Kitlesel Gözetleme Hakkında Az Bilinen Gerçekler

Salgın günlerinde, sizler de duymuşsunuzdur, Covid-19 virüsünün insanlara çip takarak onları kolayca izleyebilmek adına çıkartıldığı gibi iddialar dolaşıyor İnternet’te. Şu an, kitlesel gözetleme ve veri mahremiyeti konuları hiç olmadığı kadar güncel ve sıcak belki de. Bu yazıda amacım bu tür Büyük Birader (Big Brother) komplo teorileri ve spekülasyonları yerine daha bilimsel mecrada Kitlesel Gözetleme (Mass Surveillance) kavramını farklı açılardan değerlendirmek. Bu değerlendirmede tüm doğru cevapları bulmak gibi bir amacım yok, daha çok bazı önemli soruların sorulduğu bir yazı olsun gibi bir hedefim var. Daha önce Siber Güvenlik Platformunda yapmış olduğum bir sunumdan yararlanarak aşağıda bu konuyu 10 maddede ele almak istiyorum.

  • Kitlesel Gözetleme Nedir?

Kitlesel gözetleme (mass surveillance), nüfusun tamamının veya büyük bir kısmının ayrım gözetmeksizin izlenmesidir. Bireyler hakkında üretilen ve toplanan veri iyi tanımlanmış bir hedef kümeye mahsus bırakılmamıştır. Bu tanım gereğince, işleri gereği suçluların takibi ve haklarında istihbarat toplanması türünden faaliyetler ile kitlesel gözetleme ciddi anlamda birbirinden ayrışmaktadır. Örneğin, uyuşturucu kaçakçısı olmasından şüphelenilen bir kişinin izlenmesi gayet doğaldır ve tartışma konusu değildir ama ABD’de tüm zencilerin sistematik olarak izlenmesi adına bir faaliyet kitlesel gözetleme tanımına tam olarak girmektedir.

Terörizmle savaşmak, sosyal huzursuzluğun önüne geçmek, ulusal güvenliği sağlamak, çocukları korumak gibi hepimize makul gelebilecek sebeplerden ötürü kitlesel gözetleme yapmanın gerekli olduğunu düşünenler vardır.

Kitlesel gözetlemenin mahremiyet haklarını çiğnediği, sivil ve politik özgürlükleri sınırladığı ve anayasal ihlali olduğunu belirterek bu düşüncede olanlara mukabele eden veya etmeye çalışan önemli büyüklükte bir kitlenin de olduğunu biliyoruz.  

Yukarıdaki iki paragraftan Kitlesel Gözetleme konusunun bir etik ikilem (ethical dilemma) oluşturduğunu da rahatlıkla anlayabiliriz. Bu ikilemi nasıl çözeceğiz?

  • Kitlesel Gözetleme Mümkündür.

Son onyıllarda yaşanılan ve her biri belki farklı bir blog yazısını hak eden pek çok farklı teknolojik gelişmenin kitlesel gözetlemenin önünü açtığını görmekteyiz. Bu problemi, modern dünyanın problemi haline getiren de işte bu teknolojik ilerlemedir. Basit bir örnek vermek gerekirse, veri saklama kapasitesinin artmakta olduğunu ve veri saklamanın oldukça ucuzladığını görüyoruz. Detayları önemli değil, birkaç sene önce sunucu yatırımı yapmadan sadece bulut saklama hizmetlerinden yararlanarak yıllık 36.000 $’lık harcama ile atılmış tüm Twit’lerin saklanabileceğinin hesabını yapmıştım.

Bu maliyetin ulusların güvenlik birimleri için çerez parası olduğunu ABD’de NSA’ın Utah şehrinde kurduğu aşağıdaki resimde görülen veri merkezini inceleyerek anlayabiliyoruz. Kapasitesi 12 exabayt (12 milyar gigabayt) olan bu veri merkezinin maliyeti 1.4 milyar dolar imiş.

  • Kitlesel Gözetlemenin Sebepleri

Kitlesel Gözetlemenin iki farklı sebebi olabiliyor (ve bu sebepler birleşebiliyor):

Google, Facebook, Twitter gibi şirketler iş modelleri gereği kullanıcılarını devamlı takip etmenin gerekli olduğunu düşünebiliyorlar. Bu düşünceye karşın kullanıcılarda yavaş yavaş bir bilinçlenme oluştuğunu ve “İnternette bir ürünü bedava kullanıyorsan, Sen müşteri değilsin, sen ürünsün!” cümlesinin artık ağızlarda sakız olmaya başladığını görsek de bu konunun serbest piyasa ekonomisi dinamiklerine bırakılamayacak seviyede önemli olduğu artık muhakkak. Bu sebeple, Avrupa Birliğinde GDPR, ülkemizde KVKK gibi yasal düzenlemeler var. Bu düzenlemelerin ne kadar etkili olacağını ise hep birlikte yaşayıp göreceğiz.

