ARAŞTIRMA YAZISI | Naci KAPTAN
SORULAR
BİR: SEÇSİS sisteminin UYSM tarafından sertifikasyonu var mıdır?
İKİ: Yazılımda kullanılan kriptoloji donanımı nedir?
CEVAPLAR
BİR: SEÇSİS’in UYSM sertifikasyonu yoktur.
İKİ: SEÇSİS’in kriptolojisi hakkında bilgimiz yoktur.
2018: SEÇSİS VE SEÇİM GÜVENLİĞİ
Değerli okur,
Hergün daha da derinleşmekte olan ekonomi Türkiye’yi ve iktidar partisi AKP’yi daha da zora sokmaktadır. Hükümet dışarıdan borç alacak kaynak bulmakta zorlanmaktadır. Yakın zamanlarda kamu çalışanlarının ödemeleri vaktinde yapılamazsa şaşırmayınız. AKP yönettiği daha doğrusu yönetemediği Türkiye’yi tüm evrensel değerlerin sıralamasında SON SIRALARA indirmiştir. Fakat yolsuzluk, rüşvet, insan haklarının ihlali gibi değerlerde de Türkiye sıralamanın üstlerine getirilmiştir. Demokrasi ve hukuk ise çok büyük yara almıştır. Bundan da öte Türkiye uluslararası ilişkilerde büyük itibar kaybına uğramıştır.
Ülkeyi yönetemeyen ekonomiyi çökerten AKP iktidarı bu nedenlerle 2019’da yapılacak olan seçimleri demokrasiye, geleneklere ve Anayasa’ya uymayarak “2 adam kararıyla” 24 Haziran 2018 tarihine almıştır.
Türkiye bu seçimlerin sonucuna göre;
* Ya Laik demokratik Cumhuriyet kimliğini ve parlamento sistemini sürdürecektir.
* Veya Tek adamın yönettiği, meclisin dışlandığı bir islam Devletine, karanlığa mahkum edilecektir.
Bu verilerin ışığı altında SEÇİM HİLELERİNE tekrar dikkat çekmek istedim. Bilindiği gibi AKP seçim yasasında HİLEYE AÇIK ve nedensiz değiştirmeler yapmış olup, 24 haziran seçimlerinde yapacakları hilelere geçerlik ve bir yasal dayanak kazandırmak istemektedir.
MUHALEFET PARTİLERİNE
* Tüm muhalefet partilerinin birleşerek PARMAK BOYAMA sisteminin tekrar başlatılmasını sağlamaları gereklidir.
* SEÇSİS sisteminin dışarıdan manüplasyona açık olduğu ve verilerle oynanarak sonuçların değiştirilebildiği bilinmektedir. Bu konuyu, bu yazı dizisinin 1. bölümünde; SEÇSİS SİSTEMİ ABD MAHKEMESİNDE NASIL SORGULANDI!!! * görsel sunu * BİLİŞİM UZMANININ İFADESİ http://nacikaptan.com/?p=8242 okuyabilİrsiniz. ABD’deki mahkemede yapılan soruşturmayı teyid eden ve referandumda YSK’da görevli olduğunu yazmış olan bilişim uzmanın mektubu ABD mahkemesinin soruşturmalarını desteklemektedir. Bu nedenlerle ABD, Almanya, Yunanistan’da yasaklanmış olan , YAZILIM SERTİFAKASI BULUNMAYAN, KRİPTOLOJİ OLMAYAN SEÇSİS’in (Sun Election System) KULLANILMASINDAN VEZGEÇİLMELİDİR.
YİNE SEÇSİS SİSTEMİNİN AÇIKLARINA DÖNELİM;
Yurt Gazetesi
12 Şubat 2015 Perşembe
AKP’YE seçimleri SEÇSİS mi kazandırıyor?
Radikal gazetesi yazarı Ezgi Başaran bugünkü köşe yazısında seçim sonuçlarının girildiği SEÇSİS adlı yazılıma girilen verilerin rahatça değiştirilebileceğini ve bunun denetlenemeyeceğini yazdı. Hükümetin verdiği cevap şoke etti.
Radikal gazetesi yazarı Ezgi Başaran, uzun süredir tartışma konusu olan ve kamuoyunda “AKP’ye seçim kazandıran sistem” olarak adlandırılan SEÇSİS’i masaya yatırdı. Başaran, SEÇSİS adlı yazılımla ilgili yazdığı üçüncü yazısında çok çarpıcı bilgilere yer verdi.
Programdaki güvenlik açıklarına dikkat çektiği yazısında, bu konu hakkında hiçbir önlem alınmamasına tepki gösteren Başaran, sisteme girilen bilgilerin rahatlıkla ikinci bir kişi tarafından değiştirilebileceğini aktardı. Başaran, yazılımın gerekli güvenlik sertifikalarına sahip olmadığını da vurguladı.
İŞTE EZGİ BAŞARAN’IN RADİKAL’DEKİ O YAZISI
Vatandaş koş! Devletin SEÇSİS ile ilgili verdiği cevaba bak!
Öyleyse bizden SEÇSİS programına giriş yetkisi bulunan YSK personellerine ve seçim zamanı “geçici” olarak yetkilendirilen başka kimselere güven duymamız mı bekleniyor? Sahiden mi?
Genel seçimlere doğru üzüntü verici bir durumla (daha) karşı karşıyayız, sevgili okurlar.
Hatırlayacaksınız, aylar önce, (tam olarak 3 Haziran’da) seçim sonuçlarının girildiği SEÇSİS (Bilgisayar Destekli Seçmen Kütüğü Sistemi) adlı yazılımın güvenli olmadığını yazmıştım. Sebebi şuydu: Diyelim ki İstanbul Beşiktaş’taki sandıklar sayıldı. Görevli ilçe seçim kuruluna gidip elindeki tutanağı taratıyor ve karşısına çıkan SEÇSİS ekranına oy oranlarını yazıyor.
O SEÇSİS ekranını, karanlık tarafları birbirine yapışık iki ayna olarak düşünün. Bir yüzü sandık sorumlusunun karşısına çıkıyor, o da o yüze yani ekrana sonucu giriyor. Diğer yüz ise SEÇSİS’in yetkili teknik adamına bakıyor. Normal şartlarda eğer elimizdeki sağlam ve “geriye dönük hesap verebilir” bir yazılım ise verilerin girildiği tarif ettiğim ekranın karşısında kimin oturduğunun hiçbir önemi olmazdı. Çünkü veriler değiştirilemez, değiştirilse de bağımsız bir üçüncü taraf tarafından tespit edilebilirdi. Ama SEÇSİS böyle bir yazılım değil. Çünkü SEÇSİS yazılımının UYSM (Ulusal Yazılım Sertifikasyon Merkezi) sertifikasyonu yok!
Haziran 2014’deki yazımda belirttiğim gibi çeşitli milletvekilleri (örneğin Oktay Ekşi ve Sezgin Tanrıkulu) YSK’ya bu durumu sormuş ama cevap alamamıştı. Sonra Teknopark’taki bir mühendis bilgi edinme kanununu kullanarak İTÜ’ye bağlı UYSM’ye iki soru gönderdi.
SORULAR
BİR: SEÇSİS sisteminin UYSM tarafından sertifikasyonu var mıdır?
İKİ: Yazılımda kullanılan kriptoloji donanımı nedir?
CEVAPLAR
BİR: SEÇSİS’in UYSM sertifikasyonu yoktur.
İKİ: SEÇSİS’in kriptolojisi hakkında bilgimiz yoktur.
Ben de UYSM’yi arayıp ilgili yüksek mühendise bizzat sormuş “Hayır” cevabını almıştım. Bu konuyla ilgili yazdığım 3 yazının ardından muhalefet milletvekilleri hükümete soru önergesi verdiler. Bu vekillerden biri CHP’li Aykan Erdemir’di. Erdemir’in önerge metni şöyleydi: “Ezgi Başaran’ın Radikal’de yazdığı SEÇSİS ile ilgili makale kamuoyunda endişeye yol açmıştır. Bu bağlamda;
1) SEÇSİS’in UYSM sertifikasyonu olmamasının sebebi nedir?
2) SEÇSİS’in bugünkü sisteminde sonuçlar girildikten sonra değişiklik yapılması mümkün müdür?
3) SEÇSİS’in kriptolojisine yönelik gizlilik politikası uygulanmasının sebebi nedir?
Günler, haftalar, aylar ve bir Cumhurbaşkanlığı seçimi geçti, yanıt gelmedi.Ta ki 2015 yılının, Ocak 25’ine kadar! Evet 8 ay sonra. Zaten TBMM kayıtlarına “Süresi geçtikten sonra cevaplanan” önerge olarak geçti.
Önergenin yolculuğu da Kafkaesk bir piyes lezzetinde. Erdemir soruyu Başbakan Yardımcısı Bülent Arınç’a soruyor. Arınç topu Adalet Bakanı’na atıyor. Adalet Bakanı YSK’ya gönderiyor. YSK, Başkanı’na soruyu cevaplama yetkisi veriyor! Sonuçta da Seçmen Kütüğü Genel Müdürlüğü bir cevap gönderiyor.
Gelelim o cevaba:
1) SEÇSİS CMMI 3. seviyesinde sertifikasyona sahip HAVELSAN uzman personeli ile Başkanlığımız teknik personelinin ortak çalışması sonucu gerçekleştirilmiş özgün ve milli bir yazılımdır. Yurtdışı kaynaklı askeri projelere teklif vermek için en az CMMI 3 düzeyinde olma zorunluluğu aranmakta olup bu zorunluluk kamu e-devlet projelerinde de hızla yaygınlaşmaktadır. Ayrıca kurumsal güvenlik politikamız çerçevesinde TÜBİTAK Bilgi Güvenliği Araştırma Merkezi’ne düzenli aralıklar ile yaptırılan sızma testleri ve güvenlik denetlemeleri doğrultusunda güvenlik sıkılaştırılmaları SEÇSİS’e uygulanmaktadır.
2) Seçim günü SEÇSİS uygulamaları sadece sandık sonuç tutanaklarına ait bilgilerin girilmesi ve birleştirme tutanaklarının alınması için kullanılmaktadır. SEÇSİS uygulamalarına erişim kullanıcının görev türüne göre olmakta, kullanıcılar kurum personeli ve geçici seçim personeli olarak tanımlanmaktadır. Sandık sonuç bilgileri sadece bir defaya mahsus geçici seçim personelince SEÇSİS’e işlenmektedir. Daha sonra itiraz süresince ilçe seçim kurulu tarafından karara bağlanan itirazlara göre sandık sonuç bilgisi değişiklikleri sadece kurum personelince SEÇSİS’e işlenmektedir. Sandık sonuç girişlerinin her aşaması kayıt altına alınmakta olup sonuç bilgileri ve tutanakların imzalı örnekleri seçim akşamı seçime katılan siyasi partilerin denetimine elektronik ortamda açılmaktadır.
3) SEÇSİS’in kriptolojisine ilişkin gizlilik politikası ile ilgili soru kurumsal bilgi güvenliği politikası çerçevesinde cevaplandırılmamıştır.
Neresinden başlasam?
8 ay sonra gelen cevap metninin içinde bir sürü laf var ama laflar sorulan soruların hiç birini cevaplamıyor.SEÇSİS’nin niye UYSM sertifikasyonu yok diye soruluyor, cevap “SEÇSİS, CMMI sertifikasyonu olan Havelsan tarafından yazılmıştır,” şeklinde geliyor. Pes. Elbette, Havelsan’ın CMMI sertifikasyonu var, yoksa “uluslararası zeminde tek satır kod yazamaz”. Fakat bu bize SEÇSİS’in güvenirliliği ile ilgili hiçbir bilgi vermiyor. Ver-mi-yor!
Daha önce anlattığım şekliyle anlatayım:
“SEÇSİS”i bir kutu olarak düşünün. Bugün içine 2 adet elma koyun. Yarın kutuya sorun, kaç elma var? Sertifikasyonu olan bir kutu mutlaka ama mutlaka 2 elma yanıtını verecektir. Sertifikasyonu olmayan bir kutuya ise içindeki elma sayısına 2 daha ekleyerek cevap ver komutunu verebilirsiniz ve hiç kimse bunu denetleyemez. Bu basit anlatımdan da çözülebileceği gibi SEÇSİS’in arkasındaki kimseler girilen seçim sonuçlarını istedikleri gibi değiştirebilir, bu değişiklik üçüncü bir parti tarafından takip edilemez ve sonuçlar YSK’daki yargıçlara, bu yargıçların hiçbir bilgisi olmadan, onaylatılabilir.”
Görüldüğü üzere devlet 8 ay düşünüp taşınıp buna “Hayır öyle değildir,” diyememiş. Fakat istemeden başka bir tehlikeli durumu gözler önüne sermiş: İkinci soruya verdikleri cevaba göre, SEÇSİS’e bilgi girebilen kişiler kurum personeli ve “geçici seçim personeli” imiş. Yani seçim vakitleri sistem çok daha fazla kişiye açılıyor ve güvenlik zaafı büyüyor. Yine aynı cevapta itiraz süreçlerinin ardından kurum personeli tarafından yeni bilgilerin eklenebildiğini öğreniyoruz. Bu zaten sistemin doğal zaafı.
Dolayısıyla, Erdemir’in “Bugünkü sistemde sonuçlar girildikten sonra değişiklik yapılması mümkün müdür,” sorusunun cevabı da, doğal olarak, “Evet” oluyor.
Kriptolu telefonlar dahil herkesin dinlendiği, sınavların çalındığı, dışarıdan bilgisayarlara belge yerleştirildiği (bu belgeler nedeniyle insanların hapis yattığı), Başbakan’ın odasına böcek konabildiği, UYAP’takiler dahil bir çok polisin “paralel bir devlete” hizmet ettiği gerekçesiyle sürüldüğü, hapse atıldığı, çeşitli siyasi davalara utanç verici bilirkişi raporlar veren TÜBİTAK’ın en güvenilmez kurumlardan biri olarak dikildiği bir Türkiye’de…
Teknik olarak denetlenmesi mümkün olmayan bir seçim yazılımına, YSK’nın bu programa giriş yetkisi bulunan personellerine ve seçim zamanı “geçici” olarak yetkilendirilen başka kimselere güven duymamız mı bekleniyor?
Sahiden mi?
NOT: Tüm bu nedenlerle canını dişine takacak sandık görevlilerine, Oy ve Ötesi gibi her adımı kendi veri tabanları aracılığıyla takip edecek bağımsız ve gönüllü örgütlere Haziran seçimlerinde çok iş düşecek.
Devam edecek
Naci Kaptan, 22 Nisan 2018
Peki Nedir CMMI? REFERANDUMUN VE SEÇSİS SİSTEMİNİN KULLANILMASININ İPTALİ… (2)
SEÇSİS’İN SEÇİMLERDE KULLANILMASI ~~~ ABD’NİN SİBER CASUSLUK İMKÂNLARI, KAABİLİYETİ (3)
BİR BİLGİSAYAR MÜHENDİSİNİN ELEKTRONİK MÜDAHALEYE İLİŞKİN TESPİTLERİ… (4)
– Posted on 22 April 2018.
Turkish Library Museum is under the umbrella of The Light Millennium Organization, which is officially formed based in New York in 2001. NGO Associated with the United Nations Department of Public Information since 2005.
https://turkishlibrary.us | http://www.lightmillennium.org