Merge pull request 'Alper'in değişiklikleri conflict resolution' (#114) from ooguz/guvenlik:master into master

Reviewed-on: oyd/guvenlik#114
remotes/1693056193957007826/master
Özcan Oğuz 4 years ago
commit 3e1f23343e
  1. 24
      src/SUMMARY.md
  2. 4
      src/beseri_guvenlik/2fa.md
  3. 59
      src/beseri_guvenlik/andotp.md
  4. BIN
      src/beseri_guvenlik/andotp/Screenshot_20201029-155250.png
  5. BIN
      src/beseri_guvenlik/andotp/acilis.png
  6. BIN
      src/beseri_guvenlik/andotp/anaekran.png
  7. BIN
      src/beseri_guvenlik/andotp/ayarlar1.png
  8. BIN
      src/beseri_guvenlik/andotp/ayarlar2.png
  9. BIN
      src/beseri_guvenlik/andotp/ekleme.png
  10. BIN
      src/beseri_guvenlik/andotp/fdroid1.png
  11. BIN
      src/beseri_guvenlik/andotp/fdroid2.png
  12. BIN
      src/beseri_guvenlik/andotp/fdroid3.png
  13. BIN
      src/beseri_guvenlik/andotp/fdroid4.png
  14. BIN
      src/beseri_guvenlik/andotp/kurulum1.png
  15. BIN
      src/beseri_guvenlik/andotp/kurulum2.png
  16. BIN
      src/beseri_guvenlik/andotp/kurulum3.png
  17. BIN
      src/beseri_guvenlik/andotp/otptoken.png
  18. BIN
      src/beseri_guvenlik/andotp/otptoken1.png
  19. 3
      src/beseri_guvenlik/locker.md
  20. 3
      src/beseri_guvenlik/yubikey_2fa.md
  21. 14
      src/cihaz_guvenligi/README.md
  22. BIN
      src/cihaz_guvenligi/ga/qrcode.png
  23. 116
      src/cihaz_guvenligi/ga_pam.md
  24. 1
      src/cihaz_guvenligi/grapheneos.md
  25. 6
      src/cihaz_guvenligi/libreboot_grub.md
  26. 3
      src/cihaz_guvenligi/librecmc.md
  27. 1
      src/cihaz_guvenligi/lineageos.md
  28. 19
      src/cihaz_guvenligi/login.md
  29. 91
      src/cihaz_guvenligi/luks_optik.md
  30. 87
      src/cihaz_guvenligi/mobil_cihaz_tavsiyeler.md
  31. 45
      src/cihaz_guvenligi/mobil_cihaz_tercih.md
  32. 129
      src/cihaz_guvenligi/mobil_cihazlar.md
  33. 3
      src/cihaz_guvenligi/openwrt.md
  34. 0
      src/cihaz_guvenligi/parmak_pam.md
  35. 1
      src/cihaz_guvenligi/ssh.md
  36. 1
      src/cihaz_guvenligi/sunucu_2fa.md
  37. 16
      src/cihaz_guvenligi/uzaksunucu.md
  38. 71
      src/cihaz_guvenligi/yonlendirici.md
  39. 1
      src/cihaz_guvenligi/yubikey_pam.md
  40. 4
      src/yazisma_guvenligi/gpg/gpg.md

@ -6,19 +6,37 @@
- [Mesaj Disiplini](beseri_guvenlik/mesaj_disiplini.md)
- [Parolalar](beseri_guvenlik/parolalar.md)
- [Çift Aşamalı Doğrulama (2FA)](beseri_guvenlik/2fa.md)
- [andOTP ile OTP](beseri_guvenlik/andotp.md)
- [Yubikey ile 2FA](beseri_guvenlik/yubikey_2fa.md)
- [Fiziki Güvenlik](beseri_guvenlik/fiziki_guvenlik.md)
- [Haven ile Ortam İzlemesi](beseri_guvenlik/haven.md)
- [Oje ve Entropi ile Cihaz Güvenliği](beseri_guvenlik/oje.md)
- [Private Lock ile Kapkaç Tedbiri](beseri_guvenlik/private_lock.md)
- [Locker ile Ekran Kilidi Güvenliği](beseri_guvenlik/locker.md)
- [Cihaz Güvenliği](cihaz_guvenligi/README.md)
- [Yazılım Güvenliği](cihaz_guvenligi/yazilim_guvenligi.md)
- [Cihaz Şifreleme](cihaz_guvenligi/cihaz_sifreleme.md)
- [Mobil Cihazlar](cihaz_guvenligi/mobil_cihazlar.md)
- [Taşınabilir Bellekler](cihaz_guvenligi/luks_usb.md)
- [Boot Güvenliği](cihaz_guvenligi/boot_guvenligi.md)
- [Libreboot ve GnuPG ile boot güvenliği](cihaz_guvenligi/libreboot_grub.md)
- [Şifreli Boot Sektörü](cihaz_guvenligi/sifreli_boot.md)
- [Harici Bellekte Boot Sektörü](cihaz_guvenligi/usb_grub.md)
- [Login Güvenliği](cihaz_guvenligi/login.md)
- [Yubikey PAM](cihaz_guvenligi/yubikey_pam.md)
- [Google Authenticator PAM](cihaz_guvenligi/ga_pam.md)
- [Parmakizi PAM](cihaz_guvenligi/parmak_pam.md)
- [Cihaz Şifreleme](cihaz_guvenligi/cihaz_sifreleme.md)
- [Mobil Cihazlar](cihaz_guvenligi/mobil_cihazlar.md)
- [Mobil Cihaz Tercihi](cihaz_guvenligi/mobil_cihaz_tercih.md)
- [LineageOS](cihaz_guvenligi/lineageos.md)
- [GrapheneOS](cihaz_guvenligi/grapheneos.md)
- [Mobil Cihaz Güvenliği](cihaz_guvenligi/mobil_cihaz_tavsiyeler.md)
- [Taşınabilir Bellekler](cihaz_guvenligi/luks_usb.md)
- [Optik Diskler](cihaz_guvenligi/luks_optik.md)
- [Uzak sunucu](cihaz_guvenligi/uzaksunucu.md)
- [SSH Güvenliği](cihaz_guvenligi/ssh.md)
- [2FA Erişimi](cihaz_guvenligi/sunucu_2fa.md)
- [Yönlendirici Güvenliği](cihaz_guvenligi/yonlendirici.md)
- [Librecmc](cihaz_guvenligi/librecmc.md)
- [Openwrt](cihaz_guvenligi/openwrt.md)
- [Yazışma Güvenliği](yazisma_guvenligi/README.md)
- [GnuPG](yazisma_guvenligi/gpg/gpg.md)
- [GnuPG Anahtar Üretimi](yazisma_guvenligi/gpg/gpg-anahtar-uretimi.md)

@ -20,11 +20,15 @@ Bugün bankacılık işlemleri yapan neredeyse herkes 2FA'nın en yaygın metodu
* [FreeOTP+](https://github.com/helloworld1/FreeOTPPlus) ve [andOTP](https://github.com/andOTP/andOTP), Android cihazlarınızda 2FA kodları üretmek için kullanabileceğiniz özgür yazılımlardır.
[andOTP kullanım rehberi](beseri_guvenlik/andotp.md)
* **Donanımsal anahtarlar ile**: Özellikle çift aşamalı yetkilendirme için tasarlanmış cihazlar güvenlik için en iyi çözümdür. Lakin donanımların pahalı olması sebebi ile pek az hizmet bu yöntemi tercih etmektedir. Bu amaçla kendi cihazınızı alıp yazılım yerine bu cihazlar ile kod üretimi yapabilirsiniz.
* [Yubikey](https://www.yubico.com): Sadece bir 2FA cihazı olmaktan çok daha fazlasını yapabilen en yaygın kullanılan çift aşamalı yetkilendirme cihazıdır. Birden fazla protokolü desteklemekle tavsiye edilebilecek ilk üründür.
* [RSA Tokens](https://community.rsa.com/community/products/securid/hardware-tokens): Bulabilir ve kullanabilirseniz RSA donanımlarını kod tabanlı 2FA uygulamalarında kullanabilirsiniz.
[Yubikey 2FA rehberi](beseri_guvenlik/yubikey_2fa.md)
## 2FA kullanırken nelere dikkat edilmeli?
2FA başkalarının hesabınıza girmesini etkili şekilde engellediği gibi sizin de hesabınıza erişmenizi aynı şekilde engelleyebilir. Bu sebeple 2FA kodlarınızın gönderildiği SIM kartınızı veya kodların üretildiği cihazınızı korumalısınız. Hayat sürprizlerle dolu olduğundan genellikle SMS harici her 2FA uygulaması size çoğunlukla 10 tane yedek kod verir. Bu yedek kodları bastırarak güvenilir bir yerde saklamanız hatta bir iki tanesini cüzdanınızda taşımanız şiddetle önerilir. Bu şekilde ikinci aşamanızı kaybetmeniz durumunuzda hesaplarınızdan mahrum kalmazsınız.

@ -0,0 +1,59 @@
# andOTP ile OTP Kurulumu
[andOTP](https://github.com/andOTP/andOTP) Android işletim sisteminde kullanılabilen özgür bir OTP yazılımıdır. [F-droid](https://f-droid.org/en/packages/org.shadowice.flocke.andotp/) aracılığı ile kurabileceğiniz andOTP'yi [Freeotp ve Freeotp+](https://search.f-droid.org/?q=freeotp&lang=en) yazılımlarından ayıran şifreli veri tabanı, [GPG şifreleme](yazisma_guvenligi/gpg/gpg.md) ve anahtar dışa aktarım gibi daha gelişmiş özellikleridir. Bu bakımdan andOTP neredeyse tüm OTP yazılımları gibi işlev görse de kullanım özellikleri bakımından daha ileri seçenekler sunmaktadır.
## Kurulum
andOTP'yi tüm Android yazılımı dağıtan depolarda bulmanız mümkündür. Tavsiyemiz özgür [F-droid](cihaz_guvenligi/yazilim_guvenligi.md) deposundan kurulumunuzu yapmanızdır. Bunun için:
F-droid'de `andOTP` ismini aratıp `install(yükle)` seçeneği ile kurulumunuzu başlatın ve çıkan ekranda tekrar yükleye basarak kurulumunuzu tamamlayın.
![alt-text](andotp/fdroid1.png)
![alt-text](andotp/fdroid2.png)
![alt-text](andotp/fdroid3.png)
![alt-text](andotp/fdroid4.png)
andOTP'yi çalıştırdığınızda sizi bir kurulum ekranı karşılayacaktır.
![alt-text](andotp/kurulum1.png)
andOTP'nin ayarlarından ilk belirlemeniz gereken veritabanının nasıl şifreleneceğidir. Bu noktada modern Android destekleyen cihazlarda `parola` ve `anahtar deposu (keystore)` şeklinde iki adet seçenek vardır. Keystore desteklenen cihazlarda donanımsal kriptografik bir aracın şifreleme anahtarlarını yönetmesini sağlar. Bu hem özgür olmayan bir donanıma güveni gerektirmekte hem de andOTP geliştiricisinin ifadesi ile uyumsuzluklarla sonuçlanabilmekte. Bu sebepten `parola` seçeneğini seçerek kuruluma devam edebilirsiniz.
![alt-text](andotp/kurulum2.png)
![alt-text](andotp/fdroid3.png)
Parolanızı belirlemenizin ardından kurulum işlemi sonlanacak ve andOTP size parolanızı sorarak açılacaktır.
![alt-text](andotp/acilis.png)
![alt-text](andotp/anaekran.png)
Bir OTP token eklemek için sağ altta bulunan + simgesine tıklayarak kullanılabilecek seçenekleri görüntüleyip seçebilirsiniz.
![alt-text](andotp/ekleme.png)
Çıkan seçeneklerden:
* Scan QR code: OTP kullanacağınız hizmetin size gösterdiği karekod'u okutarak gerekli bilgilerin kaydedilmesine yarar.
* QR code from image: Şayet hizmetin sağladığı OTP token karekodu bir fotoğrafta bulunuyorsa bunu gösterip bilgilerin girilmesini sağlar.
* Enter details: OTP token bilgilerinin elle girilmesine imkan verir.
Bu seçeneklerden en yaygın olarak kullanacağınız `scan qrcode` seçeneğidir keza neredeyse OTP imkanı veren her hizmet kolay token ekleme için karekod ile kurulum sırasında kullanıcılarına imkan sağlamaktadır.
![alt-text](andotp/otptoken.png)
Kameranız ile karekod taramak için ayrı bir yazılıma ihtiyacınız olabilir. Bu noktada yine özgür olan [Binary Eye](![alt-text](andotp/ekleme.png) veya [Barcode Scanner](https://f-droid.org/en/packages/com.google.zxing.client.android) yazılımlarından birini öneririz.
Karekodu taramanız üzerine OTP token eklenecek ve talebiniz üzerine üretilmeye başlayacaktır. Bu noktadan sonra söz konusu token'e ait hizmeti kullanmak için andOTP'den aldığınız kodu belirtilen süre içinde girmeniz yeterlidir.
![alt-text](andotp/otptoken1.png)
## Ayarlar
andOTP'yi kullanmak için özellikle ayarlarını değiştirmeniz gerekmiyor. Kimi ayarlar ileri kullanım ihtiyaçları için faydalı olabileceğinden göz atmakta fayda vardır.
![alt-text](andotp/ayarlar1.png)
![alt-text](andotp/ayarlar2.png)
Yukarıdaki şekilde kilitlenme seçeneklerini ayarlamak andOTP'nin tuttuğu sırların korunması için en iyi seçeneği sağlayacaktır. Benzer şekilde söz konusu token'ler hesaplarınıza erişmenizde önemli rol oynayacağı için düzenli yedeklemelerinizi GPG ile şifrelemeniz için gerekli ayarları yaparak yedeklerinizi cihazınızdaki bir dizine kaydedebilir veya Android'in düzenli aldığı yedeklere şifreli şekilde güvenle ekleyebilirsiniz. Bunun için [Openkeychain](https://f-droid.org/en/packages/org.sufficientlysecure.keychain) yazılımına ihtiyacınız olacaktır. [Kullanımı için rehberimize danışabilirsiniz.](yazisma_guvenligi/gpg/gpg-anahtar-uretimi.md)

Binary file not shown.

After

Width:  |  Height:  |  Size: 56 KiB

Binary file not shown.

After

Width:  |  Height:  |  Size: 34 KiB

Binary file not shown.

After

Width:  |  Height:  |  Size: 15 KiB

Binary file not shown.

After

Width:  |  Height:  |  Size: 59 KiB

Binary file not shown.

After

Width:  |  Height:  |  Size: 75 KiB

Binary file not shown.

After

Width:  |  Height:  |  Size: 27 KiB

Binary file not shown.

After

Width:  |  Height:  |  Size: 108 KiB

Binary file not shown.

After

Width:  |  Height:  |  Size: 276 KiB

Binary file not shown.

After

Width:  |  Height:  |  Size: 305 KiB

Binary file not shown.

After

Width:  |  Height:  |  Size: 224 KiB

Binary file not shown.

After

Width:  |  Height:  |  Size: 84 KiB

Binary file not shown.

After

Width:  |  Height:  |  Size: 132 KiB

Binary file not shown.

After

Width:  |  Height:  |  Size: 90 KiB

Binary file not shown.

After

Width:  |  Height:  |  Size: 25 KiB

Binary file not shown.

After

Width:  |  Height:  |  Size: 22 KiB

@ -0,0 +1,3 @@
# Locker ile Ekran Kilidi Güvenliği
[Bu sayfaya katkı verebilirsiniz.](https://git.oyd.org.tr/oyd/guvenlik)

@ -0,0 +1,3 @@
# Yubikey ile 2FA Kurulumu
[Bu sayfaya katkı verebilirsiniz.](https://git.oyd.org.tr/oyd/guvenlik)

@ -2,8 +2,16 @@
## Güvendiğiniz cihazlar, güvenmediğiniz şirketler
Sayısal dünya ile kurduğunuz her iletişim, sayısal bir cins cihaz ile etkileşim gerektirmekte. Bu dünyanın kapıları olan cihazlarımız bizimle ilgili her türlü bilgiyi, en derin sırlarımızı bilmekle en çok güven duyulması ve korunması gereken nesneler konumundalar. Fakat günümüzde yazılımların özgürlüğünün mücadelesi sürdüğü gibi donanımlarında özgürlüğü benzer bir mücadele içindedir.
Sayısal dünya ile kurduğunuz her iletişim, elektronik bir cihaz ile etkileşim gerektirmekte. Artık yaşamın kaçınılmaz gereklilikleri olan cihazlarımız bizimle ilgili her türlü bilgiyi, en derin sırlarımızı içermekle en çok güven duyulması ve korunması gereken nesneler konumundalar. Cihazlarımıza olan güvenimiz, devletlerin ve şirketlerin kontrol çabası altında neredeyse yok durumunda. Çoğu kimse kullandıkları cihazlara güvenmediklerini açıkça beyan etmektedir.
Elbette günümüzdeki üretim sistemlerinin ve üretilen donanımların karmaşıklığı bireysel olarak bu cihazların incelenmesini ve kesinlikle güvenilirliğinin kanıtlanmasını çok zorlaştırmakta fakat basit birkaç adım ile birçok tehdide karşı koyabilecek şekilde cihazlarınızı güvenli kılabilirsiniz.
Cihazlarımızı güvenli kılmak bugün çaresiz bir kavga olmaktan gün geçtikçe kazanılan bir mücadeleye dönüşmüştür. Günümüzde yazılımların özgürlüğünün mücadelesi sürdüğü gibi donanımlarında özgürlüğü benzer bir mücadele içindedir. Bu mücadelede atılan her adım hem daha özgür bir insanlığa hem de günümüzün bilişim sistemlerinin güvenliğine katkı sağlamaktadır.
* [Özgür Yazılım Derneği / Donanım Özgürlüğü](https://oyd.org.tr/yazilar/donanim-ozgurlugu/)
Elbette günümüzde cihazların özgürlüğü ve güvenliği tamamen kazanılmış değildir. Bgün üretim sistemlerinin ve üretilen donanımların karmaşıklığı bireysel olarak bu cihazların incelenmesini ve kesinlikle güvenilirliğinin kanıtlanmasını çok zorlaştırmakta. Fakat basit birkaç adım bir çok tehdide karşı koyabilecek şekilde cihazları güvenli kılabilmekte ve pek çok durumda bu yazılım ve donanım özgürlüğünden geçmekte. [Özgür Yazılım Derneği / Donanım Özgürlüğü](https://oyd.org.tr/yazilar/donanim-ozgurlugu/) makalesinin bu konu hakkında okunması önerilebilir.
* [Yazılım Güvenliği](cihaz_guvenligi/yazilim_guvenligi.md)
* [Cihaz Şifreleme](cihaz_guvenligi/cihaz_sifreleme.md)
* [Mobil Cihazlar](cihaz_guvenligi/mobil_cihazlar.md)
* [Taşınabilir Bellekler](cihaz_guvenligi/luks_usb.md)
* [Optik Disk Şifreleme](cihaz_guvenligi/luks_optik.md)
* [Yönlendirici Güvenliği](cihaz_guvenligi/yonlendirici.md)
* [Boot Güvenliği](cihaz_guvenligi/boot_guvenligi.md)

Binary file not shown.

After

Width:  |  Height:  |  Size: 34 KiB

@ -0,0 +1,116 @@
# Google-Authenticator ile Login Güvenliği
Google-authenticator(GA) GNU/Linux cihazlarda login ekranlarında parola ile birlikte [ikinci faktör olarak (2FA)](beseri_guvenlik/2fa.md) akıllı cihazlardan alınacak bir kodu sunarak giriş yapılmasına imkan veren bir yazılım. GA kullanarak cihazlarınıza erişimi daha kontrollü ve güvenli hale getirmek mümkün.
## Kurulum
Öncelikle bilgisayarınıza google-authenticator ve PAM modülünü kurmanız gerekiyor. Bunun için aşağıdaki komutları çalıştırın.
Debian sistemlerde: `sudo apt-get install google-authenticator libpam-google-authenticator`
RPM tabanlı sistemlerde: `sudo yum instlal google-authenticator libpam-google-authenticator`
Kurulumun tamamlanmasının ardından GA'nın ayarlarını yaparak cihazınızda bir anahtar oluşturmak bunu kullandığınız mobil cihazdaki bir OTP yazılımına aktarmak için aşağıdaki komutu uçbirimde çalıştırın.
`google-authenticator`
Komutu çalıştırmanızın ardından `Do you want authentication tokens to be time-based (y/n)` sorusuna evet anlamında `y` cevabını verip devam edin.
Uçbirimde aşağıdaki şekilde bir karekod ve bir terslik durumunda kullanılmak üzere 5 adet tek kullanımlık kod çıkacaktır.
![alt-text](ga/qrcode.png)
Çıkan karekodu tercihiniz olan bir OTP yazılımı ile mobil cihazınıza eklemelisiniz. Bunun için özgür [andOTP yazılımı önerilir ve kullanım rehberine başvurabilirsiniz.](beseri_guvenlik/andotp.md) Aynı zamanda acil durum kodlarını da elle veya yazıcı ile yazdırarak güvenli bir yerde taşımanız bir aksilik durumunda cihazınıza erişmeniz için hararetle önerilir. Bunun için en iyi yol bastırdığınız kodları kesip koyu renkli bir bant ile kaparak cüzdan gibi sürekli taşıdığınız bir yerde bulundurmanız olacaktır. Böylece gerektiğinde kodları kullanmanız mümkün olacağı gibi istenmeyen şekilde el geçirilmesinin de önüne geçebilirsiniz. Şayet tehdit modelniz bu durumun aksine hareket etmenizi gerektiriyor ise cihazınıza daha zor olacak ise de GA erişimi olmadan da ulaşmanız mümkündür.
Karekodu taradıktan sonra gelecek tüm sorulara evet diyerek kurulumu tamamlayın. Çıkan sorular sırası ile bir kodun tekrar kullanılması, zaman sapmalarına karşı koruma ve sürekli giriş denemelerine karşı tedbir sunacaktır.
```
Do you want me to update your "/home/xxxx/.google_authenticator" file? (y/n) y
Do you want to disallow multiple uses of the same authentication
token? This restricts you to one login about every 30s, but it increases
your chances to notice or even prevent man-in-the-middle attacks (y/n) y
By default, a new token is generated every 30 seconds by the mobile app.
In order to compensate for possible time-skew between the client and the server,
we allow an extra token before and after the current time. This allows for a
time skew of up to 30 seconds between authentication server and client. If you
experience problems with poor time synchronization, you can increase the window
from its default size of 3 permitted codes (one previous code, the current
code, the next code) to 17 permitted codes (the 8 previous codes, the current
code, and the 8 next codes). This will permit for a time skew of up to 4 minutes
between client and server.
Do you want to do so? (y/n) y
If the computer that you are logging into isn't hardened against brute-force
login attempts, you can enable rate-limiting for the authentication module.
By default, this limits attackers to no more than 3 login attempts every 30s.
Do you want to enable rate-limiting? (y/n) y
```
Bu işlemin ardından ev dizinizin altında `.google_authenticator` dizininde kullanılacak anahtarınız oluşturulmuş olacak ve işletim sisteminizin PAM ayarlarına giriş yapmaya hazır olacaksınız.
## PAM ayarları
[PAM](https://en.wikipedia.org/wiki/Linux_PAM) GNU/Linux cihazlarda kullanıcı yetkilendirmesinden sorumlu olan yazılımdır. `/etc/pam.d` dizini altında bulunan ayar dosyaları ile PAM davranışları şekillendirilebilir. Bu rehber PAM detaylarına girmek üzere yazılmadığından bir sistemdeki olası en güvenli kullanımı önerecektir. Fakat GA ve PAM ayarlarını ihtiyacınıza göre istediğiz gibi şekillendirebilirsiniz. Buna parola olmadan sadece GA kodu ile cihazınıza giriş yapmaktan, su/sudo gibi özel login tiplerine sınırlama getirmek şeklinde çeşitlendirmek mümkün.
Cihazınızdaki tüm PAM kontrolündeki login işlemlerine GA kodunu uygulamak için aşağıdaki dosyayı tercih ettiğiniz bir metin editörü ile açın. Aşağıdaki komutta `nano` editörü kullanılmıştır.
** Birazdan açacağınız sudo yetkisi vereceğiniz uçbirimi kapatmayın!!! **
`sudo nano /etc/pam.d/common-auth`
Karşınıza aşağıdakine benzer bir metin çıkacaktır.
```
#
# /etc/pam.d/common-auth - authentication settings common to all services
#
# This file is included from other service-specific PAM config files,
# and should contain a list of the authentication modules that define
# the central authentication scheme for use on the system
# (e.g., /etc/shadow, LDAP, Kerberos, etc.). The default is to use the
# traditional Unix authentication mechanisms.
#
# As of pam 1.0.1-6, this file is managed by pam-auth-update by default.
# To take advantage of this, it is recommended that you configure any
# local modules either before or after the default block, and use
# pam-auth-update to manage selection of other modules. See
# pam-auth-update(8) for details.
# here are the per-package modules (the "Primary" block)
auth [success=1 default=ignore] pam_unix.so nullok_secure
#auth optional pam_exec.so /home/alper/wrongpasspic.sh
# here's the fallback if no module succeeds
auth requisite pam_deny.so
# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
auth required pam_permit.so
# and here are more per-package modules (the "Additional" block)
auth optional pam_cap.so
# end of pam-auth-update config
```
Dosyanın sonuna aşağıdaki satırı ekleyin ve `ctrl + x` komutu ile kaydedip çıkın.
`auth required pam_google_authenticator.so`
** Şayet bu aşamada bir sorun var ve ekran kilidinizi devreye alırsanız cihazınıza tekrar giremeyebilirsiniz!! **
Bu noktadan sonra cihazınızdaki tüm yetkilendirme gereken işlemlerde sizden GA kodu istenecektir. Her şeyin yolunda olduğundan emin olmak ve bir sorun varsa zahmetsizde düzeltmek için ** yukarıdaki tavsiyeye bağlı olarak açık tuttuğunuz sudo yetkili uçbirimden ** başka bir uç birim açarak aşağıdaki komutu girin.
`sudo echo test`
sudo yetkilendirmesi için sizden parola ve ardından GA kodu sorulması gerekli. Şayet bu gerçekleşmedi veya `test` yazısı başarılı şekilde yazılmadı ise ayarlarınızda bir terslik var demek olacağından geri dönüp adımlarda bir hata yapıp yapmadığınızı kontrol etmelisiniz. Şayet bir sorunla karşılaşırsanız sudo yetkili uçbirimden `/etc/pam.d/common-auth` dosyasında yaptığınız değişiklikleri geri alıp kaydederek cihazınızın erişiminiz dışına kitlenmesini engelleyebilirsiniz.
Şayet test'i başarılı şekilde geçti iseniz artık google-authenticator ile birlikte cihazınızı biraz daha güvenli şekilde kullanmaya başlayabilirsiniz.
## Diğer kullanıcılar
Eğer cihazda birden fazla kullanıcı var ve sadece bir kullanıcı GA kullanacak ise `/etc/pam.d/common-auth` yapılandırmasındaki değişikliği aşağıdaki ile değiştirerek sadece google-authenticator kurulumu yapmış kullanıcıların OTP kullanmasını sağlayabilirsiniz.
** Bu durum root kullanıcısının 2FA dışında kalmasına sebep olacağından gerekmedikçe önerilmez. **
`auth required pam_google_authenticator.so nullok`
Şayet root kullanıcısının da girişini GA ile kullanmak isterseniz yukarıdaki adımları root kullanıcı ile tekrar etmeniz gereklidir.

