İÇİNDEKİLER | 1 |
| |
“Güvenlik Önemlidir” | 2 |
| |
FTP GÜVENLİĞİ | 2 |
| 2 |
| 2 |
| 3 |
| 3 |
| 3 |
| 3 |
| 4 |
| |
SUNUCU GÜVENLİĞİ | 5 |
| 5 |
| 5 |
| 6 |
| 6 |
| 7 |
| |
E-TİCARET’TE GÜVENLİK | 7 |
| 8 |
| 9 |
| 9 |
| 12 |
| 12 |
| 12 |
| 12 |
| 12 |
| 12 |
| 13 |
| 13 |
| 13 |
| 13 |
| 13 |
| 13 |
| 14 |
| 14 |
| 14 |
| 14 |
| |
KAYNAKLAR | 14 |
GÜVENLİK ÖNEMLİDİR
Günümüzde artik internet tabir yerindeyse her eve girmistir. Dünya ticareti de artik internete dogru bir yönelme göstermektedir. Kullanicilar evlerinden çikmadan istedikleri ürünleri sadece bir tiklamayla siparis edebilir bir duruma gelmislerdir.
Ancak teknoloji, internetin bu yaygin kullanimina paralel olarak bir çok problemi de beraberinde getirmektedir. Internet kullanicilari (aslinda interneti hiç kulanmayan kisiler bile ) internet üzerinden alis-veris yapma konusunda hevesli olduklari kadar güvenli alis-veris yapma ve bilgilerinin çalinmasi konusunda da endise tasimaktadirlar. Güvenlik konusunda, örnek olarak bir bankanin sistemlerinin hacklendigi ili ilgili, internette çikan haberler kullanicilarin bu endiselerinin daha da artmasina neden olmaktadir.
Bu nedenle artik internette klasik ticaret anlayisinin ve yönetiminin yaninda internet güvenligi konusuna da gerekli ilginin gösterilmesi gerekmektedir. Zaten bu nedenledir ki dünyada bir çok sirket IT bütçelerinde güvenlik alanina da büyük paylar ayirmaktadirlar. Infonetics Research'ün yaptigi bir arastirmaya göre güvenlik ürünleri konusunda yapilacak harcamalarin 2 kat artmasi bekleniyor. Hatta güvenlik alaninda boy gösteren bir çok sigorta sirketleri de mevcuttur. Tüm bunlarin sebebi daha güvenli bir sisteme sahip olma ve daha da önemlisi kullanicilarin güvenini kazanmaktir.
Internet güvenliginde bir çok degisik yönde tehditler vardir. Örnek olarak web sitelerinin hacklenmesini verebiliriz. Web sitelerinin hacklenmesi, bir sirketin önemli bilgilerinin çalinmasina neden olmasa bile, çok daha da önemli olan prestij kaybina neden olmaktadir. Kullanicilar bir sirketin web sitesinin hacklendigini görünce bu sirketin güvenlik ve gizlilik konusunda yeterli özeni göstermedigini düsünüp o sirketle olan ilskilerinde daha temkinli davranmak durumunda kalmaktadirlar. En sonra geçen sene içinde olan ve dünya yazilim devi Microsoft'a karsi yapilan bu tip saldirilar yine bu sirketin prestij kaybina yönelik saldirilardir.
Bunun disinda sirketlerin bilgisayar sistemlerine girilerek kredi karti ve müsteri bilgileri gibi önemli bilgilerin çalinmasi o sirket için çok daha kötü bir durumdur. Tabi bu gibi olaylar her zaman ve siklikla olan olaylar degildir ancak bir kere bu tip bir saldiriyla karsilasmak sirketin islerini dogrudan etkilemektedir. Bu yüzden yöneticiler tarafindan fazla önemsenmemektedir, tabi baslarina böyle kötü bir kabus gelinceye kadar.
Diger yandan hükümet sitelerine karsi yapilan saldirilar ise daha çok siyasi anlamda olmakta ve o ülkenin dünya çapinda kötü tanitimina neden olmaktadirlar.
Iste bu tip olaylar aslinda kullanicidan tutunda, sistem yöneticileri ve sirket yöneticilerine kadar degisik gruplarin bu konuda ki bilgisizliginden kaynaklanmaktadir.
Genelde güvenlik konusunda yaygin ama yanlis bir görüs vardir. Herkes güvenligin herzaman baskalari tarafindan saglanacagina inanmaktadir. Sistemine bir firewall yazilimi yükleyen bir sistem yöneticisi artik sistem güvenliginden o firewall ve destek veren kisilerin sorumlu oldugunu düsünmektedirler. Aslinda firewall artik güvenlik konusunda olmazsa olmaz bir araç haline gelmistir ancak tek baçina yeterli degildir. Bunun yaninda sistemimize özel olarak almamiz gereken önlemleri ve saldirilarin nereden gelebilecegini bilmemiz gerekmektedir. Ancak bu sekilde gerçek bir güvenlikten bahsedebiliriz.
Maalesef ülkemizde internet kullanicilari güvenlik konusunda yeterli bilgiye sahip degil ve bu yönde yapilan çalismalar da çok yetersizdir durumdadir. Özellikle sadece yaptigi ise yogunlasan sirketler güvenlik konusunu göz ardi etmektedirler. Bu alanda yapacaklari harcamalarin bosa gidecegini ve gereksiz oldugunu düsünmektedirler. Tabi bu yine bilgisizlikten kaynaklanmaktadir. Aslinda güvenlik konusunda yapilan harcamalarin önemi saldiriya ugrayan bir sirketin kaybettigi prestij ve is kaybina bakilarak bile anlasilabilir!
Ülkemizde de son zamanlarda hacking konusunda çok fazla faaliyet vardir. Özellikle script kiddie dedigimiz kisiler tarafindan yapilan bu tip saldirilar maalesef basarili sonuçlanmaktadir. Halbuki çok basit bazi önlemlerle bu tip küçük önemsiz ama sonuçlari ölümcül olabilecek saldirilara engel olabiliriz.
Bu nedenle hangi kesimden olursa olsun artik bir internet kullanicisinin internet güvenligi konusunda bilgi sahibi olmasi kaçinilmaz bir duruma gelmistir. Ancak bu sekilde internetteki kötü niyetli kisilere karsi kendimizi koruma yollarini bilir ve daha iyi önlemler alabiliriz.
Internetteki teknolojilerin gelismesine ve karmasiklasmasina karsin saldirganlarin kullandiklari yöntemler de gelismekte ve degismektedir. Bu nedenle güvenlik konusunda kendimizi her zaman gelistirmeli ve tedbirli olmaliyiz...
Çünkü "güvenlik bir çözüm degil bir süreçtir."
