Jason Li ve Lokman Tsui tarafından yazıldı. Bu yazının orijinal versiyonu, Çince yazılmış, 4 Ağustos 2016 tarihinde inmediahk.net tarihinde yayınlanmıştır. İngilizce versiyonu Global Voices’da bir içerik ortaklığı anlaşması kapsamında yayınlanmaktadır.
Hong Kong’da bu yılki yıllık 1 Temmuz yürüyüşünde, protesto liderleri mobil sohbet uygulaması Telegram için büyük bir itme yaptı, ama tüm yanlış nedenlerle. Miting, İngiltere’nin 1997 yılında Hong Kong üzerindeki iktidardan vazgeçmesinden bu yana her yıl gerçekleşti.
Hong Kong Adası’nı geçerken megafondaki sesler bağırmaya devam etti, “Telgrafı indir, WhatsApp’tan daha güvenli!”
Vatandaş Veri adlı bir sivil grup protestocuları, protestoya “check-in” yapabilmemiz için Telgrafı indirmeye ve coğrafi konum işlevini etkinleştirmeye çağırdı.
Yolda çeşitli siyasi ve sivil toplum gruplarının kabinlerinden geçerken, bize Telgraf botlarıyla arkadaş olmamızı söylediler (görüntü aramaları veya RSS benzeri güncellemeler gibi basit işlevleri yerine getiren otomatik Telegram hesapları.) Bir bot, katılımcıların yürüyüşte katılımlarına işaret etmelerine izin verdi. Bir başka seçmenleri yaklaşan Yasama Konseyi seçimlerinde en iyi seçimleriyle ilgili olarak anket yaptı.
Hong Kong Adası’nı geçerken megafondaki sesler bağırmaya devam etti, “Telgrafı indir, WhatsApp’tan daha güvenli!”
Bu yeni kök örgütleme araçları heyecan verici görünse de, protestocuları önemli bir bilgi parçası hakkında yanıltıyorlardı: Telgraf Whatsapp’tan daha güvenli değil. Birçok durumda, daha da kötüdür.
Telgraf ilk kez 2013 yılında hızlı, kullanıcı dostu “ücretsiz ve güvenli” mesajlaşma uygulaması olarak teknoloji sahnesinde dalgalar yaptı. Veri güvenliği, özellikle şifreleme özellikleri, teknoloji medya tarafından büyük satış noktalarından biri olarak vurgulandı
Ününe rağmen, Telegram’daki birçok konuşma uçtan uca şifrelenmez — başka bir deyişle, güvenli değildir. Ve işleri daha da kötüleştirmek için, şirket bazı kullanıcıların bilgi ve mesajlarını, bazı durumlarda diğer kullanıcılara maruz bırakmasına neden olan teknolojisi ile ilgili sorunlar için bir itibar geliştirdi.
Geçtiğimiz yıl boyunca Global Voices, Telegram kullanıcılarının birden fazla örneğini uygulamanın güvenliğiyle ciddi bir sorun yaşadığını bildirdi. Rusya’daki telgraf kullanıcıları — bazıları gazeteciler ve aktivistler — hesaplarının hacklendiğini bildirdi. Ukrayna’daki bir başka kullanıcı, parçası olmadığı bir grup için Telgraf uygulaması aracılığıyla özel grup mesajları aldığını bildirdi. Ve İran’da şirketin, platformda engellenmesi için belirli materyallerin — özellikle botların — hükümetin taleplerine uyması konusunda endişeler yaşandı.
Telegram’ın sorunu ne?
Telgramın şifreleme teknolojisi tamamen açık kaynak değildir — bu, şirket dışındaki güvenlik uzmanlarının nasıl yapıldığına dair tüm detayları göremediği anlamına gelir. Sektördeki en iyi uygulamalar, şifreleme teknolojisinin açık kaynaklı olması ve kamuya tamamen erişilebilir olması gerektiğini, böylece diğer programcılar ve güvenlik araştırmacıları tarafından bağımsız olarak test edilip doğrulanabilmesini sağlar. Telegram mesajlaşma teknolojilerinin güvenli olduğunu söylese de bunu bilmenin bir yolu yok. Sadece onlara güvenmelisin.
Buna karşılık, Signal ve ChatSecure gibi uygulamalar kodlarını çevrimiçi olarak yayınladılar, böylece teknik bilgi birikimine sahip herkes bunu herkese açık olarak inceleyebilir (ve eleştiri yapabilir).
Telegram’a güvenseniz bile, güvenlik özellikleri sınırlıdır.
- Telegram’da sadece “Yeni Gizli Sohbetler” güvenlidir. Varsayılan olarak, Telegram’daki konuşmalar uçtan uca şifreleme ile korunmaz. Bu, yalnızca bir sohbete başlamadan önce “Yeni Gizli Sohbet” i açarsanız garanti edilir. Konuştuğumuz birçok kişi bu tutarsızlığın farkında değillerdi — Telegram içindeki tüm iletişimin “otomatik” güvenli olduğunu düşünüyorlar.
