Encrochat blog

 

Türkçe Flemenkçe Fransızca Almanca Rusça İspanyol Türk

İlk Tarih: Mart 28, 2016

Güncelleme: Mart 31, 2016

Sahte blog postuna ilişkin güncelleme (orijinal yanıt aşağıdaki Konu başlığıyla birlikte başlıyor):

Bu açıklamayı madde madde yapacağım. Çünkü bu sahte “güvenlik araştırmacısının” daha fazla prim yapmasını istemiyorum.

  • Kimliğini ya da şirketini gizlemek, üstelik iç çatışma nedeniyle. Son derece saçma. Bir sürü güvenilir güvenlik danışmanı ve araştırmacısı var. Hepsi de yazdıklarının arkasında durur. Anonim kalmak size hiçbir güvenilirlik katmaz.
  • Hiçbir açıklaması olmadan, yalnızca DOĞRU kelimesini yazıldığı için bir şeyin DOĞRU olduğunu farz etmek DOĞRU olduğu söylenilen tüm noktaların YANLIŞ olduğunu göstermemizi takiben ne kadar da komik görünecektir.
  • Yine Cellebrite açıklamanızın doğru olduğunu söylüyorsunuz ancak böyle bir şey söz konusu değil. Lütfen kullanıcılardan birisine bulgularını açık bir şekilde hiç kimseyle paylaşmayacak bir şirket ile nasıl irtibata geçeceklerini açıklayın. Özellikle de sizin gibi yazdığı her şey tamamen EncroChat’e saldırmak üzerine hazırlanmış olan insanlara anlatın.
  • Aslında biz Kanadalı bir şirket tarafından satın alınmış bir şirket değiliz. Kanadalı insanlara karşı da hiçbir sorunumuz yok. Satıcılarımız ve müşterilerimizin çoğu yüz yüze tanışmış olduğumuz kişilerdir. Aslında sizin hakkımızda vermiş olduğunuz bilgiler tamamen yalan bilgilerden ibarettir.
  • Aynı zamanda blog postlarımı da seviyorum çünkü bazı teknik bilgiler içeriyorlar. Hiçbir şekilde yalan ya da saçma bilgiler değil. Sen dünyanın düz olduğunu söylüyorsun ama ben 1+1=2 demeyi tercih ediyorum, senin gibi değilim.
  • Gerçeğin aslında böyle olmadığını söyleyen yorumuna bayıldım doğrusu. Gerçekten mi? Yani hiçbir şekilde ispat göstermeden bunu söyleyince haklı oluyorsun öyle mi? Diyorsun ki kullanıcıları teknik uzmanlığım ile koruyorum. Şunu açıkça söyleyebilirim ki hiçbir teknik bilgiye sahip değilsin. Bunu görmek çok kolay.
  • Bariz bir şekilde bu yazılmış ve hiçbir gerçeklik payı taşımıyor. Normalde sana cevap yazmayacaktık ancak PGP mesajlarıyla bu saçmalığı yaymaya çalıştığın için bu açıklamaya gerek duyduk. Seni “kanıtlarını” ispatlaman için uygun bir yere davet etmek isteriz. Gelmeyeceğini biliyoruz çünkü ispatlayabileceğin hiçbir şey yok. Ama hala istediğini yazabilirsin çünkü söylediklerinin hiçbir inandırıcılığı yok. En azından biz söylediklerimizin arkasında duruyoruz. Bu nedenle kurumsal sitemizde yazıyoruz senin gibi anonim bir blog üzerinde değil. Aynı zamanda biz gerçek kişileriz ve ürünümüzü tartışmak isteyen herkesle buluşmak üzere bekliyoruz. Biz hiçbir şekilde saklanmıyoruz.
  • Son olarak: Blogunu hiçbir şekilde ciddiye almıyoruz. Asıl noktayı kaçırıyoruz. Biz buna gülmüyoruz, SANA gülüyoruz. Farkı anlayabileceğini de pek sanmıyoruz.

 

Konu: Saga devam ediyor Bölüm 2 başlığı: yalanlar ve yalanla… sahte blog ile karalama kampanyası.

Bu sabah, sahte bir kullanıcı hesabının EncroChat hakkında karalama kampanyası başlattığını ve kullanıcıların benden bu siteye yönelik işlem başlattırmamı istediğini görerek uyandım. Normalde bu duruma sadece gülerdim. Yani demek istediğim internet herkesin istediği her şeyi yazabildiği bir ortamdır. Örneğin, bir repçi dünyanın düz olduğunu söyleyip dünyayı büyük bir tartışmaya taşıyabilir. Saçma. Ancak ben EncroChat kullanıcılarının hatırına buna cevap vereceğim ve bu blog ile biraz da dalga geçeceğim.

Neyse konuyu dağıtmayalım. Öncelikle bu bloğun ilk argümanı olan NSA ve diğer otoriteler ile çalıştığımıza yönelik argümanı inceleyelim. İlk olarak, cihazlarımızdan birisine NSA logosu koymayı başaracak kadar iyi Photoshop kullanan birisini görmek çok güzel. Tebrikler. Neredeyse korkuyorduk. Blog yazarı aynı zamanda aldığı bazı duyumlara göre “Super Lock Tight” adlı şirketin EncroChat sahibi olduğunu söylüyor. Bu da ne böyle? Bariz bir şekilde Kanada’nın en büyük PGP sağlayıcılarından birisiler ve NSA ve FBI ile ortak çalışıyorlar çünkü bunu yapmak zorundalar. Gerçekten de, böyle büyük bir şirket için Super Lock Tight kim onu bile bilmiyor. Aynı zamanda Jeff diye bir kişinin EncroChat’in sahibi olduğunu ve sunuculara devlet yetkililerinin erişmesini sağladığı söyleniyor. Çok saçma. Onu hiç duymadık. Aynı zamanda yetkililerin özel PGP anahtarlarını ve saklı mesajları OTR hesaplarından çekebildikleri söyleniyor. Açıkçası bizim sunucularımızda iletimsel PGP uygulaması için hiçbir özel PGP anahtarı bulunmuyor. PGP aık/kapalı anahtarları PGP client kullanılarak EncroChat abone cihazında oluşturulur ve özel anahtar HİÇBİR ZAMAN cihazdan çıkmaz. Boot işlemi için OTR kullanmıyoruz bile. PGP satıcılarından bizimle rekabet halinde olanlar doğal olarak bunu söylüyor. Bir kere daha söylüyoruz, böyle bir şey yok. Biz OTR nin bir türeviyiz (OTR konseptini beğeniyoruz ancak bazı protokollerle ilgili çok sorun olduğundan onu geliştirme gereği duyduk). Buna ek olarak, EncroChat kullanan abonelerimiz kendi anahtarlarını doğrudan birbirleriyle paylaşırlar ve bu anahtarlar her bir mesaj ile birlikte değişir.

Blog yazısının geri kalanına bakmaya devam edelim. Çarpıtılan gerçekleri görmek gerçekten çok şaşırtıcı. Super Lock Tight ile başlayalım yine. EncroChat’in PGP ana tabanı bulunmamaktadır. Biz EncroChat olarak başladık, Super Lock Tight olarak değil (bunun kime ait olduğunu bilen birisini de bulamadık açıkçası). PGP satıcılarının bu nedenle bizi bloklaması çok ilginç. PGP satıcıları tarafından bloklanmamızın tek sebebi finansal konular tabii ki de. EncroChat platformumuz pek çok müşterilerini çaldı çünkü onların platformlarının yeterince güvenli olmadığı ve gerçek raportörler tarafından takip edildiği ve teknik profesyonellerce medyaya sızdırmalar gerçekleştiği ispatlandı (ve biz buna hiçbir katkı sağlamadık).

Blog yazısı EncroChat çift OS ile Blackphone çift profillerini karşılaştırmaya çalışıyor ve bunların aynı olduğunu söyleyerek kötü amaçlı yazılımlara açık olduklarını söylüyor. Blog yazısı EncroChat’in iki işletim sistemi içermesine rağmen nasıl sorun yaşamadığını söylüyor. İlginç. İlk olarak iki ayrı işletim sistemi demek birinin diğerini görmediğini ya da varlığını bile bilmediğini gösteriyor (iki farklı cihaza sahip olmak gibi düşünebilirsiniz). Standart Android OS virüs kaptığında güvenli EncroChat işletim sistemi bundan zarar görmez. Bunlar iki farklı platform olup bu nedenle birisinden diğerine geçiş için baştan başlatmanız gerekir. Bunu profil değiştirme ile karşılaştırmak aptalca. Bunlar tamamen birbirinden farklı şeyler. Şayet bu “güvenlik araştırmacısı” standart Android işletim sistemini incelerse kendisinin güvenliğinin olduğunu görecektir.

Daha sonra ise blog Kablosuz Ağın bir arka kapısı olduğunu ve FinFisher kullanarak CIA’in cihaza erişim sağlayarak ekran görüntüsü alabileceğini söylüyor. Bu da ne? Tamamen saçmalık. Kablosuz ağ ve Hücresel ağ (SIM) ile ilgili başka bir gönderi paylaşarak her ikisinin de riskli olduğunu anlatan ancak Kablosuz Ağ’ın tercih edilmesi gerektiğini göstereceğim. FinFisher kullanarak Kablosuz Ağ’a erişim sağlanamaz ve CIA Kablosuz Ağ üzerinden cihazınıza giremez. Bu tamamen uydurmaca.

Bir sonraki husus ise, blog yazısına göre EncroChat kendi ekipleri tarafından test edilmiş EncroChat’in iddia ettiği güvenlik özelliklerine sahip olmadığı söyleniyor. Cellebrite’in iddiası göre EncroChat takip edilebiliyor. Evet biraz daha saçmalamışlar. Burada tüm söyleyebileceğim ispatlamalısınız ya da susmalısınız. Yalan söylemek ve yanlış bilgileri yaymaya çalışmak bir suçtur. Şayet bildiğiniz bir şey varsa bunu ispatlamalısınız. Yalanlar söylemek sadece basit insanların yapabileceği şeylerdir. Biraz büyüyün. Sanırım abonelerin bu yalanlara inanacağını düşündünüz. Saçmalıktan başka bir şey değil.

Sonraki:

İkinci blog yazısı aynı sahte hesaptan gelmiş ve PGP şifrelemenin zayıf olduğunu, güvenli olmadığını söylüyor.

Cevabım çok uzuyor bu nedenle artık kısa keseceğim. Blogda yer alan her bir yalana ispatlarıyla tek tek yanıt vereceğim. Basit bir şekilde açıklayacağım çünkü öyle teknik terimler kullanınca gerçekmiş gibi görünmüyor (tabii canım size göre ne kadar çok teknik terim o kadar doğrudur değil mi?).

  1. Her PGP e-postası gönderdiğinizde IP adresini belirtiyoruz ki cihazınız ile takip edilebilesiniz. Öyle mi? Özel IP adresleri internet üzerinden takip edilemez. Öyle bir tasarlanmıştırlar ki genel internet kullanıcıları tarafından IP adresi bloklarının takip edilmesi mümkün değildir. Özel IP adreslerinin tanımı da zaten budur. Milyonlarca bilgisayar aynı IP adresi uzayını kullanmaktadır ve takip edilememektedir. YANLIŞ
  2. Heartbleed virüsüne karşı zayıf olduğumuz söylenmiş. Yani diyorlar ki bir kişi Google arama motoruna bir şey yazıyor ve böyle bir şey olduğunu görüyor. Biz buna inanmıyoruz. YANLIŞ
  3. Kendisi imzalayan sertifikalar kullanıyoruz. %100 kullanıyoruz. Sahte imza mı? Gerçekten bunu mu söylüyorsunuz? Yani blog yazısı diyor ki Sertifika Otoritesine (CA) gidip bir sertifika almak daha iyidir. Bildiğiniz gibi devletin vermiş olduğu sertifikalar ile bilgisayar, akıllı telefon ve benzeri cihazlarınıza kolayca erişim sağlanabilmekte. Kendi platformumuzda bu gibi hiçbir sertifikayı İSTEMİYORUZ. Yalnızca kendi sertifikamızı kullanarak hiçbir kimsenin EncroChat gibi davranmasına izin vermiyoruz. 211+ sertifikalarını kimsenin taklit etmesine izin vermiyoruz. Gerçek tamamen kendi imzaladığımız sertifikaları kullandığımız. Yani bu argüman da YANLIŞ (ve gerçekten de çok saçma).
  4. 8. Bizim zayıf Diffie-Hellman anahtarları (1024) kullandığımız söyleniyor. Eminim ki kullanıcılar Diffie Hellman da neyin nesi diyor şu anda. Şayet 1024 anahtarları kullanıyorlarsa kulağa kötü geliyor. Diffie-Hellman Key Exchange sayesinde iki taraf arasında paylaşılan gizli anahtarlar oluşturulur ve bu anahtarlar gizli iletişim kurmak için herhangi bir ağ üzerinden veri aktarımına olanak tanır. EncroChat, Triple Elliptical Curve Diffie-Hellman Ephemeral 25519 (ECDHE) anahtar değişimini kullanarak hem geçmiş hem de gelecekte gizlilik sağlıyor. Yani bu iddia da YANLIŞ

Son olarak, bu saçmalıklara cevap vermek için benden önemli bir zaman çaldığınızı itiraf etmeliyim. Size bir öneri, bu blog yazarı her kimse teknik olarak hiçbir bilgisi yok.