9344676230 55dbffe0f0 b

Güvenli veya kolay: Birini seçmek zorunda mıyız? (veya: WhatsApp gerçekten güvenli mi?)

3
tongucyumruk

Geçtiğimiz hafta ortalık The Guardian'ın yayınladığı WhatsApp'taki güvenlik açığı mesajlarınızın dinlenmesini mümkün kılıyor haberi ile çalkalandı. WhatsApp'ın da kullandığı Signal protokolünü geliştiren Open Whisper Systems'tan cevap gelmekte gecikmedi: WhatsApp'ta bir arka kapı yoktur. Peki ne oldu? Gündemi takip edemeyenler için bir TL;DR sunmakta fayda olacağını düşünüyorum.

WhatsApp özellikle Open Whisper Systems ile birlikte çalışarak altyapısını Signal protokolünü kullanacak şekilde güncellediği günden bu yana "o kadar güvenli ki biz bile mesajlarınızı okuyamıyoruz" iddiasını ciddi bir pazarlama aracı olarak kullanmaya başlamıştı. Detaylarını yukarıdaki linkten okuyabileceğiniz Signal protokolü sayesinde mesajlar taraflar arasında tamamen şifreli olarak iletiliyor ve aradaki herhangi bir aracı kurumun bu mesajları okuyamadığı iddia ediliyordu.

The Guardian'ın haberi California Berkeley Üniversitesinde güvenlik üzerine araştırma yapan Tobias Boelter'in bir çalışması üzerine ortaya çıktı. Ortaya çıkan güvenlik açığı şöyle: WhatsApp sunucuları çevrimdışı olan bir istemciden, yeniden çevrimici olduğu zaman, kullanıcının haberi olmadan şifreleme anahtarlarını yenilemesini isteyebiliyor. Boelter'in ve The Guardian'ın iddiası WhatsApp'in sahibi olan Facebook'un bu anahtar değişimi sayesinde bir araya girme (Man ın the Middle - MitM) saldırısı yaparak iletişimi dinleyebileceği ve bu bilgileri üçüncü partilerle paylaşabileceği yönünde.

The Guardian'ın bu haberi üzerine ortalık çalkalanmaya başlayınca Open Whisper Systems bir açıklama yaparak sözkonusu açığın gerçekçi olmadığını, bu yöntemin bir iletişimi dinlemek amacıyla kullanılamayacağını açıkladı. Open Whisper Systems'ın açıklamasına göre, WhatsApp uygulamasında bir ayar bulunuyor. Bu ayar aktive edildiğinde, eğer sohbet oturumunun taraflarından birinin anahtarları değişirse bu o sohbet oturumuna bir bildirim olarak iletiliyor. Bu ayar tamamen istemci tarafında saklandığı için WhatsApp sunucularının hangi istemcilerde bu ayarın aktif olduğunu önceden bilmesi ve ona göre hedef seçmesi mümkün değil. Bu da bahsedilen arka kapının kullanımını imkansız kılıyor.

Bu aşamada Open Whisper Systems'ın açıklamasında dikkat çeken iki nokta var:

  1. Sözkonusu ayar WhatsApp'ta öntanımlı olarak kapalı geliyor. Kullanıcının bu ayarın varlığını kendisi öğrenip aktive etmesi gerekiyor.
  2. Bir anahtar değişimi olduğunda bu sadece sohbet penceresine bir bildirim olarak düşüyor. Herhangi bir şekilde bunun açık bir güvenlik riski olduğunu ifade eden ve sohbetin ilerlemesine engel olan bir mekanizma bulunmuyor.

Open Whisper Systems bu durumun WhatsApp'ın geniş kullanıcı kitlesinin çoğunun bu tip konularla ilgilenmeyen ve özel bir güvenlik kaygısı taşımayan bireylerden oluşuyor olmasına bağlıyor. Yani bir anlamda "kullanım kolaylığı" adına güvenlik seviyesini kısmayı kabul ediyor. Bu konu yıllardan beri güvenlik çevrelerinde konuşulageliyor. Güvenlik sistemleri genellikle kolay kullanılabilen şeyler olmadıkları gibi genelde kullanıcıların güvenlik konusunu çok ciddiye almamaları ve "piyasanın" kolaylığı güvenlikten üstün tutması sebebiyle bugün kullandığımız çoğu ürün bizim kişisel gizliliğimizi pek de umursamadan hayata geçiriliyor.

Kendi adıma şifreleme dünyasına 2002 yılında sayın FZ'nin bu yazı dizisi ile girmiş ve hiçbir zaman şifreleme/güvenlik sistemleri ile bir sıkıntı yaşamamış bir insan olarak bu konuda fazlamesai.net ahalisinin görüşünü merak ediyorum.

Kapak görseli: Sam Azgor@flickr

Görüşler

0
Zakkum

Konu güvenlik ise eğer mesele yalnızca gelen giden paketlerin nasıl şifrelendiği değil. Büyük boyutta kullanıcı bilgisi toplarken bakın ne güzel uçtan uca şifreliyoruz mesajlarınızı demek olayı biraz sulandırıyor. WhatsApp geçmişinde ciddi güvenlik açıkları yaşadı. Bundan daha doğal bir şey de olamaz çünkü merkezi bir sunucu üzerinden gerçekleşen iletişim en nihayetinde ne kadar güvenli olabilir ki. İnternet bize kitle davranış ve psikolojisi ile ilgili epey veri sağlıyor. Bazı uygulamalar bir tür bando arabası etkisi (bandwagon effect) ile aradan sıyrılıyor. Buna bir de kitlelerin bilgeliği eklenirse, yaptığınız ürünü milyar dolarlara satabiliyorsunuz. WhatsApp bunlardan sadece biri.

Güvenlik konusu ile ilgili şahsi tavrım iki madde de özetlenebilir.

1.Popüler olan güvenli değildir.

2.P2P’den ötesi yalandır.

Şaka bir tarafa gerek anında mesajlaşma gerekse genel ağ alt yapısı olarak geleceğin P2P ve benzeri sistemlerde olduğunu düşünüyorum.

1
ErenTurkay

WhatsApp geçmişinde ciddi güvenlik açıkları yaşadı. Bundan daha doğal bir şey de olamaz çünkü merkezi bir sunucu üzerinden gerçekleşen iletişim en nihayetinde ne kadar güvenli olabilir ki

Buna katilmiyorum. Ayni anaolji ile HTTPS de guvensiz denmis oluyor ki merkezi bir sunucu ile iletisime geciliyor ve dogru yapilandirildigi zaman gayet guvenli. Buradaki problem sunucunun merkezi ya da P2P oldugu ile alakali degil. P2P olsaydi da ayni durum soz konusu olacakti. Madde halinde yazdiklarinizi destekleyecek somut ornekler verebilirseniz daha saglikli olacagini dusunuyorum. Bu hali ile maalesef spekulasyondan oteye gecmiyor.

2
ErenTurkay

Buradaki tartisma konusu biraz da kullanilabilirlik ve guvenlik uzerinde. Arastirma konusu olan "guvenlik acigi" ana akim medya tarafindan sanki butun mesajlar okunabilecek ve WhatsApp arka kapi koymus gibi veriliyor ki yazida aciklandigi gibi durum boyle degil.

Durum: Kullanici offline oldu, yeni bir cihaz aldi veya MITM yapilarak araya girildi, dolayisiyla yeni bir anahtar olusturuldu ancak diger butun kisilerde eski anahtar var. Kullanicinin offline olmasi ile yeniden online olma arasinda birtakim mesajlar gonderildi.

Burada 2 secenek var: 1. Signal: Bu gonderilen mesajlari ve sonrasinda gonderilecek olan mesajlari karsi tarafa ulastirmayip, manuel olarak 2 kullanici arasinda anahtarlari dogrulamayi istiyor. Bu telefonlari ayni ortamda bulundurup QR code okutmayi iceriyor. Kullanilabilirlikten odun veriyor. 2. WhatsApp: Bir trade-off yaparak kullanilabilrligi tercih ediyor. Karsi taraf ile anahtar dogrulamasini otomatik yapiyor ve bildirim olarak "bu kullanicinin anahtari degisti" mesaji gonderiyor (eger secili ise). Offline olarak gonderilen mesajlar yeni anahtar ile sifrelenip kullaniciya gonderiliyor ve bu da MITM'a olanak olusturuyor.

WhatsApp milyonlarca kisiye uctan uca sifreleme sunarak mesajlasma uzerinde devlet denetimini daha da zorlastirdigi icin onemli bir teknoloji. Hicbir sekilde bunu uygulamayip yollarina devam edebilirlerdi ancak bunu tercih etmediler. WhatsApp ya da Facebook'u baska her turlu sebepten elestirebiliriz ancak uctan uca sifrelemeyi milyonlarca kisiye cok kolay bir bicimde saglamak bunlardan biri degil.

Ayrica WhatsApp "yazilarinizi kimse goremez" araci degil. Sadece son kullanici icin yeterince guvenli bir mesajlasma araci. Eger daha buyuk bir derdiniz var ise kullanilabilirlikten odun verip baska araclar kullanmaniz en mantikli hareket.

1
ErenTurkay

Bruce Schneier'in konu hakkindaki blog girdisini de buraya ekleyelim.

https://www.schneier.com/blog/archives/2017/01/whatsapp_securi.html

1
FZ

Zeynep Tufekci'nin su yazisi da cok iyi.

1
Zakkum

Son zamanlarda okuduğum en "boş" yazılardan biri olduğu için okumayanlar için kısa bir özet geçeyim istedim.

Yazı, iki cümlelik bir önerme nasıl olabildiğince uzatılır ve uzatılırken söz konusu önerme tekrar tekrar nasıl vurgulanır tekniğine güzel bir örnek olmuş. Koca yazı "güvenlik ile ilgili bir haberi abartarak insanların psikolojisini bozuyorsunuz ve WhatsApp dışındaki yazılımlara yönelmelerine neden oluyorsunuz" gibisinden bir serzenişten ibaret. Doğru dürüst bir teknik çözümleme mevcut değil. İnsan düşünmeden edemiyor; bir akademisyen bir ticari yazılımı kimin kullanıp kullanmadığına neden bu kadar kafayı takar ve popüler olan bir yazılımın kullanıcı kaybı yaşama ihtimali ile neden bu kadar ilgilenir. Hele sürekli tekrarlanan aşı benzetmesi olayı var ki insanı ayrıca işkillendiriyor zira bu konu uzun zamandır tartışılmakta ve tartışmanın taraflarından birinin yine büyük şirketler, aşı üretiminden milyar dolarlar kazanan ilaç sanayi olduğunu herkes bilir. Sanki yazı bir taşla iki kuş vurmak için kaleme alınmış izlenimi vermekte.

Yazıdaki iddiaya göre insanlar WhatApp'a atılan "iftira" nedeniyle daha az güvenli yazılımlar kullanmaya başlamış. Var mı bunu gösteren elle tutulur bir veri yazıda, tabi ki yok. Hayır sanki insanlar WhasApp'ı bırakıp dumanla filan haberleşmeye başladı, öyle bir durum var anlatıldığına göre ortada. Yoz tüccarın insanların zekasıyla oynaması doğası gereği affedilebilir de eğitimli insanın bunu yapması çekilir iş değil doğrusu.

Şunu da buraya bırakalım yararı olur.

1
ErenTurkay

İnsan düşünmeden edemiyor; bir akademisyen bir ticari yazılımı kimin kullanıp kullanmadığına neden bu kadar kafayı takar ve popüler olan bir yazılımın kullanıcı kaybı yaşama ihtimali ile neden bu kadar ilgilenir.

Zeynep Tufekci'nin populer bir yazilimin kullanici kaybi ile ilgilendigini hic zannetmiyorum ve yazdigi yazida buna dair bir emare mevcut degil. Bahsedilen su:

Since the publication of this story, we’ve observed and heard from worried activists, journalists and ordinary people who use WhatsApp, who tell us that people are switching to SMS and Facebook Messenger, among other options–many services that are strictly less secure than WhatsApp.

Burada kalkip baglantida oldugu aktivistlerin, gazetecilerin isimlerini teker teker yazip "alin elimde veri var" demesini beklemeyin lutfen.

Yazinin tamamini okudunuz mu bilmiyorum ancak yukarida yazdiginiz butun yorumlarin cevabini bulabilirsiniz. Alintilayacak olursam:

Signal is well-designed. Many in the security community use and consistently recommend it. However, the very thing that makes Signal a recommendation for people at high risk—that it drops messages at any sign of hiccup—prevents a large number of ordinary people from adopting it. Our community has used Signal for a long time, and have been trying to convert people to it, but its inevitable delivery failures (some by design, to keep users safer, and some due to bandwidth or other issues) mean that we often cannot convince people to use it despite spending a lot of effort trying to convince them—even people who have a lot at stake.

Onceki yorumlarimda bahsettigim gibi burada backdoor mevcut degil, kullanilabilirlik icin yapilmis bir trade-off mevcut. Bu sekilde "whatsapp guvenli degil, icerisinde backdoor var" gibi yanlis bir yaziyi Guardian'da yayinlarsaniz, FUD yaymis olursunuz. Bu da konu hakkinda pek bilgisi olmayan ancak tek istegi kolay ve guvenli bir bicimde mesajlasmak olan insanlarin kafalarinin karismasina neden olur. Sonuc olarak da guvensiz alternatiflere sirf herhangi bir web sitesi "guvenli" diyor diye yonlenebilirler.

The reason people, including journalists and activists, use WhatsApp over Signal isn’t because people are flaky, but because in the real world, reliability, usability and a large user base are key to security. Activists and journalists communicate a lot with ordinary people, and need to be certain that their messages are communicated as reliably as possible, using the same system as their recipient will use–hence the advantage of WhatsApp with its huge user base.

Yukarida yazdigim yorumu tekrar ediyorum, Facebook'u yaptigi diger her sey uzerinden elestirebilirsiniz ancak WhatsApp'in milyonlarca normal insana uctan-uca sifrelemeyi kolay ve kullanilabilir bir bicimde sunmasi bunlardan biri degil. Ayni zamanda hepimiz biliyoruz ki Guardian haberi tamamiyle yaniltici ve attiklari baslik baska bir sekilde olmaliydi.

Görüş belirtmek için giriş yapın...

İlgili Yazılar

Yeni virus LoveGate´e dikkat

sametc

Bilgisayar güvenliği uzmanları, Asya ve Avrupa'da yayılmaya başlayan LoveGate adlı "worm (solucan)" türü bir bilgisayar virüsü konusunda uyardı. Tam adı LoveGate.c olan virüs, e-mail yoluyla bulaştığı sistemde bir arka kapı açarak bilgisayarda kayıtlı herşeyin güvenliğini tehlikeye atıyor.
Virüs bulaşır bulaşırmaz Pekin'deki iki e-mail adresine mesaj gönderiyor. Virüs yazarının sistemle bağlantı kurmasını sağlayan LoveGate, yazarın başkasının bilgisayarında istediği herşeyi (dosyaları silmek, kişisel bilgileri çalmak, ya da bazı uygulamaları çalıştırmak vs.) yapabilmesine neden oluyor.
E-mail'e eklenmiş LoveGate taşıyan dosyaya tıklandığında, virüs kendi kendini kopyalayarak adres defterindeki isimlere gönderebiliyor.
Anti-virüs şirketi Trend Micro yetkilileri, yayılma hızı yavaşlayan LoveGate'in dünya genelinde 10 bin bilgisayarı etkilediğini tahmin ediyor.
Kaynak:Hürriyetim

Blaster Windows´a Karşı

anonim

Blaster adında yeni keşfedilen bir solucan, Internet üzerinde Windows 2000/XP/2003 yüklü bilgisayarları arıyor ve RPC açığını kullanarak uzaktan bulaşıyor. Microsoft, bu açık için daha önce bir yama yayımlamıştı.

Phrack 58 çıktı!

sundance

Internet öncesinden beri güvenlik ve iletişim ortamlarının tartışmasız bir numaralı dergisi PHRACK`in yeni sayısı çıktı.

Özellikle LoopBack bölümünde okur mektuplarına verilen cevapları okumanızı tavsiye ederim, eminim eski sayıları da teker teker elden geçirirsiniz...

Sadmind/IIS 9 bin sunucuyu vurdu

pulsar

Computer Emergency Response Team’in (CERT) bu hafta başında duyurduğu Solaris/IIS solucanı, kısa süre içinde ‘büyük iş’ başardı. Attrition.org’un verilerine göre solucan üç hafta içinde 8 bin 800 web sitesini otomatikman etkisiz hale getirdi.

GnuPG Sisteminde Kullanılan El-Gamal İmza Anahtarlarında Problem

FZ

(FM kurucu editörlerinden sundance´in uyarısına göre:) Phong Nguyen isimli uzmanın tespitine göre GnuPG sayısal şifreleme ve belge imzalama sisteminde kullanılan ve sistemin belge imzalama kısmını ilgilendiren ElGamal anahtar oluşturma kısmında ciddi bir problem mevcut. Bu ciddi açıktan yola çıkarak ElGamal imzalı belgelerde değişiklik yapmak ve daha da önemlisi bunlardan yola çıkarak belgeyi imzalayan kişinin sahip olduğu özel (private) sayısal anahtarı birkaç saniyede öğrenmek mümkün.

Konu ile ilgili ilk resmi yazışmalardan birini bu adreste okuyabilirsiniz.