Kredi kartlarý fiziksel olarak zaten güvenli deðil ki. Yemek yediðiniz bir restoranda kartýnýzý verdiðiniz garson da kredi kartý bilgilerinizi çalýp kullanabilir. Ya da fiziksel olarak kredi kartlarýný posta yoluyla gönderiyorsunuz, bu ne kadar güvenli ki?

Aslýnda bu yazýmda daha çok Ýnternet'te kredi kartý kullanýmýna deðineceðim için baþlýðýný "Haydi Ýnternet'ten alýþ veriþe, güvenli ya!" diye düþünmüþtüm. Sevgili Serhat Ayan'ýn 5 yýl önce bunu söylemiþ olsaydýk þimdi komik duruma düþerdik diye nitelendirdiði bir baþlýk. Ben buna kesinlikle katýlmýyorum. Beþ yýl önce de olsaydý bunu söylerdim, bugün de söylüyorum ve böyle giderse bir 5 deðil 50 yýl sonra da söylerim. Neden mi? Bu konuya girmeden önce bir iki noktaya deðinmek istiyorum.
Serhat son yazýsýnda bana yapmýþ olduðu göndermede anketler için benim deðinmediðim üçüncü bir yol olan üyelik sisteminden bahsetmiþ. Evet doðrudur. Ancak ilk olarak bu tür anketlerde bu yöntemin kullanýlmasý ihtimal dahili dýþýnda olduðu için deðinmemiþtim. Çünkü biri kalkýp böyle uyduruk bir anket için üyelik sistemi kurup, önce kullanýcý bilgilerini alýp sonra da oy kullandýrsa kimse kullanmak istemez! Kaldý ki bu yöntemin yada diðer yöntemlerin kullanýmý sonuçta hiç bir þeyi deðiþtirmez, sonuçlarýn güvenli olmasýný saðlamaktan ziyade güvensizlik riskini biraz daha azaltýrlar hepsi o!
Serhat diðer bir göndermede en son yazýmý, devlet iþlerinin internetten yapýlmasý gerektiði tezini hakir gören bir antitez olarak nitelendiriyor. Sanýrým bu noktada kimin ne için uðraþtýðýný ve neyin üzerine gittiðini iyi belirlemek lazým. Serhat kendi davasýnda sonuna kadar haklýdýr ve katýlmamak elde deðil. Ancak ben olaylara güvenlik yönünden yaklaþtýðým için Ýnternet'te seçim yapmadan önce güvenliðe gerçekten çok önem vermemiz gerektiðini savunuyorum. Zira aslýnda Ýnternet'in ne amaçlar için üretiliðini sonra bu amaçlarýn gerçek amaçlarýndan sapýp yamalý bir bohçaya dönerek hangi baþka amaçlar için kullanýldýðýný anlatan guvenlikhaber.com'un yazarlarýndan sevgili Lütfi Yelkenci'nin en son yazýsýný okuyanlar ne demek isteðimi daha iyi anlayacaklardýr!
Þimdi gelelim þu kredi kartý olayýna. Ýnternet'te kredi kartlarýnýn beþ yýl önce güvenli olmadýðý ama bu gün güvenli olduðu diye bir þey zaten söz konusu bile deðil. Kredi kartlarý ile ilgili olarak bir çok yorumlar yapýlýr, uzmanlara danýþýlýr, "usta nedir bu kredi kartý olayý, kullanalým mý? kulanmayalým mý?" ama güvenlikle uzaktan yakýndan ilgili olmayan kiþiler, sistemin içinde neler dönüp bittiðini biraz bile bilmeyen kiþiler verirler cevabý: "Þu anda Ýnternet'ten kredi kartý ile alýþ veriþ yapmak en güvenilir yoldur". Sanýrým bu yorumlar sadece ticari amaçlý olmaktan ileri gidemiyor,zira beþ yýl önceki pratik kredi kartý kullanýmýyla þu anki kredi kartý kullanýmý arasýnda pek bir fark yok!
Bu kiþilerin dayandýðý ve öne sürdüðü bir kaç nokta vardýr. Ýlk olarak günümüzde geliþtirilen þifreleme tekniklerini ( örnek olarak internette alýþ veriþ iþlemlerinde kredi kartý bilgilerinin transfer edildiði SSL teknolojisi) state-of-art olarak nitelendirirler. Dünyada en yaygýn olarak kullanýlan eposta þifreleme yazýlýmý olan ve geçtiðimiz ay içerisinde bir grup geliþtirici sayesinde tozlu raftalara kaldýrýlmaktan son anda kurtulan PGP þifreleme yazýlýmýnýn geliþtiricisi Zimmermann bile "her kim kýrýlamaz bir þifre bulduðuna inanýyorsa ya hiç görülmemiþ bir dahidir ya da tecrübesiz ve çok saf birisidir" þeklinde yorum yapmýþken bu þekilde kesin konuþmak doðru olmasa gerek. Zira yine geçen ay içerisinide güvenlik dünyasýný yerinden oynatan olaylar bunu ýspatlamýþtýr.