FTP GÜVENLİĞİ
İlk olarak ftp yolu ile bir web sitesinin ya da web sunucusunun kırıldığını inceleyeceğim. Öncelikle aşağıda da devamı görüldüğü gibi FTP nin ne olduğu ve ilişiklerinin ne olduğunu açıklamak gerekir. Aslında ftp de en önemli açık anonim ftp kullanımıdır. Güvenlik seviyesinin üst düzeyde olması istenen sistemlerde anonim ftp kullanımı oldukça sakıncalıdır. Herkesin ftp servisini kullanabilmesi iyi niyetli hizmet veren siteler için olumludur ancak kötü niyetli kişiler bu özellik sayesinde gayet rahat biçimde sunucuya girebilir, belgelerinizi silebilir, değiştirebilir ya da iz bırakmadan çalabilir. Kurumların veritabanlarına ulaşıldığında o kurumun güvenliğinden şüphe etmek gerekir. Ftp yolu ile hack olayını engellemek için yapılması gereken dizin izinlerini iyi biçimde düzenlemektir. Yetkili kişiler ancak girmeleri gereken yerlere ulaşabilmeli. Şifrelerin doğru seçimi de ftp de önemli bir unsurdur. Yazının devamında da belirtileceği gibi iyi seçilmemiş şifreler sistem güvenliğini önemli ölçüde yok edecektir. Şimdi FTP ile ilgili genel bilgilere göz atalım.
FTP Nedir?
FTP (File Transfer Protocol) Internete bağlı bir bilgisayardan diğerine (her iki yönde de) dosya aktarımı yapmak için geliştirilen bir internet protokolü ve bu işi yapan uygulama programlarına verilen genel addır. İlk geliştirilen internet protokollerinden biridir. FTP protokolü ile bir başka bilgisayardan bir başka bilgisayara dosya aktarımı yapılırken, o bilgisayar ile etkileşimli-aynı anda (on-line) bağlantı kurulur ve protokol ile sağlanan bir dizi komutlar yardımıyla iki bilgisayar arasında dosya alma/gönderme işlemleri yapılır.
Anonymous FTP'de dosya gönderilmesi ve incoming dizininin kullanımı
FTP'de bağlandığımız makinaya dosya göndermek istersek, bunu PUT komutu kullanarak yapıyoruz. Anonymous FTP'lerde bağlandığımız makinaya bir dosya gönderme (yani yazma) hakkımız -genellikle- yoktur. FTP siteleri, kullanıcıların belli bir süre dosyalarını koyabilmeleri için bir dizin açmışlardır : bu dizinin adı incoming. genellikle kök (root) dizininde, ya da pub'ın altında (pub/incoming) olarak bulunur. Anonymous FTP lerde, sadece incoming dizinine yazma yetkimiz vardır. Buraya alt dizin açabilir, program kopyalayabiliriz (PUT ile). incoming özellikle, kullanıcıların internet'te buldukları ilginç programları başkaları ile paylaşabilmeleri için güzel bir ortam. Bazı sitelerde incoming kullanımı kısıtlanmış olabilir. Bu kısıtlamalar değişiktir. Dizin açma, dosya upload etme (gönderme), dosya silme, incoming içindeki dosyaları görme, incoming içindeki dosya sayısı ve uzunluk limitleri vb gibi özelliklerden bir kısmı ya da tamamı iptal edilmiş olabilir.
Incoming kullanımında uymamız gereken bazı kurallar var :
Herşeyden önce, incoming dizini herkesin kullanımına açık. Bu yüzden, fazla sayıda ve büyüklükte dosyayı bu alanda TUTMAMALIYIZ.
incoming'e koyduğumuz bir dosyayı bir süre sonra silmeyi unutmamalıyız. Ancak, başkalarının upload ettiği dosyalara dokunmamamız lazım.
incomin içinde lisanslı yazılımlar, uygunsuz dosyalar, prpoaganda içeren dosyalar vb bulundurmamalıyız.
Eğer bir program koymuşsak (söz gelimi unzip.exe), aynı isimde kısa bir açıklama dosyası da koyup programın kısa bir tanımını burada vermeliyiz (söz gelimi, unzip.txt -dosya içinde, pkzip.exe'nin ZIP dosyalarını açan bir DOS programı olduğunu söyleyebiliriz).
incoming'in uygunsuz kullanımına rastladığımızda, ilgili FTP Sitesi yöneticisine haber vermeliyiz.
Anonymous FTP'de, şifre olarak lütfen e-mail adresinizi doğru olarak girin. Bazı FTP merkezleri, e-mail adresinin uygunsuz girilmesi (ya da girilmeyip boş geçilmesi) durumunda FTP yapmanıza izin vermemektedir.
ANONYMOUS FTP nedir?
FTP işlemi sırasında, güvenlik olarak, bağlanacağımız makinadaki kullanıcı numarası (User Name) ve parola (Password) bilgilerini bilmemiz gerekir (Program, bunları bize sorar). Bağlanılan makina, kişiye özel ve parolasını sadece bizim bildiğimiz bir makina olabileceği gibi, herkese açık bir arşiv merkezi de olabilir. Böyle merkezlere herkesin kolayca erişip dosya almasını sağlamak için tek tip bir kullanıcı numarası tanımlanmıştır: anonymous ya da ftp .
Bu merkezlere ftp yapıldığında kullanıcı ismi olarak anonymous (ya da ftp) girildiğinde, bizden parola olarak KENDİ E-POSTA ADRESİMİZİ girmemiz istenir. Parola yazılırken GÖRULMEZ. Bu sizi sakın şaşırtmasın !!! Şifre olarak kesinlikle kullandığınız bilgisayarın şifresini GİRMEYİN! Örnek olarak;
ftp ftp.itu.edu.tr user ftp password gokcol@sariyer.cc.itu.edu.tr (yazarken GÖRÜNMEZ)
verilebilir. Burada, şifre olarak e-mail adresinin girilmesi genellikle istatistiksel amaçlar içindir. Web üzerinden yapılan anonymous FTP'lerde şifre girilmesine gerek kalmaz.
Anonim FTP dikkat edilecek noktalar
FTP servislerinde yapılması gerekenlerin özetini inceleyelim:
Güvenlik
Anonim FTP tüm kullanıcılara "upload" dizininize veya , hesabınızdaki "public" read/write permissions. izinleri verilmiş her dizine erişme hakkı tanımaktadır.Anonim kullanıcılar alanınıza dosya yükleme veya alanınızdan dosya çekme iznine sahiptirler. Anonim FTP erişimine belli kısıtlamalar getirmek istiyorsanız, dizinleriniz için uygun izin düzenlemeleri yapmalısınız.Böylece kullanıcıların tüm dosya veya dizinlere erişimine belli kısıtlamalar getirebilirsiniz. File Manager 'ı kullanarak ve public read and/or write izinlerini kaldırarak ,belli dosya veya dizinlere (örneğin cgi-local)erişimi kısıtlayabilirsiniz.
Sorumluluk
Hesabınızın sahibi olarak alanınızda tutulan dosyalardan siz sorumlusunuz. Bu sizin tarafınızdan yüklenen dosyalar için geçerli olduğu gibi anonim FTP kullanıcıları tarafından yüklenen dosyalar için de geçerlidir.Anonim FTP kullanımıyla sitenizin bir "warez" sitesi olma olasılığı doğmaktadır.Bu siteler "hacker" ların illegal yazılım ticareti yapmak için kullandığı sitelerdir.Hesabın sahibi olarak tüm içerik sizin sorumluluğunuz altındadır. Eğer siteniz "warez" programlarının ticaretinin yapıldığı bir yer haline gelirse, illegal olarak kopyalanan programların gerçek sahipleri tarafından hukuki kovuşturmaya maruz kalabilirsiniz.
