ABD’li teknoloji devi Apple, ürünlerine hackerların sızarak saldırı düzenlemesine fırsat veren kritik bir zafiyet için acil önlem aldı.
Firma tüm Mac, iPhone ve iPad’leri etkileyen ve bu cihazların kullanıcı hiçbir linke tıklamadan hacklenmesine olanak sağlayan bir güvenlik açığını kapamak için işletim sistemi güncellemesi yayımladı.
Telefon ve tabletlere iMessage üzerinden gönderilen bir PDF dosyasıyla, kullanıcılar dosyaya tıklamasa bile cihazın ele geçirilebileceği kısa süre önce bağımsız araştırmacılar tarafından ortaya konmuştu.
Toronto Üniversitesi’ndeki Citizen Lab’den araştırmacı Bill Marczak, “Cihazların hiçbir şeye tıklamadan ele geçirilebileceğine dair kanıtlar görmüştük fakat ilk defa bunun bir örneğiyle karşılaştık” değerlendirmesinde bulundu. Zafiyet bilgisayar, tablet ve telefonların yanı sıra Apple Watch’u da etkiliyor.
ZAFİYETİ İSRAİLLİ NSO İSTİSMAR ETMİŞ OLABİLİR
Citizen Lab, bu güvenlik açığının bir Suudi aktivistin telefonunun ele geçirilmesi için kullanıldığını, bunun arkasında İsrail merkezli NSO Group adlı şirketin olduğunu düşündüklerini ifade etti.
Reuters haber ajansına açıklama yapan NSO, saldırının arkasında olduğunu ne yalanladı ne de teyit etti. NSO, “dünya genelinde istihbarat ve kolluk kuvvetlerine, terör ve suçla mücadele için hayat kurtaran teknolojiler satmaya devam edeceklerini” belirtti.
Güvenlik uzmanları bunun çok tehlikeli bir açık olduğunu fakat sıradan kullanıcıların endişe etmesine gerek olmadığını, bu tür saldırıların genellikle hedef alınmış üst düzey kişilere yapıldığını belirtiyor.
Bir blog paylaşımında bu hatayı duyuran Apple, iOS ve iPadOS 14.8 güncellemeleriyle sorunu çözdüğünü duyurdu. Güncelleme Apple cihazlarına indirilebiliyor.
Apple, ABD’deki kullanıcılarının cihazlarında çocuk istismarınıgörselleri tarayarak tespit eden bir teknoloji geliştirdi. Herhangi bir görsel iCloud’da yedeklenmeden önce çocuk taciz ve istismarıyla ilgili içerikleri tarayacak.
Firma, geliştirilen program ile böyle bir içerik tespit edilirse, bunun bir de insan gözüyle değerlendirmesinin yapılacağını ve kullanıcının polise bildirileceğini söylüyor.
Ancak kişisel bilgilerin mahremiyeti kuralını zorlayan bu teknolojinin gelecekte başka yasaklı içerikleri, hatta siyasi görüşleri kapsayacak şekilde genişletilebileceği yönünde kaygılar var.
OTORİTER HÜKÜMETLER KULLANABİLİR
Uzmanlar bu teknolojinin otoriter hükümetler tarafından vatandaşlarını izlemek amacıyla kullanılabileceği endişelerini dile getiriyor.
Apple, iOS ve iPadOS’in bu yıl piyasaya sürülecek olan yeni versiyonlarında “bir yandan kullanıcının mahremiyeti korunurken diğer yandan CSAM içeriklerinin internette yayılmasını sınırlamaya katkıda bulunacak yeni şifreleme uygulamalarının” bulunacağını açıkladı.
Sistem, fotoğrafların, ABD Kaybolan ve İstismara Uğrayan Çocuklar Ulusal Merkezi (NCMEC) ve diğer çocuk güvenliği kuruluşları tarafından derlenen çocuk cinsel istismarı görsellerini bir veri tabanıyla karşılaştırmasını yapacak.
Bu veri tabanlarındaki görseller sayısal kodlara çevirilerek saklanıyor ve Apple cihazındaki görselle eşleştirilebiliyor.
Apple bu teknolojinin ayrıca orijinal görsellerin edit edilmiş versiyonlarını da yakalayacağını bildirdi.
“YANLIŞ ALARM DÜŞÜK İHTİMAL”
Apple, “Bir görsel iCloud’daki fotoğraf dosyasında yedeklenmeden önce, cihazın içinde, çocuk istismarı veri tabanındaki görsellerin sayısal kodlarıyla eşleştirme işleminden geçirilecek” diyor.
Şirket sistemin son derece güvenilir sonuçlar verdiğini ve bir hesap hakkında yanlış alarm vermesi şansının bir yıl içinde trilyonda birden bile küçük olduğunu söylüyor.
Apple ayrıca sistemde eşleşme tespit edilen her bir durumun bir insan tarafından yeniden gözden geçirileceğini de söylüyor ve kullanıcının hesabının ancak bundan sonra polise bildirilip kapatılabileceğini vurguluyor.
Şirket yeni teknolojinin, yalnızca iCloud hesabında çocuk istismarı içerikli bir dizi fotoğraf bulunduran kullanıcıları tespit edebildiğine işaret ederek, bunun, mevcut teknolojilere kıyasla kişisel bilgilerin korunması açısından önemli avantajlar sunduğunu da söylüyor.
KİŞİSEL VERİLERİN GÜVENLİĞİNE İLİŞKİN ENDİŞELER VAR
Ancak bütün bu açıklamalar, bazı uzmanların kişisel bilgilerin mahremiyeti bakımından duyduğu endişeleri gidermiş değil.
ABD’deki Johns Hopkins Üniversitesi’nde güvenlik araştırmaları yapan Matthew Green, “Apple’ın uzun vadeli planları ne olursa olsun, bu sistemi kullanacaklarını açıklamakla çok net bir işaret vermiş oldular: Yasaklı içerikleri izlemek için kullanıcıların telefonlarına sistem yerleştirmek serbest olacak” diyor ve ekliyor:
“Bu konuda haklı çıkıp çıkmamalarının hiç bir önemi yok. Bu bir eşiğin aşılması demek ve hükümetler bunu herkesten talep edecek.”
Son zamanlarda bazı ülkelerin Türkiye’ye yönelik ambargolarına firmaların ürün ve hizmet satışı kısıtlamaları da eklendi. İsrail merkezli siber güvenlik firması Cellebrite daha önce birçok kez çalıştığı Türkiye’ye boykot kararı aldı.
Teknolojinin yaygınlaşmasıyla çevrimiçi olarak, elektronik cihazlarla suç işlenme oranı giderek artıyor. Özellikle mobil cihazların incelenmesi bilişim suçlarının çözüme kavuşturulmasında son derece önemli bir rol oynuyor. Bu iş için adli bilişim firmaları tarafından geliştirilen pek çok yazılım olsa da teknoloji üreticileri de cihazların güvenliği için yeni önlemler almaya devam ediyor.
Amerikan Federal Araştırma Bürosu (FBI) 2015’te de ABD’nin San Bernardino kentinde 14 kişinin öldürüldüğü terör saldırısında saldırganlardan birinin şifreli telefonundaki bilgilere erişmek için Apple’ın kapısını çalmış ve “hayır” cevabı aldıktan sonra İsrailli Cellebrite firmasına başvurmuştu.
FBI mobil cihazlarının imajlarının kopyalarının alınmasını sağlayan firmaya 1 milyon dolardan fazla ödemişti. Geçtiğimiz yıl FBI, Amerikan deniz üssünde silahlı saldırı düzenleyen kişiye ait iki telefonda bulunan verileri istemek için bir kez daha Apple’a başvurdu. Fakat Apple, iş birliği yapmayı yine reddetti. Mahkemeye taşınan olay, bilişim suçları ile teknoloji dünyası arasındaki veri gizliliği savaşını yeniden alevlendirdi.
HEM KURUMLARI HEM DE ÖZEL ŞİRKETLERİ OLUMSUZ ETKİLEYEBİLİR
Bu ve benzeri vakalar şifreli telefonlardaki verilerin elde edilmesi için üretilen adli bilişim yazılımlarının önemini ortaya koyuyor. Öte yandan telefon modelleri çok hızlı güncellendiği ve her çıkan model ile şifrelerinin kırılmasının yeniden başlayan bir süreç olduğunu hesaba katıldığında, bu alanda yazılım geliştirme konusunda büyük bir rekabetin olduğunu da söylemek mümkün.
Tüm dünyada olduğu gibi ülkemizde de bilişim suçlarında kritik rol oynayan bu yazılımları geliştiren iki dünyaca ünlü firmanın son dönemde Türkiye’ye yazılım satışını durdurmaları gündeme geldi. Bu firmalardan biri Türkiye’de Emniyet, Jandarma ve Adli Tıp Kurumu’nun incelemeler için yaygın olarak kullandığı İsrailli Cellebrite. İsrailli firma Wassenaar Düzenlemesini gerekçe göstererek Türkiye’yi ihraç listesinden çıkardı ve Türkiye’ye yazılım satmama kararı aldı.
Siber kısıtlamaların sebep olduğu sorunlar hem kurumları hem de özel şirketleri olumsuz etkileyebilir. Kurumların işlerlikleri zarar görebileceği gibi, bu kurumlardan hizmet alan başka kurumların ya da kişilerin huzur ve refahının yanı sıra, maddi zararlar görmesine de sebep olabilir. Bu durumun farkında olan ülkeler kendi siber ordularını kurma çabasındalar.
Wassenaar Düzenlemesi (WD) konvansiyonel silahların ve çift kullanımlı malzeme ve teknolojinin ihracatını kontrol etmeyi hedefliyor. Türkiye, düzenlemeye 1996 yılında kurucu üye olmuştu.Türkiye konvansiyonel silahlar ve çift kullanımlı malzeme ve teknolojinin bütün ihracat kontrol rejimlerine taraf bir ülke.
Dünya genelinde 42 üyenin konvansiyonel silahların ve çift kullanımlı mal ve teknolojilerin transferleri hakkında bilgi alışverişinde bulunduğu gönüllü bir ihracat kontrol rejimi olan Wassenaar, bu tür değişimler aracılığıyla, silah ve çift kullanımlı mal ihracatında üyeleri arasında “daha fazla sorumluluk” geliştirmeyi ve “istikrarsızlaştırıcı birikimleri” önlemeyi amaçlıyor.
Wassenaar Düzenlemesine üye ülkeler ayrıca diğer üyelerin önerilen ihracatları üzerinde veto yetkisine sahip değiller. Wassenaar, şeffaflığı teşvik etmek için devletleri, anlaşmanın iki kontrol listesinde yer alan silahlar ve maddelerle ilgili ihracat faaliyetleri hakkında bir dizi gönüllü bilgi alışverişi ve bildirimde bulunmaya çağırıyor.
Apple cihazlarına yönelik bir zafiyetin kullanıldığı siber saldırı yöntemi, Çin‘in Uygur Türklerine yönelik casusluk faaliyetlerinde çok önemli bir silaha dönüştü.
ABD’li yetkililer, yöntemin ülkenin en iyi hack yarışmasında geliştirildiğini iddia ediyor. Saldırıyı ayrıntılı bir şekilde analiz eden ABD istihbaratı konuyla ilgili olarak Apple’ı bilgilendirdi.
Mart 2017’de, Çin’den Vancouver’a gelen bir grup hacker’ın tek bir hedefi vardı: Dünyanın en popüler teknolojilerindeki gizli zafiyetleri bulmak. Hedefte, Google’ın internet tarayıcısı Chrome, Microsoft’un Windows işletim sistemi ve Apple’ın iPhone’u bulunuyordu. Ancak bahsi geçen işlem, herhangi yasadışı bir unsur içermiyordu. Bu kişiler, dünyanın en prestijli hack yarışmalarından biri olan Pwn2own’un katılımcılarından sadece birkaçı idi.
Dünyanın dört bir yanından seçkin bilgisayar korsanlarını 0-day olarak bilinen ve daha önce keşfedilmemiş zafiyetleri ortaya çıkarmaları halinde büyük miktarlarda para ile ödüllendiren Pwn2own yarışmasının 10. yıldönümüydü. Herhangi bir güvenlik açığı bulunduğunda, detaylar ilgili şirketlere bildiriliyor ve bunları düzeltmeleri için bu şirketlere zaman veriliyor. Hacker de ödülünü alıp yoluna devam ediyor.
ÇİNLİ GÜVENLİK DEVİ: HACKERLARIN BAŞARISI ÜLKEDE DEĞERLENDİRİLMELİ
Çinli hackerlar yıllardır Pwn2Own gibi etkinliklerde en başı çektiler ve bu yolla milyonlarca dolar ödül kazandılar. Ancak 2017’de bu durum son buldu.
Zira o dönem, Çin’in en önemli teknoloji firmalarından siber güvenlik devi Qihoo, 360’ın milyarder kurucusu ve CEO’su beklenmedik bir açıklama yaparak hackerlık yarışmalarına katılmak için yurtdışına giden Çin vatandaşlarını eleştirdi.
Zhou Hongyi, Çin Haber Sitesi Sina’ya verdiği röportajda bu tür etkinliklerde iyi performans göstermenin sadece “hayali” bir başarıyı temsil ettiğini söyledi. Çinli hackerların denizaşırı yarışmalarda güvenlik açıklarını ortaya çıkarmasına tepki gösteren Hongyi aksine hackerların ve sahip oldukları bilgilerin, yazılım güvenlik açıklarının gerçek öneminin ve “stratejik değerinin” anlaşılabilmesi için “Çin’de kalması” gerektiğini savundu.
TİANFU KUPASI, ÇİN’İN EN BÜYÜK VE EN PRESTİJLİ BİLGİSAYAR KORSANLIĞI YARIŞMASI
Çok geçmeden, Çin hükümeti siber güvenlik araştırmacılarının denizaşırı hacker yarışmalarına katılmalarını yasakladı. Sadece birkaç ay sonra da, Çin uluslararası yarışmaların yerini alacak olan kendi yarışmasını ilan etti. Tianfu Kupası olarak bilinen yarışma, katılımcılara bir milyon dolara kadar para ödülü sunuyor.
Yarışmanın açılışı Kasım 2018’de gerçekleştirildi. 200 bin dolar değerindeki en büyük ödül ise, en yeni ve en güncel iPhone’ların bile kontrolünün kolayca ve güvenli bir şekilde ele geçirilmesine izin veren olağanüstü bir güvenlik açığını ortaya çıkaran Qihoo 360 araştırmacısı Qixun Zhao’ya verildi. Zhao, iPhone’ların işletim sisteminin çekirdeğinde, bir zayıflık buldu. Sonuç? Bir saldırgan, Qixun’un kötü amaçlı kodunu içeren bir web sayfasını ziyaret eden herhangi bir iPhone’u ele geçirebiliyor. Bu aslında, suç örgütlerine veya hükümetlere çok sayıda insana casusluk yapma fırsatı veren ve piyasada milyonlarca dolara satılabilecek bir hack türü. Qixun buna “Kaos” adını verdi.”
APPLE GÜNCELLEME YAYINLADI
İki ay sonra, Ocak 2019’da Apple, kusuru gideren bir güncelleme yayınladı. Aynı yılın ağustos ayında Google, “iPhone’lardaki güvenlik açıklarından kitlesel olarak faydalanılması” olarak nitelendirdiği bir hackleme kampanyasına dair önemli bir analiz yayınladı. Google araştırmacıları, gerçek dünyada kullanılan saldırılar ile Kaos arasındaki benzerliklere dikkat çekerek önemli bir tespite imza atmışlardı. Ancak atladıkları bir şey vardı: Kurbanların ve saldırganların kimlikleri. Bu da Uygur Müslümanları ve Çin hükümetine denk geliyordu.
ÇİN’İN UYGURLARI GÖZETLEME FAALİYETLERİNİN EN BÜYÜK DESTEKÇİSİ HACKERLAR
Çin, yaklaşık yedi yıldır Uygur halkına ve Batı Sincan eyaletindeki diğer azınlık gruplarına karşı insan hakları ihlalleri gerçekleştirmekte. Pekinli yetkililer Çin’in “terörizm ve aşırıcılıkla” mücadele ettiğini belirtirken Amerika Birleşik Devletleri ve diğer ülkeler eylemleri soykırım olarak nitelendiriyor. Öte yandan Uygur halkına yönelik suiistimallerde hackleme kampanyalarından da büyük ölçüde faydalanılıyor.
Bu hackleme kampanyaları Çin sınırlarını aşıp sınırötesindeki Uygurlara kadar uzanmış durumda. Gazetecileri, muhalifleri ve Pekin’in yeterli derecede sadakat göstermediğinden şüphelendiği kişilere kadar uzanan çok geniş kapsamlı bir operasyona işaret ediliyor.
Google’ın araştırmacılarının saldırıları fark etmesinden kısa bir süre sonra, medyaya yansıyan raporlar da aradaki bağlantıya dikkat çekiyordu: Kaos adı verilen güvenlik açığı istismarını kullanan kampanyanın hedefleri Uygur halkıydı ve bilgisayar korsanları da Çin hükümetiyle bağlantılıydı. Apple, saldırının iki ay içinde gerçekleştiğini doğrulayan bir blog yazısı yayınladı: Bu, Qixun’un Tianfu Kupası’nı kazandıktan hemen sonra başlayan ve Apple düzeltmeyi yayınlayana kadar uzanan döneme işaret ediyordu. Apple, Çin’deki Uygur Müslümanlarının son iPhone hack kampanyasında hedef alındığını söyledi.
MIT Technology Review, Amerika Birleşik Devletleri istihbaratının Uygurlara karşı kullanılan Kaos isimli güvenlik açığı istismarını tespit ettiğini ve Apple’ı bilgilendirdiğini öğrendi. Öte yandan hem Apple hem de Google haber hakkında yorum yapmayı reddediyor.
Amerikalılara göre Çinliler Qihoo’nun Zhou Hongyi tarafından ortaya konan “stratejik değer” planını takip ediyor. Ayrıca Tianfu Kupası’nın önemli bir hacki ortaya çıkardığı ve güvenlik açığı istismarının hızla Çin istihbaratına teslim edildiği ve bunun da daha sonra Uygurları gözetlemek için kullanıldığı ileri sürülüyor. Qihoo 360 ve Tianfu Kupası konuyla ilgili yorum yapmaktan kaçınıyor.
ABD’li teknoloji devi Apple geçtiğimiz günlerde istismar edildiği açıklanan 0-day zafiyetlerini yayımlanan güncellemelerle giderdi.
Apple’ın iPhone, iPad, iPod, MacOS ve Apple Watch ürünlerindeki Webkit motorunun aktif olarak istismar edildiği şirket tarafındanaçıklanmıştı.
Web tarayıcılarına, web sayfalarının işlenmesine izin vermek için tasarlanan Webkit motorunda keşfedilen CVE-2021-30665 ve CVE-2021-30663hata kodlu 0-day’ler, RCE saldırılarında kullanılıyor.
CVE-2021-30665, Çinli güvenlik şirketi Qihoo 360 araştırmacıları tarafından keşfedilirken, CVE-2021-30663 anonim olarak kalmak isteyen bir araştırmacı tarafından bildirildi.
Söz konusu 0-day’ler iPhone 6s ve üstü, iPad Pro (tüm modeller), iPad Air 2 ve üstü, iPad 5. nesil ve üstü, iPad mini 4 ve üstü ve iPod touch (7. nesil), macOS Big Sur, Apple Watch Series 3 ve sonraki sürümlerini etkiliyor.
EN KAPSAMLI GÜNCELLEMELERDEN BİRİ
Apple ise yayımladığı iOS 14.5.1, iOS 12.5.3, macOS Big Sur 11.3.1 ve watchOS 7.4.1 güncellemelerinde söz konusu güvenlik zafiyetlerini giderdi.
Apple, en kapsamlı güncellemelerinden biri olan iOS 14.5’u uzun bir sürenin ardından yayımlamıştı. Yayımlanan yeni güncelleme beraberinde pek çok özellik getirirken aynı zamanda kritik güvenlik zafiyetlerini gidermek için de önem taşıyordu.
Apple, iOS 14.5’le beraber geçtiğimiz günlerde duyurduğu, istediğiniz herhangi bir nesneyi takip etmenize yarayan AirTag için iPhone ve iPad’lere AirTag desteği sunuyor. Ayrıca Apple, takip şeffaflığı, yeni emojiler, FaceID ve Siri gibi çeşitli konularda yeni özelliklerini devreye sokuyor.
Ancak bunların yanında söz konusu güncelleme, 50 güvenlik zafiyetini gidermeyi hedefliyor.
GÜNCELLEME BİR AN ÖNCE YÜKLENMELİ
Bahsedilen 50 güvenlik zafiyeti arasında son derece kritik olan CVE-2021-30661 hata kodlu açık, WebKit Deposundaki bir hatadan kaynaklanıyor. Siber saldırganlar tarafından ‘aktif olarak istismar edilmiş olabilir’ denilen açık iPhone’larda RCE saldırılarına yol açıyor.
Güncelleştirme boyutu her ne kadar bir miktar zamanınızı alacak kadar büyük olsa da güvenlik araştırmacıları bir an evvel güncellemeyi yüklemenizi öneriyor.
