Monthly Archives: November 2013

Casus Yazılım Ve Teknoloji Kültürsüzlüğü

Kapalı kapılar ardında sözde kanun tasarı hazırlanıyor ve bu kanunda geçen maddeler direkt anayasaya aykırı düşüyor. Bir de yetmiyor, Türkiye’de yayınlanan teknoloji dergilerinden birinin online yayın yönetmeni çıkıp pratik olarak devlet casus yazılım yerine gitsin İSS’den takip etsin kullanıcıları diyebiliyor.

Geçenlerde “Internetten müzik indirene casus önlemi” diye bir haber çıktı. Haberde:

Bir siteden programlar vasıtasıyla bir müzik parçası veya film indirdiğinizde, buradaki hükümle karşı karşıyasınız. Diyor ki bu hüküm, ‘Hak sahibinden izin alınmaksızın noktadan noktaya ağlar üzerinden eserleri umuma ileten bireysel internet kullanıcılarının IP adresleri, telif birliklerince Telekomünikasyon İletişim Başkanlığı tarafından akredite edilmiş yazılım vasıtasıyla tespit edilir. Burası çok tehlikeli. Bu ne demek biliyor musunuz? Yani kanun koyucu sizin bilgisayarınıza casus yazılım gönderecek. Buna sistem müsaade edecek. Erişim sağlayanlar müsaade etmek zorunda kalacaklar. Siz güvenli şekilde internette sörf yaptığınızı sanırken bu yazılım sayesinde bilgisayarda hangi işlemleri yaptığınız ve hangi hak ihlallerinde bulunduğunuz tespit edilecek. Ardından bu casus yazılım akredite olacak, Telekomünikasyon İletişim Başkanlığı tarafından da bu yazılım onaylanacak.

Bu yasanın arkasında ne tür bir güç olduğunu, alıntıda geçen “telif birlikleri” çok iyi özetlemektedir. Birilerinin “sanatçıyı ve sanatı koruma” adı altında böyle keyfi yaptırımlarına hepimiz alıştık. Ama bu yapılanları normalleştirmek anlamına gelmesin kesinlikle. Akredite edilmiş yazılım ile kastedilen (benim anladığım); kullanıcıları tespit etmek için yazılıma (ya da onu kim kullanacaksa) yetki verildiği ve yazılımın sağlayacağı bilginin resmen tanındığı ve kabul edildiği anlamına geliyor. Şimdi, “casus” bir yazılım var, bu yazılım telif birlikleri ile kanun uygulayıcı tarafından kullanıcının Internetten müzik indirip indirmediğini tespit edip bunun üzerinden yasal işlem uygulayacak. Bu, öncelikle TCK’nın onuncu bölümünde bahsettiği bilişim suçlarından hangisine giriyor, onunla ilgili bir bilgi verilmemiş. 243-246 aralığında maddelere bakıldığında, bilişim sistemine girme, sistemi engelleme, bozma, verileri yok etme veya değiştirme, banka veya kredi kartlarının kötüye kullanılması ve son olarak da tüzel kişiler hakkında güvenlik tedbiri uygulanması adında ana başlıklara sahip.

Bu başlıklar altında tanımlanan hiçbir madde haberde söylenenle ilişkili değil, onu da geçtim casus yazılım” ile böyle bir izleme/cezalandırma yapılması T.C. Anayasası, madde 20‘de belirtilen özel hayatın gizliliği ilkesine tamamen aykırı. Düşünün ki bir anayasanız var, bu anayasada özel hayatın gizliliği ilkesinde böyle kafanıza göre izleme yapamayacağınız, kişinin şahsi olan bilgisayarına “casus” bir yazalımla girip acaba hangi hakkı ihlal etti diye izleyemeyeceğiniz kısa ve net olarak (haberleşme özgürlüğü) belirtilmiş. Haberde geçen ve tasarı halinde olduğu söylenen “Fikir ve Sanat Eserleri Kanunu” var fakat buradan sızan bilgilere bakarsak TCK ve anayasa ile şimdiden çelişmeye ve aykırı düşmeye başladı bile.

Bu haber çıktıktan birkaç gün sonra bu habere Türkiye’de “Teknoloji Kültürü” adıyla yayınlanan Chip dergisinin online yayın yönetmeni Cenk Tarhan ve PCNet yayın yönetmeni Erdal Kaplanseren‘in açıklamaları eklenerek tekrar sunuldu. Kaplanseren yasaya aykırılığını söylemese de en azından insanların izlenebilmesi için bir bahane üretildiğini ve asıl bunları yayınlayan sitelerle uğraşılması gerektiğini söylemiş. Fakat,  Tarhan’ın yaptığı açıklamayı okurken şok geçirdim:

CHIP Online Yayın Yönetmeni Cenk Tarhan, illegal olarak MP3 indirmenin elbette kötü bir şey olduğunu; ancak devletin casus yazılım kullanmak yerine çok daha pratik yollara başvurabileceğini hatırlattı ve şu sözleri kaydetti: Devlet isterse internet servis sağlayıcılarının kayıtlarına bakarak kullanıcıların hangi siteye girdiğini, hangi dosyaları indirdiğini anında görebilir ve illegal bir durum söz konusuysa bu kayıtları delil olarak kullanabilir.

Tarhan’ın bunu hangi kafayla söylediğini (gene iyi niyetli davranıp söyleminin yanlış aktarılmış olabileceğini de ekleyeyim) anladığım söylenemez. Öncelikle, devlet isterse diye bir durum söz konusu değil. Böyle bir keyfiyet yok, yasayla da belirtilmiştir. İkincisi, “devlet kullanıcıların hangi siteye girdiğini ya da hangi dosyaları indirdiğini anında görebilir” demek, devletin gayri hukuki izleme yaptığını ve kendini teknoloji kültürünün parçası olarak gören bir yayın yönetmeninin bunu pratik yol diye söylemesi ise nasıl bir aklın tezahürüdür bilemiyorum. Öncelikle Tarhan’a TCK’nın dokuzuncu bölümü olan “özel hayata ve  hayatın gizli alanına karşı suçlar“‘dan birkaç madde göstereyim:

Madde 134 (1) – Kişilerin özel hayatının gizliliğini ihlâl eden kimse, altı aydan iki yıla kadar hapis veya adlî para cezası ile cezalandırılır. Gizliliğin görüntü veya seslerin kayda alınması suretiyle ihlâl edilmesi hâlinde, cezanın alt sınırı bir yıldan az olamaz.

Madde 135 (1) – Hukuka aykırı olarak kişisel verileri kaydeden kimseye altı aydan üç yıla kadar hapis cezası verilir.

Madde 136 (1)Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, bir yıldan dört yıla kadar hapis cezası ile cezalandırılır.

Basit bir dille, veriler yasal bir merci tarafından istense dahi;

  • Hukuka aykırı yollarla delil toplayamazsın.
  • Hukuka aykırı yollarla topladığın delilleri mahkemede kullanıcının aleyhine sunamazsın.
  • Kullanıcı o suçu işlemiş dahi olsa, hukuka aykırı yollarla topladığın deliller üzerinden kullanıcıyı suçlayamazsın.
  • Bunun üzerine alacağın cezalar da yasada mevcut.

Devam edelim, bir kullanıcının hak ihlalinde bulunduğunu “casus yazılım” haricinde kanun uygulayıcı nasıl anlayabilir? Tahminde bulunacak değil, örneklem oluşturup belirli bir sayıda kullanıcıyı izleyerek de bir sonuca ulaşamaz. Onun yerine tüm trafik akışını “izlemek” ve verileri de bir şekilde “kaydetmek” durumunda. Böyle bir şey teknik olarak mümkün olsa bile tekrar yasaya aykırı (yukarıda da belirttiğim üzere) bir durum söz konusu. Onu da geçtim (felix‘e tekrar tekrar teşekkürler), CMK 134. maddeyi açıp hiç okumuş mudur merak ediyorum. O maddeye bakarak, diyelim ki; hakim kararı çıkartıldı, anayasaya da uygun bir karar (bu tartışılır elbette) ve benim buna benzer bir suç işlediğim üzerinden bilgisayarıma el konuldu. Ben harddisk’im yedeğini istedim, kanuna uygun olarak da harddiskimin yedeği kanun uygulayıcı tarafından alındı ve bana geri verildi. Yani, beni suçladıkları “illegal mp3’leri” bana “buyur al kardeş mp3’lerini” diyerek geri mi verecekler? Ee, hani ben yasalara aykırı bir suç işlemiştim?

Burada söylemek isteyeceğim bir başka şey de bu tarz haberlerin temel amacı oto-kontrolü sağlamaya çalışmaktır. Yani, sizi bir üçüncü göz, casus yazılım, olmadı “pratik olarak” İSS’niz tarafından ne yapıyorsunuz, ne indiriyorsunuz, hangi sitelerde geziyorsunuz takip edebilir, yasa üzerinde çalışıyoruz, “ha çıktı ha çıkacak” diyerek “kapalı kapılar ardında” muktedirlerin kafalarınca anayasaya aykırı yasalar çıkartıyor gözükmesinin ve haberlerinin yapılmasının amacı, içinize korku yerleştirmektir. İçinizdeki bu korku üzerinden de sizler oto-kontrolünüzü sağlayacaksınız. Bir diğer nokta da bireysel-sansürdür. Devlet sizlerin sözüm ona illegal içeriklere ulaşmanızı engellemek yerine bu korku ile hareketlerinizi ve söylemlerinizi kendiniz sansürleyeceksiniz.

Türkiye’deki teknoloji kültürünün sıkıntılı olduğunu açık ve net olarak artık söyleyebilirim. Bundan sonra bu tarz söylemlerde bulunan kişileri de yakından takip edeceğim. Bakalım başka ne yumurtlayacaklar insan merak ediyor doğrusu.

Tagged , , , , , , , , , , , , , , , , , , ,

Veriyi Unutmak Ve Unutulma Hakkı

Türkiye’de ciddi sıkıntılar doğuran, verilerin elden ele dolaştığı, veritabanlarının yüksek fiyatlara satılıp size ait kişisel verilerin ve gizlilik hakkınızın hiçe sayıldığı bir ortam mevcut. Durup dururken gelen bir telefonla “Merhabalar … bey, ben …, sizlere bir ürünümüzü tanıtmak istiyorum…” şeklinde yapılan tacizkar pazarlamaların bitmek tükenmek bilmediği şu zamanda, verinin unutulması ve unutulma hakkı üzerine bolca eleştiriye açık fikirlerimi belirtmek istedim.

Kafanızda önce bir örnek canlandıralım. Sarhoşsunuz, canınız sıkkın veya çok mutlusunuz, bilgisayarın başında sosyal medya profillerinizin birinde (Facebook, G+ vs.) kendinize ait bir fotoğraf ya da bir yazı vs. paylaştınız. Bu fotoğraf (veya yazı) sizinle ilgili ileride başınıza iş açabilecek, her zaman karşınıza çıkabilecek bir şey taşıyor. Örneğin yarı (veya tamemen) çıplaksınız, (birine veya birilerine) nefret (veya aşk) dolu (küfür şart değil) bir yazı yazdınız. Sabah uyandığınızda bir de baktınız ki gönderdiğiniz fotoğraf 10 arkadaşınızın da duvarında, bir sürü yorum almış, üstüne arkadaşlarınızın duvarından başka yerlere aktarılmış, Internet Wayback Machine tarafından Internet tarihin tozlu sayfalarına eklenmiş ve arama motorlarında adınız ve soyadınız aratıldığında direkt karşınıza çıkmış. Hemen kullandığınız sosyal medya sitesiyle iletişime geçtiniz, fotoğrafı duvarınızdan sildiğinizi ve sunuculardan da silinmesini istediğinizi söylediniz. Kabul edildi veya edilmedi (fakat yasa varsa buna bir şekilde zorlayacaktır), bir de baktınız arkadaşlarınızın duvarlarında fotoğraf durmaya devam ediyor, aramalarda karşınıza çıkıyor, ya şimdi ne olacak?

Bir Internet sitesi bu durumda kimin duygularını esas almalı? Duvardan duvara aktarılan o fotoğraf artık kimin? Siz üzgünsünüz diye bir Internet sitesi başkalarına da müdahale etmeli mi? Bununla ilgili söylenen temel şeylerden birisi; “eğer bir salaklık yapıp açık bir alan adı üzerinde, gruplarda, forumlarda vs. böyle bir paylaşımda bulunmuş veya kendinizle ilgili tüm özel şeyleri anlatmışsanız, ileride bunlardan dolayı başınıza bir şey gelmesi durumunda şaşırmamalısınız“. Bir diğer nokta da Jeffrey Rosen‘in “Internet yapısına, Google, Facebook ve Yahoo gibi sitelere zarar vereceği ve en önemlisi de Internet’te konuşma özgürlüğünün bundan olumsuz etkileneceği” görüşü. Bunlar haklı bir cevap, fakat bir kişinin yaptığı bir salaklıktan dolayı bir verinin saatli bomba gibi, kontrolü dışında ve ulaşamayacağı bir bulut üzerinde durmaya devam etmesi de doğru değildir. Bu işin bir orta yolu olmalı. Peki bu orta yol nasıl olacak? Benim şahsi görüşüm, unutulma hakkı açık ve net olarak ne çok aşırı detaylı ne de çok basit bir şekilde tanımlanmalı, konuşma özgürlüğü, bilgi alma özgürlüğü, ifade özgürlüğü ve Internet özgürlüğü gibi temel hak ve özgürlüklere zarar verici olmamalı. Kanun uygulayıcının veya Internet sitelerinin (bu tartışılabilir. çünkü bir Internet sitesi jüri görevi de görmeli mi yoksa sadece teknik hizmet mi vermeli?) bu yasaya baktıklarında herhangi bir olay için uygulanabilir veya reddedilebilir olmasına karar verebilmeli. Bu şunu sağlar:

  • Konuşma özgürlüğü, bilgi alma özgürlüğü, ifade özgürlüğü ve Internet özgürlüğü gibi temel hak ve özgürlüklerin bundan olumsuz etkilenmesinin önüne geçecektir.
  • Yasanın açık, anlaşılır ve uygulanır olması yasayı eğip bükmek isteyen, bunu kendi çıkarları için kullanmak isteyen muktedirlerin önüne geçecektir.
  • Sosyal medyanın, Internet sitelerinin ve Internet yapısının bundan en az zararla etkilenmeleri sağlanmış olacaktır.
  • Her “ben bir salaklık yaptım bunu silin” diyenin isteğiyle kafasına göre verinin silinmesi engellenmiş olacak (yukarıda bahsettiğim temel hak ve özgürlükler doğrultusunda).

Bir sosyal medya sitesine (ya da herhangi bir siteye) üye oldunuz, bir şeyler paylaştınız, daha sonra aldığınız hizmetten vazgeçmek istediniz ve hesabınızı silmeye karar verdiniz. Hesabınıza ait veriler ne olacak? Bu veriler üçüncü şahıslara kişinin izni alınmadan satılıyor mu ya da  satıldı mı? Nasıl oluyor da hiç tanımadığınız birileri sizi arayıp bir ürün satmaya çalışıyor? Veya nasıl oluyor da hesabını sildiğiniz bir Internet sitesi sizlere düzenli olarak e-posta göndermeye devam ediyor? Tacizkar pazarlama demiştim kısaca bir anlatayım. Bir bara gidiyorsunuz ve biri kabul edene kadar önünüze gelene evlenme teklif ediyorsunuz. Kimse kabul etmezse de suçu kendinizde bulmuyor o barı size önerene kızıyorsunuz. Sizleri arayıp ürün satmaya çalışan insanlar da ürünü satana kadar birilerini aramaya ya da hesabını sildiğiniz Internet sitesi sizi geri kazanana kadar bilgilendirme, gelişme, haber vs. adı altında e-posta göndermeye devam ediyor. Kısa bir tanımdan sonra verinin unutulması ile ilgili olarak benim şahsi görüşüm, eğer bir kullanıcı hesabını silmişse, o hesap silinmiştir. Bitti! Bir banka hesabının, bir sosyal medya hesabının, bir cep telefonu operatörü hesabının ya da bir e-posta hesabının silinmesi arasında bana göre fark yok. Şirketler, belirli bir süreliğine (mesela 6 ay, en fazla 1 sene, daha fazlasına karşıyım!) verileri saklayabilirler ama bunu sadece ve sadece şirket içi performans ölçümü ve yeni teknolojilerin geliştirilmesi için “anonim” olarak kullanabilirler. Ayrıca, bu verilerin kesinlikle ve kesinlikle belirli bir süre sonra silinecek diyerek 3. şahıslarla paylaşılması veya satılması (ben buna da karşıyım ama söylemekte yarar var; eğer kullanıcı aksini belirtmemişse ve izinli pazarlama için onayı varsa verebilirler) söz konusu dahi olamaz. Bu konuda gelecek en temel itirazlardan bazıları şunlar; “eğer biz hesap silindikten sonra o hesaba ait tüm verileri (mesela banka için hesap numarası) de silersek ilerde o hesap numarası boşta kalacağı için başkasına verilebilir, (internet için) kullanıcı adı (ya da banka için hesap numarası) başkası tarafından alınıp kötüye kullanılabilir (inceleme yapılırsa eski kullanıcı bundan dolaylı olarak etkilenebilir) ve kullanıcı tekrar geri dönmek isterse bu onu olumsuz (kullanıcı adım alınmış, hesap numaram başkasının vs.) etkileyebilir…“. Eğer böyle sıkıntıların doğabileceğinden bahsedilebiliyorsa konuyla ilgili en temel çözüm; hesap silinmişse ve kullanıcı, verinin unutulma süresi içinde dönmemişse hesap numarasını, kullanıcı adını vs. tamamen bloklansın ve bir daha kullanılamasın. Bu kadar basit. “O zaman bir sürü ölü hesap, kullanıcı adı vs olur.” safsatasını geçelim. Çünkü ciddiye almayacağım.

Son olarak Almanya’dan bir örnek verelim. İki kişi birlikte ünlü birini öldürüyor ve mahkemeye çıkartılıp yargılandıktan sonra suçlu bulunup hapse gönderiliyor. Ceza süreleri tamamlanıp hapisten çıktıktan sonra Wikipedia‘da öldürdükleri ünlü kişinin sayfasına girdiklerinde “tarafından öldürüldü” şeklinde kendi isimlerini de görüyorlar. Wikipedia’yı “Biz hapiste cezamızı çektik, topluma olan borcumuzu ödedik ve bu kazanın unutulmasını istiyoruz.” diyerek isimlerinin kaldırılması için dava ediyorlar. Peki, Tarih, unutulma hakkı için bu iki kişiyi silebilir mi? Geçmişe bu nedenle müdahale edilmeli mi? Orwell’den gelsin; “geçmişi kontrol eden geleceği kontrol eder.” Tüm bunlar bir hikaye değil, yaşanmış ve yaşanmakta olan durumlar.

Sonuçta, unutulma hakkı çok detaylı ve detaylandıkça da zorlaşan bir yapıya sahip. Bunun üzerine ne kadar çok çalışma yapılırsa bizim için o kadar iyi olacak, o kadar çok farklı fikir üretilecek ve değerlendirilecek ve bu çalışmalar herkes için yararlı olacaktır.

Tagged , , , , , , , , , , , , , , , , , , , , ,

Büyük Birader’le Mücadele Etmek

Çocukluğumda yaptığım yaramazlıklar için en çok duyduğum öğüt, “karda yürü ama izini belli etme” idi. Her anımızın gözetlendiği, bir şekilde kaydı tutulduğu ya da bir şekilde bize ait özel dediğimiz verilerin okunduğu şu günlerde Büyük Birader’le mücadeleye nereden başlamalı, bir giriş olarak anlatmak istedim.

  • Biraz paranoya iyidir

Anonimlikte, bence, motivasyon çok önemli. Her adımınızı gözetleyen Büyük Birader’e karşı zihnen de bir mücadele vermektesiniz ve bu konuda motive, sizlere çok büyük bir destek kaynağı olacaktır. Motivasyonun yanına biraz da paranoya eklersek, bence harika olur. Paranoya’nın kısa bir tanımına bakalım:

Paranoya, bireyin herhangi bir olay karşısında olayın oluşumundan farklı olarak gelişebileceğini kendi içerisinde canlandırma yolu ile öne sürdüğü ve sınırsız sayıda çeşitlendirebileceği hayal ürünlerinin tümüdür.

Sizlere yazılarımda devamlı “tehlike modeli“‘nden bahsetmekteyim. Tehlike modeli oluşturmak (kişisel görüşüm) biraz da paranoyaya dayanıyor (ayrıca hesapları ayrıbilmekte örnek bir model var). Çünkü her olay karşısında, bu olayın gelişimi için farklı canlandırmalar oluşturuyor ve buna karşı güvenliğinizi sağlamak üzerine yeni yöntemler geliştiriyorsunuz. Elbette bunu hastalık boyutuna taşımak kişise zarar verecektir. Fakat, paranoyanın model geliştirmedeki etkisini gözardı etmemek gerekli. Anonimlikle ilgili ısrarla söylediğim şeylerden birisi de; “kimsiniz ve kimden saklanıyorsunuz, neden ve ne tür bir risk almayı hedefliyorsunuz?”. Yani, anonimlik düzeyiniz hesaplanabilir, biraz paranoyak olun, iyi bir model oluşturun ve kendinizi koruyun!

  • Kriptografiye önem vermek

Türkiye’deki üniversitelerde kriptografi ile ilgili ne kadar eğitim veriliyor ya da ne kadar insan bu konuda bilgilendiriliyor, bunun üzerine pek bilgi sahibi değilim. Kriptografi çok çok önemli bir konu ve üzerine ciddi olarak düşülmesi, ayrıca bu konuda yerel literatüre çok şey katılması gerekli olduğu düşünüyorum. Kısa bir tanım yapacak olursak:

Kriptografi, gizlilik, kimlik denetimi, bütünlük gibi bilgi güvenliği kavramlarını sağlamak için çalışan matematiksel yöntemler bütünüdür. Bu yöntemler, bir bilginin iletimi esnasında karşılaşılabilecek aktif ya da pasif ataklardan bilgiyi -dolayısıyla bilgi ile beraber bilginin göndericisi ve alıcısını da- koruma amacı güderler.

Sizin için önemli olan tüm verileri şifrelemelisiniz. Bunun daha başka bir açıklaması yok. Eğer mümkünse tüm verilerinizi şifreleyin. Bu, sizi güvende tutmanın temel ve başlıca yollarından biridir. Bu konuda ne tür araçlar kullanabilirsiniz, kısaca bir göz atacak olursak:

* E-postalarınız için GnuPG kullanabilirsiniz.
* Dosyalar için ccrypt ya da encfs kullanabilirsiniz.
* Disk için TrueCrypt ya da dm-crypt + LUKS kullanabilirsiniz.
* Anlık mesajlaşmalarda OTR eklentisini kullanabilirsiniz.
* Ağ için SSH kullanabilirsiniz.

Örnekler elbette çoğaltılabilir. Burada iş sadece şifrelemekle bitmiyor. Temel bir örnek ve tavsiye olarak, kullanacağınız şifre ya da şifreler sizinle ilgili ya da size ait herhangi bir bilgi içermemeli. Güvenli bir şifrenin yolu akılda kalması (inanın kalıyor) zor da olsa, rastgele şifrelerden geçiyor. Bu, sözlük saldırılarında ya da brute force saldırılarında sizlere ciddi bir avantaj sağlamakta. Dikkati çekmek istediğim bir diğer nokta ise kanun uygulayıcılarının yoktan delil var etme ya da herhangi bir şeyi delil olarak kullanma konusundaki tutumları. Bu nedenle, şifrelediğiniz herhangi bir şey yazılı/basılı olarak elinizde bulunmamalı. Elinizdeki basılı dökümanlarla işiniz bittiyse, yakın gitsin. Yedek alacaksanız, aldığınız bu önemli ve şifreleri verilerin yedeğini ailenize, eşinize, dostunuza ait bilgisayarlarda saklamamanız tavsiyedir.

  • Hesapları ayırabilmek

Hesapları ayırmaktan kastettiğim, anonim kimliğiniz ile gerçek kimliğinizi içeren hesapların ayrımını yapmak çok önemli. Anonim hesabınız üzerinden gerçek hesaplarınıza bir bağlantı kurulmamalı. Eğer bu bağlantı kurulursa, artık anonim de değilsinizdir. Anonimlik, tanımı gereği içinde anonim özneleri aşmaya çalışan saldırganları da içerir. Yani, eğer bir anonimlik varsa bu anonimliği ortadan kaldırabilmek için çalışanlar da olacaktır. Bu, kanun uygulayıcı olur, gizli servisler olur, başka bir anonim özne olur. Önemli olan bir saldırgan varlığını asla unutmamak.

Bir diğer nokta da anonim hesabınız üzerinden gerçekte tanıdığınız ve sizin bu kimliğinizi bilen insanlarla pek iletişime geçmemeniz (özellikle telefonla) gerekliliği. Bu konuda kararınız net olmalı ya da en azından ne kadar bilgiye sahip ya da ne zaman bilgiye sahip olacaklarını iyi kararlaştırmak gerekli. Bu, bence çeşitli riskleri de beraberinde getiriyor. Saldırgan ne kadar dar bir çevre oluşturabilirse, sizin kimliğinizi tespit etmesi de o kadar çabuk olabilir. Şimdi bunu basitçe örneklendirelim (şema eklendi):

model

Ben anonim kimliği “X“, gerçek kimliği “A” olan bir bireyim. “X” kimliğini gerçekte kim olduğunu (A’yı) bilen “W“, “Y” ve “Z” gerçek kimlikleri var. Ayrıca, “X” kimliğini aşıp “A” kimliğine ulaşmak isteyen saldırgan “S” var. Eğer, saldırgan “S“, benim “W“, “Y” veya “Z” gerçek kimlikleri ile iletişimde olduğumu bir şekilde farkederse saldırı kapsamını daha karmaşık ve kapsamlı bir halden daha spesifik ve daha dar bir hale getirir. Gerekirse, “W“, “Y” ya da “Z“‘ye doğrudan veya dolaylı olarak baskı/saldırı düzenleyerek benim gerçek kimliğime ulaşabilir. Bu saldırı, örneğin, bir man-in-the-middle saldırısı olabilir. Siz “X” anonim kimliği üzerinden “W” gerçek kimliği ile iletişime geçerken, saldırgan araya girip mesaj içerikleri ile oynayarak sizin “A” gerçek kimliğinizi elde edebilir. Bu bahsettiğim örnek, ayrıca bir tehlike modelidir. Bu yüzden ısrarla diyorum ki, bir tehlike modelinizin olması şart!

  • Kayıtlar

Özellikle /tmp, /var/log ve kullanıcı dizininde (/home/kullanıcı) kalan geçmiş ya da yedek dosyaları sizin için bir risk teşkil etmekte. Kullandığınız program, araç vs. her ne ise bunun nerede kayıt tuttuğunu bilmeniz sizin faydanıza olacaktır. Bir diğer noktada terminal üzerinde gerçekleştirdiğiniz şeylerin (kabuktan kabuğa değişmekte) de ayrı ayrı kaydı tutulmakta. Örneğin:

bash: .bash_history
zsh: .zsh_history
vim: .viminfo
.
.

Yedekler için:
*.swp
*.bak
*~
.
.

Bu sizin kullandığınız ortama göre değişim göstereceği için temel olarak sıralayabileceğim belli başlı şeyleri örnek olarak gösterdim. Sistemden çıkış yaparken bunları silerseniz ya da en azından nelerin kaydını tuttuklarını incelerseniz sizin yararınıza olur. Uygulama olarak Bleachbit, temizleme konusunda tercih edilebilir (Emre’ye teşekkürler.).

  • Karda yürü ama izini belli etme

Ceza hukukunun ciddi bir eleştirisini hukukçu olmadığım için yapamam. Fakat, kanun uygulayıcılarının hukuk dışı deliller elde ederek bireyi hapse atıp, daha sonra mahkemede tutuklu olarak yargılamaya başlaması ne vahim bir durumda olduğunun göstergesidir. Sonuca gelirsek, iyi bir motivasyon, biraz paranoya, önemli verileri şifreleyip anonim kimliğimizle gerçek kimliğimizin ayrımı tam olarak yapabilmek, kendimize uygun tehlike modelleri geliştirip bunlara karşı savunma yöntemleri hazırlamak, ve son olarak karda yürüyüp izimizi belli etmemek! Ayrıca, bu yöntemler sadece burada yazanlarla sınırlı değildir. Herkesin ayrı bir modeli olacak ve yöntemler de ona göre şekillenecektir.

Büyük Birader’i artık her zamankinden daha soğuk bir kış bekliyor.

Tagged , , , , , , , , , , , , , , , , , , , , , , , , ,

Kızlı Erkekli Gizlilik Hakkı

Amacım, gizlilik hakkını hukuki boyutta tartışmaktan ziyade gizlilik hakkının kısaca ne olduğu, Türkiye’de yaşanan son kızlı-erkekli saçmalığı üzerine bu konularda daha önceden alınmış kararların ne olduğu ile ilişkilendirip bir inceleme yapmaktır.

Tayyip Erdoğan, Kızılcahamam’daki parti kampında yaptığı konuşmadaDenizli ilinde şahit olduk. Yurtların yetersizliği beraberinde çeşitli sıkıntılar doğuruyor. Üniversite öğrencisi genç kız, erkek öğrenci ile aynı evde kalıyor. Bunun denetimi yok. Muhafazakar Demokrat yapımıza bu ters. Vali Bey’e bunun talimatını verdik. Bunun bir şekilde denetimi yapılacak.” dedi. Bu söylem çok uzun bir süre tartışılacak elbette, kimi “gündem yaratmak için böyle diyor” diyebilir kimi “ahlak polisi hayaldi gerçek oluyor” diyebilir, birçok farklı bakış açısından incelenebilir. Ben bunu gizlilik hakkı üzerinden kısaca bir değerlendireceğim.

Politik, sosyal ve ekonomik değişiklikler, yeni hakların tanınmasına yol açmakta ve bunlar toplumun ihtiyaçları doğrultusunda gelişmektedir. Bunlardan bir tanesi, özellikle son dönemde giderek önemi artan ya da ağırlığı artan gizlilik hakkıdır. Gizlilik hakkı, öncelikle bir insan hakkıdır. Bu, bizi, devletlerin ve gizli oluşumların ya da partilerin yasal veya yasal olmayan yollardan tehdit etmelerini kısıtlar veya engeller. Bir diğer tanıma bakacak olursak, kişinin özel alanına rızası alınmadan girmemek demektir. Bu tanımı en iyi açıklayan cümle de 1890 yılında yazılmış olan The Right to Privacy makalesinde geçiyor. Warren ve Brandeis, buna “yalnız kalma hakkı” demektedir. 2005 yılında yayınlanan Privacy in the Digital Environment kitabından (sayfa 7) gizlilik hakkı üzerine (sadece dijital ortamlar için geçerli değil tabi ki) bir alıntı yapayım;

Gizlilik hakkı, bizi biz yapan şeylerin tümünü içeren, örneğin bedenimiz, evimiz, mülkiyetimiz, düşüncelerimiz, duygularımız, gizlerimiz ve kimliğimiz gibi, bizi çevreleyen bir alana sahip olma hakkıdır. Gizlilik hakkı, bizlere, bu alandaki parçalara kimlerin erişip erişemeyeceğini, ve açığa çıkarmak istediğimiz parçaların kapsamını, niyetini ve zamanlamasını kontrol etme yeteneği verir.

Gizliliğin korunması üzerine kronolojik alıntınlar yapmadan önce benim de benimsediğim (Privacy in the Digital Environment, sayfa 12-14) şu şeyleri netleştirelim;

  1. Gizlilik hakkı kendimizi özgürce ifade etmek için bizleri cesaretlendirir.
  2. Gizlilik hakkı bizim için yapay bir ada gibidir. Bu ada üzerinde hem fiziksel hem de sanal bir alana sahip oluruz ve bu alanda aşağılanacağım hissi olmadan hatalar yapabilir, birileri beni izliyor korkusu ve toplum baskısı olmadan deneyim kazanabiliriz.
  3. Gizlilik olmadan neyin iyi veya neyin kötü olduğuna dair özgürce düşünemez ve karar veremeyiz.
  4. Gizlilik, izlendiğimiz zaman daha farklı davranmamızın (oto-kontrol, oto-sansür) önüne geçer.
  5. Gizlilik hakkı yarattığı özel alan ile insanların fiziksel ve akıl sağlığını korumasına yardımcı olur.
  6. Konuşmalarımız dinleniyorsa bu bizi daha resmi olmaya iter ve dürüstlüğümüzden ödün verebiliriz. Gizlilik, daha etkili ve daha dürüst (bu tartışılabilir) konuşmamızı sağlar.
  7. Bir göz tarafından devamlı gözetlenirsek bireyselliğimizi kaybediriz (mobese’ler ne güzel örnek buna). Fikirlerimiz, düşüncelerimiz bu gözün yarattığı baskı tarafından şekillendirilir ve hiçbir eşsizliği kalmaz.
  8. Gizlilik hakkıyla ilişkili olarak konuşma özgürlüğümüz kısıtlanırsa bu ayrıca araştırma özgürlüğünün de kıstılanmasını tetikler.
  9. Konuşma özgürlüğünün kısıtlanması demek açık bilgi akışının da bundan olumsız etkilenmesi demektir. Açık bilgi akışı varolan bilgilerden yeni bilgilerin yaratılmasını, paylaşılmasını ve geliştirilmesini sağlar. Eğer bu açık bilgi akışı bundan etkileniyor/engelleniyor ise bu yeni bilgilerin araştırılması, okunması ve kullanılması da etkilenmiş/engellenmiş olur.

