Category Archives: Gizlilik

Sep 09 2013
Leave a comment
Gizlilik, Güvenlik

Arka Kapı

Eğer işlemcinizin üreticisi (AMD, Intel, Qualcomm vd.) NSA tarafından arka kapı bırakmaya zorlanmışsa ya da herhangi bir donanımızda bu tarz gizlilik ihlalleri yapılmışsa, kendinizi nasıl korumaya çalışırsanız çalışın NSA sizinle ilgili her şeyi görebilir.

Daha ayrıntılı bir açıklama yapmam gerekirse; kullandığınız donanımın geliştirme aşamasında, Büyük Birader sizleri izleyebilmek için üreticileri arka kapı bırakması için zorlamış, çip geliştirmesinde doğrudan veya dolaylı olarak katkıda bulunmuşsa kendinizi gizleyebilmeniz pek de mümkün olmayacaktır. Buradaki izleme daha çok sizin yaptığınız her şeyi kaydetmek değil de kendilerine bir arka kapı bırakmak, zamanı geldiğinde ya da ihtiyaç duyulduğunda buna başvurarak gerekli bilgiyi temin etmektir.

Bu tarz bir veri temini her şeyi kaydedip samanlıkta iğne aramaktan çok değerli veriyi almaya yarar. Kendini mükemmel bir şekilde kamufle etmiş böyle bir yöntem, kullandığınız herhangi bir cihazın rahatça izlenmesine olanak sağlayacaktır. Bir diğer deyişle, NSA kendi işleri için hazırlattığı özel çiplere sahip olacak, tüketici ise bu çiplere sahip donanımları bunun farkında bile olmadan satın alarak kullanmaya başlayacak. Her şey uzaktan bir komplo teorisi gibi durmaktadır. Fakat son sızan bilgilere göre buna benzer, daha doğrusu bunu ima edecek bir çalışma 2007 yılında başlamış. Google ise bu dönemde kendine ait her servis için noktadan noktaya (man in the middle yok demek) kriptolanmış iletişim için çalışmaktaydı ve Snowden’dan sonra bu işi iyice hızlandırdı. Bu, şu işe yarayacak; eğer biri verileri bir şekilde Google’dan temin etmek isterse Google istese bile bu verileri veremeyecek.

Bu noktada, Windows ve Mac OS kullanıcıları ciddi anlamda tehlikede olduğu varsayılabilir. GNU/Linux kullanıcıları nispeten daha az, *BSD kullanıcıları ise daha da az tehlikedeler. Art niyetli bir firmware, işlemci (donanım) üzerindeki bu tarz arka kapıları aktive edebilir ve bundan istediği gibi faydalanabilir. Siz ise işletim sisteminizi, donanım yazılımınızı güncelleştirdiğinizi zannedebilirsiniz. Kulağa çok çılgınca geldiği doğru. Böyle bir şeyin yapılmış olabileceğini ise ancak ileri düzey bir elektron mikroskobu ve ileri düzey teknik aletlerle işlemcinizi inceleyerek görebilirsiniz.Böyle bir şeyi test etmek ise tüketicilerin boyunu aşmaktadır.

Bir Kernel hacker’ı olan Theodore Ts’o, Intel’in /dev/random’ı sadece RDRAND’e dayanması gerekliliğindeki ısrarını neden reddetiğini de bu üstte anlattığım “komplo teorisi“‘ne dayanarak söylüyor. Diyor ki; “Denetlenmesi kesinlikle mümkün olmayan, bir çipin içine gizlenmiş uygulama demek olan sadece donanımsal RNG‘ye güvenmek, KÖTÜ bir fikirdir.” Örneğin, eğer Intel, RNG’yi doğrudan işlemcileri içine yerleştirirse kullanıcıların yazılımı kullanması yerine yazılımın kullanıcıları kullanmasına olanak sağlamış olacaktır. Başka bir deyişle, eğer RNG bir anahtar ile dağıtılmakta ise bunu tespit edebilmek imkansız olacak. Fakat kullanıcı yazılıma dayanarak RNG’yi gerçekleştirirse, yazılımdaki buna benzer bir arka kapı ise kolaylıkla farkedilebilecektir.

Ne yapalım, harddiskimizi kriptoladıktan sonra bilgisayarımızın üzerine benzip döküp yakalım mı?” dediğinizi duyar gibiyim. “NSA beni ne yapsın?” diyerek espri yaptığınızı biliyorum. Fakat bunu her normalleştirdiğinizde size dönüşü daha kötü olacak, daha çok gizlilik ihlali içerecek, sizleri aptal yerine koyacak ve birer köleye çevirecektir. Farkında olun, uyanık olun, hakkınıza sahip çıkın!

Tagged , , , , , , , , , , , , ,
Aug 30 2013
4 Comments
Gizlilik, Güvenlik

Google Hesabı Silmek

Uzun zamandır Google ile ilgili bir yazı yazıp, açık açık suç işlediklerini duyurmak niyetindeyim. Benim ağırdan almam ve PRISM konusunun derinlik kazanmasından sonra Google bazı şeyleri değiştirmiş ve anlatmak istediğim şeyin en büyük kısmını geçersiz kılmış. Bu, sonuç olarak, hem iyi hem de kötü.

Güncelleme (30.10.2013): Google, gizlilik ve güvenlik ilkelerini değiştirerek, silinen hesabın artık tamamen silinmesini sağlamaktadır.

Google’da hesabı silseniz dahi Gmail ve diğer Google servisleri (Blogger, Analytics vd.) arkaplanda kalmakta, özellikle Gmail, hesap silinse de e-posta alıp, kopyalarını saklamaktaydı. Değişikliğin iyi yanı şu; en azından artık hesap silindikten sonra Gmail e-posta alma işlevini yitiriyor. Kötü yanı ise, biz öyle olduğunu biliyoruz ve diğer servisler (Gmail için eğer gelen, spam vd. kutularda daha önceden kalan e-postalar varsa onlar da duruyor) verileriyle birlikte durmaya devam ediyor. Peki, bir şeyi “silmekten” anladığımız nedir? “Silmek” bizlere ne ifade ediyor?

Sözlük anlamına (TDK) bakarsak, “ortadan kaldırmak, yok etmek, ilişkisini koparmak veya gidermek” şeklinde sonuçlara ulaşabiliriz. İngilizce-ingilizce anlamına buradan bakabilirsiniz. Sonuç (make invinsible dışında) pek de farklı değil. Başından beri anlamıyla ilgili beklentilerimiz de bu yöndeydi. Google örneğimize kelime anlamları üzerinden geri dönelim. Google hesabını sildiğiniz zaman hesabınız ortadan kalkmıyor. Çünkü, hesabınızı istediğiniz zaman kurtarabiliyorsunuz.

google 1

Ekran görüntüsünde de görüldüğü gibi eğer telefon bilgileriniz Google hesabınızla ilişkilendirilmişse, basit bir SMS yolu ile “silmiş” olduğunuz Google hesabını geri alabiliyorsunuz. Yani, hesabınız ne “ortadan kalkmış” ne de “yok olmuş”. Hesabınız kurtarıldıktan sonra “Ürünler” bölümüne girerek eğer daha önce Google ürünlerine sahipseniz bunların aynen durduklarını göreceksiniz.

google 2

Ekran görüntüsünün hesap silinmeden önce alınmış olabileceğini düşünen olursa, lütfen hesabını silsin ve geri kurtarsın. Bir diğer kelime anlamımıza geri dönecek olursak, Google hesabımızla ilişkili ürünlerin (görüldüğü üzere Analytics, Blogger, Gmail vd.) aynen durduğunu, hatta verilerinin de silinmediğini yani “ilişkisinin kopmadığını” ve devam ettiğini görmekteyiz. Kelime anlamı olarak silmek, Google için hiçbir şey ifade etmemekte. Bir tek “make invisible” buna uymaktadır o kadar. Bir diğer deyişle, Google hesabınızı gizliyor.

Benim düşünceme göre (de), kullanıcı hesabını silmek istiyorsa ve kullandığı ürün neyse “hesabını sil” seçeneği koyuyorsa, hesabı tamamen silinmeli. Bunun dolambaçlı yollara girmesine, çeşitli nedenlerle suistimal edilmesine göz yumulmamalı. Google hesap ve veri silme konusunda açık ve net olarak kullanıcılarını yanlış yönlendirmektedir. Google’ın kendini nasıl savunabileceğine bakacak olursak:

  1. Kazara silinir ya da geri kurtarmak isterseniz diye verilerinizi tutuyoruz/saklıyoruz/bir süre sonra siliyoruz.
  2. Hesabı silseniz dahi en fazla 6 ila 24 boyunca verileri yasal olarak saklayabiliriz.
  3. Sunulan hizmetin daha da geliştirilebilmesi için veriler anonim olarak tutulmaktadır.

Bir süre sonra silmeye örnek olarak Gmail’de tamamen sildiğini sandığınız bir e-posta Google sunucularından 60 gün sonra silinmektedir ve 1. cevabımız ile tamamen örtüşmektedir. İsterseniz 2. cevap ile bunu da ilişkilendirebilirsiniz ve yasal olarak buna kimse itiraz edemez. Tracking kısmı üçüncü cevap ile örtüşmektedir. Google, tüm bunları istediği gibi uydurabilir, kamuyu istedikleri doğrultuda fakat “yasalardan sapmadan” yönlendirebilir. Fakat tüm bunları yaparken kullanıcılarını da yanlış yönlendirmeye devam etmektedir.

Verilerin ve gizliliğin korunması adına, hesap silindikten sonra hesapla ilişkili verilerin de ortadan kalkması gerekmektedir. Verilerin unutulması (Right to be forgotten) şirketlerin kabul etmesi ve derhal uygulamaya koyması gereken bir zorunluluk olmalıdır. Google gibi devasa şirketler bile böyle kıvırırken küçük şirketlerin pastadan pay alabilmek için veri ve gizlilik haklarını nasıl suistimal edebileceğini düşünmek korku verici.

Tagged , , , , , ,
Aug 28 2013
Leave a comment
Gizlilik, Güvenlik

Twitter’ın Karanlık Yüzü

PRISM konusu patladıktan sonra Twitter nasıl oluyor da bu kadar temiz ve dokunulmamış kalabilir hep şüpheli yaklaşmıştım. Bu hizmetin elbet bir karanlık yüzü olmalıydı. Aradan geçen süre içerisinde bilin bakalım ne oldu?

Polonyalı bir aktivist olan Alexander Hanff kendi gizlilik temelli projelerini yayımlamak için bir site hazırlarken ziyaretçi istatistikleri üzerine Apache’nin GeoIP modülünü kullanmak istiyor. Bu konudaki temel düşüncesi ziyaretçilerin IP bilgilerini –daha doğrusu gizliliklerini ihlal etmeden– kaydetmeden onlar hakkında ülke ve IP bilgisi almaya çalışıyor. Ne oluyorsa da tam bu noktada oluyor. Birden fazla Twitter hesabı olduğu için (kendi diyor) birinden kendi hesabına Tweetdeck üzerinden bir DM (özel mesaj) atıyor;

http://mydomain.com/stats.php?ref=twitter

ref dizisinin amacını veri tabanına kaydedilmek üzere test amaçlı kullandığını çünkü sponsorlarıyla ilişkili bazı kayıtları geri yüklemek istemesi olduğunu belirtiyor. Şöyle bir sonuçla karşılaşıyor;

8 » 2013-08-25 19:44:07 » stats.php?ref=twitter » US
9 » 2013-08-25 19:44:07 » stats.php?ref=twitter » US
10 » 2013-08-25 19:44:07 » stats.php?ref=twitter » US
11 » 2013-08-25 19:44:14 » stats.php?ref=twitter » PL
12 » 2013-08-25 19:44:14 » stats.php?ref=twitter » US
13 » 2013-08-25 19:45:06 » stats.php?ref=twitter » PL

Sonuç beklendiği gibi pek gizliliğe zarar verici gibi gözükmemekte. Fakat 8, 9, 10 ve 12. satırlara bakarsanız ülke kodunun Amerika olduğunu göreceksiniz. Özellikle 8 ve 10 özel mesaj gönderildikten hemen sonra oluşmuş. İşin ilginci bu bir özel mesaj ve URL’sinin gizli olması, yani teorik olarak “US” girdilerine sahip olmaması gerektiği. Hanff, Apache’nin erişim kayıtlarına baktığı zaman US satırlarında Twitter’ın kendisini Twitterbot/1.0 olarak tanıtmak ve URL’ye GET isteği göndermek için 199.16.156.126 IP’sini kullandığını görüyor. Bunun bir özel mesaj olduğu düşünülecek olursa Twitter’ın aslında bunu görmemesi ve kendine GET isteği üzerinden bir kopya oluşturmaması gerekmektedir.

Buna kısaca Twitter’ın özel mesajları taraması demek daha doğru olacaktır. Bu açık bir gizlilik ihlalidir. Twitter bu konuda iyi niyetli olduklarını, kullanıcıyı düşündüklerini söylese de GET ve kopya oluşturması niyetleri ile tamamen çelişmektedir. Yazının tamamını buradan okuyabilirsiniz.

Twitter’la ilgili başka bir haber de Glendale okul yetkilileri Hermosa Beach adlı bir sosyal medya şirketi ile anlaşarak öğrencilerinin Twitter, Facebook, Youtube ve Instagram paylaşımlarını takip ettirdiği ortaya çıktı. Günlük raporlar, öğrencilerin şiddet, nefret, saldırganlık vs. üzerine olan eğilim frekanslarından oluşuyor. Geçen sene Hermosa Beach şirketine 40,500$ ödenmiş, toplam 13,000 orta ve lise öğrencisi monitörlenmiş. Okul yetkililerinin “niyeti” ise öğrencilerinin kendilerine ve başkalarına zarar vermeden önceden tespit edilebilmesiymiş. İnsanın aklına Minority Report gelmiyor değil. Tabi öğrencilerin hesaplarının nasıl tespit edildiği ise başka bir konu. Monitörleme kadar bu hesapların tespitinin nasıl yapıldığı da bilinmeli ve paylaşılmaya değer olduğunu düşünüyorum.

Görüldüğü üzere, bazı sosyal medya şirketleri zaten çok uzun bir süredir monitörleme işini yapmaktaydılar. Bunlar firmalar için ürün, marka değerlendirmeleri içerirken bazıları da Glendale okulu gibi “öğrencilerinin iyiliği” altında paylaşımlarının incelenmesini içermekte. Her ne olursa olsun, yapılan paylaşımların birilerinin süzgeçinden geçtiği ve bunların sadece iyi niyetli olmadıklarıdır. Twitter, T.C. devleti ile kullanıcı bilgisi paylaşımına yanaşmamış olabilir, belki hiç yanaşmayacak da olabilir ama dikkat edilmesi gereken şey gizliliğiniz ve güvenliğiniz için özel şirketlere bel bağlamamanız gerekliliğidir. Gizlilik bir insan hakkıdır. Bunun seçimi, bu hakkın birilerine devredilmesi söz konusu bile olamaz.

Tagged , , , , , , ,
Aug 22 2013
Leave a comment
Gizlilik, Güvenlik

Budala Son Kullanıcı

Sevgili dostum Ahmet, blogunda [İnternet Notları] İnternetin de Özel Hayatın da Sonu Gelmedi başlıklı bir yazı yayımlamış. Ahmet’in de affına sığınarak yazıya ufak tefek eleştiriler getirmek isterim.

Bazı insanların tabiri caizse “budala” olduğunu herkes söyleyebilir. Aslında buna tüm insanlar budaladır desek daha doğru olacak. Ben de budalayım, sen de budalasın, o da budala. Bunu şöyle örneklendireyim, bir şeye küçüktür diyorsanız; onun başka bir şeyden küçük ama aynı şekilde başka bir şeyden de büyük olduğunu söylüyorsunuz. Bir şeyi ne kadar iyi bildiğinizi düşünürseniz düşünün, muhakkak bir hata yapıyorsunuz. Burada sıkıntı kullanıcının herhangi bir servisin hesabına sahip olup her şeyi ondan beklemesinden de kaynaklanıyor. Bir diğer deyişle de sermaye olsun, bazı geliştiriciler olsun, bazı yazarlar olsun, bazı “budalalar” olsun, sürekli bir ürünün kolay kullanıma sahip olması için o kadar çok yaygara kopardılar ki ve insanları o kadar çok rahata alıştırdılar ki, artık sermaye, güvenlik konusunda da kullanıcıların “budala” olmasını beklemeye başladı. Kimse kullanıcıda çok basit bir bilgi düzeyinden başka bir şey istemiyor. O yüzden reklamlar “tek tıkla işinizi halledin” noktasına kaydı. Bu ayrıca bir pazarlama yöntemidir. Sermaye, hedef pazarını seçerken öncelikle bu rahata alıştırılmış ve kendini üreticiye emanet etmiş kullanıcıları seçiyor ve onlardan da istediği gibi faydalanabiliyor. Kim ne derse desin, bu rahatlık, kolay kullanım herkesin işine geliyor.

