Sekil 1
Elektronik iletisim okulu kösesi --14-- Mart 1998
Türkiye'de 128 bit sifreleme ile alis-veris yapip kredi karti bilgilerinizi içiniz rahat bir sekilde verebileceginiz bir alis-veris sitesi bulunmasa da, bankacilik islemlerinizi Internet üzerinden yapma imkaniniz var. Bunun temel örneklerinden biri Garanti Bankasi. Garanti Bankasi'nin kullandigi yöntemde islemlerin (bakiye görüntüleme gibi daha az güvenli olmasi tolere edilebilecek) bir kismi 40 bitlik sifreleme algoritmalari kullanilarak biraz daha hizli bir sekilde gerçeklestirilebiliyor. Ama müsteri numarasi ve sifresi gibi önemli bilgiler 128 bit sifreleniyor. Bu islemleri denemek üzere http://www.garanti.com.tr adresine gittiginizde karsiniza Sekil 1'deki sayfa geliyor.
Burada Internet Bankaciligi yazili sekle ya da sayfanin altindaki linklerden ayni adli olana tiklarsaniz, bu kez karsiniza güvenli bir sayfa geliyor. Internet Explorer ne yapar bilemiyorum ama Netscape Communicator güvenli bir sayfaya baglanmaya çalistiginizda, bunu size bir uyari penceresiyle bildiriyor. Tabii tercihler (Preferences) menüsünde Java ve Javascript'leri aktif hale getirdiyseniz.
Bu tür güvenlik islemleri Java ve Javascript'lerle çalisiyor. Eger tarayicinizin ayarlarinda bunlara ait seçenekler kapaliysa, güvenli sayfalara hiç baglanamayabilir ya da en azindan sorunlarla karsilasabilirsiniz. Tabii ayni sey Java desteklemeyen eski tip tarayicilar (Microsoft Internet Explorer ya da Netscape Navigator'in 3.0.x'ten eski sürümleri gibi) için de geçerli.
Neyse, sonra Sekil 2'de gördügünüz pencere ekrana geliyor. Bu sayfaya bir Mac ile baglanmaya çalistiginizda, karsiniza gelen sayfa tabii ki bu olmuyor ve bütün Türkçe karakterlerin yerine saçma sapan sekiler görüyorsunuz. Ama Encoding menüsünde Turkish-ISO kodlamayi seçerseniz sekildeki sayfaya ulasiyorsunuz. Bir farkla, ekranin en altinda gördügünüz ve sayfanin 128 bit ile sifrelendigini bildiren kirmizi yazili satir gelmiyor. Bu, web tarayicilarin cache (kes okunur) kavrami ile ilgili bir durum.
Bu kes baska kes
Internet'te surf ve Netscape'in ayarlariyla ilgili yazimi hatirlarsaniz orada bu cache denen konudan bahsetmistim: Tarayicilar, dolastiginiz bütün sayfalardaki yazi, resim ve bilgileri, kullandiginiz makinenin hard diski üzerinde bir yerlere kaydediyorlardi. Ayni sayfaya tekrar baglanmak istediginizde, o sayfaya gidip bilgilerde herhangi bir degisiklik olup olmadigini kontrol ediyor ve degismeyen bilgileri tekrar getirmek yerine dogrudan dogruya hard diskinizde daha önce kaydettikleri yerden yüklüyorlardi. Böylece sayfalar daha süratli yüklenmis oluyordu.
Netscape kullaniyorsaniz, Sistem klasöründe Tercihler klasörüne gidin. Orada Netscape klasörünün içinde bir cache klasörü göreceksiniz. Bu klasörün içindeki dosyalardan herhangi birini Netscape uygulamasinin üzerine sürükleyip birakirsaniz, daha önce ziyaret ettiginiz sayfalardan birinde gördügünüz bu resim, metin ya da benzeri bilgi parçasini hatirlayacaksiniz.
Bu tür bilgilerin ne kadarinin saklanacaginin ayari, daha önceki yazilarda belirttigim üzere, Preferences menüsünde cache için ne kadar hard disk alani ayrilacagina iliskin seçeneklerle belirleniyor. (Bkz. Sekil 3)
Simdi, Garanti Bankasi'nin sitesinde oldugu üzere, bu türden güvenlik önlemleri alan sitelere girdiginizde o sayfalar için, yukarida sözünü ettigim ayarlarda sanki cache büyüklügü olarak sifir degeri girilmis gibi davraniliyor ve o sayfayla ilgili bilgiler (en azindan teorik olarak) hard diskinize kaydedilmiyor. Çünkü eger kaydedilecek olursa, size ait bu özel bilgiler, sizden sonra ayni makineyi kullanacak herhangi bir baskasi tarafindan görülebilir ve örnegin kredi karti bilgilerinizin baskalarinin eline geçmesi de hos olmayan sonuçlara yol açabilir. (Bu tür bir siteye baglanip çiktiktan sonra, her ihtimale karsi Sekil 3'teki `Clear Disk Cache Now' dügmesine basip cache'i bosaltmayi adet edinmekte ve makineyi terketmeden önce web tarayiciya `Is Bitti' komutu vermekte fayda var.)
