Doğu Eroğlu / Demokrat Haber
Bilişim güvenliği alanında çalışan TurkTrust firmasının, internet sitelerine sağladığı güvenli sunucu sertifikalarından birinin sahte olduğunun ortaya çıkması tüm dünyada panik yarattı. Sahte sertifika aracılığıyla, internet kullanıcılarının gizli bilgilerine erişelebileceği ihtimali üzerine, Google ve Microsoft tüm kullanıcılarını uyardı. Sorunlu sertifikanın Ankara’da faaliyet gösteren Elektrik Gaz Otobüs İşletmesi’nin (EGO) resmi adresi Ego.gov.tr adına düzenlenmiş olması, “Devlet internet kullanıcılarını izliyor mu?” şüphesi yarattı.
3 Ocak tarihinde, Google’ın güvenlik gelişmelerinin duyurulduğu internet sitesinde yer alan bir uyarı, tüm dünyanın bilişim güvenliğinin, internet sitelerine güvenli sunucu sertifikaları sağlayan az sayıda firmadan biri olan TurkTrust’ın bir hatası yüzünden tehlikeye girdiğini duyurdu. Google’ın sitesinde yer alan uyarıda, TurkTrust firmasınca düzenlenen bir güvenlik sertifikası aracılığıyla aralarında Google ve YouTube gibi sitelerin de olduğu pek çok adres için sahte güvenlik sertifikaları düzenlendiği, sahte güvenlik sertifikalı sitelere yönlendirilen kullanıcıların bilgilerinin, sertifikaların düzenlendiği Ağustos 2011’den beri üçüncü şahısların erişimine açık olduğu belirtildi. Google’dan gelen açıklamayla, TurkTrust şirketinin, Ankara’da faaliyet gösteren Elektrik Gaz Otobüs İşletmesi’nin (EGO) resmi adresi Ego.gov.tr’ye, sitenin güvenilir olduğunu gösteren bir sertifika yerine, internetteki tüm adresler için sahte güvenlik sertifikası düzenleme yetkisi bulunan bir sertifika verdiği ortaya çıktı. Sahte sertifikaları 24 Aralık’ta fark eden Google, TurkTrust’tan gelen sertifikaları engelledi. Bu gelişme üzerine TurkTrust, Ego.gov.tr için düzenlediği güvenli sunucu sertifikasını değiştirdi.
***
GÜVENLİ SUNUCU SERTİFİKASI (SSL) NEDİR?
SSL, iki nokta arasında yapılan bağlantıyı şifreleyerek yüksek güvenlikli veri alışverişini sağlar. SSL protokolü, e-ticaret siteleri, e-posta uygulamaları veya e-devlet işlemleri gibi hassas verilerin yer aldığı tüm veri alışverişlerinde kullanılır.
***
GOOGLE VE MİCROSOFT TURKTRUST SERTİFİKALARINA KARŞI KULLANICILARINI UYARDI
Ego.gov.tr’ye verilen yetki ile internetteki tüm adresler için sahte güvenli sunucu sertifikaları düzenlenebileceğinin anlaşılmasıyla birlikte, Google ve Microsoft kullanıcılarını TurkTrust şirketince oluşturulmuş güvenlik sertifikaları konusunda uyardı. Google, Chrome internet tarayıcısının bir sonraki sürümünde, TurkTrust tarafından oluşturulmuş güvenlik sertifikalarının seviyesini düşüreceğini duyururken, Microsoft ise kullanıcılarını olumsuz etkilerden korumak için bir güncelleme yayınladı. Dünyanın en çok kullanılan internet tarayıcılarından Opera’da da TurkTrust sertifikalarının güvenlik seviyesi düşürüldü. Firefox ise TurkTrust sertifikalarının 8 Ocak’tan itibaren tamamen yayından kaldırılacağını duyurdu.
TURKTRUST’TAN ‘HASAR YOK’ AÇIKLAMASI
Dışişleri, Milli Savunma ve Maliye Bakanlıkları, Başbakanlık müşavirlikleri, Emniyet Genel Müdürlüğü, Sayıştay, Yüksek Seçim Kurulu, Genelkurmay Başkanlığı, Radyo ve Televizyon Üst Kurulu, Türkiye İstatistik Kurumu gibi kamu kurumlarına güvenli sunucu sertifikası sağlayan TurkTrust, Google’ın uyarısı üzerine yaptığı kamuoyu açıklamasında hatayı kabul etti. 4 Ocak’ta yapılan yazılı açıklamada, “Söz konusu hatalı üretimin sadece bir kez gerçekleştiği, sistemlerimize herhangi bir müdahalenin söz konusu olmadığı, hatalı üretim sonucu ortaya çıkan bir zarar bulunmadığı tespit edilmiştir” ifadeleri yer aldı.
