İnternet kullanıcılarını bekleyen büyük tehlike
İnternet kullanıcılarını son günlerde rahatsız eden bir gelişme oldu. TTNET ve Phorm adında İngiliz bir şirket arasında gerçekleşen bir anlaşma ile kişisel verilerin ve iletişimin gizliliğini ihlal edildiği öne sürüldü. Alternatif Bilişim Derneği bu anlaşmaya ilk tepki gösteren sivil toplum örgütlerinden birisi. Dernek, internet kullanıcılarının rızası ve bilgisi olmadan getirilen sistem ile kişilerin internetteki verilerinin izinsiz olarak ele geçirildiğini ve ticari amaçla haksız biçimde kullanıldığını öne sürerek TTNET ve Phorm hakkında suç duyurusunda da bulundu.
Peki, nedir Phorm ve bize nasıl bir zararı olabilir? Bu konuyu Alternatif Bilişim Derneği Başkanı Ali Riza Keleş’e sorduk.
Derneğiniz TTNET ile Phorm arasında imzalanan bu antlaşmanın hemen sonrasında gerek basın ve internet yolu ile, gerekse suç duyurusunda bulunarak konuyu kamuoyuna taşıdınız. Peki nedir Phorm ve bize nasıl bir zararı olabilir?
Phorm İnternet kullanıcılarını ilgi alanlarına göre profilleyen ve bu profilleri reklam sektörüne satarak kar elde etmeyi hedefleyen bir şirket. Internet erişim sağlayıcılar ile birlikte çalışıyor ve DPI olarak bilinen, internet trafiğimiz üzerinde derin veri analizi yapan teknolojiler kullanıyorlar. Türkiye'de ADSL pazarında neredeyse fiili tekel olan TTNET ile anlaşıp, omurga üzerine bu cihazları yerleştirdiler. TTNET kullanıcılarının trafiklerini bu teknolojilerle izleyip kimin neler yaptığını inceliyorlar ve profiller çıkarıyorlar.
Bu durum çok tehlikeli. Çünkü sistem omurga üzerinde çalıştığı için kaçma şansınız yok. Google, Facebook gibi firmalar da bizleri profilliyorlar. Fakat Facebook kullanmayabilirsiniz. Buradaki durum ise telefonunuza paralel hat çekilmesinden farklı değil. İnternet üzerindeki bütün veri iletişimi paketler aracılığı ile yapılır. Paketler alır paketler gönderirsiniz. Bu paketler birleşince bazen görüntülemek istediğiniz bir web sayfası olur, bazen bir eposta olabilir ya da ticari sırlarınızı bulunduğu sisteme ait bilgiler olabilir. Ne yapıyor olursanız olun internet paketleri alır ya da gönderirsiniz. Bu paketleri zarf içindeki bir mektuba benzetebilirsiniz. Paketler çok katmanlıdır ve en üstte tıpkı mektup zarflarında olduğu gibi gönderici / alıcı bilgileri yer alır. Mesela google da bir arama özetle şöyle gerçekleşir. Siz tarayıcınıza google.com yazarsınız. Google sitesine bağlanma isteğinizi belirten paketler, google sunucularına gönderilir. Buna yanıt olarak da google sunucuları size google sayfasını gönderir. Bu durumda da gönderen google.com, alıcı Barış Çiçek şeklindeki paketler size ulaşır. Tabi bu gönderici ve alıcılar IP adresi dediğimiz bilgilerle temsil edilir. TTNET'in buradaki görevi, paketleri alıp sahibine teslim etmektir. Sizin paketlerinizi alıp google'a, google'unkileri de de size.. Tıpkı kendisine teslim edilen zarfı sahibine ulaştırması gereken postane ve postacı gibi.
Fakat Phorm şirketi zarfınızı teslim etmekle kalmıyor. Zarfın içini açıp mektuplarınızı okuyor. Nelerden konuştuğunuzla, nelerden hoşlandığınızla, nasıl şeyler görmek istediğinizle, hobilerinizle, kısacası internette ne yapıyorsanız onunla ilgileniyor. Tıpkı ahlaksız/meraklı bir postacının zarfı açıp okuması gibi.
Böylece hakkınızda bilgi edinilmiş oluyor. Bu bilgilerin kayıt edilmesi ve kapı numaranıza kadar TTNET elinde bulunan verilerle eşleşmesi ise işten bile sayılmaz. Bu da çok büyük bir fişleme mekanizması demek.
