Merge pull request 'Alper'in değişiklikleri conflict resolution' (#114) from ooguz/guvenlik:master into master
Reviewed-on: oyd/guvenlik#114master
@ -0,0 +1,59 @@ |
||||
# andOTP ile OTP Kurulumu |
||||
|
||||
[andOTP](https://github.com/andOTP/andOTP) Android işletim sisteminde kullanılabilen özgür bir OTP yazılımıdır. [F-droid](https://f-droid.org/en/packages/org.shadowice.flocke.andotp/) aracılığı ile kurabileceğiniz andOTP'yi [Freeotp ve Freeotp+](https://search.f-droid.org/?q=freeotp&lang=en) yazılımlarından ayıran şifreli veri tabanı, [GPG şifreleme](yazisma_guvenligi/gpg/gpg.md) ve anahtar dışa aktarım gibi daha gelişmiş özellikleridir. Bu bakımdan andOTP neredeyse tüm OTP yazılımları gibi işlev görse de kullanım özellikleri bakımından daha ileri seçenekler sunmaktadır. |
||||
|
||||
## Kurulum |
||||
|
||||
andOTP'yi tüm Android yazılımı dağıtan depolarda bulmanız mümkündür. Tavsiyemiz özgür [F-droid](cihaz_guvenligi/yazilim_guvenligi.md) deposundan kurulumunuzu yapmanızdır. Bunun için: |
||||
|
||||
F-droid'de `andOTP` ismini aratıp `install(yükle)` seçeneği ile kurulumunuzu başlatın ve çıkan ekranda tekrar yükleye basarak kurulumunuzu tamamlayın. |
||||
|
||||
![alt-text](andotp/fdroid1.png) |
||||
![alt-text](andotp/fdroid2.png) |
||||
![alt-text](andotp/fdroid3.png) |
||||
![alt-text](andotp/fdroid4.png) |
||||
|
||||
andOTP'yi çalıştırdığınızda sizi bir kurulum ekranı karşılayacaktır. |
||||
|
||||
![alt-text](andotp/kurulum1.png) |
||||
|
||||
andOTP'nin ayarlarından ilk belirlemeniz gereken veritabanının nasıl şifreleneceğidir. Bu noktada modern Android destekleyen cihazlarda `parola` ve `anahtar deposu (keystore)` şeklinde iki adet seçenek vardır. Keystore desteklenen cihazlarda donanımsal kriptografik bir aracın şifreleme anahtarlarını yönetmesini sağlar. Bu hem özgür olmayan bir donanıma güveni gerektirmekte hem de andOTP geliştiricisinin ifadesi ile uyumsuzluklarla sonuçlanabilmekte. Bu sebepten `parola` seçeneğini seçerek kuruluma devam edebilirsiniz. |
||||
|
||||
![alt-text](andotp/kurulum2.png) |
||||
![alt-text](andotp/fdroid3.png) |
||||
|
||||
Parolanızı belirlemenizin ardından kurulum işlemi sonlanacak ve andOTP size parolanızı sorarak açılacaktır. |
||||
|
||||
![alt-text](andotp/acilis.png) |
||||
![alt-text](andotp/anaekran.png) |
||||
|
||||
Bir OTP token eklemek için sağ altta bulunan + simgesine tıklayarak kullanılabilecek seçenekleri görüntüleyip seçebilirsiniz. |
||||
|
||||
![alt-text](andotp/ekleme.png) |
||||
|
||||
Çıkan seçeneklerden: |
||||
|
||||
* Scan QR code: OTP kullanacağınız hizmetin size gösterdiği karekod'u okutarak gerekli bilgilerin kaydedilmesine yarar. |
||||
|
||||
* QR code from image: Şayet hizmetin sağladığı OTP token karekodu bir fotoğrafta bulunuyorsa bunu gösterip bilgilerin girilmesini sağlar. |
||||
|
||||
* Enter details: OTP token bilgilerinin elle girilmesine imkan verir. |
||||
|
||||
Bu seçeneklerden en yaygın olarak kullanacağınız `scan qrcode` seçeneğidir keza neredeyse OTP imkanı veren her hizmet kolay token ekleme için karekod ile kurulum sırasında kullanıcılarına imkan sağlamaktadır. |
||||
|
||||
![alt-text](andotp/otptoken.png) |
||||
|
||||
Kameranız ile karekod taramak için ayrı bir yazılıma ihtiyacınız olabilir. Bu noktada yine özgür olan [Binary Eye](![alt-text](andotp/ekleme.png) veya [Barcode Scanner](https://f-droid.org/en/packages/com.google.zxing.client.android) yazılımlarından birini öneririz. |
||||
|
||||
Karekodu taramanız üzerine OTP token eklenecek ve talebiniz üzerine üretilmeye başlayacaktır. Bu noktadan sonra söz konusu token'e ait hizmeti kullanmak için andOTP'den aldığınız kodu belirtilen süre içinde girmeniz yeterlidir. |
||||
|
||||
![alt-text](andotp/otptoken1.png) |
||||
|
||||
## Ayarlar |
||||
|
||||
andOTP'yi kullanmak için özellikle ayarlarını değiştirmeniz gerekmiyor. Kimi ayarlar ileri kullanım ihtiyaçları için faydalı olabileceğinden göz atmakta fayda vardır. |
||||
|
||||
![alt-text](andotp/ayarlar1.png) |
||||
![alt-text](andotp/ayarlar2.png) |
||||
|
||||
Yukarıdaki şekilde kilitlenme seçeneklerini ayarlamak andOTP'nin tuttuğu sırların korunması için en iyi seçeneği sağlayacaktır. Benzer şekilde söz konusu token'ler hesaplarınıza erişmenizde önemli rol oynayacağı için düzenli yedeklemelerinizi GPG ile şifrelemeniz için gerekli ayarları yaparak yedeklerinizi cihazınızdaki bir dizine kaydedebilir veya Android'in düzenli aldığı yedeklere şifreli şekilde güvenle ekleyebilirsiniz. Bunun için [Openkeychain](https://f-droid.org/en/packages/org.sufficientlysecure.keychain) yazılımına ihtiyacınız olacaktır. [Kullanımı için rehberimize danışabilirsiniz.](yazisma_guvenligi/gpg/gpg-anahtar-uretimi.md) |
After Width: | Height: | Size: 56 KiB |
After Width: | Height: | Size: 34 KiB |
After Width: | Height: | Size: 15 KiB |
After Width: | Height: | Size: 59 KiB |
After Width: | Height: | Size: 75 KiB |
After Width: | Height: | Size: 27 KiB |
After Width: | Height: | Size: 108 KiB |
After Width: | Height: | Size: 276 KiB |
After Width: | Height: | Size: 305 KiB |
After Width: | Height: | Size: 224 KiB |
After Width: | Height: | Size: 84 KiB |
After Width: | Height: | Size: 132 KiB |
After Width: | Height: | Size: 90 KiB |
After Width: | Height: | Size: 25 KiB |
After Width: | Height: | Size: 22 KiB |
@ -0,0 +1,3 @@ |
||||
# Locker ile Ekran Kilidi Güvenliği |
||||
|
||||
[Bu sayfaya katkı verebilirsiniz.](https://git.oyd.org.tr/oyd/guvenlik) |
@ -0,0 +1,3 @@ |
||||
# Yubikey ile 2FA Kurulumu |
||||
|
||||
[Bu sayfaya katkı verebilirsiniz.](https://git.oyd.org.tr/oyd/guvenlik) |
After Width: | Height: | Size: 34 KiB |
@ -0,0 +1,116 @@ |
||||
# Google-Authenticator ile Login Güvenliği |
||||
|
||||
Google-authenticator(GA) GNU/Linux cihazlarda login ekranlarında parola ile birlikte [ikinci faktör olarak (2FA)](beseri_guvenlik/2fa.md) akıllı cihazlardan alınacak bir kodu sunarak giriş yapılmasına imkan veren bir yazılım. GA kullanarak cihazlarınıza erişimi daha kontrollü ve güvenli hale getirmek mümkün. |
||||
|
||||
## Kurulum |
||||
|
||||
Öncelikle bilgisayarınıza google-authenticator ve PAM modülünü kurmanız gerekiyor. Bunun için aşağıdaki komutları çalıştırın. |
