Boğaziçi veri skandalı: Buzdağının görünen ucu mu?
Geçen hafta Boğaziçi Üniversitesi’nde bir veri güvenliği skandalı yaşandı. Bilgi Teknolojilerinden sorumlu dört profesör, kişisel verilerin izinsiz olarak üçüncü taraflarla paylaşılmasının yanı sıra, siber güvenlik hizmeti vermesi gereken bir yüklenici firmanın, tam tersine, güvenliği yok edebilecek işlemler yapmak üzere talepte bulunduğuna şahit oldu. Bu büyük hataları ortaya çıkaran dört profesör, anında görevden alındı; bu işleri yapmakta uzmanlaşmış medyada hedef gösterildi ve haklarında soruşturma açılacak diyerek alelacele 3 ay süreyle görevden uzaklaştırıldı. Öyle ki, hocalarımız final döneminde notlarını bile giremediler; kampüse girişleri yasaklandığından arka caddede, öğrenci notlarını elden meslektaşlarına teslim etmek zorunda kaldılar.
Siz de bu risklerle karşı karşıya olabilir misiniz?
Bu güvenlik riskleri, sadece Boğaziçi Üniversitesi’ni mi tehdit ediyor yoksa bu hizmetleri alan tüm firmalar güvenlik riskleri ile karşı karşıya mı? Güvenlik önlemleri yasal zorunluluk haline getirildiği için, bu hizmetin ülkemizde bilgisayar kullanan şirketlerin büyük çoğunluğu tarafından kullanıldığını not etmek gerek. Dolayısıyla, bunu herkesin sorgulamasında fayda var.
30 yıldır çalıştığım Boğaziçi Üniversitesi’nde Bilgisayar Ağları Araştırmaları yapan NETLAB adlı bir laboratuvar var. Bu laboratuvar kurulduğunda Türkiye’de internet yoktu. Bu laboratuvarda çalışan öğrencilerden birisi bir gün gelip, “Hocam şifreniz XXX mi?” diye şifrelerimizi söylediğinde çok şaşırmıştık. Verilerin o günlerde, bilgisayar ağları üzerinde şifrelenmeden gittiğini bu şekilde öğrenmiştik. 25-30 sene önce, internet çok yeniyken, her işimizi internet üzerinden yapmıyorduk; güvenlik seviyesi de düşüktü.
Şifrenizi bilen biri neler yapabilir?
Artık her işimizi internet üzerinden yapıyoruz; ve güvenlik riskleri çok büyük. Sanal dünyada şifreniz, kimliğinizdir. Şifrenizi bilen biri neler yapabilir? Şifrenizi bilen kişi, banka hesabınızdan para çekebilir, kişisel verilerinize ulaşabilir; bunları yayabilir, sizin kimliğinizle suç işleyebilir. Başınıza gelecek en kötü şeyleri siz hayal edin. Bundan dolayı, o günden beri, internette güvenlik protokolleri gelişti. Artık bazı veriler, örneğin şifreler internette gizli, yani şifrelenmiş gidiyor. Kimlik doğrulama için çeşitli yöntemler kullanılıyor.
İki bilgisayarın haberleşmesinde de güvenlik riskleri vardır. Diyelim bir havayolu şirketinden bilet almak üzere web sitesine girdiniz, kredi kartınızı girdiğinizde, kart numarasının yolda okunmayacağından ya da yolladığınız yerde çalınmayacağından emin olmanız gerek. Bu site, sahiden o havayolu şirketine ait midir? Bunu güvenli bir doğrulama otoritesinin kontrol edip iletişim kuran taraflara güvence vermesi gereklidir.
Siz artık takım arkadaşısınız, bilgilerinizi birbirinize açın
Bunu sağlamak için geliştirilmiş çeşitli protokoller, özelleştirilmiş yazılımlar var. Bu protokoller sayesinde evimizdeki bilgisayardan bağlanıp havayolu şirketinin bilgisayarında bilet satın alabiliyoruz. Öte yandan, bazen, iki bilgisayarın başka şekillerde beraber çalışması gerekebilir. Örneğin şirketinizin bir yerinde, bir bilgisayarda üretilen verileri, diğer bir yerindeki bilgisayarın okuması, hesaplamalar yapıp ilk bilgisayara geri vermesi gereklidir. Bunun için, yetkilendirilmiş anahtarları özel bir dosyanın içine yazarak bilgisayarları birbirine tanıtırsınız. Siz artık takım arkadaşısınız, bilgilerinizi birbirinize açabilirsiniz; beraber çalışabilirsiniz dersiniz. Bunun için her iki bilgisayara uygun şekilde hazırlanmış bir SSL sertifikası kurmak gerekir.
Bilgisayarlara bu tür sertifikaları kurmak, program kurmaya benzemez; bunu ancak sistem yöneticisi yapabilir. Bazı işlemleri sadece yönetici yapabilir. Ancak sistem yöneticisinin yaptığı işlemlerin de kaydı tutulur. Dolayısıyla, sistem yöneticiliği, hem büyük tecrübe hem de sorumluluk gerektiren bir iştir. Sistem yöneticisi, bu sorumlulukların bilincinde ise, şifresini kimseye vermez, bir başkasının SSL sertifikasını da kurmaz.
Hırsız bilezikleri toplayıp kapıyı vurup çıkmayacak
Bu ayrıntıları kimse bilmek zorunda değil aslında. Niye bu ayrıntıları konuşuyoruz? Çünkü evinize giren hırsız maymuncukla kapıyı açtıysa, maymuncuk neye benzer, buna karşı nasıl tedbir alınır konuşmak gerekiyor. Bu hırsız, alelade bir hırsız da değil; altın bilezikleri, cep telefonlarını toplayıp kapıyı vurup gitmeyi de düşünmüyor. Amacı, evin içine girdikten sonra eve yerleşmek.
Boğaziçi Üniversitesi’ndeki olayda, hizmet vermek üzere davet usulüyle ihaleye çağrılarak ihale verilen firma, sistem yöneticilerine bu isterleri dayatıyor: Yönetici şifrelerinizi verin; tüm trafiğinizin yansısını şu adrese yönlendirin ve benim verdiğim SSL sertifikalarını tüm bilgisayarlarınıza kurun.
Hırsızın niyeti aileden biri olarak eve yerleşmek
Bu taleplerin anlamı şu: Beni evin içine alın; aileden biri olarak herkese tanıtın; evdeki herkesin nereye girip çıktığının, kimlerle ne konuştuğunun da kaydını bana verin. Bu talebin verilen hizmetle de, iyi niyetle de uzaktan yakından ilgisi olmadığı çok açık. Bunun ortaya çıkarılması üzerine de teşekkür etmek yerine olayı ortaya çıkaranlar cezalandırılmaya, olay saptırılmaya, ört bas edilmeye çalışılıyor.
Herkesin, özellikle de bu hizmetleri alan tarafların sorması gereken soru şu: Bu olay, sadece Boğaziçi Üniversitesi’nde mi yaşandı? Benzer hizmetleri biz de aldıysak, benzer taleplerle karşılaştık mı? Hırsızı evin içine aldık mı?
