Home Assistant Companion for iOS ekibi bir süredir push bildirimlerde uçtan uca şifreleme uygulamaya çalışıyordu, ancak Apple com.apple.developer.usernotifications.filtering [0] yetki talebini birkaç kez reddetti
Bugünkü haber nedeniyle yeniden başvururlarsa alıp alamayacaklarını merak ediyorum
Bu arada iOS’te ayda yaklaşık 35 milyon, Android’de ise yaklaşık 67 milyon push bildirimi gönderiyoruz. Ayrıntılar [1]’de
[0]: https://developer.apple.com/documentation/bundleresources/en...
[1]: https://threadreaderapp.com/thread/1721717002946191480.html
Firefox iOS’te APNS şifrelemesini büyük bir zorluk yaşamadan uyguladık
Anahtarlar ayrı bir yoldan müzakere edildi, mesaj çözme işlemi de gelen bildirimleri önceden işleyebilen Notification extension’da yapıldı. Özel bir yetki gerekmedi; kaynak kodu GitHub.com/mozilla-mobile’da
Bu kullanım senaryosunda neden filtreleme yetkisine ihtiyaç duyulduğunu merak ediyorum
Push bildirimlerin şifresini çözmek mutable-content ve bildirim servisiyle destekleniyor gibi görünüyor; Apple belgelerindeki örnek de gerçekten bu şekilde: https://developer.apple.com/documentation/usernotifications/...
Anladığım kadarıyla bu yetki, şifrelenmiş ve görünmeyen bir bildirim gönderip uygulamada yerel olarak şifresini çözdükten sonra ağdan geçmeyen yerel bir bildirim olarak yeniden gösterebilmek için mi gerekiyor acaba
Yoksa bu davranışın tuhaf biçimde o belirli yetkiye bağlanmış olup olmadığını merak ediyorum
Safça bir soru olabilir ama bildirimden hassas verileri ya da tüm verileri çıkarıp bağlamı ikinci bir API çağrısıyla almak neden mümkün değil, merak ediyorum
Apple’ın yetkileri süzgeçten geçirip kullanımı reddetme biçimi epey çılgınca ve dışarıdan bakınca keyfî görünüyor
Snowden’ın yasa dışı kitlesel gözetim programını ifşa etmesinde de etkisi oldu
Yanlış hatırlamıyorsam Snowden, dönemin Ulusal İstihbarat Direktörü James Clapper’ın Senatör Wyden’ın ülke içi gözetimle ilgili sorusuna Kongre’de yemin altında olmasına rağmen yalan söylemesiyle sınırına gelmişti. Böyle iktidar sahipleri hakkında daha fazla şey duyamamak üzücü
Teknolojiyle ilgili olarak mahremiyet ve anayasal hakları savunan bir senatör haberi çıkıyorsa, onda dokuz Wyden’dır
Senato İstihbarat Komitesi üyesi ve iki partiden de destek alıp gerçekten iş bitirdiğine dair epey kaydı var; yani basit bir oy toplama sinyali de değil. Oregon’da desteği o kadar güçlü ki seçim kaybetmesi fiilen zor. 74 yaşında; emekli olduktan sonra birinin o meşaleyi devralmasını umuyorum. Kaybedilen bir savaş ama yetkin ve saygı gören birinin bizim yerimize savaşması yine de önemli
Oregon’da Bernie Sanders’tan sonra Senato’nun en iyi senatörü gibi biri olduğu için gerçekten şanslıyız
Oregon çok düzgün bir eyalet. Herkes PDX’e sövüyor ama gerçekçi bakarsak burada ABD’deki herhangi bir eyaletten, hatta belki dünyadaki herhangi bir yerden daha fazla özgürlük ve daha az zorbalık var. PDX’in “kötü” olmasının nedeni, polisten hoşlanmadığı için gerçekten de ağzına gem vurmuş dünyadaki az sayıda yerden biri olması; postal korkusu olmadan yaşamak da evsizlik sorununa katlanmaya değer
Esrar içmek mi istiyorsun? Mümkün, dünyadaki en düşük fiyatlarla. Psikedelik madde mi kullanmak istiyorsun? Fiilen yasallaştı. Silah mı atmak istiyorsun? Demokratların ağırlıkta olduğu bir eyalete göre silah yasaları epey gevşek. Gözetlenmek istemiyor musun? Ron Wyden elinden geldiğince engelliyor
Şirketin, “Bu durumda federal hükümet herhangi bir bilgiyi paylaşmamızı yasakladı. Artık bu yöntem kamuoyuna açıklandığına göre, bu tür talepleri ayrıntılı biçimde ele alacak şekilde şeffaflık raporumuzu güncelleyeceğiz” şeklinde bir açıklaması vardı.
CSAM algılayıcısı geliştirirken, “Ya hükümet algılamayı siyasi meme görselleri gibi başka medyalara da genişletmemizi isterse?” sorusuna “Reddederiz” dediklerini hatırlatıyor.
Kamuya açıklama yasağı olduğu gerçeği, reddedeceklerine dair sözü çürütmez.
Sadece hangisinin doğru olduğunu kanıtlamayı zorlaştırır; bu aynı sorun değil.
Zaten yaptıklarını varsaymakta sakınca yok.
Sadece bu gözetimi normalleştiren yasalar yavaş yavaş peşinden geldiği için henüz bize söyleyemiyorlar. Daha fazlasını öğrenmek istiyorsanız, o yasalara oy verin der gibiler.
