Tag Archives: facebook

TİB ve Metadata

5651 sayılı Internet düzenlemesinin etkileri ve tepkileri sürerken, Gül’ün hiç şaşırtmayan bir hamleyle onayladığı ve birkaç sorunlu şey var düzeltilecek demesi ile hükümetten yana saf tuttuğunu bir kez daha ispatlamıştı. Cumhurbaşkanı danışmanı Yusuf Müftüoğlu The Wall Street Journal‘a “Türk siyasetinin paranoyak tarzı” makalesi ile ilgili sitem dolu bir e-posta göndermiş. Bu e-postada da özellikle dikkatimi çeken Gül’ün Internet düzenlemesindeki “en tartışmalı maddelerin –global normlar ile en uygunsuz olanların– derhal değiştirileceği yönünde hükümetten güvence aldıktan sonra bu onayı vermiştir” cümlesi oldu. Ayrıca, haberin başlığı da Gül’ün Internet yasasına direndiğini söylemektedir. Peki metnin devamında Gül’ün direndiğine dair bir ibare var mı? Yok ve daha kötüsünü belirtmişler. Adı da metadata!

Öncelikle, metadata nedir değildir? Kısaca, bir veri hakkındaki verilerdir. Bunu detaylandırırsak eğer, belirli bir veri setine ya da kaynak hakkında nasıl, ne zaman ve kim tarafından oluşturulduğu hakkında tanımlayıcı bilgiler içerir. Metadata çoğunlukla Internet içeriğine bir gönderme olsa da fiziksel veya elektroknik içerikler hakkında da olabilir. Ayrıca, bir yazılım veya elle oluşturulabilirler. Biraz daha ayrıntıya girelim, bir metadata saat kaçta, nereden, hangi baz istasyonunu kullanarak kimi aradığınızı, arama yaptığınız telefonun IMEI numarasını, ne kadar süre konuştuğunuzu vb. bilgileri içerir. Bunu Internet açısından düşünecek olursak, örneğin bir e-posta gönderdiniz, e-postalarınıza nereden eriştiğiniz, ne zaman eriştiğiniz, IP adresiniz, e-postada kullandığınız adınız, alıcının adı, zaman dilimi, yazı karakter kodu, sunucu transfer bilgisi gibi detaylı bilgileri içermektedir. İşin komik tarafı şu:

Son olarak, servis sağlayıcıları internet kullanıcılarının yalnızca üst verilerini (metadata) TİB’e verecek ve bu yalnızca mahkeme emri ile yapılabilecek. Önceki şeklinde, daha detaylı bilgilerin mahkeme emri gerektirmeksizin iletilmesi isteniyordu.

Sizin gizliliğinize ait tüm içerikler “mahkeme emri” adı altında bir şekilde TİB’e verilebilecek. Bununla birlikte, metadata çok kapsamlı ve sadece tek taraflı bilgiler içermediği için sizinle birlikte iletişime konu olan karşı tarafa ait bilgiler de verilmiş olacak. Tabi ki bizler Internet kullanmasını bilmeyen ve gizlilik konusunda yeterince bilgi sahibi olmadığımız için bu açıklamayı da “evet, kesinlikle çok haklısınız” çerçevesinde değerlendiriyoruz. Üzülerek söylüyorum ki, açıklama yaptıkça daha çok batıyorlar ve şuna artık eminim, ne dediklerinin veya söylediklerinin ne anlama geldiğinden bile emin değiller.

Metadata ile ilgili meşhur bir örnek de Petraeus skandalıdır. Bu skandal, CIA yöneticisi olan general David Petraeus ile gazeteci ve Amerikan ordusu istihbaratında görevli Paula Broadwell arasındaki evlilik dışı ilişki ve konuya dahil birçok farklı kişiden oluşmaktadır. Kısaca, Paula ve David ortak bir anonim e-posta kullanarak birbirleriyle iletişim kurmaktadırlar. İkisi de e-posta göndermek yerine bu anonim e-postada yazdıklarını kaydedip okumaktalar. Paula, kamuya açık alanlardan Internete girip bu kayıtlı mesajları okur ve nerden, ne zaman okunduğuna ve oluşturulduğuna dair metadata verisi birikir. FBI’ın araştırması sonucunda da metadatalar ile Paula’nın kimliğine erişilir.  Guardian’ın metadata’ya giriş makalesinde metadata ile ne tür bilgilerin toplandığına dair detaylı bir anlatım mevcut. Buradan bazı şeyleri aktaracağım:

Kamera

  • GPS bilgileri
  • Oluşturulma ve düzenleme tarihi
  • Fotoğrafa ait içerik bilgileri
  • Kamera modeli
  • Kamera ayarları (flash, f-stop, shutter hızı vs.)
  • Fotoğraf özellikleri (boyut vs.)

Facebook

  • Ad ve soyad, doğum tarihi, yer, iş, ilgi alanları gibi biyografi bilgileri
  • Kullanıcı adı ve ID
  • Abonelikler
  • Cihaz bilgileri (telefon, bilgisayar vs.)
  • Aktiviteler, beğeniler, etkinlikler
  • Facebook etkinliğine dair zaman, saat ve saat dilimi

Twitter

  • Ad, yer, profil bilgileri ve URL
  • Hesap oluşturulma tarihi
  • Kullanıcı adı ve ID
  • Tweetlerin gönderildiği yer, zaman ve saat dilimi
  • Tweetlerin ve cevapların ID’si
  • Takipçiler, takip edilenler, favoriler
  • Tweetlerin gönderildiği uygulama

Google Arama

  • Arama sorguları
  • Aramada çıkan sonuçlar
  • Arama sonucu erişilen bağlantılar

Tarayıcı

  • Ziyaret edilen sayfalara ait bilgiler ve zamanı
  • Otomatik tamamla ile muhtemel giriş bilgileri ve kullanıcı verileri
  • IP adresi, cihaz ve donanım bilgileri, işletim sistemi ve tarayıcı bilgisi
  • Websitelerinden alınan çerez ve cache verileri

Neyse ki bizler teknolojinden anlamayan insanlarız ve bunların ne anlama geldiğini bilmiyoruz. Teşekkürler TİB, teşekkürler Müftüoğlu, teşekkürler Gül! Sayenizde Internet hiç olmadığı kadar “özel hayatın ve iletişimin gizliliğine” saygılı olmamıştı. Google’dan aratıp anaysayadan bir iki şey “sallamak” isterdim sizlere ama artık yazmaktan tiksiniyorum.

Tagged , , , , , , , , , , , , , , , , , , , , , , , , ,

Interneti Kapatmaya Doğru Giderken

Kendine gazeteci diyen 4 kişi; Rasim Ozan Kütahyalı, Mehmet Barlas, Mahmut Övür ve Erdal Şafak, atv’de canlı yayında Tayyip Erdoğan‘la bir araya gelip gündeme dair soruları sordular ve sorulara yanıt aradılar. Konuşma beklediği gibi döndü dolaştı Internete düşen ses kayıtlarına geldi ve Erdoğan:

30 Mart’tan sonra atacağımız başka adımlar var. Bu konuda kararlılığımız var. Biz bu milleti Youtube’a, Facebook’a, bilmem şuraya buraya yediremeyiz. Atılması gereken adım neyse biz bu adımı en kesin hatlarla atacağız. Kapatılması dahil.

diyerek ilerleyen süreçte gelecek website engellerinin de haberini vermiş oldu. Interneti “sınırsız bir şey, engeli yok” diyerek kendi denetimi altında tutmayı istemesi zaten şaşırtıcı bir şey değildi. Daha önce de bu konuyla ilgili olarak bir şeyler demişti diye hatırlıyorum.

Bununla birlikte, son günlerde yaşanan SSL sertifika hataları, Google’a ve birçok siteye erişimde sıkıntılar, Internet’in aşırı yavaş oluşu ben ve birçok kişide de bir şeyler üzerine çalıştıkları izlenimini uyandırdı. Yeni Internet düzenlemesi ile getirdikleri URL tabanlı engellemenin altyapısını muhtemel tüm İSS’ler için kullanılabilir olmasını sağlamaktaydılar veya muhtemel Erişim Sağlayıcıları Birliği’nin altyapısı için çalışmalar yapıyorlardı. Her şekilde bizler için hayırlı bir şeylerin olmadığı ortadır. Bugünkü açıklamadan sonra da denedikleri sistem her ne ise başarılı bir sonuç alamadılar ve çok kullanılan ve paylaşımların döndüğü, haberlerin çok hızlı yayıldığı, Erdoğan’ın da zikrettiği bu websitelerin kapatılmasına –dolaylı da olsa– karar verdiler.

URL tabanlı engellemenin olduğu gün traceroute Youtube için olması gereken sonucu vermişti. Google’da yaşanan SSL hataları ve erişim sıkıntılarının yaşandığı zaman baktığımda ise tarayıcıdan Google’a erişilse bile traceroute çıktısında zaman aşımlarının olduğu ve ICMP paketinin Google sunucularına ulaşamadığını farkettim. Bu şu anlama geliyor; traceroute’da paketler Google’a ulaşıp geri dönemiyor; belki de erişiyor fakat dönüş yolunda çeşitli sorunlarla karşılaşıyor. Bu sorunlar; bir güvenlik duvarı veya çeşitli güvenlik önlemleri tarafından bilinçi olarak bloklama olabilir, hop’larda ICMP kapalı olabilir, bloklama traceroute’u etkileyebilir fakat sunucu bağlantıları bundan etkilenmeyebilir.

traceroute to google.com (64.15.117.245), 30 hops max, 60 byte packets
 1  192.168.2.1 (192.168.2.1)  2.590 ms  4.451 ms  5.076 ms
 2  93.155.2.5 (93.155.2.5)  12.404 ms  13.838 ms  15.903 ms
 3  81.212.106.141.static.turktelekom.com.tr (81.212.106.141)  17.969 ms  19.386 ms  20.518 ms
 4  pendik-t2-1-pendik-t3-1.turktelekom.com.tr.221.212.81.in-addr.arpa (81.212.221.61)  22.794 ms  23.862 ms  25.339 ms
 5  * * *
 6  212.156.41.202.static.turktelekom.com.tr (212.156.41.202)  50.162 ms  28.137 ms  27.943 ms
 7  * * *
 8  * * *
 9  * * *
 10 * * *

Kısaca bu çıktıyı yorumlarsak (30. hop’a kadar böyle, çıktı uzun diye 10’da bıraktım.):

  • Son erişilebilir sistem 6. hop’tur.
  • Sorun 7. hop’ta olabilir ya da 6. ve 7. hop arasındaki bağlantıda olabilir.
  • Bu sorun belki dönüş yolunda da olabilir. 6. ve 7. hop’lardaki istemcilerin farklı dönüş yolları olmasından kaynaklanıyor da olabilir.
  • 7. hop’un dönüş yolunda bir sorun olduğu halde 6. hop’un dönüş yolunda herhangi bir sorun olmayabilir.
  • Sorun bu sistemden kaynaklanabilir veya bu tamamen farklı bir sistem olabilir.
  • İşin kötü tarafı bu sorun İSS’den kaynaklanan bir sorun da olabilir.

Bu analizin daha tutarlı olabilmesi için de birçok farklı noktadan buna benzer analizler yapılmalıdır. Bugün tekrar traceroute ve tcptraceroute yaptığımda paketlerin Google sunucularına ulaştığını gördüm. Bu, sanırım analizi desteklemesi açısından önemli bir nokta olsa gerek. Ek olarak, TCP/IP konusunda yeterli bilgiye sahip olmadığım için daha iyi analizler yapılırsa eğer lütfen bana ulaşın yazıya ekleyeyim. Bununla birlikte, İSS’den kaynaklanan bir sorun olabilir demiştim. Dikkat ettiyseniz İSS’den sonra paketler kayboluyor. Ayrıca, bu sorundan ziyade gözetim ve erişim engelleri için bir donanımın kullandığı anlamına gelebilir. İSS’nin tek başına yazılımsal olarak böyle bir trafik yükünü çekmesi pek muhtemel gözükmediği için donanım üzerinde çalışan yazılımlar böyle “sorunlar“‘a da neden olabilirler.

Öte yandan, bugün Lütfü Elvan’ın bir açıklaması oldu. Önemli noktaları buraya alıntılıyorum:

Sayın Başbakanımızın ifade ettiği husus şu: dünyanın hiçbir ülkesinde görülmeyen alçakça saldırılar var. Dünyanın hangi ülkesine gitseniz, bu ülkenin başbakanına, bakanlarına, ailesine, küfürler hakaretler, ağza alınmayacak ifadeler olmaz. Maalesef bunların hepsi internet ortamında yer alıyor. Dünyanın hiçbir ülkesinde bu tür uygulamaya müsaade edilmez… Böyle bir şey yok. Dünyanın hangi ülkesine giderseniz gidin, bu tür hususlarla karşı karşıya kalmak mümkün değil. Eğer böyle bir şey olsa, anında bunun engellenmesi yapılır. Düşünün Başbakan’a, Cumhurbaşkanı’na küfür edilecek, olmadık hakaretler yapılacak, yasa dışı bir takım görüntüler alınıp ve bunlar servis edilecek, bunları da biz içimize sindireceğiz. Böyle bir şey mümkün değil. Böyle bir şey olamaz…

Konunun tekrar dönüp dolaşıp ahlaki değerler üzerinden dayatılmaya çalışılan bir sansüre geldiğini gösteriyor. Elvan, dikkati çekecek çok önemli şeyler söylemiş, özellikle de anında bunun engellemesi yapılır kısmı ilerleyen sürecin bir habercisi gibidir. Ayrıca, Abdullah Gül; “Facebook ve Youtube gibi platformların kapatılması söz konusu olamazdedi. Fakat, o ne derse ben tam tersini düşüneceğim için bu açıklamasını da günü kurtarmak amaçlı olarak yorumluyorum. Erdoğan’ın bu çıkışı, üzerine söylenenler, aslında pek de tartışma yaratmadı. Diğer yandan, böyle bir algı yaratılmaya çalışıyor. Buna gündem değiştirme, hedef saptırma, oyalama ne derseniz diyin. 1 yıl daha iktidardalar. Yerel seçimleri kaybetmeleri bu açıdan çok bir anlam ifade etmiyor. Hatta bence yerel seçimleri kaybedersek yargılanırız veya bir şeyler değişebilir algısı da iğrenç geliyor. Son olarak, bu websitelerin kapatılması seçimlerde bir hilenin döneceği ve bunun da sosyal medya üzerinde en az şekilde duyurulması veya konuşulmasını istedikleri için 30 Mart tarihi özel olarak seçildi izlenimi uyandırmıyor da değil.

