Demokratik ve otoriter ülkeler büyük ölçekli gözetim yarışına giriyor

• Devletlerin büyük ölçekli gözetimi demokrasi ve otoriterlik ayrımı yapmadan yaygınlaştı; yalnızca insan hakları ve mahremiyet ihlalleri nedeniyle değil, gerçek sorunları çözmede verimsiz olduğu gerekçesiyle de eleştiriliyor
• ABD’nin gözetim sistemi, FISA Section 702, PRISM, Upstream ve XKeyscore ekseninde, mahkeme kararı olmadan muazzam miktarda internet etkinliğine ve metadata’ya erişimi mümkün kıldı
• Avrupa ve Birleşik Krallık’ta Tempora, Fourteen Eyes iş birliği, AB’nin chat control’ü, Fransa’nın yapay zeka video gözetimi ve Macaristan’ın ISP erişim ekipmanları gibi örneklerde gözetimin genişlemesi ile kişisel verilerin korunması baskısı çatışıyor
• Otoriter devletler sansürü ve gözetimi açık bir yönetim aracı olarak kullanıyor; İran’ın SIAM’ı, Rusya’nın SORM ve Safe City’si, Çin’in Great Firewall, Police Cloud, Sharp Eyes ve Skynet’i vatandaşları kontrol etmek için kullanılıyor
• Özgür toplumları korumak için suç şüphesi bulunan kişilere yönelik hedefli gözetim ile tüm nüfusu hedef alan büyük ölçekli gözetim arasındaki sınır net biçimde çizilmeli

Büyük ölçekli gözetime dair temel tutum

• Büyük ölçekli gözetim, ticari gözetim ve devletler/yöneticiler tarafından yapılan gözetim olarak ikiye ayrılır; ikisi de bireyin insan haklarını ve özgür toplumun temeli olan mahremiyeti ihlal eder
• Gözetim, suç şüphesi olduğunda bağımsız mahkeme kararı ve orantılılık ilkesi doğrultusunda hedefli gözetim olarak yürütülmeli; tüm nüfusu veya başka ülkelerin vatandaşlarını hedef alan büyük ölçekli gözetimden kaçınılmalıdır
• İnsan hakları, bireyi devletten korumak için vardır; hükümetler değişebildiği ve iktidar yanlış kararlar alabileceği için devletin kontrol edilemeyen bir güce sahip olmaması gerekir
• Günümüzde büyük ölçekli gözetimin kökeni ve biçimi ülkeden ülkeye değişse de önemli bir kısmı küresel internet altyapısı üzerinden işler

ABD: Section 702 ve küresel gözetim altyapısı

• Snowden’ın 2013’teki ifşaları, ABD makamlarının dünya genelinde yüz milyonlarca kişiyi gözetlediğini ortaya çıkardı
• FISA Section 702, ABD’nin her 5 yılda bir yenilediği bir yasadır; yabancıların dinlenmesi gerekçesiyle çıkarılmış olsa da internetin yapısı nedeniyle hem yabancıların hem de ABD vatandaşlarının gözetlenmesine yol açabilir
• Snowden belgeleri, NSA’in dünyanın dört bir yanında günde 200 milyon kısa mesaj topladığını ve fiilen yeryüzündeki neredeyse herkesi gözetleyebilecek kapasiteye sahip olduğunu gösterdi
• XKeyscore, e-posta, sohbet, Facebook özel mesajları, arama geçmişi, ziyaret edilen siteler gibi “sıradan bir kullanıcının internette yaptığı neredeyse her şeyi” kapsayan bir veritabanıydı
  • Analistler IP adresi veya e-posta adresi gibi güçlü arama terimleriyle belirli bir kişinin çevrimiçi etkinliklerini görebiliyordu
  • Anahtar kelime veya ifade gibi zayıf arama terimleriyle belirli internet davranışları sergileyen kişilerin listesi oluşturulabiliyordu
  • Aramalar, mahkeme kararı veya NSA içindeki üst düzey bir yöneticinin onayı olmadan yapılabiliyordu

