An Israeli woman uses her iPhone in front of the building housing the Israeli NSO group, on August 28, 2016, in Herzliya, near Tel Aviv. NSO Group has been accused of facilitating surveillance of journalists through sales of its Pegasus spyware. (AFP/Jack Guez)
İsrail vatandaşı bir kadın, 28 Ağustos 2016 günü, Tel Aviv yakınlarındaki Herzliya’da, NSO Grup binasının önünde iPhone’unu kullanırken görülüyor. NSO Grup, sattığı Pegasus adlı casus yazılımıyla gazetecilerin takip altında tutulmasına olanak sağlamakla suçlandı. (AFP/Jack Guez)

CPJ Güvenlik Tavsiyeleri: Casus Yazılım Pegasus Gazetecileri Hedef Alıyor

19 Temmuz 2021 tarihinde güncellendi

Pegasus, mobil cihazlar için yaratılmış bir casus yazılımdır; cep telefonunu mobil bir takip istasyonuna dönüştürür. Gazetecileri gizlice izlemek için kullanıldığı araştırmacılar tarafından belgelenmiştir ve araştırmacı muhabirler 2021 içerisinde en az 180 gazetecinin potansiyel hedef olduğunu ortaya çıkardılar. Bu durum hem gazetecilerin kendi güvenlikleri, hem de kaynaklarının güvenliği için önemli sorunlar yaratıyor. 

Af Örgütü tarafından 2020 yılının Haziran ve 2021 yılının Temmuz aylarında yayımlanan raporlara göre, daha önceki saldırılar casus yazılımı telefonlara kaydetmek amacıyla kullanıcıları mesajlar içinde gönderilen bağlantılara tıklamaları için kandırmaya çalışıyordu ancak daha yakın zaman gerçekleşen saldırılarda, kullanıcıdan herhangi bir etkileşim gerekmeksizin, telefonda bulunan uygulama veya yazılımlarda mevcut güvenlik açıklarından faydalanmaya odaklanıldığı görüldü. 

Bir kere cihaza yüklendikten sonra, casus yazılım saldırgana telefon üzerinde mevcut olan ve yeni yüklenecek verileri  izleme, kaydetme ve toplama imkanı sunuyor. Bu verilere mesajlaşma uygulamalarından gelen aramalar ve bilgiler ile gerçek zamanlı konum bilgisi de dahil. Casus yazılım ile kamera ve mikrofonu uzaktan çalıştırarak hedefi ve çevresini izlemek mümkün.

Pegasus’un üreticisi İsrail merkezli, devlet kurumlarına suç ve terörizm soruşturmaları için araçlar satan NSO Grubu. (NSO Grubu, CPJ’e pek çok kez tekil vakalar üzerine yorum yapmayacaklarını ancak ürünlerinin kontrat ihlali oluşturacak şekilde kötüye kullanıldığına dair raporları araştırdıklarını söyledi.)

Gazeteciler ve haber merkezleri için rehber

Pegasus, Android, BlackBerry, OS ve iOS sistemleriyle çalışan telefonlara kendini kullanıcıya belli etmeden kaydetmek için programlandı. Gazetecilerin telefonlarında zararlı yazılım olup olmadığını bilmelerinin muhtemelen tek yolu cihazı güvendikleri bir teknoloji uzmanına incelettirmek. Endişeli gazeteciler bu rehberi de uzmanlarla paylaşmayı düşünebilir. 

Bu şekilde hedef alındığınıza ve telefonunuzda casus yazılım bulunduğuna inanmak için sebepleriniz varsa:

  • Derhal o cihazı kullanmayı bırakın.
  • Cihazı sizi veya çevrenizi ifşa etmeyecek bir yere koyun.
  • Tüm hesaplardan çıkış yapın ve uygulamaları telefondan silin.
  • Farklı bir cihaz kullanarak tüm şifrelerinizi değiştirin.
  • Dijital güvenlik konusunda uzmanlara danışın. Teknik desteğe erişimi olmayan serbest gazeteciler Access Now Helpline hizmetine danışabilirler.
  • Eğer cihazınızı değiştirmeden önce kullanmak mecburiyetindeyseniz fabrika ayarlarına döndürün ve işletme sistemi, uygulamalar ve tarayıcıları en son versiyonlarını yükleyerek güncellediğinizden emin olun. Bunu yapmak casus yazılımın telefondan silineceğini garanti etmez. Ancak Af Örgütü’nün Temmuz 2021’de belirttiği üzere, cihazlara sistem yeniden yüklendiğinde Pegasus silinmiş gibi görünüyor. 
  • Aynı rapora göre 700 alan adı Pegasus tarafından cihazlara sızmak için kullanıldı ve medya kurumlarının casus yazılıma maruz kalmışlar mı diye kontrol etmek için ağ telemeterileri ve DNS kayıtlarında bu siteleri aramaları öneriliyor. 
  • Af Örgütü’nün Mobil Doğrulama Araç Kiti teknoloji uzmanlarına bir cihazda Pegasus olup olmadığını anlamakta yardımcı olabilir. 

Geriye dönük araştırma

  • Citizen Lab 2018 yılında Pegasus’un 45 ülkede kullanıldığını tespit etti. Bu raporun bulgularına göre Pegasus Meksika, Suudi Arabistan, Bahreyn, Fas, Togo, İsrail, ABD ve Birleşik Arap Emirlikleri’nde gazeteciler ve sivil toplum temsilcilerine karşı kullanılmış olabilir.
  • Citizen Lab tarafından açıklandığı üzere, 2019 yılının Mayıs ayında mesajlaşma uygulaması WhatsApp bünyesinde bir güvenlik açığı bulundu ve önlem alınana dek en az 20 ülkede 100’den çok insan hakları savunucusu ve gazetecinin telefonlarına casus yazılım yüklendi. Facebook’un sahibi olduğu WhatsApp, daha sonra bu casus yazılımı Pegasus veya onun bir varyasyonu olarak tanımladı
  • Af Örgütü tarafından 2020 yılının Haziran ayında gerçekleştirilen bir araştırmanın bulgularına göre, telefonundaki İnternet trafiği saldırganlar tarafından kontrol edilen ve zararlı yazılım içeren bir siteye yönlendirilen Fas vatandaşı bir gazetecinin telefonuna zararlı yazılım yüklendi. Raporda telefonun İnternet tarayıcısı bir kere bu siteye bağlanınca saldırganların muhtemelen yazılımdaki güvenlik açıklarından faydalanarak telefona sızdıkları tespit edildi. Rapora göre, bu saldırı ya cep telefonunun İnternet trafiğini korsan bir baz istasyonuna (baz istasyonunu taklit eden bir cihaz) yönlendirerek ya da hedefin cep telefonu operatörü üzerinden gerçekleştirildi.
  • Citizen Lab tarafından Aralık 2020’de yapılan detaylı bir araştırmada 36 gazeteci ve medya yöneticisinin kişisel iPhone’larında Pegasus tespit edildi; bu kişilerin çoğu El Cezire çalışanıydı ancak hedefler arasında bir de Al-Araby TV çalışanı gazetecinin olduğu görüldü ve tespit edilenlerin tüm hedeflerin dörtte biri olduğu belirtildi.
  • NSO müşterilerinin ilgisini çeken, aralarında 180 gazetecinin de bulunduğu, dünya çapında toplam 50.000 kişinin telefon numaralarını içerdiği söylenen bir sızıntı doküman küresel medya kurumlarından oluşan bir konsorsiyum tarafından Temmuz 2021’de incelendi. Af Örgütü Forbidden Stories ile ortaklaşa yaptığı bir inceleme ile bu gazetecilerin bir düzineden çoğunun telefonlarını inceledi ve iPhone 12 versiyon 14.6 modellerin yakın zamanda etkilendiğini ortaya koydu. 

Farklı saldırı biçimleri için tavsiyeler

Pegasus cihazlara pek çok şekilde yüklenebilir. Gazetecilerin kendilerini ve kaynaklarını korumak için bu metotların gelişimini takip etmeleri ve gerekli adımları atmaları gerekiyor. 

