Hepimiz Bilgi Çağ’ında yaşıyoruz. Sürekli teknolojinin bize sunduğu nimetlerden bahsediyoruz.
İnternet sayesinde bilgiye erişimimizin sınırlarının olmadığını düşünüyoruz ve çağımızla gurur duyuyoruz.
Peki, internet bizim hakkımızda sosyal medya benzeri ağlar dışında nasıl bilgi sahibi olabiliyor?
Hemen hemen herkesin başına daha önce gelmiş bir olaydan bahsetmek istiyorum. Bir alışveriş sitesine girdiniz. Alışveriş sepetinize ürün eklediniz sonra vazgeçip ürünü sepetinizden kaldırdınız. Girdiğiniz başka bir sitenin sağ veya sol tarafında size aynı ürünü daha ucuza alabileceğinizi söyleyen ilanlar ile karşılaştınız. Tam olarak söylemek istediğim şey aslında bu.
Siz farkında değilsiniz ama aslında internete kendinizi tanıtıyorsunuz. Bilmeyenler için web sitelerin çalışma mantığından bahsedelim.
Web site mekaniğinde hem sunucu hem istemci tarafında belirli kodlar çalıştırılır. İstemci, siteye girdikten sonra sunucu tarafındaki kodlar istemci makinasına indirilir. Sayfaya sağ tıklayıp, “Öğeyi incele ”ye tıklarsanız, bu sitenin sizin tarayıcınız tarafından çalıştırılan kodlara erişebilirsiniz. İstemci tarafında, genellikle HTML, JavaScript, CSS kodları çalışır. Sunucu’da ise farklı bir mekanizma vardır ve bunlar farklı programlama dilleri ile çözülmektedir.
Sunucu ile sizin aranızda bir bağlantı oluşur ve bunun sonucunda siteye erişim sağlarsınız.
Yazımda size iki farklı tür bilgi toplama yönteminden bahsedeceğim.
Metadata Ve Çerezler:
Bu yöntemler gündelik kullandığınız yasal servisler tarafından kullanılmaktadır. Hemen hemen girdiğiniz her sitede, siteye ilk girişinizde size Çerez Politikası denilen bir sözleşme onaylatılır.
Öncelikle çerezlerden bahsedelim.
Çerezler, tarayıcınıza kaydedilen bilgilerdir.
Örneğin, sosyal medya hesabınıza giriş yaptığınız zaman “Şifremi Hatırla” seçeneğini tıkladığınız zaman bir sonraki girişinizde yeniden kullanıcı adı ve şifre girmeniz gerekmez. Aynı şekilde Google, Bing, Yahoo gibi firmalar internette yaptığınız aramaları Çerezler üzerinden işler ve bu verileri ‘size daha iyi hizmet vermek’ amacıyla kullandıklarını söylerler.
Google’ın izlediği Çerez politikası ile ilgili şu videoyu izleyebilirsiniz.
Her sitenin kendine ait özel bir çerez politikası bulunmaktadır.
Bu politikalarda, siz siteyi gezerken sizden ne bilgiler alacaklarını, bu bilgilerinizi üçüncü şahıslar ile paylaşıp, paylaşmayacaklarından bahsetmektedirler. Üçüncü şahıslar ile paylaşılan Çerezler yukarıda anlattığım reklam servisleri tarafından işlenip, size ‘özelleştirilmiş içerik’ olarak gezindiğiniz sitelerde gösterilmektedir.
Metadata’dan bahsedecek olursam, Metadata kelime anlamı olarak ‘başka bir bilgiyi içeren bilgi’ anlamına gelmektedir.
Kaydettiğiniz her Office dokümanı, değiştirdiğiniz her resim sizin makinanız hakkında bilgi içermektedir.
Bu bilgilerden sizi tanımlayıcı nitelikte olanlardan bazıları:
Dosyayı yaratan kişinin adı ve soyadı (Adı ve soyadı dememin sebebi, siz işletim sistemi kurulumu yaparken işletim sisteminin kurulumda sizden bu alanları istiyor olması)
Dosyayı okuyan kişinin adı ve soyadı
Dosyayı yaratan kişinin makinasının halka açık IP’si
GPS koordinatları
Oluşturulma zamanı
Metadatanın, Amerikan hükümeti tarafından internet trafiği altında kişileri denetleme ve gözetim amacıyla kullanıldığı zaten bilinen bir gerçektir. Metadatanın kişi tanımlama için ne kadar ciddi bilgiler içerdiğini eski NSA & CIA yöneticilerinden Michael Hayden’in kendi ağzından duyabilirsiniz.
https://www.youtube.com/watch?v=z9BdCutAbFU
Yasal Olmayan Yöntemler:
Bu yöntemler ise korsan sitelerde ve internetten indirdiğiniz uygulamalarda daha yaygın kullanılmaktadır. Clickjacking, phishing, session hijacking gibi teknikler kullanılarak sizin hakkınızdaki hassas bilgileri elde etmeye çalışırlar. Bu saldırılar daha çok, bilinçsiz veya dikkatsiz kullanıcılara yönelik saldırılardır.
İsmini vermek istemediğim bir çevrimiçi dizi izleme sayfasında keşfettiğim bir detayı paylaşacağım.
Öncelikle siteye giriş yaptım ve ‘Kaynağı Görüntüle’ düğmesine tıklayıp, sitenin içerisindeki istemci tarafındaki kodları inceledim. Amatörce gizlenmiş ve istemci tarafında zarar olabileceğini düşündüğüm bir kod bölümü buldum. Bu kod bölümü “eval” adı verilen bir fonksiyonun içerisindeydi. “Eval” fonksiyonu içerisinde çağırılan kod ise byte dizisinden oluşmaktaydı. Daha sonra bu byte dizisini anlaşılır kelimelere çevirince ortaya başka bir JavaScript kodu çıktı. Bu kodun, istemci makinadan başka bir IP üzerinden reklam sunucusuna veri yolladığını ve kullanılan yöntem ile siteye ziyaret edenlerin hem dış, hem de iç ağınızdaki IP’ye kadar bilgi toplayabildiklerini fark ettim. Sırf internetten dizi izlemek için bir başkasının benim ile ilgili bu kadar bilgiye sahip olmasını ben kişisel olarak doğru bulmuyorum. Tabi herkes bu durumdan rahatsız olmayabilir.
Daha tehlikeli olanlar ise, kullandığınız web sayfalarının sahte kopyalarıdır. Eğer, erişim sağladığınız web sayfasının gerçekten o firmaya ait olup, olmadığından emin olamıyor iseniz, yüksek ihtimalle girdiğiniz sayfa sizin elektronik posta, sosyal medya, internet bankacılık vs. hesaplarınızı ele geçirmek için yapılmış bir sahte sayfadır. Bu sahte sayfaları çok fazla teknik bilgiye sahip olmayan, bilinçli ve dikkatli bir internet kullanıcısı rahatlıkla gerçeğinden ayırt edebilir. Örneğin; sahte sitenin adres çubuğunda erişmek istediğiniz sayfanın adresi yerine alakasız bir adres yazıyorsa bu şüphe uyandırmalıdır. Ayrıca, erişmek istediğiniz sayfa HTTPS yani web sayfası ile bağlantınız şifreli ise, bu da ayırt edici bir özellik olabilir.
Toplanan Bilgileri Silebilir Miyiz?
Teknik olarak, sizden çıkan bir verinin hangi sunucuya ulaştığını bilmiyorsanız nereye gittiğini de bilemezsiniz. Hangi sunucuya eriştiğini bilseydiniz dahi sunucuya erişiminiz olması gerekirdi. Ancak, bazı yöntemler kullanarak bunu bazı senaryolarda engellememiz mümkün. Örneğin, ‘Çerezler’ aynı zamanda kullanıcı kontrolünde olan bilgilerdir. İsterseniz “Çerezler”inizi silebilir, isterseniz de tarayıcınızı “Çerezler”inizin kaydedilmediği Gizli Mod’da açabilirsiniz. Çerezlerinizi sık sık temiz tutmanız bilgi vermenizi azaltacaktır. Ayrı olarak “Çerezler”inizi kullanan reklam servislerini engellemek için tarayıcınıza uygun eklentiler kurabilirsiniz. IP’nizi değiştirmek için VPN veya proxy hizmetlerinden faydalanabilirsiniz. Fakat sizin kurduğunuz VPN, proxy hizmetleri hazır alınan VPN, proxy hizmetlerinden daha güvenli olacaktır.
