Google ve gizlilik

Google blog’daki yaziya gore Google, kullanicilarindan topladigi arama kelimeleri, IP adresi ve tanimlama bilgisi (Cookie) gibi ozel bilgileri, 18-24 ay sonra daha anonim hale getirecekmis. Bu da kullanicilarin kisisel gizliligi icin yapilan onemli(?) bir adim olarak aktariliyor.
Bir sure sonra gizlilik politikasini guncelleyecek olan Google, kanunlar bu bilgilerin daha uzun sure saklanmasini gerektiriyorsa, daha uzun sure saklanacagi sekilde aciklama yapmis.
Ancak Google Log Retention Policy FAQ dokumaninin da belirttigi gibi loglar tamamen silinmiyor.
Metnin tamamini okudugumuzda, Google’in kullanicilarindan hangi bilgileri topladigini kendi agizlarindan daha net gorebiliriz.
  • Yapilan sorgu
  • IP adresi
  • Tanimlama bilgileri
Daha oncesinde bu bilgilerin, yararli oldugu dusunulene kadar saklandigi iletilmis. Tabi ki bu bilgiler sadece Google servislerinin kalitesini arttirmak icin kullanilmakta(!). (Google Gizlilik Politikasi)

Google ozellestirilmis servislerin kullanilabilmesi ve hizmet kalitesi icin tanimlama bilgisi kullanmayi onermektedir. Google tarafindan her yeni kullaniciya atanan tanimlama bilgilerinin sona erme tarihi 2038’e kadardir.
Bu durumda siradan bir kullanici, 2038’e kadar izlenebilir diyebiliriz.

IP adresleri ve tanimlama bilgileri ister saklansin, ister anonim hale getirilsin veya tamamen silinsin; kullanicilari arama kelimeleri ile iliskilendirmek de mumkun olabilir.
Varsin arama motoru verilerini tamamen silsin. Zaten Google, verdigi diger servislerle; emailler ve kullanimi (sifreli bir ek gondermeyi denediniz mi?), blog kullanimini, neredeyse cogu web sitesi istatistiklerini ve bu sayede kullanicilarin web sitelerinde dolasim bilgilerini, reklam hizmetleriyle(adsense ve adwords) bir cok istatistik, izlediginiz videolar, takviminiz, word/excel dokumanlariniz, bilgisayarinizdaki bazi bilgiler, IM mesajlasmalariniz/dosya gonderimleri, haber gruplarindaki konusmalar, tum web erisiminiz ve sayamadigim, kullandiginiz veya kullanmadiginiz tum Google ve firmalarinin servisleri de ayni sekilde kaydedilmektedir.
Istatistiki, servis kalitesini arttirma amacli, veya siz soyleyin…

Google tekeli ve gizlilik politikasi uzerine elestirileri ve incelemeleri iceren Google Watch sitesini inceleyebilirsiniz.

CVSS – Genel Açık Derecelendirme Sistemi


CVSS Nedir?

Genel Açık Derecelendirme Sistemi (CVSS, Common Vulnerability Scoring System), güvenlik açıklarının önem ve önceliklerinin belirlenmesi açısından risk seviyelerinin belirlenebilmesinde kullanılabilecek açık bir standarttır. Birbirleri ile uyumsuz, farklı seviye belirleme sistemlerinin yerine kullanılması amaçlanmıştır. CERT, Mitre, Cisco, Symantec, Microsoft, Qualys gibi güvenlik organizasyonları ve üreticiler tarafından kullanılmaya başlanan CVSS’in kullanımı, gittikçe daha yaygın hale gelmektedir.

CVSS Risk Seviyeleri
CVSS’in kullanımıyla, son kullanıcıya da bir güvenlik açığının önem ve risk seviyesinin sunulması amaçlanmaktadır. Risk seviyeleri üç ayrı kategori olarak hesaplanmaktadır. Bunlar; Temel Risk Seviyesi (Base Metric Scoring), Geçici Risk Seviyesi (Temporal Metric Scoring) ve Yapısal Risk Seviyesi (Environmental Score Metrics)’dir.

Temel risk seviyesi, güvenlik açığına özgü, zaman içerisinde veya yapıya göre değişmeyen, temel risk seviyesidir. Geçici risk seviyesi, güvenlik açığının zaman içerisinde değişebilecek risk seviyesidir. Yapısal risk seviyesi ise, güvenlik açığının organizasyon/firma yapısına olan etkisidir. Yapısal risk seviyesinin her organizasyon/firma için tekrardan hesaplanması gerekmektedir.

Kimler CVSS’i Nasıl Kullanabilir?
Payment Card Industry(PCI) onaylı güvenlik denetim firmaları, bilgi güvenliği organizasyonları, güvenlik denetimi yapan firmalar ve üreticiler CVSS’i kullanabilir.
İleride CVSS’in daha yaygın kullanılması durumunda, daha çok kişi CVSS risk seviyesini bir önkoşul olarak isteyecektir. Dolayısıyla şimdiden CVSS’in hizmet ve ürünlere entegre edilmesi rekabet açısından da faydalı olabilir.

Son kullanıcılar (organizasyonların bilgi güvenliği ekibi, bilgi işlem kadrosu vb.) CVSS’i Yapısal Risk Seviyesini hesaplamada kullanabilirler. Bunu hesaplayabilmek için gereken temel risk seviyesi ve geçici risk seviyesi üreticiler tarafından verilmektedir.

CVSS Risk Seviyesinin Hesaplanması
CVSS risk seviyeleri, CVSS standards guide dokümanına göre hesaplanabilir.
Bu işlem için CVSS Calculator denilen online arabirimler bulunmaktadır.
Türkçe olarak hazırladığım CVSS Risk Seviyesi Hesaplayıcıya buradan ulaşabilirsiniz.