Embed Size (px)
Citation preview
Gazeteciler İçin Hacker Kültürü ve Bilgi GüvenliğiYeni çağın en büyük miti hackerlar hakkındaki gerçekler ve gazeteciler için sansür, gözetim ve diğer potansiyel saldırılara karşı savunma yöntemleri.Ahmet A. Sabancı
Hackerlar ve Hacker KültürüHackerlar hakkında her gün birşeyler duyuyor olsak da, bunların çoğu mit olmanın ötesine geçmiyor. Bu mitlerin üzerine bir de teknoloji ve hackerların çalıştıkları alanlar üzerine yeterli bilginin olmayışı da eklenince, hackerlar; ejderhalar, büyücüler ve uzaylılar gibi muamele görmeye başlıyor.
Oysa gerçekler çok daha basit.
➔ “Hacklemek olarak adlandırdığımız şeye basit bir tanım koymak çok zor, ancak bence bu eylemlerin ortak noktası oyunculuk, zekayı kullanmak ve araştırmacılık. Bundan yola çıkarsak, hacklemek mümkün olanın limitlerini oyuncu bir zekayla sınamaktır diyebiliriz.Bu oyuncu zekayı gösteren eylemlerin hepsi “hack değeri” taşır.” -Richard Stallman
➔ Hacker kültürü, her ne kadar politik bir hareket ya da dünyaya felaketi getirmek üzere olan bir grup terörist gibi sunulsalar da, aslında bilgisayarlar sayesinde doğmuş bir karşı kültürden fazlası değildir.
➔ Her hacker karanlık bir odada, yüzünde maskeyle büyük sitelere, bankalara ve devletlere saldırmaz. Hatta çoğu bunu yapmaz. Bu kültürün bir parçası olarak kendini gören ama bambaşka alanlarda yeteneğini kullanan birçok insan vardır.
➔ Hackerların bir örgütü, organizasyonu ya da kurumu yoktur. Sendikalaşmamışlardır. Anonymous bir örgüt değildir, hiç kimse hackerları temsilen konuşma yetkisine sahip değildir.
➔ Hackerlar arasında iyi niyetliler de vardır kötü niyetliler de. Hepsi belirli bir amaca hizmet etmez. Aynı şeyi keşfeden iki farklı hacker bununla bambaşka iki şey yapabilir. Çünkü ikisi de bağımsız birer insandır.
Hacker Etiği ve Hackerların Politik AjandasıHer ne kadar her hackerın motivasyonu ve ulaşmak istediği hedefler farklı olsa da, çoğunun kabul ettiği ve eylemlerinin arka planında yatan bir takım etik önkabuller vardır. Bunları sağ üstte gördüğümüz maddeler hâlinde özetlememiz mümkün.
Bunun yanı sıra hackerların ve dijital aktivistlerin gündemleri de oldukça yoğun. Şu anda üzerinde durdukları ve onlar için hayati öneme sahip olan kimi politik gündemler mevcut. Onların yaptıkları eylemleri incelerken bunların da göz önünde bulundurulması şart.
● Bilgi özgürdür ve öyle kalmalıdır.● Merak her şeyden önemli bir dürtüdür.● Otorite asla dostumuz değildir.● Önemli olan birinin nasıl göründüğü değil,
nasıl düşündüğüdür.● Siberuzayın doğasına dışarıdan bir müdahale
kabul edilemez.● Bilgisayarlar iyidir ve onlarla iyi şeyler
yapabilirsiniz.★ Dünyadaki tüm devletlerin ve şirketlerin gözetim açlığı (İstihbarat
servisleri, big data, Internet of Things, toplu gözetim...)★ Ağ tarafsızlığına ve internetin özgür, eşit, otonom yapısına saldırılar
(İnternetin balkanizasyonu, şirketlerin kontrol gücünü arttırma çabası, devletlerin interneti ve bilgisayarları kontrol etme çabası...)
★ Hackerlara, şifrepunklara ve whistleblowerlara ve aktivistlere karşı dünya çapında açılan savaş (Barrett Brown, Jeremy Hammond, Julian Assange, Anonymous, Chelsea Manning, Edward Snowden, Matt DeHart, Lauri Love, Emin Huseynov, Bassel Khartabil...)
Özetle...Hackerları temsil eden bu değildir...
Ama bu arkadaşlar olabilir.
Tehdit ModellemesiSahip olduğunuz varlıklarınızı riske atabilecek her türlü durum, tehdit olarak kabul edilir. Tehdit modellemesi ise bu durumu kavrama ve buna karşı yapılabilecekleri tasarlama/eyleme koyma sürecidir.
Tehdit modellemesi yaparken, kendinize 5 temel soru sormalısınız:
1. Neyi korumak istiyorum?
2. Kimden korumak istiyorum?
3. Bu şeyi korumak zorunda kalma ihtimalim nedir?
4. Bunu başaramazsam ne gibi kötü sonuçları olabilir?
5. Bunu engellemek için ne tür zorluklara katlanabilirim?
Bu sorulara vereceğiniz cevaplara göre nelere dikkat etmeniz gerektiğini, hangi önlemleri alabileceğinizi ve bunları nasıl yapacağınızı daha kolay ve doğru bir biçimde belirleyebilirsiniz. Bu sayede sizin işinize yaramayacak önlemlerle zaman kaybetmeyip daha önemli olanlara vakit/enerji ayırmanızı sağlayacaktır.
Metadata Nedir?
İnternette yaptığımız her şey, basitleştirilmiş hâliyle birer paketten ibarettir. Bu paket temel olarak da bir mektuptan farksızdır. Üzerinde bilgiler, içinde ise mektubun kendisi bulunur.
İletişim şifrelemek için kullanılan birçok yöntem, yalnızca içeriği şifreler ve paketin üzerinde yazanlar yine okunabilir kalır. Bu da sizi gözetlemek isteyen kişinin, içeriğe ulaşamasa bile birçok değerli bilgiye ulaşmasına ve siz ve çevreniz hakkında detaylı bir harita oluşturmasına imkan tanır. Bu yüzden birçok istihbarat ajansı metadata toplamaya büyük bir önem verir. Çünkü bu bırakacağınız izlerle oluşan Dijital Gölgeniz, size dair birçok şeyi açık eder.
Bunu önlemenin yollarından birisi internet trafiğinizi de tamamen şifrelemektir. Bunun yanı sıra tehdit modelinize göre daha detaylı önlemler de almanız gerekebilir.
Eğer trafiğiniz güvende değilse yalnızca metadatanız değil, DPI gibi yöntemlerle de yaptığınız her şeyin toplanması mümkündür.
Güvenli Bir Şekilde HaberleşmeGüvenli bir şekilde haberleşebilmeniz için her ne olursa olsun şifreleme yöntemlerini kullanmanız ve bunu bu şekilde haberleşmeniz gereken herkes ile aranızda bir zorunluluk hâline getirmeniz gerekir. Hemen her cihazda ve hemen her iletişim yolu için farklı şifreleme alternatifleri mevcuttur. Tehdit modelinize göre size en uygun olanları seçmelisiniz.
Tüm bunlara rağmen, metadatanın hâlâ erişilebilir olduğunu ve bunun kimi ekstrem durumlarda risk yaratabileceğini unutmayın.
★ Mail: PGP/GPG; ProtonMail, RiseUp vb mail sağlayıcılar; HTTPS
★ Mesajlaşma-Chat: Signal/TextSecure, ChatSecure, OTR+Pidgin(Adium), WhatsappTelegram (şifreli)
★ Sesli Görüşme: Jitsi, Signal, Silent Phone, Google Hangouts (Tehdit modeline bağlı olarak)
İnternet Trafiğinizi Kem Gözlerden Korumakİnternet trafiğiniz, dünyanın dört bir yanındaki sunucuları gezip size istediğiniz şeyi getirirken birçok farklı noktada, farklı biçimlerde saldırıya açık kalır. Bu saldırıların hepsinin amacı ve yöntemi farklı olsa da, savunma için yapacağınız kimi temel şeyler, internet bağlantınızı büyük anlamda güvene almanızı sağlar.
