Jun 08 2014
10 Comments
Güvenlik

Netclean ve URL Tabanlı Engelleme

5 saniye içinde içeriği silmek mi? Bir dakika, ben mi her şeyi yanlış anladım?

İlk olarak Wikileaks’in bugün paylaşmış olduğu tweetlere bakalım:

Netclean kendi yaptığı tanıma göre; daha güvenli toplumlar için dijital ortamları tarayan, analiz eden ve içerikleri engelleyen yazılımlar sunan bir firmadır. Bununla birlikte, temel amacı çocuk pornosuna karşı mücadele etmektir. Ayrıca, yazılımları dünya çapında devletler, çok uluslu şirketler, İSS’ler ve kanun uygulayıcılar tarafından tercih edilmekte ve kullanılmaktadır. Çok yakın bir tarihte (30 Mayıs 2014) Türkiye’nin İsveç’ten Netclean firmasına ait WhiteBox ürününü 40 milyon Euro vererek alacağına dair haberler paylaşıldı. Bununla ilgili olarak Sabah gazetesinden bir kısa alıntı yapalım:

Özel hayatın gizliliğini koruyarak kişisel hakların ihlal edilmemesini isteyen hükümet, Twitter üzerinden yapılan yasa dışı paylaşımlara çözüm bulmak için kolları sıvadı. Twitter üzerinden paylaşılan yasadışı fotoğraf, görüntü ve bilgileri hemen silmek için Türkiye yazılım alıyor.

17 Aralık 2013 yolsuzluk operasyonu ile hükûmetin yaşadığı şok ve istihbaratın yetersizliği, Internet’in paylaşım ve insanlara ulaşım konusundaki büyük esnekliği ve bunu engelleyebilmek için de yetersiz bir altyapı Türkiye’yi yeni yazılımlar arayışına itmiş gözükmektedir. Bunun arkasında ise her zamanki gibi özel hayatın gizliliği ve kişisel hakların ihlal edilmemesi gereği yatmaktadır. Diğer taraftan, gizlilik hakkına bu kadar duyarlı olan hükûmetin 5651 sayılı kanunu hangi amaçla uygulamaya koyduğu ise çelişkinin bir boyutudur.

Yapılan araştırmalar sonunda Twitter’daki istenmeyen ve hakkında mahkeme kararı bulunan içerikleri engellemenin yolunun bulunduğu savunuluyor.

İstenmeyen içerikler ve hakkında mahkeme kararı bulunan içerikler diyerek ikiye ayırmak bir art niyet olarak görülmemelidir. Hükûmet, istemediği içeriği kaldırabilmek için 5651 ile altyapı hazırlamış fakat, kontrol edemediği alanlardaki istenmeyen içeriği de URL tabanlı engelleme ile baş etmek istiyordu. Erişim Sağlayıcıları Birliği ile bir çatı altında toplanacak olan İSS’ler, URL tabanlı engelleme için kurmaları gereken altyapıların yüksek maliyetli olması ve son yaşanan Netclean gelişmesi ile tek bir noktadan URL tabanlı engelleme gerçekleştirileceğine işaret etmektedir. Bu da daha önce de bahsettiğim üzere trafiğin tek bir noktada (Erişim Sağlayıcıları Birliği) toplanıp aynı noktada engellerin yapılacağı anlamına gelmektedir. Haberin son kısmında ise:

40 milyon euroluk yazılım sayesinde Twitter’da paylaşılan çocuk pornosu gibi illegal linkler anında temizleniyor. Temizleme işlemi ise yazılıma girilen anahtar kelimelerle gerçekleşiyor. Yazılımın birçok kişinin mağduriyetini gidermesi bekleniyor.

Dünya çapında izleme ve gözetimin 5 gözü olduğu söylenmektedir. Bunlar; Amerika, İngiltere, Avusturalya, Kanada ve Yeni Zelanda’dır. Bununla birlikte, Yeni Zelanda merkezli ve Avusturalya, İngiltere ve Yeni Zelanda’daki sansür sistemin arkasında bulunan firma olan Watchdog International’in Whitebox ile ilgili yayınlamış olduğu belgeye kısaca bir göz atalım:

  1. Whitebox, bir liste mantığı ile filtreleme gerçekleştiren URL tabanlı engelleme ve filtreleme yazılımıdır.
  2. Engellenmesi istenen URL’ler bu listelere girilerek gerçekleştirilir.
  3. DNS zehirleme filtreleri ile kullanılabilmekte fakat, tavsiye edilmemektedir.
  4. Bir proxy sunucusu ile çalışabilir fakat, tavsiye edilmemektedir.
  5. Çocuk pornosu gibi küresel konularda URL listeleri diğer ülkelerle paylaşılmalı ve erişime açık olmalıdır. Böylece daha etkili bir engel sistemi ve güncel URL listesi oluşturulabilir.

Öncelikle Whitebox, bir URL temizleme ve içeriği silme aracı değildir. Haberde bahsedilen temizlik işlemi URL’lere ait içeriğin silinmesine işaret ederken Whitebox’ın gerçekte yaptığı URL listesi ile URL tabanlı engelleme gerçekleştirmektir. Bir filtreleme yapmaktadır, yüksek trafiğe sahip websitelerde (örneğin Youtube) kullanılması tavsiye edilmemekte, DNS zehirleme filtreleri ile kullanılabilmekte, bir proxy sunucusu ile filtreleme yaparak hedef URL’ye erişim sağlayabilmektedir. Hürriyet Daily News’in konuyla ilgili haberine gelecek olursak:

“Different threats have occurred in the new world order. Countries are being subjected to colorful changes and seasonal revolutions formed by information technology and social media, Özel said.

Necdet Özel, yeni dünya düzeninde farklı tehditlerin ortaya çıktığını ve bilişim teknolojileri ve sosyal medyanın ülkelerde yaşanan dönemsel ayaklanmalarda etkili olduğunu belirtmiş. Bunun için de hükûmeti sosyal medyadaki yasalara aykırı paylaşımları engellemek amacıyla bir yazılım alması konusunda da uyarmış. Haberin devamında, İçişleri Bakanı Efkan Ala’ya yazılımla ilgili sunum gerçekleştirildikten sonra İçişleri Bakanlığı tarafından alıncağını belirtilmiştir.

Son günlerde yaşanan Internet’teki yavaşlığı da dikkate alırsak yeni bir URL tabanlı engelleme sistemimiz hayırlı olsun diyebiliriz. 40 milyon Euro gizlenmeye çalışılan çocuk felci salgınına harcanabilir miydi? Ama devletin bir süprizle karşı karşıya kalmaması için hükûmet nelerden ödün verebilir? Bir de orası var.

Tagged , , , , , , , , , , , , , , , , , , ,
May 28 2014
8 Comments
Rehber

Twister

Twitter sık sık erişeme engelleniyor mu? Twitter hesapları takip mi ediliyor? Twitter’a erişemezsek ne mi olacak? Bu soruların cevaplarını Twister’da bulabiliriz.

Twister; Miguel Freitas tarafından yazılmış ve merkezsizleştirilmiş özgür yazılım olan bir P2P mikroblog platformudur. Platform bağımsızdır. GNU/Linux, Windows, Android ve Mac OS için kurup kullanabilirsiniz. Bittorrent ve Bitcoin benzeri bir yapıda çalışmaktadır. Merkezsizleştirilmiş olması kimsenin erişime engelleyemeyeceği, sansürleyemeyeceği ve ifade özgürlüğünü elinizden alamayacağı anlamına gelmektedir. Bununla birlikte, noktadan noktaya şifreleme kullandığı için iletişim (tüm iletişim değil, özel mesaj) gizlice izlenemez. IP kaydınız tutulmaz. Ayrıca, açık kaynak ve ücretsizdir.

Twister nasıl çalışıyor?
Twister; 3 katmandan oluşan bir ağ yapısına sahiptir. Birinci katmanda kullanıcı hesaplarının oluşturulması ve doğrulanması için Bitcoin protokolü kullanılır. Aslında bu tamamen Bitcoin protokolünün kullanılmasından ziyade blok zincirini ifade eder. Bu da şu demektir; blok zincirleri noter görevi görürler ve oluşturulan kullanıcı adının kime ait olduğu ve hangi anahtar çiftine sahip olduğunu onaylarlar. Twister’da doğrulama ve şifrelemeyi oluşturan nokta burasıdır. İkinci katmanda DHT protokolü bulunmaktadır. DHT, üçüncü katman için istemcilerde kullanıcı kaynakları olarak anahtar/değer ve tracker konumlarını barındırır. Son katmanda ise birbirlerini takip eden kullanıcılar için Bittorrent yapısına dayanan bir bildirim (girdiler, uyarılar, cevaplar vs gibi) sistemi vardır. Daha detaylı bilgiye Miguel Freitas yazdığı makaleden ulaşabilirsiniz.

Kurulum
Kurulum GNU/Linux içindir ve oldukça basittir. Diğer sistemler için lütfen buraya bakın. İlk olarak terminali açalım ve derleme için gerekli paketleri kuralım:

sudo apt-get (pacman -S, emerge -av vs) openssl db boost miniupnpc

Daha sonra Twister çekirdeğini kuralım:

kame ~ $ git clone https://github.com/miguelfreitas/twister-core
kame ~ $ cd twister-core
kame ~ $ ./bootstrap.sh
kame ~ $ ./configure --enable-logging --enable-debug
kame ~ $ make
kame ~ $ sudo make install

Son olarak Twister için HTML kullanıcı arayüzünü kuralım:

kame ~ $ mkdir .twister
kame ~ $ cd .twister
kame ~ $ git clone https://github.com/miguelfreitas/twister-html.git html/

Çalıştırma
Kurulum sorunsuz bir şekilde tamamlandıysa aşağıdaki komut satırını herhangi bir değişiklik yapmadan çalıştırıyoruz:

kame ~ $ ./twisterd -daemon -rpcuser=user -rpcpassword=pwd -rpcallowip=127.0.0.1

Adres: http://127.0.0.1:28332/home.html

Blok zincirleri eski olduğu için bir süreliğine güncelleştirme yapacaktır. Ağ durumuna Network sayfasından bakabilirsiniz.

twister network

Görüldüğü üzere blok zinciri güncel ve Twister kullanılmaya hazır. Bu sayfanın alt kısmında tıpkı Bitcoin’de olduğu gibi madencilik yapabilirsiniz. Madenciliğin ne gibi bir katkısı var? Blok zincirlerinin zorluk derecesi arttıkça daha yüksek bir güvenlik sağlanıyor ve ne kadar çok kişi madencilik yaparsa o kadar çok yeni zincir oluşturularak kullanıcıların zincirlere kayıt süresi azalıyor. Güncelleştirme tamamlandıktan sonra Login sayfasından yeni bir kullanıcı oluşturabilirsiniz.

twister login

Kullanıcı oluşturduğunuzda kullanıcı adınıza ait ve saklamanız gereken bir adet anahtar da oluşturulacaktır. Böylece farklı sistemlerde veya cihazlarda Twister kullandığınızda kendi hesabınızı bu anahtar ile aktarabileceksiniz. Profil sayfasında profil fotoğrafı, mekan, website adresi gibi profilinize ait bilgileri girip kaydedeceksiniz. Burada dikkat etmeniz gereken kayıt bağlantısının belirli bir süre aktif olmamasıdır. Çünkü, blok zincirine kayıt olunması biraz zaman alıyor. Kullanıcı adınızı oluşturduktan sonra belirli bir süre bekleyin.

twister profil

Kullanıcı kaydı da gerçekleştirildikten sonra artık siz de mikrobloglama başlayabilirsiniz.

twister profil2

Twister’la ilgili bilemeniz gereken bir kaç nokta var. Bunları sıralayacak olursak:

  • Twister’ın yapısı gereği sizleri takip eden kullanıcıları göremiyorsunuz. Ama takip ettiğiniz kullanıcılar görülmektedir.
  • Kullanıcı adınız için oluşturulan anahtarı kaybederseniz kullanıcı adınızı geri alma şansınız kalmaz.
  • Unutulmaması gereken nokta da Internet trafiğiniz gözetim altında ise Twister sizlere gizlilik sağlayamaz.
  • Twister, secp256k1 adında Bitcoin ile aynı eliptik eğri parametresini kullanmaktadır. NSA’in sec256r1 parametresini kırdığı biliniyor. Fakat, aynı durum Bitcoin ve Twister’da kullanılan parametre için -şimdilik- geçerli değildir.

Son olarak, Twister Türkçe dile de sahiptir. Daha çok ilgi görmeyi hakediyor ve özellikle engellemeler yüzünden gittikçe yalama olan Twitter gibi platformlar yerine tercih edilebilir. Bir diğer durum da Twitter kullanıcılarının ifade özgürlüğü haklarını mahkemelerde savunsa da, NSA ve PRISM ile işbirliği yapmasa da ifade özgürlüğünü bir şirketin eline bırakmak yanlış olacaktır. Bu yüzden bireylerin Twistter gibi uygulamalara önem vermeleri ve desteklemeleri gerekmektedir.

Tagged , , , , , , , , , , , , , , , , , , , ,
May 26 2014
5 Comments
Güvenlik

Amerika’nın Günümüz Kriptografi Standartları Üzerindeki Etkisi

Kriptografi’ye girişin ikinci bölümünde Amerika’nın günümüzde sık kullanılan kriptografi standartları üzerinde nasıl bir etkisi var bunu inceleyeceğiz.

NSA skandallarından sonra kriptografinin ne kadar önemli olduğu, bir insan hakkı olan gizliliği yıllarca ne kadar küçümsediğimiz ve tüm bu gözetim ve izlemelere ne kadar hazırlıksız olduğumuz ortaya çıktı. Bununla birlikte, mesaj içeriğinin şifrelenerek araya girmeler olsa dahi iletişimin sadece gönderen ve alıcı arasında anlaşılır olmasını sağlamak için yıllardır algoritmalar oluşturulmaktadır. Ayrıca, kriptografide sık kullanılan algoritmalar kimler tarafından oluşturuldu, bunların bir standartı var mıdır ve algoritmalar üzerinde kimlerin etkisi vardır görmek iletişimin gizliliği açısından son derece önemlidir. Bu yüzden ilk olarak belli başlı bazı terimlerin neler olduğunu inceleyeceğiz.

1-NIST nedir?

Açılımı; National Institute of Standards and Technology. Adından da anlaşıldığı gibi bir standart kurumudur. Türkiye’de benzer (ne kadar benzer iş yapıyorlar, tartışılır) olarak TSE gösterilebilir. Bununla birlikte, 1901 yılında kurulmuş, Amerika’nın en eski fizik laboratuvarlarından da biridir. Genel olarak endüstriyel rekabetçiliğin olumsuzluğunu gidermek için ölçüm standartlarıyla ilgilenmektedirler. Nano düzeyde araçlardan insan yapımı olan en büyük ve karmaşık araçlara kadar ölçüm standartlarını desteklemektedirler.

2-FIPS (Federal Information Processing Standard) nedir?

FIPS; Türkçesi Federal Bilgi İşleme Standart’ı olan Amerika Birleşik Devletleri tarafından askeri olmayan devlet kurumları ve devletle iş yapan diğer kurumlar tarafından bilgisayar sistemlerinde kullanılması için geliştirilmiş bir standartlar bütünüdür. FIPS’in amacı tüm federal hükûmetler ve kurumların güvenlik ve iletişimde kullanacakları ortak bir standartın sağlanmasıdır.

3-Açık-Anahtar Algoritması (Public-key Algorithm) nedir?

Açık-anahtar algoritması daha çok asimetrik kriptografi olarak bilinen ve iki farklı anahtar olan açık ve gizli anahtarlardan oluştan bir algoritmadır. Anahtarlar farklı olmalarına rağmen matematiksel olarak birbirleriyle bağlantılıdırlar. Açık anahtar bir mesajın içeriğini şifrelemede veya dijital imzaları doğrulamada kullanılırken gizli anahtar ise şifreli mesajı açar veya dijital anahtarlar oluşturur. Günümüzde sık rastladığımız TSL, GPG, Diffie-Hellman, RSA ve PGP açık-anahtar algoritmasına örnek olarak gösterilebilirler.