 Sıfır-gün saldırıları

Sıfır-tık saldırıları olarak da bilinen sıfır-gün saldırıları insanları değil, güvenlik açıkları olan yazılımları hedef alır. Kullanıcıdan etkileşim almaya ihtiyaçları yoktur. 

  • WhatsApp temelli saldırıya dair haberlere göre, bilinmeyen numaralardan gelen aramalar ile uygulama çökertildi. Bu numaralar cevapsız bir arama olduğu veya kimden geldiğine dair herhangi bir iz bırakmadan arama geçmişinden kayboldular. 
  • Citizen Lab’in Aralık 2020 araştırmasının bulgularına göre saldırganlar casus yazılımı iMessenger uygulamasındaki bir güvenlik açığı sayesinde, cihaz sahibi ile etkileşim ihtiyacı olmadan yüklediler. Bu açık iOS 14 güncellemesi ile giderilmiş gibi gözüküyor. 
  • Af Örgütü’nün Temmuz 2021 raporunda iPhone 12 versiyon 14.6 modellere iMessage uygulaması üzerinden tekrarlanan sızma çabalarının izlerinin tespit dildiği söylendi. Aynı raporda iTunes Store gibi cihazla birlikte gelen uygulamaların saldırıya karşı zaaf teşkil edebileceği de belirtildi. 

Kendinizi sıfır-gün saldırılarına karşı korumak zordur. Bir devlet veya benzeri sofistike bir düşman tarafından hedef alındığını düşünen gazeteciler şu önlemleri almalı:

  •  Birkaç ayda bir değiştirebileceğiniz, ucuz, kullan-at tipi telefonları tercih etmeyi düşünün
  •  Telefonunuzun işletim sistemini de, tarayıcılar ve uygulamaları da düzenli olarak güncelleyin.
  •  Telefonunuzdaki uygulamaları düzenli olarak kontrol edin ve kullanmadıklarınızı silin.
  •  Mümkünse bir teknoloji uzmanından durumunuza özel tavsiyeler alın.

Ağ enjeksiyon saldırısı

Bir ağ enjeksiyon saldırısı için kullanıcıdan etkileşim almaya ihtiyaç yoktur; bunun yerine tarayıcıların veya uygulamaların saldırganlar tarafından kontrol edilen sitelere otomatik olarak  yeniden yönlendirilmeleri ile gerçekleştirilir. Bu, Ortadaki Adam Saldırısı (MITM) olarak da bilinir. Bir kere siteye bağlandıktan sonra saldırganlar cihaza yazılımındaki güvenlik açıklarından faydalanarak sızarlar. 

Bir gazetecinin bu tip enjeksiyon saldırısına uğrayıp uğramadığını bilme ihtimali çok düşüktür ve karşı önlem almak zor olabilir. 

Riski minimum seviyeye düşürmek için:

  •  Hem telefon hem de bilgisayarda bir Sanal Özel Ağ (VPN) kullanın. 
  • Yaşadığınız veya seyahat edeceğiniz ülkelerdeki VPN kullanımına dair kanunları okuyun.
  • VPN şirketini araştırıp, tarayıcı geçmişi ve oturum açma detayları dahil olmak üzere, kullanıcı verilerini  saklamadıklarından emin olun çünkü devletler bu bilgilere erişebilir.
  • VPN sağlayıcısının devletlere yakın bağları olup olmadığını veya sahibinin bir devlet olup olmadığını kontrol edin. Merkezi yaşadıkları ülkede olmayan ve mahremiyet konusunda iyi bir geçmişi olan hizmetleri tercih edin 

Mızrak-yemleme saldırıları

Saldırganlar belli bir gazeteciye yönelik özel yazılmış mesajlar hazırlar ve yollarlar. Bu mesajlarda bir acil durum algısı yaratılır ve gazeteciden bir bağlantı veya belgeye tıklaması beklenir. Bu mesajlar farklı şekillerde gelebilir; SMS, e-posta, WhatsApp gibi uygulamalar üzerinden gelen mesajlar veya sosyal medya platformu mesajları da bunlara dahil. Gazeteci bir kere o bağlantıya tıkladıktan sonra casus yazılım telefonuna yüklenmiş olur. 

