Ana Sayfa » Yazarlar

Yeni yılda can sıkıcı BDDK hediyesi…

Ayhan Sevgi Tarafından 3 Ocak 2010
17
2.8K Görüntülemeler


Yeni yılda midemde kramplar yaratan bir uygulamayı BDDK hepimize hediye etmişe benziyor. Benim çalıştığım bankalar bir aydır beni uyarıyordu zaten. İnternet banka hesabıma ulaşabilmek için standart login, parola, şifre üçlüsü artık yeterli değil. İki yol öneriliyor: SMS doğrulama metodu veya şifrematik denilen minik (ve uyduruk) donanımlar veya bunların cep telefonlarında koşan yazılım uygulamaları.
SMS doğrulamada hesabınıza girebilmek için daha önce tescil ve kaydedilmiş cep telefon numarasına 6 veya 8 rakamlı bir sayı gönderiliyor ve siz login, parola ve şifreye ek olarak bu dördüncü ve bir defa kullanılabilen bu bilgiyi giriyorsunuz. Şifrematik uygulamasında ise cep telefonunda koşan bir yazılım veya uyduruk ve ucuz bir donanım size bu dördüncü bilgiyi (SMS bağlantısına gerek duymadan) üretiyor.
Böylece daha güvenli oluyorsunuz. Öyle mi gerçekten? Neresinden bakarsanız bir yanlış var; anlatayım:
• BDDK gibi bir kurumun böyle spesifik bir teknoloji ve metodu zorlaması yanlıştır. BDDK, bankalardan daha çok önlem almasını istemeli ve spesifik uygulamayı bankalara ve müşterilerine bırakmalıdır. BDDK bilgi güvenliği konusunda bir uzmanlığa sahip değildir, olduğunu hiç iddia etmemelidir.
• SMS doğrulama güvenli bir teknoloji değildir. Kolaylıkla elde edilip kırılabilmektedir. Dilerseniz, 29 Aralık’taki haberlerde Karsten Nohl isimli Alman’ın neleri başardığını araştırın.
• SMS güvenilir bir teknoloji değildir. Ağustos ayındaki selde, bir gün boyunca 2 milyona yakın abonenin cep telefonu bağlantısını kaybettiğini bilenler bilmeyenlere anlatsın.
• Yurtdışı seyahatlerde size gönderilen bu SMS’lerden yüzde kaçı elinize geçecek, BDDK burada bilgili bir kurum mu?
• Şifrematik veya cep telefonunun evde, arabada bırakılması veya kaybolması dolayısıyla, banka hesabına hızlı bir şekilde ulaşamamanın ortaya çıkaracağı zararları BDDK karşılamayı düşünüyor mu? Bence, düşünmesi gerekir çünkü böyle bir spesifik metodu bu kurum zorlamaktadır.
Ben bir banka müşterisi olarak BDDK’nın tanımladığı şekilde daha güvende olmayı değil hesabıma daha hızlı ulaşmayı tercih ediyorum. Derdimi kime anlatacağım?

Ayhan Sevgi

BThaber Yayın Koordinatörü




Yazar

Ayhan Sevgi

BThaber Yayın Koordinatörü

17 Yorumlar

Cemal Altıntaş
15 Ocak 2010 at 17:43
Reply

“BDDK bilgi güvenliği konusunda bir uzmanlığa sahip değildir, olduğunu hiç iddia etmemelidir.”_x000D_
_x000D_
-Nereden biliyorsunuz? “Olduğunu hiç iddia etmemelidir” ne demektir? BDDK'nın size sormaması bilgi güvenliği konusunda doğru adımlar atamayacağı manasına mı gelmektedir? Bilgi güvenliği konusunda ahkam kesme yetkisini sadece siz mi haizsiniz? _x000D_
_x000D_
“Ben bir banka müşterisi olarak BDDK’nın tanımladığı şekilde daha güvende olmayı değil hesabıma daha hızlı ulaşmayı tercih ediyorum. Derdimi kime anlatacağım?”_x000D_
_x000D_
-BDDK insanların hesaplarına daha hızlı ulaşmalarından sorumlu değildir. Bundan banka sorumludur. Buna rağmen, mevduat sahiplerinin mevduatlarının güvenliğinden ve bankacılık sisteminin sürekliliğinden sorumludur. Dolayısıyla son paragraftaki kuruntu BDDK'yı “ırgalamaz”. _x000D_
_x000D_
“Bence, düşünmesi gerekir çünkü böyle bir spesifik metodu bu kurum zorlamaktadır.”_x000D_
_x000D_
-BDDK 3 faktörlü kimlik doğrulamadan “en az ikisinin kullanımını” zorlamaktadır. Bankalar (pratikte) bunlardan “kullanıcının sahip olduğu” ve “kullanıcının bildiği” faktörlerini seçmektedirler. Bankalara herhangi bir spesifik zorlama söz konusu değildr._x000D_
_x000D_
Ayrıca, kullanıcıların ihmalleri kendi sorumluluklarını BDDK'ya yüklemez. Sizin şifrenizi bir kağıda yazıp masanızın üzerine bırakmanız veya kredi kartınıza sahip çıkamamanız BDDK'ya herhangi bir sorumluluk yüklemez._x000D_
_x000D_
_x000D_
Saygılar.


Cetin Kaya Koc
18 Ocak 2010 at 21:06
Reply

Cemal Altintas'a:_x000D_
_x000D_
Baslamisken, 2, 3 ve 4. paragraflara da cevap verin; bende hepsine bir cevap yazayim. Bu sorularin cevabini siz veya BDDK biliyormu:_x000D_
* SMS doğrulama güvenli bir teknoloji değildir. Kolaylıkla elde edilip kırılabilmektedir. Dilerseniz, 29 Aralık’taki haberlerde Karsten Nohl isimli Alman’ın neleri başardığını araştırın._x000D_
• SMS güvenilir bir teknoloji değildir. Ağustos ayındaki selde, bir gün boyunca 2 milyona yakın abonenin cep telefonu bağlantısını kaybettiğini bilenler bilmeyenlere anlatsın._x000D_
• Yurtdışı seyahatlerde size gönderilen bu SMS’lerden yüzde kaçı elinize geçecek, BDDK burada bilgili bir kurum mu?_x000D_
_x000D_
CKK


Elif Kilit
18 Ocak 2010 at 23:01
Reply

Merhaba Sn Cemal Altıntaş_x000D_
_x000D_
Sn. Çetin Hocamın yazısında “nihayi olarak” vurgulamak istediği;_x000D_
BDDK 'nin Bilgi Güvenliği konusunda doğru adımlar atılabilmesi için konusunda uzman,( akademik temeli olan) bir birime ya da organizasyona sahip olmasının önemidir._x000D_
_x000D_
Sn. Çetin Hocamın ve Sizin müsadenizle bu küçük açıklamayı getirmeyi uygun buldum.Çünkü Hocamın özünde belirtmeyi hedeflediği noktaya ulaşmanız daha sağlıklı yorumlanızı sağlayarak iyi niyetli bir tavsiye niteliğinde katkısı olacağına inanıyorum._x000D_
_x000D_
Saygılarımla_x000D_
Elif Kilit


Berk Sunar
18 Ocak 2010 at 23:07
Reply

Cetin beye katiliyorum ve bu konudaki cesur cikisini destekliyorum. Kurumlarin ustten bakan vatandasi tebaa ve uzmanlari subje olarak goren bakisini degistirmesi gerekir. Yaptik oldu sorgulanamaz gibi bir tavrin kimseye faydasi yok. Yalniz ben BDDK'ya gore bankalari da biraz suclu goruyorum bu konuda._x000D_
_x000D_
Ozellikle guvenlik gibi pratigi zor bir konuda ortalik yanlis uygulamadan gecilmiyor. Mesela kimlik no zorunlu hale geldi. Cok guzel, bircok seyi kolaylastirdi. Ama tabi ki hemen kimlik tanima icin (mesela hesap erisim vs.) kullanilmaya baslandi ve zaaf olustu. Isin aci yani Amerikada 20 sene once yapilan hata Turkiyede tekrarlandi. Ayni problemleri simdi SMS tanima sisteminde gorecegiz. Siradan kullanicilara gereksiz zorluk cikarildi ve maalesef GSM ve SMS'in ciddi bir guvenligi yok._x000D_
_x000D_
Cemal Altıntaş'a:_x000D_
BDDK veya herhangi bir kurumun icraatini her Turk vatandasinin sorgulama hakki ve hatta sorumlulugu vardir. Kaldi ki bir guvenlik uzmaninin bu konuda gorus bildirmesi (ki bu goruse katilirsiniz katilmazsiniz hic onemli degil) bir hizmettir._x000D_
_x000D_
“-BDDK insanların hesaplarına daha hızlı ulaşmalarından sorumlu değildir.”_x000D_
Tabi ki sorumludur, ne demek. Alinan her kararin kimleri nasil etkilecegini dusunmek zorunda BDDK veya herhangi bir kurum. _x000D_
_x000D_
“-BDDK 3 faktörlü kimlik doğrulamadan “en az ikisinin kullanımını” zorlamaktadır. Bankalar (pratikte) bunlardan “kullanıcının sahip olduğu” ve “kullanıcının bildiği” faktörlerini seçmektedirler. Bankalara herhangi bir spesifik zorlama söz konusu değildr.”_x000D_
_x000D_
Bu aciklama icin tesekkur ederim. Yani gercekten biraz da bankalarda problem.


Cetin Kaya Koc
20 Ocak 2010 at 03:05
Reply

Muglakliktan kurtulmanin yolu, referans vermek. Eger bilen varsa ve ortalikta BDDK direktifi diye bir dokuman varsa, ornegin, BDDK websayfasinda, okumak isterim. Bir link yeterli. Banka, BDDK bizi SMS kullanmaya zorluyor derken, dogru soylemiyorlarmi yani? Nicin dogru soylemesinler! Musteri ile muhatap olan ve tartisan banka; Nasilsa BDDK Ankara'da zirhlar icinde. Bir seye aldirdigi yok.


Umut Edip Duran
21 Ocak 2010 at 12:54
Reply

Ilgili tebliğin yayınlandığiı resmi gazete sayısı 26643 ve tarihi 14.09.2007, adı ise “bankalarda bilgi sistemleri yönetiminde esas alınacak ilkelere ilişkin tebliğ” miş._x000D_
http://www.mevzuat.gov.tr/Metin.Aspx?MevzuatKod=9.5.11621&MevzuatIliski=0&sourceXmlSearch=ilkelere_x000D_
_x000D_
Ayrica aynı dökümana http://www.bddk.org.tr adresinden –>mevzuat–>bankacilik kanununa ilişkin duzenlemeler kismindan da ulasilabiliyor. _x000D_
_x000D_
Tartışılan konu 27. maddede geçiyormuş. _x000D_
_x000D_
Ilginç bir kaç tespit:_x000D_
Tebliğ 2007 yılında çıkarılmış._x000D_
_x000D_
Iyi günler. _x000D_
Gerçekten de SMS kullanımına yönlendirilmesi gibi bir durum yok. Bankaların kolaya kaçması sözkonusu olmuş gibi.


I. Can
26 Ocak 2010 at 12:27
Reply

Bu sayfaya tesadufen ulastim ve yaziniz icin cok tesekkurler! Ben yurtdisinda, Amerikada oturuyorum ve internet bankaciligindan yararlanabilmem icin benim BDDK'ya gore Turkiye'de veya avrupada ikamet etmem gerekiyor. Haftalardir ugrasiyorum hesap bilgilerimi alabilmem icin fakat karsima hep bir duvar cikiyor. Benim Amerika'daki cep telefonuma bankalar SMS gonderemiyorlar, ben internet bankaciligi nasil yapacagim? Neden boyle sacma sapan ve anlamsiz bir sisteme girme zorunlulugunu duydu BDDK, anlamis degilim.


Umut Edip Duran
26 Ocak 2010 at 16:54
Reply

Bilgi teknolojilerini, güvenlik uygulamalarını yücelen, adı BTHABER olan bir haber sitesinde hem yazarların hem de bu siteyi takip eden okurların internet bankacılığında dolandırıcılığı azaltacak ve halihazırda tüm dünyada güvenlik otoriteleri tarafından yeterince güçlü ve güvenilir olduğu dile getirilen “iki faktörlü kimlik doğrulama” uygulamasına bu denli şiddetlr karşı çıkmalarını anlamakta zorlanıyorum. Üstelik bu “2faktör” uygulamasını zorunlu kılan yöntem iki yıl önce 2007 yılında çıkarılan bir mevzuatla zorunlu hale getirilmiş, bu iki sene boyunca banka tarafından müşterilere hiç duyuru yapılmamış mı? Benim bankam beni defalarca uyardı mesela. Eğer uyarı yapmayan banka varsa suçlu bankadır ve sağlamakta olduğu işlem sürekliliğini sağlamadığı için ilgili bankaya ceza yazılmalıdır. Yok eğer banka müşterisine uyarı yaptıysa ve müşteri bu uyarıyı dikkate almadıysa, kimse kusura bakmasın, bu durumda bence banka suçsuzdur müşteri de ihmalinin cezasını çekecek veya ilgili mevzuatta öngörüldüğü şekilde iki faktörlü kimlik doğrulama yöntemlerinden birini kabul edecek ve uygulayacaktır. _x000D_
_x000D_
Ayrıca yazının başından son yoruma kadar tüm metinlerde SMS in zorunlu olduğu ve güvensiz bir yöntem olduğu için güvenliği artırmayıp azalttığı görüşü dile getiriliyor. Yukarıdaki yorumimda yazmış olduğum linkten mevzuatın ilgili maddesi olan 27.maddesini daha dikkatli okuyun lütfen. Burada da açıkça yazıldığı üzere zorunlu kılınan tek şey “2 faktörlü kimlik doğrulama” dır, SMS zorunlu değildir, hatta teşvik bile edilmemiş, metni dikkatle okuyanlar görebilirler.


Cetin Kaya Koc
29 Ocak 2010 at 10:13
Reply

Umut bey, SMS yanlis bir uygulamadir. Sebeplerini acikladim. BDDK bunu istemedi demeyin simdi. Butun bankalar sozbirligi edip, ayni seyi mi uygulamaya karar verdiler. Ben bankama soruyorum, onlar bana BDDK istedigi icin yapmak zorundayiz diyorlar._x000D_
CKK


Umut Edip Duran
29 Ocak 2010 at 17:28
Reply

Çetin Bey, yukarıdaki mesajımda BDDK nın tebliğinin linkini verdiğimi hatırlıyorum. 27.maddeyi dikkatle okuyunca aslolanın SMS olmadığı anlaşılıyor. _x000D_
_x000D_
Bu mesajı okuyan diğer arkadaşlardan rica ediyorum, yukarıdaki mesajlarda verdiğim linke lütfen baksınlar, BDDK nın SMS i zorlayıp zorlamadığına karar versinler. O metni okuyup hala BDDK bu uygulamayı zorunlu kılıyor demek çok entetesan bir durum. _x000D_
_x000D_
Tartışmayı sms in gûvenli olmayışı argümanı üzerinden yapıyorsunuz, ćok çok haklısınız. Ama ben de karşı argüman olarak “zorunlu tutulan sms değil, 2faktör kimlik doğrulamadır diyorum” Ve diğer okurlar da kendi gözleriyle görsünler diye kanun metninin linkini verdim.


