İstanbul Şehir Üniversitesi - İnternet Üzerinde Anonimlik ve Tespit Yöntemleri - Bilgi Güvenliği Mühendisliği Yüksek Lisans Programı - Bilgisayar Adli Analizi Dersi Hazırlayan: Muhammed Zaid Alperen

1. [İNTERNET ÜZERİNDE ANONİMLİK ve TESPİTYÖNTEMLERİ]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
İNTERNET ÜZERİNDE
ANONİMLİK ve TESPİT
YÖNTEMLERİ

2. [İNTERNET ÜZERİNDE ANONİMLİK ve TESPİTYÖNTEMLERİ]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
- İstanbul Şehir Üniversitesi -
Bilgi GüvenliğiMühendisliği Yüksek Lisans
Programı BilgisayarAdli Analizi Dersi
NOT: Eğitmenlerimizden Huzeyfe Önal’ın İstanbul Şehir Üniversitesi
2016 bahar döneminde Yüksek Lisans Programı Adli Bilişim Dersi
öğrencileri tarafından hazırlanmıştır.
Hazırlayan: Muhammed Zaid Alperen
Tarih: 29.05.2016

3. [İNTERNET ÜZERİNDE ANONİMLİK ve TESPİTYÖNTEMLERİ]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
1- Siber Kimlik
Anonimlik teorik olarak n kullanıcı içinde, aranan kullanıcıyı tespit etme ihtimalinin
1/n olmasıdır. İnternet üzerinde anonim olmak ise kişiye ait gerçek bilgilerin (siber kimliğin)
gizlenmesine ya da değiştirilmesi meselesidir. Anonimliğin tespiti ise kişiye ait gerçek bilgiye
yani kişinin siber kimliğine ulaşmakla mümkündür.
IP (Internet Protocol) Adresi
Gerçek dünyada bir kişinin yerini belirlemek için adres bilgisine ihtiyaç duyulur. Sanal
(siber) dünyada ise kişinin adresi IP numarası ile ifade edilmektedir. Bu sebeple IP adresi
siber kimliğin bir parçasıdır.
Mektuplaşmada haberleşmeyi sağlayan fiziksel adreslerdir. Internette haberleşmeyi
sağlayan sanal adresler ise IP adresleridir. Zehirli mektupla işlenen bir suçta gönderen adres
ve bilgileri ne kadar önemliyse sanal suçlarda da IP adresi benzer öneme sahiptir.
IP adresleri RIR (Regional Internet Registry) adı verilen 5 farklı organizasyon
tarafından dağıtılmaktadır. Bu organizasyonlara IANA başkanlık etmektedir. Internete
bağlanan kullanıcılar ise IP adreslerini internet hizmeti aldıkları ISP(Internet Service Provider)
kurumlarından almaktadır. Bu sebeple isteyen istediği IP adresi alamaz. IP adresleri
sistematik olarak dağıtıldığı için her ülkeye verilen bloklar farklıdır. Internet üzerinden
“country ip blocks” ya da “geo ip” ifadesi aranırsa IP adresinin ait olduğu ülke bilgisi elde
edilebilir.
Browser Fingerprint
Kullanılan browser’ın sağladığı bilgiler (cookie, plugin) yeterli düzeyde ayırt edici
olduğunda kullanıcının tespit edilmesi mümkün olmaktadır[5]. Bu sebeple TOR gibi
programlar paketine dahil olan browser kullanımını tavsiye etmekte, tüm kullanıcılarının aynı
browser fingerprint’e sahip olmasını hedeflemektedir. Bu hedefte kısmen başarılı olduğu da
bilinmektedir[3].
2- İnternette Anonim Olmak
IP Spoofing
İnternetin temelinde yer alan TCP/IP protokol ailesi geliştirilirken amaç haberleşme
olduğu için güvenlik gözardı edilmiştir. Bu sebeple farklı IP adresler üzerinden işlem yapmak
mümkün hale gelmiştir. Günümüzde bunu önlemek için TCP/IP temelli protokollerden yaygın
kullanılan TCP protokolüne 3’lü el sıkışma (3 way handshake) denen güvenlik önlemi
eklenmiştir. Bu önlemde kullanılan ISN gibi bazı parametreler güçlü olduğu için IP sahteciliği
çok zorlaşmıştır. Bununla birlikte UDP protokolünde IP sahteciliği hala mümkündür. DNS
protokolü UDP kullanmaktadır.
DDOS (Distributed Denial of Service)
IP Spoofing ile pratik olarak DDOS saldırıları yapılabilmektedir. DDOS saldırıları bir
sistemi çalışamaz hale getirmeyi hedefler. Bunu yapmak için sistemin kaldıramayacağı kadar
trafik gönderilir. SYN Flood, UDP Flood gibi DDOS türlerinde ip adresleri değiştirilerek saldırı
yapılabilmektedir. Bu işleminternetten ücretsiz elde edilen araçlarla kolaylıkla
yapılabilmektedir.

