Ben Av. Alp Öztekin, internet ve bilişim hukuku üzerine yazılarımla artık Webtekno’da olacağım. Burada okuyucuya sunacağım yazılara yönelik gayem, okuyucuyu ağır bir türel bilgi bombardımanına tutmak değil. Bilakis, verilmesi gerekli teorik hukuksal bilgileri en az seviyede tutup, ‘’internet ve hukuk‘’ başlığına mevzu teknik, sosyolojik ve felsefi istikameti daha ağır basan yazılar paylaşmak niyetindeyim.
Birinci olarak, internete erişimin engellenmesi konusunu okuyucuya sunma kararı aldım. Mevzuyu açıklamak için evvela internetin kökenine ve işleyişine dair bilgileri, bilahare de bu yapı üzerinde erişim sağlayıcıların faaliyetleri ve erişimin engellenmesine dair uygulamaları açıkladım.
‘İnternete erişim pürüzü nedir ve nasıl yapılır?’ konusu şu başlıklar altında açıklandı:
- İnternet ve İnternete Erişim Kavramları
- Erişim Sağlayıcılar ve Omurga Üzerindeki Hakimiyetleri
- Erişimin Engellenmesi Kavramı
- Yasal Olarak yahut Hacking ile Erişimin Engellenmesi
- Yasal Olarak Erişimin Engellenmesinde Hangi Prosedürler Kullanılıyor?
- Genel Sistemler
- Sunucu IP Adresleri ile İlişkili Usuller
- Ağın Denetimini de Sağlayabilen URL Tabanlı Engelleme Usulleri
A) İnternet ve İnternete Erişim Kavramları
Erişimin engellenmesinin ne söz ettiği ve bunun nasıl başarılabildiğinin okuyucu tarafından kavranabilmesi için birinci etapta internetin ne halde işlediğini ve internet kullanıcılarının ağa nasıl eriştiklerini açıklamak istiyorum.
İnternetin temelleri, bundan altmış yıl kadar evvel ABD Savunma Bakanlığı’nın(DOD) ARPA ünitesinin ARPANET projesi olarak başlamıştı. ARPANET’te birbirine uzak aygıtlar ortasında data paylaşımı yapan bir ağ yapısı geliştirildi. Lokal ağların ARPANET üzerinden birleşimini, alternatif ağ yapıları takip etti ve vakitle bunlar da ülke içerisinde birbirine bağlı hale geldi.
Çok sayıda LAN’ın birleştirdiği WAN’ların da birbirlerine bağlı olduğu bu yapı daha sonra ABD hudutlarını aştı, karasal ve deniz altı kablolar ile değişik ülkelerdeki pek çok ağ birbirine bağlandı. LAN’lar üzerindeki data tabanlarına erişilebilmesi için FTP platformlarına ek olarak tarayıcı yazılımları geliştirildi, Gopher ve WWW-http doğdu. (Daha sonra Gopher öldü…) İşte bizler, bilişim aygıtlarının birbirlerine bağlı olarak irtibat kurabildikleri bu global yapıya İnternet diyoruz.
İç içe geçmiş pek çok LAN ve WAN’ın birleşimini söz eden bu internet ağına erişmek, kullanıcının dünyadaki ağları birbirine bağlayan kablolar, baz istasyonları, uydular ile oluşturulmuş internet omurgasını kullanarak, kendi mahallî ağından global WAN’lara, nihayetinde de öbür bir ağdaki sunucuya bağlanması ve bağlantı kurması demektir. Böylelikle İstanbul’da bulunan bir internet kullanıcısı, kendi lokal ağı üzerinden; Türkiye’deki omurgaya, bu omurga üzerinden IXP noktalarını da geçerek, omurganın başka ucundaki rastgele bir noktaya, örneğin ABD’deki bir sunucuya erişebilmektedir.
B) Erişim Sağlayıcılar ve Omurga Üzerindeki Hakimiyetleri
Üstte izah edildiği üzere internet omurgası, aygıtları birbirlerine bağlayan global bir ağ yapısıdır ve bu ağın doğum noktası ABD’dir. Bu internet omurgasını çeşitli şirketler inşa etmiş ve işletmektedirler. İşte bu şirketlere erişim sağlayıcı denilmektedir. Global erişim sağlayıcı İSS’ler genel olarak denizler ve karalardan geçen kablolar ile dünyayı birbirine bağlar. Dünyadaki internet trafiği bu çok sahipli ağ yapısı üzerinden geçtiği için bu İSS’ler ortasında işbirliği ve dünyanın çeşitli noktalarında da makul internet değişim noktaları(IXP) vardır. Bir de kendi lokal omurgasına sahip ülkesel erişim sağlayıcılar mevcut olup, ülke içi trafik bu şirketlerin omurgasında akarken, ülke dışına çıkan trafik ekseriyetle global İSS’ler üzerinden akar.
Üstte açıklanan erişim sağlayıcı İSS’ler, omurganın gerçek işleticileridir. Fakat bunlar, işlettikleri omurgayı üçüncü taraf erişim sağlayıcı şirketlere de kiralamakta ve bu sayede birebir omurga üzerinde tek bir sahiplik olmasına karşın, pek çok İSS hizmet verebilmektedir. Tüm bu İSS’lere internet kullanıcıları abone olarak, kendi lokal ağları üzerinden internet ağına çıkış yapmaktadırlar.
C) Erişimin Engellenmesi Kavramı
En kolay manasıyla erişimin engellenmesi, internet omurgası üzerinden istemci ve sunucunun bağlantı kuramaması manasına gelir. İnternet kullanıcısının kendi lokal ağından internete çıkışı büsbütün engellenebileceği üzere internetin belli noktalarındaki sunuculara ve hatta yalnızca sunucular içerisindeki belli bilgilere erişimi de engellenebilir. Örneğin bir internet kullanıcısının Youtube’a büsbütün erişimi engellenebileceği üzere Youtube’daki tek bir görüntüye ya da görüntü içerisindeki tek bir yoruma dahi erişimi engellenebilir.
C.1) Yasal Olarak yahut Hacking ile Erişimin Engellenmesi
(İşin türel istikameti burada detaylandırılmayacaktır.) Genel olarak belirtmek gerekirse, Türk hukukunda pek çok mevzuat içerisinde erişimin engellenmesine yönelik çeşitli düzenlemeler mevcuttur. Bunlar haricinde 5651 s. Kanun’da erişimin ne halde engellenebileceği belirtilmiş olup bunlaindirgenmiştir. İşte hukuksal altyapısı olan vr IP/DNS/URL tabanlı engellemeler ve gibisi sistemlere e yöntemine uygun tatbik edilmiş mahzurlar ‘’yasal engellemeler‘’ olarak isimlendirilir. Aşağıda ayrıntılı olarak açıklanacak olan bu teknik yollar, kullanıcı yani internet abonesi temelli ve omurga üzerinden yapılan engellemelerdir.
Fakat bir internet içeriğine erişimi engellemek için kullanıcı tarafın yahut omurganın işin içine dahil edilmesi gerekmez. Şayet bir hacker isterse DDoS ataklarıyla da erişimi engelleyebilir. Yeniden geçersiz DNS yahut Proxy sunucular oluşturarak ve hatta düzmece bir router kurarak(bu metotlara man in the middle deniliyor), istemcileri internetin apayrı noktalarına da ulaştırabilir ya da erişimi aksatabilir. Tüm bu sonuçlar de elbet ki hacking yoluyla erişimi engellemektir. Açıktır ki bu usuller yasal değildir ve kabahat teşkil edecektir.
Öyleyse burada anlaşılması gereken temel nokta, yasal olarak erişimin engellenmesinin lakin omurgayı işleten İSS’ler üzerinden ve onların bilgisi dahilinde, kanunlara uygun formüllerle yapılabileceğidir.
D) Yasal Olarak Erişimin Engellenmesinde Hangi Sistemler Kullanılıyor?
D.1. Genel Olarak
Yüzlerce aygıtın bağlı olduğu büyük bir şirket ağı topolojisi düşünelim. Çok sayıda VLAN’ın iç içe girdiği, switch ve routerların bağlı olduğu devasa bir yapı… Ağ yöneticisi bu ağı denetim edebilmekte, bilgi paketlerini tahlil yazılımları ya da ötesinde DPI kullanarak derinlemesine inceleyebilmekte ve bu sayede de gerekli teknolojiyi kullanırsa, taşınabilir uygulamalardaki yazışmalar dahil ağdaki her bir data paketinin içeriğindeki irtibatı okuyabilmektedir.
Bir ülkedeki ağ yapısı da üstteki örnek ile benzeridir. Ortadaki tek fark, şayet ülkede birden fazla İSS hizmet veriyorsa, yönetici sayısı da birden fazla olacak ve bu yöneticilerin kullandığı teknolojik altyapı da farklılaşabilecektir.
D.2. Sunucu IP Adresleri ile İrtibatlı Yollar (Tüm Sitenin Erişime Engellenmesi)
İnternet bağlantısında DOD standart modelindeki protokol kümeleri ve ekseriyetle de TCP/IP-UDP işletildiği için istemci ve sunucu IP’leri bağlantıdaki temel noktadır. (LAN’ı denetim eden şahıslar pekala sadece müsaade verilen iç IP ve MAC adreslerine sahip aygıtların sadece internetteki muhakkak noktalara erişmesini sağlayabilirler ve bu da pratikte erişimin engellenmesi sayılabilir. Fakat bu bahsimiz değil.)
Erişim sağlayıcıların IP adresi özelinde gerçekleştirdikleri erişime engelleme tekniklerinde temel nokta, istemciyi internete çıkartan router ve DNS sunuculardır. İnternet kullanıcısını lokal ağı üzerinden abonesi olduğu İSS’nin omurgasına çıkartan router/modem, kullanıcının makul IP ve portlara sahip sunuculara erişmemesi için ayarlanabilir. İşte erişim mahzurlarının en tipik tekniği budur. Bu sayede IP adresleri ve kullandığı portlar bilinen rastgele bir sitenin sunucularına erişim engellenebileceği üzere DNS sunuculara, VPN sunuculara ya da TOR sunuculara da erişim engellenebilir.
IP özelinde gerçekleşen engellemelerde ikinci sistem, bağlantının karşı tarafındaki web sunucuların değil, probleme alan isimlerinin da dahil edilmesiyle, IP ile alan ismi eşleştirmesi yapan DNS sunucuların kullanılmasıdır. Bu sistemin başarılı olabilmesi için internet abonesinin aygıtının alternatif DNS sunuculara değil, erişim sağlayıcının denetimindeki DNS sunucuya istek gönderecek halde ayarlanmış olması gerekir.
Bu klasik prosedürler sunucu IP ve portlarını gaye aldığı için site ya da uygulamanın tamamını erişime maniler. Hatta birebir sunucuda bulunan mail vb. sistemlerin kullanımında, şayet sunucu bölünerek bu hizmetler farklı IP/portlar üzerinden sunulmamış ise mail vb. servislere de erişim engellenebilir.
D.3. Ağın Denetimini de Sağlayabilen URL Tabanlı Engelleme Yolları
Bir site büsbütün erişime engellendiğinde, şayet bu sitenin toplumsal değeri fazla ve kullanıcı sayısı da devasa bir boyutta ise ortaya ‘’internete erişim hakkı‘’ temelli bir sorun çıkar. Her ne kadar binlerce internet sitesi büsbütün erişime engellenmiş ve bu durum kimsenin umurunda değilse de Youtube ve Wikipedia üzere çok sayıda kullanıcıya sahip siteler erişime büsbütün engellendiğinde, sitelerin hukuksuzluk ile irtibatlı olmayan alanlarına da tüm internet kullanıcılarının erişimi engellendiği için gerek hukuksal gerekse etik çeşitli sıkıntılar doğar/doğmuştur.
Bu problemlerin doğmamasını sağlayacak güç, özünde teknolojidir. Üstteki şirket ağı örneğinden hatırlanacağı üzere, ağ yöneticisinin elindeki teknoloji ne kadar gelişirse ağa dair hakimiyeti de o derece artacaktır. Öyleyse unutulmaması gereken nokta şudur: yüksek düzey ağ teknolojileri evvela ağda önemli bir hakimiyet yaratır, daha sonra ise URL tabanlı engelleme imkanı üzere imkanlar doğurur. Bu önemli hakimiyet sayesinde de bilgi paketlerinin içeriği büsbütün izlenebilir ve okunabilir hale gelebilir.
URL tabanlı bir engellemeyi sağlamak için ağdaki trafiğe hakim olmak, ağdaki bilgi trafiğine müdahale edebilmek gerekir. Bu noktada ulaşılan sonuç; çok çeşitli hibrit teknolojilerin varlığının yanında, bilhassa kullanılan iki prosedür olduğudur. Bunlar da İSS’lerin trafiği proxy üzerinden geçirmesi ve/veya paket tahlil sistemleri kurmasıdır. Bu teknolojiler sayesinde bilgi paketlerinin birçok katmanı ulaşılabilir ve denetim edilebilir hale gelir. Bu sayede URL tabanlı erişim mahzurları gerçekleştirilerek internet sitesindeki tek bir video’ya ya da yazıya erişim engellenebilir. Teknoloji geliştikçe URL tabanlı engelleme yapabilme alanınız artar ve örneğin kriptolu bağlantı sağlayan SSL üzere yapılarda ve hatta VPN üzerinden akan datalarda hakimiyet sağlayabilirsiniz. Paket tahlil sistemlerinde bu durum, DPI yani derin paket tahlil sistemlerine dair teknolojiler kullanılarak gerçekleştirilebilir.
(Türkiye’de her bir erişim sağlayıcının ne halde erişim mahzuru tatbik ettiğini bilemiyoruz. Zati bu mevzuda bağlayıcı bir kural da bulunmamakta, 5651 s. Kanun’a nazaran makul benzeri yollar kullanılarak erişim sağlayıcıların site yahut URL’leri erişime engellemeleri beklenmektedir ki gerçek olan da budur.)
Okuyucuya Tavsiye:
Okuyucular erişimin engellenmesine dair yapıyı daha da derinlemesine anlamak istiyorlarsa; Rusya’da bu yapının gelişimini, URL tabanlı engelleme süreçlerini ve önemli bir DPI teknolojisi olan SORM’un oluşumunu kavramak için Andrei Soldatov ve Irına Borogan’ın THE RED WEB isimli kitabının ilgili kısımlarını okuyabilirler.
Av. Alp Öztekin – Soru ve görüşler için mail: [email protected]
