Tag Archives: twitter

Online Kripto Araçları

Başlığa aldanıp nasıl kullanacağınızı anlatacağım bir rehber zannetmeyin. Snowden’in belgelerine dayanarak NSA tarafından bir şekilde kırıldığı söylenen bu araçların neler olduğundan bahsedelim.

Amerikan İç Savaşı muharebelerinden olan Bull Run ilk 21 Temmuz 1861 yılında gerçekleşti. Konfederasyon’un kazandığı bu muharebe aradan 152 yıl sonra NSA’in belirli ağ iletişim teknolojilerini kırmak için kullandığı kripto çözme programının kod adı oldu. İngiltere cephesinde ise 23 Ekim 1642 yılında ilk İngiliz İç Savaşı muhaberesi olan Edgehill, bu kripto çözme programına isim verdi.

Bullrun Projesi ortaya çıkarttığı üzere, NSA ve GCHQ’nun HTTPS, VoIP, SSL gibi geniş çapta kullanılan online protokollere karşı bunu kullanmakta ve bu protokolleri kırabilmektedir.

Bu protokoller, programlar nelerdir, bakacak olursak:

VPN (Virtual Private Network)
Özellikle şirketlerin çalışanlarının ofise uzaktan erişim sağlayabilmesi için kullandığı VPN‘ler.

Şifreli Chat
İletim esnasında kırılması mümkün olmayan (mesaj servisi tarafından bile), Adium ve AIM gibi noktadan noktaya şifreleme sağlayan programlar.

SSH (Secure Shell)
Güvensiz bir ağda, güvenlik kanalı üzerinden iki bilgisayar arasındaki veri aktarımının gerçekleştirilmesini sağlayan, kriptografik ağ protokolü. GNU/Linux ve Mac kullanıcıları için standart halinde gelmiş bir uygulamadır.

HTTPS (Hypertext Transfer Protocol Secure)
Özellikle kullanıcı ve sunucu arasındaki bilgilerin (şifre, finansal bilgiler vs.) başkaları tarafından erişmini engellemek için HTTP protokolüne SSL protokolü eklenerek oluşturulmuş ve standart haline gelmiş güvenli hiper metin aktarım iletişim kuralı. Son dönemde Facebook, Twitter, Gmail gibi servislerle daha da bilinir hale gelmiştir.

TSL/SSL (Transport Layer Security/Secure Sockets Layer)
İstemci-sunucu uygulamalarının (tarayıcı, e-posta vs.) ağ boyunca gizlice dinleme ya da yetki dışı erişimi engellemek için olan kriptografik protokollerdir.

Şifreli VoIP (Voice over Internet Protocol)
Microsoft’un Skype ya da Apple’ın FaceTime gibi servisleri kullanıcıların Internet üzerinden sesli ve görüntülü iletişim kurmalarını sağlayan uygulamalar.

Tagged , , , , , , , , , , , , , ,

Twitter’ın Karanlık Yüzü

PRISM konusu patladıktan sonra Twitter nasıl oluyor da bu kadar temiz ve dokunulmamış kalabilir hep şüpheli yaklaşmıştım. Bu hizmetin elbet bir karanlık yüzü olmalıydı. Aradan geçen süre içerisinde bilin bakalım ne oldu?

Polonyalı bir aktivist olan Alexander Hanff kendi gizlilik temelli projelerini yayımlamak için bir site hazırlarken ziyaretçi istatistikleri üzerine Apache’nin GeoIP modülünü kullanmak istiyor. Bu konudaki temel düşüncesi ziyaretçilerin IP bilgilerini –daha doğrusu gizliliklerini ihlal etmeden– kaydetmeden onlar hakkında ülke ve IP bilgisi almaya çalışıyor. Ne oluyorsa da tam bu noktada oluyor. Birden fazla Twitter hesabı olduğu için (kendi diyor) birinden kendi hesabına Tweetdeck üzerinden bir DM (özel mesaj) atıyor;

http://mydomain.com/stats.php?ref=twitter

ref dizisinin amacını veri tabanına kaydedilmek üzere test amaçlı kullandığını çünkü sponsorlarıyla ilişkili bazı kayıtları geri yüklemek istemesi olduğunu belirtiyor. Şöyle bir sonuçla karşılaşıyor;

8 » 2013-08-25 19:44:07 » stats.php?ref=twitter » US
9 » 2013-08-25 19:44:07 » stats.php?ref=twitter » US
10 » 2013-08-25 19:44:07 » stats.php?ref=twitter » US
11 » 2013-08-25 19:44:14 » stats.php?ref=twitter » PL
12 » 2013-08-25 19:44:14 » stats.php?ref=twitter » US
13 » 2013-08-25 19:45:06 » stats.php?ref=twitter » PL

