eBay Hacklendi İnternette Şifre Modası Geçti >> Gizlilik için sitelere şifresiz kimlik doğrulama ile giriş yapmalı

eBay hacklendi ve kullanıcılardan şifrelerini sıfırlamalarını istediler. Elbette kullanıcılar eBay şifresini Facebook’a ve diğer hizmetlere giriş yapmakta kullanıyorsa, söz konusu ağlardaki şifrelerini de değiştirmek zorundalar.

Ama bunun sonu gelmiyor ki! Open SSL Heartbleed açığı yüzünden Facebook’tan tutun da VPN şifrelerimize kadar bütün parolaları değiştirmek zorunda kaldık. Hatta “Pinterest’e Facebook ile giriş yapın” penceresi var ya, o sistemde bile güvenlik açığı bulundu (OAuth 2.0 ve OpenID³). Hem Pinterest giriş bilgilerinizi hem de Facebook login bilgilerinizi tek adımda öğreniyorlar. Kısacası şifreniz varsa ya kırarlar ya da çalarlar.

Bu da gösteriyor ki internette şifre kullanmak artık internette bizi gözetlemek isteyen NSA gibi istihbarat örgütleri ile şirketlerin işine geliyor. İnternette şifre olayı yalan oldu ve aslında internet şirketleri ve BT sektörü web sitelerine giriş yapmak için salt şifre kullanmayı uzun zaman önce bıraktı: Facebook’ta kodmatik, Google’da ve internet bankacılığında iki adımlı doğrulama var.

 

 

Kimlik doğrulama parolanın yerini almalı

Bugün benim 30’dan fazla şifrem var. Online video oyunlarından sosyal ağlara ve forumlara kadar bir sürü garip şifre kullanıyorum. Bunları iki harici sabit disk sürücüsünde tutuyor ve güncellemekle başa çıkamıyorum. Artık bıktım! 🙂 Parola yöneticisi gibi bir yazılım da kullanmak istemiyorum. Bulut bilişim çağında, bilgisayarımdaki hangi yazılımın parola bilgilerimi izinsiz olarak kime geçeceğini bilemem.

Open SSL’deki Heartbleed açığı ise VPN sunucularından şirketlere, devletlere ve sosyal ağlara kadar hemen herkesi vurdu. Modem şifrelerimiz bile güvenli değil, hatta modemlerimizle bizi nasıl gözetlediklerini bilsek rahat uyku uyuyamayız (Modemler üzerinden bu tür gizli gözetleme yöntemlerini nasıl engelleyebileceğimizi ayrıca yazacağım).

 

 

Açık kaynak kod ne kadar güvenli?

Ancak Heartbleed gösterdi ki açık kaynak kod yazılımlar sandığımız kadar güvenli değil. Hackerlar şifre kullanan bütün yazılımların koduna gizli bir güvenlik açığı ekleyebiliyor ve Open SSL gibi çözümleri bile hackleyebiliyorlar.

Yanlış anlaşılmasın, sonuna kadar açık kaynak koddan yanayım. Kapalı kaynak koda karşıyım. Bağımsız toplulukların “beyaz hackerlara” destek olmasını ve Open SSL gibi çözümler için zamanını ayıran çalışkan gönüllülere maddi destek vermesini istiyorum. Bunu şirketler sağlamasın. Şirketler Open SSL’ye destek verirse sistemin bağımsızlığı ve güvenilirliği zarar görebilir.

 

 

Öte yandan, az paralarla dar vakitte fedakarlık içinde çalışan açık kaynak kod camiası bile geliştirdikleri yazılımlara Heartbleed gibi çok önemli, kritik güvenlik açıklarının sızmasını önleyemiyor. Bu da bizi yazımızın başındaki soruya getiriyor: Şifre dönemi kapandı ve “çok adımlı kimlik doğrulama” yöntemi ile türevleri moda oldu.

Yurt dışından sunucu kiralama hizmeti sunan bulut bilişim şirketlerinden ve web sitesi yer sağlayıcıları ile devlet dairelerine kadar herkes çok adımlı kimlik doğrulama yöntemi kullanmalı. Böylece NSA şifremizi bilse bile, TİB şifremizi bilse bile kullanıcı bilgilerimize kolayca erişemezler. Çünkü bilgisayarlar asıl kullanıcı olduğunu ispat etmeyen kimseye bu bilgileri vermez.

