Tag Archives: takip

“İzi Sürülemeyen” Casus Yazılım ve Türkiye

Gün geçmiyor ki Türkiye’nin de içinde bulunduğu bir gözetleme sistemi orataya çıkmasın. Haklarımız o kadar büyük tehlike altında ki bunu hergün tekrar tekrar görüyorum.

Milan’dan kısaca HT S.r.l olarak bilinen Hacking Team, devletler için “saldırgan teknolojiler” tedarik eden bir firma. Makalelerde geçtiği üzere ürünlerinden bir tanesi “Remote Control System (RCS)“, –adı üzerinde– uzaktan kontrol sağlayan bir trojan olup dünya çapında gizli servislere ve kanun uygulayıcılara satılmış. Hacking Team’in tanımladığı üzere bu trojan devletin kontrol edebildiği alanların dışında kalanlar ve şifreleme kullanları monitörlemek için geliştirilmiş. 2011 yılı RCS tanıtım broşürü:

image00

Kısaca RCS hedef bilgisayar ve akıllı telefona girerek veri iletim için şifrelenmeden veya hiç iletilmemesi için müdahalede bulunuyor. Bununla birlikte, bir bilgisayarın harddiskinde bulunan dosyaları kopyalayabiliyor, Skype aramalarını, e-postaları, tarayıcıya girilen şifreleri (keylogger gibi) kaydedebiliyor. Ayrıca, cihazın kamerasını veya mikrofonunu da kullanıcıyı gözetlemek ve dinlemek için aktif edebiliyor. Hacking Team ise bu trojanı terör ve suçla mücadele etmek, siber soruşturmalar için oluşturduklarını, kesinlikle baskıcı rejimlere satılmayacağını/satmadıklarını söylüyor. İzi sürülememesine gelecek olursak hedefe yapılan saldırılar için kendine RCS sunucuları üzerinden tamamen farklı zıplama yolu hazırlamaktadır.

CIRCUITS_FINAL_REDACTED

Örneğin, RCS izinin sürülememesini sağlamak amacıyla Meksika’daki hedef için Hong Kong, Londra, Amstardam ve Atlanta üzerinden bir yol oluşturulmuş. Bir diğer örnek de Fas’taki hedef için oluşturulan Kiev ve Tampa yoludur.

İlk makale Ethiopian Satellite Television Service (ESAT) isimli, bağımsız ve Etiyopya diasporası üyelerine ait televizyon, radyo ve online haber kurumunu anlatıyor. ESAT kendini sürülen gazetecilerden, insan haklarını savunan, sivil toplum liderleri ve Diaspora üyelerinden oluşan bir yapı olarak tanımlamaktadır.  Etiyopya’nın dikkati çeken bir diğer özelliği de Afrika çapında en çok gazetecinin mahkum edildiği bir ülke. Ayrıca, Etiyopya devleti 1993’ten bu yana 75’ten fazla radyo ve televizyon kurumlarını kapatmış. ESAT’ın bir diğer özelliği ise Etiyopya hükümetinin muhalefet partilerini burada program yapmamaları için uyarmış olması. ESAT tek bir saldırgan tarafından 2 saat boyunca hedef alınmış ve ESAT gazetecilerine RCS içeren rar, doc gibi dosyalar gönderilmiş. Bu örnekten çıkartılacak en temel sonuç, “baskıcı rejimlere” satılmadığı söylenen bu casus yazılımın bizzat baskıcı rejimler tarafından kullanıldığıdır.

