Tag Archives: ttnet

Bindik Bir Alamete

Özlediniz mi? 4 aydır bir koşuşturmacanın içerisinde birçok şeyden, özellikle de en çok keyif aldığım yazından uzak kaldım. Dilimin bozulduğunu, gündelik yaşama kurban gittiğini düşünmeye başlıyorum. Umarım kısa sürede toparlarım. Ağustos ayından bu yana bir derleme yazısı olarak sizlere sunarım.

Adını hatırlayamadığım televizyon programlarının birinde, üniversite gençliğinin nedense köşe yazıları okumadıklarından, diğer taraftan 5 tane köşe yazarı sayın deseler bir taneyi bile zor söyleyeceklerinden dem vuran, sözüm ona biz bu yollardan geçeli çok oldu abilerin hiçbir şeyi çözümlemeyen tartışmalarından birini izliyordum. Bu program ile bir üniversite öğrencisi olarak köşe yazarı da sayamadığımı farketmiştim. Aradan geçen zaman içerisinde, köşe yazarı öğrenmek veya takip etmek için pek çaba gösterdiğim de söylenemez. Tek yaptığım, Internet üzerinde yer alan haberlere veya yazılara ulaşarak okuduklarımı doğrulamaya çalışmaktı.

Birkaç gün önce Diken‘de, Nuray Mert‘in “Muhafazakar demokratlıktan radikal İslamcılığa: Tehlikenin farkıda mısınız?yazısını okudum. AKP’nin kavgasının ne olduğuna dair yapmış olduğu ilk alıntı, Türkiye’deki muhafazakâr demokratlık modelinin, devletleşen AKP’nin otoritesini korumak ve hâkimiyet alanını toplumun her kesimi üzerine yaymak için her yolu mübah gören bir model olduğunu söylemeye çalıştığını algıladım. Mert, bunu da muhafazakâr demokratlıktan radikal İslamcılığa kayış olarak bir dönemin meşhur ve çok eleştirilen Cumhuriyet gazetesi reklamıTehlikenin farkında mısınız?” ile altını çizmiş. Benim muhafazakâr demokrat görüşüm başından beri radikal İslam’a uydurulan bir kılıftan öte olmadığı yönündeydi. Neo-Liberal AKP’nin paraya dayalı siyaset anlayışının bir yerde patlayacağına şaşırmamak gerekirdi.

Bununla birlikte, Mert, AKP’nin toplum üzerinde yarattığı baskı, korku, engelleme, ötekileştirme, yaftalama v.b. kendisine muhalif olanların sesini kesmek ve kökünü kazımak için kontrolü altında bulunan tüm kanalları kullanarak, kendini baskı altında hissetmeyen kesimlerin dahi kendilerini büyük bir kavganın içine çektiğini de özellikle belirtmiş. Benim de paralel olarak bu blog üzerinde yer alan birçok yazıda sansürün sadece belirli bir kesimi etkilemediği ve etkilemeyeceği, sansürün sistematik olarak konuyla ilgili ilgisiz herkesin ifade, Internet, düşünce, v.b. özgürlüklerine etki edeceğini vurgulamaktaydım. Nitekim, AKP’nin yeni Türkiye’si, kendi dünya görüşlerini muktedirlik ile vaki, toplumun her kesimine dayatıp, bunu kabul etmeyenleri ise sindirmek için elinden geleni yapan bir öğütücüye dönüşmüştür.

Bu öğütücüyü daha yakından tanımak için  Ağustos ayından bu yana olan süreci derlemek gerekmektedir. Konuyla ilgili olarak kronolojik derlemeyi aşağıda bulabilirsiniz:

  • Freedom House‘un Ağustos ayı sonunda yayımlamış olduğu Türkiye raporunda, Türkiye’nin Internet özgürlüğü için savaş alanı olduğunu, tüm dünyanın imreneceği bir özgürlükle veya hükûmetlerin sansür politikaları ve sonuçları açısından diğer baskıcı rejimler için de bir model olabileceğini belirtmektedir.
  •  Reyan Tuvi’nin “Yeryüzü Aşkın Yüzü Oluncaya Dek” isimli belgeseli Altın Portakal Film Festivali programından çıkarılarak hem sinemaseverlerin hem de yapımcıların ifade özgürlüğü engellenmiş oldu. Dahası, yoğun tepkilerden sonra belgesel yarışması Altın Portakal’da iptal edildi.
  • CNN Türk‘te Dünya’nın 1001 hali isimli programda Peter Paul Rubens‘in 3 Güzeller isimli tablosu sansürlenerek gösterildi.
  • Shakespeare’nin en sevilen eserlerinden biri olan ve bolca iktidar eleştirisi içeren Macbeth, Kültür Bakanlığı yetkililerinin beğenmemesi üzerine programdan kaldırıldı.
  • TTNET, hiçbir yasal bildirim olmadan Wikipedia Türkiye‘deki “vajina, insan penisi, testis torbası, kadın üreme organları” maddelerine erişimi engelledi. Neyse ki kütüphanemizi süsleyen eski ansiklopedilerdeki benzer makaleleri yırtın emri henüz tarafımıza ulaşmadı.
  • DYO resim yarışmasında sergilenme hakkı kazanan Metin Çelik’in Çilek Seven Kadın tablosu İBB’ye ait Cemal Reşit Rey Konser Salonu’ndaki sergi açılışına nü resimlere izin verilmemesi gerekçe gösterilerek dahil edilmedi.
  • Yalan hikayesine dönüşen Biden özür diledi mi dilemedi mi‘den sonra Biden ve Erdoğan’ın İstanbul görüşmesinde gazetecilere soru sorma yasağı getirildi. Basın hür değildir ve sansür edilebilir (Yeni Türkiye Cumhuriyeti Anayasası).
  • 17 Aralık 2014 ile patlak veren yolsuzluk soruşturmalarında 4 eski bakan, Egemen Bağış (Bakara makara kukara fukara.), Muammer Güler (Kaç paran var oğlum?), Zafer Çağlayan (Aslında o kadar da pahalı bir saat değil.) ve Erdoğan Bayraktar (Ben yapmadım Erdoğan yaptırdı.) ile ilgili olan haberlere yayın yasağı getirildi.
  • Uluslararası Basın Enstitüsü, yolsuzluk haberlerine getirilen yayın yasağı için hukuka olan inancın zayıflayacağı ve eşi benzeri görülmemiş bir sansür olduğu yönünde bildirimde bulunmaktadır. Hukuka olan inançtan söz etmek için hukuktan da söz etmek gereklidir. Fakat, Türkiye’de hukuk denildiğinde insanı bir gülme tutuyor.
  • Freedom House son raporunda Türkiye’nin bir önceki yıla göre Internet özgürlüğü konusunda Uganda’nın gerisinde kaldığını belirtmektedir. Aklınızda sakın Uganda’nın çok kötü, Türkiye’nin ondan bile kötü olduğu fikri oluşmasın. Bazen haber başlıkları kasıtlı olarak dikkat çekmesi amacıyla böyle giriliyor. Türkiye de en az Uganda kadar kötü bir ülkedir.

Son olarak, yeni Türkiye’de bindik bir alamate, gidiyoruz kıyamete. İyimserliği bir kenara bırakmanın vakti de çoktan geçti. AKP’nin yeni Türkiye’sinde anayasal hak olarak tanınmış özgürlüklerin devleti hiçbir bağlayıcılığı içermediğini defalarca gördük. Leviathan misali, hiç durmadan ve dört bir yanımızı saran yasaklar ile oluşturulan büyük baskı havası, toplumun sadece muhalif kesimini değil, aslında tüm kesimleri derinlemesine etkilemekte ve toplum içerisindeki kutuplaşmanın ve nefretin de katlanmasına neden olmaktadır. Bunlar sadece benim çıkarımlarım değil. Hemen herkesin her gün deneyimlediği ve içten içe dillendirdiği şeylerdir. Alametimiz büyük, gelecek kıyamet ise çok daha büyük olacak.

Tagged , , , , , , , , , , , , , ,

Haber Siteleri, Phorm ve Derin Paket Analizleri

Kişiselleştirilmiş reklam ve içerik, adı üzerinde kişiye özgü, ilgi alanlarına giren reklamların ve içeriklerin oluşturduğu bir bütündür. Daha geniş anlamıyla, bir reklamın size özel olabilmesi için sizinle ilgili kapsamlı ve gizliliğinizi ihlal edecek bir bilgiye sahip olunması ve sizin eşsiz bir profilinizin çıkartılması gereklidir. Internet çerçevesinden bakıldığında bu bilgiler, sizin ziyaret ettiğiniz websitelerinden okuduğunuz haberlere, izlediğiniz videolardan dinlediğiniz müziğe, alış-veriş sitelerinde baktığınız ürünlerden oynadığınız çevrimiçi oyunlara kadar çok geniş bir alanı kapsamaktadır. Bununla birlikte, bilgilerin toplanması için çeşitli servisler çoğunlukla arka planda ve sizden habersiz bir şekilde çalışmaktadır. Türkiye’de ise bu işi yapan gezinti.com servisi kendini “internette gezinirken hassas içerik ve sayfaları hariç tutarak oluşan ilgi alanlarınıza göre size özel içerik ve reklam sunan ücretsiz bir servistir” şeklinde tanımlamıştır. Fakat, tüm bu kişiselleştirilmiş içerik ve reklam üretiminin altında yatan sistem aslında bir derin paket analizi sistemidir. Internet, veri paketlerinin karşılıklı değişiminin olduğu bir ağ olup, bu ağlarda paketler temel birimlerdir. Phorm gibi sizlere özel içerik ve reklam adı altında hizmet sunan servisler de bu ağ üzerinde dolaşan paketlerin içeriğini incelerler ve sizlerin eşsiz bir profilinizi çıkartırlar.