@ -0,0 +1 @@
[Bu bölüme katkı verebilirsiniz](https://git.oyd.org.tr)

@ -251,7 +251,7 @@ Betiği aşağıdaki dizine **zz-update-signatures** adıyla kaydedin:
**Dizindeki betikler isimlerine göre sırayla çağrıldıklarından betiğinizin alfabetik olarak sonda yer alması gerekiyor.**
`/etc/kernelpostinst.d/`
`/etc/kernel/postinst.d/`
Ardından dosyaya çalıştırma izni verin:
@ -259,6 +259,10 @@ Ardından dosyaya çalıştırma izni verin:
Bu aşamanın ardından, her çekirdek güncellemesinde ilgili betik çalışarak imzaların varlığını kontrol edecek, imza yoksa `/boot` dizinindeki her dosyayı imzalayacak ve ardından GRUB yapılandırmasını imzalayacaktır. Bu aşamada cihazınız sizden GnuPG anahtarınızın parolasını isteyecektir.
## İşler ters giderse
[Buraya Katkı Verebilirsiniz.](https://oyd.org.tr)
## Ek Okumalar
<https://libreboot.org/docs/gnulinux/grub_hardening.html>

@ -0,0 +1,3 @@
# LibreCMC Kurulumu
[Bu rehbere katkı verebilirsiniz.](https://git.oyd.org.tr)

@ -0,0 +1 @@
[Bu bölüme katkı verebilirsiniz](https://git.oyd.org.tr)

@ -0,0 +1,19 @@
# Yetkilendirme Güvenliği
Login veya yetkilendirme GNU/Linux dahil olmak üzere neredeyse her bilgisayar sisteminin temel güvenlik tedbirlerinden biridir. Ekran kilidi olarak yaygın şekilde kullanıcıların karşısına çıkan yetkilendirme sistemleri, bilgisayara kimlerin hangi yetki ile erişeceğine ve erişime olan kişilerin belirlenmesinde kullanılır.
En temel yetkilendirme kullanımı kullanıcı adı ve parola şekilindedir. Her kullanıcı bir kullanıcı adı ile tanımlanır ve bu kullanıcıya giriş yapabilmesi için bir parola verilir. Söz konusu parola kullanıcılar tarafından sır olarak saklanır ve sisteme girişte kendilerine sorulur. Bu bakımdan yetkilendirme sisteminin güvenliği [parolanın güvenliği](https://guvenlik.oyd.org.tr/beseri_guvenlik/parolalar.html) ve kullanıcıların sır tutabilmesine bağlıdır.
Yetkilendirme sistemlerine sunulabilecek diğer girdiler; tek kullanımlık kodlar (OTP), biyometrik veriler (parmakizi vb.) ve kriptografik araçlar (akıllı kartlar, Yubikey) olarak çeşitlendirilebilir. Bu girdiler tek başına yetkilendirme için yeterli görülebileceği gibi ikinci faktör olarak parola ile birlikte sistem güvenliğini arttırmak için de kullanılabilir. Bu sayede bir kullanıcının sistemde yetkilendirilmesi bilgiği bir şey ile sahip olduğu bir şeye gereksinim duyacağından yetkilendirme için bir saldırganın edinmesi gereken kaynak arttırılmış olur.
## İkinci faktör
İkinci faktör olarak tercih edeceğiniz sistem tamamen kullanım ve güvenlik ihtiyaçlarınıza bağlıdır. Kimi sistemler var olan donanımlarınızı (akıllı telefon, parmak) kullanabilirken
[Google-Authenticator ile yetkilendirme](cihaz_guvenligi/ga_pam.md)
[Yubikey ile yetkilendirme](cihaz_guvenligi/yubikey_pam.md)
[Parmakizi ile yetkilendirme](cihaz_guvenligi/parmak_pam.md)
[Bu bölüme katkı verebilirsiniz](https://git.oyd.org.tr)

@ -0,0 +1,91 @@
# Optik Diskleri Şifrelemek
Optik diskler genellikle 8cm çapında lazer ile üzerine veri kaydedilen kayıt ortamlarıdır. Dünya tarihinde ilk yaygın kullanımı olan [LaserDisk](https://duckduckgo.com/l/?kh=-1&uddg=https%3A%2F%2Fen.wikipedia.org%2Fwiki%2FLaserDisc) teknolojisinin [format savaşlarını](https://en.wikipedia.org/wiki/Format_war) kaybetmesinin ardından [Compact Disk veya kısa adı ile CD](https://en.wikipedia.org/wiki/Compact_Disc) dünyadaki optik disk kullanımının gerçekten yaygınlaşmasına öncülük etmiştir. CD teknolojisini [Digital Versatile Disk veya DVD](https://en.wikipedia.org/wiki/DVD) izlemiş ve görsel sanat eserlerinin dağıtımında yaygınlık kazanmıştır.
Optik diskler üretildikleri tarihte bilgisayar kullanıcıları için sihirli sayılabilecek araçlardı. [Yaygın olarak "disket" olarak bilinen Floppy Disk](https://en.wikipedia.org/wiki/Floppy_disk) ile kıyaslanınca, bir CD-ROM neredeyse **500** kat kapasiteye sahiptir. Aynı zamanda optik disklerin 2000'lerin başlarında kullanıma giren flash belleklere nazaran çok daha ucuz olması uzun bir süre optik kayıt ortamlarının veri taşımanın ilk tercihi olmasına sebep olmuştur.
Bugün kimileri tarafından [optik disklerin öldüğü](https://www.lifewire.com/death-of-the-computer-optical-drive-832403) iddia edilmekte ve genel olarak tüketiciye sunulan cihazlarda yer ve hafiflik endişeleri ile optik disk sürücüleri gözden çıkarılmakta ise de optik diskler günümüzde görece özel koşullarda tartışmasız avanajlar sunmaktadır. Bu özelliklerin kimileri sayısal güvenlik amacı ile eşsiz sayılabilir. Bu sebepten optik diskleri gözden çıkarmadan önce güvenlik adına kullanımlarının ve genel veri güvenliğinin optik diskler üzerinde nasıl sağlanabileceğinin gözönüne alınması gereklidir.
## Optik disklerin güvenlik kullanımları
Optik diskler çoğu kayıt ortamı gibi fiziki ve sayısal kimi özellikler içermektedir. Bu özellikler günümüzün elektriksel kayıt sistemlerinden farklılıklar göstermekle özel durumlarda tercih edilebilir olmaktadır.
* Optik diskler hafif ve incedir.
* Optik diskler elektronik bir aksam içermediğinden çevresel ve mekanik etkilere dayanıklıdır.
* Elektronik veya metal aksam içermediğinden x-ray veya manyetik dedektör gibi araçlarda daha az görünürlerdir.
* Optik diskler gözden çıkarılabilecek kadar ucuzdur.
* Optik diskler tekrar yazılabilir versiyonları hariç bir kere yazıldıktan sonra değiştirilemezler.
Yukarıda sayılan özelliklerden taşınan verinin güvenlik gereksinimlerine veya taşımanın gerektirdiği güvenlik koşullarına göre faydalanılabilir.
### Optik disklerin saklama kullanımı
Optik disklerin mekanik parçalar içermemesi ve dış etmenlere olan dayanıklılığı çeşitli verilerin güvenli şekilde saklanması için değerli bir özellik oluşturmakta. Her ne kadar büyük kapasiteler sunmasa da önemli verilerin yedeklerinin oluşturulması ve bu yedeklerin güvenli konumlarda saklanmasına imkan sağlamaktadır. Bu bakımdan aşağıdaki örnek koşullarda optik diskler tecih konusu olabilir:
* Kriptografik anahtar ve araçların yedeklerinin saklanması
* Offline tutulması gereken hassas verilerin yedeklenmesi ve saklanması
### Optik disklern taşıma kullanımı
Optik disklerin en değerli kullanımlarından biri veri taşıma ihtiyacında ortaya çıkmaktadır. Optik disklerin ucuz olmaları ve ince yapıları sebebi ile gözden çıkarılabilir şekilde çeşitli aracılar veya riskli alanlardan taşınması mümkün olmaktadır.
* Posta yolu ile anonim şekilde gönderilmeleri
* Sınır güvenliği gibi riskli alanlardan fark ettirilmeden geçirilebilmeleri
* El koyulması durumunda ekonomik bir endişeye yol açmaması
## Optik disklerin teknik faydaları
Veri güvenliğinin operasyonel koşullarında bir verinin optik disk üzerinde tutulması veya işlenmesinin olası faydaları bulunmaktadır.
* Optik diskler çok hızlı şekilde imha edilebilirler.
* Optik diskler bir kere yazıldıktan sonra değiştirilemedikleri için üzerindeki verilerin bütünlüğünü korurlar.
* Optik diskler kolayca depolanabilir ve fazla yer kaplamazlar. Hareketli parça içermediklerinden mekanik olarak görece dayanıklı sayılırlar.
## Şifreli optik disk oluşturmak
Bir optik diskteki verileri şifrelemenin pek çok yolu bulunmakta. [GPG kullanarak tüm dosyaları şifreleyip](yazisma_guvenligi/gpg/gui_gpg.md) diske yazmak mümkün olduğu gibi [uzak sunucudaki dosyaların şifrelendiği](cihaz_guvenligi/uzaksunucu.md) şekilde şifrelenne dizini olduğu gibi diske yazdımak mümkün.
Bu rehber Luks ile bir optik diskin şifrelenmesini anlatacaktır. Bu yöntemin yukarıdaki seçeneklere göre birkaç faydası bulunmakta.
* Tüm GNU/Linux sistemler Luks aygıtları otomatik olarak açabilmekte ve dosya sistemini gösterebilmekte. Bu sebepten diskin kullanımı çok kolaylaşmakta.
* Crypfs ve GPG gibi ayrı bir yazılımın kullanımına gerek kalmadan deşifre işlemi yapılabilmekte.
* Dosya dizinleri ve boyutları gibi üstverilerin ifşası engellenebilmekte.
Bu rehberi takip edebilmek için bir herhangi bir GNU/Linux dağıtımını kullanmanız, root erişimine ve bir disk yazıcıya sahip olmanız gerekmekte. Rehber DVD kapasitesini esas almakla birlikte boyutları dilediğiniz şekilde değiştirmeniz mümkündür.
### Boş bir dosya yaratın
İçine verilerin yazılacağı boş bir dosyaya ihtiyaç duyulmakta. Bunu basitçe `/dev/zero` ile sıfır yazarak yaratabilecek olsak da şifreli verinin diskteki boşluk alanlardan ayırt edilememesi için aşağıdaki şekilde rastgele verilerden bir dosya oluşturun.
`dd if=/dev/urandom of=disk.img bs=1M count=4400`
Count değerini kullandığınız medyanın boyutuna göre ayarlayabilirsiniz. Yukarıdaki komut 4.4Gb boyutunda disk.img adlı bir dosya oluşturacaktır.
### Luks dosyasını oluşturup dosyalarınızı ekleyin
Aşağıdaki komut sırası ile Luks imajını oluşturup dosyalarınızı yedekleyebilirsiniz. Dosyalarınızın konumunu <yedeklenecek dizin yolu> ile belirtlen yere koymayı ihmal etmeyin.
`sudo losetup /dev/loop1 disk.img && cryptsetup luksFormat /dev/loop1 && cryptsetup luksOpen /dev/loop1 yedekdisk && genisoimage -R -J -joliet-long -graft-points -V backup -o /dev/mapper/yedekdisk <yedeklenecek dizinin yolu>`
Yukarıdaki çeşitli komutlar sıra ile çalışacak ve size sıra ile kullanmak istediğiniz parolayı iki kere soracak ve ardından gösterdiğiniz dizindeki dosyaları oluşturulan dosyaya şifreli olarak aktaracaktır.
### Luks dosyasını kapatın
Dosyanın oluşturulması tamamlandıktan sonra aşağıdaki komut ile bilgisayarınızda bağlı bulunan aygıtları kaldırarak imaj dosyasının işleminin tamamlayın.
`sudo cryptsetup luksClose /dev/mapper/yedekdisk && losetup -d /dev/loop1`
### disk.img dosyasını yazın
Tercihiniz olan bir yazdırma yazılımı ile disk.img dosyasını diskinize yazabilirsiniz. Yazma işleminin bitmesinin ardından diskinizi cihazınıza taktığınızda şayet otomatik başlatma ayarlı ise diskinizin parolası sorulacak ve doğru girmeniz durumunda dosya yöneticinizde disk içeriğini şifresiz olarak görebileceksiniz.

@ -0,0 +1,87 @@
## Genel tavsiyeler
### Cihazlarınızı yanınızdan ayırmayın
Cihazlarınızı fiziksel olarak yanınızda tutmak her zaman iyi bir fikirdir. Aksi takdirde bir saldırganın cihazınıza girmek, verilerinizi ele geçirmek ve gelecekteki etkinliklerinizi izlemek amacı ile kötücül yazılım yüklemesine fırsat doğabilir.
Cihazlarınızın zafiyeti tavsiye edilen donanımları kullanıp kullanmadığınıza, [şifrelemenin](cihaz_sifreleme.md) etkinleştirilip etkinleştirilmediğine ve cihazınızı bir parola veya PIN ile koruyup korumadığınıza bağlıdır.
**Bir saldırganın cihazınıza girebilme olasılığı:**
| Cihazınız | Yetkin saldırgan | Eğitimli saldırgan | Olağan saldırgan |
| ---: | --- | --- | --- |
| Tavsiye edilen cihaz + Şifrelenmiş + Kilitli | DÜŞÜK | ÇOK DÜŞÜK | HİÇ |
| Tavsiye edilen cihaz + Kilitli | ORTA | DÜŞÜK | ÇOK DÜŞÜK |
| Normal cihaz + Şifreli + Kilitli | YÜKSEK | ORTA | DÜŞÜK |
| Normal cihaz + Kilitli | ÇOK YÜKSEK | YÜKSEK | ORTA |
| Kilitsiz | KESİN | KESİN | KESİN |
Saldırgan tipleri:
* **Yetkin saldırganlar** Kilitli telefonlara girmekte uzmanlaşmış büyük devletleri ve uluslararası şirketleri kapsar.
* **Eğitimli saldırganlar** Yerel kolluk kuvvetlerini ve telefon kıran adli tıp şirketlerini kapsar.
* **Olağan saldırganlar** Özel donanım sahibi olmayan yetenekli teknoloji meraklılarını kapsar.
Eğer cihazınızdan uzak kalacaksanız ve cihazınıza girilme ihtimali var ise verilerinizi yedeklemeli, fabrika ayarlarına dönüş yapmalısınız (veya yeni bir cihaz almayı düşünebilirsiniz).
### Ekran kilidinde PIN veya parola kullanın - biyometrik kullanmayın
Bilgisayarlarımızın aksine mobil cihazlarımız neredeyse sürekli açık kalırlar. Bu sebeple tüm diskiniz şifreli bile olsa açık bulunan cihazınıza her isteyen erişebiliyorsa muhtemelen pek de güvende sayılmazsınız. Ekran kilidinizi 4-6 haneli bir PIN olarak belirleyip kabaca 3 ayda bir [Zarola](https://zarola.oyd.org.tr) yöntemi ile değiştirin veya bir parola belirleyip daha uzun aralıklarla değiştirin.
Parmak izi, yüz tanıma gibi biyometrik yetkilendirme sistemleri doğaları gereği güvensizdir. Her ne kadar şirketler bunların aşılamaz olduklarını iddia etseler de çoğu zaman bu tip sistemlere karşı etkili saldırılar yapılmıştır ve en başarılısı [ebeveyninin parmağına uyuduğu sırada telefonunu dokundurup binlerce dolarlık oyun satın alan çocuğun zekasını aşamaz.](https://www.usatoday.com/story/news/nation/2016/12/28/girl-uses-sleeping-moms-thumbprint-pokemon/95907370/) Bu sebeple biyometrik giriş yöntemleri kullanacaksanız bunları ikinci aşama olarak değerlendirip hem PIN/parola hem biyometrik kullanın. Şayet biyometrik verileriniz bir şekilde bir gün çalınırsa yeni bir parmak veya yüz alamayacağınızı unutmayın.
**Yüksek risk taşıdığınızı düşünüyorsanız, cihazınızı size açtıracak kişinin Avrupa İşkencenin Önlenmesi Komitesi'nin kararlarını umursamayacağını asla unutmayın.**
### Ekranınızı saklayın
En büyük ihlaller en küçük tedbirsizliklerden yaşanabilir. Muhtemelen yüksek bütçeli kırma girişimleri yakınlarımızın telefonlarımızı kurcalamasından daha az olası. Bu sebeple ekran parolanızı veya PIN'inizi girerken ve genel olarak cihazınızı kullanırken telefonunuzun ekranını omzunuzun üstünden bakacak kişilerden sakının. Buna kanıksadığınız güvenlik kameraları da dahildir. Paranoyakça gelebilir ama cihazınızı koruyan en önemli veriyi bu şekilde ortalığa saçmanız muhtemelen her şeyi riske atmanızla eşdeğerdir.
### Kapkaça karşı tedbir alın
Her türlü tedbiri almış olabilirsiniz ama bir an vardır ki cihazınız olabildiğince korunaksızdır. Telefonunuzu kullandığınız an! Bu noktada hem cihazınız açık hem de ekran kilidi yok. Pratik olarak o anda telefonu elinde bulunduran herkes neredeyse her işlemi cihazınız ile yapabilir, [bu bir şaka değil](https://www.bbc.com/news/uk-38183819). Haliyle telefonunuzun elinizden kapılması durumunda tedbir almak için [Privatelock](https://f-droid.org/en/packages/com.wesaphzt.privatelock/) kullanabilirsiniz.
### Bildirimlerin kilit ekranında görülmesine izin vermeyin
Bankanızdan gelen 2FA kodları, sevdiklerinizden gelen yazışmalar, en güncel dedikodular ve hepsi açıkça cihazınızın kilit ekranında görünüyorsa mahremiyetiniz ile birlikte güvenliğiniz de olduğu gibi çöpe gidebilir. Ayarlarınızdan kilit ekranında görülecekleri sınırlayın.
### Bilmediğiniz cihazlara bağlamayın
Bu öneri hem tanınmadık Wi-Fi ağlarını hem de artık her yerde bulunan USB şarj çıkışlarını kapsar. Cihazınızı bu bilinmeyen ortamlara maruz bırakmak sizi riske sokabilir. Ya kendi şarj cihazınızı kullanın ya da bu tip çıkışları kullanmak zorundaysanız [USB kondom](https://en.wikipedia.org/wiki/Juice_jacking#Mitigation) kullanın. Ayrıca yeni Android sürümlerinde "Şarj için USB" diye bir seçenek de vardır.
### Kablosuz aygıtlarınızı kullanmıyorsanız kapatın
Wi-Fi ve Bluetooth gibi teknolojiler kablosuz olarak sizinle ilgili pek çok veriyi ortalığa saçabilirler. Bunun yanı sıra takip edilmeniz için de elverişli bir araç olarak kullanılabilirler. Bu sebeple kullanmadığınız her zaman bu donanımları kapatın.
### Signal kullanın
**Signal** özgür bir anlık yazışma yazılımı olarak telefonunuzla gelen normal yazışmaya güvenli bir alternatif oluşturmaktadır. WhatsApp veya Telegram gibi çalışsa da çok daha güvenlidir.
Neden Signal kullanmalısınız?
* GSM hizmet sağlayıcınız size gönderilen her mesajın bir kopyasını tutmaktadır. Signal ile GSM hizmet sağlayıcınız ne mesajlarınıza ne de iletişimde bulunduğunuz insanlara ulaşabilir.
* Bir saldırgan için telefon numaranızı ele geçirmek görece kolaydır. Konuştuğunuz kişinin başına bu geldiğinde Signal, kişinin "güvenlik numarası'nın" değiştiğine dair bir uyarı verir. Bu aynı zamanda biri yeni telefon edindiğinde de gerçekleşir. Güvenlik numarasını doğrulamak aranızdaki yazışmaların kimse tarafından okunmadığını garanti eder.
* Signal aynı zamanda güvenli ses iletişimi için de kullanılabilir. GSM hizmet sağlayıcınız kimi aradığınızı, kimin sizi aradığı ve aramaların uzunluğuna ilişkin kayıt tutar. Signal ile yaptığınız aramalarda GSM servis sağlayızınız bu bilgilere ulaşamaz. Cihazınız güvenli olduğu sürece aramalarınızın içeriği ve uzunluğu gizli kalacaktır.
* WhatsApp, Telegram veya Wire gibi diğer "güvenli" olarak pazarlanan yazışma programları Signal ile kıyaslanınca çokça soruna sahiptir.
Daha fazla bilgi için, [Security Planner / Signal](https://securityplanner.org/#/tool/signal)'e bakın.
### Silence kullanın
**[Silence](https://silence.im/)**, Android için geliştirilmiş bir SMS (kısa mesaj servisi) yazılımıdır. Silence'ı kurduktan sonra telefonunuzun standart SMS programı olarak atarsınız ve tüm SMS'leriniz Silence'e gelir. Normal koşullarda her SMS programı gibi SMS'leriniz gelir ve gider ama Silence kullanan kişilerle anahtar değişimi yaptıktan sonra tamamen uçtan uca şifreli SMS yazışması yapabilirsiniz.
### Fotoğraf çekerken güvenlik
Telefonunuzun kamerası, çektiğiniz her fotoğrafa yüksek olasılıkla hassas çokça veriyi eklemektedir. İnternet'te paylaştığınız bir gönderinin nasıl kullanılacağını bilemeyeceğinizden, fotoğrafların taşıdığı kişisel veriyi paylaşmadan önce silmek iyi bir fikirdir.
Fotoğraflarınızda "geotagging" sorununu engellemek için, kamera ayarlarınızı açın ve konum bilgisini kaydetme ayarlarını kapatın.
Geotagging kapalı iken bile kamera yazılımınız cihazınızın modelini ve diğer potansiyel olarak hassas veriyi fotoğraflara kaydedecektir. Bu durumdan kurtulmanın en iyi yolu ayrı bir yazılımla EXIF verisini fotoğraf dosyalarından silmektir. Bu yazılımlar aynı zamanda konum bilgisini de çektiğiniz geçmiş fotoğraflardan silmek için de kullanılabilir.
Daha fazla bilgi için: [Fotoğraflardan EXIF üstverisini silmenin 3 yolu](https://www.makeuseof.com/tag/3-ways-to-remove-exif-metadata-from-photos-and-why-you-might-want-to/).
[replicant]:https://replicant.us
[lineageos]:https://lineageos.org
[grapheneos]:https://grapheneos.org
[lineageos devices]:https://wiki.lineageos.org/devices/
[grapheneos devices]:https://grapheneos.org/faq#device-support
[baseband modem]:https://en.wikipedia.org/wiki/Baseband_processor

