Güvenlik bültenlerinde geçtiğimiz günlerde 2008 yılına ait web uygulamaları güvenlik istatistikleri yayınladı. Önceki yıllara oranla bilinçlenme ve güvenli kod yazma teknikleri biraz daha gelişmiş durumda. Önemli sayılabilecek noktalardaki güvenlik zaafiyetleri önemini korurken XSS (Cross Site Scripting) en çok rastlanan güvenlik sorunlarının başında geliyor.

 

Belli başlı güvenlik sorunları listede yerlerini halen koruyor.

 

Kullanıcı kontrollerinden doğan zaafiyetler nedeniyle doğan güvenlik problemleri ön sıralardaki yerini koruyor.

2009 yılı için bu istatistiklerin biraz daha düşeceği kanısındayım. Önümüzdeki günlerde birlikte yakından inceleyeceğiz.

 

 

 

 

 

 

 

 

 

 

 

 

 

SANS Organizasyonunun en popüler eğitimlerinden biri olan “Security 560: Network Penetration Testing and Ethical Hacking” eğitimi Ekim ayında  Mentor formatında İstanbul’da verilmeye başlanacak. Eğitim, içerik olarak “Reconnaissance” ile başlayıp “Scanning” , “Exploitation” ve “Password Attacks” şeklinde devam edip “Wireless Attacks” ve “Web Attacks” konularına değindikten sonra bütün anlatılanların bir CTF(Capture The Flag) uygulaması ile sonlandırılacağı bir eğitim olacaktır.

Bu eğitim de öğrenciye SANS’ın “Self Study” eğitiminde olduğu gibi kurs kitapları, kurs CD-DVD leri ve kurs MP3 dosyaları verilecektir. Bunun yanısıra Mentor eğitimine bağlı olarak online kurs materyali ve mentor “hands-on” lab notları öğrenciye verilecektir. 

10 adet 2 saatlik oturumlar şeklinde oluşacak ve tamamen “hands-on” lablar şeklinde işlenecek olan eğitim, 10 Ekim 2009 tarihinde başlayıp 12 Aralık 2009 tarihinde sona erecektir. Bu oturumlar İbrahim Saruhan ve Halil Öztürkci tarafindan yönetilecek ve eğitime katılan tüm öğrencilerin lablarda aktif rol olması sağlanacaktır.

Eğitime kayıt detayları ve kayıt için http://www.sans.org/mentor/details.php?nid=19944 adresine bakabilirsiniz.

Sorularınız için ibrahim.saruhan@adeo.com.tr ve halil.ozturkci@adeo.com.tr adreslerine mail atabilirsiniz.

 

Gelişen teknolojiye ayak uydurmak gün geçtikçe zorlaşıyor. Yeni ürünlerin sürekli küçülen ve detaylaşan ekstra özellikleri eminim ki birçok kullanıcı tarafından kolay çözülemiyor. Web dünyasında da durum bundan ibarettir.

Gün geçtikçe gelişen yazılım teknolojileri ve doğurduğu güvenlik problemlerinin boyutlarını şüphesiz ki ne durumda olduğunu önceki sayılarımızdan ve günlük haberlerden biliyoruz. Güvenliğin yaşamımızdaki önemini kavramak için ne yazık ki başımızdan bir olay geçince farkında oluyoruz. Web siteniz için düşündüğünüz güvenlik çözümlerine web sitenizin hackerlar tarafından ele geçirildiği zaman mı başvuracaksınız?

Gelin birlikte web sitenizin güvenliği için dikkat etmeniz gereken güvenlik çözümlerini birlikte inceleyelim.Yazılım güvenliği yapısı itibariyle geniş konu yelpazesine sahiptir.


XSS (Cross Site Scripting) ile Kurban Avı

Betiklerin herhangi bir filtreden geçirilmeden ve olası HTML, JavaScript vb. gibi girdilere izin verildiği konumlarda etkili olur. XSS ataklarından başta web site sahipleri olmak üzere kullanıcı boyutunda da etkilenmeler olur. Bu saldırı yöntemiyle kullanıcıların profil ve parola gibi özel bilgileri çalınabilir, web sitesi zararlı bir adrese yönlenebilir ve web sitesinin çeşitli noktalarının kullanım dışı bırakılma durumu söz konusu olur.

Saldırganlar tarafından bu açıklar genelde deneme yanılma yöntemi kullanılarak tespit edilir.
Web sitenizde bir arama işlemi gerçekleştirecek yer mevcutsa bilin ki ilk bakacakları yer orasıdır. Arama özelliğinin aktif olduğu sayfalarda basit bir filtreleme yöntemi ile zararlı karakterleri filtreleyebilirsiniz.

Bazı sayfalarınızda gelen değerlerin ne olacağını kod aşamasındayken belirlediğiniz noktalarda gelebilecek tüm ihtimalleri düşünüp o duruma göre filtreleme yapmalısınız. Örneğin tarafınıza ulaşması gereken değerler rakamsal değerler ise o halde harf girdilerini filtreleyebilirsiniz. Ekstra olarak tehlike arz edebilecek < > " ' % ; ) ( & + - gibi özel karakterleri de filtreleyip sayfanızdaki girdi kontrolünü güçlendirebilirsiniz. Tüm bu ihtimaller göz önüne alındığında bu karakterlerin ASCII değerlerinin de filtrelenmesi güvenliğinize güç katacaktır. Zararlı kodları encode ederek olası tehlikelerden korunabilirsiniz.

Yazılım dillerinin çeşitliliğini göz önüne alarak her dilde amacı aynı kullanım çeşitleri o dile özgü olan yöntemler mevcuttur.  Tercih ettiğiniz dile bağlı olarak zararlı karakterleri temizlerken Str_Replace(),HTMLEncode(), Replace() vb. özel fonksiyonları kullanarak zararlı karakterlerin filtrelenmesini sağlayabilirsiniz. Özellikle JavaScript terimlerini de mesaj, yorum vb. karakter girdilerinin olacağı noktalarda filtrelemeniz güvenliğinizi büyük ölçüde katkı sağlayacaktır. Örnek olarak <script>JavaScript:alert(document.cookie);</ script> gibi bir kod ile kullanıcın o anki cookie bilgileri uyarı penceresi olarak ekrana gelecektir. Bu kodu çeşitli parametreler ile biçimlendirip kullanıcıların bilgilerinin kötü niyetli kişilerin eline geçmesi mümkün kılınıyor. XSS saldırılarını önlemek için girdilerin kontrolü ve güvenli filtreleme yöntemleri ile olası saldırılara karşı güvende olabilirsiniz.

