Araştırmaya göre bankacılık işlemlerinde de kullanılan şifreleme algoritmasında açık bulundu. Şifreleme neticesinde 1000 anahtardan 998′inde sorun görülmezken, 2′sinde ise açık bulunduğu tespit edildi.

Peki bu sonuç ne ifade ediyor? Bankacılık işlemlerini yaptığımız siteler de dahil güvenilir sandığımız sitelerde ciddi bir güvenlik açığı mı var?

Hurriyet.com.tr’ye konuyla ilgili açıklamalarda bulunan ESET Türkiye Teknik Müdürü Erkan Tuğral, yapılan araştırmayı değerlendirdi ve şu sözleri kaydetti: “Secure Socket Layer (SSL / Güvenli Yuva Katmanı) bankalarda iletişimi sağlamak için kurulan bir protokol. SSL’e bağlanabilmek için sitelerin güvenlik sertifikası alması gerekiyor. Araştırmaya bakıldığında sertifika yapısının binde 2 oranında farklı bir şekilde oluşturulabildiği görülüyor.”

Araştırmada 6.6 milyon veri kullanıldığını ve 12 bin 720 tanesinde açık bulunduğunu ifade eden Tuğral, sözlerini şöyle sürdürdü: “Test sonucunda 12 bin 720 anahtarın kırılabildiği veya kopyalabildiği görülüyor. Rakam son derece yüksek…”

Ancak araştırmada eksik bir noktanın olduğunu da vurgulamadan geçmiyor Tuğral ve ekliyor: “RSA, bir tür açık anahtarlı şifreleme yöntemidir ve dünya genelinde yaygın bir şekilde kullanılır. Benzer şekilde DSA ve El Gamal şifreleme sistemleri de tercih edilebiliyor. Ancak araştırmaya baktığımızda 6.6 milyon verinin neredeyse 6.4 milyonunu RSA şifreleme sistemi oluşturuyor. İlginçtir ki açık bulunan 12 bin 700 verinin tamamı RSA şifrelemesini kullanıyor. O halde güvenlik sorununun RSA’den kaynaklandığı sonucuna varılır ki, bunu söylemek pek de mümkün değil. Zira araştırmaya DSA ve El Gamal da aynı oranda dahil edilseydi, o zaman üçünün arasından tercih yapabilecektik.”

Türkiye de dahil tüm dünyada kullanılan bu şifreleme sistemleri aslında bankaların siteleri de dahil birçok kurum tarafından kullanılıyor. Tuğral’a göre araştırmanın ortaya çıkardığı en önemli sonuç, SSL protokolünün bulunduğu web sayfalarının sanıldığı gibi yüzde 100 güvenlik sağlamaması. Yani bankacılık işlemlerinin yapıldığı sayfalarda ufak da olsa bir güvenlik açığı bulunuyor.

Ama bu durumu sadece bankacılık işlemlerinin yapıldığı sitelere mal etmek de yanlış bir tutum olur; zira Gmail gibi popüler e-posta servisleri de SSL’i kullanıyor ve kullanıcıların mail’leri de bu açıktan etkilenebilir.

hürriyet