E-postalar üzerinden de bu sorular devamlı sorulduğu için kısa bir rehber hazırladım. Umarım işinizi görür.
İlk olarak belirtmeliyim ki bu rehberin %100 anonimlik veya güvenlik sağladığı yanılgısına kapılmak veya burada yazan tarayıcı ve eklentileri kullanarak gizliliğin sağlandığı, anonim kalındığı ve güvenli olunduğu kullanıcıyı büyük riskler içine çekebilir. Bu kavramların içi iyi bir şekilde doldurulmadığı sürece, bir tarayıcıdan veya eklentiden bir şeyler beklemek hata olur. Buraya kadar her şey anlaşıldıysa bana sıkça sorulan sorulara geçelim.
Hangi tarayıcıları kullanıyorum?
Neden Firefox Aurora ve Tor Browser kullanıyorum?
Öncelikle bu iki tarayıcıyı şu şekilde ayıralım: Firefox Aurora benim anonimliğe ihtiyaç duymadan, güdenlik işlerimi yüksek bir güvenlik sağlayarak gerçekleştirdiğim, eklenti desteği yüksek, stabil ve hızlı bir tarayıcıdır. Diğer yandan Tor Browser, anonim kalmamı sağlayan ve bunu en iyi şekilde yapan, benimle ilgili, gerçek kimliğime veya trafiğime ait en düşük bilgiyi sızdıran (İSS trafiğinizi şifreli bile görse %100 anonimlik diye bir şey yoktur!) bir tarayıcı olup, anonimliğe ihtiyaç duyduğum zamanlarda kullandığım diğer tarayıcıdır. İki tarayıcının kullanım amaçlarını ayırdıktan sonra diyeceğim bir diğer şey de, evet Firefox Aurora veya Google Chrome veya Opera veya başka bir tarayıcı da Tor ağı üzerinden Internete çıkabilir. Fakat, anonimlik açısından bakarsak Firefox’un Tor ağı üzerinden Internete çıkması sizinle ilgili belirleyici bir bilgi sızdırır. Kaldı ki çeşitli ayarları (useragent vs) değiştirseniz dahi sizinle ilgili bilgi toplayan servisler Tor Browser’dan farklı bir tarayıcı kullandığınızı parmak izleri (fingerprinting) üzerinden görebilir.
Hangi eklentileri kullanıyorum?
Tor Browser; HTTPS-Everywhere, Tor Button ve NoScript eklentileri ile birlikte gelmektedir. Bunun dışında başka bir eklenti kurmaya gerek yoktur. Diğer yandan, kurulacak eklentilerin anonimlik derecesini etkileme olasılığı da mevcuttur. Tor Browser’ı olduğu haliyle korumak en iyisidir.
Firefox Aurora için kullandığım eklentileri ve özelliklerini sıralayarak ilerleyeyim.
Adblock Edge, Adblock Plus’ın forklanmış halidir. Kendi tanımında da yazdığı üzere farkı; Plus –muhtemelen– maddi kazanç sağlamak için bazı reklamlara (acceptable ads) izin vermektedir, Edge’de ise izin yoktur.
Tarayıcı üzerinden şifreli ve gizli mesajlaşmak ve sohbet (OTR) için –şimdilik– en iyi eklenti. Ayrıca, grup özelliğine sahip olduğu için birden fazla kişi ile bir grupta toplu yazışma yapabilirsiniz. Bilinmesi gereken en temel şey, Cryptocat kullanırken IP adresiniz gizlenmiyor ve bu yüzden takip edilebilme olasılığınız vardır. Tor ağı üzerinden Cryptocat kullanarak bunu da aşabilirsiniz. Bunun için custom server’dan Tor Hidden Service’i seçebilirsiniz.
Eğer tarayıcı üzerinde bir proxy yönetimi ihtiyacı duyuyorsam bunun için kullandığım tek eklenti. Proxy yönetimi ile kastettiğim gerektiğinde örneğin Tor, i2p gibi proxyler veya sahip olduğum shell hesabı ile ssh tünel için kullanmaktır.
Birçok website https yapısına sahip olsa bile ziyaretçileri http üzerinden karşılamaktadır. Bu eklenti ise güvenli olmayan http bağlantısını –eğer website sahipse– https olarak yeniden yazar ve kullanıcıları şifreli bir bağlantı ile karşılamaya zorlar. Olmazsa olmazdır. Bunun örneğini çok yakınlarda bir Youtube videosuna yapılan URL tabanlı engeli aşmada ne kadar işe yaradığını görmüştük. Fakat tek sıkıntı, hala ve ısrarlar birçok website https kullanmamakta ve SSL sertifikası için para ödememektedir. Ayrıca, tavsiye olarak SSL Oberservation özelliğini aktif edin. Bu sizlere eğer bir man-in-the-middle saldırısı varsa bilgi verecek ve eklentinin daha iyi geliştirilmesi için EFF‘ye anonim rapor gönderecektir.
Tarayıcı üzerinden OpenPGP şifreli e-posta göndermek için -bence- en iyi eklenti. Grafik arayüzü, hazır gelen servisler (Gmail, Yahoo vs.), anahtar yönetimi ile son kullanıcıya yönelik ve bu işi de en basit şekilde yerine getiriyor. Artık günümüzde şifreli e-posta göndermek bir zorunluluk olduğu için denenmesinde fayda var.
Websiteleri üzerinde gelen JavaScript, Java, Flash, Silverlight ve diğer çalıştırılabilir eklentilerin kontrolünü ve iznini kullanıcıya bırakarak bu eklentilerden gelebilecek veri toplama ve saldırıları engeller. Hatırlarsanız, Freedom Hosting baskını sonrası zararlı bir JavaScript bulunduğundan Tor Browser’ın bundan etkilendiği –kısa süre içinde bu durum düzeltildi– sözedilmişti.
Bunu kısaca şöyle anlatayım; bir websiteye herhangi bir makaleyi okumak için girdiniz, bu site üzerinde sunulan içerik olarak bir Youtube videosu da var, bu videoyu izlemeseniz dahi tarayıcınız Youtube’dan gelen isteği yanıtladı, ayrıca bir de Analytics mevcut. Böylelikle Google, Analytics ve Youtube ile sizin girdiğiniz siteyi ve okumak istediğiniz makaleyi, bu site üzerinde ne kadar vakit harcadığınızı öğrenerek sizin profilinizi çıkarmaktadır. RequestPolicy ise bu websitelerden gelen istekleri otomatik olarak engelliyor. Yönetim işini kullanıcıya bırakıyor. Diğer yandan XSS veya CSRF gibi saldırıları da bu şekilde engellemektedir. NoScript ile birlikte müthiş bir ikili oluşturur.
Uzun zamandır Cookieless Cookies, yani çerezsiz çerezler (tercüme benim) nedir, bir sayfayı çerezler ve JavaScript kapalı, VPN üzerinden ziyaret ettiğiniz zaman bile bu yöntemle takip edilebildiğinizi anlatmak istiyordum. Nasip bu yazıya oldu. Kısaca Etag (entity tag) kavramını açıklayayım. Etag, http’nin parçası olan bir protokol olup, bir URL’de gelen içeriklerin (gif, jpeg, js vs.) değişip değişmediğini doğrular ve her içeriğe özgü bir etag (checksum, sağlama toplamı) atar. Eğer URL’deki içerik değişmişse yeni bir etag atanır. Bir örnek vereyim; bir sayfaya girdiniz, sayfada bir jpeg var. Bu jpeg’in kendine ait bir etag’ı mevcut. Tarayıcı jpeg’i açtığı ve etag’ı öğrendiği zaman sunucuya doğrulama için bilgi gönderir. Sunucu jpeg’de bir değişklik olup olmadığını kontrol eder. Eğer yoksa jpeg’i yeniden almaya gerek kalmaz ve böylece gereksiz veri akışından kurtulunur. Ziyaretçilerin takibi ise bu yöntemle olmaktadır. Çünkü sunucu her tarayıcıya has bir etag verecek ve veritabanından da bunu kontrol edecektir. Bunu aşmada Self-Destructing Cookies’in yanısıra Secret Agent eklentisi de işe yaramaktadır. Tarayıcının useragent’ını düzenli olarak değiştirerek devamlı farklı etag’ların oluşturulmasını sağlar ve bunlar üzerinden gerçekleştirilecek takibi aşmaya çalışır. Whitelist’e sahip, böylece güvendiğiniz websitelerini buraya ekleyebilir ve sorunsuz kullanabilirsiniz.
Otomatik olarak kullanılmayan çerezleri temizleyen bir eklenti. Ayrıca bir whitelist’e de sahip. Buraya güvendiğiniz websiteleri girerek diğer sitelerden gelen çerezlerin belirli bir zaman aralığında otomatik ve kalıcı olarak silinmesini sağlayabilirsiniz. Böylelikle farkında olmadan çerezler tarafından gözetlenmenin de önüne geçersiniz.
Bir imajın sahte olup olmadığını anlamanın en iyi yolu bu eklentiden geçiyor. Örneğin Twitter’da paylaşılan bir fotoğrafın o ana ait olup olmadığını merak ettiniz. Bu eklenti ile fotoğrafa sağ tıklayarak TinEye’ın devasa veritabanında aratabilir, daha önce kullanılmışsa hangi sitelerde ve ne zaman kullanıldığını görebilirsiniz. Dezenformasyona karşı ilaç gibi gelecektir.
WebPG’de tıpkı Mailvelope gibi GnuPG/PGP şifreli e-postalar göndermenizi sağlayan gayet kullanışlı bir eklenti. Bazı web arayüzleri ile sıkıntıları giderilebilmiş değil ama basit bir kullanıma sahip. Sisteminizde ekli olan size ve arkadaşlarınıza sahip tüm anahtarları otomatik olarak alıyor. Denemeye kesinlikle değer.
Vim kullanmaktan büyük keyif aldığım bir editör. Kısayolları çok sevdiğim için ve bunları da bir tarayıcı üzerinde fareye ihtiyaç duymadan rahat bir şekilde kullanabilmek için en iyi eklenti Vimperator. Gerçi, VimFx ve Vimium ve Pentadactyl gibi uygulamalar da mevcut. Hepsi de aynı işi yapıyor.
Tüm bunlar gizliliğim, anonimliğim veya güvenliğim için yeterli midir?
Hayır! Öncelikle gizlilik, anonimlik ve güvenlik gibi kavramlar doğru anlaşılmalıdır. Anlaşılmadığı takdirde kullandığınız araçlar elinizde bir çöpe dönüşür. Bu yüzden tekrar ve tekrar tavsiye olarak gizlilik, anonimlik gibi kavramların içini iyi doldurmak ve bu konularda bolca araştırma yapmak gerekiyor.
Great post! Have nice day ! :) baxfk
Selam ben android tableti hola ile bağlayıp üstüne tor ağını kullanıyorum sanırım daha güvenli bir sirede sadece hola ile test yaptığımda ttnet i görmüştüm ikisini birden kullandığımda 6 ip buldu ama ttnet yoktu gerçi avea kullanıyorum neyse siz ne dersiniz bu konuya yukardaki arkadaşta vpn1 vpn2 demişti sanırım buda bölebişi hola ve orbot beraber
Merhaba Kus,
Firefox Aurora artık kaldırıldı ya da Firefox Developer Edition ile değiştirildi.
Hala bu tarayıcıyı mı kullanıyorsunuz yoksa başka bir tarayıcı mı kullanıyorsunuz merak ettim. Çünkü sizin konfigürasyonunuzu kullanmak istiyorum ?
Teşekkürler
Selamlar,
3 aydir sadece Firefox kullaniyorum. Eklentilerde ise herhangi bir degisiklik yapmadim.
Merhaba,
Size sorum olucak güvenlik açısından java scripti devre dışı bırakmalı mıyım sizce? Ve ikincisi request policy tor browserda yok. Acaba kullanmasak sıkıntı olur mu?
Selam Kus,
Request policy ve noscript eklentisinin yerine başka bişey yok mu ya? Çok yoruyor beni daha ne işe yarıyor onuda tam bilmiyorum aslında?
Merhaba,
eff.org sitesi “Privacy Badger” adında bir eklenti çıkarttı. Boş zamanınızda bu eklentiyi incelermisiniz?
Selamlar,
Bu eklentiye baktım, hatta ilk duyurulduğunda kurmuştum. Açıkçası söylediklerine göre kullancıyı takip eden reklamları ve gizli izleyicileri engelliyor. Buna benzer bir işi Adblock Edge’in Privacy filtresi yapıyor mu dersen; EFF bu konuda yetersiz olduğunu ve rahat etmediklerini, kendi oluşturdukları algoritma ve ürettikleri kod tabanından böyle bir şey yaptıklarını söylüyor. Tavsiye eder misin dersen; evet ederim.
Merhabalar Kus,
Firefoxa tema ya da başka görselliği etkileyen eklenti kullanmak sakıncalı mı sizce? Yani güvenlik açığı oluşturur mu?
Saygılar.
Selamlar Onur,
Sadece görsellik değil, tüm eklentiler beraberinde riskler de getirebilir. Fakat, topluluk ve yaptıkları yorumlar, eklentilerin açık kaynak oluşları vb. şeyler eklentinin test edilip daha hızlı onaylanmasını, kodun ayrıntılı incelenmesini sağlamakta. Pek zannetmiyorum. Sakıncalı bir durum da göremiyorum.
Ellerine sağlık, birkaçın kurdum ve kontrol ediyorum. Bundan birkaç yıl önce sadece dns değiştirerek tamamen anonim olduğumu sanırdım, bu işlerin detaylarını gördükçe insan hayret ediyor. Hiçbir şekilde yasadışı bir şey yapmasanız dahi -ki anonimliğin yasadışı olmakla ilgisi yok benim için- anonim olmadığınız sürece veya izlendiğiniz sürece kesinlikle kötü hissediyorsunuz. Kişiler hakkındaki bilgilerin kötüye kullanıp, onları hapse tıkmak için suç unsuruna dönüştürüldüğü, örneklerinin giderek arttığı bu ülkede en iyisi anonim kalmak için savaş vermek (!)
Yazılarınız çok güzel, reklam eklerseniz gönüllü olarak tıklarız :) Bitcoin bağış aldığınızı da görünce aklıma geldi;
BitCoin hakkında bir yazı yazıp, bunu nasıl kullanacağımızı, sistemin işleyişini anlatmanız mümkün müdür?
Selamlar Gökhan,
Blogda reklam hiçbir zaman olmayacak. Bağış yapmak isteyen olursa Bitcoin cüzdanım belli. Bitcoin hakkında bir yazı için henüz bir hazırlığım yok. İlerleyen zamanlarda olabilir. Öneri için teşekkürler.
Hangi arama motoru iyidir?
Startpage, duckduckgo veya bilmediğim başka bişey?
Teşekkürler..
Selamlar Erkan,
İkisi de kullandığım ve önerdiğim arama motorları. Bunların dışında YaCy [1] var.
[1] https://network23.org/kame/2014/03/21/yacy-p2p-arama-motorunuz/
Selamlar
Ghostery diye bir eklenti var yazınıza eklemeye gerek var mı sizce? İşte linki:
https://addons.mozilla.org/en-US/firefox/addon/ghostery/
Hatta bu eklenti ile sizin sitenizinde ironik olarak kullanıcıları takip ettiğini tespit ettim:))
“Piwik analytics” diye bir tracker!
Selamlar İsa,
Ghostery kullanmıyorum. Hakkında şöyle bir yazı [1] da var. Bu arada, Piwik Network23 tarafından aktif edilmiş. Ben de kapalıydı normalde. Ama bilgileri sadece benimle paylaşıyor. IP adres, ülke bilgileri yok. Sadece kaç kişi girmiş, hangi tarayıcı, çözünürlük, arama sonuçları ve yönlendirmeler var o kadar. Diğer yandan, prism-break’e bakarsan [2] web analitik olarak tavsiye ediliyor. Düşündüğün gibi, Google Analytics benzeri bir takip yok.
[1] http://venturebeat.com/2012/07/31/ghostery-a-web-tracking-blocker-that-actually-helps-the-ad-industry/
[2] http://prism-break.org/en/all/#web-analytics
[…] yazı Korsan Parti'den @songuncelleme nin detaylı bir yazısından kısaltılarak […]
Merhaba
Chromedaki gibi şifrelri senkronize edicek bi eklenti varmı firefox icin?
Selamlar,
Firefox’un kendi Sync özelliği var.
Antivirus tavsiyeniz var mı? Paralı ya da parasız farketmez.
Selamlar Semih,
GNU/Linux kullanıyorum. Sanalda OpenBSD kullanıyorum. Bugüne kadar virüs diye bir şey gördüğümü de hatırlamıyorum. İşletim sistemi konusunda seni bağlayıcı bir şey yoksa Windows’tan kurtul. Diğer türlü Windows’a özgü program bilmediğim için sadece GNU/Linux’tan aşina olduğum Clamav’ı [1] önerebilirim.
[1] http://www.clamav.net/lang/en/
Semih yanlış anlamada Windowsun kendisi virus bence . NSA skandalları bile yeter.
İyi günler abi,
Peki ben dediğiniz işletim sistemine geçmek istiyorum ama hangi sürümünü kullanayım? Birde bilgisayarım çok eski yeni bilgisayar alıcam nasıl bişey alıyım? Yani i7 gibi çok uçuk bişey mi alıyım yoksa celeron yeter mi?
Selamlar Semih,
Ona sürüm değil de dağıtım diyelim. Mint [1] kullanabilirsin. Kurulum da kullanım da çok kolay.
Ben şimdi buna ne diyebilirim ki? Parayı verecek ve kullanacak olan sensin. İhtiyaçlarına göre bir şeyler belirle. Zamandan çabuk etkilenmesin diyorsan üst model bir şeyler alırsın. GNU/Linux’ta oyun oynamak istiyorsan tek tavsiyem ekran kartın NVIDIA olsun.
[1] http://linuxmint.com/
Merhaba Hocam,
2 sorum olacak size rica etsem cevaplayabilir misiniz?
Önce şunu sorayım vpn servislerine bağlanmakta sıkıntı yaşamaktayım son zamanlarda acaba portlarımı kapattı bizim yarım akıllılar?
Abi ikincisorum ise şu: Ben ard arda “farklı vpn” servislerinden vpn kurmak istiyorum. Nasıl yaparım yardım eder misiniz? Mesela vpn 1 oradan vpn2 poradan da vpn3…gibi
Çok sağolun.
Selamlar,
Henüz böyle bir durum yok. Hizmet aldığın yerle ilgili bir sıkıntı olabilir. Bağlantı sıkıntısı yaşıyorsan TCP bağlantısı kullanabilirsin veya MTU değerlerini değiştirebilirsin. Ama bu hızı biraz yavaşlatır.
Aynı anda birden fazla VPN bağlantısı yapılabiliyor mu bilmiyorum. Yapılabiliyorsa, sıradan OpenVPN ile tek tek bağlanmayı dene. Bu dediğin kafamı karıştırmadı değil. Biraz araştırayım bunu.
Çok saolun hızlı cevap için hocam.
Yanlış anlaşılmaya mahal vermemek için sorumu açmak isterim müsaadenizle:
Şimdi ben diyelim vpnle bir servera bağlıyım. Bunun loglarına bakıyorlar meğersem o bağlantıda başka vpn serverindan geliyormuş. Sonra ötekine gidiyorlar… Böyle zincirleme şekilde demek istedim. Hatta en son olarakta proxy ye bağlanmyı düşündüm.
