Skip to main content
Güvenli internet denince aklıma bir siteye uğradığım zaman en temel olarak o sitenin bana zarar verememesi gelir. İnternet kavramı çok detaylı ve yoğun bir konu aslında, internet sadece web sitelerinden ibaret değil, bunun en önemli örneği telefonlarınızda ki uygulamalar, ip kameralarınız, tek tuşla evi yönetebilen akıllı ev sistemleri vesaire. Hepsinde her geçen gün bir zafiyet bulunuyor ve o zafiyeti önlemek için bir yama veya ek sertifikalar kullanılıyor. Bugün anlatacağım konu işin zafiyet kısmından çok anonimlik üzerine olacak. Gündelik kullanıdığın internette, herhangibi bir ek güvenlik önlemi kullanmadan düz kendi ip, bilgisayarın ve google tarayıcın ile hiç izlenmediğinimi zannediyorsun? Whatsappta arkadaşına “Kanka spora yazıldım protein tozu alıcam” dediğin zaman karşına protein tozu reklamları çıkmıyormu? En basitinden googleye sırf merak edip ekran kartı aratınca karşına ekran kartı reklamları çıkmıyormu? İzleniyorsun evet ve bunu legal olarak engellemenin bir yolu yok sistemi ele geçirdiler, tekelleştiler ve bunu göstermemek için kendilerine yapay rakip çıkartıp rakibin çalışan maaşlarını bile kendi ceplerinden ödüyorlar bknz

Güvenli iletişimi Nasıl Sağlarım

Güvenli iletişim dediğim şey aslında server side odaklı iletişim sistemlerine alternatifler sunmak olacak.
Whatsapp, instagram gibi uygulamalar sence senin mesajlarını koruyabiliyormu? Koruma değil senin bildiğin verilerini satıyor.

Client Server

Ekrangörüntüsü2025 08 26014731 Pn Yukarıdaki görseldeki gibi, karşı tarafa attığın mesaj doğrudan karşıya gitmiyor, önce sunucuya gidip sonrasında karşıya geçiyor. Aklına gelebilecek tüm mesajlaşma uygulamaları bu sistemi kullanıyor.
Alacağın ve göndereceğin mesaj sunucuya gider, sonrasında senin veya karşı tarafın ip sine düşer, biz buna client server tabanlı iletişim diyoruz. Bu iletişim türünde mesajların anonim değildir çünkü tüm mesajların sunucu ile yani örneğin whatsapp kullanıyorsan metaya gider, metada bunu reklam şirketlerine satar google ads gibi. Senden para kazanamıyorsa senin verinden kazanır olay bu.
Bu altyapıyı kullanan şirketlerin absürt bir vaadi var “Mesajlar şifrelidir güvenliğinizi garanti ediyoruz”, :DDD, mesajlı mesaj dediği şey 256hashı gibi düşün, evet dışardan çözmesi imkansız gibidir ama içeride o hashın çözüm algoritması kimdeyse top ondadır tüm mesajları o hash ile çözer.
Anlayacağın “Mesajlar şifrelidir” denilen şey “sana ve senin gibilere şifreli bana değil” demektir.

P2P

Ekrangörüntüsü2025 08 26014915 Pn P2p dediğimiz şey ortadaki serveri kaldırıp doğrudan iletişim kurmaktır. Aktif olarak faal p2p hizmeti verentox, jami, briar var bunlar ama bunlarda karşı taraf ile iletişim kurarken ip adresiniz ve metadatanız ifşa olur, bu bilgilerden yola çıkarak metadata ile dosyamı gönderdin mesajmı gönderdin ayrımı yapılabilir veya ip adresin ile adresin ifşa olabilir, mesajlarını tox, jami vs şifrelesede şifreleme yalnızca içeriğini korur. Yani gönderdiğin metni, dosyayı veya konuşmayı üçüncü bir kişi okuyamaz. Fakat şifreleme kiminle, ne zaman, ne kadar süre konuştuğunu gizlemez.
İletişim kurduğun taraf güvenilir değilse karşı taraf senin IP adresini gördüğü için konum bilgine ulaşabilir. Bağlantı sıklığın ve saatlerin üzerinden kullanım alışkanlıkların çıkarılabilir. P2P iletişimde asıl risk, içerikten çok metadata ve IP ifşasıdır. Tor ağı üzerinden bağlanmak bu bilgileri gizler.
Discord sesli sohbetleride eskiden p2p sistemi kullanırdı.

