Seçim sisteminde delik var

Referanduma günler kala, birbirine yakın seyreden Evet/Hayır oyları seçim sonuçlarının güvenliğini gündeme getirdi. Sonuçların merkezi olarak değerlendirileceği SEÇSİS, olası güvenlik açıkları dolayısıyla eleştirilerin merkezinde yer alıyor.

Seçimler denildiğinde çöplerden çıkan oy pusulalarının, mükerrer oy kullanımlarının, sandık başında silinen veya transfer edilen oyların akla geldiği ülkemizde, 12 Eylül'deki referandum da hile iddialarından nasibini fazlasıyla alıyor. Bir önceki seçimlere göre yaklaşık 7 milyon fazla seçmenin nereden çıktığı sorusuna hala inandırıcı bir yanıt verilebilmiş değil. Öte yandan Yüksek Seçim Kurulu’nun (YSK) ısrarla arkasında durduğu Bilgisayar Destekli Merkezi Seçmen Kütüğü (SEÇSİS) projesi ile ilgili başlangıçta komplo teorisi gibi görünen iddialar gün geçtikçe daha fazla gerçeklik kazanıyor.

İddiaların artması üzerine 3 Eylül Cuma günü internet sitesinde sistemin ne kadar güvenli olduğu ile ilgili bir açıklama yayınlayan YSK, sistemin Türk mühendisler tarafından geliştirilmiş olmasını, internete kapalı olduğu için kurum personeli dışında giriş yapılamayacağını, sisteme yapılan tüm erişimlerin kaydedildiğini öne çıkarıyor.

Olayın sadece YSK tarafından biliniyor ve denetleniyor olmasına itiraz eden birçok yazarın son günlerde yazdığı yazılar ise, yandaş medya tarafında bilinen yöntemlerle savuşturulmaya çalışılıyor. Zaman Gazetesi internet sitesinde dün yayınladığı bir haberde , öne çıkartılan itirazlara ilişkin “Anayasa değişikliğine karşı çıkanlar, referandumdan 'evet' çıkması ihtimaline karşı şimdiden 'hile' iddialarını gündeme getirmeye başladı” diye yazdı.

YSK’nın konuyla ilgili yaptığı açıklamada yer alan “‘Kamuoyunun, 12 Eylül 2010 Halkoylamasında, sisteme müdahale edilerek, yazılımın yüzde 52, yüzde 53 dolaylarında evet çıkmasına programlanacağı ve oy kullanmayanların bir kısmının oy kullanmış gibi gösterilerek evet hanesine kaydırılacağı’ yönündeki iddiaların bilgisayar uygulamasıyla doğrudan bir ilgisi yoktur” ifadesi, seçim güvenliğini sağlamanın sadece programla ilgili olmadığını göstermesi açısından önemli olmakla birlikte, doğrudan olmayan dolaylı ilişkiler SEÇSİS’in güvenliğine dair soru işaretlerini artırıyor.

SEÇSİS’i yapanlar mühendis mi?
YSK, SEÇSİS’in iki ana bileşenden oluştuğunu belirtiyor. Bunlardan birincisi kamuoyunda güvenliği tartışılan ve seçim sonuçlarıyla doğrudan ilgili olan “SEÇSİS Uygulama Sistemi”, diğeri ise internet üzerinden kullanılan “SEÇSİS Portal Sistemi”.

Uygulama sistemi YSK’nın da belirttiği üzere kapalı devre bir sistem olduğu için bu sistemin güvenilir olup olmadığını test etme imkanı bulunmuyor. Merkezinde http://www.ysk.gov.tr/ysk/secmenBilgi.jsp adresinin bulunduğu ve seçmenlerin seçimlerde oy kullanacakları sandık bilgilerini sorgulamada kullandıkları Portal Sistemi ise, internet üzerinden erişilebildiği için belirli incelemelerde bulunmak mümkün. Bu sitede bütün bilgisayar programcılarının bildiği birkaç numara üzerinden yapılan denemeler, sistemi kodlayan ve test eden ekibin mühendislik bilgisi hakkında ciddi şüpheler doğuruyor.

SEÇSİS Uygulama Sistemi’ni de yazanların aynı kişiler olma ihtimali, seçim güvenliği hakkında endişe yaratıyor.

Açık 1:
Yukarıda bahsedilen adrese girip güvenlik için kullanılan resimdeki kodu ve TC Kimlik numaranızı girdiğinizde, öngörüldüğü şekilde hangi sandıkta oy kullanmanız gerektiğini öğrenebiliyorsunuz. Sistemin ilk belirgin güvenlik zaafiyeti bu noktada çıkıyor. Siz sorgulamayı yaptığınızda uygulama sizin girdiğiniz bilgileri internet tarayıcınızın adres satırına yazıyor ve bu durumda şu şekilde bir şey görüyorsunuz.

