Birkaç yıl önce Sırbistan’da düzenlenen Balkan Bilgisayar
Kongresine konuşmacı olarak gitmiştim. Yurt dışında yaptığım konuşmalarda 2
konuya özen gösteriyorum; lokum ve yerel espriler. Tel Aviv’den Paris’e bütün
konuşmalarıma aynı şekilde başlıyorum: “I’m Turkish and these are Turkish
delights” (ben Türk’üm, bunlar da Türk lokumu).
Yerel espri konusunda ise “bu adam böyle bir espri olduğunu
nereden biliyor?” diye düşünmelerine neden olabilecek kadar özel bir şey
bulmaya çalışıyorum. Yer Sırbistan olunca Arnavutluk ile ilgili birkaç espri
iyi olur gibi gelmişti. Aşağıdaki görsel de en çok güldükleri slaytta yer
alıyordu.
“Merhaba, ben Arnavut bir virüsüm ama ülkemdeki teknolojinin
geri kalmış olması sebebiyle bilgisayarınıza zarar veremiyorum. Rica etsem sizin
için önemli olan dosyalarınızı silip beni başka bir kullanıcıya iletebilir
misiniz?”.
O zamanlar virüsün kendi yapması gereken bir şeyi sizden
istemesi komikti. Kazakistan’da benzer bir konu fıkra olmanın ötesine geçmiş.
17 Temmuz 2019 tarihinden itibaren Kazakistan’da internete bağlananlar devletin
yayımladığı bir mesajla karşılaştılar: “HTTPS trafiğinizi izleyebilmemiz için
lütfen bu sertifikayı yükleyin”. Zaytung haberi gibi değil mi? Özetle,
Kazakistan devleti vatandaşına “senin HTTPS trafiğini izlemek, maillerini
okumak, DM’den kimlere yürüdüğünü görmek, bankacılık işlemlerine göz atmak
istiyoruz” diyor. Bunun için özel olarak geliştirilmiş teknolojileri kullanmak
yerine en basit ve ekonomik yolu seçmişler. Oluşturdukları bir sertifikayı
kullanıcılar tarayıcılarına tanımlayacak, böylece de HTTPS trafiği diledikleri
gibi görüntüleyebilecekler.
HTTPS nedir?
İnternet siteleriyle bilgisayarımız arasındaki iletişimin
güvenliğini sağlayan en önemli unsurlardan birisi SSL sertifikalarıdır. Bunlar;
hem bağlandığımız sitenin kimliğini doğrular (“evet, burası gerçekten
Facebook”) hem de aradaki iletişimin şifreli gerçekleşmesini sağlar. Normalde
dünya çapında güvenilen sertifika otoriteleri tarafından oluşturulan
sertifikalar zaten bilgisayarlarımız tarafından “güvenilir” kabul edilir.
https://www.facebook.com adresine
bağlandığınızda sayfanın sertifikası güvenilir bir sertifika otoritesi
tarafından verildiyse herhangi bir sorun yaşamazsınız. Tanınmayan veya
güvenilmeyen bir sertifika otoritesi tarafından verilen bir sertifika olması
durumunda ise tarayıcınızda, daha önce rastlamış olabileceğiniz “bu sayfanın
sertifikasına güvenilmemektedir. Devam etmek istediğinizden emin misiniz?”
benzeri uyarıyı görürsünüz.
SSL sertifikalarına güvenilir mi?
Bugün interneti, alışveriş veya e-posta gibi işlemler için “güvenle”
kullanabiliyorsak bu SSL sertifikaları sayesindedir. SSL özünde güvenilir bir
yapıdır ancak yapının güvenilirliğinin büyük ölçüde sizin “güvenilir” kabul
ettiğiniz sertifika otoritelerine bağlı.
Aşağıdaki örneği ele alalım. Vatandaşımız bir işlem için e-devlet
kapısına gidiyor (www.turkiye.gov.tr), sayfanın
kimliğini teyit eden ve aramızdaki iletişimin şifreli yapılmasını sağlayan bir
SSL sertifikası var. Adres çubuğundaki kilit işaretine tıkladığımızda bu
sertifikaya ilişkin ayrıntıları görebiliyoruz.
Bir siber suçlu olarak vatandaşın e-devlet işlemlerini
izlemeye çalıştığımı düşünelim. Bunun için kullanıcı ile e-devlet arasındaki internet
bağlantısını kendime yönlendiriyorum. Bu durumda SSL sertifikası olan
sayfalarda aşağıda görülen uyarıyı alacağım.
