|
Bağımsız Bilgi Güvenliği Danışmanı ve Adli Bilişim Uzmanı Cenk Ceylan’a TC kimlik numaramı vererek
sanal alemde beni araştırmasını istedim. Yasal yollardan hakkımda bulabildiği
her şeyi araştıran Ceylan’ın önüme getirdiği bilgiler korkutucu.
Ceylan, öncelikle TC kimlik numaramı Nüfus ve Vatandaşlık İşleri’nin
internet sitesinden doğrulayarak adımı, soyadımı ve doğum tarihimi öğrendi.
Yine TC kimlik numaramı kullanarak resmi devlet sitelerinden birinden
doğum tarihimi gün, ay ve yıl cinsinden buldu. Bu bilgilerle SSK numarama
ulaştı. Buradan, iki ay önceki brüt maaşımı ve işyeri sicil numaramı öğrendi.
İşyeri sicil numaramı kullanarak bir bankanın internet sitesi üzerinden işyerimi
saptadı. İşyerimin internet sitesinden iş adresimi öğrendi. Ardından SSK
numaramla TC kimlik numaram arasındaki çapraz ilişkiyi kullanarak resmi web
siteleri üzerinden anne ve baba adıma, doğum yerime, doğum tarihime ulaştı.
Sonra bu bilgilerle vergi numarama ve vergi daireme ulaştı.
KREDİ BORCU ÇIKTI
Kredi ve Yurtlar Kurumu’nun internet sitesinden, 1999- 2001 yılları
arasında çektiğim kredi miktarını öğrendi. 34.50 YTL’lik kredim, ödemeyi
unuttuğum için faizlerle 184.77 YTL’ye yükselmiş. Takip için Hisar Veraset ve
Harçlar Vergi Dairesi Müdürlüğü’ne bildirilmiş.
Ceylan, araştırmasının sürdürerek Türk Telekom’un online rehberinden ev
telefonuma ulaştı. Bu arada Yüksek Seçim Kurulu’nun sitesinden TC kimlik
numaramı sorgulayarak açık adresime ulaşmayı denedi. Ancak bu hizmet seçim
zamanlarında uygulamaya girdiği için başaramadı. Bunun üzerine daha basit bir
yolu denedi. Üye olduğum bir foruma adresimi vermiştim ve bu foruma üye olanlar
diğer üyelerin kişisel bilgilerini görebiliyordu.
Ceylan, bu forumu basit bir google aramasıyla bularak üye oldu ve ev
adresime ulaştı. Facebook’taki sayfamdan tüm fotoğraflarımı indirdi ve orada üye
olduğum bir gruptan lise yıllarında çekilmiş birkaç fotoğrafımı buldu. Ayrıca
birkaç forumda, bazı siyasi olaylara bakışımı yazmıştım. Bu yazıları okuyarak
siyasi tercihlerim hakkında fikir sahibi oldu. İşin korkunç yanı bunların
hepsini yasal yollardan yaptı!
“BANKA HESABINA ULAŞIRDIM”
Peki acaba Cenk Ceylan, bu kadar bilgiye ulaştıktan sonra illegal
yollarla hakkımda başka neleri öğrenebilirdi? Bu sorunun yanıtı daha da
ürkütücü; “İllegal yollara girseydim hakkında çok daha fazla şeyi öğrenmekle
kalmaz, senin adına birçok işlem de yapabilirdim. Bankalardaki hesaplarını
bulabilirdim, kredi kartı bilgilerine ulaşabilirdim. Anne kızlık soyadını bile
öğrenebilirdim ki, anne kızlık soyadı birçok işlemde kimlik tanımlama için
kullanılıyor. Tersine mühendislik teknikleriyle tapu bilgilerine ulaşabilirdim.
İnternet bankacılığı şifreni değiştirebilirim. Kısacası bu verilerle, senmişsin
gibi davranarak online her işlemi yapabilirdim.”
“ULUSAL BİLGİLER ÇALINABİLİR”
Basit internet taramasıyla bu tarz bilgilere ulaşmak, bilgisayar
korsanlarının da kullandığı bir yöntem. Hackerlığın ilk aşaması olan bu yönteme
‘foot print’ yani ayak izi deniyor. Bu verilere ulaşmayı başaran bir bilgisayar
korsanı ikinci adımda saldırıya geçiyor.
Cenk Ceylan’a göre bu tarz bilgilerin internet üzerinden, hem de devletçe
yayınlanması faciaya davet çıkarıyor. Çünkü Merkezi Nüfus İdaresi Sistemi
(MERNİS), TC kimlik numarası üzerine inşa edilen bir sistem.
Yani işin yumuşak karnı burası . Peki sistemi daha güvenli hale getirmek
çok mu zor? Ceylan’a göre oldukça basit; “KEY ödemesi gibi verileri duyururken
kullanıcıdan TC kimlik numarasının yanı sıra adını soyadını, doğum tarihini,
cilt ve aile sıra no.sunu istese bütün bunlar zorlaşacak. Tek bir bilgi ile veri
sorgulaması yapıldığı için bunlar oluyor.
Devlet acemice çalışıyor. Vatandaş, KEY ödemeleri sitesine girdiğinde
birkaç bilgiyi sorarak KEY ödemesini göstermesi gerekir. Oysa bu sistemde
insanların TC kimlik numarası doğrudan yayınlandı. MERNİS projesinde toplanan
bilgilerin sadece TC kimlik numarasıyla sorgulanır halden çıkarılması gerekir.
Sistem bu haliyle bile rahatlıkla güvenli hale getirilebilir. Sadece arayüz
değiştirilecek.
Şu haliyle özel hayatın gizliliği ihlal ediliyor. Ama bu konuda devletin
bilgi güvenliği konusunda danışmanlık alması gerekiyor. Bence yetkililer
tehlikenin henüz farkında değil. Bu sistem yüzünden ülkenin ulusal planlamasıyla
ilgili bilgilerin çalınma riski var. Bildiğim kadarıyla MERNİS’te 106 milyon
kişinin kayıtları var.
Bütün bunları araştırdığında devletle ilgili her şey ortaya çıkar. Mesela
çalışanların maaş bilgisinin öğrenilebilmesi çok yanlış. Daha önce bir bankanın
açığından dolayı 500 MİT görevlisinin maaşına ulaşılmıştı. Bu sistem yüzünden benzer olaylar daha fazla
tekrar edebilir.”
Ceylan, uygulanan bu sistem nedeniyle finans sektöründe ciddi sıkıntılar
yaşanabileceğini düşünüyor. Çünkü bankalar ödeme ve kredi sistemlerini TC kimlik
numarası üzerinden inşa ediyor. Ceylan, “Gelecekte bu işin patlayacağı yer
bankalar. Bankalar yavaş yavaş kartlı sistemi bırakıp TC kimlik numarasıyla
kartsız işlem yapan sistemlere yöneliyor” diyor.
BİRİ BİZİ GÖZETLEYECEK!
Ceylan, basit kullanıcılar için internette en fazla tehlike yaratan
sitelerin forumlar olduğunu söylüyor. Çünkü kullanıcılar, kendileriyle ilgili
her türlü bilgiyi tıpkı sanal bir psikologla dertleşir gibi forumlarda ortaya
döküyorlar. ABD’de forumların özellikle teşvik edildiğini belirten Ceylan,
“Çünkü devlet orada kendisi ayak izi takip ediyor. ABD’nin Ulusal Güvenlik
Ajansı’nın elinde tuttuğu bir sistem var. Burada tüm dünyadaki sistemi
izleyebiliyorlar. ABD’nin bu güvenlik konseptini Türkiye’de de yapmaya
çalışıyorlar. Bizdeki projenin adı Anayurt Güvenlik Enstitüsü olacak.
Amerikalılar 11 Eylül saldırılarından sonra böyle bir şey yaptı.
İnternetteki bütün veri, kontrol edilip süzülecek ve daha sonra toplanan
bilgiler otomatik olarak birleştirilecek. Mesela birisine bir e-posta
gönderdiğinizde sistem bunun ek dosyasını bile kontrol edip okuyabilecek. Devlet
bunu terör saldırılarını önlemek için yapıyor. Eletronik tüm aletlerin insana
dair bıraktığı tüm izleri birleştiren bir sistem olarak düşünelim bunu. Binlerce
hackerın aynı anda çalıştığını düşünün. Onun gibi bir şey.”
Kendinizi nasıl
korursunuz?
Sanal bir kimlik yaratın
İnternette dolaştığınız sitelerde veya forumlarda kişisel bilgilerinizi
vermeyin.
Ev telefonunuzu ve adresinizi asla paylaşmayın.
İletişim için sadece e-posta adresinizi verin.
Bilgisayarınızda antivirüs ve casus avlama programları kullanın.
İnternette kullanmak üzere, gerçek hayatta olmayan ikinci bir kimlik
yaratın. Kendinize ad, soyad, anne kızlık soyadı ve doğum tarihi belirleyin ve
bu bilgileri kullanın. Bu kimliğin cilt no.su, aile sıra no.su bile
olsun.
Güvenlik doğrulamasında sorulan sorulara vereceğiniz yanıtları farklı
belirleyin. Mesela en sevdiğiniz hayvan soruluyorsa en sevmediğiniz hayvanın
adını yazın. Böylece sizi tanıyan insanların verilerinizi çalmasını
engellersiniz.
__________________
Eyüp ERDOĞAN
(1079– 7 Ağustos 2008)
|
