dikkat, Büyük Birader ayakkabınızı dinliyor

spor ayakkabıları üreten Nike firmasının yeni piyasaya çıkardığı bir ürün iPod nano mp3 çalarla iletişim kurabiliyor. Nike+iPod sports kit adı verilen ürün ile gelen algılayıcı ünitesini ayakkabının iç tabanında özel olarak hazırlanmış böşluğa yerleştiriyorsunuz. daha sonra yine kit ile gelen telsiz okuyucu modülünü iPod nano çalarınıza bağlıyorsunuz. artık müziğinizi dinliyerek koşuya başlıyabilirsiniz. istediğiniz zaman ayakkabınız araya girerek size performansınız ile ilgili bilgileri sesli olarak sunuyor.

haberi okuduğum sitede bu set in Amerikadaki fiyatları hakkında bilgi de vardı. Ayakkabi 100$, algılayıcı ve okuyucu 29$. iPod nano 149$. yuvarlak hesap 300$ verip en son teknoloji koşu teçhizatına sahip olabiliyorsunuz. tabii şunuda unutmayalım, koşu bittikten sonra saklanan bilgileri bilgisayarınıza aktararak değişik analizler yapmanızda mümkün olabiliyormuş.

buraya kadar sanki Nike reklamı yapıyormuşum gibi gelebilir okuyuculara. hayır böyle bir niyetim yoktu. zaten onlarında benim yapacağım reklama ihtiyaçları olduğunu sanmam. işin çok başka bir boyutu var.

mahremiyet (privacy) in zedelenmesi boyutu.

şimdi bu da nereden çıktı demeyin. Washington Üniversitesinde bir grup araştırmacı bu ayakkabiların ürettiği sinyalin 20m mesafeden bile algılanabildiğini tesbit etmişler. bunun üzerine bir proje hazırlamışlar. bu proje kapsamında tasarladıkları elektronik sistemlerle Sport kit ile koşan kişilerin takibe alınabildiğini ispatlamışlar. hatta topladıkları bilgileri Google Maps ile ilişkilendirmeyi başarmışlar. bu şekilde gerçek zamanlı olarak koşucunun yeri harita üzerinde görülebiliyor.

projenin teknik yönlerini etraflı şekilde açıklayan bir doküman burada teknik detaylardan sıkılabilecek okuyuculara tavsiyem sayfada sunulan sıkça sorulan sorular kısmını okumalarıdır.

olayın özünde yeni teknolojileri ürünlere entegre eden tasarımcıların ve bunları satan ticari şirketlerin tüketicinin mahremiyeti konusunda son derece dikkatsiz davranıyor oluşları var.

uzun zamandır barkod sisteminin yerini alacağı söylenen RFID sistemide aslında aynı prensip ile çalışıyor..mahremiyet ve kişisel bilgilerin gizliliği konularında uzmanlaşmış sivil toplum örgütleri bunun sakıncalarını dile getirmekteler. Washington Üniversitesinin araştırması onların ne kadar haklı olduklarını bir kere daha göstermiş oluyor.

aynı konuda Wired dergisinde çıkan bir makale burada. tavsiye ederim.

yamalı bohça

kendilerine “zert / zeroday emergency response team” adını veren bağımsız mühendislerden oluşan bir grup “internet explorer” için bir güvenlik yaması yayınladı. tabii bu bir “gayriresmi” yama. yani programın üreticisi tarafından yayınlanmayan ve desteklenmeyen bir yama.

bu yama, programda teknik jargonda ifade edildiği şekliyle  “vector markup language” bileşeninde yakınlarda keşfedilen bir güvenlik açığını kapatıyor. bu açık daha öncede pekçok kereler rastlanan biçimde, saldırganın bir sistemi ele geçirebilmesine yol açıyor. şimdiden bu açık rusyada konumlanmış bazı “yetişkin/porno” wabsiteleri tarafından suistimal ediliyor.

teknik olarak bu açık “microsoft vector graphics rendering” (vml) kütüphanesinden (vgx.dll) kaynaklanıyor. “vector markup language” (vml) kullanılan bazı belgelerin içeriği sınırlama hatasına yolaçıyor. bu hatadan yararlanarak bir “buffer overflow” elde etmek mümkün. bunuda “rect” etiketinin içini çok çok uzun bir “fill” metoduyla doldurarak yapıyorlarmış.

“zert”, kullanıcıların program yapımcılarının ürettiği yamaları beklemek zorunda olmadıklarını söylüyor. “zert” 2005 aralık ayında kurulmuş ve ılk olarak o güne kadar sık sık suistimal edilen “windows metafile” açığını kapatan bir yama yayınlamıştı.