||||
|
||||
Debian sistemlerde: `sudo apt-get install google-authenticator libpam-google-authenticator` |
||||
|
||||
RPM tabanlı sistemlerde: `sudo yum instlal google-authenticator libpam-google-authenticator` |
||||
|
||||
Kurulumun tamamlanmasının ardından GA'nın ayarlarını yaparak cihazınızda bir anahtar oluşturmak bunu kullandığınız mobil cihazdaki bir OTP yazılımına aktarmak için aşağıdaki komutu uçbirimde çalıştırın. |
||||
|
||||
`google-authenticator` |
||||
|
||||
Komutu çalıştırmanızın ardından `Do you want authentication tokens to be time-based (y/n)` sorusuna evet anlamında `y` cevabını verip devam edin. |
||||
|
||||
Uçbirimde aşağıdaki şekilde bir karekod ve bir terslik durumunda kullanılmak üzere 5 adet tek kullanımlık kod çıkacaktır. |
||||
|
||||
![alt-text](ga/qrcode.png) |
||||
|
||||
Çıkan karekodu tercihiniz olan bir OTP yazılımı ile mobil cihazınıza eklemelisiniz. Bunun için özgür [andOTP yazılımı önerilir ve kullanım rehberine başvurabilirsiniz.](beseri_guvenlik/andotp.md) Aynı zamanda acil durum kodlarını da elle veya yazıcı ile yazdırarak güvenli bir yerde taşımanız bir aksilik durumunda cihazınıza erişmeniz için hararetle önerilir. Bunun için en iyi yol bastırdığınız kodları kesip koyu renkli bir bant ile kaparak cüzdan gibi sürekli taşıdığınız bir yerde bulundurmanız olacaktır. Böylece gerektiğinde kodları kullanmanız mümkün olacağı gibi istenmeyen şekilde el geçirilmesinin de önüne geçebilirsiniz. Şayet tehdit modelniz bu durumun aksine hareket etmenizi gerektiriyor ise cihazınıza daha zor olacak ise de GA erişimi olmadan da ulaşmanız mümkündür. |
||||
|
||||
Karekodu taradıktan sonra gelecek tüm sorulara evet diyerek kurulumu tamamlayın. Çıkan sorular sırası ile bir kodun tekrar kullanılması, zaman sapmalarına karşı koruma ve sürekli giriş denemelerine karşı tedbir sunacaktır. |
||||
|
||||
``` |
||||
Do you want me to update your "/home/xxxx/.google_authenticator" file? (y/n) y |
||||
|
||||
Do you want to disallow multiple uses of the same authentication |
||||
token? This restricts you to one login about every 30s, but it increases |
||||
your chances to notice or even prevent man-in-the-middle attacks (y/n) y |
||||
|
||||
By default, a new token is generated every 30 seconds by the mobile app. |
||||
In order to compensate for possible time-skew between the client and the server, |
||||
we allow an extra token before and after the current time. This allows for a |
||||
time skew of up to 30 seconds between authentication server and client. If you |
||||
experience problems with poor time synchronization, you can increase the window |
||||
from its default size of 3 permitted codes (one previous code, the current |
||||
code, the next code) to 17 permitted codes (the 8 previous codes, the current |
||||
code, and the 8 next codes). This will permit for a time skew of up to 4 minutes |
||||
between client and server. |
||||
Do you want to do so? (y/n) y |
||||
|
||||
If the computer that you are logging into isn't hardened against brute-force |
||||
login attempts, you can enable rate-limiting for the authentication module. |
||||
By default, this limits attackers to no more than 3 login attempts every 30s. |
||||
Do you want to enable rate-limiting? (y/n) y |
||||
``` |
||||
Bu işlemin ardından ev dizinizin altında `.google_authenticator` dizininde kullanılacak anahtarınız oluşturulmuş olacak ve işletim sisteminizin PAM ayarlarına giriş yapmaya hazır olacaksınız. |
||||
|
||||
## PAM ayarları |
||||
|
||||
[PAM](https://en.wikipedia.org/wiki/Linux_PAM) GNU/Linux cihazlarda kullanıcı yetkilendirmesinden sorumlu olan yazılımdır. `/etc/pam.d` dizini altında bulunan ayar dosyaları ile PAM davranışları şekillendirilebilir. Bu rehber PAM detaylarına girmek üzere yazılmadığından bir sistemdeki olası en güvenli kullanımı önerecektir. Fakat GA ve PAM ayarlarını ihtiyacınıza göre istediğiz gibi şekillendirebilirsiniz. Buna parola olmadan sadece GA kodu ile cihazınıza giriş yapmaktan, su/sudo gibi özel login tiplerine sınırlama getirmek şeklinde çeşitlendirmek mümkün. |
||||
|
||||
Cihazınızdaki tüm PAM kontrolündeki login işlemlerine GA kodunu uygulamak için aşağıdaki dosyayı tercih ettiğiniz bir metin editörü ile açın. Aşağıdaki komutta `nano` editörü kullanılmıştır. |
||||
|
||||
** Birazdan açacağınız sudo yetkisi vereceğiniz uçbirimi kapatmayın!!! ** |
||||
|
||||
`sudo nano /etc/pam.d/common-auth` |
||||
|
||||
Karşınıza aşağıdakine benzer bir metin çıkacaktır. |
||||
|
||||
``` |
||||
# |
||||
# /etc/pam.d/common-auth - authentication settings common to all services |
||||
# |
||||
# This file is included from other service-specific PAM config files, |
||||
# and should contain a list of the authentication modules that define |
||||
# the central authentication scheme for use on the system |
||||
# (e.g., /etc/shadow, LDAP, Kerberos, etc.). The default is to use the |
||||
# traditional Unix authentication mechanisms. |
||||
# |
||||
# As of pam 1.0.1-6, this file is managed by pam-auth-update by default. |
||||
# To take advantage of this, it is recommended that you configure any |
||||
# local modules either before or after the default block, and use |
||||
# pam-auth-update to manage selection of other modules. See |
||||
# pam-auth-update(8) for details. |
||||
|
||||
# here are the per-package modules (the "Primary" block) |
||||
auth [success=1 default=ignore] pam_unix.so nullok_secure |
||||
#auth optional pam_exec.so /home/alper/wrongpasspic.sh |
||||
# here's the fallback if no module succeeds |
||||
auth requisite pam_deny.so |
||||
# prime the stack with a positive return value if there isn't one already; |
||||
# this avoids us returning an error just because nothing sets a success code |
||||
# since the modules above will each just jump around |
||||
auth required pam_permit.so |
||||
# and here are more per-package modules (the "Additional" block) |
||||
auth optional pam_cap.so |
||||
# end of pam-auth-update config |
||||
``` |
||||
|
||||
Dosyanın sonuna aşağıdaki satırı ekleyin ve `ctrl + x` komutu ile kaydedip çıkın. |
