Bakanından gazetecisine neredeyse her gün bir hesap hekleniyor ve nahoş durumlar ortaya çıkabiliyor. Ancak sadece ünlüler ve gazeteciler değil, internet kullanan herkes için güvenlik riski var.
İşin tuhafı, bunca uyarıya, heklenmeye, trollenmeye rağmen dijital güvenlik, hala çoğunluğun önemsemediği bir konu. “Aman canım, nasılsa bir şey olmaz” veya “Gizli bir şey yapmıyorum ki! Bilgisayarımda, mesajlaşmalarımda olan bilgiler zararsız” diyenlere söyleyeceğim şu:
Evden çıkarken kapıyı ardına kadar açık bırakır mısınız?
Ya da hesap bilgilerinizi alnınıza yapıştırıp sokakta dolaşır mısınız?
Türkiye’nin şizofren ortamında, bir bilginin aleyhinize kullanılmayacağından nasıl emin olabilirsiniz?
Sanırım ne demek istediğimi anlatabildim. Demek ki telefon ve bilgisayarlarınızı da güvenliğe alacak, internette dolaşırken bazı temel kurallara dikkat edeceksiniz.
Endişelenmeyin, gözünüzde büyütmeyin, ertelemeyin: Ben de ancak heklendikten sonra durumun önemini kavradım ve teknoloji acemisi olmama rağmen öğrenmek için kolları sıvadım. Kasım’da düzenlenen iki günlük bir dijital güvenlik eğitimine katıldım ve büyük faydasını gördüm. Bu eğitimden herkesin faydalanabileceği bazı temel bilgileri paylaşacağım.
Yazıya ek olarak Oliver Stone’un Snowden filmini seyretmenizi hararetle tavsiye ederim. Bu filmi seyrettikten sonra nihayet bilgisayarımdaki kamerayı bantladım. Ama yalnız değilim, Mark Zuckerberg bile yapmış.
Başlayalım…
Facebook arkadaşınız değil, sadece bir şirket!
Sadece Facebook değil tabii. Laptopa, tablete, mobil telefona indirdiğiniz o cici uygulamalar, ticari kaygılarla kurulmuş şirketlere ait. Üstelik çoğu, devlet istediği takdirde özel bilgilerinizi şak diye verebiliyor. Facebook veya Skype’tan yaptığınız görüşmelerin güvenli olduğunu sanan, fena halde yanılıyor. Kriptolanmadığı sürece her mesaj, her ses ve görüntü dosyası risk demek.
Kuvvetli, uzun, karmaşık şifre hayati önemde
Artık bunu herkes biliyor, ama uygulayan hâlâ az. Zaten Türkiye’de şahit olduğumuz heklemelerin büyük çoğunluğu zayıf şifrelerden kaynaklanıyor. Doğum gününüzü, kişisel bilgilerinizi hatta sevdiğinizin veya kedinizin adını kullanıyorsanız, derhâl o şifreleri değiştirin. Bu bilgilere internete giren herkes ulaşabilir! Hele ki birden fazla hesapta aynı şifreleri kullanıyorsanız işiniz bitik demektir. Dijital güvenliğin birincil şartı olan sağlam şifrenin kuralları da şöyle:
- En az sekiz karakterden oluşmalı
- Büyük ve küçük harf, sembol ve rakam içermeli, yani karmaşık olmalı
- Tanıyanlar dahi asla tahmin edememeli
Şifreleri yönetmek de bir marifet
Diyeceksiniz ki tek bir hesabım yok, onlarca hesabımın şifresini nasıl aklımda tutacağım? Bunun da çaresi var, güvenilir bir ‘şifre yöneticisi’ seçip kasa gibi tek şifreyle buraya giriş yapmak. LastPass, Guardian ekibinin ‘güvenilir’ dediği bir uygulama. Alışana kadar biraz göbek çatlatıyor ama sonrası çok rahat.
Ha, bir de şifre yöneticisiyle mi uğraşacağım derseniz ya aklınızda tutacaksınız ya da kimsenin ulaşamayacağı bir yerde yazılı olacak. Tabii bunu dijital güvenlikçiler asla önermiyor ama bana göre eski usül, bilgisayarda ya da telefonda bilgi saklamaktan iyidir.
Çoklu doğrulamayı es geçmeyin!
Sosyal medya hesabına telefonumu bağlamam demeyin, numaranızı hatta yedek bir numarayı mutlaka kaydedin. Diyelim ki şifreniz heklendi, bu sayede telefonunuza bilgi gelir ve “Bu sen miydin?” diye sorar.
İki aşamalı doğrulama seçeneği de önemli, sadece sizin iyi bildiğiniz bir kod ya da kelime belirleyin. Sim kartı değişikliği gibi durumlarda da ‘back up kodu’ işe yarayacaktır. Twitter’a her girişte SMS almak istemiyorsanız uygulamadan girip ayarları değiştirebilir, back up koduyla giriş yapabilirsiniz.
Emin olmadan tıklayacağına hiç tıklama!
Phishing (fişink diye okunuyor), kişisel bilgilerinizi ele geçirmek için bir kurumun web sayfasını kopyalayarak sizi tongaya düşürmelerinin internetçesi. Bir kişi özellikle hedef alındıysa buna ‘spear phishing’ deniyor. Özellikle banka web sitelerine maildeki bir link’e tıklayarak değil, ayrı bir sayfa açarak girin. Twitter adını kullanarak gelen mailleri de inceleyin; uzantısı twitter.com olmalı.
