Etiket arşivi: Telegram

Dijital Güvenlik

WhatsApp’tan yaşanan tarihi göçte en kritik soru: Hangi uygulama daha güvenli?

Yorum yapın

WhatsApp’ın gizlilik politikasını değiştirmesi birçok kullanıcıyı daha güvenli uygulama arayışına sevk etti. Yaşanan tarihi göçte hangi uygulamanın daha güvenli olduğu sorusu ön plana çıktı.

BBC Türkçe’de konuyu değerlendiren Kadir Has Üniversitesi Öğretim Üyesi Doç. Dr. Hamdi Akın Ünver yeni bir mesajlaşma uygulamasına geçilirken dikkat edilmesi gereken konuları sıraladı.

Bunlardan ilki, ‘uçtan uca şifreleme’ (yani mesajı gönderen ve alan kişi dışında kimsenin görememesi) özelliği. İkincisi ise uygulamaların hangi kullanıcı verilerini depoladığı ve üçüncü parti hizmetlerle paylaştığı. Bu iki konuda da öne çıkan uygulamaların başında Signal ve Telegram geliyor. 

WhatsApp, iki önemli ücretsiz rakibi Signal ve Telegram gibi güçlü bir uçtan uca şifreleme özelliğine sahip. Ancak WhatsApp’ta doğrudan mesajlar şifrelense bile WhatsApp kendi sunucularında depoladığı meta-veriler (gönderici, alıcı, gönderi zamanı ve gönderen lokasyonu) şifrelenmiyor. Dahası WhatsApp’ın bu meta-verileri de reklam ve hizmet optimizasyonu için üçüncü şahısların kullanımına açtığı daha önce ortaya çıkmıştı. Bu, WhatsApp’ın güvenilirliği ile ilgili uzun zamandır sektör tarafından eleştirilen bir nokta.

SİGNAL’İN EN ÖNEMLİ AVANTAJI: KAYBOLAN MESAJLAR

 Signal ise WhatsApp ‘ın uçtan uca şifreleme protokolünü daha ileri götürerek meta-verileri de şifreliyor. Böylelikle bu tip verilerin üçüncü şahıslara satılması veya verilere başka kanallar yoluyla erişilmesi -Signal dahil – mümkün değil. 

Signal’in WhatsApp’a kıyasla en önemli avantajı ise daha ileri seviyede güvenlik özelliklerine sahip olması. Bunların başında “kaybolan mesajlar” özelliği geliyor. Bu özellik gönderilen ve alınan mesajların kullanıcı tarafından belirlenen süreyi geçince veya okununca otomatik olarak silinmesini sağlıyor. Bunun yanında Signal “tek gösterimlik” medya (video, fotoğraf, ses) mesajlarıyla bu tip verilerin görüldükten sonra otomatik silinmesini olası kılıyor. Ayrıca 

Mazlum Kobani’ye ‘mavi tık’ veren Twitter, Hamas’ın hesaplarını kapattı

Signal’in “açık kaynak kodlu” olması ve programcıların bu uygulamanın tam olarak verileri nasıl işlediğini çok net bir şekilde görebilmeleri de bu platformu kapalı-kod uygulamasına sahip WhatsApp’a kıyasla daha güvenli kılıyor. Signal verileri kendi sunucuları veya başka bir bulut depolama alanında yedeklenmiyor. Mesajlar sadece kullanıcının telefonunda depolanıyor. Bu da gönderici ve alıcı dışında kimsenin mesajlara erişememesini sağlıyor.

TELEGRAM: GİZLİ SOHBET ÖZELLİĞİ KULLANILMALI AMA GRUPLARDA BU AVANTAJ YOK

 Bir başka önemli “uçtan uca şifreleme” özelliğine sahip uygulama ise Telegram. Her ne kadar WhatsApp’a kıyasla daha az kullanıcı meta-verisi kullansa da Telegram, Signal’den biraz daha fazla güvenlik açığına sahip. Bunların en önemlisi Telegram’da “gizli sohbet” özelliği kullanılmadığı sürece uçtan uca şifreleme olmaması. 

“Gizli sohbet” uygulaması ancak iki kişi arasında yapılabiliyor ve WhatsApp ‘takine benzer çok kullanıcılı gruplarda uygulanamıyor. Ancak “gizli sohbet” özelliği kullanılmadığında mesajlar Telegram sunucularında şifrelenip yine aynı sunucularda çözümlenmesinden sonra alıcıya gönderiliyor. Şifreleme anahtarları Telegram’da depolandığı için teorik olarak “gizli sohbet” özelliği dışındaki mesajlara bu platformun erişimi olabilir. Bu konuya dönük Telegram’ın savunması, “ancak birden fazla ülkenin güvenlik kurumlarından talep geldiği takdirde” bu tip mesajlara erişim olabileceği yönünde. Bunun yanı sıra Telegram, bugüne kadar üçüncü parti uygulamalara ve güvenlik güçlerine asla veri paylaşmadığını da ekliyor. Ancak Telegram mesajları şifrelemek için MTProto2.0 adlı kendi kapalı-kod çözümleme protokolünü kullanıyor. Bu şifreleme protokolü kapalı-kod olduğu için bağımsız kriptografik analizinin yapılması mümkün değil. Bu da Telegram’ın sektör içerisinde Signal’e kıyasla daha “muğlak” kabul edilmesine yol açıyor. 

YERLİ UYGULAMALARDAN DEDİ SİGNAL BAZ ALINARAK GELİŞTİRİLDİ

Yerli mesajlaşma uygulamalarından Bilgi Teknolojileri Kurumu’nun sunduğu “Dedi”nin “Sıkça Sorulan Sorular” bölümünde, bu uygulamanın Signal baz alınarak geliştirildiği ve hiçbir kullanıcı verisini kayıt altına almadığı belirtiliyor. Mesajlar transfer amaçlı sunucularda tutulduktan sonra alıcıya iadesi gerçekleştiğinde sistemden siliniyor ve yedeklemesi alınmıyor. Bip ve Yaay’e kıyasla Dedi kodları açık kaynak olduğu için mesajların nasıl şifrelendiği ve transfer edildiğiyle kullanıcı verilerini nasıl işlediği bağımsız programcılar tarafından da denetlenebiliyor.

Kaynak: BBC Türkçe

 

Siber Bülten abone listesine kaydolmak için formu doldurunuz

Dijital Güvenlik, Kritik Altyapı Güvenliği

Hindistan ordusundan yerli ve ‘güvenli’ mesajlaşma uygulaması

Yorum yapın

Hindistan ordusu, “Kendi kendine yeten Hindistan” sloganıyla  yerli ‘güvenli mesajlaşma uygulaması’ geliştirdi.

“Kendi kendine yeten Hindistan” anlamına gelen ‘Atmanirbhar Bharat’ kampanyası kapsamında Hindistan ordusu “İnternet için Güvenli Uygulama (Secure Application for the Internet) adlı güvenli bir mesajlaşma uygulaması üretti.

UÇTAN UCA ŞİFRELEME ÖZELLİĞİ VAR

Hindistan Savunma Bakanlığından yapılan açıklamada, internet üzerinde Android platformlarda oluşturulan bu uygulamanın sesli, yazılı ve görüntülü konuşmaları uçtan uca şifrelediği belirtildi.

Açıklamada, “SAI” uygulamasının, WhatsApp, Telegram, SAMVAD ve GIMS gibi mevcut mesajlaşma uygulamalarına benzediği ve uçtan-uca şifreleme mesajlaşma protokolünü kullandığı duyuruldu. Açıklamada ayrıca, “Yerel servis sunucuları ve kodlama ile ilgili güvenlik özellikleriyle ilgili ince ayarlamalar değerlendiriliyor.” ifadelerine yer verildi.

İki yıl sonra ortaya çıktı: Apple, uçtan-uca şifrelemeden neden vazgeçti?

NEREDE KULLANILACAK?

Bu ihtiyaç ordu yetkililerinin birbirleriyle iletişim kurmak için ticari mobil uygulamaları kullanmasının, güvenliği tehlikeye atacağı endişelerinden kaynaklanıyor. 2020 yılının başlarında Hindistan Ordusu, Facebook, Truecaller, Instagram gibi popüler uygulamaları ve PUBG gibi oyunları, ordu mensuplarının cep telefonlarından silmesine yönelik 89 uygulamayı yasaklayan bir ‘emir’ yayınlamıştı. Bu yasaklamaların, hassas ulusal güvenlik bilgilerinin sızmasını engellemek için tasarlandığı söylenmişti.

Bu uygulama ise, ordu mensupları arasında güvenli iletişim için kullanılacak.

UZMAN KADRO TARAFINDAN İNCELENİYOR

Açıklamada uygulamanın, bilgisayar güvenliği olaylarını ele alan (Computer Emergency Response Team) uzman gruplardan oluşan bilgisayar acil güvenlik ekipleri ve Ordu Siber Grubu (Army Cyber Group) tarafından incelendiği bildirildi. Fikri Mülkiyet Hakları (IPR) başvurusu, altyapıyı NIC’de barındırma ve iOS platformunda çalışma sürecinin şu anda devam ettiği ifade edildi.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

Dijital Güvenlik

Şiddetli gösterilerin olduğu Belarus’ta muhalefet internet yasaklarını Telegram’la aşıyor

Yorum yapın

Belarus’ta geçtiğimiz hafta gerçekleşen seçimler sırasında internetin yavaşlaması elbette tesadüf değildi. Mevcut Cumhurbaşkanı Aleksandr Lukashenka’nun yüzde 80’e varan oy oranı ile altıncı kez başkanlığa seçilmesi, seçimlere hile karıştırıldığı iddialarını gündeme getirmişti. Başta başkent Minsk olmak üzere Lukashenka karşıtı geniş çaplı protestolar hala devam ederken, internet yasağının bu protestolarla aynı zamana denk gelmesi dikkat çekti.

