Categories
Ahmet Nerede | Where's Ahmet İnternet Notları | Notes From Internet Not Defteri | Notebook Rehberler | Guides Röportajlar | Interviews Türkçe

WhatsApp, Güvenli Mesajlaşma ve Gizlilik

Geçtiğimiz birkaç gün içerisinde WhatsApp’ın kullanıcılarına gönderdiği yeni sözleşme değişikliği bildirimi ile mesajlaşma uygulamalarının güvenliği, internetteki veri gizliliğimiz ve daha birçok konu beklediğimden çok daha canlı bir şekilde ülkemizde gündem hâline geldi. Elbette bu durum birtakım yanlış bilgilerin ve yanlış anlaşılmaların da yayılmasına neden oldu. Yine de genel olarak Internette ne kadar güvende olduğumuz ya da gizliliğimizin nasıl ihlal edilebildiği üzerine konuşmaya, buna dair bir şeyler yapmaya başladık.

Konuya dair Twitter’da yazdıklarım büyük ilgi topladı ve farklı platformlarda da konuyla ilgili görüşlerime başvuruldu. Bunları herkesin istediği zaman erişebileceği bir arşive dönüştürmenin iyi olacağını düşündüm. Bu sayede Twitter’da yazdıklarımı başka yerlerde daha kolay bir şekilde paylaşabilirsiniz.

Yeni gelişmeler oldukça burayı güncelleyeceğim. O yüzden konuyu merak ediyorsanız arada bir burayı ziyaret edebilirsiniz.


Uygulamaların Arasındaki Güvenlik Farkı

WhatsApp gizlilik sözleşmesi değişikliğinden sonra tekrar mesajlaşma uygulamalarını tartışmaya başladık. Ama ortalıkta çok fazla yanlış bilgi ve kötü tavsiye var. O yüzden bu thread ile olabildiğince hepsini temizlemeye çalışacağım.

Önce bir üçlü kıyas yapalım. Linkteki görseller Signal, WhatsApp ve Telegram’ın gizlilik konusundaki seviyesini özetliyor. Bariz bir şekilde Signal daha iyi.

Telegram’la ilgili çok fazla yanlış bilgi var. Örneğin kendilerini Rusya’ya kafa tutuyor gibi göstermeyi çok seviyorlar ama bu haberi asla konuşmazlar. Ya da Rusya’nın Telegram yasağını durduk yere kaldırmaya nasıl ikna olduğunu. (Telegram’a dair çekincelerimi biraz daha detaylı olarak buradaki tweetlerde anlattım.)

Hepsini geçtim güvenlik anlamında Signal ile hiçbir şekilde karşılaştırılamayacak kadar kötü durumda. Uçtan uca şifreleme gizli sohbet dışında yok ve tüm konuşmalarınızın yedeği sunucularında var. Üstelik şifreleme için kullandıkları yolun ne kadar güvenli olduğu da şüpheli. WhatsApp bile bu sözleşme değişimine rağmen Signal’in şifreleme protokolünü kullanıyor ve en azından görüşmelerinizi uçtan uca şifrelemeye devam ediyor. Ama bu değişimi bir süredir bekliyordum zaten. Facebook sadece parayı düşündüğü için satın alma sonrası kaçınılmazdı. (Sözleşme değişikliğine ve bunu neden yaptıklarına dair ek bilgileri burada bulabilirsiniz.)

Signal ise her anlamda maksimum güvenlik ve gizlilik odaklı tasarlanıyor ve buna rağmen her özelliğe sahip. Bilgisayardan video görüşme bile yapabiliyorsunuz. Üstelik size dair hiçbir şey bilmiyor ve veri toplamıyor. Signal protokolü, şifreleme sistemi, her açıdan düzenli olarak test edilen ve endüstri standardı hâline gelen bir protokol. Güvenliği ve gizliliğe verdiği önemi tartışmaya açmaya bile gerek yok. Şu anda en iyisi bu.

