Tag Archives: e-posta

Jun 23 2014
Leave a comment
Haber

Kame E-Posta Listesi

Kame E-Posta Listesi (kame[at]lists.riseup.net); Internet, gizlilik, güvenlik, anonimlik, anonimlik araçları, sansür, gözetim, erişim engelleri gibi konularda fikir alış-verişi yapabileceğiniz, teknik sorular sorabileceğiniz veya sorulara cevap verebileceğiniz, Kame üzerinde yazılan yazılarla ilgili görüşlerinizi sunup isteklerde bulunabileceğiniz bir e-posta listesidir. Bu liste dışa kapalı bir listedir ve içeriğini sadece üyeleri görebilir. Bununla birlikte, gönderilen mesajlar ve içerikler gönderen üyenin sorumluluğundadır.

Bu listeye gerek var mıydı? Evet, vardı. Yorumlar, e-posta ve iletişim üzerinden gelen sorular ve aynı soruların defalarca sorulması benim vaktimi gereksiz yere alıyor hem de beni rahatsız ediyor. Böylece, aynı soruların sorulmasının önüne büyük bir oranda geçebilirim. Ayrıca, hem burada yazılanlar, güncel olaylar, haberler, bilimsel makaleler vd. ne kadar çok paylaşılır ve tartışılma fırsatı bulursa o kadar çok nitelikli sonuçlar elde edebilir ve kendimizi geliştirebiliriz.

Üyelik nasıl oluyor?

kame-subscribe[at]lists.riseup.net adresine boş bir e-posta atarak. Listeden çıkmak isterseniz de kame-unsubscribe[at]lists.riseup.net adresine bir e-posta göndermeniz yeterlidir.

Bundan sonra, e-posta ve iletişim üzerinden sorulan teknik sorulara cevap vermeyeceğim. Mümkünse e-posta listesine üye olarak e-posta listesinin tanımı çerçevesinde sorularınızı sorabilir, paylaşımlarınızı yapabilir ve eleştirilerinizi sunabilirseniz memnun olurum.

Tagged , , ,
Dec 13 2013
4 Comments
Düşünce, Gizlilik

Çalışanın İzlenmesi ve İş Yerinde Gizlilik Hakkı

Gizlilik hakkından yazılarda devamlı bahsediyorum fakat bunu kategorilendirip hiç yazmadım. Özellikle sanayi devrimi ve teknolojinin çok hızlı ilerlemesi, üretim için büyük avantajlar getirdiyse de işverenin açgözlülüğü, çalışma saatleri ile özel hayatın iç içe geçmesi dünyayı kocaman bir ticari köy haline getirdi. Peki teknoloji bu konuda kimin tarafını tutuyor?

Ofisi 7/24 izleyen kameralar, işverenin sağladığı cep telefonların takibi ve hatta dinlenmesi, bilgisayarların uzaktan kontrolü, hangi siteye girdiklerini, kimlerle e-posta trafiğine sahip olduklarını ve çalışma ortamına ani ziyaretlerle günümüz iş ortamlarının gizlilik haklarının en çok ihlal edildiği yerlerden biri haline geldi. İşverenin genel düşüncesi bellidir; daha çok kâr etmek, üretim sürecinde çalışanların iş saatleri ve hatta bunu nasıl kullandıkları üzerine tam kontrole sahip olmak. Bu da sonuç olarak gizlilik hakkının işverenin ekonomik çıkarlarıyla ters düştüğünü söylemektedir. Özellikle ticari sırların ifşası, çalışanların güvenirliği  işvereni gizlilik ihlaline ittiği konusunda durulsa da çalışanın iş saatleri ile özel hayatının birbirine girmiş olması, bu iki durumun birbiri içine girdiğini göstermektedir.

