Amerika Birleşik Devletleri'nde faaliyet yürüten Basın Özgürlüğü Vakfı (The Freedom of the Press Foundation), basın kuruluşlarına güvenli biçimde belge sızdırmayı (bir belgeyi kamuoyuna duyurulması için kitle iletişim araçları ile paylaşmak) kolaylaştıracak SecureDrop uygulamasını hizmete soktu.
SecureDrop, dokuz ay önce intihar eden internet aktivisti Aaron Swartz'ın öncülük ettiği projelerden biriydi.
Mimari tasarımı Aaron Swartz tarafından yapılan SecureDrop, kullanıcının kendisine verdiği belgeyi şifreleyerek güvenli bir alanda muhafaza eden bir program.
SecureDrop şöyle işliyor:
* Öncelikle basın kuruluşu, SecureDrop yazılımını içeren bir platform kuruyor. Bu platformun bir de web sitesi oluyor.
* Elindeki belgeyi basına sızdırmak isteyen vatandaş bu platformun web sitesine girip, kişisel bilgilerini vermeden bir hesap oluşturuyor. Sistem kullanıcıya bir kullanıcı adı veriyor (örneğin vatandas1 olsun).
* Kullanıcı bu hesabı kullanarak elindeki belgeleri sunucuya yüklüyor. Belge basın kuruluşunun sunucularında güvenli biçimde depolanıyor.
* Vatandas1 kullanıcısının sisteme yüklediği belgeler sistemde tek bir klasör altında toplanıyor.
* Muhabir, sisteme girilen yeni belgeleri güvenli sunucudan indirip inceleyebiliyor. Klasörleri görebiliyor, dolayısıyla hangi belgelerin aynı kullanıcı tarafından sızdırıldığını biliyor. Fakat belgeleri yükleyen kişi hakkında, kullanıcı adı da dahil hiçbir şey bilmiyor.
* Muhabirle belgeleri yükleyen kişi bu sistem üzerinden yazışabiliyorlar (ek belge isteme, belgelerle ilgili açıklama yapma, vs.). Ama kullanıcı gönüllü olarak kimlik bilgilerini vermediği sürece muhabir kiminle yazıştığını bilmiyor.
* Böylece belgeleri yükleyen kişi, kimlik bilgilerini gizli tutmuş oluyor.
Bir özgür yazılım olan SecureDrop'u, isteyen her kuruluş ücretsiz olarak kendi sunucularına kurabilecek. Böylece, kişisel güvenliklerinde endişe ettikleri için elindeki belgeleri sızdırmaktan çekinen kaynaklara daha güvenilir bir arayüz sağlanmış olacak.
Platformu geliştirenler, yüzde yüz güvenliğin imkansız olduğuna vurgu yaptıktan sonra, sistemi güvenli hale getirmek neler yaptıklarını bir blog iletisinde açıklıyorlar.
Geliştiricilerin açıklamasına göre, 2013 yılı ortalarında, güvenlik uzmanı Bruce Schneier ve Washington Üniversitesi'nden Alexei Czeckis danışmanlığında bir grup, SecureDrop üzerinde bir güvenlik denetimi yaptılar. Bu denetimde, SecureDrop kaynak kodunda kritik derecede önemli herhangi bir güvenlik açığı bulunmadı.
Buna ek olarak SecureDrop ekibi, sistemin güvenliğini sürdürebilmesi için tam zamanlı bir güvenlik uzmanını işe alacaklarını açıkladı. SecureDrop güncellendikçe güvenlik denetimleri de sürecek.
Wikileaks'in ortaya çıkışından bu yana, internet üzerinden güvenli olarak belge sızdırmayı kolaylaştıran sistemler popülerlik kazanmaya başlamıştı.
SecureDrop üzerinde 2013 ortasında yapılan güvenlik denetimi raporuna bu linke tıklayarak ulaşabilirsiniz. (EİC/EA/ÇT)
