Çeviri

Önce Güvenlik!

Önce Güvenlik!

Kısaca: İnsani kaynaklarınızı, kendinizi ve izlerinizi korumak için bazı temel iyi uygulamaları ve araçları benimseyerek dijital, fiziksel ve psikolojik olarak güvende kalın ve potansiyel risklerin her zaman farkında olun. 

Güvende ve bilinçli kalmak, herhangi bir araştırmanın ayrılmaz bir parçasıdır. Bir araştırma başlatırken, kaynaklarınızın ve ortak çalışanlarınızın güvenliği, kendi güvenliğiniz ve verilerinizin güvenliği her zaman öncelikli olmalıdır.

Güvenliği, planlamanız ve düşünmeniz gereken bir şey olarak, araştırmacı zihniyetin ayrılmaz bir parçası olarak düşünün. Sadece bu değil, dijital ve fiziksel veri izlerinizin bilgileri nasıl açığa çıkarabileceği konusunda size fikir verebilecek bir şey olarak düşünün. Güvenlik, araştırmanıza devam etmeden önce işaretlemeniz gereken basit bir kontrol listesi olmamalıdır. Güvenliği bir kontrol listesi olarak düşünürseniz, yanlış bir güvenlik hissine sahip olabilirsiniz.

Burada, bilgi toplamaya, doğrulamaya ve hem çevrimiçi hem de çevrimdışı olarak daha kapsamlı bir şekilde araştırma yapmaya başlamadan önce göz önünde bulundurmanız gereken ana ilkelere ve adımlara odaklanacağız. Bu bölümü, araştırmacı zihniyetinizin bir parçası haline gelecek olan şeylere, yavaş yavaş kendi bağlamınıza, çalışma tarzınıza ve hedeflerinize göre yerleştirilmesi ve uyarlanması gereken bir dizi davranış ve tutuma bir başlangıç noktası olarak alın. Temel konularda ustalaşırsanız, kolayca ilerleyebilir ve belirli profilinizle ilgili daha fazla güvenlik tekniği ve aracı benimseyebilirsiniz.

Zarar Vermeyin

Araştırmanızı ve eylemlerinizi her zaman birlikte çalıştığınız insanlar, araştırdığınız konular ve kendiniz üzerindeki olumlu etkiyi artıracak ve olası olumsuz etkiyi azaltacak şekilde düşünün ve planlayın. Bu, “Zarar Vermeyin” ilkesinin bir parçasıdır ve bir araştırmacı (veya bir aktivist, araştırmacı, vb.) olarak, bunu her zaman değerlendirmelerinize ve kararlarınıza entegre etmeniz gerekir.

Zarar Vermeme ilkesi, insani destek ve aracılık sektöründe geliştirilmiştir, ancak diğer her yerde olduğu kadar geçerlidir. Tüm davranışlarınızın ve eylemlerinizin, olumlu ya da olumsuz ya da her ikisinin de bir tür sonuçlara sahip olduğunu varsayar. Buradaki fikir, başlangıçta olduğundan daha fazla riske ve zarara neden olmamaktır.

Güvenlikle ilgili aklınızda bulundurabileceğiniz çok basit bir formül var:

Eylemler + Davranışlar = Sonuçlar

Kendi işinizi planlarken ve bir sonraki adımınızı değerlendirirken buna bağlı kalın. Eylemlerimizin ve davranışlarımızın başkalarının, kendinizin ve birlikte çalıştığınız bilgilerin güvenliğini ve durumunu nasıl etkileyebileceğini analiz etmenize yardımcı olan temel bir formüldür.

Tactical Tech’in “Holistic Security Manual” – “Security and Do Not Harm approach” bölümünde planlamanıza ve eylemlerinize yardımcı olabilecek Zarar Vermeyin ilkesi ve ilgili değerlendirmeler hakkında daha fazla bilgi bulabilirsiniz.

Neyi güvende tutuyorsunuz?

Güvende kalma söz konusu olduğunda en önemli soru şudur: “Tam olarak neyi koruyorsunuz?”

Liste şu şekilde özetlenebilir:

Kişiler – Etkileşimde bulunduğunuz (kaynaklar, ortak çalışanlar, meslektaşlar, yakınlar vb.) ve bilgilerine erişiminiz olan / topladığınız / kullandığınız / depoladığınız kişiler.

Kendiniz – Güvende kalmak, riskleri en aza indirmek ve kendinize yönelik tehditleri azaltmak önemlidir.

Veriler – Topladığınız bilgiler, başkalarının rızası veya yetkisi olmadan erişime karşı güvenli olmalı ve kayıp, hasar veya hırsızlık durumunda kurtarılabilir olmalıdır.

Bağlam her şeydir / herkese uymaz

Güvenliği, içinde çalıştığınız belirli bağlam ve ne yapmaya çalıştığınız ile ilgili bir şey olarak düşünmeye yardımcı olur. Örneğin, google dorking gibi çevrimiçi bir aramayla meşgul olmanın, saha araştırması yürütmeye kıyasla farklı riskleri vardır. Aynı zamanda, tüm saha araştırmaları o kadar riskli değildir; alan araştırma kılavuzumuzda okuyabileceğiniz birkaç faktöre bağlıdır.

Güvenlik hakkında düşünürken, önce kendinize aşağıdaki gibi birkaç soru sorarak gerçekleştirdiğiniz işlevin farkında olun:

  • Araştırmanızın odak noktası kim / nedir?
  • Bir web sitesini mi araştırıyorsunuz?
  • Bir şirketi mi araştırıyorsunuz?
  • Sahaya mı çıkıyorsun?
  • Röportaj mı yapıyorsunuz?

Yapmaya çalıştığınız şeyin niteliği önemlidir, çünkü karşılaşabileceğiniz tehditleri büyük ölçüde belirleyecektir. Bu tehditleri ele almak, kendinizi ve etkileşimde bulunduğunuz kişileri güvende tutmak için hangi önlemleri alacağınıza karar vermektir.

