January 9, 2017

Neden arkadaşlarıma WhatsApp ve Telegram’ı kullanmayı bırakmaları gerektiğini söyledim

Original blog post in English.

Translation by Tunahan Karlıbaş.


Bu sabah arkadaşıma WhatsApp ve Telegram’ı kullanmayı bırakmalarını söyledim ve onlara Signal’ e geçmesi için bir davetiye linki gönderdim. Neden mi?

İşte nedeni:

Şifreleme Protokolleri: Signal Protokolü VS Telegram’ın MProto’su

Belki farkına varmamışsınızdır, ama muhtemelen Signal protokolünü her gün 1 milyar kişiyle birlikte kullanıyorsunuz.

Signal Protokolü; WhatsApp, Facebook Messenger, Google Allo ve Signal’ in kendi mesajlaşma uygulaması tarafından kullanılıyor.

Fakat Signal protokolü nedir?

Signal protokolü anlık mesajlaşma sohbetleri için uçtan-uca şifreleme sağlayan federal olmayan bir kriptografi protokolüdür. — Vikipedi

Uçtan-uca şifreleme mesajınızın gizli bir mesaja dönüştürülmesini ve ardından sadece son alıcı tarafından deşifre edilmesini sağlar.

Bu WhatsApp’ın birkaç ay önce sizin sohbetinizde bu mesaj görüntülediğinde başlattığı şey:

WhatsApp encryption announcement messageWhatsApp encryption announcement message

Signal protokolü; 2013 yılında Twitter’ın eski güvenlik şefi Moxie Marlinspike tarafından kurulan ve kar amacı gütmeyen bir grup olan Open Whisper Systems tarafından; Twitter, Open Whisper’ in ilk güvenli mesaj şirketini satın aldıktan sonra oluşturuldu.

Open Whisper Systems, Signal protokolü’nün geliştirilmesine odaklandı ve ayrıca Signal adı verilen bir mesajlaşma uygulaması yayınlandı. Şirket bağış ve yardımlar sayesinde finanse ediliyor.

Ekim 2016’ da Signal Protokolü uluslararası bir güvenlik araştırması takımı tarafından incelendi ve parlak sonuçlar aldı1.

Yukarıyı okuduktan sonra WhatsApp, Facebook Messenger, Telegram ve Google Allo; Signal protokolünu kullandığın beri sıkıntı olmadığını düşünebilirsiniz.

Aslında bir sıkıntı var.

Facebook Messenger ve Google Allo öntanımlı olarak uçtan-uca şifrelemeyi aktifleştirmiyor. Uçtan-uca şifrelemeyi kullanabilmek için Facebook Messenger kullanıcıları Gizli Sohbetler” özelliğini Google Allo kullanıcıları ise Gizli Mod”u aktifleştirmek zorundalar.

Sosyal ağ VK nin kurucusu Pavel Durov tarafında kurulan Telegram MProto ismiyle kendi kriptografi protokolünü kullanıyor. Telegram kriptografi konusunda oldukça fazla tartışmaya konu oldu. Ardından 2015’ te bir güvenlik araştırmacısı MProto’nun teorik zayıflıklarını ortaya çıkaran bir belge yayınladı* ve Telegram’ ın kendi kriptografi protokollerini kullanmaması gerektiğini belirtti.

Bu bize gönderilen mesajlar için Signal protokolünü varsayılan olarak kullanan iki uygulama olan WhatsApp ve Signal’i bırakır.

Peki neden WhatsApp’ı kullanmamamız gerektiğini sorabilirsiniz.

Bunun sebebi WhatsApp’ın metadata toplaması.

Veri ve Metadata Toplama

Metadata ve veri toplama çoğu kez tartışmaların merkezindedir ve kullanım şartlarında sıklıkla şu ifadeler geçmektedir:

Biz sizin iletişiminizin içeriğini uçtan-uca şifreleme kullanmamız sebebiyle dinleyemez/okuyamayız. Biz sadece metadata toplarız

Metadata genellikle üstü kapalı bir ifadedir. Metadatanın ne olduğunu Edward Snowden tweetinde açıklamıştır:

“Metadata” ifadesinin ne olduğunu anlamakta sorun mu yaşıyorsunuz. Yerine “aktivite kaydı” koyun. Metadata budur.“Metadata” ifadesinin ne olduğunu anlamakta sorun mu yaşıyorsunuz. Yerine “aktivite kaydı” koyun. Metadata budur.