||||
|
||||
`auth required pam_google_authenticator.so` |
||||
|
||||
** Şayet bu aşamada bir sorun var ve ekran kilidinizi devreye alırsanız cihazınıza tekrar giremeyebilirsiniz!! ** |
||||
|
||||
Bu noktadan sonra cihazınızdaki tüm yetkilendirme gereken işlemlerde sizden GA kodu istenecektir. Her şeyin yolunda olduğundan emin olmak ve bir sorun varsa zahmetsizde düzeltmek için ** yukarıdaki tavsiyeye bağlı olarak açık tuttuğunuz sudo yetkili uçbirimden ** başka bir uç birim açarak aşağıdaki komutu girin. |
||||
|
||||
`sudo echo test` |
||||
|
||||
sudo yetkilendirmesi için sizden parola ve ardından GA kodu sorulması gerekli. Şayet bu gerçekleşmedi veya `test` yazısı başarılı şekilde yazılmadı ise ayarlarınızda bir terslik var demek olacağından geri dönüp adımlarda bir hata yapıp yapmadığınızı kontrol etmelisiniz. Şayet bir sorunla karşılaşırsanız sudo yetkili uçbirimden `/etc/pam.d/common-auth` dosyasında yaptığınız değişiklikleri geri alıp kaydederek cihazınızın erişiminiz dışına kitlenmesini engelleyebilirsiniz. |
||||
|
||||
Şayet test'i başarılı şekilde geçti iseniz artık google-authenticator ile birlikte cihazınızı biraz daha güvenli şekilde kullanmaya başlayabilirsiniz. |
||||
|
||||
## Diğer kullanıcılar |
||||
|
||||
Eğer cihazda birden fazla kullanıcı var ve sadece bir kullanıcı GA kullanacak ise `/etc/pam.d/common-auth` yapılandırmasındaki değişikliği aşağıdaki ile değiştirerek sadece google-authenticator kurulumu yapmış kullanıcıların OTP kullanmasını sağlayabilirsiniz. |
||||
|
||||
** Bu durum root kullanıcısının 2FA dışında kalmasına sebep olacağından gerekmedikçe önerilmez. ** |
||||
|
||||
`auth required pam_google_authenticator.so nullok` |
||||
|
||||
Şayet root kullanıcısının da girişini GA ile kullanmak isterseniz yukarıdaki adımları root kullanıcı ile tekrar etmeniz gereklidir. |
@ -0,0 +1 @@ |
||||
[Bu bölüme katkı verebilirsiniz](https://git.oyd.org.tr) |
@ -0,0 +1,3 @@ |
||||
# LibreCMC Kurulumu |
||||
|
||||
[Bu rehbere katkı verebilirsiniz.](https://git.oyd.org.tr) |
@ -0,0 +1 @@ |
||||
[Bu bölüme katkı verebilirsiniz](https://git.oyd.org.tr) |
@ -0,0 +1,19 @@ |
||||
# Yetkilendirme Güvenliği |
||||
|
||||
Login veya yetkilendirme GNU/Linux dahil olmak üzere neredeyse her bilgisayar sisteminin temel güvenlik tedbirlerinden biridir. Ekran kilidi olarak yaygın şekilde kullanıcıların karşısına çıkan yetkilendirme sistemleri, bilgisayara kimlerin hangi yetki ile erişeceğine ve erişime olan kişilerin belirlenmesinde kullanılır. |
||||
|
||||
En temel yetkilendirme kullanımı kullanıcı adı ve parola şekilindedir. Her kullanıcı bir kullanıcı adı ile tanımlanır ve bu kullanıcıya giriş yapabilmesi için bir parola verilir. Söz konusu parola kullanıcılar tarafından sır olarak saklanır ve sisteme girişte kendilerine sorulur. Bu bakımdan yetkilendirme sisteminin güvenliği [parolanın güvenliği](https://guvenlik.oyd.org.tr/beseri_guvenlik/parolalar.html) ve kullanıcıların sır tutabilmesine bağlıdır. |
||||
|
||||
Yetkilendirme sistemlerine sunulabilecek diğer girdiler; tek kullanımlık kodlar (OTP), biyometrik veriler (parmakizi vb.) ve kriptografik araçlar (akıllı kartlar, Yubikey) olarak çeşitlendirilebilir. Bu girdiler tek başına yetkilendirme için yeterli görülebileceği gibi ikinci faktör olarak parola ile birlikte sistem güvenliğini arttırmak için de kullanılabilir. Bu sayede bir kullanıcının sistemde yetkilendirilmesi bilgiği bir şey ile sahip olduğu bir şeye gereksinim duyacağından yetkilendirme için bir saldırganın edinmesi gereken kaynak arttırılmış olur. |
||||
|
||||
## İkinci faktör |
||||
|
||||
İkinci faktör olarak tercih edeceğiniz sistem tamamen kullanım ve güvenlik ihtiyaçlarınıza bağlıdır. Kimi sistemler var olan donanımlarınızı (akıllı telefon, parmak) kullanabilirken |
||||
|
||||
[Google-Authenticator ile yetkilendirme](cihaz_guvenligi/ga_pam.md) |
||||
|
||||
[Yubikey ile yetkilendirme](cihaz_guvenligi/yubikey_pam.md) |
||||
|
||||
[Parmakizi ile yetkilendirme](cihaz_guvenligi/parmak_pam.md) |
||||
|
||||
[Bu bölüme katkı verebilirsiniz](https://git.oyd.org.tr) |
@ -0,0 +1,91 @@ |
||||
# Optik Diskleri Şifrelemek |
||||
|
||||
Optik diskler genellikle 8cm çapında lazer ile üzerine veri kaydedilen kayıt ortamlarıdır. Dünya tarihinde ilk yaygın kullanımı olan [LaserDisk](https://duckduckgo.com/l/?kh=-1&uddg=https%3A%2F%2Fen.wikipedia.org%2Fwiki%2FLaserDisc) teknolojisinin [format savaşlarını](https://en.wikipedia.org/wiki/Format_war) kaybetmesinin ardından [Compact Disk veya kısa adı ile CD](https://en.wikipedia.org/wiki/Compact_Disc) dünyadaki optik disk kullanımının gerçekten yaygınlaşmasına öncülük etmiştir. CD teknolojisini [Digital Versatile Disk veya DVD](https://en.wikipedia.org/wiki/DVD) izlemiş ve görsel sanat eserlerinin dağıtımında yaygınlık kazanmıştır. |
||||
|
||||
Optik diskler üretildikleri tarihte bilgisayar kullanıcıları için sihirli sayılabilecek araçlardı. [Yaygın olarak "disket" olarak bilinen Floppy Disk](https://en.wikipedia.org/wiki/Floppy_disk) ile kıyaslanınca, bir CD-ROM neredeyse **500** kat kapasiteye sahiptir. Aynı zamanda optik disklerin 2000'lerin başlarında kullanıma giren flash belleklere nazaran çok daha ucuz olması uzun bir süre optik kayıt ortamlarının veri taşımanın ilk tercihi olmasına sebep olmuştur. |
||||
|
||||
Bugün kimileri tarafından [optik disklerin öldüğü](https://www.lifewire.com/death-of-the-computer-optical-drive-832403) iddia edilmekte ve genel olarak tüketiciye sunulan cihazlarda yer ve hafiflik endişeleri ile optik disk sürücüleri gözden çıkarılmakta ise de optik diskler günümüzde görece özel koşullarda tartışmasız avanajlar sunmaktadır. Bu özelliklerin kimileri sayısal güvenlik amacı ile eşsiz sayılabilir. Bu sebepten optik diskleri gözden çıkarmadan önce güvenlik adına kullanımlarının ve genel veri güvenliğinin optik diskler üzerinde nasıl sağlanabileceğinin gözönüne alınması gereklidir. |
||||
|
||||
## Optik disklerin güvenlik kullanımları |
||||
|
||||
Optik diskler çoğu kayıt ortamı gibi fiziki ve sayısal kimi özellikler içermektedir. Bu özellikler günümüzün elektriksel kayıt sistemlerinden farklılıklar göstermekle özel durumlarda tercih edilebilir olmaktadır. |
