Monthly Archives: August 2013

Google Hesabı Silmek

Uzun zamandır Google ile ilgili bir yazı yazıp, açık açık suç işlediklerini duyurmak niyetindeyim. Benim ağırdan almam ve PRISM konusunun derinlik kazanmasından sonra Google bazı şeyleri değiştirmiş ve anlatmak istediğim şeyin en büyük kısmını geçersiz kılmış. Bu, sonuç olarak, hem iyi hem de kötü.

Güncelleme (30.10.2013): Google, gizlilik ve güvenlik ilkelerini değiştirerek, silinen hesabın artık tamamen silinmesini sağlamaktadır.

Google’da hesabı silseniz dahi Gmail ve diğer Google servisleri (Blogger, Analytics vd.) arkaplanda kalmakta, özellikle Gmail, hesap silinse de e-posta alıp, kopyalarını saklamaktaydı. Değişikliğin iyi yanı şu; en azından artık hesap silindikten sonra Gmail e-posta alma işlevini yitiriyor. Kötü yanı ise, biz öyle olduğunu biliyoruz ve diğer servisler (Gmail için eğer gelen, spam vd. kutularda daha önceden kalan e-postalar varsa onlar da duruyor) verileriyle birlikte durmaya devam ediyor. Peki, bir şeyi “silmekten” anladığımız nedir? “Silmek” bizlere ne ifade ediyor?

Sözlük anlamına (TDK) bakarsak, “ortadan kaldırmak, yok etmek, ilişkisini koparmak veya gidermek” şeklinde sonuçlara ulaşabiliriz. İngilizce-ingilizce anlamına buradan bakabilirsiniz. Sonuç (make invinsible dışında) pek de farklı değil. Başından beri anlamıyla ilgili beklentilerimiz de bu yöndeydi. Google örneğimize kelime anlamları üzerinden geri dönelim. Google hesabını sildiğiniz zaman hesabınız ortadan kalkmıyor. Çünkü, hesabınızı istediğiniz zaman kurtarabiliyorsunuz.

google 1

Ekran görüntüsünde de görüldüğü gibi eğer telefon bilgileriniz Google hesabınızla ilişkilendirilmişse, basit bir SMS yolu ile “silmiş” olduğunuz Google hesabını geri alabiliyorsunuz. Yani, hesabınız ne “ortadan kalkmış” ne de “yok olmuş”. Hesabınız kurtarıldıktan sonra “Ürünler” bölümüne girerek eğer daha önce Google ürünlerine sahipseniz bunların aynen durduklarını göreceksiniz.

google 2

Ekran görüntüsünün hesap silinmeden önce alınmış olabileceğini düşünen olursa, lütfen hesabını silsin ve geri kurtarsın. Bir diğer kelime anlamımıza geri dönecek olursak, Google hesabımızla ilişkili ürünlerin (görüldüğü üzere Analytics, Blogger, Gmail vd.) aynen durduğunu, hatta verilerinin de silinmediğini yani “ilişkisinin kopmadığını” ve devam ettiğini görmekteyiz. Kelime anlamı olarak silmek, Google için hiçbir şey ifade etmemekte. Bir tek “make invisible” buna uymaktadır o kadar. Bir diğer deyişle, Google hesabınızı gizliyor.

Benim düşünceme göre (de), kullanıcı hesabını silmek istiyorsa ve kullandığı ürün neyse “hesabını sil” seçeneği koyuyorsa, hesabı tamamen silinmeli. Bunun dolambaçlı yollara girmesine, çeşitli nedenlerle suistimal edilmesine göz yumulmamalı. Google hesap ve veri silme konusunda açık ve net olarak kullanıcılarını yanlış yönlendirmektedir. Google’ın kendini nasıl savunabileceğine bakacak olursak:

  1. Kazara silinir ya da geri kurtarmak isterseniz diye verilerinizi tutuyoruz/saklıyoruz/bir süre sonra siliyoruz.
  2. Hesabı silseniz dahi en fazla 6 ila 24 boyunca verileri yasal olarak saklayabiliriz.
  3. Sunulan hizmetin daha da geliştirilebilmesi için veriler anonim olarak tutulmaktadır.

Bir süre sonra silmeye örnek olarak Gmail’de tamamen sildiğini sandığınız bir e-posta Google sunucularından 60 gün sonra silinmektedir ve 1. cevabımız ile tamamen örtüşmektedir. İsterseniz 2. cevap ile bunu da ilişkilendirebilirsiniz ve yasal olarak buna kimse itiraz edemez. Tracking kısmı üçüncü cevap ile örtüşmektedir. Google, tüm bunları istediği gibi uydurabilir, kamuyu istedikleri doğrultuda fakat “yasalardan sapmadan” yönlendirebilir. Fakat tüm bunları yaparken kullanıcılarını da yanlış yönlendirmeye devam etmektedir.

