Mesajlarımız Gerçekten Güvende mi?

WhatsApp'ta oluşan son güvenlik açığı sonrası birçok kullanıcının kafasında aynı soru belirdi. Uçtan uca şifreleme vaat eden mesajlaşma servislerinde mesajlarım gerçekten güvende mi?


Telefonlarda ortaya çıkan güvenlik açıkları, saldırganlara neyin hedefteki telefonlara casus yazılımı yükleme ve mesajlar, fotoğraflar, aramalar gibi kişisel verilere ulaşma imkanı sunduğu sorusunu ortaya çıkarıyor.  

Son zamanlarda gündeme gelen saldırılardan bir tanesi ise Pegasus olarak biliniyor. Bu casus yazılım, basit bir WhatsApp çağrısıyla telefonunuza enfekte olabiliyor. Daha da kötüsü ise WhatsApp’tan gelen bu çağrıyı açmanız da şart değil. Yapılacak tek bir çağrı yetiyor ve cihaza erişim kazanabiliyor. Saldırgan daha sonra çağrı kayıtlarını değiştirerek, kendi zararlı aktivitesini gizleyebiliyor.

Buradaki iyi, haber WhatsApp’ın bu güvenlik sorununu yayımladığı bir yamayla kapatması. Kötü haber ise birçok insanın bu tarz bir saldırıdan haberinin olmaması ve WhatsApp’ını hâlâ güncellememiş olması. Yaşanan bu sorun halledilmiş olsa da WhatsApp gibi mesajlaşma servislerinin kişisel verilerimizi korumak konusunda gerçekten güvenilir olup olmadığı akıllara geliyor.

Pegasus ve NSO Group

Financial Times’da yer alan habere göre bu erişim, daha sonra NSO Group tarafından üretilen Pegasus casus yazılımı olduğu iddia edilen casus yazılımı kurmak için kullanılıyor. NSO ise şu an bu yaşananları soruşturma aşamasında.

Yapılan bazı gözlemlere göre, bu saldırılarda Pegasus yazılımı kullanıldıysa bile bu saldırıların arkasında NSO’nun kendisi değil, yazılımı satan alan bir müşteri olduğu düşünülüyor.  

Pegasus’u yeni duyduysanız ve kulağınıza pek aşına gelmiyorsa, NSO tarafından satılan bu casus yazılım, terörizm ve suçla savaşta önlem olarak kullanılıyor. Şirket, kendi yazılımını, “Günümüz dünyasındaki tehlikeli sorunları yasal olarak çözmeleri için resmi yetkilileri destekleyecek araçlar sağlıyoruz. Hükümetler, bizim ürünlerimizi terörizmi önlemek, suç operasyonlarını bozmak, kayıp insanları bulmak, arama ve kurtarma ekiplerine yardımcı olmak için kullanıyor” şeklinde tanımlıyor.

İyi yazılım kötü hale geldiğinde

Pegasus ve benzeri yazılımlar iyi amaçlar için üretilmiş olsalar dahi her zaman suiistimal edilme potansiyelleri bulunuyor. Baskıcı rejimler, güçlü casus yazılımları muhaliflerin kökünü kazımak için, muhalefeti gizlice gözetlemek için kullanabiliyorlar.

Pegasus’un Meksikalı uyuşturucu baronu Joaquin Guzman’ın yakalanmasında kullanıldığıyla ilgili iddialar da bulunuyor. Ancak bunun karşıtı olarak Pegasus’un, BAE’li insan hakları aktivisti Ahmet Monsoor’un hedef alınmak için kullanıldığı da söyleniyor.

2018’in sonlarında Suudi muhalifler, gazeteci Jamal Khashoggi’nin (Cemal Kaşıkçı) öldürülmesinde Pegasus’un kullanıldığı iddiasıyla dava açtılar. Bunun haricinde Amnesty International da Pegasus’un hükümetler tarafından insan hakları savunucularını gözetlemek için kullanıldığı gösteren birçok nokta olduğu iddiasıyla dava etmişti.

Şifrelenmiş mesajlaşma servisleri gerçekten güvenli olabilir mi?

WhatsApp, kullandığı uçtan uca şifrelemeyle kullanıcılarına güvenlik ve gizlilik vadediyor. Şirket kendi sitesinde ise “tıpkı mesajlarınız gibi WhatsApp çağrılarınız da uçtan uca şifrelemeli yani WhatsApp ve üçüncü parti uygulamalar konuşmalarınızı dinleyemez” şeklinde açıklıyor.

Ancak asıl uygulamanın kendisi bir güvenlik açığı barındırıyorsa şifrelemenin pek bir anlamı kalmıyor, cihaz tamamen kırılıyor ki WhatsApp’ın başına gelen de aynen buydu. Buradaki asıl sorunun, bir yazılım gerçekten güvenli olabilir mi olması gerekiyor. Ancak bu konuda da garanti vermek mümkün değil. Yani sorunun kısaca cevabı, hayır.

SecureData’nın kurucularından ve aynı zamanda CTO’su (Baş Teknoloji Yöneticisi) olan Etienne Greeff, bu konuda hakkında “iOS gibi işletim sistemlerinin altında yatanlar güvenli gibi görünüyor olabilir ancak işletim sistemindeki tüm uygulamaların da dahil olduğu ekosistem çok karışık ve tamamen güvenli hale getirmek oldukça zor. Ayrıca bu karmaşık sistemleri korumak için kullanılabilecek sıfır gün güvenlik araçları oldukça verimli olabilir” dedi.

NTT Security’de kıdemli yönetici olan Daniel Follenfant, uygulamaları güvende tutmanın sürekli savaş olduğunu söylüyor ve eğer ki onlar tamamen güvenli olsaydı bizim de sürekli olarak güvenlik yamalarıyla güncelleme yayımlamamız gerekmezdi diye belirtiyor.

Güvenlik ve gizlilik konusunun hayli önemli olduğu şu zamanlarda teknoloji şirketleri de kullanıcılarına, verilerini güvenli saklama sözü veriyor. WhatsApp da bu şirketlerden bir tanesi ve en yüksek güvenlik teknolojisini kullanıyor olması gerekiyor. Bu şirketlerin, oluşan güvenlik açıklarında çok hızlı bir şekilde bu hasarları en aza indirgemesi gerekiyor.

Son saldırılarda nispeten içleri rahatlatan taraf, bu yazılımın bir virüs gibi kullanıcılardan kullanıcılara yayılarak ilerlemek yerine seçilmiş ve hedef alınmış kişiler üzerine yoğunlaşması. The Guardian’da yer alan habere göre, şu ana kadar bilinen hedefler Birleşik Krallıktaki insan hakları avukatları ve araştırmacıları.

Eğer ki bu tarz işlerle uğraşmıyorsanız veya WhatsApp’tan son zamanlarda bilmediğiniz bir numaradan herhangi bir çağrı almadıysanız güvendesiniz demektir. Ancak WhatsApp gibi 1,5 milyar kullanıcısı olan servislerin bu tarz açıklara yakalanması insanları tedirgin ederken, sanal korsanları da heyecanlandırıyor.

Verilerinizi güvende tutmak için neler yapabilirsiniz?

İlk olarak işletim sisteminizi ve cihazlarınızda yüklü olan uygulamaları en güncel sürümünde tutmanız gerekiyor. Son olayda WhatsApp, oldukça hızlı bir şekilde güvenlik yaması yayımlamış olsa da uygulamasını güncellemeyenler hâlâ muhtemel bir saldırıya açık durumda bulunuyor.

Daniel Follenfant, kullanıcıların şifrelerini yeniden kullanmaktan kaçınmaları gerektiğini ifade ediyor. Follenfant, “Üzerinde düşünülmesi gereken şeylerden bir tanesi, her şeyde ayni şifreyi kullanmak olmalı. Örneğin bir balık avlama forumuna üyeyseniz ve aynı şifreyi Amazon’da da kullanıyorsanız, saldırgan Amazon’u hedef almak yerine daha az güvenlikli olan forumu hedef alır” diyor.

Biz de buradan okuyucularımıza kullandığınız, bilgilerinizi verdiğini her platform için farklı farklı şifreler kullanmalarını tavsiye ediyoruz.




Apple II, Tam 42 Yıl Sonra Küllerinden Doğdu
Apple II, Tam 42 Yıl Sonra Küllerinden Doğdu

MacEffects adlı bir girişim, başlattıkları Kickstarter kampanyası ile bundan tam 42 yıl önce piyasaya sürülen Apple II bilgisayara yeniden hayat verdi. ...

Microsoft, Xbox'un E3 2019 Gösteriminin Tarihini Açıkladı
Microsoft, Xbox'un E3 2019 Gösteriminin Tarihini Açıkladı

Xbox'un E3 2019 gösteriminin tarihi sonunda belli oldu. Microsoft, Xbox'ın bu yılki gösteriminin 9 Haziran'da gerçekleşeceğini duyurdu. ...

Xiaomi CC9'un Özellikleri ve Tasarımı Onaylandı
Xiaomi CC9'un Özellikleri ve Tasarımı Onaylandı

Xiaomi'nin gençleri hedef alarak geliştirdiği telefonları CC9 ve CC9e'nin özellikleri TENAA tarafından onaylandı. ...