‘Hackleyeni hacklerler’ mevsimi 2017 için erken başladı.
Dijital adli bilişim ve mobil hacking gereçleri ve yazılımı satan İsrailli Cellebrite firmasının hacklenmesi sonucu 900 GB’lık data kimliği belirlenemeyen kişiler tarafından çalındı. Olay 2015’de yaşanan HackingTeam olayını hatırlattı. Ortak noktalardan biri ise Türkiye’den bazı devlet kurumlarının iki şirketin de müşterisi olması.
Dünyanın birçok ülkesindeki kolluk kuvvetlerine, mobil telefonlara uzaktan erişime yarayan yazılım geliştiren Cellebrite’den çalınan veriler henüz paylaşılmadı. Müşteri bilgilerinden, kullanıcı database’ine kadar kritik bilgilerin çalınan veriler arasında olduğu tahmin ediliyor. Motherboard muhabiri Joseph Cox ile iletişime geçen siber saldırganlar ellerindeki veriyi kısıtlı sayıdaki IRC kanalında satmaya çalıştıklarını kaydetti. Cox çalınan verilerin bir kopyasının kendisine iletildiğini de söyledi.
Cellebrite firması da yakın zamanda sistemlerine dışardaki bir hizmet sunucudan izinsiz erişim olduğunu kabul etti. Şirket bilgi sızıntısının boyutunu anlamaya çalıştıklarını da ifade ederek, saldırıdan şirketin son kullanıcı lisans yönetim sisteminin de etkilendiğini açıkladı. Şirketin müşterileri arasında Türkiye, Birleşik Arap Emirlikleri ve Rusya’nın da bulunduğu ve bu ülkelere mobil telefonlara sızmayı kolaylaştıran bazı yazılımlar satıldığı iddia edildi. Ele geçirilen telefonlara ait dosyaların ve Cellebrite cihazlarının log kaytılarının da çalındığı belirtiliyor.
Cellebrite Perşembe günü yaşanan olayı ‘illegal’ olarak değerlendirerek, müşterilerini olumsuz yönde etkileyecek bir data kaybının olduğuna inanmadığını açıkladı ama müşterilerinin ‘my.Cellebrite’ adresine giriş için kullandıkları parolaları değiştirmelerini tavsiye etti.
Universal Forensic Extraction Device (UFED) adı verilen Cellebrite ürünü şirketin başlıca ürünleri arasında yer alıyor. UFED ile kullanıcılar telefonların güvenlik mekanizmalarını bypass ederek SMS, e-posta, çağrı kayıtları ve kullanıcı parolalarını ele geçirebiliyor. UFED’in daha çok iPhone telefonlarda işe yaradığı ve geçen yıl FBI ile Apple arasındaki anlaşmazlık sonrasında FBI’ın Cellebrite’den yardım alarak bir teröristin iPhone’unu kırdığı biliniyor. Şirketin web sitesinde UFED’in dünya üzerinde 100 ülkede 40 binden fazla lisans sattığı ifade ediliyor. UFED ve 3 diğer Cellebrite ürünü satışı Türkiye’de 1974 yılında kurulan Ülkem Elektronik tarafından yapılıyor.
1999 yılında kurulan şirketin CEO’su Yossi Carmil’in Almanya ile yakın ilişkileri dikkat çekiyor. Münih’teki Ludwig Maximilians Üniversite’sinde MBA yapan CEO, İsrail-Alman Ticaret ve Sanayi Odası üyesi.
Şirketin kendi web sitesinde yayınlanan bilgilere göre, ABD ve İngiliz polisi de Cellebrite müşterisi olarak gösteriliyor.
Hacking gereçleri satan şirketlerin hacklenmesi konusunda Cellebrite ilk örneği teşkil etmiyor. 2015 yılında aralarında yine Türkiye’nin de bulunduğu birçok ülkenin kolluk kuvvetine hacking konusunda yardımcı olan yazılımlar satan İtalyan firması HackingTeam’in sistemlerine yapılan siber saldırı sonucu müşteri bilgileri kamuoyu ile paylaşılmıştı.
Phineas Phisher olarak adlandırılan bir black hat hacker geçen yıl HackingTeam şirketine yapılan siber saldırıyı üstlendi. Bu saldırının tüm detaylarını internette paylaşan hacker, herkesi etik hacker olmak konusunda teşvik etti.
Yaptığı saldırıyı tüm detaylarıyla önce İspanyolca dilinde yayınlayan hacker sonradan belgeyi Ingilizce’ye çevirdi.
Phisher açıklamasında, HackingTeam’ın sattığı ürünlerin hükümetlerin gazetecilere, aktivistlere, siyasi muhalefete ve güçlerini tehdit eden kişilere karşı casusluk yapmasına yardımcı olduğunu öne sürerken, şirketin CEO’su David Vincenzetti’yi faşist olmakla suçladı. Reddit sitesinde yayınladığı açıklamada bu gibi hükümetlerin pis işlerini yapan şirketlerin açığa çıkarılması gerektiğini söyledi.
Saldırıya uğrayan özel istihbarat şirketi HackingTeam’ın dünya çapındaki ülkelere siber saldırı ürünleri sattığı düşünüldüğünde, özenle yapılan bir çalışmanın yıllardır işleyen siber sektör şirketini bile dize getirdiğini gözler önüne seriyor.
Saldırının detayları
Hacker, söz konusu saldırıyı planlayışına ilişkin bazı detayları da paylaştı. Günümüzde birçok saldırının giriş noktası olarak kullanılan “oltalama”yı Hacking Team için kullanmayı en baştan aklından çıkarttığını anlatan Phisher, yerleşik bir aygıt için sıfır gün – zero day açığı bulmanın en mantıklı method olduğuna karar verdiğini kaydetti.
Bu nedenle isimsiz yerleşik aygıt için arka kapı donanım yazılımı yaptığını söyleyen Phisher, fark edilmemek için test yaparak uzunca bir süre bu arka kapıyı denediğini ifade etti. Daha sonra Hacking Team’ın tüm yedeklemelerine ulaşan hacker, şirketin sistem adminine, Christian Pozzi’nin şifrelerine ulaşarak tüm dosyaları kolaylıkla kopyalayabildiğini açıkladı.
HackingTeam benzeri şirketleri hacklemenin etik bir yönü olduğundan savunan hacker, tüm planını detaylarıyla açıkladıktan sonra herkesi aynısını yapmaya davet etti. Phisher, etik hacklemenin bir sebep uğruna yapıldığını ve bu işlemi günümüzün Robin Hood’u gibi düşünmemiz gerektiğini sözlerine ekledi.
HackingTeam CEO’su Vincenzetti ise bir medya kanalına çeşitli ülkelerde bir çok soruşturma açılacağını, bu saldırganın da hızlıca yakalanıp yargılanması gerektiğini düşündüğünü iletti.
HAFTALIK SİBER BÜLTEN RAPORUNA ABONE OLMAK İÇİN FORMU DOLDURUNUZ
Dünyadaki güvenlik ve istihbarat birimlerine casus yazılımlar satan Milano merkezli Hacking Team’in uğradığı siber saldırı, şirketin çok sayıda hükümetle olan ticari ilişkilerini ortaya çıkardı. Temmuz ayının başlarında gerçekleşen olay sonucu, firmanın hedef bilgisayarlara sızmak için kullandığı yazılım kodlarının yanı sıra müşterilerle yapılan yazışma ve faturalar da gün yüzüne çıktı. Müşterilerin arasında Libya ve Sudan gibi insan hakları noktasında son derece geri kalmış baskıcı rejimlerin bulunması aslında bir kaç senedir süren tepkilerin haklılığını ortaya çıkarmış oldu. Diğer dikkat çeken husus ise saldırıdan bir kaç ay önce ABD’nin, Wassenaar Düzenlemesi’nin kapsamını genişleterek bu tarz casus yazılımların ihracatının kontrol altına alınması hakkında Viyana’da her yıl toplanan Wassenaar’ın karar alma mekanizmasına verdiği teklifti.
2006 senesinde kurulan Hacking Team’in, onlarca ülkede bulunan müşterilerine “uzaktan kontrol sağlayan takip sistemleri” (Remote Control System) üretip sattığı bilinen bir gerçek. Bu yazılımlar sayesinde, kontrol altına alınan bilgisayar ve akıllı telefonlardan harddisk bilgileri, e-mailler, kullanıcı şifreleri ve Skype görüşmeleri gibi kişisel veriler ele geçirilebiliyor. Bununla birlikte cihazın kamerası ve mikrofonu kullanılarak hedef şahıslara ait ses ve görüntüler kaydedilebiliyor.
Terör başta olmak üzere, ülkelerin ulusal güvenliklerine tehdit oluşturan unsurların takip edilmesi ve suçun engellenmesi adına gereksinim duyulan bu sistemlerin baskıcı rejimlerin elinde ciddi insan hakkı ihlallerine sebebiyet vereceği endişesi zamanla gündeme gelmeye başladı. 2014 yılında Citizen Lab’ın yayınladığı raporda, satılan casus yazılımların baskıcı hükümetlerce politik amaçlarla muhalefet liderlerine ve yayın organlarına karşı kullanıldığı iddia edildi. Gerçekten de yapılan bazı bilişim analizleri sonucunda Sudan, Etiyopya, Birleşik Arap Emirliği ve Fas hükümetlerinin Hacking Team’den temin ettikleri yazılımlarla muhalif gazeteci ve insan hakları aktivistlerini hedef aldıkları tespit edildi. Ancak firma ısrarla bu iddiaları reddetti ve AB, BM ve NATO gibi kuruluşlarca baskıcı olarak nitelendirilen kara liste ülkelerle ticari ilişkilerden sakındıklarını vurguladı. Tartışmaların akabinde, Temmuz ayında ifşa olan 415 GB büyüklüğündeki arşiv firmaya karşı dile getirilen iddiaların gerçekliğini gözler önüne sermiş oldu.
Hacking Team benzeri özel şirketlerin ürettiği bu yazılımların ülkelerin istihbarat ve güvenlik birimlerine satışını engelleyen uluslararası bir hukuk normunun olmayışı özellikle insan hakları örgütlerince çokça dile getirilen bir husus olmuştur. Gerçekten de yaklaşık 5 milyar dolarlık yıllık ticaret hacmine sahip olan takip sistemleri pazarı her yıl %20 oranında büyümekte ve bu durum özel hayatın gizliliği ve kişisel verilerin korunması noktasında tedirginliklere yol açmaktadır. Bu doğrultuda atılan en ciddi adım ise Wassenaar Düzenlemesi’nde 2013 yılında yapılan değişik olmuştur.
Wassenaar Düzenlemesi, asıl adıyla “Konvansiyonel Silahlar ve Çift Kullanımlı Mallar ve Teknolojiler İhracatlarının Kontrolüne Dair Wassenaar Düzenlemesi”, soğuk savaş döneminde kurulan Çok Taraflı Silah İhracat Koordinasyon Komitesi (COCOM)’nin devamı niteliğinde ortaya çıkan bir silah kontrol mekanizmasıdır. Türkiye, Rusya ve ABD de dahil olmak üzere 41 ülkenin taraf olduğu bu Düzenleme kapsamında devamlı olarak güncellenen bir teknolojik ürün ve silah listesi yayınlanmaktadır. Taraf ülkeler listedeki ürünlerin ihracatının kısıtlanması veya kontrol altına alınmasına yönelik olarak iç hukuklarında çıkardıkları yönetmelik ve tebliğlerle etkinlik sağlamaktadır. Bu Düzenleme uluslararası sözleşme (treaty) niteliğini haiz olmadığı için taraf devletler açısından uluslararası bir bağlayıcılığı bulunmasa da iç hukuk mekanizmaları bu ürünlerin ihracatını kontrol altına almaktadır. Örneğin ülkemizde bu ürünlerin ihracatı için lisans alınması gerekmektedir. İhracatçı firmaların başvurusu üzerine, İstanbul Maden ve Metaller İhracatçı Birliği Genel Sekreterliği’nce bir değerlendirme yapılmakta ve nihai karar Dış Ticaret Müsteşarlığı’nca verilmektedir. Teknolojik inceleme açısından uzmanlık gerektiren bu lisanslama sürecinin ülkemizde ehil kurumlarca yapılmaması, kontrol mekanizmasının etkin bir şekilde işletilememesine sebebiyet vermektedir.
Asıl meselemize dönecek olursak, 2013 yılında Wassenaar Düzenlemesi’ne siber güvenlikle ilgili bazı yazılımların (“intrusion software” ve “IP network surveillance systems”) ihracatının lisansa bağlanması noktasında bir ekleme yapıldı. Ancak asıl dikkat çeken teklif, Mayıs ayında ABD’den geldi. Teklife göre, 2013’teki liste, çok daha kapsamlı olacak şekilde genişletilecek ve yazılımlar konusunda çok ciddi bir ihracat kontrolü söz konusu olacak. Aslında 2013’teki değişiklik her ne kadar “saldırı yazılımları” tanımını geniş tutsa da getirilen istisnalar kontrol mekanizmasının kısıtlı bir seviyede kalmasını sağlıyor.Son verilen teklif ise, bu istisnaları kaldırmakla beraber güvenlik araştırmaları ve penetrasyon testlerinde kullanılan araç ve yazılımların ihracatına lisans zorunluluğu getiriyor.Bu durumda, siber saldırılara karşı sistem açıklarınıtespit etmeye yarayan teknolojiler için lisans zorunlu hale gelecek ve hatta bulunan açıkların paylaşılması yasaklanmış olacak.
HAFTALIK HABER BÜLTENİNE ABONE OLMAK İÇİN FORMU DOLDURUNUZ
[wysija_form id=”3″]
Teklif, başta Google olmak üzere birçok yazılım üreticisinden ciddi eleştiriler aldı. Kuralların çok geniş kapsamlı olmakla beraber muğlâk ifadeler içermesinin söz konusu yazılım teknolojilerine ait bilgilerin küresel düzeyde paylaşılmasını kısıtlayacağı ifade edildi. Google Chrome Güvenlik Ekibi’nden Tim Willis yaptığı açıklamada, teklifin kabulünün güvenlik açıklarını bulmak adına yapılan Ar-Ge çalışmalarında caydırıcılığa sebep olacağı ve araştırmaları sekteye uğratacağını vurguladı. Yazılım güvenliği uzmanı Jonathan A. Zdziarski ise, bu kadar kapsamlı bir kısıtlamanın ürünlerin hukuksuz olarak kullanılmasını engellemekten çok güvenlik amaçlı yapılan araştırmaları yavaşlatacağını ve internet güvenliğinde çok ciddi açıklara sebebiyet vereceğini belirtti. Yoğun tepkiler üzerine Temmuz ayı sonunda açıklama yapan ABD Ticaret Bakanlığı sözcüsü, yapılan yorumları göz önünde bulundurarak teklifi tekrar gözden geçireceklerini ifade etti.
Özetle, Hacking Team’in uğradığı saldırı uzaktan kontrol sağlayan takip sistemlerinin ne kadar yaygın olarak kullanıldığını gözler önüne serdi. Özellikle, 3. Dünya ülkesi olarak sınıflandırabileceğimiz ülkelerin bu ürünleri hukuki çerçeve dışında bir saldırı mekanizması olarak kullanabileceği görülmüş oldu. Bu doğrultuda, 2013’te Wassenaar Düzenlemesi’ndeki değişiklik ile ortaya konulan siber güvenlik ürünlerine ihracat kontrolü bu konudaki ilk ciddi adım olmuştu. Ancak geçtiğimiz aylarda Hacking Team gibi şirketlerin ürettiği casus yazılımların da ihracatını kısıtlayacak yeni kuralların getirilmesi internet güvenliği uzmanlarınca ciddi tepkilere sebep oldu ve teklif konusunda geri adım atıldı.
Suçla mücadele açısından zaruri görülen takip sistemlerinin insan hakkı ihlallerine sebebiyet verecek saldırı araçlarına dönüşebildiği görülmekle beraber, bu yazılımların ihracatında gidilecek bir kısıtlamanın da durumu kontrol altına almaktan çok güvenlik konusundaki Ar-Ge çalışmalarını yavaşlatabileceği tartışmaları daha uzun yıllar devam edeceğe benziyor.
İtalyan casus yazılımı şirketi Hacking Team’den sızdırılan şirketin iç yazışma mailleri, şirketin kablosuz internet yoluyla bilgisayarlara ve akıllı telefonlara saldırabilmek için robotik uçak geliştirdiğini açığa çıkardı. İşin ilginç yanı ise Amerikan şirketi Boeing’in de bu işin içinde olması. İki şirket arasındaki bağlantı 2015 şubat ayında Abu Dabi’de düzenlenen ‘Uluslararası Savunma Fuarı ve Konferansı’na katıldıktan sonra başladı. Konferans sonrası Boeing’e bağlı olan Insitu, Hacking Team’in uzaktan kumanda sistemi Galileo ile kendi ‘drone’larının nasıl birlikte çalışabileceği ile daha fazla ilgilenmeye başladı. Insitu, ScanEagle gözetim uçağı ve RQ-21A ‘Blackjack’i de içeren bir dizi insansız hava araçları sistemini yapıyor. Yayımlanan email konuşmaları ise hem Boeing’in hem de Hacking Team’in, ‘drone’ların wi-fi aracılığıyla hedef bilgisayarlara ve akıllı telefonlara casus yazılım gönderen saldırılar gerçekleştirmesini istediklerini ortaya çıkardı.
Sızan maillerin birinde Insitu çalışanı Giuseppe Venneri, ‘drone’lar aracılığıyla bilgisayarları hacklemek için dayanıklı ve taşınabilir ‘mini-TNI’ hakkında daha fazla bilgi almak istediği dikkat çekiyor. Venneri bu nisan ayında Hacking Team’in anahtar hesap yöneticisi Emad Shehata’ya, “Biz, sizin wi-fi hack kabiliyetinizin insansız hava aracı sistemine entegre olabilme potansiyelini görüyoruz. Ve buna geçmek için Hacking Team mühendislerinden biri ile görüşmeye başlanılabilir. Ayrıca sizin Galileo sisteminin detaylı ebat, ağırlık ve güç özelliklerini de içeren güç kapasitesini de konuşabiliriz.” diyor. E-maillerde ayrıca şirketin kurucularından Marco Valleri Hacking Team’in kötü niyetli kodların wi-fi aracılığıyla yerleştirilmesi için dizayn edilmiş donanımın bir parçası olan Taktik Ağ Enjektörü (TNI) gibi devam ettiği projelerin yol haritasını verdi.
Bir yıl önce, bazı güvenlik araştırmacıları ‘Snoopy’ adı verilen ve sahte kablosuz bağlantı sayesinde kullanıcıların akıllı telefonlarından veri alımını durdurabilecek yetenekte bir insansız hava aracı geliştirmişti. Hacking Team ise ‘mini-TNI’yı geliştirme görevi verdiği Andrea Di Pasquale’yi işe aldı. Hedefin bilgisayarına veya akıllı telefonuna bağlanmak için otelde veya kafede halka açık bir ağ kullanması durumunda, ‘drone’ veri trafiğini durdurabiliyor. Hacking Team’in kötücül yazılımı da gizlice cihaza yerleştirebiliyor. Fakat email konuşmaları Hacking Team projesinin erken aşamada olduğunu gösteriyor. Bu yüzden insansız hava araçları hakkında endişelenmeye henüz gerek yok. Ama ileride insansız hava araçlarının fotoğraf yakalamaktan çok daha fazlasını yaptığını gördüğümüzde ise şaşırmamak gerekiyor.
HAFTALIK SİBER BÜLTEN RAPORUNA ABONE OLMAK İÇİN FORMU DOLDURUNUZ
Daha önce defalarca söylenen ve “siber savaş geleceğin savaşı olacak” sözlerini teyit eden bir olay geçen hafta dünya gündemini sarstı. Uluslararası istihbarat, polis, asker ve hükümet birimlerine siber silah üreten ve satan #HackingTeam adlı İtalyan merkezli şirket geçen hafta hack’lenerek sistemlerinden 400GB boyutunda veri dışarı sızdırıldı. Bu kadar önemli miktarda veri içerisinde neler var diye baktığmızda;
Siber silah satın alan ülkeler ve birimleri,
Yapılan yazışmalar,
Satılan siber silah içerinse bulunan 0-gün açıkları,
Ajan olarak kullanılmak üzere üretilmiş yazılımlar,
Ajan yazılımları satın alan ülkelere ait erişim bilgileri,
…
HAFTALIK SİBER BULTEN RAPORUNA ABONE OLMAK İÇİN FORMU DOLDURUNUZ
[wysija_form id=”2″]
Hacking Team kimdir?
Siber casusluk ve saldırı aracı olan Uzaktan Kontrol Sistemi (Remote Control System – RCS) yazılımını ve bu yazılımı hedef kitleye enjekte etmek için gerekli ajan yazılımları üreten İtalya, ABD ve Singapur’da ofisleri bulunan bir Siber Silah / Yazılım Üreticisi. Şirketin en önemli ürünü olan GALILEO adlı RCS yazılımı başlıca aşağıdaki fonksiyonlara sahip;
Ziyaret edilen web sitelerinin adreslerini kaydetmek,
Görüldüğü üzere yapılan yazılım tamamen casusluğa yönelik saldırgan bir uygulama. Çalışma şeması aşağıdaki gibi kompleks ve servis sağlayıcılarla da entegre edilebilmekte. Bunun anlamı Network Injector modülü sayesinde bir hükümet ülke içerisinde istediği herhangi birinin bilgisayarına veya akıllı telefonuna sızabilir. Daha sonra yukarıdaki özelliklerden faydalanarak telefon dinlemesi, şifre çalma, konum bilgisi alma, ortam dinlemesi yapma ve web kamerasından bulunduğu yeri izleme gibi birçok kişisel gizliliği ihlal eden aktiviteler gerçekleştirilebilir.
HackingTeam hack’lendikten sonra ortaya çıkan dokümanlardan Emniyet Genel Müdürlüğünün 2011’den 2014 yılının sonuna kadar bu yazılımı senelik 150.000 EURO (~450.000 TL) karşılığında satın aldığını öğrendik. Toplamda 600.000 EURO (1.8 Milyon TL) harcanan yazılımın bir fatura örneği aşağıdaki gibi;
EGM’nin aldığı RCS yazılımının 2013 yılı faturası
Türkiye’de bu derece tehlikeli bir yazılımın kullanımını düzenleyen bir kanun bulunmuyor. Dolayısıyla yazılımın terör ve istihbarat maksadının haricinde kullanılması durumu söz konusu olabilir. Türkiye’de fuatavni hesabının yakalanması için herşeyin yapılabileceğini tahmin etmek zor değil. İsteyen birinin şifrelerimizi alması, bulunduğumuz ortamı dinlemesi hatta evimizin içini izlemesi kabul edilebilir bir durum değil. Bu sebeple bir vatandaş olarak rahatsız olmamak mümkün değil.
Ajan yazılım nedir? Benim bilgisayarımda yada telefonumda olabilir mi?
Ajan yazılım RCS komuta-kontrol-merkezinden gerekli direktifleri alıp buna göre hareket eden zararlı bir yazılım. Çoğumuz kendi halinde insanlar olarak zararlı yazılım indirip kullanmıyoruz diye düşünüyor olabilir, ancak ajan yazılımın üzerinde ‘AJAN’ yazmıyor zaten. Yaptığımız incelemelerde Android Quran (com.quran.labs.androidquran) adındaki bir Kur’an yazılımında ajan yazılım tespit ettik. Aynı şekilde Android Bible (joansoft.dailybible), Angry Birds (Hacking Team tarafından korsan marketlere yüklenen versiyonunda), Sound Recorder, SpyCam, Real Calc Plus ve bunun gibi birçok iOS ve Android yazlımının HackingTeam tarafından ajan olarak üretildiğini görüyoruz. Aşağıda bu yazılımlardan birinin telefonda talep ettiği izinler gösterilmiştir. Normal bir Kur’an uygulamasının SMS, kişiler, kamera, mikrofon gibi izinlere ihtiyacı olmaz, ancak bu uygulamanın sınırsız izinler istediğini görüyoruz.
Android Quran uygulamasının istediği haklar
Ben bu yazılımlardan herhangi birini kullanmıyorum, bu durumda güvende miyim?
Ajan yazılımlar hedef kitleye ulaşmak için kullanılan yazılımların bir kısmı. HackingTeam arşivinde yaptığımız çalışmalar bunun haricinde Adobe Flash çalıştıran bilgisayarlara sızmak için kulanılan 0-gün (0-day) istismar kodlarının da şirket tarafından kullanıldığını gösterdi. Teknik olarak karışık gelse de demek istediğim en güncel Adobe Flash bile kullansanız, en güncel anti-virüs programına bile sahip olsanız bilgisayarınıza sızabilecek yollar mevcut.
