Tag Archives: ssh

Derin Paket Analizi’nde Türkiye

Bugün Taraf gazetesinde “Internete sansür donanımı” adında bir haber yayınlandı. Haberden bir alıntıyla devam edelim:

Hükümet, internetten istihbarat toplama projesini harekete geçiriyor. İnternet ortamında ne yapıldığını en ince ayrıntısına kadar görmek, müdahale etmek ve sansürlemek için ihale açan Türk Telekom, Procera Networks adlı ABD şirketinden bir donanım satın aldı.

17 Aralık 2013 yolsuzluk operasyonu sonrasında Türkiye’nin Internet kontrolü ve takibindeki donanımsal yetersizliklerin ani bir müdahale noktasında çok geri kaldığından dolayı, bu konuya ilişkin ihtiyacı giderebilmek adına yaptığı girişimlerden ilk olarak Netclean ile ilgili haberler yayınlanmıştı. Bununla birlikte, bugün yayınlanan habere bakacak olursak bu müdahaleler için açılan bir ihale ile Procera Networks şirketinden bir donanım alındığı yazmaktadır. Procera Networks kendi deyimleriyle servis sağlayıcılara Internet istihbaratı çözümleri sunan ve bu konuda ağ donanımları geliştiren, bu donanımlar ile paketlerin görünebilirliğini ve istatistiğini sağlayan bir şirkettir. Haberin devamında:

Alınan donanım sayesinde Türk Telekom, HTTPS trafiği, Whatsapp mesajları, Skype görüşmeleri, ziyaret edilen internet sayfaları ve VPN hizmetleri de dâhil pek çok işlemi analiz edecek, yavaşlatacak, gerekirse sansürleyecek.

Procera Networks, 24-28 Şubat 2014 tarihlerinde San Fransisco’dan düzenlenen RSA Konferansı’nda katılımcı olarak girmiş ve sahip oldukları NAVL isimli Intel ve Napatech OEM’lerini kullanan donanımlarını tanıtmışlardı. Bu donanım, kendi deyimleriyle gerçek zamanlı 7. katman uygulamaları için derin paket analizi yapabilen bir donanımdır. 7. katman Internet protokolü ile bilgisayar ağı arasındaki işlemler için bir iletişim ağıdır. Procera Networks’ün NAVL donanımıyla ilgili ifadesinden anladığım kadarıyla sansürden öte bir derin paket analizinin yapılmasıdır. Derin paket analizi ya da DPI bir ağ boyunca yolculuk yapan veri paketlerinin içeriğini inceleyen bir analize denilmektedir. Internet gibi karşılıklı paket değişiminin olduğu ağlarda paket temel bir birimdir. DPI, kendi ağlarını incelemek için şirketler tarafından kullanılan bir yöntem olmasına rağmen, günümüzde devletler tarafından totaliteryen bir gözetim aracına dönüştürülmüştür. Bununla birlikte, haberde ve ürün tanıtımında mevcut analiz sonrasında ne tür bir yol izlenecek (sansür vs.) bununla ilgili detay verilmemiş. Diğer taraftan, bu iletişim ağına neler dahil diye bakarsak:

  • Bitcoin
  • BitTorrent
  • eDonkey
  • Freenet
  • Gopher
  • Kademlia
  • NFS
  • SSH
  • Tor
  • XMPP
  • SMB
  • RDP
  • LDAP

listenin geri kalanına buradan ulaşabilirsiniz.

Taraf’ın -sözde- ele geçirdiği belgelerde (Neden sözde; çünkü o belgelerden hiçbir şey anlaşılmıyor. Gazetecilik böyle olmasa gerek?) MİT’in bir aracı haline dönüştürülen TİB’in Türk Telekom’a bu konuda bir direktif götürdüğü ve sonucunda da böyle bir cihazın alınarak trafiğin analiz edilmesi sağlanabilecektir. Ayrıca, NAVL’ın önemli bir özelliği ise 80GBps gibi bir trafiği kaldırabilecek bir donanım olmasıdır. Diğer taraftan, -kendi tanıtımları- kritik trafik ile ilgisiz trafiği ayırabilecek bir yapıya sahip olduğudur. Bu ne anlama geliyor? Derin paket analizlerini kendi istekleri doğrultusunda “kişiselleştirebilecekler” ve daha spesifik analiz yaparak gereksiz trafik analizi yükünü çekmeyeceklerdir. Bununla birlikte, Türkiye’nin uzun zamandır Phorm adında derin paket analizi yapan bir başka sistemi daha mevcuttur. TTNet kullanıcıları bu sisteme otomatik olarak eklenmiş, sonrasında açılan davada TTNet ceza ödemeye mahkum edilmişti. Fakat, TTNet kullanıcılarını gezinti.com ile kişiselleştirilmiş reklam adı altında bu sisteme haberleri olmadan eklemeye de devam etmektedir.