Son olarak söylenebilecek şey de ftp servislerinde bazı dosyaların kullanımına ve yerleştirimine izin verilmemelidir. Örneğin http://www.geocities.com ftp sunucusuna excel veri tabanı dosyaları atılamıyor. Şahsen ben denedim kabul etmiyor. Diğer ücretsiz web alanı hizmeti veren siteler de sunucularına kullanıcıları tarafından atılan “.exe” gibi program içeren dosyaları robot programları sayesinde bulup siliyorlar. Bunların warez, hack, crack programları ya da “.mp3” dosyalarını istememelerilidir. Ücretsiz web alanlarının bu tür kötü niyetli kişilerin samanlıkları olmasını önleme ya da sunucuyu ele geçirmek için kullandıkları bu yöntemi engellemek için tüm bunları yapmalıdır.
SUNUCU GÜVENLİĞİ
Bir web sayfasının hack ya da crack’e maruz kalması için kullanılacak bir diğer yöntem de dosyaların saklandığı suncuya içerden ya da dışardan saldırı olacaktır. Sunucu güvenliği dediğimizde aklımıza sunucuda kullanılacak olan işletim sistemi aklımıza öncelikle gelir. Çünkü donanıma ve yazılıma hükmeden işletim sistemidir. Dünyada birçok firma eski olmasına karşın güvenilirliğini hep kanıtlayan Unix İşletim Sistemini kullanmaktadır. Linux işletim sistemlerini de kullanan sunucular da yaygınlaşmaktadır. Ve en az unix kadar güvenli olmaktadır. Unix ve Linux sistemlerinin güvenlik konusundaki muhtemel açıkları ve korunma yöntemleri çoğunlukla aynıdır. Bu nedenle unix ve linux birlikte anlatılacaktır.
Unix ve Linux Sunuclarında Güvenlik
Güvenlik, Unix işletim sistemin en kuvvetli aynı zamanda da en zayıf olduğu konulardan birisidir. En kuvvetli çünkü işletim sistemi kendisini ve kullanıcılarının sahip oldukları dosyaları çok iyi bir şekilde koruyabilmektedir. En zayıf çünkü bir kez kötü niyetli birisi root şifresini ele geçirirse sisteminizi çok kolayca mahvedebilir. Unix altında her türlü erişim, kullanıcı tanıtım kodları ve şifreleri konusunda yeteri kadar hassas davranmıyorlarsa sisteminizde güvenlik yok demektir.
Sistemin Güvenliği İçin Uyarılar: Güvenlikte root şifresi son derece önemlidir. Kullanıcı psikolojisi olsa gerek, insanlar root yetkileriyle çalışmaktan hoşlanıyorlar. Bu nedenle de, eğer şifreyi biliyorlarsa gerekmese bile root kullanıcı olarak login etmeyi tercih ediyorlar. Bu nedenle:
Root şifresini iyi koruyunuz. Yetkili olmayan kimselere vermeyiniz.
Şifreyi sık sık değiştiriniz.
Kullanıcılarınızı şifre kullanmaya zorlayınız. Şifrelerini birbirlerine vermemeleri konusunda uyarınız.
Bu sistemin yürümesi için her kullanıcıya farklı bir hesap açmaya üşenmeyiniz.
Kullanıcılarınızı kolay tahmin edilebilecek şifreler seçmemeleri konusunda uyarınız.
İşten ayrılan ya da görev yeri değişen kullanıcıların hesaplarını hemen erişilmez hale getiriniz. Bunun en kolay yolu, ilgili kullanıcının /etc/passwd dosyasındaki kaydında şifre bölümünün ilk karakteri olarak bir *eklemektir. Bir nedenle kullanıcı hesabını tekrar açmanız gerekirse bu *işareti kaldırırsanız olur biter.
Sisteminizin /var/adm/mesages veya benzer dosyalarına sık sık bakınız. Sistemde meydana gelen loginler ve su komutuyla root olan kullanıcılarla ilgili kayıtlar bu dosyalarda arşivlenmektedir. Bu dosyadaki kayıtlar isteminize girmeye çalışan kimseler olup olmadığı konusunda fikir verecektir.
Terminal başlı seri arabirimlerden ve bilgisayar ağı üzerinden gelen telnet, rlogin gibi bağlantılarda root olarak login edilmesini önleyiniz. Bu önleme işini BDS UNIX’lerde /etc/ttyab dosyasında, SVR4 UNIX’lerde /etc/defaults/login dosyalarında gerekli değişiklikleri yaparak halledebilirsiniz.
SUID PROGRAMLAR: En tehlikeli güvenlik gedikleridir. SUID özelliğine sahip programlar hangi kullanıcı tarafından kullanılırsa kullanılsın, çalıştıkları sürece root yetkilerine sahiptirler. Eğer bir SUID program, bir şekilde bir kabuk programına çıkış veriyorsa bunu keşfeden bir kullanıcı şifre vermeden root oldu demektir. Ne isterse yapar.
Sistem ilk kurulduğunda SUID programlatın bir listesini alın ve bu listeyi iyi saklayın zaman zaman sistemdeki SUID programların bir listesini alıp, elinizdeki ilk listeyle karşılaştırın. SUID programların bir listesini almak için şu komutu kullanabilirsiniz.
#find/-user roor-perm-4000-execls-I{}\;
ÖNERİ : İnternet bağlantısında güvenli çalışmak için “firewall” yöntemlerini kullanınız. Bu yöntemde, sizin bilgisayar ağınızla internet arasına bir bilgisayar eklemeniz gerekecektir. Bunu göze alabiliyorsanız, “firewall” sistemi sorununuzu çözecektir.
Sunucu Güvenliğinde Firewall
İnternette güvenlik ile ilgili konular arasında adı sık sık geçen FIREWALL kavramı esas olarak yazılım ile oluşturulup, internet üzerinden bir sisteme girişleri kısıtlayan/yasaklayan ve genellikle bir internet gateway servisi (ana internet bağlantısını sağlayan servis - ağ geçidi) olarak çalışan bir bilgisayar üzerinde bulunan güvenlik sistemine verilen genel addır.
Firewall internet ağından yerel ağı korumanın çeşitli yollarından birisidir. Genel olarak iki türlü firewall yapısından bahsedebiliriz; veri trafiği engelleyen türler ve veri trafiğine izin veren türler. Bazı firewall tiplerinde veri akışının engellenmesi esas iken bazılarında da veri trafiğini düzenlemek ve sınırlamak önem kazanır. Genellikle fırewallar dışarıdan ağa yetkisiz erişimleri engellemek için düzenlenir. Ağdan dışarıya erişim serbest iken dışarıdan ağa erişim kısıtlanır. Bazı firewallar sadece e-mail trafiğine izin verirken diğerleri farklı cinsten veri iletimine izin vermekle birlikte problem olabilecek servisleri (FTP, NFS, X-Windows gibi) ve bazı iletişim türlerini bloke ederler. Bu tür seçimler ve erişim izinleri tamamen kullanıcıların tercihlerine göre belirlenir.
Fırewall'un esas amacı ağa zarar vermek yada sızmak isteyenleri engellemektir. Genel olarak şirketler ve veri merkezleri için firewall sıkça kullanılan bir güvenlik metodudur.
Fırewallar güvenlik ve denetim için bir tür geçit noktası oluşturur. Ayrıca sisteme modem ile bağlantı kurulmak istendiğinde fırewall bu bağlantıyı kontrol edip izleyebilme imkanına da sahiptir.
