E-DEVLET: Ne Kadar Güvenli?

0
RoR
Yeni yasayla T.C kimlik bilgileriyle kişisel bilgiler (adres, telefon, sağlık, emniyet,...) eşlenerek tek bir çatı altında toplanıyor. Acaba bu durum ne kadar güvenli/gerekli?
Bilgilerin güvenlik amaçlı tek çatıda kullanılması gerçekten güvenli, ancak bu ulusal güvenlik söz konusu olduğunda o kadar da güvenli olmadığını tahmin etmek hiç de zor değil.

Bilgiler tek çatıda toplandığında bir muhtarın bile veri tabanı sorgulaması yapması (ki bunun kısıtlandığı söyleniyor) endişe verici. Çünkü sosyal/psikolojik mühendislik taktikleri bilen ve üzerine az da teknik bilgi katmış kişiler sistemi sorgulamasının ya da sosyal açıklar bulmasının hiç de zor olmayacağını söyleyebiliriz.

İşin bir de güvenlik/gereklilik/maliyet analizi var ki, benim örneğim, bilgi altın olduğuna göre, bu altınları tek bir depoda toplayıp güvenliğini sağlamak mı kolay ve maliyetsiz yoksa bilgi sizde kalsın, gerekli birimler zaten elde edebiliyor (ki ediyor) demek mi?

Kişisel bilgilere varolan ve varolacak hükümetler ve şahısların bile epik araştırmalar yapıp yönlendirmeyeceğini, toplumu güvenlik altında tutmak ile, kontrol altında tutmak arasındaki belirsizliği nasıl tanımlayacağı meçhul.

İşeri daha hızlı ve güvenli yapıyoruz demek çok kolay, güvenlik sebebiyle daha fazla bilgi veremeyiz, deyip güvensiz bir sistem inşaa etmek ise çok daha kolay...

Ayrıca NSA tarzı kurumlar için de güzel bir online veri tabanı oluşturmuş olacağız, onlarda kendi epik araştırmalarını, devlette yetkiye sahip bir malum işletim sistemi üzerinden Meksika çıkışlı bir ip ile rahatlıkla yapacaklar.

Benim kaygım bu tarz projeleri yürütebilecek kadar e-GÜVENLİK bilgisine sahip miyiz. Bilmediğimiz ya da tanımlayamadığımız alanlarda başkalarının rahatlıkla elde edebilceceği platformlar oluştururken tekrar düşünmek gerekmektedir.

Umarım bu maliyeti karşılayabilecek bilgiye sahibizdir, ya da bu maliyeti karşılayabilecek kişileri gelecekte bulabiliriz.

Görüşler

0
sarman
Belki ben "güvenlik" kavramına başka bir kapıdan bakıyor gibi olacağım, ama asıl sorun Mernis projesinin "Yedeği"nin olmaması.
0
yilmaz
20 senedir mernis le uraşıyorlar birde yedeğini yapmaya kalksalar 250 sene sürer.

özellikle "güvenlik" konusunda profösyönel kişilerle güvenlik uzmanlarıyla çalışıyorlardır. inşallah.
0
bm
MERNIS soylenenden fazla bilgi saklamiyorsa, yedeginde ne problem var anlamiyorum. Rahmetli olmuslar dahil 100 milyon kayit olsa, kayit basi (fazla fazla) 1k byte'dan 100Gig etmiyor mu? Sadece dogum olum ve nakil durumlarinda yazilan, diger zamanlarda sadece okunan bir veritabani degil mi bu? Bugunku donanim ile atla deve bir is degil bu. Anlamadigim birsey var herhalde benim? Bilen var mi?
0
darkhunter
1k olarak hesapladığınız bilgiler içerisinide neler var? Yedek almaka problem yaşıkyorlarsa, şüphelenmekte fayda var çünkü anlatıldığı kadar basit bir kayıt olmadığı anlamına fevkalede uygun bir sorundur bu.

20 yıllık mazisi olan bir projeden söz ediyoruz, bu kadar uzun soluklu olmasını, sadece beceriksizliğe yormak bana biraz iyi niyetli bir tabir gibi geliyor...

TC iş güvenlik ve savaş gibi konularda oldukça başarılıdır. Başka alanlarda değildir :) Konu Big brother a uzanacaksa bunu ABD den sonra en iyi TC yapar...
0
darkhunter
Özür dilerim, yazarken çok hata yapmışım :

yaşıkyorlarsa: yaşıyorlarsa

TC iş güvenlik ve savaş gibi konularda oldukça başarılıdır : TC güvenlik, savaş gibi konularda oldukça başarılıdır.
0
bm
1k olarak hesapladığınız bilgiler içerisinide neler var?>/i>

Hersey text olarak girilmis (yani ana-baba adlari, yer isimleri numara degil) halde nufus kaydi diye dusundum. Belki biraz fazla oldu, 500b'in alti da olabilir. Bizim gordugumuz kismi o degil mi?

Yedek almaka problem yaşıkyorlarsa, şüphelenmekte fayda var çünkü anlatıldığı kadar basit bir kayıt olmadığı anlamına fevkalede uygun bir sorundur bu.

Evet tabii ama devletle alakali insanlar ve devlete mal satma pesindekilerden duydugumuz ve aklimizin ermedigi laflarin cogunun arkasinda pek de kastettiginiz anlamda tedirgin edici olmayan basit sebepler de olabiliyor. (Rant, cehalet vs.)
0
darkhunter
Mernis veri tabanına girecek resmi bir ölüm belgesinde yaklaşık 7-8 adet konu başlığı ve bu konu başlıklarında, yaklaşık 40 adet alt başlık bulunuyor. Ayrıntıları iyi hatırlamıyorum, ama başlık ve resmiyet itibariyle, sadece Ölüm tarihi : "../../.." şeklinde eklenebilecek bir verinin bu kadar ayrıntılanmış olması durumu söz konusu.

Kişinin doğum bilgilerini düşünelim, eğitim aldığı kurumlarla ilgili ayrıntılar, yaptığı işler, suçlar, adresler, v.s. bunları çoooook uzatmak mümkün galiba... Zaten bunları "uzatmak" kişisel özgürlüklere tecavüz çizgisinin diğer adı... Ha, bu kaç byte olur, onu bilemem... Siz biliyor musunuz diye merak edip sordum.

Diğer taraftan zaman zaman devletle iş yaptım, iş yapanları tanıdım. Devleti kazıklamak 90 lı yıllarda olduğu kadar kolay değil, son birkaç yıldır... Hayati projeler sandığımız kadar kolay/cahilce ihale edilmiyor artık...

Rant çoook uzun bir mevzu burada konuşmak çok da makul olmaz ama, böyle işlerden rant sağlanırken bile projeye belli bir yaşam standartı biçiliyor...
0
bm
Kişinin doğum bilgilerini düşünelim, eğitim aldığı kurumlarla ilgili ayrıntılar, yaptığı işler, suçlar, adresler, v.s. bunları çoooook uzatmak mümkün galiba... Zaten bunları "uzatmak" kişisel özgürlüklere tecavüz çizgisinin diğer adı... Ha, bu kaç byte olur, onu bilemem... Siz biliyor musunuz diye merak edip sordum.

Yok bilmiyorum. Ben sadece webden gordugum kadarini kaba bir hesaba baglamaya calismistim. (Anlamadigim ne diye onun icin sordum). Neleri topladiklarini yaziyorlar mi bir yerde? Bir ara anlatan bir siteye gitmistim (her sayfada 'sayin icisleri bakanimiz' diye bakanin resmi vardi galiba, ama tam nereydi bilmiyorum) orada yazmiyordu. Usendim simdi, biliyorsaniz derli toplu birsey cok makbule gecer.

Bir daha alintilayayim:

Zaten bunları "uzatmak" kişisel özgürlüklere tecavüz çizgisinin diğer adı

Aslinda ben de tedirginim ama obur taraftan bakmaya calisayim: sadece bilgi toplamak ile ozgurluge tecavuz olup olmayacagini duzgun anlatan birsey bilmiyorum ben (ama konum degil). Hesap sorulamayan ve istedigi gibi hareket edebilen bir devlet olmasi da gerekiyor galiba zararin bariz olmasi icin.

Burada bence korkunun kaynagi merkezi otoritenin bu derece bilgi sahibi oldugu (ve bizim durumumuzda bizi vermekle yukumlu tuttugu) bir duzende vatandasa karsi elinin cok kuvvetli hale gelmesi. Burada evvelce 12 Mart doneminden kalmis gibi duran 'otellerin polise her aksam bilgi vermesi' kanununun nasil bilgisayara gecirildigini de konustuk. Ayni sekilde bana her zaman isgal altindaki bir ulkedeki bir kanunmus gibi gelen muhtara kaydolma isini bilgisayara gecirdik (o da burada konusuldu). Yani modern devletlerin 'keske soyle birsey olsa' deyip ya tutarsa diye cikarttigi kanunlarin bazilari artik uygulanabilir, takip edilebilir durumda. Bu duz anlaminda suistimali bir kenara birakalim sonuclarini bildigimiz birsey degil.

Biraz kiskirtici bir ornek vereyim, belki ortalik senlenir. Hollywood'un yarattiklari icerigi kontrol etmek icin dayatmaya calistigi 'kimin ne seyrettigini bilelim' manasina da gelen mekanizmalari begenmememizin bedavacilik disindaki sebebi o kuruluslarin hayatimizi bu derece yakindan takip etmelerini istemememiz. Onlar sadece urettiklerini kendi istedikleri sekilde (defaatle) satip para kazanmak istiyorlar, oysa devlet dini inancimizdan, konustugumuz dile, yedigimiz ictigimizden komsumuza bedava yaptigimiz hizmete[1] kadar herseye karismak ve duzenlemek isteyen bir kurum. Ilkine ofke duyuyorsak ikincisinden de biraz tedirgin olmamiz lazim belki.

[1] Orada KDV kacagi var onun icin. En azindan bu oyleydi yakin zamana kadar. Bilen varsa duzeltsin.
0
darkhunter
Resmi bir bağlantı göstermek (içerikle ilgili) mümkün değil şu an. Kapsama dair bilgileri (en azından kanunla gelen hakları) ve bunların hukuki boyutunu tartışan, sevdiğim bir yazı var :

http://www.hukukcu.com/bilimsel/kitaplar/mernis.htm

Mernis'in içeriğini tam olarak açıklama çabaları spekülasyondan öteye gitmiyor. Ancak sağda solda, başımıza gelen olaylarda gördüğümüz Mernis kırıntılarından bahsedebiliyoruz. Zaten tedirginliğin asıl nedeni de bu bence...

Özetle,
Nüfus Kanunu’na göre, nüfus kütüklerinde kişinin mensubu olduğu ailesine ait bütün fertlerinin cinsiyeti, adı, soyadı, baba ve anası adiyle soyadları, sağ olup olmadıkları, il ve ilçe itibariyle doğum yeri ve tarihleri, vücutlarındaki belirli değişiklikleri, dini, okur-yazar olup olmadıkları, medeni halleri ve doğum, evlenme, boşanma, ölüm, gaiplik, nesep tashihi, tanıma, evlat edinme ve evlatlık sözleşmesinin kaldırılması gibi diğer şahsi hal değişiklikleri bilgileri bulunmaktadır. Bu bilgilere diğer kurumların elindeki bilgiler de eklendiğinde, vergi ödemeleri, banka hesapları, ikamet bilgileri, tapu kayıtları, banka hesap kayıtları, eğitim bilgileri ve dereceleri, adliye soruşturma ve mahkeme kayıtları, disiplin dosyaları, sağlık durumu, askerlik durumu, emniyet geliş kayıtları gibi akla gelebilecek her tür konuda bilgilerin Türkiye Cumhuriyeti vatandaşı olan her birey hakkında bir merkezde toplandığını düşünürsek bu kayıtların ne tür tehditler ve tehlikeler altında bulunduğunu düşünmek pek zor olmayacaktır.

Ilkine ofke duyuyorsak ikincisinden de biraz tedirgin olmamiz lazim belki.

:-) Aman, bu yaştan sonra devlet düşmanlığından içeriye girmeyelim... Üstelik BAĞ-KUR primlerimi hiç aksatmadan yatırıyordum ben :-)


0
darkhunter
Mernis'in temelini nüfus kanunu oluşturuyor anladığım kadarıyla. Bu yüzden konunun kapsamını anlamak için, bu kanunu irdelemek gerek galiba :

http://www.nvi.gov.tr/attached/nvi/nufus_mevzuati_pdf/kanun_pdf/nufus_kanunu.pdf
0
yilmaz
ya yazılan programın bir şişme noktası vardır üzerine patch yaparsın modul eklersiniz artık şişer yeteneklerini kaybeder. belki o duruma yaklaşmaya başladılarsa probelm olabilir. backup olayı hele buyuk datalarda oldukça uzun süren bir işlem o kısımda bir çok da ciddi bir problem yaşanacağını sanmıyorum. ama birden fazla program birbiriyle etkileşim halinde ise backup larında senkronize olması lazım işte orda problem hakikaten ciddi olabilir.
0
FZ
ya yazılan programın bir şişme noktası vardır üzerine patch yaparsın modul eklersiniz artık şişer yeteneklerini kaybeder.


Pekiyi ya Linux? :)


backup olayı hele buyuk datalarda oldukça uzun süren bir işlem o kısımda bir çok da ciddi bir problem yaşanacağını sanmıyorum. ama birden fazla program birbiriyle etkileşim halinde ise backup larında senkronize olması lazım işte orda problem hakikaten ciddi olabilir.


Yedek almanın kendisi çok uzun süren bir şey değil, bildiğim kadarı ile asıl uzun ve meşakkatli iş o yedeklerden tutarlı şekilde geri dönmek.
0
bm
Buyuk ihtimalle yedeklemeden kastedilen cografi olarak farkli yerlerdeki birden fazla sistemin herhangi birinin basina birsey gelince kullanicilara sezdirmeden calismasi. Yoksa verinin yedegi degil. Herhalde. Niye obur turlu dusunuyorsunuz? Yok artik, o kadar da degil. Yedekleniyordur tabii? Degil mi?
0
conan
italik kapatilmamis. bolu i tagi ekleyerek sizi kurtarayim dedim </i>
0
conan
ouch!
0
conan
italik kapatilmamis. bolu i tagi ekleyerek sizi kurtarayim dedim </i>
0
zekeriya_akyildiz
yaklaşık 20 yıl süren ve TC. ye 50milyon dolara mal olan bu projenin yedeğinin alınamaması ilginç. Bir ilginç yanıda; eskiden istedikleri bürokratik belgeleri azaltacağına bir yenisini ekledi. O bürokratik belgeler arasına "TC kimlik nosunu gösterir belge" eklendi. Halbuki TC kimlik no'muzu versek sadece yetmezmiydi? Zaten diğer tüm bilgilerimiz bu sistemde kayıtlı değilmi?

işte size tam Brute Attack'lık bir adres.

http://tckimlik.nvi.gov.tr/Web/WebServices.aspx
0
robertosmix
Mernis projesi zaten çökmüş bir projedir. Meteksan rezaleti. Bu durumdaki bir firma halen TOBB'dan ihale alabiliyor. Bürokrasi pisliği içinde yüzülüyor anlayacağınız. İhalelere başarısız ve yeteneksiz firmalar katılamaz diye bir kural yok zaten. Saçma sapan standartlar falan isteniyor da bazı ihalelerde, ama zaten onlar da parayla satın alınabilir şeyler.

Herneyse. Zaten e-devlet fikri bürokratlardan çıkmış birşey de değil. Malını satmak isteyen firmaların uydurması. E-Devlet diye birşey olamaz, çünkü halen Osmanlı hesabı muhasebe defterleri tutan, evrak defterleri tutan kamu kurumları filan var. Kaldı ki yazılım firmaları bile (hatta Havelsan bile) halen evrak defteri filan tutuyor. Deftere, tükenmez kalemle (yer yer dolma kalem teknolojisi de kullandığı görülüyor).

Zamanında İranlı bir yazılım firması CIA'ya sağlam içerik yönetim yazılım geliştirdi. Bir süreye kadar dolaylı yollarla bu yazılımı Kübaya falan sattı. Tabii şüphesiz yazılımda arka kapı vardı.

CIA şunu yapıyordu, örneğin elektrik ve su kayıtlarına bakıyordu. Eğer bir evde herhangi bir ay içerisinde elektrik ve su kullanımı dikkate değer bir artış sağlıyorsa, biliniyordu ki, o eve birisi/birileri gelmişti. Yada sahte kişiler oluşturup, bunlara kimlik verip, salıyordu halkın arasına.

CIA'nın bir döneme kadar (SuSe gelene kadar) Almanyada da M$ yaptırdıkları böyle şeylerdi aslında.

0
FZ
Zamanında İranlı bir yazılım firması CIA'ya sağlam içerik yönetim yazılım geliştirdi. Bir süreye kadar dolaylı yollarla bu yazılımı Kübaya falan sattı. Tabii şüphesiz yazılımda arka kapı vardı.

CIA şunu yapıyordu, örneğin elektrik ve su kayıtlarına bakıyordu. Eğer bir evde herhangi bir ay içerisinde elektrik ve su kullanımı dikkate değer bir artış sağlıyorsa, biliniyordu ki, o eve birisi/birileri gelmişti. Yada sahte kişiler oluşturup, bunlara kimlik verip, salıyordu halkın arasına.


İranlılar ne geliştirdi bilemem ama uzunca süre okuduğum bir kitapta, sizin dediğinize çok benzeyen bir yazılımdan bahsediyordu. İranlılar değil bir ABD'li geliştirmişti.

Ardından CIA ve NSA bağlantılı mevzular olmuştu söz konusu yazılımla ilgili. Benim göndermede bulunduğum program da altyapı kurumlarından (su, elektrik, gaz, vs.) bilgi çekiyor ve elde edilen verideki örüntüleri (patterns) inceliyor, raporluyordu vs.

Bu program bağlamında daha sonra ABD'nin İsrail ile iletişim kurduğu, İsrail'in bu epey gelişmiş yazılımı Ürdün'e, donanım altyapısı ile birlikte verdiği ve "bakın size süper sistem kuracağız ülke güvenliği vs. çok acayip sistem" dediği ve programdaki arka kapı sayesinde epey bir süre gizlice Ürdün'den sağlam istihbarat edindiği belirtiliyordu. Okuduğum kitapta işin ucu Kıbrıs'a dek uzanıyordu. Ayrıca bu mevzular olurken konuyla ilgili bir firma, o firma ile bağlantılı Hillary Clinton'ın ismi de geçiyordu.

Söz konusu programı geliştiren yazılımcı daha sonra bazı ABD kurumları ile (Adalet Bakanlığı? NSA?) davalık olmuştu galiba ama adamın başına ya da davalara bakan yargıçların başına pek iyi şeyler gelmemişti.

Maalesef şu anda kitabın adını ve yazarını hatırlamıyorum, yıllar önce Türkçe çevirisini okuduğum bir kitaptı. Hafızamı biraz daha zorlayıp ve kütüphaneleri kontrol edip somut kaynak göstermeye çalışacağım.
0
robertosmix
Evet, hatırlıyorum o kitabı. Bende okumuştum, ama adını unuttum. Hatta o kitapta bunu araştıran bir gazetecinin öldürülmesiyle ilgili detaylardan, bu infazı bir CIA ajanının yapmış olabileceğinden bahsediyordu.

Ancak kitabın yazarı IT konularında belkide çok yeterli bilgilere sahip olmadığından çok değişik bir hava yaratmaya çalışmış, "Cyber Punklar", "Dijital Korsanlar" gibi Holywood vari ifadeleri kullanmıştı.