Uyarının çıkmasının nedeni aradaki sistemin SSL
bağlantısının bütünlüğünü bozması. Kısaca saldırganın “burası e-devlet”
demesinin, sistem açısından bir geçerliliği yok. Bilgisayarlarımız sadece “güvenilir”
sertifika otoritesi olarak tanımlanan kaynakların ürettiği SSL sertifikalarını
geçerli sayıyor. Aynı senaryoda vatandaş ile e-devlet arasına girmek için
kullandığım yazılımı “güvenilir sertifika otoritesi” olarak tanımlarsam
uyarının ortadan kalktığını görüyorum. Aşağıda görüldüğü gibi Firefox
tarayıcısının “güvenilir” kabul ettiği sertifika otoritelerinin bir listesi
var. Buraya bağlantıyı yakalamak için kullandığım yazılımı üreten firmayı
ekliyorum.
Sorun kalmıyor :)
Bu sayede ikisi arasındaki iletişimi sorunsuz bir şekilde
görüntüleyebiliyorum. (Ufak bir not: Bu saldırı turkiye.gov.tr özelinde
çalışmayacağı için örneği orayı kullanarak verdim. Güzel hareketi tebrik eder,
başarılarının devamını dilerim.)
Görüldüğü gibi güvenliğimiz SSL sertifikalarına, SSL
sertifikalarının güvenliği de hangi sertifika otoritelerini güvenilir kabul
ettiğimize bağlı.
SSL sertifika otoriteleri güvenilir mi?
SSL sertifikalarını üreten şirketler genelde çok sıkı denetlenirler.
Bu sayede de yapının belli ölçüde güvenilirliği devam edebilmektedir. Bugüne
kadar sertifika üreticilerinin güvenilirliğinin sarsılmasına neden olan belli
başlı olay türleri şunlar oldu:
- Sertifika otoritesinin hacklenmesi: 2011 yılında bazı sertifika otoritelerinin ağlarına sızan siber saldırganlar kendi amaçlarına hizmet edecek bazı sertifikalar ürettiler. Bu sayede Gmail gibi e-posta servisleri üzerinden gönderilen e-postaları okuyabildiler.
- Yanlış sertifika üretilmesi: 2013 yılında bir kamu kurumu (evet, Türkiye’de) “sehven” üretilen bir Google sertifikasını sistemlerine yükleyince olay uluslararası basında yer almıştı. Google için üretilen bir sertifika ile başta Gmail olmak üzere bütün Google hizmetleriyle yapılan bağlantıları görüntüleme imkanı sağlamıştı.
- Sertifika otoritesinin güvenilmez hale gelmesi: 2015 yılında Türkiye’den bir sertifika otoritesi güvenlik denetimlerine yeterli özeni göstermediği için Firefox tarafından güvenilir sertfika otoriteleri listesinden çıkartılmıştı.
- Sertifika otoritesinin çelişkili olması: 2019 yılında sertifika otoritesi olmak için başvuran Dark Matter Firefox ve Google (Chrome ve Android’de) güvenilmez olarak kabul ediliyor. Bunun nedeni Dark Matter şirketinin Birleşik Arap Emirlikleri adına siyasi amaçlı pek çok siber saldırıyı düzenleyen ve ülkenin istihbarat yapısının siber uzantısı olarak değerlendirilen grup olması.
SSL güvenliği için yapılabilecekler
Kuruluş içerisinde veya kendi bilgisayarınızda hangi
sertifika otoritelerinin güvenilir sayıldığını denetlemenizi öneririm. Böylece
adını sanını duymadığımız veya kötü niyetle oluşturulmuş sertifikaların
internet güvenliğinizi tehlikeye atmasının önüne geçebilirsiniz.
Windows sistemlerde arama kutucuğuna certmgr.msc yazarak sertifika
yönetimi uygulamasına ulaşabilirsiniz.
Bu listede, özellikle Dark Matter’a ait aşağıdaki
sertifikaları görürseniz mutlaka silin. Bunun dışında biraz mesai harcayarak
hangilerini tutmak istediğinize de karar verebilirsiniz.
- Dark Matter
- UAE Global
- Quo Vadis
Windows sistemlerin düzgün çalışması için gerekli olan sertifika
otoriteleri listesine https://support.microsoft.com/tr-tr/help/293781/trusted-root-certificates-that-are-required-by-windows-server-2008-r2
adresinden ulaşabilirsiniz. Bunların dışındakiler gidebilir.
Örneğin aşağıdaki ekran görüntüsünde görünen Quo Vadis sertifika otoritesi aslında Dark Matter ve Dubai istihbaratının SSL ile şifreli trafiğinizi okumasını önlemek amacıyla derhal kaldırılmalı.
Active Directory kullanıyorsanız bu işlemi ağ genelindeki
sistemler için bu işlemi Group Policy Manager üzerinden gerçekleştirebilirsiniz.
SSL sertifikalarının kullanımı konusunda bir miktar bilgi sahibi olmak buradan doğabilecek risklerin değerlendirilmesi ve yönetilmesi için gerekli gibi duruyor.
No comments:
Post a Comment