Internet'te Gizlilik
Önce
kitabevine uğradınız. İstediğiniz kitapları hemen belirleyip, tutarını ödeyip
çıktınız. Bunun peşi sıra bir müzikmarkete girdiniz ve sevdiğiniz grubun uzun
zamandır beklediğiniz albümünün çıkmış olduğunu görüp, hemen onu da aldınız.
Daha sonra sevgilinizin doğum günü için onun en çok sevdiği çiçekleri ısmarladınız.
Ardından evinizin haftalık alışverişini yaptınız ve başka bir şehirde okuyan
kardeşinize harçlığını yolladınız.
Bunların tümü çalışan bir insanın ancak hafta sonu gerçekleştirmeye zaman bulacağı
etkinlikler; ama siz hepsini 15 dakika içerisinde hem de evinizden, hatta bilgisayarınız
başından ayrılmadan yapabilirsiniz. Nasıl mı? Kredi kartı kullanıp, sanal alışveriş
yaparak.
Ülkemizde de yavaş yavaş beliren sanal ticaret sayesinde yukarıda anlatılanların
tümünü (hatta fazlasını) yapabilirsiniz. Bir Internet bağlantısı, bir kredi
kartı tüm bunlar için fazlasıyla yeterli. Ancak, sanal alışverişin yaygınlaşması
bizi bugüne değin hiç düşünmediğimiz bir konu üzerinde zihin yormaya zorluyor:
Güvenlik.
Türkiye'de bir kredi kartı sahibi, kartını kullanırken kimliğini de göstermesi
istendiğinde bunu kendisini aşağılayıcı bir davranış olarak algılayabileceğinden,
dükkan sahipleri (bir bakıma haklı olarak) kredi kartlarının güvenliği konusunda
pek de titiz davranmıyorlar. Hatta alışverişi bitirdikten sonra, ödeme yapmak
için uzattığınız banka kartının şifresini herkesin önünde söylemenizi bile isteyebilirler.Kredi
kartı numaraları, şifreler, hesap numaraları, cep telefonuyla birlikte gündelik
yaşamımıza giren PIN (Personal Identifıcation Number, kişisel tanımlama numarası)
konusunda bu denli vurdumduymaz oluşumuz, Internet kullanırken de güvenliği
ön planda tutmayabileceğimiz kaygısını doğruluyor.
WWW'deki Amazon.com gibi kitap siparişinde bulunabildiğiniz sitelerde, alışverişin
tutarını almaları için kredi kartı numaranızı vermelisiniz. Ancak WWW'de dolaşmak
için kullandığınız yazılımlar (Netscape Navigator, Internet Explorer gibi) aracılığı
ile gönderdiğiniz bilgiler, normalde salt metin biçiminde karşıdaki sunucuya
iletildiğinden, kötü niyetli herhangi bir kişinin bazı teknikler kullanarak
kredi kartı numaranızı ele geçirmesi mümkün. Kredi kartı numaranız da gizli
bir bilgi kabul edildiğinden bunun öğrenilmesi, sizin için zararlı bazı sonuçlara
yol açar (örneğin bu kredi kartı numarası kullanarak sizin adınıza borç yazılması
gibi).
Bunu önlemek için Internet üzerinde "güvenli" kabul edilen WWW servisleri
kurulmuştur. Örneğin Amazon.com adresinde, sipariş ettiğiniz kitapları ve kredi
kartı bilgilerinizi girdiğiniz sayfa "şifrelenmiştir". Yani kullandığınız
yazılım karşı taraftaki sunucuya bilgileri salt metin olarak değil, şifrelenmiş
metin olarak gönderir.
Kredi kartı işlemleri için İnternet üzerinde yaygın olarak kulllanılan protokol,
SET'dir (Secure Tansactions Protocol, Güvenli İşlem Protokolü). MasterCard ve
Visa'nın başı çektiği, Netscape ve Microsoft'un da desteklediği bir endüstri
grubunca geliştirilen SET, geçtiğimiz yıl içinde kullanıma girdi. SET dışında
WWW üzerindede yaygın olarak kullanılan bir güvenli işlem protokolü de SSL'dir
(Secure Socket Layers, Güvenli Soket Katmanları). Hali hazırdaki birçok WWW
sitesi bu protokolü kullanıyor.
Aslında Internet üzerinde güvenlik (ve bunun bir parçası olan kişisellik) hiç
de yeni tartışmalar değil. E-posta haberleşmesinin ve bununla birlikte doküman
değiş tokuşunun kullanımından beri, iletilen bilginin yaptığı yolculuk boyunca
güvenliğini sağlama önemli bir sorun olagelmiştir.
Bu sorunu aşmak için de verilerin okunamaz bir biçimde kodlanması, şifrelemenin
ilk kullanımıdır. Şifreleme teknikleri, anahtar adı verilen ve bir şifreleme
algoritması ile kullanıldığında veriyi özgün bir biçimde kodlayan, gizli bir
veri zincirinden oluşmaktadır. Şifrelenmiş mesajı kırma, anahtar zincirinin
uzunluğuna bağlıdır. Örneğin 8 bitlik bir anahtar kullanıldığında sadece 256
olası anahtar oluşturulabilir.
8 bitlik bir anahtarı kaba kuvvet kullanarak (olası tüm durumları bilgisayarın
hızından ve gücünden yararlanıp denemek) kırmak kısa sürecektir. Ancak, örneğin
100 bitlik bir anahtar söz konusu olduğunda, 2^100 (2 üssü 100) olasılık olduğundan,
saniyede 1.000.000 (ki yaklaşık 2^20'ye denk gelir) anahtar deneyebilen bir
bilgisayar bile doğru anahtarı bulmak için çok uzun süre çalışmak zorunda kalacaktır.
Anahtarlı şifreleme yöntemleri içinde yaygın olarak kullanılanı kamusal (public)
anahtarlamadır. Burada kullanıcının biri herkese dağıttığı genel, diğerini de
salt kendine sakladığı özel bir çift anahtarı vardır. Ahmet, Ayşe'ye şifrelenmiş
bir doküman göndermek isterse, bunu Ayşe'nin genel anahtarıyla şifrelemelidir.
Ayşe de gelen şifreli dokümanı kendi özel anahtarıyla açmalıdır.
Çift anahtarlı şifreleme için İnternet kullanıcıların en çok kullandıkları yazılım
"Pretty Good Privacy"dir (PGP). Bu programın yazarı Philip Zimmermann,
programı yazıp, kaynak kodunu İnternet'e koyduğunda, ulusal güvenliği tehlikeye
soktuğu gerekçesiyle başı CIA ile derde girmişti. PGP'nin ABD yasalarına göre
ABD dışına çıkarılması hâlâ yasal değil, ancak bir İnternet kullanıcısı ABD
dışında yer alan herhangi bir PGP sitesinden bu yazılımı getirebilir. Windows
95, tüm UNIX uyumlu işletim sistemleri, Mac OS gibi popüler işletim sistemlerinin
hemen hepsi için uyarlanmış durumda PGP Internet üzerinden arkadaşlarınıza yolladığınız
kişisel e-postalar ya da dünyanın herhangi bir yerine yollayacağınız ticari
bilgilerinizi şifrelemek için PGP'yi kullanabilirsiniz. Bazı yazılım firmaları
PGP üzerine ürün de geliştiriyor. Orneğin Eudora posta programında PGP'yi kullanmanızı
sağlayan hir eklentiyi bulmanız mümkün.
Bu arada küçük bir not: PGP'nin son sürümü 128 bittcn 4096 bite kadar farklı
uzunlukta anahtarlar yaratmanıza izin veriyor. Yukarıdaki hesaba göre 4096 bitlik
bir anahtarın kaba kuvvet kullanarak kırılması sonlu bir zaman içinde gerçekleşebilir
gibi görünmüyor (tabii, şans -daha doğrusu şansızlık etkeni unutulmamalı). Ancak
bu büyüklükte anahtar yaratmanın bir miktar işlem gücü gerektirdiği de göz ardı
edilmemeli.
İnternet'te güvenlik deyince akla sadece kişisel e-postaların, kredi kartlarının
ve dosyaların güvenliği gelmemeli. İşyerinizdeki müşteri veri tabanının tutulduğu
bilgisayarın İnternet üzerinden saldırıya uğrayıp, bilgilerinizin tahrip (kim
bilir belki de yok) edilmesi de mümkün.
Geçtiğimiz Şubat sonunda ABD Savunma Bakanlığı Pentagon'un bilgisayarlarına
korsanlar tarafından sızılması bunun en yakın ve çarpıcı örneklerinden birisi.
Bilgisayar korsanlarınca en çekici hedeflerden birisi olan Pentagon ağına daha
önce de benzer saldırılarda bulunulmuştu. Bu seferki saldırıda (aslında peş
peşe bir dizi saldırı demek daha doğru) personel kayıtları ve muhasebe gibi
pek önemli bilgilerin bulunmadığı yerlere sızılmış. Savunma Bakanlığı sekreterliği
olay hakkında pek fazla bilgi veremeyeceklerini, zira Adalet Bakanlığı ile birlikte
olası suç etkinlikleri üzerinde incelemeler yaptıklarını açıklamıştı.
Bilgisayar korsanlarının Pentagon kadar favori bir başka hedefleri ise CIA (Central
Intelligence Agency, Merkezî Haberalma Teşkilatı). CIA'nin Internet üzerindeki
sitesine 1996 Eylül'ünde saldıran bir grup, ana sayfadaki "Central Intelligence
Agency" yazısını "Central Stupidity Agency" (Merkezî Salaklık
Teşkilatı) haline çevirmişlerdi.
