Mark Zuckerberg'in CIA açıklaması sonrası gündeme geldi: İşte en güvenli mesajlaşma uygulamaları

WhatsApp​, Instagram ve Facebook gibi uygulamaların sahibi olan Meta​'nın İcra Kurulu Başkanı (CEO) Mark Zuckerberg, platformlarda kullanılan encrypted (şifreleme) teknolojisinin, Meta'nın kullanıcıların sohbetlerine erişmesini engellediğini ancak birisi, doğrudan telefona giriş yaparsa mesajların okunabileceğini açıkladı.

MARK ZUCKERBERG, CIA - WHATSAPP AÇIKLAMASINDA NE DEDİ?

CIA de dahil olmak üzere ABD'li yetkililerin, kullanıcıların cihazlarına uzaktan giriş yaparak WhatsApp mesajlarına erişebildiğini belirten Zuckerberg, bu durumda uçtan uca şifrelemesi özelliğinin etkili bir şekilde bypass edilebileceğini söyledi. Şifreleme, Meta'nın mesajların içeriğine erişimini engellese de kullanıcının telefonuna fiziksel erişime karşı koruma sağlamadığına dikkati çekti:

"Şifrelemenin gerçekten iyi yaptığı şey, hizmeti yürüten şirketin bunu görmemesini sağlamaktır. Yani WhatsApp kullanıyorsanız, Meta sunucularının bu mesajın içeriğini gördüğü bir nokta yok."

"Yaptıkları şey telefonunuza erişmek. Yani herhangi bir şeyin şifrelenmiş olması önemli değil, onu açıkça görebilirler. Eğer birisi telefonunuzu ele geçirdiyse ve orada olup biten her şeyi görebiliyorsa, o zaman tabii ki gelen şeyleri de görebilir. Bu yüzden şifrelenmiş olması ve kaybolması, bence oldukça iyi bir güvenlik ve gizlilik standardıdır."

Zuckerberg'in bu açıklamalarının ardından, başta WhatsApp kullanıcıları olmak üzere, günlük hayatta iletişim ihtiyacını mesajlaşma platformları üzerinden gideren herkes, en güvenli mesajlaşma uygulaması konusunu araştırmaya başladı. Rehberimizde, WhatsApp alternatifi olarak kullanabileceğiniz 4 adet güvenli iletişim programını listeledik.

GÜVENLİ MESAJLAŞMA UYGULAMASI NASIL SEÇİLİR?

Öncelikle konuyu bağlamına oturtmak adına, "Güvenli mesajlaşma uygulaması nedir?" sorusunu cevaplamak gerekiyor. Bir uygulamanın "güvenli" olarak kabul edilmesi için sahip olması gereken özellikler neler? Güvenli mesajlaşmanın temel taşları olarak kabul edilen standartlar şu şekilde:

1. Uçtan uca şifreleme (EE2E): Uçtan uca şifreleme, bir mesajın yalnızca gönderen ve alıcı tarafından okunabilmesini sağlayan bir teknolojidir. Bu özellik sayesinde, mesajlar platformun kendisi veya kötü niyetli üçüncü taraflar tarafından bile okunamaz. EE2E sistemini desteklemeyen bir uygulama, kelimenin tam anlamıyla güvenli olarak kabul edilmez.

Uçtan uca şifreleme, mesajınız telefonunuzdan çıktıktan sonra alıcıya ulaşana kadar, veriyi anlaşılmaz bir şekilde kodlar. Bu sayede, mesajınız iletilirken birileri tarafından ele geçirilse dahi, yalnızca alıcıda bulunan şifre çözme anahtarı olmadan okunamaz. Hatta uygulamanın sahibi bile mesajı okuyamaz (Zuckerberg de WhatsApp mesajlarının Meta tarafından bile okunamayacağını iddia ediyor).

Bu teknoloji, genel anahtar şifreleme adı verilen bir sistem üzerinde çalışır. Her kullanıcının bir genel anahtarı ve özel bir anahtarı oluyor. Genel anahtar herkes tarafından görülebilir, ancak özel anahtar gizlidir. Bir mesaj gönderdiğinizde, bu mesaj alıcının genel anahtarıyla şifrelenir ve yalnızca alıcıdaki özel anahtar bu mesajı çözebilir. Daha da fazlası; en güvenli mesajlaşma uygulamaları düzenli olarak anahtarları değiştirir. Böylece bir mesaj ele geçirilse bile, gelecekteki mesajlar tehlikeye girmeyecektir.

2. Minimal veri saklama: Bir mesajlaşma uygulaması, sunucularında ne kadar az veri tutarsa o kadar güvenlidir. Çünkü siber saldırılar durumunda açığa çıkacak veri miktarı azalmış olur. Hatta maksimum güvenlik için bazı uygulamalar, verileri bulut sistemleri yerine yalnızca kullanıcının cihazında yerel olarak saklıyor. Bu sayede hackerlar, uygulamanın sunucularına saldırsa bile bilgilere ulaşamıyor.

