İnternet Güvenliği S6

24- HASH ALGORİTMALARI ( SHA, MD5 )
Şifreleme yöntemleri konunun en önemli bir noktasıdır ama onun yanı sıra başka şeylerede gereksinim duymaktayız. Bunlardan biriside HASH algoritmalarıdır. HASH’i süper bir check digit olarak görebilirsiniz. Basit bir aritmetik formülle hesaplanan check digit tek bir haneyle önceki 15 haneyi doğrularken, SHA ve MD5 gibi algoritmalar yaklaşık 40 haneli sayılar üreterek bütün bir dokümanı doğrulayabilmektedir. Örneğin tapu senedinizin bir tarayıcı ile tarandığını ve bir .BMP dosyası haline dönüştüğünü düşünün. 2019 yılında gittiğiniz Beşiktaş 17.noteri bu .BMP dosyasını MD5 hash algoritmasından geçirecek ve 40 haneli bir sayı bulacaktır. Daha sonra bu sayıyı kendi gizli anahtarını kullanarak, ardına sizin adınızı ve MERNİS numaranızı ekleyecek, RSA ile şifreleyecek size 180 haneli bir sayı verecek, sizde bu sayıyı smartcard’ınıza yükleyip gideceksiniz. Herhangi bir anda artık kağıt tapuyu değil, bu .BMP dosyasını Internet üzerinden gönderecek ve 180 haneli sayıyı ekleyeceksiniz. Alıcı Beşiktaş 19.noterinin web sitesine girecek ve onun kamuya açık anahtarını alacaksınız. 2019 yılına kadar artık sayıları binlerce haneli sayılara yükseltme ve zilyonlara bölerek kalanını yapmak artık bilindiği için, daha doğrusu bunu cebinizdeki smartcard artık bildiği için ekrana sizin adınız, soyadınız, MERNİS numaranız ve taranmış belgenin MD5 hash kodu gelecek. Arka plandaki Java programı ekrana gelen .BMP dosyasının MD5 hash kodunu birkez daha hesaplayarak karşılaştıracak. Evet, bu doküman doğrudur ve o tapunun sahibi de sizsiniz.
25- SSL
Dünyadaki güvenli alışveriş altyapısının %99’ını oluşturan SSL, yukarıda anılan RSA, DES, MD5, SHA, RC4, RC5 gibi algoritmalarla Internet üzerinden yapılan işlemlerin güvenliğini sağlamaktadır.
RSA yavaş olduğu için, SSL işlem başında RSA kullanarak karşı tarafa DES veya benzeri bir sistem olan RC4 şifre anahtarlarını gönderir. Bu anahtar sadece tek bir oturum için geçerlidir. Her seferinde yenilenir. Güvenli bir web sitesiyle SSL bağlantı kurulduğunda ekrana bir uyarı gelir ve alt köşedeki anahtar kapanır. Bu anahtar üzerine tıkladığınızda konuyla ilgili birçok önemli bilgiyi görebilirsiniz.
Örneğin, Türkiye’de çalışan sözde SET veya 128 bit sitelerin aslında 40-bit RC4, 512 bit RSA olduğunu göreceksiniz. Artık bu doküman sayesinde bunların anlamını bildiğiniz için gerçekleri daha iyi görecek, önerilen veya çalışan sistemlerin gerçekte ne olduklarını bileceksiniz.

SSL, örneğin Türkiye’ye verilen 512/40 SSL, 512 bit RSA ile 40 bit RC4 oturum şifresini gönderir ve bundan sonraki iletişimi 40-bit RC4 ile şifreleyerek yapar. 512/64 veya 512/128 çalışma olanağı olsa işlemlerin oldukça güvenli olabileceğini söyleyebiliriz. 512/40 için söylenebilecek tek şey, tamamen açık göndermekten iyidir. Ancak bu seviyenin kırılamaz olduğunu, %100 güvenli olduğunu veya SET olduğunu iddia etmek gerçeklerden oldukça uzak olacaktır.

