Füsun Sarp Nebil

13 Eylül 2019

Cumhurbaşkanlığı'nın Whatsapp kararı, kendi genelgesi ile çelişiyor

Siz "Uçtan uca haberleşiyoruz, sadece biz görüyoruz" diye düşünürken, haberleşmenin arasına giren bir kişi, her iki tarafın mesajlarını görebilir ve kaydedebilir hale geliyor

Temmuz başında Cumhurbaşkanlığı tarafından, içinde 21 madde yer alan bir "Bilgi ve İletişim Güvenliği Genelgesi" (BİGG) yayınlanmıştı. Biz de bu genelgeyi "önemli" olarak değerlendirmiş. Ancak "30-40 hatta 20 yıl önce uygulanması gerekirdi, şimdi bu saatten sonra nasıl uygulanacak" demiştik [1].

Biz eskilerin (yazılım ve donanım) nasıl değişeceğini düşünerek bu cümleyi kullanmıştık. Ama bırakın eskileri, yeni süreçler için de, bu genelgeye pek uyulmayacağı, Cumhurbaşkanlığının dünkü büyükşehir belediye başkanları toplantı sonrasında yapılan açıklama ile ortaya çıktı.

Cumhurbaşkanı Erdoğan'ın büyükşehir belediye başkanlarıyla yaptığı toplantı hakkında konuşan Kayseri Büyükşehir Belediye Başkanı Memduh Büyükkılıç, başkanların yer aldığı bir Whatsapp grubu kurulacağını söyledi. Yani başkanlar birbiriyle anlık mesajlaşacaklar. Bu grubun içinde Cumhurbaşkanı Erdoğan da yer alacak.

Oysa Cumhurbaşkanlığı BİGG Genelgesi’nde, merkezi ve yerel yönetimler için getirilen ve bu duruma aykırı olarak şöyle bir madde var [2];

Madde 6 - Sosyal medya ve haberleşme uygulamalarına ait yerli uygulamaların kullanımı tercih edilecektir.

Ama yetmez, büyükşehir belediye başkanları kendi aralarındaki bu WhatsApp mesajlaşma yazılımında acaba hiç mi, gizli bir şey konuşmayacaklar? Bakın gizliliğe dair de şu maddeler var;

Madde 2 - Kamu kurum ve kuruluşlarına ait veriler, kurumların kendi özel sistemleri veya kurum kontrolündeki yerli hizmet sağlayıcılar hariç bulut depolama hizmetlerinde saklanmayacaktır.

Madde 4 - Mevzuatta kodlu veya kriptolu haberleşmeye yetkilendirilmiş kurumlar tarafından geliştirilen yerli mobil uygulamalar hariç olmak üzere, mobil uygulamalar üzerinden, gizlilik dereceli veri paylaşımı ve haberleşme yapılmayacaktır.

Madde 5 - Sosyal medya üzerinden gizlilik dereceli veri paylaşımı ve haberleşme yapılmayacaktır.

WhatsApp güvenilir mi?

Bu noktada WhatsApp uygulamasının kullanımının "YERLİ OLMADIĞI" sakıncası dışında, güvenlik sorunu da taşıdığını hatırlatalım.

WhatsApp uçtan-uca haberleşme uygulaması olarak, veri depolama yapmıyorlar. Yani WhatsApp kendisini şöyle tanıtıyordu:

"Mesajlar uçtan-uca" gidiyor. Bilgiler sunucularda saklanmıyor. Sizin kendi mesajlarınız ve karşıdan gelen mesajlar uçtaki yani sizin ve görüştüğünüz kişilerin telefonları dışında bir yerde saklanmıyor."

Bu uzunca bir süre herkes için "güvenli" anlamına geliyordu. Ancak mayıs ayında WhatsApp, sesli aramalar yoluyla hem Android hem de iOS telefonlara casus yazılım yüklenmesine müsaade eden bir büyük açığı olduğunu kabul etti [3].

Bu açık sayesinde "Man In The Middle" denilen saldırı mümkün olabiliyor [4]. Yani siz; "Biz uçtan uca haberleşiyoruz, sadece biz görüyoruz" diye düşünürken, haberleşmenin arasına giren bir kişi, her 2 tarafın mesajlarını görebilir ve kaydedebilir hale geliyor.

İlgili casus yazılımın çok gelişmiş bir siber aktör olarak tanımlanan İsrailli “NSO Group” tarafından geliştirildiği iddia edildi. Biz bu grubu ve yazılımları olan Pegasus’u daha önce inceledik ve çeşitli olaylarda suçlu görüldüklerini birçok haberimizde yayınladık, sürekli okurlarımız hatırlayacaklardır [3].

Bu olayın özeti, "Whatsapp artık güvenilir değil."

PTT Messanger, BİP Messanger güvenli mi?

