Fransa’da hükûmet çalışanlarına yabancı menşeli mesajlaşma uygulamalarını telefonlarından kaldırmaları yönünde bir genelge yayımladı.
Başbakan Elisabeth Borne tarafından yayımlanan genelgede, devlet çalışanlarına Signal, WhatsApp ve Telegram gibi yabancı mesajlaşma uygulamalarını kaldırmaları talep edildi. Çalışanlara bunların yerine Fransa’da geliştirilen Olvid uygulaması tavsiye edildi.
Genelge bakanları, devlet sekreterlerini ve daire başkanlarına gönderildi. Daha çok tavsiye niteliğindeki genelge bir yasaklama anlamına gelmiyor.
Uçtan uca şifreleme özelliği olan Olvid uygulamasına kaydolmak için cep telefonu numarası girmek gerekmiyor.
Son yapılan araştırma Almanya’nın, Rus anlık mesajlaşma uygulaması Jabber’ı takip ettirdiğine ilişkin şüpheleri artırmıştı. Rus siber güvenlik araştırmacıları, sunucuları Almanya’da bulunan Rusya kökenli bir anlık mesajlaşma servisini gizlice dinlemeye yönelik bir hükûmet girişimi keşfetmişti.
Facebook’un daha güvenli olduğu gerekçesiyle geçmeyi planladığı uçtan uca şifreleme (E2EE) sistemi İngiltere’de çocuklar için risk oluşturacağı gerekçesiyle tepkiyle karşılanıyor.
İngiltere’de hükümet ve bir grup yardım kuruluşu halka, Facebook’a, haberleşme hizmeti Messenger’a “uçtan uca şifre” (E2EE) koymaması için baskı yapmaya çağırıyor.
Facebook’un “ultra güvenli mesajlaşma sistemini” getirmesi halinde, daha fazla çocuğun internette taciz riski altına gireceği belirtiliyor.
Mahremiyet savunucuları ve teknoloji şirketleri ise, sistemin kişisel mahremiyet ve veri güvenliği için gerektiğini söylüyorlar. İngiltere’de başlayan mücadele, dünya genelinde birçok hükümet bu haliyle uçtan uca şifrelemeye son vermek isterken, yakından izleniyor.
Yıllardır, İngiltere, Avustralya, Kanada, Yeni Zelanda, ABD, Hindistan ve Japonya ile Interpol ve İngiltere’nin suçla mücadele kurumu NCA teknolojiyi eleştirdi.
Bu arada WhatsApp, iMessage ve Signal kullanan milyarlarca kişi uçtan uca şifreleme teknolojisini benimsedi.
ŞİFRELEME İNTERNET BANKACILIĞINDA ÖNEMLİ
Şifreleme, yazılanları okunmaz hale getirmek için veriyi karıştırma yöntemi olarak biliniyor. İnternet bankacılığı ve e-posta gibi hassas internet işlemlerinde bu özellikle önemli. Sistem bir internet sitesi ya da uygulama ve cihazlarımız arasında gizli bir şifre üzerinde anlaşılmasıyla çalışıyor. İnternet üzerinden ilgili hizmetlere gönderdiğimiz tüm bilgiler, gönderilmeden önce şifreleniyor.
İletişim kurduğumuz şirkete ulaştığında, üzerinde uzlaşılan gizli şifreyle, deşifre ediliyor. Bu şifreleme çeşidini herkes memnuniyetle karşılıyor, çünkü internet üzerinde dolaşırken bilgilerimizi bilgisayar korsanlarından ve suçlulardan koruyor.
Ancak bu veriler, bilgileri işleyen şirketler tarafından okunabiliyor ve güvenlik güçleri ya da polis şirketin sakladığı herhangi bir mesajı şirketlerden isteyebiliyor.
UÇTAN UCA ŞİFRELEMEDE VERİ İŞLEYEN DE KODU BİLMİYOR
Uçtan uca şifreleme ise bir adım daha ileri gidiyor. Gönderici ve alıcının üzerinde uzlaştığı gizli kod o kadar gizli ki, veriyi işleyen şirket bile kodu bilmiyor. Bu durum da sadece alıcının mesajları, fotoğrafları ve aramaları deşifre edebilmesi anlamına geliyor.
