İnternet Trafiğinizi Gerçekte Kim Görebilir? İnternet Sağlayıcısı, İşveren, Devlet ve Web Siteleri — VPN'li ve VPN'siz

Neredeyse her rehber tek bir dar soruya yanıt verir: VPN kullanırken internet sağlayıcım tarama geçmişimi görebilir mi? Dürüst ve kısa yanıt: hayır — bir VPN tüneli kurulduğunda internet sağlayıcınız yalnızca tek bir adrese giden şifreli trafiği görür ve gerçekte nereye gittiğinize dair hiçbir şey göremez. Ama bu yanıt tek başına yanıltıcıdır; çünkü internet sağlayıcınız trafiğinizin farklı dilimlerini izleyen en az beş taraftan yalnızca biridir ve bir VPN, kör noktaları ortadan kaldırmaz, sadece yerlerini değiştirir.

Bu sayfa, çoğu makalenin atladığı şeyi inşa ediyor: eksiksiz bir görünürlük haritası. Yol boyundaki her gözlemciyi tek tek ele alıyoruz — internet sağlayıcınız, işvereniniz, devletler, ziyaret ettiğiniz web siteleri ve VPN sağlayıcısının kendisi — ve modern HTTPS çağında her birinin VPN'li ve VPN'siz durumda tam olarak neyi görebildiğini, neyi göremediğini gösteriyoruz. Çoğu okuru iki bulgu şaşırtıyor: kurumsal bir VPN beklediğiniz gizliliği tersine çevirir ve yönetilen bir cihazdaki uç nokta izleme, yapılmış her VPN'i alt eder.

Görünürlük haritası: yolda gerçekte kim var

Bir sayfayı yüklediğinizde isteğiniz, her biri farklı bir katmanı gözlemleyebilen bir taraflar zincirinden geçer. Bunu tek bir dinleyici yerine iç içe geçmiş halkalar olarak düşünün:

• Cihazınız — üzerinde kurulu olan her şey (işletim sisteminiz, tarayıcınız, kurumsal yönetim yazılımı) her şeyi şifrelenmeden önce görür. Bu katman her zaman kazanır.

• Yerel ağınız — evdeki yönlendiriciniz ya da bir kafedeki, havaalanındaki veya ofisteki Wi-Fi, internet sağlayıcınızın gördüğü aynı ağ düzeyindeki üst verileri görür.

• İnternet sağlayıcınız (veya mobil operatörünüz) — hangi sunuculara bağlandığınızı ve geçmişte DNS sorgularınızı görür.

• Aktarım sırasındaki her şey — omurga ağları ve bazı ülkelerde hat üzerinde duran devlet dinleme noktaları.

• Hedef web sitesi — IP adresinizi, giriş yaptıysanız hesabınızı, çerezlerinizi ve tarayıcı parmak izinizi görür.

• VPN sağlayıcısı (yalnızca kullanıyorsanız) — eskiden internet sağlayıcınızın gördüğü şeyleri görür.

Bir VPN, cihazınız ile VPN sunucusu arasındaki trafiği şifreler. Bu, orta halkalara — yerel ağınıza, internet sağlayıcınıza, yol üzerindeki gözlemcilere — yardımcı olur; ancak en içteki halka (kendi cihazınız) ya da en dıştaki halka (giriş yaptığınız web sitesi) için hiçbir şey yapmaz. Bu şekli aklınızda tutun; aşağıdaki her yanıtı o açıklıyor.

HTTPS temel düzeyi: herhangi bir VPN'den önce zaten gizli olanlar

Çoğu insan, VPN olmadan ne kadar açıkta olduğunu fazlasıyla abartır; çünkü 2010'un şifrelenmemiş internetini hayal eder. Bugün internet, varsayılan olarak ezici çoğunlukla şifrelidir. Google'ın HTTPS şifreleme şeffaflık raporuna göre, Chrome'daki sayfa yüklemelerinin yüzde 95'in çok üzerindeki bir kısmı HTTPS üzerinden gerçekleşir. TLS — yani HTTPS'teki S — insanların en çok önemsediği kısmı zaten korur.

Bir HTTPS bağlantısında, hiç VPN olmadan bile, internet sağlayıcınızın ve yol üzerindeki gözlemcilerin göremeyeceği şeyler şunlardır:

• Tam URL yolu — örneğin wikipedia.org adresine ulaştığınızı görürler, ama belirli bir tıbbi durumla ilgili makaleyi okuduğunuzu görmezler.

• Sayfa içeriği, bir siteye yazdığınız arama sorguları ve form verileri.

• Kullanıcı adları, parolalar, mesajlar ve şifreli gövdenin içindeki diğer her şey.

Düz HTTPS üzerinde hâlâ görebildikleri şey üst veridir ve bir VPN'in asıl kapattığı boşluk da budur:

• Bağlandığınız her sunucunun hedef IP adresi.

• Alan adı, çünkü TLS el sıkışması sunucu adını SNI (Server Name Indication) adı verilen bir alan aracılığıyla açık metin olarak gönderir. Encrypted Client Hello (ECH) adlı bir halefi bunu gizler, ancak hâlâ yaygınlaşma aşamasındadır ve henüz evrensel değildir.

• Klasik şifrelenmemiş 53 numaralı bağlantı noktası üzerinden internet sağlayıcınızın varsayılan çözümleyicisini kullanıyorsanız, DNS sorgularınız. Şifreli DNS — DoH (DNS over HTTPS) veya DoT (DNS over TLS) — bunu VPN olmadan bile kapatır.

• Bağlantı zamanlaması, hacmi ve sıklığı — yani trafiğinizin şekli.

Bir VPN trafiğinizi ilk kez şifrelemez. Bunu HTTPS zaten yapmıştır. Bir VPN, HTTPS'in açıkta bıraktığı üst veriyi — başlıca hangi sunucularla konuştuğunuzu — her şeyi tek bir şifreli tünelden geçirerek gizler.

İnternet sağlayıcınız: VPN'li ve VPN'siz

Çoğu okuru buraya getiren soru budur, o yüzden her iki durumda da kesin bir yanıt verelim.

VPN olmadan

İnternet sağlayıcınız; SNI, hedef IP'ler ve (şifreli DNS kullanmıyorsanız) DNS sorgularınızın bir bileşiminden, ziyaret ettiğiniz alan adlarının ve ne zaman ziyaret ettiğinizin güvenilir bir kaydını oluşturabilir. HTTPS sayfalarının içeriğini okuyamazlar, ama alan adları ve zaman damgalarından oluşan bir liste başlı başına hassas bir tarama profilidir. Birçok ülkede internet sağlayıcıları bu üst veriyi aylarca saklamakla yasal olarak yükümlüdür ve bazılarında bunu paraya çevirmelerine izin verilir.

VPN ile

Tünel kurulduğunda internet sağlayıcınız tek bir IP adresine — VPN sunucusuna — giden tek bir şifreli bağlantıyı ve içinden akan baytların hacmi ile zamanlamasını görür. Hepsi bu. Genellikle VPN kullandığınızı anlayabilirler (hedef IP, bilinen bir VPN aralığına aittir ve protokol parmak izi tanınabilir), ama hangi siteleri ziyaret ettiğinizi, ne aradığınızı veya ne yaptığınızı göremezler. Yani: hayır, çalışan bir VPN bağlıyken internet sağlayıcınız tarama geçmişinizi göremez — sızıntı olmaması koşuluyla (SSS'deki DNS ve kill switch notlarına bakın).

Kurumsal VPN tuzağı: bir iş VPN'i gizliliğinizi tersine çevirir

İşte bu konudaki en çok yanlış anlaşılan nokta. Ticari bir gizlilik VPN'i, trafiğinizi işi kim olduğunuzu umursamamak olan bir sağlayıcıya yönlendirir. Kurumsal bir VPN ise trafiğinizi işvereninizin ağına yönlendirir — ve işveren bunu fazlasıyla umursar. Roller tersine döner.

Bir şirket VPN'ine bağlandığınızda, işvereninizin ağ geçidi internet sağlayıcınızın muadili hâline gelir. Yapılandırmaya bağlı olarak ulaştığınız hedefleri görebilir, kaydedebilir ve — kurumsal TLS denetimi aracılığıyla — bazen HTTPS içeriğinin şifresini çözüp okuyabilir; çünkü şirket, yönetilen cihaza kendi güvenilir kök sertifikasını yüklemiştir. Bir iş VPN'i size işvereninizden gizlilik sağlamaz; aksine, ev internet sağlayıcınızın sahip olacağı görünürlüğü işvereninize teslim eder.

Üstelik durum bundan da kesindir. Şirket tarafından yönetilen bir dizüstü bilgisayar veya telefonda uç nokta izleme her VPN'i alt eder, nokta. MDM (Mobil Cihaz Yönetimi) profilleri ve uç nokta/DLP ajanları cihazın kendisinde çalışır — haritanın en içteki halkasında — herhangi bir şey şifrelenmeden önce ve şifresi çözüldükten sonra. Ziyaret edilen URL'leri kaydedebilir, ekran görüntüsü alabilir, tuş vuruşlarını kaydedebilir, kurulu uygulamaların envanterini çıkarabilir ve kişisel bir VPN üzerinden tünel açsanız da, gizli moda geçseniz de, ağ değiştirseniz de politikayı uygulayabilir. Hiçbir ağ düzeyindeki araç, aynı makinede kendisinin üstünde çalışan yazılımdan etkinliği gizleyemez.

• Kişisel cihaz + kendi ev Wi-Fi'niz, şirket VPN'inde değil: işvereniniz neredeyse hiçbir şey görmez.

• Şirket tarafından yönetilen cihaz, herhangi bir yerde, herhangi bir ağda: işvereninizin izlemeyi seçtiği her şeyi görebileceğini varsayın. Kişisel bir VPN bunu değiştirmez.

• Kurumsal VPN'e (veya şirket Wi-Fi'sine) bağlı kişisel cihaz: şirket, ağları üzerinden yönlendirilen hedefleri görür.

Devletler: üst veri, korelasyon ve yasal talepler

Devletlerin şifreyi kırması nadiren gerekir. Haritanın kenarlarında üç mekanizma aracılığıyla çalışırlar.

Kayıt tutan taraflara yapılan yasal talepler. Yetkililer, internet sağlayıcılarına ve VPN sağlayıcılarına mahkeme celpleri, arama emirleri veya veri saklama emirleri gönderir. Bir internet sağlayıcısı, sakladığı bağlantı üst verisini teslim edebilir. Bir VPN sağlayıcısı ise yalnızca gerçekten sakladığı şeyi teslim edebilir — gerçek bir kayıt tutmama (no-logs) duruşunun önem taşımasının nedeni de budur: bir sağlayıcı, hiç yazmadığı tarama kayıtlarını üretemez. Bu, aynı zamanda yargı yetkisinin neden önemli olduğunu da açıklar; çünkü bir sağlayıcının hangi yasal emirlere uymak zorunda olduğunu ve neyi saklamaya zorlandığını belirler.

Büyük ölçekte üst veri. Her şey şifreli olsa bile, bağlantıların deseni — kim bir VPN'e bağlanıyor, ne zaman, ne kadar süreyle ve ne kadar veri hareket ediyor — başlı başına istihbarattır. Bir VPN, hedeflerinizi yerel bir gözlemciden gizler, ama sizi görünmez kılmaz; sizi o VPN uç noktasına bağlanan birçok kişiden biri yapar.

Trafik korelasyonu. Bir tünelin her iki ucunu aynı anda izleyebilen bir saldırgan — sizden VPN'e giden bağlantıyı ve VPN'den daha geniş internete giden bağlantıyı — hiçbir şeyin şifresini çözmeden, akışların zamanlamasını ve hacmini eşleştirerek bazen bir kullanıcının kimliğini açığa çıkarabilir. Bu, VPN'ler ve bir ölçüde Tor dahil tüm tek atlamalı (single-hop) tünellerin bilinen bir kısıtlamasıdır. Güçlü ve iyi konumlanmış bir gözlemci gerektirir, ama ciddi hiçbir kaynağın bir VPN'in sizi bir ulus-devlet karşısında izlenemez kıldığını iddia etmemesinin de nedenidir.

Web sitelerinin kendisi kim olduğunuzu hâlâ tam olarak bilir

Bir VPN, bir web sitesinin gördüğü IP adresini değiştirir. Bir sitenin sizi tanımladığı diğer her yöntem için ise hiçbir şey yapmaz — ve çoğu insan için bunlar bir IP adresinden çok daha fazla ifşa edicidir.

• Giriş yapılan hesaplar. Google, Facebook, Amazon ya da bankanıza giriş yaptığınız an, siteye tam olarak kim olduğunuzu söylemiş olursunuz. O noktada IP'niz önemsizdir.

• Çerezler ve izleme pikselleri. Kalıcı tanımlayıcılar, IP'den bağımsız olarak sizi siteler ve oturumlar arasında takip eder. Aynı reklam ağları milyonlarca sayfaya gömülüdür.

• Tarayıcı parmak izi. Ekran boyutunuzun, yazı tiplerinizin, saat diliminizin, dilinizin, GPU'nuzun ve onlarca diğer tarayıcı özelliğinin bileşimi, çoğu zaman hiçbir çerez ve hiçbir sabit IP olmadan sizi yeniden tanımlayacak kadar benzersizdir.

Yani bir VPN, ağ düzeyindeki anonimliği artırır — bir sitenin gerçek IP'nizi ve yaklaşık konumunuzu kaydetmesini engeller — ama bir kimlik pelerini değildir. Giriş yaparsanız, tanınırsınız. İşte bu yüzden internet sağlayıcınızdan gizlenmek ile web sitelerinden gizlenmek iki ayrı projedir.

VPN sağlayıcınız yeni internet sağlayıcınız olur

Tüneli diğer ucuna kadar takip edin. Trafiğiniz VPN sunucusundan çıkar ve oradan açık internete gider — bu da VPN sağlayıcısının tam olarak eskiden internet sağlayıcınızın bulunduğu konumda oturduğu anlamına gelir. Yaptığınız her bağlantının hedefini, tıpkı internet sağlayıcınızın önceden görebildiği gibi görebilir. Güvenilen aracıyı ortadan kaldırmadınız; sadece onun kim olduğunu değiştirdiniz.

Bu, tüm kararı yeniden çerçeveler. Asıl sorular bir VPN beni gizler mi değil, bu sağlayıcı internet sağlayıcımdan daha güvenilir mi ve veri taleplerine direnecek ya da onları sınırlayacak bir konumda mı? sorularıdır. Somut olarak:

• Kayıt tutmama duruşu — sağlayıcı bağlantı veya etkinlik kayıtları tutuyor mu ve bu iddia hiç bağımsız bir denetimle ya da gerçek bir mahkeme talebiyle sınanmış mı?

• Yargı yetkisi — sağlayıcı hangi ülkenin yasaları ile veri saklama ve gözetim yükümlülükleri altında faaliyet gösteriyor?

• Teknik tasarım — yalnızca RAM üzerinde çalışan sunucular gibi özellikler ele geçirilebilecek şeyi azaltır, ama sağlayıcının gerçek zamanlı olarak neyi gözlemleyebileceğini değiştirmez.

Bir sağlayıcı, verilerinizi satarak finanse ediliyorsa — ki bu bazı ücretsiz VPN'lerin iş modelidir — kaçmaya çalıştığınız görünürlüğü daha kötü bir aktöre teslim etmiş olabilirsiniz.

Net yanıtlar ve pratik bir çıkarım

Okurların gerçekte sorduğu üç soruya doğrudan yanıtlar:

1. VPN kullanırken internet sağlayıcım tarama geçmişimi görebilir mi? Hayır. Çalışan, sızıntısız bir VPN ile internet sağlayıcınız yalnızca VPN sunucusuna giden şifreli trafiği görür — ziyaret ettiğiniz siteleri, aramalarınızı veya sayfa içeriklerini değil. VPN olmadan, SNI, IP'ler ve DNS aracılığıyla alan adlarını ve zamanlamayı görebilir, ama HTTPS içeriğini göremez.

2. İşverenim evdeki internet etkinliğimi görebilir mi? Yalnızca bir şirket cihazı kullanıyorsanız ya da kurumsal VPN/Wi-Fi üzerinden bağlanıyorsanız. Kendi cihazınızda, kendi ağınızda ve iş VPN'inin dışındayken işvereniniz neredeyse hiçbir şey görmez. Yönetilen bir cihazda ise uç nokta izleme, herhangi bir VPN'den bağımsız olarak etkinliğinizi görebilir.

3. Devlet VPN trafiğimi görebilir mi? Şifreli içerikleri okuyamazlar, ama internet sağlayıcınızdan ve VPN sağlayıcınızdan üst veri talep edebilir, VPN kullandığınızı gözlemleyebilir ve — yeterince güçlü bir bakış açısına sahiplerse — trafik korelasyonu saldırıları deneyebilirler. Gizlilik dostu bir yargı yetkisinde bulunan, kayıt tutmayan bir sağlayıcı, teslim edilebilecek şeyi sınırlar.

Çıkarım, aracı gözlemciyle eşleştirmektir. İnternet sağlayıcınızın varsayılan olarak gördüğü şeyi küçültmek için her yerde HTTPS (zaten büyük ölçüde öyle) ve şifreli DNS kullanın. Amacınız özellikle hedefleri internet sağlayıcınızdan, düşmanca bir yerel ağdan gizlemek ya da web sitelerinin gördüğü IP'yi değiştirmekse bir VPN ekleyin. Şirket tarafından yönetilen bir cihazda kişisel bir VPN'in sizi koruyacağını asla beklemeyin — o savaş uç noktada kaybedilir. Ve web sitelerinin kendisine karşı anonim kalmanın; oturumu kapatma, kimlikleri ayrıştırma ve parmak izine direnme gibi ayrı bir disiplin olduğunu unutmayın — bunu bir VPN tek başına asla çözemez.

Sıkça Sorulan Sorular

VPN kullanırken internet sağlayıcım tarama geçmişimi görebilir mi?

Hayır. Çalışan bir VPN bağlıyken internet sağlayıcınız yalnızca tek bir VPN sunucusu IP'sine giden şifreli bir bağlantıyı, ayrıca verinin zamanlamasını ve hacmini görür. Hangi web sitelerini ziyaret ettiğinizi, aramalarınızı veya sayfa içeriklerini göremez. Başlıca istisna, bir kill switch ve VPN'in kendi DNS'inin önlemek için tasarlandığı bir DNS veya bağlantı sızıntısıdır.

İnternet sağlayıcım VPN ile ve VPN olmadan neyi görür?

VPN olmadan internet sağlayıcınız bağlandığınız alan adlarını (SNI ve hedef IP'ler aracılığıyla) ve DNS sorgularınızı görebilir, ancak HTTPS sayfalarının şifreli içeriğini göremez. VPN ile bunların tümü VPN sunucusuna giden tek bir şifreli tünelde toplanır, böylece internet sağlayıcınız yalnızca bir VPN'e bağlı olduğunuzu ve ne kadar veri aktığını görür — nereye gittiğini değil.

İşverenim evdeki internet etkinliğimi görebilir mi?

Bu tamamen cihaza ve bağlantıya bağlıdır. Kurumsal VPN'in dışında, kendi ev ağınızı kullanan kişisel cihazınızda işvereniniz genellikle hiçbir şey görmez. Şirket tarafından yönetilen bir cihazda ya da kurumsal VPN veya şirket Wi-Fi'sine bağlıyken etkinliğinizi izleyebilirler — ve yönetilen bir cihazdaki uç nokta veya MDM yazılımı, çalıştırdığınız herhangi bir kişisel VPN'den bağımsız olarak bunu görebilir.

Bir iş VPN'i bana işverenimden gizlilik sağlar mı?

Hayır — tam tersini yapar. Kurumsal bir VPN, trafiğinizi işvereninizin ağına yönlendirir; bu ağ da normalde ev internet sağlayıcınızın bulunacağı konumu işgal eder ve hedefleri kaydedebilir, bazen şirket tarafından yüklenen bir sertifika aracılığıyla HTTPS'i denetleyebilir. Bir iş VPN'i, şirketin verisini korur, sizin şirkete karşı gizliliğinizi değil.

Devlet VPN trafiğimi görebilir mi?

İçeriğin şifresini çözemezler, ama internet sağlayıcınıza ve VPN sağlayıcınıza üst veri için yasal talepler gönderebilir, VPN kullandığınızı gözlemleyebilir ve tünelin her iki ucunu da izleyebiliyorlarsa bazı durumlarda trafik korelasyonu analizi yapabilirler. Gizlilik dostu bir yargı yetkisinde bulunan gerçek bir kayıt tutmayan sağlayıcı, teslim edilebilecek şeyi sınırlar; çünkü bir sağlayıcı yalnızca gerçekten tuttuğu kayıtları ifşa edebilir.

Bir VPN IP'mi gizliyorsa, web siteleri kim olduğumu neden hâlâ biliyor?

Bir VPN yalnızca bir sitenin gördüğü IP adresini değiştirir. Sitenin sizi giriş yapılan hesaplar, çerezler ve izleme pikselleri ya da tarayıcı parmak izi — tarayıcı ve cihaz ayarlarınızın benzersiz bileşimi — aracılığıyla tanımlamasını engellemez. Giriş yaptığınız an IP'niz önemsizleşir; işte bu yüzden ağ anonimliği ile kimlik anonimliği iki ayrı sorundur.

VPN sağlayıcım, internet sağlayıcımın eskiden gördüğü her şeyi görebilir mi?

Evet. Trafiğiniz tünelden VPN sunucusunda çıkar, dolayısıyla sağlayıcı tam olarak internet sağlayıcınızın bulunduğu yerde oturur ve bağlantı hedeflerinizi görebilir. İşte bu yüzden asıl sorular, sağlayıcının kayıt tutmama duruşu, bağımsız olarak denetlenip denetlenmediği ve yasal yargı yetkisidir — yeni bir güvenilir aracı seçiyorsunuz, birini ortadan kaldırmıyorsunuz.