Yazının ilk bölümü için bakınız.
Signal konusuna geri dönecek olursak; Marlinspike bir dönem hava alanlarında maruz kaldığı sorgulamalar ile de gündeme geldi. Amerikan devletinin onu her yerde izlediği ve yaptıklarından hoşlanmadığı izlenimi verildi. Bu arada şirketi güvenlikle ilgili özellikle dünyada muhalif kesimlerin işine yarayabilecek yazılımlar geliştirmeye devam etti. Örneğin “İntihar Hapı” yazılımı, bir cihazdaki tüm özel bilgileri sms mesajı ile veya önceden ayarlanmış coğrafi konumlar sayesinde (mesela cihaz bir karakol binası veya tehlikeli bölgeye girdiğinde) silmeye yarıyordu. Birleşik Arap Emirlikleri ve Mısır 2016 yılı sonunda Signal sunucularına erişimi kapatınca Marlinspike yazılımı hemen güncelledi ve Google Uygulama Motoru (Google App Engine) platformu üzerinden sunuculara bağlantı olanağı sağlayıp (Google’ı vekil gibi kullanıp) erişim engelini atlattı. Toplumsal karışıklıkların olduğu çeşitli ülkeleri gezip eğitim de veren Marlinspike’ın görüldüğü üzere neredeyse tüm kariyeri Arap Baharı ve benzeri olaylar üzerinden ivme kazanıyor dolayısı ile Amerikan devletinin dış politikalarıyla hem uyumlu hem de bir şekilde ilişkili durumda. Bir yandan özgürlük düşkünü bir anarşist imajı çizerken, aynı zamanda neredeyse tüm gelir kaynağını Amerikan devlet fonlarından alan bir şirketin sahibi olmak çok da birbiriyle örtüşen özellikler değil herhalde.
Marlinspike’ın nispeten takdir edilesi işlerinden bazıları ise artık ortada yok. Örneğin Whispercore bu tür bir çalışmaydı. Çeşitli yazılımlardan oluşan bu pakette en önemli unsurlardan biri (whisperMonitor) Android işletim sistemine yüklenen uygulamaların izinlerini kontrol etmeye ve değiştirmeye izin vermeseydi. Bu özellik Android 5.9 sonrası sürümlerde sisteme gömülü şekilde gelmeye başladı ama önceki sürümlerde ancak süper kullanıcı yetkisi ile gerçekleştirmek mümkün olabiliyor. Marlinspike en azından uygulama izinlerini yönetmeye yarayan yazılımı açık kaynak yapıp paylaşmış olsaydı bugüne kadar Android kullanıcılarına güvenlik ve mahremiyet konularında yapılmış en sağlam katkılardan birini gerçekleştirmiş olurdu. Whispercore yazılım paketi Whisper Systems Twitter’a satıldıktan (2011) sonra ortadan kayboldu. Googlesharing bir diğer uygulamaydı ve kullanıcı verilerinin Google sunucularına anonim şekilde ulaşmasını sağlıyordu. Bir vekil sunucu (proxy) yardımı ile çalışan Googlesharing sayesinde neredeyse tüm Google hizmetlerini (kullanıcı girişi gerektirmeyen google arama motoru, haritalar vs.) anonim şekilde kullanmak mümkündü.
