Dijital güvenlik gazeteciler için artık olmazsa olmaz. Bu alanda kullanılabilecek “Diceware” gibi şifre belirleme yöntemleri, KeePass gibi şifre saklayıcılar ve Tails gibi güvenli işletim sistemleri var.
Günümüzde gazeteciler siyasi, toplumsal ve ekonomik baskı altında. İnternetin mesleğimiz açısından önemini düşünürsek bu baskı dijital alandaki varlığımıza da yansıyor. Hâl böyle olunca dijital varlığımızı güvene almak çalışma rutinimizin bir parçası haline geliyor.
Peki gazeteciler dijital güvenlikleri için neler yapmalı? Mesela güvenli parola nasıl oluşturulur? Haber kaynağımızı dijital alanda nasıl güvence altına alabiliriz? Yazılımcı ve internet aktivisti Uğur Arıcı Journo’ya anlattı.
Dijital güvenliğin ilk adımından başlamak istiyorum. Parola ve şifre nedir?
Parola belirli bir alana geçmemizi sağlayan anahtar kelimedir. Parolanın ardında veri açık, ulaşılabilirdir. Şifre ise bir verinin belli bir yöntem ve anahtarla karıştırılması, anlamsızlaştırılmasıdır. İlgisiz kişilerin görmesini istemediğimiz verileri şifreleriz. Şifre çözüldüğünde veri anlamlı hale gelir.
Nasıl güvenli parola nasıl oluşturulur?
İnsanlar çoğunlukla parola oluştururken kendileriyle ilgili bilgileri kullanır. Örneğin, annesinin doğum yılının sonuna, kardeşinin evlenmeden önceki soyadını ekler. Bir gün içinde neredeyse 10 farklı yere parola girmemiz gerekiyor. Hâl böyle olunca da insanlar kendi hayatlarına dair belirledikleri parola kalıplarının sonuna Twitter için “tw” Facebook için “fb” gibi ilgili kısaltmalar koyuyorlar. Bu elbette ki güvenli bir yöntem değil. Güvenli parolanın rastgele oluşturulması gerekli. Bunun için Diceware yöntemini tavsiye edebilirim. Kişinin kendisine ait iki ya da üç tane Diceware şifresi varsa büyük oranda dijital güvenliğini sağlamış olur.
Güvenli parola oluşturmak için bir yöntem
Diceware nedir, nasıl çalışır?
Güvenli parolalar oluşturmak için zar atma yönteminin kullanılmasıdır. Diceware, parola oluştururken insanın kendi hayatındaki tahmin edilebilir şeylerin kullanılmasının önüne geçiyor. Diceware’da 7776 adet kelime içeren bir liste var. Bu listeden en az 6-7 kelime seçilmesini öneriyorum. Her kelimeyi belirlemek için beş kere zar atıyorsunuz. Atılan beş zar kelime listesinde bir karşılığa denk geliyor. Bu şekilde kelime listesinden altı ya da yedi tane kelime belirledikten sonra bu kelimeleri zihnimizde bir hikâye ile sıraya diziyorsunuz.
Örnek olarak oluşturduğumuz şöyle bir hikâye var (Bunu kimsenin kullanmamasını öneriyoruz): “Sonbaharda arenadan surlara çıkan cenah servi ağacının altında boş bir puset gördü.” Kelimelerim şunlar: Sonbahar, arena, surlar, cenah, servi ve puset. Bu altı kelime bu sırayla dizildiği zaman benim ana parolamı oluşturuyor. Bu tarz oluşturulmuş bir parola dijital anlamda yüksek güvenlik sağlıyor.
Neden Diceware’a güvenmeliyiz?
Diyelim ki yedi kelime seçerek bir parola oluşturduk ve zihnimizde bir hikâye yarattık. Bu şifrenin çözülme ihtimali 7776’ın 7’nci kuvveti kadardır. Ayrıca Diceware bir yazılım değildir, elle yaparız. Bu sebeple yüksek güvenlikli ve rastgele bir sonuç ortaya çıkar.
Parolalarımızı nasıl saklamalıyız?
Bütün parolalarımızı güvenli bir şekilde yani şifreli olarak saklayan parola kasalarında tutmalıyız. Özgür yazılım olarak KeePass, mülk yazılım olarak ise 1password ve LastPass gibi parola kasaları var. Ben özgür yazılımları mülk yazılımlara tercih ettiğim için KeePass’i önerebilirim.
