OrchidSpectrum
Kayıtlı Kullanıcı
Telefonu ya da kartı okuyucuya şöyle bir yaklaştırdığımızda, o anlık sihirli temassız alışverişin tadını çıkarırken, aklımızın bir köşesinde o kemirgen soru beliriyor hemen: Peki, bu arada benim verilerim uçuşmuyor mu bir yerlere, kapılıp gitmiyor mu rüzgara?.. Sanki havada asılı kalan o kısacık anda, minik elektromanyetik dalgaların usulca dansıyla bilgilerimiz bir yerden bir yere aktarılırken, kötü niyetli bir el de aradan sıvışıp cebimize uzanıyor gibi hissediyoruz bazen, vallahi hissediyoruz. Özellikle o anlık "pıt" sesi, her şeyin anında olup bittiği algısı... Kulağa ne kadar havalı gelse de bu kolaylık, ardında bir kapı aralamış mıdır gizli hırsızlara?
Aslında mevzubahis NFC teknolojisi, isminden de anlaşılacağı üzere "Yakın Alan İletişimi" demek, yani öyle kilometrelerce öteden değil, sadece birkaç santimetrelik bir mesafeden konuşabiliyor cihazlar birbiriyle. Hani tam da o temassız ödeme anında cüzdanınızdaki kartın okuyucuya en fazla dört santimetre yaklaşması gibi... Şimdi düşünün, bu kadar dar bir pencerede, saniyenin onda biri kadar bir sürede gerçekleşen bir veri alışverişini yakalamak, araya girip o veriyi çekip almak... Gerçekten fiziken ne kadar zor bir iş abi ya, yani öyle uzaktan sihirli bir değnekle çekip alma durumu yok. Bu relay attack dedikleri röle saldırılarında bile, hem göndericiye hem alıcıya aynı anda bu kadar yakın olmak ve işlemi o minik zaman aralığında manipüle etmek, pratikte hayli güç bir senaryo sunuyor, öyle değil mi?
Telefonlarımızdaki, kartlarımızdaki o "güvenli eleman" dedikleri minicik çipler var ya, işte onlar aslında birer kale gibi konumlanıyorlar tüm bu alışverişin ortasında. İçlerinde verilerin sadece okunmasına değil, aynı zamanda şifrelenmesine yarayan özel anahtarlar, algoritmalar saklı. Yani siz temassız bir ödeme yaptığınızda, aslında kart numaranızın kendisi direkt olarak gitmiyor karşı tarafa, yerine bir "token", yani tek kullanımlık bir şifreleme anahtarı gönderiliyor. Bu token'lar, her işlem için ayrı ayrı üretiliyor ve bir kere kullanıldıktan sonra hükmünü yitiriyorlar. Böylece birisi o anlık veriyi ele geçirse bile, o token'ın bir sonraki işlemde hiçbir işe yaramayacağını biliyoruz... Nasıl bir şifreleme anahtarı dönüyor orada, akıllara zarar. Bankacılık sektörünün uyguladığı EMVCo standartları da bu güvenliği en üst seviyede tutmak için tasarlanmış durumda, yani canım sıkılıyordu da hadi bir veri çalayım diye yola çıkmak o kadar kolay değil.
Ama abi, yani NFC'ye laf yok da, asıl mesele belki de bizim kendi güvenliğimizde başlıyor, değil mi sizce de? Hani olur ya, herkese açık bir Wi-Fi ağına bağlanırız, kimlik bilgilerimizi hiç düşünmeden gireriz bir yerlere... Ya da o sahte e-postalar, "ödül kazandınız" SMS'leri... Esas tehlike buralarda, sosyal mühendislik denilen o sinsi yöntemlerde değil mi? NFC'nin o küçücük iletişim penceresini hedef almak yerine, dolandırıcıların çok daha büyük ve korumasız kapılardan içeri sızmaya çalıştığı bir dünya bu. Akıllı telefonlarımızın kilidini açık bırakmak, uygulamalara gereğinden fazla izin vermek... İşte bunlar aslında veri hırsızlığı riskimizi katbekat artıran şeyler, NFC'nin kendisinden çok daha fazla...
Sonuç olarak, o "veri hırsızlığı riski var mı?" sorusu, NFC özelinde düşündüğümüzde, teknolojinin kendi doğasındaki kısa menzilli yapısı ve uygulanan katı güvenlik protokolleri sayesinde oldukça düşük kalıyor diyebiliriz. Yani öyle uzaktan sihirli değnekle olmuyor bu işler, vallahi billahi. Cihazlarımızın güncel kalmasına dikkat etmek, işletim sistemi ve uygulamaların en son güvenlik yamalarını yüklemek, bilinmeyen kaynaklardan yazılım indirmemek gibi temel güvenlik prensiplerine uymak, esas bizi koruyan zırh. Temassız ödeme yaparken ya da bir dosya paylaşırken rahat olabilirsiniz, o anlık "pıt" sesi aslında arkasında sağlam bir güvenlik duvarıyla birlikte geliyor... Yeter ki biz kendi kapılarımızı açık bırakmayalım.
