Tag Archives: tarayıcı

Lenovo ve Superfish

Her geçen gün iletişim gizliliğinin nasıl da incecik bir çizgide olduğunu, özel hayatınıza konu olacak her şeye bir çırpıda üçüncü şahısları da ortak edebileceği yüzümüze çarpıyor. 2013 yılı sonuna doğru LG televizyonlarının USB bellek üzerindeki dosya isimlerini kendi sunucularında kayıt altına aldığı ortaya çıkmış, ardından LG yeni bir yama yayınlayarak bunu durduracaklarını ve özür dilediklerini duyurmuşlardı. Bu senenin başında ise Samsung SmartTV’lerin oda içerisindeki konuşmaları ses kayıt özelliği üzerinden topladığı ve üçüncü partilerle paylaştığı ortaya çıktı. Tabi ki sizin onayınızla. Herkes 233 sayfalık sözleşmeyi okuduğu için bundan haberdardı değil mi? Şimdi ise bunlara bir yenisi eklendi. Lenovo. Lenovo konusunu tam olarak anlayabilmek için kök sertifikanın ne olduğuna kısaca bir bakalım.

Kök sertifikalar, tarayıcılar ve diğer uygulamalar veya servisler tarafından kullanılır ve çeşitli türlerde olan şifreleme metodlarını doğrulamak için açık anahtar kriptografisinin temel parçalarından bir tanesidir. Örneğin, ne zaman bir https üzerinden bağlantı gerçekleştirseniz bu kök sertifikalar sizlerin gerçekten o websitesine bağlandığınızın doğrulamasını gerçekleştirir. Bununla birlikte, kök sertifikalara sahip olan kullanıcı, bu sertifikaların sahibine de güvendiğini kabul etmiş sayılır. Bir bankacılık işlemi için https ile müşterisi olduğunuz bankaya eriştiğinizi düşünün:

  • Tarayıcınız bankaya ait websitesine “hadi gizli konuşalım” diyecektir.
  • Websitesi ise tarayıcınıza “tamam gizli konuşalım, bu benim açık anahahtarım, böylece iletişimimizi şifreyebiliriz” diye yanıt verecektir.
  • Tarayıcınız açık anahtar ile iletişimin şifresini çözerek imza ile birlikte açık anahtarı da kontrol edecektir. İşte tam da bu noktada, kök sertifika ile imzanın şifresi çözülecektir. Böylece, doğrulama sağlanarak tarayıcınız imzanın güvenilir bir kaynaktan olduğunu, açık anahtarın bu websitesi üzerinden geldiğini ve gerçekten de banka ile iletişimde olduğuna karar verecektir.
  • Bundan sonra iletişime konu olacak her şey açık anahtar ile şifrelenerek devam edecektir.

Bilgisayarınızda belirli sayıda ve sadece güvenilir kaynaklardan elde edilmiş kök sertifikaların bulunmasının nedeni de budur. Öte yandan, Lenovo ürünlerinde yüklü olarak gelen ve müşterilerine alış-veriş yaparken muhtemel ilgili çekici ürünleri göstermesi amacıyla yüklenmiş VisualDiscovery / Superfish uygulaması beraberinde bir kök sertifika ile gelmektedir. Yukarıdaki bahsettiğimiz örneği ve süreci de dikkate alırsak, tarayıcınız bu kök sertifikayı güvenilir bir kaynak olarak yorumlayabilir, bu sertifika sahibi ise şifreli iletişime konu olan her şeyi man-in-the-middle yaklaşımıyla dinleyebilir ve manipüle edebilir.

Lenovo’nun yapmış olduğu açıklamaya göre Ocak ayında bu uygulamanın sunucu taraflı etkileşimleri kapatılmış ve artık Lenovo ürünlerinde bu uygulama aktif olmadığını belirtmişlerdir. Bir diğer şey de, Ocak ayından itibaren bu uygulama önyüklü olarak gelmesi durdurulmuştur. Son olarak, gelecekte bu uygulamaya yer vermeyi düşünmedikleriin söylemişlerdir. Bunlara ek olarak, SuperFish uygulamasının kullanıcıların davranışlarını profillemediğini, kullanıcılara ait özel bilgilerinin tutulmadığını, kullanıcıların takip edilmediğini, her oturumunun bağımsız olduğunu ve hatta kullanıcının ne olduğunu bilmediğini aktarmışlardır.

