Pazartesi, Ağustos 27, 2007

Seçim Süreci


25 Ağustos Cumartesi Günü Cumhuriyet gazetesinde Ali Sirmen'in köşe yazısı dikkatimi çekti. Seçim elektronik olarak toplanan seçim sonuçları hakkındaki şüpheler ile ilgili endişe uyandıran bir yazı. Bu yazıdan bir alıntı:

Bir noktayı belirteyim: Bazı bölgelerde kimi sandık sonuçları ile bunların bilgisayara geçirilmeleri arasında farklılıklar olduğu belgelenmişse bile bunlar iddialardır, henüz ortada kesin kanıtlar mevcut değildir. Ama YSK'nin, sonuçların açıklanması konusundaki talepler karşısında başlangıçta çekingen davranmış olması hoş bir görüntü yaratmamıştır.

YSK'nin hemen bütün başvurulara yanıt vermesi; iddiaları, ikna edici biçimde belgeleriyle yanıtlaması; kuşkuları ortadan kaldıracak teknik incelemelerin yapılmasını sağlaması; kısacası seçim sonuçlarını gerekiyorsa, bir kez daha, bu defa elle sayımla, gözden geçirmesi şarttır.

Aynı sayfada "Seçimde şaibe tartışması" başlığı altında YSK Başkanı Muammer Aydın'ın seçim sistemi ile ilgili soruları cevaplandırdığı bir paragraf da bulunmakta:

Muammer Aydın, oyların elektronik ortamda sayılmasının sabote ihtimalini güçlendirdiği görüşünü ise şöyle değerlendirdi: "Bu iddiaları ortaya atanlar bizim sistemimizin nasıl çalıştığını bilmiyor. Sandıklar açılıyor, sandık kurulu tutanak tutuyor. İlçeye gönderiliyor, ilçe bunu bilgisayara giriyor. Girdikten sonra hemen bilgisayardan kontrol çıktısı alıyor. Bilgisayar verileriyle, tutanaklar karşılaştırılıyor. Tutanaklar, ilçeden ile geldiğinde bir birleştirme tutanağı düzenleniyor. Bunlar ana merkeze gönderiliyor. Ana merkezde değişmesi de söz konusu olamaz. Burada da tutanaklarla bilgisayar verileri karşılaştırılıp, sonuçlar öyle ilan ediliyor."

Bu tanımdan oyların sandıklarda sayıldıktan sonra tutanakların sandıktan ilçeye, ilçeden ile, ilden de merkeze fiziksel olarak ulaştırıldığı. Sonuçların merkeze gelen kağıt üzerindeki kayıtların merkezde bilgisayar kayıtları ile karşılaştırıldıktan sonra açıklandığı anlaşılıyor.

Yukarıda tarif edilen akışı göz önüne alarak seçim sisteminde sandık sonuçlarının alınmasından YSK sonuçların açıklanmasına kadar geçen süreç üzerinde bir fikir cimnastiği yapmak istedim.

  • Sandıklar açılıyor, sandık kurulu tutanak tutuyor.

Buradaki işlemler bilgisayarsız gerçekleşiyor, bu noktada oluşabilecek değişiklikler konumuz dışında. Bu noktada belirsiz olan noktalar oy pusulalarının akibeti (mühürlenmiş bir torbada merkeze gönderildiklerini varsayıyorum) ve tutanağın bütünlüğünün korunması için alınan önlemler (imzalar, mühür, kilitli kutu, zırhlı araç, silahlı korumalar ...).

  • Tutanak İlçeye gönderiliyor, ilçe bunu bilgisayara giriyor.

Bilişim Güvenliği terimleri kullanıyorum, ancak ilçelerde veriler bilgisayara kaydedilmeden önce sandık tutanağının bütünlüğünün kontrol edilmesi gerekiyor. Bunun sağlıklı yapılması sandık sonuçlarının sağlıklı olarak sisteme iletilmesi için büyük önem taşıyor.

Burası, görebildiğim kadarıyla sandık sonuçlarına yapılacak fiziksel bir değişiklik için uygun bir nokta. Öncelikle bir yoğunluk problemi var. Eğer hesaplarım doğruysa, her ilçeye bağlı ortalama 155 sandık var. Yani her ilçe merkezi en az 7 (Bozcaada, Çanakkale) en çok 701 (Kartal-1, Istanbul) sandık tutanağı ile uğraşmak durumunda. Özellikle çok sayıda sandık sonucunun aynı anda ulaştığı ilçelerde tutanakların imza mühür ve bütünlüğünün yeterince kontrol edilmeme olasılığı göze çarpıyor.

