Tag Archives: mit

Suriye’den Türkiye’ye Internet Sansürü

~Bütün diktatörler aynı yolu izler.

Suriyeli yetkililerin Internet kullanıcılarına ait trafiği monitörlemek ve filtrelemek için kullandığı Blue Coat SG-9000 proxylerinin tuttuğu 600GB’lık kullanıcı verisi 2011 yılının Ekim ayında Telecomix isimli hacktivist grup tarafından sızdırıldı. Ardından da bu verilerle ilgili akademik bir analiz yapıldı. Analizin detaylarına çok girmeden Türkiye’nin jet hızıyla onaylanan yeni Internet düzenlemesi ile çok benzer yönlerinin olduğunu farkettim. Bu benzer yöntemler Suriyelilerin sansürü aşmak için kullandığı yöntemler kadar sansür yöntemlerini de içermekte.

Blue_Coat_ProxySG9000_open

Öncelikle ProxySG 9000‘nin ne olduğunu açıklayalım. Blue Coat isimli firmanın ürettiği bu proxyler birleşik güvenlik çözümleri için üretilmiş ve kullanıcı kimliği denetimi, web filtreleme, denetleme, ssl ile şifrelenmiş trafiği görüntüleme, trafik yönetimi gibi web trafiği üzerinde tam bir kontrol olanağı sağlamakta olan araçlardır. Ayrıca, ProxySG 9000’lerin bir tanesi 15000GB kapasitelidir. Makaleye göre Suriye’de bunlardan 7 tane varmış. Ek olarak, sansür sisteminin altında yatan ve gerçek bir sansür sistemi oluşturan bu teknolojiyi de dikkate almanın gerekli olduğunu düşünüyorum. Hatta, hiç ummadığımız bir yerde ProxySG 9000 bile görebiliriz.

Suriye’deki sansür sistemine kısaca bakacak olursak:

  1. Kategori tabanlı filtreleme: Blue Coat’ın proxysi ilgili URL’ye ilişkin her isteği kategorilendirmekte ve her kategori de farklı filtreleme kurallarına sahip olmaktadır.
  2. Karakter dizisi tabanlı filtreleme: Bunu basitçe şöyle ifade edeyim: A; sansürlü URL’ler B’de erişime açık URL’ler. c karakter dizisinin sıkça A’da gözükmekte olduğunu farzedelim. c karakter dizisinin A ve B’de görülme sıklıklarının da bir sayısı olsun. Eğer A’da 1’den fazla ve B’de hiç gözükmezse A’dan tüm c dizisi içeren istekleri silerek c’yi sansürlü diziler listesine ekliyor.
  3. URL tabalı filtreleme: Twitter’da bir profile erişimi engelleyeceksiniz. Bunun için gidip komple siteyi erişeme engellemek yerine o profile ait URL’ye erişimi engelliyorsunuz.
  4. Kelime tabanlı filtreleme: Çeşitli kelime grupları (haydar, mini etek, liseli gibi) üzerinden bir filtreleme. Bu alışık olduğumuz bir yöntemdir. Tahminen TİB bu yöntemle Türkiye’de 36000 küsür siteyi engelledi.
  5. IP tabanlı sansürleme: Doğrudan IP adreslerinin erişime engellenmesi. Yani kısaca ISS’lerin bu IP adreslerine gelen istekleri hiç ulaştırmaması da denilebilir.

Bu filtrelemeler sonucunda kullanıcının istekleri iki şekilde cevaplanmaktadır. Ya yapılan istek reddedilecek (erişim engellendi, access denied gibi sayfalar) ya da başka bir adrese (… sayılı kararla erişime engellenmiştir) yönlendirilmektedir.

Dikkati çekeceğim noktalardan bir diğeri de Arap Baharı yaşanırken Suriyeli yetkililer Şubat 2011’de Facebook, Twitter ve Youtube gibi sosyal ağlara erişimi engellememişlerdir. Bunun yerine bu siteler monitörlenmekte ve seçici olarak sansürlenmekteydi. Diğer bir deyişle DPI gibi yöntemlerle trafiği gerçek zamanlı olarak incelenmişlerdir. Bununla birlikte, anlık mesajlaşma uygulamaları (Skype), video paylaşım siteleri (upload.youtube.com, metacafe), anti-sansür uygulamaları içeren siteler (Tor vd.), haber ve muhalefet siteleri de seçici olarak sansürlenen trafik içerisinde yer almaktaydılar.

