Page 117 - bilgem-teknoloji-dergisi-6
P. 117
Mehmet Sabır KİRAZ, Fatih BİRİNCİ, Uğur Kâşif BOYACI Elektronik Seçim: İnternet Üzerinden Oylama
3.4. Norveç i-seçim protokolü güvenlik yeni SMS virüsleri rapor edilmiştir. 4. Mobil kimlik doğrulama sistemi: Dikkat edilmesi gereken en önemli nokta seçmenlerin 1. Tehdit
analizi Örneğin, zararlı mesajlar alındığı takdirde Norveç sisteminde mobil kimlik hükümetlere veya kamu kuruluşlarına güvenmek zorunda
Nokia telefon yazılımında bir hata belirir doğrulama uygulaması yoktur. Ancak, kalmadan sistemi kabiliyetleri ölçüsünde inceleyebilme Güvenliği etkileyebilecek olay ve durumlardır. Seçim sistemine
3.4.1 SMS saldırıları ve güvenlik ve bu telefonları tamamen kullanılamaz Estonya sisteminde seçmen mobil kimliği olanağının bulunması ve uzman görüşleri doğrultusunda sisteme yapılabilecek bazı saldırılar birçok kişi tarafından yapılabilirken,
problemleri hale getirir. ile kayıt olabilir. güvenip güvenemeyeceğine karar verebilmesidir. bazılarını yapmak için bilgi birikimi, kaynak gereksinimi veya
seçim sistemindeki cihazlara erişim gerekebilecektir. Kaynak
SMS saldırısı Norveç sisteminde önemli - Bilgisayarlara Truva Atı benzeri 5. Matbaa: Seçim öncesi ve sonrası olan
ve hassas olduğu için ayrı olarak ele yüklenebilir ve cep telefonlarına iletişimlerde, seçmen seçim öncesinde her Sistemin açık kaynak kodlu olmasının en büyük dezavantajı gereksinimi içerden ve dışarıdan olmak üzere iki sınıfa ayrılır.
alınacaktır. Estonya sisteminde ise mobil istenmeyen e-posta/mesajlar gönderilebilir. bir adayın adresine yazılı bir kod kötü niyetli kişilerin ve bilgisayar korsanlarının da sistemin İçeriden olan kaynaklar, seçim sistemindeki cihazlara veya iç
kimlik doğrulama için bir prosedür gönderileceğini belirtmiştik. Seçim detaylarına ve kaynak kodlarına erişebilecek olmasıdır. Bu ağa belirli seviyede erişimi olan kişi veya gruplardır. Dışarıdan
olduğunu da belirtmiştik. Bu yüzden, cep - Kötü niyetli kişiler cep telefonlarının otoritesi her vatandaşa bu kodu kişiler de sistemi inceleyerek zayıflığını bulmaya çalışacaklardır. olan kaynaklar ise seçim sistemindeki cihazlara veya iç ağa
telefonu sistemi ile tüm SMS saldırılarını numaralarını bir veritabanına kaydedebilir göndermek zorundadır. Bu yüzden baskı Bu kişilerin yukarıdaki bahsettiğimiz uzmanlardan farkı ise erişim için özel izni olmayan kişi veya gruplardır. Internet
incelemek çok önemlidir. Mesaj ve istenmeyen mesajları yağdırabilir. hacmi büyük olacaktır. Matbaalarda çalışan buldukları zayıflıkları açıklamayıp bunları saldırı yapma amacı tabanlı seçim için aşağıdakiler tehdit kaynağı olabilmektedir.
göndermek için kullanıcı etkileşimi gerekli (yöneten kişi) bu kodları çalabilir ve kötü ile gizleyecek olmalarıdır. a. Sistem içi tehdit kaynakları
olmadığından bu tür saldırıları engellemek 4. Estonya ve Norveç i-seçim niyetle seçmenin mahremiyetini Açık kaynak kodlu olmayan sistemlerde bile istemci (seçmen)
çok kolay görünmemektedir. SMS sistemlerinin karşılaştırılması zedeleyebilir. Kötü niyetli kişiler oradan tarafında çalışan yazılımlar saldırganlar tarafından kaynak i. Seçmen: Seçim sistemine sınırlı erişim imkanları vardır.
saldırılarından bazıları aşağıda kodu almak için matbaanın bilgisayar koda dönüştürülebilir. Kaynak kodun derlenmeden önce Her bir seçmen, kayıt olmak, oy vermek ve seçim sonrası
listelenmiştir: Norveç e-seçim sisteminin Estonya altyapısına saldırabilir. doğrulama amaçları için seçim sistemi ile etkileşim içinde
sistemine göre daha güvenli olduğu perdelenmesi bu işi sadece zorlaştıracaktır. E-seçim sürecinin olacaktır.
- SMS servis sağlayıcısına güvenlik bilinmektedir. Norveç sisteminde, kötü 5. E-seçim sistemlerinin açık uzun olabileceği düşünüldüğünde (Norveç’te bu süreç üç ay
duvarının eklenmesi mümkün değildir. niyetli seçmen bilgisayarlarına karşı sürmektedir) perdeleme işleminin getireceği yarar tartışılabilir. ii. Seçim Görevlisi: Seçim sistemine ve verilerine kullanıcı
önlemler geliştirilmiştir. Gözetim sistemi kaynak kodlu olmasının önemi Dolayısıyla, sistemin açık kaynak kodlu olması daha çok sunucu düzeyinde erişim imkanları vardır. Fakat sistem operatörleri
- SMS mesajlarını filtreleyen bir de Norveç sisteminde daha iyi organize güvenliğini ilgilendirmektedir. Sistemin açık kaynak kodlu
mekanizmanın eklenmesi mümkün edilmiştir. Norveç sistemi daha güvenli ve Seçmenlerin seçim sistemine olan olması sonucunda saldırganlar sunucu tarafındaki detaylara gibi yönetimsel hakları yoktur.
değildir güvenlerini arttırmanın bir yolu da
sağlam olmasına rağmen bazı güvenlik sistemin tüm detaylarını ve kaynak ve kodlara da sahip olacaklardır. Sistemin kaynak kodunun ve iii. Sistem Yöneticisi: Seçim sisteminde yönetimsel düzeyde
- Bir mesajın orijinal biçiminde hedef açıkları da vardır. Karşılaştırma şu şekilde kodlarını yayınlamaktır. Seçmenlerinin diğer bütün detaylarının açıklanması bu noktada dezavantaj erişim imkanları vardır ve sistemin düzgün işlemesinden ve
telefona ulaşıp ulaşmadığının belirsizdir gösterilebilir güvenini kazanmak için Norveç de bu yolu olarak görülebilir. Fakat sistemin detaylarının gizlenmesinin hata durumunda müdahale edilmesinden sorumlulardır.
- Cep telefonu operatörleri gönderilecek 1. Seçmen onayı: Estonya sisteminde tercih etmiş ve sistemin detaylarını ve seçmenlerin güvenini azaltabileceğinden dolayı daha büyük iv. Diğerleri:
dezavantaj getireceği kabul görmektedir. Avusturya’daki e-
kaynak kodlarını açıklamıştır [27]. Seçim
mesajları filtreleyebilme ve kısa mesajları kime oy verdiğini bilmenin hiçbir yolu sisteminin açık kaynak kodlu olmasının seçim sisteminin kullanılmaması ve bunun sonucunda e-seçim 1. Seçim sisteminin üreticileri, geliştiricileri
değiştirebilme yeteneğine sahiptir yoktur. Ancak Norveç sisteminde seçmen projesinin rafa kaldırmasının en büyük nedeni sistemin
“Oy Depolama Sunucusu”nda kime oy getireceği avantaj ve dezavantajların çok
- SMS servisi güvenilir bir hizmet verdiğini bilir. Bu yüzden, seçmen yanlış iyi incelenmesi gerekmektedir. detaylarının gizlenmesinden dolayı sisteme olan güvenin 2. Sistemin entegrasyonunu yapanlar
değildir, mesajlar gecikebilir ya da hatta oy verdiğinde yeniden oy kullanabilir. Açık kaynak kodlu sistemlere güvenilmesi azalmasından kaynaklanmaktadır [19]. 3. Destek/Bakım elemanları
hiçbir sebep olmadan atılabilir Estonya sisteminde ise seçmen sadece oyun akla ilk gelen avantajlardan birisidir. Açık Bir sonraki bölümde internet tabanlı sistemler için yapılan
oy depolama sunucusunda depolanmış kaynak kodlu sistemlerin detaylarını bir 4. Doğrulama kodlarının üretildiği yerler(matbaa veya
- Hizmet dışı bırakma (Denial-of-Service) olup olmadığını bilir. tehdit analizlerini incelemeye çalışacağız. cep telefonu operatörleri)
saldırıları yapılabilir çok kişinin incelediği ve daha az açık
içereceği düşünülür. Sınırlı sayıda grup
2. Savunmasız seçmen bilgisayarına 6. İ-seçim tehdit analizi b. Sistem dışı tehdit kaynakları
- Telefonların SMS sorunları bulunabilir. karşı savunma: Estonya sisteminde veya teknik uzman, sistemin detaylarını
Örneğin bazı telefonlara gelen özel savunmasız seçmen bilgisayarına karşı ve kodlarını inceleyerek sistemin güvenliği Tehdit analizinde saldırganın e-seçim sistemine gizlilik, i. Kötü niyetli kişiler: Seçim sisteminin zayıf yönlerinden
formatlı mesajlar gönderildiğinde seçmen oyunu korumak için bir hakkında bilgi sahibi olacaktır. Bu grup bütünlük, erişim denetimi ve kullanılabilirlik yönlerinden yararlanmak isteyen kişilerdir.
telefonun SMS servis hizmeti bozulabilir mekanizma geliştirilmemiştir. Ancak veya uzmanların fikirleri seçmenlerin yapabileceği saldırılar incelenecektir [28, 29, 30]. Bu saldırıların
ve servis dışı bıraktırılabilir. Bu yolla Norveç sisteminde bulunan iki farklı kanal sisteme güven duymaları konusunda çok yapılabilmesi için saldırganın sahip olması gereken bilgi düzeyi ii. Kötü niyetli gruplar: Bu saldırılar organize veya terörist
telefona gönderilen hiçbir SMS/MMS mekanizması seçmen bilgisayarına yönelik etkili olacaktır. İster pozitif yönde olsun ve kaynak miktarı da dikkate alınmalıdır. Bu tehditlerin bir gruptan oluşabilir. Kötü niyetli kişilerden iş gücü ve teknik
ister negatif konusunda kabul görmemiş
mesajı telefona ulaşamaz [26]. önlenmesi için alınabilecek önlemler konusunda fikir verilmeye kaynak miktarı açısından daha güçlülerdir.
olası saldırıları engellemek için kullanılır. ve uzmanlaşmamış kişilerin sistem çalışılacaktır. Farklı uzmanlar i-seçimin başlangıçta %5’lik
- Akıllı telefonlarda güvenlik açıklarından Hatta bilgisayar seçmen oyunu bozmaya hakkındaki görüşleri sadece marjinal kısmında uygulanmasını veya öncelikle yurtdışındaki 2. Etkisi
yararlanmanın güncel farklı yolları vardır. kalkışsa dahi seçmen her zaman grupları etkileyebilir. Böyle kişilerin seçmenlerin kullanabilmesini tavsiye etmişlerdir. Bu yolla
Örneğin, SMS Enjeksiyonu cep telefonuna anlayabilir. seçmenler üzerindeki etkisinin çok sınırlı zorlama gibi engellenmesi zor problemlerin uygulanması Saldırının sisteme, yapılan seçime ve seçmenlere vereceği
karşı bilinen en ciddi saldırılardan biridir 3. Verilen oy işlemleri için karıştırıcı olacağı değerlendirilmektedir. zarardır.
[26]. Sistemin detaylarını içeren dokümanların zorlaşabilir.
ağlar yöntemi kullanma [1]: Norveç 3. Tespit Etme
- Yeni akıllı telefonlar SMS virüslerine sisteminin daha verimli ve sağlam olması İngilizce gibi dünyada yaygın olarak Saldırılar tespit edilebilirse önleme imkanı olabilir ve yapacağı
kullanılan bir dilde yayınlanmasıyla diğer
karşı daha savunmasızdır. Nokia, iPhone için karıştırıcı ağlar metodu kullanılır. ülkelerdeki uzmanların sistemi incelemesi tahribat sınırlı tutulabilir.
ve Android platformları için çok sayıda
ve görüşlerini açıklaması sağlanabilir.
114 Sayı 06 Mayıs-Ağustos 2011 http://www.bilgem.tubitak.gov.tr/ 115
·