SSL ile bağlandığınız bir sitenin gerçek ve inanılır bir yer olduğuna nasıl inanacaksınız. Bunu sağlayan sisteme CA : Certificate Authority adı verilen Güvenilir Kurumlar yapmaktadır. SSL web sitesi kuran bir firma VeriSign, Thawte, v.s. gibi kurumlardan birine giderek kimlik ve amacını kanıtladıktan sonra Güvenilir Kurum firmanın kamuya açık şifresini kaydeder ve ona bir sertifika verir. Firmanın web sitesine bağlanan web browser ( Netscape, Internet Explorer ) v.s. bu sertifikayı yakalar ve sorar: Bu sertifikayı veren kurumu ben tanıyormuyum ?. Eğer tanımıyorsa, firmanın ve sertifikasının güvenilmez olduğunu bildirir ve devam edip, etmek istemediğinizi sorar. Çünkü, firma bu sertifikayı kendi kendine uydurmuş olabilir veya Güvenilir olmayan bir kuruluştan almış olabilir. Eğer güvenilir ise browser bu kuruma firmayı sorar ve sertifikanın geçerli olup olmadığını öğrenir. Sertifikanın süresi geçmiş olabilir veya bir test sertifikasıdır.

Türkiye’de kurulu birçok siteyi incelediğinizde sertifikaların geçersiz ve güvenilmez olduğunu, iddia edilen güvenlik düzeylerin sağlanmadığını göreceksiniz.

VISA web sitesi incelendiğinde SSL ile hizmet veren sitelerin yeterli derece güvenli olduğu belirtilmektedir. Gerçek ortamda çalışan sitelerin neredeyse tümü SSL çalışmaktadır.

26- SET

Mastercard ve Visa, Internet üzerinden alışveriş için teorik olarak mükemmel bir sistem geliştirmiştir. SET adı verilen bu standard, aynı SSL gibi RSA, DES, MD5 ve SHA kullanarak kart hamilinden bankaya kadar her aşamayı şifrelemektedir ve otantikasyonunu yapmaktadır. Doğal olarak işyeri web sitesinin yanı sıra, kart hamili, banka, VISA, ve tüm ara sistemlerin ayrı,ayrı RSA gizli ve açık anahtarları olması gerekmektedir.

SET, SSL ile karşılaştırıldığında çok daha karmaşık bir sistemdir. Sadece SET sistemini tanımlayan dokümantasyon bile 971 sayfadır. Oysa, SSL V3 spesifikasyonu sadece 63 sayfadır.

SET oldukça ulvi ideallerle oluşturulmuştur. Teori olarak çok güzeldir, ancak pratikte uygulanması bugünkü teknik koşul ve ortamlarda mümkün gözükmemektedir. Büyük bir olasılıkla, SET standardı doğmadan ölecektir, onun yerine SSL, Smartcard ve bazı SET-gibi işlevler sunan daha basit, kullanışlı ve çalışabilir bir sistem gelecektir.SET standardında bir uçtan diğerine her aşamada otantikasyon yapılır. Bunun için en önce işlem yapan kişinin güvenilir bir kaynağa kaydedilmiş bir sertifikası gerekir. Yüz milyonlarca kart hamiline sertifikalar nasıl üretilecek, saklanacak ve dağıtılacaktır ? Bunun bugün için fizibl bir çözümü ve altyapısı mevcut değildir. Onun için tüm SET uygulamaları pilot ve lokal projeler olarak kalmaktadır.

