Elektronik Haberleşme Operatörlerine 27001 Zorunluluğu

20 Temmuz 2008 Pazar günü Telekomunikasyon Kurumu tarafından önemli bir yönetmelik (http://rega.basbakanlik.gov.tr/eskiler/2008/07/20080720-1.htm) yayınlandı. Yönetmeliğin ismi “Elektronik Haberleşme Güvenliği Yönetmeliği”. Yönetmelik işletmecilere 27001 zorunluluğu getirmekte. Önemli maddelerden biri olan 11inci madde şu şekilde:

MADDE 11 – (1) İşletmeci, TS ISO/IEC 27001 veya ISO/IEC 27001 standardına uygunluğu sağlamakla yükümlüdür. Yetkilendirilen işletmeciler yetkilendirme tarihinden itibaren bir yıl içerisinde söz konusu standarda uygunluğu sağlar. Belirtilen süre içerisinde söz konusu standarda uygunluğu sağlayamayan işletmecilere Kurul tarafından gerekli görülmesi halinde ilave süre verilebilir.

TSE, ISO/IEC 27001 standardını Bilgi Teknolojisi – Güvenlik Teknikleri – Bilgi Güvenliği Yönetim Sistemleri – olarak türkçeleştirmişti. Fakat standart Türkiye’de henüz pek yaygınlaşmış değildi. Bu yönetmeliğin bu bağlamda epey katkı sağlayacağını düşünebiliriz. Belki ileride e-Dönüşüm Türkiye projesi çerçevesinde Kamu Kurumlarının da bu standardı belirli bir süre içerisinde uygulaması yönünde bir takım zorunluluklar getirilebilir. Bu sayede bilişim güvenliği anlamında önemli bir mesafe katetmiş oluruz sanırım.

Elektronik Para ve Microsoft

Elektronik Para kavramı 1980′lı yıllarda ortaya atılmış bir kavram. Amacı bildiğimiz kağıt paraların özelliklerine haiz elektronik ortamlarda kullanılabilecek mekanizmaları kurmak. Tabii para konu olunca güvenlik de en önemli gereksinim oluyor. Güvenliği sağlama adına da bol miktarda kriptografiden yararlanılıyor.

Bildiğimiz paralar fiziksel bir nesne olduğu için kalpazanlık yapmadan sahte para üretmek mümkün değil, dijital dünyaya gelindiğinde ise sadece 0 ve 1′lerden oluşan elektronik paranın kopyasının çıkarılmasını engellemek mümkün değil. Önlemek mümkün değilse öyleyse biz de tespit eder ve cezalandırırız yaklaşımı da elektronik para konusunda aynen uygulanamıyor.

Çünkü kağıt paraların elektronik ortama aktarmaya çalıştığımız bir özelliği daha var. Her ne kadar üzerinde seri numarası vs. olsa da bizim ATM makinesinden çekdiğimiz para kimlik bilgimiz ile eşlenmez ve harcamalarımızı tamamen anonim olarak yapabiliriz. Para kullanımının kredi kartına göre böyle bir avantajı var. Hiç düşünmüş müydünüz?

Aynı şeyi elektronik para için nasıl yapacağız hem banka veya elektronik parayı basan yani imzalayan her kim ise bu parayı verirken kişinin kim olduğuna bakmayacak hem de bu parayı o kişi iki kere kullanınca cezalandırabilecek. İşte bu aşamada kriptografinin gücü devreye giriyor. Kör imzalar dediğimiz yapıları kullanarak bu iki birbirine zıt gibi görünen gereksinimi karşılayabilen ilk kişi 1988 yılında David Chaum olmuştur.

Bütün bunları niye anlattım? Şu an yukarıda anlattığım özellikte elektronik para kullanımı yaygın değil hatta yok belki de. Bunun pek çok sebebi olduğu gibi kriptografici paranoyasının kriptografinin günlük hayatımıza girmesini engellemesi paradoksuyla da açıklayanlar var. 

Yazı oldukça ilginç. Ama belki de en ilginç olan bilgi Microsoft’un Windows 95′e entegre etmek için teklif ettiği 100 milyon doların (Bill Gates’i bir kere daha takdir edelim) reddedilmiş olması. Eğer o zaman Chaum teklifi reddetmese idi belki hala elektronik para kullanıyor olmayacaktık ama çok daha güvenli işletim sistemlerine sahip olacağımız kesindi. Netice de elektronik para kullanılabilecek bir işletim sistemi mecburen güvenli olacaktı (burada güvenliğin zor ama yeteri kadar kaynak ayrılırsa aşılabilir bir problem olduğuna bir gönderme var).

