1.5 milyara ulaşan kullanıcı sayısı ile WhatsApp dünyanın en popüler mesajlaşma uygulaması.
Akıllı bir telefonu olup da WhatsApp kullanmayan birine henüz rastlamadım. Hatta öyle ki biri ile bir döküman, fotoğraf paylaşımı yapacaksanız de-facto olarak WhatsApp'dan gönderilir durumda.
WhatsApp'ın 10 yıllık mazisinde 2016 yılı önemli bir dönemeç, çünkü 2016 yılında WhatsApp mesaj gönderim ve alımlarında otoritelerin güvenilir bir standart olarak kabul ettiği Signal protokolünü kullanarak uçtan uca şifrelemeye geçmeye karar verdi.
Bu mesajların, gönderim ve alımlarında yalnızca muhatabının açabileceği bir anahtar ile şifrelenmesi demekti. Mesaj güven içerisinde alıcısına teslim edilecek, internet bağlantınızı dinlemesi muhtemel saldırganlar ise bu mesajların içeriğine erişemeyeceklerdi.
Buraya kadar harikulade.
Fakat WhatsApp uçtan uca şifreleme surundaki ilk deliği görüşme kayıtlarını Cloud servislerinde, örneğin Google Drive'da açık metin olarak yani şifrelenmemiş bir halde saklayarak gerçekleştirdi.
Uçtan uca şifrelemeye ek olarak, sadece görüşmenin üstverisini, yani kim kiminle, saat kaçta görüştü şeklinde özetlenecek meta datasını sunucularda tutan WhatsApp, yetkililer talep etse de elimde verecek bilgi yok, diye kasım kasım kasılırken, görüşme geçmişinin kaydedildiği bulut veri servislerinin bulundukları ülkenin yasal mevzuatlarına dahil olduğu ve talep ettikleri takdirde bu verileri paylaşmak zorunda oldukları gerçeğini halının altına süpürüyordu.
Eskiler hatırlayacaktır. Facebook tarafından alınmadan önce, ilk yıl ücretsiz sonraki yıllarda 1 dolar ile ücretlendirilen WhatsApp kullanımı, Facebook tarafından satın alınması ile tamamen ücretsiz hale geldi.
Buraya kadar, birkaç hafta önce yazdığım güvenli mesajlaşma programlarının karşılaştırmalı değerlendirmesini içeren yazımdaki bilgileri bir bakıma tekrar etmiş oldum.
Geçtiğimiz günlerce WhatsApp'da keşfedilen bir açık tüm dünyanın gündemine oturdu. Zafiyet çok tehlikeli idi çünkü WhatsApp kullanan tüm telefonlarda etkili olabilirdi. Bu yüzden de zafiyetin etki hinterlandı 1 buçuk milyar kullanıcı olarak telaffuz edildi.
Saldırının ardından Pegasus isimli casus yazılımı üreten İsrailli şirket NSO Group çıktı. NSO Group ürettiği siber casusluk silahlarını hükümetlere satıyor. Hükümetler de satın aldıkları bu siber silahlarla muhalifleri başta olmak üzere, "teröristleri" yahut "terör" bağlantılı kişileri izliyorlardı. İddia o ki Cemal Kaşıkçı cinayetinin önemli köşe taşlarından biri de NSO Group'un ürettiği bu yazılım.
Bu zafiyet sayesinde bir WhatsApp kullanıcısına yapılan sesli arama tüm telefondaki verilerin ele geçirilmesine; kamera ve mikrofon gibi sensörlerinden bilgi alınmasına yol açabiliyor.
Üstelik siz bu sesli aramadan haberdar bile olmuyorsunuz. Casus yazılım telefonunuza yüklendikten sonra bu sesli aramayı, arama geçmişinden de siliyor.
Zafiyetin etkisini arttıran en önemli unsur ise, hedef kişinin telefon numarasının yeterli olması. Malumunuz WhatsApp'da kullanıcının tekil kimliği telefon numarası. Dolayısıyla bu zafiyeti kullanarak dünyanın neresinde olursa olsun WhatsApp kullanan bir hedefin telefon numarası bilindikten sonra tüm telefonundaki verileri ele geçirmek işten bile değil.
Zafiyetin ne zamandan beri Pegasus isimli casus yazılım tarafından kullanıldığı, dahası zafiyeti kullanan başka mahfiller olup olmadığı da meçhul.
WhatsApp olayın duyurulmasının hemen akabinde bir güncelleme yayınlayarak zafiyeti onardığını duyurdu.
Tedbirleri konuşmadan önce önemli bir noktanın daha altını çizmemiz gerekiyor.
Konvansiyonel silah satışlarında, hatta onu da geçtim biber gazı gibi toplumsal olaylara müdahalede kullanılan bir maddenin satışında dahi kılı kırk yaran, demokratiklik ölçütlerine riayet arayan üreticiler; söz konusu siber silahlar olduğunda herhangi bir kritere riayet etme gereksinimi duymuyorlar.
Merak edenler Citizen Lab'ın olayın hemen akabinde yayınladığı yazı dizisine göz atabilirler.
Diğer bir nokta ise WhatsApp'ın hukuki müktesabatına bağlı olduğu Birleşik Devletler hukukunun ve istihbarat birimlerinin yazılımlara arka kapılar eklettirmek hususunda ısrarcı olmaları.
Başka bir güvenli mesajlaşma uygulaması olan Telegram'ın sahibi Pavel Durov, Telegraph'da yayınlanan "Niçin WhatsApp Hiçbir Zaman Güvenli Olmayacak" başlıklı yazısında ABD'de geçirdikleri bir haftada, istihbarat birimlerinden üç farklı talep aldıklarını; 10 yıllık ömrünü ABD'de geçiren WhatsApp'ın bu taleplerden, dahası uygulamamak lüksünden azade olamayacağını belirtiyor.
Görüldüğü gibi sesli bir aramadan kaynaklanan bir zafiyet ile tüm telefondaki verilere erişilebildiği durumda WhatsApp'ın vaad ettiği uçtan uca şifrelemenin bir kıymeti harbiyesi kalmıyor.
Telefonumuzun işletim sisteminde, kullandığımız uygulamalarda hangi arka kapılar var bilmiyoruz.
NSO gibi şirketler bu arka kapıların keşfinde sadece kendi yeteneklerine güvenmiyor, internetin yer altı dünyasında her gün bir yenisi satışa çıkarılan "zero day" dediğimiz sıfırıncı gün zafiyetlerini de satın alıyorlar.
Sıfırıncı gün zafiyeti yani ZeroDay'ler henüz üreticisinin dahi bilmediği zafiyetlere verilen ad. (Meraklılarına Zero Days isimli belgeseli izlemelerini şiddetle tavsiye ederim. Belgesel İran'ın Natanz kentindeki nükleer tesislerin nasıl bir zararlı yazılım ile hedef alındığını anlatıyor.)
Bu olayın en önemli panzeri kullandığımız uygulamaların açık kaynak kodlu olması, bu kodları inceleyecek yeterli bilgi ve birikime sahip uzmanların denetimine açık olmaları. Böylece arka kapıların tespiti bir nebze daha kolaylaşacaktır.
Kapalı kaynak kodlu bir yazılım olan WhatsApp'da maalesef böyle bir şans yok.
Kaldı ki WhatsApp'da olsa bile, 1.5 milyarlık kullanıcı sayısının yarıya yakınına tekabül eden iOS kullanıcıları için işletim sistemi seviyesinde böyle bir denetime imkan verecek altyapı yok. Çünkü WhatsApp gibi iOS işletim sistemi de kapalı kaynak kodlu.
Hakkaniyet gereği son bir soru daha sormadan edemeyeceğim. Peki açık kaynak kodlu yazılımlarda bu tür zafiyetler olmuyor mu?
Olmaz olur mu?
Açık kaynak kodlu bir şifreleme kütüphanesi olan OpenSSL'de ortaya çıkan bir zafiyet Heartbleed web sitelerindeki tüm şifreli iletişimin, dahası farklı bellek bölgelerine erişerek sunucudaki verilerin ele geçirilmesine imkan verecek seviyede idi. (2012)
Yine açık kaynak kodlu Apache sunucuları etkileyen ShellShock zafiyeti, yıllarca farkedilmemiş, belki de uzun yıllar bir takım mahfiller tarafından kullanılmıştı.
Çözüm ne mi?
Çözüm hiç değilse her bir uygulamanın kendisini çerçeveleyecek ve işletim sistemi seviyesindeki, (hatta donanım seviyesindeki) diğer kaynaklara ve programlara, bellek bölgelerine erişimi engelleyecek; bir izole alanda çalışmalarını sağlayacak bir altyapı.
Wikileaks'ın kurucusu Julian Assange'ın sözünü hatırlamakta yarar var:
"Cep telefonu aslen bir izleme cihazıdır, ara sıra görüşme yapmanıza da izin verilir."