Güvenlik, düzgün bir şekilde dijital ve dijital olmayana bölünemez. Nihai hedef, insanların güvende olduğundan emin olurken işinizi yapmanızdır. Dijital yaşamınızda yaptığınız şey fiziksel yaşamınıza kolayca sıçrayabilir ve bunun tersi de geçerlidir. Bu nedenle, güvenliğe bütüncül yaklaşmak ve tehditlerin nerede ortaya çıkabileceğini anlamak önemlidir.

Kısacası:

Güvenlik, gerçekleştirdiğiniz işlev ve işlevin gerçekleştirildiği bağlamla ilgilidir.

Güvenlik, düzgün bir şekilde dijital ve dijital olmayana bölünemez.

Güvenliğe, çalıştığınız ve iletişim kurduğunuz diğer insanlarınkinden ayrı olarak yaklaşılamaz.

Risk değerlendirmesi ve risk azaltma

Herhangi bir bağlamda (çevrimiçi ve çevrimdışı, dostça veya düşmanca ortam vb.) üstlendiğiniz araştırma veya soruşturma faaliyetinin türü ile ilişkili riskleri ve olası tehditleri düşünmek ve bir soruşturmaya başlamadan önce bu beklenen riskleri her seferinde listelemek, araştırma sürecinde onları yeniden ziyaret etmek çok önemlidir. Buna risk değerlendirmesi denir. Bu değerlendirmeden geçmenin amacı, uygun önlemleri alarak beklediğiniz riskleri azaltmaya çalışmaktır. Riski azaltma çabasına risk azaltma denir.

Not:

Faaliyetiniz ne kadar karmaşık ve riskli olursa, risk değerlendirmeniz ve risk azaltmanız o kadar kapsamlı olmalıdır.

Risk değerlendirmesi ve azaltma uygulamaları, bilimsel araştırma, gazetecilik araştırmaları, kanuni soruşturmalar veya insani alan görevleri de dahil olmak üzere çevrimiçi ve saha faaliyetlerini içeren bir dizi disiplinde ortak uygulamalardır.

İşinize başlamadan önce her zaman bir risk azaltma planınız olduğundan emin olun. Bu, ortaya çıkabilecek sorunları önleyebileceğiniz, yanıtlayabileceğiniz ve çözebileceğiniz yollar bulmayı içerir. Bu plan, risk değerlendirmenizde vurgulanan olası sorunlarda yol gösterici olabilir.

İpucu:

Kural olarak izlemeniz gereken belirli bir risk değerlendirmesi ve risk azaltma şablonu yoktur, bu süreci kendi araştırma yöntemlerinize ve bağlamınızın yanı sıra araştırmanızın konularına uyarlamanız gerekecektir. Evinizden şirketlerin insan hakları ihlalleri hakkındaki STK raporlarını internette araştırırsanız veya gerçekleri gözlemlemek ve etkilenen insanlarla röportaj yapmak için saha araştırması yaparsanız, farklı derecelerde ve türde risk veya tehdide sahip olursunuz. Benzer şekilde, huzurlu bir kasabanın merkezindeki belediye binasının fotoğraflarını çekerseniz ve aynı kasabada ormansızlaşmanın devam ettiği bir alanı sınırda izole bir yerde fotoğraflamanız gerektiğinden farklı risk türlerini planlamanız gerekir.

Bunlar sadece sınırlı örneklerdir, durumunuzu ne kadar iyi tahmin ve analiz edebilirseniz, ilgili riskleri değerlendirme ve azaltma konusunda o kadar iyi olursunuz. Değerlendirmeniz ve planlamanız, bireysel, gayri resmi ya da bir organizasyonun parçası olarak araştırma yapmanız durumunda da farklılık gösterecektir. Bir kuruluş muhtemelen nasıl planlamanız, hareket etmeniz ve davranmanız gerektiğine dair bazı standart prosedürlere sahip olacaktır. Oysa tek başınıza hareket ederseniz, değerlendirmeniz ve önlemleriniz konusunda ekstra dikkatli olmanız gerekecektir. Hiçbir zaman tek başınıza bir girişimde bulunmanızı veya tek başına araştırma yapmanızı önermiyoruz. Güvenilir başkalarıyla işbirliği yapmak size her zaman daha iyi bir risk azaltma planı sunacaktır.

Tactical Tech olarak, güvenlik ve güvenliğe daha geniş bir perspektiften bakan, bireysel veya gruplar halinde çalışırken fiziksel ve zihinsel sağlığı da içeren çevrimiçi kılavuzumuzda “Holistic Security bölümünde tehdit değerlendirmesinin bu yönünü ele aldık. “Explore – Identifying and Analysing Threats” bölümünde risk ve tehdit algılamaları ve değerlendirmeleri hakkında bilgi edinebilirsiniz.

Tactical Tech’in Holistic Security kılavuzundan tehdit matrisinin görüntüsü için kaynak:  https://holistic-security.tacticaltech.org/chapters/explore/2-8-identifying-and-analysing-threats.html. Bu matrisin arkasındaki fikir, tehditlerin aşağıdakiler ışığında incelenip sınıflandırılabileceğidir: 1. – tehdidin gerçekleşme olasılığı ve 2. – meydana gelip gelmediği ve ne zaman gerçekleşeceği. Olasılık ve etki, riski belirlememize yardımcı olan kavramlardır: Bir tehdidin olasılığı veya etkisi ne kadar yüksekse, risk o kadar yüksek olur. Bir tehdit daha az olasıysa veya daha düşük bir etkiye sahip olacaksa, risk daha düşüktür.

 

Orada birçok risk değerlendirme ve risk azaltma şablonu ve kılavuzu bulunmaktadır. Daha fazlasına göz atmak, süreci kendi özel durumunuza uygulamak için süreci daha iyi anlamanıza yardımcı olabilir.

