Estonya’dan Avrupa Parlementosu Seçimlerinde İnternet Oylamasına Resmi Onay

7 Haziran 2009 tarihinde Estonya Avrupa Parlementosu seçimlerinde internet oylamasının kullanılmasına resmi onay vermiştir. Verilen bilgilere göre seçmenlerden %15’i geleneksel seçim yerine e-oylama’yı tercih etmiştir. İlgili haberde Estonya’nın geleneksel oylamayı tamamen kaldırmak yerine internet üzerinden oylamayı destekleyici bir araç olarak kullanmayı düşündüğü belirtilmiştir. Oylamada kullanılan prosedür şu basamaklardan oluşmaktadır:

1. Seçmen Kart okuyucusuna devlet tarafından kendine verilen kimlik kartını yerleştirip, ilgili web sayfasına bağlanır.
2. Daha sonra kişi kimlik kartının PIN1 numarasını girerek kendini doğrular.
3. Elektronik Oylama Sunucusu ilk etapta seçmenin oy kullanıp kullanamayacağını doğrular.
4. İlgili doğrulama işlemleri başarı ile geçildiği takdirde seçmenin karşısına kendi oy vereceği bölge ile ilgili aday listesi çıkar.
5. Seçmen tercihini yapar. Bu tercih şifrelenmiş bir şekilde aktarılır.
6. Aynı zamanda seçmen tercihini bir de elektronik imzası ile doğrular. Bu işlem esnasında PIN 2 numarası kullanılır.
7. Oy sayımı esnasında kişilerin elektronik imzaları anonimliği sağlamak adına kaldırılır. Yüksek seçim kurulu anonim elektronik oyları birlikte açar ve sayım işlemini tamamlar.

İlgili Haberin detayları için şu linke göz atabilirsiniz.

Estonya E-seçimlerde Cep Telefonu Üzerinden Doğrulama Yapmak için Kolları Sıvadı

E-seçim çalışmalarında başı çeken ülkelerden biri olan Estonya şimdi de 2011 yılındaki seçimlerde cep telefonu üzerinden doğrulama yapabilmek için hazırlıklara başladı. 2005 yılından beri ulusal kimlik kartlarını elektronik seçimlerde doğrulama aracı olarak kullanıma sokan Estonya, özellikle yurtdışındaki vatandaşların lokal güvenlik nedeniyle bazen bu kartlar üzerinden doğrulama gerçekleştiremediğini bu nedenle cep telefonları üzerindeki SIM karta gömülmüş sertifikalarla doğrulama yapabilmek için bir yazılım projesi başladıklarını duyurdu. Mobil doğrulama fonksiyonunun mevcut yazılıma eklenmesi için öngörülen süre ise 6 ay olarak belirtiliyor. Doğrulama dışındaki seçim işlemlerinin güvenlik nedeniyle şuan için cep telefonu üzerinden düşünülmediği de vurgulanan konulardan bir tanesi. Haberin detaylarını bu linkten öğrenebilirsiniz.

“Karakutu Elektronik Seçim Aygıtları” gerçekten kurtarıcı mı?

Elektronik seçim çalışmalarında iki temel yaklaşım göze çarpmaktadır. Bir tanesi uzaktan seçim, diğeri oy verme kabininde yapılan e-oylama. Uzaktan seçim, belirli bir mekana sınırlı olmadan istediğimiz yerden bilgi ve iletişim cihazları vasıtasıyla oy kullanabilmeye olanak sağlayan yöntemleri içermektedir. Dijital televizyonlar, mobil telefonlar uzaktan seçim için kullanılabilen aygıtlar olsa da uzaktan seçim deyince akla daha çok internet üzerinden oy kullanma gelmektedir. Bu kısaca i-oylama (i-voting) olarak da bilinmektedir. Yapılan bilimsel çalışmalar bu iki odak etrafında yoğunlaşmaktadır.