Bakýn son zamanlarda önce Internet Explorer'da bulunduðu sonra da Microsoft'un açýklamasýyla aslýnda browser'da deðilde iþletim sisteminde bulunduðunu açýkladýðý bir güvenlik açýðý ortaya çýkmýþtý. Bir çok güvenlik uzmaný bu açýðý inanýlmaz derecede ciddi olarak nitelendirmiþlerdi. Ve iþin ilginç yaný bu açýk son beþ yýldýr IE'de bulunuyor ve bunun manasý IE kullanarak Ýnternet'ten kredi kartý ile alýþ veriþ yapýlýyorsa SSL korumasýnýn hiç bir iþe yaramayacaðýdýr!!!
Þimdi kredi kartlarý hakkýnda bu tür yorumlarý yapanlar kalkýp "pardon yanýlmýþýz, son beþ yýldýr pek güvenli deðilmiþ ama bundan sonra son derece güvenli olacak söz" mü diyecekler?
Bakýn daha bu açýðýn yayýnlanmasýndan iki hafta geçmemiþti ki, geçtiðimiz hafta pazartesi günü Ýsveçli bir güvenlik uzmaný bu açýðý kullanarak Ýsveç'in en büyük dört bankasýndan üçünün sistemine ve bazý müþterilerin hesaplarýna girerek istediði hesaba para transferleri yapmayý baþarmýþtýr hem de sonunda izlerini tamamen yok ederek! Ve iþte bu uzmanýn görüþü: "kýrýlmasý çok kolay bir protokol ve kullanýcýlarýn umduðu güvenliði saðlamýyor"
Diðer öne sürdükleri bir nokta ise: kredi kartlarý fiziksel olarak zaten güvenli deðil ki. Yemek yediðiniz bir restoranda kartýnýzý verdiðiniz garson da kredi kartý bilgilerinizi çalýp kullanabilir. Ya da fiziksel olarak kredi kartlarýný posta yoluyla gönderiyorsunuz, bu ne kadar güvenli ki?

Bilgileri alan sitenin kredi kartý bilgilerinizi herhangi bir þekilde bir veri tabanýnda saklayýp

saklamadýðýndan, eðer saklýyorsa sakladýðý bu ortamýn sadece bir text dosyasý olup olmadýðýndan nasýl emin olabilirsiniz ki?.

Öncelikle yazý dizime uzun bir süre ara verdiðimden dolayý siz okuyucularýmdan özür dileyerek yazýma kaldýðým yerden devam etmek istiyorum.
Daha önceki yazýmda da belirttiðim gibi Ýnternette kredi kartý kullanýmýnýn güvenli olduðunu savunanlarýn öne sürdükleri diðer bir nokta ise kredi kartýnýn fiziksel olarak kullanýmýnýn zaten güvenli olmadýðýdýr.
Þimdi bu noktada çeliþkili durumlar vardýr:
Ýlk olarak, bu þekilde bir savunma yaparak zaten kredi kartlarýnýn fiziksel olarak baþtan beri güvenli olmadýðýný kabul etmektedirler. 'Peki nasýl oluyor da bu kadar önemli bir konuda, hadi Ýnterneti geçiyorum, ilk baþtan beri gerekli önlemleri almýyorlar?' sorusu geliyor adamýn aklýna.
Akla gelen diðer bir soru ise 'madem bu kredi kartlarý fiziksel olarak zaten tamamen riskli ve güvensiz, neden gerekli önlemleri almadan bunu bir de Ýnternete taþýyorsun ve durumu daha da kötü ve riskli hale getiriyorsun?'
Þimdi gelelim restorandaki garsonun kredi kartý bilgilerinizi çalma riskine. Bakýn aslýnda bu noktaya hiç mi hiç katýlmýyorum. Kredi kartý kullanýmýnýn Ýnternet ortamýndaki riskleri ile fiziksel ortamdaki risklerinin karþýlaþtýrýlmasýnýn yapýlmasý bile saçma geliyor bana.
Ýlk olarak fiziksel olarak gittiðiniz restoranlarýn ya da alýþ veriþ yaptýðýnýz yerlerin sayýsý bellidir . Kaldý ki bu yerlerde kiminle muhatap olduðunuz da bellidir. Ancak milyonlarca kullanýcýsý olan kimin kim olduðu belli bile olmayan Ýnternette alýþ veriþ için kredi kartý bilgilerinizi gönderdiðinizde ne olacaðýný asla bilemezsiniz.
Fiziksel olarak kredi kartý kullanýmýnda risklerin azaltýlmasý daha çok kullanýcýya aittir. Kredi kartýnýzý garsona vermek yerine kendiniz gidip ödeme yapabilirsiniz. Ancak Ýnternette bir siteden alýþ veriþ yaptýðýnýzda, gerekli olan noktalara ne kadar dikkat etseniz bile kredi kartý bilgileriniz bilgisayardan çýktýðý andan itibaren nerede ve nasýl kullanýlacaðýndan emin olamazsýnýz.
Bilgileri alan sitenin kredi kartý bilgilerinizi herhangi bir þekilde bir veri tabanýnda saklayýp saklamadýðýndan, eðer saklýyorsa sakladýðý bu ortamýn sadece bir text dosyasý olup olmadýðýndan nasýl emin olabilirsiniz ki?.
Bu noktada kredi kartýný kullandýðýnýz bankanýn ne kadar güvenli olduðu yada alýþ veriþ iþlemi için gerek kredi kartý onaylama kurumlarýnýn gerekse sanal maðazalarýn ne kadar güvenli olduðunun pek fazla bir önemi yoktur. Daha önce de defalarca söylediðim gibi güvenlik zincirinin saðlamlýðý onu oluþturan halkalardan en kuvvetli olana deðil, halkalardan en zayýf olana baðlýdýr!
Peki diyeceksiniz, 'kardeþim hep laf hep eleþtiri. Anladýk her yýl Ýnternet üzerinden milyonlarca belki milyarlarca dolar kredi kartý dolandýrýcýlýðý gerçekleþiyor. Eleþtiri yapmak kolay da çözüm olarak ne yapmak lazým?'
Evet aslýnda gerek kredi kartýnýn Ýnternette kullanýmý gerekse fiziksel kullanýmý konusunda güzel çözümler yok deðil ancak bunlarýn hayata geçirilmesi ve uygulanmasýnda sorunlar var.

Diðer bir araþtýrmaya göre:
Elektronik Ortam ve Ýnternet; e-iþ ve e-ticaret için ne kadar güvenli?
Ýnternet üzerinde dolaþan bilgi paketleri, bir takým güvenlik protokolleri yardýmýyla "þifrelenerek" gönderilir. Bunlardan en popülerleri SSL (güvenlikli web oturumu ve karþýlýklý bilgi deðiþ-tokuþu) ve SET (kredi kartý uygulamalarý) dir. SSL (Secure Sockets layer) ve SET (Secure Electronic Transaction) sayesinde, bilgi güvenli bir þekilde "sadece" doðru kiþiye iletilir ve bilgiyi gönderen bilgisayar ile alan bilgisayar arasýnda güvenli bir veri iletiþimi kurulur.
Böylece, kredi kartý numarasý, isim, adres vb gibi bilgiler güvenli olarak iletilir. Ýnternet üzerinde alýþveriþ yapýlan tüm merkezlerde alýþveriþ yapýlýrken bu tip güvenlik sistemleri kullanýlýr. 128 bir þifreleme algoritmalarý kullanan bu sistemler, e-ticaret için gerekli "güvenli iletiþim" ortamýný saðlarlar.

SET ve SSL Nedir?
SSL (Secure Sockets Layer), að üzerindeki web uygulamalarýnda güvenli bilgi aktarýmýnýn temini için (bilginin doðru kiþiye güvenli olarak iletimi), "Netscape" firmasý tarafýndan geliþtirilmiþ bir program katmanýdýr (program layer). Burada, bilgi iletiminin güvenliði, uygulama programý (web browser, HTTP) ile TCP/IP katmanlarý arasýndaki bir program katmanýnda saðlanmaktadýr. SSL, web sunucularýna (Apache vb), bir modül olarak yüklenir ve böylece web sunucularý güvenli eriþime uygun hale gelir.
SSL, hem istemci (bilgi alan) hem de sunucu (bilgi gönderen) bilgisayarda bir doðrulama (authentication, iki bilgisayarýn karþýlýklý olarak birbirini tanýmasý) mekanizmasý kullanýr. Böylece, bilginin doðru bilgisayardan geldiði ve doðru bilgisayara gittiði teyit edilir.
Bilgisayarlarýn birbirlerini "tanýma" iþlemi, açýk-kapalý anahtar tekniðine (public-private key encryption) dayanan bir kripto sistemi ile saðlanýr. Bu sistemde, iki anahtardan oluþan bir anahtar çifti vardýr. Bunlardan açýk anahtar (public key) herkes tarafýndan bilinebilen ve gönderilen mesajý "þifrelemede" kullanýlan bir dijital anahtardýr. (Burada anahtar'dan kasýt, aslýnda bir þifreleme -kriptolama- algoritmasýdýr. Bu algoritma (yani, anahtar) kullanýlarak gönderilecek bilgi þifrelenir). Ancak, açýk anahtar ile þifreelenen mesaj sadece bu anahtarýn diðer çifti olan "kapalý anahtar" (private key) ile açýlabilir (deþifre edilebilir). Kapalý anahtar da, sadece sizin bildiðiniz bir anahtar olduðundan, mesaj güvenliði saðlanmýþ olur. Örnek olarak, size mesaj göndermek isteyen birine kendi açýk anahtarýnýzý gönderirsiniz. Karþý taraf bu anahtarý kullanarak mesajýný þifreler ve size gönderir. Þifrelenen mesajý, sadece sizde olan ikinci bir anahtar (kapalý anahtar, private key) çözebilir ve bu anahtarý sadece siz bilirsiniz.
SSL, web sunucusunu tanýmak için, dijital olarak imzalanan sertifikalar kullanýr. Sertifika, aslýnda, o organizasyon hakkýnda bazý bilgiler içeren bir veri dosyasýdýr. Ayný zamanda da, kuruluþun açýk-kapalý anahtar çiftinin "açýk" anahtarý da sertifika içinde yer alýr. Sunucu sertifikasý da, o sunucuyu iþleten kuruma ait bilgiler içeren bir sertifikadýr. Sertifikalar, "güvenilir" sertifika kuruluþlarý tarafýndan daðýtýlýr (VeriSign gibi).
Ýstemci bilgisayar, SSL destekleyen bir sunucuya baðlandýðý anda, (bu, https:// ile baþlayan URL satýrlarý ile gerçekleþir) doðrulama iþlemi baþlar. Ýstemci, kendi açýk anahtarýný sunucuya gönderir. Sunucu ise, bu anahtarý kullanarak þifrelediði bir mesajý istemciye geri gönderir. Bir sonraki adýmda istemci sadece kendinde olan kapalý (private) anahtarý kullanarak gelen þifreli mesajý çözer ve sunucuya geri gönderir. Mesajý alan sunucu ise, bunu kendisinin gönderdiði orijinal mesaj ile karþýlaþtýrýr ve eðer iki mesaj "ayný" ise "doðrulama" iþlemi baþarýyla tamamlanmýþtýr ve sunucu bu noktadan itibaren "doðru bilgisayarla/kiþiyle" iletiþimde olduðunu anlar. Daha sonra sunucu istemciye o an gerçekleþen web oturumunda kullanýlacak tüm önemli anahtarlarý gönderir ve güvenli iletiþim baþlar.
Anahtarlar üretilirken kullanýlan bazý popüler algoritmalar olarak, DES (Data Encryption Standard), RSA, IDEA verilebilir. Bunlardan RSA'nýn RC4 algoritmasý (128 bit þifreleme olarak) Netscape ve Internet Explorer'da da kullanýlan bir algoritadýr.
SET (secure Electronic Transaction), elektronik ticarette, internet üzerinde güvenli bilgi aktarýmýný saðlamak amacýyla aralarýnda VISA, MasterCard ve IBM'in de olduðu kuruluþlar tarafýndan geliþtirilen bir protokoldür. SET, özellikle on-line (gerçek zamanda) kredi kartý bilgileri iletimi için geliþtirilmiþ bir standarttýr. SET, kredi kartý ile yapýlan online ödemelerde, bilgilerin internet üzerinden aktarýmýnda gizlilik ve güvenlik entegrasyonunu saðlar. SET protokolü sadece müþteri (ürün sipariþi veren kredi kartý sahibi) ile sanal dükkan (e-dükkan) ve kredi kartý þirketi arasýndaki ödeme fazýný þifreler.
SET ile, ödeme iþlemine taraf olan herkes (müþteri, dükkan sahibi, kredi kartý þirketi), birbirlerini tanýrlar (teþhis ederler, authentication) ve bu ispatlanabilir. "Tanýma" iþlemi, SSL'dekine benzer bir dijital sertifikasyon sistemi ile yapýlýr. Yani, ödeme fazýna dahil bütün taraflar kendi kimliklerini belirten dijital bir sertifika kullanýr.