VPN’ler Hacklenebilir mi? Daha Derin Bir İnceleme

VPN'lerin özelliklerini inceliyoruz ve bilgisayar korsanları için herhangi bir güvenlik açığı var mı diye kontrol ediyoruz.

VPN Nedir?

Sanal Özel Ağ (VPN), internet üzerinden başka bir ağa veya cihaza güvenli bir sanal tünel oluşturmanızı sağlar. İnternete bu sanal tünelden erişiyorsanız, – İSS’niz dahil olmak üzere – herhangi biri tarafından tarama faaliyetlerinizin gözlenmesi oldukça zordur.

VPN’ler, dünyanın her yerinde konumunuzu gizlemenize ve coğrafi olarak kısıtlanmış hizmetlerin kilidini açmanıza yardımcı olur. Bir VPN, kamusal internet üzerinden dolaşırken mesajların gizliliğini (veriler gizli kalır) ve bütünlüğünü (veriler değişmeden kalır) korur.

Bu güvenli bağlantılardan birini kurmak nispeten kolaydır. Kullanıcı önce bir ISS aracılığıyla internete bağlanır ve daha sonra bir istemci (yerel olarak yüklü) yazılım kullanarak VPN sunucusu ile bir VPN bağlantısı başlatır. VPN sunucusu, istenen web sayfalarını alır ve kullanıcıya güvenli tünel yoluyla getirir; böylece, kullanıcı verilerinin internet üzerinde güvenli ve gizli kalmasını sağlar.

VPN Şifrelemesi Nasıl Çalışır?

VPN protokolü, veri aktarımı ve şifreleme için kabul edilmiş kurallar dizisidir. Çoğu VPN sağlayıcısı, kullanıcılara birkaç VPN protokolünden seçim yapma opsiyonu sunar. En çok kullanılan protokollerden bazıları şunlardır: Noktadan Noktaya Tünelleme Protokolü (PPTP), Katman İki Tünelleme Protokolü (L2TP), Internet Protokol Güvenliği (IPSec) ve OpenVPN (SSL / TLS).

Bir VPN’in gizliliğinizi nasıl koruduğunu tam olarak anlamak için, şifreleme biliminin biraz daha derinine inmeliyiz. VPN, size ait bir veri internet üzerinde dolaşırken, araya giren kişiler tarafından okunamaması için, okunabilir verilerinizi (düz metin) tamamen okunamayan (şifreli metin) bir hale getirmek için ‘şifreleme’ olarak bilinen bir teknik kullanır. Bir algoritma veya şifreleme, VPN protokolleri içerisinde şifreleme ve şifre çözme işleminin nasıl yapıldığını belirtir. VPN protokolleri, tarama faaliyetlerinizi gizli ve size özel tutmak üzere verilerinizi gizlemek için bu şifreleme algoritmalarını kullanır.

Bu VPN protokollerinin her biri, uygulanan şifreleme algoritmasına bağlı olarak güçlü ve zayıf yanlara sahiptir. Bazı VPN sağlayıcıları, kullanıcılara farklı şifreler arasından seçim yapma opsiyonu sunar. Algoritma veya şifre şu üç sınıflandırmadan herhangi birini temel alabilir: simetrik, asimetrik ve karma algoritma.

Simetrik şifreleme, veriyi kilitlemek (şifrelemek) için ve verinin kilidini açmak (şifresini çözmek) için bir anahtar kullanır. Asimetrik şifreleme ise biri kilitlemek (şifrelemek) ve diğeri kilidi açmak (şifre çözmek) için iki anahtar kullanır. Aşağıdaki tablo simetrik ve asimetrik şifrelemenin özet bir karşılaştırmasıdır.

