Neden Whatsapp ve Telegram Kullanmamalısınız?
Bu hafta bilinen ama göz ardı edilen bir konunun daha derine inerek bahsetmeye çalışacağım başlık clickbait değil. Yazının orjinali Romain Aubert tarafından yazıldı bende eklemeler ve çıkarmalar yaparak daha anlaşılır şekilde türkçeleştirdim. Önce teknik birkaç konuyu açıklayacağım.
Şifreleme Protokolleri: Signal Protokolü VS Telegram’ın MProto’su
Bizim farketmeden ve sürekli kullandığımız signal protokolünü her gün 1 milyar kişi ile birlikte kullanıyoruz. Signal Protokolüdediğimiz; WhatsApp, Facebook Messenger, Google Allo ve Signal’ in kendi mesajlaşma uygulaması tarafından kullanılıyor.
Nedir bu?
Signal protokolü anlık mesajlaşma sohbetleri için uçtan-uca şifreleme sağlayan federal olmayan bir kriptografi protokolüdür. — Vikipedi
Uçtan-uca şifreleme mesajınızın gizli bir mesaja dönüştürülmesini ve ardından sadece son alıcı tarafından deşifre edilmesini sağlar. Whatsapp’ın bir süre önce başlattığı özellik;
Signal protokolü; İlk olarak, 2013 yılında Twitter’ın eski güvenlik şefi Moxie Marlinspiketarafından kurulan ve kar amacı gütmeyen bir grup olan Open Whisper Systems tarafından; Twitter, Open Whisper’ in ilk güvenli mesaj şirketini satın aldıktan sonra oluşturuldu. Open Whisper Systems, Signal protokolü’nün geliştirilmesine odaklandı ve ayrıca Signal adı verilen bir mesajlaşma uygulaması yayınlandı. Şirket bağışve yardımlar sayesinde finanse ediliyor. Ekim 2016′ da Signal Protokolü uluslararası bir güvenlik araştırması takımı tarafından incelendi ve parlak sonuçlar aldı. İnceleyebilirsiniz. Buraya kadar okuduktan sonra WhatsApp, Facebook Messenger, Telegram ve Google Allo; Signal protokolünu kullandığın beri sıkıntı olmadığını düşünebilirsiniz.
Ama bir sorun var..
Facebook Messenger ve Google Allo öntanımlı olarak uçtan-uca şifrelemeyi aktifleştirmiyor. Uçtan-uca şifrelemeyi kullanabilmek için Facebook Messenger kullanıcıları “Gizli Sohbetler” özelliğini Google Allo kullanıcıları ise “Gizli Mod”u aktifleştirmek zorundalar eğer uygulamlar bu bahsettiğimiz özelliği aktif etmezlerse datalar şifresiz olarak havada dolaşır.
Sosyal ağ VK’ nin kurucusu Pavel Durov tarafında kurulan Telegram MProto ismiyle kendi kriptografi protokolünü kullanıyor. Telegram kriptografi konusunda oldukça fazla tartışmaya konu oldu. Ardından 2015′ te bir güvenlik araştırmacısı MProto’nun teorik zayıflıklarını ortaya çıkaran bir belge yayınladı* ve Telegram’ ın kendi kriptografi protokollerini kullanmaması gerektiğini belirtti. Ben buna geri vites diyorum. Bu bize gönderilen mesajlar için Signal protokolünü varsayılan olarak kullanan iki uygulama olan WhatsApp ve Signal’i bırakır. Peki neden WhatsApp’ı kullanmamamız gerektiğini sorabilirsiniz bununda çok sağlam bir sebebi var. WhatsApp’ın metadata toplaması.
Veri ve Metadata Toplama mı?
Metadata ve veri toplama çoğu kez tartışamaların merkezinde oldu ve halen ivme kazanarak yükselen bir trend. Kullanım şartlarında sıklıkla şu ifadeler geçmektedir.
Biz sizin iletişiminizin içeriğini uçtan-uca şifreleme kullanmamız sebebiyle dinleyemez/okuyamayız. Biz sadece metadata toplarız.
Metadata anlaması biraz zor bir ifade ve üstü kapalı. Edward abimizde tweetinde açıklamış.
“Metadata” ifadesinin ne olduğunu anlamakta sorun mu yaşıyorsunuz. Yerine “aktivite kaydı” koyun. Metadata budur.
Eğer hala ne olduklarını analayamadıysanız; Kurt Opsahl’ın şu yazısını okuyun. Yazıda şirketlerin ve hükümetlerin metadata toplayarak neleri bilebildiklerine örnekler veriliyor. Metadatanın ne olduğunu öğrendiğinize göre tekrar ediyim; uçtan-uca şifreleme mesajlaşma servislerinin metadata toplamasını engellemez.
WhatsApp SSS, uygulamanın adres defterindeki tüm telefon numaralarına erişimi olduğunu ve sizin hakkınızda çok sayıda bilgiyi topladığını bildirmektedir. İlginç olan şey, WhatsApp mesajlarınızı sunucularında saklamamaktır. Bunun yerine, mesajlarınız telefonunuzda ve daha sonra da telefonunuzu yedeklediğiniz sunucularda şifrelenmemiş olarak depolanır. Örneğin, bir iPhone kullanırsanız, tüm WhatsApp iletileriniz iCloud’da şifrelenmemiş olarak depolanır. WhatsApp’ın ne zaman, nerede ve kiminle iletişim kurduğunuz hakkında topladığı bilgiye gelince, bu çok belirsizdir. İşte söyledikleri:
Kullanım ve Kayıt Bilgiler: Servisle ilgili, teşhis ve performans bilgileri toplarız. Bu, etkinliğiniz hakkında (hizmetlerimizi nasıl kullandığınız, hizmetlerimizi kullanarak başkalarıyla nasıl etkileşime geçtiğiniz gibi), kayıt dosyaları ve sorun giderme, çökme, web sitesi ve performans kayıtlarını ve raporlarını içerir.
WhatsApp ayrıca, uygulamayı yüklediğinizde, hizmetine eriştiğinizde veya kullandığınzda; telefonunuzun modeli, işletim sistemi, IP adresiniz, kullandığınız tarayıcı gibi cihaza özgü bilgileri de toplar. Kısaca herşeyi. Ve eğer onlar bu bilgileri telefonunuzdan toplayamazsa, WhatsApp, arkadaşınızın akvite kaydına eriştiği müddetçe biri size mesaj attığı zaman bu bilgileri edinirler. Ne kadar kolay. Şifrelenmemiş yedeklerin yanı sıra, Electronic Frontier Vakfı; WhatsApp web uygulaması ve WhatsApp’ı 2014 yılında satın alan Facebook’la veri paylaşımı üzerine diğer endişelerini de makalesinde özetledi.
Facebook’ tan bahsetmişken ona gelelim…
Facebook Messenger
MIT Technology Review yazdı: Facebook, şimdiye kadar insan sosyal davranışı üzerine en kapsamlı veriyi topluyor. Facebook’un hangi tür verileri depoladığını anlatmama gerek yok. Facebook sizin arkadaşınız, dolayısıyla arkadaşınızın size ne kadar yakın olduğunu çok basit bir şekilde anlatmışlar.
Facebook Veri İlkesi’ne buradan ulaşabilirsiniz: https://www.facebook.com/privacy/explanation
Google Allo
Google Allo, güvenlik uzmanları tarafından genişçe eleştirildi. Google, sadece gönderdiğin mesajları okumaz, aynı zamanda tüm konuşmalarını saklar. Bu kadar basit. İşte Edward Snowden’in Allo için yaptığı reklam:
Google Mail, Google Haritalar ve Google Gözetleme. Allo’yu kullanmayın.
Telegram
Telegram kriptografi protokolünde bazı teorik güvenlik açıkları olduğunu belirtildiğinden beri biraz zor durumda. Ancak bunu bir kenara bırakalım ve sizden ne topladıklarına bir bakalım.Mesajlar, fotoğraflar, videolar ve belgeler şifreli bir şekilde Telegram’ ın sunucularında depolanmakta(“Gizli Sohbet” mesajları hariç, onlar Telegram sunucusunda depolanmamakta). Facebook ve WhatsApp gibi Telegram da kişilerinize erişiyor ve onları sunucularında depoluyor. Bu kişilerinizden biri Telegrama katıldığında size nasıl bildirim gönderildiğini açıklıyor değil mi?
Signal
Signal’ in elinde tuttuğu tek veri, kaydettiğiniz telefon numarası ve sunucuya en son ne zaman giriş yaptığınızdır.Bu kadar.Hata o mesajı attığınız; saati, dakikayı, ve saniyeyi de depolamıyor. Yalnızca mesajı attığınız günü depoluyor.Eğer kendinizi yine de güvende hisstemiyorsaniz Signal’ in mesajlarınızın belli bir zaman sonra karşı taraftan silinmesini sağlayan; “yok olan mesajlar” adını verdiği bir özelliğide var.Ve Signal bedava, cidden bedava. Yani Facebook ve Telegram’ ın yaptığı ve Google’ ın kendi uygulamalarında yapmak istediği gibi gözünüzü reklamcılar için bir ürüne dönüştürmüyorlar. Buradan Signal’ e bağış yapabilirsiniz.Bu arada eğer bakmak isterseniz Signal’ in kaynak kodu açık ve bedava bir şekilde GitHub’ da yayınlanıyor.
Neden gizliliğinize önem vermelisiniz?
Belki şöyle düşünebilirsiniz: Bu beni ilgilendirmez, benim gizleyecek hiçbir şeyim yok. Eğer gizliliğinizin önemli olmadığını düşünüyorsanız.
- Glenn Greenwald’ın neden gizliliğin önemli olduğu hakkındaki TED konuşmasını izleyebilirsiniz.
- Quincy Larson’un hayatınızı bir saatten kısa sürede hayatınızı nasıl şifrelersiniz konulu makalesini okuyabilirsiniz.
- Fabio Esteves’in neden önemsemeniz gerektiğini anlamak için yazısınıokuyabilirsiniz.
- Ve burada Amul Kalia’nın şifrelemenin neden insan hakkı olduğu hakkındaki yazısını okuyabilirsiniz.
Bu yazının Romain Aubert tarafından yazılıp Free Code Camp’te yayınlanmış olan yazı olduğunu unutmayın. Ben detaylı kısımları inceleyip sizler için tekar düzenledim merak edenler için bir okyanus bağlantı linki bıraktım. Yolun bu kısmından sonra katırlarla devam edeceğiz.
Hoşçakalın.
