NSO Group veya Intellexa Alliance gibi casusluk şirketleri, casus yazılımlarıyla dünyayı daha iyi bir yer haline getirmek istediklerini söylüyor: “Terörizmle mücadele” ve “iç güvenliğin güçlendirilmesi”, şirketlerin web sitelerinde reklamını yaptığı sloganlardan sadece birkaçı. Gerçek pek de iyi görünmüyor. Casus yazılımların gazetecilere, insan hakları aktivistlerine ve muhalif politikacılara karşı uygunsuz kullanımıyla bağlantılı çok sayıda skandal var. Nullcon hackleme konferansında güvenlik firması Quarkslab'ın kurucusu Fred Raynal ile casus yazılımlar hakkında konuştuk ve bu tehlikeli yazılımın kötüye kullanımının nasıl önlenebileceğini tartıştık.
Duyuru
Nullcon konferansında Fred Raynal, casus yazılımların nasıl büyük paralar karşılığında kiralandığından bahsetti.
(Resim: Antrikş Şah)
ct: Casus yazılımı nasıl tanımlarsınız?
Fred Raynal: Casus yazılım, genellikle akıllı telefona yüklenen yazılımdır. Ancak telefonun meşru kullanıcısı telefonun orada olduğunu bilmiyor çünkü casus yazılımın amacı kullanıcıyı gözetlemektir. Bu onun iletişimlerini dinlemek, konumunu gözlemlemek, görüntülerini çalmak anlamına geliyor; temelde akıllı telefonundaki tüm kişisel hayatı.
c't: Bu yazılımı kim ve neden kullanıyor?
Raynal: Casus yazılımlar genellikle hükümetler tarafından, nadiren de bir kişi tarafından diğerine karşı kullanılır. Casus yazılımlar birey için fazla gelişmiş ve pahalıdır. Hükümetler bunları kendi vatandaşları veya yurtdışındaki insanlar hakkında casusluk yapmak için kullanıyor. Casus yazılımların askeri ve casusluk dünyasının önemli bir parçası haline gelmesinin nedeni budur. Yani kullanım arttıkça ihtiyaç da arttı. Bir de ihtiyaç arttıkça para geliyor, para olunca da o para karşılığında hizmet veren oluyor. Gerisi sadece ekonomi.
c't: Casus yazılım enfeksiyonlarını önlemek neden bu kadar zor?
Raynal: Normal kötü amaçlı yazılımlarla karşılaştırıldığında çok fazla yayılmazlar. Örneğin, fidye yazılımının amacı mümkün olduğu kadar çok sayıda sisteme bulaşmaktır. Ancak Pegasus gibi sistemler bu amaca yönelik değildir ve çok az cihazda özel olarak kullanılmaktadır. Bu nedenle casus yazılım örneklerini alıp analiz etmek o kadar kolay değil. Dahası, farklı çalışan birçok sürüm var: Örneğin 2019'da yazılım, WhatsApp sesli araması yoluyla iki hafta boyunca cihazlara girdi. Pegasus bu boşluğu doldurduktan sonra yenisini devreye soktu.
NSO Group, web sitesinde hükümetlerin yazılımlarını terörizmle mücadele için kullandığını duyurdu.
c't: Az önce İsrail şirketi NSO'nun kârlı bir casus yazılımı olan Pegasus'tan bahsettiniz. Şirket yalnızca hükümetlere satış yaptığını söylüyor. Intellexa ise Predator yazılımını ödeme yapmak isteyen herkese sunuyor. Bu durumlarda iyi bir amaç için kullanılacağının garantisi yok değil mi?
Raynal: Bütün bu şirketlerin amacı ürünlerini satmaktır. Ona zarar vermemeniz gerektiğini ve yalnızca teröristlerle veya çok kötü insanlarla savaşmak için kullanılması gerektiğini söyleyen bir tür kullanım şartları var. Ancak şirketler tüm müşterilerinin kurallara uyduğuna dair yemin etseler bile suistimal yaşanıyor.
c't: Polonya'daki eski iktidar partisi PiS'in telefon dinleme skandalı ya da Suudi Arabistan'daki aktivistlere yönelik casusluk skandalı gibi mi?
Raynal: Doğru, bazı ülkeler tam olarak örnek insan hakları siciliyle tanınmıyor. Örneğin, Suudi Arabistan'da öldürülen ve muhtemelen Pegasus'u kullanırken gözetlenen bir gazeteciyle ilgili bir davaya dair kanıtımız var. Yanılmıyorsam daha sonra ailesinin akıllı telefonlarında Pegasus'un izlerine rastlandı. Eğer bu açıkça gösterilirse, eminim ki NSO “Hayır, hayır, bilmiyorduk” diyecektir. Bu kesinlikle ikiyüzlülüktür.
Kendini Övgü: NSO Group, 2023 Şeffaflık Raporu'nda etik standartlarının ne kadar yüksek olduğunu açıklıyor.
c't: NSO Group'un şeffaflık raporu İsrail hükümetinin her satışı izlediğini söylüyor. Bu sadece proforma olarak mı oluyor?
Raynal: Yazılımı satın almak istiyorsanız İsrail'e ihracat lisansı için başvuruda bulunmalı, ülkenize ilişkin bir tür insan hakları değerlendirmesini sunmalı ve casus yazılım kullanımının ülkenizi etkileyip etkilemeyeceğini ve nasıl etkileyeceğini belirtmelisiniz. Daha sonra ihracat lisansının verilip verilmeyeceğine hükümet karar veriyor. Ancak Avrupa'da yaşıyorsanız ve İsrail'den ihracat lisansı almak için başvuruyorsanız böyle bir insan hakları değerlendirmesi yapmanıza gerek yoktur. Bu, Polonya veya Macaristan gibi bazı ülkelerin neden bu tür yazılımlara erişebildiğini açıklıyor. Ve bu hükümetlerin bu aracı sadece terörizme karşı kullanmadıklarından da oldukça eminiz. Ya da başka bir deyişle terör tanımınız çok esnek.
c't: En azından AB'de casus yazılımların kullanımını ve ticaretini düzenleyen kurallar var. Böyle bir istismarın hâlâ gerçekleşmesi nasıl mümkün olabilir?
Raynal: Bazı ülkeler düzenlemeleri diğerleriyle aynı şekilde uygulamamaktadır. Başka bir sektörden örnek: Kıbrıs'ın belirli bir miktar karşılığında Avrupa pasaportu verdiğini biliyoruz ki buna gerçekte izin verilmiyor. Ülke sadece büyümek istiyor. Hedefin meşru olduğunu düşünüyorum ancak buna nasıl ulaştıkları şüpheli.
Casus yazılımlara geri dönelim: Kötüye kullanım nedeniyle insanlara para cezası vermek veya şüpheli müşterileri kovalamak sizi fazla ileri götürmez çünkü bu tür casus yazılımları isteyen hükümetler, casus teşkilatları veya polis her zaman olacaktır. Başka bir deyişle, araç olarak casus yazılımlara ihtiyaçları var çünkü bunlar artık devam eden askeri tartışmanın bir parçası. Teknoloji zaten çok güçlü ve neredeyse vazgeçilmez hale geldi.
ct: Görünüşe göre istismarı kabul ediyorsun.
Raynal: Casus yazılımlar bir silaha benzetilebilir: Birine silah sattığınızda, onun onu nasıl kullanacağını bilemezsiniz. Bu etik bir tartışmadır. Beni yanlış anlamayın: Daha güçlü düzenlemelerin gerekli olduğuna ve bunun uygulanması ve izlenmesi gerektiğine kesinlikle inanıyorum. Ancak bunu yapacak siyasi iradenin olduğundan emin değilim.
ct: ne demek istiyorsun?
Raynal: Bir müşteri tarafından casus yazılımın kötüye kullanılması olasılığını tespit ettiğimizde, hukuk sistemi yanıt vermekte çok yavaştır. Kolayca yeni bir şirket kurabilir ve bir ülkeden diğerine geçebilirsiniz ve yasama organının neler olduğunu bilmesi giderek daha fazla zaman alır. Hukuki süreç yıllar sürerken, bir yerde yeni bir işe başlamak bir haftayı buluyor. Dolayısıyla durumu daha sıkı düzenleme ve kontrollerden geçirmenin tek yolu olduğunu düşünüyorum. Ama belki de yanılıyorum. Ben politikacı ya da avukat değilim. Burada sadece mantıklı düşünmeye çalışıyorum.
c't: Yani casus programlardan asla kurtulamayacağız öyle mi?
Raynal: Eminim. Bazı taraflar bunları meşru veya gizli olarak kullanmaya devam edecektir. Hükümetlerin bunları kullanmak istediğini ve belki de kullanması gerektiğini anlıyorum. Bu da bizi asıl meseleye geri getiriyor: Sorun istismardır.
Her 14 günde bir Almanya'nın en büyük BT editör ekibi size BT güvenliği ve veri koruması, donanım, yazılım ve uygulama geliştirmeleri, akıllı ev ve çok daha fazlası hakkında güncel ipuçları, kritik raporlar, kapsamlı testler ve derinlemesine raporlar sunar. Bağımsız gazetecilik her şeyin başı ve sonudur.
(geniş)
Haberin Sonu
Duyuru
Nullcon konferansında Fred Raynal, casus yazılımların nasıl büyük paralar karşılığında kiralandığından bahsetti.
(Resim: Antrikş Şah)
ct: Casus yazılımı nasıl tanımlarsınız?
Fred Raynal: Casus yazılım, genellikle akıllı telefona yüklenen yazılımdır. Ancak telefonun meşru kullanıcısı telefonun orada olduğunu bilmiyor çünkü casus yazılımın amacı kullanıcıyı gözetlemektir. Bu onun iletişimlerini dinlemek, konumunu gözlemlemek, görüntülerini çalmak anlamına geliyor; temelde akıllı telefonundaki tüm kişisel hayatı.
c't: Bu yazılımı kim ve neden kullanıyor?
Raynal: Casus yazılımlar genellikle hükümetler tarafından, nadiren de bir kişi tarafından diğerine karşı kullanılır. Casus yazılımlar birey için fazla gelişmiş ve pahalıdır. Hükümetler bunları kendi vatandaşları veya yurtdışındaki insanlar hakkında casusluk yapmak için kullanıyor. Casus yazılımların askeri ve casusluk dünyasının önemli bir parçası haline gelmesinin nedeni budur. Yani kullanım arttıkça ihtiyaç da arttı. Bir de ihtiyaç arttıkça para geliyor, para olunca da o para karşılığında hizmet veren oluyor. Gerisi sadece ekonomi.
c't: Casus yazılım enfeksiyonlarını önlemek neden bu kadar zor?
Raynal: Normal kötü amaçlı yazılımlarla karşılaştırıldığında çok fazla yayılmazlar. Örneğin, fidye yazılımının amacı mümkün olduğu kadar çok sayıda sisteme bulaşmaktır. Ancak Pegasus gibi sistemler bu amaca yönelik değildir ve çok az cihazda özel olarak kullanılmaktadır. Bu nedenle casus yazılım örneklerini alıp analiz etmek o kadar kolay değil. Dahası, farklı çalışan birçok sürüm var: Örneğin 2019'da yazılım, WhatsApp sesli araması yoluyla iki hafta boyunca cihazlara girdi. Pegasus bu boşluğu doldurduktan sonra yenisini devreye soktu.
NSO Group, web sitesinde hükümetlerin yazılımlarını terörizmle mücadele için kullandığını duyurdu.
c't: Az önce İsrail şirketi NSO'nun kârlı bir casus yazılımı olan Pegasus'tan bahsettiniz. Şirket yalnızca hükümetlere satış yaptığını söylüyor. Intellexa ise Predator yazılımını ödeme yapmak isteyen herkese sunuyor. Bu durumlarda iyi bir amaç için kullanılacağının garantisi yok değil mi?
Raynal: Bütün bu şirketlerin amacı ürünlerini satmaktır. Ona zarar vermemeniz gerektiğini ve yalnızca teröristlerle veya çok kötü insanlarla savaşmak için kullanılması gerektiğini söyleyen bir tür kullanım şartları var. Ancak şirketler tüm müşterilerinin kurallara uyduğuna dair yemin etseler bile suistimal yaşanıyor.
c't: Polonya'daki eski iktidar partisi PiS'in telefon dinleme skandalı ya da Suudi Arabistan'daki aktivistlere yönelik casusluk skandalı gibi mi?
Raynal: Doğru, bazı ülkeler tam olarak örnek insan hakları siciliyle tanınmıyor. Örneğin, Suudi Arabistan'da öldürülen ve muhtemelen Pegasus'u kullanırken gözetlenen bir gazeteciyle ilgili bir davaya dair kanıtımız var. Yanılmıyorsam daha sonra ailesinin akıllı telefonlarında Pegasus'un izlerine rastlandı. Eğer bu açıkça gösterilirse, eminim ki NSO “Hayır, hayır, bilmiyorduk” diyecektir. Bu kesinlikle ikiyüzlülüktür.
Kendini Övgü: NSO Group, 2023 Şeffaflık Raporu'nda etik standartlarının ne kadar yüksek olduğunu açıklıyor.
c't: NSO Group'un şeffaflık raporu İsrail hükümetinin her satışı izlediğini söylüyor. Bu sadece proforma olarak mı oluyor?
Raynal: Yazılımı satın almak istiyorsanız İsrail'e ihracat lisansı için başvuruda bulunmalı, ülkenize ilişkin bir tür insan hakları değerlendirmesini sunmalı ve casus yazılım kullanımının ülkenizi etkileyip etkilemeyeceğini ve nasıl etkileyeceğini belirtmelisiniz. Daha sonra ihracat lisansının verilip verilmeyeceğine hükümet karar veriyor. Ancak Avrupa'da yaşıyorsanız ve İsrail'den ihracat lisansı almak için başvuruyorsanız böyle bir insan hakları değerlendirmesi yapmanıza gerek yoktur. Bu, Polonya veya Macaristan gibi bazı ülkelerin neden bu tür yazılımlara erişebildiğini açıklıyor. Ve bu hükümetlerin bu aracı sadece terörizme karşı kullanmadıklarından da oldukça eminiz. Ya da başka bir deyişle terör tanımınız çok esnek.
c't: En azından AB'de casus yazılımların kullanımını ve ticaretini düzenleyen kurallar var. Böyle bir istismarın hâlâ gerçekleşmesi nasıl mümkün olabilir?
Raynal: Bazı ülkeler düzenlemeleri diğerleriyle aynı şekilde uygulamamaktadır. Başka bir sektörden örnek: Kıbrıs'ın belirli bir miktar karşılığında Avrupa pasaportu verdiğini biliyoruz ki buna gerçekte izin verilmiyor. Ülke sadece büyümek istiyor. Hedefin meşru olduğunu düşünüyorum ancak buna nasıl ulaştıkları şüpheli.
Casus yazılımlara geri dönelim: Kötüye kullanım nedeniyle insanlara para cezası vermek veya şüpheli müşterileri kovalamak sizi fazla ileri götürmez çünkü bu tür casus yazılımları isteyen hükümetler, casus teşkilatları veya polis her zaman olacaktır. Başka bir deyişle, araç olarak casus yazılımlara ihtiyaçları var çünkü bunlar artık devam eden askeri tartışmanın bir parçası. Teknoloji zaten çok güçlü ve neredeyse vazgeçilmez hale geldi.
ct: Görünüşe göre istismarı kabul ediyorsun.
Raynal: Casus yazılımlar bir silaha benzetilebilir: Birine silah sattığınızda, onun onu nasıl kullanacağını bilemezsiniz. Bu etik bir tartışmadır. Beni yanlış anlamayın: Daha güçlü düzenlemelerin gerekli olduğuna ve bunun uygulanması ve izlenmesi gerektiğine kesinlikle inanıyorum. Ancak bunu yapacak siyasi iradenin olduğundan emin değilim.
ct: ne demek istiyorsun?
Raynal: Bir müşteri tarafından casus yazılımın kötüye kullanılması olasılığını tespit ettiğimizde, hukuk sistemi yanıt vermekte çok yavaştır. Kolayca yeni bir şirket kurabilir ve bir ülkeden diğerine geçebilirsiniz ve yasama organının neler olduğunu bilmesi giderek daha fazla zaman alır. Hukuki süreç yıllar sürerken, bir yerde yeni bir işe başlamak bir haftayı buluyor. Dolayısıyla durumu daha sıkı düzenleme ve kontrollerden geçirmenin tek yolu olduğunu düşünüyorum. Ama belki de yanılıyorum. Ben politikacı ya da avukat değilim. Burada sadece mantıklı düşünmeye çalışıyorum.
c't: Yani casus programlardan asla kurtulamayacağız öyle mi?
Raynal: Eminim. Bazı taraflar bunları meşru veya gizli olarak kullanmaya devam edecektir. Hükümetlerin bunları kullanmak istediğini ve belki de kullanması gerektiğini anlıyorum. Bu da bizi asıl meseleye geri getiriyor: Sorun istismardır.
Her 14 günde bir Almanya'nın en büyük BT editör ekibi size BT güvenliği ve veri koruması, donanım, yazılım ve uygulama geliştirmeleri, akıllı ev ve çok daha fazlası hakkında güncel ipuçları, kritik raporlar, kapsamlı testler ve derinlemesine raporlar sunar. Bağımsız gazetecilik her şeyin başı ve sonudur.
(geniş)
Haberin Sonu