Her neyse son olarak en son haberlere göre Chaum’un öğrencisi olan (Chaum’un önce Brands’ın buluşunu anlamadığı daha sonrada bu ikisinin kavga ettikleri falan anlatılır) ve elektronik para konusunda çok daha aşmış buluşlara sahip Brands’ın patentlerini Microsoft satın almış. Acaba niye? (İpucu: Brands’ın buluşlarının elektronik para ötesi kullanım alanları var.)

İnternet’in Ana Şalteri

 

Yaklaşık 1.5 sene önce hazırladığım ağ teknolojileri ile ilgili sunum burda (biraz büyükce bir dosya ama ilginç bulacağınızı umuyorum).  Biraz önce bilgi kirlenmesi ve bilinçli manipülasyon ile ilgili dokuzuncu sayfada anlatılmış olan küçük araştırmayı yeniledim. Sonuç olarak ilerleme değil bilakis gerileme olduğunu gördüm: Türkiye tezlerinin savunulduğu tek sitenin de google.com’da ilk on’dan daha gerilere itildiğini görmek insanın sadece içini burkuyor.

Aranılan Şalter Böyle Bir Şey

Peki bu 1.5 sene boyunca biz ne yaptık, sanırım sayfa 22′de bahsedilen ana şalteri aramakla meşgulduk

Dizüstü Bilgisayarınız Çalınırsa…

İlk bilgisayar 167 metrekarelik bir alanda kurulu 30 ton ağırlığındaydı. O zaman kimin aklına gelirdi bilgisayarların cebe girecek kadar küçüleceği ve hayatın vazgeçilmezleri arasına gireceği? Display Search araştırma şirketinin yaptığı bir araştırmaya göre 2008′in ilk çeyreğinde 31.108 Milyon dizüstü bilgisayar satılmış. Bu geçen yılın ilk çeyreğine göre 35% daha fazla [1]. Dizüstü bilgisayar kullanımı o kadar çok yaygınlaştı ki; artık hayatımızın bir parçası haline geldi. Dizüstü bilgisayarlar nereye gidersek gidelim yanımızdan ayıramayacağınız bir aygıt haline geldi. Bazen uzun bir yolculuğa çıktığımızda uçak veya otobus beklerken veya bir otel odasında evden uzakta bir yerlerde açıp işle, özel çalışmalarımızla alakalı bir şeyler yapmamızı sağlarken, bir kafede çayımızı yudumlarken kablosuz bir ağa bağlanıp haberleri takip etmemize, maillere bakmamıza veya mail atmamıza olanak sağlar. Peki hiç düşündük mü dizüstü bilgisayarımızı kaybetmemiz bize nelere mal olur? Türkiye’de yapılan bir araştırma göremedim ama Amerika’da yapılan bir araştırmaya göre dizüstü bilgisayarların 10 da 1′i kullanım süreleri içerisinde çalınıyormuş [2]. Ben şahsen kendi yakınlarımdan iki kişinin dizüstü bilgisayarının çalındığını biliyorum. Daha ilginç olan çok yeni bir araştırmaya göre Amerikada havaalanlarında haftada 12,000 dizüstü bilgisayar kayboluyormuş. Bu da yılda 600 000 bilgisayar yapar[3].

Çalınırsa ne olur: Mali olarak size zarar verir. Eğer dizüstü bilgisayar işinizin bir parçası ise yenisini almak zorunda kalırsınız. Daha da kötüsü eger dizüstü bilgisayar işinizin bir parçası ve bir çok işi de evde yaparım diyerek dizüstü bilgisayarınıza değerli bilgi kaydettiyseniz. Çalındığında veya kaybolduğunda maddi kaybın yanında işinizle alakalı bir çok bilginin de kaybı söz konusu olabilir ki; bu bazen işinizle alakalı binlerce Ytl’lik zarara neden olmakla beraber kaybolan verilerin zararlı kisiler tarafından kullanılması ile sirketin prestij kaybı da soz konusu olabilir.

