Türkiye'de doğan SİBER KRİZ Dünya'yı Sardı !

Google ve Microsoft açıklama yaptı, Reuters’dan BBC’ye, Çin resmi ajansından Rus bloglarına dek tüm dünya konuştu ama Türkiye kamuoyu, bir Türk internet şirketi ile bir Türk kamu kuruluşunun merkezinde bulunduğu siber güvenlik krizini pek tartışmadı.

ABD Başkanı Barack Obama’nın bir siber güvenlik danışmanı da dâhil uluslararası uzmanlara ve taraflara meseleyi soran Hürriyet, çetrefilli konuyu 6 soruda açıklıyor.

Ankara Büyükşehir Belediyesi’ne bağlı EGO, “sehven” eline geçirdiği “internet maymuncuğu” ile milyonları veya en azından kendi çalışanlarını gizlice izlemiş olabilir mi? Kriz, Suriye içsavaşını etkileyebilir mi?

Altı soruda siber kriz

Geçen perşembe günü ne oldu?

Google ve Microsoft başta olmak üzere internet tarayıcısı üreten önde gelen uluslararası şirketler, küresel internet yönetimi tarafından Türkiye’de “güvenli sunucu sertifikası” (SSL) vermekle yetkilendirilmiş bir kurum (CA) olan TÜRKTRUST adlı şirketin, iki kamu kuruluşuna yanlış sertifikalar verdiğini, bu nedenle ciddi bir güvenlik açığı oluştuğunu açıkladı.

Hangi kamu kuruluşları bunlar?

Özellikle para alışverişinin yapıldığı internet siteleri, HTTPS denen daha güvenli bir protokol kullanıyor. Bu sitelere SSL sertifikası veriliyor. Ancak TÜRKTRUST’ın, Ankara Büyükşehir Belediyesi Başkanlığı’na bağlı olarak ulaşım hizmetleri veren EGO Genel Müdürlüğü ile KKTC Merkez Bankası’na, SSL değil de, kendi yetkilerini devreden bir “ast sertifikası” verdiği anlaşıldı.

Bu hata neye mâl olabilir

“Ast sertifikası” ile TÜRKTRUST, küresel internet sistemindeki ayrıcalık ve yetkilerini bir anlamda EGO ile KKTC Merkez Bankası’na devretmiş oluyor. “İnternetin maymuncuğu” diye tanımlanan bu sertifikayı alanlar kötü niyetliyse, dünyada herhangi bir sitenin kopyasını üretip “güvenli” damgasıyla milyonlarca insanın kişisel verilerini çalabilirler.

Peki, EGO ve KKTC Merkez Bankası ne yaptı?

Aslında iki kurum da TÜRKTRUST’tan kendi internet siteleri için sadece SSL sertifikası talep etmiş. TÜRKTRUST, kendi sistemlerini güncellerken oluşan bir hata nedeniyle Ağustos 2011’de bu iki kuruma “sehven” ast sertifikası verdiğini kabul ediyor. KKTC Merkez Bankası, bu sertifikayla aldığı olağanüstü yetkileri hiç kullanmadı; bundan sadece kendi sitesinin gündelik işleyişi için faydalandı. EGO da 6 Aralık 2012’e kadar böyle yapmıştı. Fakat bu tarihte sehven çıkarılan sertifikadaki olağanüstü yetkilerini kullanıp bir “*.google.com” sertifikası üretti. Bu gayrimeşru sertifikanın neden üretildiği kesinleşmiş değil.

Bu durum nasıl ortaya çıktı, mağdur var mı?

Google Chrome tarayıcısı 26 Aralık’ta durumu fark ederek olayı raporladı. Öteki tarayıcılar da hemen gerekli güvenlik yamalarını çıkardı. Hiçbir Türk kuruluşunda bir kasıt veya kötü niyet olduğuna dair bulgu yahut kişisel verileri çalınan bir mağdur ortaya çıkmış değil. EGO’nun kendi güvenlik duvarını güncellerken oluşan bir sorunu aşmak için teknik bir hata yapmış olması da akla uygun görünüyor. Ancak siber güvenlik konusunda son dönemde yaşanan tartışmalara dikkat çeken birçok uzman, TÜRKTRUST vakası üzerinden küresel internet sistemini sorgulamaya başladı bile…

Tüm olanlar basit bir benzetmeyle özetlenemez mi?

