'Telegram’a geçenler daha güvensiz bir hamlede bulunuyor'
Alternatif Medya Derneği’nden Diyar Saraçoğlu, son günlerde büyük bir dijital göçe sahne olan Telegram’da güvenlik açığı bulunduğunu belirtiyor. Saraçoğlu, “Whatsapp’la ilgili sorun yaşayıp Telegram’a geçtiğinizde anlık mesajlaşmalarınızın bile görülebileceği daha güvensiz bir hamlede bulunmuş oluyorsunuz” diyor.
DUVAR - Whatsapp’ın kullanıcı verilerini Facebook ve bağlı şirketlerle paylaşacağını duyurması dünya çapında tepki çekti ve çok sayıda kişinin uygulamayı silmesiyle sonuçlandı. Uygulamayı kullanmaya devam etmek isteyenlerin 8 Şubat tarihine kadar yeni gizlilik sözleşmesine onay vermesi gerekiyordu, ancak Whatsapp geri adım atarak değişikliğin yürürlüğe girmesini mayıs ayına ertelediğini açıkladı. Kullanıcılar, hali hazırda konum, cep telefonu modeli, arama süresi gibi meta verilerin kullanımı için Whatsapp’a izin vermiş durumda. Ancak yeni güncelleme yürürlüğe girerse bu verilerin kullanımı Whatsapp’la sınırlı kalmayacak Facebook ve grup şirketlerine satılacak.
Whatsapp’ın kullanıcı sözleşmesini değiştirme kararı, Türkiye’de de geniş yankı buldu. Kararın ardından kişisel verilerin uygulamalar tarafından nasıl kullanıldığına ilişkin kitlesel bir tartışma başladı ve kullanıcılar kişisel verilerin korunduğu güvenli uygulama arayışına girdi. Bilgisayar Mühendisleri Odası da “Özgür ve güvenli iletişim: Whatsapp değilse ne?” başlığıyla düzenlediği oturumda bu arayışı ele aldı. Alternatif Bilişim Derneği’nden Avukat Faruk Çayır, Alternatif Medya Derneği’nden Diyar Saraçoğlu ve Bilgisayar Mühendisleri Odası’ndan Adil Güneş Akbaş katıldığı oturum, Elektrik Mühendisleri Odası’ndan Tigin Öztürk’ün kolaylaştırıcılığında gerçekleşti.
Oturumda, kişisel verilerin korunması için açık kaynak kodlu özgür yazılımları destekleyen uygulamaların kullanılması gerektiği belirtildi.
Herkesin erişebildiği, değiştirebildiği ve geliştirebildiği yazılımlar, açık kaynak kodlu özgür yazılımlar olarak tanımlanıyor.
‘MAHKEME KARARI OLMADAN BİR KULLANICI SÖZLEŞMESİYLE HABERLEŞME DENETLENEMEZ’
Oturumun ilk konuşmasını yapan Alternatif Bilişim Derneği’nden Avukat Faruk Çayır, “Anayasa'da haberleşmenin gizliliği esastır” diyor. Çayır, haberleşmenin başka kurum ve kurumlarca denetlenmesi için bir mahkeme kararı olması gerektiğini vurguluyor. Mahkeme kararı olmaksızın bir kullanıcı sözleşmesiyle iletişimin ve haberleşmenin denetlenmesinin yasal olmadığını belirten Çayır, şöyle konuşuyor: “Whatsapp sözleşmeyle birlikte daha önce kaydetmiş olduğu verileri ve şu anda kaydetmekte olduğu cep telefonu, konum gibi meta verileri Facebook’a ve Facebook’a bağlı diğer şirketlerle de aktarabilecek. Veriler üzerinden profilleme yapılacak ve profillere göre bir reklam gösterecek.”