Federated

Ekrangörüntüsü2025 08 26014636 Pn Bu iletişim tamamen merkeziyetsizdir, ben örnek olarak 2 tane server gösterdim ama bu sayı 2 den fazlaya çıkabiliyor. Birden çok sunucu var ama yine de her kullanıcı bir sunucuya bağlı. P2P gibi doğrudan değil. Temel amaç benim ile karşımda ki kişinin bir nodeye bağlanması ve oradan iletişim kurmamız. Birden fazla nodenin aynı protokole bağlanması sunucuların iletişim kurması durumudur kısaca. Örneğin sen bir federated servise üye olursun, arkadaşın başka bir sunucuda olabilir.
Sen mesaj attığında
  • Önce kendi sunucun (A Serveri) mesajı alır.
  • Daha sonra protokol (ör. ActivityPub) üzerinden B Serverine iletir.
  • B Serveri mesajı arkadaşına ulaştırır.
  • Her iki sunucu da birbirine güvenlik sertifikaları ve protokollerle bağlıdır.
Bu sistemlere örnek olarak e posta sistemleri örnektir, sen gmail hesabı oluşturarak bir hotmail hesabına mail atabilirsin mesela ama bunlar tabiki anonim değil, mail servisin seni tanır ve bilgilerini paylaşmaktan çekinmez.
En kusursuz anonimlik için XMPP Kullanabilirsin, istediğin sunucudan hesap açabilirsin, hatta kendi XMPP sunucunu kurabilirsin.OTR veya OMEMO şifrelemesi ile oldukça anonim kullanılabilir ve tor üzerinden bu sistemi kullanırsan anonimliğini maksimuma çekersin. sistemi az buçuk çözdün, şimdi sana örnek birisini göstereyim.

PGP

Resim 2025 08 29 024651062 Pn PGP kriptografik şifreleme yöntemi ile iletişim kurmaktır, anonimlik budur ustam. Fake bir mail ile keyserver ve key üretiimlerini bilen birisi çok rahat işi çözer. Public key, herkesle paylaşılır. Sana mesaj göndermek isteyen kişi bu anahtarı kullanarak mesajını şifreler. Private key ise sadece sende bulunur. Sana şifrelenmiş mesajları açabilmek için gereklidir. Örneğin
Alıcı, kendi Public Key ini yayımlar.
  • Gönderen, mesajı bu public key ile şifreler.
  • Mesaj yolda yakalansa bile çözülemez, çünkü açmak için gerekli olan private key yalnızca alıcıdadır.
  • Alıcı mesajı alır ve Private Key ile şifreyi çözer.

Kurulum yapak zozik

Tamam yapalım, tüm linux dağıtımlarına kurulu geliyor eğer kurulu değilse komutla kur. 
sudo apt install gnupg -y
Resim 2025 08 29 025813941 Pn Ekrangörüntüsü2025 08 29030210 Pn Bu işlemlerden sonra O yazdıktan sonra şifre belirleyin ve haneye hayırlı olsun ustam.
aşşağıdaki komut ilede public keyini herkese açabilirsin Resim 2025 08 29 030541701 Pn aşşağıdaki gibide mesaj gönderip mesaj çözebilirsin Resim 2025 08 29 030823666 Pn

