Geçtiğimiz günlerde Yemeksepeti’nde gerçekleşen bir hack sonucunda kullanıcıların, yani bizlerin özlük bilgilerimiz ve ev adreslerimiz kim olduğu bilinmeyen kişilerin eline geçmiş. Bu konuda değerli arkadaşım İsmail Hakkı Polat Hocanın Twitter paylaşımını aşağıda görüyorsunuz.
Artık yeni bir dünyada yaşıyoruz. Eski zamanlarda sadece devletlerin ilgili birimlerinin, polisin veya emniyetin elinde olabilecek çok önemli ve kimi zaman stratejik bilgiler bugün artık “site” veya “uygulama” deyip geçtiğimiz şirketlerde kayıtlı.
Bu bilgiler bu şirketlerin merkezi veritabanlarında kayıt ediliyorlar ve veritabanlarının da çok iyi korunduğunu söyleyip duruyor bu kurumlar. Ancak ne yazık ki gerçek böyle değil. Zira mesele veritabanlarını hatta tüm yazılımları bile aşıyor, bazen donanım seviyesinde sorunlar var.
Yeni hacker’ların dünyası nasıl bir yer?
Hack kelimesi bilgisayar yazılımcıları tarafından senelerdir “kodlama” anlamına kullanılıyor. “Hackaton” diyoruz mesela, maraton koşar gibi yoğun program yazılan uzun haftasonlarına… Hacker kelimesinin ben de gençliğimden bu yana genellikle kişisel zevk için program yazan kişi olarak kullanılıyordum. Ancak birtakım haberciler (global olarak) uzun zamandır istikrarlı olarak “hacker” kelimesini “korsan” ya da “hırsız” anlamında kullanıyorlardı. Ve bizler de yıllardır buna itiraz ediyorduk. Ancak şimdi durum değişti.
Şu yukarıda gördüğünüz Yemeksepeti haberi, ne yazık ki çok sevimsiz ve tekinsiz bir haber. Bunlara hacker saldırısı diyerek geçiştirmemiz artık imkansız. Nedenine geleyim:
Artık hack dünyası bizim gençliğimizdeki sevimli ve zararsız bilgisayar farelerinin dünyası olmaktan çıktı. Bu yeni dünya artık irili-ufaklı ulus-devletlerin güvenlik birimlerinin ve gizli servislerinin oyun alanı haline geldi. Bugün kritik özlük bilgilerimiz sadece mahalle muhtarlarının mavi sırtlı dosyalarında korunmuyor. Dolayısıyla artık devlet kurumları dışında, sayısız online serviste ve uygulamada da adreslerimiz, TCK numaramız bulunuyor. Kapıya gelen her kutu için açıktan TCKN veriyoruz. Her kargo servisinin bilgisayarlarında ev adresimiz, TCKN’miz ve daha nice bilgiler bulunuyor.
İsmail Hakkı Hocanın belirttiği gibi artık bu kritik özlük bilgilerimizin blokzinciri üzerinde korunmasının zamanı geldi. Üstelik bu tür kritik bilgilerimizin bundan böyle bu servis sağlayıcılarında bile durmaması gerekecek. Tüm bilgilerimiz için sadece “need to know basis”, yani “bilinmesi gerektiği kadarı” paylaşılacak yeni bir blokzinciri adres ve özlük bilgileri tanımlaması yapılmalı.
Kimlik konusunu tartışmaya açıyorum!
Artık kimlik konusunu da milli/ulusal düzeyde tartışmaya açmamız lazım. Şu anda T.C. vatandaşlarının özlük bilgileri kevgir gibi olmuş bir durumda. Annenizin kızlık soyadını da içeren çalınmış veritabanları dark web’de yıllardır fink atıyor. Hatırlarsınız, yıllar önce bir seçim sırasında içinde milyonlarca seçmenin bilgileri olan bir veritabanı blok halinde internete düşmüştü ve yüz binlerce defa da indirilmişti.
Bir ülkenin insanlarının özlük bilgileri kadar temel verileri, yerli-yabancı her isteyenin kucağına gitmemeli. Buna artık bir dur dememizin zamanı geldi. Türkiye bundan sonra kendisine çekidüzen vermeli ve dünyada kendi vatandaşlarına blokzinciri kimliği tanımlayan ilk ülkelerden biri olmalı. Blokzinciri kimliği ne demek biraz açayım bu konuyu:
Kimliğimizde, önlü-arkalı sayfalarda yazılı olan bilgiler bizim temel bilgilerimizdir. Bunlar, isim-soyad, doğum yeri ve tarihi, nüfusa kayıt olduğumuz yer, kan grubu, medeni durumumuz, kızlık soyadımız gibi bilgilerdir. Buna ek olarak TCK numaramız da bu bilgiler arasındadır ve devletimiz tarafından tutulan tüm kritik bilgilerimiz işte bu TCKN üzerinden kayıtlıdır.
Ne yazık ki bugün e-devlet adlı portale giriş için sadece TCKN’mizi ve bir basit şifreyi bilmek yeterlidir. Şimdi sıradan bir bilgisayar faresi, kafaya taksa istediği TC vatandaşının e-devlet portaline girişini öğrenip bilgilerine erişebilir. Ne yazık ki bu sistemlerin koruması artık çok zayıf kaldı.
Seçilecek bir blokzinciri üzerinde önce bir defa tüm özlük bilgilerimiz bizim kendi “private key”imizle, yani kişisel şifremizle kaydedilip, daha sonra da yine sadece kişisel şifrelerimizle, sadece gerektiğinde ve gerekli olan kadarı karşı tarafla verilerimizin şifreli olacağı bir şekilde, yani sistemler arasında, insanların okuyamayacağı bir şekilde paylaşılmalı.
Türkiye, e-imza denilen meselede çok erken başladı ve çok da yol aldı. Ancak şu anda bu alınan yol anlamsız kalmış durumda, acilen blokzinciri üzerinden yeni bir milli eylem planı yapılarak:
1- Blokzincir kimliğimiz,
2- Blokzinciri üzerindeki kimliğimize bağlı e-pasaportumuz,
3- Tüm özlük bilgilerimiz bu kimlik altında “bilinmesi gerektiği kadar” paylaşılmalı,
4- E-nabız ve tüm mali bilgilerimiz ve tüm e-devlet veritabanları acilen blokzincir kimliğimizle uyumlu hale getirilmeli.
5- Vadeli çekler ve senetlerle ilgili skorlama veritabanları acilen blokzinciri üzerinden millileştirilmeli. POS cihazlarımızın yarısı ve içlerinden geçen tüm mali verilerimiz orta malı seviyesinde. Bunlar acilen millileştirilmeli.
6- Visa ve MasterCard kredi kartlarındaki yongaların içinde çalışan tüm programlar denetlenmeli, yerli yongalarla değiştirilmeli,
7- Devletin kullandığı ve Intel chip içeren tüm bilgisayarlar ve tüm server’lar ilk fıratta değiştirilmeli. (Cloud olsun veya olmasın)
…
Yazmaya utanıyorum, daha bunlar gibi pek çok konu var…
Örneğin, şu anda HES uygulaması diye bir şey kullanıyoruz. Bu uygulamanın arkası nereye çıkıyor? Metroya binerken bile HES kodumla İstanbul kartımı eşleştirmek zorundayım. Neden? Bunların arkasında kim var? Bu bilgilerimiz hangi veritabanlarına kaydediliyor ve sonunda nerede big-data olarak işleniyor ve kime hizmet ediyor?
Son Söz:
Burada yazdığım konular milli güvenlik zaaflarıdır. Daha uçak biletlerine, kargo veritabanlarına ve otel bilgi sistemlerine girmedim bile. Vahim durumdayız arkadaşlar… Ülkemizin tüm veritabanları ve vatandaş bilgi sistemleri delikli peynir gibi. O deliklerin içinde kim bilir ne fareler dolaşıyor her gün.
Nasıl bir kimlik sistemi kurmamız gerektiğine, bu yazının devamında, bir sonraki yazımda detaylı bir şekilde değineceğim.