➢ Sağduyu: Herkese açık ağlara bağlanmamak, modeminizi sağlam bir parola ile korumak, sırf sansür atlatacağım diyerek her eklentiyi kurmamak…
➢ HTTPS: HTTPS-Everywhere tarayıcı eklentisini kurarak buna imkan veren tüm siteleri bu şekilde ziyaret etmek. Google, Facebook, Twitter gibi sitelere girerken sertifikasını kontrol etmek…
➢ Trafiğinizi Şifrelemek: Basitçe DNS değiştirip İSS’in verdiği yoldan gitmemek (DNScrypt), VPN ya da Proxy kullanıp bağlantınızı şifrelemek veya Tor veya I2P kullanıp neredeyse tamamen anonim bir yol izlemek…
➢ Takipçileri Durdurmak: Privacy Badger, Ghostery, No Script gibi eklentiler ile sizi takip edenleri engellemek...
Elinizdeki Veriyi Korumak
Cihzlarınızdaki veriler, birçok farklı biçimde saldırıya maruz kalabilir. Bunların kimisi uzaktan kontrol yollarıyla olabilirken, kimisi de direkt cihazınızı ele geçirerek olacaktır. Eğer verilerinizin kaybolmasını veya başkalarının eline geçmesini istemiyorsanız, her ikisi için de önlem almanız şart.
➔ Cihazlarınızı mutlaka şifreleyin. Çoğu sistem kendi içerisinde bu imkanı tanıyor. Hepsi çok güvenli olmasa da, birçok tehdite karşı sizi koruyabilir. (Linux: LUKS; Win: BitLocker, DiskCryptor; iOS, OSX ve Android: Sistem Araçları)
➔ Düzenli yedekler alın. Mümkünse bir offline ve şifreli yedeğiniz olsun.
➔ Cloud kullanımında çok hassas olun. Her şeyi oraya koymayın. Eğer koyacaksanız hangi servisi kullandığınıza dikkat edin veya önce şifreleyip sonra clouda gönderin. (SpiderOak, MEGA veya Owncloud)
➔ Cihaz güvenliği yazılımları kullanın, sisteminizi ve uygulamalarınızı daima güncelleyin.
➔ Her zaman olduğu gibi, yapacağınız her şeyi sağduyulu ve tehdit modelinize göre gözden geçirerek yapın.
➔ Parolalarınıza dikkat edin!
Online Güvenlik ve Parolalar
Online hesapların ele geçirilmesi, hesabın önemine ve kullanım şekline göre birçok farklı tehditle karşı karşıya kalmanıza neden olabilir. Bu yüzden online kimliklerin güvenliği de gerçek kimliklerimizin güvenliğine eş değerde sayılır. Bu noktada, parolaların önemi daha da iyi anlaşılır.
★ Güçlü parolalar seçin. Bunu ister rastgele parola üretme araçlarını kullanarak, isterseniz de diceware yöntemini kullanarak yapabilirsiniz.
★ Asla aynı parolayı birden çok yerde kullanmayın. Bu sizin güvenliğinizi ciddi anlamda riske atacaktır.
★ Farklı parolaların hepsini hafızanızda tutmanıza imkan yok. Bu yüzden mutlaka güvenilir bir parola kasası kullanın. (KeePass(X), LastPass)
★ İki aşamalı doğrulama yöntemlerini (2 Factor Authentication) kullanabileceğiniz her yerde aktif hâle getirin.
★ Hesaplarınızı farklı uygulamalara bağlarken en az 5 kez düşünün. Bağladığınız yerin hangi yetkileri istediğini, gerçekten güvenilir bir yer olup olmadığını kontrol edin.
★ Herkesten gelen linklere tıklamayın. Tıkladığınızda zaten giriş yaptığınız hesaba giriş yapmanızı istiyorsa yapmayın.
★ Bir yere giriş yapmadan önce tarayıcıdan güvenlik sertifikasını kontrol edip gerçekten orada olup olmadığınıza emin olun.
★ Güvenlik sorularına asla gerçek bilgilerinizle cevap vermeyin. Güvenlik sorularınızın cevapları için sahte şeyler bulun ve bunları da parola kasanıza kaydedin.
Veri İmha EtmekEğer bilgisayarınızda hassas bilgiler barındırıyorsanız ve bunlarla işiniz bittikten sonra asla başkasının eline geçmesini istemiyorsanız, verilerden tamamen kurtulmayı iyi bilmeniz gerekir. Çöp kutusuna atılan verilerin büyük bir kısmı, çoğu zaman tamamen silinmeden uzunca bir süre kalabilir.
Bunun yanı sıra SSD disklerden, USB belleklerden ve SD kartlardan tamamen veri silmenin neredeyse imkansız olduğunu unutmayıp buna göre önlem almanız gerekebilir.
➢ Eğer klasik tiplerde hard disk kullanıyorsanız, BleachBit programı silinmiş verileri gerçekten tamamen silmenizi sağlar. Bunun yanı sıra bu programın detaylı temizlik için kullanılabilme özelliği de bulunur.
➢ Eğer OS X kullanıyorsanız, dosyaları çöpe attıktan sonra “Çöpü Güvenli Boşalt” seçeneğini kullanmanız büyük anlamda işe yarar.
➢ CD/DVD içerisindeki bir dosyayı tamamen imha etmek istiyorsanız bunları kağıt imha eder gibi halletmeniz gerekir.
➢ Eğer USB/SSD/SD kart içerisine daha sonra silseniz de erişilemeyecek bir şeyler koyacaksanız, bunları şifrelemekten başka yol bulunmamakta. Bu yüzden dikkatli olun.
➢ Eğer cloud üzerine daha sonra tamamen imha etmek isteyebileceğiniz bir şey yüklemeyi düşünüyorsanız, YAPMAYIN!
Kaynaklar ve Okuma Önerileri (İnternet Siteleri ve Bloglar)
★ Gözetim Meşru Müdafa - https://ssd.eff.org/tr/★ Kem Gözlere Şiş - https://kemgozleresis.org.tr/★ Kame Blog - https://network23.org/kame/★ Tactical Tech - https://tacticaltech.org/★ EFF Deeplinks - https://www.eff.org/deeplinks★ Schneier on Security - https://www.schneier.com/★ Krebs on Security - https://krebsonsecurity.com/ ★ The Intercept - https://theintercept.com/★ Motherboard - https://motherboard.vice.com/ ★ Weird and Deadly Interesting (Kişisel blogum) -
http://ahmetasabanci.com ★ Tuhaf Gelecek - http://tuhafgelecek.com
Kaynaklar ve Okuma Önerileri (Kitaplar)★ Warren Ellis, Transmetropolitan★ Daniel Solove, Understanding Privacy★ Julia Angwin, Dragnet Nation: A Quest for Privacy, Security, and Freedom in a
World of Relentless Surveillance★ Bruce Schneier, Data and Goliath: The Hidden Battles to Collect Your Data and
Control Your World★ Julian Assange, When Google Met Wikileaks★ Glenn Greenwald, No Place To Hide★ Julian Assange, et.al, Şifrepunk★ Molly Sauter, The Coming Swarm: DDOS Actions, Hacktivism, and Civil
Disobedience on the Internet★ Gabriella Coleman, Hacker, Hoaxer, Whistleblower, Spy: The Many Faces of
Anonymous★ Derleme, Hack Kültürü ve Hacktivizm★ Kim Zetter, Countdown to Zero Day: Stuxnet and the Launch of the World's
First Digital Weapon★ The Boy Who Could Change the World: The Writings of Aaron Swartz★ Marc Goodman, Future Crimes: Everything Is Connected, Everyone Is
Vulnerable and What We Can Do About It
Ahmet A. Sabancı
http://ahmetasabanci.comhttp://tuhafgelecek.com
https://tinyletter.com/tuhafgelecekhttps://tinyletter.com/weirdanddeadlyinteresting
[email protected]: 2584-DB24-70AB-1854
@ahmetasabanciXMPP: [email protected]
