'e-devlet'te güvenlik açığı mı var?

11 Temmuz 2016 Pazartesi  |  GÜNLÜK

Öyle bir çağda yaşıyoruz ki, kişiye özel olması gereken pek çok bilgi neredeyse herkesin ulaşabileceği şekilde ortalarda dolaşıyor.
Hiçbir bağlantımız olmayan, bir kere bile uğramadığımız ya da bir ürününü satın almadığımız şirketlerden, kuruluşlardan hemen her gün arama, kısa mesaj ya da elektronik posta geliyor. Ama bir kaç ay önce patlak veren bir skandalı hatırlayınca, verdiğimiz örneklerin fazlasıyla masum kaldığını görüyoruz. 

Neydi o skandal?

Nisan ayında yaklaşık 50 milyon vatandaşın kimlik bilgilerinin çalındığının ortaya çıkması...

Şimdi ise, Medya Günlüğü'nün bir okurunun gönderdiği mektup Türkiye'nin en güvenlik sitelerinden biri olması gereken "e-devlet"te güvenlik açığı bulunduğu iddiasını ortaya atıyor. Mektup uzun ve sadece konunun uzmanlarının anlayabileceği pek çok teknik ayrıntıyla dolu olsa da özü hepimizi ilgilendirmesi gereken basit ama çarpıcı bir iddia içeriyor: e-devlet'ten dışarı bilgi aktarılıyor.

Baştan söylemek gerekirse, e-devlet'te yer alan vatandaşlara ait bilgilerin hiçbirinin ama hiçbirinin kesinlikle paylaşılmaması, aktarılmaması gerekiyor, zaten site de bu konuda kullanıcılara güvence veriyor. Söz konusu sitede Sosyal Güvenlik Kurumu'ndan tapu kayıtlarına, doktor randevularından  cep telefonlarının IMEI kaydına, trafik cezalarından hakkında açılan davalara vatandaşlarla ilgili son derece ayrıntılı ve özel pek çok bilgi yer alıyor.

İddiayı ortaya atan okur, bilgilerin aktarılması işleminin Google'un Analytics programı aracılığıyla yapıldığını ileri sürüyor. Google Analytics, ziyaretçilerin bir internet sitesine nasıl ulaştığı, nereden bağlandığı, site içinde hangi süreyle kaldığı ve hangi bölümlerle ilgilendiği başta pek çok bilgi toplayan yasal ve ücretsiz bir program. Burada teknik ayrıntıya girmiyoruz ama eğer www.türkiye.gov.tr adresine Chrome tarayıcısıyla giriş yaparsanız  https://www.google-analytics.com/analytics.js dosyasının yüklendiğini görebilirsiniz.

İddiayı ortaya atan kişi, "Burada önemli olan kesinlikle Google değil. Google'un iyi ya da kötü niyetli olması da bizi ilgilendirmiyor. Önemli olan sistemden Türkiye Cumhuriyeti vatandaşlarının bilgisinin bu program aracılığıyla taşınması.  Yani, birileri e-devlet sisteminden-bilerek ya da bilmeyerek- dışarı bilgi aktarıyor, hem de dünyanın veri toplayan en büyük firmasına. Ama bunun kasıtlı mı yoksa iş bilmezlikten mi kaynaklandığını söylemek zor"diyor.

Evet...

İddianın özü böyle.

Büyük ölçüde teknik bir konu olduğu için biz de bu iddiayı uzman sayılabilecek üç kişiye sorduk, ikisi iddiaya destek verdi, biri ise karşı çıktı.

Birinci kişinin değerlendirmesi şöyle:

"Buradaki konu Google Analytics değil, 3. taraf bir yazılımın herhangi bir site üzerinde çalıştırılmasından doğan güvenlik açığı. Bu denli önemli bilgilerin bulunduğu bir platformun 3. taraf dediğimiz Google veya farklı siteler üzerinden işlem görmesi ulusal güvenlik için tehdit oluşturmaktadır. Bu kadar önemli bir yerde bu tarz yazılımları kullanan veya tavsiye eden personelin zeka seviyesinden şüphe etmek gerekir. Sonuç olarak Google Analytics verisi reklam potansiyeline sahip ve satışa dönük sitelerde, sitenin pazarlanması kolaylaştırmak için oluşturulmuş bir yapıdır. Fakat bu yapıda istenildiğinde zaman site datalarına çok rahat bir şekilde erişim sağlanmaktadır. "

İkinci kişi de şu yorumda bulundu:

"Google Analytics kodu, yerleştirildiği sitenin ziyaretçilerinin yaptığı haraketleri istediği anda izleyebilecek hale getirilebilir. 'Terms and conditions' veya 'user agreement' ile site sahibine bunu yapmayacağını belirtmesine rağmen, istediği anda dosyanın davranışını değiştirip site ziyaretçisine ne gösteriliyorsa bu verinin tamamına erişim sağlaması mümkün. Bilgisayar mühendisliği 1. sınıf öğrencisi, hatta '.js (java script) koduyla nasıl site içeriğini çekebilirim' diye arama motorlarında arama yapan kişi bile kolayca bu veriyi çekebilir."

İddiaya destek vermeyen kişi ise, "Böyle bir tezi ortaya atan kişiden iddiasını teknik olarak kanıtı beklenir, ki bence bu yok. Evet, klavye-fare hareketleri, içerikler kayıt altına almak diye bir şey var ama bu hacker'ların başka zararlı yazılımlarla yaptıkları türden şeyler. GA'nın ".js" dosyası bu tip şeyleri yapamaz"dedi.

Uzmanlık gerektiren bir alan olduğu için e-devlet'te güvenlik açığı bulunduğunu iddia edebilecek durumda değiliz.

Ancak, en azından içimizin rahat edebilmesi için bu ciddi ve vahim iddianın araştırılması, güvenlik açığı varsa kapatılması, yoksa da bunun kamuoyuna duyurulması gerekiyor.