İnternetimizi Hijack eden ISS'lar | Encrypted SNI ile Korunmak | Gizlilik İçin Programlar

CoolSnow · 2020-04-22T09:07:11.0000000+03:00

İlk Mesajı baştan sona düzenliyorum. Eski halini merak eden olursa buraya tıklayın. Dikkat! Konunun amacı Engelli sitelere erişmek değil, ISS'lerin yapmış olduğu saldırıları önlemek ve korunmaktır. Bunun sonucunda Engelli sitelere erişebilir veya erişemeyebilirsiniz. Bu durum ISS'nize bağlıdır. ------------------------------ Bildiğiniz gibi yaklaşık on yıldır internetimiz çok ağır bir şekilde ISS'ler ve devlet kuruluşları tarafından sansürlenmekte, içerikler engellenmektedir. Bu içeriklerin engellenmesine sitem etmeyeceğim. O konunun yeri farklı bir yer. Bugün size aktaracağım şey içeriklerin nasıl engellendiği, ortaya çıkan gizlilik ve güvenlik sıkıntılarından nasıl kurtulabileceğimiz. Eskiden dns tabanlı bir engelleme yapılmaktaydı. İnsanlarımız alternatif servisleri kullanarak bu engellemeden kolayca kurtuluyordu. Ta ki internet servis sağlayıcılarımız internet adresleriyle yapmış olduğumuz haberleşmeye müdahale edene kadar. Günümüzde yapılan müdahale ise bir internet protokolü saldırısı olarak biliniyor. Gerçekleşen Handshake’ler izlenir ve stratejik veri paketlerine müdahale edilerek haberleşme kesilir. Bunun nasıl yapıldığını gösteren paket akışını aşağıda görebilirsiniz. Burada hiçbir insana zararı olmayan ama yasaklı olan pastebin.com sitesine erişmeye çalıştık. Görmüş olduğunuz SSL paketi yapısı gereği şifrelidir fakat bir kısmı hariç. Server Name Indication (SNI) olarak adlandırılan kısımda ulaşmaya çalıştığımız sitenin adresi apaçık meydanda. Daha fazla bilgi için https://tr.wikipedia.org/wiki/Server_Name_Indication İş bu kadarla bitmiyor. Bu haberleşmenin nereyle yapıldığını öğrenen FireWall bir bilişim suçu işleyerek, bize karşı taraftan gönderilen paketlere müdahale ediyor. Burada bize gelmiş olan TCP protokolünde Reset bayrağı bulunmaktadır. Yani HTTPS için handshake başlamadan bitmiştir. Paketin içeriği oynanmış ve iletişim sekteye uğratılmıştır. Bu bir bilişim saldırısı yöntemidir. https://en.wikipedia.org/wiki/TCP_reset_attack Görmüş olduğunuz haberleşmenin tümü şifrelidir. Hatta DNS paketleri bile DNS over TLS ile şifrelidir. Bu haberleşmenin içeriğini kurcalamaya ne ISS’lerin ne de devletin hakkı vardır. Bunun bir suç olup olmadığı konusunu size bırakıyorum. ISS'niz başka bir siteden geliyormuş gibi gözüken sahte paketler üretebilmeli mi? TCK. MADDE 244 Sistemi engelleme, bozma, verileri yok etme veya değiştirme (1) Bir bilişim sisteminin işleyişini engelleyen veya bozan kişi, bir yıldan beş yıla kadar hapis cezası ile cezalandırılır. (2) Bir bilişim sistemindeki verileri bozan , yok eden, değiştiren veya erişilmez kılan, sisteme veri yerleştiren, var olan verileri başka bir yere gönderen kişi , altı aydan üç yıla kadar hapis cezası ile cezalandırılır. ... ----------------------------------------################################---------------------------------------- Konumuzun en güzel kısmı ise şimdi başlıyor, Haberleşmeyi tamamen şifreleyerek kendimizi İSS’lerden korumak. Yapılması gereken iki şey var. DNS ve SNI haberleşmesini şifrelemek. Bu sayede İSS’ler müşterileri hakkında ne log tutabilir ne de erişim engeli uygulayabilir! Yukarıda ulu ortada görmüş olduğunuz web sitesinin adresi paketlerdeki SNI olarak bilinen kısımın zafiyetinden kaynaklanmaktadır. Bu kısmı şifreleyebiliriz veya başka programlarla parçalara ayırabiliriz. Encrypted SNI Protokolü şuanda Cloudflare ve Mozilla tarafından geliştirilme aşamasında fakat Mozilla Firefox’ta erkenden stabil bir versiyonuna ulaşabilirsiniz. Ne yazık ki sadece Firefox için bulunmakta. Şuanda Windows ve Linux için hazır kurabileceğiniz bir program yok. Tek Tuşla En Kolay ve En Güvenli Çözüm 1. Adım: Firefox Stabil versiyonunu indirip kurun. 