Bansky’ nin “Güvenlik kamerası, neye bakıyorsun”, Mermer üzerine baskı, Marble Arch İstasyonu, Londra, İngiltere, 2004

Neden arkadaşlarıma WhatsApp ve Telegram’ı kullanmayı bırakmaları gerektiğini söyledim

Uçtan uca şifrelemeyle bile Büyük Kardeş hala telefonunuzda: Metadata

Bu yazı Romain Aubert tarafından ingilizce yayınlanmış blog yazısının çevirisidir. Eğer yazıyı beğendiyseniz lütfen aşağıdaki linki ziyaret edin ve yazıya beğenin.


Bu sabah arkadaşıma WhatsApp ve Telegram’ı kullanmayı bırakmalarını söyledim ve onlara Signal’ e geçmesi için bir davetiye linki gönderdim. Neden mi?

İşte nedeni:

Şifreleme Protokolleri: Signal Protokolü VS Telegram’ın MProto’su

Belki farkına varmamışsınızdır, ama muhtemelen Signal protokolünü her gün 1 milyar kişiyle birlikte kullanıyorsunuz.

Signal Protokolü; WhatsApp, Facebook Messenger, Google Allo ve Signal’ in kendi mesajlaşma uygulaması tarafından kullanılıyor.

Fakat Signal protokolü nedir?

Signal protokolü anlık mesajlaşma sohbetleri için uçtan-uca şifreleme sağlayan federal olmayan bir kriptografi protokolüdür. — Vikipedi

Uçtan-uca şifreleme mesajınızın gizli bir mesaja dönüştürülmesini ve ardından sadece son alıcı tarafından deşifre edilmesini sağlar.

Bu WhatsApp’ın birkaç ay önce sizin sohbetinizde bu mesaj görüntülediğinde başlattığı şey:

Signal protokolü; 2013 yılında Twitter’ın eski güvenlik şefi Moxie Marlinspike tarafından kurulan ve kar amacı gütmeyen bir grup olan Open Whisper Systems tarafından; Twitter, Open Whisper’ in ilk güvenli mesaj şirketini satın aldıktan sonra oluşturuldu.

Open Whisper Systems, Signal protokolü’nün geliştirilmesine odaklandı ve ayrıca Signal adı verilen bir mesajlaşma uygulaması yayınlandı. Şirket bağış ve yardımlar sayesinde finanse ediliyor.

Ekim 2016' da Signal Protokolü uluslararası bir güvenlik araştırması takımı tarafından incelendi ve parlak sonuçlar aldı.

Yukarıyı okuduktan sonra WhatsApp, Facebook Messenger, Telegram ve Google Allo; Signal protokolünu kullandığın beri sıkıntı olmadığını düşünebilirsiniz.

Aslında bir sıkıntı var.

Facebook Messenger ve Google Allo öntanımlı olarak uçtan-uca şifrelemeyi aktifleştirmiyor. Uçtan-uca şifrelemeyi kullanabilmek için Facebook Messenger kullanıcıları “Gizli Sohbetler” özelliğini Google Allo kullanıcıları ise “Gizli Mod”u aktifleştirmek zorundalar.

Sosyal ağ VK’ nin kurucusu Pavel Durov tarafında kurulan Telegram MProto ismiyle kendi kriptografi protokolünü kullanıyor. Telegram kriptografi konusunda oldukça fazla tartışmaya konu oldu. Ardından 2015' te bir güvenlik araştırmacısı MProto’nun teorik zayıflıklarını ortaya çıkaran bir belge yayınladı* ve Telegram’ ın kendi kriptografi protokollerini kullanmaması gerektiğini belirtti.

Bu bize gönderilen mesajlar için Signal protokolünü varsayılan olarak kullanan iki uygulama olan WhatsApp ve Signal’i bırakır.

Peki neden WhatsApp’ı kullanmamamız gerektiğini sorabilirsiniz.

Bunun sebebi WhatsApp’ın metadata toplaması.

Veri ve Metadata Toplama

Metadata ve veri toplama çoğu kez tartışmaların merkezindedir ve kullanım şartlarında sıklıkla şu ifadeler geçmektedir:

Biz sizin iletişiminizin içeriğini uçtan-uca şifreleme kullanmamız sebebiyle dinleyemez/okuyamayız. Biz sadece metadata toplarız

Metadata genellikle üstü kapalı bir ifadedir. Metadatanın ne olduğunu Edward Snowden tweetinde açıklamıştır:

“Metadata” ifadesinin ne olduğunu anlamakta sorun mu yaşıyorsunuz. Yerine “aktivite kaydı” koyun. Metadata budur.
“Metadata”nın ne olduğunu anlamakta güçlük mü çekiyorsanız yerine “aktivite kaydı” koyun. Onlar budur.

Eğer hala ne olduklarını analayamadıysanız; Kurt Opsahl’ın şu yazısını okuyun. Yazıda şirketlerin ve hükümetlerin metadata toplayarak neleri bilebildiklerine örnekler veriliyor.

Onlar gece saat 2:24' de telefonda sex hizmeti veren bir numarayı arayıp 18 dakika konuştuğunuzu bilirler. Fakat ne hakkında konuştuğunuzu bilmezler.
Onlar sizin Golden Gate Köprüsü’ nden intiharı önleme hattını aradığınızı bilirler. Fakat konuşmanın konusu gizli kalır.
Onlar sizin HIV testi yapan bir şirketle, ardından doktorunuzla, ardından hayat sigortası şirketinizle aynı saatte konuştuğunuzu bilirler. Fakat ne hakkında tartıştığınızı bilmezler.

Metadatanın ne olduğunu öğrendiğinize göre tekrar ediyim; uçtan-uca şifreleme mesajlaşma servislerinin metadata toplamasını engellemez.

Omların neler topladığına bir bakalım:

WhatsApp

WhatsApp SSS, uygulamanın adres defterindeki tüm telefon numaralarına erişimi olduğunu ve sizin hakkınızda çok sayıda bilgiyi topladığını bildirmektedir.

İlginç olan şey, WhatsApp mesajlarınızı sunucularında saklamamaktır. Bunun yerine, mesajlarınız telefonunuzda ve daha sonra da telefonunuzu yedeklediğiniz sunucularda şifrelenmemiş olarak depolanır. Örneğin, bir iPhone kullanırsanız, tüm WhatsApp iletileriniz iCloud’da şifrelenmemiş olarak depolanır.

WhatsApp’ın ne zaman, nerede ve kiminle iletişim kurduğunuz hakkında topladığı bilgiye gelince, bu çok belirsizdir. İşte söyledikleri:

Kullanım ve Kayıt Bilgiler: Servisle ilgili, teşhis ve performans bilgileri toplarız. Bu, etkinliğiniz hakkında (hizmetlerimizi nasıl kullandığınız, hizmetlerimizi kullanarak başkalarıyla nasıl etkileşime geçtiğiniz gibi), kayıt dosyaları ve sorun giderme, çökme, web sitesi ve performans kayıtlarını ve raporlarını içerir.

WhatsApp ayrıca, uygulamayı yüklediğinizde, hizmetine eriştiğinizde veya kullandığınzda; telefonunuzun modeli, işletim sistemi, IP adresiniz, kullandığınız tarayıcı gibi cihaza özgü bilgileri de toplar.

Ve eğer onlar bu bilgileri telefonunuzdan toplayamazsa, WhatsApp, arkadaşınızın akvite kaydına eriştiği müddetçe biri size mesaj attığı zaman bu bilgileri edinirler.

Şifrelenmemiş yedeklerin yanı sıra, Electronic Frontier Vakfı; WhatsApp web uygulaması ve WhatsApp’ı 2014 yılında satın alan Facebook’la veri paylaşımı üzerine diğer endişelerini de makalesinde özetledi.

Facebook’ tan bahsetmişken…

Facebook Messenger

MIT Technology Review yazdı:

Facebook, şimdiye kadar insan sosyal davranışı üzerine en kapsamlı veriyi topluyor.

Facebook’un hangi tür verileri depoladığını anlatmama gerek yok. Facebook sizin arkadaşınız, dolayısıyla arkadaşınızın size ne kadar yakın olduğunu çok basit bir şekilde anlatmışlar.

Facebook Veri İlkesi

Google Allo

Google Allo, güvenlik uzmanları tarafından genişçe eleştirildi.

Google, sadece gönderdiğin mesajları okumaz, aynı zamanda tüm konuşmalarını saklar.

Bu kadar basit.

İşte Edward Snowden’in Allo için yaptığı reklam:

“Google Mail, Google Haritalar ve Google Gözetleme. İşte bu Allo. Google Allo’ yu kullanmayın”
Google Mail, Google Haritalar ve Google Gözetleme. Bu Allo. Allo’yu kullanmayın.

Telegram

Telegram kriptografi protokolünde bazı teorik güvenlik açıkları olduğunu belirttiğimden beri biraz zor durumda*. Ancak bunu bir kenara bırakalım ve sizden ne topladıklarına bir bakalım.

Mesajlar, fotoğraflar, videolar ve belgeler şifreli bir şekilde Telegram’ ın sunucularında depolanmakta(“Gizli Sohbet” mesajları hariç, onlar Telegram sunucusunda depolanmamakta). Facebook ve WhatsApp gibi Telegram da kişilerinize erişiyor ve onları sunucularında depoluyor. Bu kişilerinizden biri Telegrama katıldığında size nasıl bildirim gönderildiğini açıklıyor değil mi?

Signal

Signal’ in elinde tuttuğu tek veri, kaydettiğiniz telefon numarası ve sunucuya en son ne zaman giriş yaptığınızdır.

Bu kadar.

Hata o mesajı attığınız; saati, dakikayı, ve saniyeyi de depolamıyor. Yalnızca mesajı attığınız günü depoluyor.

Eğer kendinizi yine de güvende hisstemiyorsaniz Signal’ in mesajlarınızın belli bir zaman sonra karşı taraftan silinmesini sağlayan; “yok olan mesajlar” adını verdiği bir özelliğide var.

Ve Signal bedava, cidden bedava. Yani Facebook ve Telegram’ ın yaptığı ve Google’ ın kendi uygulamalarında yapmak istediği gibi gözünüzü reklamcılar için bir ürüne dönüştürmüyorlar. Buradan Signal’ e bağış yapabilirsiniz.

Bu arada eğer bakmak isterseniz Signal’ in kaynak kodu açık ve bedava bir şekilde GitHub’ da yayınlanıyor.

Neden gizliliğinize önem vermelisiniz?

Belki şöyle düşünebilirsiniz:

Bu beni ilgilendirmez, benim gizleyecek hiçbir şeyim yok.

Eğer gizliliğinizin önemli olmadığını düşünüyorsanız.

Eğer bu blog yazısı size faydalı geldiyse yazının orjinaline aşağıdaki linkten ulaşabilir ve alt taraftaki küçük yeşil kalbe dokunabilirsiniz. Teşekkürler.

Bu yazının Romain Aubert tarafından yazılıp Free Code Camp’te yayınlanmış olan yazıdan çevrilmiş olduğunu unutmayın.

Konuşmak isterseniz yazara Twitter hesabı üzerinde ulaşabilirsiniz ve Hong Kong’ a yolunuz düşerse yazarla birlikte kahve içebilirsiniz.

Çeviri hatalarını lütfen yorumlarda belirtiniz.

www.twitter.com/romaub