Daha çok sansür sorunlarının yaşandığı ülkelerde anonim kalmak isteyen kullanıcıların tercihi olan Tor ağı, zaman zaman kötü niyetli işler yapanlarında tercihi haline geliyor.
Kullanıcıların daha çok güvenlik konusunda kendilerinden yararlandıklarını belirten Tor, ilk defa halka açık bir ödül sistemi hayata geçiriyor. Firma HackerOne yoluyla en ciddi güvenlik sorunlarını açığa çıkaran hackerları 4000$’a varan ödüller ile destekleyeceğini açıkladı.
Bu işleme aday olan hackerların ödül kazanmak için Tor ağı ve Tor Browser dahilinde açıkları keşfetmesi şart koşuluyor. Bu noktada anonim kalma konusunda bulunan açıklara çok daha fazla ödeme yapılacağı söyleniyor.
Tor Browser ekip lideri Georg Koppen ise, uygulamayı iyi niyetli şekilde anonim kalmak isteyenlerin güvenliğini sağlama noktasında adımlar atılması gerektiğini ve güvenli olmazlarsa kullanıcılara verilen sözlerin geçersiz olacağını söyledi.
Kriptografi internette dahil olmak üzere tüm dijital ortamlarda verilerimizin güvenliği, bütünlüğü ve gizliliği için yaygın olarak kullanılan bir metod. SSL/TLS, IPSec VPN ve PKI yaygın olarak kullanılan ve son kullanıcıların da hayatında olan kripto ve güvenlik katmanlarıdır. Son kullanıcılar için oldukça kullanışlı olsada, tüm verilerimize erişmek isteyen “Five Eye (FVEY)” üyesi ABD, İngiltere, Kanada, Yeni Zellanda ve Avusturalya istihbarat birimleri için pek de kullanışlı (!) sayılmaz. Kriptolu trafiğin içerisinde ne olduğunu görmek ve kişisel verilere erişmek isteyen FVEY siber istihbarat birimlerinin (NSA, GCHQ, CSEC, GCSB, ASD) yıllardır kriptografiye karşı savaş açmış olduğunu 28 Aralık 2014’te Edward Snowden tarafından yayınlanan yeni belgelerle bir kez daha görmüş olduk.
Yayınlanan belgelerde aşağıdaki alanlar başta olmak üzere aktif bir şekilde gizliliğin ihlal edildiğini görebiliyoruz;
Kripto algoritmalarının ve kriptolu belgelerin farklı yöntemlerle şifresinin çözüldüğü,
Kriptolu iletişim için kulanılan SSL/TSL katmanlarının zayıflatılarak kriptosunun çözüldüğü,
Alt seviye kriptolu iletişim için kullanılan IPSec VPN yönteminin ilk kurulumu esnasında trafiğin manipüle edilerek güvenliğinin zayıflatıldığını ve şifresinin çözüldüğünü,
Kriptografi algoritmalarına müdahale edilerek ilgili algoritmanın FVEY üyeleri tarafından çözülebilecek şekilde olmasının sağlandığı,
Kullanıcı trafiğini anonimleştirmek için kullanılan Tor ve benzeri servislerin içerisine sızarak, anonim trafiklerin kime ait olduğunun tespit edilmeye çalışıldığını,
Kripto saldırıları için BLUESNORT, LONGHAUL, SCARLETFEVER projeleri ve bunları bir çatı altında birleştiren BULLRUN projesi başta kriptolu iletişim olmak üzere VoIP, Skype, anahtar değişim sistemleri, SSH ve webmail gibi daha birçok güvenli (!) iletişim yöntemlerini hedef alıyor.
Kriptolu iletişim katmanları için İngiliz GCHQ istihbarat birimi “Flying Pig” adında bir veritabanında hemen tüm servislere ait kripto algoritmaların analizini ve açıklığını tutmakta. Kanada istihbarat birimi CSEC ise SSL/TLS kullanımını analiz ederek bu katmanların şifresinin çözülmesine yönelik çalışmalar yürütmekte. Tabiki NSA de SSL/TLS katmanlarının açıklıklarını tespit edip başta Debian SSL olmak üzere yıllardır kriptolu trafiğin şifresini kırmakta. İstihbarat birimleri kripto katmanlarını TURMAOIL, TUMULD, KEYCARD, EXOPUMB, NUCLEON ve XKEYSCORE gibi birçok proje ile kırmayı başardı. Tabi bunlar sadece Snowden tarafından açığa çıkarılan projeler, daha birçok proje olduğunu tahmin etmek zor değil.
SSL/TLS kripto katmanlarındaki bilinen kırılganlığa alternatif olarak geliştirilen alt seviye kriptolu iletişim yöntemlerinden IPSec/SSL VPN’de FVEY istihbarat birimleri tarafından hedef alındığı yine Snowden belgelerinden anlaşılmakta. VALIANTSURF, GALLANTWAVE, SPIN9, MALIBU, TURMOIL-APEX ve POISENNUT projelerinin ana amacı PPTP, IPSEC, SSL, SSH ve VPN gibi protokollere ait kriptolu trafiği çözmekti. Yıllardır yürütülen bu projelerle başta NSA olmak üzere birçok istihbarat biriminin alt seviye güvenli protokolleri dahi çözümledikleri anlaşılmakta.
Merkezi güvenliğe alternatif olarak bağımsız kullanıcılar tarafından geliştirilen kayıt-dışı-mesajlaşma (Off-the-Record OTR Messaging) ve oldukça-iyi-gizlilik (Pretty-Good-Privacy PGP) yöntemleri de FVEY tarafından hedef alınmış durumda. OTR ve PGP istihbarat birimlerinin direkt kontrol edebileceği kişiler/kurumlar tarafından değil de açık kaynak kod geliştiricileri tarafından geliştirildiği için FVEY ekibinin burada biraz zorlandığı ve kriptolu trafiği açamadığını Snowden belgelerinde görmekteyiz 🙂 Ancak istihbarat birimlerinin DISCOROUTE, BLACKPEARL, TOYGRIPE ve TREASUREMAP gibi birçok proje ile bu yöntemi kırmak için çalıştıklarını belirtmek isterim.
Kriptolu trafiğin bir şekilde çözülebileceği ihtimaline karşı iletişim trafiğini anonimleştirmek iyi bir fikir. Bu alanda başta Tor network’ü olmak üzere anonim proxy/VPN servisleri hatta JonDonym servisi yine istihbarat birimleri tarafından mercek altında. Proxy ve VPN servisleri NSA tarafından takip edilebilir durumda ancak Tor network’ü için henüz kesin bir çözüm bulunabilmiş değil. Potansiyel birkaç manipülasyon ve çıkış noktalarını yakalama yöntemleri üzerinde çalışıyorlar ancak henüz Tor network’ünü %100 takip edebilmekten çok uzaktalar. Tor destekçilerine ‘Candan’ teşekkürler.
İstihbarat birimleri ve kişisel gizlilik arasında devam eden kripto savaşları oldukça çekişmeli devam etmekte. FVEY üyeleri SSL/TLS, VPN ve kripto algoritmalarını çözebilme yolunda büyük ilerleme kaydetse de, gizlilik destekçileri PGP, OTR ve Tor gibi çözümlerle NSA, GCHQ, CSEC, GCSB, ASD birimlerini atlatmayı başarabilmekte. Sızacak yeni belgelerle FVEY üyeleri bu güçlü yöntemlere karşı bir çözüm üretebilmişler mi hep birlikte göreceğiz.
28 Aralık 2014 ta yayınlanan Snowden belgelerinin tamamı bu adreste bulabilirsiniz.
Amerikan federal polisi, çocuk pornosu sitelerinin kullanıcılarını ortaya çıkarmak adına anonimlik sağlayan Tor’a bir operasyon düzenledi. Operasyonun en ilginç kısmı, federal ajanların bu saldırıyı hackerlerin kullandığı “Metasploit” üzerinden genel kullanıcıları hedef alarak gerçekleştirmesi.