Benzer şekilde Windows 8+, Linux dağıtımlarının bir kısmında hak yükselme açıklarını da bulup kullandıklarını görüyoruz. Aşağıdaki iki resimde normal haklara sahip birinin kendisini en yüksek haklara sahip yönetici seviyesine nasıl yükseltebildiğini göstermeye çalıştık. Özet olarak RCS ajan yazılımının bu özellikleriyle herhangi bir kişinin bir siteyi ziyaret etmesiyle o kişinin bilgisayarında en yetkili kişi haline gelebilir.
Flash 0-gün exploti kullanarak hesap makinesi uygulaması çalıştırılabilmiştir.
Windows 8 üzerinde normal bir kullanıcı ‘NT AUTHORITY’ haklarına yükseltilmiştir.
Ubuntu üzerinde normal bir kullanıcı ‘ROOT’ haklarına yükseltilmiştir.
Zafiyet barındıran herhangi bir uygulama (Adobe Flash dahil) veya crack uygulama kullanmıyorum, bu durumda güvende miyim?
RCS yazılımının en önemli özelliklerinden biri siz zararlı bir yazılım indirmek istemeseniz bile ajan yazılımı sizin legal yazılımınızın içerisine enjekte edebilmesi. Yani siz normal bir yazılım indirirken RCS yolda bu yazılımım içerisine ajan enjekte edip gönderiyor. Dolayısıyla indirilen legal(!) yazılımın kendisi ajan haline dönüşüyor.
Anti-virüs kullanıyorum, o engellemez mi?
RCS ajan yazılımları birçok anti-virüs tarafından tanınmıyor. HackinTeam’in yaptığı testlerde de bunu görebiliyoruz. Yani anti-virüs de sizi bu konuda korumaya yetmiyor. Aşağıdaki resimlerde Windows ve Mac OS X üzerinde çeşitli Anti-Virüs yazılımlarından görünmeden çalışdığı test sonuçları yer almakta.
Windows 7 üzerinde yapılan testlerde RCS ajan yazılımlarının çoğu Anti-Virüs tarafından tanınmadığı test sonuçları
Mac OS X üzerinde yapılan testlerde RCS ajan yazılımlarının Anti-Virüsler tarafından tanınmadığı test sonuçları
Benim bilgisayarıma veya telefonuma sızmış olabilirler mi? Nasıl bilebilirim?
Maalesef normal bir son kullanıcının bunu öğrenebilme şansı yok. Ancak ileri seviye hafıza (Memory) analizi ve adli analiz (Digital Forensic) yapabilen uzmanların bulabileceği bir ajan yazılımla karşı karşıyayız. Tabi bu seviyede bilgiye sahip insan sayısı Türkiye’de iki elin parmaklarından az.
Bu yazılım sadece Türkiye’de mi var?
Hayır, yazılım bizim haricimizde Kıbrıs, Mısır, Suudi Arabistan, Macaristan, Meksika, Tayland, Nijerya gibi birçok ülke var. Ancak Amerika, İngiltere, Almanya, Rusya, Çin, Kanada, Fransa gibi hiçbir büyük ülkede yok. Muhtemelen bu yazılım kendi içerisinde bir arka kapı (backdoor) barındırıyor ve bu nedenle yazılımı alan ülkeler asıl yazılımı üreten ve destek veren büyük ülkelere hizmet ediyor olabilir. İronik!
Dünya üzerinde Hacking Team RCS yazılımını kullanan / satın alan ülkeler
Sonuç
Muhtemelen bu yazılımı alarak Türkiye olarak en büyük siber saldırıya maruz kalmış olabiliriz. Artık dinlemelerin nasıl yapıldığını tahmin etmek zor değil. Büyük bir devlet asla bu derece tehlikeli özellikleri barındıran bir siber silahı ülkesine ve ülkesinin network’üne bağlamaz. Böyle bir yazılımı kendi mühendisleriyle ve kaynak kodlarına hakim olarak hazırlar. Tıpkı diğer büyük ülkelerin yaptığı gibi…
