Whatsapp İletileri Devlet Tarafından İncelenebilir mi?

Öncelikle herkese merhaba, ben Avukat Çağatay Üsküdar. Artık her hafta bilişim hukuku ile alakalı makalelerimle sizlerle buluşacağım. Birinci yazımızda ise son günlerde WhatsApp içeriklerinin devlet tarafından denetleneceği argümanlarını ele alacağım. WhatsApp kümelerinde süratlice yayılan ses kayıtlarında yer alan argümanlara nazaran, hala taslağı netleşmemiş olan torba yasa tasarısında WhatsApp içeriklerine devlet tarafından erişim sağlanabileceği söyleniyordu.

Ayrıyeten İçişleri Bakanı Süleyman Soylu’nun bir müddet evvel pandemi periyodunda yayılan uydurma haberler nedeniyle, WhatsApp kümelerinde dolaşan kelam konusu ses kayıtlarına ait ses tahlilleri yapılmaya başlandığını açıklaması, WhatsApp kümelerinin denetlendiği argümanları yayılarak her yerde karşımıza çıkmaya başladı. Bu sebeple makalemde önce WhatsApp’ın nasıl çalıştığından bahsedip, burada yer alan sohbetlerin devlet tarafından denetlenebilir olup olmadığı üzere konuları hukukî açıdan ele alacağım.

Mevzuyu anlamak için temelden başlayalım: WhatsApp nasıl çalışır?

WhatsApp yazılım geliştiricilerinden Rick Reed’in Youtube üzerinde anlattığı bir teknik bir görüntüde uygulamanın nasıl çalıştığı anlatılıyor. Ana sınırlarıyla mevzuya yakından bakalım. Temel olarak WhatsApp; bireyden şahsa, bireyden birden çok bireye yahut küme sohbet halinde yazılı, sesli ve manzaralı bir biçimde şifrelenmiş kontaklarla irtibat kurabileceğiniz bir sohbet yazılımıdır.

WhatsApp aygıta birinci kurulduğunda kişinin telefon numarası ile WhatsApp hesabını eşleştirmekte böylece her bir numara bir kullanıcı olarak kaydolmaktadır. Sistemde telefon numaraları tekil oldukları için ek olarak bir şifre muhafazası gerektirmemektedir. Hesap doğrulama süreci ise o telefona gönderilecek bir SMS ile gerçekleştirilmektedir. Aygıtınız birinci kere WhatsApp sunucuları ile irtibat kurduğunda size gelen SMS doğrulama koduyla telefon numaranız ve cihazınıza özgü bir token (güvenlik belirteci) oluşturulur.

Program altyapısında özelleştirilmiş bir XMPP protokolünü kullanmaktadır. Bu protokolü geçmişte ICQ, AIM, Yahoo Chat, Google Talk üzere programlar da kullanmaktaydı. WhatsApp, kullanıcının WhatsApp kişi listesine otomatik olarak kişi eklemek için aygıtın adres defterinden tüm telefon numaralarını otomatik olarak alır ve merkezi WhatsApp kullanıcısı veritabanıyla karşılaştırır. Böylece telefon numaraları kayıtlı WhatsApp bireyleriyle irtibat kurulabilmektedir.

Öbürleri sizin WhatsApp iletilerinize ulaşabilir mi?

WhatsApp üzerinde gerçekleştirdiğiniz yazışmalar uçtan uca şifreli olarak korunmakta olduğundan üçüncü bireyler tarafından uzaktan erişilememektedir. Şifrelemeyi bir örnek ile açıklarsak siz “Merhaba” yazdığınızda bu bildiri telefonda şifrelenir ve daha sonra WhatsApp sunucularına gönderilir. Akabinde, sunucu iletinize gelen karşılıkları şifreler ve telefonunuza geri gönderir. Telefonunuz iletinin şifresini çözer ve ekranda imajlar. İşte iletileşme esnasında gerçekleşen şifreleme ve çözme süreçlerini telefonunuz birinci sefer WhatsApp sunucularına bağlandığında telefon numaranıza has oluşturmuş olduğu token ile gerçekleştirmektedir.

