İsrail merkezli NSO şirketine ait olan ‘Pegasus‘ adlı casus yazılımının mobil cihazlara nasıl sızdığı merak konusu. Konuyla ilgili bilgi veren bir siber güvenlik uzmanı, “zero-click” (sıfır-tıklama) adı verilen ve kullanıcının herhangi bir linke tıklamasını gerektirmeyen casus yazılımının telefonları nasıl hackleyebileceğini açıkladı.
Geçtiğimiz ay Uluslararası Af Örgütü’nün 17 medya kuruluşu ile yürüttüğü ortak çalışmayla telefonları Pegasus adlı casus yazılım tarafından saldırıya uğrayan politikacıların, gazetecilerin ve aktivistlerin listesine ulaşılmıştı.
Yazılım, bu teknolojiyi 40’tan fazla hükümete sattığını söyleyen ancak hangi ülkeler olduğunu açıklamayan NSO Group adlı bir İsrail şirketi tarafından geliştirildi. Kurbanlar arasında Fransa Cumhurbaşkanı Emmanuel Macron ve dünyanın dört bir yanından yaklaşık 180 gazeteci de bulunuyor.
LİNKE TIKLAMASANIZ DA CASUS YAZILIMA ENGEL OLAMIYORSUNUZ
Pegasus, bir kez telefona ulaştığında veri toplayabiliyor, video kaydedebiliyor hatta ekran görüntüleri alabiliyor. Yazılımın bir cihaza girebilmesi için yalnızca Apple’ın iMessage uygulaması üzerinden alınmış bir mesaj yeterli oluyor. Üstelik mesajı açmak gerekmiyor.
Londra’daki King’s College’da Siber Güvenlik Araştırma Grubu Başkanı Dr. Tim Stevens, sciencefocus.com’a Pegasus’un nasıl çalıştığı ve nasıl durdurulabileceği konusunda açıklamalarda bulundu. Stevens sorulara şu şekilde cevap verdi:
ALIŞIK OLDUĞUMUZ CASUS YAZILIMLARDAN ÇOK DAHA SİNSİ
Pegasus şimdiye kadarki en güçlü casus yazılım olarak nitelendiriliyor, doğru mu bu?
Şimdiye kadar geliştirilen en güçlü casus yazılım olup olmadığını bilmek zor, çünkü başka neler var bilmiyoruz. Ancak görmeye alışık olduğumuzdan biraz daha sinsi olan bazı işlevlere sahip olduğu çok açık.
Pegasus’u farklı kılan nedir?
Geçmişte, e-posta veya sosyal medya mesajlaşma hizmetlerini kullanmışsınızdır ve bu tür mesajlaşmalarla zaman zaman bir bağlantıyı tıklamanız istenebilir. Bağlantıyı tıkladığınızda, cihazınıza bir yazılım indirmiş olursunuz.
Pegasus ile ilgili dikkat çekici olan şey ise sizin herhangi bir şeye tıklamasanız da casus yazılımın sisteminize girebiliyor olması. Buna “sıfır-tıklama zararlı yazılımı” deniyor. Olması gereken tek şey, birisinin cihazınıza bir mesaj göndermesi. Açmanıza bile gerek yok. Bunu, cihazın işletim sistemindeki kusurlardan yararlanarak yapıyor.
Bunlara ‘sıfırıncı gün güvenlik açıkları’ diyoruz nitekim bu açıklar satıcı veya araştırmacılar tarafından henüz keşfedilmemiş zaafiyet durumundalar. Keşfedildiği zaman ise, onu düzeltmek için hiç vakitleri (sıfır zaman) olmuyor, zira sadece birileri onu kötü niyetleri için kullandığında keşfedilmiş oluyorlar.
Pegasus kötülerle savaşıyor balonu söndü: NSO kurucusunun gizli gündemi mi var?
Apple’ın iOS veya Android gibi bir işletim sistemi veya açık kaynaklı işletim sistemleri de dahil olmak üzere herhangi bir işletim sisteminin güvenlik açıkları olduğu bir gerçek. Hiçbiri mükemmel değil.
Bu durum şunun gibi: Tüm kapıları ve pencereleri kilitlersiniz ama mutfak penceresini sadece bir gece açık bırakırsınız. Eğer hırsız tüm evi ele geçirecekse, eviniz ne kadar büyük olursa olsun, sonunda o açık pencereyi bulacaktır.
ÇOK YENİ VE TEKNİK BİR BAŞARI
Yani Pegasus’un da cihazlara erişim elde etmesinin birkaç yolu bulunuyor ve bazı durumlarda bu bir mesaj göndermek kadar basit mi demek istiyorsunuz?
Teknoloji meraklısı bir cep telefonu kullanıcısıysanız, adres defterinize veya e-postanıza bir yazılım erişimi vermenizi isteyen bir mesaj alırsanız alarm zilleri çalmaya başlar. Bu teklifi reddederseniz, o kapıyı açmamış olursunuz. Ama Pegasus söz konusu olduğunda kapının orada olduğunu bile bilmiyorsunuzdur.
Pegasus telefonunuzun güvenlik yazılımını kırar ve daha sonra kendini konumlandırmak ve gizlemek ve telefonunuzda olan her şeye erişmek için kullandığı tüm bu tür işlevlerin kilidini açar. Bu çok yeni ve etkileyici bir teknik başarı.
Pegasus yazılımı yasal mı?
Bu karmaşık bir soru. Hangi ülkede olduğunuza bağlı olarak değişir. Şimdilerde birçok ülkede, bir bilgisayar sistemine yetkisiz erişimi kullanamayacağınızı ön gören yasalar bulunmakta. Esasen bir sisteme girmenize izin verilmez.
CASUSLUĞUN YASADIŞI OLDUĞUNU ÖNGÖREN BİR MEVZUAT YOK
Yabancı bir ülkede bunu yapmamızı açık bir şekilde yasaklayan hiçbir mevzuat bulunmamakta. Karşılıklı hukuki yardım anlaşmaları, iade vb. hususlarla işler çok karmaşıklaşıyor.
Fakat esasen, bu şeylerin yasadışı olduğunu öngören kapsamlı bir uluslararası mevzuat bulunmamakta. Çoğunlukla bunun nedeni, casusluğun yasadışı olduğunu söyleyen kapsamlı bir uluslararası mevzuat olmamasıdır.
Cihazınızda Pegasus yazılımı olduğunu nasıl öğrenebilirsiniz?
Öncelikle kimin hedef alındığını doğrulamalıyız. Bunu nasıl yapacağız? Telefonları söküp Pegasus’un orada olup olmadığına bakarak mı? Bunun takibi zor. Ancak yazılımın belirli koşullar altında bazı dijital parçaları geride bıraktığına inanıyorum. Yani bu ilk başta adli bir konu. Sonrasında ise politik veya ekonomik bir konu.
Bu ülkeler ne yapabilirdi?
NSO Group’un müşterileri çoğunlukla devletler.
Peki bu devletler yaptıklarını kabul edecek mi? NSO ile sözleşmeleri olduğunu kabul edecekler mi?
Eğer kabul ederlerse, bunu kolluk kuvvetleri ve terörle mücadele için kullandıklarını söyleyeceklerini tahmin edebilirsiniz. Sivil toplumdan ve basından yeterli baskı olmadıkça, bunun dürüst bir cevabı olacağını sanmıyorum. Umarım basın bunun peşini bırakmaz, çünkü bu utanç verici bir davranış.
Bir dizi gazetecinin bu yazılım için hedef listesinde olduğu göz önüne alındığında, muhabir olmak için iyi bir zaman değil, değil mi?
Gazeteciler “telefonum açık olduğu için bu konuşmayı yapmayacağım” diyorsa, bu büyük bir endişe kaynağıdır.
