Şifrelemenin Finanslaşmış Evrimi Blockchain ve WannaCry

Bilgi Güvenliği Hizmetleri Direktörümüz Ateş Sünbül kaleme aldı: "Şifrelemenin Finanslaşmış Evrimi Blockchain ve WannaCry"

Şifrelemenin Finanslaşmış Evrimi Blockchain ve WannaCry

 

Gündelik finansal aktivitelerimizde iki kişinin arasında değer alışverişi yapılması için arada güvenebileceğimiz üçüncül bir yapının bulunması gerekmektedir. Örneğin para transferleri yapacağımız zaman bankalar bizler adına bu alışverişi yapan üçüncül yapıdır ve paranın doğru adrese ulaşması için hepimiz bankalara güveniriz. Sanal değer veya para sistemi olarak kullanılabilecek Blockchain yapısında iki kişinin arasında güvenilir bir üçüncül partinin yerini şifreleme algoritmaları almaktadır. Blockchain(Blok Zinciri) yapısını çok basitçe anlatmak gerekirse, bir Excel tablosu yarattığınızı ve binlerce kere kopyalandığı bir ağa yerleştirdiğinizi düşünün. Bu ağın da tasarımı gereğince yarattığınız tabloyu düzenli olarak güncellediğini düşünün. İşte Blockchain en temel prensibiyle bu şekildedir. Basitçe bir işlem gerçekleştirilmek istendiğinde:

  1. Bitcoin transfer işlemi talep edilir;
  2. Talep edilen işlem P2P şeklinde konumlanmış ağ yapısına iletilir;
  3. Ağ düğüm (node) noktaları işlemi onaylar;
  4. Onaylanan işlem kripto para birimini içeren bir blok haline dönüşür;
  5. Blok zinciri yapısına eklenen blok değiştirilemez ve üzerine yazılamaz halde tüm ağa yayılır;
  6. Transfer işlemi başarıyla gerçekleşir.

Klasik finansal uygulamalarda tek merkezde bulunan bir veri depolama yapısı bulunmaktadır. Merkezi sistemler her ne kadar güvenlik uzmanlarına yoğunlaşacak tek bir nokta sağlasa da, saldırganlara da aynı avantajı sunmaktadır. Blok zincirinde dağıtık bilgisayar ağlarında veritabanları kopyaları şeklinde bulunmaktadır. Bu durumda merkezi bir yapıda bulunan finansal verilerin aksine veri manipülasyonu yapabilmek için milyonlarca bilgisayarda aynı anda değişiklik yapmak gerekmektedir ki, bu pek mümkün değildir. Tek merkezde tutulmamasının avantajı olarak veriler umuma açık ve kolayca teyit edilebilirdir.

Ödeme araçlarının gelişimine baktığımızda, 1930’lu yıllarda ilk kredi kartı benzeri ödeme araçlarının oluşmasıyla birlikte üye işyerinden kredi kartı bilgilerinin çalınması ve yetkisiz işlemler gerçekleştirilmesi hayatımızın bir gerçeği oldu. Güvenlik uzmanları için ise bu bilgileri korumak, her geçen gün daha çok efor ve para sarf edilen bir mücadele olmaya başladı. Buna karşın Bitcoin ile bir işlem gerçekleştireceğiniz zaman iki unsur yeterli oluyor: Umuma Açık Anahtar(Public Key) başka deyişle Bitcoin adresiniz ve Özel Anahtar(Private Key) işlemi imzaladığınız gizli anahtar. Özel anahtarın iyi korunması yaşanacak yetkisiz para transferlerini özetle engellemektedir. Kısacası yeni devrimci finansal araçlarda güvenlik daha yukarı seviyelere taşınmıştır.

Öte yandan, yakın zamanda yaşadığımız WannaCry virüs saldırısında sıklıkla bu teknolojiyi kullanarak para transferi yapılması talep edilmişti. Kısacası, saldırgan, normal kullanıcıya sağlanan gizlilik ve güvenlik avantajlarını kendi lehine kullanmıştır. Söz konusu avantajlar nedir dediğimizde karşımıza üç başlık çıkmaktadır:

  • Bazı zamanlar satın aldıklarımızın bilinmesin istemeyiz, Bitcoin göreceli olarak gizlilik sağlamaktadır.
  • Sistem özünde güvenebileceğimiz üçüncül parti barındırmadığı için aracısız ve güvenli bir para transferi sağlanmaktadır.
  • Diğer dijital para sistemlerinden farklı olarak, kullanıcı, transfer edilen paranın tek sahibi olur. Dolayısıyla, kullanıcı çılgınca bir karar verip özel anahtarını internette yayınlamadığı sürece güvende olur. Öte yandan Paypal gibi pek çok yapıda şirket kullanıcı hesabıyla ilgili bir usulsüzlük olduğunu düşündüğünde söz konusu hesaplara el koyma hakkına sahiptir.

Geldiğimiz noktada, güvenlik ortamı ve finansal yaklaşımlar hiç görmediğimiz şekilde değişmektedir. Güvenlik ve finansal yapıların dijitalleşip bütünleşik olmasıyla birlikte yeni yapı ve sistemlerin kalıplaşmış güvenlik yaklaşımlarıyla korunması çok olası görünmemektedir. 

Share