Son yıllarda en önemli kişisel güvenlik sorunlarından birisi, kullanıcıların ziyaret ettiği web sitelerinin başkaları tarafından takip edilebilir olması. Bunu son zamanlarda, özellikle hükümetler yapıyor ve operatörleri zorlayarak, kullanıcılarının ziyaret ettiği web siteleri takip etmek istiyorlar. Edward Snowden’in 2013 yılında yaptığı açıklamalar tam da bununla ilgiliydi [1].
Çünkü internet servisi aldığınız firma (ISS) kendi cihazları üzerinde, sizin hangi web sitelerini ziyaret ettiğinizi (yani DNS taleplerini) ve o sitelerde ne kadar kaldığınızı görebiliyor. DNS talepleri internetin temel yaklaşımıdır. DNS’ler internetin adres kitabı gibi düşünülebilir. IP dediğimiz internet adreslerini, akılda tutulabilir hale dönüştürürler. Bunun amacı, istihbarat olarak veriliyor ama aslında kişisel hakların ihlali anlamına da geliyor.
Şimdi Google, Android işletim sisteminde, Internet trafiğini ağ sızdırma saldırılarına engelleyebilecek Android için yeni bir güvenlik özelliği üzerinde çalışıyor.
Halen DNS talepleri ve yanıtları, şifrelenmeden metin olarak gönderilir (UDP veya TCP kullanılarak). Dolayısıyla hangi web sitesinin talep edildiği rahatlıkla anlaşılabilir. ISS’ler bu talepleri kendi sunucularında çözümler ve hangi web sitesinin istendiğini görür. Bu arada DNS güvenlik uzantıları (DNSSEC) da gizlilik değil, veri bütünlüğü anlamında güvenlik sağlar.
Dolayısıyla kişisel güvenlik sorunu mevcut. Bu soruna yönelik olarak, Internet Engineering Task Force (IETF) geçen sene “DNS over TLS” [2] (RFC 7858) olarak tanımlanan yeni bir özelliği ortaya attılar [3]. Şu anda deneme aşamasında olan bu özelliğin, uçtan-uca DNS talep-cevap sürecinde gizlilik ve güvenlik sağlıyor.
Google’un da Android Open Source Project’e (AOSP) bu özelliği eklemek üzere çalıştığı kaydediliyor. Android kullanıcıları henüz deneme aşamasında olan bu özelliği, telefonlarının “Geliştirici Seçenekleri Ayarları” bölümünden açabilir ya da kapatabilir olacaklar. Uzmanlar Geliştirici seçeneklerine eklenmesi nedeniyle bu özelliğin gelecek sürümlere (mesela 8.1’e) yetişeceği düşüncesindeler[4].
Bu arada sadece “DNS üzerinden TLS” özelliğini etkinleştirmek, servis sağlayıcınızın hangi web sitelerini ziyaret ettiğini bilmesine engel değil, tersine TLS protokolünün bir uzantısı olan Sunucu Adı Göstergesi (SNI) bağlanma sırasında tarayıcının hangi makinaya temas ettiğini gösterebiliyor. Bu nedenle de, tam kişisel gizlilik için DNS üzerinden TLS yanında bir VPN servisi de kullanılması gerekiyor.
[1] Eski CIA Çalışanı, NSA Skandalında Sızıntıların Kaynağının Kendisi Olduğunu Açıkladı
[2] TLS = Transport Layer Security / Aktarım Katmanı Güvenliği
[3] DNS over TLS: experience from the Go6lab
[4] Android getting “DNS over TLS” support to stop ISPs from knowing what websites you visit
Kaynak : 