25 Nisan 2016

Meksikalı seçmenin verisi Amazon sunucusunda bulundu!

50 milyon Türk seçmeninin verilerinin 6-7 sene önce sızdığı anlaşılıyor ama aldıran yok

Meksika seçmen verilerinin de çalındığı ortaya çıktı. Bu haberin detayını aşağıda okuyacaksınız ama olayın asıl önemi şu; "Neden hep seçmen verilerinin sızdığı ortaya çıkıyor?"

İnterneti biraz taradık, daha önce Yunanistan, Filipinler ve İsrail gibi ülkelerde de seçmen verileri sızmış. O zaman soru şu; neden hep "seçmen verileri" ortaya çıkıyor[1]? Türkiye'de ya da Meksika'da ya da Belize de ya da Filipinler'de ya da Yunanistan'da ? 

Geçen hafta bir hacker'ın Meksika seçimleri ile ilgili "seçimi çalma" iddialarını yayınlamıştık[2]. Bu habere bakınca, aklımıza şöyle bir soru geliyor; seçmen verilerinin sızmasının seçim sonuçlarını değiştirme iddiaları ile ilgisi var mıdır?

Ya da hep konuştuğumuz başka bir husus; bu sızmalar seçmen sistemlerinin kullandığı yazılım-donanım ile ilgili bir konu mudur? 

Aşağıda Meksika olayının detayına bakalım ama bizim tarafımızda asıl önemlisi 50 milyon Türk seçmeninin verilerinin çalınmasıdır [3]. Acaba bu olaya farklı bir yönden mi bakmalı?

 

Meksikalı 93,4 milyon seçmenin verisi Amazon sunucusunda bulundu


Bugün bir güvenlik araştırmacısının yayınladığı makaleye bakılırsa, 93,4 milyon Meksikalı seçmenin verileri internet üzerinde bulundu[4]. Shodan Arama motoru kullanılarak[5], veri tabanı hatalarını ortaya koymakla ünlü güvenlik araştırmacısı Chris Vickery tarafından 14 nisanda ortaya çıkarılan veriler Meksika'lı seçmenleri kapsıyor. Vickery durumu hemen ABD yetkililerine ve Meksika Konsolosluğuna bildirmiş ve veritabanı da 22 nisan (bugün) itibariyle yayından kaldırılmış.

Vickery, "Elimdeki veriler çok tehlikeliydi. Bu içinde 93,4 milyon oy verenin kayıtlı verileri bulunan bir hard drive idi. Meksika kanunlarına göre, kişisel veriler "çok gizli" olarak sınıflandırılmış. Veriler isimleri, ev adreslerini, doğum tarihlerini, ulusal kimlik numaralarını ve bazı başka bilgileri içeriyor" dedi [4].

Meksika çetelerin "kaçırma" olayları yarattığı bir ülke. Adreslerin açık edilmesi bu nedenle büyük bir sorun. Ama sadece kaçırma olayları için değil, ülkemizde de olabileceği gibi, hırsızlık, banka dolandırıcılıkları, adına kimlik çıkarıp işlem yapmak gibi pek çok olay açısından kimliklerin ortaya dökülmesi önemli bir sorun.

Vickery, bunun hafife alınmaması gerektiğini ve ciddi bir veri sızma olayı olduğunu belirtti : "Bunu dünyanın herhangi bir yerindeki kişi indirebilir. Verileri sızmış olanlarda doğabilecek öfkeyi hayal edebiliyorum. Olayı kötüleştiren ise bu verilerin Meksika dışına çıkarılmış olmasıdır." 

 

50 milyon Türk seçmeninin verilerinin 6-7 sene önce sızdığı anlaşılıyor ama aldıran yok
 

 

 


Seçmen verilerinin çalınması Konusunu farklı sorularla yorumlayacağız ama önce yukarıdaki bilgiler eşliğinde bir konuya dikkat çekelim. Meksika seçmenlerinin verilerinin sızmasına karşı gösterilen tepkiyi ve verilerin hemen kaldırılması yönündeki çabaları yukarıda görüyorsunuz. Bizim ülkemizde ise tam tersi oldu; bir bakan "biliyoruz, onlar eski veri" dedi, diğeri "CHP çaldırmıştır" diye devam etti [6]. Ama anında bir önlem almaktan bahsedilmedi. Tepkiler üzerine bir soruşturma açıldığını gördük. Ama 6 ya da 7 sene gecikme ile.

Ama zaten halk da kendi verilerinin sızmasına öyle önemli bir tepki göstermiyor !! Yani siyasi de, halkı da aldırmıyor.

Peki bu kişisel veriler 6-7 sene önce çalındıktan sonra, Türk vatandaşlarının başına bir iş açmış mıydı? Bu sorunun cevabını bilemiyoruz. Pek çok dolandırıcılık olayını yazanlar var[7]. Bunlar bu verilerle olabilir mi? İhtimal dışı değil. Hatta kuvvetle ihtimal dahilinde.

Not olarak iletelim; Hürriyet ve birkaç basın kuruluşu "neyse ki anne kızlık soyadı yok" diye verdi ama bu ifade doğru değildi. Verileri yayınlayan kişi/kişilerin de belirttiği üzere TC Kimlik no'lar, zamanında "bit shifting" ile verilmişti. Dolayısıyla, bir aile ağacını tespit etmek mümkündür. Biz ilk gün verdiğimiz haberde bunu belirtmiştik. 

Peki bu nedenle TC Kimlik No'lar değişmeli midir? Bunu yazanlar oldu ama zor iş. TC Kimlik no'lar pek çok yerde kullanılıyor ve tam bir listesi de bilinmiyor. Bu nedenle de değiştirilmesi durumunda, banka işlemlerinden başlayarak, yeni bir sistem kurulmasına kadar bir süre büyük aksaklıklar olması mümkün derler. Zaten maliyeti 100 milyon TL'lere de varabilir. Ayrıca aşağıda da göreceğiniz üzere, yeniden çalınmaması bu donanım ve yazılımla mümkün müdür? Bilemiyoruz.

Öyleyse çözüm nedir? Çözüm devletin ya da ilgili kurumların kimlik doğrulamada bu verilerin yanında başka veriler kullanmasıdır. Biyometrik veriler ya da SMS doğrulama gibi.

 

Neden hep seçmen verileri?

 


Sorulması gereken bir soru bu; "neden hep seçmen verileri sızıyor?". Geçen hafta Kolombiya'lı bir hacker'ın 600.000 $ karşılığında 2011 Meksika Seçimlerinde bazı şeyler yaptığına dair açıklamasını yayınlamıştık[2]. Şimdi bu Meksika'nın seçmen verileri bulunuyor. Bir tesadüf mü? 

Ya da burada sorgulanması gereken bir konu herkesin önünde mi duruyor; Demokrasi artık heryerde yanıltılıyor mu?

Diğer yandan, birilerinin Türkiye'deki seçmen verilerini neden halka açık bir şekilde yayınlandığını da analiz etmek lazım. Bunun bir amacı vardır herhalde, ama acaba nedir? Acaba bir şeyler mi ikaz ediliyor? Ya da hükümet zor durumda mı bırakılmaya çalışılıyor? Ama gördüğümüz kadarıyla hükümet pek de zor durumda kalmadı. CHP'ye suç atıp, içinden çıktılar[8].
 

Peki ya açık kaynak olmayan yazılım ve donanımlar suçlu olabilir mi?

 



Okuyucularımız hep "Açık kaynak yazılımı" tarafında yer aldığımızı bilirler. Açık kaynak yazılım, sizin işinizi yaparken, arka planda başka işler yapmayan, daha doğrusu ne yaptığı ortada olan yazılım anlamına geliyor. Peki Türk e-devlet siteleri yani kişisel verilerimizi tutan kurumlar ne kullanıyor? Çoğunluğu ve özellikle konumuz olan YSK, yıllardan bu yana Oracle veri tabanını kullanıyor. 

Oracle veri tabanı, Larry Ellison'un 1960'ların sonunda CIA tarafından finansel edilen ABD deniz kuvvetlerinin aynı isimli projesinde çalışması ile hatırlanıyor[9]. 1980'lerde şirket olarak ortaya çıkıyor ve satın almalarla dünyanın en büyük şirketlerinden birisi haline geliyor. Sahibi Larry Ellison üniversiteyi bitirmemiş ama uzun süreden bu yana dünyanın en zengin insanları arasında ilk 10'da yer alıyor[10].

Donanım tarafına bakılınca, kritik öneme sahip yabancı ülkelere satılmış Cisco cihazların içine, sevkiyat öncesinde NSA tarafında bir parça takıldığına dair belge ve resimler ortaya çıkalı 2 yıl oldu[11]. Ama yetmedi, her gün bir başka donanımın --ve nedense de özellikle güvenlik cihazlarının-- içinde arka kapı olduğu ortaya çıkıyor[12][13]. Firmalar gerçi "şaşkın" bir şekilde "nasıl olduğunu araştırıyoruz" filan diyorlar ama güvenlik uzmanları bunların Cisco olayındakinden farklı olmadığı düşüncesindeler.

Bu konuyu çok detaylı okumak istiyorsanız, bir seri makaleyi “Yine Spiegel Haberleri Üzerine; Türkiye, Dinlemecilerin Ekmeğine Tereyağ mı Sürüyor? - I” başlığını tıklayarak okumaya başlayabilirsiniz.




[1] Personal info of 93.4 million Mexicans exposed on Amazon (UPDATED)

[2] Seçimi Nasıl Hacklersiniz?

[3] 50 Milyon Vatandaşın Verileri Sızdı... Herkes Risk Altında

[4] BREAKING: Massive Breach of Mexican Voter Data

[5] Shodan Arama Motoru

[6] 50 Milyon Kişisel Verinin Yayınlanmasında Yapılan Bakan Açıklamaları Dava Açmaya Zemin Sağlıyor

[7] Kimlik

[8] Aksünger : İthamda Bulunacaklarına 50 milyon Vatandaşın Verilerini Nasıl Çaldırdıklarını Açıklasınlar
 

[9] Wikipedia / Oracle Database


[10] #7 Larry Ellison

[11] Ortaya Çıkan Fotoğraflar NSA'in Cisco Cihazlara Casus Parçaları Taktığını Gösteriyor

[12] Juniper Sorgulanıyor; Kötü Niyetli Kod'u, Kim, Ne İçin Yerleştirdi?

[13] Fortinet Eski Tip Firewall'ların Şifreleri Sızdırıldı

Yazarın Diğer Yazıları

Siber saldırı, Yunan hacker grubunun Türk hackerlara misillemesi mi?

Türk hacker grubu Anka Neferler, geçtiğimiz hafta Yunan hükümet sitelerine siber saldırı düzenlediğini duyurmuştu

SpaceX ve NASA, acil durumda astronotların güvenliğini test ettiler

SpaceX'in Crew Dragon kapsülü "uzay taksisi" olarak kabul ediliyor. Eğer Nasa testin başarısını onaylarsa, "uzay taksiciliği"nin başlaması yolunda bir safha geçilmiş olacak

Kore tarihi dizileri: Yozlaşarak yıkılan devletler

Kore dizilerindeki kılıç ustalarını izlerken, "Artık Malkoçoğlu ile dalga geçmeyelim" diye de düşünüyorsunuz...