- İspanya polisinin Google Pixel cihazı kullanan kişileri suçlularla ilişkilendirerek profillemesi gibi bir durum ortaya çıkıyor; ancak bunun nedeni Pixel’e varsayılan olarak entegre edilen Titan M2 güvenlik çipi değil, gizliliği güçlendiren bir işletim sistemi olan GrapheneOS
- GrapheneOS varsayılan olarak Google hizmetlerini içermese de Play Store kurulabiliyor ve çoğu uygulama (hatta bankacılık uygulamaları bile) sorunsuz çalışıyor; ayrıca kurulum ve kullanım deneyiminde büyük bir rahatsızlık yaratmadan Android’in temel işlevlerini eksiksiz biçimde ikame ediyor
- Uygulama sandboxing’i ve izin denetimi son derece sıkı; bu sayede Google bile yalnızca sıradan bir uygulama gibi sınırlı şekilde çalışıyor ve duress (zorla açtırma) PIN’i gibi gelişmiş güvenlik özellikleri de sunuluyor
- GrapheneOS kullanma nedeni “saklanacak bir şey olması” değil, kullanıcının kendi verileri ve cihazı üzerinde denetim sahibi olmak istemesi
- Gizlilik araçlarını suçla ilişkilendiren bakış açısı aslında gizliliğin önemini kanıtlıyor; sorun yazılımın kendisinde değil, kötüye kullanımda
İspanya polisi, Pixel + GrapheneOS kullanıcılarını ‘suça karışmış’ diye şüpheli görüyor
- İspanya’nın Katalonya bölge polisinin Google Pixel cihazı taşıyanları suçlularla ilişkilendirerek profillediğine dair haberler çıktı
- Uyuşturucu kaçakçılarının Pixel’i tercih etmesinin nedeni Titan M2 güvenlik çipi değil, gizlilik odaklı işletim sistemi GrapheneOS
- Yazar da GrapheneOS kullanan sıradan bir kullanıcı olarak bu çerçeveden rahatsızlık duyduğunu söylüyor
Neden GrapheneOS kullanılıyor?
- GrapheneOS’un kurulumu kolay ve modern bir yazılım deneyiminde işlev kaybı yaşamadan kullanılabiliyor
- Açık kaynaklı bir Android fork’u olmasına rağmen, Play Store kurulumu ve uygulama uyumluluğu oldukça iyi
- Uygulamaların büyük çoğunluğu (özellikle bankacılık uygulamaları dahil) düzgün çalışıyor
- Başlıca özellikleri arasında çeşitli güvenlik işlevleri, güçlendirilmiş uygulama sandboxing’i ve kötü niyetli saldırı vektörlerinin azaltılması yer alıyor
- Normal Android’de Google uygulamaları sistem düzeyinde kişisel verilere erişebiliyor
- GrapheneOS’ta Google uygulamaları da normal uygulamalar gibi sandbox içinde çalışıyor; izinler varsayılan olarak kapalı ve elle kontrol edilebiliyor
- Kullanıcı profili ayrımı sayesinde uygulama izinleri daha güvenli biçimde izole edilebiliyor ve bildirimleri ana profile yönlendirme özelliği de destekleniyor
- Uygulama bazında internet erişimini kesme, sensör erişimini engelleme gibi ayrıntılı izin yönetimi mümkün
- Belirli bir uygulamanın hangi kişilere, fotoğraflara ve dosyalara erişebileceği seçici biçimde belirlenebiliyor
- Duress PIN (şifreyi zorla vermeye mecbur bırakıldığınızda girildiğinde verileri tamamen silen özellik) sunuluyor
GrapheneOS ve gizlilik hakkındaki yanlış anlamalar
- "Saklayacak bir şeyin yoksa bunu neden kullanasın ki?" iddiasına karşılık, asıl amaç cihaz ve veri üzerinde ‘kullanıcı odaklı denetim’ sağlamak
- Google’ın verilere erişimini en aza indirebilmek temel avantajlardan biri
- GrapheneOS’un uygulama yalıtımı özellikleri, uzaktan bulaşma ve kötü niyetli saldırıları önlemede çok etkili
- Bazı güvenlik iyileştirmeleri AOSP’ye de yansıtılıyor ve böylece genel Android ekosisteminin güvenliğine katkı sağlanıyor
