Avuçlarımızdaki büyük tehlike: Pegasus

Bu yazım ilk olarak 5 Kasım 2021’de Reportare‘de yayımlanmıştır.

“Pegasus Casus Yazılımı” aslında ardında büyük bir gazetecilik emeği ile ortaya çıkarılmış ve gelecekte büyük etkileri olacak bir veri sızıntısı. Ülke gündemine yaklaşık 2-3 ay önce girdi. Fakat ülkemizde kişisel verilerin korunmasının hayati bir değere sahip olduğu konusundaki farkındalık eksikliği ve medyamızın konuya ilgisizliği yüzünden pek de duymadık bu konu hakkındaki gelişmeleri. Hâlbuki uzun süredir uluslararası kamoyunda bilinen, tartışılan ama çeşitli bulgularla açığa çıkarılamayan bir olguydu Pegasus ve türevi casusluk yazılımları.

Ben Pegasus’u ilk olarak İstanbul’da öldürülen Suudi Gazeteci Cemal Kaşıkçı’nın cinayeti çerçevesinde çekilmiş The Dissident belgeselinde duymuştum. Kaşıkçı ve çevresindeki insanların öldürülmesinden sonra, cinayet davası sürecinde bazı kişi ve kurumların nasıl elektronik cihazlarla takip edildiğini görünce dudağım uçuklamıştı. Yıllardır akademide, sivil toplum örgütlerinde ve gazetecilere temel düzey dijital güvenlik eğitimi veren biri olarak izleme ve dinleme faaliyetlerinin geldiği bu nokta benim için bile gerçekten ürkütücüydü.

Bu casus yazılım nedir, nasıl ortaya çıktı?

İddalara konu olan veri sızıntısı, 2016’dan bu yana, müşterilerinin taleplerine göre gözetleme yazılımı satan NSO Group’un elindeki telefon listeleri. Bu müşterilerin hükümetler ve devlet kurumları olduğu iddası var. İddialar da çok güçlü.

Forbidden Stories ve Uluslararası Af Örgütü, sızdırılan belgeleri inceleyerek Pegasus Projesi adlı araştırma konsorsiyumu oluşturdukar. Bu kurumlar, proje tarafından sızdırılan telefon listelerine medya kurumlarınında araştırması için ortak erişim sağladılar. Pegasus projesi kapsamında farklı medya kuruluşlarından 80’den fazla gazeteci aylarca birlikte çalıştı. Hukuki ve teknik analizler, Kuzey Amerikada faaliyet gösteren CitizenLab ile Af Örgütü’nün Güvenlik Laboratuvarı yapıldı. Af Örgütü, saldırılardan şüphelenilen 67 akıllı telefonu incelediğinde ise casus azılım tespit edilen cihazların yarısından fazlasına ulaştığını farketti.

Sızıntının kapasitesine gelirsek… Bu sızıntıda yaklaşık 50.000’den fazla telefon numarası tespit edilmiş. Haberlerde anlaşılan o ki dünyanın dört bir yanındaki insan hakları aktivistleri, gazeteciler ve avukatlar, NSO Group tarafından satılan bu casus yazılımını kullanan hükümetler ve kurumlar tarafından hedef alındı.

Kimler izlendi?

Washington Post gazetesi, 50 ülkeden 1000 numaranın sahiplerinin belirlenebildiğini aktarıyor. Bu listede Arap kraliyet ailelerinin üyeleri, 65 işveren, 85 aktivist, 180 den fazla gazeteci ile aralarında devlet başkanlarının da olduğu 600’den fazla siyasi yer alıyor. Yirmiye yakın medya kuruluşu tarafından yürütülen soruşturma, casus yazılım Pegasus’un yaygın ve sürekli olarak kötüye kullanıldığını işaret ediyor. NSO şirketi ise iddiaları reddediyor ve rakamların abartılı olduğunu söylüyor. NSO, her zaman “incelenmiş devlet müşterilerine sattığı sistemleri çalıştırmadığını ve müşterilerinin hedeflerine ilişkin verilere erişimi olmadığını” savunuyor.

