E-DEVLET: Ne Kadar Güvenli?

0
RoR
Yeni yasayla T.C kimlik bilgileriyle kişisel bilgiler (adres, telefon, sağlık, emniyet,...) eşlenerek tek bir çatı altında toplanıyor. Acaba bu durum ne kadar güvenli/gerekli?
Bilgilerin güvenlik amaçlı tek çatıda kullanılması gerçekten güvenli, ancak bu ulusal güvenlik söz konusu olduğunda o kadar da güvenli olmadığını tahmin etmek hiç de zor değil.

Bilgiler tek çatıda toplandığında bir muhtarın bile veri tabanı sorgulaması yapması (ki bunun kısıtlandığı söyleniyor) endişe verici. Çünkü sosyal/psikolojik mühendislik taktikleri bilen ve üzerine az da teknik bilgi katmış kişiler sistemi sorgulamasının ya da sosyal açıklar bulmasının hiç de zor olmayacağını söyleyebiliriz.

İşin bir de güvenlik/gereklilik/maliyet analizi var ki, benim örneğim, bilgi altın olduğuna göre, bu altınları tek bir depoda toplayıp güvenliğini sağlamak mı kolay ve maliyetsiz yoksa bilgi sizde kalsın, gerekli birimler zaten elde edebiliyor (ki ediyor) demek mi?

Kişisel bilgilere varolan ve varolacak hükümetler ve şahısların bile epik araştırmalar yapıp yönlendirmeyeceğini, toplumu güvenlik altında tutmak ile, kontrol altında tutmak arasındaki belirsizliği nasıl tanımlayacağı meçhul.

İşeri daha hızlı ve güvenli yapıyoruz demek çok kolay, güvenlik sebebiyle daha fazla bilgi veremeyiz, deyip güvensiz bir sistem inşaa etmek ise çok daha kolay...

Ayrıca NSA tarzı kurumlar için de güzel bir online veri tabanı oluşturmuş olacağız, onlarda kendi epik araştırmalarını, devlette yetkiye sahip bir malum işletim sistemi üzerinden Meksika çıkışlı bir ip ile rahatlıkla yapacaklar.

Benim kaygım bu tarz projeleri yürütebilecek kadar e-GÜVENLİK bilgisine sahip miyiz. Bilmediğimiz ya da tanımlayamadığımız alanlarda başkalarının rahatlıkla elde edebilceceği platformlar oluştururken tekrar düşünmek gerekmektedir.

Umarım bu maliyeti karşılayabilecek bilgiye sahibizdir, ya da bu maliyeti karşılayabilecek kişileri gelecekte bulabiliriz.

Görüşler

0
sarman
Belki ben "güvenlik" kavramına başka bir kapıdan bakıyor gibi olacağım, ama asıl sorun Mernis projesinin "Yedeği"nin olmaması.
0
yilmaz
20 senedir mernis le uraşıyorlar birde yedeğini yapmaya kalksalar 250 sene sürer.

özellikle "güvenlik" konusunda profösyönel kişilerle güvenlik uzmanlarıyla çalışıyorlardır. inşallah.
0
bm
MERNIS soylenenden fazla bilgi saklamiyorsa, yedeginde ne problem var anlamiyorum. Rahmetli olmuslar dahil 100 milyon kayit olsa, kayit basi (fazla fazla) 1k byte'dan 100Gig etmiyor mu? Sadece dogum olum ve nakil durumlarinda yazilan, diger zamanlarda sadece okunan bir veritabani degil mi bu? Bugunku donanim ile atla deve bir is degil bu. Anlamadigim birsey var herhalde benim? Bilen var mi?
0
darkhunter
1k olarak hesapladığınız bilgiler içerisinide neler var? Yedek almaka problem yaşıkyorlarsa, şüphelenmekte fayda var çünkü anlatıldığı kadar basit bir kayıt olmadığı anlamına fevkalede uygun bir sorundur bu.

20 yıllık mazisi olan bir projeden söz ediyoruz, bu kadar uzun soluklu olmasını, sadece beceriksizliğe yormak bana biraz iyi niyetli bir tabir gibi geliyor...