İşte size başlamanız için bazı öneriler, ancak her kılavuzun belirli bir perspektiften veya belirli bir grup için yazıldığını unutmayın, bu nedenle bazılarında bahsedilen belirli kelime veya görevlerden çıkarım yapmaya çalışın, bunlar orada bahsedilmeyen diğer bağlamlara da uygulanabilir:

  • Elektronic Frontier Vakfı’ndan Surveillance Self Defence (Wayback Machine’den arşivlenmiş kopyası linkte mevcut)  potansiyel gözetim durumlarından haberdar olmak ve riskleri ele almak için tavsiyeler, araçlar ve yöntemler içeren bir kaynaktır.
  • Görev Öncesi Hazırlık: Acil durum müdahalesi (Wayback Machine’den arşivlenmiş kopyası linkte mevcut), Gazetecileri Koruma Komitesi’nden (Committee to Protect Journalists (CPJ)- saha araştırmalarınızın güvenlik unsurlarını öğrenmenize ve hazırlamanıza yardımcı olabilecek mevcut kaynakların bir listesi. Sadece görevlerinde çalışan gazeteciler için değil, herhangi bir araştırmacı için de geçerlidir.
  • STK’lar için risk yönetimi (Wayback Machine’den arşivlenmiş dosya linkte bulunabilir), Birleşmiş Milletler Somali’den. Kılavuzun yalnızca Somali için değil, genel olarak geçerli olduğunu unutmayın.
  • “De-escalate Anyone, Anywhere, Anytime” Bu, RightResponse.org’dan doğrudan bir PDF indirmesidir (bu linkte Wayback Machine’den arşivlenmiş bir kopya mevcuttur) – genel bir giriş ve özellikle araştırmacılar için yazılmamıştır, ancak bir başlangıç noktası olarak kullanılabilir.
  • DSD Working Papers on Research Security serisi (Wayback Machine’den arşivlenmiş kopyayı linkte bulabilirsiniz) – tehlikeli alanlarda saha araştırması yaparken güvenlik hakkında gelişmiş bir kılavuzdur, bu nedenle bunu göz önünde bulundurarak bir bakış atabilirsiniz.

Planlamanızı biraz daha kolaylaştırmak ve burada sizin için tüm riskleri tahmin edemeyeceğimizi ve değerlendiremeyeceğimizi kabul etmek için (unutmayın, her araştırma farklıdır!) çevrimiçi ve çevrimdışı / sahada araştırma yaparken potansiyel riskleri azaltmanın bazı somut yollarını ele alacağız. Bu Kitin her bir bölümünde (Nasıl Araştırılır ve Neler Araştırılır bölümünden), risk değerlendirmesi ve risk azaltma hakkında çok daha fazla ayrıntı ve belirli durumlarda benimsenmesi için önerilen yöntemler ve araçlar bulacaksınız.

Dijital Güvenlik

Verilerinizi ve bilgilerinizi güvende tutmayı düşünürken iki ayrı şey düşünüyor olabilirsiniz:

  1. Birincisi, verilerinizi kötü niyetli biri tarafından zarar vermek için kullanılmayacak veya gizlilik ihlali oluşturmayacak şekilde korumakla ilgilidir.
  2. İkincisi, hasar görmesi veya kaybolması durumunda kurtarabilmeniz için onu güvende tutmakla ilgilidir.

Dijital güvenlik, verilerinizi korumakla ilgilidir. Bu veriler sizin: 

  • kişileriniz
  • konumunuz
  • şifreleriniz
  • dijital alışkanlıklarınız

olabilir.

Bu veriler sizin:

  • cihazlarınızda
  • iletişiminizde
  • çevrimiçi hesaplarınızda
  • internet trafiğinizde

olabilir.

Ancak, güvenliğin yalnızca aletler anlamına gelmediğini unutmayın. Bizi riske atan şeylerin çoğu, seçtiğimiz teknik araçlar değil, davranışlarımızdır. İnsanlar genellikle en zayıf halkadır ve en güvenli araçları kullanıyor olsanız bile, yine de ihlal edilebilirsiniz.

Güvenlik hakkında düşünürken akılda tutulması gereken bazı noktalar şunlardır: 

  • paylaşmayı seçtiğin şey
  • nasıl iletişim kuruyorsun
  • tıkladığınız şey (kimlik avı saldırıları)
  • hangi hizmetleri seçiyorsun
  • kiminle paylaşmayı seçtiğiniz

Dijital güvenliğin sadece kendi risk anlayışınızla değil, bu riskleri azaltmak için attığınız adımlarla ilgili olduğunu unutmamak önemlidir. Güvenliği, birbirimize bağlı olduğumuz bir grup sporu olarak düşünün. Hepimiz risklerin ve güvenlik açıklarının toplu olarak ne kadar farkına varırsak, bu riskleri azaltmak için adımlar atma konusunda o kadar iyi olabiliriz.

Veriler, cihazlarınıza erişen biri veya aynı verilere sahip bir başkası tarafından ihlal edilirse, verilerin sizin tarafınızdan güvenliğini sağlamak için her adımı atmış olsanız bile riskler yine de benzerdir. Bu nedenle etkileşim kurduğunuz diğer kişilerin veya platformların ve hizmetlerin dijital güvenlik bilincine dikkat etmeniz gerekir.

Not:

Dijital güvenliği masaya yatırmak çoğu zaman kolay değildir, ancak sizinle birlikte çalışan kişilerin tehditleri sizinle aynı şekilde anladığından ve işler ters giderse bir planınız olduğundan emin olun. Güvenlik planlarınızı ve değerlendirmelerinizi sizinle birlikte bir araştırma üzerinde çalışan ortak çalışanlarla paylaşın ve kaynaklarınızın da risklerden haberdar olmasını sağlayın.

