Bildirilerimiz Nitekim İnançta mi?

Telefonlarda ortaya çıkan güvenlik açıkları, saldırganlara neyin maksattaki telefonlara casus yazılımı yükleme ve iletiler, fotoğraflar, aramalar üzere şahsî bilgilere ulaşma imkanı sunduğu sorusunu ortaya çıkarıyor.  

Son vakitlerde gündeme gelen ataklardan bir tanesi ise Pegasus olarak biliniyor. Bu casus yazılım, kolay bir WhatsApp davetiyle telefonunuza enfekte olabiliyor. Daha da berbatı ise WhatsApp’tan gelen bu çağrıyı açmanız da kural değil. Yapılacak tek bir davet yetiyor ve aygıta erişim kazanabiliyor. Saldırgan daha sonra davet kayıtlarını değiştirerek, kendi ziyanlı aktivitesini gizleyebiliyor.

Buradaki yeterli, haber WhatsApp’ın bu güvenlik sıkıntısını yayımladığı bir yamayla kapatması. Makus haber ise birçok insanın bu stil bir taarruzdan haberinin olmaması ve WhatsApp’ını hâlâ güncellememiş olması. Yaşanan bu sorun halledilmiş olsa da WhatsApp üzere iletileşme servislerinin ferdî bilgilerimizi korumak konusunda nitekim sağlam olup olmadığı akıllara geliyor.

Pegasus ve NSO Group

Financial Times’da yer alan habere nazaran bu erişim, daha sonra NSO Group tarafından üretilen Pegasus casus yazılımı olduğu tez edilen casus yazılımı kurmak için kullanılıyor. NSO ise şu an bu yaşananları soruşturma kademesinde.

Yapılan kimi müşahedelere nazaran, bu akınlarda Pegasus yazılımı kullanıldıysa bile bu akınların ardında NSO’nun kendisi değil, yazılımı satan alan bir müşteri olduğu düşünülüyor.  

Pegasus’u yeni duyduysanız ve kulağınıza pek aşına gelmiyorsa, NSO tarafından satılan bu casus yazılım, terörizm ve cürümle savaşta tedbir olarak kullanılıyor. Şirket, kendi yazılımını, “Günümüz dünyasındaki tehlikeli problemleri yasal olarak çözmeleri için resmi yetkilileri destekleyecek araçlar sağlıyoruz. Hükümetler, bizim eserlerimizi terörizmi önlemek, hata operasyonlarını bozmak, kayıp insanları bulmak, arama ve kurtarma takımlarına yardımcı olmak için kullanıyor” formunda tanımlıyor.

Âlâ yazılım makûs hale geldiğinde

Pegasus ve gibisi yazılımlar yeterli gayeler için üretilmiş olsalar dahi her vakit suiistimal edilme potansiyelleri bulunuyor. Baskıcı rejimler, güçlü casus yazılımları muhaliflerin kökünü kazımak için, muhalefeti gizlice gözetlemek için kullanabiliyorlar.

Pegasus’un Meksikalı uyuşturucu baronu Joaquin Guzman’ın yakalanmasında kullanıldığıyla ilgili tezler da bulunuyor. Lakin bunun aykırısı olarak Pegasus’un, BAE’li insan hakları aktivisti Ahmet Monsoor’un maksat alınmak için kullanıldığı da söyleniyor.

2018’in sonlarında Suudi muhalifler, gazeteci Jamal Khashoggi’nin (Cemal Kaşıkçı) öldürülmesinde Pegasus’un kullanıldığı teziyle dava açtılar. Bunun haricinde Amnesty International da Pegasus’un hükümetler tarafından insan hakları savunucularını gözetlemek için kullanıldığı gösteren birçok nokta olduğu teziyle dava etmişti.

Şifrelenmiş iletileşme servisleri hakikaten inançlı olabilir mi?