Umarım demek istediğimi anlatabilmişimdir.
Çok teşekkürler, çok sağolun.
Soruyu doğru anladım ama emin değilim. Çünkü hiç birden fazla VPN denemesi yapmamıştım. Birden fazla da VPN’im hiç olmamıştı. Denediğim bir zaman burada bilgi veririm.
ne zamandir yorum yapmak istiyordum. eklentiler icin cok tesekkur ettim. bir sey belirtecegim kim olursaniz olun size yapilan sansure karsi mucadele ederim diyen bir insan pek duymadim gormedim. bu calismalarinin ve yardimlarinin karsiligini bir gun muhakkak ve fazla fazla alacaksin. seni cok iyi yerlerge gorecegiz umarim. sakin yilma bizi calismalarindan, yazilarindan, yorumlarindan mahrum birakma. konu disi olacak ama neden grafiklerde ali, oya, isik gibi isimleri kullaniyorsun? bir nedeni var midir?
Rica ederim. Ali, Oya, Işık, Ayşe gibi isimler ilkokul fişlerinden. Başka bir olayı yok.
Selamlar abi
Telekomda kayıt edilen loglar ne kadar süre saklanıyor acaba?
Hurmetler,
Selamlar,
Yanlış hatırlamıyorsam 6 aydı. Şimdi süre 2 yıla kadar uzatıldı.
Sanırım link vermek yasak değil?
http://www.telekomculardernegi.org.tr/haber-3225-google-sakliyor–turk-telekom-siliyor.html
1 yıldır şuan.
Selamlar Ferda,
Estağfurullah neden yasak olsun. Dikkat ettiysen haber 2012’nin. Kaldı ki, süre 6 aydı (1 yıl da olabilir). Soradan yeni 5651 sayılı Internet düzenlemesi ile bu 2 yıla çıkartıldı.
Yasayı okudum:) merakımdan. Yer sağlayıcılar 1 yıldan az 2 yıldan fazla olamaz diyor.
Ama bişey sormak isterim: TTnet yer sağlayıcımı yoksa erişim mi? anlamadım?
Mesela network23.org yer sağlayıcı mı?
Network23 bir yer sağlayıcı. Bu blogun yayımlanmasını sağlıyor ve bu konuda hizmet veriyor. TTNet ise bir erişim sağlayıcı. 2 yıl trafik bilgilerini saklama zorunluluğu var. Lütfü Elvan yasa geçtikten sonra bunu belirtmişti. Haberlerde aratırsan bulabilirsin.
Ben çok duydum siteye index atan, saldırı yapan, milletin mail hesabını hackleyip facebook profiline giren ve resmi şikayet olduğunda bile yakalanmayan. Bunlar belki de kendilerini hiç gizlemeden yapıyorlar, proxy bile kullanmıyorlar.
Yani çok güzel bilgiler veriyorsunuz yanlış anlamayın ama bilişimciler Türkiye’de zaten kimsenin peşine düşmüyor gibi:)
Selamlar Rıdvan,
Savcılığa yapılan şikayetler doğrultusunda bir süreç işlemektedir. Ayrıca hem şikayetin içeriği, nasıl ifade edildiği, verilen bilgiler önemli hem de bilişimcilerin bu konuya olan yaklaşımları önemli. Her şekilde de bir “suç” işlenmişse ve bir kovuşturmaya karar verilmişse peşine düşülür. Örnekleri çok. Kimsenin peşine düşmüyorlar demek yanlış yönlendirme olur.
Neden Firefox Aurora’da standart Firefox değil?
Derlerkern “bindist” bayrağı ile derliyorum. Bu da patent, lisans, telif gibi şeyleri engelliyor. Bu yüzden de Firefox ikon, logo ve ismi gidiyor, yerine Aurora geliyor. Çok bir nedeni yok.