Yazılar

Microsoft artık Windows 7 ve 8 kullanıcılarını da gizlice izlemeye başladı

microsoft-artik-windows-7-ve-8-kullanicilarini-izlemeye-basladiWindows 10’un yayınlanmasıyla birlikte ne derece büyük bir mahremiyet ihlali olduğunu daha önce yayınlamıştık. Artık Windows 7 ve 8 kullanıcıları da bu gruba katıldı.

Microsoft tarafından Windows 7 ve 8 kullanıcıları için son yayınlanan 4 yama farklı tipte kullanıcı bilgilerinin Microsoft’a iletilmesini sağlıyor. Windows 10 üzerinden halen devam eden mahremiyet tartışmalarından Microsoft pek ders çıkarmamış gibi gözüküyor.

Gizlilik ihlali yaratan, yeni yayınlanan 4 güncelleme ise aşağıdaki gibi;

3022345: Kullanıcı deneyimi ve telemetry sistemi ile ilgili güncelleme. Bu güncelleme Telemetry takip sistemini getiriyor. Tanıtılırken bu güncellemenin Windows’un son versiyonlarından yararlanabilmek için kurulması gerektiği belirtiliyor.

3068708: Kullanıcı deneyimi ve telemetry sistemi ile ilgili güncelleme. Bu güncelleme bir önceki güncellemeye dair düzeltme niteliği taşıyor. Telemetry takip sistemini geliştiriyor.

3075249: Windows 8.1 ve Windows 7’ye Telemetry takip sistemiyle ilgili eklentiler yapıyor. User Account Control (UAC) üzerinde bu bilgilerin sistemden toplanabilmesi için değişiklikler gerçekleştiriyor.

3080149: Henüz güncellenmemiş sistemlere Telemetry takibi özelliği getiriyor. Yine Windows’un son özelliklerinden faydalanmak için getirildiği belirtiliyor.

Microsoft tüm işletim sistemlerini kullanıcı verilerini vortex-win.data.microsoft.com ve settings-win.data.microsoft.com adreslerine gönderecek şekilde yapılandırmış. İşin ilginci sistemde hosts dosyası üzerinden bu adreslere erişmeyi engelleseniz bile yine de işletim sistemi bu adreslere erişebiliyor. Kod içerisine eklenen bu adreslere ekstra bir Firewall veya Router üzerinden olmadıkça erişimi engellemek mümkün değil. Ayrıca bu adreslere erişimi engellemek güvenlik açıklıkları ile ilgili yamaları da almayı engelliyor.

Windows 10 kullanıyorsanız Microsoft’un takibine alışmalısınız

windows-10-kullaniyorsaniz-microsoft-takibine-alismalisinizBüyük merakla beklenen Windows 10 sonunda yayınlandı. Fakat eğer bu yeni sürüme geçmekte kararlıysanız Microsoft tarafından takip edilmeyi göze alıyorsunuz demektir.

Windows 10 henüz “Technical Preview” versiyonundan beridir kullanıcıların tüm aktivitelerini takip ediyordu. Bu versiyon henüz nihai ürün olmadığı için final sürümünde durumun farklı olabileceği düşünüldü. Fakat Windows 10’un final versiyonunda da durum değişmedi. Yeni işletim sistemi, yeni gizlilik sözleşmesi ve servis anlaşmasıyla birlikte kullanıcılara sunuldu. Yeni gizililik sözleşmesi 1 Ağustos 2015 tarihinde devreye girdi.

Öncelikle eğer Windows 10 indirip bilgisayarınıza kuruyorsanız, sizinle ilgili verileri toplayabilmesi için Microsoft’a geniş yetkiler veriyorsunuz. Yeni işletim sistemi neredeyse büyük oranda bulut bağlantılı çalışıyor ve Microsoft’un Redmond’daki sunucularına çok sayıda bilgiyi gönderiyor.

Veri senkronizasyonu

Microsoft yeni işletim sisteminde veri senkronizasyonuna dair varsayılan ayarları açık şekilde getiriyor. Bu veri eşleştirme işlemi browser geçmişi, favoriler, açık web siteleri, web sitesi şifreleri, wi-fi isimleri, wi-fi şifrelerinin Microsoft sunucularına gönderilerek saklanması anlamına geliyor. Bu özellik sonradan kapatılabiliyor.