Suriye’deki Internet sansürü yapısını alıp Türkiye’ye uyarladığımızda, yeniden düzenlenen 5651 sayılı kanunun beraberinde getireceği sansürle çok ciddi benzer noktalar içermektedir. Birincisi, Türkiye’de bu yeni düzenleme öncesinde seçici bir sansür vardı. Kelime tabanlı olarak filtreleme uygulanmaktaydı. Diğer taraftan IP tabanlı sansürleme de yapılmıştı. Şimdi, yeni düzenleme ile URL tabanlı filtreleme geldi ve web trafiğinin gerçek zamanlı olarak incelenebileceği bir yapıya kavuşturuldu. İkincisi, bu şekilde Facebook veya Twitter gibi siteler direkt olarak erişeme engellenmeden, Türkiye’deki Internet kullanıcılarının bu sitelere olan trafikleri monitörlenebilecek ve böylelikle de kullanıcı profilleridiğer deyişle fiş dosyalarıoluşturulabilecek. Üçüncüsü, Türkiye tüm bunlara yasal bir zemin hazırlamakla beraber MİT geçmişli bir başkan ve koruma kalkanı ile TİB’i dokunulmaz yapmıştır. Son olarak da yeni MİT yasa tasarısı bu dokunulmazlığı alıp bir korku-baskı-ölüm yapısına dönüştürecektir.

Erdoğan bir zamanlar Esad için kardeşim diyordu. Daha sonra onu katil, diktatör Esed olarak anmaya başladı. Internet sansürü anlamında Türkiye’de yapılanlara baktığımızda Erdoğan Esad ile aynı yolu izlediğini kendi adıma söyleyebilirim. Çünkü, Suriye’deki Internet sansür sistemi Türkiye’nin mevcut yapısına rahatça uyarlanmaktadır. Yapılan yeni Internet düzenlemesi de ortak noktaları çok açık bir şekilde göstermektedir. Umarım bir gün Suriye’de yaşanan trajediyi Türkiye’ye de uyarlamak zorunda kalmayız.

Tagged , , , , , , , , , , , , , , , , , , , , , ,

Türkiye’nin Internetteki Yeni Yeri

Türkiye’nin Internetteki yeni yeri mağmadır. Yerin dibinin de dibidir. Buradan çıkartacak ve bizleri bu utançtan kurtaracak olan da ne muhalefet ne de iktidardır. Sadece bizleriz.

Yeni 5651 sayılı kanun tasarısı 5 Şubat 2014 tarihi itibariyle mecliste oylanarak kabul edildi. Bununla ilgili olarak meclisin bu yasanın görüşüldüğü andaki bir ekran görüntüsünü paylaşayım (Şevket‘e çok teşekkürler):

sansüre karşı boş koltuklarSizlerle paylaştığım bu ekran görüntüsü ile duygu sömürüsü falan yapmıyorum. Dikkat ettiyseniz kanun tasarı anlaşılmasın diyerek televizyonlara “Aile ve Sosyal Politikalar Bakanlığı’nın Teşkilat ve Görevleri Hakkında KHK’da Değişiklik Yapan Kanun Tasarısı” adı altında yansıtıldı. Diğer yandan, gördüğünüz boş koltuklar bir insan hakkı olan Internete, gizliliğinize, düşünce özgürlüğünüze, ifade özgürlüğünüze, inanç özgürlüğünüze, bilime, bilim etiğine, açık bilgi akışına, gelişime, ilerlemeye ve Internetten para kazananların ekmeğine (ve sayamadığım daha birçok hak ve özgürlüklere) yani iktidar destekçi olun veya olmayın sizlere ve geleceğinize vurulmuş en büyük darbedir.

Şimdi kısaca birkaç şeyi son bir kez daha netleştirelim. Sansür; her türlü yayının, sinema ve tiyatro eserinin hükûmetçe önceden denetlenmesi işi, sıkı denetim demektir. Bu, TDK‘nin verdiği tanımdır. Tabi ki ilerleyen süreçte bu da değiştirilmezse. Devamlı ifade edilen ve ettiğim bir diğer şey de TİB’in başına MİT geçmişi olan Ahmet Çelik’in gelmesidir. Sizlere MİT’in sitesinden bir alıntı yapayım (umarım bu cezai takibata neden olmaz inşallah dinimiz amin maşallah):

İstihbaratta gaye, doğru haber almak ve devleti bir süprizle karşı karşıya bırakmamaktır.

Bir de istihbaratın kelime anlamına bakalım. Herhangi bir Türkçe sözlüğü açıp baktığınızda kelimenin Arapça kökenli ve çoğul bir kelime olduğunu göreceksiniz. Anlamı ise “haberler” ve “haber alma” şeklinde yazmaktadır. Teknik olarak istihbarat ise imkanları ve araçları kullanarak bilgi temin etmek, bu bilgiyi işlemek, yorumlamak ve bundan bir sonuç çıkarma sürecini ifade eder. TİB yeni kanun ile bizlere ait bilgiyi (veriyi) temin etme, bu veriyi işleme, yorumlama ve bundan bir sonuç çıkarma (fişleme) sürecine yasal olarak sahip olmuştur. Ayrıca, bu gelenekten gelen bir ismi de kendini başkan yapmıştır.

Artık yeni kanun ile birlikte bunu şöyle yorumlayabiliriz: “17 Aralık 2013 tarihinde başlayan ve devletleşen AKP, AKP’leşen devlet bir yolsuzluk operasyonu süpriziyle karşı karşıya kalmış, buna benzer bir durumla tekrar karşılaşmamak, engellemek ve bundan korunmak için TİB, MİT geçmişi olan Ahmet Çelik başkanlığı ve yeni kanun ile Internette her türlü veriyi önceden denetleyecek, temin edecek, işleyecek, yorumlayacak, bundan sonuç çıkartacak ve sıkı denetim yapacak, insan haklarına aykırı bir yapıya yasal olarak kavuşmuştur.” Ayrıca, ülke tarihinin en büyük toptan gözetimci fişlemesi ile karşı karşıyayız. Bu yapı yüzünden sadece biz karşı çıkanlar kaybetmeyeceğiz. Herkes kaybedecek. Bunun ötesi berisi yoktur.

Sonucu bu sefer uzun uzun yazmayacağım. Okuyanlar artık az çok ileride neler olacağını, neler yaşayacağımızı biliyor. Bununla birlikte, yeni 5651 sayılı kanun tasarısı için yazılar yazdım ve sansürü elimden geldiğince burada anlattım. Bu yazılar kimilerine ulaştı, kimileri okuduğu halde görmezlikten gelmeye devam etti. Sansüre karşı empati yapın dedim fakat çok da ciddiye alınmadım. Hala da aynı konuda ısrar ediyorum, empati yapın. Empati yapmayı öğrenin. Bu toptan gözetimci, fişlemeci sansür yasası, –tekrar tekrar vurguluyorum– ilgili ilgisiz herkese zarar verecektir. Bunun seni, beni, onları olmaz. Lütfen bunu görün. Son olarak, ümitsizliğe kapılmayın. Sansüre karşı verilen bu mücadele hiçbir zaman bitmeyecektir.

Tagged , , , , , , , , , , , , , , ,

Sansürde Son Gelişmeler

Hukuka aykırı kanun tasarısı, insan haklarına aykırı kurum TİB. Ne derseniz diyin. Bunun adı açık ve net biz imza attığımız insan hakları sözleşmesini tanımıyoruz demektir.

Yeni 5651 sayılı “İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayın Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun” tasarısı torba yasa içine konularak mecliste görüşmelerine başlandı. Fakat, gelen tepkilerden sonra oturum 4 Şubat tarihine ertelendi. Tasarının TİB’e sağladığı koruma kalkanı ve MİT kökenli başkanların atanması ile yerli NSA yapısına dönüşeceği defalarca belirtildi, yazıldı ve çizildi. Bununla birlikte, torba yasayla 5651 sayılı kanun henüz geçmemesine rağmen TİB hukuka aykırı olarak erişim engelleme ve içerik kaldırma taleplerinde bulunmaya başladı bile. Sırayla erişime engellenen siteleri ve gerekçelerine bir bakalım:

  • Vimeo

Vimeo, 8 Ocak 2014 tarihinde “müstehcenlik” gerekçesi ile erişme engellendi. Erişime engellenme asıl nedeni Başbakan’ın kardeşi Mustafa Erdoğan’a ait bir videonun sitede yer almasıydı. Video, özel hayatın gizliliğini ihlal etmektedir. Fakat, bunun için Vimeo ile iletişime geçmek yerine siteye erişimin tamamen engellenmesi tercih edildi. İçerik silindikten ve Vimeo bir süre erişime engellendikten sonra karar kaldırıldı.

  • Soundcloud

Soundcloud, 16 Ocak 2014 tarihinde Sümeyye Erdoğan’ın telefon görüşmelerine ait ses kaydının yayımlanmasından sonra erişime engellendi. Bununla birlikte, yayımlanan ses kayıtlarında sadece Sümeyye Erdoğan yoktu. Ayrıca, Başbakan’a ait ses kayıtlarını da içermekteydi. Aynı Vimeo’da olduğu gibi içeriğin kaldırıması talebi yerine site tamamen erişime engellendi ve Soundcloud şu an hala engelli durumdadır.

  • Vagus.tv

Vagus.tv, 16 Ocak 2014 tarihinde “koruma tedbiri” kararı ile habersizce erişime engellendi. Habersizceden kasıt, Vagus.tv’ye herhangi bir bildirimde bulunulmadan direkt olarak engellenmesidir. Ayrıca Vagus.tv sahibi Serdar Akinan, engelleme ile ilgili bilgi almak için TİB’e giden avukatlarının hiçbir yetkileye ulaşamadıklarını ve Cumhuriyet Başsavcısı’nında böyle bir kararının olmadığını belirtti. Karar olmadığı halde TİB’in hukuka aykırı bu engeli bir yana, henüz kanun tasarısı kabul edilmeden yapmış olduğu engel için cevap vermeye tenezzül bile etmemesi ilerleyen süreçte özgür basına yapılacakların bir habercisidir. Ek olarak, hala erişime engellidir.

  • T24 ve soL Haber Portalı

T24 ve soL Haber Portalı, 1 Şubat 2014 tarihinde BTK ve TİB tarafından yayımlamış oldukları “CHP’li Oran’dan Erdoğan’a: Sabah ve ATV için satın alma talimatı verdiniz mi?“, “Sabah-ATV havuzunu Erdoğan mı doldurdu?” ve “2. dalgada adı geçen kişiler hakkındaki yakalama kararı kaldırıldı!” haberlerinin yayından kaldırılması için tebligatta bulunuldu. Bu tebligata göre; “04/05/2007 tarihli ve 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun“‘a dayanarak konu içeriğin çıkarılması istenmektedir. İçeriklerin hukuka aykırı bir şey içermemelerine rağmen böyle bir istekte bulunulmuş, ayrıca kaldırılmadığı takdirde Türkiye’den erişime engelleneceği de bildirilmiştir. Burada sadece özgür basına uygulanan sansür bir yana bir siyasi partiyle ilgili habere ve içeriğe de dolaylı bir sansür söz konusudur.

Yukarında bahsedilen erişim engelleri ve içerik kaldırma talepleri TİB’in Internet üzerinde hüküm verebilen ve hükümetin sansür isteklerini yerine getiren bir kurum olduğunun tıpkı bugüne kadar yaşanan süreçte olduğu gibi açık bir delilidir. Diğer yandan, TİB’in MİT kökenli bir yönetime kavuşması, yeni 5651 sayılı kanun tasarısı ile de yasal bir koruma kalkanına sahip olması radikal sansürün en büyük habercisidir demiş ve özgür basından siyasi partilere doğru bir sansür dalgasının başlayacağını öngörmüştüm. Bugün yaşananlara baktığımızda sansür işleyişinin bu ifademe tamamen uyduğunu gördüm.

Ek olarak, belirtmeden edemeyeceğim birkaç nokta var. “Daha yeni 5651 sayılı kanun çıkmadan böyle oluyor” dediğiniz anda kanun çıktıktan sonra yapılacak sansürleri bir ister istemez kabul ettiğiniz veya kanunda yazıyor yapacak bir şey yok dediğiniz anlamına da geliyor. Elbette böyle bir şeyi kimse istemez fakat bunu da görebilmek önemlidir. Ayrıca, yeni tasarı insan haklarına aykırıdır. Aykırı bir kanunun kararları da doğal olarak hukuka aykırı olacaktır. Türkiye’nin de altına imza attığı Avrupa İnsan Hakları Sözleşmesi’ne aykırı bir kanun ile yapılacaklara “hukuka uygundur” demek abesle iştigaldir. Bir diğer nokta da, TİB hukuka aykırı hareket ederek 5651 sayılı kanun tasarını meşrulaştırmaya çalışmakta, yaptıkları ile kanun da desteğini alarak yeni bir yasal zemin hazırlamaktadır.

Malesef, bizleri radikal, fişlemeye dayanan, toptan gözetimci ve insan haklarına aykırı sansürlerlerin olacağı daha da kötü bir dönem beklemektedir. Yeni 5651 sayılı kanun daha çıkmadan TİB hukuka aykırı yaptırımlarda bulunarak MİT kökenli yeni yapısı ile yerli NSA olma yolunda hızlı adımlarla ilermekte, Internetin hükümet süzgeci olmaktadır. Internet güçle kutsanmış iktidarın mülkü, iktidarın bizlere dayattığı sansürcü anlayış da hukuk değildir.

Tagged , , , , , , , , , , , , ,

Girift Haklar

Gizlilik hakkı birçok hakla girift haldedir. Bu hakkı ihlal etmek ya da birilerinin çıkarları için kullanmak veya sadece muktedire hizmet etmesi diğer hakların da doğrudan etkileneceği anlamına gelir. Bir inceleme yazısı olarak eleştirilerinizi bekler.

Girift: Birbirinin içine girip karışmış, girişik, çapraşık.