Sayfaya ait bilgiler kaydedilmedigi için sayfanin kodlanacagi dil standardini ya da ekrandaki pencerenin büyüklügünü degistirmek gibi tarayici ekraninin yeniden çizilmesini gerektiren son derece basit herhangi bir islem yaptiginizda dahi güvenlikle ilgili kodlama bilgileri kayboluyor. Ancak, web tarayicisi ekrandaki görüntüyü hatirladigi için diger tarasari görebiliyorsunuz. Dolayisiyla, yeterince beklemenize karsin pencerenin altinda belirmesi gereken 128 bit sifrelemeye iliskin bilgiyi göremiyorsaniz ve bu bilginin yüklenmekte olduguna dair herhangi bir belirti de yoksa Reload dügmesine basip o sayfayi yeniden yükleyin. Yoksa saatlerce bos yere bekleyebilirsiniz. Yalniz, bu tür güvenli kodlamaya sahip sayfalarin yüklenmesinin, özellikle yavas bir servis saglayici ile çalisiyorsaniz oldukça uzun zaman aldigini da unutmayin. Dolayisiyla, pencerenin alt tarafindaki durum çubugunu iyi takip etmekte fayda var. Daha garantili bir yöntem ise bu tür sorunlarla karsilasmamak için dil kodlama ayarini güvenli sayfaya gelmeden önce degistirmek.
Bu basit engelleri asip bankanizdan aldiginiz müsteri numarasi ve sifreyi girdiniz, dügmeye bastiniz ve güvenli bölümdeki sayfa geldi. Yani artik internet üzerinde banka hesaplarinizla ilgili islem yapabilirsiniz, ama o ne? Türkçe karakterler yine kaybolmus.
Sakin ola dil kodlamasini degistirmeye kalkmayin. Bu sayfaya ait görüntünün hiç bir kismi cache'te saklanmadigi için, encoding'i degistirmeye kalktiginizda kendinizi taa en bastaki sayfada bulursunuz. Ayarlari degistirip, sifre vb. bilgileri yeniden girip geldiginizde ise ayni sorunla tekrar karsilasirsiniz.
Oysa ayni siteye IBM uyumlu bir bilgisayarla baglaniyor olsaydiniz bu tür bir sorunla karsilasmayacaktiniz. Yani yine ayni sey oldu ve Macintosh kullanicilarini yok sayan, yer yüzündeki bütün bilgisayar kullanicilarinin kendileriyle ayni marka ve modeli kullandigini varsayan o bencil ve son derece benmerkezci zihniyetin bir uzantisi bu kez bankanizda karsiniza çikti. Banka müsteri toplamak için o kadar reklam verecegine önce oturup bilgisayarcilarina biraz görgü versin diye düsünebilirsiniz. Veya Internet üzerinden baska herhangi bir cihaz kullanmadan islem yapilabilen tek yer burasi, buna da sükür diyebilirsiniz. Ya da benim gibi webmaster'a bir mail gönderip içinizden geçeni kendilerine aktarabilirsiniz. (Aman dikkat! Kimsenin yüzüne söylemeyeceginiz bir seyi e-posta ile göndermeye kalkmayin. Net ahlaki ile ilgili daha önce yazdiklarimi hatirlayin.)
Ben sonuncu yöntemi uyguladim ve aldigim cevapla birlikte bu isin basindakilerle temasa geçtim. Her ne kadar söz verilmesine karsin Türkçe karakterlerle ilgili sorun hala düzeltilmediyse de çok ilginç buldugum bir kaç sey ögrendim. Mesela Internet subesinin cirosunun trilyon lira seviyesinde oldugu; ayda ortalama %50 oraninda yeni kullanici (müsteri) geldigi; Internet subesini kullananlar arasinda, hiç bir banka subesinin olmadigi küçük yerlerden arayanlar oldugu; A.B.D.'den arayip Türkiye'deki evinin faturalarini bu kanalla ödeyip ödeyemeyecegini soranlar çiktigi; Kanada'dan arayan birilerinin (Türk degil) arama motorlari araciligiyla bu siteyi kesfettikleri ve altin faizli hesap uygulamasi olup olmadigini sorduklari; A.B.D.'li Wells Fargo adli bir bankanin bu yolla Kanada'da (sube açma zahmetine dahi girmeden) oldukça yüksek miktarlarda müsteri edindigi; Türkiye'de Ata Menkul Degerler'in bu türden Internet üzerinden islem yapanlar arasinda oldugu vb...
Türkçe karakter sorununun çözümü için gözlerim üzerlerinde, nefesim enselerinde olmakla birlikte :-) Garanti Bankasi personelinden ögrendigim bir baska sey daha var ki bu yazinin geri kalaninda sizlere ondan bahsetmek istiyorum: SET.
SET
Secure Electronic Transaction yani Güvenli Elektronik Islem adini tasiyan ve kisaca SET adiyla anilan bu sistem, teorik olarak 1024 bit sifrelemeye esit. Visa ve MasterCard tarafindan ortaklasa gelistirilen bu sistem henüz deneme asamasinda ve bu denemelere katilan yeryüzündeki 88 bankanin üç tanesi Türkiye'den. Bunlarin iki tanesi Yapi Kredi ve Garanti Bankalari. Üçüncüsünü ögrenmek kismet olmadi.
SET teknolojisi, geçen ay kisaca degindigim sifreleme teknolojileri, sayisal imzalar ve sertifika yöntemleri üzerine kurulu. Ilgili tarasar ise bir kaç tane. Öncelikle, tabii ki alici ve satici var. Sonra bunlarin bankalari ile kredi karti firmasi ve bir de kredi karti firmasi adina islem yapan araci firma. Bu ikinci gruptaki tarasarin bir kaç tanesinin tek bir kurumda (çogunlukla bir bankada) toplandigi sikça görülen bir durum. Bunlara ek olarak bir de sayisal imza ve sertifika veren kuruluslar var tabii.
Çalisma sekli ise söyle: Kredi karti sahibi alici, öncelikle kredi karti firmasina (yani buna aracilik eden bankasina) müracaat edip bir müsteri numarasi ile sifre aliyor. Bunun gerçek hayatta plastik kredi karti ve sifresini almaktan pek bir farki yok. Eger önceden bir plastik kredi karti sahibi ise, (çalistigi bankaya bagli olarak) bu islemi Internet üzerinden de yapabiliyor. Bunun için bankasinin ilgili web sayfasina gidiyor. Buradaki güvenli (secure) sayfa üzerindeki formu doldurup bankaya gönderiyor ve karsiliginda müsteri numarasi ve sifresini aliyor. Burada bankaya karsi kimliginin gerçek oldugunu ispatlamak için plastik kredi karti ile ilgili bilgilere sahip olmak zorunda. Bu bilgilerle beraber bir de sertifika veriliyor ve bu sertifika bir seferde yalniz bir bigisayarda bulunabiliyor. Bu nedenle müsterinin makinesi disinda bir yerden kullanilmasi mümkün degil. Eger müsteri alis-veris için baska bir bilgisayar kullanmak istiyorsa, sertifikasini bir makineden ötekine tasimasi gerekiyor. Bu sertifika olmadan alis-veris yapilamiyor. Tabii bu bilgilerin bulundugu bilgisayarin da baskalarinin müdahale ve kullanimina karsi korunmasi gerekiyor. Eger bir kaç kisi tek bir makineyi paylasmak zorundaysa o da mesele degil: Yazilimlar tek bir makine üzerinde de bu bilgilerin baskalari tarafindan görülmesine karsi sifrelenmesini mümkün kilabiliyor.
Ayni sekilde, satici da kredi karti firmasinin amblemini vitrinine yapistirmak için izin ister gibi SET amblemini kendi web sitesinde kullanabilmek için kredi karti firmasina müracaat ediyor ve bunun için gereken islemleri tamamliyor. Bu islemler arasinda SET uyumlu bir güvenlik seviyesine sahip web yazilimi kurmak ya da bu tür bir yerden hizmet aliyor olmak da var. Bu islemin bir parçasi ise VeriSign gibi onayli firmalardan sayisal imza ve sertifikalar almak ve böylece müsterilere web sitesi üzerinden gerçek kimligini ispatlayabilme becerisi kazanmak. Tabii bir de satici-banka arasindaki baglantinin kurulmasi gerekiyor.