4. [İNTERNET ÜZERİNDE ANONİMLİK ve TESPİTYÖNTEMLERİ]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Proxy Kullanımı
İnternete bir proxy sunucu üzerinden bağlanarak IP adresinin proxy sunucusu olarak
gösterilmesi mümkündür. Bunun için ultrasurf gibi ücretsiz yazılımlar kullanılabilir. Yine bir
çok sunucuyla ücretli olarak bu hizmeti veren kurumlar bulunmaktadır.
Anonim Ağlar
Anonim ağlar’da trafik (rastgele seçilen) farklı cihazlar üzerinden gönderilir ve alınır.
Temel mantık aradaki hiç bir sunucunun hem kaynak hem hedef ip adreslerini bilmemesidir.
Bu sebeple dağıtık yapılar merkezi sunucudan daha güvenlidir denebilir[4]. Yine de trafik
analizleri gibi yöntemler tamamen güvenli olmadığını göstermektedir. Anonim ağlara örnek
olarak TOR, I2P verilebilir.
TOR
TOR (The Onion Router) yapısında, trafiğin üzerinden geçtiği gönüllü sunucular node
olarak isimlendirilir. Onion (soğan) isminde de anlaşıldığı gibi katmanlı bir yapı kullanılır.
Uygulama katmanında şifrelenmiş veriler katmanlardan çözülerek ilerler.
Diğer anonim ağlarda olduğu gibi bu ağın sınırlarındaki trafiğin analizi mümkündür.
Bu sebeple uçtan uca korelasyon hesaplanması yönü zayıftır[6]
FREENET
Freenet dış internete açık bir proxy aracı değildir, sadece Freenet ağı içindeki
içerikler için kullanılmaktadır. Bunu TOR Gizli Servisler’inden daha çok Tor’s proxy gibi
yazılımlara benzetebiliriz. Yüklenen dosya parçalara ayrılarak network’deki farklı yerlerde
depolanır. Dosya indirilmek istendiğinde parçalar indirilerek birleştirilir. Bu sebeple popular
olmayan içeriklere ulaşım yavaş olmaktadır. 0.7 versiyonundan sonra OpenNet ve DarkNet
olmak üzere birlikte kullanılabilen 2 farklı güvenlik seviyesi sunulmuştur. OpenNet ile
rastgele kişilerle iletişim kurulurken, darknet asimetrik anahtar çiftleri ile arkadaşlar arasında
iletişim kurulması mümkündür.

5. [İNTERNET ÜZERİNDE ANONİMLİK ve TESPİTYÖNTEMLERİ]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
Diğer Yöntemler
Başkasının bilgisayarına bulaştırılan casus yazılımlar kullanılarak kurban bilgisayarı
üzerinden internete çıkılabilir. Bu kurbanı proxy olarak kullanmak demektir. Diğer yandan
kurbanın kablosuz ağı kırılarak kurban IP’si üzerinden suç işlenmesi de mümkündür. Kablosuz
ağ kırma ve buna karşı alınacak önlemler bu yazının konusu olmadığı için değinilmemiştir.
3- Siber Kimlik Tespiti
Internet üzerinde anonim kişilerin tespiti için bir çok yöntem bulunmaktadır. Bu
yöntemlerden bazılarını tools-on.net, ip-check.info gibi anonimlik testi yapan web sitelerinde
görmek mümkündür. Bu sitelerde size ait ne tür bilgilerin elde edilebileceğini de görme
imkanı bulunmaktadır. IP adresiniz, browser versiyonunuz, ekran çözünürlüğünüz, işletim
sisteminiz, proxy kullanımınız gibi bilgilere ulaşma imkanı bulunmaktadır. Yine buna benzer
testler VPN kullanımı için dnsleak siteleri için yapılabilir.
IP Adres Tespiti
Kişilerin IP adreslerinin tespiti için de bir çok çalışma yürütülmektedir.
Proxy kullanılan durumlarda suçluların gerçek IP adreslerini tespit için proxy hizmeti
veren kurumların bu bilgiyi paylaşmaları gerekmektedir. Bu her zaman mümkün
olmamaktadır. Bu noktada proxy sunucularına yönelik siber saldırılar devreye girmektedir.
Tespit edilen IP adresinin hangi kuruma ait olduğu bilgisini öğrenme, whois işlemi RIR
websitelerinden yapılabilmektedir. “Query the RIPE database” ifadesi arandığında sorgu
yapmak için ilgili websiteler bulunabilir. Bu sorgu sonucunda tespit edilen ISP’den istenen
tarihte ilgili IP adresini kullanan kişinin bilgisi adli makamlar tarafından 5651 sayılı kanuna
dayanarak alınabilmektedir.
Kullanıcıya Siber Saldırı
IP adresini gizleyen belirli bir hedefe karşı siber saldırı yoluyla kimlik tespiti
yapılabilmektedir. Buna örnek olarak FBI’ın bir çok TOR gizli servisinin anasayfasına bir
JavaScript exploit’i yerleştirmesi verilebilir. Sadece TOR bundle ile gelen Firefox sürümünü
etkileyen exploit, kullanıcının ethernet kartının MAC adresini, bilgisayar ismini ve IP adresini
Northern Virginia’daki bir sunucuya doğrudan bağlanarak (TOR’u aradan çıkartmak suretiyle)
bildiriyordu[2,7].
4- Sonuç
Gazeteciler, araştırmacılar, sansür uygulanan ülke vatandaşları anonim olmak için IP
adreslerini gizlemekten daha fazla şey yapmalı ve daha bilinçli hareket etmelidirler. Diğer
taraftan suçluların anonim kalmasını önlemek için devletlerin siber kabiliyetlerini arttırması
gerekmektedir.