Lenovo’nun açıklamalarına rağmen bu durum o kadar da basite indirgenecek bir şey değildir. Her şeyden önce, bu uygulama güvenli bağlantıların (SSL/TSL) kurulması sırasında tarayıcı ve diğer uygulamalar (e-posta, voip vs.) için güvenilir bir kaynak ve imza olarak yorumlanabilir. Tarayıcı ile sunucu arasındaki iletişimin dinlenmesini engellemek yerine SuperFish uygulaması şifreli iletişime konu olan tüm verileri şifresiz bir veriymiş gibi toplayabilir. Veya SuperFish’ ait kök sertifikanın anahtar sahibi (sahipleri) man-in-the-middle ile sizlerin örneğimizdeki gibi bankacılık işleriminiz sırasındaki iletişimi dinleyebilir veya araya girerek mesajları manipüle edebilir.

original

Resimde de görüldüğü üzere (Kaynak: Lenovo Forums) Internet bankacılığı için giriş yapmak isteyen bir Lenovo kullanıcısı güvenli bağlantısında SuperFish’e kök sertfikasının kullanıldığını görmektedir. Aşağıdaki listede ise SuperFish içeren Lenovo ürünlerinin listesi bulunmaktadır.

  • G Series: G410, G510, G710, G40-70, G50-70, G40-30, G50-30, G40-45, G50-45
  • U Series: U330P, U430P, U330Touch, U430Touch, U530Touch
  • Y Series: Y430P, Y40-70, Y50-70
  • Z Series: Z40-75, Z50-75, Z40-70, Z50-70
  • S Series: S310, S410, S40-70, S415, S415Touch, S20-30, S20-30Touch
  • Flex Series: Flex2 14D, Flex2 15D, Flex2 14, Flex2 15, Flex2 14(BTM), Flex2 15(BTM), Flex 10
  • MIIX Series: MIIX2-8, MIIX2-10, MIIX2-11
  • YOGA Series: YOGA2Pro-13, YOGA2-13, YOGA2-11BTM, YOGA2-11HSW
  • E Series: E10-30

Açıkçası, ortada bir sorun olduğu gerçeğini kimse gözardı edemez. SuperFish uygulamasının neden bir kök sertifikaya ihtiyaç duyduğuna dair kafalardaki soru işaretlerini giderecek bir açıklama yok. Kullanıcılara göre uygulamanın sistemden kaldırılması ile sertifikanın ortadan kalkmadığına dair bildirimler mevcut. Lenovo’nun açıklamaları ilk okunduğunda sonuçta SuperFish’in aktif olmadığı, dolayısıyla şifreli iletişime ait verilerin alınmasının pek de mümkün olmayacağı düşüncesi yerleşiyor. Fakat, tarayıcı kök sertifikayı kullanıyor ve imzanın güvenilir bir kaynaktan geldiğini söylüyor. Ayrıca, Lenovo SuperFish’e böyle bir yetkiyi verirken de gayet bilinçliydi. Ortaya çıktığında ise bu bilinçten uzak açıklamar yapmaktadır.

Sonuç mu? Sonuç şu; gizliliğiniz sadece hükûmetlere, partilere, şirketlere ve örgütlere, satın aldığınız veya kullandığınız servislere emanet edilemez. Bizim adımıza konuşamazlar ve bizim yerimize karar veremezler. Elbette kimse size zorla Lenovo aldırmıyor. Ama Lenovo da ürünü satarken böyle bir şeyin varlığından bahsetmiyor. Bu kadar büyük ve kullanıcı güveni kazanmış şirket transparan olamıyor.

Tagged , , , , , , , , , ,

TİB ve Metadata

5651 sayılı Internet düzenlemesinin etkileri ve tepkileri sürerken, Gül’ün hiç şaşırtmayan bir hamleyle onayladığı ve birkaç sorunlu şey var düzeltilecek demesi ile hükümetten yana saf tuttuğunu bir kez daha ispatlamıştı. Cumhurbaşkanı danışmanı Yusuf Müftüoğlu The Wall Street Journal‘a “Türk siyasetinin paranoyak tarzı” makalesi ile ilgili sitem dolu bir e-posta göndermiş. Bu e-postada da özellikle dikkatimi çeken Gül’ün Internet düzenlemesindeki “en tartışmalı maddelerin –global normlar ile en uygunsuz olanların– derhal değiştirileceği yönünde hükümetten güvence aldıktan sonra bu onayı vermiştir” cümlesi oldu. Ayrıca, haberin başlığı da Gül’ün Internet yasasına direndiğini söylemektedir. Peki metnin devamında Gül’ün direndiğine dair bir ibare var mı? Yok ve daha kötüsünü belirtmişler. Adı da metadata!

Öncelikle, metadata nedir değildir? Kısaca, bir veri hakkındaki verilerdir. Bunu detaylandırırsak eğer, belirli bir veri setine ya da kaynak hakkında nasıl, ne zaman ve kim tarafından oluşturulduğu hakkında tanımlayıcı bilgiler içerir. Metadata çoğunlukla Internet içeriğine bir gönderme olsa da fiziksel veya elektroknik içerikler hakkında da olabilir. Ayrıca, bir yazılım veya elle oluşturulabilirler. Biraz daha ayrıntıya girelim, bir metadata saat kaçta, nereden, hangi baz istasyonunu kullanarak kimi aradığınızı, arama yaptığınız telefonun IMEI numarasını, ne kadar süre konuştuğunuzu vb. bilgileri içerir. Bunu Internet açısından düşünecek olursak, örneğin bir e-posta gönderdiniz, e-postalarınıza nereden eriştiğiniz, ne zaman eriştiğiniz, IP adresiniz, e-postada kullandığınız adınız, alıcının adı, zaman dilimi, yazı karakter kodu, sunucu transfer bilgisi gibi detaylı bilgileri içermektedir. İşin komik tarafı şu:

Son olarak, servis sağlayıcıları internet kullanıcılarının yalnızca üst verilerini (metadata) TİB’e verecek ve bu yalnızca mahkeme emri ile yapılabilecek. Önceki şeklinde, daha detaylı bilgilerin mahkeme emri gerektirmeksizin iletilmesi isteniyordu.

Sizin gizliliğinize ait tüm içerikler “mahkeme emri” adı altında bir şekilde TİB’e verilebilecek. Bununla birlikte, metadata çok kapsamlı ve sadece tek taraflı bilgiler içermediği için sizinle birlikte iletişime konu olan karşı tarafa ait bilgiler de verilmiş olacak. Tabi ki bizler Internet kullanmasını bilmeyen ve gizlilik konusunda yeterince bilgi sahibi olmadığımız için bu açıklamayı da “evet, kesinlikle çok haklısınız” çerçevesinde değerlendiriyoruz. Üzülerek söylüyorum ki, açıklama yaptıkça daha çok batıyorlar ve şuna artık eminim, ne dediklerinin veya söylediklerinin ne anlama geldiğinden bile emin değiller.

Metadata ile ilgili meşhur bir örnek de Petraeus skandalıdır. Bu skandal, CIA yöneticisi olan general David Petraeus ile gazeteci ve Amerikan ordusu istihbaratında görevli Paula Broadwell arasındaki evlilik dışı ilişki ve konuya dahil birçok farklı kişiden oluşmaktadır. Kısaca, Paula ve David ortak bir anonim e-posta kullanarak birbirleriyle iletişim kurmaktadırlar. İkisi de e-posta göndermek yerine bu anonim e-postada yazdıklarını kaydedip okumaktalar. Paula, kamuya açık alanlardan Internete girip bu kayıtlı mesajları okur ve nerden, ne zaman okunduğuna ve oluşturulduğuna dair metadata verisi birikir. FBI’ın araştırması sonucunda da metadatalar ile Paula’nın kimliğine erişilir.  Guardian’ın metadata’ya giriş makalesinde metadata ile ne tür bilgilerin toplandığına dair detaylı bir anlatım mevcut. Buradan bazı şeyleri aktaracağım:

Kamera

  • GPS bilgileri
  • Oluşturulma ve düzenleme tarihi
  • Fotoğrafa ait içerik bilgileri
  • Kamera modeli
  • Kamera ayarları (flash, f-stop, shutter hızı vs.)
  • Fotoğraf özellikleri (boyut vs.)

Facebook

  • Ad ve soyad, doğum tarihi, yer, iş, ilgi alanları gibi biyografi bilgileri
  • Kullanıcı adı ve ID
  • Abonelikler
  • Cihaz bilgileri (telefon, bilgisayar vs.)
  • Aktiviteler, beğeniler, etkinlikler
  • Facebook etkinliğine dair zaman, saat ve saat dilimi

Twitter

  • Ad, yer, profil bilgileri ve URL
  • Hesap oluşturulma tarihi
  • Kullanıcı adı ve ID
  • Tweetlerin gönderildiği yer, zaman ve saat dilimi
  • Tweetlerin ve cevapların ID’si
  • Takipçiler, takip edilenler, favoriler
  • Tweetlerin gönderildiği uygulama

Google Arama

  • Arama sorguları
  • Aramada çıkan sonuçlar
  • Arama sonucu erişilen bağlantılar

Tarayıcı

  • Ziyaret edilen sayfalara ait bilgiler ve zamanı
  • Otomatik tamamla ile muhtemel giriş bilgileri ve kullanıcı verileri
  • IP adresi, cihaz ve donanım bilgileri, işletim sistemi ve tarayıcı bilgisi
  • Websitelerinden alınan çerez ve cache verileri

Neyse ki bizler teknolojinden anlamayan insanlarız ve bunların ne anlama geldiğini bilmiyoruz. Teşekkürler TİB, teşekkürler Müftüoğlu, teşekkürler Gül! Sayenizde Internet hiç olmadığı kadar “özel hayatın ve iletişimin gizliliğine” saygılı olmamıştı. Google’dan aratıp anaysayadan bir iki şey “sallamak” isterdim sizlere ama artık yazmaktan tiksiniyorum.

Tagged , , , , , , , , , , , , , , , , , , , , , , , , ,