Barış Bulut

Bankacılık Sistemlerinde Güvenlik

Bankacılık sistemlerinde devam eden güvenlik arttırıcı çalışmaların paralelinde, unutulan noktalardan doğan açıklar güvenlik riski oluşturmakta.

Geçtiğimiz haftalarda müşterisi olduğum banka beni arayarak kredi kartımın yurtdışında iki kez başarısız kullanılma teşebbüsü üzerine, güvenlik sebebiyle kartımın askıya alındığını söyledi.  Son zamanda oldukça arttırılmış ve dünya ortalamasın ilerisinde olduğunu görebildiğim güvenlik teknoloji ve protokollerine rağmen kartımın nasıl kopyalanabildiği çok da anlayamamakla birlikte, bankacılık işinin gelişimini şöyle bir düşünmeye başladım.
 
Güvenlik – Ölçütler ve Açıklar
 
Bankacılık işlemlerini sadece bankaya giderek yapabildiğimiz eski günleri belki anımsayacaksınızdır.  Sonrasında monokrom ekran (tek renkli) bankamatikler (ATM) ve ATM kartları devreye girdi.  İlk zamanlarda, daha ziyade cihazın güvenliği için, bu makineler kilitli ortamlardaydı, hatta ATM kartınız yoksa bankamatiğin olduğu yere dahi  giremiyordunuz.  O zamanlar DSL üzerinden sürekli bağlantı yoktu; yerine çevirmeli ağ (dial-up) bağlantısı vardı.  Bu nedenle bazı bankalar her ATM kullanımında kartın şifresini (şifre, Güvenlik Ölçütü #1), dial-up üzerinden merkeze bağlanıp sorgulamaktaydı – hatta ve hatta, bu sorgu sırasında gereken bağlantı için kontör tüketilmekte ve ATM kullanıcısı kişi sorgu haricinde bir işlem yapmadığı zamanlar bankayı masrafa sokmaktaydı – bunu gören bazı bankalar açıkgözlü davranarak güvenlik açığı verme pahasına kart şifrelerini açık şekilde kart üzerinde tuttular (Güvenlik Açığı #1).  Hatta o zamanlar ATM'nin yanında bir telefon ahizesi de mevcuttu ve yardım (işlem güvenliği, Güvenlik Ölçütü #2) için o telefonu kullanabiliyordunuz.  Fakat düşünülmeyen bir nokta da mevcuttu ki en az bir yerli bankamızın benzer telefonunu kullanarak sadece bankanın çağrı merkezini değil, Türkiye'deki her telefonu arayabiliyordunuz (o zamanlar cep telefonları devreye girmediği için sadece Telekom hatlarını arayabiliyordunuz – yılı tahmin edebiliyorsunuzdur sanırım – 1989 civarı – Güvenlik Açığı #2).  Derken renkli ekranlar, dokunmatik ekranlar, çevirmeli ağ bağlantısı yerine DSL bağlantısı üzerinden bağlantı olanakları ve yeni nesil bankamatik cihazları sayesinde hem işlem yapmak kolaylaşıp hızlandı, hem de işlem yeteneği arttı.  
 

ATM'lerdeki gelişmelerin paralelinde İnternet üzerinden de bankacılığın genel anlamda para yatırmak haricinde hemen her işlem için kullanılabiliyor olmasının hem bankalara tasarruf anlamında, hem de kullanıcılara sunduğu rahatlık anlamında getirdiği büyük faydalar oldu. 
 
Güvenlik önlemleri her ne kadar arttırılmış olsa da, bankaların gerçek implementasyonda bu kural ve politikalara ne kadar sadık kaldığının yeterince kontrol edilmediğini düşünür gibi oluyorum.  Mesela kredi kartının PIN'le tuşlanarak kullanılması her ne kadar "çok, çok" iyi bir gelişme olsa da (Güvenlik Ölçütü #3), PIN'i girerken size yakın duran meraklı gözlerin çok rahat şekilde o PIN'i görme ve sonradan kullanma olasılıkları da o derece yüksek (Güvenlik Açığı #3) – hatta risk o derece kötü ki, PIN numarası ile kredi kartından nakit avans çekilmesi durumunda mesuliyetin %100'ü müşteride oluyor, banka hiçbir sorumluluk üstlenmiyor.  PIN girdiğiniz POS cihazının uzatılabilir klavyesi (keypad) yurtdışında genelde üstten korumalı durumdadır (parmaklarınız bir miktar içeri girerek tuşlarsınız ve yanınızda veya karşınızda duran kişiler ne tuşladığınızı göremez).
 
Bazı Güvenlik Ölçütü ve Eksik Uygulamadan Doğan Güvenlik Açığı Örnekleri
 
Yapılması hedeflenenler:


  1. Bankamatikte kartla işlem yaparken şifre kullanımı
  2. ATM'nin yanında yardım için müşteri hizmetlerine bağlanma amaçlı mevcut duran bir telefon
  3. Alışverişlerde kredi kartı işlemlerinin imza yerine PIN girişi yapılarak sağlanması
  4. Online bankacılık işlemlerinde tek kullanımlık şifrenin (SMS) devreye alınmasıHata sonucu oluşan güvenlik açıkları:

    1. Bazı bankaların güvenlik açığı verme pahasına kart şifrelerini açık şekilde kart üzerinde tutması
    2. Sadece bankanın çağrı merkezini değil, Türkiye'deki her telefonu arayabilme şeklinde sistem açığı
    3. Tuş takımının açıkta durmasından ötürü yakınınızda duran kişilerin PIN numaranızı rahatlıkla görebilmesi
    4. Bazı bankaların online arayüzlerinde halen SMS veya tek kullanımlık şifre doğrulamasının olmaması.Yakın zamanda son kullanıcıyı ilgilendiren diğer gelişme olarak, Türkiye'de Bankacılık Düzenleme ve Denetleme Kurumu, 1 Ocak 2010 itibariyle güvenlik duvarlarını bir kademe daha yükseltti (Güvenlik Ölçütü #4).  Bu tarihten itibaren tüm İnternet bankacılığında artık "Tek Kullanımlık Şifre" zorunlu kılındı (BDDK tarafından 14 Eylül 2007 tarih ve 26643 sayılı Resmi Gazete'de yayımlanan Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ uyarınca 01.01.2010 tarihi itibariyle İnternet Bankacılığı'na ve WAP Bankacılığı'na her girişte tek kullanımlık şifre kullanımı zorunludur).  Bu sayede artık Türkiye'de bankanızın online sistemlerine girerken, kayıtlı cep telefonunuza SMS yoluyla tek kullanımlık bir şifre gönderilmekte.  Örneğin Türkiye'de ilk 4'te yer alan bir bankanın uygulamasında Mobil cihazlardan WAP bağlantısı üzerinden bankanın sitesine girdiğinizde, SMS ile şifre doğrulama veya tek kullanımlık şifre sorgulama olmamakta (Güvenlik açığı #4).  Bu da sırf "nasıl olsa SMS ile tek kullanımlık şifre gelecek" rahatlığıyla diğer parolasını son derece basit ("123456" gibi) ayarlamış pek çok kişinin banka hesaplarını riske sokar durumda.
       
      Sonuç

      Bilhassa bankacılık gibi hassas ve son derece güvene dayanan bir sistemde bir güvenlik ölçütü devreye alındığında, uygulanması gereken tüm protokol ve politikalara da bağlı kalınıp kalınmadığının "gerçek denetiminin" gerçekleştiriliyor olması gerekmekte.  Bu olmadığı takdirde, hemen akabinde bir güvenlik açığının da oluşması işten değil gibi gözüküyor.
       
      Dr. Barış Bulut, 
      www.barisbulut.com
      www.enforma-tr.com
      [email]bilgi@enforma-tr.com[/email]
       
      Not: Herkesin 30 Ağustos Zafer Bayramı'nı kutlarım

Okuyucu Yorumları

Toplam 6 Yorum

Teşekkürler, çok faydalı oldu :)

hiç bir banka 123456 , tarih içeren yada benzeyen bir şifreyi kabul etmiyor. WAp üzerindne yapılan smssiz girişlerde para transferleri yapılamıyor

Aşağıdaki okur arkadaşımın yorumu için çok teşekkür ederim. Ancak, birkaç noktayı tekrar vurgulamak için ekleme yapmak isterim:

1. ŞİFRE: Doğum tarihi, ardışık veya aynı rakam girilemiyor, doğru. Ama “111222” gibi komik derecede basit şifreler girilebilmekte. Test edildi.
2. EFT/HAVALE: Tanımlı hesaplara para transferleri yapılabilmekte. Test edildi.
3. BİR BAŞKASINA AİT FATURA ÖDEME: Fatura borcu ödenebilmekte (bu sayede mesela başkasının şifresiyle girip kendisine ve kendi arkadaşlarına ait birkaç "yüklüce" fatura ödenip çıkılabilir). Test edildi.
4. BİLGİ GİZLİLİĞİ: Tüm bunları bir kenara bırakırsak dahi, bir kişiye ait gizli bilgiler görülebilmekte, alınan (maaş vb) ödemeler, kredi kartı gibi yapılan harcamalar görülebilmekte. Test edildi, gözlemlendi.
5. YÖNETMELİK VE KURALA UYULMAMA: Yazımın savunduğu ana nokta, bir güvenlik protokolünün başta tanımlanıp, sonrasında ise uyulmaması. "01.01.2010 tarihi itibariyle İnternet Bankacılığı'na ve WAP Bankacılığı'na her girişte tek kullanımlık şifre kullanımı zorunludur" şeklinde bir kural baştan konulmuşken, buna sonradan uymamayı doğru bulmuyorum.

Okur yorumu:
>> >hiç bir banka 123456 , tarih içeren yada benzeyen bir şifreyi kabul etmiyor. WAp üzerindne yapılan smssiz girişlerde para transferleri yapılamıyor

ancak kaldiki sms ile yollanan tek kullanimlik OTP sifreler icinde simdi ksiinin kimlik bilgileri kulanilarak adina ceptelefonu numarasi tekarar iptal edilip cikartiliyor
buda sms guvenlik syteminin okadarda guvenli olmadigini ortaya koyuyor
gene suc kabahat musterinin oluyor
bence oncelikle credi ve debit cartlarinda, oline hesaplarin sigortalanmaya baslanmasi gerketigi inacindayim
kaldiki otomobil bile alirken almadan once sigorta ettirmeden yola cikmiyoruz, ve bunu calincak diye degil aracin guvenligi ve arac sahibinin herhangi bi kotu olay karsisinda zarara ugramamasini amacliyor.
saygilar

Online Bankacılık Güvenliğiyle ile ilgili webstar adlı yarışmaya bir proje göndermiştim online dolandırıcılığı neredeyse minumuma indiren bir uygulamaydı; ama dereceye bile giremedim sebep :) Türkiyenin teknolojisinde projemi hayata geçirmek çok baba geldi yetkililere. Haklılar da daha modemi bile şifrelemek'ten aciz bir topluma bu teknoloji fazla gelir.

kart islemlerinde simdilik pin kullanilmakta. ileride kimbilir nasil olacak.

Sen de yorum yaz

Takip Edin

 

Kategoriler