Category Archives: Güvenlik

Mobilizasyona Karşı Sansür ve Türkiye

Ülke genelinde gözetim ve sansür yapılan Libya, Mısır ve Suriye gibi, Arap Baharı ile özellikle siyasi olarak motive olmuş ülkelerde İnternet’in rolü, nüfusun kontrolünü sağlayan ve mobilizasyonu engelleyen bir araç olarak ifade edilmektedir. Ülke çapında yaşanan trajediler dışarıdan rahatça gözlemlenebilirken, ülke içindeki gözetim ve sansürde uygulanan daha gizli yöntemler ülkelerin sansür konusunda seçici-transparan olmalarından dolayı (örneğin, ülke içinde basına baskı uygulayıp, dışarıda “basın özgür” demeleri) ve dünya çapındaki ağların mevcut durumundan dolayı daha zor gözlemlenebilir.

Bu çalışma, Türkiye’de yaşanan gelişmeler ışığında sansürün stratejik adımlarla nasıl uygulanabileceği, ve basit bir ‘karartma’dan ziyade neye karşı kullanılabileceğini genel hatlarıyla ifade etmektedir.

Çalışmanın daha çok anlam kazanabilmesi için, Çin’de uygulanan sansür hakkındaki bir akademik çalışmadan faydalanılmıştır; Türkiye için yapılacak ayrıntılı bir araştırma için, o örnek çalışmadaki gibi daha özel girdilerin toplanması ve analiz edilmesi gerekmektedir.

Çin’de yapılan bir akademik çalışmada (King, Pan ve Roberts, 2012) 85 farklı konu hakkında yaklaşık 1400 sosyal medya sitesinden toplanan milyonlarca girdi bilgisayar destekli metin analiz sistemleri ile analiz edilmiştir. Bu analize göre, Çin hükûmeti negatif yorumları ve hatta hükûmete, siyasilere ve politikalara ağır eleştiriler yönelten içerikleri sansürlememekte, fakat içerikten bağımsız olarak, toplumu mobilize eden veya gelecekte etmesi muhtemel durumları seçerek sansürlemektedir. Çin hükûmetinin seçici sansürü ve filtre sisteminin, toplumu bir araya getirecek toplumsal aktiviteleri engellemeye yönelik olduğu ifade edilmiştir.

İlk olarak, mobilizasyonla kast edilenin ne olduğunun daha iyi anlaşılabilmesi için sansür çerçevesinde tanımı yapılmalıdır. Sansür açısından mobilizasyon, bireylerin herhangi bir görüş, parti, dernek vb. topluluklar haricinde, bir olay karşısında bir araya gelerek potansiyel toplumsal bir hareket ve tepki haline dönüşmelerini ifade etmektedir. Bu bakış açısıyla mobilizasyon, birçok bireyin sosyal medya üzerinde aynı konularda iletişim kurmaları ve bilgi akışı içine dahil olmaları, henüz toplumsal bir hareket haline dönüşmese dahi, ileride dönüşebilecek olmasını da belirtmektedir.

Tüm bunlar dikkate alındığında genel anlamıyla İnternet, sadece çevrimiçi politik bir iletişim aracı değil, aynı zamanda açık bilgi akışı ile sınırlar ötesi akademik tartışmalar için de bir aracıdır. Ayrıca, bu teknoloji bazı ülkelerde demokratikleşmenin yolunu açarken bazı ülkelerde (özellikle otoriter rejimlerde veya otoriter rejime kayan ülkelerde) de monopoli oluşturmuştur. İnternet, tüm bunların ortasında, kendi akademik ajandası olan, küresel ve kolay erişime sahip bir teknolojidir. Bununla birlikte, birkaç özel mülkiyet alanında veya devlete ait devasa iletişim kanallarında sesini duyuramayan bireylerin susturulamayan sesidir. Böyle bir ses karşısında iktidar sahipleri, vatandaşların sesini susturabilmek ve toplumsal duyguları harekete geçirebilecek herhangi bir olay karşısında mobilize olmalarını engellemek için stratejik adımlarla sansür yolunu tercih etmektedir.

Sansür için uygulanan genel stratejik adımlar şunları içermektedir (Shadmehr ve Bernhardt, 2013):

  1. Sansür için strateji oluşturabileceği bir sansür yasası hazırlamak. (örnek, Türkiye’de 5651 sayılı kanun)
  2. Stratejiye uygun olarak sansür maliyetlerini artıracak iletişim teknolojilerine yönelmek. (örnek, Erişim Sağlayıcıları Birliği, otonom veya omurgaya eklenen/eklenmesi planlanan donanımlar)
  3. Elinin altında bulundurduğu iletişim kanalları ile hakkındaki olumsuz iddiaları veya toplumsal duyguları harekete geçirecek olayları hasır altı etmek/sansürlemek. (örnek, TRT ve havuz medyası)

Otoriter rejimlerde iktidar sahipleri, ellerindeki güç ile vatandaşları mobilize edebilecek bilgi akışını kontrol etmek istemektedirler. Çünkü, bir içeriğin yayımlanmasının yaratabileceği mobilizasyon etkisi, o içeriğe getirelecek sansür (yayın yasağı) ile minimize edilmektedir. Böylece, sansürlenmeyen bir içeriğin yaratabileceği büyük çaplı bir etki, daha az bir tepki çekecek doğrudan sansür yolu ile azaltılmaktadır. Böylece, sansürün maliyeti azaltılan toplumsal tepkiye eşit olur. Birçok birey, bilgi akışı kesildiğinde kötü olan değil kötü olabilecek haberlerin gizlendiğini düşünür. Bu şekilde boşluğa düşen birey, toplumsal bir tepkiye dönüşmekten hızla uzaklaşır.

Türkiye’de normal şartlarda mobilizasyon etkisi yaratacak yaşanmış olayları ve iktidarın sansür önlemlerine dair kronolojik bir sıralama aşağıdaki gibidir:

28 Aralık 2011 Roboski katliamı:

  • Yazılı ve görsel medya ile İnternet üzerine getirilen yayın yasağı
  • Fırat Haber Ajansı, Roj TV, Amed Haber Ajansı, Ajansa Kurdi gibi bağımsız Kürt haber sitelerinin sansürlenmesi

11 Mayıs 2013 Reyhanlı bombalı saldırısı:

  • Yazılı ve görsel medya ile İnternet üzerine getirilen yayın yasağı
  • Ktunnel, Vtunnel gibi proksi siteleri, Dailymotion ve Halkınsesi TV gibi sitelerin sansürlenmesi

17 – 25 Aralık 2013 yolsuzluk skandalı:

  • Yazılı ve görsel medya ile İnternet üzerine getirilen yayın yasağı
  • Vimeo, Vagus, Soundcloud, Twitter‘ın ardından çeşitli hesapların sansürlenmesi, bağımsız haber sitelerine gönderilen içerik kaldırma kararları, çeşitli WordPress siteleri ve YouTube‘da yer alan ses kayıtlarına ait içeriklerin URL-bazlı sansürlenmesi

1 Ocak 2014 MİT tırları skandalı:

  • Yazılı ve görsel medya ile İnternet üzerine getirilen yayın yasağı
  • MİT tır’larına ait görüntüleri paylaşan ana akım medya ve bağımsız haber siteleri ve içeriklerine uygulanan URL-bazlı sansür

13 Mayıs 2014 Soma maden faciası:

  • Yazılı ve görsel medya ile İnternet üzerine getirilen yayın yasağı

7 Haziran 2015 Türkiye genel seçimleri sonrası Doğu illerinde uygulanan sokağa çıkma yasakları ve katliamlar:

  • Bağımsız Kürt gazetecilere, içeriklere ve haber sitelerine uygulanan seçici sansür

20 Temmuz 2015 Suruç bombalı saldırısı:

  • Yazılı ve görsel medya ile Internet üzerine getirilen yayın yasağı
  • Özgür Gündem, Sendika.org, Anha, Ajansa Kurdi, Med Nuçe, Öteki Haber, Dağ Medya, ANF, DİHA, Halkınsesi TV gibi çok sayıda bağımsız haber sitesinin ve bağımsız gazetecilerin, bireylerin Twitter hesaplarının seçicilik yerine toplu şekilde sansürlenmesi

10 Ekim 2015 Ankara bombalı saldırısı:

  • Yazılı ve görsel medya ile İnternet üzerine getirilen yayın yasağı
  • Jiyan.org, Sendika.org, Dicle Haber Ajansı, Sterk, Nokta, DİHA, JİNHA, Direnişteyiz.org gibi çok sayıda bağımsız haber sitesinin ve bağımsız gazetecilerin, bireylerin Twitter hesaplarının toplu şekilde sansürlenmesi

1 Kasım 2015 Türkiye genel seçimleri sonrası Doğu illerinde devam eden sokağa çıkma yasakları ve katliamlar:

  • Çok sayıda bağımsız haber sitesinin devamı niteliğinde olan sitelerin ve bağımsız gazetecilerin, bireylerin Twitter hesaplarının toplu şekilde sansürlenmesi

Yukarıda bulunan kronolojik sıralamadaki sansürlenen siteler, hesaplar ve içerikler dikkate alındığında, AKP iktidarının öncelikle, toplumun tüketim alışkanlıklarını dikkate alarak yazılı ve görsel medya üzerine yayın yasağı getirerek toplumsal tepkiyi azaltma yoluna gittiği görülecektir.

Daha sonra ise, bilgi akışının daha zor kontrol edebileceği bir alan olan İnternet üzerinde geliştirdiği stratejiler ile sansürleme yolunu tercih etmektedir. Özellikle, sosyal medya sitelerini tamamen engellemenin yaratabileceği küresel tepkiden kaçmak için yıllar içinde geliştirdiği stratejiler ve edindiği yeni teknolojiler ile içerikleri hedefleyerek engellemektedir. İnternet üzerinde yer alan belirli bir içeriğin sansürlenmesi, sansürün maliyetini ve doğacak toplumsal ve küresel tepkiyi azaltmaktadır.

Sadece dünya çapında bilinirliği olan web siteler içerik sansürlemesi yöntemiyle hedef alınırken, yerli web siteler tamamen sansürlenmektedir. Bunun nedeni, küresel tepkinin toplumsal tepkinin altında kalacağı ve toplumsal tepkinin de parçalı olacağıdır. Bu tarz bir sansür, AKP iktidarına daha az maliyetli olacaktır.

AKP iktidarı yaşanan bu olaylar karşısında toplumun bir araya gelerek tek bir güce dönüşmesini ve elinde bulundurduğu gücü kaybetmesini engellemek adına yazılı ve görsel medya ile İnternet üzerine sansür getirerek toplumsal tepki maliyetini düşürmeye çalışmaktadır. Diğer taraftan, sosyal medya üzerine uygulanan içerik sansürleri sosyal medya sitelerinden herhangi birinin tamamen sansürlenmesinden daha az tepki çektiği için daha az maliyetlidir. Son dönemde muhalif, Kürt basın ağırlıklı hesaplar, içerikler ve web sitelere uygulanan toplu sansürler de bu yüzden AKP iktidarı için daha az maliyetli ve ülkedeki bölünmüşlük nedeniyle toplumsal bir tepkiye dönüşmekten ziyade bireysel veya kontrolü kolay olan küçük parçalı kitlelerden öteye geçememektedir.

Yukarıdaki bilgiler ışığında Çin ile Türkiye’nin sansür stratejisi benzer olarak, Çin içerikleri hedef alırken Türkiye sosyal medya üzerinde içerikleri, yerli websitelerde ise websitenin tamamını sansürlemeyi tercih etmektedir. Özellikle Çin’de hükûmet, siyasiler ve politikalar hakkındaki olumlu veya olumsuz geniş çapta paylaşımlara izin verilirken burada yatan esnekliğin asıl sebebinin kötü bir haberin ellerinde bulundurduğu gücü tehdit etmemesinden ileri gelmektedir. Tehdit ettiği anda da sansürlenmektedir. Bu da Çin vatandaşlarının bireysel olarak özgür fakat topluluk olarak zincire vurulu olduklarını göstermektedir. Türkiye’de durum ise Çin’e paralellik göstererek ve biraz da acemice içerik veya içeriği paylaşan hesap ve websitelerin toplu olarak tamamen sansürlenmesine kadar gitmektedir.

AKP iktidarı, yazılı ve görsel medya ile Internet üzerindeki kontrol gücünü test etmek için medya sansürleri ile birlikte Türkiye’de giderek artan, kitleleri mobilize edecek açık bilgi akışı ihtiyacını, otonom oluşumları ve bireyleri hedef alarak sansürlemektedir. Türkiye Cumhuriyeti Anayasası, ifade özgürlüğü, basın özgürlüğü, bireysel hak ve özgürlükler gibi konularda detaylı maddeler içerse de AKP devlet sırlarının ifşası gibi benzer nedenlerle medyaya, otonom yapı ve bireylere saldırarak kontrol gücünü test etmektedir. Ayrıca, Erişim Sağlayıcıları Birliği gibi bir yapı İSS ve telekomünikasyon operatörlerinin zorunlu olarak AKP ile sansür konusunda işbirliği yapmalarına neden olmaktadır. Özellikle neyin “sır” olduğuna karar vermenin tartışmalı olduğu durumlarda (kamu yararı güden ifşalarda), sansür, bu ve benzeri yapılar üzerinden ekonomik, politik ve özellikle iktidar çıkarlarını koruma yönelik stratejik bir metod olmuştur.

Sosyal medya, muktedir için toplumsal bir tepkiye dönüşmediği sürece birçok konuda bireylerin görüşlerine, olumlu veya olumsuz eleştirilerine dair efektif ölçümler sunan harika bir araçtır. Ayrıca, hükûmetler için de kitleleri tatmin etmek ve yatıştırmak için de güncel bir araç halini almaktadır. Teorik olarak, rejimler için sosyal medya kullanımı ellerinde bulunan gücü korumaya yönelik bir stratejiyi de içermektedir. Tüm bunlar dikkate alındığında AKP iktidarı bireysel olarak daha dar bir çapta olumsuz eleştiriyi kabul ederken, son dönemde hem kontrol gücünü test etmek hem de baskıyı artırarak muhalefetin kökünü kazımak için daha düşük maliyetli bir yol olarak sansürü tercih etmeye yönelmiştir. Bu şekilde muhalefet daha küçük ölçekte parçalara ayrılacak ve mobilize olmakta giderek güçlük çekeceği bir noktaya ilerlemektedir.

Son olarak, AKP’nin ve yandaş yazarların yaşadığı “şizofren” hali basın özgürlüğü ve bilgi akışının gitgellere rağmen bir ihtiyaç olduğu noktasında birleşirken, aynı özgürlüğün toplumsal bir tepkiye dönüşerek -yani mobilize olarak- AKP iktidarının da sonunu getireceği endişesinde yatmaktadır. Bu yüzdendir ki, yandaş köşe yazılarından açık oturumlara, medya üzerine uygulanan baskıdan ve sansürden gazeteci tutuklamalarına kadar birçoğunun haksız kararlar oldukları yönünde ve basın özgürlüğü çerçevesinde birleşmektedirler. Basın, özgür ve sansürsüz olmalıdır ama bu özgürlük onların verdiği/belirlediği kadar olmalıdır. Yoksa AKP açık ve sansürsüz bir bilgi akışı içinde kaybeden taraf olacaktır. Çünkü, bilgi akışı içinde aynı hızla bir bilginin yanlışlığı/yalan olduğu ispat edilecek ve toplumu bir araya getirecek tehlikeli bir güç halini alacaktır.


Kaynaklar:

Shadmehr, M. ve Bernhardt. D. (2013). State Censorship.

King, G., Pan, J. ve Robers, M. (2012). How Censorship in China Allows Government Criticism but Silences Collective Expression.

Tagged , , , , , , , , , , , , ,

Flash Mazide Kalsın, Gelin Yeni Bir Başlangıç Yapalım: Bir Çağrı

2010 yılında Steve Jobs, Flash hakkındaki düşüncelerini paylaştığı bir makale yayımlamıştı. Bu makalede artık neden Flash kullanmak istemediklerini ise 6 maddede özetlemişti. Flash, Jobs için kısaca kapalı kaynak, yüzde 100 özel mülkiyet, güvenlik açısından sorunlu, pil düşmanı, PC ve fareler döneminde kalan dokunmatik ekranlar için uygun olmayan bir yazılımdı. Bu yüzden de 2010 sonrası iPhone, iPad ve iPod’larda HTML5, CSS ve Javascript gibi “açık” ve modern teknolojileri tercih ettiklerini açık bir dille belirtmişti. Adobe ise Internet’te yer alan videoların yüzde 75’inin Flash tabanlı olduğunu ve Apple cihazlarının bunlara erişemeyeceğine dair açıklamalarda bulunsa da artık Flash’ın sonu yavaş yavaş gelmeye başlamıştı.

2010’dan bu günlere gelindiğinde ise Flash, herkesin nefret etse de bir şekilde kullanmaya devam etmek zorunda kaldığı bir yazılım olmuş ve “sonunda” Internet’in devleri tarafından emekliye ayrılmasına dair çağrılarda ve açıklamalarda bulunulmuştur. Çünkü, web daha “açık” ve bağımsız komiteler tarafından denetlenen “özgür” standartları haketmektedir. Ayrıca, kullanıcıları daha modern yazılımlarla buluşturmalıdır. Flash ise kapalı kaynak ve özel mülkiyet olması bir tarafa, denetim konusunda bağımsızlıktan çok uzak olması 0-gün açıkları için bir altın madeni olarak hackerların, istihbarat servislerinin ve siber suçluların dikkatini çekmektedir.

0-gün saldıları, yazılımlarda daha önceden bilinmeyen veya yamalanmamış güvenlik açıklarını hedef alan saldırılara denilmektedir. Yukarıda da belirtildiği üzere bu açıklar; siber suçlular, istibarat servisleri ve diğer hackerlar için altın madenleridir. Bununla birlikte, 0-gün açıkları yazılımıcılardan, bu yazılımı kullananlardan ve daha geniş bir ifadeyle kamudan gizlendiği için açık, yamalanmamış ve bir şekilde bu yazılımı kullanmak zorunda kalanları büyük bir tehlikenin içine atmaktadır. Bu açıklarla ilgili Flash’tan 10 Temmuz 2015’te yayınlanan bir örnek aşağıdadır.

Critical vulnerabilities (CVE-2015-5122, CVE-2015-5123) have been identified in Adobe Flash Player 18.0.0.204 and earlier versions for Windows, Macintosh and Linux. Successful exploitation could cause a crash and potentially allow an attacker to take control of the affected system.

Görüldüğü üzere 0-gün açığı bu sürüme sahip Flash yüklü olan Windows, Mac ve Linux işletim sistemlerini etkilediğini, saldırgana ise potansiyel olarak etkilenen sistemi kontrolü altına almasına neden olabileceğini söylemektedir. Buradaki tehlikeyi daha anlaşılır bir dille ifade etmek istersek, Flash kullanan bir haber sitesi de bu Flash yüklü olan okuyucusu da 0-gün açığı üzerinden saldırganların tehditi altındadır. Diğer taraftan, bu açıklar kapanana veya kamuyla paylaşılana kadar geçen süre içerisinde de saldırganların neleri veya kimleri hedef aldıkları, saldırılar sonunda neleri ele geçirdikleri ise takip edilememekte veya uzun bir süre geçtikten sonra ortaya çıkmaktadır.

Türkiye’de yer alan video paylaşım sitelerinden haber sitelerine, TV kanallarına ait sitelerden bu sitelerde yer alan canlı yayınlara kadar Flash günlük hayatımızın ve Internet kullanım alışkanlıklarımızın içinde büyük bir yere sahiptir. Fakat, bu kadar eleştirilmesi, kapalı kaynak ve yüzde 100 özel mülkiyet bir yazılım olup saldırganlar için bir altın madeni olmasına rağmen, HTML5 gibi açık, daha özgür ve bağımsız bir komite tarafından denetlenen bir standartın tercih edilmemesi bu siteleri kullanan herkesi tehdit altına sokmaktadır. Adobe, yıllar boyunca Flash güvenliğini geliştirmede bir türlü yeterli olamamıştır. 2009 yılından bu yana birçok kötü güvenlik kayıtlarına da sahiptir:

Among the vulnerabilities discovered in 2009, a vulnerability affecting both Adobe Reader and Flash Player was the second most attacked vulnerability. This was also one of four zero-day vulnerabilities affecting Adobe plug-ins during 2009. Two of the vulnerabilities were in the top five attacked vulnerabilities for 2009. Additionally, Adobe vulnerabilities have been associated with malicious code attacks such as the Pidief.E Trojan.

