Türkiye’nin sansüre ve gözetime elverişli haber siteleri

OHAL kapsamında muhalif medyalara karşı baskı daha da yaygınlaştı. Devlet, sansür uygulamak için hiçbir teknolojik imkandan kaçınmıyor. Gazeteciler ve vatandaşların güvenliğini garanti altına almak için eşdeğer teknolojik imkanlar da sonuna kadar kullanılmalı.

Şifreli bağlantı belirteci

Bu hafta Forbes dergisinde yayınlanan haberin iddiasına göre Türk Telekom Procera adlı Amerika menşeili bir şirketten Derin Paket İnceleme (DPI) yazılımı satın aldı. Türk Telekom Procera yazılımını kullanarak HTTP ile erişilen sitelerde araya girerek kullanıcıların siteye giriş parolalarını ele geçirebilir. Giriş yapılmadan sadece okumak için erişilen sitelerde ise Türk Telekom görüntülenen içeriği takip edebildiğinden milyonlarca kişinin internet üzerindeki davranışlarını gözetleyebilir.

Haber, Türkiye’de popüler medya sitelerinin bağlantı güvenliği sağlayan HTTPS protokolünü kullanmadığının altını çiziyor. Biz de bu bilgi ışığında Türkiye’de haber siteleri ne kadar güvenli bir inceleme yaptık.

Hangi haber siteleri güvenli?

Türkiye’de haber siteleri çoğunlukla sadece HTTP üzerinden yayın yapıyor. Şifreli HTTPS yayını yapan az sayıda site ise haber sayfalarında yönlendirme yapmadan HTTP ile devam etmeye izin veriyor. Dolayısıyla ziyaretçiler sitelerinde dolaşırken araya giren kem gözlerin bakmasına olanak sağlıyorlar.

Haber Siteleri HTTPS Taraması (Tabloyu görmek için tıklayınız)

Türkiye’de haber siteleri arasında tam güvenli erişim sağlayan bir tek adres var: Evrensel. Evrensel.net sitesi HTTPS ile açılıyor ve arama motorlarında bulacağınız haber sayfalarına da erişim bu şekilde şifreli devam ediyor.

Bazı haber kanalları HTTPS imkanına sahip olmasına rağmen güvensiz kanaldan ulaşıldığında güvenli kanala yönlendirme yapmıyorlar. Bizim tespit ettiğimiz bu siteler: Bianet, Dokuz8, Zete Haber, T24, Cumhuriyet, Posta, Aydınlık, ve CNNTurk. Bu siteleri ziyaret ettiğinizde hangi sayfalara baktığınız araya girenler tarafından gözetlenebilir. Oysa HTTPS yönlendirmesi yapılırsa güvensiz adreslerin daha çok yayılması önlenebilir.

İncelediğimiz 48 medya sitesinin dörtte biri hatalı HTTPS ayarlarına sahip. Birgün’de bazı sayfalar yüklenmiyor. Diken’de sunucu hata veriyor. Yeni Şafak, Sabah ve TRT Haber ise hatalı güvenlik sertifikası kullandıklarından dolayı güvenli bir şekilde erişilemiyor. Dolayısıyla bu sitelere de girdiğinizde hangi sayfalara baktığınız araya girenler tarafından takip edilebilir.

Geri kalan haber siteleri Hürriyet, Sözcü, Agos ve diger bir çok meyda sitesi hiçbir HTTPS desteğine sahip degil. Dolayısıyla bu siteler de güvensiz ve gözetime açıktır.

Https taraması yapılan haber sitelerinin tablosunu görmek için tıklayın.

Gözetime açık güvensiz haber siteleri

Gözden kaçan önemli bir konu ise Derin Paket İnceleme yönteminin Türkiye’de bir sansür aracı olarak kullanılmasıdır. Web tarayıcınızdan HTTP bir siteye bağlantı kurduğunuzda tüm veri akışı sifresiz yapılır. Sorumluluğu sadece internet erişimi sağlamak olan İnternet Servis Sağlayıcıları, amaçlarını aşarak taşınan verilerin içeriğini okuyup analiz edebilir. Bir sitede tam olarak hangi sayfaya ulaşmak istediğinizi tespit ederek, sakıncalı gördüğü veriyi engelleyebilir, hatta değiştirebilir.

