TGS Akademi'nin 10 Nisan 2016 tarihinde verdiği atölyenin bir parçası olarak verdiğim eğitimin sunumu.

1. Gazeteciler İçin
Hacker Kültürü ve Bilgi Güvenliği
Yeni çağın en büyük miti hackerlar hakkındaki gerçekler ve gazeteciler için sansür, gözetim ve
diğer potansiyel saldırılara karşı savunma yöntemleri.
Ahmet A. Sabancı

2. Hackerlar ve
Hacker Kültürü
Hackerlar hakkında her gün birşeyler
duyuyor olsak da, bunların çoğu mit
olmanın ötesine geçmiyor. Bu mitlerin
üzerine bir de teknoloji ve hackerların
çalıştıkları alanlar üzerine yeterli
bilginin olmayışı da eklenince,
hackerlar; ejderhalar, büyücüler ve
uzaylılar gibi muamele görmeye
başlıyor.
Oysa gerçekler çok daha basit.
➔ “Hacklemek olarak adlandırdığımız şeye basit bir tanım koymak çok zor,
ancak bence bu eylemlerin ortak noktası oyunculuk, zekayı kullanmak ve
araştırmacılık. Bundan yola çıkarsak, hacklemek mümkün olanın limitlerini
oyuncu bir zekayla sınamaktır diyebiliriz.Bu oyuncu zekayı gösteren
eylemlerin hepsi “hack değeri” taşır.” -Richard Stallman
➔ Hacker kültürü, her ne kadar politik bir hareket ya da dünyaya felaketi
getirmek üzere olan bir grup terörist gibi sunulsalar da, aslında
bilgisayarlar sayesinde doğmuş bir karşı kültürden fazlası değildir.
➔ Her hacker karanlık bir odada, yüzünde maskeyle büyük sitelere,
bankalara ve devletlere saldırmaz. Hatta çoğu bunu yapmaz. Bu kültürün
bir parçası olarak kendini gören ama bambaşka alanlarda yeteneğini
kullanan birçok insan vardır.
➔ Hackerların bir örgütü, organizasyonu ya da kurumu yoktur.
Sendikalaşmamışlardır. Anonymous bir örgüt değildir, hiç kimse
hackerları temsilen konuşma yetkisine sahip değildir.
➔ Hackerlar arasında iyi niyetliler de vardır kötü niyetliler de. Hepsi belirli
bir amaca hizmet etmez. Aynı şeyi keşfeden iki farklı hacker bununla
bambaşka iki şey yapabilir. Çünkü ikisi de bağımsız birer insandır.

3. Hacker Etiği ve
Hackerların Politik
Ajandası
Her ne kadar her hackerın motivasyonu ve
ulaşmak istediği hedefler farklı olsa da,
çoğunun kabul ettiği ve eylemlerinin arka
planında yatan bir takım etik önkabuller
vardır. Bunları sağ üstte gördüğümüz
maddeler hâlinde özetlememiz mümkün.
Bunun yanı sıra hackerların ve dijital
aktivistlerin gündemleri de oldukça yoğun.
Şu anda üzerinde durdukları ve onlar için
hayati öneme sahip olan kimi politik
gündemler mevcut. Onların yaptıkları
eylemleri incelerken bunların da göz
önünde bulundurulması şart.
● Bilgi özgürdür ve öyle kalmalıdır.
● Merak her şeyden önemli bir dürtüdür.
● Otorite asla dostumuz değildir.
● Önemli olan birinin nasıl göründüğü değil, nasıl
düşündüğüdür.
● Siberuzayın doğasına dışarıdan bir müdahale kabul
edilemez.
● Bilgisayarlar iyidir ve onlarla iyi şeyler
yapabilirsiniz.
★ Dünyadaki tüm devletlerin ve şirketlerin gözetim açlığı (İstihbarat
servisleri, big data, Internet of Things, toplu gözetim...)
★ Ağ tarafsızlığına ve internetin özgür, eşit, otonom yapısına saldırılar
(İnternetin balkanizasyonu, şirketlerin kontrol gücünü arttırma
çabası, devletlerin interneti ve bilgisayarları kontrol etme çabası...)
★ Hackerlara, şifrepunklara ve whistleblowerlara ve aktivistlere karşı
dünya çapında açılan savaş (Barrett Brown, Jeremy Hammond, Julian
Assange, Anonymous, Chelsea Manning, Edward Snowden, Matt
DeHart, Lauri Love, Emin Huseynov, Bassel Khartabil...)