Sistemin nasıl işlediğini anlamanın en kolay yolu, postadan sadece sizin okuyabileceğiniz bir mektup almayı istediğinizi düşünmek.
Birisine anahtarına sadece sizlerin sahip olduğunuz bir kutu gönderiyorsunuz. İçine mektuplarını koyuyorlar ve kutuyu kapattıklarında kilitliyorlar. Daha sonra açmanız için size türünün tek örneği olan anahtarı gönderiyorlar. Kilitli kutunun dijital versiyonu “Kamuya açık anahtar” diye bilinirken, size has olan anahtar “özel anahtarınız” diye anılıyor.
Sistem, verileri herkesten sakladığı için mahremiyetine önem verenler tarafından çok seviliyor. Mesajlaşma şirketi bile gönderdiğiniz verileri deşifre edemiyor.
Ancak yetkili makamlar, suç faaliyetlerinden şüphelenseler bile mesajları okumalarının, fotoğrafları görmelerinin ya da konuşmaları dinlemelerinin hiçbir yolu olmadığı için bu sistemi sevmiyor.
UÇTAN UCA ŞİFRELEMENİN RİSKLERİ
İngiltere’deki kampanyada çocuklar üzerindeki potansiyel tehlikelere odaklanılıyor. No Place to Hide (Saklanacak Yer Yok) adı verilen kampanyanın sözcüsü E2EE’yi devreye sokmanın “internette çocukları taciz edenleri tespit etme kabiliyetini yitirmek” olduğunu söylüyor.
Polisin, tacizcilerin Facebook Messenger üzerinden çocuklara gönderebilecekleri herhangi bir mesajı okuyamayacağını söylüyorlar.
Bir kampanya sözcüsü “Sosyal medya platformlarına, uçtan uca şifrelemeyi sadece, bunun sonucunda çocukların tehlikeye girmesini önleyecek teknolojiye sahip olduklarında devreye sokacaklarına yönelik bir taahhütte bulunma çağrısı yapıyoruz.” dedi.
ABD Ulusal Kayıp ve İstismar Edilen Çocuklar Merkezi’ne (NCMEC) göre, 2020’de çocukların cinsel tacizini gösteren içeriklerin sosyal medyada paylaşıldığına dair 21,7 milyon ihbar alındı.
Karşıtları, uçtan uca şifrelemenin daha yaygın kullanılması halinde, bu ihbarlardan 14 milyonunun alınamayacağını söylüyor.
Ayrıca, çocukları ve mahremiyeti aynı anda korumak adına çözümler bulmak için teknoloji şirketleriyle birlikte çalışmak istiyorlar.
Meta veri kısaca veri hakkında veri olarak özetlenebilecek bir bilgi türü. Peki meta verilerin meta verilerinin paylaşılması mümkün mü? Konuyla ilgili olarak wired.com’da bir yazı kaleme alan Wafa Ben-Hassine ve Anamitra Deb sorunun cevabının evet olduğunu düşünüyor ve ekliyor: “Meta verilerin meta verilerini” paylaşmak, güvenlik arka kapılarına izin vermeden dezenformasyon ile mücadele noktasında büyük önem taşıyor.
Signal ve WhatsApp gibi gerçek zamanlı, şifreli sohbet uygulamaları ve dünya çapında beş kişiden ikisi tarafından kullanılan Telegram, WeChat ve Messenger gibi mesajlaşma uygulamaları gizliliğin korunmasına yardımcı oluyor ve sosyal çevremizle organize olma, özgürce konuşma ve yakın temas kurma hakkımızı kullanmamızı sağlıyor.
