Güvenli mesajlaşmak için: Signal'e bir şans verin
Sınır Tanımayan Gazeteciler (RSF) ve taz.gazete, yeni bir dijital güvenlik programı başlattı. Bu yazıda güvenlik açısından Whatsapp, Telegram ve Signal uygulamalarını karşılaştıracağız.
Dijital güvenlik denildiğinde, özellikle yasa dışı veri takibinin potansiyel hedefi olan kişilerin alışkanlıklarına bakıldığında genelde bir umursamazlık tavrı söz konusu. Bunun sebebini soran biri, “Zaten her şeyimizi biliyorlar“, “Kim uğraşacak şimdi“, “Saklayacak bir şeyim yok ki,“ gibi cevaplarla karşılaşabilir.
Türkiye gibi hukukun tümüyle araçsallaştığı, internet gözetimi konusunda ciddi bir yasal çerçevenin bulunmadığı, özel yazışmalardan suç üretildiği ve hatta telefona indirilen uygulamanın terör örgütü üyeliği anlamına gelebildiği bir ülkede, paylaşılan bu bilgilerden nasıl suçlar ve düşmanlar icat edileceğini düşünebiliyor musunuz?
Sınır Tanımayan Gazeteciler (RSF) ve taz.gazete, başlattığı dijital güvenlik programıyla kaderciliğe ve bilgi dağınıklığına karşı, internet kullanıcılarının dijital güvenlik konusunda temel bilgilere ulaşmalarını sağlamayı amaçlıyor. Veri güvenliğinin ve hukuksuz gözetime karşı korunma yöntemlerinin farklı boyutlarını ele alacağımız bu yazı dizisine, neredeyse herkesi ilgilendiren bir konu olan mesajlaşma uygulamalarıyla başlıyoruz.
Türkiye’de ve dünyada en yaygın kullanılan mesajlaşma uygulaması olan WhatsApp’ın güvenli olduğu varsayılıyor- en azından sabit hat ve SMS’e kıyasla. Pek çok kullanıcının cep telefonlarında çoklu mesajlaşma grupları bulunuyor. Bu gruplarda kişisel ya da mesleki bilgiler, büyük bir özensizlikle paylaşılıyor. Dijital güvenlik konusundaki bilgiler ise rivayetler ve dedikodular üzerinden yayılıyor. Örneğin, daha güvenli olduğu iddiasıyla WhatsApp’a bir alternatif olarak kabul gören Telegram'ın yazışmaları otomatik olarak uçtan uca şifrelemediğini biliyor muydunuz? Ya da WhatsApp'ın kişiler üzerinden haberleşme haritaları oluşturduğunu? Aşağıda Türkiye'de en çok kullanılan uygulama olan WhatsApp’ı, Telegram’ı ve Türkiye'de henüz pek kullanılmasa da bütün altyapısını güvenlik üzerine kurmuş olan Signal’i kısaca inceleyeceğiz.
WhatsApp hakkında bilmeniz gereken ilk şey, uygulamanın Facebook’a ait olduğu. Kullanıcılar bu uygulama için hiçbir ücret ödemiyor ancak şirketin kullanıcılardan topladığı meta-veri (kimlerin kimlerle ne zaman temasa geçtiği bilgisi), diğer kardeş uygulamaları olan Instagram ve Facebook Messenger’dan toplananlarla birleştirilip şirketin envanterinde depolanıyor. İnsanların, WhatsApp`ın sunduğu veriler üzerinden kriminalize edildiği ciddi bir vaka henüz gerçekleşmemiş olsa da, 1.5 milyar kullanıcısı olan bir şirketin elinde tuttuğu verilerin ve iletişim ağı haritalarının büyüklüğü yeteri kadar kaygı verici.
WhatsApp, bir süre önce kişiler arası yazışmaları uçtan uca şifrelenmiş hale getirdi. Bu ticari bir hamleydi: Dünyada veri güvenliğine yönelik artan ilgiden ve eğilimden kaynaklandı. Günün birinde dijital güvenlik o kadar da kârlı bir ticari konsept olmaktan çıktığında ya da başka bir ifadeyle kişilerin değil devletlerin güvenliği şirketler için daha kârlı bir konsept haline geldiğinde depolanan verilerin ne tür davalara konu olabileceğini akılda bulundurmak gerekiyor.
Bu tür uygulamalarla ilgili en önemli ölçütlerden biri, yazılımın kaynak kodunun erişilebilir olup olmamasıyla ilgili. Açık kaynak kodlu yazılımların yapıları binlerce gönüllü uzman tarafından kontrol edilir ve bir zaaf içerip içermedikleri incelenir. Bu tür bir şeffaflık olmadığında ise, şirketin kendisi hakkında söyledikleri dışında bir referans noktası kalmaz. WhatsApp’ın kodları ise kamuya açık olmadığından sistemde ne tür zayıflıklar ya da erişim açıkları bulunduğunu bilemiyoruz.
Telegram
Telegram, 2013 yılında güvenli iletişim olanakları sunduğu iddiasıyla iki Rus kardeş tarafından kuruldu. Ancak bu uygulama, pek şeffaf bir şekilde çalışmıyor. Şirketin kullanıcılardan veri topladığı, şeffaflık raporu yayınlamadığı, çeşitli durumlarda prensip olarak hükümetlerle veri paylaşmayı kabul ettiği biliniyor.
Telegram ile ilgili en büyük sorunu kullanıcıların rivayete dayalı güvenleri oluşturuyor. Zannedilenin aksine Telegram, mesajları otomatik olarak şifrelemiyor. Şifreleme için ayarlardan bu özelliğin aktif hale getirilmesi gerekiyor. Bunun yanında uygulamaya kaydolmak için SMS mesajı almak gerekmesi (SMS kullanımının güvenlik zaaflarından ötürü) bir eksi puan olarak görülebilir. Telegram’da grup mesajlaşmalarının şifrelemesi de mümkün değil. Bir diğer olumsuz özellik ise yazılımın kaynak kodunun açık olmaması. Bütün bunlar bir araya geldiğinde Telegram’a zannedildiği kadar büyük bir güven duymamak gerektiği ortaya çıkıyor. 2016 yılında İran’da tam da bu zaaftan ötürü yaklaşık 15 milyon kişinin Telegram hesaplarına ulaşıldı. Kullanıcıların büyük kısmı gizli yazışma modunu ve şifre sistemini kullanmadığı için çeşitli mesajlaşma gruplarının yöneticileri cezaevine konuldu.
Signal
Signal’in arkasında 2013 yılında kurulmuş olan Open Whisper Systems bulunuyor. Şirketin kuruluş sebebi temel odağı şifrelenmiş haberleşme olduğu için Signal yazılımı da bu özellikleriyle baskınlık kazanıyor. Signal'in sunduğu mesajlaşma ve telefon görüşmesi hizmetlerinin tamamı uçtan uca şifrelenmiş durumda. Bu görüşmelere ilişkin veriler ise Signal’in sunucularında saklanmadan imha ediliyor. Dolayısıyla Signal bünyesinde verilerin şirketlerle veya hükümetlerle paylaşılması ihtimali fazlasıyla azalmış oluyor.
Bu uygulamayı asıl avantajlı yapan, kaynak kodunun açık olması. Yazılımın kodu ve şifreleme protokolleri, pek çok anonim gönüllünün analizine konu olmasının yanında akademik uzmanlar tarafından incelenebiliyor, konferanslarda herkese açık biçimde tartışılabiliyor. WhatsApp’ın da şifreleme altyapısını Signal’den aldığını, ancak kendi versiyonunun kodlarını kamuya açmadığını burada belirtmek gerekir.
Signal’in zayıf noktası, kayıt olma işleminin telefon numarası üzerinden yapılması. Kullanıcı adı ya da mail adresi üzerinden yapılabilecek anonimleştirilmiş bir kayıt seçeneği şimdilik ufukta görünmüyor. Bunun yanında pratiklik ve görsel materyal zenginliği açısından Telegram ve WhatsApp’ın hayli gerisinde. Yine de, Signal’in altyapısının ihlallere karşı sıkı kontrollerden geçmiş olması onu en güçlü seçenek haline getiriyor.
taz lesen kann jede:r
Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen
Starten Sie jetzt eine spannende Diskussion!