Tag Archives: google

Sep 09 2013
Leave a comment
Gizlilik, Güvenlik

Arka Kapı

Eğer işlemcinizin üreticisi (AMD, Intel, Qualcomm vd.) NSA tarafından arka kapı bırakmaya zorlanmışsa ya da herhangi bir donanımızda bu tarz gizlilik ihlalleri yapılmışsa, kendinizi nasıl korumaya çalışırsanız çalışın NSA sizinle ilgili her şeyi görebilir.

Daha ayrıntılı bir açıklama yapmam gerekirse; kullandığınız donanımın geliştirme aşamasında, Büyük Birader sizleri izleyebilmek için üreticileri arka kapı bırakması için zorlamış, çip geliştirmesinde doğrudan veya dolaylı olarak katkıda bulunmuşsa kendinizi gizleyebilmeniz pek de mümkün olmayacaktır. Buradaki izleme daha çok sizin yaptığınız her şeyi kaydetmek değil de kendilerine bir arka kapı bırakmak, zamanı geldiğinde ya da ihtiyaç duyulduğunda buna başvurarak gerekli bilgiyi temin etmektir.

Bu tarz bir veri temini her şeyi kaydedip samanlıkta iğne aramaktan çok değerli veriyi almaya yarar. Kendini mükemmel bir şekilde kamufle etmiş böyle bir yöntem, kullandığınız herhangi bir cihazın rahatça izlenmesine olanak sağlayacaktır. Bir diğer deyişle, NSA kendi işleri için hazırlattığı özel çiplere sahip olacak, tüketici ise bu çiplere sahip donanımları bunun farkında bile olmadan satın alarak kullanmaya başlayacak. Her şey uzaktan bir komplo teorisi gibi durmaktadır. Fakat son sızan bilgilere göre buna benzer, daha doğrusu bunu ima edecek bir çalışma 2007 yılında başlamış. Google ise bu dönemde kendine ait her servis için noktadan noktaya (man in the middle yok demek) kriptolanmış iletişim için çalışmaktaydı ve Snowden’dan sonra bu işi iyice hızlandırdı. Bu, şu işe yarayacak; eğer biri verileri bir şekilde Google’dan temin etmek isterse Google istese bile bu verileri veremeyecek.

Bu noktada, Windows ve Mac OS kullanıcıları ciddi anlamda tehlikede olduğu varsayılabilir. GNU/Linux kullanıcıları nispeten daha az, *BSD kullanıcıları ise daha da az tehlikedeler. Art niyetli bir firmware, işlemci (donanım) üzerindeki bu tarz arka kapıları aktive edebilir ve bundan istediği gibi faydalanabilir. Siz ise işletim sisteminizi, donanım yazılımınızı güncelleştirdiğinizi zannedebilirsiniz. Kulağa çok çılgınca geldiği doğru. Böyle bir şeyin yapılmış olabileceğini ise ancak ileri düzey bir elektron mikroskobu ve ileri düzey teknik aletlerle işlemcinizi inceleyerek görebilirsiniz.Böyle bir şeyi test etmek ise tüketicilerin boyunu aşmaktadır.

Bir Kernel hacker’ı olan Theodore Ts’o, Intel’in /dev/random’ı sadece RDRAND’e dayanması gerekliliğindeki ısrarını neden reddetiğini de bu üstte anlattığım “komplo teorisi“‘ne dayanarak söylüyor. Diyor ki; “Denetlenmesi kesinlikle mümkün olmayan, bir çipin içine gizlenmiş uygulama demek olan sadece donanımsal RNG‘ye güvenmek, KÖTÜ bir fikirdir.” Örneğin, eğer Intel, RNG’yi doğrudan işlemcileri içine yerleştirirse kullanıcıların yazılımı kullanması yerine yazılımın kullanıcıları kullanmasına olanak sağlamış olacaktır. Başka bir deyişle, eğer RNG bir anahtar ile dağıtılmakta ise bunu tespit edebilmek imkansız olacak. Fakat kullanıcı yazılıma dayanarak RNG’yi gerçekleştirirse, yazılımdaki buna benzer bir arka kapı ise kolaylıkla farkedilebilecektir.

Ne yapalım, harddiskimizi kriptoladıktan sonra bilgisayarımızın üzerine benzip döküp yakalım mı?” dediğinizi duyar gibiyim. “NSA beni ne yapsın?” diyerek espri yaptığınızı biliyorum. Fakat bunu her normalleştirdiğinizde size dönüşü daha kötü olacak, daha çok gizlilik ihlali içerecek, sizleri aptal yerine koyacak ve birer köleye çevirecektir. Farkında olun, uyanık olun, hakkınıza sahip çıkın!

Tagged , , , , , , , , , , , , ,
Aug 30 2013
4 Comments
Gizlilik, Güvenlik

Google Hesabı Silmek

Uzun zamandır Google ile ilgili bir yazı yazıp, açık açık suç işlediklerini duyurmak niyetindeyim. Benim ağırdan almam ve PRISM konusunun derinlik kazanmasından sonra Google bazı şeyleri değiştirmiş ve anlatmak istediğim şeyin en büyük kısmını geçersiz kılmış. Bu, sonuç olarak, hem iyi hem de kötü.

