Dün Snowden belgelerinden bazıları Guardian gazetesinde yayınlandı. Bu belgelerde NSA ve GHCQ’nun şifrelemeyi zayıflatmaya yönelik çalışmalar yaptığı görüldü. Anlaşılan Clinton döneminden beri Amerikan gizli servisi, milyarlarca $ ve emek harcamış ve tüm şifreleme sistemlerine bir arka kapı ekletmeye çalışmış ama hala başaramamış durumda.
Belgelere göre, Amerikan hükümeti şunları denemiş;
- SSL gibi yaygın şifreleme methodlarına karşı kod-kırma çalışmaları yapılmış. İnternet bankacılığı ve e-ticaret siteleri tarafından kullanılan bu şifreleme sistemini NSA’in kırmış olabileceği düşünülüyor.
- CyptoAG ve Lotus Notes ile örnekleyebileceğimiz çeşitli ürünlerde, üreticilere arka kapı kurma zorlaması yaparak, şifrelemeyi bypass etmeye uğraşmış (ayrıca Windows içinde de bu tür arka kapı olduğu iddiası var)
- Zayıf şifreler çözülmüş. İçeriğin şifrelenmesinde de bazı işafretler var. Mesela PPTP VPN protokolunun açıkları ortaya çıktı. Microsoft’un kendisi bile kullanılmamasını öneriyor.
- NSA tarafından finanse edilen TAO (Tailored Access Operations) grubunun yüksek güçlü bilgisayarlara CA sertifika onayı yoluyla virüs sokmak ve bilgisayarı uzun vadeli olarak hacklemek için çalıştığı görülüyor.
Amerikalılar bu bilgileri tepkiyle karşıladılar ve NSA’in bunları yaparak interneti hackerların amaçlarına uygun hale getirdiğini iddia ettiler.
NSA’in hangi protokolları kırabildiği bilinmiyor. Ama şifrelemenin arkasındaki matematiğin hala güçlü olduğu düşünülüyor. Guardian’da yayınlanan bir makalede, kendinizi nasıl koruyabileceğiniz anlatılıyor [2];
- Networkünüzü saklayın.TOR kullanın. NSA, Tor kullanıcılarını takip etse de, hala güvenli. Ya da VPN de koruyabilir.
- Haberleşmenizi Şifreleyin; SSL kurulmuş durumda ama TLS (OpenVPN bazlı) ve IPSec hala sağlam görünüyor.
- Ticari ve popüler yazılımlar yerine daha az popüler olanları tercih edin. Mesela Windows ve OSX yerine Linux kullanın.
- Ticari şifreleme yazılımlara şüpheyle bakın. Hele büyük şirket ise, kesinlikle dikkatli olun. Açık Kaynak yazılım kullanın. NSA’in ilişkisi olan firmalar büyük ticari olanlar. Açık kaynak yazılımların kullanımı biraz daha zor. Ama daha sağlam. En azından içini görüyorsunuz.
Bunu VPN için de söyleyebiliriz. OpenVPN protokoluna dayanan VPNlere de daha çok güvenebilirsiniz.
- Kamuya açık şifreleme kullanın. Bunlar diğer uygulamalarla uyumlu olmalıdır.
Anlayacağınız VPN sistemler NSA tarafından hedefleniyor olsa da, VPN sağlayıcısı güvenli ise hala online sistemde güvende kalmanın en iyi yollarından birisi.
[1] Revealed: how US and UK spy agencies defeat internet privacy and security
[2] NSA surveillance: A guide to staying secure
Kaynak : 