Diyelim ki birbirinden ayrı iki vatandaş, yeni taktırdıkları çelik kapılar için anahtar yaptıracaklar. Çilingir her birine diyor ki: “Kalıbını göndereyim kendi anahtarını yap.” Fakat çilingir, iki vatandaşa da anahtar kalıpları yerine maymuncuk kalıpları gönderiyor. Vatandaşlardan biri sadece kendi kapısını açacak bir anahtar üretip kullanıyor. Ötekisi de önce böyle yapıyor, ama aylar sonra maymuncuk kalıbını kullanıp komşu evin kapısını açacak bir anahtar daha ürettiği anlaşılıyor. Hırsızlık yaptığına dair bir delil yok, hatta maymuncuğu ürettikten sonra çilingire haber veren de kendisi… Ama dikkatsiz çilingirin başı polisle dertte.

Uzmanlar ne diyor

REUTERS’ın son olayla ilgili haberindeki en çarpıcı cümle, geçmişte ABD Federal Ticaret Komisyonu’nun teknoloji uzmanı olarak görev yapan ve şu anda Amerikan Yurttaş Özgürlükleri Birliği’nde çalışan araştırmacı Chris Soghoian’ın şu ifadesiydi: “Mantıklı teori, EGO’nun kendi çalışanlarını izlemek için bu sertifikayı kullandığı.”

Soghoian herhangi biri değil. Indiana Üniversitesi’nin Uygulamalı Siber Güvenlik Araştırmaları Merkezi’nde görev yaptığı 2010’da ilginç bir bilimsel makale yayımlamıştı. Makale, hükümetlere bağlı istihbarat örgütlerinin yakın gelecekte sahte SSL sertifikaları çıkararak güvenli internet bağlantılarına sızıp vatandaşları gizlice izleyebileceğine, kişisel verileri çalabileceğine dikkat çekiyordu.

Schultze: Kamu kuruluşu olması şüpheyi artırıyor

Princeton Üniversitesi Bilişim Politikaları Merkezi’nin Başkan Yardımcısı Steve Schultze da, son yaşananları değerlendirdiği yazısında, “mesleki paranoya” gereği Türk hükümetine bağlı bir kurumun olaya karışmasının şüpheleri artırdığını belirtiyor. TÜRKTRUST’un, bağımsız kuruluşlar yerine Ankara’nın mali denetimine tâbi olması da Schultze’ye göre sorunu büyütüyor.

Kellermann: İnternetin silah pazarında tekel yok

ABD Başkanı Barack Obama’ya bağlı Siber Güvenlik Komisyonu’nda görev yapan, dünyanın önde gelen antivirüs yazılımı üreticilerden Trend Micro’ya başkan yardımcısı olarak atanması geçen martta uluslararası haber ajanslarına konu olan Profesör Tom Kellermann da Hürriyet’e konuyu şöyle değerlendirdi: “Benim inancıma göre suçlular ve teröristler gibi, ulus devletler de, kendi güç üstünlüklerini kurmak için verimli olduğundan bu tür siber saldırı tekniklerini bağırlarına basıyorlar. İnternetin silah pazarında hükümetlerin, ‘büyük birader’ taktiklerini tekellerinde tutmadığını da not etmek gerekiyor.”

Gökhan Say: Tek bir zayıf halka interneti riske atar

Dünyanın en büyük yazılım güvenliği şirketlerinden olan California merkezli Symantec’in Türkiye Bölgesel Direktörü Gökhan Say ise konuya ilişkin olarak Hürriyet’e yaptığı açıklamada şunları söyledi: “Sertifika vermekle yetkilendirilmiş şirketlerin (CA) sayısı son 10 yılda hızla arttı. Eskiden bir elin parmakları kadar varken şimdi yüzlerce küresel CA bulunuyor. Sonuçta sıkı bir kontrol yapmadan hizmet sunan birçok CA türedi. Her CA, internetin güvenliğini idame etmekle sorumludur. Bir tek zayıf halka, tüm SSL temelini tehlikeye atar. Kuruluşların hangi CA’in güvenilir olduğunu bilmesi çok önemli.”

Parikka: Yoksa küresel internet mercii mi gerekli

Bilgisayar virüsleri üzerine “Digital Contagions” adlı İngilizce yayınlanan bir kitabı olan Finlandiyalı dijital kültür kuramcısı Jussi Parikka ise Hürriyet için şu değerlendirmeyi yaptı: “Türkiye merkezli son mesele, yazılım kaynaklı sorunların merkeziliği kadar, daha geniş anlamda güven sorununa dikkat çekiyor. Güvenli iletişimi nasıl sağlayacağız? Bu mesele bizim sosyal etkileşimimizi nasıl etkileyecek? Ortalama kullanıcı, bilgisayarını açtığında ağ üzerinde neler olup bittiğini bilmiyor. Dolayısıyla, izlenip izlenmediğinden de habersiz. Öyleyse asıl soru şu: Tüm güvenli iletişimimizi emanet edebileceğimiz, internet yönetiminin küresel bir modu olabilir mi?”

Türktrust ne diyor

Vahim sonuçları olabilecek hatayı yapan TÜRKTRUST, resmi açıklamalarında “yüzde 100 yerli sermayeyle kurulmuş, alanında teknoloji üreten tek Türk şirketi” olduğunu, “milli servet” sayılması gerektiğini vurguluyor. Bir zorunluluk yokken uluslararası sertifika aldıklarını, çünkü dünya ölçeğinde hizmet vermek istediklerini söylüyorlar. Şimdiden buna bir ölçüde ulaşmış durumdalar.

Google’ın resmi bloguna gelen “Collin” imzalı bir yorumda, küresel internet devlerinin TÜRKTRUST’ın yetkisini iptal etmesi durumunda Suriye ve İranlı internet kullanıcılarının da etkileneceği vurgulandı.

Zira Avrupa ve ABD’deki ambargolar nedeniyle bu ülkelerde sitelerin güvenlik sertifikası aldığı başlıca merci TÜRKTRUST. Her iki ülkede ve bilhassa içsavaş yaşayan Suriye’de rejim muhalifleri için internet kullanımı hayati.

Soru:

Dünyadaki diğer ilgili kuruluşlar arasında geçmişte bu şekilde hatalı sertifika veren hiç olmadı mı? İlk TurkTrust olduğu için mi bu kadar tepki gösterildi?

Cevap:

Dünyada önde gelen pek çok Elektronik Sertifika Hizmet Sağlayıcısı (Certification Authority - CA) kuruluş geçmişte benzer durumlarla karşı karşıya kaldı. Bırakın CA’leri, başta Microsoft ve Google gibi çok büyük teknoloji firmalarının da zaman zaman güvenlik sorunları yaşadıkları çok iyi bilinen bir gerçek. Her durumda, önemli olan sorunun üzerine gidilerek çözülmesi ve bir daha tekrarlanmaması için gereken önlemlerin de ivedilikle alınmasıdır. Buradaki spesifik olayda ise bir güvenlik açığın dahi söz konusu değildir. Sistemlerimize bir müdahale olmadığı kesindir. Ortada sahtecilik veya EGO tarafından üretilen sertifikadan bir yarar sağlanması veya doğmuş bir zarar da bulunmamaktadır.

Soru:

Bu örnekte EGO, aslında kendisine verilmemesi gereken “internet maymuncuğunu” bir aşamada kullanmış. Bu kurumdan veya onun internet altyapısını sağlayan taşeron firmayla bağlantılı kötü niyetli birileri, örneğin Google’ın e-posta hizmetinin kopyasını üretip binlerce, belki milyonlarca insanın bu sitedeki verilerini çalmış olamaz mı?

Cevap:

mail.google.com bu şekilde klonlanabilir, doğrudur. Ancak bu yeterli olmaz. DNS sunucularının da kırılması gerekir ki trafik klon adrese yönlensin. Bunu Türkiye veya küresel bazda yapmak çok zor; lokal olarak EGO domain’inde ise yapılabilir. Ancak buradan da elde edilecek bir yarar pek yok açıkçası. Amaç içerideki kullanıcıların Google mail’lerini görmek ise, bunun çok daha kolay yolları var.

Soru:

Gelecekte olayın kriminal bir boyutunun olduğu anlaşılırsa ciddi bir anayasal suç olan bu girişimden sorumlu tutulmaktan endişe duymuyor musunuz?

