Backdoor ve kriptografi

Nedir bu Backdoor denilen şey? Verilerin hem sabit hem de iletim halinde iken şifrelenmeleri standart uygulama haline dönüşürken, hack tehdidi ve kullanıcıların mahremiyetlerini garanti altına alma eğilimi veri şifrelemeyi beraberinde getirdi.  Anahtarı sadece sizde bulunan emanet bir kutunun banka çalışanlarınca açılamaması gibi standart bir şifrelemede servis sağlayıcı firmaların siz yetkilendirmediğiniz sürece veriye erişme imkanları bulunmuyor. Sistemde mevcut bir backdoor bulunmadığı sürece!

Fakat en güçlü kasalar ya da kapılar dahi matkap ya da patlayıcılara karşı koyamazlar. Kriptografi metodlarındaki gelişmeler ve hesaplama gücündeki artışlar, gerçekçi bir zaman çerçevesinde geri dönüşümü sağlanamayacak olan kriptoyu doğurdu. Tarihte ilk kez insanlar iletişimlerini hızlı bir şekilde emniyetli kılmak için bir yol buldular ve hackerların ya da hükümet yetkililerinin tehditlerinden uzak olma şansını yakaladılar.

Bizim için iyi bir şey fakat FBI ve polis için tam bir felaket. Bir zamanlar suça dair mektupları bulmak için kilitli çekmeceleri kırabiliyor, ya da özel kayıtları açıklaması için bir firmaya baskı yapabiliyorlardı. Fakat şimdi söz konusu bilginin deşifre olması için her şey sahibinin rızasına dayanıyor.

Tabiri caizse şimdi ön kapıdan giremeyecekleri için sürekli olarak arka kapı arayışı içerisine girdiler. Peki arka kapı tam olarak nedir ve neden dikkatli olmalısınız?

Ciddi bir tehdit

Backdoor (arka kapı) kavramı açıklaması kolay ama kesin olarak kapatması pek kolay olmayan bir şey. Bir evin arka kapısı gibi kripto (şifre) backdoor’u da (genel olarak tek kelime şeklinde yazılır) kilitleri aşmak ve ana girişteki korumaları atlayarak engele takılmadan içeri girmenin bir yoludur. Bir backdoor telefonda, dizüstü bilgisayarda, router’da, güvenlik kamerasında, ya da herhangi bir cihazda olabilir.

OKU ►  Google'ın mobil şebeke operatörü Project Fi nedir?

Fakat backdoor’lar bilindik güvenliği aşma yollarından farklı olma özelliği gösterirler. Güvenlik araştırmacısı Jonathan Zdziarski, bir backdoor’u sistemdeki açıktan, sistem zayıflığından ya da yönetimsel bir erişimden ayırdedebilmek için kullanışlı bir genel betimleme sunuyor.

Öncelikle backdoor’lar bilgisayar sistemi sahibinin rızası olmadan iş yaparlar. 

Bu durum, insanların işlerinin bir parçası olarak rıza gösterdikleri, çalışanların e-postalarına yönetimin sağlayabildiği erişim, ya da Comcast’in (internet servis sağlayıcısı) modeminizle ilgili sorunların tespiti için ayrıca oturum açması gibi bir durumun haricindeki konularda geçerlidir. Fakat eğer Comcast gizli diğer bir bağlantıyı sisteme entegre ederse, işte o zaman backdoor tanımına uyan standart sağlanmış olur.

İkincisi, backdoor’ların eylemleri sistemin kurulum amacına ters düşer

Farz edelim ki bir cihaz mesajlarınızı emniyet altına aldığını iddia ediyor. Üretici bu cihazı fonksiyonel tutmak için güncelleme yüklemesi yapmak amacıyla birebir örtüşecek şekilde bir yöntemi cihaza konumlandırmış olabilir. Fakat eğer bu yöntem, mesajlarınıza bilginiz dışında erişim sağlama imkanına sahip ise, bu amaçlanan maksatlara ve yetki tanımlarına ters düşer.

Üçüncüsü, backdoor’lar gizli aktörlerin kontrolü altındadırlar

Bir çok virüs ya da solucan bilgi toplayarak ya da kişi listenize spam mesajları göndererek az ya da çok bağımsız anlamda hareket ederler. Üçüncü taraf bir şahıs ya da kurum bu yazılımların eylemlerini yönetmediği sürece (fidye yazılımı ya da botnet’lerde olduğu gibi) backdoor sayılmazlar zira edinilen bilgilerin geri götürüleceği bir yer yoktur.

Tık Tık

Bir çok insan son zamanlarda FBI’ın Apple’la yaşadığı oldukça bilinen bir meseleden ötürü ‘backdoor’ tabirini duymuştur. Bu olay, kelimenin tarifinde kullanılacak faydalı bir örnek olma özelliği teşkil ediyor. Bir terörizm soruşturması esnasında FBI, kanunsal uygulamalar dahilinde bir iPhone’un açılmasını sağlamak için kod oluştursun diye Apple’a baskı yapmayı denemişti. Apple CEO’su Tim Cook o zamanlar “Amerikan hükümeti kesinlikle sahip olmadığımız ve yapılmasının çok tehlikeli olduğunu düşündüğümüz bir şeyi bizden talep etti. Bizden iPhone için bir ‘backdoor’ yapmamız istendi” diye yazmıştı.

OKU ►  AlphaGo daha ulvi görevler için emekliye ayrıldı

FBI Apple’dan, cihaz sahibinin rızası olmadan çalışacak bir yazılım oluşturmasını, güçlü bir şifreleme teminatı veren iOS versiyonunu deşifre etmesini, ve gizli bir biçimde FBI’ın kontrolü altında kalmasını talep etmişti. Bütün bunlar yukarıda belirttiğimiz üç duruma da uyuyor.

Şu var ki backdoor’lar yeni bir fenomen olmaktan uzaklar ve bağımsız bir cihaza yüklenen bir yazılımın parçası olmak zorunda değiller. Daha derin bir entegrasyonla ilgili bir örnek 1992 tarihinde yaşandı.

O yıl NSA’in komutası altında Mykotronx, R&D ya da bir elçilik gibi gizliliğin ve mahremiyetin önem arz ettiği yerlerde bulunan hatlara, telefon görüşmelerinin şifrelenmesi için özel bir chip yapmıştı. Bu ‘Clipper Chip’, mevcut bir chip’in yerine konmuştu ve önemli bir eklentiye haizdi: ‘Yasa Uygulama Erişim Alanı’. Bu alana girilecek bir kod cihazın şifreleme sistemini bütünüyle bypass ediyordu.

Üretim esnasında yerleştirilen bu kod, federal ajanlarca en katı şekilde gizlilik içerisinde tutulmalıydı. Mahremiyeti savunan avukatlar, donanım seviyesinde uygulanan bu ‘anahtar gaspı’na yüksek sesle karşı çıktılar. Zira bu gizli sistemin ya da uygulanacak işlemin güvenilirliğinin kamuca tetkiki mümkün değildi.

‘Clipper Chip’ ıskartaya çıkmıştı fakat her ne kadar o denli açık biçimde olmasa da, fikir olarak yaşamaya devam ediyor. Bir çok modem, kablosuz chip, ve diğer iletişim parçalarının ve depolama aygıtlarının, üreticilerin ya da doğal olarak üreticilerin tercihinde olmak üzere herhangi bir aktörün, cihaza erişim sağlamalarına imkan veren mekanizmaları içerdikleri defalarca gösterilmişti.

OKU ►  Wi-Fi Teknolojisi

Bir backdoor’u daha derine yerleştirmek mümkündür. NSA’nın özel bir gelişigüzel numara üretim tekniği kullanan şifreleme standardını sağlamak üzere 10 milyon dolar ödeme yaptığı vaktiyle bildirilmişti. Bu standardı kullanan herhangi bir ürün, tespiti oldukça zor olacak bir seviyede NSA tarafından etkin olarak backdoor ediliyor olabilir.

Güven, ama güvenilirliği doğrula

Kullandığınız bir uygulama ya da cihazda backdoor olma ihtimalinden ötürü endişe duyuyorsanız… Ki gayet doğal, duymalısınız da! Fakat bir umut ışığı var : bir çok aydın insan da bu konuda endişeli ve gözlerini açmış durumdalar.

Birileri güvenilir bir protokol ya da servis sahibi olduğunu iddia ettiklerinde her zaman için metodlarını halka açmalarını ve böylece bağımsız araştırmacıların herhangi bir açık olup olmadığını, var ise bilinçsizce mi yapıldığı yoksa kasti olarak mı bu açığın bırakıldığı hususunu araştırmalarının sağlanması talep edilir. Standart şifreleme metodları öylesine güçlü ve mükemmeldirler ki hackerlar ve ajanlar çalışmalarını başka yönlere kaydırmaktalar. Birilerinin bilgi çalma maksadıyla hazırlanmış bir e-posta mesajındaki belli belirsiz bir bağlantıya tıklamasını sağlamak ya da bir suçlunun telefonunu açmasını sağlamak için kandırmak, sisteme backdoor yerleştirmekten çok daha zor bir iştir.

Backdoor tehdidi halen mevcut ve varlığı ispatlanmıştır. Bereket versin ki bilgilendirilmiş (ve hakları çiğnenmiş) bir toplum, backdoor yapımına karşı güçlü bir caydırıcı faktördür.

CEVAP VER

Please enter your comment!
Please enter your name here