Gerçekten korkutucu ama şaşırtıcı değil
Snowden neler olduğunu ve işin nereye gittiğini anlatmaya çalışmak için her şeyi riske attı, ama sonunda buraya kadar geldik. Artık hükümetler tarafından böyle muamele görmemenin tek yolu sistemden tamamen fişi çekmek gibi görünüyor; ancak gerçekçi olarak bu, toplumun ezici çoğunluğu için imkânsız. Peki alternatifin ne olduğunu merak ediyorum
Güçlü bir telefonun uygulamalarla ve bitmek bilmeyen bildirimlerle dolu olması olmadan da dolu, eğlenceli ve keyifli bir teknoloji hayatı mümkün değil mi, bundan şüpheliyim
Teknoloji meraklılarının, dünyanın en çok özelliğe sahip casus cihazı dev çok uluslu şirketlerin uçtan uca kontrolü altında insanların ceplerinde yaygınlaştığında, bu durumun ve pek çok bariz dezavantajın en başından kaçınılmaz olduğunu nasıl göremediğine gerçekten şaşıyorum. Hepimiz tamamen buna kanmış gibi görünüyoruz
Telefonda, arkadaşlarınızın ve ailenizin önünde kamusal bir yerde nasıl davranıyorsanız öyle davranmalısınız
Yalnızca bir yabancının öğrenmesinde sakınca görmeyeceğiniz şeyleri mesajla gönderip internette aramalısınız. Bu makalede ortaya çıkan tam da bu sebepler yüzünden yıllardır böyle yaşıyorum
Bilerek savaş suçluları tarafından yönetilmeye son vermeli ve o suçları kovuşturmalıyız
Hükümet üzerindeki kontrolü geri almanın yurttaşlara ait yolları var; bunları kullanma cesaretine ihtiyacımız var. Yani kendi savaş suçlularımızı kovuşturmamız gerekiyor
Sonuçta devlet araçlarıyla kitleleri ezmeye çalışanlar, elleri en çok kana bulanmış suçlular; gerçek güçlerini de halktan alıyorlar ve kaçak suçlulara fiilen karşı koyabilecek kaynaklara da yalnızca halk sahip
Bu tür hak ihlali düzenekleri yalnızca suçlu yönetici elitleri korumak için var
Hükümeti düzene sokmak istiyorsak savaş suçlularını kovuşturmalıyız. Savaş suçları gerçektir, insanlığa karşı suçlar da gerçektir, insan hakları ihlalleri de gerçektir. Gerçek olmayan şey ise, halkın bilerek iliklerine kadar savaş suçluları tarafından yönetildiği gerçeğiyle yüzleşirken yaşayacağı utancı kaldırmaya istekli olması
“Daha kötü insan hakları ihlalleri yapan ülkelerden” ahlaken üstün olduğumuz kurgusunun rahatsızlık veren hissi, bizim adımıza işlenen gerçek insan hakları ihlallerine duyulan öfkeye dönüşmeli. Aksi halde uçuruma doğru kaymaya devam ederiz
En yeni iPhone 27 Max Pro(TM)’dan alabileceğinizden daha az özellikli bir ortamı kabullenmeniz gerekir
Ayrıca telefonu USB bağlantı noktasına takıp tarayıcıda “başka OS kur” düğmesine basacak kadar cesaret de gerekir
Bunu hizmetlere kadar genişletirsek, işin önemli bir kısmı kendi kendine dağıtım yapabilme yeteneğine bağlı. Evdeki bir makineye Linux kurup nasıl kullanılacağını anlatan belgeleri bolca okumak gerekebilir. İnternette yeterince çok dokümantasyon var; lise mezunu düzeyindeki çoğu kişi muhtemelen yapabilir, ama çaresizliği reddedecek kadar motive olmak gerekiyor
Şu anda Pixel 7[|a|Pro] alıp GrapheneOS flash’layabilirsiniz. F-Droid’den pek çok şeyi edinebilirsiniz; gerçekten Google Play Store uygulamalarına ihtiyacınız varsa GrapheneOS bunları oldukça iyi sandbox’lıyor. O Google Play Store kurulumu için ayrı bir Google hesabı oluşturmanız yeterli
Telefonda Google, Microsoft, Apple, Facebook, Twitter/X, LinkedIn gibi yerlere kesinlikle giriş yapmamak iyi olur. Mecbursanız, güvendiğiniz bir tarayıcının gizli veya özel gezinme modunu kullanabilirsiniz
Sık kullandığınız harita uygulaması dışında tüm konum takibini kapatmalısınız. Hareket halindeyken baz istasyonlarının konum bilginizi yakalamasını istemiyorsanız uçak modunda bırakabilirsiniz. GPS alımı yine de çalışır
Ev ağınızın dışındayken WG Tunnel ile kendi sunucunuza bağlanabilirsiniz. Tailscale’i şiddetle önerenler de var, ama o zaman düğüm bilgilerinizi onlara emanet etmeniz gerekir
Syncthing birçok kişi için yedekleme amacıyla iyi çalışıyor
Kişisel haritalar için Organic Maps’i bir ölçüde başarıyla kullanıyorum. Yer araması her zaman basit değil, ama navigasyon özelliği her zaman iyi çalıştı
Gizli iletişim için iki taraf da, yani hem siz hem alıcı, gerekir. Zayıf nokta çoğunlukla alıcının ortamı olacaktır; ama Signal gibi şeyler en azından bir şans verir
E-posta ve takvim için Fastmail gibi bir şey uygun. Muhtemelen kullanıcı profilleri oluşturup reklamcılara satmıyordur. Takvim senkronizasyonu için DAVx5 F-Droid’de ücretsiz
Arama için Kagi iyi çalışıyor. Reklamcılara satılmış olma ihtimali de düşük görünüyor. DuckDuckGo da farklı ödünleşimleri olan bir seçenek
Müzik için minidlnad ile FLAC dosyalarını VLC’ye sunabilirsiniz. minidlnad’ı apt-get ile kurup yapılandırma dosyasını yaklaşık 3 dakika düzenlemem yetti. Bu alanda çok fazla seçenek var
Spotube, FreeOTP, Podverse, Librara FD, Cheogram gibi gizlilik açısından daha iyi olabilecek uygulamaları F-Droid’de arayabilirsiniz. Bu, F-Droid uygulamalarının kusursuz gizlilik sağladığı anlamına gelmez; ama genelde Play Store’un öne çıkardığı birçok şeyden daha iyi olma ihtimalleri yüksek
Yerel kütüphaneden e-kitap ve sesli kitap ödünç alabilirsiniz. Ya da e-kitapları Calibre’nin DeDRM eklentisiyle işleyip Syncthing ile cihaza kopyalayabilirsiniz. Önemli olan, telefonun lisans sunucusuyla temas etmemesini sağlamak
eReceipt’lerin toplanıp tüketici profillerine eklenmesini istemiyorsanız Apple Pay veya Google Pay’den, kredi kartlarından ve sadakat programlarından vazgeçmeniz gerekir
Tüm bunlar kusursuz gizlilik garantisi vermez; ancak hükümetlerin veya şirketlerin mobil cihazlar üzerinden topladığı kişisel bilgi miktarını büyük ölçüde azaltabilir
Google/Apple prangalarından kurtulup F-Droid/LineageOS ya da benzer şekilde özgür ve açık kaynak odaklı bir şey kullanabilirsiniz
Gerçek kullanıcılarla ilişkilendirilebilecek bildirim metaverilerine dair örnekler görmek isterdim
İma edilen şey şöyle görünüyor: Bildirimleri açmış kullanıcılar var, X uygulamasını kurmuşlar, hedef kullanıcı ABD’de ve hedef kullanıcı X uygulamasında “foo”yu takip ediyor diyelim; “foo” kullanıcısıyla ilgili bildirim alan tüm akıllı telefon kullanıcıları için FISA emri çıkarılırsa, bu koşullara uyan tüm Apple/Google hesapları alınabilir, gerçek adres ve adlar elde edilip diğer ayrıntılarla karşılaştırılarak şüpheli havuzu daraltılabilir
Ya da bildirimlerin bir şekilde konum verisi sızdırdığı daha kötü bir durum da olabilir
Tüm bu süreçlerden geçmeye gerek var mı, emin değilim
Hepsini alıp kendiniz saklayıp indeksleseniz olmaz mı? Daha sonra insanların aldıklarına geriye dönük bakıp yeni suçlar belirlemek isteyebilirsiniz
Hükümetin eriştiği alanın dışında toplumun bazı kesimlerinin faaliyet gösterebileceği ve örgütlenebileceği paralel ağlar kurmak ya da mahremiyet ve güvenliği teknik olarak garanti altına almak gerekiyor
Ölçeklemesi zor kısıtlar olduğunu anlıyorum ama imkânsız değil; bugün yinelemeli olarak iyileştirilen çözümler de var. İnsanlar daha önce de iletişim, karşılıklı yardımlaşma ve aileden bağımsız biçimde halka sunulan güvenlik etrafında alternatif toplumları başarıyla inşa etti
Bunlar hükümetler ve şirketler için tehdit oluşturur. Çünkü insanların bu kurumlara bağımlılığını azaltır ve yalnızca parayla kontrol edilmesi zor bir güç yaratır. Bu yüzden tarihsel olarak şiddete başvuruldu. Blair Mountain Muharebesi buna bir örnektir
Teknolojinin; otomasyon, genel amaçlı parçalar ve açık kaynak yoluyla birim maliyetleri ve emek maliyetlerini büyük ölçüde düşürdüğü için potansiyel çözümleri ölçeklenebilir kılmakta benzersiz bir araç olduğunu düşünüyorum
Apple’ın geliştirici belgelerinde de bildirimlerin fiziksel sınır geçişlerinde tetiklenebileceği yazıyor
Örneğin bir uygulama bildirimi “protesto bölgesine” girildiğinde tetikleniyorsa, hükümet orada bulunan herkesi bilebilir
Bildirim iletiminde IP kullanılıyorsa hükümet, bildirimin iletildiği IP adreslerini teslim etmelerini isteyebilir
Buradan konumu çıkarmak zor değil
Açık olmak gerekirse, yakın zamanda FBI’ın Trump hesabı için Twitter’a arama emri uyguladığını ve bunun sonucunda onun tüm Twitter takipçilerine eriştiğini öğrendik: https://www.bbc.com/news/world-us-canada-66365643.amp
Mesh ağlarına ne olduğu aklıma geliyor
Kamusal alanlarda dolaşmak istiyorsanız, yalnızca daha temel işlevleri olan, oldukça anonimleştirilmiş bir cihaz taşıyabilirsiniz. Bu işlevler arasında mesh ağ üzerinden mesaj ve küçük dosya aktarımı da olabilir. Federal kurumlar sızabilir ama bu, bugünkü kadar basit bir iş olmaz. Kullanıcılar cihazlarını da değiştirebilir
Söz konusu cihaz gerçek bir cep telefonu değil de klavyeli, Wi‑Fi özellikli genel amaçlı bir cihazsa IMEI’ye de gerek olmayacaktır
Apple AirDrop temelde buna benziyordu, ancak Çin hükümetinin talebiyle etkisizleştirildi
Hâlâ çalışıyor ama 30 dakikada bir otomatik kapanıyor; bu yüzden örneğin işe gidip gelirken sansürlenmemiş haberlerin insanların telefonlarına otomatik olarak itilmesine izin veren türden bir opt-in mümkün değil. Çünkü her 30 dakikada bir telefona dokunmanız gerekiyor
Teknik olarak çok atlamalı yönlendirmeyi desteklemediği için mesh ağ değil. Yine de eşler arası ve veri bağlantısı gerektirmiyor
Mesh ağları hâlâ var ve IoT için yararlı olduklarından her zamankinden daha hareketliler
Ücretsiz ve ücretli hizmetleri karışık sunan pek çok özel LoRa ağ operatörü var. Amazon, teslimat ağı sayesinde bu alanda zaten büyük bir oyuncu
Apple Airtag cihazlarının nasıl bir mesh ağ iletişimi kullandığını merak ediyorum
Push mesajlarında varsayılan olarak uçtan uca şifreleme olsaydı bazı sorunlar önlenebilirdi
Geliştirme araçlarına yerleşik olsaydı kullanması da özellikle zor olmazdı. Ancak [0] gibi geliştirici önerileri, push mesajlarına içerik koymayı ve isteğe bağlı olarak ayrı bir kütüphaneyle şifrelemeyi öneriyor. Geliştiriciler açıkça bunu yapmadığı için gözetim fırsatı doğuyor
[0] https://android-developers.googleblog.com/2018/09/notifying-...
