9344676230 55dbffe0f0 b

Güvenli veya kolay: Birini seçmek zorunda mıyız? (veya: WhatsApp gerçekten güvenli mi?)

3
281817 181476855250691 6784756 n
tongucyumruk
15 Ocak 2017 , 3 dakika okuma süresi

Geçtiğimiz hafta ortalık The Guardian'ın yayınladığı WhatsApp'taki güvenlik açığı mesajlarınızın dinlenmesini mümkün kılıyor haberi ile çalkalandı. WhatsApp'ın da kullandığı Signal protokolünü geliştiren Open Whisper Systems'tan cevap gelmekte gecikmedi: WhatsApp'ta bir arka kapı yoktur. Peki ne oldu? Gündemi takip edemeyenler için bir TL;DR sunmakta fayda olacağını düşünüyorum.

WhatsApp özellikle Open Whisper Systems ile birlikte çalışarak altyapısını Signal protokolünü kullanacak şekilde güncellediği günden bu yana "o kadar güvenli ki biz bile mesajlarınızı okuyamıyoruz" iddiasını ciddi bir pazarlama aracı olarak kullanmaya başlamıştı. Detaylarını yukarıdaki linkten okuyabileceğiniz Signal protokolü sayesinde mesajlar taraflar arasında tamamen şifreli olarak iletiliyor ve aradaki herhangi bir aracı kurumun bu mesajları okuyamadığı iddia ediliyordu.

The Guardian'ın haberi California Berkeley Üniversitesinde güvenlik üzerine araştırma yapan Tobias Boelter'in bir çalışması üzerine ortaya çıktı. Ortaya çıkan güvenlik açığı şöyle: WhatsApp sunucuları çevrimdışı olan bir istemciden, yeniden çevrimici olduğu zaman, kullanıcının haberi olmadan şifreleme anahtarlarını yenilemesini isteyebiliyor. Boelter'in ve The Guardian'ın iddiası WhatsApp'in sahibi olan Facebook'un bu anahtar değişimi sayesinde bir araya girme (Man ın the Middle - MitM) saldırısı yaparak iletişimi dinleyebileceği ve bu bilgileri üçüncü partilerle paylaşabileceği yönünde.

The Guardian'ın bu haberi üzerine ortalık çalkalanmaya başlayınca Open Whisper Systems bir açıklama yaparak sözkonusu açığın gerçekçi olmadığını, bu yöntemin bir iletişimi dinlemek amacıyla kullanılamayacağını açıkladı. Open Whisper Systems'ın açıklamasına göre, WhatsApp uygulamasında bir ayar bulunuyor. Bu ayar aktive edildiğinde, eğer sohbet oturumunun taraflarından birinin anahtarları değişirse bu o sohbet oturumuna bir bildirim olarak iletiliyor. Bu ayar tamamen istemci tarafında saklandığı için WhatsApp sunucularının hangi istemcilerde bu ayarın aktif olduğunu önceden bilmesi ve ona göre hedef seçmesi mümkün değil. Bu da bahsedilen arka kapının kullanımını imkansız kılıyor.

Bu aşamada Open Whisper Systems'ın açıklamasında dikkat çeken iki nokta var:

  1. Sözkonusu ayar WhatsApp'ta öntanımlı olarak kapalı geliyor. Kullanıcının bu ayarın varlığını kendisi öğrenip aktive etmesi gerekiyor.
  2. Bir anahtar değişimi olduğunda bu sadece sohbet penceresine bir bildirim olarak düşüyor. Herhangi bir şekilde bunun açık bir güvenlik riski olduğunu ifade eden ve sohbetin ilerlemesine engel olan bir mekanizma bulunmuyor.

Open Whisper Systems bu durumun WhatsApp'ın geniş kullanıcı kitlesinin çoğunun bu tip konularla ilgilenmeyen ve özel bir güvenlik kaygısı taşımayan bireylerden oluşuyor olmasına bağlıyor. Yani bir anlamda "kullanım kolaylığı" adına güvenlik seviyesini kısmayı kabul ediyor. Bu konu yıllardan beri güvenlik çevrelerinde konuşulageliyor. Güvenlik sistemleri genellikle kolay kullanılabilen şeyler olmadıkları gibi genelde kullanıcıların güvenlik konusunu çok ciddiye almamaları ve "piyasanın" kolaylığı güvenlikten üstün tutması sebebiyle bugün kullandığımız çoğu ürün bizim kişisel gizliliğimizi pek de umursamadan hayata geçiriliyor.

Kendi adıma şifreleme dünyasına 2002 yılında sayın FZ'nin bu yazı dizisi ile girmiş ve hiçbir zaman şifreleme/güvenlik sistemleri ile bir sıkıntı yaşamamış bir insan olarak bu konuda fazlamesai.net ahalisinin görüşünü merak ediyorum.

Kapak görseli: Sam Azgor@flickr

Signal OpenWhisperSystems Güvenlik WhatsApp
9
Linkedin Facebook Twitter Google plus

Görüşler

14702313 1237642129629184 3949866921864557229 n
0
Zakkum

Konu güvenlik ise eğer mesele yalnızca gelen giden paketlerin nasıl şifrelendiği değil. Büyük boyutta kullanıcı bilgisi toplarken bakın ne güzel uçtan uca şifreliyoruz mesajlarınızı demek olayı biraz sulandırıyor. WhatsApp geçmişinde ciddi güvenlik açıkları yaşadı. Bundan daha doğal bir şey de olamaz çünkü merkezi bir sunucu üzerinden gerçekleşen iletişim en nihayetinde ne kadar güvenli olabilir ki. İnternet bize kitle davranış ve psikolojisi ile ilgili epey veri sağlıyor. Bazı uygulamalar bir tür bando arabası etkisi (bandwagon effect) ile aradan sıyrılıyor. Buna bir de kitlelerin bilgeliği eklenirse, yaptığınız ürünü milyar dolarlara satabiliyorsunuz. WhatsApp bunlardan sadece biri.

Güvenlik konusu ile ilgili şahsi tavrım iki madde de özetlenebilir.

1.Popüler olan güvenli değildir.

2.P2P’den ötesi yalandır.

Şaka bir tarafa gerek anında mesajlaşma gerekse genel ağ alt yapısı olarak geleceğin P2P ve benzeri sistemlerde olduğunu düşünüyorum.

ErenTurkay
1
ErenTurkay

WhatsApp geçmişinde ciddi güvenlik açıkları yaşadı. Bundan daha doğal bir şey de olamaz çünkü merkezi bir sunucu üzerinden gerçekleşen iletişim en nihayetinde ne kadar güvenli olabilir ki

Buna katilmiyorum. Ayni anaolji ile HTTPS de guvensiz denmis oluyor ki merkezi bir sunucu ile iletisime geciliyor ve dogru yapilandirildigi zaman gayet guvenli. Buradaki problem sunucunun merkezi ya da P2P oldugu ile alakali degil. P2P olsaydi da ayni durum soz konusu olacakti. Madde halinde yazdiklarinizi destekleyecek somut ornekler verebilirseniz daha saglikli olacagini dusunuyorum. Bu hali ile maalesef spekulasyondan oteye gecmiyor.

FZ
0
FZ

Sunu not duselim: Google Launches Key Transparency While A Trade-Off in WhatsApp is Called a Backdoor

ErenTurkay
2
ErenTurkay

Buradaki tartisma konusu biraz da kullanilabilirlik ve guvenlik uzerinde. Arastirma konusu olan "guvenlik acigi" ana akim medya tarafindan sanki butun mesajlar okunabilecek ve WhatsApp arka kapi koymus gibi veriliyor ki yazida aciklandigi gibi durum boyle degil.

Durum: Kullanici offline oldu, yeni bir cihaz aldi veya MITM yapilarak araya girildi, dolayisiyla yeni bir anahtar olusturuldu ancak diger butun kisilerde eski anahtar var. Kullanicinin offline olmasi ile yeniden online olma arasinda birtakim mesajlar gonderildi.

Burada 2 secenek var: 1. Signal: Bu gonderilen mesajlari ve sonrasinda gonderilecek olan mesajlari karsi tarafa ulastirmayip, manuel olarak 2 kullanici arasinda anahtarlari dogrulamayi istiyor. Bu telefonlari ayni ortamda bulundurup QR code okutmayi iceriyor. Kullanilabilirlikten odun veriyor. 2. WhatsApp: Bir trade-off yaparak kullanilabilrligi tercih ediyor. Karsi taraf ile anahtar dogrulamasini otomatik yapiyor ve bildirim olarak "bu kullanicinin anahtari degisti" mesaji gonderiyor (eger secili ise). Offline olarak gonderilen mesajlar yeni anahtar ile sifrelenip kullaniciya gonderiliyor ve bu da MITM'a olanak olusturuyor.

WhatsApp milyonlarca kisiye uctan uca sifreleme sunarak mesajlasma uzerinde devlet denetimini daha da zorlastirdigi icin onemli bir teknoloji. Hicbir sekilde bunu uygulamayip yollarina devam edebilirlerdi ancak bunu tercih etmediler. WhatsApp ya da Facebook'u baska her turlu sebepten elestirebiliriz ancak uctan uca sifrelemeyi milyonlarca kisiye cok kolay bir bicimde saglamak bunlardan biri degil.

Ayrica WhatsApp "yazilarinizi kimse goremez" araci degil. Sadece son kullanici icin yeterince guvenli bir mesajlasma araci. Eger daha buyuk bir derdiniz var ise kullanilabilirlikten odun verip baska araclar kullanmaniz en mantikli hareket.

ErenTurkay
1
ErenTurkay

Bruce Schneier'in konu hakkindaki blog girdisini de buraya ekleyelim.

https://www.schneier.com/blog/archives/2017/01/whatsapp_securi.html

FZ
1
FZ

Zeynep Tufekci'nin su yazisi da cok iyi.

14702313 1237642129629184 3949866921864557229 n
1
Zakkum

Son zamanlarda okuduğum en "boş" yazılardan biri olduğu için okumayanlar için kısa bir özet geçeyim istedim.

Yazı, iki cümlelik bir önerme nasıl olabildiğince uzatılır ve uzatılırken söz konusu önerme tekrar tekrar nasıl vurgulanır tekniğine güzel bir örnek olmuş. Koca yazı "güvenlik ile ilgili bir haberi abartarak insanların psikolojisini bozuyorsunuz ve WhatsApp dışındaki yazılımlara yönelmelerine neden oluyorsunuz" gibisinden bir serzenişten ibaret. Doğru dürüst bir teknik çözümleme mevcut değil. İnsan düşünmeden edemiyor; bir akademisyen bir ticari yazılımı kimin kullanıp kullanmadığına neden bu kadar kafayı takar ve popüler olan bir yazılımın kullanıcı kaybı yaşama ihtimali ile neden bu kadar ilgilenir. Hele sürekli tekrarlanan aşı benzetmesi olayı var ki insanı ayrıca işkillendiriyor zira bu konu uzun zamandır tartışılmakta ve tartışmanın taraflarından birinin yine büyük şirketler, aşı üretiminden milyar dolarlar kazanan ilaç sanayi olduğunu herkes bilir. Sanki yazı bir taşla iki kuş vurmak için kaleme alınmış izlenimi vermekte.

Yazıdaki iddiaya göre insanlar WhatApp'a atılan "iftira" nedeniyle daha az güvenli yazılımlar kullanmaya başlamış. Var mı bunu gösteren elle tutulur bir veri yazıda, tabi ki yok. Hayır sanki insanlar WhasApp'ı bırakıp dumanla filan haberleşmeye başladı, öyle bir durum var anlatıldığına göre ortada. Yoz tüccarın insanların zekasıyla oynaması doğası gereği affedilebilir de eğitimli insanın bunu yapması çekilir iş değil doğrusu.

Şunu da buraya bırakalım yararı olur.

ErenTurkay
1
ErenTurkay

İnsan düşünmeden edemiyor; bir akademisyen bir ticari yazılımı kimin kullanıp kullanmadığına neden bu kadar kafayı takar ve popüler olan bir yazılımın kullanıcı kaybı yaşama ihtimali ile neden bu kadar ilgilenir.

Zeynep Tufekci'nin populer bir yazilimin kullanici kaybi ile ilgilendigini hic zannetmiyorum ve yazdigi yazida buna dair bir emare mevcut degil. Bahsedilen su:

Since the publication of this story, we’ve observed and heard from worried activists, journalists and ordinary people who use WhatsApp, who tell us that people are switching to SMS and Facebook Messenger, among other options–many services that are strictly less secure than WhatsApp.

Burada kalkip baglantida oldugu aktivistlerin, gazetecilerin isimlerini teker teker yazip "alin elimde veri var" demesini beklemeyin lutfen.

Yazinin tamamini okudunuz mu bilmiyorum ancak yukarida yazdiginiz butun yorumlarin cevabini bulabilirsiniz. Alintilayacak olursam:

Signal is well-designed. Many in the security community use and consistently recommend it. However, the very thing that makes Signal a recommendation for people at high risk—that it drops messages at any sign of hiccup—prevents a large number of ordinary people from adopting it. Our community has used Signal for a long time, and have been trying to convert people to it, but its inevitable delivery failures (some by design, to keep users safer, and some due to bandwidth or other issues) mean that we often cannot convince people to use it despite spending a lot of effort trying to convince them—even people who have a lot at stake.

Onceki yorumlarimda bahsettigim gibi burada backdoor mevcut degil, kullanilabilirlik icin yapilmis bir trade-off mevcut. Bu sekilde "whatsapp guvenli degil, icerisinde backdoor var" gibi yanlis bir yaziyi Guardian'da yayinlarsaniz, FUD yaymis olursunuz. Bu da konu hakkinda pek bilgisi olmayan ancak tek istegi kolay ve guvenli bir bicimde mesajlasmak olan insanlarin kafalarinin karismasina neden olur. Sonuc olarak da guvensiz alternatiflere sirf herhangi bir web sitesi "guvenli" diyor diye yonlenebilirler.

The reason people, including journalists and activists, use WhatsApp over Signal isn’t because people are flaky, but because in the real world, reliability, usability and a large user base are key to security. Activists and journalists communicate a lot with ordinary people, and need to be certain that their messages are communicated as reliably as possible, using the same system as their recipient will use–hence the advantage of WhatsApp with its huge user base.

Yukarida yazdigim yorumu tekrar ediyorum, Facebook'u yaptigi diger her sey uzerinden elestirebilirsiniz ancak WhatsApp'in milyonlarca normal insana uctan-uca sifrelemeyi kolay ve kullanilabilir bir bicimde sunmasi bunlardan biri degil. Ayni zamanda hepimiz biliyoruz ki Guardian haberi tamamiyle yaniltici ve attiklari baslik baska bir sekilde olmaliydi.

281817 181476855250691 6784756 n
1
tongucyumruk

Bunu da şu köşeye bırakayım: https://medium.com/@pepelephew/a-look-at-how-private-messengers-handle-key-changes-5fd4334b809a

Görüş belirtmek için giriş yapın...

İlgili Yazılar

ABD, DES`in yerini alacak olan algoritma olarak Rijndael`i seçti...
FZ
20 Ekim 2000, 1 dakika okuma süresi

Amerika Birleşik Devletleri`ndeki NIST (National Institute of Standards and Technology - Ulusal Standartlar ve Teknoloji Enstitüsü yani bir nevi TSE) ulusal standart güvenlik algoritmasi olarak (AES - American Encryption Standard) iki Belcikali bilgisayar bilimcisi tarafindan gelistirilen Rijndael kod isimli şifreleme algoritmasını seçti.

E-DEVLET: Ne Kadar Güvenli?
RoR
27 Temmuz 2005, 1 dakika okuma süresi

Yeni yasayla T.C kimlik bilgileriyle kişisel bilgiler (adres, telefon, sağlık, emniyet,...) eşlenerek tek bir çatı altında toplanıyor. Acaba bu durum ne kadar güvenli/gerekli?

Ulusal Kriptoloji Enstitüsü Stajyer Arıyor
FZ
31 Mayıs 2003, 1 dakika okuma süresi

TÜBİTAK bünyesindeki Ulusal Elektronik ve Kriptoloji Araştırma Enstitüsü bu yaz bünyesinde görevlendirmek üzere en az 1 ay çalışabilecek stajyer öğrenciler arıyor. Başvuracak adayların aşağıdaki bölümlerden birinden olmaları isteniyor:
  • Elektrik Mühendisliği
  • Elektronik Mühendisliği
  • Bilgisayar Mühendisliği
  • Dilbilim

Metasploit artık Rapid7'nin
caiaphas_
23 Ekim 2009, 1 dakika okuma süresi

Uzun zamandan beri hem UNIX hem de WIN32 üzerinde başarı ile çalışan ve tüm otoriteler tarafından da en çok tercih edilen penetrasyon aracı olan Metasploit Rapid7 tarafından satın alındı.

Açık kaynak desteğinin devam edip etmeyeceği Metasploit tarafından yapılan açıklama ile netlik kazandı. Metasploit açık kaynak kod üretmeye devam edecek, bunun yanında Rapid7'nin güvenlik açığı tarama ürünü olan NeXpose ile de entegre edilecek. Habere göre HD Moore dahil pek çok Metasploit geliştiricisinin Rapid7 ekibine katıldığı da ayrıca belirtiliyor. HD bundan sonra güvenlik şefi olarak görevine devam edecek.

ATM şifreleme anahtarı kırmak!
conan
9 Kasım 2001, 1 dakika okuma süresi

Bu sayfada yazanlara göre IBM 4758 cryptographic co-processor'unden 3DES anahtarını "çalmayı" başarmışlar.

IBM 4758, bankalar tarafından sıklıkla kullanılan bir şifreleme chipiymiş ve IBM'in ATM'lerinde de sıkça kullanılmaktaymış. Bu crack'i gerçekleştirenler, 20 dakika makinaya kesintisiz ulaşımı ve Combine_Key_Parts kullanım yetkisi olan birinin, 995$'lik bir aletle (FPGA evaluation board from Altera) 2 gün içerisinde bu şifreyi ele geçirebilecegini iddia ediyorlar. (nasıl yapılacağını da bilmesi gerektiğini söylemeyi unuttum sanırım) ;)