8 Nisan 2012 Pazar

Online Alışveriş Güvenliği

Tüketici, ucuza erişmek isterken lüksü de elde etmek istiyor. İnternetten daha ucuz uçak bileti bulmaya çalışıyor. Çogu zaman internetten alışveriş yapmak zaman kazandırıyor, daha çok çeşide birkaç tıklama ile ulaşmamızı sağlıyor.Tüm bu olumlu yanlarına nazaran her zaman kafaları karıştıran yanları da olmuştur Internetten alışverişin. Dünyadaki gelişmelere paralel olarak artık yurt dışındaki kapsamlı alışveriş sitelerinin yanında onlarla yarışabilecek yerli versiyonlarına da ulaşabiliyoruz. Fakat ilk günden beri insanların kafasını kurcalayan güvenlik konusunda her geçen gün yaşanan olumlu, olumsuz tecrübeler kimilerini internetten alışveriş yapmaya yöneltiyor kimilerini ise güvenlik gibi birtakım kararsız konulardan dolayı tereddüde düşürüyor.  Birçok E-ticaret sitesi hackerlar tarafından hack ediliyor.Müşterilerin tek güvencesi ise tabiiki “Güvenlik Sertifika”ları oluyor.


E-ticaret uygulamalarında kullanılan temel standartlar SSL ve SET şifreleme teknikleridir.
Bu gelişmiş algoritmik sistemler, karmaşık yapıları ve en gelişmiş bilgisayarların bile çözemediği bir kriptolama (şifreleme) teknolojisine sahiptir.


Bugün bütün bankaların Internet şubeleri, web siteleri aracılığı ile sanal alışveriş hizmeti veren firmalar,
ticari işlemlerin yapıldığı portallar, banka ve kredi kartı bilgilerinin güvenliği ve gizliliğini sağlamak
için yaygın olarak SSL ve SET şifreleme teknolojilerini kullanmaktadırlar. SSL ve SET sistemleriyle,
Internet´ten alışveriş yapmayı isteyen sıradan bir kullanıcının ya da tüm alım satımlarını, ödemelerini web ortamına aktarmış bir işyerinin, yaptıkları ticari işlem sırasında, bağlı oldukları bankayla veri akışı olduğunda, tüm bu veri içeriğini 128 bit şifreleme tekniğiyle şifreler. Bilgilerin şifrelenerek aktarılması esasına dayanan bu dijital güvenlik sistemleri sayesinde, bilgilerin kötü niyetli 3.şahıs ya da kurumların eline geçmesi durumunda onlar tarafından çözülebilmesi önlenmiş olur.



SSL (Secure Socket Layer)
SSL network (ağ) üzerindeki veri transferi sırasında güvenlik ve gizliliğin sağlanması amacıyla Netscape tarafından geliştirilmiş bir güvenlik protokolüdür. 1996 yılında 3.0 versiyonunun çıkarılmasıyla hemen bütün Internet tarayıcılarının desteklediği bir standart haline gelmiş ve kısa zamanda çok geniş uygulama alanları bulmuştur.


SSL şifrelemesi ile, gönderilen bilginin kesinlikle ve sadece doğru adreste deşifre edilebilmesini sağlanır. Bilgi ya da veri gönderilmeden önce otomatik olarak şifrelenir ve sadece doğru alıcı tarafından deşifre edilebilir. Her iki tarafta da doğrulama yapılarak işlemin ve bilginin gizliliği ve bütünlüğü korunur.
Peki SSL kullanan bukadar güvenli olan siteleri nasıl anlayabiliriz ?

Ödeme sayfasının güvenli (https’li) site olduğu mutlaka kontrol edin.
Ödeme yaparken kişisel bilgilerinizi (Kullanıcı adı, hesap numarası veya şifre gibi) veya kredi kartı bilgilerini girerken sanal klavye kullanın. ( kimi casus yazılımlarda işe yaramıyor bunun için ev kullanıcılarına sanal disk üzerinden linux kullanmalarını tavsiye ederiz )


Internetten yaptığınız ödemeleri mutlaka kredi kartı ekstrenizden kontrol edin.
Alışverişlerinizde sanal kredi kartı kullanmaya çalışın ve bu kartın limitini kontrol edin.
İnternet bankacılığı için kullandığınız parolanızı banka çalışanları dahil kimseyle paylaşmayın.



Sanal Kart Nedir?
Sanal kart, internet ortamında alışverişte riski sıfıra indirmek amacıyla, kredi kartı yerine kullanılmak için tasarlanmış bir karttır. Sanal kartlar, bankanın kredi kartı sisteminde fiziksel bir kartmışcasına sanal olarak tanımlanırlar, fiziksel olarak mevcut değildirler. Ancak bazı bankalar kullanıcıya kolaylık olsun diye kartın kartondan yapılmış bir benzerini gönderebilirler. Kartın anlık limitini, kart sahibi belirler.
SSL trafiği kırılabilirmi? Bilgiler elegeçirilebilirmi?
Peki SSL şifreleme kötü niyetli birileri tarafından kırılarak bu bilgilere ulaşılamaz mı? Diyelim ki birisi iki taraf arasındaki iletişime bir şekilde dahil oldu ve bilgileri ele geçirdi, bu şifreyi nasıl çözecek?

Şifrenin zorluğu, şifrelemede kullanılan anahtar uzunluğuna göre değişmektedir. Şu anda genel olarak kullanılan değerler 40bit ve 128bit'tir. 40bit'e pek rastlamayacaksınız çünkü uzun bir zamandır 128bit neredeyse standart haline geldi. Her iki değer de yüksek bir şifreleme içerir ki bilgi bir başkasının eline geçse bile bu bilginin çözülmesi yıllarca sürebilecek bir zaman alır ve oldukça da yüksek bir maliyet gerektirir. Başta da belirttiğimiz gibi, gerçek hayatta çok kolay ulaşılabilir olan bu bilgiyi internette elde etmeye çalışmak anlamsızdır. Sadece internette alışverişin güvenli olmadığını ispat etmek çabasında olan birisi ya da kendini ispat etmek adına buna kafa yoran bir kişi bu şifreyi çözmek için uğraşacaktır. Gerçekten kötü niyetli olan bir kişi ise zaten işin kolayına kaçacak ve daha kolay yollardan amaçlarına ulaşmaya çalışacaktır. İnternetteki alışverişlerinizi bir yolunu bularak takip edip, çözülmesi çok zor bir şekilde şifrelenmiş kart bilgilerinizi ele geçirmekle uğraşacaklarını, sonra da yıllarca bu şifreyi çözmeye çalışacaklarını beklemeyin. 
  • Sanıldığının aksine internette kredi kartı bilgilerinin çalınması online alışverişte yazdığınız bilgilere ulaşılıp, şifrenin çözülmesi ve bu şekilde bilgilerin alınması şeklinde olmaz. İnternette kredi kartı bilgilerini ele geçirmek isteyenler daha kolay yolu; insanların saflıklarından; internet ve güvenlik hakkındaki bilgizliklerinden faydalanma yöntemini seçmişlerdir.
Eğer kredi kartı ile alışveriş yapmayı düşünüyorsanız ilk dikkat etmeniz gereken şey, sitenin bir SSL sertifikası olup olmadığını ve var ise geçerli olup olmadığını kontrol etmek olmalıdır. Bu sertifikaya sahip olan her site bunu genelde anasayfasında açıkça belirtmiştir. 

Bu güvenlik sertifikaları farklı güvenlik firmaları tarafından sağlanabilir. Güvenlik sertifikası sağlayan başlıca kurumlar şunlardır: 


* Sertifika sağlayan kurumlar burada belirtilenle sınırlı değildir. Girdiğiniz alışveriş sitelerinde burada belirtilenlerden farklı güvenlik sertifikalarıyla karşılaşmanız da mümkündür. Sertifika sağlayıcı güvenlik firmalarının WebTrust'a bağlı olup olmadıklarını kontrol edebilirsiniz. 