Amerika’da yapılan bir araştırmada çalışanlar iş saatlerinin %25’ini Internette gezerek ve e-posta okuyarak harcadıkları ve her 5 işletmeden biri aşırı/yersiz e-posta kullanımından çalışanlarını çıkartmakta olduğunu söylüyor. Bunun bir sonucu olarak, işveren sistem yönetimi masraflarını arttırıyor, çalışanların üzerindeki kontrol ve izleme varlığı üretkenliği azaltıyor, e-posta ve Internet aktivitesini bir denetim süzgecinden geçmeye başlıyor. Böylece, iş ortamında takip edilen ve hareketleri izlenen bir çalışan verimliliğini, çalışma ortamı ise moral ve güveni kaybetmektedir.

Bir çalışanın gizliliği nasıl ihlal edilebilir (Privacy in the Digital Environment, s. 152)?

  • E-postaların takibi. Günümüzde işverenler çalışanlarına (hepsi olmasa da) bir e-posta adresi sağlamaktadır. Bu e-postaların içerikleri disk üzerinde bir yer kapladığı için işveren bu konuda istediği gibi davranabilmektedir. Bunu şöyle örneklendireyim; diyelim ki size gelen bir e-postayı silseniz dahi disk üzerinden silinip silinmediği konusunda herhangi bir fikre sahip olamazsınız. Denetim de sizin elinizde olmadığı için işveren isterse bu sildiğinizi düşündüğünüz e-postaları belirli kurallarla (mesela anahtar kelimeler) inceleyebilir.
  • Internet takibi. İşyerinde Internet olmazsa olmazlardan. Bazen belirli sitelerin erişeme kapatılması (çalışma alanından dolayı) mümkün olmayabiliyor. Böyle olunca da işveren çalışanlarının hangi sitelere girip buralarda ne kadar zaman kaybettiklerini de öğrenmek isteyebiliyor. Analiz sonuçları, çalışanın azar yemesini ve hatta işten atılmasına kadar işi götürebiliyor.
  • İçeriğin filtrelenmesi. Genel anlamıyla tam bir gizlilik ihlali olmasa da anahtar kelimelerle belirli algoritmalar üzerinden içeriğin filtrelenmesi erişim olanaklarını olumsuz yönde etkilemekte, bazen çalışanın ihtiyaç duyduğu içeriklere ulaşamamasına neden olmaktadır.
  • Yüklenen yazılımların takibi. Burada temel neden iş ortamında kullanılan bilgisayarlara zararlı yazılımların bulaşmasını engellemek ve lisanssız yazlımlar yüzünden sıkıntıya düşmemektir. Fakat, bunun takibi iş saatleri dışında olabildiğinden biri sizin bilgisayarınızı bunun için tarayabilir ve size sormadan yazılımları silebilir. İşveren size o bilgisayarı verdi diye kafasına estiğince siz yokken girip incelemesi bir ihlaldir.

Sıradan eleştirerek ilerleyelim:

E-postalar yukarıda da bahsettiğim üzere siz silseniz dahi disk üzerinde kalabilir ve işveren tarafından incelenebilirler. Bir diğer nokta da e-postaların bu şekilde takip edilmesi üçüncü şahısların gizlililiğini de ihlal etmektedir. Şöyle anlatayım; e-posta gönderdiğiniz kişinin iletişim bilgilerini ve mesaj içeriğini sadece sizinle onun arasında geçen bir iletişime ait olarak kullanıldığını düşünürken, işverenin bunu takibe alması hem mesajı hem de iletişimde olduğunuz kişiye ait (varsa) özel bilgilerin ifşasına neden olur. Bu yüzden işveren sadece çalışanının gizlilik hakkını değil iletişim halinde olunan üçüncü kişilerin de gizlilik hakkını ihlal eder.

