Birkaç yıl öncesine kadar VPN sadece teknik meraklılarının ve güvenlik konusunda endişe duyanların kullandığı bir araçtı. Bugünse kişisel verilerin çalınması, devletlerin gözetimi ve siber saldırılar gibi haberlerin sıkça karşımıza çıkmasıyla oldukça yaygınlaştı. Peki VPN gerçekten ne kadar güvenli?Virtual Private Network harflerinin kısaltmasından oluşan VPN en temel manada sanal olarak oluşturulmuş özel bir ağ yapısı. Temel işlevi internet trafiğinizi şifreleyerek bağlantı noktanızdaki IP’nizi ve gitmek istediğiniz servisi gizlemek. Böylece size belirli ölçüde gizlilik sunmak. Bu gizlilik farklı amaçlarla uygulanıyor. Şirketler evden çalışırken kendi altyapılarına erişmek isteyen çalışanlarını VPN’le bağlayarak belirli oranda güvenlik ve esneklik sağlıyor. Bunu kendi altyapınızı kurarak yapabileceğiniz gibi bu hizmeti farklı markalardan da satın alabilirsiniz. Maalesef en bilindik VPN yapılarında bile bazı zafiyetler olabiliyor. Kısa bir araştırmayla güvenlik açıklarının ne kadar fazla olduğunu görmek mümkün. Özellikle de APT denilen “Gelişmiş Israrcı Tehdit” aktörlerinin bu zafiyetleri kullanarak güvenli hissettiğiniz ortamı takip etmesi işten bile değil. Her VPN güvenli mi?Bazılarımız şirketlerimizdeki yapısal organizasyon yüzünden VPN kullanmak zorunda kalırken, bazılarımız da kendi sosyal ihtiyaçlarımızı tatmin etmek için kullanırız. Kurumsal zorunluluk yüzünden kullananlar esasında özgürleştirici gibi görülen bu teknolojinin zaman zaman ne kadar kısıtlayıcı olduğuna da şahitlik edebilir. Bu durumu sadece sizin için belirlenmiş limitlerde yolculuk etmenize olanak sağlayan bir kişisel/kurumsal otobana benzetebiliriz. Bazen de coğrafi sınırlılıkları aşmak için kişisel sebeplerle VPN kullanmayı tercih ederiz. Fakat her VPN eşit değil. Bazıları verilerinizi güvenli tutarken bazılarıysa bunları kötü niyetle kullanabilir. Eğer uzun süreli değil, sadece belirli engelleri aşmak için yapılıyorsa genelde ücretsiz hizmetler tercih ediliyor. Ayrıca sık VPN kullanmayan bireyler, hangi ürünü kullanacaklarına karar verirken diğer kullanıcıların tercihlerini ya da internette dolaşan bilgileri baz alarak hareket ediyor. Basit bir kıyaslama yaptığınızda önde gelen siber güvenlik firmalarının dahi zafiyetlerinin olduğu bir hizmette, ücretsiz uygulamalarda ne tür zayıflıklar bulunabileceğini siz düşünün. Öte yandan ülkemizde Bilgi Teknolojileri ve İletişim Kurumu’nun (BTK) internet sağlayıcılara verdiği talimatla VPN’lerin belirli aralıklarla kısıtlandığını düşündüğümüzde gerçekten kabul edilebilir kalitede hizmet veren servisin ne derece sınırlı olduğunu fark edeceksiniz. Kişisel seviyede baktığınızda VPN kullanımı, kullandığınız cihazın işlemci gücünü, internet hızını ve pil seviyesini daha çok kullanacaktır. Öte yandan şifreleriniz ve özel bilgilerinizle birlikte tanımadığınız bir tünelde bütün bilgileriniz gidip gelir. Artık son kullanıcıların çokça kendi işletim sistemlerinin havuzlarından yükleme yaptığı ve, bazen isim benzerliği olan eklentileri yüklediklerini de görüyoruz. Kötücül VPN yazılımları bir anda bütün verilerinizi işlemeye başlıyor. FOMO’nuzu yenmek için sosyal medyaya giderken eldeki değerli veriden olmak da var. Ayrıca VPN’ler çalıştırıldığında IP ve DNS sızıntıları olduğu da biliniyor. Örneğin WebRTC, internet tarayıcılarında sesli ve görüntülü iletişim kurmayı sağlayan açık kaynaklı bir teknoloji. Tarayıcınızda WebRTC açık olduğunda kullandığınız VPN üzerinden bile IP adresinizin sızmasına neden olabilir. Bu nedenle WebRTC ayarlarınızı kontrol etmek veya devre dışı bırakmak önemli. Biraz da DNS sızıntılarından bahsedelim. VPN’i kurup güvenli gezindiğinizi düşünseniz bile internet sağlayıcınız trafiğinizi izleyebilir. Normalde VPN servisinin DNS sunucusu size cevap vermesi gerekirken size servis sağlayıcınızın DNS’i cevap verir. Bazen kötücül VPN uygulamaları yüzünden niyetinizde kendi bankanızın websitesine gitmek varken, aynı