İstanbul, Anadolu Ajansı
ADEO Cyber Security şirketinde siber güvenlik uzmanı Ersin Çahmutoğlu, mesajlaşma uygulamalarının güvenlik risklerini AA Analiz için kaleme aldı.
***
Günümüzde mesajlaşma uygulamaları sadece bireylerin iletişim kurduğu araçlar değil, aynı zamanda devletlerin, özellikle de istihbarat servislerinin ilgisini çeken birer veri kaynağı haline geldi çünkü bu uygulamalar aracılığıyla milyonlarca insan hem özel hem de toplumsal hayatlarına dair pek çok bilgi paylaşıyor. İstihbarat servisleri de bu büyük veriyi elde edebiliyor ve çeşitli amaçlarla kullanıyor.
Mesajlaşma uygulamaları, kullanışlı olmaları ve veri kaynağı olarak fayda sağlamalarının yanında bazı risk ve tehditler de teşkil edebiliyor. Bazı devletler, ulusal güvenliğe tehdit olarak gördüğü WhatsApp ve Telegram gibi pek çok mesajlaşma uygulamasının devlet kurumları içerisinde ya da ülke çapında kullanımını yasaklayabiliyor.
ABD, Rusya ve İran örneği
Bu konuda pek çok devlet tarafından yakın zamanda çeşitli adımlar atıldı. Örneğin, İsrail ile İran arasındaki çatışmaların sona yaklaştığı günlerde İran devlet televizyonundan yayınlanan bir uyarı, mesajlaşma uygulamalarının İran için tehlikesine işaret ediyordu. İran hükümeti, dünyada en çok kullanılan mesajlaşma uygulaması WhatsApp'ın, İsrail istihbarat servislerine göndermek üzere kullanıcı bilgilerini topladığını iddia ederek, vatandaşlarına akıllı telefonlarından WhatsApp'ı kaldırmaları için çağrıda bulunmuştu. İran'ın bu çağrısı sonrası, pek çok ülkede WhatsApp ve Telegram gibi uygulamaların ne kadar güvenli olduğu konusunda tartışmalar yeniden başladı.
Geçtiğimiz haftalarda ABD tarafından da benzer girişime şahit olduk. ABD Temsilciler Meclisi, WhatsApp uygulamasını Meclis'teki tüm cihazlarda yasakladı. Temsilciler Meclisi üyelerine ve personeline gönderilen bildiride, WhatsApp'ın kullanıcı verilerini nasıl koruduğu konusunda yeterince şeffaf olmaması, depolanan verilerin şifrelemeye sahip olmaması ve uygulamanın kullanımıyla ilgili olası güvenlik açıkları nedeniyle yüksek riskli olduğu açıklandı.
Mesajlaşma uygulamalarının devlet destekli olarak yerli ve milli imkanlarla geliştirilmesine örnek olması açısından Rusya'nın girişimi de kayda değerdir. Çeşitli haber kaynakları, Rusya'nın WhatsApp ve Telegram'a rakip olacak devlet destekli mesajlaşma uygulamasını geliştirdiğini açıkladı. WhatsApp ve Telegram'daki güvenlik endişelerinden dolayı geliştirilecek olan uygulamanın devlet hizmetleriyle de entegre olacağı ve uygulama sayesinde kullanıcıların, mesajlaşma ve arama yapabilmenin yanında, resmi belgeleri elektronik olarak imzalayabileceği, pasaportlar ve öğrenci kimlik kartları da dahil olmak üzere çeşitli belgelere erişebileceği söyleniyor.
Bütün bu gelişmeler, geçmişten de gelen bazı endişelerle birlikte değerlendirildiğinde, devletlerin çeşitli mesajlaşma uygulamalarında ciddi güvenlik problemleri gördüğünü net olarak ortaya koyuyor. Bu güvenlik problemlerinin de çoğu zaman doğrudan ulusal güvenliği ilgilendiren zafiyetlerden ve şirket politikalarından kaynaklandığını görüyoruz.
Mesajlaşma uygulamaları kimlerle veri paylaşıyor?
Mesajlaşma uygulamaları, çoğu istihbarat servisleriyle ve kolluk kuvvetleriyle çeşitli veriler paylaşır. Bazı uygulamalar da istihbarat paylaşımı noktasında ilgili devlete "zorunlu hizmet"te bulunur. Örneğin, Çinli Tencent firmasına ait mesajlaşma uygulaması WeChat'in bu kapsamda veri paylaştığı iddia edilir. Çin'de yıllar önce yürürlüğe giren yasa kapsamında Çin menşeli Huawei, ZyXEL, Tencent gibi global çapta hizmet veren şirketlerin Çin hükümetinin ulusal güvenlik faaliyetlerine katkı sunmak ve bu kapsamda istenen verileri paylaşmak zorunda olduğu söylenir. Çin örneğindeki gibi ABD, Rusya veya Avrupa menşeli mesajlaşma uygulamalarının da kendi ülkelerinin istihbarat servisleriyle benzer ilişkilere sahip olduğuna dair yaygın inanış mevcut.
Mesajlaşma uygulamalarındaki risk ve tehlikelere bakıldığında, ilk olarak istihbarat servisleri ve kolluk kuvvetleriyle veri paylaşımı konusunun önem arz ettiğini görürüz. Bu veriler çoğu zaman adli vakalarda ya da ciddi ulusal güvenlik tehditlerinin teşkil ettiği zamanlarda, talep üzerine şirket tarafından iletilir. Örneğin Fransa'daki ilgili kurumlar, WhatsApp'tan bir veya birkaç kişinin meta-verilerini istediğinde WhatsApp bunları genellikle iletir. Kimi zaman da kimlik bilgileri ve mesajların içeriği de dahil olmak üzere pek çok veriyi istihbarat servisleriyle paylaşan mesajlaşma uygulamaları da mevcuttur.
İkinci olarak mesajlaşma uygulamalarındaki uçtan uca şifreleme sorunu da öne çıkıyor. Son zamanlarda pek çok uygulama bu özelliği sunuyor fakat bazı uygulamaların şifrelemeyi hangi araçlarla ve protokolle sağladığı, verinin sunucularda tutulup tutulmadığı ve mesajların nasıl okunabildiği gibi konularda yeterince şeffaf olmaması endişelere sebep oluyor. Örneğin, WhatsApp bu konuda en çok eleştiri alan uygulamaların başında geliyor.
Üçüncü olarak ise mesajlaşma uygulamalarındaki güvenlik açıklarından bahsetmek mümkün. Bu güvenlik açıkları, genellikle "zero-day" olarak bilinen ve geliştiricisinin dahi farkında olmadığı açıklardır. Gelişmiş seviyedeki istihbarat operasyonlarıyla bu güvenlik açıkları istismar edilebilir ve son derece güvenli olan uygulamadan bile tüm iletişimler dinlenebilir.
Meselenin bir de "backdoor" boyutu var. Burada da geliştirici şirket kasıtlı olarak arka kapı bırakır ve bunun anahtarını da işbirliği yaptığı istihbarat servisine verir. Dolayısıyla pek çok kullanıcıda güvenli olarak bilinen bazı uygulamaların böyle arka kapılara sahip olduğuna dair endişeler söz konusudur.
İstihbarat servisleri mesajlaşma uygulamalarını nasıl kullanıyor?
Pek çok devletin istihbarat servisleri ve kolluk kuvvetleri, şifreli mesajlaşma uygulamalarında bile kullanıcıların kimlerle, ne sıklıkla konuştuğunu tespit edebilir. Bu "meta-veri", mesajın içeriği okunamasa bile kişinin sosyal çevresini ve alışkanlıklarını analiz etmeye yeterli olabilir. Özellikle suç örgütleri veya şüpheli kişiler izlenirken bu veriler büyük önem taşır.