- GrapheneOS’un kolluk kuvvetlerinin ilgisini çekmesi bile, gizlilik güçlendirme etkisinin ne kadar büyük olduğunun bir göstergesi
GrapheneOS’un gizlilik ve güvenliğinin neden siyasi tartışma konusu olduğu
- Signal gibi şifreli mesajlaşma hizmetleri gibi, GrapheneOS da gözetimi zorlaştırdığı gerekçesiyle şüphe ve baskıyla karşı karşıya kalıyor
- AB’de "Chat Control" yasa tasarısı ile uçtan uca şifrelenmiş mesajların bile taranmasını zorunlu kılmaya yönelik girişimler var
- Şifrelemeye izin veriliyor gibi görünse de, cihaz üzerinde ön tarama fiilen bir arka kapı eklemek anlamına geliyor
- Bu durum vatandaş gözetimini veya kötü niyetli saldırı riskini artırabilir
- İronik biçimde, 2019’da Katalonya Pegasus casus yazılım skandalının merkezlerinden biriydi
- Devletlere özel gözetim araçlarının kullanımı nedeniyle birçok siyasetçi ve aktivist hacklendi
- Buna rağmen bugün, kendini korumaya çalışan sıradan vatandaşlar ve power user’lar gözetim hedefi haline geliyor
Açık kaynak araçların tarafsızlığı
- GrapheneOS ve Signal geliştiricileri yazılımın hangi amaçla kullanılacağını kontrol edemez; kullanıcıların çoğu bunu gizlilik ve güvenliği güçlendirmek için kullanıyor
- Suçu önleme bahanesiyle gizlilik araçlarının düzenlenmesini talep etmek özü itibarıyla sorunlu
- “Kibrit kutuları kundaklamada, nakit para ise kara para aklamada kullanılır” mantığına benziyor
— gizlilik araçlarının kendisini düzenlemeye kalkmak adil değil
- Açık kaynağın araç olarak tarafsızlığını kabul etmek gerekiyor
- Sonuç olarak, yalnızca GrapheneOS gibi araçlar kullandığı için bir kişinin kolluk kuvvetlerince profilleme hedefi haline gelmesi adil değil
- Eğer gizliliği önemsemek şüphe nedeni sayılıyorsa, bu başlı başına toplumsal bir sorundur
2 yorum
Küçük bir sorun olarak, bazı şirketler DUO gibi push kimlik doğrulama uygulamalarını kullanabiliyor olabilir (Okta/Jira girişi, pull request onayı vb.); bu tür resmî olmayan işletim sistemlerinde ise kurulum ve kullanım konusunda kısıtlar olabileceğini düşünüyorum. Elbette iki telefon kullanmak bunu çözer ama...
Hacker News görüşü
GrapheneOS’un resmi sosyal medya hesabında, Avrupa’daki bazı otoriter kesimlerin ve medyanın GrapheneOS ile Pixel telefonları suçluların kullandığı araçlar gibi çarpıttığı belirtildi
GrapheneOS, polis devletine giden kitlesel gözetim düzenine karşı olduğunu vurguluyor
Devlet görevlilerinin resmi konumlarından yanlış bilgilerle GrapheneOS’u suçlulara yönelik bir işletim sistemi gibi göstermesi ve kullanıcı topluluğunu da suçlu muamelesi yapması, devlet düzeyinde bir saldırı olarak yorumlanıyor
GrapheneOS sosyal medya açıklaması 1 / açıklama 2 bağlantıları paylaşıldı
İspanya’ya hiç gitmedim ve Barselona ya da Katalonya meselesini çok iyi bilmiyorum, ama bu durum yine de düşündürücü
İronik olan, Katalonya’nın geçmişte Pegasus casus yazılımı skandalının merkezinde yer alması
Pegasus yalnızca hükümetlere satılan gelişmiş bir gözetim aracı ve 2019’da Avrupa Parlamentosu üyelerinin telefonlarını hacklemek için kullanıldı
Şimdi ise o bölgedeki polisin, yasa dışı gözetimi önlemek için Pixel ve GrapheneOS kullanan vatandaşlardan şüphelenmesi bana ciddi görünüyor