TurkTrust’tan gelen açıklamalara karşın olay dünyadaki pek çok bilişim ve çevrimiçi güvenlik uzmanında endişe yarattı. Özellikle TurkTrust’ın hatalı üretim sertifikayı bir devlet kurumunun kullanımına tahsis etmesi, devlet kurumlarınca kullanıcıların izlendiği, sahte sertifikaların yer aldığı sitelere girilen bilgilerin ve e-posta yazışmalarının devletçe görüntülendiği şüphesini gündeme getirdi.
***
Güvenli sunucu sertifikaları, TurkTrust’ın meseledeki rolü ve sahte sertifikalarla izleme yapılıp yapılamayacağına ilişkin soruları bilişim uzmanı Tolga Kaprol cevapladı.
TurkTrust firmasının küresel internet güvenlik ağındaki konumu nedir?
TurkTrust, Ana Sertifika Otoritesi’ne bağlı çalışan, güvenli sunucu sertifikası düzenleyebilen kurumlardan biri. TurkTrust gibi sertifika otoritesi kurumlar, istedikleri alan adına sertifika düzenleyebiliyor.
Firma, EGO için tanımlanan sertifika üretme yetkisinin bir hasara yol açmadığını ileri sürüyor. Bunu teyit etmek mümkün mü?
Sertifikalar hangi bilgisayarlara gönderildiyse o bilgisayarların en azından IP adresleri ve kaç kez kullandığı kayıt altındadır. Sunucu kontrolü yapılarak sertifika ile işlem yapılmadığı tespit edilmiş olabilir.
Ancak TurkTrust'ın otomasyon sisteminin nasıl çalıştığını bilmediğimizden, hatalı sertifikaların bir kereye mahsus mu oluştuğu konusunda dışarıdan net bir kanıya varmak mümkün değil. Ancak bu kadar kritik işlemlerin yapıldığı bir sistem bu kadar büyük yetkiye sahip bir sertifikanın oluşmuş olması, daha da kötüsü ancak bir yıl sonra ortaya çıkmış olması düşündürücü. Tüm internet güvenlik dünyasını ayağa kaldıran nokta da burası. Dünyadaki tüm tarayıcılarının güvendiği bir kurumda böyle bir sertifika yayınlanıyor ve bir yıl boyunca sertifikalar kullanılabilir durumda duruyorlar. Bu sertifikaların geçen yıl oluşturulduğunu Google uyardıktan sonra fark ettiler. Google bu uyarıyı yapmasa o sertifika bugün çalışıyor olacaktı.
EGO’ya verilen yetkiyle Google’ın çeşitli hizmetleri ve YouTube için sahte lisanslar üretildiği tespit edildi. Bu sertifikaların rastgele oluşmuş olma ihtimali var mı? Başka siteler için sertifika üretilip üretilmediğini nasıl anlayabiliriz?
Google'ın hemen hemen tüm servislerini kapsayacak şekilde bir sertifika oluşmuş olması ilginç. Yaklaşık 20 adet alan adı aynı sertifika ile imzalanmış. İnternette birkaç yüz milyon alan adı olduğunu düşünürsek, rastgele bir şekilde 20 tanesini bir araya getirmek imkansız.
Başka sitelere sertifika oluşturulmuşsa bunu ancak TurkTrust görebilir. Ya da o sertifikanın kullandığı bir siteye girmek ve sertifikayı derinlemesine incelemek gerekir.
Sahte sertifikalar nasıl oluşturulur? Sahte sertifika kullanıcıyı hangi noktada tehdit ediyor?
Sahte bir ssl sertifikasını az bir teknik bilgi ile herkes oluşturabilir. Ancak oluşan bu sahte sertifikalar modern tarayıcılar tarafından anında algılanarak kullanıcısını uyarırlar. Ancak bu sahte sertifika, sertifika otoritesi yetkisine sahip bir firma tarafından oluşturulsa sertifikanın geçersiz olması tarayıcı tarafından algılanamaz. Böylece sahte bir site gerçekmiş gibi gösterilebilir. Bu sahte siteye girilen bilgilere sahte sitenin sahibi tarafından erişilebilir. Bu durum SSL güvenliği kavramının da çökmesi anlamına gelir. Bu yüzden tüm internet dünyası TurkTrust'ın kök sertifikasını sistemlerinden silme yönünde bir reaksiyon gösterdi.