 

 

Dile kolay

Elbette söylemesi kolay, yapması zor. Bu çözümü hayata geçirmek kolay değil. Özellikle de yazılım ve donanım teknolojilerinin önemli bir kısmı internette insanları gözetlemek üzere tasarlanmış olduğu için. Örneğin NSA’in Türkiye gibi ülkelere satılan ABD üretimi sunucuların ve modemlerin içine gözetleme amaçlı kontrol çipleri yerleştirdiklerini biliyoruz.^1-2 Peki mevcut şartlar altında ne yapabiliriz?

Bir kere şifre değiştirme takıntısından kurtulmalıyız. 250 farklı şifre kullanan arkadaşlar tanıyorum ve Heartbleed açığı yüzünden kullandığım 30 şifre arasında en kritik olanları değiştirerek tüm HDD yedeklerinde güncellemem 10 dakikamı aldı! Sorsanız 30 küsur şifreden kaçını hatırlıyorum, 1 veya 2’sini derim. O kadar sık şifre değiştiriyorum ki takip etmem mümkün değil. Üstelik Pinterest’e Facebook hesabıyla bağlanırsam o şifreleri anında öğrenebilirler. Çünkü ortak loginde kullanılan OAuth 2.0 ve OpenID çözümlerinde de güvenlik açığı var (şaşırdınız mı? 😉 ).

 

 

Bu durumda eBay ne yapmalıydı?

eBay hacklendikten sonra kullanıcılarına şöyle bir e-posta mesajı göndermeliydi:

 

“Sayın kullanıcımız,

 

Siber saldırganlar sunucularımızda kayıtlı kullanıcılarımızın bilgilerine eriştiler. Biz de güvenliğe ve kullanıcı gizliliğine önem veren bir firma olarak şifre + kimlik doğrulama sistemine geçtik. Hizmetimizi kullanmanız için yapmanız gereken tek şey mevcut şifrenizle giriş yaptıktan sonra e-posta veya SMS yoluyla bu şifrenin gerçek sahibi olduğunuzu kanıtlamak. Bundan sonra eBay’e giriş yaparken e-posta veya SMS yoluyla göndereceğimiz doğrulama kodlarını kullanmanız gerekecek. Ayrıca size güvenli bir yere not etmeniz için 10 adet tek kullanımlık hesap kurtarma kodu gönderiyoruz.

 

İyi günler dileriz.”

 

 

WoW yapıyor

İşte bu kadar! Bunu online video oyunu WoW “Battle.net mobile authenticator” uygulaması ile yapıyor. Hatta telefonunuz çalınırsa, telefonu kaybederseniz veya telefonu elden çıkarır ya da kırarsanız, bu tür kimlik doğrulama uygulamalarını başka bir telefona kurabiliyorsunuz.

Blizzard şirketi WoW oyunu için çok gelişmiş bir mobil kimlik doğrulama uygulaması kullanıyor. Örneğin telefonunuz çalınırsa Battle.net sitesine girip bu uygulamanın iznini iptal ediyorsunuz. Böylece telefonu çalan hırsız şifrenizi bilse bile doğrulama kodunu kullanarak oyuna giremiyor.

Üstelik sizin de yeni telefona yeni mobil uygulama kurmanız yeterli değil. Önce eski mobil uygulamanın kurtarma kodlarını alıyor, bunları yeni uygulamaya giriyorsunuz. WoW “Battle.net mobile authenticator” ancak bundan sonra oyuna girmenize izin veriyor (Evet, bu uygulamayı telefona ilk kez kurarken kurtarma kodunu bir yere not etmeniz gerek).

 

 

Öyleyse Blizzard ne yapıyor?

 

1) Standart kullanıcı adı ve şifre istiyor.

2) Mobil doğrulama kodu istiyor.

3) Mobil doğrulama kodu uygulaması için her yeniden kurulumda “kurtarma kodu” istiyor.

 

 

İsteksizlik ve teknik zorluklar

Bu sistemin benzerini bugün bankanızın internet sitesi kullanıyor, Google kullanıyor. Neden diğer siteler kullanmıyor? Örneğin Twitter mobil doğrulama kodu kullanıyor, ama Twitter buna gereken yatırımı yapmadı. Evet, Türkiye’deki iktidarın Twitter kullanıcılarının IP adreslerini öğrenme talebini reddeden o hassas Twitter mobil kimlik doğrulamaya gerekli yatırımı yapmadı.

Örneğin Twitter’a AB üyesi olmayan bir ülkeden akıllı telefon numaranızı göndermek ve bu numarayı doğrulamak bazen 2 gün sürüyor. Hatta diyelim ki Twitter hesabınıza giriş yapacaksınız, telefonunuzu 2 ay önce Twitter’a tanıttınız ama cebinize doğrulama kodu bir türlü düşmüyor. Bugün, şimdi Twitter’a girecekseniz fakat doğrulama kodu 2 saat sonra geliyor! Twitter gibi bu konuya yeterince önem vermeyen birçok site var. Bir de buna mobil operatörlerin Twitter gibi hizmetlere kod göndermekte çıkarabileceği zorlukları eklersek katmerli engellerle karşılaşıyoruz.

 

 

Gizliliğe aykırı düzenlemeler

Öyle olunca da vatandaş kimlik doğrulama sistemine güvenmiyor. Sadece şifre ile giriş yapıyor ve Amerika’da NSA ile Türkiye’de TİB şifrelerimizi kolayca ele geçirip bizi internette kolayca takip edebiliyor (VPN kullanmak sadece yasaklı sitelere girmenizi sağlamıyor, aynı zamanda kullanıcı adı ve şifrenizi de korumanızı sağlıyor).

İşin kötüsü, yeni internet sansür yasası uyarınca TİB banka hesap bilgilerimizi bile isteyebilir. Hatta 5-6 yıl önce çıkan bir kanuna göre, Türkiye’deki bütün şifreli iletişim yöntemlerinde kullandığımız şifreleri ve hangi şifreleme yazılımlarını kullandığımızı TİB’e bildirmeliyiz.

 

 

Evet, devlet diyor ki kanunen bana VPN şifren dahil, bütün şifrelerini vereceksin, hatta hangi VPN’i kullandığını da söyleyeceksin. İşin hukuki boyutları tartışılır ve bu haksızlığın boyutları incelenir ama bu arada “çok adımlı kimlik doğrulama sistemi Türkiye’de yaygın olarak kullanılsa” vatandaşın umurunda olmaz!

Öyle ya, devlet şifremi bilse ne olacak? Bu sistem kullanıcı bilgilerime şahsi iznim olmadan erişilmesini engellediği sürece sorun yok (Devletin şifrelerimizi öğrenmeye hakkı olduğunu savunmuyorum. Kullanıcıların özel hayatını, gizliliğini, anonimliğini ihlal eden her türlü uygulamaya karşıyım. Suçluları yakalamak gibi suiistimal edilmeyen özel durumlar hariç).

 

 

Şifre bizi korumak için değil, bizi gözetlemek için var

Bundan 4 yıl önce Twitter hesabı olan bir adli bilişim uzmanı vardı Türkiye’de. Tahmin edebileceğiniz gibi kendisi sonra hesabını kapattı. Ancak söylediği bir şey aklımda kaldı: Polis şifresi olan her türlü bilgiyi ele geçirebilir.

Ancak bakın şifrenin modası nasıl geçti? Öncelikle Heartbleed vb. güvenlik açıklarını kullanan istihbarat örgütlerinin şifrelerimizi kolayca öğrenmesiyle modası geçti. Ayrıca yeni teknolojiler de şifrenin pabucunu dama attı. Örneğin kuantum bilgisayarlar yakında bütün standart şifreleri kıracak.

 

 

Yoksa Google ve NASA’ya çalışan D-Wave şirketinin Vezüv kod adlı yeni kuantum bilgisayarının sadece bilimsel araştırmalarda kullanılacağını mı sanıyorsunuz? NSA 25 yıldır kendi kuantum bilgisayarını geliştirmeye çalışıyor ve D-Wave’in kuantum bilgisayar alanındaki çalışmalarını yakından takip ediyor. Amaçları herkesin şifresini kırmak. Böylece interneti gözetlemekte başarısız olsalar bile kişisel bilgilere ulaşabilecekler.

Yine de fazla havaya girmemek lazım: iPhone ve Galaxy S5’teki parmak izi tarayıcılarının ve retina tarama veya ses tanıma sistemleri ile kimlik doğrulama yönteminin şifrenin modasının geçmesiyle hiçbir ilgisi yok. Şifre kıran kuantum bilgisayarlar da henüz geliştirilmediğine göre, şifrenin demode olmasına bunların yol açmadığını görüyoruz.