||||
|
||||
* Optik diskler hafif ve incedir. |
||||
|
||||
* Optik diskler elektronik bir aksam içermediğinden çevresel ve mekanik etkilere dayanıklıdır. |
||||
|
||||
* Elektronik veya metal aksam içermediğinden x-ray veya manyetik dedektör gibi araçlarda daha az görünürlerdir. |
||||
|
||||
* Optik diskler gözden çıkarılabilecek kadar ucuzdur. |
||||
|
||||
* Optik diskler tekrar yazılabilir versiyonları hariç bir kere yazıldıktan sonra değiştirilemezler. |
||||
|
||||
Yukarıda sayılan özelliklerden taşınan verinin güvenlik gereksinimlerine veya taşımanın gerektirdiği güvenlik koşullarına göre faydalanılabilir. |
||||
|
||||
### Optik disklerin saklama kullanımı |
||||
|
||||
Optik disklerin mekanik parçalar içermemesi ve dış etmenlere olan dayanıklılığı çeşitli verilerin güvenli şekilde saklanması için değerli bir özellik oluşturmakta. Her ne kadar büyük kapasiteler sunmasa da önemli verilerin yedeklerinin oluşturulması ve bu yedeklerin güvenli konumlarda saklanmasına imkan sağlamaktadır. Bu bakımdan aşağıdaki örnek koşullarda optik diskler tecih konusu olabilir: |
||||
|
||||
* Kriptografik anahtar ve araçların yedeklerinin saklanması |
||||
|
||||
* Offline tutulması gereken hassas verilerin yedeklenmesi ve saklanması |
||||
|
||||
### Optik disklern taşıma kullanımı |
||||
|
||||
Optik disklerin en değerli kullanımlarından biri veri taşıma ihtiyacında ortaya çıkmaktadır. Optik disklerin ucuz olmaları ve ince yapıları sebebi ile gözden çıkarılabilir şekilde çeşitli aracılar veya riskli alanlardan taşınması mümkün olmaktadır. |
||||
|
||||
* Posta yolu ile anonim şekilde gönderilmeleri |
||||
|
||||
* Sınır güvenliği gibi riskli alanlardan fark ettirilmeden geçirilebilmeleri |
||||
|
||||
* El koyulması durumunda ekonomik bir endişeye yol açmaması |
||||
|
||||
## Optik disklerin teknik faydaları |
||||
|
||||
Veri güvenliğinin operasyonel koşullarında bir verinin optik disk üzerinde tutulması veya işlenmesinin olası faydaları bulunmaktadır. |
||||
|
||||
* Optik diskler çok hızlı şekilde imha edilebilirler. |
||||
|
||||
* Optik diskler bir kere yazıldıktan sonra değiştirilemedikleri için üzerindeki verilerin bütünlüğünü korurlar. |
||||
|
||||
* Optik diskler kolayca depolanabilir ve fazla yer kaplamazlar. Hareketli parça içermediklerinden mekanik olarak görece dayanıklı sayılırlar. |
||||
|
||||
## Şifreli optik disk oluşturmak |
||||
|
||||
Bir optik diskteki verileri şifrelemenin pek çok yolu bulunmakta. [GPG kullanarak tüm dosyaları şifreleyip](yazisma_guvenligi/gpg/gui_gpg.md) diske yazmak mümkün olduğu gibi [uzak sunucudaki dosyaların şifrelendiği](cihaz_guvenligi/uzaksunucu.md) şekilde şifrelenne dizini olduğu gibi diske yazdımak mümkün. |
||||
|
||||
Bu rehber Luks ile bir optik diskin şifrelenmesini anlatacaktır. Bu yöntemin yukarıdaki seçeneklere göre birkaç faydası bulunmakta. |
||||
|
||||
* Tüm GNU/Linux sistemler Luks aygıtları otomatik olarak açabilmekte ve dosya sistemini gösterebilmekte. Bu sebepten diskin kullanımı çok kolaylaşmakta. |
||||
|
||||
* Crypfs ve GPG gibi ayrı bir yazılımın kullanımına gerek kalmadan deşifre işlemi yapılabilmekte. |
||||
|
||||
* Dosya dizinleri ve boyutları gibi üstverilerin ifşası engellenebilmekte. |
||||
|
||||
Bu rehberi takip edebilmek için bir herhangi bir GNU/Linux dağıtımını kullanmanız, root erişimine ve bir disk yazıcıya sahip olmanız gerekmekte. Rehber DVD kapasitesini esas almakla birlikte boyutları dilediğiniz şekilde değiştirmeniz mümkündür. |
||||
|
||||
### Boş bir dosya yaratın |
||||
|
||||
İçine verilerin yazılacağı boş bir dosyaya ihtiyaç duyulmakta. Bunu basitçe `/dev/zero` ile sıfır yazarak yaratabilecek olsak da şifreli verinin diskteki boşluk alanlardan ayırt edilememesi için aşağıdaki şekilde rastgele verilerden bir dosya oluşturun. |
||||
|
||||
`dd if=/dev/urandom of=disk.img bs=1M count=4400` |
||||
|
||||
Count değerini kullandığınız medyanın boyutuna göre ayarlayabilirsiniz. Yukarıdaki komut 4.4Gb boyutunda disk.img adlı bir dosya oluşturacaktır. |
||||
|
||||
### Luks dosyasını oluşturup dosyalarınızı ekleyin |
||||
|
||||
Aşağıdaki komut sırası ile Luks imajını oluşturup dosyalarınızı yedekleyebilirsiniz. Dosyalarınızın konumunu <yedeklenecek dizin yolu> ile belirtlen yere koymayı ihmal etmeyin. |
||||
|
||||
`sudo losetup /dev/loop1 disk.img && cryptsetup luksFormat /dev/loop1 && cryptsetup luksOpen /dev/loop1 yedekdisk && genisoimage -R -J -joliet-long -graft-points -V backup -o /dev/mapper/yedekdisk <yedeklenecek dizinin yolu>` |
||||
|
||||
Yukarıdaki çeşitli komutlar sıra ile çalışacak ve size sıra ile kullanmak istediğiniz parolayı iki kere soracak ve ardından gösterdiğiniz dizindeki dosyaları oluşturulan dosyaya şifreli olarak aktaracaktır. |
||||
|
||||
### Luks dosyasını kapatın |
||||
|
||||
Dosyanın oluşturulması tamamlandıktan sonra aşağıdaki komut ile bilgisayarınızda bağlı bulunan aygıtları kaldırarak imaj dosyasının işleminin tamamlayın. |
||||
|
||||
`sudo cryptsetup luksClose /dev/mapper/yedekdisk && losetup -d /dev/loop1` |
||||
|
||||
### disk.img dosyasını yazın |
||||
|
||||
Tercihiniz olan bir yazdırma yazılımı ile disk.img dosyasını diskinize yazabilirsiniz. Yazma işleminin bitmesinin ardından diskinizi cihazınıza taktığınızda şayet otomatik başlatma ayarlı ise diskinizin parolası sorulacak ve doğru girmeniz durumunda dosya yöneticinizde disk içeriğini şifresiz olarak görebileceksiniz. |
@ -0,0 +1,87 @@ |
||||
## Genel tavsiyeler |
||||
|
||||
### Cihazlarınızı yanınızdan ayırmayın |
||||
|
||||
Cihazlarınızı fiziksel olarak yanınızda tutmak her zaman iyi bir fikirdir. Aksi takdirde bir saldırganın cihazınıza girmek, verilerinizi ele geçirmek ve gelecekteki etkinliklerinizi izlemek amacı ile kötücül yazılım yüklemesine fırsat doğabilir. |
||||
|
||||
Cihazlarınızın zafiyeti tavsiye edilen donanımları kullanıp kullanmadığınıza, [şifrelemenin](cihaz_sifreleme.md) etkinleştirilip etkinleştirilmediğine ve cihazınızı bir parola veya PIN ile koruyup korumadığınıza bağlıdır. |
||||
|
||||
**Bir saldırganın cihazınıza girebilme olasılığı:** |
||||
|
||||
