Gizlilik Kişisel Veriler Makale Siber Güvenlik

Gazeteciler ve Dijital Güvenlik; Snowden’ın Hikayesi

Gazeteci Glenn Greenwald 2012 yılının sonlarına doğru anonim bir e-posta aldı. E-postayı gönderen Cincinnatus rumuzlu kişinin elinde kamunun bilmesi gereken hassas bilgiler vardı ve bunları kendisiyle paylaşmak istiyordu. Cincinnatus öyle bir konumdaydı ki bu iletişimde anonim kalmak onun için hayat memat meselesiydi. Bu sebeple Greenwald’a güvenli bir şekilde iletişim kurmak için bir şifreleme aracı olan GPG[1] kullanmasını, ancak bu şekilde iletişim kurabileceklerini söyledi. Hatta Cincinnatus şifreleme yazılımının nasıl kullanılacağına dair bir video anlatım bile gönderdi kendisine.[2] Fakat Greenwald çok meşguldü ve GPG kullanmayı öğrenmekle uğraşmadı. Cincinnatus da Glenn Greenwald’dan ümidini kesip Anon108 ismiyle, çok daha az sancılı bir sürecin ardından EFF çalışanı Micah Lee’nin de yardımıyla[3] şifreli e-posta kullanmayı bilen gazeteci ve film yapımcısı Laura Poitras’a ulaştı.

Cincinnatus, Anon108, Verax,[4] Citizenfour,[5] bugün hepimizin tanıdığı adıyla Edward Snowden. Snowden, dünyanın her köşesinden insanı ilgilendiren NSA’in korkunç gözetim sistemini, ulusal ve uluslararası işbirlikçilerini, Five Eyes’ı[6] ifşa ederek bütün dünyayı sarsmıştı. Fakat gazetecilerin bu hikayeden çıkarması gereken başka, çok kritik bir ders vardı; dijital güvenlik bilgisine haiz olmak, güvenlik araçlarını kullanabilmek.

“Markus Winkler ‘I’m Edward Snowden’ CC BY-SA 2.0”

Ya Laura Poitras da Glenn Greenwald gibi dijital güvenliğin sağlanabileceği iletişim araçlarından habersiz olsaydı? Ya Edward Snowden elinde dünyayı ayağa kaldıracak belgeler varken riski alamayıp belgeleri sızdırmaktan vazgeçseydi? Peki ya Micah Lee, Snowden’ın ismini açıkça yazdığı e-postaya şifrelemeden dönüş yapsaydı? Bu soruların muhtemel cevapları pek iç açıcı olmamakla birlikte bize dijital güvenliğin özellikle gazeteciler için ne kadar önemli olduğunu işaret ediyor. Peki kaçımız bunun farkında?

“Snowden belgeleri dünya çapında bir olaydı, ben kendi halimde bir gazeteciyim.”

Öncelikle haber kaynağınız bir NSA çalışanı değil diye, ona karşı etik sorumluluğunuz olmadığı anlamına gelmiyor. Snowden’ın durumunda risk çok fazlaydı ve kendisi de, iletişimde olduğu gazeteciler de buna göre hareket edip önlem aldılar. Siz de öncelikle her olayı kendi içinde değerlendirip tehdit modelinizi[7] oluşturmalısınız. Ortada bir tehlike görmüyorsanız, NSA’in sizin peşinizde olduğunu düşünmüyorsanız bile meslek ilkeleri bakımından kaynaklarınızın, meslektaşlarınızın mahremiyeti ve güvenliği için dijital güvenliği nasıl sağlayacağınızı bilmek, güvenli iletişim yollarını kullanmakla yükümlüsünüz.

“Bütün yakın çevrem o yazılımı kullanıyor, işyeri dahil.” 

Gazetecilerin bulunduğu WhatsApp grupları çok aktif bir şekilde haber almak için kullanılıyor. İlk olarak mahremiyet açısından bu gruplar WhatsApp yerine özgür yazılımlardan[8] birinde oluşturulmalı. Fakat hangi yazılımı kullanacağınızdan bağımsız, baki kalan bir endişe var ki bu gruplarda herkes ismi, numarasıyla gözüküyor ve çoğu zaman kimin nerede olduğu, hangi habere gittiği biliniyor. Gruptan bir kişinin telefonunun çalınması, polis tarafından el konulması bütün bu bilgilerin ifşa olması anlamına gelebilir. Bu gibi sebeplerle anlık mesajlaşma gruplarında hassas bilgilerin paylaşılmaması, mesajların düzenli olarak silinmesi alışkanlığının grup üyeleri tarafından benimsenmesi öneriliyor.

“Güvenli iletişim için kullanacağım anlık mesajlaşma yazılımını kaynaklarım kullanmak istemiyor.”

Maalesef güvenli iletişim yazılımları henüz ana akım değil. Eğer karşınızdaki kişi bu yazılımı kullanmıyorsa, durumun önemini anlatıp yazılımı indirmesini rica etmek mesleki sorumluluğunuz. Fakat zamanla yarışılan bir meslek olan gazetecilikte üç dakika bile çok şey ifade edebildiği gibi bazen de karşımızdaki kişinin bu konudaki endişemizi anlaması mümkün olmayabiliyor. Bu gibi istisnai durumlarda mesajları konuşma bitiminde temizlemek, aynı hassasiyeti karşınızdaki kişinin de göstermesini sağlamak bir çözüm olabilir. Eğer karşınızdaki kişinin bir uygulama indirmesini sağlayabiliyorsanız, Signal’in[9] “Kaybolan İletiler” ayarı sayesinde mesajlarınızın her iki taraftan da belirleyeceğiniz süre içinde kaybolmasını mümkün kılabilirsiniz.

“Önerilen yazılımların kullanımı çok zor, arayüzler ötekiler kadar kolay değil.” 

Aslında bu pek de doğru değil. Örneğin anlık mesajlaşma için Signal’in arayüzü ana akım mesajlaşma uygulamalarına çok benziyor. Sadece yazışacağınız kişinin tahmin ettiğiniz kişi olduğundan ve araya kimsenin girmediğinden emin olmak için anahtar doğrulama[10] işlemi yapmanız gerekiyor. Bu özellik zorunlu olmasa da güvenliğiniz için gerekli. Ayrıca bu yazılımları ne kadar çok insan kullanırsa o kadar gelişebileceğini unutmayın.

“Kimse GPG kullanmıyor.”

GnuPG veya GPG kullanımı özellikle NSA sızıntıları sonrası uluslararası alanda gazeteciler arasında epey yaygınlaştı. Pek çok gazetecinin Twitter profilinde, kendi sitesinde e-posta adresinin yanında bir de GPG parmakizini görebilirsiniz. Türkiye gazetecilerin sürekli olarak tehdit altında olduğu bir ülke olmasına rağmen GPG gibi araçlar hala yaygın değil ve bunu yaygınlaştırmak yine gazetecilerin elinde.

İlginizi çekebilir:  Artık insanlar gizliliklerini sağlamak için harekete geçiyor

Bütün bunlarla birlikte, GPG öğrenmek için vakit ve emek gerektiği de bir gerçek. Bu konuda bilen birinden yardım alabilir, Özgür Yazılım Derneği’nin Güvenlik Rehberi’nden[11] faydalanabilirsiniz. Henüz buna vakit ayıramadıysanız, Mailvelope[12] adlı eklenti ile tarayıcı üzerinden GPG kullanabilirsiniz. ProtonMail[13] ise kullanıcılarına kendi sunucularında üretilen GPG anahtarlarıyla şifreli e-posta hizmeti sunuyor. Ücretsiz üyelik imkanı kısıtlı depolama alanı ile bulunuyor. Dünya devi şirketlere kişisel verilerinizle ödeme yapmak yerine mahremiyetinize saygı duyan, şifreleme imkanı veren ve verilerinizi İsviçre’de nükleer sığınakta anonim olarak saklayan[14] ProtonMail gibi şirketlere bir şans verebilirsiniz. Benzer hizmetleri sunan Mailbox, Posteo ve Fastmail’e de göz atabilirsiniz.

“Tails de neymiş?”

Hikayenin başına dönecek olursak; Laura Poitras’ın Glenn Greenwald ile güvenli iletişimi sürdürmek için Micah Lee’den son bir isteği vardı; GreenWald’un Tails[15] kullanmasını sağlamak.

Tails, gözetim ve sansüre karşı oluşturulmuş taşınabilir bir işletim sistemi. Bir USB belleğin veya optik diskin üstüne yazarak yanınızda taşıyabilir ve ihtiyaç halinde kendinizin veya başkasının cihazında kullanabilirsiniz. Tails cihazın kendi işletim sisteminden tamamen izole olarak çalışmakta. Tails’i kapattığınızda kullandığınız cihazda hiçbir iz bırakmadan çıkmış olursunuz çünkü attığınız hiçbir adım cihazın hard diskine yazılmaz. Tails kullanırken internete yapılan bütün çıkışlarda ağ, Tor[16] üzerinden geçer. Aynı zamanda Tails yapılış amacı gereği kendi içinde tarayıcı olarak Tor Browser, şifreli posta için ile Enigmail ile birlikte Thunderbird, parola oluşturmak için KeePassXC, dosya paylaşımı için yine Tor ağı üzerinden çalışan OnionShare gibi dijital güvenlik araçlarını bulunduruyor.