 

Bir örnek; 8 Ocak 2008 tarihinde İngiliz Kraliyet Donanma görevlisinin arabasından dizüstü bilgisayarı çalınmış. Bu bilgisayar içerisinde 600 000 askerin bilgisi, 3500 kişinin banka detayları,153 000 kişinin içerisinde pasaport bilgilerinin ve çeşitli diğer bilgilerin bulunduğu başvuru dosyası bulunuyormuş[4].

 

Yukarıdaki sadece tek bir dizüstü bilgisayar ama kaybedilen veri, kötü niyetli kişiler için paha biçilemez.

 

 

Bununla birlikte dizüstü bilgisayarınızı iş için değil de, kişisel olarak kullanıyorsanız değerli bir çok bilginizi kaybetmeniz olası. Bazen bütün bir geçmişiniz bilgisayarla birlikte gidebilir. Bir yazarın kitabını yazdığı dizüstü bilgisayarının çalınması sonucu televizyonlara yansıyan durumunu hatırlıyorum. “Bilgisayar onun olsun, bana yazılarımı ver” diyordu. Bunların haricinde şöyle bir dizüstü bilgisayarımıza baktığınızda yılların birikimi olan bir çok bilgi gözünüze çarpacak, ailenizle, arkadaşlarınızla çekildiğiniz fotoğraflar, videolar, güzel anlar hepsi dizüstü bilgisayarınızla birlikte kaybolabilir.

 

 

Nelere dikkat etmek lazım:

Çok basit ve biraz da komik gibi gelebilir ama Laptop çantaları birbirine benziyor. Standart çantalar çalınmaya veya çantaların karışmasına neden olabilir. Dizüstü bilgisayar çantanızı ayırt edecek dolayısıyla dizüstü bilgisayarın karışmasını engelleyecek etiket tarzı bir şey kullanılabilir.

 

Eğer dizüstü bilgisayarınızda önemli ve gizli tutulması gereken veriler varsa, tavsiye edilen hatta yapılması zorunlu olarak görülen önlem verilerin şifrelenmesi. Bu şekilde bilgisayar çalınsa bile, içerisindeki veriler çalan kişi tarafından ele geçirilemeyecek.

 

Bununla beraber dizüstü bilgisayar çalındıktan sonra hala çeşitli çözümler üzerinde çalışılmakla birlikte, çalınan bilgisayarın yerini bulabilmek için önerilen bazı çözümler de mevcut. Bunların genel çalışma prensibi, oluşturulan yazılım harddisk formatlansa (çalıntı dizüstülerde yapılan ilk işlem genellikle budur) bile kaybolmayacak şekilde Harddisk içerisinde düşük seviyede bir yere kaydediliyor ve antivirus programları da dahil olmak üzere bir çok tarama yazılımları tarafından farkedilmiyor. Program düzenli olarak izleme merkeziyle bağlantı kuruyor eğer dizüstü bilgisayarın çalındığı rapor edilmişse, o bilgisayar izlemeye alınıp gerekli devlet kurumlarıyla bağlantıya geçiliyor [5].

 

[1]http://www.chip.com.tr/konu/Dunyanin-en-cok-laptop-satan-sirketi-kim_7322.html

[2] http://www.cbronline.com/article_feature.asp?guid=C256F57D-6C54-4CA5-8181-142141ACC0AC

[3] http://www.geek.com/12000-laptops-lost-every-week-at-us-airports-20080707/

[4]http://www.sciencedirect.com/science?_ob=ArticleURL&_udi=B6VNT-4S3H495-3&_user=691352&_rdoc=1&_fmt=&_orig=search&_sort=d&view=c&_acct=C000038698&_version=1&_urlVersion=0&_userid=691352&md5=8ccdd77c80c3872b90c44c90fe13942e

[5] http://www.giac.org/certified_professionals/practicals/gsec/2641.php

Kim Korkar Sanal Klavyeden?

İnternet Bankacılığı konusunda yanlış demeyeceğim ama etkin olmayan bir çözüm de sanal klavyeler. Hani PIN kodunu klavyeden değil de fare ile ekrandaki düğmelere tıklayarak girdiğiniz nesne. Her girişte bir de sayıların yer değiştirmesi yok mu, yani o zaman bu sistem bayağı güvenli olmalı.

