TurkTrust’un Sahte Sertifika Olayı

3 Ocak tarihli Google Online Güvenlik bloğundan yapılan açıklamada 24 Aralık tarihinde Google Chrome’un sahte bir google.com sertifikası yakaladığı ve yasakladığını bildirdi.

Sertifika üzerinde yapılan araştırmalar TurkTrust tarafından imzalandığı tespit edildi. Sertifka detaylarına bakıldığında aşağıdaki alan adlarının tümünün imzalandığı gözükmekteydi:

*.google.com
*.android.com
*.appengine.google.com
*.cloud.google.com
*.google-analytics.com
*.google.ca
*.google.cl
*.google.co.in
*.google.co.jp
*.google.co.uk
*.google.com.ar
*.google.com.au
*.google.com.br
*.google.com.co
*.google.com.mx
*.google.com.tr
*.google.com.vn
*.google.de
*.google.es
*.google.fr
*.google.hu
*.google.it
*.google.nl
*.google.pl
*.google.pt
*.googleapis.cn
*.googlecommerce.com
*.gstatic.com
*.urchin.com
*.url.google.com
*.yo
utube-nocookie.com
*.youtube.com
*.ytimg.com
android.com
g.co
goo.gl
google-analytics.com
google.com
googlecommerce.com
urchin.com
youtu.be
youtube.com

 

Sözkonusu sertifika da sosyal medyada yayımlandı:

http://pastebin.com/0kchRaYp

 

Google hemen tüm browser üreticileri uyardı. İlk Chrome güncellemesinde TurkTrust’ın güvenlik sevisyesini düşüreceğini açıkladı. Artık TurkTrust sertifikaları eV (extended validation) olarak gözükmeyecekler.

TurkTrust’ın Cevabı

Olayın ortaya çıkması ile TurkTrust tarafından da bir açıklama yapıldı.

Sertifikalardan birinin 2011’de test amaçlı olarak oluşturulduğu da tespit edilmiş.

6 Aralık’ta bir başka sertifikanın (muhtemelen Google’ın yakaladığı sertifika) bir web mail arayüzüne tanımlandığının tespit edildiği de açıklamalar arasında.

Turkturst herhangi bir güvenlik sorunu olmadığını ve bahsi geçen sertifikaların iptal edildiği de açıkladı.

Diğer Reaksiyonlar

Google’ın diğer tarayıcı üreticilerine haber vermesiyle reaksiyonlar peşi sıra gelmeye başladı.

SSL'de eV (extended Validation) ve standart validation farkı

SSL’de eV (extended Validation) ve standart validation farkı

Opera’nın açıklamasında da TurkTrust’ın güvenlik seviyesinin düşürülmesine karar verildiği ve  Google gibi eV onayının kaldırıldığı duyuruldu.

Microsoft da konuyla ilgili açıklama yaparak yama yayınladı.

Mozilla daha sert bir tedbir alarak 8 Ocak’taki güncellemesinde TurkTrust sertifikalarını tamamen yayından kaldıracak:

Mozilla'nın Açıklaması

Mozilla’nın Açıklaması

TurkTrust Kimdir?

TurkTrust Kök Sertifikası

TurkTrust Kök Sertifikası

TSK Elele Vakfı’nın bir kuruluşu olarak, 14 Temmuz 2004 tarihinde kurulmuş bir şirket. 5070 sayılı Elektronik imza kanunu kapsamında  hizmet verecek ESHS (Sertifika Otoritesi)nin olarak hizmet vermektedir.

 

Bu hizmetlerin bir ayağı olan SSL sertifikası da kurumun hizmetlerinden biri olup, güncel sistemlerde de sağda görebileceğiniz gibi tanımlıdır.

 

Bu Olay Ne Anlama Geliyor?

Olayın ne anlama geldiğini açıklamak için öncelikle SSL’in nasıl çalıştığı hakkında bilgi vermemiz gerekiyor.

 

Standart Bir Bağlantı Nasıl Yapılıyor?

