Finans sektöründe bilgi işlem çalışanlarının gayet yakından bildiği ve uyum sağlamak için uzun süredir emek verdiği bir tebliğ vardır. BDDK (Bankacılık Düzenleme ve Denetleme Kurumu) tarafından 14 Eylül 2007 tarihinde yayınlanmış olan “Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ” 1 Ocak 2010 tarihi itibariyle yürürlüğe girdi. Yayınlandığı tarihten itibaren uyum için verilen süre sona erdi ve bankalar tarafından tebliğe uyum sağlamak için yapılan çalışmalar hayata geçti.
Bu tebliğ neticesinde insanların günlük hayatını etkileyecek en önemli çalışmalardan biri, İnternet Bankacılığı uygulamalarına girişte 2 faktörlü kimlik doğrulama yönteminin kullanılmasının zorunlu hale getirilmesi oldu. 2 faktörlü kimlik doğrulaması neydi? Hafızamızı tazeleyelim.
İnternet Bankacılığı’na 1 Ocak 2010 öncesi giriş yöntemi (Tek faktörlü):
Kullanıcı adı, parolası ve şifre ile yapılan giriş yöntemi
İnternet Bankacılığı’na 1 Ocak 2010 sonrası giriş yöntemi (2 faktörlü):
Kullanıcı adı, parolası ve tek kullanımlık şifre ile yapılan giriş yöntemi
2 Faktörlü kimlik doğrulaması, asgari şekliyle kullanıcının "bildiği bir bileşen" ve "sahip olduğu bir bileşenin" birlikte kullanılması ile yapılan kimlik doğrulamasıdır. Yukarıdaki örnekte bildiğimiz şey parolamız, sahip olduğumuz şey ise tek kullanımlık şifremizi üreten güvenlik cihazları ya da SMS gönderilen cep telefonumuz oluyor.
1 Ocak 2010 öncesi de 2 faktörlü kimlik doğrulama bazı bankalar tarafından destekleniyor ve kullanılıyordu. Zorunlu hale gelmesiyle tüm bankalar bu yönteme geçti ve Türkiye’de İnternet Bankacılığı için yeni bir dönem başladı. Artık herhangi bir bankanın İnternet Bankacılığı’nı kullanacaksanız ya cep telefonuna gelen SMS mesajdaki şifreyi kullanıyorsunuz, ya da tek kullanımlık şifre üreten cihazınızı ya da yazılımınızı kullanıyorsunuz.
Bu değişiklik neden yapıldı? Çünkü BDDK, banka müşterilerine ait bilgilerin güvenliğini arttırıcı bir yöntem olarak 2 faktörlü kimlik doğrulama yöntemini zorunlu tutulmasını istedi. Gerçekten de İnternet Bankacılığında yapılan tüm işlemler ve müşteri bilgileri bu değişiklik ile birlikte tam güvence altına alınabildi mi?
Gelin kimlik doğrulama yöntemlerini kapsayacak şekilde bu konuda detaylı bir değerlendirme ve karşılaştırma yapalım. (İnternet Bankacılığı güvenliği sadece etkin kullanılan kimlik doğrulama yöntemleri ile sağlanamaz. Bunun yanında alınması gereken bir dizi önlem ve kontrol vardır. Bu yöntem ve kontrollere başka bir yazımda değiniyor olacağım.)
İnternet Bankacılığı’nda 1 Ocak 2010 öncesi kullanılan kimlik doğrulama yöntemi ve Güvenliği (Tek faktörlü giriş işlemi):
İnternet Bankacılığı müşterileri kullanıcı kodu, parolası ve şifrelerini kullanarak giriş yapıyorlardı. Parola ve şifre gizli bilgilerdi ve müşterinin hiç kimseyle paylaşmaması gerekiyordu. O zaman neden dolayı hem parola hem de şifreye ihtiyaç vardı? Sebebini anlatmaya çalışayım.
Parola’nın kullanım sebebi: Parola servis durdurma saldırılarına karşı kullanılan bir bileşendir. Parola’nın belirli bir sayıda yanlış girilmesi durumunda müşterinin geçici süreyle İnternet Bankacılığı’na girişine izin verilmez. Örneğin 10 dakika. Böylece deneme yanılma yoluyla parolanın tespit edilmesini engellemiş olursunuz.
