İnternet büyüyor ve genişliyor. Fırsatlar kadar tehlikeleri de içinde taşıyor. Mesela Dünya’nın her tarafında "sanal banka mağdurları" artıyor. Acaba bunun tek kabahatlisi "güvenlik eksikliği-bilgisizliği" olan kullanıcılar mı? Acaba bankaların da dikkat etmesi gereken bir şeyler yok mu? Son yayınlanan "JEdit" açığı mutlaka hacker’ların dikkatinden kaçmadı. Bu açık ülkemizdeki bankalar da dahil, pek çok bankayı tehdit edebilir.
İnsanoğlu yeniliğe genellikle açıktır özellikle de bu yenilik onun hayatını kolaylaştıran ve hızlandıran eğlenceli bir şey ise buna kapılarını tamamen açar. Şüphesiz internet hepimizin dünyasına böyle girdi. Kullanimi da gün geçtikçe farklı alanları içerecek şekilde gelişiyor.
Farklı alanların en önemlilerinden birisi, hem kullanıcılar hem de bankalar tarafından internetin en büyük nimetlerinden birisi olarak görülen “SANAL BANKACILIK” konusu. Yani bankaya fiziksel olarak gitmeden, bankada sıra beklemeden, zaman kaybetmeden, sadece bir bilgisayar ve internet bağlantısı üzerinden yapılan banka işlemleri.
Günümüzde internet kullanıcılarının büyük bir kısmı, sanal bankacılığı kullanıyor. Ancak yüzyüze gelmeden kolayca para transferlerinin yapılabildiği bu alan istismarlara da çok açık. Nitekim, son 2 senedir ülkemizde ve Dünya’da artış gösteren “Sanal Bankacılık Hırsızlığı”, yani online banka müşterilerinin kredi kartı ve banka bilgilerinin, kendisinden habersiz olarak 3. şahısların eline geçmesi, pek çok kişinin hayatını karartıyor. Bu nedenle de bazı insanlar online banka işlemleri yapmaktan vazgeçiyor.
Çünkü, bankalar bu tür olaylar karşısında, hatayı hep kullanıcılarda buluyorlar. Banka bilgilerinin, tamamen kullanıcıların güvenlik eksiklikleri ya da hataları yüzünden online ya da offline olarak çalındığını iddia ediyorlar. Bunun tersini tespit ya da ispat etmek ise çok zor. Bankaların bu tür olaylara verdiği cevaplar adeta kredi kartı alırken doldurduğunuz sözleşmelerdeki maddeler gibi sabit. Özetle şu şıklardan birisi deniliyor:
1. Şifrenizi başkası biliyor olabilir ve sizin adınıza işlem yapmış olabilir. (Siz unutmamak için bir kağıda ya da yerlere yazmışsınız, oradan da birileri görmüş)
2. Bilgisayarınızda gerekli güvenlik yazılımlarını bulundurmamış ve bu yolla şifrenizi online olarak çaldırmış olabilirsiniz. (Bilgisayarınızda Antivirüs ve Güvenlik duvarı – FireWaLL— yazılımlarının 2si birden olmalı. Birisi virüs diğeri casus yazılımlara karşı önemli)
3. Sahte (fake) emaillere cevap vermiş ve şifrenizi kendi ellerinizle başkalarına teslim etmiş olabilirsiniz (Bu olaya phishing deniliyor).
Bunlar doğru olabilir. Online banka mağduru gerçekten de eksik-yanlış bir şeyler yapmış ve şifresini-kimliğini çaldırmış olabilir. Doğrusu internet kullanan pek çok kişi, bu konuları iyi bilmiyor. Örneğin çok yaygın yapılan bir hata, virüs programı ile her şeyden korunulduğunun düşünülmesi. Oysa casus yazılım (spyware, trojan) ve sızmalara karşı da mutlaka kişisel firewall kullanmak gerekli.
Ama olayda belki de bankanın kabahati var. Bunu tespit etmek zor. Bugüne kadar Türkiye’deki bankaların bu konularda çok fazla açık davrandığını söyleyemeyiz.
İşte benim de bu yazımda size anlatmak istediğim tam bu noktada..