Bana gelen bir e-postada Twitter’ın 17 Aralık 2013 yolsuzluk operasyonu ile ünlenen hesabı fuatavni‘nin Rota haber‘de yazdığı ve Rota haber’de ise Phorm’un aktif olduğunu belirtiyordu. Kontrol ettiğimde Rota haber’de ise Phorm sunucularınun aktif olduğu ve http://ptreklam.com.tr/tag/1.js üzerinden Phorm’un çalıştığı sonucu geldi. Diğer taraftan, PT Reklam Çözümleri ve Anonim Şirketi Phorm’un Türkiye’deki adresidir.

kame $ whois ptreklam.com.tr
** Registrant:
   PT REKLAM COZUMLERI TICARET VE SERVIS ANONIM SIRKETI
   Büyükdere Cad. Ali Kaya Sok. Polat Plaza B Blok
   No:4 K:13 Oda No:2 Levent Şişli
   İstanbul,
     Türkiye
   moreinfo@phorm.com
   + 90-212-3197670-
   + 90-212-3197600-


** Registrar:
NIC Handle              : tyh14-metu
Organization Name       : TURKTICARET.NET YAZILIM HIZ. SAN. VE TIC.A.S.
Address                 : Büyükdere CAd. Ecza Sk. Safter İş merkezi Kat: 3
                          Levent
                          İstanbul,34330
                          Türkiye
Phone                   : + 90-224-2248640-
Fax                     : + 90-224-2249520-


** Domain Servers:
ns1.phorm.com
ns2.phorm.com

** Additional Info:
Created on..............: 2013-Jan-23.
Expires on..............: 2016-Jan-22.

Anlaşılan, fuatavni hesabının yazılar yazdığı veya tweetlerinin yayınlanarak haberler oluşturulduğu bir haber sitesinde Phorm aktif olarak çalışmaktadır. Ayrıca, ben 1.js dosyasına erişmek istediğimde beni http://gezinti.com/tag/1.js adresine yönlendirdi. İşletmeler hakkında bilgi sahibi olmadığım için PT Reklam’ın aslında TTNET’e bağlı bir alt firma veya kağıt üzerinde bir firma olabileceğini düşünüyorum. TTNET, dolaylı bir yolla gezinti.com’u kullanarak bir haber sitesi üzerinde, dahası 17 Aralık 2013 ile iktidara ait birçok sırrı ifşa ettiği söylenen bir hesabın bağlantı verdiği bir haber sitesi üzerinde derin paket analizi gerçekleştirmektedir.

Bu durumun ciddiyetine gelecek olursak; öncelikle fuatavni’nin bağlantılar vermeye başlamasından sonra mı yoksa öncesinde mi Phorm’un aktif olup olmadığını bilmiyorum. fuatavni’nin Rota haber’de Phorm’un aktif olduğunu bilip bilmediği üzerine de bir fikrim yok. Ayrıca, Rota haber sitesinde böyle sistemin aktif olduğunu biliyor mu yoksa bilmiyor mu belli değil. Bu üç durumun önemi ise ilk olarak öncesinde aktif olması bir haber sitesi üzerinde derin paket analizi gerçekleştirildiği ile sonrasıda ise muhalif hesapların yönlendirmeler yaptığı haber sitelerinde ve özellikle haber içeriklerinde derin paket analizlerinin yapıldığı ayrımında yatmaktadır. Diğer taraftan, fuatavni Phorm’u bilmiyorsa kendisini takip eden ve okuyanları (sadece Twitter’da 900 küsür bin kişi) bir gözetim sistemi içine dahil ediyor ve eşsiz profillerinin çıkartılmasına neden oluyor. Eğer, biliyorsa titresin ve kendine gelsin. Son olarak, Rota haber sitesi Phorm’un aktif olduğunu bilmiyorsa bir an evvel bunu engellemesi gerekmektedir. Bir şekilde javascript’i sitelerine gömmek zorunda kalmış veya gömmeye mecbur bırakılmışsa, bu diğer Interner haberciliği yapan websitelerin de ileride başının ağrıyacağının habercisidir. Çünkü, muhalif görünen herhangi bir hesap bir bağlantı verdiğinde, bu sitelerde Phorm’un aktif olması içten bile değil.

