Dayıoğlu Günlüğü

2007 yılından bu yana birlikte çalıştığımız Fortify Software firmasının yazılım testi çözümleri Gartner‘ın statik analiz ile ilgili ilk raporunda hem teknolojik üstünlüğü hem de ticari başarısı itibarı ile açık ara pazar lideri olarak gösterildi.

Türkiye’de konunun pazarı dahi yokken başladığımız Fortify işbirliğimiz de zaman içerisinde olgunlaştı. Çok sayıda mutlu Fortify kullanıcımız ile Türkiye’de de yazılımların güvenli, kaliteli ve sağlam olmasına katkı sağlamaya devam ediyoruz. Bizden kaynak kod inceleme hizmeti alan kuruluşların genel memnuniyet düzeyleri bizim beklentilerimizi bile aştı.

2009′da farklı konuların “Fortify”larını Türkiye’ye getirmeye devam edeceğiz; bekleyiniz…

Test firması MuDynamics‘in pcapr sitesini daha önce görmediğime üzüldüm. Sitede bugün itibarı ile 1.333 farklı pcap formatlı paket kaydı yer alıyor. Ağ trafik örneklerine gereksinim duyan bir işiniz varsa pcapr çok işinize yarayabilir.

Site yalnızca farklı ağ trafiği örneklerini barındırdığı için değil bu trafiği oluşturan paketleri değiştirebilmenize imkan verdiği için de ilginç ve önemli. Sadece bir web tarayıcısı kullanarak paketlerin sırasını ve içeriğini değiştirebiliyor, paketleri birleştirebiliyor ve sonuç pcap’ini çekip kullanabiliyorsunuz. Bayıldım…

ISECOM‘un Açık Kaynaklı Güvenlik Testi Metodolojisi (Open Source Security Testing Methodology)’si güvenlik uzmanlarının sıkça başvurduğu önemli bir teknik denetim metodolojisidir.

Bu metodolojinin denetim çalışmalarında uygulanması ve etik hacker’lık ile ilgili iddialı bir eğitim ve sertifikasyon programı olan OPST’yi (OSSTM Professional Security Tester) Türkiye’de ilk defa 6-10 Nisan arasında İstanbul’a getiriyoruz. ISECOM’un Eğitim Takvimi‘ne girdi bile.

Beş gün sürecek ağırlıklı uygulamalı bu eğitimin ardından OPST sertifika sınavı da düzenlenecek ve sınavı başarı ile tamamlayanlar OPST sertifikalarını da ISECOM’dan alabilecekler. Eğitimi ISECOM’un Avrupa’daki en beğenilen eğitmeni olan Fabrizio Sensibile verecek.

Eğitim programı ile ilgili bilgi almak isteyenler benimle temasa geçebilirler. Güvenlik denetimi ve penetrasyon testi teknikleri ile ilgilenenlerin katılımını bekliyoruz.

TÜBİTAK BT Sektörü İçin Bir Tehdit Midir başlıklı mesajımdan/yazımdan sonra çok sayıda geri dönüş aldım. Yazılı ve sözlü geri bildirimde bulunan herkese çok teşekkür ediyorum. Kısaca geri dönüşlerle ilgili bilgiyi buradan da paylaşmak istedim:

Yazıyı okuyanların pek çoğu özünde TÜBİTAK’ın özel sektör ile rekabetinin sağlıksız olduğunda birleşiyor. Bu görüşe TÜBİTAK çalışanlarından da telefonla arayarak ve fiziksel karşılaşmalarda görüş belirterek katılanlar olması bence dikkate değerdir.

Bu özün dışında, TÜBİTAK’ın (ve özelde UEKAE’nin) aslında ülke için çok sayıda anlamlı ve çok önemli hizmet sağladığından dem vuranlar oldu. Yazımda da bahsetmiştim; TÜBİTAK’ın ve UEKAE’nin özellikle savunma sanayi için katkısının görebildiğim kadarı ile sorgulanabilir bir yanı da yoktur. Ben TÜBİTAK’ı başarısız olduğu için eleştirmiyorum; içinde yer almasının makul olmadığı alanlarda yer aldığı için eleştiriyorum.

Geri bildirimlerden birisi TR-CERT’in çok önemli bir kamusal TÜBİTAK projesi olduğundan söz ediyordu; bu görüşe kısmen katılmıyorum. Bana göre TR-CERT, TÜBİTAK’ın bilgi/bilişim güvenliği sektörünün kontrolünü eline geçirmesi, konu ile ilgili her konudan haberinin olmasının sağlanmasının anahtarıdır. En az kamu yararı kadar TÜBİTAK yararını da gözeten bir projedir. Ben de sektörün direksiyonunu nasıl elime alacağımı irdelesem, TR-CERT kurmak en öncelikli eylemlerimden birisi olurdu.

Pardus projesi ile ilgili bir değerlendirme soran bir ağabeyim de oldu. Kısaca yazayım; belki daha sonra tekrar ve daha uzun yazarım: Bana göre TÜBİTAK’ın ticarileşen vizyonunun oldukça dışındaki Pardus projesi kahramanca çalışan proje ekibi olmasa ayakta duramayacak bir projedir. Bence TÜBİTAK yönetimi bu projeyi ticarileşebilir bir proje olarak görerek yatırım yaptı ama geldiği yerde çok da para kazandırmadığı görüldü. TÜBİTAK bu projeden ticari fayda elde etmediği (ve kısa vadede edemeyeceği için) proje sırtında yüktür. Mahalle baskısından korkmasa  bir günde Pardus’u gömerdi ama bunu da yapamıyor. Başka bir şemsiye altında Pardus çok daha kısa sürede çok daha büyük bir kullanıcı bazına ulaşırdı bence. Pardus’tan bir şey olmaz demiyorum, aksine bir ürün olarak çok önemli kazanımlar var ama şemsiye çok kısıtlayıcı diye düşünüyorum.

Yahoogroups üzerindeki Bilgi Güvenliği tartışma listesinde son bir haftadır TÜBİTAK’ın UEKAE kolu ile yürüttüğü hizmetlerle ilgili bir tartışma var. BT sektöründe güvenlik danışmanlığı yapan iki firmanın yöneticileri TÜBİTAK’ın bir tarafta bir endüstri oyuncusu gibi faaliyet göstermesinden, öteki tarafta da TR-CERT gibi kamusal çalışmalara (rakip olmalarına rağmen) kendilerinden katkı beklenmesinden rahatsızlıklarını dile getirdiler. Bugün bu konudaki görüşlerimi listeye yazdım; aşağıda da aynen paylaşıyorum:

TÜBİTAK’ın bu (üç paralık) BT endüstrisine (endüstriciğe mi demeliydim) ciddi şekilde zarar verdiğini düşünenlerdenim. Bu düşünceyi BT endüstrisi içerisinde danışmanlık türü hizmet işi yapan firmaların neredeyse tümünün taşıdığını  ve çeşitli çekinceler ile paylaşmadığını da düşünüyorum; ben UEKAE yöneticileri ile de dahil olmak üzere paylaştım, paylaşmaya devam ediyorum. Bu türden karşılıklı iletişimin (en azından) beklentileri anlama açısından önemli olduğuna inanıyorum.

TÜBİTAK BT endüstrisi içerisinde danışmanlık yapan firmalara zarar veriyor çünkü sektördeki pek çok alanda danışmanlık hizmeti sağlayarak ticari eşitliğin söz konusu olmadığı fiili durumlar üretiyor. UEKAE güvenlik ile ilgili danışmanlığa yeni başladığında “ülke güvenliği herhangi bir firmanın eline bırakılamaz, onlar yapmalıyız” sıkça duyduğumuz bir söylemdi. O zaman da ikna olduğumu söyleyemem ama birisinin yapması gerekiyordu, onlar yaptılar (Ellerine de sağlık).

Kamunun güvenlik danışmanlığını yapmaya başladıklarında (ki bana göre pek çok projede özel sektör firmalarının çok üzerinde bedeller vardı ve hala var) devletin gizli bilgilerini başkalarına nasıl verelim”i (umarım kızmazsınız) öğretilmiş bir replik olarak kamu yöneticilerinden duymaya başladık. Bunu hiç anlayamadık zira biz de bu ülkenin vatandaşıyız, vergimizi ödüyoruz ve ailemizle burada yaşıyoruz. Dahası ülke güvenliği için çok önemli olabilecek pek çok noktada da (bankalar, telekom şirketleri, boyumuzun yettiği kamu kuruluşları vb.) zaten danışmanlık hizmeti veriyor, onların en kıymetli verilerine erişiyoruz. Özetle bizler de (sektör oyuncuları/profesyonelleri olarak) bu vatanın evladıyız ve bu biçimde açıkça dışlanmak en hafif hali ile garibimize gidiyor. Firmaların denetlenmesi, soruştulması ve yetkilendirilmesi ile ilgili bir modelin kurulmasını hiç düşünen olmuş mudur, bilmiyorum.

Kamuya hizmet veren TÜBİTAK için kamu yöneticilerinden sıklıkla “onlara vermenin avantajı var, yöneticilerimiz de destekliyor. Kamunun bir cebinden öteki cebine para aktarıyoruz” cümlelerini duyuyoruz; bunlara da inanamıyoruz. Ekonomi böyle işlemez, çok daha fazla cümle kuracak durumda değilim ama böyle bir zihniyetin 2000+ yılına ait olması mümkün değil. Özel sektörünüzü (sadece bizim içinde olduğumuz alan için değil, tüm diğer faaliyet alanları için) kalkındırmak durumundasınızdır; yapmazsanız tekelleşir ve bir süre sonra zarar verir. Bu temadan da ayrıca söz edeceğim.

TÜBİTAK özel sektöre (bankalara, telekom şirketlerine vb.) güvenlik danışmanlığı yapmaya başladığında küçük dilimi yutacaktım. Görev tanımında teknoloji üretimi ve üretimi desteklemek olan örgütün hele ki de özel sektöre yine başka özel sektör kuruluşlarınca sağlanabilir hizmetleri vermesi inanılır gibi değildir. Ben ihalelere girerek masada TÜBİTAK ile rekabet ettim, fiyat pazarlıklarında onlardan avantajlı fiyatlar verip iş almaya çalıştım. Güvenlik sektörü içindeki hemen herkes bir zaman bu abukluğu yaşadı, yaşıyor ve yaşayacak.,

Devlet, genel bütçeden maaşları ödenen danışmanları ile, ihalelere giriyorsa rakiplerinin şansı yoktur. Hep söyledim, TÜBİTAK ekibinden de arkadaşlarım bilirler. TÜBİTAK isterse benim firmamı 3-4 ay içerisinde batırabilir. Sonunda sıfır maliyetle (proje maliyeti yok çünkü tüm danışmanlar devlet bordrosunda) benim almaya çalıştığım tüm işleri elimden alabilirler.

Özel sektöre de hizmet vermeye başlayan TÜBİTAK bir süre sonra danışmanlık portföyünü geliştirdi. CobIT danışmanlığı, medya alanında yazılım geliştirme hizmeti (sektörde pekala bir yazılım evinin geliştirebileceği bir uygulama) gibi alanlar da resme eklendi. Şu anda pek çok bankada TÜBİTAK CobIT danışmanlığı yapıyor. Bence inanılmaz. Başka ülkelerde örneklerini bileniniz var mı bilmiyorum.

Bir tarihte Rekabet Kurumu ile bile görüştüm; “bu bir haksız rekabet değil midir, ne yapılabilir” diye. Bir şey yapılamıyormuş, teknik olarak bu haksız rekabet değilmiş. J Şükür ki biz yetkin bir ekibiz, bir gün sektör/konu/iş değiştirmemiz gerekirse bunu rahatlıkla yapabilecek durumdayız. J

Sonunda, umarım oraya gitmez ama, tekelleşmiş bir TÜBİTAK’ın kontrolünde BT danışmanlığı (geniş portföy, sadece güvenlik değil) ile çok olumsuz bir zemin göreceğimizi düşünüyorum. Bildiğimden değil ama, herhalde bugünlerde TÜBİTAK’da güvenlik danışmanlığı yapan uzman sayısı 200’ü geçmiştir. Ekibin bu kadar hızlı büyümesi ile kalite nasıl kontrol altında tutuluyor/tutulabiliyor bilmiyorum; bunun da ülke için başka türlü bir risk olduğunu düşünüyorum.

TÜBİTAK’ın Ortak Kriterler (CC) laboratuvarının ve güvenlik danışmanlığı hizmetlerinin yöneticileri yukarıda tek iken, bize neden ürünlerimizi laboratuvar kontrolüne sokmadığımızı ve sertifikasyona ilgi göstermediğimizi sormuşlardı. Cevap fiili durumda açık sanırım.

TÜBİTAK’ın sektörde bu biçimde (fiili durum itibarı ile) birden fazla açıdan haksız rekabet zemini oluşturmasından ötürü sektör kuruluşlarından olumsuz geri bildirimler almasının, kamusal projelerine de destek bulamamasının kaçınılmaz olduğunu düşünüyorum. Bu nedenledir ki, gerek danışmanlık firmaları tarafında gerekse de geçmişinde danışmanlık firması deneyimi olan uzmanlar tarafında durumun tatsız algılanması kaçınılmazdır, hatta son derece normaldir.

Konunun Burak’la, Mustafa’yla, Mehmet’le alakası yoktur; TÜBİTAK’ın hareket tarzı ile alakası vardır. Dolayısı ile zaman zaman bu listedeki TÜBİTAK personeli arkadaşlarıma yapılan çıkışların bu perspektifi de koruyarak değerlendirilmesini, naçizane, öneririm.

Özetle, TÜBİTAK ya sektörü kucaklayacak bir hareket tarzı ile yaklaşmalı ve kendisine rekabet dışı bir rol bulmalıdır ya da tüm sektörü ezip (bizlerin başka alanlara yönlenmesinden sonra) tekeli altında hiç çatlak ses çıkartmayacak şekilde devamını planlamalıdır. Ben birincisinin nasıl olabileceği ile ilgili önerilerimi bir başka mesajda paylaşacağım. Bu aralar çok yoğunum, 9 Şubat haftasını hedefliyorum.

Son iki haftadır günlüğe yazamıyorum, oldukça yoğun tempo nedeniyle vakit ayıramadım. Aradaki gelişmeleri kısa kısa yazıyorum, daha sonra bunlarla ilgili daha detaylı da yazacağım:

• Telefonumu değiştirdim Nokia e61i’den e71′e geçtim. Dünya varmış, e61i’de sıkıntı duyduğum tüm problemler giderilmiş ve nefis bir iş telefonu olmuş. Hele ki de Sezai üzerine Garmin kurup GPS ile harita kullandırmaya başlayınca enfes oldu.

• ISC(2)’nin yeni yazılım güvenliği sertifikasının (CSSLP - Certified Secure Software Lifecycle Professional) Türkiye’deki ilk sahibi oldum. Yanlış bilmiyorsam şimdilik dünyada sertifikalandırılmış sadece 100 kadar uzman var.

• Nisan civarında OSSTM Professional Security Tester (OPST) eğitimi ve ardından sertifika sınavını İstanbul’da açmak için çalışmaları tamamladım; rötuş atıyoruz. Katılım koşulları vb. kesinleşmedi, resmi duyurusunu yakında yapacağız. Yanlış bilmiyorsam bu Türkiye’deki ilk OPST eğitimi olacak ve bence teknik derinliği CEH‘ten çok daha yüksek.

• Bugün büyük oğlum ilk resmi karnesini alacak, çok heyecanlı.

Pek çok arkadaşım ne yaptığımı ve nerelerde olduğumu günlüğümü takip ederek izlediklerini ve bundan keyif aldıklarını söylüyorlar. Günlüğümü eş-dost ile bağlantıda kalmak için kullanmaktan ben de çok memnunum. Zaman zaman çok aksattığım günlüğüme son zamanlarda yine rutin tempoda yazmaya başladım.

Yaklaşık bir ay önce kendi açımdan bir devrim yaparak uzun süreler itiraz ettiğim twitting’e başladım ve aradan on gün geçmemişti ki Ferruh’un FriendFeed’e geçtiğini görerek FriendFeed’i kullanmaya başladım. Ferruh bu tür internet böcüklerinde benden çok deneyimlidir, bir şeyi diğerine tercih ediyorsa yüksek olasılıkla haklıdır diye düşündüm.

İtiraf etmeliyim, hala neye yaradığından çok emin değilim ama bu mikro-günlük (microblogging) olayına ısınmaya başladım;eş-dost artık beni (neredeyse) anlık takip edebilir hale geldi. Giderek bir sanal yaşam biçimi haline geldiğimi düşünüyorum; bu iyi mi kötü mü bilmiyorum.

Doruk‘un önerisi ve ardından Oğuz‘un ayarları sayesinde (her ikisine de teşekkür ederim) Linux Gezegeni‘ne de geçen hafta içerisinde indim. Linux Gezegeni’ne tüm günlük girdilerim gitmiyor, yalnızca benim özellikle Linux camiasının ilgilenebileceğini düşündüğüm girdilerim gidiyor. Diğer girdilerimi de içeren tam günlüğüme hala www.burakdayioglu.net adresinden erişebilirsiniz.

Aranızda FriendFeed ve Twitter kullanan kimler var, ben de sizi takip edeyim?

Çünkü ben aldım ve çok ama çok pişmanım. Henüz bir yaşına girmemiş bir Sony Vaio SZ740 kullanıcısıyım. Sony’i tercih ederek (biraz da fazla para verirken) kaliteli, problemsiz, aldığım zaman için oldukça iyi bir işlemcili ve hafif olması ana seçim kriterlerimdi. Maalesef Sony konusunda çok yanılmışım, bu yazıyı da sizler benzer Vaio golleri yemeyin diye yazıyorum.

Öncelikle cihazın touchpad’i fabrika çıkışında arızalı; anladığım kadarı ile böyle arızalı pek çok Vaio serisi varmış ortalıkta. CNet Forumlarında ve Tech Support Forums‘da bununla ilgili çok uzun tartışmalar var. Bu makinada klavyenin hemen altında solda ve sağda bileklerimizi koyduğumuz yerler plastik değil, alüminyum. Touchpad’ler alüminyum üzerinde biriken statik elektrikten ciddi şekilde etkilenip baş-aşağı çalışmaya başlıyormuş. Yani fare imlecini yukarı sürünce aşağı, sola sürünce sağa gidiyor. Kablosuz ağı yoğun kullanmaya başlayana kadar problemi farketmedim; farkettikten sonra da bunun standart bir arıza olduğunu öğrendim. Alüminyum malzemenin yalıtım problemi öyle ciddiymiş ki elektrik şokları bile yaşatabiliyormuş; ben henüz yaşamadım. De-Reversing a Vaio Touchpad sayfasında ayrıntılı problem tanımı ve bildiğimiz selobantla nasıl kolayca ve tamir edilebileceği anlatılıyor. Rivayete göre laptop’ı servise götürürseniz onlar da açıp selobant yapıştırıyorlarmış.

Makina ile sıkıntı touchpad ile sınırlı değil. Açma/kapatma düğmesini de içeren düğme grubunu çevreleyen açık gri bir alüminyum parça var; bu parça açma/kapama düğmesinin hemen sağ tarafından sökülmeye başladı. Tahmin ederim bir süre sonra bu parça sökülüp çıkacak, laptop’ım oldukça kel görünecek.

Benzer bir başka deformasyon da sağ alt tarafta klavyenin altında var. Buradan da laptop’ın yan kenarı ben çıkmaya hazırlanıyorum demeye başladı.

Toplamda bu kadar deformasyon ve bir de fabrika çıkışından arıza kabul edilebilir değil. Sony’den hiç memnun olmadığımı söyledim ama pek çok arkadaşımdan farklı marka laptop’ları ile ilgili benzer mutsuzlukları da duyuyorum. Şirkete aldığımız Lenovo laptoplardan birisinin bataryası altıncı ayın sonunda ben malülen emekli oldum demeye başladı.

Sanırım bu cihazların üretimi Çin’e kaydıkça fiyatları ucuzlasa da kalitesi ciddi şekilde düşüyor. Siz hangi marka kullanıyorsunuz, memnun musunuz?

Bir süredir hazırlıklarını sürdürdüğümüz bir açılma projesini yeni yıl ile birlikte duyurmaya karar verdik. 2003 yılında geliştirmeye başladığımız ve yıllar içerisinde oldukça etkin bir firewall ürünü haline gelen Ares-Wall‘u bu yılın ilk çeyreğinde özgür yazılım camiasına bağışlayacağız.

Halen pek çok kamu ve özel sektör kuruluşu tarafından da kullanılan Ares-Wall’u bir özgür yazılım haline getirerek Türk özgür yazılım camiasına önemli bir katkı sağlayacağımızı düşünüyoruz. Umarız bu hareketimiz hem özgür yazılım camiası hem de Pro-G açısından faydalı şekilde sonuçlanır; hem bizi daha fazlasını açmak için yüreklendirir hem de başka firmalara da örnek olur.

Ares-Wall, OpenBSD çekirdeği üzerine kurgulanmış bir güvenlik duvarı sistemidir. Ürünün özelliklerini tek tek listelemek yerine aşağıdaki ekran görüntülerine (anlamlı bir sıralaması yoktur) göz atmanızı öneririm:

Radius Kimlik Doğrulaması

Kümelenmiş/yedekli çalışma

Firewall Politikası

Arayüz Ayarları

Gelişmiş Arayüz Ayarları

Bağlantı İzleme

Arayüz İzleme

NAT Ayarları

P2P/Sohbet Engelleme

Uygulama Geçitleri

Yönlendirme Tanımları

Servis Nesneleri

Zaman Nesneleri

İstatistikler

Ares-Wall’un özgür yazılım hali çevresinde bir iş modelini de geliştirdik bile. Buna göre Pro-G olarak biz ürünün ticari satışından değil teknik destek, eğitim, özel uygulamalar için özelleştirme ve ek özellik geliştirme gibi alanlardan ticari kazanç elde etmeyi planlıyoruz. Dolaylı olarak da firmanın bilinirliğini/tanınırlığını arttırmayı öngörüyoruz. Umarız konu özgür yazılım camiasından beklediğimiz düzeyde ilgi görür.

Güvenlik camiası 2008′in son günlerinden bu yana PKI altyapılarının MD5 özet-çakışmasından etkilenmesine ilişkin güncel bir zafiyet ile çalkalanıyor. Zafiyete ilişkin gördüğüm en iyi açıklamayı eski mesai arkadaşım Dr. Can Acar bir tartışma listesine aşağıdaki şekilde attığı e-postada vermişti; aynen aktarıyorum:

CCC konferansinda arastirmacilar MD5 mesaj ozeti algoritmasindaki bilinen zayifliklari kullanarak bir sertifika saglayicisindan edindikleri normal sertifikayi imza yetkisi olan bir sertifika ile degistirerek sahte sertifika uretebildiklerini acikladilar:

http://blogs.zdnet.com/security/?p=2339 ve http://www.win.tue.nl/hashclash/rogue-ca/

Kisaca ozet vermek gerekirse:
Internet uzerinden guvenli baglanti saglamak icin kullanilan SSL protokolu, guven iliskisini saglamak icin bir anonim anahtar altyapisi (PKI) kullanilmaktadir. Sertifika saglayici kuruluslar (CA) dagittiklari sertifikalari sayisal olarak imzalayarak sertifikanin guvenilirligine kefil olurlar. SSL baglantisi kurulurken, hedef sunucudaki sertifikanin imzasi kontrol edilir, ve bu sertifika guvenilir bir servis saglayici tarafindan imzalandiysa baglanti guvenli bir sekilde saglanabilir.

Sayisal imzalama asamasinda imzalanacak verinin mesaj ozeti kullanilir. Bu amacla MD5 ve SHA1 gibi kriptografik mesaj ozeti algoritmalari gelistirilmistir. MD5 algoritmasinin zayifliklari yillardir bilinmesine ragmen, hala sayisal imzalarinda MD5 mesaj ozeti kullanan sertifika saglayicilari bulunmakta. Bu calismada
arastirmacilar:

1. MD5 ozetleri ayni olan isi sertifika yaratabilmek icin bilinen MD5 cakisma saldirilarini ilerletmisler,

2. Yogun islem gucu gerektiren bu is icin 200 PSP3 oyun konsolundan olusan bir paralel islem kumesi kullanmislar (PSP3 oyun konsolu icerisinde 7 adet “cell” islemci barindirmakta ve bu saldiridaki hesaplamalar icin normal bir masaustu bilgisayardan yaklasik 40 kat daha hizli calismaktadir).

3. Dagittigi sertifikalari MD5 ile imzalayan, bir sertifika saglayicisindan alacaklari sertifikalarin seri numaralarini ve baslangic/bitis zamanlarini tahmin ederek, buna uygun cakisan iki sertifika yaratmislar.

4. Dogru zamanda bu sertifikalardan bir tanesini imzalatarak MD5 ozetleri ayni iki sertifika elde etmislerdir.

5. Sertifikalarin mesaj ozetleri ayni oldugu icin normal bir web sunucusu sertifikasi olan imzali sertifikanin altindaki imzayi, “imzalama yetkisine sahip bir ikinci duzey sertifika sunucusu sertifikasi” olan ikinci sertifikaya ekleyerek, imzasi gecerli bir sertifika saglayicisi sertifikasi elde etmislerdir.

Bu sayede herhangi bir alan adi tum web sunucularinin tanidigi bir kok sertifika otoritesi tarafindan imzalanmis sertifikalar uretebilecek hale gelmislerdir.

Anafikir: (ozellikle imza icin) MD5 kullanmayin.

Bu probleme ilişkin İnternet’te yapılan tartışmaları izlemek isteyenlere Tim Callan’ın Verisign’ın durum özeti ve Errata Security’den Robert Graham’ın Verisign’ın kötü yanıtları yazılarını öneririm. Konunun dibi ISC’nin özetinde.