Yönetmelikte yazmaz. Orada aslında belirtilmeye çalışılan odur. Yani
şifreli iletişim için bir ürün geliştiriyorsanız bu fiziksel bir cihazda
olabilir bir şifreleme aracı da olabilir bunun master key'lerini
vermekle yükümlüsünüz eğer bu topraklar üzerinde ikamet ediyor bu
topraklar üzerinde bir ofisiniz var ise. Bunun dışında içeriye
getirilmeye çalışılan devletin elinde olmayan ve kötüye kullanılabilecek
her cihazın girişi zaten yasaktır. Devlet DNS manipülesi yapar mı,
yapanlar var. Hangi ülkeleri örnek aldığınız ile değişir. Zaten DNS
manipülesi, bir zararlı aktivitesi ile aynıdır. İkisinde de amaç
çözümlemeyi kendi sunucuları üzerinden geçmesini sağlamaktır. Açıkçası
VPN kullanan kaç milyon kişi var o zaman hepsinden bir bilgimi talep
edilicek bana bu çok uçuk geliyor. Bunun yerine omurga üzerinden belirli
yöntemlerle çoğul kullanımın önüne zaten geçebilirler. Tabiki tecrübeli
kişiler bu engelide atlatacaktır.
On 09/15/2014 07:30 PM, Özgür KOCA wrote:
Kişisel bilgiler kişiseldir adı üstünde;
> İkincisi, bahsettiğiniz yönetmelik sıfırdan şifreli iletişim için
"*ürün geliştiren şirketler"* içindir.
Yönetmelikte böyle bir şey yazmıyor, yoksa ben mi göremedim. Ülkeye bu
cihazı/sistemi soktuğunuz anda
devlete anahtarları vermelisiniz, geliştirmek değil.
Devlet DNS korsanlığı (ing. DNS hijacking) yapar mı, yapar sa
yaptırımı yine kanunlardır ama işine gelen yerden
yorumluyor. Yönetmeliklerimiz solucan yuvası. Ben buna amiyane "ya tuz
kokarsa" örneğini uygun görürüm. Bana sorarsanız ilgili
yönetmeliklerde "cihazı/sistemi" atıfları bilinçli yapılmış, bugün SDR
(software defined radio) dediği şey zaten bildiğiniz bilgisayar.
Olurda evdeki bilgisayar bir şekilde kolluğun eline geçerse, SDR
olmadığını kanıtlayıncaya kadar içine yüzlerce delil yüklenir. Ne
imajı, ne imzası! O nedenle yorum ve çıkarımlarda bulunurken buranın
her seferinde bize hatırlatılan Türkiye Cumhuriyeti Hukuk Devleti
olduğunu unutmamak gerekir. O nedenle biri size çıkarda sen VPN
kullanıyormuşsun özel anahtarın varmış hadi onu bize ver de
kaydettiğimiz trafik daha bir anlamlı hale gelsin. Yok efendim olur mu
VPN öyle birşey değil dersin diye savunma emin olun birçok bilirkişi
kurum raporu ve muallakta kalan noktaları muazzam tedbirlerle
hayatınızı mahfetmek üzerine kuran bir düzen için de bulursunuz.
Yazdıklarımın öznesi 2. tekil şahıs değildir, yanlış anlaşılmasın.
Teşekkürler.
Özgür Koca
[tankado.com <http://tankado.com/>][raspberry-pi.tankado.com
<http://raspberry-pi.tankado.com/>]
<http://www.facebook.com/zerostoheroes/>
2014-09-15 16:07 GMT+03:00 TRSec <cont...@trsec.net
<mailto:cont...@trsec.net>>:
Volkan Bey çok emin konuşuyorsunuz ama söylediklerinizle hiç bir
alakası yok konunun. Öncelikle burada SSL MITM yapılmıyor. Varolan
DNS adreslerinin manipüle edildiği doğrudur. Fakat bunun
manipülesi olduğu gibi çözümüde mevcut.
İkincisi, bahsettiğiniz yönetmelik sıfırdan şifreli iletişim için
ürün geliştiren şirketler içindir. VPN anahtarının verilmesi gibi
bir durum yok. Zaten VPN dediğiniz protokol belirli şifreleme
standartları ile korunuyor ve bunların dinlenmesi, anahtarlarının
teslim edilmesi durumu yok. Ancak şirket size (kayıt tutuyorsa)
bir takım bilgiler verebilir. Fakat bilindiği gibi yurtdışında
bulunan hiç bir şirket Türkiye'ye bilgi vermeye niyetli değil.
Sapla samanı karıştırmamanız gerek.
Teşekkürler.
On 09/15/2014 01:01 PM, Volkan Evrin wrote:
Merhaba,
Ulkenin en buyuk ISS'nin dns spoofing yaptigi ulkedeyiz :-)
Oncelikle, 2 konu birbirine karismasin derim. Kendinizi koruyarak
interneti ozgur kullanmak ve hukuka, demokratik haklara ve devlete
guvenerek ozgurce interneti kullanmak.
TR icinde son 6-7 yilda cikan (ve cikmayan!) yasalar nedeni
ile ozgurce
internette dolasamazsiniz. VPN'nin temeli olan gizli
anahtarlarinizi
devlete vermek zorunda oldugunuzdan (bknz. Basbakanlik Genelgesi -
http://www.tk.gov.tr/mevzuat/yonetmelikler/dosyalar/Kripto_Yonetmeligi.pdf
) tutun da MIT, TIB gibi ayricalikli kurumlarin kayitlar ve
internet
tirafigi uzerindeki (hesap sorulamaz) yetkilerine kadar
"kapali bir
ulkeyiz" artik. TR icinde kurulu her ticari isletmenin (ISS, VPN
saglayici, Internet hizmeti vb.) yukumlulukleri kanunlarda acik ve
nettir. En iyisi Cumhuriyet gazatesinin (MIT ayricaligi kanunu
cikmadan
once) yaptigi aciklama gibi (
http://www.odatv.com/n.php?n=tum-arsivleri-siliniyor-2102141200 ),
TR
icinde sunucu barindirmayin, isletmeyin ve kullanmayin! Tum
hizmetleri
TR hukumetinin isteklerini "direncli" sirketlere yonlendirin.
Tirajikomik ve absurd bir senaryo, ama maalesef gercek bir
secenek!
Hakkinizi aramak icin gerekli olan Anayasa maddesi orada dururken,
Kisisel Verilerin Korunmasi kanunu cikmadigi icin de vatandas
olarak
hicbir hakkimiz yok.
Kurumsal olarak tutmak zorunda olmadiginiz loglari tutmayarak ise
baslayabilirsiniz, ama eger kanunen tutmak zorunda iseniz,
Devlet sizden
istedigini istedigi zaman alir...
-------- Özgün ileti --------
[[b]]Konu: [[/b]]Re: [NetSec] Bilişim ile ilgili değişen maddeler
[[b]]Kimden: [[/b]]TRSec <cont...@trsec.net
<mailto:cont...@trsec.net>>
[[b]]Kime: [[/b]]liste@netsectr.org
<mailto:liste@netsectr.org> <liste@netsectr.org
<mailto:liste@netsectr.org>>
[[b]]Tarih: [[/b]]14-09-2014 18:33
SSL MITM yapıldığına dair elinizde bir kanıt var mı. Sahte SSL
sertifakalarının yüklenmesi ile alakalı bir ekranlamı
karşılaştınız. DNS
adreslerinin manipüle edildiğini biliyoruz fakat o kadarda
değil. VPN
trafiğini okuyabilmeleri için aradaki kriptoyu çözmeleri
gerekiyor.
Sadece kaynak ve hedef IP'yi görebilir paket okumaya
kalktığında hiç bir
şey göremeyeceklerdir.
On 09/14/2014 02:57 AM, Özgür KOCA wrote:
SSL MITM varken devlet VPN'i nasıl okuyamayabilir?
Bence açık davet.
Özgür Koca
[tankado.com
<http://tankado.com>][raspberry-pi.tankado.com
<http://raspberry-pi.tankado.com>]
2014-09-13 11:31 GMT+03:00 VEDAT ELCIGIL
<elci...@gmail.com <mailto:elci...@gmail.com>>:
VPN kullanacaksın hocam,
Tilt olsunlar,,
------------------------------------------------------
Saygılarımla İyi Çalışmalar Dilerim,
Vedat ELÇİGİL
2014-09-12 14:55 GMT+03:00 Tuncay Besikci
<besi...@gmail.com <mailto:besi...@gmail.com>>:
Bu trafik bilgisinin temini çok sakat değil mi?
Örneğin 1980 öncesinde olduğu gibi sırf gazete
okuyanlar bile
fişlenebilir
hale geliyor, Fıratnews'i, Sol'u veya Cihan'ı
düzenli okuyanların
fişlenmesini sağlayacaktır.