Firewall ile birlikte çeşitli kullanıcı erişimi denetleme ve yetkilendirme mekanizmalarının kullanılması da (one time password gibi) yerel ağın güvenliğini arttıran bir unsurdur. Firewall bu türden, kullanıcı şifre ve yetkilerinin tanımlanıp kullanılması ve bu bilgilerin ağlar arasındaki trafiğinin gizlenmesi konusunda ekstra özellikler sunar.
Anonim Sunucularda Güvenlik Açıkları, Çözümleri
Bir şirket yerel bilgisayar ağı veya lan ile Internete bağlandığı her seferde potansiyel bir tehlike ile karşı karşıyadır. Internetin açıklığına bağlı olarak, ona bağlı olan her anonim network de saldırıya açıktır. Internetteki crackerlar, anonim network’e teorik olarak girebilir ve çeşitli şekillerde ona zarar verebilirler. Önemli bir bilgiyi çalabilir ya da zarar verebilir, kişisel bilgisayarlara hatta networkün tamamına zarar verebilir; anonim bilgisayarın kaynaklarını kullanabilir veya kendini, anonimin bir çalışanı olarak göstererek anonim network ve kaynaklarından faydalanabilir. Çözüm networkü Internetten çıkartmakta değildir. Bunu yerine, şirket networkünü korumak için firewalls kurabilir. Bu firewalls, anonim networkteki herhangi birinin Internete girmesine olanak tanır, ancak Internetteki cracker, hacker veya diğerlerinin anonim networke girip zarar vermelerine izin vermez.
Firewalls, routers, servers ve değişik yazılımlar kullanılarak kurulan donanım ve yazılım kombinasyonlarıdır. Internet ve corperate network arasındaki en zedelenebilir noktalarda otururlar ve sistem yetkililerinin istekleri doğrultusunda oldukça basit yada karmaşık yapılı olabilirler. Çok çeşitli firewalls vardır ama birçoğunun bir iki ortak noktası bulunur.
En basit firewallardan birisi paket süzmeden faydalanır. Paket süzmede, bir screening router Internet ve anonim network arasında yol alan her data paketinin header’ını inceler. Paket headerları içinde, gönderen ve alıcının IP adresleri, paketi yollamak için kullanılan protokol ve benzer bilgileri de içeren şeyler yazar. Bu bilgilere dayanarak , router datayı yollamak için ne çeşit bir Internet servisi-FTP veya rlogin gibi- kullanıldığını, datanın göndericisi ve akıcısının kimliği gibi şeyleri öğrenir. (rlogin komutu, Telnet’e benzer, birisinin bir bilgisayara bağlanmasına izin verir. Tehlikelidir çünkü kullanıcılar password yazmadan da bunu yapabilir). Bu bilgiler toplandıktan sonra, router Internet ve anonim network arasında yollanan bazı paketleri geçirmeyebilir. Örneğin, router email dışında her türlü trafiğe engel olabilir. Buna ek olarak, şüpheli hedeflerden veya belirli kullanıcılardan giden veya onlara gelen trafiği bloke edebilir.
E-TİCARET’TE GÜVENLİK
E – ticaret sitelerinde güvenlik konusunu incelersek karşımıza iki ana bölüm çıkar. Birincisi sanal mağazanın yapması gerekenler, diğeri ise müşterinin yapması gerekenler. Öncelikle sanal mağazanın yapması gerekenler üzerinde duralım. Ürünlerini sanal vitrinine yerleştirmiş ve satışa sunmuş olan bir sanal mağaza normal olarak herhangi bir önlem almadan satışlarını gerçekleştirebilir. Asp tekniği ile hazırlanmış anlık ve kişiye özel sayfalar sayesinde basit formlar doldurularak ve bu form doğrultusunda kredi kartı ile ilgili banka ile irtibata geçilerek alışveriş işlemi tamamlanabilir. Ancak hayatımızda da sıkça rastladığımız gibi sanal hayatta da kötü niyetli kişiler yığınla bulunmaktadır. İşte bunlar başkalarını kredi kartları üzerinden ürün sipariş etmek isterler ve eğer sanal mağaza gereken önlemi almadı ise emellerine ulaşırlar. İsim yapmış ve belli bir kitlesi olan tüm mağazaların güvenlik elemanları vardır. Aynen normal mağaza mekanında olduğu gibi sanal mağazada da mutlaka güvenlik mekanizmaları kurulmalıdır. Bir çok sanal mağazada (hatta hepsinde) bu güvenlik mekanizmalarını görürüz. Sitenin güvenliğinin kim tarafından sağlandığını, referanslarını ve kariyerini göz önünde bulundurarak o siteye güvenir ya da güvenmeyiz. Bir çok banka bu güvenlik hizmetini sunmaktadır. Bunlar paket şifrelemeyi temel alan SSL ve SET sistemleridir. SSL halen dünyada birçok site tarafından kullanılan ve yaygın olan güvenlik sistemidir. SET ise adını yeni duyurmaya başlamış ancak SSL sistemine göre oldukça güvenli, kriptografiyi daha sıkı kullanan, müşteri ile bankanın birbirini tamamen güvenli bir biçimde tanıyıp işlemlerini gerçekleştirmesine imkan tanır. Yazının devamında bunlardan ayrıntısı ile bahsedeceğiz ve içinde geçen terimlerin anlamlarını ve ne işe yaradıklarını öğreneceğiz. Şimdi de müşterinin yapması gerekenlere gelelim. Bir çok e-ticaret sitesinin tavsiyesi şu birkaç noktayı vurgulamaktadır; güvenmediğiniz sitelere kredi kartı bilgilerinizi ve kişisel bilgilerinizi vermeyiniz. Tanınmış sitelerden alış veriş yapınız ve genellikle onlara güveniniz. Sitelerde yer alan sözleşmeleri dikkatlice okuyunuz ve ona göre hareket ediniz.
Elektronik ticarette alıcı ve satıcı birbirlerini görmeksizin iş yaptıklarından karşılıklı olarak güvenin sağlanması için ek bir takım önlemler almaya ihtiyaç duyarlar. Öncelikle alıcı ve satıcı taraflar birbirlerinin kimliklerinden emin olmak isterler. İşte bu ihtiyaç dijital imza ve dijital sertifikaların geliştirilme nedenidir. Bunlar aracılığıyla iki taraf birbirlerinin kimliğinden emin olabilmektedir. Türkiye'de şu anda dijital sertifikalar ile ilgili yasal altyapı henüz oluşturulmadığı için alıcı tarafında bulunan bireysel kullanıcılar henüz dijital sertifika kullanmaya başlamamışlar, satış yapan siteler de müşterilerine bunu şart koşmamışlardır. Bu nedenle satıcılar alıcıların kimliklerini kontrol edememektedirler. Ancak Garanti Bankası'nın ödeme sistemini kullanarak Internet'ten satış yapmak isteyen firmalara bankamız bu şartı getirmiş ve böylece tüketicilerin alışveriş yaptıkları sitenin kimliği ile ilgili kuşku duymalarını önlemiştir.
