Whatsapp’ta ses analizi ve iletişimin takibi mümkün mü?

Geçtiğimiz günlerde İçişleri Bakanı Süleyman Soylu’nun “WhatsApp gruplarındaki kayıtlara yönelik ses analizine de başladıkaçıklamasının ardından CHP grup başkanvekili Özgür Özel, Twitter hesabından “WhatsApp gibi hizmetlerin devletin denetimine, izlemesine tabi olacağı bir düzenleme hazırlanıyor.” iddiasında bulundu. Bu açıklamaları Whatsapp’da virüs gibi yayılan kaynağı belirsiz komplo teorileri takip etti. Peki devletin teknik olarak Whatsapp’ı izleyebilmesi veya ses analizi yapabilmesi mümkün mü?

SES ANALİZİ

Konuya Ocak 2019’da Intercept dergisinde yayımlanan bir makaleyle başlayalım. İddiaya göre ABD’li mahkumların sesleri kayıt edilerek parmak izine benzer biyometrik bir “ses izi” oluşturuluyor ve tüm sesler büyük bir veritabanına kayıt ediliyordu. ABD Savunma Bakanlığı’nın 50 milyon dolar bütçe ayırdığı bu projede binlerce mahkumun sesi kaydedilerek büyük bir veritabanı oluşturulmuştu. Sonrasında bu veritabanı özellikle tehdit, şantaj veya dolandırıcılık için yapılan aramalarda şüpheli kimliklerinin tespitinde kullanılacaktı. Snowden’ın sızdırdığı bilgilere göre ise, 1985 yılından beri geliştirilen ve seslerinden kişileri tanımlamaya yönelik benzer teknolojilere NSA sıklıkla başvurmuş, hatta sistem El-Kaide örgüt liderlerinin tespitinde de kullanılmıştı. Bu teknolojinin İtalyan hapishanelerinde de kullanıldığı ve geliştirici Nuance ve Loquendo gibi firmalara ait ürünlerin Türkçe desteğine de sahip olduğu biliniyor.

Sistem basitçe, sahibini bilmediğiniz ses kaydı ile bildiğiniz ve elinizde bulunan ses kayıtlarını karşılaştırarak kimlik tespiti yapılmasına yarıyor. Whatsapp’da dolaşan bir ses kaydının kime ait olduğunun ses analizi ile tespit edilebilmesi de ancak benzer bir teknoloji ile, yani elde bulunan ses kayıtları ile karşılaştırma sonucu mümkün olabilir. Ben, Sayın Soylu’nun ses analizi açıklamasını COVID19 önlemleri kapsamında caydırıcı olması ve yalan yanlış bilgi içeren ses kayıtlarının yayılmasını önlemek amacı ile iyi niyetle yaptığını düşünüyorum. Daha doğrusu, halk arasında paniğe yol açabilecek sahte ses kayıtlarını oluşturanların, ihbar veya ilk kaynağına ulaşmak gibi geleneksel yöntemlerle tespit edildiğini düşünmek istiyorum.

Aksi halde bu açıklama, “Türkiye’de vatandaşların sesleri bir şekilde gizlice kayıt edilip bir ses veritabanı mı oluşturuldu?” sorusunu akıllara getirecektir. Sorunun devamında “hangi hukuki dayanakla?”, “kimlerin sesleri?” veya “GSM operatörleri bu işin neresinde?” gibi farklı sorulara cevap aranacaktır ki bu durumda konunun büyük bir skandala dönüşmesi kaçınılmaz olur. Umarım önümüzdeki günlerde söz konusu ses analizinin nasıl yapıldığına dair bir açıklama yapılır.

WHATSAPP İÇERİKLERİ NEREDE SAKLANIYOR?

Whatsapp Gizlilik İlkelerine göre mesajlar (sohbetler, fotoğraflar, videolar, sesli mesajlar, dosyalar ve konum paylaşım bilgileri) teslim edildikten sonra Whatsapp sunucularından siliniyor. Gönderilen bir mesaj herhangi bir şekilde teslim edilmezse en fazla 30 gün süre ile sunucularda saklanıyor. Ayrıca, uygulamanın 2 Nisan 2016 tarihinden sonraki sürümlerinde uçtan uca şifreleme özelliği varsayılan olarak aktif durumda. Bu özellik sayesinde şifreleme anahtarı, yalnızca mesajı gönderen kişide ve alıcı(lar)da bulunuyor. Mesaj, sunucuda değil telefonda çözüldüğünden üçüncü şahısların mesajı çözmeleri mümkün olmuyor ve aynı zamanda sunucularındaki bilgiler ele geçse dahi mesajlarınızın güvende olduğu anlamına geliyor.

