Security in a Box nasıl çalışır?

İçindekiler

...İçindekiler Yükleniyor...

    Security in a Box nasıl çalışır?

    Security in a Box, Gitlab.com sunucusunda bulunan ücretsiz ve açık kaynaklı bir websitesidir.

    Security in a Box, Front Line Defenders Dijital Güvenlik Ekibinin girdileri ve dış katkılar sayesinde sürekli olarak güncellenmektedir. Tüm güncelleme ve değişiklikler Front Line Defender Dijital Güvenlik Editörü tarafından koordine edilmektedir.

    Security in a Box içeriğinde bulunan tüm içerikler aşağıdaki kriterlere uygun bir biçimde seçilmiştir.

    Önerdiğimiz güvenlik stratejilerini nasıl geliştiriyoruz

    Security in a Box pek çok dijital güvenlik stratejisini kapsayan bir kaynaktır. Bu websitesinde gezinirken, güçlü şifreleri nasıl oluşturup yöneteceğinize, hesaplarınızı, haberleşmenizi, cihazlarınızı, internet bağlantınızı ve hassas bilgilerinizi nasıl koruyacağınıza dair pek çok öneri bulacaksınız.

    Bütün stratejiler dijital varlıkların korunmasına odaklanmış olsa da bütünsel bir yaklaşım ele alınarak geliştirilmiştir: korunmasına yardımcı olduğumuz husus dijital varlıkları içerse bile, korumanın her zaman farklı alanlara yayıldığını biliyoruz. Bu alanlar arasında hukuki ve psiko-sosyal bağlamlar bulunmakla birlikte, fiziksel düzeyde de değerlendirme yapma ihtiyacı bulunmaktadır. Korumaya yönelik bütünsel bir yaklaşımın ne anlama geldiği hakkında daha fazla bilgi için Bütünsel Güvenlik Rehberi içinde bulunan Bütünsel Yaklaşım başlığını okumanızı tavsiye ederiz.

    Security in a Box, öncelikle çalışmaları nedeniyle risk altında olan insan hakları savunucularına yardımcı olmayı amaçlamaktadır. Ancak bu kaynağın sadece insan hakları savunucularına değil, aynı zamanda dijital saldırı riski altındaki diğer kullanıcılara da, mesela aktivistler, gazeteciler ve diğer sivil toplum üyeleri ile toplumsal cinsiyete dayalı çevrimiçi şiddet riski altında olan kadınlar ve LGBTQIA+'lara da yardımcı olmayı hedeflediği kanaatindeyiz.

    Yaklaşımımızın merkezinde, hedef kullanıcılarımızın karşılaştıkları riskleri değerlendirmeleri ve kendi ihtiyaçlarını tanımlamalarını sağlamak bulunmaktadır. İnsan hakları savunucularına, ailelerine ve mensubu oldukları topluluklara ve Security in a Box'ın diğer okuyucularına zarar vermeden bunu gerçekleştirmeyi amaçlıyoruz. İlaveleten, insan hakları savunucularını ve dijital şiddet riski altındaki diğer kullanıcıları empatiyle dinlemenin ve bulundukları durumları anlamanın, etkili koruma desteği sağlamak için kilit öneme sahip olduğu kanısını taşıyoruz. Bu nedenle, Security in a Box'ta açıklanan stratejiler, okuyucularımızı güçlendirmeyi hedefleyen ve kullanıcılarımızın gerçek ihtiyaçlarına ve hedeflerine dayanan bir yaklaşımla geliştirilmiştir. Bu yaklaşım, Front Line Defenders'ın Vizyon, Misyon ve Temel Değerleri ile uyumludur.

    Önerdiğimiz program ve hizmetleri nasıl seçiyoruz

    Yazılım karmaşıktır ve güvenlik ve gizlilik koruma özellikleri açısından hepsi eşit değildir. Bulunduğunuz yere, oranın yasalarına ve karşılaşabileceğiniz muhalefete göre farklı program ve hizmetlerin farklı etkileri olduğu değerlendirilir.

    Security in a Box'ta önereceğimiz program ve hizmetleri seçerken bir dizi faktörü hesaba katıyoruz. Bizim için her etken önemli. Farklı bölgelerde hem teknoloji ile alakalı farklı yasal gereklilikler olduğu ve hem de farklı tehditler söz konusu olduğu için, her etkeninin küresel olarak önemini ölçmek zordur.

