WhatsApp üzerinden telefonlara sızarak veri çalan Pegasus yazılımının üreticisi NSO Group ile ilgili FBI’ın soruşturma başlattığı açıklandı.
Reuters’ın yayınladığı habere göre, FBI İsrailli gözetleme yazılımcısı NSO Group Technologies’in diğer devletlerden ilgili istihbarat topladığı iddiasını ve ABD vatandaşları ve şirketlerine yapılan siber saldırılarda yer alıp almadığını inceliyor.
NSO’un ürettiği yazılım Washington Post yazarı Suudi muhalif Cemal Kaşıkçı’nın katledilmesinden önce Kaşıkçı’nın telefonuna sızmak için kullanılmıştı. NSO CEO’su yayınlanan bir röportajında kendisinin bizzat Riyad’a giderek Suudi yetkililere Pegasus sattığını söylemişti.
FBI tarafından konuyla ilgili ifadesine başvurulan bir kaynak bu incelemenin FBI’ın 2017 yılında NSO’nun akıllı telefonlara sızmak için kullandığı casus yazılımda ABD’li hackerlara ait yazılım kodu parçacığı bulunup bulunmadığını soruşturmasıyla başladığını dile getirdi.
NSO tarafından yapılan açıklamada NSO’nun yazılımının yalnızca devletlere satıldığını ve terörist ve diğer suçluları yakalamak için satıldığı belirtildi. NSO uzun süredir casus yazılımın ABD ülke kodlu telefonları hedef alamadığını belirtiyor olsa da bu iddia bazı siber güvenlik uzmanları tarafından reddedilmişti.
WhatsApp’ı satın alan Facebook iddialar üzerine NSO’ya dava açmıştı. Dava haberinin ardından İsrailli yetkililer şirketin devlet ile bir ilgisi olmadığına dair açıklama yapmak zorunda kalmışlardı.
Amerikan Adalet Bakanlığı yetkilileri ya da FBI ile görüşen iki kaynak, Facebook’un NSO’yu WhatsApp mesajlaşma uygulumasının bir açığını kullanarak 1,400 kişiyi hacklediği iddiasıyla Ekim ayında dava etmesinin ardından FBI’ın teknoloji sektöründen uzman isimlerle görüştüğünü söyledi.
NSO herhangi bir inceleme hakkında bilgi sahibi olmadığını açıkladı.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
Bugün haber sitelerine düşen yeni kimlik kartlarıyla ilgili haberin içerisinde siber güvenlikle ilgili önemli bir ayrıntı dikkat çekti. Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve İçişleri Bakanlığının ortak çalışmasıyla yeni kimlik kartlarına sertifika eklenmesinin konu edildiği haberde, siber güvenlik ile ilgili bazı düzenlemeler hakkında ayrıntıya girilmeden bilgi verildi.
Bu bilgilerde ilki, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi’nin siber güvenlik stratejisini yenileme çalışmalarına devam etmesi. Konuyu takip edenlerin bildiği gibi Türkiye en son 2016 yılında bir siber güvenlik stratejisi yayınlamıştı. Bu strateji belgesi 2016-2019 yılları için hazırlandığından 2019’da da yenisini yayınlanması bekleniyordu. Yılın son ayına yaklaştığımız şu aylarda henüz yeni bir siber güvenlik stratejisi ortaya çıkmış değil. Haberden anlıyoruz ki, strateji en erken 2020 yılına sarkmış gözüküyor.
Haberde siber güvenlikle ilgili bir başka boyut ise, siber tehdit istihbaratı paylaşımı amacıyla yeni bir mekanizmanın hayata geçirilmesine dair bir düzenleme. Buna göre, Bilgi ve iletişim teknolojileri altyapılarına yönelik tehditlere karşı siber istihbarat paylaşım ağı kurulacak. Siber tehdit istihbaratı sağlanan kaynaklar çoğaltılacak. Siber tehdit istihbarat ağının sadece yurt içindeki aktörlerle mi yapılacağı yoksa yabancı teknoloji firmaları ve özelde siber güvenlik şirketlerinin de buna dahil olup olmayaağı ile ilgili başka bir bilgi bulunmuyor.
Milli Elektronik Mesajlaşma Platformu
Dijital Dönüşüm Ofisi’nin siber güvenlik alanında duyurduğu bir başka yenilik ise Milli elektronik Mesajlaşma Platformu. İligli haberde böyle bir platformun kurulmasının amacı ‘Yurtdışı kaynaklı siber saldırıları önlemek’ olarak ifade edilmiş.
