Güvenlik Sertifikası Uyarıları Çalışmıyor, Araştırmacılar

Her Web sörfü onları gördü. Güvenli bir Web sitesini ziyaret etmeye çalışırken bazen karşılaştığınız "geçersiz sertifika" uyarıları.

"Bu Web sitesinin güvenlik sertifikasıyla ilgili bir sorun var" gibi şeyler söylüyorlar. Çoğu insan gibiyseniz, belirsiz bir rahatsızlık hissedebilirsiniz ve - Carnegie Mellon University'deki araştırmacılardan alınan yeni bir makaleye göre - uyarıyı görmezden gelmeniz ve yine de tıklamanız yeterli olacaktır.

Laboratuvar deneyi yapan araştırmacılar, katılımcıların yüzde 55'i ile yüzde 100'ünün kullandıkları tarayıcıya bağlı olarak sertifika güvenliği uyarılarını göz ardı ettiğini fark etti (farklı tarayıcılar kullanıcılarını uyarmak için farklı dil kullanıyor).

[Ek okuma: Kötü amaçlı yazılım nasıl kaldırılır? Windows PC'niz

"Herkes bu uyarılarda bir sorun olduğunu biliyordu," diyor Carnegie Mellon yüksek lisans öğrencisi ve gazetenin ortak yazarlarından biri olan Joshua Sunshine. "Çalışmamız sorunun ne kadar büyük olduğunu gösterdi."

Bu harika bir haber değil. Genellikle, Web sitesinde teknik bir sorun nedeniyle uyarılar ortaya çıkar, ancak Web sörfçünün bir şekilde sahte bir Web sitesine yönlendirilmekte olduğu anlamına da gelebilir. Güvenli Web sitelerinin URL'leri "https" ile başlıyor

Araştırmacılar, ilk olarak sertifika uyarıları hakkında ne düşündüklerini öğrenmek için 400'den fazla Web sörfçüsü ile çevrimiçi bir anket gerçekleştirdiler. Daha sonra 100 kişiyi bir laboratuara getirdiler ve internette nasıl gezindiklerini incelediler.

İnsanların sık sık sertifikası uyarıları konusunda bir anlayışa sahip olduklarını keşfettiler. Örneğin, birçoğu güvendikleri bir siteyi ziyaret ettikleri sırada mesajları görmezden gelebileceklerini düşünmüşlerdi, ancak daha az güvenilir sitelerde daha ihtiyatlı olmaları gerektiğini düşünüyorlar.

"Bu mesajların ne anlama geldiğine dair geriye dönük bir anlayış," dedi Sunshine. "Mesaj, siteyi ziyaret ettiğinizi düşündüğünüz siteyi ziyaret ettiğinizi doğrulamaktadır. Bu site güvenilirdir."

Eğer bir bankacılık web sitesi güvenlik sertifikasının geçersiz olduğuna dair bir mesaj gösteriyorsa, bu çok kötü bir işarettir. Güvenlik uzmanları diyor. Bu, Web sörfçünün sözde bir adam-ortadaki saldırıya maruz kaldığı anlamına gelebilir. Bu saldırı türünde, suçlu, kendisini internette dolaşan ve ziyaret ettiği site arasında bilgi çalmak umuduyla sokar.

Güvenlik uzmanları, bu güvenlik uyarılarının etkisiz olduğunu uzun zamandır biliyorlardı, Web güvenlik danışmanlığı White Hat Security. Bunun nedeni, kullanıcıların "güvenlik risklerinin ne anlama geldiğini gerçekten bilmedikleri", diye anlatan anlık mesaj. "Yani onlar kumar oynarlar."

Firefox 3 tarayıcısında, Mozilla daha basit bir dil kullanmaya ve kötü sertifikalar için daha iyi uyarılar kullanmaya çalıştı. Ve tarayıcı kötü bir sertifika uyarısını yok saymayı zorlaştırıyor. Carnegie Mellon laboratuvarında, Firefox 3 kullanıcıları, bir uyarı gösterildikten sonra tıklanma olasılığı en düşük seviyedeydi.

Araştırmacılar, kendileri için yazdıkları çok daha fazla güvenlik uyarısı denediler, ki bu da daha etkili görünüyordu. Bulgularını 14 Ağustos'ta Montreal'deki Usenix Güvenlik Sempozyumu'nda rapor etmeyi planlıyorlar.

Yine de Sunshine, daha iyi uyarıların sadece çok yardımcı olacağını düşünüyor. Uyarılar yerine, tarayıcılar hata mesajlarını analiz edebilen sistemleri kullanmalıdır. “Bu sistemlerin bir saldırı olması muhtemelse, kullanıcıları tamamen engellemeliler” dedi.

Bankalar gibi önemli Web sitelerini ziyaret ederken bile, "insanlar hala uyarıları dikkate almıyorlar" dedi.