Protestoların yoğunluk kazandığı üç gün boyunca devam eden internet erişimindeki yavaşlama, 12 Ağustos’a kadar devam etti. Birçok siteye erişimin kısıtlandığı bu üç günlük süreçte Telegram’a erişimde ise büyük bir zorluk yaşanmadı. Rusya’da geliştirilen ve şimdilerde Dubai merkezli faaliyet gösteren Telegram uygulaması Whatsapp’ın rakibi olarak biliniyor. Telegram’ın internet kısıtlamasından ‘sıyrılması’, uygulamanın muhaliflerin ve bilgi edinme özgürlüğüne sahip çıkan vatandaşların elinde önemli bir araca dönüşmesine neden oldu.

FT: Türkiye internet üzerinde kontrolü artırıyor

Belarus Gazeteciler Birliği Başkan Yardımcısı Andrey Bastunets’e göre Telegram, söz konusu süreçte bilgi ve eylem planlarının dağıtıldığı bir mecra haline geldiğinden sokaklara ve meydanlara çıkan insanların eylemlerini önemli ölçüde koordine etti. Hatta iş bununla sınırlı kalmadı. Nitekim, Bastunets’e göre Telegram protestoları organize etmek için birleşik muhalefet karargahından inisiyatif aldı.

Almanya, WhatsApp mesajlarını hacklemeye hazır

Kısıtlamanın kaynağı Deep Packet Inspection mı?

Lukashenka ve diğer yetkililer internet kesintisinin sebebini yabancı kaynaklı ‘Dağıtık Hizmet Engelleme’ olarak bilinen DDoS saldırısı olduğunu iddia etse de, internet özgürlüğü konusunda girişimleri olan NetBlocks adlı sivil toplum örgütü, kesintilerin yetkililerin uzun süredir planladığı bir çabanın sonucu olduğu konusunda emin.

Belarus hükümeti 2018’de, Çin ve İran tarafından istenmeyen İnternet trafiğini engellemek için kullanılan ve “derin paket incelemesi” (deep packet inspection) yapabilen ekipmanı satın almak için 2,5 milyon dolarlık bir ihale açmıştı. ‘Derin Paket İncelemesi’ bir internet erişim şekli ve hangi sitelere, hangi konumlardan, hangi zamanlarda ve hangi hızlarla girilebileceğini düzenliyor. Bütün katmanlarda inceleme yapabilen paket sayesinde, herhangi bir network çok detaylı bir şekilde yönetilebilmekte.

Telegram: Anti-sansür araçlarımızı etkin hale getirdik

Sistemin yaz boyunca denenmiş olabileceği belirtiliyor. 19 Haziran’da Belaruslu kullanıcılar Telegram ve Viber dahil olmak üzere birçok internet hizmetine erişimde güçlük yaşadıklarını bildirmişlerdi. 15-16 Temmuz’da ise VPN sürücülerine erişim geçici olarak engellenmişti. O dönemde hükümet sorunların Rusya ve Polonya‘daki teknik sıkıntılardan kaynaklı olduğunu iddia etmişti.

Kendi VPN sunucunuzu 15 dakikada yapmanız mümkün!

Peki Telegram, birçok internet hizmetini etkileyen kısıtlamaları nasıl deldi?

Telegram, Belarus’taki siyasi kriz sırasında hizmetini sürdürmek için protokollerini uyumlu hale getirerek büyük ölçüde başarılı oldu. Telegram’ın yaratıcısı ve kurucularından Pavel Durov, 10 Ağustos’ta attığı bir twitte “Belarus’taki anti-sansür araçlarımızı etkinleştirerek Telegram’ın birçok kullanıcı için erişilebilir durumda kalmasını sağladık” dedi. Durov buna rağmen bağlantının hala stabil olmadığını da sözlerine ekledi.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

 

Siber Güvenlik

Almanya, WhatsApp mesajlarını hacklemeye hazır

Yorum yapın

Hükümetin geçtiğimiz ay polise şüphelilere ait cihazları hackleme yetkisi veren bir yasayı kabul ettiği Almanya’da yeni sızan bir belge insan hakları örgütlerini ayağa kaldırdı.  Netzpolitik adlı bağımsız haber kuruluşunun ifşaa ettiği belgeye göre Alman emniyeti, yakın bir zamanda cep telefonlarına izleme programları yükleyecek teknolojiye sahip olacak.

Uzaktan İletişim Dinleme Yazılımı’nın (RCIS) yeni versiyonu yıl sonundan önce Alman polisinin hizmetine girecek. Polis, bu casus yazılımın kullanımına ilişkin yasal zorlukları aşmak içinse özel şirketleri kullanacak.  Yazılıma, yasanın tanıdığı yetkilerin çok ötesinde kullanılarak suistimal edilebileceği gerekçesiyle tepki büyük.

RCIS 2.0, halefinin aksine sadece desktop bilgisayarları değil, Android, iOS ve Blackberry işletim sistemine sahip tüm mobil cihazları takip ve dinleme için kullanılabilecek. Yazılım, mesajlaşma ve görüşme için yaygın olarak kullanılan WhatsApp ve Telegram’ın şifreleme duvarını telefonları hackleyerek aşacak.

İlgili haber >> İngiltere, uçtan uca şifrelemeyi sınırlandırmak istiyor

Netzpolitik’in sızdırdığı belge, polise şüphelileri hackleme yetkisinin geçtiğimiz ay verilmesine rağmen RCIS 2.0’ın, 2016 yılı başından bu yana geliştirilmekte olduğunu ortaya koyuyor. Dolayısıyla polisin zaten geliştirmekte olduğu bir teknolojinin kullanımına yasal meşruiyet sağlanması için hükümete baskı yaptığı anlaşılıyor.

Netzpolitik’e konuşan Chaos Computer Club sözcüsü Falk Garbsch, ülkede güvenlik-özgürlük dengesi tartışmalarını yeniden alevlendiren casus yazılım planına tepki gösterirken, “Sanki devletin vatandaşların dijital beyinlerini hacklemesi normalmiş gibi bir virüs cephaneliği inşaa ediliyor.” diyor.

MEŞRUİYET SORUNUNA ‘ÖZEL’ ZIRH

Belge, Alman polisinin RCIS’ı yedekleme amacıyla özel bir şirket tarafından geliştirilen FinSpy adlı dinleme-takip  programını satın aldığını gösteriyor. Gamma International tarafından geliştirilen FinSpy, SMS’ler ve diğer mesajlaşma hizmetleri üzerinden yapılan tüm telefon görüşmeleri ve yazışmalarını kayıt altına alabiliyor, telefounun mikrofonu ve kamerasını açabiliyor, cihazın gerçek zamanlı olarak izlenmesine imkan tanıyor.

İlgili haber >> İran, Whatsapp’a dava açtı

Özel bir şirket tarafından geliştirilen bir casus yazılımı kullamanın polise ilave faydaları var. Polis böylelikle daha az yasal sorumluluk alıyor. Bu sayede devlet, uygulamanın meşruluğu hakkında bir rapor yazmak zorunda kalmıyor.

Bu konuya dikkat çeken Alman Korsan Partisi’nden Frank Herrmann, “İşte bu yüzden yetkililer dışarıdan yazılım kullanmayı seviyor.Çünkü herşeyi bilemezsin. Her zaman sorululuğu öteleyebilirsiniz. Gelecekte bir noktada bunun yasal olup olmadığı konusunda bir mahkeme süreci başlayacaktır. Özel sunucular sayesinde birçok şeyi saklayabilirsiniz. ” diye konuştu. Halkı bu konuda uyanık olmaya çağırırken,“Teknolojik müdahale, sadece bir telefon görüşmesini dinlemekten çok daha kötüdür.” uyarısını yaptı.

HACKLEME PROGRAMI SATIŞINDA ARTIŞ VAR

Frank Herrmann casus yazılımın meşruiyetinin sorunlu olduğuna işaret ederek, mevcut yasanın kullanıcının cihazı üzerinde herhangi bir değişilik yapılmasına izin vermediği için, virüs yüklemenin de teknik olarak yasa dışı olacağını ifade ediyor.

İngiltere merkezli sivil toplum örgütü olan Privacy International uzmanlarından Edin Omanovic de polise hackleme yetkisinin yasallaştırılması konusunda Avrupa ülkelerinde giderek artan bir trend olduğunu söylerken, hatta bazı ülkelerde uygulamaya geçildiğini kaydediyor. Örnek olarak da İngiltere’yi veriyor.  Omanovic, “Bu özelleştirilmiş hackleme araçlarının satışında son birkaç yıldır artış görüyoruz. Ve bu tür programların hükümetler tarafından kötüye kullanıldığının örnekleri var. Örneğin Bahreyn’de insan hakları aktivistleri ve avukatlarının hedef alınması için FinSpy’ın kullanıldığına dair deliller var.” şeklinde konuşuyor.

Siber Bülten abone listesine kaydolmak için doldurunuz!