2. Adım DNS over HTTPS’i etkinleştirin. (Bu aynı zamanda girdiğiniz sitelerin İSS tarafından kayıt altına alınmasını önleyecektir.) Görseldeki adımları uygulayın. 3. Adım ESNI özelliğini aktif edin. Bunun için adres satırına about:config yazın. Çıkan uyarıya evet deyip arama çubuğuna esni yazın ve çıkan sonucu etkinleştirin. 4. Adım: PasteBin’i test edin. https://pastebin.com/PqHJPAx7 Önemli notlar: ESNI protokolüyle sadece ESNI özelliğini destekleyen web sitelerine bağlanabilirsiniz. Yani engellenen web sitesinin Cloudflare proxy'sinde ve türevlerinde bulunması gerek. Bu da şuanda engellenen sitelerin yaklaşık yarısını kapsıyor. Sistem Sadece https:// uzantılı web sitelerinde ISS'lere karşı koruma sağlamakta. Eğer site açılmazsa Başına https koymayı deneyin. Yine açılmıyorsa o web sitesi ip adresi engeli yemiş ve Proxy hizmeti kullanmıyor demektir. Diğer yöntemleri kullanabilirsiniz. ESNI protokolü yakın zamanda routerlar ve modern işletim sistemlerine adapte olur diye düşünüyorum. O zaman hayatımız çok daha kolay olacaktır. Çünkü ISS’lerin Proxy kullanan Web sitelerini engellemeleri İMKANSIZ hale gelecektir. İnternet standartlarının daha güvenli olduğu bir gelecek umuduyla beklmekteyiz... ESNI'nin çalışıp çalışmadığını buradan tespit edebilirsiniz. Burada gördüğünüz her şey yeşil olmalı. https://www.cloudflare.com/ssl/encrypted-sni/ Çalışmaz ise about:config'de network.trr.mode'u 3'e almanızı öneririm. ----------------------------------------################################---------------------------------------- Biraz Uğraştıran Ama Her Türlü Siteye Girmenizi Sağlayacak Garanti Yöntem GoodbyeDPI Bu yöntemde Firefox kullanmayacağız Sistem genelinde bir değişiklik yapılarak cihazınızın internet erişimini garantiler. Https uzantılı tüm sitelere erişmenizi sağlar. Fakat ağınızı dinleyen herhangi birisi hangi sitelere girdiğinizi hala tespit edebilir. Firefox ESNI açıkken tamamen şifreli bir iletişim olduğundan sizi takip edemezler. İki programı da aynı anda kullanabilirsiniz. En optimal sonucu verecektir. Bu program paketleri parçalamaktadır. Buna SNI de dahil. SNI kısmını şifrelemez. Hala hangi sitelere girdiğiniz takip edilebilir. Programın yapmış olduğu şey SNI'de pastebin.com yazan paketi parçalayarak bir pakette paste diğerinde bin.com adreslerinin gözükmesini sağlamaktır. Gerçek bir gizlilik sunmaz. Kurulum Programımızın adı GoodbyeDPI. Son sürümünü buradan indirebilirsiniz. https://github.com/ValdikSS/GoodbyeDPI/releases İndirip Prgram Files gibi bir dizine çıkartın. Çıkan dosyada bizi bir avuç .cmd dosyası beklemekte. Bu dosyalar Rus ISS leri için önceden hazırlanmış. Bizim kendimiz için Editleyeceğimiz dosya "service_install_russia_blacklist.cmd". Not defteri ile açıp içindeki 13. satıra bunu yazın: sc create "GoodbyeDPI" binPath= "\"%CD%\%_arch%\goodbyedpi.exe\" -3 Böyle gözükmeli: Dosyayı kaydet deyip kapatın. Sağ tıklayıp Yönetici olarak çalıştır deyin. Çıkan ekranda herhangi bir tuşa basın ve hizmet yüklenmiş olacak. Windows arama sekmesine hizmetler yazın ve çıkan sonucu çalıştırın. Hizmetler listesinde GoodbyeDPI'ı bulup sağ tıklayıp özellikler deyin ve başlangıç türünü otomatik yapın. Böyle gözükmeli: Bu şekilde Bilgisayarımız her açıldığında çalışacak bir hizmet yükledik. İsterseniz Manuele alıp elle açıp kapatabilirsiniz. Servisi kaldırmak için "service_remove.cmd" kullanabilirsiniz. DNS Sunucunuzu ISS'nin verdiğinden farklı bir sunucuyla değiştirdiğinizden emin olun. Bu şartlar altında sorunsuz olarak tüm sitelere girebilmelisiniz. Ekstra DNS güvenliği için SimpleDNSCrypt programını öneriyorum. Veya Stubby programını da kullanabilirsiniz