Signal ekibi 14 Ağustos’ta bilinmeyen bazı hackerların mesajlaşma uygulaması kullanıcılarına saldırdığını bildirdi. Bu olayın neden Signal’in diğer bazı mesajlaşma uygulamalarına göre daha avantajlı olmasının bir göstergesi olduğunu açıklıyoruz.
Ne oldu?
Signal’in yayınladığı açıklamaya göre saldırı, uygulamanın yaklaşık 1900 kullanıcısını etkiledi. Signal’in kitlesinin ayda 40 milyon aktif kullanıcıdan fazla olduğunu düşündüğümüzde olayın çok küçük bir kesimi etkilediği görülüyor. Bununla birlikte, Signal ağırlıklı olarak yazışmalarının gizliliğine gerçekten önem veren kişiler tarafından kullanılıyor. Bu yüzden saldırı kullanıcıların çok küçük bir kısmını etkilemiş olsa da güvenlik dünyasında yankı buldu.
Saldırı sonucunda hackerlar kurbanların hesaplarına başka bir cihazdan giriş yapabilmeyi ya da belirli bir telefon numarasının Signal kullandığını belirleyebilmeyi başardı. Hackerlar bu 1900 kişi arasından spesifik olarak üç kişiyle ilgileniyordu. Bu üç kullanıcıdan biri, Signal’a hesabının bilgisi dışında başka bir cihazda etkinleştirildiğini bildirdi.
Nasıl oldu?
Kaspersky Daily sayfalarında sık sık Signal’in güvenli bir mesajlaşma uygulaması olduğu hakkında konuşuyoruz, fakat uygulama yine de saldırıya uğradı. Peki bu, uygulamanın meşhur güvenlik ve gizlilik yönünün bir mitten ibaret olduğunu mu gösteriyor? Saldırının tam olarak nasıl gerçekleştiğine ve Signal’in bu saldırıdaki esas rolüne bir bakalım.
Signal hesaplarının tıpkı WhatsApp ve Telegram’da olduğu gibi bir telefon numarasına bağlı olmasıyla başlayalım. İstisnalar görülse de yaygın uygulama bu şekilde. Örneğin, güvenli mesajlaşma uygulaması Threema, hesapları telefon numarasına bağlamamayı avantajlarından biri olarak sayıyor. Signal’de ise telefon numarası kimlik doğrulama için gerekli; kullanıcının girdiği telefon numarasına güvenlik kodunu içeren mesaj gönderiliyor. Bu kodun uygulamaya girilmesi gerekiyor. Doğru kod girilirse kullanıcının gerçekten de bu numaranın sahibi olduğu kanıtlanmış oluyor.
Tek seferlik kodlar içeren bu tür metin mesajlarının gönderimi, birden çok servis için aynı kimlik doğrulama hizmetini sağlayan özel şirketler tararından gerçekleştiriliyor. Signal örneğinde bu sağlayıcı Twilio adlı bir şirket. Hackerlar da tam olarak bu şirketi hedef aldı.
Bir sonraki aşama kimlik avı. Bazı Twilio çalışanları, parolalarının süresinin dolduğunu ve güncellemeleri gerektiğini söyleyen mesajlar aldı. Bunu yapmak için bir bağlantıya tıklamaları isteniyordu ve bu (tahmin ettiğiniz gibi) bir kimlik avı bağlantısıydı. Çalışanlardan biri yemi yuttu, sahte siteye giderek kimlik bilgilerini girdi ve bu bilgiler doğrudan hackerların eline geçmiş oldu.
Twilio’nun dahili sistemine erişim veren bu kimlik bilgileri, kullanıcılara mesaj gönderebilmelerini ve bu mesajları okuyabilmelerini sağladı. Ardından hackerlar bu servisi kullanarak yeni bir cihaza Signal kurdu. Kurbanın telefon numarasını girdiler, aktivasyon kodunu içeren mesajı ele geçirdiler ve Signal hesabına girmiş oldular.
Bu olay nasıl Signal’in sağlamlığını kanıtlıyor
Signal’in bile bu tür olaylardan muaf olmadığı ortaya çıktı. Peki niye sürekli Signal’in güvenliğinden ve gizliliğinden bahsedip duruyoruz?
Birincisi, siber suçlular yazışmalara erişim sağlayamadı. Signal, güvenli Signal Protokolü’ne sahip uçtan uca şifreleme kullanıyor. Uçtan uca şifreleme kullanıldığı için kullanıcı mesajları yalnızca kullanıcıların kendi cihazlarında saklanıyor, Signal’in sunucularında ya da herhangi başka bir yerde depolanmıyor. Bu yüzden yalnızca Signal’in altyapısını hackleyerek bu mesajları okuyabilmenin hiçbir yolu yok.