Cortana

Microsoft sanal asistan Cortana’yı Windows 10 ile birlikte kullanıcılara sunuyor. Bu sanal asistan tüm veri desteğini Microsoft sunucularından aldığı için sizin yaptığınız her hareketi Microsoft’a gönderiyor. Internet ile alakalı olmasa bile Cortana kullanırken yapılan tüm işlemler kaydedilip aktarılıyor. Microsoft gizlilik sözleşmesinde Cortana ile ilgili kısımda sanal asistanın toplayabileceği verinin boyutunu epeyi geniş tutmuş. Microsoft tarafından toplanan veriler arasında GPS lokasyonu, takvim, uygulamalar, emailler, SMS’ler, aranan ve arayan numaralar, rehber, rehberinizdeki hangi kişileri ne sıklıkla aradığınız, müzik listesi, alarm ayarları, arama geçmişi. Bu veri paylaşımı kapatılamıyor.

Advertising ID

Windows 10 her cihaz için ayrı bir “Advertising ID” isminde bir reklam kodu üretiyor. Bu ID yazlım geliştiriciler ve reklam ağları tarafından kullanıcılara kişiselleştirilmiş reklamlar göstermek için kullanılıyor. Veri senkronizasyonu özelliği gibi bu da sonradan kapatılabiliyor.

OneDrive üzerinde saklanan şifreleme anahtarı

Eğer Windows 10 sisteminizin diskini şifrelediyseniz Microsoft, BitLocker kurtarma anahtarını otomatik olarak OneDrive hesabınıza yedekliyor.

Microsoft verilerinizi istediği zaman başkalarıyla paylaşabilir

Belki de bu en kritik durum. Kullanıcıya kabul ettirilen her iki sözleşmede de Microsoft’un size dair bilgileri istediği kişi/kurumla paylaşabilmesine izin vermiş oluyorsunuz. Aşağıda İngilizce olarak ilgili madde bulunuyor.

“We will access, disclose and preserve personal data, including your content (such as the content of your emails, other private communications or files in private folders), when we have a good faith belief that doing so is necessary to protect our customers or enforce the terms governing the use of the services”

Google’ın hakkınızda ne çok şey bildiğini kanıtlayan 6 link

google-hakkinizda-ne-cok-sey-bildigini-kanitlayan-6-linkGoogle mahremiyet hakkındaki tartışmalarla anılan bir firma. Arama motoru, mobil işletim sistemi, browser, e-posta servisi, harita, video, doküman, bulut depolama vb. çok sayıda servisiyle birlikte tamamıyla entegre şekilde kullanıcılarını takip eden bir organizma desek yanlış olmaz.

Her ne kadar dışarıdan bu takibin bir kısmını bilebiliyor, geriye kalanları sezebiliyor olsakta. Google’ın kendi sunduğu bazı kaynaklar nasıl bir takip ve gizlilik ihlali içerisinde olduğumuzu gözler önüne seriyor. Bunlar topladıkları ve bizim görebildiklerimiz. Peki ya göremediğimiz veriler?

1. Google’ın hakkınızda bildikleri

Google hakkınızda temel profil oluşturur. Bu profilde yaşınız, cinsiyetiniz, ilgi alanlarınızı içeren bilgiler yer alır. Bu bilgiler size ilgi alanınıza dair reklamlar göstermek için kullanılır. Google’ın sizi nasıl tanıdığını buradan görebilirsiniz; https://www.google.com/ads/preferences/

2. Adım adım Google takibi. Lokasyon geçmişinizi görmek.

Eğer AOSP tabanlı bir sürüm dışında Google’ın Android’ini kullanıyorsanız ve ayarlarını değiştirmeyip, lokasyon bilgisini kapalı tutmuyorsanız Google gezdiğiniz bütün yerleri kaydediyor. Lokasyon geçmişinizi buradan görebilirsiniz; https://maps.google.com/locationhistory

3. Google arama geçmişiniz

Google, arama motorunu her kullandığınızda yaptığınız her aramayı, tıkladığınız her linki takip ediyor. Aynı zamanda Google reklamlarından hangilerine tıkladığınızı da. Bu kayıtlara ulaşabilirsiniz; https://history.google.com