Yurtdışı kaynaklı siber saldırıların önlenmesi için atılması gereken farklı adımlar yerine ‘mesajlaşma’ ve iletişim konularına dikkat çekilmesi son zamanlarda yaşanan WhatsApp üzerinden dijital cihazların hacklenmesi olayını akla getirdi.
İsrailli siber güvenlik şirketi NSO Group’un ürettiği Pegasus yazılımı, hedeflenen kişinin telefonuna bir WhatsApp çağrısıyla sızılmasını sağlıyor. Yazılımın hükümetlerin muhaliflere karşı yaptığı casusluk operasyonlarında kullanıldığı tahmin ediliyor. Suudi muhalif gazeteci Cemal Kaşıkçı’nın telefonuna bu şekilde sızıldığına dair ciddi iddialar gündeme gelmişti. Son olarak Hindistan’da muhalefet liderinin telefonuna seçim kampanyası sırasında sızıldığı ortaya çıkmış, siyasiler Hindistan hükümeti ile NSO Group arasında bir ilişki olup olmadığının araştırılmasını talep etmişti.
Temmuz ayında yayınlanan Bilgi ve İletişim Güvenliği Tedbirlerine dair Cumhurbaşkanlığı genelgesinde mobil uygulamalar üzerinden gizlilik dereceli veri paylaşımı yasaklanmıştı. Genelgede, bu tür veri paylaşımları için sadece mevzuatta yetkilendirilmiş kurumlar tarafından geliştirilen yerli mobil uygulamaların tercih edilmesi gerektiği ifade edildi. Aynı şekilde gizlilik dereceli veri paylaşımının sosyal medya uygulamaları üzerinden de yapılamayacağı belirtildi. Hem sosyal medya hem de haberleşme uygulamalarında yerli uygulamaların tercih edileceği de bir madde olarak genelgede yer aldı.
Bu arada ekim ayında Cumhurbaşkanı Erdoğan’ın başkanlığında gerçekleşen büyükşehir belediye başkanları toplantısında alınan karar doğrultusunda ‘başkanlar whatsapp grubu’ oluşturulmuştu.
Facebook’un İsrailli siber casusluk şirketi NSO Group’a dava açmasından bir gün sonra, şirket çalışanlarının Facebook ve Instagram hesaplarının silindiği ortaya çıktı.
Bir NSO çalışanının aktardığına göre, Instagram hesabının silinmesinin nedeni olarak ‘Şartlara uymadığınız için hesabınız silinmiştir’ mesajı gönderildi. NSO çalışanı Instagram hesabına girmeye çalıştığında ‘Bu hesaba giriş yapamazsınız ve başka biri de bu hesaptaki içerikleri göremez. Benzer kural aykırılıklarından dolayı silinen hesapları yeniden düzeltemiyoruz.’ mesajıyla karşılaştığını söyledi.
Facebook’un NSO hamlesi, şirketin NSO Group’a WhatsApp üzerinden 1400 cihazı hedef alıp sızması suçlamasıyla dava açmasının ardından geldi. WhatsApp dava dosyasına verdiği delillerde 100 hedefin insan hakları savunucusu, hukukçu ve muhalif sivil toplum örgütü üyeleri olduğunu açıkladı.
NSO çalışanlarının Facebook ve Instagram’dan silinmesi İsrail’de ses getiren bir haber oldu. Sosyal medyada atılan gönderilere göre NSO’nun mevcut ve geçmiş çalışanlarının çok büyük bir kısmı (%98’i) sosyal medya platformlarından silinmiş durumda. NSO’nun Küresel İstihbarat Servisleri ve Eğitim Yöneticisi Guy Brenner Linkedin sayfasında yaptığı paylaşımda Facebook’un şahısları cezalandırdığını söyleyerek bu hareketi kınadığını açıkladı.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
Financial Times’da yayınlanan bir haber, kötü şöhrete sahip İsrailli siber güvenlik şirketi NSO Group’un bir tek arama ile hedefteki telefonlara zararlı yazılım yerleştirebilen ve bu yolla telefonlardan bilgi hırsızlığı yapabilen bir Whatsapp saldırı tekniği geliştirdiğini iddia etti.
Üstelik saldırganların hedefindeki kişilerin virüs kapması için telefonu açması gerekmiyor. Çağrılar da çoğunlukla telefonun arama günlüğünde hiçbir iz bırakmıyor. Peki böylesi bir saldırı nasıl gerçekleşir?
Dünya genelindeki 1,5 milyar kullanıcısına fabrika ayarı olarak şifreli mesajlaşma imkanı sunan WhatsApp, mayıs ayı başlarında bir zafiyet keşfetti ve geçtiğimiz hafta pazartesi günü buna karşı bir yama çıkarttı.
Facebook’a ait şirket, Financial Times’a yaptığı açıklamada olaya ilişkin bir takım insan hakları grupları ile iletişime geçtiklerini ve bu güvenlik zafiyetinin istismar edilmesinin, hükümetlere casus yazılım üretmesiyle bilinen NSO Group’un bütün alamet-i farikalarını taşıdığını belirtti.
NSO Group, yayınladığı bir basın bildirisi ile kurbanların seçilmesi ve hedef alınmasında bir dahli oldukları yönündeki iddiaları reddederken saldırının ortaya çıkışındaki rollerini reddetmedi.
Saldırganların şirket yama çıkarmadan önce bir güvenlik açığı bulduğu ‘Sıfırıncı gün hataları’ları olarak bilinen saldırılar her platformda gerçekleşebiliyor. Bu, yazılım geliştirmenin bir parçası ve bölümü iken işin püf noktasını ise bu güvenlik açıklarını olabildiğince hızlı kapatmak oluşturuyor. Telefon aramasından başka hiçbir şey gerektirmeyen bir siber saldırının, savunulması oldukça zor bir hackleme olduğu kesin.
WhatsApp ayrıntı vermiyor
WhatsApp, WIRED’a yazılım hatasını nasıl keşfettikleri ya da bug’ın nasıl çalıştığı konusunda ayrıntı vermezken şirket, müşterilerin başka telefon çağrısı hataları ile hedef haline gelmemesini sağlamak için yama çıkarmaya ek olarak altyapı yükseltmesi yaptıklarını açıkladı.
Alman Security Research Labs’ın baş mühendisi Karsten Nohl, “Uzaktan kumanda edilebilen buglar, güvenilir olmayan kaynaklardan veri alan herhangi bir uygulamada bulunabilir” diyor. Kullanıcıları birbirine bağlamak için VoIP olarak bilinen ‘internet protokolü üzerinden ses’ aktarımını kullanan Whatsapp aramaları da onlardan biri.
VoIP uygulamaları gelen çağrıları kabul etmek ve o çağrıya cevap vermese bile kullanıcıyı bilgilendirmek durumunda. Nohl, “Veri çözümlemesi ne kadar komplike olursa hata payı da o kadar fazla olur” diyor. Whatsapp olayında ise bağlantı kurmak için gerekli olan protokol o kadar komplikeydi ki diğer uçtaki kişi çağrıyı cevaplamadan bug’lar harekete geçiriliyordu.
VoIP arama servisleri o kadar uzun süredir kullanılıyor ki temel arama bağlantı protokollerindeki ufak tefek pürüzlerin şimdiye kadar düzeltilmiş olduğunu düşünebilirsiniz. Ancak pratikte her bir hizmetin uygulanması biraz farklı. Nohl, WhatsApp’ta olduğu gibi, uçtan uca şifreli arama yaparken, işlerin daha da zorlaştığına işaret ediyor.
SİNYAL, VoIP’e karşı korumasız
WhatsApp uçtan uca şifrelemeyi Sinyal Protokolü’ne dayandırırken, VoIP çağrısı işlevsel olarak muhtemelen diğer özel kodları da içerir. Sinyal hizmetin bu arama saldırılarına karşı korumasız olduğunu belirtiyor.
Facebook’un güvenlik danışmanına göre, Whatsapp’ın korunmasızlığı buffer overflow (ara bellek aşımı) olarak bilinen oldukça alışılagelmiş bir yazılım hatası türünden kaynaklanıyor. Uygulamaların ekstra bilgiyi güvenli bir yerde gizlemek için arabellek olarak adlandırılan bir çeşit deposu bulunuyor.
Popüler bir saldırı grubu stratejik olarak bu ara belleğe aşırı yüklenir; böylece veriler belleğin diğer bölümlerine “taşar”. Bu durum bilgisayarın çökmesine sebep olabilir ya da bazı durumlarda saldırganlara git gide daha fazla kontrol alanı sağlar. Whatsapp’ta yaşanan da buydu.
Saldırı, bir VoIP aramasında sistemin kullanıcı tarafından yapılacak bir dizi olası girişe (cevaplama, aramayı reddetme vb.) karşı hazırlanması gerektiği gerçeğini ortaya koydu.
Arabellek Taşması
Alman güvenli iletişim firması CryptoPhone’un CEO’su Bjoern Rupp, şöyle diyor: “Bu, kulağa geçekten çok tuhaf bir olay gibi geliyor ancak temelinde bugünlerde çok nadir olmayan bir arabellek taşması sorunu var gibi görünüyor” Rupp’a göre güvenlik hiçbir zaman WhatsApp’ın başlıca tasarım hedefi olmadı bu yüzden de güvenlik açıklarına sahip olması ile tanınan karmaşık VoIP yığınlarına bel bağlamak durumunda.
WhatsApp yazılım hatası sınırlı sayıda yüksek profilli aktivist ve siyasi muhalifi hedef almak için kullanıldı, dolayısıyla çoğu kişi pratikte bundan hiçbir şekilde etkilenmeyecek. Ancak yamayı Android ve iOS cihazlarınıza indirmenizde fayda var.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
ABD’li teknoloji dergisi Fast Company, İsrail’in gizemli siber şirketi NSO Group’u araştıranların peşine, taciz iddiaları ile gündeme gelen ABD’li film yapımcısı Harvey Weinstein’a destek veren Black Cube’ün takıldığını iddia etti.
Aynı konuda haber yayınlayan İsrail’in Kanal 12 adlı televizyonu, Tel Aviv merkezli tartışmalı istihbarat şirketi Black Cube’un İsrailli siber silah firması NSO Group’u araştıran araştırmacıları, avukatları ve bir gazeteciyi incelemek üzere gizli ajanlarını seferber ettiğini bildirdi. Associated Press haber ajansı da bu casuslarun Kuzey Amerika ve Avrupa’da NSO Group aleyhine devam eden davalarla bağlantılı en az altı kişiyi hedef aldığını yazdı.
GİZLİ KAMERA GÖRÜNTÜLERİ SIZDI
Kanal 12’nin verdiği haberde, NSO’nun casuslarla gerçekleştirdiği iki kritik toplantısının gizli kamera görüntüleri yer aldı. TV haberi, şirkete karşı “karalama kampanyası” yapıldığını iddia ederek NSO aleyhindeki davaları eleştirdi.
İsrail’in Herzliya şehri merkezli NSO Group; muhalifleri, avukatları, gazetecileri ve diğer muhalifleri gözetlemek üzere birçok hükümet tarafından kullanılan gizli bir siber silah üretiyor. Aralık 2018’de NSO’ya açılan davalardan birinde şirketin ‘bir kişinin cep telefonundaki her şeyi silme yeteneği’ne sahip olan karmaşık bir hackleme aracının öldürülen Suudi gazeteci Cemal Kaşıkçı’yı izlemek için kullanıldığına ilişkin suçlamalar yer alıyordu.
Büyük kısmı Amerikan özel hisse senedi şirketi Francisco Partners’a ait olan NSO, satışlarının yasal olduğunu ve teknolojisinin terörle ve suçla mücadelede kullanılmak için tasarlandığını ileri sürüyor.
BLACK CUBE: ÖZEL MOSSAD
Merkezi Tel Aviv ve Londra’da bulunan Black Cube ise NSO‘nun “karmaşık iş ve davalara yönelik özel çözümler” sunma konusunda uzman, İsrail’in seçkin istihbarat birimlerinde görev yapmış kıdemli kişilerden oluştuğunu iddia ediyor. Kendilerini ‘Özel Mossad’ olarak tanımlayan şirket, istihbarat toplamak için sahte kimlik tasarlamak gibi taktikler kullanıyor. Film yapımcısı Harvey Weinstein’ı cinsel suiistimal ile suçlayan kadınlara yaklaşmak ve eski ABD Başkanı Barack Obama’nın ulusal güvenlik görevlilerini sorgulamak da kullandıkları yöntemler arasında.
Black Cube bağlantılı bir casus, geçen ay bir siber güvenlik araştırmacısı olan John Scott-Railton’ı New York’taki lüks bir öğle yemeğinde tuzağa düşürmeye çalışmıştı. Scott-Railton, NSO’nun casus yazılımlarıyla ilgili araştırmaları medyada ve şirket aleyhine açılan davalarda örnek gösterilen Toronto Üniversitesi’ne bağlı araştırma kuruluşu Citizen Lab’da çalışıyor.
Gizemli kişinin kimliği daha sonra New York Times ve Kanal 12 tarafından, daha önceden Black Cube ile bağlantısı olan emekli bir İsrailli güvenlik sorumlusu Aharon Almog-Assoulin olarak deşifre edildi. “Gary Bowman” ismini kullanan bir başka bilinmeyen ajan, Aralık ayında bir Citizen Lab araştırmacısını hedef almıştı.
AP’den Raphael Satter, operasyonun dört yeni hedefinin yakın zamanda AP’ye ulaşıp yardım istediğini bildirdi. Hedeflerden üçü, siber silah firmasının casus yazılımını, insan hakları ihlalleri konusunda sabıkalı olan hükümetlere sattığını iddia eden davalar üzerinde çalışan avukatlar. Dördüncü kişi ise devam etmekte olan dava üzerinde çalışan Londra merkezli bir gazeteci.
Satter, “İkisi (gazeteci ve Kıbrıs merkezli bir avukat), gizli görevlilerle görüşmeyi gizlice kaydediyorlardı. Bunların görüntüleri, AP’nin bu haberi yayınlamaya hazırlandığı sırada İsrail televizyonunda yayınlandı. Hedefteki altı kişinin tamamı, casusların onları itibarsızlaştırmak için yürütülen koordineli bir çabanın parçası olduğuna inandıklarını söyledi.” şeklinde konuşuyor.
Black Cube, Fast Company’den gelen sorulara cevap vermedi. Ancak Kanal 12 ve AP’nin haberleri, istihbarat şirketinin NSO odaklı operasyondaki rolüne ve yalnızca istihbarat toplanmasına değil provokasyona dayanan ve gittikçe büyüyen bir casusluk endüstrisine daha fazla ışık tutuyor gibi görünüyor.
NSO’dan CEVAP: BUNLAR BOŞ PR İŞLERİ
NSO’nun büyük kısmına sahip olan San Francisco merkezli özel sermaye şirketi Fancisco Partners’ın sözcüsü, Fast Company’ye gönderdiği bir e-postada şunları kaydetti: “Bu davalar, NSO’nun dünya çapında istihbarat teşkilatlarına suç ve terörle mücadelede yardımcı olmaya yönelik çalışmalarına karşı sürdürülen boş bir PR numarasından başka bir şey değil.”
İsrail televizyonu Kanal 12, davalardan birinin kısmen Katar hükümeti tarafından finanse edildiğini iddia etti. TV kanalına göre hedefteki gazeteci Eyad Hamid, bir Black Cube ajanına NSO Group’a yönelik sürdürülen soruşturmanın kısmen, Hizbullah için casusluk yapan ve şimdilerde Katar Emirliği’ne tavsiyelerde bulunan eski bir Knesset (İsrail Meclisi) üyesi Azmi Bishara tarafından desteklendiğini söyledi.
Londra merkezli gazeteci Hamid, Katar’ın çıkarlarına yönelik direktif aldığına ilişkin iddiaları reddetti. Gazeteci, Fast Company’ye Black Cube’ün kendisini doktora çalışması ve Suriye etnik kökeni itibariyle hedef aldığını ileri sürdü. NSO Group hakkında geçen eylül ayında yazdığı bir haberin ardından, kendisini Mertens-Giraud Partners (MNG) adlı Brüksel merkezli bir varlık yönetimi şirketinin temsilcisi olarak gösteren bir kişi, Hamid’i şirketin sunduğu bir bursla ilgili görüşme bahanesiyle Londra’daki bir otele çekti. Hamid’in adamın daha ziyade haberi yazarken nasıl istihbarat topladığı ve arkasında Katar’ın olup olmadığıyla ilgilendiğini fark etmesi uzun sürmedi.
Hamid, telefon görüşmesinde şunları kaydetti: “Olayın o yönde geliştiğini anlayınca, adamdan çok şüphelendim. Arkasında daha büyük bir şey olduğunu bilmiyordum. Ancak bu tür sorular sorulduğunda, güvenli alanda kalmaya çalışıyorsunuz, bu yüzden makaledeki bilgilere dayanarak soruları cevapladım”
NSO ile bağlantılı kuruluşlara dava açan Kıbrıslı avukat Christiana Markou da Black Cube için çalışan bir kişi tarafından gizlice videoya kaydedildi. Yorumlarının birçoğunun manipüle edildiğini, videoda söylediği sözlerin ‘NSO Grubu için hiçbir sorumluluk olmayacağı’ şeklinde lanse edildiğini gerçekte ise casusa söylediğinin NSO Grubuna bağlı iki Kıbrıslı şirketi de içeren davada casus yazılım şirketinin doğrudan sorumluluğunun bulunmayacağı olduğunu kaydetti.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