    Aşağıda, hangi program ve hizmetleri önereceğimizi değerlendirirken sorduğumuz en önemli soruları listeledik. Security in a Box'ta listelenmeyen programların göreceli güvenliğini değerlendirmeniz gerektiğinde de bu kriterleri kullanabilirsiniz.

    Bu programı geliştiren veya bu hizmeti yürüten kişilere güvenilebilir mi?

    • Program veya hizmetin gelişim ve mülkiyet geçmişi nedir? Aktivistler tarafından mı yoksa bir şirket tarafından mı yapılmıştır? Bu grubun kamusal görünürlüğü var mı ve geçmişi nedir?
    • Bu program veya hizmeti geliştiren veya yürüten kuruluşun misyonu ve iş modeli nedir?
    • Şimdiye dek herhangi veri ihlali ya da kamu otoritelerinden bilgi talebi gibi bir güvenlik sorunu yaşandı mı? Hizmet sağlayıcı/program geliştiriciler bu soruna nasıl karşılık verdi? Sorunları açık bir biçimde tartıştılar mı yoksa üstünü örtmeye mi çalıştılar?

    Program verileri şifreliyor mu? Hangi şifreleme teknolojisini kullanıyor?

    • Program, kullanıcı ile iletişim kurduğu kişiler arasındaki bağlantıyı şifreleyerek (uçtan uca şifreleme) hizmet sağlayıcıların bilgilerine erişmesini imkansız kılıyor mu?
    • Uçtan uca şifreleme mevcut değilse, kullanıcının cihazı ile hizmet altyapısı arasındaki verileri şifreleyen programlara (sunucuya şifreleme) öncelik veriyoruz . Bu gibi durumlarda okuyucularımıza her zaman, veriler sunucularda şifrelenmiyorsa, bu hizmeti yöneten kişilere güvenmeleri gerektiğini, çünkü bu kişilerin depoladıkları bilgilere potansiyel olarak serbest erişim imkânına sahip olduklarını hatırlatırız.
    • Varsayılan ayarlar kullanıcı gizliliği ve güvenliğini koruyor mu?
    • Uçtan uca şifreleme mevcut değilse, ilgili teknoloji kullanıcıların hizmeti kendi altyapısında bulundurmasına olanak tanıyor mu, böylece kullanıcılar verilerine kimin erişebileceğini kontrol edebiliyorlar mı?

    Kod incelenebilir durumda mı?

    • Bir başka deyişle, açık kaynak mı?
    • İlgili program veya hizmet, yazılım geliştirme projesinden veya hizmet sağlayıcı şirketten bağımsız güvenlik uzmanları tarafından denetlendi mi?
    • Son denetim ne zaman yapıldı? Düzenli denetimler planlanıyor mu?
    • Denetim, program veya hizmetin tüm bölümlerini mi yoksa sadece bazı parçalarını mı içeriyor? Eğer bu bir hizmet ise, sunucu altyapısı mı denetlendi yoksa sadece kullanıcı arayüzü mü?
    • Bağımsız uzmanlar ilgili program ya da hizmet hakkında ne diyor?

    Teknoloji olgun mu?

    • Bu teknoloji ne kadar süredir faaliyet gösteriyor? Dayanıklılığını kanıtladı mı?
    • Geliştirilmesi için hala aktif olarak çalışan geniş bir geliştirici topluluğu var mı?
    • Kaç aktif kullanıcısı var?

    Sunucular nerede konumlandırılmıştır?

    • Bulutta giderek daha fazla hizmet sunulduğu için bu soruyu yanıtlamak zor olabilir, ancak güvenilir uygulama geliştiriciler ve hizmet sağlayıcılar bu bilgileri web sitelerinde yayınlama veya güvenilir aracılar yoluyla erişilebilir hale getirirler.
    • Ayrıca, sunucular insan hakları savunucularını ve diğer sivil toplum üyelerini koruyan bir ülkede konumlandırılabileceği gibi korumayan bir ülkede de bulunabileceğinden, bu bilgilerden sonuç çıkarmak bizim için zor olabilir.
    • Genel olarak, sunucuların hukuk devleti ilkesinin olmadığı ülkelerden gelen yetkililerin talebini uygulayacak bir ülkede bulunup bulunmadığını ve bu ülkenin insan hakları ve tüketicinin korunması ilkesini uygulayıp olmadığını kendimize soruyoruz. Özetle soru şu: otoriter ülkelerdeki kamu otoriteleri, sunucuların bulunduğu yer sebebiyle verilere el koyma, bilgilere erişim veya bu hizmetleri kapatma konusunda yetkili mi?

    Kullanıcılardan hangi kişisel bilgileri istiyor? Uygulama sahibi/işleticisi nelere erişebilir?

    • Program ya da hizmet kullanıcılardan telefon numarası, e-posta, kullanıcı adı veya diğer tanımlanabilir kişisel bilgileri paylaşmasını istiyor mu?
    • Kullanıcıları potansiyel olarak takip edebilecek özel bir uygulama/program yüklemelerini gerektiriyor mu?
    • Gizlilik politikaları neleri içeriyor? Kullanıcıların gizliliğini koruyorlar mı ve AB Genel Veri Koruma Yönetmeliği gibi gizlilik yasaları ile uyumlu mu?
    • Sunucularda neler depolanıyor? Şirketin şartlar ve koşullar, şirket sahibine kullanıcı bilgilerine erişme hakkı veriyor mu? Hangi amaçlarla?
    • Bu uygulama/programın yüklü olduğu cihazda neye erişimi var: adres defteri, konum, mikrofon, kamera vb.? Bu izinler devre dışı bırakılabilir mi, bırakıldığı durumda uygulama/program çalışmayı durdurur mu?

    Fiyatı nedir? Uygun fiyatlı mı?

    • Bir hizmet veya programı değerlendirirken, onun ücretini göz önünde bulundururuz. Uygun fiyatlı mı? Servis sağlayıcı ya da uygulama geliştiricinin iş modeli nedir?
    • Ön ödemeye ilaveten barındırma maliyetini, olası abonelik ücretini, programın veya hizmetin nasıl kullanılacağını ve yönetileceğini öğrenme maliyetini, olası IT desteği ihtiyacını ve/veya ek ekipman ihtiyacı vb. gibi hususları dikkate alırız.
    • Eğer program veya hizmet ücretsiz ise kendimize nedenini sorarız. Eğer program/hizmet ücretsizse, projeyi kim finanse ediyor? Gönüllülüğe dayalı olduğu için mi ya da hükümetler ve şirketler taradından finanse edildiği için mi ücretsiz, yoksa şirket kullanıcılarının verilerini üçüncü taraflara satarak mı para kazanıyor?

    Birden fazla işletim sistemi ve cihazda mevcut mu?

    • Program veya hizmet hem bilgisayarda hem mobil cihazda kullanılabilir mi? Sadece macOS ve iOS gibi özel işletim sistemlerinde mi yoksa Linux gibi diğer işletim sistemlerinde de kullanılabilir mi? Eğer tüm işletim sistemlerinde bulunmuyorsa, bu programın/hizmetin kullanılamadığı diğer cihazlar için güvenilir bir alternatif var mı?

    Kullanıcı dostu mu? Risk altındaki insanlar için işlevsel mi?

    • Bu programı güvenli bir şekilde kullanmak kafa karıştırıcı mı ve sinir bozucu mu yoksa geliştiriciler/sağlayıcılar kullanıcı dostu olması için çaba sarf etmiş mi?
    • İnsan hakları savunucuları ve risk altındaki diğer kişiler bu program ve hizmeti kullanmaya devam ediyor mu yoksa kullanmayı bırakma eğiliminde mi?
    • Kullanıcı arayüzü sezgisel mi? Yoksa programın veya hizmetin nasıl kullanılacağını net bir şekilde açıklayan belgeler var mı?

    Başka dillerde çevirisi mevcut mu?

    • Program veya hizmet yerel dile çevrilmiş mi? Kaç dile çevrilmiş?
    • Yerel dile çeviri sürekli olarak güncelleniyor mu?
    • Yerel dildeki çevirinin niteliği nasıl?
    • Kullanıcıların güvenli bir biçimde nasıl kullanılacaklarını anlamalarına yardımcı olacak çok dilli belgeler mevcut mu?