TL;DR: authoritative isim sunucularini kayit etmez, sadece glue record koyarsaniz birileri de gelip sizden alir.

Videonun basinda COMP 313 ve 314 gorunce once birkac damla yas gozlerimden suzuldu :) O dersleri alabilen son nesilden biriyim ve gercekten cok ogretici/egitici derslerdi. Sonrasinda Bilgisayar Muhendisligi mufredatindan kaldirildi ve CS de kapanmisti zaten. Master Class dersleri de her daim eglenceliydi.

Velhasil, ulkede guzel seyler cezasiz kalmiyor. Bu videolarin internet ortamina tasinmis olmasi sevindirici.

İnsan düşünmeden edemiyor; bir akademisyen bir ticari yazılımı kimin kullanıp kullanmadığına neden bu kadar kafayı takar ve popüler olan bir yazılımın kullanıcı kaybı yaşama ihtimali ile neden bu kadar ilgilenir.

Zeynep Tufekci'nin populer bir yazilimin kullanici kaybi ile ilgilendigini hic zannetmiyorum ve yazdigi yazida buna dair bir emare mevcut degil. Bahsedilen su:

Since the publication of this story, we’ve observed and heard from worried activists, journalists and ordinary people who use WhatsApp, who tell us that people are switching to SMS and Facebook Messenger, among other options–many services that are strictly less secure than WhatsApp.

Burada kalkip baglantida oldugu aktivistlerin, gazetecilerin isimlerini teker teker yazip "alin elimde veri var" demesini beklemeyin lutfen.

Yazinin tamamini okudunuz mu bilmiyorum ancak yukarida yazdiginiz butun yorumlarin cevabini bulabilirsiniz. Alintilayacak olursam:

Signal is well-designed. Many in the security community use and consistently recommend it. However, the very thing that makes Signal a recommendation for people at high risk—that it drops messages at any sign of hiccup—prevents a large number of ordinary people from adopting it. Our community has used Signal for a long time, and have been trying to convert people to it, but its inevitable delivery failures (some by design, to keep users safer, and some due to bandwidth or other issues) mean that we often cannot convince people to use it despite spending a lot of effort trying to convince them—even people who have a lot at stake.

Onceki yorumlarimda bahsettigim gibi burada backdoor mevcut degil, kullanilabilirlik icin yapilmis bir trade-off mevcut. Bu sekilde "whatsapp guvenli degil, icerisinde backdoor var" gibi yanlis bir yaziyi Guardian'da yayinlarsaniz, FUD yaymis olursunuz. Bu da konu hakkinda pek bilgisi olmayan ancak tek istegi kolay ve guvenli bir bicimde mesajlasmak olan insanlarin kafalarinin karismasina neden olur. Sonuc olarak da guvensiz alternatiflere sirf herhangi bir web sitesi "guvenli" diyor diye yonlenebilirler.

The reason people, including journalists and activists, use WhatsApp over Signal isn’t because people are flaky, but because in the real world, reliability, usability and a large user base are key to security. Activists and journalists communicate a lot with ordinary people, and need to be certain that their messages are communicated as reliably as possible, using the same system as their recipient will use–hence the advantage of WhatsApp with its huge user base.

Yukarida yazdigim yorumu tekrar ediyorum, Facebook'u yaptigi diger her sey uzerinden elestirebilirsiniz ancak WhatsApp'in milyonlarca normal insana uctan-uca sifrelemeyi kolay ve kullanilabilir bir bicimde sunmasi bunlardan biri degil. Ayni zamanda hepimiz biliyoruz ki Guardian haberi tamamiyle yaniltici ve attiklari baslik baska bir sekilde olmaliydi.

Bruce Schneier'in konu hakkindaki blog girdisini de buraya ekleyelim.

https://www.schneier.com/blog/archives/2017/01/whatsapp_securi.html

WhatsApp geçmişinde ciddi güvenlik açıkları yaşadı. Bundan daha doğal bir şey de olamaz çünkü merkezi bir sunucu üzerinden gerçekleşen iletişim en nihayetinde ne kadar güvenli olabilir ki

Buna katilmiyorum. Ayni anaolji ile HTTPS de guvensiz denmis oluyor ki merkezi bir sunucu ile iletisime geciliyor ve dogru yapilandirildigi zaman gayet guvenli. Buradaki problem sunucunun merkezi ya da P2P oldugu ile alakali degil. P2P olsaydi da ayni durum soz konusu olacakti. Madde halinde yazdiklarinizi destekleyecek somut ornekler verebilirseniz daha saglikli olacagini dusunuyorum. Bu hali ile maalesef spekulasyondan oteye gecmiyor.

Buradaki tartisma konusu biraz da kullanilabilirlik ve guvenlik uzerinde. Arastirma konusu olan "guvenlik acigi" ana akim medya tarafindan sanki butun mesajlar okunabilecek ve WhatsApp arka kapi koymus gibi veriliyor ki yazida aciklandigi gibi durum boyle degil.

Durum: Kullanici offline oldu, yeni bir cihaz aldi veya MITM yapilarak araya girildi, dolayisiyla yeni bir anahtar olusturuldu ancak diger butun kisilerde eski anahtar var. Kullanicinin offline olmasi ile yeniden online olma arasinda birtakim mesajlar gonderildi.

Burada 2 secenek var: 1. Signal: Bu gonderilen mesajlari ve sonrasinda gonderilecek olan mesajlari karsi tarafa ulastirmayip, manuel olarak 2 kullanici arasinda anahtarlari dogrulamayi istiyor. Bu telefonlari ayni ortamda bulundurup QR code okutmayi iceriyor. Kullanilabilirlikten odun veriyor. 2. WhatsApp: Bir trade-off yaparak kullanilabilrligi tercih ediyor. Karsi taraf ile anahtar dogrulamasini otomatik yapiyor ve bildirim olarak "bu kullanicinin anahtari degisti" mesaji gonderiyor (eger secili ise). Offline olarak gonderilen mesajlar yeni anahtar ile sifrelenip kullaniciya gonderiliyor ve bu da MITM'a olanak olusturuyor.

WhatsApp milyonlarca kisiye uctan uca sifreleme sunarak mesajlasma uzerinde devlet denetimini daha da zorlastirdigi icin onemli bir teknoloji. Hicbir sekilde bunu uygulamayip yollarina devam edebilirlerdi ancak bunu tercih etmediler. WhatsApp ya da Facebook'u baska her turlu sebepten elestirebiliriz ancak uctan uca sifrelemeyi milyonlarca kisiye cok kolay bir bicimde saglamak bunlardan biri degil.

Ayrica WhatsApp "yazilarinizi kimse goremez" araci degil. Sadece son kullanici icin yeterince guvenli bir mesajlasma araci. Eger daha buyuk bir derdiniz var ise kullanilabilirlikten odun verip baska araclar kullanmaniz en mantikli hareket.

Bu cok ilginc. Normalde SERVFAIL durumunda sorguyu yapan DNS cozumleyicisinin tekrar sorgu yapmadan önce SOA kaydndaki negative TTL kadar beklemesi gerekir diye biliyordum ben. Aksi halde bahsedildigi gibi TTL'in dolmasiyla birlikte cok ciddi bir DNS Amplification durumu yasanacaktir.

Negative TTL sadece NXDOMAIN cevabi durumda ise yariyor. Bu durumda ise refresh timeout gectigi icin SOA kaydina ulasmak istediginde bunu basaramiyor ve SERVFAIL aliyor. Bu noktada hangi resolverin nasil implement ettigini bilmiyorum ancak su cevapta biraz aciklamis. Yeni Bind versiyonunda hardcoded olarak 1 saniye olarak ayarlanmakta. Binlerce insanin Dynect servisine sorgu yaptigini varsayarsak halihazirda saniyede Twitter/Github/Spotify kullanan insan sayisi kadar istek gonderilecek ki az buz bir rakam degil :)

Bu noktada yapilmasi gereken esasinda exponential backoff tarzi bir teknigi uygulamak. Bildigim kadariyla DNS sunucularinda bu implement edilmis degil.

Genellikle ICMP paketi gönderildiğinde TTL 0'a ulaştığı zaman bu paketi geri göndermeyip işliyorsa, arada başka bir router'ın olduğunu MTR uygulaması görebiliyor ancak paket geri gelmediği için ne olduğunu gösteremiyor. Konu ile ilgili stackoverflowida şöyle bir soru sorulmuş ve yukarıdakı durumu açıklayan cevap da yazılmış.

Haha. En azindan HTML taglerini temizleyecek kadar zahmete girismisler :)

Yorumun "doviz ile kazanip TL ile harca" kismina katiliyorum. Elimdeki veri seti buyuk olmamakla birlikte genellestirme yapmaktan kacinarak cevremdeki bircok kisinin (ben de dahil olmak uzere) yurtdisinda yasama karari ekonomik sebepler ile degil, tam aksine yukarda bahsedilen yasam kalitesi.

Merak ettigim sey ise Turkiyedeki yazilim sektoru disaridan is alabiliyor mu yoksa icinde bulunulan politik durum dolayisiyla bu konuda da bir gerileme mevcut mu?

Hadi bakalim hayirli olsun. Yeni arayuz gercekten cok hos olmus.