GrapheneOS da kusursuz değil, ama fazlasıyla abartılmış korku yayma hali sürüyor
Bence GrapheneOS’un gizlilik koruma yeteneklerinden insanları sürekli şüphe ettirmeye çalışan örgütlü bir propaganda yürütülüyor
İlginç olan, polis ve benzerlerinin bunu suçlulara yönelik bir şey gibi sunarken aynı zamanda gizlilik ve güvenlik açısından etkili olmadığını da iddia etmesi
Referans: ilgili sosyal medya gönderisi
Aslında buna “GrapheneOS’a karşı devlet düzeyinde saldırı” demek biraz abartılı olabilir; gerçek bir devlet büyük çaplı tutuklamalar ya da finansmanı kesmek gibi daha ağır adımlar atardı
Herkes kendi PR’ını yapıyor ve farklı bakış açılarına sahip
“Saklayacak bir şeyin yoksa neden gizliliğe ihtiyaç duyasın?” mantığına karşı çıkmak gerekir
Neyin saklanması gerektiğine ben karar vermiyorum, buna iktidar karar veriyor
İktidar her zaman yozlaşabilir; bugünkü ABD’ye bakmak bile bunu anlamaya yeter
Örneğin biri eşcinsel olabilir ve şu anda bunu saklamak zorunda olmayabilir, ama yeni bir yönetim geldiğinde her an baskı görebilir
Sonuçta bilgi kayıtlıysa, onun suç sayıldığı bir toplum her zaman ortaya çıkabilir
Bunun o kadar ileri gitmesine bile gerek yok
Böyle cevap veren birinden banka bilgilerini, parolalarını ya da hassas fotoğraflarını vermesini isteyin
Herkesin sakladığı bir şey vardır; yoksa asıl bu ciddi bir sorundur
Daha önce okuduğum iyi bir örnek vardı
“Saklayacak bir şeyim yok, o yüzden gizliliğe ihtiyacım yok” demek, “Söyleyecek bir şeyim yok, o yüzden ifade özgürlüğüne de ihtiyacım yok” demek gibidir
İkisinin de etkisi çok büyüktür
Avrupa’daki gizlilik karşıtı hareket çok endişe verici
Özellikle halkın genelinin gizlilik meselelerini umursamaması, büyük değişikliklerin geleceğini düşündürüyor
Bu kadar uç bir dönüşümün nerede başladığını, arkasında nasıl bir lobi olup olmadığını merak ediyorum
Bu yalnızca Avrupa’ya özgü değil; ABD’de de durum benzer
Örneğin Roman Storm, gizlilik aracı geliştirdiği gerekçesiyle yakın zamanda yargılanıyor
Bu konuyu düzgün ele alanlar neredeyse sadece Rage muhabirleri
Pek çok insan ChatControl önerisinin sonuçlarını tam anlamıyor; bu öneri devletin tüm mesajlaşma uygulamalarında arka kapıya izin vermesi anlamına geliyor
Siyasetçiler bunun yalnızca çocukları korumak için olduğunu söylüyor, ama örneğin İsveç’te
polis ve istihbarat kurumları vatandaş verilerine erişebilir ve NSA ile veri paylaşımı nedeniyle tüm DM’ler ABD’de saklanabilir
Başka ülkelerin istihbarat kurumları da bu bilgilere ulaşabilir; yani ben o ülkeye uçakla gittiğim anda cinsel kimliğim ya da siyasi eğilimim açığa çıkabilir
Bunların hepsi kendi ülkemin yasaları ve yetkileri dışında gerçekleşir
Siyasetçi Ylva Johansson hakkında da şüpheler var
ChatControl wiki
İsveç ifade özgürlüğü
İsveç ayrımcılık yasası
Johansson ve gözetim politikası
Böyle bir sistem bir kez kuruldu mu, bir gün hükümet yozlaştığında siyasi rakipleri tasfiye etmek için kötüye kullanılabilir
“Merkez her zaman iktidarda kalır” diye düşünmek fazla safça
ABD’de “Trump asla başkan olamaz” diyen özgüven nasıl boşa çıktıysa, Birleşik Krallık’ta Reform’un ya da Fransa’da National Rally’nin iktidara gelmesi de gayet mümkün
Kimse bunu görmezden gelmemeli
Arka planda lobi olması zaten şaşırtıcı değil
Daha ciddi mesele, insan hakları ve gizliliği savunan ülkelerin son 10-15 yılda tamamen yön değiştirmiş olması
Bu yalnızca aşırı sağla açıklanamaz; halkın sesini bastırmaya yönelik açık bir girişim var
Macaristan gibi ülkelerde bu anlaşılabilir belki, ama AB gibi yapıların böyle politikalar üretmesi hiç makul görünmüyor
Çoğu kişi bu meseleyi gizliliğe saldırı olarak anlatıyor, ama haberde bunu doğrudan görmedim
Asıl nokta, polisin Pixel telefon kullanıcılarını profillemesi
Bu, yasaklama ya da şifrelemeyi hedef alma meselesinden farklı
Ben de kişisel olarak Pixel telefonda Mullvad kullanacak kadar gizliliğe önem veriyorum
Ama bu tartışma şu anda sanki insanlar sadece başlığı okuyup hayali bir düşmana saldırıyormuş gibi ilerliyor
Gerçek tartışma, polisin böyle profilleme yapmasının uygun olup olmadığı ve gerçekten GrapheneOS kullanıcılarının suçlu sayılıp sayılmayacağı üzerine olmalı
Avrupa’nın şifreleme ve gizliliğe saldırdığı doğru, ama bu örnek doğrudan onunla ilgili değil
Polisin Pixel telefon kullanıcılarını profillediği asıl noktaya ulaşmak için birkaç bağlantıya tıklamak gerekiyor
Gerçekte bu, bir polisin arada söylediği tek satırlık bir yorum
Bence medya bu tek cümleden büyük bir mesele çıkarmış durumda
Bu olayın özü, GrapheneOS kullanmanın doğrudan suçlulukla eş tutulduğu yanlış algının yayılması
Suç kavramının kendisi üzerine de konuşulmalı
Sıradan insanların masum davranışlarını suç olarak tanımlamayan bir toplumda, tek tek teknolojileri şeytanlaştırma ihtiyacı da azalır
Polisin profillemesinin pratikte ne anlama geldiği tartışılmalı
Polisin sadece “biraz daha şüpheli” diye düşünmesiyle, gerçekten önemsiz nedenlerle sürekli durdurulup aranmak aynı şey değil
İkincisi, ülkelerin durdurma ve arama yetkilerine ilişkin hukuki dayanaklarla ilgili bir mesele
Makine ya da yazılım temelli profillemenin gizliliğe zarar vermediğini düşünen biri varsa buna şaşarım
Çoğu Batı ülkesinde gözetim, ancak suça dair kanıt olduğunda meşru kabul edilir
Eğer telefon markası ya da işletim sistemi suç şüphesine gerekçe oluyorsa, bu tek başına ciddi bir gizlilik ihlalidir
Gizlilik odaklı cihaz kullanımı suç şüphesine dönüştürülmemeli
Ben GrapheneOS kullanıyorum; sebebi kötü niyetli bir amaç değil, Google’ın Android üzerinde fazla kontrol sahibi olmasını istememem
İşin ironik yanı, bunu yapmak için bir Google telefonu almak zorunda kaldım, ama diğer Android üreticileri de sonuçta Google tarzı pazarlama ve veri toplama düzeninin parçası
Ayrıca Android’in güvenliği artırma bahanesiyle
Android>Dataklasörüne erişimi kapatmasından da memnun değilimBu benim telefonum; onu istediğim gibi kullanabilmeliyim
GrapheneOS’ta klasörlere özgürce erişilebilmesi hoşuma gidiyor
Harika bir işletim sistemi gibi görünüyor, ama Google’dan uzaklaşmak için Google telefonu almak bana çelişkili geliyor
Bu tartışma, anonim bir polisin bir gazetenin “toplum” sayfasında yaptığı tek satırlık yorumla başladı
Asıl kaynağa ulaşmak için tam beş bağlantı takip etmek gerekiyor
Sonuçta, bir cümlelik ve üstelik birkaç kez makine çevirisinden geçmiş bir ifade devasa bir söyleme dönüşmüş oldu
İspanyolca makale çevirisi / Katalanca özgün metin
Nakit zaten birçok ülkede düzenlemelerin ve şüphenin hedefi olmuş durumda
