İletişimin her alanının izlenebildiği, kimi zaman yazılım hataları, kimi zaman kötü niyetli kullanıcılar tarafından yasadışı dinlendiği bir dünyada hiçbir koşulda güvende değil miyiz?
İnternet ile hayatlarının 10’lı ve 20’li yaşlarının başında tanışan 1970 ve 1980’lerde doğan insanlar için parola yönetimi ve İnternet’te güvenlik her zaman büyük bir mit oldu. Birçok konunun aksine, büyüklerimizden nasihat alamayacağımız bu konuyla alakalı kulaktan dolma bilgilerle ve kendi kendimize geliştirdiğimiz yöntemlerle İnternet’te güvenliğimizi sağlamaya çalıştık.
2000’li yıllarla birlikte hayatımızın her alanına nüfuz etmeye başlayan İnternet üzerinden yaptığımız işlemlerle önce banka sıraları, ardından bilet kuyrukları, sonrasında da havalimanındaki check-in sıraları tarih oldu.
İnternet’te tüm zamanların en tehlikeli beş bilgisayar virüsünü araştırdığınız zaman, karşınıza çıkan tablo oldukça ürkütücü. Bununla birlikte, en büyüğü 2 milyon bilgisayara kendini kopyalamayı başarmış ve bir takım işgücü kaybı ve boşa geçen zamanın maliyetinin hesapları sonucu ortaya çıkan 38 milyar dolarlık zarar yol açmış olan, sonuncusu da 2004 yılında yaşanmış olayların detaylarına ulaşıyorsunuz.
Son yıllarda hayatımıza Türkçe’ye bulut bilişim şeklinde yerleşmiş olan cloud uygulamaları ve sosyal medya girdi. Bu ortamda güvenli bir şekilde İnternet’te sörf yapabilmenin anahtarı, her bir İnternet tarayıcısında kendini farklı bir şekilde belli eden, toplamına SSL bağlantı adını verebileceğimiz bir bağlantı şekli aldı. İşlem yaptığımız site bir banka olsun, bir alışveriş sitesi veya bir sosyal medya sitesi olsun, adresinin başında ‘https’ etiketini gördüğümüzde, adresin sol kısmında kimi zaman yeşil, kimi zaman parlak sarı bir anahtar işareti gördüğümüzde işlerin yolunda olduğunu anladık. Biliyorduk ki, bu sayede girdiğimiz siteye şifremizi girerken yazdıklarımız yalnızca o sitenin yazılımı tarafından okunacak ve başka kimseler bu bilgiyi göremeyecekti. Herhangi bir durumda geri-ileri tuşlarını kullanarak sayfalar arasında ilerlediğimiz zaman bile ‘oturum geçersiz hale gelecek’ ve bizi tekrar sisteme girmeye zorlayacaktı.
Sunucu tabanlı çalışan tüm bu sistemler, yukarıda çok yalın bir şekilde anlatmaya çalıştığım SSL bağlantıyı, kendi üzerlerinde barındırdıkları tüm bilgileri de tek yönlü şekilde şifrelemek ve sadece kullanıcısının talebi ile açabilecek yapıda tasarlanırlar.
Kullandığımız masaüstü bilgisayarlarda ezici bir çoğunlukla kullanılan Windows işletim sistemlerine benzer bir şekilde, kullanılan bulut tabanlı uygulamalar ve İnternet’te yer alan sunucuların ezici bir çoğunluğunda da Apache web sunucusu yazılımı kullanılır. Apache’nin özelliği, ücretsiz ve açık kaynak koduna sahip olması, bu sayede isteyen herkesin koda müdahale ederek kendi ihtiyacı doğrultusunda kullanabilmesi ve performansını düzenleyebilmesidir. Yapılan araştırmalar, dünya üzerindeki sunucuların üçte ikisinde Apache kullanıldığını gösteriyor; bu oran veri trafiği dikkate alındığı zaman daha da yukarılara çıkıyor.
Apache gibi, SSL bağlantı özelliklerinin web sunucusu üzerinde çalıştırılabilmesi için kullanılan popüler yazılımların başında OpenSSL yazılımı geliyor. Adından da anlaşılacağı gibi açık kaynak koduna sahip bu yazılım, hem ücretsiz oluşu, hem de kullanıcıları tarafından sürekli geliştirilerek talepler doğrultusunda geliştirilebildikleri için günümüzde İnternet’te bilinen tüm büyük İnternet portallarında aktif olarak kullanılmakta. Aynı şekilde web posta sunucuları, VPN servisleri, anında mesajlaşma servisleri de OpenSSL’in önde gelen kullanıcıları arasında yer alıyor.