Yukarıda saydıklarım elbette çoğaltılabilir. Gizliliğin korunması üzerine alıntılara geçecek olursak (felix‘e yönlendirme için teşekkürler.);

1. 1948 yılı İnsan Hakları üzerine Evrensel Deklarasyonu, bölüm 12;

Hiçkimsenin gizliliğine, özel ve aile yaşamına, konutuna veya haberleşmesine keyfi veya hukuka aykırı olarak müdahale edilemez; onuru veya itibarı hukuka aykırı saldırılara maruz bırakılamaz.Herkes bu tarz müdahale ya da saldırılar karşısında hukuk tarafından korunma hakkına sahiptir.

2. 1950 yılı İnsan Hakları üzerine Avrupa Kongresi (AİHS), bölüm 8;

“1. Herkes özel hayatına, aile hayatına, konutuna ve haberleşmesine saygı gösterilmesi hakkına sahiptir.
“2. Bu hakkın kullanılmasına bir kamu otoritesinin müdahalesi, ancak ulusal güvenlik, kamu emniyeti, ülkenin ekonomik refahı, dirlik ve düzenin korunması, suç işlenmesinin önlenmesi, sağlığın veya ahlakın veya başkalarının hak ve özgürlüklerinin korunması için, demokratik bir toplumda zorunlu olan ölçüde ve yasayla öngörülmüş olmak koşuluyla söz konusu olabilir.

3. 1966 yılı Kişisel ve Siyasal Haklar üzerine Birleşmiş Milletler Kongresi, kısım 17;

“1. Hiçkimsenin özel ve aile yaşamına, konutuna veya haberleşmesine keyfi veya hukuka aykırı olarak müdahale edilemez; onuru veya itibarı hukuka aykırı saldırılara maruz bırakılamaz.
“2. Herkes, bu tarz müdahale ve saldılara karşı hukuk tarafından korunma hakkına sahiptir.

4. 2000 yılı Temel İnsan Hakları üzerine Avrupa Sözleşmesi, bölüm 7;

Herkes özel hayatına, aile hayatına, konutuna ve haberleşmesine saygı gösterilmesi hakkına sahiptir.

5. 2007 yılı Avrupa Birliği’nin Temel Haklar üzerine sözleşmesi, bölüm 7;

Herkes özel hayatına, aile hayatına, konutuna ve haberleşmesine saygı gösterilmesi hakkına sahiptir.

Israrla vurgulanan şey, her birey, gizliliği için, özel hayatı için, aile hayatı için, evi için, iletişim özgürlüğü için (telefon, e-posta vs.) saygı görme hakkına sahiptir ve bu hak (ayrıca kişisel verilerin kötüye kullanılmaması için) bir yasa ile korunmalıdır. Bunu, ne tür bir muktedir olursa olsun, kendi keyfi yaptırımları için eğip bükmesi, kafasına göre müdahale etmesi ya da ettirmesi, karışması ya da gözetlemesi söz konusu olamaz. Muktedir dedim ama buna “ihbarcı komşular” da dahildir. Her ne kadar bana göre böyle bir demokratlık olmasa da Tayyip Erdoğan’ın muhafazakar demokrat yapısı, kendi şahsi ve parti yapısıdır. Bunun üzerinden toplumu hukuk dışı olarak denetlemesi ya da denetletmenin, ihbar ettirmenin yolu ne insan haklarıyla bağdaşır ve bir sonucu olarak ne de gizlilik haklarıyla. Hukuk dışı deniliyor diye yarın bir kanun çıkartılıp (özellikle ulusal güvenlik çıkarlarını bahane ederek, Muammer Güler’in bu konuda bir çıkışı oldu) bu tarz bir denetlemenin ve ihbarın yolu hukuki olarak açılırsa, sanmayın ki bu insan hakları ihlali değildir. Türkiye’nin yukarıdaki alıntıların altında (1, 2, 3) imzası vardır.

Benim şahsi görüşüm, burada direkt gizlilik haklarına da bir saldırı vardır. Amaç kızlı-erkekli evlerden çok yukarıda saydığım gizlilik haklarının sağladığı faydaları engellemeye yönelik olduğunu düşünüyorum. Farklı açılardan değerlendirenler olacaktır, farklı görüşler yazılıp çizilecektir. Yazıya yeni şeyler eklemekten çekinmeyin. Sağlam miğdeli günler dileğiyle.

Tagged , , , , , , , , , , , , , , , , , , ,