NordVPN Güvenli mi? Denetimler, Şifreleme ve Gizlilik İncelemesi

NordVPN Güvenli mi?

Evet. NordVPN, AES-256 şifrelemesi kullanır, gizliliğe elverişli Panama yetki alanında çalışır ve Deloitte tarafından yapılan tam bir günlük yok doğrulaması dahil olmak üzere birden çok bağımsız denetimden başarıyla çıkmıştır. 2018’deki tek bir sunucu olayında sıfır kullanıcı verisi açığa çıktı. NordVPN, tüm altyapısını RAM-sadece sunuculara taşıyarak yanıt verdi ve güvenlik tutumunu önemli ölçüde güçlendirdi.

Bu sayfa güvenliği derinlemesine kapsar. Genel hizmet performansı ve fiyatlandırması için NordVPN incelemesi sayfamızı görmek ülebilirsiniz.

2018 Sunucu Olayı: Aslında Ne Oldu

Mart 2018’de yetkisiz bir taraf, Finlandiya’daki NordVPN sunucusuna erişim sağladı. Saldırgan, veri merkezi sağlayıcısı tarafından açık bırakılan uzak yönetim aracından yararlandı. NordVPN bu aracı kurmadı. Veri merkezi bunu, NordVPN’i bilgilendirmeden yaptı.

Saldırgan sunucunun kendisine erişim sağladı. Kullanıcı kimlik bilgilerine, gezinti etkinliğine veya hesap bilgilerine erişim sağlamadı. Sunucu hiçbir etkinlik günlüğü tutmadı çünkü NordVPN’in günlük yok politikası hiçbir günlüğün çalınabileceği anlamına geliyordu.

NordVPN ihlali bir iç denetim sırasında keşfetti ve Ekim 2019’da kamuya açıklandı. Gecikme eleştiri aldı. Şirket boşluğu kabul etti ve bunu altyapı değişiklikleri için bir katalizör olarak kullandı.

NordVPN Nasıl Yanıt Verdi

NordVPN, Finlandiya veri merkeziyle sözleşmesini hemen sonlandırdı. Ardından şirket üç büyük girişim başlattı:

RAM-sadece sunucu taşınması. NordVPN, tüm ağını disksiz (RAM-sadece) sunuculara taşıdı. Bu sunucular verileri kalıcı olarak saklayamaz. Her yeniden başlatma her şeyi siler. Sunucunun fiziksel ele geçirilmesi bile faydasız sonuç verir.

Hata ödül programı. NordVPN, bağımsız güvenlik araştırmacılarının sistemlerini sürekli olarak araştırmasına izin vermek için HackerOne ile ortaklık kurdu. Araştırmacılar, saldırganlardan önce güvenlik açıklarını keşfetmek için ödüllü görevler alırlar.

Bağımsız denetim programı. NordVPN, düzenli üçüncü taraf güvenlik denetimlerine kararlı oldu. Bu, tek seferlik güvence yerine devam eden dış sorumluluk yarattı.

2018 olayı binlerce sunucudan birini etkiledi. Kullanıcı verisi sızdırılmadı. Ancak NordVPN bunu altyapısını sıfırdan yeniden inşa etme nedeni olarak gördü. Bu yanıt olayın kendisinden daha önemlidir.

NordVPN Denetim Zaman Çizelgesi

Doğrulama olmadan güven talepleri hiçbir şey ifade etmez. NordVPN, saygın siber güvenlik firmalarının birden çok bağımsız denetimini kabul etmiştir.

VerSprite Uygulama Güvenliği Denetimi

VerSprite, NordVPN uygulamalarının güvenlik değerlendirmesini yaptı. Denetim VPN istemcilerini güvenlik açıkları, kod zayıflıkları ve potansiyel saldırı vektörleri açısından inceledi. VerSprite, karmaşık yazılımda tipik olan sorunları buldu. NordVPN bunları düzeltti. Süreç, devam eden uygulama güvenliği testi için bir temel oluşturdu.