6. [İNTERNET ÜZERİNDE ANONİMLİK ve TESPİTYÖNTEMLERİ]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
5- Kaynakça
[1] Huzeyfe ÖNAL,BilişimSuçlarındaIPAdresAnalizi,13.05.2010
[2] Ball, James; Schneier, Bruce; Greenwald, Glenn (4 October 2013). "NSA and GCHQ target
Tor network that protects anonymity of web users". The Guardian. Retrieved 5 October
2013.
[3] "Peeling back the layers of Tor with EgotisticalGiraffe". The Guardian. 4 October 2013.
Retrieved 5 October 2013.
[4] Ohm, Paul (13 August 2009). "Broken Promises of Privacy: Responding to the Surprising
Failure of Anonymization". UCLA Law Review 57: 1701, 2010. Retrieved 12 February 2013
[5] Eckersley, Peter. "How Unique Is Your Web Browser?" (PDF). Electronics Frontier
Foundation. Springer. Retrieved 18 November 2014.
[6] "TheOnionRouter/TorFAQ". Retrieved 18 September 2007. "Tor (like all current practical
low-latency anonymity designs) fails when the attacker can see both ends of the
communications channel"
[7] Knight, John (1 September 2011). "Tor Browser Bundle-Tor Goes Portable". Linux Journal.
Retrieved 28 April 2014.

7. [İNTERNET ÜZERİNDE ANONİMLİK ve TESPİTYÖNTEMLERİ]
BGA Bilgi Güvenliği A.Ş. | www.bgasecurity.com | @BGASecurity
BGA Bilgi Güvenliği A.Ş. Hakkında
BGA Bilgi Güvenliği A.Ş. 2008 yılından bu yana siber güvenlik alanında faaliyet göstermektedir.
Ülkemizdeki bilgi güvenliği sektörüne profesyonel anlamda destek olmak amacı ile kurulan BGA Bilgi
Güvenliği,stratejik siber güvenlikdanışmanlığı ve güvenlik eğitimleri konularında kurumlara hizmet
vermektedir.
Uluslararası geçerliliğe sahip sertifikalı 50 kişilikteknik ekibi ile,faaliyetlerini Ankara ve İstanbul ve
USA’da sürdüren BGA Bilgi Güvenliği’ninilgi alanlarını “Sızma Testleri, Güvenlik Denetimi, SOME, SOC
Danışmanlığı, Açık Kaynak Siber Güvenlik Çözümleri, Büyük Veri Güvenlik Analizi ve Yeni Nesil
Güvenlik Çözümleri”oluşturmaktadır.
Gerçekleştirdiği başarılı danışmanlık projeleri ve eğitimlerle sektörde saygın bir yer edinen BGA Bilgi
Güvenliği, kurulduğu günden bugüne alanında lider finans, enerji, telekom ve kamu kuruluşlarına
1.000'den fazlaeğitimve danışmanlıkprojelerigerçekleştirmiştir.
BGA Bilgi Güvenliği, kurulduğu 2008 yılından beri ülkemizde bilgi güvenliği konusundaki bilgi ve
paylaşımlarınartmasıamacı ile güvenlike-postalisteleri oluşturulması,seminerler,güvenliketkinlikleri
düzenlenmesi, üniversite öğrencilerine kariyer ve bilgi sağlamak için siber güvenlik kampları
düzenlenmesi ve sosyal sorumlulukprojeleri gibi birçokkonudagönüllüfaaliyetlerde bulunmuştur.
BGA Bilgi Güvenliği AKADEMİSİ Hakkında
BGA Bilgi Güvenliği A.Ş.’nin eğitim ve sosyal sorumluluk markası olarak çalışan Bilgi Güvenliği
AKADEMİSİ, siber güvenlik konusunda ticari, gönüllü eğitimlerin düzenlenmesi ve siber güvenlik
farkındalığını arttırıcı gönüllü faaliyetleri yürütülmesinden sorumludur. Bilgi Güvenliği AKADEMİSİ
markasıyla bugüne kadar “Siber Güvenlik Kampları”, “Siber Güvenlik Staj Okulu”, “Siber Güvenlik Ar-
Ge DestekBursu” , ”Ethical Hacking yarışmaları” ve “SiberGüvenlikKütüphanesi” gibi birçok gönüllü
faaliyetindestekleyici olmuştur.