Siber-Güvenlik Yeni Medya

VPN sağlayıcıların yüzde 40’ı kötü niyetli: Hangi VPN güvenli?

İnternet servis sağlayıcılarının çevrimiçi hareketlerimizi ve sanal ortamdaki verilerimizi takip ettikleri, sakladıkları ve reklamların hedef kitlesine göre satarak gittikçe güç kazandıkları artık bilinen bir gerçek. Üstelik yaptığımız her internet aramasında, girdiğimiz her sitede, beğen tuşuna her basışımızda ya da internet bankacılığını her kullanışımızda bu verilerimizi onlarla gönüllü bir biçimde paylaşıyoruz. Tam da bu nedenle dijital gözetim çağında gizlilik ve güvenlik için sanal özel ağları (VPN/Virtual Private Network) kullanmak yaygın bir uygulama halini aldı. Ancak güvenli olmayan VPN uygulamaları virüsler ve kötü amaçlı yazılımlara davetiye çıkarıyor.

Neden VPN kullanıyoruz?

İnternet devlerinin çevrimiçi taramalarımızı görmesini engellemek ya da yasaklı sitelere girmek için VPN kullanmayan neredeyse kalmadı. Dünyanın dört bir yanındaki insanların VPN kullanmalarının birçok nedeni var: Bulundukları konum bilgilerini gizlemek, kişisel verilerinin pazarlanmasını önlemek ve devlet sansürünü aşmak… En basit haliyle VPN, internet bağlantılarımızı güvence altına almak ve kişisel çevrimiçi etkinliğimiz üzerinde daha fazla kontrol sağlamak için kullandığımız bir hizmet. VPN kullanarak bilgisayarımızın gerçek IP adresini gizliyor ve rastgele atanmış bir IP adresiyle değiştiriyoruz. Yine sanal alemdeki ağ trafiğimizi daha güvenli hale getirmek için başka bir ağın parçası olmayı seçiyoruz. VPN’i bilgisayarımızdan ya da mobil cihazlarımızdan bir web sitesine gitmek için kullandığınız gizli bir ağ gibi düşünebiliriz. Bu ağ içerisindeyken üçüncü parti uygulayıcılar ne yaptığımızı göremiyor. Çünkü verilerimiz şifreleniyor.

Çin ve ABD’de neler oluyor?

Çin, ülkede hizmet veren ve devlet tarafından işletilen telefon operatörlerine popüler VPN sağlayıcıları yasaklaması talimatı verirken, Apple’ın da ülkenin yasaları ile çelişmemek adına VPN uygulamalarını App Store’dan kaldırdığı biliniyor.

Amerika Birleşik Devletleri’nde ise, kongre geçtiğimiz aylarda internet servis sağlayıcılarına yönelik gizlilik kısıtlamalarını yürürlükten kaldırdı. Sanal verilerinin artık korunmadığını düşünen internet kullanıcıları bu duruma tepki gösterdi. Bu gelişmenin ardından ülke çapında VPN kullanan internet kullanıcısı sayısında büyük bir artış olduğu söyleniyor. Ancak araştırmalar bu ağların kendisinin de güvensiz olabileceğini ortaya koyuyor.

Kişisel verilerimiz gerçekten güvende mi?

Bazı VPN sağlayıcıları anonim tarama için hiçbir ücret almadan veya ayda sadece birkaç dolar karşılığında verilerinizi paylaşmamayı vadediyor. Ancak bu hizmetler her zaman sözlerini yerine getirmiyor.

Princeton Üniversitesi’nde bilgisayar bilimleri profesörü olan Nick Feamster, “VPN servis sağlayıcınızın seçimine dikkat etmezseniz, ilaç hastalığa göre daha kötü sonuçlar doğurabilir” diyor. Uzmanlar, en güvenli seçeneğin kendi VPN sunucunuzu kurup ona bağlanmak ya da Tor kullanarak internette anonim olarak gezinmek olduğunu söylüyor. Fakat Feamster, sıradan internet kullanıcılarının çoğunun bunu yapmadığını da itiraf ediyor.