DEZENFORMASYON VE NEFRET SÖYLEMİ İÇİN
Şifreli uygulamalar, grup bağlantılarının yanı sıra kişiden kişiye iletişim noktasında kolaylık ve hız sağlamaya yönelik olarak geliştiriliyor. Ne var ki aynı uygulamalar, küfürlü içerik ve yasadışı işler ile dezenformasyonu ve nefret söylemini, sahteciliği ve dolandırıcılıkları körükleme noktasında da kullanılıyor.
2018’in başlarında, bu özelliklerin Hindistan ve Endonezya’da yaşanan düzinelerce ölümün yanı sıra Nijerya ve Brezilya’daki seçimlerde oynadığı rolü araştıran bir rapor yayımlandı. Kullanıcıların doğru olup olmadığını kontrol etmeden gelen mesajı başkalarına gönderme işgüzarlığı, dezenformasyonun hızlı, gizli ve geniş ölçekte yayılabileceği anlamına geliyor.
Bazı uygulamalar aşırı derecede büyük gruplara (200 bin kişiye kadar) izin verebiliyor ya da organize şifreli propaganda cihazlarına ev sahipliği yapıyor. Ve bazı platformlar da kar odaklı davranmak suretiyle kullanıcılarının müşteri verilerini kullanmalarına olanak sağlıyor ve bu da sonuçta gizliliğe zarar veriyor.
Bu uygulamaların yol açtığı zararlara tepki olarak, bazı devletler platformları arka kapıları uygulamaya veya istemci tarafında otomatik mesaj taramaları kullanmaya davet etti. Arka kapı, bilgisayar sistemlerinin normal güvenliğini veya şifrelemesini es geçen ve böylece bilgisayar sisteminin yetkisiz erişim ve işlemlere açık hale gelmesine yol açan bir yöntem. Ancak bu tür çözümler bireylerin temel özgürlüklerine zarar veriyor ve kullanıcıları daha büyük bir risk altına sokuyor.
Stanford Üniversitesi’nden Riana Pfefferkorn tarafından gerçekleştirilen son araştırmaların da gösterdiği gibi, ihlale sebep olan bu önlemler ve içeriğe erişime bağlı diğer geleneksel denetleme çözümleri, çevrimiçi istismarla mücadelede nadiren etkili.
ŞİFRELİ MESAJLARIN SUİSTİMAL EDİLMESİNİ ÖNLEMENİN YOLU ARKA KAPILAR DEĞİL
Araştırmaya göre şifreli mesajlaşmanın rakipler tarafından kullanılması ve suiistimal edilmesini önlemenin yolu arka kapılar değil, ürün tasarımında yapılacak değişiklikler. Halihazırda, araştırmacılar ve hukukçular mesajları yönlendirmeye getirilecek sınırları, daha iyi etiketleme ve grup boyutlarının azaltılması gibi değişikliklerin sorunlu içeriğin, örgütlü propagandanın ve suç davranışının yayılmasını ve şiddetini nasıl önemli ölçüde azaltabileceğini analiz etmiş durumda. Ancak, bu tür çalışmalar geçici çözümler kullanılarak yapılıyor. Platformlardan gelen iyi veri kümeleri olmadan, bu tür değişikliklerin gerçek dünyadaki etkinliğinin denetlenmesi zor.
Aslına bakacak olursak platformlar çok daha fazlasını yapabilir. Bu tür önemli ürün değişikliklerinin daha etkili olabilmesi için “meta verilerin meta verilerini” araştırmacılarla paylaşmaları gerekiyor. Bu, bir platformun kaç kullanıcısı olduğunu, hesapların nerede ve ne zaman oluşturulduğunu, bilgilerin nasıl yayıldığını, hangi tür iletilerin en hızlı yayıldığını, hangi iletilerin yaygın şekilde ihbar edildiğini ve kullanıcıların nasıl (ve ne zaman) atıldığını gösteren toplu veri kümelerini içerir.
