Geçtiğimiz hafta ortalık The Guardian'ın yayınladığı WhatsApp'taki güvenlik açığı mesajlarınızın dinlenmesini mümkün kılıyor haberi ile çalkalandı. WhatsApp'ın da kullandığı Signal protokolünü geliştiren Open Whisper Systems'tan cevap gelmekte gecikmedi: WhatsApp'ta bir arka kapı yoktur. Peki ne oldu? Gündemi takip edemeyenler için bir TL;DR sunmakta fayda olacağını düşünüyorum.
WhatsApp özellikle Open Whisper Systems ile birlikte çalışarak altyapısını Signal protokolünü kullanacak şekilde güncellediği günden bu yana "o kadar güvenli ki biz bile mesajlarınızı okuyamıyoruz" iddiasını ciddi bir pazarlama aracı olarak kullanmaya başlamıştı. Detaylarını yukarıdaki linkten okuyabileceğiniz Signal protokolü sayesinde mesajlar taraflar arasında tamamen şifreli olarak iletiliyor ve aradaki herhangi bir aracı kurumun bu mesajları okuyamadığı iddia ediliyordu.
The Guardian'ın haberi California Berkeley Üniversitesinde güvenlik üzerine araştırma yapan Tobias Boelter'in bir çalışması üzerine ortaya çıktı. Ortaya çıkan güvenlik açığı şöyle: WhatsApp sunucuları çevrimdışı olan bir istemciden, yeniden çevrimici olduğu zaman, kullanıcının haberi olmadan şifreleme anahtarlarını yenilemesini isteyebiliyor. Boelter'in ve The Guardian'ın iddiası WhatsApp'in sahibi olan Facebook'un bu anahtar değişimi sayesinde bir araya girme (Man ın the Middle - MitM) saldırısı yaparak iletişimi dinleyebileceği ve bu bilgileri üçüncü partilerle paylaşabileceği yönünde.
The Guardian'ın bu haberi üzerine ortalık çalkalanmaya başlayınca Open Whisper Systems bir açıklama yaparak sözkonusu açığın gerçekçi olmadığını, bu yöntemin bir iletişimi dinlemek amacıyla kullanılamayacağını açıkladı. Open Whisper Systems'ın açıklamasına göre, WhatsApp uygulamasında bir ayar bulunuyor. Bu ayar aktive edildiğinde, eğer sohbet oturumunun taraflarından birinin anahtarları değişirse bu o sohbet oturumuna bir bildirim olarak iletiliyor. Bu ayar tamamen istemci tarafında saklandığı için WhatsApp sunucularının hangi istemcilerde bu ayarın aktif olduğunu önceden bilmesi ve ona göre hedef seçmesi mümkün değil. Bu da bahsedilen arka kapının kullanımını imkansız kılıyor.
Bu aşamada Open Whisper Systems'ın açıklamasında dikkat çeken iki nokta var:
- Sözkonusu ayar WhatsApp'ta öntanımlı olarak kapalı geliyor. Kullanıcının bu ayarın varlığını kendisi öğrenip aktive etmesi gerekiyor.
- Bir anahtar değişimi olduğunda bu sadece sohbet penceresine bir bildirim olarak düşüyor. Herhangi bir şekilde bunun açık bir güvenlik riski olduğunu ifade eden ve sohbetin ilerlemesine engel olan bir mekanizma bulunmuyor.
Open Whisper Systems bu durumun WhatsApp'ın geniş kullanıcı kitlesinin çoğunun bu tip konularla ilgilenmeyen ve özel bir güvenlik kaygısı taşımayan bireylerden oluşuyor olmasına bağlıyor. Yani bir anlamda "kullanım kolaylığı" adına güvenlik seviyesini kısmayı kabul ediyor. Bu konu yıllardan beri güvenlik çevrelerinde konuşulageliyor. Güvenlik sistemleri genellikle kolay kullanılabilen şeyler olmadıkları gibi genelde kullanıcıların güvenlik konusunu çok ciddiye almamaları ve "piyasanın" kolaylığı güvenlikten üstün tutması sebebiyle bugün kullandığımız çoğu ürün bizim kişisel gizliliğimizi pek de umursamadan hayata geçiriliyor.
Kendi adıma şifreleme dünyasına 2002 yılında sayın FZ'nin bu yazı dizisi ile girmiş ve hiçbir zaman şifreleme/güvenlik sistemleri ile bir sıkıntı yaşamamış bir insan olarak bu konuda fazlamesai.net ahalisinin görüşünü merak ediyorum.
Kapak görseli: Sam Azgor@flickr
Konu güvenlik ise eğer mesele yalnızca gelen giden paketlerin nasıl şifrelendiği değil. Büyük boyutta kullanıcı bilgisi toplarken bakın ne güzel uçtan uca şifreliyoruz mesajlarınızı demek olayı biraz sulandırıyor. WhatsApp geçmişinde ciddi güvenlik açıkları yaşadı. Bundan daha doğal bir şey de olamaz çünkü merkezi bir sunucu üzerinden gerçekleşen iletişim en nihayetinde ne kadar güvenli olabilir ki. İnternet bize kitle davranış ve psikolojisi ile ilgili epey veri sağlıyor. Bazı uygulamalar bir tür bando arabası etkisi (bandwagon effect) ile aradan sıyrılıyor. Buna bir de kitlelerin bilgeliği eklenirse, yaptığınız ürünü milyar dolarlara satabiliyorsunuz. WhatsApp bunlardan sadece biri.
Güvenlik konusu ile ilgili şahsi tavrım iki madde de özetlenebilir.
1.Popüler olan güvenli değildir.
2.P2P’den ötesi yalandır.
Şaka bir tarafa gerek anında mesajlaşma gerekse genel ağ alt yapısı olarak geleceğin P2P ve benzeri sistemlerde olduğunu düşünüyorum.