Son günlerde Avrupa Birliği dışındaki tüm ülkeler adeta tek bir meseleye kilitlenmiş durumda: WhatsApp ne yapıyor? Sonda söyleyeceğimi başta söyleyeyim, sonra derse geçelim.
Korkmanıza ve WhatsApp’ı silmenize gerek YOK.
Bilinçlenmenize gerek VAR.
Mutlaka geçiş yapacaksanız Signal’e geçin, Telegram’a değil.
* Bu yazı soru-cevap formatında. Uzun bulduğunuz başlıkları atlayarak okuyabilirsiniz. Başlayalım.
Bu mesele nereden çıktı?
Öncelikle iki şeyi ayıralım. Şifreleme (iletişimin gizliliği) meselesi binlerce yıldır mevcut. Tarihten duymuş olabileceğiniz örnekleri Julius Sezar’ın şifreleri ve İkinci Dünya Savaşı’na damga vuran Enigma. Dijital ortamlardaki veri mahremiyeti (privacy) meselesi ise İnternet’in yaygınlaşmasını takip eden yıllarda çevrimiçi ortamlarda kişisel profiller oluşturulmaya başlandığı günlere, İnternet’te kendimize ait izler bırakmaya başladığımız zamanlara dayanıyor.
WhatsApp’ın topladığı veriler meselesi ise Facebook’un şirketi satın alması (2014) sırasında uzman çevrelerde konuşulmaya başlamıştı ancak topluma pek yayılmadı. Toplanan veriler ile nasıl siyasi manipülasyonlar yapılabileceğini ayan beyan gösteren Cambridge Analytica skandalı ile dikkatler mahremiyet meselesine çevrildi ancak konuyu WhatsApp özelinde tartışmadık. Ta ki Apple, 2020 yılının Haziran ayında iOS 14’ü tanıtırken “mahremiyet etiketleri”nden bahsedene kadar.
Sözü edilen değişiklik, dünya çapında bugüne kadar 1.000.000.000’ı aşan miktarda satılan iPhone ve bir o kadar revaçtaki iPad ve Mac’leri ilgilendirince teknoloji dünyasında deprem etkisi yarattı. Nedenine birazdan geleceğiz. Mahremiyet etiketleri, tüm uygulama üreticilerinin uygulama mağazaları “raflarındaki” ürünlerine “yapıştırmaları” gereken, kullanıcılardan hangi bilgileri topladıklarını açıkladıkları beyanatlar. Eminim geçtiğimiz hafta bolca görme fırsatınız oldu:
Dört örnek uygulama için mahremiyet etiketleri
iOS 14 çıktığında (Eylül) biraz ertelenen bu yükümlülük, 15 Aralık 2020’de yürürlüğe girdi. WhatsApp ve diğer şirketler, topladıkları tüm verileri artık uygulama mağazalarında beyan etmekle yükümlüydüler. Facebook bu değişikliğin yürürlüğe girmemesi için çok uğraştı; New York Times’a, Washington Post’a, Wall Street Journal’a çok ağır ithamlar içeren reklamlar verdi. Kimi zaman da kendi çalışanları tarafından dahi alay konusu oldu. Bu süreçte Apple’a adeta savaş açtı.
WhatsApp’ın geçtiğimiz günlerde yayınladığı sözleşme malumun ilanıydı aslında. Neden “şimdi” yayınladıkları ise bir muamma. Zira evvelden de bolca veri topluyorlardı. Ancak benim görüşüm, AppStore’da “bu verileri topluyoruz” diye beyan vermelerini takiben tüm dünyadaki otoritelerin “Öyle mi? Peki bunları ne yapıyorsunuz bakalım sonrasında?” diye soracağını bilmeleri. Bu sözleşme aslında gelecek bu sorulara bir cevaptı.
Diyeceksiniz ki “Nasıl olur, dünya çapındaki otoriteler bu durumun farkına Apple sayesinde mi vardılar? Teknolojiden hiç mi anlamıyorlardı?”; ben de size Amerikan Kongresi’ndeki yetkililerin Mark Zuckerberg ve diğer teknoloji patronlarına yönelttikleri soruların komikliğini, naifliğini, hatta maalesef acizliğini YouTube’dan açıp izlemenizi tavsiye edeceğim.
Sözleşmeden neden korktuk?
Sözleşmede özetle yukarıda WhatsApp’a ait mahremiyet etiketinde verilen her türlü verinin toplanacağı ve bunların başka taraflarla paylaşılabileceği yazılıydı. İki milyar kullanıcıya aynı anda “Konumunuzdan finansal bilgilerinize, topladığım tüm verilerinizi başkalarıyla paylaşacağım” diye bildirim gönderirseniz, üstelik “ya kabul edeceksiniz ya da sileceksiniz” diye de eklerseniz olacağı budur. Nitekim bir panik dalgasıdır başladı, herkes bir şeyler yazdı, çizdi, söyledi.
Sözleşmeden bu kadar korkmalı mıydık?
Hayır. Zira birazdan göreceğiniz gibi, son kullanıcı (yani şu anda bunu okuyan siz) için pratikte hiçbir şey değişmiyor. Mesajlarınızın içeriklerine ulaşılamıyordu (bulut ortamda güvensiz yedekler almıyorsanız), yine ulaşılamayacak. Konumunuzdan rehberinizdeki kişilere hepsi toplanıp depolanıyordu. Bu da böyle devam edecek. Bunca paniğin sebebi, toplanan verilerinizle yapılabilecek şeyler. Buna birazdan geleceğiz. Önce, toplanan verileri biraz konuşalım, ardından mesajlarınızın neden okunamadığını açıklayalım.
Hangi veriler toplanıyor?
WhatsApp’ın son sürümünü kullanıyorsanız, hesap ayarlarınıza girerek toplanan verilerinizin bir kopyasını isteyebilirsiniz. Bunlar arasında neler mi var?
Raporda göreceğiniz üzere telefon numaranızdan IP adresinize, yüklediğiniz profil fotoğraflarından rehberdeki kişilerinize kadar birçok veriniz şu anda zaten toplanıyor. WhatsApp, yaptığı son açıklamada “mesaj olarak paylaşılan konumların” şifreli olduğunu ve okunamadığını belirtiyor. Teknik olarak(!) doğru söylüyor; çünkü mesajlar uçtan uca şifreli. Ancak maalesef IP adresi, bir kullanıcının konumunu bazen yaklaşık olsa da anında ele veren bir veri. WhatsApp’tan veri raporunuzu istediğinizde, rapordaki IP adresini Google’da bulduğunuz herhangi bir IP Locator sitesine vererek harita üzerindeki konumunuzu görebilirsiniz.
Verilerimin toplanması neden önemli?
Verilerinizin toplanması iki yüzlü bir madalyon. İyi yönleri var, kötü yönleri var. Ziyaret ettiğiniz her sayfa, beğendiğiniz her fotoğraf, birinin profiline girip orada uzun süre kalarak fotoğraflara bakmanız, izlediğiniz her çeşit video, okuduğunuz haberler, konumunuz, görüştüğünüz insanlar… Bunların hepsi, sizin nasıl biri olduğunuzu anlatan bilgiler. Bu bilgileri kullanarak bir insanı “Trump destekçisi, bahçe mobilyalarına meraklı, sevgilisinden yeni ayrılmış, marangoz, biseksüel, hemşire, Londralı” şeklinde sınıflandırmak mümkün. Bu sınıflandırmaya “profilleme” diyoruz.
Facebook ve diğer şirketler sizi bu şekilde sınıflandırıyor ve ardından elde ettikleri bilgileri kullanarak örneğin bahçe mobilyaları satan şirketlere “bu kullanıcı çok büyük ihtimalle sizden alışveriş yapar”, siyasi partilere “bu kullanıcı size oy verecek” veya “bu kullanıcıya azıcık reklam gösterirseniz oy rengi size döner”, İngiliz ilişki terapistlerine “bu kullanıcı Londra’da ve aşk acısı çekiyor” şeklinde reklam bilgisi olarak satıyorlar. Böylece verilen reklamlar hedefi 12’den vuruyor. Tahmin edeceğiniz üzere bu bilgilerin kıymetinin haddi hesabı yok. Bu, çağımızın yeni petrolü veya maden’i. Zaten bu işlerle uğraşan kimselere de Veri Madencileri diyoruz. Ücretsiz kullandığımız sistemler, bu yöntemle para kazanıyorlar.
Kötü yönlerine örnekler neler?
Daha fazla bireysel örnek vermeyeyim. Ancak demokratik sistemlerimizin neden bir facianın eşiğinde olduğunu ve kanıtlı bilgilerin (dünyanın şekli gibi…) dahi kimilerine artık inandırıcı gelmemesini açıklayan örnekler:
- Amerikan seçimleri ve Birleşik Krallık’taki Brexit referandumu gibi önemli olaylarda, genel veya yerel seçimlerde seçim manipülasyonu (Cambridge Analytica’yı duymuşsunuzdur).
- Toplumları galeyana getirmek, psikolojilerini bozmak için her vatandaşın kişiliğine uygun infial yaratıcı haberler yayma (X mezhebinin timeline’ına başka haber, Y partisi seçmeninin önüne başka bir skandal çıkarma).
- Kullanıcıyı, çok ilgilendiği bir konuda reklam göstererek tuzak bir siteye yönlendirme ve şifre gibi özel bilgilerini, hatta yazışmalarını çalma.
- 2014 yılında akademik camiada bir skandal yaratan Facebook & Cornell Üniversitesi çalışmasında kanıtlandığı üzere: mutlu insanları gösterilen paylaşımlarla mutsuz, mutsuz insanları gösterilen haberler ve fotoğraflar ile mutlu yapma. Kullanıcıların psikolojileriyle oynama.
Hiç mi iyi yanı yok?
Var tabii. Veri toplama tekniklerini iyiye kullanan on binlerce hizmet mevcut. Örneğin bir kişi neden verileri toplansın ister, buna izin verir, bakalım:
- “Bana İstanbul’da daha iyi trafik yönlendirmesi yapacaksa konum bilgilerimi alsın”
- “Çocuğu olmayan bana bebek bezi reklamı yerine aradığım gibi bir saatin satışa çıktığını haber verecekse gezdiğim sitelere ve yazdığım yorumlara baksın”
- “Beni para/vakit kaybından kurtararak aradığım ideal bilgiyi bir YouTube dersinde şak diye karşıma çıkaracaksa arama geçmişime baksın”
- “Bir hastalığımı erken teşhis edip hayatımı kurtaracaksa sağlık bilgilerimi alsın”
- “Başıma gelebilecek bir kazayı engelleyecekse, kalp atışlarımı, araba konumumu, önceki sürüşlerimi kaydetsin”
- “Banka hesabımda oturum açan kişinin ben olmadığımı, bir tuhaflık olduğunu anlayacaksa haftalık finansal işlemlerimi takip etsin”
Signal nedir? Telegram’dan niçin daha iyidir?
Signal, aslında WhatsApp’ı Facebook’a satmasının ardından çok pişman olduğunu beyan eden Brian Acton ve mahremiyete önem veren başkaları tarafından kurulan bir vakıf. Signal Messenger, yani mesajlaşma uygulaması ise bu vakfa yapılan bağışlarla masraflarını karşılayan (yani veri satmaya ihtiyaç duymayan) ve kullanıcılara gerçek bir gizlilik, güvenlik sunan uygulama. Güvenli olmasının ilk sebebi, verileri silmesinden ziyade daha en baştan hiç veri toplamaması. Ayrıca kullandığı şifreleme algoritması WhatsApp’ın da kullandığı, dünyanın en ünlü kriptografları ve akademisyenleri tarafından test edilmiş güvenli bir algoritma. Ayrıca Signal’in kodları halka açık. Dileyen herkes inceliyor ve bir hata bulursa bunu anons edip hatanın anında giderilmesini sağlayabiliyor. Telegram ise, siz ayarlardan özel olarak belirtmedikçe mesajlarınızı uçtan uca şifrelemiyor. Ayrıca, gruplar ve kanallardaki mesajların uçtan uca şifrelenmesi gibi bir özellik maalesef henüz mevcut değil.
WhatsApp mesajlarım okunabiliyor mu?
Hayır. WhatsApp, Signal’in kullandığı uçtan uca şifreleme algoritmasını kullanmayı bırakmadığı sürece de bu böyle devam edecek. WhatsApp’ın (ve Signal’in) kullandığı algoritmanın mesaj içeriklerinin okunmasına izin vermediği, dünyanın en ünlü kriptografları, bilim insanları tarafından tekrar tekrar test edildi ve doğrulandı.
Uçtan uca şifreleme nedir? (Teknik bilginiz yoksa)
Uçtan uca şifreleme, birbirleriyle konuşmak isteyen iki arkadaşın, ikişer adet anahtar sahibi olduğu bir şifreleme tekniği. Örneğin Ata, Ayşe ile konuşmak istiyor. Ata’nın herkesçe kullanılabilen bir adet anahtarı (anahtarın ismi X olsun), yalnızca Ata tarafından kullanılabilen bir de gizli anahtarı var (Y). Aynı şey Ayşe için de geçerli; Ayşe’nin M isimli anahtarı herkesçe biliniyor ve kullanılıyor, N anahtarı ise yalnızca Ayşe’de mevcut.
Ayşe’ye mesaj göndermek isteyen herkes, gidecek mesajı bir kasaya koyup M ile kilitliyor. Kilit öyle bir kilit ki, M ile kilitlenen bir daha M ile açılamıyor. Yalnızca ve yalnızca N ile, yani Ayşe’nin gizli anahtarıyla açılabiliyor. Mesajı içeren kasa Ayşe’ye ulaştığında Ayşe N’yi kullanıyor ve kasayı açıp mesajı okuyor. Konuşmayı dinleyen devlet de olsa, telekom şirketi de olsa, WhatsApp da olsa, Ayşe N anahtarını ortalık yerde unutmadıysa, bu kasayı kimse açamıyor. (Kuantum bilgisayarlar hariç. Kuantum hakkında bilgiler için köşe komşum Meltem Tolunay’ın yazılarını okuyabilirsiniz).
N anahtarı nerede duruyor? Tabii ki yalnızca Ayşe’nin telefonunda. Telefona gömülü. Aynı şey Ata’nın anahtarları için de geçerli. X’i herkes biliyor ve Ata’ya giden kasaları kilitlerken kullanıyor. Y ise yalnızca Ata’nın telefonunda duruyor. Ata, gelen kasaları Y ile açıyor.
Uçtan uca şifreleme nedir? (Modüler aritmetik biliyorsanız. Bilmiyorsanız burayı atlayın)
Vereceğim örnek güvenli bir protokol değil. Ama modüler aritmetik bilip kriptografi bilmeyenler için çok güzel bir örnek, zira günümüz sistemleri aşağıdaki protokolü temel alıyor. Yemek tarifi gibi anlatıyorum:
- Öncelikle iki adet asal sayı seçiyorum. P = 7, Q = 11 olsun. Başka asallar da seçebilirdim, sayılarda bir keramet yok.
- Bu sayıları çarpıyorum. Sonuca N diyelim. N = 77.
- Kullanmam gereken bir ara malzeme (sayı) var. Seçtiğim
sayılardan birer çıkarıp bunları çarpıyorum: Z = 6 x 10 = 60. Artık herkese açık ve kendime özel anahtarlarımı üretmeye hazırım. - Önce herkese açık anahtarımı üreteyim. Z (60) ile arasında 1 sayısı dışında hiçbir ortak böleni olmayan bir sayı seçmem gerekiyor. Mesela E = 13 diyelim. Açık anahtarım hazır: 13.
