ABD’de casus yazılımların kullanılmasını sınırlayan yasal bir düzenleme yapıldı.
Başkan Joe Biden, dünya genelinde siyasi muhalefeti hedef almak için kullanılan ticari casus yazılım teknolojisinin hükûmet tarafından kullanımını kısıtlayan bir kararnameye imza attı.
Beyaz Saray, söz konusu güçlü gözetleme araçlarının kötüye kullanımının sadece otoriter rejimlerle sınırlı kalmadığını belirterek hafta başında kararnameyi yürürlüğe soktu.
Biden yönetiminin aldığı bu karar doğrultusunda ulusal güvenliğe tehdit oluşturan ticari casus yazılımların devlet cihazları ile ABD personelinin elektronik cihazlarında kullanılması kısıtlanmış oldu.
Söz konusu kararla ABD’de devlet cihazlarına veya personelin elektronik cihazlarına izinsiz erişmek veya erişmeye çalışmak ile bu şekilde elde edilecek verilerin kullanılması, aktarılması veya depolanması yasal olarak engellenmiş olacak.
Bunun yanı sıra ABD hükûmetinin faaliyetlerinin ifşa edilmesi, dünya genelinde aktivistler ve muhalefetin sindirilmesi, siyasi baskı uygulanması gibi çeşitli faaliyetlerin de önüne geçilecek.
Beyaz Saray yetkililerinin yaptığı açıklamada “Bu güçlü gözetleme araçlarının kötüye kullanımı sadece otoriter rejimlerle sınırlı kalmadı. Demokratik hükûmetler de kendi sistemleri içindeki aktörlerin, uygun yasal yetkilendirme, denetim ve gözetim olmaksızın vatandaşlarını hedef almak adına ticari casus yazılımlar kullanmışlardır.” denildi.
KARARNAME BAZI İSTİSNALAR İÇERİYOR
Biden’ın imzaladığı karar, devlet kurumlarının casus yazılım programlarını kullanması için istisnalar içeriyor.
Söz konusu karar ayrıca CIA ve NSA gibi her ikisi de yasa dışı izleme faaliyetleri geçmişine sahip devlet kurumları tarafından oluşturulan casus yazılımlar için geçerli olmayacak.
Gizlilik savunucuları ise kararnameyi memnuniyetle karşıladı.
Google’ın Tehdit Analiz Grubu araştırmacıları, “kişiye özel Bilgi Güvenliği Çözümleri” sunan bir İspanyol şirketinin Chrome, Firefox ve Microsoft Defender antivirüs programındaki açıklardan yararlanarak casus yazılım dağıtmış olabileceğini söyledi.
Araştırmacılar, şirketin “Heliconia” adı verilen görünür istismar çerçevesi yazılımının “bir hedef cihaza bir payload dağıtmak için gerekli tüm araçları” temin ettiğini iddia etti. Ekip aktif bir exploit vakası tespit etmemiş olsa da araştırmacılar “bunların sıfırıncı gün saldırısı olarak kullanılmış olması muhtemel görünüyor.” diye ekledi.
ŞÜPHELER VARISTON ŞİRKETİNE İŞARET EDİYOR
Google’ın incelediği kod içindeki bir komut dosyası, diğer hizmetlerin yanı sıra “[kolluk kuvvetleri] tarafından dijital bilgilerin tespit edilmesini” destekleyen “Özel Güvenlik” çözümleri ve araçları sunan Barselona merkezli bir şirket olan Variston IT’ye atıfta bulunuyor.
Araştırmacılar, Google, Microsoft ve Mozilla’nın ilgili güvenlik açıklarını 2021’de ve 2022’nin başlarında düzelttiğini söyledi.
CyberScoop’tan Tonya Riley’in haberine göre, Google Tehdit Analizi Grubu araştırmacılarının ortaya çıkardığı söz konusu exploit şüphesi Beyaz Saray’ın ABD hükümetinin ticari casus yazılım kullanma kabiliyetini sınırlayacak bir talimat da dahil olmak üzere politika girişimlerini uygulamaya koymaya hazırlandığı bir sırada ortaya çıktı.
Habere göre söz konusu yasa teklifi ABD hükümetinin casus yazılım kullanması için esnek bir alan bırakabilir, ancak “bu önlem, Biden yönetiminin, dünyanın dört bir yanındaki kolluk kuvvetleri ve istihbarat teşkilatları tarafından kullanılan son derece müdahaleci yazılımların yarattığı gizlilik risklerini ele almak için gösterdiği en son çabayı içerecektir.”
CHROME’A ÜÇ GÜVENLİK AÇIĞI GÖNDERİLMESİYLE ORTAYA ÇIKTI
Heliconia, kimliği bilinmeyen bir üçüncü tarafın Chrome hata raporlama programına, her biri talimatlar ve kaynak kodu içeren bir arşivle birlikte üç güvenlik açığı göndermesiyle keşfedildi. Zafiyet raporları üç benzersiz isim içeriyordu: “Heliconia Noise”, “Heliconia Soft” ve “Files”.
Haziran ayında Google’daki aynı ekip, İtalya ve Kazakistan’daki hedeflerin telefonlarına kötü amaçlı uygulamalar yüklemek için adı açıklanmayan internet servis sağlayıcılarıyla birlikte çalışan RCS Labs adlı bir İtalyan casus yazılım firmasının faaliyetlerini ortaya çıkarmıştı.
Security Week’in 28 Kasım’daki haberi göre, bu yıl sekiz Chrome sıfır gün sorunu çözüldü ve en sonuncusu Şükran Günü’nde duyuruldu. Bu yazın başlarında Google Project Zero’dan Maddie Stone, 15 Haziran itibariyle 2022’de 18 sıfır açığın tespit edildiğini ve vahşi ortamda istismar edildiğini bildirdi. 2021 yılında, Project Zero’nun 2014 yılının ortalarında izleme çalışmalarına başlamasından bu yana kaydedilen en yüksek rakam olan 58 açık tespit edildi ve açıklandı.
Piyasada satılan casus yazılımların çok sayıda Yunan siyasetçi ve gazeteciyi gözetlemek için kullanılmasının ardından hükümet genel bir yasak uygulamaya koyuyor.
Telefon dinleme yazılımları kullanarak çok sayıda siyasetçi ve gazeteciyi izlediği yönündeki suçlamaları sürekli savuşturan Yunan hükümeti, casus yazılımların satışını tamamen yasaklamaya karar verdi. Hükümet bunu yaparken söz konusu yasağın suçlamaları kabul etmek anlamına gelmediğini de açıklama gereği duydu.
Skandal, temmuz ayında, Yunan politikacı ve Avrupa Parlamentosu üyesi Nikos Androulakis’in “Predator” olarak bilinen bir mobil casus yazılımla hedef alındığının ortaya çıkmasıyla başladı. Mobil cihazlara gizlice sızma ve veri çalma özellikleriyle bilinen Predator, Kuzey Makedonya merkezli Cytrox şirketi tarafından satılıyor. Androulakis’in casus yazılımla hedef alındığını öğrenmesi üzerine derhal ne olduğunun araştırılmasını önerdiği belirtildi.
HÜKÜMET: SKANDAL DOĞRU AMA BİZİMLE İLGİSİ YOK
O dönemde, suçlunun Yunan hükümeti olabileceğine dair iddialar gündeme gelmiş Başbakan Kyriakos Mitsotakis konuyla ilgili herhangi bir ilgileri olduğu yönündeki iddiaları reddedip olayın soruşturulmasını önermişti.
Araştırmaların ardından Yunanistan’ın istihbarat servisinin Androulakis’i izlediği ortaya çıktı ancak hükümet bu izlemenin Predator ile hiçbir bağlantısı olmadığını ileri sürdü. Mitsotakis de sözkonusu izleme faaliyetinden haberdar olmadıklarını belirtirken izlemeyi “yasal” ancak etik olmayan bir operasyon olarak nitelendirmişti.
Olay bununla bitmedi. Sonrasında başka siyasetçi ve gazeteciler de telefonlarında Predator izlerine rastladı ve skandal büyüdü. Başka kişilerin de izlendiğini ileri sürmesi, Yunan parlamentosunun bir soruşturma başlatmasına ve Mitsotakis hükümetinin istihbarat şefi de dahil olmak üzere üst düzey bürokratlarının istifa etmesine neden oldu. Tüm bunlara rağmen hükümet, Predator’un da dahil olduğu iç izleme faaliyetlerinde herhangi bir dahli olduğunu inkar etmeye devam ediyor.
