An Israeli woman uses her iPhone in front of the building housing the Israeli NSO group, on August 28, 2016, in Herzliya, near Tel Aviv. NSO Group has been accused of facilitating surveillance of journalists through sales of its Pegasus spyware. (AFP/Jack Guez)
İsrail vatandaşı bir kadın, 28 Ağustos 2016 günü, Tel Aviv yakınlarındaki Herzliya’da, NSO Grup binasının önünde iPhone’unu kullanırken görülüyor. NSO Grup, sattığı Pegasus adlı casus yazılımıyla gazetecilerin takip altında tutulmasına olanak sağlamakla suçlandı. (AFP/Jack Guez)

CPJ Güvenlik Tavsiyeleri: Casus Yazılım Pegasus Gazetecileri Hedef Alıyor

27 Eylül 2022 tarihinde güncellendi

Pegasus, mobil cihazlar için yaratılmış bir casus yazılımdır; cep telefonunu mobil bir takip istasyonuna dönüştürür. Gazetecileri gizlice izlemek için kullanıldığı araştırmacılar tarafından belgelenmiştir. Bu durum hem gazetecilerin kendi güvenlikleri, hem de kaynaklarının güvenliği için önemli sorunlar yaratıyor.

İçindekiler

Aşağıda detaylı biçimde anlatıldığı üzere, Pegasus’un bir telefona yerleştirilmesinin birkaç yolu vardır. Bir kere cihaza yüklendikten sonra, casus yazılım saldırgana telefon üzerinde mevcut olan ve yeni yüklenecek verileri izleme, kaydetme ve toplama imkanı sunuyor. Bu verilere mesajlaşma uygulamalarından gelen aramalar ve bilgiler ile gerçek zamanlı konum bilgisi de dahil. Casus yazılım ile kamera ve mikrofonu uzaktan çalıştırarak hedefi ve çevresini izlemek mümkün.

Pegasus’un üreticisi İsrail merkezli, devlet kurumlarına suç ve terörizm soruşturmaları için araçlar satan NSO Grubu. (NSO Grubu, CPJ’e pek çok kez tekil vakalar üzerine yorum yapmayacaklarını ancak ürünlerinin kontrat ihlali oluşturacak şekilde kötüye kullanıldığına dair raporları araştırdıklarını söyledi.)

Gazeteciler ve haber merkezleri için rehber

Pegasus, Android, BlackBerry, OS ve iOS sistemleriyle çalışan telefonlara kendini kullanıcıya belli etmeden kaydetmek için programlandı. Gazetecilerin telefonlarında zararlı yazılım olup olmadığını bilmelerinin muhtemelen tek yolu cihazı güvendikleri bir teknoloji uzmanına incelettirmek. Cihazında Pegasus olduğundan endişelenen gazeteciler bu rehberi de uzmanlarla paylaşmayı düşünebilirler.

Bu şekilde hedef alındığınıza ve telefonunuzda casus yazılım bulunduğuna inanmak için sebepleriniz varsa:

  • Derhal o cihazı kullanmayı bırakın.
  • Cihazı mikrofon ve kameranın şahsi faaliyetlerinizi kaydetme ihtimalinin en düşük olduğu bir yerde saklayın; iş yerinden ve yatak odası gibi çok zaman geçirdiğiniz yerlerden uzakta olsun.
  • Tüm hesaplardan çıkış yapın ve uygulamaları telefondan silin.
  • Farklı bir cihaz kullanarak tüm şifrelerinizi değiştirin.
  • Dijital güvenlik konusunda uzmanlara danışın. Teknik desteğe erişimi olmayan serbest gazeteciler Access Now Helpline hizmetine danışabilirler.
  • Eğer cihazınızı değiştirmeden önce kullanmak mecburiyetindeyseniz fabrika ayarlarına döndürün ve işletme sistemi, uygulamalar ve tarayıcıları en son versiyonlarını yükleyerek güncellediğinizden emin olun. Bunu yapmak casus yazılımın telefondan silineceğini garanti etmez. Ancak Af Örgütü’nün Temmuz 2021’de belirttiği üzere, cihazlara sistem yeniden yüklendiğinde Pegasus silinmiş gibi görünüyor. iPhone iOS 16 kullanıyorsanız kilit moduna alın. 
  • Aynı Af Örgütü raporuna göre 700 alan adı Pegasus tarafından cihazlara sızmak için kullanıldı ve medya kurumlarının casus yazılıma maruz kalmışlar mı diye kontrol etmek için ağ telemeterileri ve DNS kayıtlarında bu siteleri aramaları öneriliyor. 
  • Af Örgütü’nün Mobil Doğrulama Araç Kiti teknoloji uzmanlarına bir cihazda Pegasus olup olmadığını anlamakta yardımcı olabilir.

İOS kullanıcıları için casus yazılımdan korunma

Apple iOS 16 ile kilit modu özelliği getirdi. Bu güvenlik özelliği ile iPhone telefonlar ve iOS 16 ve MacOS Ventura ile çalışan iPad’lere Pegasus yüklenmesi zorlaştırıldı.

Kilit modu esnasında cihaz bilinmeyen numaralardan gelen FaceTime aramaları ve başkalarının sizinle iMessage ve Fotoğraflar uygulamaları aracılığıyla paylaşımları gibi bazı işlevleri kısıtlıyor.

Pegasus tarafından hedef alındıklarını düşünen gazeteciler cihazı kilit moduna almalışar. Bunu yapmak için:

  • Gizlilik ve güvenlik ayarlarında kilit modunu açın
  • Aktif olması için telefonunuzu kapatıp açın

Farklı saldırı biçimlerine dair tavsiyeler

Pegasus’un bir telefona yerleştirilmesinin birkaç yolu vardır. Gazeteciler bu yöntemleri ve gelişimlerini takip ederek kendilerini ve kaynaklarını korumalılar. 

Sıfır-gün saldırıları

Sıfır-tık saldırıları olarak da bilinen sıfır-gün saldırıları insanları değil, güvenlik açıkları olan yazılımları hedef alır. Kullanıcıdan etkileşim almaya ihtiyaçları yoktur.

Sıfır-gün saldırılarına karşı korunmak zordur. Devletler gibi sofistike saldırganların hedef aldığı gazeteciler,

  •  Kilit modunda iPhone iOS 16 kullanmalılar

Başka tip telefonlar ve işletim sistemi kullanan gazeteciler için tavsiyeler:

  •  Sık sık içeriği yedekleyip telefonu fabrika ayarlarına döndürün
  •  Ucuz Android telefonlar kullanma seçeneğini gözden geçirin. Bunları ne kadar risk altında olduğunuza bağlı olarak birkaç ayda, haftada ve hatta günde değiştirin Telefonları kullanmaya başlamadan önce fabrika ayarlarına döndürüldüklerinden emin olun.
  •  Telefonunuzun işletim sistemini ve uygulamalarla tarayıcıları düzenli olarak güncelleyin
  •  Mümkünse bir güvenlik uzmanından durumunuza özel tavsiyeler alın

Ağ enjeksiyon saldırısı

Bir ağ enjeksiyon saldırısı için kullanıcıdan etkileşim almaya ihtiyaç yoktur; bunun yerine tarayıcıların veya uygulamaların saldırganlar tarafından kontrol edilen sitelere otomatik olarak  yeniden yönlendirilmeleri ile gerçekleştirilir. Bu, Ortadaki Adam Saldırısı (MITM) olarak da bilinir. Bir kere siteye bağlandıktan sonra saldırganlar cihaza yazılımındaki güvenlik açıklarından faydalanarak sızarlar.

Bir gazetecinin bu tip enjeksiyon saldırısına uğrayıp uğramadığını bilme ihtimali çok düşüktür ve karşı önlem almak zor olabilir.

Riski minimum seviyeye düşürmek için:

  •  Hem telefon hem de bilgisayarda bir Sanal Özel Ağ (VPN) kullanın.
  •  Yaşadığınız veya seyahat edeceğiniz ülkelerdeki VPN kullanımına dair kanunları okuyun.
  •  VPN şirketini araştırıp, tarayıcı geçmişi ve oturum açma detayları dahil olmak üzere, kullanıcı verilerini saklamadıklarından emin olun çünkü devletler bu bilgilere erişebilir.
  • VPN sağlayıcısının devletlere yakın bağları olup olmadığını veya sahibinin bir devlet olup olmadığını kontrol edin. 
  •  Merkezi yaşadıkları ülkede olmayan ve mahremiyet konusunda iyi bir geçmişi olan hizmetleri tercih edin

Mızrak-yemleme saldırıları

Saldırganlar belli bir gazeteciye yönelik özel yazılmış mesajlar hazırlar ve yollarlar. Bu mesajlarda bir acil durum algısı yaratılır ve gazeteciden bir bağlantı veya belgeye tıklaması beklenir. Bu mesajlar farklı şekillerde gelebilir; SMS, e-posta, WhatsApp gibi uygulamalar üzerinden gelen mesajlar veya sosyal medya platformu mesajları da bunlara dahil. Gazeteci bir kere o bağlantıya tıkladıktan sonra casus yazılım telefonuna yüklenmiş olur.

Citizen Lab ve Af Örgütü tarafından yapılan araştırmalara göre mesajlar aşağıdakiler gibi olabiliyor:

  • Bir elçilik veya yerel haber kurumu gibi bilindik bir kurumdan geliyormuş gibi görünen mesajlar.
  • Hedefi acil bir tehlikeye karşı uyaran mesajlar.
  • Hedefin genelde haberleştirdiği tarzda bir olaya dairmiş gibi, iş alakalı görünen mesajlar.
  • Partnerlerin mahrem fotoğrafları gibi kişisel konularda iddialarda bulunan mesajlar.
  • Alışverişler, kredi kartları veya bankacılık meseleleri gibi finansal konulardaki mesajlar.

Bu mesajlar bilinmeyen numaralardan da geliyor olabilir.

Saldırganlar kişisel telefonları veya iş telefonlarını hedef alabilirler. Gazeteciler kendilerini ve kaynaklarını daha iyi korumak için aşağıdakilere dikkat etmeli:

  •  Bağlantıyı gönderenin kimliğini farklı bir iletişim kanalıyla teyit edin. Bunun video ile veya sesli olarak yapılması tavsiye edilir.
  •  Eğer mesaj göndereni önceden tanımıyorsanız ikinci bir kanaldan iletişim kurmak bağlantının güvenliğini teyit etmeyebilir çünkü saldırgan özenli bir sahte kimlik hazırlamış ve ikincil iletişim kanallarını hazırlamış olabilir.
  •  Eğer bağlantı TinyURL veya Bitly gibi URL kısaltan bir hizmet üzerinden geliyorsa onu Link Expander veya URLEX gibi URL genişleten bir hizmete koyun. Eğer bağlantı açılmış haliyle şüpheli gözüküyorsa, mesela yerel bir haber sitesini taklit ediyor ama tam aynısı değilse, o bağlantıya tıklamayın..
  •  Bağlantıya tıklamanız gerekiyorsa da bunu esas cihazınız üzerinden yapmayın. Bağlantıyı üzerinde hassas bilgi veya rehber olmayan, ayrı, sadece böyle bağlantılara tıklamak için kullanılan ikinci bir cihaz ile açın. Bu cihazı sık sık fabrika ayarlarına döndürün (bunun casus yazılımı silmeye yetmeyebileceğini unutmayın). Bu ikinci cihazı kullanmadığınız zamanlarda pilini çıkararak kapalı tutun.
  •  Telefonunuz için standart olmayan tarayıcılar kullanın. Pegasus’un standart tarayıcıları hedeflediğine inanılıyor. Android için standart tarayıcı Chrome ve iOS için Safari. Firefox Focus gibi bir alternatif tarayıcı kullanın ve bağlantıyı onun üzerinden açın. Ancak, Pegasus’un başka tarayıcıları hedef almayacağının veya halihazırda almamış olduğunun bir garantisi yok.

Bir saldırgan tarafından yapılan fiziksel kurulum

Eğer bir düşmanınızın telefonunuza fiziksel erişimi varsa, bu şekilde de cihazınıza Pegasus kurulabilir. Riski minimum düzeye indirmek için:

  •  Cihazınızı ortalıkta bırakıp başka bir yere gitmeyin ve telefonunuzu başkalarına vermekten kaçının.
  •  Bir sınırı veya kontrol noktasını geçerken telefonunuz mutlaka gözünüzün önünde olsun. Kontrol noktasına gelmeden önce cihazı kapatın ve hem harfler hem de rakamlar içeren karmaşık bir şifreniz olsun. Telefon sizden alınırsa artık o cihazın güvenli olmayacağını aklınızda tutun.

Kendinizi ve kaynaklarınızı korumak amaçlı daha çok bilgi için bakınız: CPJ Dijital Güvenlik Kiti.

Değerli katkılarından dolayı Citizen Lab’e teşekkürler.