Open in app

Sign in

Write

Sign in

SMS Tabanlı Seçim Sayım ve Takip Sistemi

Onur Ateş
Türkçe Yayın
Published in
7 min readJul 8, 2018

Her seçim sonrası ortaya çıkan usulsüzlük iddiaları, sosyal medyada bunlarla ilgili olarak ifşa edilen görüntüler ve farklı pek çok şaibe söylentileri vicdan sahibi herkesi derinden sarsıyor. Bir süredir üzerinde düşünüp son günlerde olgunlaştırma fırsatı bulduğum bir sistemin işleyişini paylaşmak istiyorum.

Öncelikle belirtmeliyim ki bir hukukçu veya telekomünikasyon alanında teknik bir uzman değilim. Sadece sıradan bir teknoloji meraklısı olarak şimdiye kadar edindiğim gözlemlerime istinaden düşüncelerimi paylaşıyorum. Sistemin işleyişine ilişkin açıklamalarımda teknik ve hukuki muğlak noktalar olabilir, elimden geldiğince net olmaya çalışacağım.

24 Haziran 2018 seçimlerinde alternatif bilgi kaynağı sunması beklenen Adil Seçim Platformu’nun yarattığı hayal kırıklığını hepimiz biliyoruz. Düzgün işleyen bir sistemde bile internet bağlantılı akıllı telefon bulundurma / uygulama yükleme mecburiyeti pek çok teknik soruna açık. Sosyal medya devlerine ait uygulamaların dahi zaman zaman düzgün işlemeyerek saatlerce erişime kapalı kaldığı hemen herkesin hafızasında, ayrıca bu uygulamaların App Store ve Google Play’deki uygulama profillerine her gün yığınla şikayet yorumları yazıldığını gözlemleyebilirsiniz:

Play Store Facebook profilindeki kullanıcı yorumlarından 7 Temmuz 2018'de aldığım bir kesit

Yazımın başlığına bakıp “GSM şirketlerine güven mi olur?” diye içinizden geçirmiş olabilirsiniz ancak “her cihazda düzgün işleyen sistem” noktasında dünya devi uygulamalara bile güven olmuyor anlaşıldığı kadarıyla. GSM şirketleri tarafındaki veri güvenliği konusuna aşağıda ayrıca değineceğim.

SMS teknolojisi, bir noktadan bir noktaya basit metin girdisi işlemenin en hızlı ve güvenli yöntemlerinden biri. 26 yıllık basit SMS teknolojisi ¹ sayesinde YSK’nın 21:00'a kadar sürebilen yayın yasağı, haber ajanslarının belirli siyasi bölgelerden elde ettiği oy bilgilerini öncelemesi ve arkasında büyük teknoloji bulunmayan Adil Seçim Platformu gibi riskli yapılar önemini yitirebilir. Seçimlere katılan tüm siyasi partiler (gerekirse YSK da) yasal düzenlemeler yahut kendi inisiyatifleri yoluyla GSM operatörleriyle anlaşma yapabilirler. Altyapısı çok güçlü dev GSM hizmet sağlayıcılarımız var.

SMS teknolojisinin hızı ile arkasındaki metin girdisi işlemleme bileşeninden bahsetmiştim; örneğin bir bağış kampanyasına veya bir çekilişe katılmak için boşluk bırakarak,
İSİM SOYİSİM KİMLİK NUMARASI DOĞUM YILI
şeklinde gönderdiğimiz bir SMS, gönderilen sistemin arka planında anlık olarak kaydediliyor ve gönderimize özel bir referans numarası üretiliyor. Girdiğimiz her sözcük veya sayı, sistem arka planında önceden tanımlanmış ona ait yerlere otomatik kaydedilip işleniyor. Bu yüzden SMS’te bizden talep edilen sözcük ve sayıların yazım sırası önceden belirlenmiş ilgili sıraya göre isteniyor.

Bu işleyiş mantığı siyasi partiler tarafından seçimlerde uygulanabilirse sandıklar açılmaya başlar başlamaz herkes tek bir web portalı üzerinden partilerin elde ettiği sonuçları anlık takip edebilir, çok geçmeden sonuçlarla ilgili anlamlı veriler ortaya çıkmaya başlayabilir.

İlave güvenlik önerilerimle birlikte işleyişin ayrıntılarına başlayalım:

  1. İlk olarak partiler GSM operatörleriyle anlaşma yaparak sandık kurullarındaki temsilcilerinin SMS göndereceği gönderim numarası tahsis edecek:
    A Partisi — 5610
    B Partisi — 5620
    C Partisi — 5630
  2. Parti organları (genel merkez, il/ilçe örgütleri) kendi bünyelerindeki ekip ile e-imza kullanarak, GSM operatörlerine sandık kurullarındaki temsilcilerinin telefon numarasını, görevli olduğu sandık numarasını tanımlayacak.
  3. E-imza sayesinde hangi sandık temsilcisinin hangi parti yetkilisi tarafından GSM operatörüne tanımlandığı kayıt altına alınmış olacak. Tanımlamanın hemen ardından sandık temsilcisine SMS ile 4 haneli bir PIN ve PUK kodu gönderilecek.
  4. Geciken düzenlemeler ve sandık kurullarındaki boşlukları gidermek amacıyla GSM operatörü veritabanına sandık temsilcisi tanımlama işlemleri seçim sabahı oylama başlamadan önce 08:00'a kadar yapılabilecek.
  5. Partiler ve operatörler arasındaki anlaşma gereği, tahsis edilen SMS gönderim numaralarına partilerin tanımladığı temsilci numaraları haricinde bir numaradan SMS gönderilemeyecek, gönderilse bile arka planda işleme alınmayacak, bu teknik filtrelemeyi GSM operatörleri yapacak.
  6. Arka plandaki otomatik veri işleme alanındaki sıra,
    TEMSİLCİ GSM NO * | SANDIK NO | TEMSİLCİ PİN NO | PUSULADAKİ ADAY/PARTİ SIRASINA GÖRE BOŞLUKLU OY SAYILARI
    şeklindeki sırayı takip edecek.
    * Temsilci SMS yazımına SANDIK NO’dan başlayacak, arka planda en başta bulunan GSM numarası bilgisi SMS gönderilince otomatik işlenecek.
  7. Temsilcinin telefonu başkası tarafından ele geçirilse bile 2. yazım alanında doğru PIN numarası yazılmazsa operatör o SMS’i işleme almayacak. Ayrıca temsilci başka sandık numarası yazarak doğru PIN girerse o SMS de işleme alınmayacak.
  8. Sandık kurulundaki parti temsilcisi PIN kodunun güvenliğinden kendisi sorumlu olacak, tanımlama sırasında gönderilmiş olan PIN mesajını telefonunda tutmamaya özen gösterecek.
  9. Veri sınıflandırmasının düzenli ve etkin yürütülmesi için temsilci sadece kendi partisinin tahsis ettiği 4 haneli GSM numarasına SMS gönderimi yapabilecek.
  10. Oy sayımı tamamlandıktan sonra,
    A Parti — 152 oy
    B Parti — 102 oy
    C Parti — 91 oy
    D Parti — 2 oy
    E Parti — 0 oy
    [Sandık No: 98154]
    sonucu çıktığını ve tutanağa geçirildiğini varsayalım…
  11. Sandık kurulu üyesi olan bir temsilci partisinin tahsis ettiği numaraya
    98154 2429 152 102 91 2 0
    mesajını gönderecek. Bilgilerin operatör/parti arka planına işlenmesiyle birlikte oluşturulacak otomatik referans kodu temsilciye onay mesajı olarak gönderilecek. Referans kodlu gelen onay mesajı, öncesinde gönderilen mesajdaki sandık bilgisi verilerini de içerecek şekilde kurgulanacak, böylece temsilci verilerin sisteme doğru işlendiğinden saniyeler içinde emin olacak.
  12. Temsilciler ilerleyen süreçte bu referans kodunu kullanarak verilerin kamuoyuna duyurulduğu internet portalından kendi elde ettikleri sonuçları ve yayınlanan sonuçları karşılaştırabilecek.
  13. Gelelim PUK koduna. Temsilci oylarda bir sayıyı yanlış yazdığını sonradan fark ederse veya portalda kendi referans koduna ait sandık verilerinde bir aykırılık görürse aynı numaraya PUK kodu gönderip önceki mesaj verilerini veritabanından silebilecek. Böylece sonuçların gösterildiği portalda kendi referans koduna ait sandık bilgilerinin manipülasyonunu gerçek zamanlı olarak giderebilecek.
  14. PUK kodu gönderildikten sonra mesaj merkezinden silme işleminin başarıyla yapıldığına dair temsilciye SMS gönderilecek. Temsilci bu mesajı aldıktan sonra 11. maddedeki adımı tekrar uygulayacak ve temsilci verileri yeni bir referans koduyla işlenecek. Temsilci, sandık verilerinin sisteme doğru yansıdığını görene kadar bu işlemi tekrarlayabilecek.