TC iş güvenlik ve savaş gibi konularda oldukça başarılıdır. Başka alanlarda değildir :) Konu Big brother a uzanacaksa bunu ABD den sonra en iyi TC yapar...
0
darkhunter
Özür dilerim, yazarken çok hata yapmışım :

yaşıkyorlarsa: yaşıyorlarsa

TC iş güvenlik ve savaş gibi konularda oldukça başarılıdır : TC güvenlik, savaş gibi konularda oldukça başarılıdır.
0
bm
1k olarak hesapladığınız bilgiler içerisinide neler var?>/i>

Hersey text olarak girilmis (yani ana-baba adlari, yer isimleri numara degil) halde nufus kaydi diye dusundum. Belki biraz fazla oldu, 500b'in alti da olabilir. Bizim gordugumuz kismi o degil mi?

Yedek almaka problem yaşıkyorlarsa, şüphelenmekte fayda var çünkü anlatıldığı kadar basit bir kayıt olmadığı anlamına fevkalede uygun bir sorundur bu.

Evet tabii ama devletle alakali insanlar ve devlete mal satma pesindekilerden duydugumuz ve aklimizin ermedigi laflarin cogunun arkasinda pek de kastettiginiz anlamda tedirgin edici olmayan basit sebepler de olabiliyor. (Rant, cehalet vs.)
0
darkhunter
Mernis veri tabanına girecek resmi bir ölüm belgesinde yaklaşık 7-8 adet konu başlığı ve bu konu başlıklarında, yaklaşık 40 adet alt başlık bulunuyor. Ayrıntıları iyi hatırlamıyorum, ama başlık ve resmiyet itibariyle, sadece Ölüm tarihi : "../../.." şeklinde eklenebilecek bir verinin bu kadar ayrıntılanmış olması durumu söz konusu.

Kişinin doğum bilgilerini düşünelim, eğitim aldığı kurumlarla ilgili ayrıntılar, yaptığı işler, suçlar, adresler, v.s. bunları çoooook uzatmak mümkün galiba... Zaten bunları "uzatmak" kişisel özgürlüklere tecavüz çizgisinin diğer adı... Ha, bu kaç byte olur, onu bilemem... Siz biliyor musunuz diye merak edip sordum.

Diğer taraftan zaman zaman devletle iş yaptım, iş yapanları tanıdım. Devleti kazıklamak 90 lı yıllarda olduğu kadar kolay değil, son birkaç yıldır... Hayati projeler sandığımız kadar kolay/cahilce ihale edilmiyor artık...

Rant çoook uzun bir mevzu burada konuşmak çok da makul olmaz ama, böyle işlerden rant sağlanırken bile projeye belli bir yaşam standartı biçiliyor...
0
bm
Kişinin doğum bilgilerini düşünelim, eğitim aldığı kurumlarla ilgili ayrıntılar, yaptığı işler, suçlar, adresler, v.s. bunları çoooook uzatmak mümkün galiba... Zaten bunları "uzatmak" kişisel özgürlüklere tecavüz çizgisinin diğer adı... Ha, bu kaç byte olur, onu bilemem... Siz biliyor musunuz diye merak edip sordum.

Yok bilmiyorum. Ben sadece webden gordugum kadarini kaba bir hesaba baglamaya calismistim. (Anlamadigim ne diye onun icin sordum). Neleri topladiklarini yaziyorlar mi bir yerde? Bir ara anlatan bir siteye gitmistim (her sayfada 'sayin icisleri bakanimiz' diye bakanin resmi vardi galiba, ama tam nereydi bilmiyorum) orada yazmiyordu. Usendim simdi, biliyorsaniz derli toplu birsey cok makbule gecer.

Bir daha alintilayayim:

Zaten bunları "uzatmak" kişisel özgürlüklere tecavüz çizgisinin diğer adı

Aslinda ben de tedirginim ama obur taraftan bakmaya calisayim: sadece bilgi toplamak ile ozgurluge tecavuz olup olmayacagini duzgun anlatan birsey bilmiyorum ben (ama konum degil). Hesap sorulamayan ve istedigi gibi hareket edebilen bir devlet olmasi da gerekiyor galiba zararin bariz olmasi icin.

