Dijital Güvenlik: Sorular, Şüpheler, Kaygılar

Bizler başta web tarayıcılarında, uygulamalarda, işletim sistemlerinde ve de genel olarak internette (mobil cihazlarda ve bilgisayarlarda) güvenlik kavramını basit bir çerçeveyle dijital güvenlik olarak özetliyoruz. Hukuki ve teknik iki yönü olan bu konuyu, bu iki yönü birbirinden hiç koparmadan anlamaya ve anlatmaya çalışıyoruz.

Bu şekildeki anlama/anlamlandırma çabamıza dair tüm söylemlerden önce kendi kendimize şu cümleleri tekrar edelim bir kaç kez: Dijital dünyada her şey iz bırakır, hiç bir şey sonsuza kadar saklı kalamaz ve hiçbir şey kırılmaz (“hacklenemez”) değildir. Dolayısıyla yazının sonunda da tekrar hatırlayacağımız üzere; güvenlik kavramı sürekli dayanışmayla ve güncel bilgi/uygulama ile ilgilidir ve buna rağmen hiç kimse hiç bir zaman yüzde yüz güvenliğe ulaşamaz.

Olayın hukuki boyutuna baktığımızda ise; 11 Eylül’le (2001) doruğa varmış olan ve fakat öncesinden beri de dev uluslararası şirketler ve hükümetler eliyle devam eden bir süreç çerçevesinde insan hakları hukuku kavramının kendisi ve geçerli uygulaması dijital dünyada tam anlamıyla yok sayılmakta ve göz ardı edilmektedir.

Kişisel verilerin izinsiz toplanması, sansür mekanizmalarının amansızca işletilmesi, mahrem iletişimlerin gözetlenmesi, dijital güvenliğin ve internette insan haklarının şirketler ve hükümetlerce bu denli hiçe sayılmasına karşın tüm bu olumsuz hareketlerin karşısında duranlar da bir cadı avına konu edilmek istendiler. Öyle ki insanların internette kendilerini, verilerini, iletişimlerini güvence altına alması için yapılan eğitimler, uygulamalar ve hak arama çalışmaları dahi “saklayacak bir şeyiniz olmasaydı bu kadar uğraşmazdınız, saklayacak bir şeyiniz varsa da siz teröristsiniz” cümleleri ile karşılanarak eğitimciler ve bilgilenmek isteyen kitleler baskılanmaya çalışıldı. Hatta verileri izinsiz şekilde ele geçirilen ya da hukuksuz yollarla iletişimleri dinlenen kişilerin hukuki yollardan hak arama çalışmalarına bile çeşitli etiketler yapıştırıldı ve kişilerin bu tür durumlarda sessiz kalmaları önerildi.

İşte bu kısa yazının amacı tüm bu hukuksuzluğun, bilgi karmaşasının ve baskının karşısında teknik açıdan en net gerçekleri, doğruları ve hukuki açıdan da haklarımızı çok kısa ifadelerle ve genelde referans kaynaklar göstererek farkındalık yaratmaktan ibaret. Bundan önce buna benzer pek çok yazı/kılavuz yazıldı, bundan sonra da güncellemelerle yeni içerikler üretilmeye devam edecek. Önemli olanın mücadele bayrağının yere hiç düşmemesi olduğunu bilenler hep olacak.

Sorular, şüpheler, kaygılar

İnsanların sıklıkla yakındıkları ve bizlere ilettikleri şüpheler, sorunlar, sorular ve kaygılar eylemsel sıralama açısından aşağıdaki başlıklarda toplanabilir:

1- Verilere ulaşamıyoruz, çünkü kaynaklar sansürlenmiş durumda.

2- Verilere ulaştığımızda da doğruluklarından şüphe ediyoruz.

3- Ayrıca verilere ulaşma yöntemlerimizin suç olması ihtimalinden çekiniyoruz.

4- Genel olarak dijital güvenlik anlamında nasıl korunacağımızı bilmiyoruz.

5- Verilerimizi ve/veya iletişimimizi teknik olarak nasıl saklayacağımızı bilmiyoruz.