şekilde düzenlenmiş farklı bir websitesine kullanıcı adı ve şifrenizi de girebilirsiniz. Doğru VPN’i SeçmekKişisel olarak VPN seçerken kayıt tutmama politikasına sahip VPN'leri arayın, böylece hakkınızda bilgi saklanmaz. Bu şirketlerin beyanlarına güvenmek yerine bağımsız denetlemelerden geçenleri tercih edin. VPN şirketinin bulunduğu ülke de sizin için önemli. Bazı ülkelerde katı veri saklama yasaları bulunurken, diğerleri daha iyi gizlilik (örneğin İsviçre) koruması sunar. Bunun da değişebileceğini göz önünde tutun. Bazı VPN hizmetleri, hükümetin veri taleplerini ve nasıl yanıt verdiklerini detaylandıran şeffaflık raporları yayınlıyor ve bu da gizliliğe olan bağlılıklarını değerlendirmenize yardımcı oluyor. Son olarak tercih ettiğiniz VPN’in güçlü şifreleme protokolleri kullanması gerekir.İyi Niyetler, Kötü SonuçlarKişisel VPN kullanımınız sadece sizi değil şirketinizi de etkiler. Olası bir senaryo üzerinden örneklendirelim:Pazarlama bölümüne yeni katılan Elif sosyal medya trendlerini takip etmek için şirket ağında yasaklı olanX’eerişim sağlamak ister. Kendi telefonuna ücretsiz bir VPN uygulaması indirir ve birkaç gün boyunca sorunsuz kullanır. Zaman zaman sosyal medya gezintisi sırasında iş arkadaşlarından gelen e-postaları da VPN’e bağlıyken cevaplar. Kısa bir süre sonra Elif, e-posta hesabından gönderilmiş garip mesajlar fark ettiğinde çoktan şirketin gizli kampanya bilgilerinin sızdırıldığını öğrenir. Burada şirketlerin siber güvenlik departmanları kullanıcıların kendi cihazlarında kullanma ihtimalini düşünerek siber hijyen için güvenli VPN’ler listesi sağlamalıdır. Zaten kurum cihazlarına kendi tercihleri dışında VPN kurulumuna izin vermeyeceklerini hepimiz biliyoruz. Şirketler genelde Firewall’ları üzerinden varsayılan OpenVPN portunu engeller. VPN sağlayıcınıza bağlı olarak, VPN uygulamanız başka bir bağlantı portu ya da yöntemi ayarlama seçeneğiyle sizi koruyabilir. Şirketlerin bir kısmının VPN trafiğini dinamik olarak tespit etmek için kullanabileceği bir tür derin paket incelemesi (DPI) içeren bir çözüm kullandığını da göze almalısınız. Bu tür uygulamalar bir ağ üzerinden seyahat eden bireysel paketleri inceler ve VPN protokollerinin trafiği yönetmek için kullandığı başlıkları belirleyebilir.Bir başka senaryoyu gözümüzde canlandıralım: Uluslararası bir şirkette çalışan Kerem, yurt dışındaki arkadaşlarıyla iletişim kurmak adına ülkesinde yasak olan Facebook ve Instagram’a bağlanmak için rastgele bir VPN seçti. Şirketin internet erişim noktalarından kendi cihazıyla yaptığı bu erişimi bir süre sonra ülkedeki internet denetleyici kurum tarafından fark edilirse şirket ciddi yaptırımlarla karşı karşıya kalabilir. Kerem uyarı aldı ve bu durum kariyerinde olumsuz bir iz bıraktı. Şirket de hukuki süreçlerle uğraşmak zorunda kaldı. Bu örneği daha polisiye hâle getirip Kerem’in kullandığı VPN’in IP adreslerinin siber suçlarla bağlantılı çıkmasının oluşturacağı tatsız durumu varın siz hayal edin. Şirketlerde genellikle bilişim bölümlerinden (BT) izin almadan ya da habersiz şekilde kullanılan yazılım, uygulama ve kişisel VPN gibi teknolojilere gölge BT denir. İyi niyetle bile olsa, gölge BT’nin varlığı veri güvenliği, zararlı yazılımlar, uyum problemleri gibi ciddi riskler oluşturabilir ve BT ekibinin işini zorlaştırır. Bir ofiste birçok kişi aynı anda video izlemek için VPN kullanırsa, ağ yavaşlar ve iş süreçleri aksamaya başlar.Güvenlik, katı kurallar yerine uygulanabilir kurallarla inşa edilmeli. Kullanıcıların takip edildiği bir düzlem yerine onların ortak olduğu pozitif bir ortam kurulmalı. Açık iletişimin hâkim olduğu teşvik yöntemleri devreye sokulmalı. En uygulanabilir yaklaşım, çalışanların ihtiyaçlarını anlayan, güvenliği ön planda tutan ve çalışanlara rehberlik eden orta yolu bulmak.Köşe yazarları tarafından burada paylaşılan görüşler, incturkiye.com’a değil, yazara aittir.Çok daha fazlası için Inc. Türkiye bültenlerine kaydolun.