Bir Developer günlüğü

Kamusal Wi-Fi Ağları Artık Tehlikeli Değil

İnternette bulunan !internet güvenliği! yazılarını okuyacak olursanız birçok yazıda havaalanı, kafe, otel ve diğer kamusal alanlardaki Wi-Fi ağlarından uzak durmanız gerektiği uyarılarıyla karşılaşırsınız. Ancak bilinmesi gereken bir nokta bulunuyor: artık kamusal Wi-Fi ağları eskisi kadar güvensiz değil. Dünyanın en popüler internet sitelerinde uygulamaya konan HTTPS şifrelemeyle birlikte, kamusal Wi-Fi ağlarına yönelik şüpheler artık büyük ölçüde giderilmiş durumda.

Bu tip Wi-Fi ağlarından uzak durma tavsiyeleri, genellikle internetteki çoğu iletişimin şifrelenmediği döneme aitti. Eskiden, şifrelenmemiş Wi-Fi paketler elde etmek gibi yollarla birisi ağ bağlantınıza sızdığında, e-postalarınızı okuyabilirdi. Aynı kötü niyetli kişiler şifrelerinizi ya da oturum açma çerezlerinizi çalabilir, böylece en sevdiğiniz internet sitelerinde sizi taklit edebilirdi. HTTPS kullanan siteler güvenliydi ancak bunların sayısı bir elin parmaklarını geçmiyordu.

HTTPS şifreleme hayli ucuzladı

2010’larla birlikteyse her şey değişti. Eric Butler tarafından yayınlanan Firesheep‘le birlikte, güvenli olmayan HTTP’lere nasıl sızılabildiği gösterildi ve internet siteleri bu durumu fark ederek daha güvenli HTTPS’ye yönelmeye başladı. HTTP’nin şifrelenmiş sürümü olan HTTPS tam zamanında yaygınlaştı. Geçen sene Google, tüm Gmail kullanıcılarına HTTPS’yi varsayılan olarak açık hale getirdi ve haberlere bakılırsa bunu yapmanın maliyeti hayli düşük oldu. Donanım ve yazılım alanındaki gelişmeler, tarayıcıları şifrelemeyi daha kolay ve ucuz hale getirdi.

Bununla birlikte HTTPS’nin tüm internete yayılması biraz zaman aldı. Bunun nedeni, ağ yöneticilerinin ve site yöneticilerinin HTTPS kurulumu için gereken sertifikayı satın alma ve yüklemede yaşadığı zorluklardı. EFF’nin yayınlanmasına yardımcı olduğu Let’s Encrypt sertifikaların ücretsiz olmasını sağlarken, Certbot, Let’s Encyrpt’ten ücretsiz sertifka alma ve yüklemenin en kolay yolu olarak ortaya çıktı.

Günümüzde çok sayıda internet sitesi yazılımlarını ve HTML’lerini HTTPS’ye geçiş yapmak için değiştiriyor. İlerleme o boyutlara geldi ki ABD’den yüklenen sayfaların yüzde 92‘si HTTPS şifrelemeyle gerçekleşti. Diğer ülkelerde yüzdeler hâlâ düşük olsa da HTTPS ziyaret edilen sayfaların çoğunu koruyor. 

HTTPS şifreleme, hangi siteyi ziyaret ettiğinizin görülmesini engellemiyor

Tüm korumaya rağmen hâlâ kimi tehlikeler devam ediyor. Örneğin HTTPS iletişiminizi korusa da metadatanızı korumuyor. Yani HTTPS ile şifrelenen bir siteyi ziyaret ettiğinizde, sizin iletişim yolunuzda olan herhangi birisi sizin hangi alan adı adresini, ne zaman ziyaret ettiğinizi görebilir. Bununla birlikte bu kişiler, sizin bu sitede hangi sayfayı ziyaret ettiğinizi, kullanıcı adınızı ya da yolladığınız mesajları göremez. Sizin ziyaret ettiğiniz sitelerdeki sayfaların boyutlarını ve indirdiğiniz ya da yüklediğiniz dosyaların boyutlarını görebilirler.

Yani kamusal bir Wi-Fi ağına bağlandığınızda, sizi izlemek isteyen bir kişi, bu metadatalara ulaşabilir. Eğer bu sizin için kabul edilebilir bir riskse, o halde kamusal Wi-Fi ağlarını kullanırken endişe etmenize gerek yok. Buna ek olarak bilgisayarınızdaki ya da akıllı telefonuzdaki bir güvenlik açığı da üçüncü tarafların sizi izlemesine yol açabilir. Bundan kaçınmanın en iyi yolu, yazılımınızı sürekli en güncel sürümünde kullanmanız.

Peki devletlerin sizi gözetlemesi ne olacak? Devletler internet üzerinde kullanıcıları genellikle yukarı akış (upstream) verilerini izleyerek, geniş bant sağlayıcıların çekirdek yönlendiricilerinden ya da cep telefonu şirketlerinden takip ediyor. Eğer durum buysa, devletler sizi kablosuz ağlardan olduğu gibi kablolardan da takip edebilir.