Yukarıdaki alıntıda görüldüğü üzere, 2009 yılında keşfedilen açıklar içerisinde en çok saldırıya uğrayanlardan ikincisi, Adobe Reader ve Flash’ı aynı anda etkileyen bir açıktır. Ayrıca, 2009 yılı içinde Adobe eklentilerini en çok etkileyen 0-gün açıklarından da biridir. 2009 yılından günümüze kadar geçen 6 yıl içinde Flash, gözetim yazılımları üretip bunu totaliter rejimlere satmaktan, bu açıkları pazarlık konusu yapmaktan ve birçok masum insanın bu rejimler tarafından her hareketinin izlenmesine ve hatta öldürülmesine yol açanlar tarafından kullanılmaya da devam etmiştir.

Gözetim ve istihbarat yazılımları üreten firmalardan İtalyan HackingTeam’in hacklenip hem satmakta oldukları yazılım hem de yazışmaları paylaşıldığında, Flash’taki 0-gün açıklarından ne kadar çok yararlandıkları da ortaya çıkmıştı. Öte yandan, HackingTeam’in Flash’taki 0-gün açıklarına dair bir “exploit” almak için bir başka güvenlik firması olan Netragard’a 105 bin Dolar ödeme pazarlığı içinde olduğuna dair bir yazışma da Wikileaks’te yer almaktadır. Türkiye’de ise devlet kurumlarından fuarlara kadar HackingTeam’le ne kadar içli dışlı oldukları ve Türkiye’nin HackingTeam’den 600 bin Dolarlık hizmet ve yazılım aldığı da düşünülürse, Flash kullanımı beraberinde çok büyük bir tehlike getirmektedir.

Türkiye’de Hayat TV, Flash yayını keserek örnek bir adım atmıştır. Diğer taraftan günde binlerce kez tıklanan haber siteleri, video paylaşım siteleri, TV kanallarına ait canlı yayınlar ise tüm bu anlatılan açıklara, hem kendilerini hem de okuyucularını tehlikeye atacak zararlarına rağmen Flash kullanmaya devam etmektedirler. En büyük ironi ise HackingTeam haberlerini yapmalarına rağmen sitelerinde Flash reklamlar veya videolar yer almaktadır. Gelin siz de bu çağrıyı dikkate alın ve daha fazla görmezden gelmeyin. Flash artık mazide kalsın, sitelerinize aldığınız reklamlardan paylaştığınız videolara kadar Flash olmamasına özen gösterin, gelin yeni, daha “açık”, daha “özgür” ve daha “modern” bir başlangıç yapalım. Web’i hakettiği “açık” ve “özgür” standartlarına kavuşturmak için biz de güçlü bir adım atalım.

Tagged , , , , , , , , , , ,

HackingTeam Dosyası – II

HackingTeam’in ilk dosyasında Türkiye’de düzenlenen bir istihbarat ve gözetim teknolojileri fuarı üzerinden RCS gibi kötücül yazılımlar için nasıl cazip bir pazar olduğunu ve bu fuarın direktörü Tolga G.’nin HackingTeam’e gizli kapılar ardında -olası- müşterileriyle buluşturduğunu incelenmişti. Bu yeni dosya ise Türkiye’de haberleşme, güvenlik, analiz, mobil vb. Konularda hizmet veren 3 yerli şirketin HackingTeam ile ilgili 45 (yazıda 28 id mevcuttur) yazışmanın bir incelemesinden oluşmaktadır. Bu şirketlerin ise K.T., B.LTD. ve I.D.S.’tir (Kurum ve kişilerin itibarlarının zedelenmemesi için kısaltmalar kullanılmıştır.).

KT; kedi deyimleriyle Orta Doğu ve Körfez ülkeleri de dahil olmak üzere “Savunma Sanayii, Hava, Denizcilik ve Telekomünikasyon sektörlerinde sabit, mobil ve uydu haberleşme sistemleri, Deniz ve Hava Trafiği İzleme Sistemleri, büyük IT networklerinin projelendirme, montaj, devreye alma, entegrasyon, test, bakım, işletme, eğitim, danışmanlık ve teknik destek hizmetlerini vermektedir”. Bununla birlikte, B.LTD. ise “tıbbi amaçlı görüntü analiz sistemlerinin geliştirilmesiyle baslayan Ar-Ge faaliyetleri, güvenlik, veri analizi, ses ve görüntü aktarım, kayıt sistemleri, veritabanı uygulamaları, ve son olarak mobil cihazlara yönelik uygulamalar geliştiren bir başka şirkettir” ve bir teknokent bünyesinde yer almaktadır. Son olarak I.D.S.; görüntü, gece görüş, UAV, AUVIS, balistik çözümleri ve sistem uygulamaları konusunda uzmanlaşmış savunma çözümleri sunan bir şirkettir.

Dikkat edildiği üzere üç şirket de savunma (ve saldırı) çözümleri ve ürünler üreten, genel olarak askeri ve istihbarati yapılarla çalışan, hükûmetle iyi ilişkiler içinde olduklarını da e-postlarında belirten HackingTeam’in müşterileriyle iletişim (pazarlama ve çözüm ortağı) aracı olan şirketlerdir. Yazışmalardan ilk dikkate değer konu 2011 yılında olan “Private Demo” konulu (564978, 564988, 564998, 564973, 564981, 564997, 564980, 564971, 564985, 564972, 565002, 564989, 564977, 565005 ve 565000) B.LTD.’den Alper T., Tuğrul O., Altuğ B. ve HackingTeam’den Mostapha M. arasında olandır. Bu iletişimde dikkati çeken önemli noktalardan biri btt’nin Bangladeş Silahlı Kuvvetler’inin istihbarat birimi olan DGFI‘nin bir sızma sistemi (yazılımı) arayışı içinde olduğu, DGFI’nin ise bir yandan da Trovicor ve Verint‘ten gelen teklifleri değerlendirdiği belirtilmiştir. Öte yandan, bu sızma sitemi için Ankara’da gizli bir gösterim ayarlamaya çalışılmıştır.

Özellikle, 05/06/2013 tarihinde Altuğ B. (B.LTD)’den atılan e-posta ise dikkate değer. Türkiye’de yaşanan olaylardan dolayı müşterilerin beklemede olduğunu ve GSM ve 3G için sızma yapılabilecek bir çözüm arayaşı içinde olduğunu söylemiştir. Bu tarihin önemi ise Gezi Parkı protestolarının yaşandığı bir dönemin içinde olması, diğer taraftan da Altuğ B.’nin Türkiye’de yaşanan olaylara gönderme yapmasıdır. Gezi Parkı protestolarında mobil iletişimin çok yoğun olarak kullanıldığı dikkate alındığında, btt’nin kimin için bir GSM/3G gözetim ve sızma arayışı içinde olduğunu da söylemek güç.

K.T. ise (322642, 545817) ilk olarak Kamil Y. aracılığıyla 06/05/2015 tarihinde HackingTeam ile iletişime geçmiş ve e-postasında hükûmet ve özel sektör ile güçlü ilişker içinde olduklarını, Intelligence Support Systems (ISS) fuarında yer alacaklarını ve kendileriyle pazar fırsatlarını konuşmak istediklerini söylemiştir. 04/06/2014 tarihli yeni e-postasında ise Emniyet Genel Müdürlüğü’nün istihbarat birimine HackingTeam’in RCS Galileo ürününü sunmak istediklerini belirtmiştir.

I.D.S.’ten A. Serkan D., ilk olarak 11/03/2015 tarihinde “Business Relations” konulu e-posta (375772, 314134, 350936) ile iletişime geçmiştir. Bu e-postada kendilerinin görüntü, gece görüşü, UAV, AUVIS ve balistik çözümleri sunduklarını, hükûmet ile güçlü ilişkilerinin olduklarını, emniyet için çözümler aradıklarını ve -HackingTeam’in- VoIP monitörleme ve çözüm sunan yazılıma sahip olduğu teknik konularda bilgi alış-verişi aradığını belirtmiştir. VoIP; kısaca sesli iletişime konu olan teknolojilerin Internet protokolleri üzerinden gerçekleştirilmesine denilmektedir. Bunlara, Internet telefonu, genişbant telefon hizmetleri, faks, SMS, sesli mesaj gibi servisleri içermektedir.

Diğer e-postalar incelediğinde (340338, 375543, 377667, 1055568, 145606, 23965, 378914, 604917) ise M.T. (muhtelemen haber bülteni üzerinden), Türkiye’de düzenlenen bir fuar alanı (doğrudan HackingTeam ile iletişim) ve bir teknokent (iç yazışmalar HackingTeam klasörlerinde) HackingTeam’i birçok ülkenin ve savunma endüstrisinden büyük firmaların yer aldığı IDEF 2015’e davet edilmiş ve ısrarla büyük bir pazardan, pazardaki karar sürecinde etkileyici konumda olan büyük savunma endüstrisi firmaların olduğu söylenmiştir.

Şimdi soruyoruz:

  1. Gezi Parkı protestoları döneminde neden GSM ve 3G’ye sızmak için HackingTeam ile kimin için çözüm arama yoluna gitmiştir?
  2. Emniyet birimleri için VoIP üzerine HackingTeam’den herhangi bir çözüm temin etmiş midir?
  3. Davetleride gayri ahlaki ve kötücül yazılımlar üreten bir şirketi 2014’te Ankara’da düzenlenen Cyber Security Conference & B2B Meetings’e ve IDEF 2015’e davet ederken bir ön çalışma yapılmış mıdır? Yapılmamışsa, Türkiye onlar için önüne gelenin satış yapabileceği bir pazardan mı ibarettir?
Tagged , , , ,

HackingTeam Dosyası – I

HackingTeam ile ilgili olarak ilk 23 Şubat 2014 tarihinde CitizenLab tarafından yazılmış iki akademik çalışmanın Türkiye ayağını ve bu konuyla ilgili yazılmış ilk Türkçe makale olan “İzi Sürülemeyen” Casus Yazılım ve Türkiye’de bahsetmiştim. Fakat, bu makale yayınladığım dönemden HackingTeam’in hacklenip belgelerin ortalığa dökülmesine kadar olan 1 yılı aşkın süredir hiçbir dikkat de çekmemişti. İçeriğinde ise Türkiye’yi IP bilgilerini de dikkate alarak RCS’yi kullanma ihtimali yüksek ülkeler içerisinde olduğunu söylemiştim fakat, sızdırılan yazışmaları incelediğimde bu konunun ne kadar derin ve kapsamlı olduğunu da görmüş bulunmaktayım. Yaman Akdeniz hocamın da çağrısını dikkate alarak yeni bir HackingTeam dosyasını, kendi çalışma alanım içerisinde başlatıyorum. Bu ilk dosyada “RE: R: R: Ref: Turkish National Police, US Department of Commerce Certified Trade Event: EMEA Intelligence 2011, Turkey” e-posta yazışmalarının bir analizini bulacaksınız.