Tagged , , , , , , , , , , , , , , ,

Suriye’den Türkiye’ye Internet Sansürü

~Bütün diktatörler aynı yolu izler.

Suriyeli yetkililerin Internet kullanıcılarına ait trafiği monitörlemek ve filtrelemek için kullandığı Blue Coat SG-9000 proxylerinin tuttuğu 600GB’lık kullanıcı verisi 2011 yılının Ekim ayında Telecomix isimli hacktivist grup tarafından sızdırıldı. Ardından da bu verilerle ilgili akademik bir analiz yapıldı. Analizin detaylarına çok girmeden Türkiye’nin jet hızıyla onaylanan yeni Internet düzenlemesi ile çok benzer yönlerinin olduğunu farkettim. Bu benzer yöntemler Suriyelilerin sansürü aşmak için kullandığı yöntemler kadar sansür yöntemlerini de içermekte.

Blue_Coat_ProxySG9000_open

Öncelikle ProxySG 9000‘nin ne olduğunu açıklayalım. Blue Coat isimli firmanın ürettiği bu proxyler birleşik güvenlik çözümleri için üretilmiş ve kullanıcı kimliği denetimi, web filtreleme, denetleme, ssl ile şifrelenmiş trafiği görüntüleme, trafik yönetimi gibi web trafiği üzerinde tam bir kontrol olanağı sağlamakta olan araçlardır. Ayrıca, ProxySG 9000’lerin bir tanesi 15000GB kapasitelidir. Makaleye göre Suriye’de bunlardan 7 tane varmış. Ek olarak, sansür sisteminin altında yatan ve gerçek bir sansür sistemi oluşturan bu teknolojiyi de dikkate almanın gerekli olduğunu düşünüyorum. Hatta, hiç ummadığımız bir yerde ProxySG 9000 bile görebiliriz.

Suriye’deki sansür sistemine kısaca bakacak olursak:

  1. Kategori tabanlı filtreleme: Blue Coat’ın proxysi ilgili URL’ye ilişkin her isteği kategorilendirmekte ve her kategori de farklı filtreleme kurallarına sahip olmaktadır.
  2. Karakter dizisi tabanlı filtreleme: Bunu basitçe şöyle ifade edeyim: A; sansürlü URL’ler B’de erişime açık URL’ler. c karakter dizisinin sıkça A’da gözükmekte olduğunu farzedelim. c karakter dizisinin A ve B’de görülme sıklıklarının da bir sayısı olsun. Eğer A’da 1’den fazla ve B’de hiç gözükmezse A’dan tüm c dizisi içeren istekleri silerek c’yi sansürlü diziler listesine ekliyor.
  3. URL tabalı filtreleme: Twitter’da bir profile erişimi engelleyeceksiniz. Bunun için gidip komple siteyi erişeme engellemek yerine o profile ait URL’ye erişimi engelliyorsunuz.
  4. Kelime tabanlı filtreleme: Çeşitli kelime grupları (haydar, mini etek, liseli gibi) üzerinden bir filtreleme. Bu alışık olduğumuz bir yöntemdir. Tahminen TİB bu yöntemle Türkiye’de 36000 küsür siteyi engelledi.
  5. IP tabanlı sansürleme: Doğrudan IP adreslerinin erişime engellenmesi. Yani kısaca ISS’lerin bu IP adreslerine gelen istekleri hiç ulaştırmaması da denilebilir.

Bu filtrelemeler sonucunda kullanıcının istekleri iki şekilde cevaplanmaktadır. Ya yapılan istek reddedilecek (erişim engellendi, access denied gibi sayfalar) ya da başka bir adrese (… sayılı kararla erişime engellenmiştir) yönlendirilmektedir.

Dikkati çekeceğim noktalardan bir diğeri de Arap Baharı yaşanırken Suriyeli yetkililer Şubat 2011’de Facebook, Twitter ve Youtube gibi sosyal ağlara erişimi engellememişlerdir. Bunun yerine bu siteler monitörlenmekte ve seçici olarak sansürlenmekteydi. Diğer bir deyişle DPI gibi yöntemlerle trafiği gerçek zamanlı olarak incelenmişlerdir. Bununla birlikte, anlık mesajlaşma uygulamaları (Skype), video paylaşım siteleri (upload.youtube.com, metacafe), anti-sansür uygulamaları içeren siteler (Tor vd.), haber ve muhalefet siteleri de seçici olarak sansürlenen trafik içerisinde yer almaktaydılar.

Suriye’deki Internet sansürü yapısını alıp Türkiye’ye uyarladığımızda, yeniden düzenlenen 5651 sayılı kanunun beraberinde getireceği sansürle çok ciddi benzer noktalar içermektedir. Birincisi, Türkiye’de bu yeni düzenleme öncesinde seçici bir sansür vardı. Kelime tabanlı olarak filtreleme uygulanmaktaydı. Diğer taraftan IP tabanlı sansürleme de yapılmıştı. Şimdi, yeni düzenleme ile URL tabanlı filtreleme geldi ve web trafiğinin gerçek zamanlı olarak incelenebileceği bir yapıya kavuşturuldu. İkincisi, bu şekilde Facebook veya Twitter gibi siteler direkt olarak erişeme engellenmeden, Türkiye’deki Internet kullanıcılarının bu sitelere olan trafikleri monitörlenebilecek ve böylelikle de kullanıcı profilleridiğer deyişle fiş dosyalarıoluşturulabilecek. Üçüncüsü, Türkiye tüm bunlara yasal bir zemin hazırlamakla beraber MİT geçmişli bir başkan ve koruma kalkanı ile TİB’i dokunulmaz yapmıştır. Son olarak da yeni MİT yasa tasarısı bu dokunulmazlığı alıp bir korku-baskı-ölüm yapısına dönüştürecektir.