Çalışanın Internet’te hangi sitelere girdiğini, hangisinde ne kadar süre harcadığını detaylı bir şekilde takip etmek uzaktan zararsız gibi gözükebilir. Hatta şöyle bir inanç da var; işveren uygunsuz bir şeyi farkederse çalışanını azarlar, konu kapanır. Durum malesef bundan daha karışık. Şimdi bunu örneklendirerek anlatayım. Diyelim ki siz bir eşcinselsiniz (illa olmanız şart da değil), eşcinsel arkadaşlık sitelerini ziyaret ediyor, LGBT haberleri okuyor, etkinliklerini takip ediyorsunuz. İşvereniniz ise Internet takibi yaptığı için sizin eşcinsel olduğunuzu (olmasanız bile) düşünüyor, eğer eşcinselliğe olumsuz yaklaşıyorsa iş yerinde (sadece işveren tarafından değil) size karşı homofobik tutumlar sergilenebilir, cinsel tacizlerde bulunulabilir. Tekrar diyeyim, illa eşcinsel olmanız da şart değil. Eşcinsel cinayetlerin sayısındaki artışa ait bir haber bile homofobik bir işvereni size karşı olumsuz tutumlar içine itebilir. Devam edelim, bir kanserle ilgili doktor sitelerini gezip bilgi toplamanız işverenin sizi hasta olarak algılamasına ve sizinle uzun vadeli çalışamayacağını düşünüp işten çıkarmaya bile yol açabilir.

İçerik filtrelemesi -bence- en zarar veririci ihlallerden biridir. Bunda biraz daha uç örnekler vereyim. Çalıştığınız iş yeri çeşitli kelimeleri filtreliyor ve bunlara her türlü erişim yasaklanıyor. Örneğin, ateizm, ateist, atheist, atheism, agnostik gibi kelime grubunu filtrelenmiş durumda. Bu, sadece Internet’te ateizm ilgili herhangi bir içeriğe erişimi değil ateist çalışanların ifade özgürlüğü ve inanç özgürlüğünü de etkiler. Buna gizlilik literatüründe dondurucu etki de denir. Hem doğrudan hem de dolaylı yoldan çalışanın gizliliği ihlal edilmiş olur, beraberinde diğer özgürlükleri (ifade, inanç vs) de kısıtlanmış olur.

E-posta, Internet takibi ve içerik filtrelemesini bir arada incelersek; Internette gezmek ve e-postalar çalışanın kendi kişisel kimliğine işaret eder. Ayrıca, iş yeri çalışanların birçok etkileşimde bulunduğu sosyal bir alandır. Bu alanda gizlilik hakkının korunması gerekir. Internet’te özgürlük konuşma özgürlüğü tarafından korunur. Takip edildiğini bilen bir çalışan kendini açıkça ifade edemeyecektir. Böylece konuşma özgürlüğü engellenmiş olacaktır. İnancını, cinsel görüşünü veya düşüncelerini gizlemek, iş yerinde yaşayabileceği baskılardan dolayı da olmadığı gibi gözükmek durumunda kalabilir. Ayrıca, tüm bu haklar birbirleri ile etkileşim halindedir. Örneğin, inanç özgürlüğü, bunu ifade edemedikten ya da bu inancın gerekliliklerini yerine getiremedikten ve özgürce bunları söyleyemedikten sonra bir şey ifade etmez. Bununla birlikte, çalışanların beklentilerine işveren tarafından saygı duyulması gerekir. İşverenin bu şekilde yapacağı takipler ya da işverenin böyle bir takip yaptığı söylememesi, çalışanları olumsuz yönde etkiler.

Size tahsis edilen bilgisayara herhangi bir yazılım kurdunuz ve siz yokken bu yazılım farkedildi. Görevli bilgisayarı açtı ve yazılımı sildi. Sabah geldiniz, bilgisayarınızı açtınız, yazılım yok, biri bilgisayarınıza “böyle şeyler kurma” diye not bırakmış.  Size tahsis edilen bilgisayar, bir başkasının kafasına göre açıp bir şeyleri silebileceği ya da kurabileceği bir şey olmamalıdır. Burada genel bahane sisteme sızabilecek, bilgi çalabilecek her türlü zararlı içeriğin yüklenen yazılımdan gelebileceğidir. Eğer böyle bir olasılıktan bahsediliyorsa, bunu engellemek çalışanın bilgisayarının takibi ile değil çalışana temin edilecek yazılımdan, iyi bir güvenlik duvarından, anti-virüs programlarından vs. geçer. Ek olarak, bana göre bir görevlinin gelip “Bilgisayara ne yükledin? Aç bakacağım!” demesi bile kabul edilebilir bir şey değildir.

Başka bir olumsuzluktan bahsedecek olursak, çalışma ortamının evden olduğu durumlarda işverenin herhangi bir takip yapması sadece çalışanın gizliliğini ihlal etmez. Çalışanın aile ve özel yaşamına dair gizlilik hakları da çiğnenmiş olur. İşveren şunu iyi anlamalı; çalışan onun mülkiyeti değildir. Eğer tüm bu izlemeleri ticari sırların, şirkete ait özel bilgilerin ya da lisansların sızdırılmasını ya  da kaynak israfını engellemek amacıyla yaptığını söylüyorsa, işveren bunlar için gizlilik haklarını ihlal etmeye yönelmemeli. Onun yerine bu hakların sızdırılması ve sonrasında işvereni koruyacak ve iş yerinde gizlilik hakkını ihlal etmeyecek yasaların oluşturulması için çaba sarfetmelidir.

Teknoloji bu konuda kesinlikle tarafsız olmalı. Ne pazarı domine eden gücün haklarını ne de bir başkasının haklarını koruyup diğerlerini hiçe saymalı. Yukarıda da bahsettiğim üzere bu haklar iç içe geçmiş durumdadır. Konuşma özgürlüğü olmayan bir çalışandan inanç özgürlüğü beklenemez. Bu, toplum için de geçerlidir. Bir gizlilik hakkının ihlali iş ortamını bir taciz ortamına dönüştürebilir. Çalışanı dolaylı (veya doğrudan) olarak farklı görüşlerin baskısı altında kalmasına neden olabilir.

Sonuç, çalışan iş yerindeki gizliliğini kontrol edememekte, Internet’te hangi sitelere girdiği, gönderdiği e-postalar takip edilmekte, konuşma özgürlüğünden uzak ve verimliliğini kaybetmektedir. İş yerinde gizlilik hakkı daha çok pazar güçleri tarafından gizlice düzenlendiği için işveren kâr maksimizasyonu hırsıyla birçok tacize ve hak ihlaline neden olabilecek bir iş ortamı oluşturmaktadır. İş yerinde gizlilik hakkı ve çalışanın izlenmesini engellemek yasal bir düzenleme ile korunmalıdır.

Tagged , , , , , , , , , , , , , , ,
Aug 28 2013
6 Comments
Rehber

PGP Kullanın

Bir uygulamayı nasıl kullanabileceğinize dair rehberler hazırlanırken, hazırlayan kişi -kaçınsa da- kendisi nasıl kullanıyorsa öyle anlatır. Bu bir hata değildir, bunda yanlış bir şey yoktur. Az bildiği anlamına da gelmez. Aynı şekilde alışkanlıklarının dışına çıkması onu anlatacağı şeyde hata yapmaya da götürebilir.

Böyle bir giriş yaptıktan sonra PGP üzerine hazırlanan bu rehberin, yazan kişinin kullanım çerçevesinde ilerleyeceği için “eksik” olduğu düşünülen noktalar aslında bilerek boş bırakılmıştır. Adım adım ilerleyecek olursak:

  1. PGP, e-posta ve dosyaların güvenliği için bir kriptolama ve doğrulama (matematiksel kısmı için aramaya inanın) aracıdır. Sizlere gönderdiğiniz dosyanın ya da e-postanın şifrelenmesini ve başkaları tarafından okunmamasını (ya da sadece gönderdiğiniz kişi tarafından okunabilmesini), gönderen kişinin kimliğini doğrulamayı ve gönderilen dosya ya da e-postanın yapısının bozulmadan size ulaşmasını (ya da bozulup bozulmadığını anlamanızı) sağlar.
  2. Kullandığınız e-posta sağlayıcı ne kadar güvenli olursa olsun e-posta mahremiyeti artık ayaklar altına alındığı için gönderdiğiniz e-postaları bu yöntemle göndermeniz güvenliğinizi kat kat arttıracak, e-posta içeriğiniz üçüncü şahıslar tarafından okunamayacaktır.
  3. PGP anahtarları oluşturmak için açık kaynak veya ticari yazılımlar mevcuttur. GNU/Linux kullanan biri olarak sadece GPG; GnuPrivacyGuard ve Terminal üzerinden gideceğim. O yüzden açık bir terminaliniz olursa hemen başlayabilirsiniz. Çünkü her şeyi onun üzerinde yapacağız. “#” komut, “>” ise terminal çıktısıdır.