Tails’i bir USB belleğe yüklemek çok kolay olsa da Poitras, Lee’ye attığı e-postada Greenwald’dan “Kendi başına kuracak teknik bilgiye sahip değil.” diye bahsetmişti. Bunun üzerine Lee bir USB belleğe Tails kurarak California’dan Rio De Janerio’ya postalayarak gönderdi ve iki hafta sonra posta Greenwald’a ulaştı. Glenn Greenwald’un bir gazeteci olarak gerekli dijital güvenlik bilgisine haiz olmaması ve araçları kullanamaması NSA sızıntılarına giden bu süreci hem yavaşlattı hem de operasyonda rolü olan diğer isimlerin riskli adımlar atmasına sebep oldu.  Alınan risklere ve atlanan tümseklere rağmen dijital güvenlik araçlarının etkili kullanımı sayesinde, hikayenin sonunda Edward Snowden’ın kimliği o istediği ana kadar korunmuş, gazetecilerin birbirleriyle ve kaynaklarıyla iletişimleri gizli kalmış oldu.

Elbette ki bu hikaye ve hikayeden çıkaracağımız dersler dijital güvenlik bağlamında bilmemiz gerekenlerin tamamını işaret etmiyor. Dijital güvenliği bir bütün olarak ele alıp kavramak yerine parçalamaya çalışırsak, eksik parçalı bir yapboz elde etmiş oluruz. Bunun yerine konuyu ciddiye alarak, güvenliği dijital yaşam pratiklerimizin her anında bizimle olan bir disiplin haline getirmeliyiz.

Kaynakça

  1. https://gnupg.org/
  2. https://www.washingtonpost.com/news/the-switch/wp/2014/05/14/edward-snowden-sent-glenn-greenwald-this-video-guide-about-encryption-for-journalists-greenwald-ignored-it/
    Video: https://vimeo.com/56881481
  3. Lee, Electronic Frontier Foundation ve Freedom of the Press Foundation’da teknolojist olarak çalışıyordu ve şifreleme teknolojilerine epey aşinaydı. Snowden’ın isteği üzerine Laura Poitras’ın GPG genel anahtarını Snowden’a iletti. Aynı zamanda Lee, Glenn Greenwald’a OTR(Off the Record) kullanmasını sağladı ve Tails kurulu bir USB bellek göndererek operasyonun güvenli bir şekilde ilerlemesinde büyük rol oynadı. https://theintercept.com/2014/10/28/smuggling-snowden-secrets/
  4. Verax: Latince “truth-teller” anlamına gelen bu kelimeyi Snowden Micah Lee ile tekrar iletişime geçtiğinde rumuz olarak kullandı. https://theintercept.com/2014/10/28/smuggling-snowden-secrets/
  5. Cizitenfour: Edward Snowden Laura Poitras ile iletişime geçtiğinde bu rumuzu kullanmıştı. Sonrasında Poitras Snowden ile ilgili çektiği belgesele bu adı verdi. https://theintercept.com/2014/10/28/smuggling-snowden-secrets/
  6. https://en.wikipedia.org/wiki/Five_Eyes
  7. https://ssd.eff.org/en/playlist/journalist-move#your-security-plan
  8. https://oyd.org.tr/yazilar/ozgur-yazilim/
  9. https://www.signal.org/
  10. https://guvenlik.oyd.org.tr/yazisma_guvenligi/signal.html
  11. https://guvenlik.oyd.org.tr/yazisma_guvenligi/gpg/gpg.html
  12. https://www.mailvelope.com/
  13. https://protonmail.com/
  14. https://protonmail.com/security-details
  15. https://tails.boum.org/
  16. https://www.torproject.org/

Creative Commons Lisansı
Bu eser CCBY-SA ile lisanslanmıştır.

 

 

 

Bu yazı Friedrich-Ebert-Stiftung (FES) Derneği Türkiye Temsilciliği’nin katkıları ile hazırlanmıştır. Bu yazıda yer alan görüşler FES Derneği Türkiye Temsilciliği’nin görüşlerini temsil etmez.