Kripto paralarla işlem yaptığınız merkezi borsanın ne kadar güvenli olduğunu anlamak için doğru soruları sormaya hazır mısınız?
Merkezi kripto para borsalarının 2021 yılındaki toplam işlem hacmi tam 14 TRİLYON DOLAR!*¹ Yanlış duymadınız tam olarak Apple şirketinin 4.68 katı ediyor.*² Merkeziyetsiz kripto para borsalarının toplam işlem hacmi ise ne yazık ki 1 trilyon dolar ile sınırlı kaldı.*³ Bu sonuç bize kullanıcıların merkezi borsaları tercih etme oranının yaklaşık %93 olduğunu gösteriyor.
Bir Güvenlik Uzmanı olarak bu istatistiklere baktığımda zihnimde hemen şu soru canlanıyor. “Merkezi borsa kullanmak isteyen kullanıcıların güvenlik konusunda daha bilinçli olmasını nasıl sağlarız?” İşte bu yazı tam olarak bu amaçla kaleme alındı. Gelin detaylara girmeden önce tutkunu olduğum Witcher serisinden size bir hikaye anlatayım.
Mousesack*⁴ kılığına giren doppler Adonis*⁵, Prenses Ciri*⁶’yi Brokilon*⁷ ormanından almaya gelir. Prenses Ciri, Mousesack’i karşısında gördüğünde ona kayıtsızca inanır. Onunla ve Brokilon’a kadar beraber geldiği Dara ile ormandan ayrılmaya karar verir. Ayrılmadan hemen önce Dryad Kraliçesi*⁷’nden şu nasihatı alır.
“Gücün yükü acı verici olabilir. Dikkatli ol. Her zaman doğru soruları sor.”
Mousesack ve Dara ile yollara düşen Prenses Ciri, Dara’nın Mousesack’ten şüphelenmesi üzerine, Mousesack’e üst üste sadece kendisinin bilebileceği sorular sorar. Bunun üzerine sahte Mousesack birbiri ardına yanlış cevaplar verir ve foyası ortaya çıkar.
Anlaşılır ki, Prenses Ciri’nin tek bir soru sormadan uğruna yollara düşebileceği Mousesack sahtedir ve Ciri’yi büyük bir tuzağın içine çekmek için gelmiştir.
Bir merkezi borsanın güvenli olup olmadığına dair dışarıdan elde edebileceğimiz çeşitli ipuçları vardır. Bir de sadece içerideki güvenlik personelinin bileceği veya iyi derecede teknik konulara hakim kişilerin fark edebileceği önlemler veya zafiyetler vardır. Benim amacım burada merkezi bir kripto para borsasına bakarak güvenlik ile ilgili neleri anlayabileceğimi incelemek olacaktır. Bu yazımızda, merkezi borsaları güvenlik literatüründe “CIA Üçgeni” olarak bilinen bir konsept ile mercek altına alıyoruz.
- Gizlilik (Confidentiality), bir borsa için gizli kalması gereken kişisel verilerinizin gizliliğinin korunabilmesini ifade eder.
- Bütünlük (Integrity), borsanın veritabanında bulunan verilerinin manipülasyondan uzak tutulması, silinmeye ve değiştirilmeye karşı korunması anlamlarını ifade eder.
- Erişilebilirlik(Availability), borsaya erişmek istediğiniz her an erişebilmenizi ifade eder.
Bu üçgenin herhangi bir kenarında çıkacak bir sorun tüm güvenliği tehdit eder. Yani bir merkezi borsanın güvenli olabilmesi için hepsinin sorunsuz bir şekilde kullanıcıya sunulabilmesi gerekmektedir.
Hadi şimdi bir de merkezi bir borsa seçerken nelere bakmamız gerektiğini 5 maddede inceleyelim.
1.Yaşanan Güvenlik Olayları ile İlgili Şeffaflık
Yeterli miktarda para ve zamanınız varsa tüm sistemleri hacklemek mümkündür. Bu nedenle güvenlik sorunu yaşamayacak bir merkezi borsa bulmak mümkün değildir. Güvenlik profesyonelleri bir sistemin hacklenmesini zorlaştırır ve daha maliyetli hale getirir. Bu sayede yaşanacak güvenlik zafiyeti ihtimali düşer. Ancak asla sıfıra inmez.
