Sanal Alemde "Sahte Sertifika" Alarmı

İnternette güvenli iletişimin sağlanması için Türkiye'deki bir bilişim sistemi üzerinden üretildiği iddia edilen "sahte" google.com sertifikası Google, Microsof ve Mozilla'yı alarma geçirdi.

İnternet devi Google yaptığı açıklamada, TurkTrust tarafından EGO Genel Müdürlüğü (www.ego.gov.tr) için üretilen web sertifikası üzerinden "sahte" bir google.com sertifikası üretildiğini belirterek, söz konusu durumun ciddi bir güvenlik riski taşıdığını açıkladı. Ayrıca söz konusu firmaya ait KKTC Merkez Bankası (www.kktcmerkezbankasi.org) için üretilen bir sertifikanın da güvenlik nedeniyle askıya alındığını açıklayan Google, kullanıcılarını sistemleri üzerinde güncelleme yapmaları uyarısında bulundu.

Siber dünyada büyük yankı uyandıran olay sonrası tüm gözler TürkTrust'a çevrildi. Şirket tarafından yapılan yapılan yazılı açıklamada, TürkTrust'ın 2005 yılından beri SSL sertifika hizmeti verdiği, hizmetlerinin de 20 Aralık 2011 tarihinden itibaren "ETSI TS 102 042 ESHS Yönetim Sistemi Standardı" uyarınca belgelendirmiş ilk ve tek yerli kuruluş olduğu açıklandı.

Aynı zamanda Microsoft Internet Explorer, Mozilla Firefox, Google Chrome, Opera, Apple Safari, Blackberry gibi pek çok internet tarayıcısı ve mobil cihaz üreticisinin "güvenilir kök sertifika listeleri"ne girme başarısı gösteren tek Türk kuruluşu olduğunu kaydeden TürkTrust, internet dünyasınında yankı uyandıran olayla ilgili şunları kaydetti:
"ETSI TS 102 042 ESHS Yönetim Sistemi Standardı belgelendirme süreci içinde, Mayıs-Kasım 2011 tarihleri arasında sistemlerimizde iyileştirme ve geliştirme çalışmaları yürütülmüştür. Bu çalışmalar sırasında yazılım güncelleme ve veri taşıma kusuruna bağlı olarak aynı üretim paketinde yer alan 2 adet SSL sertifikasının Ağustos 2011'de hatalı olarak üretildiği Aralık 2012 tarihinde tarafımıza İnternet tarayıcıları tarafından yapılan bildirimle anlaşılmıştır. Bildirimin ardından geçerli olan sertifika derhal iptal edilmiş, tüm sistemlerimiz ayrıntılı biçimde incelenerek sorunun kaynağı kesin olarak saptanmıştır.

Yapılan incelemeler sonucunda, söz konusu hatalı üretimin sadece bir kez gerçekleştiği, sistemlerimize herhangi bir müdahalenin söz konusu olmadığı, hatalı üretim sonucu ortaya çıkan bir zarar bulunmadığı tespit edilmiştir. TürkTrust'ın sahip olduğu ve 2011 Aralık ayından bu yana uluslararası standartlara uygunluğu belgelendirilmiş güçlü ve güvenilir teknik altyapısı bu ve benzeri sorunların yeniden yaşanmasını kesin olarak engellemektedir. TürkTrust sadece ülkemizde değil dünyada da söz sahibi bir ESHS olma amacından en ufak bir sapma göstermeksizin çalışmalarına kesin bir kararlılıkla devam etmektedir. Bugüne kadar olduğu gibi bundan sonra da, müşterilerimizin ve değerli Türk Kamuoyunun paha biçilmez desteği ve gösterdiği teveccüh en değerli varlığımızdır."

Her iki güvenlik sertifikasını iptal ettik
TürkTrust İş Geliştirme Müdürü Atilla Biler, AA muhabirine yaptığı açıklamada, 2011 yılının Ağustos ayında kendi sistemlerinin yazılım güncelleme çalışmaları sırasında, "https" uzantılı internet sitelerinin güvenilirliğini denetleyen SSL sertifikalarının üretiminde sadece 2 adet sertifikanın hatalı üretildiğini söyledi.
Söz konusu bu sertifikalardan birisinin Ankara Büyükşehir Belediyesine bağlı EGO Genel Müdürülüğü, diğerinin ise KKTC Merkez Bankası için üretildiğini ifade eden Biler, KKTC Merkez Bankası için üretilen sertifikanın daha ilk kullanımda hatalı olduğunun tespit edildiğini ve derhal iptal edildiğini kaydederek, EGO'ya verilen sertifikanın ise 1 yıldan bu yana web mail sistemlerinde kullanıldığını vurguladı.