Bundan sonrasının bir teori olduğunu vurgulayarak, bağlantıya tıklayıp haber sitesine ve dolayısıyla habere ulaşanlar bir nevi bu hesabı takip edenler veya bu hesabın verdiği bağlantılar ile içeriğe ulaşanlar olarak profillenmektedirler. Diğer taraftan, haber sitesinin takipçileri ise ilgili veya ilgisiz bir şekilde düzenli olarak okudukları haberlere göre profilleri çıkartılmaktadır. İki farklı şekilde ayırdığım ziyaretçilerin ise birbirlerinden nasıl ayrıldığı meçhul. Belki de haberleri okuyan herkes fuatavni potası içine girmektedir. Bununla birlikte, tüm Internet bağlantıları derin paket analizi altında çok daha kapsamlı bir ayrıştırmaya gidilmektedir. Bir diğer nokta da muhalif haber sitelerinde ve iktidarı eleştiren sitelerdeki köşe yazıları, haberleri, röportajları vd içerikleri ziyaret eden kullanıcıların da bu yöntemle profillerinin çıkartılması olasılığını yüzümüze çarpmaktadır.

Internet haberciliğinin habere erişim kolaylığı ve bir haberin doğrulanmasının çok hızlı bir şekilde gerçekleştirilebilmesi en temel özelliklerindendir. Muhalif, yanlı, bağımsız veya ne olursa olsun bu içeriklere erişen, okuyan veya paylaşan herkes derin paket analizi ile gözetim altına alınmakta ve okuduğu haberler/içerikler kapsamında eşsiz profilleri çıkartılmaktadır. Ayrıca, bu haberlere/içeriklere erişenlerin Internet hatlarının tamamının izlenip izlenmediği de belli değildir. Internet özgürlüğü sadece ifade özgürlüğünün koruyucusu değil aynı zamanda basın özgürlüğünün ve özgür Interner haberciliğinin de koruyucusudur. Internet haberciliğinin önündeki büyük engeller ve iktidarın kontrol konusundaki kafayı bozması bir yana bu websiterin yaşayacağı bu tarz büyük sorunlar da yukarıda bahsettiğim temel özelliklerinin üzerini çizerek ileride çok baş ağrıtacağa benziyor.

Tagged , , , , , , , ,

DNS Leak Tehlikesi

Kullandığımız anonim ağlara ya da VPN tünellerine aldanıp anonim olduğumuzu zannederken, aslında tüm Internet aktivitelerimizin İSS tarafından rahatça izlenip kaydedilebilmesi, bir DNS sızıntısı ile o kadar kolay ki.

  • DNS Sızıntısı (Leak) Nedir?

what-is-a-dns-leak
Anonim bir ağ ya da VPN servisi kullandığınız zaman, bilgisayarınızdan geçen tüm trafiğin bu anonim ağ ya da  servis üzerinden güvenli bir şekilde gönderildiği varsayılır. Tor veya VPN kullanmanızdaki temel neden, trafiğinizi İSS’nizden ve diğer üçüncü kişilerden gizlemek, anonimliğinizi arttırmaktır. Fakat bazı durumlar vardır ki, siz güvenli bir VPN bağlantısı kurduğunuzu düşünseniz bile, İSS’niz Internet trafiğinizi izleyebilir ve çevrimiçi aktivitelerinizi monitörleyebilir. Yani, bir nedenle sorgularınız VPN bağlantınız ya da anonim ağ yerine İSS’nizin DNS sunucularına da yönleniyorsa, burada bir DNS sızıntısı (leak) var demektir. Şema üzerinden anlatırsak; bir VPN tüneline sahipsiniz ve EFF için bir sorguda bulundunuz. Normal olarak sorgunuz tünelden VPN servisine, VPN servisinin DNS sunucusu ve oradan da EFF’ye ulaşmalı. Fakat, sorgunuza İSS’niz DNS sunucusu da cevap vermektedir. Bu da şu anlama gelmektedir; İSS’niz İnternet aktivitilerinizi bir bir kaydetmekte, sizleri rahatça izlemektedir.

Anonimliği tehdit eden en büyük tehlikelerden biri DNS sızıntısıdır. Çünkü, anonim bir ağa bağlı olsanız bile (mesela Tor), işletim sisteminiz anonim servis tarafından atanan anonim DNS sunucuları yerine kendi varsayılan sunucularını kullanmaya devam etmektedir. Bu da kullanıcılara sahte gizlilik hissi vermekte ve sonuçları üzücü olmaktadır.

Etkilenenler;
VPN sunucuları
Socks proxyleri (Tor gibi)

Etkilenmeyenler;
CGI Proxyleri
SSH tünel ile HTTP proxyleri

  • Transparan DNS Proxyleri

transparent-dns-proxy

Günümüzde bazı İSS’lerin Transparan DNS Proxysi adında bir teknoloji kullandığı bilinmektedir. Bu şu işe yarıyor; siz eğer bir DNS sorgusu yaparsanız, İSS bunu sadece kendi DNS’leri üzerinden (TCP/UDP port 53) yapılmaya zorluyor. Bir örnek vererek anlatalım. Siz DNS sunucusu olarak OpenDNS‘i kullanmaktasınız ve EFF için bir sorgu yapacaksınız. Transparan DNS Proxysisi sizin isteğiniz OpenDNS sunucularına ulaşmadan araya girip akışı keserek İSS’nin kendi DNS sunucusuna yönlendirmekte ve OpenDNS sunucusu yerine İSS DNS sunucusu cevap vermektedir. Siz tabi bu noktada “Ben VPN kullanıyorum, güvendeyim.” veya “Tor kullanıyorum, güvendeyim.” diyebilirsiniz. Fakat, sonuçlar sizin beklediğiniz yönde gerçekleşmemektedir (şemalar DNS leak test’ten alıntıdır).

