Tag Archives: url tabanlı engelleme

Jun 08 2014
10 Comments
Güvenlik

Netclean ve URL Tabanlı Engelleme

5 saniye içinde içeriği silmek mi? Bir dakika, ben mi her şeyi yanlış anladım?

İlk olarak Wikileaks’in bugün paylaşmış olduğu tweetlere bakalım:

Netclean kendi yaptığı tanıma göre; daha güvenli toplumlar için dijital ortamları tarayan, analiz eden ve içerikleri engelleyen yazılımlar sunan bir firmadır. Bununla birlikte, temel amacı çocuk pornosuna karşı mücadele etmektir. Ayrıca, yazılımları dünya çapında devletler, çok uluslu şirketler, İSS’ler ve kanun uygulayıcılar tarafından tercih edilmekte ve kullanılmaktadır. Çok yakın bir tarihte (30 Mayıs 2014) Türkiye’nin İsveç’ten Netclean firmasına ait WhiteBox ürününü 40 milyon Euro vererek alacağına dair haberler paylaşıldı. Bununla ilgili olarak Sabah gazetesinden bir kısa alıntı yapalım:

Özel hayatın gizliliğini koruyarak kişisel hakların ihlal edilmemesini isteyen hükümet, Twitter üzerinden yapılan yasa dışı paylaşımlara çözüm bulmak için kolları sıvadı. Twitter üzerinden paylaşılan yasadışı fotoğraf, görüntü ve bilgileri hemen silmek için Türkiye yazılım alıyor.

17 Aralık 2013 yolsuzluk operasyonu ile hükûmetin yaşadığı şok ve istihbaratın yetersizliği, Internet’in paylaşım ve insanlara ulaşım konusundaki büyük esnekliği ve bunu engelleyebilmek için de yetersiz bir altyapı Türkiye’yi yeni yazılımlar arayışına itmiş gözükmektedir. Bunun arkasında ise her zamanki gibi özel hayatın gizliliği ve kişisel hakların ihlal edilmemesi gereği yatmaktadır. Diğer taraftan, gizlilik hakkına bu kadar duyarlı olan hükûmetin 5651 sayılı kanunu hangi amaçla uygulamaya koyduğu ise çelişkinin bir boyutudur.

Yapılan araştırmalar sonunda Twitter’daki istenmeyen ve hakkında mahkeme kararı bulunan içerikleri engellemenin yolunun bulunduğu savunuluyor.

İstenmeyen içerikler ve hakkında mahkeme kararı bulunan içerikler diyerek ikiye ayırmak bir art niyet olarak görülmemelidir. Hükûmet, istemediği içeriği kaldırabilmek için 5651 ile altyapı hazırlamış fakat, kontrol edemediği alanlardaki istenmeyen içeriği de URL tabanlı engelleme ile baş etmek istiyordu. Erişim Sağlayıcıları Birliği ile bir çatı altında toplanacak olan İSS’ler, URL tabanlı engelleme için kurmaları gereken altyapıların yüksek maliyetli olması ve son yaşanan Netclean gelişmesi ile tek bir noktadan URL tabanlı engelleme gerçekleştirileceğine işaret etmektedir. Bu da daha önce de bahsettiğim üzere trafiğin tek bir noktada (Erişim Sağlayıcıları Birliği) toplanıp aynı noktada engellerin yapılacağı anlamına gelmektedir. Haberin son kısmında ise:

40 milyon euroluk yazılım sayesinde Twitter’da paylaşılan çocuk pornosu gibi illegal linkler anında temizleniyor. Temizleme işlemi ise yazılıma girilen anahtar kelimelerle gerçekleşiyor. Yazılımın birçok kişinin mağduriyetini gidermesi bekleniyor.

