Mullvad Güvenli Mi? Güvenlik, Gizlilik ve Denetim Analizi

Mullvad Güvenli Mi? Doğrudan Bir Değerlendirme

Mullvad, güven indeksimizde 86/100 puan alıyor. İsveç yetki alanı altında faaliyet gösteriyor, aylık sabit €5 ücret talep ediyor hesap olmadan ve doğrulanmış no-logs politikasını uyguluyoruz. Cure53 ve Assured AB tarafından yapılan bağımsız denetimler minimum güvenlik açığını doğruladı. Mullvad, 50+ ülkedeki 700+ sunucu üzerinde sıfır bağlantı logu, trafik verisi veya kişisel olarak tanımlanabilir bilgi depolamıyor.

İsveç Yetki Alanı ve Yasal Veri Talepleri

İsveç, 14 Eyes istihbarat paylaşım ittifakına aittir. İlk bakışta alarmist görünüyor. Uygulamada, yasal çerçeve VPN sağlayıcıları için daha nüanslı bir hikayeyi anlatıyor.

İsveç hukuku, VPN şirketlerinin kullanıcı verilerini saklamasını gerektirmez. Mullvad, mevcut İsveç telekomünikasyon yönetmelikleri kapsamında zorunlu veri saklama yükümlülüğü taşımamaktadır. Bu, yetkililerin istekte bulunabileceği ancak Mullvad’ın teslim edecek hiçbir şeyi olmadığı anlamına gelir.

Nisan 2023’te İsveç polisi bir arama emri ile Göteborg’daki Mullvad ofisine fiziksel olarak girdi. Memurlar müşteri verilerini içeren bilgisayarları ele geçirmeyi amaçladılar. Mullvad personeli hiçbir makinede müşteri verisi olmadığını açıkladı ve polis boş elde gitti. Bu gerçek dünyadaki test, no-logs politikasının yasal baskı altında dayanmadığını kanıtladı.

Bağımsız Denetim Geçmişi

Mullvad, birden fazla üçüncü taraf güvenlik denetimi tamamladı. Her denetim altyapının ve istemci uygulamalarının farklı bölümlerini inceledi.

Cure53 Denetimi (2020)

Cure53, Berlin merkezli bir penetrasyon testi firması, 2020’de Mullvad VPN uygulamalarını denetledi. Ekip toplam 7 güvenlik açığı tespit etti: 2 orta düzey önem derecesi, 5 düşük önem derecesi. Mullvad, tam denetim raporunu herkese açık bir şekilde web sitesinde yayınlamadan önce tüm 7 sorunu yaması.

Assured AB Denetimi (2023)

Assured AB, 2023’te Mullvad’ın sunucularının ve iç sistemlerinin altyapı denetimini yürüttü. Değerlendirme, sunucu yapılandırmalarını, şifreleme uygulamasını ve veri işleme prosedürlerini kapsadı. Sonuçlar, Mullvad’ın altyapısının halkaya açık no-logs taleplerle eşleştiğini doğruladı. Bu ilişkilendirme sırasında kritik güvenlik açığı tespit edilmedi.

Cure53 Uygulama Denetimi (2023)

Cure53, 2023’te güncellenen uygulama koduna odaklanarak ikinci kez geri döndü. Bu takip, 2020 denetiminden daha az sorun buldu. Mullvad tüm bulguları giderdi ve yine eksiksiz raporu halka açık inceleme için yayınladı.

Tam denetim raporlarını yayınlamak VPN endüstrisinde nadirdir. Mullvad bulguları redakte etmez veya uygun sonuçları seçmez. Bu şeffaflık, güvenlik taleplerinin ağırlığını önemli ölçüde arttırıyor.

Logging Politikası: Mullvad’ın Depoladığı ve Depolamadığı

Mullvad’ın Toplamadığı Veriler

Mullvad trafik verisi, bağlantı zaman damgaları, oturum süreleri veya IP adreslerini kaydetmez. DNS sorgularını, bant genişliği kullanım kayıtlarını veya VPN sunucusu atamalarını depolamamaktadır. Hesap etkinliği tarama davranışı veya bağlantı meta verilerine tamamen bağlı kalır.

Mullvad’ın İşlediği Veriler

Mullvad, hesap başına eşzamanlı bağlantıların toplam sayısını işler (5 ile sınırlı). Bu sayaç gerçek zamanda var olur ve hiçbir kalıcı depolamaya yazılmaz. Bağlantıyı kestiğinizde o sayaç azalır. Kalıcı tarihsel kayıt yok.

Mullvad ayrıca performans optimizasyonu için kısa vadeli toplu sunucu yükü verilerini işler. Bu veriler sıfır kullanıcı tanımlanabilir bilgisi içerir ve otomatik olarak döner.

Hesap Sistemi

Mullvad rastgele bir 16 rakamlı hesap numarası üretir. E-posta yok, isim yok, şifre gerekli değil. Bir zarfta posta ile, Bitcoin veya Monero ile ödeme yapabilirsiniz. Bu tasarım, kayıt işlemini tamamen kişisel olarak tanımlanabilir bilgilerden arındırır.

Şifreleme Standartları ve Protokolleri

Mullvad iki protokolü destekler: WireGuard ve OpenVPN. Her iki uygulama da güçlü, iyi gözden geçirilmiş kriptografik standartlar kullanıyor.

WireGuard Uygulaması

WireGuard, simetrik şifreleme için ChaCha20, anahtar değişimi için Curve25519 ve hashing için BLAKE2s kullanıyor. Mullvad, tüm platformlarda WireGuard’ı varsayılan olarak kullanır. Bağlantı el sıkışmaları çoğu ağda 100 milisaniyenin altında tamamlanır.

OpenVPN Uygulaması

OpenVPN bağlantıları, veri kanalı şifreleme için AES-256-GCM kullanıyor. Anahtar değişimi, SHA-512 doğrulaması ile RSA-4096 sertifikalarına dayanıyor. Mullvad, OpenVPN’i VPN tünelinde parmak izlemesini ve DDoS saldırılarını önlemek için tls-auth ile yapılandırır.

Kuantum Dirençli Tüneller

Mullvad, 2023’te WireGuard tünellerine kuantum sonrası anahtar değişimi ekledi. Bu özellik, standart WireGuard kriptografisinin üzerine Classic McEliece ve Kyber anahtar kapsülleri katmanlandırıyor. Mullvad, bu özelliği masaüstü platformları genelinde sevk eden ilk ticari VPN’dir.

Kill Switch ve DNS Sızıntı Koruması

Kill Switch Davranışı

Mullvad’ın kill switch’i tüm platformlarda varsayılan olarak etkinleşir. VPN tüneli beklenmedik bir şekilde düştüğünde tüm internet trafiğini engeller. Uygulama, uygulama düzeyinde değil güvenlik duvarı düzeyinde çalışıyor. Bu, Mullvad uygulaması tamamen çökse bile sızıntıları engeller.

Linux’ta Mullvad, trafik engellemeyi uygulamak için nftables kurallarını kullanır. Windows’ta Windows Filtresi Platformunu değiştirir. macOS’ta paket filtresi kurallarını kullanır. Her uygulama, IPv4 ve IPv6 sızıntılarını aynı anda engeller.

DNS Sızıntı Koruması

Mullvad tüm DNS sorgularını kendi şifreli DNS sunucuları üzerinden yönlendirir. Uygulama, tüneli aşmaya çalışan sistem DNS isteklerini engeller. Mullvad, her VPN sunucusu konumunda DNS sunucuları çalıştırarak sorguları üçüncü taraflara iletmeden yerel olarak çözer.

Kullanıcılar, uygulama içinde özel DNS yapılandırabilir. Özel DNS olsa bile, sorgular yine de şifreli tünel içinde hareket eder. Bağımsız sızıntı testleri, tüm Mullvad istemcileri genelinde tutarlı bir şekilde sıfır DNS, WebRTC veya IPv6 sızıntı gösterir.

Geçmiş Güvenlik Olayları

Polis Baskını (Nisan 2023)

İsveç Ulusal Polisi’nden altı memur Göteborg’daki Mullvad ofisine girdi. Müşteri bilgisi arayan bir bölge mahkemesi arama emri taşıyorlardı. Mullvad CEO’su şirketin müşteri verisi depolamadığını açıkladı. Polis hiçbir ekipman ele geçirmedi ve Mullvad’ın hukuk ekibi emrin uygulanabilirliğine itiraz ettikten sonra ayrıldı.

Bilinen Veri İhlali Yok

En son denetim döngüsü itibariyle, Mullvad sıfır veri ihlali bildirmiştir. Sızdırılmış veritabanlarında hiçbir kullanıcı verisi görülmedi. Mullvad şifre veya e-posta adresi kullanmadığından hiçbir kimlik avı saldırısı geçerli değildir. 16 rakamlı hesap numarası sistemi saldırı yüzeyini önemli ölçüde sınırlar.

