Geçtiğimiz günlerde Ermeni Meselesi kapsamına gündeme gelen bir polemik, e-posta ya da benzeri yazışmalarla bunların güvenliği kavramını yeniden gündeme getirdi.
Kısaca anımsamak gerekirse, Vatan Gazetesi’nden Sayın Ruhat Mengi, Sabancı Üniversitesi öğretim üyelerinden Sayın Prof. Dr. Halil Berktay’ın ABD’deki Minnesota Üniversitesi’ne bir e-posta gönderdiği ve bu e-postanın içinde belli bazı önerilerde bulunduğu yönünde bir iddia ortaya attı; Berktay da bunların doğru olmadığı yönünde bir açıklama yaptı.
Prof. Dr. Berktay’ın açıklamasına göre de konu internet üzerinde konuyla ilgili bir tartışma listesine, temelde “herkesin kendi görüşünü savunma hakkını desteklediği” yönde bir mesaj yazmış olmasından ibaret.
Burada gündeme e-posta altyapısının bu tür iddialar söz konusu olduğundan ne kadar güvenliği olduğu geliyor.
Konuyla ilgili olmayan kullanıcıların bilmediği üzere standard e-posta sisteminde herhangi bir güvenlik unsuru yoktur. Bir başka deyişle, posta kutunuza gelen bir epostanın gerçekten de gönderici satırında yazan adresten gelip gelmediği konusunda tam emin olamazsınız.
Bu özellik ilk etapta size ürkütücü gelebilir. Ama bunu normal posta sistemi ile karşılaştırın. Postadan çıkan her mektubun gerçekten de gönderen olarak ismi yazılmış kişiden geldiğine nasıl emin olabilirsiniz? Bir başka deyişle bu güvensizlik olgusu posta sisteminde yüzyıllardır var.
Standard e-posta sisteminde bir epostanın gerçekten de gönderen hanesinde yazan kişi tarafından gönderilmiş olup olmadığı konusunda ipuçları verecek veriler vardır. Ancak bence hukuksal açıdan bu tatminkar kanıt olmayabilir. Şöyle ki; bir epostanın hangi eposta sunucu bilgisayarından yola çıktığını, hangi cihazları dolaşarak hangi eposta sunucu bilgisayarında son bulduğunu tespit edebilirsiniz.
Örneğin yukarıda söz konusu olan eposta Prof. Dr. Berktay tarafından gönderilmişse, bu epostanın orijinalinin ilk yola çıktığı nokta, yine Prof. Dr. Berktay’ın kullanmakta olduğu bilgisayarlardan birisi olmak zorundadır (ofisindeki, evindeki vb).
Epostanın içinde yer alan bu iz bilgileri sayesinde bazı verilere ulaşılabilir. Bundan başka o epostanın hangi sunucu bilgisayar üzerinden gönderilmişse o bilgisayardaki erişim kayıtları da incelenebilir. Böylece o epostanın hangi adresten (hangi bilgisayardan) ne zaman gönderilmiş olduğu tespit edilebilir. Tabii eğer oradan gönderilmişse.
Bir başka deyişle herkes tarafından bilinen bir eposta adresinden bu tür bir eposta göndermeniz, ruhsatlı silahınızı kullanarak ateş etmeniz gibidir. Eğer mermi gidip bir yere saplanırsa ve bu da sorun yaratacak bir durum ise, o zaman balistik inceleme sonucunda teknik anlamda merminin sizin silahınızdan çıkmamış olduğunu ispat etmeniz zordur.
Ancak bu durum mermiyi sizin sıktığınız anlamına da gelmeyebilir. Silahınız çalınmış olabilir, emanet ettiğiniz birisi sizin bilginiz dışında kullanmış olabilir vb.
Benzer durum eposta sistemleri için de geçerli. Profesörün eposta sistemine erişmek için kullandığı şifreyi bilen/çalan bir kişi sisteme erişip böyle bir eposta kaleme alabilir.
Üstünde durulması gereken bir başka nokta var. O da profesörün aslında bir eposta göndermediğini, sadece bir listeye bir destek mesajı yazmış olduğu. Bu zaten epostadan ayrı bir sistemdir. Bu tür bir ortamdan nasıl istifade edilebilir? Olsa olsa profesörün eposta adresi oradan alınabilir. Daha sonra da sanki profesörün kaleme almış olduğu izlenimi uyandıran bir eposta hazırlanıp, yönlendirme (forward) imkanı ile bu metin elden ele dolaştırılmaya başlar.
İş yönlendirilmiş epostalara gelmişse güven unsuru daha da azalmakta, suistimal olasılığı daha da artmaktadır. O nedenle o epostayı güya ilk kim(ler) aldıysa o nüshalardan birisini incelemek gerekir.
Bu tür kimlik sahteciliği Türkçe internetimizde sıkça yapılmakta. Bir dönem revaçta olan kişilerin başında Can Dündar geliyordu. Altında Can Dündar imzası olan o kadar çok eposta almaya başlamıştım ki artık topyekun hiçbirisinin Can Dündar’a ait olmadığına karar vererek, okumadan silmeye başladım.
Eposta sistemini kullanarak bir kişiye çamur atmak çok kolay. Hele bir de herhangi bir yaptırımı yoksa. Bence gerekli hassasiyeti göstermeli ve gerekli teknik inceleme yapmadan, yaptırmadan, konuyu polemik unsuru haline getirmemeli.
Kısaca anımsamak gerekirse, Vatan Gazetesi’nden Sayın Ruhat Mengi, Sabancı Üniversitesi öğretim üyelerinden Sayın Prof. Dr. Halil Berktay’ın ABD’deki Minnesota Üniversitesi’ne bir e-posta gönderdiği ve bu e-postanın içinde belli bazı önerilerde bulunduğu yönünde bir iddia ortaya attı; Berktay da bunların doğru olmadığı yönünde bir açıklama yaptı.
Prof. Dr. Berktay’ın açıklamasına göre de konu internet üzerinde konuyla ilgili bir tartışma listesine, temelde “herkesin kendi görüşünü savunma hakkını desteklediği” yönde bir mesaj yazmış olmasından ibaret.
Burada gündeme e-posta altyapısının bu tür iddialar söz konusu olduğundan ne kadar güvenliği olduğu geliyor.
Konuyla ilgili olmayan kullanıcıların bilmediği üzere standard e-posta sisteminde herhangi bir güvenlik unsuru yoktur. Bir başka deyişle, posta kutunuza gelen bir epostanın gerçekten de gönderici satırında yazan adresten gelip gelmediği konusunda tam emin olamazsınız.
Bu özellik ilk etapta size ürkütücü gelebilir. Ama bunu normal posta sistemi ile karşılaştırın. Postadan çıkan her mektubun gerçekten de gönderen olarak ismi yazılmış kişiden geldiğine nasıl emin olabilirsiniz? Bir başka deyişle bu güvensizlik olgusu posta sisteminde yüzyıllardır var.
Standard e-posta sisteminde bir epostanın gerçekten de gönderen hanesinde yazan kişi tarafından gönderilmiş olup olmadığı konusunda ipuçları verecek veriler vardır. Ancak bence hukuksal açıdan bu tatminkar kanıt olmayabilir. Şöyle ki; bir epostanın hangi eposta sunucu bilgisayarından yola çıktığını, hangi cihazları dolaşarak hangi eposta sunucu bilgisayarında son bulduğunu tespit edebilirsiniz.
Örneğin yukarıda söz konusu olan eposta Prof. Dr. Berktay tarafından gönderilmişse, bu epostanın orijinalinin ilk yola çıktığı nokta, yine Prof. Dr. Berktay’ın kullanmakta olduğu bilgisayarlardan birisi olmak zorundadır (ofisindeki, evindeki vb).
Epostanın içinde yer alan bu iz bilgileri sayesinde bazı verilere ulaşılabilir. Bundan başka o epostanın hangi sunucu bilgisayar üzerinden gönderilmişse o bilgisayardaki erişim kayıtları da incelenebilir. Böylece o epostanın hangi adresten (hangi bilgisayardan) ne zaman gönderilmiş olduğu tespit edilebilir. Tabii eğer oradan gönderilmişse.
Bir başka deyişle herkes tarafından bilinen bir eposta adresinden bu tür bir eposta göndermeniz, ruhsatlı silahınızı kullanarak ateş etmeniz gibidir. Eğer mermi gidip bir yere saplanırsa ve bu da sorun yaratacak bir durum ise, o zaman balistik inceleme sonucunda teknik anlamda merminin sizin silahınızdan çıkmamış olduğunu ispat etmeniz zordur.
Ancak bu durum mermiyi sizin sıktığınız anlamına da gelmeyebilir. Silahınız çalınmış olabilir, emanet ettiğiniz birisi sizin bilginiz dışında kullanmış olabilir vb.
Benzer durum eposta sistemleri için de geçerli. Profesörün eposta sistemine erişmek için kullandığı şifreyi bilen/çalan bir kişi sisteme erişip böyle bir eposta kaleme alabilir.
Üstünde durulması gereken bir başka nokta var. O da profesörün aslında bir eposta göndermediğini, sadece bir listeye bir destek mesajı yazmış olduğu. Bu zaten epostadan ayrı bir sistemdir. Bu tür bir ortamdan nasıl istifade edilebilir? Olsa olsa profesörün eposta adresi oradan alınabilir. Daha sonra da sanki profesörün kaleme almış olduğu izlenimi uyandıran bir eposta hazırlanıp, yönlendirme (forward) imkanı ile bu metin elden ele dolaştırılmaya başlar.
İş yönlendirilmiş epostalara gelmişse güven unsuru daha da azalmakta, suistimal olasılığı daha da artmaktadır. O nedenle o epostayı güya ilk kim(ler) aldıysa o nüshalardan birisini incelemek gerekir.
Bu tür kimlik sahteciliği Türkçe internetimizde sıkça yapılmakta. Bir dönem revaçta olan kişilerin başında Can Dündar geliyordu. Altında Can Dündar imzası olan o kadar çok eposta almaya başlamıştım ki artık topyekun hiçbirisinin Can Dündar’a ait olmadığına karar vererek, okumadan silmeye başladım.
Eposta sistemini kullanarak bir kişiye çamur atmak çok kolay. Hele bir de herhangi bir yaptırımı yoksa. Bence gerekli hassasiyeti göstermeli ve gerekli teknik inceleme yapmadan, yaptırmadan, konuyu polemik unsuru haline getirmemeli.
Cumhuriyet Gazetesi Bilim Teknik Eki'nde yayınlanmıştır (01 04 2006)
Hiç yorum yok:
Yorum Gönder