Kullanıcılar olarak e-posta adreslerinize gelecek olan bağlantılara tıklarken dikkatli olmalıyız ve özellikle fotoğrafların içine gizlenen zararlı kodlar ile özel bilgileriniz başkalarının eline geçebilir bu duruma karşıda haberdar olup gerekli güvenlik tedbirlerini almalıyız.

SQL Injection ve Zayıf Betikler

SQL (Structured Query Language) veritabanlarında veri çekme, silme, güncelleme gibi temel işlemler için kullanılan dildir. Günümüzdeki dinamik yapılı sitelerin hemen hepsinde veritabanı ile bağlantı işlemlerini gerçekleştiren ve belirttiğimiz işlemleri uygulayan SQL dilini kullanırlar.

SQL Injection saldırılarının temelinde XSS saldırılarında olduğu gibi zararlı karakterlerin veritabanı işlemlerini gerçekleştirdiğiniz noktalara uygulanması ile veritabanındaki bilgilerin saldırganın eline geçmesine olanak sağlar.

Kullanıcıların tarafından bilgilerin dinamik sorgular ile veritabanına iletilmesi sırasında çeşitli meta-karakter girdileri sağlanarak SELECT, DELETE, INSERT, UPDATE gibi SQL komutlarının çalıştırılması sağlanıyor ve ardından belirtilen parametre düzeyinde işlemler gerçekleşerek kullanıcıların ve web sitesinin özel bilgilerine ulaşılıyor. Tablo, satır ve sütun isimlerine ulaşıldıktan sonra yine SQL yordamlarıyla istenilen bilgilere ulaşılıncaya dek işlemler yapılıyor.

SQL Injection saldırılarından korunmak için ilk olarak güvenli SQL yordamları yazılmasının bilinmesi gerekiyor.  Örneğin ASP dili kullanılarak hazırlanmış bir SQL sorgusu “SELECT * FROM Üyeler WHERE kullaniciadi =      '" & kullanici & "' AND Parola = '" & Parola & "'" olduğunu düşünürsek bu SQL sorgusuna atanacak “' OR ''='” karakterleri ile sorgu manipüle edilebilir. Sorgunun son şekli SELECT * FROM Üyeler WHERE kullaniciadi = '' OR ''='' AND Parola = '' OR ''='' olacaktır. Bu sorgu itibariyle dönen değerler olarak veritabanındaki kullanıcı adı ve parolası boş olanları kontrol edecek ve ek olarak boş her zaman boş’a eşit olacağı için bizi sistemde kayıtlı olan değerleri getirecektir.

Manipülasyonlardan korunmak için sorguların iyi filtrelenmesi gerekir. XSS saldırı metodunda bahsettiğimiz özel fonksiyonları SQL Injection saldırılarından korunmak için de kullanabilirsiniz. Girdilerin numeric bir değer olup olmadığını önceden belirlediyseniz numeric değerler dışındaki karakterleri yasaklayabilirsiniz. Girdi uzunluğunun da sizin belirttiğiniz karakterler sınırını aşmaması için önlemler alabilirsiniz.

Zararlı Karakterler

chr(13) chr(34)  chr(39)   /   \   ?   *   ‘   OR   AND   %   &   <   $   >   !   –   #   like   drop   create   modify   rename   alter   cast   join   union   where   insert   delete   update

Tablodaki karakterleri filtreleyip SQL Injection gibi olası saldırılardan korunabilirsiniz.
SQL Injection’dan korunmak için bu yöntem sizi büyük ölçüde rahatlatacaktır tabi ki hepsi bu kadar değil. Detaylı olarak güvenlik yöntemlerine önümüzdeki yazılarımızda değineceğiz.

CSRF (Cross Site Request Forgery) ile Oturumları Yönetin

CSRF saldırıları ile oturum (session) kontrollerinin göz ardı edilmeye zorlanarak varsayılan üst düzey yetkilere sahip olan kullanıcının yetkisi dâhilinde işlem yapılabilmesi mümkün oluyor. Saldırganın bir web sitesine yerleştirdiği kod vasıtasıyla belirttiği hedef üzerinde veri ekleme, silme, güncelleme vb. işlemleri gerçekleştirmesi mümkün oluyor.

Sosyal mühendislik ile birleştiği noktalarda çok başarılı sonuçlar veriyor. Hedef kullanıcı farkında olmadan şifreleri değişiyor ya da bağlı bulunduğu sistem üzerinde belirttiğimiz haklar doğrultusunda yeni kayıt işlemleri gerçekleşiyor. Saldırganın sadece belirlediği kullanıcı adı ve parolayı yazıp sisteme erişmesi mümkün oluyor.

CSRF çalışma mantığını anlatan bir grafik.

Ek kimlik doğrulamasının yapılması yazılımın gelecek noktalarda karşılaşabileceği güvenlik zayıflıklarının önüne geçecektir. CSRF, kimlik doğrulamasının olduğu ancak kullanıcılar tarafından halen aktif olduğu süre içinde dış etmenlerin o kullanıcıya fark ettirmeden işlem yaptırarak ortaya çıkmasından dolayı kimlik kontrollerinin denetimi yazılımcıların dikkat etmesi gereken noktadır.
Uzak bağlantılardan dışarıdan gönderilen her verinin kontrolünü yapmanız halinde olası tehlikelerden büyük oranda kurtulursunuz.

