Surveillance
Self-Defense

Güvenlik başlangıç paketi mi istiyorsun?

  • Güvenlik başlangıç paketi mi istiyorsun?

    Seçilmiş basit adımlarla en başından başla.

    Nerede yaşarsak yaşayalım ya da ne yaparsak yapalım, gözetim hepimizi etkiliyor. Bazılarımız direkt olarak etkileniyor, diğerleriyse sadece iletişimlerini ve verilerini casusluğa karşı korumak için neler yapabileceklerini bilmek istiyor. Bu tanıtıcı playlist sizlere kişisel riskinizi nasıl belirleyebileceğinizi keşfetmenize, en değer verdiğiniz iletişimlerinizi ve bilgilerinizi korumayı öğrenmenize, ve gizliliğinizi güçlendirecek araçları günlük rutininize dahil etmeyi düşünmenize yardımcı olacak.

  • Araçlarınızı Seçmek

    Bireylerin dijital güvenliklerini geliştirmeye yardımcı olmak için firmaların ve websitelerinin birçok farklı araçlar sunduğu bu günlerde, sizin için doğru olan araçları seçmenin püf noktası nedir?

    Sizi güvende tutması garanti, dört dörtlük bir araç listesine sahip değiliz (ancak seçtiğimiz uygun araçların listesine Araç Rehberleri bölümünden ulaşabilirsiniz). Eğer korumak istediğiniz şeyin ne olduğuna ve kimden korumak istediğinize dair iyi bir fikriniz varsa, bu rehber amacınıza ulaşmak için doğru araçları seçmenizde size yardımcı olacak.

    Güvenliğin indirdiğiniz veya kullandığınız araçlarla ilgili olmadığını unutmayın. Güvenlik, size özel tehditleri belirleyerek ve bunlarla nasıl mücadele edileceğini anlayarak sağlanır. Risklerinizi Değerlendirmek isimli rehberimize göz atarak bu konuyla ilgili daha detaylı bilgi alabilirsiniz.

    Güvenlik Satın Alınan Bir Şey Değil, Bir Süreçtir

    Kullandığınız yazılımı değiştirmeden ya da yeni araçlar satın almadan önce unutmamanız gereken ilk şey, hiçbir aracın sizi gözetime karşı tamamen koruyamayacağıdır. Bu yüzden, dijital güvenlik konusunu bir bütün olarak düşünmeniz önemlidir. Örneğin, telefonunuzda güvenli araçlar kullanıyorsanız, ama bilgisayarınıza şifre koymamışsanız, telefonunuzdaki araçların size bir faydası olmayabilir. Eğer bir kişi sizin hakkınızda bilgi edinmek istiyorsa, bu kişi bilgilerinizi edinmenin zor değil, en kolay yolunu seçer.

    İkinci olarak, kendinizi her türlü hile veya saldırgana karşı korumanız imkansızdır. Bu yüzden hangi saldırganın bilgilerinizi çalmak isteyebileceği, bu bilgilerden ne istediği, ve nasıl elde edebileceği konusuna odaklanmanız önemlidir. Eğer karşılaşabileceğiniz en büyük tehdit, internet gözetim araçlarına sahip olmayan özel bir detektifin sizi fiziksel bir şekilde takip etmesi ise, NSA'e karşı etkili olduğunu iddia eden pahalı bir şifreli telefon sistemi satın almanıza gerek yoktur. Alternatif olarak, şifreleme araçları kullandıkları için muhalif görüşlü insanları düzenli olarak hapse atan bir devletle karşı karşıyaysanız, dizüstü bilgisayarınızda şifreleme yazılımları kullandığınıza dair ipucu bırakmak yerine, daha önceden belirlenmiş bir dizi kelime kodlarını kullanmak gibi daha basit hilelere başvurmanız daha mantıklı olabilir. Gelebilecek saldırılara karşı kendinizi korumanın planlamasını yapmaya tehdit modellemesi denir.

    Tüm bunları göz önünde bulundurduğunuzda, bir aracı indirmeden, satın almadan ya da kullanmadan önce sorabileceğiniz bazı sorular şunlardır:

    Uygulama Ne Kadar Şeffaf?

    Güvenlik araştırmacıları arasında açıklık ve şeffaflığın daha güvenli araçlara yol açtığına dair güçlü bir inanç vardır.

    Dijital güvenlik toplulukları tarafından kullanılan ve tavsiye edilen yazılımların büyük çoğunluğu ücretsiz ve açık kaynak kodludur. Yani yazılımları tanımlayan bu kod, herkesin inceleyebilmesi, modifiye edebilmesi ve paylaşabilmesi için halka açılmıştır. Programlarının nasıl çalıştığıyla alakalı şeffaf olan geliştiriciler, bu şekilde programlarındaki güvenlik açıklarını araştırmaları ve programlarını geliştirmeleri için başkalarını davet eder.

    Açık kaynak kodlu yazılımlar daha iyi güvenlik için bir fırsat sunar ancak güvenliği garanti etmez. Açık kaynak kodlu yazılımların avantajı, kodu kontrol edebilecek teknoloji uzmanlarının oluşturduğu topluluklara bağlıdır ancak bu seviyeye erişmek küçük çaplı projeler için zor olabilir (aynı şey popüler, karmaşık projeler için de geçerli olabilir).

    Bir aracı kullanmayı düşündüğünüzde, bu aracın kaynak kodunun mevcut olup olmadığını kontrol edin ve kodun güvenliğinin bağımsız bir güvenlik denetiminden geçtiğine emin olun. Yazılımlar ve donanımlar, başkalarının kontrol edebilmesi için en azından nasıl çalıştıklarını tarif eden detaylı teknik açıklamalara sahip olmalıdır.

    Uygulamanın Yaratıcıları, Uygulamanın Avantajları ve Dezavantajları Hakkında Dürüstler mi?

    Hiçbir yazılım ya da donanım tamamen güvenli değildir. Ürünlerinin limitasyonları hakkında dürüst olan yaratıcıları ya da satıcıları seçmeye dikkat edin.

    "Askeri düzey" ya da "NSA'e karşı güvenli" gibi genel açıklamalara güvenmeyin. Bu tarz açıklamalar hiçbir şey ifade etmez ve geliştiricilerin ürünlerinde gereğinden fazla güvendiklerini ya da ürünlerindeki muhtemel hataları düşünmek istemediklerini gösterir.

    Saldırganlar araçların güvenliğini kırmak için sürekli yeni yollar bulmaya çalıştığından, yazılımlar ve donanımlar açıklarını kapatmak için sıklıkla güncellenmeye ihtiyaç duyarlar. Uygulamaların yaratıcıları, bu güncellemeleri kötü reklam ya da problemleri düzeltecek gerekli altyapının yerinde olmaması korkusuyla yapmazlarsa, bu büyük bir problem teşkil edebilir. Bu yüzden bir uygulama seçerken, araçlarını güncel tutacak, ve yapılan güncelleme ile ilgili net ve dürüst olacak yaratıcıları seçmeye dikkat edin.

    Uygulama yaratıcılarının geçmişteki aktiviteleri, gelecekte nasıl hareket edeceklerine dair iyi bir göstergedir. Eğer aracın websitesi geçmişteki sorunları listeliyorsa ve düzenli göncellemelere ve bilgilere bağlantı vermişse (yazılımın en son ne zaman güncellendiği gibi), aracın yaratıcılarının bu hizmeti gelecekte de sağlayacakları konusunda daha rahat olabilirsiniz.

    Yaratıcılar Tehlike Altındaysa Ne Olur?

    Güvenli yazılım ve donanım üretenler, bu araçları üretirken, kendileri için (aynen sizin gibi) net bir tehdit modeli belirlemelidirler. En iyi yaratıcılar, ürettikleri araçların sizi ne gibi saldırılara karşı koruyabileceğini sağladıkları dökümanlarda belirtirler.

    Ancak üreticilerin düşünmek bile istemediği bir saldırgan vardır: kendileri! Ya kendileri tehlike altındaysa veya kendi kullanıcılarına saldırmaya karar verirlerse? Örnek olarak, bir mahkeme ya da bir devlet, bir şirketi elinde tuttuğu kişisel bilgileri vermeye ya da hizmet olarak sunduğu araçlarındaki korumaları ortadan kaldıracak bir "arka kapı" yaratmaya zorlayabilir. Bu tarz durumlarda yaratıcıların hizmet verdiği ülkenin hukuki yetki alanlarını değelerlendirebilirsiniz. Örneğin, kendinizi İran devletine karşı korumak istiyorsanız, Amerika merkezli bir şirket, Amerikan mahkemelerinin kararına uymak zorunda olsa bile, İranlı mahkemelerin kararına karşı direnebilir.

    Yaratıcı, devletin uyguladığı baskıya karşı dirense bile, kullanıcılarına saldırmak amacıyla bir saldırgan, üreticinin sistemine sızarak aynı sonucu elde etmeye çalışabilir.

    En dirençli araçlar, bu tarz saldırıların gerçekleşme ihtimalini gözönüne alan ve bu saldırılara karşı korunmak için tasarlanmış olan araçlardır. Bir yaratıcının kişisel verilere erişmeyeceği sözünden ziyade, erişemeyeceği iddiasına dikkat edin. Kişisel verileri korumak için mahkemelerde mücadele veren kurumlara bakın.

    Geri Çağırmaları ve İnternetteki Eleştirileri Kontrol Edin

    Ürün satan şirketler ya da bu şirketin ürünlerinin reklamını yapan hayranlar kandırılabilir, yanıltabilir ya da açıkça yalan söyleyebilirler. İlk yayınlandığında güvenli olduğu sanılan bir ürünün, gelecekte korkunç güvenlik açıklarına sahip olduğu ortaya çıkabilir. Kullandığınız araçlarla ilgili haberleri yakından takip ettiğinizden emin olun.

    Bir araçla ilgili tüm haberleri takip etmek, tek bir kişi için oldukça zordur. Belli bir ürünü ya da servisi kullanan iş arkadaşlarınız varsa, neler olduğuyla alakalı bilgilerinizin güncel kalması için onlarla beraber çalışın.

    Hangi Telefonu Almalıyım? Ya da Hangi Bilgisayarı?

    Güvenlik eğitmenleri, "Android mi alayım, iPhone mu?", "PC mi kullanayım, Mac mi?" gibi sorularla sıkça karşılaşırlar. Bu soruların basit bir cevabı yoktur. Yazılımların ve cihazların güvenlik durumları, yeni kusurlar bulundukça ve eski hatalar yamalandıkça değişir. Şirketler size daha iyi güvenlik sunmak için rekabet edebilirler, ya da güvenliklerini zayıflatmak için devletler tarafından baskı altında olabilirler.

    Ancak bazı tavsiyeler her zaman geçerlidir. Cihazınız için yayınlanan yazılım güncellemelerini kurarak cihazınızı her zaman güncel tutun. Bu güncellemeler genellikle saldırıların faydalanabileceği eski kod tabanındaki güvenlik açıklarını kapatır. Eski olan bazı telefonların ya da işletim sistemlerinin güvenlik için bile olsa artık desteklenmeyebileceğini ise unutmayın. Örneğin Microsoft, Windows Vista, XP, ve daha önceki işletim sistemleri için kritik güvenlik açıkları dahil olmak üzere yeni güncellemeler yayınlamayacağını net bir şekilde belirtti. Eğer bu işletim sistemlerinden birini kullanıyorsanız, saldırganlara karşı korunmayı beklemeyin. Aynı durum 10.11 ya da El Capitan'dan önceki OS X sürümleri için de geçerlidir.