Verilerin ve gizliliğin korunması adına, hesap silindikten sonra hesapla ilişkili verilerin de ortadan kalkması gerekmektedir. Verilerin unutulması (Right to be forgotten) şirketlerin kabul etmesi ve derhal uygulamaya koyması gereken bir zorunluluk olmalıdır. Google gibi devasa şirketler bile böyle kıvırırken küçük şirketlerin pastadan pay alabilmek için veri ve gizlilik haklarını nasıl suistimal edebileceğini düşünmek korku verici.

Tagged , , , , , ,

PGP Kullanın

Bir uygulamayı nasıl kullanabileceğinize dair rehberler hazırlanırken, hazırlayan kişi -kaçınsa da- kendisi nasıl kullanıyorsa öyle anlatır. Bu bir hata değildir, bunda yanlış bir şey yoktur. Az bildiği anlamına da gelmez. Aynı şekilde alışkanlıklarının dışına çıkması onu anlatacağı şeyde hata yapmaya da götürebilir.

Böyle bir giriş yaptıktan sonra PGP üzerine hazırlanan bu rehberin, yazan kişinin kullanım çerçevesinde ilerleyeceği için “eksik” olduğu düşünülen noktalar aslında bilerek boş bırakılmıştır. Adım adım ilerleyecek olursak:

  1. PGP, e-posta ve dosyaların güvenliği için bir kriptolama ve doğrulama (matematiksel kısmı için aramaya inanın) aracıdır. Sizlere gönderdiğiniz dosyanın ya da e-postanın şifrelenmesini ve başkaları tarafından okunmamasını (ya da sadece gönderdiğiniz kişi tarafından okunabilmesini), gönderen kişinin kimliğini doğrulamayı ve gönderilen dosya ya da e-postanın yapısının bozulmadan size ulaşmasını (ya da bozulup bozulmadığını anlamanızı) sağlar.
  2. Kullandığınız e-posta sağlayıcı ne kadar güvenli olursa olsun e-posta mahremiyeti artık ayaklar altına alındığı için gönderdiğiniz e-postaları bu yöntemle göndermeniz güvenliğinizi kat kat arttıracak, e-posta içeriğiniz üçüncü şahıslar tarafından okunamayacaktır.
  3. PGP anahtarları oluşturmak için açık kaynak veya ticari yazılımlar mevcuttur. GNU/Linux kullanan biri olarak sadece GPG; GnuPrivacyGuard ve Terminal üzerinden gideceğim. O yüzden açık bir terminaliniz olursa hemen başlayabilirsiniz. Çünkü her şeyi onun üzerinde yapacağız. “#” komut, “>” ise terminal çıktısıdır.

Dağıtımınızın ne olduğunu bilmediğim ve bilemeyeceğim için paket yöneticinizden gnupg‘nin kurulu olup olmadığına bir bakın. Eğer kurulu değilse kurun. Her şeyin artık hazır olduğunu varsayarak;

# gpg --gen-key
> Please select what kind of key you want:
> (1) RSA and RSA (default)
> (2) DSA and Elgamal
> (3) DSA (sign only)
> (4) RSA (sign only)

Burada sizlere ne tür bir kriptolama yöntemi kullandığınız soruluyor. Varsayılan olan 1’i seçip (1 ve enter) yolumuza devam ediyoruz.

> RSA keys may be between 1024 and 4096 bits long.
> What keysize do you want? (2048)

Anahtarınız ne kadar güçlü olacak burada belirleyeceğiz. En büyük olanı iyidir diyoruz. 4096 yazın ve devam edin.

> Please specify how long the key should be valid.
> 0 = key does not expire
> = key expires in n days
> w = key expires in n weeks
> m = key expires in n months
> y = key expires in n years
> Key is valid for? (0)

Burada anahtarınızın ömrünü biçeceğiz. Bir nevi son kullanım tarihi. Sınırsız olmasını pek tavsiye etmiyorum. 3-5 gün sonra dolması da bana mantıklı gelen bir şey değil (eğer paylaşmayacaksanız). İdeal olarak 1-2 sene seçilebilir. 1y ya da 2y yazarak devam edebilirsiniz.

> GnuPG needs to construct a user ID to identify your key.
> Real name:
> Email address:
> Comment:
> Change (N)ame, (C)omment, (E)mail or (O)kay/(Q)uit?

Adınız veyahut takma adınız, kullanacağız e-posta adresiniz, anahtarla ilgili -varsa- yorumunuz (bu daha çok neden kullandığınız, ne işi yaradığı ile ilgili olabilir), son olarak O yazarak devam ediyoruz. Karşınıza şifre belirlemeniz için bir pencere açılacak. Buraya büyük, küçük harf, rakam ve işaretler kullanarak en az 10 karakterlik bir şifre yazıyorsunuz. İleride unutmayacağınız fakat güçlü bir şifre yazmanız sizin yararınıza olacaktır.

Anahtarın oluşturulabilmesi için rastgele bytes’a ihtiyaç olacak. Bu yüzden film açın, tarayıcınızda sitelere girin, metin editörüne bir şeyler yazın. Anahtarın oluşması biraz zaman alacaktır. Oluştuğunda ise:

> gpg: key ******** marked as ultimately trusted
> public and secret key created and signed

Şeklinde bir çıktı alacaksınız. ******** (rakam ve harflerden oluşan 8 hane) sizin anahtarınızın ID’si olmaktadır. Bu ID ayrıca 40 hanelik fingerprint’in son 8 hanesidir.