Öte yandan Whatsapp’ın güvenilirliğine dair bir başka soru işareti de, uygulamanın 2014 yılında kişisel verilerin korunmasında sicili pek parlak olmayan Facebook tarafından alınması. Facebook, 2018 yılında yaklaşık 50 milyon kullanıcının profiline ait verileri Cambridge Analytica şirketine satmış ve bu verilerin ABD seçimlerinin sonuçlarını etkilemek için kullanıldığı tespit edilmişti. Avukat Çayır, benzer skandalların Türkiye’de ya da başka ülkelerde de ortaya çıkabileceğini belirtiyor.
TELEGRAM’DA UÇTAN UCA ŞİFRELEME BİLE YOK
Alternatif Medya Derneği’nden Diyar Saraçoğlu, Whatsapp’ın gizlilik sözleşmesini değiştirme kararıyla beraber Türkiye’de kişisel verilerin güvenliğinin ilk kez kitlesel anlamda konuşulmasının önemli bir adım olduğunu belirtiyor.
Whatsapp, uçtan uca şifreleme yöntemiyle kişiler ve gruplar arasındaki mesajların gizli kaldığı bir uygulama olsa da açık kod kaynaklı özgür bir yazılım değil. Saraçoğlu, “Bizim bir yazılımdan beklediğimiz açık kaynak kodlu ve özgür yazılım olma özelliğini Whatsapp sağlamıyor. Yani biz Whatsapp’ı kullanırken işin mutfağında, arka tarafında neler olduğunu bilemiyoruz" diyor.
Whatsapp gibi uygulamalar tarafından toplanan verilerin çok gelişkin algoritmalarla analiz edilerek şirketlere ya da şirketlerle bağlantılı siyasi aktörlere satılabileceğini belirten Saraçoğlu, bu denli yüksek bir maliyeti yalnızca ana akım siyasi aktörlerin karşılayabileceğini söylüyor: “Whatsapp’ın kullanım bilgilerinizi Facebook ve üst şirketlere vermesi artık Whatsapp’taki kullanım bilgilerinizin hedefli reklamcılık şirketleri tarafından işlenebilmesi anlamına geliyor. Böylece web'de geçirdiğiniz zaman boyunca hedeflenen reklamlara maruz kalmanız mümkün olacak. Bu noktada bu son güncelleme bizim açımızdan bir sorun teşkil ediyor.”
Son günlerde büyük bir dijital göçe sahne olan Telegram ise güvenli uygulamalar arasında yer almıyor. Whatsapp'ın aksine Telegram’da tekil ya da grup mesajlarında uçtan uca şifreleme özelliği direkt olarak kullanıcının karşısına gelmiyor. Bu özellik, kullanıcılar tarafından özel olarak seçilirse devreye giriyor. Saraçoğlu: “Whatsapp’la ilgili sorun yaşayıp Telegram’a geçtiğinizde anlık mesajlarınızın bile görülebileceği daha güvensiz bir hamlede bulunmuş oluyorsunuz. Telegram’ın bazı tarafları açık kaynak kodlu ama sunucu tarafı açık kaynak kodlu özgür yazılım değil. Bu da güvenlik tarafından çok büyük bir sorun teşkil ediyor.”
‘BİR UYGULAMANIN YERLİ VE MİLLİ OLMASI İMKANSIZA YAKIN’
Oturumda son günlerde yerli ve milli mesajlaşma uygulamaları olarak tanıtılan BİP, Dedi ve Yaay gibi platformların güvenli olup olmadığı da konuşuldu. “Bir uygulamanın yerli ve milli olması kanaatimce imkansıza yakındır” diyen Saraçoğlu, yazılım geliştirmede kullanılan programlama dilleri ve yazılım kütüphaneleri gibi teknik bileşenlerin ithal edildiğini ifade ediyor. “Yerli ve milli olmasını tercih etmekten ziyade açık kaynak kodlu özgür yazılım mı diye bakmakta fayda var.”