- Grup sohbetlerinde uçtan uca şifreleme desteği yoktur. Birden fazla kişiyi içeren konuşmalar için “gizli sohbet” seçeneği yoktur.
- Botlarla yapılan konuşmalar da uçtan uca şifrelenmez. Herhangi bir konuşmanın veya botlarla etkileşimin uçtan uca şifrelendiğine dair bir belirti yoktur.
Araştırmacılar ayrıca, uygulamanın kullanıcıların meta verilerini (kimlerle ve ne zaman iletişim kurdukları hakkındaki bilgileri) topladığını doğruladılar. Telegram kullanıcılarının birbirlerinin iletişim alışkanlıklarını izlemelerini nispeten kolaylaştıran.
Hong Kong’a dönersek, protesto durumunda bu sorunların nasıl daha da kötüleşebileceğini görmek çok kolay. Bir uygulama kolayca hacklenebilirse, organizatörlerin protestocuları paylaşmaya çağırdığı tüm bilgiler (konumları da dahil) potansiyel olarak yanlış kişiye veya hükümet makamlarına maruz bırakılabilir. Konum verileri, belirli bir kullanıcıya kadar takip edilebileceği ve kişisel güvenliği tehlikeye atabileceği için çok hassastır.
Hong Kong’da politik aktivizm yapan herkes bilir ki bu tür ihlallerin sonuçları ciddi olabilir.
İronik bir şekilde, yürüyüşte eleştirilen WhatsApp, grup sohbetleri de dahil olmak üzere tüm konuşmalarına otomatik olarak uçtan uca şifreleme uygular. (Bu özellik sadece Nisan ayında bu yılın başlarında kullanıma sunuldu.)
WhatsApp sadece tüm mesajlarını şifrelemekle kalmaz, aynı zamanda Açık Fısıltı Sistemleri adı verilen kar amacı gütmeyen gruplar tarafından geliştirilen açık kaynak, kamuya açık olarak belgelenmiş Sinyal protokolünü kullanarak da yapar. Ne yazık ki, WhatsApp’ın kendisi açık kaynak değildir, bu nedenle protokolün uygulama sırasında kurcalanmadığının garantisi yoktur. Şimdiye kadar, faul olduğuna dair bir kanıt yok ve Açık Fısıltı Sistemleri’nden ekip ortaklık ve uygulama süreci hakkında halka açık bir yazı yazdılar. Ancak teknik kodunu kamuoyuna getirmeyen Telegram’dan kesinlikle daha kötü değil.
Maksimum güvenlik için Open Whisper System’in Signal Private Messenger uygulamasını kullanmanızı öneririz. Sinyal yukarıdan aşağıya açık kaynaktır — şifreleme için kullandıkları teknoloji ve diğer her şey hakkında tamamen şeffaftır. Ama kar amacı gütmeyen, açık kaynaklı bir proje olduğu için, çan ve ıslık (çıkartmalar gibi) ve Telgraf ve WhatsApp gibi ticari sohbet uygulamalarının kullanıcı tabanından yoksun. Birçok Hong Konger için, Signal bu nedenlerden dolayı itiraz etmez. Birçoğu bunun yerine Telegram’a daha güvenli bir alternatif olan WhatsApp’ı kullanmayı tercih ediyor. Signal gizlilik korumalarından bazılarını yoksun olsa da, açık ve hakemli bir şifreleme protokolü kullanan yaygın olarak kullanılan tek sohbet uygulamasıdır.
Telgraf 2013 yılında güvenlik özelliklerini tanıtmada yanlış değildi — mobil sohbet uygulamalarında uçtan uca şifreleme o zamanlar nadirdi. Ancak o zamandan beri, diğer sohbet uygulamaları yakalandı ve birçok durumda güvenlik özelliklerini aştı. Bu, Telegram’ın kendi yararları olmadığı anlamına gelmez — ne Whatsapp ne de Signal kanallar (genel gruplar) veya botlar için desteğe sahip değildir ve Telegram’ın konuşmalar için kullanışlı, Snapchat benzeri, kendini yok etme özelliği vardır. Ancak Telgrafı, rezervasyonsuz, protestoculara ve aktivistlere tavsiye etmek sadece sorumsuzdur.
Vatandaş Laboratuvarı ve Profesör Jedidiah Crandall’a bu yazı için bazı arka plan araştırmalarında bize yardımcı olduğu için teşekkür ederiz.
Kaynak https://globalvoices.org/2016/08/09/dear-hong-kong-activists-please-stop-telling-everyone-telegram-is-secure/
