Amerika Birleşik Devletleri'nde (ABD) bir ilk yaşanıyor. Utah eyaleti, 6 Mayıs itibarıyla yürürlüğe giren yeni yasasıyla, kullanıcıların konumlarını gizlemek için kullandığı VPN (Sanal Özel Ağ) kullanımına karşı önemli bir adım atıyor. 'Online Yaş Doğrulama Düzenlemeleri' adı verilen ve Senato'nun 73 numaralı tasarı olarak bilinen bu düzenleme, eyaletin yaş doğrulama mevzuatının bir parçası olarak VPN kullanımını açıkça hedef alıyor.
Vali Spencer Cox tarafından 19 Mart'ta imzalanan bu tartışmalı yasa, bir kullanıcının bir web sitesine Utah'tan eriştiği takdirde, IP adresini gizlemek için VPN veya vekil sunucu kullanıp kullanmadığına bakılmaksızın o bölgede bulunduğu varsayılıyor. Ayrıca, ilgili web sitelerinin yaş kontrollerini aşmak için VPN kullanımına dair talimatları paylaşmasını da yasaklıyor.
Teknoloji ve gizlilik savunucuları tarafından tepkiyle karşılanan bu yasanın, web siteleri için bir 'çözülemez uyumluluk paradoksu' ve 'sorumluluk tuzağı' oluşturduğu belirtiliyor. Çünkü bu yasa, kimliklerini gizlemek için tasarlanmış araçları kullanan kullanıcıları tespit etmekten sorumlu tutuluyor. Uzmanlar, bu hukuki riskin siteleri ya bilinen tüm VPN IP'lerini engellemeye ya da tüm ziyaretçiler için küresel çapta yaş doğrulaması zorunlu kılmaya itebileceği konusunda uyarıyor.
Yasanın teknik olarak da bazı kusurları bulunuyor. Web sağlayıcılarının VPN trafiğini güvenilir bir şekilde tespit edebileceği ve kullanıcının gerçek fiziksel konumunu belirleyebileceği varsayımına dayanıyor. Ancak bu, pratikte mümkün değil. MaxMind ve IP2Proxy gibi IP itibarı veri tabanları bilinen veri merkezi IP aralıklarından gelen trafiği işaretleyebilse de, ticari VPN sağlayıcıları adreslerini sürekli olarak değiştiriyor ve konut VPN uç noktaları standart ev bağlantılarından büyük ölçüde ayırt edilemiyor. Otonom Sistem Numarası analizi, veri merkezi ağlarından kaynaklanan trafiği tespit edebilse de, örneğin sıradan web barındırma ile aynı altyapı üzerinden yönlendirilen bir bulut VPS'de çalışan kişisel bir WireGuard tünelini tanımlayamıyor.
VPN protokol imzalarını güvenilir bir şekilde tespit eden tek yöntem, trafiği ağ düzeyinde analiz eden derin paket incelemesidir. Bu tür bir inceleme, sistem veya uygulama düzeyinde değil, ağ düzeyinde gerçekleştirilir. Çin'in Büyük Güvenlik Duvarı ve Rusya'nın TSPU sistemi, İnternet Servis Sağlayıcıları (İSS) aracılığıyla derin paket incelemesi uygular. Ancak bir web sitesi operatörü, kullanıcının ve sunucunun arasındaki ağ altyapısına erişimi gerektirdiği için bunu uygulayamaz; bu, sunucunun kendisinde değil, kullanıcı ve sunucu arasındaki ağ katmanında gerçekleşir.
Bu arada, herhangi bir büyük bulut sağlayıcısında kişisel bir WireGuard örneği kurmak sadece birkaç dakika sürüyor. Bu durum, yasanın öncelikle gazeteciler, otoriter rejimler altında yaşayanlar, siyasi muhalifler ve istismar mağdurları gibi meşru gizlilik için ticari VPN hizmetlerine güvenen teknik bilgisi az olan kullanıcıları olumsuz etkilemesi daha olası hale getiriyor.
Utah, imkansızı yasalaştırmaya çalışan tek yer değil. Birleşik Krallık'ta Lordlar Kamarası, ocak ayında yaptığı oylamada 18 yaş altı bireyler için VPN hizmetlerini yasaklama yönünde oy kullandı ve bu değişiklikler şimdi Avam Kamarası'nda görüşülecek. Geçen yıl temmuz ayında yaş doğrulama uygulamasının başladığı ilk gün VPN kullanımında %1.400'ün üzerinde bir artış yaşandığı görüldü. Öte yandan, Fransa'nın dijital işler bakanı, VPN'lerin 'bir sonraki hedefinde' olduğunu belirtti. Wisconsin de bu yılın başlarında benzer VPN hükümlerini değerlendirdi ancak yoğun tepki nedeniyle bunları rafa kaldırdı.
Bugüne kadar VPN trafiğini başarıyla engelleme konusunda ilerleme kaydedebilen ülkeler, yalnızca İSS düzeyinde gözetim uygulayan otoriter rejimler oldu.
