Telefonlarda ortaya çıkan güvenlik açıkları, saldırganlara neyin amaçtaki telefonlara casus yazılımı yükleme ve bildiriler, fotoğraflar, aramalar üzere şahsî bilgilere ulaşma imkanı sunduğu sorusunu ortaya çıkarıyor.
Son vakitlerde gündeme gelen ataklardan bir tanesi ise Pegasus olarak biliniyor. Bu casus yazılım, kolay bir WhatsApp davetiyle telefonunuza enfekte olabiliyor. Daha da berbatı ise WhatsApp’tan gelen bu çağrıyı açmanız da kural değil. Yapılacak tek bir davet yetiyor ve aygıta erişim kazanabiliyor. Saldırgan daha sonra davet kayıtlarını değiştirerek, kendi ziyanlı aktivitesini gizleyebiliyor.
Buradaki yeterli, haber WhatsApp’ın bu güvenlik meselesini yayımladığı bir yamayla kapatması. Makûs haber ise birçok insanın bu üslup bir taarruzdan haberinin olmaması ve WhatsApp’ını hâlâ güncellememiş olması. Yaşanan bu sorun halledilmiş olsa da WhatsApp üzere iletileşme servislerinin ferdî bilgilerimizi korumak konusunda hakikaten sağlam olup olmadığı akıllara geliyor.
Pegasus ve NSO Group
Financial Times’da yer alan habere nazaran bu erişim, daha sonra NSO Group tarafından üretilen Pegasus casus yazılımı olduğu argüman edilen casus yazılımı kurmak için kullanılıyor. NSO ise şu an bu yaşananları soruşturma etabında.
Yapılan birtakım müşahedelere nazaran, bu taarruzlarda Pegasus yazılımı kullanıldıysa bile bu atakların gerisinde NSO’nun kendisi değil, yazılımı satan alan bir müşteri olduğu düşünülüyor.
Pegasus’u yeni duyduysanız ve kulağınıza pek aşına gelmiyorsa, NSO tarafından satılan bu casus yazılım, terörizm ve hatayla savaşta tedbir olarak kullanılıyor. Şirket, kendi yazılımını, “Günümüz dünyasındaki tehlikeli sıkıntıları yasal olarak çözmeleri için resmi yetkilileri destekleyecek araçlar sağlıyoruz. Hükümetler, bizim eserlerimizi terörizmi önlemek, kabahat operasyonlarını bozmak, kayıp insanları bulmak, arama ve kurtarma gruplarına yardımcı olmak için kullanıyor” formunda tanımlıyor.
İyi yazılım makûs hale geldiğinde
Pegasus ve gibisi yazılımlar uygun gayeler için üretilmiş olsalar dahi her vakit suiistimal edilme potansiyelleri bulunuyor. Baskıcı rejimler, güçlü casus yazılımları muhaliflerin kökünü kazımak için, muhalefeti gizlice gözetlemek için kullanabiliyorlar.
Pegasus’un Meksikalı uyuşturucu baronu Joaquin Guzman’ın yakalanmasında kullanıldığıyla ilgili savlar da bulunuyor. Fakat bunun zıddı olarak Pegasus’un, BAE’li insan hakları aktivisti Ahmet Monsoor’un gaye alınmak için kullanıldığı da söyleniyor.
2018’in sonlarında Suudi muhalifler, gazeteci Jamal Khashoggi’nin (Cemal Kaşıkçı) öldürülmesinde Pegasus’un kullanıldığı teziyle dava açtılar. Bunun haricinde Amnesty International da Pegasus’un hükümetler tarafından insan hakları savunucularını gözetlemek için kullanıldığı gösteren birçok nokta olduğu savıyla dava etmişti.
Şifrelenmiş iletileşme servisleri hakikaten inançlı olabilir mi?
WhatsApp, kullandığı uçtan uca şifrelemeyle kullanıcılarına güvenlik ve saklılık vadediyor. Şirket kendi sitesinde ise “tıpkı iletileriniz üzere WhatsApp davetleriniz da uçtan uca şifrelemeli yani WhatsApp ve üçüncü parti uygulamalar konuşmalarınızı dinleyemez” halinde açıklıyor.
