NOT: BU KONUDA ANLATILANI KÖTÜ AMAÇLA KULLANMASI DURUMUNDA SORUMLULUK ŞAHISA AİT'TİR.
1-Devlet Sıradan İnsanları Nasıl Buluyor?
1-Devlet Sıradan İnsanları Nasıl Buluyor?
Aslında 2010'lu yıllarda olsaydık bu meseleyi bilmiyor olmanız doğaldı ama artık bu konuda herkes bilinçli oldu; herkes Twitter'da yazdıkarının ardından bir gün sonra ihbar edileceğini, edildiği ihbar sonucunda bulunacağını biliyor. Örnek örnek ilerleyerek anlatayım sistemin işleme sürecini. Diyelim ki Yakup Tutumlu adında birisi Facebook'ta yazmaması gereken şeyler yazdı, ihbar edildi ve bahsi edilen yazı siber şubeye gönderildi. Bu durumda yapmaları gerekenler artık çok basit. O Facebook hesabını incelemelerine bile gerek yok çünkü Ali gerçek ismiyle kayıt olmuş, fotoğrafı da profilinde duruyor Bu Ali'nin kendisi veya taklit hesabı olduğuna dair kesin bir kanıt değildir fakat yine de onu ifadeye çağırırlar, durumu anlatır, kendi olduğu anlaşılırsa ve Tweet'ini sildiyse bile yedekleri Facebook'ta bulunduğu için o delile her türlü ulaşılabilir. Ali'nin olmadığı teyit edildi ve birisi Ali'nin kimliğini taklit edip onun adına böyle bir şey yazdı, bu sefer Facebook'tan veri talep edecekler. Bu veriden cihazının bilgileri, IP ve MAC adresi, konum verileri vs. vs. tüm loglarını alabilecekler. Bu konuya ayrı bir parantez açmak istiyorum çünkü Facebook ve diğer platformlar Türkiye temsilciliği açma zorunluluğu getirildiğinden beri verileri Türkiye ile paylaşmakla ve Türkiye'de yedeklenmesine izin vermekle yükümlüler. Önceden sistem şöyle işliyordu; Hesabı kapatmadıysan savcılık bir şekilde senin verilerine erişebilirdi fakat sen hesabı kapattıysan ve Facebook'un merkezinin bulunduğu ülkede senin yargılanma sebebin suç sayılmıyorsa verileri vermek
zorunda değildi.
Örneğin terör sempatizanlığı yapmışsa ve ABD o grubu terörist olarak tanımıyorsa Facebook verileri vermek zorunda değildi. Doğal olarak o kişi de direkt olarak ismini, fotoğrafını vs. paylaşmadıysa bulunamıyordu. Artık veriler Türkiye'de de tutulduğu için her şekilde erişilebilir ve devlet birimleriyle paylaşılabilir. Peki diyelim ki verileri aldık fakat VPN kullanıyormuş, bu yüzden Facebook'tan verileri alsa bile gerçek IP adresi maskelenmiş durumda. Bu durumda 2. Maddedeki prosedürler işliyor.
2-VPN, Proxy,
Fake Hesap Kullananlar Nasıl Bulunuyor? Bu durumda polislerin elinde bir adet fake hesap ve sıradan bir VPN sunucusuna ait olan IP adresi bulunuyor. Bu kişiye erişmek için birden fazla duruma göre birden fazla yol vardır. Yakup Tutumlu örneğine devam edelim; Yakup adındaki şahsın ismi taklit edilerek onun adına uygunsuz paylaşımlar yapılmıştı ve hesap verilerini elde ettikten sonra VPN servisi kullandığı anlaşılmıştı. Bu VPN şirketi log tutan veya tutmayan (Tutmadığını iddia eden) bir VPN servisi sunabilir.
Eğer verilerini tuttuğunu ve üçüncü taraflarla paylaştığını açıkça belirtiyorsa senin hakkındaki heeeeeeeer şeyi paylaşır hem de her şeyi. Bunlar VPN servisinin kullanıcı sözleşmesine göre değişse de şu bilgileri ve bu bilgilerin gerçekleşme zamanını içerebilir; Ziyaret ettiğiniz siteler Arama geçmişiniz Çerezleriniz Klavye geçmişiniz (?) Hesap açarken kullandığınız bilgiler Konum bilgileriniz ... Bu bilgileri vermese bile size ait olan IP ve MAC adresinizi çoktan paylaştı bile. Ali Safkan adında hesap açan kişinin onun okuldaki 60 yaşındaki hocası olduğu anlaşıldı ve evinden alındı/emniyete çağırıldı. Log tutmadığını iddia eden VPN servisleri için durum farklı, gerçekten sizin bilgilerinizi paylaşmayabilir (Paylaşması için elinde veri olması lazım ama verileri kaydetmediğini iddia ediyor) Aslında bu çoğu ülkede kanunlara aykırıdır, hiçbir zaman okumadığınız sorumluluk reddi beyanında bundan bahsetmelidirler.
Suçun üstlerine kalmaması için bazı önlemler almaları gerekir ve bunun için şunları yapabilirler; Size yalan söyleyip polisle ortak çalışırlar, Hacklenebilirler Gerçekten verileri paylaşmaz fakat her ülkenin farklı yasaları olduğu için bazı ülkelerde durum farklı ilerleyebilir. (Tamamen uyduruyorum; siz ABD sunucusuna bağlanırken verilerinizi tutmaz ama Hollanda sunucusunda sizin verilerinizi kaydedebilir, önemli olan sizin nereden bağlandığınız değil nereye bağlandığınız.) Tabi bunu kesinlikle yapıp yapmadıklarını bilemezsiniz. Koca şirketin kurucusu suçlu bulunmaz başka çıkış yolu vardır demeyin, gayet de cezalandırabilirler.
Örneğin: 2011'de Mega Upload'ın (Şimdiki adıyla Mega) kapatılması ve kurucusunun yıllarca hapis yatması. Hapis sebebi kötü niyetli kullanıcıların kötü içerikler yüklemesiydi ve bundan dolayı sitedeki yüklenen tüm verileri sildiler sahibini içeri tıktılar. O günden beri buluttaki önemli verilerimi tek bir bulut servisinde saklamam ben. (Saklarsam ansızın silebilirler)
3-TOR AĞI,
Gizli Servisler ve TOR Protokolünün Açıkları; TOR ağı hepinizin bildiği gibi sizi 3 düğüm üzerinde dolaştırır ve her defasında şifrelediği için verileriniz 3 katmanlı şifrelendiğinden bulunmaniz çok zorlaşır. Bir de yalnızca TOR protokolü ile girebildiğiniz sunucular/siteler bulunur. Bunlara da gizli servisler (hidden services) denir.
Aslında bu sadece TOR'a özgü bir terim değildir, I2P, YGGDRASIL, LOKINET gibi gizli servisler de vardır ve aslında onlar da Deep Web'in bir parçasıdır.
Her ne kadar çok katmanlı şifreleme + harici anonimlik araçları kullansanız bile eninde sonunda bulunma ihtimaliniz olduğunu biliyorsunuzdur. Aslında bilinenin aksine TOR mükemmel değildir, sizi 4 farklı saldırı türüyle bulabilirler. A-Kullanıcı analizi: Bildiğiniz gibi TOR'un bir giriş bir de çıkış düğümü görülebilir. Web siteleri sizin çıkış düğümünüzü, İnternet Servis Sağlayıcınız da giriş düğümü ile bağlantı kurduğunuzu, veri alışveri görebilir. Bu bilgileri kullanarak da sizin hakkınızda bilgi edinebilirler. Çıkış düğümü ile hedef site arasındaki HTTP trafiği incelenir TOR üzerinden kişisel ve anonim olmayan hesaplarınıza giriş yaparsanız o çıkış düğümü üzerinde yapmış olduğunuz tüm trafiğin size ait olduğu anlaşılır. TOR ve normal internet kullanma sürelerinizi hesaplayıp faaliyetlerinizi gözlemleyerek bilgi edinirler.
Anonim olan ve olmayan kullanıcıları karşılaştırırlar, benzer özelliklere sahip olursanız eşleştirebilirler. (Sonraki maddelerde buna değineceğim) Devlet kurumları tarayıcılarınızdaki çerezleri inceleyerek sizi de-anonimize edebilirler. Gördüğünüz gibi bu yöntem aslında basit bir yöntemdir.
B-Pasif Trafik Analizi :
Bu da Kullanıcı analizine benzer ama farklılıkları vardır: Kullanıcı Davranışı analizi, kullanıcıların güvensiz faaliyetlerine bağlıdır, Pasif Trafik analizi ise bilgisayar, tarayıcı ve ağ arasındaki faaliyetleri tarar. Mesela, bir kullanıcı yazılım-donanım kombinasyonuna sahip olacaktır. işletim sistemi ve sürümü, yüklü yamalar, tarayıcı sürümü, ekran çözünürlüğü, sistem saati, dil ve diğer benzer yazılım-donanım özelliği bunlara örnektir. Bu kombinasyonlar hem TOR hem de normal internet trafiğinde görünüyorsa, hedef kişiyi tespit etmek için iki trafiği birbirine bağlamak mümkün olabilir. Buna rağmen milyarlarca internet kullanan kişileri bu şekilde ayırmak ve kategorize etmek çok zor ve yorucu bir iştir. Bundan maksimum derecede korunmak için TOR'u tam ekranda kullanmayın, TOR Browser'ı ve diğer yazılımları güncel tutun, gündelik hayatınızda da verilerinizi 3. taraf şirketler ile paylaşmamaya özen gösterin.