Parola kullanımının önemli bir sebebi daha bulunuyor. Parolanın kullanılmadığı günlerde, yani sadece kullanıcı kodu ve şifresi ile giriş yapılabilen günlerde, eğer başka bir müşterinin kullanıcı kodunu biliyor veya tahmin edebiliyorsanız deneme yanılma yöntemiyle bu müşterinin İnternet Bankacılığı hizmetini kalıcı biçimde kilitleyebilirdiniz. Özellikle bu durum parola gibi bir bileşenin hayatımıza girmesine sebep olmuştur.
Şifre’nin kullanım sebebi: Şifre, parola gibi sadece müşterinin bildiği gizli bileşendir. Parola bileşeni, şifrenin kolayca kilitlenmesini engellemek için var olmuştur. Şifre’yi genelde 3 kere yanlış giren müşterinin İnternet Bankacılığı hesabı kalıcı biçimde kilitlenir. Bunu açtırmak için farklı bir kanaldan – örneğin telefon bankacılığı, şube veya ATM – işlem yapmanız gerekir.
İnternet Bankacılığı’nda 1 Ocak 2010 sonrası kullanılan kimlik doğrulama yöntemi ve Güvenliği (2 faktörlü giriş işlemi):
2 faktörlü kimlik denetleme daha önce bahsettiğim gibi sahip olduğunuz bir bileşene dayanıyor. Sahip olduğunuz bir şeyi kullanarak ürettiğiniz bir şifreyi kullanıyorsunuz ve bu yöntemle giriş yapıyorsunuz.
Bugün tek kullanımlık şifre üretmek için kullanılan yöntemler;
a- Cep telefonunuza SMS mesaj olarak gelen tek kullanımlık şifre
b- Banka tarafından sağlanmış ufak bir cihaz üzerinden ürettiğiniz tek kullanımlık şifre
c- Cep telefonunuza yine banka aracılığı ile yüklediğiniz bir yazılım sayesinde ürettiğiniz tek kullanımlık şifre
2 faktörlü kimlik doğrulamada, tek faktörlüde olduğu gibi kullanıcı kodu ve parolası bileşeni bulunuyor. Şifre ise yerini tek kullanımlık şifreye bırakmış durumda. Yukarıda bahsettiğim parola ve şifrenin kullanım sebepleri aynen uygulanmaya devam ederken aradaki tek fark şifrenin statik olmaması, yani her giriş işleminde tek seferlik kullanım için üretilmiş bir şifreye sahip olmanızdır.
Bugün kullanılan yöntemlere bir göz atalım;
1- Bazı bankalar kullanıcı kodu, parola ve tek kullanımlık şifre ile giriş yapılmasına izin veriyor.
2- Bazı bankalar kullanıcı kodu, parola, şifre ve tek kullanımlık şifre ile giriş yapılmasına izin veriyor.
İşin doğrusu, tek kullanımlık şifrenin kullanıldığı bir ortamda müşteriye yine de şifre sorulmaması gerekiyor. (Çünkü müşterinin bildiği şey olarak parola bu ihtiyacı karşılıyor) Bunu uygulayan bankaların müşteri alışkanlığını düşünerek şifre sormaya devam ettiklerini görüyoruz. Aslında, kullanım kolaylığı konusunda birçok açıdan eleştiri alan 2 faktörlü kimlik doğrulama yönteminde bir de şifre sorularak işlerin iyice zorlaştırılması, müşteri tarafında hiç de hoş karşılanacak bir uygulama değil.
2 faktörlü kimlik doğrulamada bugün en yaygın kullanılan yöntem, cep telefonlarına gönderilen tek kullanımlık şifre içeren SMS mesajlarıdır. Bu yöntemde özellikle yurtdışında bulunan müşteriler için sıkıntılar yaratabilmesi veya GSM operatörlerinde oluşabilecek yoğunluklar nedeniyle SMS mesajların iletilememesi gibi riskler bulunuyor. Bu gibi erişilebilirlik ve kullanım kolaylığı konularını bir kenara koyup konuya sadece güvenlik perspektifinden bakmak istiyorum.
Tek faktörlü kimlik doğrulama ile yapılan giriş yönteminde, eğer kullanıcı kodu, parola ve şifre çalınırsa müşterinin İnternet Bankacılığı hesabına yetkisiz giriş yapılabiliyordu. (Çalınma yöntemlerine başka bir yazımda değiniyor olacağım.) Bu durum, müşterinin gizli bilgilerinin çalınmasına ve müşteri adına yetkisiz işlem yapılabilmesine olanak sağlıyordu. Örnek olarak bilgileri çalınan müşterinin hesaplarındaki tüm parayı başka sahte hesaplara aktarmak verilebilir. Tam bu noktada önemli bir ayrıntıdan bahsetmeliyim. Tek faktörlü kimlik doğrulama yapıldığı günlerde, birçok banka önemli işlemler öncesi – havale, eft gibi…- tek kullanımlık şifre sormak veya gizli soruların cevaplarını sormak gibi ek önlemler alıyordu.
Aslında bu durum, önemli bir tartışmayı da beraberinde getirdi. Önemli işlemler öncesi tek kullanımlık şifre sorulabiliyorsa ve bu durum yetkisiz işlem yapmayı engelliyorsa, İnternet Bankacılığı girişinde gerçekten tek kullanımlık şifre sorulması gerekli miydi?
Bu sorunun cevabı aslında oldukça açık; BDDK, İnternet Bankacılığı girişinde sorulan tek kullanımlık şifre sayesinde sadece müşteriler adına yapılan yetkisiz işlemleri değil, aynı zamanda müşterilere ait gizli bilgilerin korunmasını da sağlamak istedi. Bu düşüncesinde haklı mıydı? Cevabı evet. Ancak ortaya çıkarttığı erişimsel ve kullanım kolaylığı sıkıntılarına değer miydi? Bu uzunca tartışılabilecek bir konu olarak kalmaya devam edecek sanırım.
2 faktörlü kimlik doğrulama ile yapılan giriş yönteminde, kullanıcı kodunuzu ve parolanızı çaldırsanız dahi, internet bankacılığına giriş için tek kullanımlık şifreye ihtiyaç duyulacaktır. Saldırganın aynı zamanda cep telefonunuzu veya tek kullanımlık şifre üreten cihazınızı da çalması gerekecektir. Bu iki durumun aynı anda olabilmesi daha düşük ihtimalli olduğu için bu yöntemin daha güvenilir bir yöntem olduğunu kabul etmek gerekir.
Ancak biliyoruz ki, değişen ve gelişen teknikler beraberinde değişen ve gelişen saldırı yöntemlerini de getirecektir. Hatta saldırı ve yöntemleri her zaman bir adım önde gitmektedir.
Örneğin, müşterilerin SIM kartını iptal ettirerek tek kullanımlık şifrelerini çalmak önemli bir saldırı yöntemi olarak karşımıza çıkıyor. Bu saldırı yöntemi 2 faktörlü geçiş öncesi kullanılıyordu ve bu geçiş sonrasında bu gibi saldırılarda artış yaşanması bekleniyor. Saldırgan sahte kimlikle gittiği GSM abone merkezinde hedef seçtiği müşterinin mevcut SIM kartını iptal ettirip yeni SIM kart çıkartıyor. Daha sonra ise, çaldığı kullanıcı adı parolası ve müşterinin hattına gelen (ama artık kendisinin sahip olduğu) tek kullanımlık şifre ile İnternet Bankacılığı hesabını kullanıyor. Müşteri akşamın bir saatinde telefonunun kullanım dışında olduğunu fark edebilir, ya da fark etmeyebilir. Fark etse dahi bu sorunu ertesi gün halletmeyi tercih edebilir. Saldırgan işini ertesi güne bırakmadan bitiriyor. Bu sebepten dolayı bugünlerde, GSM hattınızın çalışmaması gibi problemlere oldukça önem vermenizi şiddetle tavsiye ediyorum. Böyle bir durum fark edildiği an GSM operatörünü arayıp bilgi almakta fayda olacaktır.
2 faktörlü kimlik doğrulama yöntemiyle yapılan İnternet Bankacılığı’na giriş işlemleri güvenlik seviyesini bir üst noktaya taşıdığını kabul etsek de farklı tipte saldırılarla daha sık bir biçimde karşı karşıya kalacağımızı biliyoruz. “Man in the browser”, “function hooking” ve “DOM Access” gibi yöntemler kullanan zararlı kodlar, SIM kart iptal ettiren saldırganlar, tek kullanımlık şifre sistemlerine yapılacak olan çeşitli saldırılar… Tüm bu konulara diğer yazılarımda değineceğim.
Murat Kültür
Bilgi Güvenliği Danışmanı
CISSP
