Ziyaret ettiğiniz web sayfaları güvenli değil miymiş?
İnternet aktivitelerimizin büyük çoğunluğunu web ziyaretleri oluşturuyor. Bu web ziyaretlerini de tarayıcı (browser) olarak bilinen programlar vasıtası ile yapıyoruz.
StatCounter'ın Haziran 2018 istatistiklerine göre Türkiye'de yüzde 71 oran ile en çok kullanılan tarayıcı Google Chrome [1]. Chrome, Google'ın açık kaynak kodlu Chromium tarayıcı üzerine bina ettiği bir başka web tarayıcısı.
Google firması tarayıcıya dair yaptığı düzenli güncellemelerde güvenli bağlantıya dair proaktif adımları ile dikkat çekiyor.
Bu yaklaşımlardan biri de geçenlerde yayınladığı yeni bir güncelleme ile duyurduğu HTTP bağlantı üzerinden erişilen siteleri bundan böyle "Güvenli Değil", "Not Secure", uyarısı ile görüntüleme kararı.
Şimdi sizlerin aklına iki soru geliyor olmalı: Güvenli bağlantı nedir, güvensiz bağlantı nedir?
Gayet yerinde bir soru. Öyleyse başlayalım…
İnternet dediğimiz zaman ağların ağı olarak özetleyeceğimiz bir topolojiyi kastediyoruz. Yani birlikte bir grup oluşturan pek çok bilgisayarın/cihazın bir araya gelerek oluşturdukları daha büyük bir grup. Evinizde bulunan bilgisayar ve akıllı cihazların tamamı modeminiz üzerinden internete bağlanıyor. Dolayısıyla evinizdeki bu cihazlar toplamı aslında bir "ağ". Bu ağ modeminiz vasıtası ile daha büyük bir ağa kavuşuyor. İşte internet dediğimiz özetle bu.
Bilgisayarlarımız bir web sitesini ziyaret etmek istediğinde bu talebimiz önce cihazımızın bağlı bulunduğu modeme, oradan servis sağlayıcısına, oradan da web sitesini barındıran sunucuya ulaşana dek onlarca noktadan geçiyor. Bu noktalara "hop" diyoruz. Bu noktaların her birinde paketlerimizin içinin açılması, paket içeriklerinin değiştirilmesi ihtimali var. Tıpkı gerçek hayatta olduğu gibi! Gönderim esnasında paketlerimizin başkaları tarafından açılmasını, eşyalarınızın çalınmasını istemiyor oluşumuz gibi, internetteki bilgi alışverişlerinizde de böylesi bir ihtimalin varlığından ortalama bir insan hoşlanmayacaktır. Öyle ise gündelik hayattaki herhangi bir aktarımda olduğu gibi, başkaları tarafından okunmasından, değiştirilmesinden, bilinmesinden hoşlanmayacağımız eşyalarımızı, verilerimizi kapalı bir kutuda göndereceğiz.
Sadece bu kadar da değil, bir de kutumuzu kilitlememiz gerekiyor. Hem de öyle bir kilit ki, sadece kutunun alıcısı bu kilidi açabilsin.
Paketin gönderimindeki güvenliği sağladınız, harika! Şimdi aynı riskler karşıdan beklediğiniz paketler için de geçerli. Bu paketlerin de sadece sizin tarafınızdan açılıyor olması lazım. Ama burada halletmemiz gereken bir sorun daha var. Sizin için gönderilen, sizin açabildiğiniz bir paketi, gerçekten de beklediğiniz kişi mi gönderdi?
İşte paketin gönderim ve alımında güvenliğin, gizliliğinin, bütünlüğünün temin edildiği ve hatta kimlik doğrulanmasının da yapıldığı protokol SSL/TLS nam-ı diğer HTTPS protokolüdür. Bir web sitesine girdiğimizde adres çubuğunun yanında gördüğümüz yeşil asma kilit, bize hedef site ile kurduğumuz bağlantının bu zikrettiğimiz özellikleri taşıdığını gösteriyor.
