ISCTURKEY 2012 konferansı yarın ve cuma günü (17-18 Mayıs 2012) ODTÜ’de yapılacak. Katılım ücretsiz.
Yüksek Lisans öğrencilerimden Murat Akpulat aşağıda özetini verdiğim çalışmayı yarın (17 Mayıs 2012) saat 16:30’da başlayacak 3. oturumda sunacak. Katılmak isteyenlere duyurulur.
Başlık: Metin ve Grafiksel Öğeleri Birleştiren Yeni bir Parola Tabanlı Kimlik Doğrulama Yöntemi
Özet: Günümüzde en yaygın kullanılan kimlik doğrulama yöntemi şifre (parola) tabanlı olanlardır. Son yıllarda pek çok grafiksel parola yöntemleri geliştirilmiş fakat bu yöntemler pratikte henüz klasik metin parolaların yerini alamamıştır. Bu çalışmada hem metin hem grafiksel öğeler içeren melez bir parola tabanlı kimlik doğrulama yöntemi önermekteyiz. Yaptığımız deneysel çalışma Yaz&Tıkla ismini verdiğimiz yeni yöntemin hem uzun dönem hatırlanabilirlik hem de kullanıcı memnuniyeti açısından sadece metin ve sadece grafik tabanlı parola yöntemlerine oranla daha başarılı olduğunu göstermektedir.
Cüzdanınızda kaç tane banka kartı var? Ya kredi kartı sayısı? Peki cüzdanınızı hırsıza kaptırırsanız hırsızın pin kodunu doğru tahmin edip ATM’den para çekmesi veya kredi kartınızı bir yerde kullanması ihtimali nedir? Hiç düşündünüz mü? (cüzdanınızdaki bir küçük kağıtta pin’inizin yazmadığı varsayımı ile ki aksi halde bu ihtimal % 100 olur haliyle)
Öncelikle cüzdanızda nufüs cüzdanı veya başka bir kimliğin olduğunu ve bu sayede doğum tarihinizin kolayca öğrenilebileceğini kabul edelim. İkinci varsayımımız banka ve kredi kartlarını kullanırken 3 kez yanlış pin girilmesi durumunda kartınızın bloklandığı. Bu şartlar altında eğer 4 tane kartınız varsa (hem kredi kartı hem banka kartı olarak kullanılan kartlar ile ayrı ayrı 3 kez pin tahmini yapılabildiği için bu kartları iki sayalım), hırsızın doğru pin tahmini yapma olasılığı % 10,9’dur (teorideki olasılıktan çok daha yüksek bir oran). Bir diğer ifadeyle bir hırsızın 9 cüzdan çalması doğru Pin tahmini yapması için yeterlidir.
Peki ne yapmalısınız? Cevap doğum tarihinize bağlı. Örneğin doğum tarihinizin 3 Haziran 1983 olduğunu varsayalım. Bu durumda ilk etapta kaçınmanız gereken pin’ler şöyledir: 1983, 6383, 0306, 0603, 1234 ve 0683 (Bu pin’ler aynı zamanda saldırgan için optimal olan pin denemeleridir).
Peki bankalar ne yapmalı? Diyelim ki genel (her kullanıcı için ayrı ayrı olmayan) bir pin kara listesi oluşturulacağını varsayalım. 100 elemanlı kara liste şu PİN’lerden oluşturulmalı:
Peki bu liste hırsızlığa karşı ne kadar etkin? Doğum tarihinin hırsız tarafından bilinemediği durumda bir hayli etkin. Fakat hırsız doğum tarihinizi biliyorsa bu kara listenin etkisi çok az maalesef. Kullanıcıya özgü kara listeler kullanılamıyorsa iş biraz kullanıcıya kalıyor dolayısıyla.