Yalnızca zamanlama bile bilgi sızdırabilir
Ayrıcalıklı bir ağ konumunuz varsa, hangi kullanıcının bir mesajlaşma servisine mesaj gönderdiğini ve kısa süre sonra hangi kullanıcı kümesinin o mesajlaşma servisinden bildirim aldığını görebilirsiniz. Yeterince tekrarlı gözlemle grup üyeleri hakkında yüksek güven elde edilebilir
Bu tür saldırılardan kaçınmak için sabit hızda bir mesaj akışı göndermek gerekir. Bunların çoğu sahte mesaj, yalnızca arada bir gerçek içerik taşıyan mesaj olmalıdır. Sayı istasyonları gibi bir yöntem. Ayrıca zincirin her noktasının hangi mesajın gerçek olduğunu açığa çıkarmaması gerekir. Gerçek bir bildirim aldığınızda sunucudan şifreli mesajı çekmek, başlı başına veri sızdırmaktır
Uygulama işletmecisi, korelasyonu zorlaştırmak için sabit aralıklarla mesaj gönderebilir. Alıcıdan emin olmak için daha fazla örnek gerekir. Ancak sahte bildirim göndermek, kullanıcıya görünmeyen bildirimlerle ilgili Apple/Google kısıtlarına takılma olasılığı yüksek bir şeydir. Apple’ın bunu yasakladığını biliyorum, Google’ın da öyle olduğunu düşünüyorum
Apple/Google açısından bu tür saldırıları boşa çıkarmaya ilgi duyacaklarını sanmıyorum. Herkesin güç ve kablosuz bant genişliği gereksinimleri epey artar
Haberdeki gibi hedeflenen şey metaveri ise push bildiriminin kendisinin şifrelenmesinin büyük fark yaratıp yaratmayacağından emin değilim
Push bildirimlerini Apple/Google sunucuları üzerinden yönettiğiniz sürece, şifreli olsun olmasın gözetim için yararlı bir miktar metaveri olacak gibi görünüyor
Bunu gerçekten yapan uygulamalar da var
En azından Rocket.Chat’te push’u bu şekilde işleme seçeneği olduğunu biliyorum. Grupların ve toplulukların kullandığı benzer sohbet uygulamalarının da bunu yapmasını umarım
Ancak başkalarının söylediği gibi, bildirimlerin zaman damgası ve hedefi bile zaten çok şey anlatır
Şifreleme yardımcı olmayacaktır. Çünkü asıl mesele eşzamanlı gerçekleşme zamanlamasına bakmak
Örneğin bir kullanıcı bilinen bir serviste etkinlik yaptıktan sonra başka bir kullanıcıya push gitmesi deseni tekrarlanırsa, ikisinin iletişimde olduğuna dair güven oluşturulabilir
Bunun neden gerekli olduğunu anlamıyorum
Sistem operatörü mesajın kime gittiğini bilir. Mahkeme emriyle listelenmiş hedeflere gönderilen mesajları izlemeleri istenirse buna uymak zorundadırlar
Bu durumda metaveri, Apple ve Google’ın “bu gerçek kullanıcının şu gerçek kullanıcıyla şu saatte bağlantı kurduğunu” bulmasına yardımcı olması anlamına geliyor gibi görünüyor
Hükümet, push mesajının gövdesini ya da o gövde nedeniyle iletilen verileri çözebiliyor da olabilir, çözemiyor da olabilir
Glenn Greenwald’un kitabındaki ilginç nokta, metaverinin çoğu zaman asıl veriden daha fazla bilgi verebilmesi
Örneğin Bayan Smith’in resepsiyonistle konuşup gelecek çarşamba 9:30’a muayene randevusu aldığı konuşma içeriğiyle, Bayan Smith’in bir kürtaj kliniğini aradığı gerçeğini karşılaştırırsanız, ikincisi daha büyük bir mahremiyet ihlali gibi görünür. Metaveri gerçek veridir
FCM mesajları uçtan uca şifreli değildir
Bunu uygulama backend’i ile istemcinin doğrudan yapması gerekir
Bu karmaşadan çıkmanın tek yolu yeni yasalar, bunun için de yeni yasa koyucular gerekir
Şirketlerin iyi niyetine bel bağlamak, anlaşılması güç teknolojilere sarılmak ya da “off-grid” yaşamak gibi diğer çözümler insanların kabaca %99’u için aptalca ya da gerçek dışı olduğundan dikkate bile alınmamalı
En umut verici başlangıç noktası muhtemelen eyalet düzeyi olur
Mevcut yasalar da yaratıcı biçimde yorumlanıp ihlal edildiği için, yeni bir yasanın ne kadar anlamlı olacağından pek emin değilim
Vatandaşları gözetlemesini engellemek için devletin yasa yazmasını mı bekliyoruz, diye düşünüyorum
Libertarian Party gizlilik taleplerimize uyabilir, ama o partiye mensup çok az kişi var
Bir liberter olarak Ron Paul’ün, yani emekli ABD senatörü olan Libertarian’ın podcast’ini en az haftada bir kez dinlemeye başladım. Yaşlandığımdan mı bilmiyorum, ama söylediklerinin çoğu bana mantıklı geliyor
Üçüncü bir partiden söz ettiğim için burada azar işitebilirim, ama sorun değil
Makalede daha rahatsız edici olan kısım şu bölüm
“Bu durumda federal hükümet herhangi bir bilginin paylaşılmasını yasakladı. Artık bu yöntem kamuya açık hale geldiğine göre, bu tür talepleri ayrıntılı şekilde ele alacak biçimde şeffaflık raporumuzu güncelleyeceğiz”
