• BIST
    105.840
  • Altın
    160,342
  • Dolar
    3,8842
  • Euro
    4,5831
  • Mobil Sayfamız
  • Facebook Sayfamız
  • Twitter Sayfamız
  • Google Plus Sayfamız
  • RSS Servisimiz
  • Android Uygulamamız
  • iOS Uygulamamız
e-devlet’te skandal iddiası
İddiaya göre vatandaşların devletle online iletişimini sağlayan E-Devlet sisteminin güvenliği Rusya merkezli Yandex’in tehdidi altında…
16 Ağustos 2017 / 15:03

Bilişim güvenliğine yönelik spekülasyonlar bitmek bilmezken son iddia, Türkiye Cumhuriyeti'nin resmi internet portalı turkiye.gov.tr hakkında ortaya atıldı. İddiaya göre Rusya merkezli internet sitesi Yandex, Türkiye'nin e-devlet sistemi üzerindeki verileri yerleştirilen javascript kodu sayesinde ele geçirebiliyor.

İddiayı bilişim uzmanı Maruf Çetin gündeme getirdi. Kendisine ait bloku üzerinden “E-Devlet Sisteminde Yandex Skandalı” başlıklı yazı kaleme alan Çetin, Yandex'in vatandaşların bilgilerine ulaşabileceği iddiasında bulundu.

İşte o yazı:

Çocuğun üniversite kaydı için www.turkiye.gov.tr adresine girdiğimde kaynak kodunda yandex.ru sitesinden çalıştırılan bir javascript kodu olduğunu gördüm. Yandex Metrica tıpkı Google Analytics gibi çalışan bir sistem. Siteye gelen ziyaretçilerin bilgilerini toplayıp, topladığı bilgilerin çok önemsiz bir kısmını ülke/bölge lokasyonu, ip, tarayıcı bilgisi vs. gün, ay, yıl olarak raporluyor. Ancak bu sistemlerin topladığı bilgi bundan çok daha fazladır. Bir sitenin kaynak koduna böyle bir kod konulduğunda siteye gelen ziyaretçinin doldurduğu bütün form bilgileri, ve bütün çerezleri okuyabilir. Böylece sisteme giriş için kullanılan kullanıcı adı ve şifre de dahil pek çok bilgiyi ele geçirebilir.

Türkiye'nin tüm e-devlet uygulamalarının bel kemiğini oluşturan www.turkiye.gov.tr adresinde hem de (.ru) uzantılı yandex kodunun ne işi vardır? Zaten bütün web sunucularının kendi ayrıntılı istatiksel raporlamaları vardır. Örneğin önceleri yönettiğim Linux tabanlı kendi sunucularımda açık kaynak Apache web sunucusunu kullanıyordum ve onunla birlikte yine açık kaynak kodlu Webalizer ve Awestats gibi raporlama programlarını yüklüyordum. Tüm sunucularda benzer programlar mevcuttur. Google Analytics veya Metrica'nın verdiği ziyaret raporlarından daha ayrıntılı raporlar veriyorlar. Şimdi Metrica'ya yada Analytics'e neden ihtiyaç duyuluyor? Yandex'teki e-devlet kullanıcı istatistiklerini Cumhurbaşkanına, Başbakana, ilgili bakanlıklara ve ilgili birimlere yine Yandex sitesi üzerinden mi gösteriyorsunuz? Demek ki, birileri devlet sırrı ve mahremiyeti ile blog sitesinin gizliliği ve mahremiyeti arasındaki farkı kavrayamamış!!! Ben bu konuyu sosyal medyada paylaşmaya başlayınca bazı webmaster arkadaşlarım orada basit bir sayaç olduğunu ve abartılmaması gerektiğini savundular. Mübarek insan, e-devlet sistemi senin kendi köyünün ziyaretçi defteri değil ki sayaç koyasın!!! Kendi sitelerinin Admin (Yönetim) kısmına yandex google sayacı ve arama motorları indexlemesi koymayan bu arkadaşlar devlet yönetiminin programına sayaç konulmasını savunabiliyor. Bilgisizlik ve sorumsuzluk, başka bir şey değil.

Siteye dahil edilen bir javascript kodun ne kadar zararlı olabileceğini herhalde bazıları farkedememiş. Bu kod eklendiği zaman sitedeki tüm javascript etkinliklerini yapabilir. Sitede girilen tüm formları, formların içindeki tüm inputları ve bu inputlarda taşınan tüm değerleri alıp yine kendi sunucusu ile iletişim kurarak saklayabilir. Yani sisteme girmek için kimlik numarası ve edevlet şifresini yazıp enterladığın o form varya, o formdaki user ve password bilgilerini aynen yandex.ru adresine aktarabilir. Aynı şekilde sitenin tarayıcıya kaydettiği ve tekrar oradan okuduğu yine kullanıcı, password ve diğer bilgileri içeren çerezleri (cookie) okuyabilir, değiştirebilir ve kendi sunucusuna (yandex.ru) aktarabilir. Dahası, javascriptler sadece cookie ve form okumakla sınırlı değildir. Harici bir site ile makine dilinde de etkileşim sağlayabilir. XML ve JSON kullanarak da başka bir sunucudan bilgi alabilir ve başka bir sunucuya bilgi aktarabilir. Yani o kod orada edevletin tüm veritabanını çekemez. Ama edevlete giriş yapan kullanıcının site ile etkileşiminden doğan tum bilgileri çalabilir. Ben web sitelerinin yanısıra eticaret sistemleri ve otomasyon tasarlamış birisiyim. Arama motorlarında E-Devletin giriş sayfaları dışında indexlenmesi zaten doğru değildir. Vatandaşın tapu kayıtlarının olduğu sayfaları mı indexleyeceksiniz? Neyi indexliyorsun? Ama şifre ile giriş yapıldıktan sonraki vatandaşın tapu kayıtlarının olduğu sayfada da Yandex'in Metrica kodu hala aktif!!!

Yada (örneğin) adalet bakanlığı bölümündeki "devam eden davalar" dosyalarına da erişebiliyor Yandex'in Metrica kodu...

Ruslar bu kod ile e-devlet sistemine giriş yapan bütün vatandaşların edevlet platformu içinde yer alan tüm bilgilerini çalabilirler. Sadece şifresini değil, tapu kayıtlarından devam eden davalarına kadar!!!

Dikkat edin e-devlet bir site değil, bir sistemdir. Orası Hürriyet gazetesi değil. Bir haber sitesi yada bir alışveriş sitesi de değil. Devletin vatandaş ile bağlantı kurduğu ve gizlilik taşıması gereken KOMPLİKE BİR SİSTEMDİR. Bir site değil, bir program ve uygulamadır. Kurumlar arasında bilgi akışının sağlandığı bir platformdur. Oraya basitçe bir yandex sayacı koyamazsın. F16daki yazılımı değiştirdik, artık amerikan yazılımını değil %100 Türk yazılımı kullanıyoruz diye böbürlenen bizler, kalkmış F16 yazılımından bile daha önemli olan e-devlet sistemine (.ru) uzantılı bir sayaç programı dahil ediyoruz. Bu mudur yani?

E-devlet vatandaşın, eğitim durumunu, sağlık durumunu, vergi durumunu, sgk sicillerini, tapu ve araç kayıtlarını ve daha onlarca uygulamayı içeren komplike bir sistemdir. Eğer bu kod dışardan yetkisiz bir şekilde konulmuşsa (ki bu ihtimal daha güçlü görünüyor), e-devlet sistemi hacklenmiş demektir. Yok eğer içerideki mühendisler koymuşsa, son derece bilinçsiz bir şekilde bir güvenlik açığı oluşturmuşlardır. Bunun sorumluluları bulunmalı! Analytics yada Metrica gibi sistemlerin kullanılmasının tercih edilmesinin amacı, reklamverenlere doğru bir bilgi sunmaktır. Eğer bir haber siteniz varsa reklam almak için sitenizin ziyaretçi sayısı konusunda reklamverenleri ikna etmeniz gerekiyordur. Sizin kendi sitenizdeki sunucunuzdaki webalizer sonuçlarına güvenmeyebilir. Çünkü oradaki raporlarla oynama ihtimaliniz olabilir. Bu durumda Analytics üçüncü bir taraf olarak reklamverenlere ziyaretçilerin sayısı konusunda daha güvenilir bilgiler sağlar. E-Devlet sitesi reklam alan bir site midir?

