Arka kapılarda neler oluyor?

Çin devletine bağlı bir hacker grubu, ABD istihbarat kurumları için aralık bırakılan kapıları keşfetti. Ele geçirilen verinin haddi, hesabı yok. Türkiye’deki durum da pek parlak sayılmaz.

Millenyum heyecanıyla bezeli 2000 yılında Türkiye Cumhuriyeti kendi tarihinin en uzun soluklu projesini tamamlayarak kullanıma sundu. MERNİS (Merkezi Nüfus İdare Sistemi) adlı bu çalışmanın en büyük çıktısı “TC kimlik numarası” adını taşıyordu. Başkentte gerçekleştirilen lansmanında ekibin heyecanı ve mutluluğu hepimizin dikkatini çekmişti. O güne kadar doğmuş (ve bir kısmı ölmüş) 120 milyon vatandaşın sayısallaştırmasının ne kadar hummalı bir çaba olduğunu fuaye alanındaki yetkililer ile sohbetimiz sayesinde anlamıştık. Bu hamle, o dönem kimsenin tam olarak neye derman olacağını anlamadığı “e-devlet” yapısının temelini oluşturuyordu. Toplantıdan ayrılırken aklımızda tek şey kalmıştı: “100000001” kimlik numaralı Mustafa Kemal Atatürk.

Bu satırları Kıbrıs’ta yazıyorum. Beni yazıhanemden alıp havaalanına bırakan transfer aracı (yönetmelik gereği) resmi kurumlara TC kimlik numaramı; saat kaçta, nereden nereye gideceğimi önceden bildirmişti. Uçak biletim ve kalacağım otelin rezervasyonu da yine bu sayı dizisiyle tanımlanmıştı. Hayatımızın merkezindeki bu verinin hayati derecedeki önemi malum. Ancak mahremiyeti epey tartışmalı.

Geçtiğimiz ayki bir söyleşisinde Ulaştırma ve Altyapı Bakanı Abdülkadir Uraloğlu, kimlik bilgilerimizin büyük bölümünün korsanlar tarafından ele geçirildiği kabul etti. Gerçi bunu öğrenmek için bakan onayına muhtaç değildik zira “ilgili kaynakların” hepsinde dilediğiniz kişinin tapu kayıtlarından banka hesaplarına, kimlik bilgilerinden seçmen pusulasına kadar hemen her şeyi üç otuza satın almak mümkün. Bunun “maliyetli” bir ispatına, MİT Başkanı olduğu dönemde Hakan Fidan’ın sosyal medyaya sızan pasaport bilgileriyle şahit olmuştuk.

Arka kapıdan sızanlar

Veri güvenliği konusunda Türkiye’ye dahi parmak ısırtacak bir gelişme bu hafta ABD’de yaşandı. Şüpheli bir izin peşinden giden güvenlik uzmanları, ülkenin internet altyapısını işleten Verizon, AT&T ve Lumen gibi birçok şirketin sistemlerine birilerinin sızarak büyük miktarda veri çaldığını ortaya çıkardı.

Çin istihbaratıyla çalıştığı bilinen “FamousSparrow” adlı hacker grubuna bağlanan saldırı (ABD kökenli) Cisco firmasına ait 200 bin yönlendirici (router) cihaza sızılarak başlamış. Fakat aylar süren bu hortumlama faaliyetini benzerlerinden ayıran dehşet verici bir ayrıntı var. ABD’de hizmet veren internet şirketleri, mahkeme kararıyla teknik takibe alınmasına karar verilen kişilerin verilerine erişilebilmesi için yetkili kamu kurumlarına özel “arka kapılar” bulundurmak zorunda. İştee bu kapıların anahtarını keşfeden Çinli hacker’lar, çatlaktan sızarak ilgi alanına giren sayısız kişiyi aylarca takip etmiş. Hasar raporu, FamousSparrow’un kamu kurumlarının büyük bölümünün yanısıra otel kayıtlarını dahi izlediğini gösteriyor.

Yerli ve milli fişleme

Türkiye’deki internet altyapı sağlayıcı şirketlerin çatısı, BTK olarak da bilinen Ulaştırma ve Altyapı Bakanlığı’na bağlı Bilgi Teknolojileri ve İletişim Kurumu. Ve aynı zamanda (resmi olarak kabul edilmese de) yukarıda değindiğim arka kapının da yerel işletmecisi.

İlk olarak CHP Milletvekili Onursal Adıgüzel tarafından ortaya atılan bu iddia, kamuoyuna sızan bir belgeyle ispatlanmıştı. İnternet servis sağlayıcılara gönderilen 15 Aralık 2020 tarihli bir yazı, tüm kullanıcıların internet trafiğinin “her saat başı”, adı ve soyadıyla eşleştirilerek BTK’ya yollanmasını zorunlu kılıyordu. İstenen bilgiler arasında sadece hangi saatte hangi siteleri ziyaret ettiğiniz değil, o kaynaklardan ne indirdiğiniz; hatta indirdiğiniz verinin dosya boyutu bile yer alıyordu.

BTK ayrıca 4 Aralık 2018’de aynı şirketlerden “Abone Desen Yapısı” adlı enteresan bir başlık altında ayrı bir bilgi talebinde daha bulunmuştu (PDF). İnternet kullanıcılarının ad, soyad, doğum tarihi, TC kimlik ve pasaport numaraları, cinsiyet, uyruk, anne-baba adı, anne kızlık soyadı, ikamet adresi, mevcut cep telefonu numarası, eski cep telefonu numarası şeklinde uzayan bu istek listesi, fişlemenin kayda geçen ilk adımıydı.

Bu bilgiler ve güncel gelişmeler ışığında şu soruyu sormak gayet makul görünüyor: Vatandaşlarının tüm dijital verilerini kaptıran ve internet altyapısını tamamen ABD, İsrail ve Çin menşeli yazılım ve donanımlar üstünde yürüten Türkiye’de kendimizi sahiden güvende hissedebilir miyiz?

Bence de.

(11 Ekim 2024 tarihli Oksijen gazetesindeki yazım.)



Yayın Tarihi:

Kategori:


Yorumlar

3 yanıt

  1. melih özçelik avatarı
    melih özçelik

    TC kimlik numarası hikayesi ile başlayan ve günümüzde sağladığı kolaylıklar göz önüne alındığında artık vazgeçilsmezimiz olan e- devlet sistteminin aslında dijital fişleme olduğunu en başından biliyor en azından şüpheleniyorduk. Buna karşı yapılabilecek bir şey varmıydı ? Yoktu. Dolayısı ile oldu bittiyle şüphesiz bazı elitlerin fikri olarak dünyamıza giren uygulamaya karşı sessice direndik. Verilerin ele geçirilmesi de bence sonradan uydurulan bir hikaye Dijital ortamda veriler zaten ellerindeydi. Yapılacak şey bence: Avrupada bile birçok ülkede olmayan bu e devletimize sahip çıkmalı ve tıpkı F 16 uçaklarında yazılımları nasıl yerlileştirip Yerli uçağımız yaptıysak E devletimizi de yerlileştirebiliriz.
    Giden gitti Biz bundan sonrasına bakalım..

  2. Hidayet E. Varmış avatarı
    Hidayet E. Varmış

    Yazdıklarınıza katılmıyorum. E-devlet hem devlerin işleyişini iyileştirdi hem de vatandaşın hayatını kolaylaştırdı. Siz veri güvenliğinin sağlanamamasını anlatmışsınız. İki konu aynı değil ki. O zaman inekler sera gazı üretiyor diye et yemekten vaz mı geçelim?

    1. M. Serdar Kuzuloğlu avatarı

      Yazıda bahsettiğiniz türden bir iddia yok zaten. Sizin örneğiniz et yemeyi sevenler olduğu için ineklerin sera gazlarına katkısını görmezden gelmemiz gerektiği gibi bir mantığa oturuyor. O da katılabileceğimiz türden bir yaklaşım değil. “Ad hominem” ile yapıcı olmak imkansız.

Görüşlerinizi paylaşın: