Fexyn
Fexyn
All posts

ISP'in seni izliyor

Fexyn Team··8 min read

İnternet servis sağlayıcın seninle ziyaret ettiğin her websitesi arasında oturuyor. Her byte'ı iki kez işliyorlar — bir gidişte, bir dönüşte. İnternet hayatının metaverisi hakkında her şeyi biliyorlar. Çoğu kullanıcı ne kadar olduğunu anlamıyor.

İşte gerçekten ne gördükleri, onunla yasal olarak ne yapmalarına izin verildiği ve ülkeye göre nasıl değiştiği.

ISP'inin görebildiği

Üç kategori. Ayrımı anlamaya değer.

1. DNS sorguları. Her bir domain yazdığında (veya bir linke tıkladığında), bilgisayarın IP için DNS sunucusuna soruyor. Çoğu kullanıcı varsayılan olarak ISP'inin DNS'ini kullanıyor. ISP baktığın her domain'i görüyor — google.com, bankan, flört profilin, sabah 3'te ziyaret ettiğin tıbbi-semptom sitesi.

DNS sorguları varsayılan olarak şifrelenmemiş. Üçüncü taraf DNS resolver kullansan bile (Cloudflare'in 1.1.1.1, Google'ın 8.8.8.8), ISP o isteklerin hedef IP'sini görebiliyor ve DNS aramaları olduğunu çıkarabiliyor. Şifreli DNS — DNS-over-HTTPS (DoH) veya DNS-over-TLS (DoT) — sorguları ISP'den gizliyor ama benimsenmesi düzensiz.

2. TLS handshake'lerindeki SNI. Her HTTPS bağlantısı TLS handshake ile başlıyor. Server Name Indication (SNI) alanı sunucuya istemcinin hangi hostname'e bağlandığını söylüyor — ve düz metin gönderiliyor. Yani trafiğinin geri kalanı şifreli olsa bile, ISP her bağlantının başlangıcında ziyaret ettiğin her sitenin hostname'ini görüyor.

Encrypted Client Hello (ECH) bunu düzelten standart. Cloudflare tarafından deploy ediliyor ve Firefox ve Chrome tarafından flag arkasında destekleniyor. 2026'daki çoğu trafiğin hala düz metin SNI'sı var. ISP, üzerinde ne okuduğunu bilmese bile hangi siteleri ziyaret ettiğini biliyor.

3. Bağlantı metaverisi. Kaynak IP (seninki), hedef IP (sunucununki), zaman damgaları, paket boyutları, trafik zamanlama paternleri. Bundan ISP'ler protokolleri (BitTorrent, video streaming, VoIP), servisleri (trafik şekline göre Netflix vs YouTube vs Zoom) ve davranışı (ne zaman uyuduğun, ne zaman çalıştığın, hangi cihazların aktif olduğu) tanımlayabiliyor.

ISP'lerin göremediği: şifreli trafiğin içeriği. HTTPS, şifreli mesajlaşma, VPN tünelin — bunlar ISP'ye okunaksız. Bağlandığını, ne zaman, ne kadar süre ve hangi IP'ye bağlandığını görüyorlar. Ne söylediğini değil.

ISP'lerin o veriyle ne yaptığı

Üç şey, kabaca yaygınlık sırasına göre:

Operasyonel kullanım. Kapasite planlaması, trafik yönetimi, suistimal yönetimi, kolluk kuvvetleri uyumu. Her ISP yapıyor. Opsiyonel değil.

Ticari para kazanma. Tarama verisini reklam ağlarına, veri broker'larına ve analiz firmalarına satmak. Buna izin verilip verilmediği ülkeye bağlı.

Hükümet uyumu. Otoritelerin celp edebilmesi için sabit sürelerde veri tutmak. Bunun zorunlu olup olmadığı ülkeye bağlı.