6- Dijital dünyadaki hareketlerimizin izlenip izlenmediğimizden emin değiliz.

7- “Güvenli dijital iletişim ve veri paylaşımı” nasıl yapılır bilmiyoruz.

8- Haklarımız ihlale uğradığında kendimizi hukuken nasıl savunacağımızı bilmiyoruz.

Olası çözümler

Her gün belki onlarcasını hem mobil cihazlarınızda hem bilgisayarlarınızda kullandığınız merkezi servislerin yukarıda saydığımız kaygılar/şüpheler anlamında çok ciddi dijital güvenlik riskleri taşıdığını bilseniz aynı yazılımları/servisleri/uygulamaları/siteleri kullanmaya devam eder miydiniz?

Google, Yahoo, Microsoft, Apple gibi dev şirketlerin ve hemen her gün kullandığınız Dropbox, Google Drive, Whatsapp, Skype, Facebook, Twitter, Gmail vb. uygulamaların veri gizliliğinizi açıkça hiçe saydıkları ve de size ait her türlü veriyi hükümetlerle hukuk dışı yollardan paylaştıklarına (Tüm iletişimi izleme/gözetleme/denetleme hareketi olan “PRISM projesi” sayesinde) dair çok ciddi bilgi bulunmaktadır.

Hatta bu noktada ABD hükümetinin de esasen konuyu yalanlamadığını bilmekte fayda var. Çünkü ABD yasalarına göre ABD vatandaşı olmayanlara karşı yapılacak bu tarz izinsiz istihbarat faaliyetleri ve mahrem verilere izinsiz erişimler yasadışı kabul edilmiyor ve de bu konularda yukarıda adı geçen dev şirketler ABD tarafından özel olarak destekleniyor/kullanılıyor. Bu konuda özellikle “PRISM Projesi” anahtar kelimeleriyle arama yaptığınızda daha çok veriye ulaşabileceğinizi söyleyerek detaylara burada girmeyelim. Ama sizin detaylarını okuyabileceğiniz PRISM Projesi’nin tehlikeli emellerine alet olmamanız için neler yapabileceğinize göz atalım isterseniz.

Bu konuda kendimizi nasıl koruyacağımıza dair yapılan derleme çalışmaları içerisinde en derli toplusu olarak son yıllarda sürekli takip edip önerilerini uyguladığımız bir site var. https://prism-break.org/ adresindeki bu siteyi değişik dillerde görüntüleyebiliyorsunuz, yani dijital güvenlik konusunda bazen çekilen sıkıntılardan biri olan yabancı dil bilmeme sorununu da aşmış durumda bu site, sitenin Türkçesi de var.

Hem Android ve IOS cihazlar için hem de MacOs, Windows ve Linux türü işletim sistemleri için eposta ve bulut depolama seçeneklerine kadar pek çok özgür ve güvenli uygulama hakkında bilgi mevcut bu sitede. Sürekli de güncelleniyor. Siz de bu site üzerinden kullandığınız cihaz türünü, platformu, işletim sistemini seçip sonra da hangi tür uygulamalar konusunda denetimden kurtulmak ve mahremiyetinizi koruyarak özgürleşmek istediğinizi seçerek adım adım ilerleyebiliyorsunuz.

Örnek/basit teknik çareler

Bu yazıda referans verilen kaynaklardan yola çıkarak;

* Web sitelerinde güvenli şekilde dolaşmanızı sağlayacak olan “HTTPS” kavramını öğrenin ve sürekli HTTPS kullanın. Kişisel/banka verilerinizi rahatlıkla ele geçirilebilmesini sağlayan “Phishing” saldırısının ne olduğunu ve nasıl korunacağınızı öğrenin. Bu tarz güvenlik çözümlerini güvenli tarayıcılarınıza ekleyeceğiniz tarayıcı eklentileri ile kolayca ve otomatik olarak nasıl kullanacağınızı öğrenin.

* TOR’un ve genel anlamda VPN’in (Virtual Private Network/ Sanal Özel Ağ) ne olduğunu ve de bunların güvenli şekilde nasıl kullanabileceğinizi öğrenin.

* Signal ve Protonmail benzeri güvenli iletişim (mesajlaşma/e-posta) araçlarının özelliklerini öğrenin ve bunları kullanın.

* Tüm cihazlarınız için güvenlik duvarı ayarlarınızı her zaman denetleyin ve virüsler ile benzeri kötü amaçlı yazılımlara karşı gerekli savunma/ikaz/temizlik programlarınızı her zaman güncel ve aktif tutun. Tüm bunları hem mobil cihazlarınız hem de her türden farklı işletim sistemi kullanan bilgisayarlarınız için uygulayın. Özellikle konum verisi vb çok ciddi verileri barındıran akıllı telefonlarınızın güvenliğini her zaman en üst seviyede tutun.

Kullanışlı rehberler

Örneğin yine uzağa gitmeden bianet üzerinde bile Barış Büyükakyol’un hazırlamış olduğu ve GnuPG, Thunderbird ve Enigmail eklentilerinin e-posta güvenliği için nasıl kurulup kullanıldığını anlatan şu rehberdeki çok basit adımları uygulayabilir hatta bu yazıda size sunulan anahtar kelimelerle yapacağınız aramalar sonucu ulaşabileceğiniz sayfalarda bir kısmı güncellenmeden kalmış da olsa kendi özgür/sansürsüz/denetlemesiz internetinizi nasıl kurabileceğinizi bile okuyup, deneyebilirsiniz.

Ana referans kaynaklarımızdan biri olan Free Software Foundation’ın (FSF) sayfalarından çok başarılı olan riseup.net  sitesine ve diğer bazı web e-posta servisine neden tam onay verdiklerini görebilir ve yine aynı sayfada henüz incelemelerinin bitmediği belirtilen ama pek çok aktivist tarafından kullanılan güvenli e-posta sistemleri olan https://protonmail.ch ve https://tutanota.de adreslerine de göz atabilirsiniz.

Öyle ki esasen dijital güvenliğinizin sadece iletişim programları/uygulamaları ile sınırlı olmadığını da anlamak için yine FSF’nin Adobe’nin verilerinizi izinsiz ele geçiren ve sizi izleyen programlarına alternatif olarak önerdiği güvenli ve özgür yazılımlara https://pdfreaders.org/ adresinden ulaşabilirsiniz. Böylece açık kaynak ve özgür yazılım gibi tüm çevresinde dolandığımız kavramların doğasında olan unsurları da inceleme fırsatı bulabilirsiniz böylece belki de.

Dünyanın dört bir yanındaki insanların kendilerini elektronik gözetimden korumaları için hazırlanmış bir rehberi de https://ssd.eff.org/tr/ adresinde inceleyebilirsiniz. Signal, TOR, KeepassX, OTR, ChatSecure, Adium, PGP gibi uygulama/yazılım/sistem çözümleri hakkında da genel olarak bu adresten sürekli güncel bilgi alabilirsiniz. Bu site de çok değerli içeriğini Türkçe dahil pek çok dilde sunuyor. Bu siteyi yapan The Electronic Frontier Foundation kurumu 1990 yılında kurulduğundan beri dijital dünyadaki sivil özgürlükleri savunan ve kar amacı gütmeyen bir dernek.

Tüm bu çözümleri uygulayıp sansürsüz şekilde ve denetlenmeden/izlenmeden ulaştığımız verilerin doğruluğunu değerlendirebilmek için de www.dogrulukpayi.com/ ve teyit.org gibi doğrulama uygulamalarından faydalanmayı ve eleştirel bakış açısı kazanmayı da bir alışkanlık haline getirmeliyiz elbette.

Yasal haklarımız?

Anayasa’mızda ve Avrupa İnsan Hakları Sözleşmesi’nde (AİHS) dijital alanda da rahatlıkla uygulayabileceğimiz/yararlanabileceğimiz pek çok hak tanımlanmış durumda. İlgilenenler detaylarıyla ilgili metinleri okuyabilirler.

Burada üzerinde durulması gereken husus ise şudur: Üzerinize atılı suçu işlemediğinizi ispatlamak zorunda olan siz değilsiniz, temel bir ilke olarak her iddia, kendi sahibi tarafından ispatlanmalıdır. Susma hakkını kullanmanız suçlu olduğunuz ya da sizin üzerinizde şiddet kullanabilecekleri anlamına gelmez.

Yine en önemli dayanak ilkelerimizden biri de Anayasa’nın 38. maddesinde yer alan “Kendi ve yakınları aleyhine beyanda bulunmama ve delil göstermekten kaçınma hakkı”dır.  Bu arada belirtmekte fayda vardır ki; OHAL dönemleri kuralların konulmasında/tatbikinde kamu otoritesinin tamamen kendi istediği/dilediği şekilde hareket edebileceği anlamına gelmez. İç ve dış hukukilik denetimi olağanüstü dönemlerde de varlığını kısıtlı da olsa koruyacaktır.

Cihazlarda inceleme yapılabilmesi için el koyma noktasında ise Ceza Muhakemesi Kanunu’nun (CMK) 134. Maddesi devrededir.

Bu madde uygulaması son derece sorunlu olan ve pek çok mağduriyetin yaşanmasına neden olan bir yapıdadır. Dolayısıyla dijital delilleri içeren ciddi bir suçlamayla karşı karşıya kaldıysanız ve/veya üzeriniz/eviniz/büronuz dijital deliller için aranıyorsa derhal uzman bir avukattan ya da barodan yardım isteyiniz. Tanıdığınız avukatların ya da baronun ilgili merkezlerinin telefon numaralarını her zaman yedeğinizde bulundurunuz.

Son hatırlatmalar

Alternatif Bilişim Derneği, bianet, Korsan Parti, Sınır Tanımayan Gazeteciler, Electronic Frontier Foundation, Free Software Foundation, Bilgisayar Mühendisleri Odası ve benzeri dernek ve kurumların içeriklerini, yayınlarını ve eğitimlerini takip etmeyi unutmayınız. Bu türden kurumlar gazeteciler, öğrenciler, hak savunucuları, avukatlar ve benzeri değişik gruplar için sürekli olarak internet güvenliği ve genel anlamda dijital güvenlik bilgilendirmeleri ve çalıştayları düzenlemektedirler.

Bu anlamda üniversitelerin özellikle başta iletişim, hukuk ve mühendislik fakültelerinin öğrencilerinin yukarıda anlattığımız teknolojilere ve yasal haklara/uygulamalara vakıf olmaları ve güncel tuttukları bilgilerini de sürekli çevrelerinde farkındalık yaratmak amacıyla yaymaları en başta söylediğimiz sürekli dayanışma ve güncel bilgi aktarımı noktalarında çok büyük önem taşımaktadır. Kendiniz ya da içinde bulunduğunuz bir grup için eğitim almanız ya da teknik/hukuki bir dijital güvenlik konusunu çözmeniz gerektiğini düşündüğünüzde bu türden kurumlara ya da buraların gönüllüsü olan kişilere rahatlıkla başvurabilirsiniz.

Tüm bu anlattıklarımıza ve dijital güvenlik hakkında diğer okuyup/izleyebileceklerimize rağmen aklımızdan çıkarmamamız gereken son bir cümle de var elbette: “Kullanmanız tavsiye edilen yazılım ve benzeri güvenli/özgür araçları kullanmak dahi hükümetlere/şirketlere/kişilere karşı size yüzde 100 bir koruma sağlamayacaktır.”

Ama unutmayın Julian Assange ne demişti?

Bilginizi şifrelemek, birilerinin sizin bilgilerinizin şifresini çözmesinden çok çok daha kolaydır. Çözmek için ciddi bilgisayar gücü ve çok çok uzun zaman gerektirecek bir şifrelemeyi yazımızdaki kaynaklardan alacağınız bilgiler çerçevesinde kullanacağınız yazılımlarla basit bir kurulumdan sonra tek bir tuşa basarak gerçekleştirebileceğinizi söylesek? (SK/HKN)