Bir merkezi borsada ilk bakılması gereken şeylerden birisi son 3 yıl içerisinde yaşanmış güvenlik zafiyeti olaylarıdır. Eğer bir zafiyet yaşandı ise bununla ilgili detaylı bilgi verilmiş mi? Elbette son 3 yıl içerisinde önemli bir olay olmamış olabilir ancak yine de bu ihtimal düşüktür. Eğer kullanmayı tercih ettiğiniz borsa kurulduğu günden bu yana hiçbir zafiyet bildirmemiş ise o borsayı şeffaflık açısından sorgulamanızı öneririm.
Not: Güvenlik olayları ile ilgili tüm detayların verilmesi gerekmez, son kullanıcının bilmesi gerekecek kadar detay yeterli olacaktır.
2.Ödül Avcılığı Programının Yönetilmesi
Siber güvenlik sektörünün en iyi profesyonellerini işe alsanız, ve hatta en iyi firmalardan denetim dahi alsanız bu bir borsanın güvenliği için yeterli olmayacaktır. Her daim bir kör nokta var olabilir. Bu nedenle merkezi kripto para borsaları genellikle ödül avcılığı programları yürüterek sistemlerinde zafiyet bulan hacker’ları ödüllendirmeyi tercih eder. Eğer servislerini kullanmayı düşündüğünüz merkezi kripto para borsasının bir ödül avcılığı programı yoksa bunu “olumsuzlar” listesine ekleyebilirsiniz.
Ödül Avcılığı programları çok çeşitli olabilir. Benim gözlemime göre en kötü ödül avcılığı yönetim şekli bir şirketin kendi başına bunu yapmasıdır. Çünkü ulaşılabilecek nitelikli hacker sayısı oldukça düşük olacaktır. Kripto para sektöründe en iyi ödül avcılığı programları genellikle aşağıda listelediğim platformlar aracılığıyla yapılıyor.
Ödül avcılığı programı yürütmeyen borsalar için bir eksi daha ekleyebilirsiniz.
3.Bağımsız Kuruluşlar Tarafından Yapılan Güvenlik Denetimleri
Sistemi tasarlayan kişiler veya ekipler tasarladıkları sistemin güvenliğini test etmek için dışarıdan destek almalıdırlar. Bu nedenle genellikle güvenlik test ekipleri ile güvenlik mimari ekipleri birbirinden farklı konumlandırılır. Ancak hep aynı kişilere veya ekiplere sızma testi yaptırmak bir süre sonra körlüğe neden olacaktır. Bir kripto para borsasının “güvenliği” ne ölçüde önemsediğini 1 yıl içerisinde bağımsız kuruluşlara yaptırdığı güvenlik denetimi veya sızma testi sayısına ve niteliğine bakarak anlayabilirsiniz.
Eğer servislerini kullanmak istediğiniz borsa düzenli olarak alanında uzman, bağımsız güvenlik şirketleri tarafından denetleniyor, teste tabi tutuluyorsa bunu o borsanın artı hanesine yazabilirsiniz. Güvenli olarak kabul ettiğimiz bir kripto para borsası düzenli olarak güvenlik denetiminden geçen ve içeriğini vermese de özetini uygun hale getirip son kullanıcısı ile paylaşan borsadır.
4.“Security Best Practice”lerinin Takip Edilmesi
Security Best Practice, maalesef tam bir Türkçe karşılığa sahip değil. Ancak bunu uzun yılların verdiği tecrübe (acı ve kan ile) elde edilmiş disiplinler bütünü olarak anlamlandırabiliriz.
Burada ipin ucu biraz kaçıyor. Çünkü uygulanabilecek çok fazla Security Best Practice var. Gelin bunları en azından ikiye ayırarak açıklayayım.
A. Son Kullanıcıya Yönelik Security Best Practice
- Güvenli parola oluşturma politikası,
- İki aşamalı doğrulama desteği (TOTP veya U2F)i
- Oltalama saldırılarına yönelik önlemler (Mail oltalama kodu vb.),
- Fiat para veya kripto para yatırma/çekme işlemlerindeki önlemler,
- Hesap aktivitesinin kullanıcıya sunulabilmesi, şüpheli login oturumlarının iptal edilebilmesi,
- Kripto para çekilecek adreslerin belirli adımlar ile eklenebilmesi,
- Hesabınıza giriş yaparken kullandığınız yeni cihazların belirli adımlar ile eklenebilmesi.
Bu liste uzadıkça uzar. Uzaması her ne kadar iyi gibi gözükse de, denge çok önemlidir. Ancak, merkezi bir borsa güvenliği elden bırakmazken diğer bir yandan kullanıcı deneyimine de balta vurmamalıdır. Karmaşık sistemler, kullanıcıların kullanımını zorlaştırarak daha büyük sorunlara yol açabilir.
Bununla ilgili aslında akılda kalıcı bir sözüm var:
Güvenliğin bir dengesi vardır. Ne az, ne de fazla olmalıdır.
B. Teknik Alanlara Yönelik Security Best Practice
Birazdan bahsedeceğim metodolojilerin uygulanıp uygulanmadığını bilmek veya tespit edebilmek oldukça zordur. Çünkü tespit edebilmek için ya içeriden biri ya da bu metodolojileri profesyonel anlamda iyi bilen biri olmalısınız. Ancak bazı merkezi kripto para borsaları bu konuda şeffaf olup neleri uyguladıklarını paylaşabiliyorlar. Eğer bilgi bulabilirseniz aşağıdaki Security Best Practice’lerden bir veya birkaçını takip eden, uygulayan merkezi borsalara kocaman bir artı ve bir kalp 💙 koyabilirsiniz.
- CWE/SANS TOP 25
- OWASP TOP 10
- OWASP MASVS*⁸
- OWASP Desktop Top 10
- CIS Controls
- CIS Benchmarks
- NIST Cybersecurity Framework
Bu listelediğimiz metodolojilere eklenebilecek yine birçok standart mevcut (ISO vb). Ancak bu liste genel çerçeveyi çizmek için yeterli olacaktır.
5.Tüm borsaların kabusu “Erişilebilirlik”
Fiyat yükselirken veya aniden düşerken çökmeyen merkezi borsa kaldı mı? Elbette hayır. Bu konuda teknik meslek icra etmeyen insanlar arasında genellikle bir söylenti duyuyorum:
“Yavvv… fiyatı manipüle etmek için sistemi kapatıyorlar!!!”
Geçmişte merkezi bir borsanın güvenlik ekibinde çalışmış biri olarak, bunun en iyi merkezi borsalar için doğru olmadığını birinci ağızdan söyleyebilirim. Buradaki problemler genellikle teknik kökenli oluyor. Geçmişte çalıştığım merkezi bir borsayı konunun dışında tutarak, erişilebilirlik sorununun kökenlerini sizin için listeledim:
- Kalitesiz kodlama,
- Ölçeklenemeyen mimariler,
- Ölçek testlerinin yapılmaması,
- Üçüncü taraf servis sağlayıcı kaynaklı sorunlar,
- Mimarinin yanlış kurgulanması,
- Ucuza kaçılması! (Personel seçimi veya teknik partnerler seçimi).
Merkezi borsa seçerken yapılması gereken şeylerden biri de, varsa, o borsanın “status” sayfasını inceleyerek son 1 yıl içerisinde ne tür (ve ne sıklıkla) erişilebilirlik sorunları yaşadığına bakmaktır. Eğer bunları inceleyebileceğiniz bir yapısı yoksa, zaten hiç bulaşmamak daha akılcı bir seçim olacaktır.
Bir önerin yok mu diyenlere…
Size bu kadar teknik konu ve metodolojiden bahsettikten sonra, bir merkezi kripto para borsası önermeden bu yazıyı kapatmayacağım. Ama anlamanız gerekiyor ki önereceğim yer ile ilgili herhangi bir sponsorluk veya reklam anlaşmam yok, sadece ve sadece burada bahsetmiş olduğum güvenlik unsurlarını en yakın biçimde uygulayan bir merkezi borsa var.
Eğer hala görmediyseniz ve duymadıysanız, Kraken merkezi kripto para borsası eklediğimiz kocaman artıların ve kalplerin bir karşılığı olarak karşımıza çıkıyor. Sponsorlu değil de bulgular sonucu bir öneri olduğu için referans linki veya reklam paylaşmıyorum. Hahaha…
Son olarak;
Benden size tavsiye! Önlemini Al Sonradan Üzülme!
Kaynaklar ve Açıklamalar
*¹: Centralized crypto exchanges saw over $14 trillion in trading volume this year
*²: Apple becomes first company to hit $3 trillion market value, then slips
*³: CEXes reaches about $1 trillion for 2021
*⁴: THE WITCHER HYPE TRENİ #5: Fareçuval Kimdir?
*⁵: The Witcher Wiki — Doppler
*⁶: The Witcher Wiki — Ciri
*⁷: THE WITCHER HYPE TRENİ #3 — Brokilon ve Dryadlar
*⁸: Mobil Uygulama Güvenliği Mimarisi
