Nym firmasının CEO'su Harry Halpin Euronews'e yaptığı açıklamada, 'Internet gözetimi artık insanları hedef almak ve onlara zarar vermek için kullanılabilir, bu yüzden bunu çok ciddiye alıyoruz,' ifadelerini kullandı.
REKLAM
İnternete güvenli erişim amacıyla ya da kısıtlama mekanizmalarını aşmak için VPN kullanımı Türkiye ve dünyada giderek yaygınlaşıyor.
Ancak bu esnada bilgisayar korsanları VPN arayışındaki insanların cihazlarını hacklemenin yeni yollarını geliştirirken, VPN kullanıcılarının kişisel verileri de birçok nedenle tehlikeye giriyor.
Bu durumun kullanıcıları daha güvenli VPN arayışına sevk ettiği bir dönemde siber güvenlik teknolojisinde önemli bir atılıma işaret edebilecek bir ürün tanıtıldı: NymVPN.
Wikileaks ifşacısı Chelsea Manning'in danışmanlığında geliştirilen merkeziyetsiz mimariye sahip NymVPN, gelmiş geçmiş en güvenli ve en anonim VPN olduğunu iddia ediyor.
Nym firmasının CEO'su Harry Halpin Euronews'e yaptığı açıklamada, "İnternet gözetimi artık insanları hedef almak ve onlara zarar vermek için kullanılabilir, bu yüzden bunu çok ciddiye alıyoruz," ifadelerini kullandı.
"NymVNP şu anda en iyi anonimliği sağlıyor."
Öte yandan, siber güvenlik uzmanı Ahmet Alphan Sabancı'ya göre, tek başına doğada yaşamayı planlamıyorsanız günümüz dünyasında tamamen anonim kalmak mümkün değil.
Biz de bu dosyada VPN'lerle ilgili temel tartışmaları, NymVPN'in vaat ettiği yenilikleri ve teknolojinin gidişatını ele aldık.
VPN nedir, nasıl çalışır?
Sanal özel ağlar (virtual private network), yani kısaca VPN’ler internet üzerindeki veri trafiğini şifreleyerek kullanıcıların gizliliğini ve güvenliğini sağlıyor.
2010'larda Arap Baharı'yla birlikte aktivizmin internete taşınması ve sokak eylemlerinin sosyal medyada örgütlenmesi VPN'leri sıradan kullanıcılar arasında yaygınlaştırdı. VPN’ler sosyal medya platformlarına erişimi sağlarken, aktivist, gazeteci ve vatandaşların hükümet kısıtlamalarından kaçınmalarına ve bilgi paylaşmalarına olanak tanıdı.
Ancak erişim engeli olsun veya olmasın, pek çok amaç için VPN kullanmak mümkün.
İlk olarak, VPN'lerin sağladığı koruma, internet sağlayıcıları, hükümetler veya üçüncü şahıslar tarafından izlenmeyi zorlaştırıyor. Özellikle halka açık Wi-Fi ağlarında (kafelerde ve okullardaki şifresiz bağlantılar) kötü niyetli kişilerin kullanıcının trafiğini izlemesini engelliyor. Nitekim bilgisayar korsanları halka açık Wi-Fi ağları üzerinden internete bağlanan cihazları hedef alabilir.
Bunun yanı sıra çeşitli sektörlerdeki büyük şirketler de kendilerine özel VPN'ler geliştirerek sistemlerine yalnızca bu VPN'e bağlanan çalışanların girebilmesini sağlayarak verilerini koruyabiliyor.
VPN'ler temelde kullanıcının internet trafiğini şifreleyerek kullanıcının IP adresini maskeliyor. IP adresleri ev adresine benzer şekilde kullanıcının fiziksel konumunu gösteren, internete bağlı her cihazın sahip olduğu benzersiz sayısal kimlik. İnternete bağlı cihazlar bu adresler aracılığıyla iletişim kurar.
VPN sayesinde kullanıcı, gerçekte olduğundan farklı bir ülkedeymiş gibi görünür.
Kısacası VPN'ler önce gizli bir tünel oluşturur ve internet trafiğini bu tünelden geçirerek uzak bir konumdaki sunucuya aktarır. Böylece kullanıcının cihazı ile internet arasında güvenli bir bağlantı kurar.
VPN kullanılmadığında bir kullanıcının cihazındaki veriler doğrudan internet servis sağlayıcısı (Türk Telekom vb. firmalar) üzerinden iletilir. VPN'ler ise verilerinizi servis sağlayıcıları üzerinden değil, VPN tünelinden internete yönlendirir. Hükümetlerin internet servis sağlayıcısı aracılığıyla internet erişimini kestiği durumlarda kullanıcının platformları kullanabilmesini sağlayan da işte budur.
Neden daha güvenli VPN'lere ihtiyaç var?
Öte yandan, neredeyse her teknolojide olduğu gibi VPN'ler de kendi risklerini beraberinde getirir. Bu riskler özellikle de ücretsiz VPN'lerde artabilir.
Uygulama mağazalarında ücretsiz olarak sunulan bazı VPN'ler, kullanıcı verilerini reklam verenlere ve diğer üçüncü taraflara satabilir.
Ayrıca ücretsiz VPN görünümlü bazı uygulamalar, kullanıcıların cihazlarına kötü amaçlı yazılım bulaştırarak, kimlik bilgileri gibi kritik verilerin çalınmasına neden olabilir.
VPN'lerle ilgili bazı dezavantajlar ve unutulmaması gereken bazı noktalar şu şekilde sıralabilir:
VPN'ler tamamen anonimlik sağlayamaz: Piyasadaki VPN'ler yaygın inanışın aksine kullanıcılara yüzde 100 anonimlik sağlayamıyor.
Kullanıcı faaliyetleri kaydedilir: VPN şirketlerinin en önemli dezavantajlarından biri budur. Bunlar, kullanıcının faaliyetlerini kaydeder ve saklar. Hükümetler talep ederse bu verileri paylaşabilir veya üçüncü taraflara satabilirler.
Çözüm: Açık internet
Bu noktada ücretsiz VPN arayan kullanıcılar, bu hizmeti açık kaynak kod olarak sunan kurumlara yönelebilir. Örneğin, Proton VPN bu şekilde çalışan ücretsiz bir hizmet.
Açık kaynaklı kod, herkesin özgürce erişebileceği, inceleyebileceği, değiştirebileceği ve dağıtabileceği yazılımlara deniyor. Yani, bir programın nasıl çalıştığını gösteren kodlar şeffaf bir şekilde paylaşılıyor. Bu sayede geliştiriciler hataları düzeltebilir, yeni özellikler ekleyebilir veya kendi projelerinde kullanabilir. Bağımsız araştırmacılar da firmanın iddialarını doğrulayabilir.
Örneğin, Linux işletim sistemi ve Firefox tarayıcısı açık kaynaklı.
2020'de Proton VPN’in masaüstü ve mobil uygulamaları da geliştirici ekip tarafından açık kaynaklı hale getirildi. Bu hamle, güvenlik uzmanlarının, bağımsız araştırmacıların ve genel kamuoyunun Proton VPN'in kodunu inceleyebilmesine olanak tanıdı. Bu sayede Proton VPN’in kodları bağımsız güvenlik denetimlerine de tabi tutulabildi.
Açık internet kültürünün ürünü: NymVPN
Açık internet hareketi büyüdükçe bu türden daha birçok hizmete kavuşmak mümkün. Bu; internetin özgür, erişilebilir ve sansürsüz kalmasını savunan bir hareket. Herkesin eşit şekilde internete erişebilmesini, ifade özgürlüğünün korunmasını ve ağ tarafsızlığının sağlanmasını destekliyor.
NymVPN'in arkasında da açık internet savunucusu bir ekip var.
Dünyanın "en güvenli VPN'i" olduğu iddia edilen NymVPN, 13 Mart'ta Londra'daki Frontline Club'da tanıtıldı.
Tamamen açık kaynaklı olan NymVPN uygulamaları tüm büyük platformlar (Android, iOS, macOS, Windows ve Linux) için kullanılabiliyor. Alman siber güvenlik firması Cure53'ün kodlarını incelemesi de VPN'in güvenilirliğine destek sağladı.
'Ulus devlet düzeyinde gözetime karşı ilk VPN'iz'
Şirketin CEO'su Harry Halpin Euronews Türkçe'ye yaptığı açıklamada, "ABD ve Rusya'nın, siber suçlular ve şirketlerin gözetimi de dahil olmak üzere ulus-devlet düzeyindeki gözetime karşı anonimlik sağlayan ilk VPN'iz," dedi.