Türkiye’de ve kendi tanımlarıyla uluslararası bir istihbarat, adli bilim ve gözetim teknolojilerinin tanıtımı ve konferanslarının düzenlendiği bir fuar düzenlenmektedir. Bu fuar BTK (Bilgi İletişim ve Teknoloji Kurumu) sponsorluğunda ise her sene Ankara’da yapılmaktadır. Bu fuarın yöneticisi ise Tolga G.’dir. İlk olarak 2011 yılında HackingTeam ile iletişime geçen Tolga G., fuarın sadece Türkiye pazarından değil Avusturalya, Hong Kong, Israil, Amerika, İngiltere, Orta Doğu ülkeleri, Güney Doğu Asya ülkeleri, Doğu Avrupa ülkeleri gibi birçok ülkeden katılımcıyı içerdiğini belirtmiştir. Ayrıca, Türkiye’nin güvenlik donanım ve servislerine 2009 yılında 3.63 milyar dolar, fiziksel güvenlik servislerinin yaklaşık 3 milyar dolar, elektronik güvenlik metodlarına 450 milyon dolar, ve nakit olarak transfer ücretlerine ise 180 milyon dolar yatırım yaptığını ve Türkiye’nin çok cazip bir pazar olduğunu vurgulamaktadır.

HackingTeam’in pazarlama müdürü Marco B., bu e-postaya katılımcı olarak ilgilendiklerini, mevcut bir yer olup olmadığını ve konuyla ilgili olarak detaylı bilgi istediğini söylerek cevap vermiştir. Tolga G., hangi katlarda boş yer olduğunu belirtirken özellikle ikinci katta,  popüler markaların bulunduğu yeri önermiştir. HackingTeam’den gelen yeni yanıtta ise Tolga G. ve HackingTeam arasında yaşanan bir telefon konuşmasına istinaden teşekkür edilmiş, devamında HackingTeam fuarda verecekleri konferansın zamanını Emniyet Genel Müdürlüğü’nün vereceği konuşmadan önce mi sonra mı olacağını sormaktadır. Devamında Tolga G., en büyük alıcıları olabilecek BTK genel müdürünün yer alacağı günü ve gene aynı günde ikinci ve üçüncü en büyük alıcı olabilecek Emniyet Genel Müdürlüğü ve emniyete ait istihbarat servisinin de bulunacağını fakat, konuşmalarını ise ikinci gün yapacaklarını vurgulamıştır.

Bu açıklamalar doğrultusunda konferans günü seçen HackingTeam, RCS teknolojileriyle ilgili olarak hangi sistemleri ve donanımları hedef aldığına dair detaylı bir e-posta atmıştır. Dikkati çeken bir başka nokta ise HackingTeam’in RCS’yi “The ULTIMATE WEAPON for attacking and covertly monitoring PCs and Smartphone”, Türkçesi bilgisayarlara ve akıllı telefonlara saldırmak ve gözetlemek için GERÇEK SİLAH olarak belirttiğidir. Açıkçası, bu teknolojinin satıldığı rejimlerde öldürülen aktivistler, gazeteciler ve birçok masum insan da gözönüne alındığında gerçekten de bir silah olduğu kolaylıkla söylenebilmektedir. Ayrıca, kendilerine özel görüşmeler yapabilecekleri bir odanın ayarlanıp ayarlanamadığını ve ücretini soran HackingTeam’e yanıt olarak “potansiyel müşterilerinize de davetiye göndermek ister misiniz?” diye yanıt veren Tolga G., devamında sağlayacakları odadaki Internet bağlantısının güvenli olduğunu, binanın eski askeri bir bina olduğunu (Harbiye Müzesi), diğer taraftan da özel odalar için de indirim yaptığını söylemiştir.

Ziyaretçilere giden davetlerin Internet üzerinden ve hepsinin bir barkota sahip olduğunu söyleyen Tolga G.’ye cevap olarak Hacking Team, Ahmet K., Emniyet Genel Müdürlüğü, Thomas S., Banu L. ve dil asistanı için davetiye istemiştir. 2012 yılındaki konferans için iletişme geçnen Tolga G., Türkiye’de (yasal ama son derece tartışmaya açık) dinlemelerin başka bir istihbarat servisine geçtiğini, artık en yüksek teknoloji ve otoriteye sahip olan kurumun BTK olduğunu ve aynı fiyatlardan ücretlendirme yapacaklarını söylediği yeni bir katılım daveti yollamıştır. Fakat, HackinTeam bu sene katılamayacaklarını belirtmiş, Tolga G. de cevap olarak 2013 yılında görüşmek dileğiyle diyerek son bir cevap vermiştir.

Anlaşılan o ki, BTK Türkiye’deki her türlü haberleşme sistemlerinde abone bilgilerini yasal –yasalara aykırı– olarak izleyebilen, en yüksek teknolojiye ve otoriteye sahip kurum halini almaya 2012 yılında başlamış ve artan bir ivmeyle de devam ettirmiştir. Diğer taraftan, Emniyet Genel Müdürlüğü, muhtmelen HackingTeam ile yapmış oldukları görüşmede RCS teknolojisi satın almaya karar vermiş ve bugüne kadar toplamda sivilleri gözetim altında tutabilmek için 440 bin Euro para harcamıştır. Hukuka aykırı olarak yapılan dinlemeler ise konun bir başka boyutunu daha ortaya koymaktadır. Çünkü Tolga G., özellike dinleme yapacak istihbarat servisinin değiştiğini ve en yetkili kurumun da BTK olduğunu e-postasında belirtmiştir.

Sonuç olarak, yasalara aykırı ve hukuki hiçbir dayanağı olmayan, tamamen kötücül ve dünya çapında birçok masum insanın öldürülmesine yol açan ve kendini silah diye tanıtan bir teknolojiye, Türkiye’yi pazar olarak sunan ve farkında olmadan da dinlemelerin ana kaynağını e-postalarında belirten bir isim olmuş Tolga G. Gizli görüşmelerde neler konuşulduğu ve neler için el sıkışıldığı ise ayrı bir konu. Tüm bunların sonuçları iste yavaş yavaş ortaya çıkmaya başladı bile.

Tagged , , , ,

Tails

Tails, açılımı The Amnesic Incognito Live System olan açık kaynak ve özgür yazılım işletim sistemidir. Tails açılımındaki kavramların neler olduğunu da kısaca bir incelemek sistemin neyi ifade ettiğini anlayabilmek açısından önemlidir. Kısaca:

amnesia: forgetfulness; loss of long-term memory.
Türkçesi hafıza kaybıdır. Tails’ta vurgulanmak istenen ise uzun dönemli bir hafıza kaybı olduğudur. Yani, kullandığınız bilgisayarlarda herhangi bir iz bırakmamasıdır.

incognito: (of a person) having one's true identity concealed.
Türkçesi kim olduğunu belli etmeyendir. Tails’ta vurgulanmak istenen ise bir kişinin gerçek kimliğinin gizlenmesidir. Yani, anonimlik.

Diğer bir ifadeyle Tails, canlı bir işletim sistemi olup bireyin gizliliğini ve anonimliğini, bunu aşmak isteyen saldırganlardan korumayı hedefler. Interneti herhangi bir sansüre takılmadan, gittiğiniz her yerde ve her bilgisayarda ve arkasında iz bırakmadan kullanmanızı sağlar.

Tails, tam bir işletim sistemi olup, DVD, USB, ve SD kartlara kurulabilen, bilgisayarlardaki işletim sisteminden bağımsız olarak kullanılması için tasarlanmıştır. Tails, özgür yazılımdır ve Debian GNU/Linux tabanlıdır.

Tails’ın daha iyi anlaşılabilmesi için çevrimiçi anonimliğin ve sansürlerden kurtulmanın neden önemli olduğunu tekrar ifade etmek gerekmektedir. Öncelikle, birey neden anonimliğe ihtiyaç duyar? Türkiye gibi devam etmekte olan baskıcı bir sistem içerisinde kendini özgürce ifade edecek bir alan bulunmamaktadır. Bunun nedeni baskı kelimesinin anlamında yatmaktadır. Çünkü, baskı muhalefetin kökünü kazımayı amaçlar ve bu yolda da kendine her şeyi mübah görecek sistematik bir şeydir. Siyasi ve psikolojik araçları kullanır ve kitleleri ifade özgürlüğünün dışına iter. Diğer taraftan, birey anaysal hakkı olan gizliliğinin bu baskı altında eridiğini ve kendisini birey yapan şeylerle çevrili yapay bir ada oluşturan gizliliğinin ortadan kalktığını görecektir. Bu yüzden de kendisini özgürce ifade edebilmek için anonimliği tercih edecektir. Ayrıca, baskı araçlardan bir tanesi de sansürdür. Sansür, her türlü yayının, sinema ve tiyatro eserinin hükûmetçe önceden denetlenmesi işi, sıkı denetim anlamına gelmektedir. Baskı için denetim her hükûmetin en sık başvurduğu yollardan biridir. Kendi çıkarları dışında kalan veya kendini eleştiren ve muhalefet eden her şeyin ifade özgürlüğünün dışına itilmesi için denetler ve sansürler.

Tails gibi işletim sistemleri ise içerdiği anonimlik araçları ile bireylerin kendilerini baskıcı yapılarda hiçbir sansür engeline takılmadan özgürce ifade edebilmelerine olanak sağlamaktadır. Tails’ın en önemli anonimlik aracı Tor’dur.