Her ne kadar bazı yazılımlarını açık kaynak olarak lisanslama yoluna gittiyse de Marlinspike’ın bu tür hareketlere çok sıcak bakan biri olmadığı anlaşılıyor. Signal yazılımı ile ilgili en çok dile getirilen eleştirilerden biri Google Bulut Mesajlaşma (Google Cloud Messaging) servisini kullanıyor olması. Kullanıcı mesajları için olmasa da boş mesaj gönderilmesi için (bildirim yolu ile cihazları uyandırmak maksatlı) kullanılan bu sistem elbette metaverilerin Google ile paylaşılması anlamına geliyor. Metaveri ile neler yapılabilir? Eski NSA başkanı yapılabilecek şeylerden bir tanesini şurada dile getirmiş. Ayrıca Signal uygulaması cihazda Google hizmetleri mevcut değilse yüklenemiyor. Bu da Google hakimiyetinde olmayan Android dağıtımlarında Signal’in kullanılamayacağı anlamına geliyor. Google istediği zaman Android kullanıcıları fark etmeden cihazdaki uygulamaları güncelleme yetkisine sahip. Dolayısı ile Google ve Amerikan devletinin (veya bir başka devlet ile) işbirliğinin bir neticesi olarak Signal gibi bir yazılımın gözetlemeye uygun sürümü cihazlara rahatlıkla yüklenebilir. Bu durumu iletişimde yalnızca yazılım seviyesinde güvenliği tartışmanın bizi fazla uzağa götürmeyeceğinin bir göstergesi olarak değerlendirmeliyiz. O nedenle LibreSignal adında bir girişim ortaya çıktı. Signal’in eldeki açık kaynak kodlarından yola çıkılarak gerçekleştirilen bu çalışmada Google hizmetleri yüklü olmayan Android işletim sistemlerinde yazılım kullanılabilir hale getirildi. Ayrıca Google Bulut Mesajlaşma sistemi de devre dışı bırakıldı. Signal’in sunucu tarafının tamamen açık kaynak olmamasından dolayı LibreSignal ile sesli iletişimi şifrelemek mümkün olmadı. Signal ve LibreSignal kullananlar aynı sunucuları kullandıkları için iletişim kuralabiliyordu. Ne var ki Marlinspike, LibreSignal adının kullanılmasına itiraz etti ve sunucu desteğinin çekileceğini belirtti. Marlinspike’ın kariyerinin başlarında ürettiği Google karşıtı yazılımlar bir tarafa, verdiği DEFCON sunumlarında Google’ın nasıl bir gözetleme imparatorluğu olduğunu pek çok kez vurguladığına da şahit oluyoruz. Daha sonra ise tüm bu çalışmalarını ortadan kaldırıp, güvenlik ve mahremiyet gibi unsurların öne çıktığı anında mesajlaşma sektöründe Google ile birlikte hareket eden çalışmalar yapıyor olmasını yoruma açık bırakıyoruz.
WhatsApp hakkında daha söyleyecek sözümüz var; bıraktığımız yerden devam edelim. Devlet kullanıcıları izlemiyor/izleyemiyor olsa bile bunu yapan/yapabilecek birilerinin olduğunu kesin olarak söyleyebiliriz. WhatsApp’ın kendisi. WhatsApp bağış yoluyla maddi kaynak temin eden ve bu sayede insanlara iletişim hizmeti veren bir şirket değil. Bununla beraber WhatsApp’ın gelir kaynaklarına baktığımızda pek bir çeşitlilik karşımıza çıkmıyor. Yazılım bir süre ücretli hale getirildi ama daha sonra bundan vazgeçtiler. Başlangıçtan itibaren reklam almamaya özen gösterdiler. Diğer taraftan veri toplayan büyük bilişim şirketlerinin bile iştahını kabartacak bir kullanıcı veri havuzu oluşturdukları anlaşılıyor. İnsan ister istemez WhatsApp’ın ana hedefi baştan beri paha biçilmez değerde bu tür bir veri bankası yaratmak mıydı diye kendine soruyor. WhatsApp’ın kurucularının söyledikleri sözler ve yaptıkları arasındaki fark WhatsApp’ın ne ölçüde “güvenli” olabileceği konusunda ipuçları veriyor olabilir.
Jan Koum şöyle diyor (çevirmeden aynen alıntılayalım): “We worked in a large company and we weren't that happy. Facebook Google, Apple, Yahoo -- there's a common theme. None of these companies ever sold. By staying independent they were able to build a great company. That's how we think about it”
Brian Acton: “I worry about what [an acquiring] company would do with our population: we've made such an important promise to our users -- no ads, no gimmicks, no games -- that to have someone come along and buy us seems awfully unethical. It goes against my personal integrity.”
Yukarıdaki alıntılar 2014 yılında Wired dergisinde yer alan söyleşiden. Aynı yıl şirket 19 milyar dolar karşılığında Facebook’a satıldı. WhatsApp’ın etik ile imtihanı bir takım parasal sebepler yüzünden bütünlemeye kalmış görünüyor. Söz konusu söyleşide Koum’un Ukrayna’daki yaşamını 1984’e benzetmesi ve mahremiyetin önemine yönelik yapılan vurguları okuyunca insanın gözleri “$” gibi oluyor gerçekten. Yazıda öyle bir hava estiriliyor ki WhatsApp sanki kapalı kodlu ticari bir yazılım değil de insanların eline tutuşturulmuş bir özgürlük simgesi. Ticaret yapmak elbette ayıp bir şey değil ama riyakarlığın da alemi yok herhalde.
WhatsApp’ın arkasındaki başarıyı anlamak için bir zamanların mobil teknoloji devi olan RIM şirketi ve ürünlerini (Blackberry serisi) hatırlamak lazım. Kurucusu Mike (Mihal) Lazaridis İstanbul doğumlu bir Rum. Küçük yaştayken ailesi ile birlikte Kanada’ya göç etmişler. Sanırız 1955’teki 6-7 Eylül olayları, 27 Mayıs 1960 darbesi sonrası yükselen milliyetçilik, 1964'te bazı Rumların sınırdışı edilmesi (TC. vatandaşı olmayanların) ve Kıbrıs’taki şiddet olaylarının başlaması ile artık azınlıklar için pek de hoş bir ortam yoktu ülkemizde. Lazaridis “akıllı telefonların” babalarından biri olarak anılmakta ki bu abartılı bir yorum da değil. Ürettikleri telefonlara eposta, anında mesajlaşma, web erişimi ve ağ bağlantısı gibi özellikleri ekleyip son kullanıcıya ulaştırdılar. Özellikle mesajlaşma Blackberry’nin öne çıkan hizmetlerinde biri oldu. Blackberry’e özgü ağ yapısı (BES) ve mesajları şifreleyip Kanada’daki sunucularında depolaması gözetlemeye meraklı devletlerin RIM ile ters düşmesine neden oldu. RIM her zaman sundukları iletişim sisteminin güvenli olduğunu ileri sürdü ama çeşitli devletler ile iş birliği yaptıkları ve kullanıcı bilgilerini paylaştıkları daha sonra ortaya çıktı. RIM’in belirli bir direnç gösterdiği su götürmez ve sonunda resmi kurumlar ile anlaşma yoluna gitmiş olsalar da büyük ihtimalle özellikle ABD gibi devletlerin arzu ettiği ölçüde bir paslaşma gerçekleşmedi. Bunun temel nedeni sunucuların Amerika dışında tutuluyor olması. Oysa Amerika içinde faaliyet gösteren iletişim ve teknoloji şirketleri sürekli devletin baskısını üzerlerinde hissettiklerinden çok daha kolay şekilde uzlaşma yoluna gitmekteler. Öyle ki güvenlik ile ilgili resmi kurumlar özel şirketlerin Amerika sınırları içinde olan sunucularına erişimi kolaylaştırıcı çeşitli yazılımların yüklenmesini sağlayabilmekte. Sırf bu işi yapan (yüklenecek yazılımları üretip işin uygulamasını resmi kurumlar için gerçekleştiren) firmalar (Örneğin Narus gibi, daha fazlası için şu söyleşiye bakılabilir) ortaya çıkmış durumda. NSA'nın işlerinin yaklaşık %70'i zaten özel şirketler tarafından gerçekleştirilmekte. Yakın zamanda Birleşik Krallık'ta kabul edilen kanun tasarısı ile Amerika’daki uygulamaların benzerleri için yol açılmış oldu. Buna göre telefon ve web hizmeti veren şirketler kullanıcıların 12 aylık internet kayıtlarını tutmak zorunda. Ayrıca güvenlik birimlerinin mahkeme emri olmadan kullanıcıların telefon ve bilgisayar sistemlerine gizlice girmesine yönelik yetkileri de arttırıldı. Amerika ve Birleşik Krallık’ta olup bitenler özellikle internet konusunda tüm dünyayı da ilgilendiren bir özelliğe sahip zira internetin omurgasının hatırı sayılır bir bölümü bu iki ülkeden geçmekte.
Blackberry’nin üzerindeki baskılar 2009 yılında (tesadüf ki 2009 aynı zamanda WhatsApp’ın kurulduğu yıl) yoğunlaştı çünkü şirket o dönem mesajları sıkıştırma yazılımında değişikliğe gitti. Sistemdeki değişiklik kullanıcı bilgilerine ulaşmak konusunda sıkıntı yarattığı için güvenlik birimleri hoşnutsuzluklarını şirkete daha sık dile getirmeye başladı. Kısa bir süre sonra konu ile ilgili uzlaşmaya varsalar da Amerika'nın baskı ve istekleri kolay kolay sona ermez. Bu dönemden itibaren Amerika merkezli sunuculara sahip ve kapalı kodlu (özellikle ABD’nin aradığı ideal şirket özellikleri) WhatsApp’ın yükselişi başlarken, Blackberry’nin tahtının yavaş yavaş sallandığı yönünde bir değerlendirme yapabiliriz. WhatsApp’ın epey hızlı yükselişine piyasanın yeni telefon markaları tarafından istila edilmesi de önemli katkı verdi. Bir diğer Amerika merkezli şirket olan Apple’ın iPhone ve bir diğer Amerikan devi Google’ın sahiplendiği Android işletim sisteminin kullanıldığı telefonların ortaya çıkışı da (2008) WhatsApp’ın yayılması için mükemmel bir ortam sağladı. Hem telefon üretimi hem de en popüler mobil işletim sistemi (Android) sayesinde küresel düzeyde bir güç haline gelen Amerikan şirketleri ilk sıraları kaptılar. Bir zamanlar iletişim sektöründe esen Kuzey Avrupa rüzgarı yerini Amerikan teknolojisine bıraktı. Bu aynı zamanda bir devletin internet ve telefon ağları üzerinde kurduğu uluslararası hakimiyetin en açık göstergesiydi ki böyle bir başarı yıllar süren ve üzerinde sadık kalınmış belli bir politik plan olmadan elde edilemez. Özetlersek, iş dünyasında küresel düzeydeki başarılar kendiliğinden veya destek görmeden oluşan gelişmeler değildir. Amerikan sermayesine ait olmayan ve bu yüzden arzu edildiği gibi de kontrol edilemeyen Blackberry’nin kullanıcı sayısı 2012’den bu yana yaklaşık ¾ oranında geriledi. Anlaşılan o ki Kanadalı şirketin, eski başkan Obama’nın sıkı bir Blackberry kullanıcısı olmasıyla avunmaktan başka seçeneği de kalmamış görünüyor.
ABD'nin Almanya'daki önemli ticari şirketleri ve en yüksek seviyedeki politikacıları dinlediği ortaya çıkınca, Alman hükümeti güvenli iletişim için özel telefon ihalesi açtı ve kazanan Blackberry oldu. RIM ve ABD ilişkilerindeki çatışmayı da hesaba katarsak Almanya'nın Blackberry seçimi daha bir anlam kazanacaktır. Doğal olarak bu gelişmede RIM'in güvenlikle ilgili olarak uzun süredir bir Alman şirketi (Secusmart) ile çalışıyor olması da rol oynamıştır. RIM 2014 yılında Secusmart şirketini satın alarak bünyesine kattı. Secusmart özellikle sesli iletişimin şifrelenmesi ile ilgili ürünler geliştirmekte. Mikro SD kart üzerinden çalışan şifre düzenleme ve sıkıştırma yazılımları ile telefon güvenliği arttırılmakta. Alman hükümetinin sipariş verdiği telefonlarda da benzer özellikler bulunuyor. Söz konusu güvenlik önlemleri Blackberry 10 ve sonrası tüm modellerde standart olarak gelmeye başladı. Secusmart 2016 yılında yine Alman yetkili makamlarınca kullanılacak yüksek güvenlik içeren tabletler üretti. Yalnız Almanya değil G7 ve G20 ülkelerinin çoğunun yanı sıra küresel düzeyde en büyük ticari şirketlerden bazıları da RIM'in güvenlik öncelikli ürünlerini kullananlar arasına girdi. Görüldüğü üzere RIM, ABD ile yaşanan açmazların yarattığı kullanıcı ve güven kaybını başka ittifaklar kurarak aşmayı umuyor. Ciddi yapısal değişikliklere gitmeden yalnız yazılım boyutunda kalarak iletişim güvenliğini sağlamak ne kadar mümkün olabilir bunu zamanla Blackberry örneğinde daha iyi anlayacağız. Yine de bazı firmaların reklam amaçlı da olsa güvenlik öncelikli ticari planlar yapıyor olmasının teknoloji piyasası için faydası olacaktır.
Bu kadar WhatsApp ve türevlerinden bahsettiğimiz yeter. Şimdi artık daha güvenli ve işlevsel bir iletişim için ne gibi seçeneklerimiz olduğuna bakalım.
DEVAM EDECEK...
Görsel kaynağı: https://commons.wikimedia.org/wiki/File:Fastening_message_to_pigeon_May_1917_LAC_3381018.jpg
Arkanda NSA olunca, yine bir Verizon vakası: http://m.slashdot.org/story/324307