TC VATANDAŞLARI İÇİN VERİ GÜVENLİĞİ

GİRİŞ

Bu blog dizisi, kişisel tecrübeler ve yaşanmışlıklardan alınan dersler ile sonrasında öğrenilenleri başkalarıyla da paylaşmak amacıyla yazılmaktadır.

Bir TC vatandaşı olarak şunu bilmelisiniz ki, hakkınızda yürütülen herhangi bir savcılık soruşturmasında, tarafı olduğunuz bir davada, “makul şüphe” olmaksızın dahi devlet tarafından cep telefonunuza, bilgisayarlarınıza, tüm dijital materyallerinize el konulabilir, incelenebilir.

Başınıza böyle bir durum gelirse bir hukukçudan profesyonel yardım almanız şart. Ancak şunu önceden bilin ve kabul edin ki; teoride yasa ve yönetmeliklerin söyledikleri ile pratikte uygulama farklı işliyor.

Örnek vermek gerekirse; evinizde ya da üstünüzde bir arama yapıldığında, eğer aramanın konusu bilgisayarlar ve dijital materyallere el koymak ise (akıllı telefonlar da bilgisayar kabul ediliyor) CMK’ya göre polisler tarafından el konulan bilgisayar, harddisk, flash disk, cd, tablet ya da akıllı telefon, her ne ise, o an bir yedeğinin alınması ve bir kopyasının da size verilmesi şart. Ancak yedek almak uzmanlık gerektirdiği ve çok uzun sürebildiği için uygulamada bu şarta uyulmuyor. Yine aynı şekilde bu cihaz ve veriler üzerinde yapılan teknik incelemenin de belli şartları var, örneğin telefonunuza el konulduysa açılamaz, manuel bir biçimde (yani elle telefonun içindeki uygulamalara girilip) delil aranamaz, internete ya da şebekeye bağlı olamaz, vs. Ancak bu esaslara da hiçbir şekilde uyulmuyor. Yasanın emrettiği bir başka şart ise el konulan cihazlarda inceleme biter bitmez geciktirilmeden iade edilmesi ancak bu da soruşturmayı yürüten savcının hatta incelemeyi yapan polislerin keyfine bağlı. Bu konuda hak aramak için, örneğin hukuksuz bir el koymaya ya da keyfi geciktirmeye itiraz etmek için soruşturmaların bitmesi, takipsizlik verilmesi ya da yargılamanın bitip beraat kararı çıkması gibi keyfi şartlar öne sürülüyor. Açıkçası Türkiye’de bir savcı terörü var ve kimse de buna karşı bir şey yapmıyor.

Dolayısıyla, halihazırda telefonunuza, bilgisayarınıza el konulduysa ve incelemeye alındıysa geçmiş olsun, bir hukukçudan yardım alın ve tabi ki tüm itiraz yollarınızı, suç duyurusunda bulunma, şikayet etme, gerekirse tazminat talep etme haklarınızı sonuna kadar kullanın. Belki insaflı bir hakime denk gelirsiniz.

Ancak ben size başınıza böyle bir durum gelmeden önce ne önlemler alabileceğinizi anlatacağım.

Önce hepimizin hayatının vazgeçilmez bir parçası olan akıllı telefonlarımızdan başlayalım:

Son kullanıcı açısından telefonun iOS (iPhone) ya da Android olması bir şey farketmiyor. Mutlaka telefonunuzun bir ekran şifresi olsun. Eğer destekliyorsa yüz tanıma ya da parmak izi ile, değilse basit olmayan (1234 ya da 0000 olmasın mümkünse) bir şifre ile açılsın. Ve sorulduğunda şifrenizi vermeyin. Telefonunuzun şifre ayarlarından, belli bir sayıda (örneğin iPhone’lar için 10 kez) yanlış şifre girildiğinde telefonun kendisini sıfırlama özelliğini aktif edin. Ve telefonunuza veda edin. Zira şifreyi çözemedikleri müddetçe telefonunuzu size iade etmeyecekler.

Telefonunuzu, içindeki rehber ve dosyaları otomatik olarak yedek alacak şekilde ayarlarsanız (Android için Google Drive, iOS için iCloud) ve bu hesapların şifreleri de sağlam olursa en azından içindeki veriler yedekli olur ve serbest kalınca yeni bir telefon alarak verilerinize tekrar erişebilirsiniz.

Ancak burada önemli bir nokta var: Yedek almak için kullanacağınız hesaba bir kurtarma telefon numarası belirlemeyin. Yani şifreyi unutunca SMS ile kurtarılamasın. Zira cep telefonunuz ellerindeyse, SIM kartınız da ellerindedir ve PIN kodunu bilmeseler dahi operatörünüzden bir resmi yazıyla PUK kodunuzu talep edip, SIM kartınızı başka bir cihazda açıp, SMS ile gelen şifreyi alırlar ve hesaplarınıza erişirler. Yedek almak için kullanacağınız bulut hesabı iki adımlı doğrulama (ve hatta authenticator uygulaması) gerektirsin ve kurtarma e-posta adresinin şifresini de bir tek siz bilin. (Ve zincirleme olarak, o kurtarma e-postasının da bir kurtarma cep telefonu olmasın yani o da SMS ile kırılamasın…)

Diyelim ki bir şekilde ekran parolanız deşifre oldu ve telefonunuzun içine girdiler. İlk bakacakları iki yer SMS’ler ve mesajlaşma uygulamalarıdır. SMS’ler konusunda bir gizlilik önlemi yok, zira operatörünüzden talep edebilirler. Bu yüzden SMS kullanmayın. Mesajlaşma uygulaması için, bir sonraki blog yazısında detaylı olarak hepsini inceleyecek ve püf noktalarını sayacağım. Ancak temel şart olarak (artık bütün mesajlaşma uygulamaları bunu destekliyor) a) Mesajlaşma uygulaması ayrı bir şifre ile açılsın ve ana ekran şifrenizle aynı olmasın. b) Mesajlaşma uygulamanızın otomatik yedek alma özelliğini kapatın. c) Süreli mesaj özelliğini herkesle açık tutun. İdeal süre 24 saattir. d) Yine de o 24 saate güvenmeyin ve çok gizli ya da yasal olarak sıkıntılı bir şey yazdıysanız okunduktan sonra hemen (iki taraftan da) silin. Hatta sohbetin kendisini de silin. Yani o kişiyle aranızda açık bir sohbet olmasın. (Zira içeriği okunamasa da bir kişiyle yazışmış olmanız dahi aleyhinizde delil olarak kullanılabilir.)

Yine bakacakları bir başka yer e-postalarınızdır, bunun için de ayrı bir blog yazısında ayrıntılı bilgi vereceğim ve en güvenli e-posta uygulamalarını paylaşacağım. (E-posta konusunda, aşağıda bilgisayar kısmında anlatacağım honeypot hilesini telefonunuzda da uygulayın.)

Fotoğraf ve medya galerinizi de her zaman temiz tutun ve sakıncalı olabilecek hiçbir görseli, fotoğrafı, videoyu telefonunuza tutmayın, hemen silin. Ancak sildikten sonra bu dosyalar çöp kutusuna gider ve uzunca bir süre orada kalırlar. Çöpü de elle boşaltın.

Telefonlarınız el konulmamış olsa da, çok sudan sebeplerle mahkeme kararıyla dinlenebilir. Ayrıca kimleri ne zaman aradığınız, kimler tarafından ne zaman arandığınız, kaç dakika konuştuğunuz vb. gibi bilgiler de GSM operatörlerinden alınabiliyor. Bunun için sesli konuşmalarınızı normal GSM araması olarak yapmayın. WhatsApp, Telegram, Signal gibi uygulamaların hemen hepsi uçtan uca şifreli sesli aramayı destekliyor. Buradan konuşun. Bu konuşmaların içerikleri dinlenemez. Ancak telefonunuzun (ve mesajlaşma uygulamasının) arama kayıtlarını sık sık (mümkünse her görüşmeden sonra) elle silin. Zira içeriği tespit edilemese dahi yaptığınız bir görüşme aleyhinizde delil olabilir. Eğer ses kaydı göndererek haberleşiyorsanız, karşı taraf dinledikten sonra ses kayıtlarını da iki taraftan silin.

Ortam dinlemesine karşı, telefonunuzun mikrofon özelliğini hangi uygulamaların kullanabileceğini denetleyin ve gerekli olmayan uygulamaların mikrofon erişimine izin vermeyin. Yine aynı şekilde coğrafi takibe karşı telefonunuzun konum özelliğini de ya tamamen kapatın ya da izin verdiğiniz uygulamaları titizlikle seçin. (Yine de konumunuzun GSM operatörünüz üzerinden, baz istasyonları yoluyla tespit edilebileceğini unutmayın.)

Gelelim bilgisayarlara;

Eğer bu konuda tam anlamıyla güvenlik istiyorsanız Mac kullanın. Giriş şifreniz kolayca tahmin edilemesin. Siz de şifrenizi söylemeyin. Mutlaka FileVault özelliğini açın. FileVault kurtarma şifreniz iCloud ve bilgisayar açılış şifrenizden farklı olsun ve/veya FileVault’unuz iCloud hesabınız ile kurtarılamasın. FileVault, Mac’iniz içindeki verileri askeri güvenlik standartlarında şifreler ve hiçbir şekilde verilere dışarıdan erişilemez. Yani açılış şifrenizi bilip bilgisayarınızı açmadan Apple’ın kendisi dahi verilerinize erişemez. Bilgisayarınızın harddiskinden imaj alsalar dahi, bu imaj da şifreli olacaktır. iCloud ile yedeklemeyi ya kapatın ya da kritik dosyalarınızı iCloud ile yedeklenmeyen bir dizinde tutun.

Mac cihazlar malum, pahalı. Bu durumda Linux kullanmak ile Windows kullanmak arasında, bilgisayara girme güvenliği açısından bir fark yok. İki işletim sisteminin de giriş şifreleri çok kolayca atlatılıp bilgisayar açılabilir ya da hiç açmaya gerek olmadan harddiskin imajı alınıp bütün verilere ulaşılabilir.

Mac için, diyelim ki giriş şifresini söylemek zorunda kaldınız ya da tahmin ederek girdiler. Diğer iki işletim sisteminde de az önce söylediğim gibi siz şifrenizi vermeseniz dahi bilgisayarınıza girdiler. Yani sur aşıldı. O zaman ne arayacakları önemli. Bilgisayarınızda kritik bir dosya tutmayın. Önemli dosyalarınızı DropBox ya da ProtonDrive gibi bir bulut sunucuda tutun ve bu hesabın e-posta adresi de, şifresi de her zaman kullandığınızdan farklı olsun. İki adımlı doğrulamayı açın ve SMS ile şifre kurtarılamasın. Her zaman çalışmasa da tüm işletim sistemlerinde silinmiş verileri geri getirmek mümkün olabiliyor. Bunun için File Shredder benzeri, verileri üstüne birkaç kez yazarak geri dönüşülemez biçimde silen uygulamalar kullanın. Mesajlaşma uygulamalarını (örneğin WhatsApp) bilgisayarınızda kullanıyorsanız, uygulama değil, web sürümlerini kullanın ve bilgisayarınızı kapatacağınız zaman çıkış yapın. E-posta gizliliği konusuna daha sonra ayrı bir yazıyla değineceğim ancak ön kural olarak bilgisayarınızda honeypot (bal tuzağı) olarak bir e-posta hesabını açık tutun. Mac için kendi mail uygulamasını, Windows için ise Outlook uygulamasını açık tutabilirsiniz. Buradaki mail kutusunda kesinlikle kişisel ve hesap sıfırlama vb. gibi önemli postalarınız olmasın, ancak önemsiz sitelere kayıt için, e-posta listeleri için vb. kullanırsanız, mail kutusunu boş görüp başka e-posta hesabı peşine düşmezler. Tarayıcınızın geçmişini ve verilerini düzenli olarak silin. (En güvenli tarayıcı konusunda da ayrıca bir blog yazısında bilgi vereceğim.) Ve en önemlisi bilgisayarınızda asla kayıtlı şifre tutmayın. Şifrelerinizi korumak için bir şifre yönetim programı (LastPass ya da OnePass gibi) kullanabilirsiniz ancak bu uygulamanın ana şifresi, her zaman kullandığınızdan farklı bir şifre olsun.

Konu hakkında diğer yazılarım:

EN GÜVENLİ MESAJLAŞMA PROGRAMI

EN GÜVENLİ WEB TARAYICI

EN GÜVENLİ E-POSTA HİZMETİ

EN GÜVENLİ VPN SERVİSİ

DİĞER GÜVENLİK İPUÇLARI