VPN sağlayıcılara yönelik ilk büyük incelemede, dünya genelindeki araştırmacılar Google Play’de yer alan yaklaşık 300 ücretsiz VPN uygulamasını test etti. Sonuçlar endişe vericiydi: VPN sağlayıcıların yaklaşık yüzde 40’ı kötü niyetli yazılım ya da reklama kapı açıyordu. Dahası, uygulamaların yaklaşık yüzde 20’si kullanıcı trafiğini şifrelemedi. Bir başka araştırmada ise, 14 VPN sağlayıcıdan aktivistler tarafından üretilen Private Internet Access, Mullvad ve VyprVPN dışında kalan 11’inin, kullanıcıların eriştiği web siteleri ve iletişim içerikleri de dahil olmak üzere bilgi sızdırdığı saptandı.

Yine Amerika Birleşik Devletleri’nde Demokrasi ve Teknoloji Merkezi, 1 Ağustos 2017 tarihinde popüler VPN sağlayıcı Hotspot Shield’ın veri topladığını ve trafiği kesintiye uğrattığını iddia ederek Federal Ticaret Komisyonu’na şikâyet başvurusu yaptı. Doğruysa, şirketin bu politikası “Kullanıcı verilerinin hiçbir zaman kaydedilmemesi veya saklanmaması” konusundaki vaadinin doğrudan ihlali anlamına geliyor.

Özetle VPN bizim genel ağ üzerindeki trafiğimizin gözetlenmesini önlüyor. Ancak bulunduğumuz özel ağ üzerindeki gözetimden kaçamıyoruz. Bir şirkete ait ya da ticari herhangi bir VPN kullanıyorsanız, onu yöneten kişiler verilerinizi ve trafiğinizi görebiliyor. Dolayısıyla itibarsız ya da kötü amaçlı bir VPN servis sağlayıcı kimi zaman kasıtlı olarak kişisel enformasyonumuzu ya da diğer değerli verileri toplayabiliyor.

Hangi VPN sağlayıcı daha güvenli?

VPN kullanmadan önce servis sağlayıcının gizlilik politikasını okumamız gerekiyor. Kullanıcı bilgilerini toplayıp toplamadığını, eğer öyleyse ne kadar süreyle sakladığını bilecek dijital okuryazarlık becerilerine ihtiyacımız var. Sıradan internet kullanıcıları olarak merak ettiğimiz soru hangi VPN sağlayıcıların daha güvenli olduğu. VPN kullanmak istiyorsanız, bu karşılaştırma grafiği iyi bir kaynak olabilir. Yine 2017 yılının en popüler VPN servislerine yönelik bir başka çalışmaya da göz atabilirsiniz. Özgür Yazılım Vakfı tarafından 2016 yılında duyurulan Özgür Yazılım Kablosuz Mini Router da kullanıcı özgürlüğünü ve veri güvenliğini sağlamak adına geliştirilmiş bir başka yöntem olarak karşımıza çıkıyor. Son olarak, kendi VPN’inizi tasarlamayı planlayacak cesaret ve hevesiniz varsa Ars Technica ayrıntılı bir kılavuz ile yardımcı oluyor.

Bilge Narin

Bilge Narin

UMass Department of Communication'da doktora sonrası araştırmacı olarak bulunuyor. Doktora ve yüksek lisansını Ankara Üniversitesi SBE Gazetecilik Anabilim Dalı'nda tamamladı. ODTÜ Bilim ve Teknoloji Politikası Çalışmaları programında ikinci yüksek lisans eğitimini bitirdi. 2005-2010 yılları arasında Genelkurmay Başkanlığı bünyesinde İletişim Daire Başkanlığı'nda 'Basın ve Tanıtım Uzmanı' unvanıyla görev yaptı. Halen Gazi Üniversitesi İletişim Fakültesi'nde araştırma görevlisi.