Dünya çapında izleme ve gözetimin 5 gözü olduğu söylenmektedir. Bunlar; Amerika, İngiltere, Avusturalya, Kanada ve Yeni Zelanda’dır. Bununla birlikte, Yeni Zelanda merkezli ve Avusturalya, İngiltere ve Yeni Zelanda’daki sansür sistemin arkasında bulunan firma olan Watchdog International’in Whitebox ile ilgili yayınlamış olduğu belgeye kısaca bir göz atalım:

  1. Whitebox, bir liste mantığı ile filtreleme gerçekleştiren URL tabanlı engelleme ve filtreleme yazılımıdır.
  2. Engellenmesi istenen URL’ler bu listelere girilerek gerçekleştirilir.
  3. DNS zehirleme filtreleri ile kullanılabilmekte fakat, tavsiye edilmemektedir.
  4. Bir proxy sunucusu ile çalışabilir fakat, tavsiye edilmemektedir.
  5. Çocuk pornosu gibi küresel konularda URL listeleri diğer ülkelerle paylaşılmalı ve erişime açık olmalıdır. Böylece daha etkili bir engel sistemi ve güncel URL listesi oluşturulabilir.

Öncelikle Whitebox, bir URL temizleme ve içeriği silme aracı değildir. Haberde bahsedilen temizlik işlemi URL’lere ait içeriğin silinmesine işaret ederken Whitebox’ın gerçekte yaptığı URL listesi ile URL tabanlı engelleme gerçekleştirmektir. Bir filtreleme yapmaktadır, yüksek trafiğe sahip websitelerde (örneğin Youtube) kullanılması tavsiye edilmemekte, DNS zehirleme filtreleri ile kullanılabilmekte, bir proxy sunucusu ile filtreleme yaparak hedef URL’ye erişim sağlayabilmektedir. Hürriyet Daily News’in konuyla ilgili haberine gelecek olursak:

“Different threats have occurred in the new world order. Countries are being subjected to colorful changes and seasonal revolutions formed by information technology and social media, Özel said.

Necdet Özel, yeni dünya düzeninde farklı tehditlerin ortaya çıktığını ve bilişim teknolojileri ve sosyal medyanın ülkelerde yaşanan dönemsel ayaklanmalarda etkili olduğunu belirtmiş. Bunun için de hükûmeti sosyal medyadaki yasalara aykırı paylaşımları engellemek amacıyla bir yazılım alması konusunda da uyarmış. Haberin devamında, İçişleri Bakanı Efkan Ala’ya yazılımla ilgili sunum gerçekleştirildikten sonra İçişleri Bakanlığı tarafından alıncağını belirtilmiştir.

Son günlerde yaşanan Internet’teki yavaşlığı da dikkate alırsak yeni bir URL tabanlı engelleme sistemimiz hayırlı olsun diyebiliriz. 40 milyon Euro gizlenmeye çalışılan çocuk felci salgınına harcanabilir miydi? Ama devletin bir süprizle karşı karşıya kalmaması için hükûmet nelerden ödün verebilir? Bir de orası var.

Tagged , , , , , , , , , , , , , , , , , , ,
Mar 07 2014
4 Comments
Güvenlik

Interneti Kapatmaya Doğru Giderken

Kendine gazeteci diyen 4 kişi; Rasim Ozan Kütahyalı, Mehmet Barlas, Mahmut Övür ve Erdal Şafak, atv’de canlı yayında Tayyip Erdoğan‘la bir araya gelip gündeme dair soruları sordular ve sorulara yanıt aradılar. Konuşma beklediği gibi döndü dolaştı Internete düşen ses kayıtlarına geldi ve Erdoğan:

30 Mart’tan sonra atacağımız başka adımlar var. Bu konuda kararlılığımız var. Biz bu milleti Youtube’a, Facebook’a, bilmem şuraya buraya yediremeyiz. Atılması gereken adım neyse biz bu adımı en kesin hatlarla atacağız. Kapatılması dahil.

diyerek ilerleyen süreçte gelecek website engellerinin de haberini vermiş oldu. Interneti “sınırsız bir şey, engeli yok” diyerek kendi denetimi altında tutmayı istemesi zaten şaşırtıcı bir şey değildi. Daha önce de bu konuyla ilgili olarak bir şeyler demişti diye hatırlıyorum.

Bununla birlikte, son günlerde yaşanan SSL sertifika hataları, Google’a ve birçok siteye erişimde sıkıntılar, Internet’in aşırı yavaş oluşu ben ve birçok kişide de bir şeyler üzerine çalıştıkları izlenimini uyandırdı. Yeni Internet düzenlemesi ile getirdikleri URL tabanlı engellemenin altyapısını muhtemel tüm İSS’ler için kullanılabilir olmasını sağlamaktaydılar veya muhtemel Erişim Sağlayıcıları Birliği’nin altyapısı için çalışmalar yapıyorlardı. Her şekilde bizler için hayırlı bir şeylerin olmadığı ortadır. Bugünkü açıklamadan sonra da denedikleri sistem her ne ise başarılı bir sonuç alamadılar ve çok kullanılan ve paylaşımların döndüğü, haberlerin çok hızlı yayıldığı, Erdoğan’ın da zikrettiği bu websitelerin kapatılmasına –dolaylı da olsa– karar verdiler.

URL tabanlı engellemenin olduğu gün traceroute Youtube için olması gereken sonucu vermişti. Google’da yaşanan SSL hataları ve erişim sıkıntılarının yaşandığı zaman baktığımda ise tarayıcıdan Google’a erişilse bile traceroute çıktısında zaman aşımlarının olduğu ve ICMP paketinin Google sunucularına ulaşamadığını farkettim. Bu şu anlama geliyor; traceroute’da paketler Google’a ulaşıp geri dönemiyor; belki de erişiyor fakat dönüş yolunda çeşitli sorunlarla karşılaşıyor. Bu sorunlar; bir güvenlik duvarı veya çeşitli güvenlik önlemleri tarafından bilinçi olarak bloklama olabilir, hop’larda ICMP kapalı olabilir, bloklama traceroute’u etkileyebilir fakat sunucu bağlantıları bundan etkilenmeyebilir.

traceroute to google.com (64.15.117.245), 30 hops max, 60 byte packets
 1  192.168.2.1 (192.168.2.1)  2.590 ms  4.451 ms  5.076 ms
 2  93.155.2.5 (93.155.2.5)  12.404 ms  13.838 ms  15.903 ms
 3  81.212.106.141.static.turktelekom.com.tr (81.212.106.141)  17.969 ms  19.386 ms  20.518 ms
 4  pendik-t2-1-pendik-t3-1.turktelekom.com.tr.221.212.81.in-addr.arpa (81.212.221.61)  22.794 ms  23.862 ms  25.339 ms
 5  * * *
 6  212.156.41.202.static.turktelekom.com.tr (212.156.41.202)  50.162 ms  28.137 ms  27.943 ms
 7  * * *
 8  * * *
 9  * * *
 10 * * *

Kısaca bu çıktıyı yorumlarsak (30. hop’a kadar böyle, çıktı uzun diye 10’da bıraktım.):

  • Son erişilebilir sistem 6. hop’tur.
  • Sorun 7. hop’ta olabilir ya da 6. ve 7. hop arasındaki bağlantıda olabilir.
  • Bu sorun belki dönüş yolunda da olabilir. 6. ve 7. hop’lardaki istemcilerin farklı dönüş yolları olmasından kaynaklanıyor da olabilir.
  • 7. hop’un dönüş yolunda bir sorun olduğu halde 6. hop’un dönüş yolunda herhangi bir sorun olmayabilir.
  • Sorun bu sistemden kaynaklanabilir veya bu tamamen farklı bir sistem olabilir.
  • İşin kötü tarafı bu sorun İSS’den kaynaklanan bir sorun da olabilir.

Bu analizin daha tutarlı olabilmesi için de birçok farklı noktadan buna benzer analizler yapılmalıdır. Bugün tekrar traceroute ve tcptraceroute yaptığımda paketlerin Google sunucularına ulaştığını gördüm. Bu, sanırım analizi desteklemesi açısından önemli bir nokta olsa gerek. Ek olarak, TCP/IP konusunda yeterli bilgiye sahip olmadığım için daha iyi analizler yapılırsa eğer lütfen bana ulaşın yazıya ekleyeyim. Bununla birlikte, İSS’den kaynaklanan bir sorun olabilir demiştim. Dikkat ettiyseniz İSS’den sonra paketler kayboluyor. Ayrıca, bu sorundan ziyade gözetim ve erişim engelleri için bir donanımın kullandığı anlamına gelebilir. İSS’nin tek başına yazılımsal olarak böyle bir trafik yükünü çekmesi pek muhtemel gözükmediği için donanım üzerinde çalışan yazılımlar böyle “sorunlar“‘a da neden olabilirler.