İşte Google, artık bir siteye erişirken kullandığınız protokol güvenli bir protokol değilse, yani SSL/TLS değilse bu sitenin güvenli olmadığı uyarısını hiçbir mazerete yer kalmayacak şekilde bizlerin dikkatlerine sunacak. Bir siteye erişimde güvenli bağlantı kullanıp kullanmadığını basitçe ziyaret ettiğiniz site adresinin "https://" olarak başlayıp başlamadığına bakarak ve güvenli bağlantıda adres çubuğunun hemen sol tarafında gözüken asma kilit ikonunu kontrol ederek doğrulayabilirsiniz.
Türkiye'de hâlâ pek çok site bu özelliği, hatta durun daha açık söyleyeyim bu sorumluluğu taşımıyor. Üzgünüm bu yazıyı okuduğunuz Karar gazetesinin sitesi de bu sitelerden biri.
Pek çoğumuzun public WiFi, ortak bağlantılar üzerinden kullandığımız internet, şayet güvenli bağlantı üzerinden web sayfalarına erişmiyorsak daha da riskli.
Peki ne olabilir?
Farzedelim HTTPS yani güvenli bağlantı kullanmayan bir siteden alışveriş yapıyorsunuz. Tıpkı gerçek bir mağazada olduğu gibi online mağazalarda da kasaya uğramadan ürünü almak olmaz. Ödeme sayfasına gidiyorsunuz, kredi kartı bilgilerinizi girip Satın Al tuşuna basıyorsunuz. Bağlantıyı izleyen biri tüm kredi kartı bilgilerinize ulaşabilir.
Ya da güvensiz bir bağlantı üzerinden bir sosyal paylaşım sitesine yahut bir e-posta servisine eriştiniz. Bağlantıyı dinleyen biri tüm mesajlarınızı, e-postalarınızı ele geçirebilir.
Eğer alışveriş yapmayı düşündüğünüz site bugün sıfır maliyeti [2] olan bir sertifikayı alıp implemente etmek zahmetine katlanmıyorsa, gizliliğinize ve güvenliğinize saygı duymuyorsa, lütfen bu sitelerden alışveriş yapmayın. Bu sitelerdeki hizmetleri kullanmayın.
Daha da kötüsü, hâlâ pek çok elektronik vatandaşlık hizmeti güvenli bağlantı konusunda yukarıda saydığımız şartları taşımıyor.
Kamu sitelerinin bilgi edinme ve ödeme sayfaları, kolluk kuvvetlerine ait ihbar sayfaları SSL/TLS yani güvenli bağlantı kullanmıyor.
2015 yılında Obama hükümeti tarafından yayımlanan bir memorandum [3] kamuya açık tüm hükümet web siteleri ve servislerinin güvenli bağlantı kullanmasını şart koşuyordu.
Bu seferberlik meyvelerini vermiş olacak ki 2017 Kasım'ında yapılan bir araştırma [4] Amerikan hükümet sitelerinin yüzde 92'den fazlasının güvenli bağlantı kullandığını gösteriyor. Yine mezkur rapora göre bu sitelerin yüzde 70'inde de güvenli bağlantı, TLS/SSL, doğru konfigüre edilmiş olarak belirtiliyor.
Ülkemizde de yönetim erkinin bu konuda çok geçmeden bir düzenlemeye gitmesinin doğru olacağını düşünüyorum.
Çünkü uçtan uça şifreleme son kullanıcının maruz kalabileceği tehditlerden, küresel ölçekteki gözetim mekanizmalarına kadar pek çok noktada işe yarıyor.
Benden söylemesi.
[1] http://gs.statcounter.com/browser-market-share/all/turkey
[2] Evet sıfır maliyetli yanlış okumadınız! Let's Encrypt siteler için ücretsiz sertifikalar imzalayan bir otorite. https://www.letsencrypt.com
[3] https://www.whitehouse.gov/sites/whitehouse.gov/files/omb/memoranda/2015/m-15-13.pdf
[4] http://www2.itif.org/2017-benchmarking-us-government-websites.pdf[3]
s://