Sahte sertifikalı sitelere giren kullanıcıların bilgi güvenlikleri tehlikeye girer mi?
Sahte sertifikanın var olması yeterli olmuyor. Bu sertifikanın sahte bir sitede kullanılabilmesi için kullanıcının Google.com’a bağlandığında Google’a ait gerçek IP adresi yerine sahte sertifikalı sunucuya ulaşması gerekmekte. Bu ise ya internet sağlayıcılarındaki ya da kurumun yerel ağındaki DNS sunucularında değişiklik yapılması ile mümkün olabilir.
Mahkeme kararı ile yasaklanan sitelerde de benzer bir teknik kullanılmaktadır. Yasaklanan siteye girmek isteyen kullanıcı gerçek IP adresi yerine mahkeme kararının yazdığı başka bir sunucuya yönlendirilmektedir.
Kullanıcının güvenlik namına tutunabileceği tek dal belki de SSL sertifikasıdır diyebiliriz. Ancak sahte bir sertifika varsa değil kullanıcı, en dikkatli ve bilgili kişiler bile sahte sayfaya yönlendiğini fark edemezler. Şifre girdikten sonra, şifre bu sahte sunucuya ulaşacağı için sunucu sahibi bu şifre ile gerçek siteye girip e-postalara bakabilir. Yalnızca e-posta değil, Google hesabına bağlı kullanılan diğer hizmetler de risk altında olabilir.
Bu olayda EGO’nun rolü nedir?
EGO'nun bu noktada bir rolü olmadığı gözüküyor. EGO'nun internet sitesi ziyaret edildiğinde sadece e-posta bölümünün SSL kullandığı ve SSL'in TurkTrust'tan alındığı, olayın ortaya çıkmasından sonra da yenilendiği gözüküyor.
Sertifika otoritesi bir şirketin “yanlışlıkla” da olsa bir devlet kurumuna güvenlik sertifikası düzenleme yetkisi vermesi dünyadaki internet kullanıcılarını, Türkiye’deki resmi makamlarca izlendikleri konusunda tedirgin etti. Bu yersiz bir endişe mi?
2012'de TTNet'in Phorm şirketini kendi ağına kullanıcılardan izinsiz bağladığı ve kullanıcıların hareketlerini takip ettiği ortaya çıkmıştı. 14 Aralık’ta Bilgi Teknolojileri ve İletişim Kurumu’nun aldığı karara göre TTNet hakkında soruşturma başlatıldı. Bu başlı başına endişe veren bir durumdu zaten. TurkTrust olayı ise yalnızca Türkiye’deki değil, tüm dünyadaki kullanıcılarda endişe yarattı. Yurt dışındaki büyük tepki ve tüm tarayıcı üreticilerinin anında reaksiyon vermesi bu endişenin sonucu.
Kullanıcılara bilgi güvenliklerini sağlamaları noktasındaki tavsiyeniz nedir?
Bu konuda kullanıcılara tavsiyem, anormal bir durum sezdiklerinde güvenli başka bir bilgisayardan, tercihen başka bir ağ üzerinden şifrelerini değiştirmeleri. Ek bir güvenlik önlemi olarak Google, bankalardaki gibi her girişte kullanıcının cep telefonuna kısa mesaj gönderip teyit isteyebiliyor. Şifreleri ele geçirilmiş olsa bile, kısa mesajla edinilen kod olmadan giriş yapılamayacağı için en azından hesaplarının kontrolünü ellerinde tutabilirler. Bankalar için de aynı durum söz konusu.
Geçmişte benzer bir sorun yaşayan Hollandalı sertifika otoritesi firması Diginotar faaliyetlerini durdurmak zorunda kalmıştı. TurkTrust bu olanlardan nasıl etkilenecek?
Bu tip kurumlar en ufak bir hatayı bile kaldırmıyor. Tüm internet dünyasında SSL güvenliği bir anda güvensiz hale geldi. Herkes panikle TurkTrust'ın kök sertifikasını "güvensiz sertifika" düzeyine çekti. TurkTrust, 2006'dan beri tüm aktif tarayıcılara tanımlı olarak geliyordu, birkaç yıl sonra küresel bir sertifika dağıtıcısı konumuna gelecekti. Bunu başarabilen firma sayısı bir elin parmaklarını geçmemekteydi. Sadece kurum olarak değil ülke bazında da çok önemli bir olaydı bu. Sahte sertifika olayıyla TurkTrust bu yolda önemli bir yara aldı, Türkiye'nin zaten spam ve saldırılar nedeniyle çok iyi olmayan ülke itibarı da zedelendi.
