Telefonlarda ortaya çıkan güvenlik açıkları, saldırganlara neyin amaçtaki telefonlara casus yazılımı yükleme ve iletiler, fotoğraflar, aramalar üzere şahsî datalara ulaşma imkanı sunduğu sorusunu ortaya çıkarıyor.
Son vakitlerde gündeme gelen taarruzlardan bir tanesi ise Pegasus olarak biliniyor. Bu casus yazılım, kolay bir WhatsApp davetiyle telefonunuza enfekte olabiliyor. Daha da berbatı ise WhatsApp’tan gelen bu çağrıyı açmanız da kaide değil. Yapılacak tek bir davet yetiyor ve aygıta erişim kazanabiliyor. Saldırgan daha sonra davet kayıtlarını değiştirerek, kendi ziyanlı aktivitesini gizleyebiliyor.
Buradaki yeterli, haber WhatsApp’ın bu güvenlik problemini yayımladığı bir yamayla kapatması. Makus haber ise birçok insanın bu usul bir taarruzdan haberinin olmaması ve WhatsApp’ını hâlâ güncellememiş olması. Yaşanan bu sorun halledilmiş olsa da WhatsApp üzere iletileşme servislerinin şahsî bilgilerimizi korumak konusunda hakikaten sağlam olup olmadığı akıllara geliyor.
Pegasus ve NSO Group
Financial Times’da yer alan habere nazaran bu erişim, daha sonra NSO Group tarafından üretilen Pegasus casus yazılımı olduğu sav edilen casus yazılımı kurmak için kullanılıyor. NSO ise şu an bu yaşananları soruşturma evresinde.
Yapılan birtakım müşahedelere nazaran, bu akınlarda Pegasus yazılımı kullanıldıysa bile bu atakların gerisinde NSO’nun kendisi değil, yazılımı satan alan bir müşteri olduğu düşünülüyor.
Pegasus’u yeni duyduysanız ve kulağınıza pek aşına gelmiyorsa, NSO tarafından satılan bu casus yazılım, terörizm ve hatayla savaşta tedbir olarak kullanılıyor. Şirket, kendi yazılımını, “Günümüz dünyasındaki tehlikeli meseleleri yasal olarak çözmeleri için resmi yetkilileri destekleyecek araçlar sağlıyoruz. Hükümetler, bizim eserlerimizi terörizmi önlemek, hata operasyonlarını bozmak, kayıp insanları bulmak, arama ve kurtarma gruplarına yardımcı olmak için kullanıyor” formunda tanımlıyor.
İyi yazılım makus hale geldiğinde
Pegasus ve gibisi yazılımlar yeterli maksatlar için üretilmiş olsalar dahi her vakit suiistimal edilme potansiyelleri bulunuyor. Baskıcı rejimler, güçlü casus yazılımları muhaliflerin kökünü kazımak için, muhalefeti gizlice gözetlemek için kullanabiliyorlar.
Pegasus’un Meksikalı uyuşturucu baronu Joaquin Guzman’ın yakalanmasında kullanıldığıyla ilgili argümanlar da bulunuyor. Fakat bunun aykırısı olarak Pegasus’un, BAE’li insan hakları aktivisti Ahmet Monsoor’un amaç alınmak için kullanıldığı da söyleniyor.
2018’in sonlarında Suudi muhalifler, gazeteci Jamal Khashoggi’nin (Cemal Kaşıkçı) öldürülmesinde Pegasus’un kullanıldığı teziyle dava açtılar. Bunun haricinde Amnesty International da Pegasus’un hükümetler tarafından insan hakları savunucularını gözetlemek için kullanıldığı gösteren birçok nokta olduğu teziyle dava etmişti.
Şifrelenmiş iletileşme servisleri sahiden inançlı olabilir mi?
WhatsApp, kullandığı uçtan uca şifrelemeyle kullanıcılarına güvenlik ve zımnilik vadediyor. Şirket kendi sitesinde ise “tıpkı iletileriniz üzere WhatsApp davetleriniz da uçtan uca şifrelemeli yani WhatsApp ve üçüncü parti uygulamalar konuşmalarınızı dinleyemez” halinde açıklıyor.