Cemal Altıntaş
26 Nisan 2010 at 18:36
Reply

Evet, linkteki ilgili maddeyi okudum. Bankalar mevzuyu işlerine geldiği gibi anlatmaktalar anlaşılan. Çetin Hoca'nın Bankaların anlatımına ihtiyaç duyması benim garibime gitti doğrusu. Yönetmelik 2007'de yayınlanmış ve bankalara 3 sene geçiş süresi verilmiş. Ayrıca nispeten daha güvenli bir yol olan Mobil İmza teşvik edilmiş._x000D_
_x000D_
SMS doğrulama güvenli bir teknoloji değil evet. Bu herkesin malumu, basit bir google arattırması bile bunu anlamak için yeterli. Zaten tek kullanımlık şifrenin mantığı ek bir faktör olarak kullanılmasından ibaret. Kendi başına SMS üzerinden tek kullanımlık şifre sadece attack surface'ı azaltmaya yönelik bir önlem. Yani sizin password'ünüzü ele geçiren adam telefonunuza (veya daha doğru bir ifadeyle SIM kartınıza) sahip olmadığı için hesabınızı boşaltmakta “zorlanacak”. Banka uygulamalarında genellikle 1-3 dakikada geçersiz hale gelen bir tek kullanımlık şifre üretip bunu ek bir faktör olarak kullanmaktan ibaret. Kötü niyetli bir kişinin hesabınıza girebilmesi sizin şifre bilgilerinizi ele geçirmiş olması, sizin telefonunuzu (sinyal bazında) dinlemesi (ki bunun için de sizin sinyallerinizi alacak coğrafi yakınlıkta olması), 3 dakikadan az bir süre içinde bunu çözmesi (2 TB'lık bir rainbow table'a ihtiyaç var bunun için) ve sizden önce de bu SMS'i sisteme girmesi gerekecek. Bununla olay çözülmüş olacak mı? Pek öyle gibi görünmüyor. Zira EFT hesabı ekleme gibi Internet bankacılığı suçlarının belkemiği olan şeyleri yapabilmesi için tekrar SMS trafiğini yakalaması, bunu çözmesi ve girmesi gerekecek. Bunun İnternet Bankacılığı üzerinden işlenen suçları ne derece azalttığına ilişkin herhangi bir veriye ulaşamadım internetten. Muhtemelen mali suçlarla ilgili emniyet birimlerinin veya yine BDDK'nın bu konuda ellerinde veri olabilir (tabi bu hesaplanabilir bir veri midir ondan da pek emin değilim)._x000D_
_x000D_
Bildiğim (ve gözlemlediğim) kadarıyla BDDK devlet kurumları içinde kendi denetlemekle yükümlü olduğu sektörle en fazla içli dışlı olan kurum. Yöneticilerinin bir kısmı (başkanı da dahil olmak üzere) sektör kökenli insanlar. Sık sık sektörde BDDK kökenli yöneticiler işe başlıyorlar (Genel Müdür Yardımcısı, Yönetim Kurulu Üyesi vb. görevlerde). Devamlı olarak bankalarda denetçileri (veya murakıp ve uzmanları) bulunuyor. Yani işin mutfağındalar. Çetin Hoca Ankara'da herkesin zırhlar içinde olduğu zehabına kapılmış olabilir. Hocanın bunu neye dayandırdığını öğrenmek isterim. Muğlaklıktan kurtulmanın yolu referans vermek._x000D_
_x000D_
Son olarak OTP üreten cihazlar öyle pek de dandik cihazlar değil. Kriptografik olarak güçlü bir rastgelelik düzeyine sahip stringler üreten cihazlar. Başlangıç seed'i bankada ve cihazın içinde aynı değere sahip ve zamanı da işin içine katarak string üretiyorlar. Bu kadar kolay kırılabilen cihazlar olsalardı (ki kimsenin bunları kırmaya çalıştığını da zannetmiyorum, kötü niyetli kişiler genelde daha zayıf halka olan insana -veya daha zayıf bir halka varsa ona- yönelirler) dünya devi bankalar ve PayPal gibi dünyaca yaygın servis sunan firmalar bunları kullanmazlardı._x000D_
_x000D_
Saygılar.


Cemal Altıntaş
26 Nisan 2010 at 18:46
Reply

@Elif Kilit_x000D_
_x000D_
Elif Hanım, BDDK'dan gelen Doktor unvanlı bir uzman ODTÜ Bilişim Enstitüsü'nde ders vermekte. Akademik manada pek de öyle eksik bir kalır taraflarının olduğunu sanmıyorum. Başka bir doktoralı bilişim uzmanının sunumuna da katılma imkanım olmuştu. Kaç tane doktora düzeyinde bilişim uzmanlarının olduğundan emin değilim. Ama bu size bir fikir verir umarım._x000D_
_x000D_
Ayrıca dışarıdan bu konuda bir danışmanlık alıp almadıklarını bilmiyorum. Ama literatür ortada. Kolunuzdaki saati size söylemek için danışman tutmanın bir anlamı yok._x000D_
_x000D_
Saygılar.


Cemal Altıntaş
26 Nisan 2010 at 18:58
Reply

@Berk Sunar_x000D_
_x000D_
“-BDDK insanların hesaplarına daha hızlı ulaşmalarından sorumlu değildir. Bundan banka sorumludur.”_x000D_
“Tabi ki sorumludur, ne demek. Alinan her kararin kimleri nasil etkilecegini dusunmek zorunda BDDK veya herhangi bir kurum.”_x000D_
_x000D_
BDDK'nın görevleri Bankacılık kanununda yazıyor. Arzu ederseniz bir göz atıverin. Muğlaklığı gidermenin yolunu siz de keşfedin; okuyun._x000D_
http://www.bddk.org.tr/WebSitesi/turkce/Mevzuat/1582bankacilik_kanunu.pdf


Cetin Kaya Koc
3 Mayıs 2010 at 07:09
Reply

Bir New Yorker dergisi karikaturunde, bir kopek bilgisayarin basinda birseyler yaziyor ve kendisine hayretle bakan diger bir kopege sunu diyor: “On Internet nobody knows you are a dog”. Simdiye kadar bana satasmaktan ve “ders kitaplarindan” information security alintilari yapmanin disinda hic bir soruya ve elestiriye cevap vermeyen, Bay Cemal Altintas veya her kimseniz (perhaps, a pet?), sana cevap yazmayacagim. Bana gelen emailde adresiniz “alphonse.green” olarak geciyor. Komik olmayin Bay Alphonse Green ve benden cevap filan beklemeyin. Benim muhatabim BDDK. – Cetin Kaya Koc


Umut Edip Duran
19 Eylül 2010 at 11:32
Reply

Muhatabına “hayvan” diye hitap eden bir akademisyen… Ne kadar da yaratıcı ve seviyeli bir hitap olmuş.


Cemal Altıntaş
24 Kasım 2010 at 05:45
Reply

Küçük bir düzeltme;_x000D_
“Bay Cemal Altintas veya her kimseniz (perhaps, a pet?), sana cevap yazmayacagim.”_x000D_
“Her kimseniz” dedikten sonra “sana” yerine “size” kullanmak gerekir. Bu Türkçe'nin basit bir kuralıdır. “Sana” diyecekseniz de “her kimsen” demeniz gerekir._x000D_
_x000D_
Ayrıca ben buraya bir yorum yazıyorum ve siz de başka bir yorum yazıyorsunuz. Her ikimizin de New Yorker'daki karikatüre muhatap olma ihtimali eşit. “Ben oynamıyorum”culuğa ve “Benim muhatabım değilsin”ciliğe ben ilkokulda rastlamıştım en son. Beni geçmiş günlere götürdünüz. Sağolun.


Orhan Aydın
22 Aralık 2011 at 16:18
Reply

Ele alınış ve söylemler bir yana bırakılırsa, yazıda değinilen temel yargılara hak vermemek elde değil. Sektörün içinden bir deneyim ve birikim ile, konuyu aşağıda bağlantısı bulunan, “Kimlik Doğrulama-Faktörler ve Bilişenleri” başlıklı makalede, “BDDK Tebliği ve İki Faktörlü Kimlik Doğrulama” alt başlığında irdelemiştim. İnternet bu! Anahtar sözcüklerle dahi rastgelinen/varılan böyle platformların ileriye dönük bilgi birikimi sağlaması adına geç de olsa eklemek istedim. Saygılarımla, Orhan Aydın. _x000D_
http://www.bilgiguvenligi.gov.tr/kimlik-yonetimi/kimlik-dogrulama-faktorler-ve-bilesenleri.html


Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir