Uzmanlar, WhatsApp'ın uçtan uca şifreleme yöntemiyle korunduğu belirtilen bu mesajlara dair çok fazla dezenformasyon olduğunu ve bu durumun sosyal medya kullanıcılarını yanılttığı görüşünde.
Diyarbakır'da kaybolan 8 yaşındaki Narin Güran'ın cansız bedenine ulaşılması kamuoyunda ciddi bir tepki yaratırken, küçük kızın gözaltına alınan akrabalarının sildiği WhatsApp mesajlarına erişilmesi talep edildi.
Olayla ilgili polis soruşturması devam ederken, cinayet zanlısı amca S.G. de dahil olmak üzere Narin'in yakın akrabalarının olay günü yazılan WhatsApp mesajlarını sildikleri bildirilmişti.
Bunun ardından mesajlaşma uygulamasının sahibi Meta firmasının söz konusu mesajları Türk hükümetine teslim edeceği iddiası ortaya atılmış, hemen ardından da Meta'nın mesajları vermeyi reddettiği ileri sürülmüştü.
Bu iddiaların ardından sosyal medyada Meta CEO'su Mark Zuckerberg'e yönelik bir çağrı kampanyası başlatıldı. Kullanıcılar, "Dear Mark Zuckerberg" (Sevgili Mark Zuckerberg) diye yazdıkları gönderilerinde Meta'nın bu mesajları hükümete teslim etmesi çağrısında bulundu.
Öte yandan uzmanlar, WhatsApp'ın uçtan uca şifreleme yöntemiyle korunduğu belirtilen bu mesajlara dair çok fazla dezenformasyon olduğunu, bu durumun sosyal medya kullanıcılarını yanılttığı görüşünde.
Uçtan uca şifreleme nedir, WhatsApp mesajları nasıl korunur?
Meta, popüler mesajlaşma uygulamasına uçtan uca şifreleme özelliğini ilk olarak 2014'te getirmeye başladı. Bugün kullanıcılar uygulamada başka bir kişiyle sohbet ederken bu şifreleme özelliği kullanılıyor.
Uçtan uca şifreleme özelliği, gönderilen içeriklerin yalnızca gönderen ve teslim alan kişi tarafından okunabilmesini ve dinlenebilmesini sağlıyor. Böylece WhatsApp dahil olmak üzere hiçbir üçüncü taraf, mesajların içeriğine erişemiyor.
Bu özellik kabaca şöyle işliyor: Mesajlaşan taraflar için birer çift anahtar üretiliyor. Gönderilen mesajlar şifreleniyor ve bu şifre yalnızca alıcının elindeki anahtarla açılabiliyor. Yani üçüncü taraflar bu anahtara sahip olmadığı için mesajın içeriğine erişemiyor.
Daha net anlaşılabilmesi için X ve Y adlı iki kullanıcı hayal edelim. X ve Y mesajlaşırken WhatsApp gibi uçtan uca şifrelemeli bir uygulama kullanıyor olsun. Mesajları şifreleyebilen ve şifresini çözebilen anahtarlar, iki kullanıcının da cihazında kayıtlı kalır. Uygulama X'in telefonunda bir anahtar ve Y'nin telefonunda bir anahtar kaydeder. X'in telefonu mesajı anahtarla şifreler, ardından şifrelenmiş mesajı Y'nin telefonuna iletir. Y'nin telefonu anahtarı otomatik olarak devreye sokar ve mesajın şifresini çözer. Böylece Y, mesajın içeriğini görebilir.
WhatsApp'ta tüm bu süreç otomatik işliyor. Yani kullanıcının mesajlarını güvenceye almak için herhangi bir ayarı etkinleştirmesine gerek kalmıyor.
WhatsApp mesajlara erişebilir mi?
Euronews Türkçe'ye konuşan siber güvenlikçi ve teknolojist Ahmet Alphan Sabancı, "Teknik olarak WhatsApp herhangi bir şekilde bir kullanıcının mesajlarına erişme veya bunları bir kuruma teslim etme kapasitesine sahip değil. Kullandıkları Signal Protokolü ile yapılan uçtan uca şifreleme WhatsApp’ın elinde herhangi bir mesaj veya görüşme içeriğini tutmasına izin vermiyor," dedi.
WhatsApp'ın yanı sıra Facebook Messenger, Skype ve Signal gibi popüler mesajlaşma uygulamalarında kullanılan bu şifreleme yöntemi başlangıçta Axolotl Ratchet Protokolü olarak biliniyordu.
Bu protokol, açık kaynaklı yazılım firması Open Whisper Systems tarafından geliştirilmişti. Open Whisper Systems, bugün gizlilik özellikleriyle öne çıkan Signal uygulamasının geliştiricisi olan Signal Vakfı'nın bir parçası. Bu yüzden WhatsApp'ın da kullandığı söz konusu şifreleme yöntemine Signal Protokolü de deniyor.
WhatsApp neden Signal Protokolü'ne geçti?