Ha bu arada neden "yerli" ve hatta ikisi de "% 100 milli" diye adlandırılan PTT Messanger ya da Turkcell'in BİP Messanger'i kullanılmıyor diye düşünüyorsanız…

PTT Messanger'ın yerli olduğu (ismi bile Türkçe değil) konusu zaten bir kandırmacaydı. Zebra Messanger denilen bir uygulamanın arayüzü kullanılarak yapılmıştı [5].

BİP Turkcell ise ne kadar yerli olduğunu ve teknolojisinin ne düzeyde olduğunu, güvenliğini, bir uzmanın incelemesinden okuyalım [6].

En son kendilerine kurumsal iletişim müdürlüğü kanalıyla şubat ayında yolladığımız 13 tane sualimizin 6’sı BİP'le ilgili ve şöyleydi: BİP verileri sadece Turkcell’de mi kalıyor, yoksa herhangi bir veri (konuşmalar ya da kullanım bilgisi) üçüncü parti bir kurumla (kamu ya da özel) paylaşılıyor mu?

  1. 110 milyon kez indirilen uygulamaların günlük ve aylık tekil kullanıcı sayıları nedir? 110 milyon sayısına Android güncellemeleri de dahil midir?
  2. BİP verileri Hollanda'daki sunucularda mı tutulmaktadır?
  3. BİP neden bir Türk firması tarafından değil, LifeCell Ventures Cooperatief UA tarafından sunulmaktadır? Avantajı nedir?
  4. BİP için uçtan uca şifrelemeyi geliştirerek son kullanıcıların gizliliğini korumaya önem verecek misiniz? Planlarınızda var mıdır?
  5. Turkcell networkünde Whatsapp mesajlarını test eden okuyucularımız, örneğin Vodafone üzerindekine nazaran 3 sn gecikme olduğunu tespit ettiler… Bu doğru mudur? Bunun nedeni nedir acaba? Networkünüzün Vodafone'dan daha yavaş olduğuna mı işaret ediyor? b. Daha korkutucu olarak, araya biri mi giriyor (man in the middle) c. Ya da rekabet nedeniyle (BİP) bilerek mi geciktiriyorsunuz?
  6. Turkcell teknoloji olarak, ARGE mi, ÜRGE mi yapıyorsunuz? Yaptığınız ürünlerle yerli üreticilere rakip olduğunuz oluyor mu?

Bunlara hiç cevap alamadık. Muhtemelen buralarda da sorun var.

Bizim düşüncemiz, Cumhurbaşkanlığının kendi genelgesine uymaya devam etmesi yönünde. Eğer ülkemizin bilişim ve iletişim güvenliğini düşünüyorsak, bu genelge gerçekten değerli.

Bu genelgenin önünde, zaten şu anda bile zorluklar var. Bunun önünde bari bundan sonra zorluklar çıkarmayalım.

Güncelleme: Cumhurbaşkanlığı Digital Dönüşüm Ofisi yazı sonrası arayarak, Büyükşehir Belediye Başkanlarının toplantısı sırasında "Whatsapp" kelimesi geçmediğini, "Whatsapp"ın açıklamayı yapan büyükşehir belediye başkanının kendi yorumu olduğunu söylediler. Cumhurbaşkanı Erdoğan'ın da Whatsapp demediğini ilettiler. Sadece bir grup kurulması gerektiği konuşulmuş.

14 Eylül 2019 güncelleme: PTT Genel Müdürlüğü doğrudan ve dolaylı olarak yazımızla ilgili olarak aradı, aşağıdaki notları ilettiler ve bizi PTT Genel Müdürlüğü'ne davet ettiler;
* Markamız 1 seneden fazladır "PTT Messanger" değil "PTT Tel" ve marka tescilimiz de var.
* "PTT Tel" stratejisi son kullanıcıya değil Kurum içi kullanıma yönelik hazırlandı. Cumhurbaşkanı Yardımcısı Fuat Bey'in onayıyla tüm kamu kurumlarına kurum içi kullanımı için ücretsiz kuruluyor artık!
* "PTT Tel" yazılımı tamamen milli mühendislik kabiliyetleri ile geliştirilmiştir. Kodları da kamuya ve teknik yetkin kişilerin denetimine ve incelemesine de açık durumdadır. Önümüzdeki günlerde PTT Genel Müdürlüğünü ziyaret ederek, PTT'nin uygulaması okuyucularımızı bilgilendireceğiz.


[1] Cumhurbaşkanlığı, Bilgi ve İletişim Güvenliği Tedbirleri Genelgesi Yayınladı

[2] Cumhurbaşkanlığı Bilgi ve İletişim Güvenliği Tedbirleri Genelgesi Hakkında Düşünceler

[3] Whatsapp’ı “Kaşıkçı” ve “Jeff Bezos”u Vuran NSO Group Hackledi

[4] Ortadaki Adam Saldırısı (MiTM)

[5] PTT Messanger’in Yerli Uygulama Olmadığı Ortaya Çıkınca, ‘Kurumsal Uygulamamız’ Denilmeye Başlandı

[6] Turkcell BIP Teknik ve Teknolojik Incelemesi