Tüm bu örnekler varken Telegram daha güvenli veya iyi demenin akıl alır bir yanı yok. iMessage bile her şeyi uçtan uca şifrelerken Telegram gibi bunu yapmamakta ısrar eden bir uygulamayı tercih etmenin de anlamı yok.

WhatsApp her ne kadar mesajları güvende tutsa da gizlilik konusunda çok kötü bir duruma geldi. Üstelik az kişinin fark ettiği kimi ufak değişiklikler de durumu daha kafa karıştırıcı bir hâle getirdi.

Sonuç olarak eğer daha iyi bir mesajlaşma uygulaması kullanmak istiyorsanız en iyi seçenek Signal. Bu kadar basit. Eğer FB zaten her şeyimi biliyor şifreleme yeter derseniz WhatsApp yine kullanılabilir. Telegram kullanıyorsanız da hiçbir şekilde güvenli değilmiş gibi kabul edin.

Bir görselle özet.

Bu arada Bip konusuna hiç girmedim ama orada durum çok daha kötü. Mesajlarınız için uçtan uca şifreleme veya ek gizlilik özellikleri yok. Üstelik her şeyiniz sunucularında ve parola dışında bir koruma yok. Özetle Bip’i kullanmak için mantıklı hiçbir gerekçe göremiyorum.

Son olarak Teyit ekibinin bu tablosunu ekleyeyim. Çok güzel bir şekilde özetlemişler.


Güvenlik ve Gizlilik Neden Hakkımız?

Bu konu üzerinden özellikle görebildiğim cevaplarda dijital güvenlik algımız ve beklentilerimiz üzerine kimi sıkıntılar olduğunu gördüm. Uzun zamandır bu alanda bir şeyler yapmaya çalışan birisi olarak bu sıkça karşılaştığım sıkıntılara dair birkaç not düşmek istiyorum.

Öncelikle güvenlik ve gizlilik konusunda bir beklentinizin olması sizi potansiyel kötü birisi yapmaz. Aksine, bu her insanın sahip olması gereken normal bir arzudur. Nasıl ki evlerimizde perde, kilit gibi temel şeylerle bir gizlilik sağlıyoruz dijitalde de bunu istemek normal.

Hepimiz artık farkındayız internetin ve kullandığımız cihazların hayatımızın kaçınılmaz bir parçası olduğunun. Pandemi ile bu daha da bariz hâle geldi. Bu büyük tepkinin sebebi de bu aslında. Çünkü birçok insan WhatsApp’ı gizlilik konusunda iyi kabul ediyordu. Bunu küçümsemenin ya da “2016’dan bu yana böyleydi” demenin o yüzden pek de katkısı olacağını düşünmüyorum. Evet doğru ama şu anda karşılaştığımız tepki daha çok insanların önkabulleri ve mevcut kullanım seviyeleri ile alakalı.

10 yıldır dijital güvenlik konusunda yazan, eğitim ve danışmanlık veren birisi olarak öğrendiğim şeylerden birisi de her insanın farklı bir güvenlik ve gizlilik beklentisi veya ihtiyacı olduğu. Bu yaptığı işten yaşadığı yere kadar birçok şeye bağlı olarak değişen bir şey. Bu yüzden de en önem verdiğim şeylerden birisi insanlara ihtiyaçlarına göre bu konuda yardım etmek. Bu yüzden geçtiğimiz aylarda kendi güvenlik ihtiyaçlarınızı anlamanıza yardım edecek bir yöntemi rehber olarak yazmıştım.

Ancak başa dönecek olursak, güvenlik ve gizlilik hepimizin temel seviyede beklediği ve istediği bir şey. Bunu da ancak belirli alışkanlıklarımızı değiştirerek ve daha iyi alternatifleri tercih ederek yaygınlaştırabiliriz.

Bu konudaki algının değişmesi için (özellikle dijitalde) güvenlik ve gizlilik konusunda temel seviyeyi olabildiğince yüksekte tutmamız lazım. Bunun yolu da bu seviyeyi sağlayacak araçların yaygınlaşması. Ne kadar çok kişi Signal kullanırsa o güvenlik seviyesi normalimiz olacak.Tam aksi şekilde ne kadar çok kişi “aman neyi gizliyoruz sanki” diyerek daha az gizlilik sunan alternatiflere yönelirse, o zaman herkes için daha fazla güvenlik ve gizlilik isteyenler azınlık hâline gelip dışlanacak. Yani amacımız toplumsal algıyı değiştirmek olmalı.

Bu yüzden iyisiyle kötüsüyle şu an bu konuları konuşuyor olmamızdan memnunum. Çünkü dijital güvenlik artık hayatımızın mecburi parçalarından birisi ve maalesef internette bu gizlilik haklarımızı ihlal etmek isteyen çok farklı gruplar ve şirketler kol geziyor. Eğer biz bu konuda güçlü bir minimum seviyede ısrarcı olursak ve bunun normalimiz olmasını sağlarsak, daha güvenli ve keyifli bir internet kullanabileceğiz. Kendi verilerimizin nasıl ve ne şekilde kullanılacağına karar verme hakkına sahip olmak da bunun ilk aşaması.

Şu an WhatsApp, Signal, Telegram vb ekseninde konuşuyoruz ama bu tüm interneti kapsayan bir mesele. Uzaktan eğitim, evden çalışma, devlet işlerinin dijitalde yapılması, sağlık verileri gibi birçok konuda temel seviyede bir güvenlik ve gizlilik hakkımız ve normalimiz olmalı.


Konuyla ilgili görüş verdiğim, soruları cevapladığım ve kaynak gösterildiğim yayınlar:

Categories
Makaleler | Articles Rehberler | Guides Türkçe

Güvenli Mesajlaşmak İçin Yeni Yolumuz Tor Messenger ve Başlangıç Rehberi

(Jiyan.org 24 Ekim’den bu yana sansürlü. Bu yüzden Jiyan için hazırladığım bu rehberi sansürü aşamayan arkadaşlarımız için buradan da yayınlıyorum. Eğer sansürü aşabiliyorsanız Jiyan’daki versiyonu da burada.)

 

Tor Project‘i artık Türkiye’de internet kullanıcısı olup da duymayanımız kalmamıştır sanırım. Bizleri sansürden ve internet trafiğimizin izlenmesinden koruyan Tor Browser Bundle’ları ile hepimizin gözdesi oldular. Şimdi aynı ekipten güvenli ve şifreli olarak mesajlaşmamızı sağlayan yeni bir uygulama geldi: Tor Messenger.

Tor Messenger, bizlere Tor Browser’ın verdiği kolaylıkla, birçok farklı mesajlaşma sistemini kullanarak mesajlaşma imkanını sağlıyor. İçerisinde tüm mesajlaşmlarınızı otomatik olarak şifreleyen OTR (Off-the-Record) eklentisiyle gelmesinin yanı sıra, tıpkı Tor Browser gibi tüm internet trafiğinizi de Tor sunucularından geçiriyor ve bu sayede metadata sızıntısı ihtimalini de minimuma düşürüyor.

Eğer daha önce Pidgin, Adium vb. chat programlarını kullandıysanız ve OTR eklentisinin nasıl çalıştığını biliyorsanız, tek yapmanız gereken buradan Tor Messenger’ı indirip kullanmaya başlamak. Eğer bilmiyorsanız yazıya devam edin ve 5 dakikada siz de öğrenip güvenli ve şifreli bir biçimde mesajlaşmaya başlayın.

KURULUM

Tor Browser’da olduğu gibi, Tor Messenger’ı da kurmak oldukça basit. İlk yapmanız gereken buradan kullandığınız işletim sistemi için Tor Messenger’ı indirmek. Ardından:

  • Linux kullanıyorsanız .tar.xz dosyasının içindekileri kullanmak istediğiniz herhangi bir yere çıkartın (Masaüstü gibi),
  • OS X kullanıyorsanız .dmg dosyasının içerisindeki uygulamayı kendi bilgisayarınızın harddiskinde tercih ettiğiniz bir yere çıkartın,
  • Windows kullanıyorsanız da .exe dosyasını çalıştırın.

Kurulum bu kadar. Artık Tor Messenger kullanıma hazır.

HESAP AÇMAK / HESAP EKLEMEK

Selection_029

Tor Messenger’da birçok farklı mesajlaşma yolunu kullanmanız mümkün. Bunların arasında Google, Yahoo ve Facebook gibi birçoğunuzun bildiklerinin yanı sıra XMPP gibi seçenekler de mevcut. Bunlardan hangisini kullanmak istediğinizi seçip onunla giriş yapmanız yeterli.

NOT: Eğer Google hesabınızda 2 Aşamalı Doğrulama (2 Factor Authentication) aktifse [ki kesinlikle olmalı] hesap ayarlarınıza girip Tor Messenger için özel bir parola oluşturmanız lazım.

Eğer Tor Messenger için yeni bir hesap oluşturmak isterseniz, XMPP (eski adıyla Jabber) kullanmanızı tavsiye ederim. Burada da size aşama aşama bunu nasıl yapacağınızı göstereceğim. Buna örnek olması için de Jiyan için bir XMPP hesabı açacağız.

XMPP hesabınızı açmak istediğiniz sunucu çok önemli. Gerçekten güvenilir ve sizi tehlikeye atmayacak bir sunucu seçmenizde fayda var. Tecrübelerim RiseUp‘ın sağladığı XMPP sunucularının (bir RiseUp hesabı gerekiyor) ve Calyx Institute’un XMPP sunucularının en sağlıklı çalışanlar olduğunu gösterdi. Bunun yanı sıra isterseniz buradaki listeden de bir sunucu seçebilirsiniz.

Selection_030

Jiyan için Calyx Institute üzerinden bir hesap açacağız. Bunu yapmak için de sadece Tor Messenger’da yeni bir XMPP hesabı ekle kısmında kullanıcı adımızı seçmemiz ve “Server” kısmına: jabber.calyxinstitute.org adresini eklememiz yeterli.

Selection_031

Tor Messenger halihazırda tüm trafiğinizi Tor sunucularından yönlendiriyor ama daha da sıkı önlem almak isterseniz ve kullandığınız sunucu da bunu sağlıyorsa .onion sunucu adresini de eklemenizi tavsiye ederim. Ekran görüntüsündeki kısımda “Server” kısmına eklediğim Calyx Institute’un XMPP için kurduğu .onion sunucusunun adresi bulunmakta.

Hesabınızı oluşturduktan/ekledikten sonra bağlan demeniz ve hesabınıza giriş yapmanız yeterli. Eğer daha önce hesabınızı kullandıysanız kişi listeniz görünecektir ama ilk kez hesap oluşturduysanız doğal olarak bomboş bir listeyle karşı karşıya kalacaksınız. Arkadaşlarınızı ve konuşmak istediğiniz kişileri ekleyip güvenli bir şekilde muhabbete başlamadan önce yapmamız gereken son bir şey var: OTR parmakizimizi oluşturmak.

OTR PARMAKİZİ YARATMAK

Tor Messenger gerçekten güvenli bir şekilde mesajlaşabilmeniz için OTR (Off-the-Record) ile şifrelenmemiş hiçbir mesajı göndermenize izin vermez. OTR, uzun zamandır chat şifrelemesi için kullanılan bir sistem ve hem bilgisayarlarınızda (Pidgin, Adium vb.) hem de mobilde (ChatSecure) kullanabileceğiniz bir şey. Yani arkadaşlarınız mobil olsa bile onlarla OTR’ın sağlayacağı güvenlikle sohbet etmeniz mümkün.

Selection_034

Bunun için önce “Tools” kısmından “Add-Ons”u seçmeniz ve ardından “cryptes-otr” eklentisinin Preferences butonuna tıklamanız gerek.

Selection_035

Daha önce hiç OTR parmakizi oluşturmadığınız için hesap adınızın bulunduğu yerin altında “Generate” butonunu göreceksiniz. Buna tıklayıp bir süre bekleyin, bazen parmakizi oluşturmak biraz vakit alabiliyor.

Selection_036

İşlem tamamlandığında aynı yerde sizin için oluşturulan özel parmakizinizi göreceksiniz. Bu parmakizini çevrenizdekilerle paylaşarak, sizinle mesajlaşırken sizin gerçekten siz olup olmadığınızı doğrulama şansı verebilirsiniz.

GÜVENLİ SOHBET BAŞLATMAK

Selection_033

Bundan sonra yapacağımız tek şey konuşmak istediğimiz insanları eklemek ve güvenli sohbetlerimizi başlatmak. Bir kişi eklemek için de tek yapmanız gereken “File” menüsünden “Add Contact” butonuna tıklamak ve konuşmak istediğiniz kişinin adresini yazmak.

Selection_041

Tor Messenger sizin şifresiz olarak mesajlaşmanıza izin vermiyor. (Bunu ayarlardan değiştirebilirsiniz ama tavsiye etmiyorum.) Bu yüzden her konuşma başlattığınızda karşılıklı olarak birbirinizin kimliğini onaylamanızı ister. Bu sayede şifreli konuşmaya başlamadan önce karşınızdaki insanın gerçekten o olup olmadığından emin olmanızı sağlıyor. Bunu yapmak için ise size üç yol veriyor.

Selection_037

İlki soru ve cevap (question and answer) yolu. Burada karşınızdaki kişiyle daha önce kararlaştırdığınız bir soruyu ve cevabı birbirinize sorarak karşınızdakinin kimliğini doğrulayabilirsiniz. Eğer böyle bir belirleme yapmadıysanız yalnızca o kişinin bilebileceğini düşündüğünüz bir soruyu da sorabilirsiniz.

Selection_038

İkincisi ortak sır (shared secret) belirlemek. Burada ise daha önce belirlediğiniz bir kelimeyi ve cümleyi birlikte yazarak gerçekten o kişinin karşınızdaki kişi olduğunu doğrulamanızı sağlıyor.

Selection_039

Üçüncüsü ise parmakizlerinizi karşılaştırmak ve bu şekilde doğrulamak. Bunun için ya önceden birbirinize bu bilgiyi vermiş olmanız, ya sadece sizin kontrol ettiğiniz bir yere parmakizinizi koymak (kişisel siteniz gibi) ya da güvenli bir iletişim yoluyla birbirinize okumak (Signal Messenger, PGP email ya da telefon gibi).

Bunlardan sizin için kolay olanı yaptıktan ve karşınızdakinin gerçekten konuşmak istediğiniz insan olduğuna emin olduktan sonra tek yapmanız gereken sohbete başlamak.


 

Hepsi bu kadar. Sadece 5 dakikada güvenli ve isterseniz de anonim olarak internetten mesajlaşmanız mümkün. Bu yolla iletişim kurmak isteyenler için aşağıda benim ve Jiyan’ın XMPP adresleri ve OTR parmakizleri mevcut.

Ahmet A. Sabancı
ahmetasabanci@riseup.net
OTR Parmakizi: A6F9FFAC 129635FB AE9A3CC1 2BD642A6 778C903F
Jiyan'ın Sesi
jiyaninsesi@jabber.calyxinstitute.org
OTR Parmakizi: 9762561F 5D76302D F6907F76 0B81A008 DAEDA281