WhatsApp, kullandığı uçtan uca şifrelemeyle kullanıcılarına güvenlik ve saklılık vadediyor. Şirket kendi sitesinde ise “tıpkı iletileriniz üzere WhatsApp davetleriniz da uçtan uca şifrelemeli yani WhatsApp ve üçüncü parti uygulamalar konuşmalarınızı dinleyemez” halinde açıklıyor.

Lakin asıl uygulamanın kendisi bir güvenlik açığı barındırıyorsa şifrelemenin pek bir manası kalmıyor, aygıt büsbütün kırılıyor ki WhatsApp’ın başına gelen de motamot buydu. Buradaki asıl sorunun, bir yazılım nitekim inançlı olabilir mi olması gerekiyor. Fakat bu hususta da garanti vermek mümkün değil. Yani sorunun kısaca yanıtı, hayır.

SecureData’nın kurucularından ve tıpkı vakitte CTO’su (Baş Teknoloji Yöneticisi) olan Etienne Greeff, bu mevzuda hakkında “iOS üzere işletim sistemlerinin altında yatanlar inançlı üzere görünüyor olabilir lakin işletim sistemindeki tüm uygulamaların da dahil olduğu ekosistem çok karışık ve büsbütün inançlı hale getirmek hayli güç. Ayrıyeten bu karmaşık sistemleri korumak için kullanılabilecek sıfır gün güvenlik araçları epey verimli olabilir” dedi.

NTT Security’de kıdemli yönetici olan Daniel Follenfant, uygulamaları inançta tutmanın daima savaş olduğunu söylüyor ve şayet ki onlar büsbütün inançlı olsaydı bizim de daima olarak güvenlik yamalarıyla güncelleme yayımlamamız gerekmezdi diye belirtiyor.

Güvenlik ve saklılık konusunun oldukça değerli olduğu şu vakitlerde teknoloji şirketleri de kullanıcılarına, bilgilerini inançlı saklama kelamı veriyor. WhatsApp da bu şirketlerden bir tanesi ve en yüksek güvenlik teknolojisini kullanıyor olması gerekiyor. Bu şirketlerin, oluşan güvenlik açıklarında çok süratli bir halde bu hasarları en aza indirgemesi gerekiyor.

Son hücumlarda nispeten içleri rahatlatan taraf, bu yazılımın bir virüs üzere kullanıcılardan kullanıcılara yayılarak ilerlemek yerine seçilmiş ve maksat alınmış şahıslar üzerine ağırlaşması. The Guardian’da yer alan habere nazaran, şu ana kadar bilinen amaçlar Birleşik Krallıktaki insan hakları avukatları ve araştırmacıları.

Şayet ki bu şekil işlerle uğraşmıyorsanız yahut WhatsApp’tan son vakitlerde bilmediğiniz bir numaradan rastgele bir davet almadıysanız güvendesiniz demektir. Lakin WhatsApp üzere 1,5 milyar kullanıcısı olan servislerin bu usul açıklara yakalanması insanları huzursuz ederken, sanal korsanları da heyecanlandırıyor.

Datalarınızı inançta tutmak için neler yapabilirsiniz?

Birinci olarak işletim sisteminizi ve aygıtlarınızda yüklü olan uygulamaları en yeni sürümünde tutmanız gerekiyor. Son olayda WhatsApp, epey süratli bir formda güvenlik yaması yayımlamış olsa da uygulamasını güncellemeyenler hâlâ olası bir taarruza açık durumda bulunuyor.

Daniel Follenfant, kullanıcıların şifrelerini tekrar kullanmaktan kaçınmaları gerektiğini söz ediyor. Follenfant, “Üzerinde düşünülmesi gereken şeylerden bir tanesi, her şeyde tıpkı şifreyi kullanmak olmalı. Örneğin bir balık avlama forumuna üyeyseniz ve tıpkı şifreyi Amazon’da da kullanıyorsanız, saldırgan Amazon’u amaç almak yerine daha az güvenlikli olan forumu gaye alır” diyor.

Biz de buradan okuyucularımıza kullandığınız, bilgilerinizi verdiğini her platform için farklı farklı şifreler kullanmalarını tavsiye ediyoruz.