şükela:  tümü | bugün
  • ks. open platform for security
  • ing. ks. operations security; harekat* güvenliği: bir operasyonun, harekâtın ya da benzeri bir sürecin devam ettirilmesi, sağlıklı işlemesi vs için son derece önemli olan bilgi ve belgelerin rakip ya da düşman eline geçmemesi için alınan önlemlerin tümünü kapsayan; daha ziyade askeri alanda kullanılan terim.

    söz gelimi askeri üslerin içinde ve çevresinde fotograf çekilmesinin yasak olması, basına verilen savaş uçaklarının kızılaltı kameralarından* çekilen görüntülerdeki koordinat, zaman vb bilgilerin sansürlenmesi gibi önlemler opsec kapsamında alınır.
  • (bkz: need to know)
  • ulkemizde hacktivist populasyonu arttikca bunu anlamanin ve disiplinli olmanin onemi de artiyor.

    bu konunun kendisi konferanslarda pek konusulmuyordu. gecen sene bircok konferansta taylandda yasayan hacker the grugq tarafindan guzel ve giris seviyesinde bu konu islendi.

    http://www.youtube.com/watch?v=9xaydcdwiwu

    bazilari icin bir hayatta kalma mekanizmasi. benim de ilgimi forensicsle ugrasmisligim oldugundan hep cekegelmistir.

    (bkz: okuyom ben yaa)
  • hakkında türkçe kaynağın eksik olduğu, türkiye'de pek bilinmeyen, içerisinde karşı casusluk counterintelligence tekniklerini barındıran, yürüttüğünüz bir operasyon hakkındaki bilgilerin başkaları tarafından bilinmemesinin amaçlandığı aktiviteler bütünü. ing. operation security kısaltması.

    snowden dökümanları ile nsa'in yaptığı dinlemelerin ortaya çıkmasının ardından çok daha fazla önem kazanmıştır. opsec, sadece teknik gereçler ile başarılabilecek bir şey değildir. teknik araçlar ile birlikte kimliğinizin gizliliğini, nerede nasıl bilgisayar kullandığınızı, nasıl iletişime geçtiğinizi, kime/ne söylediğinizi de düşünmeniz gerekir.

    opsec'in birinci kuralının susmak olduğunu belirtmek lazım. yaptığınız aktiviteleri kimse ile paylaşmayın ve gerçek hayatınızdaki insanlara bu konu hakkında hiçbir şey söylemeyin. aynı şekilde anonim olarak aktivitelerinizi yürüttüğünüz insanlarla da gerçek kimliğinizle yaptığınız şeylerden bahsetmeyin. buna genel olarak hücreselleşme (compartmentation) deniyor. hayatınızı bu şekilde hücreye ayırmalı, hücreler arasında hiçbir şekilde veri alışverişi olmamalı. bu hücreselleşmede bilgisayarlarınızı, telefonunuzu da dahil etmelisiniz ki tam anlamıyla bunu başarabilesiniz. yani anonim faaliyetlerinizi yürütürken kullandığınız bilgisayarı, günlük hayatınızda kullanmamalısınız.

    işin teknik tarafında ise başkaları tarafından okunmasını istemediğiniz şeyleri şifrelemeniz gerekmekte. bunun için pgp güzel bir araç. bunların kullanım detaylarını da ilerleyen günlerde yazabilirim diye tahmin ediyorum.

    illegal aktiviteleri bir kenara bırakırsak türkiye'de ve diğer baskıcı rejimlerde muhalif gazetecilerin opsec konusunda bilinçlenmesi gerekmekte. bu gazeteciler aktif olarak dinleniyor ve gizli servisler tarafından izleniyor. bu konu hakkında bilinçlenmeyi amaçlayan ve yavaş yavaş gelişen türkçe kaynağa aşağıdaki adresten ulaşabilirsiniz.

    [https://opsectr.wordpress.com/ https://opsectr.wordpress.com/]
  • operations securitynin kısaltması olup herhangi bir eylem, harekat veya planın bilgilerinin istenmeyen kişilere sızmasını engellemek için uygulanır. (çok güzel yazmışlar zaten de, bilgi bütünlüğü olsun diye yazıyorum yine)

    öncelikle loose lips sink ships, need to know basis gibi kavramları anlamakla başlar. bilginin sadece gerekli yerde durması amaçlanır, bilmesi gerekmeyen, bilgiyi tutamayacak kişiye bu bilgi iletilmez, varlığından bile haberdar olmaz.
  • kem gözlere şiş okumakla başlanabilir buna.
  • opsec üzerine izlenimleri kaleme aldığım yazı buradan ulaşılabilir. blogun kapanma ihtimaline karşı yine sözlüğe yazmaktayım ki yedeği bulunsun. ayrıyeten daha kolay okunabilir olması açısından durmasında yarar var.

    --

    öncelikle opsec bir operasyon biçimi, yani sizin nasıl davrandığınızdır. opsec bir teknolojik araç veya yazılım değildir. ikinci olarak opsec beraberinde bazı dezavantajlar getirir. bu dezavantajların önemli bir kısmı ise efektif olamamaktır. bu yüzden opsec yavaştır. son olarak, güvenliğinizi ve bu tutumunuzu uzun zaman boyunca korumak çok streslidir ve bu, profesyonel olarak eğitim almış ajanlar için bile çok zordur.

    iyi bir opsec, güvenliğinizi en üst seviyede korumak için gerekli olan davranış değişkliklerini içselleştirmeyi gerektirir. operasyonel aktiviteler alışkanlıklara dönüşmeli zira en ufak bir ayrıntı bile önem arz etmektedir. bu ufak ayrıntıların biri yanlış yapıldığında güvenliğiniz tehlikeye girebilir. işleyen demir ışıldar. iyi bir opsec pratiği edinmenin tek yolu pratik yapmaktan geçer. yeni başlayanların yaptığı aptalca yanlışları başlarda yapın ki ilerleyen zamanlarda başınız yanmasın. bu konuda şu iki sözü hatırlayalım:

    - amatörler doğru yapana kadar pratik yapar, ancak profesyoneller yanlış yapamayana dek çalışır.
    - barış zamanında ne kadar yorulursanız, savaşta o kadar az kan kaybedersiniz.

    güvenliğiniz için gerekli alışkanlıkları edindiğinizde, opsec konusundaki ikinci en büyük zorluk ise sabırlı olmayı öğrenmektir. opsec ne kadar derin olursa, efektif olması o kadar zor olacaktır. bu durum özellikle haberleşme esnasında kendisini gösterir. riskleri azaltmak için kullanılan opsec mekanizması haberleşmeye gecikme ekler. sonuç olarak, haberleşme daha uzun sürer. en nihayetinde bu zaman kısıtlaması olan operasyonlarda düşünülmesi gereken bir durum. zaman kısıtlaması olmayan operasyonlarda ise pek sorun olmayacaktır.

    en büyük güvenlik riski ise operasyon içerisinde yer alan insanların birbiri ile haberleşmesi oluşturur. gizli operasyon yürüten cıa, mı6, dgse gibi örgütler, kendileri için çalışan insanların haberleşmelerinde barındırdıkları riskleri en aza indirmek için çalışırlar. en basitinden, bu riskleri azaltmak için operasyona başlamadan önce en az 2 veya 4 saat gözetim altında olup olmadıklarını kontrol ederler (gözetim kontrol yolu / surveillance detection route). bu rakamların en az olduğunu hatırlatalım. yüksek güvenlik gerektiren operasyonların planlanması haftalar/aylar alabilir ve gözetim kontrolü de 12 saate kadar çıkabilir.

    bilgi güvenliğini sağlayan araçlar ve teknolojiler (şifreleme gibi) önemli olsa da bu yeterli değildir. hatta opsec için başlangıç noktası bile sayılmazlar. yine de şifreleme yazılımlarını düzgün ve doğru bir biçimde kullanmayı öğrenin ancak gizli yapacağınız aktiviteleri hücreselleştirmek ve operasyonel ortamınızı olabilecek sızmalara karşı biçimlendirmek, herhangi bir yazılımı kullanmaktan çok daha önemlidir. hücreselleşmek konusunda fikir sahibi olmak için bir önceki yazıya bakabilirsiniz

    kaynaklar:
    [https://opsectr.wordpress.com/…-uzerine-izlenimler/ https://opsectr.wordpress.com/…-uzerine-izlenimler/]
    [https://grugq.github.io/…/21/observations-on-opsec/ https://grugq.github.io/…/21/observations-on-opsec/]
  • (bkz: fuatavni)

    türkiye'de opsec'i en aktif ve düzgün kullananlardan birisi de fuatavni rumuzlu twitter hesabıdır. karşı casusluk teknikleri konusunda öyle başarılıdır ki, hala kimliği deşifre edilememiştir.
  • instagram kullanan bazı türk askerlerince idlib operasyonu öncesi ihlal edilen kural ve yöntemler bütünü.

    https://twitter.com/…sklt/status/915979407595933696
    https://twitter.com/…sklt/status/916729583436787714

    yukarıdaki tweetlerin atıldığı hesap da ypg sempatizanı bir analiste* -kendi ifadesine göre- ait. hashtag, konum, fotoğraflarda görünen trafik tabelaları gibi verilerle askerlerin hangi birlikten olduğunu ve nereye sevk edildiklerini tespit edebilmiş.