Giriş için SMS Aktivasyonu Uygulansın

Çok mühim bir konu da girişteki kolaylıktır. Mevcut haliyle şifreyi ele geçirmesi durumunda sadece yetkisiz kişiler değil, aynı zamanda yazılım robotları (bot deniyor) da sisteme giriş yapabilir. Robotlar sistemi sömürür ve tıkanmasına da sebep olurlar. Çünkü bir vatandaşın sitede gezinirken açabileceği sayfalardan çok daha fazlasını açarlar. Vatandaşların e-devlet şifreleri belirli mahfiller tarafından ele geçirildikten sonra, (ki muhakkak geçirilmiştir) bir robot yazılımı ile o vatandaşlara ait e-devlet platformu üzerindeki tüm bilgiler çok ayrıntılı olarak çalınabilir. Sanki o vatandaş siteyi ziyaret ediyor işlem yapıyormuş gibi bir uygulama yapılabilir. (Ki muhakkak yapmışlardır) Bu yüzden e-devlet giriş bölümüne acilen SMS Aktivasyonu uygulanmalıdır. Tıpkı bankalarda olduğu gibi vatandaş şifreyle giriş yaptığı zaman sistemde kayıtlı cep telefonuna SMS ile geçici aktivasyon şifresi gelmelidir. Vatandaşın sistemde kayıtlı cep telefonu yoksa, ilk girişte cep telefonunu tanımlamaya ve aktivasyonunu yapmaya zorlanmalıdır. Hatta yine bankalarda olduğu gibi giriş sırasında rastgele ve daha özel sorular da sorulmalı. Doğum yeri, doğu tarihi, anne kızlık soyadının bazı harfleri vs.

Önemli Sitelerde Bir Başka Güvenlik Sorunu

www.edevlet.gov.tr adresine bakınca da daha hafif olsa da yine güvenlik sorunu oluşturabilecek bir durumla karşı karşıyayız. Bir site başka bir siteden kod çalıştırmasına izin vermemeli. Bunu hiç bir banka yapmaz. Yan resimdeki www.edevlet gov.tr sitesinde bizim sitenin dışında aspnetcdn.com, devexpress.com, jquery.com, onlinehtmltools.com, ajax.googleapis.com domainlerinden harici olarak kod kullanımına izin verildiği görülmektedir. Günümüzde web tasarımında ve programlamasında önemli bir hale gelen framework'ler doğrudan kendi sitelerindeki CDN üzerinden kullanılmamalı. Bu sitelerde çoğu açık kaynak olan bu framework'lerin indirilerek (download) sitenin içine kurulması bu konuda olası bazı güvenlik sorunlarını azaltmış olur.

Bu haber 1489 kez okudu
YORUM YAZ
UYARI: Haberler ilgisi bulunmayan, hakaret içeren cümleler veya imalar, inançlara saldırı, şiddete teşvik eden yorumlar onaylanmamaktadır.
Güncel Kategorideki Diğer Haberler
İbrahim Kalın, Ahmet Kaya'nın mezarını ziyaret etti
Cumhurbaşkanlığı Sözcüsü Kalın, sanatçı Ahmet Kaya'nın mezarını ziyaret etti.
Suudi, Türkiye'den ANKA almak istiyor
Suudi Arabistan Türkiye'den insansız hava aracı almak için 'görüşme halinde'
Batman'da 2 katlı ev çöktü: 1 ölü, 6 yaralı
Batman'ın Kozluk ilçesinde çöken kerpiç evin altında kalan bir kişi yaşamını yitirdi, yaralanan 6 kişi hastaneye kaldırıldı.
PKK Militanının Cenazesine Katılan HDP'li Vekiller Hakkında Soruşturma
"Arananlar listesi"nde kırmızı kategoride yer alan, "PKK/KCK Beşli Yürütme Konseyi" üyesi, "Delal Amed" kod adlı Hülya Eroğlu'nun Diyarbakır'daki cenazesine katılan HDP'li milletvekilleri hakkında soruşturma başlatıldı.
Helal pazarın yüzde 80'i gayrimüslimlerin
Ekonomi Bakanı Zeybekci, "Yaklaşık 4 trilyon dolarlık helal ürün pazarının yüzde 80’i gayrimüslim ülke firmalarının. Helal ürünlerin sadece belgelendirme pazarının büyüklüğü ise 6 milyar dolar." dedi.
Doğu'da kar yağışı bekleniyor
Doğu Anadolu Bölgesi'nin yüksek kesimlerinde kar yağışı beklendiği bildirildi.
Urfa da ulaşımda 24 saat uygulamasına geçti
Ankara Büyükşehir Belediyesi'nin aldığı kararın ardından Şanlıurfa Büyükşehir Belediyesi de en çok kullanılan 5 otobüs hattında, 24 saat ulaşım hizmeti başlattı.
Kış bakımı uyarısı; Yaza göre kaza riski 6 kat fazla
TŞOF Başkanı Apaydın, kışın kaza riskinin yaza göre 6 kat fazla olduğuna işaret ederek, sürücüleri araçlarının kışlık bakımlarını yapmaları konusunda uyardı.
Bharara ve Kim hakkında soruşturma başlatıldı
İstanbul Cumhuriyet Başsavcılığınca, ABD'de Türkiye Cumhuriyeti vatandaşlarının yargılandığı davada, bilgi ve belgelerin delil olarak kullanıldığı iddiasına ilişkin, Preet Bharara ile Joon H. Kim hakkında soruşturma başlatıldı.
İkinci el araçta 'kilometre' oyununa son
İkinci el araçların muayene tarihi ve kilometresine ilişkin bilgiler, PTT’nin HGS ve PTTBank mobil uygulamaları aracılığıyla öğrenilebilecek.
Dolandırıcılar sosyal medyayı da hedef aldı
Son yıllarda e-ticaret, sosyal medya ve mobil uygulama kullanımının yaygınlaşmasıyla bu alanlardaki dolandırıcılık vakalarında artış yaşanırken, uzmanlar uyarıyor
OHAL komisyonu karar aşamasında
OHAL İşlemleri İnceleme Komisyonu, Kanun Hükmünde Kararname (KHK) ile meslekten ihraç edilenler, bursu kesilen öğrenciler, rütbeleri alınan emekli güvenlik personeli ve kapatılan kurum ile kuruluşlara ilişkin başvurularda karar aşamasına geçti.
  • Güncel
  • Siyaset
  • Ekonomi
  • Eylem ve Etkinlikler
  • Dünya
İkinci el araçta 'kilometre' oyununa son KYK burs ve kredi sonuçları açıklandı 'Türkiye'de ombudsmanlık kararları yüzde 53 uygulanıyor' Antalya'yı şiddetli yağış, fırtına ve hortum vurdu 'Terör örgütü üyelerinin en az 15 çocuğu var' Canikli: S-400 füzeleri satın alındı AK Partili Belediye Başkanı Tüm Camilerde 10 Kasım Mevlidi Okuttu YKS Temel Yeterlilik Sınavı tarihleri belli oldu Türkiye'de 27 bin 592 kişi organ nakli bekliyor Danıştay üyesi meslekten çıkarıldı
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
YAZARLARIMIZTÜMÜ
ÇOK OKUNANLAR
    GAZETELER
    NAMAZ VAKİTLERİ
    İmsak
    Güneş
    Öğle
    İkindi
    Akşam
    Yatsı
    Haksöz Haber Radyo Selam | Tevhidin Adaletin ve Özgürlüğün Sesi
    © Copyrigth 2015 yonelishaber.com tüm hakları saklıdır.
    Sitedeki tüm harici linkler ayrı bir sayfada açılır ve linklerin sorumluluğu alınmaz. Yazılım ve Teknik Destek : AmdYazılım
    • Rss Servisi
    • Google+ Sayfası
    • Twitter Sayfası
    • Facebook Sayfası