9344676230 55dbffe0f0 b

Güvenli veya kolay: Birini seçmek zorunda mıyız? (veya: WhatsApp gerçekten güvenli mi?)

3
tongucyumruk

Geçtiğimiz hafta ortalık The Guardian'ın yayınladığı WhatsApp'taki güvenlik açığı mesajlarınızın dinlenmesini mümkün kılıyor haberi ile çalkalandı. WhatsApp'ın da kullandığı Signal protokolünü geliştiren Open Whisper Systems'tan cevap gelmekte gecikmedi: WhatsApp'ta bir arka kapı yoktur. Peki ne oldu? Gündemi takip edemeyenler için bir TL;DR sunmakta fayda olacağını düşünüyorum.

WhatsApp özellikle Open Whisper Systems ile birlikte çalışarak altyapısını Signal protokolünü kullanacak şekilde güncellediği günden bu yana "o kadar güvenli ki biz bile mesajlarınızı okuyamıyoruz" iddiasını ciddi bir pazarlama aracı olarak kullanmaya başlamıştı. Detaylarını yukarıdaki linkten okuyabileceğiniz Signal protokolü sayesinde mesajlar taraflar arasında tamamen şifreli olarak iletiliyor ve aradaki herhangi bir aracı kurumun bu mesajları okuyamadığı iddia ediliyordu.

The Guardian'ın haberi California Berkeley Üniversitesinde güvenlik üzerine araştırma yapan Tobias Boelter'in bir çalışması üzerine ortaya çıktı. Ortaya çıkan güvenlik açığı şöyle: WhatsApp sunucuları çevrimdışı olan bir istemciden, yeniden çevrimici olduğu zaman, kullanıcının haberi olmadan şifreleme anahtarlarını yenilemesini isteyebiliyor. Boelter'in ve The Guardian'ın iddiası WhatsApp'in sahibi olan Facebook'un bu anahtar değişimi sayesinde bir araya girme (Man ın the Middle - MitM) saldırısı yaparak iletişimi dinleyebileceği ve bu bilgileri üçüncü partilerle paylaşabileceği yönünde.

The Guardian'ın bu haberi üzerine ortalık çalkalanmaya başlayınca Open Whisper Systems bir açıklama yaparak sözkonusu açığın gerçekçi olmadığını, bu yöntemin bir iletişimi dinlemek amacıyla kullanılamayacağını açıkladı. Open Whisper Systems'ın açıklamasına göre, WhatsApp uygulamasında bir ayar bulunuyor. Bu ayar aktive edildiğinde, eğer sohbet oturumunun taraflarından birinin anahtarları değişirse bu o sohbet oturumuna bir bildirim olarak iletiliyor. Bu ayar tamamen istemci tarafında saklandığı için WhatsApp sunucularının hangi istemcilerde bu ayarın aktif olduğunu önceden bilmesi ve ona göre hedef seçmesi mümkün değil. Bu da bahsedilen arka kapının kullanımını imkansız kılıyor.

Bu aşamada Open Whisper Systems'ın açıklamasında dikkat çeken iki nokta var:

  1. Sözkonusu ayar WhatsApp'ta öntanımlı olarak kapalı geliyor. Kullanıcının bu ayarın varlığını kendisi öğrenip aktive etmesi gerekiyor.
  2. Bir anahtar değişimi olduğunda bu sadece sohbet penceresine bir bildirim olarak düşüyor. Herhangi bir şekilde bunun açık bir güvenlik riski olduğunu ifade eden ve sohbetin ilerlemesine engel olan bir mekanizma bulunmuyor.

Open Whisper Systems bu durumun WhatsApp'ın geniş kullanıcı kitlesinin çoğunun bu tip konularla ilgilenmeyen ve özel bir güvenlik kaygısı taşımayan bireylerden oluşuyor olmasına bağlıyor. Yani bir anlamda "kullanım kolaylığı" adına güvenlik seviyesini kısmayı kabul ediyor. Bu konu yıllardan beri güvenlik çevrelerinde konuşulageliyor. Güvenlik sistemleri genellikle kolay kullanılabilen şeyler olmadıkları gibi genelde kullanıcıların güvenlik konusunu çok ciddiye almamaları ve "piyasanın" kolaylığı güvenlikten üstün tutması sebebiyle bugün kullandığımız çoğu ürün bizim kişisel gizliliğimizi pek de umursamadan hayata geçiriliyor.

Kendi adıma şifreleme dünyasına 2002 yılında sayın FZ'nin bu yazı dizisi ile girmiş ve hiçbir zaman şifreleme/güvenlik sistemleri ile bir sıkıntı yaşamamış bir insan olarak bu konuda fazlamesai.net ahalisinin görüşünü merak ediyorum.

Kapak görseli: Sam Azgor@flickr

Görüşler

0
Zakkum

Konu güvenlik ise eğer mesele yalnızca gelen giden paketlerin nasıl şifrelendiği değil. Büyük boyutta kullanıcı bilgisi toplarken bakın ne güzel uçtan uca şifreliyoruz mesajlarınızı demek olayı biraz sulandırıyor. WhatsApp geçmişinde ciddi güvenlik açıkları yaşadı. Bundan daha doğal bir şey de olamaz çünkü merkezi bir sunucu üzerinden gerçekleşen iletişim en nihayetinde ne kadar güvenli olabilir ki. İnternet bize kitle davranış ve psikolojisi ile ilgili epey veri sağlıyor. Bazı uygulamalar bir tür bando arabası etkisi (bandwagon effect) ile aradan sıyrılıyor. Buna bir de kitlelerin bilgeliği eklenirse, yaptığınız ürünü milyar dolarlara satabiliyorsunuz. WhatsApp bunlardan sadece biri.

Güvenlik konusu ile ilgili şahsi tavrım iki madde de özetlenebilir.

1.Popüler olan güvenli değildir.

2.P2P’den ötesi yalandır.

Şaka bir tarafa gerek anında mesajlaşma gerekse genel ağ alt yapısı olarak geleceğin P2P ve benzeri sistemlerde olduğunu düşünüyorum.

1
ErenTurkay

WhatsApp geçmişinde ciddi güvenlik açıkları yaşadı. Bundan daha doğal bir şey de olamaz çünkü merkezi bir sunucu üzerinden gerçekleşen iletişim en nihayetinde ne kadar güvenli olabilir ki

Buna katilmiyorum. Ayni anaolji ile HTTPS de guvensiz denmis oluyor ki merkezi bir sunucu ile iletisime geciliyor ve dogru yapilandirildigi zaman gayet guvenli. Buradaki problem sunucunun merkezi ya da P2P oldugu ile alakali degil. P2P olsaydi da ayni durum soz konusu olacakti. Madde halinde yazdiklarinizi destekleyecek somut ornekler verebilirseniz daha saglikli olacagini dusunuyorum. Bu hali ile maalesef spekulasyondan oteye gecmiyor.

2
ErenTurkay

Buradaki tartisma konusu biraz da kullanilabilirlik ve guvenlik uzerinde. Arastirma konusu olan "guvenlik acigi" ana akim medya tarafindan sanki butun mesajlar okunabilecek ve WhatsApp arka kapi koymus gibi veriliyor ki yazida aciklandigi gibi durum boyle degil.

Durum: Kullanici offline oldu, yeni bir cihaz aldi veya MITM yapilarak araya girildi, dolayisiyla yeni bir anahtar olusturuldu ancak diger butun kisilerde eski anahtar var. Kullanicinin offline olmasi ile yeniden online olma arasinda birtakim mesajlar gonderildi.

Burada 2 secenek var: 1. Signal: Bu gonderilen mesajlari ve sonrasinda gonderilecek olan mesajlari karsi tarafa ulastirmayip, manuel olarak 2 kullanici arasinda anahtarlari dogrulamayi istiyor. Bu telefonlari ayni ortamda bulundurup QR code okutmayi iceriyor. Kullanilabilirlikten odun veriyor. 2. WhatsApp: Bir trade-off yaparak kullanilabilrligi tercih ediyor. Karsi taraf ile anahtar dogrulamasini otomatik yapiyor ve bildirim olarak "bu kullanicinin anahtari degisti" mesaji gonderiyor (eger secili ise). Offline olarak gonderilen mesajlar yeni anahtar ile sifrelenip kullaniciya gonderiliyor ve bu da MITM'a olanak olusturuyor.

WhatsApp milyonlarca kisiye uctan uca sifreleme sunarak mesajlasma uzerinde devlet denetimini daha da zorlastirdigi icin onemli bir teknoloji. Hicbir sekilde bunu uygulamayip yollarina devam edebilirlerdi ancak bunu tercih etmediler. WhatsApp ya da Facebook'u baska her turlu sebepten elestirebiliriz ancak uctan uca sifrelemeyi milyonlarca kisiye cok kolay bir bicimde saglamak bunlardan biri degil.

Ayrica WhatsApp "yazilarinizi kimse goremez" araci degil. Sadece son kullanici icin yeterince guvenli bir mesajlasma araci. Eger daha buyuk bir derdiniz var ise kullanilabilirlikten odun verip baska araclar kullanmaniz en mantikli hareket.