Güvenlik Açığı Açıklamaları

Mullvad, aktif bir hata ödülü yaklaşımını korur ve blogu üzerinde güvenlik danışmanları yayınlar. Denetimler sırasında bulunan tüm güvenlik açıkları keşfedilmesinden sonraki haftalar içinde düzeltme aldı. Şirket, üretim altyapısının hiçbir sıfır günlük istismarını yaşamamıştır.

Benzersiz Güvenlik Özellikleri

DAITA (Yapay Zeka Tarafından Yönlendirilen Trafik Analizine Karşı Savunma)

Mullvad, trafik analiz saldırılarına karşı koyabilmek için DAITA geliştirdi. Bu özellik paketleri düzgün boyutlara ve sahte trafik modellerine ekler. Düşmanların, trafik parmak izlerine dayalı olarak kullanıcıların hangi web sitelerini ziyaret ettiğini belirlemesini engeller.

Şifreli DNS Over HTTPS (DoH)

Mullvad, dns.mullvad.net adresinde genel bir DoH hizmeti sunuyor. Kullanıcılar VPN çalışmadan da DNS sorgularını şifreleyebilir. Hizmet, isteğe bağlı reklam engelleme ve izleyici engelleme DNS profillerini içerir.

Disksiz RAM Tabanlı Sunucular

Mullvad, tüm sunucu parkını RAM tabanlı modda çalıştırıyor. Sunucularda sabit disk yok. Her önyükleme tüm verileri tamamen siler. Bu mimari, fiziksel sunucu müsaderelerin sıfır kullanılabilir bilgi sağlamasını garantiler.

Multihop Yönlendirme

Kullanıcılar trafiği 2 ayrı VPN sunucusundan farklı ülkelerde yönlendirebilir. Bu ikinci bir şifreleme katmanı ekler ve giriş noktasını çıkış noktasından ayırır. Multihop, manuel kurulum olmadan doğrudan uygulama içinde yapılandırılabilir.

Sık Sorulan Sorular

Mullvad Günlük Tutuyor Mu?

Mullvad sıfır kalıcı günlük tutuyor. Trafik günlükleri, bağlantı zaman damgaları, IP adresleri veya oturum verisi disk depolamaya dokunmamaktadır. İki bağımsız denetim bu iddiayı doğruladı. RAM tabanlı sunucu altyapısı, geçici verilerin bile önyükleme sırasında kaybolmasını sağlar. Mullvad’ın 2023 polis baskını, hiçbir kullanıcı verisinin ele geçirilecek olmadığını doğruladı.

Mullvad Hacklenmişi Mi?

Mullvad hacklenmemişti. Hiçbir veri ihlali veya yetkisiz erişim olayı kamuya açıklanmadı veya denetimler sırasında bulunmadı. Parolasız hesap sistemi ve RAM tabanlı sunucular, saldırı yüzeyini tipik VPN sağlayıcılarının altına indirger. Cure53, 2020 veya 2023 denetimlerinde kritik güvenlik açığı bulamamıştır.

Mullvad Güvenilir Mi?

Mullvad, yinelenen bağımsız denetimler, tam rapor şeffaflığı ve gerçek dünyadaki yasal test aracılığıyla güvenilirliği gösterir. Şirket, kaynak kodunu GitHub’da açıkça yayınlar. Anonim nakit ödemelerini kabul ediyor. Herhangi bir veri sunmadan polis aramasından sağ çıktı. Bu doğrulanmış eylemler pazarlama vaatlerinden daha fazla ağırlık taşıyor.

Mullvad Verilerime Göz Atabilir Mi?

Mullvad tarama verilerinizi göremez. VPN tüneli içindeki trafik AES-256 veya ChaCha20 şifreleme kullanıyor. Mullvad’ın sunucuları şifrelenmiş paketleri işliyor ancak içeriği denetlemiyor, kaydetmiyor veya depolamıyor. RAM tabanlı mimari, herhangi bir geçici işleme verisinin etkin oturumun ötesinde kalmasını engeller.

Mullvad’ın Güvenliği Hakkında Alt Satır

Mullvad, vaatlerle değil, mimarisi aracılığıyla 86/100 güven puanını kazanıyor. RAM tabanlı sunucular, hesap anonimliği, yayınlanmış denetim raporları ve doğrulanmış polis baskını sonucu onu ayırıyor. €5/aylık sabit ücret deneme veya indirimsiz, abonelere değil hizmete odaklanmış bir şirketi yansıtıyor. Gizlilik doğrulamasını özellik sayısı üzerinde önceliklendiren kullanıcılar için Mullvad, 50+ ülkedeki 700+ sunucusu genelinde mevcut en güçlü seçeneklerden biri olmaya devam ediyor.