DİKKAT : TAMER ŞAHİN YAZISI
Bankacılık sektörü hızla gelişen, değişen ve yeniliklerin belki de en çabuk ve kolay uygulandığı sektör. Önceleri sadece ofis içi bankacılık işlemlerini gerçekleştirmek için kullanılan bilgisayarlar, teknolojinin gelişmesi, internetin yaygınlaşması ile birlikte bir adım ileriye giderek bireylere ve firmalara, kendi bilgisayarlarından bankacılık hizmeti vermeye başladı.
Ülkemizde de hemen hemen her bankanın bir internet şubesi bulunuyor. İnternet şubelerinden verilen hizmetler, banka şubelerinde verilen hizmetlerin tamamını kapsıyor ve hatta bunu bir adım ileriye götürerek banka müşterilerine yeni imkanlar da sunuyor. Bankaların hedefi, müşterilerini olabildiğince internet ortamında işlem yapmaya teşvik etmek. Böylece bir yandan maliyetler düşürülürken, diğer yandan müşterilere daha yakın olabilmek ve işlemlerini banka üzerinden geçirmelerine daha çok teşvik etmek istiyorlar.
İnternet Bankacılığını kullanan kesim her geçen gün daha da kalabalıklaşıyor. Ancak internet üzerinde gerçekleştirilen her işlem gibi, bankacılıkta da belli zorluklar ve riskleri var. Elektronik ortamda bilgi güvenliğinin dışında hesap işlemlerindeki hala elektronikleşmeyen prosedürler, güvenlik tereddütleri nedeniyle işlemlerin yavaş olması ve her işlemde bir kaç kez onay alma zorunluluğu işlevsellik açısından problem yaratıyor. Kullanıcılar açısından, işlevsellik tabi ki önemli ama kullanıcıların daha çok dikkat ettiği unsur; “gizlilik”. Bilgi bir yerden bir başka yere aktarılırken doğru güvenlik önlemleri alınmadığı taktirde kötü kullanımlardan doğabilecek olaylar kişisel yaşamın gizliliğine zarar verecek bir hal alabilir.
Bankalar kişisel gizliliği korumak ve sistemlerini hep en yüksek güvenlik çizgisinde tutmak için yüksek rakamlarda yatırımlar yapıyorlar. Ama yatırımların miktarının yüksekliği ile doğru orantıda verimlilik sağlamak herzaman mümkün olmayabilir.
Çoğu bankanın birincil zaafı planlama aşamasında ortaya çıkıyor. Ülkemizde neredeyse tüm bankalar, nedense!! projelerini yurt dışındaki büyük yazılım firmalarına vermeyi tercih ediyor. Bu firmalar ise ülkemizdeki talepte bulunan her bankaya, hemen hemen aynı işlevi görecek proje dosyaları ile geliyorlar. Bu çok uluslu firmalar, sistemlerinin kurulumunu tamamlayıp hayata geçirdiklerinde, bir de bakıyorsunuz ki, bir çok banka birbirinin aynısı sisteme sahip tek düze bir yapılanma içinde.
Oysa, bu tarz misyon kritik projelerde atılması gereken doğru adım; “Projenin her kuruluşun kendi ihtiyaçları, mevcut sistemi, risk derecesi” göz önüne alınarak oluşturulması ve yine bu parametreler göz önünde tutularak uygulanması gerekliliğidir.
Ülkemizde sanal banka şubelerinden çoğuna girdiğinizde güvenlik ile ilgili bölümde muhtemelen tek karşılaşacağınız bilgi ‘Internet Şubemiz SSL&SET teknolojileri ile korunmaktadır’ benzeri bir metin olacaktır. Burada hala sürdürülen yanılgı ‘SSL’ ve ‘SET’ teknolojilerinin birinci dereceden güvenlik önlemleri ‘olmadığıdır’.
SSL anahtar sistemine dayanan bir şifreleme algoritmasıdır. SSL’de kullanıcı ile sunucu arasında gidip gelen veriler şifrelenerek gönderilir. SSL sertifikası ise kişinin yada karşıdaki kurumun bilgiye yada online hizmete ulaşım hakkını kanıtlamak için kullanılan bir sertifikadır. Aynı zamanda SSL sertifikası karşıdaki bağlanılan sistemin gerçekten kime kayıtlı olduğunun teyidinin yapılabileceği özel bir sertifikadır.
SET ise daha çok e-ticaret sitelerinde kullanılan güvenli ödeme sistemidir. Bu sistemde verilen kredi kartı bilgisi sadece banka ile kullanıcı arasında şifreli olarak gidip gelir. Teoride üçüncü bir şahıs tarafından yada alışveriş yapılan e-ticaret sistemi sahibi tarafından görülemez.