Bir işlem sırasında, web sitesi kart hamilinin sertifikasını kontrol eder, kart hamili web sitesini, web sitesindeki sistem bankanın sistemini, işlemler şifrelenir, gizlenir, işlemleri işyeri görmesin diye bir sürü işlem yapılır, işlemi alıcı inkar etmesin diye digital imzalar atılır, işyeri caymasın diye işyeri digital imzalar atar, alınan provizyondan issuer caymasın diye acquirer banka digital imzalar alır, issuer banka işyeri sahtekarlık yapmasın diye ondan digital imzalar alır..alır..verir..alır..verir… Bütün bunların hepsi için tüm unsurlar dünyanın farklı noktalarında bulunur, yolda geçen iletişim hız kayıpları, sistem yoğunlukları, artı defalarca yapılan yavaş RSA şifreleme ve çözme işlemleri, sertifika kontrolleri sonucunda SET işlemleri kabul edilemeyecek kadar uzun sürer. Kişisel sertifikaların dağıtma sorunu, böyle karmaşık bir sistemi kurma ve işletme sorunları SET standardını kullanılamaz hale sokar. Sonuç olarak hemen, hemen bugün hiç kimse gerçek hayatta SET kullanmamaktadır.Yapılan tüm kullanımlar baskı sonucu yapılan politik pilot çalışmalardır.Türkiye’de hiç bir SET üye işyeri yoktur. Çalışan tüm siteler 40-bit SSL’dir. Site sayfalarına konulan SET logoları kurallara aykırıdır.www.setco.org , VISA ve MASTERCARD tarafından belirlenen SETCO MARKS kullanım kuralları gereğince bkz. sayfa 4, madde www.setco.org/download/set_mark.pdf kesinlikle kart hamilinden gateway`e kadar tüm aşamalarında SET protokolünü kullanan işyerleri web sitelerine SET logosunu koyabilirler, kuralını açık ve net bir şekilde belirtmektedir.

Bugün birçok firmanın ve bazı bankaların yaptığı gibi 40-bit SSL ve hatta hiç bir şifrelemesi olmayan sitelere SET logosu konulması hatalı ve kurallara aykırıdır. Bunu yapan bankalar hem kuralları ihlal etmekte, hem de haksız rekabet yapmaktadırlar. Hiç bir banka bugün zincirin en zayıf olan halkası olan kart hamili ile web sitesi arasında SET standardını uygulamamaktadır.

SET standardının kart hamili aşamasından başlayarak uygulanabilmesi için öncelikle kart hamili WALLET adı verilen bir yazılımı yüklemesi gerekir. Megabyte büyüklüğündeki böyle bir wallet’ın yüklenmesi hem çok uzun sürmektedir, hem de kurulması çok kolay değildir. Bunun da ötesinde her kullanıcının özel sertifikası olması gerekmektedir.

Altyapı ve yöntemlerde bazı hızlı değişimler olursa veya politik zorlamalar sonucu ileriki yıllarda SET daha yaygın olarak kullanıma girebilir.

27- GÜVENLİ ŞİFRE ANAHTAR UZUNLUKLARI

Bugün itibariyle 512 bitlik RSA anahtarları kırılabilmektedir. Bunun için 3000 adet hızlı bilgisayarın, 3 ay çalışması gerekmektedir. Bu nedenle çok gizli işler için 1024, askeri sırlar için ise en az 2048 bit gerekmektedir. DES, RC4, RC5 ve IDEA gibi simetrik şifreler için 128 bit kesinlikle güvenlidir denilebilir. Diğer taraftan, 40-bit şifreleme kesinlikle güvensizdir. ATM ve POS’lerde, BKM, VISA ve EUROPAY şifre bloklarında kullanılan 56-bit DES, ABD, Fransa, İsrail, İsveç v.s. gibi yüksek teknolojiye sahip ülkelerce kısa sürede kırılabilir.

Birkaç gün içinde 56-bit DES şifresinin kırılmasını sağlayacak makinanın şemaları mevcuttur ve $100.000 bedelle imal edilebilir. Piyasadaki bilgisayarların alımı yoluyla yaklaşık 1-2 milyon dolarlık yatırımla kısa sürede 40-56-64-bit DES/RC4 şifrelerini kırabilirsiniz. Aynı şekilde Internet üzerinden ortak çalışmayla bu boyuttaki anahtarlar kırılabilir.