Emin olmadığınız, maille gelen linkleri sakın tıklamayın, bilgi girmeyin. İyi de nasıl emin olacaksınız?
- İnternet adresi ‘https’ diye başlamıyorsa dikkat.
- Tarayıcınız, web sayfasının sertifikası hakkında fikir verir. İnternet adresinin başında yeşil kilit sembolü yoksa uzak durun.
- Mesela e-maille bir link geldi ama kaynağından emin değilsiniz. Çok merak ediyorsanız Google Drive’da açmayı deneyebilirsiniz.
- Sosyal medyada, özellikle twitter’da tanıdığınız bir hesap heklenince DM’den mesaj atabilir, linke tıklamanızı ister. Prensibim, DM’den asla link açmamak. Eğer önemli olduğunu düşünüyorsam doğrudan yollayana ulaşıp sorun.
Bilgisayarını koru
Guardian Media Group, virüslere karşı korunmak için avast veya spybot uygulamalarını öneriyor. Virüs alarmı alıyorsanız birşeyler ters gitti demektir, temizlik yapın.
Apple kullanıcılarına üzücü haber: Safari güvenlik açısından pek tavsiye edilmiyor, Google Chrome daha sağlıklı. Chrome’un yerine Opera da tavsiye ediliyor.
Son bir not: Bilgisayarınızda sildiğiniz dosyalar aslında yok olmuyor. Güvenlikli silme işlemi için Mac’lerde çöp kutusunun üzerine gelip elma+sağ klik yapınca ‘güvenli silme’ ibaresi çıkıyor, tıklayın. Windows kullananlar Eraser veya Ccleaner kullanabilir.
Son olarak, hassas hesap ve bilgiler için eski, sürekli kullanmadığınız bir bilgisayar kullanmak da bir önlem olabilir. Oyun, dizi indirme, email ve web taraması yapmadığınız yedek bilgisayarı kullanmadığınızda kapatın.
İkinci bir bilgisayarınız yoksa, farklı amaçlarınız için iki farklı tarayıcı kullanabilirsiniz.
Hangi mesajlaşma uygulaması daha güvenli?
İşin uzmanları Signal de Signal diyor, çünkü kriptolama protokolleri ‘mükemmel’. Eski mesajları sildiniz diyelim, onlar da deşifre edilmiyor. NSA’in Signal uygulamasından hiç hoşlanmadığını not düşelim.
Telegram, grup yazışmaları için güvenli değil. Whatsapp’taysa gerekli ayarları yaparsanız en azından kriptolu haberleşme mümkün.
Metadata: İzleniyoruz!
Metadata, verinin verisi demek. Pek çok devlet, metadata toplamak için farklı kanun ve uygulamalara sahip. Kısacası metadata, hakkınızda topladıkları bilgiyle size karşı bir hikaye oluşturmalarına yarıyor.
Misal: EXIF içeren görsellere (lokasyon, üretici, işletim sistemi) dikkat. Büyük birader hangi saatte foto çektiğinizi dahi tespit edebilir.
Takip edilip edilmediğinizi test etmek için panopticlick.eff.org sitesine girin. Tarayıcıya ‘privacy badger’ uygulamasını indirerek zararlı siteler için filtre oluşturabilir, gerektiğinde uyarı alabilirsiniz.
Sansüre karşı VPN ve TOR
VPN (Virtual Private Network- Sanal Özel Ağ) kullanırsanız engelli sitelere erişebilirsiniz ama internette anonim değilsiniz. VPN uygulaması kullandığınızda mesajlarınız görülemez ama server, kiminle konuştuğunuzu tespit edebilir. Yani VPN bir korunma kalkanı değil.
İşin uzmanları internette güvenlik açısından Tor tarayıcısını hararetle öneriyor. Zaten devletimiz de bu nedenle Tor’u yassahladı. Telefonda android için orbot, iphone için onion uygulaması kullanılabilir.
Tor, orbot ve onion daha yavaş ve pek pratik değil, ama güvenli.
Tor ve VPN’in engellenmesine dair Ahmet Sabancı’nın yazısını da şuraya bırakalım.
Online ayakizinizi kontrol edin!
İnternette dolaşırken mebzul miktarda kişisel ve profesyonel bilgi de yayıyorsunuz. Sosyal medyada ne paylaştığınızı kontrol etmenin yolları var. Google ve Facebook’un güvenlik ayarlarında güvenlik check-up’ı seçeneğine tıklayıp gereksiz bilgileri yaymayı engelleyebilirsiniz.
Ayrıca kendi isminizi Google’layıp ‘Google Alert’ koyarsanız, isminiz web’de geçetiğinde haberiniz olur, güvenliğinizi kontrol etmek kolaylaşır.
Daha fazla güvenlik için:
- EEF Surveillance Self Defense https://ssd.eff.org/tr
- SecureDrop ve KeePAss (Türkçesi: www.tcij.org/node/1211)
- securityinabox.org/tr/ (kısmen Türkçeye çevrilmiş)
- Gazetecileri Koruma Komitesi’nin hazırladığı güvenlik rehberi https://cpj.org/Journalist_Security_Guide_Turkish.pdf