VPN’ler güvenli liman mı? Yoksa bilgilerinizi paylaşmak için üstüne para verdiğiniz tuzaklar mı? Teknik yönden açıkları, sahibi şirket ve kuruluşların karanlık geçmişlerine bu yazıda bir göz atalım.
Yıllardır internet yasakları, engellenen siteler, erişime kapatılan uygulamalar vb konularla uğraştığımız bir coğrafyada, belki de bilişim konusunda dünyanın çoğu yerinden daha fazla teknik detayı öğrendiğimiz kesin. Bu teknik bilgiler elbette bir mühendis bakış açısındaki kadar sofistike değiller, ama bizi bu engebeli internet erişimi arazisinde ayakta tutmaya yetiyorlar. En sık duyduğumuz terimlerden birisi de VPN (Virtual Private Network).
VPN, özel yapılandırılmış bir sunucu sistemidir ve kısaca bağlantınızı kendi üzerinden geçirerek eriştiğiniz yerden sizin görünür olmanızı maskeler. Yani erişim kurduğunuz site, sizin bağlantı kurduğunuz IP adresi yerine VPN’e ait IP adresini görür. Bu şekilde takip edilebilirliğinizi azaltabilir, ülkenizden erişimi olmayan kaynaklara ulaşabilir veya bulunduğunuz lokasyona henüz sunulmamış streaming hizmetlerinden faydalanabilirsiniz. Genellikle reklamlarında ‘sizi tamamıyla gizli tutacağını’ iddia eden bu hizmetler, acaba lanse edildiği kadar güvenli midir? Şöyle düşünün. Çoğumuz uzun süredir internet kullanıcısıyız, ve ben dahil büyük bir kısmımız da VPN hizmetlerinden faydalanıyoruz. Kimimiz güvenlik, kimimiz gizlilik gerekçeleri ile kullansak da, kullandığımız bu VPN hizmetlerinin samimiyetinden emin olmamızdaki kriter nedir? Veya gerçekten bu VPN hizmetlerine güvenmeli miyiz?
Sonuç olarak VPN servislerinin teorik olarak bize bağlantı sunan internet servis sağlayıcılardan çok da farkı yoktur. İkisi de size bir bağlantı imkanı sunarlar ve bu imkanı sunarken üzerinden geçtiğiniz hatta mutlaka ama mutlaka bir veri izi bıraktığınız gerçektir. Birisi direk yaşadığınız ülkenin kanuni koşullarına göre devlete ihtiyaç duyulduğunda bu bilgileri vermekle yükümlüdür elbette, ama VPN’ler de bu bilgileri sunmak konusunda hayır diyecek lükse sahip değillerdir. Ve size vaat edilen internet güvenliği sadece bir butona tıklayarak çözülecek kadar kolay bir unsur da değildir.
VPN kullanmak, A noktasından B noktasına erişecek olan bağlantınızı bir solucan deliği misali alandan geçirerek, delik öncesi bilgileri gizlerken, delikten itibaren tüm bilgilerinizin anonim bırakıldığı bir hizmet gibi sunulsa da, bu gerçekten fersah fersah uzak bir tanımdır. Eğer derdimiz iki bağlantı arasındaki bilgilerin 3. kişiler tarafından görüntülenmesini engelleme çabamız varsa, ve bağlantı kurduğumuz alan tamamen yasal ortamlarsa hali hazırda bağlantılarımız teorik olarak şifrelidir ve DNS ile pekiştirilebilecek bir durumdadır. HTTPS tam olarak bu konu için vardır, ve basit bir araştırma ile bile dünyada en çok trafik alan 100bin sitenin neredeyse tamamı HTTPS desteklidir.
VPN’lerle ilgili en şüphe uyandıran durum, hizmet sağlayıcıların sizden kendi özel yazılımlarını bilgisayarlarınıza kurmanızı ve üzerine yetmezmiş gibi DNS’lerinizi kendilerine yönlendirmenizi, ve hatta kendi sertifika yetkilerini bilgisayarınıza yüklemesini talep etmeleridir. Bu şekilde koşulsuz bir şekilde tüm bilgilerinizi, mahrem alanlarınızı onlara sunduğunuzdan bihaber kalmanız sizin hatanız değildir elbette. Lakin bu kadar talep de iyi niyetli bir yaklaşım değildir. Zaten VPN servislerinin çoğu da size bu niyetle yaklaşmamaktadır.
Bu niyetlerin ne olduğunu kavramak için biraz derinlemesine gitmek gerekiyor. Teknik detaylara girmeden olduça sade bir şekilde anlatmak gerekirse, bilgisayarınız bir sunucu ile erişime geçtiğinde kaynak ve hedef IP adresleri ile etiketlenmiş paketler gönderir. Bu paketler son hedefe ulaşmak için önce yerel ağınızdan, ardından bir dizi internet sevis sağlayıcısı (ISS) üzerinden geçer. Bu süreçteki trafiğin kayıtlarında IP adresiniz yer almaktadır ancak bu IP adresi (eğer statik bir IP adresi kullanmıyorsanız) bağlantı kurduğunuz adresin bulunduğu mahallede genel bir lokasyonu gösterir, ancak yatak odanızın koordinatlarını barındırmaz. VPN tünelinden geçtiğinizde bilgisayarınızdan çıkan orjinal paket şifrelenir ve başka bir IP başlığına sarılır. Paket hedefe ulaştığnda kaynak IP adresi olarak artık VPN ile değişmiş olan IP adresini görecektir. Ve size derler ki, bu bağlantının VPN öncesi hedefi görüntülenemez. Fakat bu iş öyle değildir.
Yıllar önce sosyal medyada gayet aktif, kendini hacktivist olarak nitelendiren bir kişi tanımıştım. İnternette bulduğu ayağa düşmüş exploitlerle, ergen tavırlı hack forumlarında takılıp, orada bulduğu bazı executable dosyalar ile genelde gayesi olmayan saldırılar yapar ve bununla anonim kimliği üzerinden böbürlenirdi. Bilgisayarında gayet popüler bir VPN hizmetinin yazılımını kullanıyordu. Ta ki, hakkında ağır bir yasal süreç başlatılana kadar.
Mesele şudur. Sadece IP adresi kavramına odaklanmak buzdağının sadece görünen kısmını dikkate almaktır. Bir ağda iletilen paketlere bakarsanız OSI modelinin tüm katmanlarında meta veriler bulunduğunu görürsünüz. Ağ yolundaki gözlemci birimin izlemci tavrına bağlı olarak, bu paketlerin farklı görünürlük seviyeleri vardır. Yüklediğiniz her yazılım, ister işletim sistemi, ister uygulama, ister eklenti olsun potansiyel olarak kötü amaçlı olabilir, ve daha cihazdan paket çıkmadan verilerinizi ve etkinliğinizi gözetleyebilir. Yerel ağ kısmında ise teknoloji şirketlerinin WiFi veya Bluetooth konumlanırma yoluyla IP adresine ihtiyaç duyulmadan konumunuzu belirleyebilmelerini sağlayan Katman 2 adresleme bilgileri bulunur. Herhangi bir tanıdığınızın telefonu, akıllı saati veya wifi erişim noktası gibi coğrafi konumu bilinen bir cihaza göre sinyal gücü üzerinden sizin konumunuz belirlenebilir.
Paketler yerel ağınızdan çıktığı anda bile bağlantınızı sağlayan internet servis sağlayıcısı sadece IP başlığınız üzerinden VPN kullandığınızı bilir. Tıpkı TOR network ile kullandığınız çıkış birimleri gibi, bir izleme listesinde takip edilecek tüm VPN birimlerinin adresleri bulunur. ISS’ler ve VPN şirketleri gerçek paketin meta verilerini görme ayrıcalığına sahiptir ve IP, TCP, ve TLS başlıkları üzerinden cihazınızın parmak izini alabilir. VPN’ler bu bilgileri asla kaydetmediklerini iddia ediyor olabilirler, ama tıpkı ISS’ler gibi onlar da hizmet verdikleri ülkelerin yasal zorunluluklarına tabi olarak bu bilgileri kayıt altında tutmak zorundadırlar. Unutmayın, bitcoin ve alt coin türleri için de aynı safsatalardan bahsediliyordu.
Biraz daha ileri gidelim. VPN vb tünellerden geçen paketler, diğer paketlerden daha küçük olacaktır. Bunun nedeni MTU boyutu veya paketteki maksimum iletilebilir birimin azlığıdır. Bu durumda da paket hedef noktaya iletidiği anda VPN üzerinden geldiği kolaylıkla anlaşılabilir. @ValdikSS rumuzlu kullanıcının GitHub sayfasında (https://github.com/ValdikSS) konuyla ilgili kanıtları kendi gözlerinizle görebileceğiniz kodlar bulunmaktadır. İzleme listeleri ve bu tür parmak izlerinin takibi, bir çok sistemin VPN bağlantılarını işaretlemesine ve engellemesine izin verir. Fakat sizi takip etmenin daha da kolay yolları vardır.
