Kritik Siber-Güvenlik

Whatsapp’ta olmayan sorun ve medyanın felaket tellallığı

13 Ocak günü Guardian’ın Whatsapp’ta bir arka kapı (backdoor) olduğuna dair yayınladığı iddia, medyanın çok önemli sorunlarından birini tekrar gözler önüne serdi: Gazeteciler yaptıkları haberlerin insanları etkileme gücünün farkında değil ve bu yüzden hatalarının ciddi sonuçları olabileceğini öngöremiyor.

Guardian’ın haberinde, Whatsapp’ın anahtar yönetimi sisteminin işleyişinde Signal’den farklı olarak yapılan bir değişikliğin asıl amacının insanların şifreli mesajlarını okumak ve yaptıkları şifrelemenin kırılmasını kolaylaştırmak olduğu iddia edildi. Haberin yazılış şeklinin sorunlu olması bir yana, yeterli araştırmanın yapılmaması ve farklı uzmanlardan görüş alınmaması konunun tamamen yanlış anlaşılmasına neden oldu. Üstelik haber insanları bilgilendirmek ve uyarmak yerine onları korkutacak bir dil kullanarak, insanların bilgilenmeden hareket etmesine neden oldu.

İşin kötü yanı ise, haberin sansasyonelliği hızlıca yayılmasına ve bu yanlış bilginin tehlikeli bir şekilde kullanılmasına yol açtı. Birçok devlet yetkilisi (örneğin BTK Başkanı Ömer Fatih Sayan’ın yanlış bilgi sunan beyanatı) bunu avantaja çevirmeye çalıştı.

Whatsapp ve ‘arka kapı’

Oysa ki gerçekte ne Whatsapp’ta bir arka kapı var, ne de Whatsapp sizin anahtarlarınızı cihazınızdan alıp onunla mesajlarınızı deşifre edebilme yetkisine sahip. Gerçekte olan Whatsapp’ın tamamen kullanıcı kolaylığı sağlamak için, kullandıkları şifreleme protokolü olan Signal’in barındırdığı bir özelliği doğrudan kullanmak yerine arka planda kullanmayı tercih etmesi.

Signal protokolü, cihazınıza uygulamayı ilk kurduğunuzda sizin için bir şifreleme anahtarı yaratır. Ve bu anahtar sadece o cihaza özel olarak çevrimdışı olarak üretilir, hiçbir sunucuda kopyası olmaz ve sizden başka hiç kimse kullanamaz. Bu yüzden de eğer uygulamayı silip yeniden kurarsanız ya da yeni bir telefona geçerseniz anahtarınız da yenilenir.

Signal’de böyle bir değişiklik yaptığınızda, kontak listenizdeki insanlarla karşılıklı olarak anahtarlarınızı tekrar onaylamadığınız sürece ne size yeni gelen mesajları alabilirsiniz, ne de siz mesaj gönderebilirsiniz. Bu tamamen güvenliğin öncelik olarak kabul edildiği bir tehdit modellemesi. Ancak Whatsapp 1 milyardan fazla bir kullanıcıya ve genel olarak önceliği tüm mesajlarının ulaşmasını isteyen bir kitleye sahip olduğundan bu anahtar onaylama sürecini arka planda gerçekleştirir ve eğer siz Ayarlar > Sohbet > Güvenlik kısmından aktifleştirirseniz size karşı tarafın anahtarının değiştiğini bildirimle söyler. Eğer siz böyle bir bildirim aldığınızda karşı tarafa başka bir yoldan ulaşarak kendisinin bu değişikliği yaptığını (uygulamayı yeniden kurmak ya da yeni telefon almak gibi) onaylarsanız, aynı derecede güvende olursunuz.

Yani ortada bir arka kapı ya da güvensizlik yok. Burada olan, uzun zamandır yazılımcılar ve tasarımcılar arasında tartışılan “Kullanıcı deneyimi mi güvenlik mi” tartışmasının iki farklı örneği. Ve elbette iki farklı tehdit modelinin karşı karşıya gelmesi. Kimi insanlar için ‘ortadaki adam’ (man-in-the-middle) saldırıları daha büyük bir tehdit iken, kimi insanlar için önemli bir mesajı alamamak daha büyük bir risk olabilir. Bu tamamen sizin için hangisinin daha önemli olduğu ile alakalı olan ve ciddi bir risk barındırmayan bir durum.

Bu yüzden de hiç kimsenin paniklemesine ya da Whatsapp’tan kaçmasına gerek yok. BTK Başkanı’nın iddiası ise tamamen asılsız. Çünkü Whatsapp hiçbir şekilde sizin anahtarınızı kendisine kopyalayamaz ya da yeni yaratılan anahtar ile sizin mesajlarınızı açamaz. Eğer bu konuda bir şüpheniz varsa protokolün kodları herkese açık, gidip bakabilirsiniz.

Medya neden felaket tellallığı yapıyor?

Burada en büyük sorun, bu konuda haber yazan gazetecilerin alana hâkim olmamaları. Ancak hem konuya hâkim olmayıp hem de uzmanlarla konuşmadan, gerçekten araştırma yapmadan haber yazmak yapılanın küçük bir hatanın ötesine geçmesine neden oluyor. Özellikle de söz konusu teknoloji, dijital güvenlik ve bunun gibi hayati olabilecek başlıklar olduğunda…

Bu örnekte birçok insanı anlamsızca korkutan medya, okurlarını riske attı ve gazeteciler bunun farkında bile değil. Özellikle aktivist, avukat ve gazetecilerin yazdığı mesajların istenmeyen kişiler tarafından dinlenmesi çok büyük tehditlerle karşı karşıya kalmalarına neden olabilir. Birçok uzman ve eğitmen Whatsapp’ın güvenli bir şifreleme sistemi olduğunu söylemişken böyle bir yalan haber ile ortalığı karıştırmak insanların (Telegram gibi) aslında çok daha güvensiz ve riskli iletişim yöntemlerine kaçmalarına neden oluyor. Konunun uzmanları beş dakikada yaratılan bilgi kirliliğini temizlemek için aylarını harcamak zorunda kalıyor.

Üstelik medya kuruluşları bu korku haberlerini çok büyük çabalarla pazarlarken, işin aslı ortaya çıktığında ne özür dilemeye ne de işin uzmanlarının söylediklerini yayınlamaya aynı hevesle yanaşıyor. Bu da doğrunun arka planda kalmasına ve yalan haberlerin altına gömülmesine yol açıyor.

ABD seçimlerinde gündemin zirvesine çıkan ama bizim zaten uzun zamandır mağduru olduğumuz ‘yalan haber’ furyasından hiçbir farkı yok bu örneğin. Herkes bunlara karşı savaşmaktan bahsederken hâlâ böyle şeylerin yapılmaya devam edilmesi ve üstüne böyle bir hatanın politik çıkarların ötesinde hayati sayılabilecek bir konuda yapılmış olması ise aslında bu sorunu çözmek için daha çok uğraşmamız gerektiğini de bizlere tekrar göstermiş oldu.

Ahmet A. Sabancı

Ahmet A. Sabancı

Yazar, gazeteci ve çevirmen. Teknoloji, güvenlik, felsefe, gelecek ve bilimkurgu üzerine çalışıyor.