Mehmet Sabır KİRAZ, Fatih BİRİNCİ, Uğur Kâşif BOYACI  Elektronik Seçim: İnternet Üzerinden Oylama

 3.4. Norveç i-seçim protokolü güvenlik  yeni SMS virüsleri rapor edilmiştir.  4. Mobil kimlik doğrulama sistemi:  Dikkat edilmesi gereken en önemli nokta seçmenlerin  1. Tehdit
 analizi  Örneğin, zararlı mesajlar alındığı takdirde  Norveç sisteminde mobil kimlik  hükümetlere veya kamu kuruluşlarına güvenmek zorunda
 Nokia telefon yazılımında bir hata belirir  doğrulama uygulaması yoktur. Ancak,  kalmadan sistemi kabiliyetleri ölçüsünde inceleyebilme  Güvenliği etkileyebilecek olay ve durumlardır. Seçim sistemine
 3.4.1 SMS saldırıları ve güvenlik  ve bu telefonları tamamen kullanılamaz  Estonya sisteminde seçmen mobil kimliği  olanağının bulunması ve uzman görüşleri doğrultusunda sisteme  yapılabilecek bazı saldırılar birçok kişi tarafından yapılabilirken,
 problemleri  hale getirir.  ile kayıt olabilir.  güvenip güvenemeyeceğine karar verebilmesidir.  bazılarını yapmak için bilgi birikimi, kaynak gereksinimi veya
                                                                     seçim sistemindeki cihazlara erişim gerekebilecektir. Kaynak
 SMS saldırısı Norveç sisteminde önemli  -  Bilgisayarlara Truva Atı benzeri  5. Matbaa: Seçim öncesi ve sonrası olan
 ve hassas olduğu için ayrı olarak ele  yüklenebilir ve cep telefonlarına  iletişimlerde, seçmen seçim öncesinde her  Sistemin açık kaynak kodlu olmasının en büyük dezavantajı  gereksinimi içerden ve dışarıdan olmak üzere iki sınıfa ayrılır.
 alınacaktır. Estonya sisteminde ise mobil  istenmeyen e-posta/mesajlar gönderilebilir.  bir adayın adresine yazılı bir kod  kötü niyetli kişilerin ve bilgisayar korsanlarının da sistemin  İçeriden olan kaynaklar, seçim sistemindeki cihazlara veya iç
 kimlik doğrulama için bir prosedür  gönderileceğini belirtmiştik. Seçim  detaylarına ve kaynak kodlarına erişebilecek olmasıdır. Bu  ağa belirli seviyede erişimi olan kişi veya gruplardır. Dışarıdan
 olduğunu da belirtmiştik. Bu yüzden, cep  -  Kötü niyetli kişiler cep telefonlarının  otoritesi her vatandaşa bu kodu  kişiler de sistemi inceleyerek zayıflığını bulmaya çalışacaklardır.  olan kaynaklar ise seçim sistemindeki cihazlara veya iç ağa
 telefonu sistemi ile tüm SMS saldırılarını  numaralarını bir veritabanına kaydedebilir  göndermek zorundadır. Bu yüzden baskı  Bu kişilerin yukarıdaki bahsettiğimiz uzmanlardan farkı ise  erişim için özel izni olmayan kişi veya gruplardır. Internet
 incelemek çok önemlidir. Mesaj  ve istenmeyen mesajları yağdırabilir.  hacmi büyük olacaktır. Matbaalarda çalışan  buldukları zayıflıkları açıklamayıp bunları saldırı yapma amacı  tabanlı seçim için aşağıdakiler tehdit kaynağı olabilmektedir.
 göndermek için kullanıcı etkileşimi gerekli  (yöneten kişi) bu kodları çalabilir ve kötü  ile gizleyecek olmalarıdır.  a. Sistem içi tehdit kaynakları
 olmadığından bu tür saldırıları engellemek  4. Estonya ve Norveç i-seçim  niyetle seçmenin mahremiyetini  Açık kaynak kodlu olmayan sistemlerde bile istemci (seçmen)
 çok kolay görünmemektedir. SMS  sistemlerinin karşılaştırılması  zedeleyebilir. Kötü niyetli kişiler oradan  tarafında çalışan yazılımlar saldırganlar tarafından kaynak  i. Seçmen: Seçim sistemine sınırlı erişim imkanları vardır.
 saldırılarından bazıları aşağıda  kodu almak için matbaanın bilgisayar  koda dönüştürülebilir. Kaynak kodun derlenmeden önce  Her bir seçmen, kayıt olmak, oy vermek ve seçim sonrası
 listelenmiştir:  Norveç e-seçim sisteminin Estonya  altyapısına saldırabilir.  doğrulama amaçları için seçim sistemi ile etkileşim içinde
 sistemine göre daha güvenli olduğu  perdelenmesi bu işi sadece zorlaştıracaktır. E-seçim sürecinin  olacaktır.
 -  SMS servis sağlayıcısına güvenlik  bilinmektedir. Norveç sisteminde, kötü  5. E-seçim sistemlerinin açık  uzun olabileceği düşünüldüğünde (Norveç’te bu süreç üç ay
 duvarının eklenmesi mümkün değildir.  niyetli seçmen bilgisayarlarına karşı  sürmektedir) perdeleme işleminin getireceği yarar tartışılabilir.  ii. Seçim Görevlisi: Seçim sistemine ve verilerine kullanıcı
 önlemler geliştirilmiştir. Gözetim sistemi  kaynak kodlu olmasının önemi   Dolayısıyla, sistemin açık kaynak kodlu olması daha çok sunucu  düzeyinde erişim imkanları vardır. Fakat sistem operatörleri
 -  SMS mesajlarını filtreleyen bir  de Norveç sisteminde daha iyi organize  güvenliğini ilgilendirmektedir. Sistemin açık kaynak kodlu
 mekanizmanın eklenmesi mümkün  edilmiştir. Norveç sistemi daha güvenli ve  Seçmenlerin seçim sistemine olan  olması sonucunda saldırganlar sunucu tarafındaki detaylara  gibi yönetimsel hakları yoktur.
 değildir  güvenlerini arttırmanın bir yolu da
 sağlam olmasına rağmen bazı güvenlik  sistemin tüm detaylarını ve kaynak  ve kodlara da sahip olacaklardır. Sistemin kaynak kodunun ve  iii. Sistem Yöneticisi: Seçim sisteminde yönetimsel düzeyde
 -  Bir mesajın orijinal biçiminde hedef  açıkları da vardır. Karşılaştırma şu şekilde  kodlarını yayınlamaktır. Seçmenlerinin  diğer bütün detaylarının açıklanması bu noktada dezavantaj  erişim imkanları vardır ve sistemin düzgün işlemesinden ve
 telefona ulaşıp ulaşmadığının belirsizdir  gösterilebilir  güvenini kazanmak için Norveç de bu yolu  olarak görülebilir. Fakat sistemin detaylarının gizlenmesinin  hata durumunda müdahale edilmesinden sorumlulardır.

 -  Cep telefonu operatörleri gönderilecek  1. Seçmen onayı: Estonya sisteminde  tercih etmiş ve sistemin detaylarını ve  seçmenlerin güvenini azaltabileceğinden dolayı daha büyük  iv. Diğerleri:
          dezavantaj getireceği kabul görmektedir. Avusturya’daki e-
 kaynak kodlarını açıklamıştır [27]. Seçim
 mesajları filtreleyebilme ve kısa mesajları  kime oy verdiğini bilmenin hiçbir yolu  sisteminin açık kaynak kodlu olmasının  seçim sisteminin kullanılmaması ve bunun sonucunda e-seçim  1. Seçim sisteminin üreticileri, geliştiricileri
 değiştirebilme yeteneğine sahiptir  yoktur. Ancak Norveç sisteminde seçmen  projesinin rafa kaldırmasının en büyük nedeni sistemin
 “Oy Depolama Sunucusu”nda kime oy  getireceği avantaj ve dezavantajların çok
 -  SMS servisi güvenilir bir hizmet  verdiğini bilir. Bu yüzden, seçmen yanlış  iyi incelenmesi gerekmektedir.  detaylarının gizlenmesinden dolayı sisteme olan güvenin  2. Sistemin entegrasyonunu yapanlar
 değildir, mesajlar gecikebilir ya da hatta  oy verdiğinde yeniden oy kullanabilir.  Açık kaynak kodlu sistemlere güvenilmesi  azalmasından kaynaklanmaktadır [19].  3. Destek/Bakım elemanları
 hiçbir sebep olmadan atılabilir  Estonya sisteminde ise seçmen sadece oyun  akla ilk gelen avantajlardan birisidir. Açık  Bir sonraki bölümde internet tabanlı sistemler için yapılan
 oy depolama sunucusunda depolanmış  kaynak kodlu sistemlerin detaylarını bir  4. Doğrulama kodlarının üretildiği yerler(matbaa veya
 -  Hizmet dışı bırakma (Denial-of-Service)  olup olmadığını bilir.  tehdit analizlerini incelemeye çalışacağız.                cep telefonu operatörleri)
 saldırıları yapılabilir  çok kişinin incelediği ve daha az açık
 içereceği düşünülür. Sınırlı sayıda grup
 2. Savunmasız seçmen bilgisayarına  6. İ-seçim tehdit analizi        b. Sistem dışı tehdit kaynakları
 -  Telefonların SMS sorunları bulunabilir.  karşı savunma: Estonya sisteminde  veya teknik uzman, sistemin detaylarını
 Örneğin bazı telefonlara gelen özel  savunmasız seçmen bilgisayarına karşı  ve kodlarını inceleyerek sistemin güvenliği  Tehdit analizinde saldırganın e-seçim sistemine gizlilik,  i. Kötü niyetli kişiler: Seçim sisteminin zayıf yönlerinden
 formatlı mesajlar gönderildiğinde  seçmen oyunu korumak için bir  hakkında bilgi sahibi olacaktır. Bu grup  bütünlük, erişim denetimi ve kullanılabilirlik yönlerinden  yararlanmak isteyen kişilerdir.
 telefonun SMS servis hizmeti bozulabilir  mekanizma geliştirilmemiştir. Ancak  veya uzmanların fikirleri seçmenlerin  yapabileceği saldırılar incelenecektir [28, 29, 30]. Bu saldırıların
 ve servis dışı bıraktırılabilir. Bu yolla  Norveç sisteminde bulunan iki farklı kanal  sisteme güven duymaları konusunda çok  yapılabilmesi için saldırganın sahip olması gereken bilgi düzeyi  ii. Kötü niyetli gruplar: Bu saldırılar organize veya terörist
 telefona gönderilen hiçbir SMS/MMS  mekanizması seçmen bilgisayarına yönelik  etkili olacaktır. İster pozitif yönde olsun  ve kaynak miktarı da dikkate alınmalıdır. Bu tehditlerin  bir gruptan oluşabilir. Kötü niyetli kişilerden iş gücü ve teknik
 ister negatif konusunda kabul görmemiş
 mesajı telefona ulaşamaz [26].  önlenmesi için alınabilecek önlemler konusunda fikir verilmeye  kaynak miktarı açısından daha güçlülerdir.
 olası saldırıları engellemek için kullanılır.  ve uzmanlaşmamış kişilerin sistem  çalışılacaktır. Farklı uzmanlar i-seçimin başlangıçta %5’lik
 -  Akıllı telefonlarda güvenlik açıklarından  Hatta bilgisayar seçmen oyunu bozmaya  hakkındaki görüşleri sadece marjinal  kısmında uygulanmasını veya öncelikle yurtdışındaki  2. Etkisi
 yararlanmanın güncel farklı yolları vardır.  kalkışsa dahi seçmen her zaman  grupları etkileyebilir. Böyle kişilerin  seçmenlerin kullanabilmesini tavsiye etmişlerdir. Bu yolla
 Örneğin, SMS Enjeksiyonu cep telefonuna  anlayabilir.  seçmenler üzerindeki etkisinin çok sınırlı  zorlama gibi engellenmesi zor problemlerin uygulanması  Saldırının sisteme, yapılan seçime ve seçmenlere vereceği
 karşı bilinen en ciddi saldırılardan biridir  3. Verilen oy işlemleri için karıştırıcı  olacağı değerlendirilmektedir.  zarardır.
 [26].  Sistemin detaylarını içeren dokümanların  zorlaşabilir.
 ağlar yöntemi kullanma [1]: Norveç                                   3. Tespit Etme
 -  Yeni akıllı telefonlar SMS virüslerine  sisteminin daha verimli ve sağlam olması  İngilizce gibi dünyada yaygın olarak  Saldırılar tespit edilebilirse önleme imkanı olabilir ve yapacağı
 kullanılan bir dilde yayınlanmasıyla diğer
 karşı daha savunmasızdır. Nokia, iPhone  için karıştırıcı ağlar metodu kullanılır.  ülkelerdeki uzmanların sistemi incelemesi  tahribat sınırlı tutulabilir.
 ve Android platformları için çok sayıda
 ve görüşlerini açıklaması sağlanabilir.

 114  Sayı 06   Mayıs-Ağustos 2011  http://www.bilgem.tubitak.gov.tr/  115
 ·