hedef-alan-oklar

Pegasus Project: İnsan hakları ve basın özgürlüğüne saldıranların en sevdiği şirketin ifşası

İsrail merkezli NSO Group, dünyada en kötü üne sahip teknoloji şirketleri arasında zirveye oynayacak isimlerden birisi. Kendilerini “küresel güvenlik ve istikrar için siber istihbarat” sloganıyla tanıtan şirketin yaptığı iş aslında devletlere, istihbarat kurumlarına ve ordulara casusluk ve gözetim amaçlı kullanılabilecek yazılımlar üretip satmak. Bulundukları sektör içerisindeki en büyük oyunculardan biri olsalar da isimlerinin dünya çapında bilinmesinin sebebi terör ve benzeri sorunlara karşı başarılı kullanımları değil, sıklıkla karşımıza gazetecilere, insan hakları aktivistlerine ve avukatlarına karşı kullanılıyor olmaları yüzünden çıkmaları.

NSO Group'un CEO'su ve bölgede yaşayan iki kişi şirket logosunun olduğu bir duvarın önünde kurdele keserek poz veriyor.
Kaynak: Ministry for the Development of the Periphery, the Negev and the Galilee.

Geçtiğimiz yıllar içerisinde özellike Amnesty Tech ekibi ve Citizen Lab tarafından yürütülen araştırmalarda NSO Group teknolojilerinin otokrat devletler tarafından gazetecilere ve avukatlara karşı kullanıldığına dair birçok kanıt sunuldu. 18 Temmuz günü Amnesty Tech, Citizen Lab, Forbidden Stories ve the Guardian gibi birçok gazetecilik kurumunun ortaklığında yayınlanmaya başlanan “Pegasus Project” isimli dosya ise bu kanıtların belki de en büyüğü.

Önümüzdeki günlerde araştırmanın sonuçlarına dayanan yeni haberler ile bu dosya yayınlanmaya devam edecek fakat şu ana kadar yayınlananlar bile NSO Group’un ve meşhur yazılımları Pegasus’un nasıl çalıştığına hem de bu araçların özellikle gazetecilere karşı nasıl kullanıldığına dair çok önemli bilgiler sunuyor.

Pegasus’un teknik gücü

Yayınlanan araştırmanın odağında, NSO Group’un en meşhur araçlarından birisi olan Pegasus var. Bu araç ve beraberinde gelen birçok farklı senaryoya uygun casus yazılımlar, ihtiyaca ve hedeflenen kişinin kullandığı cihaza göre birçok farklı duruma uyum sağlayabiliyor. Bir kez cihaza girebildiğinde ise içerisinden mesajlarınız ve fotoğraflardan konum bilgilerinize kadar her şeyi alması mümkün olabiliyor. Siz iletişiminizi her aşamada şifreliyor olsanız bile, Pegasus cihazınızın içerisine yerleştiği için sizin görebildiğiniz her şeyi aynı şekilde görme imkânına sahip oluyor. 

Amnesty ekibinin hazırladığı adli metodoloji raporu Pegasus üzerine genel bir metodoloji raporu olsa da teknik detaylar ağırlıkla iOS cihazları hedef alan saldırılardan geliyor. Bunun sebebini ise ekip “inceledikleri iOS cihazlarda daha fazla veri bulabilmeleri ve Android cihazlarda bunun söz konusu olmaması” ile açıklıyor ve bunun sistemler arasındaki güvenlik seviyesiyle bir alakası olmadığını ekliyor. Aksine bu durum Pegasus ve NSO Group’un Android sistemlerde kendisini daha iyi gizleyebildiğinin bir işareti de olabilir. Buna rağmen metodoloji raporu Pegasus’un teknik işleyişini ve saldırı mantığını anlamak konusunda çok önemli bilgiler içeriyor.

Bu casus yazılımları cihazlara ulaştırmanın birçok farklı yolu olsa da geçtiğimiz yıllarda sıkça başvurulan oltalama yöntemleri artık işe yaramıyor. Tanımadığımız birisinden gelen dosyalara ve linklere eskisi kadar güvenmediğimizden dolayı NSO Group da buna çözüm olarak daha agresif ve cihazın sahibi tarafından görülmesi zor yollar üretmeye başladı. Araştırmada öne çıkan ve sıkça başvurulduğu tespit edilen bu yollardan birisi de “zero-click” (sıfır tık) saldırıları.

“Zero-click” saldırıları, genellikle cihazın normal olarak gerçekleştirdiği işlemleri manipüle ederek, kullanıcı farkına varmadan casus yazılım yerleştirmeye verilen genel isim. Yani bildiğimiz saldırılardaki gibi sizin bir şey kurmanıza ya da bir linke tıklamanıza gerek yok, eğer güvenlik açığı sistemde mevcutsa bu saldırı yöntemiyle onu doğrudan kullanabiliyorlar. Bu açık ile sistemin içerisine girdikten sonra da cihazı sürekli takip etmek için gerekli olan ek kodları yerleştirmeye başlıyor.

Ortalama bir akıllı telefon kullanıcısı için tespit edilmesi imkânsız olan bu saldırılar telefonun işletim sisteminin bir parçası olan yazılımlarda NSO araştırmacıları tarafından keşfedilen ya da satın alınan güvenlik açıkları kullanılarak hayata geçiriliyor. Rapordaki verilere göre NSO ve Pegasus, mevcut iOS ve Android sürümlerinin içerisinde henüz kapatılmamış güvenlik açıklarına sahip ve bunları kullanabiliyor.

Teknik raporda bunu hayata geçirmek için özellikle öne çıkan iki yol: web site ziyaretleri ve gelen mesajlardaki eklerin otomatik yüklenme süreci. Burada Pegasus’u cihaza yerleştirmek için oldukça karmaşık ve çok aşamalı yönlendirmeler yaparak arada casus yazılımın olduğu adresin de ziyaret edilmesini ve bu sayede kodun cihaza indirilmesi yolunun tercih edildiğini görüyoruz. 

Bu iki farklı yol arasında sıklıkla mesajın tercih edilmesi de dikkat çekici bir detay. İnternette gezinirken bu yönlendirme yolunu kullanabilmeleri için saldırganların doğrudan internet trafiğini görebilmesi ve bu trafiğe anlık müdahalede bulunabilmesi gerekiyor. Her ne kadar devletlerin İnternet Servis Sağlayıcılardan böyle bir talepte bulunması mümkün olsa da rapor bu yolun daha az tercih edildiğini gösteriyor. Bunun yerine uzaktan uygulaması daha kolay olan mesaj yöntemine başvuruluyor. Kullanıcıların genellikle mesajlar ve e-postalardaki içeriklerin otomatik yüklenmesini sağlayan ayarları değiştirmekle uğraşmaması da bu saldırının hayata geçirilmesini kolaylaştırıyor.

Amnesty’nin yayınladığı dosyalar arasındaki domain listesi, NSO Group’un bu yönlendirme ve gizleme amacıyla kullandığı adreslerin kapsamlı bir listesini de görmemizi sağlıyor. 1400’ü aşkın alan adını barındıran bu liste, şirketin gizlenmek için ne kadar zahmetli yollar izlediğinin de bir kanıtı. Adreslerin çoğu anlık olarak normal zannedilebilecek şekilde tasarlanmış ve bu sayede kullanıcıların veya onlara bu konuda destek veren kişilerin gözünden kaçması umulmuş.

Pegasus’un öne çıkan bir diğer teknik özelliği de cihazda olabildiğince az iz bırakmak için çabalıyor olması. Amnesty raporunda bu detay özellikle vurgulanıyor ama ek olarak, söz konusu iPhone cihazlar olduğunda bunda pek başarılı olamadıklarını da söylüyor. Cihazlarda Pegasus’un izlerinin bulunabilmesi de çoğunlukla bu başarısızlıkları sayesinde mümkün olmuş. Gizlenmek için başvurdukları klasik yollardan birisi de işletim sisteminin gerçek işlemlerine çok benzer isimleri olan sahte isimler kullanmak.

Amnesty Tech ekibi bu araştırma sürecinde NSO Group ve Pegasus tarafından kullanılan 1407 farklı domain, 1748 farklı subdomain ve Pegasus kurulumu için kullanılan 379 farklı sunucu tespit etmiş. Yayınladıkları araştırma verilerinin içerisinde bunlara ek olarak saldırılar için kullanılan email adresleri, dosya ve sistem işlemi isimleri gibi teknik detaylar da mevcut. 

Amnesty raporunda farklı raporların NSO sunucularının aktifliğini nasıl etkilediğini gösteren tablo.
Kaynak: Amnesty Tech

Ayrıca rapor geçmişte NSO’nun kullandığı tespit edilen sunuculara dair raporların yayınlanması ve NSO’nun altyapı değişikliğine gidişine dair de kapsamlı bir analiz sunuyor. Bu da bize yapılan araştırmaların ve yayınlanan raporların şirketin işini yavaşlatma konusunda faydalı olduğunu gösteriyor. 

Tüm bunlara ek olarak Amnesty ekibi herkesin kullanımına açık bir güvenlik testi yazılımı da geliştirmeye başladı. Mobile Verification Toolkit isimli bu yazılım, iOS ve Android cihazlarda NSO Group ve Pegasus izi olup olmadığını tespit etmenize yardımcı olabilir.

OCCRP'nin hazırladığı ve Pegasus'un hedefi olduğu tespit edilen isimlerin ülkelerini gösteren harita.
Kaynak: OCCRP

Pegasus’un hedefleri

Pegasus Project dosyasının belki de en iç karartıcı yanlarından birisi hedef alınan kişi listesinin büyüklüğü. Sızdırılan veriler içerisindeki hedef listesinde 50.000 telefon numarası bulunuyor. Bu numaraların sahipleri gazeteci, aktivist, siyasetçi, avukat, diplomat ve hatta devlet liderleri. Tabii burada özellikle gazeteciler ve insan hakları aktivistlerine değinmekte fayda var.

Örneğin Pegasus tarafından hedef alınan gazetecilerden birisi Meksikalı serbest gazeteci Cecilio Pineda Birto. Meksika’daki uyuşturucu çeteleri konusunda yaptığı haberler yüzünden sıklıkla tehdit alan Pineda, 2 Mart 2017’de öldürülmüştü. Cinayete dair hiçbir yargı süreci başlatılmamıştı fakat sızıntılar ölümünden bir hafta öncesinde başlayan anonim ölüm tehditleri ile aynı zamanda Meksika’daki bir NSO Group müşterisinin onun numarasını takip listesine eklediğini gösteriyor. Meksika NSO’nun ilk büyük müşterilerinden birisi olduğu için, Meksika’dan listeye girenlerin sayısı hayli yüksek.

Bir diğer hedef Azeri araştırmacı gazeteci Khadija Ismayilova. Azerbaycan’da 18 ay boyunca hapiste kalan ve beş yıl yurt dışına çıkma yasağı biter bitmez ülkesinden ayrılan Ismayilova, üç yıldır cihazına yüklenen Pegasus ile takip ediliyormuş. Listede şu ana kadar tespit edilebilen isimler içerisinde Azerbaycanlı olanların sayısı ise 74.

Benzer şekilde birçok otokrat ülkenin hedeflerini listede bulmak mümkün. Cemal Kaşıkçı’nın ailesi, cinayetinin öncesinde ve sonrasında Pegasus ile hedef alınmış; Türkiye’de cinayetle ilgili soruşturmayı üstlenen savcının da telefon numarası listede yer alıyor. Hindistan’da Modi’nin karşısındaki en önemli muhalif isimlerden Rahul Gandhi ve araştırmacı gazeteciler Siddharth Varadarajan ve Paranjoy Guha Thakurta hedef listesinde. Macaristan’da birçok muhalif, gazeteci ve medya çalışanını da hedef listesinde bulmak mümkün. Orban, muhaliflerini ve gazetecileri gözetlemek için hiçbir masraftan kaçınmamış.

Sızıntı aynı zamanda Batı medyasının büyük isimlerinde çalışan gazetecilerin de NSO Group’un hedefi olmaktan kurtulamadığını gösteriyor. Şu anda Financial Times Genel Yayın Yönetmeni olan Roula Khalaf, 2018 yılı boyunca Pegasus hedef listesinde yer almış. Benzer şekilde hedef alınan gazetecilerin çalıştıkları kurumlar arasında Wall Street Journal, CNN, New York Times, Al Jazeera, France 24, Radio Free Europe, Mediapart, El País, Associated Press, Le Monde, Bloomberg, Agence France-Presse, the Economist, Reuters ve Voice of America da mevcut.

Şu ana kadar listede tespit edilen gazeteci sayısı ise 200 civarında.

Washington Post‘un dosya kapsamında yayınladığı haber, listedeki siyasetçi sayısının büyüklüğünü ve ciddiyetini de görmemizi sağlıyor. Listede tespit edilebilen 600 siyasetçi içerisinde Fransa Cumhurbaşkanı Emmanuel Macron, Güney Afrika Cumhurbaşkanı Cyril Ramaphosa, Mısır Başbakanı Mostafa Madbouly ve Fas kralı 4. Muhammed gibi mevcut liderler var. Tespit edilen diğer siyasetçilerin ülkeleri arasında ise Türkiye, Birleşik Krallık, ABD, Meksika, Katar, Çin ve Hindistan dahil olmak üzere toplam 34 ülke yer alıyor.

Araştırmayla ilgili birçok kurum ve gazetecinin ortak çalışmasıyla yeni haberler ve bilgiler yayınlanmaya devam edecek. Bu da önümüzdeki günlerde ve haftalarda Pegasus ile kimlerin hedef alındığı ve bunların nasıl sonuçları olduğuna dair daha fazla fikir sahibi olmamızı sağlayacak. Fakat, geçtiğimiz birkaç günde edindiğimiz bilgiler bile durumun ne kadar kötü olduğunu anlamak için yeterli.

Birden çok zebranın olduğu bir animasyon, zebralardan bir tanesinin çizgileri hedef tahtası şeklinde.
Abraham Pena

Casus yazılımlara karşı ne yapabiliriz?

Teknik açıdan baktığımızda Pegasus fazlasıyla sinsi bir araç ve buna karşı alınabilecek güvenlik önlemlerinin amacı ancak saldırının başarılı olma ihtimalini ya da etkisini azaltmaya yönelik olacaktır. 750’nin üzerinde araştırmacısı olan bir ekibe sahip ve sürekli kullandığımız telefonlardaki yeni güvenlik açıklarının peşinde olan bir şirkete karşı maalesef yapılabilecekler de sınırlı.

Yine de riski ve etkiyi en aza indirmek için alınabilecek önlemlerden bazıları şunlar olabilir:

  • Kullandığınız cihazların sistem güncellemelerini aksatmadığınızdan emin olun. Yeni cihaz alacağınız zaman da bu güncellemeleri olabildiğince uzun süre sağlayan marka ve modelleri tercih edin.
  • iMessage kullanıyorsanız Ayarlar menüsünde “Bilinmeyenleri Filtrele” özelliğini aktifleştirin. Genel olarak tanımadığınız kişilerden gelen iletişim talepleri konusunda daha dikkatli olun.
  • Eğer çalıştığınız kurumda IT ile ilgilenen özel birileri varsa Amnesty’nin yayınladığı verilerle düzenli ağ taraması yapabilir ve paylaştıkları Mobile Verification Toolkit ile cihazları tarayabilir. Eğer sizin teknik bilginiz yeterliyse bunları bireysel olarak yapabilirsiniz.
  • Eğer bu tarz saldırıların sizin için yüksek bir risk olduğunu düşünüyorsanız cihazınızda olabildiğince az “faydalı” veri bırakmaya çalışın. İhtiyacınız olacak verileri çevrim dışı bir yerde yedeklemeye çalışın.
  • Genel olarak dijital güvenlik pratiklerinizi gözden geçirin ve güncelleyin. Tehdit modellemesi konusunda kendinizi eğitin.

İşin teknoloji boyutunda önümüzdeki haftalar ve aylarda daha fazla gelişme göreceğimiz de kesin. Apple ve Google’ın güvenlik ekipleri şu anda elde edebildikleri her veriyi inceleyip NSO tarafından kullanılan ve kullanılabilecek açıkları kapatmak için çalışıyordur. Yakında yeni güvenlik güncellemeleri ve muhtemelen işletim sistemlerinin güvenlik yapılarını güçlendirecek yeni özellikler görmeye başlayacağız. Benzer şekilde NSO tarafından hizmetleri kullanılan şirketler de konuyla ilgili eyleme geçmeye başladı. Örneğin Amazon, NSO tarafından Pegasus için kullanıldığını tespit ettiği AWS sunucularının hepsini kapattığını duyurdu.

Fakat tüm bunlar karşımızdaki köklü sorunu çözmek için yeterli değil. Casus yazılımların giderek büyüyen bir sektör olması ve göstermelik denetimler dışında hiçbir şekilde kontrol edilmemesi herkesin güvenliğini riske atıyor. Örneğin, NSO Group kimlere Pegasus satışı yaptığını denetlediğini iddia ediyor ve bu konularda hassas olduğunu söylüyor fakat şu ana kadar elimize geçen tüm veriler bu iddialarını yalanlıyor. Ortaya çıkan her örnek, bu casus yazılımların temel insan haklarını ihlal etmek ve gazeteciler gibi grupları hedef almak için sıklıkla kullanıldığını gösteriyor.

Üstelik bu denetimsizlik sektörde sürekli yeni aktörler görmemize neden oluyor. NSO Group öncesinde Hacking Team gibi birkaç isim dışında pek kimse yoktu fakat şu anda Palantir’den tutun da geçtiğimiz hafta içerisinde adını ilk kez duyduğumuz Candiru gibi casus yazılım şirketlerinden bahsediyoruz. Bunların ürettikleri teknolojileri neredeyse hiçbir denetimden geçmeden satıyor olmaları da yalnızca gazeteciler veya muhalif siyasetçilerin değil, bu teknolojileri kullanan herkesin güvenliğini riske atıyor. Üstelik “0-day market” adı verilen ve para kazanmak için bulduğu güvenlik açıklarını böyle şirketlere satan hackerlar da bu şirketlerin işini kolaylaştıran faktörlerden birisi.

Snowden’ın deyimiyle “aşıdan etkilenmeyen yeni virüsler geliştirmeyi meslek edinmiş” bu sektörün varlığı herkes için bir tehdit.

Bu sorunun kökten çözümü için gereken ise katı bir sınırlama ve hatta ticaret yasağı. Yaptıkları her işi gizli şekilde yapmaları ve varolan denetimlerin ne olduğunun bile belli olmaması, bu sektörün tamamen durdurulması dışında bir seçenek bırakmıyor. Elbette bunun gerçekleşme olasılığı oldukça düşük. Böyle bir yasağın ancak BM gibi devletlerden oluşan bir yapı ile getirilmesi mümkün ve devletlerin yıllardır büyük bir keyifle kullandıkları bu teknolojilerden vazgeçeceklerini sanmıyorum. Özellikle de bu şirketler devletlerle yakın ilişkilerini korumak için lobicilik de dahil ellerinden gelen her şeyi yaparken.

Fakat tıpkı Edward Snowden’ın NSA gözetimine dair belgeleri sızdırdığı zaman gibi küresel bir baskı yaratmak mümkün. Özellikle de NSA belgelerine kıyasla çok daha global bir güvenlik ve gözetim skandalıyla karşı karşıya olduğumuzu düşünecek olursak. Pegasus Project bize NSO Group ve casus yazılım sektörünün insan hakları ihlallerini nasıl kolaylaştırdığını ve bu sektörün tüm insanların güvenliğini tehlikeye atabilecek güce sahip olduğunu bize gösteriyor. Bunu durdurmak için bir şeyler yapmazsak bugün öğrendiğimiz 50.000 kişiye her gün binlercesi eklenmeye devam edecek.

Subscribe
Bildir
guest
1 Yorum
Eskiler
En Yeniler Beğenilenler
Inline Feedbacks
View all comments
Aylin
Aylin
3 yıl önce

Müthiş bir yazı olmuş. Elinize sağlık.
Cami duvarına işemekte siyasilerin üstüne yok. Bu şirketleri beslemeye devam etmek için kendilerini ikna etmekte zorlanmayacaklardır.

İlginizi çekebilir