Pegasus Casus Yazılımı Nedir?
Yoğun bir mesai gününün ortasında; toplantı davetleri, istek ve şikayet mailleri ile dolmuş ve oldukça sıkıcı görünen posta kutuma ünlü bir tatil firmasından gönderilmiş izlenimi veren cezbedici bir mail düştü.
“Bankanız ile yapmış olduğumuz anlaşma sonucunda tüm şirket çalışanlarının *.com’da %50 indirim kuponu bulunmaktadır. Kupon kodunuza aşağıdaki bağlantı üzerinden erişebilirsiniz.”
Şirketimizin gerçekten de bazı firmalar ile bu tür anlaşmaları mevcut, gelen mailin içeriği yoğun mesai temposu içinde linke tıklamak için oldukça cazipti ve üstelik ben de o an bağlantıyı tıklayacak kadar dikkatsizdim açıkçası.
Linke tıklarken, göndericinin e-posta adresini gördüğümde artık çok geç olsa da bunun bir phishing(oltalama/yemleme) maili olduğunu anladım, fakat sahiden tüm dünya aylardır, gündemin tepesine oturmuş “Pegasus Casus Yazılım” skandalı ile çalkalanırken, saldırganların sistemi hacklemek için kullanıcıların dikkatsiz olmalarını umduğu bu tür demode yöntemleri terk etmeleri ve oyunun kurallarını çoktan değiştirmiş olmaları gerekmez miydi?
Anlaşılan bizim siber korsanlarımız biraz geriden geliyor.
Pegasus Nedir?
Evet geçmişten gelen tecrübelerimiz bize tam olarak şunu söylüyordu; eğer telefonunuzun ya da bilgisayarınızın hacklenmesini istemiyorsanız, şüpheli linklere tıklamayın.
Geleneksel casus yazılımların başarısı kullanıcıların hata yapmasına bağlıydı ya da benim durumumda olduğu gibi korsanlar, kullanıcının bağlantıya tıklayacak kadar dikkatsiz olmasını umuyordu.
Ancak günümüzde deneyimli çoğu kullanıcı bu tür oltalama yöntemlerine karşı oldukça dikkatli.
Bu durum ise doğal olarak saldırganların daha da agresif çözümler üretmesine yol açtı, bugün artık hiçbir şekilde kullanıcı etkileşimine ihtiyaç duymadan, saldırganlar istedikleri kişilerin cihazlarına sızabiliyor (zero-click exploit).
Şu an gelinen noktada gerekli olan tek şey, birinin telefonunuza bir mesaj göndermesi, mesajın okunmasına bile gerek yok ya da siz uyurken telefonunuzun, bilinmeyen bir numaradan gelen bir WhatsApp araması alması yeterli. Karşı taraftan gelen cevapsız çağrı sırasında, sizin sisteminiz daha verinin güvenilir olup olmadığını bile anlayamadan, güvenlik duvarlarını ve antivirüs programlarını baypas ediyor ve iki cihaz arasında oluşan veri alışverişi ile casus yazılım bir şekilde yükleniyor ve amacına ulaştıktan sonra kendi kendini imha ediyor, adeta dijital bir hayalet gibi.
Pegasus casus yazılımı(spyware), bunları yaparken cihazınızın işletim sistemindeki kusurlardan faydalanıyor.
Bu kusurlar henüz satıcılar veya araştırmacılar tarafından keşfedilmediği için ismi “Sıfır gün güvenlik açıkları” (zero-day vulnerabilities) olarak adlandırılıyor.
Bu güvenlik açıkları keşfedildiğinde ise, yamamak için uzmanların hiç zamanı kalmıyor bu yüzden de sıfır gün olarak adlandırılıyor. Aslında hackerlar, beyaz şapkalılar haricinde, genellikle bu açıkları kötü niyetli amaçlar için keşfediyor ve yetkili uzmanlar tarafından fark edildiğinde ise iş işten geçmiş oluyor.
Ben iOS gibi daha güvenli bir işletim sistemleri kullanıyorum diyenler olacaktır. Fakat doğrusu bu büyüklükte ve binlerce mühendis tarafından geliştirilen hiçbir sistem mükemmel değil, dolayısıyla hiçbir sistem güvenli değil.
