VPN, yasaklar ve erişim engellerinin yaygın olduğu otoriter rejimlerde tarafsız bilgiye ulaşmanın önemli bir aracı. Ancak yapılan bir araştırma her VPN’in sanıldığı gibi güvenli olmadığını ortaya koydu.
Otoriter yönetilen ülkelerde yaşayan ve buna rağmen ülkesindeki gelişmelerle ilgili tarafsız bilgi edinmek isteyenlerin işi zor. Bu tür ülkelerde muhalif medya yasaklar ve baskılarla boğuşurken yabancı internet siteleri de erişim engelleriyle karşılaşıyor.
Bu tür ülkelerde bilgiye erişim içinSanal Özel Ağ, yani VPN önemli bir rol oynuyor. VPN’in iki avantajı var: IP adresini gizliyor ve içeriği şifreliyor. Bu sayede erişim engeli getirilmiş internet sitelerine ulaşmak mümkün hale geliyor. Dünyada yüz milyonlarca kişi VPN kullanıyor.
VPN kullanmak güven meselesi
Tam da bu nedenle VPN kullanımı Çin, Rusya, Belarus, İran, Kuzey Kore gibi ülkelerde yasak ya da en azından kullanımı güçlü bir şekilde kısıtlanmış durumda. Bu tür ülkelerde VPN kullananlar bunu gizlice yapıyor ve sağlayıcıdan da verileriyle ilgili aynı gizliliği bekliyor.
Ancak maalesef kullanıcıların gizlilik ihtiyacını dikkate almayan sağlayıcılar da var. İnternet özgürlükleri alanında kamu yararı için çalışan bağımsız bir kuruluş olan “Open Technology Fund”ın yaptırdığı kapsamlı araştırma bu konudaki açıkları ortaya koyuyor. Kullanıcıların hapse girmesine kadar önemli etkileri olabilecek bu açıklar alarm veriyor.
Şirketlerin arkasında kimler var?
Yapılan araştırma sonucu ortaya çıkan açıklardan biri, künyedeki şeffaf olmayan veriler. Pek çok VPN sunucu, karmaşık şirket yapılarının arkasında gerçek sahibinin kim olduğunu gizliyor. Bu da şirket üzerinde asıl kimin güç ve nüfuz sahibi olduğunun bilinmemesi sonucunu doğuruyor.
Örneğin araştırmada incelenen VPN sunucularından Innovative Connecting PTE, Autumn Breeze PTE ve Lemon Clove PTE’nin künyelerinde Singapur’da kayıtlı oldukları yazıyor. Gerçekte ise Çin vatandaşları tarafından Çin’den yönetiliyorlar ve enformasyon denetimi konusunda Çin yasalarına tabiler.
Yapılan başka bir araştırma da aynı sonucu ortaya koyuyor. Araştırma, pek çok VPN sunucusunun, veri depolama konusunda gevşek yasalara sahip ülkelerde paravan şirketler kurduklarına işaret ediyor.
Beyaz etiket çözümleri
Bir başka tespit, çok sayıda farklı VPN uygulamasının aslında aynı şirket tarafından geliştirilmesi. Raporda “az sayıda şirketin, beyaz etiket çözümleri yoluyla VPN piyasasında orantısız derecede büyük bir paya sahip olduğuna” dikkat çekiliyor. Beyaz etiket çözümü, bir şirketin, üçüncü bir şirketin geliştirdiği ürünü kendi markası altında piyasaya sürmesi anlamına geliyor.
Araştırmada, 16 VPN uygulamasına sahip sekiz VPN sunucusu “yüksek derecede sorunlu” olarak sınıflandırılıyor. Google Play Store’da 700 milyondan fazla indirilmiş VPN hizmetlerinin birbirleriyle ilişkilerinin gizlendiği tespitinde bulunuluyor ve bu sunucuların işlettiği hizmetlerin veri koruma ve güvenlik konusunda sorunlu olduğu, kullanıcıları takibat riskine soktuğu vurgulanıyor.
Yüz milyonlarca kullanıcı tehlikede
Araştırmada “son derece endişe verici” diye sınıflandırılan uygulamalar ise; Turbo VPN, VPN Proxy Master, XY VPN ve 3X VPN – Smooth Browsing. Bu uygulamaların her biri Google Play Store’da 100 milyondan fazla kez indirilmiş durumda.
Bu da dünyada yüz milyonlarca kullanıcının aslında tam anlamıyla güvende olmadığı anlamına geliyor. Raporda, sunucuların VPN tüneli oluşturmak için Shadowsocks protokolü kullandığına ve bu protokolün gizliliği korumak üzere tasarlanmadığına işaret ediliyor.