Erdoğan bir zamanlar Esad için kardeşim diyordu. Daha sonra onu katil, diktatör Esed olarak anmaya başladı. Internet sansürü anlamında Türkiye’de yapılanlara baktığımızda Erdoğan Esad ile aynı yolu izlediğini kendi adıma söyleyebilirim. Çünkü, Suriye’deki Internet sansür sistemi Türkiye’nin mevcut yapısına rahatça uyarlanmaktadır. Yapılan yeni Internet düzenlemesi de ortak noktaları çok açık bir şekilde göstermektedir. Umarım bir gün Suriye’de yaşanan trajediyi Türkiye’ye de uyarlamak zorunda kalmayız.

Tagged , , , , , , , , , , , , , , , , , , , , , ,

Veriyi Unutmak Ve Unutulma Hakkı

Türkiye’de ciddi sıkıntılar doğuran, verilerin elden ele dolaştığı, veritabanlarının yüksek fiyatlara satılıp size ait kişisel verilerin ve gizlilik hakkınızın hiçe sayıldığı bir ortam mevcut. Durup dururken gelen bir telefonla “Merhabalar … bey, ben …, sizlere bir ürünümüzü tanıtmak istiyorum…” şeklinde yapılan tacizkar pazarlamaların bitmek tükenmek bilmediği şu zamanda, verinin unutulması ve unutulma hakkı üzerine bolca eleştiriye açık fikirlerimi belirtmek istedim.

Kafanızda önce bir örnek canlandıralım. Sarhoşsunuz, canınız sıkkın veya çok mutlusunuz, bilgisayarın başında sosyal medya profillerinizin birinde (Facebook, G+ vs.) kendinize ait bir fotoğraf ya da bir yazı vs. paylaştınız. Bu fotoğraf (veya yazı) sizinle ilgili ileride başınıza iş açabilecek, her zaman karşınıza çıkabilecek bir şey taşıyor. Örneğin yarı (veya tamemen) çıplaksınız, (birine veya birilerine) nefret (veya aşk) dolu (küfür şart değil) bir yazı yazdınız. Sabah uyandığınızda bir de baktınız ki gönderdiğiniz fotoğraf 10 arkadaşınızın da duvarında, bir sürü yorum almış, üstüne arkadaşlarınızın duvarından başka yerlere aktarılmış, Internet Wayback Machine tarafından Internet tarihin tozlu sayfalarına eklenmiş ve arama motorlarında adınız ve soyadınız aratıldığında direkt karşınıza çıkmış. Hemen kullandığınız sosyal medya sitesiyle iletişime geçtiniz, fotoğrafı duvarınızdan sildiğinizi ve sunuculardan da silinmesini istediğinizi söylediniz. Kabul edildi veya edilmedi (fakat yasa varsa buna bir şekilde zorlayacaktır), bir de baktınız arkadaşlarınızın duvarlarında fotoğraf durmaya devam ediyor, aramalarda karşınıza çıkıyor, ya şimdi ne olacak?

Bir Internet sitesi bu durumda kimin duygularını esas almalı? Duvardan duvara aktarılan o fotoğraf artık kimin? Siz üzgünsünüz diye bir Internet sitesi başkalarına da müdahale etmeli mi? Bununla ilgili söylenen temel şeylerden birisi; “eğer bir salaklık yapıp açık bir alan adı üzerinde, gruplarda, forumlarda vs. böyle bir paylaşımda bulunmuş veya kendinizle ilgili tüm özel şeyleri anlatmışsanız, ileride bunlardan dolayı başınıza bir şey gelmesi durumunda şaşırmamalısınız“. Bir diğer nokta da Jeffrey Rosen‘in “Internet yapısına, Google, Facebook ve Yahoo gibi sitelere zarar vereceği ve en önemlisi de Internet’te konuşma özgürlüğünün bundan olumsuz etkileneceği” görüşü. Bunlar haklı bir cevap, fakat bir kişinin yaptığı bir salaklıktan dolayı bir verinin saatli bomba gibi, kontrolü dışında ve ulaşamayacağı bir bulut üzerinde durmaya devam etmesi de doğru değildir. Bu işin bir orta yolu olmalı. Peki bu orta yol nasıl olacak? Benim şahsi görüşüm, unutulma hakkı açık ve net olarak ne çok aşırı detaylı ne de çok basit bir şekilde tanımlanmalı, konuşma özgürlüğü, bilgi alma özgürlüğü, ifade özgürlüğü ve Internet özgürlüğü gibi temel hak ve özgürlüklere zarar verici olmamalı. Kanun uygulayıcının veya Internet sitelerinin (bu tartışılabilir. çünkü bir Internet sitesi jüri görevi de görmeli mi yoksa sadece teknik hizmet mi vermeli?) bu yasaya baktıklarında herhangi bir olay için uygulanabilir veya reddedilebilir olmasına karar verebilmeli. Bu şunu sağlar:

  • Konuşma özgürlüğü, bilgi alma özgürlüğü, ifade özgürlüğü ve Internet özgürlüğü gibi temel hak ve özgürlüklerin bundan olumsuz etkilenmesinin önüne geçecektir.
  • Yasanın açık, anlaşılır ve uygulanır olması yasayı eğip bükmek isteyen, bunu kendi çıkarları için kullanmak isteyen muktedirlerin önüne geçecektir.
  • Sosyal medyanın, Internet sitelerinin ve Internet yapısının bundan en az zararla etkilenmeleri sağlanmış olacaktır.
  • Her “ben bir salaklık yaptım bunu silin” diyenin isteğiyle kafasına göre verinin silinmesi engellenmiş olacak (yukarıda bahsettiğim temel hak ve özgürlükler doğrultusunda).

Bir sosyal medya sitesine (ya da herhangi bir siteye) üye oldunuz, bir şeyler paylaştınız, daha sonra aldığınız hizmetten vazgeçmek istediniz ve hesabınızı silmeye karar verdiniz. Hesabınıza ait veriler ne olacak? Bu veriler üçüncü şahıslara kişinin izni alınmadan satılıyor mu ya da  satıldı mı? Nasıl oluyor da hiç tanımadığınız birileri sizi arayıp bir ürün satmaya çalışıyor? Veya nasıl oluyor da hesabını sildiğiniz bir Internet sitesi sizlere düzenli olarak e-posta göndermeye devam ediyor? Tacizkar pazarlama demiştim kısaca bir anlatayım. Bir bara gidiyorsunuz ve biri kabul edene kadar önünüze gelene evlenme teklif ediyorsunuz. Kimse kabul etmezse de suçu kendinizde bulmuyor o barı size önerene kızıyorsunuz. Sizleri arayıp ürün satmaya çalışan insanlar da ürünü satana kadar birilerini aramaya ya da hesabını sildiğiniz Internet sitesi sizi geri kazanana kadar bilgilendirme, gelişme, haber vs. adı altında e-posta göndermeye devam ediyor. Kısa bir tanımdan sonra verinin unutulması ile ilgili olarak benim şahsi görüşüm, eğer bir kullanıcı hesabını silmişse, o hesap silinmiştir. Bitti! Bir banka hesabının, bir sosyal medya hesabının, bir cep telefonu operatörü hesabının ya da bir e-posta hesabının silinmesi arasında bana göre fark yok. Şirketler, belirli bir süreliğine (mesela 6 ay, en fazla 1 sene, daha fazlasına karşıyım!) verileri saklayabilirler ama bunu sadece ve sadece şirket içi performans ölçümü ve yeni teknolojilerin geliştirilmesi için “anonim” olarak kullanabilirler. Ayrıca, bu verilerin kesinlikle ve kesinlikle belirli bir süre sonra silinecek diyerek 3. şahıslarla paylaşılması veya satılması (ben buna da karşıyım ama söylemekte yarar var; eğer kullanıcı aksini belirtmemişse ve izinli pazarlama için onayı varsa verebilirler) söz konusu dahi olamaz. Bu konuda gelecek en temel itirazlardan bazıları şunlar; “eğer biz hesap silindikten sonra o hesaba ait tüm verileri (mesela banka için hesap numarası) de silersek ilerde o hesap numarası boşta kalacağı için başkasına verilebilir, (internet için) kullanıcı adı (ya da banka için hesap numarası) başkası tarafından alınıp kötüye kullanılabilir (inceleme yapılırsa eski kullanıcı bundan dolaylı olarak etkilenebilir) ve kullanıcı tekrar geri dönmek isterse bu onu olumsuz (kullanıcı adım alınmış, hesap numaram başkasının vs.) etkileyebilir…“. Eğer böyle sıkıntıların doğabileceğinden bahsedilebiliyorsa konuyla ilgili en temel çözüm; hesap silinmişse ve kullanıcı, verinin unutulma süresi içinde dönmemişse hesap numarasını, kullanıcı adını vs. tamamen bloklansın ve bir daha kullanılamasın. Bu kadar basit. “O zaman bir sürü ölü hesap, kullanıcı adı vs olur.” safsatasını geçelim. Çünkü ciddiye almayacağım.

Son olarak Almanya’dan bir örnek verelim. İki kişi birlikte ünlü birini öldürüyor ve mahkemeye çıkartılıp yargılandıktan sonra suçlu bulunup hapse gönderiliyor. Ceza süreleri tamamlanıp hapisten çıktıktan sonra Wikipedia‘da öldürdükleri ünlü kişinin sayfasına girdiklerinde “tarafından öldürüldü” şeklinde kendi isimlerini de görüyorlar. Wikipedia’yı “Biz hapiste cezamızı çektik, topluma olan borcumuzu ödedik ve bu kazanın unutulmasını istiyoruz.” diyerek isimlerinin kaldırılması için dava ediyorlar. Peki, Tarih, unutulma hakkı için bu iki kişiyi silebilir mi? Geçmişe bu nedenle müdahale edilmeli mi? Orwell’den gelsin; “geçmişi kontrol eden geleceği kontrol eder.” Tüm bunlar bir hikaye değil, yaşanmış ve yaşanmakta olan durumlar.

Sonuçta, unutulma hakkı çok detaylı ve detaylandıkça da zorlaşan bir yapıya sahip. Bunun üzerine ne kadar çok çalışma yapılırsa bizim için o kadar iyi olacak, o kadar çok farklı fikir üretilecek ve değerlendirilecek ve bu çalışmalar herkes için yararlı olacaktır.

Tagged , , , , , , , , , , , , , , , , , , , , ,

Tor’a Giriş

Çok temel ve bir giriş yazısı olarak Tor’la ilgili yarım kalan bu yazıyı tamamlayayım istedim. Öncelike yazının ne son kullanıcıyı ne de ileri düzey kullanıcıyı tatmin etmek gibi bir amacı yok. Birçok şeyin gayet net, anlaşılır olduğunu düşünüyorum. Kullandığınız program vs. burada örnek verilmedi diye desteklenmediğini düşünmeyin. Bu yazı tamamen GNU/Linux temellidir.

  • Kısaca Tor Nedir?

Tor (eski adıyla onion router), ilk olarak Amerikan Donanması ile beraber, devlet içi iletişimleri korumak için geliştirilmiştir. Günümüzde ise herkesin kullanabildiği (aktivist, ordu, gazeteci, kanun uygulayıcı vs.), sanal tünellerden oluşan, kişi ve grupların Internet üzerindeki gizliliklerini ve güvenliklerini sağlayan, geliştiren ve özgür yazlım olan bir anonimlik ağıdır.

  • Arkasında Kimler Var?

Sıklıkla raslatladığım ve çok eleştirilen -haklı- noktalardan biri de bu. Arkasında kimler var, kimler destekliyor, kim bunlar diyorsanız; Tor, senelik şeffaflık raporları yayımlıyor. Okumak isterseniz;

2012 yılı olağan raporu
2011 yılı finansal raporu
Baştan sona okumak isteyenlere, Tor and Financial Transparency e-posta listesi tartışması var.

Bilindik isimlerden;
Jacob Applebaum
EFF desteği (tam destek olmasa da) ve;
EFF ile birlikte geliştirdikleri HTTPS-Everywhere eklentisi.

Kaçamak cevap veriyorum gibi olmasın. Bu konudaki araştırmayı kullanacak insana bırakıyorum. Özellikle e-posta listesindeki tartışmadan ayrı birkaç yazı bile çıkabilir. Çok detaylı bilgiler içermekte.

  • Tor Nasıl Çalışır?

htw1

İster basit, isterse karmaşık trafik analizi olsun, Tor; işlemlerinizi Internet üzerindeki birden fazla alana dağıtarak riski düşürmeye yardımcı olur. Temel fikir şudur; peşinizde sizi takip eden birini, dolambaçlı yollara sokarak hem takip edilmenizi engeller, hem de arkanızda bıraktığınız izleri (fingerprint) periyodik olarak temizlersiniz. Kaynaktan hedefe doğrudan bir yol seçmek yerine, Tor ağındaki veri paketleri birkaç relay üzerinde rastgele bir yol izler. Böylece, verinin nerden geldiği ve nereye gittiği belli olmaz. Sahip olduğunuz Tor istemcisi (Ayşe), dizin sunucusundan (Ali) şifreli bir bağlantı ile dolaşım oluşturacağı Tor node’larının listesini alır (bağlantıya şemada kısa olsun diye link dedim).

Bir örnek vererek kafanızda durumu daha da netleştirelim. Ayşe, elinde güvenli ara sokakların olduğu bir listeyle (Tor node) onu takip eden ailesine izini belli ettirmeden Oya’ya (hedef sunucu) gitmek ister.

htw2
Tor; (Ayşe’nin istemcisi) ağ üzerinde bulunan relay’ler vasıtasıyla hedef sunucuya kadar şifreli bir dolaşım kurar. Dolaşım, her seferinde bir atlamaya (Tor Node’lardaki yeşil linkler) sahiptir, ve her relay sadece hangi relay’in kendisine veriyi verdiğini ve hangi relay’e vereceğini bilir. Relay’lerin hiçbiri bireysel olarak verinin aldığı tüm yolu bilemez. İstemci, dolaşım boyunca her atlamanın iletişimi takip edememesi için farklı anahtar setlerine sahiptir.

Örneğimize devam edelim; Ayşe, Oya’ya (hedef sunucu) ulaşabilmek için rastgele bir dolaşım yolu hazırlar (circuit) ve güvenli ara sokaklardan (şifreli link) sadece bir kez geçerek Oya’ya gider. Geçtiği ara sokaklar ise sadece hangi ara sokaktan geldiği ve hangisine gittiğini bilir fakat tüm güzergahı bilemez ve ara sokakların hepsi farklı bir anahtar ile açılmaktadır.

Bu dolaşımdaki son relay, Exit Node olarak adlandırılır, ve hedef sunucuyla (Oya) asıl bağlantıyı kuran bu relay’dir. Tor’un kendisi, ve tasarım olarak da, Exit Node ile hedef sunucu arasındaki bu bağlantıyı (kırmızı) şifreleyemez. Bu şekildeki Exit Node’lar geçen her trafiği yakalayabilme durumundadırlar. Ayrıca, bu Exit Node’u çalıştıran kimse gelen ve giden verileri okuyabilir. İletişimlerin bu noktasında dinleme (eavesdropping) olabilmektedir. O yüzden devamlı “end-to-end encryption” kullanın diyoruz. Bu konuda da herkesi teşvik ediyoruz.

Örneğimize devam; son ara sokak (Exit Node) ile Oya’nın evi arasındaki yol açık bir yoldur ve bu yol istenirse son ara sokak tarafından izlenebilir, hatta Ayşe’nin ailesine (eğer kötücül ise) bile bilgi verebilir veyahut kızınız şuraya kaçtı diyerek polisi arayabilir.

htw3
Tor, daha etkili olabilmek için aynı dolaşımı yaklaşık 10 dakika boyunca kullanır. Sonraki istekler, mesela yeni bir websiteyi ziyaret etmek isterseniz (Işık) ise yeni bir dolaşım üzerinden yapılır. Böylece, bir önceki dolaşımla yaptıklarınızı yenisiyle ilişkilendirmek isteyenleri engellemiş olur (şemalar ve açıklamalar Tor’dan, dinleme ise Tails’tan alıntıdır.). Son olarak, Tor sadece TCP’den ve SOCKS desteği olan uygulamalarda kullanılabilir (SOCKS desteği yoksa Polipo kısmına bakın).

Örneğimizi bitirelim; Ayşe, eğer bir süre sonra fikrini değiştirir ve Oya’ya değil de Işık’a (farklı hedef sunucu) gitmek isterse, bu sefer de farklı güvenli ara sokaklardan (Tor Node) oluşan bir dolaşım yolu hazırlar ve izini belli ettirmeden Işık’a (hedef sunucu) gider.

Tor’u, dağıtımınızı bilmediğim için nasıl kuracağınızı yazmıyorum. Paket yöneticinizden tek bir komutla ve tıklamaya kurabilirsiniz. Basit bir örnek vermem gerekirse;

apt-get install tor
pacman -S tor

Eğer grafik arayüzlü bir Tor kontrolcüsü isterseniz Vidalia‘yı da kurabilirsiniz. Vidalia; Tor’u başlatıp durdurmaya, ne kadar bandwidth harcadığınızı, aktif olarak hangi dolaşıma sahip olduğunuzu, bu dolaşımları harita üzerinde göstererek Tor’un durumuyla ilgili mesajlar yayımlar ve sizlere basit bir arayüz üzerinden Tor’u ayarlamanıza, köprü, ve relay oluşturmanıza olanak verir.

  • Temel Tor Ayarları

Dağıtımınız ne olursa olsun (Debian, Arch, Gentoo, Ubuntu denediklerim) Tor kurulumda kendi basit ayarlarıyla (dağıtıma da özgü olarak) geliyor. Bu ayarlar da Tor’un gayet güvenli ve sorunsuz çalışmasını sağlıyor. Bu arada, servis olarak çalıştırmayı unutmayın. Yukarıda da belirttiğim üzere eğer Exit Node’larının bazılarında bir dinleme varsa, veya gizli servislerin veri örnekleri aldıkları Exit Node’lar varsa Tor buna engel olamaz (HTTPS kullanın!). Belki güvendiğiniz ya da bildiğiniz Exit Node fingerprint’lerine sahipseniz sadece bunları kullanmasını da ayarlar üzerinden sağlayabilirsiniz (ama uzun vadede kimliğinizin bulunmasını kolaylaştırabilir). Farklı bir port (9050, Vidalia için 9051) kullanmadığınızı varsayarsak basitçe (örnektir) Firefox’u şu şekilde ayarlayabilirsiniz;

Seçenekler -> Gelişmiş -> Ağ -> Ayarlar -> Vekil sunucuyu elle ayarla

SOCKS = 127.0.0.1
Port = 9050 (9051)

Tor Browser Bundle varken Firefox veya başka bir tarayıcı kullanmak mantıklı mıdır? Bana sorarsanız, Tor’u kullandığınız tarayıcı ile (ya da TBB) normal olarak kullandığınız tarayıcıyı ayrı tutarsanız daha mantıklı olacaktır. Ayrıca, tarayıcınız ile ilgili test yapmak isterseniz, Panopticlik ve JonDonym var. Tarayıcınızı TBB ile kıyaslarsanız, biraz fikir sahibi olabilirsiniz.

  • Tor Ve Polipo

Polipo, basit ve hızlı bir web cache, HTTP proxy ve proxy sunucusudur. Kullanım ve ayarları gayet basit, özellike Privoxy ile kıyaslarsak, ondan çok daha hızlıdır. Polipo’nun tek sıkıntısı disk önbelleğini herhangi bir kısıtlama yapmadan devamlı olarak arttırmasıdır. Harddisk dolmaya başladığında burayı bir kontrol ederseniz iyi olur.

“/etc/polipo/config” ayar dosyası (örnek);
daemonise=false
diskCacheRoot=/var/cache/polipo/
proxyAddress=127.0.0.1
proxyName=localhost
serverSlots=4
serverMaxSlots=8
cacheIsShared=true
allowedClients=127.0.0.1
socksParentProxy = localhost:9050
socksProxyType = socks5

http-proxy‘yi localhost:8123 üzerinden kullanabilirsiniz. Polipo’yu sadece SOCKS desteklemeyen bir uygulamanız varsa (mesela Uzbl, Dwb gibi tarayıcılar) kullanmanız tavsiye. Diğer durumlarda SOCKS üzerinden sadece Tor’u kullanın.

  • Tor Ve Freenode (IRC)

Eğer Freenode‘a (OFTC‘de ekstra bir ayara gerek yok!) Tor üzerinden bağlanmak isterseniz (bu örnek Weechat için);

/proxy add tor socks5 127.0.0.1 9050
/server add freenode-tor p4fsi4ockecnea7l.onion
/set irc.server.freenode-tor.proxy "tor"
/set irc.server.freenode-tor.sasl_mechanism dh-blowfish
/set irc.server.freenode-tor.sasl_username "kullanıcı adınız"
/set irc.server.freenode-tor.sasl_password "şifreniz"
/set irc.server.freenode-tor.nicks "kullanıcı adınız"
/connect freenode-tor

  • Tor Ve Pidgin

Eğer Pidgin’de herhangi bir servise Tor üzerinden bağlanmak isterseniz (Hepsini denemeyin bence, desteleyen Jabber sunucuları için yapabilirsiniz örneğin.);

Ayarlar -> Proxy
Proxy türü SOCKS5
Host 127.0.0.1
Port 9050

Bunun yanında bence OTR eklentisi de kurulabilir. OTR’de dikkat etmeniz gereken şeylerden birincisi iletişimde bulunan her iki tarafta da OTR eklentisi kurulu olmalıdır. Bir diğer şey de siz ve karşı taraf log tutmasın, gerekirse karşı taraftan bunu rica edin.

  • Köprüler

İSS’niz ve devlet eğer sizin trafiğinizi inceliyorsa ve varsayılan ayarları ile Tor kullanıyorsanız bunu öğrenebilirler. Bridge (köprü)’ler de bu noktada devreye girereler. Köprü kullanımı şu nedenlerle olabilir:

  1. Tor kullanımı sansür ile engellenmiştir.
  2. Ülkenizde Tor kullanımı tehlikelidir, yasaktır, yasal yaptırımları vardır.

Tor Köprü Relayleri açık olarak listelenmeyen Tor ağına giriş noktalarıdır ve köprüler İSS’nizin Tor kullandığınızı anlamasını zorlaştırır. Köprüler açık olarak listelenmedikleri için öğrenmenin yolu Gmail veya Yahoo gibi e-posta hesapları ile mesaj konu ve gövdesine “get bridges” yazıp bridges[at]bridges dot torproject dot org adresine e-posta atmak olacaktır. Yanıt olarak gelen köprüleri ise Tor Browser’ın açılında Configure diyip:

2014-03-28-145224_1920x1080_scrot

Buraya kopyaladıktan sonra Connect diyoruz.

  • Tor Çalışıyor Mu?

Test etmek istiyorsanız; https://check.torproject.org

  •  Hidden Services

Deep web, dark internet, Internetin karanlık yüzü, buz dağının görünmeyen kısmı gibi bir sürü tamlama yapıp çok detaya girmeyi pek planmadığım bir nokta. Tor kullanıcısı şunun her zaman bilincinde olmalı; Tor’u neden kullanıyor, nerede kullanıyor? Bu sorular doğrultusunda hidden services profillerinizi clear web üzerinde kesinlikle ilişki kurulabilecek şekilde bağlamayın. Javascript’i deep web’de kapatın. Freedom Hosting’in FBI baskınından sonra sunucuları gittiği için gördüğünüz sadece %50’sidir. Hidden services’ten bir şeyler indirecek ya da yükleyecekseniz bunu iş yerinizden yapmamanız tavsiyedir.

  • Dikkat Edilmesi Gereken Birkaç Nokta

Tarayıcınızın bir parmakizi (fingerprint)’i vardır, kullandığınız her şeyin kendine özgü ve “eşsiz” fingerprint’leri vardır. Şöyle bir örnek vereyim sizlere; kullandığınız tarayıcıyı tam ekran kullanmanız, onun araç çubuğunun boyutu ile ilgili eşsiz bir bilgi sızdırabilir ve ziyaret ettiğiniz siteye sizinle birlikte görüntüleyen diğer tarayıcılar arasında farklı bir konuma düşebilir. Bu da sizin gerçek kimliğinizin ortaya çıkmasını kolaylaştırır. Dahası, günümüzdeki çöznürlükler dikkate alındığında bu ayrım giderek belirginleşmektedir. Bu yüzden TBB, tarayıcı tam ekran yapıldığında kullanıcılarını uyarmak için bir uyarı mesajı tasarlamaktadır.

Bir diğer nokta, diyelim ki sizler Internette flash video izliyorsunuz ve bir yandan da bunun için Tor kullanıyorsunuz (pornocular dikkat). Hiçbir çerez tutmayın, geçmişi silin, ne yaparsanız yapın webgl (HTML5’te de bu durum vardı ne oldu son durum bilmiyorum.) sizin ekran kartı bilginizi cache’leyecektir. Yani Büyük Birader sizleri evinizde ziyaret etmek isterse o ekran kartı benim değil deme şansınız var mı?

  • Son Sözler

Daha önce söylemiştim ama yinelemekte fayda var. Anonimliğiniz sizin kişisel tehlike modelinize dayanır. Kimsiniz ve kimden gizleniyorsunuz? Neden ve ne tür bir risk almayı hedefliyorsunuz? Öncelikli olarak sizin cevaplamanız gereken soruların başında bu gelmektedir. Bir diğer durum da Tor, anonim olmayan bir Internet üzerinde kendi anonim ağını oluşturmaya çalışmaktadır. Burada %100 bir sonuç alma ihtimaliniz yoktur. Gmail gibi servislere Tor üzerinden girmeniz pek mantıklı olmayacaktır (şifre yenileme talebi gönderecek). Torrent için kullanmayın (yavaş ve bilgi sızdırabilir). Eğer kullandığınız servis Tor’u desteklemiyorsa ya da kara listeye almışsa ısrarla Tor’la bağlanmayı denemeyin. Sonun sonu, gerçek kimliğinizle (mesela Facebook profiliniz) Tor üzerinden oluşturacağınız herhangi bir profil (mesela Twitter’daki takma adlı profiliniz) arasında ilişki kuracak/kurduracak (Twitter’ı Facebook profili ile ilişkilendirmek) hatalar yapmayın.

Tagged , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

Online Kripto Araçları

Başlığa aldanıp nasıl kullanacağınızı anlatacağım bir rehber zannetmeyin. Snowden’in belgelerine dayanarak NSA tarafından bir şekilde kırıldığı söylenen bu araçların neler olduğundan bahsedelim.

Amerikan İç Savaşı muharebelerinden olan Bull Run ilk 21 Temmuz 1861 yılında gerçekleşti. Konfederasyon’un kazandığı bu muharebe aradan 152 yıl sonra NSA’in belirli ağ iletişim teknolojilerini kırmak için kullandığı kripto çözme programının kod adı oldu. İngiltere cephesinde ise 23 Ekim 1642 yılında ilk İngiliz İç Savaşı muhaberesi olan Edgehill, bu kripto çözme programına isim verdi.

Bullrun Projesi ortaya çıkarttığı üzere, NSA ve GCHQ’nun HTTPS, VoIP, SSL gibi geniş çapta kullanılan online protokollere karşı bunu kullanmakta ve bu protokolleri kırabilmektedir.

Bu protokoller, programlar nelerdir, bakacak olursak:

VPN (Virtual Private Network)
Özellikle şirketlerin çalışanlarının ofise uzaktan erişim sağlayabilmesi için kullandığı VPN‘ler.

Şifreli Chat
İletim esnasında kırılması mümkün olmayan (mesaj servisi tarafından bile), Adium ve AIM gibi noktadan noktaya şifreleme sağlayan programlar.

SSH (Secure Shell)
Güvensiz bir ağda, güvenlik kanalı üzerinden iki bilgisayar arasındaki veri aktarımının gerçekleştirilmesini sağlayan, kriptografik ağ protokolü. GNU/Linux ve Mac kullanıcıları için standart halinde gelmiş bir uygulamadır.

HTTPS (Hypertext Transfer Protocol Secure)
Özellikle kullanıcı ve sunucu arasındaki bilgilerin (şifre, finansal bilgiler vs.) başkaları tarafından erişmini engellemek için HTTP protokolüne SSL protokolü eklenerek oluşturulmuş ve standart haline gelmiş güvenli hiper metin aktarım iletişim kuralı. Son dönemde Facebook, Twitter, Gmail gibi servislerle daha da bilinir hale gelmiştir.

TSL/SSL (Transport Layer Security/Secure Sockets Layer)
İstemci-sunucu uygulamalarının (tarayıcı, e-posta vs.) ağ boyunca gizlice dinleme ya da yetki dışı erişimi engellemek için olan kriptografik protokollerdir.

Şifreli VoIP (Voice over Internet Protocol)
Microsoft’un Skype ya da Apple’ın FaceTime gibi servisleri kullanıcıların Internet üzerinden sesli ve görüntülü iletişim kurmalarını sağlayan uygulamalar.

Tagged , , , , , , , , , , , , , ,

Twitter’ın Karanlık Yüzü

PRISM konusu patladıktan sonra Twitter nasıl oluyor da bu kadar temiz ve dokunulmamış kalabilir hep şüpheli yaklaşmıştım. Bu hizmetin elbet bir karanlık yüzü olmalıydı. Aradan geçen süre içerisinde bilin bakalım ne oldu?

Polonyalı bir aktivist olan Alexander Hanff kendi gizlilik temelli projelerini yayımlamak için bir site hazırlarken ziyaretçi istatistikleri üzerine Apache’nin GeoIP modülünü kullanmak istiyor. Bu konudaki temel düşüncesi ziyaretçilerin IP bilgilerini –daha doğrusu gizliliklerini ihlal etmeden– kaydetmeden onlar hakkında ülke ve IP bilgisi almaya çalışıyor. Ne oluyorsa da tam bu noktada oluyor. Birden fazla Twitter hesabı olduğu için (kendi diyor) birinden kendi hesabına Tweetdeck üzerinden bir DM (özel mesaj) atıyor;

http://mydomain.com/stats.php?ref=twitter

ref dizisinin amacını veri tabanına kaydedilmek üzere test amaçlı kullandığını çünkü sponsorlarıyla ilişkili bazı kayıtları geri yüklemek istemesi olduğunu belirtiyor. Şöyle bir sonuçla karşılaşıyor;

8 » 2013-08-25 19:44:07 » stats.php?ref=twitter » US
9 » 2013-08-25 19:44:07 » stats.php?ref=twitter » US
10 » 2013-08-25 19:44:07 » stats.php?ref=twitter » US
11 » 2013-08-25 19:44:14 » stats.php?ref=twitter » PL
12 » 2013-08-25 19:44:14 » stats.php?ref=twitter » US
13 » 2013-08-25 19:45:06 » stats.php?ref=twitter » PL

Sonuç beklendiği gibi pek gizliliğe zarar verici gibi gözükmemekte. Fakat 8, 9, 10 ve 12. satırlara bakarsanız ülke kodunun Amerika olduğunu göreceksiniz. Özellikle 8 ve 10 özel mesaj gönderildikten hemen sonra oluşmuş. İşin ilginci bu bir özel mesaj ve URL’sinin gizli olması, yani teorik olarak “US” girdilerine sahip olmaması gerektiği. Hanff, Apache’nin erişim kayıtlarına baktığı zaman US satırlarında Twitter’ın kendisini Twitterbot/1.0 olarak tanıtmak ve URL’ye GET isteği göndermek için 199.16.156.126 IP’sini kullandığını görüyor. Bunun bir özel mesaj olduğu düşünülecek olursa Twitter’ın aslında bunu görmemesi ve kendine GET isteği üzerinden bir kopya oluşturmaması gerekmektedir.

Buna kısaca Twitter’ın özel mesajları taraması demek daha doğru olacaktır. Bu açık bir gizlilik ihlalidir. Twitter bu konuda iyi niyetli olduklarını, kullanıcıyı düşündüklerini söylese de GET ve kopya oluşturması niyetleri ile tamamen çelişmektedir. Yazının tamamını buradan okuyabilirsiniz.

Twitter’la ilgili başka bir haber de Glendale okul yetkilileri Hermosa Beach adlı bir sosyal medya şirketi ile anlaşarak öğrencilerinin Twitter, Facebook, Youtube ve Instagram paylaşımlarını takip ettirdiği ortaya çıktı. Günlük raporlar, öğrencilerin şiddet, nefret, saldırganlık vs. üzerine olan eğilim frekanslarından oluşuyor. Geçen sene Hermosa Beach şirketine 40,500$ ödenmiş, toplam 13,000 orta ve lise öğrencisi monitörlenmiş. Okul yetkililerinin “niyeti” ise öğrencilerinin kendilerine ve başkalarına zarar vermeden önceden tespit edilebilmesiymiş. İnsanın aklına Minority Report gelmiyor değil. Tabi öğrencilerin hesaplarının nasıl tespit edildiği ise başka bir konu. Monitörleme kadar bu hesapların tespitinin nasıl yapıldığı da bilinmeli ve paylaşılmaya değer olduğunu düşünüyorum.

Görüldüğü üzere, bazı sosyal medya şirketleri zaten çok uzun bir süredir monitörleme işini yapmaktaydılar. Bunlar firmalar için ürün, marka değerlendirmeleri içerirken bazıları da Glendale okulu gibi “öğrencilerinin iyiliği” altında paylaşımlarının incelenmesini içermekte. Her ne olursa olsun, yapılan paylaşımların birilerinin süzgeçinden geçtiği ve bunların sadece iyi niyetli olmadıklarıdır. Twitter, T.C. devleti ile kullanıcı bilgisi paylaşımına yanaşmamış olabilir, belki hiç yanaşmayacak da olabilir ama dikkat edilmesi gereken şey gizliliğiniz ve güvenliğiniz için özel şirketlere bel bağlamamanız gerekliliğidir. Gizlilik bir insan hakkıdır. Bunun seçimi, bu hakkın birilerine devredilmesi söz konusu bile olamaz.

Tagged , , , , , , ,