Hangi mesajlaşma uygulaması daha güvenli?

Her ne kadar iki kişinin bildiği sır değilse de kullanıcılar mobil cihazları ile gönderip aldığı mesajlara pek bir ehemmiyet veriyor. Haklılar.

Bu sahada çalışan, kalem oynatan biri olarak zaman zaman bendenize de bu minvalde sorular soruluyor. Kelin ilacı olsa başına sürermiş. Ben de bu kaygılardan azade değilim.

Peki ne yapmalı? Artık mobil cihazlar, iletişimin bu yeni ve artan yönü kaskatı bir realite.

Bugünkü yazımı mesajlaşma uygulamalarının güvenliği konusunda bir karşılaştırmaya hasretmek, okur için sadra şifa olmasa da yüreklere bir damla su serpecek bilgileri paylaşmak istiyorum.

Araştırmamın kaynağı Secure Messaging Apps (SMA) (www.securemessagingapps.com) isimli karşılaştırma tablosunu ihtiva eden site. SMA listesinde yer alan verilerdeki son güncelleme 20 Mayıs 2018 tarihine ait.

SMA'nın hazırladığı listede 12 adet mesajlaşma uygulaması olsa da ben yalnız Türkiyeli okurun aşina olduğu birkaçını bu yazıya konu edeceğim: Whatsapp, Signal, Telegram, ve iMessage.

SMA'nın araştırmasında uygulamalar çeşitli başlıklarda derecelendirilmiş. Uygulama hangi ülkenin kanunlarına bağlı, istihbarat servisleri ile bilgi paylaşıyor mu, uygulamanın içerisinde uzaktan gözetime imkân veren bir arka kapı var mı, kendilerine devlet kurumlarından gelen bilgi paylaşım taleplerini kullanıcılar ile paylaştıkları şeffaflık raporu sunuyorlar mı, kullanıcı güvenliğine dair genel duruşları, para kaynaklarının neler olduğu, şirketin ve uygulamanın kullanıcı datası toplayıp toplamadıkları, şifrelemenin varsayılan olarak etkin olup olmadığı, kriptografik yeterliliği, açık kaynak olup olmaması gibi pek çok başlık var.

Listeyi uzatmadan yazımıza konu olan uygulamalar için sonuçları kısaca aktaralım.

En yaygın olarak kullanılan Whatsapp'dan başlayalım.

Whatsapp neden bu kadar yaygın? Çünkü programın tasarımı gayet ergonomik. Listenizde aynı uygulamayı kullanan kişiler derhal bulup, mesajlaşmaya başlayabiliyorsunuz. Üstelik yaygın olarak da kullanıldığı için kimseyi Whatsapp kullanmaya ikna etmek zorunda değilsiniz. Metin mesajları, sesli mesajlar, video arama özellikleri mevcut. En önemlisi de ücretsiz.

En son söylenecek şeyi en başından söyleyeyim, SMA listesinde Whatsapp güvensiz olarak addediliyor.

Peki neden?

Birleşik Devletler hukukuna bağlı olan Whatsapp, uygulama altyapısını da burada muhafaza ediyor. SMA listesinde belirtildiğine göre müşteri datalarını gizli servisler ile paylaşıyor. SMA listesinde bu meselenin negatif olarak puanlanması Facebook tarafından satın alınması ile doğrudan alakalı. SMA'yı hazırlayanlar Edward Snowden tarafından ifşa edilen PRISIM programına sıklıkla atıf yapıyor. Öyle sanıyorum ki bu kanıyı Edward Snowden'in ifşaatları epey güçlendirmiş.

Uygulama içerisinde dinlemeye / gözetleme imkan veren bir mekanizma olmadığı düşünülmüş. Firma aynı zamanda şeffaflık raporu da sunarak kendilerine yasal mercilerden gelen talepleri de periyodik aralıklarla paylaşıyor.

Firmanın kullanıcı gizliliği söz konusu olduğundaki duruşu zayıf olarak niteleniyor. Whatsapp'ın parasal kaynağı da son satın alımdan sonra Facebook olarak belirtiliyor. Elhak doğru.

Whatsapp'ın sahibi olan Facebook kullanıcı datalarını topluyor. SMA'ya göre Whatsapp'ın kendisi de bu data toplama işini yapıyor. Bu kıstas kırmızı renkle işaretlenmiş. Bunun anlamı çalışması için gerektiğinden fazla data toplaması olarak belirtiliyor.

Uçtan uça şifrelemenin entegre edildiği Whatsapp kendi ifadesi ile sadece mesajlaşmanın meta-datasını tutuyor. Meta-datayı bilgiye dair olan bilgi olarak özetleyebiliriz. Yani mesajın kendisi değil ama kimden kime, ne zaman gönderildiği gibi üst başlık bilgileri Whatsapp sunucularında tutuluyor.

Whatsapp uygulaması kapalı kaynak koda sahip bir uygulama. Yani bağımsız araştırmacılar kaynak kodu inceleyip, bir arka kapı olup olmadığına dair bir inceleme yapamazlar. Uygulamaya anonim olarak kayıt olmak da mümkün değil, zira telefon numarası Whatsapp uygulamasındaki kimliğiniz. Ancak bu kimliği doğruladıktan sonra uygulamayı kullanabiliyorsunuz.

Telefon numarası Whatsapp'da belirleyici dedik. Ama herhangi bir yöntemle bir başkasının telefon numarası taklit edilebilir. Biri ile yazışırken karşıdaki kişiye dair benzersiz bir anahtar oluşturuluyor. Buna fingerprint deniyor. Telefon değiştiğinde bu fingerprint de değişiyor. Whatsap'da bu değişimden haberdar olamıyorsunuz, çünkü bu konuda bildirim yapılmasını istemek tercihe bağlı ve varsayılan olarak bu bildirim kapalı geliyor.

Yine telefon numaranız ve kontakt listeniz Whatsapp sunucularında kriptografik özet (hash) olarak değil, açık metin olarak saklanıyor.

Evet uçtan uca şifreleme ile mesajlarınız aktarımda şifrelense de yedeklendiği esnada şifrelenmiyor ise bu büyük bir risk arz edebilir.

Örneğin Android telefonlarda yedeklerin saklanma tercihi olarak Google Drive'ı belirtirseniz bu ortamda şifrelenmeden saklanıyor. Böylece Whatsapp sunucularından sakınıp sakladığınız veriler Google sunucularında açık metin olarak saklanıyor.

Uygulama; uygulama giriş tarih ve zaman bilgilerine ek olarak IP adresinizi de kayıt ediyor.

Whatsapp'da verdiğiniz bir tarih zaman aralığında mesajların yok edilmesi fonksiyonu maalesef yok.

Signal

Bendenizin de tercih ettiği bir uygulama. SMA listesinde peşinen güvenli olarak kabul ediliyor.

Uygulamanın herhangi bir isihbarat servisi ile bilgi paylaştığına / paylaşacağına dair bir emare yok.

Üreticisi şeffaflık raporu sağlıyor. Kullanıcı mahremiyetine dair güven veren bir duruşu var. Çeşitli vakıfların fonları ve bağışlarla ayakta duruyor.

Kullanıcıdan minimum düzeyde bilgi toplayan Signal, bu bilgileri açık metin olarak değil, kriptografik özet olarak sunucularında saklıyor.

Uygulamanın en büyük artısı açık kaynak kodlu oluşu. Dileyen herkes uygulamanın kodlarını inceleyebilir. Hatta Whatsapp, Allo gibi mesajlaşma uygulamaları da uçtan uca şifrelemede Signal'in geliştirdiği protokolü kullanıyorlar.

Signal'e de anonim olarak kayıt olmak mümkün değil. Yani telefon numaranızı yahut -eposta adresinizi doğrulayarak kayıt olmalısınız. Tabii bu yukarıda Whatsapp'da arz ettiğimiz numaranın taklit edilmesi riskini doğuruyor. Fakat mesajlaştığınız kişinin parmak izi değiştiğinde uygulama sizi derhal haberdar ediyor.

Eğer uygulamaya girişte bir parola set etti iseniz mesajlarınız hem Android hem de iOS telefonlarda şifreli bir biçimde yedekleniyor.

Uygulama kullanıldığı esnada zaman damgası ve IP adresi gibi bilgileri kayıt etmiyor.

Uygulamanın açık kaynak olduğunu söylemiştik. En son Ekim 2014'de bağımsız bir denetime girdi. Uzmanlar, Edward Snowden gibi güvenlik ve gizlilik konusunda adeta diken üstündeki kişiler Signal'i tavsiye ediyor.

Uygulamanın belirtilen bir tarih / saat diliminde mesajları yok etme özelliği var.

Örneğin biri ile mesajlaştığınızda bu kişi ile her yazışmamız mesajın gönderiminden / alımından 10 dakika sonra kendisini yok etsin diyebiliyorsunuz.

Telegram

Özellikle de grup mesajlaşmalarında çok popüler olan Telegram uygulaması otomatik mesaj işleme, otomatik yanıt işlenmesini programlama (bot) imkanları ile özellikle de teknik olarak yetkin kullanıcıların favorisi.

Fakat SMA listesinde güvensiz olarak addediliyor.

İstihbarat servisleri ile veri paylaştığına dair bir emare gözlemlenmediği belirtilen SMA karşılaştırma tablosunda aynı şekilde gözetime imkan veren bir maraza rastlanmadığı belirtiliyor.

Fakat Telegram'ın üreticisi herhangi bir şeffaflık raporu sunmuyor. Kullanıcı güvenliği ve gizliliği söz konusu olduğunda SMA'ya göre zayıf bir duruş sergileyen Telegram; Rus arkadaşlık sitesi VK'nın da kurucusu, girişimci PAvel Durov tarafından finanse ediliyor.

Şirket ve uygulamanın kullanıcı datasını topladığı belirtilirken, varsayılan olarak şifreleme kullanılmadığının altı çiziliyor.

Telegram'ın API ve mobil uygulamasının açık kaynak olduğu belirtiliyor.

Burada bir paranteze ihtiyaç var. Telegram mobil uygulamasının kendisi açık kaynak kod iken, kullanıcıların eşleştirildiği, uygulamaların bağlandığı sunucu tarafındaki uygulamalarda böyle bir şeffaflık sağlanmıyor. Dolayısıyla açık kaynak kod olmadığı için sunucu tarafındaki akışta bağımsız bir denetim mümkün değil.

Telegram uygulamasına da anonim olarak kayıt olmak mümkün değil.

Yine aynı şekilde Telegram'da da kullanıcı bilgilerinin kriptografik özetler şeklinde saklanmadığı SMA listesinde belirtiliyor.

İşin ilginç yanı Telegram ile gönderilen mesajların firma tarafından okunabileceği belirtliyor. Sanıyorum ki SMA listesindeki bu yargıya sebep olan sunucu tarafında Telegram'ın şeffaf olmayışı.

Telegram'ın mesajlara dair üstbilgileri (metadata) şifrelemediği belirtiliyor.

Benim en çok garipsediğim uygulamanın telefon ve sunucu arasındaki trafiği uçtan uca şifreleme protokolü olan TLS ile şifrelemediğinin belirtilmiş olması. Bu noktada Telegram özel olarak geliştirdiği bir şifreleme metodu kullanıyor.

TLS gibi yaygın olarak kullanılan ve güvenilirliği doğru bir implementasyon sağlandığında kanıtlanmış açık bir protokol kullanmaması kafalarda soru işaretleri oluşmasına yol açıyor.

Telegram da Whatsapp gibi kullanıcının sistem giriş tarih ve zaman bilgisi ile IP adresi bilgilerini kaydediyor.

2015 Kasım'ında bağımsız bir değerlendirmeye girdiği belirtilen Telegram uygulaması, Signal'de olduğu gibi mesajları belirtilen bir koşulda imha etme yeteneğine sahip. Telegram uygulamasının mesajların yedeklerini cihaz üzerinde nasıl sakladığına dair ayrıntı ise SMA listesinde bulunmuyor.

iMessage

Son olarak iMessage uygulamasına değinelim. Uzun oldu farkındayım ama buradaki bilgilerin faydalı olacağını ümit ediyorum.

Apple firmasının geliştirdiği iMessage uygulaması, SMA karşılaştırma listesinde güvensiz olarak derecelendiriliyor.

Üretici firmanın kullanıcı mahremiyeti söz konusu olduğunda sağlam bir duruş sergilemediği belirtilen raporda; firmanın ve uygulamanın kullanıcı datalarını topladığı bilgisi paylaşılıyor.

iMessage uygulamasında şifreleme seçeneği varsayılan olarak etkin.

Maalesef iMessage uygulaması da açık kaynak kodlu bir uygulama değil, dolayısıyla uygulama üzerinde bağımsız bir denetim mümkün olmuyor.

Uygulamaya anonim olarak kayıt olamıyorsunuz. Yani telefon numarası yahut e-posta adresi gibi kişisel ve doğrulanmak zorunda olunan bir bilgi vermeden kayıt olmak mümkün değil.

Yine bu verileriniz saklanırken kriptografik özetler olarak değil, açık metin olarak saklanıyor.

Apple firmasına ait olmasına rağmen SMA listesinde mesajların firma tarafından okunamadığı belirtiliyor.

Parola ile giriş etkinleştirilirse cihaz üzerinde de verileri şifreleyerek saklayan iMessage uygulaması; yedekleme işlemlerinde aynı hassasiyeti göstermiyor.

Girişe dair tarih, saat ve IP bilgilerinin kaydedilmesini sağlayan iMessage, mesajların belirtilen koşul sağlandığında imha edilmesi gibi bir özellikle de sunmuyor.

Whatsapp, Signal, Telegram ve iMessage uygulamalarının karşılaştırıldığı yazımızda okurun da farkedeceği üzere tüm artıları üzerinde toplayan uygulama Signal.

SMA'nın derecelendirmede kullandığı kıstaslara, uygulamaların listesine SMA'nın web sitesi olan www.securemessagingapps.com adresinden ulaşabilirsiniz.

Tabloyu incelemek isteyen fakat dil bariyerine takılan kullanıcılar (zira liste İngilizce) Arka Kapı Dergi 3. sayısında yer alan SMA listesinin Türkçe tercümesine göz atabilirler. (www.arkakapidergi.com)

YORUMLAR (3)
YORUM YAZ
UYARI: Hakaret, küfür, rencide edici cümleler veya imalar, inançlara saldırı içeren, imla kuralları ile yazılmamış, Türkçe karakter kullanılmayan ve büyük harflerle yazılmış yorumlar onaylanmamaktadır. (!) işaretine tıklayarak yorumla ilgili şikayetinizi editöre bildirebilirsiniz.
3 Yorum