Google ve Microsoft açıklama yaptı, Reutersdan BBCye, Çin resmi ajansından Rus bloglarına dek tüm dünya konuştu ama Türkiye kamuoyu, bir Türk internet şirketi ile bir Türk kamu kuruluşunun merkezinde bulunduğu siber güvenlik krizini pek tartışmadı.
ABD Başkanı Barack Obamanın bir siber güvenlik danışmanı da dâhil uluslararası uzmanlara ve taraflara meseleyi soran Hürriyet, çetrefilli konuyu 6 soruda açıklıyor.
Ankara Büyükşehir Belediyesine bağlı EGO, sehven eline geçirdiği internet maymuncuğu ile milyonları veya en azından kendi çalışanlarını gizlice izlemiş olabilir mi? Kriz, Suriye içsavaşını etkileyebilir mi?
Altı soruda siber kriz
Geçen perşembe günü ne oldu?
Google ve Microsoft başta olmak üzere internet tarayıcısı üreten önde gelen uluslararası şirketler, küresel internet yönetimi tarafından Türkiyede güvenli sunucu sertifikası (SSL) vermekle yetkilendirilmiş bir kurum (CA) olan TÜRKTRUST adlı şirketin, iki kamu kuruluşuna yanlış sertifikalar verdiğini, bu nedenle ciddi bir güvenlik açığı oluştuğunu açıkladı.
Hangi kamu kuruluşları bunlar?
Özellikle para alışverişinin yapıldığı internet siteleri, HTTPS denen daha güvenli bir protokol kullanıyor. Bu sitelere SSL sertifikası veriliyor. Ancak TÜRKTRUSTın, Ankara Büyükşehir Belediyesi Başkanlığına bağlı olarak ulaşım hizmetleri veren EGO Genel Müdürlüğü ile KKTC Merkez Bankasına, SSL değil de, kendi yetkilerini devreden bir ast sertifikası verdiği anlaşıldı.
Bu hata neye mâl olabilir
Ast sertifikası ile TÜRKTRUST, küresel internet sistemindeki ayrıcalık ve yetkilerini bir anlamda EGO ile KKTC Merkez Bankasına devretmiş oluyor. İnternetin maymuncuğu diye tanımlanan bu sertifikayı alanlar kötü niyetliyse, dünyada herhangi bir sitenin kopyasını üretip güvenli damgasıyla milyonlarca insanın kişisel verilerini çalabilirler.
Peki, EGO ve KKTC Merkez Bankası ne yaptı?
Aslında iki kurum da TÜRKTRUSTtan kendi internet siteleri için sadece SSL sertifikası talep etmiş. TÜRKTRUST, kendi sistemlerini güncellerken oluşan bir hata nedeniyle Ağustos 2011de bu iki kuruma sehven ast sertifikası verdiğini kabul ediyor. KKTC Merkez Bankası, bu sertifikayla aldığı olağanüstü yetkileri hiç kullanmadı; bundan sadece kendi sitesinin gündelik işleyişi için faydalandı. EGO da 6 Aralık 2012e kadar böyle yapmıştı. Fakat bu tarihte sehven çıkarılan sertifikadaki olağanüstü yetkilerini kullanıp bir *.google.com sertifikası üretti. Bu gayrimeşru sertifikanın neden üretildiği kesinleşmiş değil.
Bu durum nasıl ortaya çıktı, mağdur var mı?
Google Chrome tarayıcısı 26 Aralıkta durumu fark ederek olayı raporladı. Öteki tarayıcılar da hemen gerekli güvenlik yamalarını çıkardı. Hiçbir Türk kuruluşunda bir kasıt veya kötü niyet olduğuna dair bulgu yahut kişisel verileri çalınan bir mağdur ortaya çıkmış değil. EGOnun kendi güvenlik duvarını güncellerken oluşan bir sorunu aşmak için teknik bir hata yapmış olması da akla uygun görünüyor. Ancak siber güvenlik konusunda son dönemde yaşanan tartışmalara dikkat çeken birçok uzman, TÜRKTRUST vakası üzerinden küresel internet sistemini sorgulamaya başladı bile
Tüm olanlar basit bir benzetmeyle özetlenemez mi?
