Merhaba (@TrSec - bu listenin birinci kurali, anonim hesaplarla degil, acik kimlik ile uye olunmasi ve gercek isimlerle yazisma yapilmasi diye biliyorum, o yuzden size adiniz ile hitap edemedim, kusura bakmayin)
Yazisma konusu bilisim ile ilgili degisen maddelerin resmi kurum (ve sirketlerin) kayit tutma durumlari ile baslamis ve VPN, yasaklari atlatma, SSL MITM gibi konulara da sicramisti. Ben de konuyu birbirine karisan 2 farkli arguman ile ayridim (mesajimi tekrar okuyun, farki goreceksiniz. Bahsettigim kriptoloji yonetmeligini tekrar "hukuksal ve teknik terimlerin ve iceriklerin detayina" girerek okursaniz, o kadar da masum olmadigini goreceksiniz. Bu konuda yonetmeligin yayin tarihinden sonra kamuoyunu aydinlatmak amaci ile paneller yapip, tehlikeleri gostermeye calismistik [1],[2]. Konu cok dagilmasin, ilgilenenlere ozelden ne olduklarini tekrar aktarmaya calisirim. Ancak bilin ki, VPN bu kapsamda bir urun olarak degerlendirilebilir. 5651 no'lu yasayi biliyorsaniz, kanun ilk ciktiginda oradaki site kapatma gerekcelerinin tamami "katalog suclar" olarak tanimlanmisti. Geldigi noktada nasil uygulandigi ise herkesin malumu [3]. SSL MITM 'in (bu mesajdaki tartisma konularinda) olaydan bagimsiz sekilde yapilabilir deniyor ki [4]'teki bilgileri incelerseniz, TurkTelekom'un (ve muhtemelen diger ISS'lerin) hukumetin isteklerini yerine getirmek icin gerekli altyapi ve servisleri hali hazirda kurduklarin/kullanabileceklerini de goreceksiniz. Degil SSL MITM, herseyin en ince detayina kadar girmek istenildiginin acik gosterleri onumuzde. Bir "suc" arastirmasinda uluslararasi anlasmalar devreye girer ve her firma-ticari sirket uluslararasi olsa da hukumetlerle iliski kurar, kurmak zorundadir. Bilgi vermemelerinin tek gerekceli durumu "kisisel verilerin korunmasi ve karsiliklilik ilkesi" konusunda TR'nin hala uluslararasi mevzuata uygun kanun ve uygulamalarinin olmamasidir. Bilgi isteklerinin keyfiyet ve demokratik ulkelerdeki haklara aykiri olmasini saymiyorum bile... Obur turlu ticari beklentiler nedeni ile zaten tum buyuk sirketler bu iliskiyi TR icinde de kurmus durumdadir. Saygilar VolkanEvrin [1] http://inetd-tr.blogspot.com.tr/2011/03/btk-kriptoloji-konusunda-bir-yonetmelik.html [2] http://inetd.org.tr/duyurular/kriptoloji-paneli/ [3] http://engelliweb.com/istatistikler/ [4] http://www.lkd.org.tr/2014/07/08/turk-telekom-anayasal-suc-isliyor/ -------- Özgün ileti -------- [[b]]Konu: [[/b]]Re: [NetSec] Bilişim ile ilgili değişen maddeler [[b]]Kimden: [[/b]]TRSec <[email protected]> [[b]]Kime: [[/b]][email protected] <[email protected]>, Volkan Evrin <[email protected]> [[b]]Tarih: [[/b]]15-09-2014 16:07 > Volkan Bey çok emin konuşuyorsunuz ama söylediklerinizle hiç bir alakası > yok konunun. Öncelikle burada SSL MITM yapılmıyor. Varolan DNS > adreslerinin manipüle edildiği doğrudur. Fakat bunun manipülesi olduğu > gibi çözümüde mevcut. > > İkincisi, bahsettiğiniz yönetmelik sıfırdan şifreli iletişim için ürün > geliştiren şirketler içindir. VPN anahtarının verilmesi gibi bir durum > yok. Zaten VPN dediğiniz protokol belirli şifreleme standartları ile > korunuyor ve bunların dinlenmesi, anahtarlarının teslim edilmesi durumu > yok. Ancak şirket size (kayıt tutuyorsa) bir takım bilgiler verebilir. > Fakat bilindiği gibi yurtdışında bulunan hiç bir şirket Türkiye'ye bilgi > vermeye niyetli değil. Sapla samanı karıştırmamanız gerek. > > Teşekkürler. > > On 09/15/2014 01:01 PM, Volkan Evrin wrote: >> Merhaba, >> >> Ulkenin en buyuk ISS'nin dns spoofing yaptigi ulkedeyiz :-) >> Oncelikle, 2 konu birbirine karismasin derim. Kendinizi koruyarak >> interneti ozgur kullanmak ve hukuka, demokratik haklara ve devlete >> guvenerek ozgurce interneti kullanmak. >> >> TR icinde son 6-7 yilda cikan (ve cikmayan!) yasalar nedeni ile ozgurce >> internette dolasamazsiniz. VPN'nin temeli olan gizli anahtarlarinizi >> devlete vermek zorunda oldugunuzdan (bknz. Basbakanlik Genelgesi - >> http://www.tk.gov.tr/mevzuat/yonetmelikler/dosyalar/Kripto_Yonetmeligi.pdf >> >> ) tutun da MIT, TIB gibi ayricalikli kurumlarin kayitlar ve internet >> tirafigi uzerindeki (hesap sorulamaz) yetkilerine kadar "kapali bir >> ulkeyiz" artik. TR icinde kurulu her ticari isletmenin (ISS, VPN >> saglayici, Internet hizmeti vb.) yukumlulukleri kanunlarda acik ve >> nettir. En iyisi Cumhuriyet gazatesinin (MIT ayricaligi kanunu cikmadan >> once) yaptigi aciklama gibi ( >> http://www.odatv.com/n.php?n=tum-arsivleri-siliniyor-2102141200 ), TR >> icinde sunucu barindirmayin, isletmeyin ve kullanmayin! Tum hizmetleri >> TR hukumetinin isteklerini "direncli" sirketlere yonlendirin. >> Tirajikomik ve absurd bir senaryo, ama maalesef gercek bir secenek! >> >> Hakkinizi aramak icin gerekli olan Anayasa maddesi orada dururken, >> Kisisel Verilerin Korunmasi kanunu cikmadigi icin de vatandas olarak >> hicbir hakkimiz yok. >> >> Kurumsal olarak tutmak zorunda olmadiginiz loglari tutmayarak ise >> baslayabilirsiniz, ama eger kanunen tutmak zorunda iseniz, Devlet sizden >> istedigini istedigi zaman alir...