Esasında, bunlar “meta veriler” olarak adlandırılan, normalde belirli bir birey hakkındaki bilgileri ifade eden ve adı, e-posta adresi, cep telefonu numarası, yakın kişiler ve hatta ödeme bilgileri gibi kullanıcılar için çok kişisel olabilen bilgiler değil. Bu tür kişisel meta verilerin gizliliğini korumak önemli, bu nedenle Birleşmiş Milletler İnsan Hakları Yüksek Komiserliği Ofisi, haklı olarak bir kullanıcının meta verilerinin çevrimiçi alanda yayımlandığında gizlilik hakkı kapsamında olduğu görüşünde.
“PLATFORMLARIN ELİNDE ÇOK DEĞERLİ BİLGİLER OLDUĞU KESİN”
Neyse ki, zararları ciddi şekilde ele almaya başlamak için bu seviyede veri türüne ihtiyacımız yok. Bunun yerine, şirketler öncelikle topladıkları meta verilerin niteliği ve kapsamı, bu verileri kiminle paylaştıkları ve ürün tasarımını ve gelir modeli seçimlerini etkilemek için nasıl analiz ettikleri konusunda araştırmacılara ve düzenleyicilere açık olmalı. Pek çok özel mesajlaşma platformunun, yeni ürün özelliklerini nasıl tasarladıkları ya da yatırımcıları ve reklam verenleri cezbederken yararlı olan muazzam bilgiler içeren bilgi hazineleri topladığını kesin olarak biliyoruz.
Elde ettikleri toplu, anonimleştirilmiş veriler, şifreleme ve gizlilikten ödün vermeden, platformlar ve araştırmacılar tarafından önemli bilgilere ışık tutmak için kullanılabilir. Bu tür toplu meta veriler, daha iyi özellikler ve tasarım seçenekleriyle güvenlik iyileştirmelerine yol açabilir.
Şu anda olduğu gibi, platformlar gönüllü olarak araştırmacılarla ve sivil toplumla güven oluşturacak şekilde paylaşma yönünde kararlılık göstermedi. Bu mesajlaşma hizmetlerini sunan çoğu şirket, pazar büyüklüğü veya yeni hesap oluşturma ile ilgili temel bilgileri bile paylaşmıyor. Örneğin, Facebook / WhatsApp, yönlendirme sınırlarının ve etiketlemenin dezenformasyonun viralitesini önemli ölçüde azalttığı bilgisini paylaşsa da o zamanlar dezenformasyon oranlarının keskin bir şekilde arttığını öne süren daha nüanslı iç analizleri paylaşmayı reddetti. Bu tür analizleri daha önceden herkese açık olarak paylaşmış olsaydı, WhatsApp’ın şeffaflık ve etkili çözümler konusundaki sicilini iyileştirmiş ve aynı zamanda diğer oyuncuları da benzer tasarım özelliklerini uygulamaya teşvik etmiş olacaktı.
META VERİLERİN META VERİLERİNİ ARAŞTIRMA ŞİRKETLERİ İLE PAYLAŞMAK FAYDALI OLABİLİR
Günümüzde yalnızca birkaç etkili teknoloji şirketinin elinde bulunan bu gücü, kâr amacı gütmeyen kuruluşlar, araştırmacılar, düzenleyiciler ve yatırımcılar da dahil olmak üzere daha geniş bir paydaş grubuna dağıtmak, toplumun sorunları daha derin bir düzeyde inceleyebilmesinin ve daha uygulanabilir çözümlere yol açabilmesinin tek yolu. Şeffaflık isteyerek ve daha iyi tasarım özelliklerine öncelik vererek, tüm platformları daha güvenilir hale getirmeye yardımcı olacak uygulamalar oluşturabiliriz.
Gizlilik ve güvenlik arasında seçim yapmak zorunda değiliz. Şirketler güvenlik önlemleri ve şeffaflığı büyüme ile çelişkili görüyorlar, ancak bu yanlış bir ikilem. Bu şirketler güçlü bir iradeye sahip olsaydı, kritik bilgileri dış paydaşlarla paylaşmakla başlayarak platformları hem daha güvenli hem de daha güvenilir hale getirmenin bir yolunu bulabilirlerdi.
