İnternet Güvenliği S4
19- MANYETİK ŞERİT SAHTEKARLIĞI
Bankalar kendi kartlarının manyetik şeritlerinin kopyalanması veya kendi POS’lerinde bu şekilde kopyalanmış kartların kullanılabilmesi olasılığı nedeniyle iki açıdan tehdit altındadır. Manyetik şerit çok kolaylıkla okunabilir ve kopyalanabilir. “Skimming” denilen bu yöntemde kart hamiline farkettirmeden kart bir cihazdan geçirilerek TRACK 1 ve TRACK 2 bilgileri kopyalanarak, kaydedilir. Daha sonra bu bilgiler başka bir kartın arkasına veya boş bir karta aktarılır. Bu şekilde oluşturulan kartlarla yapılan ve bankadan provizyon temin edilen kart işlemleri için “hiç bir itiraz (chargeback) hakkı yoktur !”. İmzalar tutmuyor, kimlik kontrolü yapılmamış, v.s. gibi gerekçeler kabul edilmez.
Manyetik şeridi koruyan tek güvenlik önlemi CVV kodudur, bu sayede kart numarasının tamamen uydurma olarak üretilmesi engellenir. CVV şifre anahtarlarını bilmeyen birinin bu kodu şansına tahmin etmesi olasılığı 1000 : 1 ‘dir. Aynı şekilde geçerlilik tarihi ve de orijinal PVV kodunu da üretmesi düşünüldüğünde bu oran çok düşüktür. Ancak skimming yönteminde tamamen gerçek ve geçerli bir kart, CVV ve PVV kodları da dahil olmak üzere aynen kopyalandığı için hiç bir kurtuluş çaresi yoktur. Tek çözüm smartcard’lara geçiş yapmaktır
18- YAZILIMLARA ÇAKILMIŞ ŞİFRE ANAHTARLARI
Şifreleme yazılım ile asla güvenli çalışamaz. Şifrelemenin güvencesi algoritma değil, şifre anahtarlarının gizliliğidir. Akıllı ve tedbirli bazı programcılar software şifreleme kullansalar bile bu şifreleri bilgisayar üzerinde özel şifre cümleleri (pass phrase) ile şifreleyerek gizlerler. Buna karşın birçok bankada şifre anahtarlarının tamamen açık ve birleştirilmiş olarak programların içine çakılmış olduğu gözlemlenmiştir. Bu durum son derece tehlikeli ve mahsurludur. Derhal yeni anahtarlar istenmeli, HSM kullanımına geçilmeli, eski anahtarlarla oluşturulmuş PIN numaraları imha edilmeli ve sistem PIN’li işlemlere kapatılmalı, yeni PIN’ler üretilerek kart hamillerine postalanmalıdır ve bundan sonra PIN’li işlemlere sistem yeniden açılmalıdır.
19- SOFTWARE OLARAK ÇALIŞAN ŞİFRELEME YAZILIMLARI
Bazı programcıların aynı algoritmaları uygulayarak yazdıkları şifreleme modülleri olabilir ve HSM yerine işlemleri bununla yapılmasını savunabilirler. Bu kesinlikle ve tümüyle yanlış bir uygulamadır. Bankanızda asla böyle bir uygulamaya izin vermemeniz gerekir.
Bunu engellemek için VISA ana şifre anahtarlarını üç bölüm halinde, üç üst düzey yönetici tarafından HSM’e girmek için ayrı gizli zarflarla göndermektedir. Esas anahtar sadece HSM içinde oluşmalı, gönderilen zarflar daha sonra ya imha edilmeli, yada mühürlenerek üç ayrı lokasyonda kasalarda saklanmalıdır.
Yazılım olarak bu işlemlere izin verdiğiniz saniyede tüm şifre anahtarına programcının sahip olmasına izin vermiş oluyorsunuz. Bu bankanızın anahtarını vermeye eşdeğerdir. Bunu verdiğiniz kişi çok güvenilir bile olsa bu bilginin bilgisayarınızın bellek veya diskinden çalınmayacağını garanti edemezsiniz. Hatta bunun çok kolaylıkla elde edilebileceğini söyleyebiliriz.
20- BİZİM EKİBİN GELİŞTİRDİĞİ ÖZEL VE SÜPER GİZLİ ŞİFRELEME YÖNTEMİ
Zaman, zaman firmalar kendi ekiplerinin geliştirdiği, süper akıllı ve gizli bir şifreleme yöntemi kullandıklarını iddia edebilirler. Böyle bir şeyin olabilmesi olasılığı çok zayıftır, kesin olarak böyle bir iddiayı kabul etmemelisiniz. Sadece dünyada genel kabul görmüş ve sınırları bilinen açık yöntemlerin doğru uygulamaları kabul edilebilir. Bunları da herkes ayırdedemez, muhakkak eksper bir güvenlik danışmanına başvurmanız gerekir.
21- KRİPTOGRAFİ
Tehdit altında olan veri güvenliğine yardımcıı olacak en güçlü araç kriptoğrafi (şifreleme teknikleri) olacaktır. Kriptoğrafi bilgilerin gizlenmesi için uygulanan teknikleri kullanan bilim dalıdır. Derin olarak matematik ile ilişkilidir. İlk kripto tekniklerini Sezar’ın kullandığı iddia edilir. Sezar, gizli bir mesaj göndermek için harfleri belirli bir sayıda ileri veya geri alarak mesajlarını gizlemeyi başarmıştır. Örneğin A yerine D, B yerine E gibi. Böylece EDED diye gördüğümüz mesaj aslında BABA anlamına gelir. Doğal olarak bu çok basit bir şifreleme tekniğidir. Yerine Koyma (substitution) yöntemi olarak bilinir.
Bu yöntemin biraz daha karışığı harfleri belirli bir kaydırma yerine karmaşık olarak eşleştirerek yapılır. Örneğin, A yerine X, B yerine G gibi, yani BABA kelimesi GXGX’e dönüşecektir. Önceki yöntemde bir harfi çözdüğümüzde tüm şifreyi çözerken, bu yöntem için biraz daha fazla uğraşmamız gerekecektir ama yine de çok kolay kırılır. Bu yönteme Tek Alfabe Yerine Koyma yöntemi denir ( Mono alphabetic Substitution ) Tekniklerimizi biraz daha geliştirdiğimizde Çoklu Alfabe Yerine Koyma yöntemine erişiriz. Bunu şöyle düşünebiliriz, yerine koyma listeleri birden çok olabilir, örneğin 10 tane diyelim. Harfin sırasına göre farklı listeyi seçeriz.
Örneğin şöyle bir tablo yaparsak:
ABCDEFGHIJKLMNOPQRSTUVWXYZ
1: NOPQRSDEXYZFGHIJKLMTABCUVW
2: DEXHIJKYZFTABCUVWGNOPQRSLM
3: DEXYZNOPQRSFGTABCHIJKLMUVW
4: LVMUZNAIJKWOPQBCHRSFGTDEXY
BABA mesajımız ODEL haline dönüşecektir, B ve A harfleri tekrar bile etse her seferinde farklı harflere karşılık gelecektir.
Görüldüğü gibi yöntemler bu şekilde gittikçe geliştirilebilir, şifrenin kırılması zorlaşır. Uyguladığımız yönteme şifreleme algoritması denir, yukarıda oluşturduğumuz tablolar ise şifre anahtarıdır.Bununda ötesinde kullanıcının kendi özel anahtarını vermesi sağlanabilir, örneğin 7349 diyelim.Bu durumda bu sayılar yukarıdaki tablolarda belirtilen sayıda bir kayma sağlayabilir. Örneğin
klasik BABA mesajımız B harfinden birinci tablo da 7 harf kayarak X, A harfi ikide 2 harf kayarak H,üçüncü de 4 harf kayarak N, dördüncü de 9 harf kayarak K, yani XHNK olacaktır.Karşı tarafın mesajı çözebilmesi için hem tablolara, hem de şifre sayısına gereksinimi olacaktır.Bu örnekler öğretici olması için verilmiştir, her nekadar ilginç, güzel ve sağlam gibi gözükse de bu gibi şifrelerin kolaylıkla kırılabileceğini bilmeniz gerekir
Bu yöntemin biraz daha gelişmişi olan ENİGMA şifresi ikinci dünya savaşı sırasında Almanlar tarafından efektif olarak kullanılmıştır. Yerine koyma işlemleri, dişliler ve elektrik kontaktları ile yapılmış. Almanlar gemilerine, denizaltılarına ve birliklerine mesajları ENİGMA ile göndermişler. Savaşın sonuna doğru ENİGMA İngilizler tarafından çözülmüş ve bundan habersiz Almanlar büyük bir darbe yemiştir.
UNIX sistemlerinden birçoğunda hala ENIİGMA temel alınarak yapılmış CRYPT fonksiyonu ile kullanıcı şifreleri üretilmektedir. Bu şifreler kolaylıkla kırılabilir.
Zaman içinde bu tür yerine koyma ve karıştırma şifreleri gelişmiş ve bugün bile kullanılan standard şifre sistemlerinin temelini oluşturmuştur. DES böyle bir şifre sistemidir.