‘Özgür yazılımlara güvenilebilir’
Öncelikle KeePass’te bir parola kasası oluşturulur. Parola kasası bir ana anahtarla şifrelenir. Parola kasasındaki bütün bilgiler her zaman şifreli durur. Kullanmak istediğinizde KeePass size bir anahtar sorar. Ana kasanın anahtarını girdiğinizde şifresi çözülür ve siz gerekli olan parolaya ulaşmış olursunuz. KeePass bütün istemcilerde kullanılabilir.
KeePass’e neden güvenmeliyiz?
Özgür yazılım olduğu için. Bilgisayarınız ya da telefonunuza kurduğunuz uygulamalar, elinizdeki donanımın gücünü kullanarak hesaplama ve işlem yapar. Kullanıcı çoğu zaman bu işlemlerin ne olduğunu bilmez. Özgür yazılımda ise programın nasıl çalıştığını anlama, istiyorsak değiştirme ve bunu istediğimiz gibi dağıtma hakkımız sabittir. Bir uygulama ortaya konulduğu zaman bunu kullanmayı düşünen binlerce belki milyonlarca kişi kaynak koduna bakarak gördüğü eksiklikleri ya da açıkları geliştirebilir. Özgür yazılımları bilgisayara kurarken sizin bilgisayarınızda yapacağı işlemleri satır satır okuyabilir, programın nasıl çalışacağına hâkim olabilirsiniz.
Sosyal medyanın gazeteciler için önemi tartışılmaz. Sosyal medya hesaplarının güvenliği için neler önerirsiniz?
Sosyal medya hesaplarından ziyade bütün dijital varlığımızı güvende tutmalıyız. Öncelikle cihazınızda kullandığınız programların size ihanet etmek olasılığını ortadan kaldırmak gerekiyor. Hesabınızı ele geçirmeyi amaçlayan oltalama taktiklerine dikkat etmek gerekli. Mutlaka iki adımlı doğrulama sistemleri kullanılmalı. Mülk yazılım olarak Google Authenticator, özgür yazılım olarak da FreeOTP kullanılabilir.
‘İki adımlı doğrulamada SMS güvenli değil’
İki adımlı doğrulamayla ilgili değinmek istediğim önemli bir nokta var: İki adımlı doğrulama telefonunuza gelen SMS ile çalışıyorsa yine güvende değilsiniz. Türkiye’deki gazeteciler sadece kötü niyetli üçüncü kişiler tarafından değil, kimi yetkili kurumlarca da rahatsız ediliyor. SMS yönetimi servis sağlayıcısının, servis sağlayıcısı da yetkili kurumlarında elindeyse SMS ile gelen kodu aslında yetkili kurumlara devretmiş oluyorsunuz. İki adımlı doğrulamanın sağlayacağı güvenlik ortadan kalkmış oluyor. Uygulamalarda üreteceğiniz “one time password” (OTP – tek seferlik parola) iki cihaz arasında bir anahtar üretir. Bu anahtara ortak sır da denilebilir. İki adımlı kimlik doğrulamada kullanılacak kodlar başka bir cihaza kopyalanmamalı ve cihaz üzerinden başkalarıyla paylaşılmamalıdır.
Cihazımızdaki verilerimizi nasıl korumalıyız?
Şifreli bir şekilde saklayarak, bulut sistemlerine koymayarak ve internet ağı olmayan cihazlarda saklayarak korunabilir. Mümkün olduğunca veriyi offline (çevrim dışı) tutmalıyız. Örneğin, Google Drive üzerinde sakladığınız dosyaların hakkını Google’a teslim etmiş oluyorsunuz. Telif hakkı Google’a ait oluyor. Encrypt File System (EFS ) kullanabilirsiniz. EFS, elinizde bulunan bulut sağlayıcısıyla cihazınızdaki bulut eşleştirmesinin arasına giriyor. Siz buluta dosya attığınızda EFS dosyayı alıyor, şifreliyor ve buluta öyle yolluyor. Başka birisi buluta ulaşmak istediğinde, veriler sizin cihazınızda şifrelendiği için anlamsız hale geliyor. Veriyi tekrar buluttan talep ettiğinizde şifrelenmiş hali cihazınıza geliyor, EFS cihazında şifreyi çözüp size öyle gösteriyor. Çok bilindik bir yöntem olarak harddiski de tercih edebilirsiniz.
Gazeteci, haber kaynağı ve haber merkeziyle olan iletişimini nasıl güvenli bir şekilde yürütebilir?
En önemlisi fiziki güvenliktir. Gazetecilere ekran filtresi kullanmalarını öneririm. Veri güvenliği açısından ise kaynaktan gelen verinin size şifreli bir şekilde ulaşmasını sağlayabilirsiniz. Size gelecek verilerin yolda üzerinden oynanmamasını sağlamak için şifrelemeniz gerekiyor. GPG ile şifreleyip “gönder” dediğinizde sokaktaki bir kaynak bunu bilmeyebilir. Bu yüzden gazetecilere SecureDrop kullanmalarını tavsiye ederim.