Bazı durumlarda istihbarat servisleri doğrudan uygulamalardan bilgi talep eder. Uygulamanın geliştiricisi şirket, kullanıcıların mesajlarını ya da hesap bilgilerini içeren kayıtları ilgili kurumla paylaşabilir. Örneğin, Telegram'la ilgili böyle bir inanış mevcut. Rus istihbarat servislerinin Telegram'dan bu gibi verileri elde edebildiği söylenir.
Bir diğer yöntem ise istihbarat servislerinin teknik yollarla mesajlaşma uygulamalarını hedef almasıdır. Bazı gelişmiş ülkeler, hedef aldıkları kişilerin telefonlarına gizlice yerleştirdikleri casus yazılımlarla mesajlaşma uygulamalarına erişmeye çalışır. Bu şekilde uçtan uca şifreleme bile aşılarak mesajların içeriği doğrudan cihazdan elde edilebilir. Yakın geçmişte Pegasus, Predator, Graphite gibi gelişmiş seviyedeki casus yazılımların WhatsApp'taki birkaç güvenlik açığını kullanarak bazı ülkelerdeki hedeflerin mesajlarına eriştiği ortaya çıkmıştı.
Meselenin bir de "şirket-devlet işbirliği" hususuna dikkati çekmek gerekir. Bazı devletlerin uygulamaların ait olduğu şirketlerle işbirliği yaptığına dair iddialar ortaya atılmıştı. Örneğin, İsrail'in Meta şirketiyle yakın ilişkide olduğuna dair bir süredir çeşitli haberler gördük.
Bunlardan biri, WhatsApp'ın kullanıcı bilgilerini doğrudan İsrail istihbaratına verdiğine dair ortaya atılan iddiadır. Bu iddianın temeli, WhatsApp'ın bağlı olduğu Meta şirketinin üst düzey bir yöneticisinin yıllar önce İsrail askeri istihbaratı mensubu olmasıdır. Guy Rosen adlı bu İsrail vatandaşı, yıllardır Meta'nın Bilgi Güvenliği Direktörü olarak faaliyet yürütüyor. Kendisi bir zamanlar İsrail'in teknik istihbarat birimi Unit 8200'de görev yapmıştı. Ayrıca Rosen dışında Meta'da, İsrail vatandaşı olan ve İsrail istihbaratıyla irtibatları olduğu söylenen Amy Palmer ve Adam Mossari gibi birkaç üst düzey isim daha bulunur. Bu ilişkiler sayesinde Meta'nın İsrail istihbaratına ve ordusuna bilgiler aktarması elbette mümkün fakat henüz bu ilişkinin ne boyutta olduğunu bilemiyoruz.
Çözüm: Yerli ve milli ürün
Bütün bu iddialar, haberler ve ortaya çıkan ilişkiler, bir kez daha yerli ve milli imkanlarla geliştirilen teknolojilerin ne kadar önem arz ettiğini bize bir kez daha gösteriyor. Özellikle mesajlaşma uygulamaları gibi hassas kullanıcı verilerinin yer aldığı iletişim araçlarında durum daha kritik. Sıradan kullanıcılardan öte devlet kurumlarındaki personelin, tamamıyla yerli imkanlarla geliştirilen mesajlaşma uygulamaları kullanmaları gerekiyor.
Uçtan uca şifrelemeye sahip ve sunucularının da sadece Türkiye'de bulunduğu bir uygulamanın ulusal güvenlik açısından ne kadar ciddi önemde olduğunu İsrail, ABD, Rusya gibi ülkelerde yaşananlardan görmüş oluyoruz.
[Siber istihbarat, siber silahlar ve devlet destekli (state-sponsored) siber operasyonlar konularında çalışmalar yapan Ersin Çahmutoğlu, ADEO Cyber Security şirketinde siber güvenlik uzmanı olarak görev yapmaktadır.]
* Makalelerdeki fikirler yazarına aittir ve Anadolu Ajansının editoryal politikasını yansıtmayabilir.
