SSL Sertifikaları: Dubai İstihbaratından Nasıl Kurtuldum?



Birkaç yıl önce Sırbistan’da düzenlenen Balkan Bilgisayar Kongresine konuşmacı olarak gitmiştim. Yurt dışında yaptığım konuşmalarda 2 konuya özen gösteriyorum; lokum ve yerel espriler. Tel Aviv’den Paris’e bütün konuşmalarıma aynı şekilde başlıyorum: “I’m Turkish and these are Turkish delights” (ben Türk’üm, bunlar da Türk lokumu). 

Yerel espri konusunda ise “bu adam böyle bir espri olduğunu nereden biliyor?” diye düşünmelerine neden olabilecek kadar özel bir şey bulmaya çalışıyorum. Yer Sırbistan olunca Arnavutluk ile ilgili birkaç espri iyi olur gibi gelmişti. Aşağıdaki görsel de en çok güldükleri slaytta yer alıyordu. 


“Merhaba, ben Arnavut bir virüsüm ama ülkemdeki teknolojinin geri kalmış olması sebebiyle bilgisayarınıza zarar veremiyorum. Rica etsem sizin için önemli olan dosyalarınızı silip beni başka bir kullanıcıya iletebilir misiniz?”. 

O zamanlar virüsün kendi yapması gereken bir şeyi sizden istemesi komikti. Kazakistan’da benzer bir konu fıkra olmanın ötesine geçmiş. 17 Temmuz 2019 tarihinden itibaren Kazakistan’da internete bağlananlar devletin yayımladığı bir mesajla karşılaştılar: “HTTPS trafiğinizi izleyebilmemiz için lütfen bu sertifikayı yükleyin”. Zaytung haberi gibi değil mi? Özetle, Kazakistan devleti vatandaşına “senin HTTPS trafiğini izlemek, maillerini okumak, DM’den kimlere yürüdüğünü görmek, bankacılık işlemlerine göz atmak istiyoruz” diyor. Bunun için özel olarak geliştirilmiş teknolojileri kullanmak yerine en basit ve ekonomik yolu seçmişler. Oluşturdukları bir sertifikayı kullanıcılar tarayıcılarına tanımlayacak, böylece de HTTPS trafiği diledikleri gibi görüntüleyebilecekler. 

HTTPS nedir?
İnternet siteleriyle bilgisayarımız arasındaki iletişimin güvenliğini sağlayan en önemli unsurlardan birisi SSL sertifikalarıdır. Bunlar; hem bağlandığımız sitenin kimliğini doğrular (“evet, burası gerçekten Facebook”) hem de aradaki iletişimin şifreli gerçekleşmesini sağlar. Normalde dünya çapında güvenilen sertifika otoriteleri tarafından oluşturulan sertifikalar zaten bilgisayarlarımız tarafından “güvenilir” kabul edilir. https://www.facebook.com adresine bağlandığınızda sayfanın sertifikası güvenilir bir sertifika otoritesi tarafından verildiyse herhangi bir sorun yaşamazsınız. Tanınmayan veya güvenilmeyen bir sertifika otoritesi tarafından verilen bir sertifika olması durumunda ise tarayıcınızda, daha önce rastlamış olabileceğiniz “bu sayfanın sertifikasına güvenilmemektedir. Devam etmek istediğinizden emin misiniz?” benzeri uyarıyı görürsünüz. 

SSL sertifikalarına güvenilir mi?
Bugün interneti, alışveriş veya e-posta gibi işlemler için “güvenle” kullanabiliyorsak bu SSL sertifikaları sayesindedir. SSL özünde güvenilir bir yapıdır ancak yapının güvenilirliğinin büyük ölçüde sizin “güvenilir” kabul ettiğiniz sertifika otoritelerine bağlı.
Aşağıdaki örneği ele alalım. Vatandaşımız bir işlem için e-devlet kapısına gidiyor (www.turkiye.gov.tr), sayfanın kimliğini teyit eden ve aramızdaki iletişimin şifreli yapılmasını sağlayan bir SSL sertifikası var. Adres çubuğundaki kilit işaretine tıkladığımızda bu sertifikaya ilişkin ayrıntıları görebiliyoruz. 

Bir siber suçlu olarak vatandaşın e-devlet işlemlerini izlemeye çalıştığımı düşünelim. Bunun için kullanıcı ile e-devlet arasındaki internet bağlantısını kendime yönlendiriyorum. Bu durumda SSL sertifikası olan sayfalarda aşağıda görülen uyarıyı alacağım.


Uyarının çıkmasının nedeni aradaki sistemin SSL bağlantısının bütünlüğünü bozması. Kısaca saldırganın “burası e-devlet” demesinin, sistem açısından bir geçerliliği yok. Bilgisayarlarımız sadece “güvenilir” sertifika otoritesi olarak tanımlanan kaynakların ürettiği SSL sertifikalarını geçerli sayıyor. Aynı senaryoda vatandaş ile e-devlet arasına girmek için kullandığım yazılımı “güvenilir sertifika otoritesi” olarak tanımlarsam uyarının ortadan kalktığını görüyorum. Aşağıda görüldüğü gibi Firefox tarayıcısının “güvenilir” kabul ettiği sertifika otoritelerinin bir listesi var. Buraya bağlantıyı yakalamak için kullandığım yazılımı üreten firmayı ekliyorum. 


Sorun kalmıyor :)



Bu sayede ikisi arasındaki iletişimi sorunsuz bir şekilde görüntüleyebiliyorum. (Ufak bir not: Bu saldırı turkiye.gov.tr özelinde çalışmayacağı için örneği orayı kullanarak verdim. Güzel hareketi tebrik eder, başarılarının devamını dilerim.)

Görüldüğü gibi güvenliğimiz SSL sertifikalarına, SSL sertifikalarının güvenliği de hangi sertifika otoritelerini güvenilir kabul ettiğimize bağlı. 

SSL sertifika otoriteleri güvenilir mi?
SSL sertifikalarını üreten şirketler genelde çok sıkı denetlenirler. Bu sayede de yapının belli ölçüde güvenilirliği devam edebilmektedir. Bugüne kadar sertifika üreticilerinin güvenilirliğinin sarsılmasına neden olan belli başlı olay türleri şunlar oldu: 
  • Sertifika otoritesinin hacklenmesi: 2011 yılında bazı sertifika otoritelerinin ağlarına sızan siber saldırganlar kendi amaçlarına hizmet edecek bazı sertifikalar ürettiler. Bu sayede Gmail gibi e-posta servisleri üzerinden gönderilen e-postaları okuyabildiler. 
  • Yanlış sertifika üretilmesi: 2013 yılında bir kamu kurumu (evet, Türkiye’de) “sehven” üretilen bir Google sertifikasını sistemlerine yükleyince olay uluslararası basında yer almıştı. Google için üretilen bir sertifika ile başta Gmail olmak üzere bütün Google hizmetleriyle yapılan bağlantıları görüntüleme imkanı sağlamıştı. 
  • Sertifika otoritesinin güvenilmez hale gelmesi: 2015 yılında Türkiye’den bir sertifika otoritesi güvenlik denetimlerine yeterli özeni göstermediği için Firefox tarafından güvenilir sertfika otoriteleri listesinden çıkartılmıştı. 
  • Sertifika otoritesinin çelişkili olması: 2019 yılında sertifika otoritesi olmak için başvuran Dark Matter Firefox ve Google (Chrome ve Android’de) güvenilmez olarak kabul ediliyor. Bunun nedeni Dark Matter şirketinin Birleşik Arap Emirlikleri adına siyasi amaçlı pek çok siber saldırıyı düzenleyen ve ülkenin istihbarat yapısının siber uzantısı olarak değerlendirilen grup olması. 
SSL güvenliği için yapılabilecekler
Kuruluş içerisinde veya kendi bilgisayarınızda hangi sertifika otoritelerinin güvenilir sayıldığını denetlemenizi öneririm. Böylece adını sanını duymadığımız veya kötü niyetle oluşturulmuş sertifikaların internet güvenliğinizi tehlikeye atmasının önüne geçebilirsiniz. 

Windows sistemlerde arama kutucuğuna certmgr.msc yazarak sertifika yönetimi uygulamasına ulaşabilirsiniz. 

Bu listede, özellikle Dark Matter’a ait aşağıdaki sertifikaları görürseniz mutlaka silin. Bunun dışında biraz mesai harcayarak hangilerini tutmak istediğinize de karar verebilirsiniz.
  • Dark Matter
  • UAE Global 
  • Quo Vadis


Windows sistemlerin düzgün çalışması için gerekli olan sertifika otoriteleri listesine https://support.microsoft.com/tr-tr/help/293781/trusted-root-certificates-that-are-required-by-windows-server-2008-r2 adresinden ulaşabilirsiniz. Bunların dışındakiler gidebilir. 
Örneğin aşağıdaki ekran görüntüsünde görünen Quo Vadis sertifika otoritesi aslında Dark Matter ve Dubai istihbaratının SSL ile şifreli trafiğinizi okumasını önlemek amacıyla derhal kaldırılmalı. 



Active Directory kullanıyorsanız bu işlemi ağ genelindeki sistemler için bu işlemi Group Policy Manager üzerinden gerçekleştirebilirsiniz. 

SSL sertifikalarının kullanımı konusunda bir miktar bilgi sahibi olmak buradan doğabilecek risklerin değerlendirilmesi ve yönetilmesi için gerekli gibi duruyor. 


Comments