    Artık yüzleştiğiniz tehditleri düşündüğünüz, ve bir dijital güvenlik aracında ne aramanız gerektiğini bildiğiniz için, durumunuza özel araçları daha net bir şekilde seçebilirsiniz.

    Bu Rehberde Adı Geçen Ürünler

    Bu rehberde bahsettiğimiz yazılımların ve donanımların, yukarıda listelediğimiz kriterlere uyduğuna dikkat ediyoruz. İyi niyetli bir şekilde:

    • dijital güvenlikle alakalı bilgilerimize dayanarak sağlam temelleri olan,
    • genellikle işlevleri (ve hataları) konusunda şeffaf,
    • yaratıcılarının kendilerinin tehlike altında olabileceği ihtimaline karşı savunması olan, ve
    • güncel tutulan ve büyük, teknik konularda bilgili bir kullanıcı tabanı olan

    ürünleri listelemeye dikkat ettik.

    Bu ürünlerin, rehberin yazıldığı zamanda, hatalarının geniş bir kitle tarafından incelendiğini ve bir sorun oluşması durumunda halkın hızlıca uyarılacağına inanıyoruz. Lütfen bu ürünleri incelemek için yeterli kaynaklarımızın olmadığını ve güvenlikleriyle ilgili bağımsız bir güvence veremeyeceğimizi unutmayın. Biz bu ürünleri onaylamıyoruz ve güvenli olduklarını garanti edemeyiz.

    Son güncelleme: 
    29-10-2018
  • Sosyal Ağlarda Kendinizi Korumak

    Sosyal ağlar, internette en çok ziyaret edilen sitelerin başında geliyor. Facebook'un bir milyardan, Instagram ve Twitter'ın ise yüzlerce milyondan fazla kullanıcısı bulunmakta. Sosyal ağlar mesaj, fotoğraf, ve kişisel bilgi paylaşımı için kurulmuş sitelerdir. Ancak bu siteler artık organizasyon ve ifade platformları halini almış durumda. Her bu iki aktivite de gizlilik ve anonimliğe dayanabilir.

    Bu yüzden, bir sosyal ağ sitesini kullandığınızda kendinize şu soruları sormanız önemlidir: Bu siteleri kullanırken kendimi nasıl koruma altına alırım? Temel gizliliğim? Kimliğim? Arkadaş olduğum kişiler ve tanıdıklarım? Hangi bilgilerimi gizli tutmak istiyorum, ve bu bilgileri kimlerin görmesini istemiyorum?

    Durumunuza göre, kendinizi sosyal ağın kendisine, sosyal ağ kullanıcılarına, veya her ikisine karşı korumak isteyebilirsiniz.

    Hesabınızı Yaratırken Unutmamanız Gereken İpuçları

    • Gerçek isminizi kullanmak mı istiyorsunuz? Bazı sosyal ağların zamanla daha gevşek uyguladıkları "gerçek isim poliçesi" isminde kuralları vardır. Eğer bir sosyal ağda gerçek isminizle varolmak istemiyorsanız, olmayın.
    • Kaydolurken, sadece gerekli olan bilgileri sağlayın. Eğer kimliğinizi saklamak istiyorsanız, ayrı bir e-posta adresi ve ayrı bir telefon numarası kullanın. Bu iki bilgi de kimliğinizi açığa çıkarabilir ve farklı hesaplarınız arasında bir bağ yaratabilir.
    • Profil fotoğrafı veya görüntüsü seçerken dikkatli olun. Görüntünün çekildiği tarih ve mekan bilgilerini içerebilecek metaveriye ek olarak, görüntünün kendisi de bazı bilgileri açığa çıkarabilir. Bir görüntü seçmeden önce kendinize sorun: Bu görüntü iş yerinizin veya evinizin önünde mi çekildi? Görüntüde bir adres veya sokak tabelası mevcut mu?
    • IP adresinizin kayıt işlemi sırasında kaydedilebileceğini unutmayın.
    • Güçlü bir parola yaratın ve mümkünse iki adımlı doğrulamayı etkinleştirin.
    • "Hangi şehirde doğdunuz?" ya da "Evcil hayvanınızın ismi nedir?"   gibi parola kurtarma sorularına dikkat edin, çünkü bu soruların cevapları sosyal ağlarda bıraktığınız bilgilerden bulunabilir. Parola kurtarma cevaplarınızı kasıtlı olarak yanlış seçebilirsiniz. Parola kurtarma cevaplarına yanlış bilgiler yazmanız durumunda, bu bilgileri hatırlamanın en iyi yollarından biri bunları bir parola yöneticisine kaydetmenizdir.

    Sosyal Medya Sitesinin Gizlilik Politikasını Kontrol Edin

    Üçüncü partiler tarafından saklanan bilgiler bu partilerin poliçelerine tâbidir ve bu bilgiler ticari amaçlar için kullanılabilir ya da pazarlama firmaları gibi farklı firmalarla paylaşılabilir. Gizlilik politikalarının tamamını okumak imkansıza yakın bir egzersiz olsa da, verilerinizin nasıl kullanılacağını, kimlerle paylaşılacağını, ve yasal birimlerle hangi bilgilerin paylaşıldığını anlatan bölümleri okumak yararınıza olacaktır.

    Sosyal ağ siteleri genellikle kâr amacı güten işletmelerdir ve sizden sıklıkla izniniz dışında veriler (nerede olduğunuz, ilginizi çeken şeyler ve tepki verdiğiniz reklamlar, "beğen" butonları gibi araçlarla ziyaret ettiğiniz başka siteler gibi) toplar. Bunları engellemek için internet tarayıcınızın ayarlarından üçüncü parti çerezleri engelleyin ve Privacy Badger gibi takip engelleyici internet tarayıcı eklentilerini kullanın. Böylece bilgilerinizin izniniz olmadan paylaşılmadığından emin olursunuz.

    Gizlilik Ayarlarınızı Değiştirin

    Spesifik olarak, varsayılan ayarlarınızı değiştirin. Örneğin, mesajlarınızı herkesle mi, yoksa belli bir grupla mı paylaşmak istiyorsunuz? İnsanların sizi telefon numaranız veya e-posta adresinizle bulmasını istiyor musunuz? Lokasyon bilgilerinizin otomatik olarak paylaşılmasını istiyor musunuz?

    Her ne kadar her sosyal medya sitesinin kendine özgü ayarları olsa da, bu ayarlar arasında benzerlikler vardır.

    • Gizlilik ayarları genellikle şu sorunun cevabını verir: "Kim, neyi görebilir?". Burada muhtemelen varsayılan topluluk ("Herkese açık", "arkadaşların arkadaşları", "sadece arkadaşlar" vb. gibi), lokasyon, fotoğraf, rehber bilgisi, etiketleme, ve insanların profilinizi nasıl bulabileceği ile ilgili ayarlar göreceksiniz.
    • Güvenlik ayarları genellikle başkalarını nasıl engelleyeceğiniz ya da sessize alacağınız ve hesabınıza sizden habersiz erişmeye çalışan birinin olması durumunda nasıl bilgilendirilmek istediğinizle ilgili olacaktır. Bu bölümde bazen iki adımlı doğrulama ve yedek e-posta/telefon ekleme gibi alanları da bulabilirsiniz. Diğer zamanlarda ise bu ayarları hesap veya giriş ayarları bölümünde şifre değiştirme ayarlarıyla birlikte görmek de mümkündür.

    Güvenlik ve gizlilik "check-up (kontrol)"ünden faydalanın. Facebook, Google, ve diğer büyük servisler "security check-up" (güvenlik kontrolü) isminde bir özellik sunarlar. Bu rehber benzeri öğreticiler basit bir dille size temel güvenlik ve gizlilik ayarlarını tanıtır ve bu özellik kullanıcılar için oldukça faydalıdır.

    Son olarak, gizlilik ayarlarının değişebileceğini unutmayın. Zaman zaman bu gizlilik ayarları daha detaylı ve güçlü bir hale gelebilir; ancak tam tersi de olabilir. Geçmişte gizli olan bilgilerinizin artık paylaşılıp paylaşılmayacağına, veya sonradan eklenebilecek ayarların gizliliğinizi daha iyi koruyup korumayacağına dikkat edin ve bu değişiklikleri takip etmeye çalışın.

    Farklı Profilleri Ayrı Tutun

    Birçoğumuz için, farklı hesaplarımızın kimliklerini ayrı tutmak kritik bir öneme sahiptir. Bu çöpçatan siteleri, profesyonel profiller, anonim hesaplar, ve farklı topluluklardaki hesaplarımız için geçerlidir.

    Telefon numaraları ve fotoğraflar, dikkat etmemiz gereken iki farklı bilgi türüdür. Özellikle fotoğraflar, ayrı tutmak istediğiniz hesaplarınız arasında bir bağ kurabilir. Bu probleme çöpçatan siteleri ve profesyonel siteler arasında rastlamak şaşırtıcı derecede olağandır. Anonimliğinizi korumak ve belli bir hesabınızın kimliğini diğerlerinden ayrı tutmak istiyorsanız, başka hiçbir yerde kullanmadığınız bir fotoğraf veya görüntü kullanın. Bu durumu kontrol etmek için Google'ın ters görüntü arama özelliğini kullanabilirsiniz. Hesaplarınız arasında bir bağlantı oluşturabilecek diğer bilgiler de isminiz (hatta takma adınız) ve e-posta adresinizdir. Bu bilgilerden bazılarını ummadığınız bir yerde gördüğünüz takdirde paniğe kapılmayın. Bunun yerine, adım adım düşünün: internetteki tüm bilgilerinizi silmek yerine, belli başlı bilgilerinize odaklanın. Bunların nerede olduklarını, ve bunlar hakkında neler yapabileceğinizi düşünün.

    Facebook Grup Ayarlarını Öğrenin

    Facebook grupları, sosyal eylem, tarafgirlik, ve diğer hassas aktiviteler için önemi gün geçtikçe artan bir platformdur, ve bu platformun ayarları kafanızı karıştırabilir. Grup ayarlarınız ve grubunuzdaki insanların ilgi alanlarıyla ilgili daha çok bilgi edinin ve grubunuzdaki insanlarla beraber çalışarak Facebook grubunuzu gizli ve güvenli tutun.

    Gizlilik Bir Takım Sporudur

    Sadece kendi sosyal medya ayarlarınızı ve davranışlarınızı değiştirmekle kalmayın. Arkadaşlarınızla potansiyel veri açıklarının sonuçları hakkında konuşarak, bunları engellemeye yönelik adımlar atın. Sosyal medya hesabınız yoksa bile, ya da kendinizi paylaşılan medyalardaki etiketlerden kaldırsanız bile, arkadaşlarınız kimliğinizi istemdışı açığa çıkarabilir, lokasyonunuzu belli edebilir, ve sizle olan bağlantılarını ortaya çıkarabilir. Gizlilik bireysel bir çaba ile değil, başkalarının çıkarlarlarını da gözetmekle mümkündür.

    Son güncelleme: 
    30-10-2018
  • Risklerinizi Değerlendirmek

    Verilerinizi herkesten sürekli korumaya çalışmak pratik olmadığı gibi yorucudur. Ancak korkunuz olmasın! Güvenlik bir süreçtir ve dikkatli bir planlamanın neticesinde sizin için neyin doğru olduğunu değerlendirmek mümkündür. Güvenlik sadece kullandığınız araçlardan veya indirdiğiniz uygulamalardan ibaret değildir. Güvenlik, karşılaştığınız tehditleri anlamak, ve bu tehditlere nasıl karşı gelebileceğinizi anlamakla başlar.