Güvenlik alanında Alice ve Bob kadar olmasa da meşhur başka bir isim de Johnny. Johnny daha öncesinde PGP şifreleme gibi boyunu aşar işlere girmiş ve çok da başarılı olamamıştı. Biz de Johnny acaba web tarayıcılarının hepsinde var olan ve yaygın olarak kullanılan şifre otomatik tamamlama özelliği ile arası nasıl konusunu inceledik. Aşağıda çalışmamızın Türkçe bir özetini sunuyoruz:
Özet: Şifre (parola) kullanımı kaynaklı sıkıntıları azaltan araçlardan biri de tarayıcıların şifre otomatik tamamlama özelliğidir. Kullanıcı adını ve şifresini kullanıcının izni ile kaydetmek ve daha sonrasında otomatik tamamlama için kullanmak tüm tarayıcılarda var olan bir özelliktir ama iznin sorulduğu kullanıcı ile olan iletişim farklı şekillerde gerçekleştirilmiştir. Bu çalışmada bloke eden diyalog kutuları kullanan aktif iletişim ile araya girmeyen edilgen (pasif) iletişimi karşılaştıran kullanıcı çalışmalarını rapor ediyoruz. Çalışmalarımızda diyalog kutularının kullanıcıları herkese açık umumi bilgisayarlarda şifrelerini yanlışlıkla kaydetmeye yönlendirdiğini fakat edilgen iletişimde benzer bir güvenlik probleminin oluşmadığını tespit ettik. Araştırmamız şifre otomatik tamamlama ve benzer etkileşimler için aktif iletişimin riskleri için deneysel kanıtlar sağlamakta ve şifre otomatik tamamlama özelliğinin diğer pek çok yönüne ışık tutmaktadır.
Tuomas Aura tarafından yazılmış ve 2006 yılında IEEE S&P magazininde çıkmış bir yazı güvenlik konusu ile ilgili bazı düşüncelerime tercüman oldu. Yazının kısa bir özetini yapmak ve konu paralelinde kendi düşüncelerimi yine kısaca yazmak istiyorum.
Tuomas’ın bir arkadaşının oğlu bir doktora programına yeni kayıt yaptırmış ve tez konusu olarak güvenliği düşünüyormuş. Tuomas, “Hayır, yapma” demiş. “Dünyada daha ilginç pek çok başka şey var.”
Güvenlik konusunda çalışmaktan (güvenlikçi olmaktan) memnun olmasına ve güvenliğin de çok sıcak bir konu olmasına rağmen niye böyle bir tavsiyede bulunduğunun uzunca izahı söz konusu yazıda. Özetlemek gerekirse:
Mühendisler ve çalışma arkadaşları güvenlikçileri hiç sevmezler. Güvenlikçiler avukatlara benzerler ve genelde söyledikleri ilk şey “bunu yapmaktan kaçınamaz mısın?” olur. O yüzden kimse zorda kalmadıkça avukatlarla ve güvenlikçilerle konuşmak istemez.
Güvenlikçiler çözüm değil problem üretirler. Bilhassa “yayın sayaç”ının çalıştığı durumlarda başkalarının güvenlik açığını bulmak çözüm üretmekten çok daha verimli ve akılcı bir yol olur.
İşe yarar güvenlik ürünü çok azdır. “Güvenlik sonradan eklenmemeli, baştan düşünmeli” prensibini bilirsiniz. Tuomas diyor ki bu prensip aynı zamanda “güvenlik ürünlerinin çoğu işe yaramaz” anlamına gelir. Çünkü bu güvenlik ürünü ister bir izinsiz giriş algılayıcı sistem (intrusion detection system), ister bir biyometrik tanıma sistemi, ister başka bir şey olsun hep var olan bir sisteme sonradan eklenmesi için tasarlanan sistemlerdir.
Geleneksel güvenlik konuları ile pratik güvenlik problemleri arasında uçurum vardır: Evet bu en sonuncu konu benim de üzerinde durmak istediğım kısım, diğerleri ile ilgili düşüncelerimi bir başka yazıya havale edip, bu son konu üzerinde durmak istiyorum.
Son zamanların sıcak güvenlik konuları veya endüstrinin gerçekten sıkıntısını çektiği konular neler derseniz 3 örnek verelim: 1) Zararlı yazılımlar 2) Çöp postalar ve olta (phishing) saldırıları 3) Donanım güvenliği.
Bu üç problem de yeni problemler ve şu ana kadarki mevcut standart güvenlik literatürü konuları (ispatlanabilir güvenlik, kripto savaşları, vs.) ile çok az örtüşmekte. Üç yeni konu da daha farklı alanlarda uzmanlık gerektiriyor. Birincisi için yazılım mühendisliği, ikincisi için makine öğrenme ve veri madenciliği veya yasal konularda uzmanlık, üçüncüsü için ise donanım mühendisliği konularında uzmanlık.