WhatsApp'ın 5 Nisan 2016 tarihinden sonraki sürümleri kullanıldığı takdirde, irtibatın yalnızca kendi sunucularına değil, mesajın gönderildiği bireye de şifreli olarak gönderildiğini öteki bir deyişle uçtan uca şifrelendiğini, böylelikle mesajın yalnızca gönderen ve alıcı tarafından okunabileceğini garanti etmektedir. Ortadaki kimsenin, hatta WhatsApp’ın kendisinin dahi bu iletileri okuyamayacağını açıklamaktadır. (2) Zira WhatsApp sunucularına ulaşılmış olsa bile içerikler şifreli olduğundan dolayı içerik ayrıntılarına erişilemeyecektir.

WhatsApp’ın çalışma mantığında üçüncü bir kişi tarafından içeriklere uzaktan erişim mümkün görünmemektedir. Lakin teknolojide imkansız olduğuna inanmayan biri olarak taraflardan birinin telefonunda gerçekleşecek güvenlik açığı ile bu durum bertaraf edilebilecektir. Buna örnek ise İsrail merkezli NSO Küme tarafından gerçekleştirilen bir malware (kötü maksatlı yazılım) ile WhatsApp üzerinden çeşitli casus ataklar gerçekleştirilmesidir. Lakin güvenlik güncellemeleri ile bu açıklar giderildiği WhatsApp tarafından duyurulmuştur.

Makalenin başında bahsetmiş olduğum ortalıkta dolanan devlet tarafından WhatsApp kümelerinin denetleneceğini burada yer alan ses kayıtlarının ses tahliline gideceğine ait duruma da değinmem gerekir. Anlatıldığı üzere WhatsApp içeriklerine üçüncü bir kişi tarafından erişim mümkün olmadığından ötürü devlet tarafından internet trafiğini izleme üzere yöntemlerle WhatsApp içeriklerine erişilemeyecektir. Gerçekten bu durumun türel bir desteği da aktüel mevzuatımızda yer almamaktadır. İrtibatın denetlenmesine ait alınacak kararlar da WhatsApp yazılımına hem teoride hem de pratikte uygulanamayacaktır.

Şimdiki durumda bilgi kirliliği sonucunda maalesef araştırılmaksızın paylaşımlar gerçekleştirilmektedir. WhatsApp içerisinde dolanan ses kayıtları, fakat kayıt kendisine gelen kişi tarafından dışarı aktarılabilecektir. Aktarıldıktan sonra ilgili ses kaydı her ne kadar incelenebilir olsa da ses kaydının kaynağını bulmak için pratikte tüm Türkiye’deki vatandaşların ses kayıtlarının olduğu bir data tabanı üzerinden sesin tahlilinin yapılması gerekecektir yani pratikte yapmak mümkün görünmemektedir.

WhatsApp mesajlarınıza erişilmesini sağlayan istisnai durumlar:

Temelde WhatsApp yazışmalarına üçüncü bireylerin müdahale ile ulaşamayacağını açıkladık, lakin birtakım durumlarda içeriklere erişim mümkün olabilmektedir. Lakin bu durumlar WhatsApp yazılımının güvenlik açığı vs. üzere durumlardan dolayı değil, ileti gönderilen kişi yahut bireylerin telefonunun yahut QR kodunun ele geçirilmesi ile gerçekleşebilecek mümkün durumlardır.

Diyelim ki siz B bireyine bir bildiri gönderdiniz ve göndermiş olduğunuz B şahsının telefonu diğerlerinin eline geçti. Bu türlü bir durumda telefonu elinde bulunduran kişi 7 gün önceye kadar silinmiş içeriklere büyük oranda ulaşılabilecektir. WhatsApp, otomatik olarak her gece saat 02:00’da yedekleme süreci yapmaktadır ve 7 günlük lokal yedekleme gerçekleştirir. WhatsApp uygulamasından 7 gün önceye kadar olan silinmiş bildiriler ve medyalar bu yedeklerden geriye yüklenebilmektedir.(3)

