Güvenlik Satın Alınan Bir Şey Değil, Bir Süreçtir

Kullandığınız yazılımı değiştirmeden ya da yeni araçlar satın almadan önce unutmamanız gereken ilk şey, hiçbir aracın sizi gözetime karşı tamamen koruyamayacağıdır. Şifreleme yazılımı kullanmak, genellikle başkalarının haberleşmelerinizi izlemesini ya da bilgisayarınızdaki dosyaları araştırmasını zorlaştırır. Ancak dijital güvenliğinize karşı yapılan saldırılar, her zaman güvenlik uygulamalarınızın en zayıf noktasını arar. Yeni bir güvenli araç kullandığınızda, bu aracı kullanmanın başkasının sizi hedef alırken kullanabileceği diğer yolları etkileyip etkilemediğini düşünmelisiniz. Örnek olarak, telefonunuzun gizliliğinin ihlal edilmiş olabileceği ihtimaline karşı, bir kişiyle konuşmak için güvenli bir mesajlaşma programı kullanmaya karar verirseniz, bu programı kullandığınız gerçeği düşmanınıza gizli bilgiler hakkında konuştuğunuza dair bir ipucu verir mi?

İkinci olarak, tehdit modellemenizi hatırlayın. Eğer karşılaşabileceğiniz en büyük tehdit, internet gözetim araçlarına sahip olmayan özel bir detektifin sizi fiziksel bir şekilde takip etmesi ise, NSA'e karşı etkili olduğunu iddia eden pahalı bir şifreli telefon sistemi satın almanıza gerek yoktur. Alternatif olarak, şifreleme araçları kullandıkları için muhalif görüşlü insanları düzenli olarak hapse atan bir devletle karşı karşıyaysanız, dizüstü bilgisayarınızda şifreleme yazılımları kullandığınıza dair ipucu bırakmak yerine, daha önceden belirlenmiş bir dizi kelime kodlarını kullanmak gibi daha basit hilelere başvurmanız daha mantıklı olabilir.

Tüm bunları gözönünde bulundurduğunuzda, bir aracı indirmeden, satın almadan ya da kullanmadan önce sorabileceğiniz bazı sorular şunlardır:

Uygulamanın Yaratıcıları, Uygulamanın Avantajları ve Dezavantajları Hakkında Dürüstler mi?

Hiçbir yazılım ya da donanım tamamen güvenli değildir. Ürünlerinin limitasyonları hakkında dürüst olan yaratıcılar ya da satıcılar, uygulamalarının sizin için doğru olup olmadığıyla alakalı size genelde daha iyi fikir verirler.

"Askeri düzey" ya da "NSA'e karşı güvenli" gibi genel açıklamalara güvenmeyin. Bu tarz açıklamalar hiçbir şey ifade etmez ve geliştiricilerin ürünlerinde gereğinden fazla güvendiklerini ya da ürünlerindeki muhtemel hataları düşünmek istemediklerini gösterir.

Saldırganlar araçların güvenliğini kırmak için sürekli yeni yollar bulmaya çalıştığından, yazılımlar ve donanımlar açıklarını kapatmak için sıklıkla güncellenmeye ihtiyaç duyarlar. Araçların yaratıcıları bu güncellemeleri kötü reklam ya da problemleri düzeltecek gerekli altyapının yerinde olmaması korkusuyla yapmazlarsa, bu büyük bir problem yaratabilir.

Geleceği öngöremezsiniz, ancak araç yaratıcılarının geçmişteki aktiviteleri, gelecekte nasıl hareket edeceklerine dair iyi bir göstergedir. Eğer aracın web sitesi geçmişteki sorunları listeliyorsa ve düzenli göncellemelere ve bilgilere bağlantı vermişse (yazılımın en son ne zaman güncellendiği gibi), aracın yaratıcılarının bu hizmeti gelecekte de sağlayacakları konusunda daha rahat olabilirsiniz.

Geri Çağırmaları ve İnternetteki Eleştirileri Kontrol Edin

Elbette ki, ürün satan şirketler ya da bu şirketin ürünlerinin reklamını yapan hayranlar kandırılmış, yanıltıcı ya da açıkça yalan söyleyebilirler. İlk olarak güvenli olduğu sanılan bir ürünün, gelecekte korkunç güvenlik açıklarına sahip olduğu ortaya çıkabilir. Kullandığınız araçlarla ilgili haberleri yakından takip ettiğinizden emin olun.

