Tag Archives: google

Unbound

Bugün, Google da Türk Telekom’un hukuki bir dayanak olmadan DNS sunucularını yönlendirdiğini ve Türkiye’deki Internet kullanıcılarının fişlendiğini belirten bir değerlendirme yaptı. İletişim özgürlüğüne ve özel hayatın gizliliğine yapılmış sayısız ihlale bir yenisinin daha eklenmesinin yanında henüz TİB ve Türk Telekom’dan da konuyla ilişkili bir bilgi verilmedi. Türkiye’de Google ve Open DNS sunucuları hukuka aykırı ve hiçbir dayanağı olmadan Türk Telekom’a yönlendiriledursun, bu durumu aşabilmek için çeşitli yöntemler de mevcuttur. Bunlardan biri GNU/Linux altında Unbound kurarak kullanıcı kendini DNS önbellek zehirlemesinden ve sahte yönlendirmelerden koruyabilir. Ayrıca, özellikle DNS sorgusunda araya girilmediği ve yapılan sorguların bu şekilde elde edilmediği takdirde de gayet iyi bir yöntem olacaktır.

Unbound; önbelleğe sahip ve DNSSEC doğrulaması yapan bir DNS çözümleyicisidir. Harici bir DNS sunucusuna ihtiyaç olmadan DNS çözümleme işlemini yerine getirir. İstenildiği takdirde harici DNS sunucusu da kullanılabilir. Bununla birlikte, DNSSEC ise Türkiye örneğindeki gibi kullancıyı ve uygulamayı manipüle edilen DNS verilerinden sahip olduğu dijital imza ile koruyan bir özelliktir. Biz ise örneğimizde DNSSEC doğrulaması yapan ve yerel bir DNS çözümleyici için Unbound kurup ayarlayacağız. İlk olarak, Türkiye’deki OpenDNS, Google DNS ve İSS’lerin kendi DNS sunucularının verdiği çıktıya bakalım:

nslookup twitter.com
Server:    192.168.1.100
Address:   192.168.1.100#53

Non-authoritative answer:
Name       twitter.com
Address:   195.175.254.2

nslookup twitter.com 8.8.8.8
Server:    8.8.8.8
Address:   8.8.8.8#53

Non-authoritative answer:
Name       twitter.com
Address:   195.175.254.2

nslookup twitter.com 208.67.222.222
Server:    208.67.222.222
Address:   208.67.222.222#53

Non-authoritative answer:
Name       twitter.com
Address:   195.175.254.2

Görüldüğü üzere iki DNS sunucusu ile İSS engelli sayfayı sahte bir DNS sunucusuna yönlendirilmekte ve kullanıcı sahte DNS sunucusunda bekletilmektedir. Bu, Google’ın değerlendirmesi ve ayrıca daha önceden de bu konuya ilişkin yazılmış yazılar da doğrulamaktadır.

Şimdi, Debian ve türevi dağıtımlar için Unbound kuruluma geçecek olursak (Windows için buradan indirebilir ve yönergeler için el kitabına bakabilirsiniz. Gayet basitçe anlatılmış.):

kame ~ $ apt-get install unbound unbound-anchor
kame ~ $ sudo cp /etc/unbound/unbound.conf /etc/unbound/unbound.conf.save
kame ~ $ sudo wget -c ftp://FTP.INTERNIC.NET/domain/named.cache -O /etc/unbound/root.hints
kame ~ $ sudo cp /var/lib/unbound/root.key /etc/unbound/root.key
kame ~ $ sudo chown -R unbound:unbound /etc/unbound/root.key

/etc/unbound/unbound.conf:

###
server:
	auto-trust-anchor-file: "root.key"
	interface: 127.0.0.1
	interface: ::1
	root-hints: "root.hints"
	num-threads: 2
	hide-identity: yes
	hide-version: yes
	msg-cache-size: 16m
	msg-cache-slabs: 8
	rrset-cache-size: 32m
	rrset-cache-slabs: 8
	infra-cache-numhosts: 20000
	infra-cache-slabs: 8
	key-cache-slabs: 8
	key-cache-size: 8m
	jostle-timeout: 250
	so-rcvbuf: 4m
	so-sndbuf: 4m
	harden-short-bufsize: yes
	harden-large-queries: yes
	harden-glue: yes
	harden-dnssec-stripped: yes
	harden-below-nxdomain: yes
	prefetch-key: yes
	prefetch: yes
	unwanted-reply-threshold: 10000000
	rrset-roundrobin: yes
	outgoing-range: 8192
	num-queries-per-thread: 4096
	do-udp: yes
	do-ip4: yes
	do-ip6: no
	do-tcp: yes
python:
remote-control:
forward-zone:
###

Kopyalayıp kaydedin. Ağ yöneticinizdeki DNS sunucuları ayarını 127.0.0.1 yapın ve Unbound servisini çalıştırın (systemd ve openrc için iki örnek aşağıda).
kame ~ $ systemctl enable unbound.service
kame ~ $ systemctl start unbound.service

kame ~ $ /etc/init.d/unbound start

Yukarıdaki ayarlar hemen hemen bütün dağıtımlarda çalışacaktır. Herhangi bir sıkıntı yaşayacağınızı düşünmüyorum. DNSSEC kontrolü yapalım:

kame ~ $ dig sigok.verteiltesysteme.net @127.0.0.1

; <<>> DiG 9.9.5 <<>> sigok.verteiltesysteme.net @127.0.0.1
;; global options: +cmd
;; Got answer:
;; HEADER opcode: QUERY, status: NOERROR, id: 5409
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 4

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;sigok.verteiltesysteme.net.	IN	A

;; ANSWER SECTION:
sigok.verteiltesysteme.net. 60	IN	A	134.91.78.139

;; AUTHORITY SECTION:
verteiltesysteme.net.	3600	IN	NS	ns1.verteiltesysteme.net.
verteiltesysteme.net.	3600	IN	NS	ns2.verteiltesysteme.net.

;; ADDITIONAL SECTION:
ns1.verteiltesysteme.net. 3600	IN	A	134.91.78.139
ns2.verteiltesysteme.net. 3600	IN	A	134.91.78.141

;; Query time: 1070 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Tue Apr 01 11:49:29 2014
;; MSG SIZE  rcvd: 167

Bu şekilde A çıktısı alıyorsanız DNSSEC doğrulaması yapılmakta olduğunu söyleyebiliriz. Bununla birlikte, DNSSEC doğrulaması yapabileceğiniz siteler de mevcuttur:

Şimdi, Unbound’un sorunsuz çalıştığını ve DNSSEC doğrulaması yapıldığını farzederek Twitter çıktımızı tekrar kontrol edelim:

nslookup twitter.com 127.0.0.1
Server:         127.0.0.1
Address:        127.0.0.1#53

Non-authoritative answer:
Name:   twitter.com
Address: 199.59.148.82
Name:   twitter.com
Address: 199.59.149.230
Name:   twitter.com
Address: 199.59.149.198

Her şey yolunda gözüküyor. Yerel DNS çözümleyicimiz sayesinde İSS’nin yapmış olduğu yönlendirmeye takılmadan kullanabiliriz. Diğer yandan, adres/IP manipülasyonlarında da sahip olunan dijital imza ile kullanıcı korunabilecektir. Unbound, yerel DNS çözümleyici ve DNSSEC ile doğrulama gerçekleştirerek yaşanabilecek sıkıntıların engelleyebilmektedir. Türkiye’de Internetin gelmiş olduğu noktaya bakacak olursak herhangi bir sosyal medya üzerinde verilen DNS sunucularını kullanmak yerine Unbound iyi ve güvenli bir çözüm gibi durmaktadır. Açıkçası, Türk Telekom ve TİB’in bundan sonra ne tür bir yöntem ile Internet üzerinde kullanıcı takibi, sorgu denetimi yapabileceğini, SSL sertifikalarında mitm yapıp yapmayacağını, sahte sertifika üretip üretmeyeceğini de kestiremediğim için kesin bir şey söyleyemiyorum. Aceleci bir yapım olmadığı için bekleyip görmeyi tercih ediyorum.

YaCy – P2P Arama Motorunuz

Twitter‘ın erişime engellemesi ile ilgili mesajım için buraya tıklayabilirsiniz.

YaCy, p2p mantığı üzerine kurulu ücretsiz, açık kaynak, özgür bir arama motoru yazılımdır. Genel olarak Java dili ile yazılmıştır ve platform bağımsızdır. Yani, illa GNU/Linux kullanmanıza gerek yoktur. P2P ağlarda olduğu gibi YaCy’de de birçok istemci vardır. Her YaCy-istemcisi birbirlerinden bağımsız olarak bir Internet sayfasını tarayabilir, analiz edebilir, sonuçları YaCY-istemcilerinin erişebilmesi için ortak bir indeks veritabanında tutup paylaşabilir. Tüm YaCy-istemcileri eşittir ve arama portallarında (Google, Bing, Yandex vs) merkezi bir sunucusu yoktur. Kısaca, YaCy için merkezsizleştirilmiş arama motoru da denilmektedir.

Merkezsizleştirilmiş arama motoru nedir?

merkezsizleştirme

Özel mülkiyet bir arama motoru düşünün. Bir merkezi ve yönetici(leri) mevcuttur. Bu arama motorunun sizin kontrolünüz dışında olan özel sunucularının bir merkezi vardır, sizin aramalarınızla ilgili bilgi toplar, sonuçları çeşitli gerekçelerle (telif vs.) sansürleyebilir, sizin arama sorgularınız ve eriştiğiniz sonuçlarla ilgili profil oluşturup bunu reklam için kullanabilir veya satabilir. YaCy’de ise bu durum tamamen farklıdır. Öncelikle, böyle bir merkeze bağlı değilsiniz. Kendi arama motorunuzun hem yöneticisi hem de kullanıcısısınız. Diğer yandan arama portallarındaki gibi içeriğiniz sansürlenmez, yöneticiler tarafından gözetlenmez ve herhangi bir reklam yoktur. Kendi içeriğinizi oluşturabilir, istediğiniz siteleri indeksleyebilir ve 600’den fazla istemcinin düzenli olarak katkı yaptığı 1.4 milyardan fazla dökümana sorunsuz, herhangi bir engele ve kısıtlamaya takılmadan erişebilirsiniz.

Kurulum ve ilk çalıştırma

İlk önce sistemimize Java kurmalıyız. Ardından YaCy’i kurabilir ve çalıştırabiliriz. Windows kullanıcıları buradan MacOS kullanıcıları da buradan indirip kurabilirler. Paket yöneticiniz ve dağıtımınız ne olduğunu bilmediğim için Debian türevi dağıtımlara uygun bir Java kurulumu gösterdim. Diğer kurulum ve çalıştırma dağıtım bağımsızdır.

kame - $ apt-get install openjdk-7-jre
kame ~ $ wget -c http://yacy.net/release/yacy_v1.68_20140209_9000.tar.gz
kame ~ $ tar xzv yacy_v1.68_20140209_9000.tar.gz && mv yacy ~/.yacy
kame ~ $ cd ~/.yacy && sh startYACY.sh

Temel ayarlar

Tarayıcınızdan localhost:8090‘a girdiğinizde YacY’nin durum (status) ana sayfasını göreceksiniz. Şimdi ilk olarak yanındaki Basic Configuration‘a tıklayarak bizi ilgilendiren birkaç ayarı yapalım. 1. seçenek dil seçeneği. Buradan size uygun olan bir dili seçebilirsiniz. 2. seçenek kullanım amacı. Üç seçenek mevcut. İlki, topluluk tabanlı arama. YaCy-istemcileri üzerinden arama yaparsınız. İkincisi, YaCy’i diğer YaCy-istemcilerinden bağımsız olarak yapılandırır, kendi indekslediğiniz ve robotlarla taradığınız siteler üzerinde arama yapılacak şekilde yapılandırabilirsiniz. Üçüncüsü, kendi ağınız ve siteniz için bir arama moturu oluşturabilirsiniz. 3. seçenek kullanıcı adınız. Herhangi bir şey yazabilirsiniz. 4. seçenek ise diğer YaCy istemcilerinin de erişebilmesi için port ayarı. Çok şart değil, port erişilebilir olursa hem performans açısından hem de diğer istemcilere indeks katkısı açısından biraz daha iyi olacaktır. Ayarlarınız tamamsa Set Configuration diyerek kaydedebilirsiniz. iptables’da port açmak isterseniz:

kame ~ $ iptables -I INPUT -p tcp --dport 8090 --syn -j ACCEPT
kame ~ $ iptables -I INPUT -p udp --dport 8090 -j ACCEPT

Bir arama gerçekleştirelim

yacy_arama

Görüldüğü üzere çok kapsamlı bir sonuç (daha devam ediyordu fakat ben yarıda kestim) elde edemedik. Bunun temel nedeni çok taze bir konuyu aratmak istememdi, ayrıca daha çok robotlarla taramaya ve indekslemeye ihtiyacı olduğundandır. Diğer bir deyişle, YaCy’nin birçok istemciye ihtiyacı vardır. Fakat, bu arama YaCy’nin yetersiz olduğu fikri oluşturmasın. Şu ana kadar beni pek üzdüğünü söyleyemem. Sorgularıma verdiği yanıtlar hep yeterliydi.

Arama motoruma herkes erişebilir mi?

Evet. Herkes erişebilir. Bu ister YaCy istemcisi olsun, ister Internette arama moturunuzun açık 2014-03-21-170646_1920x1080_scrotadresini bilen olsun veya diğer arama portallarının örümcekleri olsun erişebilirler. Status sayfasında, sağ köşede bir kutu göreceksiniz. Address kısmına baktığınızda sunucu (host), açık adres (public adress) ve YaCy adreslerinizi (yacy address) görebilirsiniz. Açık adresinize herkes (örümcekler dahil ve adresinizi dağıttığınız sürece) erişebilir. Bu yüzden Account ayarlarında Acces only with qualified account seçeneği ile bir yönetici (admin) şifresi belirleyebilirsiniz. Local robots.txt bölümünden de örümceklerin neye erişemeyeceklerini de ayarlayabilirsiniz.

2014-03-21-170630_1920x1080_scrotBen de indeks yapmak istiyorum

Sol menüde Index Production alt menüsünü göreceksiniz. Crawler/Harvester‘a tıkladığınızda açılan sayfa üzerinden indekslemek istediğiniz sayfanın linkini girerek bu işlemi gerçekleştirebilirsiniz.

Son sözler

YaCy çok detaylı ve kapsamlı bir arama motorudur. Burada çok temel birkaç şeyden bahsettim. Genel anlamda dört temel özelliği vardır. Tarama (crawl), indeksleme, arama ve yönetici arayüzü ve veritabanı. Merkezi bir sunucusu yoktur, sansür, reklam, gözetim gibi durumlardan arındırılmıştır. Yüksek derecede gizlilik sağlar. Çeşitli sıkıntılara sahip olsa da kesinlikle desteklenmelidir. Son olarak, YaCy ne kadar çok istemci sahibi olursa o kadar çok etkin, güvenli, sansürsüz, reklamsız bir arama motoru olacaktır.

TİB ve Metadata

5651 sayılı Internet düzenlemesinin etkileri ve tepkileri sürerken, Gül’ün hiç şaşırtmayan bir hamleyle onayladığı ve birkaç sorunlu şey var düzeltilecek demesi ile hükümetten yana saf tuttuğunu bir kez daha ispatlamıştı. Cumhurbaşkanı danışmanı Yusuf Müftüoğlu The Wall Street Journal‘a “Türk siyasetinin paranoyak tarzı” makalesi ile ilgili sitem dolu bir e-posta göndermiş. Bu e-postada da özellikle dikkatimi çeken Gül’ün Internet düzenlemesindeki “en tartışmalı maddelerin –global normlar ile en uygunsuz olanların– derhal değiştirileceği yönünde hükümetten güvence aldıktan sonra bu onayı vermiştir” cümlesi oldu. Ayrıca, haberin başlığı da Gül’ün Internet yasasına direndiğini söylemektedir. Peki metnin devamında Gül’ün direndiğine dair bir ibare var mı? Yok ve daha kötüsünü belirtmişler. Adı da metadata!

Öncelikle, metadata nedir değildir? Kısaca, bir veri hakkındaki verilerdir. Bunu detaylandırırsak eğer, belirli bir veri setine ya da kaynak hakkında nasıl, ne zaman ve kim tarafından oluşturulduğu hakkında tanımlayıcı bilgiler içerir. Metadata çoğunlukla Internet içeriğine bir gönderme olsa da fiziksel veya elektroknik içerikler hakkında da olabilir. Ayrıca, bir yazılım veya elle oluşturulabilirler. Biraz daha ayrıntıya girelim, bir metadata saat kaçta, nereden, hangi baz istasyonunu kullanarak kimi aradığınızı, arama yaptığınız telefonun IMEI numarasını, ne kadar süre konuştuğunuzu vb. bilgileri içerir. Bunu Internet açısından düşünecek olursak, örneğin bir e-posta gönderdiniz, e-postalarınıza nereden eriştiğiniz, ne zaman eriştiğiniz, IP adresiniz, e-postada kullandığınız adınız, alıcının adı, zaman dilimi, yazı karakter kodu, sunucu transfer bilgisi gibi detaylı bilgileri içermektedir. İşin komik tarafı şu:

Son olarak, servis sağlayıcıları internet kullanıcılarının yalnızca üst verilerini (metadata) TİB’e verecek ve bu yalnızca mahkeme emri ile yapılabilecek. Önceki şeklinde, daha detaylı bilgilerin mahkeme emri gerektirmeksizin iletilmesi isteniyordu.

Sizin gizliliğinize ait tüm içerikler “mahkeme emri” adı altında bir şekilde TİB’e verilebilecek. Bununla birlikte, metadata çok kapsamlı ve sadece tek taraflı bilgiler içermediği için sizinle birlikte iletişime konu olan karşı tarafa ait bilgiler de verilmiş olacak. Tabi ki bizler Internet kullanmasını bilmeyen ve gizlilik konusunda yeterince bilgi sahibi olmadığımız için bu açıklamayı da “evet, kesinlikle çok haklısınız” çerçevesinde değerlendiriyoruz. Üzülerek söylüyorum ki, açıklama yaptıkça daha çok batıyorlar ve şuna artık eminim, ne dediklerinin veya söylediklerinin ne anlama geldiğinden bile emin değiller.

Metadata ile ilgili meşhur bir örnek de Petraeus skandalıdır. Bu skandal, CIA yöneticisi olan general David Petraeus ile gazeteci ve Amerikan ordusu istihbaratında görevli Paula Broadwell arasındaki evlilik dışı ilişki ve konuya dahil birçok farklı kişiden oluşmaktadır. Kısaca, Paula ve David ortak bir anonim e-posta kullanarak birbirleriyle iletişim kurmaktadırlar. İkisi de e-posta göndermek yerine bu anonim e-postada yazdıklarını kaydedip okumaktalar. Paula, kamuya açık alanlardan Internete girip bu kayıtlı mesajları okur ve nerden, ne zaman okunduğuna ve oluşturulduğuna dair metadata verisi birikir. FBI’ın araştırması sonucunda da metadatalar ile Paula’nın kimliğine erişilir.  Guardian’ın metadata’ya giriş makalesinde metadata ile ne tür bilgilerin toplandığına dair detaylı bir anlatım mevcut. Buradan bazı şeyleri aktaracağım:

Kamera

  • GPS bilgileri
  • Oluşturulma ve düzenleme tarihi
  • Fotoğrafa ait içerik bilgileri
  • Kamera modeli
  • Kamera ayarları (flash, f-stop, shutter hızı vs.)
  • Fotoğraf özellikleri (boyut vs.)

Facebook

  • Ad ve soyad, doğum tarihi, yer, iş, ilgi alanları gibi biyografi bilgileri
  • Kullanıcı adı ve ID
  • Abonelikler
  • Cihaz bilgileri (telefon, bilgisayar vs.)
  • Aktiviteler, beğeniler, etkinlikler
  • Facebook etkinliğine dair zaman, saat ve saat dilimi

Twitter

  • Ad, yer, profil bilgileri ve URL
  • Hesap oluşturulma tarihi
  • Kullanıcı adı ve ID
  • Tweetlerin gönderildiği yer, zaman ve saat dilimi
  • Tweetlerin ve cevapların ID’si
  • Takipçiler, takip edilenler, favoriler
  • Tweetlerin gönderildiği uygulama

Google Arama

  • Arama sorguları
  • Aramada çıkan sonuçlar
  • Arama sonucu erişilen bağlantılar

Tarayıcı

  • Ziyaret edilen sayfalara ait bilgiler ve zamanı
  • Otomatik tamamla ile muhtemel giriş bilgileri ve kullanıcı verileri
  • IP adresi, cihaz ve donanım bilgileri, işletim sistemi ve tarayıcı bilgisi
  • Websitelerinden alınan çerez ve cache verileri

Neyse ki bizler teknolojinden anlamayan insanlarız ve bunların ne anlama geldiğini bilmiyoruz. Teşekkürler TİB, teşekkürler Müftüoğlu, teşekkürler Gül! Sayenizde Internet hiç olmadığı kadar “özel hayatın ve iletişimin gizliliğine” saygılı olmamıştı. Google’dan aratıp anaysayadan bir iki şey “sallamak” isterdim sizlere ama artık yazmaktan tiksiniyorum.

Interneti Kapatmaya Doğru Giderken

Kendine gazeteci diyen 4 kişi; Rasim Ozan Kütahyalı, Mehmet Barlas, Mahmut Övür ve Erdal Şafak, atv’de canlı yayında Tayyip Erdoğan‘la bir araya gelip gündeme dair soruları sordular ve sorulara yanıt aradılar. Konuşma beklediği gibi döndü dolaştı Internete düşen ses kayıtlarına geldi ve Erdoğan:

30 Mart’tan sonra atacağımız başka adımlar var. Bu konuda kararlılığımız var. Biz bu milleti Youtube’a, Facebook’a, bilmem şuraya buraya yediremeyiz. Atılması gereken adım neyse biz bu adımı en kesin hatlarla atacağız. Kapatılması dahil.

diyerek ilerleyen süreçte gelecek website engellerinin de haberini vermiş oldu. Interneti “sınırsız bir şey, engeli yok” diyerek kendi denetimi altında tutmayı istemesi zaten şaşırtıcı bir şey değildi. Daha önce de bu konuyla ilgili olarak bir şeyler demişti diye hatırlıyorum.

Bununla birlikte, son günlerde yaşanan SSL sertifika hataları, Google’a ve birçok siteye erişimde sıkıntılar, Internet’in aşırı yavaş oluşu ben ve birçok kişide de bir şeyler üzerine çalıştıkları izlenimini uyandırdı. Yeni Internet düzenlemesi ile getirdikleri URL tabanlı engellemenin altyapısını muhtemel tüm İSS’ler için kullanılabilir olmasını sağlamaktaydılar veya muhtemel Erişim Sağlayıcıları Birliği’nin altyapısı için çalışmalar yapıyorlardı. Her şekilde bizler için hayırlı bir şeylerin olmadığı ortadır. Bugünkü açıklamadan sonra da denedikleri sistem her ne ise başarılı bir sonuç alamadılar ve çok kullanılan ve paylaşımların döndüğü, haberlerin çok hızlı yayıldığı, Erdoğan’ın da zikrettiği bu websitelerin kapatılmasına –dolaylı da olsa– karar verdiler.

URL tabanlı engellemenin olduğu gün traceroute Youtube için olması gereken sonucu vermişti. Google’da yaşanan SSL hataları ve erişim sıkıntılarının yaşandığı zaman baktığımda ise tarayıcıdan Google’a erişilse bile traceroute çıktısında zaman aşımlarının olduğu ve ICMP paketinin Google sunucularına ulaşamadığını farkettim. Bu şu anlama geliyor; traceroute’da paketler Google’a ulaşıp geri dönemiyor; belki de erişiyor fakat dönüş yolunda çeşitli sorunlarla karşılaşıyor. Bu sorunlar; bir güvenlik duvarı veya çeşitli güvenlik önlemleri tarafından bilinçi olarak bloklama olabilir, hop’larda ICMP kapalı olabilir, bloklama traceroute’u etkileyebilir fakat sunucu bağlantıları bundan etkilenmeyebilir.

traceroute to google.com (64.15.117.245), 30 hops max, 60 byte packets
 1  192.168.2.1 (192.168.2.1)  2.590 ms  4.451 ms  5.076 ms
 2  93.155.2.5 (93.155.2.5)  12.404 ms  13.838 ms  15.903 ms
 3  81.212.106.141.static.turktelekom.com.tr (81.212.106.141)  17.969 ms  19.386 ms  20.518 ms
 4  pendik-t2-1-pendik-t3-1.turktelekom.com.tr.221.212.81.in-addr.arpa (81.212.221.61)  22.794 ms  23.862 ms  25.339 ms
 5  * * *
 6  212.156.41.202.static.turktelekom.com.tr (212.156.41.202)  50.162 ms  28.137 ms  27.943 ms
 7  * * *
 8  * * *
 9  * * *
 10 * * *

Kısaca bu çıktıyı yorumlarsak (30. hop’a kadar böyle, çıktı uzun diye 10’da bıraktım.):

  • Son erişilebilir sistem 6. hop’tur.
  • Sorun 7. hop’ta olabilir ya da 6. ve 7. hop arasındaki bağlantıda olabilir.
  • Bu sorun belki dönüş yolunda da olabilir. 6. ve 7. hop’lardaki istemcilerin farklı dönüş yolları olmasından kaynaklanıyor da olabilir.
  • 7. hop’un dönüş yolunda bir sorun olduğu halde 6. hop’un dönüş yolunda herhangi bir sorun olmayabilir.
  • Sorun bu sistemden kaynaklanabilir veya bu tamamen farklı bir sistem olabilir.
  • İşin kötü tarafı bu sorun İSS’den kaynaklanan bir sorun da olabilir.

Bu analizin daha tutarlı olabilmesi için de birçok farklı noktadan buna benzer analizler yapılmalıdır. Bugün tekrar traceroute ve tcptraceroute yaptığımda paketlerin Google sunucularına ulaştığını gördüm. Bu, sanırım analizi desteklemesi açısından önemli bir nokta olsa gerek. Ek olarak, TCP/IP konusunda yeterli bilgiye sahip olmadığım için daha iyi analizler yapılırsa eğer lütfen bana ulaşın yazıya ekleyeyim. Bununla birlikte, İSS’den kaynaklanan bir sorun olabilir demiştim. Dikkat ettiyseniz İSS’den sonra paketler kayboluyor. Ayrıca, bu sorundan ziyade gözetim ve erişim engelleri için bir donanımın kullandığı anlamına gelebilir. İSS’nin tek başına yazılımsal olarak böyle bir trafik yükünü çekmesi pek muhtemel gözükmediği için donanım üzerinde çalışan yazılımlar böyle “sorunlar“‘a da neden olabilirler.

Öte yandan, bugün Lütfü Elvan’ın bir açıklaması oldu. Önemli noktaları buraya alıntılıyorum:

Sayın Başbakanımızın ifade ettiği husus şu: dünyanın hiçbir ülkesinde görülmeyen alçakça saldırılar var. Dünyanın hangi ülkesine gitseniz, bu ülkenin başbakanına, bakanlarına, ailesine, küfürler hakaretler, ağza alınmayacak ifadeler olmaz. Maalesef bunların hepsi internet ortamında yer alıyor. Dünyanın hiçbir ülkesinde bu tür uygulamaya müsaade edilmez… Böyle bir şey yok. Dünyanın hangi ülkesine giderseniz gidin, bu tür hususlarla karşı karşıya kalmak mümkün değil. Eğer böyle bir şey olsa, anında bunun engellenmesi yapılır. Düşünün Başbakan’a, Cumhurbaşkanı’na küfür edilecek, olmadık hakaretler yapılacak, yasa dışı bir takım görüntüler alınıp ve bunlar servis edilecek, bunları da biz içimize sindireceğiz. Böyle bir şey mümkün değil. Böyle bir şey olamaz…

Konunun tekrar dönüp dolaşıp ahlaki değerler üzerinden dayatılmaya çalışılan bir sansüre geldiğini gösteriyor. Elvan, dikkati çekecek çok önemli şeyler söylemiş, özellikle de anında bunun engellemesi yapılır kısmı ilerleyen sürecin bir habercisi gibidir. Ayrıca, Abdullah Gül; “Facebook ve Youtube gibi platformların kapatılması söz konusu olamazdedi. Fakat, o ne derse ben tam tersini düşüneceğim için bu açıklamasını da günü kurtarmak amaçlı olarak yorumluyorum. Erdoğan’ın bu çıkışı, üzerine söylenenler, aslında pek de tartışma yaratmadı. Diğer yandan, böyle bir algı yaratılmaya çalışıyor. Buna gündem değiştirme, hedef saptırma, oyalama ne derseniz diyin. 1 yıl daha iktidardalar. Yerel seçimleri kaybetmeleri bu açıdan çok bir anlam ifade etmiyor. Hatta bence yerel seçimleri kaybedersek yargılanırız veya bir şeyler değişebilir algısı da iğrenç geliyor. Son olarak, bu websitelerin kapatılması seçimlerde bir hilenin döneceği ve bunun da sosyal medya üzerinde en az şekilde duyurulması veya konuşulmasını istedikleri için 30 Mart tarihi özel olarak seçildi izlenimi uyandırmıyor da değil.

URL Tabanlı Engelleme

Çalmayı iyi bildikleri gibi sansür ve gözetimi de iyi biliyorlar.

Dün gece Tayyip Erdoğan ile oğlu Bilal Erdoğan arasında geçen telefon konuşmalarına ait ses kaydı Youtube üzerinden yayımlandı. Ses kaydı gerçek mi değil mi diyorsanız veya bu konuyla ilgili bir bilgi almak isterseniz Kıvaç Kitapçı’nın yazdığı “Tayyip Erdogan – Bilal Erdogan Telefon Gorusmesi Analizi” adlı makaleyi okuyabilirsiniz. Dün geceye tekrar dönecek olursak, kayıt yayımlandıktan bir süre sonra erişime engellendi. Fakat her zaman alışık olduğumuz yöntemlerin aksine sayfaya “http” üzerinden eriştiğinizde tarayıcınızdan sanki öyle bir sayfa yokmuş, bağlantınız resetlenmiş gibi hata aldınız. Tahmin edildiği üzere bu URL tabanlı bir engelleme idi. Bu engelleme nasıl yapıldı ve engelin kaynağı neresidir üzerine küçük bir analizi kısaca fakat –olabildiğince– anlaşılır bir dille nasıl yapıldığını açıklayayım:

  • Öncelikle, tcpdump çalıştırıldı ve trafiğe konu olan veri paketlerine monitörleme yapılıp herhangi bir şüpheli durum var mı, varsa neden kaynaklanıyor bu belirlenmeye çalışıldı.
  • dig ile www.youtube.com adresinin DNS kayıtlarına bakıldı.
  • traceroute ile www.youtube.com adresine hangi sunucu veya yönlendiriciler üzerinden gidiliğine bakıldı.
  • Tarayıcıdan ilk olarak URL tabanlı engellenen Youtube sayfasına girildi.
  • Ardından da açık olan –yani engellenmemiş– bir Youtube sayfasına girildi.

Açık olan Youtube videosuna erişim sonucu:

00:20:17.299332 IP (tos 0x0, ttl 48, id 63155, offset 0, flags [none], proto TCP
(6), length 60)
    fa-in-f93.1e100.net.http > 192.168.2.25.48657: Flags [S.], cksum 0xd7b8
(correct), seq 1852958477, ack 1827879094, win 42540, options [mss
1430,sackOK,TS val 1082331416 ecr 67618,nop,wscale 6], length 0

URL tabanlı engellenen Youtube videosuna erişim sonucu:

00:20:17.325219 IP (tos 0x0, ttl 30, id 0, offset 0, flags [DF], proto TCP (6),
length 62)
fa-in-f93.1e100.net.http > 192.168.2.25.48657: Flags [R.], cksum 0x3cf3
(correct), seq 1:23, ack 375, win 229, length 22 [RST
x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00]

Bu iki Youtube sayfasına ait tcpdump çıktısının en temel noktası, URL tabalı engellenen sayfanın TTL (yaşam süresi) değeri açık sayfaya göre gelen değerden farklı. Bu fark şunu ifade ediyor;  URL tabanlı engelleme yapılabilmesi için İSS’lerde IPS gibi bir sistemin olması gerekli. Bu sistem ağı monitörleme, istenmeyen aktiviteleri tespit etme, bu aktiviteleri loglama, engelleme veya durdurma ve raporlama işlerini yapmaktadır. URL tabalı engellemenin çalışma sistemi de aynen monitörleme, loglama, engelleme ve erişimleri raporlama üzerinedir. Engelli sayfa çıktısında görüldüğü üzere İSS araya girerek TTL değerini değiştiriyor. Açık sayfada ise İSS tarafından bir müdahalede bulunulmadığı için TTL değeri normal düzeyde, yani gelmesi gereken düzeyde geliyor. Diğer yandan (çıktı olarak vermedim) traceroute sonucuna bakıldığında sorgu Google’a gidiyor. ICMP paketinin zaman aşımına uğradığı IP adresi 209.85.251.24, yani Google ağı içinden. Herhangi bir sorun yok gibi duruyor. Peki tüm bunlardan ne anlamalıyız?

İSS, bir IPS kullanmakta ve IPS de bu mevcut URL tabanlı engellemeyi gerçekleştirmektedir. Bunu da RST (reset) paketi ile istemciye “bu iletişimi kes” mesajı vererek yapmaktadır. O gördüğünüz “sayfa bulunamadı” hatasını da bu yüzden almaktasınız. Ayrıca, RST paketi sunucu tarafından gönderilmemekte ve IPS bunu “istemci engelli bir sayfaya erişmekte, ben de bunu durdurayım” şeklinde görmektedir. Anlaşılan çalmayı öğrendikleri kadar sansür ve gözetimde de bilgi sahibi olmuşlar gibi duruyor. Fakat, bu sonuç sansürün ana kaynağını malesef söyleyemiyor. Bakalım, ilerleyen süreçte yapılan engellere de analiz yapmaya devam edip sansürün ana kaynağına ulaşabilecek miyiz zaman gösterecek. Bakarsınız, bu sürede belki sansürleyecek bir hükümet de kalmaz. Kim bilir.

Son olarak, bu yazı da montaj. TTL lobisi yazdı.

Veriyi Unutmak Ve Unutulma Hakkı

Türkiye’de ciddi sıkıntılar doğuran, verilerin elden ele dolaştığı, veritabanlarının yüksek fiyatlara satılıp size ait kişisel verilerin ve gizlilik hakkınızın hiçe sayıldığı bir ortam mevcut. Durup dururken gelen bir telefonla “Merhabalar … bey, ben …, sizlere bir ürünümüzü tanıtmak istiyorum…” şeklinde yapılan tacizkar pazarlamaların bitmek tükenmek bilmediği şu zamanda, verinin unutulması ve unutulma hakkı üzerine bolca eleştiriye açık fikirlerimi belirtmek istedim.

Kafanızda önce bir örnek canlandıralım. Sarhoşsunuz, canınız sıkkın veya çok mutlusunuz, bilgisayarın başında sosyal medya profillerinizin birinde (Facebook, G+ vs.) kendinize ait bir fotoğraf ya da bir yazı vs. paylaştınız. Bu fotoğraf (veya yazı) sizinle ilgili ileride başınıza iş açabilecek, her zaman karşınıza çıkabilecek bir şey taşıyor. Örneğin yarı (veya tamemen) çıplaksınız, (birine veya birilerine) nefret (veya aşk) dolu (küfür şart değil) bir yazı yazdınız. Sabah uyandığınızda bir de baktınız ki gönderdiğiniz fotoğraf 10 arkadaşınızın da duvarında, bir sürü yorum almış, üstüne arkadaşlarınızın duvarından başka yerlere aktarılmış, Internet Wayback Machine tarafından Internet tarihin tozlu sayfalarına eklenmiş ve arama motorlarında adınız ve soyadınız aratıldığında direkt karşınıza çıkmış. Hemen kullandığınız sosyal medya sitesiyle iletişime geçtiniz, fotoğrafı duvarınızdan sildiğinizi ve sunuculardan da silinmesini istediğinizi söylediniz. Kabul edildi veya edilmedi (fakat yasa varsa buna bir şekilde zorlayacaktır), bir de baktınız arkadaşlarınızın duvarlarında fotoğraf durmaya devam ediyor, aramalarda karşınıza çıkıyor, ya şimdi ne olacak?

Bir Internet sitesi bu durumda kimin duygularını esas almalı? Duvardan duvara aktarılan o fotoğraf artık kimin? Siz üzgünsünüz diye bir Internet sitesi başkalarına da müdahale etmeli mi? Bununla ilgili söylenen temel şeylerden birisi; “eğer bir salaklık yapıp açık bir alan adı üzerinde, gruplarda, forumlarda vs. böyle bir paylaşımda bulunmuş veya kendinizle ilgili tüm özel şeyleri anlatmışsanız, ileride bunlardan dolayı başınıza bir şey gelmesi durumunda şaşırmamalısınız“. Bir diğer nokta da Jeffrey Rosen‘in “Internet yapısına, Google, Facebook ve Yahoo gibi sitelere zarar vereceği ve en önemlisi de Internet’te konuşma özgürlüğünün bundan olumsuz etkileneceği” görüşü. Bunlar haklı bir cevap, fakat bir kişinin yaptığı bir salaklıktan dolayı bir verinin saatli bomba gibi, kontrolü dışında ve ulaşamayacağı bir bulut üzerinde durmaya devam etmesi de doğru değildir. Bu işin bir orta yolu olmalı. Peki bu orta yol nasıl olacak? Benim şahsi görüşüm, unutulma hakkı açık ve net olarak ne çok aşırı detaylı ne de çok basit bir şekilde tanımlanmalı, konuşma özgürlüğü, bilgi alma özgürlüğü, ifade özgürlüğü ve Internet özgürlüğü gibi temel hak ve özgürlüklere zarar verici olmamalı. Kanun uygulayıcının veya Internet sitelerinin (bu tartışılabilir. çünkü bir Internet sitesi jüri görevi de görmeli mi yoksa sadece teknik hizmet mi vermeli?) bu yasaya baktıklarında herhangi bir olay için uygulanabilir veya reddedilebilir olmasına karar verebilmeli. Bu şunu sağlar:

  • Konuşma özgürlüğü, bilgi alma özgürlüğü, ifade özgürlüğü ve Internet özgürlüğü gibi temel hak ve özgürlüklerin bundan olumsuz etkilenmesinin önüne geçecektir.
  • Yasanın açık, anlaşılır ve uygulanır olması yasayı eğip bükmek isteyen, bunu kendi çıkarları için kullanmak isteyen muktedirlerin önüne geçecektir.
  • Sosyal medyanın, Internet sitelerinin ve Internet yapısının bundan en az zararla etkilenmeleri sağlanmış olacaktır.
  • Her “ben bir salaklık yaptım bunu silin” diyenin isteğiyle kafasına göre verinin silinmesi engellenmiş olacak (yukarıda bahsettiğim temel hak ve özgürlükler doğrultusunda).

Bir sosyal medya sitesine (ya da herhangi bir siteye) üye oldunuz, bir şeyler paylaştınız, daha sonra aldığınız hizmetten vazgeçmek istediniz ve hesabınızı silmeye karar verdiniz. Hesabınıza ait veriler ne olacak? Bu veriler üçüncü şahıslara kişinin izni alınmadan satılıyor mu ya da  satıldı mı? Nasıl oluyor da hiç tanımadığınız birileri sizi arayıp bir ürün satmaya çalışıyor? Veya nasıl oluyor da hesabını sildiğiniz bir Internet sitesi sizlere düzenli olarak e-posta göndermeye devam ediyor? Tacizkar pazarlama demiştim kısaca bir anlatayım. Bir bara gidiyorsunuz ve biri kabul edene kadar önünüze gelene evlenme teklif ediyorsunuz. Kimse kabul etmezse de suçu kendinizde bulmuyor o barı size önerene kızıyorsunuz. Sizleri arayıp ürün satmaya çalışan insanlar da ürünü satana kadar birilerini aramaya ya da hesabını sildiğiniz Internet sitesi sizi geri kazanana kadar bilgilendirme, gelişme, haber vs. adı altında e-posta göndermeye devam ediyor. Kısa bir tanımdan sonra verinin unutulması ile ilgili olarak benim şahsi görüşüm, eğer bir kullanıcı hesabını silmişse, o hesap silinmiştir. Bitti! Bir banka hesabının, bir sosyal medya hesabının, bir cep telefonu operatörü hesabının ya da bir e-posta hesabının silinmesi arasında bana göre fark yok. Şirketler, belirli bir süreliğine (mesela 6 ay, en fazla 1 sene, daha fazlasına karşıyım!) verileri saklayabilirler ama bunu sadece ve sadece şirket içi performans ölçümü ve yeni teknolojilerin geliştirilmesi için “anonim” olarak kullanabilirler. Ayrıca, bu verilerin kesinlikle ve kesinlikle belirli bir süre sonra silinecek diyerek 3. şahıslarla paylaşılması veya satılması (ben buna da karşıyım ama söylemekte yarar var; eğer kullanıcı aksini belirtmemişse ve izinli pazarlama için onayı varsa verebilirler) söz konusu dahi olamaz. Bu konuda gelecek en temel itirazlardan bazıları şunlar; “eğer biz hesap silindikten sonra o hesaba ait tüm verileri (mesela banka için hesap numarası) de silersek ilerde o hesap numarası boşta kalacağı için başkasına verilebilir, (internet için) kullanıcı adı (ya da banka için hesap numarası) başkası tarafından alınıp kötüye kullanılabilir (inceleme yapılırsa eski kullanıcı bundan dolaylı olarak etkilenebilir) ve kullanıcı tekrar geri dönmek isterse bu onu olumsuz (kullanıcı adım alınmış, hesap numaram başkasının vs.) etkileyebilir…“. Eğer böyle sıkıntıların doğabileceğinden bahsedilebiliyorsa konuyla ilgili en temel çözüm; hesap silinmişse ve kullanıcı, verinin unutulma süresi içinde dönmemişse hesap numarasını, kullanıcı adını vs. tamamen bloklansın ve bir daha kullanılamasın. Bu kadar basit. “O zaman bir sürü ölü hesap, kullanıcı adı vs olur.” safsatasını geçelim. Çünkü ciddiye almayacağım.

Son olarak Almanya’dan bir örnek verelim. İki kişi birlikte ünlü birini öldürüyor ve mahkemeye çıkartılıp yargılandıktan sonra suçlu bulunup hapse gönderiliyor. Ceza süreleri tamamlanıp hapisten çıktıktan sonra Wikipedia‘da öldürdükleri ünlü kişinin sayfasına girdiklerinde “tarafından öldürüldü” şeklinde kendi isimlerini de görüyorlar. Wikipedia’yı “Biz hapiste cezamızı çektik, topluma olan borcumuzu ödedik ve bu kazanın unutulmasını istiyoruz.” diyerek isimlerinin kaldırılması için dava ediyorlar. Peki, Tarih, unutulma hakkı için bu iki kişiyi silebilir mi? Geçmişe bu nedenle müdahale edilmeli mi? Orwell’den gelsin; “geçmişi kontrol eden geleceği kontrol eder.” Tüm bunlar bir hikaye değil, yaşanmış ve yaşanmakta olan durumlar.

Sonuçta, unutulma hakkı çok detaylı ve detaylandıkça da zorlaşan bir yapıya sahip. Bunun üzerine ne kadar çok çalışma yapılırsa bizim için o kadar iyi olacak, o kadar çok farklı fikir üretilecek ve değerlendirilecek ve bu çalışmalar herkes için yararlı olacaktır.

DNS Leak Tehlikesi

Kullandığımız anonim ağlara ya da VPN tünellerine aldanıp anonim olduğumuzu zannederken, aslında tüm Internet aktivitelerimizin İSS tarafından rahatça izlenip kaydedilebilmesi, bir DNS sızıntısı ile o kadar kolay ki.

  • DNS Sızıntısı (Leak) Nedir?

what-is-a-dns-leak
Anonim bir ağ ya da VPN servisi kullandığınız zaman, bilgisayarınızdan geçen tüm trafiğin bu anonim ağ ya da  servis üzerinden güvenli bir şekilde gönderildiği varsayılır. Tor veya VPN kullanmanızdaki temel neden, trafiğinizi İSS’nizden ve diğer üçüncü kişilerden gizlemek, anonimliğinizi arttırmaktır. Fakat bazı durumlar vardır ki, siz güvenli bir VPN bağlantısı kurduğunuzu düşünseniz bile, İSS’niz Internet trafiğinizi izleyebilir ve çevrimiçi aktivitelerinizi monitörleyebilir. Yani, bir nedenle sorgularınız VPN bağlantınız ya da anonim ağ yerine İSS’nizin DNS sunucularına da yönleniyorsa, burada bir DNS sızıntısı (leak) var demektir. Şema üzerinden anlatırsak; bir VPN tüneline sahipsiniz ve EFF için bir sorguda bulundunuz. Normal olarak sorgunuz tünelden VPN servisine, VPN servisinin DNS sunucusu ve oradan da EFF’ye ulaşmalı. Fakat, sorgunuza İSS’niz DNS sunucusu da cevap vermektedir. Bu da şu anlama gelmektedir; İSS’niz İnternet aktivitilerinizi bir bir kaydetmekte, sizleri rahatça izlemektedir.

Anonimliği tehdit eden en büyük tehlikelerden biri DNS sızıntısıdır. Çünkü, anonim bir ağa bağlı olsanız bile (mesela Tor), işletim sisteminiz anonim servis tarafından atanan anonim DNS sunucuları yerine kendi varsayılan sunucularını kullanmaya devam etmektedir. Bu da kullanıcılara sahte gizlilik hissi vermekte ve sonuçları üzücü olmaktadır.

Etkilenenler;
VPN sunucuları
Socks proxyleri (Tor gibi)

Etkilenmeyenler;
CGI Proxyleri
SSH tünel ile HTTP proxyleri

  • Transparan DNS Proxyleri

transparent-dns-proxy

Günümüzde bazı İSS’lerin Transparan DNS Proxysi adında bir teknoloji kullandığı bilinmektedir. Bu şu işe yarıyor; siz eğer bir DNS sorgusu yaparsanız, İSS bunu sadece kendi DNS’leri üzerinden (TCP/UDP port 53) yapılmaya zorluyor. Bir örnek vererek anlatalım. Siz DNS sunucusu olarak OpenDNS‘i kullanmaktasınız ve EFF için bir sorgu yapacaksınız. Transparan DNS Proxysisi sizin isteğiniz OpenDNS sunucularına ulaşmadan araya girip akışı keserek İSS’nin kendi DNS sunucusuna yönlendirmekte ve OpenDNS sunucusu yerine İSS DNS sunucusu cevap vermektedir. Siz tabi bu noktada “Ben VPN kullanıyorum, güvendeyim.” veya “Tor kullanıyorum, güvendeyim.” diyebilirsiniz. Fakat, sonuçlar sizin beklediğiniz yönde gerçekleşmemektedir (şemalar DNS leak test’ten alıntıdır).

  • Tehlikenin Boyutlarına Dair

Bir tehlike modeli üzerinde (Modeller çoğaltılabilir. Mesela ücretsiz anonim socks proxyler üzerinden modeller oluşturulabilir, denemesi size kalmış.) sizlere DNS sızıntısı göstereyim. Modelimiz şu; Amerika lokasyonlı bir VPN servisi kullanıldığınızı düşünün. Ayrıca tarayıcınız da Tor üzerinden internete (exit-node da Amerika’da) girdiği farzedilmekte. Fakat, dinamik ip kullanmaktasınız ve özel bir DNS ayarına sahip değilsiniz;

2013-10-20-002934_1920x1080_scrot

Tor veya VPN servisinizin DNS sunucularını görmeniz (görmezseniz daha iyi) doğal olarak beklenendir. Sizin tek görmek istemeyeceğiniz şey ise, trafiğinizi ondan gizlediğinizi sandığınız İSS’niz olacaktır. Fakat, sonuca bakarsak;

2013-10-20-014138_1920x1080_scrot

Tam bir facia! En üstte VPN servisinizi görüyorsunuz. Daha da kötüsü, siz Tor kullanmanıza ve VPN tüneli oluşturmanıza rağmen, ve tüm bunların üzerine kendinizi tamamen güvende (tamamen olmasa da bir nebze) hissederken, farkında olmadığınız bir DNS sızıntısına sahipsiniz. Diğer enteresan nokta, Firefox, socks proxy (Tor) yerine işletim sisteminin bağlı olduğu ağ (İSS) üzerinden DNS sorgusu gerçekleştirip, Tor’u tamamen atlamış. Tabi burada benim aklımı daha çok kurcayalayan şey, TTNet’in ya da Türkiye’de hizmet veren herhangi bir İSS’nin transparan dns proxysine ya da proxlerine sahip olup olmadığı. Gerçi, TTNet pişkin pişkin Phorm kullanmaya devam edip ve DPI ile paket analizlerine dalmış olduğu için bunu sormak (gene de şunda veya bunda vardır diyemiyorum) abesle iştigaldir.

  • DNS Sızıntı Testi

Böyle bir durumla karşıya karşıya olup olmadığınızı anlamak için;

– DNS Leak Test: https://www.dnsleaktest.com
– IP Leak: http://ipleak.net/

  • İSS’nin DNS Gaspı (Ekleme: 19.11.2013)

Buradaki işlemleri terminalden gerçekleştireceğiz. Önce, varolmayan bir domain adresine ping atalım;

kame $ % ping yokboylebirdomain.ltd
PING yokboylebirdomain.tld (195.175.39.75): 56 data bytes
64 bytes from 195.175.39.75: icmp_seq=0 ttl=236 time=336 ms
64 bytes from 195.175.39.75: icmp_seq=1 ttl=236 time=292 ms
64 bytes from 195.175.39.75: icmp_seq=2 ttl=236 time=274 ms

İşte aradığımız! Var olmayan bir domain’e 195.175.39.75 IP’si üzerinden yanıt geliyor. Yani İSS’niz (örnekte gerçek) sahte bir adres üzerinden sorgularınıza yanıt veriyor.

kame $ % nslookup yokboylebirdomain.tld
Server: 192.168.2.1
Address: 192.168.2.1#53

Non-authoritative answer:
Name: yokboylebirdomain.tld
Address: 195.175.39.75
Name: yokboylebirdomain.tld
Address: 195.175.39.71

Sahte IP’yi sonunda yakaladık; 195.175.39.71!

  • Ne Yapmalı?

Öncelikle, testi yaptığınızı ve kötü sonuçla karşılaştığınızı varsayarak; bir, statik ip ayarını yapmayı öğrenin. Internette bununla ilgili girilmiş tonlarca yazı, alınmış ekran görüntüsü ve nasıl yapacağınızı anlatan videolar bulunmakta. Bir aramanıza bakar. Hangi işletim sistemini kullanırsanız kullanın, bunu yapın.

İki, iyi bir DNS servisi bulun. Benim bu konudaki önerim aşağıda. Eğer, sizin farklı görüşleriniz varsa, ben sadece Google DNS’i kullanmamanızı tavsiye ederim. Onun yerine OpenDNS‘i gönül rahatlığıyla (dediğime pişman olmam umarım) kullanın, kullandırın.

Üç, Firefox’unuzu aşağıda anlattığım şekilde ayarlayabilirsiniz. Ayrıca, kötü bir VPN servisi kullanmayın, para veriyorsanız da paranızı ziyan etmeyin.

Dört, eğer Windows kullanıyorsanız, öncelikle Toredo‘yu Windows cmd üzerinden kapatın (netsh interface teredo set state disabled). İyi bir firewall kurabilirsiniz. Son olarak, DNS Leak Test’in şu önerilerini uygulayın.

Beş, GNU/Linux’ta alternatif olarak Polipo kurup kullanabilirsiniz.

Altı, Dnscrypt kurup kullanabilirsiniz (Platform bağımsız!).

  • Hangi DNS Servisi?

Ben OpenNIC Project‘in DNS sunucularını kullanmaktayım. Beni kullanmaya iten en önemli ayrıntısı, ücretsiz, sunucuların kayıtlarını bir süre sonra (saatte bir, 24 saatte bir ya da hiç tutmayarak) silmesi (anonimleştirmesi), birçok ülkeden, istediğiniz DNS sunucusunu kullanmanıza olanak vermesi. Şimdilik, sicili gayet temiz ve sunucuları da performans olarak üzmeyecek düzeyde.

  • Firefox Ayarı

Firefox’ta bu dertten kolayca kurtulmak isterseniz eğer, adres çubuğuna about:config yazarak Firefox’un ayarlarını açabilirsiniz. Açtıktan sonra;

network.proxy.socks_remote_dns bulun ve onu true yapın. Böyleyece Firefox bağlı olduğu ağ üzerinden değil socks proxy üzerinden (ayarladıysanız Tor) DNS sorgusu yapacaktır. Eğer kullandığınız uygulamalar DNS ön yüklemesi yapıyorsa, ayarlarında DNSPrefech var mı yok bu bir bakın. Firefox için network.dns.disablePrefetch bulun ve true yapın.

  • Sonuç

DNS sızıntısı basit ve küçümsenecek bir durum değildir. Bunu iyice anlamak lazım. Bir diğer nokta da, “ben Tor’la yasaklı siteye girebiliyorsam nasıl isteğim İSS’me gitsin?” sorusu. Burada bir hataya düşüyorsunuz; Tor’la siteye girmek farklı bir şeydir, siteye girmek için gönderdiğiniz isteğin aynı anda İSS’nize de gitmesi (İSS üzerinden girmeseniz dahi) farklı bir şeydir. Sizin kaçınmanız gereken, konunun da özü, isteğin İSS’nin DNS  sunucularına da gitmesi. “Onu kullanmayı bilen zaten şunu da ayarlar.” yanlış bir bakış açısıdır. Ayarladığını zannedersiniz, güncellersiniz ayarlarınız sıfırlanır, değişir, “VPN kullanıyorum ya, n’olcak.” dersiniz, böyle bir olasılıktan haberdar değilsinizdir ya da iyi bir tehlike modeliniz yoktur, zor duruma düşersiniz.

Anonimlik sizin tehlike modelinize dayanır ve anonimlik düzeyiniz ölçülebilir (bunu her yazımda tekrarlayacağım). Bunun bilincinde olun!