    Bilgisayar güvenliğinde bir tehdit, verinizi savunma çabanızı baltalamaya çalışabilecek olan potansiyel bir olaya verilen isimdir. Bu saldırılara karşı gelebilmek için neyi, kime karşı koruyacağınızı belirlemeniz gerekir. Bu işlemin adı "tehdit modellemesi"dir.

    Bu rehber kendi tehdit modelinizi nasıl oluşturabileceğinizi, ya da dijital bilgileriniz için riskleri nasıl analiz edebileceğinizi ve bu risklere karşı hangi çözümlerin çare olabileceğini öğretecek.

    Tehdit modellemesi neye benzer? Diyelim ki evinizi ve mülkünüzü güvende tutmak istiyorsunuz. Bu sorulardan bazılarını sorabilirsiniz:

    Evimde korumaya değer neler var?

    • Bunlar mücevherat, elektronik eşyalar, finansal belgeler, pasaport, veya fotoğraflar olabilir.

    Bunları kimden korumak istiyorum?

    • Mülkünüzü hırsızlardan, ev arkadaşlarınızdan, veya misafirlerinizden korumak isteyebilirsiniz.

    Mülkümü korumayı isteme olasılığım nedir?

    • Komşunuzun evi daha önce soyuldu mu? Ev arkadaşlarım veya misafirlerim ne kadar güvenilir? Düşmanlarım ne kadar kabiliyetli? Hangi riskleri düşünmeliyim?

    Başarısızlığın benim için zararı nedir?

    • Evimde yenisiyle değiştiremeyeceğim bir şey var mı? Eşyalarımı değiştirmek için yeterli zamanım veya param var mı? Evimden çalınan eşyalar sigorta güvencesinde mi?

    Bu sonuçları engellemek için ne kadar uğraşmaya niyetliyim?

    • Hassas belgeler için bir kasa almaya niyetim var mı? Kaliteli bir kilit almaya param var mı? Değerli eşyalarımı korumak için yerel bankamdan güvenlik kutusu kiralamaya vaktim var mı?

    Kendinize bu soruları sorduktan sonra, hangi tedbirleri alabileceğinize karşı bir fikriniz olacak. Eğer eşyalarınız değerliyse, ancak bunların çalınma riski düşükse, pahalı bir kilit almak istemeyebilirsiniz. Ama değerli eşyalarınızın çalınma riski büyükse, piyasadaki en iyi kilidi almaya ek olarak iyi bir güvenlik sistemine yatırım yapmak bile isteyebilirsiniz.

    Tehdit modelinizi oluşturmak, karşılaşabileceğiniz riskleri, varlıklarınızı, düşmanınızı, düşmanınızın kabiliyetini, ve bu risklerin gerçekleşme ihtimalini değerlendirmenize yardımcı olur.

    Tehdit modellemesi nedir ve nasıl başlarım?

    Tehdit modellemesi değer verdiğiniz şeylere karşı varolan tehditleri ve bu tehditlerin kimlerden gelebileceğini belirlemenize yardımcı olur. Tehdit modellemenizi oluştururken, aşağıdaki beş soruya cevap verin:

    1. Neyi korumak istiyorum?
    2. Kimden korumak istiyorum?
    3. Başarısızlık ne gibi kötü sonuçlara yol açar?
    4. Bu şeyi korumak zorunda kalma ihtimalim nedir?
    5. Muhtemel olasılıkları engellemek için ne tür zorluklara katlanabilirim?

    Bu soruları yakından inceleyelim.

    Neyi korumak istiyorum?

    "Varlık", değer verdiğiniz ve korumak istediğiniz bir şeydir. Dijital güvenlik bağlamında ise bir varlık bir tür bilgidir. Örneğin, epostanız, kişi listeniz, anlık mesajlarınız, konumunuz, ve dosyalarınız birer varlıktır. Cihazlarınız varlıklara başka bir örnektir.

    Varlıklarınızın bir listesini çıkarın: sakladığınız veriler, bunları nerede sakladığınız, bunlara kimlerin erişiminin olduğu, ve başkalarının bunlara erişimini neyin durdurduğu gibi.

    Kimden korumak istiyorum?

    Bu soruya cevap vermek için kimlerin sizi ve bilgilerinizi hedef alabileceğini belirlemek önemlidir. Varlıklarınıza karşı tehdit oluşturan bir kişi veya kuruma "düşman" (adversary) denir. Patronunuz, eski ortağınız, ticari rakibiniz, devletiniz, açık ağ üzerindeki bir hacker düşmanlara örnektir.

    Düşmanlarınızın veya varlıklarınızı ele geçirmeye çalışmak isteyebilecek kişilerin bir listesini hazırlayın. Listeniz kişileri, bir devlet kurumunu, veya şirketleri kapsayabilir.

    Düşmanınıza göre değişkenlik göstermekle birlikte, bu listeyi hazırladıktan ve tehdit modellemenizi yaptıktan sonra listenizi yok etmek isteyebilirsiniz.

    Başarısızlık ne gibi kötü sonuçlara yol açar?

    Bir düşmanın verinizi tehdit etmesinin birçok yolu vardır. Örneğin düşmanınız ağ üzerinden geçen gizli haberleşme trafiğinizi okuyabilir, veya verilerinizi silebilir ya da kullanılmaz hale getirebilir.

    Düşmanların gerekçeleri, saldırıları gibi farklılık gösterebilir. Polis şiddetini gösteren bir videonun yayılmasını engellemeye çalışan bir devlet için bu videoyu silmek veya dağıtımını kısıtlamak yeterli olabilir. Buna karşın siz farkında olmadan politik rakibiniz gizli belgelerinize erişmek isteyebilir ve bunları yayınlayabilir.

    Tehdit modellemesi sürecinde bir saldırganın varlıklarınızdan birine başarıyla saldırması durumunda yaşanabilecek kötü sonuçları irdelemek çok önemlidir. Bunun için düşmanınızın kabiliyetini hesaba katmalısınız. Örneğin, mobil hizmet sağlayıcınız telefon kayıtlarınızın hepsini elinde tutar, bu yüzden bu verileri size karşı kullanma kabiliyetine sahiptir. Açık bir Wi-Fi ağındaki bir hacker şifrelenmemiş görüşmelerinize erişebilir. Devletinizin kabiliyeti çok daha güçlü olabilir.

    Düşmanınızın gizli verilerinizle neler yapabileceğini bir yere yazın.

    Bu şeyi korumak zorunda kalma ihtimalim nedir?

    Belli bir varlığınıza karşı mevcut olan belli bir tehdidin gerçekleşme ihtimaline risk denir. Risk, kabiliyetle birlikte ele alınır. Mobil hizmet sağlayıcınız bütün telefon kayıtlarınızı elinde tutsa bile, bu kayıtları yayınlama riski kendi saygınlığına getireceği zarardan ötürü düşüktür.

    Tehdit ve risk ayrımını yapmak önemlidir. Tehdit, olabilecek kötü bir şeyken; risk, tehdidin gerçekleşme ihtimalidir. Örneğin tehdit, binanızın yıkılabilecek olmasıyken risk, binanızın yıkılma ihtimalinin depremlerin nadiren gerçekleştiği Stockholm'e oranla, depremlerin sıklıkla gerçekleştiği San Francisco'da yüksek olmasıdır.

    Risk analizini gerçekleştirmek hem subjektif hem de kişisel bir işlemdir çünkü herkesin öncelikleri ve tehdide bakış açısı farklıdır. Bazı kişiler için risk ne olursa olsun bazı tehditler kabul edilemez, çünkü sonucu ne olursa olsun tehdidin varoluşu ve düşük bile olsa gerçekleşme ihtimali onlar için yeterlidir. Diğer durumlarda ise bazı kişiler tehdidi bir problem olarak görmedikleri için yüksek riskleri görmezden gelirler.

    Ciddiye alacağınız tehditleri, ve hangilerinin zararsız (ya da mücadelesinin zor) veya nadiren gerçekleşebileceğini bir kenara yazın.

    Muhtemel olasılıkları engellemek için ne tür zorluklara katlanabilirim?

    Bu soruyu cevaplayabilmeniz için risk analizi yapmanız gerekir. Herkesin öncelikleri ve tehditlere bakış açısı farklıdır.

    Örneğin, ulusal güvenlikle ilgili bir konuda müvekkilini temsil eden bir avukat, davayla ilgili olan görüşmelerini korumak için bir annenin kızına kedi videoları yollamak için kullandığı eposta hesabından farklı olarak hesabını korumak için her türlü yola başvurabilir.

    Özgün tehditlerinizi hafifletmeye yönelik seçeneklerinizi bir yere yazın. Finansal, teknik, veya sosyal baskılarla karşı karşıya olup olmadığınıza dikkat edin.

    Sıradan bir uygulama olarak tehdit modellemesi

    Durumunuzla birlikte tehdit modelinizin de değişebileceğini aklınızdan çıkarmayın. Bu yüzden, tehdit modellemesi durumunuzu sıklıkla gözden geçirmek iyi bir pratiktir.

    Özgün durumunuza uygun kendi tehdit modelinizi yaratın. Daha sonra gelecek bir tarihi takviminizde işaretleyin. Bu işlem, tehdit modelinizi gözden geçirmeniz ve tehdit modelinizin mevcut durumunuzla uyumluluğunu kontrol etmeniz için sizi uyaracaktır.

    Son güncelleme: 
    07-09-2017
  • Başkalarıyla Haberleşmek

    Telekomünikasyon ağları ve internet, insanların birbirleriyle hiç olmadığı kadar kolayca iletişim kurmalarını sağladı, ancak bu iletişim ağları gözetimin insanlık tarihinde daha önce görülmemiş şekilde yayınlaşmasına da ön ayak oldu. Mahremiyetinizi koruyacak ekstra adımlar atmadığınız sürece, yaptığınız telefon görüşmeleri, attığınız metin mesajları, epostalar, anlık mesajlaşmalar, VoIP aramaları, görüntülü sohbetler ve sosyal medya mesajlarınız gözetime karşı savunmasız kalıyor.

    Bilgisayarları ve telefonları işin içine dahil etmeden, başkalarıyla iletişim kurmanın en güvenli yolu yüz yüze görüşmektir. Ancak bunu yapmak her zaman mümkün değildir. Eğer bir ağ üzerinden yaptığınız görüşmelerinizin içeriğini korumak istiyorsanız, en güvenli ikinci seçeneğiniz görüşmelerinizde uçtan uca şifreleme kullanmaktır.

    Uçtan uca şifreleme nasıl çalışır?

    İki kişi (Akiko ve Boris) güvenli bir şekilde iletişim kurmak istediğinde, bu kişilerin kendilerine şifreli anahtar yaratmaları gerekir. Akiko, Boris'e mesaj yollamadan önce, Boris'in mesajın şifresini çözebilmesi için mesajını Boris'in anahtarına şifreler. Daha sonra şifrelenmiş bu mesajı internet üzerinden gönderir. Eğer bir kişi Akiko ve Boris'in görüşmelerini dinliyorsa (bu dinlemeyi yapan kişinin Akiko'nun mesaj göndermek için kullandığı servise erişimi olsa bile), bu kişi sadece şifrelenmiş veriyi görebilir ve Akiko ve Boris'in mesajlaşmalarını okuyamaz. Boris, Akiko'nun mesajını aldığında, Akiko'nun mesajını okunabilir bir hale dönüştürmek için, mesajın şifresini kendi anahtarıyla çözmelidir.