Dolayısıyla, demokraside çare hiçbir zaman tükenmez. Teknoloji, doğru kullanılmadığı zaman bir düşman, doğru kullanıldığı zaman bir dost haline gelmektedir. Bilgi, kontrol altında olması gereken bir “şey”dir ve bilgi teknolojileri de bunu gerektirir.
Kaynaklar
1- https://en.wikipedia.org/wiki/Metadata#Web_pages
2- https://www.google.com/policies/technologies/cookies/
3- Ekran görüntüsü içeriği 1: https://privacy.microsoft.com/tr-tr/privacystatement
4- Ekran görüntüsü içeriği 2: https://www.google.com
5- Resim içeriği: http://homepages.uel.ac.uk/u0315352/introduction2.htm
Sunucu ile sizin aranızda bir bağlantı oluşur ve bunun sonucunda siteye erişim sağlarsınız.
Yazımda size iki farklı tür bilgi toplama yönteminden bahsedeceğim.
Metadata Ve Çerezler:
Bu yöntemler gündelik kullandığınız yasal servisler tarafından kullanılmaktadır. Hemen hemen girdiğiniz her sitede, siteye ilk girişinizde size Çerez Politikası denilen bir sözleşme onaylatılır.
Öncelikle çerezlerden bahsedelim.
Çerezler, tarayıcınıza kaydedilen bilgilerdir.
Örneğin, sosyal medya hesabınıza giriş yaptığınız zaman “Şifremi Hatırla” seçeneğini tıkladığınız zaman bir sonraki girişinizde yeniden kullanıcı adı ve şifre girmeniz gerekmez. Aynı şekilde Google, Bing, Yahoo gibi firmalar internette yaptığınız aramaları Çerezler üzerinden işler ve bu verileri ‘size daha iyi hizmet vermek’ amacıyla kullandıklarını söylerler.
Google’ın izlediği Çerez politikası ile ilgili şu videoyu izleyebilirsiniz.
Her sitenin kendine ait özel bir çerez politikası bulunmaktadır.
Bu politikalarda, siz siteyi gezerken sizden ne bilgiler alacaklarını, bu bilgilerinizi üçüncü şahıslar ile paylaşıp, paylaşmayacaklarından bahsetmektedirler. Üçüncü şahıslar ile paylaşılan Çerezler yukarıda anlattığım reklam servisleri tarafından işlenip, size ‘özelleştirilmiş içerik’ olarak gezindiğiniz sitelerde gösterilmektedir.
Metadata’dan bahsedecek olursam, Metadata kelime anlamı olarak ‘başka bir bilgiyi içeren bilgi’ anlamına gelmektedir.
Kaydettiğiniz her Office dokümanı, değiştirdiğiniz her resim sizin makinanız hakkında bilgi içermektedir.
Bu bilgilerden sizi tanımlayıcı nitelikte olanlardan bazıları:
Dosyayı yaratan kişinin adı ve soyadı (Adı ve soyadı dememin sebebi, siz işletim sistemi kurulumu yaparken işletim sisteminin kurulumda sizden bu alanları istiyor olması)
Dosyayı okuyan kişinin adı ve soyadı
Dosyayı yaratan kişinin makinasının halka açık IP’si
GPS koordinatları
Oluşturulma zamanı
Metadatanın, Amerikan hükümeti tarafından internet trafiği altında kişileri denetleme ve gözetim amacıyla kullanıldığı zaten bilinen bir gerçektir. Metadatanın kişi tanımlama için ne kadar ciddi bilgiler içerdiğini eski NSA & CIA yöneticilerinden Michael Hayden’in kendi ağzından duyabilirsiniz.
https://www.youtube.com/watch?v=z9BdCutAbFU
Yasal Olmayan Yöntemler:
Bu yöntemler ise korsan sitelerde ve internetten indirdiğiniz uygulamalarda daha yaygın kullanılmaktadır. Clickjacking, phishing, session hijacking gibi teknikler kullanılarak sizin hakkınızdaki hassas bilgileri elde etmeye çalışırlar. Bu saldırılar daha çok, bilinçsiz veya dikkatsiz kullanıcılara yönelik saldırılardır.
