Hatanın muhattabı olan Türktrust ise durum karşısında ‘sehven oldu’ savunmasını yaptı.
ABD’li teknoloji şirketleri Google ve Microsoft, Türkiye’deki pek çok kamu şirketini internet sitesinde sahte güvenlik sertifikası kullanmakla suçladı. Başta Ankara’da toplu taşımadan sorumlu Elektrik Gaz Otobüs (EGO) işletmesi olmak üzere pek çok Türk kamu kuruluşunun, sahte güvenlik sertifikası kullandığını kendi blog sitesinde yazan Google Mühendisi Adam Langley, Türkiye’nin internet sertifikalandırılması konusunda yetkili kuruluşu Türktrust’ın internet korsanlığı yapmakla suçladı. Türktrust’ın kamu kuruluşlarının internet sitesi için verdiği güvenlik sertifikalarının sahte olduğu, bu nedenle söz konusu sitelere giriş yapan milyonlarca kullanıcının kişisel bilgilerinin kolaylıkla ele geçirilebileceği belirtildi.
Bilgiler takip ediliyor
Türkiye’nin ‘https’ güvenlik sertifikalı kamu sitelerini bilgi toplayan birer izleme programına çevirdiğini iddia eden Google, ziyaretçilerin bilgilerinin takip edildiğini öne sürdü. 2011 yılında bu sorunu keşfeden Google, tarayıcı pazarındaki rakipleri Microsoft ve Mozilla’ya da konu hakkında bilgi verdi. Internet Explorer ve FireFox tarayıcılar üzerinde yapılan araştırmalar sonucunda Google’a rakiplerinden de destek geldi. Ancak Google’ın yaptığı suçlamaların ardından Türktrust, söz konusu durumun bir hata olduğunu ve ‘sehven’ yaşandığını söyledi.
‘Sehven’ savunması
İdidaların ardından TürkTrust İş Geliştirme Müdürü Atilla Biler tarafından yapılan yapılan açıklamada, durumun sistemde yapılan bir yanlışlık nedeniyle meydana geldiği bildirildi. Biler, Mayıs-Kasım 2011 tarihleri arasında sistemlerde iyileştirme ve geliştirme çalışmaları yürütülürken, yazılım güncelleme ve veri taşıma kusuruna bağlı olarak aynı üretim paketinde yer alan 2 adet SSL sertifikasının Ağustos 2011’de ‘hatalı olarak’ üretildiğini, Aralık 2012 tarihinde ABD’li şirketler tarafından kendilerine yapılan bildirimle anlaşıldığını söyledi. Bildirimin ardından geçerli olan her iki sertifikanın da derhal iptal edildiği kaydedildi.
EGO: Biz de mağdur olduk
EGO yetkilileri de yaptığı açıklamada, sahte güvenlik sertifikası ile ilgili bir bağlantılarının bulunmadığını ve kendilerinin de mağdur olduğunu belirterek şunları söyledi: “Çalışanlarımızın kurumsal mail adreslerine dışarıdan da ulaşabilmeleri için 1.5 yıl önce SSL sertifikası aldık. Çalışanlarımızın kişisel bilgilerini takip ettiğimiz iddiaları tamamen asılsızdır. Sertifikanın sahte olduğu ortaya çıktıktan sonra biz de 1 hafta süreyle e-postalarımızda sorun yaşadık. Bunun üzerine TürkTrust’tan yeni bir güvenlik sertifikası alarak sistemlerine entegre entegre ettik. Bu süre içinde bilişim alt yapılarında herhangi bir güvenlik açığının yaşanmadı.”
SSL sertifikası ne işe yarar
Mıcrosoft Explorer, Google Chrome, Mozilla Firefox, Apple Safari gibi dünyadaki tüm internet tarayıcılarının desteklediği bir standart haline gelen SSL güvenlik sertifikaları internette güvenli ve gizli veri trafiğini sağlıyor. Güvenlik için, ‘https’ ile başlayan internet sitelerine girildiğinde, internet tarayıcı adresin güvenliğini onaylayan yeşil bir anahtar resmini kullanıcıya gösterir. O sitenin güvenlik sertifikasının, gerçekten o siteye ait olduğunu, iletişimin başka hiç kimsenin çözemeyeceği şekilde şifrelenerek taşındığını gösteren bu uyarının, yansıması sayılabilecek bir sahte uyarı, EGO gibi kamu şirketlerinin internet sitelerinde kullanıcıların ekranlarına yansıtıldı.
Riski nedir?
SÖZ konusu hata sayesinde, mail.google.com için güvenlik sertifikası üretip, mail.google.com trafiğini özel cihazlara yönlendirip, tarayıcı üzerinden tüm e-posta trafiğini görüntüleyebilir, şifreyi öğrenebilir ve arşivleri karıştırabilir. Aynı yöntemle facebook, twitter ve banka hesaplarına ait bilgilere de ulaşılabilir.
