BDDK Tebliği sonrası İnternet Bankacılığı Güvenliği -2- Devre dışı kalan “İşlem Doğrulama Kodu”

14 Eylül 2007 tarihinde yayınlanmış olan BDDK Tebliğ’inin 1 Ocak 2010 tarihi itibariyle yürürlüğe girmesiyle birlikte bankaların sunduğu İnternet Bankacılığı hizmetlerine giriş için 2 faktörlü kimlik doğrulama kullanılmaya başlandı.

İnternet Bankacılığı müşterilerinin günlük hayatlarını doğrudan olarak etkileyen bu değişiklik ile cep telefonlarına gelen SMS mesajları, tek kullanımlık şifre üreten cihazlar veya cep telefonumuza yüklediğimiz bir yazılım aracılığı ile ürettiğimiz tek kullanımlık şifreleri kullanarak kendimizi daha güçlü tanıtmaya başladık.

(Tek kullanımlık şifre: Kimlik doğrulamasında sadece 1 kez kullanılmak üzere üretilen, kullanıldıktan sonra geçerliliğini yitiren rakam veya karakter dizisidir.)

Kendimizi daha güçlü tanıtmaya başladık diyorum, çünkü 2 faktörlü kimlik doğrulama yöntemi bildiğimiz şeyin yanı sıra sahip olduğunuz bir şeyi de kullanmamızı zorunlu kılıyor. Sahip olduğumuz cep telefonumuz veya tek kullanımlık şifre üreten cihazımız bize ait ve yanımızda taşıdığımız bir parça olduğu için buna sahip olmayan birisinin İnternet Bankacılığı’na bizim adımıza giriş yapamayacağı kabul ediyoruz.

O halde sorulması gereken esas soru şudur: 2 faktörlü koruma ile kimlik doğrulama yapılması tam olarak güvenli bir İnternet Bankacılığı sağlamış oluyor mu?

Güvenli bir İnternet Bankacılığı’ndan ne anlamamız gerektiğini masaya yatıralım;

1-      Müşteri dışında hiç kimsenin İnternet Bankacılığında oturum açamayacağı

2-     Müşteri’nin yaptığı işlemlerin yetkisiz kişilerce izlenemeyeceği veya değiştirilemeyeceği

3-      Müşteri’nin yaptığı işlemleri doğru ve eksiksiz biçimde yerine getirmenin garanti altına alınacağı

2 faktörlü kimlik doğrulamasının bu maddelerden ilki için güçlü bir kontrol sağladığını söylemek mümkündür. Ancak, bir önceki yazımda belirttiğim (BDDK Tebliği sonrası İnternet Bankacılığı Güvenliği -1- Giriş ve Genel Durum) gibi SIM kart iptal ettirme gibi saldırılar, Cep telefonlarına gönderilen SMS mesajların güvenliğini tehdit etmektedir.

GSM operatörlerinin bu konuda bir çalışma içinde olduklarını biliyoruz. Ancak henüz ortak bir noktaya varılamamış olduğu gözüküyor. SIM kart iptal ettirme saldırısı için en etkin çözümlerden birisi, SIM kartı iptal edilmiş müşteriye belirli bir süre boyunca SMS gönderimlerinin kapatılmasıdır. Bazı GSM operatörleri verdikleri hizmetle SIM kartı iptal edilen kullanıcıların listelerini bankalar ile paylaşarak bankaların bu kullanıcılara belirli bir süre SMS mesaj göndermemeleri için olanak sağlamaktalar. Ancak bu veritabanı tüm GSM operatörleri tarafından ortak oluşturulmuş bir veritabanı olmalıdır. Maalesef henüz bu konuda bir netlik oluşmadı ve mevcut durum riskli bir biçimde hayatını sürdürüyor.

2. maddeye gelecek olursak işte burada işler karışıyor. 2 faktörlü kimlik doğrulama ile İnternet Bankacılığı’na giriş yapmış olsak da, yaptığımız işlemlerin izlemeyeceğini veya değiştirilemeyeceğini garanti edebilmek maalesef mümkün değil. Neden mi? Buna birazdan değineceğim.

O zaman neden dolayı İnternet Bankacılığı’na girişte 2 faktörlü kimlik doğrulaması yaptık? Ne gerek vardı? Bunun sebebi öncelikle, kullanıcı adı ve şifresinin çalınarak kolayca erişilen İnternet Bankacılığı hesapları problemini ortadan kaldırmaktı. Şimdi bilinçli İnternet Bankacılığı kullanıcıları diyecekler ki; İnternet Bankacılığı hesabım ele geçirilse dahi her önemli işlem için cep telefonuma gelen tek kullanımlık “İşlem Doğrulama Kodu” ile zaten güvenli değil miydim? İnternet Bankacılığı hesabım ele geçirilse dahi Cep telefonumu çaldırmadığım sürece yetkisiz işlemlerin önüne geçmemiş miydik?

Evet doğrudur. Ancak BDDK, İnternet Bankacılığı hesaplarının ele geçirilmesi ile birlikte, önemli işlemler haricinde müşterilere ait özel bilgilerinde görüntülenmemesini istemiş olacak ki 2 faktörlü kimlik doğrulamasını hayatımıza soktu.

Buraya kadar her şey normal ve işler yolunda gözüküyor. Ancak, 2 faktörlü kimlik doğrulamasının devreye alınması ile birlikte bankalar İnternet Bankacılığı uygulamalarında kullanılan İşlem Doğrulama Kodu’nu ya devre dışı bıraktılar, ya da varsayılan halini kapalı tutup seçimlik olarak müşterinin açabileceği bir hale dönüştürdüler.

Yani, 2 faktörlü kimlik doğrulaması olmadan önce İnternet Bankacılığı’na kullanıcı kodu parolası ve şifresi ile giriyorduk ancak her önemli işlem için - EFT, Havale, Döviz Alış, Satış gibi…- Cep telefonumuza gelen tek kullanımlık İşlem Doğrulama Kod’unu girmemiz gerekiyordu. 2 faktörlü doğrulama önemli işlem öncesinde soruluyordu.

Bugün ise, 2 faktörlü kimlik doğrulaması ile İnternet Bankacılığı’na giriyoruz ancak İşlem Doğrulama Kodu büyük ihtimalle sorulmuyor. Şu durumda bir fark yok gibi gözüküyor öyle değil mi? Aslında pek öyle değil. İşlem doğrulama kodu gönderilen müşteri, aldığı SMS mesajda hangi işlem için tek kullanımlık şifre aldığı konusunda bilgilendiriliyordu.

Örneğin, gönderilmiş olan İşlem Doğrulama Kodu’nun “Şu hesabınızdan şu kişinin şu hesabına şu miktarda EFT için” gönderildiği Cep telefonuna gelen SMS mesajda bulunuyordu. Bu neyi mi değiştirir? Birazdan değineceğim dediğim konuya gelmiş bulunuyoruz.

                      

Müşteri bilgisayarlarına çeşitli yollar ile bulaşmış zararlı yazılımlar artık oldukça akıllandılar. Kullanıcını şifrelerini çalmak yerine müşterinin açtığı oturum üzerinden yetkisiz işlem yapabiliyorlar. “Man in the middle” ve “Man in the Browser” gibi saldırılar 2 faktörlü kimlik doğrulama yöntemleri tarafından engellenemeyecek saldırı türleridir. Mesela, arkadaşınıza yapacağınız EFT gönderilmeden hemen önce başka bir hesaba kolayca yönlendirilebilir.

Eğer işlem öncesi gönderilen bir İşlem Doğrulama Kod’una sahip olsaydınız, arkadaşınıza yaptığınız EFT’nin başka bir hesaba yönlendirilmiş olduğunu gelen SMS mesajda bulunan İşlem Doğrulama Kodu’nu okuyarak fark eder ve işlemi onaylamazdınız.

Bugün, İşlem Doğrulama Kodu uygulaması, İnternet Bankacılığı girişinde kullanılan 2 faktörlü kimlik doğrulaması yöntemi sebebiyle çoğunlukla kaldırılmış durumda bulunuyor. (Ya da kullanıcıların tercihine bırakılmış ancak varsayılan halleri kapalı durumda bulunuyor)

Müşterilerin gizli bilgilerinin dahi görüntülenmemesini isteyen BDDK, İnternet Bankacılığı girişinde 2 faktörlü kimlik doğrulamayı getirirken bankaların İşlem Doğrulama Kodu’nu devre dışı bırakacağını hesaba katmamış olabilir. Ya da belki bugün çok sık rastlamasak da, önümüzdeki dönem oldukça sık rastlayacağımız Man in the middle/browser saldırılarını dikkate almamış olabilir.

Tabi burada bulunan riskin sorumluluğunu sadece, durumun etkisini hesaplayamamış BDDK’ya değil, İnternet Bankacılığı girişlerinde 2 faktörlü kimlik doğrulamaya geçildiği için İşlem Doğrulama Kodu sormaktan vazgeçen bankalara da vermek gerekir.

Bu durumda hem girişte hem de İşlem Doğrulama noktasında tek kullanımlık şifre kullanırım dediğinizi duyar gibi oluyorum. Bankaların bu konuda yaptıkları hesaplar tahmin edebileceğiniz gibi maliyet oluyor. Yüz binlerce müşteri için zaten girişte gönderilen SMS mesajlara bir de İşlem Doğrulama Kod’larını eklemek istememiş olacaklar ki mevcut durumla karşı karşıya kalmış durumdayız. Ama gene de bir konuyu aklımızdan çıkartmamakta fayda var. Bilgi teknolojileri güvenliğine yaptığınız yatırım sahip olduğunuz risk den daha büyük olmamalıdır. Bu yatırım kimse tarafından kabul edilmez. Anlayabileceğiniz üzere, Man in the middle/browser gibi saldırılardan canımız yanmadan İşlem Doğrulama Kodu’nun zorunlu hale gelmesini beklememek gerekiyor.

Şu durumda bu yazıdan ne mi sonuç çıkarmalıyız? Bence kullandığınız İnternet Bankacılığı hesaplarında İşlem Doğrulama Kodu seçimlik olarak sunuluyorsa mutlaka etkinleştirin, gelen İşlem Doğrulama Kodu mesajlarının doğruluğunu kontrol edin.

İnternet Bankacılığı’nın güvenliğini sağlayabildik mi? Anlatmak istediklerim henüz bitmedi. Sonraki yazılarımda bahsediyor olacağım.

Murat Kültür

Bilgi Güvenliği Danışmanı

CISSP

BDDK Tebliği sonrası İnternet Bankacılığı Güvenliği -1- Giriş ve Genel Durum

Finans sektöründe bilgi işlem çalışanlarının gayet yakından bildiği ve uyum sağlamak için uzun süredir emek verdiği bir tebliğ vardır. BDDK (Bankacılık Düzenleme ve Denetleme Kurumu) tarafından 14 Eylül 2007 tarihinde yayınlanmış olan “Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ” 1 Ocak 2010 tarihi itibariyle yürürlüğe girdi. Yayınlandığı tarihten itibaren uyum için verilen süre sona erdi ve bankalar tarafından tebliğe uyum sağlamak için yapılan çalışmalar hayata geçti.

Bu tebliğ neticesinde insanların günlük hayatını etkileyecek en önemli çalışmalardan biri, İnternet Bankacılığı uygulamalarına girişte 2 faktörlü kimlik doğrulama yönteminin kullanılmasının zorunlu hale getirilmesi oldu. 2 faktörlü kimlik doğrulaması neydi? Hafızamızı tazeleyelim.

İnternet Bankacılığı’na 1 Ocak 2010 öncesi giriş yöntemi (Tek faktörlü):

Kullanıcı adı, parolası ve şifre ile yapılan giriş yöntemi

İnternet Bankacılığı’na 1 Ocak 2010 sonrası giriş yöntemi (2 faktörlü):

Kullanıcı adı, parolası ve tek kullanımlık şifre ile yapılan giriş yöntemi

2 Faktörlü kimlik doğrulaması, asgari şekliyle kullanıcının "bildiği bir bileşen" ve "sahip olduğu bir bileşenin"  birlikte kullanılması ile yapılan kimlik doğrulamasıdır. Yukarıdaki örnekte bildiğimiz şey parolamız, sahip olduğumuz şey ise tek kullanımlık şifremizi üreten güvenlik cihazları ya da SMS gönderilen cep telefonumuz oluyor.

1 Ocak 2010 öncesi de 2 faktörlü kimlik doğrulama bazı bankalar tarafından destekleniyor ve kullanılıyordu. Zorunlu hale gelmesiyle tüm bankalar bu yönteme geçti ve Türkiye’de İnternet Bankacılığı için yeni bir dönem başladı. Artık herhangi bir bankanın İnternet Bankacılığı’nı kullanacaksanız ya cep telefonuna gelen SMS mesajdaki şifreyi kullanıyorsunuz, ya da tek kullanımlık şifre üreten cihazınızı ya da yazılımınızı kullanıyorsunuz.

Bu değişiklik neden yapıldı? Çünkü BDDK, banka müşterilerine ait bilgilerin güvenliğini arttırıcı bir yöntem olarak 2 faktörlü kimlik doğrulama yöntemini zorunlu tutulmasını istedi. Gerçekten de İnternet Bankacılığında yapılan tüm işlemler ve müşteri bilgileri bu değişiklik ile birlikte tam güvence altına alınabildi mi?

Gelin kimlik doğrulama yöntemlerini kapsayacak şekilde bu konuda detaylı bir değerlendirme ve karşılaştırma yapalım. (İnternet Bankacılığı güvenliği sadece etkin kullanılan kimlik doğrulama yöntemleri ile sağlanamaz. Bunun yanında alınması gereken bir dizi önlem ve kontrol vardır. Bu yöntem ve kontrollere başka bir yazımda değiniyor olacağım.)

İnternet Bankacılığı’nda 1 Ocak 2010 öncesi kullanılan kimlik doğrulama yöntemi ve Güvenliği (Tek faktörlü giriş işlemi):

İnternet Bankacılığı müşterileri kullanıcı kodu, parolası ve şifrelerini kullanarak giriş yapıyorlardı. Parola ve şifre gizli bilgilerdi ve müşterinin hiç kimseyle paylaşmaması gerekiyordu. O zaman neden dolayı hem parola hem de şifreye ihtiyaç vardı? Sebebini anlatmaya çalışayım.

Parola’nın kullanım sebebi: Parola servis durdurma saldırılarına karşı kullanılan bir bileşendir. Parola’nın belirli bir sayıda yanlış girilmesi durumunda müşterinin geçici süreyle İnternet Bankacılığı’na girişine izin verilmez. Örneğin 10 dakika. Böylece deneme yanılma yoluyla parolanın tespit edilmesini engellemiş olursunuz.

Parola kullanımının önemli bir sebebi daha bulunuyor. Parolanın kullanılmadığı günlerde, yani sadece kullanıcı kodu ve şifresi ile giriş yapılabilen günlerde, eğer başka bir müşterinin kullanıcı kodunu biliyor veya tahmin edebiliyorsanız deneme yanılma yöntemiyle bu müşterinin İnternet Bankacılığı hizmetini kalıcı biçimde kilitleyebilirdiniz. Özellikle bu durum parola gibi bir bileşenin hayatımıza girmesine sebep olmuştur.

Şifre’nin kullanım sebebi: Şifre, parola gibi sadece müşterinin bildiği gizli bileşendir. Parola bileşeni, şifrenin kolayca kilitlenmesini engellemek için var olmuştur. Şifre’yi genelde 3 kere yanlış giren müşterinin İnternet Bankacılığı hesabı kalıcı biçimde kilitlenir. Bunu açtırmak için farklı bir kanaldan – örneğin telefon bankacılığı, şube veya ATM – işlem yapmanız gerekir.

İnternet Bankacılığı’nda 1 Ocak 2010 sonrası kullanılan kimlik doğrulama yöntemi ve Güvenliği (2 faktörlü giriş işlemi):

2 faktörlü kimlik denetleme daha önce bahsettiğim gibi sahip olduğunuz bir bileşene dayanıyor. Sahip olduğunuz bir şeyi kullanarak ürettiğiniz bir şifreyi kullanıyorsunuz ve bu yöntemle giriş yapıyorsunuz.

Bugün tek kullanımlık şifre üretmek için kullanılan yöntemler;

a- Cep telefonunuza SMS mesaj olarak gelen tek kullanımlık şifre

b- Banka tarafından sağlanmış ufak bir cihaz üzerinden ürettiğiniz tek kullanımlık şifre

c- Cep telefonunuza yine banka aracılığı ile yüklediğiniz bir yazılım sayesinde ürettiğiniz tek kullanımlık şifre

2 faktörlü kimlik doğrulamada, tek faktörlüde olduğu gibi kullanıcı kodu ve parolası bileşeni bulunuyor. Şifre ise yerini tek kullanımlık şifreye bırakmış durumda. Yukarıda bahsettiğim parola ve şifrenin kullanım sebepleri aynen uygulanmaya devam ederken aradaki tek fark şifrenin statik olmaması, yani her giriş işleminde tek seferlik kullanım için üretilmiş bir şifreye sahip olmanızdır.

Bugün kullanılan yöntemlere bir göz atalım;

1- Bazı bankalar kullanıcı kodu, parola ve tek kullanımlık şifre ile giriş yapılmasına izin veriyor.

2- Bazı bankalar kullanıcı kodu, parola, şifre ve tek kullanımlık şifre ile giriş yapılmasına izin veriyor.

İşin doğrusu, tek kullanımlık şifrenin kullanıldığı bir ortamda müşteriye yine de şifre sorulmaması gerekiyor. (Çünkü müşterinin bildiği şey olarak parola bu ihtiyacı karşılıyor) Bunu uygulayan bankaların müşteri alışkanlığını düşünerek şifre sormaya devam ettiklerini görüyoruz. Aslında, kullanım kolaylığı konusunda birçok açıdan eleştiri alan 2 faktörlü kimlik doğrulama yönteminde bir de şifre sorularak işlerin iyice zorlaştırılması, müşteri tarafında hiç de hoş karşılanacak bir uygulama değil.

2 faktörlü kimlik doğrulamada bugün en yaygın kullanılan yöntem, cep telefonlarına gönderilen tek kullanımlık şifre içeren SMS mesajlarıdır. Bu yöntemde özellikle yurtdışında bulunan müşteriler için sıkıntılar yaratabilmesi veya GSM operatörlerinde oluşabilecek yoğunluklar nedeniyle SMS mesajların iletilememesi gibi riskler bulunuyor. Bu gibi erişilebilirlik ve kullanım kolaylığı konularını bir kenara koyup konuya sadece güvenlik perspektifinden bakmak istiyorum.

Tek faktörlü kimlik doğrulama ile yapılan giriş yönteminde, eğer kullanıcı kodu, parola ve şifre çalınırsa müşterinin İnternet Bankacılığı hesabına yetkisiz giriş yapılabiliyordu. (Çalınma yöntemlerine başka bir yazımda değiniyor olacağım.) Bu durum, müşterinin gizli bilgilerinin çalınmasına ve müşteri adına yetkisiz işlem yapılabilmesine olanak sağlıyordu. Örnek olarak bilgileri çalınan müşterinin hesaplarındaki tüm parayı başka sahte hesaplara aktarmak verilebilir. Tam bu noktada önemli bir ayrıntıdan bahsetmeliyim. Tek faktörlü kimlik doğrulama yapıldığı günlerde, birçok banka önemli işlemler öncesi – havale, eft gibi…- tek kullanımlık şifre sormak veya gizli soruların cevaplarını sormak gibi ek önlemler alıyordu.

Aslında bu durum, önemli bir tartışmayı da beraberinde getirdi. Önemli işlemler öncesi tek kullanımlık şifre sorulabiliyorsa ve bu durum yetkisiz işlem yapmayı engelliyorsa, İnternet Bankacılığı girişinde gerçekten tek kullanımlık şifre sorulması gerekli miydi?

Bu sorunun cevabı aslında oldukça açık; BDDK, İnternet Bankacılığı girişinde sorulan tek kullanımlık şifre sayesinde sadece müşteriler adına yapılan yetkisiz işlemleri değil, aynı zamanda müşterilere ait gizli bilgilerin korunmasını da sağlamak istedi. Bu düşüncesinde haklı mıydı? Cevabı evet. Ancak ortaya çıkarttığı erişimsel ve kullanım kolaylığı sıkıntılarına değer miydi? Bu uzunca tartışılabilecek bir konu olarak kalmaya devam edecek sanırım.

2 faktörlü kimlik doğrulama ile yapılan giriş yönteminde, kullanıcı kodunuzu ve parolanızı çaldırsanız dahi, internet bankacılığına giriş için tek kullanımlık şifreye ihtiyaç duyulacaktır. Saldırganın aynı zamanda cep telefonunuzu veya tek kullanımlık şifre üreten cihazınızı da çalması gerekecektir. Bu iki durumun aynı anda olabilmesi daha düşük ihtimalli olduğu için bu yöntemin daha güvenilir bir yöntem olduğunu kabul etmek gerekir.

Ancak biliyoruz ki, değişen ve gelişen teknikler beraberinde değişen ve gelişen saldırı yöntemlerini de getirecektir. Hatta saldırı ve yöntemleri her zaman bir adım önde gitmektedir.

Örneğin, müşterilerin SIM kartını iptal ettirerek tek kullanımlık şifrelerini çalmak önemli bir saldırı yöntemi olarak karşımıza çıkıyor. Bu saldırı yöntemi 2 faktörlü geçiş öncesi kullanılıyordu ve bu geçiş sonrasında bu gibi saldırılarda artış yaşanması bekleniyor. Saldırgan sahte kimlikle gittiği GSM abone merkezinde hedef seçtiği müşterinin mevcut SIM kartını iptal ettirip yeni SIM kart çıkartıyor. Daha sonra ise, çaldığı kullanıcı adı parolası ve müşterinin hattına gelen (ama artık kendisinin sahip olduğu) tek kullanımlık şifre ile İnternet Bankacılığı hesabını kullanıyor. Müşteri akşamın bir saatinde telefonunun kullanım dışında olduğunu fark edebilir, ya da fark etmeyebilir. Fark etse dahi bu sorunu ertesi gün halletmeyi tercih edebilir. Saldırgan işini ertesi güne bırakmadan bitiriyor. Bu sebepten dolayı bugünlerde, GSM hattınızın çalışmaması gibi problemlere oldukça önem vermenizi şiddetle tavsiye ediyorum. Böyle bir durum fark edildiği an GSM operatörünü arayıp bilgi almakta fayda olacaktır.

2 faktörlü kimlik doğrulama yöntemiyle yapılan İnternet Bankacılığı’na giriş işlemleri güvenlik seviyesini bir üst noktaya taşıdığını kabul etsek de farklı tipte saldırılarla daha sık bir biçimde karşı karşıya kalacağımızı biliyoruz. “Man in the browser”, “function hooking” ve “DOM Access” gibi yöntemler kullanan zararlı kodlar, SIM kart iptal ettiren saldırganlar, tek kullanımlık şifre sistemlerine yapılacak olan çeşitli saldırılar… Tüm bu konulara diğer yazılarımda değineceğim.

Murat Kültür

Bilgi Güvenliği Danışmanı

CISSP