Güvenli mi? On sene önce olsa evet. Çünkü on sene önce anahtar-toplayıcı (keylogger) dediğimiz programlar sadece klavyeden girilen karakterleri toplarlardı. Sene 2008 olunca , bu sitedeki birkaç programı denedik ve gördük ki her fare tıklamasındaki ekran görüntülerini toplayan ve oldukcada performanslı programlar var. Bu tip bir program karşısında sanal klavyeler çaresiz kalıyor haliyle. (Ekran görüntülerini transfer etmek çok bant genişliği ister vs. gibi karşı argümanların da çok geçerli olduğunu düşünmüyorum.) 

Sonuç: Güvenlik bir silah yarışı olmuş günümüzde. Önlemler bu yarışta çoğu zaman epey geriden geliyor maalesef.

Konuyla ilgili bir fıkra ile bitireyim. İki arkadaş ormana gitmişler, gezerlerken bakmışlar meşelikten bir aslan geliyor üstlerine. Arkadaşın biri çantasındaki spor ayakkabılarını giymeye başlamış. Diğeri sormuş: “bu ayakkabıları giyince aslandan daha hızlı koşabileceğini mi düşünüyorsun?”. Cevap beş-on metre öteden gelmiş: “hayır ama senden daha hızlı koşacağımdan eminim.”

Konumuzla ilgisi mi? Herkesin tek-zamanlı şifrelere geçtiği ve bu şifrelerin yetersiz kalabileceği gerçek zamanlı kimlik avı saldırılarının (online phishing attacks) düşünüldüğü bir zamanda sanal klavyeler aslana yem olmayı ne kadar geciktirebilir acaba?

DİJİTAL DELİL ARAŞTIRMA SÜREÇ MODELİ

Dijital delilleri belirli metod ve prosedürlere uyun olarak araştırabilmek için bir takım ortak süreçlere ihtiyaç duyulmaktadır. Aşağıda Casey’in oluşturduğu 12 basamaklı süreç modeli görülmektedir (Casey, 2004):

Dijital Delil Araştırma Süreç Modeli (Casey, 2004)

Bu süreç modelini 2005 yılında Polis Bilişim Sempozyumu’nda sunduğumuz makalede tek tek anlattık. Makalenin orijinal versiyonuna şu linkten ulaşabilirsiniz.

Süreç modelindeki en önemli basamaklardan biri “Tanımlama ve Toplama” aşamasıdır. Olay yerinden elde edilebilecek deliller kritik öneme sahip olduğu için bu sürecin çok hassas ve dikkatli ele alınması gerekmektedir. Makaledeki bu bölümü önemine binaen aşağıda kısaca değinelim:

Tanımlama ve Toplama

Olay yeri güvenli hale getirildikten sonra, söz konusu suç veya vaka ile ilgili potansiyel delillerin toplanması gerekmektedir. Sürecin doğru bir şekilde işlemesi için öncelikle uygun prosedürleri ve gerekli hukuki şartları anlamak büyük önem arz etmektedir. Deneyimli ve tecrübeli araştırıcılar için bu safhadaki amaç sanal veya fiziksel bütün delilleri toplamak değil, nelerin toplanıp nelerin toplanmayacağı konusunda mantıklı kararlar vermek, doküman oluşturmak ve ondan sonra eylemi gerçekleştirmektir.

Dökümantasyon bütün basamaklarda yapılması gereken bir iştir ancak delillerin toplanması esnasında ayrı bir öneme sahiptir. Toplanan her bir delille ilgili ayrıntılı rapor tutmak, bunların doğrulanabilirliğini kolaylaştırıp, koruma zincirini (chain of custody) başlatacaktır.

Geleneksel delil toplama, delillerin daha sonradan incelenmek üzere sahiplenilmesi anlamına gelmektedir. Fakat dijital delillerde durum biraz farklıdır. Delillerin doğrudan toplanması esnasında bazılarının kaybedilmesi, bozulması ile karşılaşılabilir. Özellikle uçucu veriler (Ör: Bellek, CPU Kaydedicileri, Çalışan süreçlerin durumu) dediğimiz elektrik kesildiğinde içeriği sıfırlanan ve tekrar kurtarılması mümkün olmayan delilleri barındıran bilgisayarlarda bazı ek işlemlerin gerçekleştirilmesi gerekmektedir.

İngiltere Polis Başkanları Birliği tarafından yayınlanan “Bilgisayar Tabanlı Elektronik Deliller için İyi Pratikler Rehber’inde 4 prensipten bahsedilmiştir (NHCTU,2003):

Prensip 1 : Kanun uygulayıcılar ve görevlileri tarafından, mahkemede kullanılma ihtimali olan bilgisayar veya farklı bir medya üzerinde bulunan verileri değiştirecek herhangi bir eylemde bulunulmayacaktır.

Prensip 2 : Bir kişinin hedef sistem üzerinde bulunan orijinal verilere erişmesi gerektiği istisnai durumlarda, ilgili kişinin mutlaka o konuda tecrübeli ve uzman olması ve aynı zamanda yaptığı bütün işlemleri ve gerekçelerini daha sonradan ispatlayacak bir durumda olması gerekir.

Prensip 3 : Bilgisayar tabanlı delillere uygulanmış olan bütün süreçlerin bir izleme kaydı oluşturulmalı ve koruma altına alınmalıdır. Üçüncü bir şahıs tarafından bu süreçler incelenebilmeli ve aynı sonuçlara varılmalıdır.

Prensip 4 : Olaydan sorumlu memur, yapılan işlemlerin hukuka ve prensiplere uygun olup olmadığını denetlemekten de sorumludur.

OLAY YERİNDEN ALINAN DİJİTAL DELİLLERiN HUKUKİ KABUL EDİLEBİLİRLİĞİNİ ARTTIRMAK

Dijital Delil

Bilişim suçları, son zamanlarda karşılaşılan önemli suç tipleri arasında yer almaktadır. Özellikle bilişim teknolojilerinin kullanımındaki artış, bilişim suçlarının etkisini arttırmakta ve büyük riskler oluşturmaktadır. Bir suçun aydınlatılmasında ve failinin tespitinde kullanılan en önemli mekanizma delillendirmedir. Bilişim suçları kapsamına giren bir olay araştırılırken, en önemli delil tiplerinden bir tanesi ise dijital delillerdir. Dijital Deliller, bir bilişim suçu ile ilgili, dijital biçimde kayıt edilen veya aktarılan bilgiler olarak tanımlanabilir. Dijital deliller, bir çok tipte karşımıza çıkmaktadır. Bunlar veri dosyaları, kurtarılmış silinmiş dosyalar, kayıp alanlardan kurtarılmış veriler, dijital fotoğraf ve videolar, sunucu kayıtları, e-posta, internet geçmişi, web sayfaları, abone kayıtları gibi doğrudan bilgisayar sistemleriyle alakalı deliller olabileceği gibi, günümüzde gömülü bilgisayar sistemlerine sahip bir mikro dalga fırından elde edilebilecek ve bir kundakçılık olayında fırının belirli bir zamanda yangın çıkarmak için programlandığını ortaya çıkarabilecek veriler de dijital deliller olarak karşımıza çıkmaktadır.

Dijital deliller, dijital verilerden oluşur. Bu veriler ise bilişim sistemleri üzerine kayıt edilmiş bir ve sıfır ikililerine verilen anlam sonucunda ortay çıkar. Dolayısıyla doğrudan elle tutulabilir ve gözle görülebilen bir yapının olmayışı, dijital verileri soyut hale getirmektedir. Soyut kavramlardan kesinlik çıkartmak ise çok zordur. Fakat deliller, işlevi itibariyle bir suçu ispat edici nitelikte kesin bulgular barındırmalıdır. Bu nedenle dijital verilerin yüzde yüz delil olarak kullanılması yönünde, büyük problemler meydana gelmektedir. Bu problemler şu ana başlıklar altında toplanabilir :

1.Yapısal Problemler

Dijital veriler çok kolay bir şekilde değiştirilebilmektedir.

Dijital verilerin bire bir aynısı oluşturulabilmektedir.

Dijital veriler hassas bir yapıdadır ve manyetik alan, sıcaklık, çarpma gibi çeşitli çevresel etkenler yüzünden kolay bir şekilde bozulabilmektedir.

Dijital veriler, nasıl kodlandıklarına bağlı olarak anlam kazanabilirler. Günümüzde virüs, truva atı gibi zararlı kodlar sayesinde verilere değişik anlamlar yüklemek mümkündür.

