İnternetin her geçen gün daha fazla hayatımızın içine girmesi güvenlik konusunu daha sık ve geniş ölçekte tartışılır hale getirdi. Özellikle son yıllarda internet üzerinden gerçekleşen ifşa hareketleri (Wikileaks, Snowden, Panama Belgeleri vs.) konuyu haliyle daha da alevlendirdi. Bugün artık herhangi bir şüpheye yer bırakmadan biliyoruz ki kullandığımız internet artık bir kitlesel gözetleme aracına dönüşmüş durumda. Devletler birbirleriyle internetteki veri akışının kontrolü konusunda hem yarışıyor hem de çok çeşitli iş birlikleri yapıyorlar. Bunlara birkaç örnek vermek gerekir ise: PRISM, XKeystore, MUSCULAR, Tempora, Project 6, Stateroom, Lustre. Karşı cepheyi ise internetin hala yeni umutlar vadettiğine inanan "son kullanıcılar" oluşturuyor. Bu nedenledir ki insanların güvenlik konusunda bilgilenmesi ve bilinçlenmesi büyük önem taşıyor. İnternet iletişim demek ve bu yazıda sanal dünyada kullanılan en popüler iletişim şekillerinden biri olan anında mesajlaşma üzerinde duracağız. Bu iletişim yolunu kullanan sayısız farklı yazılım bulunmakta. Peki hangisini seçmeliyiz ve neden? Bu yazının ana konusu bu olacak. Son dönemin en popüler yazılımlarından biri olmasından dolayı ve bu yazının yazılmasına vesile olan güvenlik açığı tartışmasına dayanarak biraz WhatsApp’tan bahsetmekte yarar var.
WhatsApp’ın getirdiği yeni bir teknoloji yok fakat hakkını teslim etmek gerekir akıllı telefonların gelişimini ve buna paralel mobil internetin geleceğini iyi okudular. WhatsApp bugünkü başarısının çoğunu doğru zamanda ortaya çıkmasına borçlu. Kimlik oluşturmak için telefon numarasını kullanmak da zekice bir hamle, uygulamada pek çok getirisi var. Hatta gereğinden çok getirisi var da diyebiliriz çünkü geleneksel eposta veya cihaz numarasından yola çıkılarak oluşturulan kimliklere nazaran kullanıcı hakkında çok daha fazla bilgiye ulaşmak mümkün. Mesele kullanıcının telefon rehberinin otomatik devreye girmesinden ibaret olsaydı bu işlem kullanıcı kimliği oluşturmak için telefon numarası kullanılmadan da yapılabilirdi ama ticari ve idari niyetin daha başka tercihleri olduğu anlaşılıyor. Kullanıcı bilgilerinin bu kadar fütursuzca gözlenmesi ve biriktirilmesi kocaman bir güvenlik sorunu yaratmaktadır. Bu iş o kadar ileri gitmeye başladı ki TeleSign gibi şirketler cihaz bilgisi, telefon numarası ve “kullanıcı davranışlarının” toplamından elde ettikleri bilgileri sözde çok “güvenli” müşteri kimliği oluşturmak için kullanmaktalar. Böylece anında mesajlaşma iletişimi için yüksek özgünlük taşıyan bir kimlik oluşturulduğu iddia edilmekte. Kurdukları sistemin gözetleme yönünü överek reklamını yapıyorlar ama aslında mahremiyetin ihlalini sıradanlaştırmaktan başka bir şey değil ortaya koydukları.
WhatsApp’ta 2009 yılından bu yana güvenlik ile ilgili çeşitli sıkıntılar oldu, bunlara tek tek girmeye gerek yok. Detayları bilinmese de Wintego şirketinin WhatsApp iletişimine sızması epey konuşulmuştu ve bu İsrail çıkışlı şirket siber casusluk konusunda pek öyle yabana atılır bir kurum da değil. Dediğimiz gibi WhatsApp yeni bir teknoloji getirmiyor dolayısı ile istemci-sunucu temelli sistemlerin barındırdığı güvenlik zafiyetlerini sürdürmekte. WhatsApp kendinden önceki popüler IM teknolojilerini ve onların pazara dönük davranışlarını tekrarlıyor. Mesela web tabanlı uygulamaya geçmesi buna bir örnek ki bu tür hareketlerin güvenlik açıkları oluşturduğunu geçmiş deneyimlerden biliyoruz. Sistem genişlediği ölçüde açıklar da büyüyor. Bugün WhatsApp’ın QR kodu üzerinden çeşitli tehditler oluşturmak mümkün.
