İnternet Ayak İzi ve Metadata Nedir?

Bir objeye temas ettiğinizde parmak izi bırakırsınız, evinizde en temiz sandığınız yerlerde bile sizin ve o evde yaşayan herkesin genetik kalıntılarına rastlamak zor değildir. Yani gerçek hayatta varoluşunuzla ister istemez bir iz bırakırsınız. İnternette de aynı şekilde. Gündem olan Whatsapp uygulaması da istisna değil. Bu bencede bu konuya değinmek istedim.

İnternet Ayak İzi ve Veri İşleme

Gizlilik sözleşmelerini, son kullanıcı lisans sözleşmelerini (EULA) ve Hizmet şartları sözleşmelerini pek çoğumuz okumaz. Yandex servisleri, Google servisleri, Facebook şirket grupları, bilgisayar oyunu yapan firmalar (EA Games, Ubisoft, Bethesda Softworks, Valve, Activision Blizzard vb) en çok muhatap olduğumuz firmalar ve bunların hiçbir sözleşmesini okumadan kabul ediyoruz. Nelere izin verdiğinizi okuyun.

Kısaca EULA, Gizlilik Sözleşmesi ve Hizmet Şartları

EULA (End User License Agreement), "Son Kullanıcı Lisans Sözleşmesi"dir ve yazılımı yüklemek için EULA'yı kabul etmek zorundasınızdır. Yazılımı yükledikten sonra olacakları ve olabilecekleri kapsar.

Hizmet Şartlarını onayladığınız bir durum söz konusuyla alacağınız hizmet kısmen veya tamamen çevrimiçi bir hizmettir. Bu sözleşmede hangi durumlarda size hizmet sunulacağı, hangi durumlarda hizmetten men edileceğiniz, güvenliğiniz için alınan önlemler ve güvenliğiniz için üzerinize düşen şeyler, hizmetlerin hangi durumlarda aksayacağı veya çevrimiçi hizmetin herkes için kapanabileceği gibi şeyler yazar. Eğer bu şartları ihlal ederseniz ya aldığınız hizmet kısıtlanır, ya verilerinizin bir kısmı kaldırılır ya da hizmetten tamamen men edilirsiniz (hesabınızın kapanması ve aboneliğinizin iptal edilmesi gibi).

Geldik bu bencenin ana konusuna. Gizlilik sözleşmeleri verilerinizin hangi durumlarda 3. parti yazılımlarla veya 3. şahıslarla paylaşılacağını, verilerinizin firma tarafından nasıl kullanılacağını, sizden hangi verilerin neden toplanacağını içeren bir anlaşmadır. Bu çevrimdışı hizmetlerde de sunulabilir. Çevrimdışı çalışan programlar siz çevrimiçi olduğunuz zamanda da sizden veri toplayabilir. Peki bu veri nedir?

Veri (Data) ve Öteveri (Metadata)

Bencenin başında belirttiğim gibi evinizde genetik materyallerinize rastlamak çok olasıdır. Evi temizleseniz bile... Aynı şekilde misafirliğe gittiğinizde yine genetik materyal bırakırsınız. Cilt yağınız, saç teliniz, saç kepeğiniz gibi; bu şekilde adli bilimciler de pek çok olayı çözer. Çünkü temas her zaman iz bırakır. Çevrimiçi ortamda da bu aynı şekilde işler. Veri işleme derken bu bıraktığınız izler işlenir ve algoritmadan geçirilir. Önce veri türlerine bakalım.

• Data

Üstteki resmi telefonunuzla siz çektiniz ve sosyal medyadan arkadaşınıza attınız. Bu resim size ait bir veridir. Resim düzenleme programlarıyla (Photoshop, Picsart vb) bu veriye istediğiniz şekilde başka 3. parti yazılımlar olmadan müdahale ederek istediğiniz şekle sokabilirsiniz. Aynı şekilde enstrüman çalarken sesinizi kayda almanız, video çekmeniz de kendinize ait çeşitli verilerin oluşmasına örnek olarak verilebilir.

• Metadata

İşte işin renginin değiştiği noktaya geldik. Yine üstteki resim örneğinden gidelim. Resim sizin verinizdir. Peki siz o resmi çektikten sonra her şey bitiyor mu? Hayır. Resim + Müzik + Video bunlar Multimedia yani Çokluortam oluşturur. Çoklu ortam oluşturduğunuz zaman (ses kaydı almak, video çekmek vb) kullandığınız cihaz veya yazılım o veriye imza atar. İmza kullanıcı tarafından değiştirelemez. Bu imzada verinin hangi cihaz tarafından nerede, ne zaman üretildiği, kullanılan montaj programı gibi bilgiler yer alır. İşte bunlar öteveridir.