Ayrıca kontrol edilen bir tutanağın bilgisayara girilme aşamasında değiştirilmesi, daha zor gözükse de, sistemi bilen birisi tarafından, önceden hazırlanmış bir veya birden fazla sahte tutanağı değiştirme olasılığı düşünülebilir.

  • Girdikten sonra hemen bilgisayardan kontrol çıktısı alıyor. Bilgisayar verileriyle, tutanaklar karşılaştırılıyor.
Eğer tutanak girişten önce değiştirilmiş ise bu aşamada bir anormallik farkedilmeyecektir.

Operasyonun tanımına göre operatör tarafından yapılan bir maddi hata da kontrol çıktılarından tespit edilebilir. Bu aşamada kötü niyetli bir operatörün yapabileceği değişikliklere karşı alınan önlemler anlatılmamış. En azından verileri giren ve çıktıları kontrol edenlerin farklı kişiler/ekipler olması ve sistemdeki girdi ve sonradan yapılan düzeltmelerin operasyonel kayıtlarının tutulması ve incelenmesi faydalı olacaktır.

İşin içinde bilgisayarlar girdiğinde olasılıklar da bir anda artıyor. Her şeyden önce verilerin bilgisayara girildiği noktadan sonraki teknik detaylar oldukça az. Bilgisayarlar sorgulamadan kendilerine ne söylenirse onu yaparlar. Eğer program bilgisayara "operatörün girdiğini yazıcıdan aynen çıkart, merkeze ise değiştirerek gönder" derse bilgisayarın bu isteği sorgulama şansı yoktur. Böyle bir programın bilgisayara nasıl, kimler tarafından, ne zaman yüklenebileceği, bu tür değişikliklerin kontrol edilip edilmediği, tespit edilip edilemeyeceği, alınan önlemler sistemin tasarımı ve uygulanması sırasında ele alınmış olmalıdır. Tasarım ve uygulama detaylarının incelemeye açık olması da güven sağlanması açısından büyük önem taşımaktadır.

  • Tutanaklar, ilçeden ile geldiğinde bir birleştirme tutanağı düzenleniyor. Bunlar ana merkeze gönderiliyor.
Tutanakların ilçeden ile oradan da merkeze nasıl iletildiği belirtilmemiş. Benim düşüncem, bir yandan kara/hava/deniz yolu ile tutanaklar yavaş yavaş hedefe ilerlerken, bir yandan da ilçelerde bilgisayara giren sonuçlar televizyonları renklendirmekteydi. SEÇSİS yazılımı hakkındaki kısa bilgiler de bu düşünceyi doğrular nitelikte: "... SEÇSİS Projesi dağıtık mimari yapıdan, ilçelerin web tabanlı çevrim-içi (on-line) çalışmasına imkan veren yapıya revize edilmiş ..." Sonuç olarak, seçim sonrası yayınlanan sonuçlar, ilçelerdeki bilgisayarlardan doğrudan merkeze aktarılan verilerden oluşturulmakta.

Bu ek bilgilerin işiğinda uygulamayı biraz daha değerlendirelim:

Web tabanlı bir uygulamadan söz ediyoruz. İlçe merkezlerinden bağlanılan. Varsa UYAP (Yargı Ağı) ağ altyapısını kullanıyor, yoksa ADSL veya benzer yöntemlerle internet üzerinden bağlanıyor. Bir VPN (sanal özel ağ) kullandığı için aslında merkez uygulamaya erişimin internetten izole olarak gerçekleştiği düşünülebilir.

Herşeyden önce, böyle bir merkezi yapıda, tüm ilçelerin ve VPN erişimine sahip herkesin merkez sunuculara erişimi olası gözüküyor. Böyle bir yapı eğer gerekli önlemler alınmamışsa, bir noktadan erişim elde eden bir saldırganın tüm sisteme (merkez, diğer ilçeler, veritabanı) erişim elde etme riskini ortaya çıkartır. Tüm işlemlerin el ile yapıldığı bir durumda tek bir ilçe ile sınırlı kalabilecek bir olay, bilgisayar ağı ve erişimi ile kolaylıkla tüm seçimi etkileyebilecek şekilde büyüyebilir.

Burada olası saldırı noktaları:

İlçedeki bilgisayar üzerine yerleştirilecek bir kötü niyetli yazılım (truva atı vb.)

İlçedeki bilgisayar ağına boş bir ağ ucundan bağlanacak bir saldırgan bilgisayar aracılığı ile veya VPN erişim bilgilerini (örneğin bir ilce bilgisayarlarından) ele geçirerek doğrudan merkez'deki sistemlere erişilmesi.

Kötü niyetli bir teknisyen, operatör veya servis elemanı. Yukarıdaki tarif edilen saldırıları gerçekleştirebilir veya gerçekleştirmek için gerekli bilgileri toplayabilir, erişim bilgilerine ulaşabilir. Binlerce ilçeden sadece bir tanesinde bu tarz bir erişim elde edilmesi yapıya bağlı olarak merkez sistemler aracılığı ile tüm sonuçlara müdahale edilmesine yol açabilir.

  • Ana merkezde değişmesi de söz konusu olamaz.
Aslında, belki de değişim yapmaya en elverişli nokta burası. Yazılımın ve kullanılan sistemlerin kullanıma alınmadan önce bağımsız ekipler tarafından güvenlik testlerinden geçirilip geçirilmediği; Sunucuların yönetimi ve yazılım güncellemeleri ile ilgili politikalar ve bunların ne düzeyde uygulandığı;. Kimlerin hangi düzeylerde ağ, sistem, veritabanı ve uygulama yönetim haklarına sahip oldukları gibi pek çok cevapsız soru bulunmakta. Ayrıca SEÇSİS uygulamasının Mernis ve UYAP dahil başka e-devlet uygulamaları ile bağlantısı olduğu ve VPN ile erişim elde edildiği biliniyor. Bu dış noktalardan gelebilecek erişimlere karşı alınan önlemler de belli değil. Bu kadar belirsizlik ve olası saldırı noktası varken "Ana merkezde değişmesi de söz konusu olamaz." açıklaması, örneğin, bizim yaptığımız otoyollarda kaza olamaz demek kadar inandırıcılıktan uzak.

  • Burada da tutanaklarla bilgisayar verileri karşılaştırılıp, sonuçlar öyle ilan ediliyor.
Kesin sonuçlar 30 Temmuz'da ilan edildi. İlçelerden bilgisayarla gelen ve anında açıklanan sonuçların ardından bu sonuçların tutanaklarla karşılaştırılması sürecinin nasıl geliştiğini, tutarsızlıklar oluşup oluşmadığını, oluştuysa bunların nasıl giderildiği, seçim boyunca oluşan sunucu, uygulama ve güvenlik kayıtlarının incelenip incelenmediği de üzerinde durulması gereken noktalar.

Bu yazıyı yazarken aslında seçim süreci konusunda ne kadar az şey bildiğimi farkettim. Demokrasinin sağlıklı yürümesi için bu sürecin bir kapalı kutu olmaktan çıkartılması gerekli.

3 yorum:

Korhan GÜRLER dedi ki...

Bu ve bundan önceki seçim ile ilgili yazıların gerçekten de çok güzel olmuş. Keşke böyle çalışmaları ciddi anlamda YSK'da yapsa...

Adsız dedi ki...

http://hanifgundem.blogspot.com/2009/01/secimlerde-saibe2.html

sELAM SELAM
Öncelikle ufak bir hatırlatma yapalım:Yüksek Seçim Kurulu; valiliklere gönderdiği yazıda hiçbir kurumun YSK onayı olmadan adres yazımı yapamayacağını belirtmiştir.İlgi yazıyı önceki yazımızda bulabilirsiniz.5-6 Ocak günü yazdığımız yazı Ergenekon operasyonunun son dalgasında HDCF Kültürel ve Bilimsel Açılım Komitesi Onursal Başkanı Profesör Doktor Sayın Yalçın KÜÇÜK ün ve adı basına açıklanmyan Zigzag cemaatinden iki arkadaşımızın gözaltına alınması ve bu gelişmeler üzerine HDCF Askarri Stratejik İstihbarat Komitesi Başkanı ve Thule Qaarnaq üyesi Sayın Cem YAREN endişe ve bunalıma girmesi üzerine yön değiştirmiştir.Son gelişmeler tam SECSİS ve MERNIS sistemi uzerinde yapılan patching işlemini gölgede bırakacaktı ki Thule Qaarnaq teknik istihbarat sorumlusu dostumuz Hendrik E-İçişleri programı-ki aslen hans von aiberg tarafından hoops adıyla yazılmış ama iç edilmiştir- https://www.e-icisleri.gov.tr/Yetki/Login.aspx
içinden yayınlanan bir mesajı deşifre etmeyi başardı.Bu mesaj İçişleri bakanlığının valiliklere 08/01/2009 tarih ve 9000 sayılı yazısının bir referansıydı.İçşleri bakanlığındaki bağlantılarımızı kullanarak yazıyı elde ettik.Bu yazıda Dr ahmet SARICAN tarafından "... adres kaydı olmayan vatandaşlarımızın nüfus cüzdanı alabilmesi için 10/01/2009 Cumartesi günü sistemn geri yükleme yapılacatır" demekteydi.

Burada bir düşünelim:
1-)Bakan Beşir ATALAY ve Nazım EKREN "sayılmaış tek kişi bile kalmamıştır" demedi mi basının karşısında ???? Peki bu "adres kaydı olmayan" vatandaşlar ibaresi nereden çıktı

2-)Adres ve seçmen kaydı belli bir bölgede olan kişiler kel alaka bölgelerde ortaya çıktılar.Yoksa NSA/ECHELON/ALL DATA TASK TANK SİLO tarafından idareli kayıt düzeltme softwaresiyle adres bilgilerinde kaydırma mı yapıldı

3-)Aibergin icadı nolan Java programlama dilini araklamasıyla dünyaca ünlü SUN firması SECSİS sistemini daha önce Yunanistan a satmak istemiş.ama EYP tarafından içişleri bakanlşığı na iletilen bir notta "... Sun Microsystems ve uzantısı Texas İnstreuments /Dallas Semiconductor firmaları Dünya siyonist siteminin uzantısıdırlar.Okült bir grup olan bu oluşum Theodor Herzl ı 2247 yılından gelen zaman yolcusu siyonist bir yiğit olarak görürler" ibaresi nedeniyle ihale iptal edilmiştir.EYP bu notu iletirken MİT/Emniyet uyuyor muydu??? Dallas Semiconduıctor ve Akbil yolsuzluğu ilişkisini 4 yaşındaki çocuk bile bilirken CHP/MHP/DSP/BTP muhalfet ne yapıyordu bu SEÇSİS kabul edilirken ????

3-)Hangi insan evladı Cumartesi günü "canım sıkıldı nüfuz cüzdanı yaptıram " der ?? Cumartesi alışveriş yapmak ve evinde yatmak varken kim cüzdan sırasına girer ?? Yoksa bunlar Sebt yasağını bile çiğneyenlerden mi ???

GERÇEK:
SELÇUK ÖKMEN ALL DATA TASK SİLO İLER BAĞLANTI KURMAK İÇİN MERNİS İÇİNE TROJAN KURDU Bu trojan arıza yapınca adres verilerinin büyük kısmı silindi !!!!!Bu trojan ı yazmak için gerekli Software Developer takımı ve APİ ler bizzat Avrupacı bayan siyasetçi nin kızı tarafından New york dan getirildi (bu kız son derece saf ve temiz bir kızdır ve bu olayda masumdur.Avrupacı siyasetçi Turkuaz devrimin başbakan adaylarındadndır ve Turkuazcıların ve Fethullah hoca nın gözdesi/prensi olan Selçuk ÖKMEN bu kızla nişanlıdır.Umarım Selçuk ÖKMEN bu kızı ayıklamammıştır bu adamda am biti dahil herşey var çünkü !!! ) Bu konuda Kocaeli valiliğindeki satanizlerden Bursa,İzmir,Konya valiliklerinden İzmir deki tapo müdürlüklerinden destek alınmıştır !!! Nükhet ORUÇ la berbaer piyasadan kaybolan 2 milyon YTL iyi değerlendirilmelidir !!!!

ASLI ALBER DEN CEM YAREN E NOT : Şehitliğe ve "for the people for the good for mankind brotherhood" ilkesi için öleciğinize and içtiğinizi parmağınızdaki bir damla kanı,mukusunuzla beraber ateşe savurduğunuz Thule Qaarnaq i girdiğiniz günü hatırlatmak isterimTatile çıktığınızı varsayıyorum yoksa balığın karnında haps olmak var işin ucunda.Hani adamımız diyor ya "durmak yok yola devam"


ZİGZAG SEKRETERYASI

Cem Asım YAREN dedi ki...

ASLI ALBER'e
Burada tamamıyla uydurarak yadıklarınız konusunda defelarca uyarmama rağmen, düzeltme yoluna gitmediniz.
Sizinle birlikte hareket edebilmek ve sizlerle bir arada olmak için insanlıktan istifa etmek gerekir.
Sapık ve çarpık düşüncelerinizin arasında ismimi zikretmeyiniz. İnsanlardan ve gerçeklerden kaçmayınız.
Ben hiç bir zaman endişe ve bunalıma girmedim. Endişe ve bunalıma girecek kadar da küçülmedim. Yazdıklarımın, yaptıklarımın, söylediklerimin arkasındayım.
Peki ya sizler?
Aslı ALBER ve onun gibi düşünenler, benden uzak Cehenneme direk olun...