5 Nisan 2016

Türkiye'nin Kimlik Bilgileri Hadisesini Biraz Açalım

Turkish Citizenship Database

Son zamanlarda birkaç kez haber olan Türk vatandaşlarının kimlik bilgileri İnternet üzerinde yayıldı hadisesi üzerine değinmek istedim. 2009 yılında bir güvenlik zafiyeti sayesinde yaşanan bu hadisenin son zamanlarda neden gündeme geldiğini açıklamaya çalışacağım. Güvenliğimiz için ne yapmamız gerektiğinden de konu içerisinde bahsedeceğim.

2009 yılı özellikle web güvenlik açıklarının yoğun olduğu ve bu açıkları kullanarak Hacking faaliyetlerinin yapıldığı önemli yıllardan biridir. Hacker dediğimiz bilgisayara meraklı kişiler o zamanlarda veri taban açığı, Hazır CMS Script açıkları, Upload açıkları, RFI ve LFI açıkları gibi birçok web güvenlik zafiyetleri kullanarak Hacking faaliyetlerini sürdürüyordu. Bu konular hakkında bilgi ve literatürde birçok Türk Hacking forumunda mevcuttu.

Özellikle firmaların güvenlik test birimleri veya Siber güvenlik ile ilgili bir çalışmaları olmadığı zamanlarda bu tür zafiyetleri bulan iyi niyetli Hacker'lar firmalara mail atarak güvenlik zafiyetleri konusunda uyarıyordu. 2009 yılında Merkezî Nüfus İdare Sistemi ya da kısaca MERNİS'in sitesinde veri taban açığı dediğimiz bir açığın keşfedildiği konuşuluyordu.

Güvenlikçilerin SQL Injection saldırısı olarak bildiği bu veri taban açığında Hacker'lar tarayıcı üzerinden ve çeşitli araçlar ile yaptığı denemeler sonucu birçok vatandaşın bilgisinin tutulduğu veri tabanına ve tablolara direk ulaşabildiğini gördü. Bunu gören kişiler tüm tablolardaki bilgileri çekmek için ufak bir tool yazmış olabilir. Çünkü 20 GB'a yakın veriyi bir günde SQL Injection açığı ile çekmek mümkün değil. Büyük ihtimal Hacker'lar bu tabloları 5-6 gün boyunca 7/24 zafiyeti kullanarak yazdıkları veya piyasada SQL Injection için kullanılan araçları çalıştırarak 20 GB'a yakın veriyi çekmiş olabilirler Bu zafiyet en çok üzerinde durulan tanı. Tabi bu hadise 2009-2010 yıllarında oluyor ve yeni bir şey değil, çünkü verilerden onu anlıyoruz.

Daha sonra çekilen bu veri birçok yere satıldı benzeri veya birçok kişinin eline geçtiğine dair İnternet'de haberler yapıldı. Tekrar bu verinin son zamanlarda açığa çıkması ise 20 GB'a yakın bilginin bu sefer sıkıştırılıp 4.7 GB şeklinde bulut hizmetinden yararlanarak tekrar Publish edilmesinden dolayıdır. Çünkü bu büyüklükteki bir veriyi son kullanıcıya kadar ulaşabilmesi için verinin kolay indirilebilir hale gelmesi gerekiyor. Son kullanıcıya kadar ulaşan bu veri hem Türkiye'den hemde yabancı kişiler tarafından indirilmiş olma ihtimali yüksek.

Sadece Türkiye'den son kullanıcıların indirip Anonymous ile bağlantıda olan Türk grupların bu veriyi Anonymous ile paylaşması da mümkün. Paylaşılan veri Anonymous tarafından önce "Sorgu.exe" dediğimiz daha önce Publish edilmiş dosya içindeki sorgulama uygulaması değiştirilip RAT haline getirilip Anonymous tarafından kullanılmak istendi ve Emniyet bilgileri sızıldı şeklinde haber yapılmaya çalışıldı. Tabi bu süreç başarısız bir girişim oldu. Artık herkesin Anti-Virüs kullandığı şu zamanda basit bir RAT operasyonu işe yaramazdı ve yaramadı da.

Bu sefer Anonymous grubu Turkish Citizenship Database adında İzlanda üzerinden kiraladığı sanal bir sunucu üzerinden yayın yaparak kimlik bilgilerinin olduğu dosyayı 1.44 GB boyutunda olacak şeklinde sadeleştirerek Torrent yolu ile direk paylaşıma sundu. Veriyi indirenler TAR ile sıkıştırılmış "mernis.tar" adında dosyayı incelediğinde içerisinde sadece büyük bir 6 GB boyutunda SQL dosyasının olduğunu görmüşlerdir. Bu sefer dosyada herhangi bir zararlı yazılım veya yemleme yöntemi yoktu. Direk paylaşıma sunulmuş ham veri vardı.

Linux üzerinde TAR dosyası açılarak Vim Editör ile veriyi incelemek mümkün. Bir başka yol ise Windows üzerinde lokal bir veritabanı kurularak (Wamp, MySQL) bilgileri incelemek de mümkün. Basit SQL sorguları ile veri üzerinde istediğinizi yapma imkanı sunmuşlardır.

Anonymous Bilgileri Nereden Yayıyor?
Anonymous geçen günlerde Turkish Citizenship Database adında İzlanda'da sunucu hizmeti veren FlokiNET firması üzerinden İzlanda'dan kiraladığı salan bir sunucu üzerinden bu yayını yapmıştır. Firma İzlanda merkezli olup Romanya, İzlanda ve Finlandiya üzerinden sunucu hizmeti vermektedir. Aynı zamanda ödeme yöntemlerinde Bitcoin, Litecoin gibi sanal parada kullanmaktadır. Anonymous grubu yüksek ihtimal ödemeyi sanal para ile yapıp Off-Shore bir sunucu satın alarak bilgileri yayınladı.

İlgilenenler için firma hakkındaki bilgiler;
Firma: FlokiNET Ehf (www.flokinet.is)
Lokasyon: İzlanda(Iceland) merkezli Romanya, İzlanda ve Finlandiya sunucuları bulunuyor.
Hizmetler: Fiziksel ve sanal sunucu, Hosting, Off-Shore sunucu ve DDoS Protection hizmetinin yanı sıra TOR ağlarında yani DeepWeb için barındırma hizmeti de vermektedir.
Ödeme: Normal ödeme yöntemleri yanında Bitcoin, Litecoin gibi sanal para ödeme sistemi vardır.
RIPE kaydı: ripe.net/membership/indices/data/is.flokinet.html
IP Sahipliği: 185.100.87.0 - 185.100.87.255
AS Number: AS200651
Twitter: twitter.com/FlokiNETehf

Peki Veriler Eskimi?
Kimlik bilgileri verisi 2009 yılı ve ondan önce oy kullanan seçmen bilgilerine ait. 1992 ve sonra doğumlu kişilerin bilgileri yoktur. Bilgiler eski ama halen geçerli olması ve illegal işler için kullanması günümüzde mümkün.

Bu Bilgiler ile Ne Yapılabilir?
Günümüzde İnternet üzerinden yapılan kredi kart dolandırıcılığı revaçta. Bu bilgiler ile sahte kimlik düzenleme işlemi yapılabilir. İnternet üzerinde kimlik bilgisi istenen yerlerde bu bilgiler kötü niyetli kişiler tarafından kullanılabilir. Bir kişi hakkında detaylı adres bilgisi almak için kullanılabilir. Veriler eskiden sızıldı ve eskiymiş gibi bir algı olsa da halen birçok kişinin hayatta olduğu ve kullandığı güncel kimlik bilgileridir.

Güvenliğimiz için Neler Yapmalıyız?

1) Hızlı şekilde Elektronik ve Çipli kimliklere geçilerek kullandığımız nüfuz cüzdanları kaldırılmalıdır. Çünkü kullandığımız nüfuz cüzdanı teknolojisi artık üçüncü parti dediğimiz kişiler tarafından bile basılması kolay ve eski bir teknoloji halini almıştır. Yeni geçilecek kimliklerde sahtecilik yapılma ihtimali çok çok düşüktür.

2) TC kimlik algoritmasını değiştirmek şuan için çok zor. Bunu yapmamız demek ülke üzerindeki özel ve kamu birçok verinin değişmesi demektir. Bunu şuan için yapmamız mümkün değil fakat kimlik bilgilerini direk kullanarak İnternet üzerinde işlem yapabilme işlemini sınırlayabilir ve Devlet tarafından kontrolsüz kullanılmasını minimize edebiliriz. Daha sonra yeni kimlikler ile birlikte 11 haneli kimlik numara algoritması değişerek yeni 14 veya 15 haneli numaralar insanlara verilmelidir. Kimlik numaraları değişirse güvenlik zafiyeti tamamen ortadan kalkar.

3) Mobil ve Elektronik imza önümüzdeki 5 yıl içinde hayata geçmeli ve birçok E-Devlet uygulamasında standart şifreleme ve bilgi istemek yerine bu imzalar istenmelidir. Üniversitelere tanıtım amaçlı E-Devlet kullanımı ve üyeliği için Devlet tarafından gönderilecek gruplar gönderilmeli ve tüm vatandaşlar sistematik şekilde E-Devlet şifresi edinmeye teşvik edilmelidir.

4) Birçok ödeme ve benzeri işlemler, vatandaşın İnternet üzerinden yapacağı ve güvenli olması gereken işlem kategorileri E-Devlet'e taşınmalıdır. Vatandaşın, vergi ödeme, bilgi sorgulama, belediye emlak vergisi ödeme gibi Devletin tüm bu işlem süreçlerini (turkiye.gov.tr) üzerine alarak buradan yapmasını sağlamalıdır. Çünkü diğer sistemlerin güvenliğini takip etmek ve bunları güncel tutmak biraz zor olabilir. E-Devlet üzerine bu işlemler tam olarak taşınırsa Devlet için daha güvenli ve stabilize olacaktır.

5) T.C. Nüfus ve Vatandaşlık İşleri Genel Müdürlüğü Kimlik Numarası Sorgulama Sayfası (tckimlik.nvi.gov.tr) hizmeti kapatılabilir. Çünkü siz her ne kadar güvenli olsa da kimlik sorgulama işlemi için ek bilgiler talep etseniz bile aslında bilgiler dışarıdan erişilebilir durumda gibi bir algı var. Bu yüzden bu işlemler sadece (turkiye.gov.tr) üzerinde, sadece kişinin kendi bilgileri tarafından ve hesabından yapılmalıdır.

Bu arada haberin yayılmasından sonra "Turkish Citizenship Database" ve "49,611,709" terimleri en çok arananlar arasında oldu.

Vatandaş Kişisel Güvenliği için Ne Yapabilir?

1) İnternet üzerinden yaptığınız her alış veriş için Bankanızdan bildirim mesajı gelmesini talep edin. 20 TL bile bir ürün alsanız mutlaka cep telefonunuza şu kadar miktar kartınızdan çekilmiştir mesajı gelmesini isteyin. İlla ki 100 TL ve üstü ile sınırlı olmasın.

2) 3D Secure güvenliği olmayan yerlerden kesinlikle İnternet alış verişi yapmayın. Bankanızı arayarak bu özelliğin aktif olmasını talep edin.

3) Lisanslı veya güncellenebilir Free Anti-Virüs veya İnternet Security güvenlik programı mutlaka kullanın.

4) Bilmediğiniz Mailleri açmayın ve şuraya tıklayın veya faturayı görüntülemek, ödemek için buraya tıklayın şeklinde ibarelere sakın tıklamayın ve maili silin.

Kaynaklar
en.wikipedia.org/wiki/Iceland (İzlanda)
tr.wikipedia.org/wiki/Mernis (MERNİS)
en.wikipedia.org/wiki/Anonymous_(group) (Anonymous)
Türk Nüfus Cüzdanı
T.C. Kimlik Kartı
Türkiye Cumhuriyeti Kimlik Numarası

EmEditor (Text Editor) (www.emeditor.com)
en.wikipedia.org/wiki/EmEditor

Hiç yorum yok:

Yorum Gönder