ATM, POS, BKM, VISA ve MASTERCARD ile yapılan haberleşmeler 56-bit olmaktadır ve kırılma tehditi altındadır. Özellikle birçok banka ATM ve POS PINPAD’lerinde statik DES anahtarları bulundurmaktadır. Bunların kırılması olası olduğu gibi hiçbir MAC: Mesaj Authentication Code kullanılmadığı için Fradulent Replay tekniği ile geçerli bir kodun farklı bir işlemde kullanılabilmesi sahtekarlığına açıktır. Bu noktada dikkat edilmesi gereken nokta RSA gibi kamuya açık algoritmaların anahtar uzunluğu ile DES gibi simetrik kriptoların anahtar uzunluklarının farkıdır. RSA için kullanılan 1024 bit karşılığı olarak 112 bit DES yeterli olmaktadır. RSA anahtarları uzadıkça işlem süresi çok artmaktadır.

28- POS MESAJLARININ GÜVENLİĞİ

Asenkron VISA II, SPDH ve senkron SDLC Hypercom HPDH/ISO-8583 POS mesajlarının hiç bir veri güvenliği yoktur. Tüm kartların TRACK 2 manyetik şerit bilgileri yaklaşık 1000$’lık bir cihazla telefon hatlarından farkedilmeden elde edilebilir. POS mesajlarında hiç bir güvenlik unsuru yoktur.

29- ATM MESAJLARININ GÜVENLİĞİ

Diebold 911/912, NCR NDC/NDC+ ve diğer ATM mesajlarının hiç bir veri güvenliği yoktur, sadece PIN blokları korunmaktadır. Tüm kartların TRACK 2 manyetik şerit bilgileri çeşitli yöntemlerle farkedilmeden elde edilebilir. ATM mesajlarında yeterli bir güvenlik unsuru yoktur. Genellikle statik amahtarlar kullanıldığı için Fradulent Replay tehditi mevcuttur.

30- POS PİNPAD GÜVENLİĞİ

Bankalarımızın POS Pinpad’leri için hiç bir güvenli stok kontrol, anahtar yükleme, değiştirme ve yönetim politikaları mevcut değildir. Son derece dikkatsiz bir şekilde şifre yükleme prosedürleri uygulanmaktadır. Çoğu zaman firmalardan gönderilen test anahtarları master key olarak kullanılmaktadır. EMAC veya DUPKT gibi güvenli yöntemler zor geldiği için kullanıma sokulmamaktadır.

31- POS CİHAZININ PİNPAD OLARAK KULLANILMASI

Bankalarımızın bazıları POS’leri Pinpad gibi kullanmaktadır. Bu uygulamaların hiç birisinin güvenli olmadığı kanısındayız. Bunun ötesinde, POS genel amaçlı programlanabilir bir cihaz olması nedeniyle ekranda güvenli işlem simulasyonu yapılarak aslında kullanıcıların PIN’leri kolaylıkla çalınabilir. Örneğin her işlemde POS’e PIN girmeye alışık Fransız turistlere Türkiye’de böyle bir prosedür olmasa bile sahte bir programla şifre girdirilebilir, bu esnada TRACK 2 bilgisi çalınabilir, işlem normal olarak imzalı olarak tamamlatıldıktan sonra elde edilen PIN ve TRACK 2 bilgisi boş kartlara kopyalanarak ATM’lerde kullanılabilir.

32- SAHTE PROGRAMLAR

Banka bünyesinde çalışan bazı kötü niyetli programcılar programlarla oynayarak çeşitli suistimaller yapabilir. Bu bakımdan bankada işleyecek tüm programların belleğe alınmadan önce digital sertifika kontrolü olması gerekir. Yani sadece güvenlik komitesince incelenmiş, test edilmiş ve digital olarak mühürlenmiş modüllerin kullanılması sağlanmalıdır.