Amerika Birleşik Devletleri: ISP'ler verini satabilir

ABD'nin kapsamlı federal gizlilik yasası yok. ISP'ler İletişim Yasası altında ortak taşıyıcılar olarak düzenleniyor ama FCC'nin 2016 broadband gizlilik kuralları — ki ISP'lerin tarama verisi satmadan önce opt-in onay almasını gerektirecekti — Mart 2017'de Kongre tarafından Congressional Review Act altında iptal edildi.

O zamandan beri ABD ISP'leri opt-in onay olmadan tarama verisi satmasına yasal olarak izin verildi. Çoğu büyük ISP'nin (Comcast, Verizon, AT&T, T-Mobile, Charter/Spectrum) veri-para kazanma programları var. Verizon'un "Custom Experience"ı ve AT&T'nin "Internet Preferences"ı açık isimleri; opt-out var ama çoğu kullanıcının ziyaret etmediği hesap ayarlarına gömülü.

ABD kullanıcıları için varsayım: spesifik olarak opt-out yapmadıysan, ISP'in tarama verini para kazanıyor. Opt-out var; bulmak kasıtlı çaba istiyor.

İngiltere: 12 ay zorunlu tutma

Investigatory Powers Act 2016 ("Snoopers' Charter") İngiltere ISP'lerinin "internet bağlantı kayıtlarını" 12 ay tutmasını gerektiriyor. ICR'lar kaynak IP, hedef IP, zaman, süre içeriyor. Otoriteler bazı kategorilerde garanti olmadan erişim isteyebilir; garantiyle daha fazla detay isteyebilir.

IPA istihbarat servisleri için toplu kesme yeteneklerini de yetkilendiriyor. Court of Appeal 2018'de 2016 yasasının kısımlarının yasadışı olduğuna karar verdi; hükümet çerçeveyi temel olarak yeniden yazmadı.

İngiltere kullanıcıları için varsayım: çeşitli yetkilendirme seviyeleri altında çeşitli hükümet organları tarafından alınabilen, internet aktiviten hakkında metaveri 12-aylık dönen pencere ISP'inde duruyor.

Avustralya: 2 yıl zorunlu tutma

Telecommunications (Interception and Access) Amendment (Data Retention) Act 2015, Avustralyalı ISP'lerin metaveriyi 2 yıl tutmasını gerektiriyor. Kaynak/hedef, zaman, süre, hesap bilgisi, lokasyon. AFP ve ASIO dahil 21 belirlenmiş ajans tarafından metaveri kendisi için garanti olmadan erişim.

Avustralya'nın ISP ticari veri kullanımı için kapsamlı gizlilik yasası yok. ISP'ler Privacy Act 1988 artı telekomünikasyon-spesifik kurallar altında çalışıyor; çerçeve kullanıcıları az koruduğu için eleştirildi.

Rusya: SORM gerçek zamanlı erişim

Rusya, SORM-2'den (1995) bu yana her Rus ISP'sinde kurulu Sistema Operativno-Rozysknykh Meropriyatii (SORM) işletiyor. FSB ISP'ye gösterilen mahkeme emri olmadan Rus internet trafiğine doğrudan, gerçek zamanlı erişime sahip.

Yarovaya yasaları (2016, 2019'da genişletildi) ISP'lerin ve mesajlaşma servislerinin kullanıcı metaverisini 6 ay ve içeriği 6 aya kadar tutmasını ve istek üzerine güvenlik servislerine şifre çözüm anahtarları sağlamasını gerektiriyor.

Rus kullanıcılar için varsayım: her yerli ISP doğrudan gözetim pipeline'ı. Rus-olmayan çıkışa VPN gözetim sorusunu "FSB'in doğrudan ne görebileceği"nden "VPN sağlayıcısının yargı yetkisinin ne sağladığı"na taşıyor.

Avrupa Birliği: GDPR sınırlar ama veri tutma değişiyor

General Data Protection Regulation (GDPR) ISP tarama verisi dahil kişisel verinin ticari kullanımını ABD yasasından daha sıkı sınırlıyor. ISP'ler açık onay olmadan tarama verisi satamıyor.

Kolluk kuvveti amaçları için zorunlu veri tutma daha karmaşık. 2006 Data Retention Directive 2014'te European Court of Justice tarafından çok geniş olduğu için iptal edildi (Digital Rights Ireland davası). O zamandan beri üye devletler kendi tutma yasalarını uyguladı, değişen mahkeme itirazı dereceleriyle. Almanya'nın tutma yasası da 2010'da iptal edildi.

Mevcut durum AB üyesine göre değişiyor: Fransa 1 yıl tutuyor, İtalya değişen sürelerde, Hollanda mahkeme kararlarıyla önceki tutma rejimlerinden geri itildi. Genel yön ABD/İngiltere/Avustralya modelinden daha kısıtlayıcı tutmaya doğru.

Diğer önemli vakalar

Çin. İnternet trafiği kapsamlı izlemeyle devlet-zorunlu altyapı üzerinden yönlendiriliyor. ISP'ler devlet gözetiminin doğrudan uzantıları. Büyük Güvenlik Duvarı filtreleme katmanını sağlıyor; izleme katmanı daha geniş.

İran. Cyberspace Supreme Council ve Filtering Committee altında kapsamlı ISP-seviyesi izleme. ISP-seviyesi metaveri kullanan muhaliflerin belgelenmiş kovuşturmaları.

Singapur. PDPA ticari kullanımı sınırlıyor; Computer Misuse Act ve çeşitli diğer yasalar geniş soruşturma erişimini yetkilendiriyor.

Latin Amerika ve Afrika'nın çoğu. Daha az resmi zorunlu tutma; ticari ISP veri para kazanma değişiyor; politik ortama göre hükümet erişimi enorm değişiyor.

VPN'in gerçekten ne değiştirdiği

VPN cihazınla VPN sağlayıcısı arasındaki bağlantıyı şifreliyor. ISP'in perspektifinden, tüm trafiğin tek bir IP'ye — VPN sağlayıcının çıkış sunucusu — tek şifreli tünel oluyor.

VPN aktifken ISP'in gördüğü:

  • Kaynak: IP'in
  • Hedef: VPN sağlayıcının çıkış IP'si
  • Hacim: tünelden ne kadar veri aktığı
  • Süre: tünelin ne zaman açık olduğu

ISP'in görmediği:

  • Hangi siteleri ziyaret ettiğin (SNI yok, dışarı sızan DNS sorgusu yok)
  • Hangi protokolleri kullandığın (BitTorrent, streaming, oyun hepsi aynı görünüyor)
  • Ne yazdığın, izlediğin veya indirdiğin

Bu güven sorusunu kaydırıyor. ISP'ine güvenmek yerine VPN sağlayıcısına güveniyorsun. VPN sağlayıcı ISP'in önceden gördüğünü görebiliyor: DNS sorguların, SNI'in, hedeflerin. Alakalı sorular oluyor:

  • VPN sağlayıcı bu veriyi loguyor mu? Gerçekten no-logs sağlayıcı yapmıyor.
  • VPN sağlayıcı hangi yargı yetkisinde? Bazı yargı yetkileri logları zorlayabilir.
  • No-logs iddiası bağımsız doğrulamalı mı? Bazı sağlayıcılar için denetimler var.
  • Ödeme izi nedir? Crypto ödeme hesabınla gerçek kimliğin arasındaki bağlantıyı sınırlıyor.

VPN güveni yok etmiyor. Taşıyor. Hareketin değer olup olmadığı VPN sağlayıcının spesifik tehdit modelin için ISP'inden gerçekten daha güvenilir olup olmadığına bağlı.

VPN'in değiştirmediği

Açık olmaya değer:

  • Giriş yapılmış servisler hala kim olduğunu biliyor. Google, Facebook, banka — onlar girişle tanımlıyor, IP ile değil. VPN giriş yaptığın servislerde seni anonimleştirmiyor.
  • Tarayıcı parmak izi hala çalışıyor. Takip pixel'leri, çerezler, tarayıcı özellikleri hepsi siteler arası seni hala tanımlıyor. VPN ağ-katmanı gizlilik aracı, uygulama-katmanı değil.
  • Yerel ağın hala yerel ağın. Ev Wi-Fi'ndaki herkes DNS sorgularını VPN tüneline çarpmadan önce görüyor (konfigürasyona bağlı). Burada kill switch önemli.

Çoğu kullanıcı için VPN'in alakalı kapsamı: ISP aktiviteni göremez. Çoğu kullanıcının istediği ve VPN'in sağladığı bu.

Fexyn nereye uyuyor

Bir VPN sağlayıcısıyız. VPN kullanıp kullanmaman gerektiği konusunda taraflıyız — onları satıyoruz. Ne sunabildiğimiz ve sunamadığımız konusunda dürüstüz:

  • Tarama geçmişi logu yok, DNS sorgu logu yok, trafik içerik logu yok
  • Minimum hesap-kimlik bağlantısı isteyen kullanıcılar için crypto ödeme seçeneği
  • Wyoming (ABD) yargı yetkisi — bunun Five Eyes olduğunu kabul ediyoruz; no-logs yapısı azaltmadır
  • Windows'ta WFP-tabanlı kernel kill switch, böylece DNS sorguları tünelin etrafından sızmıyor
  • Standart VPN protokollerinin bloklandığı ülkelerdeki kullanıcılar için VLESS Reality + Vision flow

Henüz bağımsız üçüncü taraf denetimini tamamlamadık. 2026 için planlandı. Bugün üçüncü taraf doğrulaması gerektiren kullanıcılar için, ProtonVPN ve Mullvad'ın henüz eşleyemediğimiz güncel denetlenmiş iddiaları var. Bunu açık söylüyoruz.

Sıkça sorulanlar

ISP'im HTTPS sitelerde ne yaptığımı görebilir mi?

Kısmen. Hostname'i (SNI üzerinden), hedef IP'i, trafik paternlerini görüyorlar. Sayfa içeriklerini görmüyorlar. Encrypted Client Hello (ECH) SNI kısmını düzeltmek için deploy ediliyor; 2026'daki çoğu trafik hala SNI sızdırıyor.

ISP'im VPN üzerinden ne yaptığımı görebilir mi?

Hayır, VPN tünelinin kendisinin varlığının ötesinde. VPN sağlayıcının IP'sine şifreli trafik görüyorlar. İçinde ne olduğunu görmüyorlar.

ISP'im VPN kullanımını bloklayabilir mi?

Bazıları deniyor. Çoğu denemiyor. Sansür-ağırlıklı ülkelerdeki ISP'ler (Çin, İran, Rusya, BAE) bilinen VPN protokollerini aktif blokluyor. Çoğu demokrasideki ISP'ler VPN trafiğini bloklamıyor, bazıları peering anlaşmazlıkları veya tıkanıklık sırasında throttle ediyor.

ISP'im verimi satıyor mu?

ABD'de, spesifik olarak opt-out yapmadıysan muhtemelen evet. İngiltere ve Avustralya'da daha az ticari kullanım ama zorunlu hükümet-erişim tutma. AB'de GDPR ticari kullanımı sınırlıyor. Ülke spesifikleri değişiyor.

Evde VPN kullanmalı mıyım?

ISP'in tarama görünürlüğünü önemsiyorsan, evet. Önemsemiyorsan, ISP-gizlilik nedenleriyle ihtiyacın yok. Sana uygulanan veya uygulanmayan başka sebepler olabilir (geo-bypass, seyahat ederken halka açık Wi-Fi koruması, sansür aşma).

Fexyn'i 7 gün ücretsiz dene — trial için kart yok. No-logs politikası "no-logs"un gerçekte ne anlama geldiğini kapsıyor.

Son inceleme 2026-05-09.

ISP'in seni izliyor | Fexyn VPN