fakat konfigürasyonu biraz zordur. Şifreli DNS olmadan da çalışmakta fakat kolayca DNS spoofing yöntemleriyle engel yiyebilirsiniz. Ayrıca bununla beraber ISS'niz girdiğiniz web sitelerini kayıt altına alamayacaktır. Oldukça basit bir program. Buradan indirebilirsiniz https://simplednscrypt.org/ Benim tavsiyem programda Cloudflare DNS over Https (DoH) kullanmanız yönünde. Bu konuda tercih serbest. Dediğim her şey yalnızca web siteleriyle güvenli Https bağlantıları için geçerli. Bu yüzden her zaman tarayıcınızın adres çubuğunda https yazdığından emin olun. Ayrıca Forumdan @m231 arkadaşımızın yapmış olduğu bir grafik arayüzü varmış. Kullanmadım ama detaylı bilgiye Github sayfasından ulaşabilirsiniz. https://github.com/mguludag/GUI-for-GoodbyeDPI ----------------------------------------################################---------------------------------------- Daha basit bir çözüm: GoodbyeDPI Alternatifi PowerTunnel Alternatif olarak grafik arayüzlü PowerTunnel programını kullanabilirsiniz. Default ayarlarıyla çalışmakta. DoH kendi içinde gelmekte. https://github.com/krlvm/PowerTunnel/releases buradan PowerTunnel.jar'ı indirebilirsiniz. Ayrıca Java'ya ihtiyacınız var. Yüklü değilse indirin. https://www.java.com/tr/ İçinde DNS over https yüklü geliyor. DoH resolver'a Google için https://dns.google/dns-query Cloudflare için https://cloudflare-dns.com/dns-query yazabilirsiniz. Program Google'da daha stabil çalıştığını söylemiş. DoH sağlayıcıları listesi için burayı kontrol edebilirsiniz: https://dnsprivacy.org/wiki/display/DP/DNS+Privacy+Public+Resolvers Android için PowerTunnel'ın Android versiyonu bulunmakta. Default ayarlarda çalışmakta. DoH desteği var. Aynı şekilde ayarlardan Cloudflare DoH'u etkinleştirebilirsiniz. https://github.com/krlvm/PowerTunnel-Android/releases buradan apk yı indirip kurabilirsiniz. PowerTunnel Çalışmıyorsa FullChunking mode'u etkinleştirmeyi deneyebilirsiniz. Android'de bazen uygulamayı yeninden başlatınca sıkıntılar çözülüyor. ----------------------------------------################################---------------------------------------- Sık Sık Sorulan Sorular Bu yöntemlerin VPN den farkı ne? Bu yöntemin VPN'den farkı kendi ip adresiniz üzerinden internete çıkmanızdır. Bir sanal ağa bağlı olmazsınız. VPN'de yaşadığınız gecikme sürelerindeki artışı yaşamazsınız. İnternet hızınızda da bir kayıp yaşamazsınız. Bağlantım VPN'den daha mı güvenli? Ücretsiz bir VPN kullanan birisiyseniz evet daha güvenli. Bunun dışında paralı ve log tutmayan bir servis kullanıyorsanız VPN her zaman en üst güvenlik hizmetini sağlayacaktır. Daha güvenli bir bağlantı için hangi yöntemleri önerirsiniz? İlk önce DNS trafiğiniz şifrelenmeli. Bunun için SimpleDnsCrypt, Stubby gibi programları veya PowerTunnel'ın DoH özelliğini kullanmalısınız. Ayrıca Router'ınız bu hizmeti destekliyorsa her şeyi kökten Router üzerinden de halledebilirsiniz. Bunun dışında her zaman Https'li bağlantılar kurun. Ve Firefox'un ESNI özelliğini açık tutun. Bu sayede internette neler yaptığınızı neredeyse takip edilemez bir konuma getiriyorsunuz. Ama ESNI her site tarafından desteklenmemekte ve yine sıkıntılar doğurabilmektedir. Güvenli bir bağlantının formülü= DoT veya DoH + HTTPS + firefox ESNI'dir. GoodByeDpi gibi programlar sadece ISS'lerin güvenlik duvarına takılmamanızı sağlar. Bağlantınızı dinleyen birisi sizi hala takip edebilir. GoodbyeDPI mı powertunnel mi? Powertunnel bazen sıkıntı yaşatabiliyor ama en basit yöntemdir. GoodByeDPI ise çok daha gelişmiş bir program. ISS ler daha agresif bir filtreleme yaparsa gelecekte işimize yarayacaktır.

Der Meister.

Yarbay

4790 Mesaj

İnternetimizi Hijack eden ISS'lar | Encrypted SNI ile Korunmak | Gizlilik İçin Programlar (3. sayfa)