Üç büyük bankanın güvenliği zayıf

  • Giriş : 08.07.2006 / 00:00:00

Bilgisayar teknolojisinin insan hayatına getirdiği kolaylıklar aynı zamanda kötü niyetli kimselere de büyük kolaylıklar sağlıyor.

Facebook Twitter
Yazı Boyutu:


Özellikle internet ortamında güvenlik zaaflarından kaynaklanan hatalar, her yıl milyonlarca dolar paranın siyah şapkalı hacker’lar tarafından ‘iç edilmesi’ne sebep oluyor.

Peki günün birinde bu kurbanlar arasına sizin de katılmayacağınız ne malum?

İnternet üzerinden her yıl uçurulan milyonlarca dolarlık hırsızlıklara bakınca iletişim teorisyeni Neil Postman’ın ‘teknolojinin ahlaki temelden mahrum bir kültür meydana getirdiği’ görüşüne hak vermeden geçemiyor insan. Güvenmek ve itaat etmek zorunda kaldığımız teknolojiyi en üst seviyede kullanan bankalar her ne kadar çok güvenli olduklarını iddia etseler de beyaz şapkalı bir hacker onlarla aynı fikirde değil. Cyber-Warrior yöneticisi, Akıncılar Tim lideri Osmangazi isimli hacker, Türkiye’de binlerce şubesi olan üç büyük bankanın hesaplarına 2,5 haftalık uğraştan sonra girdiklerini açıklıyor. “Sitelerin açığı olup olmadığını anlamak için bunu denedik. Amacımız Türkiye’de kaos çıkarmak değil, çıkabilecek kaosu önlemektir. Bu konuda uyarı aldık.” diyerek yüzlerce şubeli bankaların isimlerini ısrarlarımıza rağmen açıklamayan hacker, güvenlik açığı olan bu üç büyük Türk bankasına enformasyon gruplarının uyarı yaptıklarını kaydediyor. Güvenlik açığından yararlanarak binlerce Türk vatandaşının yurtiçi ve yurtdışı hesaplarını gördüklerini ve içlerinde tanınmış zenginlerin de bulunduğu kişilerin büyük meblağlarına ulaştıklarını belirten hacker Osmangazi, bankalara yaptıkları iyi niyetli ikazların hemen ciddiye alındığını ve bu açıkların kapatıldığını söylüyor. Yani banka hesaplarınız şimdilik güvende olsa da, bu yeni bir açığın bulunmamasının garantisi değil elbette. Bu yüzden bankalar kadar size de iş düşüyor.

Peki 128 bitlik, mikro salisede değişen güçlü şifreleme sistemine sahip bankaların hesaplarına nasıl giriliyor? Bunun için bu sistemleri dondurup o şifre dönüşümünü yakalayacak güçlü bilgisayarlara ihtiyaç olduğunu söyleyen Osmangazi, kendilerinin şifreleme taktiklerini incelediğini ve bu şifrelemede önceden belirlenen bir algoritmayı keşfettiklerini söylüyor. Yani siz internet üzerinden sanal klavyeye şifrenizi girerken bu algoritma belli bir düzende değişiyor. Her tuşa bastığınızda yerleri değişen rakam ve harfler güvenliymiş gibi gözükse de Osmangazi, “Biz bu değişme sonunu bulduk. 3-4 aşamadan sonra birçoğu aynı yere geliyor. Sisteme bazı kod ve shell enjekte edince de sayfalara girilen pass’leri otomatik olarak çağırma yetkisi veriyor bu kodlar.” diyor. Bunun anlamı şu: Yani artık kim o bankanın internet sayfasına girip sanal klavyeden şifreyi tuşlarsa bu rakamlar doğrudan hacker’ın bilgisayarına gidiyor. Açıkların takibini sürdüren site üyeleri, bankaların adreslerine whois çekip hangi firmalarda ve hostlarda barındıklarını tespit ettiklerini ve buralarda basit hatalar bulduklarını ifade ediyor. “Sistemi güncelleyenler böyle bir açık bırakmayacak kadar titizlerdi; ama yazılım dillerini geliştirmemişlerdi. Hazır script kullanmamak lazım.” diyen Osmangazi, bu sayede bankaların sisteminde saklı kişisel bilgilere ulaşmanın mümkün olduğunu hatırlatıyor ve sizi hacker’ın bankadan arıyormuş gibi yaparak şifrenizi kolayca elde edebileceğini belirtiyor.

‘İki ABD bankasında da açık var’

Peki şifrenizi çalan ve hesabınızdan para çeken kişiyi bulmak mümkün mü? Osmangazi, “Herkesin bankalarda ölü, yani naylon bir hesabı bulunur. Bu hesaba giden çekilir. Hırsızlık ortaya çıktığında bu hesap numarası artık görünmez. İptal edilen No’ları bankalar belli süre zarfında tekrar başka şifrelerle yeni kişilere verdiği için bir müddet sonra iz kalmaz geride.” diyen beyaz şapkalı hacker, bazı devlet birimleri ve yetkili makamların bu bankalarda havuz kasaları olduğunu ve bunların özel güvenlik yöneticileri tarafından en küçük ayrıntısına kadar incelendiğini söyleyerek, bu sisteme ulaşmanın çok da mümkün olmadığını ifade ediyor. Bankaların depolarında bulunan hesaplarda her saniyenin geçmişinin kaydedildiğini ve buraların ayrı güvenlik duvarları ile korunduğunu söyleyen Cyber-Warrior Akıncılar Yöneticisi, sadece üç Türk bankasında değil iki ABD bankasında da açık bulduklarını ve bu bankaları uyardıklarını belirtiyor. Uyarılarını anında dikkate alan ABD bankalarında hesapları bulunan kişilerin şifre örneklerini de bize gösteren Osmangazi, bankaların güvenlik anlayışında paraya göre muamelenin de esas olduğu fikrinde. Osmangazi, “Milyarlarca lira harcanan internet bankacılığının ne kadar güvenli olduğunu savunmak elbette sistem yöneticilerinin görevi. Ancak kim deliğini yamadığı pantolonunu uzun süre kullanır?” diyor.

Devlet sitelerinin yüzde  60’ı riskli

Türkiye aleyhine yayın yapan siteleri hack’leyerek kendi deyimleriyle vatan topraklarına katan Cyber-Warrior üyeleri, Türkiye’nin önemli işyerleri, gov.tr, bel.tr ve k12.tr uzantılı devlet sitelerinin de açıklarını tespit ederek korumaya çalışıyor. “Buradaki açıklar güvenliğimizi ihlal edebilir. Bu olmasa bile prestijimiz açısından korunmalıdır. Devlet sitelerinin yüzde  60’ında açık var.” diyen Osmangazi, bu konuda bir vurdumduymazlık olduğu görüşünde. “Biz ilgili sitelere ‘şu açığınız var, düzeltin’ diye bildiriyoruz. Nasıl yapacaklarını da anlatıyoruz. Adamlar sallana sallana yapıyorlar, hiç özveri yok. Mesela Çevre Orman Müdürlüğü’nün açıklarını bir ayda zor düzelttirdik. Her gün 50 siteyi uyarıyoruz.” diyor.

‘Kimin ne kadar parası var biliyoruz’

gov.tr sitelerini vatanımızın sanal ortamdaki toprak parçaları olarak görüyor ve sahip çıkıyoruz. Türk server’larındaki bir sürü açık ve kodlama hatalarından kaynaklanan güvenlik sıkıntılarını gidermek için yardım ettik. Bunu yaparken asla karşılık beklemiyoruz. akpartibayrampasa.org, Ardahan.pol.tr, urla-bld.gov.tr, soma.gov.tr, gaziantep-meb.gov.tr/il, cevreorman.gov.tr, tgf.gov.tr, ankara-tarim.gov.tr bunlardan birkaçı.

İhtiyacı olanlar www.cyber-security.org adresini kullanıp yardım isteyebilirler.

Devlet siteleri asla taşeron host ve domain satış firmalarını referans olarak kullanmamalı.

Hesaplarda çok yüksek miktarda parası olanlar var. Maşallah gerek ülkemizde gerekse yurtdışında çok büyük miktarlarla iş çeviren kişiler var. Bunlar tanınmış ve gündemde olan simalar. Bunları biz biliyoruz ve bilgileri mevcut. Ancak özel hakları gerekçesiyle paylaşılması doğru olmaz.

Bize çirkin teklifler de geliyor. Ama biz hırsız değiliz, kimsenin tek kuruşuna ihtiyacımızd a yok. Biz bunları kendimize ilke alarak çıktık bu yola. Asla harama el uzatmayız.

Bir hacker’ın ağzından güvenli internet bankacılığının yolları

İnternetten banka sitesine girerken açılan sayfayı dikkatli kontrol edin. Güvenlik için ‘internet explorer’ınızda sayfanın sağ altındaki sarı renkteki kilit simgesi mutlaka olmalıdır. Kilit yoksa sayfaya girmeyin.

Şifrenizi sanal klavye yardımıyla girin.

Hangi adresten gelirse gelsin, kim atarsa atsın, hiçbir zaman mail adresinize gelen “lütfen şifrenizi yazıp yollayınız ya da şu link’e tıklayıp şifrenizi giriniz” gibi mail’lere asla itibar etmeyin.

Dosya alıp verirken tanımadığınız kişilerden herhangi isim altında veri aktarıp almayınız. Keyloger dediğimiz programı bilgisayarınıza bir kere upload ettikten sonra klavyenizden gireceğiniz tüm bilgiler o keyloger’ı size atana postlalanır.

Sizi çağrı cihazlarıyla arayan kişilere asla bilgi vermeyiniz.

Banka şifresi veya başka özel şifrelerinizi asla açık şekilde bilgisayarınızın herhangi bir klasörü içine kaydetmeyin.

Şifrenizi güncel tutmaya özen gösterin. Genelde klavye üzerindeki birbirinden bağımsız tuşları seçin.

Herkesin interneti rahatça kullanabileceği kafe, işyeri, büro gibi alanlarda özel bilgilerinizi girip işlerinizi halletmeyin. Girseniz de işiniz bittiğinde mutlaka çıkış butonuna basınız. Sistemden kesinlikle çıktığınızdan emin olmadıkça ilgili sayfayı kapatmayınız.

Bankalar sistemlerini her zaman online ve güncel tutmalılar. Müşterilerin güvenliğini üst düzeyde tutmalı ve verilerini farklı farklı server’larda saklamalılar. Gelebilecek saldırılara karşı hep alternatif planları olmalı.

Facebook Twitter Yahoo Google Linkedin Stumbleupon Delicious