Geçtiğimiz günler WhatsApp’ın güncelleme duyurusu, benim de farklı bir bakış açısı ile ele almaya çalıştığım (Bkz. Ürün Haline Gelmek! Ürün Kullanımı ve Hizmet Koşulları Kabulü) birçok yazı ve uyarı, Güvenli İletişim adına paylaşılır oldu.
Konuya uygulama bazında yaklaşılmasının haricinde daha derine inmemiş olmak, hata yaptığımız ve günü kurtarma adına koştuğumuzun bir göstergesi.
Öncelikle “VERİ PAYLAŞIMI VE GÜVENLİK İHLALLERİ 101″ ve “VERİ GÜVENLİĞİ VE GİZLİLİĞİ İÇİN YÖNTEM ÖNERİLERİ 102” başlıklı paylaşımlarımda, konuyu su üstündeki yüzü olarak; veri, paylaşım ve uygulama üçgeninde ele almış olsam da biraz daha derine inerek OS (İşletim Sistemi) ve Sesli Asistan olarak da derinleştirmenin gerekliliği, elzem oldu.
Güvenli İletişimde OS ve Asistan önemi nedir?
Konuyu Apple IOS, Google Android, Huawei Harmony OS vb. OS’ler üzerinden inceleyelim desek de “Atı alanın Üsküdar’ı geçmiş” olduğu durumu da kabul etmek gerekli.
Tüm bu işletim sistemlerinin arka planda tuttuğu ve paylaştığı verilerin yanında, işin diğer bacağı olan SİRİ gibi Sesli Asistan’ların sürekli dinleme durumunda olması hali, sizlere de korkutucu gelmiyor mu? Gelmiyor ise okumaya devam edin. 🙂
Yakın zamanda, kamera çözünürlük bahanesi haricinde işletim sistemiyle arka planda verileri, istenmeyen -izinsiz- şekilde şirketine göndermesi, büyük bir telefon üreticisine, ABD de ambargo uygulandı. Yine başka bir Çin’li telefon üreticisi izinsiz veri erişimi sebebiyle özür diledi.
Özellikle Açık Kaynaklı Android tarafında (Açık kaynaklı olduğu tartışılır.) saf OS için Google Pixel kullanmıyorsanız (Kullansanız da Google servislerini aktif kullanıyorsunuz) her durumda elden geçirilmiş/geçirilebilir bir OS kullanıyorsunuz anlamına gelmekte, IOS tarafında ise eski bir cihaza sahip değilseniz (IOS da destek 5 yıl) yamalar ile güncel çalışan bir cihaza sahipsiniz demektir.
İşletim sistemi tarafında IOS’u sıkı güvenlik tedbirlerinden dolayı ayrıca ele almak gerekir ki IOS da arka kapısı olan (Arka Kapı dergiyi de buradan anmış olalım.) bir uygulama yüklemeniz denetimlerden dolayı çok zor. Fakat IOS’da da işin içine SİRİ giriyor ki şimdilik IOS’u park edelim, birazdan ortak olarak değineceğim.
Android OS üzerinden devam edersek ve kötü amaçlı uygulamalar yüklenmesini bir kenara bırakırsak, İşletim Sistemi anlamında Android elden geçirilebilir olması sebebiyle güvenli iletişim adına daha kritik hale gelmiş oluyor.
İş, sesli asistanlara geldiğinde, adı ne olursa olsun SİRİ, Google Asistant, Alexa, Cortana vb. sürekli dinleme durumunda aktif kalıyor ve sizin kendisine seslenmenizi bekliyor (!?)
Peki reklam gösterimi için neler konuştuğunuzu takip etmiyor mu dersiniz?
Bu soruya cevap olarak, çıkan reklamların metinsel arama sonucu ya da rastgele çıktığı ifade ediliyor. (Sanırsınız biz paranoya yapıyoruz!)
Hiç, arkadaşınızla konuştuğunuz bir konudan sonra, telefonu açtığınızda o konuda reklam çıktığı olmadı mı? (Çıkmadı ise şanslıymışsınız…)
Sektörün içinden ve YZ ile ilgilenen biri olarak Digital Twin dahilinde bir kullanıcının market alışverişlerinden (Amazon) ya da paylaşım akışından (Facebook) hamile olup olmadığının anlaşıldığı bir dünyada gösterilecek reklam için tıklamaların, konuşmaların, yazışmaların davranışların göz ardı edilmeyeceği de bir o kadar aşikar.
Apple SİRİ’nin CNBC haberindeki detayda, sizi dinlediğini ancak casusluk yapmadığını açıklamıştı. Haberde diğer sesli asistanlarında benzer davranışları hakkındaki açıklamaları görebilirsiniz.
Bakın Amazon Alexa güncelleme ile cihaza nasıl bir yeni komut seti eklemiş;
“Alexa, delete everything I said today” / “Alexa, forget what I just said,” (Bkz: Wired)
İçeriden bir bilgi; Google eski Tasarım etiği sorumlusu Tristan Harris videosunda konudan bahsetmiş:
Dinleme bir yana, daha da korkuncu bakın özetle ne demiş;
“Google sunucusunun veya bir Facebook sunucusunun içinde küçük bir vudu bebeği, sizin avatar benzeri bir versiyonunuz olmasıdır. Senin bir modelin gibi. Ve konuşmalarınızı dinlemek zorunda değilim, çünkü şimdiye kadar yaptığınız tüm… tıklamaları ve beğenileri biriktirdim ve bu vudu bebeğinin gitgide daha çok sizin gibi davranmasını sağlıyor. Tek yapmam gereken, vudu bebeğinin yaptığı konuşmayı taklit etmek ve mikrofonu dinlemek zorunda kalmadan yaptığınız konuşmayı biliyorum.”