Sabit şifre tehlikesi ve gizlice konum toplama
Ancak güvenlik açıkları burada bitmiyor. “Son derece endişe verici” diye sınıflandırılan sunucular, sabit şifreli Shadowsocks protokolü kullanıyor ve bu şifreler uygulamada kayıtlı. Bu da önemli bir güvenlik açığı. Dışarıdan bir saldırı durumunda şifrenin okunması ve tüm iletişimin deşifre edilerek çözülmesi mümkün.
Araştırmaya göre pek çok şirket, işlem merkezlerinden kiraladıkları sunucuları kullanıyor ve donanım üzerinde tam kontrole sahip değiller. Ve bazı VPN uygulamalarının, kendi veri koruma ilkelerine aykırı olmasına rağmen gizlice konum bilgilerini toplaması da araştırmanın ortaya koyduğu sonuçlar arasında.
Hangi uygulamalar tavsiye ediliyor?
Araştırmada, Innovative Connecting, Autumn Breeze, Lemon Clove, Matrix Mobile, ForeRaya Technologies, Wildlook Tech, Hong Kong Silence Technology ve Yolo Mobile Technology Limited uygulamalarının özel alan ve güvenlik konusunda ciddi sorunlara sahip olduğu ve kullanıcı açısından büyük riskler taşıdığı uyarısı yer alıyor.
Araştırmacılar, bu tür uygulamalar yerine, daha güvenilir ve güvenli olarak görülen ücretli uygulamalara yönelinmesini tavsiye ediyor. Lantern, Psiphon, ProtonVPN ya da Mullvad gibi uygulamalarda veri koruma ve güvenlik açısından ciddi sorunlara rastlanmadığı not ediliyor.
Araştırmanın sonuç bölümünde kullanıcılara, künyesinde sahibinin kim olduğu, altyapısı ve uygulanacak hukuk ile yargı yetkisi konularında tam şeffaflık gösteren VPN sunucularını tercih etmeleri tavsiyesi yer alıyor.
Uygulama mağazalarına da, sunacakları uygulamaların güvenlik açıklarına daha fazla dikkat göstermeleri önerisinde bulunuluyor.
“Devlet her şeyi görebiliyor”
Araştırmanın yazarlarından Benjamin Mixon-Baca, vardıkları sonuçlarla ilgili “felaket” değerlendirmesinde bulunuyor. Mixon-Baca, “Bu, kullanıcıların özel alanları ve güvenlik açısından bir felaket. Kullanıcının hangi ülkede yaşadığından bağımsız olarak, tespit ettiğimiz açıklar, VPN’lerin internet sitelerinde iddia ettiklerinin aksine hiçbir şekilde özel alan ya da güvenlik sunmadığını gösteriyor. Bunun sonucu kullanıcılar sahte bir güvenlik duygusuna kapılıyor. Gerçekte ise devlete bağlı aktörler, kullanıcının yaptığı her şeyi görebiliyor” ifadelerini kullanıyor.
Araştırmacı Mixon-Baca, sunucuların gerçek kimliklerini gizlemek için gösterdiği çabaya ve aksi yönde verdikleri söze rağmen coğrafî konum bilgilerini toplamalarına işaret ederek kullanıcıların güveninin ciddi bir şekilde suistimal edildiğini vurguluyor.
Son çare Tor
Araştırmacı Mixon-Baca, VPN’deki temel çelişkinin işin ticarî boyutu olduğunu belirtiyor ve “İnsanların bu ürünlerden beklediği şey, yani veri koruma ve güvenlik, reklam ve para kazanmayla doğrudan tezat oluşturuyor. Veri korumayı para kazanmak üzere reklamla birleştirdiğinizde sonucun iyi olmadığını tespit ettik” diyor.
Signal gibi bağışlarla desteklenen ve kâr amacı gütmeyen bir uygulamanın prensipte iyi olduğunu ancak mevcut kaynaklarıyla veri koruma ve güvenlik konusundaki sorunları çözemeyeceğini belirten Mixon-Baca, gerçekten güvenliğe önem veren kullanıcılara Tor tarayıcısını tavsiye ediyor. Türkçe Soğan Yönlendirici olarak adlandırılan The Onion Router’ın kısaltması olan Tor, internette kimlik gizliliğini artıran bir sanal tünel ağı. Mixon-Baca, “Diğerleri gibi Tor’un da sınırları var. Ama veri koruma sizin için öncelikse Tor ilk seçiminiz olmalı” diyor.