Uçtan uca şifreleme konusuna gelirsek, bu ilk kez WhatsApp’ın uyguladığı bir özellik değil. Elbette WhatsApp’ın şifreleme özelliği getirmesi yılın modasına uymak için de değildi. Güvenli iletişim giderek daha fazla kullanıcının tercih ettiği bir özellik olma yolunda ilerliyor çünkü kurumların izleme yeteneği her geçen gün daha da artmakta. Dolayısı ile şifreleme artık gerekli bir özellik ve WhatsApp’ın bunu göz ardı etmesi pazarın lideri olarak çok kolay değil. Şunu da unutmamak lazım internet tarihinde iktidarın en çok el değiştirdiği uygulamalar tarayıcı ve anında mesajlaşma sektöründe meydana gelmekte. Yoğun rekabet ortamında en ufak bir tökezleme sert düşüşlere neden olabilmekte.
Diğer taraftan Facebook devlet baskısından kurtulmak için de uçtan uca şifrelemeyi tercih etmiş olabilir. Bu devlet baskısı konusu önemli çünkü yaptığı şifrelemeye ve ‘valla biz bile mesajları okuyamıyoruz’ demelerine rağmen bunun gerçekten böyle olup olmadığını da kestirmek kolay değil. Yazılımın kodları inceleme dışı olduğu sürece cihaza özel şifreleme anahtarının sunucu tarafında saklanıp saklanmadığı veya ulaşılır olup olmadığını bilmemize olanak yok. Devletin ilgili kurumlarının firmadan alacağı destekle bu şifrelemeyi kırma veya devre dışı bırakma yeteneğine sahip olup olmadığı da bilinmiyor. Eni sonunda bu şifreleme işi devletlerle iş birliği sürdürülürken şirket imajını kurtarmak için de yapılıyor olabilir. Eğer şifreleme kullanıcıların güvenliği ve mahremiyeti çok düşünüldüğü için uygulanıyorsa, WhatsApp’ın istemci tarafında getirdiği yeni bir teknoloji, bilinmeyen bir protokol vs. yok, kodlarını açık hale getirdiklerinde daha güvene dayalı bir ortamın yaratılacağı su götürmez ama şirketin böyle bir derdi olmadığı çok belli. Oysa hem istemci hem sunucu tarafında açık kaynak lisansa sahip benzer şifreleme özellikleri olan rakip yazılımlar mevcut. Demek ki kapalı koda sahip olmak iletişimin güvenilir şekilde yapılabilmesi için bir zorunluluk değil. Hatta tam tersi. Dolayısı ile WhatsApp yönetimi eğer ileri sürdükleri gibi mahremiyeti ve güvenliği şirketlerinin ana ilkeleri olarak görüyorlar ise ki söylemleri bu yönde, yaptıkları ile söylediklerinin bu konularda örtüşmediğini belirtmek gerekir.
Büyük devletlerin ve şirketlerin şifreleme konusuna genel bakışını şöyle özetleyebiliriz: Küresel iletişim herkesin hakkıdır ama bu iletişimi izleme yeteneğine sahip yalnız biz olmalıyız.
Kaliforniya Üniversitesi’nde şifre bilimi ve güvenlik üzerine çalışmalar yapan Tobias Boelter 2016 yılında WhatsApp’ın uçtan uca şifreleme uygulamasında şüphe uyandıran bir “açık” buldu. Bu bilgiyi Facebook ile paylaşmasına rağmen konuyla ilgili herhangi bir önlem alınmadı. Üstelik Boelter’ın ortaya attığı durumun sistemin olağan işleyişi olduğu belirtildi. Guardian gazetesi (bir İngiliz gazetesi dikkat Amerikan değil) konuyu 2017’nin ilk ayında haber yapınca ilginç gelişmeler yaşandı. Bir dizi güvenlik uzmanı ve “akademisyen” gazetenin kullandığı “arka kapı” (backdoor) teriminin haksız ve yanlış olduğunu belirten yazılar kaleme aldı. Bunlardan bir tanesinde özellikle WhatsApp’a haksızlık yapıldığı ve çıkan haber yüzünden bir çok kullanıcının WhatsApp’ı bırakarak daha güvensiz yazılımları tercih etmeye başladığı iddia edildi. Amerikan sistemini ucundan kıyısından bilenler büyük sermayedarların nasıl “akademisyenleri” ve “uzmanları” kullandığını, nasıl kendi menfaatlerine uygun yazılar kaleme aldırdığını gayet iyi bilir. Bu sistem aynı zamanda ABD’nin dünyaya ihraç ettiği en önemli silahlardan biridir. Mesnetsiz yorumların yapılması ile ilgili bir diğer olasılık da düşünsel kısırlık veya sığlık olarak tanımlanabilir ama konumuz açısından bu ihtimal bizi pek fazla ilgilendirmiyor. Yalnızca meseleyi değerlendirirken bu gerçekleri aklımızın bir köşesinde tutmakta fayda olduğunu belirtmekle yetinelim.