Elektronik ticarette güvenlik konusunda değerlendirilmesi gereken diğer bir konu da alıcıların elektronik ticaret sitelerinden alışveriş yapmak için vermek durumunda kaldıkları kredi kartı vb. bilgilerin Internet üzerinden iletilirken üçüncü şahısların eline geçmesi riskidir. Bilindiği gibi özellikle telefonla yapılan satışlarda (gazeteye ilan vermek, katalog satışları vb) kredi kartı numarası ve son kullanma tarihi alışveriş için yeterli olmaktadır. Bu yüzden bu bilgilerin korunması elektronik ticaretin gelişimi için büyük önem taşımaktadır.
Ancak elektronik ticarette kredi kartı bilgilerinin başkalarının eline geçme riski günlük hayattakine göre çok daha azdır. Günlük hayatta ödeme yaparken kredi kartı bir başkasına verilmekte, bu yüzden kredi kartının üzerindeki bilgilerin gizliliği büyük oranda ortadan kalkmaktadır. Sanal alışveriş hizmeti veren firmalar, kredi kartı bilgilerinin güvenliği ve gizliliğini sağlamak için yaygın olarak SSL ve SET gibi güvenlik standartlarını kullanmaktadırlar. Kullanıcı, işyeri ve banka arasındaki veri akışı sırasında bilgilerin şifrelenerek aktarılması esasına dayanan güvenlik sistemleri sayesinde bilgilerin başka bir kişinin eline geçmesi durumunda çözülebilmesi (yani kullanılabilmesi) önlenir. Böylece kart bilgilerinin gizliliği ve alışverişin güvenliği sağlanmış olur. Garanti Bankası sistemini kullanan firmalar müşterinin kredi kartı bilgilerini göremezken Garanti Bankası da yapılan alışverişin içeriğini bilmez. Ayrıca kredi kartı sahiplerinin Internet üzerinde yapılan alışverişlere de diğer alışverişler gibi her zaman itiraz hakkı vardır.
Kredi Kartı Sahiplerine Öneriler
· Alışveriş yaptığınız sayfanın güvenilir olduğunu anlamanın en kesin yolu, kredi kartınızla ilgili bilgileri gireceğiniz sayfanın Internet adresindeki "http" nin "https" ye dönüşmesidir. Bu dönüşüm firmanın sanal mağazasının bulunduğu sitenin SSL güvenlik protokolünü kullandığını gösterir.
· Internet üzerinde sanal alışveriş hizmeti veren firmalar, sanal alışverişin güvenliğini sağlayan standartlar ve teknolojiler kullanmaktadır. Internet tarayıcınızın Explorer veya Netscape olmasına bağlı olarak kilit ikonu kilitlenmiş ve anahtar ikonunun kırık olmadığı sayfalar güvenli sayfalardır. Fakat bu durum tarayıcı versiyonlarına göre ve sertifikanın alındığı sertifikasyon kurumuna göre değişiklik gösterebilir.
· Güvenilir ve isim sahibi sitelerden yaptığınız alışverişlerinizde güvenlik açısından bir problem çıkması ihtimali çok düşüktür. Tanımadığınız veya güvenliğinden emin olmadığınız bir siteden alışveriş yapmanız gerekiyorsa limiti düşük bir kredi kartı kullanınız.
· Satın aldığınız ürün ile ilgili teslim tarihi, ilave ücretler, garanti koşulları gibi detaylara çok dikkat ediniz.
· Satın alma işleminizin bittiğini belirten mesajı yazıcıdan çıkartarak saklayınız.
· Kredi kartı ekstrelerinizi dikkatle inceleyiniz, şüphe duyduğunuz bir harcamayı bankanıza bildiriniz ve takip ediniz.
SSL (Secure Socket Layer)
SSL network üzerindeki bilgi transferi sırasında güvenlik ve gizliliğin sağlanması amacıyla Netscape tarafından geliştirilmiş bir güvenlik protokolüdür. 1996 yılında 3.0 versiyonunun çıkarılmasıyla hemen bütün Internet tarayıcılarının (Microsoft Explorer, Netscape Navigator vb) desteklediği bir standart haline gelmiş ve çok geniş uygulama alanları bulmuştur.
SSL gönderilen bilginin kesinlikle ve sadece doğru adreste deşifre edilebilmesini sağlar. Bilgi gönderilmeden önce otomatik olarak şifrelenir ve sadece doğru alıcı tarafından deşifre edilebilir. Her iki tarafta da doğrulama yapılarak işlemin ve bilginin gizliliği ve bütünlüğü korunur.
Veri akışında kullanılan şifreleme yönteminin gücü kullanılan anahtar uzunluğuna bağlıdır. Anahtar uzunluğu bilginin korunması için çok önemlidir. Örneğin; 8 bit üzerinden bir iletimin çözülmesi son derece kolaydır. Bit, ikilik sayma düzeninde bir rakamı ifade eder. Bir bit, 0 veya 1 olmak üzere 2 farklı değer alabilir. 8 bit ise sadece 28=256 olası farklı anahtar içerir. Bir bilgisayar bu 256 farklı olasılığı sıra ile inceleyerek bir sonuca ulaşabilir. SSL protokolünde 40 bit ve 128 bit şifreleme kullanılmaktadır. 128 bit şifrelemede 2128 değişik anahtar vardır ve bu şifrenin çözülebilmesi çok büyük bir maliyet ve zaman gerektirir. Kötü niyetli bir kişinin 128 bit'lik şifreyi çözebilmesi için 1 milyon dolarlık yatırım yaptıktan sonra 67 yıl gibi bir zaman harcaması gerekir. Bu örnekten anlaşıldığı gibi SSL güvenlik sistemi tam ve kesin bir koruma sağlar.
SET (Secure Electronic Transactions)
SET banka kartlari ve ödemeler ile ilgili bilgilerin güvenligini saglamak amaciyla Visa, Mastercard, Microsoft, Netscape, GTE, IBM, SAIC, Terisa Systems ve Verisign'in katilimiyla olusan bir konsorsiyum tarafindan gelistirilmistir. SET uyumlu ilk alisveris, 18 Temmuz 1997'de San Francisco'da yapilan tanitimla Ispanya ve Singapur'da bulunan sanal magazalardan gerçeklestirilmistir. Garanti Bankasi Subat 1998'de gerçeklestirdigi SET uyumlu alisverisle, bu protokolü kullanmaya baslayan Dünya'da yedinci, Avrupa'da dördüncü ve Türkiye'de ilk kurulus olmustur.
SET protokolünde alisveris, sanal cüzdan ve sertifika araciligi ile daha güvenli bir ortamda gerçeklestirilir. SET, alisveris islemi sirasinda ödeme bilgisi gizliligini, kart kullanicisinin gerçek kart sahibi oldugunu ve isyerinin banka ile anlasmali bir isyeri oldugunu garantiler.
SET sisteminde provizyon islemi müsteri alisveris seçimini yaptiktan sonra müsterinin sanal cüzdani ile magazanin Sanal POS'unun (V-POS) birbirlerinin gerçekliklerini dijital sertifikalar araciligiyla kontrol etmeleri ile baslar. Magazanin Sanal POS yazilimi siparis tutarini ve sanal cüzdanda bulunan ve alisveris için seçilen kredi kartinin sertifika bilgilerini bankaya iletmesi ile devam eder. Banka yapilan alisverisin içerigini (malin ne oldugu, kaç tane alindigi vb.) görmeksizin provizyon verir. Müsterinin kredi karti bilgilerini görmeyen sanal magaza ise bankadan gelecek onayi bekler. Onayi aldiktan sonra da ürünü alicisina gönderir.
SET sistemi de SSL'de oldugu gibi kullanici, isyeri ve banka arasindaki veri akisi sirasinda bilgilerin sifrelenerek gönderilmesi esasina dayanir. Bu sistemden faydalananabilmek için kullanilmak istenen kredi kartinin SET uyumlu olmasi gerekir. SET protokolünü kullanmak isteyen kredi karti sahipleri iki ön kosulu yerine getirmek zorundadirlar:
Öncelikle kullanmak istedikleri her bir kredi karti için sertifikasyon kurumu (Certificate Authority) ayri birer SET sertifikasi almalidirlar. Ardindan kart sahipleri yine kredi karti veren bir bankadan sanal cüzdan adi verilen bir programi alip bilgisayarlarina yüklemeli ve bu yükleme sirasinda SET sertifikali kredi kartlarini programa tanitmalidirlar. SET uyumlu alisverisler sanal cüzdanin yüklü oldugu bilgisayar kullanilarak SET uyumlu magazalardan yapilabilecektir. Sanal cüzdan programi en fazla üç kez yüklenmek üzere yazildigindan en fazla üç bilgisayarda kullanilabilecektir. SET protokolünün SSL'e göre çok daha yüksek denebilecek güvenligine ragmen yeterince yayginlasamamasi sanal cüzdanin mobilitesinin olmamasina baglanabilir. Bu yüzden Garanti Bankasi sistemi SET uyumlu olmasina karsin SET protokolünü tam olarak uygulamamaktadir.
Sanal magazalar ise Sanal POS (Point of Sale) olarak adlandirilan V-POS yazilimini yükledikten sonra bir sertifikasyon kurumundan (
SET ile gerçeklesen alisveris sirasinda gerçeklesen islemler sirasiyla asagidaki gibidir:
SET protokolü, kart sahibi Internet üzerinde arastirmasini tamamlayip seçimini yaptiktan ve siparisini verdikten sonra devreye girmektedir. SET isleminin baslamasindan önce kart sahibi siparis formunu doldurmus ve onaylamis olmalidir. Kart sahibi ayrica kart türünü de seçmis olmalidir.
1. Kart sahibinin yazilimi satici firmaya kullanilacak kredi kartini belirten ve ödeme altyapisini saglayan kurulusun sertifikali açik anahtarinin kopyasini isteyen bir mesaj gönderir.
2. Satici firmanin yazilimi mesaji aldiginda, sadece o mesaja özel bir islem tanimlama numarasi belirler. Daha sonra bu özel tanimlama numarasiyla beraber kart sahibine satici firmanin açik anahtarini ve ödeme altyapisini saglayan kurulusun (genelde bankalar) onayli açik anahtarini gönderir.
3. Kart sahibinin yazilimi satici firmanin ve ödeme altyapisini saglayan kurulusun sertifikalarini kontrol eder ve siparis sürecinde kullanmak üzere bunlari kaydeder. Kart sahibinin yazilimi siparis bilgisini ve ödeme talimatlarini olusturur. Yazilim satici firma tarafindan belirlenen özel tanimlama numarasi ile siparis bilgisini ve ödeme talimatlarini iliskilendirir. Bu tanimlama daha sonra satici firma tarafindan ödeme talebi yapildiginda, ödeme altyapisini saglayan kurulus tarafindan siparis bilgisini ve ödeme talimatlarini iliskilendirmede kullanilacaktir.
4. Kart sahibinin yazilimi siparis bilgisi ve ödeme talimatlari için bir dijital imza olusturur. Yazilim daha sonra ödeme altyapisini saglayan kurulusun açik anahtarini kullanarak dijital olarak imzalanan ödeme talimatlarini sifreler. Son olarak yazilim imzalanmis ve sifrelenmis siparis bilgisini ve ödeme talimatlarini bir mesajla satici firmaya gönderir.
5. Satici firmanin yazilimi siparisi alir ve kart sahibinin açik anahtari üzerindeki dijital sertifikayi kontrol eder. Bundan sonra gene bu açik anahari kullanarak siparisin gerçekten kart sahibinden geldiginden ve mesajin gönderim esnasinda degistirilmedigini teyit eder (Satici firma ödeme talimatlari ödeme altyapisini saglayan firmanin açik anahtari ile sifrelendigi için desifre edemez).
6. Bu islemlerin ardindan satici firmanin yazilimi ödeme onayi istenmesi de dahil olmak üzere siparisle ilgili islemlere baslar (lütfen 9. Maddeye bakiniz)
7. Siparis bilgisi isleme alindiktan sonra, satici firmanin yazilimi bir cevap mesaji hazirlar ve dijital olarak imzalar (satici firmanin onayli açik anahtari ile). Kart sahibinin siparisinin alindiginin ve isleme konuldugunun bildirilmesi amaciyla hazirlanan cevap mesaji kart sahibine gönderilir.
8. Kart sahibinin yazilimi satici firmadan cevap mesajini aldigi zaman dijital sertifikasini kontrol eder. Bunun ardindan bu mesaji kullanarak kart sahibine bir teyit mesaji gösterir veya siparisin durumunu günceller.
9. Kart sahibinden gelen siparislerin isleme konulmasi esnasinda (lütfen 6. maddeye bakiniz) satici firmanin yazilimi ödenmesi talep edilen tutari, siparis bilgisindeki islemi belirleyen özel tanimlama numarasini ve islemle ilgili diger bilgileri içeren bir ödeme onay talebini hazirlar ve bu mesaji dijital olarak imzalar. Ardindan bu talep ödeme altyapisini saglayan kurulusun açik anahtari kullanilarak sifrelenir. Satici firmanin ödeme onay talebi ve kart sahibinin sifrelenmis ödeme talimatlari ödeme altyapisini saglayan kurulusa gönderilir.
10. Ödeme altyapisini saglayan kurulus onay talebini aldigi zaman satici firmadan gelen onay talebini kendi gizli anahtarini kullanarak desifre eder. Ardindan satici firmanin açik anahtari üzerindeki dijital sertifikayi kontrol eder ve sertifikanin geçerlilik sürerisinin dolup dolmadigini belirler.
11. Ödeme altyapisini saglayan kurulus kart sahibinin satici firmadan gelen onay talebiyle birlikte gönderilen ödeme talimatlarini kart sahibinin açik anahtarini kullanarak desifre eder. Ardindan bu açik anahtari kullanarak kart sahibinin ödeme talimatlari üzerindeki dijital imzasini kontrol eder ve böylece ödeme talimatlarinin kart sahibi tarafindan imzalandigindan ve iletim esnasinda degisiklige ugramadigindan emin olur.
12. Ödeme altyapisini saglayan kurulus satici firma tarafindan gönderilen islem tanimlayicisi ile ile kart sahibinden gelen ödeme talimatlarindaki tanimlari karsilastirarak her ikisininde ayni olup olmadigini kontrol eder. Kontrolün ardindan ödeme altyapisinin saglayan kurulus, kredi kartini veren bankaya Internet üzerinden çalismayan bir ödeme sistemiyle bir onay talebi gönderir.
13. Karti veren banka onay talebini isleme alir ve ödeme altyapisini saglayan kurulusa güvenli ödeme sistemi araciligiyla bir cevap gönderir.
