Şu anda WhatsApp (hem mobile hem de Web) kullanıcısıyım. İki sene öncesine kadar WhatsApp’in hem Web hem de Business sürümlerinin beta tester’ı idim. Telegram’ın da 2 senedir kullanıcısıyım. Dün de Signal’i ilk kez kurup denedim. İyi bir kullanıcı, ortalama bi beta tester ve bilgileri 10-15 sene öncesinde kalan bi yazılımcı ve kötü bir mobile kullanıcısıyım. Dolayısıyla yazacaklarımı çok da ciddiye almamanızı rica edeceğim. Sadece sade ve basit bi kullanıcının kendine göre yorumları.

Burada, bu yazıda, bu üç uygulama tarafından sunulan güvenlik ve gizliliği an-latmaya çalışacağım: WhatsApp (Business), Telegram ve Signal. Üçü de şifre-leme bazlı, dosya, ses, görüntü, video iletimi ve paylaşımı ve anında haberleş-me hizmeti sunuyor. Üçü de platformlar arası (iOS, macOS, Android, Windows, Linux) mesajlaşmayı destekliyor ve ikili ve grup sohbetleri hizmeti sunuyor.

Hangi platformu kullanırsanız kullanın, görüşmelerin iki kullanıcı arasında ol-duğunu ve söz konusu hizmeti veren firmanın iletişimin içeriğini kontrol et-memesinin önemli olduğunu da özellikle belirtmem gerekir.

Siz yazdıktan sonra silseniz bile gönderdiğiniz yazılanların da, gönderilen dos-yaların da karşı tarafta da kalacağını da unutmayın. Ama daha önemlisi her ne kadar da karşılıklı şifrelenen iletişimin hizmeti veren firmanın sunucularında da bulunduğunu unutmayın.

WhatsApp’te Güvenlik

Köpeğin sahibi Feyzbuk ise köpeğin havlaması da, ısırması da, kendini sevdir-mesi de sahibine göredir. Feyzbuk Wazzep’i izlemeyeceğini garanti etmişti ilk satın aldığı dönemlerde. Ancak “siz bi ürünü beleşe kullanıyorsanız aslında ürün sizsinizdir” diye bi laf var. Feyzbuk da kampüs içi haberleşme paylaşma ortamı olarak başlamıştı. Ona yatırım yapan venture capitalistler de aslında bildiğiniz köpek balığı; kan kokusunu hemen alırlar. Yani bi bildikleri var elbette yaptık-ları yatırımlarda.

Sorun güvenlikte. Wazzep’in normal sürümü de, Business sürümü de, Web sü-rümü de aslında size beleşe bir uygulama (app) veriyorsa aslında o ürünü size vermekle “sizi satıyor”.

Geçen senelerde beleşe gönüllü beta testerlığını yaptığım Web ve Business sü-rümlerinde sunulan özellikler insana cazip geliyor elbette. Wazzep’in Business sürümünde aynı telefonda iki hesabı kullanma, önceden tanımlanmış hazır ce-vaplar gibi standart sürüme göre ek ve güzel beceriler, imkânlar da var. Ancak güvenlik söz konusu olduğunda normal, bildiğiniz standart Wazzep’ten farklı değil.

Wazzep’te en çok abartılan özelliği uçtan uca şifreleme. Open source yani açık kaynaklı bi protokolü kullansa da, açık kaynaklı Signal protokolüne dayansa da okuduğum kaynaklar aralarında önemli farklılıklar olduğunu söylüyor.

Wazzep kendi kodunu çok iyi sakınıyor ve Wazzep’in şifrelemesinin kırılabil-diğine dair hiçbir kanıt da olmamasına rağmen, gerçek şu ki, teknolojisi o ka-dar kolay incelenemiyor.

Bağımsız kurumlarca da doğrulamanın bir yolu yordamı olmadığından dolayı sadece Feyzbuk'a güvenmek kalıyor ki, bu da bir nevi kuzuyu kurda emanet etmek gibi.

Ayrıca başkaca yerlerde kullanmak üzere biz kullanıcıların bilgilerini de topar-lıyor: Bu bilgiler, adres defterimiz, IP adreslerimiz, bağlantı yaptığımız kurum-lar gibi diğer metaverileri içerir ve sahibi de Feyzbuk olduğu için diğer uygu-lamalar, kurumlar ile de paylaşılıyor. Bu da, özellikle Feyzbuk reklamlarını ve ürün deneyimlerini geliştirmek incelemek ve analiz edip yorumlamak için ve-riler Feyzbuk profillerimizle bağlantılı olduğundan, güvenlik uygulamalarını ciddi şekilde sorgulamamıza yol açıyor.

Kullanıcı yaptığı yedeklemelerden vazgeçme özgürlüğüne sahip gibi görünse de tükkanı Zuckerberg’e (yani yandım şekeroğlana) emanet diyorsunuz. Kime, ne sattığını bilemezsiniz.

Gerçekten neyin uçtan uca şifrelendiği ve neyin yedeklendiği konusunda sıfır şeffaflığa sahipsiniz yani hiçbir denetiminiz yok. En basitinden diyelim ki uçtan uca şifreleme güvenli ama sonuçta bu veriler bir bulutta saklanıyor ve bulut depoda saklanan verileriniz oraya erişebilen bilgisayar korsanlarına da karşı savunmasız. Yani banka kasasında saklanan verilerinizi soyguncu soyabilir ama banka size o mücevheri size geri verse de aynı elmas kolye hırsızın da boynunda olacak.

Telegram Güvenliği

Telegram, kendi özel mesajlaşma protokolünü kullanarak hizmet sağlıyor. Bu arada Telegram da açık kaynak kodlu olmadığı ve de harici şifrelemecilerin incelemesinden yoksun olduğunu da belirtmekte fayda var.

Cloud Chat, varsayılan bi mesajlaşma yöntemidir ve e2e (uçtan uca) şifreleme-si sunmaz. Tüm sohbetler, dosyalar Telegram'ın kendi sunucularında saklanır ve yerleşik bir bulut yedeklemesinde yedeklenir. Bu da Telegram'ın şifreleme anahtarlarını kendinde tuttuğu ve bu tür konuşmaları da okuyabileceği anla-mına gelir. Cloud Chat'in tek olumlu yanı, cihazlar yani kullanıcılar arasında karşılıklı senkronizasyon yapmanıza izin vermesi.

Telegram standart olarak uçtan uca şifreleme sunmasa da Gizli Sohbetler adı verilen bir hizmet daha sunar. Gizli Sohbetler yalnızca mesajın gönderildiği cihazda ve mesajı alan cihazda okunabilir. Aynı hesapları kullansanız bile, me-sajları başka bir cihazda okumak mümkün değildir. Yani o an kullandığınız ci-haza bağlıdır şifreleme. Siz kullanıcı olarak sonra başka bi cihazdan bağlandı-ğınızda o sohbete erişemezsiniz. Ayrıca önceden tanımlanmış bir sürenin ar-dından otomatik olarak kaybolan kendi kendini imha eden mesajlar da gönde-rebilirsiniz. Yani Mission Impossible deki gibi “mesajı okuduktan sonra imha et Jim.”

Telegram'daki Gizli Sohbetler gerçekten de uçtan uca şifrelidir; yedeklenmez ve şirket tarafından hiçbir çözücü, decode eden anahtar tutulmuyor. En azın-dan öyle söylüyorlar. Ayrıca sohbetin ekran görüntülerini almayı engellemek için de ekran güvenliği sağlıyor.

Ancak, Telegram adres defterinizi de kendi sunucularına kopyalıyor, bu sayede de sizin adres defterinizdeki birisi platforma katıldığında siz de bir bildirim alıyorsunuz. Ayrıca tüm metaveriler de tamamen şifrelenmiyor.

Telegram ayrıca grup sohbetlerinde her biri 200.000 üyeyi ve kanallarda sınır-sız bir izleyici kitlesini destekleyebilme ile övünüyor. Grup sohbetleri ve kanal-ları da aslında bir bulut sohbetidir ve kendi kendini yok eden mesajlar veya ekran güvenliği gibi özelliklerin hiçbirini sunmuyor.

Uzun lafın kısası ikili görüşmelerde üst seviye bir güvenlik var ama grup soh-betlerinde güvenlik daha az. Şirketin genel merkezi de sürekli değişiyormuş. Bu da tedirgin edici bi durum doğrusu.

Signal Güvenliği

Gelelim Signal’e. Signal’i henüz tam inceleyemedim. Burada yazdığım bilgiler güvendiğim kaynaklardan edindiğim bilgiler.

Signal, varsayılan olarak tüm konuşmaları uçtan uca şifrelemek için ayrı bir açık kaynak kodlu (dolayısıyla da analiz etmeye açık) bir kriptografi kullanıyor.

Signal ile şifreleme anahtarları kullanıcıların telefonlarında ve bilgisayarların-da saklanıyor ve kurumun sunucularında saklanmıyor. Olası bi sahtekârlık ris-kinden de kaçınılması için, konuştuğunuz kişinin güvenlik anahtarı değişirse uyarılıyorsunuz.

Signal’in karşılıklı doğrulama yöntemi, diğer tüm mesajlaşma uygulamalarını ezip geçiyor. Kullanıcılar, kendi güvenlik numaralarını doğrulayarak veya bu benzersiz numaralama setini içeren QR kodlarını tarayarak birbirlerinin profi-lini doğrulayabilir ve profilleri karşılıklı olarak doğrulayabiliyor.

Bu servis Signal kullanıcıları hakkında tutulan kişisel verileri en aza indirecek şekilde tasarlanmış. Signal mümkün olduğu kadar az metaveri topluyor ve kul-lanıcılarına ilişkin metaverileri, günlükleri veya bilgileri depolamıyor. En azın-dan böyle söyleniyor. Diğer iki uygulama sonuçta birer şirket ama Signal vakıf benzeri bi kurumun app’i.

Yedekleme yaklaşımları hem daha güvenli hem de basitleştirilmiş. Çünkü soh-betler varsayılan olarak buluta yedeklenmiyor. Bununla birlikte, harici depo-lamaya yedeklemeleri de kendiniz yapabiliyorsunuz.

Kriptografi dersinde daha ilk derste bize anlatılan bi Doğu hikâyesi vardı. İki Sultan aralarında haberleşmek için anahtarlarının sadece kendilerinde bulun-duğu bi sandık kullanırlarmış. Mesajı sandığa koyar kilitler ve sandığı gönde-rir. Sandığı alan sultan da sadece ikisinde bulunan anahtar ile sandığı açar, mesajı okur, cevabını yazar, sandığı kilitleyerek geri gönderirmiş. Karşılıklı şifreleme de buna benzer.

Signal’de gönderen tarafından belirtilen süreden sonra hiç kimse tarafından tamamen erişilemez hale getirilecek kendi kendini imha eden mesajlar bile oluşturulabiliyor.

Signal ayrıca, son sohbet listesindeki ve uygulamanın içindeki ekran görüntüsü almayı engelleyen bir ekran güvenliği de sunuyor; bu da telefonunuzdaki diğer uygulamaların Signal'deki sohbetlerinizin ekran görüntüsünü almasını engel-liyor. Ancak buradaki dikkat edilecek husus, bu ayarın alıcının ekran görüntü-sü almasını engellememesi.

Signal, kullanıcılarının anonim kalmasına yardımcı olmak için bir de yüz bula-nıklaştırma özelliği de sunmuş. Yalnızca yüzleri bulanıklaştırmak için değil, aynı zamanda resimdeki diğer hassas bilgileri içeren görüntüleri de bulanık-laştırmak için kullanılabiliyor. Bu da kullanıcının güvenliğinin ve gizliliğinin ciddiye aldıklarını gösteriyor.

Signal'e yönelik olası bi kötü eleştiri de şu: Bir hesap oluştururken kuruma verdiğiniz telefon numaranızı bi şekilde yitirdiğinizde bu telefon numarasına erişim hakkını kaybediyor ve de dolayısıyla hesabınız da kilitleniyor. Bu hoş değil ancak verileri geri alabilmek için Signal PIN’i kullanarak yine erişebili-yorsunuz. Böylece olası bi hükümet veya cep telefonu şirketinin sizi bloklama-sına, kilitlemesine izin verilmemiş oluyor.

WhatsApp-Signal-Telegram Güvenlik Karşılaştırılması

Her işletmenin, her bireyin farklı ihtiyaçları, istekleri ve gereksinimleri var-dır. Şifreli mesajlaşma uygulamasının seçimi, işletmenizin ne yaptığına, sizin kim olduğunuza, işinizin ne olduğuna ve kiminle konuştuğunuza bağlıdır.

Wazzep’in kullanımı kolay ve popüler, ancak özellikle geçmişleri göz önüne alındığında güvenlikleri gerçekten güvenilir (!) değil. Yine de, Wazzep kullana-rak mesaj göndermek hiç şifreleme yapmamaktan daha iyidir. Çoğu Wazzep kullanıcısı bunu aile ve arkadaşlarla kişisel iletişim için kullanır. Ancak, şirke-tinizin gizli veya gizli olarak değerlendireceği konuşmalar için kullanmanızı tavsiye etmem.

Telegram gerçekten harika şeyler yapabiliyor. Çok esnek ve kullanımı da çok kolay. En yüksek güvenlik seviyesi varsayılan olarak gelmiyor, sizin ayarlama-nız gerekiyor. Hong Kong’daki protesto eylemlerindeki eylemciler Telegram üzerinden haberleşti.

Signal, iş odaklı kullanıcılar için en iyi uygulama olabilir. Kullanımı Wazzep'ten biraz daha zor, dolayısıyla kullanımı daha zorsa herkes kullanmayacak-tır. Güvenlik-Kullanılabilirlik karşılaştırması yaparken ibre Signal’de güvenlik yönünde. Bu da onu yüksek riskli, gizli iletişimler için ideal kılıyor.

Yani uzun lafın kısası, güvenlik gerektiren bi iş yapıyorsanız kesinlikle Signal’i kullanmanızı öneririm. Eğer sizin için güvenlik önemli değil, sadece kek tarif-leri, geyik muhabbeti yapıyorsanız Wazzep de, Telegram da fark etmiyor.

Bu işin bi ucu. İki ucu kakalı değnek hesabı işin bir de sizin bir ticaret öğesi olarak bir mal olarak görülmeniz var. Bi video izlemiştim, pizza siparişi veren adam siparişi alanın kendisinin şeker değerlerini, mali durumunu kendisinden daha iyi bildiğini görüyor ve şaşırıyordu.

Hiçbirimiz James Bond ya da İngiliz Kemal değiliz ama benim takip ettiğim si-telerden satın aldığım kitapların bıraktığı çerezlerden beğenilerimin, sağlık durumumun, siyasi görüşümün, cinsel tercihimin takip edilmeyeceği manasına da gelmiyor. Cem Yılmaz’ın vulgerleştirdiği “sanki CIA seni neden izleyecek ki” mantığı değil ama Amazon’un fişeklediği “bunu satın alanlar bunu da aldı” önermeleriyle başlayan bu “big bro is watchin U” rüzgârı sizin geçen sene al-dığınız don renginden karakter tahlili yapmaya kadar gidecek. Paranoyak ol-mamız takip edilmediğimiz anlamına gelmiyor.

Dolayısıyla tercihlerimiz karakterimizi, kişiliğimiz belirliyor. Kapitalizm de bu profile uygun satın alma davranışımızı yönlendirecek her türlü puştluğa mey-lediyor.

Olabildiğince az teknik anlatmaya çalışarak “güvenlik” kısmına kısaca değin-dim. Fırsat bulduğumda ve Signal’i biraz daha incelediğimde işin reklam-pazarlama kısmına da gelecek ay değineceğim. Görüşmek üzere, sağlıcakla ve esen kalınız.

Suat K./ 2004Y001

Suat Koyuncu / CineBird