olduğunu ben de hatırlar gibiyim.  

John bu korkunç haberin bir söylentiden ibaret olduğunu belirtiyor. Özetle,  

1. Bugün çoğu bilgisayarın NAT ile Internet’e bağlandığını, bu durumun da çok da fena olmayan bir korumayı zaten sağladığını,  

2. 2004 yılında çıkarılan SP2 ile Windows XP’de kişisel ateş duvarının geldiğini ve bu duvarın da çoğu atağı engellediğini,  

3. Çoğu makinenin (şirket bilgisayarları vs.) ağ ateş duvarları ile de korunduğunu (kullanıcıların haberi olmasa bile),  

söylüyor ve ekliyor bugün dışarıdan birinin bilgisayarınıza zarar vermesi sizin yanlış bir şey yapmamanız (zararlı bir program yüklemek veya kişisel ateş duvarını etkisizleştirmek gibi) halinde çok zor.  

SANS enstitüsü 4 dakika sonucuna nasıl bir metot takip ederek ulaştığını açıklamamış. Kasım 2008′de süreyi 100 dakikaya çıkarmışlar. Sonrasında da bu çalışmayı devam ettirmemişler.  

Özetlemek gerekirse (her zaman dediğimiz gibi):  

Bilgi güvenliğinin özünü kavramışsan

Biliyorsundur ki en zayıf halka insan.  :)

Epeydir Türkiye’de e-bankacılık alanında zorunlu hale getirilen tek kullanımlık şifrelerle ilgili yazmak istiyordum. Bu arada Çetin Kaya Koç hocamın bu konuda yazdıklarını okudum. Genel itibariyle yazdıklarına katılıyorum. Mobil ortamdaki güvenlik problemleri, bilhassa yurtdışına gidince karşılaşılabilecek kullanışlılık sıkıntıları hepsi de geçerli bazı yorumlar, gerekçeler.

Ben bu yazıda problemin diğer bazı yönlerine değineceğim ve şu anki uygulamadan daha güvenli ve kullanışlı olacağını düşündüğüm bir çözüm önereceğim. Benimle beraber bitirme projesini ilgili bir konuda yapan bir öğrencimden bir süre önce şu iki haber linkini içerir bir e-posta mesajı aldım. Cevabında ise kısaca “beklenen gelişme” diye yazdım. Şimdi bana göre niye bu haber beklenen bir gelişme, onu açıklayayım.

Bruce Schneier Nisan 2005’de yazdığı makalesinde “İki-Unsurlu Kimlik Tanıma (Two-Factor Authentication) Çok Az, Çok Geç” diyordu. Demek istediği şey tam da yukarıdaki haberde anlatıldığı gibi olta saldırısı, zararlı programlar, vb. yollarla yapılan saldırıların gerçek zamanlı gerçekleştirildiği durumda Tek-kullanımlık SMS mesajı yöntemindeki gibi ikinci unsurun çok da fazla işe yaramayacağı idi.

Şöyle bir itiraz gelebilir, “tamam belki bu zorunlu kullanım problemin tamamını çözmüyor ama hiç yoktan iyidir, e-bankacılık yüzünden her yıl binlerce mağdur oluşuyor. Bir şeyler yapmak lazım”. Bu itiraza karşın aşağıya benim e-bankacılıkta nasıl bir çözüm önerdiğimin çerçevesini kısaca çizmeye çalışacağım.

1. Kullanıcının e-bankacılık uygulamasına ilk girişinde tek-kullanımlı şifre sorulmaz. Netice de kullanıcı belki sadece hesabına beklediği para yatmış mı ona bakacak. Elbette başka bir kişi kullanıcının hesabında ne kadar para var sorusunun cevabını merak ediyor olabilir. Ama burada gerekli olan güvenlik birazdan anlatacağım mesela bir para transferi sözkonusu olduğundaki güvenlikten çok daha aşağı seviyelerde.
2. Kullanıcı ne zamanki İnternet’ten para transferinde bulunmak istiyor veya buna benzer başka kritik bir işlem yapacak, o zaman bu işlemi doğrulaması için kendisine sistem bir SMS mesajı gönderir. Bu SMS mesajında sadece tek kullanımlık şifre olmaz. Aynı zamanda işlem bilgileri de yer alır (Falanca hesap no’lu falanca kişiye şu kadar para transferi yapmak istiyor musunuz? gibi).

Şimdi bu senin dediğin ikinci basamak zaten bazı bankalarda var diyebilirsiniz. Ben de cevap olarak derim ki bu çok güvenilir olduğu düşünülebilen “kişi onaylama” (entity authentication) yerine “işlem onaylama”  (transaction authentication) olarak adlandırılan yöntem bile %100 güvenlikle çalışmıyor. Yani ya okumadığından veya başka sebeplerle bir e-bankacılık kullanıcısının hiç tanımadığı bir kişiye para transferini onaylaması mümkün. Benim burada vurgulamak istediğim şey ise şu: bu SMS şifre olayını abartırsak ve kullanıcının ne yaptığına bakmadan her işlemde - sisteme giriş dahil – bir SMS mesajı gönderirsek, bu durum kullanıcının SMS mesajlarını dikkatli okumaması ve ilgili ilgisiz her SMS mesajında gelen tek kullanımlık şifreyi kullanmaktan şüphelenmemesi sonucunu doğurabilir. Doğurabilir diyorum çünkü bu konuda yapılmış bir kullanıcı çalışması var mı bilmiyorum.

Netice de bankanın yapacağı çok önemli bir üçüncü iş daha var. O da yapılan tüm işlemleri arka planda bir süzgeçten geçirmek ve şüpheli gördüklerine karşın ilave önlemler almak. Zaten bu belli ölçüde başka işlemler için yapılıyor. Mesela farklı bir ATM’den yüklü bir miktar para çektiğinizde size yine bir SMS geliyor. Benzer şekilde hesabınızdan mesela Rusya’daki bir hesaba transfer yapıldığında bir görevli kullanıcıya telefon açabilir (sabit telefonuna), başka doğrulamalarda bulunabilir. Hatta şubeye bile çağırabilir, vs.

Sonuç olarak, güvenlikte ve bilhassa konumuz olan kapsamda bir teknolojiyi zorunlu hale getirmek çok akıllı bir fikir değil diye düşünüyorum. Çünkü problemi tam olarak çözen bir teknoloji henüz yok. Genelde kullanışlılık-güvenlik ikilemleri sözkonusu.  Bana kullanışlılık önemli değil derseniz size pek çok mükemmel çalışan güvenlik çözümleri önerebilirim. Kanaatimce teknolojiden önce sorumlulukları, görevleri vs. daha ayrıntılı ortaya koymaktan başlanmalı. Belki ben bilmiyorumdur ama e-bankacılık dolandırıcılığı olduğunda sorumluluğun ne kadarı bankaya ne kadarı kişiye ait. Bu belli mi? Mesela kredi kartı işlemlerinde herkesin bildiği bir limit sözkonusu. Bu limitin üstü kredi kartı şirketinin taahhüdü altında. Benzer bir şey e-bankacılık için niye olmasın? (evet bu bahsettiğim konu başka ülkelerde de tartışılıyor).

Size müjde! Resim-şifre tabanlı GPEX parola yönetici firefox eklenti programı ile bu problemler ve nice diğerleri sizin artık canınızı sıkamayacak.

Tek yapmanız gereken http://myuceel.etu.edu.tr/gpexv2.1.xpi sitesinden GPEX’in en son sürümünü indirmeniz ve firefox tarayıcınıza eklenti olarak kurmanız. Sonrasında tek bir temel şifre (master password) kullanarak her web sayfası için farklı ve güvenilir parolalar üretmeniz mümkün hale gelecek. Dürüst olmak gerekirse sistemin kullanımında en büyük zorluk daha önceki şifrelerinizi GPEX şifreleri ile değiştirmedeki zorluk. Eğer bu aşamayı geçerseniz GPEX’in kullanımı basit 3 aşamadan ibaret:

1. Öncelikle ziyaret ettiğiniz web sitesinin password alanına çift tıklıyorsunuz.
2. Açılan penceredeki görsel alanda sunulan toplam 150 ikondan belli sayıda seçerek (bu ikonların üzerine tıklayarak) GPEX şifresini oluştuyorsunuz
3. Enter password düğmesine basılması ile birlikte password alanı üretilen şifre ile doldurulacak ve form otomatik olarak gönderilecek.

Biz birbirinden bağımsız 6 ikon seçmenizi öneriyoruz. Eğer ilk başta bu şifreyi unutabileceğinizi düşünüyorsanız küçük bir kağıda bu şifrenizi yazın ve cüzdanınızda veya benzer güvenli bir yerde bu kağıdı saklayın. Yaptığımız kullanıcı çalışması sonrasında şifrenizi kısa zamanda ezberleyeceğinizi (çünkü hatırlamanız gereken sadece bir GPEX şifresi olacak) ve kısa sürede bu kağıt parçasını imha edip en yakın geri dönüşüm kutusuna atacağınızı öngörüyoruz. 

Oluşturulacak olan site parolasını görmek isterseniz açılan pencerede “show password before enter” kutusunu işaretleyebilirsiniz.

SON SÖZ: güvenli ve kullanışlı web gezintileri artık size bir çift tıklama kadar yakın.