|
ELEKTRONİK TİCARETTE GÜVENLİK
|
Elektronik ticarette alıcı ve satıcı birbirlerini
görmeksizin iş yaptıklarından karşılıklı olarak güvenin sağlanması için ek
bir takım önlemler almaya ihtiyaç duyarlar. Öncelikle alıcı ve satıcı
taraflar birbirlerinin kimliklerinden emin olmak isterler. İşte bu ihtiyaç
dijital imza ve dijital sertifikaların geliştirilme nedenidir. Bunlar
aracılığıyla iki taraf birbirlerinin kimliğinden emin olabilmektedir.
Türkiye'de şu anda dijital sertifikalar ile ilgili yasal altyapı henüz
oluşturulmadığı için alıcı tarafında bulunan bireysel kullanıcılar henüz
dijital sertifika kullanmaya başlamamışlar, satış yapan siteler de
müşterilerine bunu şart koşmamışlardır. Bu nedenle satıcılar alıcıların
kimliklerini kontrol edememektedirler. Ancak Garanti Bankası'nın ödeme
sistemini kullanarak Internet'ten satış yapmak isteyen firmalara bankamız
bu şartı getirmiş ve böylece tüketicilerin alışveriş yaptıkları sitenin
kimliği ile ilgili kuşku duymalarını önlemiştir.
Elektronik ticarette güvenlik konusunda değerlendirilmesi gereken diğer
bir konu da alıcıların elektronik ticaret sitelerinden alışveriş yapmak
için vermek durumunda kaldıkları kredi kartı vb. bilgilerin Internet
üzerinden iletilirken üçüncü şahısların eline geçmesi riskidir. Bilindiği
gibi özellikle telefonla yapılan satışlarda (gazeteye ilan vermek, katalog
satışları vb) kredi kartı numarası ve son kullanma tarihi alışveriş için
yeterli olmaktadır. Bu yüzden bu bilgilerin korunması elektronikticaretin
gelişimi için büyük önem taşımaktadır.
Ancak elektronik ticarette kredi kartı bilgilerinin başkalarının eline
geçme riski günlük hayattakine göre çok daha azdır. Günlük hayatta ödeme
yaparken kredi kartı bir başkasına verilmekte, bu yüzden kredi kartının
üzerindeki bilgilerin gizliliği büyük oranda ortadan kalkmaktadır. Sanal
alışveriş hizmeti veren firmalar, kredi kartı bilgilerinin güvenliği ve
gizliliğini sağlamak için yaygın olarak SSL ve SET gibi güvenlik
standartlarını kullanmaktadırlar. Kullanıcı, işyeri ve banka arasındaki
veri akışı sırasında bilgilerin şifrelenerek aktarılması esasına dayanan
güvenlik sistemleri sayesinde bilgilerin başka bir kişinin eline geçmesi
durumunda çözülebilmesi (yani kullanılabilmesi) önlenir. Böylece kart
bilgilerinin gizliliği ve alışverişin güvenliği sağlanmış olur. Garanti
Bankası sistemini kullanan firmalar müşterinin kredi kartı bilgilerini
göremezken Garanti Bankası da yapılan alışverişin içeriğini bilmez. Ayrıca
kredi kartı sahiplerinin Internet üzerinde yapılan alışverişlere de diğer
alışverişler gibi her zaman itiraz hakkı vardır.
SSL (Secure Socket Layer)
SSL network üzerindeki bilgi transferi sırasında güvenlik ve gizliliğin
sağlanması amacıyla Netscape tarafından geliştirilmiş bir güvenlik
protokolüdür. 1996 yılında 3.0 versiyonunun çıkarılmasıyla hemen bütün
Internet tarayıcılarının (Microsoft Explorer, Netscape Navigator vb)
desteklediği bir standart haline gelmiş ve çok geniş uygulama alanları
bulmuştur.
SSL gönderilen bilginin kesinlikle ve sadece doğru adreste deşifre
edilebilmesini sağlar. Bilgi gönderilmeden önce otomatik olarak şifrelenir
ve sadece doğru alıcı tarafından deşifre edilebilir. Her iki tarafta da
doğrulama yapılarak işlemin ve bilginin gizliliği ve bütünlüğü korunur.