Sıra geldi oluşturduğumuz anahtarımızı nasıl kullanabilir, paylaşabiliriz, yedekleyebilir ve silebiliriz kısmına. Diyelim ki elinizde önemli bir dosya var ve kimsenin açık kurcalamasını istemiyorsunuz:

# gpg -e ******** dosya.txt

Dosyanızın kriptolanmış hali olan dosya..txt.gpg‘nin oluştuğunu göreceksiniz. Açmak isterseniz:

# gpg -d dosya.txt.gpg
# gpg --output dosya.txt --decrypt dosya.txt.gpg

Anahtarınızı paylaşmanızın iki yolu var. Biri anahtarınızı dışa aktarıp (ASCII-armored) göndermek, bir diğeri de anahtar sunucularına yollamak. ASCII-armored için:

# gpg --output anahtarım.asc --export -a ********

Böyle e-postanız üzerinden anahtarım.asc‘yi arkadaşlarınıza gönderebilirsiniz. Herhangi bir sunucuya göndermek için:

# gpg --send-key ********

Böylece arkadaşlarınız paylaştığınız anahtarınızı kullanarak sizlere kriptolanmış e-posta veya dosya gönderebilecekler. Şimdi size gönderilen bir anahtarı nasıl aktarabileceğinize bakalım:

# gpg --import arkadaşımınamahtarı.asc

Arkadaşınız eğer anahtarını sunuculardan birine göndermiş ve siz sadece ID’sini biliyorsanız:

# gpg --recv-key ********

Size gönderilen bir anahtarı doğrulamak isterseniz muhakkak fingerprint’ini karşılaştırın.

# gpg --fingerprint ********

Aynı şekilde anahtarınızı imzalamanız da anahtarı kullanan kişilere anahtarın sahibi olduğunuzu söyler.

# gpg --sign-key ********

Çok önemli bir adım olarak anahtarınızı nasıl yedeklersiniz? Öncelikle anahtar(larınızı) listelemek için:

# gpg --list-keys

Açık anahtarınız; pub 4096R/ ve gizli anahtarınız; sub 4096R/ ‘den sonraki 8 karakterlik kısımdır. Açık anahtarınızı yedeklemek için;

# gpg -ao açıkanaharım.key --export ********

Gizli anahtarınızı yedeklemek için;

# gpg -ao gizlianahtarım.key --export-secret-keys ********

Silinirse geri yüklemek için;

# gpg --import açıkanahtarım.key
# gpg --import gizlianahtarım.key

Bu yedekleri usb diskinizde saklayabilir, cd’ye yazdırabilirsiniz. Önemli olan bunları kaybetmemek. Bununla birlikte, anahtarı iptal etmek (revoke) bilmemiz gereken başka bir şeydir. Bir anahtar neden iptal edilire gelirsek (bu bilginiz olsun kısmı):

  1. Şifrenizi unutmuşsunuzdur ve hatırlama ihtimaliniz yoktur.
  2. Anahtarınızı kaybetmişsinizdir ve geri yükleyemiyorsunuzdur.
  3. Birileri tarafından kullandığınız şifre bulunmuştur.

Her türlü kötü durumları bu konuda kafanızda canlandırabilirsiniz. Ama temel olarak bu üç neden kafanızın bir yerinde bulunsun. İptal edilmiş bir anahtar ile karşılaştığınızda hatırlarsınız.

Revoke anahtarı oluşturmak için:

# gpg --gen-revoke ********

Anahtarı aktarmak için:

# gpg --import revoke.asc

Eğer anahtarı bir sunucuya göndermişseniz revoke edilmiş anahtarı tekrar göndermeniz o anahtarın iptal edildiğini gösterecektir.

Son olarak, oluşturduğunuz anahtarı ve sahip olduğunuz anahtarları silmek isterseniz:

# gpg --delete-secret-key ********
# gpg --delete-key 'arkadaşım@epostası'

O kadar uğraştık, bir e-posta göndereceğim ama nasıl diyorsanız, diyelim ki göndereceğiniz kişinin anahtarı sizde mevcut ve bir metin editörü ile (ben vim kullanıyorum bana bakmayın) e-postada anlatmak istediklerinizi yazdınız;

# gpg -e -u 'BenimanahtarIDim' -r 'ArkadaşımınanahtarIDsi' eposta.txt

Eklentiye eposta.txt.gpg‘yi koyun ve gönderin. Arkadaşınız yukarıda bahsettiğimiz şekilde e-posta.pgp.txt’yi açacak ve e-postayı okuyacaktır. Ben biraz eski kafalı olduğum için bu şekilde yapıyorum. Kullandığınız e-posta istemcisi (Thunderbird, Claws vs) ya da web tabanlı e-posta istemciniz bunu otomatik yapıyor olabilir. Onu sizin keşfetmeniz gerekecek.

