_manset 22 ŞUBAT 2013 / 13:44

CHP İzmir Milletvekili Erdal Aksünger, TÜRKTRUST ve EGO olayını Meclis gündemine taşıdı

İzmir Milletvekili Erdal Aksünger, TÜRKTRUST ve EGO ile  ilgili olarak geçtiğimiz aylarda yaşananların aydınlatılmasına dair Bilim, Sanayi ve Teknoloji Bakanlığı ile Ulaştırma, Denizcilik ve Haberleşme Bakanlığı tarafından yanıtlanması talebiyle TBMM Başkanlığına soru önergesi verdi. 



Hatırlarsanız geçtiğimiz aylarda  TÜRKTRUST'un yanlışlıkla ürettiği iki adet hatalı SSL sertifikasından birinin EGO çalışanlarını sahte Google servislerine yönlendirmek için kullanıldığına dair iddiaları gündeme taşımıştık. Konuyla ilgili haberimizde de tarafların görüşlerine detaylı olarak yer vermiştik.

Açıkçası olay her ne kadar TÜRKTRUST'un verdiği bilgiler ışığında bir hata sonucu gerçekleşmiş gibi görünse de, EGO bilgi verme konusunda TÜRKTRUST kadar cömert davranmamıştı.

İşte bu konu, geçtiğimiz günlerde İzmir Milletvekili Erdal Aksünger'in TÜRKTRUST ile ilgili hazırladığı soru önergesiyle yeniden gündeme geldi.

Aksünger'in Bilim, Sanayi ve Teknoloji Bakanlığı ile Ulaştırma, Denizcilik ve Haberleşme Bakanlığı tarafından yanıtlanması talebiyle TBMM Başkanlığına verdiği soru önergesinde şu ifadeler yer alıyor:
2011 yılında TÜRKTRUST şirketi bir tanesi e-islem.kktcmerkezbankasi.org, diğeri ise ego.gov.tr olmak üzere iki adet SSL sertifikası üretmiş, ancak daha sonra bu sertifikaların SSL sertifikaları değil ara sağlayıcı sertifikası olarak üretildiği ortaya çıkmıştır.

KKTC Merkez Bankası için üretilen sertifika çalışmaması nedeniyle hemen geri çekilmiş, EGO sertifikası ise yürürlükte kalmıştır. Böylece EGO’nun ara sağlayıcı sertifikası bir IIS ve e-posta sunucusuna kullanıma girmiştir. Üretilen sahte Google sertifikası bir şekilde Chrome tarayıcı üzerinden akan trafik içinde rol almış ve bu durum Google tarafından tespit edilmiştir.

Google, Elektrik Gaz Otobüs (EGO) işletmesi başta olmak üzere pek çok Türk kamu kuruluşunun, sahte güvenlik sertifikası kullandığını ortaya çıkararak internet sertifikalandırılması konusunda yetkili kuruluş TÜRKTRUST’ı korsanlık yapmakla suçlamıştır.

TÜRKTRUST’ın kamu kuruluşlarının internet sitesi için verdiği güvenlik sertifikalarının sahte olduğu, bu nedenle söz konusu sitelere giriş yapan milyonlarca kullanıcının kişisel bilgilerinin kolaylıkla ele geçirilebileceği belirtilmiştir.

Durum TÜRKRUST’a ve ilgili kurumlara iletildiğinde TÜRKTRUST hatanın sehven olduğu açıklamasını yapmıştır. Bunun üzerine İnternet üzerinden ürün ve hizmet sunan firmalar TÜRKTRUST’I kendi güvenilir sertifika sağlayıcı listelerinden çıkartmış ve güvenilirlik durumunu askıya almışlardır.

Buna Göre;

1- Türkiye’de hangi firmalar ara sertifika üretme yetkisine sahiptir? Bu firmalardan hatalı sertifika üretmesi nedeniyle BTK tarafından cezalandırılan firma var mıdır? Varsa hangi firmalardır? Hatalı sertifika üretmesi nedeniyle BTK tarafından cezalandırıldığı halde üretime devam eden firma var mıdır? Varsa, bu firmalara hatalı sertifika ürettikleri halde neden üretime devam etmelerine izin verilmiştir?

2- Türk Sertifika sağlayıcısı TÜRKTRUST tarafından oluşturulan ara sertifikalar hangi kurum ve kuruluşlar için üretilmiştir? Üretilen bu sertifikaların yetkisi nedir? Bu sertifikalar yetkisi olmaması gerektiği halde, Google alan adlarının sertifikasyonu için kullanılmış mıdır? Kullanılmışsa bu ihlalin nedeni nedir?

3- Google ‘ın bütün sitelerine yapılan erişimlerin güvenlik aşamalarını ortadan kaldıracak şekilde yapılandırılan bu sertifika EGO’ya hangi tarihte verilmiş, uygulamanın hatalı olduğu hangi tarihte tespit edilmiştir? EGO’ya sağlanan geçici yetkiyle sertifika üretilmiş midir? Üretildi ise bu sertifikalar, nerelerde nasıl üretilmiş, nasıl kullanılmış, bu sertifikalar ile ilgili hangi işlemler yapılmıştır? Oluşturulan ara sertifika bu süre içerisinde EGO Bilgi İşlem yöneticileri ve ikinci şahıslar tarafından kullanılmış mıdır? Kullanımın olup olmadığı nasıl tespit edilmiştir?

4- TÜRKTRUST tarafından 2011 ‘de üretilen, kullanıcılara fark ettirmeden internet üzerinden yapılan güvenli erişimini dinleyebilen, ya da kullanıcıları sahte bir siteye yönlendirebilen ve tüm internet sitelerinin SSL güvenliğini safdışı bırakmak üzere kullanılabilecek olan bu ara sertifikanın EGO yetkilileri tarafından nerelerde kullanıldığı ile ilgili bir araştırma yapılmış mıdır? Yapılmış ise sonuçları nelerdir? Yapılmamış ise nedeni nedir?

5- 2011 yılı sonunda BTK, TÜRKTRUST’a hatalı sertifikaları zamanında kaldırmadığı ve ürettiği sertifikaların kayıtlarını 20 yıl boyunca saklaması gerekli iken, bu yükümlülüğünü yerine getirmemesi nedeniyle cezası uygulamış mıdır? Buna rağmen Türktrust’a sertifika üretme yetkisinin devam ettirilmesine neden izin verilmiştir?

6- TÜRKTRUST firmasının ürettiği başka benzer güvenlik sertifikaları var mıdır? Varsa , bunların hangi kişi ve kuruluşlar tarafından kullanılmaktadır. 3 Ocak 2012 tarih öncesine kadar TÜRKTRUST tarafından üretilmiş olan tüm sertifikalar için basic constraints CA:True kontrolü yapılmış mıdır? Yapılmamışsa nedeni nedir?

7- İnternet üzerinde yapılan tüm güvenli erişimi ortadan kaldıracak düzeyde olan bu hatalı uygulama nedeniyle, Internet kullanıcılarının bu belirsizlik ortadan kalkana dek sistemlerinde TÜRKTRUST ‘a ait tüm sertifikaları kullanım dışı bırakmaları, işletim sistemi güncellemelerini gerçekleştirmeleri, genel olarak kullandıkları tarayıcıların yeni sürümlerini indirip kullanmaları gerekliliğiyle ilgili olarak gerek Bakanlığınız, gerekse ilgili kurumlar tarafından kullanıcılara gerekli uyarı yapılmış mıdır? Yapılmamışsa nedeni nedir?

8- Yaşanılan bu olayda, başka ara sertifikalar ve onlara bağlı sahte SSL sertifikaları birçok farklı site ve hizmet için birileri tarafından üretilmesi, olay ortaya çıkana kadar çeşitli kurum veya kişilerin dinlenmesi, kişisel verilerin haksız olarak elde edilmesi mümkün müdür? TÜRKTRUST tarafından üretilen tüm sertifikaların bağımsız bir kuruluş tarafından denetlenmesini sağlayıp sonucunu kamuoyu ile paylaşacak mısınız?”

Soru önergesinin aslına bu adresten ulaşabilirsiniz.

Konuyla ilgili gelişmeler olursa sizlerle de paylaşacağız.