Ama orada bahsedilen yazılım biraz içerik yönetiminden daha gelişmiş birşeydi. Daha kompleks. Hatta o yazılımı ABD İçişleri (yada dışişleri olabilir) Bakanlığının da önce kendisi için yazdırdığını daha sonra bu yazılıma CIA'nın el attığını ifade ediyordu.Ayrıca yazılımcı kardeşimiz de ilgili kurumdan parasını alamamıştı. ( :) Sanırım hakedişleriyle rezil olanlar sadece Türkler değil. :) )

Size bahsettiğim aslında bir duyum. Tabii bir şehir efsanesi de olabilir. Ama yazılımı yazan adamların paralarını aldıklarını ve ciddi birkaç işe girdiklerini de duydum.

İşleyen bir yöntemin Ortadoğuda CIA tarafından ciddi bir alışkanlık haline gelmesi de garipsenmeyecek bir gelişme olsa gerek.

Aslında bu fikrin ataları topraklarımızda doğup, büyümüş ve ölmüş insanlar olsalarda (Bkz: Troya) bu fikre kurban gitme olasılığımız, dünyadaki birçok devletten daha yüksek. Bunu da üzülerek belirtmeliyim. Bizdeki bu yabancı hayranlığı olduğu sürece, Hollandadan veya İsviçreden yazılım almanın "karizma" olduğu düşünüldüğü sürece, bu böyle devam eder.
Görüş belirtmek için giriş yapın...

İlgili Yazılar

Sadmind/IIS 9 bin sunucuyu vurdu

pulsar

Computer Emergency Response Team’in (CERT) bu hafta başında duyurduğu Solaris/IIS solucanı, kısa süre içinde ‘büyük iş’ başardı. Attrition.org’un verilerine göre solucan üç hafta içinde 8 bin 800 web sitesini otomatikman etkisiz hale getirdi.

Microsoft Yamana Yamana Ne Hale Geldi ?

sundance

Outlook`da bir açık daha. Zaten Lovebug ve Anna wormlarından sonra, artık önüne gelen Vbasic`çi virüs yazmaya başladı `Nasıl olsa Outlook`da bir şekilde çalışır` diye :)

Son virüs benim hep illet olduğum (Outlook kullanmadığımdan olsa gerek) maillara eklenen VCARD dosyası sayesinde yayılmakta. Artık ne yapacağı yaratıcılığa kalmış, ekrana bir yazı çıkartabilir, harddiskinizi formatlar, sharinglerinizi full açar vs.
Allahtan MS hemen bir patch yayınlamış. Detaylı haber Wired'da

Virüs Uyarısı - Nyxem

Skeleton

Word, Powerpoint, Excel ve Acrobat gibi dosyaları silmeye programlanmış olan virüs 3 Şubat tarihinde etkin olacak. Son zamanlarda ortaya çıkan diğer virüsler gibi Nyxem de e-posta yoluyla yayılıyor ve kullanıcılara bulaşabiliyor. Çoğu antivirüs yazılımı üreticisi ilgili virüs tanımlarını yayınlamış olmalarına rağmen, F-Secure firmasına göre daha binlerce PC virüsten temizlenmiş değil. Antivirüs yazılımlarınızın güncelliğini kontrol etmeniz için bir gününüz var (tabi tarihiniz doğru ayarlı ise :))

McAfee FBI´ın casus yazılımını görmezden gelecek

anonim

Slashdot'da okuduğum bir habere göre, McAfee, antivirus ürünlerinin, FBI'ın şüphelilerin bilgisayarına sızdırdığı ve tuş vuruşlarını FBI'a gönderen trojanını (Magic Lantern) görmezden geleceğini açıklamış.
Peki virus yazarları Magic Lantern'in modifikasyonlarını çıkarırlarsa? Güvenlik yazılımlarında Amerikan ürünlerine güvenemeyecek miyiz? Güvenlik konularında open-source yaklaşımları gerekliliğini hissettirmeye başladı..

NetSec Güvenlik Bülteni Sayı:2

parsifal

Hilmi ESEN, Huzeyfe ÖNAL, Sertan KOLAT'ın katkılarıyla, NetSec Güvenlik Bülteni sayı 2 çıktı!