tembel sıkılgan ve üşengeçler için baştan özet geçeyim: Türkiye'de e-imza uygulaması acilen ve derhal kaldırılmalı yoksa bu sahtekarlık olayları e-imza sahibi olan normal ve sıradan vatandaşların da dolandırılması tehlikesini beraberinde getiriyor. tehlike çok büyük. unutmayın bi ara nvi den milletin kimlik bilgilerini çaldılar. bilmem anlatabildim mi? bu mevzu liyakat ve sahte diploma olayı değil sadece bu asıl devletimizin bir siber güvenlik meselesidir. evet..
----
"Sahte diploma skandalı" aslında ne? sorusunu cevaplayan harika bir yazı dizisi ve işte cevapları;
--spoiler--
Çağla Üren - Gazeteci - birgün gazetesi
Haberlere "sahte diploma skandalı" diye yansıyan son e-imza dolandırıcılığını ilk duyduğunda birçok insan belki de ciddiyet addetmedi. Sonuçta bugün diplomadan daha fazla konuşulan kaç konu var?
Ancak araştırmacı gazetecilerin iddianamelerden bilgiler öğrenmesi ve yayınlamasıyla yavaş yavaş işin ciddiyetini kavradık. Bu, temelde sadece bir sahte diploma skandalı değildi. Aslında 80 milyon insanı ilgilendiren devasa bir kimlik hırsızlığıydı.
iddialara göre bir suç örgütü sahte kimlik/sürücü belgesi ve T.C. kimlik kartı düzenleyip bazı e-imza tedarikçileri üzerinden başvuru yaparak “başkalarının adına” nitelikli e-imza sertifikaları edinmişti.
bu e-imzalar kullanılarak üniversite bilgi sistemlerine girilmiş, kayıtlar ve mezuniyet verileri değiştirilerek e-Devlet’te “resmî” görünen sahte diplomalar oluşturulmuştu. Diğer bir deyişle artık "sıradan" bir diploma/belge sahteciliğinden söz etmiyorduk. Sahte olanın adeta "gerçek" kılınması söz konusuydu.
Peki ne olmuştu? Devletin siber sistemlerine veya yetkililerin bilgisayarlarına sızılıp büyük bir bilgisayar korsanlığı mı yapılmıştı? Hayır, aslında süreç "eski moda" sahteciliğin teknolojiyle birleşerek devlet sistemlerine işlendiği, sokaktaki vatandaştan kritik kurumları yöneten isimlere kadar herkesi ilgilendiren hibrit bir suçtan bahsediyorduk.
e imza sertifikası nedir? nasıl çalınabilir?
Türkiye’de "nitelikli elektronik sertifika", yani gerçek imzanın elektronik ortamdaki versiyonu olan e-imza, BTK tarafından yetkilendirilmiş Elektronik Sertifika Hizmet Sağlayıcıları aracılığıyla veriliyor. Bunun için vatandaşlar E-Güven, TÜRKTRUST, E-Tuğra vb. aracı firmalara bireysel veya kurumsal başvuru yapıyor.
internet sitelerinden elde edilen başvuru formlarını doldurduktan sonra kimlik belgesi ve belirli bir miktar para hazırlayarak yetkili şirket aracılığıyla başvuru tamamlanıyor. E-imza için kimlik doğrulama zorunlu ama bunun nasıl yapıldığı aracı firmaya göre farklılık gösteriyor. Örneğin, bazısı yüz yüze, bazısı e-Devlet üzerinden doğrulama, bazısı ise PTT/kargo teslimi veya operatör onayı gibi yöntemler kullanıyor. Yani doğrudan ofise/notere gitmeden e-imza almak mümkün.
Bu süreç tamamlandıktan sonra oluşturulan e-imza ise iki önemli bileşene dayanıyor: Anahtarlar ve sertifika.
ilk olarak vatandaşa bir açık ve bir kapalı olmak üzere güvenlik için anahtar çifti veriliyor. Kod dizileri şeklindeki bu anahtarların işleyişi tıpkı güvenli mesajlaşma uygulamalarına benziyor. Örneğin X kişisi bir belgeye imza attığında bir tür "dijital parmak izi" (hash) oluşturuluyor ve özel (gizli) anahtarla şifreleniyor. Sonra X kişiyi imzaladığı belgeyi Y'ye yolluyor. Y o belgenin doğruluğunu kişiye sağlanan diğer açık anahtarla kontrol ediyor. Uyuşursa bu gerçekten X'in anahtarı demek.
özellikle gizli anahtarları bilgisayarda muhafaza etmek güvenli değil. Bu yüzden devlet kurumları anahtarları güvene almak için USB veya akıllı kart şeklinde özel cihazlar kullanıyor. Sonuçta bir kişinin e-imzası fiziksel bir anahtarla korunmuş oluyor ve şifreleniyor. Tıpkı evinizin kapısını açmak için kullandığınız anahtarlar gibi.
Sertifika ise kişiye verilen açık anahtarı, kişinin tanımlayıcı bilgilerini ve sertifikayı veren yetkili kurumun elektronik imzasını içeren dijital belge. Türkiye'de bu belge "Nitelikli elektronik sertifika" (NES) diye biliniyor.
adım adım e imza dolandırıcılığı
e imza skandalında bu dijital nitelikleri koruyan anahtarlar devlet kurumlarının kasalarından veya bilgisayarlarından çalınmadı. Sertifikalar, sahte belgelerle en baştan üretildi.
ilk adım işin "eski moda" kısmı. Şüpheliler sahte sürücü belgesi, sahte T.C. kimlik kartı veya ölmüş kişilere ait bilgileri kullanarak başka insanların kimliklerini taklit etti. Bu, çoğu zaman kimliği çalınan insanların adına şirketler kurup krediler çekerek manşetlere çıkan "klasik" bir olgu.
ikinci adım ise sertifika başvurusu. Başkalarının (ki bu durumda devlet yetkilileri) kimlik bilgileriyle yetkili şirketlere e-imza başvuruları yaptılar. O şirketler de sadece yetkili isimlerde olması gereken sertifikaları dolandırıcılara verdi.
üçüncü adım elde edilen e-imzaları kullanmak oldu. Örneğin üniversite yöneticilerinin e-imzalarıyla üniversite bilgi sistemlerine rahatça giriş yaptılar. Öğrenci kayıtları, mezuniyet bilgileri, notlar gibi alanları değiştirdiler. Sonra bu değişiklikleri YÖKSiS'e ve e-Devlet’e aktararak "resmi" hale getirdiler.
bir analojiyle açıklamak gerekirse, hırsızlık amacıyla hareket eden X kişisi, Y'nin ev tapusunu taklit ederek emlakçıya gitmiş ve evin anahtarını almış oluyor. Sonra X'in anahtarıyla eve resmi şekilde giriyor ve istediği eşyanın yerini değiştirebiliyor.
suçlu kim?
buradan yapılabilecek kısa çıkarım, e-imza uygulamasının kendisinin ve teknik olarak e-imza altyapısının sorunlu olduğu değil. Asıl zafiyetin kadrolar ve işleyişte ortaya çıktığı yönünde.
Yapılabilecek bazı çıkarımları özetleyelim;
e imzaları veren kurumların sorumluluğu:
BTK tarafından e-imzaları sağlamakla görevli kurumlar, kimlik kontrollerini yetersiz yapmış ve kolayca "kandırılmışlar". Bu öyle bir kandırılma ki söz konusu kurumlardaki çalışanların işbirlikçi olabileceği ve bilerek bu e-imzaları sağlamış olabileceği de değerlendirilen senaryolardan biri. Ancak bazı kurumların yüz yüze görüşme yapmaması başlı başına bir güvenlik zafiyeti. Bu durumda fiziksel yüz-doğrulama ve kimlik kontrolü ya yetersiz yapılmış ya da içerden iş birliği ile kasten atlanmış.
En basit doğrulama yöntemlerinin yokluğu:
E-imzanın elde edilme sürecinden kullanılma sürecine kadar birçok adımda iki faktörlü doğrulama (2FA) denen güvenlik kontrolleri yapılmamış. Diğer bir deyişle, bugün herhangi bir uygulamaya girerken bile kullanıcının telefonuna gelen SMS, e-postasına gelen "Bu siz misiniz?" mesajı veya 444'lü aramalar gibi yöntemler tamamen atlanmış. En yetkili isimlerin e-imzaları kullanılırken bile onlara hiç haber verilmemiş.
tek yetki kaynağının e imza olması
Genellikle bilimkurgu veya casusluk filmlerinde görürüz. Bazı kritik kararlar alınırken tek kişinin anahtarı/imzası yetmez. Örneğin bir kasayı açarken üç kişinin de anahtarının takılıp çevirmesi gerekir. Ya da kasanın açılması için ek olarak kişinin parmak izi veya yüz taraması istenir. işte bunlar önemli ek güvenlik tedbirleri. Uzmanlar bazı kritik kamu sistemlerinde e-imzanın tek yetki kaynağı olmasının bir zafiyet olduğunu belirtiyor.
sertifika kullanım denetimindeki yetersizlik
Sertifika kullanımındaki anormallikleri gerçek zamanlı tespit eden mekanizmalar yoksa suistimaller uzun süre fark edilmeden sürebilir. Örneğin aynı IP'den, kısa sürede onlarca farklı başvuru yapılıyorsa, otomatik alarm verilmeli. Benzer T.C. kimlik numaraları, sahte adresler, aynı belgelerin farklı kişiler için tekrar kullanılması otomatik tespit edilebilir. Özellikle yapay zeka çağında bu hiç olmadığı kadar kolay.
E-iMZANIZ ÇALINIRSA BAŞINIZA NELER GELiR?
Bu yaşananın "sıradan" bir sahte diploma olayı olmadığını özetlemek için en iyi yol, yine "sıradan" vatandaşın başına gelebilecek şeylerden bahsetmek.
bu durumda imzası kamu kurumlarında büyük önem arz eden yetkililer üzerine gidilmiş. Ancak sıradan bir vatandaşın e-imzasıyla da büyük dolandırıcılıklar yapılabilir.
örneğin e-imza kullanılarak vekâletname türü belgeler düzenlenebilir; kişi başka birine sizin adınıza işlem yapma yetkisi verebilir. Bankacılık konusunda ise doğrudan mevduat hesabını tek başına e-imzayla açmak ve para çekmek her zaman mümkün olmayabilir ama kredi başvuruları, sözleşmeler, teminat mektupları veya kurumsal hesaplarda yetki değişiklikleri e-imza ile yapılabiliyorsa kötü niyetli işlemlere yol açabilir.
bir diğer örnekte de kimlik hırsızının e-imzanızı ele geçirerek sizin adınıza şirket kurması mümkün olabilir. Çünkü Türkiye’de şirket kuruluş başvuruları MERSiS üzerinden e-imza/mobil imza ile yapılabiliyor ve 5070 sayılı Kanun’a göre nitelikli e-imza elle atılmış imzayla eşdeğer kabul ediliyor.
kısacası bu yaşananlar, e-imza prosedürleri ve kimlik bilgilerimizin sızdırılması bağlamında köklü değişimler ve güvenlik önlemlerinin son derece kritik olduğunu gözler önüne seriyor..