Güncelleme (30.10.2013): Google, gizlilik ve güvenlik ilkelerini değiştirerek, silinen hesabın artık tamamen silinmesini sağlamaktadır.

Google’da hesabı silseniz dahi Gmail ve diğer Google servisleri (Blogger, Analytics vd.) arkaplanda kalmakta, özellikle Gmail, hesap silinse de e-posta alıp, kopyalarını saklamaktaydı. Değişikliğin iyi yanı şu; en azından artık hesap silindikten sonra Gmail e-posta alma işlevini yitiriyor. Kötü yanı ise, biz öyle olduğunu biliyoruz ve diğer servisler (Gmail için eğer gelen, spam vd. kutularda daha önceden kalan e-postalar varsa onlar da duruyor) verileriyle birlikte durmaya devam ediyor. Peki, bir şeyi “silmekten” anladığımız nedir? “Silmek” bizlere ne ifade ediyor?

Sözlük anlamına (TDK) bakarsak, “ortadan kaldırmak, yok etmek, ilişkisini koparmak veya gidermek” şeklinde sonuçlara ulaşabiliriz. İngilizce-ingilizce anlamına buradan bakabilirsiniz. Sonuç (make invinsible dışında) pek de farklı değil. Başından beri anlamıyla ilgili beklentilerimiz de bu yöndeydi. Google örneğimize kelime anlamları üzerinden geri dönelim. Google hesabını sildiğiniz zaman hesabınız ortadan kalkmıyor. Çünkü, hesabınızı istediğiniz zaman kurtarabiliyorsunuz.

google 1

Ekran görüntüsünde de görüldüğü gibi eğer telefon bilgileriniz Google hesabınızla ilişkilendirilmişse, basit bir SMS yolu ile “silmiş” olduğunuz Google hesabını geri alabiliyorsunuz. Yani, hesabınız ne “ortadan kalkmış” ne de “yok olmuş”. Hesabınız kurtarıldıktan sonra “Ürünler” bölümüne girerek eğer daha önce Google ürünlerine sahipseniz bunların aynen durduklarını göreceksiniz.

google 2

Ekran görüntüsünün hesap silinmeden önce alınmış olabileceğini düşünen olursa, lütfen hesabını silsin ve geri kurtarsın. Bir diğer kelime anlamımıza geri dönecek olursak, Google hesabımızla ilişkili ürünlerin (görüldüğü üzere Analytics, Blogger, Gmail vd.) aynen durduğunu, hatta verilerinin de silinmediğini yani “ilişkisinin kopmadığını” ve devam ettiğini görmekteyiz. Kelime anlamı olarak silmek, Google için hiçbir şey ifade etmemekte. Bir tek “make invisible” buna uymaktadır o kadar. Bir diğer deyişle, Google hesabınızı gizliyor.

Benim düşünceme göre (de), kullanıcı hesabını silmek istiyorsa ve kullandığı ürün neyse “hesabını sil” seçeneği koyuyorsa, hesabı tamamen silinmeli. Bunun dolambaçlı yollara girmesine, çeşitli nedenlerle suistimal edilmesine göz yumulmamalı. Google hesap ve veri silme konusunda açık ve net olarak kullanıcılarını yanlış yönlendirmektedir. Google’ın kendini nasıl savunabileceğine bakacak olursak:

  1. Kazara silinir ya da geri kurtarmak isterseniz diye verilerinizi tutuyoruz/saklıyoruz/bir süre sonra siliyoruz.
  2. Hesabı silseniz dahi en fazla 6 ila 24 boyunca verileri yasal olarak saklayabiliriz.
  3. Sunulan hizmetin daha da geliştirilebilmesi için veriler anonim olarak tutulmaktadır.

Bir süre sonra silmeye örnek olarak Gmail’de tamamen sildiğini sandığınız bir e-posta Google sunucularından 60 gün sonra silinmektedir ve 1. cevabımız ile tamamen örtüşmektedir. İsterseniz 2. cevap ile bunu da ilişkilendirebilirsiniz ve yasal olarak buna kimse itiraz edemez. Tracking kısmı üçüncü cevap ile örtüşmektedir. Google, tüm bunları istediği gibi uydurabilir, kamuyu istedikleri doğrultuda fakat “yasalardan sapmadan” yönlendirebilir. Fakat tüm bunları yaparken kullanıcılarını da yanlış yönlendirmeye devam etmektedir.

Verilerin ve gizliliğin korunması adına, hesap silindikten sonra hesapla ilişkili verilerin de ortadan kalkması gerekmektedir. Verilerin unutulması (Right to be forgotten) şirketlerin kabul etmesi ve derhal uygulamaya koyması gereken bir zorunluluk olmalıdır. Google gibi devasa şirketler bile böyle kıvırırken küçük şirketlerin pastadan pay alabilmek için veri ve gizlilik haklarını nasıl suistimal edebileceğini düşünmek korku verici.

Tagged , , , , , ,
Newer posts