1
ErenTurkay

Bruce Schneier'in konu hakkindaki blog girdisini de buraya ekleyelim.

https://www.schneier.com/blog/archives/2017/01/whatsapp_securi.html

1
FZ

Zeynep Tufekci'nin su yazisi da cok iyi.

1
Zakkum

Son zamanlarda okuduğum en "boş" yazılardan biri olduğu için okumayanlar için kısa bir özet geçeyim istedim.

Yazı, iki cümlelik bir önerme nasıl olabildiğince uzatılır ve uzatılırken söz konusu önerme tekrar tekrar nasıl vurgulanır tekniğine güzel bir örnek olmuş. Koca yazı "güvenlik ile ilgili bir haberi abartarak insanların psikolojisini bozuyorsunuz ve WhatsApp dışındaki yazılımlara yönelmelerine neden oluyorsunuz" gibisinden bir serzenişten ibaret. Doğru dürüst bir teknik çözümleme mevcut değil. İnsan düşünmeden edemiyor; bir akademisyen bir ticari yazılımı kimin kullanıp kullanmadığına neden bu kadar kafayı takar ve popüler olan bir yazılımın kullanıcı kaybı yaşama ihtimali ile neden bu kadar ilgilenir. Hele sürekli tekrarlanan aşı benzetmesi olayı var ki insanı ayrıca işkillendiriyor zira bu konu uzun zamandır tartışılmakta ve tartışmanın taraflarından birinin yine büyük şirketler, aşı üretiminden milyar dolarlar kazanan ilaç sanayi olduğunu herkes bilir. Sanki yazı bir taşla iki kuş vurmak için kaleme alınmış izlenimi vermekte.

Yazıdaki iddiaya göre insanlar WhatApp'a atılan "iftira" nedeniyle daha az güvenli yazılımlar kullanmaya başlamış. Var mı bunu gösteren elle tutulur bir veri yazıda, tabi ki yok. Hayır sanki insanlar WhasApp'ı bırakıp dumanla filan haberleşmeye başladı, öyle bir durum var anlatıldığına göre ortada. Yoz tüccarın insanların zekasıyla oynaması doğası gereği affedilebilir de eğitimli insanın bunu yapması çekilir iş değil doğrusu.

Şunu da buraya bırakalım yararı olur.

1
ErenTurkay

İnsan düşünmeden edemiyor; bir akademisyen bir ticari yazılımı kimin kullanıp kullanmadığına neden bu kadar kafayı takar ve popüler olan bir yazılımın kullanıcı kaybı yaşama ihtimali ile neden bu kadar ilgilenir.

Zeynep Tufekci'nin populer bir yazilimin kullanici kaybi ile ilgilendigini hic zannetmiyorum ve yazdigi yazida buna dair bir emare mevcut degil. Bahsedilen su:

Since the publication of this story, we’ve observed and heard from worried activists, journalists and ordinary people who use WhatsApp, who tell us that people are switching to SMS and Facebook Messenger, among other options–many services that are strictly less secure than WhatsApp.

Burada kalkip baglantida oldugu aktivistlerin, gazetecilerin isimlerini teker teker yazip "alin elimde veri var" demesini beklemeyin lutfen.

Yazinin tamamini okudunuz mu bilmiyorum ancak yukarida yazdiginiz butun yorumlarin cevabini bulabilirsiniz. Alintilayacak olursam:

Signal is well-designed. Many in the security community use and consistently recommend it. However, the very thing that makes Signal a recommendation for people at high risk—that it drops messages at any sign of hiccup—prevents a large number of ordinary people from adopting it. Our community has used Signal for a long time, and have been trying to convert people to it, but its inevitable delivery failures (some by design, to keep users safer, and some due to bandwidth or other issues) mean that we often cannot convince people to use it despite spending a lot of effort trying to convince them—even people who have a lot at stake.

Onceki yorumlarimda bahsettigim gibi burada backdoor mevcut degil, kullanilabilirlik icin yapilmis bir trade-off mevcut. Bu sekilde "whatsapp guvenli degil, icerisinde backdoor var" gibi yanlis bir yaziyi Guardian'da yayinlarsaniz, FUD yaymis olursunuz. Bu da konu hakkinda pek bilgisi olmayan ancak tek istegi kolay ve guvenli bir bicimde mesajlasmak olan insanlarin kafalarinin karismasina neden olur. Sonuc olarak da guvensiz alternatiflere sirf herhangi bir web sitesi "guvenli" diyor diye yonlenebilirler.

The reason people, including journalists and activists, use WhatsApp over Signal isn’t because people are flaky, but because in the real world, reliability, usability and a large user base are key to security. Activists and journalists communicate a lot with ordinary people, and need to be certain that their messages are communicated as reliably as possible, using the same system as their recipient will use–hence the advantage of WhatsApp with its huge user base.

Yukarida yazdigim yorumu tekrar ediyorum, Facebook'u yaptigi diger her sey uzerinden elestirebilirsiniz ancak WhatsApp'in milyonlarca normal insana uctan-uca sifrelemeyi kolay ve kullanilabilir bir bicimde sunmasi bunlardan biri degil. Ayni zamanda hepimiz biliyoruz ki Guardian haberi tamamiyle yaniltici ve attiklari baslik baska bir sekilde olmaliydi.

Görüş belirtmek için giriş yapın...

İlgili Yazılar

Hamburger, spyware ve cahillik

anonim

Japonya Mc Donalds promosyonal olarak dağıttığı 10000 flashdisk Mp3 playerlerin spywareli olduğu ortaya çıktı. Sözkonusu spyware programının bulaştığı bilgisayarlarda kullanıcı isimleri ve şifreleri saldırganlara iletebileceği anlaşıldı.

Web sayfasında adres yayınlamak...

sundance

İnsanların size ulaşabilmesi için web sayfanızda adresinizi yayınlamak istiyorsunuz, fakat sayfaları dolaşıp email adresi toplayan web spiderlarından da illallah dediniz. Adresinizi sundance at fazlamesai nokta net veya fazlamesai.net de sundance diye yazdınız, bu sefer de ortalama IT müdürünün bu adresi anlayıp anlamayacağından endişe etmeye başladınız :)

Bu java script sayesinde artık böyle bir derdiniz kalmayacak. Sayfaya girip email adresinizi yazın ve anında size hiçbir spiderın anlayamayacağı karmaşıklıkta geri verilsin. Hem de sayfa üstündeki görüntüsünde ve linkinde hiçbir sorun olmadan. Dahası Javascripti sadece karmaşıklaştırılmış adresinizi bir kez oluşturmak için kullanıyorsunuz, sayfanıza girecek kullanıcıların browserlarında olması da gerekli değil.

Kriptografi ne kadar güvenli?

e2e

Bir süredir devam eden, ABD'nin, İran gizli servisinin iletişimini izlediği yönündeki tartışmaları duymuşsunuzdur. Olay ilk önce bu bilgiyi İran'ın nasıl elde ettiği etrafında dönüyordu. Senaryolardan en kuvvetli olanı ise bir dönemler ABD'nin Irak'ta en çok güvendiği ve gizli servis hizmetlerinden dolayı aylık $335,000 ödediği Ahmad Chalabi'nin bu bilgiyi, içkili bir ABD gizli servis ajanından aldığı ve İran'a verdiğiydi.

BBC'deki bu haber ise olayın teknik olarak nasıl yapılıyor olabileceği üzerinde duruyor.
Çeşitli güvenlik uzmanlarıyla yapılan röportajlardan alıntılarla günümüz kriptografi uygulamalarının kırılamayacağı, bu izleme olayının insan hatası(?) veya bir backdoor sayesinde yapılmış olabileceği anlatılıyor.

Alıntılardan biri beni biraz düşündürttü: Acaba?!

"The Code Book" kitabının yazarı Simon Singh: "... Bugün bir email göndersem, dünyanın tüm gizli servisleri, dünyanın tüm bilgisayarlarını kullansalar dahi çözemezler. Şifrelemeyi yapanlar şifre kırıcıları karşısında oldukça büyük bir avantaja sahipler."

RFC 3514

urxalit

Netcraft´taki habere göre 1 Nisan 2003 tarihinde yayınlanan RFC 3514 ile ipv4 paketlerine bir güvenlik biti eklenecek ve bu bitin "good" veya "evil" olmasına göre güvenlik duvarları için paketleri droplamak çok kolay ve zahmetsiz olacak.

Eğer bu RFC hayata geçerse, ABD hükümeti (haberde doğrudan ABD hükümet kuruluşları için diyor) kullandığı güvenlik duvarlarını güncelleyip basitçe, kafasını bozan "terörist" ülkelerden gelen paketleri droplayabilir. Tabi Internet trafiğinin neredeyse %80´inin ABD´de aktığı düşünülürse o ülkeye de Interneti bloklamış olur..

İngilizcesi benden iyi olan arkadaşlar belki haberi çevirebilir.

Internet Tarayıcınız Ne Kadar Güvenli?

FZ

Sizi bilmem ama scanit firmasının Browser Security Test sistemi ile Windows 2000 Pro Service Pack 2 ve IE 5.0 yüklü sistemimi kontrol (Start The Test linkine tıklayarak) ettiğimde (yaklaşık 3-4 dakika süren ve bir sürü popup pencere açan bir test, panik yapmayın :) aşağıdaki sonuçları elde ettim: