Bu ay yazımızda Fransa Cumhurbaşkanı Emanuel Macron’un telefonuna sızdığı söylenen, Cemal Kaşıkçı cinayetinde etkisi olduğu iddia edilen ve 34’den fazla ülkeden 600'den fazla hükümet yetkilisi ve muhalif siyasetçiye ait telefonların dinlendiği iddia edilen Pegasus casus yazılımından bahsedeceğiz. Pegasus casus yazılımından bahsetmeden önce casus yazılım ne demek ona bakalım.
Casus yazılım kullanıcının izni ve bilgisi olmadan cihaza yüklenen ve yine kullanıcı izni ve bilgisi olmaksızın kullanıcının verilerini, bilgilerini toplayan yazılımlardır. Herhangi bir amaç için bu verileri, bilgileri toplayabilirler. Bu bilgi toplama işlemi reklam firmalarına, veri firmalarına veya herhangi bir kuruluşa, kişiye satmak için olabilir. Veya istihbarat örgütleri, devletlere bilgi sağlamak içinde toplanabilir bu bilgiler. Reklam firmasına bilgi sağlamak için kullanılan bir casus yazılım ile devletlere bilgi sağlamak için kullanılan bir casus yazılım arasında ki en belirgin fark devletlere bilgi sağlayacak olan yazılımın çok daha gelişmiş olmasıdır. Pegasus casus yazılımı da bu bahsettiğimiz devletlere bilgi sağlayan gelişmiş yazılımlardan biri.
Pegasus İsrailli NSO Group isimli firmanın yapmış olduğu bir yazılım. Firma internet sitesinde kendisini şöyle tanıtıyor; “NSO, devlet kurumlarının dünya çapında binlerce hayat kurtarması için terörü ve suçu önlemesine ve soruşturmasına yardımcı olan teknolojiler oluşturur.”
Pegasus, bahsettikleri bu teknolojilerden biri. Şirketin kendini tanıtımından da anladığımız üzere NSO ürünlerini devlet kurumlarına satıyor. İstihbarat örgütlerine, emniyet birimlerine, devletlere bu teknolojileri satıyorlar. Amaçlarının suçu önlemek vesaire olduğunu söyleseler bile teknolojiyi satın alan kuruluş istediği şekilde kullanabiliyor. Yani alan istihbarat örgütü veya başka bir kurum kendisince terörist olarak gördüğü bir kişiyi takibe alabilir. Ki çoğu devletin kendisine muhalif, sisteme muhalif olan kişileri terörist diye adlandırdığı düşünülünce kime göre neye göre teröristleri takip ediyorlar diye düşünüyor insan. Fas istihbarat servisinin Fransa Cumhurbaşkanını Pegasus uygulaması ile takibe almaya çalıştığını düşünecek olursak terörist teriminin ciddiye alınmadığını ve her ülkeye ve zamana göre değiştiğini söylemek çok zor değil.
Pegasus uygulamasının birçok kişiyi dinlediği iddia edildikten sonra NSO şirketi konu hakkında açıklama yaptı. Kısaca biz dinlemiyoruz, sistemi müşteri çalıştırıyor, o dinliyor bizim erişimimiz yok, biz sadece potansiyel suçluların takibini (konum, kamera, mikrofon, mesaj erişimi vb.) sağlıyoruz, minvalinde bir savunma yaptı.
NSO Group yeni bir şirket değil. 2010 yılından beri hizmet veren bir şirket. Pegasus casus yazılımının adı da ilk defa duyulmuyor. Daha önceleri de gündeme geldiği oldu.
Casus yazılımlar her ne kadar kullanıcının izni ve bilgisi olmadan yükleniyor olsa da genelde kullanıcının etkileşimi gerekiyor cihaza yüklenmesi için. Mesela kaynağını bilmediğiniz bir mail gelir size ve ona tıklarsınız o şekilde casus yazılım cihazınıza yüklenir. Veya kaynağını bilmediğimiz bir uygulama indiririz oradan yüklenir. Korsan oyun, film indirmesi yaparken oradan cihaza yüklenir. Bütün bu durumlarda kullanıcının etkileşimi gereklidir. Kullanıcının etkileşimi olmadan yüklenmez bu durumlarda. Bir şekilde kullanıcının tıklaması, indirmesi gerekmektedir. Yalnızca kullanıcı bunları yaparken arkada casus yazılımın yüklendiğini bilmez. Zaten bilecek olsa etkileşimi (maili açmaz, kaynağını bilmediği uygulamayı indirmez vb.) vermez.
İşte burada Pegasus casus yazılımının yüklenmesi için bunların hiçbirine gerek yok. Sıfır tıklama (zero click) saldırısı yapıyor. Yani kullanıcının etkileşimi olmadan cihaza yüklenebiliyor.
Pegasus daha öncede gündeme gelmişti demiştik. Gündeme geldiği olaylardan biri şuydu; Whatsapp uygulamasına bir whatsapp araması geliyor. Kullanıcı bu aramayı açmasa bile Pegasus yazılımı cihaza yükleniyor. Kullanıcının etkileşim kurmasına gerek yok yalnızca arama gelmesi yetiyor. Temmuz ayında tekrar gündeme gelme sebebi ise şu oldu;
iMessage uygulamasında bulunan bir açığı kullanarak birçok Apple cihazına sızıldı. iMessage uygulamasına bir mesaj geliyor. Ve bu mesajı almanız yeterli oluyor cihaza sızılması için. Ve iddia edilen durum şuydu cihaza format dahi atılsa Pegasus cihazda bulunmaya devam ediyor. Yani Pegasus yazılımından kurtulmanın hiçbir yolu yoktu. Korunmanında bir yolu yoktu sonuçta sizin bir etkileşim vermenize gerek yoktu, yalnızca iMessage uygulamasından cihazınıza sızmak isteyen Pegasus kullanıcısının bir mesaj yollaması yetiyordu. Bu bir sistem açığı olduğu için ve cihaza reset dahi atılsa silinmediği için tek çözüm telefonu değiştirmek olarak gözüküyordu. Apple yapılan haberlere göre yaklaşık iki ay sonra tüm cihazlarına güvenlik güncellemesi getirdi ve bulunan açığı düzeltti.
Pegasus bunu uygulama açıklarından, işletim sistemi açıklarından yararlanarak yapıyor. Uygulamada, işletim sisteminde açığı arıyor buluyor ve o açığı kullanarak cihaza sızıyor. Bu açıkları uygulama sahipleri, işletim sistemleri düzelttiğinde problem ortadan kalkıyor o an için ama güncelleme gelene kadar sızılan cihazlar elde edilen verilere çözüm olmuyor. Yalnızca daha fazla cihaza sızılmasını engelliyor. Ve bu hep sürüp duruyor. Açık aramaya devam ediliyor. Bulunan açıklar ile cihazlara sızılıyor. 2019 yılında Whatsapp uygulamasında açık bulunup sızıldı, 2020 yılında Apple music uygulamasında 2021 yılında iMessage uygulamasında açık bulunup cihaza sızıldı. Uygulama sahipleri, işletim sistemi sahipleri güvenlik açıklarını güncellemeler ile düzeltse bile yeni açıklar bulunmaya devam ediyor. Bazen NSO şirketi bulur bu açıkları bazen bir başkası bulup şirketlere bu açıkları verir. Böylece devam edip duruyor açıklardan fayda sağlanması. Şu an için açıkların düzeltildiğini sistemlerin güvenli olduğunu biliyoruz en azından tekrar açık bulunana kadar.
Şimdi bunları duyunca insanın aklına şu sorular geliyor;
Telefonumda Pegasus var mı? Nasıl korunacağım Pegasus yazılımından?
Sırayla bilgimiz dâhilinde Allah’ın izniyle cevaplamaya çalışalım.
Pegasus telefonumda var mı sorusu zor bir soru. Yazılımın bulunduğu telefonlarda bile var olup olmadığını anlamak için çok fazla inceleme yapılıyor bunların sonucunda belki fark edilebiliyor. O zaman bu soruya evet veya hayır dememiz pek mümkün gözükmüyor. Ama şöyle bakalım duruma;
NSO şirketi iddialar ortaya atıldıktan sonra kendilerinin işlerini doğru yaptıklarını iddia etmek amacıyla 2016 yılından beri 5 müşterinin lisansını kural dışına çıktığı için iptal ettiklerini ve bundan dolayı 100 milyar dolar kayıp ettiklerini söylediler. Şimdi 1 müşterinin Pegasus lisansını alması için ortalama 20 milyar dolar vereceğini hesap edebiliriz buradan. Yani şunu düşünelim benim takibim, benim hakkımda bilgi toplanması 20 milyar dolar eder mi? Birileri benim hakkımda bilgi edinmek için yüksek meblağ para verir mi? Veya birilerinin benim hakkımda bilgilere erişmesi için para vermesine gerek var mı? Bu sorulara vereceğimiz cevaplara göre en azından Pegasus yazılımının cihazımızda olup olmama ihtimaline karşı bir fikir edinebiliriz. Benim ne yaptığım nerede olduğum belli, bilgilerimi zaten kendim internete yüklüyor paylaşıyorum diyorsanız zaten Pegasusa ihtiyaç olduğu söylenilemez takibiniz için. Yani aslında devletler için önem teşkil eden biriyseniz (ki öyle biri zaten bilgilerini gizli tutacağı, güvenliğe dikkat edeceği için) devletler sizin için bu parayı verebilir ve bu yüzden Pegasus yazılımı için endişe edebilir, var olma ihtimalini göz önünde bulundurabilirsiniz Allah en doğrusunu bilir. Tabii şunu unutmamak lazım Cemal Kaşıkçı cinayetinde Cemal Kaşıkçının telefonu ile değil Cemal Kaşıkçı ile irtibat halinde olan bir gazetecinin telefonuna Pegasus yazılımı yüklenerek Cemal Kaşıkçının hareketlerinin (gazeteci ile yaptığı mesajlaşmalar ile) takip edildiği iddia edildi.
Peki, nasıl korunacağız bu zararlı casus yazlımdan diyecek olursanız bu da pek mümkün gözükmüyor. Sizin etkileşiminizi kullanarak değil de uygulamanın veya sistemin açıklarını kullanarak telefona sızdığından kullanıcının değil firmanın önlem alması gerekmekte. Whatsapp üzerinden bir açıksa Whatsapp açığı kapatmalı İOS işletim sisteminde bulunan bir açıksa Apple bu güvenlik açığını kapatmalı.
Biz zaten bütün bilgilerimizi internette paylaşırsak, gizlice toplanmasına izin dahi vermeden paylaşımını kendimiz yaparsak ister Pegasus olsun ister olmasın hakkımızda birçok bilgiye erişebilirler. Eğer özelimizi telefonlarımızdan, bilgisayarlarımızdan saklarsak ister Pegasus olsun ister başka bir casus yazılım olsun bizim hakkımızda cihazlar ile bilgi toplayamazlar inşaallah. Paranoyak olmayalım tedbirimizi alalım.
“Onlar tuzak kurdular. Allah da tuzak kurdu. Allah, tuzak kuranların en hayırlısıdır.” (3/Âl-i İmran, 54)
