
En son #WhatsApp‘ın kullanıcı hizmet sözleşmesi/gizlilik politikasının güncelleneceğini duyurmasıyla adeta her yer toz duman kesildi. Bilen bilmeyen herkes kendisini paylaşım yapma zorunda hissettiği gibi görseller de havada uçuştu. Kitle psikolojisiyle toplu halde başka uygulamalara geçişler yaşandı. Bunların başında #Telegram ve #Signal geliyor. “Acaba hangisi mesajlaşma uygulaması daha güvenilir?” diye merak edilirken işin teknik tarafı ve arka planını meraklıları için biraz kurcalayalım.
Son hadise bize “Şuyûu vukûundan beter” atasözümüzü hatırlattı. Yani olumsuz bir şeylerin yayılması olmasından daha kötü bir ortam yaratabilir. Aslında olan şey farkındalık açısından olumlu bir gelişmeydi. İnsanların gizlilik ve mahremiyet konusunda bilinçlenmesini sağlamak için bu gibi gündem değiştiren olayların olması gerekiyor maalesef. Ama sorun farkındalık seviyesinin yükselmesinde değil. Bilen bilmeyen herkesin bilgi sahibi olmadan fikir sahibi olup ahkam kesmesi ve yanlış yönlendirmesinde. Ayrıca kaos ortamından yararlanan, yani krizi fırsata çevirmeye çalışanlar da yok değil. O halde bilinçli bir kullanıcı olarak ilgili kavramları öğrenip yani iyi bir teknoloji okuryazarı olup işin uzmanlarından tavsiye almaya çalışmak gerekiyor.

10 Maddeyle Bazı Önemli Kavramların Altını Çizelim
1- Kullandığımız Her Ürün İçin Bizler Temelde Veriyiz
1- Bedelsiz yani ücretsiz olarak bir ürünü kullanıyorsak, orada sunduğumuz değerin az veya çok bize ait veriler olduğunu bilmek lazım. (Ücretli olarak kullandıklarımızda da benzer bir durum var ama niçin onlarda verilerimiz gündeme gelemiyor?). Farkında olmadan verdiğimiz bu verilerin nerelerde kullanıldığı esas soru işaretinin olduğu yer. Size daha iyi hizmet sunmak ifadesi aslında teorik olarak doğru ama sadece meselenin bir boyutunu ifade ediyor. Amaç kazan-kazan ilkesiyle sizi sadık müşteri yapmaktan diğer bazı paydaşların müşterisi yapmaya kadar gidiyor. Ama gerçek şu ki insan manipülasyona açık bir varlık ve bu yönümüzle istismar edildiğimiz de bir gerçek.
2- Açık Kaynak Uygulamalar
Bir uygulamanın açık kaynak olması, #sourcecode yani kaynak kodlarının herkes tarafından görülebilmesine ve gözden geçirilebilmesine imkân tanıyor. Böylece başta güvenlik açıklarının daha hızlı tespit edilebilmesine ve kapatılmasına olanak tanınarak daha güvenli bir yazılım ortaya çıkabiliyor. Ayrıca bilmediğimiz bir #arkakapı var mı gibi ihtimallerden üretici kendisini temize çıkarmış oluyor.
3- Backdoor yani arka kapı
Backdoor yani arka kapı; bir uygulama içerisine yerleştirilen normal erişim/giriş güvenlik kurallarının “bypass” edilebildiği yazılım parçalarıdır. Bunlar Siber saldırganlar tarafından yerleştirilebileceği gibi yazılım üreticilerinin bazen sistemsel sorunları çözmek için (kasten veya kazara) bıraktıkları açık kapılar da olabilir. Kazara olanlar tespit edildiğinde hızlı bir güncellemeyle bu açıklar kapatılıyor. Pratikte hangisinin kazara hangisinin kasten bırakıldığını tespit etmek de zor. Açık kaynağın bu konuda insana daha fazla güven vermesindeki bir nedende bu.
Ayrıca daha önceki yaşanan örneklerde görüldüğü gibi; uygulamanın/ürünün menşei olan devletlerdeki istihbarat örgütlerinin arka kapı talepleri oluyor ve bunlar yıllar sonra ortaya bir şekilde çıkarıldıklarında ise iş işten geçmiş olabiliyor. Sonuçta bu gibi uygulamaların daha doğrusu üretici firmaların hukukuna bağlı bulunduğu devletlerle dirsek teması olduğunu bilmek ve kullanırken buna dikkat etmek gerekiyor.
4- Uçtan uca şifreleme
Uçtan uca şifrelemeyle içeriklerimiz aslında sadece mesajlaşmanın tarafları arasında gerçekleştiği/görüldüğü garanti ediliyor. Kullanılan şifreleme algoritmasının gücüne göre araya başkalarının girmesi imkansıza yakın. Bu araya girip okuyan size hizmet sağlayan firma da olamaz. O halde bu şirketler bizim hangi verilerimizi kullanıyor diye sorarsak #metadata yani üstveri kavramı ortaya çıkıyor.
5- Metadata
Metadata yani üstveriler bizim verilerimizle ilgili verilerdir. Esasında şirketlerin üzerinde durduğu ve arka tarafta güçlü algoritmalarla analiz ettiği veya ettirdiği veriler bu üstverilerdir. Tarih, saat, kime, kimden, hangi boyutta, hangi sıklıkla … diye uzayıp giden ve gerçekten bizi bizden daha iyi bilecek ve tanımlayacak sonuçlar elde edilebilen kıymetli veriler bunlardır. Popüler olarak gündemde sürekli yer alan yapay zeka/makine öğrenmesi algoritmalarıyla bu verilerden anlamlı sonuçlar çıkarmak mümkün.
Bu sonuçlar gelir elde etmek amacıyla daha çok pazarlama ve reklam için değerlendiriliyor. Arka tarafta gerçekten milyarlarca dolarlık çok büyük bir reklam pazarı var. Fakat bu üstveriler kişiselleştirilmiş reklamlarla sadece bizim hangi zaman hangi ürüne ihtiyaç duyduğumuzu öngörecek bir imkân sağlamıyor. Kimlerle hangi sıklıkla görüştüğümüzden, irtibatta olduğumuz kişi sayısına, hangi saatte kiminle iletişim kurduğumuzdan ne kadar aktif olduğumuza kadar ve daha fazlasıyla elde edilen verilerden davranışsal örüntüler elde etmek mümkün.
Bu durum ise 3. maddede ifade edilen başta devletler olmak üzere değişik güç odakları tarafından legal veya illegal yollarla elde edilip bir silaha dönüşme ihtimalinin kapısını açıyor. Örneğin ABD’nin sicili bu konuda temiz değil. Sonuçta bizim verilerimizle bizleri tanımlayan anlamlı sonuçlar içgörü/öngörüler elde etmek mümkün. Aslında bunların daha önceden beri kullanıldığını kendi deneyimlerimizden de biliyoruz. Fakat esas endişemiz bu verilerin ve bu sonuçların reklam dışında kullanılma potansiyelinin olması.
6- Erişim İzinleri
Üstverilerle birlikte özellikle mobil uygulamalarla ilgili başka bir sorun telefonumuza istenen erişim izinleri. Belki de temelde bizi endişelendirmesi gereken de bu izinler. Konum, kişiler, mikrofon, kamera, depolama, sms … uzayıp giden bir liste. Burada temel kriterimiz bu izinlerin kurduğumuz uygulamanın temel işlevleri için gerekli olup olmadığı. Örneğin; görüntülü konuşma yapacaksanız kamera ve mikrofona, resim paylaşacaksanız elbette galerinize izin vereceksiniz. Soru; konum veya Sms bu uygulamalar için niçin gerekli olsun?
Bunları sorgulamamız gerekiyor. Bu uygulamalar istenen erişim izinlerinin tamamını vermeyince çalışmayabiliyor ama çalıştığı da oluyor. Bir tüyo; zor gelmeyecekse görüntülü görüşme yapmadığınız zaman mikrofon ve kamera erişimini kapatın. Ve yahut sürekli kapalı dursun hiç yapmayın. Varsayılan olarak konumunuzu kapalı tutun. Bunlar gibi mobil tarafta da kazanmamız gereken Siber Farkındalık ilkeleri olduğunu bilmek lazım.
7- Neden Bu Güncellemeye İhtiyaç Duyuldu?
Daha öncesinden de verilerimizi kullanmıyorlar mıydı? Bu güncellemeyle bizden alınan izinin sebebi ne olabilir? Facebook gibi büyük verileri yöneten büyük firmalar her zaman hukuki yaptırımlarla karşı karşıyalar. “Cambridge Analytica” skandalı bilinen tipik bir örnek. Facebook tarafından sızdırılan milyonlarca kişisel verinin ABD ve İngiltere’de seçimleri manipüle etmeye yönelik hukuksuz olarak kullanıldığı ortaya çıkmıştı. Facebook’a bu veri sızıntısıyla ilgili 5 milyar dolar ceza kesilmişti. Yakın zamanda bu skandal sebebiyle Mark Zuckerberg’in çağrılıp ABD senatosunda ifade verdiğini ve sorulan sorular karşısından terlediğini hatırlayanlar olacaktır.
Bir şeyi gizli saklı yapmakla alenen yapmak arasında emek, zaman ve maliyet farkı vardır. Ayrıca hukuki süreçlerle ve cezalarla uğraşmamak ve bu gibi durumlara karşı ön almak veya bu zamana kadar gizli saklı yaptıklarınızın ileride başınıza iş açmasını önlemek için hukuki bir kılıf bulmak isteyebilirsiniz. Dolayısıyla sözleşme güncellemesiyle son kullanıcı gözüyle çok bir şey değişmese bile firma tarafında önemli bir engelin aşılması anlamı taşıyabilir.
