Proton ve Signal artık güvenli platformlar değil diyenlere muhakkak rastlamışsınızdır. (En azından bu yazıyı okumakla ilgileniyorsanız, bu durumdan haberiniz olduğunu tahmin ediyorum.) Birçok medya kuruluşu ve sosyal medya hesabı tarafından bu mesaj paylaşılmakta. Bir noktada haklı gibi görünebilirler, çünkü Proton Privacy bir kurtarma e-posta adresini İspanyol polisinin teslim etme talebine karşılık hukuki mercilere verdi. Signal’in ABD hükümetinin veri toplamak için bir paravan şirket olduğunu iddia eden yeni bir söylem de ortalarda dolaşıyor.

Bu tür konuları takip etmek elbette online güvenliğiniz için önemli, ancak bu bilgilerin doğruluk payını bilmek daha da önemli. O yüzden bu konuların altyapısını sizlerle paylaşmak istiyorum, ancak daha da önemlisi, bu, kişisel güvenlik ve mahremiyetin ele almamız gereken ve sansasyonel haberler uğruna genellikle göz ardı edilen kritik bir bölümünü anlatmamı da sağlayacak.

Siber güvenlik teyit önyargısı

Eminim ki çoğumuz, devlet gözetimine ve büyük teknoloji şirketlerine şüpheyle yaklaşıyoruz. Dolayısıyla bir şirketin kullanıcı verilerini teslim ettiğini ya da devlet kurumlarıyla işbirliği içinde olduğunu okuduğumuzda, bir doğrulama önyargısı içine düşebiliyoruz. Soru sormak ve gerçekte neler olup bittiğini anlamak yerine, bazı insanlar ellerini havaya kaldırıp “Gördünüz mü, biliyordum. Artık gizlilik ve güvenlik diye bir şey yok.” diyebiliyorlar, ve bu tür söylemler her daim daha ilgi çekici oluyor.

Bunun yıllar içinde birçok kez yaşandığına şahit oldum ve ister 2024 yılında bu yazıyı okuyor olun, ister yıllar sonra olsun, hikayenin temel yapıları genellikle aynı oluyor. Şimdi bu vakalara özel olarak bakalım.

Gizlilik sağlayıcı şirketler ve devletlerin veri talepleri

Proton vakası ile başlayalım. İspanyol emniyet birimleri, terörist olduğunu iddia ettikleri bir kişinin kimliğini tespit etmek için İsviçre makamlarından talepte bulundu. Bir hükümetin bu yetkisini kötüye kullanarak bir kişiyi terörist olarak yaftalayıp yaftalamamasından bağımsız olarak, Proton gibi şirketlerin bu taleplerle mücadele etmek için yasal yolları var ve gerekli gördükleri durumlarda bunu yapıyorlar. Ancak günün sonunda, her bir şirketin bulunduğu ülkenin yasal çerçeveleri dahilinde faaliyet göstermesi gerektiği gerçeği değişmiyor.

Eğer bir Türk şirketiyseniz ve Türkiye Cumhuriyeti hükümeti sizden yasal, mahkeme onaylı bir talepte bulunuyorsa, kabul etseniz de etmeseniz de bunu yapmak zorundasınız. Aynı şey İsviçre ve dünyadaki diğer tüm ülkeler için de geçerlidir. Bir şirketin gizliliğinizi koruduğunu söylemesi, bu talepleri görmezden gelebileceği anlamına gelmez. Bunu anlamak gerçekten önemlidir ve medya kuruluşlarının bu haberleri her ele aldıklarında gözden kaçırmaları da ilginçtir.

Şifreleme ve veri talepleri

Ancak bilinmesi gereken bir diğer önemli husus da şirketlerin bu talepler karşılığında yalnızca gerçekten sahip oldukları verileri verebilecekleridir. Uçtan uca şifrelenmiş tüm veriler teslim edilebilir, ancak Proton ve Signal örneğinde olduğu gibi yalnızca sizin sahip olduğunuz şifreleme anahtarları olmadan hiçbir işe yaramaz.

E-posta söz konusu olduğunda, bir e-postanın gönderilebilmesi için – her posta gibi – gönderici ve alıcı bilgilerine sahip olması gerektiğini de anlamanız gerekir. Bu bilgiler şifrelenemez, aksi takdirde asla teslim edilemez. Aynı şey, oluşturduğunuz herhangi bir çevrimiçi hesaptaki kurtarma e-posta adresi için de geçerlidir. Eğer bu şifrelenmiş olsaydı, şirket hesabı kurtarmanıza yardımcı olmak için e-posta adresini göremezdi. Başka bir deyişle, işlevini yerine getirebilmesi için bazı bilgiler gizlenemez.

“Kalkmış burada şirketleri savunmaya çalışıyorsunuz!” diyenleri duyar gibiyim. Hayır, savunmuyorum. Burada gerçekçi olmaya çalışıyorum. İspanyol terörist vakasında Proton, kullanıcının adını ya da e-postalarını vermedi. Veremezlerdi çünkü bu bilgilere sahip değillerdi. İsviçreli yetkililer tarafından kurtarma e-posta adresini vermeleri istendi ve bu eposta adresini teslim ettiler. Bu durumda, teslim edilen bir Apple e-posta adresiydi ve daha sonra kurtarma e-posta adresiyle ilişkili kişinin adını yetkililere veren ise Apple oldu. Bu durumda en ağır suçlama, Proton’u kullanıcılara bu kurtarma adresinin özel olmadığını bildirme konusunda yeterince iyi bir iş çıkarmamak şeklinde olabilir.

Signal şifrelemeyi kırmakla suçlanıyor

Signal’e gelecek olursak, tamamen farklı ama benim de sayısız kez gördüğüm bir durumla karşı karşıyayız. Signal’in rakibi olan Telegram’ın kurucusu Signal’in şifrelemesini sorgulayan bir mesaj paylaştı. Acaba motivasyonu nedir? Bu mesajda “konuştuğum çok sayıda önemli kişi, özel Signal mesajlarının ABD mahkemelerinde veya medyasında kendilerine karşı kullanıldığını belirtti” diyor. Bu iddiayı destekleyecek herhangi bir kaynak bulunmadığına ve bunu yeniden paylaşan çok sayıda kişinin bunların rakipler olduğu gerçeğini görmezden geldiğine dikkat edin. Başka bir deyişle, burada inkar edilemez bir önyargı var. Signal gerçekten de şifrelemeyi kırıyor olabilir, ama ispat olmadığı sürece bu söylem, sadece zayıf ve mesnetsiz bir iddiadan ibaret kalmaktadır. Mesele şu ki; herkes şifrelemenin kırılabileceğini ya da kırıldığını iddia edebilir. Ancak ispat yükü benim veya sizin üzerinizde değil, iddiayı ortaya atan kişinin üzerindedir. Yani Telegram CEO’su rakipleri Signal’in şifrelemesinin kırıldığını iddia edecekse (doğru da olabilir) ciddiye alabilmem için kulaktan dolma kanıtlardan daha fazlasını sunması gereklidir.

Signal’e yönelik şikayetin diğer kısmı yönetim kuruluyla ilgili. Görünüşe göre şu anki yönetim kurulu başkanının sansürü destekleyen bir geçmişi ve istihbarat topluluğu ile ilgili bağlantıları var. Ve anlıyorum – bu Signal için kötü bir görüntü vermektedir ve muhtemelen ele alınması gereken bir konudur. Ancak Signal de Proton gibi açık kaynak kodludur, yani son 10 yılı aşkın süredir güvenlik araştırmacıları bu uygulamaların kod tabanına erişebilmektedir. Liderlik kesinlikle önemlidir, ancak kod koddur. Yönetim kurulu başkanının görüşünün bunu ne kadar değiştirebileceği farklı bir tartışma konusudur.

Gizlilik uygulamalarıyla kişisel OPSEC’i anlamak

Tüm bunlardan çıkarmanızı istediğim temel mesaj söylemleri görmezden gelmeniz gerektiği ya da Proton ve Signal’i kullanmak için bana körü körüne güvenmeniz gerektiği değil. Asıl mesaj şudur;

Güvenlik ve gizlilik uygulamaları ve hizmetleri yalnızca onları kullanan kullanıcı kadar güçlüdür.

Evinizin ön kapısına en güçlü kilidi satın alıp takabilirsiniz, ancak pencereyi açık bırakırsanız, bu kapının değil, sizin suçunuzdur. Buna kişisel OPSEC ya da operasyonel güvenlik denir. Bu, Proton ve Signal gibi uygulamaların kullanımını içeren yaptığınız her şeyi kapsar.

Dijital çağda pratik gizlilik

Dürüst olmak gerekirse, burada yazanlar yalnızca gizlilikleri veya güvenlikleri konusunda son derece endişeli olanlar için geçerli görünebilir, ancak ortalama bir internet kullanıcısı olsanız bile, sizi korumak için yalnızca yazılıma güvenemezsiniz. Güçlü gizlilik alışkanlıkları oluşturmak sizin sorumluluğunuzdadır.

Bu yüzden, uçtan uca şifrelemenin duvarları içinde bile ne paylaştığınıza dikkat edin. Bazen yanlış bir güvenlik hissine kapılırız ve işte o zaman açıklar veririz. Eğer tehlike arz eden fotoğraflarınızın internette paylaşılmasını istemiyorsanız, en temel çözüm tehlike arz eden fotoğraflar çekip arkadaşlarınıza göndermemekten ibarettir aslında! Her zaman çözümlerin bu denli basit olmadığını biliyorum, ancak bazen bilgileri gizlemenin en iyi ve en kolay yolu, ilk etapta dijital olarak paylaşmamaktır.

Bu yazı hakanozerdem.com.tr kişisel blogundaki ilgili yazıdan alıntıdır.

© 2024, Hakan Özerdem. Tüm hakları saklıdır.
Tüm içerik ve verilerin yayın hakkı saklıdır. Paylaşım için paylaştığınız içeriğe erişilebilir ve görünür bir bağlantı bulundurulması şarttır.