WhatsApp’ın gizlilik politikasını değiştirmesi sonrası yaşanan tarihi göçte, diğer mesajlaşma uygulamalarında kullanıcıları hayal kırıklığına uğratabilecek güvenlik açıkları ortaya çıktı.
Signal, Google Duo, Facebook Messenger, JioChat ve Mocha mesajlaşma uygulamasında ortam dinlemesine izin veren güvenlik zafiyetleri keşfedildi.
Google Project Zero araştırmacılarından Natalie Silvanovich’in bulduğu güvenlik açıkları, saldırganların karşı tarafın izni olmadan cihazın bulunduğu ortamın dinlemesine imkan sağlıyor. Yedi mesajlaşma uygulamasının incelendiğini ve beş güvenlik açığının bulunduğunu belirten güvenlik araştırmacısı, zafiyetlerin hedeflenen cihazlarda kod çalıştırma ihtiyacı duyulmaksızın ses ve görüntü aktarımını mümkün kıldığını belirtti.
Söz konusu zafiyetlerle ilgili uygulama sahibi şirketler tarafından gerekli yamalar yayımlandı.
Açık bulunan Signal, Google Duo, Facebook Messenger, JioChat ve Mocha uygulamalarında görüşülen kişinin iznine gerek kalmadan dinlemeyi sağlayan zafiyetler tespit edildi.
Silvanovichi Google Project Zero’nun blog sayfasından paylaştığı yazıda “Mesajlaşma uygulamalarındaki grup arama özelliklerinde zafiyetleri henüz incelememiş olmam endişe verici. Bulunan zafiyetlerin hepsi uçtan uca aramalarda tespit edildi. Gelecekte ilave problemler ortaya çıkabilecek bir alan.” değerlendirmesinde bulundu.
Telegram ve Viber’da konuya ilişkin herhangi bir zafiyet tespit etmediğini belirten Google araştırmacısı, iki sene önce WhatsApp’da da kritik bir zafiyeti tespit etmişti. Güvenliğini açığı, saldırganlara bir arama yaparak kullanıcının uygulamasını çalışamaz hale getirme imkanı veriyordu.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
WhatsApp’ın gizlilik politikasını değiştirmesi birçok kullanıcıyı daha güvenli uygulama arayışına sevk etti. Yaşanan tarihi göçte hangi uygulamanın daha güvenli olduğu sorusu ön plana çıktı.
BBC Türkçe’de konuyu değerlendiren Kadir Has Üniversitesi Öğretim Üyesi Doç. Dr. Hamdi Akın Ünver yeni bir mesajlaşma uygulamasına geçilirken dikkat edilmesi gereken konuları sıraladı.
Bunlardan ilki, ‘uçtan uca şifreleme’ (yani mesajı gönderen ve alan kişi dışında kimsenin görememesi) özelliği. İkincisi ise uygulamaların hangi kullanıcı verilerini depoladığı ve üçüncü parti hizmetlerle paylaştığı. Bu iki konuda da öne çıkan uygulamaların başında Signal ve Telegram geliyor.
WhatsApp, iki önemli ücretsiz rakibi Signal ve Telegram gibi güçlü bir uçtan uca şifreleme özelliğine sahip. Ancak WhatsApp’ta doğrudan mesajlar şifrelense bile WhatsApp kendi sunucularında depoladığı meta-veriler (gönderici, alıcı, gönderi zamanı ve gönderen lokasyonu) şifrelenmiyor. Dahası WhatsApp’ın bu meta-verileri de reklam ve hizmet optimizasyonu için üçüncü şahısların kullanımına açtığı daha önce ortaya çıkmıştı. Bu, WhatsApp’ın güvenilirliği ile ilgili uzun zamandır sektör tarafından eleştirilen bir nokta.
SİGNAL’İN EN ÖNEMLİ AVANTAJI: KAYBOLAN MESAJLAR
Signal ise WhatsApp ‘ın uçtan uca şifreleme protokolünü daha ileri götürerek meta-verileri de şifreliyor. Böylelikle bu tip verilerin üçüncü şahıslara satılması veya verilere başka kanallar yoluyla erişilmesi -Signal dahil – mümkün değil.
Signal’in WhatsApp’a kıyasla en önemli avantajı ise daha ileri seviyede güvenlik özelliklerine sahip olması. Bunların başında “kaybolan mesajlar” özelliği geliyor. Bu özellik gönderilen ve alınan mesajların kullanıcı tarafından belirlenen süreyi geçince veya okununca otomatik olarak silinmesini sağlıyor. Bunun yanında Signal “tek gösterimlik” medya (video, fotoğraf, ses) mesajlarıyla bu tip verilerin görüldükten sonra otomatik silinmesini olası kılıyor. Ayrıca
Signal’in “açık kaynak kodlu” olması ve programcıların bu uygulamanın tam olarak verileri nasıl işlediğini çok net bir şekilde görebilmeleri de bu platformu kapalı-kod uygulamasına sahip WhatsApp’a kıyasla daha güvenli kılıyor. Signal verileri kendi sunucuları veya başka bir bulut depolama alanında yedeklenmiyor. Mesajlar sadece kullanıcının telefonunda depolanıyor. Bu da gönderici ve alıcı dışında kimsenin mesajlara erişememesini sağlıyor.
TELEGRAM: GİZLİ SOHBET ÖZELLİĞİ KULLANILMALI AMA GRUPLARDA BU AVANTAJ YOK
Bir başka önemli “uçtan uca şifreleme” özelliğine sahip uygulama ise Telegram. Her ne kadar WhatsApp’a kıyasla daha az kullanıcı meta-verisi kullansa da Telegram, Signal’den biraz daha fazla güvenlik açığına sahip. Bunların en önemlisi Telegram’da “gizli sohbet” özelliği kullanılmadığı sürece uçtan uca şifreleme olmaması.
“Gizli sohbet” uygulaması ancak iki kişi arasında yapılabiliyor ve WhatsApp ‘takine benzer çok kullanıcılı gruplarda uygulanamıyor. Ancak “gizli sohbet” özelliği kullanılmadığında mesajlar Telegram sunucularında şifrelenip yine aynı sunucularda çözümlenmesinden sonra alıcıya gönderiliyor. Şifreleme anahtarları Telegram’da depolandığı için teorik olarak “gizli sohbet” özelliği dışındaki mesajlara bu platformun erişimi olabilir. Bu konuya dönük Telegram’ın savunması, “ancak birden fazla ülkenin güvenlik kurumlarından talep geldiği takdirde” bu tip mesajlara erişim olabileceği yönünde. Bunun yanı sıra Telegram, bugüne kadar üçüncü parti uygulamalara ve güvenlik güçlerine asla veri paylaşmadığını da ekliyor. Ancak Telegram mesajları şifrelemek için MTProto2.0 adlı kendi kapalı-kod çözümleme protokolünü kullanıyor. Bu şifreleme protokolü kapalı-kod olduğu için bağımsız kriptografik analizinin yapılması mümkün değil. Bu da Telegram’ın sektör içerisinde Signal’e kıyasla daha “muğlak” kabul edilmesine yol açıyor.
Yerli mesajlaşma uygulamalarından Bilgi Teknolojileri Kurumu’nun sunduğu “Dedi”nin “Sıkça Sorulan Sorular” bölümünde, bu uygulamanın Signal baz alınarak geliştirildiği ve hiçbir kullanıcı verisini kayıt altına almadığı belirtiliyor. Mesajlar transfer amaçlı sunucularda tutulduktan sonra alıcıya iadesi gerçekleştiğinde sistemden siliniyor ve yedeklemesi alınmıyor. Bip ve Yaay’e kıyasla Dedi kodları açık kaynak olduğu için mesajların nasıl şifrelendiği ve transfer edildiğiyle kullanıcı verilerini nasıl işlediği bağımsız programcılar tarafından da denetlenebiliyor.
Kaynak: BBC Türkçe
Siber Bülten abone listesine kaydolmak için formu doldurunuz