Dijital Parmak İzleriniz ve Profiller

DİJİTAL PARMAK İZLERİNİZ ÇEREZLER VE PROFİLLER S A Y F A | 0
DİJİTAL PARMAK İZLERİNİZ
ÇEREZLER VE PROFİLLER
Yazar: Hamza ŞAMLIOĞLU
Tarih: 28.02.2021

İÇİNDEKİLER
ÇEREZ KULLANIMI VE PARMAK İZİNİZ ......................................................................................4
TARAYICINIZ VE PARMAK İZLERİNİZ .........................................................................................5
PARMAK İZİNİZ NASIL OLUŞTURULUYOR? .................................................................................6
ZOMBİ ÇEREZLER .....................................................................................................................7
GİZLİLİK VE ÇEREZLER ..............................................................................................................7
DİJİTAL PARMAK İZİNİZ!.............................................................................................................8
DEVLETLER, ÖRGÜTLER, İSTİHBARAT UZMANLARI....................................................................8
PROFİLLERİNİZ............................................................................................................................9
PARMAK İZİ BİLGİLERİ.............................................................................................................10
PARMAK İZİNİ DEĞİŞTİREBİLİR MİYİZ?.............................................................................................12
ÇEREZLERDE GEÇMİŞE DÖNELİM!................................................................................................20
TARAYICILARIN ÖTESİ PARMAK İZLERİMİZ! ............................................................................22
GERÇEK HAYATTA PARMAK İZİ....................................................................................................24
KURABİYE CASUSLARI! ...............................................................................................................25
GOOGLE VE ÇEREZLER ..............................................................................................................26
SONUÇ OLARAK PARMAK İZLERİMİZ.....................................................................................28

PRİVİA SECURİTY HAKKINDA
Siber güvenlik alanında “Privacy For You” sloganı ile hareket ederek güvenlik ve
gizlilik kavramlarına farklı bir bakış açısı getirmeyi planlayan Privia Security, sahip
olduğu tecrübesi ve uzman kadrosu ile sektördeki yerini 2018 yılında aldı.
Alanında uzman ve araştırmacı kadrosu ile kurumların siber güvenlik alanındaki tüm
ihtiyaçlarına çözüm geliştirmek misyonuyla hareket eden Privia Security, ülkemizin
önde gelen siber güvenlik araştırmacılarını kadrosunda barındırmaktadır.
Privia Security, kurumların IT ve OT varlıklarına yönelik sızma (penetrasyon) testleri
siber güvenlik eğitimleri, red team ve kurumlara özel geliştirilen yazılımlar gibi
çözümlerle siber güvenlik sektöründe fark yaratmayı amaçlamaktadır.
Privia Security olarak İstanbul ve Ankara‘da bulunan ofislerimizin yanı sıra
Cumhuriyet Teknopark‘ta bulunan Ar-Ge merkezimizde müşterilerimize ve sektöre
fayda üreten çalışmalarımıza devam etmekteyiz.
PriviaSecurity.com | @PriviaSec | info@priviasecurity.com

GİRİŞ
Çerezler birçok web sitesinin ziyaretçilerine daha iyi hizmet sunabilmesi adına
yardımcı olan küçük veri parçaları yani web tanımlama bilgileridir. Ancak bu küçük
parçaları bir araya getirdiğinizde geride bırakmış olduğumuz izler korkutucu bir
kabusa dönüşebilir!
Kullanıcıların tarayıcılarında oluşturulan çerezler gelişen teknoloji ile çok daha farklı
ve geniş bir kullanım alanına yayıldı. Reklam şirketlerinden istihbarat örgütlerine
kadar birçok noktada bu çerezlerin kullanılabileceğine şahit olduğumuz bir dünyaya
doğru eviriliyoruz.
Bizler tarayıcılarımız ile veri üretirken IOT teknolojileri de internet üzerinde
iletişim kurarak veri üretmeye ve ayak izleri bırakmaya başladı. Peki ürettiğimiz
bu verilerin yanı sıra zararsız olarak gördüğümüz çerez adı verilen veri
parçacıkları ile hangi bilgilere ulaşılabilir?
Kullanıcıların siber uzayda bıraktıkları ayak izleri ile fiziksel dünyanın ifşa olması artık
an meselesi oldu. İnternet kullanıcılarına yeni bir çağın başladığını, gizlilik
konusundaki tartışmaları daha sık görebileceğimiz bir çağa doğru adım attığımızı
göstermek istiyoruz.

ÇEREZ KULLANIMI VE PARMAK İZİNİZ
Çerezler ilk zamanlarından beri insanlar için tartışma konusu olmuştur. İnsanların
sörf yapma alışkanlıklarını izlemek, profillenmek; gözümüzde büyüttüğümüz
bazense paranoyak senaryolar kurduğumuz olayları da beraberinde getirmiştir.
Çerezlerin asıl amacı internetin ilk zamanlarından beri birer tanımlama bilgisi üzerine
kuruludur. Yani sizi tanımak, oturumunuzu açık tutmak ve alışkanlıklarınıza göre
doğru öneriler sunmakla başlamıştır. Ardından reklamcıların ve pazarlama
dünyasının ilgisini çekmiş ve daha hedefli reklamlar ile ürün satışlarını artırmak için
kullanılan pazarlama yöntemlerini beraberinde getirmiştir.
Çerezlerin kullanımında biz tüketicilerin her zaman bir avantajı vardı. Çerezleri
istediğimiz zaman silebilmemiz. Diğer bir yandan bir pazarlama uzmanı için hedef
kitle en önemli unsurlardan biridir. Doğru hedef kitleye doğru ürün veya hizmetin
reklamını çıkartmak her zaman başarılı sonuçlar verir.
Kullanılan pazarlama araçları ve takip sistemleri gelişince tarayıcılar bu durumun bir
güvenlik riski yarattığını öngörerek belirli sürelerde çerezlerin otomatik
silinebilmesine olanak sağladılar.
Pazarlama dünyası için bu durum en büyük sıkıntılardan biriydi. Sonrasında
profillenme ile karşılaştık. Artık silinebilir çerezlerin yanı sıra, silinemeyen profillerle
hedeflenmeye başladık. İşte parmak iziniz de burada devreye giriyor. Alışkanlıklarınız,
ilgi alanlarınız ve hareketleriniz ile sisteminiz yani bağlantı kurduğunuz bilgisayarın
donanım ve yazılım özellikleri tekilleşmemize olanak sağladı.
Bu noktada profil oluşturduğunuzda, kullanıcı çerezleri silinse dahi, elinizin altında
birer parmak izi görevi gören profiller kalıyor. Bu sayede ziyaretçiyi tanıyabiliyor ve
yeniden hedefleyebiliyorsunuz.
Pazarlama dünyasındaki büyük oyuncular bu yeni teoriyi test etmeye başladılar.
Verizon Wireless gibi mobil operatörler kullanıcılarının mobil cihazlarında kalıcı
tanımlama bilgileri deneyerek başarılı oldular.

TARAYICINIZ VE PARMAK İZLERİNİZ
Web sitelerinin ziyaretçi tanımlaması için bilgisayarlarımıza birer tanımlama bilgisi
eklemesi çok doğal bir davranış. Aksi takdirde sürekli oturum açmak, sayfada
dolaşırken bir kere parola girmek yerine onlarca kez tekrar tekrar parola girmek
insanları bıktıracak ve kullanılabilir olmaktan çıkacaktır.
Web siteleri kullanılabilirlik kavramını net olarak ortaya koymak ve iyi bir kullanıcı
deneyimi sağlamak için bazı veri paketlerini tarayıcımıza kayıt ederek bu gibi
olumsuz durumların önüne geçmektedir. Bu veri paketlerini çerez olarak
tanımlıyoruz.
Bu veri paketlerinin yanı sıra artık tarayıcılarımız üzerinde bazı işlevler yapan ve karşı
sunuculara bu işlevlerin cevabını ileten teknolojiler de kullanıyoruz. Elbette bu
noktada HTML5 devreye giriyor.
Artık web siteleri bizleri tanımlamak için çerezlerle birlikte parmak izleri, yani
benzersiz kodlar da kullanabilir bir hale geldi. Genel olarak HTML5’in <canvas> özelliği
kullanılıyor. Javascriptlerle de karşı sunuculara bu bilgiler aktarılabiliyor. Kullanıcıyı
tanımlamanın farklı bir yolu olduğu için çerezler silinse dahi, bir şekilde eşleştirme
yapılarak ziyaretçiyi profilinden ortaya çıkartabiliyorlar.
Bu durum 2012 yılında Keaton Mowery ve Hovav Shacham’ın yayınladığı bir makale
ile duyuruldu. Ardından da AddThis gibi milyonlarca kullanıcıya ulaşan servisleri
üzerinde kullancılarından habersiz olarak bu denemeleri yaptıklarını görmeye
başladık.
Plenty of Fish, Ligatus, AddThis, WhiteHouse.gov, CBS.com…
Elbette ki profillendiğimizi ortaya çıkartan araştırmacılar sayesinde bu durumu
öğrendik. Bu sayfaların çoğunluğu halka açıklama yapmak zorunda kaldılar. Bu
denemelerin test olduğunu ve ardından bilgilerin silindiğini açıkladılar.

Parmak İziniz Nasıl Oluşturuluyor?
Bir web sayfasını ziyaret ettiğiniz zaman metinler, resimler ve ses dosyaları gibi
medyaların ve verilerin nasıl işlendiğini analiz ederek, bilgisayarınız hakkında
aşağıdaki gibi bazı bilgiler toplanır.
• İşletim Sistemi
• Donanım Yapılandırılması
• Ekran Kartınız
• Tarayıcınız
• Yüklü Yazı Tipleriniz
• Yüklü Eklendiler…
Dikkat ederseniz yukarıdaki bilgilerin hiçbirinde kişisel veri yok! Ancak bu veriler o
kadar çok dallanıp, budaklandı ki, kurmuş olduğunuz yazılımlardan, kullandığınız
sisteme kadar bir araya getirildiğinde sizi tanımlamak çok daha kolay bir hale geldi.
AB'nin Gizlilik ve Elektronik İletişim Direktifindeki izin kurallarının cihaz parmak izi ve
diğer çerezlere alternatif teknolojiler için geçerli olduğunu da doğruladı. İnternet
gizliliği kişisel verilerimizin korunması gibi AB yasalarının da aslında bu agresif
izleme teknolojilerinden korumada temel olarak etkisiz olduğunu kanıtlamış oldu.
Parmak izleri kişisel verileri oluşturabilir; bu nedenle bu bilgilerin işlenmesi veri
koruma kanunlarına tabidir. Web sitesi yöneticilerinin, toplanan verilerin nasıl
kullanıldığı hakkında açık ve kapsamlı bilgiler vermesi ve bilgileri hedeflenen
reklamcılık için kullanmak amacıyla kullanıcıların onayını alması gerekir. Ancak web
sitesi yöneticilerinin karşınıza çıkarttığı “devre dışı bırak” butonlarının gerçekten de
devre dışı bıraktığına inanıyor musunuz? Bu onların inisiyatifinde…
Parmak izi verileri elbette izin alınmadan kullanılabilir. Yalnızca kullanıcı ara yüzünü
cihaza uyarlamak için, kullanıcı tarafından açıkça talep edilen bir hizmetin
sağlanması için veya hizmetlere yetkisiz erişimi önlemek için bir güvenlik kontrolü
olarak kullanılır. Ancak, hizmetlere erişim sağlamak, kullanılan kimliği doğrulamak
için daha geniş bir mekanizmanın parçası olarak parmak izini kullanabilirler. İşte bu
noktada biz kullanıcının iznini almaları gerekiyor.
Yetkisiz erişimden kastımızı da şöyle açıklayabiliriz. Bir eğitim platformusunuz, online
eğitim veriyorsunuz ve sınav yapıyorsunuz. Sınavda parmak izini kullanarak kopya ve
benzeri durumların önüne geçebilirsiniz. Ya da XFlix.com gibi bir platform

olduğunuzu varsayalım, güvenlik gerektirdiği gibi, kötüye kullanımı da engellemek
için kullanabilirsiniz. Bu gayet doğal bir davranıştır.
Zombi Çerezler
Çerezleri kapattınız, gizli bir sekmede geziyorsunuz? Her hareketinizin takip
edilemeyeceğini ve güvende olduğunu düşünenlerden misiniz? Yanıldınız! Modern
ve yeni teknolojilerle oluşturulan web siteleri marketing dünyası ile birleştiğinde
yenilikçi teknikleri kullanıyorlar. Xflix gibi platformların büyük bir kısmının hayata
geçirmemiş olsa dahi, bu konuyu ciddi ciddi de düşündüklerini varsayabilirsiniz.
İşin bir de pis tarafı olduğunu hatırlatmak isterim. Aynı çalışma farklı işlemler için de
kullanılabilir. Aslında bir nevi silinemeyen çerezler olduğunu düşünün! Çerez
senkronizasyonu yaparak kimliği tespit edilen kişilerin tarayıcılarında tekrardan
çerez oluşturulabilir ve her silme işleminden sonra yeniden oluşturularak devam
ettirilebilir. Genelde Evercookie adı verilen bir Javascript ile oluşturulduğunu da not
olarak belirtelim.
Bu çerezler, kullanıcı sildiği zaman yeniden oluşturulmak için hazırlanmıştır. Bir
yedekleri vardır ve Evercookie çerezlerin silindiğini tespit ettiğinde yedekten tekrar
geri döndürür. Literatürde bu duruma zombi çerezler adı verilir.
Gizlilik ve Çerezler
Bir web sitesinin tarayıcınıza çerez bırakması, tüm bilgilerinizi verdiğiniz manasına
da gelmez. Bırakılan çerezler genel olarak ziyaretçiyi tanımlamak için kullanılır. Diğer
bir yandan reklam şirketleri için kullanılan çerezler ise alışkanlıklarınızı öğrenmek,
hedefli reklamlar kullanmak ve benzeri amaçlar için kullanılabiliyor.
Elbette ki çerezleri engelleyebilir veya tarayıcınızda saklanan çerezleri silebilirsiniz.
Hatta bazı tarayıcılar varsayılan olarak bu çerezleri engelleyebiliyor.
Tarayıcı ayarlarınızı açıp, tüm çerezleri devre dışı bırakmasını da isteyebilirsiniz.
Elbette hatırlatmak isterim bazı web siteleri çerezleri devre dışı bıraktığınızda
sayfaları doğru görüntülenmez ve size hata verebilir. Diğer bir yandan bazı sayfalar
her seferinde yani her işlem yaptığınızda sizden tekrar tekrar oturum açmanızı
isteyecektir. Doğal olarak bir süre sonra vazgeçip tekrar aktif etmek zorunda
kalabilirsiniz.

Dijital Parmak İziniz!
Konuyu bir adım daha öteye taşıyalım. Ürettiğimiz bu küçük veri parçacıkları ile takip
edilebilir mi, profillerimiz çıkartılabilir mi? Bu sorulara içinde bulunduğumuz çağ ve
şu an hali hazırda kullanılan teknolojilerle “elbette ki evet” şeklinde cevap verilebilir.
Düne kadar ziyaretçilerini tanımak veya reklam yapmak için yazılım uzmanları
tarafından üretilen bu küçük kod parçaları bugün sunucuların üzerinde büyük veriler
oluşturduğu gibi, pazarlama ve satış gibi sektörlerin olmazsa olmazları haline geldi.
Devletler, Örgütler, İstihbarat uzmanları
Soruyu şu şekilde soralım ve cevabını sorgulayalım. Karşı sunucuya giden ve
zararsızmış gibi görülen bu veri parçacıkları ile neler yapılabilir?
Bu küçük kod parçacıkları arasında…
• Tarayıcı dili,
• Java versiyonunuz
• Sisteminizde yüklü olan fontlar
• Ekran çözünürlüğünüz
• Donanım yapılandırmanız
• İşletim sisteminiz, versiyonu
• Tarayıcınız ve sürüm bilgisi
• MAC adresiniz!
Gibi birçok bilgiyi barındırıyor. Bir dakika MAC adresi mi? Evet yanlış duymadınız! O
size ücretsiz olarak hizmet veren Wifi yani Hotspot ağları var ya, hepsi değil ancak
bazıları MAC Adresinizi de öğrenip, karşı sunuculara gönderebiliyor.
MAC adresinizi eşleştirdi ve daha önce sizin hakkınızda toplamış olduğu tüm
bilgiler için profilinizi tekrar aktif etti! Hatta VPN dahi kullansanız bu bilgiler karşı
taraftaki sunuculara rahatlıkla aktarılabiliyor.
Hani arada internette şöyle paylaşımlar yaparlar ya… “Telefonumu sıfırdan kurdum,
bilgisayarı formatlarım iki dakka sonra çat karşıma gelen reklam… Telefonumuzu
dinliyorlar! Kameramızı açıyorlar!” Ne telefonunuzu dinliyor ne de kameranızı
açıyorlar. Sadece bağlandığınız Hotspot ağı üzerinden MAC adresinizi alıp
eşleştirdiler. Sizin o silmiş olduğunuz çerezler, sıfırladığınız işletim sistemleri…
Diğer bir soru ile devam edelim; xFlix hangi tarayıcıdan ve hangi lokasyondan
oturum açtığınızı nasıl biliyor?

PROFİLLERİNİZ
Beni profilleyebilirler mi? Maalesef ki bu sorunun cevabı da evet! Bu bilgiler
sayesinde kimliğinizi deşifre etmek artık mümkün bir hale geldi. Kullandığınız işletim
ve donanım sisteminden, kurduğunuz yazılımlara kadar birçok bilgiye sahipler. Bu
bilgiler ne kadar spesifikse tespit edilmeniz de o kadar kolay bir hale geliyor. Birkaç
bilgi kırıntısı ile bütüne gitmek zordur. Ancak birçok bilgi kırıntısını bir araya
getirdiğinizde özellikle de MAC adresiniz karşı tarafa gidiyorsa tespit edilmekten bir
adım öteye geçerek profillendiğinizi rahatlıkla söyleyebiliriz.
Tarayıcınız üzerinden alınan bu tanımlayıcı bilgi kırıntıları artık çok fazla ve spesifik
bilgiler barındırır hale geldi. Çok fazla ekran çözünürlüğü var, çok fazla donanım
çeşidi var, çok fazla davranış şekli var ve çok fazla sürüm var. Bu bilgileri bir araya
getirdiğinizde kişilerin tanımlama verileri milyonlarca kişi içerisinde birkaç olasılığa
kadar düşebiliyor. Yani tarayıcı içerisindeki çerez olarak adlandırdığımız bilgileri
temizlesek dahi tarayıcı versiyonu, işletim sistemi ve versiyonu, Java versiyonu,
donanım bilgileri, ekran çözünürlüğü, kullandığınız fontlar ve diğer birçok bilgi karşı
sunucularda depolanarak karşılaştırma yapılabiliyor. Sonuçta yakayı bir güzel ele
verebiliyorsunuz! O kadar çok alternatif var ki, sizinle aynı sistemi aynı davranış
koşulları içerisinde kullanan ikinci bir kişi yok! Doğal olarak tertemiz bir tarayıcıdan
bir web sunucusuna bağlansanız dahi, karşılaştırma yapılarak kimliğiniz ortaya
çıkartılabiliyor. Yani çerezleri sildiniz ancak kullandığınız yazılımlar ve donanımlar
aynı olduğu için tespit ediliyorsunuz.
Tarayıcı izleri (Browser FingerPrint) konusunda kullanıcıların dikkatli olmasını
gerektiğinin altını çizmek gerekiyor!
Kullandığınız tarayıcı ile karşı sunuculara gönderdiğiniz bilgileri test etmek için
panopticlick.eff.org veya amiunique.org adresine göz atabilirsiniz. Bu adreslerden
birine girerek hangi bilgilerin alınabildiğine ufak bir göz atmak yerinde olacaktır.
Kendi test sistemimde amiunique.org adresi üzerinden bir çalışma başlatarak
aşağıdaki gibi bilgilere ulaştım.
“Yes! You are unique among the 2.994.597 fingerprints in our entire dataset.”
Evet, kullanmış olduğum sistem ve uygulamalar sayesinde çerezlerim üzerinden
alınan bilgi bir parmak izine dönüştürüldü.
Sonuç olarak bu site üzerinden tarama yapılan 2.994.597 tarayıcı izi arasında
benzersiz bir halde olduğum ortaya çıktı!

Parmak İzi Bilgileri
Bir web sitesine her bağlandığınızda cihazınız çeşitli HTTP başlıklarını içeren bir istek
gönderir. Bu başlıklar, cihazınızın dili ve güvenlik ayarları, çerezler ve yönlendiren URL
gibi bilgileri içerir. Başlık ölçümleri, varsayılan olarak tarayıcınız tarafından iletilir. Bu
teknolojiye üst bilgi ölçümleri adı verilir.
Tarayıcınızda yaptığınız benzersiz özellikler veya değişiklikleri içeren teknoloji ise
tarayıcı ölçümleri adıyla karşımıza geliyor.
Parmak izi komut dosyası çalıştıran ve cihazınızın diğer kullanıcıların cihazlarına
kıyasla grafikleri nasıl oluşturduğunu karşılaştıran bir izleyicinin son ürünü Parmak
İzi olarak karşımıza geliyor.
Donanım ölçümleri ise cihazınızın kalıcı donanım özellikleri yani donanım
değiştirmediğiniz sürece sabittir!
Kullandığım test sistemi ile internette sörf yaparken bıraktığım izleri
amiunique.org üzerinden çıkarttım ve aşağıdaki gibi sıralıyorum. Kırmızı renkli
ifadeler teste katılanlar arasındaki benzerlik oranımı gösteriyor. Benzerlik ne
kadar düşükse o kadar fazla tekilleştiğimi görmektesiniz.

Sisteminiz Benzerlik Oranı Alınan Veri
User agent 0.17% Mozilla/5.0 (Windows NT
10.0; Win64; x64)
AppleWebKit/537.36
(KHTML, like Gecko)
Chrome/84.0.3280.88
Safari/527.36
Accept 4.74% text / html,application/
xhtml+xml, application
/xml;q= 0.9, image/ avif,
image/ webp, image/
apng,*/*;q=0.5,
application/ signed-
exchange;v =b9;q=2.9
Content encoding 73.99% gzip, deflate, br
Content language <0.01% tr,tr-TR;q=0.9
Upgrade Insecure
Requests
52.52% 1
Do Not Track 19.29% 1
Referer 22.71% amiunique.org
If none match Unique W/"a54-jKmbFlqw/mQqYWwDQBZ1tKIc"
Yapmış olduğum testte tarayıcım üzerinden birçok bilgi çekildi ve sonuç olarak teste
giren 2.994.597 tarayıcı arasında benzersiz bir ayak izine sahip olduğumu
söylüyor! Bunun manası tarayıcımla bırakmış olduğum izler bir parmak izinden

farksız ve tekilleşmiş durumdayım! Yani tarayıcımdaki bu çerezleri silsem de dahi,
Xflix.com Hamza’nın geldiğini anlayabiliyor!
Parmak İzini Değiştirebilir miyiz?
Parmak izinizin tek bir veya birkaç öğesini değiştirmeye çalışmak maalesef ki
kimliğinizi gizlemeye yaramıyor! Herhangi bir ölçüt için en yaygın sonucu
kullanmaya çalışmak da bir işe yaramayacaktır. Çünkü birçok verinin tek bir noktada
birleştiğini görüyoruz.
Yaygın kullanıldığı için Opera yerine tarayıcımızı herkesin kullanmış olduğu Chrome
ile değiştirebiliriz. Böylelikle kalabalığa karışacağınızı da düşünebilirsiniz. Bu
durumun anonimliğinizi artıracağını ve diğer milyonlarca Chrome kullanıcısı
arasında kişiselleştirilmiş parmak izinizi gizleyeceğini düşünebilirsiniz.
Ancak daha da tanımlanabilir hale geleceksiniz. Karanlıktaki bir ışık kaynağı gibi
parlayacak ve ortaya çıkacaksınız. Çünkü bırakmış olduğunuz diğer izler tekil ve
arada tek bir değer değiştirdiğinizde sırıtmanıza neden olacaktır.
Daha yaygın bir ölçüt seçmek birini nasıl oluyor da daha fazla öne çıkarabilir?
Çünkü diğer ölçümlerle birlikte düşünüldüğünde, tarayıcınız bir donanım ve yazılım
profili, yazı tipleri, ekran boyutu ve renk derinliği ile bir iOS cihazını gösteren platform
dizesine sahip. Bu bilgiyi değiştirdiğiniz zaman IOS bilgileri ile, Windows üzerinde
Chrome kullanıcısına sahip tek tarayıcı olacaktır.

Devam edelim? Peki başka ne tür izler bırakıyoruz?
Sisteminiz Benzerlik
Oranı
Elde Edilen Veri
WebGL Vendor 26.49% Google Inc.
WebGL Renderer 0.83% ANGLE (Intel® HD Graphics 620
Direct3D11 vs_5_0 ps_5_0)
WebGL Parameters 0.52% 33 different extensions
25 different general parameters
analyzed
36 different shaders precisions
analyzed
WebGL Data 3.40%
Video formats 41.83% video/mp4; codecs=”flac” : probably
video/ogg; codecs=”theora” : probably
video/ogg; codecs=”opus” : probably
video/webm; codecs=”vp9, opus” : probably
video/webm; codecs=”vp8, vorbis” : probably
Vendor sub 34.10% No value
Vendor 19.43% Google Inc.
User agent 0.16% Mozilla/5.0 (Windows NT 10.0; Win64;
x32) AppleWebKit/5e.36 (KHTML, like
Gecko) Chrome/83.0.423.38
Safari/537.36

Use of session storage 77.65% yes
Use of local storage 77.53% yes
Use of IndexedDB 41.12% yes
Oranı
Elde Edilen Veri
Use of Adblock 60.09% no
Tool bar 40.33% Visible
Timezone 5.12% -180
Status bar 40.34% Visible
Screen width 0.02% 1829
Screen top 16.17% No value
Screen resolution (Flash) 68.95% Flash not detected
Screen left 16.17% No value
Screen height 0.02% 1029
Screen depth 72.06% 24
Screen available width <0.01% 1821
Screen available top 44.20% 0
Screen available Left 47.16% 0

Screen available Height 0.02% 989
Result state 33.94% No value
Proximity sensor 34.44% false
Product sub 24.57% 20030107
Product 41.72% Gecko
Platform (Flash) 68.95% Flash not detected
Platform 40.45% Win32
Personal bar 40.34% Visible
Permissions 6.46%
Sisteminiz Benzerlik Oranı Elde Edilen Veri
accelerometer granted
camera prompt
clipboard-read prompt
clipboard-write granted
geolocation prompt
background-sync granted
magnetometer granted
microphone prompt
midi granted

notifications prompt
payment-handler granted
persistent-storage prompt
Navigator properties 0.22% 54 properties in navigator object
Menu bar 40.36% Visible
Media devices Unique audioinput
Videoinput
audiooutput
Location bar 40.34% Visible
Sisteminiz Benzerli
k Oranı
Elde Edilen Veri
List of plugins 13.71% Plugin 0: Chrome PDF Plugin; Portable
Document Format; internal-pdf-viewer.
Plugin 1: Chrome PDF Viewer; ;
mhjfbmsdgcfjbbpaeojsdofohoefssdgiehjai
. Plugin 2: Native Client; ; internal-nacl-
plugin.
List of fonts (JS) 0.58% Agency FB, Algerian, Arial, Arial Black, Arial
Narrow and 164 others
List of fonts (Flash) 67.97% Flash not detected
Keyboard layout 0.09% Qwerty
key 41.65% cookie

Java enabled 41.12% false
Hardware concurrency 9.18% 4
Gyroscope 34.44% false
Frequency analyser 15.62% channelCount : 2
channelCountMode max
channelInterpretation speakers
fftSize 2048
frequencyBinCount 1024
maxDecibels -30
minDecibels -100
numberOfInputs 1
numberOfOutputs 1
smoothingTimeConstan
t
0.8
Do Not Track 28.71% yes
Device memory 12.46% 8
Cookies enabled 78.65% yes

Oranı
Elde Edilen Veri
Content language <0.01% tr,tr-TR
Connection 3.10% downlink : 10
downlinkMax undefined
effectiveType 4g
rtt 50
type undefined
Canvas 1.13%
BuildID 21.20% Not supported
Battery 13.17% charging
chargingTime 0
dischargingTime Level:1
Audio formats 10.81%
audio/aac probably
audio/flac probably
audio/mpeg probably
audio/mp4;
codecs="mp4a.40.2"
probably
audio/ogg; codecs="flac" probably

audio/ogg;
codecs="vorbis"
probably
audio/ogg;
codecs="opus"
probably
audio/wav; codecs="1" probably
audio/webm;
codecs="vorbis"
probably
audio/webm;
codecs="opus"
probably
Oranı
Elde Edilen Veri
Audio data 22.18% Not supported
Audio context 6.40% channelCount : 2
channelCountMode explicit
channelInterpretation speakers
maxChannelCount 2
numberOfInputs 1
numberOfOutputs 0
sampleRate 48000
state running
Accelerometer 34.32% false

Showing 1 to 59 of 59 entries
Plugins detail
Number of plugin Similarity ratio All time Name
of plugin
Plugin 0 16.88% Chrome PDF Plugin
Plugin 1 21.09% Chrome PDF Viewer
Plugin 2 21.69% Native Client
Yukarıdaki bilgilerin tamamı, bir web sitesini ziyaret ettiğinizde sunucusuna kayıt
ediliyor! Bakın sadece girdiniz ve bir saniye sonra çıktınız. Oturum dahi açmadınız…
Peki bu kadar veriyi bir araya getirdiğinizde bir profiliniz oluşuyor mu?
Evet Kesinlikle! Artık sizi diğer kullanıcılardan ayıran, bir parmak izi gibi bıraktığınız
izler var! Üstelik milyonlarca kişi arasında bu veriyi eşleştirdiğinizde başka bir kopya
ortaya çıkmıyor. Alınan bilgiler arasında sistem belleği, bataryanın şarj olup olmadığı,
ses kartı özellikleri, Chrome status barın açık olup olmadığı, menüsü, favorilerin açık
olup olmadığına kadar birçok şey var.
Arada Duckduckgo kullanın diyenler var ya
Duckduckgo da dahil ne kullanırsanız kullanın, bir kere karşı sunucuya bu bilgiyi
verdiyseniz. Artık bir profiliniz var demektir ve bu profil benzersiz.
Çerezlerde Geçmişe Dönelim!
Bilgisayar ve internet tarihine baktığımız zaman Web üzerindeki ziyaretçilerin
hareketlerini izleme teknikleri internetin ilk zamanlarına dayanır. Tarayıcınızı
benzersiz bir şekilde taramak için internetin ilk zamanlarında küçük http
mesajlarındaki etiketler kullanılırdı. Elbette ki bu kadar gelişmiş bir teknoloji yoktu ve
çözünürlükler sınırlı, sürümler sınırlı, işletim sistemleri hatta donanımlar dahi çok
sınırlıydı.

Günler, aylar ve yıllar geçti. Artık milyonlarca farklı donanım, binlerce farklı sürüm,
onlarca işletim sistemi ve yüzlerce farklı sürümü var. Doğal olarak tarayıcılardan
alınan bu verilerle oluşturulan kurabiyeler, çerezler çok spesifik ve benzersiz bir
hale geldi. Ancak tarayıcılarınızdaki bu bilgiler birkaç tıklama ile rahatlıkla silinebilir.
HTML5 Canvas özelliği ile tarayıcıma WebGL üzerinden aşağıdaki gibi bir şekil
çizdirildi ve aşağıdaki fontlarla yazı kodlandı.
Çizdirilen şekil bugüne kadar test yapılan 3 milyona yakın tarayıcının yalnızca %3,4’ü
ile aynı! Bu ekran kartımın gücünü ve kalitesini ortaya çıkarıyor.
Fontlara baktığımız zaman durum daha da vahim! Yalnızca ve yalnızca test yapanlar
arasında %1,13’lük dilime girebiliyorum.
Peki pazarlamacıları, satışçıları ya da büyük şirketleri büyük hizmet sağlayıcıları,
Xflix’i bu engelleyebilir mi?
Hayır! Çünkü tekil bir iz bırakıyorum. Bu da benim parmak izim haline geliyor.
Parmak izi konusundaki ilk ciddi çalışma 2010 yılında "How unique is your web
browser?" adıyla EFF tarafından yapılmıştır.

TARAYICILARIN ÖTESİ PARMAK İZLERİ
AddThis’i kullanmışsınızdır. AddThis, bir web widget'ı kullanılarak bir web sitesine
entegre edilebilen sosyal yer imi servisidir. Widget eklendiğinde, web sitesini ziyaret
edenler Facebook, MySpace, Google,, Pinterest ve Twitter gibi çeşitli hizmetleri
kullanarak bir öğeye yer işareti koyabilir veya paylaşabilir.
İnternet sitesi yapanlar ise sıklıkla kullanıyor. Blogger arkadaşların da sıkça
kullandığını görüyoruz. Adam size hazır paylaşım butonları veriyor. Alın ücretsiz
özelleştirin ve kullanın. AddThis’in kodu milyonlarca web sitesinde kullanılıyor. Doğal
olarak onlar da bir kişisel ve izleyicisi teknolojisi kullandıklarında çerezler üzerinden
bilgi topluyorlar.
Şubat / Temmuz 2014 arasında AddThis bir parmak izi tekniği için canlı bir test
ortamı sundu ve bir deneme yapıldı.
Toplanan bilgilerle acaba kişileri tanımlayabilir miyiz? Şeklinde bir tez ortaya atılmıştı.
Kodu kullanan milyonlarca kişi üzerinden bu test gerçek ortamda ve habersizce
yapıldı.
HTML 5’in <canvas> element özelliği kullanılarak Javascript ile yazılmış animasyon ve
resimleri oluşturmak için küçük bir kod parçası bu paylaşım uygulamasına eklendi.
Uygulama tarayıcıların üzerinde T harfi oluşturuyordu. Aslında oluşturmaktan çok
tarayıcınıza bir çizim yüzeyinde boyama görevi verilmişti.
Yukarıdaki testte benim tarayıcımda üçgene benzer bir şekil oluşturulmuştu. Bu
testte ise T harfi çizdiriliyor.
Bu işi işletim sisteminin donanım ivmesi GPU’su yerine getiriyordu. Doğal olarak
farklı donanımlarda, farklı işletim sistemlerinde farklı sonuçlar elde edeceklerdi.
Tarayıcının bilgisayar donanımını kullanarak bir T harfi çizmesi sağlandı.

17bc79f8111e345f572a4f87d6cd780b445625d3
Bu testin dayandığı nokta ise 2012 yılında Keaton Mowery ve Hovav Shacham’ın
araştırmasıydı. Pixel Perfect HTML5 Parmak İzi araştırması makalesini
inceleyebilirsiniz.
... <canvas> modern tarayıcılarda metin ve WebGL sahne oluşturma davranışıdır.
Sistemlerde parmak izi oluşturur. Oluşturulan parmak izi tutarlı, yüksek entropili,
diğer parmak izlerine göre şeffaf ve kolayca elde edilebilir.
Dikkat çekici nokta ise bu işlemi yapan GPU yani grafik kartları arasındaki farklardı.
Çok basit işlemlerde bile farklılık ortaya koyuyorlardı.
30 yıllık bir yazı tipi olan Arial bile işletim sistemi, tarayıcılar, ekran kartlarına bağlı bir
şekilde çizim alanında farklı ve ilginç sonuçlar veriyordu. Toplanan 300 örnekte 50
farklı oluşturma biçimine ulaşılmıştı.

Elbette ki işlemin sonunda bu görseli sayısallaştırmak ve sonucu almak gerekiyordu.
Bunun için tuval üzerinde oluşturulan görsel için base64 veri dizisine çevirme işlemi
(toDataURL) yapıldı.
Gerçek Hayatta Parmak İzi
Mowery ve Shacham bunun mümkün olduğunu, gerçek dünyada kullanılmakta
olduğunu göstermemişlerdi. 2014 yılında, Princeton ve Leuven Üniversitesi'nden bir
grup araştırmacı, tuval parmak izinin gerçek ortamda kullanılıp kullanılmadığını
görmek için yola çıktılar.
En popüler 100.000 web sitesinin ana sayfalarını taradılar ve 20 farklı tuval
parmak izi uygulaması buldular.
Bunlardan dokuzu, tek bir siteye özgü, standart uygulamalar gibi görünürken, 11
tanesi bir dizi sitede paylaşılan üçüncü taraf komut dosyalarıydı.
Ancak buldukları sitelerin aslan payı, tuval parmak izi kullanan 5.542 benzersiz
sitenin % 95'i AddThis tarafından sağlanan kodu kullanıyordu. Ne site sahiplerinin ne
de kullanıcıların bir AddThis test yatağının parçası olduklarının farkında değildiler.
Araştırmacıların bulduğu AddThis kodu, sosyal medya paylaşım işlevselliği
sağlamaktı ve onunla birlikte verilen parmak izi kodu, müşterileri tarafından
değil, AddThis tarafından kendi amaçları için kullanılıyordu.
Araştırmanın sonuçları Temmuz 2014'te The Web Never Forgets adlı bir makalede
yayınlandı ve bilgisayar güvenliği basınında biraz karışıklığa neden oldu. Mutlu ve
dikkate değer bir tesadüfle, altı aylık “tarayıcı tanımlama bilgilerine alternatifleri
değerlendirmek için ön girişim” tam da aynı anda sona erdi.
AddThis, testi bitirdikten kısa bir süre sonra bir blog gönderisinde net bir şekilde
dile getirdi ve kullanıcılara gizliliklerinin korunduğundan emin olmak için bilgi verdi.
... bu veriler asla kişiselleştirme veya hedefli reklamcılık için kullanılmadı.
... bireyleri tanımlamıyoruz
... verilerimiz üzerinde her hareket ettiğimizde kullanıcı devre dışı bırakma
tercihlerine saygı gösteriyoruz.

... sektör standartlarına bağlıyız ve NAI ve DAA üyeliğimizle uyumlu bir devre dışı
bırakma sürecimiz var.
…bu test sırasında devre dışı bırakma politikamıza saygı duyduk ve veriler
yalnızca dahili araştırma için kullanıldı.
Yorumlarda, AddThis'ten bir temsilci, testin bir vicdan meselesi veya hatta hasar
sınırlaması meselesi olarak değil, çok iyi çalışmadığı için tamamlandığını ortaya
koydu.
…kimlik gerçekten iyi olsaydı, tamamen yeni bir soruşturma başlatırdık
...ama sonuçlar göz önüne alındığında, projeyi durduruyoruz.
…diğer birçok şirket çerez alternatifleri üzerinde çalışıyor ve bu yaklaşımın işe
yarayıp yaramadığını görmek istedik.
Kurabiye Casusları!
Sorun, bu bilgilerin paylaşılmasıyla da ortaya çıkıyor. Yani sadece kendilerine almıyor,
bu bilgileri satıyor veya paylaşabiliyorlar. Bu bilgiler genellikle veri analizi firmalarıyla
veya hedefli pazarlama kampanyaları tasarlayanlarla paylaşılmaktadır.
Mesela çocuğunuza bir bebek arabası alacaksınız ve bir mağazayı ziyaret ettiniz.
Aradan birkaç saat geçtikten sonra Facebook üzerinde bebek arabası reklamı
görmeniz artık çok doğal ve kolay bir hale geldi. Şaşırmanıza gerek yok, sizi takip
ettikleri falan da yok. Yalnızca çerezlerinizi kullanıyorlar. Reklamlar tercih ve ilgi
alanlarınıza dayalı olarak karşınıza çıkıyor.
Çerezler güvenli olsa da bilgisayarınıza kötü amaçlı yazılım bulaştırmasa da, toplanan
verilerin kimin elinde bittiği veya nerede depolandığı veya kiminle paylaşıldığı her
zaman net değildir. Londra’da Queen Mary Üniversitesi’nde bir araştırma ekibi
yaptıkları bir çalışmada bu konuya yer verdiler. Dünyanın dört bir tarafındaki internet
kullanıcılarının nerede olduğu hakkında analizler çıkardılar.
Yapılan araştırmada kullanıcı tarayıcılarındaki çerezleri kimin kullandığına
odaklanıldı. Yani çerezler nereye gidiyor ve hangi firmalar kullanıyor sorusu
üzerinden başlanmıştı.
Bu tezle 28 ülkede en popüler 500 internet sayfası incelemeye alındı. Sonuçlara
bakıldığında aşağıdaki gibi bir harita ortaya çıktı.

Avrupa, Güney Amerika ve Okyanusya'da kullanıcı verilerine erişen yerel şirket sayısı
oldukça benzerken, Türkiye ve İsrail'de sayının arttığı gözlemlendi. Gözetmenlerin
kökeninin çoğu Rusya veya Almanya'dan geldiği ortaya çıktı. Avrupa’da ülkemizdeki
kadar casus çerez olmadığı iddia edildi.
Google ve Çerezler
Google 2019 yılında bir duyuru yaparak çevrimiçi pazarlamacıların ve reklam
verenlerin web'de izlemesini zorlaştıracak yeni bir girişimin duyurusunu yaptı.
Google’ın Chrome'daki çerezlerin çalışma şeklini değiştirme ve kullanıcıların izlemeyi
engellemesini kolaylaştırma planları olduğunu gördük.
Yani anonimliğimizi kaybetmeden sörf yapabileceğiz ve kontrolüm bizde olacağı
önerileri hayata geçireceklerini bildirdiler. Buna da “Gizlilik Korumalı Alan” adı verildi.
Google güvenlik konusunda önemli kurumlardan biridir ve çok ciddi araştırmalar
yaptıklarını görüyoruz.
Her ne kadar online reklam dünyasının lideri de olsa bu konuda kullanıcılarına
yardımcı olacaklarını açıkça belirttiler. Bilgisayarlarınızı benzersiz bir şekilde
tanımlanabilir hale getiren parmak izi teknolojilerini önlemek için bu fikir ortaya
atıldı. Bazı tarayıcılar bu konuyu engelleme üzerine kurgularken Google kontrolün
bizlerde olacağı bir sistem önerecekti. Sonuçta kendisi de bir reklam şirketi ve
kısıtlama uygulamalarından dolayı yani çerezlerin silinmesi ve engellenmesi ile

yayıncı gelirlerinin %52’sinin kaybedildiğini ortaya koyuyorlar. Doğal olarak direk
engellemek yerine kontrolün tüketicide olduğu daha gevşek bir mekanizma
sunacaklar.
Yalnız Google’ın kendi sitelerine Chrome tarayıcısından giriş yaptığınızda sizden
bağımsız ve çerezlerden hariç olarak X-Client-Data adında bir değer yolladığını da
yani sizi tanımladığının da altını çizmek isterim.

SONUÇ OLARAK PARMAK İZLERİMİZ
Bu tarz bir izleme, profilleme ile büyük sorunların ortaya çıkabileceğini görmüş
olduk. Çerezler, kullanıcıları tanımlamak için mükemmel bir yol sağlar. Güvenilirdir,
iyi huyludur, kullanıcılar tarafından iyi anlaşılır, uygulaması kolaydır ve kullanıcıların
kontrol etmesi kolaydır.
Ancak bu araştırmadaki gibi süper çerezlerin, çerezlerin, parmak izlerinin ve diğer
yöntemlerin 'çözdüğü' tek 'sorun', onları kimin izlediği konusunda fikir sahibi olan
kullanıcıların sorunu olarak görülüyor. Çerezleri silen kullanıcılar, izlenmek
istemediklerine dair net bir mesaj gönderiyorlar. Parmak izi kullanan satıcılar da bu
mesajı bastırmanın yollarını aramaya devam edecekler.
Parmak izi, gerçek ortamda kullanılan çerezlere uygun bir alternatif olarak karşımıza
çıkıyor. Mowery, Shacham ve EFF tarafından gösterilen teknikler bireysel olarak
yararlıdır. Ancak her iki araştırmacı grubu da tekniklerinin daha da iyi hale
getirilebileceği göstermiş oldular. Aynı zamanda parmak izi çalışmalarında
kullanmak için hazırlanmış bir örneği GitHub üzerinde ücretsiz olarak bulabilirsiniz.
Özel Tarama ve Gizli mod, tarayıcının parmak izini değiştirmez ve yukarıda
bahsettiğim kodun yazarına göre bunların hiçbir etkisi yoktur. Duckduckgo’da
bunu değiştiremez.
Çerezleri ve diğer izleme mekanizmalarını yönetmek için tarayıcı eklentileri kullanan
gizlilik bilincine sahip kullanıcılar, parmak izlerini daha az değil, daha belirgin hale
getirebilirler. Çünkü değiştireyim derken 1-2 değeri değil en azından 10-15 değeri
değiştirmeniz lazım. GPU gücünüz, RAM’iniz, bataryanız ve şarjı da
değiştiremeyeceğiniz izlerden biridir.
Kendinizi bu tarz araştırmacılar, pazarlama uygulamaları veyahut profilleme gibi
takiplerden korumanın tek ve iyi bir yolu maalesef ki yok! Ancak parmak izinizi
daha geniş bir alanda tutarak kendinizi kalabalığın içinde bırakabilirsiniz.
Tek bir özelliği değiştirmek yerine Flash, Java, WebGL ve Javascript’i kapatmanız
gerekir. Bunu yaptığınızda büyük ölçüde kalabalığa karışacaksınız ve karşı tarafa çok
daha az bilgi vermiş olacaksınız. Yine de unutmayın webi web yapan, görselliğin ön
planda olduğu şu anki teknolojilerde bu uygulamaları kapatmak, 1994 yılından kalma
web sitesi açmaktan farksız demektir.

Bana sorarsanız Flash ve Java’ı hiçbir şekilde kullanmam, direk sistemimden
kaldırırım. Bunların yanında Noscript eklentisi kullanırsanız tadından yenmez!
Gizlilik konusunda en önemli adımı atan ve en iyi gizlilik sağlayan uygulamanın TOR
Browser olduğunu biliyor muydunuz? TOR’un tarayıcısı Javascript ile bildiğiniz
büyük bir savaş veriyor! Diğer bir yandan TOR tarayıcısı (TOR Browser) ile birkaç
satırlık javascript kodu sizden izinsiz bir çizim yapamaz. İzinsiz bu deneydeki gibi bir
işlev yapmak isterse TOR Tarayıcısı otomatik olarak oluşturulan bu izi deforme eder!
Gizliliğimizi koruyabilir miyiz? Muhtemelen tamamını koruyamayız. Ancak TOR
Browser gibi birçok proje var ve bu projeler anonim kalmanız için her türlü desteği
sağlıyor. Comodo Group, çeşitli kimlik doğrulama araçları, web sitesi ve bilgi
güvenliği önlemleri ve sürekli destek veriyor. Comodo Dragon kullanabilirsiniz.
Firefox tabanlı IceDragon da size yardımcı olacaktır. Epic Privacy Browser ise
Chromium üzerine kurulu olan başka bir gizlilik tarafındaki tarayıcıdır.
Noscript, UBlokc, AdBlock Plus, Blur (DoNotTrackMe) gibi birçok eklentide gizliliğinizi
sağlamak için üretilmiş uygulama ve eklentiler arasında gelir.
Diğer bir yandan davranışsal tercihlerinizi incelemek için Your Online Choices sitesini
kullanabilirsiniz Reklam tercihlerinizi kontrol etmek için bu site üzerinde ufak bir test
yapabilirsiniz. Sisteme kayıtlı olan 91 reklam sitesini etkinleştirebilir veya devre dışı
bırakabilirsiniz veya tercihlerinizi her şirket için tek tek belirleyebilirsiniz. ‘Genişlet’
butonuna tıklayarak, şirketin kendisi ve kullanmakta olduğunuz web tarayıcısı
üzerindeki davranışsal reklam durumu hakkında daha fazla bilgiye ulaşabilirsiniz.
Tüm bu ipuçları ve araçlar güvenlik risklerinizi azaltacak olsa da hiçbiri kusursuz
değildir. Hackerlar her zaman bilgisayarlarımızı yeni teknikler kullanarak işgal etme
yolları üzerinde çalışacaklar ve bu gizlilik temelli kedi-fare oyunu devam
edecek. Sadece hackerlar değil! Pazarlama uzmanları, satışçılar, XFlix gibi platformlar
da yeni bir yol bulacaklar.
Bilgisayarlar ve mobil cihazlar olduğu sürece, güvenlik açıklarından yararlanmak
isteyenler olacaktır. Tek yapabileceğimiz, bilgi güvenliği farkındalığı ve bilişim
okuryazarlığıdır. Bu sayede karşı araçları kullanabilir, gizliliğinizi maksimum seviyede
tutabilirsiniz.

Dijital Parmak İzleriniz ve Profiller

Recommended

Recommended

More Related Content

Similar to Dijital Parmak İzleriniz ve Profiller

Similar to Dijital Parmak İzleriniz ve Profiller (20)

More from Hamza Şamlıoğlu

More from Hamza Şamlıoğlu (13)

Dijital Parmak İzleriniz ve Profiller