Bu şirketin casusluk faaliyetleri sebebiyle Avrupa Parlamentosu tarafından AB sınırları içerisinde faaliyet yürütülmesi yasaklanmış ayrıca ABD, Kanada, Güney Kore gibi ülkelerde de anlaşmalarına son verilmiş. Romanya Ulusal Denetim Kurumu tarafından bu şirketin Romanya’daki aktivitesi de durdurulmuş. Peki hangi ülkelerde faaliyetlerini sürdürüyorlar?
Şu anda sadece Brezilya ve Türkiye'de faaliyet gösteriyor. Romanya’daki denetim kurumunun kararına da mahkeme yoluyla itiraz etmişler.
Phorm’un casus yazılımlar kullandığı iddia ediliyor. Casus yazılım kullanmak bilişim suçları arasında yer alıyor mu?
Phorm casus yazılım kullanmıyor. Sistemin kendisi zaten kişisel verilerimizi toplamaya yönelik bir casus teknoloji. Amerika'daki faaaliyetleri sırasında ürettiği bazı araçlar F-secure ve Symantec gibi güvenlik yazılımları tarafından malware/spyware (kötü niyetli/casus) yazılım olarak nitelenmişti.
Bilişim Teknolojileri Kurumu (BTK) bir basın duyurusu yayınladı ve Phorm şirketinin kişisel verilerin ve iletişimin gizliliğini ihlal ettiği yönündeki çıkan haberleri araştıracaklarını duyurdu. Burada bir sıralama hatası var gibi, önce BTK’nın böylesi bir uygulamayı inceleyip, sonra izin vermesi gerekmez mi?
Hadi bunu yapamadınız diyelim. En azından şu yapılabilirdi. Öncelikle bu firmanın faaliyetleri derhal durdurulmalı ve sonra böyle bir inceleme yapılmalıydı. Aylardır bilgilerimiz toplanmaya devam ediyor.
Sizler olmasanız ve bu konuyu gündeme getirmeseniz toplum konudan haberdar olmayacaktı. Servis sağlayıcılar gizlice bu tip anlaşmalar yaparak, müşterilerinin veri trafiğini pazarlayabilirler mi?
Erişim sağlayıcının kayıt edebileceği veriler 5651 nolu internet düzenlemesi ile bellidir. Erişim adresi(url), ip adresi ve zaman. Bunun dışında erişim sağlayıcı veri kayıt edemez, toplayamaz. Ama burada 3. şahıs bir firmaya bu iş havale ediliyor. Phorm firması bu izleme teknolojisini TTNET omurgasına yerleştiriyor. Kesinlikle yasadışıdır.
Olaya bir de şu açıdan bakarsak, internet kullanıcıların özel bilgilerini toplayıp depolayan bu şirket Türkiye sınırları içinde olduğundan, mahkeme kararları ile internet kullanıcılarının bilgilerini devlet ile paylaşabilir mi?
Mahkemeler böyle bir karar verir mi, böyle bir karar vermesi istenir mi bilemiyorum. Ama neticede elinizde bilgi varsa ve mahkeme istiyorsa yasal olarak vermek zorundasınız.
O halde, tüm internet kullanıcıları potansiyel suçlu olarak “fişlenmekte” ve yeri geldiğinde de bu bilgiler aleyhlerinde kullanılabilir anlamına da gelmez mi?
Mahkemelerde kullanılması yine gayet iyimser bir yorum olurdu. Bu sistemler son derece karanlık ve ağ tarafsızlığı dediğimiz ilkeleri bozan, üstelik denetimden uzak sır dolu teknolojilerdir. İnternetin doğasını zehirlemekteler. Mesela TTNET davet amacıyla sizi gezinti.com adresine zorla yönlendiriyor. Hiç gitmek istemediğiniz bir siteye zorla gidiyorsunuz. Umarım bir gün “ben bu siteye girmedim, ya da bu epostayı ben atmadım” noktasına gelmeyiz.
Phorm’un internet hattı üzerinde gelen giden tüm verileri izlediğini söylemişsiniz. Bu verilerin arasında kişisel yazışmalar, mailler ve sohbetler de dahil mi? Hatta daha da ileri gidip, kişisel bilgisayarlarımıza da sızmaları söz konusu olabilir mi?
Bilgisayarlarınıza cookie (çerez) ler sayesinde zaten sızıyorlar. Fakat DPI sözkonusu ise bunlara gerek yok ve her türlü trafik izlenebilir. Belki bir istisna şifreli bağlantılar olabilir ama şifrelenmiş trafikler bile zor da olsa çeşitli yöntemlerle izlenebiliyor. Burada eposta, sohbet vb ayrımı yapmak tümüyle firmanın inisiyatifinde. İyi niyetlerine güvenmemizi bekliyorlar. Teknik olarak mail ve sohbetlerimizi de izlemeleri mümkün. Hatta izlememek yani bu ayrımı yapmak için ekstra çaba harcamaları gerekiyor.
Phorm 72,5 milyar dolarlık online reklam endüstrisinde yerini aldığını ve yayıncılara da fayda sağlayarak kullanıcı bağlılığını ve finansal getiri olanaklarını artırdığını söylüyor. Sizce bunun anlamı nedir?
Bu söylenende kullanıcıların hiç bir faydası yok. Kim daha iyi reklam görmek ister ki? Kim bu kadar pahalı bir bedel karşılığında, yani kişisel verilerin güvenliğini tehdit eden bu tehlikeyi göze alarak, daha iyi reklam almayı göze alır. Hiç kimse.
Ayrıca, sahtekar web sitelerine ve tehlikeli yazılımlara karşı tüketicileri ağ düzeyinde koruyormuş. Kendi casus yazılımları nedeniyle birçok ülkede yasaklanmalarının sebebi ile tezat bir açıklama değil mi?
Bunu kullandığımız internet tarayıcıları da yapıyor zaten. Üstelik bu ifade, içerik taraması yaptıkları konusunda bir itiraf sayılabilir.
Phorm’un ortakları arasında önde gelen İnternet Servis Sağlayıcılar (ISS’ler; hem sabit hem kablosuz), yayıncılar, reklam ağları, reklam verenler ve ajanslar bulunmaktadır. Bu durumda kendisine bağlı reklam sektörü ile, kendi dışındaki reklam sektörü arasında haksız bir rekabet ortamı da doğmaz mı?
Burada daha önemli tehlike ağ tarafsızlığının bozulması ile yaşanabilecek haksız rekabetlerdir. Yarın TTNET, bu sisteme üye kullanıcının internet trafiği daha öncelikli olacak derse, o zaman ne yapacağız? Yani bu sistemi kullananlarla kullanmayanlar arasında ayrıma giderse? İşte ağ tarafsızlığının bozulması böyle kötü sonuçlara yol açıyor. Bu tıpkı TTNET'in kendi video servislerinin tercih edilmesi için youtube gibi sitelerin band genişliğini düşürmesi ve kullanıcıları bir nevi youtube'dan yıldırarak kazanç sağlamasına ilişkin hakkında açılan soruşturmalardaki duruma benziyor.
Şirket, mantıklı bir bakış açısıyla hassas sayılabilecek ilgi alanı kanallarının oluşturulmasına izin vermediğini, bu içerikler arasında da: yetişkin; çocuk; siyaset; cinsel yönelim; uyuşturucu, alkol ve tütün ürünü kullanımı; tıbbi ve psikolojik durumlar; kumar; din; ırk ve etnik köken; yasadışı faaliyetlerin bulunduğunu söylüyor. Şirketin, özellikle internet üzerinden yüksek kazanç elde eden bu tür kanalların reklam kazancından vazgeçmesi pek mantıklı değil. Sizce Phorm şirketinin genel uygulamasında, böyle bir ayrım yaptığı doğru olabilir mi?
Böyle bir ayrım yapmak teknik olarak mümkün ama çok zor. Mümkün olmayan şey, bu tür hassas verilerin takibinin, bu sistemin tümüyle ve kesinlikle dışında kalamaması. Yani bunlar izlememek mümkün değil. Neden Phorm ve TTNET'e bunları izlemediklerini konusunda güvenmek zorunda olalım. Bunları izleme potansiyeli taşıyan her türlü girişim, sistem ağın dışında kalmalıdır.
Peki bireysel kullanıcı olarak, Phorm’dan kendimizi korumanın bir yolu var mı?
Phorm sistemin seçimlik olduğunu söylüyor. Fakat bu gerçekte böyle değil. Siz teknik olarak omurga üzerinde DPI yapan bir cihazdan kaçamazsınız. Trafiğiniz bu cihazlar tarafından analiz edilir. Seçimlik olan kısım, göreceğiniz reklamların size özel olup olmamasıdır. Yani profilleme her durumda yapılır.
Korunmanın yolu ise tüm internet trafiğinizi şifreli hale getirmek olabilir. Ama bizim isteğimiz, DPI cihazlarının omurga üzerinde hiç yer almamasıdır. Hollanda bu konuyu anayasasına koymuş ilk ülke. DPI sınırlandırılmıştır ve Phorm'un yaptığı seviyede yapılan DPI yasadışı ilan edilmiştir.
Phorm; yasaklanan, kapatılan ve sakıncaları gelişmiş devletlerce kabul edilen, faaliyetini sadece Brezilya ve Türkiye’de sürdürebilen, reklam pazarlaması görünümünde bir bilgi toplama şirketi. Kişi veya mekan ayırt etmeyen, PC veya cep diye ayırmayan, gelen veya giden, özel veya genel bilgi demeden, internetteki her hareketinizi kaydeden mükemmel bir “istihbarat silahı”. Bilişim sektörünün belki de en tehlikeli “kitlesel sömürü” yazılımı. Ancak, esas sorun Phorm’un neden var olduğu değil, Phorm’un neden Türkiye’de olduğu. Ve böylesi genel çapta bir veri kontrolüne AKP hükümetinin neden izin verdiği. Diğer devletlerce yasaklanan Phorm’un tehlikelerinin, Türkiye makamlarınca “bilinmiyor” olması imkansız. Hele ki, ülkedeki internet ağından geçen tüm veriler söz konusuyken.
Alternatif Bilişim Derneği Başkanı Ali Riza Keleş uyarıyor: “Yapılan yasadışıdır ve durdurulmalıdır!”. Derneğin konu ile ilgili açmış olduğu “www.enphormasyon.org” isimli internet sayfasında Phorm hakkında detaylı bilgi sunulmuş ve imza kampanyası açılmış. Dernek, tüm internet kullanıcılarını Phorm hakkında uyararak, imza kampanyasına katılmaya çağırıyor. (Barış Çiçek-muhalifgazete)
TTNET’den açıklama
Gezinti, Türkiye’nin iletişim ve eğlence şirketi TTNET tarafından PT Reklam işbirliği ile sunulan, kullanıcıların isteğine ve açık onayına bağlı olarak kullanıcılara internette dolaşırken ilgilendikleri kategorilerdeki içerik ve/veya reklamları sunan ve böylece kullanıcıların internet deneyimlerini kişiselleştiren bir hizmettir. Gezinti, son derece güvenli, kişisel verilerin gizliliğine saygılı, çevrimiçi, ücretsiz ileri teknoloji ürünüdür.
Bu hizmet sayesinde kullanıcılar gerçek anlamda ilgilendikleri konulara ulaşmak için daha az zaman harcarken, ilgi alanlarına girmeyen reklamlarla da karşılaşmazlar.
Kullanıcıların 'Gezinti' hizmetinden faydalanıp faydalanmayacakları tamamen kendi tercihlerine bağlıdır. TTNET müşterileri, Gezinti’yi kullanmaya kendilerine yapılan çevrimiçi daveti kabul edip onaylarlarsa başlarlar ve diledikleri anda bu hizmetten faydalanmaya son verebilirler.
En yüksek gizlilik, güvenlik ve performans standartlarını sağlamak üzerine kurulu Gezinti hizmeti ile veriler, kullanıcının kimliği ile ilişkilendirilebilecek bilgilerden (internet hattı bilgisi, ad-soyad, adres bilgisi vb) bağımsız hale getirilerek, anonimleştirilir (isimsizleştirilir). Bu ise Gezinti Hizmetine onay vererek sisteme katılmayı seçen kullanıcıların hizmete onay verdiği desteklenen internet tarayıcısına rastgele 24 haneli bir numara atanması ile olur. Bu numara hiçbir şekilde kişi olarak kullanıcı ile ilişkilendirilemez, kullanıcının kimliği asla bilinmez; böylece saklanmaz ya da kimseye açıklanmaz. Gezinti, kullanıcının internet tarayıcısına atanan bu rastgele numarayı ve ziyaret edilen web sitelerinin bilgilerini reklamverenlerle paylaşmaz. E-posta yazışmaları veya benzer iletişim bilgileri profilleme adı altında kaydedilmez ve arşivlenmez. E-posta (SMTP), sohbet veya dosya paylaşımı gibi diğer internet trafiği türleri hiçbir şekilde işleme alınmaz. Güvenlik kontrolüyle girilen şifreli internet siteleri (https) kapsam dışında tutulur.