O zaman Tuomas diyor ki bu konularda gerçekten başarılı olmak ve çözüm için katkı sağlamak için bu farklı konulardan birinde uzman olmaya çalışmak ile işe başlanması çok daha doğru bir yol olur. Çünkü bir güvenlikçinin bu konuların hepsinde uzman olması nerdeyse imkansız. Bir diğer ifadeyle güvenlik alanında başarılı olmak için başka bir alandan başlamak tavsiye ediliyor.
Bu tavsiyeye katılıyor musunuz derseniz biraz yumuşatarak “evet” diyorum. Yani, güvenlik konusunda çalışmak isteyen genç arkadaşlara güvenlik konusunun yanına en az bir başka alanı belirlemesini ve bu konuda kendisini geliştirmesini hararetle tavsiye ediyorum. Bu alan ne olabilir diye de sorarsanız, yukarıda bahsedilenlere ek olarak benim de şu an bilgi dağarcığımı geliştirmeye çalıştığım kullanışlılık, insan-bilgisayar etkileşimi konularını ve çok daha farklı bir konu olan yöneylem araştırmaları, optimizasyon alanlarını düşünmelerini öneririm. Daha ayrıntılı sormak veya tartışmak istediğiniz bir şey olursa bana yazabilirsiniz.
Her hafta TOBB ETÜ’de yapmaya çalıştığımız okuma grubunda bu haftayı SSL uyarılarının etkinliğini inceleyen bir makaleye ayırdık. Bruce Schneier bu çalışmayı “bildiğimizi kanıtlayan araştırma” olarak özetlemiş. Evet gerçekten de SSL uyarılarının genelde dikkate alınmadığını, insanların bu uyarıları rahatsızlık olarak gördüklerini vs. uzun uzun anlatmaya gerek yok. Peki makalede kayda değer neler var?
Öncelikle satır aralarında Firefox 3 geliştiricilerinin ilk başta kullanıcıların SSL uyarılarını atlayabilmesi için 11 adımdan geçer bir sistem kurduklarını fakat biraz da IE’a geçiş olur korkusuyla bunu nasıl 4 aşamaya indirdikleri gibi ilginç bilgiler bulunuyor.
Ama daha önemlisi yazarların daha etkin SSL uyarıları geliştirme yönünde başarısız olduklarını deneylerle kanıtladıkları bilgisini okuyorsunuz. Varılan sonuç SSL uyarıları yerine güvensiz bağlantılara hiç bir şekilde izin vermeyen bir sistem kurulmasının gerekliliği. Herhalde böyle bir şey en çok Verisign gibi CA’leri sevindirir. Yoksa üniversite web e-posta sunucusu vs.’ye böyle bir sertifika yüklemesi gereken büyük bir çoğunluk bu öneriye burun kıvıracakladır. Haklılar ama kararı onlar vermiyor maalesef. Nedense bu sonuç cümlesini okuyunca web tarayıcısı olarak sadece IE olmamasının ne kadar da iyi bir şey olduğunu hissettim. İyi ki varsın Firefox ve diğerleri.
Kendi önerilerinin başarısız olduğunu gösteren çalışmaların iyi güvenlik konferanslarında yayınlanması bir ilk değil. Bu durumun makale sahiplerinin kim olduklarıyla ilişkili olduğunu söylemek biraz kolaya kaçmak olabilir. Makaleyi okurken geçenlerde katıldığım SOUPS 2009 tutorial’inde Roy Maxion‘un üzerinde ısrarla durduğu bir konuyu hatırladım. Roy bazı güvenlik uzmanlarının kullanışlılık deneyleriyle ilgili verilen bilgiyi sıkıcı bulabildiklerini hayretle aktarmıştı. Kullanışlı Güvenlik konusunda ilerlemenin ancak tekrar edilebilir deneyler yoluyla mümkün olduğunu ve yapılan deneylerin ayrıntılarının bilinmemesinin bu alanda mesnetsiz iddialar dışında elle tutulur bir şey olmaması sonucunu doğuracağına ben de inanıyorum.
Titiz bir deney sonrasında gerekli ayrıntıda bir anlatım ve analiz bu makalede de kendini hissettiriyor. Yine de makale özünde iddia edilen kendi SSL uyarılarının mevcut uyarılardan daha iyi olduğu savının biraz havada kaldığını düşündüğümü de ekleyeyim.