Özellik Simetrik Asimetrik
Anahtarlar Bir anahtar, birden çok varlık arasında paylaştırılır Bir varlık genel anahtara, diğeri özel anahtara sahiptir
Anahtar değişimi Anahtarları göndermek ve almak için güvenli bir mekanizma gerektirir Genel anahtar herkes tarafından kullanılabilirken özel anahtar sahibi tarafından gizli tutulur
Hız Daha az karmaşık ve daha hızlı Daha karmaşık ve daha yavaş
Güç Kırmak daha kolay Kırmak daha zor
Ölçeklenebilirlik İyi seviyede ölçeklenebilirlik Daha iyi seviyede ölçeklenebilirlik
Kullanım Toplu şifreleme örn. her şey Sadece anahtar dağıtımı ve dijital imzalar
Sunulan güvenlik hizmeti Gizlilik Gizlilik, kimlik doğrulama ve geri çevrilmeme
Örnekler DES, Tipple DES, AES, Blowfish, IDEA, RC4, RC5 ve RC6 RSA, ECC, DSA ve Diffie-Hellman

Asimetrik kriptografi, simetrik kriptografi içerisindeki sınırlamaların çözümüdür (yukarıdaki tabloda gösterildiği gibi). Whitfield Diffie ve Martin Hellman, Diffie-Hellman adında asimetrik bir algoritma geliştirerek bu eksiklikleri gidermek için yola çıkan ilk gruplardandı.

HTTPS, SSH, IPsec ve OpenVPN de dahil olmak üzere birçok VPN protokolü için temel bir popüler şifreleme algoritmasıdır. Algoritma, daha önce hiç karşılaşmamış olan iki tarafın internet gibi güvenli olmayan bir kamusal kanal üzerinden iletişim kurarken dahi gizli bir anahtarla görüşmelerine izin verir.

Karma, aktarılan verilerin bütünlüğünü korumak için kullanılan tek yönlü (geri dönüşü olmayan) bir şifreleme yöntemidir. Çoğu VPN protokolü, VPN üzerinden gönderilen mesajların doğruluğunu teyit etmek için karma algoritmalar kullanmaktadır. Örnekler arasında MD5, SHA-1 ve SHA-2 bulunmaktadır. Hem MD5 hem de SHA-1 artık güvenli olarak değerlendirilmiyor.

VPN’ler hackelenebilir, ancak bunu yapmak oldukça zordur. VPN olmadan hacklenme olasılığı, bir VPN ile hacklenmekten çok daha büyüktür.

Bir VPN Gerçekten Hackelenebilir mi?

VPN’ler, çevrimiçi gizliliği korumanın en etkili araçlarından biri olarak kalmaya devam etmektedir. Yine de, özellikle yüksek değerli bir hedefseniz ve düşmanınızın yeterli zaman, para ve kaynağı varsa hemen hemen her şeyin hacklenebileceğini belirtmek önemlidir. İyi haber şu ki, çoğu kullanıcı “yüksek değerli hedef” kategorisine girmiyor ve bu nedenle hedef olarak seçilme olasılığı düşüktür.

Bir VPN bağlantısını hacklemek, bilinen güvenlik açıklarından yararlanarak veya anahtarı bazı hileli yollarla çalmak suretiyle şifrelemeyi kırmayı içerir. Kriptografik saldırılar, korsanlar ve kriptanalistler tarafından anahtar olmadan şifreli sürümlerden düz metinleri çıkarmak için kullanılıyorlar. Bununla birlikte, şifrelemeyi kırmak hesaplama gerektiren ve uzun süreli bir işlemdir, şifreyi kırmak uzun yıllar alabilir.

Çabaların çoğu genellikle şifrelemeyi kırmaktan daha kolay olan anahtarları çalmayı içerir. Bu tür zorluklarla karşı karşıya kaldıklarında casus kurumların genelde yaptığı şey budur. Bunu yaparken elde ettikleri başarı matematikle sağlanmaz, teknik hile, bilgi işleme gücü, kandırma, mahkeme emirleri ve sahne arkasındaki ikna (arka kapılar) kombinasyonuyla sağlanır. Şifrelemenin arkasındaki matematik inanılmaz derecede güçlü ve hesaplama açısından karmaşıktır.

Mevcut VPN Güvenlik Açıkları ve İstismarlar

ABD’li muhbir Edward Snowden ve güvenlik araştırmacıları tarafından yapılan önceki açıklamalar, ABD casusluk ajansının (NSA) VPN’ler de dahil olmak üzere potansiyel olarak büyük miktarda internet trafiğinin arkasındaki şifrelemeyi kırdığını gösteriyor. Snowden belgeleri, NSA’nın VPN şifre çözme altyapısının şifreli trafiği engellemeyi ve bazı verileri daha sonra anahtara dönüşen güçlü bilgisayarlara aktarmayı içerdiğini gösteriyor.

