e-imza'daki risk İBB Davası'na sunulan raporla ortaya çıktı: Tüm kamu personelinin e-devletine erişilebilir
BB Davası için bilimsel mütalaa hazırlayan Prof. Tuna Tuğcu, e-imzadaki güvenlik açığını tespit etti. Tespite göre, güvenlik açığı nedeniyle e-imza kullananların e-devletine giriş yapılabiliyor.
CAN BURSALI
GAZETE PENCERE - İstanbul Büyükşehir Belediyesi’ne (İBB) yönelik yapılan operasyonların ardından açılan davada yargılanan Ulaş Yılmaz’ın avukatı, veri sızıntısı iddiasına yönelik uzman raporu aldı. Bu raporu hazırlayan isimler arasında yer alan Prof. Tuna Tuğcu, çarpıcı bir tespitte bulundu. Tuğcu’nun tespitine göre, kamu kurumlarında kullanılan e-imzadaki güvenlik açığı nedeniyle tüm kamu personelinin e-devletine girilerek banka hesaplarına ulaşmak mümkün.
AVUKAT TÜBİTAK VE BTK’YA BİLDİRDİ
İBB’nin tutuklu Dijital İletişim Koordinatörü Ulaş Yılmaz’ın avukatı Hüseyin Ersöz, Boğaziçi Üniversitesi’nden Prof. Tuna Tuğcu ve Prof. Cem Ersoy’dan veri sızıntısı iddiasına yönelik bilimsel mütalaa istedi. Akademisyenler çalışmalarını yaptığı sırada, Prof. Tuğcu e-imzayla ilgili bir açık keşfetti. Avukat Ersöz, Prof. Tuğcu’nun keşfettiği açıkla ilgili, TÜBİTAK ve Bilgi Teknolojileri ve İletişim Kurumu’na (BTK) bildirimde bulundu.
BİLİMSEL MÜTALAA HAZIRLIĞI YAPILIRKEN TESPİT EDİLDİ
Hem avukatların mesleki faaliyetlerinde hem de e-imza kullanan tüm kamu kurumlarını ilgilendiren bu tespite göre, kamu personelinin e-devletine e-imza ile girerek banka hesaplarına ulaşmak, e-imza atmak mümkün olabilir. İBB Davası’nın görüldüğü İstanbul 40. Ağır Ceza Mahkemesi’ne sunulmak üzere yapılan bilimsel mütalaa hazırlığı sırasında keşfedilen bu durum, 27 Mart’ta TÜBİTAK ve BTK’ya bildirimde bulundu. Bunun üzerine harekete geçen BTK da, konuyu Siber Güvenlik Başkanlığı’na yönlendirdi.
E-İMZADA GÜVENLİK AÇIĞI RİSKİ
Prof. Tuğcu imzasıyla hazırlanıp avukat Hüseyin Ersöz tarafından ilgili kurumlara gönderilen raporun sonuç kısmında, TÜBİTAK bünyesindeki sunucunun HTTPS’ye geçişinin olumlu bir gelişme olduğuna ancak HTTP hizmetinin açık tutulmasının ise güvenlik açığına neden olduğuna ve e-imza kullanımında risk oluşturduğuna değinildi.
MAHKEME BAŞKANI’NDAN TEŞEKKÜR
Prof. Tuğcu’nun tespitini müvekkili Ulaş Yılmaz’ı savunurken anlatan avukat Hüseyin Ersöz’e, İBB Davası’nda yargılamayı yapan İstanbul 40. Ağır Ceza Mahkemesi Başkanı Selçuk Aylan teşekkür etti. Mahkeme başkanı, “Bu bildirim için duyarlı davranışınıza teşekkür ederim” dedi.
BİNLERCE KİŞİ ETKİLENEBİLİR
Uzmanlar, oluşan güvenlik açığının giderilmesi için bir süre sistemin kapatılması gerektiğine değiniyor. Yani gerekli önlemlerin alınması için adım atılırsa e-imza bir süre çalışamayacak. Bu da binlerce kişinin etkilenmesine neden olacak.
İBB Davası için bilimsel mütalaa hazırlarken güvenlik açığını tespit eden Prof. Tuna Tuğcu’nun hazırladığı, avukat Hüseyin Ersöz tarafından da ilgili kurumlara sunulan raporun sonuç kısmında şu ifadeler yer alıyor:
“koddeposu.tubitak.gov.tr sunucusunun HTTPS'ye geçiş yapmış olması olumlu bir gelişmedir. Ancak HTTP hizmetinin açık tutulmaya devam etmesi, eski konfigürasyona sahip istemcilerde SSL Sıyırma saldırısına olanak tanımaktadır. Buna ek olarak, EBYS yazılımlarının Java truststore yönetimi ve sertifika doğrulama gerçeklemesindeki potansiyel eksiklikler, HTTPS kullanan istemcilerde bile MITM riski oluşturmaktadır. Bu raporda önerilen katmanlı savunma modelinin uygulanması, e-imza altyapısının iletişim güvenliğini önemli ölçüde güçlendirecektir. Risklerin etkin şekilde giderilmesi için TÜBİTAK/KamuSM, EBYS yazılım firmaları ve kurum BT birimlerinin koordineli çalışması gerekmektedir.”
Kaynak:Haber Merkezi