Önce gizlilik hakkının bize ne ifade etmesi gerektiğine bir bakalım ve kısaca tanımlayalım:

Gizlilik hakkı, bizi biz yapan şeylerin tümünü içeren, örneğin bedenimiz, evimiz, mülkiyetimiz, düşüncelerimiz, duygularımız, gizlerimiz ve kimliğimiz gibi, bizi çevreleyen bir alana sahip olma hakkıdır. Gizlilik hakkı, bizlere, bu alandaki parçalara kimlerin erişip erişemeyeceğini, ve açığa çıkarmak istediğimiz parçaların kapsamını, niyetini ve zamanlamasını kontrol etme yeteneği verir.

Tanımda da görüldüğü üzere gizlilik bizi biz yapan değerlerin tümünü içeren bir yapıya sahiptir. Gizlilik açık toplumlar için bir gerekliliktir. Gizlilik, gizli kapaklı işler yapmak ya da “saklanmak” değildir.  En önemli noktası ise kişi eğer kimliğini açıklamak istiyorsa “kendi” açıklar, açıklayacağı kişileri ve zamanını kendi seçer. Genelden özele doğru gideceksek eğer gizlilik hakkından özel hayata doğru bir yol izlemek daha uygun gözükmekte. Fakat, aynı yöntemle özel hayattan gizliliğe doğru da alternatif bir yol izlenebilir. Seçimini ilk söylediğim yol üzerinden yapacağım.

Açık toplum, devletin şeffaf, bürokrasiden uzak, toleranslı olduğu, sırrını halkından gizlemediği, otoriterlik karşıtı bir yapıyı ifade eder. Açık toplum için o toplumda ifade özgürlüğünün olması şarttır. İfade özgürlüğü bireyin düşüncelerini açıklamasıdır. Düşünce ise bir kişi, olay vs. hakkında görüş sahibi olmak, zihinsel hüküm kurmak, değerlendirmek ve yorumda bulunmaktır. Bunu ise yazıyla, sözle, resimle, fotoğrafla, video vs. ile yansıtmasıdır. Zihinsel hüküm şunu söyler; bu süreç bireyin kendi iç dünyasındadır, başkası tarafından bilinemez. Birey özgür olarak düşünemiyorsa, kendini özgürce ifade edemez. Ayrıca, düşüncenin oluşabilmesi için birey kaynaklara özgürce ulaşabilmeli, erişmek istediği bilgileri özgürce seçebilmelidir.

Şimdi gizlilik hakkının ihlal edildiğini düşünün. Örneğin, iletişim sürecinde herhangi bir mekanizma tarafından (dinleme vd. yollarla) kişisel kimliğiniz ve mesaj içeriğiniz ifşa edildi. İletişim süreci içerisinde kendinizi özgürce ifade ettiğinizi düşünmekteydiniz. Yazılı veya sözlü, nasıl olduğunun çok bir önemi yok. Sonuçta, gizliliğinizle birlikte iletişim özgürlüğünüz ihlal ve ifşa edildi. Böylece ifade özgürlüğünüz darbe yemiş oldu. Bu ihlalden dolayı artık kendinizi rahatça ifade edemeyecek, düşüncelerinizi “kimliğim ifşa edilirse” korkusu yüzünden açıklayamayacak, daha farklı davranacak, dürüstlüğünüzden ödün vermeye başlayacaksınız.

Gizlilik ihlali = İletişim gizliliği ihlali -> Düşünce özgürlüğü ihlali -> İfade özgürlüğü ihlali

Dijital bir çağda yaşıyoruz. Kendimizi en çok ifade ettiğimiz yerlerden biri Internet. Yazılı, sözlü, görsel, işitsel, her türlü ifade şeklini rahatça yapabilmekteyiz. Sadece biz değil, basından, partilere aklınıza gelebilecek herkes, her oluşum kendini Internet’te ifade etmekte. Internet’te yapılacak herhangi bir sansür doğrudan ifade özürlüğünü kısıtlar. Çünkü, Internet özgürlüğü ifade özgürlüğünün koruyucusudur. Eğer herhangi bir sitede kendini ifade edenlerin kimlikleri ifşa edilirse, site sansürlenir olmadı içerikler kaldırılmaya zorlanırsa, ifade özgürlüğünü de sansürlemiş olur zıt düşünceleri ortadan kaldırılmış olur. Devletin buradaki rolü kendi koyduğu normlara uygun düşmemeyi güvence altına almaktır, engellemek değil. Devlet eğer bir sınırlama yapacaksa uluslararası sözleşmelerle çizilmiş meşru sınırları dikkate almalı. Kısaca bir örnek verirsem, müslüman iktidar  için ateist içerikler sansürlenemez.

Gizlilik ihlali = Internet sansürü -> Düşünce özgürlüğü ihlali -> İfade özgürlüğü ihlali

Birey ev, aile ve özel hayatında gizlilik hakkına sahiptir. Bunun nasıl ifşa edildiğinin -bence- bir önemi yok. Seks kasedi, bireyin özel hayatına dair ses kayıtları, görseller vs. Bunu sadece ahlaksızlık ya da  “sevişiyorlarsa bizi ilgilendirmez” diye kestirip atmak büyük resmi görmemizi engeller. Özel hayatı ifşa olan (sadece özel hayat değil elbette) birey kendini ister istemez bireysel-sansüre alır. Sadece hareketlerini değil düşüncelerini de sansürler. Düşüncelerini sansürleyen birey, ifade özgürlüğünü de kısıtlar. Görebildiğiniz üzere bir gizlilik ihlali yapıldığı zaman diğer hakların nasıl etkilendiği çorap söküğü gibi gelmekte.

Gizlilik ihlali = Özel hayatın ifşası -> Bireysel-sansür -> Düşünce özgürlüğü sansürü -> İfade özgürlüğü sansürü

Bireyin nereye gittiğinin ve nasıl gittiğinin fişlendiğini THY’nın kendisiyle uçanları MIT ile fişlediklerinden öğrenmiştir. Birey, seyahat özgürlüğüne sahiptir. Anayasal bir hak olarak birey yaşadığı ülke içinde özgürce dolaşabilir ya da oturma izni alabilir. Bireyin nereye ne zaman gittiğini sadece kullandığı şirket bilmelidir. Bunun ifşa edilmesi ya da üçücü şahıslarla paylaşılması dahi düşünülemez.

Gizlilik ihlali = Seyahat özgürlüğü ihlali (ifşası, paylaşılması)

Örnekler çoğaltılabilir, hak ve özgürlükler kapsamında daha da ilerlenebilir. Görüldüğü üzere bu hakların hepsi girifttir. Birini ihlal ettiğiniz zaman ya bu süreç içerisinde ya da sonrasında diğer hakları da ihlal etmiş oluyorsunuz. O yüzden sürekli vurguladığım şey şu; bir hakkın eksik, kusurlu, muktedirin çıkarlarını korumaya yönelik ya da kontrolü altında olması diğer hakların da bundan etkileneceği ve eksik, kusurlu veya doğrudan muktedirin çıkarlarını koruyacağı ya da kontrolü altında kalabileceğidir. İhlal edilen sadece sizin hakkınız değil, herkesin hakkıdır.

Birinin düşüncelerine katılın veya katılmayın ama onun bunları özgürce söylebilmesi için çaba sarfetmeniz ve bunun için çalışmanız gerekmektedir.

Tagged , , , , , , , , , , , , , , , , , , ,

SSL, Man In The Middle Ve TurkTrust

Wired‘da yayımlanan Law Enforcement Appliance Subverts SSL makalesinden (haber mi deseydik?) sonra biraz geriye gidip makale üzerinden ve yakınlarda gerçekleşmiş TurkTrust‘ın hatalı sertifika üretimi üzerine enteresan bir benzerlikten bahsedeceğim.

Man in the middle attack nedir?
man-in-the-middle
MitM saldırısı yapısı itibariyle aktif bir dinlemedir. Kurban ile sunucu arasındaki orjinal bağlantıya bağımsız bir bağlantı ile giren saldırgan, aslında kendi kontrolü altında bulunan iletişimi, kurbanı ve sunucu ile arasındaki iletişimin gizli ve sadece birbirleri arasında gerçekleştiğine inandırır. Tüm bu süreçte ise gönderilen ve alınan mesajlar saldırgan üzerinden gider. Daha iyi anlaşılabilmesi için wiki‘de bulunan çok güzel bir örnek üzerinden adım adım gidelim (şema Tails‘tan alıntıdır):