Güvenlik araştırmacıları Alex Halderman ve Nadia Heninger ayrıca, NSA’nın, Diffie-Hellman algoritmasının ortak uygulamalarında Logjam olarak bilinen bir saldırıda çok sayıda HTTPS, SSH ve VPN trafiğinin şifrelerini çözme yeteneğini geliştirdiğini belirten ikna edici araştırmalar sundu.

Başarıları, Diffie-Hellman algoritmasının uygulanmasında bir zayıflığın kullanılması üzerine kurulmuştur. Bu zayıflığın temel nedeni, şifreleme yazılımının uygulanmasında standart bir asal sayı kullanmasıdır. Araştırmacılar, tek bir 1024 bit Diffie-Hellman asalını kırmak için güçlü bir bilgisayar oluşturmanın yaklaşık bir yıl ve birkaç 100 milyon dolar alacağını tahmin ediyordu (ki bu da NSA’nın yıllık bütçesinin içindedir).

Maalesef, yalnızca birkaç asal sayı (1024 bitten daha azı) VPN gibi gerçek hayattaki şifreleme uygulamalarında yaygın olarak kullanılmaktadır; bu da kırılmasını daha da kolaylaştırmaktadır. Bruce Schneier’e göre, “matematik iyidir, ancak matematiğin bir kurumu yoktur. Kanunların kurumu vardır ve kanunlar bozulmuştur”.

Yine de Bir VPN Kullanmalı mısınız?

Araştırma ekibi, servis sağlayıcıları için 2048 bit veya daha fazla Diffie-Hellman anahtarının kullanılmasını önermektedir ve ayrıca TLS için kullanım kılavuzunu yayınlamıştır. İnternet Mühendisliği Görev Ekibi (IETF) ayrıca, daha büyük asal sayılar gerektiren en son protokol versiyonlarını kullanmanızı önermektedir.

Casuslar, Diffie-Hellman anahtarlarında genel olarak kullanılan 1024 bit (yaklaşık 309 basamak) uzunluğundaki asal sayıları kırabilir. 2048 bit anahtarlarındaki asal sayılar, kendileri için gerçek bir baş ağrısı olacaktır, yani casuslar bu anahtarları kullanarak güvence altına alınmış verileri çok uzun süreler çözemeyeceklerdir.

Kullanıcılar için, casus kurumların VPN’lere ve şifreli trafiği hedef alan diğer şifreleme protokollerine karşı istismarda bulunduğu doğruysa da, açık metinlerle iletişim kurduğunuzda yine de çok daha iyi korunursunuz. Bilgisayarınız tehlikeye atılabilir, fakat bu onlara zaman ve paraya mal olacaktır – bu da bu işlemleri onlar için pahalı bir hale getirir. Ne kadar az ortada olursanız, o kadar güvendesiniz demektir.

Edward Snowden’a göre, “Şifreleme işe yarar. Doğru şekilde uygulanmış güçlü şifreleme sistemleri, güvenebileceğiniz birkaç şeyden biridir.” Öncelikle, MD5 veya SHA-1 karma algoritmalarına ve PPTP veya L2TP / IPSec protokollerine dayanan VPN’lerden mümkün olduğunca kaçının. OpenVPN’in (son derece güvenli olduğu düşünülen) ve SHA-2’nin güncel sürümlerini destekleyenleri kullanın. VPN’inizin hangi algoritmayı kullandığından emin değilseniz, VPN belgelerine başvurun veya destek ekibiyle iletişime geçin.

VPN sizin arkadaşınızdır. Şifrelemeye güvenin, matematiğe güvenin. Kullanımını en üst düzeye çıkarın ve uç noktanızın da korunması için elinizden gelen her şeyi yapın. Şifreli bağlantılardaki çatlamalar karşısında bile bu şekilde güvende kalabilirsiniz.

Sizin için faydalı oldu mu? Paylaşın!