C-Düğümlere Kötü Amaçlı Sızma:
TOR ağı binlerce gönüllü devreden oluşuyor ve bu düğümlerden rastgele bir sırayla geçerek veri dağıtımı gerçekleşiyor. Bu sırada TOR düğümlerinin arasına kendi ağını ekletebilen birisi ortaya çıkabilir ve ardından kendi düğümünü yerleştirebilir. Kendi ağ trafiği sayesinde gelen-giden verileri, kullanıcıları görebilir ama bunların hepsi şifreli Şifreli olduğu için bunları çözemez ve çözebilmek için sizin geçtiğiniz ağın tamamına sahip olması gerekir. Bunun için de başka düğümler ekletmeli ve TOR'da bulunan düğümler içinde büyük bir yüzdeye sahip olmalıdır. Yani sizin giriş düğümünüzden çıkış düğümünüze kadar her iletişim bu arkadaşın düğümleri arasında gerçekleşmeli, bunu yapabilirse sizin kim olduğunuzu ve ağ trafiğinizi çözebilir. Fakat bunun ihtimali çok düşük, size önceden hesaplanmış ihtimalleri sunayım. 2021 verilerine göre TOR ağında 9000 düğüm çalışmakta, eğer eleman bu 9000 ağın içinde 3000 düğüm ekletmişse, ekletebilecek kadar yetenekli ve zengin ise ağın %30'una sahip olmuş oluyor değil mi? Evet ama bu durumda kimliğinizin tespit edilmesi için geriye kalan %60'lık kısıma hiç değmemiş olmanız gerekli ve 3 düğümlü bağlantıda bunun ihtimali yalnızca %2,7 oluyor.
Bağlandığın Düğüm SayısıSaldırganın Başarılı Olma İhtimali 32.7%40.8%50.2%70.02%100.0006% Gördüğünüz gibi bu oran çok düşük ve kimlik tespiti için buna değmez. Ayrıca TOR sürekli aktif güncelleme aldığı için sürekli bir işlem değil, yine de yapılması imkansız değil. 1 yıl önce 3-4 büyük ülke bunu uygulamaya çalışsalardı ve bunu TOR ekibinden gizli şekilde planlasaydı kimsenin ruhu duymazdı. Para var, Gönüllü bulunur, Birkaç yıl gerçekten hiçbir faaliyette bulunmamışlar. Bir gün bumm diye herkesi tespit edip evinden almaya kalkacaklar belki de. Bunlar sadece varsayım ama çok uzak bir ihtimal değil. Bundan korunmak için yapmanız gerekenler sınırlı olsa da köprü kullanarak ihtimalleri iyice azaltabilirsiniz, VPN, VDS, Proxy gibi ekler de size bu konuda yardımcı olabilir. Ayrıca her ihtimale karşı sürekli olarak kimliğinizi yenileyin.
D-Düğüm Şekillendirme
Aslında yukarıdaki maddeyle kısmen çelişen bir saldırı yöntemi daha var; bu yöntemde saldırgan, sizin girmiş olduğunuz düğüm eğer kendi düğümüyse, sizi kendi düğümlerinden geçirecek şekilde TOR'u yeniden şekillendirebilir. Fakat bunu yapabilmesi için size TOR'un değiştirilmiş ve resmi olmayan bir versiyonunu indirtmelidir. Buna izin vermemek de sizin elinizde. Aynı şekilde ağınıza, bilgisayarınıza sızarak da başarabilir ama buzaten her ihtimalde tehlikeli olan bir durumdur. Ayrıca TOR signature'ını doğrulayıp orijinal dosyayı indirdiğinizden emin olabilirsiniz. Yani signature'ın Türkçe karşılığını tam bilmiyorum ama anlamı indirdiğiniz herhangi bir dosyanın şifrelenerek rastgele karakterler atanması durumudur. Yani siz TOR Browser kurulum dosyasına ait ait en ufak bir detayı bile değiştirirseniz bu hash baştan sona değişecektir: Doğal olarak doğrulamadan da geçemeyecektir.