Bu Rehberde Adı Geçen Ürünler

Bu rehberde bahsettiğimiz yazılımların ve donanımların, yukarıda listelediğimiz kriterlere uyduğuna dikkat ediyoruz: iyi niyetli bir şekilde, dijital güvenlikle alakalı bilgilerimize dayanarak sağlam temelleri olan, genellikle işlevleri (ve hataları) konusunda şeffaf, yaratıcılarının kendilerinin tehlike altında olabileceği ihtimaline karşı savunması olan, bakımı yapılan ve büyük, teknik konularda bilgili bir kullanıcı tabanı olan ürünleri listelemeye dikkat ediyoruz. Bu ürünlerin, rehberin yazıldığı zamanda, hatalarının geniş bir kitle tarafından incelendiğini ve bir sorun oluşması durumunda halkın hızlıca uyarılacağına inanıyoruz. Lütfen bu ürünleri incelemek için yeterli kaynaklarımızın olmadığını ve güvenlikleriyle ilgili bağımsız bir güvence veremeyeceğimizi anlayın, biz bu ürünleri onaylamıyoruz ve güvenli olduklarını garanti edemeyiz.

Bir sosyal medya sitesinde hesap açmak

• Gerçek isminizi kullanmak istiyor musunuz? Bazı sosyal medya sitelerinin sözde "gerçek isim politikaları" vardır, ancak zaman geçtikçe bunlar daha gevşek hâle geldi. Eğer sosyal medya sitesinde hesap açarken gerçek isminizi kullanmak istemiyorsanız, kullanmayın.
• Hesabınızı oluştururken gerekenden daha fazla bilgi vermeyin. Eğer kimliğinizi gizlemek konusunda endişeleriniz varsa farklı bir email adresi kullanın. Kayıt esnasında IP adresinizin de kaydedilebileceğini unutmayın.
• Güçlü bir parola seçin ve eğer mevcutsa, iki aşamalı doğrulama özelliğini kullanın.
• Cevaplarının sizin sosyal medya bilgilerinizden çıkarılabileceği şifre kurtarma sorularına dikkat edin. "Hangi şehirde doğdun?" ya da "Evcil hayvanının ismi nedir?" gibi. Şifre kurtarma sorularınız için yanlış cevaplar seçmeyi düşünebilirsiniz. Şifre kurtarma sorularınıza verdiğiniz cevapları hatırlamanın iyi bir yolu, daha güvenli olması için yanlış cevap seçmek ve seçtiğiniz cevabı bir şifre kasasına kaydetmek olacaktır.

Gizlilik ayarlarınızı değiştirin

Daha kesin olarak, varsayılan ayarları değiştirin. Örneğin, postlarınızın herkese açık mı olmasını istersiniz yoksa belirli bir grup insana mı? İnsanların sizi email adresinizi veya telefon numaranızı kullanarak bulabilmesini ister misiniz? Konum bilginizin otomatik olarak paylaşılmasını ister misiniz?

• Facebook gizlilik ayarları nasıl değiştirilir

Unutmayın, gizlilik ayarları her an değiştirilebilir. Bazen bu gizlilik ayarlarını daha güçlü ve parçalı hâle getirir, bazen ise getirmez. Bu değişikliklere dikkat edin ve eskiden gizli olan bir bilginin açık hâle gelmediğinden emin olmak ve gizliliğinizi daha iyi kontrol etmenizi sağlayan yeni özellikler geldiğinde haberdar olabilmek için yakından takip edin.

Bu değerlendirmeyi yaparken, kendinize sormanız gereken 5 ana soru şunlardır:

1. Neyi korumak istiyorsunuz?
2. Kimden korumak istiyorsunuz?
3. Bu şeyi korumak zorunda kalma ihtimaliniz nedir?
4. Bunu başaramamanız ne gibi kötü sonuçlara yol açar?
5. Bunları engellemek için ne tür zorluklara katlanabilirsiniz?

İlk soruyla ilgili konuştuğumuz zaman, varlıklarınız ya da korumak istediğiniz şeylerden bahsederiz. Varlık, değer verdiğiniz ve korumak istediğiniz bir şeydir. Dijital güvenlikle ilgili konuştuğumuz zaman, bahsi geçen varlıklar genellikle bilgilerdir. Örnek olarak, epostalarınız, kişi listeleriniz, anlık mesajlaşmalarınız ve dosyalarınızın hepsi birer varlıktır. Cihazlarınız da bir varlıktır.

Sakladığınız verilerin bir listesini yapın ve bu verileri nerede sakladığınızı, kimin erişimi olduğunu ve başkalarının bu verilere erişmesini neyin engellediğini yazın.

İkinci soruya cevap verebilmek için, "Kimden korumak istiyorsunuz?", sizi veya bilgilerinizi kimin hedef alabileceğini ve düşmanınızın kim olabileceğini anlamak önemlidir. Düşman, varlığınıza ya da varlıklarınıza karşı tehlike oluşturan herhangi bir kişi ya da kuruluştur. Patronunuz, devletiniz, ya da halka açık ağda bulunan bir bilgisayar korsanı, muhtemel düşmanlara bir örnektir.

Verinizi ya da haberleşmelerinizi kimlerin ele geçirmek isteyebileceğini listeleyin. Bu bir kişi, bir devlet kurumu ya da bir şirket olabilir.

