Arkadaşlar yıl 2012..
Sağlık bakanlığı sağlıkta dönüşüm projesinde ciddi mesafe katetmiş durumda..
Peki sağlık bakanlığının güvenerek sistem geliştirmesi için yetki verdikleri işlerini ne kadar doğru yapıyorlar?
internette binlerce hacker olayları herşey bilinirken, bu mhrs sistemi geliştiricileri hangi zihniyetle ŞİFRESİZ ŞİFRE kaydetme cesaretini gösteriyorlar..
Şifresiz şifre kaydetme demek istanbul metrosunda, fermuarı açık çantayı sırtına asıp, arkasına bir cuval parayla ıslık çalarak yolculuk yapmak demektir..
Bütün sistemler üyelerin şifrelerini çalınmaya karşı farklı şifreleme yöntemleri ile şifrelemekteler. en populer olanı MD5 şifreleme bile artık eskisi kadar güvenli değilken... nedir bu cesaret?
Şifreleri şifrelemek ne demektir?
Herhangi bir siteye üye olundugunda o siteye giriş yapabilmek için şifre de bilirtiriz. Belirttimiz bu şifreler veritabanı adını verdiğimiz bir havuzda toplanır. Ve bu şifreler her siteye girdiğimizde (facebook, twitter, banka, mail, mhrs gibi) bize sorulur. Ancak bu şifrelerin sistem geliştiricileri tarafından bile ulaşılamaması için GERİ DÖNÜŞTÜRÜLMESİ imkansız olacak şekilde yeniden kodlanarak kaydedilir..
Örneğin siz şifre olarak "mhrsgiris" kullandınız diyelim. sisteme sizin şifrenizi direk mhrsgiris olarak kaydedilse, yedek dosyalardan ya da veritabanından direk bu şifreye ulaşmak mumkündür. Fakat şifreleme yöntemi ile bu şifre geridönüşümsüz hale getirilebiliyor. mesela md5 şifreleme yöntemi ile mhrsgiris şifresi "5990fd53f8966640797fa0fa9799cd68" böyle bir hale sokulabiliyor. Veritabanına direk xxxxx tc nolunun şifresi mhrsgiris diye yazmıyor da "5990fd53f8966640797fa0fa9799cd68" yazıyor.. böylece ne hackerler ne de sistem geliştiricileri sizin şifrenize direk ulaşamıyor.
Ve siz siteye girerken kullanıcı adınızı ya da tc kimliğinizi yazdıgınızda önce sistemden kullanıcı adı bulunuyor. sonra yazdıgınız şifre md5 yöntemine çevrilip "5990fd53f8966640797fa0fa9799cd68" ile uyuyorsa giriş yapmanıza izin veriyor..
işin teknik boyutu böyle..
Bu kadar basit şeyler aslında. bunu yazılımcılığa programcılığa ilk giren herkes bilir görür. Ha güvenlimidir? Yeterli midir? o ayrı.. ama direk şifreyi oldugu gibi yazmaktan bin kat daha güvenlidir.
Fakat mhrs sistemini geliştirenler ne hikmetse bu kısmı atmalmış. (Ya da onların önündeki bürokrasi engel olmuş..) Bilinçli olarak yada farkına varmadan, mhrs kullanıcıların şifrelerini normal şekilde de kaydetmekteler.. Ya da geriye dönüştürülebilir bir algoritma ile kaydediyorlar. (ki geri dönüştürülme algoritması da güvenlik açığıdır.)
Kamuoyunun bu konuda bilgilenmesi ve bilinçlenmesi gerekiyor. Gerekli tepkiyi göstermeleri gerekiyor. Bu sadece bizim değil tüm türkiyenin güvenlik açığıdır. sadece MHRS değil bütün e-devlet uygulamaları tekrar gözden geçirilmeli..
Şifreler gerçekten MAHREMİYET kapsamına alınmalı ve hiç bir kimse ulaşamamalı..
Biz kimseyi suistimal altına bırakmak istemiyoruz fakat. şifreleri oldugu gibi kaydecek şekilde yazılım geliştirenler istedikleri zaman istedikleri kişinin şifresine de ulaşabilme imkanına sahip olacaklardır. Hatta 15 yaşındaki stajer bir çocuk bile fırsatını bulursa bir profosörün MHRS şifresini öğrenip oradan mailine girebilecek arkasından bütün kişisel verilerine ulaşabilecektir.. Ya da öğretmeninin şifresini bulup eokuldan notlarını bile değiştirebilme şnasına ulaşabilecektir..
Bu gerçekleri herkes görmeli..
bu konu ile alakalı diğer yazılarımızı da okuyunuz