  • Tails’ın içerdiği tüm yazılımlar Internete Tor üzerinden bağlanır.
  • Eğer, bir uygulama Internete doğrudan bağlanmaya kalkarsa, bağlantı güvenlik sebebiyle otomatik olarak engellenir.

Tor (eski adıyla onion router), ilk olarak Amerikan Donanması ile beraber, devlet içi iletişimleri korumak için geliştirilmiştir. Günümüzde ise herkesin kullanabildiği (aktivist, ordu, gazeteci, kanun uygulayıcı vs.), sanal tünellerden oluşan, kişi ve grupların Internet üzerindeki gizliliklerini ve güvenliklerini sağlayan, geliştiren açık kaynak ve özgür yazlım olan bir anonimlik ağıdır.

Tor kullanarak:

  • Yerinizi belli etmeden anonim olarak çevrimiçi olabilirsiniz.
  • Sansürlenen içereklere herhangi bir engele takılmadan erişebilirsiniz.
  • Tor ağını engelleyen yapılardan köprü (bridge) kullanarak korunabilirsiniz.

Tails, özel olarak tasarlanmış olup kullanıldığı bilgisayarın harddiskini ve varsa takas (swap) alanlarını kullanmamak üzere çalışmaktadır. Tails’ın bir bilgisayar üzerinde kullandığı tek şey bellek (ram)’dir. Bilgisayarı kapattığınızda ise Tails otomatik olarak bellekteki tüm verileri geri getirilemeyecek şekilde siler ve arkasında herhangi bir iz bırakmaz. Bu yüzden, yazının başında bahsedilen “amnesic” kavramı Tails kavramlarından bir tanesidir. Fakat, Tails sihirli bir araç değildir ve çevrimiçi anonimlik gibi çok karmaşık problemler için %100 bir çözüm sunamaz. Bunun çeşitli sebepleri vardır:

  • Tor çıkış nodu ile bağlanmak istediğiniz websitesi arasındaki iletişim dinlenebilir. Bunun için HTTPS-Everywhere kullanmak veya HTTP sitelerine giriş yapmamak gerekmektedir.
  • Internet servis sağlayıları Tor kullandığını görmektedir. Bunun için köprü tercih edilebilir.
  • Bir MitM (man-in-the-middle) saldırısı kurbanı olunabilir.
  • Hem Tor ağına giden hem de Tor ağından çıkan trafiği görebilmek için tasarlanmış sistemlerde her yapılan görülebilir. İSS’nin de böyle bir çalışması olabilir.
  • Tails, belgelerini otomatik olarak şifrelemez.
  • Tails, belgelerin metadatalarını otomatik olarak silmez.
  • Tails, genel bir gözetim mekanizmasından korumaz. Örneğin, bağlanılan ağdaki tüm bilgisayarlar izleniyorsa bu bir koruma sağlamayacaktır.
  • Tails, kötü ve basit parolalarınızı güvenli hale getirmez.

Son bir kez daha belirtmek gerekirse, anonimlik ve güvenlik sadece bir araca bırakmak bireyi saldırganlardan korumayacaktır. Bu tarz araçları kullanırken ne amaçla kullandığının bilincinde olmak gerekmektedir. Çünkü, günümüz Interneti çoklu sekmelerden, her adımı şifrelenmiş ve anonimleştirilmiş yollardan akmamaktadır. Böyle bir yapı içerisinde tamamen anonim kalabilmek mümkün değildir.

Tails’i iki şekilde elde edilebilir.

  1. Doğrudan indirmek için buraya tıklayın.
  2. Torrent üzerinden indirmek için buraya tıklayın.

İmaj dosyasını çektikten sonraki en önemli adım imaj dosyasını doğrulamak olacaktır. Bu neden önemli? Eğer, bir MitM saldırısı varsa ve birey kaynak yerine aradaki saldırgandan dosyayı çektiyse, bu dosya değiştirilmiş olabilir ve kullandığında anonimlik tamamen tehlike altında olacaktır.

İlk olarak imaj dosyasının SHA256 çıktısına bakılmalıdır:
339c8712768c831e59c4b1523002b83ccb98a4fe62f6a221fee3a15e779ca65d

GNU/Linux
kame $ sha256sum tails-i386-1.4.iso

Windows
Raymond’s MD5 & SHA Checksum Utility uygulamasını indirin ve kurun. Browse diyerek tails-i386-1.4.iso dosyasını açıp yukarıdaki SHA256 çıktısı ile karşılaştırabilirsiniz.
windows-checksum-utility

İndirmiş olunan Tails imajının en önemli doğrulama adımı olan Tails imzasının kullanılmasıdır. Bütün Tails imajları Tails’e ait OpenPGP imzası ile imzalanmıştır. İmzayı indirmek için lütfen buraya tıklayın. İmza ile doğrulamak ise:

GNU/Linux
kame $ gpg --keyid-format long --verify tails-i386-1.4.iso.sig tails-i386-1.4.iso

gpg: Signature made Sun 08 Feb 2015 08:17:03 PM UTC
gpg: using RSA key 3C83DCB52F699C56
gpg: Good signature from "Tails developers (offline long-term identity key) " [unknown]
Primary key fingerprint: A490 D0F4 D311 A415 3E2B B7CA DBB8 02B2 58AC D84F
Subkey fingerprint: BA2C 222F 44AC 00ED 9899 3893 98FE C6BC 752A 3DB6

Eğer herhangi bir hata alınırsa, imajı silinmeli ve tekrar indirilmelidir.

Windows

  1. Öncelikle Gpg4win uygulamasını indirin ve kurun.
  2. Daha sonra Tails signin anahtarını indirin ve Gpg4win’e aktarın.
  3. Son olarak, indirmiş olduğunuz Tails imzası ve Tails imajını doğrulayın.

Doğrulama işlemini başarıyla tamamlandıysa artık imajı yazdırmaya geçilebilir. DVD, USB bellek veya SD kartlardan bir tanesini seçilebilir. DVD, hem ucuz hem de ele geçirilse bile virüs bulaşmayacağı ve üzerine tekrar bir şey yazılamayacağı için güvenli bir seçenektir. Fakat, hem taşınması hem de her bilgisayarda DVD sürücüsü bulunmayabileceği için bireyin insiyatifine kalmıştır. USB bellek ve SD kartlar ise taşınma ve kullanım kolaylığı açısından iyi bir esneklik sunabilmektedir fakat, saldırgan fiziksel olarak USB belleğe veya SD karta erişebilir ve içeriğini manipüle (virüs) edebilir.

GNU/Linux
USB belleğini takın ve bağlandıysa (mount) lütfen bağlantıyı kaldırın (umount). Kurulum yapacağınız bağlantı noktası çok önemli olduğu için dikkat edin yoksa kazara harddiskinizi silebilirsiniz. /dev/sd[x] USB belleğinizin bağlandığı yolu göstermektedir. Nümerik bir şey olmayacaktır; /dev/sdc1 gibi. Root olun ve:

root $ dd bs=4M if=tails-i386-1.4.iso of=/dev/sdx && sync

Bu işlem biraz vakit alacaktır. Başarıyla tamamlandığına dair çıktı ise aşağıdaki gibi olacaktır:

231+1 records in
231+1 records out
970584064 bytes transferred in 207.309208 secs (4681818 bytes/sec)

Windows
Windows’ta USB belleğe yazdırmak için Tails’ın yönergelerine buradan bakabilirsiniz.

Artık Tails kuruldu ve kullanıma hazır. Tek yapılması gereken, takılı olduğu bilgisayarı USB bellekten başlatmaktır. Bunun için taktığınız bilgisayarları yeniden başlatıp, açılış ekranında BIOS’a girerek USB belleği seçebilirsiniz.

Tails’ı USB bellekten başlattığımızda ilk olarak aşağıdaki ekran gelecektir. Enter’a basak devam edebilirsiniz. Eğer, basmazsanız 3 saniye içerisinde kendisi işletim sistemini başlatacaktır.
boot-menu-with-options

Başlatma bittiğinde karşınızda aşağıdaki karşılama ekran gelecektir. Bu karşılama ekranında alt satırda dil, ülke ve klavye seçeneklerini Türkçe olarak (veya hangi dilde kullanmak isterseniz) ayarlayabilirsiniz.
tails-greeter-welcome-to-tails

More options kutucuğunda lütfen Yes‘i seçin ve Login tuşuna basın.
3

Yukarıda gördüğünüz ekranda ilk olarak kendinize bir parola belirleyebilirsiniz. Güvenlik için parola kullanmamanızı tavsiye ederim. Yönetici hakları ile önemli ayarları istemeden değiştirebilirsiniz. Bir altta gördüğünüz Windows camouflage ise masaüstünün Windows 8’e benzemesini sağlayacaktır. Bu da kamuya açık ortamlarda dikkat çekmeden Tails kullanmanızı sağlar. Diğer seçenekleri varsayılan şekliyle olduğu gibi bırakabilirsiniz.

Screenshot from 2015-06-06 17:30:29

Internet bağlantınız Tor ağı üzerinden akmaya hazır olduğunda sağ üst köşede çıkan uyarıdaki gibi bir uyarı alacaksınız. Artık güvenli bir şekilde Tails üzerinden Internete girebiliriz. Windows tuşuna bastığınızda başlat menüsü açılacaktır. Bu menü:

5

şeklindedir. Dikkat ettiğiniz üzere hem Tor Browser hem de Unsafe Web Browser mevcuttur. Unsafe Web Browser, Tor ağını kullanmadan, doğrudan Internet bağlantınızı kullanarak websitelerine girmenizi sağlar. Bu ayrımı unutmamanız yararınıza olacaktır. Tor Browser’ı açtığınızda:

Screenshot from 2015-06-06 16:12:19

herhangi bir sansüre takılmadan, anonim olarak websitelerini görünteyebilirsiniz. Tails, Libre Office, Gimp ve Inkscape gibi grafik uygulamaları, Audacity ve Traverso gibi ses kayıt ve düzenleme uygulamaları, anlık mesaj uygulaması Pidgin‘i (OTR ayarlı), e-posta için Claws Mail‘ı, bir başka anonim ağ olan I2P‘yi, kablosuz ağlar için Aircrack-ng uygulaması, LUKS gibi disk şifreleme uygulaması ve birçok başka uygulamayı da içermektedir.