4. Google hesabınıza erişen cihazların listesi

Eğer hesabınızın başkası tarafından kullanıldığından şüpheleniyor veya ortak bazı hesaplar kullanıyorsanız Google herşeyi kayıt altına alıyor. Buradan Google hesabınıza erişen tüm cihazları ve IP adreslerini takip etmek mümkün; https://security.google.com/settings/security/activity

5. Google verilerinize ulaşan uygulama ve eklentiler

Bunca detaylı bilgiyi sadece Google elinde tutmuyor aynı zamanda sizin haberiniz olan ve olmayan yerlerle paylaşabiliyor. Kontrol edebildiğimiz kadarıyla buradan hangi uygulama ve eklentilere izin verdiğimizi görerek izinleri iptal edebiliyoruz; https://security.google.com/settings/security/activity

6. Google verilerinin kopyasını almak

Elbette Google kıymetli veri madenciliği yeteneklerini kullanarak işlediği verileri sizinle paylaşmıyor. Sadece yüzeysel olarak tuttuğu tüm Google servislerindeki verileri indirmenize izin veriyor; https://www.google.com/takeout

Her adımınız Google’ın takibinde

her-adiminiz-google-takibindeKonum bilgisi mahremiyetin önündeki büyük tehditlerden biri olmaya devam ediyor. Çok sayıda mobil uygulama bunu toplamayı adet edinse de hiçbiri Google’ın sahip olduğu boyutta verinin yanına yaklaşamıyor.

Bugüne kadar Google’ın bazı reklamverenler, çoğu zamansa NSA ile işbirliği yaparak gerek konum bilgilerini, gerekse diğer kritik kullanıcı bilgilerini paylaştığıyla ilgili çok sayıda habere rastlanmıştı. Bunların kimileri Edward Snowden’ın sızdırdığı bilgilere dayanıyordu. Geçtiğimiz haftalarda ünlü medya patronu Rupert Murdoch “NSA’in gizlilik ihlalleri kötü, ama hiçbiri Google’ın yaptıklarıyla kıyaslanamaz” diyerek konuya bambaşka bir boyut kattı.

Murdoch bunda haksız da sayılmaz Google sahip olduğu onlarca servisten topladığı datalar dışında Android işletim sistemi sayesinde lokasyon bilgileri, arama kayıtları, bazı kullanıcı bilgilerini sürekli Google sunucularına göndererek ciddi mahremiyet ihlalleri yapıyor.

Bu bir tahmin veya komple teorisi değil. Google’ın sizin hakkında topladığı bazı verileri kendiniz de görebiliyorsunuz. Eğer sürekli konum bilgisi açık şekilde telefonunu kullanan biriyseniz ve mobilde aktif olarak Google servislerini, Android’i kullanıyorsanız bu adresten hangi tarihlerde, tarih aralıklarında nerede bulunduğunuzu takip etmeniz mümkün.

Burada bir harita üzerinde Google’ın sizi adım adım takip ettiğini görebiliyorsunuz. Her ne kadar bu bile ürkütücü olsa da, gördüğünüz verinin sadeleştirilmiş şekilde size gösterildiği hali. Siz dolaşırken sadece lokasyon bilginiz değil; Chrome kullanarak gezdiğiniz web siteleri, Gmail üzerinden alıp gönderdiğiniz e-postalar, aradığınız kişiler, Google kullanarak yaptığınız aramaların hepsi Google sunucularında aktarılıyor. Dolayısıyla lokasyonunuz ve gerçekleştirdiğiniz eylemler önce detaylı işlenebilecek tüketici bilgisi olarak reklamverenlere servis ediliyor. Sonrasında ise ABD hükümeti ile paylaşılıyor.

Peki bu takipten kaçmanın bir yolu yokmu? Elbette var. Eğer bir yandan Android’in özgürlüğünü, diğer yandan da Google’ın peşinizi bırakmasını istiyorsanız AOSP (Android Open Source Project) isimli projedeki koddan derlenen Android ROM’larını deneyebilirsiniz. Google’ın ek yazılımları ve kodlarından arınmış temiz bir Android deneyimi ancak bu şekilde mümkün olabiliyor. Bunun bedeli de alışılan pratikliğin aksine kurulum ve yapılandırma için daha fazla vakit harcamak, kafa yormak anlamına geliyor.

El Kaide ve şifreleme algoritmaları

El Kaide terörist faliyetlerini sürdürmek için sürekli yeni iletişim, şifreleme yöntemleri geliştiriyor. Özellikle NSA’in takip mekanizmaları deşifre olduktan sonra bu iletişim ve şifreleme metodlarında da değişiklikler olduğu ortaya çıktı.

El Kaide ilk olarak 2007’de Mujahideen adında bir şifreleme algoritması geliştirmişti. Burada amaç online ve cep telefonu ile yapılan iletişimi şifreli hale getirmekti. İleriki zamanlarda El Kaide yeni şifreleme metodları geliştirerek anlık mesajlaşma, farklı mobil servisleri de şifrelemeye başladı.

Bugüne kadar aşağıdaki şifreleme metodlarının El Kaide tarafından geliştirildiği biliniyor;

1. Tashfeer al-Jawwal: Global Islamic Media Front (GIMF) tarafından geliştirilen mobil şifreleme platformu. Eylül 2013’te devreye alındı.

2. Asrar al-Ghurabaa: Islamic State of Iraq and Al-Sham tarafından geliştirilen alternatif bir şifreleme tekniği. Kasım 2013’te devreye alındı.

3. Amn al-Mujahid: Al-Fajr TechnicalComittee adlı ana El Kaide organizasyonu tarafından Aralık 2013 tarihinde devreye alındı.

El Kaide’nin özellikle Android platformuna ekstra bir ilgisi olduğu bilinmekte. Genellikle şifreleme algoritmalarını ve bunların uygulamalarını bu platform için yayınlıyorlar. Elbette El Kaide’nin aktif olduğu ülkelerdeki Android kullanımının, ithalatının daha rahat olmasının da bunda büyük etkisi bulunuyor.

el-kaide-ve-sifreleme-algoritmalari

Usame Bin Ladin ve gizli veriyi saklamak

usame_bin_ladin_sifresiz_bilgisayarABD’nin yayınladığı son bilgilere göre Usama Bin Ladin’in bilgisayarındaki verileri şifrelemediği ortaya çıktı. Eğer şifrelemiş olsaydı belki ABD bu terörist organizasyon hakkında daha az şey biliyor olacaktı.

ABD’li yetkililerin açıklamalarına göre ele geçirilen veriler bugüne kadar bir terörist organizasyona dair keşfedilen en büyük arşiv. Bu arşiv dijital döküman, video ve ses dosyalarını, yazıcıdan çıkarılmış dökümanları, kayıt cihazlarını, elle yazılmış metinleri kapsıyor. Ele geçirilen verilerin büyük kısmı güvenlik açısından gizlilik sınıfına dahil edildiğinden ABD tarafından açıklanmamıştı.

Fakat şimdi Usame Bin Ladin’in evine yapılan baskında ele geçirilen 6.000 dökümandan 17 tanesi kamuoyuna açıklandı. Bu bilgilerin tümü Usama Bin Ladin’in 5 bilgisayarının sabit diskinden ve 100 kadar taşınabilir disk, hafıza kartı, cd, dvd gibi kaynaklardan ele geçirildi.

Ele geçirilen dökümanların uzunluğu 2 sayfa ile 49 sayfa arasında değişiyor. Fakat bu kadar bilgi bile El-Kaide örgütü hakkında herşeyi deşifre etmiyor. Yetkililerin belirttiğine göre buradaki bilgiler sadece El-Kaide’ye kendi gözünden bakmayı sağlayabiliyor.usame_bin_ladin_ev_pakistan

Ele geçirilen bazı örgüt içi yazışmalarda Usame Bin Ladin’in eylemlerin ABD üzerine yoğunlaşmasını istediği, özellikle ABD başkanı Barack Obama ve Orgeneral David Patraeus’un Pakistan veya Afganistan ziyaretleri sırasında öldürülmesini emrettiği görülüyor. Pakistan’da bulunan evinde öldürülmeden önce tespit edilmemek için hiç bir şekilde internete bağlanmayan, bunun yerine aktarmak istediği dosyaları taşınabilir belleğe kopyaladıktan sonra kuryeye teslim eden Usame Bin Ladin’in neden sabit disklerindeki bilgileri şifrelemediği ise bilinmiyor.