14 Eylül 2007 tarihinde yayınlanmış olan BDDK Tebliğ’inin 1 Ocak 2010 tarihi itibariyle yürürlüğe girmesiyle birlikte bankaların sunduğu İnternet Bankacılığı hizmetlerine giriş için 2 faktörlü kimlik doğrulama kullanılmaya başlandı.
İnternet Bankacılığı müşterilerinin günlük hayatlarını doğrudan olarak etkileyen bu değişiklik ile cep telefonlarına gelen SMS mesajları, tek kullanımlık şifre üreten cihazlar veya cep telefonumuza yüklediğimiz bir yazılım aracılığı ile ürettiğimiz tek kullanımlık şifreleri kullanarak kendimizi daha güçlü tanıtmaya başladık.
(Tek kullanımlık şifre: Kimlik doğrulamasında sadece 1 kez kullanılmak üzere üretilen, kullanıldıktan sonra geçerliliğini yitiren rakam veya karakter dizisidir.)
Kendimizi daha güçlü tanıtmaya başladık diyorum, çünkü 2 faktörlü kimlik doğrulama yöntemi bildiğimiz şeyin yanı sıra sahip olduğunuz bir şeyi de kullanmamızı zorunlu kılıyor. Sahip olduğumuz cep telefonumuz veya tek kullanımlık şifre üreten cihazımız bize ait ve yanımızda taşıdığımız bir parça olduğu için buna sahip olmayan birisinin İnternet Bankacılığı’na bizim adımıza giriş yapamayacağı kabul ediyoruz.
O halde sorulması gereken esas soru şudur: 2 faktörlü koruma ile kimlik doğrulama yapılması tam olarak güvenli bir İnternet Bankacılığı sağlamış oluyor mu?
Güvenli bir İnternet Bankacılığı’ndan ne anlamamız gerektiğini masaya yatıralım;
1- Müşteri dışında hiç kimsenin İnternet Bankacılığında oturum açamayacağı
2- Müşteri’nin yaptığı işlemlerin yetkisiz kişilerce izlenemeyeceği veya değiştirilemeyeceği
3- Müşteri’nin yaptığı işlemleri doğru ve eksiksiz biçimde yerine getirmenin garanti altına alınacağı
2 faktörlü kimlik doğrulamasının bu maddelerden ilki için güçlü bir kontrol sağladığını söylemek mümkündür. Ancak, bir önceki yazımda belirttiğim (BDDK Tebliği sonrası İnternet Bankacılığı Güvenliği -1- Giriş ve Genel Durum) gibi SIM kart iptal ettirme gibi saldırılar, Cep telefonlarına gönderilen SMS mesajların güvenliğini tehdit etmektedir.
GSM operatörlerinin bu konuda bir çalışma içinde olduklarını biliyoruz. Ancak henüz ortak bir noktaya varılamamış olduğu gözüküyor. SIM kart iptal ettirme saldırısı için en etkin çözümlerden birisi, SIM kartı iptal edilmiş müşteriye belirli bir süre boyunca SMS gönderimlerinin kapatılmasıdır. Bazı GSM operatörleri verdikleri hizmetle SIM kartı iptal edilen kullanıcıların listelerini bankalar ile paylaşarak bankaların bu kullanıcılara belirli bir süre SMS mesaj göndermemeleri için olanak sağlamaktalar. Ancak bu veritabanı tüm GSM operatörleri tarafından ortak oluşturulmuş bir veritabanı olmalıdır. Maalesef henüz bu konuda bir netlik oluşmadı ve mevcut durum riskli bir biçimde hayatını sürdürüyor.
2. maddeye gelecek olursak işte burada işler karışıyor. 2 faktörlü kimlik doğrulama ile İnternet Bankacılığı’na giriş yapmış olsak da, yaptığımız işlemlerin izlemeyeceğini veya değiştirilemeyeceğini garanti edebilmek maalesef mümkün değil. Neden mi? Buna birazdan değineceğim.
O zaman neden dolayı İnternet Bankacılığı’na girişte 2 faktörlü kimlik doğrulaması yaptık? Ne gerek vardı? Bunun sebebi öncelikle, kullanıcı adı ve şifresinin çalınarak kolayca erişilen İnternet Bankacılığı hesapları problemini ortadan kaldırmaktı. Şimdi bilinçli İnternet Bankacılığı kullanıcıları diyecekler ki; İnternet Bankacılığı hesabım ele geçirilse dahi her önemli işlem için cep telefonuma gelen tek kullanımlık “İşlem Doğrulama Kodu” ile zaten güvenli değil miydim? İnternet Bankacılığı hesabım ele geçirilse dahi Cep telefonumu çaldırmadığım sürece yetkisiz işlemlerin önüne geçmemiş miydik?
Evet doğrudur. Ancak BDDK, İnternet Bankacılığı hesaplarının ele geçirilmesi ile birlikte, önemli işlemler haricinde müşterilere ait özel bilgilerinde görüntülenmemesini istemiş olacak ki 2 faktörlü kimlik doğrulamasını hayatımıza soktu.
Buraya kadar her şey normal ve işler yolunda gözüküyor. Ancak, 2 faktörlü kimlik doğrulamasının devreye alınması ile birlikte bankalar İnternet Bankacılığı uygulamalarında kullanılan İşlem Doğrulama Kodu’nu ya devre dışı bıraktılar, ya da varsayılan halini kapalı tutup seçimlik olarak müşterinin açabileceği bir hale dönüştürdüler.
Yani, 2 faktörlü kimlik doğrulaması olmadan önce İnternet Bankacılığı’na kullanıcı kodu parolası ve şifresi ile giriyorduk ancak her önemli işlem için - EFT, Havale, Döviz Alış, Satış gibi…- Cep telefonumuza gelen tek kullanımlık İşlem Doğrulama Kod’unu girmemiz gerekiyordu. 2 faktörlü doğrulama önemli işlem öncesinde soruluyordu.
Bugün ise, 2 faktörlü kimlik doğrulaması ile İnternet Bankacılığı’na giriyoruz ancak İşlem Doğrulama Kodu büyük ihtimalle sorulmuyor. Şu durumda bir fark yok gibi gözüküyor öyle değil mi? Aslında pek öyle değil. İşlem doğrulama kodu gönderilen müşteri, aldığı SMS mesajda hangi işlem için tek kullanımlık şifre aldığı konusunda bilgilendiriliyordu.
Örneğin, gönderilmiş olan İşlem Doğrulama Kodu’nun “Şu hesabınızdan şu kişinin şu hesabına şu miktarda EFT için” gönderildiği Cep telefonuna gelen SMS mesajda bulunuyordu. Bu neyi mi değiştirir? Birazdan değineceğim dediğim konuya gelmiş bulunuyoruz.
Müşteri bilgisayarlarına çeşitli yollar ile bulaşmış zararlı yazılımlar artık oldukça akıllandılar. Kullanıcını şifrelerini çalmak yerine müşterinin açtığı oturum üzerinden yetkisiz işlem yapabiliyorlar. “Man in the middle” ve “Man in the Browser” gibi saldırılar 2 faktörlü kimlik doğrulama yöntemleri tarafından engellenemeyecek saldırı türleridir. Mesela, arkadaşınıza yapacağınız EFT gönderilmeden hemen önce başka bir hesaba kolayca yönlendirilebilir.
Eğer işlem öncesi gönderilen bir İşlem Doğrulama Kod’una sahip olsaydınız, arkadaşınıza yaptığınız EFT’nin başka bir hesaba yönlendirilmiş olduğunu gelen SMS mesajda bulunan İşlem Doğrulama Kodu’nu okuyarak fark eder ve işlemi onaylamazdınız.
Bugün, İşlem Doğrulama Kodu uygulaması, İnternet Bankacılığı girişinde kullanılan 2 faktörlü kimlik doğrulaması yöntemi sebebiyle çoğunlukla kaldırılmış durumda bulunuyor. (Ya da kullanıcıların tercihine bırakılmış ancak varsayılan halleri kapalı durumda bulunuyor)
Müşterilerin gizli bilgilerinin dahi görüntülenmemesini isteyen BDDK, İnternet Bankacılığı girişinde 2 faktörlü kimlik doğrulamayı getirirken bankaların İşlem Doğrulama Kodu’nu devre dışı bırakacağını hesaba katmamış olabilir. Ya da belki bugün çok sık rastlamasak da, önümüzdeki dönem oldukça sık rastlayacağımız Man in the middle/browser saldırılarını dikkate almamış olabilir.
Tabi burada bulunan riskin sorumluluğunu sadece, durumun etkisini hesaplayamamış BDDK’ya değil, İnternet Bankacılığı girişlerinde 2 faktörlü kimlik doğrulamaya geçildiği için İşlem Doğrulama Kodu sormaktan vazgeçen bankalara da vermek gerekir.
Bu durumda hem girişte hem de İşlem Doğrulama noktasında tek kullanımlık şifre kullanırım dediğinizi duyar gibi oluyorum. Bankaların bu konuda yaptıkları hesaplar tahmin edebileceğiniz gibi maliyet oluyor. Yüz binlerce müşteri için zaten girişte gönderilen SMS mesajlara bir de İşlem Doğrulama Kod’larını eklemek istememiş olacaklar ki mevcut durumla karşı karşıya kalmış durumdayız. Ama gene de bir konuyu aklımızdan çıkartmamakta fayda var. Bilgi teknolojileri güvenliğine yaptığınız yatırım sahip olduğunuz risk den daha büyük olmamalıdır. Bu yatırım kimse tarafından kabul edilmez. Anlayabileceğiniz üzere, Man in the middle/browser gibi saldırılardan canımız yanmadan İşlem Doğrulama Kodu’nun zorunlu hale gelmesini beklememek gerekiyor.
Şu durumda bu yazıdan ne mi sonuç çıkarmalıyız? Bence kullandığınız İnternet Bankacılığı hesaplarında İşlem Doğrulama Kodu seçimlik olarak sunuluyorsa mutlaka etkinleştirin, gelen İşlem Doğrulama Kodu mesajlarının doğruluğunu kontrol edin.
İnternet Bankacılığı’nın güvenliğini sağlayabildik mi? Anlatmak istediklerim henüz bitmedi. Sonraki yazılarımda bahsediyor olacağım.
Murat Kültür
Bilgi Güvenliği Danışmanı
CISSP