Veri İşleme ve Algoritmalar

Veri işleme derken sadece verileriniz değil, verileriniz ve öteverileriniz ele alınır. Whatsapp mesajlarınızın şifrelenmesi verilerinizin gizliliğini sağlar ama öteverilerinizi korumaz. Öteverileriniz (Kimlerle ne kadar süre konuştuğunuz, günün hangi saatlerinde uygulamayı çalıştırdığınız, kullandığınız diğer uygulamalar, cep telefonunuzun donanım ve batarya bilgileri, şarj durumu, cep telefonunuzun modeli ve işletim sistemi sürümü, mesajlaşma aktiviteniz) işlenir. Bunlar size ait kişisel veri içermeyebilir. Ailevi sırlarınız verilerinizde bulunur, öteverilerinizde bulunmaz. Ama sizin hakkınızda pek çok ipucu barındırır.

Siber Güvenlik, Saldırı ve Toplum Mühendisliği

"Kim neden bana siber saldırı düzenlesin?" veya "Koskoca firmaya kim ne yapabilir?" gibi düşüncelere sahip olabilirsiniz. Eğer büyük bir firmanız yoksa ve/veya zengin bir işadamı değilseniz siber saldırıya uğrama ihtimaliniz çok düşük. Hatta neredeyse yok. Bir bilgisayar korsanı size saldırmak istemeyecektir. Bu konuda hemfikiriz (İnternetten truva atı indirerek ego tatmin etmeye çalışan script veletlerini bilgisayar korsanı olarak ele almıyoruz. Antivirüs yükleyin onlara karşı). Asıl odaklanmamız gereken soru: Koskoca firmaya kim ne yapabilir?

Google ve Yandex benzer hizmetleri sunan arama motorlarıdır. İkisi de GPS (Google Maps ve Yandex Maps) , Cloud (Google Drive ve Yandex Disk), arama motoru, tarayıcı (Google Chrome, Yandex Web Browser) gibi hizmetler sunar. Bunların büyük bir firma olduğu su götürmez bir gerçek. Bu firmalara saldırmak ve saldırıda başarılı olmak çok fantastik geliyor. Ama bir firma ne kadar büyük olursa olsun o firmayı yönetenler insanlar ve insan güvenlik zincirinin en zayıf halkasıdır ve tüm zincirler en zayıf halkası kadar güçlü olabilir.

Siber saldırı dendiğinde aklınıza sadece truva atları, arkakapılar, tuş kaydediciler ve casus yazılımlar gelmesin. Burada toplum mühendisliğini de göz önünde bulundurun. Toplum mühendisliği toplumdaki hiyerarşiyi kullanarak insanların güvenmeye eğilimini suistimal ederek firma yetkililerinin üst düzey yetkiliye bilgi verdiğini sanarak bilgisayar korsanına bizzat bilgi vermesi gibi korkunç şeyleri barındıran bir siber saldırı yöntemidir. Google çok güvenli bir sistem, verilerinizi korkunç bir şekilde işlese de bu verileri çok iyi korur. Ama yakın geçmişte Google Fotoğraflar'da meydana gelen bir hatadan dolayı verilerde karışıklık oldu ve bazı kullanıcıların resimleri başka kişilerin galerisinde belirdi. Bu bir hatadan meydana gelmiş olsa da durumu masum kılmıyor.

Bir şirkete ne kadar çok güvenirseniz güvenin, verilerinizin sanal ortamda işlenip depolanması ile o bilgiler her zaman risk altında. Bilişimde %100 güvenlilik ve güvenilirlik diye bir şey yoktur.

Son olarak Unutulma Hakkı

İşlenen verileriniz ne amaçla olursa olsun bir süre sonra silinmek zorundadır. Hiçbir firma limit süreyi aşacak şekilde verilerinizi işlemeden olsa bile depolayamaz. Siz hizmeti kullanmaya devam etseniz bile eski verilerinizin silinmemesi bir bilişim suçudur ve tazminat davası açma hakkınız saklıdır. Bazı yöntemlerle unutulup unutulmadığınızı test edebiliyorsunuz. Mesela size sunulan reklamlar hala veri çıktılarınızla örtüşüyorsa henüz unutulma süresine erişmemişsinizdir. Hukukçular bu konuda daha bilgilidir. Eğer unutulma hakkınız zaman aşımına uğramışsa ve verilerinizin işlenmeye devam ettiğini fark etmişseniz sorgulamaya devam edin.