Cock.li

Resim 2025 08 29 022043937 Pn federated iletişim altyapısını kullanır, sistem yöneticisi mesajlarınızın okunmadığını, listelenmediğini ve paylaşılmadığını iddia ediyor. Gmail, hotmail, yahoo gibi ünlü mail servislerinde kara listededir hiçbir şekilde bunlarla iletişime geçemezsiniz. Bu servisin en iyi özelliği mail servisinizi kaliye thunderbird vs ile kurup, tor ağına bağlanıp, X.509 veya GPG ile mesajları iki kişi arasında şifreleyerek mail sunucusunun göremeyeceği şekilde iletişim kurabilirsiniz hatta mail loglarını sistemden indirip silebilirsiniz. Opsec’te ortaya çıkan önemli bir kavram var: bölümlendirme (compartmentalization). Genel olarak, bölümlendirme; farklı faaliyetlerin birbirine bağlanmalarını önlemek için farklı bölmelere ayrılması olarak tanımlanabilir. Bu kavram en yaygın olarak çevrimiçi e-postalarda görülür. Tüm sosyal medya hesapların için bir e-posta, tüm çevrimiçi alışverişlerin için farklı bir e-posta ve sağlıkla ilgili konular için bambaşka bir e-posta kullanmak isteyebilirsin. Aynı kavram çevrimiçi sohbetlerin için de geçerlidir. Bu eğitimde, farklı sohbet türlerini, bunları bağlama göre nasıl bölümlendireceğini ve her birinin ne zaman en uygun şekilde kullanılacağını inceleyeceğiz.

Sohbetlerde OPSEC Gereksinimleri

Ortada sayısız sohbet uygulaması var ve daha önce açıkladığım gibi, hedeflediğiniz Operasyonel Güvenlik (OPSEC) düzeyine (gizlilik, anonimlik) bağlı olarak, kullanılacak aracın amacına uygun olması için belirli kriterleri karşılaması gerekir. Aşağıda göreceğiniz gibi, gerçekleştirmek istediğiniz sohbet türlerine bağlı olarak, kullanacağınız sohbet platformunun da bu amaca uygun OPSEC gereksinimlerini karşılaması gerekir.

Sohbet Türleri

Aşağıdaki tablo 4 farklı sohbet türünü tanımlar. Bunlar kendilerine özgü özelliklerine göre ayrılmıştır ve her kategori için kısa bir açıklama, teknik ayrıntılar ve bazı artılar/eksiler verilmiştir.
Public Chats (Herkese Açık)Private Chats (Özel)Anonymous Chats (Anonim)Deniable Chats (İnkâr Edilebilir)
AçıklamaHerkes tarafından görülebilen, herkese açık ortamda gerçekleşen konuşmaİçeriği yalnızca katılımcılar tarafından bilinen konuşmaKatılımcıların bazı/hiçbirinin gerçek kimliklerinin bilinmediği konuşmaGerçekleştiği kanıtlanamayan konuşma
Örnekspor stadyumunda konuşuyorEnay ve Meral iş yerinde bir toplantı odasında konuşuyorEnay, trençkotlu gizemli biriyle konuşuyorEnay, Meral ile konuşuyor ama konuşmaya dair hiçbir kayıt veya kanıt yok
Teknik Gereksinimler (Çevrimiçi)- Yok (söylediğin her şey herkese açık bilgi)- FOSS Yazılım
- E2EE (uçtan uca şifreleme) gerekli
- Sohbet sunucusunu kendin barındırabilmelisin		- FOSS Yazılım
- E2EE gerekli
- Kayıt olurken telefon numarası, kullanıcı kimliği ve IP adresi bağlantısı olmamalı ( üzerinden)		- FOSS Yazılım
- E2EE gerekli
- Kayıt olurken telefon numarası, kullanıcı kimliği ve IP adresi bağlantısı olmamalı (Tor üzerinden)
- Kendiliğinden silinen mesajlar
Artılar- En kolay uygulanabilir
- Kısıtlama yok
- Her ortamda kullanılabilir		- Sohbetin içeriği sadece katılımcılar tarafından görülebilir
- Birçok uygulama artık E2EE destekli		- Her sohbet için farklı anonim kimlikler kullanılabilir
- Tartışmalı konular için uygundur
- Anonimlik herkese açık sohbetlerde de mümkündür		- Kayıt dışı
- Konuşma geçmişi yok
- Hassas konular için uygundur
Eksiler- Söylenen her şey gerçek kimliğinle ilişkilendirilebilir- Çok az sohbet uygulaması hem istemci hem sunucu tarafında FOSS
- Katılımcıların kimliği bilinir
- Sohbetin gerçekleştiği bilinebilir
- Sohbet kalıplarından davranış modeli çıkarılabilir		- Gerçekten anonim kayıt imkânı sunan uygulama çok az
- Anonim tarafın söylediklerinden kimliği ortaya çıkabilir		- Süre sınırı dolduktan sonra sohbet geçmişi görülemez
Tıpkı birçok şeyde olduğu gibi, bu sohbet türleri de daha kullanışlı ile daha güvenli arasında bir spektrumda yer alır.