Hükümet gözetiminin ana kanallarından biri eksikse şeffaflık raporunun ne anlamı var, bilmiyorum
Bu tür susma emirlerinin kitlesel gözetim için uygulandığında yasal olmaması gerektiğini düşünüyorum. Belirli bir kişinin mahkeme kararıyla gözetlendiğini şirketin o kişiye bildirmesinin engellenmesi kabul edilebilir olabilir. Ama özellikle ABD vatandaşlarının dahil olduğu hedefsiz ya da hedef karşıtı gözetimi bir şirketin açıklamasını engellemek, ifade özgürlüğü açısından anayasaya aykırı olmalı gibi geliyor
Patriot Act’i okumamışsınız gibi görünüyor
Başlığı zaten Orwellvari çift dilliliğin tipik bir örneği
ABD’de ifade özgürlüğüne yönelik anayasaya aykırı bir sınırlama oldukça açık görünüyor
Özellikle Apple’ın tutumunun “artık kamuya açık bilgi oldu, o yüzden şimdi açıkça konuşabiliriz” şeklinde olduğu düşünülürse
Bütün bunların kurgu olduğunu bilen insanların kaç kez uyardığını bilmiyorum
Bu yüzden Apple’ın “Gizliliğinizi çok ciddiye alıyoruz!” sözlerine asla inanmıyorum
Anlamı, hükümet arkadan onlardan bir şey yapmalarını isteyene kadar böyle olduğudur
Yanılmıyorsam bunlara NSL deniyor ve itiraz edildiğinde yasallıkları gizli bir mahkemede, gizli yasalar ve kelimelerin gizli yorumlarıyla inceleniyor
Bana göre tamamı kontrolden çıkmış bir kâbus ve yozlaşmış Kongre umursamıyor
1 yorum
Hacker News yorumları
Home Assistant Companion for iOS ekibi bir süredir push bildirimlerde uçtan uca şifreleme uygulamaya çalışıyordu, ancak Apple
com.apple.developer.usernotifications.filtering[0] yetki talebini birkaç kez reddettiBugünkü haber nedeniyle yeniden başvururlarsa alıp alamayacaklarını merak ediyorum
Bu arada iOS’te ayda yaklaşık 35 milyon, Android’de ise yaklaşık 67 milyon push bildirimi gönderiyoruz. Ayrıntılar [1]’de
[0]: https://developer.apple.com/documentation/bundleresources/en...
[1]: https://threadreaderapp.com/thread/1721717002946191480.html
Anahtarlar ayrı bir yoldan müzakere edildi, mesaj çözme işlemi de gelen bildirimleri önceden işleyebilen Notification extension’da yapıldı. Özel bir yetki gerekmedi; kaynak kodu GitHub.com/mozilla-mobile’da
Push bildirimlerin şifresini çözmek
mutable-contentve bildirim servisiyle destekleniyor gibi görünüyor; Apple belgelerindeki örnek de gerçekten bu şekilde: https://developer.apple.com/documentation/usernotifications/...Yoksa bu davranışın tuhaf biçimde o belirli yetkiye bağlanmış olup olmadığını merak ediyorum
Ron Wyden uzun zamandır bu konunun peşini bırakmadan gidiyordu
https://www.wyden.senate.gov/issues/secret-law
https://www.wyden.senate.gov/news/press-releases/wyden-colle...
https://www.wyden.senate.gov/news/press-releases/wyden-intro...
https://www.wyden.senate.gov/priorities/gps-act
https://www.wyden.senate.gov/news/press-releases/wyden-relea...
Yanlış hatırlamıyorsam Snowden, dönemin Ulusal İstihbarat Direktörü James Clapper’ın Senatör Wyden’ın ülke içi gözetimle ilgili sorusuna Kongre’de yemin altında olmasına rağmen yalan söylemesiyle sınırına gelmişti. Böyle iktidar sahipleri hakkında daha fazla şey duyamamak üzücü
Senato İstihbarat Komitesi üyesi ve iki partiden de destek alıp gerçekten iş bitirdiğine dair epey kaydı var; yani basit bir oy toplama sinyali de değil. Oregon’da desteği o kadar güçlü ki seçim kaybetmesi fiilen zor. 74 yaşında; emekli olduktan sonra birinin o meşaleyi devralmasını umuyorum. Kaybedilen bir savaş ama yetkin ve saygı gören birinin bizim yerimize savaşması yine de önemli
Oregon çok düzgün bir eyalet. Herkes PDX’e sövüyor ama gerçekçi bakarsak burada ABD’deki herhangi bir eyaletten, hatta belki dünyadaki herhangi bir yerden daha fazla özgürlük ve daha az zorbalık var. PDX’in “kötü” olmasının nedeni, polisten hoşlanmadığı için gerçekten de ağzına gem vurmuş dünyadaki az sayıda yerden biri olması; postal korkusu olmadan yaşamak da evsizlik sorununa katlanmaya değer
Esrar içmek mi istiyorsun? Mümkün, dünyadaki en düşük fiyatlarla. Psikedelik madde mi kullanmak istiyorsun? Fiilen yasallaştı. Silah mı atmak istiyorsun? Demokratların ağırlıkta olduğu bir eyalete göre silah yasaları epey gevşek. Gözetlenmek istemiyor musun? Ron Wyden elinden geldiğince engelliyor
Şirketin, “Bu durumda federal hükümet herhangi bir bilgiyi paylaşmamızı yasakladı. Artık bu yöntem kamuoyuna açıklandığına göre, bu tür talepleri ayrıntılı biçimde ele alacak şekilde şeffaflık raporumuzu güncelleyeceğiz” şeklinde bir açıklaması vardı.
CSAM algılayıcısı geliştirirken, “Ya hükümet algılamayı siyasi meme görselleri gibi başka medyalara da genişletmemizi isterse?” sorusuna “Reddederiz” dediklerini hatırlatıyor.
Sadece hangisinin doğru olduğunu kanıtlamayı zorlaştırır; bu aynı sorun değil.
Artık Yahoo phone da o kadar kötü bir şaka gibi gelmiyor: https://www.slashgear.com/wp-content/uploads/2010/05/nokia_y...
Sadece bu gözetimi normalleştiren yasalar yavaş yavaş peşinden geldiği için henüz bize söyleyemiyorlar. Daha fazlasını öğrenmek istiyorsanız, o yasalara oy verin der gibiler.
Gerçekten korkutucu ama şaşırtıcı değil
Snowden neler olduğunu ve işin nereye gittiğini anlatmaya çalışmak için her şeyi riske attı, ama sonunda buraya kadar geldik. Artık hükümetler tarafından böyle muamele görmemenin tek yolu sistemden tamamen fişi çekmek gibi görünüyor; ancak gerçekçi olarak bu, toplumun ezici çoğunluğu için imkânsız. Peki alternatifin ne olduğunu merak ediyorum
Teknoloji meraklılarının, dünyanın en çok özelliğe sahip casus cihazı dev çok uluslu şirketlerin uçtan uca kontrolü altında insanların ceplerinde yaygınlaştığında, bu durumun ve pek çok bariz dezavantajın en başından kaçınılmaz olduğunu nasıl göremediğine gerçekten şaşıyorum. Hepimiz tamamen buna kanmış gibi görünüyoruz
Yalnızca bir yabancının öğrenmesinde sakınca görmeyeceğiniz şeyleri mesajla gönderip internette aramalısınız. Bu makalede ortaya çıkan tam da bu sebepler yüzünden yıllardır böyle yaşıyorum
Hükümet üzerindeki kontrolü geri almanın yurttaşlara ait yolları var; bunları kullanma cesaretine ihtiyacımız var. Yani kendi savaş suçlularımızı kovuşturmamız gerekiyor
Sonuçta devlet araçlarıyla kitleleri ezmeye çalışanlar, elleri en çok kana bulanmış suçlular; gerçek güçlerini de halktan alıyorlar ve kaçak suçlulara fiilen karşı koyabilecek kaynaklara da yalnızca halk sahip
Bu tür hak ihlali düzenekleri yalnızca suçlu yönetici elitleri korumak için var
Hükümeti düzene sokmak istiyorsak savaş suçlularını kovuşturmalıyız. Savaş suçları gerçektir, insanlığa karşı suçlar da gerçektir, insan hakları ihlalleri de gerçektir. Gerçek olmayan şey ise, halkın bilerek iliklerine kadar savaş suçluları tarafından yönetildiği gerçeğiyle yüzleşirken yaşayacağı utancı kaldırmaya istekli olması
“Daha kötü insan hakları ihlalleri yapan ülkelerden” ahlaken üstün olduğumuz kurgusunun rahatsızlık veren hissi, bizim adımıza işlenen gerçek insan hakları ihlallerine duyulan öfkeye dönüşmeli. Aksi halde uçuruma doğru kaymaya devam ederiz
Ayrıca telefonu USB bağlantı noktasına takıp tarayıcıda “başka OS kur” düğmesine basacak kadar cesaret de gerekir
Bunu hizmetlere kadar genişletirsek, işin önemli bir kısmı kendi kendine dağıtım yapabilme yeteneğine bağlı. Evdeki bir makineye Linux kurup nasıl kullanılacağını anlatan belgeleri bolca okumak gerekebilir. İnternette yeterince çok dokümantasyon var; lise mezunu düzeyindeki çoğu kişi muhtemelen yapabilir, ama çaresizliği reddedecek kadar motive olmak gerekiyor
Şu anda Pixel 7[|a|Pro] alıp GrapheneOS flash’layabilirsiniz. F-Droid’den pek çok şeyi edinebilirsiniz; gerçekten Google Play Store uygulamalarına ihtiyacınız varsa GrapheneOS bunları oldukça iyi sandbox’lıyor. O Google Play Store kurulumu için ayrı bir Google hesabı oluşturmanız yeterli
Telefonda Google, Microsoft, Apple, Facebook, Twitter/X, LinkedIn gibi yerlere kesinlikle giriş yapmamak iyi olur. Mecbursanız, güvendiğiniz bir tarayıcının gizli veya özel gezinme modunu kullanabilirsiniz
Sık kullandığınız harita uygulaması dışında tüm konum takibini kapatmalısınız. Hareket halindeyken baz istasyonlarının konum bilginizi yakalamasını istemiyorsanız uçak modunda bırakabilirsiniz. GPS alımı yine de çalışır
Ev ağınızın dışındayken WG Tunnel ile kendi sunucunuza bağlanabilirsiniz. Tailscale’i şiddetle önerenler de var, ama o zaman düğüm bilgilerinizi onlara emanet etmeniz gerekir
Syncthing birçok kişi için yedekleme amacıyla iyi çalışıyor
Kişisel haritalar için Organic Maps’i bir ölçüde başarıyla kullanıyorum. Yer araması her zaman basit değil, ama navigasyon özelliği her zaman iyi çalıştı
Gizli iletişim için iki taraf da, yani hem siz hem alıcı, gerekir. Zayıf nokta çoğunlukla alıcının ortamı olacaktır; ama Signal gibi şeyler en azından bir şans verir
E-posta ve takvim için Fastmail gibi bir şey uygun. Muhtemelen kullanıcı profilleri oluşturup reklamcılara satmıyordur. Takvim senkronizasyonu için DAVx5 F-Droid’de ücretsiz
