Türk Telekom iddiaları ve gözetlendiğinizi nasıl anlarsınız?

İnternet izleniyor mu

Son zamanlarda internette, Türk Telekom’un yabancı bir firma ile anlaşıp whatsup mesajları, hatta şifreli iletişim sağlayan telegram mesajlaşmaları, skype görüşmeleri, ziyaret edilen internet sayfaları, VPN hizmetleri gibi bir çok servisi analiz edip gözetleme faliyetlerinde bulunacağı yer aldı.

Günümüzde şifrelenmemiş protokollerle iletişim kurmak çıplak bir şekilde istiklal caddesinde yürümeye benziyor.  İddialarda şifrelenmiş trafiğin bile içeriğinin izleneceği yazılmış. Bunu;  siz aslında İstiklal Caddesinde kiyafetlerinizle yürürken, birilerinin uzaktan içinizi gösteren x-ray bir dürbünle sizi  izlemesine benzetebiliriz.

Peki bu mümkün mü?
SSL şifreleme ile korunan bir iletişim (HTTPS, IMAPS, POPS) izlenebilir mi? Türk Telekom veya herhangi hükümet birimi ya da  yasal merciler bunu yapabilir mi?

Evet bu yapılabilir, birçok kurumsal firma kendi internetlerinden çıkan çalışanları için bazı cihazlarla bu izlemeyi yapıyor.
Siz işyerinizde, tarayıcınızla google’a,  facebook’a HTTPS üzerinden SSL şifreleme ile ziyaret ettiğinizi sanırken, işyerinizdeki  DPI-SSL (Deep Packet Inspection – Secure Socket Layer)  özellikli cihaz, aradaki şifrelemeyi açıp tüm bilgilerinizi izlenebilir hale getiriyor. Böylece şirketin IT departmanları, çalışanların girdikleri siteleri ve içeriklerini görebiliyor.  Şirketlerin bunu yapmasındaki neden şifreli trafiğin içinde antivirüs taramaları yapıp, şirkete ait bilgisayarlara antivirüs ve malware bulaşmasını engellemek. Bankalar gibi beyaz listeye alınan web adresleri bu incelemeye tabi tutulmaz.

İddialar doğruysa, Türk telekomun da bir whitelisti kesinlikle gerekmekte.  Aksi taktirde, bankalar ve finansal işlem yapılan web sitelerine yapılan tüm işlemler de izlenebilir hale gelir.

Şifreleme anahtarları olmadan  https sayfalara yollanan kullanıcı adı ve şifreleri araya giren birileri tarafından nasıl görülebilir, ssl iletişimle kontrol edilen epostalar nasıl izlenebilir?

Derin Paket İzleme ( DPI-SSL ) ile bu mümkün.

Derin paket izleme ile  HTTPS içeriğinin analizi alttaki gibi gerçekleşmekte;

  • Siz HTTPS bir sayfaya istek gönderiyorsunuz. (Öerneğin bir banka sitesi, ya da eposta servisi)
  • Websitesi isteğinizi alıyor ve kendisi ile sizin bilgisayarınız arasında bir SSL tünel oluşturuyor.
  • SSL tünel oluştuktan sonra web sitesinden istediğiniz bilgiler, sizin bilgisayarınıza bu şifreli tünel içinden iletiliyor.
  • Web sitesine yaptığınız istekler, yolda servis sağlayıcınıza ait router’lar ve firewall’lardan ve artık iddialar doğruysa DPI-SSL cihazlardan  (man-in-the-middle) geçiyor.  Burada bahsettiğim man-in-the-middle (araya giren kişi) gönderdiğiniz istekleri sorgulayıp analiz edebiliyor.
  • Man-in-the-middle cihazı kendine gelen verinin şifresini açıyor.
  • Şifresi açılmış paketi tarayıp artık her ne işlem yapacaksa, belli arama kriterleriyle veri arama, kaydetme vd  istediği her  işlemi gerçekleştiriyor.
  • Paketin şifresi açılıp içeriği incelendikten sonra, tekrar şirelenerek girmek istediğiniz HTTPS siteye göderilmesi gerek. Bu nedenle gerekli SSL sertifika bilgileri ile web sitesi arasında yeni SSL sertifikaları yaratıyor.
  • Sertifikayı, cihazın kendi sertifika otoritesinin sertifikası ile imzalıyor.
  • Şifresi açılmış ve taranmış veriyi yarattığı ve imzalanan sertifika ile şifreliyor.
  • Sizin bilgisayarınız ile yeni bir HTTPS bağlantısı oluşturuyor.
  • Şifrelenmiş bilgiyi bilgisayarınıza gönderiyor.

