Netclean ve URL Tabanlı Engelleme

5 saniye içinde içeriği silmek mi? Bir dakika, ben mi her şeyi yanlış anladım?

İlk olarak Wikileaks’in bugün paylaşmış olduğu tweetlere bakalım:

Netclean kendi yaptığı tanıma göre; daha güvenli toplumlar için dijital ortamları tarayan, analiz eden ve içerikleri engelleyen yazılımlar sunan bir firmadır. Bununla birlikte, temel amacı çocuk pornosuna karşı mücadele etmektir. Ayrıca, yazılımları dünya çapında devletler, çok uluslu şirketler, İSS’ler ve kanun uygulayıcılar tarafından tercih edilmekte ve kullanılmaktadır. Çok yakın bir tarihte (30 Mayıs 2014) Türkiye’nin İsveç’ten Netclean firmasına ait WhiteBox ürününü 40 milyon Euro vererek alacağına dair haberler paylaşıldı. Bununla ilgili olarak Sabah gazetesinden bir kısa alıntı yapalım:

Özel hayatın gizliliğini koruyarak kişisel hakların ihlal edilmemesini isteyen hükümet, Twitter üzerinden yapılan yasa dışı paylaşımlara çözüm bulmak için kolları sıvadı. Twitter üzerinden paylaşılan yasadışı fotoğraf, görüntü ve bilgileri hemen silmek için Türkiye yazılım alıyor.

17 Aralık 2013 yolsuzluk operasyonu ile hükûmetin yaşadığı şok ve istihbaratın yetersizliği, Internet’in paylaşım ve insanlara ulaşım konusundaki büyük esnekliği ve bunu engelleyebilmek için de yetersiz bir altyapı Türkiye’yi yeni yazılımlar arayışına itmiş gözükmektedir. Bunun arkasında ise her zamanki gibi özel hayatın gizliliği ve kişisel hakların ihlal edilmemesi gereği yatmaktadır. Diğer taraftan, gizlilik hakkına bu kadar duyarlı olan hükûmetin 5651 sayılı kanunu hangi amaçla uygulamaya koyduğu ise çelişkinin bir boyutudur.

Yapılan araştırmalar sonunda Twitter’daki istenmeyen ve hakkında mahkeme kararı bulunan içerikleri engellemenin yolunun bulunduğu savunuluyor.

İstenmeyen içerikler ve hakkında mahkeme kararı bulunan içerikler diyerek ikiye ayırmak bir art niyet olarak görülmemelidir. Hükûmet, istemediği içeriği kaldırabilmek için 5651 ile altyapı hazırlamış fakat, kontrol edemediği alanlardaki istenmeyen içeriği de URL tabanlı engelleme ile baş etmek istiyordu. Erişim Sağlayıcıları Birliği ile bir çatı altında toplanacak olan İSS’ler, URL tabanlı engelleme için kurmaları gereken altyapıların yüksek maliyetli olması ve son yaşanan Netclean gelişmesi ile tek bir noktadan URL tabanlı engelleme gerçekleştirileceğine işaret etmektedir. Bu da daha önce de bahsettiğim üzere trafiğin tek bir noktada (Erişim Sağlayıcıları Birliği) toplanıp aynı noktada engellerin yapılacağı anlamına gelmektedir. Haberin son kısmında ise:

40 milyon euroluk yazılım sayesinde Twitter’da paylaşılan çocuk pornosu gibi illegal linkler anında temizleniyor. Temizleme işlemi ise yazılıma girilen anahtar kelimelerle gerçekleşiyor. Yazılımın birçok kişinin mağduriyetini gidermesi bekleniyor.

Dünya çapında izleme ve gözetimin 5 gözü olduğu söylenmektedir. Bunlar; Amerika, İngiltere, Avusturalya, Kanada ve Yeni Zelanda’dır. Bununla birlikte, Yeni Zelanda merkezli ve Avusturalya, İngiltere ve Yeni Zelanda’daki sansür sistemin arkasında bulunan firma olan Watchdog International’in Whitebox ile ilgili yayınlamış olduğu belgeye kısaca bir göz atalım:

  1. Whitebox, bir liste mantığı ile filtreleme gerçekleştiren URL tabanlı engelleme ve filtreleme yazılımıdır.
  2. Engellenmesi istenen URL’ler bu listelere girilerek gerçekleştirilir.
  3. DNS zehirleme filtreleri ile kullanılabilmekte fakat, tavsiye edilmemektedir.
  4. Bir proxy sunucusu ile çalışabilir fakat, tavsiye edilmemektedir.
  5. Çocuk pornosu gibi küresel konularda URL listeleri diğer ülkelerle paylaşılmalı ve erişime açık olmalıdır. Böylece daha etkili bir engel sistemi ve güncel URL listesi oluşturulabilir.

Öncelikle Whitebox, bir URL temizleme ve içeriği silme aracı değildir. Haberde bahsedilen temizlik işlemi URL’lere ait içeriğin silinmesine işaret ederken Whitebox’ın gerçekte yaptığı URL listesi ile URL tabanlı engelleme gerçekleştirmektir. Bir filtreleme yapmaktadır, yüksek trafiğe sahip websitelerde (örneğin Youtube) kullanılması tavsiye edilmemekte, DNS zehirleme filtreleri ile kullanılabilmekte, bir proxy sunucusu ile filtreleme yaparak hedef URL’ye erişim sağlayabilmektedir. Hürriyet Daily News’in konuyla ilgili haberine gelecek olursak:

“Different threats have occurred in the new world order. Countries are being subjected to colorful changes and seasonal revolutions formed by information technology and social media, Özel said.

Necdet Özel, yeni dünya düzeninde farklı tehditlerin ortaya çıktığını ve bilişim teknolojileri ve sosyal medyanın ülkelerde yaşanan dönemsel ayaklanmalarda etkili olduğunu belirtmiş. Bunun için de hükûmeti sosyal medyadaki yasalara aykırı paylaşımları engellemek amacıyla bir yazılım alması konusunda da uyarmış. Haberin devamında, İçişleri Bakanı Efkan Ala’ya yazılımla ilgili sunum gerçekleştirildikten sonra İçişleri Bakanlığı tarafından alıncağını belirtilmiştir.

Son günlerde yaşanan Internet’teki yavaşlığı da dikkate alırsak yeni bir URL tabanlı engelleme sistemimiz hayırlı olsun diyebiliriz. 40 milyon Euro gizlenmeye çalışılan çocuk felci salgınına harcanabilir miydi? Ama devletin bir süprizle karşı karşıya kalmaması için hükûmet nelerden ödün verebilir? Bir de orası var.

Unbound

Bugün, Google da Türk Telekom’un hukuki bir dayanak olmadan DNS sunucularını yönlendirdiğini ve Türkiye’deki Internet kullanıcılarının fişlendiğini belirten bir değerlendirme yaptı. İletişim özgürlüğüne ve özel hayatın gizliliğine yapılmış sayısız ihlale bir yenisinin daha eklenmesinin yanında henüz TİB ve Türk Telekom’dan da konuyla ilişkili bir bilgi verilmedi. Türkiye’de Google ve Open DNS sunucuları hukuka aykırı ve hiçbir dayanağı olmadan Türk Telekom’a yönlendiriledursun, bu durumu aşabilmek için çeşitli yöntemler de mevcuttur. Bunlardan biri GNU/Linux altında Unbound kurarak kullanıcı kendini DNS önbellek zehirlemesinden ve sahte yönlendirmelerden koruyabilir. Ayrıca, özellikle DNS sorgusunda araya girilmediği ve yapılan sorguların bu şekilde elde edilmediği takdirde de gayet iyi bir yöntem olacaktır.

Unbound; önbelleğe sahip ve DNSSEC doğrulaması yapan bir DNS çözümleyicisidir. Harici bir DNS sunucusuna ihtiyaç olmadan DNS çözümleme işlemini yerine getirir. İstenildiği takdirde harici DNS sunucusu da kullanılabilir. Bununla birlikte, DNSSEC ise Türkiye örneğindeki gibi kullancıyı ve uygulamayı manipüle edilen DNS verilerinden sahip olduğu dijital imza ile koruyan bir özelliktir. Biz ise örneğimizde DNSSEC doğrulaması yapan ve yerel bir DNS çözümleyici için Unbound kurup ayarlayacağız. İlk olarak, Türkiye’deki OpenDNS, Google DNS ve İSS’lerin kendi DNS sunucularının verdiği çıktıya bakalım:

nslookup twitter.com
Server:    192.168.1.100
Address:   192.168.1.100#53

Non-authoritative answer:
Name       twitter.com
Address:   195.175.254.2

nslookup twitter.com 8.8.8.8
Server:    8.8.8.8
Address:   8.8.8.8#53

Non-authoritative answer:
Name       twitter.com
Address:   195.175.254.2

nslookup twitter.com 208.67.222.222
Server:    208.67.222.222
Address:   208.67.222.222#53

Non-authoritative answer:
Name       twitter.com
Address:   195.175.254.2

Görüldüğü üzere iki DNS sunucusu ile İSS engelli sayfayı sahte bir DNS sunucusuna yönlendirilmekte ve kullanıcı sahte DNS sunucusunda bekletilmektedir. Bu, Google’ın değerlendirmesi ve ayrıca daha önceden de bu konuya ilişkin yazılmış yazılar da doğrulamaktadır.

Şimdi, Debian ve türevi dağıtımlar için Unbound kuruluma geçecek olursak (Windows için buradan indirebilir ve yönergeler için el kitabına bakabilirsiniz. Gayet basitçe anlatılmış.):

kame ~ $ apt-get install unbound unbound-anchor
kame ~ $ sudo cp /etc/unbound/unbound.conf /etc/unbound/unbound.conf.save
kame ~ $ sudo wget -c ftp://FTP.INTERNIC.NET/domain/named.cache -O /etc/unbound/root.hints
kame ~ $ sudo cp /var/lib/unbound/root.key /etc/unbound/root.key
kame ~ $ sudo chown -R unbound:unbound /etc/unbound/root.key

/etc/unbound/unbound.conf:

###
server:
	auto-trust-anchor-file: "root.key"
	interface: 127.0.0.1
	interface: ::1
	root-hints: "root.hints"
	num-threads: 2
	hide-identity: yes
	hide-version: yes
	msg-cache-size: 16m
	msg-cache-slabs: 8
	rrset-cache-size: 32m
	rrset-cache-slabs: 8
	infra-cache-numhosts: 20000
	infra-cache-slabs: 8
	key-cache-slabs: 8
	key-cache-size: 8m
	jostle-timeout: 250
	so-rcvbuf: 4m
	so-sndbuf: 4m
	harden-short-bufsize: yes
	harden-large-queries: yes
	harden-glue: yes
	harden-dnssec-stripped: yes
	harden-below-nxdomain: yes
	prefetch-key: yes
	prefetch: yes
	unwanted-reply-threshold: 10000000
	rrset-roundrobin: yes
	outgoing-range: 8192
	num-queries-per-thread: 4096
	do-udp: yes
	do-ip4: yes
	do-ip6: no
	do-tcp: yes
python:
remote-control:
forward-zone:
###

Kopyalayıp kaydedin. Ağ yöneticinizdeki DNS sunucuları ayarını 127.0.0.1 yapın ve Unbound servisini çalıştırın (systemd ve openrc için iki örnek aşağıda).
kame ~ $ systemctl enable unbound.service
kame ~ $ systemctl start unbound.service

kame ~ $ /etc/init.d/unbound start

Yukarıdaki ayarlar hemen hemen bütün dağıtımlarda çalışacaktır. Herhangi bir sıkıntı yaşayacağınızı düşünmüyorum. DNSSEC kontrolü yapalım:

kame ~ $ dig sigok.verteiltesysteme.net @127.0.0.1

; <<>> DiG 9.9.5 <<>> sigok.verteiltesysteme.net @127.0.0.1
;; global options: +cmd
;; Got answer:
;; HEADER opcode: QUERY, status: NOERROR, id: 5409
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 4

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;sigok.verteiltesysteme.net.	IN	A

;; ANSWER SECTION:
sigok.verteiltesysteme.net. 60	IN	A	134.91.78.139

;; AUTHORITY SECTION:
verteiltesysteme.net.	3600	IN	NS	ns1.verteiltesysteme.net.
verteiltesysteme.net.	3600	IN	NS	ns2.verteiltesysteme.net.

;; ADDITIONAL SECTION:
ns1.verteiltesysteme.net. 3600	IN	A	134.91.78.139
ns2.verteiltesysteme.net. 3600	IN	A	134.91.78.141

;; Query time: 1070 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Tue Apr 01 11:49:29 2014
;; MSG SIZE  rcvd: 167

Bu şekilde A çıktısı alıyorsanız DNSSEC doğrulaması yapılmakta olduğunu söyleyebiliriz. Bununla birlikte, DNSSEC doğrulaması yapabileceğiniz siteler de mevcuttur:

Şimdi, Unbound’un sorunsuz çalıştığını ve DNSSEC doğrulaması yapıldığını farzederek Twitter çıktımızı tekrar kontrol edelim:

nslookup twitter.com 127.0.0.1
Server:         127.0.0.1
Address:        127.0.0.1#53

Non-authoritative answer:
Name:   twitter.com
Address: 199.59.148.82
Name:   twitter.com
Address: 199.59.149.230
Name:   twitter.com
Address: 199.59.149.198

Her şey yolunda gözüküyor. Yerel DNS çözümleyicimiz sayesinde İSS’nin yapmış olduğu yönlendirmeye takılmadan kullanabiliriz. Diğer yandan, adres/IP manipülasyonlarında da sahip olunan dijital imza ile kullanıcı korunabilecektir. Unbound, yerel DNS çözümleyici ve DNSSEC ile doğrulama gerçekleştirerek yaşanabilecek sıkıntıların engelleyebilmektedir. Türkiye’de Internetin gelmiş olduğu noktaya bakacak olursak herhangi bir sosyal medya üzerinde verilen DNS sunucularını kullanmak yerine Unbound iyi ve güvenli bir çözüm gibi durmaktadır. Açıkçası, Türk Telekom ve TİB’in bundan sonra ne tür bir yöntem ile Internet üzerinde kullanıcı takibi, sorgu denetimi yapabileceğini, SSL sertifikalarında mitm yapıp yapmayacağını, sahte sertifika üretip üretmeyeceğini de kestiremediğim için kesin bir şey söyleyemiyorum. Aceleci bir yapım olmadığı için bekleyip görmeyi tercih ediyorum.

DNS’in Kökü

Gece itibariyle DNS’lerde bir sıkıntı olduğu söyleniyordu. Bana da bununla ilgili epey bir mesaj geldi. “Şu İSS’yi kullanıyorum, şu DNS sunucusunu kullanıyorum fakat Internete bağlanamıyorum, zaman aşımı alıyorum” diye gelen mesajlar sonrası kendim kontrol ettiğimde bir sıkıntı görememiştim. Fakat, Twitter‘da konuyla ilgili tweet sayıları giderek artmaya başladı ve ardından da Chip Türkiye‘nin “Türkiye’de DNS’lerin de kökü kazınıyor!” haberi geldi. Sanırım, söylentilerdeki doğruluk payı giderek artmaya başladı diyebilirim.

Yazıyı yayımladıktan bir süre sonra tekrar taslak formuna aldım. DNS’lerin kökünün kazınmasından ziyade daha farklı bir şeylerin döndüğünü düşünüyordum. Sabah ise OpenDNS ve Google DNS sunucuları üzerinden yapılan sorguların her ne hikmetse Türk Telekom sunucularına yönlendiğini gördüm. Bunun birçok sebebi olabilir. DNS spoofing, DNS hijacking, arada bulunan bir transparan DNS proxysisi ile sorguların açık DNS sunucularına ulaşmadan İSS’nin DNS sunucularına yönlendirilmesi gibi. Yaptığım basit bir analizde aldığım sonuç, yapılanı doğrular nitelikteydi:

kame ~ $ nslookup twitter.com 8.8.8.8
Server:    8.8.8.8
Address:   8.8.8.8#53

Non-authoritative answer:
Name       twitter.com
Address:   195.175.254.2

kame ~ $ nslookup twitter.com 208.67.222.222
Server:    208.67.222.222
Address:   208.67.222.222#53

Non-authoritative answer:
Name       twitter.com
Address:   195.175.254.2

Bir de engellenmemiş bir adresin çıktısına bakalım:

kame ~ $ nslookup duckduckgo.com 8.8.8.8
Server:    8.8.8.8
Address:   8.8.8.8#53

Non-authoritative answer:
Name       duckduckgo.com
Address:   176.34.131.233
Name       duckduckgo.com
Address:   46.51.197.88
Name       duckduckgo.com
Address:   46.51.197.89

Engellenmemiş adres için herhangi bir sıkıntı yok gibi durmakta. Şimdi bunu daha anlaşılır bir dille anlatalım. DNS (domain name system); türkçesi alan adı sistemi, Internet ağını oluşturan birimlerin IP adreslerini akılda daha kolay tutulması için dönüştürülen adresleri (domain, www.duckduckgo.com gibi) ve iletişimi organize eden bir sistemdir. DNS sunucuları ise Internet adreslerinin IP karşlığının kayıtlı tutulduğu sunuculardır. Bir örnekle anlatmak gerekirse, www.duckduckgo.com adresini tarayıcınızdan girdiniz, bu Intenet adresindeki makine ile iletişim kurulabilmesi için DNS sunucusuna sorgunuz gitti, DNS sunucusu ise eğer bu isim karşılığındaki IP adresine sahipse, 50.18.192.250 dedi ve bu IP’ye sahip makineye yönlendirildiniz. Fakat, yukarındaki çıktıda Google DNS kullanıyorsanız ve tarayıcınızdan www.twitter.com yazdığınız anda sorgunuz gitmesi gereken Google DNS sunucuları yerine 195.175.254.2 adresine, yani Türk Telekom’a yönlendirildi.

Bu işin biraz da tekniğine bakalım. Bir İSS’siniz ve kötü niyetli bir DNS sunucusu yapmak istiyorsunuz. Bu DNS sunucunuzun IP’sini 195.175.254.2 olduğunu varsayalım. Diğer yanda, ülkenizde hizmet veren güvenilir Google gibi DNS sunucuları var. Siz bu sunucuları kendi kullanım amacınızla işleyişlerini manipüle edip yani gasp edip kendi kötü niyetli sunucunuza yönlendirdiniz (route). Ardından Google DNS kullanan biri Twitter’a girmek istedi. Sorgusunu gönderdi, hop bu sefer Google DNS yanıt verecekken kurduğunuz kötü niyetli DNS sunucusu yanıt verdi. Yani bunu yapabilmek için de adresi twitter.com/195.175.254.2 olarak atadınız. twitter.com diyen 199.59.149.230‘a erişmek yerine tanımlanmış olan 195.175.254.2 IP adresli makineye erişecektir. Bu makine ne yapabilir? Sizi burada bekletebilir, … kararla site erişime engellendi yazısı ile karşılayabilir, DNS sorgularını loglayabilir, sizlere gereksiz reklam sonuçları gösterebilir (bunu yapan birçok İSS mevcut) vs.

Şu an bizim yaşadığım durum da; siz Google veya OpenDNS kullandığınız takdirde, sorgularınız Türk Telekom’un sunucusuna gidiyor ve burada bekletiliyorsunuz. Normalde bu DNS’ler ile erişmeniz gereken adrese de sahte DNS sunucusunda bekletildiğiniz için erişemiyorsunuz. Erişemediğiniz için de sadece yaptığınız sorgu biliniyor. Bu şekilde herhangi bir hesabın, kimin kullandığının bilinmesi mümkün olmaz. Fakat, bir spoofing yapılırsa o zaman işin rengi değişir.  Spoofing’de de siz herhangi bir siteye bağlandığınızı zannedersiniz fakat IP/adres manipüle edildiği için hiç alakası olmayan, saldırganın bilgilerinizi çalacağı sahte bir yere ulaşırsınız. Böylece, örneğin Twitter’a giriş yaptığınızı sanarken sahte bir Twitter sitesi üzerinden tüm bilgileriniz alınabilir.

Şimdi bu yönlendirme ile ilgili bir diğer bir tespite gelelim. İlk başta ben Twitter ve Youtube‘a girenleri mi tespit etmek istiyorlar, bu yüzden sadece bu ikisi mi yönlendirildi diye düşünmüştüm. Fakat sonradan rastgele, daha önce engellenmiş iki porno sitesi için tekrar nslookup yaptım. Sonuç:

kame ~ $ nslookup pornhub.com 8.8.8.8
Server:    8.8.8.8
Address:   8.8.8.8#53

Non-authoritative answer:
Name       pornhub.com
Address:   195.175.254.2

kame ~ $ nslookup xnxx.com 8.8.8.8
Server:    8.8.8.8
Address:   8.8.8.8#53

Non-authoritative answer:
Name       xnxx.com
Address:   195.175.254.2

Fakat, buna henüz gasp edilmemiş bir DNS sunucusu ile bakarsak:

kame ~ $ nslookup xnxx.com 77.88.8.8
Server:    77.88.8.8
Address:   77.88.8.8#53

Non-authoritative answer:
Name       xnxx.com
Address:   141.0.174.37
Name       xnxx.com
Address:   141.0.174.38
Name       xnxx.com
Address:   141.0.174.35
Name       xnxx.com
Address:   141.0.174.39
Name       xnxx.com
Address:   141.0.174.34

Anlaşılan engelli tüm adresler Google DNS ve OpenDNS için aynı yere yönlendirilmiş durumda. İSS tarafından Yandex DNS‘te herhangi bir yönlendirme (routing) olmadığı için sonuç sorunsuz gözüküyor. Şimdilik, Google DNS ve OpenDNS kullanmamak, yaşanabilecek manipülasyonlardan ve spoofing gibi saldırılardan etkilenmeyi azaltacaktır. Kaldı ki Türk Telekom tarafından yapılan bu şeyin yasalara aykırı ve suç olduğu da söylenmektedir. Daha önce de DNS gaspı (hijacking) ile ilgili belirttiğim üzere İSS’ler bunu daha öncede yapabilmekte, olmayan sayfa sorgularında sizlere yanıt vermekte, bunu sahte DNS sunucuları ile gerçekleştirmekte, sorguları reklamların olduğu sitelere yönlendirmekteydiler.

