E-postalar üzerinden de bu sorular devamlı sorulduğu için kısa bir rehber hazırladım. Umarım işinizi görür.
İlk olarak belirtmeliyim ki bu rehberin %100 anonimlik veya güvenlik sağladığı yanılgısına kapılmak veya burada yazan tarayıcı ve eklentileri kullanarak gizliliğin sağlandığı, anonim kalındığı ve güvenli olunduğu kullanıcıyı büyük riskler içine çekebilir. Bu kavramların içi iyi bir şekilde doldurulmadığı sürece, bir tarayıcıdan veya eklentiden bir şeyler beklemek hata olur. Buraya kadar her şey anlaşıldıysa bana sıkça sorulan sorulara geçelim.
Hangi tarayıcıları kullanıyorum?
Neden Firefox Aurora ve Tor Browser kullanıyorum?
Öncelikle bu iki tarayıcıyı şu şekilde ayıralım: Firefox Aurora benim anonimliğe ihtiyaç duymadan, güdenlik işlerimi yüksek bir güvenlik sağlayarak gerçekleştirdiğim, eklenti desteği yüksek, stabil ve hızlı bir tarayıcıdır. Diğer yandan Tor Browser, anonim kalmamı sağlayan ve bunu en iyi şekilde yapan, benimle ilgili, gerçek kimliğime veya trafiğime ait en düşük bilgiyi sızdıran (İSS trafiğinizi şifreli bile görse %100 anonimlik diye bir şey yoktur!) bir tarayıcı olup, anonimliğe ihtiyaç duyduğum zamanlarda kullandığım diğer tarayıcıdır. İki tarayıcının kullanım amaçlarını ayırdıktan sonra diyeceğim bir diğer şey de, evet Firefox Aurora veya Google Chrome veya Opera veya başka bir tarayıcı da Tor ağı üzerinden Internete çıkabilir. Fakat, anonimlik açısından bakarsak Firefox’un Tor ağı üzerinden Internete çıkması sizinle ilgili belirleyici bir bilgi sızdırır. Kaldı ki çeşitli ayarları (useragent vs) değiştirseniz dahi sizinle ilgili bilgi toplayan servisler Tor Browser’dan farklı bir tarayıcı kullandığınızı parmak izleri (fingerprinting) üzerinden görebilir.
Hangi eklentileri kullanıyorum?
Tor Browser; HTTPS-Everywhere, Tor Button ve NoScript eklentileri ile birlikte gelmektedir. Bunun dışında başka bir eklenti kurmaya gerek yoktur. Diğer yandan, kurulacak eklentilerin anonimlik derecesini etkileme olasılığı da mevcuttur. Tor Browser’ı olduğu haliyle korumak en iyisidir.
Firefox Aurora için kullandığım eklentileri ve özelliklerini sıralayarak ilerleyeyim.
Adblock Edge, Adblock Plus’ın forklanmış halidir. Kendi tanımında da yazdığı üzere farkı; Plus –muhtemelen– maddi kazanç sağlamak için bazı reklamlara (acceptable ads) izin vermektedir, Edge’de ise izin yoktur.
Tarayıcı üzerinden şifreli ve gizli mesajlaşmak ve sohbet (OTR) için –şimdilik– en iyi eklenti. Ayrıca, grup özelliğine sahip olduğu için birden fazla kişi ile bir grupta toplu yazışma yapabilirsiniz. Bilinmesi gereken en temel şey, Cryptocat kullanırken IP adresiniz gizlenmiyor ve bu yüzden takip edilebilme olasılığınız vardır. Tor ağı üzerinden Cryptocat kullanarak bunu da aşabilirsiniz. Bunun için custom server’dan Tor Hidden Service’i seçebilirsiniz.
Eğer tarayıcı üzerinde bir proxy yönetimi ihtiyacı duyuyorsam bunun için kullandığım tek eklenti. Proxy yönetimi ile kastettiğim gerektiğinde örneğin Tor, i2p gibi proxyler veya sahip olduğum shell hesabı ile ssh tünel için kullanmaktır.
Birçok website https yapısına sahip olsa bile ziyaretçileri http üzerinden karşılamaktadır. Bu eklenti ise güvenli olmayan http bağlantısını –eğer website sahipse– https olarak yeniden yazar ve kullanıcıları şifreli bir bağlantı ile karşılamaya zorlar. Olmazsa olmazdır. Bunun örneğini çok yakınlarda bir Youtube videosuna yapılan URL tabanlı engeli aşmada ne kadar işe yaradığını görmüştük. Fakat tek sıkıntı, hala ve ısrarlar birçok website https kullanmamakta ve SSL sertifikası için para ödememektedir. Ayrıca, tavsiye olarak SSL Oberservation özelliğini aktif edin. Bu sizlere eğer bir man-in-the-middle saldırısı varsa bilgi verecek ve eklentinin daha iyi geliştirilmesi için EFF‘ye anonim rapor gönderecektir.
Tarayıcı üzerinden OpenPGP şifreli e-posta göndermek için -bence- en iyi eklenti. Grafik arayüzü, hazır gelen servisler (Gmail, Yahoo vs.), anahtar yönetimi ile son kullanıcıya yönelik ve bu işi de en basit şekilde yerine getiriyor. Artık günümüzde şifreli e-posta göndermek bir zorunluluk olduğu için denenmesinde fayda var.
Websiteleri üzerinde gelen JavaScript, Java, Flash, Silverlight ve diğer çalıştırılabilir eklentilerin kontrolünü ve iznini kullanıcıya bırakarak bu eklentilerden gelebilecek veri toplama ve saldırıları engeller. Hatırlarsanız, Freedom Hosting baskını sonrası zararlı bir JavaScript bulunduğundan Tor Browser’ın bundan etkilendiği –kısa süre içinde bu durum düzeltildi– sözedilmişti.
Bunu kısaca şöyle anlatayım; bir websiteye herhangi bir makaleyi okumak için girdiniz, bu site üzerinde sunulan içerik olarak bir Youtube videosu da var, bu videoyu izlemeseniz dahi tarayıcınız Youtube’dan gelen isteği yanıtladı, ayrıca bir de Analytics mevcut. Böylelikle Google, Analytics ve Youtube ile sizin girdiğiniz siteyi ve okumak istediğiniz makaleyi, bu site üzerinde ne kadar vakit harcadığınızı öğrenerek sizin profilinizi çıkarmaktadır. RequestPolicy ise bu websitelerden gelen istekleri otomatik olarak engelliyor. Yönetim işini kullanıcıya bırakıyor. Diğer yandan XSS veya CSRF gibi saldırıları da bu şekilde engellemektedir. NoScript ile birlikte müthiş bir ikili oluşturur.
Uzun zamandır Cookieless Cookies, yani çerezsiz çerezler (tercüme benim) nedir, bir sayfayı çerezler ve JavaScript kapalı, VPN üzerinden ziyaret ettiğiniz zaman bile bu yöntemle takip edilebildiğinizi anlatmak istiyordum. Nasip bu yazıya oldu. Kısaca Etag (entity tag) kavramını açıklayayım. Etag, http’nin parçası olan bir protokol olup, bir URL’de gelen içeriklerin (gif, jpeg, js vs.) değişip değişmediğini doğrular ve her içeriğe özgü bir etag (checksum, sağlama toplamı) atar. Eğer URL’deki içerik değişmişse yeni bir etag atanır. Bir örnek vereyim; bir sayfaya girdiniz, sayfada bir jpeg var. Bu jpeg’in kendine ait bir etag’ı mevcut. Tarayıcı jpeg’i açtığı ve etag’ı öğrendiği zaman sunucuya doğrulama için bilgi gönderir. Sunucu jpeg’de bir değişklik olup olmadığını kontrol eder. Eğer yoksa jpeg’i yeniden almaya gerek kalmaz ve böylece gereksiz veri akışından kurtulunur. Ziyaretçilerin takibi ise bu yöntemle olmaktadır. Çünkü sunucu her tarayıcıya has bir etag verecek ve veritabanından da bunu kontrol edecektir. Bunu aşmada Self-Destructing Cookies’in yanısıra Secret Agent eklentisi de işe yaramaktadır. Tarayıcının useragent’ını düzenli olarak değiştirerek devamlı farklı etag’ların oluşturulmasını sağlar ve bunlar üzerinden gerçekleştirilecek takibi aşmaya çalışır. Whitelist’e sahip, böylece güvendiğiniz websitelerini buraya ekleyebilir ve sorunsuz kullanabilirsiniz.
Otomatik olarak kullanılmayan çerezleri temizleyen bir eklenti. Ayrıca bir whitelist’e de sahip. Buraya güvendiğiniz websiteleri girerek diğer sitelerden gelen çerezlerin belirli bir zaman aralığında otomatik ve kalıcı olarak silinmesini sağlayabilirsiniz. Böylelikle farkında olmadan çerezler tarafından gözetlenmenin de önüne geçersiniz.
Bir imajın sahte olup olmadığını anlamanın en iyi yolu bu eklentiden geçiyor. Örneğin Twitter’da paylaşılan bir fotoğrafın o ana ait olup olmadığını merak ettiniz. Bu eklenti ile fotoğrafa sağ tıklayarak TinEye’ın devasa veritabanında aratabilir, daha önce kullanılmışsa hangi sitelerde ve ne zaman kullanıldığını görebilirsiniz. Dezenformasyona karşı ilaç gibi gelecektir.
WebPG’de tıpkı Mailvelope gibi GnuPG/PGP şifreli e-postalar göndermenizi sağlayan gayet kullanışlı bir eklenti. Bazı web arayüzleri ile sıkıntıları giderilebilmiş değil ama basit bir kullanıma sahip. Sisteminizde ekli olan size ve arkadaşlarınıza sahip tüm anahtarları otomatik olarak alıyor. Denemeye kesinlikle değer.
Vim kullanmaktan büyük keyif aldığım bir editör. Kısayolları çok sevdiğim için ve bunları da bir tarayıcı üzerinde fareye ihtiyaç duymadan rahat bir şekilde kullanabilmek için en iyi eklenti Vimperator. Gerçi, VimFx ve Vimium ve Pentadactyl gibi uygulamalar da mevcut. Hepsi de aynı işi yapıyor.
Tüm bunlar gizliliğim, anonimliğim veya güvenliğim için yeterli midir?
Hayır! Öncelikle gizlilik, anonimlik ve güvenlik gibi kavramlar doğru anlaşılmalıdır. Anlaşılmadığı takdirde kullandığınız araçlar elinizde bir çöpe dönüşür. Bu yüzden tekrar ve tekrar tavsiye olarak gizlilik, anonimlik gibi kavramların içini iyi doldurmak ve bu konularda bolca araştırma yapmak gerekiyor.