Son dönemde, sadece ülkemiz değil, dünyada da bankaların kendi sistemlerinden kaynaklanan güvenlik açıklarının ciddi boyutlara ulaşmış olduğunu, güvenlik sitelerinin yayınlarından görüyoruz.
Tabi ki, bankalar sürekli olarak kendi sistemlerini geliştirmekte ve yenilemektedirler ancak gözden kaçan en ufak detay bankanın sisteminde ciddi güvenlik açıkları oluşturabilmektedir.
Yani durum sadece kullanıcıların kendi güvenlikleri konusundaki dikkatsizlik / bilgisizliklerinden ibaret değildir. Tersine ifade edersek, banka sistemleri sanıldığı kadar güvenli değil.
Örneğin; bu yazıyı yazma nedenin, çok yeni duyurulan bir açık. Türkiye’deki bir çok bankanın kullanıcılarını tuş kaydedici (keylogger) ve trojan’lara karşı korumak için hizmete sunduğu JEdit objesinde “veri ifşa” açığı bulundu. Bu açık kullanılarak kurumsal ağların güvenlik yapılarını aşmak ve önemli bilgilere erişmek mümkün olabiliyor.
Çeşitli bankalar JEdit objesinin farklı isimlerdeki farklı Build’lerini kullanıcılarının güvenliğini arttırmak amacıyla dağıtıyor, bu objeyi yüklemeleri tavsiyesinde bulunuyor.
Söz konusu obje, bir takım parametreler ile manipüle edilerek internet üzerinden kullanıcıların;
* Makina ismi
* Log-in olan kullanıcı ismi
* Ethernet MAC Adresi
* Ethernet’e tanımlanmış (Internal) IP Adresi
* Ethernet’e tanımlanmış (Internal) Gateway Adresi
* Harddisk Seri numarası
bilgilerini ifşa etmektedir.
Bu açıktan etkilenen, benim gördüğüm şu anda 4 bankanın yazılımı var. İsimlerini, bankacılık kanunu nedeniyle açıklamayacağım ama kendileri bu konuyu inceleseler iyi olacak.
Sonuç olarak, sürekli sistem geliştirmek ya da yenilemek bir bankanın sistemini güvenli hale getiremeyebilir. Bankaların takip etmesi gereken en önemli husus, altyapılarında kullanılan donanım, veri tabanı ve yazılımların açıklarının duyurulup, duyurulmadığının takibidir. Hacker’ların esas izledikleri konu budur
İnsanoğlu yeniliğe genellikle açıktır özellikle de bu yenilik onun hayatını kolaylaştıran ve hızlandıran eğlenceli bir şey ise buna kapılarını tamamen açar. Şüphesiz internet hepimizin dünyasına böyle girdi. Kullanimi da gün geçtikçe farklı alanları içerecek şekilde gelişiyor.
Farklı alanların en önemlilerinden birisi, hem kullanıcılar hem de bankalar tarafından internetin en büyük nimetlerinden birisi olarak görülen “SANAL BANKACILIK” konusu. Yani bankaya fiziksel olarak gitmeden, bankada sıra beklemeden, zaman kaybetmeden, sadece bir bilgisayar ve internet bağlantısı üzerinden yapılan banka işlemleri.
Günümüzde internet kullanıcılarının büyük bir kısmı, sanal bankacılığı kullanıyor. Ancak yüzyüze gelmeden kolayca para transferlerinin yapılabildiği bu alan istismarlara da çok açık. Nitekim, son 2 senedir ülkemizde ve Dünya’da artış gösteren “Sanal Bankacılık Hırsızlığı”, yani online banka müşterilerinin kredi kartı ve banka bilgilerinin, kendisinden habersiz olarak 3. şahısların eline geçmesi, pek çok kişinin hayatını karartıyor. Bu nedenle de bazı insanlar online banka işlemleri yapmaktan vazgeçiyor.