Eğer WhatsApp’ı insanlar terk etmeye başladılar ise bu Guardian’ın haberi üzerine değil daha yoğun şekilde Facebook’un şirketi satın almasından sonra gerçekleşti. Bunu anlamak için internette üstün körü bir araştırma yapmak bile yeterli olur. Son kullanıcı zannettikleri kadar saf değil. Facebook’un ne olduğunu ve nasıl para kazandığını az çok biliyor. İnsanlar saklayacakları bir şey olmasa da gözetlenmekten rahatsız oluyorlar. Duş aldıkları yere bir IP kamerası neden koymuyorsa insanlar (koyan illa ki vardır), aynı prensip. Mahremiyet bir lüks değil ihtiyaçtır çünkü.
Bazı akademisyenler kullanıcı kaybı konusunda neden 2014’te Facebook’a satışın yol açtığı sonuçları dert edinmemişler de bir gazetede çıkan habere bu kadar kafayı takma ihtiyacı hissetmiş olabilirler? Aynı yazarlar WhatsApp’ı savunmak için yazılarında sürekli EFF’ye (Electronic Frontier Foundation) atıfta bulunmaktalar oysa EFF kendi sayfasında açık açık WhatsApp’ın güvenli iletişim için uygun olmadığını ve tavsiye etmediklerini belirtmekte. Gerekçe olarak da kapalı kodlu olmasını, web uygulamasına geçilmesini ve “Facebook” a satılmasını göstermekteler. Aynı yazarların EFF’nin WhatsApp’a gösterdiği olumsuz yaklaşımı niye vurgulamadığı veya niye EFF’nin görüşlerinin WhatsApp’ta kullanıcı kaybına neden olabileceğine dair “akademik” kaygılarını dile getirmedikleri ise merak konusu.
WhatsApp’ı son gelişmeler sırasında savunanlar dahil olmak üzere konuya karışan hemen hemen herkesin tavsiye ettiği bir diğer yazılım ise Signal. Kullanıcı kimliği oluşturma konusunda WhatsApp ile aynı çalışma şekline (telefon numarası üzerinden) sahip. Şu bir gerçek WhatsApp’ın uçtan uca şifrelemede gösterdiği bazı uygunsuzlukları Signal yapmıyor. Bu özelliği ve istemci tarafının kodlarının açık olması ile WhatsApp’a nazaran daha çok güven verdiği söylenebilir ama sonunda istemci-sunucu temelli bir iletişimi desteklediği unutulmamalı. Sunucu tarafının kodları da henüz “tamamen” açık hale getirilmiş değil. Şunu da belirtmek zorundayız ki istemci-sunucu temelli bir iletişim sisteminde tüm tarafların kodlarını açık hale getirseniz bile güven sorunu varlığını devam ettirecektir zira istemci açısından değil belki ama sunucu yönünde fiziki denetim eksikliği kaçınılmazdır. Kısacası sunucu açık kaynak hatta özgür yazılım lisansına sahip olabilir ama biz uygulamada sunucu bilgisayarlarında neler döndüğünü, gerçekten kodları gösterilen yazılımın çalıştırılıp çalıştırılmadığını anlık gözlemden yoksun olduğumuz için bilemeyiz. Bu yalnız WhatsApp için değil tüm sunucu odaklı yapılar için mevcut olan bir zafiyet. Dolayısı ile sürekli olarak sanal dünyada birilerine güvenmek zorunda bırakıldığımız bir ortamda, mahremiyeti konuşmanın ve savunmanın zorluğu ortadadır.
Signal de WhatsApp gibi yeni bir teknoloji getirmiyor, sisteminde kullandığı şifrelemenin belki en özgün parçası DRA anahtar yöneticisi ki o da DH ve KDF uygulamalarının birleşmesinden oluşuyor. Marlinspike’ın da belirttiği üzere Signal protokolü uzun zamandır bilinen şifreleme yöntemlerinin birleştirilmesinden ibaret. Signal yazılımında başarılan en önemli nokta karmaşık şifreleme sistemlerini kullanıcı dostu bir arayüzle anında mesajlaşma iletişimine uyarlamak oldu. WhatsApp’ın Signal ile beraber anılmasının doğal sebeplerinden biri elbette Signal’in yaratıcılarından Moxie Marlinspike’ın (gerçek adı değil) WhatsApp’ın uçtan uca şifrelemeye geçişini gerçekleştiren kişi olması. Her ne olursa olsun WhatsApp dışındaki seçeneklerden bahsederken akla yalnız Signal’in gelmesi oldukça tuhaf bir durum. Sanki WhatsApp’ın yerini doldurabilecek başka seçenekler yokmuş veya ondan başka tek Signal kullanmaya değermiş gibi bir izlenim yaratılmakta. Edward Snowden’ın Signal kullandığını belirtip tavsiye etmesi ve ayrıca Signal’in sayfasında reklam yüzü olarak yer alması da kamuoyunda etkili olmuş olsa gerek. Madem öyle o zaman bazı önemli noktalara değinmemiz yerinde olacaktır.
Signal (daha doğrusu Open Whisper Systems) kendilerinin belirttiğine göre kar amacı gütmeyen ücretsiz ve açık kaynak yazılımlar üreten bir şirket. Bağış yolu ile kaynak temin ediyorlar, bununla beraber yapılan bağışların çoğu Amerikan devletinden gelmekte. Özellikle Amerika’da gizli iletişim ve şifreleme konularında devletin “sivil” gruplara düzenli ve hiç de azımsanmayacak ölçüde maddi kaynak sağladığı biliniyor. BBG (The Broadcasting Board of Governors), USAID (US Agency for International Development), Radio Free Asia (Signal’a destek veren) gibi kurumlar dünyanın her tarafında Amerikan politikalarına uygun girişimlere ve teknoloji yatırımlarına kaynak sağlamakta. Radio Free Asia’nın “Açık Teknoloji Fonu” (Open Technology Fund) pek çok gizlilik sağlayan iletişim projesine destek verdiği gibi Signal’e de maddi kaynak (yaklaşık 2.5 milyon dolar ile şirketin aldığı en büyük bağış) sağladı. Hatırlatalım TOR Projesi de neredeyse tamamen Amerikan devlet fonları aracılığı ile yürütülmektedir. Signal, Open Whisper Systems’in bir ürünü ama aslında yine Marlinspike’ın daha önce kurucusu olduğu Whisper Systems’ın (2011 yılında Twitter tarafından satın alındı) TextSecure (uçtan uca şifreli SMS mesajlaşma) ve RedPhone (VoIP sesli haberleşme) yazılımlarının birleşmesinden oluşuyor. Arap Baharı başladığı zaman Marlinspike bu iki yazılımın Arapça versiyonlarını hazırladı ve böylece yazılım ilk kez Amerika dışında kullanıma sunuldu. Yine Signal gibi iki yazılımın da istemci tarafı açık kaynak kodlu, sunucular ise kapalı kaynak koda sahipti. Büyük ihtimalle TextSecure ve RedPhone zaten Arap Baharı için üretilmişti. Olayları tarih sırasına koyduğumuzda konu daha iyi anlaşılabilir. Bu iki yazılım da ilk kez 2010 yılının Mayıs ayında Android telefonlarda çalışmak üzere sunuldu. Arap Baharı Tunus’ta 2010’un Aralık ayında başladı. Yaklaşık bir ay sonra oradan Mısır’a sıçradı ve 2011 Ocak ayında halk Mısır hükümetine karşı meydanları doldurdu. Şubat ayında Mübarek yönetimi iktidarı kaybetti. Yine şubat ayında bu kez olaylar Libya’da baş gösterdi ve neticesinde iç savaş çıktı. Libya’da olaylar çok daha kanlı bir süreç izledi ve 2011 yılının Ekim ayında Kaddafi öldürüldü. Tunus, Mısır ve ardından Libya’da yönetimler böylece değişmiş oldu. Twitter Kasım 2011’de yani Kaddafi’nin öldürülmesinden bir ay sonra Open Whispers şirketini satın aldı. RedPhone’un işlevi sonlandırıldı. TextSecure yazılım kodları açık hale getirildi ve 2015 yılında RedPhone ile tekrar birleşip Signal olarak ortaya çıkana kadar kullanımı sürdü. Ne diyebiliriz ki tam bir “başarı” öyküsü gerçekten.
Bu arada Open Whisper Systems’ın devlet kökenli bağışları ifşa etmekten pek hoşlanmadığını belirtelim ki bu yalnız onlara özgü bir tutum değil. Güvenlik, şifreleme ve gizlilik üzerine çalışmalar yapan çoğu proje, şirket vs. aldıkları bağışları ve gelir kaynaklarını açıklamakta nedense çok istekli olmuyor. Amerikan devletinin bu tür yatırımlarına bir başka güncel örnek Küba’da estirilmesi arzulanan bahar rüzgarları için tasarlanmış, Twitter benzeri bir yazılım olan ZunZuneo. Tamamen Küba’daki muhaliflerin organisazyonu için oluşturulmuş bu yazılım (2010-2012 arası) 40 bin kullanıcı sayısına ulaşmış ama fazla etkili olamayınca desteği kesilmişti. AP’nin araştırmasına göre söz konusu yazılım, banka hesabı Cayman Adaları’nda olan bir şirkete USAID tarafından kaynak aktarılarak yaptırıldı.
Tesadüf bu olsa gerek WhatsApp meselesinde olaya karışan bir akademisyen ZunZuneo ile ilgili de bir yazı kaleme almış. ZunZuneo olayının ifşa edilmesinden sonra yazılan metnin ana fikri özetle şu şekilde: Amerikan hükümetinin ZunZuneo konusunu eline yüzüne bulaştırması tüm dünyadaki "aktivistleri" tehlikeli bir duruma soktu ve Amerika'nın interneti silah olarak kullandığı izlenimi yaratarak despot iktidarların eline koz vermiş oldu. Yazıda Amerikanın Küba devletinin toplumsal yapısına müdahelede bulunması ile ilgili elle tutulur tek bir eleştiri yok çünkü anti-komünist yaklaşım kendini yeterince belli etmekte. Bu son derece Amerikancı yaklaşımı tespit etmek için en kolay yöntem kullanılan jargona bakmaktır zira yazıda "Castro'nun Kübası veya Castro kardeşler" gibisinden çok bilindik tanımlara rastlıyoruz. Bununla da kalmıyor yazar 2014 itibari ile interneti zapt etmek isteyen 3 tür rejim olduğunu belirtip örnekler veriyor: Kuzey Kore, Çin ve Türkiye (ki bu örneklere kimse itiraz etmez). Tabi bu arada Amerika sınıflama dışı onun ne olduğunu bilmiyoruz, herhalde Amerikan devletinin hiç interneti kontrol etme gibi bir güdüsü olmadı ve olmayacak. Yazı ZunZuneo ile ilgili asıl niyetin ve bakış açısının belli edilmesi ile son buluyor, aynen alıntılayalım:
"...Unfortunately, what might have been a well-meaning attempt to bring some free speech to the Castros’ Cuba now threatens the efforts of millions of people around the world who are harnessing the power of social media to challenge censorship and propaganda, and have no connection to the U.S. government. Admittedly, most authoritarian governments hardly needed an excuse to taint social media as a tool of foreign powers..."
Daha önce WhatsApp ile ilgili yazısına değindiğimiz akademisyenin "Guardian'nın tutumu yüzünden insanlar WhatsApp'tan çıkıp daha güvensiz yazılımlara yöneliyor" muhteşem saptaması ile "Amerikan icadı ZunZuneo yüzünden tüm dünyada aktivistler zor durumda kaldı" önermesi arasındaki benzerliği görmemek de zor. Aynı mantıkla üretilmiş iki önerme ve ikisinin de doğruluk payı olmadığı için aslında bir istikrardan bahsedebiliriz. Gezegenimizde son elli yılda kaç savaş olmuş ve yazarımızın hiç bahsetmediği Amerika bu savaşların kaçına dolaylı veya dolaysız dahil olmuştur acaba? Küresel düzeyde interneti kontrol eden kaç şirket vardır ve bunların kaçı Amerika merkezlidir? Amerikanın küresel politikaları mı, yoksa ifşa olmuş kötü bir operasyon olan ZunZuneo mu aktivistleri daha zor duruma düşürmüştür? Despot iktidarların elinde de zaten ZunZuneo'dan başka bir delil veya koz yoktu Amerika'yı suçlamak için. ZunZuneo adını sorsak kaç kişi bilir ona hiç girmiyoruz bile.
Sosyoloji ile toplum mühendisliğini birbirine karıştıran insanların güvenlik, mahremiyet ve özgürlük ile ilgili söylemleri belki kendilerini bir yerlere getirir ama siber-kültür dünyasına bir katkılarının olmayacağı çok açıktır.
DEVAM EDECEK...
Görsel: https://www.flickr.com/photos/doyleshannon1980/13210632005
Çok güzel bir yazı serisi olacak gibi geliyor, teşekkürler.