Oysa neredeyse tüm banka şubeleri ve e-ticaret sitelerinde anlatılan SSL ve SET teknolojileri, bir ağ’daki sunucularda alınabilecek güvenlik önlemleri arasında son sıralarda olanlardır.
Bu önlemleri belli bir hiyerarşide sıralayacak olursak;
· Temel İşletim Sistemi Güvenliği
· Güvenlik Duvarı
· Saldırı Tespit Sistemi
· Veritabanı Güvenliği
· Web Tabanlı Dinamik İçeriğin Güvenligi (ASP,PHP, CGI, JSP, PL)
· VPOS Guvenliği (SSL & SET)
Yukarıda belirtildiği gibi konunun belli bir hiyerarşide ele alınması gerekir. Bu sıralamanın ortadan ya da sondan başlaması kabul edilemez. Güvenliğin sadece bir ürün değil, süregelen bir süreç olduğu göz önüne alınırsa, tüm bu alınan önlemler de yetmez. Sistemler düzenli olarak güvenlik testlerinden geçirilmelidir. Bu testler tamamen Hacker’ların teknikleri kullanılarak, mevcut sistemlerin güvenlik zaafiyetlerinin aranması, tespit edilip raporlanması ve bu zayıflıkların kapatılması için çözüm önerilerini kapsayan bir çalışma olmalıdır.
Belirtilen hiyerarşi doğrultusunda güvenlik önlemi sağlanmamış bir sistemde; sunucu ile ziyaretçi arasındaki trafik şifrelense bile, eksik güvenlik önlemleri nedeniyle sunucuya dışarıdan erişim sağlanmışsa ‘SSL’ ve ‘SET’ gibi iki teknolojinin güvenlik anlamında getireceği hiç bir artı olmaz. Bu iki teknoloji sanal banka şubelerinde sunucuya girmiş bir Hacker’ın ‘Kullanıcı Adı’ ve ‘Şifre’ formunun hedef adresinin değiştirmesi gibi bir yöntemle aşılabilir. Bu şekilde girilen hesap no, kullanıcı adı, şifre bilgileri, once sunucuya erişim sağlamış Hacker’a ulaştırılır, daha sonra ise gitmesi gereken asıl yere gönderilir. Aynı şekilde e-ticaret siteleri içinde benzer durum geçerlidir.
Temel güvenlik önlemlerinin öneminden bahsettikten sonra başka bir hususta daha uyarıda bulunmak istiyorum. Son zamanlarda özellikle internet kafelerde artan klavyedeki tuş vuruşlarının kaydedilmesi ve bunun sonucunda kişilerin şifre ve kişisel yazışmalarının başkaları tarafından ulaşılabilir olması bir çok bankada rahatsızlık yarattı. Bunun üzerine bazı bankalar adına ‘Sanal Klavye’ dedikleri bir sistem geliştirdiler.
Bu sistemde kullanıcı mouse yardımı ile rakamların yer aldığı buttonlara tıklayarak şifresini giriyor ve teorikte bilgisayarda klavye kullanılmadığı için bu işlem farkedilemiyor. Bu yeni güvenlik uygulamasındaki ilk açık ‘ScreenLogger’ isimli program ile ortaya çıktı. Bu program internetten serbestçe indirilebiliyor. Kısa bir araştırmadan sonra internette rastladığım bu programda kullanıcının mouse tıklamalarından yola çıkarak aktif olan her pencerenin ekran görüntüsü programa ait özel bir sıkıştırma metodu ile bilgisayara kaydediliyor. Sadece özel bir şifre ile ulaşılabilen bu ekran görüntüleri arasında mouse ile tıklanan her yer aktif olan tüm pencere görüntüsü, istenildiğinde tüm ekran görüntüsü yer alıyor.
Kaydedilen örnek bir ekran görüntüsü, kullanıcı şifresini sanal klavyeden giriyor.
Dolayısıyla, pratikte bu önlemin de yeterli olamaması sonucu ortaya çıkıyor ki, kullanıcıların banka işlemi yaptıkları PC’ye dikkat etmeleri, anonim ya da halka açık bir yerden banka işlemleri yapmamaları daha da önem kazanıyor.
Bankaların da bu önlemi dikkatle incelemelerini tavsiye ediyorum. Çünkü onlar kitlelerin güvenip birikimlerini ve kişisel bilgilerini emanet ettikleri önemli kuruluşlar. Bu nedenle bu tür gelişmeleri yazmayı bir görev biliyorum.
Kaynak : 