‘Haber merkezleri VPN sağlayabilir’
Ayrıca şifreli gelen veriyi açacağınız cihazın tamamen ağlardan arındırılmış olmasına, üzerinde WiFi ya da bluetooth kartı olmamasına özen göstermelisiniz. Tails gibi izole alanları tercih edebilirsiniz. Bazı haber merkezlerinin standart olarak kullandığı şifreleme yöntemleri var. Ayrıca haber merkezleri VPN istemcisi sağlayabilir. Dünya üzerinde pek çok şirket çalışanlarıyla iletişim kurmak için VPN istemcisi kullanıyor. Bilgilerimizin birileri tarafından anlık olarak okunup okunmaması o kadar önemli değildir. Asıl önemli olan bilgilerimizin depolanması, arşivlenmesi ve istenildiğinde bize karşı kullanılacak olması. “Bir sıkıntı var ve gizliyorsun” söylemini normalleştirmemek lazım.
VPN istemcisi ve Tails hakkında detaylı bilgi verebilir misiniz?
VPN, bilgisayarınızı ağ kartıyla güvenilir olduğunu bildiğiniz merkezin ağı arasında şifreli bir bağlantı kurar. Haber merkezi size bir VPN istemcisi verdi diyelim, siz bilgisayarınızdan o VPN’e bağlandığınız zaman bilgisayarınızla haber merkezindeki sunucu arasında uçtan uca şifreleme oluşturulur. Arada birileri bağlantıyı dinlese bile ne olduğunu anlayamaz. Kullandığınız ortamda ağ VPN bağlantısına izin vermiyor olabilir. Bu noktada sizin cihazınızda yaptığınız şifrelemenin sadece uygun anahtara sahip olanlar tarafında çözülebileceği şekilde yapılandırılması gerekebilir. Bu da şifreli e-postalarda kullanılan GPG ile sağlanır. Elinizdeki belgeyi GPG kullanarak şifrelersiniz ve alıcıya gönderirsiniz. Bu yöntem güvenlidir, çünkü GPG’de uygun anahtarla yaptığınız şifreleme sadece o anahtarın gerçek sahibi tarafından çözülebilir.
İzole alan: Tails
Tails, bilgisayarda USB bellek ya da optik okuyucu üzerinden canlı olarak kendi işletim sistemini çalıştırır. Bu işletim sistemi hakkında bilinmesi gereken en önemli şey, donanımın üzerinde canlı olarak çalışmasına rağmen cihazın üzerindeki donanımdan tamamen izole çalışması. Ancak Tails kullanırken cihazın donanımına müdahale edilmediğinden emin olmak gerekir.
Tails ile makine her seferinde sıfırdan açılır. Dil ve saat ayarları dâhil hiçbir ayarı saklamaz. Tails çalışırken bütün kullandığı ayarlarda en yaygın kullanılan ayarları standart olarak kabul eder. Örneğin İngilizce açılır, tarayıcı olarak Tor Browser çalışır.
Tor Browser açılırken kendini ekranın rastgele bir köşesine koyar ve her zaman en yaygın çözünürlükte açılır. Çözünürlüğüyle oynadığınızda size uyarı verir. Çünkü tarayıcının çözünürlüğü üzerinden hangi siteleri ziyaret ettiğiniz takip edilebilir. Tails’in içinde görsel düzenleme, ofis programları, şifreleme hizmetleri ve bitcoin cüzdanına kadar ihtiyaç duyacağınız bütün programlar vardır. İsterseniz şifreli bir şekilde depolama yapabileceğiniz bir alan sağlar. Ancak ben bu alanda herhangi bir veri tutmamanızı öneririm.
Tor’u kullandığımız çözünürlük üzerinden nasıl takip edilebiliriz?
Tor neticede bir internet tarayıcısıdır. Sizin makinenizin kimliğini gizlemeye yönelik olarak bağlantınızı farklı röleler üzerinden şifreleyerek dolaştırır ve onun üzerinden internetle konuşur. İnternet aldığı yanıtı yine farklı yerlerden dolaştırıp size getirir. Tor’un size sağladığı şey, iletişim şifrelemesi ve coğrafi konumunuzu saklamasıdır.
Hassas haber kaynaklarını korumak için
Şifreli mailin gazeteciler için avantajı nedir?