Gereksinimler ve güvenlik açısından baktığımız zaman i-oylama’nın daha zor bir problem olarak karşımıza çıktığını söyleyebiliriz. Çünkü doğası gereği dağıtık ve çeşitlilik arz eden bir topolojiye sahip olan i-oylama’nın güvenliğini sağlamak da çok zordur. Bruce Schneiner’in şu sözü olayın ne kadar kritik olduğunu gözler önüne sermektedir: “An Internet Voting System would be the first secure network application ever created in the history”. Sunucu, iletişim güvenliği ve benzeri bir takım faktörleri bir kenara bırakırsak, sadece istemci güvenliğini bile sağlamak i-oylamada kullanılan bütün istemcilerin güvenli olması anlamına gelmektedir ve bu da pratikte gerçekten çok zor bir konudur. Ayrıca güvenliğin dışında demokratik gereksinimlerden kaynaklanan sıkıntılar da bulunmaktadır. Bunlardan en belirgini oy ticareti ve zorla oy kullandırma olaylarıdır. İnternet üzerinden oylama esnasında her kişinin başına bir güvenlik görevlisi dikmek mümkün değildir. Bu da kişilerin bazı maddi imkanlar karşılığında oylarının hangi yönde kullandıklarını başka kişilere ispatlama olanağını doğurmaktadır. Aynı zamanda bir grubun zorla bir odaya alınıp, belirli bir kişi veya grup yönünde oy kullanmaları yönünde zorlama yapma gibi hadiseler de internet oylamada karşılaşabileceğimiz uınsurlar arasındadır. Dolayısıyla dünya çapındaki e-seçim örneklerinin çoğu oy verme kabininden yapılan e-oylama’yı temel almaktadır. Günümüze kadar bu konuda birçok farklı yöntem ve mekanizma denenmiştir. En son olarak DRE olarak adlandırılan kapalı kutu cihazlar ve dokunmatik ekranlar vasıtasıyla gerçekleştirilen e-seçim uygulamaları göze çarpmaktadır. Her ne kadar mekan bağımsız bir seçim mekanizması olmasa da, güvenlik ve seçim verimliliğinin arttırılması yönünde baktığınızda gerçekten de daha uygulanabilir bir çözüm olarak karşımıza çıkmaktadır.

Peki karakutu e-seçim aygıtları güvenlikle ilgili bütün problemleri çözmüş müdür? Bunu söylemek ne yazık ki çok zordur. Çünkü sözkonusu e-secim aygıtları her nekadar karakutu olsa da içerisinde bir yazılım barındırmaktadır. Bruce Schneier’ın bu konuda blogunda yazdığı çok güzel bir yazı bulunmaktadır. Bu yazıda birçok e-seçim cihazının oyları yanlış hesapladığına dair örnekler yer almaktadır. Bu da e-seçim cihazları üreticilerinin güvenilirliği konusunda çok büyük şüpheler doğurmaktadır. Çünkü hepimizin bildiği gibi seçimler çok kritik hususlardır ve bu konuda güvenilirliğin kesinlikle bir grup insana emanet edilmemesi gerekmektedir. Ayrıca kapalıkutu e-seçim cihazlarıyla ilgili yaşanan bir başka sıkıntı da seçimlerin tekrar sayılamamasıdır. Bilindiği üzere normal manuel sistemde, oylar sandıkta fiziki olarak bulunduğu için çıkan sonuçlarla ilgili herhangi bir şüphe durumunda sandıkların tekrar sayılması söz konusu olmaktadır. Fakat elektronik uygulamalarda ayrı bir fiziki materyal oluşturmadan tekrar sayım söz konusu değildir. Bu da şüphelerin sorgulanamaması ve güvensizliğin artması anlamına gelmektedir.

Kapalıkutu e-secim aygılarına yönelik güvenlik problemlerini sadece üretici bazda ele almak da yanlıştır. Çünkü her nekadar karakutu olarak tasarlanmış olsa da organize bir hacker grubu bu kutulara karşı saldırılar düzenleyip bir takım zararlı kodları bu makinelere sızdırmaları da mümkündür. Ayrıca geçmişteki örnekler, bu kutuların fiziki olarak da korunaklı yerlerde saklanmadığını gözler önüne sermektedir. Bu konuyla ilgili Dan Wallach blogunda “Vendor misinformation in the e-voting world” başlığında güzel bir yazı yazmıştır. İlgilenenler göz atabilir.

Sonuç olarak e-seçimlerde kullanılan teknolojiler ve sistemlerle ilgili hala birçok problem göze çarpmaktadır. Bu problemlere yönelik bir çok bilimsel araştırma yürütülmektedir. E-seçim cihazlarının güvenliğini arttırmaya yönelik ise yapılabilecek çalışmaların mevcut olduğuna inanıyor, konu üzerinde daha fazla çalışmanın yapılması, kapalı yazılımlardan ziyade güvenliği herkes tarafından test edilebilen açık yazılımlar vasıtasıyla bu işlemin gerçekleştirilmesi ve çok yönlü kontrol mekanizmalarının kurulması gerektiğini düşünüyorum.