Öte yandan, olayın daha az tartışılan boyutu ise ticari sebeplerden değil ulusal güvenlik, vb. sebeplerden ötürü kitlesel gözetlemenin bilfiil devletler tarafından icra ediliyor olması. Devletlerin bu konuda ne yaptıkları veya ne yapabildikleri konusunda da sağlıklı verilere genelde ulaşılamıyor idi yakın bir tarihe kadar. Edward Snowden tarafından ifşa edilen gizli belgeler ile en azından ABD’de neler olduğunu biraz olsun öğrendik. 

  • Kitlesel Gözetleme Vakidir.

Bir şeyin mümkün olması, o işin otomatik olarak yapılıyor olması anlamına gelmiyor elbette. Peki Kitlesel Gözetleme gerçekten vaki mi?

Gleen Greenwald’ın “Saklanacak Yer Yok (No Place to Hide)” isimli kitabından Kitlesel Gözetleme bağlamında yukarıdaki iki sebebinin bir araya gelmesinin hangi sonuçları doğurduğunu anlıyoruz. Yahoo, Google, vb. pek çok şirketin istemeseler de NSA ile nasıl işbirliği yaptıkları açık ve net belgelerle anlatılıyor.

Evet, NSA’ın kendi yetkili çalışanlarına yukarıdaki resimde görüldüğü gibi basit bir arayüz üzerinden kendi e-posta hesabına ulaşmak kolaylığında her istediği kişinin e-postalarına erişme imkanını sunduğu anlaşılıyor. Sadece bir gerekçe sunmak gerekiyor, o kadar da olsun artık canım.

  • Kitlesel Gözetlemenin Zararları

Şu tür söylemler ile karşılaşılabiliyor bu konu gündeme taşındığında: “Canım, ne var çekinecek? Başkalarının görmesini istemediğin işler yapıyorsan belki de bu işleri baştan hiç yapmaman gerekiyor.” Bu söylemi dillendirenlerden biri de Google şirketinin CEO’luğunu yapmış olan Eric Schmidt.

Eric Schmidt bir süre CNET teknoloji haber sitesine röportaj vermeyi reddediyor. Sebebini merak edenlere; çünkü CNET, google arama moturu ile de kolaylıkla ulaşılan Eric Schmidt ile ilgili kişisel bilgilere sitesinde yer vermiş de ondan dolayı.

Konunun ciddiyetini daha iyi anlayabilmek adına mahremiyeti tehlikede olan kişisel verilerinizin sadece yapılması ayıp addedilen ve saklamak için çaba harcadığınız davranışlarınıza ilişkin veriler ile sınırlı olmadığını anlamak önemli. Basit bir örnek vermeye çalışacağım:

Trafik cezalarının artırılması gerektiğine dair bir sosyal kampanya yürütüldüğünü varsayalım. Kampanya’yı yürütenler bir şekilde sizin Galatasaraylı olduğunuzu öğrenmiş olsun. Size kampanya’ya destek olmanız için gönderdikleri e-postaya “Galatasaray’ın Fenerbahçe’yi yendiği o güzel akşamda başımıza gelen trafik kazasından bahsedeceğim…” diye başlandığını düşünün. Modern psikoloji, bu tür bir e-posta ile istenilen sonucun alınmasının kolaylaşacağını söylüyor.

Yaptığımız yüzlerce arama sonrasında bizi bizden daha iyi tanımış bir Google gerçekliği var karşımızda. Bu durumun ne kadar ürkütücü olduğunu anlamak çok zor değil diye düşünüyorum.

Yine de kabul etmek gerekir ki bu anlama işini teknolojiyi sanki insanmış gibi düşünmek bazen zorlaştırıyor. “Dünyada 6 milyar insan var, Google’ın işi yok da benim gibi birini mi takip edip izleyecek?” türünde bir soru giderek anlamını yitiriyor. Çünkü söz konusu takibi bir veya birkaç kişi yapmıyor, otomatik yöntemler ve gittikçe gelişen teknolojiler yardımı ile senin de diğer 6 milyar insan gibi aynı anda izlenmesi pekâlâ mümkün.

  • Kitlesel Gözetlemeye Karşı Ne Yapılabilir?

Bu konuyu da üçe ayırabiliriz: Son kullanıcılar, şirketler ve devlet olarak ne yapılabilir?

Son kullanıcı olarak yapabileceklerimiz gerçekten kısıtlı diye düşünüyorum. Sosyal medya’da kişisel veri paylaşmayın, çerez ayarlarını düzgün yapın, Tor tarayıcı kullanın, vs. tarzında uzun listeler yapmanın etkisinin son derece kısıtlı olacağını iddia ediyorum genel kanının aksine.

Yine sanılanın aksine şirket olarak da yapılabileceklerin sınırlı olduğu kanaatindeyim. Ne demek istediğimi bir örnekle anlatacağım. Yukarıdaki resimdeki kişi Ladar Levison. Ladar, Lavabit adlı yarım milyon kullanıcısı olan güvenli e-posta servisi sunan bir şirketin sahibiydi. Bu servis üzerinden gönderilip alınan kriptolanmış e-posta mesajlarına ABD güvenlik güçleri tarafından ulaşılamaması sebebiyle bu kişiden bu konuda yardım isteniyor (daha doğru ifadeyle, istemenin ötesine geçiliyor). Bir taraftan müşterilerine verdiği güvenlik sözü, bir taraftan gelen baskı. Ladar Levison çareyi şirketi kapatmakta buluyor.

Kaldı devletlerin ne yapması gerektiği konusu. Konunun yasal düzenlemelere muhtaç olduğu açık. Google, Facebook gibi küresel devlerin ulusal kanuni düzenlemelerden muaf kalmaya çalışmasına karşın GDPR gibi, KVKK gibi, başka düzenlemeler ile devletlerin karşı hamlelerini görüyoruz. Ayrıca, ülkemizde bilgi ve iletişim teknolojileri alanında yerli ve milli ürünlerin geliştirilmesi ve yaygınlaştırılması çabalarını da bu hamlelerden biri olarak görmek tabii ki mümkün. Bu hamlelerden biri Savunma Sanayi Başkanlığı himayesinde sürdürülen Türkiye Siber Güvenlik Kümelenmesi platformu. Securify şirketi olarak biz de üyelerinden birisiyiz bu platformun.

Öte yandan, bu konuda çok fazla tartışılmayan veya tartışılamayan şöyle bir ikilem var. Bugün teknolojik üstünlüklerini kullanarak Kitlesel Gözetleme yapabilen küresel güçlerin karşısına çıkarken yarın benzer bir gücü elde edip yanına da kanun gücünü koyup yerelde aynı amaç peşinde koşmanın dayanılmaz cazibesine karşı çıkılabilecek mi? Eğer çıkılamazsa, vatandaşın “yukarı tükürsem bıyık, aşağı tükürsem sakal” diye düşünmesi, hatta “bıyık gitti, bari sakal kalsın” demesi nasıl engellenecek? Vatandaşı bu konuda yanına almayan girişimler ve projeler ne ölçüde başarılı olacak? “Senin kitlesel gözetlemen çirkin, benimkisi ise cici..” anlayışı ile yol alınabilir mi?  Soruları artırabiliriz, bu sorular çok da önemli sorular ama biz yine de teknik tarafta kalmaya çalışalım.

  • Kitlesel Gözetleme ve Kripto

Karınca kararınca kripto konusunda araştırma yaptığımı ve ilgilendiğimi duyanlar şöyle bir soru yöneltebiliyorlar: “Kırılamayan kripto yokmuş, öyle mi?” Bu sorunun doğru cevabı hem “evet, yok”, hem “hayır, var”. Bilmece gibi konuştum ama ne demek istiyorum, biraz açıklayayım.

Kriptografik veya başka bir ifadeyle şifreleme algoritmalarından bazılarının bilinen bir zayıflığı yoktur, öyle olunca matematiksel olarak bu algoritmaları kırmak günümüz bilgisayarları ile mümkün değildir. Daha da somutlaştıralım: bitcoin madenciliği için tüm dünyada yapılan kripto işlemlerinin milyarlarca katı işlem yapılsa dahi yine 128-bit bir AES şifreleme algoritmasının anahtarı kırılamıyor. Bir de AES-256 algoritması var tabii. 2 üzeri 128 (2128) kat daha zorlaştırıyor bu işlemi.

Fakat bir şifrelemeyi kırmanın tek yolu yukarıda anlatıldığı türden “kaba kuvvet saldırısı” yapmak değil. Bu işin çok sayıda başka yolu var. Hatta kırmak zorunda bile değilsiniz. “Amatörler kriptoyu kırmaya uğraşır sadece, profesyoneller ise arkasından dolaşır.” diye bir söz var. Siz ulaşmak istediğiniz veriye örneğin bir kötücül yazılım ile kriptolanmadan önce ulaşabiliyorsanız, bu durumda kriptonun ne kadar güçlü olduğu sizi hiç mi hiç ilgilendirmiyor.