Tails üzerinden herhangi bir bulut üzerine veya herhangi bir yere dosya yüklemesi/göndermesi yapacaksanız, dosyaların Tor browser klasörü içerisinde yer alması gerekmektedir. Diğer türlü Tails dosyaların gönderilmesini engelleyecektir. Dosya gönderirken dikkat edilmesi gereken bir başka nokta da metadatalarının temizlenmesidir. Metadatalar dosyalarla ilgili eşsiz veriler saklar ve bu veriler dosyanın nerede, ne zaman, kimin tarafından oluşturulduğuna dair önemli bilgiler tutabilir. Bu bilgileri Tails’ta yer alan MAT uygulaması ile silebilirsiniz.

Screenshot from 2015-06-06 16:30:17

Add ile metadalarını silmek istediğiniz dosyaları ekleyebilir be Scourge ile silebilirsiniz.

Tails kullanırken dikkat etmeniz birkaç nokta aşağıdadır:

  • Tails kullanırken gerçek kimliğinize ait hesaplara (Facebook, Gmail gibi) giriş yapmamayı tercih edin.
  • Claws Mail, Internete Tor ağı üzerinden bağlanacağı için Gmail gibi hesaplar girişi engelleyebilir ve size şifre sıfırlama gibi mesajlar gönderebilir. Gmail, Hotmail, Yahoo gibi hesaplar yerine Tor ağı dostu e-posta servisleri tercih edilmelidir.
  • Kesinlikle Flash kurulmamalıdır.
  • Adblock gibi eklentiler reklamları engellerken IP bilgisi sızdırabilir.
  • Javascript kurulmamalı ve aktif edilmemelidir.

Tails kurulum ve kullanım olarak gayet kolay bir canlı işletim sistemidir. Öte yandan, bu yazı Tails’ın içerdiği tüm uygulamalara ait detaylar içeren bir yazı değildir. Birey, Tails’ı kendi bilgisayarında deneyerek içerdiği uygulamaların neler olduğunu çok kolay bir şekilde keşfedebilir. İlerleyen süreç içerisinde de bu uygulamalara ait detayları bu yazıda bulabilirsiniz.

Son olarak, Tails, Tor, VPN, Proxy vd. sizlere %100 anonimlik sağlamayacaktır. Bunun bilincinde olmak en az bir anonimlik aracını kullanmayı bilmek kadar önemlidir.

Tagged , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

Yeni İç Güvenlik Paketi ve Fişlemeyi Normalleştirmek

Aşağıdaki yazının ilk halini 13 Ocak 2014 tarihinde yazmış ve yayımlamıştım. Bugün geçmeye başlayan yeni iç Güvenlik Paketi’nden sonra bu yasa üzeriden fişlemenin ne noktalara ulaşabileceğini daha ayrıntılı incelemenin önemli olduğunu düşünerek yazıyı tekrar güncelledim.

Gezi sürecinden bildiğimiz üzere insanlar Gezi’ye destek vermek amacıyla geceleri ülkenin birçok ilinde “tencere tava” çalmaya başlamıştı. Çok geçmeden Erdoğan; “Komşuyu rahatsız etmek suçtur. Ben değil yasalar söylüyor. Müracaatınızı yapacaksınız, yargıya bildireceksiniz.” diyerek tencere tava çalanların ihbar edilmesini istemişti. Ardından, bu konuyla ilişkin olarak “Sırdaş Polis İhbar Noktası” projesinden bahsetmişti:

Mahalle aralarına yerleştirilecek bu sistem sayesinde, bir suç işlendiğinde, insanlar ‘kimliğim tespit edilir mi?’ endişesi yaşamayacak. Bu sistem ile ister yazılı olarak, isterse de sesli olarak bu kutulara ihbarda bulunabilecek. Bu kutulara yapılan ihbarlar ise kesinlikle gizli kalacak. Projenin kısa bir zaman diliminde başlatılması hedefleniyor.

Yukarıdaki alıntıda görüldüğü üzere, yazılı veya sesli olarak mahalle aralarına yerleştirilmiş bu sisteme insanlar kimlikleri gizli kalacak şekilde ihbarlarda bulunabilecekler. Ek olarak, bu proje sayesinde “polise olan ihbarların artırılması ve ihbar sisteminin işlevlik kazanması” amaçlanmakta olduğu söylenmiştir. Bir süre sonra, gündem değiştirme gücünü iyice kaybeden Erdoğan’ın kızlı-erkekli öğrenci evleri çıkışı olmuştu. “Üniversite öğrencisi genç kız, erkek öğrenci ile aynı evde kalıyor… Vali Bey’e bunun talimatını verdik. Bunun bir şekilde denetimi yapılacak.” demişti. Bu söyleminden sonra epey tepki çekmiş, kızlı-erkekli öğrenci evlerinin ihbarı başlamış, kendilerini ihaber edenler olmuş ve ihbar sonucunda da bir kişi hayatını kaybetmişti. Görüldüğü üzere her iki söylemin de ortak yönleri; neyin suç olduğunun bir kişi tarafından belirlenmesi ve “ihbar.”

Bu sefer çok yakın bir tarihte, 6 Aralık 2013′te “Trafikte Yeni Dönem! Herkes Polis Olabilecek” başlıklı yeni bir haber yayımlandı. Ayrıca, bu haber tv programlarında da gösterildi. Haberde geçen bölümden bir altıntı yapayım:

Tasarı Meclis’ten geçerse elinde kameralı cep telefonu bulunan herkes trafik casusluğu yapabilecek. Vatandaş aşırı hız, kırmızı ışık ihlali, emniyet kemeri, yasak park, araç kullanırken cep telefonu ile konuşma, hatalı sollama, araçtan sigara izmariti, çöp atma gibi eylemleri ya fotoğraflayarak tespit edecek ya da videoya çekecek.

Bu alıntıdan da görüldüğü üzere, insanlar ellerindeki cep telefonları ile isterlerse trafik casusluğu yapabilecekler. Yani tekrar aynı bahaneyle, yasalara aykırı bir durumun ihbar edilmesi istenmektedir. Bununla birlikte, “casusluk” kelimesi “Sırdaş Polis İhbar Noktası” projesi ile –bence– doğrudan ilişkilidir. Çünkü, her ikisinin de ortak noktası kimlik gizliliğidir (e-posta ile ihbar bu konuda biçilmiş kaftan). Şimdi bir ayrım yapalım. Mobese, devletin kendi eliyle koyduğu bir gözetleme sistemidir. Haberlerde insanlara “evlilik teklif eden çiftler, enteresan kazalar, mobese kameralarına takılan ilginç görüntüler vs.” şeklinde gösterilmekte, asıl çalışma amacı gizlenerek ve normalleştirilerek anlatılmaktadır. Öte yandan, bahsedilen ihbarlar bir sivil muhbirlik olup, ayrıca yasal bir dayanağı olmadan, farklı veya karşıt görüşlerde olanları devletin fişleyemediği noktada fişlenmesine yardımcı olmaktır.

İlk olarak, elinde kameralı cep telefonu olan herkesin trafik casusluğu yapmasını (kurallara uymayan sürücüler için bile) kabul edilemez buluyorum. Trafikteki kural ihlallerinin çözümü “ihbar” sisteminden geçmemektir. Ayrıca, bununla fişleminin ilerleyen süreç içerisinde daha normal bir algı yaratacağına inanmaktayım. Bunu şundan dolayı söylüyorum; ilk iki ihbar isteğinde neyin suç olduğu bir kişi tarafından belirlenirken bu sefer de yasalara aykırı durumlar bahane edilerek bir ihbar sistemi kurulmaktadır. Çünkü, hem tencere-tava hem de kızlı-erkekli ihbarların toplumun belirli bir kesimi tarafından (iktidar gibi düşünmeyenler diyelim ya da siz ne derseniz) “fişleme” olarak algılanmasına rağmen “kurallara, trafiğe vs. yardımcı olmak” adıyla fotoğraf çekilmesinin ve bununla ihbarda bulunulması gözden kaçırılmaktadır. Tıpkı Mobese haberleri ile yaratılmaya çalışılan algı gibi bu tarz ihbarların da asıl resmin üzerini örttüğünü düşünüyorum. Bu resim de fişlemenin ve devletin fişleme mekanizmasına yardımcı (gönüllü, sivil muhbirlik) olmanın ta kendisidir.

Yukarıdaki ifadelere ek olarak Yeni İç Güvenlik Paketi’nden bu konuya ilişkin çeşitli maddeleri sıralayalım:

  • 2559 sayılı Polis Vazife ve Salâhiyet Kanunu’nun 16. Maddesi’nin üçüncü fıkrasının b bendinde yer alan “Maddî güç; polisin direnen kişilere karşı veya eşya üzerinde bedenî kuvvetin dışında kullandığı kelepçe, cop, basınçlı su, göz yaşartıcı gazlar veya tozlar, fizikî engeller, polis köpekleri ve atları ile sair hizmet araçlarını, ifade eder.” maddesine “ve/veya boyalı” ifadesi eklenmiştir. Bu ifadede yer alan boyalı, TOMA’lardan sıkılacak suyun 3 gün çıkmayan bir boyalı su olduğunu söylemektedir. Bir gösteriye katıldınız ve TOMA size boyalı su ile müdahale etti. Üzerinize gelen boyalı su 3 gün boyunca kolay kolay çıkmayacak ve siz de bu 3 gün boyunca hayatınıza boyalı su ile “işaretlenmiş/fişlenmiş” olarak devam etmek zorunda kalacaksınız.
  • 2559 sayılı Polis Vazife ve Salâhiyet Kanunu’nun 15. Maddesi’nde yer alan “Polis; yaptığı tahkikat esnasında ifadelerine müracaat lazımgelen kimseleri çağırır ve kendilerine lüzumu olan şeyleri sorar.” ifadesine “Polis; müşteki, mağdur veya tanık ifadelerini, talepleri hâlinde ikamet ettikleri yerlerde veya işyerlerinde de alabilir. Bu fıkranın kapsamı ile uygulanmasına ilişkin usul ve esaslar İçişleri Bakanlığınca belirlenir.” fıkrası eklenmiştir. Bu yeni fıkra ile birlikte polis yukarıda bahsettiğim “ihbarcı komşulardan” gelecek bildirimlere veya kafasına estiğince herhangi birinin evine/işine gidip “ifade almaya geldim” diyebilir. Eğer, daha önce Emniyet’te herhangi bir “fiş” dosyanız varsa polis bundan da destek alarak ve kimseye sormadan bu yeni fıkra ile sizi düzenli olarak taciz edebilir.
  • 1174 sayılı Kimlik Bildirme Kanunu’nun 1. Maddesi’nde yer alan “Bu Kanunda sayılan, özel veya resmi, her türlü konaklama, dinlenme bakım ve tedavi tesisleri ve işyerleri ile konutlarda geçici veya sürekli olarak kalanlar, oturanlar, çalışanlar ve ayrılanların kimliklerinin tespiti ve bildirilmesi bu Kanunun hükümlerine göre yapılır.” ifadesinde “ayrılanların” ibaresi “ayrılanlar ile araç kiralayanların” şeklinde değiştirilmiştir. Bu değişiklik ile birlikte kiraladığınız araç ve bu araçla yaptığınız seyahat polis tarafından takip edilecektir. Diğer taraftan, Anayasa’nın 23. Maddesi’ndeki Yerleşme ve Seyahat Hürriyeti ile doğrudan çelişmektedir. Nitekim, bir otobüs yolculuğunda biletin T.C. kimlik numarası üzerinden verilmeysiyle de daha önceden çelişmekteydi.
  • 2559 sayılı Polis Vazife ve Salâhiyet Kanununun 4/A Maddesi’nin altıncı fıkrasının ikinci cümlesi “Ancak bu amaçla kişinin üzerindeki elbisenin çıkarılması veya aracın, dışarıdan bakıldığında içerisi görünmeyen bölümlerinin açılması istenemez.” de yer alan “Ancak bu” ifadesi “Bu” ile değiştirilmiş ve “Ancak, el ile dıştan kontrol hariç, kişinin üstü ve eşyası ile aracının dışarıdan bakıldığında içerisi görünmeyen bölümlerinin aranması; İçişleri Bakanlığı tarafından belirlenecek esaslar dâhilinde mülki amirin görevlendireceği kolluk amirinin yazılı, acele hallerde sonradan yazıyla teyit edilmek üzere sözlü emriyle yapılabilir. Kolluk amirinin kararı yirmi dört saat içinde görevli hâkimin onayına sunulur. Bu fıkra kapsamında yapılan araç aramalarına ilişkin olarak kişiye, arama gerekçesini de içeren bir belge verilir.” ifadesi eklenmiştir. Böylece polis mahkeme veya savcı emri olmadan sizin üzerinizi veya aracınızı arayabilecektir. Düşünün ki ihbarcı komşunuz polise sizinle ilgili bir şeyler fısıldadı ve polis sizi trafikte durdurarak bu ihbar üzerinden hiçbir yasal emir olmadan arama yapabilir veya aynı şekilde fiş dosyanız vardır ve sırf taciz etmek için kafasına estiğince sizi durdurabilir.
  • 2559 sayılı Polis Vazife ve Salâhiyet Kanunu’nun 7. Maddesi’nin ikinci fıkrasının üçüncü cümlesi “Hâkim, kararını en geç yirmidört saat içinde verir.” ifadesindeki “yirmidört saat” “kırksekiz saat” ile değiştirilmiştir. Ayrıca, üçüncü fıkrası “Yetkili ve görevli hâkim, Ankara ağır ceza mahkemesi üyesidir.” ile dokuzuncu fıkrası “Bu maddede yer alan faaliyetlerin denetimi; sıralı kurum amirleri, mülki idare amirleri, Emniyet Genel Müdürlüğü ve ilgili bakanlığın teftiş elemanları tarafından yılda en az bir defa yapılır. Bu faaliyetler Başbakanlık Teftiş Kurulu tarafından da denetlenebilir. Bu kapsamda yapılan denetimlerin sonuçları bir rapor hâlinde Güvenlik ve İstihbarat Komisyonuna sunulur.” ile değiştirilmiştir. Bu değişiklikler ile birlikte, herkesin telefonu kırksekiz saat boyunca dinlenebilecek ve bu dinlemeler ise Ankara’daki tek bir konumdan gerçekleştirilecektir. Yukarıdaki değişiklikleri de dikkate alırsak, bu dinlemeler üzerinden rahatça fişlenebilir, evinize/iş yerlerinize aramalar yapılabilir, aracınız durdurulup aranabilir.
  • 2911 sayılı Toplantı ve Gösteri Yürüyüşleri Kanunu’nun 33. Maddesi olan “Toplantı ve gösteri yürüyüşlerine 23 üncü maddenin (b) bendinde sayılan silah veya araçları taşıyarak katılanlar, altı aydan üç yıla kadar hapis cezası ile cezalandırılır. Silah veya aracın ateşli silah ya da patlayıcı veya yakıcı madde olması durumunda, cezanın alt sınırı bir yıldan az olamaz. Silah veya aracın bulundurulmasının suç oluşturması halinde, ayrıca bu suçtan dolayı da ilgili hakkında kanun hükümlerine göre cezaya hükmolunur.” ifadesi “Toplantı ve gösteri yürüyüşlerine; a)Ateşli silahlar veya havai fişek, molotof ve benzeri el yapımı olanlar dâhil patlayıcı maddeler veya her türlü kesici, delici aletler veya taş, sopa, demir ve lastik çubuklar, boğma teli veya zincir, demir bilye ve sapan gibi bereleyici ve boğucu araçlar veya yakıcı, aşındırıcı, yaralayıcı eczalar veya diğer her türlü zehirler veya her türlü sis, gaz ve benzeri maddeler taşıyarak veya kimliklerini gizlemek amacıyla yüzlerini tamamen veya kısmen bez vesair unsurlarla örterek katılanlar iki yıl altı aydan dört yıla kadar,” ve “b)Yasadışı örgüt ve topluluklara ait amblem ve işaret taşıyarak veya bu işaret ve amblemleri üzerinde bulunduran üniformayı andırır giysiler giyerek katılanlar ile kanunların suç saydığı nitelik taşıyan afiş, pankart, döviz, resim, levha, araç ve gereçler taşıyarak veya bu nitelikte sloganlar söyleyerek veya ses cihazları ile yayınlayarak katılanlar altı aydan üç yıla kadar, hapis cezası ile cezalandırılırlar.” ile değiştirilmiştir. Dikkati çeken en önemli nokta kimliklerini gizlemek amacıyla yüzlerini tamamen veya kısmen bez vesair unsurlarla örterek katılanlar kısmıdır. Bu neden bir fişleme unsuru sayılır? Bilindiği üzere her yerde mobeseler mevcuttur fakat, yüzünüz kapalı ise mobeselerin sizlere ait görüntüleri kaydetmesi devlet açısından pek de cazip değildir. Diğer taraftan, gösterilerde kitlelerin arasına sızan ve bolca fotoğfraf çeken siviller ve ajanlar da yüzü kapalı birisinin fotoğrafını çekmesi pek de bir şey ifade etmeyecektir. Bu yeni değişiklik ise yüzü kapalı olanların doğrudan suç işlediklerini, suç işlememek istiyorlarsa devlet tarafından daha rahat fişlenmeleri için yüzlerini açmalarını emretmektedir. Son olarak, vesair unsurlarla yüz kapatmaya gaz maskesini de ekleyebilirsiniz.
  • 5271 sayılı Ceza Muhakemesi Kanunu’nun 91. Maddesi’nin üçüncü fıkrası “Toplu olarak işlenen suçlarda, delillerin toplanmasındaki güçlük veya şüpheli sayısının çokluğu nedeniyle; Cumhuriyet savcısı gözaltı süresinin, her defasında bir günü geçmemek üzere, üç gün süreyle uzatılmasına yazılı olarak emir verebilir. Gözaltı süresinin uzatılması emri gözaltına alınana derhâl tebliğ edilir.”’na ek olarak “Suçüstü hâlleriyle sınırlı olmak kaydıyla; kişi hakkında aşağıdaki bentlerde belirtilen suçlarda mülki amirlerce belirlenecek kolluk amirleri tarafından yirmi dört saate kadar, şiddet olaylarının yaygınlaşarak kamu düzeninin ciddi şekilde bozulmasına yol açabilecek toplumsal olaylar sırasında ve toplu olarak işlenen suçlarda kırk sekiz saate kadar gözaltına alınma kararı verilebilir…” fıkrası eklenmiştir. Bu değişiklik ile birlikte, polis sizleri herhangi bir mahkeme emri olmadan –ihbarcı komşunun bir telefonuya– 48 saat boyunca gözaltında tutabilir, dahası bir gösteriye katılmanız sizleri tutuklatabilir ve hapse attırabilir. En ürkütücü yanı ise –eğer yanlış anlamadıysam– benim gösteriye katılıp katılmadığımın tespiti nasıl yapılacak, eğer biri beni polise ihbar etse polis bu suç üstü halinin neye göre doğrulamasını yapacak, eğer telefonum dinleniyorsa ve gösteriye katılan bir arkadaşım beni aradığında polisin bunu ben gösteriye katılmasam dahi katıldı diye sunabilmesinin önüne ne geçecek? Bu soruların cevapları ise muallaktır ve muhtemelen değişkendir.

