Telegram’ın Blockchain Tabanlı Yeni Sisteminde Güvenlik Açıkları Bulunduğu İddia Edildi

ICO’sunu halka dahi açmadan özel satışta bitiren ve 1.7 milyar dolarlık parayı toplamayı başaran Telegran, kripto para dostu ilk özelliğini yayınladı ancak bu güncelleme, araştırmacıların şüphesi ile karşılaştı.

Bugün itibariyle bir blog yazısında durumu değerlendiren ABD merkezli siber güvenlik girişimi Virgil Security, Telegram’ın yeni kimlik doğrulama uygulamasında ciddi güvenlik açıkları bulduklarını ifade etti. Passport adı verilen bu yeni sistemin, halka açık olması ve herkesin inceleme yapabilmesi sebebiyle Telegram’a teşekkür eden Virgil Security yetkilileri, buna karşın sistemin veriyi şifrelemesi ve depolaması konusunda ciddi sorunlar olduğunu belirtti.

Virgil Security yetkilileri şu ifadeleri kullandı:

”Kendi özelliklerini sektörün uzmanlarınca incelenmek üzere açık tutmaları oldukça güzel ve işin gelişmesini sağlayacaktır. Ancak şunu da söylemek gerekir ki, Passport’un güvenlik özellikleri bazı noktalarda ciddi hayal kırıklıkları ile dolu.”

Telegram, milyar dolarlık ICO’su ile resmi manada hiçbir açıklama yapmadı ancak son dönemde ortaya çıkan belgelere göre esas olarak mesajlaşma özelliği ile bilinen Rus girişim, başta şifreli veri paylaşımı ve internet tarayıcılığı hizmetleri olmak üzere birçok alanda ön plana çıkmak istiyor.

Kripto para camiasının artık gayrı resmi iletişim aracı haline gelen platformda Telegram tokenleri ile Blockchain tabanlı çdemeler de yapmak isteyen Telegram, bunu da daha efektif bir şekilde yapabilmek için Passport uygulamasını duyurmuştu.

Özellikle veri paylaşımı ve depolamasının merkezi kurumlar tarafından ele alınmasına da çözüm getirmek isteyen firma, bu yönüyle de kripto para camiasının kanayan yaralarından birine derman olmaya çalışacak.

Yeni ürünü hakkında bir blog yazısı kaleme alan Telegram, tüm kişisel verilerin ve bilgilerin Telegram bulut sisteminde depo edileceğini ve end to end şifreleme metodunun kullanılacağını açıklamıştı. Şifrelemenin de sadece kullanıcının bileceği bir parola ile olacağını belirten firma, Telegram uygulamasının da bu sayede verilere erişiminin olmayacağını belirtmişti.

Telegram, tüm bu verilerin merkezi olmayan bir yöntemle depolanacağını belirtirken, bunun yapılacağı Blockchain tabanlı sistemin sinyallerini de ICO’nun teknik white paper’ında dile getirmişti. Ancak, Virgil Security’e göre, Telegram’ın tekrardan işin en başına dönmesi gerekiyor.

Virgil Security’den Eleştriler

ABD merkezli firmanın yaptığı en sert eleştri, Passport’un şifreleri saklamasında kullandığı yöntem. Passport’un açıklamasınad Telegram’ın sistemin nasıl işleyeceği ile verdiği geniş çaplı bilgiler de göze çarpıyor. Virgil Security, bu noktada Telegram’ın kullandığı SHA 512 sistemine vurgu yapıyor. Şirket, yazdığı uyarı metninde 2018 dünyasında çok kaliteli bir GPU’nun saniyede 1.5 milyar SHA 515 hash’inin brute force yöntemi ile ele geçirilebileceğini belirtiyor.

Firma, daha sonra da uygun donanımdaki bilgisayarlar ile bu şifrelerin her birini çalmanın maaliyetinin de 5 ila 135 dolar arasında değişeceğini belirtiyor bu rakam farkının da şifrelerin gücü ve karmaşıklığı ile ilgili olduğunu belirtiyor.

Ancak metinde saldırganın hack saldırısına başlaması için önce Telegram’ı ele geçirmesi gerektiğine de vurgu yapılıyor.

Virgil Security kurucu ortağı Dmitry Dain, konuyla ilgili şunları söylüyor:

”Şifrelere erişebilmek için kullanıcıların önce Telegram’ın içine sızmaları gerekiyor. Bu içerden bir tehdit, bir basit USB cihazı ya da başka bir spam maili olabilir.”

Dain, birçok kullanıcının verisini Telegram’a yükleyeceğini ve bunun da firmayı ilgi çekici bir hedef haline getireceğini de ifade ediyor. Birçok uzmanın kriptografi konusunda geçmişten bu yana izlediği metodlardan ötürü eleştirdiği Telegram’ın bu yeni özelliği de ciddi eleştriler almış durumda.

Diğer Problemler

Virgil Security’nin fark ettiği bir diğer hata da, Passport’a yüklenen verinin imzalı olmadığı. Kriptografik olarak bir verinin imzalı olması demek, ilgili birime veriyi yükleyen kişinin, veriyi yükleyen kişinin kendisi olduğuna dair bir nevi dijital imza atması demek ve bu durum ondan sonra değiştirilemiyor.

Ancak Telegram’ın bu yeni sisteminde bu özelliğin eksik olduğu belirtilirken, bunun da sonucunun şu olabileceği, Virgil Security’nin blog yazısında ifade ediliyor:

”Bu imzalama sistemi olmazsa, saldırgan verinin bir kısmını değiştirebilir ve bundan da kimsenin haberi olmaz. End to end şifreli dendiğinde insanlar tüm verilerinin güvende olduğunu düşünecekler ancak işin aslı, Passport kullanıcılarının bu noktada duydukları güvenin pek de bir dayanağı yok.”

Virgil Security, Telegram’ın bu yeni özelliklerinin daha da geliştirilebileceğini ve şirketin bu noktada önünde iyi bir zaman olduğunu belirtirken, gerekli adımların atılması gerektiğini umduklarını ifade etti.

Telegram ise, bu bahsi geçen güvenlik açıkları ile ilgili henüz bir açıklama yapmadı.