Son günlerde özellikle WhatsApp üzerinde ses kayıtları ile hızlıca yayılan ve siyasilerin halen taslağı netleşmemiş olan torba yasa tasarısı ile birlikte artık WhatsApp içeriklerine devlet tarafından erişim sağlanabileceği iddiaları insanların paniklemesine neden oldu. Ayrıca İçişleri Bakanı Süleyman Soylu’nun yakın zaman önce pandemi döneminde yayılan sahte haberler sebebiyle WhatsApp gruplarında dolaşan bu ses kayıtlarına ilişkin ses analizleri yapılmaya başlandığına ilişkin açıklaması ile birlikte Covid-19 salgınından daha hızlı bir şekilde devlet tarafından WhatsApp gruplarının denetlendiği iddiaları yayılarak her yerde karşımıza çıkmaya başladı. Bu sebeple makalemde kısaca WhatsApp’ın nasıl çalıştığından, WhatsApp’ta yer alan sohbetlerin devlet tarafından denetlenebilir olup olmadığı gibi hususları ele alacağım.
WhatsApp Nasıl Çalışır?
WhatsApp’ın yazılım altyapısına ilişkin olarak WhatsApp yazılım geliştiricisi Rick Reed’in Youtube üzerinde anlattığı bir teknik bir video yer alıyor. İlgilenenler için dipnota onun linkini paylaşacağım.[1] Temel mantıkta WhatsApp; kişiden kişiye, kişiden birden çok kişiye veya grup sohbet şeklinde yazılı, sesli ve görüntülü bir şekilde şifrelenmiş bağlantılarla iletişim kurabileceğiniz bir sohbet yazılımıdır. WhatsApp cihaza ilk kurulduğunda kişinin telefon numarası ile WhatsApp hesabını eşleştirmekte böylelikle her bir numara bir kullanıcı olarak sisteme kaydolmaktadır. Dünya genelinde telefon numaraları tekil oldukları için kayıt aşamasında ek olarak bir şifre koruması gerektirmemektedir. Hesap doğrulama işlemi ise o telefona gönderilecek bir SMS ile gerçekleştirilmektedir. Cihazınız ilk kez WhatsApp sunucuları ile iletişim kurduğunda size gelen SMS doğrulama koduyla telefon numaranıza özgü bir token (güvenlik belirteci) oluşturulur. Program altyapısında özelleştirilmiş bir XMPP protokolünü kullanmaktadır. Bu protokolü geçmişte ICQ, AIM, Yahoo Chat, Google Talk gibi programlar da kullanmaktaydı. WhatsApp, kullanıcının WhatsApp kişi listesine otomatik olarak kişi eklemek için cihazın adres defterinden tüm telefon numaralarını otomatik olarak alır ve merkezi WhatsApp kullanıcısı veritabanıyla karşılaştırır. Böylelikle telefon numaraları kayıtlı WhatsApp kişileriyle iletişim kurulabilmektedir.
WhatsApp İçeriklerine Başkaları Erişebilir mi?
WhatsApp üzerinde gerçekleştirilen yazışmalar uçtan uca şifreli olarak korunmakta olduğundan dışarıdan üçüncü kişiler tarafından müdahale ile erişilememektedir. Şifreli korumayı bir örnek ile açıklarsak siz “Merhaba” yazdığınızda bu mesaj telefonda şifrelenir ve daha sonra WhatsApp sunucularına gönderilir. Ardından, sunucu mesajınıza gelen yanıtları şifreler ve telefonunuza geri gönderir. Telefonunuz mesajın şifresini çözer ve ekranda görüntüler. İşte mesajlaşma esnasında gerçekleşen şifreleme ve çözme işlemlerini telefonunuz ilk kez WhatsApp sunucularına bağlandığında telefon numaranıza özgü oluşturmuş olduğu token ile gerçekleştirmektedir. Hatta 5 Nisan 2016 tarihinden sonraki sürümleri kullanıldığı takdirde, iletişimin sadece kendi sunucularına değil, iletinin gönderildiği kişiye de şifreli olarak gönderildiğini diğer bir deyişle uçtan uca şifrelendiğini, böylece iletinin sadece gönderen ve alıcı tarafından okunabileceğini garanti etmektedir. Aradaki kimsenin, hatta WhatsApp’ın kendisinin dahi bu mesajları okuyamayacağını açıklamaktadır. [2] Çünkü WhatsApp sunucularına ulaşılmış olsa bile içerikler şifreli olduğundan ötürü içerik detaylarına erişilemeyecektir. [3]