Public Chat Örneği

Bu kavramları açıklamak için birkaç örneğe bakalım. İlk olarak, çevrimiçi sosyal medya, herkese açık sohbet odaları vb. ortamlarda bulabileceğiniz türden herkese açık bir sohbet. Photo 5933702885604970599 Y Jp Bu sohbet, Enay ve Yunus’un gerçek kimliklerine bağlıdır ve herkes tarafından görülebilir. Örneğin snap kullanmaları, attıkları fotoğraflar, isimleri veya numaraları gibi bilgiler, konuşma sırasında orada bulunan herkes tarafından artık bilinir hale gelir. Enay ve Yunus snap isimlerini rahatlıkla söylebilir, ancak ya başkalarının bilmesini istemedikleri bir bilgi olursa?

Private Chat Örneği

Herkesin bilmesinin gerekmediği bilgiler içeren konuşmalar için özel sohbetler kullanılır. Özel sohbetlerde katılımcılar hâlâ gerçek kimliklerini kullanabilirler, ancak temel fark, konuşmanın uçtan uca şifreleme (E2EE) ile yalnızca katılımcılar arasında erişilebilir olmasıdır. download.jpg Enay, yarın ki planına başka insanların gelmesinden rahatsız olabilir, ama arkadaşı Meral’i çağırabilir. Bu özel sohbette yalnızca Enay ve Meral ne konuşulduğunu bilir ve bu konuşmanın bir kaydı vardır. Neyse ki birçok popüler sohbet uygulaması artık E2EE destekliyor, ancak meta veri koruması olmadan hâlâ kiminle ne sıklıkla konuştuğuna dair kalıplar çıkarılabilir. Peki biri seninle konuşurken kim olduğunu bilmeni istemezse ne olur?

Anonymous Chat Örneği

Katılımcılardan birinin (veya birkaçının) konuşmanın hiçbir şekilde gerçek kimliklerine bağlanmasını istemediği konuşmalar için anonim sohbetler kullanılır. OPSEC gereksinimleri arttıkça daha özel yazılımlara ihtiyaç duyulur ve bu da bazı kişiler için daha zahmetli olabilir. Ben aktif olarak **SimpleX **kullanıyorum. Her mesaj,aracı sunucular üzerinden şifreli kapsüller hâlinde iletilir. Bu broker sunucuları sadece şifreli veriyi geçici olarak saklar, içerikleri göremez. Mesaj karşı tarafa ulaşınca sunucudaki kopya otomatik silinir. Anon Pn Bu örnekte Enay, gerçek kimliğiyle bağlantılı olmak istemeyen biriyle konuşuyor (katılımcı gizli profil kullanıyor). Konuşmanın doğası gizli bilgi gibi tartışmalı konular içerebilir. Anonim sohbet sağlamak için kullanıcı kimlikleri ve IP bağlantısı kesinlikle olmamalıdır. Ayrıca kullanıcı kimliği olmaması sayesinde kişi, anlık olarak tek kullanımlık kimlikler oluşturabilir ve her yeni konuşmada farklı bir anonim kimlik kullanabilir.