Eğer hala ne olduklarını analayamadıysanız; Kurt Opsahl’ın şu yazısını okuyun. Yazıda şirketlerin ve hükümetlerin metadata toplayarak neleri bilebildiklerine örnekler veriliyor2:

Onlar gece saat 2:24’ de telefonda sex hizmeti veren bir numarayı arayıp 18 dakika konuştuğunuzu bilirler. Fakat ne hakkında konuştuğunuzu bilmezler.

Onlar sizin Golden Gate Köprüsü’ nden intiharı önleme hattını aradığınızı bilirler. Fakat konuşmanın konusu gizli kalır.

Onlar sizin HIV testi yapan bir şirketle, ardından doktorunuzla, ardından hayat sigortası şirketinizle aynı saatte konuştuğunuzu bilirler. Fakat ne hakkında tartıştığınızı bilmezler.

Metadatanın ne olduğunu öğrendiğinize göre tekrar ediyim; uçtan-uca şifreleme mesajlaşma servislerinin metadata toplamasını engellemez.

Omların neler topladığına bir bakalım:

WhatsApp

WhatsApp SSS, uygulamanın adres defterindeki tüm telefon numaralarına erişimi olduğunu ve sizin hakkınızda çok sayıda bilgiyi topladığını bildirmektedir.34

İlginç olan şey, WhatsApp mesajlarınızı sunucularında saklamamaktır. Bunun yerine, mesajlarınız telefonunuzda ve daha sonra da telefonunuzu yedeklediğiniz sunucularda şifrelenmemiş olarak depolanır. Örneğin, bir iPhone kullanırsanız, tüm WhatsApp iletileriniz iCloud’da şifrelenmemiş olarak depolanır.

WhatsApp’ın ne zaman, nerede ve kiminle iletişim kurduğunuz hakkında topladığı bilgiye gelince, bu çok belirsizdir. İşte söyledikleri:

Kullanım ve Kayıt Bilgiler: Servisle ilgili, teşhis ve performans bilgileri toplarız. Bu, etkinliğiniz hakkında (hizmetlerimizi nasıl kullandığınız, hizmetlerimizi kullanarak başkalarıyla nasıl etkileşime geçtiğiniz gibi), kayıt dosyaları ve sorun giderme, çökme, web sitesi ve performans kayıtlarını ve raporlarını içerir.

WhatsApp ayrıca, uygulamayı yüklediğinizde, hizmetine eriştiğinizde veya kullandığınzda; telefonunuzun modeli, işletim sistemi, IP adresiniz, kullandığınız tarayıcı gibi cihaza özgü bilgileri de toplar.

Ve eğer onlar bu bilgileri telefonunuzdan toplayamazsa, WhatsApp, arkadaşınızın akvite kaydına eriştiği müddetçe biri size mesaj attığı zaman bu bilgileri edinirler.

Şifrelenmemiş yedeklerin yanı sıra, Electronic Frontier Vakfı; WhatsApp web uygulaması ve WhatsApp’ı 2014 yılında satın alan Facebook’la veri paylaşımı üzerine diğer endişelerini de makalesinde özetledi.

Facebook’ tan bahsetmişken…

Facebook Messenger

MIT Technology Review yazdı:

Facebook, şimdiye kadar insan sosyal davranışı üzerine en kapsamlı veriyi topluyor.”5

Facebook’un hangi tür verileri depoladığını anlatmama gerek yok. Facebook sizin arkadaşınız, dolayısıyla arkadaşınızın size ne kadar yakın olduğunu çok basit bir şekilde anlatmışlar.

facebook data collection policyfacebook data collection policy

Google Allo

Google Allo, güvenlik uzmanları tarafından genişçe eleştirildi.6

Google, sadece gönderdiğin mesajları okumaz, aynı zamanda tüm konuşmalarını saklar.