Bu terimleri kavradıktan sonra ikinci olarak sık kullanılan algoritmaların neler olduğu, bunların kimler tarafından ne zaman oluşturuldukları ve üzerinde kimlerin veya hangi kurumların etkilerinin olduğuna bakalım.

AES – The Advanced Encryption Standart

Bilindiği üzere AES (Rijndael), simetrik şifre bloğu olup Joan Daemen ve Vincent Rijmen tarafından tasarlanmıştır. DES (Data Encryption Standart)‘in 56 bitlik küçük bir şifre bloğu olması ve giderek brute force saldırılarına karşı savunmasız kalması yeni bir standartın gerekli olduğunu gösteriyordu. AES ilk 1998 yılında duyrulup yayımlanmış, ardından 2001 yılıda (Rijndael) NIST tarafından Advanced Encryption Standart olarak seçilmiştir. Bu seçim süreci birçok farklı tasarımın elenmesinin ardından gerçekleşmiştir. NSA yarışmaya katılan tasarımların hepsini detaylı bir şekilde inceleyip NIST’e son seçimin en güvenli tasarım olması konusunda teknik destek verse de NIST NSA’den bağımsız olarak kendi kararını vermiş ve seçimini de AES’ten yana yapmıştır. Bu yüzden NSA’in AES’e ne bir katkısı ne de üzerinde bir etkisi mevcuttur denilebilir.

RSA – The Rivest, Shamil, Adleman Public Key Algorithm

RSA algoritması 1977 yılında MIT‘de kriptografi hocaları olan Ron Rivest, Adi Shamir ve Leonard Adleman tarafından tasarlanmıştır. Açık ve gizli anahtar şeklinde ikiye ayrılmatadır. Daha önceside, 1973 yılında bir matematikçi ve İngiliz istihbarat servisi GCHQ çalışanı olan Clifford Cocks, benzer bir algoritma tasarlamış ve belgelerinin yüksek derecede gizlilikleri yüzünden 1998 yılında keşfedilmiştir. Clifford Cocks uygulanması için dönemin pahalı bilgisayarlarına ihtiyacın olduğu, çoğunluk meraktan tasarladığı ve uygulanmadığını belirtmiştir. RSA hem akademik çevreler hem de NSA tarafından detaylı bir şekilde analiz edilmiştir. Bununla birlikte, NSA’in RSA’nın tasarlanmasında veya geliştirilmesinde herhangi bir katkısı yoktur.

Diffie/Hellman/Elliptic-Curve Diffie-Hellman/The Diffie-Hellman Key Exchange Algorithm

Diffie-Hellman algoritması 1976 yılında Stanford Üniversitesi’nde kriptografi hocaları olan Withfield Diffie ve Martin Hellman tarafından tasarlanmıştır. GCHQ çalışanları olan Malcolm Williamson, Clifford Cocks ve James Ellis tarafından birkaç yıl önce bulunmuş fakat yayımlanmamıştır. Diffie-Hellman’ın eliptik eğri sürümü ise bağımsız olarak 1985 yılında Amerikalı kriptologlar Victor Miller ve Neal Koblitz tarafından bulunmuştur. 2002 yılında Hellman, açık-anahtar kriptografisinin bulunmasında büyük katkısı olan Ralph Merkle‘nin de tanınması için algoritma adını Diffie-Hellman-Merkle olarak değiştirmiştir. NSA, potansiyel olarak zayıf olan eliptik eğri parametrelerinin NIST standartları içerisinde yer almamasını sağlamıştır.

DSA/ECDSA – The Digital Signature Algorithm/Elliptic Curve DSA

DSA algoritması dijital imzalar için bir FIPS standartıdır. 1991 yılında NIST tarafından dijital imza standarlarında (DSS) kullanılması için teklifte bulunulmuş ve 1993 yılında kullanılmaya başlanmıştır. Bununla birlikte, DSA 1991 yılında eski bir NSA çalışanı olan David Kravitz tarafından tasarlanmıştır. Ayrıca NSA, Eliptik Eğri DSA ya da ECDSA olarak bilinen diğer bir sürümünü de tasarlamıştır. DSA, akademik çevreler tarafından analiz edilmiştir.

SHA-1/The Secure Hash Algorithm 1

Ron Rivest tarafından tasarlanan MD5 algoritmasının uzun bir benzeri ve SHA-0 algoritmasının düzeltilmiş hali olan SHA-1, NSA tarafından tasarlanmıştır. SHA-0 ise 1993 yılında bir standart haline gelen NSA tasarımıdır. Fakat, 1994 yılında NSA kriptologları SHA-o tasarımında güvenliği azaltan bir sorunla karşılaştıklarında, bu açığı hızlıca kapatmak için bir NIST standartı olan SHA-1’le yer değiştirmişlerdir. Ayrıca, SHA-1 akademik çevreler tarafından analiz edilmiştir. Öte yandan, uzun yıllardır hem NIST hem de NSA SHA-2’nin kullanılmasını tavsiye etmektedir.

SHA-2/The Secure Hash Algorithm 2

NSA, dört farklı uzunluktan oluşan (224, 256, 384 ve 512 bit) hash algoritmarları içeren SHA-2‘yi tasarlamış ve NIST tarafından yayımlanmıştır. SHA-2 daha uzun hashlere sahip olduğu için SHA-1’e göre daha iyi bir güvenlik sağlamaktadır. Ayrıca, SHA-1’in tasarımdan kaynaklanan bazı algoritma açıklarına karşı daha iyi bir savunma oluşturur. Bu algoritmanın bir FIPS standart olması ise 2002 yılında gerçekleşmiştir. SHA-2 de akademik çevreler tarafından analiz edilmiştir.

Görüldüğü üzere, bizlerin kriptografide kullandığı bazı algoritmalar tasarlandıktan sonra yayımlanmış ve bilim adamları, matematikçiler, mühendisler vd. tarafından analiz edilmiştir. Ayrıca, bu algoritmalar için belirli standartlar oluşturulmuş ve güvenilirliği için onay verilmiştir. Öte yandan, günümüzde sık kullanılan bu algoritmalar üzerinde NSA ve GCHQ gibi istihbarat kurumlarının etkisi net olarak görülmekte,  bu algoritmalara benzer algoritmalar oluşturdukları ve yayımlamadıkları da bilinmektedir. Bilim etiği, planlı ve sistemli olarak toplanan verilerin analiz edilmesi, yorumlanması, değerlendirilmesi ve başkalarının da geliştirmesini içerse de gizliliğin istihbarat kurumlarının tekeline bırakılmaması gerektiğinin önemi bir kez daha gözler önüne sermektedir. Çünkü, iletişimin gizliliğini sağlamak amacıyla kullanılan birçok kriptografi algoritmasında istihbarat kurumlarının etkisi veya katkısından ziyade bireylerin daha açık ve daha özgür olarak tasarlanmış, analiz edilmiş ve geliştirilmiş algoritmalara ihtiyacı vardır. Bu, hem iletişimin gizliliğine olan güveni artıracak hem de asıl amacı gizliliği ortadan kaldırmak olan NSA ve GCHQ gibi kurumların küresel gözetim ve izlemesinden daha iyi bir şekilde korunmayı sağlayacaktır.

Tagged , , , , , , , , , , , , , , , , , , , , , , , , , ,
May 11 2014
12 Comments
Gizlilik, Güvenlik

Kriptografi’ye Giriş – I

Kriptografi çok geniş ve hem tarihsel hem de teknik anlatım açısından uzun bir konu olduğu için giriş kısmını iki parçadan oluşturdum. Bu ilk kısımda eski dönemlerde neler yapıldığı ve nasıl yapıldığı basit örneklerle anlatıldı.

Yüzyıllardır krallar, kraliçeler, generaller ülkelerini ve ordularını yönetebilmek, toprak bütünlüklerini koruyabilmek için etkili ve güvenli bir iletişimden destek aldılar. Aynı zamanda, mesaj içeriklerinin düşmanların eline geçmesi ile gizli bilgileri ortaya çıkartabileceği, ülke çıkarlarını tehlikeye sokabileceğini ve bunların yaratacağı tehlikenin de farkındaydılar. Bu yüzden mesaj içeriğini sadece mesajı alanın okuyabilmesi için kodlar ve şifreleme yöntemleri geliştirildi. Gizliliğe olan tutku, ulusların iletişimin güvenliğini sağlamak içn en iyi şifreleme yöntemlerini oluşturmak ve uygulamak için kod üreten bölümler oluşturmalarına neden oldu. Bu aynı zamanda da düşmanların şifreleri kırabilmek için uğraşmalarını ve gizli içeriği çalabilmelerini de sağladı (Singh, 2002).

Kriptografi, eski Yunanca’dan (kryptos ve graphien) gelmektedir. Genel olarak, birinin mesaj içeriği sade bir şekilde gizlemeye çalışması pratiği anlamına gelen “gizli yazı“‘dır. Temel anlamda, kriptografi; orjinal mesajı dönüştüren bir formül olan anahtara ya da gizlice kodlanmış mesaja denir. Bu kodlamının yapılması sürecine şifreleme, tersi işlemine de şifre çözme denmektedir (Curley, 2013). Mesajın bir anahtar ile şifreli koda dönüştürülmesi çok basit olabilir, fakat bu konuda birçok teknik mevcuttur. Ayrıca, bu dönüşüm işlemi daha karmaşık ve şifreli kodun çözülmesi ise daha zor olabilmektedir. Kriptografi’ye kısa bir giriş açısından bu yazıda ise sadece belirli bazı tarihsel olaylara bakacağız.

Romalı ünlü bir filozof ve devlet adamı olan Cicero‘ya göre gizli yazışmalar Herodot dönemine kadar uzanmaktadır. Herodot yazılarında İ.Ö. 5.yy’da Yunan şehirlerininin özgürlüğünü ve bağımsızlığını tehdit eden Pers saldırılarından bahsetmektedir. Bu konudaki yazılarından dikkati çeken bir şey de gizli yazışmaların Yunan şehirlerini depotik Pers imparatoru Xerxes‘ten kurtardığıdır. Xerxes, imparatorluğu için yeni başkent olarak Persepolis‘i inşaa etmeye başladığında Atina ve Sparta hariç tüm imparatorluktan ve komşu devletlerden hediyeler almıştı. Bu durum ise Yunanistan ile Pers İmparatorluğu arasındaki düşmanlığı bir krize çevirmişti. Kendini aşağılanmış hisseden Xerxes, “Pers İmparatorluğu’nun sınırlarını Tanrı’nın sahip olduğu gökyüzü, güneşin üzerine bakamayacağı uzunlukta topraklar kadar olmalı.” diyerek ordusunu toplamaya başladı.

İlerleyen 5 yıl içerisinde Xerxes tarihin gördüğü en büyük savaş gücünü gizlice oluşturdu ve İ.Ö. 480’de süpriz saldırı için hazırdı. Bununla birlikte, aynı zamanda Yunanistan’dan sürülmüş ve Susa adında bir Pers şehrinde yaşayan Demaratus, Pers ordusunun hazırlıklarına şahit olmuştu. Sürülmesine rağmen hala Yunanistan’a bağlılık duyan Demaratus, Sparta’yı Xerxes’in işgal planı hakında uyarmıştı. Bunu ise ağaç tabletlerin içine mesajlarını kazıyıp üzerine ise balmumu ile kapatatarak yapmış, böylece kontrolden geçen ağaç tabletler boş gibi gözükmüşlerdi. Demaratus’un bu gizli iletişim stratejisi basitçe mesajı gizlemeye dayanmaktadır. Ayrıca, mesajı gizlemeye benzer olarak aynı dönemlerde Histiaeus, Miletus’u Pers imparatoruna karşı ayaklandırmak için elçisinin başını kazıyıp mesajı kafasına kazımış ve elçi Miletus’a ulaşana kadar saçları uzadığı için mesaj gizli kalabilmişti (Singh, 2002).

Mesajın içeriğinin saklanarak yapılan gizli iletişime Yunanca’dan gelen steganografi denmektedir. Önemli bir nokta olarak bu bir “şifreleme” değildir. Steganografi’ye ait birçok örnek bulabilmek mümkündür. Eski Çinliler kaliteli ipeğe yazdıklarını balmumu ile top haline getirip elçiye yuttururlarmış. Kurt sütü olarak anılan tithymalus bitkisinden elde edilen sütü Romalı Gaius Plinius Secundus, görünmez mürekkep olarak kullanmıştır. Özelliği ise kuruduktan sonra transparanlaşan yazılar, yazıldığı yerin belirli bir oranda ısıtılması ile kahverengiye dönüşmektedir. Karbon açısından zengin birçok organik sıvının da buna benzer özellikler taşıdığı bilinmektedir.

Kriptografi’nin kendisi iki kola bölünebilir; yerini değiştirme ve yerine koyma. Yerini değiştirmede mesaja ait harfler yeniden düzenlenir, harflerin yerinin değiştirilmesine anagram da denilmektedir. Bu yöntem, özellikle tek bir kelime için göreceli olarak güvensizdir, çünkü sadece birkaç harfin yeri değiştirilerek yeni bir kelime oluşturulacaktır. Örneğin; kame, kmea, kmae, kema… Diğer yandan, harf sayısı arttıkça oluşuturulabilecek yeni kelime sayısı da artmaktadır. Örneğin, 10 harften oluşan bir kelime veya cümle sayısı 10! gibi büyük bir sayıya ulaşmaktadır. Harflerin rastgele yerine konulması göreceli olarak daha yüksek bir güvenlik sağlamaktadır. Fakat, herhangi bir yöntem veya neden olmadan oluşturulan yeni kelimeler alıcı için de çözülmesi imkânsız hale gelebilmektedir. Bu yüzden yerini değiştirme belirli bir sistemi takip etmektedir. Buna bir örnek olarak ray dizilimi verilebilir.

BU GİZLİ BİR MESAJDIR

B  G Z İ  İ  M S J I
 U  İ L  B R  E A D R

BGZİİMSJIUİLBREADR

İ.Ö. 4.yy’da da Sparta’da skytale adı verilen çokgen şeklinde bir sopa da yerini değiştirmeye örnek olarak verilebilir. Bu çokgen sopanın her bir yüzeyine yazılan yazılar çevrilerek okunur. Örneğin altıgen bir sopa:

       |   |   |   |   |   |  |
       | K | A | M | E | G |  |
     __| İ | Z | L | İ | K |__| 
    |  | V | E | G | Ü | V |
    |  | E | N | L | İ | K |
    |  |   |   |   |   |   |

KAMEG, İZLİLİK, VEGÜV, ENLİK = KAME GİZLİLİK VE GÜVENLİK

Yerini değiştirmenin alternatifi ise yerine koymadır. Yerine koymaya ait şifrelemenin ilk olarak Kâma-sûtra‘da, İ.S. 4.yy’da Brahman öğrencisi Vatsyayana tarafından kadınlara ahçılık, masaj, parfüm hazırlama, giyim gibi şeyleri öğretmek için oluşturulan 64 Kâma-sûtra resimden oluşmaktadır. Bu resimlere marangozluk, satranç ve büyü gibi resimler de dahildir. 45 numaralı resim mlecchita-vikalpa adında, gizli yazışma sanatı olan ve kadınlara gizli ilişkilerini saklamayı tavsiye eden bir resimdir. Temel olarak yerine koymaya dayanır. Örneğin:

A E M K
| | | |
Q P W O

Bu yöntemle biri sizlere “KAME” için “OQWO” yazması gerekecektir. Bu yöndemin ilk kullanılması Julius Caesar‘ın Galya Savaşları dönemine kadar gitmektedir. Tarihte kriptografi ile ilgili önemli olayardan biri de 7 Şubat 1587 yılında İskoç Kraliçesi Mary‘nin idamıdır. İdam kararının gerekçesi tacı kendine alabilmek için Kraliçe Elizabeth‘e suikâst girişimi ile vatana ihanettir. Kraliçe Elizabeth’in baş sekreteri olan Francis Walsingham, diğer komplocuları yakalamış, idam etmiş ve komplonun kalbindeki ismin Kraliçe Mary olduğunu kanıtlamak istemişti. Bu yüzden de Kraliçe Elizabeth’e Kraliçe Mary’nin suçlu olduğuna inandırması gerekmekteydi. Kraliçe Mary’nin direkt idam edilmemesinin sebesi ise eğer bir kraliçe idam edilirse isyancılar da cesaret bularak bir başka kraliçeyi öldürmek isteyebileceklerdi. Diğer yandan, Kraliçe Elizabeth ve Kraliçe Mary kuzenlerdi. Komplocular İngiliz Katolikleri’ydiler ve Protestan olan Kraliçe Elizabeth’i Katolik olan Kraliçe Mary ile değiştirmek istiyorlardı. Kraliçe Mary ile komplocular arasındaki gizli yazışmalar belirli bir şifreleme ile olmaktaydı ve Walsingham bu mektupları yakalasa bile kelimelerin ne anlama geldiği bilemeyecek algısı vardı. Fakat, Walsingham sadece baş sekreter değil ayrıca İngiltere gizli servisinin başındaki isimdi. Walshingman’ın Kraliçe Mary’e ait olan ve tarihte kanlı mektuplar olarak anılan gizli mektupları ele geçirmesi ile ülkenin şifre çözmesiyle ün yapan ismi Thomas Phelippes, bunları çözerek Kraliçe Mary’nin idam edilmesi önündeki engel de ortadan kaldırmıştır.

İslâm dünyasında ise tıp, astronomi, matematik, etimoloji ve müzk alanlarında toplam 290 kitap yayınlayan Al-Kindi‘nin şifre çözme üzerine olan “Şifrelenmiş Mesajların Şifresini Çözme Üzerine Bir El Yazısı” adlı 850’lerde yazdığı kriptoanaliz üzerine eseri, 1987 yılında İstanbul Osmanlı Arşivi’nde keşfedilmiştir. Özellikle istatistik ve Arapça üzerine yoğunlaşmış olsa da Al-Kindi’nin devrimsel keşfi “Şifrelenmiş bir mesajı çözmenin bir yolu; eğer biz yazının dilini biliyorsak o dile ait bir sayfa dolusu yazı bulur ve her harfin görülme sıklığına bakarız. En çok tekrarlanan harfin ilk harf şeklinde bütün farklı harfleri ve sırasını bulana kadar sıraya dizeriz. Daha sonra çözmek istediğimiz şifreli mesaja bakar ve ayrıca sembolleri sınıflandırırız. En çok tekrarlanan sembol daha önce oluşturduğumuz sıradan ilk harf olacak şekilde bütün sembolleri tamamlayana ve şifreli mesajı çözene kadar devam ederiz.” demektedir (Singh, 2002).

800 -1200 yılları arasında Araplar entelektüel ilerlemenin keyfini sürerken ve Al-Kindi’nin kriptoanaliz üzerine eserine rağmen, Avrupa basit kriptografi ile uğraşmakta idi. Fakat, 15.yy’dan sonra Avrupa’da Rönesans ile kriptografi de büyüyen bir endüstri haline dönüştü. Rönesans’ın kalbi olduğu için özellikle İtalya’da her şehirde şifreleme ofisleri kurulmuştu ve her büyük elçi bir şifreleme uzmanına sahipmişti. Aynı zamanda şifreleme bir diplomasi aracı haline gelmiş ve kriptoanaliz bilimi de Batı’ya entegre olmaya başlamıştı. Bu dönemlerde kriptologlar alfabetik harfler ile şifreleme yaparlarken, kritoanalistler ise tekrarlanma sıklıkları ile şifreleri çözmeye çalışmaktaydılar. Ayrıca, uluslar bu yöntemin çözülme kolaylığının ve yaratacağı tehlikelerin farkına kısa sürede vararak daha farklı şifreleme yöntemleri arayışına girmişler, boşluk, sembol ve harflerde oluşan yöntemler de geliştirmişlerdir. Örneğin; A = Kame, Ω = Internette, 30 = Gizlilik ve Güvenlik ise A Ω 30 = Kame Internette Gizlilik ve Güvenlik olmaktadır.

Son olarak, yukarıda yazanlar doğrultusunda gizli yazının bilimsel olarak dallarını inceleyecek olursak:

                                         ,_ Kelime
           ,_ Steganografi              /
	  /              ,_ Yerine koyma
Gizli Yazı              /               \,_ Harf
          \,_ Kriptografi
                        \,_ Yerini değiştirme

Her farklı kod, algoritma anlamına gelen bir şifreleme yöntemi olarak düşünülür ve her anahtar belirli bir şifrelemenin tam detayını belirler. Bu bağlamda, algoritma alfabedeki harflerin kod bloğundaki harflerle yerinin değiştirilmesi ve kod bloğu ile yeri değiştirilen harflerin tersi işlemle şifresinin çözülmesi ile gerçekleştirilir. Bir mesajın şifrelenmesi mesajı gönderinin sahip olduğu anahtar ve algoritma ile şifreleyerek, tersi işlemi gerçekleştirecek anahtara ve algoritmaya sahip olan alıcının şifreli mesajın şifresini çözmesi olarak da kısaca özetlenebilir. İletişimin arasına giren saldırgan anahtar ve algoritmaya sahip değilse mesajı ele geçirse bile şifresini çözeyemecektir. Buna günümüzden bir örnek istenirse gizli ve açık anahtar ile GnuPG‘yi gösterebiliriz.

—–
Singh, S. (2002). The Code Book: How to make it, break it, hack it, crack it. New York: Delacore Press
Curley, R. (2013). Cryptography: Cracking Codes. New York: Britannica Educational Publishing

Tagged , , , , , , , , , , , , , , , , , , , , , , , , , ,
Apr 18 2014
80 Comments
Rapor

Rapor – I

Kame’yi açtığım Ağustos 2013’ten Nisan 2014’e kadar kaç ziyaretçi geliyor, ne kadar okunuyor veya hangi yazılara ilgi var hiçbir fikrim yoktu. Network23, Mart ayının sonunda Piwik istatistiklerini aktif ettikten sonra blog ziyaretçilerinin de sayısal ve bazı tanımlayıcı bilgilerini (Kesinlikle IP ve ülke bilgileri yok. Sadece tarayıcı, ekran çözünürlüğü, en çok ziyaret edilen yazılar, anahtar kelimeler, yönlendiren websiteler vb.) görebilme fırsatım oldu. Açıkçası, bu istatistikler pek önemsediğim veya beni teşvik edici şeyler değil. Hatta hiç aktif edilmemesini de isterdim. Malesef, bu tarz hizmet aldığınız yerlerin işleyişilerine karışamadığınız için size sunulanı kullanmak durumunda kalıyorsunuz.

Durum böyle olunca ben de bundan sonra sizlere Kame’ye ait istatistikleri (15 günlük) şeffaflık amacıyla Türkiye’de ve Dünya’da yaşanan güncel konuları da dikkate alarak paylaşacağım. Şimdilik, bu istatistikleri 4 bölüme ayırdım. Bu bölümler sırasıyla:

  1. En çok ziyaret edilen yazılar,
  2. Ziyaretçilerin işletim sistemleri,
  3. Ziyaretçilerin kullandıkları tarayıcılar,
  4. Anahtar kelimeler.

Ziyaret edilen yazının okunup okunmadığını bilemeyeceğim için en okunan değil, en çok ziyaret edilen yazılar olarak belirttim. Ayrıca, iPhone, iPad ve iPod’un bir işletim sistemi olmadığını da biliyorum (gülücük). Analize başlamadan önce ilk olarak Kame’nin tanımını yapayım. Böylece, analiz daha anlamlı ve kapsamı daha belirgin hale gelecektir. Kame; Internet kullanıcılarını sansür, gözetim, erişim engelleri vb. konularda hem felsefi hem de teknik olarak bilgilendiren, anonimlik araçlarını anlatırken bu araçları kullanıma iten temel nedenleri sayan ve daha sonra kullanıma ait bilgi veren, bu çerçevede siyasi eleştiriler de getiren, inanç, dil, etnik kimlik, görüş gibi ayrımlar yapmadan herkesin hakkını savunmayı amaçlayan bir blogdur. Bu tanım kapsam olarak genişletilebilir, eksik gördüğünüzü düşündüğünüz bir şey olursa lütfen belirtin.yazilar

Nisan ayı itibariyle en çok ziyaret edilen yazı, gündemin de sıcak konusu olan Heartbleed olmuştur.  Düzenli ziyaret edilen yazılar ise Tor’a Giriş, DNS Leak Tehlikesi ve DNS’in Kökü olarak durmaktadır. Ayrıca, geçmiş yazılardan PGP Kullanın, Sosyal Medyada Açık Hesaplar ve Şifreler, Şifreler ve Şifreler de az da olsa ilgi görmektedir. Diğer sütunu Piwik’te ziyaret alan fakat sıralamaya giremeyen yazıları ifade etmektedir. Aslında bu kısmın içeriğinin bilinmesi de iyi olabilirmişti. Toplama bakıldığında öne çıkan yazıları hem benim görmem hem de burada daha açık bir şekilde ifade etmeme olanak sağlayabilirdi.