Ancak asıl uygulamanın kendisi bir güvenlik açığı barındırıyorsa şifrelemenin pek bir manası kalmıyor, aygıt büsbütün kırılıyor ki WhatsApp’ın başına gelen de motamot buydu. Buradaki asıl sorunun, bir yazılım hakikaten inançlı olabilir mi olması gerekiyor. Lakin bu mevzuda da garanti vermek mümkün değil. Yani sorunun kısaca yanıtı, hayır.
SecureData’nın kurucularından ve birebir vakitte CTO’su (Baş Teknoloji Yöneticisi) olan Etienne Greeff, bu mevzuda hakkında “iOS üzere işletim sistemlerinin altında yatanlar inançlı üzere görünüyor olabilir fakat işletim sistemindeki tüm uygulamaların da dahil olduğu ekosistem çok karışık ve büsbütün inançlı hale getirmek hayli güç. Ayrıyeten bu karmaşık sistemleri korumak için kullanılabilecek sıfır gün güvenlik araçları epeyce verimli olabilir” dedi.
NTT Security’de kıdemli yönetici olan Daniel Follenfant, uygulamaları inançta tutmanın daima savaş olduğunu söylüyor ve şayet ki onlar büsbütün inançlı olsaydı bizim de daima olarak güvenlik yamalarıyla güncelleme yayımlamamız gerekmezdi diye belirtiyor.
Güvenlik ve kapalılık konusunun oldukça kıymetli olduğu şu vakitlerde teknoloji şirketleri de kullanıcılarına, datalarını inançlı saklama kelamı veriyor. WhatsApp da bu şirketlerden bir tanesi ve en yüksek güvenlik teknolojisini kullanıyor olması gerekiyor. Bu şirketlerin, oluşan güvenlik açıklarında çok süratli bir halde bu hasarları en aza indirgemesi gerekiyor.
Son ataklarda nispeten içleri rahatlatan taraf, bu yazılımın bir virüs üzere kullanıcılardan kullanıcılara yayılarak ilerlemek yerine seçilmiş ve amaç alınmış şahıslar üzerine ağırlaşması. The Guardian’da yer alan habere nazaran, şu ana kadar bilinen gayeler Birleşik Krallıktaki insan hakları avukatları ve araştırmacıları.
Eğer ki bu stil işlerle uğraşmıyorsanız yahut WhatsApp’tan son vakitlerde bilmediğiniz bir numaradan rastgele bir davet almadıysanız güvendesiniz demektir. Lakin WhatsApp üzere 1,5 milyar kullanıcısı olan servislerin bu şekil açıklara yakalanması insanları huzursuz ederken, sanal korsanları da heyecanlandırıyor.
Verilerinizi inançta tutmak için neler yapabilirsiniz?
İlk olarak işletim sisteminizi ve aygıtlarınızda yüklü olan uygulamaları en aktüel sürümünde tutmanız gerekiyor. Son olayda WhatsApp, epeyce süratli bir biçimde güvenlik yaması yayımlamış olsa da uygulamasını güncellemeyenler hâlâ beklenen bir taarruza açık durumda bulunuyor.
Daniel Follenfant, kullanıcıların şifrelerini tekrar kullanmaktan kaçınmaları gerektiğini tabir ediyor. Follenfant, “Üzerinde düşünülmesi gereken şeylerden bir tanesi, her şeyde tıpkı şifreyi kullanmak olmalı. Örneğin bir balık avlama forumuna üyeyseniz ve birebir şifreyi Amazon’da da kullanıyorsanız, saldırgan Amazon’u amaç almak yerine daha az güvenlikli olan forumu maksat alır” diyor.
Biz de buradan okuyucularımıza kullandığınız, bilgilerinizi verdiğini her platform için farklı farklı şifreler kullanmalarını tavsiye ediyoruz.