Çünkü, bankalar bu tür olaylar karşısında, hatayı hep kullanıcılarda buluyorlar. Banka bilgilerinin, tamamen kullanıcıların güvenlik eksiklikleri ya da hataları yüzünden online ya da offline olarak çalındığını iddia ediyorlar. Bunun tersini tespit ya da ispat etmek ise çok zor. Bankaların bu tür olaylara verdiği cevaplar adeta kredi kartı alırken doldurduğunuz sözleşmelerdeki maddeler gibi sabit. Özetle şu şıklardan birisi deniliyor:
1. Şifrenizi başkası biliyor olabilir ve sizin adınıza işlem yapmış olabilir. (Siz unutmamak için bir kağıda ya da yerlere yazmışsınız, oradan da birileri görmüş)
2. Bilgisayarınızda gerekli güvenlik yazılımlarını bulundurmamış ve bu yolla şifrenizi online olarak çaldırmış olabilirsiniz. (Bilgisayarınızda Antivirüs ve Güvenlik duvarı – FireWaLL— yazılımlarının 2si birden olmalı. Birisi virüs diğeri casus yazılımlara karşı önemli)
3. Sahte (fake) emaillere cevap vermiş ve şifrenizi kendi ellerinizle başkalarına teslim etmiş olabilirsiniz (Bu olaya phishing deniliyor).
Bunlar doğru olabilir. Online banka mağduru gerçekten de eksik-yanlış bir şeyler yapmış ve şifresini-kimliğini çaldırmış olabilir. Doğrusu internet kullanan pek çok kişi, bu konuları iyi bilmiyor. Örneğin çok yaygın yapılan bir hata, virüs programı ile her şeyden korunulduğunun düşünülmesi. Oysa casus yazılım (spyware, trojan) ve sızmalara karşı da mutlaka kişisel firewall kullanmak gerekli.
Ama olayda belki de bankanın kabahati var. Bunu tespit etmek zor. Bugüne kadar Türkiye’deki bankaların bu konularda çok fazla açık davrandığını söyleyemeyiz.
İşte benim de bu yazımda size anlatmak istediğim tam bu noktada..
Son dönemde, sadece ülkemiz değil, dünyada da bankaların kendi sistemlerinden kaynaklanan güvenlik açıklarının ciddi boyutlara ulaşmış olduğunu, güvenlik sitelerinin yayınlarından görüyoruz.
Tabi ki, bankalar sürekli olarak kendi sistemlerini geliştirmekte ve yenilemektedirler ancak gözden kaçan en ufak detay bankanın sisteminde ciddi güvenlik açıkları oluşturabilmektedir.
Yani durum sadece kullanıcıların kendi güvenlikleri konusundaki dikkatsizlik / bilgisizliklerinden ibaret değildir. Tersine ifade edersek, banka sistemleri sanıldığı kadar güvenli değil.
Örneğin; bu yazıyı yazma nedenin, çok yeni duyurulan bir açık. Türkiye’deki bir çok bankanın kullanıcılarını tuş kaydedici (keylogger) ve trojan’lara karşı korumak için hizmete sunduğu JEdit objesinde “veri ifşa” açığı bulundu. Bu açık kullanılarak kurumsal ağların güvenlik yapılarını aşmak ve önemli bilgilere erişmek mümkün olabiliyor.
Çeşitli bankalar JEdit objesinin farklı isimlerdeki farklı Build’lerini kullanıcılarının güvenliğini arttırmak amacıyla dağıtıyor, bu objeyi yüklemeleri tavsiyesinde bulunuyor.
Söz konusu obje, bir takım parametreler ile manipüle edilerek internet üzerinden kullanıcıların;
* Makina ismi
* Log-in olan kullanıcı ismi
* Ethernet MAC Adresi
* Ethernet’e tanımlanmış (Internal) IP Adresi
* Ethernet’e tanımlanmış (Internal) Gateway Adresi
* Harddisk Seri numarası
bilgilerini ifşa etmektedir.
Bu açıktan etkilenen, benim gördüğüm şu anda 4 bankanın yazılımı var. İsimlerini, bankacılık kanunu nedeniyle açıklamayacağım ama kendileri bu konuyu inceleseler iyi olacak.
Sonuç olarak, sürekli sistem geliştirmek ya da yenilemek bir bankanın sistemini güvenli hale getiremeyebilir. Bankaların takip etmesi gereken en önemli husus, altyapılarında kullanılan donanım, veri tabanı ve yazılımların açıklarının duyurulup, duyurulmadığının takibidir. Hacker’ların esas izledikleri konu budur
