Kime Karşı Gizlilik?
birbsophone
Giriş
İnternette gizlilik ve güvenlik isteyen birey, ilk adımı olarak kime karşı kendini koruması gerektiğini bilmeli, ve bunları kendince tanımlamalıdır.
Bu, kişiden kişiye değişecektir. Örneğin, baskı altında bir gazetecinin kaçınması gereken organizma onu sansürleyebilecek bir devlet birimi, veya bir rakip olabilir.
Kişinin yaptığı bu tür tanımlamaya, “Threat Modeling”, gerçek anlamı içinde çevrildiğinde “Tehdit Modelleme”, ya da “Tehdit Tanımlama” denir.
Küçük bir not olarak: Bu bahsettiğim “Tehdir Tanımlama”, bilişim ve yazılım terimi “Threat Modeling” ile ilişkili olsa da, aynı anlama tam gelmiyor.
Tehdit Tanımlama
Kendinizce “düşman"larınızı tanımlamanız için öncelikle neyi, kimden, ne kadar korumanız gerektiğini, koruyamazsanız sonuçların ne olacağını, ve korumak istediğiniz şey için ne kadar zaman harcamak istediğinizi tanımlayın. Örneğin:
Ben, tanımlayıcı kişisel verilerimi, isteğim dışında kullanabilecek işletmelere karşı korumak istiyorum ve bunun için zaman harcamaya hazırım.
Bu, fazlasıyla basit bir model olur. Dikkat ederseniz, kaba, belki biraz da belirsiz bir tanımlama olur bu örnek.
Vermek istediğim mesaj, aşırı spesifik örneklerden kaçınmanızdır. Yani, “Google’ın kişisel verilerime erişimini engellemek istiyorum.” demek bir hata olur, çünkü bu şirket bireyin gizliliğine saygı duymayan tek şirket değildir. “Büyük şirketler” terimi bile, fazla belirli bir tanımlama olabilir, çünkü küçük organizasyonlar da büyük servisleri kullanıp indirektmen verilerinizi açıkta tutabilir, ya da kendileri gizliliğe zararlı eylemlerde bulunabilir.
Genel olarak önlem almanız gerekenler, bir veya birden fazla ürünler arasından kullanıcıyı sürekli göz hapsi altında tutan organizasyonlar, art niyetli yazılım dağıtan geliştiriciler, ve sizin bilgisayarına izinsiz girmeye çalışan bir kişi olur.
Daha ciddi bir “düşman"a sahipseniz, verilerinizi korumak için gittikçe daha ciddi yöntemlere başvurmanız gerecek, ve sadece gizlilik ve güvenlik değil, anonim olmaya da ihtiyaç duyabilirsiniz. Kim olduğunuzu tamamen saklamak zorunda kalabilirsiniz.
Uçtan Uca Şifreleme
İnternette gönderdiğiniz verinin çoğunluğu sıklıkla şifrelenmemiştir. Örneğin, Instagram uygulamasında biriyle mesajlaşırsanız, bu gönderdiğiniz mesajların hepsi harfi harfine Meta’nın depolamasında saklanacaktır. Bu aynı zamanda Instagram, SMS, Telegram, Facebook, Discord, vb. için geçerlidir.
Bu yüzden, uygun alanlarda uçtan uca şifreleme (E2EE) kullanan platformlardan yararlanmak sizin için iyi bir önlem olur. Uçtan uca şifreleme ile mesajlarınızı sadece siz, ve mesajı alan kişi(ler) görebilir. Şirketin depolamasında sadece okunulmaz, rastgele harfler olur ve genellikle bu veriler silinir.
Uçtan uca şifrelemeyi kullanan platformlardan en sık rastladığınız uygulama WhatsApp olabilir. WhatsApp mesajlaşmalarında Signal Protokolünü kullanır. Bu şifreleme protokolü günümüzdeki en güçlü ve kırılmazlarından birisidir. Ne yazık ki, WhatsApp mesajlar dışında hiçbir başka veriyi şifrelemediği için yine de “ortalama” denilebilecek bir platform olur. Sahibi Meta olan bu uygulama hala gizlilik açısından fazlasıyla kötü. Bunun yerine, Signal kullanabilirseniz kullanmanızı öneririm.
İnternette bulunan her şey gibi, bu şifreleme verilerinizi anında tamamen güvende tutmaz, ancak buna yaklaştıracak en sağlam adımlardan birisidir.
Bunun dışında, aynı zamanda verilerinizi ne kadar az bulut servislerinde bulundurursanız o kadar yararlı olacaktır. Verileriniz internetten gönderirken şifrelense de, alıcı ve gönderici olarak sizin cihazınızda yine şifrelenmemiş bir formatta bulunur: Whatsapp Web kullanırken tarayıcınız sürekli bir JavaScript veri alışverişinde bulunur ve JavaScript’in tarayıcı içinde cihazınızda kod yürütmesinden ve Javascript kodlama dilinin karışık işleme şeklinden ötürü, yazılımın bulunabilecek herhangi bir güvenlik deliğini istismar eden bir komut vermesi verilerinizin tehlikeye girmesine sebep olabilir.