WhatsApp’ın çalışma mantığında üçüncü bir kişi tarafından içeriklere erişim mümkün görünmemektedir. Teknolojide imkansız olduğuna inanmayan biri olarak ancak taraflardan birinin telefonunda gerçekleşecek güvenlik açığı ile bu durum bertaraf edilebileceğini düşünüyorum. Örnek olarak ise İsrail merkezli NSO Grup tarafından gerçekleştirilen bir malware ile WhatsApp üzerinden çeşitli casus saldırılar gerçekleştirilmiş olmasıdır. Fakat güvenlik güncellemeleri ile bu açıklar giderildiği WhatsApp tarafından duyurulmuştur. Burada makalenin başında bahsetmiş olduğum ortalıkta dolaşan devlet tarafından WhatsApp gruplarının denetleneceğini burada yer alan ses kayıtlarının ses analizine gideceğine ilişkin duruma da değinmem gerekir. Anlatıldığı üzere WhatsApp içeriklerine üçüncü bir kişi tarafından dışarıdan erişim mümkün olmadığından dolayı devlet tarafından da WhatsApp içeriklerine erişilemeyecektir. Nitekim bu durumun hukuki bir dayanağı da güncel mevzuatımızda yer almamaktadır. İletişimin denetlenmesine ilişkin alınacak kararlar da WhatsApp yazılımına hem teoride hem de pratikte uygulanamayacaktır. Güncel durumda bilgi kirliliği sonucunda maalesef araştırılmaksızın paylaşımlar gerçekleştirilmektedir. WhatsApp içerisinde dolaşan ses kayıtları ancak kayıt kendisine gelen kişi tarafından dışarı aktarılabilecektir. Aktarıldıktan sonra ilgili ses kaydı her ne kadar incelenebilir olsa da ses kaydının kaynağını bulmak için pratikte tüm Türkiye’deki vatandaşların ses kayıtlarının olduğu bir veri tabanı üzerinden sesin analizinin yapılması gerekecektir yani pratikte yapmak mümkün görünmemektedir.
WhatsApp İçeriklerine Erişilebilecek İstisnai Durumlar
Temelde WhatsApp yazışmalarına üçüncü kişilerin ulaşamayacağını açıkladık ancak bazı durumlarda içeriklere erişim mümkün olabilmektedir. Ancak bu durumlar WhatsApp yazılımının güvenlik açığı vs. gibi durumlardan ötürü değil, mesaj gönderilen kişi veya kişilerin telefonunun veya QR kodunun ele geçirilmesi ile gerçekleşebilecek muhtemel durumlardır. Öncelikle telefonun ele geçirilmesinden bahsedersek siz B kişisine bir mesaj gönderdiniz ve göndermiş olduğunuz B kişisinin telefonu başkalarının eline geçti. Böyle bir durumda telefonu elinde bulunduran kişi 7 gün önceye kadar silinmiş içeriklere büyük oranda ulaşılabilecektir. WhatsApp, otomatik olarak her gece saat 02:00’da yedekleme işlemi yapmaktadır ve 7 günlük yerel yedekleme gerçekleştirir. WhatsApp uygulamasından 7 gün önceye kadar olan silinmiş mesajlar ve medyalar bu yedeklerden geriye yüklenebilmektedir.[4] Ancak bu senaryonun gerçekleşebilmesi için telefonun şifresinin bulunmaması veya açılmış olması gerekmektedir. Örneğin 19 Aralık 2016’da Rusya Büyükelçisi Andrey Karlov’a düzenlenen suikastın failine ait telefonun şifresi kırılamadığı için telefonda yer alan içeriklere ulaşılamamıştır.[5] Diğer bir ihtimalde ise WhatsApp Web için kullanılan QR Koda erişilmesi ihtimalidir. Bu şekilde de kişinin WhatsApp hesabına erişilerek hesap içeriklerine ulaşılabilecektir. Son olarak kişiye ait kullanıcı adı ve şifrelere ulaşılarak WhatsApp yedeklerinin tutulduğu Google Drive veya iCloud hesaplarına ulaşılarak yedeklere erişilmesi durumunda yedeklerin uygun telefonlara yüklenmesi ile WhatsApp verilerine erişmek mümkün olabilecektir.
