// içerik sayfası

Haberler

Phishing ve EV SSL

2010 Ekim-Kasım aylarında Türkiyede bazı finansal kuruluşlara anlık 10Gbps boyutlara varan DDoS ve paralelinde phishing saldırıları düzenlendi. DDoS saldırıları phishing saldırısının başarısını arttırmak için bir destekleyici argüman olarak saldırganlar tarafından kullanılıyor. Aslında phishing saldırıların arkasındaki en büyük motivasyon web sitelerinin henüz kimliklerini kullanıcılara nitelikli bir şekilde ibraz edememesi.

İşte bu sebeple Phishing saldırıları, online bankacılık işlemleri ve online alışveriş yapan internet kullanıcıları arasında giderek büyüyen bir korku haline geliyor. Sürekli artan phishing saldırıları  kullanıcı güvenini olumsuz yönde etkilemekte, büyük maddi zararlara yol açabilmektedir. APWG nin 2009 yılı raporuna göre Aralık 2009 tarihinde, 2009 Kasım ayına göre 4% artışla, 67,245 adet phishing sitesi tespit edilmiş.

You-Gov Research tarafından 2009 Mart ayında İngiltere genelinde online kimlik hırsızlığı konusunda yapılan bir ankete göre ise

Nüfusun %78′i online kimlik hırsızlığı konusunda endişe duyuyorNüfusun %43′ü bu konuda deneyim yaşamış veya deneyim yaşamış birini tanıyor.Nüfusun %84′ü kimlik hırsızlığına karşı yeterli önlemlerin alınmadığını ve bu tip saldırılar karşısında bir güvenceleri olmadığını düşünüyor.

Sosyal araştırmalar gösteriyorki, kullanıcıya eposta ile gönderilen bir mesajın içeriğine hiç bir sorgulama olmaksızın, %60 oranında kullanıcı güveniyor. Bu oran özellikle eposta aracılığı ile düzenlenen phishing saldırıları için oldukça korkutucu bir oran.
Peki bir internet kullanıcısı işlem yapmakta olduğu bir web sitesinin gerçekte o web sitesi olduğunu nasıl tespit edebilir? Burada phishing konusunda ne kadar dikkatli olduğunuzu test edebileceğiniz bir adres var buyrun kendi dikkatinizi sınayın : https://www.phish-no-phish.com/default.aspx. Bu test te ne kadar sofistike phishing ve pharming saldırıları olabileceğini açıkça görmek mümkün.

2007 yılında internet tarayıcısı üreticileri ve sertifika otoriteleri kimlik hırsızlığına karşı  bir çözüm üretebilmek için bir araya gelerek, gün geçtikçe azalan tüketici güveninin geri kazanılması , kimlik hırsızlığının engellenmesi ve web siteleri aracılığı ile yapılan işlemlerin mutlak bir güven ortamı içinde sağlanabilmesi gibi problemlere çözüm olarak  Genişletilmiş Onay Süreçli SSL Sertifikasını geliştirdiler (EV SSL). EV SSL teknolojisinin en önemli özelliği, renk kodları ile SSL sertifikasının görselleştirilmesi ve oldukça dikkat çekici bir hale getirilmiş olmasıdır.

Kullanıcılar EV SSL kullanan bir web sitesini ziyaret ettiklerinde, tarayıcılarının adres çubuğu yeşil renge döner.Bu sayede kullanıcılar orijinal web sitesi ile sahte web sitesini kolayca ayırabilirler. EV SSL teknolojisinde istemci tarafından gönderilen her https isteği için ayrı OCSP (Online Certificate Status Protocol veya Tübitak UKAE jargonu ile Çevrimiçi Sertifika Durum Protokolü) denetimi yapılır.Bu denetim sonucuna göre yeşil adres çubuğu gösterilir yada gösterilmez. Yani hem phishing hemde pharming saldırıları için “aldatılamaz” bir güvenlik katmanıdır.

EV SSL teknolojisi Microsoft Internet Explorer 7+ , Firefox 3.0+, Opera 9.5+, Safari 3.2+, Google Chrome 1.0 ve üzeri bütün tarayıcılarda algılanmakta ve desteklenmektedir. Yani şu an yaygın olarak kullanılan tarayıcı versiyonlarının tümünde desteklenmelidir.

Phishing ve pharming saldırılarına bu denli etkin bir çözüm olmasına rağmen, malesef PCI DSS Standartları çerçevesinde hala sadece sslv2 ve sslv1 ile ilgili denetimler bulunmakta ancak EV SSL konusunda hiçbir düzenleme yada tavsiye bulunmamaktadır. Aslında kredi kartı ile satış yapan e-ticaret siteleri kapsamında PCI DSS denetimlerinin sadece bir formaliteden ibaret olduğunu, kuruma hiç bir önleyici tedbir getirmediğini söylemek pek yanlış olmaz. E-ticaret ve PCI DSS ile ilgili çekincelerimi ayrı bir makalede toplamaya çalışacağım.

Peki Türkiye’de EV SSL konusuna nasıl bir bakış hakimdir? Malesef şu an Türkiyede aktif 64 adet EV SSL sertifika kullanılmaktadır, bu 64 sertifikanın sadece %40′ı bankalar tarafından kullanılmaktadır. Türkiyedeki bankaların ise malesef henüz %50 si EV SSL sertifikası kullanmamaktadır.Netcraft istatistiklerine göre dünya çapına EV SSL kullanımı 1.000.000 web sitesini geçmiş durumda. Bu hicab verici tablonun yorumunu sizlere bırakıyorum.

EV SSL kullanan bankalarımıza ve e-ticaret sitelerimize, tüketicilerini korumak adına aldıkları bu önemli tedbir için teşekkür ediyorum. Bu bilincin kısa vadede diğer kurumlar tarafından da benimseneceğini umuyorum.

EV SSL tüketicinin korunması için önemli bir teknoloji. Bu sebeple tüketicilerin EV SSL yani “Yeşil Adres Çubuğu” bulunmayan internet baknacılığı sayfalarında işlem yaparken tekrar düşünmelerini öneririm; işlem yaptığım web sitesi orjinal mi? sahte mi?

Discussion

“Phishing ve EV SSL” yazısına 0 Yorum yapılmış.

Yorum Yazın

Yorum yapabilmeniz için giriş yapmalısınız.