CAPTCHA uygulamasının kullanılması da sizleri olası CSRF saldırılarından büyük oranda koruyacaktır. Önemli işlemlerin gerçekleştiği noktalarda random olarak üretilen CAPTCHA değerlerinin onaylanıp işleme dâhil olması durumuyla birlikte işlemlerin gerçekleşmesi sizleri olası CSRF saldırılarında kurban konumundan kurtaracaktır.

Genel olarak bakıldığında kod tarafından yapmanız gerekenler form gibi dışarıdan veri alacağınız noktalarda veritabanıyla bağlantılı olarak anahtar kaydetme ve session ile anahtar doğruluğu eşitleme yapabilirsiniz. Session süresini işlemler dâhilinde bir süre belirleyebilirsiniz böylece kullanıcılar tarafından doğabilecek oturum problemlerinin önüne geçebilirsiniz.

Kullanıcılar olarak da web sitelerinden mutlaka oturumu kapat şeklinde çıkış yapmalıyız. Session süresinin belirli bir zaman diliminde olması kullanıcılar tarafından unutulan çıkış yapılmasının önüne geçecektir. Kişisel güvenliğimize her noktada dikkat etmeliyiz.

DDOS (Distributed Denial Of Service) ile Servisleri Çökertin
IP tabanlı olarak belirlenmiş hedefleri ardı ardına paketler göndererek hedef sistemin yollanan paketlere cevap veremez duruma getirilmesini amaçlayan bir saldırı metodudur. Saldırgan hedef sistem üzerinde çalışan uygulamaların durdurulmasını amaçlayarak HTTP,FTP,SMTP gibi servislere saldırarak çalışmasını engelleyebilmektedir.
 
DDOS atakların başarılı olma noktalarında saldırganların bağlantı güçlerinin etkisi önemlidir. Birden fazla saldırganın aynı anda saldırıya başlaması ve saldırganların güçlü internet bağlantılarına sahip olması saldırının boyutunu büyük oranda etkilemektedir.

Saldırının boyutlarını saldırgan sayısıyla doğru orantılı olmasından dolayı bu yöntemi temel alarak yayılan birçok worm mevcut ve bu sayede dünya devi olarak nitelendirilen birçok web sitesinin yayınını durdurmaya başardılar.

 
Bu sahne her zaman yaşanacak bir durum değildir. Geçmiş yıllarda Mydoom solucanın saldırıları üzerine google arama motoru geçici bir süre servis dışı kalmıştı. Saldırının bu denli etkili olmasında birkaç milyon kişiye ulaşan solucanın aynı anda hedef olarak google web sitesini seçmesi üzerine google sistemlerinin yanıt verememesinden dolayı siteye erişim kesilmişti.

DDOS saldırılarını yazılımsal olarak önlemek yeterli olmuyor. Bir blacklist oluşturup gelen paketlerin birden fazla olması durumunda otomatik olarak ip adresinin erişiminin engellenmesi mümkündür. Eğer gelen saldırılar az sayıda ip üzerinden geliyor bu yöntem sizin kurtarıcınız olacaktır. Büyük boyutlu saldırılarda bu yöntem etkisiz kalıyor. DDOS saldırılarına çözüm olarak sistem tarafında harici güvenlik duvarı kullanılması gelebilecek birçok saldırıyı etkisiz kılacaktır.

Yazılım tarafında alacağınız bazı küçük çaplı önlemler de mevcuttur. Web sitenize aynı ip adresi üzerinden birden fazla erişimi engelleyebilirsiniz. Web sitenizdeki sayfalarınız arasında belirli bir sayfa yenile süresi belirleyebilirsiniz. Yazılımlarınıza entegre olarak kullanabileceğiniz birçok anti-flood betiği mevcuttur kolayca entegre edip kullanabilirsiniz. Bu küçük önlemler DDOS saldırılarını tam anlamıyla önlemek için yetersizdir ancak flood türü saldırılar için web sitenizi güvende kılacaktır.

Exploiting ve Tehlike’nin Boyutları

Exploitler sistemlerin ve yazılımların açıklarını sömürerek türüne göre amacını gerçekleştiriyor.  Bir sisteme ek olarak kullanıcı ekleme veya sistemde yer alan bilgileri ele geçirme ya da hedef sistem üzerinde etkili olarak buffer oveflow dediğimiz bellek taşmasına sebep olarak sistemin çalışmasını etkiliyor.

Exploitler, yazılımlarınızı geliştirdiğiniz sırada güvenli olmayan kod yazılmasından veya tahmin edilemeyen işlemlerin programcı tarafından fark edilememesinden dolayı ortaya çıkıyor ve sisteminize dışarıdan bir müdahale olabilecek noktaya kadar erişim imkânı sunabiliyor. Saldırgan belirlediği komutlar doğrultusunda web siteniz üzerinde yönetici haklarına sahip duruma geçebiliyor.

 

Web sitenize gelebilecek saldırılar bunlarla sınırlı değil. Birçok saldırı çeşidi mevcut ancak genel olarak bakıldığında bahsettiğimiz konular ile doğrudan bağlantılılar.
Web sitenize entegre olarak kullanabileceğiniz IP denetleme ve kayıt betikleri mevcuttur. IP kontrolü kullanmanız ve log işlemlerini web sitenizde tercih etmeniz aynı zamanda sürekli takip etmeniz sizi olası saldırılardan önce uyarı niteliği taşıyacaktır.

Güvenlik yalnızca yazılım tarafında alınan önlemler ile maalesef sağlanamıyor. Yazılımlarınızda güvenli olduğunuz kadar web sitenizin yayınlandığı sunucuların da güvenliği iyi olmalıdır. Aksi halde tüm güvenlik çözümleriniz etkisiz kalacaktır. Sistemin bir açığından faydalanıp sisteme gizlice sızan bir kişi tarafından web siteniz kullanım dışı kalabilir.

Sistemlerin güvenliğini sağlamanın birçok farklı yolu mevcuttur. Hepsi yalnızca görevi dâhilindeki durumlarda aktif olarak güvenlik sağlayabiliyor. Genel olarak bakıldığında sunucunuza gelebilecek DDOS ve benzeri saldırılardan bir Güvenlik Duvarı (Firewall) büyük oranda çözüm olabilir. Harici olarak ekstradan sunucu barındırma firmanızdan talep ederek alacağınız bir donanım parçası ile web sitenizin bağlı olduğu sunucuyu koruma altına alabilir, saldırı gelebilecek portları kullanım dışı bırakıp saldırıların boyutlarını düşürebilir ve izinsiz kullanıcıların sisteminize erişmesini büyük oranda engellemiş olursunuz.

Sisteminizin son güvenlik güncellemelerinin yapılması ve son yamaların uygulanmış olması da sizi önemli ölçüde güvenli kılacaktır.
Güvenlik, bireylerin bilinçli olma düzeyine orantılı olarak artabilen ve azalabilen bir olgudur. Sisteminizin ve yazılımlarınızın güvenliği tamamen sizin olaylara bakış açınız ve tüm ihtimalleri göz önünde bulundurup tedbirler almanız ile ilgilidir. Güvenliğinizi ihmal etmeyin.

Olcay KÜK

Elektronik ortamlarda mobil imzanız ile güvenliğinize güç katabilirsiniz.

Elektronik ortamların hızla yayıldığı ve yayılma sürecinin periyodik olarak bakıldığında her geçen ay daha da yukarılara doğru tırmanışa geçtiğini görebiliyoruz. Teknolojinin hayatımızdaki yeri her geçen gün artıyor ve bizler bu bilgi havuzu içinde kaybolacak duruma geliyoruz. Bunların sonucu olarak güvenliğimizi birçok unsur tehdit ediyor. Kişisel güvenliğin önem kazandığı son yıllarda yapılan en önemli uygulamaların başında elektronik kimlik geliyor. Elektronik ortamlar için kullanıcıların güvenli işlem yapabilmelerini sağlamak ve kimlik doğrulama özelliğiyle daha güvenli işlem yapabilme imkânı tanımak amacıyla geliştirilen Mobil İmza ülkemizde birçok GSM operatörü tarafından destekleniyor.

Türkiye düşünülenin aksine mobil iletişim konusunda Avrupa ülkelerinden daha iyi bir konumda. Mobil imza fikri ortaya atıldığından kısa bir süre hayata geçirildi ve uygulanmaya başlandı. Bu teknolojiyle çoğumuz karşılaşıyoruz ancak önemini kavrayamadığımız noktalar oluyor. Özellikle internet bankacılığı kullanırken hesabımıza giriş işlemi gerçekleştirirken Mobil İmza desteği devreye giriyor ve eğer kullanmıyorsak normal yollar ile ilerleyip işlemi gerçekleştiriyoruz.

Mobil imza çalışma mekanizması gayet iyi tasarlanıp yeni nesil teknolojiler için çok güzel bir güvenlik çözümüdür. Mobil imza kullanıcılarının sayısı gün geçtikçe hızla artıyor. Bunun sebeplerinden biri de son günlerde sıkça duymaya alıştığımız kredi kartı dolandırıcılığın artması ve binlerce kişinin mağdur duruma gelmesidir. Güvenlik çözümlerinin doğru uygulanmadığı noktalarda yeni teknolojiler kullanılarak hazırlanmış birçok zararlı uygulama kısa sürede aktif konuma geçebiliyor ve kullanıcıların kişisel bilgi güvenliğini tehdit eder konuma geliyor.

Niçin Tercih Etmeliyiz?

·         Kişisel bilgisayarınıza gizlice yerleşen zararlı uygulamalar sayesinde kredi kartı bilgileriniz gibi birçok önemli bilginiz başka kişilerin eline geçebiliyor. Bu durumdan yararlanılarak hesabınıza girilip maddi olarak mağdur konuma gelebiliyorsunuz.

·         Önemli şifreleriniz başkalarının eline geçmiş olsa bile sim kartınız ile oluşturduğunuz mobil imza banka hesaplarınıza girişlerde kullanıcıya sorulacak ve sadece sizin erişiminiz ve bilginiz doğrultusunda işlem yapılacaktır.

·         Zaman ve kâğıt tasarrufu içinde önemlidir. Her işlem sonrasında tarafınız için üretilen dekontlar artık mobil imza ile üretilme zorunluluğu ortadan kalkacak ve kâğıt israfının önüne geçmiş olacaksınız.

Yeni teknolojileri kullanmak olaylara pozitif bakmayı gerektiriyor. İlk olarak bakıldığında “ne gerek var ?” sorusu aklımıza gelebiliyor. Halbuki pozitif olarak düşündüğümüzde bir ihtiyaç olduğu için üretilmiş olduğunun düşüncesi içine giriyoruz. Eğer güvenlik bugün bu kadar gelişmiş ve önem ile her üretilen uygulama için düşünülür konuma geldiyse bunda en çok payı birçok sisteme zarar veren, insanları mağdur eden hacker olarak adlandırdığımız bilgisayar korsanlarının katkısı da büyüktür. Güvenlik uzmanları potansiyel tehlikeleri saptamaları için “farkındalık” anlayışını geliştirmeleri gerekiyor. Bu davranışı da en çok üretilen her zararlı yazılımın doğuracağı sonuçları düşünürken ve analiz işlemlerini gerçekleştirirken farkında oluyor.

 Tercih sebeplerimiz içinde aklınıza gelebilecek her türlü güvenlik tehdidini bir sorun olarak gösterebilir ve kullanma gereksinimini ön plana çıkarabiliriz. Mobil imzanın yaygınlaşması için başınızdan kötü bir olay geçmesi gerekmiyor. En yakın bir GSM operatörü bayisine giderek kısa bir süre içinde mobil imza işlemlerini başlatabiliyorsunuz. Güvenliğinizi sizin için düşünen ve milyon dolarlarca yatırım yapan GSM operatörlerinin bu doğru yatırımlarını karşılıksız bırakmamak gerekiyor. Güvenliğiniz birkaç dakikanızı bu işe ayırmanız kadar az bir süreyi kapsıyor.

Nerelerde Kullanabiliriz?