Amerikan Wired dergisinin haberine göre, federal ajanlar, Metasploit için geliştirilmiş olan ama uzun zamandır rafta duran “Decloaking Engine” adlı bir yazılım ile Tor ağına bir saldırı yaptı. 2012’in kasım ayında “Operasyon Torpido” ismiyle gerçekleştirilen operasyon ile Amerika’da 25 kullanıcı ile dünya genelinde de çok sayıda kullanıcı tespit edildi. Bu operasyondan elde edilen bilgiler ile hukuki süreç başlatılmış durumda. Öyle ki 23 Şubat’ta bir davanın ilk duruşma görülecek. Bir kullanıcının avukatı ise FBI’in bu operasyonu ile elde ettiği bilgilerin, müvekkiline karşı kullanılamayacağını savunuyor. Davanın geleceğine ise mahkeme karar verecek gibi gözüküyor.
Peki Amerikalı federal ajanlar bu sanal alemdeki zorlu operasyonu nasıl gerçekleştirdi? Ajanlar, 2006’da kullanıma sokulan ancak son zamanlarda geçerliliğini yitiren “Metasploit Decloack Engine” adlı programında bulunan bir flaş yazılımını kullandı. Programın yazarı Moore, programın bir kullanıcının “anonim” olup olmadığını kontrol ettiğini ancak son yıllardaki yükseltmelerin nedeniyle programının gereksiz hale geldiğini ve rafa kaldırdığını belirtti.
Ancak flaş yazılımının peşine Amerikalı ajanlar düşmüş. Adobe’nin flash programı, anonim duvarını delerek sunucu ile direk temasa geçebiliyor. Bu şekilde kullanıcının IP adresi ortaya çıkıyor. Amerikalı ajanlar, Nebraska eyaletinde yerleşik olan üç çocuk pornografi sitesinin kontrolünü ele geçirmesinin ardından flaş saldırısını gerçekleştirdi. Karşı tarafın bilgisayarını da Tor anonim ağının arkasında yer almasına rağmen flash programındaki açık nedeniyle kullanıcının IP adresini açık etti. Derginin haberine göre, FBI ilk defa bu şekilde bir saldırı gerçekleştirdi.
Dergi, federal ajanların sanal alemdeki operasyon kapasitesini de arttırdığı görüşünde. “Operasyon Torpido,” 2012 tarihli bir saldırı. Güvenlik uzmanları, 2013 yılında daha kapsamlı bir operasyonun olduğunu, bunda ise Firefox’ta yer alan bir açığın kullandığını belirtti. Dergi, bu operasyon ile FBI’in “yay ve oktan, 9 mm’lik silaha geçtiği” değerlendirmesinde bulundu.
Internette gezinirken girilen sitelerin takip edilmesini önlemek için geliştirilen Tor Projesi’nin ABD Ulusal Güvenlik Ajansı (NSA) ve İngiltere gizli servisi (GCHQ) tarafından hedef haline getirildiği iddia edildi.
Teröristlere izlerini kaybettirmede yardımcı olduğu için birçok gizli servisin tepkisini çeken Tor Projesi’nin Genel Müdürü Andrew Lewman NSA ve GCHQ’nun projelerini hacklemeye çalıştığını söyledi. Lewman BBC’ye verdiği röportajda gizli servislerin çabalarının Tor için çalışan gönüllülerin güvenlik açıklıklarını fark edilmeden ortadan kaldırması nedeniyle şimdiye kadar başarılı olamadığını da ekledi.
Lewman’ın dikkat çeken röportajındaki önemli bir başka iddia ise Tor Projesi’nin NSA ve GCHQ’da çalışanlar tarafından desteklendiğinin öne sürülmesiydi. Lewman, bu kurumlarda çalışanların kendilerine güvenlik zafiyetlerini önceden bildirdiklerini söyledi: “Çoğunlukla verdikleri bilgiler doğru çıkıyor.”
Edward Snowden’ın sızdırdığı NSA belgeleri arasında da kurumun Tor Projesini birkaç kez hacklemeye çalıştığı ortaya çıkmıştı.
ABD Deniz Kuvvetlerine bağlı Araştırma Laboratuarında geliştirilen Tor Projesi özgürlükleri desteklediği ve insan hakları için mücadeleyi kolaylaştırdığı için ABD Dışişleri Bakanlığı’ndan maddi destek alıyor.
Google’a kayıtlı olmayan web sitelerine giriş sağlanmasına yarayan Tor birçok kanun dışı örgüt tarafından silah ve uyuşturucu madde satışı için de kullanılıyor. Projenin günde 2,5 milyon kişi tarafından kullanıldığı tahmin ediliyor.