Kimlik bilgilerinizi ve verilerinizi güvende tutmanıza yardımcı olacak bazı uygulamalar

  • Uzun parolalar kullanın
  • İki faktörlü kimlik doğrulama kullanın
  • Parola yöneticileri kullanarak parolaları koruyun
  • Kurtarma e-postası eklemek gibi mümkün olan yerlerde kurtarma araçlarının kurulduğundan emin olun
  • Verileri yedekleyin
  • Verileri şifreleyin
  • Uçtan uca şifreleme, servis sağlayıcının içeriğinize erişememesini garanti etmeye yardımcı olur
  • Verilerinize kimlerin erişebileceğinin farkında olun
  • Kullandığınız araçları gözden geçirin

Dijital bir aracı gözden geçirmenize yardımcı olacak bazı kriterler

Aracın:

Açık kaynak olup olmadığına – Kaynak kodu sizin veya başkalarının görmesi için herkese açık mı? Kodu okuyamıyor veya değerlendiremiyor olsanız bile, açık kaynak kodun uzman kişiler tarafından doğrulanabileceği ve denetlenebileceği anlamına gelir.

Uçtan uca şifreleme sağlayıp sağlamadığına – Bu, verilerin alıcı tarafa gönderilmeden önce şifrelenmesi anlamına gelir ve verinin şifresini yalnızca onlar çözebilir. Servis sağlayıcı bile çözemez.

Verileri gereksiz yere depolayıp depolamadığına – İşlevlerini gerçekleştirmek için ihtiyaç duyduklarından daha fazla veriyi talep eden araçlar, gelecekte bu verileri ifşa etme riski taşır.

Veri sızdırıp sızdırmadığına– Bu araçla işlevleri gerçekleştirirken, gereksiz veriler yanlışlıkla kamuya veya üçüncü şahıslara açıklanmaz.

Veri paylaşıp paylaşmadığına– Bazı araçlar veya hizmetler verilerinizi paylaşır veya üçüncü şahıslara satar. Bir aracın (uygulama, yazılım, vb.) kullanım şartları ve / veya veri politikasını okursanız, genellikle bu konuda bilgi edinebilirsiniz.

Güvenlik Değişimi

Araçları seçerken, genellikle yararlı, kullanımı kolay ve güvenli olan arasında bir ikileminiz olur.

Birçok araç daha çok güvenliğe odaklanmış olsa da, yine de güvenliğinizi işlevsellik ve kullanılabilirlik açısından değerlendirmeniz gerekir. Buradaki anahtar, içinde bulunduğunuz bağlamı ve belirli bir aracı kullanarak ne kazandığınızı veya vazgeçtiğinizi anlamaktır. Güçlü yönlerinizi pekiştirmektense zayıf yönlerinizi belirlemek önemlidir. Genellikle en zayıf noktalarınız istismar edilen noktalardır ve bu zayıflıklar için güvenlik yönlerine bazen işlevsellik veya kullanılabilirlik üzerinden yatırım yapmak mantıklıdır.

Örneğin, çok güvenli bir araç her kullandığınızda bir parola girmeyi gerektirebilirken, bir başkası parolayı sizin için kaydederek daha kolay kullanılabilir hale getirir. İkilem, daha az zaman alan uygulamayı kullanmak ile cihazınız çalındığında erişime açık hale gelmesi arasındadır.

Araştırma için araçlar kullanma

Kullanmaya karar verdiğiniz araçlar ne olursa olsun, izleri bulan araçlar da iz bırakıyor. İnternette her şey izlenebilir, şeytanın varsayılanlarda olduğunu anlamak önemlidir. Her zaman ayarları iki kez kontrol edin ve hükümler ve koşulları okuyun.  Ve önceden kullanarak test edin.

Veriler ve Cihazlar

Verilerinizin ve cihazlarınızın güvende olduğundan emin olun, bunu cihazlarınızın şifreli olmasını sağlayarak yapabilirsiniz. Önerilen bazı uygulamalar ve araçlar şunlardır:

  • Full Disc Encryption’u Kullanın: Diskinizi ve bilgisayarınızdaki dosyaları şifrelemek için Bitlocker (Windows için), FileVault (Mac), dm-crypt (Linux) gibi araçları kullanın.
  • Cihazınızda depoladığınız veriler için VeraCrypt veya Cryptomator dosya kaplarını kullanın.
  • Cihaz kaybı durumunda verilerinizin güvenliğini sağlamak için verilerinizi bulutta ve sabit disklerde yedekleyin.

Veri Gönderme

Veri göndermek için güvenilir hizmetleri kullanın, örneğin:

Çevrimiçi güvenlik

Kanıtların çevrimiçi olarak aranması ve toplanması – sosyal medya verileri, çevrimiçi şirket kayıtları, etki alanı sahipliği ayrıntıları, web sitesi geçmişi, görsel meta verileri vb. – çok sayıda platform, araç ve hizmette gezinmeyi içerir. Bunlardan bazıları Tor Browser ile çalışır ve bu, gizliliğinizi bir dereceye kadar korumanıza izin verir. Diğerleri sadece Tor üzerinde çalışmaz, aynı zamanda bir e-posta adresi, ad ve diğer kişisel detaylarla kaydolmanızı gerektirir. Araştırma konunuza, bağlamınıza ve birlikte çalıştığınız kişilerin durumuna bağlı olarak, çevrimiçi araştırma yaparken dijital izler bırakmak sizi daha yüksek risk altına sokabilir.

Not:

Bulunduğunuz bölgede şifreleme kullanmanın yasal olduğundan emin olun. Şifrelemenin kullanımına kısıtlamalar getiren bazı yerler var ve şifrelemeyi kullanmak sizi riske atabilir

Dijital gizliliğinizi korumanıza ve cihazlarınızın/verilerinizin güvenliğini artırmanıza yardımcı olabilecek dijital güvenlik teknikleri ve araçları için bu önerileri dikkate alın.

Hesaplar

Bazı çevrimiçi hizmetler, bir hesap oluşturmanızı, bir kullanıcı adı seçmenizi, ödeme bilgileri sağlamanızı, bir e-posta adreslerini doğrulamanızı veya platformlarına erişmek için sosyal medya profilinizle kaydolmanızı gerektirir. Aşağıdaki seçenekleri göz önünde bulundurarak bunlara maruz kalmayı sınırlamaya çalışın:

  • Tutanota veya Protonmail gibi hizmetlerle kolayca yapabileceğiniz daha güvenli, bölümlere ayrılmış bir e-posta hesabı oluşturun.
  • Araştırma çalışmalarınızı kişisel çevrimiçi kimliğinizden bölümlere ayırmak için verilerinizi gerektiren hizmetlerle kullanmak üzere ayrı bir sosyal medya hesapları kümesi oluşturun.
  • Belirli bir araştırma için tek kullanımlık bir “kimlik” oluşturun ve araştırma tamamlandıktan sonra bundan kurtulun. Bu, özellikle hassas işler yaparken gerekli olabilir.

Tarayıcılar

İlginizi çekebilir:  COVID-19 Takip Teknolojisi Bizi Kurtarmayacak

Gizli gerçekleri ortaya çıkarmak isteyen biri olarak, muhtemelen interneti kişisel iletişim ve araştırmanızın bir kısmı için zaten kullanıyorsunuz.

Not:

Araştırmanız ve web’de günlük gezinme için farklı tarayıcılar kullanmak iyi bir fikirdir. Bunu yaparak, yeniden “bölümlendirme” alıştırması yaparsınız. Araştırma için bir tarayıcı ve diğer her şey için başka bir tarayıcı kullanırsınız.

Araştırmanız için “gizliliğe duyarlı” bir tarayıcı seçmenizi ve bu tarayıcıda web tabanlı e-postaya ve sosyal medyaya giriş yapmaktan kaçınmanızı öneririz. Bu, birçok kişisel verinizin ziyaret ettiğiniz web sitelerine gönderilmesini önleyecektir.

Burada veya çevrimiçi Kit’te bahsettiğimiz çevrimiçi araçlardan herhangi birini kullanmadan önce, bu tarayıcılardan birini indirip kurmak iyi bir fikirdir. Ardından, tarayıcıyı Panopticlick veya Browser Leaks gibi bir araçla test ederek fazladan bir kesinlik katmanı ekleyin. Gizliliğe duyarlı bir tarayıcı kullanırken gördüklerinizin sonuçları, Panopticlick veya Browserleaks’i normal bir tarayıcıyla ziyaret ettiğinizden farklı görünmelidir Bu, genellikle daha fazla zayıflığı ortaya çıkarır.

Not: Parmak İzi

Tarayıcıların parmak izi kolayca alınabilir. Bu, sizi izleyen hizmetlerde oturum açmamış olsanız bile, tarayıcınızdaki çeşitli ayarlarla tanımlanabileceğiniz anlamına gelir.

Davranışınızı değiştirerek (farklı boyutlarda pencereler açmak gibi) veya sistem bilgilerini gizleyen araçları kullanarak bunu azaltabilirsiniz.

Bunlar, çevrimiçi araştırma yaparken gizliliğinizi korumaya yardımcı olabilecek, kullanmanın artıları ve eksileri ile birlikte bazı araç örnekleridir:

Tor Browser

  • Artıları: Bu, gizliliğe duyarlı en iyi tarayıcıdır. Kod açıkça yayınlanır, böylece herkes nasıl çalıştığını görebilir. IP adresinizi değiştirmenin ve trafiğinizi şifrelemenin yerleşik bir yolu vardır.
  • Eksileri: Dünyada Tor Browser kullanımının engellendiği veya yasaklandığı yerler var. Bu blokların etrafında Tor Bridges gibi yollar olsa da, Tor kullanmak bu tür yerlerde trafiğinizi şüpheli olarak işaretleyebilir.

Not:

Bazı web sayfaları varsayılan olarak Tor’u engeller ve Tor kapalıyken onları ziyaret edip etmemeye karar vermeniz gerekir.

Firefox

  • Artıları: İzleyicileri ve çerezleri, “Content Blocking”’i katı bir biçimde ayarladığınızda otomatik olarak açılan “Enhanced Tracking Protection” adlı bir ayarla engeller.
  • Eksileri: Bu seçeneği açmanız gerekiyor, varsayılan olarak kapalıdır. Firefox kullandığınızda, IP adresinizin ziyaret ettiğiniz siteler tarafından hala görülebildiğini unutmamak önemlidir.

Brave

  • Artıları: Seçenekleri açmaya, eklenti veya uzantı eklemeye gerek kalmadan gizliliği korumaya çalışır. Brave, tarayıcı kapatıldığında tüm kişisel verileri silmek için bir güvenlik ayarına sahiptir. Reklamları ve izleyicileri engelleyebileceğiniz “Shields” adlı bir özelliği vardır. IP adresinizi korumak için Tor ağını kullanan yeni bir “Private Tab With Tor” oluşturmanıza da olanak tanır (düzenli kullanım onu korumaz).

Not:

Brave’in “Private Tab With Tor” sekmesi ayrıca, “.onion” ile biten ve yalnızca Tor özellikli tarayıcılar tarafından güvenli bir şekilde erişilecek şekilde yapılandırılan Tor gizli hizmet sitelerini ziyaret etmenize de olanak tanır.

  • Eksileri: Bağışlara izin veren “ödemeler” veya “Brave ödemeler” özelliği, sizi tanımlamak için kullanılabilecek verileri gönderdiği için kapalı tutulmalıdır. Brave kullanırken, IP adresinizi korumak için “Private Tab With Tor” özelliğini kullanmalısınız.

DuckDuckGo

  • Artıları: Bu, kullanıcıları hakkında herhangi bir kişisel veri toplamadığını iddia eden, gizliliğe duyarlı bir arama motorudur (tarayıcı değil). Gizliliğinizi daha da korumak için DuckDuckGo’yu Tor Browser ile birlikte kullanabilirsiniz.
  • Eksileri: DuckDuckGo, arama sorgularınızı kaydeder, ancak sizi kişisel olarak tanımlayabilecek verileri toplamaz.

Not:

Duckduckgo’daki varsayılan ayarları kontrol ettiğinizden ve kullanımınızı özelleştirdiğinizden emin olun: https://duckduckgo.com/settings

Virtual Private Networks (VPNs)

Tor’u kullanamıyorsanız, anonimliğinizi korumada daha az etkili olsa da başka bir seçenek bir VPN kullanmak olacaktır.

Not:

VPN’ler, geldiğiniz yeri haritalamak için ziyaret ettiğiniz web siteleri tarafından kullanılabilen IP adresinizi gizleyerek çalışır. Bir VPN kullanırken, gerçek IP adresinizi görmek yerine, ziyaret ettiğiniz siteler VPN sağlayıcısının IP adresini görecektir.

Bir web sitesini ziyaret etmek, bir telefon görüşmesi yapmak gibidir. Ziyaret etmekte olduğunuz web sitesi, nereden geldiğinizi haritalamak için kullanılabilecek “numaranızı” – IP adresinizi – görebilir.

VPN’i, sizinle ziyaret etmek istediğiniz site arasında somut bir tünel olarak düşünün. VPN, trafiğinizin etrafında bir tünel oluşturur, böylece dışarıdan izlenemez ve onu VPN sağlayıcınızın sahip olduğu bir aracı sunucu üzerinden yönlendirir, böylece trafiğiniz, ziyaret ettiğiniz herhangi bir siteye, sanki bulunduğu yerden farklı bir yerden geliyormuş gibi görünür. Ne web tarayıcısı, internet servis sağlayıcınız ne de ziyaret ettiğiniz site IP’nizi göremeyecek veya sizi tanımlayamayacaktır. Siteler, trafiğinizin yalnızca VPN sağlayıcınızın IP adresinden geldiğini görecektir.

Not:

Örneğin, bir şirketi araştırıyorsanız ve genellikle çok az trafik alan bir sayfa olan yönetim kurulu web sayfasını ziyaret ediyorsanız, belirli konumunuzdan tekrarlanan ziyaretleriniz şirketin araştırmanızdan haberdar olmasını sağlayabilir.

Birçok VPN seçeneği vardır ve hangisini seçeceğinize karar vermek kafa karıştırıcı olabilir. Karışıklığa ek olarak, çoğu VPN incelemesi ve listesi bağımsız değildir, bazıları gerçekten önyargılıdır. ThatOnePrivacySite, onaylayabileceğimiz bir VPN inceleme sitesidir.

Trafiğinizin günlüklerini kaydetmediğini iddia eden bir VPN şirketi seçmeniz önerilir. Çoğu ücretsiz VPN’den kaçınmanız gerekir çünkü bunlar genellikle günlük verilerini satarak (kullanıcıların VPN aracılığıyla hangi siteleri ziyaret ettiğinin kayıtları) işlemlerini finanse ederler, ancak tavsiye ettiğimiz bazı saygın VPN’ler vardır: Bitmask, Riseup VPN, PsIPhon, Lantern.

İletişim

Güvenli iletişim, araştırmanın ve aslında dijital dünyanın hayati bir yönüdür. Kesilen iletişim, kaynaklarınızı, kendinizi veya topladığınız bilgilerin gizliliğini tehlikeye atabilecek en büyük risklerden biridir. Doğru araçları seçmek, özellikle başkalarına bağımlı hale geldikçe önemlidir.

Genellikle e-postalar ve mesajlaşma uygulamaları aracılığıyla mesajlar ile iletişim kurarsınız. Mümkün olduğunda, ortak çalışanlar, kaynaklar ve görüşülen kişilerle e-posta iletişiminizde şifreli e-posta (PGP / Pretty Good Privacy) kullanın.

PGP ile ilgili not:

PGP, bir e-postanın içeriğini şifreler. Bununla birlikte, e-posta hakkındaki meta verileri şifrelemez. Meta veriler gönderen, alıcı, konu satırı, gönderme zamanı ve çeşitli diğer e-posta başlık bilgileri olabilir. Bu, PGP ile şifrelenmiş e-postalardan hala birçok bilginin çıkarılabileceği, ancak mesajın içeriği olmadığı anlamına gelir.

Aramalar ve mesajlaşma için, Signal veya Wire gibi gelişmiş şifreleme ve gizlilik seviyelerine sahip farklı uygulamalar bulunmaktadır. Bunlar, WhatsApp veya Telegram’a tercih edilir, ancak daha güvenli uygulamalarda kolayca erişilemeyen insanlarla karşılaşabilirsiniz. Tüm bu iletişim uygulamalarının her yerde mevcut olmadığını ve örneğin Wire’ı kullanmanın engellendiği için imkansız olacağı bölgeler olduğunu belirtmek gerekir.

Not:

PGP’nin nasıl çalıştığı ve şifrelemeyi sizin durumunuza nasıl uyarlayacağınızla ilgili ayrıntılar ve dijital iletişiminizi mümkün olduğunca özel bir şekilde sürdürmek için daha kapsamlı ipuçları, araçlar ve yöntemler için Keeping Your Digital Communication Private from Security-in-a-Box kılavuzumuza bakın.

Geleneksel iletişim yöntemlerine (şifrelenmemiş telefon görüşmeleri, sabit hatlar vb.) güvenmek zorunda kaldığınızda muhatabınıza yalnızca asgari bilgileri sağladığınızdan emin olun ve hangi ayrıntılarla iletişim kurmanın daha az riskli olduğunu önceden belirlemeye çalışın. Tehditlerden ve gözetimden korkarken, kaynaklarınıza yakın bir toplantı düzenlemeye yardımcı olabilecek biriyle temasa geçmek için yukarıdaki şifreli yöntemleri kullanın.

Not:

Her cep telefonunun varsayılan olarak izlenebilir olduğunu ve bu konuda yapabileceğiniz hiçbir şey olmadığını unutmamak çok önemlidir. Mobil telefon bu şekilde çalışır. Sinyal sağlayıcıları ağlarına erişen tüm cihazların 7/24 nerede olduğunu bilir. Cihazların bu izlenebilirliği, GPS, WIFI, Bluetooth vb. kullanabilen konum takibinin etkinleştirilmesiyle de genişletilebilir. Bu, izlemeyi daha hassas hale getirir ve daha fazla üçüncü tarafın (sağlayıcınız dışında) isterlerse konum verilerinize erişmesini sağlar.

Bazen, telefonunuzun izlendiğini düşünüyorsanız, bir veya birkaç kez kullanabileceğiniz ve sizinle bağlantılı olmayan veya kolayca atabileceğiniz tek kullanımlık bir telefon olan bir kullan at telefonu kullanmayı düşünün.

Cihazları bir araya getirmenin kolay bir işleyiş olmadığını, yanınızda ne kadar çok cihaz getirirseniz bilgileri o kadar iyi bulabilir, toplayabilir ve yönetebileceğinizi unutmayın. Ancak daha fazla ekipmanla bu cihazlarla ilişkili riskleri artırırsınız. Bir akıllı telefon son derece yararlı olabilir ancak her zaman bir izleme cihazı olacaktır. Ne getireceğinize ve buna hangi risklerin eklendiğine dikkatlice karar verin. Bilinçli kararlar verin ve risk alırsanız bunları başkaları adına almayın. Bir cihaz sizi güvenli bir şekilde bir toplantıya götürüp geri götürebilir. Ancak kaynağınızı sonsuza dek açığa çıkarabilir.

Guardian Project, güvenlik odaklı çözümler hedeflerinin bir parçası olarak kullanımı kolay güvenli uygulamalar oluşturur. Web sitelerinde önerilen, uygulanabilir, incelenmiş uygulamaları bulabilirsiniz.

Alan Güvenliği

Saha araştırmaları, bilgisayarın arkasından çalışmaktan daha fazla fiziksel risk taşır. Yeni yerlere seyahat etmek, insanlarla konuşmak, film çekmek veya belirli ekipmanları kullanmak sizi bazı bağlamlarda şüpheli gösterebilir. Bu nedenle, faaliyetinizin düşük riskli olduğundan emin olsanız bile planlama yapmak, bir risk değerlendirmesi yapmak ve eylemlerinizin olası sonuçlarını değerlendirmek hayati önem taşımaktadır. Risk değerlendirmesi için katı kurallar yoktur, ancak önceden oluşturulmuş net bir planınız olduğundan emin olun, önemli kişilerinizin kimler olduğunu ve bu alanda hangi kişi veya kuruluşların yardım sağlayabileceğini öğrenin.

Durumunuzu değerlendirirken göz önünde bulundurmanız gereken bazı önemli hususlar şunlardır:

  • Faaliyetiniz gizli veya savunmasız kaynaklarla mülakatlar içeriyorsa, değerlendirmenizde maruz kaldıkları riskleri ele alın. Sizinle işbirliği yaparken karşılaşabilecekleri tüm güvenlik açıklarını onlarla tartışın.
  • Bilgi toplayacağınız sıraya, bunları paylaşacağınız kişilere, onlarla ne zaman / nerede buluşacağınızı ve topladığınız bilgileri nerede ve nasıl saklayacağınıza karar verirken dikkatli olun. Önce arka plan araştırmasıyla başlayın ve daha az riskli görüşmeler veya saha çalışması yapın, daha fazla bilgi topladıkça ilerleyin ve riskleri her zaman yeniden değerlendirin.
  • Araştırmanız ve kaynaklarınızla ilgili gizli veya hassas bilgileri ifşa etmekten kaçının. Bu, araştırdığınız bağlama ve sorunlara bağlı olarak sizi ve ortak çalışanlarınızı riske atabilir.

Not:

Risk miras alınır. Risksiz veya çok az riskli biriyseniz (güvenli bir alanda yaşayabilir ve çalışabilirsiniz) ancak yüksek risk altındaki bir kişiyle görüşüyorsanız (tehlikeli bir bölgede yaşamak, baskı altında olmak, tartışmalı konularda çalışmak) bu riski miras alırsınız. Görüşmeden önce ve sonra bir süre risk seviyeniz daha yüksek olacaktır. Yayınlanacak bir rapor veya makale için biriyle röportaj yaparsanız, yayın anında riskinizin artmasına hazırlıklı olun. Yetki ve nüfuz konumunda olan bireyleri araştırırken, araştırmanızın farkına varırlarsa uzun süreli daha yüksek riske hazırlıklı olun.

Öte yandan, başkalarının risklerini miras aldığınız gibi, onlar da sizinkini miras alır. Düşük riskli bir bölgede faaliyet göstermek veya düşük risk profiline sahip olmak, başkaları için risk oluşturmadığınız anlamına gelmez. Aksine, etkileşimde bulunduğunuz diğer kişilerin riskini artırmaya katkıda bulunabilirsiniz. Bu, düşük riskli bir alandaki olağan davranışınız sizi diğer alanlarda çok iyi riske attığında gerçekleşebilir. Bir mobil ağda cep telefonu kullanarak iletişim kurmak gibi çok basit ve normal eylemler güvenli olabilir ve düşük riskli bir alandaki birini ilgilendirmeyebilir, ancak yüksek riskli bir alanda birini kolayca tehlikeye atabilir. Bu nedenle, çoğu zaman olabilecek şey, başkalarını sadece etkileşimde bulundukları kişilerin bağlamını tanımayarak ifşa edebilmesidir.