Signal’in sunucularında depolanan şey ise, kullanıcıların ve rehberlerinde bulunan kişilerin telefon numaraları. Uygulama bu sayede rehberinizdeki kişilerden biri Signal’e katıldığında size bildirim gönderebiliyor. Ancak bu veriler, birincisi, Signal geliştiricilerinin bile erişemediği güvenli alan adı verilen güvenli depolarda saklanıyor. İkincisi, numaralar düz metin olarak değil, bir tür hash kodu şeklinde depolanıyor. Bu mekanizma, telefonunuzdaki Signal uygulamasının rehberinizdeki kişiler hakkında şifrelenmiş bilgi gönderebilmesini ve içlerinden hangilerinin Signal kullandığına dair aynı şekilde şifrelenmiş yanıtlar alabilmesini sağlıyor. Diğer bir deyişle, saldırganlar kullanıcıların rehberlerine de erişim sağlayamadı.
Son olarak, Signal’in tedarik zincirinden, şirketin kullandığı daha az korunan bir servis sağlayıcı üzerinden saldırıya uğradığını vurgulamak gerekiyor. Dolayısıyla şirketin en zayıf halkası burası. Ancak Signal’in buna karşı da önlemleri var.
Uygulama, Kayıt Kilidi adı verilen bir özellik içeriyor (etkinleştirmek için Ayarlar → Hesap → Kayıt Kilidi). Bu özellik etkinleştirildiğinde Signal’i yeni bir cihazda açmak için kullanıcının tanımladığı bir PIN girilmesi gerekiyor. Bu arada şuna da açıklık getirelim: Signal’deki PIN’in uygulamanın ekranını açmakla bir ilgisi yok. Uygulamanın ekranı, akıllı telefonunuzun ekranını açmak için kullandığınız yolla açılıyor.
Kayıt Kilidi varsayılan olarak devre dışı geliyor. Hacklenen hesaplardan en az birinde de devre dışıydı. Dolayısıyla siber suçlular yaklaşık 13 saat boyunca saldırının kurbanını taklit ederek saldırıyı gerçekleştirmeyi başardı. Kayıt Kilidi etkinleştirilmiş olsaydı yalnızca telefon numarası ve doğrulama kodunu öğrenerek uygulamaya giriş yapamayacaklardı.
Mesajları daha iyi korumak için neler yapılabilir?
Özetlemek gerekirse: Saldırganlar Signal’in kendisine değil, iş ortağı Twilio’ya saldırdı. Bu yolla 1900 hesaba erişim elde ettikten sonra içlerinden üç tanesine giriş yaptılar. Dahası, ne yazışmalara ne de rehberdeki kişilere erişim sağlayabildiler, sadece sızabildikleri hesapların sahiplerini taklit etmeye çalıştılar. Bu kullanıcılar Kayıt Kilidi özelliğini etkinleştirmiş olsaydı bunu bile yapamayacaklardı.
Saldırı kağıt üstünde başarılı olsa da korkuya kapılıp Signal’i kullanmayı bırakmak için hiçbir sebep yok. Signal, bu hackleme olayının da gösterdiği gibi hala mesajlarınızın gizliliğini sağlayan oldukça güvenli bir uygulama. Fakat daha da güvenli hale getirmeniz mümkün:
- Signal ayarlarından Kayıt Kilidi özelliğini etkinleştirin. Bu sayede siber suçlular Signal’i yeni bir cihazda etkinleştirmek için gereken tek seferlik kodu ele geçirse bile özel PIN’inizi öğrenmeden hesabınıza giriş yapamaz.
- Signal’deki gizlilik ve güvenlik ayarlarına dair blog yazımızı okuyarak uygulamanızı yapılandırın. Signal hem temel ayarlara hem de gerçekten paranoyak olanlara yönelik, kullanılabilirlikten ödün verme pahasına ekstra güvenlik sağlayan seçeneklere sahip.
- Bir de elbette akıllı telefonunuza bir güvenlik uygulaması yükleyin. Kötü amaçlı bir yazılım cihazınıza girdiği takdirde Signal tarafındaki hiçbir güvenlik önlemi mesajlarınızı ve rehberinizi koruyamaz. Fakat cihazınıza kötü amaçlı yazılım giremezse ya da en azından zamanında yakalanırsa verilerinize yönelik herhangi bir tehdit kalmaz.