Cure53 Altyapı Değerlendirmesi

Cure53[1], Berlin merkezli bir güvenlik firması, altyapı düzeyinde denetim gerçekleştirdi. Ekipleri NordVPN’in sunucu konfigürasyonlarını, ağ mimarisini ve arka uç sistemlerini inceledi. Cure53, iyileştirme alanlarını belirledi ve temel altyapının güvenli bir şekilde çalıştığını doğruladı. NordVPN sonuçları kamuya açıkladı.

Deloitte Günlük Yok Doğrulaması (2022)

Bu denetim, gizlilik odaklı kullanıcılar için en ağır basar. Büyük Dördüncü muhasebe firmalarından biri olan Deloitte, NordVPN’in günlük yok iddialarının tam bir incelemesini yaptı. Deloitte sunucu konfigürasyonlarını inceledi, teknik kontrolleri gözden geçirdi ve personelle görüştü. NordVPN, Deloitte denetim bulgularını[2] kamuya açıkladı.

Sonuç: NordVPN’in sunucu altyapısı, günlük yok politikasıyla uyumlu çalışır. Şirket bağlantı zaman damgalarını, oturum sürelerini, IP adreslerini, gezinti verilerini veya bant genişliği kullanımını saklamaz.

Devam Eden Şeffaflık

NordVPN, hükümet veri talepleriyle ilgili ayrıntıları içeren düzenli şeffaflık raporları[3] yayınlar. Bu raporlar sürekli olarak aynı sonucu gösterir: NordVPN’in teslim edilecek verisi yoktur. Raporlar ayrıca kaldırma taleplerini, kanarya garantisinin durumunu ve ulusal güvenlik mektuplarını da kapsar.

Panama Yetki Alanı Kullanıcı Gizliliğini Korur

NordVPN’in ana şirketi Tefincom S.A., Panama yasalarına göre çalışır. Bu üç somut nedenden dolayı önemlidir.

Zorunlu veri saklama yok. Panama, VPN sağlayıcılardan kullanıcı etkinliğini veya bağlantı verilerini saklamasını gerektiren yasalar yoktur. Birçok Avrupa ve Kuzey Amerika ülkesi 6 ila 24 ay saklama dönemlerini zorunlu kılar. Panama bunu yapmaz.

İstihbarat paylaşım ittifaklarının dışında. Panama, Beş Göz, Dokuz Göz ve On Dört Göz gözetim anlaşmalarının dışında yer alır. Bu ittifaklar üye ülkeler arasında istihbarat verilerini paylaşır. ABD, İngiltere, Kanada veya Avustralya merkezli bir VPN, zorunlu ifşa riski taşır. NordVPN yapmaz.

Veri talepleri üzerindeki pratik etki. Yabancı kolluk kuvvetleri, kendi hukuki sistemleri aracılığıyla bir Panama şirketinin kayıt sunmasını zorlayamaz. Panama mahkemeleri aracılığıyla çalışmaları gerekir. O zaman bile, NordVPN sunacak günlük tutmamaktadır. Yetki alanı teknik bariyerin üzerine yapısal bir engel ekler.

AES-256 Şifreleme ve Protokol Seçenekleri

NordVPN tüm trafiği AES-256 ile şifreler. Bu, ABD hükümetinin sınıflandırılmış bilgiler için kullandığı aynı şifreleme standardıdır. AES-256’yı kaba kuvvetle çıkaran bilinen hiçbir saldırı yoktur. Mevcut tahminer, mevcut hesaplama gücü ile milyarlarca yıl alacağını göstermektedir.

NordLynx Protokolü

NordLynx, NordVPN’in varsayılan protokolüdür. WireGuard’a dayanır ve yüksek hızları yalın bir 4.000 satırlık kod tabanı aracılığıyla sunar. WireGuard’ın tek başına bir gizlilik sınırlaması vardır: sunucuda statik IP adreslerini saklamayı gerektirir.

