Categories
Ahmet Nerede | Where's Ahmet İnternet Notları | Notes From Internet Not Defteri | Notebook Rehberler | Guides Röportajlar | Interviews Türkçe

WhatsApp, Güvenli Mesajlaşma ve Gizlilik

Geçtiğimiz birkaç gün içerisinde WhatsApp’ın kullanıcılarına gönderdiği yeni sözleşme değişikliği bildirimi ile mesajlaşma uygulamalarının güvenliği, internetteki veri gizliliğimiz ve daha birçok konu beklediğimden çok daha canlı bir şekilde ülkemizde gündem hâline geldi. Elbette bu durum birtakım yanlış bilgilerin ve yanlış anlaşılmaların da yayılmasına neden oldu. Yine de genel olarak Internette ne kadar güvende olduğumuz ya da gizliliğimizin nasıl ihlal edilebildiği üzerine konuşmaya, buna dair bir şeyler yapmaya başladık.

Konuya dair Twitter’da yazdıklarım büyük ilgi topladı ve farklı platformlarda da konuyla ilgili görüşlerime başvuruldu. Bunları herkesin istediği zaman erişebileceği bir arşive dönüştürmenin iyi olacağını düşündüm. Bu sayede Twitter’da yazdıklarımı başka yerlerde daha kolay bir şekilde paylaşabilirsiniz.

Yeni gelişmeler oldukça burayı güncelleyeceğim. O yüzden konuyu merak ediyorsanız arada bir burayı ziyaret edebilirsiniz.


Uygulamaların Arasındaki Güvenlik Farkı

WhatsApp gizlilik sözleşmesi değişikliğinden sonra tekrar mesajlaşma uygulamalarını tartışmaya başladık. Ama ortalıkta çok fazla yanlış bilgi ve kötü tavsiye var. O yüzden bu thread ile olabildiğince hepsini temizlemeye çalışacağım.

Önce bir üçlü kıyas yapalım. Linkteki görseller Signal, WhatsApp ve Telegram’ın gizlilik konusundaki seviyesini özetliyor. Bariz bir şekilde Signal daha iyi.

Telegram’la ilgili çok fazla yanlış bilgi var. Örneğin kendilerini Rusya’ya kafa tutuyor gibi göstermeyi çok seviyorlar ama bu haberi asla konuşmazlar. Ya da Rusya’nın Telegram yasağını durduk yere kaldırmaya nasıl ikna olduğunu. (Telegram’a dair çekincelerimi biraz daha detaylı olarak buradaki tweetlerde anlattım.)

Hepsini geçtim güvenlik anlamında Signal ile hiçbir şekilde karşılaştırılamayacak kadar kötü durumda. Uçtan uca şifreleme gizli sohbet dışında yok ve tüm konuşmalarınızın yedeği sunucularında var. Üstelik şifreleme için kullandıkları yolun ne kadar güvenli olduğu da şüpheli. WhatsApp bile bu sözleşme değişimine rağmen Signal’in şifreleme protokolünü kullanıyor ve en azından görüşmelerinizi uçtan uca şifrelemeye devam ediyor. Ama bu değişimi bir süredir bekliyordum zaten. Facebook sadece parayı düşündüğü için satın alma sonrası kaçınılmazdı. (Sözleşme değişikliğine ve bunu neden yaptıklarına dair ek bilgileri burada bulabilirsiniz.)

Signal ise her anlamda maksimum güvenlik ve gizlilik odaklı tasarlanıyor ve buna rağmen her özelliğe sahip. Bilgisayardan video görüşme bile yapabiliyorsunuz. Üstelik size dair hiçbir şey bilmiyor ve veri toplamıyor. Signal protokolü, şifreleme sistemi, her açıdan düzenli olarak test edilen ve endüstri standardı hâline gelen bir protokol. Güvenliği ve gizliliğe verdiği önemi tartışmaya açmaya bile gerek yok. Şu anda en iyisi bu.

Tüm bu örnekler varken Telegram daha güvenli veya iyi demenin akıl alır bir yanı yok. iMessage bile her şeyi uçtan uca şifrelerken Telegram gibi bunu yapmamakta ısrar eden bir uygulamayı tercih etmenin de anlamı yok.

