Google, Türktrust’ın ‘EGO’suna bozuldu

Elektrik Gaz Otobüs (EGO) işletmesi başta olmak üzere pek çok Türk kamu kuruluşunun, sahte güvenlik sertifikası kullandığını ortaya çıkaran Google,...

Elektrik Gaz Otobüs (EGO) işletmesi başta olmak üzere pek çok Türk kamu kuruluşunun, sahte güvenlik sertifikası kullandığını ortaya çıkaran Google, internet sertifikalandırılması konusunda yetkili kuruluş Türktrust’ı korsanlık yapmakla suçladı. Hatanın muhattabı olan Türktrust ise durum karşısında ‘sehven oldu’ savunmasını yaptı.

ABD’li teknoloji şirketleri Google ve Microsoft, Türkiye’deki pek çok kamu şirketini internet sitesinde sahte güvenlik sertifikası kullanmakla suçladı. Başta Ankara’da toplu taşımadan sorumlu Elektrik Gaz Otobüs (EGO) işletmesi olmak üzere pek çok Türk kamu kuruluşunun, sahte güvenlik sertifikası kullandığını kendi blog sitesinde yazan Google Mühendisi Adam Langley, Türkiye’nin internet sertifikalandırılması konusunda yetkili kuruluşu Türktrust’ın internet korsanlığı yapmakla suçladı. Türktrust’ın kamu kuruluşlarının internet sitesi için verdiği güvenlik sertifikalarının sahte olduğu, bu nedenle söz konusu sitelere giriş yapan milyonlarca kullanıcının kişisel bilgilerinin kolaylıkla ele geçirilebileceği belirtildi.

Bilgiler takip ediliyor

Türkiye’nin ‘https’ güvenlik sertifikalı kamu sitelerini bilgi toplayan birer izleme programına çevirdiğini iddia eden Google, ziyaretçilerin bilgilerinin takip edildiğini öne sürdü. 2011 yılında bu sorunu keşfeden Google, tarayıcı pazarındaki rakipleri Microsoft ve Mozilla’ya da konu hakkında bilgi verdi. Internet Explorer ve FireFox tarayıcılar üzerinde yapılan araştırmalar sonucunda Google’a rakiplerinden de destek geldi. Ancak Google’ın yaptığı suçlamaların ardından Türktrust, söz konusu durumun bir hata olduğunu ve ‘sehven’ yaşandığını söyledi.

‘Sehven’ savunması

İdidaların ardından TürkTrust İş Geliştirme Müdürü Atilla Biler tarafından yapılan yapılan açıklamada, durumun sistemde yapılan bir yanlışlık nedeniyle meydana geldiği bildirildi. Biler, Mayıs-Kasım 2011 tarihleri arasında sistemlerde iyileştirme ve geliştirme çalışmaları yürütülürken, yazılım güncelleme ve veri taşıma kusuruna bağlı olarak aynı üretim paketinde yer alan 2 adet SSL sertifikasının Ağustos 2011’de ‘hatalı olarak’ üretildiğini, Aralık 2012 tarihinde ABD’li şirketler tarafından kendilerine yapılan bildirimle anlaşıldığını söyledi. Bildirimin ardından geçerli olan her iki sertifikanın da derhal iptal edildiği kaydedildi.

EGO: Biz de mağdur olduk

EGO yetkilileri de yaptığı açıklamada, sahte güvenlik sertifikası ile ilgili bir bağlantılarının bulunmadığını ve kendilerinin de mağdur olduğunu belirterek şunları söyledi: “Çalışanlarımızın kurumsal mail adreslerine dışarıdan da ulaşabilmeleri için 1.5 yıl önce SSL sertifikası aldık. Çalışanlarımızın kişisel bilgilerini takip ettiğimiz iddiaları tamamen asılsızdır. Sertifikanın sahte olduğu ortaya çıktıktan sonra biz de 1 hafta süreyle e-postalarımızda sorun yaşadık. Bunun üzerine TürkTrust’tan yeni bir güvenlik sertifikası alarak sistemlerine entegre entegre ettik.  Bu süre içinde  bilişim alt yapılarında herhangi bir güvenlik açığının yaşanmadı.”

SSL sertifikası ne işe yarar

Mıcrosoft Explorer, Google Chrome, Mozilla Firefox, Apple Safari gibi dünyadaki tüm internet tarayıcılarının desteklediği bir standart haline gelen SSL güvenlik sertifikaları internette güvenli ve gizli veri trafiğini sağlıyor. Güvenlik için, ‘https’ ile başlayan internet sitelerine girildiğinde, internet tarayıcı adresin güvenliğini onaylayan yeşil bir anahtar resmini kullanıcıya gösterir. O sitenin güvenlik sertifikasının, gerçekten o siteye ait olduğunu, iletişimin başka hiç kimsenin çözemeyeceği şekilde şifrelenerek taşındığını gösteren bu uyarının, yansıması sayılabilecek bir sahte uyarı, EGO gibi kamu şirketlerinin internet sitelerinde kullanıcıların ekranlarına yansıtıldı.

Riski nedir?

SÖZ konusu hata sayesinde, mail.google.com için güvenlik sertifikası üretip, mail.google.com trafiğini özel cihazlara yönlendirip, tarayıcı üzerinden tüm e-posta trafiğini görüntüleyebilir, şifreyi öğrenebilir ve arşivleri karıştırabilir. Aynı yöntemle facebook, twitter ve banka hesaplarına ait bilgilere de ulaşılabilir.

LOJİPORT

İlk yorum yazan siz olun
UYARI: Küfür, hakaret, rencide edici cümleler veya imalar, inançlara saldırı içeren, imla kuralları ile yazılmamış,
Türkçe karakter kullanılmayan ve büyük harflerle yazılmış yorumlar onaylanmamaktadır.

Teknoloji Haberleri

“Lübnan’da yaşanan tedarik zinciri saldırısıdır; çare milli yazılım”
Nagarro + MBIS, Yenilikçi Tedarik Zinciri Çözümleri sunuyor
Lojistik Sektörünü Yakın Zamanda Etkileyecek Yapay Zeka Teknolojileri
Daimler Truck ve Linde, hidrojen yakıt dolumunda yeni bir çağ başlatıyor
Oracle daha iyi lojistik yönetimi için bulut SCM'yi geliştiriyor