Bir VPN’in kayıt tutmama politikası nedir?

Birçok Sanal Özel Ağ (VPN), kullanıcıların uygulamayı kullandıklarında trafiklerinin kaydedilmeyeceğini garanti etmek için “kayıt tutmama” veya “sıfır kayıt” politikası uyguladıklarını iddia eder. Piyasada güvenli bir VPN arıyorsanız, buna özellikle dikkat etmeniz gerekir. Bunun eksikliği büyük bir risk oluşturabilir.

Ancak kayıt tutmama politikaları, geleneksel VPN’lerle ilgili daha derin bir soruna da işaret eder. Merkezi altyapılar oldukları için, sunucuları üzerinden kimin kiminle veya internette neyle bağlantı kurduğunu gösteren tüm meta verileri kaydetme kapasitesine sahiptirler. Ve sonuç olarak, “kayıt tutmıyoruz” iddiaları, sadece gizliliğimizi ve verilerimizi koruyacaklarına dair verdikleri bir söz anlamına gelir ve kullanıcıların bu söze güvenmesini gerektirir. Bir web hizmetine güvenmek, gizliliğinizin kesin olarak korunacağı anlamına gelmez.

NymVPN çok farklıdır: Nym’in kayıt tutmama politikası, sadece bir söz değil; gizliliğinizi güvence altına alan ağın temel tasarımıdır. Nym, kullanıcı trafiğinin tam kayıtlarını tutamaz; çünkü bu veriler ne Nym’in ne de kullanıcı trafiğini yönlendiren bağımsız sunucuların kontrolündedir. Ağın merkeziyetsizliği, güven ihtiyacını ortadan kaldırır.

Bu makalede, bunun çevrimiçi gizlilik için neden büyük bir gelişme olduğunu anlamak için VPN kullanırken “kayıt”ların ne anlama geldiği, geleneksel VPN’lerin gizlilik politikalarının neden yetersiz olduğu ve NymVPN’in nasıl daha iyi bir çözüm sunduğu anlatılacak.

Trafik kaydı nedir?

Bir VPN kullanırken, tüm trafiğiniz VPN şirketinin sunucuları üzerinden yönlendirilir. Genellikle bu, VPN şirketine ait veya şirket tarafından kiralanmış tek bir sunucu olur. Bu sunucu, internete bağlanırken sizin adınıza hareket eden bir aracıdır. Yani, iletileriniz veya istekleriniz bir web sitesine ulaştığında, bunların sizin kişisel cihazınızdan değil, VPN üzerinden geldiği izlenimi oluşur.

Eğer VPN’in proxy servisi merkeziyse, tüm verileriniz sunucularından geçtiği için VPN şirketinin eline geçme potansiyeline sahiptir. Peki, trafiğiniz hakkında neleri görebilirler ve neleri göremezler? İşte tam bu noktada, “kayıt tutmama” sözleri devreye girer.

Trafik türleri

Burada akılda tutulması gereken üç tür web trafiği vardır:

1. Açık metin trafiği: İnternette yaptığınız işlemlerin şifrelenmemiş ve doğrudan görülebilen verileridir. Bu bir e-posta, yayınlanan bir film veya internet üzerinden gönderilip alınan herhangi bir şey olabilir. Korunmazsa, veriler ele geçirilirse veya başkaları tarafından işlenirse, içeriğini herkes görebilir.

2. Varsayılan şifreli trafik: İyi haber, bağlandığımız web servisleri sayesinde internet trafiğimizin çoğu otomatik olarak şifreleniyor. Bu genellikle HTTPS veya SSL/TLS gibi protokollerle sağlanır. Trafiğiniz, cihazınızdan çıkmadan önce içeriğinizin korunmasını sağlayan bir şifreleme katmanına sahiptir. Bu, VPN kullanıyor olsanız bile geçerlidir.

3. VPN ile şifrelenmiş trafik: VPN, verileriniz cihazınızdan çıkmadan önce onları korumak için şifreler. VPN sayesinde oluşturulan şifreli tünel, web bağlantınızın otomatik olarak sağladığı şifrelemeye ek bir güvenlik katmanı sağlar. Çoğu durumda, VPN ile bağlandığınızda verileriniz iki kat şifreleme ile korunur.

Bir VPN hangi trafiği görebilir?

VPN açık olduğunda, cihazınıza gelen ve cihazınızdan giden tüm internet trafiği VPN üzerinden geçer. Yani VPN, tüm trafiğinizi görebilir ve yönetebilir. Peki, VPN hangi tür trafiğe erişebilir?

VPN kullanılırken varsayılan şifreleme (2) aktifse, VPN hiçbir zaman açık metin verilerinize (1) veya trafiğinizin içeriğine erişemez. Bunun yerine VPN, internetteki varsayılan şifreli trafiğinizi (2) yönetir.

Teknik Not: VPN’ler, verilerinizi internette doğru yere iletebilmek için sunucularında kendi oluşturdukları VPN şifrelemesini (3) çözer. Ancak, (2) varsayılan şifreleme açıksa, VPN kullanıyor olsanız bile içeriğiniz korunur.

