SEÇİMLER, HİLE, BİLGİSAYAR VE BİLGİÇALAR...

SEÇSIS ile ilgili en kapsamlı bilgi, yurt dışından geldi. Buna bakarak, sistemin tepesinin SEÇSİS’i ne zaman, nerede kullanacağı belirsiz. (Yıllar önce yazdığım yazıyı, içinde bulunduğumuz dönemin hassasiyetine binaen yeniden yayınlıyorum.)

Yazının başında devleti yönetenlerden seçimden önce SEÇSİS hakkında kapsamlı rapor hazırlatmalarının faydasına işaret ediyorum. Uzmanlar bu konuda tartışmalı. Elimizde seçim dokümanı var lakin seçim farklı yöne gittiğinde topluma elinizdeki dokümanı nasıl anlatacaksınız? 

Sayın Neval Kavcar,

Bilgisayar ve iletişim teknolojisi alanında aldığım akademik ve üst düzey teknik eğitimler ve yıllarca bu alanda çalışarak edindiğim birikimlerim ile kendimi nacizane bir uzman olarak tanımlayabilirim. Ve konumla ilgili ….. de yerleşik olarak bir firmada çalışmaktayım.

Görünen o ki; Türkiye bir referandum sürecine doğru gitmektedir. Size yazmaktaki amacım; 22 Temmuz 2007 genel seçimlerinden sonra medya da zayıf olarak dillendirilen ancak hassas olarak incelendiğinde elektronik seçim sisteminin nasıl kötüye kullanılarak seçim sonuçlarının değiştirebileceği hakkında bilgi vermektir.

Ek'te bu konuda hazırladığım bir yazıyı bilgilerinize sunuyorum. Aynı metotların yine aynı çevrelerce yapılacak Anayasa referandumunda da kullanılması çok mümkün görünüyor. Yazıyı hazırlarken mümkün olduğunca teknik terimleri basitleştirmeye çalıştım.

Yazdığım yazıda kimseyi suçlamak niyetinde değilim, ancak bu yazıyı bu konuda birikimli ve uzman kişilere inceletirseniz, bu seçim sisteminin zafiyetlerini, kötüye kullanıma açık olduğunu, sonuçların her zaman nasıl çarpıtılabileceğini, sisteme teknik ve operasyonel olarak hakim olan kişi ve grupların istediği doğrultuda nasıl seçim sonuçlarını çarpıtabileceğini ve değiştirebileceğini göreceksiniz.

Her hangi bir sistem oluşturulurken ne kadar donanımlı güvenlik sistemleri kullanılırsa kullanılsın, en büyük güvenlik açığının insanoğlunun kendisi olduğu düşünüldüğünde, bu durum sistemin güvenilirliğini de tartışmaya açık bir hale getirmektedir.

Seçme ve seçilme hakkı Anayasal bir hak olduğuna göre, bu hakkın kullanılmasına aracılık edecek sistemin güvenliğinin de tartışmalara konu olması kadar doğal bir şey düşünülemez………Rumuz: prds 

Mail ekindeki satırlar aşağıda..

SEÇİMLER, HİLE, BİLGİSAYAR VE BİLGİÇALAR...

22 Temmuz seçimlerinin ardından çok konuşulan bir konu da seçimlerde hile mi yapıldı sorusu idi. Bu sorunun siyasi açıdan cevabı elbette evettir. Sadece kömür dağıtımı bile açık bir siyasi hiledir. Ama buradaki asıl konumuz teknik hileler.

Türkiye'de ilk kez 22 Temmuz seçimleri %100 bilgisayar destekli yapılmıştır. Yazılımı da içeren projenin adı Bilgisayar Destekli Merkezi Seçmen Kütüğü Sistemi (SEÇSİS)'tir. Ayrıntılı bilgi http://www.ysk.gov.tr/ adresinde mevcuttur.

22 Temmuz 2007 seçimi sonrası, hile tartışmaları nedeniyle, sitedeki SEÇSİS bilgilerinde değişiklik yapılmış, hile iddialarına cevap verilircesine ayrıntılı açıklamalar konulmuştur.

Bilgisayar konusuna tam vakıf olmayanlar açısından sistemin alt yapısını basitçe açıklamaya başlamadan önce YSK'nın Oferlerin elinde olan Telekom alt yapısını kullandığını hatırlatmakta fayda var.

YSK merkezinde mevcut kurulu ana bilgisayar Sun Fire E6800 dır, bu sistem SUN Microsystems-Türkiye tarafından, Sun Fire V490 entegrasyonu ile değerlendirilmiş ve burada ORACLE 10g AS ve RAC Agent (Bkz. http://tr.sun.com/sunnews/success/basarioykuleriysk.jsp) veri tabanı ile Havelsan tarafından geliştirilmiş olan Java (J2EE) uygulamalı SEÇSİS yazılımı yüklüdür. Tüm il ve ilçe seçim kurullarındaki uç bilgisayarlarda (terminal) Windows XP işletim sistemi yüklü ve bu terminallerin veri tabanına ulaşmaları VPN (Virtual Private Network / Sanal Özel Ağ) üzerinden sağlanmaktadır (Bkz. http://www.havelsan.com.tr/SisCoz/Projeler.aspx ). Bu yapıya ağ yapı (network) denir.

Ayrıca Adalet Bakanlığının UYAP (Ulusal Yargı Ağı Projesi) sistemi ile YSK nın SEÇSİS sistemi arasında 10 Mbs. hızında "Metro Ethernet" hattı bulunmaktadır.

SEÇSİS yapısında bulunan aktif ağ cihazlarının ve güvenlik sisteminin merkezden izlenmesi için ABD orjinli CA firmasının Unicenter NSM ve NPO (Network Performance Option) yazılımları kullanılmıştır. (Bkz. http://www.ca.com/us/system-management.aspx) . SEÇSİS omurga ve portal anahtarı, portal güvenlik duvarı ve portal yük dengeleyicisi olarak Cisco ürünleri kullanılmıştır.

EVİN ANAHTARINI EMANET ETTİĞİMİZ BEKÇİ EVİ SOYAR MI?

Her terminalde yapılan işlem ve kayıt, SEÇSİS Java tabanlı yazılım tarafından işlenerek sonuçlar ana bilgisayarda toplanır ve istenen bilgiler toplu olarak elde edilir. Sandık Kurullarında oyların sayılıp sonuçların elle yazıldığı tutanaklar, İlçe Seçim Kurulundaki bilgisayarda yüklü olan SEÇSİS yazılımı üzerindeki tutanağa geçirilir (Bkz. www.ysk.gov.tr /ysk/docs/genelge/2007Pdf/2007-765.pdf ).

Bundan sonraki aşamalarda İlçe Seçim Kurulu tutanak toplamlarını İl Seçim Kuruluna ve İl Seçim Kurulu da YSK'na SEÇSİS üzerinden bildirir. Telekomun alt yapısı kullanılarak oluşturulmuş olan bu dışa kapalı ağ ortamı (intranet) (Bkz. http://tr.wikipedia.org/wiki/\%C4\%B0ntranet ) dış müdahalelere karşı sadece firewall (güvenlik duvarı) ve VPN in sağladığı MD5 güvenlik seviyesi ile korunmaya çalışılmaktadır, yani merkezi sistem ile terminaller arasında her hangi bir özel şifreleme mevcut değildir.

SEÇSİS projesinde kullanılan veritabanı (bilgilerin toplandığı yer) yazılımı Java teknolojisi destekli Oracle'dir. Yazılım güvenliği açısından bakıldığında, Oracle ciddi ve bu konudaki en büyük şirket ise de, açıkları mevcuttur ve sürekli olarak güncellemeler/güvenlik yamaları yayınlamaktadır (Bkz. http://www.oracle.com/technology/deploy/security/critical-patch- updates/cpuapr2009.html ) ve Oracle Microsoft'tan sonra ikinci büyük ABD yazılım firmasıdır (Bkz. http://tr.wikipedia.org/wiki/Oracle ). Oracle'ın güvenlik açığı seviyesi, kurulduğu işletim sistemine göre değişiklik göstermektedir (Bkz. http://security.metu.edu.tr/Documents/oracle.html). SEÇSİS projesinde işletim sistemi olarak, merkezde SUN/Solaris ve ilçelerde ise Windows XP işletim sistemi yüklü bilgisayarlar kullanılmıştır.

Diğer yazılım ve donanımlarla birlikte kullanıldığında, açık kaynak kod olan Linux- Unix işletim sistemleri güvenlik açısından bugün en güvenli sistemlerdendir. TÜBİTAK ın geliştirdiği ve milli yazılım olan PARDUS-Linux işletim sistemini kullanmak yerine (Bkz. http://www.pardus.org.tr/ ), il ve ilçe seçim kurullarında bulunan Windows işletim sistemleri CIA destekli, Microsoft mamulü en büyük "bilgi çalar" sistemdir ve 5-6 yıldan beri Avrupa ülkelerinde ve birçok büyük ülkede devlet kurumlarında kullanımı yasaklanmış ve Linux işletim sistemlerine geçilmiş ve bunun üzerine Microsoft kısmi kaynak kodunu vererek satış yapmak zorunda kalmıştır (Almanya'da, ABD tarafından askeri sırların bu sistemle transfer edildiği yıllar önce tespit edilmiştir) * * *

Windows işletim sistemleri ve bu sistem üzerine kurulu ağ ortamları yıllardır çoluk çocuk denecek "hackerler" tarafından bile delik deşik edilmektedir (Ayrıntılar ve hack raporları için Bkz.: http://www.zone-h.org).

SEÇSİS projesinde omurga ve portal anahtarı, portal güvenlik duvarı, portal saldırı tespit ve korunma sistemi, portal yük dengeleyici olarak "Cisco" güvenlik ürünleri kullanıldığı YSK sitesinde bilgi olarak yer almaktadır. CISCO sistem bir ABD firmasıdır (Bkz. http://www.cisco.com/ ). CISCO sistemin güvenlik durumu hakkında Google'de "cisco hack" olarak arama yaparsanız CISCO güvenlik sistemlerinin nasıl hack edileceğine ve güvenlik açıklarına dair çok sayıda makale ve yazı bulabilirsiniz (Uzaktan yönetimleri dahil). SEÇSİS yazılım sistemi kesinlikle üçüncü bir güvenlik/kontrol yazılımıyla içsel olarak korunmamakta ve/veya çalışmasının doğruluğu kontrol edilmemektedir.

Yani mevcut yazılıma dışarıdan bir Script (Bkz. http://tr.wikipedia.org/wiki/Script) ile müdahale edilebilir ve ana yazılımın ve işletim sisteminin bu yabancı yazılımı algılayarak ikaz verme gibi bir yeteneği mevcut değil. Yazılımın güvenliği tamamiyle Solaris işletim sisteminin ve Oracle'ın kendi güvenlik seviyeleriyle sınırlıdır. Yani SEÇSİS sistem veritabanı, işletim sistemi, yazılım ve güvenlik olarak tamamen ABD teknolojisinin elindedir ve zaten hem bu nedenle, hem de bilgisayar teknolojisinin niteliği gereği sisteme her an dışarıdan müdahale edilebilmesi mümkündür. Müdahale yapılırsa hile yapılması da teknik olarak mümkündür. Ancak bunu ispat etmeden hile yapılmıştır demek hukuken mümkün değildir.

Oy verme yönteminde fark olmakla birlikte ve göreceli olarak daha güvenli olan benzer bilgisayar destekli seçim sistemi, ABD nin bazı yerel seçimlerinde de kullanılmış ve bazı bölgelerde seçimlerde hile tespit edilmiştir. ABD de yapılmış olan bu seçim hilesiyle ilgili University of California-Santa Barbara (UCSB) (Evaluating the Security of Electronic Voting Systems) hilenin nasıl yapılabileceğine dair bir çalışması mevcuttur (Bkz.http://www.cs.ucsb.edu/~seclab/projects/voting/).

Not-1. UCSB nin linkinde bulunan video youtube da yayınlanmaktadır, şayet youtube'a veya sayfaya erişemiyorsanız ilgili sayfanın video dahil edilmiş pdf kopyasını buradan ve bahis konusu diğer referans dokümanlarını da buradan indirebilirsiniz.

14 Eylül 2007 Yunanistan seçimlerinde de benzer bir yazılım kullanılmak istenmişse de ABD seçimleri örnek gösterilerek yapılan yoğun baskı sonucu kullanılmaktan vazgeçilmiştir. Ancak bizde maşallah "…… sosyal demokratlarımız" ve " ….. milliyetçilerimiz" ne bu sistemle ilgili tek laf etmişler ne de sandık tutanaklarının fiili tespitini yaptırmışlardır. Çünkü bilgisayar üzerinde yapılacak hilenin tek tespit yolu, tüm seçim tutanaklarını elde bulundurmak ve tutanaklardaki sonuçları YSK'nın açıkladığı SEÇSİS sistemden alınan sandık sonuçlarıyla karşılaştırmaktır.

Peki, SEÇSİS sistemde hile yapmak mümkün müdür? Bu sorunun cevabı, "evin anahtarını emanet ettiğimiz bekçi evi soyar mı?" sorusunun cevabı ile aynıdır.

SEÇSİS sisteminin tüm anahtarları, yukarıda açıklandığı gibi ABD'nin elindedir. Cevabı mutlaka bulmuşsunuzdur. Bu soruyu ABD bizim müttefikimizdir diyenlere sorarsanız; haşaa ABD hile yapar mı derlerse şaşmamak gerek. Bana sorarsanız; bu sistemde hile yapmayan ya akılsızdır, ya saftır, ya da dört dörtlük müttefik ve namusludur. Ya da hileye gerek kalmamıştır da yapılmamıştır.

Bir hile senaryosunu hemen kurarsak; sandık tutanakları Windows XP işletim sistemi yüklü bilgisayarların bulunduğu İlçe Seçim Kurulunda bilgisayara işlendikten sonra, ya da işlenirken bir minik programcık sisteme dalış yapıp, (A) sütunundaki (X) partisinin oy toplamını % 20 arttırıp, (B) ve (C) sütunlarındaki (Y) ve (Z) partilerinin oy toplamını % 10'ar düşürürse, tuşa basıp genel toplam alındığında bu müdahalenin tespiti mümkün olabilir mi? Olur, ama sadece o ilçedeki tüm sandık sonuçlarını elle tek tek sayıp toplarsanız. Aksi halde, itiraz süresi sonunda, bilgisayar tuşuna basılarak alınan rakamlar resmi seçim sonucu haline gelir.

YSK merkezinde bulunan ana veri tabanına direk/yerinde ulaşma yetkisi bulunan (yönetici/admin) bir kişinin ORACLE veri tabanı yapısı ile SQL (Bkz. http://tr.wikipedia.org/wiki/SQL) veri tabanı yönetimi sistemine hakim olduğunu varsayarak, yazının devamında bulunan ve 2007 yılı içerisinde internet ortamında paylaşılmış olan "22 Temmuz 2007 Seçimlerinde Hile" başlıklı senaryoyu SEÇSİS sistemine uygun bir Script ile dahil etmesi ve çalıştırması gayet mümkündür.

Herhangi bir sistem oluşturulurken ne kadar donanımlı güvenlik sistemleri kullanılırsa kullanılsın, en büyük güvenlik açığının insanoğlunun kendisi olduğu düşünüldüğünde, bu durum sistemin güvenilirliğini de tartışmaya açık bir hale getirmektedir.