Aktivistler için Infosec 101 Rehberi

 (infosecforactivists.org)
2 puan yazan GN⁺ 2025-02-06 | 1 yorum | WhatsApp'ta paylaş

Giriş

  • ABD, köle isyanları ve yerli ayaklanmaları gibi hareketlerle başlayan güçlü bir aktivizm geleneğine sahiptir.
  • Bugün de ABD'deki aktivizm hâlâ önemlidir ve sokak protestoları farkındalığı artırmak ve kurumsal değişimi teşvik etmek için önemli bir araçtır.
  • Ancak mevcut güç yapılarına meydan okumak riskler barındırır ve görünür olmak tacize, gözaltına veya kişisel bilgilerin ifşa edilmesine yol açabilir.
  • Bu belge, aktivistlerin karşılaştığı dijital güvenlik ve bilgi güvenliği konularına odaklanmaktadır.

Kullanılması gereken araçlar

  • BitWarden: parola yöneticisi, ücretsiz, ek özellikler $1/ay
  • DuckDuckGo: web arama, ücretsiz
  • DuckDuckGo Maps: harita ve yol tarifi, ücretsiz
  • Firefox: web'de gezinme, ücretsiz
  • Jitsi: çevrimiçi toplantı, ücretsiz
  • ProtonMail: e-posta, ücretsiz, ek özellikler $5/ay
  • ProtonVPN: VPN, ücretsiz, ek özellikler $5/ay veya $10/ay
  • Signal: mesajlaşma, ücretsiz

Kullanılmaması gereken araçlar

  • Google Maps: kullanıcının konumunu izler ve verileri kalıcı olarak saklar.
  • Telegram: güvenlik sorunları vardır ve grup mesajları için şifreleme uygulanmaz.
  • WhatsApp: benzer güvenlik sorunları nedeniyle önerilmez.

Bilinmesi gerekenler

  • Cep telefonları, izleme ve kimlik tespiti bilgileri için bir altın madenidir.
  • Mesajlar, telefon görüşmeleri vb. polis tarafından kaydedilebilir.
  • En güncel işletim sistemine güncelleyin; yazılım güncellemesi almıyorsa telefonu yanınıza almamak daha iyidir.

Eyleme katılmak

Eylemden önce

  • Facebook'ta "katılacağım" olarak işaretlemeyin.
  • Ayrıntıları kişisel cihazınızda veya kağıt üzerinde saklayın.
  • İnternette arama yaparken DuckDuckGo ve gizli tarama oturumları kullanın.
  • Cihazınızı en güncel OS sürümüne güncelleyin.
  • Bir Signal hesabı kurun; kayıt olmak için Google Voice ile yeni bir telefon numarası oluşturabilirsiniz.

Eylem sırasında

  • Bir protesto partneriyle birlikte hareket edin.
  • Yol tarifi için Apple Maps veya DuckDuckGo Maps kullanın.

Eylemden sonra

  • Protesto için kurulmuş Signal grubundan çıkın ve grubu silin.
  • Protesto fotoğraflarını sosyal medyada paylaşmayın.

Cep telefonunu hazırlamak

Dijital izler

  • GPS alıcısını kapatın; Bluetooth, WiFi ve ultra geniş bant (UWB) radyolarını devre dışı bırakın.
  • Mobil operatörler telefonun konumunu takip edebilir ve polis bunu kullanabilir.
  • Tüm radyoları devre dışı bırakmak için uçak modunu etkinleştirin.

İhlale karşı koruma

  • Bir kilit ekranı ayarlayın ve biyometrik kilidi devre dışı bırakın.
  • Verileri korumak için tam disk şifrelemesi kullanın.

Güvenlik fikirleri

Şifreli mesajlaşma

  • Özel iletişimi şifrelemek için uçtan uca şifreleme (E2EE) kullanın.

Çevrimiçi toplantılar

  • Jitsi kullanarak toplantı içeriğini kaydetmeyin veya saklamayın.

Parola güvenliği

  • İki faktörlü kimlik doğrulamayı (2FA) etkinleştirin, uzun parolalar kullanın ve bir parola yöneticisi kullanın.

Diğer ipuçları

  • Aktivizm faaliyetlerine katılımınızı kiminle güvenle paylaşabileceğinizi dikkatle düşünün.
  • Protestoyla ilgili konuşmalarda e-posta kullanmayın.
  • Hakkınızda hangi bilgilerin çıktığını görmek için adınızı Google'da aratın.
  • Protestoda check-in yapmayın.
  • Fotoğrafları sosyal medyada paylaşmayın.

İlgili okumalar

1 yorum

 
GN⁺ 2025-02-06
Hacker News görüşü

  • Proton'un siyasi konulara karışmış olması nedeniyle onu önermekte tereddüt edildiği, Mullvad'ın ise böyle hataları olmadığı belirtiliyor

    • İlgili kaynaklar olarak EFF'nin "Activist or Protester?" ve Privacy Guides'ın "The Protester's Guide to Smartphone Security" içerikleri öneriliyor
    • Tehdit modelinin belirlenmesi ve mevcut ortamda bu önlemlerin yeterli olmadığının farkında olunması gerektiği söyleniyor
    • Bazı önlemlerin dikkat çekebileceği konusunda uyarılıyor

  • Makalede güvenilir bir arkadaşla birlikte protestoya katılma gerekliliğinin vurgulandığı, ancak böyle bir arkadaşın nasıl bulunup sürdürüleceğine dair açıklamanın yetersiz olduğu belirtiliyor

    • Firefox'un Chrome'a göre daha aktivist ve gizlilik dostu olduğu yönünde bir algı bulunduğu, ancak Chrome'un daha gelişmiş ve daha iyi test edilmiş çalışma zamanı korumalarına sahip olduğu ifade ediliyor

  • Temel önlemlerin devlet destekli aktörler gibi gelişmiş rakiplere karşı etkili olmayacağına inanılıyor

    • Modern akıllı telefonların güvenlik açığı çok olan kapalı kaynak firmware'lerle dolu olduğu ve uzaktan kod çalıştırma açıkları barındırdığı açıklanıyor
    • Apple'ın Find My ağının kapalı cihazlarda bile çalışabildiği, devlet destekli aktörlerin bunu aşmaya yarayacak arka kapılara sahip olabileceği konusunda uyarılıyor

  • iCloud yedeklemelerine ilişkin tavsiyelerde hata olduğu belirtiliyor

    • iCloud yedeklerinin tüm disk şifreleme anahtarını sakladığı ve kolluk kuvvetlerinin bunu talep edebileceği yönündeki açıklamanın doğru olmadığı öne sürülüyor
    • Verilerin uçtan uca şifrelenmesi için Advanced Data Protection'ın etkinleştirilmesi tavsiye ediliyor

  • iCloud yedeklerinin fiziksel cihazın kilidini açıp açamayacağı sorgulanıyor

    • Yedeklerin ele geçirilebileceği ve yedek üzerinden cihazdaki verilerin büyük kısmına ulaşılabileceği, ancak bunun fiziksel cihazın kilidinin açılmasıyla ilişkisi hakkında daha fazla bilgi istenildiği belirtiliyor

  • Firefox ve Chrome'un 0-day açık maliyetlerinin karşılaştırılmasına dair soru soruluyor