“secunia” güvenlik portalına göre bu açık “extremely critical” derecesini haiz. yani portalın en üst derece tehlike değerlendirmesini taşıyor.

microsoft ise her zamanki gibi yayımladığı bir bildiriyle bu yamanın uygulanmasının tavsiye edilmediğini açıkladı. söylentilere bakılırsa “microsoft” da kendi yaması üzerinde çalışmakta. bu yamanın 10 ekimde çıkacak olan standart düzenli yama neşriyatı içinde yer alması planlanmış. ancak durum aciliyet kazandığı takdirde yamanın bu tarihten öncede çıkarılabileceği dedikodusu dolaşıyor.

diğer taraftan “symantec” den “oliver friedrichs” verdiği bir beyanatta kullanıcılara önce microsoftun geçici çözümlerini veya üçüncü-el güvenlik koruyucu yazılımlarını uygulamalarını bu ihtimaller çözüm olmayacaksa son şans olarak üçüncü-el yamaları uygulamalarını tavsiye etti.

daha sonra aynı uzman “zert” için, bunlar kendilerine isim yapmak için el çabukluğuna başvuracak bir kurum değil. bu işleri biliyorlar ve herhalde microsofttan sonra bu işi en iyi yapapabilecek olanlar onlar dedi.

diğer yandan “symantec“  bu açığı kullanan bir “casus” programı “trojan.vimalov” olarak adlandırıyor. şu anda bu “casus” un bazı rus “yetişkin” sitelerinden bulaştığını ama bunun başka sitelerede yayılabileceği bildiriliyor.

yama “zert” websitesinden indirilebiliyor. microsoft yaması çıktığında siteden kaldıracaklar.

(bu yazı symantec, secunia, technewsworld, sans, zert malumatlarından derlendi)

renkli lazer yazıcınız bir casus olabilirmi

  2004 yılında “pc world” mecmuasında renkli laser printer kullananların mahremiyetini zedeleyen bir uygulamadan söz edilmişti. makalede böyle bir cihazda bir çıkış alındıktan sonra “led / light emitting diode” ışık kaynağı olan bir el feneri yardımıyla kağıdı aydınlatıp sonrada bir büyüteç ile incelemek gerektiği kaydediliyordu. şayet kağıdın üzerinde sarı noktalar görülüyorsa elinizdeki kağıttan izinizin tesbit edilebileceği sonucu çıkıyordu.

uzmanlara göre bazı imalatçılar renkli lazer ve fotokopi cihazlarında basılan her dokümanın üzerine cihazın seri numarasını ve diğer bazı malumatı yerleştiriyor. amerikan hükümetide bundan yararlanarak sahte para basanların izini sürüyordu. bir “xerox” yetkilisi bazı cihazlarının makina seri nımaralarını küçük sarı noktalar şeklinde kağıda bastığını açıkladı. bu noktalar 2-3 cm de bir basılıyor ve küçüklükleri (0.1 mm) ve renkleri nedeniyle çıplak gözle görülmüyorlar. görülebilmesi için kağıdın mavi “led” ışığı ile aydınlatılması ve büyüteçle incelenmesi gerekiyor.

amerikan gizli servisi yetkilileri işlenmiş bir suç olmadıkça bundan yararlanılmadığını söyleseler bile gizliliğin korunması konusunda çalışan sivil dernekler şiddetle karşı çıkıyorlar. diğer taraftan bu fonksiyonu durdurmayı denemenin printeri bozmaktan öte pek bir faydası olmayacağı anlaşılıyor. zira bu noktalar bilgiler tam lazere gönderilme anında bir chip tarafından kodlanıyor.

bu arada aynı konuda bir başka haber “hollanda” polisininde sahtekarların yakalanmasında bu imkanı kullandığı şeklindeydi. piyasada pek çok printer markası varsada aslında bunların kalbi sadece birkaç japon firması tarafından yapılıyor. toshiba, canon, ricoh gibi. anlaşıldığına göre hükümetler bu konuda bu imalatçılarla yardımlaşıyorlar. bunlardan “canon” bu tür işbirliğine sıcak bakıyor. firma yetkilileri bu yönde açıklamalar yaptılar. “pc world” makaleleri burada

2004 yılında ortaya çıkan bu gelişmelerden sonra 2005 yılında “eff” (electronic frontier foundation), kişisel bilgilerin mahremiyeti konusundada çok hassas bir kurum, olayı ele aldı ve yakından inceledi. elde ettikleri değerli bilgiler websitelerinde sunuluyor. burada ve burada.

