Dijital İz

August 2, 2002 yazan Tacettin Karadeniz

Kişi özel hayatının gizliliği veya kısaca mahremiyet, ilk insanın yan mağarada akşam için ne avladığını merak edip komşusunu dikizlemesiyle başladı. İşte o günden bu yana mahremiyet kavramı, öneminden hiçbirşey kaybetmedi.
Bilgisayar keşfedilmeden önceki zamanlarda, eğer biri hakkında gizlice bilgi toplamak isteseydiniz, çok çeşitli sıkıntılara girmeniz gerekirdi. Artık fiziksel olarak bir mekandan ayrılmaya gerek kalmadan, elektronik bir izi takip etmek kolaylaştı. Ne var ki, bilgi otoyolu açılmadan önce, veritabanı entegrasyonunun olmayışı, giriş imkanının düşük olması, kullanıcıların nispeten deneyimsiz olmaları, birbirine doğru dürüst bağlanamayan ağlar ve iş dünyası ile sosyal alanlarda Enformasyon teknelojisinin genel anlamda kısıtlı kullanımı nedeniyle, bilgisayarların kişi özel hayatına karşı oluşturduğu tehtidler kısıtlıydı. Oysa bu kısıtlamalar, günümüzde çok aza inmiş ve böylece söz konusu tehditler endişe verici boyutlara ulaşmıştır.
Örneğin, Otel endüstrisinde Ağ güvenliği kırıldığı taktirde, Ağ üzerinde otel rezervasyonu yaptırmakla verdiğiniz kişisel bilgilere ulaşıldığını düşünün: İsminiz, adresiniz, oturduğunuz şehir, eyalet, posta kodu, telefon ve kredi kartı numaraları, ne kadar ödeme yapacağınızı ve otel seçiminize kadar birçok özel bilgileriniz yabancı ellere geçebilir.
Bu örnekler ana kavramların netleştirilmesine yardımcı olmaktadır. Sistem güvenliğinin iyi olmaması (ileriki kısımlarda canlı örnekler anlatılacaktır, okumaya devam edin :> ), gizliliğin potansiyel olarak ihlaline neden olmaktadır. Bunun sonucu da kişi özel hayatı ve mal güvenliğinin çiğnenmesidir. Özgürlük gibi mahremiyetin de önemi, bu kavram baltalandığında ortaya çıkmaktadır. Mahremiyetin değerini onu elinizden aldıklarında anlarsınız. Mahremiyet, yalnız bırakılma hakkını, kişisel hayatımız veya kişisel bilgilerimize dair ayrıntıları kimlerle paylaşabileceğimizi belirler. Güvenlik, gizliliğin ve dolayısıyla mahremiyetin korunmasını gerektirir.
Birçok çalışma tarafından kanıtlanmış olduğu gibi dijital ekonominin amansız bir biçimde büyümesi mahremiyet konusunda gittikçe artan endişeler yaratmaktadır. Örneğin, danışmanlık firması Arthur Andersen Consulting için 1994 yılında Gallup tarafından yapılan araştırmaya katılanların yüzde 85'i, bilgi otoyolunda haklarında toplanabilecek kişisel bilgiler konusunda endişeli olduklarını ifade etmişlerdir.
Bu tip sonuçlar, bu konu gittikçe etkisini arttıran bir fırtınanın yaklaştığını göstermektedir. Kişiler arası iletişim, çalışmalar, sosyal gelişme ve eğlence işlemleri ağa bağımlı oldukça, bilgi otoyolu mahremiyet konusundaki endişeleri şiddetlendirmektedir. Tüketici ve kamu duyarlılığı arttıkça, bu konuya özen göstermeyen şirketler pazardan ağır yaralar alarak çıkma riski ile karşı karşıyadırlar.
Eletronik ağ büyüdükçe tüketici, çalışan, oyuncu, yani birbiriyle iletişim içerisinde olan kişilerin faaliyetleri çok daha derin dijital izler bırakacaktır. Bilgisayarlar hangi filmleri seyrettiğimizi, hangi veritabanlara girdiğimizi, neler satın aldığımızı, kimlerle iletişim içerisinde olduğumuzu ve iletişimimizin içeriğini kaydedebilmektedir. Ağ üzerinde işlem ve iletişim hacmi arttıkça gönderici ve alıcının etkin bir şekilde kimliğinin belirlenmesi, daha fazla öneme sahip olmaktadır. Örneğin, banka terminallerinin büyümesi veya evden kredi kartla alışverişin artması, kimlik doğrulama konusunda yeni sorunları gündeme getirmektedir.

Şimdi sizlere güvenlik hususunda örnekler verelim. Örneğimiz shopping cart tipi yazılımlar kullanılarak müşterilerine alışveriş keyfi (!) süren web siteleri ile ilgilidir.
Kısaca shopping cart türü yazılımlardan metacart, salescart, vp-asp isimli yazılımları incelemeye çalışacağız. Bu tip shopping yazılımları ile kolayca bir alışveriş sitesi tasarlanabilir. Yaptığım araştırmada bu tip yazılımla oluşturulmuş sitelerin büyük çoğunluğu yazılımın default ayarlarını kullanmaktadır. Böylece kötü niyetli biri yazılımı üreten firmanın web sitesinden shopping cart yazılımını çekerek, programın ne tür ayarlar içerdiğini(veritabanının hangi dizine kayıt edildiği gibi) kavrayarak , o yazılımı kullanan web sitesinin veritabanını ele geçirebilir. Bu veritabanında, o siteden alışveriş yapanlar hakkında bilgiler bulunmaktadır. Bu bilgiler içerisinde; Alışveriş yapanın adı, soyadı, adresi, telefon numarası, kredi kart numarası, e-mail adresi gibi önemli bilgiler yer almaktadır.

Metacart:
Metacart isimli yazılım http://metalinks.com adresinde yeralmaktadır. Bu yazılımı kullanan alışveriş sitelerinin veritabanı default olarak database dizininin içinde yeralmaktadır. Yazılım incelendiğinde verilerin database dizininin içindeki metacart.mdb isimli dosyada saklandığı görülür. Yazılımdaki global.asa ve db.asp dosyalarında veritabanının hangi dizinde bulunduğu belli olmaktadır
(vPath = "database\metacart.mdb"). Bu veritabanı M$ Access isimli yazılımı ile incelenebilir. Bu yazılımla oluşturulmuş bir sitedeki veritabana ulaşmak için;
http://xxxshopcart.com/metacart/database/metacart.mdb yada
http://xxxshopcart.com/database/metacart.mdb şeklinde web browser'a yazmak yeterli olacaktır.
Örnek ulaşım aşağıdaki şekillerde belirtilmiştir.

Resim 1

M$ Access ile incelenen dosyanın(metacart.mdb) içeriği şu şekildedir. Orders tablosuna bakıldığında o siteden alışveriş yapmış kişilerin tüm bilgileri yer almaktadır.

Resim 2

Resim 3

Salescart:
http://www.salescart.com adresinde yer alan bu shopping cart veritabanı fpdb dizininde yer alır. Default olarak müşteri kayıtlarını shop.mdb isimli dosyaya kaydeder.

Resim 4

Resim 5

Salescart ile hazırlanmış sitenin shop.mdb isimli veri tabanına ulaşıldıktan sonra M$ Access ile incelendiginde aşağıdaki yapıya benzer bir tablo ile karşılaşılır:

Resim 6

payment tablosu incelendiğinde müşterilerin listesi rahatlıkla görülmektedir:

Resim 7

Resim 8

VP-ASP
http://www.vpasp.com adresinde bulunan shopping cart müşteri veritabanını diğerlerinde olduğu gibi kendi veritabanına kaydeder. Ana dizinde shopping350.mdb olarak kaydeder. VP-ASP 'nin bir diğer ilginç durumu veritabanının adını öğrenme imkanı vermesidir. Bu shopping cart kullanan sitede shopdbtest.asp dosyası vasıtasıyla bazı bilgiler edinilebilir.
Örneğin: http://xxxvpasp.com/shop/shopdbtest.asp