81 milyonun verisi var; e-devlet, güvenlik testinden geçemedi!
NASA, NATO, ABD Enerji Bakanlığı gibi kurumlara internet güvenliği hizmeti veren Türk şirketi Netsparker, e-Devlet’i testten geçirdi.
ABD’de Kasım 2017’de resmi siteler için yapılan testin model
alındığı çalışma, 81 milyon vatandaşın kişisel verilerinin de
saklandığı sistemde güvenlik açıkları olduğunu ortaya koydu.
Karar'da yer alan habere göre, Netsparker’ın Türkiye’deki güvenlik
uzmanlarından Ziyahan Albeniz tarafından yapılan çalışmaya 81
milyon kişinin T.C numarasından vergi kaydına, pasaport
bilgilerinden ikametgah adresine kadar tüm kişisel verilerinin
kayıtlı olduğu ‘gov.tr’ uzantılı 94 resmi site dahil edildi.
e-Devlet üzerinden her gün milyonlarca vatandaşa hizmet veren bu
sitelerin sızıntılar ya da hacker saldırılarına karşı güvenlik
açığı olup olmadığı test edildi. Güvenlik testinde 94 siteden
sadece 18 sitenin ‘güvenli’ olduğu ortaya çıktı. Sitelerde 1’i
kritik, 43’ü yüksek, 122’si ise orta seviyede 642 farklı güvenlik
sorunu saptandı. Sitelerden 31’inde sızma ve saldırılara karşı
‘önemli seviyede güvenlik açığı’ gözlenirken, 40 sitede ise ‘orta
seviye güvenlik problemleri’ belirlendi. Bir site de ‘yüksek
seviyede güvenlik riski’ içeriyor. Testten geçirilen 94 siteden
sadece 26’sı varsayılan bağlantı şekli olarak güvenli bağlantı
kullanıyor. 68 sitenin bağlantısı ise ‘güvensiz.’ Test sonuçlarına
göre 32’si ‘acil’ olmak üzere toplam 72 sitenin güvenlik yapısının
sızıntılara karşı gözden geçirilmesi gerekiyor. Taranan sitelerin
yüzde 6’sında ROBOT (Return Of Bleichenbacher’s Oracle Threat) ismi
verilen ve 19 yıllık bir zafiyetin, güncellenmiş versiyonu mevcut.
Bu zafiyeti temel alan bir saldırıyla hedef sitenin anahtarını
kullanarak, imzalama yani sahtecilik yapmak mümkün. Sitelerin yüzde
21’inde ise güvensiz olarak addedilen bazı yazılımlar kullanılıyor.
94 sitenin yüzde 3’ünde ise geçersiz güvenlik sertifikası
kullanıldığı belirlendi. Sitelerin yüzde 58’inde ise bazı saldırı
türlerine imkan tanıyan güvensiz olarak addedilen yazılımların eski
versiyonları, yüzde 18’inde ise güvensiz şifreleme standartları
kullanılıyor. Bu, trafiği izleyen bir saldırganın, bir başka
kullanıcının bilgilerini deşifre edebilmesi anlamına geliyor.
Taranan sitelerin yüzde 62’sinde de güncel olmayan kütüphaneler
yani yazılım bileşenleri tespit edildi. Bunlardan 1’i kritik, 17’si
yüksek, 80’i orta düzey güvenlik zafiyet içeriyor. e-devlet
üzerindeki sitelerin yüzde 58’inde kurulu programların versiyon
bilgilerinin ifşa edilmesi de güvenlik açığı olarak
değerlendiriliyor.
BTK önlem alacak
Milyonlarca vatandaşın kişisel verileri ile devlet verilerinin
tehlikede olduğu uyarısı yapan çalışma, Bilişim Teknolojileri
Kurumu’na da (BTK) sunuldu. Raporun sunumunda BTK yetkilileri uyarı
niteliğindeki çalışmayı dikkate alacaklarını söyledi. Testten
geçirilen sitelerin bağlı olduğu bakanlıkların da güvenlik
uyarılarını dikkate aldığı gerekli önlemler için çalışma başlattığı
öğrenildi.
Sorun milli güvenlik meselesi
Çalışmayı yapan bilişim teknolojileri güvenlik uzmanı Ziyahan
Albeniz, sonuçları KARAR’a değerlendirdi: “Vatandaşlar e-devlet
uygulamaları ile güvenli bağlantı kurduğunu düşünüyorlar. Oysa
güvenli bağlantı implementasyonundaki hatalar hem bireysel hem de
örgütsel siber saldırılar karşısında açık oluşturuyor. Bu sadece
veri güvenliği sorunu değil, aynı zamanda milli güvenlik
meselesi.”