DİĞER AB ÜLKELERİ DE DİNLEME İDDİALARIYLA ÇALKALANIYOR
Sol eğilimli yayın organı Documento’nun casus yazılım tarafından hedef alındığını iddia ettiği 33 farklı politikacı, gazeteci ve iş sahibine ait bir liste yayınlamasıyla skandal daha büyüdü. Adli bir soruşturma sonucunda hedeflerin telefonlarında zararlı yazılımın izlerine rastlanmasının ardından hazırlanan listede, aralarında bir dışişleri bakanı, bir maliye bakanı, iki eski sivil savunma bakanı, çalışma bakanı, kalkınma bakanı ve turizm bakanının yanı sıra bu bürokratların bazı aile üyelerinin de bulunduğu çok sayıda önemli kişi yer alıyor. Bu kişilerin neden izlemeye takıldığı ya da haklarında hangi bilgilerin toplandığı henüz bilinmiyor.
Yunanistan şu anda casus yazılım kullanımı nedeniyle eleştiri oklarının hedefi olan tek ülke değil. Avrupa genelinde de benzer skandallar hükümetleri siyasi kaosa sürüklüyor. Aralarında Birleşik Krallık, Fransa, Polonya, İspanya ve Macaristan’ın da bulunduğu diğer AB üyesi ülkeler de benzer tartışmalarla çalkalanıyor.
Dünya Kupası için Katar’ı ziyaret edenler casus yazılım tehdidiyle karşı karşıya kaldı.
Her dört senede bir düzenlenen Dünya Kupası, bu sene Katar’da oynanacak. 20 Kasım’da başlayacak olan kupa öncesinde insan haklarının hiçe sayılması gibi çeşitli tartışmalar yaşanırken bu tartışmalara bir de casus yazılım tartışması eklendi.
Maçlar için Katar’a giden spor severlerin cihazlarına indirmeleri istenen Etheraz ve Hayya adlı iki uygulama, casus yazılım tartışmalarına konu oldu.
CASUS YAZILIM İDDİASI KUPAYA GÖLGE DÜŞÜRDÜ
Açılış maçında ev sahibi Katar’ın ve Ekvador ile kozlarını paylaşacağı Dünya Kupası birçok eleştiriye maruz kalmıştı.
Kış aylarında oynanacak ilk Dünya Kupası olması, altyapı çalışmaları sırasında ölen binlerce işçinin olması, alkol yasakları ve insan haklarının hiçe sayılması gibi ciddi eleştiriler devam ederken bunlara bir de kupa için ülkeye gidecek sporseverlere şart koşulan uygulamaların “casus yazılım” olduğu iddiası eklendi.
Uygulamaları karşı ilk olarak Almanya’nın Federal Veri Koruma ve Bilgi Özgürlüğü (BfDI) dairesi açıklama yaptı. Güvenlik araştırmacıları, uygulamaları inceleyerek çeşitli ikazlarda bulundu.
BfDI tarafından geçtiğimiz gün yapılan açıklamada, uygulamaların veri toplama ve işleme amaçlarının sanılandan daha ileriye gittiği belirtildi.
Uygulamalardan bir tanesinin telefon görüşmesi yapılıp yapılmadığını, yapıldıysa hangi numarayla yapıldığına dair veri topladığı, diğer uygulamanın da telefonun uyku moduna geçmesini engellediği, uygulamaların kullandığı verilerin cihazda lokal olarak kalmadığı aynı zamanda merkezi bir sunucuya iletildiği belirtildi.
BfDI, uygulamaların gerekliyse indirilmesi gerektiği, telefon numaraları, görüntü ve ses dosyaları gibi dosyaların cihazlarda saklanmaması gerektiği, uygulamalar kullanıldıktan sonra da tüm içeriklerin silinmesi gerektiği uyarısında bulundu.
Bunun yanı sıra Norveç ve Fransız veri koruma kurumu yetkilileri de benzer tavsiyelerde bulundu.
Norveç Veri Koruma Kurumu tarafından yapılan açıklamada, uygulamaların gerektirdiği kapsamlı erişimlerin kendilerini endişelendirdiği ve Katar’a giden ziyaretçilerin Katar makamları tarafından izlenme olasılıklarının olduğu belirtildi.