Diyelim ki birbirinden ayrı iki vatandaş, yeni taktırdıkları çelik kapılar için anahtar yaptıracaklar. Çilingir her birine diyor ki: Kalıbını göndereyim kendi anahtarını yap. Fakat çilingir, iki vatandaşa da anahtar kalıpları yerine maymuncuk kalıpları gönderiyor. Vatandaşlardan biri sadece kendi kapısını açacak bir anahtar üretip kullanıyor. Ötekisi de önce böyle yapıyor, ama aylar sonra maymuncuk kalıbını kullanıp komşu evin kapısını açacak bir anahtar daha ürettiği anlaşılıyor. Hırsızlık yaptığına dair bir delil yok, hatta maymuncuğu ürettikten sonra çilingire haber veren de kendisi
Ama dikkatsiz çilingirin başı polisle dertte.
Uzmanlar ne diyor
REUTERSın son olayla ilgili haberindeki en çarpıcı cümle, geçmişte ABD Federal Ticaret Komisyonunun teknoloji uzmanı olarak görev yapan ve şu anda Amerikan Yurttaş Özgürlükleri Birliğinde çalışan araştırmacı Chris Soghoianın şu ifadesiydi: Mantıklı teori, EGOnun kendi çalışanlarını izlemek için bu sertifikayı kullandığı.
Soghoian herhangi biri değil. Indiana Üniversitesinin Uygulamalı Siber Güvenlik Araştırmaları Merkezinde görev yaptığı 2010da ilginç bir bilimsel makale yayımlamıştı. Makale, hükümetlere bağlı istihbarat örgütlerinin yakın gelecekte sahte SSL sertifikaları çıkararak güvenli internet bağlantılarına sızıp vatandaşları gizlice izleyebileceğine, kişisel verileri çalabileceğine dikkat çekiyordu.
Schultze: Kamu kuruluşu olması şüpheyi artırıyor
Princeton Üniversitesi Bilişim Politikaları Merkezinin Başkan Yardımcısı Steve Schultze da, son yaşananları değerlendirdiği yazısında, mesleki paranoya gereği Türk hükümetine bağlı bir kurumun olaya karışmasının şüpheleri artırdığını belirtiyor. TÜRKTRUSTun, bağımsız kuruluşlar yerine Ankaranın mali denetimine tâbi olması da Schultzeye göre sorunu büyütüyor.
Kellermann: İnternetin silah pazarında tekel yok
ABD Başkanı Barack Obamaya bağlı Siber Güvenlik Komisyonunda görev yapan, dünyanın önde gelen antivirüs yazılımı üreticilerden Trend Microya başkan yardımcısı olarak atanması geçen martta uluslararası haber ajanslarına konu olan Profesör Tom Kellermann da Hürriyete konuyu şöyle değerlendirdi: Benim inancıma göre suçlular ve teröristler gibi, ulus devletler de, kendi güç üstünlüklerini kurmak için verimli olduğundan bu tür siber saldırı tekniklerini bağırlarına basıyorlar. İnternetin silah pazarında hükümetlerin, büyük birader taktiklerini tekellerinde tutmadığını da not etmek gerekiyor.
Gökhan Say: Tek bir zayıf halka interneti riske atar
Dünyanın en büyük yazılım güvenliği şirketlerinden olan California merkezli Symantecin Türkiye Bölgesel Direktörü Gökhan Say ise konuya ilişkin olarak Hürriyete yaptığı açıklamada şunları söyledi: Sertifika vermekle yetkilendirilmiş şirketlerin (CA) sayısı son 10 yılda hızla arttı. Eskiden bir elin parmakları kadar varken şimdi yüzlerce küresel CA bulunuyor. Sonuçta sıkı bir kontrol yapmadan hizmet sunan birçok CA türedi. Her CA, internetin güvenliğini idame etmekle sorumludur. Bir tek zayıf halka, tüm SSL temelini tehlikeye atar. Kuruluşların hangi CAin güvenilir olduğunu bilmesi çok önemli.
Parikka: Yoksa küresel internet mercii mi gerekli
Bilgisayar virüsleri üzerine Digital Contagions adlı İngilizce yayınlanan bir kitabı olan Finlandiyalı dijital kültür kuramcısı Jussi Parikka ise Hürriyet için şu değerlendirmeyi yaptı: Türkiye merkezli son mesele, yazılım kaynaklı sorunların merkeziliği kadar, daha geniş anlamda güven sorununa dikkat çekiyor. Güvenli iletişimi nasıl sağlayacağız? Bu mesele bizim sosyal etkileşimimizi nasıl etkileyecek? Ortalama kullanıcı, bilgisayarını açtığında ağ üzerinde neler olup bittiğini bilmiyor. Dolayısıyla, izlenip izlenmediğinden de habersiz. Öyleyse asıl soru şu: Tüm güvenli iletişimimizi emanet edebileceğimiz, internet yönetiminin küresel bir modu olabilir mi?
Türktrust ne diyor
Vahim sonuçları olabilecek hatayı yapan TÜRKTRUST, resmi açıklamalarında yüzde 100 yerli sermayeyle kurulmuş, alanında teknoloji üreten tek Türk şirketi olduğunu, milli servet sayılması gerektiğini vurguluyor. Bir zorunluluk yokken uluslararası sertifika aldıklarını, çünkü dünya ölçeğinde hizmet vermek istediklerini söylüyorlar. Şimdiden buna bir ölçüde ulaşmış durumdalar.
Googleın resmi bloguna gelen Collin imzalı bir yorumda, küresel internet devlerinin TÜRKTRUSTın yetkisini iptal etmesi durumunda Suriye ve İranlı internet kullanıcılarının da etkileneceği vurgulandı.
Zira Avrupa ve ABDdeki ambargolar nedeniyle bu ülkelerde sitelerin güvenlik sertifikası aldığı başlıca merci TÜRKTRUST. Her iki ülkede ve bilhassa içsavaş yaşayan Suriyede rejim muhalifleri için internet kullanımı hayati.
Soru:
Dünyadaki diğer ilgili kuruluşlar arasında geçmişte bu şekilde hatalı sertifika veren hiç olmadı mı? İlk TurkTrust olduğu için mi bu kadar tepki gösterildi?
Cevap:
Dünyada önde gelen pek çok Elektronik Sertifika Hizmet Sağlayıcısı (Certification Authority - CA) kuruluş geçmişte benzer durumlarla karşı karşıya kaldı. Bırakın CAleri, başta Microsoft ve Google gibi çok büyük teknoloji firmalarının da zaman zaman güvenlik sorunları yaşadıkları çok iyi bilinen bir gerçek. Her durumda, önemli olan sorunun üzerine gidilerek çözülmesi ve bir daha tekrarlanmaması için gereken önlemlerin de ivedilikle alınmasıdır. Buradaki spesifik olayda ise bir güvenlik açığın dahi söz konusu değildir. Sistemlerimize bir müdahale olmadığı kesindir. Ortada sahtecilik veya EGO tarafından üretilen sertifikadan bir yarar sağlanması veya doğmuş bir zarar da bulunmamaktadır.
Soru:
Bu örnekte EGO, aslında kendisine verilmemesi gereken internet maymuncuğunu bir aşamada kullanmış. Bu kurumdan veya onun internet altyapısını sağlayan taşeron firmayla bağlantılı kötü niyetli birileri, örneğin Googleın e-posta hizmetinin kopyasını üretip binlerce, belki milyonlarca insanın bu sitedeki verilerini çalmış olamaz mı?
Cevap:
mail.google.com bu şekilde klonlanabilir, doğrudur. Ancak bu yeterli olmaz. DNS sunucularının da kırılması gerekir ki trafik klon adrese yönlensin. Bunu Türkiye veya küresel bazda yapmak çok zor; lokal olarak EGO domaininde ise yapılabilir. Ancak buradan da elde edilecek bir yarar pek yok açıkçası. Amaç içerideki kullanıcıların Google maillerini görmek ise, bunun çok daha kolay yolları var.
Soru:
Gelecekte olayın kriminal bir boyutunun olduğu anlaşılırsa ciddi bir anayasal suç olan bu girişimden sorumlu tutulmaktan endişe duymuyor musunuz?
