7. İnternet iletişiminizin gizliliği nasıl korunur

İçindekiler

...Loading Table of Contents...

    E-postanın ve anlık mesajlaşmanın kullanım kolaylığı, düşük maliyeti ve esnekliği internete en sınırlı erişimi olan kişiler ve kuruluşlar için bile bunları aşırı değerli kıldı. Daha hızlı ve güvenli bağlantıları olanlar için Jitsi, Skype ve diğer IP Üzerinden Ses VoIP araçları gibi yazılımlar da bu özellikleri paylaşır. Ne yazık ki geleneksel iletişim araçlarına alternatif olarak gelen bu dijital araçlara hassas bilgilerin gizliliğini korumak hususunda her zaman güvenilemez. Postayla gönderilen mektuplar, telefonla yapılan aramalar ve yazılı mesajlar da saldırıya açıktır; özellikle yetkililerin takibinin hedefi olanlar tarafından kullanıldığında.

    Dijital, internet-tabanlı iletişim teknikleriyle daha geleneksel yöntemler arasındaki bir önemli farklılık, ilkinin kendi güvenlik düzeyinizi belirlemenize çoğu zaman izin vermesidir. Güvenli olmayan yöntemlerle e-postalar, anlık mesajlar ve VoIP gönderileri göndermek, mektuplardan ve telefon görüşmelerinden neredeyse kesinlikle daha az gizlidir. Kısmen bu, birkaç güçlü bilgisayarın büyük miktardaki dijital bilgi içinden göndericileri, alıcıları ve belirli anahtar sözcükleri tespit etmek için otomatik olarak tarayabilmesindendir. Geleneksel iletişim kanalları üzerinden aynı düzeyde bir takibi gerçekleştirmek için çok daha büyük kaynaklar gerekir. Bununla beraber belirli önlemleri alırsanız tersi de doğrudur. İnternet iletişim araçlarının esnekliği ve modern şifrelemenin gücü, sadece ulusal ordu ve istihbarat örgütleri için mümkün olan bir gizlilik düzeyini günümüzde sağlayabilir.

    Burada verilen tavsiyeleri izleyerek ve bu bölümde ele alınan yazılımları inceleyerek iletişim güvenliğinizi büyük oranda artırabilirsiniz. RiseUp e-posta hizmeti, Pidgin anlık mesajlaşma programı için Off the Record OTR (Kayıt Dışı) eklentisi, Mozilla Firefox ve Mozilla Thunderbird e-posta sunucusu için Enigmail eklentilerinin hepsi mükemmel araçlardır. Bununla beraber bunları kullanırken verili bir haberleşmenin gizliliğinin hiçbir zaman yüzde yüz garanti edilemeyeceğini aklınızda bulundurmalısınız. Her zaman göz önünde bulundurmadığınız bazı tehditler bulunur; diyelim bilgisayarınızda bir keylogger bulunması, kapınızı dinleyen biri, dikkatsiz bir e-posta alıcısı ya da tamamen farklı bir olasılık... Bu bölümün amacı, aklınıza gelmeyen tehditleri bile azaltmak için size yardımcı olmaktır. Ancak bu bölümde bunu yaparken, bazılarının tercih ettiği ‘kamuya açık etmek istemediğin hiçbir bilgiyi internetten göndermemelisin’ seçeneğinden kaçınacağız.

    Claudia ve Pablo, Güney Afrika ülkelerinden birindeki bir insan hakları STK’siyle birlikte çalışmaktadır. Bölgede ordu tarafından işlenen insan hakları ihlalleri konusunda aylar boyunca tanıklıklar topladıktan sonra Claudia ve Pablo elde ettikleri verileri korumak için adımlar atmaya başlamıştır. Sadece ihtiyaçları olan bilgiyi ellerinde tuttular ve bu bilgiyi, birçok fiziksel konumda yedeklenmiş bir TrueCrypt bölmesinde depoladılar. Bir raporda bu tanıklıkların belirli bölümlerini yayınlamaya hazırlanırken bir başka ülkedeki meslektaşlarıyla hassas bilgileri tartışmaları gerektiğini fark ettiler. Her ne kadar adları ve konumları belirtmemek konusunda hemfikirlerse de bu konu üzerinde yapılacak olan e-posta ve anlık mesajlaşma iletişimlerinin güvenli olmasından emin olmak istemektedirler. Claudia iletişim güvenliğinin önemini ele almak amacıyla bir toplantı için çağrı yaptıktan sonra ofistekilerin bir sorusu olup olmadığını sordu.

    Bu bölümden ne öğrenebilirsiniz

    • Birçok webmail ve anlık mesajlaşma hizmetinin neden güvenli olmadığını
    • Yeni ve daha güvenli bir e-posta hesabının nasıl oluşturulacağını
    • Halihazırdaki e-posta hesabınızın güvenliğini nasıl arttıracağınızı
    • Güvenli bir anlık mesajlaşma hizmetini nasıl kullanılacağını
    • Birilerinin e-posta hesabınıza eriştiğini düşünüyorsanız ne yapılabileceğini
    • Bir e-posta alıcısının kimliğinin nasıl doğrulanacağını

    E-postanızı güvenli kılmak

    E-posta iletişiminizin güvenliğini arttırmak için atabileceğiniz birkaç önemli adım vardır. Bunlardan ilki verili bir mesajı sadece gönderdiğiniz kişinin okuyabileceğinden emin olmaktır. Bunlar, aşağıda Webmail’inizin gizliliğini korumak ve Daha güvenli bir e-posta hesabına geçmek kısımlarında ele alındı. Başlangıç düzeyinin ötesine geçecek olursak, e-posta alıcılarınızın, belirli bir mesajın sizmişsiniz gibi yapan birinden değil de gerçekten sizden geldiğini doğrulayabilmeleri kimi zaman yaşamsal öneme haizdir. Bunu yapmanın bir yolu, İleri düzey e-posta güvenliği’nin Bir mesajı şifrelemek ve kimliğini doğrulamak kısmında, ele alınmıştır.