Öte yandan, bugün Lütfü Elvan’ın bir açıklaması oldu. Önemli noktaları buraya alıntılıyorum:

Sayın Başbakanımızın ifade ettiği husus şu: dünyanın hiçbir ülkesinde görülmeyen alçakça saldırılar var. Dünyanın hangi ülkesine gitseniz, bu ülkenin başbakanına, bakanlarına, ailesine, küfürler hakaretler, ağza alınmayacak ifadeler olmaz. Maalesef bunların hepsi internet ortamında yer alıyor. Dünyanın hiçbir ülkesinde bu tür uygulamaya müsaade edilmez… Böyle bir şey yok. Dünyanın hangi ülkesine giderseniz gidin, bu tür hususlarla karşı karşıya kalmak mümkün değil. Eğer böyle bir şey olsa, anında bunun engellenmesi yapılır. Düşünün Başbakan’a, Cumhurbaşkanı’na küfür edilecek, olmadık hakaretler yapılacak, yasa dışı bir takım görüntüler alınıp ve bunlar servis edilecek, bunları da biz içimize sindireceğiz. Böyle bir şey mümkün değil. Böyle bir şey olamaz…

Konunun tekrar dönüp dolaşıp ahlaki değerler üzerinden dayatılmaya çalışılan bir sansüre geldiğini gösteriyor. Elvan, dikkati çekecek çok önemli şeyler söylemiş, özellikle de anında bunun engellemesi yapılır kısmı ilerleyen sürecin bir habercisi gibidir. Ayrıca, Abdullah Gül; “Facebook ve Youtube gibi platformların kapatılması söz konusu olamazdedi. Fakat, o ne derse ben tam tersini düşüneceğim için bu açıklamasını da günü kurtarmak amaçlı olarak yorumluyorum. Erdoğan’ın bu çıkışı, üzerine söylenenler, aslında pek de tartışma yaratmadı. Diğer yandan, böyle bir algı yaratılmaya çalışıyor. Buna gündem değiştirme, hedef saptırma, oyalama ne derseniz diyin. 1 yıl daha iktidardalar. Yerel seçimleri kaybetmeleri bu açıdan çok bir anlam ifade etmiyor. Hatta bence yerel seçimleri kaybedersek yargılanırız veya bir şeyler değişebilir algısı da iğrenç geliyor. Son olarak, bu websitelerin kapatılması seçimlerde bir hilenin döneceği ve bunun da sosyal medya üzerinde en az şekilde duyurulması veya konuşulmasını istedikleri için 30 Mart tarihi özel olarak seçildi izlenimi uyandırmıyor da değil.

Tagged , , , , , , , , , , , , , , ,
Feb 26 2014
15 Comments
Güvenlik

URL Tabanlı Engelleme

Çalmayı iyi bildikleri gibi sansür ve gözetimi de iyi biliyorlar.

Dün gece Tayyip Erdoğan ile oğlu Bilal Erdoğan arasında geçen telefon konuşmalarına ait ses kaydı Youtube üzerinden yayımlandı. Ses kaydı gerçek mi değil mi diyorsanız veya bu konuyla ilgili bir bilgi almak isterseniz Kıvaç Kitapçı’nın yazdığı “Tayyip Erdogan – Bilal Erdogan Telefon Gorusmesi Analizi” adlı makaleyi okuyabilirsiniz. Dün geceye tekrar dönecek olursak, kayıt yayımlandıktan bir süre sonra erişime engellendi. Fakat her zaman alışık olduğumuz yöntemlerin aksine sayfaya “http” üzerinden eriştiğinizde tarayıcınızdan sanki öyle bir sayfa yokmuş, bağlantınız resetlenmiş gibi hata aldınız. Tahmin edildiği üzere bu URL tabanlı bir engelleme idi. Bu engelleme nasıl yapıldı ve engelin kaynağı neresidir üzerine küçük bir analizi kısaca fakat –olabildiğince– anlaşılır bir dille nasıl yapıldığını açıklayayım:

