9344676230 55dbffe0f0 b

Güvenli veya kolay: Birini seçmek zorunda mıyız? (veya: WhatsApp gerçekten güvenli mi?)

3
tongucyumruk

Geçtiğimiz hafta ortalık The Guardian'ın yayınladığı WhatsApp'taki güvenlik açığı mesajlarınızın dinlenmesini mümkün kılıyor haberi ile çalkalandı. WhatsApp'ın da kullandığı Signal protokolünü geliştiren Open Whisper Systems'tan cevap gelmekte gecikmedi: WhatsApp'ta bir arka kapı yoktur. Peki ne oldu? Gündemi takip edemeyenler için bir TL;DR sunmakta fayda olacağını düşünüyorum.

WhatsApp özellikle Open Whisper Systems ile birlikte çalışarak altyapısını Signal protokolünü kullanacak şekilde güncellediği günden bu yana "o kadar güvenli ki biz bile mesajlarınızı okuyamıyoruz" iddiasını ciddi bir pazarlama aracı olarak kullanmaya başlamıştı. Detaylarını yukarıdaki linkten okuyabileceğiniz Signal protokolü sayesinde mesajlar taraflar arasında tamamen şifreli olarak iletiliyor ve aradaki herhangi bir aracı kurumun bu mesajları okuyamadığı iddia ediliyordu.

The Guardian'ın haberi California Berkeley Üniversitesinde güvenlik üzerine araştırma yapan Tobias Boelter'in bir çalışması üzerine ortaya çıktı. Ortaya çıkan güvenlik açığı şöyle: WhatsApp sunucuları çevrimdışı olan bir istemciden, yeniden çevrimici olduğu zaman, kullanıcının haberi olmadan şifreleme anahtarlarını yenilemesini isteyebiliyor. Boelter'in ve The Guardian'ın iddiası WhatsApp'in sahibi olan Facebook'un bu anahtar değişimi sayesinde bir araya girme (Man ın the Middle - MitM) saldırısı yaparak iletişimi dinleyebileceği ve bu bilgileri üçüncü partilerle paylaşabileceği yönünde.

The Guardian'ın bu haberi üzerine ortalık çalkalanmaya başlayınca Open Whisper Systems bir açıklama yaparak sözkonusu açığın gerçekçi olmadığını, bu yöntemin bir iletişimi dinlemek amacıyla kullanılamayacağını açıkladı. Open Whisper Systems'ın açıklamasına göre, WhatsApp uygulamasında bir ayar bulunuyor. Bu ayar aktive edildiğinde, eğer sohbet oturumunun taraflarından birinin anahtarları değişirse bu o sohbet oturumuna bir bildirim olarak iletiliyor. Bu ayar tamamen istemci tarafında saklandığı için WhatsApp sunucularının hangi istemcilerde bu ayarın aktif olduğunu önceden bilmesi ve ona göre hedef seçmesi mümkün değil. Bu da bahsedilen arka kapının kullanımını imkansız kılıyor.

Bu aşamada Open Whisper Systems'ın açıklamasında dikkat çeken iki nokta var:

  1. Sözkonusu ayar WhatsApp'ta öntanımlı olarak kapalı geliyor. Kullanıcının bu ayarın varlığını kendisi öğrenip aktive etmesi gerekiyor.
  2. Bir anahtar değişimi olduğunda bu sadece sohbet penceresine bir bildirim olarak düşüyor. Herhangi bir şekilde bunun açık bir güvenlik riski olduğunu ifade eden ve sohbetin ilerlemesine engel olan bir mekanizma bulunmuyor.

Open Whisper Systems bu durumun WhatsApp'ın geniş kullanıcı kitlesinin çoğunun bu tip konularla ilgilenmeyen ve özel bir güvenlik kaygısı taşımayan bireylerden oluşuyor olmasına bağlıyor. Yani bir anlamda "kullanım kolaylığı" adına güvenlik seviyesini kısmayı kabul ediyor. Bu konu yıllardan beri güvenlik çevrelerinde konuşulageliyor. Güvenlik sistemleri genellikle kolay kullanılabilen şeyler olmadıkları gibi genelde kullanıcıların güvenlik konusunu çok ciddiye almamaları ve "piyasanın" kolaylığı güvenlikten üstün tutması sebebiyle bugün kullandığımız çoğu ürün bizim kişisel gizliliğimizi pek de umursamadan hayata geçiriliyor.

Kendi adıma şifreleme dünyasına 2002 yılında sayın FZ'nin bu yazı dizisi ile girmiş ve hiçbir zaman şifreleme/güvenlik sistemleri ile bir sıkıntı yaşamamış bir insan olarak bu konuda fazlamesai.net ahalisinin görüşünü merak ediyorum.

Kapak görseli: Sam Azgor@flickr

Görüşler

0
Zakkum

Konu güvenlik ise eğer mesele yalnızca gelen giden paketlerin nasıl şifrelendiği değil. Büyük boyutta kullanıcı bilgisi toplarken bakın ne güzel uçtan uca şifreliyoruz mesajlarınızı demek olayı biraz sulandırıyor. WhatsApp geçmişinde ciddi güvenlik açıkları yaşadı. Bundan daha doğal bir şey de olamaz çünkü merkezi bir sunucu üzerinden gerçekleşen iletişim en nihayetinde ne kadar güvenli olabilir ki. İnternet bize kitle davranış ve psikolojisi ile ilgili epey veri sağlıyor. Bazı uygulamalar bir tür bando arabası etkisi (bandwagon effect) ile aradan sıyrılıyor. Buna bir de kitlelerin bilgeliği eklenirse, yaptığınız ürünü milyar dolarlara satabiliyorsunuz. WhatsApp bunlardan sadece biri.

Güvenlik konusu ile ilgili şahsi tavrım iki madde de özetlenebilir.

1.Popüler olan güvenli değildir.

2.P2P’den ötesi yalandır.

Şaka bir tarafa gerek anında mesajlaşma gerekse genel ağ alt yapısı olarak geleceğin P2P ve benzeri sistemlerde olduğunu düşünüyorum.

1
ErenTurkay

WhatsApp geçmişinde ciddi güvenlik açıkları yaşadı. Bundan daha doğal bir şey de olamaz çünkü merkezi bir sunucu üzerinden gerçekleşen iletişim en nihayetinde ne kadar güvenli olabilir ki

Buna katilmiyorum. Ayni anaolji ile HTTPS de guvensiz denmis oluyor ki merkezi bir sunucu ile iletisime geciliyor ve dogru yapilandirildigi zaman gayet guvenli. Buradaki problem sunucunun merkezi ya da P2P oldugu ile alakali degil. P2P olsaydi da ayni durum soz konusu olacakti. Madde halinde yazdiklarinizi destekleyecek somut ornekler verebilirseniz daha saglikli olacagini dusunuyorum. Bu hali ile maalesef spekulasyondan oteye gecmiyor.

2
ErenTurkay

Buradaki tartisma konusu biraz da kullanilabilirlik ve guvenlik uzerinde. Arastirma konusu olan "guvenlik acigi" ana akim medya tarafindan sanki butun mesajlar okunabilecek ve WhatsApp arka kapi koymus gibi veriliyor ki yazida aciklandigi gibi durum boyle degil.

Durum: Kullanici offline oldu, yeni bir cihaz aldi veya MITM yapilarak araya girildi, dolayisiyla yeni bir anahtar olusturuldu ancak diger butun kisilerde eski anahtar var. Kullanicinin offline olmasi ile yeniden online olma arasinda birtakim mesajlar gonderildi.

Burada 2 secenek var: 1. Signal: Bu gonderilen mesajlari ve sonrasinda gonderilecek olan mesajlari karsi tarafa ulastirmayip, manuel olarak 2 kullanici arasinda anahtarlari dogrulamayi istiyor. Bu telefonlari ayni ortamda bulundurup QR code okutmayi iceriyor. Kullanilabilirlikten odun veriyor. 2. WhatsApp: Bir trade-off yaparak kullanilabilrligi tercih ediyor. Karsi taraf ile anahtar dogrulamasini otomatik yapiyor ve bildirim olarak "bu kullanicinin anahtari degisti" mesaji gonderiyor (eger secili ise). Offline olarak gonderilen mesajlar yeni anahtar ile sifrelenip kullaniciya gonderiliyor ve bu da MITM'a olanak olusturuyor.

WhatsApp milyonlarca kisiye uctan uca sifreleme sunarak mesajlasma uzerinde devlet denetimini daha da zorlastirdigi icin onemli bir teknoloji. Hicbir sekilde bunu uygulamayip yollarina devam edebilirlerdi ancak bunu tercih etmediler. WhatsApp ya da Facebook'u baska her turlu sebepten elestirebiliriz ancak uctan uca sifrelemeyi milyonlarca kisiye cok kolay bir bicimde saglamak bunlardan biri degil.

Ayrica WhatsApp "yazilarinizi kimse goremez" araci degil. Sadece son kullanici icin yeterince guvenli bir mesajlasma araci. Eger daha buyuk bir derdiniz var ise kullanilabilirlikten odun verip baska araclar kullanmaniz en mantikli hareket.

1
ErenTurkay

Bruce Schneier'in konu hakkindaki blog girdisini de buraya ekleyelim.

https://www.schneier.com/blog/archives/2017/01/whatsapp_securi.html

1
FZ

Zeynep Tufekci'nin su yazisi da cok iyi.

1
Zakkum

Son zamanlarda okuduğum en "boş" yazılardan biri olduğu için okumayanlar için kısa bir özet geçeyim istedim.

Yazı, iki cümlelik bir önerme nasıl olabildiğince uzatılır ve uzatılırken söz konusu önerme tekrar tekrar nasıl vurgulanır tekniğine güzel bir örnek olmuş. Koca yazı "güvenlik ile ilgili bir haberi abartarak insanların psikolojisini bozuyorsunuz ve WhatsApp dışındaki yazılımlara yönelmelerine neden oluyorsunuz" gibisinden bir serzenişten ibaret. Doğru dürüst bir teknik çözümleme mevcut değil. İnsan düşünmeden edemiyor; bir akademisyen bir ticari yazılımı kimin kullanıp kullanmadığına neden bu kadar kafayı takar ve popüler olan bir yazılımın kullanıcı kaybı yaşama ihtimali ile neden bu kadar ilgilenir. Hele sürekli tekrarlanan aşı benzetmesi olayı var ki insanı ayrıca işkillendiriyor zira bu konu uzun zamandır tartışılmakta ve tartışmanın taraflarından birinin yine büyük şirketler, aşı üretiminden milyar dolarlar kazanan ilaç sanayi olduğunu herkes bilir. Sanki yazı bir taşla iki kuş vurmak için kaleme alınmış izlenimi vermekte.

Yazıdaki iddiaya göre insanlar WhatApp'a atılan "iftira" nedeniyle daha az güvenli yazılımlar kullanmaya başlamış. Var mı bunu gösteren elle tutulur bir veri yazıda, tabi ki yok. Hayır sanki insanlar WhasApp'ı bırakıp dumanla filan haberleşmeye başladı, öyle bir durum var anlatıldığına göre ortada. Yoz tüccarın insanların zekasıyla oynaması doğası gereği affedilebilir de eğitimli insanın bunu yapması çekilir iş değil doğrusu.

Şunu da buraya bırakalım yararı olur.

1
ErenTurkay

İnsan düşünmeden edemiyor; bir akademisyen bir ticari yazılımı kimin kullanıp kullanmadığına neden bu kadar kafayı takar ve popüler olan bir yazılımın kullanıcı kaybı yaşama ihtimali ile neden bu kadar ilgilenir.

Zeynep Tufekci'nin populer bir yazilimin kullanici kaybi ile ilgilendigini hic zannetmiyorum ve yazdigi yazida buna dair bir emare mevcut degil. Bahsedilen su:

Since the publication of this story, we’ve observed and heard from worried activists, journalists and ordinary people who use WhatsApp, who tell us that people are switching to SMS and Facebook Messenger, among other options–many services that are strictly less secure than WhatsApp.

Burada kalkip baglantida oldugu aktivistlerin, gazetecilerin isimlerini teker teker yazip "alin elimde veri var" demesini beklemeyin lutfen.

Yazinin tamamini okudunuz mu bilmiyorum ancak yukarida yazdiginiz butun yorumlarin cevabini bulabilirsiniz. Alintilayacak olursam:

Signal is well-designed. Many in the security community use and consistently recommend it. However, the very thing that makes Signal a recommendation for people at high risk—that it drops messages at any sign of hiccup—prevents a large number of ordinary people from adopting it. Our community has used Signal for a long time, and have been trying to convert people to it, but its inevitable delivery failures (some by design, to keep users safer, and some due to bandwidth or other issues) mean that we often cannot convince people to use it despite spending a lot of effort trying to convince them—even people who have a lot at stake.

Onceki yorumlarimda bahsettigim gibi burada backdoor mevcut degil, kullanilabilirlik icin yapilmis bir trade-off mevcut. Bu sekilde "whatsapp guvenli degil, icerisinde backdoor var" gibi yanlis bir yaziyi Guardian'da yayinlarsaniz, FUD yaymis olursunuz. Bu da konu hakkinda pek bilgisi olmayan ancak tek istegi kolay ve guvenli bir bicimde mesajlasmak olan insanlarin kafalarinin karismasina neden olur. Sonuc olarak da guvensiz alternatiflere sirf herhangi bir web sitesi "guvenli" diyor diye yonlenebilirler.

The reason people, including journalists and activists, use WhatsApp over Signal isn’t because people are flaky, but because in the real world, reliability, usability and a large user base are key to security. Activists and journalists communicate a lot with ordinary people, and need to be certain that their messages are communicated as reliably as possible, using the same system as their recipient will use–hence the advantage of WhatsApp with its huge user base.

Yukarida yazdigim yorumu tekrar ediyorum, Facebook'u yaptigi diger her sey uzerinden elestirebilirsiniz ancak WhatsApp'in milyonlarca normal insana uctan-uca sifrelemeyi kolay ve kullanilabilir bir bicimde sunmasi bunlardan biri degil. Ayni zamanda hepimiz biliyoruz ki Guardian haberi tamamiyle yaniltici ve attiklari baslik baska bir sekilde olmaliydi.

Görüş belirtmek için giriş yapın...

İlgili Yazılar

LKD listeleri yeniden düzenleniyor

rootshell

Linux.org.tr´da Mustafa Akgül hocamızın imzasıyla yayınlanan açıklamaya göre LKD listeleri çıkan bir problem yüzünden yeniden oluşturulmuştur, eski üyeler ve yenileri lütfen müdüriyete ;)

Rootshell´e not: Lütfen bir dahaki sefere metni aldığın yerin urlini yazarsan, haberine müdahale etmek zorunda kalmayız.

İnternet Sözleşmelerini Okumadan Kabul Etmeyin!

anonim

İnternetteki programların üyelik ve kullanım sözleşmelerinin okunmadan kabul edilmesinin verilen kişisel bilgilerin ve bilgisayarda kayıtlı bulunan belgelerin güvenliğini ortadan kaldırdığı bildirildi.

İstanbul´da Siber Savaş (Hacking) Yarışması!

FZ

SİBER SAVAŞ OYUNLARI 2002 Başlıyor!

Sizleri, bilgisayarları korumak ya da güvenlik önlemlerini aşmak konusundaki becerilerinizi bir eğlenceye dönüştürecek "Siber Savaş Oyunları 2002"ye katılmaya davet ediyoruz.

Bilgisayar güvenliği alanındaki deneyiminizi göstermeye hazır mısınız?

19-21 Aralık 2002 tarihlerinde Istanbul Harbiye Kültür Merkezi (Askeri Müze)'de gerçekleştirilecek "VIII. Türkiye'de Internet Konferansı" (inet-tr'02) kapsamında düzenlenecek Siber Savaş Oyunları yarışmasında iki seçeneğiniz var:

Kim Demiş Linux Daha Güvenli Diye

sametc

Burak diye bir arkadaşımız yazmış MS Windows'un GNU/Linux'tan daha guvenli olduğundan bahsediyor :) Hele ve hele son sözü "açık kaynak cazibesine kapılıp guvenliği bir kenara bırakmayın" beni güldürdü, yorumlarını ise size bırakıyorum: http://www.bcnetweb.com/linux/index.php?id=20

Linux kaynak koduna gizlice sızma denemesi

anonim

ntvmsnbc'nin haberine göre kötü niyetli biri Linux çekirdeğinin yeni versiyonuna bir trojan yüklemeye çalışmış.

‘Bitkeeper’ kaynak kodu güvenlik birimi, dışardan gelen bu müdahaleyi 24 saat içerisinde tespit ederek açık veritabanını kapadı, böylece kötü niyetli yazılımcının çekirdek üzerinde yapmak istediği değişiklikler Linux kodlarına yansımadı. Bitkeeper’ın yazılımcısı Larry McVoy söz konusu tehdidin sonuca ulaşmadığını belirtti.