4. Özetle...
Hackerları temsil eden bu değildir... Ama bu arkadaşlar olabilir.

5. Tehdit
Modellemesi
Sahip olduğunuz varlıklarınızı
riske atabilecek her türlü durum,
tehdit olarak kabul edilir. Tehdit
modellemesi ise bu durumu
kavrama ve buna karşı
yapılabilecekleri
tasarlama/eyleme koyma
sürecidir.
Tehdit modellemesi yaparken, kendinize 5 temel soru sormalısınız:
1. Neyi korumak istiyorum?
2. Kimden korumak istiyorum?
3. Bu şeyi korumak zorunda kalma ihtimalim nedir?
4. Bunu başaramazsam ne gibi kötü sonuçları olabilir?
5. Bunu engellemek için ne tür zorluklara katlanabilirim?
Bu sorulara vereceğiniz cevaplara göre nelere dikkat etmeniz
gerektiğini, hangi önlemleri alabileceğinizi ve bunları nasıl
yapacağınızı daha kolay ve doğru bir biçimde belirleyebilirsiniz. Bu
sayede sizin işinize yaramayacak önlemlerle zaman kaybetmeyip
daha önemli olanlara vakit/enerji ayırmanızı sağlayacaktır.

6. Metadata
Nedir?
İnternette yaptığımız her şey, basitleştirilmiş hâliyle birer
paketten ibarettir. Bu paket temel olarak da bir mektuptan
farksızdır. Üzerinde bilgiler, içinde ise mektubun kendisi bulunur.
İletişim şifrelemek için kullanılan birçok yöntem, yalnızca içeriği
şifreler ve paketin üzerinde yazanlar yine okunabilir kalır. Bu da
sizi gözetlemek isteyen kişinin, içeriğe ulaşamasa bile birçok
değerli bilgiye ulaşmasına ve siz ve çevreniz hakkında detaylı bir
harita oluşturmasına imkan tanır. Bu yüzden birçok istihbarat
ajansı metadata toplamaya büyük bir önem verir. Çünkü bu
bırakacağınız izlerle oluşan Dijital Gölgeniz, size dair birçok şeyi
açık eder.
Bunu önlemenin yollarından birisi internet trafiğinizi de
tamamen şifrelemektir. Bunun yanı sıra tehdit modelinize göre
daha detaylı önlemler de almanız gerekebilir.
Eğer trafiğiniz güvende değilse yalnızca metadatanız değil, DPI
gibi yöntemlerle de yaptığınız her şeyin toplanması mümkündür.

7. Güvenli Bir Şekilde
Haberleşme
Güvenli bir şekilde haberleşebilmeniz
için her ne olursa olsun şifreleme
yöntemlerini kullanmanız ve bunu bu
şekilde haberleşmeniz gereken
herkes ile aranızda bir zorunluluk
hâline getirmeniz gerekir. Hemen her
cihazda ve hemen her iletişim yolu
için farklı şifreleme alternatifleri
mevcuttur. Tehdit modelinize göre
size en uygun olanları seçmelisiniz.
Tüm bunlara rağmen, metadatanın
hâlâ erişilebilir olduğunu ve bunun
kimi ekstrem durumlarda risk
yaratabileceğini unutmayın.
★ Mail:
PGP/GPG;
ProtonMail, RiseUp vb mail sağlayıcılar;
HTTPS
★ Mesajlaşma-Chat:
Signal/TextSecure,
ChatSecure,
OTR+Pidgin(Adium),
Whatsapp
Telegram (şifreli)
★ Sesli Görüşme:
Jitsi,
Signal,
Silent Phone,
Google Hangouts (Tehdit modeline bağlı olarak)

