Hüseyin Cem Köylü
VeriSign, Web'in temelini oluşturan root DNS sunucularının arkasındaki şirket ve zamanının en büyük şifreleme sertifika otoritesi. Ve işte bu şirketin, 2010 yılında birkaç kez hack'lendiği ortaya çıktı. Fazla detay yok, fakat ilgili her konu doğrudan internetin de güvenliğiyle bağlantılı.
VeriSign açığı fark edip, gelecek tehditlere karşı kullanıcıları uyarmadı, onun yerine bu bilgiyi sakladı ve Securities and Exchange Commission (SEC) tarafından sıradan olay olarak dosyalanmasını sağladı. İddialara göre, VeriSign'daki IT elemanları bu durumu 2010 yılında fark ettiler fakat olayı 2011'e kadar üst düzey yöneticilerden sakladılar. Belki olayın açığa çıkmamasına içerideki gecikme neden olmuş olabilir fakat VeriSign yöneticileri de bu olayı öğrenmelerinin üzerinden uzun bir süre geçmesine rağmen bu bilgiyi SEC'den saklamışlar.
Aynı kulvardaki rakip firmalardan biri olan Comodo'nun CEO'su Melih Abdulhayoğlu "Hack olayının açığa çıkmasındaki gecikmenin sebebini sadece VeriSign bilebilir, fakat bence bu bilginin açıklanması onlara zarar verecekti bu yüzden sessiz kaldılar" diyor.
Daha sert açıklamalar da var!
SystemExperts'in başkanı John Gossels ise daha sert sözler söyledi: "VeriSign'ın bu endüstrideki yeri inanılmaz derinliklere kadar ulaşıyor. Şirketteki biri bu saldırıyı bir yılı aşkın süre geçmesine rağmen yöneticilerine rapor etmiyor. Bu gecikme tüm kullanıcıları riske atıyor."
Asıl önemli olan soru ise "neyin riski?" ya da "ne kadar risk?" Ne yazık ki, ne kadar endişelenmemiz gerektiğine yetecek kadar bilgi halkla paylaşılmıyor. Tam olarak neyin hack'lendiği ve hangi bilgilerin ele geçirildiğini bilmiyoruz. nCircle Güvenlik araştırma ve geliştirme müdürü Oliver Lavery bu bilgi eksikliğinden büyük rahatsızlık duyuyor: "Endişe veren nokta şu ki, x.509 sertifika hiyeraşisindeki potansiyel ihlaller hala net değil. Bunun DNS'ten daha büyük bir tehlike yaratma riski var, çünkü kıyaslandığında DNS ihlalini saptamak daha kolay."
VeriSign, 2010 yılında Symantec tarafından satın alınmıştı. Zamanlama göz önüne alındığında sertifika şifreleme anahtarlarının da korunmasız kalmış olma ihtimali var. Lavery soruyor: "VeriSign SSL sertifikası kullanan bir siteye güvenebilir miyiz? Daha net bilgiler olmadığı sürece, mantıklı cevap hayır."
Ve söz sırası savunmanın...
Symantec, VeriSign sızıntısı hakkındaki haberlere yorum yapmayı reddetti, fakat bir sözcü "Symantec tarafından satın alınan güvenlik servisleri (SSL), kullanıcı tanımlama (VIP) ve diğer sistemlerin VeriSign'da meydana gelen güvenlik açıklarından etkilenmediğini" iddia etti.
nCircle CEO'su Tim Keanini hack olayının asıl problem olmadığına dikkat çekiyor. "Hiçbir ağ geçilmez değildir ve VeriSign gibi büyük bir şirket her zaman ana hedeftir. Fakat böyle şirketlerin çevrelerine daha duyarlı olmaları ve dürüst açıklamalar yapmaları gerekli. Olumsuz sonuçların korkusu erken tepki ve açıklamaların üzerine çıktığında, IT çalışanlarının sızıntı kanıtlarını saklamayı tercih ettiği bir durumla karşı karşıya kalırsınız."