Bir Veri Gazeteciliği Hikâyesi: Pegasus Project (Çeviri)

Fransız kâr amacı gütmeyen Forbidden Stories tarafından yürütülen araştırmanın sonuçları dünya çapında 180’den fazla gazetecinin, Pegasus casus yazılımıyla gözetlenmek üzere potansiyel hedefler olarak seçildiğini gösterdi. Forbidden Stories, küresel demokrasiye karşı siber saldırı girişimini açığa çıkarmak için 16 medya kuruluşu ile birlikte çalışmalarını yürütüyor. Konsorsiyumda bulunan medya kuruluşlarından yayımlanan haberlerden öne çıkanları burada paylaşıyorum:

Pegasus casus yazılım nedir ve telefonları nasıl hackler? (Guardian)

Pegasus, özel bir şirket tarafından belki de şimdiye kadar geliştirilmiş en güçlü casus yazılım parçasının adıdır. Cep telefonlarına sızdığında, kendini fark ettirmeden 24 saat cihazı gözetleme aracına dönüştürebilir. Gönderilen veya alınan mesajları kopyalayabilir, fotoğrafları depolayabilir ve aramaları kaydedebilir. Telefonun kamerasıyla gizlice kayıt alabilir veya konuşmaları dinlemek için mikrofonu etkinleştirebilir. Potansiyel olarak lokasyonu, kullanıcıların nerelerde bulunduğunu ve kimlerle tanıştığını belirleyebilir. Pegasus, İsrail şirketi olan NSO Group tarafından geliştirilen dünyanın dört bir yanındaki hükümetlere pazarlanan ve lisanslanan casus yazılımdır. İOS veya Android işletim sistemlerinin bulunduğu milyarlarca telefona sızabilme kabiliyetine sahiptir. Pegasus’un 2016’da araştırmacılar tarafından ele geçirilen en eski sürümü; hedeflenen telefonlara phishing/oltalamala tekniğine dayanan yöntem ile cihazlara sızabiliyordu. Ancak o zamandan beri, NSO’nun saldırı yetenekleri daha da gelişti. Pegasus yazılımı, telefon sahibinin herhangi bir etkileşimi gerekmeden cihazlara sızabiliyor. Casus yazılım, cep telefonu üreticisinin henüz bilmediği ve bu nedenle düzeltemediği işletim sistemindeki kusurlar veya güvenlik açıklarından yararlandığı düşünülüyor.

Pegasus yazılımının saldırı teknikleri ve yetenekleri

 

Pegasus yazılımının arkasındaki şirket: NSO Group (OCCRP)

2010 yılında iki lise arkadaşı tarafından ortaklaşa kurulan NSO Group, kuruluşundan itibaren cep telefonlarına sızma konusunda uzmanlaşmaya odaklandı. Kişisel cep telefonlarına küresel alanda gösterilen ilgi, vatandaşlarını dinlemeye hevesli hükümetleri de kendine çekti. Şirket; düzinelerce müşterisi, 700’den fazla çalışanı ve 2018 itibariyle 250 milyon dolarlık geliri ile casus yazılım pazarında önemli bir oyuncu haline geldi. NSO Group, Pegasus yazılımını yalnızca hükümetlerin terör ve suçla mücadele etmelerine yardımcı olmak için lisansladığını söylüyor. Ancak gazeteciler ve uzmanlar, otoriter rejimlerin Pegasus’u kullanarak muhabirleri, muhalifleri ve insan hakları savunucularını gözetleme girişimlerinde bulunduklarını defalarca teyit ettiler. NSO Group piramidin tepesine yakın olsa da yalnız değil. Şirket, teknoloji konusunda bilgili, girişimci ve askerileşmiş İsrail’de yerleşik “siber istihbarat” firmalar ekosistemindeki aktörlerden sadece biri.

Cemal Kaşıkçı cinayeti öncesi eşi Pegasus yazılımı tarafından hedefe alındı (The Washington Post)

Dijital adli analizlere göre, İstanbul’da öldürülen Suudi köşe yazarı Cemal Kaşıkçı’ya en yakın iki kadının akıllı telefonlarını takip etmek için Pegasus casus yazılımı kullanıldı. Kaşıkçı’nın Eşi Hanan Elatr’ın Android telefonu, öldürülmeden altı ay önce bir Pegasus kullanıcısı tarafından hedef alındı ancak analizler sızmanın başarılı olup olmadığını belirleyemedi. Adli uzmanlar Kaşıkçı’nın nişanlısı Hatice Cengiz’in iPhone’una ise casus yazılımların girdiğini saptadı.

Edward Snowden’dan Pegasus casus yazılımıyla ilgili kısıtlama çağrısı (Guardian)

NSA sızıntıları ile tanınan Edward Snowden, Pegasus yazılımı ile ortaya çıkan haberlerin ardından önlem alınmadığı takdirde hiçbir telefonun güvende olmayacağı bir dünya konusunda uyarılarda bulundu. Guardian ile yaptığı röportajda Snowden, baskıcı rejimlerin çok sayıda insanı en istilacı gözetime almanın nasıl mümkün olduğunu konsorsiyum tarafından yapılan haberlerde gösterdiğini belirtti. Snowden, sıradan insanlar için buradaki çözümün kolektif olarak çalışmak olacağına değindi. Ona göre karşılaşılan durum bireysel olarak deneyip çözebileceğimiz bir sorun değil çünkü şirketler çok güçlü. Snowden ayrıca kendi mahremiyetinizi korumak istiyorsanız oyunu değiştirmeniz gerektiğini ve bunu yapmak için casus yazılımın uluslararası ticaretini sınırlandırmanın yollarının bulunması önceliğinin altını çizdi. NSO Group bir dizi açıklamada, şirket ve müşterileri hakkında “yanlış iddiaları” reddetti. Yazılımı yalnızca yetkili hükümet müşterilerine sattığını ve teknolojisinin terörizmi ve ciddi suçları önlemeye yardımcı olduğunu söyledi.

Pegasus casus yazılımı tarafından gözetim alınan gazeteciler (OCCRP)

Macaristan’da Szabolcs Panyi karanlık silah anlaşmalarını açığa çıkardı. Hindistan’da, Paranjoy Guha Thakurta iş dünyası ve siyasi gruplar arasındaki bağları araştırdı. Azerbaycan’da Sevinj Vaqifqizi, seçimlere karıştırılan hileye odaklandı. Birbirlerinden binlerce kilometre uzakta olan bu gazetecilerin ortak bir noktası vardı: Hükümetleri onları bir tehdit olarak gördü. Üçü de Pegasus casus yazılımının akıllı telefonlarına bulaştığı dünya çapında onlarca gazeteci ve aktivist arasındaydı. Panyi, Thakurta ve Vaqifqizi’nin telefonları, Uluslararası Af Örgütü’nün Güvenlik Laboratuvarı tarafından analiz edildi. Gazetecilerin numaralarının hükümetler tarafından hedeflenmek üzere seçildiği belirtilen 50.000’den fazla numaradan oluşan bir listede göründüğü ve telefonlarının incelendikten sonra casus yazılımın sızdığı tespit edildi. Gazeteciler, liste içerisindeki numaraların yüzlercesinin sahibini tespit edebildi. Af Örgütü ise çok sayıda analiz yaparak düzinelerce vakada sızma olduğunu doğruladı.

Pegasus Projesinden Çıkarımlar (The Washington Post)

Geniş listeden tanımlanan telefonlar: Gözetimin yapıldığı düşünülen ülkelerde 50.000 kişilik olduğu belirtilen listede otuz yedi akıllı telefon incelendi. 50.000 kişilik listeye numaraları kimin, neden koyduğunu belirlenemedi ve telefonlardan kaçının hedeflendiği veya gözetlendiği henüz tespit edilemedi. Ancak otuz yedi telefonun adli analizi sonucu gözetleme girişimlerine dair bulgular ortaya çıkarıldı. Listede politikacılar, gazeteciler ve aktivistler bulundu: Listenin içeriği tam olarak saptanamadı ancak gazeteciler, dört kıtada yapılan araştırmalar ve röportajlar yoluyla 50’den fazla ülkeye yayılan 1.000’den fazla kişiyi tespit edebildiler: Arap kraliyet ailesi üyeleri, en az 65 şirket yöneticisi, 85 insan hakları aktivisti, 189 gazeteci ve 600’den fazla politikacı ve hükümet yetkilisi Şirket, suistimaller konusunda müşterilerini denetlediğini söyledi: 37 akıllı telefondan elde edilen kanıtlar, İsrailli şirketin müşterilerini insan hakları ihlalleri için denetlemeye yönelik taahhütlerini sorguluyor. NSO CEO’su Shalev Hulio Pazar günü yaptığı açıklamada, The Post’un haberlerinden “çok endişeli” olduğunu söyledi. Hulio, “Her iddiayı kontrol ediyoruz ve iddiaların bir kısmı doğruysa, sert önlemler alacağız ve geçmişte yaptığımız gibi sözleşmeleri feshedeceğiz.” dedi. Hulio ayrıca “Pegasus tarafından olmasa bile gazetecilere karşı herhangi bir gözetleme yapıldıysa bu bizi rahatsız eder” diyerek ekledi. NSO Group küresel bir tartışmanın merkezinde: CEO Hulio, bir gece yarısı röportajında, hükümetlerin güvenliği sağlamasına yardımcı olacak daha iyi bir yol olursa “Pegasus’u kapatacağını” söyledi. Ancak şirketin, kötüye kullanımı araştırma yeteneğinin müşterilerin faaliyetlerine ilişkin hiçbir şeffaflık bulunmaması politikası nedeniyle sorunlu olduğunu kabul etti. iPhone’un savunmasız olduğu ortaya çıktı: Pegasus casus yazılımının saldırdığı veya nüfuz ettiği 37 akıllı telefonun, Apple’ın cihazlarının güvenliğini sağlamak için yeterince mücadele edip etmediği konusundaki tartışmaları alevlendirdi. 37 cihazdan 34’ü iPhone’du. Casusluğun yeni adımları dünya çapında sonuçlar doğuruyor: Hedef alındığı doğrulanan 37 telefondan 10’u Hindistan’da ve diğer beşi Macaristan’daydı ve bunların çoğu gazeteciler, aktivistler veya iş adamlarıyla bağlantılıydı. Bulgular, her iki ülkede de yasa dışı hükümet gözetimi hakkındaki endişeleri artıracaktır. Daha geniş küresel listede Hindistan ve Macaristan’dan yüzlerce numara daha görünüyor. Üçüncü bir ülke olan Meksika, listedeki sayıların yaklaşık üçte birine ev sahipliği yapıyor. Her ülke, herhangi bir gözetim faaliyetini gerçekleştirirken yasal olarak hareket ettiğini söylüyor.

Forbidden Stories ve Pegasus Project’e destek veren kuruluşlar

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir