An Israeli woman uses her iPhone in front of the building housing the Israeli NSO group, on August 28, 2016, in Herzliya, near Tel Aviv. NSO Group has been accused of facilitating surveillance of journalists through sales of its Pegasus spyware. (AFP/Jack Guez)
İsrail vatandaşı bir kadın, 28 Ağustos 2016 günü, Tel Aviv yakınlarındaki Herzliya’da, NSO Grup binasının önünde iPhone’unu kullanırken görülüyor. NSO Grup, sattığı Pegasus adlı casus yazılımıyla gazetecilerin takip altında tutulmasına olanak sağlamakla suçlandı. (AFP/Jack Guez)

CPJ Güvenlik Tavsiyeleri: Casus Yazılım Pegasus Gazetecileri Hedef Alıyor

21 Aralık 2020 tarihinde güncellendi

Pegasus, mobil cihazlar için yaratılmış bir casus yazılımdır; cep telefonunu mobil bir takip istasyonuna dönüştürür. Gazetecileri gizlice izlemek için kullanıldığı araştırmacılar tarafından belgelenmiştir. Bu durum hem gazetecilerin kendi güvenlikleri, hem de kaynaklarının güvenliği için önemli sorunlar yaratıyor.

Citizen Lab 2018 yılında Pegasus’un 45 ülkede kullanıldığını tespit etti. Bu raporun bulgularına göre Pegasus Meksika, Suudi Arabistan, Bahreyn, Fas, Togo, İsrail, ABD ve Birleşik Arap Emirlikleri’nde gazeteciler ve sivil toplum temsilcilerine karşı kullanılmış olabilir.

Af Örgütü tarafından 2020 yılının Haziran ayında yayımlanan bir rapora göre, daha önceki saldırılar casus yazılımı telefonlara kaydetmek amacıyla kullanıcıları mesajlar içinde gönderilen bağlantılara tıklamaları için kandırmaya çalışıyordu ancak daha yakın zaman gerçekleşen saldırılarda, kullanıcıdan herhangi bir etkileşim gerekmeksizin, telefonda bulunan uygulama veya yazılımlarda mevcut güvenlik açıklarından faydalanmaya odaklanıldığı görüldü.

Citizen Lab tarafından açıklandığı üzere, 2019 yılının Mayıs ayında mesajlaşma uygulaması WhatsApp bünyesinde bir güvenlik açığı bulundu ve önlem alınana dek aralarında 100’den çok insan hakları savunucusu ve en az 20 gazetecinin de bulunduğu bazı kullanıcıların telefonlarına casus yazılım yüklendi. Facebook’un sahibi olduğu WhatsApp, daha sonra bu casus yazılımı İsrail merkezli, devlet kurumlarına suç ve terörizm soruşturmaları için araçlar satan NSO Grup tarafından üretilen Pegasus veya onun bir varyasyonu olarak tanımladı. (NSO Grup, CPJ’e pek çok kez tekil vakalar üzerine yorum yapmayacaklarını ancak ürünlerinin kontrat ihlali oluşturacak şekilde kötüye kullanıldığına dair raporları araştırdıklarını söyledi.)

Af Örgütü tarafından 2020 yılının Haziran ayında gerçekleştirilen bir araştırmanın bulgularına göre, telefonundaki İnternet trafiği saldırganlar tarafından kontrol edilen ve zararlı yazılım içeren bir siteye yönlendirilen Fas vatandaşı bir gazetecinin telefonuna zararlı yazılım yüklendi. Raporda telefonun İnternet tarayıcısı bir kere bu siteye bağlanınca saldırganların muhtemelen yazılımdaki güvenlik açıklarından faydalanarak telefona sızdıkları tespit edildi. Rapora göre, bu saldırı ya cep telefonunun İnternet trafiğini korsan bir baz istasyonuna (baz istasyonunu taklit eden bir cihaz) yönlendirerek ya da hedefin cep telefonu operatörü üzerinden gerçekleştirildi.

Citizen Lab tarafından Aralık 2020’de yapılan detaylı bir araştırmada 36 gazeteci ve medya yöneticisinin kişisel iPhone’larında Pegasus tespit edildi; bu kişilerin çoğu El Cezire çalışanıydı ancak hedefler arasında bir de Al-Araby TV çalışanı gazetecinin olduğu görüldü. Araştırmaya göre saldırılar devlet kaynaklıydı (muhtemelen Suudi Arabistan veya Birleşik Arap Emirlikleri) ve tespit edilenlerin tüm hedeflerin küçük bir bölümü olma ihtimali yüksek.

Bir kere cihaza yüklendikten sonra, casus yazılım saldırgana telefon üzerinde mevcut olan ve yeni yüklenecek verileri  izleme, kaydetme ve toplama imkanı sunuyor. Bu verilere mesajlaşma uygulamalarından gelen aramalar ve bilgiler ile gerçek zamanlı konum bilgisi de dahil. Casus yazılım ile kamera ve mikrofonu uzaktan çalıştırarak hedefi ve çevresini izlemek mümkün.

Pegasus, Android, BlackBerry, OS ve iOS sistemleriyle çalışan telefonlara kendini kullanıcıya belli etmeden kaydetmek için programlandı. Gazetecilerin telefonlarında zararlı yazılım olup olmadığını bilmelerinin muhtemelen tek yolu cihazı bir teknoloji uzmanına incelettirmek.

Bu şekilde hedef alındığınıza ve telefonunuzda casus yazılım bulunduğuna inanmak için sebepleriniz varsa:

  • Derhal o cihazı kullanmayı bırakın.
  • Cihazı sizi veya çevrenizi ifşa etmeyecek bir yere koyun.
  • Tüm hesaplardan çıkış yapın ve uygulamaları telefondan silin.
  • Farklı bir cihaz kullanarak tüm şifrelerinizi değiştirin.
  • Dijital güvenlik konusunda uzmanlara danışın. Teknik desteğe erişimi olmayan serbest gazeteciler Access Now Helpline hizmetine danışabilirler.
  • Eğer cihazınızı değiştirmeden önce kullanmak mecburiyetindeyseniz fabrika ayarlarına döndürün ve işletme sistemi, uygulamalar ve tarayıcıları en son versiyonlarını yükleyerek güncellediğinizden emin olun.

Pegasus cihazlara pek çok şekilde yüklenebilir. Gazetecilerin kendilerini ve kaynaklarını korumak için bu metotların gelişimini takip etmeleri ve gerekli adımları atmaları gerekiyor.

Ağ enjeksiyon saldırısı

Bir ağ enjeksiyon saldırısı için kullanıcıdan etkileşim almaya ihtiyaç yoktur; bunun yerine tarayıcıların veya uygulamaların saldırganlar tarafından kontrol edilen sitelere otomatik olarak  yeniden yönlendirilmeleri ile gerçekleştirilir. Bu, Ortadaki Adam Saldırısı (MITM) olarak da bilinir. Bir kere siteye bağlandıktan sonra saldırganlar cihaza yazılımındaki güvenlik açıklarından faydalanarak sızarlar.

Bir gazetecinin bu tip enjeksiyon saldırısına uğrayıp uğramadığını bilme ihtimali çok düşüktür ve karşı önlem almak zor olabilir. Riski minimum seviyeye düşürmek için medya çalışanlarının hem telefon hem de bilgisayarlarında bir Sanal Özel Ağ (VPN) kullanmaları gerekmektedir.

Gazeteciler VPN seçerken aşağıdakileri dikkate almalı:

  • Yaşadıkları veya seyahat edecekleri ülkelerdeki VPN kullanımına dair kanunları okumalılar.
  • VPN şirketini araştırıp, tarayıcı geçmişi ve oturum açma detayları dahil olmak üzere, kullanıcı verilerini  saklamadıklarından emin olmalılar çünkü devletler bu bilgilere erişebilir.
  • VPN sağlayıcısının devletlere yakın bağları olup olmadığını veya sahibinin bir devlet olup olmadığını kontrol etmeliler. Merkezi yaşadıkları ülkede olmayan ve mahremiyet konusunda iyi bir geçmişi olan hizmetleri tercih etmeliler.

 Sıfır-gün saldırıları

Sıfır-gün saldırıları insanları değil, güvenlik açıkları olan yazılımları hedef alır. Kullanıcıdan etkileşim almaya ihtiyaçları yoktur.

WhatsApp temelli saldırıya dair haberlere göre, bilinmeyen numaralardan gelen aramalar ile uygulama çökertildi. Bu numaralar cevapsız bir arama olduğu veya kimden geldiğine dair herhangi bir iz bırakmadan arama geçmişinden kayboldular.

Citizen Lab’in Aralık 2020 araştırmasının bulgularına göre saldırganlar casus yazılımı iMessenger uygulamasındaki bir güvenlik açığı sayesinde, cihaz sahibi ile etkileşim ihtiyacı olmadan yüklediler. Bu açık iOS 14 güncellemesi ile giderilmiş gibi gözüküyor.

Kendinizi sıfır-gün saldırılarına karşı korumak zordur. Bir devlet veya benzeri sofistike bir düşman tarafından hedef alındığını düşünen gazeteciler önlem olarak birkaç ayda bir değiştirecekleri, ucuz, kullan-at tipi telefonları tercih etmeyi düşünebilirler. Telefonunuzun işletim sistemini de, tarayıcılar ve uygulamaları da düzenli olarak güncelleyin. Telefonunuzdaki uygulamaları düzenli olarak kontrol edin ve kullanmadıklarınızı silin. Mümkünse bir teknoloji uzmanından durumunuza özel tavsiyeler alın.

Mızrak-yemleme saldırıları

Saldırganlar belli bir gazeteciye yönelik özel yazılmış mesajlar hazırlar ve yollarlar. Bu mesajlarda bir acil durum algısı yaratılır ve gazeteciden bir bağlantı veya belgeye tıklaması beklenir. Bu mesajlar farklı şekillerde gelebilir; SMS, e-posta, WhatsApp gibi uygulamalar üzerinden gelen mesajlar veya sosyal medya platformu mesajları da bunlara dahil. Gazeteci bir kere o bağlantıya tıkladıktan sonra casus yazılım telefonuna yüklenmiş olur.

Citizen Lab ve Af Örgütü tarafından yapılan araştırmalara göre mesajlar aşağıdakiler gibi olabiliyor:

  • Bir elçilik veya yerel haber kurumu gibi bilindik bir kurumdan geliyormuş gibi görünen mesajlar.
  • Hedefi acil bir tehlikeye karşı uyaran mesajlar.
  • Hedefin genelde haberleştirdiği tarzda bir olaya dairmiş gibi, iş alakalı görünen mesajlar.
  • Partnerlerin mahrem fotoğrafları gibi kişisel konularda iddialarda bulunan mesajlar.
  • Alışverişler, kredi kartları veya bankacılık meselelri gibi finansal konulardaki mesajlar.

Bu mesajlar bilinmeyen numaralardan da geliyor olabilir.

Saldırganlar kişisel telefonları veya iş telefonlarını hedef alabilirler. Gazeteciler kendilerini ve kaynaklarını daha iyi korumak için aşağıdakilere dikkat etmeli:

  • Bağlantıyı gönderenin kimliğini farklı bir ieltişim kanalıyla teyit edin. Bunun video ile veya sesli olarak yapılması tavsiye edilir.
  • Eğer mesaj gödereni önceden tanımıyorsanız ikinci bir kanaldan iletişim kurmak bağlantının güvenliğini teyit etmeyebilir çünkü saldırgan özenli bir sahte kimlik hazırlamış ve ikincil iletişim kanallarını hazırlamış olabilir.
  • Eğer bağlantı TinyURL veya Bitly gibi URL kısaltan bir hizmet üzerinden geliyorsa onu Link Expander veya URLEX gibi URL genişleten bir hizmete koyun. Eğer bağlantı açılmış haliyle şüpheli gözüküyorsa, mesela yerel bir haber sitesini taklit ediyor ama tam aynısı değilse, o bağlantıya tıklamayın..
  • Bağlantıya tıklamanız gerekiyorsa da bunu esas cihazınız üzerinden yapmayın. Bağlantıyı üzerinde hassas bilgi veya rehber olmayan, ayrı, sadece böyle bağlantılara tıklamak için kullanılan ikinci bir cihaz ile açın. Bu cihazı sık sık fabrika ayarlarına döndürün (bunun casus yazılımı silmeye yetmeyebileceğini unutmayın). Bu ikinci cihazı kullanmadığınız zamanlarda pilini çıkararak kapalı tutun.
  • Telefonunuz için standart olmayan tarayıcılar kullanın. Pegasus’un standart tarayıcıları hedeflediğine inanılıyor. Android için standart tarayıcı Chrome ve iOS için Safari. Firefox Focus gibi bir alternatif tarayıcı kullanın ve bağlantıyı onun üzerinden açın. Ancak, Pegasus’un başka tarayıcıları hedef almayacağının veya halihazırda almamış olduğunun bir garantisi yok.

Bir düşman tarafından yapılan fiziksel kurulum

Eğer bir düşmanınızın telefonunuza fiziksel erişimi varsa, bu şekilde de cihazınıza Pegasus kurulabilir. Riski minimum düzeye indirmek için:

  • Cihazınızı ortalıkta bırakıp başka bir yere gitmeyin ve telefonunuzu başkalarına vermekten kaçının.
  • Bir sınırı veya kontrol noktasını geçerken telefonunuz mutlaka gözünüzün önünde olsun. Kontrol noktasına gelmeden önce cihazı kapatın ve hem harfler hem de rakamlar içeren karmaşık bir şifreniz olsun. Telefon sizden alınırsa artık o cihazın güvenli olmayacağını aklınızda tutun.

Kendinizi ve kaynaklarınızı korumak amaçlı daha çok bilgi için bakınız: CPJ Dijital Güvenlik Kiti.

Değerli katkılarından dolayı Citizen Lab’e teşekkürler.

[EDİTÖRÜN NOTU: Sıfır-gün saldırılarına dair tavsiye yeni güvenlik bilgileri eklemek için değiştirilmiştir.]