Son üç gündür Internet dünyası ‘heartbleed’ problemi ile çalkalanıyor (The Heartbleed Bug; http://heartbleed.com). Artık çoğu kullanıcının öğrendiği üzere internette ‘https’ ile başlayan adresler güvenli (crypto-şifrelenmiş) protokol üzerinden iletişim sağlıyorlar. Teorik olarak kriptolu iletişimde mesaj gönderen ve alan iletilerini şifreleyerek birbirlerine gönderiyorlar. Şifreleme de ve bu şifreyi çözüp mesajı okumada kullanılan güvenlik sertifikaları ise her sitenin kendine ait özel anahtar-şifreleri ile kodlanıyor. Böylece anahtar ve sertifika olmadan kriptolu iletişimi çözümlemek ve dışarıdan dinlemek imkansız hale geliyor. Bu kriptoluma ve şifreleme işlemleri için ise değişik onlarca metod ve algoritma kullanılıyor.
Buraya kadar her şey teorik olarak yolunda gözüküyor. Pratikte ise bu algoritmaları programlayıp yazılım olarak kullanıyoruz. Internet serverlarının nerdeyse %60’ından fazlasında kullanılan ‘openssl’ programı da böyle bir yazılım. Yani İnternet üzerinde şifreli iletişim kullandığınızda, bu bir alışveriş sitesi veya e-mailinizi okuduğunuz program, veyahutta dedenize gönderdiğiniz Whatsapp mesajı veya tweet böyle bir kriptolama işleminden sonra alıcıya iletiliyor. Bütün dünyanın güvenlikli olduğunu düşünüp rahatça kullandığı bu sistemin aslında son iki yıldır hiç de güvenli olmadığı ve büyük bir programlama hatası sonucu bir açık verdiği ortaya çıktı.
Bu açık sayesinde, kriptolamak için kullanılan sertifika ve anahtarlar üçüncü şahıslar tarafından kolaylıkla elde edilebiliyorlar. Böylece sizin güvenli olduğunu düşündüğünüz her türlü iletişiminizi dinleyip, gözleyebiliyorlar. Kısacası hafta sonu gezmeye giderken bütün kapı ve pencereleri sıkıca kilitleyip kapattığınızı, ama kapınızın anahtarını da dışarıya kapının koluna asıp gittiğinizi düşünün. Sanırım işin ciddiyeti yavaş yavaş ortaya çıkıyor.
Bu programdaki açık bulununca ortaya şöyle bir manzara çıkıyor; son iki yıldır güvenli diye bildiğimiz bütün iletişimlerimiz aslında bu hatayı bilinen birileri tarafından izlenebiliyordu. Ayrıca, son iki yıldaki internet üzerindeki veya bu program kullanılarak yapılan her turlu iletişimi depolayan birileri bu iletişimlerimizi istediği zaman geriye dönük olarak da çözebilecek demektir. Sadece kişisel bilgiler değil aynı zamanda bütün şirketlerin ticari sırları da dahil olmak üzere her türlü elektronik ortamda yapılan türlü iletişim de risk altında demektir.
Şimdi bu açık kapatılmış durumda, ama gündelik hayatta kullandığımız binlerce programdan birisi olan bu programın binlerce satırdan oluştuğunu düşünürsek ve bu hatanın belki de bir kaç satırlık bir yanlış programlama ile ortaya çıktığını hesap edersek aslında, bunun gibi henüz bizim bilmediğimiz ama erbabınca keşfedilen ve suistimal edilen nice açıklarının var olduğunu da varsaymamız çok da abartılı olmaz.
Bütün bunları aynı zamanda son aylardaki başbakanın ve diğer devlet başkanlarının vs kriptolu telefonlarının da rahatlıkla dinlenildiğini de göz önüne alarak değerlendirirsek, durumumuz aslında hiç de iç acıcı görünmüyor. O zaman bize düşen ise öncelikle her türlü internet ve elektronik iletişimin güvenli olmadığını kabul etmek ve ona göre davranmak.