Yıllar içinde internet ortamında kişisel verilerini ve mahremiyetini koruma konusunda bilinçlenen kullanıcılar, WhatsApp'tan daha güvenli olarak görülen Signal'e yöneldi.
2014 ve sonrası, dünya genelinde sokak protestolarının yaşandığı ve insanların bu protestoları online platformlardan örgütlediği bir dönem oldu. Bu dönemde dijital gizliliğin ihlaline ve hükümetlerin kullanıcıları gözetleme ihtimaline yönelik endişeler artmıştı.
Tam bu sırada gizlilik endişelerinin merkezinde olan Facebook (şimdiki adıyla Meta) popüler mesajlaşma uygulaması WhatsApp'ı satın aldı ve kendisini gizlilik odaklı bir platform olarak konumlandırmak istedi.
Aynı yıl WhatsApp'ın Open Whisper Systems ile iş birliği yaptığı ve protokolü uygulamaya başlayacakları duyuruldu. Ancak, Signal Protokolü kullanılarak uçtan uca şifrelemenin tam entegrasyonu Nisan 2016'da tamamlandı.
Daha sonra Facebook'un Messenger uygulamasına da aynı protokol entegre edildi.
İngiliz hükümeti özelliği protesto etmişti
Facebook'un Messenger uygulamasına uçtan uca şifreleme getirmesi, mesajları gözetleme taraftarı olan bazı hükümetlerin tepkisini de çekmişti.
Örneğin İngiltere İçişleri Bakanlığı, bu özelliğin çocuk istismarını gizlemeye yardımcı olacağı gerekçesiyle Facebook'un kararını protesto etmişti.
Mart 2017'de Westminster'da gerçekleşen saldırının ardından da İngiltere İçişleri Bakanı Amber Rudd, hükümetin saldırgan olduğundan şüphelenilen kişilerin şifreli mesajlarını okuyamamasının "kabul edilemez" olduğunu söylemişti.
Bu tartışmalar, uçtan uca şifrelenen mesajların içeriğinin üçüncü taraflarca görüntülenmesinin mümkün olmadığını gözler önüne seren olaylar olarak görülüyor.
WhatsApp, hükümetlerle hangi bilgileri paylaşabilir?
Bu noktada akla şu soru geliyor: WhatsApp, küçük Narin'in ölümüyle ilgili soruşturma kapsamında Türk hükümetine ne verebilir?
Siber güvenlikçi Sabancı, "Böyle bir durumda WhatsApp’ın teslim edebileceği bilgiler kişilerin kontak listeleri, ses ve video görüşme geçmişleri gibi metadata olarak adlandırabileceğimiz ikincil türdeki verilerden ibaret," dedi.
Kısaca tanımlamak gerekirse "metadata", veriler hakkında bilgi sağlayan verilere deniyor. Bunlar bir veri kümesinin bağlamını, kalitesini, yapısını ve erişilebilirliğini tanımlamaya yardımcı olarak içeriği bulmayı ve kullanmayı kolaylaştırıyor. Örneğin fotoğraflara ait metadatalar, fotoğrafın çekildiği tarih ve saati, kamera ayarlarını veya konumu içerebilir. Mesajlaşmalar söz konusu olduğunda ise gönderen, alıcı, mesajın gönderildiği tarih gibi bilgiler metadatadır.
Diğer bir deyişle WhatsApp, küçük Narin soruşturmasında Türk hükümetiyle ancak kimin kiminle ve ne zaman iletişim kurduğu gibi metadataları paylaşabilir.
Sabancı, "O yüzden WhatsApp’ın içerisinde bulunduğumuz durumda mesajları vermeyi kabul etmesi söz konusu olamaz, çünkü teknik olarak bunu yapmaları mümkün değil" dedi.
Bu arada tartışmaların ardından Meta'nın kendisi de çarşamba günü, silinen WhatsApp mesajlarının ellerinde olmadığını açıkladı.
Meta İletişim Direktörü Joshua Breckman, DW Türkçe'ye yaptığı açıklamada, şirketin kullanıcıların kişisel konuşmalarını saklamadığını belirterek, “Bizde olmayan bir şeyi sağlamamız da mümkün değil,” dedi.
WhatsApp’ın uçtan uca şifreleme sistemi kullanması nedeniyle, yalnızca mesajın göndereni ve alıcısının içerikleri görebildiğini vurgulayan Breckman, mesajların Meta sunucularında saklanmadığını ve dolayısıyla geri getirilemeyeceğini belirtiyor.
Bir arka kapı var mı?
Polis veya istihbarat servisleri gibi üçüncü bir tarafın kullanıcıların mesajlarına erişebilmesinin tek yolu, WhatsApp'ın uçtan uca şifrelemeyi kaldırması veya bir arka kapı kurması.
Arka kapılar, güvenlik korumalarını atlatmanıza veya zayıflatmanıza ve sistemlere ve verilere gizlice erişmenize olanak tanıyan yazılımlar olarak tanımlanıyor. Bu da şu anlama geliyor: WhatsApp'ta bir arka kapı olması durumunda kullanıcıların ürettiği tüm anahtarlara erişim sağlayan bir yazılım olması gerekirdi.
