Birleşik Krallık dünya genelinde güvenliği zayıflatıyor

• Bu hafta Birleşik Krallık tüm dünyayı tehlikeye attı
• 2016 tarihli Investigatory Powers Act kabul edilerek Birleşik Krallık’ın elektronik gözetim yetkileri büyük ölçüde genişletildi
• Kısa süre önce Birleşik Krallık, Apple’a iCloud’a bir şifreleme arka kapısı eklemesini emretti ve bunu kamuya açıklamamasını istedi
• Apple bugüne kadar hükümetlerin arka kapı taleplerini reddetmişti, ancak bu kez Birleşik Krallık’taki kullanıcılar için iCloud şifrelemesini tamamen kaldırmaya karar verdi

Gelişmiş Veri Koruması

• Şifreleme, verileri yetkisiz kişilerin okuyamayacağı hale getiren bir teknolojidir
• Modern cihazların ve internet trafiğinin büyük kısmı şifrelenmiştir, ancak hizmet sağlayıcılar çoğu zaman yine de erişim sağlayabilir
• Bazı sağlayıcılar uçtan uca şifreleme (E2EE) uygulayarak verilerin yalnızca kullanıcı cihazlarından erişilebilir olmasını sağlar
• Apple’ın Gelişmiş Veri Koruması (ADP) programı 2022’de kullanıma sunuldu ve e-posta, kişiler ve takvim dışında neredeyse tüm iCloud verilerini E2EE ile şifreledi
• Ancak Birleşik Krallık’ın talebi nedeniyle Apple, ADP’yi Birleşik Krallık’ta kaldırdı

Arka kapılar & Salt Typhoon

• Arka kapı nedir?
  • Arka kapı, şifreleme ya da yazılım içinde geliştiricinin doğrudan erişebilmesi için oluşturulan gizli bir yol anlamına gelir
  • Genellikle kullanıcı onayı olmadan sessizce çalışır; bu da gönüllü olarak verilen teknik destek erişiminden farklıdır
• Arka kapılar sadece 'iyi insanlar' tarafından mı kullanılabilir?
  • Siyasetçiler ve hükümet yetkilileri sık sık arka kapıların "iyi amaçlar" için gerekli olduğunu savunur, ancak bu gerçekte mümkün olmayan bir kavramdır
  • Fiziksel arka kapılarda olduğu gibi, yazılım arka kapıları da kötü niyetli saldırganları engelleyemez
  • Kötü niyetli aktörler yazılım açıkları bularak ya da phishing saldırılarıyla kullanıcı hesaplarını ele geçirerek bunları aşabilir
• Arka kapılar herkes tarafından kötüye kullanılabilir
  • İç tehdit (insider threat) gerçektir ve güvenilmez çalışanlar arka kapıları kötüye kullanabilir
  • Örneğin Yahoo’daki bir mühendis kullanıcı hesaplarını hackleyerek özel fotoğrafları çalmıştı
• Salt Typhoon olayı (2024 ABD telekom ağları hack olayı)
  • 2024’te Çin hükümetinin ABD ve çeşitli ülkelerdeki telekom ağlarını hacklediği ortaya çıktı
  • ABD’de en az 9 büyük telekom şirketi (Verizon, T-Mobile, AT&T vb.) saldırıya uğradı ve bu saldırıda kolluk kuvvetleri için tasarlanmış arka kapılar istismar edildi
  • Bu arka kapılar aslında mahkeme onaylı dinlemeler için tasarlanmıştı, ancak sonunda Çin devletine bağlı hackerlar tarafından da aynı şekilde kullanıldı
  • Bu süreçte Başkan Donald Trump, Başkan Yardımcısı Kamala Harris gibi üst düzey isimlerin arama kayıtları ve mesajları sızdırıldı
• 'Sadece iyi insanların kullanacağı arka kapı' fikri bir kurgudan ibaret
  • Salt Typhoon olayı, arka kapıların eninde sonunda kötüye kullanılacağının kesin kanıtıdır
  • Siyasetçilerin "arka kapılar güvenlidir" demesi, gerçek hayatta unicorn ve orkların var olduğunu söylemekten farksızdır

Daha geniş bağlamda arka kapı sorunu

• Birleşik Krallık’ın Apple’a arka kapı dayatmasının yanlış olduğunu kabul etsek bile, bunun etkisi yalnızca Birleşik Krallık kullanıcılarıyla sınırlı değil
• Bu olay basit bir münferit örnek değil; daha büyük bir örüntü içinde anlaşılmalı
• PGP ve Crypto Wars
  • PGP (Pretty Good Privacy), 1991’de yayımlandıktan sonra ABD hükümeti tarafından silah muamelesi görerek düzenleme konusu yapıldı
  • Mahkemede "code is speech" kararı verilmesiyle, şifreleme teknolojilerinin geniş çapta yayılmasının önü açıldı
  • Bu karar sayesinde bugün TLS, AES gibi teknolojiler yaygınlaştı ve güvenli çevrim içi alışveriş ile veri depolama mümkün hale geldi
  • Bu dava EFF’yi (Electronic Frontier Foundation) tanınır hale getiren dönüm noktalarından biri oldu; o dönemde hukuki temsilci, bugün EFF’nin direktörü olan Cindy Cohn’du
• Şifreleme savaşları sürüyor
  • ABD’de de arka kapı uygulamalarıyla ilgili tartışmalar devam ediyor
    • Trump yönetimi döneminde Adalet Bakanı William Barr arka kapıları güçlü biçimde destekledi
    • Biden yönetimi de 2022’de Kids Online Safety Act ile şifrelemenin zayıflatılmasına dolaylı destek verdi
    • EARN IT Act, STOP CSAM Act gibi daha sert düzenleme tasarılarına Biden’ın yaklaşımı belirsizliğini koruyor
• Avrupa’da da dijital güvenliğe yönelik tehditler artıyor
  • Chat Control: Avrupa’da mesajlaşma uygulamalarında (WhatsApp vb.) çocuk cinsel istismarı materyali (CSAM) tespitini zorunlu kılacak yasa teklifleri sunuldu
  • Apple da geçmişte benzer bir sistemi devreye almaya çalışmış, ancak teknik kusurlar ve kötüye kullanım ihtimali nedeniyle bundan vazgeçmişti
  • Buna rağmen bu tür girişimler sürekli tekrar ediyor ve yeniden gündeme geliyor
• Birleşik Krallık hükümeti, #NoPlaceToHide kampanyasıyla şifreleme kullananları suçlu gibi göstermeye bile çalıştı
  • Çevrim içi anonimliği ortadan kaldırma girişimleri ve geniş kapsamlı sosyal medya gözetim programları gibi mahremiyet ihlali politikaları tüm dünyaya yayılıyor
  • Birleşik Krallık’ın Apple’dan talebi yalnızca kendi vatandaşlarına yönelik değil; küresel dijital mahremiyete dönük bir başka saldırı ve aynı zamanda başarılı bir emsal olma potansiyeli taşıyor

Ne yapılabilir?

• Salt Typhoon ve veri sızıntısı örnekleri düşünüldüğünde, arka kapıları savunan kişilerin ya teknik anlayışının yetersiz olduğu ya da bunu bilerek dayatmaya çalıştığı görülüyor
  • Birleşik Krallık hükümetinin şifrelemeyi tehdit olarak görüp zayıflatmaya çalışması, sonuçta kullanıcı verilerini daha savunmasız hale getiriyor ve diğer ülkelere de benzer girişimler için gerekçe sağlıyor
• Apple’ın Birleşik Krallık pazarından çekilmesinin hukuki mücadeleye yönelik bir strateji olabileceği yönünde spekülasyonlar var, ancak bunu destekleyen güvenilir kanıt bulunmuyor
  • Eğer Apple hukuki mücadele verip kazanırsa, bu mahremiyetin korunması açısından önemli bir dönüm noktası olabilir
  • Geçmişte PGP şifrelemesi ve Phil Zimmermann örneğinde olduğu gibi, hukuki bir zafer dijital mahremiyetin korunması için emsal oluşturabilir
  • Bir ülkenin, özellikle de güçlü bir ülkenin attığı adımlar diğer ülkeleri de etkiler ve bu etki çoğu zaman olumsuz yönde olur
• Kullanıcıların atabileceği adımlar
  • iCloud kullanımını bırakmak:
    • Apple’ın Advanced Data Protection (ADP) özelliği bazı ülkelerde hâlâ sunuluyor olsa da, tüm verileri buluta emanet etmek güvenilir bir tercih değil
    • Fotoğraflar, takvimler, notlar ve sürücü depolaması gibi veriler daha güvenilir alternatif hizmetlere taşınabilir
    • Mahremiyet ve güvenliği önceleyen alternatif hizmetler listesi
  • Kolayca yeniden üretilemeyen verileri cihazda saklamak ya da hiç kullanmamak
    • Sağlık verileri, bildirimler ve dijital cüzdan gibi hizmetler için verileri cihazda tutmak veya bu hizmetleri hiç kullanmamak düşünülebilir
    • Apple Wallet’ın pratikliği kabul edilebilir, ancak araştırmalar nakit kullanımının bütçe yönetiminde daha etkili olabildiğini gösteriyor
    • Uyku verisi analizi olmadan da, çoğu zaman temel uyku hijyenine dikkat etmek yeterli olabilir
  • Siyasi katılım
    • Mahremiyeti koruyan yasalar veri koruması için önemli bir savunma hattı olabilir (örneğin GDPR’nin uygulandığı AB’de kişisel bilgi arama siteleri neredeyse yoktur)
    • Birleşik Krallık vatandaşıysanız milletvekilinize ulaşıp Apple’ın Advanced Data Protection ile ilgili “technical capability notice” kararına karşı olduğunuzu bildirmelisiniz
    • Big Brother Watch, Privacy International gibi Birleşik Krallık merkezli kuruluşlardan da destek alınabilir

Sonuç

• Mahremiyete önem veren insanlar arasında suçu savunan kimse yoktur
• Ancak az sayıdaki suçluyu durdurmak için yurttaş özgürlüklerini feda etmek dengeli bir yaklaşım değildir
• Mahremiyeti ihlal eden birçok politika "çocukları koruma" gerekçesiyle savunulsa da, bu gerçek koruma anlamına gelmez
  • Çocukların ve gençlerin özgürce büyüyüp hatalarından öğrenebileceği bir ortama ihtiyaç vardır
  • Dijital ortamda yapılan hataların sonsuza kadar kalıp bireysel özgürlüğü bastırdığı bir dünyaya dönüşmemeliyiz
  • Asıl çözüm politikalar değil, teknik koruma önlemleri olmalıdır
• Şifrelemeyi yasaklamak koruma sağlamaz; aksine daha fazla risk yaratır
• Birleşik Krallık hükümetinin mahremiyet ihlallerine karşı yapılabilecekler:
  • Birleşik Krallık yasalarının erişemediği güvenli hizmetlere geçmek
  • Seçmen olarak hükümete karşı görüş bildirmek