“Şirketler daha açık olmalı”

EMC’nin güvenlik şirketi RSA’deki açık son ayların önemli gündem maddesi oldu. Lockheed Martin’in saldırı girişimini haber vermesi, RSA’in SecurID çözümünü kullanan şirketleri de alternatif çözümlere itmeye başladı. Reuters’in 8 Haziran tarihli haberine göre, SecurID yaygın olarak kullanılan elektronik bir anahtar. Bilgisayar saldırganlarını uzak tutmak için de iki şifreli giriş sistemi uygulanıyor. Bunlardan biri sabit, diğeri ise güvenlik sistemi tarafından otomatik olarak birkaç dakikada bir üretilen şifreler. RSA’i sarsan olay; Mart ayında haklayıcı SecurID cihazların etkisini azaltabilecek ve kurumsal bilgilere erişim olanağı sunabilecek bilgilerin çalındığını açıklaması ile başladı. İkinci darbeyi de RSA’den çalınan teknolojiyi kullanarak Lockheed Martin’e girmeye çalışan haklayıcılar vurdu. RSA, 6 Haziran’da 30-40 milyon adet SecurID kartını değiştireceğini bildirdi.

Hisse satışı soru işareti
Reuters’in haberine göre RSA, EMC’nin toplam gelirleri içinde küçük bir paya sahip. Ama RSA ile ilgili haberlerin EMC’nin borsadaki eğilimini etkilediği bir gerçek. Bir ilginç durum da; Lockheed saldırıları araştırırken, RSA Yönetim Kurulu Başkanı Art Coviello’nun da 24 Mayıs’ta bir işlemle 1.44 milyon dolar EMC hissesi satması. Reuters, bu konuda Coviello’dan bilgi alamamış. EMC sözcüsü Michael Gallant da hisse satışı konusunda yorum vermek istememiş. Sektör uzmanlarına göre bu güvenlik anahtarlarını yenilemek için geç olabilir ve birçok şirket, farkında olsun ya da olmasın, verilerine izinsiz erişimden olumsuz etkilenmiş olabilir.
İstanbul Şehir Üniversitesi’nden Prof.Dr. Çetin Kaya Koç, RSA’in 1978 yılında ARS algoritmasını bulan üç mühendisin şirketi olduğu bilgisini verdi. Tüm dünyada elektronik imzanın temelini bu algoritmanın oluşturduğunu söyleyen Koç, “1970’lerin sonunda bu mühendisler bir şirket kurdu ve ben de bu şirketin 11’inci çalışanı oldum” dedi. Sistem şöyle çalışıyor: Örneğin internet bankacılığında kişiye ait bir şifreye ek olarak, 6 haneli bir sayı da giriliyor. Bankanın sunucusu bu sayıların nasıl değişeceğini biliyor, algoritmaya hakim. “Sürekli 6 haneli sayı üreten bir yapı var. Bu sayıyı, nasıl bir sayının takip edeceğini tahmin etmek de imkansız” diyen Koç, şöyle devam etti:
“Bu sayılar kendi içlerinde bir metodoloji, bir ‘şifreleme algoritması’ ile sistem içinde üretiliyor. Bu rakamların nasıl değişeceğinin algoritmasını sunucu da biliyor. Zaten elinizdeki cihaz ve sunucunun verdiği sayı uyuşmazsa, giriş izni de verilmiyor. Sizin cihazınızı çalıp giriş yapmak istersem, siz çalındığını fark edip kayıp bilgisi verir ve benim girişime engel olabilirsiniz. Ama maalesef bu durumda; anahtarlar belli bir metotla üretilmiş ve gizli anahtarlar da seri numaraları. Hatta bu numaralar bir tablo halinde tutuluyordu. Amaç; anahtarın tehlikeye düşmesi halinde bunun bulunması ve devre dışı bırakılmasıydı. Bu bilginin, internet bağlantısı olmayan, güvenli bir bilgisayarda tutulması gerekirdi. Oysa bunlar ağda bir yerdeydi. 17 Mart’ta birileri bu listeyi çaldı. RSA önce inkar etti, sonra bunun önemsiz bir durum olduğunu söyledi, ama sonra Lockheed Martin, 27 Mayıs’ta saldırı bilgisini verdi.”

Yeni anahtar çözüm (mü?)
Elinde liste olanlar boş bir SecurIR anahtar alıyor, seri numarasını yazıyor ve elinde liste olduğu için, bir başkasının anahtarının aynısını üretiyor, gerçek anahtar sahibi gibi girişi yapabiliyor. Birçok insan bu durumun farkında değil. Bu yüzden kimlerin saldırıya uğramış olabileceğini bilmek zor. Koç, şöyle devam etti:
“RSA yeni bir liste, yeni cihazlar yapar, herkese gönderir, tamam. Ama yine çaldırmaması lazım. Bu alandaki diğer şirketler de aynı metodolojiyi kullanıyor. Yani bu, RSA Security’ye has bir problem değil. Bu yüzden genel olarak yedeklenmesi gerekmeyen çözümlere bakmalıyız.” Kaç şirketin bu sorunla karşılaştığını bilmek zor. Çünkü, Lockheed Martin’in yanında, daha az ciddi saldırıya uğrayan, hatta saldırıya uğradıysa bile bunu fark etmemiş veya bilinmesini istemeyen şirketler de vardır. Türkiye’de SecureID çözümünü kullanan şirketle konuştuğunu belirten Koç, onların da yavaş yavaş sistemden çıkmaya başladığı bilgisini verdi. Bu tabloda RSA, yeni seri numaraları ile yeni kartlar üretecek.

İmajı toparlamak zor olacak

Prof.Dr. Çetin Kaya Koç’a göre, RSA’e saldırının arkasında profesyonel bir ekip, bunun da arkasında büyük bir devlet var. Saldırılan noktalardan birinin Lockheed Martin olmasının, ne kadar ciddi ve planlı bir hareket olduğunu gösterdiğine dikkat çeken Koç, şu önerileri yaptı: “Müşteri bilgisi, parola ve şifre bilgisi gibi bilgilerin sunucularda bir şekilde tutulduğu çözümlerden kaçınmak gerek. En iyi çözümler; cihaz-kullanıcı-bulut işbirliği ile çalışan işbirliği içinde çalışan ve bulutta kesinlikle kişisel değerli bilgileri tutmayan çözümler.”