Apple’ın iOS’u, Android, BlackBery, Symbian gibi işletim sistemleri ve açık kaynaklı işletim sistemleri; Linux, Windows ya da Apple gibi bilgisayar sistemleri de dahil olmak üzere tamamı hackerların zamanla keşfedecekleri zaafiyetlerle dolu. Pegasus casus yazılımı tam olarak bunu yapıyor, cihaza sızmak için sürekli işletim sistemlerinde yeni zaafiyetler arıyor.
2017'de Pegasus casus yazılımı, o sırada dünya çapında 1 milyardan fazla insan tarafından kullanılan bir uygulama olan güvenli mesajlaşma platformu WhatsApp’taki bir güvenlik açığı aracılığıyla hedef telefonlara sızıyor, bu durum nedeniyle WhatsApp tarafından NSO’ya dava açılıyor.
Piyasadaki en güvenli akıllı telefon olarak gösterilen Apple’ın iPhone’ları da bu saldırılardan payını alıyor. Pegasus , 2019 yılında iCloud üzerinde sıfır gün güvenlik açığı bulup telefonlara oradan sızıyor.
2020’de Apple Music ile daha sonra da Apple’ın iMessage uygulamasında yer alan açıklardan faydalanarak, kullanıcılar herhangi kötü niyetli bir bağlantıya tıklamasalar bile telefonlarına sızılıyor.
Apple, iPhone ve iPad’lerde iOS 13.5.1 işletim sistemi sürümünden beri var olan bu açıkları, iOS 14 güncellemesi ile kapattığını duyurmuştu ancak kaynaklar bölümünde linkini de paylaştığım Uluslararası Af Örgütü’nün yayınladığı raporda bu versiyonlarda da Pegasus casus yazılımına dair dijital izlerin bulunduğu belgelendi.
Peki Pegasus Casus Yazılımın Arkasında Kimler Var?
Bu casus yazılım markasının arkasında kendisini hassas siber istihbarat çözümlerinde dünya lideri olarak tanımlayan İsrailli NSO Group var. Kurucuları eski bir Mossad istihbarat ajanı ve güvenlik uzmanı olan Niv Carmi, Shalev Hulio, Omri Lavie, kısaca NSO (bizdeki yu-ma-tu markası gibi (Yusuf, Mahmut ve Tuncer kardeşler) gibi).
Pegasus fikri ilk olarak 20’li yaşlardan beri yazılım dünyasında olan Hulio ve Lavie’nin, mobil operatörlere satmak amacıyla, telefon kullanıcılarının akıllı telefonlarını tamir etmeleri için uzaktan kontrol etmelerine izin veren bir program yazmaları ile başlar. Bu fikir istihbarat birimlerinin de dikkatini çeker. İkili bu fırsatı değerlendirmek ve istihbarat dünyasını daha iyi tanımak için eski bir Mossad istihbarat ajanı ve güvenlik uzmanı olan Niv Carmi’yi işe alır ve 2010'da NSO Group kurulur.
Bugün gelinen noktada NSO özel hayatın gizliliği ve hak ihlalleri konusunda dünyanın en sorunlu ve kaygı verici teknoloji şirketi olarak biliniyor, haklarında açılmış birçok dava bulunuyor.
Pegasus Casus Yazılımı Neler Yapabilir?
“Person of Interest” izleyicileri, Harold Finch’in sesinden o ünlü açılış cümlesini hemen anımsayacaktır; “You are being watched. The government has a secret system, a machine that spies on you every hour of every day…”
Hatta dizinin ilerleyen sezonlarında, o ünlü jenerik “we are being watched” olarak değişir çünkü artık, “the machine” onu yaratan yazılımcıları da izlemeye başlar.
Biz koltuklarımıza yaslanıp heyecanla bu sahneleri izlediğimiz sırada, İsrailli siber güvenlik şirketi NSO Group dünyayı distopik bir cehenneme çevirmek için benzer bir projenin üzerinde çalışıyordu, hakkımızda en mahrem bilgilerimiz de dahil her şeyi bilen otoriter bir güç tarafından yönetileceğimiz lakin onlar hakkında hiçbir şey bilmediğimiz bir dünya…
Pegasus casus yazılımı sızdığı cihazların konum bilgilerini takip ediyor, ağ trafiğini izleyebiliyor, kamerasını ve mikrofonunu birer dinleme cihazına dönüştürebiliyor, aramaları dinleyebiliyor, mesajları okuyabiliyor. Uçtan uca şifreleme ile çalışan WhatsApp da dahil olmak üzere uygulamalardaki klavye hareketlerini takip ediyor (hani şu yazıp, yazıp göndermeden sildiğimiz cümleleri bile), ekran görüntüsü alabiliyor, istediği kişinin telefonuna etkin bir şekilde jailbreak bile yapabiliyor…
Kısaca şöyle özetleyebiliriz; biz Signal mi Telegram mı daha güvenli tartışadururken, Pegasus casus yazılımı cihazı yönetici yetkileri ile birlikte ele geçirip, cihazın üstünde kullanıcısından daha etkin bir şekilde işlemler yapabiliyor (ekran kilidi bile olmayan telefonunuzun hırsızlar tarafından çalınması kulağa daha güvenli geliyor).
Pegasus Kimlere Satıldı?
Piyasada bilinen en gelişmiş casus yazılım olan Pegasus, küresel bir siber güç olan İsrail devleti tarafından bir siber silah olarak değerlendirildiği için ancak İsrail devletinin izin verdiği devletlerin lisanslı istihbarat ve kolluk kuvvetlerine satılabilir.
Bugün 40 ülkede 60’ın üzerinde müşterisi olduğu biliniyor.
NSO açıklamasında, teknolojisini yalnızca insan hakları sicili temiz hükümetlere ve bunu da yalnızca ulusal güvenlik amacıyla (terörizm ve uyuşturucu suçları, kayıp kişilerin bulunması, arama ve kurtarma ekiplerine yardım edilmesi gibi) kullanmayı taahhüt eden ülkelerin istihbarat birimlerine sattığını iddia ediyor.
NSO’nun insan hakları testini geçen ülkeler arasında Hindistan,Togo, Ruanda, Suudi Arabistan, Bahreyn, muhalif gazetecilerin suikastleriyle gündemi meşgul eden BAE ve tüm dünyadaki öldürülen gazetecilerin yarısının ülkesi olan Meksika’nın yer alması ise fazlasıyla ironik doğrusu.
İsrail ve BAE’nin yakın ilişkiler içinde olması konuya uzak ülkeler için sıra dışı bir işbirliği olarak görülebilir ancak Türkiye, Doğu Akdeniz meselesi nedeniyle bu şaşırtıcı Körfez-Doğu Akdeniz ittifakı hakkında fazlasıyla bilgi sahibi.
Hem İsrail Savunma Bakanlığı sözcülüğü hem de NSO; İsrail’in NSO’nun müşterileri tarafından toplanan bilgilere erişim yetkisi olduğuna dair iddiaları şiddetle reddiyor.
NSO’nun sunucularının bir kısmının İsrail ve Kıbrıs’ta olduğu da biliniyor.
NSO’nun, müşterisi olan devletlerin hassas ulusal güvenlik bilgilerini, İsrail hükümetiyle paylaşmayacağını düşünmek çok iyi niyetli bir yaklaşım olur.
BAE’nin Pegasus casus yazılımı için NSO’ya yaklaşık 55 milyon dolar ödediği, Fas’ın ise 30 milyon dolara Fransa Cumhurbaşkanı Macron’u dinlettiği yine belgelerde geçiyor. Bu yüksek maliyetlerin yanında NSO, programın toplam maliyetinin %17'si oranında müşterilerinden yıllık sistem bakım ücreti alıyor.
Pegasus Kimleri Dinledi?
NSO’nun iddiası, Pegasus casus yazılımın terörizmin önlenmesine, uyuşturucu ticareti gibi suç operasyonlarının sona erdirilmesine, kayıp kişilerin bulunmasına, arama ve kurtarma ekiplerine yardım edilmesine yardımcı olmak amacıyla kullanıldığıydı.
Ancak Paris merkezli kar amacı gütmeyen uluslararası gazetecilik kuruluşu “Forbidden Stories” ve “Uluslararası Af Örgütü”nün çabalarıyla yürütülen araştırma Washington Post, The Guardian ve diğer 17 medya kuruluşunun da desteğiyle sonuçlandı ve geçtiğimiz aylarda , kişisel cep telefonlarına sızmak için Pegasus adlı bir casus yazılım aracının küresel kullanımını ayrıntılarıyla anlatan devasa bir rapor yayınladı.
Raporda, hükümetlerin casus yazılımı, İstanbul’daki Suudi Arabistan başkonsolosluğunda öldürülen gazeteci Cemal Kaşıkçı ve ailesi de dahil olmak üzere 50 ülkede 50 binden fazla cep telefonunu izlemek için satın aldığı belirtildi. Sızdırılmış listeden elde edilen raporda, Fransız cumhurbaşkanı Emmanuel Macron, Pakistan başbakanı Imran Khan gibi siyasetçiler dahil olmak üzere gazeteciler, aktivistler, avukatlar, işadamları, üst düzey istihbarat görevlileri,bakanlar ve aileleri, diplomatlar ve hacklenememesiyle ünlü Telegram’ın kurucusu Pavel Durov’ın numaraları yer alıyor.
Türkiye’den de 500’e yakın ismin dinlenmiş olduğu yine raporda geçen bilgiler arasında.
Ancak, İsrail’in Türkiye’nin dışında bir blokta yer alması nedeniyle Pegasus’un Türkiye’ye satılması gibi bir durumun söz konusu olmayacağı gibi bir söylenti de mevcut. Dinlenen kişiler muhtemelen Türkiye’de yaşayan yabancı uyruklu muhalifler, Cemal Kaşıkçı gibi…
Pegasus’tan Korunmak Mümkün mü?
Siber silahlar özel hayatın gizliliği ve hak ihlalleri konusunda oldukça sabıkalı fakat uluslararası hukukta bu tür siber saldırı silahlarını kullanmayı açık bir şekilde yasaklayan hiçbir yasa yok, devletler arasında siber saldırılar için karşılıklı anlaşmalar da yok dolayısıyla yasalar insanları siber saldırılara karşı korumuyor.
Bilindiği gibi NSO’nun müşterilerinin çoğunluğunu devletler oluşturuyor, mantıklı olmak gerekirse hangi devlet casusluğu yasa dışı olarak değerlendirebilir ki üstelik bugün artık istihbarat çalışmaları büyük ölçüde dijital dünyaya taşınmışken. (Hızlı ve etkili çözümler üretmesi, pratik kullanım sahası yaratması, düşük maliyetli olması gibi etmenler istihbarat çalışmalarının dijital dünyaya kaymasına neden oluyor, bu durum güvenliğini sağlamak isteyen devletleri siber silah teknolojilerine yatırım yapmak zorunda bırakıyor, önümüzdeki yıllarda Pegasusun da günümüzün phishing mailleri gibi , demode bir yöntem olarak anılacağını o kadar açık ki.Hatta belki de Pegasus buz dağının sadece görünen kısmıdır, çoktan demode olmuştur bile…)
NSO’ya göre pegasus, etkili bir kendi kendini imha etme mekanizmasına sahip(self-destruct mechanism) ve asla takip edilemez, dolayısıyla kullanıcılar hiçbir zaman siber saldırıya maruz kalıp kalmadıklarını anlayamaz.
Ancak Citizen Lab, Pegasus’un ardında bir takım log kayıtları gibi dijital izler bıraktığını ispatladı.
Uluslararası Af Örgütünün teknik ekibi tarafından Pegasus’un dijital izlerini takip etmek amacıyla Amnesty International Mobile Verification Toolkit adıyla bir yazılım geliştirildi, incelemek isteyenler için GitHub linkini kaynaklar bölümüne ekledim, kullanıcı dostu bir arayüzü olduğunu ne yazık ki söyleyemeyeceğim.
Ne yapacağı konusunda endişeli kullanıcılara, bilinmeyen adreslerden gelen linklere tıklamayın tarzında öğütler vermek abesle iştigal etmek olacaktır, siz yine tıklamayın tabi.
Peki neler yapılabilir?
Uzmanlara göre bu tür siber saldırılardan korunmak için aslında sıradan kullanıcıların yapabileceği pek bir şey yok.
Cihazları sık sık güncellemek ve işletim sistemi için önerilen yamaları indirmek, kafeler gibi ücretsiz internet hizmeti sağlayan yerlerde bu hizmetlerden faydalanmamak seçeneler arasında olabilir.
Fakat Pegasus’un buz dağının sadece görünen kısmı olduğunu düşünen benim gibiler için kesin çözüm evin içine faraday kafesi kurmak gibi görünüyor…
Tabi aramızda mutlaka şunu diyenler olacaktır; “Beni kim dinler ki? Verilerimi ne yapsınlar?” ya da “Ben kötü bir şey yapmadım ki neyden rahatsız olacakmışım”… Böyle düşünenler için yapacak pek bir şey yok.
Kaynaklar:
· https://github.com/mvt-project/mvt
· https://forbiddenstories.org/case/the-pegasus-project/
