Genel 16 EYLÜL 2013 / 08:00

İnternetin en baştan tasarlanması gerekiyor

Her geçen gün yeni skandallarla gündeme gelen Edward Snowden, yeni belgelerinde tüm internet hareketlerimizin izlendiğini ortaya çıkaran belgeleri servis etti. Şimdi güvenlik uzmanları kişinin anonimliğini korumak için neler yapılabileceğini tartışmaya başladı.

Tüm dünyayı sarsan NSA skandalında; çevrimiçi yapılan tüm şifreli işlemlerin ve akıllı telefonlardaki verilerin NSA tarafından erişildiği ortaya çıktı. Sis perdesinin ardında yeni bir oyuncu, İsrail de verilere erişim sağlayan üçüncü ülke olarak karşımızda belirdi. Türkiye’nin ise milyonlarca vatandaşını doğrudan etkileyen konuyla ilgili henüz net bir açıklaması yok.

BThaber Gazetesi’nin haftalardır manşetinde yer alan NSA skandalı haberleri gün geçtikçe daha da dehşet verici hale geliyor. Zira artık ABD’nin ulusal güvenlik ajansı NSA ile Britanya’nın güvenlik ajansı GCHQ’nun sayısal dünyada erişemediği noktanın kalmadığını her gün yeni belgelerle görüyoruz.
Bu kez haberimizin konusu çevrimiçi olarak gerçekleştirdiğimiz tüm şifreli işlemler. NSA’in bu şifreli işlemler için özel çabası olduğu ve bunları çözmek için gizli anlaşmaların yanı sıra özel sunucular barındırdığı belirlendi. Yüz milyonlarca insanın kişisel verilerini, çevrimiçi bankacılık işlemlerini ve e-postalarının istihbarat hizmetleri tarafından görüntülendiği ortaya çıktı.
Açığa çıkan belgelerde, NSA ve GCHQ’nun müşterilerine gizlilik sözü veren şirketlere dahi sızarak şifrelenmiş belgelere ulaştığı bilgisi yer aldı. HTTPS ve SSL şifreleme kullanan çoğu e-posta ve bankacılık hizmetinin NSA karşısında hiçbir gizliliği bulunmuyor. Belgelerin detayına bakıldığında NSA’in şifreleme standartlarına her açıdan saldırabilmek için özel sunucu merkezleri oluşturduğu görüldü. Burada şifrelerin kırıldığı, mesajların şifrelenmeden önce kullanılan gizli yazılımlarla ele geçirildiği ve teknoloji şirketlerinin daha kolay takip edilebilen protokoller kullanmasında emin olunduğu aktarıldı. Yani NSA ya şifreleri zorla kırıyor ya da şirketlerle anlaştığı için gizli belgeleri ele geçiriyor.
Ortaya çıkan belgelerde bilinen şifreleme yöntemlerini aşmak için gizli arka kapılar yükleyen NSA programı 10 yılı aşkın süredir şifreleme karşısında çalışıyor. Bu program için NSA’in yıllık 250 milyon dolar harcadığı belgelerde yer alıyor. Sızan belgelerde şifreleme yazılımlarını “daha takip edilebilir” hale getirmek için çalışan NSA’in, yeni nesil kablosuz iletişim 4G sistemler için de şifre kırmak için çalıştığını belirlendi. NSA’in, doğrudan internet servis sağlayıcıların ana kanallarına akan veriye erişim sağlamak istediği ve önemli ses ile metin üzerinden iletişim hizmeti sunan sistemlere sızmak istediği hedefleri arasında görüldü.