    Uçtan uca şifreleme kullanmak için belli bir efor sarfetmeniz gerekir. Ancak görüşen kişilerin, görüşürken kullandıkları platforma güvenme gereği duymadan, görüşmelerinin güvenli olduğunu doğrulamaları için başka bir seçenekleri yoktur. Skype gibi bazı servisler uçtan uca şifreleme kullandıklarını iddia ederler ancak bu gerçeği yansıtmaz. Uçtan uca şifrelemenin güvenli olabilmesi için, kullanıcıların mesajlarını şifrelerken kullandıkları anahtarın gerçekten konuştukları kişiye ait olup olmadığını doğrulaması gerekir. Eğer yazılım bu kontrol mekanizmasını içermiyorsa, yazılımın kullandığı bu şifreleme yazılımın ait olduğu şirket tarafından kolaylıkla çözülebilir (ya da bir devlet bu şirketi şifreyi çözmeye zorlayabilir).

    Anlık mesajlaşmalarınızı ve eposlarınızı uçtan uca şifreleme ile nasıl koruyabileceğinizi detaylı bir şekilde anlatan, Freedom of the Press Foundation'ın (Basın Özgürlüğü Vakfı) hazırladığı Encryption Works isimli rehbere gözatabilirsiniz. Konuyla ilgili bizim düzenlediğimiz SSD rehberlerine de bakabilirsiniz:

    Sesli aramalar

    Sabit hat ya da cep telefonu kullanarak bir arama yaptığınızda, konuşmalarınız uçtan uca şifrelenmez. Eğer cep telefonu kullanıyorsanız, cep telefonunuz ve baz istasyonu arasındaki iletişim zayıf bir şekilde şifrelenebilir. Ancak yaptığınız görüşme telefon ağları arasında taşınırken, konuşmalarınız, kullandığınız telefon operatörü ya da operatörünüzün üzerinde güç sahibi olan organizasyonların yapacağı dinlemeye karşı korunmasızdır. Sesli arama yaptığınızda uçtan uca şifreleme kullandığınızdan emin olmak istiyorsanız, bunu en kolay yolu VoIP kullanmaktır.

    Dikkatli olun! Skype ya da Google Hangouts gibi popüler olan VoIP servis sağlayıcıları, konuşmalarınızın dinlenmesini engellemek için şifreleme hizmeti sunar. Ancak bu, servis sağlayıcınızın konuşmalarınızı dinleyemeyeceği anlamına gelmez. Tehdit modelinize göre bu size bir problem yaratabilir, ya da yaratmayabilir.

    Uçtan uca şifreleme hizmeti sunan bazı VoIP servis sağlayıcıları şunlardır:

    Uçtan uca şifreleme kullanarak VoIP üzerinden bir görüşme gerçekleştirmek istiyorsanız, görüşeceğiniz kişiyle aynı (ya da uyumlu) yazılımı kullanmak zorundasınız.

    Metin mesajları

    Standart metin (SMS) mesajları uçtan uca şifrelemeyi desteklemez. Telefonunuzu kullanarak şifrelenmiş mesajlar göndermek istiyorsanız, metin mesajları göndermek yerine şifreleme kullanan anlık mesajlaşma yazılımlarından birini kullanmayı düşünün.



    Uçtan uca şifreleme kullanan anlık mesajlaşma servislerinin bazıları kendi protokollerini kullanır. Mesela, Signal kullanan Android ve iOS kullanıcıları, bu uygulamaları kullanarak birbirleriyle güvenli bir şekilde sohbet edebilirler. ChatSecure, XMPP kullanan herhangi bir ağ üzerindeki konuşmalarınızı OTR ile şifreleyen mobil bir uygulamadır, bu da çeşitli bağımsız anlık mesajlaşma servislerinden istediğinizi seçebileceğiniz anlamına gelir.

    Anlık mesajlaşmalar

    Off-the-Record (OTR), gerçek zamanlı mesajlaşmalar için yazılmış ve diğer servislerle birlikte kullanılabilen, uçtan uca şifreleme protokolüdür.

    OTR kullanan bazı anlık mesajlaşma yazılımları şunlardır:

    Eposta

    Eposta servis sağlayıcılarının büyük bir çoğunluğu, herhangi bir internet tarayıcısını kullanarak epostalarınıza ulaşmanız için size bir yol sunar. Bu servis sağlayıcılarının büyük bir çoğunluğu HTTPS hizmeti sunar. Kullandığınız eposta servis sağlayıcısının HTTPS kullanıp kullanmadığını öğrenmek için, eposta hesabınıza giriş yaptıktan sonra internet tarayıcınızın adres çubuğuna bakın ve adresin HTTPS ile başlayıp başlamadığını kontrol edin (örnek olarak https://mail.google.com adresini ziyaret edebilirsiniz).

    Eğer eposta servis sağlayıcınız HTTPS'i destekliyorsa, ancak bunu varsayılan olarak yapmıyorsa, adres satırındaki HTTP'yi HTTPS ile değiştirin ve sayfayı yenileyin. Mevcut olduğu durumlarda HTTPS kullandığınızdan emin olmak istiyorsanız, Chrome ve Firefox için hazırlanmış HTTPS Everywhere eklentisini kullanabilirsiniz.

    Varsayılan olarak HTTPS kullanan eposta servis sağlayıcılarının bazıları şunlardır:

    • Gmail
    • Riseup
    • Yahoo

    Bazı eposta servis sağlayıcıları, HTTPS'i varsayılan olarak kullanabilmeniz için ayarlar kısmından size bu seçeneği sunar. Bunu yapan en popüler eposta servis sağlayıcısı Hotmail'dir.

    Taşıma katmanı şifrelemesi ne işe yarar ve buna neden ihtiyaç duyabilirsiniz? SSL ya da TLS olarak da anılan HTTPS, iletişiminizi şifreleyerek aynı ağ üzerindeki insanların sizi izlemesine engel olur. Bir havaalanında ya da bir kafede, okulunuzdaki veya ofisinizdeki aynı Wi-Fi ağı üzerinden internete bağlandığınız insanlara ek olarak, internet servis sağlayıcınızda çalışan sistem yöneticileri, kötü niyetli bilgisayar korsanları, devletler ve güvenlik güçlerinin de sizi izlemesi HTTPS tarafından zorlaştırılır. Ziyaret ettiğiniz internet siteleri, yolladığınız epostalar, yazdığınız blog yazıları ve mesajlarınızın içeriği dahil olmak üzere, internet tarayıcınızı kullanarak yaptığınız işlemleri HTTPS yerine HTTP üzerinden gerçekleştirirseniz, sizi izlemek isteyen ve bilgilerinizi görmek isteyen saldırganının işini oldukça kolaylaştırmış olursunuz.

    HTTPS, internette dolaşırken kullanabileceğiniz ve herkese önerdiğimiz en temel şifreleme düzeyidir. Bu, araba kullanırken emniyet kemeri takmanız kadar temel bir işlemdir.

    Ancak HTTPS'in yapamadığı bazı şeyler de vardır. HTTPS kullanarak eposta gönderdiğiniz zaman, eposta servis sağlayıcınız yolladığınız epostanın şifrelenmemiş versiyonunu alır. Devletler ve güvenlik güçleri, bu bilgileri mahkemeden izin alarak elde edebilir. ABD merkezli eposta servis sağlayıcıları, kendilerine devlet tarafından bazı kullanıcı bilgilerinin verilmesi için bir talep geldiğinde, bu talepleri bilgileri istenen kullanıcıya yasalar izin verdiği müddetçe haber vereceklerini söylerler ancak bu isteğe bağlıdır ve birçok durumda servis sağlayıcılarının kullanıcılarını bu taleplerden haberdar etmesi yasalarca engellenir. Google, Yahoo, Microsoft gibi eposta servis sağlayıcıları, devletlerin bu taleplerini şeffaflık raporu yayınlayarak duyururlar. Bu raporda gelen talep sayısı, hangi ülkelerin bilgi talep ettiği ve raporu yayınlayan şirketin bu taleplerin kaçına cevap verdiği detaylandırılır.

    Eğer tehdit modeliniz devlet veya polisi içine alıyorsa, ya da başka bir sebepten ötürü eposta servis sağlayıcınızın epostalarınızın içeriğini üçüncü bir partiye vermediğinden emin olmak istiyorsanız, epostalarınızda uçtan uca şifrelemeyi kullanın.

    PGP (Pretty Good Privacy), eposlarınızı uçtan uca şifreleme için kullanabileceğiniz bir yazılımdır. PGP, doğru kullanıldığında görüşmeleriniz için oldukça güçlü bir koruma sağlar. Epostanız için PGP şifrelemesini nasıl yükleyeceğiniz ve kullanacağınıza dair detaylı bir bilgi istiyorsanız, aşağıdaki linklere gözatın:

    Uçtan uca şifreleme neleri yapamaz?

    Uçtan uca şifreleme iletişiminizin kendisini değil, sadece içeriğini korur. Epostanızın başlığı ve kiminle ne zaman iletişim kurduğunuz gibi bilgileri içeren metaverinizi (metadata) korumaz.

    Metaveri, görüşmeleriniz içeriği gizli olsa bile, görüşmelerinize dair birçok bilgiyi açığa çıkarabilir.

    Telefon görüşmelerinizin metaverisi, birçok özel ve hassas bilgiyi açığa çıkarır. Örnek verecek olursak:

    • Saat 2:24'te bir cinsel sohbet hattını aradığınız ve konuşmanızın 18 dakika sürdüğü bilinir ancak ne konuştuğunuz bilinmez.
    • Boğaziçi Köprüsü üzerinden intihar destek hattını aradığınız bilinir, ancak konuşmanızın içeriği gizli kalır.
    • HIV testi yapan bir kurumla konuştuğunuz ve bu görüşmeden sonra aynı saat içinde sağlık sigortası sağlayıcınızla görüştüğünüz bilinir, ancak bu kurumlarla ne konuştuğunuz bilinmez.
    • Bir kadın doktorunu aradığınız ve yarım saat konuştuğunuz, daha sonra da Aile Planlaması Derneği'ni aradığınız bilinir, ancak ne hakkında konuştuğunuzu kimse bilmez.

    Eğer cep telefonuyla bir arama yapıyorsanız, bulunduğunuz konumla alakalı bilgi de bir metaveridir. 2009 yilinda, Yeşil Parti üyesi politikacı Malte Spitz, kendisine ait olan telefon verilerini vermesi için Deutsche Telekom'a dava açtı ve kazandığı bu dava sonucunda elde ettiği verileri bir Alman gazetesiyle paylaştı. Bu verilerden üretilen görselleme, Spitz'in tüm hareketlerini gösteriyordu.

    Metaverilerinizi korumak için uçtan uca şifrelemeyle birlikte Tor gibi araçları kullanmak zorundasınız.

    Tor ve HTTPS'in metaverinizi ve görüşmelerinizin içeriğini olası saldırganlara karşı nasıl koruduğu konusunda bilgi almak istiyorsanız, Tor ve HTTPS isimli rehberimize gözatabilirsiniz.

    Son güncelleme: 
    12-01-2017
  • Güçlü Parolalar Yaratmak

    Parola Yöneticilerini Kullanarak Güçlü Parolalar Yaratmak

    Parolalarınızı tekrar kullanmak tarifi ve telafisi zor bir pratiktir. Kötü amaçlı bir kişinin, farklı servislerde kullandığınız parolanızı ele geçirmesi durumunda, bu kişi kullandığınız servislerin büyük bir çoğuna izniniz olmadan erişebilir. Bu yüzden güçlü, eşsiz, ve farklı parolalar kullanmak önemlidir.