Citizen Lab ve Af Örgütü tarafından yapılan araştırmalara göre mesajlar aşağıdakiler gibi olabiliyor: 

  • Bir elçilik veya yerel haber kurumu gibi bilindik bir kurumdan geliyormuş gibi görünen mesajlar.
  • Hedefi acil bir tehlikeye karşı uyaran mesajlar.
  • Hedefin genelde haberleştirdiği tarzda bir olaya dairmiş gibi, iş alakalı görünen mesajlar.
  • Partnerlerin mahrem fotoğrafları gibi kişisel konularda iddialarda bulunan mesajlar.
  • Alışverişler, kredi kartları veya bankacılık meseleleri gibi finansal konulardaki mesajlar. 

Bu mesajlar bilinmeyen numaralardan da geliyor olabilir. 

Saldırganlar kişisel telefonları veya iş telefonlarını hedef alabilirler. Gazeteciler kendilerini ve kaynaklarını daha iyi korumak için aşağıdakilere dikkat etmeli:

  • Bağlantıyı gönderenin kimliğini farklı bir iletişim kanalıyla teyit edin. Bunun video ile veya sesli olarak yapılması tavsiye edilir.
  • Eğer mesaj göndereni önceden tanımıyorsanız ikinci bir kanaldan iletişim kurmak bağlantının güvenliğini teyit etmeyebilir çünkü saldırgan özenli bir sahte kimlik hazırlamış ve ikincil iletişim kanallarını hazırlamış olabilir. 
  • Eğer bağlantı TinyURL veya Bitly gibi URL kısaltan bir hizmet üzerinden geliyorsa onu Link Expander veya URLEX gibi URL genişleten bir hizmete koyun. Eğer bağlantı açılmış haliyle şüpheli gözüküyorsa, mesela yerel bir haber sitesini taklit ediyor ama tam aynısı değilse, o bağlantıya tıklamayın..
  • Bağlantıya tıklamanız gerekiyorsa da bunu esas cihazınız üzerinden yapmayın. Bağlantıyı üzerinde hassas bilgi veya rehber olmayan, ayrı, sadece böyle bağlantılara tıklamak için kullanılan ikinci bir cihaz ile açın. Bu cihazı sık sık fabrika ayarlarına döndürün (bunun casus yazılımı silmeye yetmeyebileceğini unutmayın). Bu ikinci cihazı kullanmadığınız zamanlarda pilini çıkararak kapalı tutun. 
  • Telefonunuz için standart olmayan tarayıcılar kullanın. Pegasus’un standart tarayıcıları hedeflediğine inanılıyor. Android için standart tarayıcı Chrome ve iOS için Safari. Firefox Focus gibi bir alternatif tarayıcı kullanın ve bağlantıyı onun üzerinden açın. Ancak, Pegasus’un başka tarayıcıları hedef almayacağının veya halihazırda almamış olduğunun bir garantisi yok. 

Bir düşman tarafından yapılan fiziksel kurulum

Eğer bir düşmanınızın telefonunuza fiziksel erişimi varsa, bu şekilde de cihazınıza Pegasus kurulabilir. Riski minimum düzeye indirmek için:

  • Cihazınızı ortalıkta bırakıp başka bir yere gitmeyin ve telefonunuzu başkalarına vermekten kaçının.
  • Bir sınırı veya kontrol noktasını geçerken telefonunuz mutlaka gözünüzün önünde olsun. Kontrol noktasına gelmeden önce cihazı kapatın ve hem harfler hem de rakamlar içeren karmaşık bir şifreniz olsun. Telefon sizden alınırsa artık o cihazın güvenli olmayacağını aklınızda tutun. 

Kendinizi ve kaynaklarınızı korumak amaçlı daha çok bilgi için bakınız: CPJ Dijital Güvenlik Kiti

Değerli katkılarından dolayı Citizen Lab’e teşekkürler.

[EDİTÖRÜN NOTU: Sıfır-gün saldırılarına dair tavsiye yeni güvenlik bilgileri eklemek için değiştirilmiştir.]