Araçlarınızı Seçerken

Bireylerin kendi dijital güvenliklerini geliştirmelerine yardımcı olmaya yönelik araçlar sunan bu kadar çok şirket ve web sitesi varken, sizin için uygun olan araçları nasıl seçeceksiniz?

Elimizde sizi koruyabilecek dört dörtlük bir araç listesi olmasa da Araç Kılavuzlarımızda bazı sık kullanılan seçenekleri bulabilirsiniz. Ancak neyi ve kimden korumak istediğinize dair kafanız netse, bu kılavuz bazı temel ilkeleri kullanarak uygun araçları seçmenize yardımcı olabilir.

Unutmayın, güvenliğin kullandığınız araçlar veya indirdiğiniz yazılımlarla bir ilgisi yoktur. Güvenlik, karşılaştığınız özgün tehditleri ve bu tehditlere nasıl karşı koyabileceğinizi anlamakla başlar. Daha fazla bilgi edinmek için güvenlik planlama kılavuzumuza göz atın.

Güvenlik Bir Satın Alma Değil, Bir Süreçtir, anchor link

Kullandığınız yazılımı değiştirmeden veya yeni araçlar satın almadan önce, hiçbir araç veya yazılımın sizi izlenmeye karşı her koşulda mutlaka koruyamayacağını unutmayın. Bu nedenle, dijital güvenlik uygulamalarınızı bütünsel olarak düşünmeniz gerekmektedir. Örneğin, telefonunuzda güvenli araçlar kullanıyor ancak bilgisayarınıza bir şifre koymuyorsanız, telefonunuzdaki araçlar çok da işe yaramayabilir. Hakkınızda bilgi edinmek isteyen kişi bu bilgiye ulaşmak için en zor değil en kolay yolu seçecektir.

Her tür hile ve saldırgana karşı korunmak imkânsız olduğundan, verilerinizi kimlerin isteyebileceğine, bu verilerle ne yapmak isteyebileceklerine ve verilere nasıl ulaşabileceklerine odaklanmalısınız. Maruz kalabileceğiniz en büyük tehdit internet izleme araçlarına erişimi olmayan bir özel dedektifin sizi fiziksel takibi ise, “NSA-geçirmez” iddiasında pahalı bir şifreli telefon sistemi satın almanıza gerek yoktur. Alternatif olarak, şifreleme araçları kullanıyorlar diye muhaliflerini düzenli olarak hapse atan bir hükümetle karşı karşıyaysanız, dizüstü bilgisayarınızda şifreleme yazılımı kullandığınıza dair kanıt bırakma riskini almaktansa—mesaj iletmede kulağa zararsız gelen, önceden düzenlenmiş bir dizi kod düzenlemek gibi—daha basit taktikler kullanmak mantıklı olabilir. Korunmayı planladığınız bir dizi olası saldırıyı ortaya koymaya tehdit modellemesi denir.

Bu bilgiler ışığında herhangi bir aracı indirmeden, satın almadan veya kullanmadan önce aklınıza gelebilecek bazı sorular aşağıdaki gibidir:

Ne Kadar Şeffaf? anchor link

Güvenlik araştırmacıları arasında açıklık ve şeffaflığın daha güvenli araçlara yol açtığına dair güçlü bir inanç vardır.

Dijital güvenlik camiasının kullandığı ve önerdiği yazılımların çoğu açık-kaynaklıdır. Bu da nasıl çalıştığını tanımlayan kodun herkesin incelemesine, değiştirmesine ve paylaşımına açık olduğu anlamına gelir. Bu araçların oluşturucuları, programlarının nasıl çalıştığı konusunda şeffaf davranarak başkalarını güvenlik açıklarını aramaya ve programın geliştirilmesine yardımcı olmaya davet ederler.

Açık kaynaklı yazılımlar daha iyi güvenlik olanağı sağlar, ancak bunu garanti etmez. Açık kaynağın avantajı, bir açıdan, küçük projeler (ve hatta popüler, karmaşık projeler) için gerçekleştirilmesi zor olabilecek şekilde, kodun fiilen bir teknoloji uzmanları topluluğu tarafından kontrol edilmesine dayanır.