Veri akışında kullanılan şifreleme yönteminin gücü kullanılan anahtar
uzunluğuna bağlıdır. Anahtar uzunluğu bilginin korunması için çok
önemlidir. Örneğin; 8 bit üzerinden bir iletimin çözülmesi son derece
kolaydır. Bit, ikilik sayma düzeninde bir rakamı ifade eder. Bir bit, 0
veya 1 olmak üzere 2 farklı değer alabilir. 8 bit ise sadece 28=256 olası
farklı anahtar içerir. Bir bilgisayar bu 256 farklı olasılığı sıra ile
inceleyerek bir sonuca ulaşabilir. SSL protokolünde 40 bit ve 128 bit
şifreleme kullanılmaktadır. 128 bit şifrelemede 2128 değişik anahtar
vardır ve bu şifrenin çözülebilmesi çok büyük bir maliyet ve zaman
gerektirir. Kötü niyetli bir kişinin 128 bit'lik şifreyi çözebilmesi için
1 milyon dolarlık yatırım yaptıktan sonra 67 yıl gibi bir zaman harcaması
gerekir. Bu örnekten anlaşıldığı gibi SSL güvenlik sistemi tam ve kesin
bir koruma sağlar.
Kredi kartları fiziksel olarak zaten güvenli değil ki. Yemek yediğiniz bir
restoranda kartınızı verdiğiniz garson da kredi kartı bilgilerinizi çalıp
kullanabilir. Ya da fiziksel olarak kredi kartlarını posta yoluyla
gönderiyorsunuz, bu ne kadar güvenli ki?
Aslında bu yazımda daha çok İnternet'te kredi kartı kullanımına
değineceğim için başlığını "Haydi İnternet'ten alış verişe, güvenli ya!"
diye düşünmüştüm. Sevgili Serhat Ayan'ın 5 yıl önce bunu söylemiş olsaydık
şimdi komik duruma düşerdik diye nitelendirdiği bir başlık. Ben buna
kesinlikle katılmıyorum. Beş yıl önce de olsaydı bunu söylerdim, bugün de
söylüyorum ve böyle giderse bir 5 değil 50 yıl sonra da söylerim. Neden
mi? Bu konuya girmeden önce bir iki noktaya değinmek istiyorum.
Serhat son yazısında bana yapmış olduğu göndermede anketler için benim
değinmediğim üçüncü bir yol olan üyelik sisteminden bahsetmiş. Evet
doğrudur. Ancak ilk olarak bu tür anketlerde bu yöntemin kullanılması
ihtimal dahili dışında olduğu için değinmemiştim. Çünkü biri kalkıp böyle
uyduruk bir anket için üyelik sistemi kurup, önce kullanıcı bilgilerini
alıp sonra da oy kullandırsa kimse kullanmak istemez! Kaldı ki bu yöntemin
yada diğer yöntemlerin kullanımı sonuçta hiç bir şeyi değiştirmez,
sonuçların güvenli olmasını sağlamaktan ziyade güvensizlik riskini biraz
daha azaltırlar hepsi o!
Serhat diğer bir göndermede en son yazımı, devlet işlerinin internetten
yapılması gerektiği tezini hakir gören bir antitez olarak nitelendiriyor.
Sanırım bu noktada kimin ne için uğraştığını ve neyin üzerine gittiğini
iyi belirlemek lazım. Serhat kendi davasında sonuna kadar haklıdır ve
katılmamak elde değil. Ancak ben olaylara güvenlik yönünden yaklaştığım
için İnternet'te seçim yapmadan önce güvenliğe gerçekten çok önem vermemiz
gerektiğini savunuyorum. Zira aslında İnternet'in ne amaçlar için
üretiliğini sonra bu amaçların gerçek amaçlarından sapıp yamalı bir
bohçaya dönerek hangi başka amaçlar için kullanıldığını anlatan
guvenlikhaber.com'un yazarlarından sevgili Lütfi Yelkenci'nin en son
yazısını okuyanlar ne demek isteğimi daha iyi anlayacaklardır!
Şimdi gelelim şu kredi kartı olayına. İnternet'te kredi kartlarının beş
yıl önce güvenli olmadığı ama bu gün güvenli olduğu diye bir şey zaten söz
konusu bile değil. Kredi kartları ile ilgili olarak bir çok yorumlar
yapılır, uzmanlara danışılır, "usta nedir bu kredi kartı olayı, kullanalım
mı? kulanmayalım mı?" ama güvenlikle uzaktan yakından ilgili olmayan
kişiler, sistemin içinde neler dönüp bittiğini biraz bile bilmeyen kişiler
verirler cevabı: "Şu anda İnternet'ten kredi kartı ile alış veriş yapmak
en güvenilir yoldur". Sanırım bu yorumlar sadece ticari amaçlı olmaktan
ileri gidemiyor,zira beş yıl önceki pratik kredi kartı kullanımıyla şu
anki kredi kartı kullanımı arasında pek bir fark yok!
Bu kişilerin dayandığı ve öne sürdüğü bir kaç nokta vardır. İlk olarak
günümüzde geliştirilen şifreleme tekniklerini ( örnek olarak internette
alış veriş işlemlerinde kredi kartı bilgilerinin transfer edildiği SSL
teknolojisi) state-of-art olarak nitelendirirler. Dünyada en yaygın olarak
kullanılan eposta şifreleme yazılımı olan ve geçtiğimiz ay içerisinde bir
grup geliştirici sayesinde tozlu raftalara kaldırılmaktan son anda
kurtulan PGP şifreleme yazılımının geliştiricisi Zimmermann bile "her kim
kırılamaz bir şifre bulduğuna inanıyorsa ya hiç görülmemiş bir dahidir ya
da tecrübesiz ve çok saf birisidir" şeklinde yorum yapmışken bu şekilde
kesin konuşmak doğru olmasa gerek. Zira yine geçen ay içerisinide güvenlik
dünyasını yerinden oynatan olaylar bunu ıspatlamıştır.
Bakın son zamanlarda önce Internet Explorer'da bulunduğu sonra da
Microsoft'un açıklamasıyla aslında browser'da değilde işletim sisteminde
bulunduğunu açıkladığı bir güvenlik açığı ortaya çıkmıştı. Bir çok
güvenlik uzmanı bu açığı inanılmaz derecede ciddi olarak
nitelendirmişlerdi. Ve işin ilginç yanı bu açık son beş yıldır IE'de
bulunuyor ve bunun manası IE kullanarak İnternet'ten kredi kartı ile alış
veriş yapılıyorsa SSL korumasının hiç bir işe yaramayacağıdır!!!
Şimdi kredi kartları hakkında bu tür yorumları yapanlar kalkıp "pardon
yanılmışız, son beş yıldır pek güvenli değilmiş ama bundan sonra son
derece güvenli olacak söz" mü diyecekler?
Bakın daha bu açığın yayınlanmasından iki hafta geçmemişti ki, geçtiğimiz
hafta pazartesi günü İsveçli bir güvenlik uzmanı bu açığı kullanarak
İsveç'in en büyük dört bankasından üçünün sistemine ve bazı müşterilerin
hesaplarına girerek istediği hesaba para transferleri yapmayı başarmıştır
hem de sonunda izlerini tamamen yok ederek! Ve işte bu uzmanın görüşü:
"kırılması çok kolay bir protokol ve kullanıcıların umduğu güvenliği
sağlamıyor"
Diğer öne sürdükleri bir nokta ise: kredi kartları fiziksel olarak zaten
güvenli değil ki. Yemek yediğiniz bir restoranda kartınızı verdiğiniz
garson da kredi kartı bilgilerinizi çalıp kullanabilir. Ya da fiziksel
olarak kredi kartlarını posta yoluyla gönderiyorsunuz, bu ne kadar güvenli
ki?
Bilgileri alan sitenin kredi kartı bilgilerinizi herhangi bir şekilde bir
veri tabanında saklayıp
saklamadığından, eğer saklıyorsa sakladığı bu ortamın sadece bir text
dosyası olup olmadığından nasıl emin olabilirsiniz ki?.
Öncelikle yazı dizime uzun bir süre ara verdiğimden dolayı siz
okuyucularımdan özür dileyerek yazıma kaldığım yerden devam etmek
istiyorum.
Daha önceki yazımda da belirttiğim gibi İnternette kredi kartı
kullanımının güvenli olduğunu savunanların öne sürdükleri diğer bir nokta
ise kredi kartının fiziksel olarak kullanımının zaten güvenli olmadığıdır.
Şimdi bu noktada çelişkili durumlar vardır:
İlk olarak, bu şekilde bir savunma yaparak zaten kredi kartlarının
fiziksel olarak baştan beri güvenli olmadığını kabul etmektedirler. 'Peki
nasıl oluyor da bu kadar önemli bir konuda, hadi İnterneti geçiyorum, ilk
baştan beri gerekli önlemleri almıyorlar?' sorusu geliyor adamın aklına.
Akla gelen diğer bir soru ise 'madem bu kredi kartları fiziksel olarak
zaten tamamen riskli ve güvensiz, neden gerekli önlemleri almadan bunu bir
de İnternete taşıyorsun ve durumu daha da kötü ve riskli hale
getiriyorsun?'
Şimdi gelelim restorandaki garsonun kredi kartı bilgilerinizi çalma
riskine. Bakın aslında bu noktaya hiç mi hiç katılmıyorum. Kredi kartı
kullanımının İnternet ortamındaki riskleri ile fiziksel ortamdaki
risklerinin karşılaştırılmasının yapılması bile saçma geliyor bana.
İlk olarak fiziksel olarak gittiğiniz restoranların ya da alış veriş
yaptığınız yerlerin sayısı bellidir . Kaldı ki bu yerlerde kiminle muhatap
olduğunuz da bellidir. Ancak milyonlarca kullanıcısı olan kimin kim olduğu
belli bile olmayan İnternette alış veriş için kredi kartı bilgilerinizi
gönderdiğinizde ne olacağını asla bilemezsiniz.
Fiziksel olarak kredi kartı kullanımında risklerin azaltılması daha çok
kullanıcıya aittir. Kredi kartınızı garsona vermek yerine kendiniz gidip
ödeme yapabilirsiniz. Ancak İnternette bir siteden alış veriş
yaptığınızda, gerekli olan noktalara ne kadar dikkat etseniz bile kredi
kartı bilgileriniz bilgisayardan çıktığı andan itibaren nerede ve nasıl
kullanılacağından emin olamazsınız.
Bilgileri alan sitenin kredi kartı bilgilerinizi herhangi bir şekilde bir
veri tabanında saklayıp saklamadığından, eğer saklıyorsa sakladığı bu
ortamın sadece bir text dosyası olup olmadığından nasıl emin olabilirsiniz
ki?.
Bu noktada kredi kartını kullandığınız bankanın ne kadar güvenli olduğu
yada alış veriş işlemi için gerek kredi kartı onaylama kurumlarının
gerekse sanal mağazaların ne kadar güvenli olduğunun pek fazla bir önemi
yoktur. Daha önce de defalarca söylediğim gibi güvenlik zincirinin
sağlamlığı onu oluşturan halkalardan en kuvvetli olana değil, halkalardan
en zayıf olana bağlıdır!
Peki diyeceksiniz, 'kardeşim hep laf hep eleştiri. Anladık her yıl
İnternet üzerinden milyonlarca belki milyarlarca dolar kredi kartı
dolandırıcılığı gerçekleşiyor. Eleştiri yapmak kolay da çözüm olarak ne
yapmak lazım?'
Evet aslında gerek kredi kartının İnternette kullanımı gerekse fiziksel
kullanımı konusunda güzel çözümler yok değil ancak bunların hayata
geçirilmesi ve uygulanmasında sorunlar var.
Diğer bir araştırmaya göre:
Elektronik Ortam ve İnternet; e-iş ve e-ticaret için ne kadar güvenli?
İnternet üzerinde dolaşan bilgi paketleri, bir takım güvenlik protokolleri
yardımıyla "şifrelenerek" gönderilir. Bunlardan en popülerleri SSL
(güvenlikli web oturumu ve karşılıklı bilgi değiş-tokuşu) ve SET (kredi
kartı uygulamaları) dir. SSL (Secure Sockets layer) ve SET (Secure
Electronic Transaction) sayesinde, bilgi güvenli bir şekilde "sadece"
doğru kişiye iletilir ve bilgiyi gönderen bilgisayar ile alan bilgisayar
arasında güvenli bir veri iletişimi kurulur.
Böylece, kredi kartı numarası, isim, adres vb gibi bilgiler güvenli olarak
iletilir. İnternet üzerinde alışveriş yapılan tüm merkezlerde alışveriş
yapılırken bu tip güvenlik sistemleri kullanılır. 128 bir şifreleme
algoritmaları kullanan bu sistemler, e-ticaret için gerekli "güvenli
iletişim" ortamını sağlarlar.
SET ve SSL Nedir?
SSL (Secure Sockets Layer), ağ üzerindeki web uygulamalarında güvenli
bilgi aktarımının temini için (bilginin doğru kişiye güvenli olarak
iletimi), "Netscape" firması tarafından geliştirilmiş bir program
katmanıdır (program layer). Burada, bilgi iletiminin güvenliği, uygulama
programı (web browser, HTTP) ile TCP/IP katmanları arasındaki bir program
katmanında sağlanmaktadır. SSL, web sunucularına (Apache vb), bir modül
olarak yüklenir ve böylece web sunucuları güvenli erişime uygun hale
gelir.
SSL, hem istemci (bilgi alan) hem de sunucu (bilgi gönderen) bilgisayarda
bir doğrulama (authentication, iki bilgisayarın karşılıklı olarak
birbirini tanıması) mekanizması kullanır. Böylece, bilginin doğru
bilgisayardan geldiği ve doğru bilgisayara gittiği teyit edilir.
Bilgisayarların birbirlerini "tanıma" işlemi, açık-kapalı anahtar
tekniğine (public-private key encryption) dayanan bir kripto sistemi ile
sağlanır. Bu sistemde, iki anahtardan oluşan bir anahtar çifti vardır.
Bunlardan açık anahtar (public key) herkes tarafından bilinebilen ve
gönderilen mesajı "şifrelemede" kullanılan bir dijital anahtardır. (Burada
anahtar'dan kasıt, aslında bir şifreleme -kriptolama- algoritmasıdır. Bu
algoritma (yani, anahtar) kullanılarak gönderilecek bilgi şifrelenir).
Ancak, açık anahtar ile şifreelenen mesaj sadece bu anahtarın diğer çifti
olan "kapalı anahtar" (private key) ile açılabilir (deşifre edilebilir).
Kapalı anahtar da, sadece sizin bildiğiniz bir anahtar olduğundan, mesaj
güvenliği sağlanmış olur. Örnek olarak, size mesaj göndermek isteyen
birine kendi açık anahtarınızı gönderirsiniz. Karşı taraf bu anahtarı
kullanarak mesajını şifreler ve size gönderir. Şifrelenen mesajı, sadece
sizde olan ikinci bir anahtar (kapalı anahtar, private key) çözebilir ve
bu anahtarı sadece siz bilirsiniz.
SSL, web sunucusunu tanımak için, dijital olarak imzalanan sertifikalar
kullanır. Sertifika, aslında, o organizasyon hakkında bazı bilgiler içeren
bir veri dosyasıdır. Aynı zamanda da, kuruluşun açık-kapalı anahtar
çiftinin "açık" anahtarı da sertifika içinde yer alır. Sunucu sertifikası
da, o sunucuyu işleten kuruma ait bilgiler içeren bir sertifikadır.
Sertifikalar, "güvenilir" sertifika kuruluşları tarafından dağıtılır (VeriSign
gibi).
İstemci bilgisayar, SSL destekleyen bir sunucuya bağlandığı anda, (bu,
https:// ile başlayan URL satırları ile gerçekleşir) doğrulama işlemi
başlar. İstemci, kendi açık anahtarını sunucuya gönderir. Sunucu ise, bu
anahtarı kullanarak şifrelediği bir mesajı istemciye geri gönderir. Bir
sonraki adımda istemci sadece kendinde olan kapalı (private) anahtarı
kullanarak gelen şifreli mesajı çözer ve sunucuya geri gönderir. Mesajı
alan sunucu ise, bunu kendisinin gönderdiği orijinal mesaj ile
karşılaştırır ve eğer iki mesaj "aynı" ise "doğrulama" işlemi başarıyla
tamamlanmıştır ve sunucu bu noktadan itibaren "doğru bilgisayarla/kişiyle"
iletişimde olduğunu anlar. Daha sonra sunucu istemciye o an gerçekleşen
web oturumunda kullanılacak tüm önemli anahtarları gönderir ve güvenli
iletişim başlar.
Anahtarlar üretilirken kullanılan bazı popüler algoritmalar olarak, DES
(Data Encryption Standard), RSA, IDEA verilebilir. Bunlardan RSA'nın RC4
algoritması (128 bit şifreleme olarak) Netscape ve Internet Explorer'da da
kullanılan bir algoritadır.
SET (secure Electronic Transaction), elektronik ticarette, internet
üzerinde güvenli bilgi aktarımını sağlamak amacıyla aralarında VISA,
MasterCard ve IBM'in de olduğu kuruluşlar tarafından geliştirilen bir
protokoldür. SET, özellikle on-line (gerçek zamanda) kredi kartı bilgileri
iletimi için geliştirilmiş bir standarttır. SET, kredi kartı ile yapılan
online ödemelerde, bilgilerin internet üzerinden aktarımında gizlilik ve
güvenlik entegrasyonunu sağlar. SET protokolü sadece müşteri (ürün
siparişi veren kredi kartı sahibi) ile sanal dükkan (e-dükkan) ve kredi
kartı şirketi arasındaki ödeme fazını şifreler.
SET ile, ödeme işlemine taraf olan herkes (müşteri, dükkan sahibi, kredi
kartı şirketi), birbirlerini tanırlar (teşhis ederler, authentication) ve
bu ispatlanabilir. "Tanıma" işlemi, SSL'dekine benzer bir dijital
sertifikasyon sistemi ile yapılır. Yani, ödeme fazına dahil bütün taraflar
kendi kimliklerini belirten dijital bir sertifika kullanır.
|
|
|