  • Tehlikenin Boyutlarına Dair

Bir tehlike modeli üzerinde (Modeller çoğaltılabilir. Mesela ücretsiz anonim socks proxyler üzerinden modeller oluşturulabilir, denemesi size kalmış.) sizlere DNS sızıntısı göstereyim. Modelimiz şu; Amerika lokasyonlı bir VPN servisi kullanıldığınızı düşünün. Ayrıca tarayıcınız da Tor üzerinden internete (exit-node da Amerika’da) girdiği farzedilmekte. Fakat, dinamik ip kullanmaktasınız ve özel bir DNS ayarına sahip değilsiniz;

2013-10-20-002934_1920x1080_scrot

Tor veya VPN servisinizin DNS sunucularını görmeniz (görmezseniz daha iyi) doğal olarak beklenendir. Sizin tek görmek istemeyeceğiniz şey ise, trafiğinizi ondan gizlediğinizi sandığınız İSS’niz olacaktır. Fakat, sonuca bakarsak;

2013-10-20-014138_1920x1080_scrot

Tam bir facia! En üstte VPN servisinizi görüyorsunuz. Daha da kötüsü, siz Tor kullanmanıza ve VPN tüneli oluşturmanıza rağmen, ve tüm bunların üzerine kendinizi tamamen güvende (tamamen olmasa da bir nebze) hissederken, farkında olmadığınız bir DNS sızıntısına sahipsiniz. Diğer enteresan nokta, Firefox, socks proxy (Tor) yerine işletim sisteminin bağlı olduğu ağ (İSS) üzerinden DNS sorgusu gerçekleştirip, Tor’u tamamen atlamış. Tabi burada benim aklımı daha çok kurcayalayan şey, TTNet’in ya da Türkiye’de hizmet veren herhangi bir İSS’nin transparan dns proxysine ya da proxlerine sahip olup olmadığı. Gerçi, TTNet pişkin pişkin Phorm kullanmaya devam edip ve DPI ile paket analizlerine dalmış olduğu için bunu sormak (gene de şunda veya bunda vardır diyemiyorum) abesle iştigaldir.

  • DNS Sızıntı Testi

Böyle bir durumla karşıya karşıya olup olmadığınızı anlamak için;

– DNS Leak Test: https://www.dnsleaktest.com
– IP Leak: http://ipleak.net/

  • İSS’nin DNS Gaspı (Ekleme: 19.11.2013)

Buradaki işlemleri terminalden gerçekleştireceğiz. Önce, varolmayan bir domain adresine ping atalım;

kame $ % ping yokboylebirdomain.ltd
PING yokboylebirdomain.tld (195.175.39.75): 56 data bytes
64 bytes from 195.175.39.75: icmp_seq=0 ttl=236 time=336 ms
64 bytes from 195.175.39.75: icmp_seq=1 ttl=236 time=292 ms
64 bytes from 195.175.39.75: icmp_seq=2 ttl=236 time=274 ms

İşte aradığımız! Var olmayan bir domain’e 195.175.39.75 IP’si üzerinden yanıt geliyor. Yani İSS’niz (örnekte gerçek) sahte bir adres üzerinden sorgularınıza yanıt veriyor.

kame $ % nslookup yokboylebirdomain.tld
Server: 192.168.2.1
Address: 192.168.2.1#53

Non-authoritative answer:
Name: yokboylebirdomain.tld
Address: 195.175.39.75
Name: yokboylebirdomain.tld
Address: 195.175.39.71

Sahte IP’yi sonunda yakaladık; 195.175.39.71!

  • Ne Yapmalı?

Öncelikle, testi yaptığınızı ve kötü sonuçla karşılaştığınızı varsayarak; bir, statik ip ayarını yapmayı öğrenin. Internette bununla ilgili girilmiş tonlarca yazı, alınmış ekran görüntüsü ve nasıl yapacağınızı anlatan videolar bulunmakta. Bir aramanıza bakar. Hangi işletim sistemini kullanırsanız kullanın, bunu yapın.

İki, iyi bir DNS servisi bulun. Benim bu konudaki önerim aşağıda. Eğer, sizin farklı görüşleriniz varsa, ben sadece Google DNS’i kullanmamanızı tavsiye ederim. Onun yerine OpenDNS‘i gönül rahatlığıyla (dediğime pişman olmam umarım) kullanın, kullandırın.