Tehdit, varlığınızın başına gelebilecek kötü bir şeydir. Bir düşmanın verinizi tehdit etmesi için çok sayıda yol vardır. Örnek olarak, bir düşman gizli haberleşmelerinizi ağınızdan geçerken okuyabilir ya da verilerinizi kullanılamaz hale getirebilir veya silebilir. Bir düşman aynı zamanda kendi verilerinize olan erişiminizi de devre dışı bırakabilir.

Düşmanların motifleri, saldırıları gibi çeşitlilik gösterebilir. Polis şiddetini gösteren bir videonun yayılmasını engellemeye çalışan bir devlet, bu videonun silinmesinden ya da görünebilirliğinin kısıtlanmasından tatmin olabilir, ancak siyasi rakibiniz sizin haberiniz olmadan gizli bir içeriğe erişmek ve bunu yayınlamak isteyebilir.

Düşmanınızın gizli verinizle ne yapmak isteyebileceğini bir yere not edin.

Saldırganın kabiliyeti düşünmeniz gereken önemli şeylerden biridir. Örnek olarak, cep telefonu sağlayıcınızın tüm telefon kayıtlarına erişimi vardır ve bu yüzden bu veriyi size karşı kullanma kabiliyeti vardır. Açık bir Wi-Fi ağındaki bir bilgisayar korsanı şifresiz haberleşmelerinize erişebilir. Devletinizin daha güçlü kabiliyetleri olabilir.

Düşünmeniz gereken son şey ise risktir. Risk, belli bir varlığa karşı belli bir tehdidin gerçekleşebilmesi ihtimalidir ve kabiliyetle ilişkilidir. Cep telefonu sağlayıcınızın tüm verilerinize erişimi olmasına rağmen, hizmet sağlayıcınızın bu veriyi internette yayınlayıp, saygınlığınıza zarar verme ihtimali düşüktür.

Riskleri ve tehditleri birbirinden ayırmak oldukça önemlidir. Tehdit, olabilecek kötü bir şeyken, risk, bu tehdidin gerçekleşme ihtimalidir. Örneğin, binanızın çökebileceği tehdidi vardır ancak bunun gerçekleşmesinin riski, Stockholm'e oranla, San Francisco'da çok daha yüksektir. Çünkü San Francisco'da depremler yaygınken, Stockholm'de nadirdir.

Risk analizi gerçekleştirmek, hem kişisel hem de subjektif bir işlemdir; herkes aynı önceliklere sahip değildir ya da herkes tehditlere aynı şekilde bakmaz. Birçok insan, risk ne olursa olsun bazı tehditleri kabul edilemez bulurlar, çünkü gerçekleşme ihtimali ne olursa olsun, bir tehditin varlığı zarara değmez. Diğer durumlarda ise, insanlar yüksek riskleri umursamazlar çünkü bu tehditleri bir problem olarak görmezler.

Askeri bağlamda ise, örneğin, bir varlığın düşman ellerine geçmesinden ziyade yok edilmesi tercih edilebilir. Tersine, birçok sivil bağlamda ise, eposta servisi gibi bir varlığın mevcut olması, gizliliğinden çok daha önemlidir.

Uçtan uca şifreleme nasıl çalışır?

İki kişi (Akiko ve Boris) güvenli bir şekilde iletişim kurmak istediğinde, bu kişilerin kendilerine şifreli anahtar yaratmaları gerekir. Akiko, Boris'e mesaj yollamadan önce, Boris'in mesajın şifresini çözebilmesi için mesajını Boris'in anahtarına şifreler. Daha sonra şifrelenmiş bu mesajı internet üzerinden gönderir. Eğer bir kişi Akiko ve Boris'in görüşmelerini dinliyorsa (bu dinlemeyi yapan kişinin Akiko'nun mesaj göndermek için kullandığı servise erişimi olsa bile), bu kişi sadece şifrelenmiş veriyi görebilir ve Akiko ve Boris'in mesajlaşmalarını okuyamaz. Boris, Akiko'nun mesajını aldığında, Akiko'nun mesajını okunabilir bir hale dönüştürmek için, mesajın şifresini kendi anahtarıyla çözmelidir.

Uçtan uca şifreleme kullanmak için belli bir efor sarfetmeniz gerekir. Ancak görüşen kişilerin, görüşürken kullandıkları platforma güvenme gereği duymadan, görüşmelerinin güvenli olduğunu doğrulamaları için başka bir seçenekleri yoktur. Skype gibi bazı servisler uçtan uca şifreleme kullandıklarını iddia ederler ancak bu gerçeği yansıtmaz. Uçtan uca şifrelemenin güvenli olabilmesi için, kullanıcıların mesajlarını şifrelerken kullandıkları anahtarın gerçekten konuştukları kişiye ait olup olmadığını doğrulaması gerekir. Eğer yazılım bu kontrol mekanizmasını içermiyorsa, yazılımın kullandığı bu şifreleme yazılımın ait olduğu şirket tarafından kolaylıkla çözülebilir (ya da bir devlet bu şirketi şifreyi çözmeye zorlayabilir).

