Bir Hacker'ın itirafları
Onlar, İnternet adlı rüyanın kabusları. İste bir Hacker'ın kendi ağzından itirafları...
İTİRAFLAR ARDINDAKİ GERÇEK...
SORU: Yurtdışındaki firmaların verdikleri sertifikaları taşıyan e-ticaret sistemleri ya da online bankaların güvenliği konusunda ne diyeceksiniz?
Bu internet güvenliği hakkında bir yanılgıyı ortaya koymak açısından iyi bir soru. SSL Sertifikaları sadece gidip gelen verinin güvenliğini sağlayan çift yönlü şifrelemeyi sağlarlar. Bu şifreleme mantıkları; DES-CBC3-MD5 Çok Yüksek v2.0, v3.0 CBC modunda 3DES, MD5 hash, 168-bit oturum anahtarı, DES-CBC3-SHA Çok Yüksek v2.0, v3.0 CBC modunda 3DES, SHA hash, 168-bit oturum anahtarı, RC4-MD5 Yüksek v2.0, v3.0 RC4, MD5 hash, 128-bit anahtar, RC4-SHA Yüksek v3.0 RC4, SHA hash, 128-bit anahtar, RC2-CBC-MD5 Yüksek v2.0, v3.0 CBC modunda RC2, MD5 hash, 128-bit anahtar, DES-CBC-MD5 Orta v2.0, v3.0 CBC modunda DES, MD5 hash, 56-bit anahtar, DES-CBC-SHA Orta v2.0, v3.0 CBC modunda DES, SHA hash, 56-bit anahtar, EXP-DES-CBC-SHA Düşük v3.0 CBC modunda DES, SHA hash, 40-bit anahtar, EXP-RC4-MD5 Düşük v2.0, v3.0 Export seviyesi RC4, MD5 hash, 40-bit anahtar, EXP-RC2-CBC-MD5 Düşük v2.0, v3.0 Export seviyesi RC4, MD5 hash, 40-bit anahtar, EXP-RC2-CBC-MD5 Düşük v2.0, v3.0 CBC modunda export seviyesi RC2, MD5 hash, 40-bit anahtar, NULL-MD5 - v2.0, v3.0 Kriptolama yok, MD5 hash, sadece kimlik tanılama, NULL-SHA - v3.0 Kriptolama yok, SHA hash, sadece kimlik tanılama’dır. Bu firmalar ise (CA - Certificate Authority) sadece bu sertifikaları onaylarlar.
BASİT BİR PROĞRAM YAKALIYOR
Bildiğimiz gibi internette her siteye girdiğimizde bizim girdiğimiz bilgiler karşı bilgisayara giderken bir çok bilgisayar üzerinden geçtiği gibi, geri dönen bilgide bir çok bilgisayar üzerinden geçer. Eğer site SSL kullanmıyorsa basit bir "sniffer" programı ile bu veriler yakalanabilir.
SSL bu gidip gelen verinin gerçek zamanlı olarak şifrelenmesini sağlar. Bu sayede gidip-gelen veri yakalansa bile şifreli olduğundan dolayı güvenlidir.
Aslında SSL bu tip sistemlerde neredeyse en son dert etmememiz gereken şeylerden biridir. Ek olarak zaten şu an tüm e-ticaret sistemlerinde SSL var. Ama firmalar bunu müşterilere daha büyük bir şeymiş gibi gösterip ekstra güven sağlamak istiyorlar. Türkiye şartlarında hala 128 – 168 SSL şifreleme mantığı kullanmaktadır. Fakat Yurt dışında ise bu 1024 bit veri şifrelemeye kadar dayanmaktadır. Özetle SSL siteyi değil sadece gidip-gelen verileri üçüncü gözlerden korur. Oysa burada sorgulanması gereken husus sitenin sistem güvenliği olabilir ki buda apayrı bir konudur. 128bit SSL şifreleme mantığının MD5 şifre kırıcı programlarla kırılmasının gerçekleştirilmesi imkansızın da dışındadır.
ALIŞVERİŞ SİTELERİNE DİKKAT
SORU: İnsanlar internette Kredi kartı kullanmasın mı? Ya da nasıl kullansınlar. Tavsiyeniz? Alışveriş edecekleri siteleri seçerken nelere dikkat etmeliler..
İnsanlar internette Kredi Kartı kullanmasın dersek çok büyük bir yanlış olur. Tabii ki kullanılmalı. Ancak biraz daha fazla güven ve rahatlık için "Sanal Kart" benzeri yapıları öneririm. Ek olarak aslında bu tip olayların bir çoğunda mağdur olan son kullanıcılar değil e-ticaret firmalarıdır. Çünkü bankalar sizin Kredi Kartınızın izniniz olmadan kullanılması durumunda genelde çok anlayışlı davranıyor ve bu durumda paranız %90 geri iade ediliyor.
Ancak e-ticaret sitesi sahipleri bu tip durumlarda direk maddi kayıp ve prestij kaybı ile yüzyüze geliyorlar.
Alışveriş sitesi seçerken dikkat edebileceğiniz pek bir şey yok. Çünkü bir uzman harici bir sitenin güvenliğinin test edilmeden o site için güvenlidir yada değildir denilemez. Hatta firmanın site güvenliği hariç firma içi güvenlik politikası da çok önemlidir.
Kimlerin sunuculara direk erişim hakkı var, Kaynak Kodları hangi personel gruplarına açık, Kredi Kartı Numaraları veritabanlarında tutuyorsa kimin bunlara erişim hakkı var ? Bu veriler ve hatta kullanıcıların kişisel verileri şifreli olarak mı tutuluyor gibi...
Gene de son kullanıcılar temel olarak Kredi Kartlarını saklı tutup tutmadıkları (sanırım hiç kimse Kredi Kartı numarasının bir firmada saklanmasından hoşnut olmaz), SSL kullanımına bakabilirler.
SANAL KART TERCİH EDİN
Tekrar belirtmek isterim ki son kullanıcı bu konuları kendine pek dert etmemeli, en kötü ihtimallerde bile en fazla banka ile birkaç telefon konuşması sorunu çözecek ve zararı giderecektir. Sanal Kartlar da ekstra bir rahatlık sağlayabilir.
(HACKER'IN KENDİ AĞZINDAN İTİRAFLARININ 3. BÖLÜMÜ YARIN HABERTURK.COM'DA)