Bir aracı değerlendirirken, kaynak kodunun mevcut olup olmadığına ve güvenliğinin kalitesini doğrulamak için bağımsız bir güvenlik denetimine sahip olup olmadığına bakın. En azından, yazılım veya donanımın, diğer uzmanların incelemesine açık olacak şekilde nasıl çalıştığına dair ayrıntılı bir teknik açıklaması olmalıdır.

Geliştiriciler Aracın Artı ve Eksi Yönleri Konusunda Ne Kadar Netler? anchor link

Hiçbir yazılım veya donanım tamamen güvenli değildir. Oluşturucularının veya satıcılarının ürünlerinin sınırlılıkları konusunda dürüst olduğu araçlara yönelin.

“Askeri (veya banka)-sınıfı” veya “NSA-geçirmez” kod gibi iddialı ifadeler tehlike işaretidir. Bu ifadeler, oluşturucularının aşırı özgüvenli olduklarını veya ürünlerindeki olası hatalar üzerinde durmak istemediklerini gösterir.

Saldırganlar araçların güvenliğini kırmak için yeni yollar keşfetmeye çalıştığından, yazılım ve donanımlar güvenlik açıklarını giderecek güncellemelere ihtiyaç duyarlar. Oluşturucuların imajlarının zedelenmesi korkusuyla, ya da gerekli altyapıyı oluşturmadıkları için bunu yapmakta isteksiz olmaları ciddi bir soruna yol açabilir. Bu güncellemeleri yayımlayan ve güncelleme nedenlerini dürüst ve açıkça belirten oluşturucuları tercih edin.

Araç üreticilerinin geçmiş faaliyetleri, gelecek davranışlarına dair kuvvetli ipuçları verir. Aracın web sitesinde geçmiş sorunların bir listesi ve düzenli güncellemelerin ve bilgilerin—örneğin yazılımın en son ne zaman güncellendiği gibi—bağlantıları bulunuyorsa, gelecekte de bu hizmeti sunmaya devam edeceklerinden daha emin olabilirsiniz. Çoğu zaman resmi uygulama mağazalarında, Apple'ın App Store'unda veya Google Play'de, GitHub'da veya geliştiricinin web sitesinde güncellemelerin geçmişini bulabilirsiniz. Sırf bu bile bir geliştiricinin yazılım üzerinde düzenli olarak çalıştığını gösterse de, her güncellemede nelerin yer aldığına dair ayrıntılı notlara yer verilmesi daha da iyi bir göstergedir.

Oluşturucular Saldırıya Uğrarsa Ne Olur? anchor link

Güvenlik aracı üreticileri yazılım ve donanım inşa ederken (tıpkı sizin gibi) net bir güvenlik planına sahip olmalıdır. En iyi oluşturucular, sizi ne tür düşmanlardan koruyabileceklerini belgelerinde açıkça tanımlayanlardır.

Ancak pek çok üreticinin düşünmek bile istemedikleri bir saldırgan vardır: o da kendileridir. Ya kendileri saldırıya uğrar ya da kendi kullanıcılarına saldırmaya karar verirlerse? Örneğin, bir mahkeme veya devlet kurumu, bir şirketi elindeki kişisel verileri teslim etmeye zorlayabilir veya şirketin ürettiği araçların sağladığı tüm korumaları ortadan kaldıracak bir "arka kapı" oluşturmasını isteyebilir. Bu nedenle, geliştiricilerin tabi olduğu hukuk sistem(ler)ini de dikkate almanız gerekir. Örneğin, İran hükümetine karşı korunma endişesi taşıdığınızı varsayalım. ABD merkezli bir şirket, ABD'nin kararlarına uyma mecburiyetinde olsa dahi, İran mahkemelerinin kararlarına direnebilir.

Bir oluşturucu hükümet baskısına direnebilse bile, müşterilerine saldırmak isteyen bir saldırgan alet üreticilerinin kendi sistemlerine sızmaya çalışabilir.

En dirençli araçlar, bunu olası bir saldırı olarak görüp, buna karşı savunma yapmak üzere tasarlanmış olanlardır. Özel verilere erişmeyeceğini vaat eden değil, bu verilere erişemeyeceğini belirten oluşturucuya itibar edin. Benzer şekilde, veri şifreleme, veri saklama politikaları, üçüncü taraflara satış ve şirketin kolluk kuvvetleri taleplerini nasıl karşılayabileceği gibi bilgileri edinmek üzere ilgili aracın web sitesini veya gizlilik politikasını araştırın. Washington Post'un bu kılavuzunda bir şirketin hangi bilgileri depolayabileceği veya paylaşabileceği hakkında fikir edinmede şirket gizlilik politikasını okumanın faydasına dair ipuçları bulabilirsiniz.

Piyasadan Toplatılmış veya İnternette Eleştirilmiş mi? anchor link

Ürün satıcısı şirketler ve en son yazılımlarının reklamını yapan meraklıları yanılmış veya yanıltıcı olabilir, hatta düpedüz yalan söylüyor olabilirler. Başlangıçta güvenli olan bir üründe ileride korkunç kusurlara rastlanabilir. Kullandığınız araçlarla ilgili en son haberleri yakından takip ettiğinizden emin olun.

Bir araçla ilgili en son haberleri takip etmek tek bir kişi için epey zahmetli bir iştir. Sizinle aynı ürün veya hizmeti kullanan meslektaşlarınız varsa, güncel bilgilerden haberdar olmak için onlarla iletişim halinde olun.

Hangi Telefonu Satın Almalıyım? Ya Da Hangi Bilgisayarı? anchor link

Güvenlik eğitmenleri sık sık şu sorularla karşılaşır: “Android cihaz mı yoksa iPhone mu almalıyım?” veya “PC mi yoksa Mac mi kullanmalıyım?” veya ”Hangi işletim sistemini kullanmalıyım?” Bu soruların basit cevapları yoktur. Araştırmacılar yeni kusurlar buldukça ve eski hataları keşfettikçe yazılım ve cihazların göreceli güvenliği sürekli değişmektedir. Şirketler size daha iyi güvenlik sağlamak için birbirleriyle rekabet edebilir veya hepsi birden hükümetlerin bu güvenliği azaltmaları yönünde baskılarına maruz kalıyor olabilirler.

Fakat genel birkaç tavsiye neredeyse her zaman geçerliliğini korur. Satın aldığınız cihaz veya işletim sistemini yazılım güncellemeleriyle güncel tutun. Eski bir kodda yer alan ve saldırıların hedefi haline gelebilecek güvenlik sorunları sıklıkla güncellemeler sayesinde çözülür. Bazı işletim sistemlerinin güvenlik güncellemeleri için bile artık desteklenmiyor olabileceklerini unutmayın.

Cep telefonları açısından, iki işletim sistemi arasında bazı temel farklılıklar vardır. Android açık kaynak kodludur ve CalyxOS ve GrapheneOS gibi özellikle gizlilik ve güvenliğe odaklı birkaç farklı sürümü vardır. iPhone’un işletim sistemi iOS ise açık kaynaklı olmamakla beraber adli araçlara karşı gücünü ispatlamıştır. Her güvenlik aracında olduğu gibi, tek bir araç herkes için diğerlerinden daha iyi olamaz.

Artık sizi bekleyen tehditlerin farkında olduğunuza ve bir dijital güvenlik aracında nelere dikkat etmeniz gerektiğini bildiğinize göre, kendi özel koşullarınıza en uygun araçları daha güvenle seçebilirsiniz.

İzleme Öz Savunması (SSD) Kapsamında Yer Alan Ürünler anchor link

SSD kapsamında yer alan yazılım ve donanımların yukarıda belirtilen kriterlere uygun olması için çalışıyoruz. İyi niyetli bir çabayla yalnızca aşağıdaki özelliklere sahip ürünlere listemizde yer verdik:

• Dijital güvenliğe ilişkin mevcut bilgilere dair temeli sağlam
• Faaliyetleri (ve kusurları) konusunda genel itibarıyla şeffaf
• Geliştiricilerin de saldırıya maruz kalabilme ihtimaline karşı savunmalı
• Hali hazırda kendilerini kusurlara karşı inceleyen geniş ve teknik açıdan bilgili bir kullanıcı kitlesinin denetimi altında

Bu ürünleri inceleyecek ya da güvenliklerine dair bağımsız güvence verecek kaynaklarımız olmadığını belirtmek isteriz. Bu ürünleri önermiyoruz ve haklarında tam güvenlik garantisi veremiyoruz.