8- Neden Avrupa Birliği Bölgesindeki Ülkeler Hariç Tutuldu?
Avrupa Birliği bölgesindeki ülkeler yani GDPR (General Data Protection Regulation) yasasına tabi olanlar bu güncellemeyi almıyorlar. Avrupa Birliği uzun süredir çalıştığı bu yasa kimsenin gözünün yaşına bakmadan ağır cezalar kesiyor. AB bölgesinde yaşayan kullanıcılara bu güncellemeyi sunmaları bile “sirkatini söyleyen hırsız” misali göz göre göre kendini açık edip cezalarla ve hukuki süreçlerle uğraşması ve başına iş açması demek. O yüzden istisna tutması normal.
9- Bir Pazarlama Stratejisi
Sizin verilerinizi kullanmasalar bu hizmeti size niye versinler. Bedava peynir yalnız fare kapanında olur sözlerini hatırlıyoruz. Fakat burada farklı bir alışveriş de var onu da bilmek lazım. Örnek; marka değeri. Değerli bir marka yaratmak istiyorsanız muhakkak ölçeğinizi genişletmeniz gerekiyor. Bir ürünün kullanıcılarını binlerden, on binlerden alıp milyonlara çıkarmak apayrı bir piyasa değerlemesi ortaya çıkaracaktır. Bunu #WhatsApp ‘ın 2014 yılında 500 milyon kullanıcısı varken Facebook tarafından 19 milyar $ ‘a satın alınmasından anlayabiliriz. Şu an da kullanıcı sayısı 2 milyarı aşmış durumda.
Elbette ölçeğin ve kullanıcı sayısının artması pazarlanacak potansiyel müşterilerin/verilerin de artması demek. E-ticaretin de yaygınlaşmasıyla büyük ölçekteki firmaların değerlemesi bu şekilde katlanabilmekte. Burada daha önce ifade ettiğimiz üstveriler de önemli. Zaten nasıl kullanıldığını az çok öğrenmiş olduk. Buradaki durum aslında bir pazarlama stratejisi olarak kullanıcının daha doğrusu müşterinin önce içeriye girmesini sağlamak. Karşılıksızmış gibi iyilik yapmak ve ayağını alıştırmak. Zaten sonrası geliyor.
10- Kar Amacı Gütmeyenler de Var
Aslında her bedava olan ürünün muhakkak bizden değerli bir şeyler alması söz konusu değil. Dünyada “non-profit organization” yani kâr amacı gütmeyen kuruluşlar olarak bilinen oluşumlar az değil. En çok bilinenlerden Wikipedia, Tor Project gibi yaygın kullanılanlar var. Signal de bunlardan birisi. İdealist insanlarla bu organizasyonlar ortaya çıkıyor ve gönüllü desteklerle hayatta kalmaya çalışıyorlar. Bunlar nasıl ayakta kalıyor diye merak edebiliriz. Bu işe yani toplumsal faydaya inanan sponsorlar ve gönüllü yapılan bağışlarla.
Son söz; hangi uygulamayı kullanacağımızdan ve karşılaştırmalardan hiç söz etmedik. Zaten amacımız bunları yapmak değildi, temel kavramları ve bilgileri edinmekti. Şunu unutmamak lazım; %100 güveneceğimiz/güvenli bir uygulama olamaz. Bunun farklı sebepleri yukardaki maddelerin satır aralarında var. Kâr amacı gütmese bile yarın ne olacağını bilemeyiz.
Bize düşen bilinçli bir teknoloji kullanıcısı olarak kişisel verilerimiz ve mahremiyetimiz konusunda hassasiyet taşımak. Eskilerin deyimiyle temkinli ve tedbirli hareket etmek. Bazılarımız istese bile okul, iş vb. gruplardan dolayı #WhatsApp ‘ı bırakamayacak. Bazıları hepsini birden kullanmak zorunda kalacak. En güvenilir yolu sona bıraktım; münzevi yaşamı tercih edip kendimizi sanal aleme kapatmak! Sürekli olmasa bile bir günlüğüne denesek bir şey kaybeder miyiz?
Konuk Yazar: Yasin KALLİ
21/01/2021
Yararlı Bağlantılar
- WhatsApp’ın Güncellenen Gizlilik Sözleşmesi; https://www.whatsapp.com/
- Açık Kaynak; https://tr.wikipedia.org/
- Arka kapı; https://tr.wikipedia.org/
- Cambridge Analytica Skandalı; https://tr.wikipedia.org/
- GDPR yasası; https://tr.wikipedia.org/
- Metadata (Üstveri); https://en.wikipedia.org/wiki/Metadata
- Uçtan uca şifreleme; https://tr.wikipedia.org/
Matematiksel