Yazarlar 03 OCAK 2010 / 23:00

Yeni yılda can sıkıcı BDDK hediyesi...

Yeni yılda midemde kramplar yaratan bir uygulamayı BDDK hepimize hediye etmişe benziyor. Benim çalıştığım bankalar bir aydır beni uyarıyordu zaten. İnternet banka hesabıma ulaşabilmek için standart login, parola, şifre üçlüsü artık yeterli değil. İki yol öneriliyor: SMS doğrulama metodu veya şifrematik denilen minik (ve uyduruk) donanımlar veya bunların cep telefonlarında koşan yazılım uygulamaları.
SMS doğrulamada hesabınıza girebilmek için daha önce tescil ve kaydedilmiş cep telefon numarasına 6 veya 8 rakamlı bir sayı gönderiliyor ve siz login, parola ve şifreye ek olarak bu dördüncü ve bir defa kullanılabilen bu bilgiyi giriyorsunuz. Şifrematik uygulamasında ise cep telefonunda koşan bir yazılım veya uyduruk ve ucuz bir donanım size bu dördüncü bilgiyi (SMS bağlantısına gerek duymadan) üretiyor.
Böylece daha güvenli oluyorsunuz. Öyle mi gerçekten? Neresinden bakarsanız bir yanlış var; anlatayım:
• BDDK gibi bir kurumun böyle spesifik bir teknoloji ve metodu zorlaması yanlıştır. BDDK, bankalardan daha çok önlem almasını istemeli ve spesifik uygulamayı bankalara ve müşterilerine bırakmalıdır. BDDK bilgi güvenliği konusunda bir uzmanlığa sahip değildir, olduğunu hiç iddia etmemelidir.
• SMS doğrulama güvenli bir teknoloji değildir. Kolaylıkla elde edilip kırılabilmektedir. Dilerseniz, 29 Aralık’taki haberlerde Karsten Nohl isimli Alman’ın neleri başardığını araştırın.
• SMS güvenilir bir teknoloji değildir. Ağustos ayındaki selde, bir gün boyunca 2 milyona yakın abonenin cep telefonu bağlantısını kaybettiğini bilenler bilmeyenlere anlatsın.
• Yurtdışı seyahatlerde size gönderilen bu SMS’lerden yüzde kaçı elinize geçecek, BDDK burada bilgili bir kurum mu?
• Şifrematik veya cep telefonunun evde, arabada bırakılması veya kaybolması dolayısıyla, banka hesabına hızlı bir şekilde ulaşamamanın ortaya çıkaracağı zararları BDDK karşılamayı düşünüyor mu? Bence, düşünmesi gerekir çünkü böyle bir spesifik metodu bu kurum zorlamaktadır.
Ben bir banka müşterisi olarak BDDK’nın tanımladığı şekilde daha güvende olmayı değil hesabıma daha hızlı ulaşmayı tercih ediyorum. Derdimi kime anlatacağım?
ETİKETLER : Sayı:752
YORUMLAR
Orhan Aydın 22 ARALIK 2011 / 16:18 0 0
Ele alınış ve söylemler bir yana bırakılırsa, yazıda değinilen temel yargılara hak vermemek elde değil. Sektörün içinden bir deneyim ve birikim ile, konuyu aşağıda bağlantısı bulunan, "Kimlik Doğrulama-Faktörler ve Bilişenleri" başlıklı makalede, "BDDK Tebliği ve İki Faktörlü Kimlik Doğrulama" alt başlığında irdelemiştim. İnternet bu! Anahtar sözcüklerle dahi rastgelinen/varılan böyle platformların ileriye dönük bilgi birikimi sağlaması adına geç de olsa eklemek istedim. Saygılarımla, Orhan Aydın.
http://www.bilgiguvenligi.gov.tr/kimlik-yonetimi/kimlik-dogrulama-faktorler-ve-bilesenleri.html
Cemal Altıntaş 24 KASIM 2010 / 05:45 0 0
Küçük bir düzeltme;
"Bay Cemal Altintas veya her kimseniz (perhaps, a pet?), sana cevap yazmayacagim."
"Her kimseniz" dedikten sonra "sana" yerine "size" kullanmak gerekir. Bu Türkçe'nin basit bir kuralıdır. "Sana" diyecekseniz de "her kimsen" demeniz gerekir.

Ayrıca ben buraya bir yorum yazıyorum ve siz de başka bir yorum yazıyorsunuz. Her ikimizin de New Yorker'daki karikatüre muhatap olma ihtimali eşit. "Ben oynamıyorum"culuğa ve "Benim muhatabım değilsin"ciliğe ben ilkokulda rastlamıştım en son. Beni geçmiş günlere götürdünüz. Sağolun.
Umut Edip Duran 19 EYLÜL 2010 / 11:32 0 0
Muhatabına "hayvan" diye hitap eden bir akademisyen... Ne kadar da yaratıcı ve seviyeli bir hitap olmuş.
Cetin Kaya Koc 03 MAYIS 2010 / 07:09 0 0
Bir New Yorker dergisi karikaturunde, bir kopek bilgisayarin basinda birseyler yaziyor ve kendisine hayretle bakan diger bir kopege sunu diyor: "On Internet nobody knows you are a dog". Simdiye kadar bana satasmaktan ve "ders kitaplarindan" information security alintilari yapmanin disinda hic bir soruya ve elestiriye cevap vermeyen, Bay Cemal Altintas veya her kimseniz (perhaps, a pet?), sana cevap yazmayacagim. Bana gelen emailde adresiniz "alphonse.green" olarak geciyor. Komik olmayin Bay Alphonse Green ve benden cevap filan beklemeyin. Benim muhatabim BDDK. - Cetin Kaya Koc
Cemal Altıntaş 26 NİSAN 2010 / 18:58 0 0
@Berk Sunar

“-BDDK insanların hesaplarına daha hızlı ulaşmalarından sorumlu değildir. Bundan banka sorumludur.”
"Tabi ki sorumludur, ne demek. Alinan her kararin kimleri nasil etkilecegini dusunmek zorunda BDDK veya herhangi bir kurum."

BDDK'nın görevleri Bankacılık kanununda yazıyor. Arzu ederseniz bir göz atıverin. Muğlaklığı gidermenin yolunu siz de keşfedin; okuyun.
http://www.bddk.org.tr/WebSitesi/turkce/Mevzuat/1582bankacilik_kanunu.pdf
Cemal Altıntaş 26 NİSAN 2010 / 18:46 0 0
@Elif Kilit

Elif Hanım, BDDK'dan gelen Doktor unvanlı bir uzman ODTÜ Bilişim Enstitüsü'nde ders vermekte. Akademik manada pek de öyle eksik bir kalır taraflarının olduğunu sanmıyorum. Başka bir doktoralı bilişim uzmanının sunumuna da katılma imkanım olmuştu. Kaç tane doktora düzeyinde bilişim uzmanlarının olduğundan emin değilim. Ama bu size bir fikir verir umarım.

Ayrıca dışarıdan bu konuda bir danışmanlık alıp almadıklarını bilmiyorum. Ama literatür ortada. Kolunuzdaki saati size söylemek için danışman tutmanın bir anlamı yok.

Saygılar.
Cemal Altıntaş 26 NİSAN 2010 / 18:36 0 0
Evet, linkteki ilgili maddeyi okudum. Bankalar mevzuyu işlerine geldiği gibi anlatmaktalar anlaşılan. Çetin Hoca'nın Bankaların anlatımına ihtiyaç duyması benim garibime gitti doğrusu. Yönetmelik 2007'de yayınlanmış ve bankalara 3 sene geçiş süresi verilmiş. Ayrıca nispeten daha güvenli bir yol olan Mobil İmza teşvik edilmiş.

SMS doğrulama güvenli bir teknoloji değil evet. Bu herkesin malumu, basit bir google arattırması bile bunu anlamak için yeterli. Zaten tek kullanımlık şifrenin mantığı ek bir faktör olarak kullanılmasından ibaret. Kendi başına SMS üzerinden tek kullanımlık şifre sadece attack surface'ı azaltmaya yönelik bir önlem. Yani sizin password'ünüzü ele geçiren adam telefonunuza (veya daha doğru bir ifadeyle SIM kartınıza) sahip olmadığı için hesabınızı boşaltmakta "zorlanacak". Banka uygulamalarında genellikle 1-3 dakikada geçersiz hale gelen bir tek kullanımlık şifre üretip bunu ek bir faktör olarak kullanmaktan ibaret. Kötü niyetli bir kişinin hesabınıza girebilmesi sizin şifre bilgilerinizi ele geçirmiş olması, sizin telefonunuzu (sinyal bazında) dinlemesi (ki bunun için de sizin sinyallerinizi alacak coğrafi yakınlıkta olması), 3 dakikadan az bir süre içinde bunu çözmesi (2 TB'lık bir rainbow table'a ihtiyaç var bunun için) ve sizden önce de bu SMS'i sisteme girmesi gerekecek. Bununla olay çözülmüş olacak mı? Pek öyle gibi görünmüyor. Zira EFT hesabı ekleme gibi Internet bankacılığı suçlarının belkemiği olan şeyleri yapabilmesi için tekrar SMS trafiğini yakalaması, bunu çözmesi ve girmesi gerekecek. Bunun İnternet Bankacılığı üzerinden işlenen suçları ne derece azalttığına ilişkin herhangi bir veriye ulaşamadım internetten. Muhtemelen mali suçlarla ilgili emniyet birimlerinin veya yine BDDK'nın bu konuda ellerinde veri olabilir (tabi bu hesaplanabilir bir veri midir ondan da pek emin değilim).

Bildiğim (ve gözlemlediğim) kadarıyla BDDK devlet kurumları içinde kendi denetlemekle yükümlü olduğu sektörle en fazla içli dışlı olan kurum. Yöneticilerinin bir kısmı (başkanı da dahil olmak üzere) sektör kökenli insanlar. Sık sık sektörde BDDK kökenli yöneticiler işe başlıyorlar (Genel Müdür Yardımcısı, Yönetim Kurulu Üyesi vb. görevlerde). Devamlı olarak bankalarda denetçileri (veya murakıp ve uzmanları) bulunuyor. Yani işin mutfağındalar. Çetin Hoca Ankara'da herkesin zırhlar içinde olduğu zehabına kapılmış olabilir. Hocanın bunu neye dayandırdığını öğrenmek isterim. Muğlaklıktan kurtulmanın yolu referans vermek.

Son olarak OTP üreten cihazlar öyle pek de dandik cihazlar değil. Kriptografik olarak güçlü bir rastgelelik düzeyine sahip stringler üreten cihazlar. Başlangıç seed'i bankada ve cihazın içinde aynı değere sahip ve zamanı da işin içine katarak string üretiyorlar. Bu kadar kolay kırılabilen cihazlar olsalardı (ki kimsenin bunları kırmaya çalıştığını da zannetmiyorum, kötü niyetli kişiler genelde daha zayıf halka olan insana -veya daha zayıf bir halka varsa ona- yönelirler) dünya devi bankalar ve PayPal gibi dünyaca yaygın servis sunan firmalar bunları kullanmazlardı.

Saygılar.
Umut Edip Duran 29 OCAK 2010 / 17:28 0 0
Çetin Bey, yukarıdaki mesajımda BDDK nın tebliğinin linkini verdiğimi hatırlıyorum. 27.maddeyi dikkatle okuyunca aslolanın SMS olmadığı anlaşılıyor.

Bu mesajı okuyan diğer arkadaşlardan rica ediyorum, yukarıdaki mesajlarda verdiğim linke lütfen baksınlar, BDDK nın SMS i zorlayıp zorlamadığına karar versinler. O metni okuyup hala BDDK bu uygulamayı zorunlu kılıyor demek çok entetesan bir durum.

Tartışmayı sms in gûvenli olmayışı argümanı üzerinden yapıyorsunuz, ćok çok haklısınız. Ama ben de karşı argüman olarak "zorunlu tutulan sms değil, 2faktör kimlik doğrulamadır diyorum" Ve diğer okurlar da kendi gözleriyle görsünler diye kanun metninin linkini verdim.
Cetin Kaya Koc 29 OCAK 2010 / 10:13 0 0
Umut bey, SMS yanlis bir uygulamadir. Sebeplerini acikladim. BDDK bunu istemedi demeyin simdi. Butun bankalar sozbirligi edip, ayni seyi mi uygulamaya karar verdiler. Ben bankama soruyorum, onlar bana BDDK istedigi icin yapmak zorundayiz diyorlar.
CKK
Umut Edip Duran 26 OCAK 2010 / 16:54 0 0
Bilgi teknolojilerini, güvenlik uygulamalarını yücelen, adı BTHABER olan bir haber sitesinde hem yazarların hem de bu siteyi takip eden okurların internet bankacılığında dolandırıcılığı azaltacak ve halihazırda tüm dünyada güvenlik otoriteleri tarafından yeterince güçlü ve güvenilir olduğu dile getirilen "iki faktörlü kimlik doğrulama" uygulamasına bu denli şiddetlr karşı çıkmalarını anlamakta zorlanıyorum. Üstelik bu "2faktör" uygulamasını zorunlu kılan yöntem iki yıl önce 2007 yılında çıkarılan bir mevzuatla zorunlu hale getirilmiş, bu iki sene boyunca banka tarafından müşterilere hiç duyuru yapılmamış mı? Benim bankam beni defalarca uyardı mesela. Eğer uyarı yapmayan banka varsa suçlu bankadır ve sağlamakta olduğu işlem sürekliliğini sağlamadığı için ilgili bankaya ceza yazılmalıdır. Yok eğer banka müşterisine uyarı yaptıysa ve müşteri bu uyarıyı dikkate almadıysa, kimse kusura bakmasın, bu durumda bence banka suçsuzdur müşteri de ihmalinin cezasını çekecek veya ilgili mevzuatta öngörüldüğü şekilde iki faktörlü kimlik doğrulama yöntemlerinden birini kabul edecek ve uygulayacaktır.