Cevap:
Yetkilendirilmemiş *.google.com sertifikasının yüklenmiş olduğu güvenlik duvarının hangi amaçla kullanıldığı konusunda bir şey söylememiz mümkün değil. Bir hizmet sağlayıcı olarak bu noktada bir sorumluluğumuz olmadığı gibi, bir yetkimiz de yok. Biz kötü niyetli bir kullanım eldeki verilere göre tespit edilemiyor derken, genellikle benzer durumlarda yaşanan, üçüncü kişilerin aldatılması gibi bir olay olduğuna dair bir veri bulunmuyor, demek istiyoruz. Dünyada daha önceden yaşanan olaylarda bu gibi aldatmalarla üçüncü kişilerin zarara uğratıldığı görülmüştü. Burada ise ne sahteciliğe, ne müdahaleye, ne de doğmuş bir zarara ilişkin en ufak bir iz yok. Yine de kamuoyunun yetkilendirilmemiş *.google.com sertifikasının nasıl üretilmiş olduğunu merak etmesini anlıyoruz. Bununla ilgili resmi web sayfamızda ayrıntılı bir açıklama yer alıyor. Burada şu kadarını söyleyebiliriz; söz konusu güvenlik duvarının konfigürasyonunun bu sertifikanın otomatik olarak üretilmesine yol açmış olması en muhtemel senaryodur.
Soru:
TurkTrust bu krizi atlatabilecek mi? Yetkisinin iptal edileceğinden endişeli misiniz?
Cevap:
Yetki derken sanıyorum SSL sertifikalarına ilişkin sormak istiyorsunuz. Böyle bir endişemiz kesinlikle yok. Bu yetkimizin kaynağı İnternet tarayıcılarına ve ETSI TS 102 042 belgemize dayanmaktadır. Bugün de İnternet tarayıcıları tarafından tanınmaya devam ediyoruz, belgemiz ise geçerliliğini korumaktadır. Gelişen olayın nedeni açıkça tespit edilmiş ve herkesle paylaşılmıştır. Neden sadece bir kez olduğu, öncesinde veya sonrasında tekrarlanmamış olduğu, alınan ek tedbirlerin neler olduğu da açıkça ortaya konmuştur. Bizim örtbas etmek, saklamak veya gizlemek gibi bir yaklaşımımız asla olmadı; bundan sonra da olmayacak. SSL sertifika hizmetlerinin ülke içinden verilebilmesi ülke ekonomisi açısından da önemli bir katma değerdir. Sunduğumuz diğer teknoloji hizmetleri de, yurt dışı alımlarına ciddi bir yerli alternatif olarak ortaya çıkmaktadır. Evet, biz bu krizi atlatacağız ve bundan güçlenerek çıkacağız.
EGO ne diyor
HÜRRİYETe konuşan bir EGO yetkilisi, kurumun çalışanlarını izlemiş olabileceği iddiasını Reutersda yayınlanan bir haberde ortaya atan Amerikalı uzmana, Ayıptır. Bu bir balon diye tepki gösterdi. Yetkili, EGO içinde olayla ilgili bir iç soruşturma başlatıp başlatmayacakları sorusuna ise şu yanıtı verdi:
Neden soruşturma başlatalım? Burada mağdur olan biziz. Her kurum gibi ağ güvenliğini sağlayan bir UTM cihazı kullanıyoruz. Bu UTM cihazı 6 Aralıkta otomatik olarak güncelleme yaparken bir hata oluşmuş. Gidermek için kendi teknisyenlerimiz ve cihazın üretici firmasının sağladığı servisin teknisyenleri beraber çalıştı. Hatayı farkedince, güvenlik sertifikasını aldığımız TÜRKTRUSTa hemen bildirdik. 1.5 yıl önce bize yanlış bir sertifika verdiklerini söyleyip hemen iptal ettiler. Bu onların sorumluluğudur...
..3-4 gün sonra yeni sertifikayı verene dek çalışanlarımız kurumsal e-posta hesaplarını kullanamadılar. Herşeye rağmen, çalışanlarımızı izlemek için birşeyler yaptığımız gibi iddialar sürüyorsa, savcılık gelip inceleyebilir. Tamamen şeffafız. Tüm bilişim faaliyetlerimiz kayıt altında. Biz interneti düzenleyen ve bu yolla işlenen suçlarla mücadeleyi konu alan 5651 no.lu yasayı en sıkı uygulayan kurumlardanız. Çalışanlarımızı neden sahte Google sertifikası üretip izleyelim? Kaldı ki, kurumsal ağ üzerinde yasaklı sitelere girilmesi, pornografik videoların izlenmesi gibi faaliyetlerin engellenmesi için zaten yasaların öngördüğü ölçüde takibat yapmakla yükümlüyüz.
Kaynak;
http://fotogaleri.hurriyet.com.tr/ga...4659&rid=2&p=1