MESAJLAR GÜVENDE AMA…

ABD’de yürütülen ve basına yansımış iki ayrı soruşturma Whatsapp’ın şifrelenmiş mesaj içeriklerini mahkemelere sunamadığını ortaya koydu. Meksika’lı bir uyuşturucu baronu ve DAEŞ’e militan toplayan Mufid Elfgeeh isimli şahıslar için yürütülen soruşturmalarda, FBI Whatsapp’tan bilgi talebinde bulunmuş fakat Whatsapp mesaj içeriklerini mahkemeye sunamamıştı. Bununla birlikte Whatsapp’ın “metadata” dediğimiz bazı bilgilerini mahkemelerle paylaştığını gördük. Bu bilgiler arasında şüphelilerin hesabı açtıklarındaki IP adresleri, adres defterindeki kişi kayıtları, hesabın en son ne zaman kullanıldığı ve Whatsapp iletişiminde kullanılan tarih ve saatler yer alıyordu. DAEŞ militanı şüpheli, verileri değerlendiren FBI tarafından yakalandı ve 22 yıl hapse mahkum edildi. Terörizm ve çocuk pornografisi konularında Whatsapp’ın sahibi olan Facebook şirketi Facebook’ta yapılan paylaşımlarda otomatik bildirimde bulunuyor, ayrıca uyuşturucu ve intihar içerikli paylaşımları tespit eden bir sisteme sahip fakat bu sistemler içerikler uçtan uca şifreleme ile gönderildiğinden Whatsapp’ta kullanılamıyor. Diğer soruşturmalar için ise Facebook’un mahkeme taleplerine nasıl cevap verdiği şirket tarafından her yıl yayımlanan Şeffaflık Raporu bize fikir veriyor. Rapora göre, Türkiye 2019 yılının ilk yarısında Facebook’tan 20’si acil 2060 istekte bulunmuş ve bu isteklerin %73’üne cevap verilerek kullanıcı bilgileri paylaşılmış. Bu rakama yalnızca Facebook ve Instagram hesaplarının dahil olduğunu belirteyim.

Sonuç olarak, soruşturma makamları yasal yollardan Facebook’a başvurarak Whatsapp kullanıcıların gerçek bilgilerini talep edebilir. Bu talebin karşılık bulup bulmayacağı ve işlemlerin ne kadar süreceği ise meçhul. Karşılık bulsa dahi Whatsapp içerikleri başvurucuya verilemeyecektir. Ayrıca bu tip başvurularda; siyasi ilişkiler, başvurucu ülkedeki hukuki durum, ifade özgürlüğü, kullanıcının güvenliği ve rejimin ne kadar otoriter olup olmadığı gibi konuların da değerlendirildiğini hatırlatayım. Benzer bir olay, 17/25 Aralık döneminde Twitter’dan hükümet alehine paylaşımda bulunan 3 hesap hakkında bilgi talebinde bulunulduğunda yaşanmış, Twitter bu hesapların ikisini askıya almış, birinin Türkiye’den görüntülenmesini engellemiş ama yine de kullanıcı bilgilerini paylaşmamıştı. Yasal yollar kullanılsa dahi, Facebook şirketinin Whatsapp’a ait kullanıcı bilgilerini terörizm ve çocuk pornografisi başvuruları haricinde paylaşmayacağını düşünüyorum.

DEVLET WHATSAPP İÇERİKLERİNİ İZLEYEBİLİR Mİ?

Kısa cevap “Hayır”. Whatsapp mesaj ve içerikleri gönderici telefonunu terk etmeden “signal” isimli protokol ile şifrelenir ve şifreleme ancak alıcı telefonunda çözülebilir. Telefonda bulunan özel anahtar haricinde, mesajları deşifre etmek için gönderici ve alıcı arasında değiştirilen 3 açık anahtardan biri tek kullanımlıktır ve her mesajda değişir. Son derece güvenli ve hızlı olarak bilinen Curve25519  isimli algoritma ile şifrelenen mesajlar bilinen bazı ataklarla, İnternet trafiği dinlenerek hatta Whatsapp sunucusunun ele geçirilmesinde dahi (özel anahtar yalnızca telefonda saklandığından) deşifre edilemez.

Aslında Whatsapp’da bir güvenlik açığı (arka kapı) olduğuna dair iddialar 3 yıl önce Guardian’da yayımlanan bir makalede de dile getirilmiş, ardından North Carolina Üniversitesi’nden Prof. Zeynep Tüfekçi’nin başını çektiği ve dünya çapında 72 uzmanın desteklediği açık mektupta bu makalede bahsedilen olayın bir güvenlik açığı olmadığını ortaya konulmuştu. Sonuç olarak Guardian hatasını kabul edip orijinal makaleyi düzeltmişti. Aylar sonra yayımlanan başka bir makalede bir Türk hükümet yetkilisinin bu hatalı makaleyi örnek göstererek vatandaşları Whatsapp’dan caydırmaya çalıştığı yazıyordu. Aynı tarihlerde yerli ve milli mühendislik ürünü ve “yerli Whatsapp” olarak şaşalı bir şekilde duyurulan PTT Messenger uygulamasından 2 yıldır haber alınamıyor ve sitesine halen ulaşılamıyor. (Aslında bakarsanız, PTT Messenger, Signal isimli açık kaynaklı uygulamanın biraz makyaj yapılarak Türkçeleştirilmiş kopyasından başka bir şey değildi!)

Bununla birlikte cep telefonu kullanıcılarına ait bazı veriler BTK ve GSM operatörlerde saklanmaktadır. Tıpkı ByLock uygulamasını kullananların tespit edildiği gibi, Whatsapp sunucularının kullandığı IP adres ve port bilgileri bilindiğinden; hangi telefon numarasının hangi baz istasyonundan sinyal alarak hangi tarih ve saatte ne kadar süre ile Whatsapp kullandığı tespit edilebilir fakat kullanıcıların kimlerle iletişimde olduğu ve mesaj içerikleri gibi verilere ulaşılamaz.

İstisnasız tüm devletlerin ve istihbarat örgütlerinin vatandaşlarını gözetlemeye çalıştığı aşikar ve bu konuda sabıkaları kabarık. Burada gözden kaçan, teknoloji kullanılarak yapılan benzer takip veya saldırılarda -genellikle sisteme muhalif- bir kişinin veya küçük bir grubu hedef alındığıdır. OdaTV’ye gönderilen virüs, FETÖ mensubu polislerin İtalya’dan aldığı casus yazılımın kullanımı, adalet yürüyüşünde veya Cemal Kaşıkçı’nın telefonuna yüklenen casus yazılımlar bu tespite ayrı ayrı örneklerdir. Benzer saldırıların en karmaşık örneği olan Stutnex solucanı dahi yalnızca İran’ın nükleer tesislerini hedef almıştır.

Sonuç olarak; hiçbir sistemin %100 güvenli olmadığını, sistemlerde bilinmeyen zaafiyetler olabileceği veya her an yeni açıkların keşfedilebileceğini hatırlatarak, şu anki şartlarda Türkiye’nin Whatsapp içeriklerini toptan gözetlemesi ne teknik olarak ne de altyapı olarak ne de hukuki olarak mümkün değilden öte imkansıza yakındır. Yalnızca 250 bin kullanıcısı olan ByLock soruşturmalarında dahi aradan geçen 3 yıla karşın yapılan hatalar önümüzde dururken, Türkiye’de yaklaşık 45 milyon kişi tarafından kullanılan ve ByLock ile kıyaslanamayacak düzeyde güvenli Whatsapp’dan bahsediyoruz. Anlaşılan o ki, birileri kontrol edip izleyemediği sistemi, korkutup caydırarak kullandırtmamaya çalışırken, diğerleri de bu desteksiz söylemlere alet olarak bilgi kirliliğine neden oluyor. Bundan sonra duyacağınız Whatsapp yazışmaları nedeni ile gözaltına alınanlara dair haberlerin arkasından muhtemelen ihbarlar ve muhbirciliğe meyilli vatandaşlarımız çıkacaktır.

WHATSAPP MESAJLARINA ULAŞMANIN FARKLI YOLLARI VAR MI?

Bazı durumlarda evet. Öncelikle telefonun fiziksel olarak ele geçirilmesi veya Whatsapp Web kullanımı için gereken ve yine telefon üzerinde oluşturulan QR koda sahip olmak gerekiyor. Telefon fiziksel olarak ele geçirilse dahi bazı marka ve model telefonların şifreleri açılamadığından Whatsapp içeriklerine erişmek, şifreler açılsa dahi bazı durumlarda şifreleme anahtarını içeren dosyaya erişmek mümkün olmuyor. Sim kartın klonlanması, cep telefonunda bulunan casus yazılımlar veya kullanıcı adı ve şifrelerin bilinerek Google Drive veya iCloud üzerinde saklanan Whatsapp yedeklerine erişilmesi gibi bazı durumlarda da veriye erişmek mümkün fakat çok düşük olasılık. Örnek olarak, Rus Büyükelçi Karlov’u öldüren zanlının 2011 model iPhone 4s telefonunun şifrelerinin açılamamasını verebiliriz.

WHATSAPP’TA YAPILAN PAYLAŞIMLAR GÜVENLİ Mİ?

Teknik olarak son derece güvenli görünse de Whatsapp veya herhangi bir mesajlaşma uygulaması pratikte güvenli değildir. Kullandığınız telefon ve uygulama güvenli olsa dahi mesajı gönderdiğiniz kişi veya kişilerin durumunu bilemezsiniz. Whatsapp gruplarına gönderdiğiniz bir mesaj, gruptaki herhangi birinin telefonu ele geçirildiğinde deşifre olabilir veya herhangi bir grup üyesi tarafından şikayet konusu edilebilir. Bu nedenle, herhangi bir uygulama üzerinden kişisel bilgilerinizi ve mahremiyetinizi tehlikeye atacak veya suç unsuru teşkil edebilecek hakaret, iftira, nefret söylemi vb. içerikleri paylaşmamak -özellikle kalabalık gruplarda- en güvenli yoldur.

HUKUKİ DURUM

Teknolojinin iletişimi toptan gözetlemek için hızla geliştiği ve devletlerin vatandaşlarının mahremiyet, ifade özgürlüğü ve bilgi edinme haklarını ihlal etmek için giderek daha fazla iştah duyduğu bir dönemde yaşıyoruz. Devletlerin toptan iletişimi gözetlemeleri; en başta özel hayatın gizliliği ve haberleşme özgürlüğü olmak üzere anayasa maddelerine, Evrensel İnsan Hakları Beyannamesi ve taraf olduğumuz çok sayıda uluslararası sözleşmeye aykırıdır. Teknik olarak zaten mümkün olmayan böyle bir düzenleme yapılsa dahi AYM’nin bu uygulamayı iptal edeceği açıktır.

Whatsapp içeriklerinin mahkemelerce delil olarak kabul edilmesi ve “hukuki delil” niteliğinde olabilmesi için ise öncelikle ilgili delile bir mahkeme veya savcılık kararı ile el konulması gerekir. Fakat Türkiye pratiğinde, resmi bir karar olmadan veya deliller ele geçtikten sonra ilgili kişi ihbar edilerek “hukuki delil” kavramının arkasından dolaşıldığını görüyoruz. Ayrıca, sanılanın aksine telefon ele geçirilmiş olsa dahi Whatsapp güncel veya silinmiş yazışmalarına ulaşmak teknik olarak kolay değildir. Bu veriye ulaşmmak; telefonun marka, model, işletim sistemi sürümü ve hatta içerik silindikten sonra telefonun ne kadar süre ile kullanıldığına göre değişir.

NE YAPMALIYIM?

Cep telefonu kullanıcısı olarak alabileceğiniz bazı basit güvenlik önlemleri var.

  • Kaynağını bilmediğiniz ve güvenmediğiniz içerikleri paylaşmayın, her okuduğunuza hatta gördüğünüze inanmayın.
  • Aynı şekilde, uygulama mağazalarından rastgele program, oyun vb indirip kurmayın, hemen her uygulamanın alternatifi bulunuyor, bilinir ve güvenilir olanları tercih edin.
  • Uygulama kurulumlarında onay verdiğiniz erişim izinlerine dikkat edin. Telefonunuzun adres defterine, hafıza kartına, kamera veya mikrofonuna erişim izni isteyen uygulamaları özellikle sorgulayın.
  • Telefonunuzda parmak izi okuyucu varsa, WhatsApp uygulaması üzerinden Ayarlar – Hesap – Gizlilik altındaki parmak izi ile doğrulamayı aktif edebilirsiniz. Parmak izi ile doğrulamayı açtığınızda WhatsApp her açılışta sizden parmağınızı okutmanızı isteyecektir.
  • Whatsapp’ın Whatsapp Web/Masaüstü menüsü altındaki giriş yapan cihazları kontrol edin ve hatırlamadığınız cihaz varsa tüm cihazlardan çıkış yapın. Kamuya açık bilgisayarlarda Whatsapp Web/Masaüstü kullanmamaya çalışın. Whatsapp QR kodunu kimse ile paylaşmayın.
  • Telefonda kullandığınız ana e-posta hesabının (Gmail, iCloud vb) şifresini daha önce başka bir yerde kullanmadığınız güçlü bir şifre ile değiştirin. Şifrelerinizi hiç kimse ile paylaşmayın, kağıtlara not almayın.
  • 4 haneli rakam veya desenden oluşan ekran şifrelerinizi daha güçlüleri ile değiştirin.
  • Telefon işletim sistemini güncelleyin. Android 7.0 veya iOS 9 altındaki sürümlerde “disk şifreleme” özelliğini aktif hale getirin. Eğer bu özellik desteklenmiyorsa çeşitli şifre uygulamalarından edinebilirsiniz.
  • Virüs ve casus yazılımlara karşı güvenilir ve bilinen koruma uygulamalarından kullanın ve düzenli aralıklarla bu uygulamaları güncelleyin.