    E-posta hesabınızın gizliliğinin ihlal edildiğini düşündüğünüzde ne yapmanız gerektiğini de bilmelisiniz. E-postaların izlendiğinden şüphe edildiğinde yapabilecekleriniz üzerine ipuçları kısmı bu soruya işaret etmektedir.

    Yazdığınız her şey bir casus yazılımla kaydediyor ve düzenli olarak internet üzerinden üçüncü kişilere gönderiliyorsa güvenli e-postanın size bir faydasının olmayacağını da hatırlayın. Bilgisayarınızı kötü amaçlı yazılımlara ve hacker'lara karşı nasıl korursunuz başlıklı 1. Bölüm bu tür bir şeyden kaçınmak için bazı tavsiyeler sunmaktadır ve Güvenli şifreler nasıl oluşturulur ve muhafaza edilir başlıklı 3. Bölüm, aşağıda ele alınan e-posta ve anlık mesajlaşma araçları için hesaplarınızı korumanıza yardım edecektir.

    Webmail’inizin gizliliğini korumak

    İnternet açık bir ağdır ve bu ağ aracılığıyla bilgi okunabilir bir formatta yolculuk eder. Normal bir e-posta mesajı, alıcısına doğru giderken ele geçirilirse içeriği kolayca okunabilir. İnternet, trafiği yönlendirmek için aracı bilgisayarlara tabi olan, bütün dünyaya yayılmış bir büyük ağ olduğundan, birçok farklı kişinin bir mesajı ele geçirmek için fırsatı olabilir. İnternet Servis Sağlayıcınız ISP, alıcısına doğru gezintisine başlarken bir e-posta mesajının ilk alıcısıdır. Benzer bir şekilde alıcınızın ISP’si, mesajınızın teslim edilmeden önceki son durağıdır. Belirli önlemler almazsanız, mesajınız bu noktalardan herhangi birinde ya da bunların arasındaki herhangi bir noktada okunabilir veya değiştirilebilirdir.

    Pablo: Ortaklarımızdan biriyle bütün bunlar hakkında konuştum ve o bana, o ve meslektaşlarının şifresini paylaştıkları bir webmail hesabının ‘Taslaklar’ klasörünün altında önemli mesajlarını kimi zaman kaydettiklerini söyledi. Bu bana garip göründü ama işe yarayabilir mi? Demek istiyorum ki, hiçbir zaman gerçekten gönderilmediğinden, herhangi birinin mesajları okumasını engelleyebilir mi?

    Claudia: Bilgisayarında bir e-posta okuduğun her seferinde, okuduğun sadece bir ‘taslak’ bile olsa, onun içeriği sana internet üzerinden gönderilir. Aksi halde okuduğun mail senin ekranında beliremez değil mi? Öyle ki, birileri seni gözetim altına aldıysa sadece e-posta mesajlarını izlemiyordur. Bilgisayarına gelen ve bilgisayarından giden tüm okunabilir bilgiyi tarayabilirler. Bir başka deyişle bu taktik, bu paylaşılan webmail hesabına herkes güvenli bir şekilde bağlanmadığı sürece işlemez. Eğer herkes güvenli bağlanıyorsa zaten ayrı hesaplar oluşturmanın ya da “gönder” düğmesine tıklamanın hiçbir sakıncası yoktur.

    Bilgisayarınız ile ziyaret ettiğiniz web sitesi arasındaki internet bağlantısını güvenli kılmak uzun zamandan beri olanaklı. Web sitelerine şifreler ya da kredi kartı bilgileri girerken bu güvenlik düzeyiyle sık sık karşılaşırsınız. Bunu olanaklı kılan teknoloji, Güvenli Soket Katmanı SSL şifreleme olarak adlandırılır. SSL kullanıp kullanmadığınızı internet tarayıcınızın adres çubuğuna yakından bakarak söyleyebilirsiniz.

    Normalde tüm web adresleri, aşağıdaki örnekte görülebileceği gibi, HTTP harfleriyle başlar:

    Güvenli bir web sitesini ziyaret ederken adres HTTPS ile başlayacaktır.

    Sondaki fazladan S bilgisayarınızın web sitesine güvenli bir bağlantı açtığını gösterir. Tarayıcı pencerenizin adres çubuğunda ya da alttaki durum çubuğunda bir ‘kilit’ simgesi de görebilirsiniz. Bunlar, internet bağlantınızı izleyebilen herhangi birinin artık iletişiminizi bu bağlandığınız web sitesi aracılığıyla izleyemeyeceğini bilmenizi sağlayan ipuçlarıdır.

    Şifre ve mali işlemlerinizin korunmasına ek olarak bu tip bir şifreleme, webmail’inizi güvenli kılmak için mükemmeldir. Bununla birlikte birçok webmail hizmet sağlayıcısı güvenli erişim sunmamaktadır ve bazı webmail hizmetleriyse bir seçenek belirterek ya da HTTPS’i elle yazarak izin vermenizi talep etmektedir. Siteye giriş yapmadan, e-postanızı okumadan ya da bir mesaj göndermeden önce bağlantınızın güvenli olduğundan daima emin olun.

    Güvenli bir webmail hesabına erişmeye çalışırken tarayıcınız aniden geçersiz güvenlik sertifikalarından şikâyet etmeye başlarsa dikkatli olmalısınız. Bu, birilerinin mesajlarınızı ele geçirmek için bilgisayarınız ve sunucu arasındaki iletişime müdahale ediyor olduğu anlamına gelebilir. Son olarak hassas bilgi alışverişinde bulunmak için webmail’e başvuracaksanız, tarayıcınızın olabildiğince güvenli olması önemlidir. Mozilla Firefox’u ve onun güvenlikle ilgili eklentilerini kurmayı düşünün.

    Uygulama: Eklentileriyle Firefox - Güvenli İnternet Tarayıcısı Rehberi ile uygulamaya başlayın

    Pablo: Bu rapor üzerinde bizimle birlikte çalışacak olanlardan biri iş yerinin dışındayken Yahoo webmail hesabını kullanmayı tercih ediyor. Ve Hotmail kullanan bir başkasını da hatırlar gibiyim. Bu kişilere mesaj gönderirsem başkaları da mesajlarımı okuyabilir mi?

    Claudia: Muhtemelen. Yahoo, Hotmail ve diğer birçok webmail hizmet sağlayıcısı, kullanıcı mesajlarının güvenliğini korumayan, güvenli olmayan web sitelerine sahip. Güvenli olarak bu tanıklıkları ele almak istiyorsak bazı kişilerin alışkanlıklarını değiştirmek zorundayız.

    Daha güvenli bir e-posta hesabına geçmek

    Webmail hizmet sağlayıcılarının çok azı e-postanıza SSL erişimi sunmaktadır. Yahoo ve Hotmail, örneğin, sadece giriş yaptığınızda şifrenizi korumak için güvenli bir bağlantı sunmaktadır ancak mesajlarınızın kendisi güvenli olmayan bir şekilde gönderilir ve alınır. Dahası, Yahoo, Hotmail ve diğer ücretsiz webmail hizmet sağlayıcıları gönderdiğiniz bütün mesajlarınıza kullandığınız bilgisayarın IP adresini de ekler.

    Öte yandan Gmail hesapları giriş yapmanızdan çıkışınıza kadar güvenli bir bağlantı kullanır. Bunu, sürecin başından sonuna kadar adres çubuğuna bakarak ve URL’nin 'https' ile başladığını ('s' burada güvenli bir bağlantıya işaret etmektedir) gözlemleyerek doğrulayabilirsiniz. Yahoo ya da Hotmail’in aksine Gmail, e-posta alıcılarına IP adresinizi açık etmekten kaçınır. Ancak hassas e-posta iletişiminizin gizliliği için tamamen Google’a güvenmeniz tavsiye edilmez. Google çok çeşitli nedenlerle kullanıcılarının mesajlarını tarar ve kaydeder; ve geçmişte dijital özgürlüğü sınırlayan hükümetlerin taleplerini yerine getirmişti. Google'ın gizlilik politikası hakkında daha fazla bilgi için Okuma önerileri bölümüne bakınız.

    Olanaklıysa https://mail.riseup.net adresini ziyaret ederek yeni bir RiseUp e-posta hesabı oluşturmalısınız. RiseUp dünyanın her yerindeki aktivistlere ücretsiz e-posta hizmeti sunmaktadır ve sunucularında kaydedilen bilginin korunması konusunda büyük çaba sarf etmektedir. Onlar uzun zamandan beri güvenli bir e-posta çözümü arayışında olanlar için güvenilir bir kaynak olmuştur. Ve Google’ın aksine kullanıcılarının gizliliği konusunda oldukça katı bir politikaları vardır ve bir gün bu politikalarla çatışabilecek hiçbir ticari çıkarları yoktur. Yeni bir RiseUp hesabı oluşturmak için iki ‘davet kodu’na ihtiyacınız olacaktır. Bu kodlar halihazırda bir RiseUp hesabı olan herhangi biri tarafından verilebilir. Bu kitapçığın basılı bir kopyasına sahipseniz, onunla birlikte ‘davet kodlarınızı’ da almış olmanız gerekir. Aksi halde iki RiseUp kullanıcısı bulmanız ve her birine size bir kod göndermesi için sormanız gerekmektedir.

    Uygulama: RiseUp – Güvenli E-posta Hizmeti Rehberi ile uygulamaya başlayın

    Hem Gmail hem de RiseUp bir webmail hizmeti sağlayıcısından daha fazlasıdır. Onlar, İleri düzey e-posta güvenliği başlığı altında betimlenen teknikleri destekleyen Mozilla Thunderbird gibi bir e-posta istemcisiyle birlikte de kullanılabilir. E-posta istemcinizin e-posta sağlayıcınızla şifrelenmiş bir bağlantı yaptığından emin olmak, webmail’inize HTTPS ile erişmek kadar önemlidir. Bir e-posta istemcisi kullanıyorsanız ek ayrıntılar için Thunderbird Rehberi’ne bakınız. En azından, hem gelen hem de giden e-posta sunucularınız için SSL’e ya da şifrelemeye izin verdiğinizden emin olun.

    Pablo: Öyle ise RiseUp kullanmaya mı başlamalıyım yoksa sadece güvenli 'https' adresine geçerek Gmail kullanmaya devam edebilir miyim?

    Claudia: Bu sana kalmış ama bir e-posta hizmet sağlayıcısı seçerken kesinlikle göz önünde bulundurman gereken birkaç şey var. Birincisi, hesabına güvenli bir bağlantı sunuyor mu? Gmail sunuyor, o zaman Gmail tamam. İkincisi, hizmet yöneticilerinin e-postalarını gizli tutacaklarına ve okumayacaklarına ya da onları başkalarıyla paylaşmayacaklarına güveniyor musun? Buna sen karar vereceksin. Ve son olarak bu sağlayıcıyla özdeşleşmenin kabul edilebilir olup olmadığını düşünmen gerekir. Bir başka deyişle aktivistler arasında popüler olan, sonu ‘riseup.net’le biten bir e-posta adresini kullanman başına iş açar mı yoksa daha yaygın kullanımı olan ‘gmail.com’ adresini kullanmak mı ihtiyacını karşılar?

    Hangi güvenli e-posta araçlarını kullanmaya karar vermenizden bağımsız olarak, her mesajın bir göndereni ve bir ya da daha fazla alıcısı olduğunu göz önünde bulundurun. Siz sadece resmin bir parçasısınız. E-posta hesabınıza güvenli olarak erişseniz bile bağlantıda olduğunuz kişilerin mesaj gönderirken, okurken ve yanıtlarken hangi önlemleri aldığını ya da almadığını düşünün. Yazıştığınız kişilerin e-posta sağlayıcılarının nerede konumlandığını öğrenmeye çalışın. Doğal olarak bazı ülkeler e-postaları izlemek konusunda diğerlerine göre daha saldırgandır. Özel iletişimi güvence altına almak için siz ve yazıştığınız kişilerin tümü görece güvenli ülkelerde tutulan güvenli e-posta hizmetleri kullanmalısınız. Ve mesajlarınızın e-posta sunucunuz ve alıcının e-posta sunucusu arasında ele geçirilmediğinden emin olmak için aynı sağlayıcıdan hesaplar seçmelisiniz. RiseUp iyi bir seçimdir.

    E-posta güvenliğinizi arttırmak için ek ipuçları

    • Beklemediğiniz, bilmediğiniz birinden gelen ya da şüpheli konu satırı içeren e-postaların eklerini açarken daima dikkatli olun. Bu tür e-postaları açarken anti-virüs yazılımınızın güncel olduğundan emin olun ve tarayıcınızın ya da e-posta programınızın gösterdiği herhangi bir uyarıya dikkat edin.
    • İnternette nasıl anonim kalınır ve internet sansürü nasıl aşılır başlıklı 8. Bölüm’de anlatılan Tor gibi anonimlik yazılımlarını kullanmanız seçtiğiniz e-posta hizmetini, internet bağlantınızı izliyor olabilecek herhangi birinden gizlemenize yardım edebilir. Ülkenizdeki internet filtrelemesinin boyutlarına bağlı olarak, RiseUp ya da Gmail güvenli e-posta sağlayıcılarına erişmek için dahi, Tor ya da 8. Bölüm’de anlatılan diğer sansür aşma araçlarından birini kullanmanız gerekebilir.
    • E-posta alıcılarınıza ya da e-posta aracılığıyla mesaj gönderebileceğiniz genel forumlara anonim kalmak amacıyla kullanmak istediğiniz bir hesap oluştururken, kendi kişisel ya da meslekî yaşamınızla ilişkisi olan bir kullanıcı adı ya da ad ve soyadla kayıt yaptırmamaya dikkat etmelisiniz. Bu tür durumlarda, gönderdiğiniz mesaja IP adresinizi ekleyen Hotmail, Yahoo ve herhangi bir diğer webmail sağlayıcısını kullanmaktan kaçınmanız da önemlidir.
    • Bilgisayarınıza fiziksel olarak kimlerin eriştiğine bağlı olarak, geçici dosyalarınızdan e-posta ilişkili izleri temizlemek, mesajlarınızı internette yol alırken korumak kadar önemli olabilir. Ayrıntılar için Hassas bilgiler nasıl imha edilir başlıklı 6. Bölüm’e ve Ccleaner Rehberi’ne bakınız.
    • Bağlantıda olduğunuz kişilerin oluşturduğu ağı korumak amacıyla farklı gruplarla haberleşmek için birden fazla farklı, anonim e-posta hesabı kullanmayı düşünebilirsiniz. Kaydolmak için e-posta hesabı gerektiren internet servisleri için farklı farklı e-posta hesapları kullanabilirsiniz.
    • Yukarıda verilen bütün önlemleri aldıktan sonra bile mesajlarınıza ne yazdığınıza çok dikkat etmek ve mesajlarınızın yanlış ellere geçmesi durumunda bunun nasıl bir etkisi olacağını iyi değerlendirmek hâlâ çok önemlidir. Değiş tokuş edilen bilginin güvenliğini arttırmanın bir yolu, hassas bilgileri değiş tokuş ederken insanların gerçek isimlerini, yerlerin gerçek adresini vb. kullanmayacağınız bir kod sistemi geliştirmektir.

    E-postaların hack'lendiğinden ya da izlendiğinden şüphe edildiğinde yapabilecekleriniz üzerine ipuçları

    E-posta hesabınızın hack’lendiğinden ya da gizliliğinin ihlal edildiğinden şüphe ediyorsanız, yapılan hasarı aza indirmek için bazı önlemler alabilirsiniz. Hesabınızın hack’lendiğinden emin olmak zor olsa da, aşağıda verilenler hesabınızın gizliliğinin ihlal edildiğini gösteren bazı ip uçlarıdır:

    • e-posta hesabınızın içeriği ya da ayarlarında sizin yapmadığınız bazı değişiklikler fark etmeniz;
    • e-post kontaklarınızın sizin göndermediğiniz bir mesajı aldıklarını size bildirmesi;
    • şifrenizin ve diğer ayarlarınızın doğru olduğundan emin olmanıza rağmen e-posta hesabınıza oturum açamıyorsanız;
    • iş arkadaşlarınızın gönderdiği e-posta mesajlarını düzenli olarak almıyorsanız;
    • sadece e-posta ile gönderilen ya da alınan şahsi bir bilginin, siz ya da yazıştığınız kişi tarafından başkasıyla paylaşılmamış olmasına rağmen, üçüncü şahısların bilgisi dahiline geçmesi;
    • hesabınızın etkinlik geçmişinde (e-posta sağlayıcınız bu özelliği sağlıyorsa), hatırlamadığınız bir zamanda veya gitmediğiniz bir yerden (ya da IP adresinden) hesabınıza ulaşıldığını görmeniz.

    Bu gibi durumlarda bazı önlemler almak isteyebilirsiniz:

    • Bahsi geçen e-posta hesabınızdan hassas bilgiler paylaşmayı bırakın, en azından durumu daha iyi anlayana kadar.

    • Şifrenizi en kısa zamanda değiştirin. Bakınız: Bölüm 3. Güvenli şifreler nasıl oluşturulur ve muhafaza edilir. Hesabınızın (ya da diğer hesaplarınızın) şifresini değiştirebilmek için, e-posta sisteminizde nasıl şifre değiştirildiğini önceden bilmeniz gerekir, böylece gerektiğinde hızlıca uygulayabilirsiniz. Aynı ya da benzer şifreyi kullandığınız diğer hesaplarınızın şifresini değiştirin; çünkü bu hesapların da gizliliği ihlal edilmiş olabilir. Her hesap için farklı ve güçlü şifreler kullanın. Diğer bütün hesaplarınızın şifrelerini değiştirmek isteyebilirsiniz. Şifrelerinizi saklamak ve idare etmek için KeePass kullanmayı göz önünde bulundurun. Bütün hesaplarınızın güvenlik sorularının cevaplarını değiştirin (eğer kullanıyorsanız); böylece başkaları tarafından tahmin edilmesini ya da hakkınızda araştırma yapılarak cevapların bulunmasını imkansız kılın. Bu, bilgisayarınıza casus yazılım bulaşması ve dolayısıyla hesaplarınızın riske atılmış olması durumuna karşı bir ön tedbirdir.

    • Eğer şifrenizi değiştirmek için hesabınıza oturum açamıyorsanız, e-posta sağlayıcınızla kontağa geçip hesabınızın iadesini istemeyi deneyin. Bu durumlarda kullanıcılara yardımcı olmak için bazı e-posta sağlayıcılarının özel prosedürleri vardır. Bu prosedürlerin içeriğini, bu gibi durumlarla karşılaşmadan önce bilmek faydalıdır.

    • Bilgi kaybını ve bunun tanıdıklarınız üzerindeki etkisini azaltın. Bir eylem planı yapmak önemlidir. Hesabınızda ne tür hassas bilgilerin olduğunu bilmek ve kimlerle bu hesaptan bilgi paylaştığınızı tespit etmek, kimi uyarmanız gerektiğine karar vermek ve hangi diğer hesapları tekrar ziyaret edeceğinize ya da kapatacağınıza karar vermek. Hangi servisleri (web, finansal, vb.) tekrar ziyaret etmek ya da kapatmak zorunda olduğunuzu kararlaştırın. Hesap dosyalarını kontrol etmeniz (eğer mümkünse), hesabınızdan nelerin gönderilmiş olabileceğini araştırmak ve ona göre hareket etmek için önemlidir. Kontaklarınızı haberdar etmek için kontak kişilerinizin ayrı bir yedek kopyasını tutmanıza ihtiyacınız olacak. Ayrıca, yapılmış olabilecek değişiklikleri görmek için, hesap ayarlarınızı yeniden gözden geçirin. Bağlantılar ve kötü amaçlı yazılımlar için e-posta imza ayarlarını; almış olduğunuz e-mailleri kopyalayarak üçüncü kişilere gönderilmesini sağlayan e-posta forward ayarlarını ve otomatik cevap mesajları, görünen ad gibi diğer ayarları kontrol edin.

    • Hesabınızın gizliliğinin nasıl ihlal edildiğini araştırın. Zayıf bir şifreniz olduğundan mı, yoksa casus yazılım bulaşmasından mı, gibi. Bu konuda ne kadar çok bilgi sahibi olursanız, duruma o kadar iyi müdahale edebilir ve kontaklarınızı koruyabilirsiniz.

    • Bu hesaptan e-postalarınıza erişen bütün araçların, ve bu hesabınızın şifrelerini muhafaza ettiğiniz araçların güvenliğini yeniden gözden geçirin. Bakınız: 1. Bilgisayarınızı kötü amaçlı yazılımlara ve hacker'lara karşı nasıl korursunuz, 2. 2. Fiziksel tehditlere karşı bilgilerinizi nasıl korursunuz ve 11. Akıllı telefonlar nasıl olabildiğince güvenli kullanılır. Anti-virüs yazılımınızı gözden geçirin (bakınız: Avast! - Anti-Virüs ve Spybot - Anti-Casus Yazılı uygulamalı rehberler). Bilgisayarınızı tarayın: 4.1 Virüs Salgınlarıyla Baş Etmek için Kısa Rehbe kısmını okuyun. Eksiksiz bir tarama için kurtarma CD’si ya da USB kullanın - 4.9 İleri Düzey Virüs Temizleme Metotları kısmını okuyun. Aracınızı temizleyebileceğinizden emin değilseniz, temiz bir kaynaktan işletim sisteminiz dahil bütün yazılımları yeniden yükleyin. Firefox, Thunderbird, LibreOffice ve diğer Ücretsiz ve Açık Kaynak Kodlu Programlar gibi daha güvenli programlara geçmeyi değerlendirin. Yukarıda verilenleri yaptıktan sonra, hesap şifrelerinizi yeni, daha güçlü şifrelerle tekrar değiştirin.

    • E-posta sağlayıcınıza hesabınızın hack’lendiğini rapor etmeyi gözden geçirin.

    • Farklı, daha güvenli bir hesap kullanmayı değerlendirin, örneğin, sıra dışı yer ve araçlardan erişimi engelleyen ya da böyle bir erişim söz konusu olduğunda size haber veren bir hesap. Ülkenizin dışında ‘host’ edilen bir hesabı kullanmayı değerlendirin. E-posta şifrelemesi kullanmayı düşünün – gpg4usb - e-posta metni ve dosya şifreleme ya da Enigmail ve GPG ile Thunderbird – Güvenli E-posta İstemcisi.

    • Okunmuş e-postaları, e-posta hesabınızın sunucusunda depolamaktan kaçınmayı göz önünde bulundurun. Bunun yerine, okunmuş e-postalarınızı güvenliği sağlanmış bilgisayarınıza yükleyin. Hesabınıza bağlanma şeklinizin ve bunu yaparken kullandığınız araçların güvenliğini analiz edin.

    Bunun gibi bir durumda hızlı ve doğru şekilde hareket etmeniz önemli. Önceden hazırlanmış ve prova edilmiş bir plan size yardımcı olabilir.

    Birilerinin halihazırda e-postalarınızı izlediğinden şüpheleniyorsanız yeni bir hesap oluşturmak ve eskisini yem olarak saklamaya devam etmek isteyebilirsiniz. Bununla beraber, geçmişte e-posta alışverişinde bulunduğunuz herhangi bir hesabın şu anda izleniyor olabileceğini de hatırlayın. Sonuç olarak bazı ek önlemleri dikkatle takip etmelisiniz:

    • Hem siz hem de geçmişte yazıştığınız kişiler yeni hesaplar oluşturmalı ve bu hesaplara sadece, internet kafeler gibi daha önce hiç kullanmadığınız yerlerden bağlanmalısınız. Bu stratejiyi, normalde kullandığınız ve izlenme ihtimali olan bilgisayarınızdan yaptığınız bağlantıların yeni hesabınızın konumunu ele vermesini engellemek için öneriyoruz. Alternatif olarak, yeni hesabınıza normal konumunuzdan giriş yapmak zorundaysanız bu bağlantıları gizlemek için İnternette nasıl anonim kalınır ve internet sansürü nasıl aşılır başlıklı 8. Bölüm’de anlatılan araçlardan birini kullanabilirsiniz.
    • Bu yeni e-posta adresleriyle ilgili bilgiyi sadece, yüz yüze toplantılar, güvenli anlık mesajlar ya da şifrelenmiş VoIP iletişimi gibi, güvenli kanalları kullanarak paylaşın.
    • En azından bir süre için eski hesabınızdaki trafiği büyük ölçüde değiştirmeden koruyun. Bu, sizi izleyenlere bu hesabı hâlâ hassas haberleşmeleriniz için kullanıyormuşsunuz gibi görünmenizi sağlar. Varsayımsal olarak kritik bilgileri açığa vurmaktan kaçınmak isteyeceksiniz ama böyle yaptığınızı fark ettirmemeye çalışmalısınız. Hayal edebileceğiniz gibi bu bir parça zorlu bir iştir.
    • Gerçek kimliğinizle yeni hesabınız arasında bağlantı kurulmasını güçleştirin. Yeni hesabınızdan eskisine ya da eskisinden yenisine (ya da izlenebileceğini düşündüğünüz diğer kişilerin hesaplarına) e-posta göndermeyin.
    • Yeni hesabınızı kullanırken ne yazdığınıza dikkat edin. Gerçek adlarla adresleri ve ‘insan hakları’ ya da ‘işkence’ gibi ifadeleri kullanmaktan kaçınmanız en iyisidir. Yazıştığınız kişilerle resmi olmayan bir kod sistemi geliştirin ve bunu düzenli olarak değiştirin.
    • E-posta güvenliğinin sadece güçlü teknik savunmalarla ilgili olmadığını hatırlayın. E-posta güvenliği, sizin ve yazıştığınız kişilerin birbirinizle nasıl iletişim kurduğunuza gösterdiğiniz dikkatle ve teknik olmayan güvenlik alışkanlıklarınızın disiplinli olmasıyla ilişkilidir.

    Diğer internet iletişim araçlarını güvenli kılmak

    E-postaya benzer bir biçimde anlık mesajlaşma ve VoIP yazılımı, seçtiğiniz araçlara ve onları nasıl kullandığınıza bağlı olarak güvenli ya da güvensiz olabilir.

    Anlık mesajlaşma yazılımınızı güvenli kılmak

    ‘Sohbet/chat’ olarak da adlandırılan anlık mesajlaşma, normalde güvenli değildir ve e-posta kadar izlenmeye açık olabilir. Sohbet oturumlarınızın gizliliğini güvenlik altına almaya yardım edebilecek programlar bulunmaktadır. Ancak e-postalarda olduğu gibi, güvenli bir iletişim kanalı hem sizin hem de anlık mesajlaştığınız kişilerin aynı yazılımı kullanmasını ve aynı güvenlik önlemlerini almasını gerektirir.

    Var olan birçok anlık mesajlaşma protokolünü destekleyen, hesap adınızı değiştirmek ya da bağlantıda olduğunuz kişiler listesini yeniden oluşturmak zorunda kalmaksızın kolayca kullanmaya başlayabileceğiniz, Pidgin adı verilen bir sohbet programı bulunmaktadır. Pidgin aracılığıyla özel ve şifrelenmiş konuşmalar yapmak için Off the Record OTR eklentisini kurmanız ve aktif hale getirmeniz gerekmektedir. Bu oldukça basit bir süreçtir.

    Uygulama: OTR eklentili Pidgin – Güvenli Anlık Mesajlaşma Rehberi ile uygulamaya başlayın

    Pablo: Yahoo webmail servisi güvensizse bu Yahoo Sohbet’in de güvensiz olduğu anlamına mı geliyor?

    Claudia: Hatırlanması gereken şey, anlık mesajlaşmayı bu raporu tartışmak için kullanmak istiyorsak bu işe dahil olan herkesin Pidgin ve OTR yazılımlarını yüklemiş olduğundan emin olmak. Yüklemişlerse Yahoo Sohbet ya da diğer sohbet hizmetlerini kullanabiliriz.

    VoIP yazılımınızı güvenli kılmak

    Diğer VoIP kullanıcılarıyla yapılan VoIP görüşmeleri genelde ücretsizdir. Bazı programlar uluslararası numaralar dahil, telefonlarla da ucuz görüşmeler yapmanıza izin verebilir. Bu özelliklerin çok yararlı olduğunu söylemeye gerek bile yok. Skype (aşağıya bakınız), Jitsi, Google Talk, Yahoo! Voice, ve MSN Messenger, günümüzün daha popüler VoIP programlarından bazılarıdır.

    Normal olarak, internet üzerinden sesli iletişim korumasız e-posta ve anlık mesajlaşmadan daha güvenli değildir. Hassas bilgileri paylaşmak için sesli iletişimi kullanırken bilgisayarınızdan alıcının bilgisayarına kadar olan yol boyunca görüşmenizi şifreleyen bir araç seçmek önemlidir. Güvenilir bir topluluk tarafından gözden geçirilmiş, sınanmış ve tavsiye edilmiş Ücretsiz ve Açık-Kaynak Kodlu bir Yazılımı kullanmak en iyisi olacaktır. Yukarıdaki kriterleri göz önünde bulundurarak VoIP seçiminiz olarak Jitsi’yi denemenizi öneriyoruz.

    Skype'ın güvenliği hakkında uyarı

    Skype sabit ve cep telefonlarını aramayı da destekleyen, oldukça yaygın olarak kullanılan bir anlık mesajlaşma ve VoIP aracıdır. Popülerliğine rağmen birçok sorun bu yazılımı güvenli bir seçim olmaktan çıkarır. Bu sorunlardan bazıları aşağıda tanımlanmıştır.