Burada bence korkunun kaynagi merkezi otoritenin bu derece bilgi sahibi oldugu (ve bizim durumumuzda bizi vermekle yukumlu tuttugu) bir duzende vatandasa karsi elinin cok kuvvetli hale gelmesi. Burada evvelce 12 Mart doneminden kalmis gibi duran 'otellerin polise her aksam bilgi vermesi' kanununun nasil bilgisayara gecirildigini de konustuk. Ayni sekilde bana her zaman isgal altindaki bir ulkedeki bir kanunmus gibi gelen muhtara kaydolma isini bilgisayara gecirdik (o da burada konusuldu). Yani modern devletlerin 'keske soyle birsey olsa' deyip ya tutarsa diye cikarttigi kanunlarin bazilari artik uygulanabilir, takip edilebilir durumda. Bu duz anlaminda suistimali bir kenara birakalim sonuclarini bildigimiz birsey degil.

Biraz kiskirtici bir ornek vereyim, belki ortalik senlenir. Hollywood'un yarattiklari icerigi kontrol etmek icin dayatmaya calistigi 'kimin ne seyrettigini bilelim' manasina da gelen mekanizmalari begenmememizin bedavacilik disindaki sebebi o kuruluslarin hayatimizi bu derece yakindan takip etmelerini istemememiz. Onlar sadece urettiklerini kendi istedikleri sekilde (defaatle) satip para kazanmak istiyorlar, oysa devlet dini inancimizdan, konustugumuz dile, yedigimiz ictigimizden komsumuza bedava yaptigimiz hizmete[1] kadar herseye karismak ve duzenlemek isteyen bir kurum. Ilkine ofke duyuyorsak ikincisinden de biraz tedirgin olmamiz lazim belki.

[1] Orada KDV kacagi var onun icin. En azindan bu oyleydi yakin zamana kadar. Bilen varsa duzeltsin.
0
darkhunter
Resmi bir bağlantı göstermek (içerikle ilgili) mümkün değil şu an. Kapsama dair bilgileri (en azından kanunla gelen hakları) ve bunların hukuki boyutunu tartışan, sevdiğim bir yazı var :

http://www.hukukcu.com/bilimsel/kitaplar/mernis.htm

Mernis'in içeriğini tam olarak açıklama çabaları spekülasyondan öteye gitmiyor. Ancak sağda solda, başımıza gelen olaylarda gördüğümüz Mernis kırıntılarından bahsedebiliyoruz. Zaten tedirginliğin asıl nedeni de bu bence...

Özetle,
Nüfus Kanunu’na göre, nüfus kütüklerinde kişinin mensubu olduğu ailesine ait bütün fertlerinin cinsiyeti, adı, soyadı, baba ve anası adiyle soyadları, sağ olup olmadıkları, il ve ilçe itibariyle doğum yeri ve tarihleri, vücutlarındaki belirli değişiklikleri, dini, okur-yazar olup olmadıkları, medeni halleri ve doğum, evlenme, boşanma, ölüm, gaiplik, nesep tashihi, tanıma, evlat edinme ve evlatlık sözleşmesinin kaldırılması gibi diğer şahsi hal değişiklikleri bilgileri bulunmaktadır. Bu bilgilere diğer kurumların elindeki bilgiler de eklendiğinde, vergi ödemeleri, banka hesapları, ikamet bilgileri, tapu kayıtları, banka hesap kayıtları, eğitim bilgileri ve dereceleri, adliye soruşturma ve mahkeme kayıtları, disiplin dosyaları, sağlık durumu, askerlik durumu, emniyet geliş kayıtları gibi akla gelebilecek her tür konuda bilgilerin Türkiye Cumhuriyeti vatandaşı olan her birey hakkında bir merkezde toplandığını düşünürsek bu kayıtların ne tür tehditler ve tehlikeler altında bulunduğunu düşünmek pek zor olmayacaktır.

Ilkine ofke duyuyorsak ikincisinden de biraz tedirgin olmamiz lazim belki.

:-) Aman, bu yaştan sonra devlet düşmanlığından içeriye girmeyelim... Üstelik BAĞ-KUR primlerimi hiç aksatmadan yatırıyordum ben :-)


0
darkhunter
Mernis'in temelini nüfus kanunu oluşturuyor anladığım kadarıyla. Bu yüzden konunun kapsamını anlamak için, bu kanunu irdelemek gerek galiba :

http://www.nvi.gov.tr/attached/nvi/nufus_mevzuati_pdf/kanun_pdf/nufus_kanunu.pdf
0
yilmaz
ya yazılan programın bir şişme noktası vardır üzerine patch yaparsın modul eklersiniz artık şişer yeteneklerini kaybeder. belki o duruma yaklaşmaya başladılarsa probelm olabilir. backup olayı hele buyuk datalarda oldukça uzun süren bir işlem o kısımda bir çok da ciddi bir problem yaşanacağını sanmıyorum. ama birden fazla program birbiriyle etkileşim halinde ise backup larında senkronize olması lazım işte orda problem hakikaten ciddi olabilir.
0
FZ
ya yazılan programın bir şişme noktası vardır üzerine patch yaparsın modul eklersiniz artık şişer yeteneklerini kaybeder.


Pekiyi ya Linux? :)


backup olayı hele buyuk datalarda oldukça uzun süren bir işlem o kısımda bir çok da ciddi bir problem yaşanacağını sanmıyorum. ama birden fazla program birbiriyle etkileşim halinde ise backup larında senkronize olması lazım işte orda problem hakikaten ciddi olabilir.


Yedek almanın kendisi çok uzun süren bir şey değil, bildiğim kadarı ile asıl uzun ve meşakkatli iş o yedeklerden tutarlı şekilde geri dönmek.
0
bm
Buyuk ihtimalle yedeklemeden kastedilen cografi olarak farkli yerlerdeki birden fazla sistemin herhangi birinin basina birsey gelince kullanicilara sezdirmeden calismasi. Yoksa verinin yedegi degil. Herhalde. Niye obur turlu dusunuyorsunuz? Yok artik, o kadar da degil. Yedekleniyordur tabii? Degil mi?
0
conan
italik kapatilmamis. bolu i tagi ekleyerek sizi kurtarayim dedim </i>
0
conan
ouch!
0
conan
italik kapatilmamis. bolu i tagi ekleyerek sizi kurtarayim dedim </i>
0
zekeriya_akyildiz
yaklaşık 20 yıl süren ve TC. ye 50milyon dolara mal olan bu projenin yedeğinin alınamaması ilginç. Bir ilginç yanıda; eskiden istedikleri bürokratik belgeleri azaltacağına bir yenisini ekledi. O bürokratik belgeler arasına "TC kimlik nosunu gösterir belge" eklendi. Halbuki TC kimlik no'muzu versek sadece yetmezmiydi? Zaten diğer tüm bilgilerimiz bu sistemde kayıtlı değilmi?

işte size tam Brute Attack'lık bir adres.

http://tckimlik.nvi.gov.tr/Web/WebServices.aspx
0
robertosmix
Mernis projesi zaten çökmüş bir projedir. Meteksan rezaleti. Bu durumdaki bir firma halen TOBB'dan ihale alabiliyor. Bürokrasi pisliği içinde yüzülüyor anlayacağınız. İhalelere başarısız ve yeteneksiz firmalar katılamaz diye bir kural yok zaten. Saçma sapan standartlar falan isteniyor da bazı ihalelerde, ama zaten onlar da parayla satın alınabilir şeyler.

Herneyse. Zaten e-devlet fikri bürokratlardan çıkmış birşey de değil. Malını satmak isteyen firmaların uydurması. E-Devlet diye birşey olamaz, çünkü halen Osmanlı hesabı muhasebe defterleri tutan, evrak defterleri tutan kamu kurumları filan var. Kaldı ki yazılım firmaları bile (hatta Havelsan bile) halen evrak defteri filan tutuyor. Deftere, tükenmez kalemle (yer yer dolma kalem teknolojisi de kullandığı görülüyor).

Zamanında İranlı bir yazılım firması CIA'ya sağlam içerik yönetim yazılım geliştirdi. Bir süreye kadar dolaylı yollarla bu yazılımı Kübaya falan sattı. Tabii şüphesiz yazılımda arka kapı vardı.

CIA şunu yapıyordu, örneğin elektrik ve su kayıtlarına bakıyordu. Eğer bir evde herhangi bir ay içerisinde elektrik ve su kullanımı dikkate değer bir artış sağlıyorsa, biliniyordu ki, o eve birisi/birileri gelmişti. Yada sahte kişiler oluşturup, bunlara kimlik verip, salıyordu halkın arasına.

CIA'nın bir döneme kadar (SuSe gelene kadar) Almanyada da M$ yaptırdıkları böyle şeylerdi aslında.

0
FZ
Zamanında İranlı bir yazılım firması CIA'ya sağlam içerik yönetim yazılım geliştirdi. Bir süreye kadar dolaylı yollarla bu yazılımı Kübaya falan sattı. Tabii şüphesiz yazılımda arka kapı vardı.

CIA şunu yapıyordu, örneğin elektrik ve su kayıtlarına bakıyordu. Eğer bir evde herhangi bir ay içerisinde elektrik ve su kullanımı dikkate değer bir artış sağlıyorsa, biliniyordu ki, o eve birisi/birileri gelmişti. Yada sahte kişiler oluşturup, bunlara kimlik verip, salıyordu halkın arasına.


İranlılar ne geliştirdi bilemem ama uzunca süre okuduğum bir kitapta, sizin dediğinize çok benzeyen bir yazılımdan bahsediyordu. İranlılar değil bir ABD'li geliştirmişti.

Ardından CIA ve NSA bağlantılı mevzular olmuştu söz konusu yazılımla ilgili. Benim göndermede bulunduğum program da altyapı kurumlarından (su, elektrik, gaz, vs.) bilgi çekiyor ve elde edilen verideki örüntüleri (patterns) inceliyor, raporluyordu vs.

Bu program bağlamında daha sonra ABD'nin İsrail ile iletişim kurduğu, İsrail'in bu epey gelişmiş yazılımı Ürdün'e, donanım altyapısı ile birlikte verdiği ve "bakın size süper sistem kuracağız ülke güvenliği vs. çok acayip sistem" dediği ve programdaki arka kapı sayesinde epey bir süre gizlice Ürdün'den sağlam istihbarat edindiği belirtiliyordu. Okuduğum kitapta işin ucu Kıbrıs'a dek uzanıyordu. Ayrıca bu mevzular olurken konuyla ilgili bir firma, o firma ile bağlantılı Hillary Clinton'ın ismi de geçiyordu.

Söz konusu programı geliştiren yazılımcı daha sonra bazı ABD kurumları ile (Adalet Bakanlığı? NSA?) davalık olmuştu galiba ama adamın başına ya da davalara bakan yargıçların başına pek iyi şeyler gelmemişti.

Maalesef şu anda kitabın adını ve yazarını hatırlamıyorum, yıllar önce Türkçe çevirisini okuduğum bir kitaptı. Hafızamı biraz daha zorlayıp ve kütüphaneleri kontrol edip somut kaynak göstermeye çalışacağım.
0
robertosmix
Evet, hatırlıyorum o kitabı. Bende okumuştum, ama adını unuttum. Hatta o kitapta bunu araştıran bir gazetecinin öldürülmesiyle ilgili detaylardan, bu infazı bir CIA ajanının yapmış olabileceğinden bahsediyordu.

Ancak kitabın yazarı IT konularında belkide çok yeterli bilgilere sahip olmadığından çok değişik bir hava yaratmaya çalışmış, "Cyber Punklar", "Dijital Korsanlar" gibi Holywood vari ifadeleri kullanmıştı.

Ama orada bahsedilen yazılım biraz içerik yönetiminden daha gelişmiş birşeydi. Daha kompleks. Hatta o yazılımı ABD İçişleri (yada dışişleri olabilir) Bakanlığının da önce kendisi için yazdırdığını daha sonra bu yazılıma CIA'nın el attığını ifade ediyordu.Ayrıca yazılımcı kardeşimiz de ilgili kurumdan parasını alamamıştı. ( :) Sanırım hakedişleriyle rezil olanlar sadece Türkler değil. :) )

Size bahsettiğim aslında bir duyum. Tabii bir şehir efsanesi de olabilir. Ama yazılımı yazan adamların paralarını aldıklarını ve ciddi birkaç işe girdiklerini de duydum.