www.ysk.gov.tr/ysk/SecmenServ?bilmece=EZDVYEV&kimlikNo=0123456789

Adres satırı ile böyle bir bilginin gönderilmesi bu sayfanın internet tarayıcısının geçmiş sayfalar bölümünde yer almasına yol açıyor. Bu durumda bu sayfaya internet kafeler, okulların bilgisayar laboratuarları gibi genel ağlardan bağlanan kişilerin yukarıda 0123456789olarak yer verdiğimiz TC Kimlik numaralarına, bu bilgisayarları kendilerinden sonra kullanan kişilerin erişmesine imkan tanıyor. İnternet tarayıcısının belleği silinse bile internet üzerinden güvenli bilgi aktarımı için kullanılan https adresi YSK sitesinde bulunmadığı için internet kafe ya da laboratuar yöneticileri tüm kullanıcıların bu bilgilerine çok basit bir şekilde toplu olarak sahip olabiliyorlar. Konuyla yakından uzaktan ilgilenen herkesin bileceği üzere, Türkiye’de e-devlet projelerinin yapısı gereği TC Kimlik numaranızın bilinmesi neredeyse tüm hayatınızın bilinmesi anlamına geliyor ve YSK bu konuda açıkça ilgili kişilere yardımcı oluyor.

Açık 2:
Sistemi programlayan kişilerin programcılık seviyelerini ve bilgisayar güvenliğinden ne kadar anladıklarını gösteren bilgi ise yukarıda bahsedilen adresi biraz kurcaladığınızda ortaya çıkıyor ve görenleri dehşete düşürüyor.

Kullanıcılardan bir form doldurmasını isteyen internet sayfaları, örneğin ad soyad, e-posta adresi gibi bilgi istediklerinde, kullanıcıların bu bilgileri boş bırakma ya da yanlış bir şekilde girme ihtimallerine karşı doğrulama kodları barındırıyorlar. Bu durumda internet tarayıcısı, hiç o sayfanın bağlı olduğu sunucuya gitmeden kullanıcıya “Ad Soyad boş bırakılamaz”, “Geçersiz e-posta adresi” gibi mesajlar verebiliyor.
Bununla birlikte programcılıkta en azından iki senelik deneyimi bulunan herkesin, kullanıcıdan istenen bu parametlerin doğruluğunun sadece tarayıcı kısmına bırakılmaması gerektiğini, bir de sunucu tarafında işlenmesi ve doğrulanması gerektiğini biliyor olması beklenir.

Yukarıda verdiğimiz ve içinde bilmece ve kimlik no gibi iki parametrenin bulunduğu adres satırında doğrudan yapılacak bir iki müdahale ile YSK’nın Seçmen Sandık Sorgulama sayfasını yapan “mühendislerin” konudan bihaber oldukları anlaşılıyor.

Adres satırında bilmece kısmı toptan atılıp sayfa çalıştırıldığında aşağıdaki mesajı internet tarayıcınızda görebiliyorsunuz. Sunucudaki kodu bozduğunuzu ortaya çıkartan bu mesajda yer alan tr.com.havelsan.ysk.portal.secmen.SecmenServ satırı ile HavelSan’ın kurduğu sistemin iç mimarisini rahatlıkla görebiliyorsunuz.

Adres satırı ile uğraşınızı biraz daha sürdürüp kimlik no’dan sonra gelen rakamları harflerle değiştirdiğinizde sistemin size gönderdiği mesaj, hem yine sunucu tarafında bir hatayı ortaya çıkardığınızı hem de en basit “gönderilen kimlik no bir sayı mı?” gibi kontrolleri yapmaktan ve alınan hataları kullanıcıya göstermemeyi bilmekten aciz olduğunuzu gösteriyor.

Bu hataların yüzlerce bilgisayar tarafından aynı anda denendiği durumda sistemin sürekli hata vererek kullanılmaz hale getirilmesi, meydana gelecek hafıza hatalarıyla daha kritik güvenlik açıklarının ortaya çıkartılması çok basit bir şekilde uygulanabilecek yöntemler olarak biliniyor.

Burada gösterilen hata ve güvenlik açıkları, YSK’nın internet sayfalarında “Türk mühendisleri tarafından tasarlanıp gerçekleştirilmiş, Türk seçim sistemine özgü, özgün bir bilişim sistemi” olarak öve öve bitiremediği SEÇSİS’in Uygulama Sistemi ile ilgili olmasalar da genel olarak sistemi tasarlayan programcıların bilgi seviyelerini gösterdiklerinden ana sisteme dair mevcut güvenlik kuşkularını daha da güçlendiriyor. Özellikle YSK’nın sistemin güvenilirliğini esas olarak internet erişimine kapalı “özel bir ağ” olmasına dayandırması, bu özel ağa bir kez girildikten sonra yapılabilecekler konusunda ciddi soru işaretleri barındırıyor. YSK ve Havelsan’ın sistemi kapattığı gibi kodları da kapatmış olması ve bağımsız bir kurul tarafından bu kodların incelenemiyor olması sonuçların işlenmesi ve duyurulması aşamasında onlarca müdahaleye imkan tanıyor.

(soL - Haber Merkezi)