Şampiyonaya gidecek olan medya kuruluşlarından NRK’nın güvenlik başkanı Øyvind Vasaasen ise “Seyahat tavsiyesi vermek benim işim değil ama şahsen Katar’a bir ziyarette asla cep telefonumu getirmem.” açıklamasında bulundu.
Fransız yetkililerin yaptığı açıklamada ise telefon içeriklerine dikkat edilmesi ve uygulamaların Fransa’ya dönüştü kesinlikle silinmesi gerektiği belirtildi.
ETHERAZ VE HAYYA UYGULAMALARI NE İÇİN?
20 Kasım’da başlayıp 18 Aralık’ta son bulacak olan 2022 Dünya Kupası’na yaklaşık 1,2 milyon kişinin beklendiği belirtilirken, casus yazılım iddiaları sporseverlerin aklını kurcalamaya devam ediyor.
Katar’a gidecek olan sporseverler için cihazlarına kurmaları istenen uygulamanın ilki Etheraz. Etheraz’ın bir Covid-19 takip uygulaması olduğu ve Katar’da bulunulan süreçte yaşanabilecek sağlık sorunları nedeniyle cihazlara kurulması gerektiği belirtiliyor.
Hayya ise maç biletlerinin takibi, ücretsiz metro ve otobüs erişimi için kullanılacak resmî bir Dünya Kupası uygulaması.
Etheraz’ın cihazdaki içeriği okuma, silme veya değiştirme, WiFi ve Bluetooth’a bağlanma, diğer uygulamaları geçersiz kılma ve engelleme, konum, ekran kilidini devre dışı bırakma gibi birçok erişim istediği bilinirken Hayya’nın ise cihazın uyku moduna geçmesini engellemek ve cihazın ağ bağlantılarını görüntülemek için erişim istediği biliniyor.
Intellexa’nın devletlere iOS ve Android cihazlardan veri sızdıran bir casus yazılım sattığı ortaya çıktı
İsrailli girişimci Tal Dilian tarafından kurulan gözetim firması Intellexa, devletlerin emniyet ve istihbarat birimlerine 8 milyon dolar karşılığında istihbarat ve bilgisayar korsanlığı hizmeti sağladığı ortaya çıktı.
Vx-undergroud araştırmacıları, Intellect’in ticari teklifi görünümündeki birkaç gizli belgenin bazı görüntülerini paylaştı. Sızan belgeler, bir iOS Uzaktan Kod Yürütme sıfırıncı gün zafiyetinin 8 milyon dolar karşılığında satılmasına dair ayrıntılı bilgiler içeriyor.
Sızan belgeler, şirketin Android ve iOS cihazlardan uzaktan veri çıkarma (data extraction) hizmetleri sunduğunu gösteriyor. Firmadan yapılan teklif, tehdit aktörlerinin hem Android hem de iOS mobil cihazlarını tehlikeye atmasına olanak tanıyan uzaktan, tek tıklamayla tarayıcı tabanlı açıklardan yararlanmayı içeriyor. Tehdit aktörleri, hedefleri bir bağlantıya tıklamaları için yönlendirerek bu yazılımları kullanabiliyor.
ZAFİYETLER APPLE TARAFINDAN HENÜZ GİDERİLMEMİŞ OLABİLİR
Yazılımların Android 12 güncellemesi ve iOS 15.4.1’e karşı çalışması bekleniyor. Apple, iOS 15.4.1’i geçtiğimiz Mart piyasaya sürdü. Bu da yapılan teklifin görece yeni olduğu anlamına geliyor. Şu anda, söz konusu güvenlik açıklarının Apple tarafından giderilip giderilmediği tespit edilebilmiş değil.
Gözetim firmasının sızan belgelerinden biri, tek işlemli yazılımla hedef alınabilecek Android cihazlarının listesini içeriyor.
Vx-undergroud tarafından paylaşılan belgeler, gözetim endüstrisinin büyümeye devam ettiğini ve çok büyük miktarlarda kârların elde edilebileceğini gösteriyor.
Haziran ayında, Google’ın Tehdit Analizi Grubu’ndan (TAG) araştırmacılar, İtalya ve Kazakistan’daki bazı İnternet servis sağlayıcılarının (İSS’ler) casus yazılımlarını Android ve iOS kullanıcılarından bilgi alabilmesinde İtalyan gözetim firması RCS Labs’a yardımcı olduğunu ortaya çıkardı.