İşleyen bir yöntemin Ortadoğuda CIA tarafından ciddi bir alışkanlık haline gelmesi de garipsenmeyecek bir gelişme olsa gerek.

Aslında bu fikrin ataları topraklarımızda doğup, büyümüş ve ölmüş insanlar olsalarda (Bkz: Troya) bu fikre kurban gitme olasılığımız, dünyadaki birçok devletten daha yüksek. Bunu da üzülerek belirtmeliyim. Bizdeki bu yabancı hayranlığı olduğu sürece, Hollandadan veya İsviçreden yazılım almanın "karizma" olduğu düşünüldüğü sürece, bu böyle devam eder.
Görüş belirtmek için giriş yapın...

İlgili Yazılar

LKD listeleri yeniden düzenleniyor

rootshell

Linux.org.tr´da Mustafa Akgül hocamızın imzasıyla yayınlanan açıklamaya göre LKD listeleri çıkan bir problem yüzünden yeniden oluşturulmuştur, eski üyeler ve yenileri lütfen müdüriyete ;)

Rootshell´e not: Lütfen bir dahaki sefere metni aldığın yerin urlini yazarsan, haberine müdahale etmek zorunda kalmayız.

Debian Sunucularına Saldırı!

tongucyumruk

James Troup'un debian-devel-announce listesinde yaptığı duyuruya göre Debian projesinin ana geliştirme sunucularından olan gluck.debian.org makinesinin 12 Temmuz 2006, sabah saatlerinde başarılı bir saldırı ile ele geçirildiği tespit edildi. Ağ bağlantısı hemen kesilen makine durumun incelenmesi ve sistemin yeniden yüklenmesi için bakıma alındı. Bakım süreci boyunce Debian projesinin CVS sunucusu başta olmak üzere Planet Debian, Lintian ve Debian geliştiricilerinin web sayfaları gibi bazı servislerin kesintiye uğrayacağı açıklandı.

Güvenlik incelemesi devam ederken diğer Debian sunucularının da erişim hakları saldırının kaynağı tespit edilip ortadan akldırılıncaya kadar kısıtlanmış durumda. Debian sunucularına benzer bir saldırı Kasım 2003'te gerçekleşmiş, sunucuya yapılan saldırı bir dosya sistemi bütünlük tespit aracı kullanılarak yakalanmıştı.

Metasploit artık Rapid7'nin

caiaphas_

Uzun zamandan beri hem UNIX hem de WIN32 üzerinde başarı ile çalışan ve tüm otoriteler tarafından da en çok tercih edilen penetrasyon aracı olan Metasploit Rapid7 tarafından satın alındı.

Açık kaynak desteğinin devam edip etmeyeceği Metasploit tarafından yapılan açıklama ile netlik kazandı. Metasploit açık kaynak kod üretmeye devam edecek, bunun yanında Rapid7'nin güvenlik açığı tarama ürünü olan NeXpose ile de entegre edilecek. Habere göre HD Moore dahil pek çok Metasploit geliştiricisinin Rapid7 ekibine katıldığı da ayrıca belirtiliyor. HD bundan sonra güvenlik şefi olarak görevine devam edecek.

Makyajsız siteler

barbar

Internetin haşarı çocuklarının yaptıkları yaramazlıkları takip edebileceğiniz bir site bu. İçeriğinde hangi grup kime kızmış, hıncını nasıl almış, kimleri selamlamış gibi konulara açıklık geliyor.
Sistem yöneticileri hangi sistem nasıl kırılmış log dosyalarından öğrenip, isterlerse önlem bile alabilirler.
defacement archives

ISCTurkey Uluslararası Bilgi Güvenliği ve Kriptoloji Konferansı

anonim

"GELECEĞİNİ KORU"

Telekomünikasyon Kurumu, Gazi Üniversitesi ve Orta Doğu Teknik Üniversitesi tarafından düzenlenen ISCTURKEY (Information Security and Cryptology Conference) bu yıl "Geleceğini koru!" sloganı ve "Mobil / Elektronik İmza" ana temasıyla 13-14 Aralık tarihlerinde Ankara Sheraton Hotel & Convention Center'da.