Yani, VPN’lerin “kayıt tutmama” politikaları, verilerinizin içeriğiyle ilgili kayıtlar konusunda genellikle endişe edilmesine gerek yoktur. Bu sadece (2) varsayılan şifreleme etkin değilse nadiren bir sorun olabilir. Aslında, kayıt tutma uygulamaları, şifrelenmiş trafiğinizin meta verileri ile ilgilidir.

• Bunun tek istisnası, VPN’i belirli internet trafiğini kapsayacak veya hariç tutacak şekilde split tunneling ile ayarlamış olmanızdır.

Meta veri kaydı

Trafiğinizin içeriği gizli olsa bile, bu trafiğe dair sizi takip etmeye yarayan bilgiler hâlâ toplanabilir. Buna meta veri denir. Meta veriler şunlar gibi bilgileri içerir:

• Kaynak ve hedef IP adresleri
• Zamanlama izleri
• Veri paketlerinin boyutları
• Şifreleme türleri
• Bağlantı sıklıkları ve süreleri

Bu bilgilerin hiçbiri şifrelenmez; şifrelemenin dışına sızar ve şifrelenmiş veriye dair bilgiler olarak ortaya çıkar.

Meta veriler toplandığında, özellikle de belirli kullanıcılar için uzun süreler boyunca biriktirildiğinde, son derece kişisel pek çok bilgiyi ortaya çıkarabilir:

• Bağlantı geçmişleri: VPN kullanıyorsanız, VPN sağlayıcısı hem sizin kişisel IP adresinize hem de internette ulaştığınız hedef IP adresine erişebilir. Bu, ne zaman, kiminle, ne kadar süreyle ve ne sıklıkla bağlantı kurduğunuzu gösterir. Bunu, hayatınızda rastgele değil, gerçekten önemli ilişkilerinizin kimlerle olduğunu açığa çıkarıyormuş gibi düşünebilirsiniz.

• *Gezinme alışkanlıkları: Uzun süreli bağlantı kayıtları, gezinme alışkanlıklarınızdaki eğilimleri gösterebilir ve alışkanlıklarınız, ilgi alanlarınız hatta siyasi eğilimleriniz hakkında ayrıntılı bir tablo çizebilir. Birlikte değerlendirildiğinde, sizin bile farkında olmadığınız bilgileri ortaya çıkarabilir ve bu bilgiler reklamcıların ya da dolandırıcıların işine yarayabilir.

• Kişisel bilgilerin tehlikeye girmesi: Trafik kayıtlarının analizi, yanlış kişilerin eline geçtiğinde sizi riske atabilecek son derece kişisel bilgileri açığa çıkarabilir. Örneğin, meta veriler bir sağlık ya da rehabilitasyon sitesine sık sık bağlandığınızı gösteriyorsa, sizin ya da bir aile üyenizin bir sağlık sorunu yaşadığı, örneğin bağımlılık tedavisi aradığı sonucuna varılabilir. Bu bilgiler yanlış kişilerin eline geçerse, sizi hedef almak veya istismar etmek için kullanılabilir.

Bu sadece kısa bir listedir. Ama bu, çoğumuzun farkında olmadığı meta verilerin, hayatımızın giderek daha fazlası internet üzerinden gerçekleştiği için gizliliğimiz üzerinde bir açık oluşturduğunu gösteriyor.

Not: Web hizmetlerinin, ISS’lerin veya geleneksel VPN’lerin doğrudan erişebileceği IP adresiniz, tek başına adınız ve adresiniz hakkında bilgi vermez. Ancak bu bilgi, İnternet Servis Sağlayıcınızdan (ISS) alınan verilerle birleştirildiğinde, IP adresiniz ile kişisel bilgileriniz arasında bağlantı kurmak gelişmiş gözetim için zor değildir.

VPN'ler neden kayıt tutmamalı

Meta veri kayıtları, çok fazla bilgi açığa çıkarabilir; bu nedenle bir VPN bunları tutuyorsa, yüz milyonlarca kullanıcının kişisel verileri risk altındadır. Ama kime veya neye karşı?

• Veri ihlalleri: Siber saldırılar genellikle finansal bilgiler, hesap ve meta veri kayıtları gibi büyük miktarda kullanıcı verisinin saklandığı merkezi sunucuları hedef alır. Tüm bu veriler, büyüyen bir gözetim ekonomisi ve siber suçların karanlık dünyasında değerli emtialar haline gelmiştir. Veriler merkezî olarak tutuluyor ya da kaydediliyorsa, VPN sunucuları kolay hedefler haline gelebilir.

• Meta veri satışı: Birçok güvenilmez VPN şirketi, özellikle yüzlerce “ücretsiz” VPN hizmeti, kullanıcılarının meta verilerini bilinçli şekilde toplayıp veri komisyoncularına satarak gelir elde eder.

• Devlet gözetimi: VPN’ler, ellerinde meta veri kayıtları bulunduruyorsa, hükümet veya kolluk kuvvetleri kullanıcıların trafik kayıtlarını talep edebilir. Bazen bu kayıtların talep edilmesi haklı sebeplere dayanabilir (örneğin, şiddet içeren bir suçun önlenmesi için), ancak aynı süreç kolayca hükümetin veya yasal yetkilerin kötüye kullanılmasına dönüşebilir. Dünya genelinde ise otoriter hükümetler, sansürü uygulamak, bilgiye erişimi engellemek ve siyasi rakiplerini hedef almak için bu yöntemi kullanıyor.

Taahhütlerine güvenilen VPN’lerin riskleri

Çevrimiçi kişisel verilerimize yönelik bu küresel tehditler düşünüldüğünde, bir gizlilik hizmetinin, örneğin bir VPN’in, verilerimizi nasıl yönettiğini bilmek hayati önem taşır. Tekrar vurgulamak gerekirse, geleneksel VPN şirketleri kayıt tutmama politikası sunsa da, trafiğimizin meta verilerine erişimleri vardır ve bunları kaydetme imkânına sahiptirler.

Aklınızda bulundurmanız gereken pek çok risk vardır:

• Bir VPN kayıt tutmadığını söylese bile, çoğu hizmet ağın çalışmasını sağlamak gibi nedenlerle yine de bazı temel kayıtları tutar. Ya da şartlarında, “yalnızca bazı kayıtların” tutulduğu yazabilir; bu da çoğu zaman verilerin pazarlamacılara satılmasını gizleyen bir ifadedir.

• Yıllar boyunca yaşanan birçok veri sızıntısı, milyonlarca VPN kullanıcısının hesap bilgilerini, aboneliklerini ve trafik kayıtlarını açığa çıkardı. Bu tür veriler, ancak en başta saklanıyorsa sızabilir.

• Ücretsiz ve gizlilik vaadeden VPN’ler çok daha risklidir; çoğu aslında sadece meta verilerinizi toplayan ve kişisel bilgilerinizi reklamcılara veya veri satıcılarına veren araçlardır.

• Ve elbette, trafiği kaydetmediklerini söyleyen ama kullanıcı kayıtları için hükümet taleplerine uyduğu ortaya çıkan VPN’ler de mevcut.

Üzücü gerçek şu ki, gizlilik arayan yüz milyonlarca insan kandırılıyor ve bazen koruyucu olması gereken kişi ya da kurum, aslında zararı veren taraf olabiliyor. Çevrimiçi gizliliğimiz söz konusu olduğunda, yalnızca güven yeterli değildir.

Güven sorununu ele alan VPN’ler

Birçok VPN, bu güven sorununu anlıyor ve kullanıcıları için ek önlemler alıyor. Bu, yalnızca kayıt tutmama politikalarının gerektirdiği güvenin ötesinde somut adımlar atılmasını gerektirir.

• Sadece RAM sunucuları: Bazı VPN’ler, sunucularını yalnızca Rastgele Erişimli Bellek (RAM) üzerinde çalışacak şekilde değiştirmiştir. Bu, sunucu kapatıldığında veya kapatılması planlandığında, tüm verilerin (müşteri trafiği kayıtları dahil) tamamen silindiği anlamına gelir.

• Dış denetimler: VPN’ler için bir diğer seçenek, sunucularını ve ağlarını dış güvenlik denetimlerine tabi tutmaktır; bu denetimler aynı zamanda kayıt tutmama taahhütlerini de doğrulayabilir.

Kayıt tutmama politikaları, doğru yönde atılmış kesin bir adımdır, ancak kullanıcıların gizliliğinin sadece bir sözden ibaret olmadığını garanti eden somut güvenceyle desteklenmelidir.

Ama güven sorununa karşı çok daha etkili bir çözüm var: trafiğin kayıt tutulmasını gereksiz kılan, yenilikçi ve merkeziyetsiz bir ağ tasarımı. NymVPN ile bu tarz güven ve belirsizlik sorunları ortadan kalkıyor.

Nym'in kayıt tutmama politikası

Nym’in çok az VPN’in sunabildiği farklı bir kayıt tutmama politikası vardır: NymVPN’de, trafiğinizin tam olarak kaydedilmesi tasarım gereği mümkün değildir. Bunun nedeni, Nym ağının mimari olarak merkeziyetsiz bir yapıya sahip olmasıdır.

Basitçe söylemek gerekirse: Nym ağında, trafiğinizin nereden gelip nereye gittiğini tek başına eşleştirebilen ve kayıt tutabilen hiçbir nokta yoktur. NymVPN ile internet trafiğinizle bağlantınız tespit edilemez.

Nym ağının varsayılan olarak kayıt tutmama politikasını nasıl sağladığını öğrenin ve Nym’in Güven Merkezi'ndeki Soru&Cevap bölümüne göz atın.

Ya da Nym mixnet’in dünyanın en gizli VPN’ini nasıl mümkün kıldığını detaylıca incelemek için derinlemesine bir inceleme yapabilirsiniz.

Okurken, bugün kaydolun ve ücretsiz sürümü kullanmaya başlayın!