    Neyse ki bu gibi durumlarda size yardımcı olacak parola yöneticileri mevcuttur. Parola yöneticileri, sizin hatırlamanıza gerek kalmadan farklı siteler üzerinde kullanabileceğiniz güçlü (ve değişik) parolalar oluşturan ve bunları güvenli bir şekilde saklayan yazılımlardır. Parola yöneticileri:

    • insaların tahmin etmesi zor olan güçlü parolalar yaratırlar.
    • birçok parolayı (ve güvenlik sorularının cevaplarını) güvenli bir şekilde saklarlar.

    • parolalarınızın tamamını ana parola (veya anahtar parolası) kullanarak korurlar.

    KeePassXC açık kaynak kodlu ve ücretsiz olan parola yöneticilerine bir örnektir. Bunu isterseniz masaüstü bilgisayarınızda kullanabilir, veya internet tarayıcınıza entegre edebilirsiniz. KeePassXC yaptığınız değişiklikleri otomatik olarak kaydetmez, bu yüzden yaptığınız ancak kaydetmediğiniz bir değişiklikten sonra uygulama çökerse (kapanırsa), yaptığınız değişiklikleri kaybetmiş olursunuz. Uygulamadaki bu özelliği isterseniz ayarlar menüsünden değiştirebilirsiniz.

    Bir parola yöneticisinin sizin için doğru bir araç olup olmadığını merak mı ediyorsunuz? Eğer güçlü bir ulus-devletin hedefi haline gelmişseniz, parola yöneticileri sizin için doğru olmayabilir.

    Unutmayın:

    • parola yöneticisi kullanmak tek bir hata noktası oluşturur.

    • parola yöneticileri düşmanlarınız için bariz bir hedeftir.

    • araştırmalara göre parola yöneticileri yazılım açıklarına sahip olabilir.

    Eğer pahalı dijital saldırılardan yana bir korkunuz varsa, daha düşük teknolojili yöntemlerden faydalanın. Güçlü parolaları parola yöneticilerinin yardımı olmadan, manüel olarak yaratabilir, bu parolaları bir kağıda yazabilir, ve bunları üzerinizde taşıyabilirsiniz.

    Bir dakika... Hani parolalarımızı bir kağıda yazmadan aklımızda tutmamız gerekiyordu? Parolalarınızı bir kağıda yazıp, bunları cüzdan gibi bir yerde taşırsanız, parolalarınızı kaybettiğinizde veya çaldırdığınızda en azından bundan haberiniz olur.

    Zar Kullanarak Güçlü Parolalar Yaratmak

    Hatırlamanız ve özellikle güçlü olması gereken birkaç parola vardır. Bunlar:

    İnsanların kendi başlarına parola yaratmalarıyla alakalı en büyük problemlerden biri, insanların öngörülemeyen, rastgele seçimler yapmak konusundaki zayıflığıdır. Güçlü ve akılda kalan parolalar yaratmanın yollarından biri, birzar ve kelime listesi kullanmaktır. Bu kelimelerin bütünü "anahtar parolanızı" oluşturur. "Anahtar parolası", normal parolalardan daha uzun ve daha güvenli olan parolalara verilen isimdir. Sürücü şifrelemesi ve parola yöneticiniz için en az altı kelimeden oluşan bir anahtar parolası oluşturmanızı tavsiye ediyoruz.

    Neden en az altı kelime? Kelimeleri seçmek için neden zar kullanmalıyım? Parolalarınız ne kadar uzun ve rastgele olursa, bilgisayarların ve insanların bunları tahmin etmesi de o kadar zor olur. Tahmin etmesi zor, uzun parolalara neden ihtiyaç olduğuyla alakalı daha detaylı bilgi almak istiyorsanız, linkteki açıklayıcı videomuzu izleyebilirsiniz..

    EFF'in hazırladığı kelime listesini kullanarak kendinize bir anahtar parolası oluşturun.

    Eğer bilgisayarınıza veya cihazınıza casus yazılım yüklendiyse, bu casus yazılım ana parolanızı girerken sizi izleyebilir ve parola yöneticinizin içeriğini çalabilir. Bu yüzden parola yöneticisi kullanırken bilgisayarınıza kötü amaçlı yazılımların yüklenmediğinden emin olmak oldukça önemlidir.

    "Güvenlik Soruları" Üzerine Bir Söz

    Websitelerinin parolanızı unuttuğunuzda kimliğinizi doğrulamak için sorduğu "güvenlik sorularına" karşı dikkatli olun. Bu tarz soruların çoğuna vereceğiniz dürüst cevaplar, azimli saldırganlar tarafından kamuya açık kaynaklardan kolayca bulunabilir ve bu sayede parolanızı tamamen atlatabilirler.

    Bunun yerine, kimsenin bilmediği kurgusal cevaplar verin. Örneğin, güvenlik sorusu aşağıdaki sorudan oluşuyorsa:

    "İlk evcil hayvanınızın ismi nedir?"

    Bu soruya vereceğiniz cevap, parola yöneticinizin rastgele yarattığı bir parola olabilir. Bu kurgusal cevapları parola yöneticinizde saklayabilirsiniz.

    Güvenlik sorularını cevapladığınız siteleri hatırlayın ve cevaplarınızı değiştirmeyi düşünün. Farklı websiteleri ve servisler üzerinde aynı parolayı veya güvenlik sorusu cevaplarını kullanmayın.

    Parolalarınızı Farklı Cihazlara Senkronize Etmek

    Birçok parola yöneticisi parola-senkronizasyonu özelliği ile parolalarınızı farklı cihazlarda kullanmanıza olanak sağlar. Bu, cihazlarınızın birini kullanarak parolalarınız üzerinde yaptığınız değişikliklerin, diğer cihazlarınıza otomatik olarak yansıtılması anlamına gelir.

    Parola yöneticileri, parolalarınızı "bulutta", yani uzak bir sunucuda şifreli olarak saklayabilir. Parolalarınıza ihtiyacınız olduğunda, bu yöneticiler parolalarınızı sunucudan temin eder ve şifrelerini çözerler. Parola saklamak ve senkronize etmek için kendi sunucularını kullanan parola yöneticilerinin kullanımı daha kolaydır, ancak bu yöneticiler saldırılara karşı biraz daha savunmasızdır. Eğer parolalarınız hem bilgisayarınızda, hem de bulutta saklanıyorsa, bir saldırganın parolalarınızı ele geçirmek için bilgisayarınıza sızmasına gerek yoktur. (Saldırganın hedefi ne olursa olsun, parola yöneticinizin ana parolasını tahmin etmelidir.)

    Eğer parolalarınızı bulutta saklamak konusunda tereddütleriniz varsa, bu özelliği devre dışı bırakıp parolalarınızı sadece bilgisayarınızda da saklayabilirsiniz.

    Her ihtimale karşı parola veritabanınızın yedeğini alın. Cihazınızı çaldırdığınız veya teknik bir problem sebebiyle veritabanınızı kaybettiğiniz durumlarda bu yedek size yardımcı olacaktır. Parola yöneticilerinin çoğunda dosya yedekleme özelliği vardır. İsterseniz bu özelliği, isterseniz de sıradan bir yedekleme uygulamasını kullanabilirsiniz.

    Çok Adımlı Doğrulama ve Tek Kullanımlık Parolalar

    Güçlü ve benzersiz parolalar kullanmak, hesaplarınızın kötü aktörler tarafından ele geçirilmesini zorlaştırır. Hesaplarınızı daha da güvenli hale getirmek istiyorsanız, iki adımlı doğrulamayı etkinleştirin.

    Bazı servisler, kullanıcıların hesaplarına giriş yapabilmeleri için iki bileşene (bir parola ve ikincil bir etmen) sahip olmalarını zorunlu kılar. Buna iki adımlı doğrulama (ya da 2FA, çok adımlı doğrulama, veya iki adımlı onaylama) denir. İkincil etmen, tek kullanımlık gizli bir kod veya mobil cihazınızdaki bir uygulamanın yarattığı bir numara olabilir.

    Mobil cihazınızla iki adımlı doğrulamadan faydalanmanın iki farklı yolu vardır:

    • telefonunuzla güvenlik kodları oluşturan bir uygulama kullanabilirsiniz. Google Authenticator ve Authy bu uygulamalara örnektir. Eğer bu uygulamaları kullanmak istemiyorsanız, YubiKey gibi bir cihaz da kullanabilirsiniz.
    • alternatif olarak giriş yapmaya çalıştığınız servis size güvenlik kodlarını SMS olarak gönderebilir.

    Eğer seçme şansınız varsa, iki adımlı doğrulama özelliğini SMS ile değil, telefonunuza yüklediğiniz uygulama ile kullanın. Bir saldırganın SMS mesajıyla alacağınız kodları kendisine yönlendirmesi, uygulamayı aynı kötü amaçla kullanmasına oranla daha kolaydır.

    Google gibi bazı servisler, tek kullanımlık parolalardan oluşan bir liste yaratmanıza izin verir. Bu parolalar yazıcıdan çıkarmanız veya bir kağıda yazmanız içindir. Bu parolaların her birini yalnızca bir kere kullanabilirsiniz. Eğer bu parolalardan birini giriş yapmak için yazarken çaldırırsanız, hırsız bu parolayı bir daha kullanamayacaktır.

    Eğer haberleşme ağınızı kendiniz veya organizasyonunuz yönetiyorsa, sistemlerinize girişte iki adımlı doğrulamayı etkinleştirecek ücretsiz yazılımlar bulunmaktadır. "Time-Based One-Time Passwords" (Zamana Dayalı Tek Kullanımlık Parolalar) ya da RFC 6238 ismindeki açık standartı entegre eden yazılımlara bakabilirsiniz.

    Bazı Durumlarda Parolanızı Beyan Etmeniz Gerekebilir

    Parolaları beyan etme ile ilgili olan yasalar ülkeden ülkeye değişiklik gösterir. Bazı ülkelerde bu talebe karşı yasal olarak mücadele etme şansınız varken, diğer ülkelerde yasal güvenceniz olmadan devlet sizi taleplerini yerine getirmeye zorlayabilir — hatta istenilen parolayı bildiğinizden şüphelenilirse, hapis tehlikesiyle bile karşı karşıya kalabilirsiniz. Fiziksel zarar tehdidi, bir kişiyi parolalarını söylemeye zorlayabilir. Buna ek olarak başka bir ülkeye seyahat ettiğinizde, gümrük görevlileri parolalarınızı beyan etmediğiniz veya cihazlarınızın parolalarını kaldırmayı reddettiğiniz için işlerinizi geciktirebilir, veya cihazlarınıza el koyabilir.

    Buna benzer durumlar için Amerika'ya gelirken veya giderken, cihazlarınızın güvenliğiyle ilgili tavsiyelerin yer aldığı bir rehber hazırladık. Diğer durumlarda, başkalarının sizi parolalarınızı vermeniz için nasıl zorlayabileceğini, ve bu taleplere karşı koymanın ne gibi sonuçlar doğurabileceğini detaylıca düşünmelisiniz.

    Son güncelleme: 
    29-10-2018
  • Verilerinizi Güvende Tutmak

    Eğer yanınızda bir akıllı telefon, dizüstü bilgisayar, ya da tablet varsa, yanınızda büyük miktarda veri taşıyorsunuz demektir. Sosyal kişi listeleriniz, gizli haberleşmeleriniz, kişisel dökümanlarınız ve fotoğraflarınız (ki bunların çoğu düzinelerce, hatta binlerce insanın gizli bilgilierini de içerir) dijital cihazlarınızda sakladığınız verilerden bazılarıdır. Bu kadar çok veriyi sakladığımız ve taşıdığımızdan ötürü, bunları güvende tutmak oldukça zordur - zira bu bilgilerin çalınması göreceli olarak kolaydır.

    Verilerinizi, ülke sınırlarını geçerken, sokakta, veya evinize giren bir hırsızın çalması sonucu kaybedebilirsiniz. Fiziksel cihazınızı kaybettiğinizde veya çaldırdığınızda, verilerinizi korumak için daha önce eklediğiniz şifre, PIN, veya el hareketleri gibi koruma yöntemleri işe yaramayabilir. Bu tarz kilitleri aşmak göreceli kolaydır, zira verileriniz cihazınızda kolayca okunmaya hazır bir halde tutulur. Cihazınızı ele geçirmiş bir kişinin verilerinizi kopyalamak veya incelemek için yapması gereken tek şey, cihazın hafızasına direkt olarak ulaşmaktır.

    Tüm bunlarla birlikte, cihazınızı ele geçirip içindeki tüm sırları ifşa etmek isteyen kişilerin işini zorlaştırabilirsiniz. Dosyalarınızı güvende tutmak için yapmanız gerekenleri aşağıda sizin için derledik.

    Verilerinizi Şifreleyin

    Şifreleme kullanırsanız, şifrelenmiş bilgileri çözmek için cihazınızı çalan kişi hem cihazın kendisine, hem de daha önce belirlediğiniz parolaya ihtiyaç duyar. Bu yüzden birkaç klasörü şifrelemek yerine, verilerinizin tamamını şifrelemek en iyi yöntemdir. Akıllı telefonların ve bilgisayarların çoğu, tam disk şifrelemesini bir seçenek olarak sunar.

    Akıllı telefonlar ve tabletler için:

    • Android cihazınızı ilk defa çalıştırdığınızda, "Security" (Güvenlik) başlığı altında cihaz size tam disk şifrelemesi seçeneğini sunar.
    • Apple cihazlarında (iPhone veya iPad gibi) bu seçenek "Data Protection" (Veri Koruması) başlığı altında sunulur ve cihazınız için bir parola belirlerseniz bu koruma otomatik olarak sağlanır.

    Bilgisayarlar için:

    • Apple, macOS işletim sistemiyle birlikte gelen FileVault isimli bir özellikle tam disk şifrelemesini destekler.  
    • Linux dağıtımları genellikle sisteminizi ilk kez kurduğunuzda tam disk şifreleme özelliğini size sunar ve önerir.
    • Windows, Vista ve sonraki sürümler için BitLocker isimli bir uygulama ile tam disk şifrelemesini destekler.

    BitLocker isimli uygulamanın kodu kapalı ve firmaya özeldir. Bu yüzden bağımsız araştırmacıların bu uygulamanın güvenliği hakkında net bir şey söylemesi oldukça güçtür. BitLocker kullanmak, Microsoft'a güvenmenizi gerektirir. Eğer BitLocker veya Windows'taki bir güvenlik açığından faydalanabilecek ve bunları önceden bilmesi mümkün olan bir düşmandan çekiniyorsanız, GNU/Linux veya BSD gibi açık kaynak kodlu alternatifleri kullanmayı düşünün. Açık kaynak kodlu alternatifleri kullanmaktan yana bir karar alırsanız, Tails ya da Qubes OS gibi güvenlik saldırılarına karşı özellikle güçlendirilmiş dağıtımları kullanabilirsiniz. Eğer herhangi bir sebepten ötürü Windows kullanmak zorundaysanız, BitLocker'a alternatif olarak Veracrypt ismindeki uygulamayı kullanarak da sabit sürücünüzü şifreleyebilirsiniz.

    Unutmayın: Kullandığınız cihaz veya uygulama ne olursa olsun, şifrelemeniz ancak kullandığınız parola kadar güçlüdür. Eğer bir kişi cihazınızı ele geçirdiyse, bu kişinin parolanızı tahmin etmesi için elinde istemediği kadar zaman vardır. Güçlü ve akılda kalıcı şifreler yaratmanın en etkili yollarından biri "dice" (zar) ile kelime listesinden rastgele kelimeler seçmektir. Birlikte, bu kelimeler passphrase'inizi oluşturur. Passphrase, normal bir paroladan daha uzun olan, farklı kelimelerin birleştirerek oluşturduğu uzun bir paroladır. Güçlü parolalar yaratmak için daha detaylı bir bilgi almak istiyorsanız Güçlü Parolalar Yaratmak isimli rehberimize göz atın.

    Akıllı telefonlarınızda veya mobil cihazlarınızda kullanmak için uzun bir şifre yaratmanız gerçekçi olmayabilir. Şifreleme, cihazınıza karşı sıradan erişimleri engellemek için faydalı olsa da, gerçekten gizli kalması gereken verilerinizi fiziksel olarak gizli tutarak, veya bunları daha güvenli bir cihazda saklayarak düşmanlarınızdan koruyabilirsiniz.

    Güvenli bir Cihaz Yaratın

    Güvenli bir ortam yaratmak ve bunu korumak zor olabilir. En iyi ihtimalle parolalarınızı, alışkanlıklarınızı, hatta ana bilgisayarınızda veya cihazınıda kullandığınız uygulamaları değiştirmeniz gerekir. En kötü ihtimalle ise bilgi güvenliğiniz veya güvenlik uygulamalarınızın doğruluğu hakkında sürekli düşünür ve endişe duyarsınız. Yaşadığınız problemlerin farkında olsanız bile, haberleşmeniz gereken insanların güvenli olmayan uygulamalar kullanmasından ötürü, kendiniz için doğru olan uygulamaları kullanma şansına sahip olamayabilirsiniz. Örneğin, bir iş arkadaşınız, yolladığı e-posta ekini açmanızı isteyebilir. Düşmanlarınızın bu e-postayı arkadaşınızdan geliyormuş gibi göstererek size kötü amaçlı yazılım yollayabileceklerini bilmenize rağmen, sosyal sebeplerden ötürü arkadaşınızın isteğini yerine getirebilirsiniz.

    Peki bu sorunların çözümü nedir? Önemli verilerinizi veya haberleşmelerinizi daha güvenli bir cihazda koruma altına almayı düşünebilirsiniz. Güvenli olarak belirlediğiniz bu cihazda, gizli bilgilerinizin asli kopyasını saklayabilirsiniz. Böyle bir karar verirseniz, bu cihazınızı sürekli değil, zaman zaman kullanın ve cihaz üzerinde yapacağınız işlemleri yapmadan önce iki defa düşünün. Eğer bir dosya eki açmak ya da güvenli olmayan bir uygulama çalıştırmak istiyorsanız, başka bir cihaz kullanın.

    Ek bir güvenli bilgisayara sahip olmak sandığınız kadar pahalı bir seçenek olmayabilir. Nadiren kullanılan ve yalnızca birkaç uygulama çalıştıran bir bilgisayarın hızlı veya yeni olması şart değildir. Modern bir dizüstü bilgisayara ya da telefona vereceğiniz paranın küçük bir bölümüyle eski bir netbook alabilirsiniz. Ayrıca eski cihazlar, yeni cihazlara nazaran Tails gibi güvenli uygulamalarıyla daha uyumludur, bu da sizin avantajınızadır. Ancak bazı tavsiyeler her zaman geçerlidir. Cihazınız için yayınlanan yazılım güncellemelerini kurarak cihazınızı her zaman güncel tutun. Bu güncellemeler genellikle saldırıların faydalanabileceği eski kod tabanındaki güvenlik açıklarını kapatır. Eski olan bazı da işletim sistemlerinin güvenlik için bile olsa artık desteklenmeyebileceğini ise unutmayın.

    Yeni Bir Bilgisayar Kurarken, Bilgisayarımın Güvenli Olması İçin Neler Yapabilirim?

    1. Cihazını saklı tutun ve nerede sakladığınızı kimseye söylemeyin. Bilgisayarınıza birinin erişmesi durumunda bu durumdan haberdar olabileceğiniz, kilitli dolap muadili bir yer seçmeye özen gösterin.
    2. Bilgisayarınızın sabit sürücüsünü güçlü bir parolayla şifreleyin. Böylece bilgisayarınız çalınsa bile verilerinizin parolanız olmadan okunamayacağından emin olursunuz.
    3. Tails benzeri güvenlik ve gizlilik merkezli bir işletim sistemi kullanın. Sıradan yaşantınızda açık kaynak kodlu bir işletim sistemi kullanmanız mümkün olmayabilir, ancak gizli e-postalarınızı veya anlık mesajlaşmalarınızı saklamak, düzenlemek, ya da yazmak için en güçlü güvenlik ayarları varsayılan olarak etkinleştirilmiş Tails'i kullanabilirsiniz.
    4. Cihazınızı çevrimdışı bırakın. Sürpriz olmayan bir şekilde, internet saldırılarına veya çevrimiçi takibe karşı alabileceğiniz en iyi önlem internete hiçbir zaman bağlanmamaktır. Güvenli cihazınızın yerel ya da WiFi ağlarına bağlanmadığından emin olabilir, ve cihazınıza yalnızca fiziksel medyalar aracılığıyla (DVD, USB sürücüsü gibi) istediğiniz dosyaları kopyalayabilirsiniz. Ağ güvenliğinde, bilgisayarınız ve geri kalan her şeyle aranızda oluşturduğunuz bu alana "air gap" (hava boşluğu) adı verilir. Her ne kadar ekstrem bir çözüm olsa da, nadiren eriştiğiniz önemli bilgilerinizi (şifreleme anahtarı, parola listesi, ya da başkasının size emanet ettiği gizli bilgiler gibi) bu şekilde koruyabilirsiniz. Birçok durumda ayrı bir bilgisayar yerine gizli bir sabit sürücü almayı da düşünebilirsiniz. Örneğin, şifrelenmiş ve iyice saklanmış bir USB anahtarı, internet bağlantısı kesilmiş ayrı bir bilgisayar kadar güvenlidir (ya da değildir).
    5. Günlük kullandığınız internet hesaplarınıza giriş yapmayın. Güvenli bilgisayarınızı kullanarak internete girmeye karar verirseniz, sadece güvenli bilgisayarınız üzerinde kullanacağınız hesaplar yaratın ve IP adresinizi bu servislerden gizli tutmak için Tor kullanın (Tor için Linux, macOS, ve Windows rehberlerine bağlantılara tıklayarak ulaşabilirsiniz). Eğer bir kişi kötü amaçlı yazılım kullanarak kimliğinizi spesifik olarak hedef alıyorsa, ya da yalnızca haberleşmelerinizi dinliyorsa, farklı hesap ve Tor kullanmak kimliğiniz ve bu makine arasındaki bağlantıyı kırmaya yardımcı olabilir.

    Bilgilerinizi güvenli bir şekilde saklayacak, ayrı olarak kullandığınız güvenli bir bilgisayar her ne kadar önemli olsa da, aynı zamanda düşmanlarınız için bariz bir hedef de yaratır. Örneğin bilgisayarınıza erişimi herhangi bir sebeple kaybetmeniz durumunda verilerinizin tek kopyasını da kaybetmiş olursunuz. Eğer düşmanınızın verilerinizin tamamını kaybetmenizden faydalanabileceğini düşünüyorsanız, verilerinizi tuttuğunuz bilgisayarınız ne kadar güvenli olursa olsun bunları tek bir makinede saklamayın. Verilerinizin şifreli bir kopyasını oluşturun ve başka bir yere yedekleyin.

    Güvenli cihaz fikrine alternatif bir düşünce de güvensiz bir cihazdır: yani yalnızca tehlikeli bir yere gittiğinizde veya riskli bir operasyona kalkıştığınızda kullanacağınız bir cihaz. Örneğin birçok gazeteci ve aktivist, yolculuklarında yanlarına ucuz bir netbook alırlar. Bu bilgisayar bu kişilerin belgelerini, rehberlerini, ya da e-posta bilgilerini saklamaz; böylece bilgisayara el konulması veya incelenmesi durumunda oluşabilecek riskler minimalize edilir. Aynı strateji mobil cihazlar için de geçerlidir. Eğer sıradan yaşantınızda akıllı bir telefon kullanıyorsanız, yalnızca yolculuklarınızda kullanabileceğiniz ucuz bir kullan-at telefon ya da burner telefon kullanabilirsiniz.

    Son güncelleme: 
    02-11-2018
  • Şifreleme Hakkında Bilinmesi Gerekenler

    "Şifreleme" terimini daha önce çeşitli bağlamlarda, ve başka kelimelerle bağlantılı olarak duymuş olabilirsiniz. Şifreleme genel anlamıyla bir mesajın, o mesajı çözmek için (decrypt) bir anahtara sahip olan kişi veya kişiler haricinde okunmasını engelleyen matematiksel işleme verilen isimdir.

    İnsanlar, tarih boyunca yalnızca istedikleri kişinin okumasını umdukları mesajları şifreleme yöntemini kullanarak göndermişlerdir. Günümüzde ise bu şifreleme işlemini bizim yerimize yapabilen bilgisayarlara sahibiz. Bugün gizli mesajlaşmanın da ötesine giden dijital şifreleme teknolojisi, mesajların yazarını doğrulamak gibi özel amaçlar için de kullanılabiliyor.

    Doğru kullanıldığında kırılması neredeyse imkansız olan şifreleme teknolojisi, elimizdeki bilgileri kötü aktörlerden, devletlerden, ve servis sağlayıcılarından korumamız için günümüzde sahip olduğumuz en önemli araçlardan biri.

    Bu rehberde, şifrelemenin kullanıldığı iki büyük yönteme göz atacağız. Bunlardan biri saklanan verilerin karıştırılması, diğeri ise aktarım anında uygulanan şifreleme.

    Saklanan Verilerin Şifrelenmesi

    "Data at rest" (Hareketsiz veri), herhangi bir yerde saklanan veri anlamına gelir. Bu verilerin saklandığı yer, cep telefonu, dizüstü bilgisayar, sunucu, veya bir harici sürücü olabilir. Veri saklanıyor durumdayken, bir yerden başka bir yere aktarılmaz.

    Saklanan veriyi şifreli bir şekilde korumanın yollarından biri tam disk şifrelemesidir (buna bazen "cihaz şifrelemesi" de denir). Tam disk şifrelemesi, cihazda saklanan bilgilerin tamamını şifreleyerek, bu bilgileri bir anahtar parolası (passphrase) ya da başka bir kimlik kontrolü yöntemiyle korur. Mobil bir cihazda ya da dizüstü bir bilgisayarda, bu yöntem genellikle cihaz kilit ekranı görüntüsüne sahiptir. Tam disk şifrelemesini çözmek için bir parolaya (passcode), anahtar parolasına, ya da parmak izine ihtiyaç duyarsınız. Ancak cihazınızı kilitlemek, cihazınızda tam disk şifrelemesi özelliğinin etkin olduğu anlamına gelmeyebilir.

         
    Şifre korumalı "kilit" ekranına sahip bir akıllı telefon ve dizüstü bilgisayar.

    İşletim sisteminizin tam disk şifrelemesini nasıl etkinleştirdiğini ve yönettiğini kontrol edin. Bazı işletim sistemlerinde tam disk şifrelemesi varsayılan olarak etkinleştirilmiştir, ancak bu diğer işletim sistemleri için doğru olmayabilir. Bu da herhangi birinin cihazınıdaki şifrelemeyi kırmakla uğraşmadan, yalnızca cihazınızın kilidini aşarak verilerinize erişebileceği anlamına gelir. Bazı sistemler, cihazınızda tam disk şifrelemesi kullanıyor olsanız bile çeşitli bilgileri şifrelenmemiş şekilde bellekte saklar. Bellek (RAM) geçici bir sürücüdür, bu yüzden cihazınız kapandığına bellekteki bilgileri okumak genellikle mümkün değildir. Ancak, sofistike bir saldırganın soğuk önyükleme saldırısı ile bellekteki bilgileri elde edebilmesi teknik olarak mümkündür.

    Tam disk şifrelemesi, verilerinizi cihazınıza fiziksel erişimi olan insanlardan korur. Verilerinizi ev arkadaşlarınızdan, iş arkadaşlarınız ya da patronunuzdan, ailenizden, partnerinizden, polisten, ya da diğer yasa uygulayıcılarından korumak istiyorsanız, tam disk şifrelemesi faydalı bir araçtır. Cihazınızı çaldırdığınız ya da kaybettiğiniz durumlarda da tam disk şifrelemesi verilerinizi korur.

    Saklanan veriyi şifrelemenin başka yolları da vardır. Bilgisayarınızdaki veya başka bir sürücüdeki bireysel dosyaları şifreleyen "dosya şifrelemesi" (file encryption) bu yollardan biridir. Bir diğer yol ise, bir cihazdaki belli bir depolama alanını şifreleyen "sürücü şifrelemesi"dir (disk encryption).

    Yukarıda bahsedilen saklanan veriyi şifreleme yöntemlerini birlikte kullanabilirsiniz. Tıbbi belgelerinizi saklamak istediğinizi varsayalım. İlk önce dosya şifrelemesi kullanarak bu belgeleri bireysel olarak şifreleyebilirsiniz. Daha sonra sürücü şifrelemesi kullanarak bu dosyaların bulunduğu sürücü bölümünü şifreleyebilirsiniz. Son olarak, cihazınızda tam disk şifrelemesini etkinleştirdiyseniz, tıbbi belgelerinizle birlikte sürücünüzde bulunan diğer tüm dosyaları, işletim sisteminin kendi dosyaları da dahil olmak üzere korumaya alabilirsiniz.

    Gözetim Meşru Müdafaa'da, cihazlarınızda şifrelemeyi nasıl etkinleştirebileceğinize dair birkaç rehber yazdık. Saklanan verilerin şifrelenmesiyle ilgili detaylı bilgiler internette ve SSD üzerinde mevcut olsa da, bu bilgilerin sürekli değiştiğini, ve rehberlerin güncelliklerini yitirebileceğini unutmayın.

    Aktarılan Verinin Şifrelenmesi

    İnternet servis sağlayıcılarının varsayılan olarak sık sık kullandıkları verileri şifresiz aktarma yöntemini grafikte görebilirsiniz. Sol taraftaki telefon, sağ taraftaki telefona yeşil, şifresiz bir mesaj gönderiyor. Aktarma sırasında mesaj önce şirket sunucularına, daha sonra da bir diğer baz istasyonuna yollanıyor. Şifresiz mesajın ulaştığı bilgisayar ve ağların tamamı, mesajın içeriğini görebiliyor. Aktarım sonunda diğer uçtaki telefon şifresiz "Hello" (Merhaba) mesajını alıyor.

    "Aktarılan veri" (data in transit) bir ağdan diğer ağa hareket eden bilgilere verilen isimdir. Örneğin, bir mesajlaşma uygulamasını kullanarak gönderdiğiniz mesajlar, önce servisini kullandığınız şirketin sunucularına, sonra da alıcının cihazına gider. İnternette dolaşmak aktarılan verilere bir başka örnektir: bir siteyi ziyaret ettiğinizde, sayfada gösterilen veriler sitenin sunucusundan bilgisayarınıza aktarılır.

    Popüler mesajlaşma uygulamalarının bazıları, kaybolan mesajlar gibi mesajlarınızı koruma görüntüsü veren farklı özellikler sunar. Ancak bir uygulamanın güvenli hissi veriyor olması, bu uygulamanın güvenli olduğu anlamına gelmez. Mesajınızı ileten bilgisayarlar, aktarım sırasında mesajınızın içeriğine göz atabilir.

    Konuştuğunuz kişiyle yaptığınız haberleşmenin şifreli olduğunu doğrulamak kadar, şifreleme yöntemini doğrulamak da önemlidir.

    Aktarılan veriyi şifrelemenin iki yolu vardır: aktarım katmanı şifrelemesi (transport-layer encryption) ve uçtan uca şifreleme (end-to-end encryption).

    Aktarım Katmanı Şifrelemesi

    Aktarım katmanı şifrelemesini grafikte görebilirsiniz. Sol taraftaki telefon yeşil, şifrelenmemiş bir mesaj ("Hello") gönderiyor. Baz istasyonuna aktarıldığı sırada şifrelenen bu mesajın şifresi, ortada bulunan şirket sunucularına ulaştığında çözülüyor. Mesaj, şirket sunucularından çıkarken tekrar şifreleniyor ve bir diğer baz istasyonuna gönderiliyor. Aktarım sonunda alıcıya ait cihaz, şifrelenmiş mesajın şifresini çözüyor ve mesaj okunabilir hale geliyor.

    Aktarım katmanı şifrelemesi, ya da diğer adıyla aktarım katmanı güvenliği (TLS), mesajlarınızı kullandığınız uygulamanın sunucularına aktarılırken ve uygulamanın sunucularından alıcıya aktarımı sırasında şifreler. Aktarım işleminin ortasında bulunan mesajlaşma servis sağlayıcısı, gezdiğiniz internet sitesi, ya da kullandığınız uygulama, mesajlarınızın şifresiz kopyalarını okuyabilir. Şirket sunucuları tarafından okunabilen (ve saklanabilen) mesajlarınız, şirketin yaşayabileceği veri sızıntılarına ya da kullanıcı bilgilerine yönelik yasal taleplere karşı korunmasızdır.

    Aktarım katmanı şifrelemesine bir örnek: HTTPS

    Tarayıcının adres satırındaki ssd.eff.org adresinin solundaki “https://” yazısı ve yeşil kilidi fark ettiniz mi? HTTPS, internette sıklıkla karşılaştığımız aktarım katmanı şifrelemesine bir örnektir. HTTPS, korunmasız olan HTTP'ye göre daha güvenlidir. Neden? Çünkü HTTPS kullanan siteleri gezdiğinizde, girdiğiniz bilgiler (mesajlarınız, aramalarınız, kredi kartı numaraları, giriş bilgileri vs.) site tarafından görülse de, internet ağınızı izleyen aktörler tarafından görülemez.

    Ağınızı izleyen ya da gezdiğiniz siteleri takip etmeye çalışan kişilere karşı HTTP bir koruma sağlamaz. HTTPS ise gezdiğiniz sitelerin belli sayfalarını bu aktörlerden gizler. HTTPS kullanan bir siteyi gezdiğinizde, ağınızı izleyen eden bir aktör, yalnızca taksimden (/) önceki adresi görebilir. Yani HTTPS kullanarak “https://ssd.eff.org/tr/module/verilerinizi-g%C3%BCvende-tutmak” adresini ziyaret ederseniz, ağınızı izleyen eden aktörler yalnızca “https://ssd.eff.org” adresini ziyaret ettiğinizi görebilir.

    İnternet şu anda tüm sitelerin HTTPS kullanmaya başladığı büyük bir dönemden geçiyor. Bu geçişin arkasındaki neden HTTPS'nin güvenli olmasıdır. HTTP kullanan siteler ise, takip edilme, içerik değiştirme, çerez çalma, kullanıcı adı ve şifre çalma, hedefli sansür, ve diğer birçok probleme karşı korunmasızdır.