Gizlilik

Öncelikle şunu söylemem lazım Gizlilik ≠ Anonimlik.
  • Anonimlik: Ne yaptığını biliyorlar ama kim olduğunu bilmiyorlar.
  • Gizlilik: Kim olduğunu biliyorlar ama ne yaptığını bilmiyorlar.
Gizlilik denince aklınıza en yuvarlama tahmin görünmez olmak geliyordur, bazılarımızın kafasına da görüneyim ama görünen kişi ben olmasın derdinde. Benim burada anlatacağım şeyler sizi görünmez yapamaz ama ayak izinizi minimuma indirir, ikisini birden yapmanız için yazıyorum. Ayak izini saklaman için ipni görünmez yapman lazım en başta, bunu tabi ki Tor ile sağlayacaksın. Kısaca şunlara dikkat et: Tor ağına bağlan, hiçbir sitede gerçek bilgilerini paylaşma, ticaretlerinde Monero kullan, güvenme.

Neden Tor

Kullanıcı ile sunucu arasındaki tünelin 6’da 5’i kullanıcıyı bilmez. Burada sadece relay’lerden değil, aralarındaki bağlantılardan da bahsediyorum. Benzer şekilde, yolun 6’da 5’i hedefi de bilmez.
Onion servisinin guard düğümü, trafik desenlerinden onion servisi için guard olduğunu anlayabilir. Guard kendi IP adresini bilir, ancak hangi onion servisine guard’lık yaptığını bilmez. Bu da kimsenin hedef onion adresini bilmediği anlamına gelir.

Tor’un kullandığı DNS benzeri süreç güvenlidir (onion’un Introduction Point’lerini DHT’de bul, bir IP’ye bağlan, onion’a hangi Rendezvous Point’in kullanılacağını bildir, iki taraf da RP’ye bağlanır). Hiç kimse DHT’de hangi onion’un arandığını bilmez; cevabı tutan relay bile bilmez. DNS buna kıyasla gülünç derecede güvensizdir. DNS sunucusu her şeyi bilir (kullanıcı, soru, cevap). Kullanıcı ile sunucu arasındaki herhangi bir güvensiz bağlantı noktası her şeyi ifşa eder. DNS sunucusu istediği zaman yanıtları sahteleyebilir ya da sansürleyebilir.

Bir zırvalık varya hani, vpne veya Tor’a bağlansan bile modemin geçmişi seni ele verir,:)makine öğrenimi tor ağına bağlı herkesi hop diye listeler tutuklatırdı.
Deminde anlattığım gibi tor sayesinde kişiler hem kullanıcıyı hemde hedefi kestiremez, modemin logu seni sadece başka bir ip ye bağlı olduğunu görür, o ip nereye bağlı işte onu kestiremez, onu ancak vpn servisi log verirse görebilir. Ama torda böyle bir muhattapları yok çünkü torun kurucuları bile kim ne yapıyor bilmiyor. Çünkü 6 farklı ip ye bağlı bir sistemin içindesin. Resim 2025 10 17 011545658 Pn Bir onion servisine başarıyla bağlandığını görüyorsan, gerçekten bağlanmışsındır ve bunu güvenli şekilde yapmışsındır. TLS böyle bir garanti sunmaz. Güncel tarayıcıların otomatik filtreleme sayesinde tıkladığın bir bağlantı güvensizse tarayıcın ya uyarı verir yada siteyi hiç açmaz. Eskiden tarayıcılar bu kadar güvenli değilken tıkladığın bir link senin cihazına senden habersiz dosya atabiliyor, komut çalıştırabiliyordu.

Monero

Monero, 2014 yılında piyasaya çıkan ve gizliliğe odaklanan bir kripto para birimidir. Bitcoin gibi blockchain teknolojisini kullanır, ancak onu özel yapan şey tamamen anonimlik ve izlenemezlik üzerine kurulmuş olmasıdır.
Bitcoin veya Ethereum gibi kripto paralarda tüm işlemler herkesin görebileceği şekilde blok zincirinde tutulur.
Birisi senin cüzdan adresini bilirse, gönderdiğin veya aldığın her miktarı görebilir.
Monero’da ise bu bilgi şifrelenmiştir. Yani dışarıdan bakan biri: