Tor Bir Öcü Mü?

Gelen yorumlardan sonra bu yazıyı yazmak şart oldu. Tor bir öcü mü, anonimlik nedir bir bakalım.

Anonimlik nedir? Anonimlik, özne setleri (anonimlik seti) içinde kimliğin saptanamaz olma durumuna denir. Bu tanım ilk olarak 2000 yılında Pfitzmann ve Hansen tarafından yapılmış ve Anonim literatürü genelinde kabul edilmiştir. Pfitzmann-Hansen için anonimlik, bir öznenin başka özneler (bir düşman, rakip, saldırgan) tarafından farkedilmeden anonim olarak işlemine devam etmesidir. Anonimliğin bu tanımı, ayrıca, düşmanların (rakiplerin, saldırganların) anonim özneler hakkında bilgi edinmeye çalışması olasılığını da ortaya çıkartmaktadır. Anonimlik düzeyi ölçülebilir. Burada çok teknik detaya girmeyeceğim ama kısaca şunun iyi kavranması gerekli; Anonimlik kişisel tehlike modellerine dayanır. Kimsiniz, kimden gizleniyorsunuz? Neden ve ne tür bir risk alıyorsunuz? Bunun cevabını verecek olan da anonim olmak isteyen öznedir. Her öznenin farklı yöntemleri, aldığı farklı riskler vardır ve kısaca herbiri eşsizdir.

Anonimliğe kısa bir giriş yaptıktan sonra konuya Tor açısından bakalım. Tor, misyon olarak devam etmekte olan ifade özgürlüğü, çevrimiçi gizlilik hakları ve sansür alanlarında,  teknoloji, müdafa, araştırma ve eğitim için küresel bir kaynak olmayı hedeflemektedir. Sizlere belirli bir düzey anonimlik sağlar, çeşitli riskler içerir (mitm, dinleme vs.) ve bunu da olabildiğince güvenli ve gereksiz işlem yükü bindirmeden yapar. Büyük medya organizasyonları tarafından (özellikle yabancı) çok farklı şekillerde, özellikle çocuk pornosu, uyuşturucu, terörizme aracı gibi tanıtılmaktadır. Tor’u duyan kişiler genellikle bunu kullananlardan, konferanslardan, kendi websitesinden öğrenmediği ve genellikle bu medya organizasyonların yaptığı haberler ve yazdığı makalelerden öğrendiği için kafalarda çok farklı bir algı oluşmaktadır. Tor, bu “kötü” şeyler için yapılmış, yasa dışılığı savunan bir araç değildir. Fakat, bilinen şudur; evet birileri Tor’u kullanarak yasa dışı aktivitelerde bulunmaktadır.

Yasa dışı aktivitelere gelelim. Kötü bireyler, kötü bireylerdir. Tor olsun veya olmasın, zaten kötü bir şeyler yapmışlardır, yapıyorlardır veya yapacaklardır. Kaldı ki Tor’un sağlayacağı anonimlikten çok daha fazla seçeneğe sahiptirler. Bunun için büyük miktarlada para harcayabilirler, farklı ülkelerdeki bilgisayarları hackleyerek kötüye kullanabilirler vs. Fakat, parası olmayan, normal bir bireyin anonimlik için, ifade özgürlüğü için, sansürü aşabilmek için çok fazla bir alternatifi yoktur. Teoride suçluların Tor kullandığı söylenebilir, fakat daha fazla ve daha iyi seçeneklere sahiptirler. Tor’un olması veya olmaması onları kötü işler yapmaya devam etmekten alıkoymayacaktır.

Şimdi bir elimizde (Suriye’de Tor ile rejime yakalanmadan ailesi ile iletişim kuran bir kız olayı var.) ifade özgürlüğü kısıtlanmış, baskıcı bir ülkede, sansürden erişilemeyen sitelerde dünyaya sesini duyurmak isteyen bir birey var. Diğer elimizde de bu kötü bireylerden biri var. Soru şu; biz bu ikisini nasıl dengeleyeceğiz? Bu iki duruma nasıl bir değer vereceğiz? Bu durumları nasıl değerlendireceğiz? Baskıcı ülkede yaşayan bireyle, kötü işler yapan bireye nasıl bir değer atayacağız? Bunların hangisinin daha önemli olduğuna nasıl karar vereceğiz? Cevabı kısaca şudur; bu seçimi yapmak kimseye düşmez. Baskıcı ülkede yaşayan kişinin elinden böyle bir seçeneği alırsanız kendini özgürce ifade edemeyecek, özgür bilgiye ulaşamayacak ve hatta öldürülebilecektir. Fakat kötü bireyin elinden Tor alınırsa, kötülük yapabilmek için farklı birçok yönteme başvuracaktır. Kaldı ki, normal bireyler, yani bizlerin Tor dışında çok fazla alternatifi yoktur.

Bununla birlikte, bir analiz için kurulan Exit Relay’e ait Tor trafiğinin %3’ünde “kötü” aktiviteye rastlanmıştır. Medyanın Tor’u nasıl öcü gibi gösterdiğine gelelim. BBC, Tor ve Silkroad ile nasıl uyuşturucu alınacağına dair bir makale yazıyor. İşin enteresan tarafı Tor geliştiricilerinin hiçbiri böyle bir şeyi savunmamasına rağmen makale Tor’un yasa dışı işler için kullanılan bir araç gibi göstermekte. Makalenin yorum kısmında ziyaretçilerden gelen “artık sayenizde öldürülmeden uyuşturucu alacağım” diyen teşekkür mesajları ile bir patlama yaşanıyor. Bu makalenin devamında gelen yeni BBC makalesinde ise uyuşturucu aldıklarını ve çok iyi olduğunu söylüyorlar. Burada amaç Tor’u bir öcü göstermenin ve yapmaya çalıştığını yıkmanın yanında daha fazla tıklama ve daha fazla gelir için makale yazmak da denilebilir.

Yazı ek olarak kısaca Tor kullanıcılarının bilmesi gereken basit bir terminolojiden bahsedeyim:

Web: The World Wide Web. Tarayıcı ile erişilebilen, Internetin parçasıdır.
Deep Web: Bilgisi hiçbir arama motoru tarafından kaydedilmemiştir. Bu bilgi veritabanlarında tutulan veya yapılan istek sonrası oluşturulan sayfaları da kapsamaktadır.
Dark Web: Web’in herkerse açık Internet tarafından kolayca erişilemeyen, erişilmek için özel araçlara ihtiyaç duyulan kısmı. Tor ağı için Hidden Service, I2P ağı için eepsites.
Herkese Açık Internet: Herkesin kullanıma açık olan, devletler ve İSS’ler tarafından filtrelenen ve sansürlenen Internet.
Özel Ağ: Belirli bir amaç için oluşuturulan bilgisayar ağı.

Son olarak sıkça yapılan yanlış önerilerden bahsedeyim. Tor tarayıcısı nasıl geliyorsa, geldiği gibi kalmalı (fingerprint ne kadar önemli kötü yollardan deneyimlemeyin). Eklenti kurmayın, bir örnek isterseniz Adblock. Reklamları engellerken Tor’un gerçek IP’yi sızdırdığı farkedilmiştir ve bu yüzden kurulması tavsiye edilmiyor. Bir diğeri Adobe Flash. Bilgisayarınızda Adobe Flash eklentisi olsa dahi Tor tarayıcısında bunu aktif etmeyin. Son olarak Java. Tor tarayıcıda gördüğünüz üzere NoScript eklentisi mevcut. Eğer güvendiğiniz bir site değilse scriptlere izin vermeyin.

TİB ve Metadata

5651 sayılı Internet düzenlemesinin etkileri ve tepkileri sürerken, Gül’ün hiç şaşırtmayan bir hamleyle onayladığı ve birkaç sorunlu şey var düzeltilecek demesi ile hükümetten yana saf tuttuğunu bir kez daha ispatlamıştı. Cumhurbaşkanı danışmanı Yusuf Müftüoğlu The Wall Street Journal‘a “Türk siyasetinin paranoyak tarzı” makalesi ile ilgili sitem dolu bir e-posta göndermiş. Bu e-postada da özellikle dikkatimi çeken Gül’ün Internet düzenlemesindeki “en tartışmalı maddelerin –global normlar ile en uygunsuz olanların– derhal değiştirileceği yönünde hükümetten güvence aldıktan sonra bu onayı vermiştir” cümlesi oldu. Ayrıca, haberin başlığı da Gül’ün Internet yasasına direndiğini söylemektedir. Peki metnin devamında Gül’ün direndiğine dair bir ibare var mı? Yok ve daha kötüsünü belirtmişler. Adı da metadata!

Öncelikle, metadata nedir değildir? Kısaca, bir veri hakkındaki verilerdir. Bunu detaylandırırsak eğer, belirli bir veri setine ya da kaynak hakkında nasıl, ne zaman ve kim tarafından oluşturulduğu hakkında tanımlayıcı bilgiler içerir. Metadata çoğunlukla Internet içeriğine bir gönderme olsa da fiziksel veya elektroknik içerikler hakkında da olabilir. Ayrıca, bir yazılım veya elle oluşturulabilirler. Biraz daha ayrıntıya girelim, bir metadata saat kaçta, nereden, hangi baz istasyonunu kullanarak kimi aradığınızı, arama yaptığınız telefonun IMEI numarasını, ne kadar süre konuştuğunuzu vb. bilgileri içerir. Bunu Internet açısından düşünecek olursak, örneğin bir e-posta gönderdiniz, e-postalarınıza nereden eriştiğiniz, ne zaman eriştiğiniz, IP adresiniz, e-postada kullandığınız adınız, alıcının adı, zaman dilimi, yazı karakter kodu, sunucu transfer bilgisi gibi detaylı bilgileri içermektedir. İşin komik tarafı şu:

Son olarak, servis sağlayıcıları internet kullanıcılarının yalnızca üst verilerini (metadata) TİB’e verecek ve bu yalnızca mahkeme emri ile yapılabilecek. Önceki şeklinde, daha detaylı bilgilerin mahkeme emri gerektirmeksizin iletilmesi isteniyordu.

Sizin gizliliğinize ait tüm içerikler “mahkeme emri” adı altında bir şekilde TİB’e verilebilecek. Bununla birlikte, metadata çok kapsamlı ve sadece tek taraflı bilgiler içermediği için sizinle birlikte iletişime konu olan karşı tarafa ait bilgiler de verilmiş olacak. Tabi ki bizler Internet kullanmasını bilmeyen ve gizlilik konusunda yeterince bilgi sahibi olmadığımız için bu açıklamayı da “evet, kesinlikle çok haklısınız” çerçevesinde değerlendiriyoruz. Üzülerek söylüyorum ki, açıklama yaptıkça daha çok batıyorlar ve şuna artık eminim, ne dediklerinin veya söylediklerinin ne anlama geldiğinden bile emin değiller.

Metadata ile ilgili meşhur bir örnek de Petraeus skandalıdır. Bu skandal, CIA yöneticisi olan general David Petraeus ile gazeteci ve Amerikan ordusu istihbaratında görevli Paula Broadwell arasındaki evlilik dışı ilişki ve konuya dahil birçok farklı kişiden oluşmaktadır. Kısaca, Paula ve David ortak bir anonim e-posta kullanarak birbirleriyle iletişim kurmaktadırlar. İkisi de e-posta göndermek yerine bu anonim e-postada yazdıklarını kaydedip okumaktalar. Paula, kamuya açık alanlardan Internete girip bu kayıtlı mesajları okur ve nerden, ne zaman okunduğuna ve oluşturulduğuna dair metadata verisi birikir. FBI’ın araştırması sonucunda da metadatalar ile Paula’nın kimliğine erişilir.  Guardian’ın metadata’ya giriş makalesinde metadata ile ne tür bilgilerin toplandığına dair detaylı bir anlatım mevcut. Buradan bazı şeyleri aktaracağım:

Kamera

  • GPS bilgileri
  • Oluşturulma ve düzenleme tarihi
  • Fotoğrafa ait içerik bilgileri
  • Kamera modeli
  • Kamera ayarları (flash, f-stop, shutter hızı vs.)
  • Fotoğraf özellikleri (boyut vs.)

Facebook

  • Ad ve soyad, doğum tarihi, yer, iş, ilgi alanları gibi biyografi bilgileri
  • Kullanıcı adı ve ID
  • Abonelikler
  • Cihaz bilgileri (telefon, bilgisayar vs.)
  • Aktiviteler, beğeniler, etkinlikler
  • Facebook etkinliğine dair zaman, saat ve saat dilimi

Twitter

  • Ad, yer, profil bilgileri ve URL
  • Hesap oluşturulma tarihi
  • Kullanıcı adı ve ID
  • Tweetlerin gönderildiği yer, zaman ve saat dilimi
  • Tweetlerin ve cevapların ID’si
  • Takipçiler, takip edilenler, favoriler
  • Tweetlerin gönderildiği uygulama

Google Arama

  • Arama sorguları
  • Aramada çıkan sonuçlar
  • Arama sonucu erişilen bağlantılar

Tarayıcı

  • Ziyaret edilen sayfalara ait bilgiler ve zamanı
  • Otomatik tamamla ile muhtemel giriş bilgileri ve kullanıcı verileri
  • IP adresi, cihaz ve donanım bilgileri, işletim sistemi ve tarayıcı bilgisi
  • Websitelerinden alınan çerez ve cache verileri

Neyse ki bizler teknolojinden anlamayan insanlarız ve bunların ne anlama geldiğini bilmiyoruz. Teşekkürler TİB, teşekkürler Müftüoğlu, teşekkürler Gül! Sayenizde Internet hiç olmadığı kadar “özel hayatın ve iletişimin gizliliğine” saygılı olmamıştı. Google’dan aratıp anaysayadan bir iki şey “sallamak” isterdim sizlere ama artık yazmaktan tiksiniyorum.

Casus Yazılım Ve Teknoloji Kültürsüzlüğü

Kapalı kapılar ardında sözde kanun tasarı hazırlanıyor ve bu kanunda geçen maddeler direkt anayasaya aykırı düşüyor. Bir de yetmiyor, Türkiye’de yayınlanan teknoloji dergilerinden birinin online yayın yönetmeni çıkıp pratik olarak devlet casus yazılım yerine gitsin İSS’den takip etsin kullanıcıları diyebiliyor.

Geçenlerde “Internetten müzik indirene casus önlemi” diye bir haber çıktı. Haberde:

Bir siteden programlar vasıtasıyla bir müzik parçası veya film indirdiğinizde, buradaki hükümle karşı karşıyasınız. Diyor ki bu hüküm, ‘Hak sahibinden izin alınmaksızın noktadan noktaya ağlar üzerinden eserleri umuma ileten bireysel internet kullanıcılarının IP adresleri, telif birliklerince Telekomünikasyon İletişim Başkanlığı tarafından akredite edilmiş yazılım vasıtasıyla tespit edilir. Burası çok tehlikeli. Bu ne demek biliyor musunuz? Yani kanun koyucu sizin bilgisayarınıza casus yazılım gönderecek. Buna sistem müsaade edecek. Erişim sağlayanlar müsaade etmek zorunda kalacaklar. Siz güvenli şekilde internette sörf yaptığınızı sanırken bu yazılım sayesinde bilgisayarda hangi işlemleri yaptığınız ve hangi hak ihlallerinde bulunduğunuz tespit edilecek. Ardından bu casus yazılım akredite olacak, Telekomünikasyon İletişim Başkanlığı tarafından da bu yazılım onaylanacak.

Bu yasanın arkasında ne tür bir güç olduğunu, alıntıda geçen “telif birlikleri” çok iyi özetlemektedir. Birilerinin “sanatçıyı ve sanatı koruma” adı altında böyle keyfi yaptırımlarına hepimiz alıştık. Ama bu yapılanları normalleştirmek anlamına gelmesin kesinlikle. Akredite edilmiş yazılım ile kastedilen (benim anladığım); kullanıcıları tespit etmek için yazılıma (ya da onu kim kullanacaksa) yetki verildiği ve yazılımın sağlayacağı bilginin resmen tanındığı ve kabul edildiği anlamına geliyor. Şimdi, “casus” bir yazılım var, bu yazılım telif birlikleri ile kanun uygulayıcı tarafından kullanıcının Internetten müzik indirip indirmediğini tespit edip bunun üzerinden yasal işlem uygulayacak. Bu, öncelikle TCK’nın onuncu bölümünde bahsettiği bilişim suçlarından hangisine giriyor, onunla ilgili bir bilgi verilmemiş. 243-246 aralığında maddelere bakıldığında, bilişim sistemine girme, sistemi engelleme, bozma, verileri yok etme veya değiştirme, banka veya kredi kartlarının kötüye kullanılması ve son olarak da tüzel kişiler hakkında güvenlik tedbiri uygulanması adında ana başlıklara sahip.

Bu başlıklar altında tanımlanan hiçbir madde haberde söylenenle ilişkili değil, onu da geçtim casus yazılım” ile böyle bir izleme/cezalandırma yapılması T.C. Anayasası, madde 20‘de belirtilen özel hayatın gizliliği ilkesine tamamen aykırı. Düşünün ki bir anayasanız var, bu anayasada özel hayatın gizliliği ilkesinde böyle kafanıza göre izleme yapamayacağınız, kişinin şahsi olan bilgisayarına “casus” bir yazalımla girip acaba hangi hakkı ihlal etti diye izleyemeyeceğiniz kısa ve net olarak (haberleşme özgürlüğü) belirtilmiş. Haberde geçen ve tasarı halinde olduğu söylenen “Fikir ve Sanat Eserleri Kanunu” var fakat buradan sızan bilgilere bakarsak TCK ve anayasa ile şimdiden çelişmeye ve aykırı düşmeye başladı bile.

Bu haber çıktıktan birkaç gün sonra bu habere Türkiye’de “Teknoloji Kültürü” adıyla yayınlanan Chip dergisinin online yayın yönetmeni Cenk Tarhan ve PCNet yayın yönetmeni Erdal Kaplanseren‘in açıklamaları eklenerek tekrar sunuldu. Kaplanseren yasaya aykırılığını söylemese de en azından insanların izlenebilmesi için bir bahane üretildiğini ve asıl bunları yayınlayan sitelerle uğraşılması gerektiğini söylemiş. Fakat,  Tarhan’ın yaptığı açıklamayı okurken şok geçirdim:

CHIP Online Yayın Yönetmeni Cenk Tarhan, illegal olarak MP3 indirmenin elbette kötü bir şey olduğunu; ancak devletin casus yazılım kullanmak yerine çok daha pratik yollara başvurabileceğini hatırlattı ve şu sözleri kaydetti: Devlet isterse internet servis sağlayıcılarının kayıtlarına bakarak kullanıcıların hangi siteye girdiğini, hangi dosyaları indirdiğini anında görebilir ve illegal bir durum söz konusuysa bu kayıtları delil olarak kullanabilir.

Tarhan’ın bunu hangi kafayla söylediğini (gene iyi niyetli davranıp söyleminin yanlış aktarılmış olabileceğini de ekleyeyim) anladığım söylenemez. Öncelikle, devlet isterse diye bir durum söz konusu değil. Böyle bir keyfiyet yok, yasayla da belirtilmiştir. İkincisi, “devlet kullanıcıların hangi siteye girdiğini ya da hangi dosyaları indirdiğini anında görebilir” demek, devletin gayri hukuki izleme yaptığını ve kendini teknoloji kültürünün parçası olarak gören bir yayın yönetmeninin bunu pratik yol diye söylemesi ise nasıl bir aklın tezahürüdür bilemiyorum. Öncelikle Tarhan’a TCK’nın dokuzuncu bölümü olan “özel hayata ve  hayatın gizli alanına karşı suçlar“‘dan birkaç madde göstereyim:

Madde 134 (1) – Kişilerin özel hayatının gizliliğini ihlâl eden kimse, altı aydan iki yıla kadar hapis veya adlî para cezası ile cezalandırılır. Gizliliğin görüntü veya seslerin kayda alınması suretiyle ihlâl edilmesi hâlinde, cezanın alt sınırı bir yıldan az olamaz.

Madde 135 (1) – Hukuka aykırı olarak kişisel verileri kaydeden kimseye altı aydan üç yıla kadar hapis cezası verilir.

Madde 136 (1)Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, bir yıldan dört yıla kadar hapis cezası ile cezalandırılır.

Basit bir dille, veriler yasal bir merci tarafından istense dahi;

  • Hukuka aykırı yollarla delil toplayamazsın.
  • Hukuka aykırı yollarla topladığın delilleri mahkemede kullanıcının aleyhine sunamazsın.
  • Kullanıcı o suçu işlemiş dahi olsa, hukuka aykırı yollarla topladığın deliller üzerinden kullanıcıyı suçlayamazsın.
  • Bunun üzerine alacağın cezalar da yasada mevcut.

Devam edelim, bir kullanıcının hak ihlalinde bulunduğunu “casus yazılım” haricinde kanun uygulayıcı nasıl anlayabilir? Tahminde bulunacak değil, örneklem oluşturup belirli bir sayıda kullanıcıyı izleyerek de bir sonuca ulaşamaz. Onun yerine tüm trafik akışını “izlemek” ve verileri de bir şekilde “kaydetmek” durumunda. Böyle bir şey teknik olarak mümkün olsa bile tekrar yasaya aykırı (yukarıda da belirttiğim üzere) bir durum söz konusu. Onu da geçtim (felix‘e tekrar tekrar teşekkürler), CMK 134. maddeyi açıp hiç okumuş mudur merak ediyorum. O maddeye bakarak, diyelim ki; hakim kararı çıkartıldı, anayasaya da uygun bir karar (bu tartışılır elbette) ve benim buna benzer bir suç işlediğim üzerinden bilgisayarıma el konuldu. Ben harddisk’im yedeğini istedim, kanuna uygun olarak da harddiskimin yedeği kanun uygulayıcı tarafından alındı ve bana geri verildi. Yani, beni suçladıkları “illegal mp3’leri” bana “buyur al kardeş mp3’lerini” diyerek geri mi verecekler? Ee, hani ben yasalara aykırı bir suç işlemiştim?

Burada söylemek isteyeceğim bir başka şey de bu tarz haberlerin temel amacı oto-kontrolü sağlamaya çalışmaktır. Yani, sizi bir üçüncü göz, casus yazılım, olmadı “pratik olarak” İSS’niz tarafından ne yapıyorsunuz, ne indiriyorsunuz, hangi sitelerde geziyorsunuz takip edebilir, yasa üzerinde çalışıyoruz, “ha çıktı ha çıkacak” diyerek “kapalı kapılar ardında” muktedirlerin kafalarınca anayasaya aykırı yasalar çıkartıyor gözükmesinin ve haberlerinin yapılmasının amacı, içinize korku yerleştirmektir. İçinizdeki bu korku üzerinden de sizler oto-kontrolünüzü sağlayacaksınız. Bir diğer nokta da bireysel-sansürdür. Devlet sizlerin sözüm ona illegal içeriklere ulaşmanızı engellemek yerine bu korku ile hareketlerinizi ve söylemlerinizi kendiniz sansürleyeceksiniz.

Türkiye’deki teknoloji kültürünün sıkıntılı olduğunu açık ve net olarak artık söyleyebilirim. Bundan sonra bu tarz söylemlerde bulunan kişileri de yakından takip edeceğim. Bakalım başka ne yumurtlayacaklar insan merak ediyor doğrusu.

Tor Ve Günümüz Interneti

Tor’un bizlere sağlamaya çalıştığı anonimlik ve günümüz Internet’ine bir bakış açısı ve giriş yazısı olması adına umarım sizlere bir şeyler anlatır, anonimlikle ve anonimliğin de beraberinde getirdiği problemler konusunda bir farkındalık yaratır.

Tor’un ne olduğunu detaylı olarak anlatmayacağım. Merak eden varsa kendi sitesinden detaylı bilgi alabilir. Tor, websitelerden IP’nizi saklayabilir veya ISS’nizden trafiğinizi Phorm gibi kötücül uygulamalara karşı gizleyebilir. Tabi devamlı kullanımda ISS’niz trafiğinizden dolayı -göremediği için- kıllanacaktır. Fakat küresel ölçekte bir izleme, dinleme, takip olduğu zaman, Tor bunun için yetersiz kalacaktır. Ayrıca, bu Tor’un hatası veya eksik olmasından kaynaklanmamaktadır. Şöyle düşünün, anonim olmayan bir Internet üzerinde kendi anonim network’ünüzü (Tor) kullanıyorsunuz. Burada ne kadar çok şey denerseniz deneyin %100 başarılı bir sonuç elde edemezsiniz.

Tor’da eskiye nazaran “relay” oluşturmak ve çalıştırmak giderek kolaylışmış durumda. Aynı hızla bunların “dinlenmesi” de arttı (bu yüzden HTTPS-Everywhere kullanın diyoruz!). Bununla ilgili olarak, Freedom Hosting’e yapılan FBI baskını, ardından Hidden servis’te zararlı javascript bulunması en güncel örnektir. Ayrıca, Tor kullanıcılarının gerçek kimliklerinin de ele geçirilmesi bunlara paralel olarak daha basite indirgenmiş durumda. Şöyle anlatayım; bir Tor kullanıcısı günümüzde, eğer 3 ay boyunca düzenli Tor kullanırsa, örneğin IRC’ye bağlanmak, Internette sörf yapmak gibi, bu relay gönüllüleri tarafından gerçek kimliğinin öğrenilme olasılığı %50, eğer 6 ay düzenli kullanırsa bu olaslılık %80’lere çıkmaktadır. Bu konuyla ilgili olarak yazılmış “Users Get Routed: Traffic Correlation on Tor by Realistic Adversaries” makalesini indirip okumanızı tavsiye ederim.

Tor’un böyle bir sorununu ortadan kaldırmak için “traffic padding“‘i öneren kullanıcılar mevcut. Kısaca traffic padding’i anlatmak gerekirse; bir veri akışındaki paketlerinizi gizlemektir. Günümüzdeki problem basitçe şudur; X paketini gönderirken beraberinde Y paketini alıyorsunuz ve bu işlem devamlı birbiriyle bağlantılı haldedir. Bu veri transferleri her zaman ve gerçek trafiğinizin bir kısmını içeren verilere sahiptir. Traffic padding ise bu noktada devreye girer ve sahte veri yığını göndererek trafiğinizi izleyen 3. şahıslar için X paketi ile Y paketi arasındaki bağlantıyı kolayca anlayamamasını sağlar. Watermarking saldırıları, eğer trafik yapısına gömülmüşse, onun alıcısını eşsiz olarak tanımlar. Daha sonra ise bu alıcı ile orjinal gönderen de eşsiz olarak tanımlanır. Bu saldırının başarılı olabilmesi için de saldırganın potansiyel göndericiler ve alıcılardan oluşan veri akışını monitörlemesi ve sarsıma uğratması gerekir. Okumanız ve detaylı bilgili almanız için “Countering Repacketization Watermarking Attacks on Tor Network” makalesini buradan indirebilirsiniz.

Traffic padding beraberinde çeşitli sıkıntıları da getirir:

  •  Sörf gibi, chat gibi low-latency işlemleri için büyük bir yüktür.
  • Tahmin eldiği gibi çok büyük bir yardımı olmayabilir.

Burada belki i2p modeli işe yarayabilir. i2p’de herkes node’dur. Böylece kendi trafiğinizi sizin bilgiyarınıza gelen ve giden diğer trafik akışı içinde gizleyebilirsiniz. Açıkçası, Tor ve genel olarak bu durum gerçekten zor ve akademik düzeyde bir problemdir. Bir çözüm olarak, günümüz Internet’i yerine Meshnet gibi kendi internetimize ihtiyacımız vardır. Çünkü, şu anki Internet boğulma noktalarından devamlı izlendiği, takip ediliği, kaydedildiği ve kullanıcıları fişlediği için Tor gibi anonim network’lerin %100 başarılı olması zordur. Günümüz Internetinin trafik akışı çoklu sekmelerden ve her adımı kriptolanmış ve anonimleştirilmiş yollardan akmamaktadır.

Sonuca gelirsek, günümüz Internet yapısının ve anlayışının değişmeye ihtiyacı var ve anonimlik, sizin kişisel tehlike modelinize dayanır; kimsiniz ve kimden saklanıyorsunuz, neden ve ne tür bir risk almayı hedefliyorsunuz. Anonimliğiniz ölçülebilir bir şeydir. Kullandığınız herhangi bir uygulama (Tor, i2p v.d.) size hiçbir zaman %100 anonimlik ver-e-mez. Bunların her zaman bilincinde olmanız gerekir.