Ä°nternet kullanıcıların mahremiyetini ihlal noktasında yapılan Web’i gözetleme ve internette takip, en basit e-ticaret sitelerinden kurumsal ÅŸirketlere, servis saÄŸlayıcılarından devletlere ve Google, Facebook, Twitter ve Amazon gibi çok geniÅŸ bir yelpazede siteler tarafından çeÅŸitli yöntemlerle gerçekleÅŸtiriliyor.
Online kiÅŸisel gizlilik, mahremiyet ve güvenliÄŸi ihlal eden takip mekanizmalarını teÅŸhis edip, alınması gereken önlemlerden bahsettiÄŸimiz “Online Takip Mekanizmaları” yazı dizimizin bu ilk yazısında online takip mekanizmalarının nasıl çalıştığını inceliyoruz.
ONLINE TAKİP NASIL GERÇEKLEŞİYOR?
İnternet kullanıcılarının online hareket, davranış ve alışkanlıklarını gözlemlemek ve de genelde kullanıcı profilini ortaya çıkarmak veya hedefli reklamcılık için kullanılan online takip mekanizmaları, kullanma türlerine ve tercihlerine göre çeşitlilik arz ediyor. Takip mekanizmaları popüler siteler, alışveriş siteleri, reklam ağları, servis sağlayıcıları, büyük kurumsal şirketler, devletler ve de internetin büyük oyuncularına göre farklı perdelerde gerçekleşiyor. Takip mekanizmalarını en bilinen ve pratik şekliyle çerezler (cookies), piksel resimler, süper çerezler (supercookies / evercookies) ve derin paket inceleme (DPI) sistemleri olarak dört başlık altında incelenebilir:
1.) En Basit Takip Yolu Olarak “Çerezler (Cookie)”
Takip mekanizmaları, en basit haliyle kullanıcı internette herhangi bir siteyi web tarayıcısı üzerinden ziyaret ettiğinde ortaya çıkıyor ve gezinti esnasında yüzlerce minik takip dosyası çerezler (cookie) yoluyla kullanıcıyı izlemek üzere tetikleniyor. Bu takip dosyaları popüler sitelerle ilintili/anlaşmalı şirketlere kullanıcı hakkındaki bilgileri anında yollamaya başlıyor. Çerezler,
- temel çerezler: bir sitenin normal bir şekilde çalışabilmesi için elzem olan çerezlerdir.
- fonksiyonel ve opsiyonel çerezler: sosyal paylaşım gereçleri ve online davranışlara odaklanmış çerezlerdir.
- hedefli çerezler: tamamen kullanıcıyı takip etmeye dönük olarak geliştirilmiş hedef odaklı çalışan çerezlerdir.
olmak üzere üç farklı kategoride deÄŸerlendirilebilir. Hem siteler hem reklam aÄŸları hem de veri toplama ÅŸirketleri çerezlere baÄŸlı olarak internet kullanıcılarının davranış profilini çıkartır. “Hangi siteleri dolaşır? Neler dikkatini çeker? Nerede ne kadar vakit geçirir?” gibi soruların ve daha fazlasının cevabını bu basit çerezleri derleyerek rahatlıkla elde ederler. Ama devletler çerezleri pek tercih etmezler. Bunlar en çok hedefli reklamcılık için tercih edilirler. Ve neredeyse internetteki sitelerin yarısından çoÄŸunda bulunur. Özellikle Facebook, Twitter ve Google gibi sitelere ait sosyal paylaşım düğmeleri çerez takibini bu siteler nezdinde oldukça kolaylaÅŸtırmaktadır.
2.) En Dikkat Çekmeyen Takip Yolu Olarak “Piksel Resimler”
Bunlar, özel olarak kodlanmış ve ayarlanmış 1*1 px ebatında ufak bir resimdir. Genellikle alışveriş ve satış ortaklığı sitelerinin sıklıkla başvurduğu bir takip mekanizmasıdır. Kullanıcı daha önceden ayarlanmış bir sayfa, uygulama ya da bölümü ziyaret ettiğinde, hiç farklında olmadan bu minik resim açılır ve site sahibinin bundan haberi olur. Müşteri davranışlarını incelemek için birebir yöntemdir.
3.) Tespiti ve Kurtulması Zor “Süper Çerezler”
BaÅŸta Google, Facebook, Twitter, Yahoo ve Amazon gibi internetin en büyük oyuncuları tarafından çok sık kullanılan bir takip mekanizmasıdır. Süper çerezler (supercookies/evercookies), normal çerezler silinse bile kullanıcının profilini tekrar oluÅŸturabiliyor. Tarayıcıların çerez alanı dışında eklenti kısımlarına ve diÄŸer ayarların altına da gizlenebilen süper çerezleri bu yüzden tespit edip bulmak çok güçleÅŸir. Mutlaka tek tek elle silinmeleri gerekir. O kadar ısrarlı ve kalıcı olabiliyorlar ki, 2011’de Facebook’un aslında hiçbir ÅŸeyi silmediÄŸine dair yapılan araÅŸtırmalarda bu çerezlerin kendi yaÅŸam sürelerini sürekli 2 yıl öne attıkları keÅŸfedilmiÅŸti.
4.) En Karşı Konulamaz Olan Takip Yöntemi Olarak “Derin Paket Analizi (DPI)”
DPI’ler (Deep Packet Inspection) devletler, istihbarat örgütleri (NSA, GCHQ) ve internet servis saÄŸlayıcıları tarafından kullanılan en kapsamlı takip mekanizmasıdır. Genellikle internet servis saÄŸlayıcısına entegre bir ÅŸekilde ağın omurgasına oturarak çalışır. Ya da herhangi bir lan, wan ya da özel amaçlı aÄŸlara bulaÅŸtırılarak aÄŸdaki tüm kullanıcıların web hareketleri gözlem altına alınır. Devletlerin en çok baÅŸvurduÄŸu FinFisher ve TTNET’in de kullanmış olduÄŸu Phorm benzerleri, bu mekanizmaları için verilebilecek en net örnekler olarak gösterilebilir.
Bir sonraki yazımızda online takip mekanizmalarının teşhis ve kontrolü ile bunlara karşı alınabilecek önlemleri inceleyeceğiz.