 

 

Güvenli kimlik doğrulama için pratik ipuçları

Aslında SMS ve e-posta tabanlı kimlik doğrulama yöntemleri yüzünden şifrenin modası geçti. Tabii Google gibi hizmetlerde bundan yararlanmak istiyorsanız öncelikle sisteme “bu bilgisayarı hatırla” diye talimat vermemek gerekiyor. Her seferinde üşenmeyip şifre ve kod gireceksiniz.

Tabii bunu mobil cihazlarda yapmak zor. Örneğin Facebook’tan çıkarsanız, Facebook uygulaması telefon rehberinizde bulunan ve aslında Facebook’tan gelen eşitleme bilgilerini de siliyor (Aslında buna hiç gerek yok, çünkü uygulamayı kaldırmıyoruz, sadece uygulamadan çıkış yapıyoruz ama Facebook kurnaz davranıyor. Bizi uygulamayı sürekli açık bırakmaya teşvik ediyor. Sizce neden?)

 

 

İkincisi bilgisayarınızın tarayıcısında “Google parolasını hatırla” kutusunu işaretlememek gerekiyor. Twitter’a işyerinde günde 3 kere giriyorsanız, her defasında şifrenizi sil baştan girip telefonla kimlik doğrulama yapmalısınız.

Son olarak iPhone, Android telefon veya tabletlerde üretici firmanın hesabınızı eşitlemesine izin vermemek gerek. Örneğin Samsung Galaxy telefonlar sorar: “Facebook oturumunuzun süresi doldu, telefon rehberinizle eşitleyeyim mi?” Buna izin vermeyin. Kullanıcı bilgilerinizi edinmesi için bir firmaya daha kafadan izin vermenize gerek yok.

 

 

İyi de e-postalarımızı zaten gözetliyorlar!

Diyebilirsiniz ki mobil kimlik doğrulama veya e-posta ile kimlik doğrulama işe yaramaz, çünkü interneti zaten gözetliyorlar. Bu durumda DNScrypt-proxy yazılımı ile DNS sunucularınızı güvenceye alabilir, modeminize özel şifre vererek donanım güvenlik duvarını etkinleştirebilir ve üstüne VPN kullanabilirsiniz. Hatta browserınıza sizi takip etmenlerini zorlaştıran eklentiler kurabilir ve stunnel ile VPN bağlantınızı bile şifreleyebilirsiniz. Bunlar kullanıcı bilgilerini korumak için yapmamız gereken şeyler.

Ancak bunun dışında kimlik doğrulama var. Kimlik doğrulamada SMS için Twillio ve e-posta için Mandrill hizmetlerini kullanabilirsiniz. Bunlar çok basit uygulamalar ama şu nokta önemli: Kimlik doğrulama şifremizi öğrenmelerini engellemiyor. Bunun yerine şifremizi öğrenseler bile Twitter hesabımıza ve diğer hesaplarımıza izinsiz giriş yapmalarını zorlaştırıyor.

 

 

Yine de bu sistem Google’ın Drive’daki dosyalarımızı iznimiz olmadan incelemesini önlemediği sürece kesin çözüm değil. Zaten buna şaşırmamak lazım: Google’ın bize klasörlerimizde e-posta iletisi ve dosya arama hizmeti vermesi için ne yazdığımızı okuması da şart.

Bunu aptal bir yazılım yapsa sorun değil fakat kullanıcı sözleşmesi gereği, Google çalışanları da istediği e-postayı okuyabiliyor. İşte kimlik doğrulama bunu engellemeli. Tabii Google gibi şirketlerin bu kurala uyup uymadığını da denetlemek lazım.

 

 

 

Tek kullanımlık şifre

Kimlik doğrulamanın temel mantığı şu: Bir kullanıcıyı doğrulamak için artık sadece şifre kullanmıyoruz. Bunun yerine kullanıcıya güvenli internet veya telefon bağlantısı (sahi, var mı öyle bir şey?) üzerinden geçici bir gizli kod gönderiyoruz.

Bunun için e-posta ve SMS iletişimini kimsenin gözetlememesi gerekiyor ki FBI telefonda e-posta şifreleme hizmeti sağlayan birçok şirketine bunu önlemek üzere baskı yaptı ve tüm mesajlara şifresiz erişim istedi. Nitekim NSA’in gizlice insanları gözetlediğini açıklayan Snowden’e hizmet veren Lavabit’in kurucusu bu baskılara boyun eğmemek için Lavabit hizmetini sonlandırdı.⁴

 

 

Bugün bu sistem çok pratik: NSA SMS’lerimizi okusa bile zamanında araya giremez. Biz hesabımıza NSA’den önce gireriz (man-in-the-middle, aradaki adam saldırıları hariç). Çünkü NSA’in kimlik doğrulama kodunu bizden önce öğrenip sisteme giriş yapması teknik olarak neredeyse imkansız.

