Eİmza açığı İBB Davası'na sunulan raporla ortaya çıktı: Tüm kamu personelinin hesapları tehlikede

İstanbul Büyükşehir Belediyesi’ne (İBB) yönelik operasyonların ardından açılan davada yargılanan Ulaş Yılmaz’ın avukatı, veri sızıntısı iddialarını incelemek amacıyla uzman görüşü aldı. Hazırlanan raporda yer alan Prof. Tuna Tuğcu, oldukça dikkat çekici bir güvenlik riskine işaret etti. Tuğcu’ya göre, kamu kurumlarında kullanılan eimza sistemindeki bir açık nedeniyle tüm kamu çalışanlarının eDevlet hesaplarına erişilerek banka hesaplarına kadar ulaşılması mümkün olabilir.

AVUKAT DURUMU TÜBİTAK VE BTK’YA BİLDİRDİ

Gazete Pencere'den Can Bursalı'nın haberine göre Tutuklu İBB Dijital İletişim Koordinatörü Ulaş Yılmaz’ın avukatı Hüseyin Ersöz, veri sızıntısı iddialarını değerlendirmek üzere Boğaziçi Üniversitesi’nden Prof. Tuna Tuğcu ve Prof. Cem Ersoy’dan bilimsel mütalaa talep etti. Akademisyenlerin incelemeleri sırasında, Prof. Tuğcu eimza sistemine ilişkin önemli bir güvenlik açığı fark etti. Bu gelişmenin ardından avukat Ersöz, söz konusu açığı TÜBİTAK ve Bilgi Teknolojileri ve İletişim Kurumu’na (BTK) resmi olarak iletti.

MÜTALAA HAZIRLANIRKEN ORTAYA ÇIKTI

Hazırlanan bilimsel değerlendirmeye göre, bu güvenlik açığı yalnızca avukatların değil, eimza kullanan tüm kamu kurumlarının faaliyetlerini etkileyebilecek nitelikte. Açığın, kamu personelinin eDevlet hesaplarına eimza aracılığıyla erişim sağlanmasına ve hatta işlem yapılmasına olanak tanıyabileceği belirtiliyor. İstanbul 40. Ağır Ceza Mahkemesi’ne sunulmak üzere hazırlanan rapor sürecinde ortaya çıkan bu durum, 27 Mart’ta ilgili kurumlara bildirildi. BTK ise konuyu Siber Güvenlik Başkanlığı’na sevk etti.

EİMZADA GÜVENLİK RİSKİ UYARISI

Prof. Tuğcu’nun hazırladığı ve avukat Ersöz tarafından iletilen raporda, TÜBİTAK bünyesindeki sunucunun HTTPS kullanımına geçmesinin olumlu bir adım olduğu vurgulandı. Ancak HTTP erişiminin hâlâ açık tutulmasının, güvenlik zafiyeti oluşturduğu ve eimza kullanımında risk doğurduğu ifade edildi.

Duruşma sırasında bu teknik tespiti dile getiren avukat Hüseyin Ersöz’e, İstanbul 40. Ağır Ceza Mahkemesi Başkanı Selçuk Aylan teşekkür ederek duyarlılığına dikkat çekti.

GENİŞ ÇAPLI ETKİ RİSKİ

Uzmanlar, söz konusu açığın giderilmesi için sistemin geçici olarak devre dışı bırakılmasının gerekebileceğini belirtiyor. Bu da eimza hizmetlerinin bir süre kullanılamaması anlamına geliyor ve çok sayıda kişinin bu durumdan etkilenmesi ihtimalini doğuruyor.

İBB Davası kapsamında hazırlanan bilimsel mütalaa sırasında tespit edilen güvenlik açığına ilişkin raporun sonuç bölümünde şu ifadeler yer alıyor:

“koddeposu.tubitak.gov.tr sunucusunun HTTPS'ye geçiş yapmış olması olumlu bir gelişmedir. Ancak HTTP hizmetinin açık tutulmaya devam etmesi, eski konfigürasyona sahip istemcilerde SSL Sıyırma saldırısına olanak tanımaktadır. Buna ek olarak, EBYS yazılımlarının Java truststore yönetimi ve sertifika doğrulama gerçeklemesindeki potansiyel eksiklikler, HTTPS kullanan istemcilerde bile MITM riski oluşturmaktadır. Bu raporda önerilen katmanlı savunma modelinin uygulanması, eimza altyapısının iletişim güvenliğini önemli ölçüde güçlendirecektir. Risklerin etkin şekilde giderilmesi için TÜBİTAK/KamuSM, EBYS yazılım firmaları ve kurum BT birimlerinin koordineli çalışması gerekmektedir.”