ATİK Online Birlik Mücadele Zafer!
Hiç tatava yapmayın, oturun inceleyin. Gayet açık ve teknik bir güvenlik açığından söz ediyorum.
Konumuz Seçsis. Açılımı, Bilgisayar Destekli Seçmen Kütüğü Sistemi. Nedir derseniz, seçim sonuçlarının girildiği bir yazılım ve veri bankası diye özetleyebilirim.Şöyle çalışıyor: Diyelim ki İstanbul Beşiktaş’taki sandıklar sayıldı. Görevli ilçe seçim kuruluna gidip elindeki tutanağı taratıyor ve karşısına çıkan Seçsis ekranına oy oranlarını yazıyor. O Seçsis ekranını, karanlık tarafları birbirine yapışık iki ayna olarak düşünün. Bir yüzü sandık sorumlusunun karşısına çıkıyor, o da o yüze yani ekrana sonucu giriyor. Diğer yüz ise Seçsis’in yetkili teknik adamına bakıyor. Şimdi bu bilgiyi aklınızda tutun.
* * *
Seçsis’in yetkili teknik adamı kimdir, onu anlatayım.
Seçsis’in patronu Adalet Bakanlığı. Nasıl yani derseniz, basbayağı cevabını verebilirim. Çünkü Seçsis, Adalet Bakanlığı’nın kontrolündeki UYAP’ın (Ulusal Yargı Ağı) bir parçası. UYAP koca bir dolap ise Seçsis onun içinde bir çekmece. Dolayısıyla UYAP’ı yöneten ve Adalet Bakanlığı tarafından belirlenen 100 civarındaki bilgi işlem personeli Seçsis’ten de sorumlu.
Biraz önce anlattığım çift taraflı aynanın diğer tarafında işte bu bilgi işlemciler oturuyor. Adalet Bakanlığı tarafından belirlenen bilgi işlemciler. Hani seçimlerden kısa süre önce tamamı cemaatçi oldukları iddiasıyla değiştirilen bilgi işlemciler. Yerlerine kimlerin getirildiğini açıklamaya hacet görmüyorum.
Şimdi normal şartlarda eğer elimizdeki sağlam ve ‘geriye dönük hesap verebilir’ bir yazılım ise verilerin girildiği tarif ettiğim ekranın karşısında kimin oturduğunun hiçbir önemi olmazdı. Çünkü veriler değiştirilemez, değiştirilse de bağımsız bir üçüncü taraf tarafından tespit edilebilirdi.
* * *
Peki Seçsis böyle bir yazılım mı? Hayır. Neden? Çünkü Seçsis yazılımının UYSM (Ulusal Yazılım Sertifikasyon Merkezi) sertifikasyonu yok. Bu iddia 2004’ten itibaren çeşitli defalar dile getirilmiş, lakin somut belgeyle kanıtlanamamıştı. Çünkü soru YSK’ya sorulmuştu. YSK ise genellikle muhalefet milletvekillerinden gelen sorulara cevap vermeyi reddediyordu. Yakın zamanda bu Sezgin Tanrıkulu’nun geçen yıl ekim ayında da Oktay Ekşi’nin başına gelmişti. Ekşi’nin sorusu tam da Seçsis’in güvenilirliği ile ilgiliydi ama 15 gün içinde cevaplanması gereken önergesine hâlâ yanıt bulamadı.
Fakat Teknopark’ta görev yapan ve bankaların kullandığı yazılım sistemlerinin güvenliği konusunda uzmanlaşmış bir mühendis farklı bir yol izledi. Bilgi Edinme Kanunu’nu kullandı ve İTÜ’ye bağlı UYSM’ye iki soru gönderdi. BİR: Seçsis sisteminin UYSM tarafından sertifikasyonu var mıdır? İKİ: Yazılımda kullanılan kriptoloji donanımı nedir?
Cevap geldi. BİR: Seçsis’in UYSM sertifikasyonu yoktur. İKİ: Seçsis’in kriptolojisi hakkında bilgimiz yoktur.
İTÜ Rektörlüğü tarafından onaylı bu belgeyle yetinmeyip UYSM’yi arayıp ilgili yüksek mühendise bizzat sordum, bir kez daha… Seçsis’in sertifikasyonu var mı? Cevap: Hayır yok. Tarafımıza böyle bir talep dahi ulaşmamıştır.
* * *
Defalarca teyit etmeye çalıştığım bu bilginin önemi nedir? Eğer devlete ait bir yazılımın sertifikasyonu yoksa -ki bu yazılımlara sertifikasyon verme yetkisi sadece UYSM’ye aittir- istenilen oynama yapılabilir. Şöyle örnek vereyim: Seçsis’i bir kutu olarak düşünün. Bugün içine 2 adet elma koyun. Yarın kutuya sorun, kaç elma var? Sertifikasyonu olan bir kutu mutlaka ama mutlaka 2 elma yanıtını verecektir. Sertifikasyonu olmayan bir kutuya ise içindeki elma sayısına 2 daha ekleyerek cevap ver komutunu verebilirsiniz ve hiç kimse bunu denetleyemez.
Bu basit anlatımdan da çözülebileceği gibi Seçsis’in arkasındaki kimseler girilen seçim sonuçlarını istedikleri gibi değiştirebilir, bu değişiklik üçüncü bir parti tarafından takip edilemez ve sonuçlar YSK’daki yargıçlara, bu yargıçların hiçbir bilgisi olmadan, onaylatılabilir. Korkunç bir olay!
Eminim adım adım titizlikle anlatmaya çalıştığım bu tablonun vahametini anlamazdan gelip AK Parti’nin zaferini kendilerine yediremeyenler bahane peşinde türünden bir tatava çıkaranlar olacaktır. Hiç tatava yapmayın, oturun inceleyin. Gayet açık ve teknik bir güvenlik açığından söz ediyorum. En büyük demokrasi kriteri sandık olan bir ülkede en azından bunun güvenliğinin sağlanması, ilgili yazılımın sertifikasyonunun olması gerekir. 14 yerde seçimlerin yenilenmesi ve Ankara’daki sonuçlarla ilgili şüpheler bile bu meseleye eğilme zorunluluğunu gösteriyor. Hele de önümüzde çok önemli bir cumhurbaşkanı seçimi varken…
NOT 1: ABD ve birçok Avrupa ülkesi Seçsis benzeri yazılımları kullanmaktan vazgeçti. O yüzden seçim sonuçlarının açıklanması çok daha uzun sürüyor ama hilesi hurdası en aza indirgenmiş oluyor. NOT 2: Teknopark’taki ve UYSM’deki mühendislerin isimleri ve ilgili belgeler bende saklıdır anlayacağınız sebeplerden ötürü