Sonuç olarak, ortada ciddi bir sıkıntının olduğunu söylemek gerekli ve bu durum yakından takip edilmeli. Açıkçası gasp edilen 2 DNS sunucusunun engellenmemiş adreslerin sorgularına verecekleri yanıtlar da “kötü niyetli” birileri tarafından manipüle edilmeye açıktır. Şu anda dava hazırlıkları da yapılmakta. Yazıyı kafam çok karışmış bir şekilde yazdım. Hatam varsa şimdiden kusura bakmayın. Bilgilendirirseniz memnun olurum.

Bu konuyla ilgili olarak kısaca birkaç link vereyim (siz de konuyla ilgili yazı linkleri verirseniz buraya eklerim):

[1] http://www.turk-internet.com/portal/yazigoster.php?yaziid=46356
[2] https://eksisozluk.com/entry/41565793

Ekleme (03.04.2013): Twitter yasağı Anayasa Mahkemesi tarafından kaldırıldı ve sonunda TİB denilen kurum-cuk kademeli olarak engeli kaldırdıklarını duyurdu. Peki DNS yönlendirmesi bitti mi? Hemen VPN, Tor vs kullanmayı bırakıp Twitter’a girmek mantıklı mı? Yeni analizimize bakalım:

kame ~ $ nslookup twitter.com 8.8.8.8
Server:         8.8.8.8
Address:        8.8.8.8#53

Non-authoritative answer:
Name:   twitter.com
Address: 199.16.156.70
Name:   twitter.com
Address: 199.16.156.38
Name:   twitter.com
Address: 199.16.156.198

Peki engeli henüz kaldırılmamış Youtube için bakalım:

kame ~ $ nslookup youtube.com 8.8.8.8
Server:         8.8.8.8
Address:        8.8.8.8#53

Non-authoritative answer:
Name       youtube.com
Address:   195.175.254.2

O da ne? DNS yönlendirmesi devam ediyor! Yani; VPN, Tor vs. kullanmaya GoogleDNS, OpenDNS gibi yönlendirilmiş DNS sunucuları kullanmamaya kaldığınız yerden devam ediyorsunuz.

URL Tabanlı Engelleme

Çalmayı iyi bildikleri gibi sansür ve gözetimi de iyi biliyorlar.

Dün gece Tayyip Erdoğan ile oğlu Bilal Erdoğan arasında geçen telefon konuşmalarına ait ses kaydı Youtube üzerinden yayımlandı. Ses kaydı gerçek mi değil mi diyorsanız veya bu konuyla ilgili bir bilgi almak isterseniz Kıvaç Kitapçı’nın yazdığı “Tayyip Erdogan – Bilal Erdogan Telefon Gorusmesi Analizi” adlı makaleyi okuyabilirsiniz. Dün geceye tekrar dönecek olursak, kayıt yayımlandıktan bir süre sonra erişime engellendi. Fakat her zaman alışık olduğumuz yöntemlerin aksine sayfaya “http” üzerinden eriştiğinizde tarayıcınızdan sanki öyle bir sayfa yokmuş, bağlantınız resetlenmiş gibi hata aldınız. Tahmin edildiği üzere bu URL tabanlı bir engelleme idi. Bu engelleme nasıl yapıldı ve engelin kaynağı neresidir üzerine küçük bir analizi kısaca fakat –olabildiğince– anlaşılır bir dille nasıl yapıldığını açıklayayım:

  • Öncelikle, tcpdump çalıştırıldı ve trafiğe konu olan veri paketlerine monitörleme yapılıp herhangi bir şüpheli durum var mı, varsa neden kaynaklanıyor bu belirlenmeye çalışıldı.
  • dig ile www.youtube.com adresinin DNS kayıtlarına bakıldı.
  • traceroute ile www.youtube.com adresine hangi sunucu veya yönlendiriciler üzerinden gidiliğine bakıldı.
  • Tarayıcıdan ilk olarak URL tabanlı engellenen Youtube sayfasına girildi.
  • Ardından da açık olan –yani engellenmemiş– bir Youtube sayfasına girildi.

Açık olan Youtube videosuna erişim sonucu:

00:20:17.299332 IP (tos 0x0, ttl 48, id 63155, offset 0, flags [none], proto TCP
(6), length 60)
    fa-in-f93.1e100.net.http > 192.168.2.25.48657: Flags [S.], cksum 0xd7b8
(correct), seq 1852958477, ack 1827879094, win 42540, options [mss
1430,sackOK,TS val 1082331416 ecr 67618,nop,wscale 6], length 0

URL tabanlı engellenen Youtube videosuna erişim sonucu:

00:20:17.325219 IP (tos 0x0, ttl 30, id 0, offset 0, flags [DF], proto TCP (6),
length 62)
fa-in-f93.1e100.net.http > 192.168.2.25.48657: Flags [R.], cksum 0x3cf3
(correct), seq 1:23, ack 375, win 229, length 22 [RST
x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00]

Bu iki Youtube sayfasına ait tcpdump çıktısının en temel noktası, URL tabalı engellenen sayfanın TTL (yaşam süresi) değeri açık sayfaya göre gelen değerden farklı. Bu fark şunu ifade ediyor;  URL tabanlı engelleme yapılabilmesi için İSS’lerde IPS gibi bir sistemin olması gerekli. Bu sistem ağı monitörleme, istenmeyen aktiviteleri tespit etme, bu aktiviteleri loglama, engelleme veya durdurma ve raporlama işlerini yapmaktadır. URL tabalı engellemenin çalışma sistemi de aynen monitörleme, loglama, engelleme ve erişimleri raporlama üzerinedir. Engelli sayfa çıktısında görüldüğü üzere İSS araya girerek TTL değerini değiştiriyor. Açık sayfada ise İSS tarafından bir müdahalede bulunulmadığı için TTL değeri normal düzeyde, yani gelmesi gereken düzeyde geliyor. Diğer yandan (çıktı olarak vermedim) traceroute sonucuna bakıldığında sorgu Google’a gidiyor. ICMP paketinin zaman aşımına uğradığı IP adresi 209.85.251.24, yani Google ağı içinden. Herhangi bir sorun yok gibi duruyor. Peki tüm bunlardan ne anlamalıyız?

İSS, bir IPS kullanmakta ve IPS de bu mevcut URL tabanlı engellemeyi gerçekleştirmektedir. Bunu da RST (reset) paketi ile istemciye “bu iletişimi kes” mesajı vererek yapmaktadır. O gördüğünüz “sayfa bulunamadı” hatasını da bu yüzden almaktasınız. Ayrıca, RST paketi sunucu tarafından gönderilmemekte ve IPS bunu “istemci engelli bir sayfaya erişmekte, ben de bunu durdurayım” şeklinde görmektedir. Anlaşılan çalmayı öğrendikleri kadar sansür ve gözetimde de bilgi sahibi olmuşlar gibi duruyor. Fakat, bu sonuç sansürün ana kaynağını malesef söyleyemiyor. Bakalım, ilerleyen süreçte yapılan engellere de analiz yapmaya devam edip sansürün ana kaynağına ulaşabilecek miyiz zaman gösterecek. Bakarsınız, bu sürede belki sansürleyecek bir hükümet de kalmaz. Kim bilir.

Son olarak, bu yazı da montaj. TTL lobisi yazdı.

Yeni 5651 ve Sansürün İşleyişi

5651 yumuşatılarak geçmişken Internet sansürünün Türkiye’deki yumuşak yerine bir bakalım.

5651 sayılı Internet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun sözde yumuşatılarak meclisten geçti. Bizleri ilerleyen süreçte neler bekliyor, Türkiye’nin sansür konusunda dünyadaki yeri nedir, 5651 sayılı kanun sonrası ne olur, dünyada sansürlenen içeriklerin dağılımı ve bizdeki yansımaları ne olur tüm bunları merak etmekteyiz. İlk olarak, Türkiye’nin dünya Internet sansürü haritasında nerede yer aldığına bir bakalım.

Internet_Censorship_World_Map_suggestedYukarıda gördüğünüz harita 2013 yılı dünya sansür haritasıdır. Haritanın kaynağı için buraya bakabilirsiniz. Ek olarak, diğer haritalar yerine renkleri için bu haritayı seçtim. Renklerin ifade ettiklerine gelirsek; radikal, oldukça, seçici, gözetim altında, düşük (ya da yok) ve veri yok şeklindedir. Haritaya Türkiye’de seçici bir sansür olduğu işlenmiştir. Bununla ilgili de hatırlarsanız çeşitli kelimelerin (haydar, mini etek, liseli vs.) filtrelendiği ve bunun üzerinden de sitelere erişimin yasaklandığını, TİB’in ise 2014 yılı itibariyle (muhtemelen bahsettikleri sistemin otomatik olarak engellediği siteler) 35702 siteyi, Türkiye’de ise toplamda 40124 sitenin engellediğini biliyoruz. Fakat, 5651 sayılı kanun ile muhtemelen 2014 yılında Türkiye’de sansür oldukça veya radikal olarak renklendirilebilir bir hale gelebilir.

sansürlenen içeriklerİkinci olarak, bizleri ilgilendiren diğer bir nokta dünyada sansürlenen içeriklerin ne olduğudur. Bu konundaki yüzdesel dağılım (birincil kaynak: opennet initiative) yukarıda görüldüğü gibidir. Yoğunluğun bloglar ve siyasi partilerde olması -bence- çok önemli bir noktadır. Özellikle 5651 sayılı kanun ile Türkiye açısından değerlendirdiğimizde, ilerleyen süreçte muhalefet partilerine ve bloglara, ardından bağımsız basına doğru çok ciddi bir sansür dalgasının yayılabileceğini (bu kısmı benim öngörüm olarak alırsanız memnun olurum) söyleyebiliriz.

sansür işleyişiYeni 5651 sayılı Internet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun‘un içeriğini yukarıdaki sansür işleyişi şeması üzerinden anlatalım. Devlet, yasal düzenlemelerin yanında İSS’larını direkt olarak kontrol edebilmek için tüzüğünü kendi onayladığı Erişim Sağlayıcıları Birliği adında bir birliğe üye olmaya zorlamaktadır. Bununla birlikte, bu birliğe üye olmayan servis sağlayıcıların faaliyette bulunamayacaklarını da ayrıca belirtmektedir. Böylece, erişim engelleri ve veri takibi (phorm, dpi vs.) taleplerinin bu birliğe yapılacağı, bunun bir sonucu olarak da taleplerin İSS’lere de yapılmış varsayılacağı söylenmektedir. Kısaca devlet, Erişim Sağlayıcıları Birliği ile İSS’leri direkt olarak kontrol edebileceği bir yapıya kavuşturmaktadır.

Ayrıca, yapılan erişim engelleri ve veri takibi için yasal bir koruma kalkanı da mevcuttur. Bu koruma kalkanına göre; “TİB Başkanlığı personelinin, yaptıkları görevin niteliğinden doğan veya görevin yerine getirilmesi sırasında işledikleri iddia olunan suçlardan dolayı haklarında ceza soruşturması açılmasına TİB Başkanı için ilgili Ulaştırma Denizcilik ve Haberleşme Bakanı, diğer personel için ise Bilgi Teknolojileri ve İletişim Kurumu Başkanı’nın izni aranacak.” Bunu yukarıdaki veri takibi araçları ile ilişkilendirirsek sonucun ne kadar vahim bir boyutta olduğu çok net görebiliriz. Yani devlet, veri takibi için İSS’leri kontrol altında tuttuğu bir yapı içinde olmaya ve bu takipler sonucu doğabilecek suçların soruşturulması için de kendinden izin almaya zorluyor. Kısaca, beni bana şikayet edin demektedir.

Bir diğer nokta, yer sağlayıcıların (hosting firmaları) yasal düzenleme ile trafik kayıtlarını saklama süresi en az 6 ay en fazla 2 yıl olacak şekildedir. 5651 sayılı kanun TİB (MİT kökenli Ahmet Çelik) başkanına sansür için doğrudan yetki vererek -sözde- kanuna aykırı (örneğin, kişilik hakları bahanesi ile) fakat herhangi bir içeriğe erişim 4 saat içinde engellenebilecek (24 saat içinde mahke karar verecek) ve yer sağlayıcı kendisine bildirilen içeriği derhal çıkartmak zorunda kalacaktır. Gayri hukuki talepler ise tam bu noktada devreye girmektedir. Kendisiyle ilgili yapılan eleştiriden memnun olmayan bir “bakan” içerik hukuka uygun olsa bile (örneğin, özel hayatı bahane ederek) erişimi engelleyebilme yolu açılmış olacaktır. Burada sadece bakanla sınırlamamak gerekir. İktidar, kendisini eleştiren tüm içeriklere ve bu içeriklerin birçoğu hukuka uygun olsa bile (örneğin, özel hayatı tekrar bahane ederek), erişime engelleyebilecektir. Diğer yandan, kayıt bilgilerinin nerede tutulduğu bu noktada çok önemli değildir. Kayıtların uzun süre tutulması ve istendiği takdirde (hukuka uygun olsa bile) devlete verilecek olması asıl problemdir. Fakat, Ulaştırma Bakanı Lütfi Elvan, “kayıtlar devlette tutulmayacakdiyerek insanları yanlış yönlendirmektedir. Kendisine tabi yaptığı sağlayıcılar, istendiği takdirde tüm kayıtları vermek mecburiyetindedir.

Devlet, içerik kaldırma ve kullanıcıya ait veri taleplerini içerik sağlayıcılarından istemekteydi. Fakat, bununla ilgili olarak her zaman istediği sonucu alamamakta bazen de reddedilmekteydi. Artık, içerik kaldırma ya da veri talebi ile uğraşmak yerine IP ve URL bazlı engelleme getirerek, kuracağı birlik üzerinden İSS’lerin hizmetlere erişimi engellemesini sağlayacaktır. Bu şu demek oluyor; örneğin, Twitter’ın (https://twitter.com) tamamen erişime engellenmesi yerine Twitter kullanıcılarından herhangi birinin (https://twitter.com/songuncelleme) içeriğinin erişime engellenmesi veya tamamen erişime engellenen bir sitenin DNS (VPN veya proxy hariç) değiştirilse bile erişilememesidir. Böylece, devlet yapmış olduğu erişim engeli ya da veri isteği taleplerinde reddedilse bile içeriğe ya da tamamen yer sağlayıcıya erişimi engelleyebilecektir.

Yukarıda anlattıklarımı en basit şekliyle bir kolunu şemaya uygun olarak kısaca tekrar anlatayım. Devlet, yasal bir düzenleme ile İSS’leri oluşturacağı birliğe üye yapmaya mecbur ederek İSS’lerin direkt kontrolünü sağlar. Böylece veri takibi ve erişim engelini de kendine yani tekele yükler. Bu da içeriğin kaldırılmasından engellenmesine, veri takibinden kullanıcının Internetteki hareketlerinin izlenmesine kadar çok geniş çaplı bir alanı kapsar. Tüm bunları toparlayacak olursam, devlet kendi denetiminde ve üyeliği zorunlu tuttuğu bir birlik kurarak Internet’te veri takibi ve erişim engelinin gayri hukuki yolunu açmış, ayrıca bunu yasal bir düzenleme ile yapmıştır. Bununla birlikte, Türkiye’de zaten radikal bir sansür mevcuttur. Bu konuda bir örnek (çoğaltılabilir elbette) göstermem gerekirse, hiç düşünmeden Guillaume Apollinaire Davası diyebilirim. 5651 sayılı kanun ile oluşturulacak yeni birlik ve işleyiş de Internette “seçici” olan sansürü “radikal” sansüre çevirecektir.

Şimdi soruyorum, sizce sansür haritasında 2014 yılı sonu için Türkiye’nin yeni rengi (benim ifademi bunun dışında tutarak) ne olacaktır?

Ekleme (17.01.2014): Bugün t24’te ‘Emniyet ve yargıdaki görevden almaların merkez üssü TİB’ başlıklı bir haber yayımlandı. Haberde TİB’e MİT kökenli Ahmet Çelik’in atanmasından sonra cemaate yakın kamu görevlilerinin listelerine yönelik çalışma başlatıldığı ve teknik takiplerin TİB’in “ana dinleme sistemi” araclığı ile kontrol edildiği söyleniyor. Yazıyla tamamen tutarlı olması açısından önemli bir haberdir.

Ekleme (17.01.2014): Yeni bir haber daha. ‘Dinlemenin merkezi’ TİB’de tüm daire başkanları görevden alındı başklı bu haberde de 5 TİB daire başkanın görevden alındığı ve yerlerine MİT kökenli isimlerin geleceği söylenmiş. Türkiye’yi artık radikal olarak boyayabiliriz.

Ekleme (24.01.2014): Vimeo erişime engellendi.

Ekleme (24.01.2014): Soundcloud erişime engellendi.

Ekleme (27.01.2014): Vagus.tv erişime engelledi. (Özgür basın)

Ekleme (31.01.2014): Bilgi Teknolojileri İletişim Kurumu ile Telekomünikasyon İletişim Başkanlığı, T24‘e CHP’nin soru önergesi haberini yayından kaldırması için tebligat yolladı. Haberin ayrıntıları burada. Özgür basın demiştim değil mi? Buna dolaylı yoldan siyasi partiye ait haber ve içeriği de ekleyebiliriz.

Casus Yazılım Ve Teknoloji Kültürsüzlüğü

Kapalı kapılar ardında sözde kanun tasarı hazırlanıyor ve bu kanunda geçen maddeler direkt anayasaya aykırı düşüyor. Bir de yetmiyor, Türkiye’de yayınlanan teknoloji dergilerinden birinin online yayın yönetmeni çıkıp pratik olarak devlet casus yazılım yerine gitsin İSS’den takip etsin kullanıcıları diyebiliyor.

Geçenlerde “Internetten müzik indirene casus önlemi” diye bir haber çıktı. Haberde:

Bir siteden programlar vasıtasıyla bir müzik parçası veya film indirdiğinizde, buradaki hükümle karşı karşıyasınız. Diyor ki bu hüküm, ‘Hak sahibinden izin alınmaksızın noktadan noktaya ağlar üzerinden eserleri umuma ileten bireysel internet kullanıcılarının IP adresleri, telif birliklerince Telekomünikasyon İletişim Başkanlığı tarafından akredite edilmiş yazılım vasıtasıyla tespit edilir. Burası çok tehlikeli. Bu ne demek biliyor musunuz? Yani kanun koyucu sizin bilgisayarınıza casus yazılım gönderecek. Buna sistem müsaade edecek. Erişim sağlayanlar müsaade etmek zorunda kalacaklar. Siz güvenli şekilde internette sörf yaptığınızı sanırken bu yazılım sayesinde bilgisayarda hangi işlemleri yaptığınız ve hangi hak ihlallerinde bulunduğunuz tespit edilecek. Ardından bu casus yazılım akredite olacak, Telekomünikasyon İletişim Başkanlığı tarafından da bu yazılım onaylanacak.

Bu yasanın arkasında ne tür bir güç olduğunu, alıntıda geçen “telif birlikleri” çok iyi özetlemektedir. Birilerinin “sanatçıyı ve sanatı koruma” adı altında böyle keyfi yaptırımlarına hepimiz alıştık. Ama bu yapılanları normalleştirmek anlamına gelmesin kesinlikle. Akredite edilmiş yazılım ile kastedilen (benim anladığım); kullanıcıları tespit etmek için yazılıma (ya da onu kim kullanacaksa) yetki verildiği ve yazılımın sağlayacağı bilginin resmen tanındığı ve kabul edildiği anlamına geliyor. Şimdi, “casus” bir yazılım var, bu yazılım telif birlikleri ile kanun uygulayıcı tarafından kullanıcının Internetten müzik indirip indirmediğini tespit edip bunun üzerinden yasal işlem uygulayacak. Bu, öncelikle TCK’nın onuncu bölümünde bahsettiği bilişim suçlarından hangisine giriyor, onunla ilgili bir bilgi verilmemiş. 243-246 aralığında maddelere bakıldığında, bilişim sistemine girme, sistemi engelleme, bozma, verileri yok etme veya değiştirme, banka veya kredi kartlarının kötüye kullanılması ve son olarak da tüzel kişiler hakkında güvenlik tedbiri uygulanması adında ana başlıklara sahip.

Bu başlıklar altında tanımlanan hiçbir madde haberde söylenenle ilişkili değil, onu da geçtim casus yazılım” ile böyle bir izleme/cezalandırma yapılması T.C. Anayasası, madde 20‘de belirtilen özel hayatın gizliliği ilkesine tamamen aykırı. Düşünün ki bir anayasanız var, bu anayasada özel hayatın gizliliği ilkesinde böyle kafanıza göre izleme yapamayacağınız, kişinin şahsi olan bilgisayarına “casus” bir yazalımla girip acaba hangi hakkı ihlal etti diye izleyemeyeceğiniz kısa ve net olarak (haberleşme özgürlüğü) belirtilmiş. Haberde geçen ve tasarı halinde olduğu söylenen “Fikir ve Sanat Eserleri Kanunu” var fakat buradan sızan bilgilere bakarsak TCK ve anayasa ile şimdiden çelişmeye ve aykırı düşmeye başladı bile.

Bu haber çıktıktan birkaç gün sonra bu habere Türkiye’de “Teknoloji Kültürü” adıyla yayınlanan Chip dergisinin online yayın yönetmeni Cenk Tarhan ve PCNet yayın yönetmeni Erdal Kaplanseren‘in açıklamaları eklenerek tekrar sunuldu. Kaplanseren yasaya aykırılığını söylemese de en azından insanların izlenebilmesi için bir bahane üretildiğini ve asıl bunları yayınlayan sitelerle uğraşılması gerektiğini söylemiş. Fakat,  Tarhan’ın yaptığı açıklamayı okurken şok geçirdim:

CHIP Online Yayın Yönetmeni Cenk Tarhan, illegal olarak MP3 indirmenin elbette kötü bir şey olduğunu; ancak devletin casus yazılım kullanmak yerine çok daha pratik yollara başvurabileceğini hatırlattı ve şu sözleri kaydetti: Devlet isterse internet servis sağlayıcılarının kayıtlarına bakarak kullanıcıların hangi siteye girdiğini, hangi dosyaları indirdiğini anında görebilir ve illegal bir durum söz konusuysa bu kayıtları delil olarak kullanabilir.

Tarhan’ın bunu hangi kafayla söylediğini (gene iyi niyetli davranıp söyleminin yanlış aktarılmış olabileceğini de ekleyeyim) anladığım söylenemez. Öncelikle, devlet isterse diye bir durum söz konusu değil. Böyle bir keyfiyet yok, yasayla da belirtilmiştir. İkincisi, “devlet kullanıcıların hangi siteye girdiğini ya da hangi dosyaları indirdiğini anında görebilir” demek, devletin gayri hukuki izleme yaptığını ve kendini teknoloji kültürünün parçası olarak gören bir yayın yönetmeninin bunu pratik yol diye söylemesi ise nasıl bir aklın tezahürüdür bilemiyorum. Öncelikle Tarhan’a TCK’nın dokuzuncu bölümü olan “özel hayata ve  hayatın gizli alanına karşı suçlar“‘dan birkaç madde göstereyim:

Madde 134 (1) – Kişilerin özel hayatının gizliliğini ihlâl eden kimse, altı aydan iki yıla kadar hapis veya adlî para cezası ile cezalandırılır. Gizliliğin görüntü veya seslerin kayda alınması suretiyle ihlâl edilmesi hâlinde, cezanın alt sınırı bir yıldan az olamaz.

Madde 135 (1) – Hukuka aykırı olarak kişisel verileri kaydeden kimseye altı aydan üç yıla kadar hapis cezası verilir.

Madde 136 (1)Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, bir yıldan dört yıla kadar hapis cezası ile cezalandırılır.

Basit bir dille, veriler yasal bir merci tarafından istense dahi;

  • Hukuka aykırı yollarla delil toplayamazsın.
  • Hukuka aykırı yollarla topladığın delilleri mahkemede kullanıcının aleyhine sunamazsın.
  • Kullanıcı o suçu işlemiş dahi olsa, hukuka aykırı yollarla topladığın deliller üzerinden kullanıcıyı suçlayamazsın.
  • Bunun üzerine alacağın cezalar da yasada mevcut.

Devam edelim, bir kullanıcının hak ihlalinde bulunduğunu “casus yazılım” haricinde kanun uygulayıcı nasıl anlayabilir? Tahminde bulunacak değil, örneklem oluşturup belirli bir sayıda kullanıcıyı izleyerek de bir sonuca ulaşamaz. Onun yerine tüm trafik akışını “izlemek” ve verileri de bir şekilde “kaydetmek” durumunda. Böyle bir şey teknik olarak mümkün olsa bile tekrar yasaya aykırı (yukarıda da belirttiğim üzere) bir durum söz konusu. Onu da geçtim (felix‘e tekrar tekrar teşekkürler), CMK 134. maddeyi açıp hiç okumuş mudur merak ediyorum. O maddeye bakarak, diyelim ki; hakim kararı çıkartıldı, anayasaya da uygun bir karar (bu tartışılır elbette) ve benim buna benzer bir suç işlediğim üzerinden bilgisayarıma el konuldu. Ben harddisk’im yedeğini istedim, kanuna uygun olarak da harddiskimin yedeği kanun uygulayıcı tarafından alındı ve bana geri verildi. Yani, beni suçladıkları “illegal mp3’leri” bana “buyur al kardeş mp3’lerini” diyerek geri mi verecekler? Ee, hani ben yasalara aykırı bir suç işlemiştim?

Burada söylemek isteyeceğim bir başka şey de bu tarz haberlerin temel amacı oto-kontrolü sağlamaya çalışmaktır. Yani, sizi bir üçüncü göz, casus yazılım, olmadı “pratik olarak” İSS’niz tarafından ne yapıyorsunuz, ne indiriyorsunuz, hangi sitelerde geziyorsunuz takip edebilir, yasa üzerinde çalışıyoruz, “ha çıktı ha çıkacak” diyerek “kapalı kapılar ardında” muktedirlerin kafalarınca anayasaya aykırı yasalar çıkartıyor gözükmesinin ve haberlerinin yapılmasının amacı, içinize korku yerleştirmektir. İçinizdeki bu korku üzerinden de sizler oto-kontrolünüzü sağlayacaksınız. Bir diğer nokta da bireysel-sansürdür. Devlet sizlerin sözüm ona illegal içeriklere ulaşmanızı engellemek yerine bu korku ile hareketlerinizi ve söylemlerinizi kendiniz sansürleyeceksiniz.

Türkiye’deki teknoloji kültürünün sıkıntılı olduğunu açık ve net olarak artık söyleyebilirim. Bundan sonra bu tarz söylemlerde bulunan kişileri de yakından takip edeceğim. Bakalım başka ne yumurtlayacaklar insan merak ediyor doğrusu.

DNS Leak Tehlikesi

Kullandığımız anonim ağlara ya da VPN tünellerine aldanıp anonim olduğumuzu zannederken, aslında tüm Internet aktivitelerimizin İSS tarafından rahatça izlenip kaydedilebilmesi, bir DNS sızıntısı ile o kadar kolay ki.

  • DNS Sızıntısı (Leak) Nedir?

what-is-a-dns-leak
Anonim bir ağ ya da VPN servisi kullandığınız zaman, bilgisayarınızdan geçen tüm trafiğin bu anonim ağ ya da  servis üzerinden güvenli bir şekilde gönderildiği varsayılır. Tor veya VPN kullanmanızdaki temel neden, trafiğinizi İSS’nizden ve diğer üçüncü kişilerden gizlemek, anonimliğinizi arttırmaktır. Fakat bazı durumlar vardır ki, siz güvenli bir VPN bağlantısı kurduğunuzu düşünseniz bile, İSS’niz Internet trafiğinizi izleyebilir ve çevrimiçi aktivitelerinizi monitörleyebilir. Yani, bir nedenle sorgularınız VPN bağlantınız ya da anonim ağ yerine İSS’nizin DNS sunucularına da yönleniyorsa, burada bir DNS sızıntısı (leak) var demektir. Şema üzerinden anlatırsak; bir VPN tüneline sahipsiniz ve EFF için bir sorguda bulundunuz. Normal olarak sorgunuz tünelden VPN servisine, VPN servisinin DNS sunucusu ve oradan da EFF’ye ulaşmalı. Fakat, sorgunuza İSS’niz DNS sunucusu da cevap vermektedir. Bu da şu anlama gelmektedir; İSS’niz İnternet aktivitilerinizi bir bir kaydetmekte, sizleri rahatça izlemektedir.

Anonimliği tehdit eden en büyük tehlikelerden biri DNS sızıntısıdır. Çünkü, anonim bir ağa bağlı olsanız bile (mesela Tor), işletim sisteminiz anonim servis tarafından atanan anonim DNS sunucuları yerine kendi varsayılan sunucularını kullanmaya devam etmektedir. Bu da kullanıcılara sahte gizlilik hissi vermekte ve sonuçları üzücü olmaktadır.

Etkilenenler;
VPN sunucuları
Socks proxyleri (Tor gibi)

Etkilenmeyenler;
CGI Proxyleri
SSH tünel ile HTTP proxyleri

  • Transparan DNS Proxyleri

transparent-dns-proxy

Günümüzde bazı İSS’lerin Transparan DNS Proxysi adında bir teknoloji kullandığı bilinmektedir. Bu şu işe yarıyor; siz eğer bir DNS sorgusu yaparsanız, İSS bunu sadece kendi DNS’leri üzerinden (TCP/UDP port 53) yapılmaya zorluyor. Bir örnek vererek anlatalım. Siz DNS sunucusu olarak OpenDNS‘i kullanmaktasınız ve EFF için bir sorgu yapacaksınız. Transparan DNS Proxysisi sizin isteğiniz OpenDNS sunucularına ulaşmadan araya girip akışı keserek İSS’nin kendi DNS sunucusuna yönlendirmekte ve OpenDNS sunucusu yerine İSS DNS sunucusu cevap vermektedir. Siz tabi bu noktada “Ben VPN kullanıyorum, güvendeyim.” veya “Tor kullanıyorum, güvendeyim.” diyebilirsiniz. Fakat, sonuçlar sizin beklediğiniz yönde gerçekleşmemektedir (şemalar DNS leak test’ten alıntıdır).

  • Tehlikenin Boyutlarına Dair

Bir tehlike modeli üzerinde (Modeller çoğaltılabilir. Mesela ücretsiz anonim socks proxyler üzerinden modeller oluşturulabilir, denemesi size kalmış.) sizlere DNS sızıntısı göstereyim. Modelimiz şu; Amerika lokasyonlı bir VPN servisi kullanıldığınızı düşünün. Ayrıca tarayıcınız da Tor üzerinden internete (exit-node da Amerika’da) girdiği farzedilmekte. Fakat, dinamik ip kullanmaktasınız ve özel bir DNS ayarına sahip değilsiniz;

2013-10-20-002934_1920x1080_scrot

Tor veya VPN servisinizin DNS sunucularını görmeniz (görmezseniz daha iyi) doğal olarak beklenendir. Sizin tek görmek istemeyeceğiniz şey ise, trafiğinizi ondan gizlediğinizi sandığınız İSS’niz olacaktır. Fakat, sonuca bakarsak;

2013-10-20-014138_1920x1080_scrot

Tam bir facia! En üstte VPN servisinizi görüyorsunuz. Daha da kötüsü, siz Tor kullanmanıza ve VPN tüneli oluşturmanıza rağmen, ve tüm bunların üzerine kendinizi tamamen güvende (tamamen olmasa da bir nebze) hissederken, farkında olmadığınız bir DNS sızıntısına sahipsiniz. Diğer enteresan nokta, Firefox, socks proxy (Tor) yerine işletim sisteminin bağlı olduğu ağ (İSS) üzerinden DNS sorgusu gerçekleştirip, Tor’u tamamen atlamış. Tabi burada benim aklımı daha çok kurcayalayan şey, TTNet’in ya da Türkiye’de hizmet veren herhangi bir İSS’nin transparan dns proxysine ya da proxlerine sahip olup olmadığı. Gerçi, TTNet pişkin pişkin Phorm kullanmaya devam edip ve DPI ile paket analizlerine dalmış olduğu için bunu sormak (gene de şunda veya bunda vardır diyemiyorum) abesle iştigaldir.

  • DNS Sızıntı Testi

Böyle bir durumla karşıya karşıya olup olmadığınızı anlamak için;

– DNS Leak Test: https://www.dnsleaktest.com
– IP Leak: http://ipleak.net/

  • İSS’nin DNS Gaspı (Ekleme: 19.11.2013)

Buradaki işlemleri terminalden gerçekleştireceğiz. Önce, varolmayan bir domain adresine ping atalım;

kame $ % ping yokboylebirdomain.ltd
PING yokboylebirdomain.tld (195.175.39.75): 56 data bytes
64 bytes from 195.175.39.75: icmp_seq=0 ttl=236 time=336 ms
64 bytes from 195.175.39.75: icmp_seq=1 ttl=236 time=292 ms
64 bytes from 195.175.39.75: icmp_seq=2 ttl=236 time=274 ms

İşte aradığımız! Var olmayan bir domain’e 195.175.39.75 IP’si üzerinden yanıt geliyor. Yani İSS’niz (örnekte gerçek) sahte bir adres üzerinden sorgularınıza yanıt veriyor.

kame $ % nslookup yokboylebirdomain.tld
Server: 192.168.2.1
Address: 192.168.2.1#53

Non-authoritative answer:
Name: yokboylebirdomain.tld
Address: 195.175.39.75
Name: yokboylebirdomain.tld
Address: 195.175.39.71

Sahte IP’yi sonunda yakaladık; 195.175.39.71!

  • Ne Yapmalı?

Öncelikle, testi yaptığınızı ve kötü sonuçla karşılaştığınızı varsayarak; bir, statik ip ayarını yapmayı öğrenin. Internette bununla ilgili girilmiş tonlarca yazı, alınmış ekran görüntüsü ve nasıl yapacağınızı anlatan videolar bulunmakta. Bir aramanıza bakar. Hangi işletim sistemini kullanırsanız kullanın, bunu yapın.

İki, iyi bir DNS servisi bulun. Benim bu konudaki önerim aşağıda. Eğer, sizin farklı görüşleriniz varsa, ben sadece Google DNS’i kullanmamanızı tavsiye ederim. Onun yerine OpenDNS‘i gönül rahatlığıyla (dediğime pişman olmam umarım) kullanın, kullandırın.

Üç, Firefox’unuzu aşağıda anlattığım şekilde ayarlayabilirsiniz. Ayrıca, kötü bir VPN servisi kullanmayın, para veriyorsanız da paranızı ziyan etmeyin.

Dört, eğer Windows kullanıyorsanız, öncelikle Toredo‘yu Windows cmd üzerinden kapatın (netsh interface teredo set state disabled). İyi bir firewall kurabilirsiniz. Son olarak, DNS Leak Test’in şu önerilerini uygulayın.

Beş, GNU/Linux’ta alternatif olarak Polipo kurup kullanabilirsiniz.

Altı, Dnscrypt kurup kullanabilirsiniz (Platform bağımsız!).

  • Hangi DNS Servisi?

Ben OpenNIC Project‘in DNS sunucularını kullanmaktayım. Beni kullanmaya iten en önemli ayrıntısı, ücretsiz, sunucuların kayıtlarını bir süre sonra (saatte bir, 24 saatte bir ya da hiç tutmayarak) silmesi (anonimleştirmesi), birçok ülkeden, istediğiniz DNS sunucusunu kullanmanıza olanak vermesi. Şimdilik, sicili gayet temiz ve sunucuları da performans olarak üzmeyecek düzeyde.

  • Firefox Ayarı

Firefox’ta bu dertten kolayca kurtulmak isterseniz eğer, adres çubuğuna about:config yazarak Firefox’un ayarlarını açabilirsiniz. Açtıktan sonra;

network.proxy.socks_remote_dns bulun ve onu true yapın. Böyleyece Firefox bağlı olduğu ağ üzerinden değil socks proxy üzerinden (ayarladıysanız Tor) DNS sorgusu yapacaktır. Eğer kullandığınız uygulamalar DNS ön yüklemesi yapıyorsa, ayarlarında DNSPrefech var mı yok bu bir bakın. Firefox için network.dns.disablePrefetch bulun ve true yapın.

  • Sonuç

DNS sızıntısı basit ve küçümsenecek bir durum değildir. Bunu iyice anlamak lazım. Bir diğer nokta da, “ben Tor’la yasaklı siteye girebiliyorsam nasıl isteğim İSS’me gitsin?” sorusu. Burada bir hataya düşüyorsunuz; Tor’la siteye girmek farklı bir şeydir, siteye girmek için gönderdiğiniz isteğin aynı anda İSS’nize de gitmesi (İSS üzerinden girmeseniz dahi) farklı bir şeydir. Sizin kaçınmanız gereken, konunun da özü, isteğin İSS’nin DNS  sunucularına da gitmesi. “Onu kullanmayı bilen zaten şunu da ayarlar.” yanlış bir bakış açısıdır. Ayarladığını zannedersiniz, güncellersiniz ayarlarınız sıfırlanır, değişir, “VPN kullanıyorum ya, n’olcak.” dersiniz, böyle bir olasılıktan haberdar değilsinizdir ya da iyi bir tehlike modeliniz yoktur, zor duruma düşersiniz.

Anonimlik sizin tehlike modelinize dayanır ve anonimlik düzeyiniz ölçülebilir (bunu her yazımda tekrarlayacağım). Bunun bilincinde olun!