Varsayalım ki Filistin’e gittiniz ve İsrail’i eleştiren bir haber yaptınız. Hassas bir kaynaktan aldığınız bilgilere haberinizde yer verdiniz. Yüksek ihtimalle İsrail ordusu ya da hükûmetinin denetimindeki bir internet bağlantısı üzerinden haberi göndermek isteyeceksiniz. İsrail yetkilileri tarafından haberinizin maniple edilmesi bir yana kaynağınızı da tehlikeye atmış olacaksınız. Buna ek olarak haber merkezinin mailin sizden geldiğine emin olması gerek. Aradaki üçüncü kişiler mailinize müdahale etmemeli.
Mail şifreleme yöntemleri PGP ve GPG arasındaki fark nedir?
Aslında hiçbir fark yok. Zaten standart olarak tanımlanmış open PGP standartları var. PGP müthiş bir uçtan uca şifreleme standardı olarak ortaya çıkıyor. İlk çıktığında özgür yazılım ancak sonrasında mülk yazılım haline geliyor. Özgür yazılım olarak yayınlanan son hali GPG olarak geliştirilmeye devam ediyor. Kısaca PGP mülk yazılım, GPG özgür yazılım. GPG kenarda dursun bir ara kullanırım denilecek bir yöntem değil. Günlük hayatın bir parçası haline getirmek gerekli.
Mail şifreleme yöntemleri nasıl çalışır?
Mail şifreleme yöntemleri asimetrik şifreleme yöntemleriyle çalışır. Asimetrik şifrelemede kişi kendisi için bir anahtar oluşturur. Bunlardan biri açık anahtar, diğeri kapalı anahtardır. Açık anahtarı herkes paylaşabilirsiniz ancak gizli anahtarınızı cebinizde tutarsınız; çünkü size gelecek açık anahtarınızla şifrelenmiş maili sadece sizin kapalı anahtarınız açabilir. Maili yazdıktan sonra cihazım ağa çıkmadan alıcının açık anahtarıyla maili şifrelerim. Bu maili sadece alıcının kapalı anahtarı açabilir.
‘Bütün iletişim trafiği para akışına bakarak çözülebilir’
GPG anahtarlarının toplandığı sunucular vardır. Kullandığınız mail adresini ve mail adresinizle birlikte kullandığınız GPG anahtarını buradan duyurursunuz. Size mail yollamak isteyenler bu sunucularda GPG anahtar araması yaparak size ulaşabilir. Sunucuda arama yaparken doğru kişiye ulaşmak ciddi bir sorundur. Burada referans sistemine benzer bir süreç işler. Şifreli mail atmak için aradığınız ve tanımadığınız kişinin anahtarını, tanıdığınız ve güvendiğiniz bir kişi imzalamışsa işler biraz daha kolaylaşır. Ancak yine de tedbirli olmak gerekir.
Biyometrik doğrulama yöntemleri ne kadar güvenli?
Parolaların kriz anında değiştirilebilir olması lazım. Parmak izi, yüz ve retinayı değiştiremeyiz. Bu sebeple bizim istediğimiz dışında retinamız ya da parmak izimiz kullanılarak parola açılabilir.
Gazeteciler blok zinciri (blockchain) tabanlı ödeme sistemlerini kullanmalı mı?
Dünyadaki bütün iletişim trafiği sadece para akışına bakarak çözebiliriz. Ayrıca ödeme sistemleri merkezidir. Merkezi sistemlere, geriye dönük olarak değiştirilebildiğinden ve tuttuğu kayıtlar inandırıcı olmadığından güvenmiyorum. Ayrıca herhangi bir sebepten dolayı hesaplarımın kilitlenmesi riskiyle karşı karşıya kalabilirim. Çeşmenin başını tutanlardan dolayı kesilen komisyonlar, özellikle döviz işlemi komisyonları çok fazla. İşin bir de vergi kısmı var. Kısaca blockchain ödeme sistemlerine güvenmeli ve kullanmalıyız; çünkü kayıtlarda geçmişe dönük hiçbir değişiklik yapılamaz ve bir merkeze bağlı olmadan değer değişimi sağlanır.
Kafelerde ve ortak çalışma alanlarında WiFi ağları ne kadar güvenli?
Bir WiFi sağlayıcısına (modeme) bağlandığınız anda cihazınızdaki bütün paketler dışarıya ulaşabilmek adına onun üzerinde geçiyor. Hâliyle biri bu ağı dinliyor, takip ediyor olabilir. Bu sebeple dışarıda hiçbir ağa güvenemeyiz. Bunu aşmak için VPN kullanabilirsiniz. VPN olmadan cihazının ağa bağlanmamasını öneririm.
İLGİNİZİ ÇEKEBİLİR – DİJİTAL GÜVENLİKLE İLGİLİ YANLIŞ BİLDİĞİNİZ HER ŞEY