Hem CIA'nin, hem de Pentagon'un sitesine yapılan saldırılarda, Internete bağll
olan ağın, önemli ve gizli bilgilerin olduğu ağdan ayrı olması sayesinde saldirganlar
bu bilgilere zarar veremediler.
Bu arada Pentagon'un bilgisayar agına saldırı düzenleyenlerin peşine düşen FBI,
iki liseli genci yakaladi. İsrailli, kendine Analyzer (İnceleyici) takma adını
veren bir bilgisayar korsanınca yönlendirilen bu gençler, işletim sistemlerindeki
bir boşluktan yararlanarak 200'den fazla kuruluşu kırmışlar. İnternet üzerinden
yayın yapan bir derginin Analyzer'la yaptığı röportajda korsan, kırdığı sistemlere
aslında yardun ettiğini; çünkü var olan açıkları sistem sorumlularına gösterdiğini
söylüyor. Bu arada Analyzer'ın yandaşları, korsanların kırdıkları arşivlerden
dolayı soorumlu tutulmaları durumunda misilleme yapacaklarına dair FBI'a uyarıda
bulundular. Saldırıların WWW sitenizdeki ana sayfayı tahrip etmek ya da önemli
bilgilerinizi yok etme gibi doğrudan olması gerekmiyor. Bilgisayarın sık sık
"göçmesine" yol açmak da bir başka çeşit saldırı (Bilgisayar terminolojisinde
"çökmek" ya da "göçmek" bir yazılım sorunu nedeniyle bilgisayarın
kullanılalamaz hale gelmesini tanımlar).
Mart ayının başlarında, yine ABD'deki bilgisayar korsanlarının Microsoft firmasının
Windows NT işletim sistemini kullanan bilgisayarlara saldırdıkları haberi geldi.
Yalnız bu sefer sisteme sızmaya çalışma yerine, işletim sistemi yazılımının
çökmesine yol açıyorlardı.
Aralarında MIT, Kaliforniya Üniversitesi ve Deniz Kuvvetleri gibi önemli kurumların
bulunduğu birçok ağda bilgisayarların bir anda, birbirlerinin ardı sıra çöktükleri
haberi geldi. Bilgisayarlar herhangi bir sorun olmaksızın yeniden düzgün olarak
çalıştırılabildiyse de, o sırada kullanılan uygulamalardaki bilgiler yitirildi.
Bu durum birçok insan için çok önemli sorunmuş gibi gelmese de, bir
çökme sonrasında oluşan disk sorunları bazen giderilemeyip, diskin yenidcn sıfırlanmasına
(format) bile yol açabiliyor. Yani korsanlar bilgiyi doğrudan silmeseler bile,
silinmesine yol açabiliyorlar.
Korsanlar Windows NT işletim sisteminde, çözülemeyen bir sorunu gidermek için
çok fazla bellek ayrılmasına yol açan bir hatadan yararlanmışlar. Üç gün boyunca
süren bu saldırı dizisinden sonra Mlicrosoft firması, üründeki bu soruna yol
açan hatayı gideren bir yamayı (patch) İnternet üzerinden dağıtmaya başladı.
Bilgisayar ağınızda CIA ya da Pentagon'un bilgisayar ağında olduğu kadar önemli
bilgiler yok diye sakın sevinmeyin. Zira birçok bilgisayar korsanı (yukarıda
Analyzer'ın da söylediği gibi) bir sistemi sadece içine: sızabileceğini göstermek
için kırabilir. Bir tür güvde gösterisi. Özellikle İnternetteki haber gruplarında
işletim sistemlerindeki boşlukları duyan birisi bunların doğru olup olmadığını
görmek için bile sizin bilgisayar ağınıza sızmayı deneyebilir.
Bilgisayar ağınız olmasa bile sıradan bir İnternet kullanıcısı bilgisayar sitelerinin
kırılmasından ötürü önemli sorunlar yaşayabilir. Sürekli sanal alışveriş yapıp,
kredi kartı bilgilerini verdiğiniz bir siteye yaklaşık bir ay boyunca korsanlar
tarafından sızıldığını öğrenmek hiç hoş olmayacaktır.
Bir İnternet kullanıcısının Netscape Navigator ya da Internet Explorer'ın verdiği
"Dikkat yolladığınız bilgi güvenli olarak iletilmemektedir. Üçüncü şahıslar
tarafından görülebilir." uyarısını dikkate alması yerinde olacaktır. Bu,
WWW sitelerine gönderilen her bilgide paranoya yaşamalı demek değil tabii, kişisel
bilgiler ya da kredi kartı numarası gönderileceği zaman, karşı ki sitenin en
azından SSL destekleyip, desteklemediğine bakılmalı.
Murat Maga, ZD Internet, Mart 1997, http://www.cnn.com/TECH/computing/9803/04/microsoft.attack
http://www.cnn.com/TECH/9609/19/cia.hacker