NordVPN bunu çift NAT (Ağ Adresi Çevirisi) sistemi ile çözdü. Çift NAT, her oturuma dinamik bir arayüz adresi atar. Oturum sona erdiğinde, adres kaybolur. Bu, WireGuard’ın hız kazançlarını gizlilik fedakarlığı olmadan sunar.

Performans kıyaslamaları, NordLynx’un gigabit bağlantılarında 730 Mbps üzerinde hızlar elde ettiğini gösterir. Gecikme düşük kalır. Protokol, akış, oyun ve büyük indirmeler işlemlerini engellemeyle yönetir.

OpenVPN

OpenVPN, savaş testedilmiş bir protokolü tercih eden kullanıcılar için kullanılabilir kalır. TCP ve UDP üzerinde çalışır. TCP, kısıtlayıcı ağlar için güvenilirlik sağlar. UDP, genel kullanım için daha hızlı hızlar sunar. OpenVPN’in açık kaynaklı kod tabanı, iki on yıl boyunca güvenlik topluluğu tarafından kapsamlı bir şekilde denetlenmiştir.

IKEv2/IPsec

IKEv2/IPsec, mobil cihazlarda iyi çalışır. Wi-Fi ve hücresel ağlar arasında geçiş yaparken hızlı bir şekilde yeniden bağlanır. NordVPN bunu AES-256 şifrelemesi ile eşleştirir. Bu protokol, ağlar arasında sık hareket eden kullanıcılara uygun.

Kill Switch, Düşüş Sırasında Veri Sızdırma Riskini Engeller

VPN bağlantıları düşebilir. Bunu yaptıklarında, korumasız trafik ISS’nize kaçabilir. NordVPN’in kill switch bunu engeller.

Kill switch, VPN bağlantınızı sürekli olarak izler. Tüneel düşerse, tüm internet trafiğini anında engeller. VPN yeniden bağlanana kadar cihazınızdan hiçbir veri çıkmaz. NordVPN iki kill switch modu sunmaktadır:

Uygulama düzeyi kill switch. Bu, VPN kesildiğinde belirli uygulamalar için internet erişimini engeller. Diğer uygulamalar normal şekilde çalışmaya devam eder.

Sistem düzeyi kill switch. Bu, cihaz genelinde tüm internet trafiğini engeller. VPN olmadan hiçbir şey geçmez. Bu, gizliliğe kritik görevler için daha güvenli seçenektir.

DNS Sızıntı Koruması Sorguları Gizli Tutar

DNS istekleri alan adlarını IP adreslerine dönüştürür. Koruma olmadan, bu istekler VPN’ye bağlıyken bile ISS’nize sızabilir. NordVPN tüm DNS sorgularını kendi şifreli DNS sunucuları aracılığıyla yönlendirir.

Bu, ISS’nizin hangi web sitelerini ziyaret ettiğinizi görmesini engeller. Ayrıca üçüncü taraf DNS sağlayıcılarının gezinti örüntülerinizi günlüğe kaydetmesini engeller. Bağımsız DNS sızıntısı testleri, NordVPN’in korumasının reklamda olduğu gibi çalıştığını sürekli olarak doğrular.

Tehdit Koruması Kötü Amaçlı Yazılımları ve İzleyicileri Engeller

Tehdit Koruması, ağ düzeyinde çalışır. Bilinen kötü amaçlı alan adlarını yüklenmeden engeller. URL’lerden izleme parametrelerini çıkarır. Kötü amaçlı yazılım indirmelerini tanımlar ve durdurur.

Tehdit Koruması, VPN sunucusuna bağlı olmadığınız zaman bile çalışır. Desteklenen platformlarda bağımsız bir güvenlik katmanı olarak işlev görür. AV-TEST, bağımsız bir güvenlik enstitüsü, Tehdit Koruması’nın kötü amaçlı yazılım engelleme yeteneklerini sertifika vermiştir.