@ -0,0 +1,45 @@
### Hangi mobil cihaz benim için uygun?
Cihazınızı içinde bulunduğunuz duruma göre seçmelisiniz:
* **Yüksek Risk**: Bir devletin veya uzman ajanlık şirketlerinin hedefi olacağınızdan şüpheleniyorsanız.
* **Orta Risk**: Hali hazırda hedef olmadığınız halde bir saldırganın cihazlarınıza fiziksel erişim sağlaması durumunda kolay lokma olmayı tercih etmiyorsanız.
* **Düşük Risk**: Taşınabilir cihazlarınızı hassas veriler için kullanmıyorsanız.
#### Yüksek risk
Eğer riskiniz yüksek ise, **cep telefonunuzu hassas hiç bir şey için kullanmayın**. Bunun sebebi, tüm telefonların sizi kablosuz telefon ağına (hücresel ağ) bağlayan, "[baseband modem][]" olarak adlandırılan bir donanım içermesidir. Bu modemler özel mülktür ve uzaktan kötüye kullanılabilecek pek çok güvenlik açığı içermektedir. Bir kere aşıldıktan sonra, [baseband modem] iletişiminizi takip etmek ve kişisel verilerinizi elde etmek için kullanılabilir.
[Replicant][] tamamen özgür bir Android dağıtımı olarak sadece belirli cihazlar üzerinde çalışmaktadır. Çalıştığı cihazların temel özelliği [baseband modem]'i işlemciden izole etmenin bir imkanı olmasıdır. [Replicant] aynı zamanda, cihaz üzerindeki, Wi-Fi, Bluetooth, GPS gibi donanımları özgür sürücüleri bulunmadığı için çalıştırmaz. Şayet mobil cihaz kullanmanız gerekiyorsa ve bu cihaz ile önemli veriler işleyecekseniz [Replicant] kurulu bir telefon iyi bir tercih olabilir.
Cep telefonlarına alternatif olarak Wi-Fi desteği olan ama hücresel ağa bağlanmayan bir tablet satın alabilirsiniz. Bu tip cihazlar baseband modem içermemektedir ve uzaktan saldırılara karşı çok daha dayanıklıdır. Sadece Wi-Fi içeren bir cihaz ile hala hücresel ağa, ayrı bir taşınabilir hotspot cihazı ile bağlanabilirsiniz.
NOT: Uçak modu yeterli değildir. Cihazınıza bağlı olarak, uçak modunda bile baseband modem hala çalışıyor ve cihazınızı saldırılara açık tutuyor olabilir.
Tavsiye edilen sadece Wi-Fi destekleyen cihazlar:
_Güncellenecektir (1 Ağustos 2020)_
#### Orta risk
Taşınabilir cihazınızda; devletler, şirketler veya meraklı insanlar tarafından elde edilmesini istemediğiniz hassas veriler mi var? Elbette var, herkesin var! Bu durumda, biri cihazınızı bulduğunda veya çaldığında onların işini olabildiğince zorlaştırmak istemeniz çok doğal.
Şayet hiç uğraşmayacağım diyorsanız, kendinizi Apple şirketinin sinsi yumuşak kollarına bırakıp modern bir iPhone alabilirsiniz. Pek çok gerçek olayda bu cihazlara örgütlü devletler dışında kolaylıkla erişilemediği görüldü. Lakin Apple şirketinin Çin ile yaşadığı aşk, yakın zamanda özgür olmayan yazılımında bulunan açıklar ve İsrailli bir şirketin 1000 ABD dolarına her iPhone'un kilidini kırabildiği iddiası ile yaşamanız gereklidir.
Tavsiyemiz uygun bir cihaz alarak üzerinde [GrapheneOS][] veya [LineageOS][] Android dağıtımları çalıştırmanız ve Google, Facebook gibi casusluk şirketlerinin yazılımları da dahil özgür olmayan yazılımlar **çalıştırmamanızdır**. [GrapheneOS] ve [LineageOS] piyasadan alabileceğiniz pek çok cihaza kolaylıkla kurulabilen ve mahremiyetinize önem veren toplulukların geliştirdiği işletim sistemleridir.
Tavsiye edilen cihazlar:
* **[LineageOS için][lineageos devices]**;
* [LG G3](https://wiki.lineageos.org/devices/d855) Türkiye'de kolaylıkla bulunabilen, temizi için biraz araştırma gerektiren ama zamanına göre çok iyi donanıma sahip bir cihazdır. LineageOS kurulumu rootlama gereğinden dolayı biraz baş ağrıtabilir ama fiyat/performansta çok başarılıdır. Ancak LG G3 cihazlar, kronik olarak anakart arızası yaşayabilmektedir. Bu durumu göz önünde bulundurmanızı tavsiye ederiz.
* [Sony Xperia Z](https://wiki.lineageos.org/devices/yuga) Görece eski bir donanım olan Z Türkiye'de bolca ve ucuza bulunabiliyor. LineageOS kurulumu da çok kolaydır. Lakin donanım yaşını gösterdiği için cihazınızı sonuna kadar kullanıyorsanız sizi tatmin etmeyebilir.
* [Xiaomi Redmi Note 7](https://wiki.lineageos.org/devices/lavender) Çok daha modern bir donanım olarak Redmi Note 7 performans isteyen kullanıcılar için iyi bir tercih olabilir. USB-C desteklediği için de geleceğe dönük rahat etmenizi sağlar. Ancak NFC desteği **bulunmamaktadır**.
* **[GrapheneOS için][grapheneos devices]**;
* Google [Pixel serisi](https://grapheneos.org/#device-support) cihazların tamamına GraphenOS kurulabilmekte fakat Pixel 4 sürümü henüz tamamlanmadı. Graphene uzun dönemli destek için, şimdilik Pixel 3 serisi cihazları önermektedir. GrapheneOS, Pixel 4 için tamamlandığında bu önerinin Pixel 4 olarak değişmesi muhtemel.
#### Düşük risk
Telefonunuzu kilitsiz bir şekilde öylece ortalıkta mı bırakıyorsunuz? O zaman ya başınıza gelecekleri hak ediyorsunuz ya da gerçekten taşınabilir cihazlarınızda hiçbir şey olmadığını düşünüyorsunuz. Ne yazık ki modern taşınabilir cihazlar İnternet'e bağlı oldukları ve kullanıldıkları sürece siz fark etmeseniz de ziyadesiyle fazla veri üretir ve bunları kaydederler. Bu verilerden belki haberiniz yoktur ama pekala bilgili bir kişi -ki bu bilgisayarla ilgili her sorunuzda aradığınız arkadaşınız bile olabilir- bu bilgilere ulaşmanın bir yolunu bilebilir.
Bu sebeple riskinizin düşük olduğuna eminseniz ve yanıldığınız için pişman olmayacaksanız, pekala herhangi bir telefon alıp ekran kilidi bile kullanmadan hayatınızı sürdürebilirsiniz.

@ -1,135 +1,70 @@
# Mobil Cihazlar
### Hangi taşınabilir cihaz benim için uygun?
Taşınabilir cihazlar günlük hayatın vazgeçilmez parçaları haline gelmiş durumdalar. Artık bilgisayar denilince dizüstü bilgisaylar akla gelmekte, her telefon kullanıcısı bir şekilde "akıllı" mobil cihazlar kullanmakta. Bu gelişme insanların sürekli bağlı kalmasını ve tüm toplumsal örgütlenmenin bu bağlılığa dayanmasına sebep olmakta ve bu cihazlarla ürettilen bilgi giderek artmakta.
Cihazınızı içinde bulunduğunuz duruma göre seçmelisiniz:
Söz konusu mobil cihazlar olunca çalınma, kaybolma ve bir şekilde istenmeyen ellere düşme ihtimali taşınabilirliklerinden dolayı çok olası olmakta. Bu durum cihazların bilinçli veya bilinçsiz olarak içerdikleri çok miktardaki kişisel ve değerli bilgi ile birleştiğinde konuya ilişkin güvenlik tedbirlerinin de özellikle değerlendirilmesi gerekmekte.
* **Yüksek Risk**: Bir devletin veya uzman ajanlık şirketlerinin hedefi olacağınızdan şüpheleniyorsanız.
* **Orta Risk**: Hali hazırda hedef olmadığınız halde bir saldırganın cihazlarınıza fiziksel erişim sağlaması durumunda kolay lokma olmayı tercih etmiyorsanız.
* **Düşük Risk**: Taşınabilir cihazlarınızı hassas veriler için kullanmıyorsanız.
## Özgürlük sorunu
#### Yüksek risk
Günümüzdeki tüm genel son kullanıcı ürünleri gibi mobil cihazlar da özgürlük düşüncesi ile imal edilmemektedirler. Özgür olmayan sistemlerin üreticilerine hizmet ettiği gerçeği kullanıcıların güvenliğini de belirsizlik içine itmektedir.
Eğer riskiniz yüksek ise, **cep telefonunuzu hassas hiçbir şey için kullanmayın**. Bunun sebebi, tüm telefonların sizi kablosuz telefon ağına (hücresel ağ) bağlayan, "[baseband modem][]" olarak adlandırılan bir donanım içermesidir. Bu modemler özel mülktür ve uzaktan kötüye kullanılabilecek pek çok güvenlik açığı içermektedir. Bir kere aşıldıktan sonra, [baseband modem] iletişiminizi takip etmek ve kişisel verilerinizi elde etmek için kullanılabilir.
* Donanım özgürlüğü: Modern bilişim aygıtlarının donanı seviyesindeki özgürlüğü neredeyse yok denecek düzeydedir. [Tamir etme](https://oyd.org.tr/yazilar/donanim-ozgurlugu/)imkanlarının kısıtlanmasından, [DRM](https://oyd.org.tr/yazilar/drm/) uygulamalarına kadar pek çok yansıma gözlemlenebilir. Bu durumu değiştirmek üzere [projeler](https://www.pine64.org/pinephone/) var olsa da çip üreticileri gibi alternatifi zor bulunan kritik parçaların ayakbağı özgür donanımların elde edilmesine hala engel olmaktadır.
[Replicant][] tamamen özgür bir Android dağıtımı olarak sadece belirli cihazlar üzerinde çalışmaktadır. Çalıştığı cihazların temel özelliği [baseband modem]'i işlemciden izole etmenin bir imkanı olmasıdır. [Replicant] aynı zamanda, cihaz üzerindeki, Wi-Fi, Bluetooth, GPS gibi donanımları özgür sürücüleri bulunmadığı için çalıştırmaz. Şayet mobil cihaz kullanmanız gerekiyorsa ve bu cihaz ile önemli veriler işleyecekseniz [Replicant] kurulu bir telefon iyi bir tercih olabilir.
* Yazılım özgürlüğü: Günümüzdeki yazılım özgürlüğü mücadelesinin çizgisinde mobil cihazların da yazılımsal özgürlüğü hala ilerleme aşamasında. Bilgisayarlar gibi firmware seviyesinden işletim sistemi ile kullanıcı yazılımlarına kadar pek çok yazılım üreticilerden geldiği hali ile özgür olmamakta. İşletim sistemi ve yazılımlar görece özgürleştirilebilse de hala firmware seviyesi mülk olarak kullanılmak zorunda. Bu bilinmezlikle birlikte bir güvenlik riskini de orta çıkarmakta.
Cep telefonlarına alternatif olarak Wi-Fi desteği olan ama hücresel ağa bağlanmayan bir tablet satın alabilirsiniz. Bu tip cihazlar baseband modem içermemektedir ve uzaktan saldırılara karşı çok daha dayanıklıdır. Sadece Wi-Fi içeren bir cihaz ile hala hücresel ağa, ayrı bir taşınabilir hotspot cihazı ile bağlanabilirsiniz.
* GSM mahremiyeti: Baseband modem, GSM şebekesine bağlantı kuran donanım olarak mobil cihazlarda donanım ve yazılım özgürlüğünün en büyük düşmanı konumunda. Baseband çoğu cihazda ana işlemci ile doğrudan bağlantı halinde, RAM'i ortak kullanmakta ve dilediği veriye ulaşıp işlem yapabilmekte. Bu cihazın yazılımının eski ve özgür olmaması bir risk oluşturmakta ve bu durumun [kötüye kullanıldığı bilinmekte.](https://money.cnn.com/2014/06/06/technology/security/nsa-turn-on-phone/index.html) GSM'in güvenli olduğu varsayılsa bile sistemin tasarımı gereği hizmet sağlayıcı ve uzantısı olarak devletler tüm kullanıcıların anlık olarak nerede olduğunu ve kullanım bilgilerini elde edebilmekte. Bu mahremiyet sorunu duruma göre bir güvenlik sorununa da dönüşebilmekte.
NOT: Uçak modu yeterli değildir. Cihazınıza bağlı olarak, uçak modunda bile baseband modem hala çalışıyor ve cihazınızı saldırılara açık tutuyor olabilir.
## Risk değerlendirmesi
Tavsiye edilen sadece Wi-Fi destekleyen cihazlar:
Mobil cihazların günümüz kullanıcıları için hem mahremiyet hem de güvenlik açısından pek çok istenmeyecek özelliği bulunmaktadır. Bu özelliklerin kimi doğal olarak var olmakta kimileri ise kasıtlı olarak kişileri ve bilgilerini kontrol etmek amacı ile kötüye kullanılmaktadır.
_Güncellenecektir (1 Ağustos 2020)_
Bugün genel bir tavsiye olarak güvenlik ihtiyacının yüksek olduğu durumlarda ve tehlike doğurabilecek bilgilerin işlenmesinde mobil cihazların kullanılması önerilmez. Hem donanımsal bilinmezlik hem de gerekli güvenlik ihtiyacının karşılanmasının mobil cihazın avantajlarını çok yüksek oranda ortadan kaldırmasından dolayı kritik kullanımlarda uygun donanımların seçilmesi yerinde olur.
#### Orta risk
Şayet kullanım ihtiyacı mobil bir donanımı gerektiriyor ve bu gereklilik öngörülen riskleri aşacak durumda ise değerlendirmenin yapılarak gerekli tedbirlerin alınması ile riskin en aza indirilmesi mümkündür.
Taşınabilir cihazınızda; devletler, şirketler veya meraklı insanlar tarafından elde edilmesini istemediğiniz hassas veriler mi var? Elbette var, herkesin var! Bu durumda, biri cihazınızı bulduğunda veya çaldığında onların işini olabildiğince zorlaştırmak istemeniz çok doğal.
1. Taşınabilir bir cihaza ihtiyaç var mı?
2. Anlık bağlantı (GSM) gerekli mi?
3. Cihazın korunmasına ne kadar kaynak ayrılabilir?
4. Gerektiğinde cihazı elden çıkarma maliyetine katlanılabilir mi?
5. Kullanım mülk yazılımları gerektiriyor mu?
Şayet hiç uğraşmayacağım diyorsanız, kendinizi Apple şirketinin sinsi yumuşak kollarına bırakıp modern bir iPhone alabilirsiniz. Pek çok gerçek olayda bu cihazlara örgütlü devletler dışında kolaylıkla erişilemediği görüldü. Lakin Apple şirketinin Çin ile yaşadığı aşk, yakın zamanda özgür olmayan yazılımında bulunan açıklar ve İsrailli bir şirketin 1000 ABD dolarına her iPhone'un kilidini kırabildiği iddiası ile yaşamanız gereklidir.
Yukarıdaki soruların cevaplarına göre en uygun cihaz ve kullanım tasarımının yapılması mümkündür. Tercihlerinize göre farklı cihaz ve kurulumlar yapabilirsiniz. Kullanım koşullarınızı belirledikten sonra cihaz seçimine geçebilirsiniz.
Tavsiyemiz uygun bir cihaz alarak üzerinde [GrapheneOS][] veya [LineageOS][] Android dağıtımları çalıştırmanız ve Google, Facebook gibi casusluk şirketlerinin yazılımları da dahil özgür olmayan yazılımlar **çalıştırmamanızdır**. [GrapheneOS] ve [LineageOS] piyasadan alabileceğiniz pek çok cihaza kolaylıkla kurulabilen ve mahremiyetinize önem veren toplulukların geliştirdiği işletim sistemleridir.
## Kullanım senaryoları
Tavsiye edilen cihazlar:
Aşağıda çeşitli kullanım senaryoları belirlenmiştir. Buna göre uygun kullanım önerileri de bulunmaktadır.
* **[LineageOS için][lineageos devices]**;
* [LG G3](https://wiki.lineageos.org/devices/d855) Türkiye'de kolaylıkla bulunabilen, temizi için biraz araştırma gerektiren ama zamanına göre çok iyi donanıma sahip bir cihazdır. LineageOS kurulumu rootlama gereğinden dolayı biraz baş ağrıtabilir ama fiyat/performansta çok başarılıdır. Ancak LG G3 cihazlar, kronik olarak anakart arızası yaşayabilmektedir. Bu durumu göz önünde bulundurmanızı tavsiye ederiz.
* [Sony Xperia Z](https://wiki.lineageos.org/devices/yuga) Görece eski bir donanım olan Z Türkiye'de bolca ve ucuza bulunabiliyor. LineageOS kurulumu da çok kolaydır. Lakin donanım yaşını gösterdiği için cihazınızı sonuna kadar kullanıyorsanız sizi tatmin etmeyebilir.
* [Xiaomi Redmi Note 7](https://wiki.lineageos.org/devices/lavender) Çok daha modern bir donanım olarak Redmi Note 7 performans isteyen kullanıcılar için iyi bir tercih olabilir. USB-C desteklediği için de geleceğe dönük rahat etmenizi sağlar. Ancak NFC desteği **bulunmamaktadır**.
1. Sürekli bağlantı
2. wifi - wifi
3. Harici wifi modem
4. şifreleme
* **[GrapheneOS için][grapheneos devices]**;
* Google [Pixel serisi](https://grapheneos.org/#device-support) cihazların tamamına GraphenOS kurulabilmekte fakat Pixel 4 sürümü henüz tamamlanmadı. Graphene uzun dönemli destek için, şimdilik Pixel 3 serisi cihazları önermektedir. GrapheneOS, Pixel 4 için tamamlandığında bu önerinin Pixel 4 olarak değişmesi muhtemel.
### Sürekli bağlantı ihtiyacı ve GSM destekli cihazlar
#### Düşük risk
Şayet durumun değerlendirmeniz sonucunda modern cep telefonu kullanımı alışkanlıklarını sürdürmek zorundaysanız Baseband modemi taşıyan bir cihazı alıp kullanmak zorunda kalacaksınız. Bu teorik olarak özgür olmayan ve kürsel bir ağ ile sürekli bağlantı kuran bir işlemciyi cihazınızın üzerinde yetki sahibi olabileceği riskini de taşımak anlamına gelmekte. Genel kanı, özellikle hedef alınmayacaksanız veya hedef gözetmeyen toplu bir gözetim/saldırının nesnesi olma ihtimaliniz düşük ise bu tehlikeyi taşımanın makul olduğu yönündedir.
Telefonunuzu kilitsiz bir şekilde öylece ortalıkta mı bırakıyorsunuz? O zaman ya başınıza gelecekleri hak ediyorsunuz ya da gerçekten taşınabilir cihazlarınızda hiçbir şey olmadığını düşünüyorsunuz. Ne yazık ki modern taşınabilir cihazlar İnternet'e bağlı oldukları ve kullanıldıkları sürece siz fark etmeseniz de ziyadesiyle fazla veri üretir ve bunları kaydederler. Bu verilerden belki haberiniz yoktur ama pekala bilgili bir kişi -ki bu bilgisayarla ilgili her sorunuzda aradığınız arkadaşınız bile olabilir- bu bilgilere ulaşmanın bir yolunu bilebilir.
Bu noktada yapacağınız cihaz tercihi baseband modemden doğan endişelerinizi azaltabilir. [Baseband izolasyonu](https://www.replicant.us/freedom-privacy-security-issues.php) cihazların ana işlemcisi ile baseband modeminin birbirinden ayrı olmasını ifade etmektedir. Bu şekilde tasarlanmış cihazlarda işletim sisteminin ve işlediği bilgilerin modem tarafından görülmesi mümkün olmadığı gibi modem sisteme doğrudan müdahale edememekte. Bu anlamda işletim sistemi modemi kapatmak istediğinde (uçak modu) modemin gerçekten kapandığına inanmak mümkün olabilmekte.
Bu sebeple riskinizin düşük olduğuna eminseniz ve yanıldığınız için pişman olmayacaksanız, pekala herhangi bir telefon alıp ekran kilidi bile kullanmadan hayatınızı sürdürebilirsiniz.
Hangi telefonların bu imkanı sunduğunu öğrenmek ise başlı başına bir sorun olabilmekte. [Replicant projesinin](https://www.replicant.us/) tercih ettiği cihazlar özellikle baseband izolasyonu imkanı sağlamakta. [GrapheneOS](https://grapheneos.org) projesi de sanallaştırma aracılığı ile cihaz işlemcisi ile basband arasında bağlantıları kontrol edebilmekte. [Pinephone](https://www.pine64.org) da [wifi ve modem donanımlarını işlemciden ayrı tutmakta.](https://www.pine64.org/2020/01/24/setting-the-record-straight-pinephone-misconceptions/) Benzer şekilde [Librem5](https://puri.sm/products/librem-5/) cihazlar da baseband modem'i sistemde ayrı çalıştırmakta.
## Genel tavsiyeler
Sayılan cihazların ya modern kullanım için eski ya da Türkiye'de bulunması zor cihazlar olması gerçeği söz konusu tavsiyeyi bir noktada boşa çıkarmakta. Bir cihazın izolasyon konusundaki kapasitesini öğrenmek çoğu zamandan pek de kolay bulunmayan tasarım detaylarını incelemeyi gerektirdiğinden yeni cihazların keşfi kolay olmamakta.
### Cihazlarınızı yanınızdan ayırmayın
Şayet sayılan projelere dahil bir cihazı kullanma imkanınız var ise GSM şebekesini kullanırken en azından cihazınızı kontrol altında tumanız mümkün olabilir.
Cihazlarınızı fiziksel olarak yanınızda tutmak her zaman iyi bir fikirdir. Aksi takdirde bir saldırganın cihazınıza girmek, verilerinizi ele geçirmek ve gelecekteki etkinliklerinizi izlemek amacı ile kötücül yazılım yüklemesine fırsat doğabilir.
## Wifi
Cihazlarınızın zafiyeti tavsiye edilen donanımları kullanıp kullanmadığınıza, [şifrelemenin](cihaz_sifreleme.md) etkinleştirilip etkinleştirilmediğine ve cihazınızı bir parola veya PIN ile koruyup korumadığınıza bağlıdır.
Günümüzdeki internet üzerinden iletişim hizmet ve sistemlerinin gelişmişliği altında artık sesli ve yazılı iletişimin sadece internet bağlantısı ile sağlanması çok kolaylaşmış durumda. [Signal](yazisma_guvenligi/signal.md) veya [Jitsi](https://meet.jit.si) gibi araçların sağladığı imkanlar ile artık GSM ses bağlantısına ihtiyaç eskisi kadar yok. Bu neden ile bir kişi internet bağlantısını sağlayabildiği her yerden iletişim kurması mümkündür.
**Bir saldırganın cihazınıza girebilme olasılığı:**
| Cihazınız | Yetkin saldırgan | Eğitimli saldırgan | Olağan saldırgan |
| ---: | --- | --- | --- |
| Tavsiye edilen cihaz + Şifrelenmiş + Kilitli | DÜŞÜK | ÇOK DÜŞÜK | HİÇ |
| Tavsiye edilen cihaz + Kilitli | ORTA | DÜŞÜK | ÇOK DÜŞÜK |
| Normal cihaz + Şifreli + Kilitli | YÜKSEK | ORTA | DÜŞÜK |
| Normal cihaz + Kilitli | ÇOK YÜKSEK | YÜKSEK | ORTA |
| Kilitsiz | KESİN | KESİN | KESİN |
Saldırgan tipleri:
[Hangi Mobil Cihaz](cihaz_guvenligi/mobil_cihaz_tercih.md)
* **Yetkin saldırganlar** Kilitli telefonlara girmekte uzmanlaşmış büyük devletleri ve uluslararası şirketleri kapsar.
* **Eğitimli saldırganlar** Yerel kolluk kuvvetlerini ve telefon kıran adli tıp şirketlerini kapsar.
* **Olağan saldırganlar** Özel donanım sahibi olmayan yetenekli teknoloji meraklılarını kapsar.
Eğer cihazınızdan uzak kalacaksanız ve cihazınıza girilme ihtimali var ise verilerinizi yedeklemeli, fabrika ayarlarına dönüş yapmalısınız (veya yeni bir cihaz almayı düşünebilirsiniz).
### Ekran kilidinde PIN veya parola kullanın - biyometrik kullanmayın
Bilgisayarlarımızın aksine mobil cihazlarımız neredeyse sürekli açık kalırlar. Bu sebeple tüm diskiniz şifreli bile olsa açık bulunan cihazınıza her isteyen erişebiliyorsa muhtemelen pek de güvende sayılmazsınız. Ekran kilidinizi 4-6 haneli bir PIN olarak belirleyip kabaca 3 ayda bir [Zarola](https://zarola.oyd.org.tr) yöntemi ile değiştirin veya bir parola belirleyip daha uzun aralıklarla değiştirin.
Parmak izi, yüz tanıma gibi biyometrik yetkilendirme sistemleri doğaları gereği güvensizdir. Her ne kadar şirketler bunların aşılamaz olduklarını iddia etseler de çoğu zaman bu tip sistemlere karşı etkili saldırılar yapılmıştır ve en başarılısı [ebeveyninin parmağına uyuduğu sırada telefonunu dokundurup binlerce dolarlık oyun satın alan çocuğun zekasını aşamaz.](https://www.usatoday.com/story/news/nation/2016/12/28/girl-uses-sleeping-moms-thumbprint-pokemon/95907370/) Bu sebeple biyometrik giriş yöntemleri kullanacaksanız bunları ikinci aşama olarak değerlendirip hem PIN/parola hem biyometrik kullanın. Şayet biyometrik verileriniz bir şekilde bir gün çalınırsa yeni bir parmak veya yüz alamayacağınızı unutmayın.
**Yüksek risk taşıdığınızı düşünüyorsanız, cihazınızı size açtıracak kişinin Avrupa İşkencenin Önlenmesi Komitesi'nin kararlarını umursamayacağını asla unutmayın.**
### Ekranınızı saklayın
En büyük ihlaller en küçük tedbirsizliklerden yaşanabilir. Muhtemelen yüksek bütçeli kırma girişimleri yakınlarımızın telefonlarımızı kurcalamasından daha az olası. Bu sebeple ekran parolanızı veya PIN'inizi girerken ve genel olarak cihazınızı kullanırken telefonunuzun ekranını omzunuzun üstünden bakacak kişilerden sakının. Buna kanıksadığınız güvenlik kameraları da dahildir. Paranoyakça gelebilir ama cihazınızı koruyan en önemli veriyi bu şekilde ortalığa saçmanız muhtemelen her şeyi riske atmanızla eşdeğerdir.
### Kapkaça karşı tedbir alın
Her türlü tedbiri almış olabilirsiniz ama bir an vardır ki cihazınız olabildiğince korunaksızdır. Telefonunuzu kullandığınız an! Bu noktada hem cihazınız açık hem de ekran kilidi yok. Pratik olarak o anda telefonu elinde bulunduran herkes neredeyse her işlemi cihazınız ile yapabilir, [bu bir şaka değil](https://www.bbc.com/news/uk-38183819). Haliyle telefonunuzun elinizden kapılması durumunda tedbir almak için [Privatelock](https://f-droid.org/en/packages/com.wesaphzt.privatelock/) kullanabilirsiniz.
### Bildirimlerin kilit ekranında görülmesine izin vermeyin
Bankanızdan gelen 2FA kodları, sevdiklerinizden gelen yazışmalar, en güncel dedikodular ve hepsi açıkça cihazınızın kilit ekranında görünüyorsa mahremiyetiniz ile birlikte güvenliğiniz de olduğu gibi çöpe gidebilir. Ayarlarınızdan kilit ekranında görülecekleri sınırlayın.
### Bilmediğiniz cihazlara bağlamayın
Bu öneri hem tanınmadık Wi-Fi ağlarını hem de artık her yerde bulunan USB şarj çıkışlarını kapsar. Cihazınızı bu bilinmeyen ortamlara maruz bırakmak sizi riske sokabilir. Ya kendi şarj cihazınızı kullanın ya da bu tip çıkışları kullanmak zorundaysanız [USB kondom](https://en.wikipedia.org/wiki/Juice_jacking#Mitigation) kullanın. Ayrıca yeni Android sürümlerinde "Şarj için USB" diye bir seçenek de vardır.
### Kablosuz aygıtlarınızı kullanmıyorsanız kapatın
Wi-Fi ve Bluetooth gibi teknolojiler kablosuz olarak sizinle ilgili pek çok veriyi ortalığa saçabilirler. Bunun yanı sıra takip edilmeniz için de elverişli bir araç olarak kullanılabilirler. Bu sebeple kullanmadığınız her zaman bu donanımları kapatın.
### Signal kullanın
**Signal** özgür bir anlık yazışma yazılımı olarak telefonunuzla gelen normal yazışmaya güvenli bir alternatif oluşturmaktadır. WhatsApp veya Telegram gibi çalışsa da çok daha güvenlidir.
Neden Signal kullanmalısınız?
* GSM hizmet sağlayıcınız size gönderilen her mesajın bir kopyasını tutmaktadır. Signal ile GSM hizmet sağlayıcınız ne mesajlarınıza ne de iletişimde bulunduğunuz insanlara ulaşabilir.
* Bir saldırgan için telefon numaranızı ele geçirmek görece kolaydır. Konuştuğunuz kişinin başına bu geldiğinde Signal, kişinin "güvenlik numarası'nın" değiştiğine dair bir uyarı verir. Bu aynı zamanda biri yeni telefon edindiğinde de gerçekleşir. Güvenlik numarasını doğrulamak aranızdaki yazışmaların kimse tarafından okunmadığını garanti eder.
* Signal aynı zamanda güvenli ses iletişimi için de kullanılabilir. GSM hizmet sağlayıcınız kimi aradığınızı, kimin sizi aradığı ve aramaların uzunluğuna ilişkin kayıt tutar. Signal ile yaptığınız aramalarda GSM servis sağlayızınız bu bilgilere ulaşamaz. Cihazınız güvenli olduğu sürece aramalarınızın içeriği ve uzunluğu gizli kalacaktır.
* WhatsApp, Telegram veya Wire gibi diğer "güvenli" olarak pazarlanan yazışma programları Signal ile kıyaslanınca çokça soruna sahiptir.
Daha fazla bilgi için, [Security Planner / Signal](https://securityplanner.org/#/tool/signal)'e bakın.
### Silence kullanın
**[Silence](https://silence.im/)**, Android için geliştirilmiş bir SMS (kısa mesaj servisi) yazılımıdır. Silence'ı kurduktan sonra telefonunuzun standart SMS programı olarak atarsınız ve tüm SMS'leriniz Silence'e gelir. Normal koşullarda her SMS programı gibi SMS'leriniz gelir ve gider ama Silence kullanan kişilerle anahtar değişimi yaptıktan sonra tamamen uçtan uca şifreli SMS yazışması yapabilirsiniz.
### Fotoğraf çekerken güvenlik
Telefonunuzun kamerası, çektiğiniz her fotoğrafa yüksek olasılıkla hassas çokça veriyi eklemektedir. İnternet'te paylaştığınız bir gönderinin nasıl kullanılacağını bilemeyeceğinizden, fotoğrafların taşıdığı kişisel veriyi paylaşmadan önce silmek iyi bir fikirdir.
Fotoğraflarınızda "konum etiketi(geotagging)" sorununu engellemek için, kamera ayarlarınızı açın ve konum bilgisini kaydetme ayarlarını kapatın.
Konum etiketi kapalı iken bile kamera yazılımınız cihazınızın modelini ve diğer potansiyel olarak hassas veriyi fotoğraflara kaydedecektir. Bu durumdan kurtulmanın en iyi yolu ayrı bir yazılımla EXIF verisini fotoğraf dosyalarından silmektir. Bu yazılımlar aynı zamanda konum bilgisini de çektiğiniz geçmiş fotoğraflardan silmek için de kullanılabilir.
Daha fazla bilgi için: [Fotoğraflardan EXIF üstverisini silmenin 3 yolu](https://www.makeuseof.com/tag/3-ways-to-remove-exif-metadata-from-photos-and-why-you-might-want-to/).
[replicant]:https://replicant.us
[lineageos]:https://lineageos.org
[grapheneos]:https://grapheneos.org
[lineageos devices]:https://wiki.lineageos.org/devices/
[grapheneos devices]:https://grapheneos.org/faq#device-support
[baseband modem]:https://en.wikipedia.org/wiki/Baseband_processor

@ -0,0 +1,3 @@
# OpenWRT Kurulumu
[Bu rehbere katkı verebilirsiniz.](https://git.oyd.org.tr)

@ -0,0 +1 @@
[Bu bölüme katkı verebilirsiniz](https://git.oyd.org.tr)

@ -0,0 +1 @@
[Bu bölüme katkı verebilirsiniz](https://git.oyd.org.tr)

@ -1,3 +1,19 @@
# Uzak Sunucuda Dosya Şifreleme
**Bulut yoktur, başkasının bilgisayarı vardır.**
Bugün bulut olarak adlandırılan ama aslında kimi şirketlerin veri merkezlerinde bulundurdukları bilgisayarların depolama imkanları olan saklama hizmetleri temel bir mahremiyet ve güvenlik sorunu oluşturmakta.
Başkasının bilgisayarına verilerinizi gönderdiğinizde, [taşıma sırasında](ag_guvenligi/letsencrypt.md) şifreli olsalar da depolandıkları sabit sürücüde şifresiz şekilde kaydedilecektir. Bu bilgisayarın sahibi olan ile bu sistemlere yeterli yetki ile erişen herkesin de verilerinize dilerseler ulaşabilecekleri anlamına gelir.
Gerçek insanların bunu yaptıklarına dair bir verimiz olsa da mahremiyet zararlısı şirketlerin otomatize sistemler aracılığı ile tüm verilerinizi işlediği bilinen bir gerçek. Google yüklediğiniz dosyalar için sizden [kullanım hakkı](https://www.theverge.com/2012/4/25/2973849/google-drive-terms-privacy-data-skydrive-dropbox-icloud) almakta, dosyalarınızı bilinen dosyalarların [özgüt değerleri ile kıyaslayarak](https://torrentfreak.com/google-drive-uses-hash-matching-detect-pirated-content/) sansür uygulamakta.
Bu duruma en kolay çare başkalarının bilgisayarın kullanmamak olabilir. Bunun için evinizde veya güvendiğiniz bir yerde kendi sunucunuz üzerinde [Nextcloud]( çalıştırabilirsiniz. Lakin kimi kişiler için bu zahmetli, pahalı veya duruma göre imkansız olabilmekte. Bu durumda [şifreleme](cihaz_guvenligi/cihaz_sifreleme.md) yine yardımımıza yetişmekte.
Şayet gönderdiğiniz her veri, dosya sadece taşıma sırasında değil size ait bir anahtar ile şifrelenmiş olursa gönderdiğiniz sunucu tarafında bunların okunması neredeyse imkansız olur. Bu hala verinin silinmesi, şifresinin kırılmaya çalışılması veya [rubber hose](https://en.wikipedia.org/wiki/Rubber-hose_cryptanalysis) saldırılara engel olmayacak olsa da faydalı bir araç olarak gerektiği yerde değerlendirilebilir.
## Planlama
[Bu bölüme katkı verebilirsiniz](https://git.oyd.org.tr)

@ -0,0 +1,71 @@
# Yönlendirici Güvenliği
Evinizin köşesinde unuttuğunuz, telefon kablosuna bağlı ve sadece İnternet bağlantınız kesildiğinde hatırladığınız küçük siyah kutular güvenliğiniz için önemli bir rol üstlenmektedirler. Bu cihazlar sizi internet servis sağlayıcınıza, cihazlarınızı da bir yerel ağ altında birbirine bağlar.
Modem ile yönlendirici teknik olarak farklı şeylerdir. [Modem (modulator demodulator kelimelerinin birleşimi)](https://en.wikipedia.org/wiki/Modem) iki nokta arasında bağlantı kurularak veri aktarılmasını sağlayan bir cihazdır. Bir zamanların çevirmeli bağlantı için kullanılan 56k modemleri gibi [ADSL](https://en.wikipedia.org/wiki/Asymmetric_digital_subscriber_line) ve [VDSL](https://en.wikipedia.org/wiki/VDSL) teknolojileri de sizi internet servis sağlayıcınıza bağlar. Dünya'da kullanımı artık yok olmakta olsa da Türkiye hala fiberoptik altyapı eksikliği altında bu teknolojileri yaygın olarak kullanmaya devam etmektedir.
[Yönlendirici (router)](https://en.wikipedia.org/wiki/Router_(computing)) bir ağı alt ağlara bölmeye yarayan ve aralarındaki trafiği düzenleyen bir donanımdır. Özel olarak tasarlanmış minik bir bilgisayar olmakla birlikte cihazlarınıza kablosuz bağlantı sağlamak ve denetlemekle görevlidir.
Modem olarak satılan cihazlar aslında bir modem ve yönlendiricinin birleşiminden oluşur. Bu bakımdan modeminizin arkasına bir yönlendirici daha eklemenize engel olan bir şey olmadığı gibi modemi ayrı bir donanım olarak alıp bir yönlendiriciye bağlamanız da mümkündür.
Yönlendiricilerin İnternet bağlantınızda ve yerel ağınıza (cihazlarınızın birbirini görebildiği iç ağınız) hakim olması onları güvenliğinizin önemli bir parçası haline getirmekte. Yönlendiricinizin kontrolünde olan bir kişi aşağıdaki saldırılarla sınırlı olmamakla pek çok saldırıyı gerçekleştirebilir:
* Yerel ağınıza bağlı olan cihazları takip edebilir kaydedebilir.
* İnternet bağlantınızın gittiği yerleri ve şifresiz iletişimleri takip edebilir.
* Sizi güvenliğinizi tehdit edecek şekilde sahte sitelere yönlendirebilir.
* Ağınızdaki diğer cihazlara ulaşıp onların güvenliğini aşabilir.
* Ağınızda bulunan depolama aygıtlarına erişebilir ve dosyalarınızı çalabilir.
Bu tehditler ve bunun gerçekleşme ihtimali düşük olasılıklar içermez. Dünya'da pek çok kere yönlendiriciler yüzünden risk altına girmiş kullanıcılar oldu. Bunun sebepleri arasında; [yönlendirici üreticisinin kötü güvenlik uygulamaları](https://arstechnica.com/information-technology/2014/02/dear-asus-router-user-youve-been-pwned-thanks-to-easily-exploited-flaw/), internet servis sağlayıcılarının dağıttığı yönlendiricilere güvensiz ve onaysız uzaktan erişim portları açması, güncellenmeyen veya güncellemesi artık olmayan cihazlardaki güvenlik açıkları sayılabilir.
Bu kadar önemli bir cihazın görece önemsiz görüntüsü nedeni ile ihmal ile karşılanması görece doğal karşılanabilir fakat çok basit tedbir ve değişikliklerle söz konusu cihazların güvenliği sağlanabilir.
## Yönlendirici ve modem arayüz parolanızı değiştirin
Ağınızda bulunan her cihaz yönlendiricinizin ayarlarının yapıldığı arayüze bir web tarayıcısı aracılığı ile erişebilir. Bu durumda cihazınızın ayarlarının değiştirilmesi gibi istenmeyen sonuçlar ortaya çıkabilir. Pek çok yönlendirici standart "admin/admin" gibi parolalarla geldiklerinden bu ayarın kullanımın ilk anında değiştirilmesi gereklidir.
Yönlendiricilerde farklı olabilmekle birlikte çoğu yönlendirici `192.168.1.1` adresinden erişilebilir. Cihazınızdaki web tarayıcısına adresi girdiğinizde karşınıza giriş sayfası çıkacaktır. Buradan cihazınıza ait standart parola ile giriş yaptıktan sonra ayarlar içinden bu parolayı değiştirebilirsiniz.
## Wifi parolalarınızı güvenli kılın
Wifi güvenliği neredeyse her köşede verilen bir tavsiye fakat pek çok insan için pratik gereklilikler altında ihmale uğramakta. Wifi ev ağınızı radyo dalgaları ile belki de yüzlerce metre uzaklara ulaştırmakta ve hiç göremediğiniz biri tarafından erişilebilmesine imkan verebilmekte.
Belki pek çok insan wifi güvenliğinin gerekliliğinin farkında ama misafirlerine güvenli bir parolayı aktarmanın zorluğuna katlanmamak için cep telefonu numaralarından "12345678" gibi bariz girdileri parola olarak kullanmakta.
Bu neden ile wifi parolalarınızı [zarola](https://zarola.oyd.org.tr) veya rastgele 16-24 karakter uzunluğunda bir değer ile değiştirmeniz tavsiye edilir. Zarola ezberlemesi kolay olacağından misafirlerinizin veya ağa yeni eklemek istediğiniz cihazların kolaylıkla dahil edilmesine imkan verirken rastgele parola ise sıklıkla parola değiştirmenize imkan sağlayacaktır.
Kablosuz ağınızın kullandığı şifreleme algoritmasının da günümüz gerekliliklerine uygun olduğunu denetleyin. WEP artık güvenli sayılmayan ve aşılması çok kolay bir güvenlik tedbiri olarak kesinlikle tavsiye edilmemektedir. Bunun yerine modern WPA2 şifrelemeyi kullanmanız güvenli bir wifi ağı için gereklidir.
Ağınıza güvendiğiniz misafirler olsa bile bilinmeyen cihazları eklemeniz önerilmez. Bu bakımdan kimi yönlendiriciler yalıtılmış ve sadece İnternet bağlantısı sağlayan "misafir" ağları oluşturabilir. Cihazınız bu imkanı sağlıyor ise kullanmanız kesinlikle tavsiye edilir. Şayet parolanızı misafirlerinizle kolaylıkla paylaşmak isterseniz [karekod](https://qifi.org/) yardımı ile cihazların kolayca tarayıp bağlantı sağlayabileceği karekodlar oluşturabilirsiniz.
## Mümkün ise wifi kullanmayın
Wifi çok rahat bir kullanım sağlasa bile her halukarda cihazınızı erişiminiz olmayan dış dünyaya açarak bir saldırı imkanı doğurur. Tüm yazılımlar ve donanımlar gibi bilinmeyen güvenlik açıklarının var olduğu bir dünyada bu kimi zaman kabul edilemeyecek bir risk taşıyabilir.
Kablolu bağlantılar hem daha istikrarlı bağlantı sağlar hem de ağınız ile ilgili bilgilerin dışarıya radyo dalgaları ile sızmasını engeller. Bu neden ile şayet wifi ağına ihtiyacınız özellikle yok ise cihazlarınızı kablo ile bağlayıp wifi ağınızı tamamen kapatmanız faydalı olabilir. Bu aynı zamanda Google gibi mahremiyet düşmanı şirketlerin ağınızın konumunu kullanıp kaydetmesine de engel olacaktır.
## Cihazlarınıza fiziki erişimi sınırlandırın
Tüm güvenliği kritik cihazlarınız gibi yönlendiricinizin de ortalık yerde durması uygun bir durum sayılmaz. Bu bakımdan cihazınızı gözden uzak mümkünse erişimi kolay olmayan bir alanda saklamanız önerilir. Bu cihazınıza doğrudan erişimi engelleyerek çeşitli müdahaleleri görece zor kılacağından güvenliğinize katkı sunacaktır.
## Cihazınızı güncelleyin
Pek çok yönlendirici satın alındıkları tarihten itibaren üreticisi tarafından belirli süreler ile güncellemeler ile desteklenmektedir. Ne yazık ki görece ucuz ve önemsenmeyen ürünler olmakla hem üreticiler tarafından gerekli güvenlik güncellemeleri bir süre yapılmamakta ve kullanıcılar da gerekli güncellemeleri zamanında uygulamamakta. Bu tip açıklardan dolayı pek çok güvenlik açığı kablosuz bağlantı veya uzak erişim ile kullanıcılarının güvenliğini tehdit edebilmektedir.
Cihazınızın yönetim paneline girerek güncelleme seçeneklerine bakabilir veya üreticinin web sayfasından elinizdeki modelin sunulan en güncel yazılımına bakabilirsiniz. Şayet üreticiniz artık cihazınıza destek vermiyor ise özgür bir yazılım ile cihazınızı güncelleyebilir veya yeni bir modele geçerek destek alabilirsiniz.
## Cihazınızı özgürleştirin
Her ne kadar yukarıdaki tavsiyeler genel olarak tüm yönlendiriciler için geçerli olsalar da üreticilerin pek de özen göstermedikleri ürünler olmakla son kullanıcı yönlendiricileri pek çok mülk yazılım içermekte ve potansiyel olarak incelenememiş güvenlik açıkları içerme ihtimali taşımakta. Bu duruma en iyi çözüm ise yazılım özgürlüğünden geçmekte. LibreCMC ve OpenWRT sayılması gereken en önemli projeler olmakla belirli donanımları güncel özgür sistemlerle güncelleyerek güvenliğinizi hatrısayılır miktarda arttırabilir ve cihazlarınızın kabiliyetini de geliştirebilirsiniz.
* [LibreCMC kurulumu](cihaz_guvenligi/librecmc.md)
* [Openwrt kurulumu](cihaz_guvenligi/openwrt.md)

@ -0,0 +1 @@
[Bu bölüme katkı verebilirsiniz](https://git.oyd.org.tr)

@ -36,6 +36,6 @@ Her seviyeden kullanıcı için kullanım tavsiye ve rehberlerimize göz atabili
* [GPG ile uçbirimde işlemler](ucbirim_gpg.md)
* [GPG ile graik arayüzde işlemler](gui_gpg.md)
* [GPG ile grafik arayüzde işlemler](gui_gpg.md)
* [GPG ile e-posta şifreleme](yazisma_guvenligi/openpg.md)
* [GPG ile e-posta şifreleme](yazisma_guvenligi/openpgp.md)

Loading…
Cancel
Save