İsmini vermek istemediğim bir çevrimiçi dizi izleme sayfasında keşfettiğim bir detayı paylaşacağım.
Öncelikle siteye giriş yaptım ve ‘Kaynağı Görüntüle’ düğmesine tıklayıp, sitenin içerisindeki istemci tarafındaki kodları inceledim. Amatörce gizlenmiş ve istemci tarafında zarar olabileceğini düşündüğüm bir kod bölümü buldum. Bu kod bölümü “eval” adı verilen bir fonksiyonun içerisindeydi. “Eval” fonksiyonu içerisinde çağırılan kod ise byte dizisinden oluşmaktaydı. Daha sonra bu byte dizisini anlaşılır kelimelere çevirince ortaya başka bir JavaScript kodu çıktı. Bu kodun, istemci makinadan başka bir IP üzerinden reklam sunucusuna veri yolladığını ve kullanılan yöntem ile siteye ziyaret edenlerin hem dış, hem de iç ağınızdaki IP’ye kadar bilgi toplayabildiklerini fark ettim. Sırf internetten dizi izlemek için bir başkasının benim ile ilgili bu kadar bilgiye sahip olmasını ben kişisel olarak doğru bulmuyorum. Tabi herkes bu durumdan rahatsız olmayabilir.
Daha tehlikeli olanlar ise, kullandığınız web sayfalarının sahte kopyalarıdır. Eğer, erişim sağladığınız web sayfasının gerçekten o firmaya ait olup, olmadığından emin olamıyor iseniz, yüksek ihtimalle girdiğiniz sayfa sizin elektronik posta, sosyal medya, internet bankacılık vs. hesaplarınızı ele geçirmek için yapılmış bir sahte sayfadır. Bu sahte sayfaları çok fazla teknik bilgiye sahip olmayan, bilinçli ve dikkatli bir internet kullanıcısı rahatlıkla gerçeğinden ayırt edebilir. Örneğin; sahte sitenin adres çubuğunda erişmek istediğiniz sayfanın adresi yerine alakasız bir adres yazıyorsa bu şüphe uyandırmalıdır. Ayrıca, erişmek istediğiniz sayfa HTTPS yani web sayfası ile bağlantınız şifreli ise, bu da ayırt edici bir özellik olabilir.
Toplanan Bilgileri Silebilir Miyiz?
Teknik olarak, sizden çıkan bir verinin hangi sunucuya ulaştığını bilmiyorsanız nereye gittiğini de bilemezsiniz. Hangi sunucuya eriştiğini bilseydiniz dahi sunucuya erişiminiz olması gerekirdi. Ancak, bazı yöntemler kullanarak bunu bazı senaryolarda engellememiz mümkün. Örneğin, ‘Çerezler’ aynı zamanda kullanıcı kontrolünde olan bilgilerdir. İsterseniz “Çerezler”inizi silebilir, isterseniz de tarayıcınızı “Çerezler”inizin kaydedilmediği Gizli Mod’da açabilirsiniz. Çerezlerinizi sık sık temiz tutmanız bilgi vermenizi azaltacaktır. Ayrı olarak “Çerezler”inizi kullanan reklam servislerini engellemek için tarayıcınıza uygun eklentiler kurabilirsiniz. IP’nizi değiştirmek için VPN veya proxy hizmetlerinden faydalanabilirsiniz. Fakat sizin kurduğunuz VPN, proxy hizmetleri hazır alınan VPN, proxy hizmetlerinden daha güvenli olacaktır.
Dolayısıyla, demokraside çare hiçbir zaman tükenmez. Teknoloji, doğru kullanılmadığı zaman bir düşman, doğru kullanıldığı zaman bir dost haline gelmektedir. Bilgi, kontrol altında olması gereken bir “şey”dir ve bilgi teknolojileri de bunu gerektirir.
Kaynaklar
1- https://en.wikipedia.org/wiki/Metadata#Web_pages
2- https://www.google.com/policies/technologies/cookies/
3- Ekran görüntüsü içeriği 1: https://privacy.microsoft.com/tr-tr/privacystatement
4- Ekran görüntüsü içeriği 2: https://www.google.com
5- Resim içeriği: http://homepages.uel.ac.uk/u0315352/introduction2.htm