Konumunuzu güvende tutma

Google Haritalar ve WhatsApp gibi bir dizi yaygın uygulama, gerçek zamanlı konumunuzu belirli kişilerle sınırlı bir süre için paylaşmanıza olanak tanır. Bu özellik, bir güvenlik önlemi olarak, güvenilir bir meslektaşınızın nerede olduğunuzu izlemesine izin verebileceğinden, saha araştırması yaparken potansiyel olarak yararlı olabilir.

Öte yandan, bulunduğunuz yerle ilgilenen başkaları paylaştığınız verilere erişebilirse, konumunuzu gerçek zamanlı olarak paylaşmak sizi riske atabilir. Hassas konuları araştırırken veya gözetim altında olabileceğinizden şüpheleniyorsanız, konumunuzu şifreleme kullanmadan paylaşmaktan veya saklamaktan kaçınmalısınız.

Bunun yerine, yerleri ve ayrıntıları manuel olarak işaretlemek veya basılı bir harita kullanmak gibi, araştırma yaparken günlük hareketlerinizi izlemenin alternatif yollarını bulmayı düşünün. Çoğu durumda, bu tür konum paylaşım özelliklerini cep telefonunuzdan ve konum izleme işlevlerine sahip diğer cihazlardan devre dışı bırakmak daha akıllıca olacaktır. Çoğu akıllı telefon bunu “Konum Ayarları” altında yapmanıza izin verir.

Ayrıca, dijital tehditlerin ve zayıflıkların fiziksel güvenlikle yakından bağlantılı olduğunu ve size bağlı diğer kişilerin fiziksel güvenliğinin yanı sıra bunun üzerinde de bir etkisi olabileceğini unutmayın.

Not:

Görüntü meta verileri, istediğinizden daha fazlasını ortaya çıkarabilir. Birinin bunu internette sizin veya başka birinin aynı kamerayla çektiğiniz başka fotoğrafları bulmak için kullanması veya fotoğraflardan herhangi biri evinizde çekilmişse nerede yaşadığınızı bulması mümkün olabilir. Kanıtınızın bir parçası olarak konum bilgilerini korumak isteyebilirsiniz, özellikle saha araştırması sırasında, topladığınız görüntüleri ve diğer konum tabanlı verileri nerede ve nasıl paylaştığınız konusunda da dikkatli olmalısınız.

Meta veriler, ilgili güvenlik ve araştırma yöntemleriyle ilgili daha fazla okuma için şu kaynaklara bakın:

  • Why Metadata Matters – an introduction from Surveillance Self Defense / EFF (Güvenlik modüllerinin tüm dijital listesine bakmak için link: https://ssd.eff.org/)
  • Behind the Data: Investigating Metadata – farklı bağlamlarda ve çevrimiçi platformlarda meta verileri izlemek ve doğrulamak için yöntemler, vakalar ve araçlar içeren bir kılavuz.

Saha araştırmaları yaparken eylemlere ve ilgili risklere tam bir genel bakış için, “Away from your screen, out in the field” kılavuzumuzu okuyun.

Daha önemli faktörler

Algılanan cinsiyetinizin, ırkınızın, dininizin ve diğer kişisel yönlerinizin güvenliğiniz üzerinde, işinizi nasıl yapabileceğiniz ve diğer insanların sizi nasıl kabul edeceği veya size nasıl hitap edeceği üzerinde etkisi olacağı durumlarla karşılaşacaksınız. Bunun farkında olun ve istenmeyen veya beklenmedik reaksiyonlardan kaçınmak için en baştan net sınırlar oluşturduğunuzdan emin olun. Ziyaret ettiğiniz veya konuşmayı planladığınız yerlerin, toplulukların ve kişilerin yerini, kültürünü, inançlarını ve sosyal normlarını araştırın.

“Safety First!” sayfasını ziyaret edin. Her bir araştırma bağlamına uygulanan ayrıntılı tavsiyeler için çevrimiçi Kit’in bölümlerine bakabilirsiniz: kit.exposingtheinvisible.org.

 

Kaynaklar

Makaleler ve Rehberler

  • Asi Que Necesitas Hacer Una Videollamada, from Derechos Digitales. A brief guide in Spanish on how to chose the optimal videoconferencing tools for your needs and risk level.
  • Data Detox Kit from Tactical Tech – online step-by-step guide that and interactive materials that help you clean your online traces and be more aware about your online practices (see the privacy essentials here:https://datadetoxkit.org/en/privacy/essentials)
  • Digital Security Checklist – helpful checklist of tools you should/could have or use to stay safer online (browsing, communications, data storage/sharing etc.)
  • Guide to Secure Group Chat and Conferencing Tools, from Frontline Defenders.
  • Holistic Security, from Tactical Tech – a resource about physical and digital security and wellbeing when researching and investigating in action.
  • Ononymous, from Tactical Tech – Videos and resources about security for beginners.
  • Security in a Box from Tactical Tech (in multiple languages) – guides and recommendations on tools and practices to keep you safe online (except for the sections labeled ‘unmaintained’)
  • Surveillance Self-Defense, from the Electronic Frontier Foundation (EFF) – basics on how surveillance works, and tips, tools, tutorials for safer online communications.
  • Technology is Stupid, from Tactical Tech – A discussion on the security and ethics of choosing software.

Kaynak: https://kit.exposingtheinvisible.org/en/safety.html

Çev: Faruk Çayır


Bu yazı Friedrich-Ebert-Stiftung (FES) Derneği Türkiye Temsilciliği’nin katkıları ile hazırlanmıştır. Bu yazıda yer alan görüşler FES Derneği Türkiye Temsilciliği’nin görüşlerini temsil etmez.