Ana sayfa BT Gündem Hackerlar Korkmayın Dijital İmzadan

Hackerlar Korkmayın Dijital İmzadan

Uzun süre düşündüm… Yazsam mı, yazmasam mı diye…

İki taraf var işin içinde. İki ucu otlu deynek. Ot kokmak da var sonunda.

Bir tarafta dijital imza kullanıcıları. Şimdi ben dijital imza sahtekarlıklarını açıklasam, yol göstersem, aman millet önleminizi alın desem. Ne yaparlar acaba? Kaale alırlar mı beni? Kaç kişi önlem alır ki? Amaaan kendi başlarının çaresine baksınlar… Bir musibet bin nasihatten iyidir ne de olsa.

Öbür tarafta korsanlar. İşin içinde gencecik çocuklar da var. Heveslerini kırmamak lazım. Daha 10 yaşındaki çocuk internet korsanı olmuş. Kendisine ‘hacker’ (başkalarının bilgisayarına, sistemine izinsiz yollarla giren kişi) dedirtmeye başlamış. Genç nesli dijital imzanın gelişi ile yormaya kimsenin hakkı yok. Çocuklar alışmışlar rahatlığa. İnternette bir arama. Başkalarının bilgisayarlarını ele geçirmek, şifrelerini öğrenmek için gerekli programlar ellerinin altında.

Rahata alışmış bu neslin çocuklarını kimse durduramaz!..

Beni mahveden de ruhumun anarşik yanı oldu zaten hep… Bir slogan daha patlatsam mı acaba.

Neyse…

Çocuklar sizin için e – imza sahtekarlığıyla ilgili birkaç ince yol göstereceğim. Bildiğiniz şeyler aslında. Siz başlayın, nasılsa daha iyisini zamanla bulursunuz. Bu arada size anlatırken, bazıları da önlem alır!

Belki…

Önce olaydaki kahramanlar :

Hırsız kişi : Sanal alemde hacker da denebilir. Bu isim ona daha karizmatik bir hava katar. Kimisi zevk için yapar bu uğraşı, kimisi para için.

Kurban : Ne yapıldığından habersiz, kendince masum kişi. Diretenin her dediğini doğru zanneden kişidir. Kendi doğruları yoktur. Soyulmaya hazır yegane kişidir. Hem direten, hem hırsız kişinin hedefindedir.

Direten : Otorite olduğunu düşünür. Dediği dediktir. Gerçekler, gerçek doğrular onu ilgilendirmez. Doğru bildiği yolda gider. Duyar, uydurur, inandırır. Bildiğini zanneder.

Gelelim asıl konuya.

İlk olarak kendisine güvenen hırsız kişi, bir dijital imza sahibini kurban seçer. Kurban yukarıdaki özelliklere sahiptir. Kadercidir.

Kurban, bilgisayar güvenliğinden çok fazla çakmaz. Kurduğu virüs programının kablolara mayın döşediğini zanneder. Bu yüzden pek fazla araştırma yapmaz. Diretene bu kadar güvenmesinin nedeni de budur. Diretenin doğrusu onun da doğrusudur. O yüzden hiçbir şey sormadan, farklı taleplerde bulunmadan gider, dijital imzasını alır diretenden. Bir bilseki direten en baştan kaybetmesine neden olacak.

Sahtekarlık için kilit nokta kullanıcının dijital imza işlemlerinde kullanacağı akıllı kart okuyucuda. Kanunda imzanın nerde taşınacağı, sertifikaların hangi özellikleri taşıyacağı belirtilmiş. Ama ya kart okuyucular. Onların da aynı kartlarda olduğu gibi güvenlik seviyeleri var. Ekranlısı, imzalama sırasında sesli ve ışıklı uyarı vereni, üzerinde tuş takımı olanı çeşit çeşit okuyucu var.

Biz kurbanın kart okuyucusuna gelelim. Kurbanda üzerinde tuş takımı olmayan sıradan bir akıllı kart okuyucu var. Ne sesli, ne ışıklı uyarı var cihaz üzerinde. Bu işin yarısı. Buraya kadarlık kısmı zaten direten kurbana zorla yaptırıyor. Dedik ya, diretenin her doğrusu doğru değil diye. Hikayenin sonunda göreceksiniz.

Direten kullanıcılara sertifika dağıtıyor. Ama sertifika basımı sırasında kritik özellikleri destekleyen modülleri kullanmıyor. Örneğin kullanılan PKCS 11 modülü ( Açık anahtar altyapısı için RSA’in geliştirdiği teknoloji bağımsız bir standarttır. Akıllı kart kullanımı için belirlenmiştir) tuş takımına sahip akıllı kart okuyucuları desteklemiyor. Yani kullanıcıda kart okuyucuda tuş takımı olsa da olmasa da imza işlemi için PIN’i klavyeden giriyor.

Klavyeden girilen PIN ve şifrelerin truva atları ile kolayca ele geçirildiği bilinen bir gerçek. Hacker’ın işi de burda başlıyor zaten. Hacker, kurbanın bilgisayarına keylogger, screencapture gibi truva atlarını rahatlıkla yükleyebilir. Bu sayede kurbana ait akıllı kartın PIN’i de öğrenebilir. Hacker artık kartın PIN’ini biliyor ve kart da hala okuyucuya takılı. Hacker artık kullanıcının adına arka planda imza atabilir. Kurbanı yasalar karşısında ne kadar zor durumlara sokabilir? Vay kurabanın haline.

Kurbanın dijital imzası ıslak imzasına eşdeğer tutuluyor. İyi ama kurban kartı takıp, PIN’ini girdiğinde gerçekte neyi imzalıyor? 24 hanelik hexadecimal bir sayıyı, iyi de bu sayı nedir? İmzaladığı dokümanın özeti. İyi de bu özeti bilgisayar üzerinde bir yazılım hesaplıyor, ya bu yazılım virüs’lerce değiştirilmişse ne olacak? Hacker kurbanın imzasını kullandığı için, kurban kanun önünde de suçlu duruma düşebilir. Bundan sonra ne olur? Kurban hapse girebilir. Hacker, eskisi gibi devesini yürütür. Direten de napar? Suçu kurbana atar. Kullanım hatası diye.

Güvenliği artırmak için dijital imzaya geçilse de, insanlar kimliklerini ispatlamak için hem kart, hem kart okuyucular kullansalar da, otorite diye kendini adledenlerin en ufak bir düşüncesizliğiyle yeni güvenlik teknolojileri de eski yöntemlere boyun eğebilir.

Tabiki herkes üzerinde güvenli PIN girişini sağlayacak tuş takımı olan okuyuculara ihtiyaç duymayabilir. Her kullanıcının ihtiyacı bir diğerinden farklı olbilir. Biri için en üst seviye güvenlik ön plana çıkarken, diğeri için mobilite de güvenlik kadar önemli olabilir. Kimi kullanıcılar güvenlik yanında farklı avantajlara da aynı ürünlerle sahip olmak isteyebilirler. Bu durumda kendini otorite olarak adledenlerin her türlü ihtiyacı göz önüne alarak farklı teknolojileri kullandırmaya izin vermesi gerekir.

Yoksa bu işler diretmeyle bir yere gitmez.

BİR CEVAP BIRAK

Please enter your comment!
Please enter your name here