Tekrar tekrar söylemeye gerek yok ama ben gene söyleyeyim. Kullandığınız e-posta servisi ne kadar güvenilir olduğunu iddaa ederse etsin, siz PGP kullanın!

Tagged , , , , , , , , , , ,

Twitter’ın Karanlık Yüzü

PRISM konusu patladıktan sonra Twitter nasıl oluyor da bu kadar temiz ve dokunulmamış kalabilir hep şüpheli yaklaşmıştım. Bu hizmetin elbet bir karanlık yüzü olmalıydı. Aradan geçen süre içerisinde bilin bakalım ne oldu?

Polonyalı bir aktivist olan Alexander Hanff kendi gizlilik temelli projelerini yayımlamak için bir site hazırlarken ziyaretçi istatistikleri üzerine Apache’nin GeoIP modülünü kullanmak istiyor. Bu konudaki temel düşüncesi ziyaretçilerin IP bilgilerini –daha doğrusu gizliliklerini ihlal etmeden– kaydetmeden onlar hakkında ülke ve IP bilgisi almaya çalışıyor. Ne oluyorsa da tam bu noktada oluyor. Birden fazla Twitter hesabı olduğu için (kendi diyor) birinden kendi hesabına Tweetdeck üzerinden bir DM (özel mesaj) atıyor;

http://mydomain.com/stats.php?ref=twitter

ref dizisinin amacını veri tabanına kaydedilmek üzere test amaçlı kullandığını çünkü sponsorlarıyla ilişkili bazı kayıtları geri yüklemek istemesi olduğunu belirtiyor. Şöyle bir sonuçla karşılaşıyor;

8 » 2013-08-25 19:44:07 » stats.php?ref=twitter » US
9 » 2013-08-25 19:44:07 » stats.php?ref=twitter » US
10 » 2013-08-25 19:44:07 » stats.php?ref=twitter » US
11 » 2013-08-25 19:44:14 » stats.php?ref=twitter » PL
12 » 2013-08-25 19:44:14 » stats.php?ref=twitter » US
13 » 2013-08-25 19:45:06 » stats.php?ref=twitter » PL

Sonuç beklendiği gibi pek gizliliğe zarar verici gibi gözükmemekte. Fakat 8, 9, 10 ve 12. satırlara bakarsanız ülke kodunun Amerika olduğunu göreceksiniz. Özellikle 8 ve 10 özel mesaj gönderildikten hemen sonra oluşmuş. İşin ilginci bu bir özel mesaj ve URL’sinin gizli olması, yani teorik olarak “US” girdilerine sahip olmaması gerektiği. Hanff, Apache’nin erişim kayıtlarına baktığı zaman US satırlarında Twitter’ın kendisini Twitterbot/1.0 olarak tanıtmak ve URL’ye GET isteği göndermek için 199.16.156.126 IP’sini kullandığını görüyor. Bunun bir özel mesaj olduğu düşünülecek olursa Twitter’ın aslında bunu görmemesi ve kendine GET isteği üzerinden bir kopya oluşturmaması gerekmektedir.

Buna kısaca Twitter’ın özel mesajları taraması demek daha doğru olacaktır. Bu açık bir gizlilik ihlalidir. Twitter bu konuda iyi niyetli olduklarını, kullanıcıyı düşündüklerini söylese de GET ve kopya oluşturması niyetleri ile tamamen çelişmektedir. Yazının tamamını buradan okuyabilirsiniz.

Twitter’la ilgili başka bir haber de Glendale okul yetkilileri Hermosa Beach adlı bir sosyal medya şirketi ile anlaşarak öğrencilerinin Twitter, Facebook, Youtube ve Instagram paylaşımlarını takip ettirdiği ortaya çıktı. Günlük raporlar, öğrencilerin şiddet, nefret, saldırganlık vs. üzerine olan eğilim frekanslarından oluşuyor. Geçen sene Hermosa Beach şirketine 40,500$ ödenmiş, toplam 13,000 orta ve lise öğrencisi monitörlenmiş. Okul yetkililerinin “niyeti” ise öğrencilerinin kendilerine ve başkalarına zarar vermeden önceden tespit edilebilmesiymiş. İnsanın aklına Minority Report gelmiyor değil. Tabi öğrencilerin hesaplarının nasıl tespit edildiği ise başka bir konu. Monitörleme kadar bu hesapların tespitinin nasıl yapıldığı da bilinmeli ve paylaşılmaya değer olduğunu düşünüyorum.

Görüldüğü üzere, bazı sosyal medya şirketleri zaten çok uzun bir süredir monitörleme işini yapmaktaydılar. Bunlar firmalar için ürün, marka değerlendirmeleri içerirken bazıları da Glendale okulu gibi “öğrencilerinin iyiliği” altında paylaşımlarının incelenmesini içermekte. Her ne olursa olsun, yapılan paylaşımların birilerinin süzgeçinden geçtiği ve bunların sadece iyi niyetli olmadıklarıdır. Twitter, T.C. devleti ile kullanıcı bilgisi paylaşımına yanaşmamış olabilir, belki hiç yanaşmayacak da olabilir ama dikkat edilmesi gereken şey gizliliğiniz ve güvenliğiniz için özel şirketlere bel bağlamamanız gerekliliğidir. Gizlilik bir insan hakkıdır. Bunun seçimi, bu hakkın birilerine devredilmesi söz konusu bile olamaz.