Hepimiz budala olduğumuza göre bunun sorumlusu bir anlamda da bizleriz. Steam, GNU/Linux’a gelirken -ben de dahil- heyecanlanmış ve desteklemiştim (alın size bir hata). Peşinden DRM’yi oyunlarla sokmaya başladı, Stallman’ın deyimiyle bir sürü kapalı kaynak kodu açık kaynak bir sisteme soktu. Şimdi birileri çıkıp “o zaman kullanma kardeşim, seçim senin” diyebilir. Seçim benim ama bu sadece benim bilgisayar kullanmayı bilip bilmememle alakalı değil. Başında düştüğüm bir hata var. Karşımda art niyetli bir sermaye var. Onu da geçtim bunu destekleyen bir sürü ileri düzey kullanıcı da var. Bu, ayrıca, sermayenin kullanıcılara zoraki bir dayatmasıdır.

Duckduckgo mu Duckduckdon’t mu? Startpage daha bir alternatif olarak gözüküyor ve Avrupa lokasyonlu. Amerikan mahkemelerinin kapsama alanı dışında. Madem bir seçim yapacağız, o zaman neden Startpage değil? Başka biri de neden YaCy değil diyebilir. Tor, %100 güvenli değil. Bazı Exit nodlarından veri örnekleri toplayan servisler var. Bu dediklerim güvensizler anlamına gelmesin. Peki bunların sizin iyi bir bilgisayar kullanıcısı olmanız veya olmamanızla ilişkisi var mı? Sermaye, istediği gibi hareket ettiği sürece, siz sadece belirli bir oranda kendinizi koruyabilirsiniz. Yazının hedef kitlesi budala son kullanıcının “gizliliğimiz elden gidiyor vay vay” diye ağlaması ve insanları ümitsizliğe itmesi olabilir. Unutulmamalı ki teknoloji de tek bir tarafa hizmet etmiyor. Siz ne kadar gizlilik ve güvenlik üzerine kendinizi geliştirirseniz geliştirin, sermaye de onu bertaraf etmek için elinden geleni yapacaktır.

Tagged , , , , , , ,
Aug 19 2013
2 Comments
Gizlilik, Güvenlik

Sosyal Medyada Açık Hesaplar

Yazının temel amacı sosyal medyayı bir korkuluk gibi göstermek değil. Sadece sosyal medyadaki açık hesapların içeriğinin çok basit bir şekilde birileri tarafından cachelenmesi, arama motorları ile bu sayfalara rahatça erişilebilmesi, ve siz sosyal medya hesaplarını kapatsanız dahi bu sitelerde verilerinizin kalması.

Sosyal medyanın çok hızlı gelişimiyle beraber aynı hızda sosyal medya ajanslarının gelir arttırma yolları da gelişti. Örneğin, sosyal medya üzerindeki açık hesapları bir havuza aktaran monitoring sitelerinin, girdileri inceleyerek firmalara ürünleri hakkında insanların ne düşündüğü üzerine bilgi satması. Bir nevi +, – ve nötr olarak girdileri tasnif edip ayrıntılı rapor hazırlamak. Bazı siteler de arama ile site üzerine gelen ziyaretçilerden gelir kazanmak derdinde. Yani sizin girdilerinizi cacheleyerek kendi sitesine koyuyor, böylece arama yapıldığında sonuç olarak bu site de çıkıyor. Bu bir nevi veri madenciliğidir ve en kötüsü ise açık hesapların bu şekilde sömürülmesini engelleyecek yasal bir kısıtlama yok. Örnekler üzerinden devam edelim.