Görüleceği üzere WhatsApp içeriklerine devlet tarafından erişim sağlanmasına ilişkin hususun gerçekleşmesi güncel durumda telefon ele geçirilmeksizin mümkün değildir. İstisnai olarak bir ceza yargılaması esnasında soruşturma kapsamında uygulanan arama el koyma kararı sonucu elde edilmiş şüpheli kişiye ait bir mobil cihaz üzerindeki WhatsApp yazışmalarına erişmek adli bilişim uzmanları tarafından yapılan incelemeler ile mümkün olabilmektedir. Ancak bu durumun da gerçekleşmesi için telefon model, işletim sistemi, şifre durumu gibi çeşitli değişkenlerin sağlanması gerekmektedir.
Torba yasa taslağındaki düzenlemeler ışığında WhatsApp’ın durumu
Öncelikle şunu belirtmeliyim ki gündemde yer alan 62 maddelik torba yasa taslağı TBMM sitesinde yer almamakta ancak çoğu haber sitesinde değişikliğe ilişkin tam metinler yayınlanmaktadır.[6] Bu sebeple yorumlayacağım ilgili tasarı maddeleri komisyonda veya mecliste değişiklik gösterebilecektir. Torba Yasa Taslağındaki yer alan 5651 sayılı kanun kapsamındaki düzenlemeler ışığında da yine WhatsApp içeriklerine erişimin mümkün olmayacağı düşüncesindeyim. Taslak metinde yer alan düzenlemede tartışmalı olan husus sosyal medya şirketlerinin Türkiye’de yer alan kullanıcıların verilerinin Türkiye’de bulunması zorunluluğunun getirilmesi hususudur. Bu değişiklik ile WhatsApp vasıtasıyla bir suça konu eylem gerçekleştirildiği noktasında sohbet içerikleri yetkili makamlar tarafından talep edilse bile sadece “Metadata” adı verilen IP adresi, Cihaz Bilgisi, Lokasyon Bilgisi, Hesaba Ait Telefon Bilgisi gibi bilgiler paylaşılabilir hale gelecektir. Çünkü yukarıda da belirttiğimiz üzere WhatsApp sunucularına ulaşılmış olsa bile içerikler token ile şifrelendikleri için elinde token olmayan üçüncü kişiler tarafından bu sohbetlerin şifreleri çözülemeyecek ve içeriğe erişilemeyecektir. Nitekim WhatsApp bile sunucularındaki yazışmalara erişemediğini açıklamakta bu sebeple sohbet içeriklerine ilişkin paylaşım yapmadığını açıklamaktadır. [7] Açıklanan sebeplerle kamuoyunda yer alan devlet tarafından WhatsApp içeriklerinin denetleneceğine ilişkin iddialar maalesef uygulamada gerçeği yansıtmamaktadır. Örneğin katı yasalarla yönetilen Çin, WhatsApp uygulamasındaki sohbetlerin şifreli olması sebebiyle Çin Devleti tarafından ulaşılamaması ve WhatsApp tarafından sohbet içeriklerinin paylaşılmaması gibi nedenlerle ülkelerinde uygulamanın kullanılmasını yasaklamıştır. Nitekim Çin Devleti, vatandaşlarını kişisel bilgilerini alabildiği ve iletişimini kontrol edebildiği platformları tercih etmeleri konusunda yönlendirmiş ve ülke içinde oldukça yaygın olan WeChat uygulaması kullanılmaya başlamıştır.
Bu makale aynı zamanda https://www.webtekno.com/whatsapp-mesajlari-devlet-tarafindan-incelenebilir-mi-h89988.html adresinde de yayınlanmıştır.
Diğer bilişim suçlarına ilişkin makalelere buradan erişebilirsiniz.
[1] https://www.youtube.com/watch?v=TneLO5TdW_M (Erişim Tarihi: 09/04/2020)
[2] Resul GÖKSOY, “Dijital Delillerin Elde Edilmesi ve Güvenilirliğinin Sağlanması”, Ankara, Seçkin Yayınları, 2019
[3] https://www.whatsapp.com/legal/?lang=tr#privacy-policy-information-we-collect (Erişim Tarihi: 10/04/2020)
[4] Resul GÖKSOY, “Dijital Delillerin Elde Edilmesi ve Güvenilirliğinin Sağlanması”, Ankara, Seçkin Yayınları, 2019
[5] https://www.hurriyet.com.tr/gundem/karlov-sorusturmasinda-rus-uzmanlar-da-sifreyi-kiramadi-40765900 (Erişim Tarihi: 09/04/2020)
[6] https://www.haberturk.com/torba-yasa-teklifi-gundemde-62-maddelik-torba-yasa-teklif-taslaginda-neler-var-madde-madde-2640265 (Erişim Tarihi: 10/04/2020)
[7] https://faq.whatsapp.com/tr/general/26000050/?category=5245250 (Erişim Tarihi: 10/04/2020)