“eff” nin 2005 sonundaki çabalarından sonra ben dikkate değer bir gelişme izleyemedim. türkiyede bu alanda olup bitenler ise bence tümden meçhul. printer imalatçılarının yanında emniyetin ilgili birimlerininde bir açıklama yapmaları uygun olurdu. zira tüketicinin ne satın aldığını bilmeye hakkı vardır sanıyorum.

 

ileri şifreleme standardı (aes)

elektronik bilgilerin korunması amaçlı bir şifreleme algoritmasıdır. “abd” ticaret bakanlığına bağlı görevli kurumlar tarafından 2001 yılında onaylanarak kullanılmaya başlanmıştır. bilgileri şifreleyen ve deşifre eden simetrik blok şifreleme ana yapısındadır. “rijndael” algoritmasından yararlanılmaktadır. şifreleme, bilgileri “şifrelimetin” adı verilen okunamaz bir şekle sokarken deşifre bilgileri “düzmetin” denilen orijinal haline geri dönüştürür.

“aes” ile 128, 192 ve 256 bitlik şifre “anahtar” ları kullanılabilir. sifre ve deşifre 128 bit bloklar ile yapılır.

“aes” standart spesifikasyonu şu dokümanda görülebilir.

bilgi sistemleri güvenlik performans metrikleri

son yıllarda global rekabetinde zorlamasıyla gelişmeler görülsede türkiyede gelecek için kararlar çoğunlukla önseziye dayanılarak veriliyor. sistemler üzerinde ölçmeler yaparak karar süreçlerini geliştirmek belkide zahmetli geldiğinden pek rağbet görmüyor.  

bilgi sistemlerinin güvenlik performansları sözkonusu olduğundada benzeri bir durum görülüyor. performansın izlenerek takip edilecek politikaların tayin edilmesinde ölçülebilir miktarlara dayanan bilgilerden yararlanmak yerine tahmin vs gibi şeyler öncelik alıyor.

“abd” “nist /ulusal standartlar ve teknoloji enstitüsü” nün bilgi sistemleri güvenliği performansının izlenmesini sağlayacak metrikler konusunda 2003 yılında yayınlamış olduğu bir çalışma var. burada “metrik” kavramı şöyle tanımlanıyor.

“bir sistemden veya bir sistemin gözlem altında tutulan bir bölümünden performansı ile ilgili işe yarar verilerin toplanması, analiz edilmesi ve raporlanması yoluyla performansı ve hesap verilebilirliği arttırmayı amaçlayan ve karar alma süreçlerini kolaylaştıran bir araçlar seti “

çalışmada ayrıca numune bir performans metrik setide veriliyor.

bilgi sistem yöneticilerinin işine yarayacağını sandığım doküman burada.

kriptografi/şifreleme ne demektir

kriptografi veya şifreleme sözlerini ilk duyduğumuzda çoğunlukla hemen aklımıza casuslar, istihbarat servisleri gelir. şüphesiz bunda haklılık payı vardır. zira bu alanda kullanılan teknikler hep kurumsal bilgilerin düşmanlardan rakiplerden gizlenmesi amacıyla geliştirilmiştir. ama günümüzde özellikle ekonomik etkenlerin zorlamasıyla iletişimde insanların neredeyse tamamen ortak kaynakları kullanır hale gelmesi bilgi güvenliğini sağlamada kriptografiyi vazgeçilmez yaptı. hatta kişisel bilgilerin mahremiyetininin öneminin her geçen gün daha çok takdir edilmesiyle günlük yaşamın ayrılmaz bir parçası haline geldi.

sizlere birkaç kısa paragraf içinde çok basit bir anlatımla ana birkaç kavramı izah etmek istiyorum. bunu yaparken bir yabancı kaynaktan yararlanacağım. yazının sonunda ingilizce orijinalinede ulaşabileceksiniz.

bir kere “kriptografi” yunancadan gelen bir terim, sifreli yazım demek oluyor. “kriptolama/şifreleme” de amaç elimizdeki “düzmetin” dediğimiz açık belgedeki verilerin biçimini değiştirerek onları “şifrelimetin” şekline dönüştürmektir. bu işlem sonunda elde edilen “şifrelimetin”i “anahtar” adı verilen bir bilgi olmaksızın hemen hemen okumak mümkün değildir. “anahtar” bilgisine sahip olanlar bunu kullanarak işlemi tersine çevirebilirler. anlaşılacağı gibi verilerin gizliliği “anahtar” ın gizli tutulmasına bağlıdır.

buraya kadar son derece genel resim çizdik ve ana bileşenleri gördük. bir adım daha atarsak görürüzki genel olarak “şifreleme” iki farklı ana metotla yapılıyor.