PRISM, Upstream, TURMOIL, TURBINE

• Section 702, PRISM ve Upstream aracılığıyla FBI, CIA ve NSA’in büyük miktarda veriye erişmesini sağladı
• PRISM, Microsoft, Yahoo!, Google, Facebook, Paltalk, YouTube, Skype, AOL, Apple gibi ABD şirketlerinin verilerine erişen bir yapıydı
  • Snowden, Permanent Record’da PRISM’in e-posta, fotoğraf, görüntülü ve sesli sohbet, web tarama içerikleri, arama sorguları ve bulut depolama verilerinin toplanmasını mümkün kıldığını yazdı
  • Söz konusu şirketler FBI, CIA ve NSA’in sistemlerine ve sunucularına doğrudan eriştiğini reddetti; ancak yasa nedeniyle bu sürece dahil olduklarını kabul etmelerinin yasa dışı olabileceği açıklaması da yapıldı
• Upstream, ABD’deki telefon ve internet işletmecilerinin omurgasına doğrudan bağlanarak internet trafiği toplama yöntemiydi
  • AT&T gibi ABD telekom şirketleri buna dahildi; bazı router üreticilerinin ürünlerine NSA için gözetim işlevleri eklediğine dair ifşalar da vardı
  • Snowden, Upstream’in uydulardan, denizaltı fiber kablolarından, switch’lerden ve router’lardan geçen trafiği doğrudan yakaladığını açıkladı
• TURMOIL ve TURBINE, büyük ölçekli trafiği seçmek ve saldırmak için kullanıldı
  • TURMOIL; e-posta adresi, kredi kartı, telefon numarası, coğrafi kaynak/hedef ve “anonymous internet proxy”, “protest” gibi anahtar kelimelere göre trafiği işaretliyordu
  • TURBINE, işaretlenen istekleri NSA sunucularına gönderiyor ve algoritma hangi kötü amaçlı yazılım türü exploit’in kullanılacağına karar veriyordu
  • Exploit bilgisayara girdiğinde yalnızca metadata’ya değil, verinin kendisine de erişim sağlanabiliyordu

Metadata ve ticari veri satın alma

• Devletler “yalnızca metadata topluyoruz” diyerek büyük ölçekli gözetimi küçümsüyor, ancak metadata web sitesi ziyaret geçmişini ve arama geçmişini içerebilir
• Bruce Schneier, metadata’nın yakın arkadaşları, iş ilişkilerini, ilgi alanlarını ve önemli kişileri ortaya çıkardığını anlatmış; eski NSA hukuk müşaviri Stewart Baker ise yeterli metadata varsa içeriğe gerek kalmadığını söylemiştir
• Metadata, ABD gözetim aygıtını eleştiren gazetecileri belirlemek için de kullanılabilir
  • Snowden’ın temas kurduğu Laura Poitras ve Glenn Greenwald, NSA’i eleştirdi ve kişisel zararlar gördü
  • GCHQ, New York Times, Le Monde, Washington Post gibi medya kuruluşlarındaki gazetecilerin e-postalarını ele geçirdi ve araştırmacı gazetecileri teröristler ve hacker’larla aynı tehdit kategorisine koydu
• ABD gözetim aygıtı yalnızca teröristler ve suçlular için değil, endüstriyel casusluk, Amnesty ve Human Rights Watch gibi insan hakları örgütleri, Fransa’da ayda 70 milyon telefon görüşmesi, siyasetçiler ve dünya liderlerinin gözetlenmesi için de kullanıldı
• Son dönemde FBI gibi ABD kurumlarının data broker’larından toplanmış veri satın aldığı da ortaya çıktı
  • Kurumların doğrudan toplaması halinde anayasal sorun yaratacak veriler, ticari olarak satın alındığında ayrı bir yoldan elde edilebiliyor
  • Bir ABD hükümet danışmanı, reklam teknolojisi ekosistemini “insanlığın tasarladığı en büyük istihbarat toplama girişimi” olarak niteledi
  • Eski CIA direktörü Michael Morell, ticari olarak erişilebilir bilgilerin geleneksel istihbarat yöntemleriyle toplanmış olması halinde çok gizli hassas bilgi olarak değerlendirileceğini söyledi

Section 702 yenileme tartışması ve 2024 genişlemesi

• Section 702, 2023’te yeniden yenileme tartışmalarının merkezine oturdu; Temsilciler Meclisi uzatma tasarısını üç kez geçiremedi ve kararı 2024 baharına erteledi
• Önerilen başlıca değişiklikler arasında ABD vatandaşlarının gözetlenmesi için mahkeme onayı şartı getirilmesi ve gözetim hedefinin yalnızca anıldığı iletişimleri de hedefleyen abouts collection uygulamasının engellenmesi vardı
• Sonuçta Temsilciler Meclisi ve Senato Section 702’nin uzatılmasını kabul etti, ancak süre olağan 5 yıl yerine 2 yıla indirildi
• Aynı zamanda yasa genişletildi ve devlet kurumlarının büyük ölçekli gözetimine iş birliği yapmaya zorlanabilecek şirket ve kuruluşların kapsamı büyüdü
  • Yeni tanım, router gibi hedef iletişim altyapısına fiziksel erişimi olan tarafları da kapsayabilir
  • Senatör Ron Wyden bunu “dramatik ve korkunç” olarak niteledi; Edward Snowden ise “NSA interneti ele geçiriyor” dedi