Oturuma katılan uzmanlar, kullanıcılara güvenliğin ön planda olduğu alternatif platformlar önermenin çok kolay olmadığını belirteseler de açık kaynak kodlu özgür bir yazılım olan Signal’in daha güvenli olduğu konusunda uzlaşıyorlar. 6-10 Ocak döneminde yaklaşık 7.5 milyon kişi tarafından indirilen Signal, bu artışla tarihinde bir ilki yaşadı. Saraçoğlu’na göre bu tercihin nedeni, Signal’in hem tekil hem de grup yazışmalarında uçtan uca şifreleme yöntemi varsayılan olarak kullanması, Whatsapp ve Telegram’ın aksine meta verileri kullanmayarak uygulama içinde şifrelemesi. Öte yandan hem işlemci hem de sunucu tarafında açık kaynak kodlu olan Signal’in teknik olarak nasıl işlediği de şeffaf bir şekilde görülebiliyor; “Kullanım kolaylığını ve kitleselleşebilme potansiyelini de göz önünde bulundurarak en tercih edilebilir uygulama Signal diyebilirim. Çok daha gelişkin uygulamalar yok mu? Var, ama kullanım konforu ve kitleselleşebilme potansiyelleri Signal kadar yüksek değil bence.”
‘HER AÇIK KAYNAK KODLU YAZILIM, ÖZGÜR YAZILIM DEĞİLDİR’
Bilgisayar Mühendisleri Odası’ndan Adil Güneş Akbaş, açık kaynak kodlu yazılım ve özgür yazılım kavramları arasındaki farkın önemli olduğunu ifade ediyor: “Açık kaynak kod şirketlerin daha çok kar amaçlı olarak öne çıkardığı bir akım diyebiliriz. Fakat her açık kaynak kodlu yazılım size özgür yazılımların verdiği kopyalama ve yeniden geliştirme izinlerini vermeyebilir. Bu tür özellikleri kullanabilmek için özgür yazılımları tercih ediyoruz.”
Signal’in iletişim ve ifade özgürlüğünü temel alan bir vakfa ait olduğunu belirten Akbaş, Signal’in isim hakkının bir vakfa ait olduğunu ancak kullanıcıların bir başka isimle Signal uygulamasını kopyalayıp geliştirme hakkına sahip olduğunu söylüyor. “Tek dikkat etmeniz gereken şey geliştirdiğiniz uygulamayı özgür yazılım olarak sunmanız. Signal ve diğer bütün özgür yazılımlar, özgür yazılım olarak kalmayı lisansları gereği garanti altına almış yazılımlardır.”
KİŞİSEL VERİLERİMİZİ NASIL KORURUZ?
Akbaş, güvenlik açığının yalnızca cep telefonuna yüklediğimiz mesajlaşma uygulamalarıyla sınırlı olmadığına dikkat çekiyor ve kişisel verileri daha iyi koruyabilmek için nelere dikkat etmemiz gerektiğini şöyle sıralıyor: “Öncelikle telefonumuza ya da bilgisayarımıza kurduğumuz uygulamaların hangi bilgileri istediğini dikkatli bir şekilde gözden geçirmeliyiz. Kullandığımız uygulama gerçekten o uygulamanın işleviyle ilgili mi izin istiyor, bu çok önemli. Siz cihazınıza sadece bazı görsel içerikleri görüntülemek istediğiniz bir uygulama kuruyorsunuz ama bu uygulama sizin konum bilgilerinize erişmek istiyor. Ne gereği var? Bir harita uygulaması kuruyorsanız onun konum bilginize ihtiyacı vardır ama onun dışındaki bir çok uygulamanın konum bilgisine ihtiyacı yoktur.”
“Önceden kurmuş olduğunuz uygulamalara verdiğiniz izinleri de düzenli olarak gözden geçirin çünkü zaman içerisinde izinler değiştirilip güncellenebiliyor. O yüzden verilmiş olan izinleri belirli aralıklarla kontrol etmekte yarar var.”