Merge pull request 'master' (#73) from AA/guvenlik:master into master

Reviewed-on: oyd/guvenlik#73
master
murat emir cabaroğlu 4 years ago
commit c7591e255e
  1. 1
      src/SUMMARY.md
  2. 5
      src/cihaz_guvenligi/boot_guvenligi.md
  3. 22
      src/cihaz_guvenligi/sifreli_boot.md
  4. 84
      src/yazisma_guvenligi/silence.md
  5. BIN
      src/yazisma_guvenligi/silence/acilis.png
  6. BIN
      src/yazisma_guvenligi/silence/anaekran.png
  7. BIN
      src/yazisma_guvenligi/silence/anahtarlar.png
  8. BIN
      src/yazisma_guvenligi/silence/ayarlar.png
  9. BIN
      src/yazisma_guvenligi/silence/baslangic.png
  10. BIN
      src/yazisma_guvenligi/silence/bos.png
  11. BIN
      src/yazisma_guvenligi/silence/iletim.png
  12. BIN
      src/yazisma_guvenligi/silence/import_export.png
  13. BIN
      src/yazisma_guvenligi/silence/init.png
  14. BIN
      src/yazisma_guvenligi/silence/karekod.png
  15. BIN
      src/yazisma_guvenligi/silence/karekod_menu.png
  16. BIN
      src/yazisma_guvenligi/silence/kilit.png
  17. BIN
      src/yazisma_guvenligi/silence/kimlik.png
  18. BIN
      src/yazisma_guvenligi/silence/mahremiyet.png
  19. BIN
      src/yazisma_guvenligi/silence/mesaj.png
  20. BIN
      src/yazisma_guvenligi/silence/parola.png
  21. BIN
      src/yazisma_guvenligi/silence/session.png
  22. BIN
      src/yazisma_guvenligi/silence/sistem_import.png
  23. BIN
      src/yazisma_guvenligi/silence/verify.png

@ -25,6 +25,7 @@
- [OTR İle Anlık Yazışma](yazisma_guvenligi/otr.md) - [OTR İle Anlık Yazışma](yazisma_guvenligi/otr.md)
- [OMEMO İle Anlık Yazışma](yazisma_guvenligi/omemo.md) - [OMEMO İle Anlık Yazışma](yazisma_guvenligi/omemo.md)
- [Signal İle Anlık Yazışma](yazisma_guvenligi/signal.md) - [Signal İle Anlık Yazışma](yazisma_guvenligi/signal.md)
- [Silence İle SMS Şifreleme](yazisma_guvenligi/silence.md)
- [Ağ Güvenliği](ag_guvenligi/README.md) - [Ağ Güvenliği](ag_guvenligi/README.md)
- [Güvenli Web Gezintisi](ag_guvenligi/guvenli_web_gezintisi.md) - [Güvenli Web Gezintisi](ag_guvenligi/guvenli_web_gezintisi.md)
- [Tor](ag_guvenligi/tor.md) - [Tor](ag_guvenligi/tor.md)

@ -38,5 +38,6 @@ Sisteminizdeki UEFI veya Libreboot bir önyükleyici çalıştıracaktır. GNU/L
## Boot güvenliğine giriş yapın ## Boot güvenliğine giriş yapın
[Libreboot ve GPG ile Boot Güvenliği](libreboot_grub.md) * [Libreboot ve GPG ile Boot Güvenliği](libreboot_grub.md)
[UEFI ile /boot Sektörü Şifreleme](sifreli_boot.md)
* [UEFI ile /boot Sektörü Şifreleme](sifreli_boot.md)

@ -6,15 +6,15 @@ GNU/Linux dağıtımlarının kurulum aşamasında sunduğu tam disk şifreleme
## Boot sektörünü şifrelemek ne sağlar? ## Boot sektörünü şifrelemek ne sağlar?
* Boot sektörünün şifrelenmesi bilgisayarınıza kapalı iken erişen fiziken erişen bir kişinin kötücül bir çekirdek veya grub yapılandırmasını sürücünüze yazarak bilgisayarınızın güvenliğini elinizden almasına yüksek oranda engel olur. Boot sektörünün şifrelenmesi bilgisayarınıza kapalı iken erişen fiziken erişen bir kişinin kötücül bir çekirdek veya grub yapılandırmasını sürücünüze yazarak bilgisayarınızın güvenliğini elinizden almasına yüksek oranda engel olur.
## Boot sektörünün şifrelenmesi ## Boot sektörünün şifrelenmesi
**UYARI: Bu rehberde yapacağınız işlemler işletim sisteminizin çalışmamasına sebebiyet verebilir. Yedek almadan bu rehberde anlatılanları uygulamamanız hararetle önerilir** **UYARI: Bu rehberde yapacağınız işlemler işletim sisteminizin çalışmamasına sebebiyet verebilir. Yedek almadan bu rehberde anlatılanları uygulamamanız hararetle önerilir**
Bu rehber anlatımında [Cryptsetup-team](https://cryptsetup-team.pages.debian.net/cryptsetup/encrypted-boot.html) rehberini esas almış ve kimi noktalarda değişiklikler vardır. Test Fedora 31 dağıtımı ile UEFI kullanan Dell XPS 13 cihaz üzerinde yapmıştır. Bu rehber anlatımında [Cryptsetup-team](https://cryptsetup-team.pages.debian.net/cryptsetup/encrypted-boot.html) rehberini esas almış ve kimi noktalarda değişiklikler getirmiştir. Test Fedora 31 dağıtımı ile UEFI kullanan Dell XPS 13 cihaz üzerinde yapmıştır.
Öncelikle bilgisayarınızın kurulum aşamasında LUKS şifreleme ile kurulduğu varsayımı ile aşağıdaki komut ile sürücünüzün düzenine bakın. Öncelikle bilgisayarınızın kurulum aşamasında LUKS şifreleme ile kurulduğu varsayımı ile aşağıdaki komut aracılığıyla sürücünüzün düzenine bakın.
``` ```
root@debian:~# lsblk -o NAME,FSTYPE,MOUNTPOINT /dev/sda root@debian:~# lsblk -o NAME,FSTYPE,MOUNTPOINT /dev/sda
@ -29,9 +29,9 @@ sda
``` ```
Yukarıda bulunan /boot olarak işaretli olan "sda1" kurulumumuzun konusu olan donanımı ifade etmektedir. Bu değer sizin cihazınızda farklı olabilir. **Doğru cihazı seçtiğinizden emin olun.** Bu rehberde hep sda1 olarak kullanılacaktır. Yukarıda bulunan /boot olarak işaretli olan "sda1" kurulumumuzun konusu olan donanımı ifade etmektedir. Bu değer sizin cihazınızda farklı olabilir. **Doğru cihazı seçtiğinizden emin olun.** Bu rehberde hep sda1 olarak kullanılacaktır.
Boot sektörünü şifrelemek için ilgili sektör silip tekrar yapılandırılacağı için öncelikle /boot altında olan dosyaların bir kopyasının alınması gerekmektedir. Sisteminizde bu rehber dahilinde yapacağınız pek çok işlem root yetkisi gerektrmektedir. Başlamak için; Boot sektörünü şifrelemek için ilgili sektör silip tekrar yapılandırılacağı için öncelikle /boot altında olan dosyaların bir kopyasının alınması gerekmektedir. Sisteminizde bu rehber dahilinde yapacağınız pek çok işlem root yetkisi gerektirmektedir. Başlamak için;
/boot dizinini salt-okunur olarak mount edin. /boot dizinini salt-okunur olarak bağlayın edin.
`mount -oremount,ro /boot` `mount -oremount,ro /boot`
@ -43,11 +43,11 @@ Boot sektörünü şifrelemek için ilgili sektör silip tekrar yapılandırıla
`tar -C /boot --acls --xattrs --one-file-system -cf /tmp/boot.tar .` `tar -C /boot --acls --xattrs --one-file-system -cf /tmp/boot.tar .`
/boot dizinini unmount edin. /boot dizinini çıkarın.
`umount /boot` `umount /boot`
Eğer /boot/efi gibi alt noktalar var ise cihazınızda onları da unmount edin. Eğer /boot/efi gibi alt noktalar var ise cihazınızda onları da çıkarın.
`umount /boot/efi` `umount /boot/efi`
@ -55,11 +55,13 @@ Eğer /boot/efi gibi alt noktalar var ise cihazınızda onları da unmount edin.
/boot sektörünün olacağı cihazı LUKS1 ile şifreleyin. /boot sektörünün olacağı cihazı LUKS1 ile şifreleyin.
**Şayet cihazınızın /root sektörü de şifreli ise aşağıda belirleyeceğiniz parolanın farklı olması durumunda bilgisayarınızın her açılışında 3 kere parola girmeniz gerekeceğini hatırlatmak isteriz. Bu durumu önlemenin çeşitli yolları olsa da güvenlik endişeniz yüksek ise 3 kere parola girmeye katlanmanız veya aynı parolayı hem /boot hem /root sektörleri için belirlemenizi öneririz. Şayet aynı parolayı kullanırsanız işletim sisteminiz otomatik otomatik olarak 1 parola girişini atlayacaktır.** **ÖNEMLİ NOT: Şayet cihazınızın /root sektörü de şifreli ise aşağıda belirleyeceğiniz parolanın farklı olması durumunda bilgisayarınızın her açılışında 3 kere parola girmeniz gerekeceğini hatırlatmak isteriz. Bu durumu önlemenin çeşitli yolları olsa da güvenlik endişeniz yüksek ise 3 kere parola girmeye katlanmanız veya aynı parolayı hem /boot hem /root sektörleri için belirlemenizi öneririz. Şayet aynı parolayı kullanırsanız işletim sisteminiz otomatik otomatik olarak 1 parola girişini atlayacaktır.**
```
cryptsetup luksFormat --type luks1 /dev/sda1
`cryptsetup luksFormat --type luks1 /dev/sda1`
```
WARNING! WARNING!
======== ========
This will overwrite data on /dev/sda1 irrevocably. This will overwrite data on /dev/sda1 irrevocably.

@ -0,0 +1,84 @@
# Silence ile SMS Şifreleme
## SMS'ler neden şifrelenmelidir
[SMS veya kısa mesaj servisi](https://en.wikipedia.org/wiki/Short_Message_Service) cep telefonlarına gelen ilk yazılı iletişim sistemidir. Bu amaçla günümüzde artık kişiler arasındaki iletişim için pek kullanılmasa da GSM sistemleri tarafından hala desteklenmekte ve [2FA](/beseri_guvenlik/2fa.md) için sıklıkla kullanılmaktadır.
SMS'ler operatörlerin elinde bulunan anahtarlarla telefon ile baz istasyonu arasında şifrelenmektedir. Lakin anahtar kullanıcının kontorlünde olmadığından uçtan uca şifrelemenin sağlayacağı güvenliği veya operatör ile uyması gereken kanunlara karşı mahremiyeti sunamayacaktır. [Aynı zamanda GSM ağındaki SMS şifrelemenin dayanıklılığı da şüphelidir.](https://www.schneier.com/blog/archives/2019/11/eavesdropping_o_8.html)
## SMS şifreleme gerekli midir
Çoğu günümüz kullanıcısının SMS'i unuttuğu düşünüldüğünde SMS'in gerekliliği veya zaten kullanılmayan bir şeyin şifrelenmesi sorgulanabilir. SMS'i mobil cihazlarla iletişimimiz yönünden önemli kılan bir özelliği vardır: İnternet gerektirmemesi. Mobil İnternet iletişiminin veya genel olarak İnternet erişiminin kesildiği, engellendiği veya bulunulan alan dolayısı ile mümkün olmadığı durumlarda SMS kullanılabilir tek yazılı iletişim sistemidir. Aynı zamanda sesli aramaya göre çok daha az bant genişliği kullandığından afetlerde veya baz istasyonu kapasitesinin dar olduğu bölgelerde başarılı şekilde kullanılabilmektedir.
Bu sebepte ötürü SMS ile şifreli yazışma yapabilmek kimi olasılıklarda yapılabilecek tek şifreli iletişim olabilir. Bu sebepten SMS şifrelemeye bugünden başlanması ve hazır tutulması sadece günlük mahremiyetinizi ve güvenliğinizi arttırmaz aynı zamanda olası bir durumda iletişiminizi güvenli tutmaya imkan sağlar.
## SMS nasıl şifrelenir
SMS temelde mesaj başına 160 karakter metin aktarımı sağlar. Bu bakımdan haricen şifrelenmiş bir veriyi mesaj olarak göndermenizde bir engel yoktur. Dilerseniz [GPG](yazisma_guvenligi/eposta-sifreleme.md) ile bir mesajı şifreleyip SMS ile uzun da olsa göndermeniz mümkündür. Bu yöntem kesinlikle pratik olmamakla birlikte gerektiğinde kullanılabilir.
[Silence](https://silence.im/) özgür bir Android yazılımı olarak SMS şifrelemeyi neredeyse sorunsuz şekilde gerçekleştirmektedir. [F-droid](https://f-droid.org) üzerinden indirebileceğiniz yazılım cihazınızın standart SMS yazılımının yerine geçer ve hem şifreli hem şifresiz SMS'lerinizi Silence aracılığı ile kullanabilirsiniz. Silence ile diğer SMS yazılımları arasındaki farkı anlamak neredeyse mümkün değildir.
## Silence ile SMS şifreleme
Silence'i kurup ilk çalıştırdığınızda sizi bir kurulum sihirbazı ile karşılayacaktır. Devam (continue) diyerek devam edin.
![alt-text](silence/baslangic.png)
Açılış ekranı geldiğinde üst çubukta telefonunuzda daha önce bulunan SMS'leri kendi bünyesine eklemek isteyip istemediğinizi soracaktır. Evet demeniz durumunda SMS'lerinize erişmek için yetki isteyecek ve olumlu cevaplamanız üzerine var olan mesajlarınızı indirecektir.
![alt-text](silence/acilis.png)
![alt-text](silence/sistem_import.png)
Sonrasında size gelen mesajlara iletildi raporu gönderip gördermemek konusunda izninizi isteyecektir. Bu karar mahremiyet beklentinize göre cevaplamalısınız. İletim raporları mesaj atanlara cihazınızın açık ve mesajın iletildiğini bildireceğinden sosyal/güvenlik sorunları yaratabilir.
![alt-text](silence/iletim.png)
Ardından Silence sizi ana ekranı ile başbaşa bırakacaktır. Bu noktadan sonra kimi ayarlara müdahale edebilir ve yazılımı tanımaya başlayabilirsiniz. Ana ekrande 3 adet düğme bulunur.
![alt-text](silence/anaekran.png)
Menüye tıkladığınızda sizi aşağıdaki seçenekler karşılar.
![alt-text](silence/ayarlar.png)
İçe ve dışa aktarım ayarları (import/export) Silence'ın kullanımında önemlidir. Bu ayarlardan Silence'da bulunan SMS'lerinizi yedekleyebilir ve yedeklerinizi daha sonra geri alabilirsiniz. Yedeklerinizi şifreli almanız güvenliğiniz için önerilir veya şifresiz yedeklerinizi alıp daha sonra şifreleyebilirsiniz. [Cihazınıza olan güveniniz bu kararınızda etkili olacaktır.](/cihaz_guvenligi/mobil_cihazlar.md)
![alt-text](silence/import_export.png)
Mahremiyet (privacy) ayarları da Silence'ın kullanımına ilişkin önemli ayarları içerir. Bu menüde yapabileceğiniz en önemli ayar bir parola ile Silence'ın anahtar ve SMS'lerinin bulunduğu veri tabanını şifrelemektir. Bunun için parolayı etkinleştir (enable passphrase) seçeneğine tıkladıktan sonra gelen bölüme [bir parola yöneticisinden aldığınız](/beseri_guvenlik/parolalar.md) rastgele parolayı veya bir [Zarola](https://zarola.oyd.org.tr) girerek kurulumu sonlandırabilirsiniz.
![alt-text](silence/mahremiyet.png)
![alt-text](silence/parola.png)
Menü de "kimlik anahtarınız" (Your Identity Key) menüsünde, Silence'ın SMS'lerinizi şifrelemekte kullandığı anahtarın parmak izini bulabilirsiniz. Bu parmakizi sizi tanımlamakta ve Silence ile şifreli yazıştığınız kişiler bu anahtara güvenmektedirler. Bu kimlik bilgisini web sitenizde yayınlayabilir, çevrenize çeşitli kanallardan duyurabilirsiniz. Böylece size ilk defa şifreli SMS atacaklar yazışmanın güvenli olduğunu doğrulayabilir. Bu anahtar telefonunuzu değiştirmeniz, yeniden kurmanız veya Silence'ı yedeklemeden kaldırmanız durumunda **kaybolacaktır.** Bu neden ile şifreli bir yedeği dışa aktarıp güvenli şekilde saklayarak anahtarınızı koruyabilirsiniz.
![alt-text](silence/kimlik.png)
Şifreli yazışma yapmak için ana ekrandan yeni mesaj düğmesine basıp gelen listeden Silence kullandığını bildiğiniz birini seçin ve yeni bir yazışma başlatın.
![alt-text](silence/mesaj.png)
Karşınıza gelen ekranda kişinin isminin yanında bulunan açık konumdaki asmakilit sembolüne tıklayın ve ardından "Güvenli oturum başlat" (start secure session) düğmesine tıklayın.
![alt-text](silence/session.png)
![alt-text](silence/init.png)
Gelen soruyu "evet" olarak cevaplamanız durumunda Silence karşı tarafa anahtar değişimi için bir SMS gönderecektir. Konuşmak istediğiniz kişi Silence kullanıyor ise kendisine sizin onun ile güvenli oturum başlatmak istediğinize dair bir bildirim düşecektir. Kişinin bu bildirimi olumlu cevaplaması ile size anahtar değişimini tamamlayacak bir SMS gelecek ve kişinin isminin yanındaki asmakilit sembolü kapalı konuma geçecektir.
![alt-text](silence/kilit.png)
## Anahtarların doğrulanması
Her uçtan uca şifreleme aracında olduğu gibi Silence kullanırken de konuştuğunuz kişiler ile anahtarlarınızı **mutlaka** doğrulamalısınız. Aksi halde iletişimizin arasına giren kötü niyetli bir kişinin iletişiminizi **[takip edebilir veya dilediği gibi değiştirebilir](https://en.wikipedia.org/wiki/Man-in-the-middle_attack).** Bunu engellemek için konuştuğunuz kişinin bölümüne gelip asmakilit simgesine tıklayıp "verify identity" (kimlik doğrula) bölümünü açıp ilgili alandaki size ve karşı tarafa ait anahtarların doğru olduğunu kontrol etmelisiniz.
![alt-text](silence/anahtarlar.png)
![alt-text](silence/verify.png)
Bunu doğrulamayı tercihen sesli bir iletişim kanalı üzerinden yapabilirsiniz. GSM araması yerine [signal](signal.md) veya Jitsi araması yaparak daha güvenli bir doğrulama gerçekleştirebilirsiniz. Her halukarda en iyisi bu karşılaştırmayı yüzyüze yapmaktır. Bu durumda anahtarların göründüğü ekranın sağ üst köşesindeki karekod okutma imkanı çok kolaylık sağlayacaktır. Açılan menüden kendi anahtarınızı karekod olarak göstermeyi veya karşı tarafın karekodunu taramayı seçebilirsiniz.
![alt-text](silence/karekod.png)
![alt-text](silence/karekod_menu.png)
Bu noktadan sonra Silence anahtar değişimi yaptığınız kişi ile şifreli olarak SMS alıp gönderecektir. Siz ise bu durumu asmakilit sembolünden başka hiç bir noktada fark etmeyecek ve rahatlık içinde iletişiminizi sürdürebileceksiniz.

Binary file not shown.

After

Width:  |  Height:  |  Size: 29 KiB

Binary file not shown.

After

Width:  |  Height:  |  Size: 28 KiB

Binary file not shown.

After

Width:  |  Height:  |  Size: 78 KiB

Binary file not shown.

After

Width:  |  Height:  |  Size: 26 KiB

Binary file not shown.

After

Width:  |  Height:  |  Size: 35 KiB

Binary file not shown.

After

Width:  |  Height:  |  Size: 16 KiB

Binary file not shown.

After

Width:  |  Height:  |  Size: 36 KiB

Binary file not shown.

After

Width:  |  Height:  |  Size: 52 KiB

Binary file not shown.

After

Width:  |  Height:  |  Size: 28 KiB

Binary file not shown.

After

Width:  |  Height:  |  Size: 31 KiB

Binary file not shown.

After

Width:  |  Height:  |  Size: 39 KiB

Binary file not shown.

After

Width:  |  Height:  |  Size: 57 KiB

Binary file not shown.

After

Width:  |  Height:  |  Size: 30 KiB

Binary file not shown.

After

Width:  |  Height:  |  Size: 52 KiB

Binary file not shown.

After

Width:  |  Height:  |  Size: 18 KiB

Binary file not shown.

After

Width:  |  Height:  |  Size: 39 KiB

Binary file not shown.

After

Width:  |  Height:  |  Size: 20 KiB

Binary file not shown.

After

Width:  |  Height:  |  Size: 64 KiB

Binary file not shown.

After

Width:  |  Height:  |  Size: 27 KiB

Loading…
Cancel
Save