| Cihazınız | Yetkin saldırgan | Eğitimli saldırgan | Olağan saldırgan | |
||||
| ---: | --- | --- | --- | |
||||
| Tavsiye edilen cihaz + Şifrelenmiş + Kilitli | DÜŞÜK | ÇOK DÜŞÜK | HİÇ | |
||||
| Tavsiye edilen cihaz + Kilitli | ORTA | DÜŞÜK | ÇOK DÜŞÜK | |
||||
| Normal cihaz + Şifreli + Kilitli | YÜKSEK | ORTA | DÜŞÜK | |
||||
| Normal cihaz + Kilitli | ÇOK YÜKSEK | YÜKSEK | ORTA | |
||||
| Kilitsiz | KESİN | KESİN | KESİN | |
||||
|
||||
Saldırgan tipleri: |
||||
|
||||
* **Yetkin saldırganlar** Kilitli telefonlara girmekte uzmanlaşmış büyük devletleri ve uluslararası şirketleri kapsar. |
||||
* **Eğitimli saldırganlar** Yerel kolluk kuvvetlerini ve telefon kıran adli tıp şirketlerini kapsar. |
||||
* **Olağan saldırganlar** Özel donanım sahibi olmayan yetenekli teknoloji meraklılarını kapsar. |
||||
|
||||
Eğer cihazınızdan uzak kalacaksanız ve cihazınıza girilme ihtimali var ise verilerinizi yedeklemeli, fabrika ayarlarına dönüş yapmalısınız (veya yeni bir cihaz almayı düşünebilirsiniz). |
||||
|
||||
### Ekran kilidinde PIN veya parola kullanın - biyometrik kullanmayın |
||||
|
||||
Bilgisayarlarımızın aksine mobil cihazlarımız neredeyse sürekli açık kalırlar. Bu sebeple tüm diskiniz şifreli bile olsa açık bulunan cihazınıza her isteyen erişebiliyorsa muhtemelen pek de güvende sayılmazsınız. Ekran kilidinizi 4-6 haneli bir PIN olarak belirleyip kabaca 3 ayda bir [Zarola](https://zarola.oyd.org.tr) yöntemi ile değiştirin veya bir parola belirleyip daha uzun aralıklarla değiştirin. |
||||
|
||||
Parmak izi, yüz tanıma gibi biyometrik yetkilendirme sistemleri doğaları gereği güvensizdir. Her ne kadar şirketler bunların aşılamaz olduklarını iddia etseler de çoğu zaman bu tip sistemlere karşı etkili saldırılar yapılmıştır ve en başarılısı [ebeveyninin parmağına uyuduğu sırada telefonunu dokundurup binlerce dolarlık oyun satın alan çocuğun zekasını aşamaz.](https://www.usatoday.com/story/news/nation/2016/12/28/girl-uses-sleeping-moms-thumbprint-pokemon/95907370/) Bu sebeple biyometrik giriş yöntemleri kullanacaksanız bunları ikinci aşama olarak değerlendirip hem PIN/parola hem biyometrik kullanın. Şayet biyometrik verileriniz bir şekilde bir gün çalınırsa yeni bir parmak veya yüz alamayacağınızı unutmayın. |
||||
|
||||
**Yüksek risk taşıdığınızı düşünüyorsanız, cihazınızı size açtıracak kişinin Avrupa İşkencenin Önlenmesi Komitesi'nin kararlarını umursamayacağını asla unutmayın.** |
||||
|
||||
### Ekranınızı saklayın |
||||
|
||||
En büyük ihlaller en küçük tedbirsizliklerden yaşanabilir. Muhtemelen yüksek bütçeli kırma girişimleri yakınlarımızın telefonlarımızı kurcalamasından daha az olası. Bu sebeple ekran parolanızı veya PIN'inizi girerken ve genel olarak cihazınızı kullanırken telefonunuzun ekranını omzunuzun üstünden bakacak kişilerden sakının. Buna kanıksadığınız güvenlik kameraları da dahildir. Paranoyakça gelebilir ama cihazınızı koruyan en önemli veriyi bu şekilde ortalığa saçmanız muhtemelen her şeyi riske atmanızla eşdeğerdir. |
||||
|
||||
### Kapkaça karşı tedbir alın |
||||
|
||||
Her türlü tedbiri almış olabilirsiniz ama bir an vardır ki cihazınız olabildiğince korunaksızdır. Telefonunuzu kullandığınız an! Bu noktada hem cihazınız açık hem de ekran kilidi yok. Pratik olarak o anda telefonu elinde bulunduran herkes neredeyse her işlemi cihazınız ile yapabilir, [bu bir şaka değil](https://www.bbc.com/news/uk-38183819). Haliyle telefonunuzun elinizden kapılması durumunda tedbir almak için [Privatelock](https://f-droid.org/en/packages/com.wesaphzt.privatelock/) kullanabilirsiniz. |
||||
|
||||
### Bildirimlerin kilit ekranında görülmesine izin vermeyin |
||||
|
||||
Bankanızdan gelen 2FA kodları, sevdiklerinizden gelen yazışmalar, en güncel dedikodular ve hepsi açıkça cihazınızın kilit ekranında görünüyorsa mahremiyetiniz ile birlikte güvenliğiniz de olduğu gibi çöpe gidebilir. Ayarlarınızdan kilit ekranında görülecekleri sınırlayın. |
||||
|
||||
### Bilmediğiniz cihazlara bağlamayın |
||||
|
||||
Bu öneri hem tanınmadık Wi-Fi ağlarını hem de artık her yerde bulunan USB şarj çıkışlarını kapsar. Cihazınızı bu bilinmeyen ortamlara maruz bırakmak sizi riske sokabilir. Ya kendi şarj cihazınızı kullanın ya da bu tip çıkışları kullanmak zorundaysanız [USB kondom](https://en.wikipedia.org/wiki/Juice_jacking#Mitigation) kullanın. Ayrıca yeni Android sürümlerinde "Şarj için USB" diye bir seçenek de vardır. |
||||
|
||||
### Kablosuz aygıtlarınızı kullanmıyorsanız kapatın |
||||
|
||||
Wi-Fi ve Bluetooth gibi teknolojiler kablosuz olarak sizinle ilgili pek çok veriyi ortalığa saçabilirler. Bunun yanı sıra takip edilmeniz için de elverişli bir araç olarak kullanılabilirler. Bu sebeple kullanmadığınız her zaman bu donanımları kapatın. |
||||
|
||||
### Signal kullanın |
||||
|
||||
**Signal** özgür bir anlık yazışma yazılımı olarak telefonunuzla gelen normal yazışmaya güvenli bir alternatif oluşturmaktadır. WhatsApp veya Telegram gibi çalışsa da çok daha güvenlidir. |
||||
|
||||
Neden Signal kullanmalısınız? |
||||
|
||||
* GSM hizmet sağlayıcınız size gönderilen her mesajın bir kopyasını tutmaktadır. Signal ile GSM hizmet sağlayıcınız ne mesajlarınıza ne de iletişimde bulunduğunuz insanlara ulaşabilir. |
||||
* Bir saldırgan için telefon numaranızı ele geçirmek görece kolaydır. Konuştuğunuz kişinin başına bu geldiğinde Signal, kişinin "güvenlik numarası'nın" değiştiğine dair bir uyarı verir. Bu aynı zamanda biri yeni telefon edindiğinde de gerçekleşir. Güvenlik numarasını doğrulamak aranızdaki yazışmaların kimse tarafından okunmadığını garanti eder. |
||||
* Signal aynı zamanda güvenli ses iletişimi için de kullanılabilir. GSM hizmet sağlayıcınız kimi aradığınızı, kimin sizi aradığı ve aramaların uzunluğuna ilişkin kayıt tutar. Signal ile yaptığınız aramalarda GSM servis sağlayızınız bu bilgilere ulaşamaz. Cihazınız güvenli olduğu sürece aramalarınızın içeriği ve uzunluğu gizli kalacaktır. |
||||
* WhatsApp, Telegram veya Wire gibi diğer "güvenli" olarak pazarlanan yazışma programları Signal ile kıyaslanınca çokça soruna sahiptir. |
||||
|
||||
Daha fazla bilgi için, [Security Planner / Signal](https://securityplanner.org/#/tool/signal)'e bakın. |
||||
|
||||
### Silence kullanın |
||||
|
||||
**[Silence](https://silence.im/)**, Android için geliştirilmiş bir SMS (kısa mesaj servisi) yazılımıdır. Silence'ı kurduktan sonra telefonunuzun standart SMS programı olarak atarsınız ve tüm SMS'leriniz Silence'e gelir. Normal koşullarda her SMS programı gibi SMS'leriniz gelir ve gider ama Silence kullanan kişilerle anahtar değişimi yaptıktan sonra tamamen uçtan uca şifreli SMS yazışması yapabilirsiniz. |
||||
|
||||
### Fotoğraf çekerken güvenlik |
||||
|
||||
Telefonunuzun kamerası, çektiğiniz her fotoğrafa yüksek olasılıkla hassas çokça veriyi eklemektedir. İnternet'te paylaştığınız bir gönderinin nasıl kullanılacağını bilemeyeceğinizden, fotoğrafların taşıdığı kişisel veriyi paylaşmadan önce silmek iyi bir fikirdir. |
||||
|
||||
Fotoğraflarınızda "geotagging" sorununu engellemek için, kamera ayarlarınızı açın ve konum bilgisini kaydetme ayarlarını kapatın. |
||||
|
||||
Geotagging kapalı iken bile kamera yazılımınız cihazınızın modelini ve diğer potansiyel olarak hassas veriyi fotoğraflara kaydedecektir. Bu durumdan kurtulmanın en iyi yolu ayrı bir yazılımla EXIF verisini fotoğraf dosyalarından silmektir. Bu yazılımlar aynı zamanda konum bilgisini de çektiğiniz geçmiş fotoğraflardan silmek için de kullanılabilir. |
||||
|
||||
Daha fazla bilgi için: [Fotoğraflardan EXIF üstverisini silmenin 3 yolu](https://www.makeuseof.com/tag/3-ways-to-remove-exif-metadata-from-photos-and-why-you-might-want-to/). |
||||
|
||||
[replicant]:https://replicant.us |
||||
[lineageos]:https://lineageos.org |
||||
[grapheneos]:https://grapheneos.org |
||||
[lineageos devices]:https://wiki.lineageos.org/devices/ |
||||
[grapheneos devices]:https://grapheneos.org/faq#device-support |
||||
[baseband modem]:https://en.wikipedia.org/wiki/Baseband_processor |
@ -0,0 +1,45 @@ |
||||
### Hangi mobil cihaz benim için uygun? |
||||
|
||||
Cihazınızı içinde bulunduğunuz duruma göre seçmelisiniz: |
||||
|
||||
* **Yüksek Risk**: Bir devletin veya uzman ajanlık şirketlerinin hedefi olacağınızdan şüpheleniyorsanız. |
||||
* **Orta Risk**: Hali hazırda hedef olmadığınız halde bir saldırganın cihazlarınıza fiziksel erişim sağlaması durumunda kolay lokma olmayı tercih etmiyorsanız. |
||||
* **Düşük Risk**: Taşınabilir cihazlarınızı hassas veriler için kullanmıyorsanız. |
||||
|
||||
#### Yüksek risk |
||||
|
||||
Eğer riskiniz yüksek ise, **cep telefonunuzu hassas hiç bir şey için kullanmayın**. Bunun sebebi, tüm telefonların sizi kablosuz telefon ağına (hücresel ağ) bağlayan, "[baseband modem][]" olarak adlandırılan bir donanım içermesidir. Bu modemler özel mülktür ve uzaktan kötüye kullanılabilecek pek çok güvenlik açığı içermektedir. Bir kere aşıldıktan sonra, [baseband modem] iletişiminizi takip etmek ve kişisel verilerinizi elde etmek için kullanılabilir. |
||||
|
||||
[Replicant][] tamamen özgür bir Android dağıtımı olarak sadece belirli cihazlar üzerinde çalışmaktadır. Çalıştığı cihazların temel özelliği [baseband modem]'i işlemciden izole etmenin bir imkanı olmasıdır. [Replicant] aynı zamanda, cihaz üzerindeki, Wi-Fi, Bluetooth, GPS gibi donanımları özgür sürücüleri bulunmadığı için çalıştırmaz. Şayet mobil cihaz kullanmanız gerekiyorsa ve bu cihaz ile önemli veriler işleyecekseniz [Replicant] kurulu bir telefon iyi bir tercih olabilir. |
||||
|
||||
Cep telefonlarına alternatif olarak Wi-Fi desteği olan ama hücresel ağa bağlanmayan bir tablet satın alabilirsiniz. Bu tip cihazlar baseband modem içermemektedir ve uzaktan saldırılara karşı çok daha dayanıklıdır. Sadece Wi-Fi içeren bir cihaz ile hala hücresel ağa, ayrı bir taşınabilir hotspot cihazı ile bağlanabilirsiniz. |
||||
|
||||
NOT: Uçak modu yeterli değildir. Cihazınıza bağlı olarak, uçak modunda bile baseband modem hala çalışıyor ve cihazınızı saldırılara açık tutuyor olabilir. |
||||
|
||||
Tavsiye edilen sadece Wi-Fi destekleyen cihazlar: |
||||
|
||||
_Güncellenecektir (1 Ağustos 2020)_ |
||||
|
||||
#### Orta risk |
||||
|
||||
Taşınabilir cihazınızda; devletler, şirketler veya meraklı insanlar tarafından elde edilmesini istemediğiniz hassas veriler mi var? Elbette var, herkesin var! Bu durumda, biri cihazınızı bulduğunda veya çaldığında onların işini olabildiğince zorlaştırmak istemeniz çok doğal. |
||||
|
||||
Şayet hiç uğraşmayacağım diyorsanız, kendinizi Apple şirketinin sinsi yumuşak kollarına bırakıp modern bir iPhone alabilirsiniz. Pek çok gerçek olayda bu cihazlara örgütlü devletler dışında kolaylıkla erişilemediği görüldü. Lakin Apple şirketinin Çin ile yaşadığı aşk, yakın zamanda özgür olmayan yazılımında bulunan açıklar ve İsrailli bir şirketin 1000 ABD dolarına her iPhone'un kilidini kırabildiği iddiası ile yaşamanız gereklidir. |
||||
|
||||
Tavsiyemiz uygun bir cihaz alarak üzerinde [GrapheneOS][] veya [LineageOS][] Android dağıtımları çalıştırmanız ve Google, Facebook gibi casusluk şirketlerinin yazılımları da dahil özgür olmayan yazılımlar **çalıştırmamanızdır**. [GrapheneOS] ve [LineageOS] piyasadan alabileceğiniz pek çok cihaza kolaylıkla kurulabilen ve mahremiyetinize önem veren toplulukların geliştirdiği işletim sistemleridir. |
||||
|
||||
Tavsiye edilen cihazlar: |
||||
|
||||
* **[LineageOS için][lineageos devices]**; |
||||
* [LG G3](https://wiki.lineageos.org/devices/d855) Türkiye'de kolaylıkla bulunabilen, temizi için biraz araştırma gerektiren ama zamanına göre çok iyi donanıma sahip bir cihazdır. LineageOS kurulumu rootlama gereğinden dolayı biraz baş ağrıtabilir ama fiyat/performansta çok başarılıdır. Ancak LG G3 cihazlar, kronik olarak anakart arızası yaşayabilmektedir. Bu durumu göz önünde bulundurmanızı tavsiye ederiz. |
||||
* [Sony Xperia Z](https://wiki.lineageos.org/devices/yuga) Görece eski bir donanım olan Z Türkiye'de bolca ve ucuza bulunabiliyor. LineageOS kurulumu da çok kolaydır. Lakin donanım yaşını gösterdiği için cihazınızı sonuna kadar kullanıyorsanız sizi tatmin etmeyebilir. |
||||
* [Xiaomi Redmi Note 7](https://wiki.lineageos.org/devices/lavender) Çok daha modern bir donanım olarak Redmi Note 7 performans isteyen kullanıcılar için iyi bir tercih olabilir. USB-C desteklediği için de geleceğe dönük rahat etmenizi sağlar. Ancak NFC desteği **bulunmamaktadır**. |