Uzun Lafın kısası:
Yani uzun lafın kısası gitmek istediğiniz site ile sizin aranıza giren bu cihaz,  kendi SSL sertifikası ile ile sizin aranızda yeni bir ssl bağlantı kuruyor ve cihaz gitmek istediğiniz web sitesi ile kendisi iletişime geçiyor. Böylece siz https isteğini websitesi ile değil aslında cihaz ile yapmış oluyorsunuz.

Araya birinin girdiğini, gözetlendiğinizi nasıl anlayacaksınız?

Burası en kritik nokta. Siz tarayıcınıza websitesinin ismini yazıyorsunuz, ancak araya giren cihazın sertifikasını gördüğünüz için girmek istediğiniz site güvensiz, devam etmek istiyor musunuz uyarısı verecektir.

Hatta tarayıcınızda anahtar işaretli ikondan sertifika bilgilerini incelerseniz, gitmek istediğiniz site değil, araya giren cihazın artık iddialar doğruysa ve ne isim vereceklerse sertifikasının ismini görürsünüz.

İşte böyle uyarılar aldığınız iletişimlerde iki kere düşünmeniz gerekir. Araya birinin girdiğinin  ve izlendiğinizin gerçek bir kanıtıdır.

Herşeye rağmen SSL ile korunan HTTPS ‘li siteler artmalı:

Geçtiğimiz günderde web sitemizde Reset The Net (Neti resetle) hareketinden bahsetmiştik. Bu hareket, gözetlenmeye son vermek için,  tüm şirketlere, yazılımcılara, startuplara, blogçulara SSL sertifikaları ile sayfalarını HTTPS ‘e geçirmeleri talep etmişti.

Sonuçta devletler gözetlemeyi meşru kılan yasalar çıkarıyorlar, ancak bu gözetlemelerden korunmyaı sağlayacak uygulamalar kullanmak bir suç değil.

Burada kişisel bilgilerinin izlenmesini istemeyen kullanıcılar ne yapabilir?

  • Öncelikle internet kullanıcıları,  SSL sertifikaları ile korunmayan sitelere girmemeli, web sitesi sahiplerinin siteleri eğer hala HTTPS değilse bunları HTTPS ‘e çevirmeli.
  • Girdikleri her sitenin HTTPS ile başlamasına dikkat etmeli.
  • Güvensiz iletişim kullanan mesajlaşma servisleri kullanmamalı.  Bir yazımızda mobil cihazlarda gizlilik sağlayan mesajlaşma servislerinden ve diğer şifreli iletişim sağlayan uygulamalardan bahsetmiştik.   Buradan okuyabilirsiniz.
  • Herkesin, online kimliklerinin korunması ve veri güvenliği konularında bilinçli olmaları gerekli.

 

Tüm bu paket izlemelerinin dışında DNS Hijack yönetimiyle, kullanıcıları gitmek istedikleri siteler yerine kendi sunucularına yönlendirme yapılabiliyor. Bunla ilgili korunma yönetemlerinden bir tanesi VPN kullanmak. DNS sızıntısı olmayan VPN ile nete bağlanmak.