Son olarak yapılan deneylerde 10-20 dolar gibi paralar dağıtılması ile katılımcıların %69’unun Hindistan doğumlu olması arasında nasıl bir ilişki olduğunun makalenin ilginç sonraki çalışmalarından biri olabileceğini bir şekilde Lorrie’ye iletmeyi siz değerli okuyuculara bırakıyorum demek isterim.
Uzun zamandır geçen ay katıldığım SOUPS 2009 konferansı ile ilgili bir şeyler yazmak istiyordum. Kısmet bugüne imiş.
Güvenlik teknolojisinin hızla ilerlemesine rağmen güvenlik problemleri azalmıyor aksine artıyor. Bunun önemli bir sebebi varolan güvenlik teknolojilerinin kullanışlılığının düşük olması. Başka bir ifadeyle teknoloji geliştirilirken insan unsurunun ihmal edilmesi. Bu konuda çok şeyler yazılabilir hatta daha önce birkaç yazımızda bu konuya değindik. Fakat bugün ben yukarıdaki tespit ile başlamış ve bu sene beşinci düzenlenen konferans ile ilgili yazacağım.
Konferans Google sponsorluğunda ve evsahipliğinde yapıldı. O yüzden hem konferans ücreti düşüktü hem de bize iyi baktılar orda 🙂 Google kafeteryalarında her saat açık büfe yiyecek içecek bulunuyor. Seneye Microsoft evsahipliğinde Redmond, WA’da olacak SOUPS 2010. Makale (veya poster) göndermeyi şiddetle öneririm konuyla ilgili olanlara.
Konferansın açılış konuşmasını Google’da yönetici olarak çalışan Eric Sachs yaptı. Endüstrinin bu konuya olan yoğun ilgisinin bir başka kanıtı idi sanki konuşması. OpenID (tüm İnternette tek bir sayısal kimlik kullanımı)projesinin büyük şirketlerce sürüklenmeye çalışıldığını ve böyle bir sistemin kullanışlı olması için yapılan çalışmalar vs. konularının gündemde olduğunu öğrendik sayesinde.
Poster oturumunda daha önce IFIPTM konferansında sunduğumuz çalışmayı anlattık. Çok güzel yorumlar aldık. Paul Van Oorschot bilhassa ilgilendi çalışmamızla.
Programdaki konuşmaların hepsinden bahsedemeyeceğim. Fakat iki sunumdan kısaca bahsetmek istiyorum.
Carnegie Mellon üniversitesinden SOUPS konferanslarının da genel başkanı Lorrie Cranor‘un grubunun bir çalışması phishing (olta saldırıları) üzerine idi. Tabii bu konu eski, ne yapmışlar diye burun kıvırdığınızı tahmin ediyorum. Ama bu saldırılar hala yapılıyor (bana gelen maillerden öyle tahmin ediyorum). Makaledeki ana fikir yani insanların tam ihtiyaç duyduğu anda (gelen olta saldırısı e-postasındaki linke tıkladığı anda) eğitilmesi fikri bana oldukça orjinal geldi. Ayrıntılar makalede.
Bir diğer çalışmada Video CAPTCHA fikri sunuldu. Kullanışlı güvenlik konferansında böyle kullanışsız çözümlerin kabul edilmiş olması beni bu konuda daha çok şeyler yapılması gerektiği konusunda heyecanlandırdı açıkçası.
Bu konuda şu an mümkün mertebe fazla okuma yapmaya çalışıyorum. Ülkemiz içinde oldukça yeni bir konu. Bu konuda bir ders vermek çok faydalı olabilir. Bu fikri hayata geçirmek üzere öncelikle şu dökümanı inceledim. Okunması gereken daha onlarca makale var pek tabii ki.
(Bir de usable security’ye karşılık olarak kullanışlı güvenlik mi kullanılabilir güvenlik mi demeliyiz karar veremiyorum. Sözlükten tekrar baktım iki anlama da geliyor)
Bir çok araştırmacı gibi Larry Peterson da yazmış olduğu bilgisayar ağları kitabında güvenlik konusunda ucu açık problemlerden en önemlilerinden birinin servis engelleyici saldırılar (ing: denial of service attacks) olduğunu belirtmekte. Telsiz yerel alan ağlar kapsamında bu konudaki çalışmaları İngilizce olarak yayınlanmış makalemizde özetlemeye ve bir güvenlik modeli içerisinde tüm yönleriyle ele almaya çalıştık. İlgili olanlara duyurulur.
Andrew Odlyzko son yazılarından birinde İnternet’in enerji krizindeki rolünü tartışıyor. Yazısının başında en az 1839’dan bu yana haberleşme ve ulaşımın birbirinin yerine geçebileceğini söyleyenlerin olduğunu fakat her seferinde bu görüşlerin yanlış olduğunun daha sonrasında anlaşıldığını aktarıyor ve bu yanılgının “Beraber büyüme” diye nitelendirdiği olgunun anlaşılmamış olması ile açıklıyor. Odlyzko daha sonra tarihte ulaşım sektörünün gelişmesinin kullanılan enerjinin devamlı olarak ucuzlaması ile mümkün hale geldiğini fakat günümüz şartlarının ise daha farklı olduğunu söylüyor. Sonuç olarak, önümüzdeki dönemde İnternet’in ulaşımın yerine geçebileceğini ama bunun trafik sıkışıklığından rahatsız olmamız veya telekonferans yapmayı çok sevmemizden dolayı değil de ulaşım maliyetlerinin çok yükselmesinden dolayı olacağını tahmin ediyor.
Yorum : Makale genel olarak Türkiye’de e-seçim için gerekli olan ihtiyaçlar ve prensipleri ele almaya çalışmıştır. Türkiye’de temsili demokrasi (halkın kendini yönetecek kişileri seçtiği demokrasi) olduğu için makale aslında sadece Türkiye değil, temsili demokrasi uygulayan bütün ülkeleri kapsamaktadır denilebilir.
Bilişim teknolojilerinin gelişmesiyle demokrasinin de bilişim sistemleri üzerine taşınma fikirleri tartışılmaktadır. E-seçim ise e-demokrasinin vazgeçilmez bir parçası olarak karşımıza çıkmaktadır. Kimi kaynaklara göre e-seçim ve e-demokrasi kavramları birbirleri yerine kullanılabilmektedir. Literatürde e-seçim ile ilgili bir çok çalışma yapılmaktadır. Bu çalışmalarda en çok göze çarpan hususlar e-seçim sistemlerinin güvenlik, gizlilik ve mahremiyet sınırlarını zedelemeden nasıl gerçekleştirilebileceği yönündedir.
Makalede e-seçim gereklilikleri iki ana başlık altında toplanmıştır: – Çekirdek ihtiyaçlar (Core Requirements)
– Ek ihtiyaçlar (Additional Requirements)
Çekirdek ihtiyaçlar
– Oy kullananın mahremiyeti (Voter privacy)
– Seçilebilirlik (Eligibility)
– Adaletlilik (Fairness)
– Biriciklik (Uniqueness)
– Zorlanamama (Uncoercibility)
– Doğruluk, Hatasızlık (Accuracy)
– Sağlamlık (Robustness)
– Verimlilik (Efficiency)
– İmtina Eden Oy Kullanıcı (Abstaining Voter)
– Sıfır Oy Pusulası (Null ballot)
– Boş Oy Pusulası (Empty ballot)
– Onaylanabilirliği (Validability)
– Evrensel Doğrulanabilirliği (Universal Verifiability)
– Bireysel Doğrulanabilirliği (Individual Verifiability)
– Uygunluk, Kullanılabilirlik (Convenience)
– Adayların Eşitliği (Equality of candidates)
– Açık Kaynak (Open Source)
– Bağların çokluğu (Manifold of Links)
– Şeffaflık (Transparency)
– Fiziksel tekrar sayma ve denetleme (Physical Recounting and Auditing)
– Teknik Yeterlilik (Technical Adequacy)
– Sonuçların Duyurulması (Anouncement of Results)
Yazarlar yukarıda sözkonusu olan ihtiyaçları makalede açıklamakla birlikte, Türkiye gibi temsili demokrasilerin olduğu ülkelerde normal seçimlerin e-seçim halini alabilmesi için bu ihtiyaçların mutlak suretle karşılanması gerektiğini vurgulamışlardır.
Kemal BIÇAKCI tarafından yazıldı 
Davut İNCEBACAK
Kemal BIÇAKCI
Ahmet ÖZMEN
Yusuf UZUNAY
AKADEMİK GÜVENLİK 