Uzmanlar sahte diploma skandalını yorumladı: Klon işlemleri fark edilmemişse ya elektronik güvenlik kapasiteleri yeterli değildir ya da sızıntı vardır

Nefes yazarı Deniz Zeyrek, çok sayıda kamu kurumu yöneticisinin elektronik imzasının kopyalanması ile sahte üniversite, lise diploması ve sürücü belgesi düzenlenmesi skandalını köşesine taşıdı. Zeyrek’in aktardığına göre, elektronik güvenlik uzmanları, yetki sahibi kamu görevlilerinin e-imzalarının klonlanmasının teknik olarak tespit edilebilir olduğunu söyledi. Uzmanlar, güvenlik yazılımlarının en hassas olduğu konunun klon işlemleri olduğunu, bu tür işlemlerin e-imza sağlayıcılarının bilişim ekiplerince anında fark edilebileceğini belirtti. Zeyrek güvenlik güvenlik uzmanlarının yorumlarını “Eğer bu kadar çok sahteciliğe rağmen ilgili şirketler klon işlemleri fark edememişse bunun da iki nedeni olabilir: 1) Elektronik güvenlik kapasiteleri yeterli değildir. 2) İnsan kaynaklı sızıntı vardır,” sözleri ile aktardı.

Zeyrek konu hakkında şöyle yazdı:

“Öncelikle şu detayın altını çizmek lazım: Kamu yönetiminde dijital sistemlerin kolay kullanımı için elektronik imza uygulaması zorunlu hale getirilmişti.

Ulaştırma ve Altyapı Bakanlığı bünyesindeki Bilişim Teknolojileri Kurumu (BTK) da bu sistemin alt yapısını oluşturma görevi almıştı.

BTK, TÜBİTAK ve Emniyet Genel Müdürlüğü (EGM) Sertifikasyon Merkezi dışında şu şirketlere e-imza oluşturma lisansı vermişti:

E-Güven, TürkTrust A.Ş., E-TUGRA, E-İMZATR, Ayyıldız İmza, ARKİMZA

İddiaya göre sızıntı TÜBİTAK ve EGM’den olmamış. Elektronik imzalar iki özel sektör firmasından ele geçirilmiş.

Ancak konuştuğum uzmanlara göre bu iddiada şöyle bir çelişki var:

Çete genellikle üst düzey ve yetki sahibi kamu görevlilerinin elektronik imzalarını kopyalamış. Bu sayede kamu kurumlarında evrak üretmeye çalışmış.

Kamu görevlilerinin neredeyse tamamı da elektronik imzalarını kamu kuruluşlarından, özellikle de TÜBİTAK’tan temin etmiş.

Haliyle konunun e-imza veren kamu kuruluşlarıyla bağlantısı saklanıyor olabilir.

Çete üyeleri için e-imzayı çalmak yeterli değil. O imzayı kullanabilecekleri kamu veri tabanına da ulaşmaları gerekiyor. Bir kamu kuruluşunun elektronik veri tabanına iki yoldan ulaşılabiliyor:

1) E-devlet kapısı.

2) Doğrudan ilgili kamu kurumunun veri tabanı.

Örneğin bir kişinin üniversite belgelerinde değişiklik yapmak istiyorsanız, o üniversitenin veri tabanına girmeniz gerekir. Bunu da e-devlet üzerinden ya da doğrudan o üniversitenin veri tabanından yapabilirsiniz.

Böylece o veri tabanında kayıtlı olan e-imzayı kullanabilirsiniz.

Peki yetki sahibi kamu görevlilerinin elektronik imzaları klonlanırken ve kamu kurumlarının veri tabanlarında kullanılırken bunu tespit etmek mümkün değil miydi?

Elektronik güvenlik uzmanlarına göre mümkündü.

Zira güvenlik yazılımlarının en hassas olduğu konu klon işlemleridir. Bir klon imzayla yapılacak her işlem ise e-imza veren şirketlerin bilişimcilerince anında tespit edilebilir.

Eğer bu kadar çok sahteciliğe rağmen ilgili şirketler klon işlemleri fark edememişse bunun da iki nedeni olabilir:

1) Elektronik güvenlik kapasiteleri yeterli değildir.

2) İnsan kaynaklı sızıntı vardır.”

Yazının tamamı için .

Kaynak:https://t24.com.tr/haber/uzmanlar-sahte-diploma-skandalini-yorumladi-klon-islemleri-fark-edilmemisse-ya-elektronik-guvenlik-kapasiteleri-yeterli-degildir-ya-da-sizinti-vardir,1253664