·         Bankacılık işlemlerinde güvenli giriş işlemini gerçekleştirmek ve ayrıca bireysel kredi taleplerinizi anında gerçekleştirebilirsiniz.

·         E-devlet ve e-belediye gibi devlet destekli birçok elektronik ortamda güvenli işlem gerçekleştirebilirsiniz.

·         Banka kartınızın yanınızda olmadığı durumlarda anlaşma bankalar ile en yakın bir bankamatikten mobil imzanızı kullanarak işlem yapabilirsiniz.

·         Turkcell Mobil İmza ile her türlü elektronik işlemde kimliğinizi farklı şifreler kullanmadan, tek bir şifre ile kanıtlayabilirsiniz.

·         İnternet/wap bankacılığında ve diğer internet işlemlerinizde kendinizi tek bir şifre ile tanıtabilirsiniz.

Gelişen teknolojinin getireceği yenilikler ile mobil imza kullanımı artacak ve daha fazla farklı platformda mobil imza kullanabilme desteği mevcut olacaktır.

Her bir imzalama işleminde, o işlemin onay kodu olarak, sadece o işleme özel bir parmak izi oluşturulur.

Güvenliğiniz için elektronik imzanızı İnternet Şubesi'ndeki ilgili ekrana girmeden önce cep telefonunuza gelen parmak izinin İnternet Şubesi GİRİŞ ekranında bulunan parmak iziyle aynı olduğuna emin olunuz.

Mobil İmza Almak İstiyorum

Mobil imza almak istediğiniz banka kuruluşuna ön başvuruda bulunmalısınız. Ön başvuru sırasında sizden ad, soyad, vatandaşlık numarası, doğum yeri, doğum tarihi ve mobil imzanızla kullanacağınız hattınızı belirtmeniz istenir.

Ön başvuru işleminizin kabul görmesinin ardından geçerli bir kimlik belgeniz ile en yakın GSM operatörü şubesine giderek Mobil İmza’nın kullanılacağı hat için hat sahibi tarafından SimPlus128 değişikliği yapılması gerekecektir. SIM kart değişikliği sonucunda telefon numaranız değişmeyecektir.

Başvuru işleminizin tamamlanması halinde 1 hafta içerisinde sizinle iletişime geçilecek ve mobil imza şifrenizi oluşturmak için gerekli olan başlatma kodu tarafınıza iletilecek ve aboneliğiniz aktif olacaktır.

Mobil İmza’nız aktive edildiğinde, telefonunuzun ekranında Mobil İmza menüsü belirecek ve size iletilen Başlatma Kodunu girmeniz istenecektir. Başlatma Kodunu girmenizin ardından Mobil İmza için kullanmak istediğiniz 6 haneli şifrenizi belirlemeniz gerekecektir. Ekrandaki yönlendirmeler doğrultusunda şifrenizi belirleyip onaylayınız.

Elektronik sertifikanız, Elektronik Sertifika Hizmet Sağlayıcı tarafından yayınlandıktan sonra, mobil imzanız kullanıma hazır hale gelecektir. Mobil imzanızı kullanabileceğinize dair bilgilendirme SMS ile size bildirilecektir.

Elektronik imzaya ilişkin düzenlemeler nelerdir?

Ocak 2007 itibariyle mevcut olan E-imza mevzuatı aşağıda listelenmiştir. Mevzuattaki yenilik, eklenti ve değişiklikler hakkında Telekomünikasyon Kurumu'nun web sitesinden bilgi alınabilir (http://www.tk.gov.tr):

• 5070 sayılı Elektronik İmza Kanunu (23 Ocak 2004 tarih ve 25355 sayılı Resmi Gazete)
• Sertifika Mali Sorumluluk Sigortası Yönetmeliği (26 Ağustos 2004 tarih ve 25565 sayılı Resmi Gazete)
• 2004/21 sayılı Başbakanlık Genelgesi (6 Eylül 2004 tarih ve 25575 sayılı Resmi Gazete)
• 5070 Sayılı Elektronik İmza Kanununun Uygulanmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik (6 Ocak 2005 tarih ve 25692 sayılı Resmi Gazete)
• Elektronik İmza ile İlgili Süreçlere ve Teknik Kriterlere İlişkin Tebliğ (6 Ocak 2005 tarih ve 25692 sayılı Resmi Gazete)
• Zorunlu Sertifika Mali Sorumluluk Sigortası Genel Şartları (27 Ocak 2005 tarih ve 25709 sayılı Resmi Gazete)
• Sertifika Mali Sorumluluk Sigortası Tarife ve Talimatı (27 Ocak 2005 tarih ve 25709 sayılı Resmi Gazete)

Güvenli Bankacılık İşlemleri

Bankacılık işlemleri için giriş esnasında seçilen mobil imza ile giriş işleminin ardından güvenli bir şekilde mobil imzanızı kullanarak banka hesaplarınıza ulaşabiliyorsunuz. Bu işlemi başarıyla gerçekleştirmek için yapmanız gerekenleri sıralıyoruz.

 

Mobil imzamı Garanti İnternet Şubesi'nde kullanmak için ne yapmam gerekiyor?

İlk önce İnternet Şubesi Tanımlamalar Menüsü Mobil İmza adımından başvuru talebi yapmanız gerekiyor. Başvuru talebinizden sonra en geç 30 gün içerisinde herhangi bir TurkcellExtra'ya veya Avea satış noktasına kimlik fotokopinizle başvurduktan sonra İnternet Şubesi girişlerinde mobil imzanızı kullanmaya başlayabilirsiniz.

 

Garanti bankası kullanıcıları için mobil imza kullanabilmesi için yapılması gerekenleri sizler için araştırdık.

• Garanti.com.tr İnternet Şubesi giriş sayfasında yer alan Müşteri no ve Parola adımlarına, bilgilerinizi yazıp, GİRİŞ tuşuna basın.
• Güvenlik resminizin gösterildiği sayfada Mobil İmza ile giriş yapmak için tıklayın'a basın.
• Mobil İmza sertifikanızı taşıyan telefon numaranızı soran ilgili sahaya girin ve 'GİRİŞ' tuşuna basın.
• Cep telefonunuza kısa mesajla  Turkcell Mobil İmza için 32, Avea Mobil İmza için 40 haneli 'xxxx xxxx xxxx xxxx xxxx xxxx xxxx xxxx' formatında işlem parmak iziniz gelecektir.
• Eş zamanlı olarak İnternet Şubesi ekranında da imzalamak üzere olduğunuz işlemin 32 haneli parmak izi, mesaj içerisindeki 32 haneli parmak izi ile karşılaştırmanız üzere gösterilecektir.
• Ekranda gördüğünüz parmak izi ile cep telefonunuza gelen kısa mesajın aynı olduğunu görüyorsanız, cep telefonunuza gelen kısa mesaja, Mobil İmza şifreniz ile birlikte dönün.
•  İnternet Şubesi ekranında da cep telefonunuzda aynı parmak izini gördüğünüzü onaylamak için 'GİRİŞ' tuşuna basınız.
• Parmak izini İnternet Şubesi GİRİŞ ekranında onayladıktan sonra artık İnternet Şubesi'nde dilediğiniz işlemi gerçekleştirebilirsiniz.

Ayrıca İnternet Şubesi Mobil İmza Ayarları adımından yapılabilen tanımlamalar ile, Mobil İmza sertifikası yüklü bir cep telefon numaranızı hızlı giriş için tanımlayabilirsiniz. Hızlı giriş ile her seferinde cep telefonu numaranızı girmenize gerek kalmaz ve sabit şifreniz de iptal edileceğinden İnternet Şubesi'ne girişleriniz daha güvenli hale gelir. Hızlı giriş ile ayrıca Mobil İmza'nıza paralel olarak, dilerseniz tanımlı bir Şifrematik veya Cep Şifrematik'inizi de girişlerinizde güvenle kullanabilirsiniz.

 

Hatalar ve Çözümleri

Mobil imza işlemleriniz sırasında parolanızı unutmanız veya kaybetmeniz halinde endişe etmenize gerek yok. Turkcell kullanıcıları için 4440532 ya da 4440535 telefon numaralarını arayarak yardım alabilirsiniz. Şifrenizi üç kez hatalı girmeniz sonucunda bloke olursa Parola kullanarak şifrenizi doğru girmek için iki deneme hakkına daha sahip olacaksınız. 4440532 ya da 4440535 Turkcell Müşteri Hizmetlerini arayarak SIM kartınıza özel Parola’nızı öğrenebilirsiniz.

Parolanızı öğrendikten sonra cep telefonunuzdaki Turkcell Menü altındaki Mobil İmza menüsünden Parola’yı seçip TAMAM’a basın. Parola’nızı doğru olarak girdiğinizde Turkcell Mobil İmza şifrenizi denemek için iki hakkınız daha olacaktır. Parola kullanarak kazandığınız iki deneme hakkınızda da hatalı giriş yapmanız, Turkcell Mobil İmza şifrenizi unuttuğunuz anlamına gelecektir.

Araştırma sonuçları da mobil imza kullanımın gün geçtikçe arttığını gösteriyor. Ekim ayındaki bir istatistik bilgisine göre 19 ayda 1,8 mobil imza atıldığı belirtiliyor. Mobil imza kullanıcıları, hem teknik hem hukuki olarak mevcut en üst güvenliğe sahip mobil imza teknolojisini, cep telefonlarıyla yaptıkları para transferleri ve internet bankacılığında rahatça kullanabiliyor.

Mobil imza’nın uygulama noktaları da gün geçtikçe hayatın her alanına yayılıyor. E-devlet sistemlerinde uygulanmaya başlanmasının ardından e-belediye uygulamalarında da mobil imzayı kullanır hale geldik. Son günlerde de gümrüklerde kullanılmaya başladı. Gümrüklerde uzun kuyrukların oluşmasına sebep olmadan kısa bir süre içinde onay işlemleri gerçekleştiriliyor. Son günlerde kullanıcıların dikkatini çeken bir başka mobil imza uygulanma noktası ise mobil imza ile açılan kapıların uygulanma noktalarının hızla artış göstermesi olarak dikkatleri çekiyor.

Türkiye’de bu alanda öncülük eden Kale Kilit firmasının Turkcell ile yaptığı anlaşma sonucunda üretilen kapılar Turkcell mobil imza kullanıcılarına özel olarak hazırlanıyor. Montaj için kapıda herhangi bir tadilat gerektirmeyen Kale X10 Akıllı Kilit Sistemi, kapının aksesuarıyla bütünleşen modern ve kompakt bir tasarıma sahip. Kale X10 Akıllı Kilit Sistemi, kapı kalınlıklarına bağlı olarak ayarlanabilen silindir boyu ile tüm kapılara rahatlıkla uygulanabiliyor. Mobil Kapı Güvenliği sistemi 2009 yılının ilk çeyreğinde Elektronik Güvenlik Ürünleri satılan tüm noktalarıyla çilingirlerde satışa sunulacak.

Mobil imza’nın uygulandığı bir başka nokta ise sağlık kuruluşlarında uygulanmaya başlanması yönünde hazırlık içinde olunmasıdır. Herhangi bir hasta, kendi aile hekimi dışında başka bir aile hekimine muayene olmak durumunda kalırsa, aile hekimi, bilgi sistemi ve mobil imza sayesinde, bu hastanın hasta kartını ve son muayenelerini görüntüleyebilecek. Ayrıca mobil imza, ABHS (Aile Hekimliği Bilgi Sistemi) ile doktor arasında hastaya ait gizli bilgilerin yasal bir onay mekanizmasıyla daha güvenli şekilde yapılmasını sağlayacak. Doktorları sevindiren bir nokta ise artık hastaları hakkındaki bilgilere kısa bir süre içinde ulaşabilmeleri olacaktır. Aile Hekimliği Bilgi Sistemi sayesinde doktorlar istedikleri her noktadan hastaları hakkındaki bilgilere kısa bir süre içinde ulaşıp acil durumlarda müdahale etme durumuna sahip olacaklar.

Alışveriş tutkunları için sevindirici bir nokta ise tüm alışverişlerinizi mobil imza ile güvenli bir şekilde gerçekleştirebilme olanağına sahip olunmasıdır. Güvenli sanal alışveriş sağlayan 3DSecure sistemiyle Turkcell Mobil İmza teknolojisi bir arada kullanıma sunuluyor. Sisteme üye olacak bankaların müşterileri, kredi kartlarında bu imkanı kullanabilir hale gelecek. İnternet üzerinden ticaretin güvenliğini daha da artıracak bu projeyle mobil imza, dünyada ilk kez, kredi kartıyla internetten yapılan alışverişlerde de imza ve şifre yerine geçiyor. Böylece Chip&Pin ile yüz yüze işlemlerde sunulan kredi kartı güvenliğine eşdeğer bir güvenlik internet ortamında da kullanıma sunulmuş oluyor.

Mobil imza tüm bu sektörler ile birleşmesi sonucunda hayatımızın bir parça haline geliyor. Bu güne kadar mobil imza teknolojisini kullanmamış olabilirsiniz ancak bundan sonraki günlerde mutlaka kullanma gereksinimi hissedeceksiniz. Zamanın son derece değerli olduğu son yıllarda mobil imza bizler için zaman alıcı işlemleri kısa bir süre içinde gerçekleştirebilmemize olanak sağlıyor.

 

Olcay Kük

 

 

 

 

 

 

 

 

 

 

Günümüzde var olan güvenlik politikalarının sonucu olarak sistemler üzerindeki yetkilerin manipüle edildiği durumlar yazılım sektörünün her geçen gün daha da güvenli hale gelmesi için yapılan çalışmalara hız katıyor.

Yazılımcıların sık karşılaştığı bir problem olan XSS (Cross Site Scripting) kavramının yerine oturması ve güvenlik çözümlerinin doğrulanabilir kaynaklar ile sunulmasının ardından epey bir zaman geçtiği söylenemez.

CSRF (Cross Site Request Forgery)kavramı tam bu noktada hayatımıza giriyor. XSS saldırıları için sıkı bir session kontrolleri ve çeşitli yazılımsal güvenlik çözümüyle önemli sayılabilecek düzeyde koruma sağlanabiliyor.

CSRF ile bu maalesef büyük oranda etkisiz kılınabiliyor. Şuan dünyanın önemli kurumlarında CSRF güvenlik zafiyeti bulunuyor ve her an bir manipüle edilme olanağına açık şekilde scriptkiddyleri bekliyor.

 

CSRF saldırıları ile session kontrollerinin göz ardı edilmeye zorlanarak varsayılan yetkilere sahip olan kullanıcının yetkisi dâhilinde işlem yapılabilmesi mümkün oluyor. CSRF’nin en önemli noktası da işlemin bizim tarafımızdan belirtilen hedefler doğrultusunda yine bizim tarafımızdan belirtilen kişinin yetkilerinin sahip olduğu sınırlar içerisinde işlem yaptırabiliyor olmamızdır.

Bir sisteme direk saldırmak yerine aracı bağlantılar kullanılarak hedef kişinin authorization durumun el verdiği müddetçe hedef sistem üzerinde işlem yapılıyor. Sosyal mühendislik ile birleştiğinde günümüz teknolojisinde pozitif yönde birçok sonuç vermesi mümkündür.

Yazılımlarımızda form aracılığıyla alınan bilgilerin kontrolü sırasında tercih ettiğimiz POST ve GET metotlarının önemi CSRF saldırılarında bir kez daha açıkça ortaya çıkıyor. POST ya da GET metodu ile yolladığımız verilerin uzaktan bir kullanıcı tarafından belirttiği hedef komut dizimini takip ederek sistemimiz üzerinde işlem yaptırabilmesi her an için mümkündür.

<html>

<head>

</head>

<body onLoad=javascript:document.xsrf.submit()>

<form action="http://[site]/privmsg.php?folder=inbox" method="post"

name="xsrf">

<input type="hidden" name="mode" value="" />

<input type="hidden" name="deleteall" value="true" />

<input type="hidden" name="confirm" value="Yes">

</body>

</html>

 

Örneğimizi inceleyecek olursak POST metodunun kullanılarak hedef sistem üzerinde yetkisi bulunan kullanıcının private messages inboxunda bulunan bilgilerin silinme emri verilmiş durumda. Kullanıcı bir web sitesi üzerinde belirtilen kodlara sahip bir uygulama ile karşılaşırsa komutlar devreye girerek belirtilen işlemi yapıyor.

GET kullanılarak parola değiştirme vs. önemli sayılabilecek işlemlerin yapıldığı noktalarda CSRF saldırılarına maruz kalma durumu daha fazladır. Hedef sistem üzerinde gönderilecek bilgilerin ve parametrelerin önceden saldırgan tarafından tanımlanıp kurbanlar üzerinde çalıştırması riski artacağından dolayı kullanıcılar kolayca kurban konumuna geçebiliyorlar.

Oturum denetiminin sık yapılmadığı noktalarda sık sık karşılaşabilinecek bir problemdir. Bir veri güncelleme noktasında GET kullanılarak verilerin gönderildiği noktada urldeki parametrelerin isteğimize göre şekillenmesi durumu bu güvenlik zafiyetinin önemini daha da arttırıyor.

GET ile işlem yapılan bir scriptte aşağıdaki benzer bir güvenlik zayıflığı olması muhtemeldir.

<?

< form method="get" action="updatepassword.php">
< input type="text" name="newpassword" />
< input type="submit" name="submit" value="update" />
< /form >

if(!login_ok())

{

header ("Location:login.php");
exit;
}

? >

//updatepassword.php

<?

if(!login_ok ())

 {
   header ("Location:login.php");
}

update_password();
echo "password updated.";

?>

Updatepassword.php dosyamızdaki kontrol gereğince session kontrolü yapılmadan direk parola güncelleme işlemi gerçekleştiriliyor haliyle CSRF saldırısına açık hale geliyor.Bir web sitesi üzerinde http://www.site.com/updatepassword.php?newpassword=123456 şeklinde bir link barındırdığında o web sitesine giren kişinin linke tıklaması halinde otomatik olarak eğer diğer web sitesi üzerindeki oturumu sonlanmamış ise parola güncelleme talebi gerçekleşecektir.  Bu linki bir resim dosyasının içine gömerek de farklı boyutlarda sosyal mühendislik çalışmaları yapılarak kurbanlar üzerinde aktif olarak saldırı gerçekleşebilir.

Güzel bir CSRF çalışma mantığı grafiği;

 

 

 

 

Ek kimlik doğrulamasının yapılması yazılımın gelecek noktalarda karşılaşabileceği güvenlik zayıflıklarının önüne geçecektir. CSRF, kimlik doğrulamasının olduğu ancak kullanıcılar tarafından halen aktif olduğu süre içinde dış etmenlerin o kullanıcıya fark ettirmeden işlem yaptırarak ortaya çıkmasından dolayı kimlik kontrollerinin denetimi yazılımcıların dikkat etmesi gereken noktadır.

Güvenli kimlik kontrollerinin ve oturum yönetimlerinin yapılıp CSRF’nin önüne geçmek mümkündür. İzlenecek birkaç yol mevcuttur. Önemli işlemlerin gerçekleştiği noktalarda (update,delete vs.) bir anahtar oluşturularak formdan veritabanına kaydedilip ardından sessiondaki anahtar ile doğruluğu karşılaştırılıp doğru olması halinde işlem yapılmasına olanak tanınması güvenlik çözümlerinden biridir.CSRF’nin etkisiz kaldığı nokta form noktasında saldırgan herhangi bir işlem yapmayacağı için hedef sisteme gönderilen etki karşılıksız kalacağı için token kontrolü başarılı şekilde görevini yerine getirecek ve saldırıyı etkisiz kılacaktır.Örnek bir uygulama olarak phpde hazırlanmış aşağıdaki örnekten yararlanabilirsiniz.

  <?

session_start();

/*** MySQL Baglantisi ***/
mysql_connect("localhost","root","");
mysql_select_db("anahtarlar");

/*** FORM ***/
if(empty($_GET["kutucuk"])) {

    /* Anahtar degerlerini yenile */
    $_SESSION["anahtar"] = md5(rand(0,999));

    /* Anahtarlar tablosunu guncelle -vt icin- */
    mysql_query("INSERT INTO anahtarlar (anahtar) VALUES('$_SESSION[anahtar]')");
    
    /* Formu Bas */
    echo('<form method="GET"><input type="text" name="kutucuk" /><input type="submit" value="Flood Me" /></form>');
}

/*** FORM İŞLEME **/
elseif(isset($_GET["kutucuk"])) {
    $anahtar_kontrolu = mysql_query("SELECT anahtar FROM anahtarlar WHERE anahtar='$_SESSION[anahtar]'");
    if(mysql_num_rows($anahtar_kontrolu) > 0 ) {
        echo("Anahtar kabul edildi.Senin formunu kabul ediyorum..");
        /* Anahtari kir ve cope at...*/
        mysql_query("DELETE FROM anahtarlar WHERE anahtar='$_GET[anahtar]'");
        $_SESSION["anahtar"] = '';        
    }
    else {
        die("Yanlis anahtar");
    }
}

?>

 

Script çalıştığında veritabanına bir anahtar yerleştiriyor ve aynı anahtar sessionada atanıyor. İşlemlerin gerçekleştiği noktada sessiondan gelen değer ile veritabanındaki değerler karşılaştırılıyor doğru olması halinde işleme devam ediliyor aksi halde sistemden çıkılıyor.

Uzak bağlantılardan dışarıdan gönderilen her verinin kontrolünü yapmanız halinde olası tehlikelerden büyük oranda kurtulursunuz.

CAPTCHA uygulamasının kullanılması da sizleri olası CSRF saldırılarından büyük oranda koruyacaktır. Önemli işlemlerin gerçekleştiği noktalarda random olarak üretilen bir CAPTCHA değerlerinin onaylanıp işleme dahil olması durumuyla birlikte işlemlerin gerçekleşmesi sizleri olası CSRF saldırılarında kurban konumundan kurtaracaktır.

Genel olarak bakıldığında kod tarafından yapmanız gerekenler form gibi dışarıdan veri alacağınız noktalarda veritabanıyla bağlantılı olarak anahtar kaydetme ve session ile anahtar doğruluğu eşitleme yapabilirsiniz. Session süresini işlemler dahilinde bir süre belirleyebilirsiniz.

Kullanıcılar olarak da web sitelerinden mutlaka oturumu kapat şeklinde çıkış yapmalıyız. Session süresinin belirli bir zaman diliminde olması kullanıcılar tarafından unutulan çıkış yapılmanın önüne geçecektir. Uygulamalarımızda captcha kullanmamız da olası tehlikelere karşı bizi güvenli kılacaktır.Kişisel güvenliğimize her noktada dikkat etmeliyiz. Formdan alınan bilgilerde GET metoduna oranla POST metodunun tercih edilmesi CSRF saldırısının etkisini azaltmasa da saldırganın işini bir nebzede olsa zorlaştıracaktır. Profesyonel olmayan bir saldırgan tarafında ise lehimize bir sonuç verecektir.Dışarıdan gelen her http isteğine karşı önceden belirlediğiniz bir white listiniz olursa istenmeyen kayıtlardan ve saldırılardan etkili bir oranda korunabilirsiniz.Bu liste de girilmesini istediğiniz değerleri önceden belirleyip filtreleme işlemi gerçekleştirebilirsiniz. İstenmeyen değerler girilmeye zorlandığında çıkış noktalarına kullanıcıları yönlendirebilirsiniz. CSRF açıkları son günlerde birçok ünlü web sitesi üzerinde aktif olarak bulunuyor. Sisteminizi korumak için kritik noktalara önceden belirtmiş olduğumu güvenlik metotlarını uygulamanız güvenliğiniz için faydalı olacaktır.

 

Olcay KÜK