Tanınmış güvenlik araştırmacılarından oluşan otuz kişilik bir grup Guardian’ın geçen hafta yayınlamış olduğu bir haberi geri çekmesi için açık bir mektuba ortaklaşa imza attılar. WhatsApp mobil mesajlaşma uygulamasının bir backdoor (arka kapı) içerdiğine dair haber geçen hafta Guardian’da yayınlanmıştı.
Açık mektubu organize eden akademisyen Zeynep Tüfekçi “Maalesef haberiniz ‘aşı insanları öldürür’ şeklindeki yersiz ve yetersiz içeriğe sahip bir haberi yayınlamakla eşdeğer” diye yazdı.
Mektup Guardian’ın iddialarının” insanları oldukça somut biçimde tehlikeye attığı” savıyla devam ediyor.
“Endişem bu yazının yayınlanmasından bu yana meydana gelenlerle ilgili gözlemimden ve bu alanlardaki yıllara dayalı tecrübemden kaynaklanıyor” diye yazan Tüfekçi “Bu denli kritik bir sorun ile ilgili bir haberi geniş sayıda uzmanlarla görüşmeden yazmamalısınız” diye ekliyor.
Tüfekçi aynı zamanda Guardian’ın haberiyle ve olası sonuçlarıyla ilgili görüşlerini Twitter’da da oldukça açık bir şekilde dile getirdi.
Thanks to Guardian's irresponsible & baseless WhatsApp reporting, I'm flooded w reports of vulnerable folk switching to less secure options.
— Zeynep Tufekci (@zeynep) January 16, 2017
Kim ne dedi?
WhatsApp’ da kendi platformunda Guardian’ın ‘backdoor’ iddialarını şiddetle reddetti ve bize “WhatsApp yönetimlere kendi sistemlerine girmesi için backdoor bırakmamakla birlikte bu yöndeki herhangi bir talebe karşı da mücadele verir. Guardian’ın haberinde yer alan tasarım kararı milyonlarca insanın mesajlarının kaybolmasını engellemeye dönüktür. WhatsApp insanları olası güvenlik risklerine karşı uyaran bildirimler gönderir” dedi.
Signal (bir diğer anlık mesajlaşma uygulaması) Protokol’ün yazarı Moxie Marlinspike ile de temas kurduk. Kendisi geçen yıl uçtan uca şifreleme özelliğini devreye sokmak için WhatsApp’la birlikte çalışmıştı. Bu vesileyle erişim oldukça zorlaştırılmış ve güvenilir bir kriptolama bu denli yaygın bir mesajlaşma platformu üzerinde uygulamaya konulmuştu.
TechCrunch’a gönderdiği e-posta mesajında Marlinspike Guardian’ın haberini ‘Fevkalade yersiz’ olarak adlandırdı.
Gazetenin haberi bağımsız bir güvenlik araştırmacısı olan Tobias Boelter’in araştırmasına dayanıyor. Boelter Nisan 2016’da WhatsApp’ta alıcıya ulaşmayan mesajlar için kullanılan ‘anahtar değişikliği’ ile ilgili olarak yaptığı araştırmayı ‘Savunmasızlığın yeniden iletimi’ olarak tanımlamıştı.
WhatsApp paltformu kullanıcıları, bir anahtar değişikliği durumunda uyarı almak üzere ilgili seçeneği aktive etme imkanına sahipler. Bununla birlikte bu uyarı ancak mesaj alıcıya ulaştırıldıktan sonra gönderiliyor. Bu nedenle Boelter WhatsApp kullanıcıları için bir güvenlik riski olduğunu iddia ediyor.
Boelter WhatsApp’ın ana firması olan Facebook’a bu yazıyı yazdığı tarihlerde konuyla ilgili bir uyarı mesajı gönderdiğini fakat bunun ‘olması gereken bir uygulama’ olduğuna dair cevap aldığını söyledi.
Geçtiğimiz hafta WhatsApp ‘anahtar iletimi’ işleminin bir tasarım kararı olduğunu iddia etti. Bu yolla telefonunu değiştiren ya da SIM kartını değiştiren kullanıcıların mesajlarının kaybolma riskini minimize etmeyi amaçladıklarını belirtti.
Tüferçi’nin Guardian’a olan mektubuna ortak imza atan güvenlik araştırmacılarından oluşan grup bunun bir backdoor olmadığı, bilakis bir özellik olduğu konusunda açık biçimde hemfikir. Bu noktada görüş belirten imzacılar; Kriptograf Bruce Schneier, Tor Projesi’nden Isis Lovecruft, güvenlik araştırmacısı Thaddeus T. ‘Grugq’, Mozilla’dan Katherine McKinley, Open Crypto proje denetmeni Kenneth White, ve güvenlik araştırmacısı ve yazarı Jonathan Zdiarski.