Ancak asıl uygulamanın kendisi bir güvenlik açığı barındırıyorsa şifrelemenin pek bir manası kalmıyor, aygıt büsbütün kırılıyor ki WhatsApp’ın başına gelen de motamot buydu. Buradaki asıl sorunun, bir yazılım hakikaten inançlı olabilir mi olması gerekiyor. Lakin bu bahiste da garanti vermek mümkün değil. Yani sorunun kısaca yanıtı, hayır.
SecureData’nın kurucularından ve tıpkı vakitte CTO’su (Baş Teknoloji Yöneticisi) olan Etienne Greeff, bu bahiste hakkında “iOS üzere işletim sistemlerinin altında yatanlar inançlı üzere görünüyor olabilir lakin işletim sistemindeki tüm uygulamaların da dahil olduğu ekosistem çok karışık ve büsbütün inançlı hale getirmek epeyce sıkıntı. Ayrıyeten bu karmaşık sistemleri korumak için kullanılabilecek sıfır gün güvenlik araçları hayli verimli olabilir” dedi.
NTT Security’de kıdemli yönetici olan Daniel Follenfant, uygulamaları inançta tutmanın daima savaş olduğunu söylüyor ve şayet ki onlar büsbütün inançlı olsaydı bizim de daima olarak güvenlik yamalarıyla güncelleme yayımlamamız gerekmezdi diye belirtiyor.
Güvenlik ve saklılık konusunun oldukça kıymetli olduğu şu vakitlerde teknoloji şirketleri de kullanıcılarına, bilgilerini inançlı saklama kelamı veriyor. WhatsApp da bu şirketlerden bir tanesi ve en yüksek güvenlik teknolojisini kullanıyor olması gerekiyor. Bu şirketlerin, oluşan güvenlik açıklarında çok süratli bir halde bu hasarları en aza indirgemesi gerekiyor.
Son hücumlarda nispeten içleri rahatlatan taraf, bu yazılımın bir virüs üzere kullanıcılardan kullanıcılara yayılarak ilerlemek yerine seçilmiş ve amaç alınmış bireyler üzerine ağırlaşması. The Guardian’da yer alan habere nazaran, şu ana kadar bilinen maksatlar Birleşik Krallıktaki insan hakları avukatları ve araştırmacıları.
Eğer ki bu stil işlerle uğraşmıyorsanız yahut WhatsApp’tan son vakitlerde bilmediğiniz bir numaradan rastgele bir davet almadıysanız güvendesiniz demektir. Lakin WhatsApp üzere 1,5 milyar kullanıcısı olan servislerin bu şekil açıklara yakalanması insanları huzursuz ederken, sanal korsanları da heyecanlandırıyor.
Verilerinizi inançta tutmak için neler yapabilirsiniz?
İlk olarak işletim sisteminizi ve aygıtlarınızda yüklü olan uygulamaları en yeni sürümünde tutmanız gerekiyor. Son olayda WhatsApp, hayli süratli bir formda güvenlik yaması yayımlamış olsa da uygulamasını güncellemeyenler hâlâ mümkün bir taarruza açık durumda bulunuyor.
Daniel Follenfant, kullanıcıların şifrelerini yine kullanmaktan kaçınmaları gerektiğini söz ediyor. Follenfant, “Üzerinde düşünülmesi gereken şeylerden bir tanesi, her şeyde tıpkı şifreyi kullanmak olmalı. Örneğin bir balık avlama forumuna üyeyseniz ve birebir şifreyi Amazon’da da kullanıyorsanız, saldırgan Amazon’u amaç almak yerine daha az güvenlikli olan forumu gaye alır” diyor.
Biz de buradan okuyucularımıza kullandığınız, bilgilerinizi verdiğini her platform için farklı farklı şifreler kullanmalarını tavsiye ediyoruz.