Akıllı telefonların tamamı NSA’in erişimine açık
Alman Spiegel Gazetesi’nin haberinde yer alan iddiaya göre, Amerikan Ulusal Güvenlik Kurumu (NSA) iPhone ve BlackBerry ile Google’ın işletim sistemi olan Android tabanlı telefonlardaki kullanıcı bilgilerine “tam erişim” sağlayabiliyor. NSA’in “çok gizli” belgelerine ulaştıklarını iddia eden Spiegel, bu belgelerde NSA’in telefonlardaki kişi listesi, SMS trafiği, konum bilgileri, notlar gibi kişisel bilgilerinin tamamına erişebildikleri bilgisi yer alıyor.
Habere göre, belgelerde NSA’in telefonlarda kullanılan işletim sistemi yetkilileriyle anlaşma sağlayabilmesi için özel bir çalışma grubu oluşturduğu ve daha önce iPhone kullanıcılarının telefonlarını bağladıkları bilgisayarlar üzerinden iPhone kullanıcılarının verilerine erişim sağlayabildikleri belirtiliyor.
Ortaya çıkan yeni belgelerle, NSA’in BlackBerry cihazlarına da rahatlıkla erişim sağlayabildiği, SMS trafiğini takip edip tüm içerikleri okuyabildiği ve e-posta içeriklerine de ulaşabildikleri görülüyor.
Güvenlik uzmanları NSA’in ardından yeniden yapılanma talebinde bulunuyor. Web güvenliği konusunda bilinen tüm yapıların baştan tasarlanması gerektiği görüşünde birleşen uzmanlar, NSA’in güvenlik standartlarını düşük seviyede tutma çabasının “kendi bindiği dalı kesmek” olduğuna ve dünyadaki sistemlerin zayıflamasının kendilerine de zarar vereceğine inanıyor. Guardian’a demeç veren Harvard şifreleme uzmanı Bruce Schneier, şifreleme çeşitlerinin güvenilir bir internet için temel oluşturduğunu söylüyor ve ekliyor: “İnternet üzerinde yapılanların gizlice dinlenmesi internetin yapısını temelden sarsıyor.”
Bruce Schneier şu çözümlerle internet üzerinde anonim kalınabileceğini açıklıyor:
Ağda gizlenin. Tor gibi anonim kalınabilecek ağlar üzerinde hareket edin. (https://www.torproject.org/)
İletişiminizi şifreleyin. TLS ya da IPsec kullanın.
Temiz bir bilgisayar kullanın. Bruce Schneier, NSA skandalının ardından daha önce hiç internete bağlanmamış bir bilgisayarda önemli bulduğu işleri tuttuğunu açıkladı.
Popüler şifreleme yazılımlarından uzak durun. Bitlocker yerine TSL kullanın.

Türkiye neden ses çıkarmıyor?
Edward Snowden’ın ortaya çıkardığı belgeler infial yaratmaya devam ediyor. Son olarak İsrail’in, NSA’in topladığı verilere doğrudan erişimi olduğu bilgisi ortaya çıktı. Bununla birlikte NSA ve GCHQ’nun ülkemizde de milyonlarca insana rahatlıkla erişebildiğinin ortaya çıkmasının üzerine bir açıklama yapılmadı. Bugüne kadar Dışişleri Bakanlığı tarafından yapılan tek kayda değer açıklamada, Mehmet Şimşek’in de aralarında bulunduğu G20 zirvesinin dinlenmesiyle ilgili skandal konu edildi:
“Söz konusu haberde yer verilen iddialarda en ufak bir doğruluk payı bulunması halinde bunun öncelikle ilgili ülke açısından bir skandal teşkil edeceği aşikârdır. Uluslararası işbirliğinde karşılıklı güven, saygı ve şeffaflığın esas olması gereken bir ortamda, haberin doğru olması halinde, müttefik bir ülkenin böyle bir hareketinin kabul edilemez bulunacağı açıktır. Bu konuda İngiliz makamlarının resmi ve tatmin edici bir açıklama sunması beklenmektedir. Nitekim bu konuda gerekli diplomatik girişimler yapılmıştır.”
Peki, İngiltere’nin doğrudan taraf olduğu iddia edilen belgeler gerçekse;
- Ülkemiz tatmin edici bir yanıtı yine aynı ülkeden alabilir mi?
- Türkiye bu iddiaların doğruluğu karşısında bir adım atacak mı?
- Verileri sızdırdığı ortaya çıkan şirketlerin ülkemizdeki durumları ne olacak?
- Tüm dünya ülkeleri çalkalanırken ülkemizde yeterli açıklamada bulunulmamasını sıradan mı karşılamalıyız?
Bu soruların cevabı ülkemizin, vatandaşlarının veri gizliliğine ne kadar saygı gösterdiğinin ifadesi olacaktır.
ETİKETLER : Sayı:938
YORUMLAR
Tahsin Yılmaz 04 EKİM 2013 / 12:10 0 0
Kim Bu Şirketler?

Diyorsunuz ki "Yani NSA ya şifreleri zorla kırıyor ya da şirketlerle anlaştığı için gizli belgeleri ele geçiriyor."

Açık açık versenize haberi mesela "network communication" cihazı üreten şirketler NSA'ya "maymuncuk" vermeksizin pazara mal çıkaramadığını söylemek bu kadar mı zor?
ali erol 25 EYLÜL 2013 / 17:37 0 0
bence günümüzde var tasarlamasınlar
T.C. 19 EYLÜL 2013 / 21:00 0 0
Sayın Vatansever yazılım uzmanı kendi omurgamızı korumaktan bahsediyor. Zannederim kendisi bir hayal aleminde. kırıcı olmak istemem. ama sorun vatanseverlik değil. İlk önce sorun Internet üzerinde bireylerin mahremiyetinin sağlanması ve mahremiyete tecavüz edilmemesi. Seni zaten ilk başta kendi polis ve MIT'in dinliyor. Biz onlara karşı ve diğer etkenlere karşı korumadan bahsediyoruz. Internet vatanseverlik oynamak için zemin değil. Vatansever isen ilk önce kevgire dönen Suriye sınırını koru. Sonra da kürtlere açılım diye PKK ile aynı masada oturanlara karşı önlemini al. Internet birey ve toplumların (evrensel anlamda) özgürce fikirlerimizi (küfürler ve hakaretlerimizi değil) paylaştığımız, insanlarla etkileşime girdiğimiz ve özgürce e-ticaret yürütebildiğimiz bir ortam. Bizim ülkede ise, twit attığın için hakkında dava açılıyor. SOn kurbanları biliyoruz: Mehmet Ali Alabora, Fazıl Say ve haklarına dava açılan bir sürü gezi olayı mağdurları. Sayın vatansever yazılım uzmanı, senin sorunun biraz farklı gözüküyor. SOn söz: Nato'da isen, kesinlikle ABD seni dinleyecektir.
T.C. 19 EYLÜL 2013 / 12:53 0 0
IPv4'den IPv6'ya hala geçilemediği ve ne zaman tam olarak geçileceği belli değilken, Internet'in en baştan tasarlanması diye bir şey olabileceğini sanmıyorum. Çözüm PGP'nin yaratıcısı Zimmerman'In felsefesinde ve Bruce SChneir'in dediklerinde yatıyor. PGP'nin yaratılma felsefesi, big brother sendromuna çözüm bulmak içindi. Kendi şifreleme sistemlerimizi oluşturmaktan başka çözüm yok. SSL ve IPSEC gibi yazılımlar da güvenli değil. Çünkü bunlar firmalar tarafından yazılımları içinde gerçekleniyor. O firmanın NSA veya benzeri bir kurum ile gizli anlaşma yaptığını bilemeyiz. O halde geriye kendi şifreleme algoritmamızı sağlamak kalıyor. Bunu nasıl yapacağız. Bu ancak ve ancak TCP/IP stack'İn Uygulama katmanında (Application LAyer) yapılabilir. O katmana müdahale edebiliriz. Open source gngu-pg benzeri yazılımlar kullanmak iyi bir çözüm sağlayabilir.
Vatansever Yazılım Uzmanı 18 EYLÜL 2013 / 23:01 0 0
Merhaba,

Yıllar önce bunları anlattığımız durumdan bi haber koltuk kaygısı olan yarım akıllı IT müdürleri veya o IT bölüme nasıl tayin edildiği belli olmayan çok bilen memurlarımız, bizim ülke güvenliğimizden sorumlular, hala bu konuları anlayamazlar! bunların düzeltilebilmesi için kendi çoklu yapıda çalışacak binalar dolusu serverlar alt yapımızı kurmamız gerek, kendi omurgamızı kendimiz korumalıyız!

Saygılar