Kullandığınız internet sitelerindeki Google Analytics vb sistemler, çerezler ve sosyal medya eklentilerini söylemeye gerek yok elbette, ve bunların yanısıra Etag, HTML5 yerel depolama, javascript, tek piksel web işaretçileri ile mobil cihazlardan kaynaklı cihaz belirtici tanımlamlar da cabasıdır. Çoğu ‘hacker’ arkadaşın bilmediği durum, tüm bu detayların izleme amaçlı birden fazla IP adresini, hesabı ve cihazı tek bir kullanıcıya bağlayacak kadar iyi profilleme yapma amacına hizmet ettikleridir. Bu yapılan profilleme sonucu oluşan bilgilere devletin erişimi ne kadar sürüyor sanıyorsunuz? Bir şehirden diğer şehire arabanızla giderken, sizi arayanların bulmasını engellemek için sadece plakanızı kapatmak yeterli olmayacağı gibi, sadece VPN kullanarak gizlendiğinizi düşünmek de naiflikten öte bir durumdur. Az önce bahsettiğim ‘hacker’ arkadaşın yasal süreçle karşılaşması da, sadece plakasını gizlediği için otobanda hız yaparken yakalanmaktan kaçamayacağı durumu ile yüzleşmesi gibidir. Ve daha VPN şirketlerinin nasıl karanlık bağlantıları olduğuna değinmedim bile.
‘Bu video ZortVPN sponsorluğunda yayınlanmıştır’ gibi ibareli Youtube videolarında video başına ne kadar ücret ödendiğini düşünün. Bu ücretin yanına, yayıncının promosyon kodu indirimini, ve genel satıştan aldığı primi de ekleyin. Sonra şunu sorun kendinize. Ayda 2–3$ karşılığı hizmet satan bir kuruluş bu reklam bütçesini nasıl oluşturuyor. Gelin size biraz durumu özetleyeyim.
CryptoAG isimli, İsviçre menşeili bir şirketi hiç duydunuz mu? Ya ona bağlantılı şirketleri? 1950’li yıllarda kurulan bu şirketin kurucusu Boris Hagelin. Hagelin, 2. Dünya Savaşı esnasında ABD için taşınabilir şifreleme cihazlarını icat eden kişidir. NSA’de kriptoloji departmanının başında yer alan William Friedman ile yakın arkadaşlıkları ile ABD kriptolojisinin karanlık çağlarını sona erdirecek bir planları vardı ve bunun sonucu kurulan şirket ABD ve Alman istihbaratının Rubicon isimli ortak girişimiyle doğdu. Kripto cihazlarını yüzlerce ülkeye satan şirkette isimlerinin gizli kalması için hamiline yazılı hisseler kullanılan bir dizi paravan şirket kulanıldı. Tüm bu işlemler de KPMG ve DTG gibi firmalar ile Marxer and Partner gibi hukuk büroları üzerinden yapıldı.
Kriptografide kullanılan algoritmaların uygulama alanlarına nüfuz etmek için Intercom Associates gibi paravan şirketleri kullanıp, Siemens ve Motorola gibi üreticiler ile de özel ortaklıklar kurarak faaliyet gösterdiler. Güçlerini özetlemek gerekirse bir süre NSA’nın veri alımının %40’ına yakınını sağlayacak hale gelmişlerdi. CryptoAG aslında sadece bir hedefti, çünkü aslında onların hizmetlerinden faydalanan her kurum veya devlet kuruluşunun üzeinde nüfuz sahibi olmuşladır. Bu nüfuz alanına ülkemizin de dahil olduğu zamanlar olduğunu hatırlatmakta fayda vardır.
Şu ana kada VPN’ler üzerinde anlattığım teknik detayların doğası gereği istihbarat örgütleri için mükemmel bir araç olduğunu görmek zor olmasa gerek. Düşünsenize, gizli saklı iş çevirmek isteyen kartellere, ihtiyaçları olan güvenliği ve gizliliği sağladığını söyleyen bir sistemi kullandırıyorum ve attıkları her adımdan, tüm offshore hesaplarından vs haberdar olabiliyorum. Devlet bazındaki istihbarattan bahsetmiyorum bile. Bir de dalga geçer gibi bu hizmeti kullanmaları için bana para ödemelerini sağlıyorum. İyi niyetli çalışan bir VPN şirketini de hacklemek yerine satın alıyorum, ve ağıma katıyorum. Böylece istihbarat ağım genişliyor. Biraz şahsi fantezim gibi görünmüş olabilir, ama önce şunu bilmeniz lazım. Şu anda 100’den fazla VPN markasının sahibi 23 tane şirket ve bu şirketlerden 6’sı Çin menşeili. Dileyen şu grafikten (https://kumu.io/sobeyharker/vpn-relationships#vpn-company-relationships) tüm detayları görebilir, ve ana şirketlerin bağlantılarını inceleyebilir. Sonra da CryptoAG ile ortak bağlantılı olan şirketleri karşılaştırabilir. O kadar detayı da burada ben anlatmayayım, biraz da siz kendiniz görün vehameti.
Ya VPN inceleme siteleri konusunda ne diyebiliriz? Yere göğe sığdıramadıkları, askeri düzeyde kriptografi gibi saçmalığın daniskası terimler kullanan bu sitelerin manipüle edilmediğini veya sizi manipüle etmediğini gönül rahatlığıyla söyleyebilir misiniz? Snowden vakası sonrası sayılarında patlama göreceğiniz VPN hizmetlerinin bu denli hızlı yayılmaları ve bir anda her yerde gözümüze sokulmaları çok mu masumanedir? Bireysel olarak güvenilir bir liste sayabileceğimiz That One Privacy Guy tarafından hazırlanan listeye bir göz atın derim. Ne kadar güvenilir olabilecekleri hakkında ufak bir fikir sahibi olabilirsiniz. (https://thatoneprivacysite.xyz/)
Şimdi kendinize ‘VPN kullanmalı mıyım?’ veya ‘ne zaman VPN kullanmalıyım?’ sorularını soruyor olabilirsiniz. Ancak önce kendinize şu soruyu sormanız gerekmekte. Tehdit modelinizin ne olduğuna karar vermelisiniz. Siber suçlulara karşı önlem almak mı istiyorsunuz? Teknoloji devi kuruluşlardan bilgilerinizi gizlemek mi istiyorsunuz? Yoksa devletin sizi takip etme olasılığından mı çekiniyorsunuz? Doğru tehdit modelini bilmeden, güvenlik ve paranoya seviyenizi ayarlamanız pek mümkün depildir. Çoğu kullanıcı için aslında standart bir dijital hijyen ve çevrimiçi görünümünüzü temizlemek biraz zahmetli görünebilir ama çok karmaşık değildir.
– Her üyelik için benzersiz eposta ve şifre kullanmak. Email için çeşitli anonimleştirme hizmetleri ve şifre üretici açık kaynak kodlu yazılım ve hizmet bulunmaktadır.
– İki faktörlü kimlik doğrulama tercih etmek.
– Kurtarma sorlularına cevapların her yerde aynı olmaması.
– Üyeliklerde ve özellikle sosyal medya hesaplarındaki ayarları gözden geçirmek ve hesapları sterilize etmek.
– Farklı işlemler için sanal makineler, usb üzerinden çalışan ve iz bırakmayan işletim sistemleri kullanmak. Hatta farklı işlemler için farklı telefonlar kullanmak dahi yeri geldiğinde düşünülebilir.
– QR kodlarını ve bağlantıları analiz etmeden onaylamadan kullanmamak.
– Kullandığınız uygulamaları minimum seviyede tutmak, açık kaynak kodlu (open source) yazılım ve hizmetleri tercih etmek, korsan yazılımdan uzak durmak.
– Ev adresinizi kullanmamak.
– Bilgisayarınızda kendi güvenlik duvarı sisteminizi kurup uygulamak.
– Seyahat vb durumlarda açık wiFi ağlarını tercih etmemek, mümkünse kendi hotspot sisteminizi veya mobil erişiminizi kullanmak.
Bu seçenekler bile VPN kullanımından çok daha ileri seviye bir kişisel güvenlik alanı kurmanızı sağlayacaktır. Ve illa ki VPN ihtiyacınız olduğu senaryolar varsa, bu sitede bağlantısını verdiğim listeyi inceleyin. 2 adet sistem şu an güvenilirdir. İsimlerini vermeyeceğim. Ancak bir tanesinin geçen sene uluslararası istihbarat kurumları tarafından basılması ardından sıfır bilgi vermiş olduğunu ipucu olarak buraya ekleyeyim. Ve daha önemlisi neredeyse aynı meblağa biraz kendiniz uğraşarak kendi VPN sisteminizi kurabileceğinizi de buraya ekleyeyim.