Üç, Firefox’unuzu aşağıda anlattığım şekilde ayarlayabilirsiniz. Ayrıca, kötü bir VPN servisi kullanmayın, para veriyorsanız da paranızı ziyan etmeyin.

Dört, eğer Windows kullanıyorsanız, öncelikle Toredo‘yu Windows cmd üzerinden kapatın (netsh interface teredo set state disabled). İyi bir firewall kurabilirsiniz. Son olarak, DNS Leak Test’in şu önerilerini uygulayın.

Beş, GNU/Linux’ta alternatif olarak Polipo kurup kullanabilirsiniz.

Altı, Dnscrypt kurup kullanabilirsiniz (Platform bağımsız!).

  • Hangi DNS Servisi?

Ben OpenNIC Project‘in DNS sunucularını kullanmaktayım. Beni kullanmaya iten en önemli ayrıntısı, ücretsiz, sunucuların kayıtlarını bir süre sonra (saatte bir, 24 saatte bir ya da hiç tutmayarak) silmesi (anonimleştirmesi), birçok ülkeden, istediğiniz DNS sunucusunu kullanmanıza olanak vermesi. Şimdilik, sicili gayet temiz ve sunucuları da performans olarak üzmeyecek düzeyde.

  • Firefox Ayarı

Firefox’ta bu dertten kolayca kurtulmak isterseniz eğer, adres çubuğuna about:config yazarak Firefox’un ayarlarını açabilirsiniz. Açtıktan sonra;

network.proxy.socks_remote_dns bulun ve onu true yapın. Böyleyece Firefox bağlı olduğu ağ üzerinden değil socks proxy üzerinden (ayarladıysanız Tor) DNS sorgusu yapacaktır. Eğer kullandığınız uygulamalar DNS ön yüklemesi yapıyorsa, ayarlarında DNSPrefech var mı yok bu bir bakın. Firefox için network.dns.disablePrefetch bulun ve true yapın.

  • Sonuç

DNS sızıntısı basit ve küçümsenecek bir durum değildir. Bunu iyice anlamak lazım. Bir diğer nokta da, “ben Tor’la yasaklı siteye girebiliyorsam nasıl isteğim İSS’me gitsin?” sorusu. Burada bir hataya düşüyorsunuz; Tor’la siteye girmek farklı bir şeydir, siteye girmek için gönderdiğiniz isteğin aynı anda İSS’nize de gitmesi (İSS üzerinden girmeseniz dahi) farklı bir şeydir. Sizin kaçınmanız gereken, konunun da özü, isteğin İSS’nin DNS  sunucularına da gitmesi. “Onu kullanmayı bilen zaten şunu da ayarlar.” yanlış bir bakış açısıdır. Ayarladığını zannedersiniz, güncellersiniz ayarlarınız sıfırlanır, değişir, “VPN kullanıyorum ya, n’olcak.” dersiniz, böyle bir olasılıktan haberdar değilsinizdir ya da iyi bir tehlike modeliniz yoktur, zor duruma düşersiniz.

Anonimlik sizin tehlike modelinize dayanır ve anonimlik düzeyiniz ölçülebilir (bunu her yazımda tekrarlayacağım). Bunun bilincinde olun!

Tagged , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

SSL, Man In The Middle Ve TurkTrust

Wired‘da yayımlanan Law Enforcement Appliance Subverts SSL makalesinden (haber mi deseydik?) sonra biraz geriye gidip makale üzerinden ve yakınlarda gerçekleşmiş TurkTrust‘ın hatalı sertifika üretimi üzerine enteresan bir benzerlikten bahsedeceğim.

Man in the middle attack nedir?
man-in-the-middle
MitM saldırısı yapısı itibariyle aktif bir dinlemedir. Kurban ile sunucu arasındaki orjinal bağlantıya bağımsız bir bağlantı ile giren saldırgan, aslında kendi kontrolü altında bulunan iletişimi, kurbanı ve sunucu ile arasındaki iletişimin gizli ve sadece birbirleri arasında gerçekleştiğine inandırır. Tüm bu süreçte ise gönderilen ve alınan mesajlar saldırgan üzerinden gider. Daha iyi anlaşılabilmesi için wiki‘de bulunan çok güzel bir örnek üzerinden adım adım gidelim (şema Tails‘tan alıntıdır):

  1. Ali, hoşlandığı kız Ayşe’ye bir mesaj göndermek ve onunla pastanede buluşmak ister fakat aralarında bir üçüncü şahıs olan ve Ayşe’den hoşlanan ortak arkadaş Işık vardır ve ikisi de Işık’tan haberdar değildir;
  2. Ali “Ayşe, ben Ali. Bana anahtarını ver.”-> Işık Ayşe
  3. Işık, Ali’nin gönderdiği bu mesajı Ayşe’ye yönlendirir fakat Ayşe bu mesajın Işık’tan geldiğini bilmez;
  4. Ali Işık -> “Ayşe, ben Ali. Bana anahtarını ver.” Ayşe
  5. Ayşe anahtarı ile yanıt verir;
  6. Ali Işık <- “Ayşe’nin anahtarı” Ayşe
  7. Işık, Ayşe’nin anahtarını kendi anahtarı ile değiştirir ve mesajı Ali’ye yönlendirir;
  8. Ali <- “Işık’ın anahtarı” Işık Ayşe
  9. Ali, Ayşe’ye göndereceği mesajı Ayşe’nin sandığı anahtar ile şifreler ve Ayşe’ye gönderir;
  10. Ali “Saat 22:00’da pastanede buluşalım(Işık’ın anahtarı ile şifrelenmiş)” -> Işık Ayşe
  11. Anahtar aslında Işık’ın olduğu için, Işık mesajın şifresini kırar, içeriğini istediği gibi okur, eğer isterse mesajın içeriğini değiştirir, ve elinde bulunan Ayşe’nin anahtarı ile yeniden şifreler ve mesajı Ayşe’ye yönlendirir;
  12. Ali Işık “Saat 22:00’da çorbacıda buluşalım(Ayşe’nin anahtarı ile şifrelenmiş)” -> Ayşe
  13. Ayşe ise bunun Ali’den kendi anahtarı ile şifrelenmiş olarak ulaştığını düşünür. Garibim Ali saat 22:00’da pastanede Ayşe’yi beklerken Ayşe ise Ali ile buluşacağını düşünüp saat 22:00’da çorbacıya, yani Işık’a gider.

SSL, bir kriptografik protokol olup, web trafiğini şifrelemek için kullanılmaktadır. Bu protokol sörf, e-posta, internet üzerinden fax ve VOIP gibi çok geniş çaplı uygulamaları kapsar ve yüksek düzeyde bir şifrelemedir. Tarayıcı ile sunucu arasındaki iletişim ve verinin yukarıda bahsettiğim şekilde dinlenilmesini önler. Hergün ziyaret ettiğiniz birçok site HTTP[S] kullanmaktadır. HTTP ise bu şifrelemeye sahip değildir, gönderilen mesajlar herkes (mesela İSS’niz, ağınızdaki başka bir şahıs) tarafından zorlanmadan okunabilmekte/dinlenebilmektedir.

Makaleye dönecek olursak, Packet Forensics isimli bir şirket bir kutu yapıyor ve bu kutu şifre kırmadan iletişimin arasına girerek gerçek SSL sertifikasını kendi oluşturduğu sahte SSL sertifikası ile değiştiriyor. Şirket sözcüsü Ray Saulino ise bu kutuyu kanun uygulayıcıları için yaptıklarını, Internette tartışıldığını ve çok özel bir şey olmadığını söylüyor. Bununla birlikte, TurkTurst firması 2013 yılı başında 2 adet “hatalı” SSL sertifikası ürettiğini farkediyor (konu ile ilgili ayrıntılı bilgi almak için bu yazıyı okuyabilirsiniz!)

TurkTrust yapığı 4 Ocak 2013 tarihli kamuoyu açıklamasında şöyle diyor:

Yapılan incelemeler sonucunda, söz konusu hatalı üretimin sadece bir kez gerçekleştiği, sistemlerimize herhangi bir müdahalenin söz konusu olmadığı, hatalı üretim sonucu ortaya çıkan bir zarar bulunmadığı tespit edilmiştir.

Microsoft’un duyurusu:

TURKTRUST Inc. incorrectly created two subsidiary CAs (*.EGO.GOV.TR and e-islem.kktcmerkezbankasi.org). The *.EGO.GOV.TR subsidiary CA was then used to issue a fraudulent digital certificate to *.google.com. This fraudulent certificate could be used to spoof content, perform phishing attacks, or perform man-in-the-middle attacks against several Google web properties.

Microsoft, duyurusunda TurkTrust firmasının 2 tane hatalı sertifika oluşturduğunu (*.ego.gov.tr ve e-islem.kktcmerkezbankasi.org), bu hatalı sertifikanın çeşitli Google web özelliklerine karşı phishing ya da man in the middle saldırılarına neden olabileceğini söylüyor.

Microsoft çözümü:

To help protect customers from the fraudulent use of this digital certificate, Microsoft is updating the Certificate Trust list (CTL) and is providing an update for all supported releases of Microsoft Windows that removes the trust of certificates that are causing this issue.

Microsoft, kullanıcılarını bu sahte sertifakalardan koruyabilmek için bir yama yayımlamak zorunda kalıyor. Açık ve net olarak sahte sertifikadan kullanıcıların haberdar olmadığını (muhtelemen man in the middle saldırısı ile ilişkili), ve bunun için de kullandıkları hedef işletim sistemlerini güncellemelerini istiyor.

Mozilla’nın çözümü:

Mozilla is actively revoking trust for the two mis-issued certificates which will be released to all supported versions of Firefox in the next update on Tuesday 8th January. We have also suspended inclusion of the “TÜRKTRUST Bilgi İletişim ve Bilişim Güvenliği Hizmetleri A.Ş. (c) Aralık 2007” root certificate, pending further review.

Mozilla ise duyurusunda Firefux’un 8 Ocak Salı günü tüm desteklenen sürümleri için bu sertifikaları kaldıracaklarını ayrıca “Aralık 2007 tarihlikök sertifikayı ise ileri bir inceleme için askıya alacaklarını söylüyor.

Wired’ın makalesinde geçen kısmı aynen buraya aktarıyorum:

The boxes were designed to intercept those communications — without breaking the encryption — by using forged security certificates, instead of the real ones that websites use to verify secure connections.

Diyor ki; kutular, yukarıda da kısaca bahsettiğim gibi -şifreyi kırmadan- websitelerin güvenli bağlantıları onaylamak için kullandığı gerçek sertifikalar yerine, sahte güvenlik sertifikaları tarafından iletişimlerine müdahale etmek için tasarlanmıştır. Yani burada söz konusu olan saldırı “man in the middle attack“‘tır. Makalenin değindiği bir başka nokta ise daha da vahim bir şeyi ortaya çıkartıyor:

To use the Packet Forensics box, a law enforcement or intelligence agency would have to install it inside an ISP, and persuade one of the Certificate Authorities — using money, blackmail or legal process — to issue a fake certificate for the targeted website. Then they could capture your username and password, and be able to see whatever transactions you make online.

Packet Forensics kutusunu kullanmak için mesela bir istihbarat servisinin (Türkiye için MİT diyelim) kutuyu İSS (mesela TTNet) içine kurmalı, bir tane Sertifika Sağlayıcısı’nı (tesadüfe bakın, TurkTrust) para ile, şantajla ya da yasal bir süreçle hedef websitesi için sahte sertifika üretmesine ikna etmeli. Sonuçta ne oluyor, sizin çevrimiçi olarak yaptığınız işlemler görülebilir ve kullanıcı adınızla şifreniz elde edilebilir olacaktır.

Tabi ki yazından TurkTrust böyle bir şey yapmıştır sonucuna varılmamalı. Öncelikli olarak, Packet Forensics’in böyle bir kutu ürettiği, bu kutunun kullanıldığı ve kapalı kapılar ardında tanıtıldığı, kanun uygulayıcıları ya da istihbarat servislerinin hedef pazarları olduğu (kim bilir başka kimler var?) ve bunu pişkince söyleyebildikleridir. İkinci olarak, böyle bir kutunun kullandığınız ya da kullandığımız İSS tarafından “kanun uygulayıcılarına” ya da “istihbarat servisine” yardımcı olsun diye kurulup kullanıldığı ve bir SSL sertifika sağlayıcısının bir şekilde buna ortak edilebileceği olasılığıdır. Tüm bunlar “olanaklı mıdır?” sorusuna gelirsek (TurkTrust’ı bunun dışında tutuyorum); gönderdiğiniz bir e-postanın bir kopyasının aynı anda NSA sunucularında da yer alması, görüntülü konuşmaların simultane olarak NSA tarafından kaydedilmesi gibi uç örnekler, çok büyük boyutlardaki verinin NSA tarafından her yıl yedeklenmesi gibi daha bir sürü örnek vereceğimiz şeylerin olması da çoğu insana olanaklı gözükmüyordu. Her şeyden önce (bu örneğe istinaden) deşifrelemek için  uğraşmak yerine MitM (kutunun yaptığı) çok daha etkili bir sonuç verecektir. SSL sertifikasını kırmaya çalışmak yerine “araya girmek” ve akışa müdahale etmek çok daha basit ve hızlıdır. XKCD’nin şu karikatürü ise çok güzel bir özet. Dahası, bir İSS düşünün, Phorm, DPI, Finfisher ve bilinmeyen bir sürü kötücül uygulamaya sahip ve (gerçek olduğunu varsayarak) böyle bir kutunun varlığından da bir şekilde haberdar, bunu mu kullanmayacak? Bir diğer nokta da, (makaleye istinaden) diyelim ki devletiniz ve istihbarat servisiniz kapınızı çaldı ve sizden böyle bir şey istedi, kafa tutacak güce sahip misiniz? Her geçen gün kişisel gizlilik haklarının yok sayıldığı, ihlal edildiği ve insan haklarına aykırı durumların çıktığı şu günlerde sizlere bol sabır dilerim.

Tagged , , , , , , , , , , , , , , , , , , ,