1-”gizli anahtarlı şifreleme” de şifreleme ve şifre çözme işinde aynı anahtar kullanılır. bilgi gönderen ve alanın bu “anahtar”ı bilmesi gerekir. simetrik şifrelemede deniyor.

2-”açık anahtarlı şifreleme” de herkezin iki anahtarı var. bunlardan “açık anahtar” i herkeze ilan ediyorsunuz. mesela bu bir telefon rehberinde olduğu şekilde yayınlanabilir. veya başka yollardan size bilgi gönderecek kişilere ulaştırmış olabilirsiniz. bu “açık anahtar” size bilgi göndereceklerin bu bilgileri şifrelemekte kullanacakları anahtardır. bir defa bu anahtarla şifreleme yapılınca bu şifreyi çözmek ancak diğer anahtar yani “gizli anahtar” kullanılarak mümkündür. bu anahtarda alıcıda saklı olduğundan sadece o çözebilir. asimetrik şifrelemede deniyor.

bu iki metodun varyasyonları olabildiği gibi melezleride var.  adı geçen iki metodunda birbirlerine üstünlük sağladıkları noktalar var.

bu konunun tam olarak aydınlanması için bir defa daha anlatayım. diyelimki birisi size gizli tutulması önemli olan bir bilgi gönderecek. sizin “açık anahtar”ınızın kendisinde olması gerekir. pekala hep anahtar anahtar diyoruzda aramızda bunun ne biçim bir şey olduğunu merak edenler olabilir doğrusu bu çok doğal. “anahtar” ekranda veya kağıt üstünde birbiri peşine sıralanmış gerektiğinde yüzlerce gelişigüzel karakter. yani fonksiyonu dışında bildiğimiz kapı anahtarlarına benzer bir tarafı yok. sonuçta “gönderici” kendisinde yoksa sizin “açık anahtar” ınızı size sorarak veya açık kaynaklardan araştırarak elde edebilir. şimdi bunu kullanarak diyelimki emailini şifreledi ve sizin adresinize gönderdi. tabii sizde bunun karşılığı olarak üretilmiş “gizli anahtar” var. gelen mail deki bilgileri bununla çözüyorsunuz ve bilgilere ulaşıyorsunuz. “gizli anahtar” ınızı iyi korudunuzsa sizden başka kimse bilgilere erişemez. şimdi diyelimki aldığınız mesaja cevap vermek bunuda gizliliğe riayet ederek yapmak zorundasınız. sizinde karşıdaki kişinin “açık anahtar” ına ihtiyacınız olacak. bu kişi bunu mesela size yazdığı mesajla birlikte göndermiş olabilir. derhal onu kullanabilirsiniz. veya diğer yollarla elde edip mesajınızı şifreledikten sonra gönderebilirsiniz. alıcı tarafta kendi “gizli anahtar”ı ile şifreyi çözüp bilgilere erişecektir.

bugün mesela internet güvenlik uygulamalarının büyük ekseriyeti yukarda verdiğimiz 2. teknik ile sağlanmaktadır. “açık anahtar şifreleme” nin en önemli özelliği “anahtar” alışverişinin kolaylıkla sağlanmasıdır. iletişim kuracağınız taraflara gizli bir anahtar göndermek için özel çabalarda bulunmanız gerekmemektedir. bu pratik kolaylıkta bu metodun popülaritesini arttırmıştır.

eğer yukarda anlattığım şeyler iyice kavranmışsa ”elektronik imza” vs gibi ilişkili konuları anlamak çok kolaylaşacaktır.

sonuca yaklaşırken “bilgi güvenliği” nin dört önemli dayanağına dikkat çekmek istiyorum.

1- otentisite yani bilgi ileten iletilen tarafların gerçek kimliklerinin belirlenmesi

2- gizlilik yani bilgilere sadece arzulanan tarafların erişebilmesi

3-güvenilirlik yani bilgilerin orijinal hallerinin korunması

4-bilginin sahiplenilmesi reddedilemezliği

ingilizce başlığı “introduction to cryptography” olan kısa bir dosyayı incelerseniz bilgilerinizi biraz daha pekiştireceksiniz. bu kısa makale “rsa technology” firmasından alındı. “açık anahtar altyapısı” uygulamalarında çok sıkça kullanılan “rsa” algoritmasını üreten kişilerin firmasıdır. www.rsasecurity.com burada daha detaylı bilgilerede ulaşmanız mümkün.