Ek olarak, güvenli mesajlaşma uygulamaları genellikle yalnızca "zaman damgaları" gibi mesaj iletimini sağlamak için gereken minimum miktarda metadata (meta verileri) saklar. Kullanıcının konumu veya iletişim bilgileri gibi meta veriler, mesaj iletildikten sonra silinir (en azından silinmesi gerekir).

3. Kendi kendini yok eden mesajlar: Kendi kendini yok eden ya da kaybolan mesajlar, belli bir süre sonra veya belli bir görüntüleme sayısına ulaştığında otomatik olarak silinir. Örneğin WhatsApp'ta mesajlarınızı 24 saat, 7 gün veya 90 gün sonra kaybolacak şekilde ayarlayabiliyorsunuz. Sendbird gibi platformlar, veritabanına kaydedilmeyen geçici kanallar da sunar. Eski mesajlar yeni mesajlar tarafından dışarı itilir ve tek seferlik veriler oldukları için hiçbir şekilde geri alınamazlar, bu da başka bir mesaj güvenliği katmanı ekler.

4. Çok faktörlü kimlik doğrulama (MFA): Bir mesajlaşma uygulamasının güvenli olup olmadığını belirleyen kriterlerden bir tanesi de "çok faktörlü kimlik doğrulama" özelliği sunup sunmamasıdır. MFA, bir hesaba erişim sağlamak için uygulama şifresine ek olarak SMS veya e-posta onayı gibi iki veya daha fazla doğrulama faktörü gerektirir. Bu sayede cihaz kaybolsa ya da şifre ele geçirilse bile, yetkisiz kişilerin uygulamaya erişimi zorlaşır.

5. Güvenlik uyumluluk sertifikaları: Şirketler, müşterilere mesaj göndereceklerse güvenlik ve veri gizliliği düzenlemelerine uygun kalmalıdır. Gerçekten güvenli bir mesajlaşma uygulamasından; HIPAA, ISO 27001, SOC 2 Type 2, GDPR gibi güncel güvenlik standartlarını desteklemesi beklenir.

ÖNE ÇIKAN GÜVENLİ MESAJLAŞMA UYGULAMALARI

Yukarıda yer alan bilgiler ışığında, güvenli bir mesajlaşma uygulaması için şunları söyleyebiliriz: kullanıcıları arasındaki iletişimi şifrelemeli, mümkün olduğunca az kullanıcı bilgisi ve metada saklayarak gizliliğe saygı göstermeli, güvenlik protokollerini desteklemeli. Peki bu kriterlere göre en güvenli mesajlaşma uygulamaları neler?

SİGNAL

Signal, en güvenli mesajlaşma uygulamaları arasında akla ilk gelen platformlardan biri. Hatta bazılarına göre en güvenlisi. Signal'in sahip olduğu Signal Protokolü adlı şifreleme teknolojisi, tüm kullanıcılarının mesajlarını "varsayılan olarak" uçtan uca şifreliyor. Üstelik bu protokolü WhatsApp ve Google diğer şirketlerin de kullanımına sunuyor.

Signal'i mesajlaşma uygulamaları arasında değerli kılan bir başka özelliği, kar amacı gütmeyen bir organizasyon tarafından yönetilmesi. Bu nedenle kullanıcı bilgilerini toplama ve para kazanmak amacıyla işleme, satma gibi bir amacı yok.

Avantajları:

• Tüm iletişimler için uçtan uca şifreleme (metin mesajları, sesli ve görüntülü aramalar, grup sohbetleri, dosya transferleri)
• Açık kaynak kodlu: Kod herkesin denetimine açık olduğu için güvenilirlik sağlar.
• İki faktörlü kimlik doğrulama
• Minimal veri toplama: Sadece hesap oluşturma ve son oturum açma tarihi kaydedilir.
• Ekran görüntüsü güvenliği: Android cihazlar için ekran görüntüsü algılama ve engelleme seçenekleri.

Dezavantajları:

• Telefon numarası istiyor
• Diğer uygulamalara göre daha basit özelliklere sahip

Signal; Android, iOS ve PC dahil olmak üzere bütün platformlarda kullanılabiliyor. Hatırlatmak gerekirse; WhatsApp, 2021 yılında yeni sözleşmesini açıkladıktan sonra dünya genelinde bir tepki seliyle karşılaşmıştı. Elon Musk da bunun üzerine X hesabında "Signal kullanın" yazmıştı.

THREEMA

İsviçre merkezli bir şirket tarafından geliştirilen, açık kaynaklı ve tamamen şifreli bir mesajlaşma uygulaması olan Threema, diğer uygulamalar gibi mesajlaşma, sesli ve görüntülü arama, grup sohbetleri gibi özellikler sunuyor. Ancak rakiplerinden farklı olarak, Threema'yı kullanmak için telefon numarası veya e-posta gerekmiyor, bu sayede anonimlik açısından en iyi güvenli mesajlaşma uygulamalarından biri haline geliyor.

Threema, meta verilerin korunmasına büyük önem veriyor. Bir mesaj teslim edildikten sonra uygulamanın sunucularından kalıcı olarak siliniyor. Dinlemeleri önlemek için Threema, bilgileri sunucular yerine kullanıcı cihazlarında yerel olarak saklıyor. Öte yandan "üç kuruşa beş köfte yok" misali, Threema'nın sağladığı güçlü güvenliğin getirdiği en büyük dezavantaj, uygulamanın ücretsiz olmaması.

