Yaşar Safkan

Her konuda yazılar...

  • Ağırından
  • Hafifinden
  • Kısa Kısa
  • Google
  • Teknik
    • Programlama Taosu
  • Trafik
    • Park Başarıları
  • Üniversite
  • Link
Buradasınız : Ana Sayfa / Teknik / Twitter Kullanırsak Fişlenir Miyiz? VPN Şart Mı?

Twitter Kullanırsak Fişlenir Miyiz? VPN Şart Mı?

06/04/2014 By Yaşar Safkan 2 Yorum

Ortada bir bilgi kakafonisidir, uçuşuyor…

“Twitter açıldı ama, VPN’siz girmeyin, TİB hepinizi fişleyecek” diyenler var.

Vaziyet çok basit değil. Ancak, klavyem bastığınca, durumun ne olduğunu anlatayım dedim.

Madde bir. TİB, istediği IP adreslerine servisi kendisi verecek teknolojiye sahip. Mesela, Google DNS (artı Open DNS ve bazı diğer DNS servisleri) için bunu yaptı. Yani DNS’inizde tam olarak hiç bir aşamada güvenemeyeceksiniz.

Peki, “fişleme” namına ne yapabilir?

1. DNS servisini yine zehirleyebilir.

Şu an itibarıyla, twitter.com’un gerçek adresleri şöyle:

199.16.156.102
199.16.156.230
199.16.156.6

DNS zehirlemesi yapıp, bunu başka bir IP’ye yönlendirir. Böyle bir yönlendirmeye karşı savunmanız nedir?

a. Başka bir DNS servisi kullanmak. Bunu çoğumuz öğrendik. Ama IP yönlendirmeyle kandırılıyor olabilirsiniz yine.

b. Hosts dosyanıza ekleme yapmak. Bu, sizin kandırılmanızı engelleyecektir. Linux sistemlerde /etc/hosts, Windows sistemlerde C:\Windows\System32\drivers\etc\hosts dosyasıdır bu. Bunun içine şu satırları ekleyebilirsiniz:

199.16.156.102  twitter.com www.twitter.com
199.16.156.230 twitter.com www.twitter.com
199.16.156.6 twitter.com www.twitter.com

Böylece bu domain’ler arandığında, DNS sorgusu yapmadan, kendi makinanızdan kullanıyor olursunuz. Ama mesela, mobile.twitter.com falan da gerekiyorsa, onları da eklemek gerekir. Bir de, bir değişiklik olduğunda, güncelleme gerekir. Sağlam, ama meşakkatli bir yol.

2. IP yönlendirmesi yaparak, Twitter’ın gerçek adreslerine kendisi servis verebilir.

Aynı “DNS spoofing” gibi, “Twitter spoofing” de yapabilir yani. Burada, onlar açısından bir güçlük, yeterli kuvvette servis verebilmek. Yani Twitter’ın trafiğini kaldırabilmeleri gerekecektir. Ama bunu yapacak kadar paraları olduğunu (!) da gayet güzel biliyoruz.

Bu iki yönetmden biriyle, sizi kendi sunucusu üzerine çekebilir. Anahtar nokta şu: Bunlarda başarılı olsa bile, bu sizi fişlemesi için yeterli olmayacaktır!

Bazı siteler ve tarayıcılar, bağlantının https üzerinden olmasını zorluyorlar. Siz de elinizle https://www.twitter.com yazarak, bunu garantiye alabilirsiniz.

Bağlantıyı https ile kurduğunuz zaman, tarayıcınız, karşı tarafla güvenli bir bağlantı kurar. Karşıdaki sunucunun gerçekten Twitter olduğunu anlamaya çalışır. Bunu da, karşı tarafın gönderdiği sertifikaya bakarak yapar. Öncelikle, sertifika bağlandığı adres için mi çıkartılmış, ona bakar. Bu tamamsa, sertifikanın “imza”sını kontrol eder. Yani, sertifikayı kim imzalamış diye bakar. O imza sahibinin de bir sertifikası vardır. Onun da bir imzası… Nereye kadar? Kök sertifikalara ulaşana kadar. Bu kök sertifikalar da, önceden tarayıcınız tarafından bilinir. Yani, “burası twitter.com olduğunu söylüyor, sertifikayı Ahmet imzalamış, onun sertifikası var, onu Mehmet imzalamış, onun sertifikasını da HedeHödö imzalamış ki, onun kök sertifikası var…” tadında gelişir olay. Twitter durumunda, aslında bu tek adımda gerçekleşiyor.