Birleşik Krallık, Fourteen Eyes, VPN konumu tartışması

• Birleşik Krallık GCHQ’sunun Tempora sistemi, ABD ile Avrupa arasındaki fiber optik ağa doğrudan bağlanarak Atlantik’in iki yakasındaki internet trafiğine erişti
• 2013’te 300 GCHQ çalışanı ve 250 NSA çalışanı, 40 bin anahtar tetikleyiciyle gelen verileri analiz ediyordu ve 850 bin NSA çalışanı Birleşik Krallık sistemlerine erişebiliyordu
• Tempora, günde 600 milyon telefon olayını ve diğer trafiği 200 fiber kablo üzerinden işliyordu; Snowden bunu “insanlık tarihinin şüpheye dayanmayan en büyük gözetim programı” olarak niteledi
• Five Eyes, Australia, Canada, New Zealand, UK, USA’nın elektronik dinleme ittifakı olarak başladı; Snowden ifşaları Belgium, Denmark, France, Germany, Italy, Netherlands, Norway, Spain ve Sweden’ın dahil olduğu Fourteen Eyes genişlemesini ortaya çıkardı
• VPN sağlayıcısının Fourteen Eyes dışında olduğunu söyleyerek daha iyi olduğunu iddia etmesi, internet trafiğinin birden çok sınırdan ve altyapıdan geçtiği gerçeğini göz ardı eder
  • VPN’in amacı, yetkililer fiber kablolara bağlansa bile trafiğin okunmasını zorlaştıracak şekilde şifrelemektir
  • VPN sağlayıcısının konumunda asıl önemli olan istihbarat kurumları anlaşmasının kendisi değil, log tutmayı ve veri sağlamayı zorunlu kılan o ülkenin yasalarıdır
  • 14 ülkelik liste 10 yılı aşkın eski ifşalara dayanır; mevcut katılımcı ülke sayısını ve kapsamını VPN sağlayıcıları bilemez

Avrupa’daki çelişkili eğilimler

• 2018’de Avrupa İnsan Hakları Mahkemesi, Tempora’nın hukuka aykırı olduğuna ve demokratik bir toplumda gerekli koşullarla bağdaşmadığına hükmetti; 2020’de bir ABD mahkemesi NSA’in yüz milyonlarca kişiyi gözetlemesinin hukuka ve anayasaya aykırı olduğuna karar verdi
• AB içinde, büyük ölçekli gözetimi yasa dışı gören yüksek mahkeme kararları ve GDPR gibi düzenlemelerle büyük teknoloji şirketlerine baskı kurmaya çalışan bir eğilim var
  • GDPR şimdiye kadar ağırlıklı olarak sembolik para cezaları ve kötüleşen çerez deneyimleri doğurdu; ancak Meta ve Google gibi şirketler üzerinde gerçek baskı yaratmaya başladı
  • Teknoloji şirketlerinin yeni veri toplama yöntemleri geliştirme riski de sürüyor
• Diğer tarafta Fransa yapay zeka video gözetimi uygulamaya çalışıyor; Macaristan ise mahkeme kararı olmadan ISP ağlarına ve kullanıcıların internet davranışlarına erişebilen kara kutular kuruyor
• AB’nin chat control önerisi, özel iletişim üzerinde neredeyse tamamen yasaklayıcı bir büyük ölçekli gözetime yol açabilir
• Birleşik Krallık’ın Online Safety Bill taslağı, Snowden ifşalarından sonra daha yaygın kullanılan şifreli trafiği zayıflatmaya yönelik bir hamle olarak ele alınıyor
• Pegasus casus yazılımı, Avrupa’da ve başka bölgelerde muhalifleri, siyasi aktivistleri ve gazetecileri hedef almak için kullanıldı

Otoriter devletlerde gözetim ve sansür

• Dünya genelinde internet kullanıcılarının sayısı 4,5 milyarı aşıyor; bunların %76’sı siyasi, toplumsal veya dini konularda çevrimiçi yazdığı için insanları hapse atan ülkelerde yaşıyor
• Otoriter ülkelerde VPN yalnızca büyük ölçekli gözetimi azaltan bir araç değil, aynı zamanda sansürsüz ve özgür internete erişmek için de bir araçtır
• İran interneti tamamen kapatabiliyor veya SIAM ile mobil ağlar üzerinden cep telefonu kullanımını kontrol ediyor, filtreliyor ve gözetliyor
• Mısır hükümeti gazetecileri, aktivistleri ve avukatları gözetliyor; Fas makamları Pegasus ile insan hakları örgütlerini izliyor
• Rusya’nın FSB’si SORM ile telefon görüşmelerini dinledi, e-postaları ve mesajları okudu; Moskova’nın Safe City sistemi yüz binlerce gözetim kamerasını, yüz tanımayı ve mobil veri gözetimini birleştiriyor
  • Safe City, protestocuları, siyasi muhalifleri ve gazetecileri takip etmek ve hapse atmak için kullanılıyor
  • Probiv adlı dijital karaborsada, yolsuzluğa karışmış veya hoşnutsuz yetkililer büyük ölçekli gözetim veritabanlarındaki verileri sızdırıyor
  • Bunun sonucunda Putin’in en yakın çevresine ait bilgiler bile küçük meblağlarla satın alınabilir hale geldi; muhalefet, yabancı ülkeler ve araştırmacı gazeteciler bundan yararlanıyor

Çin: Great Firewall, Police Cloud, Sharp Eyes, Skynet

• Çin, 750 milyon internet kullanıcısının erişebileceği siteleri kontrol ediyor, VPN hizmetlerini engelliyor ve içerik yayımlamak için gerçek adla kayıt zorunluluğu getiriyor
• Sosyal medya ve mesajlaşma uygulamaları devlet gözetimi altında; yabancı uygulamalar yasaklanıyor ve Çin’de kurulan TikTok’un bile uluslararası içerikleri engelleyen ayrı bir sürümü bulunuyor
• Tüm cep telefonları konum verileriyle sürekli gözetleniyor ve internet servis sağlayıcıları devletle iş birliği yapmak zorunda
• Great Firewall of China, Çinlilerin internet deneyimini kontrol edip sansürlüyor; 2013’te bile 2 milyon “internet kamuoyu analisti” çevrimiçi mesajları elle sansürlüyordu
• “public opinion analysis software” verileri topluyor ve yapay zeka ile “hassas materyallere” tepki veriyor
  • İnternette Çin’i eleştiren aktivistlerin, gazetecilerin ve sıradan vatandaşların hapsedildiği vakalar sürüyor
  • “Kahramanlara ve şehitlere” hakaret etmek 3 yıl hapis riski taşıyor
• Police Cloud, gizli eğilimleri ve ilişkileri görselleştiren, ilişki haritaları çıkaran ve “aşırı görüşleri” kaydeden big data tabanlı bir sistemdir
• Çin ses izi topluyor, dünyadaki 1 milyon gözetim kamerasının yarısından fazlasını kurdu ve yüz tanımanın yanı sıra duygu tanıma teknolojisini de devreye aldı
• Total Trust belgeseli, 4,5 milyon “grid officer”ın mahalle mahalle sakinlerin davranış kayıtlarını tutma biçimini ele alıyor
  • Sharp Eyes, devletin gözetim kameraları ile “gönüllülerin” komşu ihbarlarını birleştiriyor
  • Skynet, çok sayıda gözetim kamerası üzerinden sokakları, gözetim hedefi olarak sınıflandırılan kişilerin evlerinin çevresini, merdivenleri ve giriş kapılarını bile izliyor
  • Yüz, göz ve ses tanıma gibi biyometrik yapay zeka ile çevrimiçi davranış gözetimi, fiziksel dünyadaki hareketlerle birleştiriliyor
• 2015’teki 709 Crackdown sırasında yüzlerce insan hakları avukatı hapsedildi ve işkence gördü; hapsedilmeyenler de izlenmeye devam etti

Büyük ölçekli gözetim ile özgür toplumun sınırı

• Otoriter devletler büyük ölçekli gözetimi muhaliflere zulmetmek, bilgiyi sansürlemek ve protestoları bastırmak için bir kontrol aracı olarak kullanır
• Demokratik devletler büyük ölçekli gözetimi daha az gösterişli biçimde yürütür ve zarar verici sonuçları daha az ağırdır; ancak seçimlerde ve gazetecilerin/muhaliflerin gözetlenmesinde kullanıldığı örnekler vardır
• Büyük ölçekli gözetim kontroldür ve özgürlüğün karşısında yer alır
• Özgür toplum bir noktada özgür toplum olma niteliğini kaybedebileceği için, özgür interneti koruma mücadelesi gereklidir