“Eğer mesaj güvenliği ön planda tutuluyor ise WhatsApp’ın bir telefon ya da SIM kartı değişimi esnasında yaptığı anahtar değişimi kabul edilebilir bir uygulama’ diye yazan Tüfekçi, WhatsApp’ın anahtar iletimi işlemi esnasında bir açık yakalama riski oldukça düşük ve gerçekleşmesi pek mümkün olmayan bir tehdit diyerek yazısına devam ediyor.
“İnsanlar hangi uygulamayı kullanacakları ile ilgili olarak özgür iradeye sahip değiller; en çok kullanıcı tabanına sahip olan uygulamaya doğru cezbediliyorlar (görüşmek istedikleri kişilerin kullandıkları uygulamalara) ve kullandıkları şeyin başkalarınca takip edilmediğine inandıklarına. WhatsApp’la ilgili gereksiz ve sağlam olmayan bir endişeye sebep olmak, bir çok kullanıcının güvenilir uygulamaları kullanma fikrinden vazgeçmelerine sebep olmaya benziyor. Yalnızca birkaç kişi üzerinde yan etki yapacak oldukça az görülen etkileye sahip bir aşı ile ilgili endişe verici şüphelere yol açtığınızı düşünün’ diye devam ediyor.
Tüfekçi’nin açık mektubunun yayınlanmasından önce gazete halihazırda haberde değişiklik yapmıştı; başlıktaki ‘backdoor’ kelimesini ‘savunmasızlık’ olarak değiştirerek.
Haberin sonunda bulunan bir editoryal notta ilgili değişiklikle alakalı olarak “Bu haber WhatsApp’tan gelen, yönetimlerin sistemlerine girmelerini sağlayacak bir ‘backdoor’ sağlamadıklarına dair yapmış oldukları son bildirimleri müteakiben yapılmıştır” şeklinde bir açıklama mevcut.
Fakat orijinal haberde yapılan bazı değişikliklere rağmen gazete kullanıcıları WhatsApp’tan Signal’e geçiş yapmalarını öneren müteakip haberler yayınladı. Aynı zamanda resmi bir düzeltmeyi de yayına almadı.
Tüfekçi Twitter’da ‘Signal’i sevdiğini söylerken mektubunda bu programın yoğun kullanıcı tabanına sahip olan WhatsApp’ın eşdeğer bir alternatifi olmaya uygun olmadığını zira, anahtar değişikliği gerçekleştiğine dair bir uyarı mesajı göndermektense bu tip bir durumda mesaj gönderimini bütünüyle bloke ettiğini belirtti.
Tüfekçi aynı zamanda Signal kullanımının bazı durumlar için tavsiye edilebilir olmayacağını çünkü sizi bir aktivist olarak işaretlediğini belirtiyor. “WhatsApp’ın en güvenilir seçenek olduğu bir çok tehdit modelleri mevcut zira, şifreli uygulama yüklediği için hapse atılan insanların bulunduğuna dair dünya çapında bildirimler söz konusu”.
“Küçük ve savunması mümkün hale getirilebilir bazı uyarı mesajları var diye insanları WhatsApp’tan uzaklaştırmak için korkuturken, diğer yandan sırf telefonunu ya da SIM kartını değiştirdiği için mesajların gönderimini gerçekleştirmeyen Signal’i tavsiye etmek ve bu yolla kullanıcı tabanını genişletmeye hoş değil.
Marlinspike’ da bir blog yazısında ; “WhatsApp’ın anahtar değişikliğini uyguluyor olması bir ‘backdoor’ değil, bilakis kriptografinin çalışma yöntemidir. Sunucu tarafından iletilmekte olan herhangi bir mesajın çalınmasına dair herhangi bir girişim gönderici tarafından fark edilebilir. Tıpkı Signal’de, PGP de ya da herhangi bir uçtan-uca şifreleme iletişim sisteminde olduğu gibi. Başkaları UX’in detaylarıyla aynı fikirde olmasa da bunu hiçbir şekilde ‘backdoor’ olarak tanımlamak mantıklı sayılamaz zira anahtar değişiklikleri gönderici tarafından anlık olarak tespit edilebilir ve doğrulanabilir”.
Elektronik Frontier Fonu da WhatsApp’ın anahtar değişimleriyle ilgili olarak yaptığı şeyi bir ‘takas’ olarak tanımlıyor. Organizasyon her ne kadar bir zafiyet olduğu konusunda Boelter’le aynı fikirde ise de bunun bir ‘backdoor’ olduğunu iddia etmenin sorumsuzluk olduğunu belirtiyor.
 içerdiğine dair haber geçen hafta Guardian’da yayınlanmıştı.){kind=link}