Ayrıca yazının başından son yoruma kadar tüm metinlerde SMS in zorunlu olduğu ve güvensiz bir yöntem olduğu için güvenliği artırmayıp azalttığı görüşü dile getiriliyor. Yukarıdaki yorumimda yazmış olduğum linkten mevzuatın ilgili maddesi olan 27.maddesini daha dikkatli okuyun lütfen. Burada da açıkça yazıldığı üzere zorunlu kılınan tek şey "2 faktörlü kimlik doğrulama" dır, SMS zorunlu değildir, hatta teşvik bile edilmemiş, metni dikkatle okuyanlar görebilirler.
I. Can 26 OCAK 2010 / 12:27 0 0
Bu sayfaya tesadufen ulastim ve yaziniz icin cok tesekkurler! Ben yurtdisinda, Amerikada oturuyorum ve internet bankaciligindan yararlanabilmem icin benim BDDK'ya gore Turkiye'de veya avrupada ikamet etmem gerekiyor. Haftalardir ugrasiyorum hesap bilgilerimi alabilmem icin fakat karsima hep bir duvar cikiyor. Benim Amerika'daki cep telefonuma bankalar SMS gonderemiyorlar, ben internet bankaciligi nasil yapacagim? Neden boyle sacma sapan ve anlamsiz bir sisteme girme zorunlulugunu duydu BDDK, anlamis degilim.
Umut Edip Duran 21 OCAK 2010 / 12:54 0 0
Ilgili tebliğin yayınlandığiı resmi gazete sayısı 26643 ve tarihi 14.09.2007, adı ise "bankalarda bilgi sistemleri yönetiminde esas alınacak ilkelere ilişkin tebliğ" miş.
www.mevzuat.gov.tr/Metin.Aspx?MevzuatKod=9.5.11621&MevzuatIliski=0&sourceXmlSearch=ilkelere

Ayrica aynı dökümana www.bddk.org.tr adresinden -->mevzuat-->bankacilik kanununa ilişkin duzenlemeler kismindan da ulasilabiliyor.

Tartışılan konu 27. maddede geçiyormuş.

Ilginç bir kaç tespit:
Tebliğ 2007 yılında çıkarılmış.

Iyi günler.
Gerçekten de SMS kullanımına yönlendirilmesi gibi bir durum yok. Bankaların kolaya kaçması sözkonusu olmuş gibi.
Cetin Kaya Koc 20 OCAK 2010 / 03:05 0 0
Muglakliktan kurtulmanin yolu, referans vermek. Eger bilen varsa ve ortalikta BDDK direktifi diye bir dokuman varsa, ornegin, BDDK websayfasinda, okumak isterim. Bir link yeterli. Banka, BDDK bizi SMS kullanmaya zorluyor derken, dogru soylemiyorlarmi yani? Nicin dogru soylemesinler! Musteri ile muhatap olan ve tartisan banka; Nasilsa BDDK Ankara'da zirhlar icinde. Bir seye aldirdigi yok.
Berk Sunar 18 OCAK 2010 / 23:07 0 0
Cetin beye katiliyorum ve bu konudaki cesur cikisini destekliyorum. Kurumlarin ustten bakan vatandasi tebaa ve uzmanlari subje olarak goren bakisini degistirmesi gerekir. Yaptik oldu sorgulanamaz gibi bir tavrin kimseye faydasi yok. Yalniz ben BDDK'ya gore bankalari da biraz suclu goruyorum bu konuda.

Ozellikle guvenlik gibi pratigi zor bir konuda ortalik yanlis uygulamadan gecilmiyor. Mesela kimlik no zorunlu hale geldi. Cok guzel, bircok seyi kolaylastirdi. Ama tabi ki hemen kimlik tanima icin (mesela hesap erisim vs.) kullanilmaya baslandi ve zaaf olustu. Isin aci yani Amerikada 20 sene once yapilan hata Turkiyede tekrarlandi. Ayni problemleri simdi SMS tanima sisteminde gorecegiz. Siradan kullanicilara gereksiz zorluk cikarildi ve maalesef GSM ve SMS'in ciddi bir guvenligi yok.

Cemal Altıntaş'a:
BDDK veya herhangi bir kurumun icraatini her Turk vatandasinin sorgulama hakki ve hatta sorumlulugu vardir. Kaldi ki bir guvenlik uzmaninin bu konuda gorus bildirmesi (ki bu goruse katilirsiniz katilmazsiniz hic onemli degil) bir hizmettir.

"-BDDK insanların hesaplarına daha hızlı ulaşmalarından sorumlu değildir."
Tabi ki sorumludur, ne demek. Alinan her kararin kimleri nasil etkilecegini dusunmek zorunda BDDK veya herhangi bir kurum.

"-BDDK 3 faktörlü kimlik doğrulamadan “en az ikisinin kullanımını” zorlamaktadır. Bankalar (pratikte) bunlardan “kullanıcının sahip olduğu” ve “kullanıcının bildiği” faktörlerini seçmektedirler. Bankalara herhangi bir spesifik zorlama söz konusu değildr."

Bu aciklama icin tesekkur ederim. Yani gercekten biraz da bankalarda problem.
Elif Kilit 18 OCAK 2010 / 23:01 0 0
Merhaba Sn Cemal Altıntaş

Sn. Çetin Hocamın yazısında "nihayi olarak" vurgulamak istediği;
BDDK 'nin Bilgi Güvenliği konusunda doğru adımlar atılabilmesi için konusunda uzman,( akademik temeli olan) bir birime ya da organizasyona sahip olmasının önemidir.

Sn. Çetin Hocamın ve Sizin müsadenizle bu küçük açıklamayı getirmeyi uygun buldum.Çünkü Hocamın özünde belirtmeyi hedeflediği noktaya ulaşmanız daha sağlıklı yorumlanızı sağlayarak iyi niyetli bir tavsiye niteliğinde katkısı olacağına inanıyorum.

Saygılarımla
Elif Kilit
Cetin Kaya Koc 18 OCAK 2010 / 21:06 0 0
Cemal Altintas'a:

Baslamisken, 2, 3 ve 4. paragraflara da cevap verin; bende hepsine bir cevap yazayim. Bu sorularin cevabini siz veya BDDK biliyormu:
* SMS doğrulama güvenli bir teknoloji değildir. Kolaylıkla elde edilip kırılabilmektedir. Dilerseniz, 29 Aralık’taki haberlerde Karsten Nohl isimli Alman’ın neleri başardığını araştırın.
• SMS güvenilir bir teknoloji değildir. Ağustos ayındaki selde, bir gün boyunca 2 milyona yakın abonenin cep telefonu bağlantısını kaybettiğini bilenler bilmeyenlere anlatsın.
• Yurtdışı seyahatlerde size gönderilen bu SMS’lerden yüzde kaçı elinize geçecek, BDDK burada bilgili bir kurum mu?

CKK
Cemal Altıntaş 15 OCAK 2010 / 17:43 0 0
"BDDK bilgi güvenliği konusunda bir uzmanlığa sahip değildir, olduğunu hiç iddia etmemelidir."

-Nereden biliyorsunuz? "Olduğunu hiç iddia etmemelidir" ne demektir? BDDK'nın size sormaması bilgi güvenliği konusunda doğru adımlar atamayacağı manasına mı gelmektedir? Bilgi güvenliği konusunda ahkam kesme yetkisini sadece siz mi haizsiniz?

"Ben bir banka müşterisi olarak BDDK’nın tanımladığı şekilde daha güvende olmayı değil hesabıma daha hızlı ulaşmayı tercih ediyorum. Derdimi kime anlatacağım?"

-BDDK insanların hesaplarına daha hızlı ulaşmalarından sorumlu değildir. Bundan banka sorumludur. Buna rağmen, mevduat sahiplerinin mevduatlarının güvenliğinden ve bankacılık sisteminin sürekliliğinden sorumludur. Dolayısıyla son paragraftaki kuruntu BDDK'yı "ırgalamaz".

"Bence, düşünmesi gerekir çünkü böyle bir spesifik metodu bu kurum zorlamaktadır."

-BDDK 3 faktörlü kimlik doğrulamadan "en az ikisinin kullanımını" zorlamaktadır. Bankalar (pratikte) bunlardan "kullanıcının sahip olduğu" ve "kullanıcının bildiği" faktörlerini seçmektedirler. Bankalara herhangi bir spesifik zorlama söz konusu değildr.

Ayrıca, kullanıcıların ihmalleri kendi sorumluluklarını BDDK'ya yüklemez. Sizin şifrenizi bir kağıda yazıp masanızın üzerine bırakmanız veya kredi kartınıza sahip çıkamamanız BDDK'ya herhangi bir sorumluluk yüklemez.


Saygılar.