Benim bu noktada kafamı karıştıran şey, NetClean ve Procera haberlerinin gündemde bir etki ve korku yaratmasını sağlamak bir tarafa Türkiye’nin kaç tane farklı donanım peşinde koştuğudur. NetClean bir URL engelleme sistemi, Procera derin paket analizi (DPI) sistemi üzerine yoğunlaşmış iki şirkettir. Yakında, hangi alanlarda yeni donanıma ihtiyaç var hepimiz göreceğiz.

Tagged , , , , , , , , , , , , , , , , , , , ,

Büyük Birader’le Mücadele Etmek

Çocukluğumda yaptığım yaramazlıklar için en çok duyduğum öğüt, “karda yürü ama izini belli etme” idi. Her anımızın gözetlendiği, bir şekilde kaydı tutulduğu ya da bir şekilde bize ait özel dediğimiz verilerin okunduğu şu günlerde Büyük Birader’le mücadeleye nereden başlamalı, bir giriş olarak anlatmak istedim.

  • Biraz paranoya iyidir

Anonimlikte, bence, motivasyon çok önemli. Her adımınızı gözetleyen Büyük Birader’e karşı zihnen de bir mücadele vermektesiniz ve bu konuda motive, sizlere çok büyük bir destek kaynağı olacaktır. Motivasyonun yanına biraz da paranoya eklersek, bence harika olur. Paranoya’nın kısa bir tanımına bakalım:

Paranoya, bireyin herhangi bir olay karşısında olayın oluşumundan farklı olarak gelişebileceğini kendi içerisinde canlandırma yolu ile öne sürdüğü ve sınırsız sayıda çeşitlendirebileceği hayal ürünlerinin tümüdür.

Sizlere yazılarımda devamlı “tehlike modeli“‘nden bahsetmekteyim. Tehlike modeli oluşturmak (kişisel görüşüm) biraz da paranoyaya dayanıyor (ayrıca hesapları ayrıbilmekte örnek bir model var). Çünkü her olay karşısında, bu olayın gelişimi için farklı canlandırmalar oluşturuyor ve buna karşı güvenliğinizi sağlamak üzerine yeni yöntemler geliştiriyorsunuz. Elbette bunu hastalık boyutuna taşımak kişise zarar verecektir. Fakat, paranoyanın model geliştirmedeki etkisini gözardı etmemek gerekli. Anonimlikle ilgili ısrarla söylediğim şeylerden birisi de; “kimsiniz ve kimden saklanıyorsunuz, neden ve ne tür bir risk almayı hedefliyorsunuz?”. Yani, anonimlik düzeyiniz hesaplanabilir, biraz paranoyak olun, iyi bir model oluşturun ve kendinizi koruyun!

  • Kriptografiye önem vermek

Türkiye’deki üniversitelerde kriptografi ile ilgili ne kadar eğitim veriliyor ya da ne kadar insan bu konuda bilgilendiriliyor, bunun üzerine pek bilgi sahibi değilim. Kriptografi çok çok önemli bir konu ve üzerine ciddi olarak düşülmesi, ayrıca bu konuda yerel literatüre çok şey katılması gerekli olduğu düşünüyorum. Kısa bir tanım yapacak olursak:

Kriptografi, gizlilik, kimlik denetimi, bütünlük gibi bilgi güvenliği kavramlarını sağlamak için çalışan matematiksel yöntemler bütünüdür. Bu yöntemler, bir bilginin iletimi esnasında karşılaşılabilecek aktif ya da pasif ataklardan bilgiyi -dolayısıyla bilgi ile beraber bilginin göndericisi ve alıcısını da- koruma amacı güderler.

Sizin için önemli olan tüm verileri şifrelemelisiniz. Bunun daha başka bir açıklaması yok. Eğer mümkünse tüm verilerinizi şifreleyin. Bu, sizi güvende tutmanın temel ve başlıca yollarından biridir. Bu konuda ne tür araçlar kullanabilirsiniz, kısaca bir göz atacak olursak:

* E-postalarınız için GnuPG kullanabilirsiniz.
* Dosyalar için ccrypt ya da encfs kullanabilirsiniz.
* Disk için TrueCrypt ya da dm-crypt + LUKS kullanabilirsiniz.
* Anlık mesajlaşmalarda OTR eklentisini kullanabilirsiniz.
* Ağ için SSH kullanabilirsiniz.

Örnekler elbette çoğaltılabilir. Burada iş sadece şifrelemekle bitmiyor. Temel bir örnek ve tavsiye olarak, kullanacağınız şifre ya da şifreler sizinle ilgili ya da size ait herhangi bir bilgi içermemeli. Güvenli bir şifrenin yolu akılda kalması (inanın kalıyor) zor da olsa, rastgele şifrelerden geçiyor. Bu, sözlük saldırılarında ya da brute force saldırılarında sizlere ciddi bir avantaj sağlamakta. Dikkati çekmek istediğim bir diğer nokta ise kanun uygulayıcılarının yoktan delil var etme ya da herhangi bir şeyi delil olarak kullanma konusundaki tutumları. Bu nedenle, şifrelediğiniz herhangi bir şey yazılı/basılı olarak elinizde bulunmamalı. Elinizdeki basılı dökümanlarla işiniz bittiyse, yakın gitsin. Yedek alacaksanız, aldığınız bu önemli ve şifreleri verilerin yedeğini ailenize, eşinize, dostunuza ait bilgisayarlarda saklamamanız tavsiyedir.

  • Hesapları ayırabilmek

Hesapları ayırmaktan kastettiğim, anonim kimliğiniz ile gerçek kimliğinizi içeren hesapların ayrımını yapmak çok önemli. Anonim hesabınız üzerinden gerçek hesaplarınıza bir bağlantı kurulmamalı. Eğer bu bağlantı kurulursa, artık anonim de değilsinizdir. Anonimlik, tanımı gereği içinde anonim özneleri aşmaya çalışan saldırganları da içerir. Yani, eğer bir anonimlik varsa bu anonimliği ortadan kaldırabilmek için çalışanlar da olacaktır. Bu, kanun uygulayıcı olur, gizli servisler olur, başka bir anonim özne olur. Önemli olan bir saldırgan varlığını asla unutmamak.

Bir diğer nokta da anonim hesabınız üzerinden gerçekte tanıdığınız ve sizin bu kimliğinizi bilen insanlarla pek iletişime geçmemeniz (özellikle telefonla) gerekliliği. Bu konuda kararınız net olmalı ya da en azından ne kadar bilgiye sahip ya da ne zaman bilgiye sahip olacaklarını iyi kararlaştırmak gerekli. Bu, bence çeşitli riskleri de beraberinde getiriyor. Saldırgan ne kadar dar bir çevre oluşturabilirse, sizin kimliğinizi tespit etmesi de o kadar çabuk olabilir. Şimdi bunu basitçe örneklendirelim (şema eklendi):

model

Ben anonim kimliği “X“, gerçek kimliği “A” olan bir bireyim. “X” kimliğini gerçekte kim olduğunu (A’yı) bilen “W“, “Y” ve “Z” gerçek kimlikleri var. Ayrıca, “X” kimliğini aşıp “A” kimliğine ulaşmak isteyen saldırgan “S” var. Eğer, saldırgan “S“, benim “W“, “Y” veya “Z” gerçek kimlikleri ile iletişimde olduğumu bir şekilde farkederse saldırı kapsamını daha karmaşık ve kapsamlı bir halden daha spesifik ve daha dar bir hale getirir. Gerekirse, “W“, “Y” ya da “Z“‘ye doğrudan veya dolaylı olarak baskı/saldırı düzenleyerek benim gerçek kimliğime ulaşabilir. Bu saldırı, örneğin, bir man-in-the-middle saldırısı olabilir. Siz “X” anonim kimliği üzerinden “W” gerçek kimliği ile iletişime geçerken, saldırgan araya girip mesaj içerikleri ile oynayarak sizin “A” gerçek kimliğinizi elde edebilir. Bu bahsettiğim örnek, ayrıca bir tehlike modelidir. Bu yüzden ısrarla diyorum ki, bir tehlike modelinizin olması şart!

  • Kayıtlar

Özellikle /tmp, /var/log ve kullanıcı dizininde (/home/kullanıcı) kalan geçmiş ya da yedek dosyaları sizin için bir risk teşkil etmekte. Kullandığınız program, araç vs. her ne ise bunun nerede kayıt tuttuğunu bilmeniz sizin faydanıza olacaktır. Bir diğer noktada terminal üzerinde gerçekleştirdiğiniz şeylerin (kabuktan kabuğa değişmekte) de ayrı ayrı kaydı tutulmakta. Örneğin:

bash: .bash_history
zsh: .zsh_history
vim: .viminfo
.
.