Özellik, indirme sırasında dosyaları tarar. URL’leri sürekli güncellenen tehdit veritabanlarına karşı kontrol eder. Genellikle kötü amaçlı yazılım dağıtım vektörü olarak hizmet eden can sıkıcı reklamları engeller.

Sıkça Sorulan Sorular

NordVPN Hacklendi mi?

Çoğu insanın varsayduğu şekilde değil. 2018’de, bir saldırgan, veri merkezinin uzak yönetim aracı aracılığıyla Finlandiya’daki tek bir kiralanmış sunucuya erişim sağladı. NordVPN’in temel sistemleri, kullanıcı veritabanları ve kimlik doğrulama altyapısı asla tehlikeye düşmedi. Kullanıcı kimlik bilgisi veya gezinti etkinliği açığa çıktı. NordVPN, RAM-sadece sunuculara göç, hata ödül programı başlatma ve düzenli bağımsız denetimlere kararlı olarak yanıt verdi.

NordVPN Günlük Tutar mu?

Hayır. Deloitte, 2022 yılında kapsamlı bir denetim aracılığıyla NordVPN’in günlük yok politikasını doğruladı. NordVPN, bağlantı zaman damgalarını, oturum sürelerini, IP adreslerini, bant genişliği verilerini veya gezinti etkinliğini günlüğe kaydetmez. RAM-sadece sunucu altyapısı kalıcı depolamayı fiziksel olarak imkansız hale getirir. Bir sunucu ele geçirilse bile, alınamaz kullanıcı verisi içermez.

NordVPN Güvenilir mi?

NordVPN, pazarlama vaatlerinden ziyade bağımsız doğrulamayla iddialarını destekler. VerSprite, Cure53 ve Deloitte’in birden çok denetimi güvenlik ve gizlilik uygulamalarını doğrular. Panama yetki alanı yapısal gizlilik koruması sağlar. Hata ödül programı, devam eden dış incelemeyi davet eder. Şeffaflık raporları her veri talebini ve NordVPN’in veri yokluğu nedeniyle uyum sağlayamamasını belgeler.

NordVPN Verilerimizi Görebilir mi?

NordVPN’in altyapısı bunu engelleme amacıyla tasarlanmıştır. RAM-sadece sunucular yeniden başlatmalar arasında hiçbir şey tutmaz. NordLynx protokolünün çift NAT sistemi, kalıcı IP adresi kayıtlarının bulunmadığını sağlar. DNS sorguları, istekleri günlüğe kaydetmeyen NordVPN’in özel DNS sunucuları aracılığıyla yönlendirilir. Teknik mimari, sadece politika değil, kullanıcı etkinliğini izleme veya depolama yeteneğini ortadan kaldırır.

NordVPN Diğer VPN’lerle Güvenlik Açısından Nasıl Karşılaştırılır?

NordVPN, bağımsız doğrulanmış güvenlik için en üst sırada yer alır. Az sayıda rakip denetim sıklığıyla eşleşir. RAM-sadece altyapısı onu ExpressVPN ve ProtonVPN ile bu kategoride yerleştirir. NordLynx protokolü, WireGuard’ın gizlilik sınırlamalarına benzersiz bir çözüm sunmaktadır. Tehdit Koruması özelliği, çoğu VPN’nin tamamen eksik olduğu bir güvenlik katmanı ekler.

Gizlilik odaklı kullanıcılar seçeneklerini tartan, en iyi gizlilik VPN’si karşılaştırmamıza bakın. NordVPN incelemesi ile başlayın tam resim için, ardından satın almadan önce NordVPN fiyatlandırması kontrol edin.

Sources

1. Cure53
2. Deloitte denetim bulgularını
3. şeffaflık raporları