E-Cognocracy (Cognitive Democracy) Bilişsel Demokrasi

Son zamanlarda “e” li kavramların hayatımızın daha da içine sokulmasıyla bir çok yeni kavram ve paradigmalar ortaya atılmaya başlamıştır. Tezimle ilgili araştırmalarım esnasında ilginç bir kavram daha dikkatimi çekti: E-Cognocracy. Aynı zamanda “Cognitive Democracy” olarak da kullanılabildiği için Türkçe çevirisi olarak Bilişsel Demokrasi olarak ele almanın daha uygun olduğunu düşünüyorum. Bildiğimiz üzere ODTU Enformatik Enstitüsünde de bir akademik program olarak yer alan “Cognitive Science” başlığı altındaki çalışmalar Türkçe’ye “Bilişsel Bilim” olarak geçmiş ve insan beyninin analiz edilerek bilişim alanındaki bir takım problemlere çözümler üretilmesi fikrine odaklanılmaktadır. Bilişselliğin demokrasiye uyarlanması ilk defa Moreno-Jimenez ve Polasek tarafından 2003 yılında ortaya atılmış ve bu düşünüş E-Cognocracy kavramını ortaya çıkarmıştır. E-Cognocracy, canlılardan sadece öğrenebilen (bilgiyi ortaya çıkarıp yayabilen) ve çevre şartlarına ayak uydurabilenlerinin hayatta kalmayı başabileceğinden yola çıkarak, toplum yönetişimi bağlamında halkın karar verme süreciyle ilgili kompleks problemlerin bilimsel çözümlerinden çıkarılan üstbilgi’nin (knowlegde) sosyal yayınım ve çıkarımına odaklanmıştır. Amaç üstbilginin demokratikleşmesi ve böylece vatandaşların yaşam kalitesinin arttırılması, daha açık, şeffaf, sivilleştirilmiş, özgür ve aynı zamanda birbirine bağlı ve uyumlu, daha katılımcı ve eşit bir toplumun yaratılmasıdır. Bilişsel demokrasi temsili ve katılımcı demokrasilerin bir bileşimi olarak düşünülebilir. Bilindiği üzere ülkemizin de içinde bulunduğu demokrasi temsili demokrasidir. Yani seçimler vasıtasıyla halk kendini temsil edecek kişileri belirli bir süreliğine yönetime getirir ve bu kişiler bu süre zarfında halk adına kararlar alır ve uygularlar. Aslına bakılırsa bu yönetimsel anlayış halkın yönetime katılımını ana ilke olarak benimseyen demokrasinin doğasına pek uymamaktadır. Bilginin ön plana çıktığı günümüzde, insanlar teknolojik olanaklar sayesinde birbirleriyle artık daha kolay ve hızlı temas kurabilir hale gelmiştir. Bu da mekanları farklı olan insanların ortak karar alma süreci içerisinde bulunmalarına olanak sağlamıştır. Dolayısıyla günümüz gereksinimleri artık devletin karar alma süreci içerisinde, vatandaşların daha çok dahil edilmesi ana temasına vurgu yapmaktadır. Tam demokrasi ancak şeffaf ve halkın tam katılımda bulunduğu bir anlayışla mümkündür. İşte bu noktada Bilişsel Demokrasi’nin amacı tam demokratik bir ortamın yaratılması adına halkın karar alma mekanizması içerisine çekilmesi ve bu süreçte canlıların yaşayışları örneklenmek suretiyle, bilgi ve iletişim teknolojilerinden en etkin şekilde yararalanmaktır.

Trusted Platform Module (Güvenilir Platform Modulü)

Bugünki yazımın konusu “Trusted Computing Group” isimli grubun çalışmalarından biri olarak ortaya çıkan ve son zamanlarda çok sık konuşulan ve tartışılan konulardan birisi: TPM Trusted Platform Module (Güvenilir Platform modülü). Bu yazıyı okumadan önce, blogumuzdaki “Çok karıştırılan kavramlar: Security, Reliability, Safety, Trustability” isimli yazıya göz atmanızda büyük fayda görüyorum.

“Trusted Computing” grubu, çoklu platformlar, çevresel ve diğer aygıtlar arası donanım blokları ve yazılım arabirimleri oluşturmayı içeren donanım-etkin güvenilir hesaplama ve güvenlik teknolojileri gibi açık standartlar geliştirmeyi ve tanımlamayı amaçlayan kar gütmeyen bir yapılanmadır. TPM, bu grubun çalışmalarından biri olarak ortaya çıkmıştır. TPM ile ilgili daha detaylı bilgi edinmek isteyen arkadaşlar için benim yazımı oluştururken kullandığım Trusted Coputing Group Web sistesini ve şu linkte yer alan “Bilgi Güvenliğinde Yeni Bir Yaklaşım, Güvenilir Bilişim” başlıklı Türkçe makaleyi tavsiye etmek istiyorum.

