ELEKTRONİK TİCARETTE GÜVENLİK
Elektronik ticarette alıcı ve satıcı birbirlerini görmeksizin
iş yaptıklarından karşılıklı olarak güvenin sağlanması
için ek bir takım önlemler almaya ihtiyaç duyarlar.
Öncelikle alıcı ve satıcı taraflar birbirlerinin kimliklerinden
emin olmak isterler. İşte bu ihtiyaç dijital imza ve
dijital sertifikaların geliştirilme nedenidir. Bunlar
aracılığıyla iki taraf birbirlerinin kimliğinden emin
olabilmektedir. Türkiye'de şu anda dijital sertifikalar
ile ilgili yasal altyapı henüz oluşturulmadığı için
alıcı tarafında bulunan bireysel kullanıcılar henüz
dijital sertifika kullanmaya başlamamışlar, satış yapan
siteler de müşterilerine bunu şart koşmamışlardır. Bu
nedenle satıcılar alıcıların kimliklerini kontrol edememektedirler.
Ancak Garanti Bankası'nın ödeme sistemini kullanarak
Internet'ten satış yapmak isteyen firmalara bankamız
bu şartı getirmiş ve böylece tüketicilerin alışveriş
yaptıkları sitenin kimliği ile ilgili kuşku duymalarını
önlemiştir.
Elektronik ticarette güvenlik konusunda değerlendirilmesi
gereken diğer bir konu da alıcıların elektronik ticaret
sitelerinden alışveriş yapmak için vermek durumunda
kaldıkları kredi kartı vb. bilgilerin Internet üzerinden
iletilirken üçüncü şahısların eline geçmesi riskidir.
Bilindiği gibi özellikle telefonla yapılan satışlarda
(gazeteye ilan vermek, katalog satışları vb) kredi kartı
numarası ve son kullanma tarihi alışveriş için yeterli
olmaktadır. Bu yüzden bu bilgilerin korunması elektronikticaretin
gelişimi için büyük önem taşımaktadır.
Ancak elektronik ticarette kredi kartı bilgilerinin
başkalarının eline geçme riski günlük hayattakine göre
çok daha azdır. Günlük hayatta ödeme yaparken kredi
kartı bir başkasına verilmekte, bu yüzden kredi kartının
üzerindeki bilgilerin gizliliği büyük oranda ortadan
kalkmaktadır. Sanal alışveriş hizmeti veren firmalar,
kredi kartı bilgilerinin güvenliği ve gizliliğini sağlamak
için yaygın olarak SSL ve SET gibi güvenlik standartlarını
kullanmaktadırlar. Kullanıcı, işyeri ve banka arasındaki
veri akışı sırasında bilgilerin şifrelenerek aktarılması
esasına dayanan güvenlik sistemleri sayesinde bilgilerin
başka bir kişinin eline geçmesi durumunda çözülebilmesi
(yani kullanılabilmesi) önlenir. Böylece kart bilgilerinin
gizliliği ve alışverişin güvenliği sağlanmış olur. Garanti
Bankası sistemini kullanan firmalar müşterinin kredi
kartı bilgilerini göremezken Garanti Bankası da yapılan
alışverişin içeriğini bilmez. Ayrıca kredi kartı sahiplerinin
Internet üzerinde yapılan alışverişlere de diğer alışverişler
gibi her zaman itiraz hakkı vardır.
SSL (Secure Socket Layer)
SSL network üzerindeki bilgi transferi sırasında güvenlik
ve gizliliğin sağlanması amacıyla Netscape tarafından
geliştirilmiş bir güvenlik protokolüdür. 1996 yılında
3.0 versiyonunun çıkarılmasıyla hemen bütün Internet
tarayıcılarının (Microsoft Explorer, Netscape Navigator
vb) desteklediği bir standart haline gelmiş ve çok geniş
uygulama alanları bulmuştur.
SSL gönderilen bilginin kesinlikle ve sadece doğru adreste
deşifre edilebilmesini sağlar. Bilgi gönderilmeden önce
otomatik olarak şifrelenir ve sadece doğru alıcı tarafından
deşifre edilebilir. Her iki tarafta da doğrulama yapılarak
işlemin ve bilginin gizliliği ve bütünlüğü korunur.
Veri akışında kullanılan şifreleme yönteminin gücü kullanılan
anahtar uzunluğuna bağlıdır. Anahtar uzunluğu bilginin
korunması için çok önemlidir. Örneğin; 8 bit üzerinden
bir iletimin çözülmesi son derece kolaydır. Bit, ikilik
sayma düzeninde bir rakamı ifade eder. Bir bit, 0 veya
1 olmak üzere 2 farklı değer alabilir. 8 bit ise sadece
28=256 olası farklı anahtar içerir. Bir bilgisayar bu
256 farklı olasılığı sıra ile inceleyerek bir sonuca ulaşabilir.