Bu şartlarda nasıl aldatılabiliriz?

Eğer Twitter, baskıya bel verip, kendi özel sertifikasını TİB’e verirse, çok da güzel kanarız. Tabi onu veren sizin bilgilerinizi de verecektir, dolayısıyla VPN’in de faydası olmaz. Onun için, bu olasılığı analiz dışına itelim.

Sistemin en büyük zayıflığı, “kök serfikalar”… Bunlardan sayıca epey de var. TİB gidip bunların birine, kendisi için, twitter.com adına yeni bir sertifika hazırlatırsa (bu Twitter’ın gerçek sertifikasından farklı olacaktır) gerçekten araya girip, “man in the middle attack” denen şekilde, tüm Twitter haberleşmenizi dinleyip, sizi canavar gibi fişleyebilir…

İşin güzeli, klasik şekilde çalışıyorsa, tarayıcı sertifikanın değişmesini ciddiye almayacaktır, yeni gelen geçerli bir sertifika ise…

Burada, sadece Twitter’a değil, tüm kök sertifika otoritelerine güveniyorsunuz… Hepsi ne kadar güvenilir?

VPN sizi bunan kurtarır mı? VPN sağlayıcıları da aynı saldırıya maruz kalabilir. Yani, TİB’in radarına girecek VPN sağlayıcıları da aynı risk altındadır.

Buna karşı ne yapılır? İlginçtir ki, yapılmışı var… Yukarıdakini okurken sizin de aklınıza gelmiş olabilir.

Yeni konuşulan, muhtelif isimleri olan “certificate pinning” de denen bir şey var. “Sertifika iğneleme”… Yani, her sertifikayı kabul edeceğinize, “doğru” biliğiniz bir sertifikayı belirleyip, aynı site için başka (ve geçerli) bir sertifika görseniz de, kabul etmiyorsunuz onu…

Muhtelif araçlar başlangıç aşamasında…

Güzel haber şöyle: Google Chrome bu “sertifika iğneleme” işini sizin için zaten yapmış durumda. Eğer güncel bir versiyon kullanıyorsanız, Google ve diğer bazı sık kullanılan sitelerin -ki Twitter tüm domain’leriyle dahil buna- sertifkaları iğnelenmiş durumda. (Henüz ayarlarla kendiniz oynayamıyorsunuz.) Yani, TİB kendine bir sertifika yaptırıp araya girmeye kalkarsa ve Chrome kullanıyorsanız, alarmlar çalacak demektir tarayıcınızda…

Chrome kullanıyorsanız, veya başka bir yolla “certificate pinning” yapıyorsanız, VPN kadar güvendesiniz demektir. Ne eksik, ne fazla.

Bundan daha güvenlisi ne olur? Uydu bağlantısı satın alın. TİB kontrolünde olmayan yerden İnternet’e çıkarsanız, size kimse elleşemez…

Durum budur. “Bunlar reklam kokan hareketler” diye düşünen varsa, Google’da hissem falan yok :-).

 

VN:F [1.9.13_1145]
please wait...
Rating: 5.0/5 (2 votes cast)
Twitter Kullanırsak Fişlenir Miyiz? VPN Şart Mı?, 5.0 out of 5 based on 2 ratings
2 I like This

Bunu paylaş:

  • Twitter üzerinde paylaşmak için tıklayın (Yeni pencerede açılır)
  • Facebook'ta paylaşmak için tıklayın (Yeni pencerede açılır)
  • Linkedln üzerinden paylaşmak için tıklayın (Yeni pencerede açılır)
  • WhatsApp'ta paylaşmak için tıklayın (Yeni pencerede açılır)
  • Arkadaşınıza e-posta ile bağlantı göndermek için tıklayın (Yeni pencerede açılır)

İlgili

Kategori:Teknik

Yorumlar

  1. ismail der ki

    07/04/2014 ile 09:00

    “Eğer Twitter, baskıya bel verip, kendi özel sertifikasını Twitter’a verirse, çok da güzel kanarız. ” cümle hatalı olmuş

    VA:F [1.9.13_1145]
    please wait...
    Rating: 0.0/5 (0 votes cast)
  2. Tarkan Canbal der ki