Twitter için birkaç örnek (test etmek için kendi kullanıcı adınızla bakabilirsiniz):

  1. Twtrland: http://twtrland.com/
  2. Twicsy: http://twicsy.com/
  3. Topsy: http://topsy.com/
  4. Favstar: http://favstar.fm/
  5. Loviv: http://loviv.com/

Twitter’daki tweetlerinizden paylaştığınız fotoğraflara ve hatta video’lara kadar her şey bu “arama” siteleri tarafından cachelenmiş durumda ve hepsi de sizin insiyatifiniz dışında gerçekleşti. Çünkü kurallar buna müsade ediyor, bu sitelerin açık hesaba sahip olduğunuz için size sormak ya da izin istemek gibi bir dertleri yok. Diyelim ki Twitter hesabınızı sildiniz, bu siteleri bilmiyordunuz ve bazıları sizden profilinizin silinmesi için Twitter hesabınızla giriş yapmanızı istedi, alın size bir dert daha!

Hesabınız açıktı fakat sonradan kapattınız (korumaya aldınız), Twitter diyor ki; profilinizi kapatsanız bile bir zamanlar açık profille gönderdiğiniz tweetler hala açık ve aranabilir. Sadece profili kapattıktan sonra gönderdiğiniz tweetleriniz kapalı olacaktır. Bir diğer deyişle, açık hesapla gönderdiğiniz tweetler bu siteler tarafından cachelenmişse, hesabı kapatsanız bile sadece hesabı kapattıktan sonraki tweetleriniz cachelenmeyecek.

G+ için benzerlik açısından birkaç örnek (yoksa bir sürü site var):

  1. GooglePlusDirectory: http://googleplusfriends.com/
  2. PlusArkadaşArama: http://www.plusarkadasarama.com/
  3. Psd2wp: http://gplus.psd2wp.pl/
  4. Google-plus: http://google-plus.pl/

Farkettiğiniz gibi bu G+ arama sitelerin hepsi aynı yazılıma sahipler. Domainlere whois çekebilir, sunucuları nerede veya kim bunlar araştırabilirsiniz. Belki aynı kişi, kuruluş veya herneyse onundur ya da bu yazılım herkesin serbestçe indirip istediği gibi kullanılabildiği bir şeydir. Yani, birileri açık sosyal medya hesaplarını ve içeriğini “arama” adı altında öyle ya da böyle istediği gibi kendi veritabanına aktarabiliyor, cacheleyebiliyor. Peki herkes böyle basit bir yazılımla bile açık hesapları bu kadar ayrıntılı cacheleyebilirken, devletler, gizli servisler kim bilir neler yapıyordur değil mi?

Hesabımı kapattım ama…
Açık hesabınızı kapattınız/sildiniz diyelim. Fakat bu sitelerin farkında değildiniz ve rastgele adınızla ilgili bir arama yaptığınızda bugüne kadar gönderdiğiniz tweetlerden, G+ girdilerine her şey tekrar karşınıza çıktı. Hem de çok basit bir arama ile! Kabus sizin için yeniden başlıyor. Bu sefer de sitelerin iletişim sayfalarından profilinizin kaldırılması talebinde bulundunuz. Bu sitelerin birçoğunun e-postasının çalışmadığını, bazılarının yaptıkları şeyin herhangi bir yasal ihlal içermediğini anlatan otomatik cevap gönderdiğini, çok azı da silinmesi için gerekçe istediğini göreceksiniz.

Açık hesap mı kapalı (korunan) hesap mı?
Açık hesabın daha çok kişiye ulaşması kapalı hesapla kıyaslanmaz bile. Fakat sosyal medya sitelerinin politikaları böyle şeylere izin verdiğinden dolayı, ileride özellikle kendi adı ve soyadıyla yazanlar için büyük bir risk teşkil edecektir. Twitter veya G+ (diğer micro blogging siteleri vs.) üzerinde yazdığınız bir şey bir sürü farklı site tarafından cacheleniyor, herhangi bir arama sayesinde de bunlara rahatça ulaşılabiliyor. Kapalı hesaplar bu konuda güvenli, ama paylaştığınız bir bilginin açık hesap gibi yayılma olasılığı da bir o kadar düşük. Burada ısrarla üzerinde durmak istediğim şey siz hesapları kapatsanız bile ileride yazdıklarınızın durup dururken başınıza iş açabilme olasılığı. Ne yapmalıyım diyorsanız, hafif paranoyak olarak diyebileceğim şey kendi adınız ve soyadınızla açık hesap kullanmayın. Kimse sizin gerçek kimliğinizi Internet üzerinde bilmek zorunda değil, açıkçası kimsenin (bazıları hariç) bunu merak ettiği de yok. Yeterki siz paylaştığınız şeylerin güvenilebilir olduğunu en azından belirli bir oranda sağlayın.

Son olarak, sosyal medya ajanslarının bazıları için diyebileceğim tek bir şey var; “…yüzde 300 kâr ile, sahibini astırma olasılığı bile olsa, işlemeyeceği cinayet, atılmayacağı tehlike yoktur.

Tagged , , , , , , ,
Aug 19 2013
5 Comments
Gizlilik, Güvenlik

EXIF ve GPS

Her şeyden önce söylemek istediğim birkaç şey var. Öncelikle, bu ve bundan sonraki yazıların herhangi birini tatmin etmek gibi bir amacı yok. Yazılar amatörce, bolca eksik bulacaksınız, her türlü eleştiriye açık ve eksikler doğrultusunda güncellenecek. O yüzden yorumlarda ne ekerseniz onu biçersiniz.

Telefonum çok akıllı…
Hayatınızda birçok şeyi kolaylaştıran “akıllı telefonlar“, medyadaki dezenformasyonu engelleyebilecek mükemmel bir “araç” haline dönüşürken diğer yandan da sizin gizliliğinizi ve güvenliğinizi tehlikeye sokabilecek bir başka araca (silaha) da dönüşebiliyor. Peki bu telefonlar akıllı ama kimin için akıllı? Bu telefonlarla çekilmiş fotoğraflarla sizler insanlara “gerçeği” anlatmaya çalışırken EXIF ve GPS madalyonun diğer yüzü, buz dağının görünmeyen kısmı ve gizliliğinize  doğrultumuş bir silah. Yazıyı daha iyi anlayabilmeniz için Firefox’un Exif Viewer eklentisini kurabilirsiniz. Kullanımı gayet basit, sağ tık menünüze de yerleşecektir. Basit olması açısından örnek üzerinde anlatırken bunu tercih edeceğim.

Acele işe…
Mazur görülebilecek bir davranış, o anın getirdiği korku, heyecan, gerilim vs. ile aceleci davranmak, elindeki görüntüleri hemen, en kolay yoldan paylaşmak. Siz bu telefonların yardımıyla basitçe o anı kaydebiliyorsunuz ve sizin için akıllı bir araç haline dönüşüyor. Diğer yandan telefonun kamera ayarlarını kontrol etmediniz, GPS açık, arka planda bir sürü servis çalışıyor. Peki siz bu durumda kendinizi büyük bir tehlike içine de sokmuş olmuyor musunuz? Bana gönderilen bir Gezi fotoğrafı üzerinden gidelim:

gps 1

Fotoğrafın üzerine tıklayıp gerçek boyutunda açtığınız zaman (ön izlemede EXIF yok!) sağ tıklayıp View Image EXIF Data dediğinizde aşağıdaki görüntü ile karşılaşacaksınız:

gps 2

Karşınızda akıllı telefonunuz ve marifeti. Fotoğrafa konum bilgileriniz girilmiş! Enleminiz 41.032275 ve boylamınız 28.976381. Tabi siz bunun farkında değildiniz, çünkü içinde bulunduğunuz durum buna müsait değildi. Küçük bir hata, telefonun modelinden, çekildiğe yere kadar her şeyi içeren bir bilgiye sahip. Bir de enlem ve boylam bilgilerinize haritadan (Google) bakalım:

gps 3

Bir insan “bakın ben buradayım” diye ne kadar bağırabilir, cevabı bu küçücük ayrıntıda gizli. Hayatınızı kolaylaştıran bu akıllı telefon artık başka insanların işini de kolaylaştıracak.

İstanbul’u hiç bilmeyen biri olarak panoramadan (Yandex) tam konumunuza bakalım:

gps 4

Burayı bulabilmek benim birkaç dakikamı aldı. Fotoğrafın konumla ilgili görsel olarak pek fazla bir şey içermemesine rağmen GPS bilgileri üzerinden %100 olarak yeri basit bir Internet kullanıcısı tarafından bile tespit edilebiliyor. Elinizde ise bir harita, varsa panorama ve EXIF bilgilerini görebileceğiniz basit bir eklenti.

Korkuyorum…
Fotoğrafları farkında olmadan bu şekilde çekseniz bile daha sonra yüklerken fotoğrafların EXIF bilgilerini açık kaynak, özgür bir yazılım olan Gimp (Windows, Linux, Mac OS sürümleri mevcut) ile silebilirsiniz. Tek yapmanız gereken farklı kaydederken EXIF ve XMP verilerini seçmemek. Bu arada ben de bahaneyle sizlere Gimp kullandırmış oluyorum.

Komplo teorisi kuralım…
Kafanızda bir şeyler canlandırmak adına; düşünün ki imaj yüklediğiniz bir servis var ve EXIF bilgilerini silmiyor, mahkeme kararı ile (hiçbir zaman kullanıcı sözleşmesini okumadığınız için farkında değilsiniz) anında T.C. devletine de verebilecek. Ben de bu tarz gösterilere katılmış insanlar hakkında bilgi toplamaya ve onları “fişlemeye” çalışan biriyim. Gezi ile ilgili araştırma yaparken bir şekilde bu servisi buluyor ve sizin hesabınıza ve yüklediğiniz fotoğraflara ulaşıyorum (fotoğraflar ziyaretçiler tarafından görülebiliyor diyelim). Bir yanda Gezi fotoğraflarınız, diğer yanda evde kediniz ile çektiğiniz Caturday fotoğrafları. Hepsinin ortak noktası ise gözünüzden kaçan bu konum bilgisi. Sonucu sizin için “akıllı” telefon bir kabus olurken ben yüce devletim ve gizli servisim adına bu akıllı telefondan faydalanıp büyük bir başarı elde etmiş oluyorum. Yani bu telefon artık benim için “akıllı“.

Ama birçok imaj paylaşım sitesi EXIF bilgilerini siliyor/blokluyor…
Kullanıcılar veya ziyaretçiler için geçerli bir durum. Ama orjinal fotoğrafı ya da fotoğrafın sahip olduğu EXIF bilgilerini ne yaptığını kimse bilmiyor. Bir örnekle anlatalım; Facebook’un Instagram’ı satın almasını geçtim, kendisi Amazon servisleri ve sunucuları kullanıyor. Amazon ise CIA ile 600 milyon $’lık kontrat imzalamış olduğu ortaya çıktı ve artık sunucuları konusunda birçok aktivisti rahatsız etmekte. Buna örnek olarak joindiaspora.com‘un imajlar için Amazon’u kullanması kullanıcıların bazılarını diğer POD’lara kaçırdı. Ucuz bir komplo teorisi gibi bakmaktansa Instagram’ı tercih etmemeyi bu çerçevede kabul etmek daha mantıklı. Bu tarz servisleri en azından bu tarz fotoğraflar için kullanmamak hayatınızdan hiçbir şey götürmeyecektir.

Sonuç
Bu tarz durumlar insanın başına her zaman gelebilir. Önemli olan böyle bir tehlikenin farkında olabilmek. Telefonların kamera için konum ayarı kapatılabilir, yüklemeden önce fotoğrafların EXIF bilgileri silinebilir, en önemlisi aceleci davranmadan, önlemini baştan alarak, Internet’te bulunan her servise güvenmeden, sağlam adımlar atıp ne yaptığının bilincinde olmak. Yoksa, Instagram vs. kullanmanız veya gözü kapalı bu tarz servisleri, API’sini savunmanız kimsenin umrunda değil. Çünkü kendi düşen ağlamaz.

Tagged , , , , , , , , , , , , ,
Newer posts