Ağ-tabanlı Uygulamalarda Güvenlik Kaygıları - Sansürü Aşmak (5)
Sansürden kurtulma sistemleri gerekli olmadıkça anonimlik sağlamaz ama çoğunlukla son kullanıcının kimliği ziyaret edilen siteden gizlenir.[1] Eğer kullanıcıyla ağ tabanlı uygulama arasındaki bağlantı düz metinse (http), çoğu bedava hizmette olduğu gibi, aradaki herhangi biri tarafından neler yaptığınız izlenebilir, internet hizmet sağlayıcınızdan tutun da... Yani sansürden kurtulmanın başarılı olduğu durumlarda bile, yetkililer kullanıcıyı takip edebilir, anti-sansür programı kullandığını tesbit edebilir. Artı, bağlantı süresince aktarılan içeriği görebilir.
Düz metin işleyen ağ-tabanlı uygulamalar bazen filtrelemeden kurtulmak için adres karıştırma (ing: URL obfuscation) dediğimiz bir tekniği kullanırlar. Bu, örneğin ROT-13 gibi harflerin 13 sıra atlanarak yazıldığı basit teknik bile adreste tehlikeli sözcük arayan sansür mekanizmalarını atlatmaya yeter: http://www.dorduncugoz.com adresi ROT-13'le uggc://jjj.qbeqhaphtbm.pbz haline gelir. Unutulmaması gereken şey sansür aşılsa bile, içeriğin hala koklanabileceğidir.
Çerez (ing: cookie) ve betiklerin (ing: script) kullanılmasıyla ilgili riskler de mevcuttur. Çoğu sansürü aşma yazılımı çerez ve betikleri kaldırmaya ayarlanabilir, ama çoğu site de çalışmak için, en azından içeriği doğru sunabilmek için bunlara ihtiyaç duyacaktır. Bu seçenekleri etkin hale getirirken azami dikkat gösterilmelidir. Bir başka risk, özellikle de giriş için parola istenen hizmetlere erişilmek istendiğinde ortaya çıkar. Düz metin kullanarak eriştiğiniz anti-sansür yazılımını şifreli bağlantı gerektiren bir sunucuya erişmek için kullandığınızda, güvenli bağlantı sunan bir sitenin trafiğini açığa çıkarmış olursunuz.[3]
Anılan risklerin bazıları bağlantıyı şifreleyen ağ-tabanlı vekil sunucular kullanılmasıyla çözülebilir. Bazı sunucular zaten SSL gerektirmektedir, ve bunlarla aranızda trafik şifrelenir. Bağlantınızı gözleyen yetkili kişiler bir vekil sunucuya eriştiğinizi bilirler, ama sonra nereye gittiğinizi ve gelip giden içeriği göremezler. Güvenlikle ilgili kaygıları çok olan kullanıcılar mutlaka SSL yeteneği olan bir vekil sunucu kullanmalıdır.
Paranoya düzeyini artıralım: Son kullanıcının bağlantısı şifrelense bile, uygulamanın çalıştığı (tanıdığınız arkadaşınız mesela) nokta sizin ne yaptığınızı bilecektir. Buna ek olarak bu noktadaki sunucu kayıtlarının okunma, çalınma, vb riskidir. Bu noktanın bulunduğu coğrafi yere bağlı olarak, yetkililerin kayıtlara ulaşmaları mümkündür.
SSL kullandığınız durumlarda bile bilmeniz gereken bazı şeyler daha var. İlki, bağlantının şifrelenmesinin dikkat çekebileceği, ve şifrelemenin bazı ülkelerde yasal olmayabileceği. Ayrıca, dirayetli bazı otoriteler, ille de niyetliyseler, SSL kullansanız bile HTTPS parmakizi ve Ortadaki-Adam gibi ilginç isimler verilmiş tekniklerle nerelere eriştiğinizi bulabilirler. Tabii, bunun da çaresi var, dinamik içerik yaratıp, bir iki tuzak sayfa hazırlamak gibi burada incelememizi gereksiz gördüğüm tekniklerle bu riskler en aza indirilebilir.
[1] İzleyen cümleler giderek çoğunuz için anlamını yitirmeden dipnotu vermek istedim: Ülkemiz açısından bakıldığında, örneğin youtube'u ele alalım, biz yalnızca erişmek istiyoruz. Youtube'un bizim Türkiye'den geldiğimizi, adımızı, vb bilmesinde bir sakınca yok. Bunun sebebi bize kesilmiş bir ceza yok, artı, tanımlanmış bir yasa da yok; yani youtube'a eriştik diye kimse bizi suçlamayacak. Şimdi bunu faşist ülkelerde yaşayan din kardeşlerimizin durumuyla karşılaştırın. Kardeşlerimizin benzeri sitelere erişmesi bile tanımlanmış ya da değil, bir suç, ve ölüm cezasına dek yolu var. En azından şimdilik, yalnızca engellenmeden erişmek istiyoruz; şimdilik! Dolayısıyla, bize basit bir şey lazım;[2] din kardeşimizeyse güçlü bir ilaç.
[2] Bu, iki varsayım gerektiriyor ve herhangi bir tanesi yanlışsa, bize de güçlü bir şey şart:
a- Hem devlet, hem de toplum giderek demokratikleşiyor ve bireysellik artıyor;
b- ISP'lerde, yani hizmet sağlayıcınızda kayıtların saklanma süresi kısa, ve bu süre sonunda kayıtlar siliniyor.
[3] Halk diliyle: Bankanıza falan erişmek için böyle uygulamalar kullanmayın.
Düz metin işleyen ağ-tabanlı uygulamalar bazen filtrelemeden kurtulmak için adres karıştırma (ing: URL obfuscation) dediğimiz bir tekniği kullanırlar. Bu, örneğin ROT-13 gibi harflerin 13 sıra atlanarak yazıldığı basit teknik bile adreste tehlikeli sözcük arayan sansür mekanizmalarını atlatmaya yeter: http://www.dorduncugoz.com adresi ROT-13'le uggc://jjj.qbeqhaphtbm.pbz haline gelir. Unutulmaması gereken şey sansür aşılsa bile, içeriğin hala koklanabileceğidir.
Çerez (ing: cookie) ve betiklerin (ing: script) kullanılmasıyla ilgili riskler de mevcuttur. Çoğu sansürü aşma yazılımı çerez ve betikleri kaldırmaya ayarlanabilir, ama çoğu site de çalışmak için, en azından içeriği doğru sunabilmek için bunlara ihtiyaç duyacaktır. Bu seçenekleri etkin hale getirirken azami dikkat gösterilmelidir. Bir başka risk, özellikle de giriş için parola istenen hizmetlere erişilmek istendiğinde ortaya çıkar. Düz metin kullanarak eriştiğiniz anti-sansür yazılımını şifreli bağlantı gerektiren bir sunucuya erişmek için kullandığınızda, güvenli bağlantı sunan bir sitenin trafiğini açığa çıkarmış olursunuz.[3]
Anılan risklerin bazıları bağlantıyı şifreleyen ağ-tabanlı vekil sunucular kullanılmasıyla çözülebilir. Bazı sunucular zaten SSL gerektirmektedir, ve bunlarla aranızda trafik şifrelenir. Bağlantınızı gözleyen yetkili kişiler bir vekil sunucuya eriştiğinizi bilirler, ama sonra nereye gittiğinizi ve gelip giden içeriği göremezler. Güvenlikle ilgili kaygıları çok olan kullanıcılar mutlaka SSL yeteneği olan bir vekil sunucu kullanmalıdır.
Paranoya düzeyini artıralım: Son kullanıcının bağlantısı şifrelense bile, uygulamanın çalıştığı (tanıdığınız arkadaşınız mesela) nokta sizin ne yaptığınızı bilecektir. Buna ek olarak bu noktadaki sunucu kayıtlarının okunma, çalınma, vb riskidir. Bu noktanın bulunduğu coğrafi yere bağlı olarak, yetkililerin kayıtlara ulaşmaları mümkündür.
SSL kullandığınız durumlarda bile bilmeniz gereken bazı şeyler daha var. İlki, bağlantının şifrelenmesinin dikkat çekebileceği, ve şifrelemenin bazı ülkelerde yasal olmayabileceği. Ayrıca, dirayetli bazı otoriteler, ille de niyetliyseler, SSL kullansanız bile HTTPS parmakizi ve Ortadaki-Adam gibi ilginç isimler verilmiş tekniklerle nerelere eriştiğinizi bulabilirler. Tabii, bunun da çaresi var, dinamik içerik yaratıp, bir iki tuzak sayfa hazırlamak gibi burada incelememizi gereksiz gördüğüm tekniklerle bu riskler en aza indirilebilir.
[1] İzleyen cümleler giderek çoğunuz için anlamını yitirmeden dipnotu vermek istedim: Ülkemiz açısından bakıldığında, örneğin youtube'u ele alalım, biz yalnızca erişmek istiyoruz. Youtube'un bizim Türkiye'den geldiğimizi, adımızı, vb bilmesinde bir sakınca yok. Bunun sebebi bize kesilmiş bir ceza yok, artı, tanımlanmış bir yasa da yok; yani youtube'a eriştik diye kimse bizi suçlamayacak. Şimdi bunu faşist ülkelerde yaşayan din kardeşlerimizin durumuyla karşılaştırın. Kardeşlerimizin benzeri sitelere erişmesi bile tanımlanmış ya da değil, bir suç, ve ölüm cezasına dek yolu var. En azından şimdilik, yalnızca engellenmeden erişmek istiyoruz; şimdilik! Dolayısıyla, bize basit bir şey lazım;[2] din kardeşimizeyse güçlü bir ilaç.
[2] Bu, iki varsayım gerektiriyor ve herhangi bir tanesi yanlışsa, bize de güçlü bir şey şart:
a- Hem devlet, hem de toplum giderek demokratikleşiyor ve bireysellik artıyor;
b- ISP'lerde, yani hizmet sağlayıcınızda kayıtların saklanma süresi kısa, ve bu süre sonunda kayıtlar siliniyor.
[3] Halk diliyle: Bankanıza falan erişmek için böyle uygulamalar kullanmayın.
Yorumlar
Yorum Gönder