    Skype’a göre o hem mesajları hem de sesli aramaları şifrelemektedir, bu sadece iletişimin her iki tarafının da Skype programı kullanması durumunda gerçekleşir. Skype telefon aramalarını ve SMS mesajları olarak gönderilen metinleri şifrelememektedir.

    İletişimin her iki tarafı da (orijinal) Skype programı kullanıyorsa, Skype görüşmesinin şifrelenmesi onu, telefon üzerinden yapılan sıradan bir aramadan görünüşte daha güvenli kılmaktadır. Ama Skype’ın kapalı-kaynak kodlu bir program olması, bağımsız bir denetimi ve şifreleme konusundaki iddialarının değerlendirilmesini olanaksız kılmaktadır. Bu nedenledir ki Skype’ın kullanıcılarını, kullanıcıların bilgilerini ve iletişimini ne kadar iyi koruduğunu doğrulamak olanaksızdır. Bilgisayarınızı kötü amaçlı yazılımlara ve hacker'lara karşı nasıl korursunuz başlıklı 1. Bölüm’ün Yazılımlarınızı güncel tutmak kısmı, Ücretsiz ve Açık-Kaynak Kodlu Yazılım FOSS’un erdemlerine işaret eder.

    Daha öncede belirtildiği gibi, güvenli bir iletişim aracı olarak her ne kadar Skype’ı tavsiye edemiyorsak da, hassas iletişimleriniz için bir araç olarak Skype’ı kullanmaya yine de karar verdiyseniz bazı önlemler almanız önemlidir:

    • Casus yazılım bulaşmış bir Skype programından kaçınmak için, Skype’ı sadece resmî web sitesinden, www.skype.com, indirin ve kurun. URL’yi daima iki kez kontrol etmek resmî siteye bağlandığınızdan emin olmak için önemlidir. Bazı ülkelerde Skype web sitesi engellenmiştir ve/veya Skype’ın resmî sitesi olduğunu iddia eden birçok sahte site bulunmaktadır. Bu tür birçok durumda, erişilebilir durumdaki Skype sürümlerine, herhangi bir iletişimi izlemek için tasarlanmış kötü amaçlı yazılımların bulaşmış olması olasıdır. Yazılımın en son sürümünü kurmak ya da bir üst sürüme geçmek istediğiniz her seferinde, Skype web sitesine bağlanmak için 8. Bölüm’de açıklanan sansür aşma araçlarını kullanın ve orijinal bir Skype programı indirin.
    • Düzenli aralıklarla Skype şifrenizi değiştirmeniz önemlidir. Skype farklı konumlardan çoklu girişe izin vermektedir ve eş zamanlı oturumların sayısı hakkında size bilgi vermemektedir. Bu büyük bir risk taşımaktadır, şifreniz tehlikedeyse bu şifreyle herhangi biri de giriş yapabilir. Giriş yapılan oturumlar, tüm yazılı mesajlara ve arama geçmişine erişimi de elde eder. Şifre değiştirmek bu tür düzenbaz oturumları (yeniden giriş yapmaya zorlayarak) engellemenin tek yoludur.
    • Skype’ın gizlilik ayarlarını sohbet geçmişini saklamayacak şekilde değiştirmek de tavsiye edilebilir.
    • Skype’ın gelen dosyaları otomatik olarak kabul etme ayarlarını kapatmanız tavsiye edilir. Öyle ki bu yöntem zaman zaman kötü amaçlı/casus yazılımları bilgisayarınıza bulaştırmak için kullanılır.
    • İletişimde olduğunuz kişinin kimliğini daima bağımsız olarak doğrulayın. Konuşmak istediğiniz kişiyi tanıyorsanız, sesli sohbet sırasında bunu yapmak kolaydır.
    • Skype kullanıcı adınızın gerçek adınızla ya da kuruluşunuzun adıyla aynı ya da onunla herhangi bir ilişkisinin olup olmaması gerektiğine karar verin.
    • Daima alternatif iletişim yollarına sahip olun –Skype her an kullanılamaz hale gelebilir.
    • Ne söylediğinize dikkat edin -spesifik bir terminoloji kullanmaksızın hassas konuları tartışmak için bir kodlama sistemi geliştirin.

    Skype’ın popülerliğine rağmen, yukarıda değinilen kaygılar, güvenli bir deneyim için onu tartışmalı hale getirir. VoIP için Jitsi’yi ve güvenli anlık mesajlaşma için OTR eklentisiyle Pidgin’i kullanmaya başlamanızı öneriyoruz.

    İleri Düzey E-posta Güvenliği

    Aşağıda tartışılan araçlar ve kavramlar deneyimli bilgisayar kullanıcılarına tavsiye edilir.

    E-postada Açık Anahtar Şifrelemesini Kullanmak

    Güvenli olmayan e-posta hesaplarıyla bile daha üst düzey bir e-posta güvenliği elde etmek olanaklıdır. Bunu yapmak için açık anahtar şifrelemesini öğrenmeniz gerekir. Bu teknik her özgün mesajı kodlayarak mesajınızı göndermek istediğiniz kişi haricinde herkese okunmaz kılar. Açık anahtar şifrelemesini hünerli yönü şudur: bağlantıda olduğunuz kişilerle gelecekte mesajlarınızı nasıl şifreleyeceğiniz konusunda herhangi bir gizli bilgi alışverişinde bulunmak zorunda olmazsınız.

    Pablo: Ama bu nasıl çalışıyor?

    Claudia: Matematik! Bir e-posta alıcısının özel açık anahtarını kullanarak o kişiye yollamak istediğin e-posta’yı kodlarsın. Açık anahtar özgürce dağıtılabilir. Ardından alıcı, gelen mesajlarını okumak için dikkatle korumak zorunda olduğu gizli ‘özel anahtarı’nı kullanır. Sırası gelince o kişi, sana yazdıklarını şifrelemek için senin açık anahtarını kullanır. Sonuç olarak açık anahtarlarınızı değiş tokuş etmek zorundasınız, ama anahtarlarınızı, bunları elde etmek isteyen herhangi biri için endişelenmeksizin, herkese açık bir biçimde paylaşabilirsiniz.

    Bu teknik, herhangi bir e-posta servisiyle birlikte, hatta güvenli iletişim kanalları olmayanlarla bile, kullanılabilir çünkü her bir mesaj bilgisayarınızı terk etmeden önce şifrelenir.

    Şifreleme kullanarak dikkatleri üzerinize çekebileceğinizi hatırlayın. Bir webmail hesabı dahil, güvenli bir internet sitesine erişirken kullandığınız şifrelemenin türü, burada tartışılan açık anahtar şifrelemesi türüne göre daha az şüpheli görülür. Bazı durumlarda, bu tür şifrelenmiş veri içeren e-postalar ele geçirilir ya da şifrelenmiş e-postalar açık bir foruma gönderilirse, bu durum, bunları gönderen kişiyi mesajın içeriğinden bağımsız olarak, suçlu durumuna düşürebilir. Bazen mesajınızın gizliliği ile dikkat çekmeme gereksinimi arasında seçim yapmak zorunda kalabilirsiniz.

    Bir Mesajı Şifrelemek ve Kimliğini Doğrulamak

    Açık anahtar şifrelemesi ilk bakışta karmaşık görünebilir ama temel ilkeleri anladığınızda oldukça kolaydır ve araçları kullanmak da zor değildir. Basit, kullanıcı dostu ve taşınabilir gpg4usb programı, internete bağlı olmasanız bile e-posta mesajlarını ve dosyaları şifreleyebilir.

    Uygulama: Taşınabilir gpg4usb – E-posta metinleri ve dosya şifreleme programı rehberi ile uygulamaya başlayın

    Mozilla Thunderbird e-posta programı Enigmail adı verilen uzantısıyla birlikte e-posta mesajlarını şifrelemede ve onların şifresinin çözülmesinde kolayca kullanılabilir.

    Uygulama: Enigmail ve GPG ile Thunderbird - Güvenli E-posta İstemcisi Rehberi ile uygulamaya başlayın

    E-postanızı otantikleştirmek iletişim güvenliğinin bir başka önemli boyutudur. İnternet bağlantısına ve doğru araçlara sahip olan herhangi biri sizinkiyle aynı olan sahte bir e-posta hesabından mesaj göndererek sizi taklit edebilir. Buradaki tehlike alıcının bakış açısından ele alındığında daha görünürdür. Güvenilir bir bağlantıdan geliyormuş gibi görünen ama gerçekte etkinliklerinizi kesintiye uğratmak ya da örgütünüz hakkındaki hassas bilgileri öğrenmek isteyen biri tarafından gönderilen bir e-postanın ortaya koyduğu tehdidi hayal edin.

    E-postayla yazıştığımız kişiyi görmeyeceğimizi ya da duyamayacağımızı göz önünde bulundurduğumuzda, kişinin kimliğini doğrulamak için genellikle göndericinin adresine başvururuz, bu nedenledir ki sahte e-postalarla bu kadar kolay aldatılırız. Açık anahtar şifrelemesine dayanan dijital imzalar, bir mesaj gönderirken birinin kimliğini doğrulamanın daha güvenli bir aracını sağlar. Portable gpg4usb rehberi ya da Thunderbird Rehberi’nin Enigmail’la birlikte Thunderbird nasıl kullanılır kısmı bunun nasıl yapılacağını ayrıntılarıyla açıklar.

    Pablo: Bir meslektaşım benim e-posta adresimden gönderilen ama aslında benim göndermediğim bir e-posta almıştı. Sonunda bunun sadece bir spam olduğuna karar verdik ama şimdi yanlış zamanda, yanlış bir kişinin e-posta kutusunda sahte bir e-postanın belirmesinin ne büyük bir hasar meydana getirebileceğini hayal edebiliyorum. Bu tür şeylerin dijital imza ile önlenebilindiğini duydum ama nedir bu dijital imza?

    Claudia: Bir dijital imza, mektubunu taşıyan zarfın üzerindeki bal mumundan mühüre benzer ancak dijital imza taklit edilemez. Bu, mesajın gerçek göndericisinin sen olduğunu ve mesajın, alıcısına erişinceye dek değiştirilmediğini kanıtlar.

    Okuma önerileri

    • E-posta kimlik sahtekarlığı hakkında daha fazla şey öğrenmek için, Digital Security and Privacy for Human Rights Defenders kitabının 2.5 Spoofing bölümüne bakınız.
    • Riseup ve Thunderbird Uygulama Rehberlerine ek olarak, mesajlarınızın bir kopyasını e-posta sunucusunda bırakarak, e-posta programınızı çeşitli popüler e-posta hizmet sağlayıcılarıyla birlikte kullanmayı açıklayan bir dizi web sitesi bulunmaktadır:
    • Man in the Middle attack olarak bilinen SSL güvenliğine yapılmış bir saldırı bulunmaktadır.
    • Bir Gmail hesabı oluştururken kabul etmek zorunda olduğunuz Gmail Gizlilik Politikası, "Google Gmail hesabınızı ve içeriğini, size Gmail hizmeti sunmak için ve hizmetlerini geliştirmek için sürdürür ve işler." demektedir. Gerçekten de tüm e-posta sağlayıcıları, spam karşıtı hizmetlerini ve diğer benzer özelliklerini sağlayabilmek için mesajlarınızı tarar. Bununla beraber Gmail, e-postanızın gerçek içeriği üzerine temellenen 'hedeflenmiş reklamcılığı' sunabilmek için bu konuda biraz daha ileri gider. Bu, Google tarafından depolanan bilginin kasıtlı olarak ya da kazara açığa çıkması durumunda tehlikeli olabilir.
    • 2008 yılında yapılan bir dizi söyleşi birçok önde gelen anlık mesajlaşma hizmetinin gizlilik ve şifreleme politikalarına işaret etti.