Anlık mesajlaşmalarınızı ve eposlarınızı uçtan uca şifreleme ile nasıl koruyabileceğinizi detaylı bir şekilde anlatan, Freedom of the Press Foundation'ın (Basın Özgürlüğü Vakfı) hazırladığı Encryption Works isimli rehbere gözatabilirsiniz. Konuyla ilgili bizim düzenlediğimiz SSD rehberlerine de bakabilirsiniz:

• An Introduction to Public Key Cryptography and PGP (Açık Anahtar Kriptografisi ve PGP'ye giriş)
• How to: Use OTR for Windows (Nasıl Yapılır: Windows için OTR kullanımı)
• How to: Use OTR for Mac (Nasıl Yapılır: Mac için OTR kullanımı)

Metin mesajları

Standart metin (SMS) mesajları uçtan uca şifrelemeyi desteklemez. Telefonunuzu kullanarak şifrelenmiş mesajlar göndermek istiyorsanız, metin mesajları göndermek yerine şifreleme kullanan anlık mesajlaşma yazılımlarından birini kullanmayı düşünün.



Uçtan uca şifreleme kullanan anlık mesajlaşma servislerinin bazıları kendi protokollerini kullanır. Mesela, Signal kullanan Android ve iOS kullanıcıları, bu uygulamaları kullanarak birbirleriyle güvenli bir şekilde sohbet edebilirler. ChatSecure, XMPP kullanan herhangi bir ağ üzerindeki konuşmalarınızı OTR ile şifreleyen mobil bir uygulamadır, bu da çeşitli bağımsız anlık mesajlaşma servislerinden istediğinizi seçebileceğiniz anlamına gelir.

Eposta

Eposta servis sağlayıcılarının büyük bir çoğunluğu, herhangi bir internet tarayıcısını kullanarak epostalarınıza ulaşmanız için size bir yol sunar. Bu servis sağlayıcılarının büyük bir çoğunluğu HTTPS hizmeti sunar. Kullandığınız eposta servis sağlayıcısının HTTPS kullanıp kullanmadığını öğrenmek için, eposta hesabınıza giriş yaptıktan sonra internet tarayıcınızın adres çubuğuna bakın ve adresin HTTPS ile başlayıp başlamadığını kontrol edin (örnek olarak https://mail.google.com adresini ziyaret edebilirsiniz).

Eğer eposta servis sağlayıcınız HTTPS'i destekliyorsa, ancak bunu varsayılan olarak yapmıyorsa, adres satırındaki HTTP'yi HTTPS ile değiştirin ve sayfayı yenileyin. Mevcut olduğu durumlarda HTTPS kullandığınızdan emin olmak istiyorsanız, Chrome ve Firefox için hazırlanmış HTTPS Everywhere eklentisini kullanabilirsiniz.

Varsayılan olarak HTTPS kullanan eposta servis sağlayıcılarının bazıları şunlardır:

• Gmail
• Riseup
• Yahoo

Bazı eposta servis sağlayıcıları, HTTPS'i varsayılan olarak kullanabilmeniz için ayarlar kısmından size bu seçeneği sunar. Bunu yapan en popüler eposta servis sağlayıcısı Hotmail'dir.

Taşıma katmanı şifrelemesi ne işe yarar ve buna neden ihtiyaç duyabilirsiniz? SSL ya da TLS olarak da anılan HTTPS, iletişiminizi şifreleyerek aynı ağ üzerindeki insanların sizi izlemesine engel olur. Bir havaalanında ya da bir kafede, okulunuzdaki veya ofisinizdeki aynı Wi-Fi ağı üzerinden internete bağlandığınız insanlara ek olarak, internet servis sağlayıcınızda çalışan sistem yöneticileri, kötü niyetli bilgisayar korsanları, devletler ve güvenlik güçlerinin de sizi izlemesi HTTPS tarafından zorlaştırılır. Ziyaret ettiğiniz internet siteleri, yolladığınız epostalar, yazdığınız blog yazıları ve mesajlarınızın içeriği dahil olmak üzere, internet tarayıcınızı kullanarak yaptığınız işlemleri HTTPS yerine HTTP üzerinden gerçekleştirirseniz, sizi izlemek isteyen ve bilgilerinizi görmek isteyen saldırganının işini oldukça kolaylaştırmış olursunuz.

HTTPS, internette dolaşırken kullanabileceğiniz ve herkese önerdiğimiz en temel şifreleme düzeyidir. Bu, araba kullanırken emniyet kemeri takmanız kadar temel bir işlemdir.