2.Yapısal Problemler Sonucu Oluşan Problemler:

Dijital Delillerin Bütünlüğü: Dijital veriler üzerinde çok kolay bir şekilde değiştirme, silme ve yenisini oluşturma gibi işlemlerin yapılabilmesi bu delillerin bütünlüğünü sağlamayı çok zorlaştırmaktadır.

Dijital Delillerin Doğrulanması: Bir kişiyi dijital delillerle birlikte yakaladıktan sonra, mahkeme sürecinde o verilerin gerçekten o kişiye ait olduğunun ispatı gerekmektedir. Fakat delil olarak ele geçirilen verilerin aynısı her hangi bir kişi tarafından da oluşturulabilir.

Dijital Delillerin İnkar Edilememesi: Dijital delillendirme işlemindeki dijital delilin sahibi, onu ele geçiren şahıslar (Ör: Polis), delilin alındığı medya, delilin ele geçirildiği zaman, delilin içeriği gibi bütün unsurların daha sonradan inkar edilememesi gerekmektedir.

Dijital Delillerin Doğruluğu: Dijital delillerin ele geçirilmesi esnasında kullanılan teknikler ve yararlanılan bilgilerin (Örneğin delilin ele geçirilme zamanı) doğruluğunun ispatı gerekir.

Dijital Delillerin Daha Sonradan Ele Alınabilirliği: Dijital deliller oluşturulduktan sonra, bu delilleri üçüncü bir şahıs inceleyebilmelidir.

Dijital deliller, yukarıda bahsedildiği gibi yapı itibariyle bozulmaya ve kolay bir şekilde değiştirilmeye müsait oldukları için, hukuki yönden kabul edilebilirlikleri konusunda sıkıntılar ile karşılaşılmaktadır. Bu delillerin mahkeme esnasında gerçek delil özelliği gösterebilmeleri için, delillerin ilk alındığı andan itibaren değişmediğinin, hangi tarihte, nereden ve kimlerden alındığının doğrulanması büyük önem arz etmektedir.

Literatür incelendiğinde, konunun bazı boyutları üzerine geçmişte yapılmış çalışmalar olmasına rağmen, sorunu çözmeye yönelik entegre bir çözüme rastlanılamamaktadır. Biz bu konu ile ilgili 2005 yılında bir çalışma yapmış ve bu çalışmamız sonucunda A3D3M (Açık Anahtar Altyapısı Destekli Dijital Delilleri Doğrulama Modeli) isimli bir model öne sürmüştük. Bu modeli ilk olarak 2005 yılında İstanbul’da düzenlenen Ağ ve Bilgi Güvenliği Ulusal Sempozyumunda yayınladık. Daha sonra bu makelenin ingilizce versiyonunu ufak değişiklikler ışığında “Towards Trustable Digital Evidence with PKIDEV: PKI based Digital Evidence Verification Model” ismi ile İngiltere’deki 2nd European Conference on Computer Network Defence (EC2ND) konferansında yayınlamış bulunmaktayız. İlgisini çekenler için Türkçe olan versiyonuna bu linki tıklayarak, ingilizce olan versiyonuna da bu linki tıklayarak ulaşabilirsiniz.

Güvenlik Konusunda Tez Yapacaklara

Güvenlik konusunda tez konusu arayanlara Ross Anderson’ın güvenlik mühendisliği kitabında güncel güvenlik araştırmalarının kanayan yaralarına işaret ettiği 23. konuyu okumaları önerilir. 23. konuda 4 tane uygulamanın güvenliği tartışılıyor. Bu konular:

1. Bilgisayar oyunları
2. Web uygulamaları (müzayede, sosyal ağlar, arama vb.)
3. Mahremiyet teknolojileri (mesela: anonim vekiller)
4. Elektronik seçimler

  Elektronik seçimler konusunda Yusuf bazı şeyler yazdı. Ben de ileride sosyal ağların güvenliği ile ilgili birkaç şey yazmayı planlıyorum.

Karikatür ile Güvenlik Farkındalığı

Bu pazar “The Silver Bullet Security Podcast” de Markus Jakobsson ile kimlik avı (phishing) ağırlıklı yapılan röportajı dinlerken, eşiyle birlikte http://www.securitycartoon.com/ adresinde yer alan bir karikatür sitesi oluşturduklarını duydum ve siteyi ziyaret eder etmez sık kullanılanlarım arasına ekledim. Kendisinin de röportajda belirttiği gibi Bilişim Güvenliği farkındalığı yaratma anlamında karikatürlerin çok büyük etkisi bulunmaktadır. Bu konu üzerine bir de teknik rapor formatında yazıları bulunmaktadır. İlginizi çekerse bu link’ten inceleyebilirsiniz. İnsanlara mesaj iletiminde görsel nesnelerin etkisinin çok büyük olduğu bilimsel bir gerçek. Bir de bunun üzerine duyguları harekete geçirecek öğretme tekniklerini uyguladığınızda bu etkinin daha da büyüyeceği aşikar. İşte Markus Jakobsson bu fikirden yola çıkarak bir karikatür sitesi oluşturmuş. Gerçekten site çok güzel. Sitede aynı zamanda bulmaca tipinde karikatürler de mevcut. Örneğin size bir tane banka sitesi verip, bu sitenin güvenli olup olmadığını soruyor. Siz de siteyi inceleyip phishing yönünden veya başka yönlerden ekranda bir gariplik olup olmadığını bulmaya çalışıyorsunuz. Şuana kadar Türkçe olarak böyle bir çalışma yapılıp yapılmadığını bilmiyorum ama yapılmasının bilişim güvenliği farkındalığı anlamında çok büyük katkı sağlayacağı kanaatini taşıyorum.

Hemen bu fikrin nasıl uygulanabileceği ile ilgili gerçek hayattan bir örnek verelim. Çocuklarımızı internet ortamında bakleyen risklerin başında tanımadığı kişilerle chat yapmaları gelmektedir. Özellikle çocuk pornografisi ile uğraşan kişiler çocukları chat odalarından kandırmaya çalışmaktadırlar. Örneğin Türkiye’de yaşanmış gerçek bir olaya değinelim: Çocuk pornografisi çetesi mensubu bir takım kişiler küçük yaştaki erkek çocuklarını kandırmak için kendilerini karşı tarafa genç bir kız görünümünde sunarak arkadaşlık kurmaya çalışırlar. Konuşmalar esnasında MSN’de gerçekten kız olduklarını karşı tarafa inandırmak için daha önceden ellerinde bulunan bir kız videosunu MSN’de sanki web kamerası açmış gibi karşı tarafa verebilmektedirler. Bu videoda kız çocuğu sanki bilgisayarın başında yazışıyormuş gibi yapmakta ve üzerindeki kıyafetleri teker teker çıkarmaktadır. Bu görüntüler çocuk pornocularının ellerinde dolaşan birbirleriyle erkek çocuklarını kandırmak için paylaştıkları görüntülerdir. Bu kötü niyetli kişiler erkek çocuklarına “eğer sen web kameranı açıp bizim istediğimiz şeyleri yaparsan, ben de üzerimdeki kıyafetleri çıkaracağım” şeklinde telkinde bulunarak çocukları web kamerası karşısında soyunmaya ikna etmekte ve bu esnada da görüntülerini kaydetmektedirler. Kaydedilen görüntüler daha sonradan çocukla temasa geçilip izlettirilir ve “eğer bizim istediğimiz yere gelmezsen bu görüntüleri öğretmenine, okul arkadaşlarına, ailene yollayacağız” şeklinde şantaj yapılarak çocuğun istenilen adrese gelmesi sağlanır. Daha sonra çocuklar kaçırılarak tecavüz edilir ve resimleri çekilir. Bilişim Suçları ile uğraşan Emniyet yetkililerinden alınan bilgilere göre bu tip hadiseler gerek Türkiye’de gerekse Dünya’da çok sık karşılaşılagelmektedir. Aileler çocuklarının internette bu tip tehlikelerle karşılabileceğinden, çocuklar ise internetteki her görüntünün gerçek olmadığından habersizdir. İşte bu noktada gerek ailelerde gerekse çocuklarımızda farkındalık yaratmak için özellikle basılı ve görsel medyalarda bu hususları işlemek çok büyük önem arz etmektedir. Trajı yüksek gazetelerin bulmaca sayfalarında veya hafta sonu eklerinde bu konuları işleyen karikatürlerin, bulmacaların olduğunu düşünün. Bu tip bir uygulamanın bilişim güvenliği farkındalığı yaratmaktaki etkisinin çok büyük olacağını düşünüyorum.

Bu konu ile ilgili söyleceklerimi bitirmeden Markus’tan esinlenerek sizin için hazırladığım bir bulmacayı görüşlerinize sunmak istiyorum. Bu benim başıma gelen gerçek bir phishing vakaasıdır. İşte bulmaca:

phishing-sorusu

Makale İnceleme: Towards Secure E-Elections in Turkey: Requirements and Principles

e-voting

Makale Adı : Towards Secure E-Elections in Turkey: Requirements and Principles

Yazarları : Orhan Çetinkaya (ODTÜ Uygulamalı Matematik Enstitüsü Ankara Türkiye)

Deniz Çetinkaya (ODTÜ Bilgisayar Mühendisliği Ankara Türkiye)

Yayınlandığı yer : IEEE 2nd International Conference on Availability, Reliability and Security (ARES’07)

Link: Makalenin IEEE Linki için tıklayınız…

Yorum : Makale genel olarak Türkiye’de e-seçim için gerekli olan ihtiyaçlar ve prensipleri ele almaya çalışmıştır. Türkiye’de temsili demokrasi (halkın kendini yönetecek kişileri seçtiği demokrasi) olduğu için makale aslında sadece Türkiye değil, temsili demokrasi uygulayan bütün ülkeleri kapsamaktadır denilebilir.

Bilişim teknolojilerinin gelişmesiyle demokrasinin de bilişim sistemleri üzerine taşınma fikirleri tartışılmaktadır. E-seçim ise e-demokrasinin vazgeçilmez bir parçası olarak karşımıza çıkmaktadır. Kimi kaynaklara göre e-seçim ve e-demokrasi kavramları birbirleri yerine kullanılabilmektedir. Literatürde e-seçim ile ilgili bir çok çalışma yapılmaktadır. Bu çalışmalarda en çok göze çarpan hususlar e-seçim sistemlerinin güvenlik, gizlilik ve mahremiyet sınırlarını zedelemeden nasıl gerçekleştirilebileceği yönündedir.

Makalede e-seçim gereklilikleri iki ana başlık altında toplanmıştır:
- Çekirdek ihtiyaçlar (Core Requirements)
- Ek ihtiyaçlar (Additional Requirements)

Çekirdek ihtiyaçlar
- Oy kullananın mahremiyeti (Voter privacy)
- Seçilebilirlik (Eligibility)
- Adaletlilik (Fairness)
- Biriciklik (Uniqueness)
- Zorlanamama (Uncoercibility)
- Doğruluk, Hatasızlık (Accuracy)
- Sağlamlık (Robustness)
- Verimlilik (Efficiency)
- İmtina Eden Oy Kullanıcı (Abstaining Voter)
- Sıfır Oy Pusulası (Null ballot)
- Boş Oy Pusulası (Empty ballot)
- Onaylanabilirliği (Validability)
- Evrensel Doğrulanabilirliği (Universal Verifiability)
- Bireysel Doğrulanabilirliği (Individual Verifiability)
- Uygunluk, Kullanılabilirlik (Convenience)
- Adayların Eşitliği (Equality of candidates)
- Açık Kaynak (Open Source)
- Bağların çokluğu (Manifold of Links)
- Şeffaflık (Transparency)
- Fiziksel tekrar sayma ve denetleme (Physical Recounting and Auditing)
- Teknik Yeterlilik (Technical Adequacy)
- Sonuçların Duyurulması (Anouncement of Results)

Ek İhtiyaçlar
- Alındı-Serbestliği (Receipt-freeness)
- Hareketlilik (Mobility)
- Ucuz Seçimler (Cheap Elections)
- Esneklik (Flexibility)
- Tasarım Bağımsızlığı (Design Independence)
- Doğrulanmış Oy Pusulası Stilleri (Authenticated Ballot Styles)
- Ölçeklenebilirlik (Scalability)

Yazarlar yukarıda sözkonusu olan ihtiyaçları makalede açıklamakla birlikte, Türkiye gibi temsili demokrasilerin olduğu ülkelerde normal seçimlerin e-seçim halini alabilmesi için bu ihtiyaçların mutlak suretle karşılanması gerektiğini vurgulamışlardır.