Bu yılın Nisan ayının 1’inde, her sene yaptıkları yaratıcı şakalara ilave olarak Google güvenlik mühendisleri OpenSSL yazılımının kodunda önemli bir yazılım hatasına (Bug) rastladılar. Buna göre, bir SSL sunucusunun görevi olan, koruması gereken dört ana element ile ilgili bilgilerin açığa çıkmış olabileceği ile ilgili oldukça ciddi şüpheler oluştu. Bu bilgiler, birinci derecede önemli kullanıcı adı-parola bilgilerine sunucunun ulaşmakta kullandığı anahtar bilgileri, kullanıcıların kullandıkları isim/şifre/parolalar, sunucu üzerinde şifreli şekilde tutulan içeriğin görünür kılınması için kullanılan anahtarlar ve bir takım geçici ve tamamlayıcı bilgilerin tutulduğu bölüm şeklinde sıralanabilir. Kısacası bu açığı kullanan bir bilgisayar korsanının, kullanıcısına son derece güvenli olarak gözüken bir web sitesinin sunucusundan alamayacağı bilgi neredeyse yok denecek kadar azdı.
İşin detayına girildikçe olayın vahameti daha da arttı. Zira ilgili hatayı düzelten yama yedi gün gibi oldukça kısa bir sürede çıkarılıp web sunucuları tarafından devreye alındı ancak yukarıda bahsedilen kullanıcı isim/şifre ve parolaları kullanıcıları tarafından değiştirilmeden gerçek güvenliğin sağlanması mümkün olmayacaktı. Bununla birlikte, kaynak koduna girildiğinde ilgili yazılım hatasının Mart 2012’de resmen duyurulan Open SSL 1.0.1 sürümünden beridir var olduğu bilgisi gündeme bomba gibi düştü.
Sistemlerini sürekli güncel tutmayı alışkanlık etmiş tüm servis sağlayıcıları, yaklaşık iki yıllık bir süreç boyunca sistemlerini dış ataklara karşı kırılgan hale getiren bir duruma getirdiklerinden adeta habersizdiler…
Hatanın tespitinin ardından yaratılan forumlarda sunucular üzerinde gerçekleştirilen test amaçlı saldırılarda, saldırılan sunucuların tüm bellek içeriğine ulaşmak mümkün olmuş, sunucu ile kullanıcılar arasındaki iletişimin dinlenmesi ve kaydedilmesi sağlanmıştı. Aynı şekilde belirli kullanıcı isimleri ve parolalara ulaşıldığı için, belli siteler üzerinden kullanıcıları taklit ederek işlem gerçekleştirmek mümkün olmuştu. Tüm bu işlemler yapılırken bilgisayar korsanları arkalarında hiçbir iz bırakmamayı başarmışlardı.
Yukarıdaki son cümlede bahsettiğim detay nedeniyle ‘Heartbleed’ adı verilen bu açığın yarattığı gerçek hasar bilinmiyor, ancak IT dünyasına bomba gibi düşen bu haber sonrasında artan ataklar neticesinde Kanada Vergi Dairesi, en az 900 vergi mükellefinin bilgilerinin çalındığını ve daha fazlasına ulaşılmaya çalışıldığını duyurdu. Ortaya çıkan söylentilerin en korkutucu olası ise, Amerikan Ulusal Güvenlik Ajansı – NSA’nın ilgili yazılım açığını yaklaşık bir yıldan uzun süre önce fark etmiş olduğu ancak casusluk faaliyetlerini gerçekleştirebilmek için müdahale etmeyerek kullandığı idi.
Facebook, Tumblr, Yahoo, Google ve Dropbox gibi firmaların maruz kaldığı bilinen güvenlik açığının yarattığı muhtemel riski sanırım tahmin edebiliyorsunuzdur.
Peki, böyle bir durumda ne yapmak lazım? İletişimin her alanının izlenebildiği, kimi zaman yazılım hataları, kimi zaman kötü niyetli kullanıcılar tarafından yasadışı dinlendiği bir dünyada hiçbir koşulda güvende değil miyiz? Bu sorunun cevabı çok basit değil, zira yasadışı bir şey yapmıyorsanız bile, hepimizin, birilerinin bilmesini istemediğimiz bir takım sırları var, bu sırlara ilişkin yazışmalar, İnternet aramaları, görüntü vb. medya çoğunlukla İnternet üzerinde saklanıyor ve paylaşılıyor. Bu riski bilerek hareket etmek sanırım en doğrusu.
Son söz olarak, yukarıda bahsettiğim hizmetleri kullanıyorsanız tamamında kullandığınız parolaları değiştirmeyi unutmayın. Heartbleed bug’ı kullanıcının parolasını değiştirmeden tamamen temizlenmiş olmuyor. Mümkün olan tüm sitelerde de ‘Çift Katmanlı Doğrulama’ adı verilen güvenlik ayarını da aktif hale getirmeyi alışkanlık haline getirin. Bu sistem çoğu durumda ilgili sitelere bağlandığımız zaman cep telefonumuzun yanında olmasını şart koşuyor ama sağlamış olduğu ilave güvenlik için değer.
Bir dahaki güvenlik açığı ortaya çıkıncaya kadar, güvenli sörfler…