||||
|
||||
* **[GrapheneOS için][grapheneos devices]**; |
||||
* Google [Pixel serisi](https://grapheneos.org/#device-support) cihazların tamamına GraphenOS kurulabilmekte fakat Pixel 4 sürümü henüz tamamlanmadı. Graphene uzun dönemli destek için, şimdilik Pixel 3 serisi cihazları önermektedir. GrapheneOS, Pixel 4 için tamamlandığında bu önerinin Pixel 4 olarak değişmesi muhtemel. |
||||
|
||||
#### Düşük risk |
||||
|
||||
Telefonunuzu kilitsiz bir şekilde öylece ortalıkta mı bırakıyorsunuz? O zaman ya başınıza gelecekleri hak ediyorsunuz ya da gerçekten taşınabilir cihazlarınızda hiçbir şey olmadığını düşünüyorsunuz. Ne yazık ki modern taşınabilir cihazlar İnternet'e bağlı oldukları ve kullanıldıkları sürece siz fark etmeseniz de ziyadesiyle fazla veri üretir ve bunları kaydederler. Bu verilerden belki haberiniz yoktur ama pekala bilgili bir kişi -ki bu bilgisayarla ilgili her sorunuzda aradığınız arkadaşınız bile olabilir- bu bilgilere ulaşmanın bir yolunu bilebilir. |
||||
|
||||
Bu sebeple riskinizin düşük olduğuna eminseniz ve yanıldığınız için pişman olmayacaksanız, pekala herhangi bir telefon alıp ekran kilidi bile kullanmadan hayatınızı sürdürebilirsiniz. |
@ -0,0 +1,3 @@ |
||||
# OpenWRT Kurulumu |
||||
|
||||
[Bu rehbere katkı verebilirsiniz.](https://git.oyd.org.tr) |
@ -0,0 +1 @@ |
||||
[Bu bölüme katkı verebilirsiniz](https://git.oyd.org.tr) |
@ -0,0 +1 @@ |
||||
[Bu bölüme katkı verebilirsiniz](https://git.oyd.org.tr) |
@ -1,3 +1,19 @@ |
||||
# Uzak Sunucuda Dosya Şifreleme |
||||
|
||||
**Bulut yoktur, başkasının bilgisayarı vardır.** |
||||
|
||||
Bugün bulut olarak adlandırılan ama aslında kimi şirketlerin veri merkezlerinde bulundurdukları bilgisayarların depolama imkanları olan saklama hizmetleri temel bir mahremiyet ve güvenlik sorunu oluşturmakta. |
||||
|
||||
Başkasının bilgisayarına verilerinizi gönderdiğinizde, [taşıma sırasında](ag_guvenligi/letsencrypt.md) şifreli olsalar da depolandıkları sabit sürücüde şifresiz şekilde kaydedilecektir. Bu bilgisayarın sahibi olan ile bu sistemlere yeterli yetki ile erişen herkesin de verilerinize dilerseler ulaşabilecekleri anlamına gelir. |
||||
|
||||
Gerçek insanların bunu yaptıklarına dair bir verimiz olsa da mahremiyet zararlısı şirketlerin otomatize sistemler aracılığı ile tüm verilerinizi işlediği bilinen bir gerçek. Google yüklediğiniz dosyalar için sizden [kullanım hakkı](https://www.theverge.com/2012/4/25/2973849/google-drive-terms-privacy-data-skydrive-dropbox-icloud) almakta, dosyalarınızı bilinen dosyalarların [özgüt değerleri ile kıyaslayarak](https://torrentfreak.com/google-drive-uses-hash-matching-detect-pirated-content/) sansür uygulamakta. |
||||
|
||||
Bu duruma en kolay çare başkalarının bilgisayarın kullanmamak olabilir. Bunun için evinizde veya güvendiğiniz bir yerde kendi sunucunuz üzerinde [Nextcloud]( çalıştırabilirsiniz. Lakin kimi kişiler için bu zahmetli, pahalı veya duruma göre imkansız olabilmekte. Bu durumda [şifreleme](cihaz_guvenligi/cihaz_sifreleme.md) yine yardımımıza yetişmekte. |
||||
|
||||
Şayet gönderdiğiniz her veri, dosya sadece taşıma sırasında değil size ait bir anahtar ile şifrelenmiş olursa gönderdiğiniz sunucu tarafında bunların okunması neredeyse imkansız olur. Bu hala verinin silinmesi, şifresinin kırılmaya çalışılması veya [rubber hose](https://en.wikipedia.org/wiki/Rubber-hose_cryptanalysis) saldırılara engel olmayacak olsa da faydalı bir araç olarak gerektiği yerde değerlendirilebilir. |
||||
|
||||
## Planlama |
||||
|
||||
|
||||
|
||||
[Bu bölüme katkı verebilirsiniz](https://git.oyd.org.tr) |
||||
|
@ -0,0 +1,71 @@ |
||||
# Yönlendirici Güvenliği |
||||
|
||||
Evinizin köşesinde unuttuğunuz, telefon kablosuna bağlı ve sadece İnternet bağlantınız kesildiğinde hatırladığınız küçük siyah kutular güvenliğiniz için önemli bir rol üstlenmektedirler. Bu cihazlar sizi internet servis sağlayıcınıza, cihazlarınızı da bir yerel ağ altında birbirine bağlar. |
||||
|
||||
Modem ile yönlendirici teknik olarak farklı şeylerdir. [Modem (modulator demodulator kelimelerinin birleşimi)](https://en.wikipedia.org/wiki/Modem) iki nokta arasında bağlantı kurularak veri aktarılmasını sağlayan bir cihazdır. Bir zamanların çevirmeli bağlantı için kullanılan 56k modemleri gibi [ADSL](https://en.wikipedia.org/wiki/Asymmetric_digital_subscriber_line) ve [VDSL](https://en.wikipedia.org/wiki/VDSL) teknolojileri de sizi internet servis sağlayıcınıza bağlar. Dünya'da kullanımı artık yok olmakta olsa da Türkiye hala fiberoptik altyapı eksikliği altında bu teknolojileri yaygın olarak kullanmaya devam etmektedir. |
||||
|
||||
[Yönlendirici (router)](https://en.wikipedia.org/wiki/Router_(computing)) bir ağı alt ağlara bölmeye yarayan ve aralarındaki trafiği düzenleyen bir donanımdır. Özel olarak tasarlanmış minik bir bilgisayar olmakla birlikte cihazlarınıza kablosuz bağlantı sağlamak ve denetlemekle görevlidir. |
||||
|
||||
Modem olarak satılan cihazlar aslında bir modem ve yönlendiricinin birleşiminden oluşur. Bu bakımdan modeminizin arkasına bir yönlendirici daha eklemenize engel olan bir şey olmadığı gibi modemi ayrı bir donanım olarak alıp bir yönlendiriciye bağlamanız da mümkündür. |
||||
|
||||
Yönlendiricilerin İnternet bağlantınızda ve yerel ağınıza (cihazlarınızın birbirini görebildiği iç ağınız) hakim olması onları güvenliğinizin önemli bir parçası haline getirmekte. Yönlendiricinizin kontrolünde olan bir kişi aşağıdaki saldırılarla sınırlı olmamakla pek çok saldırıyı gerçekleştirebilir: |
||||
|
||||
* Yerel ağınıza bağlı olan cihazları takip edebilir kaydedebilir. |
||||
|
||||
* İnternet bağlantınızın gittiği yerleri ve şifresiz iletişimleri takip edebilir. |
||||
|
||||
* Sizi güvenliğinizi tehdit edecek şekilde sahte sitelere yönlendirebilir. |
||||
|
||||
* Ağınızdaki diğer cihazlara ulaşıp onların güvenliğini aşabilir. |
||||
|
||||
* Ağınızda bulunan depolama aygıtlarına erişebilir ve dosyalarınızı çalabilir. |
||||
|
||||