SSL protokolünde 40 bit ve 128 bit şifreleme kullanılmaktadır.
128 bit şifrelemede 2128 değişik anahtar vardır ve bu
şifrenin çözülebilmesi çok büyük bir maliyet ve zaman
gerektirir. Kötü niyetli bir kişinin 128 bit'lik şifreyi
çözebilmesi için 1 milyon dolarlık yatırım yaptıktan sonra
67 yıl gibi bir zaman harcaması gerekir. Bu örnekten anlaşıldığı
gibi SSL güvenlik sistemi tam ve kesin bir koruma sağlar.
Kredi kartları fiziksel olarak zaten güvenli değil
ki. Yemek yediğiniz bir restoranda kartınızı verdiğiniz
garson da kredi kartı bilgilerinizi çalıp kullanabilir.
Ya da fiziksel olarak kredi kartlarını posta yoluyla
gönderiyorsunuz, bu ne kadar güvenli ki?
Aslında bu yazımda daha çok İnternet'te kredi kartı
kullanımına değineceğim için başlığını "Haydi İnternet'ten
alış verişe, güvenli ya!" diye düşünmüştüm. Sevgili
Serhat Ayan'ın 5 yıl önce bunu söylemiş olsaydık şimdi
komik duruma düşerdik diye nitelendirdiği bir başlık.
Ben buna kesinlikle katılmıyorum. Beş yıl önce de olsaydı
bunu söylerdim, bugün de söylüyorum ve böyle giderse
bir 5 değil 50 yıl sonra da söylerim. Neden mi? Bu konuya
girmeden önce bir iki noktaya değinmek istiyorum.
Serhat son yazısında bana yapmış olduğu göndermede anketler
için benim değinmediğim üçüncü bir yol olan üyelik sisteminden
bahsetmiş. Evet doğrudur. Ancak ilk olarak bu tür anketlerde
bu yöntemin kullanılması ihtimal dahili dışında olduğu
için değinmemiştim. Çünkü biri kalkıp böyle uyduruk
bir anket için üyelik sistemi kurup, önce kullanıcı
bilgilerini alıp sonra da oy kullandırsa kimse kullanmak
istemez! Kaldı ki bu yöntemin yada diğer yöntemlerin
kullanımı sonuçta hiç bir şeyi değiştirmez, sonuçların
güvenli olmasını sağlamaktan ziyade güvensizlik riskini
biraz daha azaltırlar hepsi o!
Serhat diğer bir göndermede en son yazımı, devlet işlerinin
internetten yapılması gerektiği tezini hakir gören bir
antitez olarak nitelendiriyor. Sanırım bu noktada kimin
ne için uğraştığını ve neyin üzerine gittiğini iyi belirlemek
lazım. Serhat kendi davasında sonuna kadar haklıdır
ve katılmamak elde değil. Ancak ben olaylara güvenlik
yönünden yaklaştığım için İnternet'te seçim yapmadan
önce güvenliğe gerçekten çok önem vermemiz gerektiğini
savunuyorum. Zira aslında İnternet'in ne amaçlar için
üretiliğini sonra bu amaçların gerçek amaçlarından sapıp
yamalı bir bohçaya dönerek hangi başka amaçlar için
kullanıldığını anlatan guvenlikhaber.com'un yazarlarından
sevgili Lütfi Yelkenci'nin en son yazısını okuyanlar
ne demek isteğimi daha iyi anlayacaklardır!
Şimdi gelelim şu kredi kartı olayına. İnternet'te kredi
kartlarının beş yıl önce güvenli olmadığı ama bu gün
güvenli olduğu diye bir şey zaten söz konusu bile değil.
Kredi kartları ile ilgili olarak bir çok yorumlar yapılır,
uzmanlara danışılır, "usta nedir bu kredi kartı
olayı, kullanalım mı? kulanmayalım mı?" ama güvenlikle
uzaktan yakından ilgili olmayan kişiler, sistemin içinde
neler dönüp bittiğini biraz bile bilmeyen kişiler verirler
cevabı: "Şu anda İnternet'ten kredi kartı ile alış
veriş yapmak en güvenilir yoldur". Sanırım bu yorumlar
sadece ticari amaçlı olmaktan ileri gidemiyor,zira beş
yıl önceki pratik kredi kartı kullanımıyla şu anki kredi
kartı kullanımı arasında pek bir fark yok!
Bu kişilerin dayandığı ve öne sürdüğü bir kaç nokta
vardır. İlk olarak günümüzde geliştirilen şifreleme
tekniklerini ( örnek olarak internette alış veriş işlemlerinde
kredi kartı bilgilerinin transfer edildiği SSL teknolojisi)
state-of-art olarak nitelendirirler. Dünyada en yaygın
olarak kullanılan eposta şifreleme yazılımı olan ve
geçtiğimiz ay içerisinde bir grup geliştirici sayesinde
tozlu raftalara kaldırılmaktan son anda kurtulan PGP
şifreleme yazılımının geliştiricisi Zimmermann bile
"her kim kırılamaz bir şifre bulduğuna inanıyorsa
ya hiç görülmemiş bir dahidir ya da tecrübesiz ve çok
saf birisidir" şeklinde yorum yapmışken bu şekilde
kesin konuşmak doğru olmasa gerek. Zira yine geçen ay
içerisinide güvenlik dünyasını yerinden oynatan olaylar
bunu ıspatlamıştır.
Bakın son zamanlarda önce Internet Explorer'da bulunduğu
sonra da Microsoft'un açıklamasıyla aslında browser'da
değilde işletim sisteminde bulunduğunu açıkladığı bir
güvenlik açığı ortaya çıkmıştı. Bir çok güvenlik uzmanı
bu açığı inanılmaz derecede ciddi olarak nitelendirmişlerdi.
Ve işin ilginç yanı bu açık son beş yıldır IE'de bulunuyor
ve bunun manası IE kullanarak İnternet'ten kredi kartı
ile alış veriş yapılıyorsa SSL korumasının hiç bir işe
yaramayacağıdır!!!
Şimdi kredi kartları hakkında bu tür yorumları yapanlar
kalkıp "pardon yanılmışız, son beş yıldır pek güvenli
değilmiş ama bundan sonra son derece güvenli olacak
söz" mü diyecekler?
Bakın daha bu açığın yayınlanmasından iki hafta geçmemişti
ki, geçtiğimiz hafta pazartesi günü İsveçli bir güvenlik
uzmanı bu açığı kullanarak İsveç'in en büyük dört bankasından
üçünün sistemine ve bazı müşterilerin hesaplarına girerek
istediği hesaba para transferleri yapmayı başarmıştır
hem de sonunda izlerini tamamen yok ederek! Ve işte
bu uzmanın görüşü: "kırılması çok kolay bir protokol
ve kullanıcıların umduğu güvenliği sağlamıyor"
Diğer öne sürdükleri bir nokta ise: kredi kartları fiziksel
olarak zaten güvenli değil ki. Yemek yediğiniz bir restoranda
kartınızı verdiğiniz garson da kredi kartı bilgilerinizi
çalıp kullanabilir. Ya da fiziksel olarak kredi kartlarını
posta yoluyla gönderiyorsunuz, bu ne kadar güvenli ki?
Bilgileri alan sitenin kredi kartı bilgilerinizi herhangi
bir şekilde bir veri tabanında saklayıp
saklamadığından, eğer saklıyorsa sakladığı bu ortamın
sadece bir text dosyası olup olmadığından nasıl emin
olabilirsiniz ki?.
Öncelikle yazı dizime uzun bir süre ara verdiğimden
dolayı siz okuyucularımdan özür dileyerek yazıma kaldığım
yerden devam etmek istiyorum.
Daha önceki yazımda da belirttiğim gibi İnternette kredi
kartı kullanımının güvenli olduğunu savunanların öne
sürdükleri diğer bir nokta ise kredi kartının fiziksel
olarak kullanımının zaten güvenli olmadığıdır.
Şimdi bu noktada çelişkili durumlar vardır:
İlk olarak, bu şekilde bir savunma yaparak zaten kredi
kartlarının fiziksel olarak baştan beri güvenli olmadığını
kabul etmektedirler. 'Peki nasıl oluyor da bu kadar
önemli bir konuda, hadi İnterneti geçiyorum, ilk baştan
beri gerekli önlemleri almıyorlar?' sorusu geliyor adamın
aklına.
Akla gelen diğer bir soru ise 'madem bu kredi kartları
fiziksel olarak zaten tamamen riskli ve güvensiz, neden
gerekli önlemleri almadan bunu bir de İnternete taşıyorsun
ve durumu daha da kötü ve riskli hale getiriyorsun?'
Şimdi gelelim restorandaki garsonun kredi kartı bilgilerinizi
çalma riskine. Bakın aslında bu noktaya hiç mi hiç katılmıyorum.
Kredi kartı kullanımının İnternet ortamındaki riskleri
ile fiziksel ortamdaki risklerinin karşılaştırılmasının
yapılması bile saçma geliyor bana.
İlk olarak fiziksel olarak gittiğiniz restoranların
ya da alış veriş yaptığınız yerlerin sayısı bellidir
. Kaldı ki bu yerlerde kiminle muhatap olduğunuz da
bellidir. Ancak milyonlarca kullanıcısı olan kimin kim
olduğu belli bile olmayan İnternette alış veriş için
kredi kartı bilgilerinizi gönderdiğinizde ne olacağını
asla bilemezsiniz.
Fiziksel olarak kredi kartı kullanımında risklerin azaltılması
daha çok kullanıcıya aittir. Kredi kartınızı garsona
vermek yerine kendiniz gidip ödeme yapabilirsiniz. Ancak
İnternette bir siteden alış veriş yaptığınızda, gerekli
olan noktalara ne kadar dikkat etseniz bile kredi kartı
bilgileriniz bilgisayardan çıktığı andan itibaren nerede
ve nasıl kullanılacağından emin olamazsınız.
Bilgileri alan sitenin kredi kartı bilgilerinizi herhangi
bir şekilde bir veri tabanında saklayıp saklamadığından,
eğer saklıyorsa sakladığı bu ortamın sadece bir text
dosyası olup olmadığından nasıl emin olabilirsiniz ki?.
Bu noktada kredi kartını kullandığınız bankanın ne kadar
güvenli olduğu yada alış veriş işlemi için gerek kredi
kartı onaylama kurumlarının gerekse sanal mağazaların
ne kadar güvenli olduğunun pek fazla bir önemi yoktur.
Daha önce de defalarca söylediğim gibi güvenlik zincirinin
sağlamlığı onu oluşturan halkalardan en kuvvetli olana
değil, halkalardan en zayıf olana bağlıdır!
Peki diyeceksiniz, 'kardeşim hep laf hep eleştiri. Anladık
her yıl İnternet üzerinden milyonlarca belki milyarlarca
dolar kredi kartı dolandırıcılığı gerçekleşiyor. Eleştiri
yapmak kolay da çözüm olarak ne yapmak lazım?'
Evet aslında gerek kredi kartının İnternette kullanımı
gerekse fiziksel kullanımı konusunda güzel çözümler
yok değil ancak bunların hayata geçirilmesi ve uygulanmasında
sorunlar var.
Diğer bir araştırmaya göre:
Elektronik Ortam ve İnternet; e-iş ve e-ticaret için
ne kadar güvenli?
İnternet üzerinde dolaşan bilgi paketleri, bir takım
güvenlik protokolleri yardımıyla "şifrelenerek"
gönderilir. Bunlardan en popülerleri SSL (güvenlikli
web oturumu ve karşılıklı bilgi değiş-tokuşu) ve SET
(kredi kartı uygulamaları) dir. SSL (Secure Sockets
layer) ve SET (Secure Electronic Transaction) sayesinde,
bilgi güvenli bir şekilde "sadece" doğru kişiye
iletilir ve bilgiyi gönderen bilgisayar ile alan bilgisayar
arasında güvenli bir veri iletişimi kurulur.
Böylece, kredi kartı numarası, isim, adres vb gibi bilgiler
güvenli olarak iletilir. İnternet üzerinde alışveriş
yapılan tüm merkezlerde alışveriş yapılırken bu tip
güvenlik sistemleri kullanılır. 128 bir şifreleme algoritmaları
kullanan bu sistemler, e-ticaret için gerekli "güvenli
iletişim" ortamını sağlarlar.
SET ve SSL Nedir?
SSL (Secure Sockets Layer), ağ üzerindeki web uygulamalarında
güvenli bilgi aktarımının temini için (bilginin doğru
kişiye güvenli olarak iletimi), "Netscape"
firması tarafından geliştirilmiş bir program katmanıdır
(program layer). Burada, bilgi iletiminin güvenliği,
uygulama programı (web browser, HTTP) ile TCP/IP katmanları
arasındaki bir program katmanında sağlanmaktadır. SSL,
web sunucularına (Apache vb), bir modül olarak yüklenir
ve böylece web sunucuları güvenli erişime uygun hale
gelir.
SSL, hem istemci (bilgi alan) hem de sunucu (bilgi gönderen)
bilgisayarda bir doğrulama (authentication, iki bilgisayarın
karşılıklı olarak birbirini tanıması) mekanizması kullanır.
Böylece, bilginin doğru bilgisayardan geldiği ve doğru
bilgisayara gittiği teyit edilir.
