ICT Media
Dünyanın en yaygın mesajlaşma uygulaması WhatsApp’ın 8 Şubat itibariyle değiştireceğini söylediği yeni kurallar ve Facebook ile veri paylaşımı yeni bir tartışma başlattı. Kullanıcılar Telegram, Signal, viber gibi farklı mesajlaşma programlarına yönelirken hangi uygulamanın daha güvenli olduğu merak konusu. CineBird’den Suat Koyuncu, WhatsApp’la birlikte Telegram ve Signal uygulamanın öne çıkan özelliklerini değerlendirdi:
“Şu anda WhatsApp (hem mobile hem de Web) kullanıcısıyım. İki sene öncesine kadar WhatsApp’ın hem Web hem de Business sürümlerinin beta tester’ı idim. Telegram’ın da 2 senedir kullanıcısıyım. Dün de Signal’i ilk kez kurup denedim. İyi bir kullanıcı, ortalama bir beta tester ve bilgileri 10-15 sene öncesinde kalan bir yazılımcı ve kötü bir mobile kullanıcısıyım. Dolayısıyla yazacaklarımı çok da ciddiye almamanızı rica edeceğim. Sadece sade ve basit bir kullanıcının kendine göre yorumları.
Burada, bu yazıda, bu üç uygulama tarafından sunulan güvenlik ve gizliliği anlatmaya çalışacağım: WhatsApp (Business), Telegram ve Signal. Üçü de şifreleme bazlı, dosya, ses, görüntü, video iletimi ve paylaşımı ve anında haberleşme hizmeti sunuyor. Üçü de platformlar arası (iOS, macOS, Android, Windows, Linux) mesajlaşmayı destekliyor ve ikili ve grup sohbetleri hizmeti sunuyor.
Hangi platformu kullanırsanız kullanın, görüşmelerin iki kullanıcı arasında olduğunu ve söz konusu hizmeti veren firmanın iletişimin içeriğini kontrol etmemesinin önemli olduğunu da özellikle belirtmem gerekir. Siz yazdıktan sonra silseniz bile gönderdiğiniz mesajların da, gönderilen dosyaların da karşı tarafta da kalacağını da unutmayın. Ama daha önemlisi her ne kadar da karşılıklı şifrelenen iletişimin hizmeti veren firmanın sunucularında da bulunduğunu unutmayın.
WhatsApp’te Güvenlik
Facebook WhatsApp’ı izlemeyeceğini garanti etmişti ilk satın aldığı dönemlerde. Ancak “siz bir ürünü beleşe kullanıyorsanız aslında ürün sizsinizdir” diye bir laf var. Facebook da kampüs içi haberleşme paylaşma ortamı olarak başlamıştı. Sorun güvenlikte. WhatsApp’ın normal sürümü de, Business sürümü de, Web sürümü de aslında size beleşe bir uygulama (app) veriyorsa aslında o ürünü size vermekle “sizi satıyor.”
Geçen senelerde beleşe gönüllü beta testerlığını yaptığım Web ve Business sürümlerinde sunulan özellikler insana cazip geliyor elbette. WhatsApp’ın Business sürümünde aynı telefonda iki hesabı kullanma, önceden tanımlanmış hazır cevaplar gibi standart sürüme göre ek ve güzel beceriler, imkânlar da var. Ancak güvenlik söz konusu olduğunda normal, bildiğiniz standart WhatsApp’tan farklı değil.
WhatsApp’te en çok abartılan özelliği uçtan uca şifreleme. Open source yani açık kaynaklı bir protokolü kullansa da, açık kaynaklı Signal protokolüne dayansa da okuduğum kaynaklar aralarında önemli farklılıklar olduğunu söylüyor. WhatsApp kendi kodunu çok iyi sakınıyor ve WhatsApp’ın şifrelemesinin kırılabildiğine dair hiçbir kanıt da olmamasına rağmen, gerçek şu ki, teknolojisi o kadar kolay incelenemiyor.
Bağımsız kurumlarca da doğrulamanın bir yolu yordamı olmadığından dolayı sadece Facebook’a güvenmek kalıyor ki, bu da bir nevi kuzuyu kurda emanet etmek gibi. Ayrıca başkaca yerlerde kullanmak üzere biz kullanıcıların bilgilerini de toparlıyor: Bu bilgiler, adres defterimiz, IP adreslerimiz, bağlantı yaptığımız kurumlar gibi diğer metaverileri içerir ve sahibi de Facebook olduğu için diğer uygulamalar, kurumlar ile de paylaşılıyor. Bu da, özellikle Facebook reklamlarını ve ürün deneyimlerini geliştirmek incelemek ve analiz edip yorumlamak için veriler Facebook profillerimizle bağlantılı olduğundan, güvenlik uygulamalarını ciddi şekilde sorgulamamıza yol açıyor.
Kullanıcı yaptığı yedeklemelerden vazgeçme özgürlüğüne sahip gibi görünse de herşeyi Zuckerberg’e emanet diyorsunuz. Kime, ne sattığını bilemezsiniz. Gerçekten neyin uçtan uca şifrelendiği ve neyin yedeklendiği konusunda sıfır şeffaflığa sahipsiniz yani hiçbir denetiminiz yok. En basitinden diyelim ki uçtan uca şifreleme güvenli ama sonuçta bu veriler bir bulutta saklanıyor ve bulut depoda saklanan verileriniz oraya erişebilen bilgisayar korsanlarına da karşı savunmasız. Yani banka kasasında saklanan verilerinizi soyguncu soyabilir ama banka size o mücevheri size geri verse de aynı elmas kolye hırsızın da boynunda olacak.
Telegram Güvenliği
Telegram, kendi özel mesajlaşma protokolünü kullanarak hizmet sağlıyor. Bu arada Telegram da açık kaynak kodlu olmadığı ve de harici şifrelemecilerin incelemesinden yoksun olduğunu da belirtmekte fayda var.
Cloud Chat, varsayılan bir mesajlaşma yöntemidir ve e2e (uçtan uca) şifrelemesi sunmaz. Tüm sohbetler, dosyalar Telegram'ın kendi sunucularında saklanır ve yerleşik bir bulut yedeklemesinde yedeklenir. Bu da Telegram'ın şifreleme anahtarlarını kendinde tuttuğu ve bu tür konuşmaları da okuyabileceği anlamına gelir. Cloud Chat'in tek olumlu yanı, cihazlar yani kullanıcılar arasında karşılıklı senkronizasyon yapmanıza izin vermesi.
Telegram standart olarak uçtan uca şifreleme sunmasa da Gizli Sohbetler adı verilen bir hizmet daha sunar. Gizli Sohbetler yalnızca mesajın gönderildiği cihazda ve mesajı alan cihazda okunabilir. Aynı hesapları kullansanız bile, mesajları başka bir cihazda okumak mümkün değildir. Yani o an kullandığınız cihaza bağlıdır şifreleme. Siz kullanıcı olarak sonra başka bir cihazdan bağlandığınızda o sohbete erişemezsiniz. Ayrıca önceden tanımlanmış bir sürenin ardından otomatik olarak kaybolan kendi kendini imha eden mesajlar da gönderebilirsiniz. Yani Mission Impossible deki gibi “mesajı okuduktan sonra imha et Jim.”
Telegram'daki Gizli Sohbetler gerçekten de uçtan uca şifrelidir; yedeklenmez ve şirket tarafından hiçbir çözücü, decode eden anahtar tutulmuyor. En azından öyle söylüyorlar. Ayrıca sohbetin ekran görüntülerini almayı engellemek için de ekran güvenliği sağlıyor. Ancak, Telegram adres defterinizi de kendi sunucularına kopyalıyor, bu sayede de sizin adres defterinizdeki birisi platforma katıldığında siz de bir bildirim alıyorsunuz. Ayrıca tüm metaveriler de tamamen şifrelenmiyor.
Telegram ayrıca grup sohbetlerinde her biri 200.000 üyeyi ve kanallarda sınırsız bir izleyici kitlesini destekleyebilme ile övünüyor. Grup sohbetleri ve kanalları da aslında bir bulut sohbetidir ve kendi kendini yok eden mesajlar veya ekran güvenliği gibi özelliklerin hiçbirini sunmuyor.
Uzun lafın kısası ikili görüşmelerde üst seviye bir güvenlik var ama grup sohbetlerinde güvenlik daha az. Şirketin genel merkezi de sürekli değişiyormuş. Bu da tedirgin edici bir durum doğrusu.
Signal Güvenliği
Gelelim Signal’e. Signal’i henüz tam inceleyemedim. Burada yazdığım bilgiler güvendiğim kaynaklardan edindiğim bilgiler. Signal, varsayılan olarak tüm konuşmaları uçtan uca şifrelemek için ayrı bir açık kaynak kodlu (dolayısıyla da analiz etmeye açık) bir kriptografi kullanıyor. Signal ile şifreleme anahtarları kullanıcıların telefonlarında ve bilgisayarlarında saklanıyor ve kurumun sunucularında saklanmıyor. Olası bir sahtekârlık riskinden de kaçınılması için, konuştuğunuz kişinin güvenlik anahtarı değişirse uyarılıyorsunuz.
Signal’in karşılıklı doğrulama yöntemi, diğer tüm mesajlaşma uygulamalarını ezip geçiyor. Kullanıcılar, kendi güvenlik numaralarını doğrulayarak veya bu benzersiz numaralama setini içeren QR kodlarını tarayarak birbirlerinin profilini doğrulayabilir ve profilleri karşılıklı olarak doğrulayabiliyor. Bu servis Signal kullanıcıları hakkında tutulan kişisel verileri en aza indirecek şekilde tasarlanmış. Signal mümkün olduğu kadar az metaveri topluyor ve kullanıcılarına ilişkin metaverileri, günlükleri veya bilgileri depolamıyor. En azından böyle söyleniyor. Diğer iki uygulama sonuçta birer şirket ama Signal vakıf benzeri bir kurumun app’i.
Yedekleme yaklaşımları hem daha güvenli hem de basitleştirilmiş. Çünkü sohbetler varsayılan olarak buluta yedeklenmiyor. Bununla birlikte, harici depolamaya yedeklemeleri de kendiniz yapabiliyorsunuz.
Kriptografi dersinde daha ilk derste bize anlatılan bir Doğu hikâyesi vardı. İki Sultan aralarında haberleşmek için anahtarlarının sadece kendilerinde bulunduğu bir sandık kullanırlarmış. Mesajı sandığa koyar kilitler ve sandığı gönderir. Sandığı alan sultan da sadece ikisinde bulunan anahtar ile sandığı açar, mesajı okur, cevabını yazar, sandığı kilitleyerek geri gönderirmiş. Karşılıklı şifreleme de buna benzer.
Signal’de gönderen tarafından belirtilen süreden sonra hiç kimse tarafından tamamen erişilemez hale getirilecek kendi kendini imha eden mesajlar bile oluşturulabiliyor. Signal ayrıca, son sohbet listesindeki ve uygulamanın içindeki ekran görüntüsü almayı engelleyen bir ekran güvenliği de sunuyor; bu da telefonunuzdaki diğer uygulamaların Signal'deki sohbetlerinizin ekran görüntüsünü almasını engelliyor. Ancak buradaki dikkat edilecek husus, bu ayarın alıcının ekran görüntüsü almasını engellememesi.
Signal, kullanıcılarının anonim kalmasına yardımcı olmak için bir de yüz bulanıklaştırma özelliği de sunmuş. Yalnızca yüzleri bulanıklaştırmak için değil, aynı zamanda resimdeki diğer hassas bilgileri içeren görüntüleri de bulanıklaştırmak için kullanılabiliyor. Bu da kullanıcının güvenliğinin ve gizliliğinin ciddiye aldıklarını gösteriyor.
Signal'e yönelik olası bir kötü eleştiri de şu: Bir hesap oluştururken kuruma verdiğiniz telefon numaranızı bir şekilde yitirdiğinizde bu telefon numarasına erişim hakkını kaybediyor ve de dolayısıyla hesabınız da kilitleniyor. Bu hoş değil ancak verileri geri alabilmek için Signal PIN’i kullanarak yine erişebiliyorsunuz. Böylece olası bir hükümet veya cep telefonu şirketinin sizi bloklamasına, kilitlemesine izin verilmemiş oluyor.
WhatsApp-Signal-Telegram Güvenlik Karşılaştırılması
Her işletmenin, her bireyin farklı ihtiyaçları, istekleri ve gereksinimleri vardır. Şifreli mesajlaşma uygulamasının seçimi, işletmenizin ne yaptığına, sizin kim olduğunuza, işinizin ne olduğuna ve kiminle konuştuğunuza bağlıdır.
WhatsApp’ın kullanımı kolay ve popüler, ancak özellikle geçmişleri göz önüne alındığında güvenlikleri gerçekten güvenilir (!) değil. Yine de, WhatsApp kullanarak mesaj göndermek hiç şifreleme yapmamaktan daha iyidir. Çoğu WhatsApp kullanıcısı bunu aile ve arkadaşlarla kişisel iletişim için kullanır. Ancak, şirketinizin gizli veya gizli olarak değerlendireceği konuşmalar için kullanmanızı tavsiye etmem.
Telegram gerçekten harika şeyler yapabiliyor. Çok esnek ve kullanımı da çok kolay. En yüksek güvenlik seviyesi varsayılan olarak gelmiyor, sizin ayarlamanız gerekiyor. Hong Kong’daki protesto eylemlerindeki eylemciler Telegram üzerinden haberleşti.
Signal, iş odaklı kullanıcılar için en iyi uygulama olabilir. Kullanımı WhatsApp'ten biraz daha zor, dolayısıyla kullanımı daha zorsa herkes kullanmayacaktır. Güvenlik-Kullanılabilirlik karşılaştırması yaparken ibre Signal’de güvenlik yönünde. Bu da onu yüksek riskli, gizli iletişimler için ideal kılıyor.
Yani uzun lafın kısası, güvenlik gerektiren bir iş yapıyorsanız kesinlikle Signal’i kullanmanızı öneririm. Eğer sizin için güvenlik önemli değil, sadece kek tarifleri, geyik muhabbeti yapıyorsanız WhatsApp de, Telegram da fark etmiyor.
Bu işin bir ucu. İki ucu pis değnek hesabı işin bir de sizin bir ticaret öğesi olarak bir mal olarak görülmeniz var. Bir video izlemiştim, pizza siparişi veren adam siparişi alanın kendisinin şeker değerlerini, mali durumunu kendisinden daha iyi bildiğini görüyor ve şaşırıyordu.
Hiçbirimiz James Bond ya da İngiliz Kemal değiliz ama benim takip ettiğim sitelerden satın aldığım kitapların bıraktığı çerezlerden beğenilerimin, sağlık durumumun, siyasi görüşümün, cinsel tercihimin takip edilmeyeceği manasına da gelmiyor. Cem Yılmaz’ın vulgerleştirdiği “sanki CIA seni neden izleyecek ki” mantığı değil ama Amazon’un fişeklediği “bunu satın alanlar bunu da aldı” önermeleriyle başlayan bu "big bone is watching you" rüzgârı sizin geçen sene aldığınız kıyafetin renginden karakter tahlili yapmaya kadar gidecek. Paranoyak olmamız takip edilmediğimiz anlamına gelmiyor.”