14. Onay cevabini aldiktan sonra ödeme altyapisini saglayan kurulus karti veren bankanin cevabini ve onayli açik anahtarini içeren bir onay cevap mesaji yaratir ve dijital olarak imzalar. Cevap satici firmanin açik anahtarini kullanarak sifrelenir ve satici firmaya gönderilir.
15. Satici firmanin yazilimi ödeme altyapisini saglayan kurulustan onay cevabini aldigi zaman kendi gizli anahtariyla desifre eder. Ardindan ödeme altyapisini saglayan kurulusun açik anahtari üzerindeki dijital sertifikayi kontrol eder ve bu açik anahtari kullanarak ödeme alyapisini saglayan kurulusun onay cevap mesajindaki dijital imzayi kontrol eder. Satici firmanin yazilimi, siparis tamamen yerine getirildikten sonra ödeme talebinde bulunulabilmesi için (gün sonu islemi ile) bu onay cevap mesajini kaydeder.
16. Satici firma onay cevabini aldiktan sonra kart sahibinin siparisi tamamlar ve ilgili ürünü sevkeder veya sözkonusu hizmeti verir.
17. Siparisi yerine getirdikten sonra satici firma ödeme talebinde bulunur (Siparisin tamamlanmasi esnasindaki gecikmeler onay talebi ile ödeme talebi mesajlari arasinda önemli zaman araliklari olusmasina yol açabilir).
18. Ödeme talebinde bulunmak için satici firmanin yazilimi islemin nihai tutarini, siparis bilgisindeki islem tanim numarasini ve islem hakkindaki diger bilgileri içeren bir gün sonu islemi olusturur ve dijital olarak imzalar. Bu talep ödeme altyapisi saglayan kurulusun açik anahtari ile sifrelenir ve ödeme saglayan kurulus gönderilir.
19. Ödeme altyapisini saglayan kurulus gün sonu islemi talebini aldigi zaman, kendi açik anahtarini kullanarak talebi desifre eder. Daha sonra satici firmanin açik anahtarini kullanarak gün sonu islemindeki dijital imzayi kontrol eder. Satici firmadan gelen gün sonu islemiyle, daha önce isleme alinan onay talebini karsilastirir ve bir tahsilat talebi olusturarak bunu kredi kartini veren bankaya güvenli ödeme sistemiyle gönderir.
20. Ödeme altyapisini saglayan kurulus kendi onayli açik anahtarini içeren bir gün sonu cevap mesaji olusturur ve bunu dijital olarak imzalar. Bu cevap satici firmanin açik anahtari ile sifrelenerek satici firmaya gönderilir. Bu mesaj sayesinde gün sonu isleminin ödeme altyapisini saglayan kurulus tarafindan alindigini ve isleme konuldugunu satici firmaya bildirir.
21. Satici firmanin yazilimi ödeme altyapisini saglayan kurulustan gün sonu isleminin cevabini alinca, mesaji kendi gizli anahtarini kullanarak desifre eder. Ardindan ödeme altyapisini saglayan kurulusun açik anahtari üzerindeki dijital sertifikayi kontrol eder ve yine bu açik anahtari kullanarak ödeme altyapisini saglayan kurulusun dijital imzasini kontrol eder. Son olarak satici firmanin yazilimi günsonu islemi cevabini yapilan ödemeler için gönderilen günsonu talep mesajlari ile mutabakat için kaydeder.
Daha fazla bilgi için
SORU – YANIT
· Dijital imza nedir?
Günlük hayatta kullanılan imzalarda olduğu gibi, dijital imzalar da elektronik ortamda gönderilen bilginin veya e-mail'in kime ait olduğunu göstermek için kullanılır. Dijital imzaların oluşturulmasında ve doğrulanmasında dijital sertifikalar kullanılır. Gönderdiğiniz veriyi imzalamak için kendinize ait bir dijital sertifikanız bulunmalıdır.
· Dijital imzanın özellikleri nelerdir?
1. Dijital imza bir kullanıcı, sunucu ya da host'tan gönderilen bilgilerin kesinlikle o kuruma veya kişiye ait olduğunu doğrulayarak, verinin başkası tarafından yollanmadığını garanti eder.
2. Dijital imza, veri akışı sırasında bilgilerin içeriğini korur, bir başka kişinin eline geçmesini ya da değiştirilmesini engeller, bilginin sadece alıcıya gittiğini ve sadece alıcı tarafından okunacağını garanti eder.
3. Dijital imza, veriyi gönderenin ve alanın kim olduğunun kanıtlanmasına imkan tanır. Yani imzalanmış bir dokümanı yollayan kişi onu yolladığını inkar edemez ve alıcı da aldığını inkar edemez.
· Dijital imza nasıl oluşturulur ve doğrulanır?
Gönderilecek mesaj özgün bir biçimde kısaltılarak mesajın yeni bir versiyonu elde edilir, buna "hash" adı verilir. Sonra saklı anahtar kullanılarak bu "hash" kodlanır. Bu kodlanmış "hash" dijital imza olarak kullanılır. Mesaj iletilirken bir şekilde değişirse bunun "hash"i ilk mesajdan farklı olur. Yani dijital imza mesaj ve saklı anahtara özgüdür. Dijital imza mesaja eklenir ve mesajla birlikte alıcıya gider. Alıcı mesajı, şifrelenmiş "hash"i yollayan kişinin açık anahtarını kullanarak çözer. Bu iki "hash" aynı ise saklı anahtarı sadece gönderen bildiği için bu mesajın gönderen kişiye ait olduğu ve mesajın değişmeden geldiği onaylanmış olur.
· Şifreleme nedir?
Şifreleme tekniği, sizin okuduğunuz bilgiyi bir başkasının okuyamayacağı bir yapıya dönüştürmek için kullanılır. Bu yöntemde bilgi, alıcı dışında başka bir kişi tarafından okunamaması yada değiştirilememesi için kodlanır. Bilgi, transfer sırasında bir başkasının eline geçse bile şifrelenmiş olduğundan okunması güçtür. Şifreleme ve şifreyi çözme için bir matematiksel algoritma ve bir anahtar gereklidir. Anahtar bir metin ile birlikte bir mesaj veya dijital imzayı şifrelemek üzere kullanılan özel bir sayı olarak nitelenebilir.
· Açık anahtar şifrelemesi nedir?
Bu sistemde bilgilerin güvenli bir ortamda iletimi için açık ve gizli anahtarlar kullanılır. Bir anahtarın diğerinden türetilmesi veya hesaplanması mümkün değildir. Açık anahtarın başkaları tarafından bilinmesinin bir sakıncası yoktur fakat saklı anahtarınızı kesinlikle bir başkası bilmemelidir. Dijital anahtarlar açık-gizli anahtar şifreleme algoritması üzerine kurulmuştur. Bir açık-gizli anahtar çifti bir sayı çiftinden ibarettir. Gizli anahtar sadece sahibi olan kişi ya da kurum tarafından bilinir ve dijital imzayı oluşturmak için kullanılır. Açık anahtar ise dijital imzaların doğrulanması için kullanılır. Bir dijital imzanın doğrulanması mesajın geldiği kişinin kimliğinin doğrulanması anlamına gelir.
· Anahtar nedir?
Anahtar, şifrelemek veya deşifre etmek için kullanılan sayısal karakterler dizisidir. Simetrik anahtar algoritmasında şifrelemek ve deşifre etmek için aynı anahtar; açık anahtar algoritmasında şifrelemek için açık anahtar, deşifre etmek için ise gizli anahtar kullanılır. Dijital imzalar açık anahtar algoritmasını kullanır. Dijital imza imzanın sahibinin gizli anahtarı kullanılarak oluşturulur. Alıcı da imza sahibinin açık anahtarını kullanarak imzasını kontrol eder.
· Kök sertifika nedir?
Kök sertifika, sertifikasyon kurumunun dijital sertifikasıdır. Kullanıcılar sertifika kurumunun kök sertifikasını Internet üzerinden bilgisayarlarına yüklerken, sertifika kurumunun güvenilirliğini kabul etmiş olurlar. Sertifika ile birlikte gelen açık anahtar öncelikle sertifikasyon kurumunun kimliğini doğrulamakta kullanılır. Bu açık anahtar sertifikasyon kurumunun dağıttığı sertifikaların da okunabilmesini ve böylece bu sertifikaların doğruluğunun kontrol edilebilmesini sağlar.
· Dijital Sertifika nedir?
Dijital sertifika, ya da dijital kimlik, günlük hayatta kullanılan ehliyet, pasaport gibi kimlik kartlarının elektronik ortamdaki karşılığını ifade eder. Dijital sertifika kişinin kimliğini ve söz konusu bilgiye veya online hizmete ulaşım hakkını kanıtlamak için elektronik olarak ibraz edilmek üzere geliştirilmiştir. Dijital sertifikalar dijital bilgileri şifrelemek ve şifrelenen bilgileri çözmek için kullanılan bir çift elektronik anahtar ile kimlik bilgisini bağlar. Dijital sertifika kullanıcıların ve kuruluşların bilgilerinin iletişim ağlarında güvenli bir şekilde iletilmesini sağlar.
· Dijital sertifika hangi bilgileri içerir?
Dijital sertifikada kullanıcıya ait açık anahtar, kullanıcının adı, son kullanma tarihi sertifikanın alındığı kurumun adı ve seri numarası bulunur.
· Dijital sertifikanın özellikleri nelerdir?
- Mesajların şifrelenmesi ve deşifre edilmesindeki güvenlik ve gizliliği sağlar
- Mesajı gönderenin ve mesajı alanın doğru yerler olduğunu garanti eder
- İletilen dokümanların tarih ve zamanını doğrular
- Doküman arşivi oluşturulmasını kolaylaştırır
· Dijital sertifika ne için gereklidir?
Dijital sertifikanız ile Internet üzerinde yaptığınız işlemlerde Internet tarayıcınız aracılığıyla kendi kimliğinizi kanıtlamış olursunuz. Bu sertifikalar Internet üzerindeki alışverişlerde, ticari faaliyetlerde ve bilgilerin şifrelenmesinde kullanılır. Elektronik ticaret yapan şirketler ve finansal kurumlar başta olmak üzere bir çok kurum Internet üzerinde gerçek ve yasal bir şirket olduklarını kanıtlamak için sertifikaya ihtiyaç duymaktadırlar. Ayrıca Internet bankacılığı, online alışveriş gibi iletilen bilginin gizliliği ve doğruluğunun çok önemli olduğu işlemlerin yaygınlaşması ve bu siteleri kullanan kişilerin de kimliklerinin doğrulanabilmesi için şifre kullanımının yanı sıra dijital sertifikanın da kullanılması güvenliğin arttırılmasını sağladığından, birçok firma müşterilerinden dijital sertifika talep etmeye başlamışlardır. Türkiye'de ise yasal düzenlemelerin eksik olması nedeniyle dijital sertifikalar henüz kullanıcılar tarafından kullanılmamaktadır. Ancak AB'ye uyum çalışmaları ile beraber yasal düzenlemelerin gerçekleştirilmesi ve böylece dijital imzaların kullanımının başlaması beklenmektedir.
· Dijital sertifika nasıl çalışır?
Sertifikasyon kurumu güvenilir bir kaynak olarak, bir kurum ya da kişiyi bir açık anahtar ile eşleştirir. Dijital sertifika açık anahtar ile kişi veya kurumun eşleştirilmiş halidir. Dijital anahtarlar açık-gizli anahtar şifreleme algoritması üzerine kurulmuştur. Bir açık-gizli anahtar çifti bir sayı çiftinden ibarettir. Gizli anahtar sadece sahibi olan kişi ya da kurum tarafından bilinir ve dijital imzayı oluşturmak için kullanılır. Açık anahtar ise dijital imzaların doğrulanması için kullanılır. Bir dijital imzanın doğrulanması mesajın geldiği kişinin kimliğinin doğrulanması anlamına gelir.
· Dijital sertifikayı nasıl alabilirim?
GlobalSign ve VeriSign gibi sertifikasyon kurumlarından temin edilebilir. Sertifika isteyen kişinin bilgileri sertifikasyon kurumuna ulaştıktan ve doğrulandıktan sonra sertifika talepleri otomatik olarak işleme konur ve elektronik ortamda sertifikalar iletilir.
· Sertifikasyon kurumu nedir?
Dijital sertifikaların verilmesi ve yönetilmesini gerçekleştiren kurumdur. Dijital sertifikalar bu kurumların gizli anahtarıyla imzalanır.
· Dijital sertifikayı destekleyen uygulamalar?
- Microsoft Internet Explorer v3.02 ve daha üst versiyonları
- Netscape Navigator v3.xx
- Netscape Communicator v4.xx
Son olarak e-ticaret ile ilgili ülkemiz insanından bir kesitin kaygılarını dile getirmek istiyorum. Aşağıdaki yazının tüm bilgileri aynen alınmıştır. İlginç bulduğum için eklemek de yarar gördüm.
... http://www.internethaftasi.org.tr adresinden alınmıştır
Cüneyt Toraman
22 şubat 1001
www.internethaftasi.org.tr - "kamuoyu görüşleri"
url: www.ctoraman.netteyim.net
Kurum: Türkiye İş Bankası B.İ.M.
Meslek/Görev: Yazılım Uzmanı(Metalurji Müh-Ekonomist) / Proje Yönetici Yardımcısı
Güvenlik konusunun halen yeterince ciddiye alınmadığını düşünüyorum.Türk sitelerinden alışveriş yapmaya halen elim varmıyor!...
Halen yeterince güven kazanamamış olmasına karşın yapılan araştırmalar yakın zamanda e-ticaret sitelerinin güvenlik için yaptıkları masrafın iki katına çıkacağını gösteriyor. Çünkü hack edilen bir sanal mağazanın prestiji düşecek ve rağbet görmeyecektir.
KAYNAKLAR
savaskose@guvenlikhaber.com (Giriş yazısı)
http://merkan.tripod.com (Firewall)
http://www.garanti.com.tr (SSL, SET)
http://www.tansas.com.tr (Öneriler)
http://www.internethaftasi.org.tr (Bir görüş)
http://www.etm.com.tr (Anonim FTP)
http://creatin.virtualave.net (Anonim FTP)
http://www.guvenlikhaber.com (E-Ticaret)
Linux İşletim Sistemi (Görkem Çetin)
Kim Korkar Unix’den
0 yorum:
Yorum Gönder