Şimdi gelelim TPM’in ne olduğuna ve nasıl işlev gördüğüne:
TPM, günümüzde birçok bilgisayar üzerinde hazır gelen donanım tabanlı bir çeşit güvenlik ve kriptografi çipidir. Bu çip içerisinde dijital sertifika, kriptografik anahtarlar, parolalar ve benzeri birçok gizli bilgiyi barındırabilir. TPM aynı zamanda anahtar yönetimi, üzerinde çalıştığı PC’nin kimliğini doğrulama, elektronik belgeler ve e-postalar üzerinde güvenli elektronik imzalama, şifreleme, şifre çözme işlemlerini gerçekleştirme, tam-sürücü şifrelemeyi (full-drive encryption) yönetme, çok yönlü doğrulamada ikinci faktör olarak görev yapma ve üzerinde bulunduğu bilgisayarın güvenliğini ve bütünlüğünü değerlendirmeye yardımcı olma gibi bir çok alanda işlev görebilmektedir.

Teknoloji üreten firmaların birçoğu TPM’i, ürettikleri ürünlerde çok yenilikçi tarzlarda kullanabilmek için çaba göstermektedir. Örneğin HP, Lenova ve benzeri bir çok PC üreticisi ürünlerinde TPM destekli güvenlik yazılım araçlarını standart olarak sunmaya başlamıştır. Microsoft Vista Bitlocker aracı, TPM’i bilgisayarın güvenli açılışı için kullanmaktadır ve son örnek olarak Secude International AG, PC’ye erişimi güvenli kılmak ve sürücüleri şifrelemek için TPM’i kullanmaktadır.

TPM ‘in güvenilirliği sağlamada kullandığı iki metodoloji şunlardır:

Güven Kökeni(Root of Trust): Güven kökeni TPM tarafından oluşturulmakta olup, gerekli bütünlük değerlerinin hesaplanması, depolanması ve istenildiğinde güvenilir bir biçimde sunulması işlevlerini kapsar.

Geçişken Güven Prensibi(Transitive Trust): Bilgisayar açılırken ilk olarak TPM, BIOS kodunun bütünlüğünü kontrol eder ve sonucu PCR’lara (Bütünlük sonuçlarının depolandığı kaydediciler) yazar. Daha sonra ise kontrolü BIOS koduna geçirir. BIOS kodu ise kendinden sonra çalışacak olan boot loader’ı kontrol eder. Aynı süreç PC açılana kadar devam eder. Bu sayede PC’de çalışan tüm yazılım katmanları TPM tarafından kontrol edilmiş ve bütünlük değerleri PCRlara yazılmış olmaktadır. Bu sayede bütün katmanların güvenilirliği doğrulanabilmektedir.

İlk TPM uygulamaları PC’ler üzerine yoğunlaşsa da, sunucular üzerinde de TPM çalışmaları yapılmaktadır. Bu sayede güvenilir sunucu-taraflı hesaplama ve sunucu-istemci iletişimi hedeflenmektedir. IBM ve Dell gibi markalar sunucularında çoktan TPM destekli çiplere yer vermeye başlamıştır.

En çok kullanılan TPM uygulamaları ise şu şekildedir:
– Ağ Erişimi

Erişim Denetimi %75

Kablosuz (802.1x) %74

VPN (IPSec) %74

Aygıt Doğrulama %71

Aygıtı Delil Gösterme %48

– Veri Koruma

Güvenli E-posta %75

Tam-disk Şifreleme %67

Dosya/dizin Şifreleme %63

Anahtar Yönetimi %54

– Kullanıcı Doğrulama

PC’ye login olma %88

Kullanıcı Doğrulama %83

Güvenli Boot Sırası %79

Akıllı Kartlar %45

Parmakizi biyometrikleri %39

Çok Karıştırılan Kavramlar: Security, Reliability, Safety, Trustability

Bu yazıda bilişim literatüründe çok sık kullanılan ve Türkçe çevirileri çok yakın hatta bazen aynı olan ve çok karıştırılan bir kaç ingilizce kelimeyi benim yorumladığım tarzda ve dilim döndüğü kadar sizlere anlatmaya çalışacağım. Bu kelimeler Security, Reliability, Trustability ve Safety kelimeleri. Kelimeleri kavram olarak ayrı ayrı tanım yapmak biraz zor olduğu için, ev örneği üzerinden giderek konuya açıklık getirmeye çalışacağım. Bir ev düşünelim. Bu evin giriş, çıkışı bir güvenlik görevlisi tarafından kontrol ediliyorsa, evde hırsız alarm sistemleri ve benzeri sistemler var ise burada evin güvenli oluşundan kasıt “security” dir. Yani evin niteliğiyle ilgili bir durum söz konusu değildir. Ev derme çatma bir ev de olabilir, çok lüks bir daire de olabilir ama dışarıdan gelecek hırsızlık ve benzeri eve sızma girişimlerini engeleyecek önlemler alınması evi güvenli yani secure kılar. Reliability aslında evin sağlamlığı ile ilgili bir mevzudur. Örneğin ev uzun süreler kullanılabilirliğinden bir şey kaybetmiyorsa evin reliability’si iyi denilebilir. Buna en iyi örnek evin depreme karşı dayanıklılığıdır. Eve hırsız girer, girmez önemli değildir. Ama eğer ev depreme karşı dayanıklı bir ev ise o zaman reliable bir evdir denilebilir. Safety kavramı ise daha çok istem dışı, kaza sonucu veya doğal afetler sonucu oluşabilicek tehlikelere karşı kullanılan bir kelimedir. Örneğin bir evde yangın alarm sistemi, doğal gaz kaçağı uyarı sistemi ve benzeri önlemler alınmış ise bu ev safe bir evdir denilebilir. Trustability kavramı ise bir sistemin tasarlandığı amaçla ve çalışması gerektiği gibi çalıştığı durumları ifade eder. Örneğin internet üzerinden bir hesap makinesi programı indirdiniz ve amacınız bu programı hesap makinesi olarak kullanmak. Velakin programın içerisine yerleştirilen zararlı kodlar bu hesap makinesini siz kullanırken, arka planda bilgisayarınıza virüs bulaştırmakta. Dolayısıyla program aslında hedeflendiği şeklin dışında bir takım aktiviteler gerçekleştirmektedir. Bu da trustable olmadığı anlamına gelir. Ama eğer bir programın gerçekten yüzde yüz tasarlandığı şekilde çalıştığı ve başka ekstra bir işlev görmediğinden eminsek bu programın trustable bir program olduğu sonucuna varabiliriz.

Elektronik Haberleşme Operatörlerine 27001 Zorunluluğu

20 Temmuz 2008 Pazar günü Telekomunikasyon Kurumu tarafından önemli bir yönetmelik (http://rega.basbakanlik.gov.tr/eskiler/2008/07/20080720-1.htm) yayınlandı. Yönetmeliğin ismi “Elektronik Haberleşme Güvenliği Yönetmeliği”. Yönetmelik işletmecilere 27001 zorunluluğu getirmekte. Önemli maddelerden biri olan 11inci madde şu şekilde:

MADDE 11 – (1) İşletmeci, TS ISO/IEC 27001 veya ISO/IEC 27001 standardına uygunluğu sağlamakla yükümlüdür. Yetkilendirilen işletmeciler yetkilendirme tarihinden itibaren bir yıl içerisinde söz konusu standarda uygunluğu sağlar. Belirtilen süre içerisinde söz konusu standarda uygunluğu sağlayamayan işletmecilere Kurul tarafından gerekli görülmesi halinde ilave süre verilebilir.

TSE, ISO/IEC 27001 standardını Bilgi Teknolojisi – Güvenlik Teknikleri – Bilgi Güvenliği Yönetim Sistemleri – olarak türkçeleştirmişti. Fakat standart Türkiye’de henüz pek yaygınlaşmış değildi. Bu yönetmeliğin bu bağlamda epey katkı sağlayacağını düşünebiliriz. Belki ileride e-Dönüşüm Türkiye projesi çerçevesinde Kamu Kurumlarının da bu standardı belirli bir süre içerisinde uygulaması yönünde bir takım zorunluluklar getirilebilir. Bu sayede bilişim güvenliği anlamında önemli bir mesafe katetmiş oluruz sanırım.

DİJİTAL DELİL ARAŞTIRMA SÜREÇ MODELİ

Dijital delilleri belirli metod ve prosedürlere uyun olarak araştırabilmek için bir takım ortak süreçlere ihtiyaç duyulmaktadır. Aşağıda Casey’in oluşturduğu 12 basamaklı süreç modeli görülmektedir (Casey, 2004):

Dijital Delil Araştırma Süreç Modeli (Casey, 2004)

Bu süreç modelini 2005 yılında Polis Bilişim Sempozyumu’nda sunduğumuz makalede tek tek anlattık. Makalenin orijinal versiyonuna şu linkten ulaşabilirsiniz.

Süreç modelindeki en önemli basamaklardan biri “Tanımlama ve Toplama” aşamasıdır. Olay yerinden elde edilebilecek deliller kritik öneme sahip olduğu için bu sürecin çok hassas ve dikkatli ele alınması gerekmektedir. Makaledeki bu bölümü önemine binaen aşağıda kısaca değinelim:

Tanımlama ve Toplama

Olay yeri güvenli hale getirildikten sonra, söz konusu suç veya vaka ile ilgili potansiyel delillerin toplanması gerekmektedir. Sürecin doğru bir şekilde işlemesi için öncelikle uygun prosedürleri ve gerekli hukuki şartları anlamak büyük önem arz etmektedir. Deneyimli ve tecrübeli araştırıcılar için bu safhadaki amaç sanal veya fiziksel bütün delilleri toplamak değil, nelerin toplanıp nelerin toplanmayacağı konusunda mantıklı kararlar vermek, doküman oluşturmak ve ondan sonra eylemi gerçekleştirmektir.

Dökümantasyon bütün basamaklarda yapılması gereken bir iştir ancak delillerin toplanması esnasında ayrı bir öneme sahiptir. Toplanan her bir delille ilgili ayrıntılı rapor tutmak, bunların doğrulanabilirliğini kolaylaştırıp, koruma zincirini (chain of custody) başlatacaktır.

Geleneksel delil toplama, delillerin daha sonradan incelenmek üzere sahiplenilmesi anlamına gelmektedir. Fakat dijital delillerde durum biraz farklıdır. Delillerin doğrudan toplanması esnasında bazılarının kaybedilmesi, bozulması ile karşılaşılabilir. Özellikle uçucu veriler (Ör: Bellek, CPU Kaydedicileri, Çalışan süreçlerin durumu) dediğimiz elektrik kesildiğinde içeriği sıfırlanan ve tekrar kurtarılması mümkün olmayan delilleri barındıran bilgisayarlarda bazı ek işlemlerin gerçekleştirilmesi gerekmektedir.

İngiltere Polis Başkanları Birliği tarafından yayınlanan “Bilgisayar Tabanlı Elektronik Deliller için İyi Pratikler Rehber’inde 4 prensipten bahsedilmiştir (NHCTU,2003):

Prensip 1 : Kanun uygulayıcılar ve görevlileri tarafından, mahkemede kullanılma ihtimali olan bilgisayar veya farklı bir medya üzerinde bulunan verileri değiştirecek herhangi bir eylemde bulunulmayacaktır.

Prensip 2 : Bir kişinin hedef sistem üzerinde bulunan orijinal verilere erişmesi gerektiği istisnai durumlarda, ilgili kişinin mutlaka o konuda tecrübeli ve uzman olması ve aynı zamanda yaptığı bütün işlemleri ve gerekçelerini daha sonradan ispatlayacak bir durumda olması gerekir.

Prensip 3 : Bilgisayar tabanlı delillere uygulanmış olan bütün süreçlerin bir izleme kaydı oluşturulmalı ve koruma altına alınmalıdır. Üçüncü bir şahıs tarafından bu süreçler incelenebilmeli ve aynı sonuçlara varılmalıdır.

Prensip 4 : Olaydan sorumlu memur, yapılan işlemlerin hukuka ve prensiplere uygun olup olmadığını denetlemekten de sorumludur.

OLAY YERİNDEN ALINAN DİJİTAL DELİLLERiN HUKUKİ KABUL EDİLEBİLİRLİĞİNİ ARTTIRMAK

Dijital Delil

Bilişim suçları, son zamanlarda karşılaşılan önemli suç tipleri arasında yer almaktadır. Özellikle bilişim teknolojilerinin kullanımındaki artış, bilişim suçlarının etkisini arttırmakta ve büyük riskler oluşturmaktadır. Bir suçun aydınlatılmasında ve failinin tespitinde kullanılan en önemli mekanizma delillendirmedir. Bilişim suçları kapsamına giren bir olay araştırılırken, en önemli delil tiplerinden bir tanesi ise dijital delillerdir. Dijital Deliller, bir bilişim suçu ile ilgili, dijital biçimde kayıt edilen veya aktarılan bilgiler olarak tanımlanabilir. Dijital deliller, bir çok tipte karşımıza çıkmaktadır. Bunlar veri dosyaları, kurtarılmış silinmiş dosyalar, kayıp alanlardan kurtarılmış veriler, dijital fotoğraf ve videolar, sunucu kayıtları, e-posta, internet geçmişi, web sayfaları, abone kayıtları gibi doğrudan bilgisayar sistemleriyle alakalı deliller olabileceği gibi, günümüzde gömülü bilgisayar sistemlerine sahip bir mikro dalga fırından elde edilebilecek ve bir kundakçılık olayında fırının belirli bir zamanda yangın çıkarmak için programlandığını ortaya çıkarabilecek veriler de dijital deliller olarak karşımıza çıkmaktadır.