Seçime katılan hangi partilerin bu sistemi kullanmak isteyeceği, sistemi uygulayan parti verilerinin tek bir portaldan mı yoksa ittifaklara göre farklı portallardan mı yayınlanacağı gibi konular öngörüde bulunulamayacak en can alıcı muğlak noktalar. Partiler arası iyi niyet anlaşmaları, gerek görülürse tüm partileri bu ve benzer sistemlere dahil olmaya zorlayacak yasal bir düzenleme bu hususları açıklığa kavuşturabilir. Hayal ettiğim işleyiş, seçime katılan tüm parti/adayların bu yöntemi kullanıp verilerin tek bir portaldan karşılaştırmalı yayınlandığı bir sistem.

GSM Operatörleri Tarafındaki Veri Güvenliği

Yazımı yazmadan önce önerimi paylaştığım kişilerden SMS’lerin şifrelenemediği, GSM operatörlerine güvenilemeyeceği yönünde bazı dönüşler aldım.

SMS’lerin şifrelenemediği bilgisi doğru değil. Bugün dünya genelinde uçtan uca olmayan SMS şifrelemesini şu görsel iyi açıklıyor:

1987'de geliştirilen A5/1, 1989'da geliştirilen A5/2 ve 1997'de geliştirilen A5/3 şifreleme algoritmaları GSM operatörlerinin 2G güvenlik sistemlerinde kullanılıyor. ² Zayıf olmaları nedeniyle A5/1 ve A5/2 algoritmalarının operatörler tarafından tercih edilme oranı dünya genelinde daralıyor, daha güvenli olmasından dolayı A5/3 algoritması sistemlere entegre ediliyor. Bu algoritmalar sayesinde gönderim yapılan cihaz ile baz istasyonu arasında tam şifreleme söz konusu. Baz istasyonundan sonraki süreç için ise GSM operatörlerinin aldığı önlemler mevcut; bu önlemlerden biri olarak doğrulama anahtarlarının zaman aşımı süresi 12 saniye ve aşağısında tutularak şifre anahtarının kırılması için hacker’lara yeterli süre bırakılmıyor.

Her etkileşim operatör mesaj merkezlerinde zaman damgalı olarak muhafaza ediliyor. 180.000'i aşkın sandıkta en az 5 parti temsilcisinin göndereceği aşağı yukarı 1 milyon SMS’in her birinin saniyeler içinde manipüle edilmesinin pratikte mümkün olamayacağını düşünüyorum.

Berlin merkezli araştırma kuruluşu Security Research Labs her ülkedeki GSM operatörlerinin teknik verilerini periyodik olarak raporlaştırıp https://gsmmap.org adresinden paylaşıyor. Araştırma kuruluşunun 2013, 2015 ve 2018 yıllarına ait Türkiye raporlarında Türkiye’deki GSM operatörlerinin veri güvenliği politikasının Turkcell hariç iyiye gittiği görülüyor. Rapora göre Haziran 2018 itibarıyla 2G ağında Turkcell’in %89 oranında A5/3 algoritması kullandığı, Türk Telekom ve Vodafone’un tüm trafikte tamamen 3G ağına geçtiği görülüyor. 2G ağında Turkcell için düşülen olumsuz notların saldırılara nispeten daha açık %11'lik A5/1 algoritmasından kaynaklandığı dikkat çekiyor. 3G ağı kapsamında tüm operatörlerimiz şifreleme yönünden rapora göre iyi durumda.

Sırasıyla raporlardaki ilgili kısımlara bakacak olursak:

Security Research Labs Türkiye Raporu (2013)
Security Research Labs Türkiye Raporu (2015)
Security Research Labs Türkiye Raporu (2018)

2G ağı kullanılarak uçtan uca SMS şifreleme ile ilgili de son yıllarda başarılı çalışmalar yapılıyor. ³ Ancak telefonlara şifre anahtarı tool-kit’i barındıran yeni SIM kart takılması gibi uygulanması kolay olmayan prosedürleri olduğu için 2G ağında uçtan uca SMS şifrelemesi şimdilik uzak bir ihtimal. Ülkemizde halihazırda kullanılan SMS şifreleme ve güvenlik yöntemlerinin önerdiğim sistemin işleyişine uygun olduğunu düşünüyorum.

Uygulanması kolay ve kısa süre içinde sağlıklı veriler elde edilmesini mümkün kılacağını düşündüğüm önerim umarım yankı bulur. Uygulanabilirlik konusunda benimle aynı fikirdeyseniz bu yazıyı paylaşmanızdan ve düşüncelerinizi iletmenizden mutluluk duyarım.

Security Research Labs Türkiye Raporları:

2013 Raporu
2015 Raporu
2018 Raporu

Podcast| Youtube | Slack | Facebook | Twitter | Instagram | Kodcular

Seçim
Seçim Güvenliği
Telekomünikasyon
Sms
Türkçe

--

--

Onur Ateş
Türkçe Yayın

Written by Onur Ateş

22 Followers
Writer for

Composer, producer, DJ | Managing Director at Mixmag TR & MENA

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams