Günümüzde haberleşmenin gizliliği en önemli gündem maddelerinden biri. Her ne kadar önlem alsak da iletişim trafiğimiz dışarıdan gelebilecek tehditlere açık durumda. Bu konuda tüm önlemleri almakta yarar var. Ancak yine de yüzde 100 gizliliğin mümkün olmadığını unutmamak şartıyla.
Bireysel iletişimde durum bu seviyedeyken haberleşme gizliliği ekseninde size bir başka konudan bahsetmek istiyorum. Hatırlarsanız ABD devletinin gizli bilgileri zaman zaman kamuoyuna sızdırılıyor ve bu durum büyük sansasyon yaratıyor.
Hatırlayacağımız ilk vaka Wikileaks olayı ve NSA belgelerinin sızdırılması; Julian Paul Assange, Edward Joseph Snowden ve Chelsea E. Manning isimleri olacaktır. Bu kişilerin ABD devlet sırlarını sızdırmasının ardından başlarına gelenler ortada.
Bu süreçle birlikte devlet sırlarının muhbirler tarafından kamuoyuna iletilmesi noktasında haberleşme gizliliği yeniden tartışılır oldu ve ortaya bu yazıya konu olan SecureDrop adlı açık kaynaklı bir haberleşme sistemi ortaya çıktı.
İlk versiyonda Aaron Swartz imzası
Medya ve sivil toplum kuruluşlarının anonim kaynaklardan yani muhbirlerden gelen bilgi ve belgeleri güvenli bir şekilde almalarını amaçlayan sistem başlangıçta, Wired editörü Kevin Poulsen ve James Dolan’ın yardımıyla merhum Aaron Swartz tarafından geliştirildi.
Daha önceki adı DeadDrop olan projenin yönetimini daha sonra Ekim 2013’te ABD’deki Basın Özgürlüğü Vakfı devraldı. Sistem şu an, The New York Times, The Washington Post, ProPublica, The Globe and Mail ve The Intercept dahil olmak üzere dünya çapında 50’den fazla haber kuruluşunda kullanılıyor.
Basın Özgürlüğü Vakfı Direktörü Trevor Tim, halen 21 farklı dilde mevcut olan sistemin başta ABD olmak üzere hükümetlerin dünya çapında gazeteciler ve muhbirlere karşı baskıcı tavrına bir cevap olarak geliştirildiğini savunuyor.
İzole edilmiş iletişim ağı
SecureDrop, haberleşme gizliliğini sağlamak için mevcut teknolojilerin birleştirilmesiyle oluşturulmuş sistem. Uygulamada kullanılan araçlar arasında Tor, GnuPG şifrelemesi, Apache, OSSEC, grsecurity, Ubuntu Sunucusu, Tails işletim sistemi ve sızma risklerini en aza indirmek için bir hava boşluğu adlı güvenlik önlemi yer alıyor.
Hava boşluğu, gizliliği sağlanması istenen bilgisayar veya ağı, fiziksel olarak diğer bilgisayarlardan ayrı bir yerde konumlandırmak ve yerel ağ ile internet ağından izole etmek anlamına geliyor. Ayrıca bu cihazın elektromanyetik dinlemelere maruz kalmaması için faraday kafesi içinde konumlandırılması da gerekiyor.
Hava boşluklu bilgisayar, SecureDrop gönderimlerinin şifresinin çözüldüğü ve okunduğu tek yer. Bu nedenle bir saldırganın sisteme erişmesi internete bağlı cihazlara göre çok daha zor.
Üçüncü taraf devre dışı
ABD’deki veri sızıntılarının aktörleri kovuşturmaların çoğunda e-posta ve telefon sağlayıcıları gibi üçüncü taraflardan hem meta verileri hem de iletişim içeriği devlet tarafından gizlice alınabildiği için yakalandı. SecureDrop bu nedenle üçüncü tarafları denklemden tamamen çıkarmaya odaklanmış.
SecureDrop, haberleşmenin üçüncü taraf olmadan sadece gönderici ve alıcı arasında gerçekleştirilmesini sağlıyor. Dolayısıyla herhangi bir kovuşturmada Google, AT&T, Verizon veya Facebook gibi üçüncü taraf hizmetleri yasal takibe uğramadığı için davalı aleyhine devlete bilgi vermek zorunda kalmıyor.
Haberleşme sadece iki taraf arasında gerçekleştiği için, kamu otoritesinin başvurması gereken tek merci muhbirden bilgi alıp yayınlayan haber kuruluşu oluyor. Bu noktada yasal talebi yerine getirmek ya da avukatları aracılığıyla itiraz etme yetkisi sadece yayın tarafında oluyor.
Tek muhatap yayıncı
Normalde meta verileri, nerede bulunduğunuz, kiminle konuştuğunuz, onlarla ne zaman ve ne sıklıkta konuştuğunuz gibi birçok bilgiyi içerir. SecureDrop, e-posta sağlayıcıları ve telefon şirketlerinden daha az veri tutuyor ve yayın yasal bir taleple karşılaşsa bile elinde muhbire dair çok az veri oluyor.
Haber kaynağı bir başka deyişle muhbir, SecureDrop’ta IP adresini maskeleyen Tor Tarayıcı ile oturum açıyor. Kaynak bilgi vermedikçe, ondan veri alan yayınlar bile kim olduğunu bilemiyor. Çünkü haber kaynağının kullandığı Tor Tarayıcı, IP adresi, bilgisayar ve tarayıcı türü gibi bilgiler sistem günlüğüne kaydedilmiyor.
Sistemde sadece haber kaynağından gelen gönderimin saat ve tarihi kaydediliyor. Bir haber kaynağı yeni bir mesaj gönderdiğinde, son mesajın saat ve tarihinin üzerine yazılıyor. Bu, haber kaynağı ve gazetecinin tam olarak ne zaman iletişim kurduğunu gösteren bir meta veri izi olmayacağı anlamına geliyor.
Şifreli ve güvenli iletişim
Ayrıca kaynaklar, kendileri hakkında bilgi verebilecek özel bir kullanıcı adı oluşturamıyor. Bunun yerine, SecureDrop otomatik olarak biri kaynağa, diğeri de sistemi kullanan gazetecilere göstermek üzere rastgele iki kod adı oluşturuyor.
SecureDrop üzerinden iletişimler aktarım sırasında her ikisi tarafta da şifreleniyor. Bu nedenle, iletiler internette gezinirken kolayca yakalanamıyor ve okunamıyor; ayrıca sunucuda şifreleniyor. Böylece herhangi bir saldırgan sunucuya girmeyi başarsa geçmiş iletileri okuyamıyor.
2014 yılında yapılan bir araştırma, en iyi 25 haber kuruluşundan 20’sinin devlet destekli bilgisayar korsanları tarafından zaman zaman hedef alındığını gösterdi. Bu tehdit nedeniyle SecureDrop, trafiğini bir alıcı konumundaki haber kuruluşunun normal ağından tamamen ayırıyor.
Erişim verisi tutulmuyor
Gizliliği sağlamak için mesajlara bir USB’den önyüklenen, bilgisayarın sabit sürücüsüne dokunmayan, internet trafiğini Tor aracılığıyla yönlendiren ve oturum sonunda erişim verileri tutmayan Tails işletim sistemi kullanılarak erişiliyor ve indiriliyor.
SecureDrop’u kullanırken anonimliğinizi korumak için kolayca izlenebilecek bir ağ veya cihaz kullanmamanız çok önemli. Uygulamanın geliştiricileri haber kaynağının gizliği ve güvenliği için şu önerilerde bulunuyor: İşvereninizin ağında, işvereninizin donanımını kullanarak veya ev ağınızda SecureDrop kullanmayın. SecureDrop’a kütüphane veya kafe gibi sizinle ilişkili olmayan bir açık ağ üzerinden erişin.
Sorularınız olursa yorumlardan bana ulaştırabilirsiniz
Bu yazıda güvenli haberleşme sistemi SecureDrop’u inceledik. Konuyla ilgili sorularınız olursa, aşağıdan yorum bırakarak bana ulaştırabilirsiniz. Şimdilik hoşça kalın.
Twitter’da beni takip edin: https://twitter.com/melihbayramdede
YouTube kanalıma abone olun: https://www.youtube.com/c/melihbayramdede
MediaTrend’de yayınlanan diğer yazılarıma göz atmak ister misiniz?