Bu değişiklikleri tek tek incelediğimizde, AKP’nin her fırsatta dillendirdiği sivil muhbirlik kavramı geniş ölçüde bu maddelerle dolaylı/doğrudan desteklenmiş durumdadır. Ülkede yaşanan hukuksuzluklara gayet barışçıl bir yolla protesto eden (tencere tava) bir komşunun ihbarcı bir komşu tarafından polise bildirilmesi sonrasında basitçe başına neler gelebileceğini bu maddeler ile açık olarak görebilmekteyiz. Yeni İç Güvenlik Kanunu, toplumdaki artan kutuplaşmayı toplumun iktidar yanlısı kesimin tarafına bir avantaj ve hatta bir intikam aracı olarak da kullanabilmesinin önünü açtığı gayet nettir. Artık bunları çekinerek söylememek gerekiyor. İktidar, kendinden olmayanları baskı altında tutacağı çok ciddi ve faşist bir değişiklik hazırlayarak ve bu değişiklikleri gayet pişkin bir şekilde sırıtarak meclisten geçirmeye başlamıştır. Kendisiyle aynı görüşü paylaşmayanları “gavur, paralel, bonzaici, vatan haini, alçak, namussuz, İslamofobik” olarak ötekileştirebilecek ve bu kanun nezdinde çok daha rahat dillendirebilecektir. Ayrıca, buradaki baskı bir tür zulme benze de tepkisel değildir, daha çok aktiftir. Baskı muhalefeti kontrol etmeyi amaçlamaz. Bunun yerine, muhalefetin kökünü kazımayı amaçlar ve bu konuda kendine mübah gördüğü her yolu kullanır. AKP’nin yaptığı bu değişlik ise kendine muhalif gördüğü herkesin ve her şeyin kökünü kazımaktan başka bir şey değildir. Üstüne, toplumun bütün kesimleride giderek artan nefretten faydalanıp komşunun komşusunu ihbar etmesini, elinden geldiğince kendisiyle aynı görüşü taşımayan bireylerin ülke çapında fişlenmesini de kolaylaştırmak istemektedir. Böylece, ellerinde kökünü rahatça kazıyabileceği ve –sözüm ona– milli iradesinden aldığı güçle oluşturduğu bir listesi olacaktır.

Son olarak, polisin görevi niteliği itibariyle ceza yasasını uygulamak ve iç asayişi sağlamaktır. Türkiye gibi her anlamda geri kalmış ülkelerde ise devlet otoritesini korumaya yönelik bir yapıya dönüştürülmüştür. Bu yüzden de yazıda bahsettiğim ihbar mantığı bir kişinin (muktedirin) neyin suç/yasalara aykırı olduğunu belirlediği, yurttaşları birbirinden korumaya değil devletin otoritesini korumaya yönelmektedir. Ayrıca, iktidar söz vermesine rağmen fişlemeye son vermemektedir. Askine, fişlemeyi normalleştirmekte ve bunun için de elinden geleni yapmaktadır. Fişlemenin zeminini hazırlayan ve normalleştiren bu tarz yasal değişiklikler, haberler ve ihbarların altında yatanlar iyi görülmelidir. Bugün için toplumun belirli bir kesimine makul gelebilecek bir yasal değişiklik, ihbar ve ihbarlar bu süreçte toplumu bir fişlemeye, ötekileştirmeye ve muhalefetin kökünü kazıtma mekanizmasına dönüştürmüştür.

Tagged , , , , , , , , , , , , ,

Lenovo ve Superfish

Her geçen gün iletişim gizliliğinin nasıl da incecik bir çizgide olduğunu, özel hayatınıza konu olacak her şeye bir çırpıda üçüncü şahısları da ortak edebileceği yüzümüze çarpıyor. 2013 yılı sonuna doğru LG televizyonlarının USB bellek üzerindeki dosya isimlerini kendi sunucularında kayıt altına aldığı ortaya çıkmış, ardından LG yeni bir yama yayınlayarak bunu durduracaklarını ve özür dilediklerini duyurmuşlardı. Bu senenin başında ise Samsung SmartTV’lerin oda içerisindeki konuşmaları ses kayıt özelliği üzerinden topladığı ve üçüncü partilerle paylaştığı ortaya çıktı. Tabi ki sizin onayınızla. Herkes 233 sayfalık sözleşmeyi okuduğu için bundan haberdardı değil mi? Şimdi ise bunlara bir yenisi eklendi. Lenovo. Lenovo konusunu tam olarak anlayabilmek için kök sertifikanın ne olduğuna kısaca bir bakalım.

Kök sertifikalar, tarayıcılar ve diğer uygulamalar veya servisler tarafından kullanılır ve çeşitli türlerde olan şifreleme metodlarını doğrulamak için açık anahtar kriptografisinin temel parçalarından bir tanesidir. Örneğin, ne zaman bir https üzerinden bağlantı gerçekleştirseniz bu kök sertifikalar sizlerin gerçekten o websitesine bağlandığınızın doğrulamasını gerçekleştirir. Bununla birlikte, kök sertifikalara sahip olan kullanıcı, bu sertifikaların sahibine de güvendiğini kabul etmiş sayılır. Bir bankacılık işlemi için https ile müşterisi olduğunuz bankaya eriştiğinizi düşünün:

  • Tarayıcınız bankaya ait websitesine “hadi gizli konuşalım” diyecektir.
  • Websitesi ise tarayıcınıza “tamam gizli konuşalım, bu benim açık anahahtarım, böylece iletişimimizi şifreyebiliriz” diye yanıt verecektir.
  • Tarayıcınız açık anahtar ile iletişimin şifresini çözerek imza ile birlikte açık anahtarı da kontrol edecektir. İşte tam da bu noktada, kök sertifika ile imzanın şifresi çözülecektir. Böylece, doğrulama sağlanarak tarayıcınız imzanın güvenilir bir kaynaktan olduğunu, açık anahtarın bu websitesi üzerinden geldiğini ve gerçekten de banka ile iletişimde olduğuna karar verecektir.
  • Bundan sonra iletişime konu olacak her şey açık anahtar ile şifrelenerek devam edecektir.

Bilgisayarınızda belirli sayıda ve sadece güvenilir kaynaklardan elde edilmiş kök sertifikaların bulunmasının nedeni de budur. Öte yandan, Lenovo ürünlerinde yüklü olarak gelen ve müşterilerine alış-veriş yaparken muhtemel ilgili çekici ürünleri göstermesi amacıyla yüklenmiş VisualDiscovery / Superfish uygulaması beraberinde bir kök sertifika ile gelmektedir. Yukarıdaki bahsettiğimiz örneği ve süreci de dikkate alırsak, tarayıcınız bu kök sertifikayı güvenilir bir kaynak olarak yorumlayabilir, bu sertifika sahibi ise şifreli iletişime konu olan her şeyi man-in-the-middle yaklaşımıyla dinleyebilir ve manipüle edebilir.

Lenovo’nun yapmış olduğu açıklamaya göre Ocak ayında bu uygulamanın sunucu taraflı etkileşimleri kapatılmış ve artık Lenovo ürünlerinde bu uygulama aktif olmadığını belirtmişlerdir. Bir diğer şey de, Ocak ayından itibaren bu uygulama önyüklü olarak gelmesi durdurulmuştur. Son olarak, gelecekte bu uygulamaya yer vermeyi düşünmedikleriin söylemişlerdir. Bunlara ek olarak, SuperFish uygulamasının kullanıcıların davranışlarını profillemediğini, kullanıcılara ait özel bilgilerinin tutulmadığını, kullanıcıların takip edilmediğini, her oturumunun bağımsız olduğunu ve hatta kullanıcının ne olduğunu bilmediğini aktarmışlardır.

Lenovo’nun açıklamalarına rağmen bu durum o kadar da basite indirgenecek bir şey değildir. Her şeyden önce, bu uygulama güvenli bağlantıların (SSL/TSL) kurulması sırasında tarayıcı ve diğer uygulamalar (e-posta, voip vs.) için güvenilir bir kaynak ve imza olarak yorumlanabilir. Tarayıcı ile sunucu arasındaki iletişimin dinlenmesini engellemek yerine SuperFish uygulaması şifreli iletişime konu olan tüm verileri şifresiz bir veriymiş gibi toplayabilir. Veya SuperFish’ ait kök sertifikanın anahtar sahibi (sahipleri) man-in-the-middle ile sizlerin örneğimizdeki gibi bankacılık işleriminiz sırasındaki iletişimi dinleyebilir veya araya girerek mesajları manipüle edebilir.

original

Resimde de görüldüğü üzere (Kaynak: Lenovo Forums) Internet bankacılığı için giriş yapmak isteyen bir Lenovo kullanıcısı güvenli bağlantısında SuperFish’e kök sertfikasının kullanıldığını görmektedir. Aşağıdaki listede ise SuperFish içeren Lenovo ürünlerinin listesi bulunmaktadır.

  • G Series: G410, G510, G710, G40-70, G50-70, G40-30, G50-30, G40-45, G50-45
  • U Series: U330P, U430P, U330Touch, U430Touch, U530Touch
  • Y Series: Y430P, Y40-70, Y50-70
  • Z Series: Z40-75, Z50-75, Z40-70, Z50-70
  • S Series: S310, S410, S40-70, S415, S415Touch, S20-30, S20-30Touch
  • Flex Series: Flex2 14D, Flex2 15D, Flex2 14, Flex2 15, Flex2 14(BTM), Flex2 15(BTM), Flex 10
  • MIIX Series: MIIX2-8, MIIX2-10, MIIX2-11
  • YOGA Series: YOGA2Pro-13, YOGA2-13, YOGA2-11BTM, YOGA2-11HSW
  • E Series: E10-30

Açıkçası, ortada bir sorun olduğu gerçeğini kimse gözardı edemez. SuperFish uygulamasının neden bir kök sertifikaya ihtiyaç duyduğuna dair kafalardaki soru işaretlerini giderecek bir açıklama yok. Kullanıcılara göre uygulamanın sistemden kaldırılması ile sertifikanın ortadan kalkmadığına dair bildirimler mevcut. Lenovo’nun açıklamaları ilk okunduğunda sonuçta SuperFish’in aktif olmadığı, dolayısıyla şifreli iletişime ait verilerin alınmasının pek de mümkün olmayacağı düşüncesi yerleşiyor. Fakat, tarayıcı kök sertifikayı kullanıyor ve imzanın güvenilir bir kaynaktan geldiğini söylüyor. Ayrıca, Lenovo SuperFish’e böyle bir yetkiyi verirken de gayet bilinçliydi. Ortaya çıktığında ise bu bilinçten uzak açıklamar yapmaktadır.

Sonuç mu? Sonuç şu; gizliliğiniz sadece hükûmetlere, partilere, şirketlere ve örgütlere, satın aldığınız veya kullandığınız servislere emanet edilemez. Bizim adımıza konuşamazlar ve bizim yerimize karar veremezler. Elbette kimse size zorla Lenovo aldırmıyor. Ama Lenovo da ürünü satarken böyle bir şeyin varlığından bahsetmiyor. Bu kadar büyük ve kullanıcı güveni kazanmış şirket transparan olamıyor.

Tagged , , , , , , , , , ,