Dijital deliller, dijital verilerden oluşur. Bu veriler ise bilişim sistemleri üzerine kayıt edilmiş bir ve sıfır ikililerine verilen anlam sonucunda ortay çıkar. Dolayısıyla doğrudan elle tutulabilir ve gözle görülebilen bir yapının olmayışı, dijital verileri soyut hale getirmektedir. Soyut kavramlardan kesinlik çıkartmak ise çok zordur. Fakat deliller, işlevi itibariyle bir suçu ispat edici nitelikte kesin bulgular barındırmalıdır. Bu nedenle dijital verilerin yüzde yüz delil olarak kullanılması yönünde, büyük problemler meydana gelmektedir. Bu problemler şu ana başlıklar altında toplanabilir :

1.Yapısal Problemler

Dijital veriler çok kolay bir şekilde değiştirilebilmektedir.

Dijital verilerin bire bir aynısı oluşturulabilmektedir.

Dijital veriler hassas bir yapıdadır ve manyetik alan, sıcaklık, çarpma gibi çeşitli çevresel etkenler yüzünden kolay bir şekilde bozulabilmektedir.

Dijital veriler, nasıl kodlandıklarına bağlı olarak anlam kazanabilirler. Günümüzde virüs, truva atı gibi zararlı kodlar sayesinde verilere değişik anlamlar yüklemek mümkündür.

2.Yapısal Problemler Sonucu Oluşan Problemler:

Dijital Delillerin Bütünlüğü: Dijital veriler üzerinde çok kolay bir şekilde değiştirme, silme ve yenisini oluşturma gibi işlemlerin yapılabilmesi bu delillerin bütünlüğünü sağlamayı çok zorlaştırmaktadır.

Dijital Delillerin Doğrulanması: Bir kişiyi dijital delillerle birlikte yakaladıktan sonra, mahkeme sürecinde o verilerin gerçekten o kişiye ait olduğunun ispatı gerekmektedir. Fakat delil olarak ele geçirilen verilerin aynısı her hangi bir kişi tarafından da oluşturulabilir.

Dijital Delillerin İnkar Edilememesi: Dijital delillendirme işlemindeki dijital delilin sahibi, onu ele geçiren şahıslar (Ör: Polis), delilin alındığı medya, delilin ele geçirildiği zaman, delilin içeriği gibi bütün unsurların daha sonradan inkar edilememesi gerekmektedir.

Dijital Delillerin Doğruluğu: Dijital delillerin ele geçirilmesi esnasında kullanılan teknikler ve yararlanılan bilgilerin (Örneğin delilin ele geçirilme zamanı) doğruluğunun ispatı gerekir.

Dijital Delillerin Daha Sonradan Ele Alınabilirliği: Dijital deliller oluşturulduktan sonra, bu delilleri üçüncü bir şahıs inceleyebilmelidir.

Dijital deliller, yukarıda bahsedildiği gibi yapı itibariyle bozulmaya ve kolay bir şekilde değiştirilmeye müsait oldukları için, hukuki yönden kabul edilebilirlikleri konusunda sıkıntılar ile karşılaşılmaktadır. Bu delillerin mahkeme esnasında gerçek delil özelliği gösterebilmeleri için, delillerin ilk alındığı andan itibaren değişmediğinin, hangi tarihte, nereden ve kimlerden alındığının doğrulanması büyük önem arz etmektedir.

Literatür incelendiğinde, konunun bazı boyutları üzerine geçmişte yapılmış çalışmalar olmasına rağmen, sorunu çözmeye yönelik entegre bir çözüme rastlanılamamaktadır. Biz bu konu ile ilgili 2005 yılında bir çalışma yapmış ve bu çalışmamız sonucunda A3D3M (Açık Anahtar Altyapısı Destekli Dijital Delilleri Doğrulama Modeli) isimli bir model öne sürmüştük. Bu modeli ilk olarak 2005 yılında İstanbul’da düzenlenen Ağ ve Bilgi Güvenliği Ulusal Sempozyumunda yayınladık. Daha sonra bu makelenin ingilizce versiyonunu ufak değişiklikler ışığında “Towards Trustable Digital Evidence with PKIDEV: PKI based Digital Evidence Verification Model” ismi ile İngiltere’deki 2nd European Conference on Computer Network Defence (EC2ND) konferansında yayınlamış bulunmaktayız. İlgisini çekenler için Türkçe olan versiyonuna bu linki tıklayarak, ingilizce olan versiyonuna da bu linki tıklayarak ulaşabilirsiniz.

Karikatür ile Güvenlik Farkındalığı

Bu pazar “The Silver Bullet Security Podcast” de Markus Jakobsson ile kimlik avı (phishing) ağırlıklı yapılan röportajı dinlerken, eşiyle birlikte http://www.securitycartoon.com/ adresinde yer alan bir karikatür sitesi oluşturduklarını duydum ve siteyi ziyaret eder etmez sık kullanılanlarım arasına ekledim. Kendisinin de röportajda belirttiği gibi Bilişim Güvenliği farkındalığı yaratma anlamında karikatürlerin çok büyük etkisi bulunmaktadır. Bu konu üzerine bir de teknik rapor formatında yazıları bulunmaktadır. İlginizi çekerse bu link’ten inceleyebilirsiniz. İnsanlara mesaj iletiminde görsel nesnelerin etkisinin çok büyük olduğu bilimsel bir gerçek. Bir de bunun üzerine duyguları harekete geçirecek öğretme tekniklerini uyguladığınızda bu etkinin daha da büyüyeceği aşikar. İşte Markus Jakobsson bu fikirden yola çıkarak bir karikatür sitesi oluşturmuş. Gerçekten site çok güzel. Sitede aynı zamanda bulmaca tipinde karikatürler de mevcut. Örneğin size bir tane banka sitesi verip, bu sitenin güvenli olup olmadığını soruyor. Siz de siteyi inceleyip phishing yönünden veya başka yönlerden ekranda bir gariplik olup olmadığını bulmaya çalışıyorsunuz. Şuana kadar Türkçe olarak böyle bir çalışma yapılıp yapılmadığını bilmiyorum ama yapılmasının bilişim güvenliği farkındalığı anlamında çok büyük katkı sağlayacağı kanaatini taşıyorum.

Hemen bu fikrin nasıl uygulanabileceği ile ilgili gerçek hayattan bir örnek verelim. Çocuklarımızı internet ortamında bakleyen risklerin başında tanımadığı kişilerle chat yapmaları gelmektedir. Özellikle çocuk pornografisi ile uğraşan kişiler çocukları chat odalarından kandırmaya çalışmaktadırlar. Örneğin Türkiye’de yaşanmış gerçek bir olaya değinelim: Çocuk pornografisi çetesi mensubu bir takım kişiler küçük yaştaki erkek çocuklarını kandırmak için kendilerini karşı tarafa genç bir kız görünümünde sunarak arkadaşlık kurmaya çalışırlar. Konuşmalar esnasında MSN’de gerçekten kız olduklarını karşı tarafa inandırmak için daha önceden ellerinde bulunan bir kız videosunu MSN’de sanki web kamerası açmış gibi karşı tarafa verebilmektedirler. Bu videoda kız çocuğu sanki bilgisayarın başında yazışıyormuş gibi yapmakta ve üzerindeki kıyafetleri teker teker çıkarmaktadır. Bu görüntüler çocuk pornocularının ellerinde dolaşan birbirleriyle erkek çocuklarını kandırmak için paylaştıkları görüntülerdir. Bu kötü niyetli kişiler erkek çocuklarına “eğer sen web kameranı açıp bizim istediğimiz şeyleri yaparsan, ben de üzerimdeki kıyafetleri çıkaracağım” şeklinde telkinde bulunarak çocukları web kamerası karşısında soyunmaya ikna etmekte ve bu esnada da görüntülerini kaydetmektedirler. Kaydedilen görüntüler daha sonradan çocukla temasa geçilip izlettirilir ve “eğer bizim istediğimiz yere gelmezsen bu görüntüleri öğretmenine, okul arkadaşlarına, ailene yollayacağız” şeklinde şantaj yapılarak çocuğun istenilen adrese gelmesi sağlanır. Daha sonra çocuklar kaçırılarak tecavüz edilir ve resimleri çekilir. Bilişim Suçları ile uğraşan Emniyet yetkililerinden alınan bilgilere göre bu tip hadiseler gerek Türkiye’de gerekse Dünya’da çok sık karşılaşılagelmektedir. Aileler çocuklarının internette bu tip tehlikelerle karşılabileceğinden, çocuklar ise internetteki her görüntünün gerçek olmadığından habersizdir. İşte bu noktada gerek ailelerde gerekse çocuklarımızda farkındalık yaratmak için özellikle basılı ve görsel medyalarda bu hususları işlemek çok büyük önem arz etmektedir. Trajı yüksek gazetelerin bulmaca sayfalarında veya hafta sonu eklerinde bu konuları işleyen karikatürlerin, bulmacaların olduğunu düşünün. Bu tip bir uygulamanın bilişim güvenliği farkındalığı yaratmaktaki etkisinin çok büyük olacağını düşünüyorum.

Bu konu ile ilgili söyleceklerimi bitirmeden Markus’tan esinlenerek sizin için hazırladığım bir bulmacayı görüşlerinize sunmak istiyorum. Bu benim başıma gelen gerçek bir phishing vakaasıdır. İşte bulmaca:

phishing-sorusu