Ancak HTTPS'in yapamadığı bazı şeyler de vardır. HTTPS kullanarak eposta gönderdiğiniz zaman, eposta servis sağlayıcınız yolladığınız epostanın şifrelenmemiş versiyonunu alır. Devletler ve güvenlik güçleri, bu bilgileri mahkemeden izin alarak elde edebilir. ABD merkezli eposta servis sağlayıcıları, kendilerine devlet tarafından bazı kullanıcı bilgilerinin verilmesi için bir talep geldiğinde, bu talepleri bilgileri istenen kullanıcıya yasalar izin verdiği müddetçe haber vereceklerini söylerler ancak bu isteğe bağlıdır ve birçok durumda servis sağlayıcılarının kullanıcılarını bu taleplerden haberdar etmesi yasalarca engellenir. Google, Yahoo, Microsoft gibi eposta servis sağlayıcıları, devletlerin bu taleplerini şeffaflık raporu yayınlayarak duyururlar. Bu raporda gelen talep sayısı, hangi ülkelerin bilgi talep ettiği ve raporu yayınlayan şirketin bu taleplerin kaçına cevap verdiği detaylandırılır.

Eğer tehdit modeliniz devlet veya polisi içine alıyorsa, ya da başka bir sebepten ötürü eposta servis sağlayıcınızın epostalarınızın içeriğini üçüncü bir partiye vermediğinden emin olmak istiyorsanız, epostalarınızda uçtan uca şifrelemeyi kullanın.

PGP (Pretty Good Privacy), eposlarınızı uçtan uca şifreleme için kullanabileceğiniz bir yazılımdır. PGP, doğru kullanıldığında görüşmeleriniz için oldukça güçlü bir koruma sağlar. Epostanız için PGP şifrelemesini nasıl yükleyeceğiniz ve kullanacağınıza dair detaylı bir bilgi istiyorsanız, aşağıdaki linklere gözatın:

• How to: Use PGP for Mac OS X (Nasıl Yapılır: Mac OS X için PGP kullanımı)
• How to: Use PGP for Windows (Nasıl Yapılır: Windows için PGP kullanımı)
• How to: Use PGP for Linux (Nasıl Yapılır: Linux için PGP kullanımı)

Parolalarınızı Birden Çok Cihaz Arasında Senkronize Etmek

Parolalarınızı birden çok cihazda kullanmak isteyebilirsiniz, bilgisayarınızda ve akıllı telefonunuzda örneğin. Birçok parola yöneticisi içerisinde parola-senkronizasyon özelliğiyle gelir. Parola dosyanızı senkronize ettiğinizde, tüm cihazlarınızda daima güncel olur, böylece bilgisayarınızda yeni bir hesap eklediğinizde, telefonunuzdan da giriş yapabilirsiniz. Diğer parola yöneticileri parolalarınızı "bulutta" (cloud) saklamayı teklif eder, yani başka bir yerdeki bir sunucuda parolalarınızı şifrelenmiş olarak saklamayı ve laptopunuzda ya da telefonunuzda ihtiyaç duyduğunuzda onu otomatik olarak deşifre ederek size getirmeyi. Şifrelerinizi saklamak ya da senkronize etmenize yardımcı olmak amacıyla kendi sunucularını kullanan parola yöneticileri daha kullanışlı ve pratik olabilir, ancak bu o yöneticilerin saldırılara karşı daha korunmasız olmaları anlamına da gelir. Parolalarınızı yalnızca bilgisayarınızda saklarsanız, bilgisayarınızı ele geçirebilecek biri şifrelerinizi çalabilir. Parolalarınızı bilgisayarınızda değil de, bulutta (cloud) saklarsanız, saldırganınız bunu da hedef alabilir. Saldırganınızın parola yöneticisi şirketi üzerinde yasal bir gücü yoksa, ya da şirketleri veya internet trafiğini hedef aldığı malum değilse, endişelenmeniz gereken şey genellikle güvenlik ihlalleri değildir. Eğer bir bulut (cloud) servisi kullanıyorsanız, parola yönetici şirketi hangi servisleri ne zaman ve nereden kullandığınızı bilebilir.

"Güvenlik Soruları" Üzerine Bir Söz

Websitelerinin parolanızı unuttuğunuzda kimliğinizi doğrulamak için sorduğu "güvenlik sorularına" karşı dikkatli olun ("Annenizin kızlık soyadı nedir?" ya da "İlk evcil hayvanınızın adı nedir?" gibi). Bu tarz soruların çoğuna vereceğiniz dürüst cevaplar, azimli saldırganlar tarafından herkese açık alanlardan kolayca bulunabilir ve bu sayede parolanızı tamamen atlatabilirler. Örneğin ABD başkan yardımcılığı adayı Sarah Palin'in Yahoo! hesabı bu şekilde hacklendi. Bunun yerine, sizin dışınızda kimsenin bilemeyeceği cevaplar kullanın, tıpkı parolanız gibi. Örneğin, eğer parola sorusu size evcil hayvanınızın adını soruyorsa, bir fotoğraf paylaşım sitesine kedinizin fotoğrafını, "İşte sevimli kedim Boncuk!" yazarak yüklemiş olabilirsiniz. Bu yüzden parola kurtarma sorunuzun cevabı olarak "Boncuk" yazmaktansa "Rumplestiltskin" gibi bir cevap seçebilirsiniz. Farklı websiteleri ve servislerde aynı parolaları ve güvenlik sorusu cevaplarını kullanmayın. Benzer şekilde, hayali güvenlik sorusu cevaplarınızı da parola kasanızda saklayın.