Satın aldığınız standart bir mobil cihaz ile sakin hayatınıza devam ederken, gördüğünüz bu yazı ile meraklandıysanız, konunun biraz daha derinine inmek istiyorum derseniz “The Social Dilemma” ve “60 Minutes – Section 230” belgesellerini izlemenizi öneririm.
Dinleme ve davranış takibi derken mülkiyet hakkı, özerklik gibi konularda elimizden gelenin daha fazlasını ve önlemimizi almamız, gerekli gibi duruyor. (Bir önceki yazımda paylaştığım “Dijital Minimalizm: 1” ve sonra paylaşmayı planladığım “Dijital Minimalizm: 2” ile hızlı bir başlangıç yapabiliriz.)
Güvenli İletişimde OS – ROM katmanının önemi nedir?
Konumuza dönelim ve tüm bu takip dinleme, uygulamaların izinli/izinsiz takiplerini bir alt katmanına inerek OS detayında konuyu sona taşıyalım ve Güvenli iletişim için işe her uygulamanın üzerinde koştuğu İşletim Sistemi (ROM) ile ilerleyelim.
ROM: Firmware’i (Elektronikte ve bilişimde donanım yazılımı, kalıcı bellek, program kodu ve veri deposudur) kök yapı olarak, Rom’u ise bu kök yapıyı, kullanıcılara göre özelleştiren, onlara yönelik ek yazılım ve ayarlar içeren bir üst yazılım şeklinde adlandırabiliriz. Örnek: Google Android firmware’i geliştirip Samsung’a verdikten sonra, Samsung da kendi stock Rom’unu üretip bunu cihazlarına yükleyip piyasaya sundu.
Altyapı (Infrastructure) katmanı; mobil operatör veya altyapı sağlayıcısı tarafından sahiplenilmekte ve işletilmekte, donanım (Hardware) katmanı; genellikle bir akıllı telefon veya tablet tarzı mobil cihaz biçiminde üretici tarafından sağlanmakta olup, bireysel son kullanıcı ekipmanı tarafından desteklenen katmandır.
Bu iki katmanı birleştiren ve anlamlı bir bütünlük içinde çalışmasını sağlayan katman olarak da İşletim Sistemi (OS – Operating System) katmanı kullanılmaktadır.
Probleme bu aşamada müdahale etmek ve güvenliği sağlayarak çalışmaya başlamak son kullanıcı olarak yapılabilecek probleme en erken müdahalelerden biri olacaktır.
Tabii ilk iki katmana dokunabiliyorsanız güvenli iletişim adına daha güvenli durumda olursunuz ki burada kendi cihazlarını veren Rom’lar ya da ilgilenirseniz Pine64 Smartphone projesi ile donanım katmanına kadar güvenliğinizi arttırabilirsiniz.
Bu adımda özellikle müdahale anlamında tercih biraz daha teknik bir konu haline gelmekle birlikte, fikir sahibi olmak adına neler yapılabilir göz atmakta fayda olacaktır.
OS katmanında kar amacı gütmeden ve Security & Privacy özelinde geliştirilen AOSP “Android Open Source Project” altında farklı seçimlerle ilerlenebilir.
Bu projelerin en büyük özelliklerinin başında, Google servislerine erişimleri, kısıtlamaları ve verileri şifreli olarak tutmaları geliyor.
Fikir vermesi adına bu İşletim Sistemlerindeki Güvenli İletişim adına kritik özelliklerden bazıları;
- Çoğunluğunda kendi donanımını kullanma tercihi bulunur.
- Google Play hizmetlerini veya microG gibi Google hizmetlerinin başka bir uygulamasını içermez.
- Kişisel verilerinize erişen hiçbir Google uygulaması veya Google hizmeti içermeyen, gerçekten açık kaynaklı bir Android işletim sistemi çekirdeğine sahiptirler.
- Bazı OS’ler kendi içerisinde Android Açık Kaynak Projesinin bir parçası değildir ve temel Android uyumluluğu için gerekli değildir.
- (AES-256-XTS) ve meta verileri (AES-256-CBC + CTS) gibi tam veri şifrelemeleri yapabilirler.
- Sahte veri sağlama özellikleri bulundurabilirler
Güvenlik özelinde cihazınıza yüklemeyi tercih edebileceğiniz popüler ROM’ları aşağıda bulabilirsiniz.
GrapheneOS – AOKP (Android Open Kang Project) – eFoundation – ParanoidOS – Copperhead
ROM Özelinde tercih edilebilecek OS’ler;
Not: ROM yüklemek için teknik bilgi gerekmektedir. Öncelikle ilgili ROM’un özelliklerini ve cihaz desteğini incelemeniz ve sonrasında yükleme ile ilgili araştırma/çalışma yapmanızı tavsiye ederim.
Donanım, güvenli bir işletim sistemi ve üzerinde kurulacak olan gerekli, doğru uygulamalar ile hayatınıza devam etmeniz dileğiyle.
Güvende kalın…
F-Secure – Mobile Security Questions
HowtoGeek – Android is open and ios is closed but what does that mean to you
Wired – Whos listening talk google assistant
Quartz – Your phone is not recording your conversations
The Guardian – Googles earth how the tech giant is helping the state spy on us
The Hacker News (SIRI Geliştiricisi firma diğer uygulamalası) – CIA wireless router hacking tool
ROM’lar için genel bilgi adına XDA-developers‘u ziyaret edebilirsiniz.
Last modified: Şubat 18, 2021