8. İnternet Trafiğinizi
Kem Gözlerden
Korumak
İnternet trafiğiniz, dünyanın
dört bir yanındaki sunucuları
gezip size istediğiniz şeyi
getirirken birçok farklı noktada,
farklı biçimlerde saldırıya açık
kalır. Bu saldırıların hepsinin
amacı ve yöntemi farklı olsa da,
savunma için yapacağınız kimi
temel şeyler, internet
bağlantınızı büyük anlamda
güvene almanızı sağlar.
➢ Sağduyu: Herkese açık ağlara bağlanmamak, modeminizi
sağlam bir parola ile korumak, sırf sansür atlatacağım diyerek
her eklentiyi kurmamak…
➢ HTTPS: HTTPS-Everywhere tarayıcı eklentisini kurarak buna
imkan veren tüm siteleri bu şekilde ziyaret etmek. Google,
Facebook, Twitter gibi sitelere girerken sertifikasını kontrol
etmek…
➢ Trafiğinizi Şifrelemek: Basitçe DNS değiştirip İSS’in verdiği
yoldan gitmemek (DNScrypt), VPN ya da Proxy kullanıp
bağlantınızı şifrelemek veya Tor veya I2P kullanıp neredeyse
tamamen anonim bir yol izlemek…
➢ Takipçileri Durdurmak: Privacy Badger, Ghostery, No Script
gibi eklentiler ile sizi takip edenleri engellemek...

9. Elinizdeki
Veriyi Korumak
Cihzlarınızdaki veriler, birçok
farklı biçimde saldırıya maruz
kalabilir. Bunların kimisi uzaktan
kontrol yollarıyla olabilirken,
kimisi de direkt cihazınızı ele
geçirerek olacaktır. Eğer
verilerinizin kaybolmasını veya
başkalarının eline geçmesini
istemiyorsanız, her ikisi için de
önlem almanız şart.
➔ Cihazlarınızı mutlaka şifreleyin. Çoğu sistem kendi içerisinde bu
imkanı tanıyor. Hepsi çok güvenli olmasa da, birçok tehdite karşı
sizi koruyabilir. (Linux: LUKS; Win: BitLocker, DiskCryptor; iOS,
OSX ve Android: Sistem Araçları)
➔ Düzenli yedekler alın. Mümkünse bir offline ve şifreli yedeğiniz
olsun.
➔ Cloud kullanımında çok hassas olun. Her şeyi oraya koymayın.
Eğer koyacaksanız hangi servisi kullandığınıza dikkat edin veya
önce şifreleyip sonra clouda gönderin. (SpiderOak, MEGA veya
Owncloud)
➔ Cihaz güvenliği yazılımları kullanın, sisteminizi ve
uygulamalarınızı daima güncelleyin.
➔ Her zaman olduğu gibi, yapacağınız her şeyi sağduyulu ve tehdit

10. Online Güvenlik ve
Parolalar
Online hesapların ele
geçirilmesi, hesabın önemine ve
kullanım şekline göre birçok
farklı tehditle karşı karşıya
kalmanıza neden olabilir. Bu
yüzden online kimliklerin
güvenliği de gerçek
kimliklerimizin güvenliğine eş
değerde sayılır. Bu noktada,
parolaların önemi daha da iyi
anlaşılır.
★ Güçlü parolalar seçin. Bunu ister rastgele parola üretme araçlarını
kullanarak, isterseniz de diceware yöntemini kullanarak yapabilirsiniz.
★ Asla aynı parolayı birden çok yerde kullanmayın. Bu sizin güvenliğinizi
ciddi anlamda riske atacaktır.
★ Farklı parolaların hepsini hafızanızda tutmanıza imkan yok. Bu yüzden
mutlaka güvenilir bir parola kasası kullanın. (KeePass(X), LastPass)
★ İki aşamalı doğrulama yöntemlerini (2 Factor Authentication)
kullanabileceğiniz her yerde aktif hâle getirin.
★ Hesaplarınızı farklı uygulamalara bağlarken en az 5 kez düşünün.
Bağladığınız yerin hangi yetkileri istediğini, gerçekten güvenilir bir yer
olup olmadığını kontrol edin.
★ Herkesten gelen linklere tıklamayın. Tıkladığınızda zaten giriş
yaptığınız hesaba giriş yapmanızı istiyorsa yapmayın.
★ Bir yere giriş yapmadan önce tarayıcıdan güvenlik sertifikasını kontrol
edip gerçekten orada olup olmadığınıza emin olun.
★ Güvenlik sorularına asla gerçek bilgilerinizle cevap vermeyin. Güvenlik
sorularınızın cevapları için sahte şeyler bulun ve bunları da parola
kasanıza kaydedin.

11. Veri İmha Etmek
Eğer bilgisayarınızda hassas bilgiler
barındırıyorsanız ve bunlarla işiniz
bittikten sonra asla başkasının eline
geçmesini istemiyorsanız, verilerden
tamamen kurtulmayı iyi bilmeniz
gerekir. Çöp kutusuna atılan verilerin
büyük bir kısmı, çoğu zaman tamamen
silinmeden uzunca bir süre kalabilir.
Bunun yanı sıra SSD disklerden, USB
belleklerden ve SD kartlardan
tamamen veri silmenin neredeyse
imkansız olduğunu unutmayıp buna
göre önlem almanız gerekebilir.
➢ Eğer klasik tiplerde hard disk kullanıyorsanız, BleachBit
programı silinmiş verileri gerçekten tamamen silmenizi
sağlar. Bunun yanı sıra bu programın detaylı temizlik için
kullanılabilme özelliği de bulunur.
➢ Eğer OS X kullanıyorsanız, dosyaları çöpe attıktan sonra
“Çöpü Güvenli Boşalt” seçeneğini kullanmanız büyük
anlamda işe yarar.
➢ CD/DVD içerisindeki bir dosyayı tamamen imha etmek
istiyorsanız bunları kağıt imha eder gibi halletmeniz
gerekir.
➢ Eğer USB/SSD/SD kart içerisine daha sonra silseniz de
erişilemeyecek bir şeyler koyacaksanız, bunları
şifrelemekten başka yol bulunmamakta. Bu yüzden
dikkatli olun.
➢ Eğer cloud üzerine daha sonra tamamen imha etmek
isteyebileceğiniz bir şey yüklemeyi düşünüyorsanız,
YAPMAYIN!

12. Kaynaklar ve Okuma Önerileri (İnternet Siteleri ve Bloglar)
★ Gözetim Meşru Müdafa - https://ssd.eff.org/tr/
★ Kem Gözlere Şiş - https://kemgozleresis.org.tr/
★ Kame Blog - https://network23.org/kame/
★ Tactical Tech - https://tacticaltech.org/
★ EFF Deeplinks - https://www.eff.org/deeplinks
★ Schneier on Security - https://www.schneier.com/
★ Krebs on Security - https://krebsonsecurity.com/
★ The Intercept - https://theintercept.com/
★ Motherboard - https://motherboard.vice.com/
★ Weird and Deadly Interesting (Kişisel blogum) - http://ahmetasabanci.com
★ Tuhaf Gelecek - http://tuhafgelecek.com

13. Kaynaklar ve Okuma Önerileri (Kitaplar)
★ Warren Ellis, Transmetropolitan
★ Daniel Solove, Understanding Privacy
★ Julia Angwin, Dragnet Nation: A Quest for Privacy, Security, and Freedom in a World of
Relentless Surveillance
★ Bruce Schneier, Data and Goliath: The Hidden Battles to Collect Your Data and Control Your
World
★ Julian Assange, When Google Met Wikileaks
★ Glenn Greenwald, No Place To Hide
★ Julian Assange, et.al, Şifrepunk
★ Molly Sauter, The Coming Swarm: DDOS Actions, Hacktivism, and Civil Disobedience on the
Internet
★ Gabriella Coleman, Hacker, Hoaxer, Whistleblower, Spy: The Many Faces of Anonymous
★ Derleme, Hack Kültürü ve Hacktivizm
★ Kim Zetter, Countdown to Zero Day: Stuxnet and the Launch of the World's First Digital
Weapon
★ The Boy Who Could Change the World: The Writings of Aaron Swartz
★ Marc Goodman, Future Crimes: Everything Is Connected, Everyone Is Vulnerable and What
We Can Do About It

14. Ahmet A. Sabancı
http://ahmetasabanci.com
http://tuhafgelecek.com
https://tinyletter.com/tuhafgelecek
https://tinyletter.com/weirdanddeadlyinteresting
ahmet@ahmetasabanci.com
GPG: 2584-DB24-70AB-1854
@ahmetasabanci
XMPP: ahmetasabanci@riseup.net