Tagged , , , , , , ,

Budala Son Kullanıcı

Sevgili dostum Ahmet, blogunda [İnternet Notları] İnternetin de Özel Hayatın da Sonu Gelmedi başlıklı bir yazı yayımlamış. Ahmet’in de affına sığınarak yazıya ufak tefek eleştiriler getirmek isterim.

Bazı insanların tabiri caizse “budala” olduğunu herkes söyleyebilir. Aslında buna tüm insanlar budaladır desek daha doğru olacak. Ben de budalayım, sen de budalasın, o da budala. Bunu şöyle örneklendireyim, bir şeye küçüktür diyorsanız; onun başka bir şeyden küçük ama aynı şekilde başka bir şeyden de büyük olduğunu söylüyorsunuz. Bir şeyi ne kadar iyi bildiğinizi düşünürseniz düşünün, muhakkak bir hata yapıyorsunuz. Burada sıkıntı kullanıcının herhangi bir servisin hesabına sahip olup her şeyi ondan beklemesinden de kaynaklanıyor. Bir diğer deyişle de sermaye olsun, bazı geliştiriciler olsun, bazı yazarlar olsun, bazı “budalalar” olsun, sürekli bir ürünün kolay kullanıma sahip olması için o kadar çok yaygara kopardılar ki ve insanları o kadar çok rahata alıştırdılar ki, artık sermaye, güvenlik konusunda da kullanıcıların “budala” olmasını beklemeye başladı. Kimse kullanıcıda çok basit bir bilgi düzeyinden başka bir şey istemiyor. O yüzden reklamlar “tek tıkla işinizi halledin” noktasına kaydı. Bu ayrıca bir pazarlama yöntemidir. Sermaye, hedef pazarını seçerken öncelikle bu rahata alıştırılmış ve kendini üreticiye emanet etmiş kullanıcıları seçiyor ve onlardan da istediği gibi faydalanabiliyor. Kim ne derse desin, bu rahatlık, kolay kullanım herkesin işine geliyor.

Hepimiz budala olduğumuza göre bunun sorumlusu bir anlamda da bizleriz. Steam, GNU/Linux’a gelirken -ben de dahil- heyecanlanmış ve desteklemiştim (alın size bir hata). Peşinden DRM’yi oyunlarla sokmaya başladı, Stallman’ın deyimiyle bir sürü kapalı kaynak kodu açık kaynak bir sisteme soktu. Şimdi birileri çıkıp “o zaman kullanma kardeşim, seçim senin” diyebilir. Seçim benim ama bu sadece benim bilgisayar kullanmayı bilip bilmememle alakalı değil. Başında düştüğüm bir hata var. Karşımda art niyetli bir sermaye var. Onu da geçtim bunu destekleyen bir sürü ileri düzey kullanıcı da var. Bu, ayrıca, sermayenin kullanıcılara zoraki bir dayatmasıdır.

Duckduckgo mu Duckduckdon’t mu? Startpage daha bir alternatif olarak gözüküyor ve Avrupa lokasyonlu. Amerikan mahkemelerinin kapsama alanı dışında. Madem bir seçim yapacağız, o zaman neden Startpage değil? Başka biri de neden YaCy değil diyebilir. Tor, %100 güvenli değil. Bazı Exit nodlarından veri örnekleri toplayan servisler var. Bu dediklerim güvensizler anlamına gelmesin. Peki bunların sizin iyi bir bilgisayar kullanıcısı olmanız veya olmamanızla ilişkisi var mı? Sermaye, istediği gibi hareket ettiği sürece, siz sadece belirli bir oranda kendinizi koruyabilirsiniz. Yazının hedef kitlesi budala son kullanıcının “gizliliğimiz elden gidiyor vay vay” diye ağlaması ve insanları ümitsizliğe itmesi olabilir. Unutulmamalı ki teknoloji de tek bir tarafa hizmet etmiyor. Siz ne kadar gizlilik ve güvenlik üzerine kendinizi geliştirirseniz geliştirin, sermaye de onu bertaraf etmek için elinden geleni yapacaktır.

