Polis ve hükümetler uçtan uca şifreli mesajlaşma hizmetlerine yasal erişim yönündeki talepleri artırırken, Avrupa Birliği üye ülkelerinden şifreleme teknolojilerinin suç soruşturmalarını nasıl engellediğine dair örnekler toplamaları istendi.
Europol, WhatsApp, Meta ve Signal gibi teknoloji şirketleri tarafından sağlanan şifreli iletişim hizmetlerinin suçlular tarafından izlerini gizlemek için nasıl kullanıldığını göstermek için kanıt toplamayı hedeflediğini doğruladı.
Avrupa Komisyonu çalışma grubuna göre kolluk kuvvetleri, veri toplamak mümkün olmadığı için uçtan uca şifrelemenin suçluların ve teröristlerin iletişimlerinin izlenmesinde ortaya çıkardığı zorlukları “ölçmek” için mücadele ediyor.
Bilinen örnekler arasında 2017 yılında Londra Köprüsü saldırısını gerçekleştiren ve 29 kişiyi öldürüp altı kişiyi yaralayan Halid Masood vakası yer alıyor.
Saldırıdan dakikalar önce, WhatsApp ve Apple’ın iMessage’ındaki bağlantılarının büyük bir kısmına, her ikisi de varsayılan olarak şifrelenmiş olan “Cihat” başlıklı bir PDF belgesi gönderdiği ortaya çıktı.
Başka bir vakada ise İngiltere polisi, şüphelilerin şifreli mesajlar göndermek için WhatsApp kullanması nedeniyle tecavüzle ilgili soruşturmanın engellendiğini söyledi.
Avrupa Komisyonu dün gece, şifrelemenin polis soruşturmalarını nasıl aksattığını göstermek için Avrupa ülkelerinden örnekler toplamaya çalıştığını doğruladı. Bir sözcü, örneklerin kamuya açıklanıp yayınlanmayacağının henüz belli olmadığını söyledi.
Europol şefi baskıyı artırdı
Bu hamle, Europol’ün genel müdürü Catherine De Bolle’un İsviçre’nin Davos kentinde düzenlenen Dünya Ekonomik Forumu sırasında Big Tech üzerindeki kamuoyu baskısını artırması ve bir gazete röportajında kolluk kuvvetlerine şifreli iletişim ve verilere erişim izni verme çağrısında bulunmasının ardından geldi.
De Bolle şunları söyledi: Finans Zamanları Büyük Teknoloji şirketlerinin, suçluların kimliklerini korumak için kullandıkları şifreli mesajlara polise erişim sağlama konusunda bir “sosyal sorumluluğa” sahip olduğu ortaya çıktı. Buna uymayan teknoloji şirketlerinin Avrupa’da demokrasiyi tehdit edebileceğini iddia etti.
Yorumları, teknoloji şirketleri, bilgisayar uzmanları ve kriptograflar ile polis ve istihbarat teşkilatları arasındaki uçurumun genişliğini gösteriyor. Teknoloji uzmanları, şifrelemeyi zayıflatmaya yönelik herhangi bir girişimin halkı ve işletmeleri siber suçlulara karşı daha büyük risk altına sokacağını savunuyor.
Avrupa Komisyonu’nun üst düzey çalışma grubu, şifrelenmiş uygulama ve cihazların meşru kullanıcıların mahremiyetini korurken aynı zamanda suçluların kimliklerini gizlemelerine, yasa dışı ürün ve hizmetleri pazarlamalarına ve tespit edilmeden para aklamalarına olanak sağladığını savunuyor.
Polise “verilere yasal ve sıkı bir şekilde kontrol edilen etkili erişim” sağlanması gerektiği belirtildi. Kolluk kuvvetlerinin teknik gerekliliklerinin “erken bir aşamada dikkate alınmasını” sağlamak amacıyla ürünlerin “şekillendirilmesini” sağlamak için kolluk kuvvetleri standart kuruluşlarına da dahil edilmelidir.
Grubun Kasım 2024 raporunda, “Şirketler ile kolluk kuvvetleri arasındaki işbirliği yetersiz ve eksiktir ve açık kurallarla desteklenmesi gerekmektedir” denildi. “Açık ve uygulanabilir yasal yükümlülükler olmadan, şirketler genellikle verilere erişim konusunda kolluk kuvvetlerine yardımcı olamıyor.”
Şifrelenmiş verilere yasal erişime giden yol
Üst düzey grup, telekomünikasyonun dinlenmesinin soruşturmalarda önemli bir araç olduğunu tespit etti, ancak mesajların %97’sini oluşturan WhatsApp, Facebook ve WeChat dahil olmak üzere şifreli mesajlaşma uygulamalarının ele geçirilmesinin ardından bunun etkinliği azaldı.
Çalışma grubuna göre kolluk kuvvetleri uzmanları temkinli bir yaklaşım önerdiler. Teknoloji şirketlerinden, hizmetin tüm kullanıcıları için şifrelemeyi sistematik olarak zayıflatabilecek herhangi bir sisteme entegre olmaları istenmemelidir. Yasal erişim “iletişim yoluyla iletişim” temelinde hedeflenmelidir.
Raporda, “potansiyel riskler” ve kamuoyu tartışmalarındaki hassasiyet göz önüne alındığında, “kademeli olarak ilerlemeye” ve teknoloji şirketlerini, siber güvenlik ve gizlilik uzmanlarını sürece dahil etmeye ihtiyaç olduğu öne sürülüyor.
De Bolle, fiziksel dünyada, polisin bir evi arama emri olduğunda ve suçlu içerideyken kapı kilitli olduğunda, halkın polisin eve girebilmesini talep edeceğini söyledi. Aynı ilkelerin şifreleme içinde kilitlenen mesaj ve verilere de uygulanması gerektiğini savundu.
Avrupalı polis şeflerinden şifreleme uyarısı
Avrupalı polis şefleri ve Birleşik Krallık Ulusal Suç Dairesi, Nisan 2024’te yaptıkları bir bildiride, uçtan uca şifreleme de dahil olmak üzere gizlilik önlemlerinin, kolluk kuvvetlerinin çocuklara yönelik cinsel istismar, uyuşturucu kaçakçılığı, insan kaçakçılığı, cinayetler dahil en ciddi suçları kovuşturma yeteneğini durduracağı konusunda uyardı. ekonomik suçlar ve terörizm.
32 ülke tarafından imzalanan bildiriye göre polis şefleri, uçtan uca şifrelemenin kolluk kuvvetlerinin ve teknoloji şirketlerinin suçu tespit etme kabiliyetini baltalayacağından “derin endişe duyuyordu”.
Bildiride, “Şirketler yasal bir otoriteye etkili bir şekilde yanıt veremeyecek” deniyor. “Platformlarındaki yasa dışı faaliyetleri de tespit edemeyecek veya rapor edemeyecekler. Sonuç olarak halkın güvenliğini sağlayamayız.”
Polis şefleri, siber güvenlik ile mahremiyet ve kamu güvenliği arasında ikili bir seçim olduğunu kabul etmediklerini belirterek, sanayi ve hükümetlerin esnek olması durumunda her ikisine de izin verecek teknik çözümlerin mevcut olduğunu savundu.
Ancak polis ve hükümetin, kolluk kuvvetlerine şifreli iletişime erişim sağlamanın mümkün olduğu yönündeki iddiaları, teknoloji şirketleri ve kriptografi uzmanları tarafından tartışılıyor.
Güvenlik uzmanı Bruce Schneier’e göre Çinli bilgisayar korsanları, Salt Typhoon saldırısında ABD telekomünikasyon ağlarını ihlal etmek amacıyla telefon dinleme taleplerini yürütmek için ABD hükümeti tarafından kullanılan arka kapılara erişmiş gibi görünüyor ve bu da ülke için büyük güvenlik riskleri oluşturuyor.
Örneğin dünyanın önde gelen bilgisayar bilimcileri ve kriptograflarının çoğu, 2017’de Apple’ın kolluk kuvvetleri adına şifrelenmiş mesajları yasa dışı içerik açısından tarama yönündeki önerilerinin işe yaramaz, kötüye kullanıma açık ve emniyet ve güvenlik açısından bir tehdit olduğu konusunda uyardı.
Şifrelemeyi zayıflatmak ‘demokrasiye tehdit’
Avrupa’da polis güçleri, hükümetler ve askeri kuruluşlar tarafından kullanılan şifreli mesajlaşma hizmeti Matrix’in kurucu ortağı Amandine Le Pape, Computer Weekly’ye kolluk kuvvetlerine erişim sağlamak için şifrelemenin düşürülmesinin polis güçleri de dahil olmak üzere herkes için güvenliği zayıflatacağını söyledi.
“Şifrelemenin zayıflamasının demokrasiye yönelik bir tehdit olduğunu düşünüyorum çünkü bu, herhangi bir devlete vatandaşları hakkında casusluk yapma fırsatı veriyor” dedi. “Belki bugün Avrupalı hükümetlerimize güvenebiliriz, peki ya yarın?”
Le Page, kolluk kuvvetlerinin şifrelemeye girmeden suçları soruşturması için şifrelenmemiş sohbetlerin, sosyal medyanın izlenmesi ve iletişimlerdeki meta verilerin analiz edilmesinin de dahil olduğu yollar olduğunu söyledi.
Matrix’in kurucusu, De Bolle’un bir evdeki kilitli kapı benzetmesine göre, kolluk kuvvetlerinin şifrelenmiş mesajlara erişimini sağlamanın, kapının kilidini zayıflatmakla eşdeğer olduğunu söyledi.
“Evin kapısı yoksa, ister polis ister suçlular içeri girmek istesin, herkes içeri girebilir” dedi.