WebTrust'ın sitesinde, güvenlik sertifikası verme yetkisi olan bazı kurumların listesini inceleyebilirsiniz. Tam liste verilmemiş ancak sertifika sağlayıcıların sitesinde deWebTrust'a bağlı olduklarını gösterir tıklanabilir logolar bulunmaktadır. Bu logoları tıklayarak firmanın yetkili olup olmadığını görebilirsiniz. Bu logo yanda gördüğünüz gibiWebTrust simgesidir ve genelde daha küçük boyutlarda olanı kullanılır.

* Türkiye içerisinde ya da yurtdışında yukarıdaki listede göremeyeceğiniz ancak onlara bağlı temsilci olarak hizmet veren firmalar olabilir. Bu tür sitelerde WebTrust'ın logosu yer almayabilir. Örneğin yukarıdaki verdiğimiz örneklerden TRUSTe, Thawte'ye bağlı olarak hizmet vermektedir. Kullanıcı açısından önemli olan sadece SSL güvenliğinin sağlanması ancak ek bilgi olarak bunların kontrolünü de ilerleyen bölümlerde anlatacağız. Bu durumun güvenlik açısından kesinlikle bir dezavantajı sözkonusu değildir. Bir istisna durum olarak da; alışveriş yapacağınız bazı online alışveriş siteleri kredi kartlı ödeme sayfalarında, yayınlama hizmetlerini yapan sunucu firmanın sertifikasını ortak olarak kullanabilir ya da SSL sertifikası almaya gerek olmaksızın ödemelerini doğrudan bankanın güvenlik sertifikasında sahip ortak ödeme sayfasından alıyor olabilir. Bu durumda sayfalarında SSL sertifikası logolarını görmemeniz mümkündür.Sayfada bu logoları görmek sitenin güvenli olduğunun; logo olmaması ise tek başına sayfanın güvenli olmadığının ispatı değildir. Ancak tıklanabilir sertifika logosun olması, firmanın profesyonel çalıştığına dair bir ipucu olarak kabul edilebilir. Bunların sizin tarafınızdan kontrol edilmesi gereklidir.
Alışveriş sitelerinde 128bit SSL logolarını görüyorsunuz, peki gerçek olup olmadığını nasıl kontrol edeceksiniz? Sadece bu logoyu görmeniz yeterli değil. Logolar kolayca kopyalanıp herhangi bir sayfaya eklenebilir, bu nedenle tek başlarına bir anlam ifade etmezler. Bu logolara tıklanabilir olmalıdır ve tıkladığınızda da güvenlik ile bilgiler veren sitenin bir başka sayfası ya da sertifika firmasının ana sayfası açılmamalıdır! Açılmamalıdır derken, bir kural olarak değil elbette, olması gereken bu değildir. Açılması gereken sayfa; sertifika sağlayan kurumun; logoyu tıkladığınız sitenin adresini onaylayan bir kontrol sayfası olmalıdır. Yine de; logo tıklanabilir olmasa da ya da tıkladığınızda biraz önce belirttiğimiz diğer sayfalar açılsa da çok önemli değil, hemen sitenin güvensiz olduğunu düşünmeyin. Ancak, amatör bir alışveriş sitesiyle karşı karşıya olduğunuzu düşünmeniz yanlış olmaz. 

Önemli olan, sitede kredi kartı bilgilerinizi yazacağınız sayfada SSL güvenliğinin sağlanmış olmasıdır. Kredi kartı bilgilerinizin girilmesinin istenildiği sayfanın şu iki şartı sağlamış olduğundan emin olun:




Tarayıcınızın altında gördüğünüz durum çubuğunda, diğer sayfalarda iken görünmeyen sarı bir kilit simgesi belirmesi gerekir. Bu simgeyi çift tıkladığınızda ise sağ taraftaki imajda -büyük boy için imaja tıklayın- gördüğünüze benzer bir pencere açılır. Bu açılan pencerede, o anda bulunduğunuz web sayfasının adresi Issued to : yazıyor olmalıdır. Altındaki satırda sertifikayı veren kurum Issued by : belirtilir. En alt bölümde ise sertifikanın hangi tarihler arasında geçerli olduğu belirtilmektedir.Sertifikada belirtilen adres bulunduğunuz sitenin adresi ise ve sertifika süresi dolmamış ise bu sertifika geçerli bir sertifikadır, aşağıdaki ikinci şart da sağlanıyor ise güvenle bilgilerinizi girebilirsiniz. 

    • Mozilla Firefox tarayıcılarda kilit simgesi ve sertifika farklı görünür. Kilit simgesinin yanında hangi sitede olduğunuz belirtilmektedir. Bu bölüme çift klik yaptığınızda sayfa hakkında bilgi veren tarayıcı kutusunun Security / Güvenlik bölümü açılır ve sitenin güvenli iletişimi sağladığını onaylar. Buradaki View / Göster butonuna tıkladığınızda sertifikayı görmeniz ve detayları incelemeniz mümkündür.

  1. Kart bilgilerinizi yazacağınız sayfasının adres çubuğuna bakın ve adresin "http://" değil, "https://" ile başlıyor olduğundan emin olun. (* Bunu alışveriş yapacağınız sitenin tüm sayfalarında görmeniz gerekmiyor; diğer sayfalarda adresin https:// ile başlaması ya da http:// olması ya da sipariş onay sayfalarında https'nin http'ye dönmesi mühim değildir.)
    • Ek olarak şunlara da dikkat etmenizi tavsiye ediyoruz:
      • Kredi kartı bilgilerinizi yazacağınız sayfa pop-up şeklinde yeni bir sayfada açıldıysa dikkatli olmalısınız. JavaScript kullanılarak açılan sayfalarda hem adres çubuğu hem de durum çubuğu taklit edilebilir. Yine JavaScript ile, kilit simgesine tıkladığınızda sahte bir sertifika size gösterilebilir. Eğer site, güvenip güvenemeyeceğinizi bilmediğiniz bir site ise kart bilgilerinizi yazmamanız tavsiye edilir. Eğer deneyimli bir internet kullanıcısı iseniz bunu kolayca farkedebilirsiniz: Sertifika penceresi işletim sistemin bir parçası gibi hemen açılmaz, bir web sayfası gibi imaj içerdiğinden dolayı- daha yavaş yüklenir. Konuyla ilgili olarak ContentVerification web sitesini inceleyebilirsiniz.
      • SSL güvenliği kart bilgilerinizin üçüncü şahısların eline geçmesini engelleyecektir. Peki acaba alışveriş yaptığınız sayfa bu bilgileri doğruca bankaya mı iletiyor yoksa şifrelenmeden önce kaydediyor mu? Firmaya güvenseniz bile elbette bu bilgilerin kaydedilmemesi daha doğrudur. Alışveriş yapacağınız sitenin kredi kartı bilgilerini kaydedip kaydetmediği; sitenin yardım bölümünde, alışveriş sepetinde ya da kart bilgilerinin istendiği sayfada belirtiliyor olabilir. Eğer sitede kart bilgilerinin kaydedilmediğine dair bir bilgi yoksa, kaydettiğini varsayabilir ya da mail ile bilgi isteyebilirsiniz. Özellikle, her ay ya da belirli zaman dilimlerinde çekim yapılması muhtemel olan hizmet satışlarında kart bilgileri kaydedilmektedir ancak bir ürün siparişi verdiğiniz sitenin bu bilgileri kaydetmesi tamamen gereksizdir, sorumluluk gerektirir ve durumdan şühelenmeniz gerekir.
SSL güvenliği sunmayan bir sayfada kesinlikle kredi kartı bilgilerinizi yazmayın. Online ticareti ciddi olarak yapan bir firma zaten sizden SSL güvenliği sunmadan bu bilgileri istemeyecektir. Ancak, güvenlikten habersiz ve internette tecrübesiz bazı firmalar bu bilgileri mail aracılığıyla alıp, gerçek pos makinasına bilgileri girmek suretiyle çekim yapabilmektedir. İyi niyetli çalışıyor olsalar bile, güvenlik açısından bu durum son derece sakıncalıdır.

Hiç yorum yok:

Yorum Gönder