Yedekler için:
*.swp
*.bak
*~
.
.

Bu sizin kullandığınız ortama göre değişim göstereceği için temel olarak sıralayabileceğim belli başlı şeyleri örnek olarak gösterdim. Sistemden çıkış yaparken bunları silerseniz ya da en azından nelerin kaydını tuttuklarını incelerseniz sizin yararınıza olur. Uygulama olarak Bleachbit, temizleme konusunda tercih edilebilir (Emre’ye teşekkürler.).

  • Karda yürü ama izini belli etme

Ceza hukukunun ciddi bir eleştirisini hukukçu olmadığım için yapamam. Fakat, kanun uygulayıcılarının hukuk dışı deliller elde ederek bireyi hapse atıp, daha sonra mahkemede tutuklu olarak yargılamaya başlaması ne vahim bir durumda olduğunun göstergesidir. Sonuca gelirsek, iyi bir motivasyon, biraz paranoya, önemli verileri şifreleyip anonim kimliğimizle gerçek kimliğimizin ayrımı tam olarak yapabilmek, kendimize uygun tehlike modelleri geliştirip bunlara karşı savunma yöntemleri hazırlamak, ve son olarak karda yürüyüp izimizi belli etmemek! Ayrıca, bu yöntemler sadece burada yazanlarla sınırlı değildir. Herkesin ayrı bir modeli olacak ve yöntemler de ona göre şekillenecektir.

Büyük Birader’i artık her zamankinden daha soğuk bir kış bekliyor.

Tagged , , , , , , , , , , , , , , , , , , , , , , , , ,

Online Kripto Araçları

Başlığa aldanıp nasıl kullanacağınızı anlatacağım bir rehber zannetmeyin. Snowden’in belgelerine dayanarak NSA tarafından bir şekilde kırıldığı söylenen bu araçların neler olduğundan bahsedelim.

Amerikan İç Savaşı muharebelerinden olan Bull Run ilk 21 Temmuz 1861 yılında gerçekleşti. Konfederasyon’un kazandığı bu muharebe aradan 152 yıl sonra NSA’in belirli ağ iletişim teknolojilerini kırmak için kullandığı kripto çözme programının kod adı oldu. İngiltere cephesinde ise 23 Ekim 1642 yılında ilk İngiliz İç Savaşı muhaberesi olan Edgehill, bu kripto çözme programına isim verdi.

Bullrun Projesi ortaya çıkarttığı üzere, NSA ve GCHQ’nun HTTPS, VoIP, SSL gibi geniş çapta kullanılan online protokollere karşı bunu kullanmakta ve bu protokolleri kırabilmektedir.

Bu protokoller, programlar nelerdir, bakacak olursak:

VPN (Virtual Private Network)
Özellikle şirketlerin çalışanlarının ofise uzaktan erişim sağlayabilmesi için kullandığı VPN‘ler.

Şifreli Chat
İletim esnasında kırılması mümkün olmayan (mesaj servisi tarafından bile), Adium ve AIM gibi noktadan noktaya şifreleme sağlayan programlar.

SSH (Secure Shell)
Güvensiz bir ağda, güvenlik kanalı üzerinden iki bilgisayar arasındaki veri aktarımının gerçekleştirilmesini sağlayan, kriptografik ağ protokolü. GNU/Linux ve Mac kullanıcıları için standart halinde gelmiş bir uygulamadır.

HTTPS (Hypertext Transfer Protocol Secure)
Özellikle kullanıcı ve sunucu arasındaki bilgilerin (şifre, finansal bilgiler vs.) başkaları tarafından erişmini engellemek için HTTP protokolüne SSL protokolü eklenerek oluşturulmuş ve standart haline gelmiş güvenli hiper metin aktarım iletişim kuralı. Son dönemde Facebook, Twitter, Gmail gibi servislerle daha da bilinir hale gelmiştir.

TSL/SSL (Transport Layer Security/Secure Sockets Layer)
İstemci-sunucu uygulamalarının (tarayıcı, e-posta vs.) ağ boyunca gizlice dinleme ya da yetki dışı erişimi engellemek için olan kriptografik protokollerdir.

Şifreli VoIP (Voice over Internet Protocol)
Microsoft’un Skype ya da Apple’ın FaceTime gibi servisleri kullanıcıların Internet üzerinden sesli ve görüntülü iletişim kurmalarını sağlayan uygulamalar.

Tagged , , , , , , , , , , , , , ,