Avantajlar:

• Uçtan uca şifreleme
• Telefon numarası veya e-posta gerektirmez
• Meta verilerini korur

Dezavantajlar:

• Ücretsiz değil
• Almanca konuşanlar dışında henüz geniş bir kullanıcı kitlesine ulaşabilmiş değil

TELEGRAM

Telegram, diğer güvenli mesajlaşma uygulamalarına benzer şekilde çalışıyor. Kullanıcılarla mesajlaşabilir, arama yapabilir, grup sohbetleri düzenleyebilir ve dosya gönderebilirsiniz. Özellikle grup mesajlaşmaları (20 bin katılımcıya kadar) için harika olan pürüzsüz ve sezgisel bir arayüze sahip olan Telegram, bazı kimseler için mesajlaşmanın ötesinde, popüler bir sosyal medya platformu olarak da hizmet veriyor.

Telegram'ın bulut tabanlı olduğunu belirtmekte fayda var. Bu, tüm mesajlarınızı ve resimlerinizi güvenli olduğunu iddia ettiği bir sunucuda sakladığı anlamına geliyor. Bu sayede verilerinize farklı cihazlarda ve çeşitli platformlarda kolayca erişebiliyorsunuz. Ancak bu durum, sunucuları ihlal edilirse verilerinizi risk altında bırakabilir.

Bununla birlikte Telegram, uçtan uca şifreleme özelliğini sunuyor, ancak varsayılan olarak etkin değil. Şifreli mesajlaşma yalnızca "gizli sohbetler" modunda etkinleşiyor. Bu modda Telegram, verilerinizi sunucularında depolamayı da durduruyor. Yine de çok yaygın ve popüler olduğu için listemize aldık.

Avantajlar:

• Sezgisel ve kullanımı kolay arayüz
• Çoklu platform dostu, kolay veri senkronizasyonu
• Ücretsiz

Dezavantajlar:

• Uçtan uca şifreleme varsayılan olarak etkin değil
• Bulut tabanlı depolama verilerinizi risk altında bırakabilir

VİBER

Viber, mevcut şifreli mesajlaşma uygulamaları arasında daha fazla özellikle öne çıkan bir platform olarak hizmet veriyor. Standart mesajlaşma, sesli ve görüntülü aramalar gibi özelliklere ek olarak, kaybolan mesajlar ve gizli sohbetler sunuyor. Ayrıca fotoğraflarınız için eğlenceli artırılmış gerçeklik (AR) filtreleri ve çıkartmalar da kullanabilirsiniz.

Kolay erişim için masaüstü ve mobil cihazlar arasında senkronize edilebilen Viber, uçtan uca şifreleme özelliğini kullanıyor ve bir sohbetin güvenlik düzeyini göstermek için benzersiz bir renk kodlu göstergeye sahip. Yeşil, sohbetin şifreli olduğunu ve kişinin güvenilir olduğunu gösterir. Gri, sohbetin şifreli olduğunu ancak kişinin henüz güvenilir olarak işaretlenmediğini belirtir. Kırmızı, kişinin doğrulanamadığını gösterir.

Viber, listemizdeki diğer güvenli sohbet uygulamaları kadar geniş bir kullanıcı kitlesine sahip değil. Bu nedenle birçok kişi bu uygulamayı kullanmıyor bile olabilir. Bununla birlikte Viber dışındaki numaraları aramak için ücret ödemeniz gerekiyor.

Avantajlar:

• Uçtan uca şifreleme
• Güvenli ve eğlenceli birçok özellik
• Masaüstü ve mobil cihazlar arasında senkronize edilebilir
• Renk kodlu güvenlik göstergesi

Dezavantajlar:

• Kullanıcı tabanı biraz daha sınırlı
• Viber dışındaki numaraları aramak için ücret ödenmesi gerekiyor

PEKİ WHATSAPP GÜVENLİ Mİ?

Mark Zuckerberg tarafından yapılan CIA açıklaması sonrası WhatsApp güvenli mi? sorusu bir kez daha gündeme geldi. Esas olarak WhatsApp da uçtan uca şifreleme, çok faktörlü kimlik doğrulama ve kaybolan mesaj gibi güvenli mesajlaşma özelliklerine sahip. Zuckerberg, söz konusu açıklamasında "Bu özelliklere rağmen biz WhatsApp mesajlarını CIA ile paylaşıyoruz" minvalinde bir şey dememiş.

Sadece "WhatsApp uçtan uca şifreleme teknolojisini destekliyor ama telefonunuza erişebilen birisi buna rağmen mesajlarınızı görebilir" demek istemiş. Tabii WhatsApp da mesaj yedeklerini Google Drive ve Apple iCloud gibi bulut servislerinde tuttuğu için mesaj güvenliği açısından bir açık oluşabilir. Ancak Zuckerberg, açıklamada kullanıcının telefonuna yapılacak olası bir saldırı riskine yanıt olarak WhatsApp mesajlarının okunabileceğini söylüyor.