Kart kullanımı rahat olduğu için geçiş kolay oldu ve İsveç gibi yerler fiilen nakitsiz topluma dönüştü
Belirli bir tutarın üzerindeki nakit işlemler neredeyse imkânsız ve vergi ya da otobüs ücreti ödemek bile nakitle zorlaştı
Bazı ülkelerde banka hesabı olmayan insanlar var
Hatta nakdi RFID ile izleyen ülkeler bile var (örneğin Avustralya)
Yüzeyde hepsi iyi niyetle sunuluyor, ama gerçekte bunlar gözetim ve kontrol araçları
Teknoloji ahlaken nötrdür
Hem iyi hem kötü amaçlarla kullanılabilir ve teknoloji kendi başına ahlaki bir hüküm vermez
Teknolojiyi düzenlemek her zaman yasalara uyan kullanıcıya daha fazla yük bindirir
Şifreleme, DRM, hatta bıçak gibi temel araçlarda bile durum böyledir
Sonunda korku ve ahlaki panik çoğu zaman aklın önüne geçer
Kısa süre önce GrapheneOS kurdum ve uygulamaları yavaş yavaş taşıyorum
Ben son derece sıradan biriyim; izleniyor olsam muhtemelen çok da umursamam, ama gizliliği korumamın sebebi yetkililerin kaynaklarını gereksiz yere harcamamak ve şirketlerin bilgilerimi almasını engellemek
Deneyimime göre polis, kalabalıktan biraz farklı görünmeni bile “yeterli kanıt” sayabiliyor
Biraz meydan okuma hissi istiyorsan GrapheneOS bu ihtiyacı bir ölçüde karşılıyor
Örneğin kişi listesini sandbox içine alarak mesajlaşma uygulamasının tüm rehberimi almasını engelleyebilirim
GrapheneOS’u artık kullanmıyorum çünkü PR tarzı rahatsız etmeye başladı
Neredeyse her sosyal medya platformunda başka projelerin neyi yanlış yaptığına dair eleştiriler tekrarlanıyor ve kendi standartlarından güvenlik/gizlilik açısından biraz sapana bile küçümseyici yaklaşma eğilimi var
“Hakaret” ve “saldırı” gibi kelimeler temelsiz biçimde fazla kullanılıyor
Gerçekte GrapheneOS performans, kullanılabilirlik ve güvenlik açısından muhtemelen en iyisi, ama buna rağmen bu tavırları üzücü
Uzun zamandır hissettiğim kibir, sanki “düzeltilmeyecek” bir bug gibi
Ben başka projelerin neyi yanlış yaptığını ayrıntılı anlatmalarını olumlu buluyorum (yine de GOS ekibinin diplomasi konusunda zayıf olduğu görüşüne katılıyorum)
Eskiden Fairphone neden desteklenmiyor diye sorduğumda “güvenlik yüzünden”den öte bir cevap alamıyordum, ama son zamanlarda Secure Element gibi somut gerekçeler sunuyorlar
Bu sayede kendi araştırmamı yapıp karşılaştırma yapabiliyorum
Ben de gerçekten dönüp kaynaklara baktım ve GOS “hakaret” diyorsa genelde bunun dayanağı olduğunu düşündüm
Başka projeleri “eleştirmeleri” de örneğin /e/OS gibi güvenliği zayıf donanım ve eski AOSP ile en iyi gizliliği sunduğunu iddia eden örneklerde gerekçeli oluyor
GOS’un tüm açık kaynak projeleri genelleyip küçümsediğini söylemek bana göre asıl hakaret
GOS’un “saldırı” dediği şey, hakkında çok sayıda temelsiz suçlama ortaya atılması durumu
Hatta kullanıcılar onlardan bu temelsiz örneklere dair kanıt da istemişti
GOS’un gerçekten önerdiği projelerin hepsinde makul gerekçeler var
“Custom ROM” terimi konusunda da GOS, bu kavrama kendiliğinden karşı değil; sadece ifadenin teknik olarak isabetsiz olduğunu söylüyor
Tavır problemi olabilir, ama içerik bütünüyle yanlış değil
Bence bir mobil işletim sistemi geliştiricisinin PR konusunda iyi olması şart değil
Benim istediğim düzenli güvenlik güncellemeleri ve bu konuda beklentimi karşılıyorlar