Aslında mevzubahis NFC teknolojisi, isminden de anlaşılacağı üzere "Yakın Alan İletişimi" demek, yani öyle kilometrelerce öteden değil, sadece birkaç santimetrelik bir mesafeden konuşabiliyor cihazlar birbiriyle. Hani tam da o temassız ödeme anında cüzdanınızdaki kartın okuyucuya en fazla dört santimetre yaklaşması gibi... Şimdi düşünün, bu kadar dar bir pencerede, saniyenin onda biri kadar bir sürede gerçekleşen bir veri alışverişini yakalamak, araya girip o veriyi çekip almak... Gerçekten fiziken ne kadar zor bir iş abi ya, yani öyle uzaktan sihirli bir değnekle çekip alma durumu yok. Bu relay attack dedikleri röle saldırılarında bile, hem göndericiye hem alıcıya aynı anda bu kadar yakın olmak ve işlemi o minik zaman aralığında manipüle etmek, pratikte hayli güç bir senaryo sunuyor, öyle değil mi?
Telefonlarımızdaki, kartlarımızdaki o "güvenli eleman" dedikleri minicik çipler var ya, işte onlar aslında birer kale gibi konumlanıyorlar tüm bu alışverişin ortasında. İçlerinde verilerin sadece okunmasına değil, aynı zamanda şifrelenmesine yarayan özel anahtarlar, algoritmalar saklı. Yani siz temassız bir ödeme yaptığınızda, aslında kart numaranızın kendisi direkt olarak gitmiyor karşı tarafa, yerine bir "token", yani tek kullanımlık bir şifreleme anahtarı gönderiliyor. Bu token'lar, her işlem için ayrı ayrı üretiliyor ve bir kere kullanıldıktan sonra hükmünü yitiriyorlar. Böylece birisi o anlık veriyi ele geçirse bile, o token'ın bir sonraki işlemde hiçbir işe yaramayacağını biliyoruz... Nasıl bir şifreleme anahtarı dönüyor orada, akıllara zarar. Bankacılık sektörünün uyguladığı EMVCo standartları da bu güvenliği en üst seviyede tutmak için tasarlanmış durumda, yani canım sıkılıyordu da hadi bir veri çalayım diye yola çıkmak o kadar kolay değil.
Ama abi, yani NFC'ye laf yok da, asıl mesele belki de bizim kendi güvenliğimizde başlıyor, değil mi sizce de? Hani olur ya, herkese açık bir Wi-Fi ağına bağlanırız, kimlik bilgilerimizi hiç düşünmeden gireriz bir yerlere... Ya da o sahte e-postalar, "ödül kazandınız" SMS'leri... Esas tehlike buralarda, sosyal mühendislik denilen o sinsi yöntemlerde değil mi? NFC'nin o küçücük iletişim penceresini hedef almak yerine, dolandırıcıların çok daha büyük ve korumasız kapılardan içeri sızmaya çalıştığı bir dünya bu. Akıllı telefonlarımızın kilidini açık bırakmak, uygulamalara gereğinden fazla izin vermek... İşte bunlar aslında veri hırsızlığı riskimizi katbekat artıran şeyler, NFC'nin kendisinden çok daha fazla...
Sonuç olarak, o "veri hırsızlığı riski var mı?" sorusu, NFC özelinde düşündüğümüzde, teknolojinin kendi doğasındaki kısa menzilli yapısı ve uygulanan katı güvenlik protokolleri sayesinde oldukça düşük kalıyor diyebiliriz. Yani öyle uzaktan sihirli değnekle olmuyor bu işler, vallahi billahi. Cihazlarımızın güncel kalmasına dikkat etmek, işletim sistemi ve uygulamaların en son güvenlik yamalarını yüklemek, bilinmeyen kaynaklardan yazılım indirmemek gibi temel güvenlik prensiplerine uymak, esas bizi koruyan zırh. Temassız ödeme yaparken ya da bir dosya paylaşırken rahat olabilirsiniz, o anlık "pıt" sesi aslında arkasında sağlam bir güvenlik duvarıyla birlikte geliyor... Yeter ki biz kendi kapılarımızı açık bırakmayalım.