Öte yandan Sabancı, "Signal protokolü herkese açık bir protokol. Birçok uzman yıllar içerisinde bunu test etti ve herhangi bir arka kapı olmadığını, birilerinin gizlice bu şifrelemeyi bozup mesajlara erişemeyeceğini doğruladı," ifadelerine yer verdi.
Çoklu cihaz özelliği şifrelemeyi bozar mı?
WhatsApp'ın uçtan uca şifreleme özelliğinin ne kadar sağlam olduğu konusunda akıllarda soru işareti yaratan bir nokta, şirketin kısa süre önce getirdiği çoklu cihaz özelliği.
Bu özellik sayesinde artık telefonumuz internete bağlı olmasa bile WhatsApp'ı bilgisayarda ve diğer cihazlarda kullanabiliyoruz.
Bu özelliğin uçtan uca şifrelemeyi zayıflatıp zayıflatmayacağı sorusuna yanıt veren Sabancı, "Yapılan testler şifreleme tarafında herhangi bir sorun olmadığını gösteriyor. Ancak birden çok cihazda giriş yapılabilmesi kimi zaman başkalarının hesaplarını habersiz bir şekilde bilgisayardan veya özel yazılımlardan eklenmesi ve o kişilerin mesajlarına bu şekilde erişilmesi gibi riskleri beraberinde getiriyor", dedi.
"Ancak bunun yapılabilmesi için de kişinin telefonuna erişebilmek ve gerekli onaylama kodlarını cihaz sahibinden almak gerekiyor. Bunu başaran birisi o kişinin hesabını başka bir cihaza ekleyerek arşivine erişebilir. WhatsApp her ne kadar bunu engellemek için iki aşamalı doğrulama seçeneği getirmiş olsa da bu özellik çok yaygın kullanılmıyor," diyerek ekledi.
WhatsApp'ta silinen mesajlara ulaşmanın yolu yok mu?
Öte yandan silinen mesajlara belirli koşullar altında erişilebilme ihtimali de var.
İlk ihtimal WhatsApp'ın yedekleme politikasıyla ilgili. WhatsApp, sohbet geçmişini düzenli olarak Google Drive'a veya iCloud'a yedekliyor. Bir mesaj silinmişse ama en son yedeklemede halen mevcutsa, yedeklemeyi geri yükleyerek mesajlara erişilebilir. Bunun için WhatsApp'ı kaldırıp yeniden yüklemek ve bu esnada mesajları geri yüklemeyi seçmek gibi olanaklar var.
Ancak Sabancı, bu sistemde de önemli bir kısıtlamanın mevcut olduğunu belirtiyor.
"Bu yedeklerde versiyon geçmişi gibi bir seçenek olmadığından, eğer bir mesaj silindikten sonra daha güncel bir yedek alındıysa önceki yedeğin üzerine yazıldığı için bu yöntemin de başarılı olma şansı kalmıyor."
Sabancı'ya göre bulut yedekleriyle ilgili önemli bir konu da bunların şifrelenip şifrelenmediği. "WhatsApp, kullanıcıların uzun ısrarları sonucunda bulut yedeklerini şifreleme özelliğini yakın zamanda getirdi ama bunu tercihe bağlı olarak kullanıcının aktifleştirmesi gerekiyor," diyen siber güvenlik uzmanı, sözlerini şöyle sürdürdü:
"Eğer yedekler şifrelenmişse buna ait parola olmadan onun şifrelemesini kırmak uzun zaman alabilecek ve kesin başarı garantisi olmayan bir süreç. Ancak yedekleri şifreleme özelliği yeterince bilinmediği ve tercih edilmediği için bu sık karşılaşılabilecek bir durum değil."
"Mesajların dönmesi imkansız olabilir"
Söz konusu mesajlara ulaşmanın üçüncü taraf yazılımlarla veya adli bilişim araçlarıyla mümkün olup olmadığı da akıllardaki önemli bir soru işareti.
Zira bazı üçüncü taraf veri kurtarma araçları, silinen WhatsApp mesajlarını kurtarabileceklerini iddia ediyor. Bu araçların, silinen dosyaların izlerini bulmak için cihazı tarayarak çalıştığı söyleniyor. Ancak ne kadar etkili oldukları ve bunları kullanmanın riskleri hakkında ciddi tartışmalar var.
"Mesajlar kullanılan protokol ile geri dönmesi imkansız bir şekilde siliniyor" diyen Sabancı, "Benim gördüğüm yabancı örneklerde WhatsApp’ın silme özelliklerinin mesajları geri getirmeyi imkansızlaştırdığı söyleniyor. Belki çok kısa bir süre içerisinde olsa son derece teknik bir yolla teoride mümkün olabilir ama bildiğim kadarıyla bunu halen başarabilen olmadı," ifadelerini kullandı.