Bu kadar basit.

İşte Edward Snowden’in Allo için yaptığı reklam:

“Google Mail, Google Haritalar ve Google Gözetleme. İşte bu Allo. Google Allo’ yu kullanmayın”“Google Mail, Google Haritalar ve Google Gözetleme. İşte bu Allo. Google Allo’ yu kullanmayın”

Telegram

Telegram kriptografi protokolünde bazı teorik güvenlik açıkları olduğunu belirttiğimden beri biraz zor durumda*. Ancak bunu bir kenara bırakalım ve sizden ne topladıklarına bir bakalım.

Mesajlar, fotoğraflar, videolar ve belgeler şifreli bir şekilde Telegram’ ın sunucularında depolanmakta(“Gizli Sohbet” mesajları hariç, onlar Telegram sunucusunda depolanmamakta). Facebook ve WhatsApp gibi Telegram da kişilerinize erişiyor ve onları sunucularında depoluyor. Bu kişilerinizden biri Telegrama katıldığında size nasıl bildirim gönderildiğini açıklıyor değil mi?

Signal

Edit June 2022: I no longer use Signal. I deleted my account, mainly because it is a walled garden.

Signal’ in elinde tuttuğu tek veri, kaydettiğiniz telefon numarası ve sunucuya en son ne zaman giriş yaptığınızdır.7

Bu kadar.

Hata o mesajı attığınız; saati, dakikayı, ve saniyeyi de depolamıyor. Yalnızca mesajı attığınız günü depoluyor.

Eğer kendinizi yine de güvende hisstemiyorsaniz Signal’ in mesajlarınızın belli bir zaman sonra karşı taraftan silinmesini sağlayan; yok olan mesajlar” adını verdiği bir özelliğide var.

Ve Signal bedava, cidden bedava. Yani Facebook ve Telegram’ ın yaptığı ve Google’ ın kendi uygulamalarında yapmak istediği gibi gözünüzü reklamcılar için bir ürüne dönüştürmüyorlar. Buradan Signal’ e bağış yapabilirsiniz.

Bu arada eğer bakmak isterseniz Signal’ in kaynak kodu açık ve bedava bir şekilde GitHub’ da yayınlanıyor8.

Neden gizliliğinize önem vermelisiniz?

Belki şöyle düşünebilirsiniz:

Bu beni ilgilendirmez, benim gizleyecek hiçbir şeyim yok.

Saklayacak hiçbir şeyin olmadığını düşünüyorsanız, bir şey deneyin: posta kutunuzun şifresini arkadaşlarınızla paylaşın.

Edit 24/01/2017: previously we stated that [Telegram’s] encryption protocol [was] not secure”. Telegram brought some clarification by publishing a blog post commenting on the finding of J. Jakobsen.9



  1. https://www.cyberscoop.com/signal-security-audit-encryption-facebook-messenger-whatsapp/↩︎

  2. https://www.eff.org/deeplinks/2013/06/why-metadata-matters↩︎

  3. https://faq.whatsapp.com/en/general/20971813↩︎

  4. https://www.whatsapp.com/legal/#privacy-policy-information-we-collect↩︎

  5. https://www.technologyreview.com/s/428150/what-facebook-knows/↩︎

  6. www.independent.co.uk/life-style/gadgets-and-tech/news/google-allo-should-be-deleted-and-never-used-says-edward-snowden-a7320861.html↩︎

  7. https://signal.org/legal/↩︎

  8. https://github.com/signalapp↩︎

  9. https://telegra.ph/mtproto-security-01-17↩︎


blog post personal computing

No affiliate links, no analytics, no tracking, no cookies. This work © 2016-2024 by yctct is licensed under CC BY-ND 4.0 .   about me   contact me   all entries & tags   FAQ   GPG public key

GPG fingerprint: 2E0F FB60 7FEF 11D0 FB45 4DDC E979 E52A 7036 7A88