Standart bir bağlantıda veriler gönderen ve alıcı arasındaki bilgiler şifresiz şekilde iletilirler. Bu yöntemde veriler iki nokta arasında üçüncü şahıslar tarafından okunabilir hatta değiştirilebilir.

SSL’li Güvenleştirilmiş Bağlantı

SSL ile güvenleştirilmiş bir bağlantıda ise taraflar veri alışverişi öncesi sertifika belirterek bu sertifikaya göre şifreleme yaparak bilgi alışverişi yaparlar. Böylece sertifikayı elinde bulundurmayanlar verileri ele geçirse bile çözemezler. (En azından makul bir süre içinde çözemezler)

Genele açık olmayan sistemlerde sistem kendi içinde sertifika oluşturabilir. Ancak genel kabul gören sertifikalar için dünya üzerinde sayılı sayıda sertifika sağlayıcı firma bulunmaktadır.

Gelişmiş güvenlik önemlerine sahip sistemlerde, gelen sertifikaların geçerli olup olmadığı da bilgisayarlara ön tanımlı olarak gelen kök sertifika otoritelerinden kontrol edilir. TurkTrust da bu otoritelerden biridir.

TurkTrust Olayı

Kısaca üzerinden geçersek, Türktrust’daki sahte google.com sertifikası kullanılarak yukarıda belirttiğimiz Google servisleri veriliyormuş gibi sayfalar yayınlanabilir.

İşin daha vahim tarafı da bu sertifikalar gelişmiş güvenliğe sahip sistemlerde TurkTrust kök sertifikasının onayından geçerek geçerli bir sertifika gibi gösterilmiş olabilir.

TurkTurst’ın da arkasında TSK Elele Vakfı olduğu için sosyal medyada bu işin artniyetli olarak dinleme ve teknik takip amaçlı yapıldığı konusunda bazı düşünceler dile getirilmeye de başlandı.

Sertifikaların Ankara Büyükşehir Belediyesi’nin Otobüs İşletmesi olan EGO’nun üzerine yani *.EGO.GOV.TR üzerine kaydedilmiş olmaları da dikkate değer önemli bir ayrıntı.

Ne Yapmak Gerekiyor?

Öncelikle kullandığınız tarayıcıların gelecek güncellemelerini almanız gerekiyor. Ancak o zamana kadar sisteminizde TurkTrust sertifikalarını silmek maalesef en güvenli yol gibi gözükmekte.

Sonuç olarak TurkTrust ülkemiz adına önemli bir kazanım elde etmişti.

Yaşanan reaksiyonlardan da anlaşılabileceği üzere TurkTrust bu olayla birlikte kendi açıkladığı güven ve güvenirlilik yeteneğini kaybetmiş oldu.

Son yaşanan olayla birlikte SPAM, botnet gibi konularda kabarık olan ülke sabıkamıza bir de SSL sabıkasının eklenmesi hiç iyi olmadı.

Olayın bu noktada kalacağını sanmamakla birlikte önümüzdeki dönemde neler yaşanacağını hep beraber göreceğiz.

En Büyük 100B Siteden Kaçı WordPress Kullanıyor?

213İnfografiği görüntülemek için tıklayınız.

Açık kaynak kodlu içerik yönetim sistemi pazarında üç büyükler olarak ifade edebileceğimiz oyuncular WordPress, Joomla ve Drupal.

Üç yazılımın da pek çok farklı sitelerde uygulamasının yapıldığını görebiliyoruz. Peki ilk 100.000 sitede durum nedir diye düşünen güvenlik uzmanları araştırma yapmışlar ve şu sonuçlara ulaşmışlar:

CMS’lerin Savaşı

Piyasanın üç önemli içerik yönetim sistemi WordPress, Joomla ve Drupal’i karşılaştırdığımızda, ilk 100B* sitenin %11.2’sinin WordPress’i tercih ettiğini görüyoruz. Joomla %2.6 ile ikinci, Drupal ise %1.9 ile üçüncü sırada yer alıyor.

WordPress kullanıcı bakımından oldukça büyük bir fark atmış durumda.

WordPress Kullanıcıları Hangi Sunucu Ortamını Kullanıyor?

WordPress, PHP ve MySQL ile hazırlamış bir sistem olunca, haliyle de bu ikilinin en iyi çalıştığı Linux ortamında tercih ediliyor. WordPress kurulumlarının %98‘e yakın** bir oranı gibi büyük bir oranı Linux ortamında barındırılıyor.

En çok kullanılan sunucu ise %74.6 ile Apache. Yani WordPress sitelerinin 4/3’ü LAMP platformunu kullanıyor. Apache’yi ise 16.6% ile nginx takip ediyor.

Hangi Hosting Firması?

Yine ilk 100B site içindeki 11,000 WordPress’in 2,000 civarı Softlayer’da barındırılıyor. Softlayer’ı 500 site ile Mediatemple, 400 site ile GoDaddy ve 250 site ile Rackspace takip ediyorlar.

WordPress Kullanan ilk 20 Site Kimler?

Araştırmayı yapanlar ilk 100B siteyi incelerken ilk 20 WordPress sitesinin de listesini çıkarmışlar:

  1. WordPress.com – Ücretsiz WordPress Blogları Açılabilen Site
  2. clicksor.com – Online Reklam Ağı
  3. mashable.com – Sosyal Medya Haberleri
  4. techcrunch.com – Teknoloji Magazin
  5. tribalfusion.com – Online Reklam Ağı
  6. matomymedia.com – Online Reklam Ağı
  7. informer.com  – Bilgisayar Yazılımları Hakkında Rehber
  8. glispa.com – Reklam Ajansı
  9. smashingmagazine.com – Web Geliştirme Magazin
  10. tutsplus.com – Web Geliştirme Magazin
  11. wired.com – Teknoloji Magazin
  12. xda-developers.com – Mobil Uygulamalar Üzerine Magazin
  13. dyn.com – Dinamik DNS Servisi
  14. zendesk.com – Müşteri Hizmetleri Yazılımı (Tanıtım Sitesi)
  15. seriesyonkis.com – TV Dizileri Üzerine Site
  16. webhostingtalk.com – Hosting Hizmetleriyle ilgili Site
  17. perezhilton.com – Ünlülerle ilgili Dedikoduları Yayınlayan Bir  Magazin (Bizim televole, uçankuş türü bir site)
  18. newyork.cbslocal.com – CBS Kanalı New York Portalı
  19. searchengineland.com – Arama Motoru Optimizasyonu ile İlgili
  20. sitepoint.com – Web Geliştirme Magazin

Bana kalırsa listede sitenin trafiğinin WordPress kaynaklı olmadığı siteler bulunmakta. İlk göze çarpanlar online reklam ajansları ki, bunların kurumsal siteleri WordPress olmasına karşın, trafiklerinin meydana gelmesini sağlayan unsurlar aynı alan adı altından çalıştırdıkları reklam sunucuları.

WordPress Güvenli mi?

Araştırmayı yapan firma güvenlik odaklı bir firma olmasından dolayı, dikkat çektikleri bir diğer nokta ise WordPress kurulumlarının güvenliği oldu.

2004’ten beri yapılan incelemelere göre ilk üç yıllık periyod içinde WordPress çekirdeğine en çok güvenlik yamasının 2004-2007 arası yapıldığını görmekteyiz. 2007’den itibaren ise önemli bir azalma olduğunu görebiliyoruz.

Hiç bir yazılımın hele tüm kodları meydanda olan bir yazılımın güvenlik tehlikesinin yüksek olması beklense de son birkaç yıldır WordPress’in çok az miktarda güvenlik yamasına maruz kaldığı görülüyor.

Ancak eklentiler için aynı durum sözkonusu değil. Pekçok hazır WordPress eklentisi popüler olduklarında yoğun bir saldırıya maruz kalıyorlar.

Bu yüzden özellikle ücretsiz eklentiler tercih edilirken eklentilerin güvenli olduğuna emin olunmalı ve mümkün olduğunca az eklenti kullanılmalı.

Sonuç Olarak?

Netice itibariyle WordPress’in genel olarak büyük fark attığını görebiliyoruz. Ancak bu sayının ne kadarının WordPress’i CMS olarak kullandığı konusunda net bir sonuç ortada yok.

CMS için hangisi sorusunun cevabı en azından bu infografikte saklı değil ancak, en yaygın tema, eklenti ve bununla beraber iş olanağının da WordPress’te saklı olduğunu görmek için mümkün.

* 100B, 100.000 sayısının kısaltması olarak kullanılmıştır.
** Apache, Windows platformunda da çalıştığı için Linux ve Windows sunucu üzerindeki WordPress kurulumu sayısına dair net bir bilgi bulunmamaktadır. 

İhmal Etmeyin

Birçok masaüstü, mobil ve online uygulamalar daha önce yapılabilmesi mümkün olmayan projelerin hayata geçmesine olanak sağlıyor. Ancak iş sürecindeki kritik ihmaller projenin başarısını olumsuz yönde etkileyebilir.

Birkaç gün önce işte tam da bu konuya örnek teşkil edebilecek bir olay yaşandı.

Pazartesi’nden beri Fox TV’de sabahları yayınlanan haber programını sunan Fatih Portakal’ın başına gelen talihsiz olay birçok sitede yankı bulmuş durumda.

Fatih Portakal, programında www.turkiyesesver.com a gelen mesajları canlı yayında okuyordu.

Pazartesi günkü programda şöyle bir olay gelişti: Fatih bey yine her zamanki gibi izleyici görüşlerini siteden okuyordu. Programa sahte bir isimle mesaj atan kişi, Fatih beyin boş bulunmasından yararlandı ve içinde kötü bir söz içeren metni okumasına sebep oldu.

Daha önceki deneyimlerimden bu siteye üye olmadan da mesaj atılabildiğini anımsıyorum. Hatta durumu garipsemiştim. Görülen o ki gönderilen mesajlar da herhangi bir onay sistemine ya da filtrelemeye takılmadan Fatih beyin önüne düşüyormuş.

Teknik bir eksiklik olduğu gayet net. O mesajın canlı yayındaki sunucunun önüne düşmemesi gerekirdi. Bunu engelleyecek hiçbir önlem alınmamış.

Halbuki düzgün bir üyelik sistemi ya da en azından program asistanlarının moderasyonu ile Fatih beyin ekranına düşen bir sistem yapılmış olsaydı bu durumu yaşamayacaklardı.

Şu anda ilgili siteye girildiğinde de bakımda olduğunu hem de “mecburi” bakımda olduğunu görüyoruz. Zamanında gereken önem verilmiş olsaydı, bu mecburi bakıma da gerek olmayabilinirdi, üstelik düşülen bu zor durumda yaşanmamış olurdu.

Birçok projede görülen başka bir hata ise maliyet azaltmak nedeniyle müşteri da uygulama geliştiricinin yukarıdaki gibi olaylara mahal verebilecek güvenlik açıkları üzerine çalışamaması. Örnek olarak gösterdiğimiz projede böyle bir durum olduğunu ima etmiyorum. Ancak çoğu proje sonradan incelendiğinde tespit edilen kritik hatalardan biri de bu oluyor maalesef.

Buradan şu sonuca ulaşıyoruz. Bir yazılım ya da internet sitesi hazırlanırken mutlaka tüm unsurları iyice düşünülmeli, en kötü senaryoya göre bir sistem kurgulanmalı. Ehli uzman kişiden danışmanlık hizmeti alınmalı. Özellikle güvenlikle ilgili ön görülebilecek tüm tedbirlerin maliyetine katlanılmalı, ve tedbirler alınmalı. Aksi takdirde projenin başarısızlığa uğraması pamuk ipliğine bağlı oluyor.

Aynı deposuna benzin konulamayan Devrim otomobilinin yolda kalması neticesinde hiç üretilememiş olması gibi…