Dağıtımınızın ne olduğunu bilmediğim ve bilemeyeceğim için paket yöneticinizden gnupg‘nin kurulu olup olmadığına bir bakın. Eğer kurulu değilse kurun. Her şeyin artık hazır olduğunu varsayarak;

# gpg --gen-key
> Please select what kind of key you want:
> (1) RSA and RSA (default)
> (2) DSA and Elgamal
> (3) DSA (sign only)
> (4) RSA (sign only)

Burada sizlere ne tür bir kriptolama yöntemi kullandığınız soruluyor. Varsayılan olan 1’i seçip (1 ve enter) yolumuza devam ediyoruz.

> RSA keys may be between 1024 and 4096 bits long.
> What keysize do you want? (2048)

Anahtarınız ne kadar güçlü olacak burada belirleyeceğiz. En büyük olanı iyidir diyoruz. 4096 yazın ve devam edin.

> Please specify how long the key should be valid.
> 0 = key does not expire
> = key expires in n days
> w = key expires in n weeks
> m = key expires in n months
> y = key expires in n years
> Key is valid for? (0)

Burada anahtarınızın ömrünü biçeceğiz. Bir nevi son kullanım tarihi. Sınırsız olmasını pek tavsiye etmiyorum. 3-5 gün sonra dolması da bana mantıklı gelen bir şey değil (eğer paylaşmayacaksanız). İdeal olarak 1-2 sene seçilebilir. 1y ya da 2y yazarak devam edebilirsiniz.

> GnuPG needs to construct a user ID to identify your key.
> Real name:
> Email address:
> Comment:
> Change (N)ame, (C)omment, (E)mail or (O)kay/(Q)uit?

Adınız veyahut takma adınız, kullanacağız e-posta adresiniz, anahtarla ilgili -varsa- yorumunuz (bu daha çok neden kullandığınız, ne işi yaradığı ile ilgili olabilir), son olarak O yazarak devam ediyoruz. Karşınıza şifre belirlemeniz için bir pencere açılacak. Buraya büyük, küçük harf, rakam ve işaretler kullanarak en az 10 karakterlik bir şifre yazıyorsunuz. İleride unutmayacağınız fakat güçlü bir şifre yazmanız sizin yararınıza olacaktır.

Anahtarın oluşturulabilmesi için rastgele bytes’a ihtiyaç olacak. Bu yüzden film açın, tarayıcınızda sitelere girin, metin editörüne bir şeyler yazın. Anahtarın oluşması biraz zaman alacaktır. Oluştuğunda ise:

> gpg: key ******** marked as ultimately trusted
> public and secret key created and signed

Şeklinde bir çıktı alacaksınız. ******** (rakam ve harflerden oluşan 8 hane) sizin anahtarınızın ID’si olmaktadır. Bu ID ayrıca 40 hanelik fingerprint’in son 8 hanesidir.

Sıra geldi oluşturduğumuz anahtarımızı nasıl kullanabilir, paylaşabiliriz, yedekleyebilir ve silebiliriz kısmına. Diyelim ki elinizde önemli bir dosya var ve kimsenin açık kurcalamasını istemiyorsunuz:

# gpg -e ******** dosya.txt

Dosyanızın kriptolanmış hali olan dosya..txt.gpg‘nin oluştuğunu göreceksiniz. Açmak isterseniz:

# gpg -d dosya.txt.gpg
# gpg --output dosya.txt --decrypt dosya.txt.gpg

Anahtarınızı paylaşmanızın iki yolu var. Biri anahtarınızı dışa aktarıp (ASCII-armored) göndermek, bir diğeri de anahtar sunucularına yollamak. ASCII-armored için:

# gpg --output anahtarım.asc --export -a ********

Böyle e-postanız üzerinden anahtarım.asc‘yi arkadaşlarınıza gönderebilirsiniz. Herhangi bir sunucuya göndermek için:

# gpg --send-key ********

Böylece arkadaşlarınız paylaştığınız anahtarınızı kullanarak sizlere kriptolanmış e-posta veya dosya gönderebilecekler. Şimdi size gönderilen bir anahtarı nasıl aktarabileceğinize bakalım:

# gpg --import arkadaşımınamahtarı.asc

Arkadaşınız eğer anahtarını sunuculardan birine göndermiş ve siz sadece ID’sini biliyorsanız:

# gpg --recv-key ********

Size gönderilen bir anahtarı doğrulamak isterseniz muhakkak fingerprint’ini karşılaştırın.

# gpg --fingerprint ********

Aynı şekilde anahtarınızı imzalamanız da anahtarı kullanan kişilere anahtarın sahibi olduğunuzu söyler.

# gpg --sign-key ********

Çok önemli bir adım olarak anahtarınızı nasıl yedeklersiniz? Öncelikle anahtar(larınızı) listelemek için:

# gpg --list-keys

Açık anahtarınız; pub 4096R/ ve gizli anahtarınız; sub 4096R/ ‘den sonraki 8 karakterlik kısımdır. Açık anahtarınızı yedeklemek için;

# gpg -ao açıkanaharım.key --export ********

Gizli anahtarınızı yedeklemek için;

# gpg -ao gizlianahtarım.key --export-secret-keys ********

Silinirse geri yüklemek için;

# gpg --import açıkanahtarım.key
# gpg --import gizlianahtarım.key

Bu yedekleri usb diskinizde saklayabilir, cd’ye yazdırabilirsiniz. Önemli olan bunları kaybetmemek. Bununla birlikte, anahtarı iptal etmek (revoke) bilmemiz gereken başka bir şeydir. Bir anahtar neden iptal edilire gelirsek (bu bilginiz olsun kısmı):

  1. Şifrenizi unutmuşsunuzdur ve hatırlama ihtimaliniz yoktur.
  2. Anahtarınızı kaybetmişsinizdir ve geri yükleyemiyorsunuzdur.
  3. Birileri tarafından kullandığınız şifre bulunmuştur.

Her türlü kötü durumları bu konuda kafanızda canlandırabilirsiniz. Ama temel olarak bu üç neden kafanızın bir yerinde bulunsun. İptal edilmiş bir anahtar ile karşılaştığınızda hatırlarsınız.

Revoke anahtarı oluşturmak için:

# gpg --gen-revoke ********

Anahtarı aktarmak için:

# gpg --import revoke.asc

Eğer anahtarı bir sunucuya göndermişseniz revoke edilmiş anahtarı tekrar göndermeniz o anahtarın iptal edildiğini gösterecektir.

Son olarak, oluşturduğunuz anahtarı ve sahip olduğunuz anahtarları silmek isterseniz:

# gpg --delete-secret-key ********
# gpg --delete-key 'arkadaşım@epostası'

O kadar uğraştık, bir e-posta göndereceğim ama nasıl diyorsanız, diyelim ki göndereceğiniz kişinin anahtarı sizde mevcut ve bir metin editörü ile (ben vim kullanıyorum bana bakmayın) e-postada anlatmak istediklerinizi yazdınız;

# gpg -e -u 'BenimanahtarIDim' -r 'ArkadaşımınanahtarIDsi' eposta.txt

Eklentiye eposta.txt.gpg‘yi koyun ve gönderin. Arkadaşınız yukarıda bahsettiğimiz şekilde e-posta.pgp.txt’yi açacak ve e-postayı okuyacaktır. Ben biraz eski kafalı olduğum için bu şekilde yapıyorum. Kullandığınız e-posta istemcisi (Thunderbird, Claws vs) ya da web tabanlı e-posta istemciniz bunu otomatik yapıyor olabilir. Onu sizin keşfetmeniz gerekecek.

Tekrar tekrar söylemeye gerek yok ama ben gene söyleyeyim. Kullandığınız e-posta servisi ne kadar güvenilir olduğunu iddaa ederse etsin, siz PGP kullanın!

Tagged , , , , , , , , , , ,