Teknoloji şirketlerinin, tüketicileri etkilemek için bazı özelliklerini abartarak kendilerini pazarladıkları sır değil. Peki, bazı uygulamaların da önemsiz gibi gösterildiği durumlarla hiç karşılaştınız mı? VPN servislerinin bu konuda kötü bir şöhreti söz konusu. Çünkü birçoğu log tutmadıklarını ya da ‘Sıfır Log Politikası’na sahip olduklarını iddia ediyor.
Ama bu iddialara, gerçekleri hiç de yansıtmıyor.
‘Log tutmama’ ya da ‘sıfır log’ gibi terimlerin siber güvenlik alanında ne anlama geldiği konusunda çeşitli yaklaşımlar söz konusu. Çünkü her şirket log’ları kendilerine göre tanımlıyor.
Biz de bu kafa karışıklığını giderme adına log tutma işleminin nasıl gerçekleştirildiğini anlatmak istedik.
Log Türleri
Gerçek Sıfır Log Politikası
Adından da anlaşılacağı gibi, gerçek bir "sıfır log" politikası takip eden bir VPN, elde edebileceğiniz en güvenli hizmet olacaktır. Bu hizmetler, yazılımı kullandığınız süre içinde gerçekten hiçbir verinizi ellerinde tutmadıkları için fiilen anonim bir kullanıcı olarak kalırsınız. Söz konusu log tutmama politikası açık ara en etkili uygulamadır, çünkü verilerinizin reklam verenlere satılması ya da adli bir soruşturmada aleyhinize delil olarak kullanılması imkansızdır. Bu politikayı kararlılıkla takip eden VPN'lerden biri olan Private Internet Access, FBI’ın kullanıcı logları ile ilgili taleplerini sürekli olarak geri çevirmektedir. Çünkü FBI’ın istediği veriler kendilerinde de bulunmuyor.
Oturum Logları
VPN servislerinin çoğu, ‘log tutmama politikası’na sahip olduklarını söylerken, oturum loglarını kasteder. Oturum logları, VPN’i kullanırken üretilen meta verileri takip eden nispeten temel bir log olarak tanımlanabilir. Meta veriler genellikle; kullanım süresi, kullanılan ve VPN sunucusunun kullandığı bant genişliği gibi ölçümlerden gelen verilerin toplanmasından elde edilir.
Bu loglar temel verileri içerse de ifşa edilmeleri genellikle sorun oluşturmaz. Ancak, kesinlikle veri tutulmamasını isteyen kullanıcıların, gerçek bir sıfır log hizmeti araştırmaları daha iyi olur.
Etkinlik Logları
VPN kullanırken internette neler yaptığınıza dair çok miktarda veri kaydedebileceğinden, etkinlik loglarının tutulması insanı haklı olarak ürkütür. Etkinlik logları; arama motorlarında hangi kelimeleri arattığınız, hangi web sitelerini ziyaret ettiğiniz, hangi dosyalara erişim sağladığınız ya da hangilerini indirdiğiniz ve satın aldığınız ürün ve hizmetlere kadar birçok bilgiyi toplayabilir. Bu logların tutulmaıs aslında gerçekten de çok ürkütücüdür. Çümkü VPN şirketleri tarafından üçüncü taraf reklam şirketlerine satılabilir ya da bir adli soruşturma söz konusu ise kişilerin aleyhine delil olarak kullanılabilirler.
IP Adresi Logları
IP adresi loglarının, etkinlik loglarına göre biraz daha az ürkütücü olduğunu söyleyebiliriz ancak yine de bu logların tutulması tehlike çanlarını çaldıracak kadar önemlidir. IP adresi logları, internet IP adresinizi kullanarak fiziksel konum bilgilerinizi ve VPN’e bağlandığınız zamanın bilgisini tutar. Bu sayede, VPN servisinin elinde IP adresinizin ve giriş yaptığınız ânın bilgisi olur. Bu da birçok soruşturmada kimliğinizin tespit edilmesi için yeterli bilgiyi sağlayabilir.
Log Tutmayı Etkileyen Veri Anlaşmaları ve Politikaları
VPN servisleri, devlete bağlı ve vatandaşları takip etme konusunda politikalar geliştiren kuruluşlar tarafından zorlanmadıkça genellikle log tutma eğiliminde değildir. Bu konuda devletler arasında yapılan ve Beş, Dokuz ve On Dört Göz olarak adlandırılan anlaşmalar, taraf olan devletlere birbirlerinin topraklarında bulunan vatandaşlarını takip etme imkanı tanıyor. Bu meşhur anlaşmalar kapsamında, eğer bir ülkedeki veri kurumları kendi vatandaşları üzerinde bilgi toplamak için gereken yetkiye sahip değilse, diğer hükümetlerden bu işi kendileri adına yapmalarını da isteyebiliyor. Söz konusu anlaşmalar ve veri paylaşımı ve vatandaşları üzerinde casusluk faaliyetleriyle ilgili olarak yapılan bu ittifaklara giren ülkeleri aşağıda özetledik.
Beş Göz Anlaşması
ABD, İngiltere, Avustralya, Yeni Zelanda ve Kanada arasında imzalanan 5 Göz Anlaşması, insanları takip etmek üzerine yapılan anlaşmaların en ünlüsü. Bu anlaşmaya taraf olan devletler, diğerlerinin vatandaşlarıyla ilgili elde ettikleri verileri müttefikleriyle paylaşıyor. Söz konusu politikanın temelleri 1946’da ABD ile İngiltere arasında imzalanan anlaşmayla atıldı. Bu iki devlet, İkinci Dünya Savaşı’nın ardından, Sovyetler Birliği ve müttefiklerinin faaliyetlerini takip etmek amacıyla Sovyet ordularından gelen telgraf sinyallerini yakalamak amacıyla böyle bir adım atmıştı. Ancak yıllar içinde gelişen teknolojiyle birlikte telefon, bilgisayar ve faks makinelerindeki mesajları da takip etmeye başladılar. Bilgi ağı genişledikçe; Kanada, Avustralya ve Yeni Zelanda da bu anlaşmaya taraf devletler haline geldiler.
Günümüzde, akan veri trafiğinin takibi ECHELON adı verilen bir yazılım tarafından yapılıyor. Beş Göz Anlaşması’na taraf olan ülkeler hem ticari hem de özel operasyonlarla ilgili casusluk faaliyetlerini sürdürüyor ve bireylerle ilgili olarak çok büyük miktarda veriler topluyorlar. Bu bilgiler, üye ülkeler arasında paylaşılabiliyor ve şüpheli kişileri takip etmek üzere kullanılıyor. Bugünkü verilerin büyük kısmı; telefon konuşmaları, internet üzerindeki etkinlikler, fakslar ve diğer dijital iletişim cihazlarından elde ediliyor. Sonuç olarak, bu anlaşmaya taraf olan beş ülkede bulunan tüm insanlar, eğer şüpheli olarak değerlendiriliyorlarsa, tüm verileri sürekli kaydediliyor ve bu kişiler takip altında tutuluyor. İşte bu nedenle, beş ülkenin hükümeti de VPN servislerindeki kullanıcı etkinliklerine dair bilgileri elde etme yetkisine sahip.
Dokuz Göz Anlaşması
Çok geçmeden, beş devletin taraf olduğu veri paylaşma anlaşmasına diğer ülkeler de katılmayı talep etti. Çünkü anlaşma, bu beş ülke için birçok açıdan çok yararlı bir araç haline gelmişti. Hollanda, Fransa, Norveç ve Danimarka’nın da taraf olduğu yeni belgeye Dokuz Göz Anlaşması adı verildi. Ancak, anlaşmaya taraf olmakla birlikte, Hollanda gibi bazı ülkelerin kendi veri koruma yasaları mevcut. Hollanda’daki bazı yasalar, kişisel gizliliği sıkı şekilde koruyor ve VPN servisleri tarafından tutulabilecek bilgileri sınırlandırıyor.
On Dört Göz Anlaşması
Beş Göz ve Dokuz Göz anlaşmalarının etkili olması üzerine beş ülke daha bu ittifaka katıldı. İspanya, Almanya, Belçika, İtalya ve İsveç’in de taraf olduğu On Dört Göz Anlaşması sayesinde, veri paylaşım ağı daha da genişlemiş oldu. Bu sayede, söz konusu ülkeler, diğer ülkelerin vatandaşları üzerinde fiilen casusluk yapma imkanına sahip oldu. On Dört Göz Anlaşmasının geniş bir casusluk sistemine dönüşmesi, anlaşmaya taraf olan ülkelerde bulunan VPN servislerin kullanıcı verilerini koruma yetenekleri üzerinde de ciddi soru işaretlerine neden oluyor.
Log Tutulmasıyla İlgili Güncel Gelişmeler
Aslında birçok şirket, log tutmama politikasına sahip olduklarını iddia ediyor ancak bunların çok azı hiçbir log tutmadıkları konusunda taahhüt verebiliyor. Örneğin, Hong Kong merkezli bir VPN servisi olan PureVPN, yakın zamanda bir kullanıcısının verilerini Amerikan istihbarat kuruluşu FBI’a teslim etti.
PureVPN müşterisinin, VPN servisini siber suçlar ve taciz amacıyla kullandığı iddiası üzerine açılan soruşturma kapsamında FBI; şirketten yardım istedi. Bu talep üzerine harekete geçen PureVPN, müşterisinin servise giriş yaptığı yer ve zaman bilgilerinden oluşan verileri FBI’a vererek, şüphelinin ne zaman nerede olduğunu ifşa etti. Oturum loglarını elde eden FBI, şüpheliye ulaşma adına çok önemli bilgilere sahip oldu ancak tüm dikkatler hiçbir log tutmadığını iddia eden PureVPN üzerinde yoğunlaştı. Logları tutmuyorsa bu bilgileri nasıl vermişti?
PureVPN’in çalışma sistemi ayrıntılı şekilde incelendiğinde, VPN servisinin gizlilik politikasında birbirleriyle çelişen ifadeler olduğu ortaya çıktı. Yani log tutmama politikasını takip ettiğini ilan eden PureVPN, aslında kullanıcıların oturum loglarını elinde tutuyordu.
PureVPN vakası, bu konudaki en ünlü olay olarak öne çıkıyor ancak VPN servislerinin kullanıcı verilerini yetkili makamlara teslim ettiği vakalar kesinlikle bununla sınırlı değil. Bu vaka ve diğerleri, ilan edilen ‘log tutmama’ politikalarının gerçekte ne kadar değişken olabileceğinin de bir kanıtı aslında.
Kendinizi Korumanın Yolları
En Alttaki Küçük Yazılıar Okumayı İhmal Etmeyin
Aslında birçok şirket, hiçbir log tutmadığını iddia ediyor ancak hizmet sözleşmelerinde en altta yer alan küçük yazılar genellikle bunun tam tersini söylüyor. Sizinle ilgili hiçbir bilginin araştırma amacıyla dahi kullanılmayacağından emin olmak için VPN servisleriyle igili ek açıklamaların tamamını dikkatli şekilde okumalısınız.
On Dört Göz Anlaşmasına Taraf Ülkelerden Uzak Durun
Genel olarak, On Dört Göz Anlaşmasına üye ülkelerde bulunan VPN servisleri, veri tutma konusundaki sıkı politikalar sebebiyle gizliliği koruma adına daha yüksek performans gösterdikleri söylenemez. Ancak bu ülkelerdeki bazı VPN servisleri, dayatılan kurallara karşı çıkarak ellerinde herhangi bir kullanıcı bilgisi tutmuyor. Buna gerekçe olarak da temel insan haklarından olan bilgi edinme ve haberleşmenin gizliliği hakkının hükümet politikalarının üstünde olmasını gösteriyor. Bunun yanında, söz konusu ülkelerden bazılarında vatandaşların mahremiyetinin korunmasını amaçlayan yasalar mevcut ve VPN’lerin kullanıcı verilerini kayıt altında tutma zorunluluğunun ne kadar meşru olduğuna dair tartışmalar sürüyor.
VPN’i Tor ile birlikte kullanın
VPN servisini Tor ile birlikte kullanmak, doğru şekilde yapılmak şartıyla, gizliliğinizi en üst düzeye çıkarabilir ve verilerinizin bu konuda en sıkı olan ülkelerde bile takip edilmesini imkansız hale getirebilir. Ancak, VPN servisiniz Tor ile gerektiği gibi kullanılamazsa, internet etkinlikleriniz Tor’un çıkış düğümleri üzerinden takip edilebilir ve güvenliğiniz tamamen tehlikeye düşebilir.
Sonuç
Sonuç olarak, size en uygun VPN servisini seçerken, arzu ettiğiniz gizlilik düzeyini göz önünde bulundurmanız gerekiyor. Bir VPN’e üye olmadan önce araştırmanızı yapın ve satın aldığınız servisin aradığınız özellikleri tam olarak taşıdığından emin olun.