  • Öncelikle, tcpdump çalıştırıldı ve trafiğe konu olan veri paketlerine monitörleme yapılıp herhangi bir şüpheli durum var mı, varsa neden kaynaklanıyor bu belirlenmeye çalışıldı.
  • dig ile www.youtube.com adresinin DNS kayıtlarına bakıldı.
  • traceroute ile www.youtube.com adresine hangi sunucu veya yönlendiriciler üzerinden gidiliğine bakıldı.
  • Tarayıcıdan ilk olarak URL tabanlı engellenen Youtube sayfasına girildi.
  • Ardından da açık olan –yani engellenmemiş– bir Youtube sayfasına girildi.

Açık olan Youtube videosuna erişim sonucu:

00:20:17.299332 IP (tos 0x0, ttl 48, id 63155, offset 0, flags [none], proto TCP
(6), length 60)
    fa-in-f93.1e100.net.http > 192.168.2.25.48657: Flags [S.], cksum 0xd7b8
(correct), seq 1852958477, ack 1827879094, win 42540, options [mss
1430,sackOK,TS val 1082331416 ecr 67618,nop,wscale 6], length 0

URL tabanlı engellenen Youtube videosuna erişim sonucu:

00:20:17.325219 IP (tos 0x0, ttl 30, id 0, offset 0, flags [DF], proto TCP (6),
length 62)
fa-in-f93.1e100.net.http > 192.168.2.25.48657: Flags [R.], cksum 0x3cf3
(correct), seq 1:23, ack 375, win 229, length 22 [RST
x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00]

Bu iki Youtube sayfasına ait tcpdump çıktısının en temel noktası, URL tabalı engellenen sayfanın TTL (yaşam süresi) değeri açık sayfaya göre gelen değerden farklı. Bu fark şunu ifade ediyor;  URL tabanlı engelleme yapılabilmesi için İSS’lerde IPS gibi bir sistemin olması gerekli. Bu sistem ağı monitörleme, istenmeyen aktiviteleri tespit etme, bu aktiviteleri loglama, engelleme veya durdurma ve raporlama işlerini yapmaktadır. URL tabalı engellemenin çalışma sistemi de aynen monitörleme, loglama, engelleme ve erişimleri raporlama üzerinedir. Engelli sayfa çıktısında görüldüğü üzere İSS araya girerek TTL değerini değiştiriyor. Açık sayfada ise İSS tarafından bir müdahalede bulunulmadığı için TTL değeri normal düzeyde, yani gelmesi gereken düzeyde geliyor. Diğer yandan (çıktı olarak vermedim) traceroute sonucuna bakıldığında sorgu Google’a gidiyor. ICMP paketinin zaman aşımına uğradığı IP adresi 209.85.251.24, yani Google ağı içinden. Herhangi bir sorun yok gibi duruyor. Peki tüm bunlardan ne anlamalıyız?

İSS, bir IPS kullanmakta ve IPS de bu mevcut URL tabanlı engellemeyi gerçekleştirmektedir. Bunu da RST (reset) paketi ile istemciye “bu iletişimi kes” mesajı vererek yapmaktadır. O gördüğünüz “sayfa bulunamadı” hatasını da bu yüzden almaktasınız. Ayrıca, RST paketi sunucu tarafından gönderilmemekte ve IPS bunu “istemci engelli bir sayfaya erişmekte, ben de bunu durdurayım” şeklinde görmektedir. Anlaşılan çalmayı öğrendikleri kadar sansür ve gözetimde de bilgi sahibi olmuşlar gibi duruyor. Fakat, bu sonuç sansürün ana kaynağını malesef söyleyemiyor. Bakalım, ilerleyen süreçte yapılan engellere de analiz yapmaya devam edip sansürün ana kaynağına ulaşabilecek miyiz zaman gösterecek. Bakarsınız, bu sürede belki sansürleyecek bir hükümet de kalmaz. Kim bilir.

Son olarak, bu yazı da montaj. TTL lobisi yazdı.

Tagged , , , , , , , , , , , , , , , ,