Bunun için bütün internet trafiğini aktif olarak gözetlemeleri ve her an müdahaleye hazır olmaları yazım. Dünyanın internet bant genişliği ve bilgisayar altyapısı buna müsait değil. En azından milyarlarca kullanıcıyı an be an tek tek gözetlemeye müsait değil. İşte bu yüzden çok adımlı kimlik doğrulama en azından hackerlara karşı iyi bir koruma.

 

 

Mükemmel mi?

Hayır! Öncelikle NSA pasif olarak bütün internet trafiğini izliyor. Bizi gözetlemek için çok sayıda farklı yöntem kullanıyorlar. Starbucks kafelerdeki güvenli olmayan internet bağlantılarından tutun da banka hesabımıza kadar her şeyi gözetliyorlar. TİB de banka hesaplarımızı öğrenmek istiyor. Neden? Örneğin hangi VPN şirketine aylık ödeme yaptığınızı bilecekler ve VPN engellemek için tedbir alacaklar.

Ancak Starbucks kafe örneğinden devam edecek olursak, NSA’i pasif olarak önleyemesek de aktif gözetlemenin önüne geçebiliriz. En azından bunu büyük ölçüde zorlaştırabiliriz. NSA olmasa da diğer kötü niyetli kişileri önleyebiliriz. Örneğin kafede otururken telefonumuzun internet trafiğini gözetleyerek Facebook şifremizi ele geçirmeye çalışan bir hırsıza mani olabiliriz. Kimlik doğrulama yöntemi, şifremizi bilseler bile Facebook hesabımıza girmelerini önleyecektir.

 

 

ŞİFRE KULLANMAYAN kimlik doğrulama yöntemi

Öyleyse biz de şifre kullanmayan bir yönteme odaklanalım. Aşağıdaki gibi:

 

1. Bir uygulama veya web sitesine giriş yaparken kullanıcılardan şifre istemek yerine, yalnızca kullanıcı adını (veya e-posta adresini ya da telefon numarasını) isteyelim.
2. Arka uç sunucuda geçici bir kimlik doğrulama kodu oluşturalım ve bunu veritabanımızda saklayalım.
3. Kullanıcıya bu kodun bağlantısını içeren bir e-posta veya SMS gönderelim.
4. Kullanıcı bu bağlantıyı tıklayarak istediği uygulamayı veya web sitesini açsın ve doğrulama kodunu sunucumuza göndersin.
5. Arka uç sunucumuzda kodun geçerliliğini doğrulayalım ve bu kodu uzun ömürlü bir e-jeton (token) ile değiştirelim. Sonra bu e-jetonu veritabanımızda saklayalım ve istemcinin cihazında da saklanmak üzere, kullanıcıya bir kopyasını gönderelim.
6. Böylece kullanıcımız uygulama, web sitesi veya hizmetimize giriş yapsın ve e-jetonun süresi dolana kadar veya yeni bir telefonla / cihazla giriş yapana kadar bu işlemi tekrarlamasın (browserda çerezleri süresi dolana kadar saklama mantığı).

 

 

Bütün web siteleri bu tür bir kimlik doğrulama yöntemi kullansa Heartbleed gibi güvenlik açıkları gizli bilgilerimizi kolayca tehlikeye atmazdı ve her şeye rağmen hesabımıza güvenli erişim sağlamaya devam ederdik.

Peki bunun yerine ne oldu? Yüz milyonlarca şifre çalındı. Üstelik birçok kullanıcı bunun farkında bile değil, şifresini nasıl değiştireceğini bilmiyor veya buna aldırmıyor. Siber hırsızlar kullanıcı bilgileriyle kol geziyor.

 

Detaylar, detaylar

Yazının başında bu sistemi uygulamanın kolay olmadığını, birçok detaya dikkat etmek gerektiğini söylemiştik. Hatta bu yöntemin benzerlerini online video oyunlarında hesabımızı kurtarmak için şifre sıfırlama gibi işlemlerde kullanıyor olmamıza rağmen, sistemi dünya genelinde uygulamak için yeterli tecrübeye sahip olmadığımızı da kabul etmek gerekiyor.

Bu yüzden tıpkı bir fabrikadaki üretim hattında olduğu gibi endüstri standartlarına (en iyi uygulamalara – best practices) ihtiyacımız var. İnternette kimlik doğrulama ile şifresiz giriş yapmak için aşağıdaki soruların cevabını bulmalıyız.

 

1)      Gizli kod ne kadar uzun olmalı?

2)      Bu kodu türetmek için hangi rastgele sayı türeticisini kullanmalıyız?

3)      Kötü niyetli kişilerin kaba kuvvet saldırılarından ve interneti gözetleme teknolojilerinden nasıl korunabiliriz?

4)      Bu sistem kullanıcılar için ne kadar kullanışlı olacak? Günlük hayatta pratik olması için ne yapmalıyız?

5)      Kullanıcıların e-posta hesaplarını kullanmak için yine de şifre kullanmaya ihtiyacı olmayacak mı?

6)      Bu aslında kullanıcıların şifre veya PIN kodu kullanmasını gerektirmiyor mu?

 

 

Bu detaylara ayrı bir yazıda değineceğim. Bu arada, bütün “beyaz şapkalı hacker” arkadaşları ve teknik uzmanları sistemi daha güvenilir kılmak için yapıcı eleştiri ve çözümler getirmeye davet ediyorum. Bunu yazalım ve tartışalım.

Bu konuda atılacak ilk adım Google Authenticator gibi iki adımlı doğrulama uygulamalarını tüm web sitelerine entegre etmek. En azından bu standart genel geçer çözüm olmalı.

İkincisi Firefox, Chrome ve diğer browserlarda basit şifre yöneticileri bulunuyor. “Şifreyi hatırla” dediğimiz zaman şifrelerimiz bu yöneticilerde kaydediliyor. Bulutta eşitleme (senkronizasyon) veya PC’nin sabit disk sürücüsünde depolama imkanı sunuluyor.

 

 

Ancak bulutta şifre yedekleme seçeneği şifrelerimizin başkasının eline geçme şansını da artırıyor. Çünkü browsera kurduğumuz eklentiyi yazan kişiler veya kuruluşların kendi sunucularında sakladıkları şifrelerimizi başkalarına verip vermeyeceğinden emin olamıyoruz.Ayrıca kötü niyetli kişiler ve kötü amaçlı yazılımlar ile bilgisayarlar virüslerinin ilk hedeflerinden biri browserlardaki parola kayıtları.

Elbette “Pass – The Standard Unix Password Manager” gibi daha profesyonel çözümleri de kullanabiliriz⁵; fakat sonuçta OpenID vb. hizmetlerdeki güvenlik açıkları nedeniyle, kötü niyetli kişiler şifrelerimizi farklı yollar ve dolaylı yöntemlerle ele geçirebiliyor. Asıl sorun şifre yönetmek değil, şifre bağımlılığından kurtulmanın bir yolunu bulmak.

İşte bu nedenle tek kullanımlık şifre ve özellikle de şifresiz kimlik doğrulama ile giriş yapmanın, kullanıcılardan her defasında benzersiz güçlü bir şifre seçmeleri ve bunu düzenli olarak değiştirmelerini istemekten daha güvenli olduğunu görüyoruz.

 

 

Lavabit’in kurucusu, Amerika’nın Snowden’i ve diğer potansiyel ifşaatçıları kovuşturmak için şifreli e-posta hizmeti Lavabit’in kullanıcı verilerini zorla ele geçirmek istediğini söyledi. Hizmeti onlara bu bilgiyi vermemek için kapattım dedi. Normalde FBI’ın bu tür taleplerde bulunduğunu açıklamak bile yasak ama artık insanlar baskıya karşı koyuyor. Tıpkı Türkiye’de yaşanan Gezi olaylarında olduğu gibi.

 

 

 

¹http://my.firedoglake.com/spocko/2014/05/12/which-us-made-internet-routers-did-the-nsa-tamper-with/

²http://www.siliconbeat.com/2014/05/15/cisco-systems-gear-reportedly-bugged-by-nsa/

³http://www.techradar.com/news/internet/web/another-heartbleed-more-flaws-found-in-web-security-1246764

⁴http://www.democracynow.org/2014/5/22/lavabit_founder_govt_bold_face_lies

⁵http://www.zx2c4.com/projects/password-store/