Bu tehditler ve bunun gerçekleşme ihtimali düşük olasılıklar içermez. Dünya'da pek çok kere yönlendiriciler yüzünden risk altına girmiş kullanıcılar oldu. Bunun sebepleri arasında; [yönlendirici üreticisinin kötü güvenlik uygulamaları](https://arstechnica.com/information-technology/2014/02/dear-asus-router-user-youve-been-pwned-thanks-to-easily-exploited-flaw/), internet servis sağlayıcılarının dağıttığı yönlendiricilere güvensiz ve onaysız uzaktan erişim portları açması, güncellenmeyen veya güncellemesi artık olmayan cihazlardaki güvenlik açıkları sayılabilir. |
||||
|
||||
Bu kadar önemli bir cihazın görece önemsiz görüntüsü nedeni ile ihmal ile karşılanması görece doğal karşılanabilir fakat çok basit tedbir ve değişikliklerle söz konusu cihazların güvenliği sağlanabilir. |
||||
|
||||
## Yönlendirici ve modem arayüz parolanızı değiştirin |
||||
|
||||
Ağınızda bulunan her cihaz yönlendiricinizin ayarlarının yapıldığı arayüze bir web tarayıcısı aracılığı ile erişebilir. Bu durumda cihazınızın ayarlarının değiştirilmesi gibi istenmeyen sonuçlar ortaya çıkabilir. Pek çok yönlendirici standart "admin/admin" gibi parolalarla geldiklerinden bu ayarın kullanımın ilk anında değiştirilmesi gereklidir. |
||||
|
||||
Yönlendiricilerde farklı olabilmekle birlikte çoğu yönlendirici `192.168.1.1` adresinden erişilebilir. Cihazınızdaki web tarayıcısına adresi girdiğinizde karşınıza giriş sayfası çıkacaktır. Buradan cihazınıza ait standart parola ile giriş yaptıktan sonra ayarlar içinden bu parolayı değiştirebilirsiniz. |
||||
|
||||
## Wifi parolalarınızı güvenli kılın |
||||
|
||||
Wifi güvenliği neredeyse her köşede verilen bir tavsiye fakat pek çok insan için pratik gereklilikler altında ihmale uğramakta. Wifi ev ağınızı radyo dalgaları ile belki de yüzlerce metre uzaklara ulaştırmakta ve hiç göremediğiniz biri tarafından erişilebilmesine imkan verebilmekte. |
||||
|
||||
Belki pek çok insan wifi güvenliğinin gerekliliğinin farkında ama misafirlerine güvenli bir parolayı aktarmanın zorluğuna katlanmamak için cep telefonu numaralarından "12345678" gibi bariz girdileri parola olarak kullanmakta. |
||||
|
||||
Bu neden ile wifi parolalarınızı [zarola](https://zarola.oyd.org.tr) veya rastgele 16-24 karakter uzunluğunda bir değer ile değiştirmeniz tavsiye edilir. Zarola ezberlemesi kolay olacağından misafirlerinizin veya ağa yeni eklemek istediğiniz cihazların kolaylıkla dahil edilmesine imkan verirken rastgele parola ise sıklıkla parola değiştirmenize imkan sağlayacaktır. |
||||
|
||||
Kablosuz ağınızın kullandığı şifreleme algoritmasının da günümüz gerekliliklerine uygun olduğunu denetleyin. WEP artık güvenli sayılmayan ve aşılması çok kolay bir güvenlik tedbiri olarak kesinlikle tavsiye edilmemektedir. Bunun yerine modern WPA2 şifrelemeyi kullanmanız güvenli bir wifi ağı için gereklidir. |
||||
|
||||
Ağınıza güvendiğiniz misafirler olsa bile bilinmeyen cihazları eklemeniz önerilmez. Bu bakımdan kimi yönlendiriciler yalıtılmış ve sadece İnternet bağlantısı sağlayan "misafir" ağları oluşturabilir. Cihazınız bu imkanı sağlıyor ise kullanmanız kesinlikle tavsiye edilir. Şayet parolanızı misafirlerinizle kolaylıkla paylaşmak isterseniz [karekod](https://qifi.org/) yardımı ile cihazların kolayca tarayıp bağlantı sağlayabileceği karekodlar oluşturabilirsiniz. |
||||
|
||||
## Mümkün ise wifi kullanmayın |
||||
|
||||
Wifi çok rahat bir kullanım sağlasa bile her halukarda cihazınızı erişiminiz olmayan dış dünyaya açarak bir saldırı imkanı doğurur. Tüm yazılımlar ve donanımlar gibi bilinmeyen güvenlik açıklarının var olduğu bir dünyada bu kimi zaman kabul edilemeyecek bir risk taşıyabilir. |
||||
|
||||
Kablolu bağlantılar hem daha istikrarlı bağlantı sağlar hem de ağınız ile ilgili bilgilerin dışarıya radyo dalgaları ile sızmasını engeller. Bu neden ile şayet wifi ağına ihtiyacınız özellikle yok ise cihazlarınızı kablo ile bağlayıp wifi ağınızı tamamen kapatmanız faydalı olabilir. Bu aynı zamanda Google gibi mahremiyet düşmanı şirketlerin ağınızın konumunu kullanıp kaydetmesine de engel olacaktır. |
||||
|
||||
## Cihazlarınıza fiziki erişimi sınırlandırın |
||||
|
||||
Tüm güvenliği kritik cihazlarınız gibi yönlendiricinizin de ortalık yerde durması uygun bir durum sayılmaz. Bu bakımdan cihazınızı gözden uzak mümkünse erişimi kolay olmayan bir alanda saklamanız önerilir. Bu cihazınıza doğrudan erişimi engelleyerek çeşitli müdahaleleri görece zor kılacağından güvenliğinize katkı sunacaktır. |
||||
|
||||
## Cihazınızı güncelleyin |
||||
|
||||
Pek çok yönlendirici satın alındıkları tarihten itibaren üreticisi tarafından belirli süreler ile güncellemeler ile desteklenmektedir. Ne yazık ki görece ucuz ve önemsenmeyen ürünler olmakla hem üreticiler tarafından gerekli güvenlik güncellemeleri bir süre yapılmamakta ve kullanıcılar da gerekli güncellemeleri zamanında uygulamamakta. Bu tip açıklardan dolayı pek çok güvenlik açığı kablosuz bağlantı veya uzak erişim ile kullanıcılarının güvenliğini tehdit edebilmektedir. |
||||
|
||||
Cihazınızın yönetim paneline girerek güncelleme seçeneklerine bakabilir veya üreticinin web sayfasından elinizdeki modelin sunulan en güncel yazılımına bakabilirsiniz. Şayet üreticiniz artık cihazınıza destek vermiyor ise özgür bir yazılım ile cihazınızı güncelleyebilir veya yeni bir modele geçerek destek alabilirsiniz. |
||||
|
||||
## Cihazınızı özgürleştirin |
||||
|
||||
Her ne kadar yukarıdaki tavsiyeler genel olarak tüm yönlendiriciler için geçerli olsalar da üreticilerin pek de özen göstermedikleri ürünler olmakla son kullanıcı yönlendiricileri pek çok mülk yazılım içermekte ve potansiyel olarak incelenememiş güvenlik açıkları içerme ihtimali taşımakta. Bu duruma en iyi çözüm ise yazılım özgürlüğünden geçmekte. LibreCMC ve OpenWRT sayılması gereken en önemli projeler olmakla belirli donanımları güncel özgür sistemlerle güncelleyerek güvenliğinizi hatrısayılır miktarda arttırabilir ve cihazlarınızın kabiliyetini de geliştirebilirsiniz. |
||||
|
||||
* [LibreCMC kurulumu](cihaz_guvenligi/librecmc.md) |
||||
|
||||
* [Openwrt kurulumu](cihaz_guvenligi/openwrt.md) |
||||
|
||||
|
||||
|
||||
|
@ -0,0 +1 @@ |
||||
[Bu bölüme katkı verebilirsiniz](https://git.oyd.org.tr) |