Türkiye’de yaşanan gelişmeleri de dikkate alacak olursak, sansürü ve engeli aşmak için Tor’a olan ilgi Twitter yasağının kalkmasından azalmış gibi gözükmekte fakat hâlâ Internet kullanıcılarının yoğun ilgisini çekmektedir. Bunu, yazının hergün ortalama 30 tekil ziyaretçi alması da göstermektedir. Öte yandan, I2P’ye olan ilginin düşük olması da benim açımdan düşündürücüdür. Buna yorum olarak, kullanıcıların kurulum ve kullanım kolaylığını tercih ettikleri ve bu yüzden de Tor’u tercih ettiklerini getirebilirim. Beni düşündüren bir diğer nokta da kullanıcıların sansür yazılarından çok sansürü aşmaya yönelmeleridir. Bu analiz çok kısa bir dönemi kapsasa da sadece anonimlik araçlarının okunuyor olması, sansürün nedenlerini gözardı ediyor ve kısa vadeli çözümlere yöneliyor oluşumuzdan kaynaklandığına –kesin nedeni olmamakla birlikte– işaret etmektedir.

sistemler

İşletim sistemlerine ait istatistikleri inceleyek olursak, Windows’un beklediğim gibi bir yoğunluğu gözükmektedir. Anladığım kadarıyla Windows kullanıcıları XP’den sonra 7’ye kaymış gibi durmaktadırlar. Benim açımdan sevindirici bir gelişme olarak Android’in 3. sırada olmasıdır. GNU/Linux kullanıcılarının tedavülden kalkan Windows XP’nin ve Mac OS’un da gerisinde kalması biraz üzdü diyebilirim. Özellikle NSA ve Microsoft işbirliğinin, NSA slaytları ve Snowden’in önemle vurguladığı noktalara rağmen, Türkiye açısından kullanıcıların ilk olarak Türkiye’yi dikkate alıp küresel gözetim ve izlemenin bu anlamda –kesin nedeni olmamakla birlikte– gözardı edilebilir olduğu şeklinde gözükmesidir. Bu sakın şu anlama da gelmesin; Türkiye’de (veya her yerde) kullanıcılar sadece GNU/Linux kullansın, başka bir şey kullanmasın. Ben sadece kendi kullandığım ve deneyim sahibi olduğum şeyleri önerdiğim için mümkünse Windows kullanılmamasını ve özellikle Windows XP kullanıcılarının karar vermek amaçlı GNU/Linux denemelerini öneriyorum. Ayrıca, sizleri Windows’a bağlayan çok belirgin bir şey yoksa (örneğin 3D yazılımlar vs.) ufak ufak sanal makinelerde GNU/Linux kurulum ve denemeleri de yapıp göç için hazırlığa başlayabilirsiniz.

tarayicilar

Tarayıcıları inceleyecek olursak, Chrome’un bu kadar yüksek kullanım oranına sahip olduğunu pek düşünmezdim. Başka bir şekilde ifade edecek olursam, Chrome ile Firefox arasındaki farkın en azından bu kadar fazla olmamasını beklerdim. Açıkça söylebilirim ki, hem Windows hem de GNU/Linux kullanıcıları olsun, genel olarak varsayılan tarayıcılar yerine Chrome’u tercih etmektedirler. Çok kısa süreli de olsa kullandığım Opera’nın ise anladığım kadarıyla kullanıcılarını Chrome’a kaptırmış gibi durmaktadır. Zorlama bir yorum olabilir; Firefox ve Chrome kullanıcıları yeni bir tarayıcı arayışında bu ikisinden birini tercih ederken diğerlerini tercih etmemekte, fakat diğer tarayıcıları kullananlar ise yoğunluk Chrome’da olmakla birlikte Firefox’a kaymaktadırlar. Yorumlardan sonra şunu da eklemek istiyorum; Chrome’daki kullanıcı artışının erişim engellerini aşmak için kullanılan ZenMate gibi eklentilere yönelimin artırması da olabileceği dikkate alınmalıdır. Aynı durumun Firefox için geçerli olmamasının sebepleri konusunda emin olmadığımı da belirtmeliyim.

Son olarak, arama motorlarında aratılan kelimeler üzerinden Kame’ye erişenlere bakacak olursak:

  • ayar yapılmadan izlenebilir pornolar
  • sansürü etkilemeyen porno siteleri
  • dnsyle porno sitelerine yakalanmadan girebilir miyiz
  • telefondan porno hangi siteden bakılır
  • porno vide aramak hangi programlar
  • reklamsız sansürsüz iğrenç pornolar
  • internetten porn izlerken jandarma engeli
  • yasak olduğunu bilmeyerek porno izlemek suç mu

Bu liste epey gidiyordu ama ben 8 tanesini paylaştım. Çoğunluk, sizlerinden de tahmin edeceği gibi “porno” üzerine yapılan aramaları içermektedir. Hatta aklınıza bile gelmeyecek içinde porno geçen sorgular var. Benim bu konudaki görüşüm; Kame sansür, gözetim ve erişim engelleri konusunda bilgilendirici engelleri aşmak konusunda yön gösterici bir site olarak düşünülürse, kullanıcılar porno izlemek istediklerinde erişim engelleri ile karşılaştıklarından dolayı bu engelleri aşmak için çözüm arayışına girmekte, fakat genel anlamda sansürü önemsememektedirler.

Sonuca gelecek olursak, Kame’nin yapılan tanımı kapsamında; Türkiye’de Internet kullanıcıları sansür, gözetim ve engelleri aşmak için kısa vadeli arayışlar içine girerlerken sansürün yapısı, işleyişi ve olumsuz etkileriyle çok fazla ilgilenmiyor gözükmektedirler. Ek olarak, porno; Türkiye ölçeğinde sansürü aşmak için kullanılan araçların araştırılmasında büyük bir katalizör olarak durmaktadır. Diğer taraftan, yaşanan gelişmelere rağmen Windows kullanım oranlarının yüksek, açık kaynak ve özgür yazılımlara olan ilginin hâlâ çok az olması küresel gözetimin ikinci plana itildiğine bir işaret olarak sunulabilir.  Son olarak, bu analiz ve istatistikler kısa bir dönemi kapsasa da bu sonuçların uzun vadede beklentinin daha fazla aksi yönünde gerçekleşebileceği de unutulmamalıdır.

Not: Bu yazıyı okuyan size sevgili ziyaretçilerden bir isteğim olacak. Eğer, GNU/Linux’a göç planları yapıyor fakat nereden başlayağacağınızı bilmiyor, hangi dağıtım, kurulum ve sonrası için basit bir anlatımla bu blogda yazılan yazılar gibi bir rehber istiyorsanız lütfen yorumu kullanarak bildirin. Bununla ilgili Şubat ayında da bu blogun takipçilerinden biriyle de iletişimim olmuştu. Yorumlarda en çok geçen dağıtımı temel alacağım. Bu yüzden özellikle isim belirtirseniz memnun olurum.

Ekleme (09.05.2014): Sizlerden gelen yorumlarda dağıtım olarak Lubuntu çoğunlukta olduğu için Lubuntu’yu temel alacağım.

Tagged , , , , , , , , , , ,
Apr 08 2014
15 Comments
Güvenlik

Heartbleed

SSL/TSL protokolü Internet üzerinde web sunucuları, tarayıcılar, e-posta, anlık mesajlaşma araçları ve VPN gibi uygulamaların şifreli bir şekilde haberleşmeleri için geliştirilmiştir. Temel amacı gizlilik ve güvenlik sağlamaktır. Açık ve gizli anahtara sahiptir. Açık anahtar ile şifrelenen veri gizli anahtar tarafından çözülür. Böylece iletilen verinin şifresinin doğru adreste ve doğru alıcı tarafından çözülmesi sağlanır. İşleyiş yapısına Wiki‘den (Türkçe) bakalabilirsiniz. Kısaca anlatacak olursak:

  • Ali -> Selam -> Ayşe diye bir mesaj yolladı. Bu mesaj desteklenen en yüksek TSL protokolü, rastgele bir sayı, doğrulama, şifreleme, mesaj doğrulama kodu (MAC) içeren şifreleme yöntemi ve bir sıkıştırma yöntemi ile yollandı.
  • Ayşe -> Selam -> Ali diye cevap verdi. Bu cevap da Ali tarafından seçilen TSL protokolü, rastgele sayı, doğrulama, şifreleme, mesaj doğrulama kodu (MAC) içeren şifreleme yöntemi ve sıkıştırma yöntemine uygun olarak verildi.
  • Ayşe -> Sertifika -> Ali mesajı yolladı. Bu mesaj şifreleme yöntemine uygun olarak şeçildi.
  • Ayşe -> SelamTamamlandı -> Ali diye bir mesaj daha yolladı.
  • Ali -> AnahtarDeğişimi -> Ayşe mesajı yolladı. Bu mesaj açık anahtarı (PreMasterSecret veya hiçbir anahtar) içermektedir. Bu değişimle artık üzerinden iletişim kurabilecekleri ortak bir sır belirleyebilecekler.
  • Ali ve Ayşe rastgele sayılar ve anahtar ile doğrulama ve şifrelemede kullanacakları ortak bir sır oluşturdular.
  • Ali -> ŞifrelemeYönteminiDeğiştir -> Ayşe mesajı gönderdi. Bu mesaj “Ayşe, bundan sonra sana göndereceğim her mesaj doğrulanacak ve şifrelenecek.” anlamına gelmektedir.
  • Ali -> Bitti -> Ayşe mesajı gönderdi. Bu mesaj  oluşturulan sır ile doğrulanmış ve şifrelenmiştir.
  • Ayşe Bitti mesajının şifresini çözmek isteyecektir. Eğer, oluşturdukları sıra uygun değilse el sıkışma gerçekleşmeyecektir.
  • Ayşe -> ŞifrelemeYönteminiDeğiştir -> Ali mesajı gönderdi. Bu mesaj da “Ali, bundan sonra sana göndereceğim her mesaj doğrulanacak ve şifrelenecek” anlamına gelmektedir.
  • Ayşe -> Bitti -> Ali mesajı gönderdi. Aynı şekilde oluşturulan sır ile doğrulandı ve şifrelendi.
  • Ali de Bitti mesajının şifresini çözecektir.
  • Son noktada, el sıkışma işlemi tamamlanmış olacaktır.

SSL/TSL’e kısa bir giriş yaptıktan sonra dün Heartbleed adıyla bir OpenSSL hatası keşfedildi. Heartbleed adı ise TSL/DTSL’de olan heartbeat (RFC6520) uzantısındaki hatadan geliyor. Bu hata normal şartlar altında şifreli bir şekilde korunun verinin çalınmasına sebep olabilmektedir. Bununla birlikte, gizli anahtar ile şifreli verinin çözülmesi, kullanıcıların sahip oldukları kullanıcı adı ve şifre gibi içeriklerin elde edilmesi, iletişimin dinlenebilmesi, verilerin servis veya kullanıcılardan hiçbir şekilde farkında olmadan çalınmasına olanak sağlamaktadır. Diğer yandan, yapılabilecek herhangi bir saldırının kolaylığı ve iz bırakmaması kullanıcıları büyük bir risk altına sokmaktadır. Yukarıdaki işleyiş örneğine de bakacak olursanız Ali ile Ayşe arasında geçen şifreli iletişim bu hata yüzünden saldırganların iletişimde kullanılan şifrelere sahip olmalarına ve mesaj içeriğini çok kolay bir şekilde elde edebilmelerine neden olmaktadır.

Nelerin sızmış olabileceğine dair olarak dört kategori oluşturulmuş. Bunlar; birinci anahtarlar, ikincil anahtarlar, şifreli veriler ve hafıza içerikleridir. Kısaca özetlersek; birincil anahtarlar şifreleme için kullanılan açık ve gizli anahtarları içermektedir. Saldırganın servisler tarafından şifrelenen trafiğin arasına girilebileceği, şifreyi çözebileceği, özellikle geçmiş trafiğin hatanın yamalansa bile şifresinin çözülebileceğidir. İkincil anahtarlar, servislerde kullanılan kullanıcı adı ve parola gibi kullanıcı içerikleridir. Şifreli veriler, servislerde tutulan verilerdir. Bunlar iletişime konu olan veriler, e-postalar, belgeler veya şifrelemeye konu olan herhangi bir içerik olabilmektedir.  Hafıza içerikleri de hafıza adreslerinde tutulan teknik detaylar olabildiği gibi çeşitli saldırılara karşı alınan güvenlik önemleri de olabilmektedir.

Ben de etkileniyor muyum?

Malesef etkileniyorsunuz. OpenSSL Internet üzerindeki trafiği şifrelemek üzere en çok kullanılan açık kaynak şifreleme kütüphanesi olduğu için en çok kullanılan sosyal medya siteleri, kurduğunuz SSL içerikli bir uygulama, ağ uygulamaları, hatta devlet siteleri bile gizlilik ve işlemleri (trafik, giriş vs.) korumak adına bu protokolü kullandığı için etkilenmektedir. Bu yüzden sizler de doğrudan veya dolaylı olarak etkilenmektesiniz. Ayrıca, ilk keşfedenlerin bu hatayı bulanlar olmadığını da unutmamalısınız. Hatayı duyuran Codenomicon ve Google‘dan Neel Mehta yaptıkları test saldırılarında durumun çok ciddi olduğunu ve bu açığın çoktan kullanılmış olabileceğini belirtmektedirler.

Hangi OpenSSL sürümleri etkilenmekte?

  • OpenSSL 1.0.1 ve 1.0.1f etkilenmekte,
  • OpenSSL 1.0.1g etkilenmiyor,
  • OpenSSL 1.0.0 etkilenmiyor,
  • OpenSSL 0.9.8 etkilenmiyor.

Hangi GNU/Linux dağıtımları etkilenmekte?

  • Debian Wheezy, (OpenSSL 1.0.1e-2+deb7u4) etkilenmekte,
  • Ubuntu 12.04.4 LTS, (OpenSSL 1.0.1-4ubuntu5.11) etkilenmekte,
  • CentOS 6.5, (OpenSSL 1.0.1e-15) etkilenmekte,
  • Fedora 18, (OpenSSL 1.0.1e-4) etkilenmekte,
  • OpenBSD 5.3 (OpenSSL 1.0.1c 10 Mayıs 2012) ve 5.4 (OpenSSL 1.0.1c 10 Mayıs 2012) etkilenmekte,
  • FreeBSD 8.4 (OpenSSL 1.0.1e) ve 9.1 (OpenSSL 1.0.1c) etkilenmekte,
  • NetBSD 5.0.2 (OpenSSL 1.0.1e) etkilenmekte,
  • OpenSUSE 12.2 (OpenSSL 1.0.1c) etkilenmekte.

Ne yapmalı?

Servis tarafını ilgilendiren duruma biz herhangi bir şey yapamıyoruz. Sadece, onların SSL sertifikalarını güncellemelerini bekleyeceğiz. Ardından, bir önlem olarak kullandığımız parolalarımızı değiştireceğiz. Bununla birlikte, bizi ilgilendiren tarafta ise ilk olarak dağıtımlarınızda kurulu olan OpenSSL paketinin sürümünü kontrol edin. Kontrol ettiğimde bende yüklü olan 1.0.1f olan sürümü 1.0.1g‘ye düşürüldü. Eğer, bu açıktan etkilenen bir sürüme sahipseniz ilk iş olarak etkilenmeyen sürümlere geçin. Muhtemelen, bir güncelleme çıkmıştır.

Tagged , , , , , , , , , , , , , ,
Apr 01 2014
53 Comments
Güvenlik, Rehber

Unbound

Bugün, Google da Türk Telekom’un hukuki bir dayanak olmadan DNS sunucularını yönlendirdiğini ve Türkiye’deki Internet kullanıcılarının fişlendiğini belirten bir değerlendirme yaptı. İletişim özgürlüğüne ve özel hayatın gizliliğine yapılmış sayısız ihlale bir yenisinin daha eklenmesinin yanında henüz TİB ve Türk Telekom’dan da konuyla ilişkili bir bilgi verilmedi. Türkiye’de Google ve Open DNS sunucuları hukuka aykırı ve hiçbir dayanağı olmadan Türk Telekom’a yönlendiriledursun, bu durumu aşabilmek için çeşitli yöntemler de mevcuttur. Bunlardan biri GNU/Linux altında Unbound kurarak kullanıcı kendini DNS önbellek zehirlemesinden ve sahte yönlendirmelerden koruyabilir. Ayrıca, özellikle DNS sorgusunda araya girilmediği ve yapılan sorguların bu şekilde elde edilmediği takdirde de gayet iyi bir yöntem olacaktır.

Unbound; önbelleğe sahip ve DNSSEC doğrulaması yapan bir DNS çözümleyicisidir. Harici bir DNS sunucusuna ihtiyaç olmadan DNS çözümleme işlemini yerine getirir. İstenildiği takdirde harici DNS sunucusu da kullanılabilir. Bununla birlikte, DNSSEC ise Türkiye örneğindeki gibi kullancıyı ve uygulamayı manipüle edilen DNS verilerinden sahip olduğu dijital imza ile koruyan bir özelliktir. Biz ise örneğimizde DNSSEC doğrulaması yapan ve yerel bir DNS çözümleyici için Unbound kurup ayarlayacağız. İlk olarak, Türkiye’deki OpenDNS, Google DNS ve İSS’lerin kendi DNS sunucularının verdiği çıktıya bakalım:

nslookup twitter.com
Server:    192.168.1.100
Address:   192.168.1.100#53

Non-authoritative answer:
Name       twitter.com
Address:   195.175.254.2

nslookup twitter.com 8.8.8.8
Server:    8.8.8.8
Address:   8.8.8.8#53

Non-authoritative answer:
Name       twitter.com
Address:   195.175.254.2

nslookup twitter.com 208.67.222.222
Server:    208.67.222.222
Address:   208.67.222.222#53

Non-authoritative answer:
Name       twitter.com
Address:   195.175.254.2

Görüldüğü üzere iki DNS sunucusu ile İSS engelli sayfayı sahte bir DNS sunucusuna yönlendirilmekte ve kullanıcı sahte DNS sunucusunda bekletilmektedir. Bu, Google’ın değerlendirmesi ve ayrıca daha önceden de bu konuya ilişkin yazılmış yazılar da doğrulamaktadır.

Şimdi, Debian ve türevi dağıtımlar için Unbound kuruluma geçecek olursak (Windows için buradan indirebilir ve yönergeler için el kitabına bakabilirsiniz. Gayet basitçe anlatılmış.):

kame ~ $ apt-get install unbound unbound-anchor
kame ~ $ sudo cp /etc/unbound/unbound.conf /etc/unbound/unbound.conf.save
kame ~ $ sudo wget -c ftp://FTP.INTERNIC.NET/domain/named.cache -O /etc/unbound/root.hints
kame ~ $ sudo cp /var/lib/unbound/root.key /etc/unbound/root.key
kame ~ $ sudo chown -R unbound:unbound /etc/unbound/root.key

/etc/unbound/unbound.conf:

###
server:
	auto-trust-anchor-file: "root.key"
	interface: 127.0.0.1
	interface: ::1
	root-hints: "root.hints"
	num-threads: 2
	hide-identity: yes
	hide-version: yes
	msg-cache-size: 16m
	msg-cache-slabs: 8
	rrset-cache-size: 32m
	rrset-cache-slabs: 8
	infra-cache-numhosts: 20000
	infra-cache-slabs: 8
	key-cache-slabs: 8
	key-cache-size: 8m
	jostle-timeout: 250
	so-rcvbuf: 4m
	so-sndbuf: 4m
	harden-short-bufsize: yes
	harden-large-queries: yes
	harden-glue: yes
	harden-dnssec-stripped: yes
	harden-below-nxdomain: yes
	prefetch-key: yes
	prefetch: yes
	unwanted-reply-threshold: 10000000
	rrset-roundrobin: yes
	outgoing-range: 8192
	num-queries-per-thread: 4096
	do-udp: yes
	do-ip4: yes
	do-ip6: no
	do-tcp: yes
python:
remote-control:
forward-zone:
###

Kopyalayıp kaydedin. Ağ yöneticinizdeki DNS sunucuları ayarını 127.0.0.1 yapın ve Unbound servisini çalıştırın (systemd ve openrc için iki örnek aşağıda).
kame ~ $ systemctl enable unbound.service
kame ~ $ systemctl start unbound.service
kame ~ $ /etc/init.d/unbound start

Yukarıdaki ayarlar hemen hemen bütün dağıtımlarda çalışacaktır. Herhangi bir sıkıntı yaşayacağınızı düşünmüyorum. DNSSEC kontrolü yapalım:

kame ~ $ dig sigok.verteiltesysteme.net @127.0.0.1

; <<>> DiG 9.9.5 <<>> sigok.verteiltesysteme.net @127.0.0.1
;; global options: +cmd
;; Got answer:
;; HEADER opcode: QUERY, status: NOERROR, id: 5409
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 4

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;sigok.verteiltesysteme.net.	IN	A

;; ANSWER SECTION:
sigok.verteiltesysteme.net. 60	IN	A	134.91.78.139

;; AUTHORITY SECTION:
verteiltesysteme.net.	3600	IN	NS	ns1.verteiltesysteme.net.
verteiltesysteme.net.	3600	IN	NS	ns2.verteiltesysteme.net.

;; ADDITIONAL SECTION:
ns1.verteiltesysteme.net. 3600	IN	A	134.91.78.139
ns2.verteiltesysteme.net. 3600	IN	A	134.91.78.141

;; Query time: 1070 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Tue Apr 01 11:49:29 2014
;; MSG SIZE  rcvd: 167

Bu şekilde A çıktısı alıyorsanız DNSSEC doğrulaması yapılmakta olduğunu söyleyebiliriz. Bununla birlikte, DNSSEC doğrulaması yapabileceğiniz siteler de mevcuttur:

Şimdi, Unbound’un sorunsuz çalıştığını ve DNSSEC doğrulaması yapıldığını farzederek Twitter çıktımızı tekrar kontrol edelim:

nslookup twitter.com 127.0.0.1
Server:         127.0.0.1
Address:        127.0.0.1#53

Non-authoritative answer:
Name:   twitter.com
Address: 199.59.148.82
Name:   twitter.com
Address: 199.59.149.230
Name:   twitter.com
Address: 199.59.149.198

Her şey yolunda gözüküyor. Yerel DNS çözümleyicimiz sayesinde İSS’nin yapmış olduğu yönlendirmeye takılmadan kullanabiliriz. Diğer yandan, adres/IP manipülasyonlarında da sahip olunan dijital imza ile kullanıcı korunabilecektir. Unbound, yerel DNS çözümleyici ve DNSSEC ile doğrulama gerçekleştirerek yaşanabilecek sıkıntıların engelleyebilmektedir. Türkiye’de Internetin gelmiş olduğu noktaya bakacak olursak herhangi bir sosyal medya üzerinde verilen DNS sunucularını kullanmak yerine Unbound iyi ve güvenli bir çözüm gibi durmaktadır. Açıkçası, Türk Telekom ve TİB’in bundan sonra ne tür bir yöntem ile Internet üzerinde kullanıcı takibi, sorgu denetimi yapabileceğini, SSL sertifikalarında mitm yapıp yapmayacağını, sahte sertifika üretip üretmeyeceğini de kestiremediğim için kesin bir şey söyleyemiyorum. Aceleci bir yapım olmadığı için bekleyip görmeyi tercih ediyorum.

Tagged , , , , , , , , , , , ,
Older posts
Newer posts