İkinci makale izi sürülemeyen bu casus yazılımın izini sürmeye çalışıyor. Kullandığı şüphelenilen ülkelerin haritası:

SUN_NOON_WORLD1

Şüphelenilen ülkeleri sıralayacak olursak Meksika, Kolombiya, Panama, Macaristan, İtalya, Polonya, Türkiye, Umman, Suudi Arabistan, Birleşik Arap Emirlikleri, Mısır, Etiyopya, Fas, Nijerya, Sudan, Azerbaycan, Kazakistan, Malezya, Tayland, Güney Kore ve Özbekistan. Harita üzerinde de görülüğü gibi ülkelerin %52’si Dünya Bankası tarafından 3. dünya ülkesi olarak tanımlanmakta ve Türkiye de dahil olmak üzere baskıcı rejimlerin yönetimi altında bulunmaktalar. Tekrar Hacking Team’in ifadesine dönecek olursak baskıcı rejimlere satılmayan bu casus yazılım bizzat bu rejimler tarafından kullanıldığından şüphelenilmiş.

Makalede geçen RCS hedeflerine de kısaca bir bakacak olursak:

  • Faslı yurttaş gazeteci grup Mamfakinch
  • Arap Emirlikleri’nden insan hakları aktivisti Ahmed Mansour
  • Arap Emirlikleri’nden bir gazeteci ve bir insan hakları aktivisti

Makalede “Bilinmiyor” olarak geçen birkaç hedef daha mevcut. Bu durumun enteresan tarafı Hacking Team’in ısrarla Avrupa Birliği, Amerika, NATO ve benzer uluslararası organizasyonların baskıcı rejim, ifade özgürlüğünün kısıtlı, adalet sisteminin yozlaşmış, insan hakları ihlallerinin olduğu ülkeler diye adlandırdığı ülkelere kesinlikle tedarik edilmediğini söylemesine rağmen örnekler bunun tam tersini söylemekte, yurttaş gazeteci, insan hakları aktivistleri veya gazetecileri hedef alınmaktadır.

Türkiye bunun neresinde kısmına gelelim. Türkiye de sahip olduğu iktidar ile gayet baskıcı, hiçbir muhalefete tahammülü olmayan, kendi kıt anlayaşılarını hukuk diye dayatan polis devletinden muhaberat devletine geçmek için gün sayan bir devlet konumuna geldiğini biliyoruz. CitizenLab, RCS’nin proxy zincilerini 6 parmak izi (fingerprinting) üzerinden taramış ve bir sunucular listesi çıkartmıştır. Bu listeye bakıldığında Türkiye’den (firma ismi vermiyorum, whois çekin) 1 Şubat 2014 tarihi itibariyle 176.216.47.175, 176.218.9.153, 176.55.188.147, 85.153.34.173, 85.153.34.187, 85.153.34.9 ve 95.9.71.180 adreslerine ulaşılmış. Bu adreslerle birlikte, ben de Türkiye’yi şüphelenilen (kullanma potansiyeli yüksek) ülkeler kapsamına alırım.

Durumun vehameti açıkça ortada. Siber soruşturmalar için –sözde– izi sürülemeyen bir casus yazılım ve bu yazılımla insan haklarının ihlal edildiği ülkelerde muhalefet, gazeteci ve aktivistleri hedef alan rejimler. Diğer yanda para için gözetleme/takip yazılımları hazırlayanlar. Yakınlarda çıkan Internetten illegal mp3 indirenleri tespit edecek casus yazılım haberi de şu bahsi geçen iki makaleye tam oturmuyor değil. Türkiye birçok alanda geri kalmış bir ülke olabilir fakat gözetleme, takip, sansür ve fişlemede teknolojiyi hiç kaçırmıyor gibi duruyor.

Tagged , , , , , , , , , , , , , , ,

Çalışanın İzlenmesi ve İş Yerinde Gizlilik Hakkı

Gizlilik hakkından yazılarda devamlı bahsediyorum fakat bunu kategorilendirip hiç yazmadım. Özellikle sanayi devrimi ve teknolojinin çok hızlı ilerlemesi, üretim için büyük avantajlar getirdiyse de işverenin açgözlülüğü, çalışma saatleri ile özel hayatın iç içe geçmesi dünyayı kocaman bir ticari köy haline getirdi. Peki teknoloji bu konuda kimin tarafını tutuyor?

Ofisi 7/24 izleyen kameralar, işverenin sağladığı cep telefonların takibi ve hatta dinlenmesi, bilgisayarların uzaktan kontrolü, hangi siteye girdiklerini, kimlerle e-posta trafiğine sahip olduklarını ve çalışma ortamına ani ziyaretlerle günümüz iş ortamlarının gizlilik haklarının en çok ihlal edildiği yerlerden biri haline geldi. İşverenin genel düşüncesi bellidir; daha çok kâr etmek, üretim sürecinde çalışanların iş saatleri ve hatta bunu nasıl kullandıkları üzerine tam kontrole sahip olmak. Bu da sonuç olarak gizlilik hakkının işverenin ekonomik çıkarlarıyla ters düştüğünü söylemektedir. Özellikle ticari sırların ifşası, çalışanların güvenirliği  işvereni gizlilik ihlaline ittiği konusunda durulsa da çalışanın iş saatleri ile özel hayatının birbirine girmiş olması, bu iki durumun birbiri içine girdiğini göstermektedir.

Amerika’da yapılan bir araştırmada çalışanlar iş saatlerinin %25’ini Internette gezerek ve e-posta okuyarak harcadıkları ve her 5 işletmeden biri aşırı/yersiz e-posta kullanımından çalışanlarını çıkartmakta olduğunu söylüyor. Bunun bir sonucu olarak, işveren sistem yönetimi masraflarını arttırıyor, çalışanların üzerindeki kontrol ve izleme varlığı üretkenliği azaltıyor, e-posta ve Internet aktivitesini bir denetim süzgecinden geçmeye başlıyor. Böylece, iş ortamında takip edilen ve hareketleri izlenen bir çalışan verimliliğini, çalışma ortamı ise moral ve güveni kaybetmektedir.

Bir çalışanın gizliliği nasıl ihlal edilebilir (Privacy in the Digital Environment, s. 152)?

  • E-postaların takibi. Günümüzde işverenler çalışanlarına (hepsi olmasa da) bir e-posta adresi sağlamaktadır. Bu e-postaların içerikleri disk üzerinde bir yer kapladığı için işveren bu konuda istediği gibi davranabilmektedir. Bunu şöyle örneklendireyim; diyelim ki size gelen bir e-postayı silseniz dahi disk üzerinden silinip silinmediği konusunda herhangi bir fikre sahip olamazsınız. Denetim de sizin elinizde olmadığı için işveren isterse bu sildiğinizi düşündüğünüz e-postaları belirli kurallarla (mesela anahtar kelimeler) inceleyebilir.
  • Internet takibi. İşyerinde Internet olmazsa olmazlardan. Bazen belirli sitelerin erişeme kapatılması (çalışma alanından dolayı) mümkün olmayabiliyor. Böyle olunca da işveren çalışanlarının hangi sitelere girip buralarda ne kadar zaman kaybettiklerini de öğrenmek isteyebiliyor. Analiz sonuçları, çalışanın azar yemesini ve hatta işten atılmasına kadar işi götürebiliyor.
  • İçeriğin filtrelenmesi. Genel anlamıyla tam bir gizlilik ihlali olmasa da anahtar kelimelerle belirli algoritmalar üzerinden içeriğin filtrelenmesi erişim olanaklarını olumsuz yönde etkilemekte, bazen çalışanın ihtiyaç duyduğu içeriklere ulaşamamasına neden olmaktadır.
  • Yüklenen yazılımların takibi. Burada temel neden iş ortamında kullanılan bilgisayarlara zararlı yazılımların bulaşmasını engellemek ve lisanssız yazlımlar yüzünden sıkıntıya düşmemektir. Fakat, bunun takibi iş saatleri dışında olabildiğinden biri sizin bilgisayarınızı bunun için tarayabilir ve size sormadan yazılımları silebilir. İşveren size o bilgisayarı verdi diye kafasına estiğince siz yokken girip incelemesi bir ihlaldir.