Yukarıdaki senaryonun gerçekleşebilmesi için telefonun kilidinin bulunmaması yahut kilidin açılmış olması gerekmektedir. Öteki bir ihtimalde ise WhatsApp Web için kullanılan QR Koda erişilmesi ihtimalidir. Bu formda de kişinin WhatsApp hesabına erişilerek hesap içeriklerine ulaşılabilecektir. Son olarak şahsa ilişkin kullanıcı ismi ve şifrelere ulaşılarak WhatsApp yedeklerinin tutulduğu Google Drive yahut iCloud hesaplarına ulaşılarak yedeklere erişilmesi durumunda yedeklerin uygun telefonlara yüklenmesi ile WhatsApp datalarına erişmek mümkün olabilecektir. 

Görüleceği üzere WhatsApp içeriklerine devlet tarafından erişim sağlanmasına ait konunun gerçekleşmesi şimdiki durumda telefon ele geçirilmeksizin mümkün değildir. İstisnai olarak bir ceza yargılaması esnasında soruşturma kapsamında uygulanan arama el koyma kararı sonucu elde edilmiş kuşkulu bireye ilişkin bir taşınabilir aygıt üzerindeki WhatsApp yazışmalarına erişmek mümkün olabilmektedir. Lakin bu durumun da gerçekleşmesi için telefon model, işletim sistemi, şifre durumu üzere çeşitli değişkenlerin sağlanması gerekmektedir.

Torba yasa taslağında geçtiği söylenen “devletin WhatsApp aktivelerimizi izleyeceği” savı gerçek mu?

Öncelikle şunu belirtmeliyim ki gündemde yer alan 62 unsurluk torba yasa taslağı TBMM sitesinde yer almamakta fakat birden fazla haber sitesinde değişikliğe ait tam metinler yayınlanmaktadır. (4) Bu sebeple yorumladığım ilgili tasarı komitede ve mecliste değişiklik gösterebilecektir. Torba Yasa Taslağındaki yer alan 5651 sayılı kanun kapsamındaki düzenlemeler ışığında da yeniden WhatsApp içeriklerine erişimin mümkün olmayacağı niyetindeyim.

Bahsi geçen taslak metinde yer alan düzenlemede savlarla ilgili olarak Türkiye’de yer alan kullanıcıların datalarının Türkiye’de bulunması mecburiliği getirilmektedir. Bu durum ile WhatsApp vasıtasıyla bir suça bahis hareket gerçekleştirildiği noktasında sohbet içerikleri talep edilse bile yalnızca “Metadata” ismi verilen IP adresi, Aygıt Bilgisi, Lokasyon Bilgisi, Hesaba İlişkin Telefon Bilgisi üzere bilgiler paylaşılabilir hale gelecektir. Zira üstte da belirttiğimiz üzere WhatsApp sunucularına ulaşılmış olsa bile içerikler token ile şifrelendikleri için elinde token olmayan üçüncü şahıslar tarafından bu sohbetlerin şifreleri çözülemeyecek ve içeriğe erişilemeyecektir.

WhatsApp bile sunucularındaki yazışmalara erişemediğini açıklamaktadır. Açıklanan sebeplerle kamuoyunda yer alan devlet tarafından WhatsApp içeriklerinin denetleneceğine ait argümanlar maalesef uygulamada gerçeği yansıtmamaktadır. Örneğin katı maddelerle yönetilen Çin, WhatsApp uygulamasındaki sohbetlerin şifreli olması sebebiyle Çin Devleti tarafından ulaşılamaması ve WhatsApp tarafından sohbet içeriklerinin paylaşılmaması üzere nedenlerle ülkelerinde uygulamanın kullanılmasını yasaklamıştır. Gerçekten Çin Devleti, vatandaşlarını ferdî bilgilerini alabildiği ve bağlantısını denetim edebildiği platformları tercih etmeleri konusunda yönlendirmiş ve ülke içinde epey yaygın olan WeChat uygulaması kullanılmaya başlamıştır. 

Av. Çağatay ÜSKÜDAR