EGO'nun 6 Aralık 2012'de kendi bilişim sistemlerinde bir değişiklik yaptığını belirten Biler, "Bu sistem değişiliği sırasında bizim tarafımızdan EGO için üretilmiş sertifika aracılığıyla otomatik olarak istenmeyen bir google.com sertifikası üretmiş olabileceğini tahmin ediyoruz. Google Chrome tarayıcısının 26 Aralık'ta durumu fark ederek olayı raporlaması sonucu derhal harekete geçtik ve bunun üzerine EGO sertifikasını iptal ettik. Yaptığımız analizlerde de söz konusu sertifikanın bilgi güvenliği açısından her hangi bir olumsuzluğa neden olduğuna dair bir bulguya rastlamadık."

Biler, Google, Microsof ve Mozilla'nın askıya aldığı sertifikaların sadece EGO ve KKTC Merkez Bankası'ndaki sertifikalar olduğuna dikkati çekerek, diğer müşterilerini etkileyecek herhangi bir durumun söz konusu olmadığının altını çizdi.

Bu arada EGO yetkilileri de yaptığı açıklamada TürkTrust'tan aldıkları web güvenlik sertifikasındaki sorun nedeniyle yaklaşık 1 hafta süreyle internet üzerinden bazı hizmetleri veremediklerini ifade ederek, olayın ortaya çıkmasının ardından TürkTrust'ı bilgilendirdiklerini kaydetti.
Bunun üzerine TürkTrust'tan yeni bir güvenlik sertifikası alarak sistemlerine entegre entegre ettikleri açıklayan EGO yetkilileri, bu süre içinde bilişim alt yapılarında herhangi bir güvenlik açığının yaşanmadığını vurguladı.

SSL sertifikaların özelliği
SSL adıyla bilinen sertifikalar internet ağlarındaki bilgi transferi sırasında güvenlik ve gizliliğin sağlanması amacıyla Netscape tarafından geliştirilmiş bir güvenlik protokolüdür. Microsoft Explorer, Google Chrome, Mozilla Firefox, Apple Safari gibi dünyadaki tüm internet tarayıcılarının desteklediği bir standart haline gelen SSL güvenlik sertifikaları internette güvenli ve gizli veri trafiğini sağlamaktadır.
SSL sertifikalar gönderilen bilginin sadece doğru adreste deşifre edilebilmesini sağlarken, gönderilen bilginin otomatik olarak şifrelenmesini ve sadece doğru alıcı tarafından deşifre edilebilmesine imkan tanır. Bu sayede çift taraflı doğrulama yapılarak işlemin ve bilginin gizliliği korunur.
Bilişim uzmanları SSL üzerindeki veri akışının korunması için kullanılan 128 bitlik şifrenin kötü niyetli birileri tarafından kırılabilmesi için en az 1 milyon dolarlık bir teknik alt yapı ile 50 yıldan fazla bir zamana ihtiyaç duyulduğuna bildiriyor.
Bu güvenliğin sağlanması için kullanılan SSL sertifikalar "Sertifikasyon Otoritesi" olarak adlandırılan merkezlerce onaylanırken, bu otoritelerden birinin oluşturacağı sahte veya hatalı bir sertifika tüm dünyadaki SSL trafiğini tehlikeye atmaktadır. Dijital dünyanın noterleri olarak tanımlanan sertifika otoritesinin neden olabileceği herhangi bir tehlike, internet trafiğinin meraklı gözler tarafından takip edilmesinin yanı sıra SSL sertifika kullanan her tür altyapıyı da olumsuz etkilemektedir.
Böylesi bir tehdit karşısında Microsoft, Mozilla ve Google gibi internet tarayıcısı üreten şirketler güvenlik alarmı vererek sahte sertifikalarının kullanımını engellemektedir.