Cevap:

Yetkilendirilmemiş *.google.com sertifikasının yüklenmiş olduğu güvenlik duvarının hangi amaçla kullanıldığı konusunda bir şey söylememiz mümkün değil. Bir hizmet sağlayıcı olarak bu noktada bir sorumluluğumuz olmadığı gibi, bir yetkimiz de yok. Biz ‘kötü niyetli bir kullanım eldeki verilere göre tespit edilemiyor’ derken, genellikle benzer durumlarda yaşanan, üçüncü kişilerin aldatılması gibi bir olay olduğuna dair bir veri bulunmuyor, demek istiyoruz. Dünyada daha önceden yaşanan olaylarda bu gibi aldatmalarla üçüncü kişilerin zarara uğratıldığı görülmüştü. Burada ise ne sahteciliğe, ne müdahaleye, ne de doğmuş bir zarara ilişkin en ufak bir iz yok. Yine de kamuoyunun yetkilendirilmemiş *.google.com sertifikasının nasıl üretilmiş olduğunu merak etmesini anlıyoruz. Bununla ilgili resmi web sayfamızda ayrıntılı bir açıklama yer alıyor. Burada şu kadarını söyleyebiliriz; söz konusu güvenlik duvarının konfigürasyonunun bu sertifikanın otomatik olarak üretilmesine yol açmış olması en muhtemel senaryodur.

Soru:

TurkTrust bu krizi atlatabilecek mi? Yetkisinin iptal edileceÄŸinden endiÅŸeli misiniz?

Cevap:

Yetki derken sanıyorum SSL sertifikalarına ilişkin sormak istiyorsunuz. Böyle bir endişemiz kesinlikle yok. Bu yetkimizin kaynağı İnternet tarayıcılarına ve ETSI TS 102 042 belgemize dayanmaktadır. Bugün de İnternet tarayıcıları tarafından tanınmaya devam ediyoruz, belgemiz ise geçerliliğini korumaktadır. Gelişen olayın nedeni açıkça tespit edilmiş ve herkesle paylaşılmıştır. Neden sadece bir kez olduğu, öncesinde veya sonrasında tekrarlanmamış olduğu, alınan ek tedbirlerin neler olduğu da açıkça ortaya konmuştur. Bizim örtbas etmek, saklamak veya gizlemek gibi bir yaklaşımımız asla olmadı; bundan sonra da olmayacak. SSL sertifika hizmetlerinin ülke içinden verilebilmesi ülke ekonomisi açısından da önemli bir katma değerdir. Sunduğumuz diğer teknoloji hizmetleri de, yurt dışı alımlarına ciddi bir yerli alternatif olarak ortaya çıkmaktadır. Evet, biz bu krizi atlatacağız ve bundan güçlenerek çıkacağız.

EGO ne diyor

HÜRRİYET’e konuşan bir EGO yetkilisi, kurumun çalışanlarını izlemiş olabileceği iddiasını Reuters’da yayınlanan bir haberde ortaya atan Amerikalı uzmana, “Ayıptır. Bu bir balon” diye tepki gösterdi. Yetkili, EGO içinde olayla ilgili bir iç soruşturma başlatıp başlatmayacakları sorusuna ise şu yanıtı verdi:

“Neden soruşturma başlatalım? Burada mağdur olan biziz. Her kurum gibi ağ güvenliğini sağlayan bir UTM cihazı kullanıyoruz. Bu UTM cihazı 6 Aralık’ta otomatik olarak güncelleme yaparken bir hata oluşmuş. Gidermek için kendi teknisyenlerimiz ve cihazın üretici firmasının sağladığı servisin teknisyenleri beraber çalıştı. Hatayı farkedince, güvenlik sertifikasını aldığımız TÜRKTRUST’a hemen bildirdik. 1.5 yıl önce bize yanlış bir sertifika verdiklerini söyleyip hemen iptal ettiler. Bu onların sorumluluğudur...

..3-4 gün sonra yeni sertifikayı verene dek çalışanlarımız kurumsal e-posta hesaplarını kullanamadılar. Herşeye rağmen, çalışanlarımızı izlemek için birşeyler yaptığımız gibi iddialar sürüyorsa, savcılık gelip inceleyebilir. Tamamen şeffafız. Tüm bilişim faaliyetlerimiz kayıt altında. Biz interneti düzenleyen ve bu yolla işlenen suçlarla mücadeleyi konu alan 5651 no.lu yasayı en sıkı uygulayan kurumlardanız. Çalışanlarımızı neden sahte Google sertifikası üretip izleyelim? Kaldı ki, kurumsal ağ üzerinde yasaklı sitelere girilmesi, pornografik videoların izlenmesi gibi faaliyetlerin engellenmesi için zaten yasaların öngördüğü ölçüde takibat yapmakla yükümlüyüz.”

Kaynak; http://fotogaleri.hurriyet.com.tr/ga...4659&rid=2&p=1