NSO’nun müşterileri tarafından gözetim için olası adaylar olarak seçilen diğer gazeteciler , dünyanın en prestijli medya kuruluşlarından bazıları için çalışıyor. Bunlar arasında Guardian, Wall Street Journal, CNN, The New York Times, Al Jazeera, France 24, Radio Free Europe, Mediapart, El País, Associated Press, Le Monde, Bloomberg, Agence France-Presse, the Economist, Reuters ve Voice of America yer alıyor. 

Aslında bu habercilik faaliyetinde gazeteciler kendi faillerini açığa çıkarıyor. Gazeteciler küresel düzeyde gazeteilerin susturulması için Pegasus yazılımının bir silah kullanıldığını belirtiyorlar.Azerbaycan, Bahreyn, Kazakistan, Meksika, Fas, Ruanda, Suudi Arabistan, Macaristan, Hindistan, Birleşik Arap Emirlikleri gibi ülkeler bu casus yazılımın müşterisi olarak belirtilmiş. Meksika’nın biden fazla kez Pegasus yazılımını aldığı ve 15.000 numarayı hedeflediği söyleniyor. Ruanda, Fas, Hindistan ve Macaristan kullanmadık diyor, yalanlıyor. Diğer ülkeler haber vermemiş durumda.

İddalara göre 45’e yakın ülkede bazı kişi ve gruplar NSO’nun müşterisi olmuş. Ama sızıntıda yapılan analizde buna ilişkin bir veri yok sadece tahmin bu haberlere yansıyanlar. Guardian’ın The Pegasus Project adlı haber dosyasında Türkiye’den de yaklaşık 500 kişinin NSO’nun yazılımıyla muhtemel bir gözetleme altında olduğu belirtiliyor. Tabii bunlar GSM numara listeleri, yani yazılım cihazlara bulaştırılmış mı bulaştırılmamış mı bilmiyoruz.

Peki sızma gerçekleşirse yani telefon ele geçirilirse ne oluyor?

Yazılım Telefonunuza bir kez girdiğinde, siz fark etmeden onu 24 saat gözetleme cihazına dönüşebiliyor. Gönderdiğiniz veya aldığınız mesajları kopyalayabilir, fotoğraflarınızı toplayabilir ve aramalarınızı kaydedebilir. Sizi telefonunuzun kamerası aracılığıyla gizlice filme alabilir veya konuşmalarınızı kaydetmek için mikrofonu etkinleştirebilir. Nerede olduğunuzu ve kiminle görüştüğünüzü potansiyel olarak belirleyebilir.

Asıl korkutucu olan WhatsApp ve Signal gibi şifreli mesajlaşma uygulamalarının içeriğini okuyabiliyorlar. Uçtan uca şifreleme cihazda ve aktarılırken verinin şifrelenmesini ve okunmamasını sağlıyor normalde. Ama cihazı ele geçirince, fiziken baktığınız gibi, ekranı başka bir yerden de okuyabiliyorsanız tüm mahremiyet ve güvenlik ortadan kalkıyor. Çünkü cihazınız tamamen ele geçirilmiş durumda.

Kaşıkcı cinayeti

Hatırlarsanız Suudi Arabistan Kralına muhalefet eden Washington Post yazarı Cemal Kaşıkcı, Suudi Arabistan’ın İstanbul, Türkiye’deki başkonsolosluğunda suikate uğramış ve öldürülmüştü. Pegasus yazılımı bu cinayetten sonra tekrar gündeme gelmiş ve aslında Kaşıkcı’nın yıllardır bu yazılımla takip ettiği ve tüm mesajlaşmaları, konuşmaları ve hareketleri izlendiği anlaşılmıştı.

Bryan Fogel tarafından yönetilen bir 2020 Amerikan belgesel olan The Dissident filminde de Kaşıkcı Cinayeti’nin anatomisi anlatılmış ve Kaşıkcı’nın ölüme giden sürecinde an ve an bu ya da buna benzer bir yazılımla takip edildiği belirtilmişti.

Cihazlara nasıl sızılıyor, ne yapmalı?

2019’da WhatsApp, NSO’nun yazılımının bir güvenlik açığından yararlanarak 1.400’den fazla telefona kötü amaçlı yazılım göndermek için kullanıldığını ortaya çıkardı. Maalesef Whatsapp gibi yazılımlara çeşitli yöntemlerle sızılmış durumda. İşin üzücü yanı “zero click” (sıfır tık) denilen bir yöntemle, kullandığınız yazılımların açıklarından faydalanılarak bu tip casus yazılımlar size herhangi bir tıklanabilir / açılabilir hyperlink yollamadan da ulaşabiliyor.

Bu yüzden cihazlarınızda kullandığınız işletim sistemlerini ve uygulamaları sürekli güncel tutmanızda fayda var. Bu tip casus yazılımlar özellikle uygulamaların açıklarından faydalanarak cihazınıza sızıyorlar. Bu tip açıklar tespit edilince de uygulamayı geliştirenler tarafından yamanıyor. Her daim özellikle güvenlik güncellemelerini yükleyip, uygulamalarınızın en güncel sürümlerini kullanmayı ihmâl etmeyin.

Pegasus saldırılarından sonra Gazetecileri Koruma Komitesi (CPJ) tarafından burada yayınlanan çeşitli güvenlik tavsiyelerini mutlaka okuyup uygulamanızda fayda var.

Ayrıca konuyla ilgili TELE 1 kanalında konuk olduğum programı izlemenizi öneririm.

Büyük tehdit

Malumunuz çeşitli ülkeler korkunç savaş geçmişlerinde biyolojik-kimyasal silahları, misket bombalarını, salkım bombalarını yasaklamıştı. Çünkü savaş alanlarında ve şehirlerde patlamamış ve aktifleşmemiş tüm kitle imha silahları her an  patlamaya hazır bir şekilde onyıllarca bekleyebiliyor. Kan ve dokuyu zehirleyecek metallerin bulunduğu kurşun türleri, genişleyen mermiler, fosfor bombaları gibi silahlar birçok bölgede yasaklı. Bunları neden mi söylüyorum. Savaş makinesi kurumlar bile hem iç güvenlikleri hem de tüm dünya açısından kendilerine de zarar veren bir çok silaha karşı bazı düzenlemeler getirmek zorunda kalıyor.

Casus yazılımlar sadece biz sıradan insanları değil, ülkelerin, çetelerin, kötü niyetli grupların hepsinin, birbirini dinledikleri ve izledikleri bir kaosun parçası hâline geldi. Elde edilen verilere göre, aktivistleri, politikacıları ve gazetecileri hedef almak için kullanılan bu tip casus yazılımlar otoriter rejimlere satılıyor. E malum yaşadığımız dünyada bol bol otoriter resim var. İşin belki de en trajikomik tarafı sadece sözde iç güvenlik bahanesiyle ülkeler kendisine tehdit gördüğü vatandaşlarını dinlemiyor, birbirlerini de dinliyorlar. Meksika’da devlet başkanı dahil bizim YSK’mıza denk düşen seçim kurumu yetkilileri ve savcılar gibi birçok kamu görevlisi dinlenirken, sızıntıda incelenen listeye göre, Fransa Cumhurbaşkanı Emmanuel Macron ve 15 bakan, Fas tarafından Pegasus casus yazılımının potansiyel hedefleri olarak seçilmiş. Bıraktım sıradan vatandaşı, gazeteciyi veya aktivisti, devlet içindeki fraksiyonlar veya eski yöneticilerle yeni yöneticiler birbirini dinliyor. Yetmiyor, ülkeler devlet başkanı ve bakanlıklar düzeyinde bu tip casus yazılımlarla birbirini dikizliyor. Korkunç bir kaos.

Bu ortamda özgür bir yaşamdan, ifade özgürlüğünden vs. bahsedilebilir mi? Toplumlar ve siyasetçiler geleceklerine yönelik kararlar alabilir mi? Siyasetçiler ve toplumların hür iradesi bu yazılımlarla ipotek altına alınıyor. Seçim süreçlerinde yasama otoriteleri bile izlenerek alacakları kararlar baskı altında.

Casus yazılımlar, aynı kirli savaş ve kitle imha silahları yasaklanması gerekiyor. Kötü amaçlı casus yazılımları var olmaması gereken bir endüstridir. Hepimiz 7/24 izlenmeye ve bu izlemler karşısında şantaja maruz kalarak köleleşmeye karşı çıkmalı ve bir avuç kalmış demokratik kurum ve uygulamaların bile köküne dinamit koyan bu yazılımlar hakkında ivedilikle politika yapıcılara baskı kurmak zorundayız.