Fiili alis-veris ise söyle gerçeklesiyor: Alici çarsiya çikar gibi web gezintisine gidiyor. Bir magazanin sitesinde siparislerini belirliyor. Sonra kasaya geldiginde cüzdanini çikariyor. Cüzdaninda farkli firma ve bankalardan aldigi muhtelif kredi kartlari (bu durumda müsteri numarasi ve sifreler) olabilecegi için bunlardan hangisini kullanmak istedigini belirliyor ve bunu cüzdan yazilimina belirtiyor. Bundan sonrasinda otomatik olarak gerçeklestirilen bir kisim islemler var. Burada ilgili yazilimlar öncelikle saticinin gerçekligini arastiriyor. Çünkü tarayicinin baglandigi site, bir baska saticinin web sitesini taklit eden ve bu yolla kredi karti numaralari toplamaya çalisan bir dolandirici olabilir. Yazilim bu is için saticinin referanslarina bakiyor. Bu referanslar ise belirli firmalarin verdigi sertifikalar. Yazilim bu sertifikalarin neler olduguna bakiyor ve bunlari veren firmalara gidip bu sertifikanin verildigi sitenin hangi adreste oldugunu (IP numarasi olarak) soruyor. Aldigi cevap ile tarayicinin baglandigi adres ayni ise saticinin orijinalliginden emin oluyor.
Bundan sonra müsteri ödeme emrini veriyor. Ama burada yapilan ödeme sekli müsterinin kredi karti bilgilerinin saticiya aktarilmasi degil. Bunun yerine daha güvenli bir islem yapiliyor ve yazilimlar otomatik ve es güdümlü çalisarak her iki tarafin bankalarina (ya da kredi kartinin araci kurumuna--payment gateway) talimat veriyorlar. Bu talimatlarda satin alinan mal ya da hizmetin cinsi, miktari vb. belirtilmiyor ama hangi islem sonucu ne kadar para ödenmesi gerektigi belirtiliyor. Banka alici ve saticinin kimliklerini kontrol ettikten sonra alicinin hesabindan saticinin hesabina (bu hesap bir baska bankada da olabilir) para transferini gerçeklestiriyor.
Bütün bu islemlerin gerçeklestirilme sekli, müsteri açisindan son derece kolay. Çünkü her sey bir kisim yazilimlar tarafindan otomatik olarak gerçeklestiriliyor. Müsterinin dikkat edecegi tek sey kendisine ait bilgilerin baskalari tarafindan ögrenilmemesini ve bu islemlerde kullandigi bilgisayarin baskalari tarafindan kullanilmamasini, bu mümkün degilse kendisine ait sertifikalarin sifreler ile korunmasini saglamak.
Perde arkasinda dönen islemler ise son derece karmasik ve epeyce yogun. Tek bir ödeme islemi için dahi bir sürü bilgi sifreleniyor, karsilikli sertifikalar soruluyor, dogrulugu kontrol ediliyor, banka ya da araci kuruma gidiliyor, orada benzer islemler tekrarlanip oranin gerçekten banka olup olmadigi arastiriliyor, kimlikler gösteriliyor, ödeme talimatlarina sayisal imzalar atiliyor, imzalarin dogrulugu arastiriliyor, ödeme makbuzlari hazirlanip havale talimatlari geçiliyor vs.
Buraya kadarki islemlerin güvenlik derecesi gayet yüksek. Sahte alici ve saticilar engelleniyor. Müsterinin bilgileri banka disinda (satici dahil) hiç kimse tarafinda görülmüyor vs. Bütün bilgilerin toplandigi ve ödeme talimatlarinin geçildigi banka (ya da araci kurum) tarafindaki bilgisayar ise bütün bu islemlerin yumusak karnini olusturuyor. Buradaki sisteme yapilacak bir saldiri çok sayida kisiye ait büyük miktarlarda parayi tehlikeye atabilecek durumda.
Dolayisiyla benim tavsiyem su: Bankanizla hesap açma ya da kredi karti sözlesmesi imzalarken o minicik yazilari çok ama çook dikkatli okuyun ve asla okumadiginiz bir seyi imzalamayin; banka bilgisayarinin--onlarin almadigi bir kisim önlemler yüzünden--hack edilmesi durumunda bütün sorumlulugu size yikmaya çalisiyor ve hatta bütün zarari sizin karsilamanizi bekliyor olabilirler.
Go to page: Introduction | Contact | Education | Employment | Projects | Books | Articles | Papers | Interests | MWArticles | Hobbies | Miscellaneous | Photos
In Narratus Vitae, Go to page: Introduction | Archives | Records Management | Business Management | Computers | Research | Publishing | Teaching | History | Public Relations | Medicine | Hobbies | Disaster Preparedness |