Arama için Kagi iyi çalışıyor. Reklamcılara satılmış olma ihtimali de düşük görünüyor. DuckDuckGo da farklı ödünleşimleri olan bir seçenek
Müzik için minidlnad ile FLAC dosyalarını VLC’ye sunabilirsiniz. minidlnad’ı
apt-getile kurup yapılandırma dosyasını yaklaşık 3 dakika düzenlemem yetti. Bu alanda çok fazla seçenek varSpotube, FreeOTP, Podverse, Librara FD, Cheogram gibi gizlilik açısından daha iyi olabilecek uygulamaları F-Droid’de arayabilirsiniz. Bu, F-Droid uygulamalarının kusursuz gizlilik sağladığı anlamına gelmez; ama genelde Play Store’un öne çıkardığı birçok şeyden daha iyi olma ihtimalleri yüksek
Yerel kütüphaneden e-kitap ve sesli kitap ödünç alabilirsiniz. Ya da e-kitapları Calibre’nin DeDRM eklentisiyle işleyip Syncthing ile cihaza kopyalayabilirsiniz. Önemli olan, telefonun lisans sunucusuyla temas etmemesini sağlamak
eReceipt’lerin toplanıp tüketici profillerine eklenmesini istemiyorsanız Apple Pay veya Google Pay’den, kredi kartlarından ve sadakat programlarından vazgeçmeniz gerekir
Tüm bunlar kusursuz gizlilik garantisi vermez; ancak hükümetlerin veya şirketlerin mobil cihazlar üzerinden topladığı kişisel bilgi miktarını büyük ölçüde azaltabilir
Gerçek kullanıcılarla ilişkilendirilebilecek bildirim metaverilerine dair örnekler görmek isterdim
İma edilen şey şöyle görünüyor: Bildirimleri açmış kullanıcılar var, X uygulamasını kurmuşlar, hedef kullanıcı ABD’de ve hedef kullanıcı X uygulamasında “foo”yu takip ediyor diyelim; “foo” kullanıcısıyla ilgili bildirim alan tüm akıllı telefon kullanıcıları için FISA emri çıkarılırsa, bu koşullara uyan tüm Apple/Google hesapları alınabilir, gerçek adres ve adlar elde edilip diğer ayrıntılarla karşılaştırılarak şüpheli havuzu daraltılabilir
Ya da bildirimlerin bir şekilde konum verisi sızdırdığı daha kötü bir durum da olabilir
Hepsini alıp kendiniz saklayıp indeksleseniz olmaz mı? Daha sonra insanların aldıklarına geriye dönük bakıp yeni suçlar belirlemek isteyebilirsiniz
Ölçeklemesi zor kısıtlar olduğunu anlıyorum ama imkânsız değil; bugün yinelemeli olarak iyileştirilen çözümler de var. İnsanlar daha önce de iletişim, karşılıklı yardımlaşma ve aileden bağımsız biçimde halka sunulan güvenlik etrafında alternatif toplumları başarıyla inşa etti
Bunlar hükümetler ve şirketler için tehdit oluşturur. Çünkü insanların bu kurumlara bağımlılığını azaltır ve yalnızca parayla kontrol edilmesi zor bir güç yaratır. Bu yüzden tarihsel olarak şiddete başvuruldu. Blair Mountain Muharebesi buna bir örnektir
Teknolojinin; otomasyon, genel amaçlı parçalar ve açık kaynak yoluyla birim maliyetleri ve emek maliyetlerini büyük ölçüde düşürdüğü için potansiyel çözümleri ölçeklenebilir kılmakta benzersiz bir araç olduğunu düşünüyorum
Örneğin bir uygulama bildirimi “protesto bölgesine” girildiğinde tetikleniyorsa, hükümet orada bulunan herkesi bilebilir
Buradan konumu çıkarmak zor değil
Mesh ağlarına ne olduğu aklıma geliyor
Kamusal alanlarda dolaşmak istiyorsanız, yalnızca daha temel işlevleri olan, oldukça anonimleştirilmiş bir cihaz taşıyabilirsiniz. Bu işlevler arasında mesh ağ üzerinden mesaj ve küçük dosya aktarımı da olabilir. Federal kurumlar sızabilir ama bu, bugünkü kadar basit bir iş olmaz. Kullanıcılar cihazlarını da değiştirebilir
Söz konusu cihaz gerçek bir cep telefonu değil de klavyeli, Wi‑Fi özellikli genel amaçlı bir cihazsa IMEI’ye de gerek olmayacaktır
Hâlâ çalışıyor ama 30 dakikada bir otomatik kapanıyor; bu yüzden örneğin işe gidip gelirken sansürlenmemiş haberlerin insanların telefonlarına otomatik olarak itilmesine izin veren türden bir opt-in mümkün değil. Çünkü her 30 dakikada bir telefona dokunmanız gerekiyor
Teknik olarak çok atlamalı yönlendirmeyi desteklemediği için mesh ağ değil. Yine de eşler arası ve veri bağlantısı gerektirmiyor
Ücretsiz ve ücretli hizmetleri karışık sunan pek çok özel LoRa ağ operatörü var. Amazon, teslimat ağı sayesinde bu alanda zaten büyük bir oyuncu
Push mesajlarında varsayılan olarak uçtan uca şifreleme olsaydı bazı sorunlar önlenebilirdi
Geliştirme araçlarına yerleşik olsaydı kullanması da özellikle zor olmazdı. Ancak [0] gibi geliştirici önerileri, push mesajlarına içerik koymayı ve isteğe bağlı olarak ayrı bir kütüphaneyle şifrelemeyi öneriyor. Geliştiriciler açıkça bunu yapmadığı için gözetim fırsatı doğuyor
[0] https://android-developers.googleblog.com/2018/09/notifying-...
Ayrıcalıklı bir ağ konumunuz varsa, hangi kullanıcının bir mesajlaşma servisine mesaj gönderdiğini ve kısa süre sonra hangi kullanıcı kümesinin o mesajlaşma servisinden bildirim aldığını görebilirsiniz. Yeterince tekrarlı gözlemle grup üyeleri hakkında yüksek güven elde edilebilir
Bu tür saldırılardan kaçınmak için sabit hızda bir mesaj akışı göndermek gerekir. Bunların çoğu sahte mesaj, yalnızca arada bir gerçek içerik taşıyan mesaj olmalıdır. Sayı istasyonları gibi bir yöntem. Ayrıca zincirin her noktasının hangi mesajın gerçek olduğunu açığa çıkarmaması gerekir. Gerçek bir bildirim aldığınızda sunucudan şifreli mesajı çekmek, başlı başına veri sızdırmaktır
Uygulama işletmecisi, korelasyonu zorlaştırmak için sabit aralıklarla mesaj gönderebilir. Alıcıdan emin olmak için daha fazla örnek gerekir. Ancak sahte bildirim göndermek, kullanıcıya görünmeyen bildirimlerle ilgili Apple/Google kısıtlarına takılma olasılığı yüksek bir şeydir. Apple’ın bunu yasakladığını biliyorum, Google’ın da öyle olduğunu düşünüyorum
Apple/Google açısından bu tür saldırıları boşa çıkarmaya ilgi duyacaklarını sanmıyorum. Herkesin güç ve kablosuz bant genişliği gereksinimleri epey artar
Push bildirimlerini Apple/Google sunucuları üzerinden yönettiğiniz sürece, şifreli olsun olmasın gözetim için yararlı bir miktar metaveri olacak gibi görünüyor
En azından Rocket.Chat’te push’u bu şekilde işleme seçeneği olduğunu biliyorum. Grupların ve toplulukların kullandığı benzer sohbet uygulamalarının da bunu yapmasını umarım
Ancak başkalarının söylediği gibi, bildirimlerin zaman damgası ve hedefi bile zaten çok şey anlatır
Örneğin bir kullanıcı bilinen bir serviste etkinlik yaptıktan sonra başka bir kullanıcıya push gitmesi deseni tekrarlanırsa, ikisinin iletişimde olduğuna dair güven oluşturulabilir
Sistem operatörü mesajın kime gittiğini bilir. Mahkeme emriyle listelenmiş hedeflere gönderilen mesajları izlemeleri istenirse buna uymak zorundadırlar
Bu durumda metaveri, Apple ve Google’ın “bu gerçek kullanıcının şu gerçek kullanıcıyla şu saatte bağlantı kurduğunu” bulmasına yardımcı olması anlamına geliyor gibi görünüyor
Hükümet, push mesajının gövdesini ya da o gövde nedeniyle iletilen verileri çözebiliyor da olabilir, çözemiyor da olabilir
Örneğin Bayan Smith’in resepsiyonistle konuşup gelecek çarşamba 9:30’a muayene randevusu aldığı konuşma içeriğiyle, Bayan Smith’in bir kürtaj kliniğini aradığı gerçeğini karşılaştırırsanız, ikincisi daha büyük bir mahremiyet ihlali gibi görünür. Metaveri gerçek veridir
[0]: https://www.nybooks.com/online/2014/05/10/we-kill-people-bas...
Bunu uygulama backend’i ile istemcinin doğrudan yapması gerekir
Bu karmaşadan çıkmanın tek yolu yeni yasalar, bunun için de yeni yasa koyucular gerekir
Şirketlerin iyi niyetine bel bağlamak, anlaşılması güç teknolojilere sarılmak ya da “off-grid” yaşamak gibi diğer çözümler insanların kabaca %99’u için aptalca ya da gerçek dışı olduğundan dikkate bile alınmamalı
En umut verici başlangıç noktası muhtemelen eyalet düzeyi olur
Bir liberter olarak Ron Paul’ün, yani emekli ABD senatörü olan Libertarian’ın podcast’ini en az haftada bir kez dinlemeye başladım. Yaşlandığımdan mı bilmiyorum, ama söylediklerinin çoğu bana mantıklı geliyor
Üçüncü bir partiden söz ettiğim için burada azar işitebilirim, ama sorun değil
Makalede daha rahatsız edici olan kısım şu bölüm
“Bu durumda federal hükümet herhangi bir bilginin paylaşılmasını yasakladı. Artık bu yöntem kamuya açık hale geldiğine göre, bu tür talepleri ayrıntılı şekilde ele alacak biçimde şeffaflık raporumuzu güncelleyeceğiz”
Hükümet gözetiminin ana kanallarından biri eksikse şeffaflık raporunun ne anlamı var, bilmiyorum
Bu tür susma emirlerinin kitlesel gözetim için uygulandığında yasal olmaması gerektiğini düşünüyorum. Belirli bir kişinin mahkeme kararıyla gözetlendiğini şirketin o kişiye bildirmesinin engellenmesi kabul edilebilir olabilir. Ama özellikle ABD vatandaşlarının dahil olduğu hedefsiz ya da hedef karşıtı gözetimi bir şirketin açıklamasını engellemek, ifade özgürlüğü açısından anayasaya aykırı olmalı gibi geliyor
Başlığı zaten Orwellvari çift dilliliğin tipik bir örneği
Özellikle Apple’ın tutumunun “artık kamuya açık bilgi oldu, o yüzden şimdi açıkça konuşabiliriz” şeklinde olduğu düşünülürse
Anlamı, hükümet arkadan onlardan bir şey yapmalarını isteyene kadar böyle olduğudur
Bana göre tamamı kontrolden çıkmış bir kâbus ve yozlaşmış Kongre umursamıyor