Buna rağmen Kriptografinin (Şifreleme) kitlesel gözetlemeye karşı en güçlü teknolojik araçlardan biri olduğu konusunda uzmanlar hem fikir. Zira, biraz evvel bahsettiğim kripto’nun arkasından dolaşma saldırısı ölçeklenebilir ve kitlesel bir saldırı değil çoğu zaman. Öte yandan, kripto olmaz ise veya bir şekilde kırılabilse, gözetleme ağ üzerinden çok daha kolay ve kitlesel hale gelebilir durumda olacak. İşte bu sebeple kriptografi konusunda da iki zıt görüş var. Bir görüş, kitlesel gözetlemeyi engellediği veya zorlaştırdığı için yasaklanmasını veya bir şekilde arka kapı konulmasını savunurken, diğer görüş ise şiddetle buna karşı çıkmakta. Sizce hangi görüş doğru?

  • Kitlesel Gözetleme ve İnternet Güvenliği

Bruce Schneier, “Bir sisteme yerleştirilmiş gözetleme yeteneği, o sistemi güvensiz yapar. Şu an sadece doğru insanların gözetleme yapabildiği bir sistem kurmayı bilmiyoruz” derken Çin, Rusya gibi tehditlere karşın vatandaşlarının güvenliği adına kendi devletinin arka kapı koyma girişimleri yerine güvenli, gözetlenemez bir İnternet inşa edilmesine yardım etmesinin daha doğru bir hamle olacağını anlatmaya çalışıyor.

Aynı mantıkla Çin, Rusya gibi global aktörlerin yanına ABD’yi de koyup bu devlerin teknik üstünlüklerini de kullanarak bu konuda günbegün ilerlemesine karşın her ne şekilde olursa olsun kitlesel gözetlemeyi zorlaştıran güvenlik ve mahremiyet teknolojilerine mi kafa yoracağız, yoksa bu gözetleme işini biz de nasıl yaparız’ın peşinde mi koşacağız? Önceliğimiz ne olmalı acaba? 

  • Kitlesel Gözetleme ve Kullanılabilir Güvenlik

Kullanılabilir Güvenlik alanında uzmanlaştığını düşünen bir akademisyen olarak, Glen Greenwald isimli gazetecinin bahsetmiş olduğum kitabını okurken hayret hayret içinde kaldım. Sebebini kısaca açıklayayım:

Kitapta anlatılıyor ki; 1 Aralık 2012 tarihinde Gleen Greenwald “Cincinnatus” takma isimli bir kişiden bir e-posta alır ve olaylar gelişir…

Edward Snowden, bu gazeteciye erişiyor ve elinde çok önemli belgeler olduğunu, bunları paylaşmak istediğini ama bu paylaşmayı ancak PGP denilen bir şifreli e-posta programı ile yapabileceğini belirtiyor ve bu programı bilgisayarına kurmasını rica ediyor.

Billenler bilir, Greenwald gibi teknik yönü olmayan birine PGP gibi bir programı kurdurtmak ve kullandırmak deveye hendek atlatmaktan daha zor olabiliyor. Tahmin edeileceği üzere, Snowden’dan çevrimiçi yardım alsa dahi bu program kurulamıyor ve Snowden bilinen ifşasını bu şekilde gerçekleştiremiyor.

Çok sonra, başka bir kadın gazeteci üzerinden meşhur ifşa ancak gerçekleştirilebiliyor. Bu bilgi, verdiğim siber güvenlik derslerinde güvenliğin kullanılabilir olmasının ne derece önemli olduğuna ilişkin anlattığım ilginç bir anekdot oldu benim için ve olmaya da devam ediyor. Evet, Zoom’un uçtan uca şifrelemeyi desteklemediği şu an gündemde bir sansasyonel haber oldu ve herkes bir şekilde haberdar oldu ama kaçımız şu an teknolojisi uzun yıllardır mevcut ve hazır olsa da kullanılabilir olmadığı için veya başka bir sebeple e-posta mesajlarımızı uçtan uca şifrelemediğimizin ve dolayısıyla güvensiz olduklarının farkında?

  • Kitlesel Gözetlemenin Geleceği

Yine Bruce Schneier’dan bir alıntı ile bitireyim: “Veri, bilgi çağının kirlilik problemidir ve mahremiyeti koruma çevre sorunudur.” Hal böyle olunca, kitlesel gözetleme konusunu uzun yıllar konuşmaya ve tartışmaya devam edeceğiz gibi gözüküyor.

Leave a Comment

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

*
*