  1. Ali, hoşlandığı kız Ayşe’ye bir mesaj göndermek ve onunla pastanede buluşmak ister fakat aralarında bir üçüncü şahıs olan ve Ayşe’den hoşlanan ortak arkadaş Işık vardır ve ikisi de Işık’tan haberdar değildir;
  2. Ali “Ayşe, ben Ali. Bana anahtarını ver.”-> Işık Ayşe
  3. Işık, Ali’nin gönderdiği bu mesajı Ayşe’ye yönlendirir fakat Ayşe bu mesajın Işık’tan geldiğini bilmez;
  4. Ali Işık -> “Ayşe, ben Ali. Bana anahtarını ver.” Ayşe
  5. Ayşe anahtarı ile yanıt verir;
  6. Ali Işık <- “Ayşe’nin anahtarı” Ayşe
  7. Işık, Ayşe’nin anahtarını kendi anahtarı ile değiştirir ve mesajı Ali’ye yönlendirir;
  8. Ali <- “Işık’ın anahtarı” Işık Ayşe
  9. Ali, Ayşe’ye göndereceği mesajı Ayşe’nin sandığı anahtar ile şifreler ve Ayşe’ye gönderir;
  10. Ali “Saat 22:00’da pastanede buluşalım(Işık’ın anahtarı ile şifrelenmiş)” -> Işık Ayşe
  11. Anahtar aslında Işık’ın olduğu için, Işık mesajın şifresini kırar, içeriğini istediği gibi okur, eğer isterse mesajın içeriğini değiştirir, ve elinde bulunan Ayşe’nin anahtarı ile yeniden şifreler ve mesajı Ayşe’ye yönlendirir;
  12. Ali Işık “Saat 22:00’da çorbacıda buluşalım(Ayşe’nin anahtarı ile şifrelenmiş)” -> Ayşe
  13. Ayşe ise bunun Ali’den kendi anahtarı ile şifrelenmiş olarak ulaştığını düşünür. Garibim Ali saat 22:00’da pastanede Ayşe’yi beklerken Ayşe ise Ali ile buluşacağını düşünüp saat 22:00’da çorbacıya, yani Işık’a gider.

SSL, bir kriptografik protokol olup, web trafiğini şifrelemek için kullanılmaktadır. Bu protokol sörf, e-posta, internet üzerinden fax ve VOIP gibi çok geniş çaplı uygulamaları kapsar ve yüksek düzeyde bir şifrelemedir. Tarayıcı ile sunucu arasındaki iletişim ve verinin yukarıda bahsettiğim şekilde dinlenilmesini önler. Hergün ziyaret ettiğiniz birçok site HTTP[S] kullanmaktadır. HTTP ise bu şifrelemeye sahip değildir, gönderilen mesajlar herkes (mesela İSS’niz, ağınızdaki başka bir şahıs) tarafından zorlanmadan okunabilmekte/dinlenebilmektedir.

Makaleye dönecek olursak, Packet Forensics isimli bir şirket bir kutu yapıyor ve bu kutu şifre kırmadan iletişimin arasına girerek gerçek SSL sertifikasını kendi oluşturduğu sahte SSL sertifikası ile değiştiriyor. Şirket sözcüsü Ray Saulino ise bu kutuyu kanun uygulayıcıları için yaptıklarını, Internette tartışıldığını ve çok özel bir şey olmadığını söylüyor. Bununla birlikte, TurkTurst firması 2013 yılı başında 2 adet “hatalı” SSL sertifikası ürettiğini farkediyor (konu ile ilgili ayrıntılı bilgi almak için bu yazıyı okuyabilirsiniz!)

TurkTrust yapığı 4 Ocak 2013 tarihli kamuoyu açıklamasında şöyle diyor:

Yapılan incelemeler sonucunda, söz konusu hatalı üretimin sadece bir kez gerçekleştiği, sistemlerimize herhangi bir müdahalenin söz konusu olmadığı, hatalı üretim sonucu ortaya çıkan bir zarar bulunmadığı tespit edilmiştir.

Microsoft’un duyurusu:

TURKTRUST Inc. incorrectly created two subsidiary CAs (*.EGO.GOV.TR and e-islem.kktcmerkezbankasi.org). The *.EGO.GOV.TR subsidiary CA was then used to issue a fraudulent digital certificate to *.google.com. This fraudulent certificate could be used to spoof content, perform phishing attacks, or perform man-in-the-middle attacks against several Google web properties.

Microsoft, duyurusunda TurkTrust firmasının 2 tane hatalı sertifika oluşturduğunu (*.ego.gov.tr ve e-islem.kktcmerkezbankasi.org), bu hatalı sertifikanın çeşitli Google web özelliklerine karşı phishing ya da man in the middle saldırılarına neden olabileceğini söylüyor.

Microsoft çözümü:

To help protect customers from the fraudulent use of this digital certificate, Microsoft is updating the Certificate Trust list (CTL) and is providing an update for all supported releases of Microsoft Windows that removes the trust of certificates that are causing this issue.

Microsoft, kullanıcılarını bu sahte sertifakalardan koruyabilmek için bir yama yayımlamak zorunda kalıyor. Açık ve net olarak sahte sertifikadan kullanıcıların haberdar olmadığını (muhtelemen man in the middle saldırısı ile ilişkili), ve bunun için de kullandıkları hedef işletim sistemlerini güncellemelerini istiyor.

Mozilla’nın çözümü:

Mozilla is actively revoking trust for the two mis-issued certificates which will be released to all supported versions of Firefox in the next update on Tuesday 8th January. We have also suspended inclusion of the “TÜRKTRUST Bilgi İletişim ve Bilişim Güvenliği Hizmetleri A.Ş. (c) Aralık 2007” root certificate, pending further review.

Mozilla ise duyurusunda Firefux’un 8 Ocak Salı günü tüm desteklenen sürümleri için bu sertifikaları kaldıracaklarını ayrıca “Aralık 2007 tarihlikök sertifikayı ise ileri bir inceleme için askıya alacaklarını söylüyor.

Wired’ın makalesinde geçen kısmı aynen buraya aktarıyorum:

The boxes were designed to intercept those communications — without breaking the encryption — by using forged security certificates, instead of the real ones that websites use to verify secure connections.

Diyor ki; kutular, yukarıda da kısaca bahsettiğim gibi -şifreyi kırmadan- websitelerin güvenli bağlantıları onaylamak için kullandığı gerçek sertifikalar yerine, sahte güvenlik sertifikaları tarafından iletişimlerine müdahale etmek için tasarlanmıştır. Yani burada söz konusu olan saldırı “man in the middle attack“‘tır. Makalenin değindiği bir başka nokta ise daha da vahim bir şeyi ortaya çıkartıyor:

To use the Packet Forensics box, a law enforcement or intelligence agency would have to install it inside an ISP, and persuade one of the Certificate Authorities — using money, blackmail or legal process — to issue a fake certificate for the targeted website. Then they could capture your username and password, and be able to see whatever transactions you make online.

Packet Forensics kutusunu kullanmak için mesela bir istihbarat servisinin (Türkiye için MİT diyelim) kutuyu İSS (mesela TTNet) içine kurmalı, bir tane Sertifika Sağlayıcısı’nı (tesadüfe bakın, TurkTrust) para ile, şantajla ya da yasal bir süreçle hedef websitesi için sahte sertifika üretmesine ikna etmeli. Sonuçta ne oluyor, sizin çevrimiçi olarak yaptığınız işlemler görülebilir ve kullanıcı adınızla şifreniz elde edilebilir olacaktır.

Tabi ki yazından TurkTrust böyle bir şey yapmıştır sonucuna varılmamalı. Öncelikli olarak, Packet Forensics’in böyle bir kutu ürettiği, bu kutunun kullanıldığı ve kapalı kapılar ardında tanıtıldığı, kanun uygulayıcıları ya da istihbarat servislerinin hedef pazarları olduğu (kim bilir başka kimler var?) ve bunu pişkince söyleyebildikleridir. İkinci olarak, böyle bir kutunun kullandığınız ya da kullandığımız İSS tarafından “kanun uygulayıcılarına” ya da “istihbarat servisine” yardımcı olsun diye kurulup kullanıldığı ve bir SSL sertifika sağlayıcısının bir şekilde buna ortak edilebileceği olasılığıdır. Tüm bunlar “olanaklı mıdır?” sorusuna gelirsek (TurkTrust’ı bunun dışında tutuyorum); gönderdiğiniz bir e-postanın bir kopyasının aynı anda NSA sunucularında da yer alması, görüntülü konuşmaların simultane olarak NSA tarafından kaydedilmesi gibi uç örnekler, çok büyük boyutlardaki verinin NSA tarafından her yıl yedeklenmesi gibi daha bir sürü örnek vereceğimiz şeylerin olması da çoğu insana olanaklı gözükmüyordu. Her şeyden önce (bu örneğe istinaden) deşifrelemek için  uğraşmak yerine MitM (kutunun yaptığı) çok daha etkili bir sonuç verecektir. SSL sertifikasını kırmaya çalışmak yerine “araya girmek” ve akışa müdahale etmek çok daha basit ve hızlıdır. XKCD’nin şu karikatürü ise çok güzel bir özet. Dahası, bir İSS düşünün, Phorm, DPI, Finfisher ve bilinmeyen bir sürü kötücül uygulamaya sahip ve (gerçek olduğunu varsayarak) böyle bir kutunun varlığından da bir şekilde haberdar, bunu mu kullanmayacak? Bir diğer nokta da, (makaleye istinaden) diyelim ki devletiniz ve istihbarat servisiniz kapınızı çaldı ve sizden böyle bir şey istedi, kafa tutacak güce sahip misiniz? Her geçen gün kişisel gizlilik haklarının yok sayıldığı, ihlal edildiği ve insan haklarına aykırı durumların çıktığı şu günlerde sizlere bol sabır dilerim.

Tagged , , , , , , , , , , , , , , , , , , ,