- Herkesten gizli, yalnızca benim telefonumda duracak anahtarımı üretiyorum, ismi D olsun. Bana gönderilen mesaj kasalarını bu anahtarla açacağım. Kasaların E ile kilitlenip yalnızca D ile açılabilen özellikte olabilmeleri için, E ile D’nin birbirlerini tamamlayan anahtarlar olması gerekiyor. Bunun koşulu: E x D = 1 (mod Z). Yani 13 x D = 1 (mod 60).
Gözünüz korkmasın, bu ifade Türkçe olarak şunu söylüyor: “öyle bir D seç ki, onu 13 ile çarpıp 60’a böldüğümüzde kalan sayı 1 olsun”. D = 37 desem; 13 kere 37, 481 ediyor. 481’i 60’a böldüğümde kalan 1 oluyor. Demek ki gizli anahtarımı seçebildim: D = 37.
- Şifreleme sistemimiz hazır. Deneyelim; örneğin Ayşe, Ata’ya “8” mesajını göndermek istesin. Dijital ortamlarda her mesaj birler ve sıfırlardan oluştuğu için gönderip aldığımız tüm mesajları birer sayıymış gibi düşünebiliyoruz.
Ayşe, Naber? isimli mesajlaşma uygulamasını açıyor. Ata Uslu kişisine tıklıyor. İleti kısmına 8 yazıyor ve göndere basıyor. Uygulama, Ata Uslu’nun Naber? hesabında ilan edilen herkese açık anahtarını (E = 13) kullanarak mesajı şifreliyor: 8 üzeri 13 (mod N=77). Yani 8’i 13 kere yan yana yazıp çarpıyor (sonuç 549755813888), ardından 77’ye bölüyor ve kalan sayıyı hesaplıyor. Bu sayı, 8’in şifrelenmiş hâli: 50. Ayşe’nin telefonu, İnternet bağlantısını kullanarak Ata’ya “50” mesajını gönderiyor, 8’i değil. Böylece konuşmayı dinleyen devletler veya şirketler, tüm işlemler Ayşe’nin telefonunda lokal olarak gerçekleştiği için asıl mesajın 8 olduğunu bilmiyor. Ayşe, Ata’ya 50 yazdı sanıyorlar.
- “50” mesajı, Ata’nın telefonundaki Naber? uygulamasına düşüyor. Ata, yalnızca kendisinde bulunan D = 37 anahtarı ile bu şifreli mesajı (“50”) çözecek: 50 üzeri 37 (mod N=77). Yani, Ata’nın telefonu 50’yi 37 kez kendisiyle çarpıyor (sonuç 72759576141834259033203125000…), bu sayıyı 77’ye bölüyor ve kalan sayıya bakıyor. Sonuç, asal sayıların sihirli özellikleri sayesinde, “8“. Ata, gelen mesajın aslında 8 olduğunu öğrenmiş oldu.
Gerçekten böyle mi?
Dahası da var, ancak süreç basitçe(!) böyle. Çoğu zaman, her mesaj için bunca anahtar ve sayıyla işlem yapmak zaman aldığından Ayşe, yalnızca Ata için kullanacağı özel bir anahtar belirliyor ve Ata’ya göndereceği İLK mesajında “Ata, bundan sonra aramızda bu özel anahtarı kullanalım” diyor. Ayşe-Ata arasındaki özel anahtarı 8 olarak düşünebilirsiniz. Ayşe, bu özel anahtarı Ata’ya ulaştırmak için yukarıdaki süreci kullanıyor. Ata, şifreli 50 mesajını çözüp de “8” mesajını aldığı zaman Ayşe ve Ata bundan sonraki tüm mesajlarını 8 ile şifrelemeye başlıyorlar. Bir dış kapı anahtarının iki kopyasının eşler arasında paylaşılması gibi.
Ayşe ve Ata’nın aralarında paylaştığı anahtarlardan somut örnek de verelim. Tanıdınız mı?
WhatsApp üzerinde Ata ve Ayşe arasında paylaşılan anahtarlar (temsili)