Sıradan eleştirerek ilerleyelim:

E-postalar yukarıda da bahsettiğim üzere siz silseniz dahi disk üzerinde kalabilir ve işveren tarafından incelenebilirler. Bir diğer nokta da e-postaların bu şekilde takip edilmesi üçüncü şahısların gizlililiğini de ihlal etmektedir. Şöyle anlatayım; e-posta gönderdiğiniz kişinin iletişim bilgilerini ve mesaj içeriğini sadece sizinle onun arasında geçen bir iletişime ait olarak kullanıldığını düşünürken, işverenin bunu takibe alması hem mesajı hem de iletişimde olduğunuz kişiye ait (varsa) özel bilgilerin ifşasına neden olur. Bu yüzden işveren sadece çalışanının gizlilik hakkını değil iletişim halinde olunan üçüncü kişilerin de gizlilik hakkını ihlal eder.

Çalışanın Internet’te hangi sitelere girdiğini, hangisinde ne kadar süre harcadığını detaylı bir şekilde takip etmek uzaktan zararsız gibi gözükebilir. Hatta şöyle bir inanç da var; işveren uygunsuz bir şeyi farkederse çalışanını azarlar, konu kapanır. Durum malesef bundan daha karışık. Şimdi bunu örneklendirerek anlatayım. Diyelim ki siz bir eşcinselsiniz (illa olmanız şart da değil), eşcinsel arkadaşlık sitelerini ziyaret ediyor, LGBT haberleri okuyor, etkinliklerini takip ediyorsunuz. İşvereniniz ise Internet takibi yaptığı için sizin eşcinsel olduğunuzu (olmasanız bile) düşünüyor, eğer eşcinselliğe olumsuz yaklaşıyorsa iş yerinde (sadece işveren tarafından değil) size karşı homofobik tutumlar sergilenebilir, cinsel tacizlerde bulunulabilir. Tekrar diyeyim, illa eşcinsel olmanız da şart değil. Eşcinsel cinayetlerin sayısındaki artışa ait bir haber bile homofobik bir işvereni size karşı olumsuz tutumlar içine itebilir. Devam edelim, bir kanserle ilgili doktor sitelerini gezip bilgi toplamanız işverenin sizi hasta olarak algılamasına ve sizinle uzun vadeli çalışamayacağını düşünüp işten çıkarmaya bile yol açabilir.

İçerik filtrelemesi -bence- en zarar veririci ihlallerden biridir. Bunda biraz daha uç örnekler vereyim. Çalıştığınız iş yeri çeşitli kelimeleri filtreliyor ve bunlara her türlü erişim yasaklanıyor. Örneğin, ateizm, ateist, atheist, atheism, agnostik gibi kelime grubunu filtrelenmiş durumda. Bu, sadece Internet’te ateizm ilgili herhangi bir içeriğe erişimi değil ateist çalışanların ifade özgürlüğü ve inanç özgürlüğünü de etkiler. Buna gizlilik literatüründe dondurucu etki de denir. Hem doğrudan hem de dolaylı yoldan çalışanın gizliliği ihlal edilmiş olur, beraberinde diğer özgürlükleri (ifade, inanç vs) de kısıtlanmış olur.

E-posta, Internet takibi ve içerik filtrelemesini bir arada incelersek; Internette gezmek ve e-postalar çalışanın kendi kişisel kimliğine işaret eder. Ayrıca, iş yeri çalışanların birçok etkileşimde bulunduğu sosyal bir alandır. Bu alanda gizlilik hakkının korunması gerekir. Internet’te özgürlük konuşma özgürlüğü tarafından korunur. Takip edildiğini bilen bir çalışan kendini açıkça ifade edemeyecektir. Böylece konuşma özgürlüğü engellenmiş olacaktır. İnancını, cinsel görüşünü veya düşüncelerini gizlemek, iş yerinde yaşayabileceği baskılardan dolayı da olmadığı gibi gözükmek durumunda kalabilir. Ayrıca, tüm bu haklar birbirleri ile etkileşim halindedir. Örneğin, inanç özgürlüğü, bunu ifade edemedikten ya da bu inancın gerekliliklerini yerine getiremedikten ve özgürce bunları söyleyemedikten sonra bir şey ifade etmez. Bununla birlikte, çalışanların beklentilerine işveren tarafından saygı duyulması gerekir. İşverenin bu şekilde yapacağı takipler ya da işverenin böyle bir takip yaptığı söylememesi, çalışanları olumsuz yönde etkiler.

Size tahsis edilen bilgisayara herhangi bir yazılım kurdunuz ve siz yokken bu yazılım farkedildi. Görevli bilgisayarı açtı ve yazılımı sildi. Sabah geldiniz, bilgisayarınızı açtınız, yazılım yok, biri bilgisayarınıza “böyle şeyler kurma” diye not bırakmış.  Size tahsis edilen bilgisayar, bir başkasının kafasına göre açıp bir şeyleri silebileceği ya da kurabileceği bir şey olmamalıdır. Burada genel bahane sisteme sızabilecek, bilgi çalabilecek her türlü zararlı içeriğin yüklenen yazılımdan gelebileceğidir. Eğer böyle bir olasılıktan bahsediliyorsa, bunu engellemek çalışanın bilgisayarının takibi ile değil çalışana temin edilecek yazılımdan, iyi bir güvenlik duvarından, anti-virüs programlarından vs. geçer. Ek olarak, bana göre bir görevlinin gelip “Bilgisayara ne yükledin? Aç bakacağım!” demesi bile kabul edilebilir bir şey değildir.

Başka bir olumsuzluktan bahsedecek olursak, çalışma ortamının evden olduğu durumlarda işverenin herhangi bir takip yapması sadece çalışanın gizliliğini ihlal etmez. Çalışanın aile ve özel yaşamına dair gizlilik hakları da çiğnenmiş olur. İşveren şunu iyi anlamalı; çalışan onun mülkiyeti değildir. Eğer tüm bu izlemeleri ticari sırların, şirkete ait özel bilgilerin ya da lisansların sızdırılmasını ya  da kaynak israfını engellemek amacıyla yaptığını söylüyorsa, işveren bunlar için gizlilik haklarını ihlal etmeye yönelmemeli. Onun yerine bu hakların sızdırılması ve sonrasında işvereni koruyacak ve iş yerinde gizlilik hakkını ihlal etmeyecek yasaların oluşturulması için çaba sarfetmelidir.

Teknoloji bu konuda kesinlikle tarafsız olmalı. Ne pazarı domine eden gücün haklarını ne de bir başkasının haklarını koruyup diğerlerini hiçe saymalı. Yukarıda da bahsettiğim üzere bu haklar iç içe geçmiş durumdadır. Konuşma özgürlüğü olmayan bir çalışandan inanç özgürlüğü beklenemez. Bu, toplum için de geçerlidir. Bir gizlilik hakkının ihlali iş ortamını bir taciz ortamına dönüştürebilir. Çalışanı dolaylı (veya doğrudan) olarak farklı görüşlerin baskısı altında kalmasına neden olabilir.

Sonuç, çalışan iş yerindeki gizliliğini kontrol edememekte, Internet’te hangi sitelere girdiği, gönderdiği e-postalar takip edilmekte, konuşma özgürlüğünden uzak ve verimliliğini kaybetmektedir. İş yerinde gizlilik hakkı daha çok pazar güçleri tarafından gizlice düzenlendiği için işveren kâr maksimizasyonu hırsıyla birçok tacize ve hak ihlaline neden olabilecek bir iş ortamı oluşturmaktadır. İş yerinde gizlilik hakkı ve çalışanın izlenmesini engellemek yasal bir düzenleme ile korunmalıdır.

Tagged , , , , , , , , , , , , , , ,