WhatsApp her ne kadar mesajları güvende tutsa da gizlilik konusunda çok kötü bir duruma geldi. Üstelik az kişinin fark ettiği kimi ufak değişiklikler de durumu daha kafa karıştırıcı bir hâle getirdi.

Sonuç olarak eğer daha iyi bir mesajlaşma uygulaması kullanmak istiyorsanız en iyi seçenek Signal. Bu kadar basit. Eğer FB zaten her şeyimi biliyor şifreleme yeter derseniz WhatsApp yine kullanılabilir. Telegram kullanıyorsanız da hiçbir şekilde güvenli değilmiş gibi kabul edin.

Bir görselle özet.

Bu arada Bip konusuna hiç girmedim ama orada durum çok daha kötü. Mesajlarınız için uçtan uca şifreleme veya ek gizlilik özellikleri yok. Üstelik her şeyiniz sunucularında ve parola dışında bir koruma yok. Özetle Bip’i kullanmak için mantıklı hiçbir gerekçe göremiyorum.

Son olarak Teyit ekibinin bu tablosunu ekleyeyim. Çok güzel bir şekilde özetlemişler.


Güvenlik ve Gizlilik Neden Hakkımız?

Bu konu üzerinden özellikle görebildiğim cevaplarda dijital güvenlik algımız ve beklentilerimiz üzerine kimi sıkıntılar olduğunu gördüm. Uzun zamandır bu alanda bir şeyler yapmaya çalışan birisi olarak bu sıkça karşılaştığım sıkıntılara dair birkaç not düşmek istiyorum.

Öncelikle güvenlik ve gizlilik konusunda bir beklentinizin olması sizi potansiyel kötü birisi yapmaz. Aksine, bu her insanın sahip olması gereken normal bir arzudur. Nasıl ki evlerimizde perde, kilit gibi temel şeylerle bir gizlilik sağlıyoruz dijitalde de bunu istemek normal.

Hepimiz artık farkındayız internetin ve kullandığımız cihazların hayatımızın kaçınılmaz bir parçası olduğunun. Pandemi ile bu daha da bariz hâle geldi. Bu büyük tepkinin sebebi de bu aslında. Çünkü birçok insan WhatsApp’ı gizlilik konusunda iyi kabul ediyordu. Bunu küçümsemenin ya da “2016’dan bu yana böyleydi” demenin o yüzden pek de katkısı olacağını düşünmüyorum. Evet doğru ama şu anda karşılaştığımız tepki daha çok insanların önkabulleri ve mevcut kullanım seviyeleri ile alakalı.

10 yıldır dijital güvenlik konusunda yazan, eğitim ve danışmanlık veren birisi olarak öğrendiğim şeylerden birisi de her insanın farklı bir güvenlik ve gizlilik beklentisi veya ihtiyacı olduğu. Bu yaptığı işten yaşadığı yere kadar birçok şeye bağlı olarak değişen bir şey. Bu yüzden de en önem verdiğim şeylerden birisi insanlara ihtiyaçlarına göre bu konuda yardım etmek. Bu yüzden geçtiğimiz aylarda kendi güvenlik ihtiyaçlarınızı anlamanıza yardım edecek bir yöntemi rehber olarak yazmıştım.

Ancak başa dönecek olursak, güvenlik ve gizlilik hepimizin temel seviyede beklediği ve istediği bir şey. Bunu da ancak belirli alışkanlıklarımızı değiştirerek ve daha iyi alternatifleri tercih ederek yaygınlaştırabiliriz.

Bu konudaki algının değişmesi için (özellikle dijitalde) güvenlik ve gizlilik konusunda temel seviyeyi olabildiğince yüksekte tutmamız lazım. Bunun yolu da bu seviyeyi sağlayacak araçların yaygınlaşması. Ne kadar çok kişi Signal kullanırsa o güvenlik seviyesi normalimiz olacak.Tam aksi şekilde ne kadar çok kişi “aman neyi gizliyoruz sanki” diyerek daha az gizlilik sunan alternatiflere yönelirse, o zaman herkes için daha fazla güvenlik ve gizlilik isteyenler azınlık hâline gelip dışlanacak. Yani amacımız toplumsal algıyı değiştirmek olmalı.