    HTTPS'den daha yüksek koruma almak için, EFF tarafından geliştirilen bir tarayıcı eklentisi olan HTTPS Everywhere'i kullanmanızı tavsiye ediyoruz. HTTPS Everywhere eklentisi, bildiğimiz bir sitenin HTTPS mevcutken HTTP kullanması durumunda, aynı site üzerindeki sayfaların otomatik olarak HTTPS'ye yükseltilmesini sağlar.

    Bir servisin HTTPS kullanıyor olması, bu servisin kullanıcılarının gizliliğini koruduğu anlamına gelmez. Örneğin HTTPS kullanan bir servis, çerezler aracılığıyla kullanıcılarını takip edebilir, ya da kötü amaçlı yazılımlar servis edebilir.

    Aktarım katmanı şifrelemesine bir örnek: VPN

    Sanal Özel Ağlar (VPN), aktarım katmanı şifrelemesine bir başka örnektir. VPN olmadan, internet trafiğinizi internet servis sağlayıcınız aktarır. VPN kullandığınızda ise, internet trafiğiniz her ne kadar internet servis sağlayıcınız tarafından aktarılsa da, bu trafik sizin ve VPN sağlayıcınız arasında şifrelenir. Eğer bir kişi internet trafiğinizi izlemek amacıyla yerel ağınıza sızarsa, bu kişi bir VPN'e bağlandığınızı görebilir, ancak gezdiğiniz siteleri göremez. İnternet servis sağlayıcınız, kullandığınız VPN servisini tespit edebilir.

    VPN kullandığınızda internet trafiğiniz internet servis sağlayıcınız tarafından izlenemez, ancak kullandığınız VPN servisi tarafından izlenebilir. Kullandığınız VPN servisi, internet trafiğinizi izleyebilir, saklayabilir, ya da modifiye edebilir. VPN kullanmak, güveninizi internet servis sağlayıcısından, VPN sağlayıcısına kaydırır. Bu yüzden VPN servisinize güvendiğinizden emin olmalısınız.

    Doğru VPN servisini seçmek ve VPN'ler hakkında genel bir bilgi edinmek için, konuyla ilgili rehberimizi okuyabilirsiniz.

    Uçtan Uca Şifreleme

    Grafikte uçtan uca şifrelemenin nasıl çalıştığı gösterilmiştir. Sol taraftaki telefon yeşil, şifrelenmemiş bir mesaj gönderiyor. Yazıldıktan sonra şifrelenen bu mesaj, önce baz istasyonuna, sonra da şirket sunucularına gönderiliyor. Sonunda alıcının telefonuna ulaşan ve burada çözülen mesaj okunabilir hale geliyor. Aktarım katmanı şifrelemesinin aksine, uçtan uca şifrelemede internet servis sağlayıcınızın şifrelenmiş mesajlarınızı çözmesi mümkün değildir. Bu şekilde gönderilen mesajların şifrelerini yalnızca uç noktadaki (şifreli mesajı gönderen ve alan) cihazlar çözebilir.  

    Uçtan uca şifreleme, göndericiden alıcıya aktarılana kadar mesajlarınızı korur. Uçtan uca şifrelemede veri, orijinal göndereni tarafından (ilk uç) şifreli bir mesaja çevrilir ve bu mesajın şifresi alıcı tarafından (ikinci uç) çözülür. Kullandığınız uygulama dahil olmak üzere, aradaki hiçbir etken aktivitelerinizi izleyemez ya da "kulak kabartamaz".

    Cihazınızla bir uygulama aracılığıyla uçtan uca şifreli mesajlara erişmek, bu mesajların uygulama geliştiricisi şirket tarafından okunamayacağı anlamına gelir. Şifrelemeyi tasarlayan ve uygulayan kişilerin veya kurumların kıramaması, iyi şifrelemenin temel özelliklerinden biridir.

    Gözetim Meşru Müdafaa'da, uçtan uca şifreleme araçlarının kullanılmasıyla ilgili Başkalarıyla Haberleşmek başlığı altında topladığımız birkaç rehber hazırladık. Detaylı bilgiler için bu rehberlere göz atabilirsiniz.

    Aktarım Katmanı Şifrelemesi mi, Uçtan Uca Şifreleme mi?

    Bu kararı vermeden kendinize sormanız gereken oldukça önemli sorular vardır: Kullandığınız servise ya da uygulamaya güveniyor musunuz? Bu sistemlerin teknik altyapısına güveniyor musunuz? Kullanıcı bilgileri için gelebilecek yasal taleplere karşı bu servislerin kullanıcılarını savunacağına inanıyor musunuz?

    Eğer bu soruların herhangi birine cevabınız "hayır" ise, uçtan uca şifreleme kullanmalısınız. Sorulara cevabınız "evet" ise, aktarım katmanı şifrelemesini destekleyen bir servis sizin için yeterli olabilir; ancak mümkün olduğu müddetçe uçtan uca şifreleme kullanan servisleri tercih etmek genellikle daha iyi bir karardır.

     

    Aşağıda, uçtan uca şifrelemenin ve aktarım katmanı şifrelemesinin taşınan veriler için nasıl çalıştığını gösteren bir animasyon hazırladık. Sol tarafta uçtan uca şifreleme kullanan bir sohbet uygulaması aracı ("OTR" yani "Off-the-Record" olarak da bilinen şifreli anlık mesajlaşma protokolünü kullanan bir sohbet penceresi) var. Sağ tarafta ise aktarım katmanı şifrelemesi kullanan bir sohbet uygulaması var (Google Hangouts'un websitesinde kullandığı HTTPS ile şifrelenmiş).

    Animasyonda, birinci kullanıcı mesajını Google Hangouts sohbet penceresine yazıyor:

    “Hi! This is not end-to-end encrypted. Google can see our conversation.” (Merhaba! Bu mesaj uçtan uca şifreli değil. Google mesajlarımızı okuyabilir.)

    Kullanıcının ekranında aynı zamanda Off-the-Record (OTR) sohbet penceresi açık, ve bu pencereden "private conversation" (gizli konuşmalar) özelliğini etkinleştiriyor. OTR sohbet penceresindeki açıklayıcı yazıda şu yazıyor:

    “Attempting to start a private conversation with [gmail account]. Private conversation with [gmail account] has started. However, their identity has not been verified.” ([Gmail kullanıcısı] ile gizli sohbet başlatmaya çalışıyorsunuz. [Gmail kullanıcısı] ile gizli sohbetiniz başladı. Ancak kullanıcının kimliği doğrulanmadı.)

    Aynı zamanda, Google Hangouts penceresinde kullanıcıların Off-the-Record (OTR) uçtan uca şifrelemesini kullandığını gösteren şifreli karmaşık metin alışverişi gerçekleşiyor. OTR penceresinden yazılan her mesaj Google Hangouts penceresinde de gözüküyor, ancak bu metinler okunabilir bir şekilde paylaşılmıyor. İkinci kullanıcı OTR penceresinden bir mesaj gönderiyor:

    “It looks like gibberish to anyone else.” (Bu mesaj başkalarına anlamsız gözüküyor.)

    Birinci kullanıcı cevap veriyor:

    “Yup, it looks like nonsense.” (Aynen, mesajlar manasız gözüküyor.)

    Birinci kullanıcının tepkisine istinaden ikinci kullanıcı, birinci kullanıcıya cevap olarak gülücük yolluyor.

    Aktarım Sırasında Şifrelemenin İşe Yaramadığı Yerler

    Şifreleme her derde deva değildir. Mesajlarınızı şifrelenmiş bir şekilde gönderiyor olsanız bile, konuştuğunuz kişi bu mesajların şifresini çözecektir. Uç noktalarınızın (haberleşmek için kullandığınız cihazlar) güvenliği ihlal edildiyse, bu cihazlar üzerindeki şifrelenmiş yazışmaların güvenliği de ihlal edilebilir. Buna ek olarak, yazıştığınız kişi yazışmalarınızın ekran görüntüsünü alabilir, ya da konuşma kayıtlarını (log'larını) saklayabilir.

    Şifrelenmiş yazışmalarınızın yedeğini otomatik olarak "bulutta" (yani size ait olmayan başka bilgisayarlarda) saklıyorsanız, yedeklerinizin de şifrelenmiş olduğuna dikkat edin. Bu şekilde yazışmalarınızın sadece aktarım sırasında değil, hareketsiz halde de (yani saklanırken) şifrelenmiş olduğundan emin olursunuz.

    Verilerinizi aktarım halindeyken şifrelerseniz, yazışmalarınızın içeriği korunur, ancak metaveri şifrelenmez. Örneğin, mesajlarınızın içeriğini şifreleyerek bunları başkalarının anlamayacağı şekilde değiştirebilirsiniz, ancak bu şifreleme:

    • kiminle yazıştığınızı,
    • yazışırken şifreleme kullandığınızı,
    • lokasyon, zaman, ve yazışma süresi gibi diğer bilgileri koruma altına almaz.

    Gözetim konusunda daha büyük endişelere sahip olan (ağlarının aktif olarak izlendiğini düşünen) kişiler, şifrelemeyi yalnızca hassas zamanlarda ya da belli aktivitelerde bulunurken kullanırlarsa kendilerini riske atabilirler. Neden? Çünkü şifrelemeyi yalnızca arada sırada kullanırsanız, metaverileriniz önemli tarihlerle ya da saatlerle ilişkilendirilebilir. Bu yüzden, sıradan işlemler için bile olsa şifrelemeyi sürekli kullanmaya çalışın.

    Aynı zamanda, şifrelemeyi bir ağ üzerinde kullanırsanız, metaverileriniz şüpheli gözükebilir. Şifreleme destekçilerinin herkesi şifreleme araçlarını kullanmaya cesaretlendirmesinin arkasındaki sebep de budur: şifrelemenin daha çok kullanılması, onu normalleştirir.

    Özet

    Verileri hem aktarırken, hem de saklarken şifrelemek daha kapsamlı bir koruma sağlayacaktır. Güvenlik uzmanlarının "tam koruma" derken kastettikleri şey budur. Verilerinizi farklı yöntemlerden yararlanarak korumak, daha komple bir güvenlik çözümüdür.

    Örneğin, şifrelenmemiş mesajlarınızı (aktarım halindeki veriler şifrelenmemiş), şifrelenmiş bir cihazla gönderirseniz (saklanan veriler şifrelenmiş), mesajlarınız ağ takipçilerine, devletlere, servis sağlayıcılarına, ya da teknik olarak yetkin düşmanlara karşı korunmayacaktır. Ancak cihazınızda sakladığınız veriler, cihaza fiziksel erişimi olan, ancak parolanızı bilmeyen bir saldırgana karşı korunacaktır.

    Buna karşılık, uçtan uca şifrelenmiş mesajlarınızı (aktarım halinde şifrelenmiş), şifrelenmemiş bir cihazla gönderirseniz (saklanan veriler şifrelenmemiş), ağ üzerinde mesajlarınızı başkalarının okunması mümkün olmayacaktır. Ancak cihazınızda sakladığınız veriler, cihaza fiziksel erişimi olan bir saldırgana karşı korunmayacaktır.

    Örneklerle de görüldüğü gibi, verilerinizi hem aktarırken, hem de saklarken şifrelemek, verilerinizi maruz kalabilecekleri birbirinden farklı saldırılara karşı daha kapsamlı bir şekilde koruyacaktır.

    Şifrelemenin nasıl kullanılması gerektiğiyle ilgili daha detaylı bilgiler edinmek istiyorsanız, konuyla ilgili hazırladığımız rehbere göz atabilirsiniz.

    Son güncelleme: 
    24-11-2018
Next:
JavaScript license information