Ürünler Arası Göz Hapsi
Servisler arasında verileri kullanan bir organizasyon için en iyi örnek Google olabilir. Öncelikle tarayıcınızda tipik olarak gönderdiğiniz tanımlayıcı verilere bakalım:
IP adresiniz
Tarayıcınızda bulunan “Çerez"ler
Web sitelerine gönderdiğiniz veriler
Tarayıcınızın gönderdiği veriler: sisteminizin saati, işlemci ve diğer donanım hakkında bilgiler, ekran boyutları, sistem türü, vs.
Tahmin edebileceğiniz gibi, bu yüksek miktardaki veriler arasında bir korelasyon kurmak fazlasıyla kolay. Servisler, içeriği ne kadar hızlı kaydırdığınızı bile gözlemliyor. Şimdi düşünün: Google’ın bir arama motoru, E-posta servisi, bulut depolama portalı gibi içerikleri var. Bunlar arasında tüm bilgiler toplanıyor ve birbirleriyle paylaşıyorlar.
Aynı zamanda az önce bahsettiğim çerezler var. Bir çerez, tarayıcının bir web sitesinin verilerini cihazınızda depolamasıdır. İlkin hesaplarınıza giriş yaptığınızda kendi kendine çıkış yapmaması için icat edilmiş çerezler, şimdi kişisel verileri uzun vadede saptamak için kullanılıyor.
Eğer bir kez bile “Çerezleri kabul et” menüsünde zamanınızı ayırıp verileriniz için ne kadar fazla müşteri olduğunu fark ederseniz, gerçekten bu teknolojinin ne kadar suistimal edildiğini anlarsınız. Günümüzde neredeyse her büyük web sitenin Google’a ait çerezleri var. Yani anlayabileceğiniz, Google tüm geçmişinizi de gözlemlemekte hevesli, diğer istekli şirketler bir yana.
Çoğu tarayıcı çıkış yaparken çerezleri temizlemeyi destekler. Bu özelliği aktifleştirmenizi öneririm, ama bu sürekli hesaplarınıza yeniden giriş yapmanız gerekebileceği anlamına gelebilir. Sürekli olmasa da bazen çerezlerinizi temizleyin. Başka bir metod olarak giriş yapmak istediğiniz seçenekler için özellikle çerez silmeme seçeneğini de bazı tarayıcılar sunabiliyor.
Bunun dışında kullandığınız ürünlerde, mevcut ise “kişiselleştirme” seçeneğini kapatmanızı öneririm. Bu seçeneğin yararı olmamakla birlikte daha çok veri kazanmak için kullanılıyor.
Art Niyetli Yazılımlar
Gizlilik ve güvenlik dememin sebebi, her ne kadar aynı kavramlar olmasalar da sahip olmak için ikisine de bir noktaya kadar ihtiyaç duyulmasıdır. Güvenlik için alabileceğiniz en basit ama uygulanmayan önlemlerden, kimseye sonuna kadar güvenmemek olur. Bir yazılımın bir gün art niyetli bir eylem yapabileceği düşüncesine karşın hareket ederseniz fazlasıyla sağlam bir güvenlik modeliniz olur. İndirdiğiniz uygulamaların sisteme erişimini elinizden geldiğince kısıtlamanız ideal. Bunun en iyi iki örneği Android ve iOS olur. Bahsettiğim işletim sistemlerinde dıştan indirilen uygulamalar sistemden tamamen ayrıdır ve sistem üzerinde etkileri sıklıkla kısıtlıdır. Yine de unutulmamalı ki uygulamalara kendiniz ekstra erişim verip gizlilik ve güvenliğiniz için olumsuz bir etkiye sebep olabilirsiniz.
Bunun dışında güvenlik için yapılabilecek iyi seçimler güncellemeleri aksatmamak, aşırı eskimiş donanım kullanmamak, hassas verileri masaüstü işletim sistemleri (Windows, MacOS, Linux…) yerine daha güvenli olması için tasarlanmış mobil işletim sistemleri, yani iOS ve Android kullanmak olur.
Masaüstünde ise sanal makine kullanmak, Windows’ta uygulamaları Microsoft Store’dan, Linux’ta ise olabildiğince Flatpak kullanmak iyi bir fikir.
Ne Yapmamalı
Bir servise tamamen güvenmeyin. Yeni bir servise giriş yaparken arka planlarını araştırın.
Gizlilik politikasını okuyun, ama tamamen buna dayanmayın. Büyük şirketler sıklıkla sözlerinde durmaz.
Tüm verilerinizi tek bir serviste toplamak (Örn: Proton Mail, Proton Drive, Proton VPN, Proton Authenticator…)
Sadece bir “Kara Liste” üzerinden “düşman"larınızı tanımlamak. Bunun yerine sadece kime güvenebileceğinizi seçin. Çünkü verilerinizi isteyen çok fazla “düşman” bulunmakta.
Bunun dışında, bir bulut depolama servisine dosyalarınızı şifrelemeden yüklemeyin. Bir servisten başka bir servise araştırmadan geçmeyin. “Açık kaynaklı yazılım"lara sadece açık kaynaklı olduğu için tamamen güvenmeyin.
Sonuç
Özet olarak, İnternette dağınık ve istikrarsız bir veri dağılımına sahip olmak istemiyorsanız, doğru adımları, teker teker, uygulamalısınız. Bu, matematik gibi düşünülebilir. Doğal sayıları bilmeden, problem çözmeye kalkışmayın.
Yazım PrivSec’teki gönderiden esinlenmiştir.