Bu yüzden iyisiyle kötüsüyle şu an bu konuları konuşuyor olmamızdan memnunum. Çünkü dijital güvenlik artık hayatımızın mecburi parçalarından birisi ve maalesef internette bu gizlilik haklarımızı ihlal etmek isteyen çok farklı gruplar ve şirketler kol geziyor. Eğer biz bu konuda güçlü bir minimum seviyede ısrarcı olursak ve bunun normalimiz olmasını sağlarsak, daha güvenli ve keyifli bir internet kullanabileceğiz. Kendi verilerimizin nasıl ve ne şekilde kullanılacağına karar verme hakkına sahip olmak da bunun ilk aşaması.

Şu an WhatsApp, Signal, Telegram vb ekseninde konuşuyoruz ama bu tüm interneti kapsayan bir mesele. Uzaktan eğitim, evden çalışma, devlet işlerinin dijitalde yapılması, sağlık verileri gibi birçok konuda temel seviyede bir güvenlik ve gizlilik hakkımız ve normalimiz olmalı.


Konuyla ilgili görüş verdiğim, soruları cevapladığım ve kaynak gösterildiğim yayınlar:

Categories
In English İnternet Notları | Notes From Internet Not Defteri | Notebook

The Need for Private Digital Places

Today Jay Owens wrote a really good Twitter thread on the problems of blaming private social places like Facebook and WhatsApp groups for everything.

Which already explains so many of those problems but I want to focus on two specific sides of it. One of them is the fact that those who claim that private groups are causing the fake news/extremism/everything wrong with the internet are not aware of the privilege they’re living in. Thinking that we can fix everything if we make it public can easily traced back to early 2010s anti-privacy argument “I have nothing to hide.” Most of these people never been in a situation which they needed a safe and/or private space to talk and discuss about their world views and ideas and it clearly shows.

Also thinking that we can solve everything if all of these groups are public (which because of my MA thesis I read similar arguments a lot), means that we can track and analyze what everyone is talking and detect the ones causing the problem early. Which is not just a really bad remake of Minority Report but also taking the side of the surveillance capitalism and one of the main reasons behind these problems.

Which brings me back to the recent discussion in Turkey related to “evil social media”. As a tradition we’re now discussing once again how to control these platforms and people doing evil things online from the government’s perspective. Which boils down to several options such as:

  • Track everything and everyone
  • Make platforms delete everything government doesn’t like
  • Ban all of them
  • And my personal favorite (and this is real), make a law forcing everyone to enter these platforms with their national ID numbers.

If you’re one of those people who’s against the private channels and groups, you should think that these are all amazing ideas, except banning them. But most of the people writing those pieces would think these proposals are authoritarian, anti freedom of speech etc. Because that’s what they actually are.

So let me just ask, how do you think that making everything public will solve these problems you’re aiming to solve? Do you really think that all of these are happening just because it’s private, or what you really want is some authority to control everything people are doing online? If it’s the first one, you should do some actual research about those issues you’re dealing with and then start writing only after that. And if it’s the latter, thanks for helping many governments around the world to feel like they’re doing the right thing by surveilling and censoring their people all the time.

Aside from the fact that forcing every conversation into public and making it available to surveillance and censorship, this whole argument just dismissed many of the real reasons behind the current problems we’re facing online. I know those people will probably won’t change their minds or think about these issues in a more nuanced way because, like Jay said, no one wants to publish those. Who has time to think about the complex problems in a nuanced way when you can blame one thing and get the clicks.


There’s also another problem with this approach to private groups. Thinking that people only go to private places because they want somewhere to spread their “dark” ideas is just dismissed the problems platforms causing. Just think about how algorithmic timelines, forced interactions, surveillance based ads and economic models, context collapse and doomscrolling affects people.

While all of these happening, it’s more than normal for people to look for a place which they can have more control over. A Facebook group which includes only the people interested in a specific topic, WhatsApp groups for family/friends/neighbors, locking their social media accounts, returning to newsletters and blogs to have a conversation about the topics you want with only the people interested in it. Even Discord just recently changed their branding because there is a big wave of people who creates channels to talk about things other than gaming.

It’s clear that whatever is motivating people to be more private online is something much bigger than any scapegoating attempt we see. It’s also getting more and more clear that people want more control on their digital interactions and want private spaces to talk about things which they want to keep inside a smaller group. If people who can’t (or don’t want to) fully understand what is really going on will have the power to influence how to act on this, I don’t think anything good will come out of it.