Nerelerde güvenlik sorularını kullandığınızı düşünün. Ayarlarınızı kontrol etmeyi ve cevaplarınızı değiştirmeyi bir düşünün.

Parola kasanızın yedeğini almayı unutmayın! Bilgisayarınızın çökmesi durumunda parola kasanızı kaybederseniz (ya da cihazlarınıza el konulursa), parolalarınızı kurtarmak çok zor olabilir. Parola kasası programları genellikle bağımsız yedekler yaratmak için bir imkan sunarlar, bu özelliği ya da düzenli kullandığınız yedekleme programını kullanın.

Genellikle birçok serviste, kayıtlı eposta adresinize bir parola kurtarma epostası göndermelerini isteyerek parolanızı sıfırlamanız mümkündür. Bu yüzden, eposta hesabınızın da anahtar parolasını ezberlemek isteyebilirsiniz. Eğer bunu yaparsanız, parola kasanıza muhtaç kalmadan parolalarınızı sıfırlamanın bir yoluna sahip olursunuz.

Fiziksel Zarar ve Hapis Tehditleri

Son olarak, saldırganların parolalarınızı ele geçirmek için daima kullanabileceği bir yolu unutmayın: Sizi direkt olarak göz altına almakla ve fiziksel zararla tehdit etmek. Eğer böyle bir şeyin imkanlar dahilinde olduğunu düşünüyorsanız, parolanızı asla teslim etmeyeceğinize güvenmek yerine, parolayla korunan verilerinizin veya cihazlarınızın varlığını gizlemeyi düşünün. Bir seçenek de ağırlıkla önemsiz bilgiler barındıran ve parolasını kolayca verebileceğiniz bir hesabı elinizin altında bulundurmak olacaktır.

Eğer birilerinin sizi parolalarınız için tehdit edebileceğine inanmak için geçerli sebepleriniz varsa, cihazlarınızı şifresini verdiğiniz hesabın "gerçek" hesabınız olmadığını açığa vurmasını engelleyecek şekilde ayarlamalısınız. Gerçek hesabınız bilgisayarınızın açılış ekranında ya tarayıcınızı açtığınız anda otomatik olarak görülüyor mu? Eğer öyleyse, bazı şeyleri yeniden ayarlayarak hesabınızı daha az bariz hâle getirmeniz gerekiyor demektir.

Belçika ve Amerika Birleşik Devletleri gibi kimi ülkelerde, şifreniz için yapılan bir isteğe yasal yollardan karşı koyabilirsiniz. Birleşik Krallık ve Hindistan gibi diğer bölgelerde, yerel yasalar devlete parolanın açıklanmasını isteme hakkı verir. Eğer ABD sınırlarından geçerken dijital cihazlarınızdaki verileri korumak istiyorsanız, EFF'in bu konuda hazırladığı Defending Privacy at the U.S. Border rehberine bakabilirsiniz.

Lütfen kanıtların kasıtlı şekilde imhasının ve soruşturmayı engellemenin ayrı bir suç olarak cezalandırıldığını ve çok ağır sonuçları olabileceğini unutmayın. Kimi durumlarda, devlet için iddia ettikleri ve araştırdıkları suçlardansa, bunu kanıtlayarak daha ağır cezalar vermek çok daha kolay olabilir.

Temel teknikler

HTTPS websitelerine erişmek için kullanılan HTTP protokolünün güvenli versiyonudur. Bazen bir sansür sitenin yalnızca güvensiz versiyonunu engeller ve sizin bu siteye yalnızca alanadının HTTPS ile başlayan versiyonunu yazarak erişebilmenize imkan tanır. Bu yöntem eğer yaşadığınız filtreleme yalnızca anahtar kelimeler üzerinden yapılıyor ya da yalnızca tekil web sayfalarını engelliyorsa oldukça kullanışlı olmaktadır. HTTPS sansürü gerçekleştirenlerin sizin web trafiğinizi okumasını engeller, bu sayede hangi anahtar kelimeleri gönderdiğinizi ya da hangi tekil web sayfalarını ziyaret ettiğinizi göremez (sansürcüler yine de ziyaret ettiğiniz tüm sitelerin alanadlarını görebilirler).

Eğer bu tarz basit bir engellemeden şüpheleniyorsanız, alanadının başındaki http:// yerine https:// yazmayı deneyin.

EFF’in HTTPS Everywhere isimli tarayıcı eklentisini kullanarak HTTPS destekleyen tüm sitelerde bunu otomatik olarak aktifleştirebilirsiniz.

Bu tarz temel sansür taktiklerini atlatmanın bir diğer olası yolu da alanadını ya da URL'yi değiştirmektir. Örneğin, http://twitter.com adresinden girmek yerine, http://m.twitter.com adresini, sitenin mobil versiyonunu kullanabilirsiniz. Websitelerini ya da web sayfalarını engelleyen sansürcüler, genellikle engellenen sitelerin eklendiği bir karaliste üzerinden çalışırlar, bu durumda da karalistede olmayan her şeye rahatça girilebilir. Sansürcüler bir websitenin tüm alanadı varyasyonlarını bilmiyor olabilirler—özellikle de site engellendiğinin farkına varıp birden çok isim satın alıyorsa.

Şifrelenmiş Proxyler

Çok sayıda proxy aracı şifrelemeyi de kullanır, bu sayede filtrelemeyi atlatmanın yanında ekstra bir güvenlik katmanı da sağlarlar. Bağlantınız şifreli olsa da, aracı sağlayanlar kişisel bilgilerinizi alabilirler, bu da bu araçların anonimlik sağlamadığı anlamına gelir. Yine de, bunlar düz web-temelli proxylerden daha güvenlidir.

Şifreli web proxylerinin en basit biçimleri "https" ile başlayanlardır—bunlar genellikle güvenli websitelerinin sağladığı şifrelemeyi kullanırlar. İroniktir ki, bu proxylerin sahipleri diğer güvenli websitelerine gönderdiğiniz ve onlardan aldığınız verileri görebilirler, bu yüzden dikkatli olun.

Diğer araçlar hibrid bir yöntem izler—bir proxy gibi hareket ederler, ancak aşağıda listelediğimiz şifreli servislerden elementler kullanırlar. Ultrasurf ve Psiphon bu araçlara örnektir.

Tor

Tor, anonimlik sağlamayı amaçlayan, ancak sansürü atlatmanıza da yardımcı olan özgür ve açık kaynaklı bir yazılımdır. Tor'u kullandığınız zaman gönderdiğiniz bilgiler daha güvendedir çünkü trafiğiniz, onion yönlendiricisi adı verilen dağıtık bir sunucular ağında sıçrayarak ilerler. Bu özellik, iletişim kurduğunuz bilgisayar sizin IP adresinizi asla göremediği ve yalnızca trafiğinizin geçtiği son Tor yönlendiricisinin adresini görebildiği için size anonimlik sağlar.

Bazı ek özellikler de kullanıldığında (bridge'ler ve "pluggable transports") Tor yerel devletlerin sansürünü güvenli bir şekilde atlatmak için altın standartı belirler; aynı anda neredeyse bütün ulusal sansürleri aşabilmenizi ve dikkatlice yapılandırıldığınca ülkenizin ağını dinleyen saldırganların kimliğinizi tespit etmesini engeller. Yine de, yavaş ve kullanması zor olabilir.

Tor'u nasıl kullanacağınızı öğrenmek için buraya tıklayın.

Eğer gizli verileriniz varsa buradaki diğer iOS özelliklerini de kullanmayı düşünebilirsiniz:

• iTunes'un cihazınızı bilgisayarınıza yedekleme özelliği bulunmaktadır. Eğer iTunes'da cihazınızın Özet (Summary) kısmındaki "Yedeği şifrele" (“Encrypt backup”) özelliğini seçerseniz, iTunes daha gizli bilgileri de (WiFi parolaları ve eposta parolaları gibi) yedekleyecek, ancak bilgisayarınıza kaydetmeden önce hepsini şifreleyecektir. Burada kullandığınız parolayı güvende tuttuğunuzdan emin olun: yedeği geri yüklemek nadir yaşanan bir olaydır, ancak acil bir durumda yedeğinizin parolasını hatırlayamamak bunu daha acılı bir hâle getirebilir.

• Eğer Apple iCloud'a yedekleme yapıyorsanız, verilerinizi korumak ve parolanızı güvende tutmak için uzun bir parola kullanmalısınız. Apple yedeklenen verilerin büyük kısmını şifreliyor olsa da, bu şifrelemenin anahtarı Apple'da olduğu için şirketin bu verilere yasal zorunluluklar gerekçesiyle erişim sağlaması mümkün olabilir.

• Eğer veri korumayı yukarıda anlatıldığı şekilde aktif hâle getirdiyseniz, cihazınızdaki tüm verileri güvenli ve hızlı bir şekilde silme imkanına da sahipsiniz. Parola ayarlarından cihazınıza içerisindeki tüm veriyi parolanın on kez yanlış tahmin edilmesi durumunda silmesi emrini verebilirsiniz.

• Apple’ın eski Yasal Zorunluluklar Rehberi'ne göre, “Apple, parola kilitli iOS cihazlardan belirli kategorilerdeki aktif verileri alabilir. Daha açık bir dille, iOS cihazlarda kullanıcının oluşturduğu ve Apple'ın yerel uygulamalarında yer alan ve parola kullanılarak şifrelenmemiş aktif dosyalar ("kullanıcının oluşturduğu aktif dosyalar"), alınabilir ve harici bir ortamda kolluk kuvvetlerine sunulabilir. Apple bu veri alma işlemini iOS 4 ve daha güncel iOS versiyonlarını kullanan iOS cihazlarında gerçekleştirebilir. Lütfen geçerli bir arama izni sonucunda kolluk kuvvetlerine teslim edilebilecek kullanıcının oluşturduğu aktif dosyaların bunlarla sınırlı olduğunu unutmayın: SMS, fotoğraflar, videolar, rehber, ses kayıtları ve arama geçmişi. Apple bunları teslim edemez: eposta, takvim girdileri veya herhangi bir üçüncü-taraf uygulama verileri.”