Tagged , , , , , , ,

Ünlü Olmak

Hiç adını bile duymadığım biri saçma sapan bir televizyon programına çıkıyor ve diyor ki; “mp3 indirenler tespit edilmeli ve cezalandırılmalı. devletimiz bu konuda lütfen gereğini yapsın.” Sonra devam ediyor; “bizim cemiyet…”

Kendilerini sıradan bir insandan farklı gören sıradan bir insanın karşlığı ünlü olabilir. Çoğul olunca bu kelime, kendilerini farklı gören sıradan insanlar, yani ünlüler şeklinde devam ettirilebilir. Bu cemiyet -kendileri öyle diyor- matah özelliklerinin süslenip püslenip insanlara her türlü iletişim aracıyla dikte edilmesi ile bir konum kazanmışlardır. Yani senden benden farklı, üreten, vergisini veren, devletine ve milletine faydalı bu muhterem zatlar, elde ettikleri bu “ünlü konumu” ile toplumun tepesinde bir yerlerde, Maslow piramitinin ucuna oturmuşlardır. Girdikleri ünlü halet-i ruhiyesi ise nerden geldiği belli olmayan ve “sıradan insanlara” dayatılan konumları ile “farklılık”, diğerlerini “ötekileştirme” ve “dokunulmazlık” şekline bürünmektedir.

Özellike magazin kısmı kendi konumlarındaki çıkmazın ve hatta ünlü kelimesinin adeta bir sembolü/karşılığıdır. Kendileri hem üst-beni yaratıp hem de magazine karşı olduklarında ise genel tepkileri “biz de normal vatandaş gibi dışarıda hareket edemeyecek miyiz?” noktasındadır. Evet, edemeyeceksiniz. Çünkü kendinizi metalaştırıp “birey” yerine “ünlü” olmaktan, her zaman yürüdüğünüz yolları normal bir vatandaşla paylaştığınız için “dışarı” yapmaktan ve size sağlayacağı konumdan vazgeçemeyeceğiniz için asla normal bir vatandaş ol-a-mayacaksınız.

Tagged , , , , , ,

Sosyal Medyada Açık Hesaplar

Yazının temel amacı sosyal medyayı bir korkuluk gibi göstermek değil. Sadece sosyal medyadaki açık hesapların içeriğinin çok basit bir şekilde birileri tarafından cachelenmesi, arama motorları ile bu sayfalara rahatça erişilebilmesi, ve siz sosyal medya hesaplarını kapatsanız dahi bu sitelerde verilerinizin kalması.

Sosyal medyanın çok hızlı gelişimiyle beraber aynı hızda sosyal medya ajanslarının gelir arttırma yolları da gelişti. Örneğin, sosyal medya üzerindeki açık hesapları bir havuza aktaran monitoring sitelerinin, girdileri inceleyerek firmalara ürünleri hakkında insanların ne düşündüğü üzerine bilgi satması. Bir nevi +, – ve nötr olarak girdileri tasnif edip ayrıntılı rapor hazırlamak. Bazı siteler de arama ile site üzerine gelen ziyaretçilerden gelir kazanmak derdinde. Yani sizin girdilerinizi cacheleyerek kendi sitesine koyuyor, böylece arama yapıldığında sonuç olarak bu site de çıkıyor. Bu bir nevi veri madenciliğidir ve en kötüsü ise açık hesapların bu şekilde sömürülmesini engelleyecek yasal bir kısıtlama yok. Örnekler üzerinden devam edelim.

Twitter için birkaç örnek (test etmek için kendi kullanıcı adınızla bakabilirsiniz):

  1. Twtrland: http://twtrland.com/
  2. Twicsy: http://twicsy.com/
  3. Topsy: http://topsy.com/
  4. Favstar: http://favstar.fm/
  5. Loviv: http://loviv.com/

Twitter’daki tweetlerinizden paylaştığınız fotoğraflara ve hatta video’lara kadar her şey bu “arama” siteleri tarafından cachelenmiş durumda ve hepsi de sizin insiyatifiniz dışında gerçekleşti. Çünkü kurallar buna müsade ediyor, bu sitelerin açık hesaba sahip olduğunuz için size sormak ya da izin istemek gibi bir dertleri yok. Diyelim ki Twitter hesabınızı sildiniz, bu siteleri bilmiyordunuz ve bazıları sizden profilinizin silinmesi için Twitter hesabınızla giriş yapmanızı istedi, alın size bir dert daha!

Hesabınız açıktı fakat sonradan kapattınız (korumaya aldınız), Twitter diyor ki; profilinizi kapatsanız bile bir zamanlar açık profille gönderdiğiniz tweetler hala açık ve aranabilir. Sadece profili kapattıktan sonra gönderdiğiniz tweetleriniz kapalı olacaktır. Bir diğer deyişle, açık hesapla gönderdiğiniz tweetler bu siteler tarafından cachelenmişse, hesabı kapatsanız bile sadece hesabı kapattıktan sonraki tweetleriniz cachelenmeyecek.

G+ için benzerlik açısından birkaç örnek (yoksa bir sürü site var):

  1. GooglePlusDirectory: http://googleplusfriends.com/
  2. PlusArkadaşArama: http://www.plusarkadasarama.com/
  3. Psd2wp: http://gplus.psd2wp.pl/
  4. Google-plus: http://google-plus.pl/

Farkettiğiniz gibi bu G+ arama sitelerin hepsi aynı yazılıma sahipler. Domainlere whois çekebilir, sunucuları nerede veya kim bunlar araştırabilirsiniz. Belki aynı kişi, kuruluş veya herneyse onundur ya da bu yazılım herkesin serbestçe indirip istediği gibi kullanılabildiği bir şeydir. Yani, birileri açık sosyal medya hesaplarını ve içeriğini “arama” adı altında öyle ya da böyle istediği gibi kendi veritabanına aktarabiliyor, cacheleyebiliyor. Peki herkes böyle basit bir yazılımla bile açık hesapları bu kadar ayrıntılı cacheleyebilirken, devletler, gizli servisler kim bilir neler yapıyordur değil mi?

Hesabımı kapattım ama…
Açık hesabınızı kapattınız/sildiniz diyelim. Fakat bu sitelerin farkında değildiniz ve rastgele adınızla ilgili bir arama yaptığınızda bugüne kadar gönderdiğiniz tweetlerden, G+ girdilerine her şey tekrar karşınıza çıktı. Hem de çok basit bir arama ile! Kabus sizin için yeniden başlıyor. Bu sefer de sitelerin iletişim sayfalarından profilinizin kaldırılması talebinde bulundunuz. Bu sitelerin birçoğunun e-postasının çalışmadığını, bazılarının yaptıkları şeyin herhangi bir yasal ihlal içermediğini anlatan otomatik cevap gönderdiğini, çok azı da silinmesi için gerekçe istediğini göreceksiniz.

Açık hesap mı kapalı (korunan) hesap mı?
Açık hesabın daha çok kişiye ulaşması kapalı hesapla kıyaslanmaz bile. Fakat sosyal medya sitelerinin politikaları böyle şeylere izin verdiğinden dolayı, ileride özellikle kendi adı ve soyadıyla yazanlar için büyük bir risk teşkil edecektir. Twitter veya G+ (diğer micro blogging siteleri vs.) üzerinde yazdığınız bir şey bir sürü farklı site tarafından cacheleniyor, herhangi bir arama sayesinde de bunlara rahatça ulaşılabiliyor. Kapalı hesaplar bu konuda güvenli, ama paylaştığınız bir bilginin açık hesap gibi yayılma olasılığı da bir o kadar düşük. Burada ısrarla üzerinde durmak istediğim şey siz hesapları kapatsanız bile ileride yazdıklarınızın durup dururken başınıza iş açabilme olasılığı. Ne yapmalıyım diyorsanız, hafif paranoyak olarak diyebileceğim şey kendi adınız ve soyadınızla açık hesap kullanmayın. Kimse sizin gerçek kimliğinizi Internet üzerinde bilmek zorunda değil, açıkçası kimsenin (bazıları hariç) bunu merak ettiği de yok. Yeterki siz paylaştığınız şeylerin güvenilebilir olduğunu en azından belirli bir oranda sağlayın.

Son olarak, sosyal medya ajanslarının bazıları için diyebileceğim tek bir şey var; “…yüzde 300 kâr ile, sahibini astırma olasılığı bile olsa, işlemeyeceği cinayet, atılmayacağı tehlike yoktur.

Tagged , , , , , , ,

EXIF ve GPS

Her şeyden önce söylemek istediğim birkaç şey var. Öncelikle, bu ve bundan sonraki yazıların herhangi birini tatmin etmek gibi bir amacı yok. Yazılar amatörce, bolca eksik bulacaksınız, her türlü eleştiriye açık ve eksikler doğrultusunda güncellenecek. O yüzden yorumlarda ne ekerseniz onu biçersiniz.

Telefonum çok akıllı…
Hayatınızda birçok şeyi kolaylaştıran “akıllı telefonlar“, medyadaki dezenformasyonu engelleyebilecek mükemmel bir “araç” haline dönüşürken diğer yandan da sizin gizliliğinizi ve güvenliğinizi tehlikeye sokabilecek bir başka araca (silaha) da dönüşebiliyor. Peki bu telefonlar akıllı ama kimin için akıllı? Bu telefonlarla çekilmiş fotoğraflarla sizler insanlara “gerçeği” anlatmaya çalışırken EXIF ve GPS madalyonun diğer yüzü, buz dağının görünmeyen kısmı ve gizliliğinize  doğrultumuş bir silah. Yazıyı daha iyi anlayabilmeniz için Firefox’un Exif Viewer eklentisini kurabilirsiniz. Kullanımı gayet basit, sağ tık menünüze de yerleşecektir. Basit olması açısından örnek üzerinde anlatırken bunu tercih edeceğim.

Acele işe…
Mazur görülebilecek bir davranış, o anın getirdiği korku, heyecan, gerilim vs. ile aceleci davranmak, elindeki görüntüleri hemen, en kolay yoldan paylaşmak. Siz bu telefonların yardımıyla basitçe o anı kaydebiliyorsunuz ve sizin için akıllı bir araç haline dönüşüyor. Diğer yandan telefonun kamera ayarlarını kontrol etmediniz, GPS açık, arka planda bir sürü servis çalışıyor. Peki siz bu durumda kendinizi büyük bir tehlike içine de sokmuş olmuyor musunuz? Bana gönderilen bir Gezi fotoğrafı üzerinden gidelim:

gps 1

Fotoğrafın üzerine tıklayıp gerçek boyutunda açtığınız zaman (ön izlemede EXIF yok!) sağ tıklayıp View Image EXIF Data dediğinizde aşağıdaki görüntü ile karşılaşacaksınız:

gps 2

Karşınızda akıllı telefonunuz ve marifeti. Fotoğrafa konum bilgileriniz girilmiş! Enleminiz 41.032275 ve boylamınız 28.976381. Tabi siz bunun farkında değildiniz, çünkü içinde bulunduğunuz durum buna müsait değildi. Küçük bir hata, telefonun modelinden, çekildiğe yere kadar her şeyi içeren bir bilgiye sahip. Bir de enlem ve boylam bilgilerinize haritadan (Google) bakalım:

gps 3

Bir insan “bakın ben buradayım” diye ne kadar bağırabilir, cevabı bu küçücük ayrıntıda gizli. Hayatınızı kolaylaştıran bu akıllı telefon artık başka insanların işini de kolaylaştıracak.

İstanbul’u hiç bilmeyen biri olarak panoramadan (Yandex) tam konumunuza bakalım:

gps 4

Burayı bulabilmek benim birkaç dakikamı aldı. Fotoğrafın konumla ilgili görsel olarak pek fazla bir şey içermemesine rağmen GPS bilgileri üzerinden %100 olarak yeri basit bir Internet kullanıcısı tarafından bile tespit edilebiliyor. Elinizde ise bir harita, varsa panorama ve EXIF bilgilerini görebileceğiniz basit bir eklenti.

Korkuyorum…
Fotoğrafları farkında olmadan bu şekilde çekseniz bile daha sonra yüklerken fotoğrafların EXIF bilgilerini açık kaynak, özgür bir yazılım olan Gimp (Windows, Linux, Mac OS sürümleri mevcut) ile silebilirsiniz. Tek yapmanız gereken farklı kaydederken EXIF ve XMP verilerini seçmemek. Bu arada ben de bahaneyle sizlere Gimp kullandırmış oluyorum.

Komplo teorisi kuralım…
Kafanızda bir şeyler canlandırmak adına; düşünün ki imaj yüklediğiniz bir servis var ve EXIF bilgilerini silmiyor, mahkeme kararı ile (hiçbir zaman kullanıcı sözleşmesini okumadığınız için farkında değilsiniz) anında T.C. devletine de verebilecek. Ben de bu tarz gösterilere katılmış insanlar hakkında bilgi toplamaya ve onları “fişlemeye” çalışan biriyim. Gezi ile ilgili araştırma yaparken bir şekilde bu servisi buluyor ve sizin hesabınıza ve yüklediğiniz fotoğraflara ulaşıyorum (fotoğraflar ziyaretçiler tarafından görülebiliyor diyelim). Bir yanda Gezi fotoğraflarınız, diğer yanda evde kediniz ile çektiğiniz Caturday fotoğrafları. Hepsinin ortak noktası ise gözünüzden kaçan bu konum bilgisi. Sonucu sizin için “akıllı” telefon bir kabus olurken ben yüce devletim ve gizli servisim adına bu akıllı telefondan faydalanıp büyük bir başarı elde etmiş oluyorum. Yani bu telefon artık benim için “akıllı“.

Ama birçok imaj paylaşım sitesi EXIF bilgilerini siliyor/blokluyor…
Kullanıcılar veya ziyaretçiler için geçerli bir durum. Ama orjinal fotoğrafı ya da fotoğrafın sahip olduğu EXIF bilgilerini ne yaptığını kimse bilmiyor. Bir örnekle anlatalım; Facebook’un Instagram’ı satın almasını geçtim, kendisi Amazon servisleri ve sunucuları kullanıyor. Amazon ise CIA ile 600 milyon $’lık kontrat imzalamış olduğu ortaya çıktı ve artık sunucuları konusunda birçok aktivisti rahatsız etmekte. Buna örnek olarak joindiaspora.com‘un imajlar için Amazon’u kullanması kullanıcıların bazılarını diğer POD’lara kaçırdı. Ucuz bir komplo teorisi gibi bakmaktansa Instagram’ı tercih etmemeyi bu çerçevede kabul etmek daha mantıklı. Bu tarz servisleri en azından bu tarz fotoğraflar için kullanmamak hayatınızdan hiçbir şey götürmeyecektir.

Sonuç
Bu tarz durumlar insanın başına her zaman gelebilir. Önemli olan böyle bir tehlikenin farkında olabilmek. Telefonların kamera için konum ayarı kapatılabilir, yüklemeden önce fotoğrafların EXIF bilgileri silinebilir, en önemlisi aceleci davranmadan, önlemini baştan alarak, Internet’te bulunan her servise güvenmeden, sağlam adımlar atıp ne yaptığının bilincinde olmak. Yoksa, Instagram vs. kullanmanız veya gözü kapalı bu tarz servisleri, API’sini savunmanız kimsenin umrunda değil. Çünkü kendi düşen ağlamaz.

Tagged , , , , , , , , , , , , ,