    11/04/2015 ile 02:52

    Merhaba,
    Bizim TIB’in bu kadar büyük birşeyi yapabileceğini sanmıyorum.Ki internetlerimiz bile adil kota adlı saçmalıklar yüzünden aşırı derecede yavaş şu anda 🙂
    Halen bir altyapı sorununu çözemediler, ayrıca geçenlerde olan elektrik saldırısını biliyorsunuzdur.Daha bir siber saldırıyı engelleyemiyorlarken, gelip kullanıcı ayrıştırmaları yapamazlar sanırsam 🙂

    VA:F [1.9.13_1145]
    please wait...
    Rating: 0.0/5 (0 votes cast)

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Arama

Popüler Yazılar

  • Güneşin Altında Her Şey Boş
  • Agile: Türk Kaşığıyla Amerikan Çikolatası
  • Kitaplar, Kitaplar, Kitaplar...

Beni takip etmek için

  • Email
  • LinkedIn
  • Medium
  • Twitter
  • YouTube

Son çıkanlar

  • Kitaplar, Kitaplar, Kitaplar… 16/07/2021
  • İnsana İnsan Emanet Etmek 23/04/2021
  • Planlama, Proje Yönetimi, Risk Yönetimi 23/04/2021
  • Kafamdaki Bölmeler 23/04/2021
  • “Zor” Merakı 17/04/2021

Son yorumlar

  • Yazılım yazılsa yazılsa kaç saat yazılır? için Emir
  • CV Nasıl Yazılır? Nasıl Yazılmaz? için Bahar
  • Kafamdaki Bölmeler için paslanmaz çelik evye bataryası
  • 8401 Makinayı Nasıl Kapattım? için Salih
  • 8401 Makinayı Nasıl Kapattım? için Tolga

En çok ziyaret edilenler

  • CV Nasıl Yazılır? Nasıl Yazılmaz? Ne belalı iştir şu CV yazmak. Özellikle ilkini. Yalnız, nedense… (73.217)
  • Neden Türkiye’de Hasan Beyin Takımı Olur Da,… Böyle yazı başlığı mı olur? Başlıkları vurucu yapınca daha çok… (12.515)
  • Maliyet Hesabı Maliyet hesabı... Düşündünüz mü hiç, ne kadar önemli bir meseledir… (9.168)
  • Yazılım Kariyerinin Başındakilere Ukalalıklar… İlk defa Google'da duyduğum bir laf var: "Haklıysan ukalalık değildir."… (8.841)
  • 8401 Makinayı Nasıl Kapattım? Artık on yılı geçti, ama Google hikayeleri askerlik hikayeleri gibi… (6.427)
  • Başlatmayın Erken Kalkmanızdan! Gördüğünüz yazı başlığı, ilk düşündüğüm başlığın, üç kademe efendileştirilmiş hali.… (6.150)
  • Agile: Türk Kaşığıyla Amerikan Çikolatası Doğru, onun aslı çikolata değil. Hem çikolata kaşıkla yenmez. Nutella… (6.093)
  • Meslek Seçimi Hikayesi "Meslek sahibi olana meslek seçmesi kolay" dememişler, ben olsam derdim.… (5.223)
  • Tartışmak Nedir, Nasıl Olur? "Tartışmak", kelime kökeni olarak açık şekilde "tart"maktan türemiş bir kelimedir.… (4.598)
  • Yöneticilik ve Liderlik Üzerine Bunların üzerine yazıp çizen çok... Bir ukalalık da ben edeyim,… (4.257)
  • Arşiv

Sosyal Medya’da

Follow Us on TwitterFollow Us on LinkedInFollow Us on YouTube

Bloga e-posta ile abone ol

Bu bloga abone olmak ve e-posta ile bildirimler almak için e-posta adresinizi girin.

MOST LIKED POSTS

  • Neden Türkiye'de Hasan Beyin Takımı Olur Da, Beyin Takımı Olmaz? (55)
  • Yazılım Kariyerinin Başındakilere Ukalalıklar... (40)
  • 8401 Makinayı Nasıl Kapattım? (34)
  • CV Nasıl Yazılır? Nasıl Yazılmaz? (30)
  • Öğrenemediklerim... (30)

Copyright © 2006-2017 · News Pro Theme On Genesis Framework · WordPress