HTTPS protokolüyle güvenli bir siteye bağlantı sağlandıktan sonra tüm içerik, gireceğiniz sayfanın adresi dahil, şifrelenmiş olarak yapılır. Dolayısıyla, güvenli sitelerde tam olarak hangi sayfaya bakıldığını tespit edemediklerinden dolayı Servis Sağlayıcı içerik sebebiyle bağlantıya müdahele edemez. Yani Internet Servis Sağlayıcınız gireceğiniz sayfa adresini bilemeyeceğinden, o sayfaya özel sansür uygulayamaz, sayfaya yapılan bağlantıyı yavaşlatamaz, ya da sayfayı başka bir adrese yönlendiremez.

Türkiye’de HTTP bir adres engellendiği zaman Erişim Sağlayıcıları Birliği’ne bağlı bir siteye yönlendirme yapılıyor. Bu kurum, ironik bir şekilde, amaçlarını erişimin engellenmesi kararlarını uygulamak olarak belirtiyor. Örneğin Birgün gazetesinde engellenen bir habere ulaşmaya çalıştığınız zaman bağlantı bu kuruma ait bir adrese yönlendiriyor. Fakat aynı sayfaya HTTPS üzerinden gidildiğinde erişilebiliyor. Yani güvenli bağlantıda bu birliğin hiç bir işlevi kalmıyor.

Erişim Sağlayıcı Birliği tarafından engellenen bir site örnegi

Hal böyleyken HTTPS içeriği engellemek için iki yöntem kalıyor. Birincisi, sitenin alan adından tamamının engellenmesi. Twitter.com, Youtube.com, Dropbox.com vb. yasaklarında gördüğümüz gibi ülkemizde bu yönteme aslında sık sık başvuruluyor. İkinci yöntem ise, kanunen site sahibine resmi bir yazı gönderilmesi ve içeriğin kaldırılmasınının talep edilmesi. Bu yapılmazsa site sahibi hangi sayfalarının sansüre uğradığını bile takip edemiyor. Türkiye Twitter vb sitelere halihazırda bu şekilde engelleme talebini iletiyor ve her site kendi politkalarına uygun şekilde engellemeyi yapıyor ya da yapmıyor.

DPI hakkında daha fazla bilgi için Özgür Uçkan’ın 2012 yılında IMCTV’de yaptığı söyleşi videosunu izleyebilirsiniz.

Kullanıcılar ne yapabilir

Güvenli internet kullanımının yaygınlaşması için kullanıcılara özel girişimler mevcut. HTTPS Everywhere ve Privacy Badger gibi tarayıcı eklentileri kullanarak internette siteleri daha güvenli gezebilirler.

Site sahipleri ne yapabilir: Let’s Encrypt

Site sahipleri derhal sitelerini HTTPS uyumlu hale getirmelidir. Bugün sitenizi güvenli hale getirmek için Let’s Encrypt ile kolayca ve ücretsiz SSL sertifikası hizmetini kullanabilir, sertifikalarınızı otomatik olarak güncelleyebilirsiniz. HTTP erişimleri sunucunuzda HTTPS’e otomatik olarak yönlendirip, tarayıcılardan sadece güvenli bağlantı yapmalarını talep etmelisiniz (HSTS).

HTTPS gözetime kesin çözüm değil

Gezdiğiniz sitelerin sunucu loglarından, kullandığınız yazılım programlarından, kayıtlı IP adreslerinden ve hatta tarayıcı geçmişinizden hangi siteleri gezdiğiniz ortaya çıkarılabilir. Amerika’da Ulusal Güvenlik Ajansı’nın (NSA) gizli ve hukuksuz gözetim yapıldığını açığa çıkaran Edward Snowden şöyle diyor:

“Haklarımızı koruması için Apple gibi kâr amaçlı şirketlere bağlıyız. İletişimimizin temelini oluşturan sistem ve protokollere güvenmeliyiz… Teknolojistler ve gazeteciler olarak daha radikal olmayız. (Kaynak)”

Sansüre karşı şifreli iletişim tabii ki bir çözüm değildir. Çözüm bağımsız hukuk güvencesi ve demokratik kitlesel tepki ile mümkün olacaktır. Yine de vatandaşların mahremiyetine, güvenliğine ve zekasına saygı duymayan sakıncalı teknolojik yöntemlere tepki göstermeliyiz. Kısacası sansür ve gözetim ile mücadelenin bir ayağı olarak, hem okuru hem de gazeteciyi koruyan HTTPS protokolünü benimsemeliyiz.

Editoryel katkıları için Burak Arikan’a teşekkürler. Türkiye’de internet sansürü ve kitlesel gözetim alanındaki gelişmelerden haberdar olmak için @efekerem, @fusunnebil ve Alternatif Bilişim Derneği hesaplarını takip edebilirsiniz.