Yukarıdaki bilgiler yalnızca iOS 8 öncesi verisyonları çalıştıran iOS cihazları için geçerlidir.

• Şimdiyse, Apple'ın açıklamasına göre “iOS 8 ve üstünü kullanan cihazlarda kişisel verileriniz "Passcode" (Parola) ile koruma altına alınmıştır. iOS 8 ve üstünü kullanan tüm cihazlar için, Apple devletten gelen veri çıkarma isteklerine cevap veremez çünkü cihazınızdaki dosyalarınız Parola'ya bağlı bir şifreleme anahtarıyla korunur ve Apple'da bu anahtarın bir kopyası yoktur.

UNUTMAYIN: Apple telefonunuzdan direkt olarak veri alamıyor olsa da, eğer cihazınız iCloud ile senkronize olmaya ayarlıysa ya da telefonunuzu bilgisayara yedekliyorsanız, aynı verilerin büyük kısmı yine kolluk kuvvetleri için erişilebilir olacaktır. Çoğu durumda, iOS şifrelemesi cihaz tamamen kapatıldığında (ya da hiç kilidi açılmamış olarak yeniden başlatıldığında) etkili olacaktır. Bazı saldırganlar cihazınız açıkken hafızasından değerli verileri alabilirler. (Hatta cihazınız henüz kapatılmışken bile bu verilere erişebilirler). Bu yüzden cihazınıza el konulması ya da çalınması ihtimali olduğunu düşündüğünüzde cihazınızın kapalı (ya da hiç kilidi açılmadan yeniden başlatılmış) olduğundan emin olmayı unutmayın.

• Eğer cihazınızın kaybolması ya da çalınması ihtimalinden endişeleniyorsanız, "iPhone'umu Bul" ("Find My iPhone") özelliğini kullanarak cihazınızı uzaktan silme imkanını elde edebilirsiniz. Bu özelliğin, Apple'ın herhangi bir zamanda cihazınızın konum bilgilerini uzaktan isteyebilmesine izin verdiğini unutmayın. Cihazınızın kontrolünü kaybettiğinizde verilerinizi silebilme imkanıyla konumunuzu ifşa etme riski arasındaki dengeyi kurmalısınız. (Cep telefonları bu bilgiyi telefon şirketlerine kaçınılmaz olarak gönderirler; iPad ve iPod Touch gibi WiFi cihazları ise göndermez.)

Signal'ın Kullanımı

Signal'i kullanabilmeniz için, aradığınız kişinin iPhone veya Android üzerinde Signal'ı kullanıyor olması gerekmektedir. Eğer Signal uygulamasını kullanarak birisini aramayı denerseniz ve o kişide Signal kurulu değilse, uygulama size bu kişiyi SMS ile davet etmek isteyip istemediğinizi soracak, ama çağrıyı uygulama içerisinde tamamlamanıza izin vermeyecektir.

Signal diğer Signal kullanıcıların olduğu bir kişi listesini size sağlar. Bunu yapmak için Signal telefon numaralarınızı temsil eden veriyi Signal’ın sunucularına gönderir, ancak bu veri sunuculara ulaşır ulaşmaz silinir.

Başlamak için "+" butonuna tıklayın.

Kişi listenizde bulunan ve daha önce Signal yüklemiş kişilerin listesini göreceksiniz. Yapacağınız tercihe göre bu kişileri arayabilir ya da onlara mesaj gönderebilirsiniz.

Şifreli Bir Mesaj Nasıl Gönderilir

Uçtan uca şifrelenmiş bir şekilde metin, fotoğraf ya da video mesajı göndermek için, kişi listenizi açın ve mesaj göndermek istediğiniz kişinin ismine tıklayın ve mesajınızı gönderin.

Kişi listenizi açtıktan sonra ekranın sağ üst köşesindeki grup görüşmesi simgesine tıklayarak ve yeni bir grup yaratarak şifreli bir grup mesajlaşması başlatabilirsiniz.

Signal - Private Messenger uygulaması her daim uçtan uca şifreleme kullandığı için, bu uygulamayı kullanmak haberleşmelerinizi güvende tutmanıza yardımcı olur.

Signal’ın geliştiricisi olan Open Whisper Systems’ın kullanıcılar yeni bir mesaj aldığında onları uyarmak için gönderdiği bildirimleri başka firmaların altyapısı aracılığıyla gönderdiğine dikkat çekmekte yarar var. Android işletim sisteminde bu firma Google iken, iPhone’lar için bu firma Apple’dır. Bu yüzden kimin ne zaman ve kimden mesaj aldığı bilgisi bu firmalara sızabilir.