"Bunu, VPN kullanımınızı gizlemek için araya gürültü ekleyen merkeziyetsiz bir mixnet aracılığıyla yapıyoruz. Ayrıca kaydolmak için herhangi bir kişisel bilgi, hatta bir e-posta bile istemiyoruz ve kripto para birimiyle ödeme yapabiliyorsunuz."
NymVPN'in ücretli bir hizmet olduğunu, ancak kripto parayla ödeme alınabildiğini de vurgulamakta fayda var. Ancak tek bir abonelik planında 10 cihaza kadar koruma sağlamak mümkün.
Bir aylık paketin maliyeti 12,99 dolar ve 30 günlük para iade garantisi sunuluyor. İki yıllık plan 131,76 dolarken, bir yıllık plan da 83,88 dolara sunuluyor.
'Kullanıcı faaliyetlerini kendileri de bilmiyor'
NymVPN'ın bu teknolojiye getirdiği en büyük yeniliklerden biri, VPN hizmetlerinin kullanıcı faaliyetlerini izlemesini engellemesi.
Siber güvenlik uzmanı Ahmet Alphan Sabancı, geleneksel VPN'lerin sunucularını kullanmanın "bütün verilerinize teorik olarak erişim imkânı vermek anlamına geldiğini" ifade ediyor. Bu VPN şirketlerinin kullanıcının internet trafiğine dair her şeyi görmesi mümkün.
Sabancı, "Nym VPN geliştirdiği teknoloji ile böyle bir şeyi yapmalarını imkansız hâle getirdiklerini söylüyor. Yani Nym sizin kim olduğunuzu veya VPN hizmetini ne için kullandığınızı bilmediği gibi, herhangi bir veri de tutmuyor," ifadelerini kullandı.
"Bu da hem kullanıcıların internette daha güvenli olabilmelerini hem de bir şekilde Nym’in hacklenmesi veya yasal yollarla veri talep edilmesi durumunda ellerinde hiçbir şeyin olmaması demek."
Meta veri koruması
NymVPN, dijital gizliliğin sıklıkla göz ardı edilen bir alanı olan meta veri korumasını çözmeyi amaçlıyor.
Mevcut VPN'ler ve diğer gizlilik araçları çoğunlukla uçtan uca şifreleme kullanıyor. Bu teknik esasen üçüncü tarafın bir mesajın içeriğine erişmesini engellemek için sadece gönderen ve alan kişinin açabileceği şifreler koyuyor. Ancak şifreli mesajlar bile kişinin kiminle ve ne zaman konuştuğu gibi bilgileri gizleyemiyor.
Sabancı, "Meta veriler tek cümlede tanımlamak gerekirse verinin kendisi hakkındaki veriler diyebiliriz. Mesela bir mesaj gönderdiğinizde mesajın kendisini veri olarak kabul edersek mesajın gönderildiği tarih ve saat, gönderen cihaz, gönderildiği konum gibi diğer bütün bilgiler meta veri olarak o mesajın yanında taşınır," ifadelerini kullandı.
"İnternet trafiğimiz için de aynısı söz konusu. Bir websiteyi ziyaret ettiğinizde o site sizinle ilgili IP adresiniz, konum bilgileriniz, kullandığınız cihaz ve işletim sistemi, tarayıcınız ve hatta tarayıcınızın ekran boyutu ve kurulu olan fontlar gibi çok çeşitli meta verilere erişebilir," diyen siber güvenlik uzmanı, şöyle ekledi: "Özellikle dijital reklam sistemleri birçok sitede sizi sürekli olarak takip ederek bunları toplar ve siz doğrudan bilgi vermeseniz bile bu kapsamlı meta veriler sayesinde sizi rahatlıkla ayırt edip profilinizi çıkarabilir. Böylece siz başka bir siteyi ziyaret ettiğinizde de sizi rahatça tespit eder."
NymVPN, meta veriler yoluyla kullanıcıların profilinin çıkarılma ihtimalini minimuma indirmeyi amaçlıyor. Bunu da "mixnet" adı verilen bir mimariyi kullanarak yapıyor.
Mixnet: Üç yöntemle üst düzey anonimlik vaadi
NymVPN'in kullandığı mixnet mimarisi üç temel bileşenden oluşuyor:
Çoklu Sunucu Yönlendirmesi: İnternet bağlantınız beş farklı kontrol noktasından geçen gizli bir yola benziyor. Burada her kontrol noktası yalnızca bir sonraki durağı biliyor, nihai varış noktasını ise hiçbiri bilmiyor. Bu şekilde, kimliğiniz ve çevrimiçi faaliyetlerinizin anlaşılması daha da zorlaştırılıyor. Bu, teknolojinin merkeziyetsizleşmesi anlamına geliyor.
Trafiği Kapatma: Herkesin aynı anda konuştuğu kalabalık bir odada olduğunuzu hayal edin. NymVPN, ne yaptığınızı izlemeye çalışan herkesi şaşırtmak için ekstra, sahte bir internet trafiği oluşturuyor. Bu aynı zamanda hızla gelişen yapay zeka teknolojisinin tehditleriyle başa çıkmak için de tasarlandı. Halpin, "Yapay zeka, gürültü içindeki bir sinyali bularak işler. Aynı temel matematiği kullanarak, yapay zekanın bile sizi yakalamasını zorlaştırmak için mevcut trafiğe gürültü ekledik," dedi.
Veri Paketi Karıştırma: Çevrimiçi olarak veri gönderdiğinizde, bunlar genellikle küçük paketler halinde seyahat eder. NymVPN bu paketleri karıştırarak gönderildikleri sırayı değiştiriyor. Bir kart oyununda kartları karmayı andıran bu yöntem, orijinal sıranın anlaşılmasını ve eylemlerinizin kolayca takip edilmesini zorlaştırıyor.
Blok zinciri de kullanılıyor
İnternet bağlantınızı beş farklı kontrol noktasından geçirmesinin yanı sıra NymVPN, kullanıcıların ziyaret etmek istedikleri sunucuları bir blok zincirine koyarak seçmelerine de olanak tanıyor.
Böylece veri tabanını da merkeziyetsiz hale getiriyor.
Halpin, "Merkezi olan herhangi bir bileşen önünde sonunda saldırıya uğrayacaktır. Bu nedenle, merkezi olmayan bir blok zinciri tabanlı sistem, şu anda çok fazla görünse bile kaçınılmaz olarak güçlü bir avantaja sahip olacaktır," dedi.
"ABD imparatorluğunun koruması altındaki küresel barış dönemi sona erdi. Dünya giderek daha kaotik hale gelecek, ancak ne demişler, 'Kaos bir merdivendir.'"
Yüzde 100 anonimlik mümkün mü?
Halpin, NymVPN'de ekstra bir "anonim modu" olduğunu belirtti. Ancak, bu modda iletişiminiz başkalarının iletişimleriyle karıştırıldığı ve bağlantınıza gürültü eklendiği için internet kullanımınız yavaşlayabilir.
Halpin'in aktarımına göre bu mod, Telegram ve diğer mesajlaşma uygulamalarında iyi çalışıyor: "Ayrıca, daha az anonim ancak geleneksel merkezi bir VPN'den çok daha hızlı ve daha güvenli olan bir hızlı mod da sunuyoruz."
Sabancı ise, "Her ne kadar Nym VPN gibi teknolojiler olabilecek en iyi güvenliği ve maksimum anonimliği sağlamaya çalışsa da tam anonimlik ile gerektiği zaman anonim olabilmeyi ayırt etmekte fayda var. Çünkü ihtiyaç duyduğunuz zamanlarda anonim bir şekilde interneti ve bilgisayarları kullanabileceğiniz ve normal kullanımlarınızdan bağımsız olan bir düzen tasarlamak -bir nevi internet kullanımınızın o kısmını ayrı bir kompartmana dönüştürmek- mümkün," ifadelerini kullandı.
"Fakat her zaman anonim olabilmek pek mümkün değil. Çünkü gündelik hayatımızın artık temel parçaları hâline gelen birçok şeye erişebilmek için anonimlikten belirli seviyelerde feragat etmek gerekiyor. Telefonunuz daima baz istasyonlarıyla iletişim kurarak konum bilgisini paylaşıyor, bankacılık uygulamaları güvenlik gerekçesiyle VPN üzerinden bağlantılardan giriş yapılmasına veya daha güvenli olması için tasarlanmış mobil işletim sistemlerine uygulamalarının kurulmasına izin vermiyor, büyük şehirlerde güvenlik kameraları ile sürekli takip ediliyoruz, bilgisayar veya konsol oyunlarını oynarken bile VPN kullandığınızı tespit eden oyunlar tarafından girişiniz engellenebiliyor."