Sonuç beklendiği gibi pek gizliliğe zarar verici gibi gözükmemekte. Fakat 8, 9, 10 ve 12. satırlara bakarsanız ülke kodunun Amerika olduğunu göreceksiniz. Özellikle 8 ve 10 özel mesaj gönderildikten hemen sonra oluşmuş. İşin ilginci bu bir özel mesaj ve URL’sinin gizli olması, yani teorik olarak “US” girdilerine sahip olmaması gerektiği. Hanff, Apache’nin erişim kayıtlarına baktığı zaman US satırlarında Twitter’ın kendisini Twitterbot/1.0 olarak tanıtmak ve URL’ye GET isteği göndermek için 199.16.156.126 IP’sini kullandığını görüyor. Bunun bir özel mesaj olduğu düşünülecek olursa Twitter’ın aslında bunu görmemesi ve kendine GET isteği üzerinden bir kopya oluşturmaması gerekmektedir.

Buna kısaca Twitter’ın özel mesajları taraması demek daha doğru olacaktır. Bu açık bir gizlilik ihlalidir. Twitter bu konuda iyi niyetli olduklarını, kullanıcıyı düşündüklerini söylese de GET ve kopya oluşturması niyetleri ile tamamen çelişmektedir. Yazının tamamını buradan okuyabilirsiniz.

Twitter’la ilgili başka bir haber de Glendale okul yetkilileri Hermosa Beach adlı bir sosyal medya şirketi ile anlaşarak öğrencilerinin Twitter, Facebook, Youtube ve Instagram paylaşımlarını takip ettirdiği ortaya çıktı. Günlük raporlar, öğrencilerin şiddet, nefret, saldırganlık vs. üzerine olan eğilim frekanslarından oluşuyor. Geçen sene Hermosa Beach şirketine 40,500$ ödenmiş, toplam 13,000 orta ve lise öğrencisi monitörlenmiş. Okul yetkililerinin “niyeti” ise öğrencilerinin kendilerine ve başkalarına zarar vermeden önceden tespit edilebilmesiymiş. İnsanın aklına Minority Report gelmiyor değil. Tabi öğrencilerin hesaplarının nasıl tespit edildiği ise başka bir konu. Monitörleme kadar bu hesapların tespitinin nasıl yapıldığı da bilinmeli ve paylaşılmaya değer olduğunu düşünüyorum.

Görüldüğü üzere, bazı sosyal medya şirketleri zaten çok uzun bir süredir monitörleme işini yapmaktaydılar. Bunlar firmalar için ürün, marka değerlendirmeleri içerirken bazıları da Glendale okulu gibi “öğrencilerinin iyiliği” altında paylaşımlarının incelenmesini içermekte. Her ne olursa olsun, yapılan paylaşımların birilerinin süzgeçinden geçtiği ve bunların sadece iyi niyetli olmadıklarıdır. Twitter, T.C. devleti ile kullanıcı bilgisi paylaşımına yanaşmamış olabilir, belki hiç yanaşmayacak da olabilir ama dikkat edilmesi gereken şey gizliliğiniz ve güvenliğiniz için özel şirketlere bel bağlamamanız gerekliliğidir. Gizlilik bir insan hakkıdır. Bunun seçimi, bu hakkın birilerine devredilmesi söz konusu bile olamaz.

Tagged , , , , , , ,

Sosyal Medyada Açık Hesaplar

Yazının temel amacı sosyal medyayı bir korkuluk gibi göstermek değil. Sadece sosyal medyadaki açık hesapların içeriğinin çok basit bir şekilde birileri tarafından cachelenmesi, arama motorları ile bu sayfalara rahatça erişilebilmesi, ve siz sosyal medya hesaplarını kapatsanız dahi bu sitelerde verilerinizin kalması.

Sosyal medyanın çok hızlı gelişimiyle beraber aynı hızda sosyal medya ajanslarının gelir arttırma yolları da gelişti. Örneğin, sosyal medya üzerindeki açık hesapları bir havuza aktaran monitoring sitelerinin, girdileri inceleyerek firmalara ürünleri hakkında insanların ne düşündüğü üzerine bilgi satması. Bir nevi +, – ve nötr olarak girdileri tasnif edip ayrıntılı rapor hazırlamak. Bazı siteler de arama ile site üzerine gelen ziyaretçilerden gelir kazanmak derdinde. Yani sizin girdilerinizi cacheleyerek kendi sitesine koyuyor, böylece arama yapıldığında sonuç olarak bu site de çıkıyor. Bu bir nevi veri madenciliğidir ve en kötüsü ise açık hesapların bu şekilde sömürülmesini engelleyecek yasal bir kısıtlama yok. Örnekler üzerinden devam edelim.

Twitter için birkaç örnek (test etmek için kendi kullanıcı adınızla bakabilirsiniz):

  1. Twtrland: http://twtrland.com/
  2. Twicsy: http://twicsy.com/
  3. Topsy: http://topsy.com/
  4. Favstar: http://favstar.fm/
  5. Loviv: http://loviv.com/

Twitter’daki tweetlerinizden paylaştığınız fotoğraflara ve hatta video’lara kadar her şey bu “arama” siteleri tarafından cachelenmiş durumda ve hepsi de sizin insiyatifiniz dışında gerçekleşti. Çünkü kurallar buna müsade ediyor, bu sitelerin açık hesaba sahip olduğunuz için size sormak ya da izin istemek gibi bir dertleri yok. Diyelim ki Twitter hesabınızı sildiniz, bu siteleri bilmiyordunuz ve bazıları sizden profilinizin silinmesi için Twitter hesabınızla giriş yapmanızı istedi, alın size bir dert daha!

Hesabınız açıktı fakat sonradan kapattınız (korumaya aldınız), Twitter diyor ki; profilinizi kapatsanız bile bir zamanlar açık profille gönderdiğiniz tweetler hala açık ve aranabilir. Sadece profili kapattıktan sonra gönderdiğiniz tweetleriniz kapalı olacaktır. Bir diğer deyişle, açık hesapla gönderdiğiniz tweetler bu siteler tarafından cachelenmişse, hesabı kapatsanız bile sadece hesabı kapattıktan sonraki tweetleriniz cachelenmeyecek.

G+ için benzerlik açısından birkaç örnek (yoksa bir sürü site var):

  1. GooglePlusDirectory: http://googleplusfriends.com/
  2. PlusArkadaşArama: http://www.plusarkadasarama.com/
  3. Psd2wp: http://gplus.psd2wp.pl/
  4. Google-plus: http://google-plus.pl/

Farkettiğiniz gibi bu G+ arama sitelerin hepsi aynı yazılıma sahipler. Domainlere whois çekebilir, sunucuları nerede veya kim bunlar araştırabilirsiniz. Belki aynı kişi, kuruluş veya herneyse onundur ya da bu yazılım herkesin serbestçe indirip istediği gibi kullanılabildiği bir şeydir. Yani, birileri açık sosyal medya hesaplarını ve içeriğini “arama” adı altında öyle ya da böyle istediği gibi kendi veritabanına aktarabiliyor, cacheleyebiliyor. Peki herkes böyle basit bir yazılımla bile açık hesapları bu kadar ayrıntılı cacheleyebilirken, devletler, gizli servisler kim bilir neler yapıyordur değil mi?

Hesabımı kapattım ama…
Açık hesabınızı kapattınız/sildiniz diyelim. Fakat bu sitelerin farkında değildiniz ve rastgele adınızla ilgili bir arama yaptığınızda bugüne kadar gönderdiğiniz tweetlerden, G+ girdilerine her şey tekrar karşınıza çıktı. Hem de çok basit bir arama ile! Kabus sizin için yeniden başlıyor. Bu sefer de sitelerin iletişim sayfalarından profilinizin kaldırılması talebinde bulundunuz. Bu sitelerin birçoğunun e-postasının çalışmadığını, bazılarının yaptıkları şeyin herhangi bir yasal ihlal içermediğini anlatan otomatik cevap gönderdiğini, çok azı da silinmesi için gerekçe istediğini göreceksiniz.

Açık hesap mı kapalı (korunan) hesap mı?
Açık hesabın daha çok kişiye ulaşması kapalı hesapla kıyaslanmaz bile. Fakat sosyal medya sitelerinin politikaları böyle şeylere izin verdiğinden dolayı, ileride özellikle kendi adı ve soyadıyla yazanlar için büyük bir risk teşkil edecektir. Twitter veya G+ (diğer micro blogging siteleri vs.) üzerinde yazdığınız bir şey bir sürü farklı site tarafından cacheleniyor, herhangi bir arama sayesinde de bunlara rahatça ulaşılabiliyor. Kapalı hesaplar bu konuda güvenli, ama paylaştığınız bir bilginin açık hesap gibi yayılma olasılığı da bir o kadar düşük. Burada ısrarla üzerinde durmak istediğim şey siz hesapları kapatsanız bile ileride yazdıklarınızın durup dururken başınıza iş açabilme olasılığı. Ne yapmalıyım diyorsanız, hafif paranoyak olarak diyebileceğim şey kendi adınız ve soyadınızla açık hesap kullanmayın. Kimse sizin gerçek kimliğinizi Internet üzerinde bilmek zorunda değil, açıkçası kimsenin (bazıları hariç) bunu merak ettiği de yok. Yeterki siz paylaştığınız şeylerin güvenilebilir olduğunu en azından belirli bir oranda sağlayın.

Son olarak, sosyal medya ajanslarının bazıları için diyebileceğim tek bir şey var; “…yüzde 300 kâr ile, sahibini astırma olasılığı bile olsa, işlemeyeceği cinayet, atılmayacağı tehlike yoktur.

Tagged , , , , , , ,