4-OSINT ile Maksimum Anonim Olanların Bulunması;
Aslında bundan bahsetmek için fazla üşeniyorum, internetteki verilerinizi ve açığa çıkardığınız bilgileri kullanarak bir şekilde sizi bulabilirler. Buna yüklediğiniz dosyaların metadata'ları, yazı diliniz, ilgi alanlarınız ve diğer maddelerde bahsettiğim yöntemler de dahildir. Yani size ait olan her şeyi somut bir delil haline getirip sizi bulabilirler. Açıkçası ben de OSINT sayesinde çok kişi hakkında gerekli bilgi edindim ve gayet iş gördü. Eğer istek gelirse canlı osint örnekleriyle ilgili bir paylaşım daha yapabilirim ama bu yazı çok uzadı, bilinen bir şey için daha da uzatmayayım. Zaten sonraki madde de yeterince uzun.
5-) Fiziksel Cihazlardan Delil Toplama, Silinen Veriyi Kurtarma, Kırılan Donanımı Kurtarma;
Diyelim ki suçlu bulundunuz ve cihazlarınızı incelemek üzere toplayacaklar; Önce bir bakarlar internet geçmişinize ama bunu İnternet verilerinizden elde edebilirler, yani sizin donanımınızdaki verilere erişmeleri şart değil. Bu veriler sadece arama geçmişi ile sınırlı değildir. Ziyaret geçmişiniz, Google hesaplarınız, Mail'leriniz, WhatsApp, Meta, Discord hesaplarınızdaki konuşmalarınız ve aklınıza gelebilecek her b*kunuz teker teker incelenir, incelendikten sonra işlediğiniz suça göre her şey aleyhinize kullanılabilir.
Hepiniz Müge Anlı'da internet geçmişinde p*rn*grafi bulunan çocuğu hatırlıyordur Gelelim donanım kısmına, diyelim ki bilgisayarını aldılar ve başladılar açmaya, önüne şifre çıkarsa şifreyi senden isteyebilirler ama buna gerek yok, windows şifresini kırmak çok kolay. (Linux da aşırı zor değil ama alışık değiller bir tık uğraşabilirler ama koymaz.) Senin hakkında edinmeleri gereken bilgileri çeşitli uygulamalar aracılığıyla ayıklarlar ve manuel olarak teker teker aramakla uğraşmazlar, işlem sadece verilerin ayıklanması ve kullanılabilir hale gelmesi için beklemekten ibaret yani sadece kurulu yazılımın işlem süresine bağlı. Bunun için fazla teknik bilgi gerekmediği gibi Kali'de bile bir benzerlerini bulabilirsiniz.
Burada da iş görecek verileri delil niteliğinde belgeleyebildikleri gibi özellikle kurtarma işlemini de başarıyla tamamlayabilirler. Bildiğiniz gibi "İşlevsel Anonimlik Yöntemleri" yazımda verileri kalıcı olarak silmekten bahsetmiştim: Eski model harddisklerde dosyaları 34 kez üstüne veri yazarak kurtarılamaz hale getirebilirsiniz. Bunu yapmadığınız takdirde sizin verilerinizi yine basit programlar ile kurtarabilirler, bu zor bir işlem değil sadece uzun sürebilir ama fazla yormaz onları. Neden yormaz biliyor musunuz; asıl uğraştırıcı mesele sizi bulmaktı ve onu da başarıyla tamamladıklarına göre geriye pek bir şey kalmadı. Şifrelediğiniz verileri nasıl kurtaracaklar? Bu onlar en zor kısım olabilir, Şifrelerinizi Brute Force yöntemiyle de kırabilirler ama bu kolay değil arkadaşım, eğer uzun karakterli bir şifreniz varsa üstel büyümeden dolayı her bir karakterde şifrenizi bulma ihtimalleri git gide zorlaşır. Bir RAR, ZIP, vs. arşiv dosyalarının şifresinin kırılması fazla meşaakatli değil çünkü şifre denemesi fazla işlemi yoran bir iş değil, yine de brute force ile kırılmayabilir. Bu esnada HashCat gibi yardımcı yazılımlar aracılığıyla kırabildiklerini de unutmayın. Bu yüzden güvenli ve güncel şifreleme yöntemleri kullanın.
Gerçek anlamda kırılamaz bir şifre kullanmak istiyorsanız verilerinizi sakladığınız diski şifreleyin.(USB veya harici SSD olursa sizin için daha kolay olur.) LUKS'un 2. sürümü ile şifrelerseniz HashCat ve benzer yazılımlar bile kıramayabilir. Ben bu yazıyı yazmadan birkaç hafta önce aktivistlerin, verilerini USB belleğe kurduğu Tails OS'un şifreli depolama biriminde saklamasından dolayı baskın yedikten sonra polislerin eline somut delil geçememiştir.
Olayın Ayrıntılı Haberini Okumanızı Öneriyorum.
, eline sağlık