Bilgisayarların birbirlerini "tanıma" işlemi,
açık-kapalı anahtar tekniğine (public-private key encryption)
dayanan bir kripto sistemi ile sağlanır. Bu sistemde,
iki anahtardan oluşan bir anahtar çifti vardır. Bunlardan
açık anahtar (public key) herkes tarafından bilinebilen
ve gönderilen mesajı "şifrelemede" kullanılan
bir dijital anahtardır. (Burada anahtar'dan kasıt, aslında
bir şifreleme -kriptolama- algoritmasıdır. Bu algoritma
(yani, anahtar) kullanılarak gönderilecek bilgi şifrelenir).
Ancak, açık anahtar ile şifreelenen mesaj sadece bu
anahtarın diğer çifti olan "kapalı anahtar"
(private key) ile açılabilir (deşifre edilebilir). Kapalı
anahtar da, sadece sizin bildiğiniz bir anahtar olduğundan,
mesaj güvenliği sağlanmış olur. Örnek olarak, size mesaj
göndermek isteyen birine kendi açık anahtarınızı gönderirsiniz.
Karşı taraf bu anahtarı kullanarak mesajını şifreler
ve size gönderir. Şifrelenen mesajı, sadece sizde olan
ikinci bir anahtar (kapalı anahtar, private key) çözebilir
ve bu anahtarı sadece siz bilirsiniz.
SSL, web sunucusunu tanımak için, dijital olarak imzalanan
sertifikalar kullanır. Sertifika, aslında, o organizasyon
hakkında bazı bilgiler içeren bir veri dosyasıdır. Aynı
zamanda da, kuruluşun açık-kapalı anahtar çiftinin "açık"
anahtarı da sertifika içinde yer alır. Sunucu sertifikası
da, o sunucuyu işleten kuruma ait bilgiler içeren bir
sertifikadır. Sertifikalar, "güvenilir" sertifika
kuruluşları tarafından dağıtılır (VeriSign gibi).
İstemci bilgisayar, SSL destekleyen bir sunucuya bağlandığı
anda, (bu, https:// ile başlayan URL satırları ile gerçekleşir)
doğrulama işlemi başlar. İstemci, kendi açık anahtarını
sunucuya gönderir. Sunucu ise, bu anahtarı kullanarak
şifrelediği bir mesajı istemciye geri gönderir. Bir
sonraki adımda istemci sadece kendinde olan kapalı (private)
anahtarı kullanarak gelen şifreli mesajı çözer ve sunucuya
geri gönderir. Mesajı alan sunucu ise, bunu kendisinin
gönderdiği orijinal mesaj ile karşılaştırır ve eğer
iki mesaj "aynı" ise "doğrulama"
işlemi başarıyla tamamlanmıştır ve sunucu bu noktadan
itibaren "doğru bilgisayarla/kişiyle" iletişimde
olduğunu anlar. Daha sonra sunucu istemciye o an gerçekleşen
web oturumunda kullanılacak tüm önemli anahtarları gönderir
ve güvenli iletişim başlar.
Anahtarlar üretilirken kullanılan bazı popüler algoritmalar
olarak, DES (Data Encryption Standard), RSA, IDEA verilebilir.
Bunlardan RSA'nın RC4 algoritması (128 bit şifreleme
olarak) Netscape ve Internet Explorer'da da kullanılan
bir algoritadır.
SET (secure Electronic Transaction), elektronik ticarette,
internet üzerinde güvenli bilgi aktarımını sağlamak
amacıyla aralarında VISA, MasterCard ve IBM'in de olduğu
kuruluşlar tarafından geliştirilen bir protokoldür.
SET, özellikle on-line (gerçek zamanda) kredi kartı
bilgileri iletimi için geliştirilmiş bir standarttır.
SET, kredi kartı ile yapılan online ödemelerde, bilgilerin
internet üzerinden aktarımında gizlilik ve güvenlik
entegrasyonunu sağlar. SET protokolü sadece müşteri
(ürün siparişi veren kredi kartı sahibi) ile sanal dükkan
(e-dükkan) ve kredi kartı şirketi arasındaki ödeme fazını
şifreler.
SET ile, ödeme işlemine taraf olan herkes (müşteri,
dükkan sahibi, kredi kartı şirketi), birbirlerini tanırlar
(teşhis ederler, authentication) ve bu ispatlanabilir.
"Tanıma" işlemi, SSL'dekine benzer bir dijital
sertifikasyon sistemi ile yapılır. Yani, ödeme fazına
dahil bütün taraflar kendi kimliklerini belirten dijital
bir sertifika kullanır.
|
